Bản cập nhật: Kiểm tra ghi chú phát hành để biết thông tin về các tính năng mới và bản cập nhật sản phẩm.

Trang này được dịch bởi Cloud Translation API.

Phụ lục về việc xử lý dữ liệu

Lần sửa đổi gần đây nhất: Ngày 2 tháng 11 năm 2020

Jibe và bên đối tác đồng ý với phụ lục này ("Công ty") đã ký kết một thoả thuận về việc cung cấp Dịch vụ của đơn vị xử lý (được sửa đổi theo từng thời điểm, "Thoả thuận").

Phụ lục về cách xử lý dữ liệu này (bao gồm cả các phụ lục, "Phụ lục về cách xử lý dữ liệu") do Jibe và Công ty ký kết để bổ sung cho Thoả thuận. Phụ lục về cách xử lý dữ liệu này sẽ có hiệu lực và thay thế mọi điều khoản áp dụng trước đó liên quan đến chủ đề của các điều khoản đó (bao gồm mọi điều khoản về bảo mật và xử lý dữ liệu liên quan đến Dịch vụ của đơn vị xử lý), kể từ Ngày có hiệu lực của Điều khoản.

Nếu thay mặt cho Công ty chấp nhận Phụ lục về hoạt động xử lý dữ liệu này, bạn phải đảm bảo rằng: (a) bạn có toàn quyền pháp lý để ràng buộc Công ty với Phụ lục về hoạt động xử lý dữ liệu này; (b) bạn đã đọc và hiểu Phụ lục về hoạt động xử lý dữ liệu này; và (c) bạn thay mặt cho Công ty đồng ý với Phụ lục về hoạt động xử lý dữ liệu này. Nếu bạn không có quyền hạn pháp lý để ràng buộc Công ty, vui lòng không chấp nhận Phụ lục về việc xử lý dữ liệu này.

1. Giới thiệu

Phụ lục về việc xử lý dữ liệu này phản ánh thoả thuận của các bên về các điều khoản điều chỉnh việc xử lý và bảo mật Dữ liệu cá nhân của Công ty liên quan đến Luật bảo vệ dữ liệu của Châu Âu và một số Luật bảo vệ dữ liệu bên ngoài Châu Âu.

2. Định nghĩa và diễn giải

2.1 Trong Phụ lục về cách xử lý dữ liệu này:

“Sản phẩm bổ sung” là sản phẩm, dịch vụ hoặc ứng dụng do Jibe hoặc bên thứ ba cung cấp, trong đó: (a) không thuộc Dịch vụ của Đơn vị xử lý; và (b) có thể truy cập để sử dụng trong giao diện người dùng của Dịch vụ của Đơn vị xử lý hoặc được tích hợp với Dịch vụ của Đơn vị xử lý.

"Điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu" là những điều khoản bổ sung được đề cập trong Phụ lục 3, phản ánh thoả thuận của các bên về những điều khoản điều chỉnh việc xử lý một số dữ liệu có liên quan đến Luật bảo vệ dữ liệu bên ngoài Châu Âu.

“Đơn vị liên kết” là một pháp nhân kiểm soát trực tiếp hoặc gián tiếp một bên, chịu sự kiểm soát của bên đó hoặc chịu sự kiểm soát chung với bên đó.

“Dữ liệu cá nhân của Công ty” là dữ liệu cá nhân do Jibe xử lý thay mặt cho Công ty trong quá trình Jibe cung cấp Dịch vụ của đơn vị xử lý.

"Sự cố về dữ liệu" là hành vi vi phạm đối với hoạt động bảo mật của Jibe dẫn đến việc huỷ, mất, sửa đổi, tiết lộ hoặc truy cập trái phép hoặc trái pháp luật Dữ liệu cá nhân của Công ty trên hệ thống do Jibe quản lý hoặc kiểm soát. "Sự cố về dữ liệu" sẽ không bao gồm các nỗ lực hoặc hoạt động không thành công không ảnh hưởng đến tính bảo mật của Dữ liệu cá nhân của Công ty, bao gồm cả nỗ lực đăng nhập, ping, quét cổng, tấn công từ chối dịch vụ cũng như các cuộc tấn công mạng khác vào tường lửa hoặc hệ thống có kết nối mạng.

“Luật bảo vệ dữ liệu” là (tuỳ từng trường hợp áp dụng): (a) Luật bảo vệ dữ liệu của Châu Âu; và/hoặc (b) Luật bảo vệ dữ liệu bên ngoài Châu Âu.

“Công cụ dành cho chủ thể dữ liệu” là một công cụ (nếu có) do một pháp nhân Jibe cung cấp cho chủ thể dữ liệu, cho phép Jibe phản hồi trực tiếp và theo cách chuẩn hoá một số yêu cầu nhất định của chủ thể dữ liệu liên quan đến Dữ liệu cá nhân của Công ty (ví dụ: trình bổ trợ trình duyệt chọn không sử dụng).

"EEA" là Khu vực kinh tế Châu Âu.

“Quy định chung về việc bảo vệ dữ liệu của Liên minh Châu Âu” là Quy định (Liên minh Châu Âu) 2016/679 ngày 27 tháng 4 năm 2016 của Nghị viện và Hội đồng Châu Âu về việc bảo vệ thể nhân có liên quan đến việc xử lý dữ liệu cá nhân và việc di chuyển tự do dữ liệu này, cũng như việc bãi bỏ Chỉ thị 95/46/EC.

"Luật bảo vệ dữ liệu ở Châu Âu", tuỳ từng trường hợp, là: (a) Quy định chung về việc bảo vệ dữ liệu (GDPR); và/hoặc (b) Đạo luật bảo vệ dữ liệu liên bang có hiệu lực từ ngày 19 tháng 6 năm 1992 (Thuỵ Sĩ).

"Luật pháp Châu Âu hoặc Pháp luật quốc gia" (nếu có) là: (a) Luật pháp của EU hoặc Luật pháp của quốc gia thành viên EU (nếu GDPR EU áp dụng cho việc xử lý Dữ liệu cá nhân của Công ty); và/hoặc (b) Luật pháp của Vương quốc Anh hoặc luật pháp của một vùng lãnh thổ thuộc Vương quốc Anh (nếu GDPR UK áp dụng cho việc xử lý Dữ liệu cá nhân của Công ty).

"Quy định chung về bảo vệ dữ liệu" là (tùy từng trường hợp áp dụng): (a) Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu; và/hoặc (b) Quy định chung về bảo vệ dữ liệu của Vương quốc Anh.

"Jibe" có nghĩa là Pháp nhân Jibe tham gia vào Thoả thuận.

“Đơn vị xử lý phụ của đơn vị liên kết Jibe” có nghĩa như nêu trong Mục 11.1 (Sự đồng ý tham gia của đơn vị xử lý phụ).

"Pháp nhân Jibe" có nghĩa là Jibe Mobile Inc, Jibe Mobile Limited hoặc mọi Đơn vị liên kết khác của Jibe Mobile Inc.

"Chứng nhận ISO 27001" nghĩa là chứng nhận ISO/IEC 27001:2013 hoặc một chứng nhận tương đương cho Dịch vụ của bên xử lý.

"Luật bảo vệ dữ liệu bên ngoài Châu Âu" là luật bảo vệ dữ liệu hoặc quyền riêng tư có hiệu lực bên ngoài Khu vực kinh tế Châu Âu (EEA), Thuỵ Sĩ và Vương quốc Anh.

"Địa chỉ email nhận thông báo" có nghĩa là địa chỉ email (nếu có): (i) do Công ty cung cấp cho Jibe hoặc (ii) do Công ty chỉ định, thông qua giao diện người dùng của Dịch vụ của đơn vị xử lý hoặc các phương tiện khác do Jibe cung cấp, để nhận một số thông báo nhất định từ Jibe liên quan đến Phụ lục về việc xử lý dữ liệu này. Để rõ ràng, Công ty có trách nhiệm cung cấp cho Jibe Địa chỉ email nhận thông báo và thông báo cho Jibe về mọi nội dung cập nhật đối với Địa chỉ email nhận thông báo.

"Dịch vụ của đơn vị xử lý" nghĩa là các dịch vụ RCS Business Messaging (như mô tả tại https://developers.google.com/business-communications/rcs-business-messaging)

"Tài liệu bảo mật" có nghĩa là Chứng chỉ ISO 27001 và mọi tài liệu hoặc chứng chỉ bảo mật khác mà Jibe có thể cung cấp liên quan đến Dịch vụ của đơn vị xử lý.

“Biện pháp bảo mật” có ý nghĩa như đã nêu trong Mục 7.1.1 (Biện pháp bảo mật của Jibe).

"Các điều khoản tiêu chuẩn trong hợp đồng" là các điều khoản tiêu chuẩn trong hợp đồng của Ủy ban Châu Âu tại https://privacy.google.com/businesses/gdprprocessorterms/sccs. Đây là các điều khoản bảo vệ dữ liệu tiêu chuẩn để chuyển dữ liệu cá nhân cho các đơn vị xử lý được thành lập ở các quốc gia thứ ba không đảm bảo mức độ bảo vệ dữ liệu đầy đủ, như mô tả trong Điều 46 của Quy định chung về việc bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu.

“Đơn vị xử lý phụ” là các bên thứ ba được uỷ quyền theo Phụ lục về việc xử lý dữ liệu này để có quyền truy cập hợp lý và xử lý Dữ liệu cá nhân của Công ty nhằm cung cấp một số phần của Dịch vụ của đơn vị xử lý và mọi dịch vụ hỗ trợ kỹ thuật liên quan.

“Cơ quan giám sát” có nghĩa là, tuỳ từng trường hợp áp dụng: (a) một “cơ quan giám sát” theo định nghĩa trong GDPR EU; và/hoặc (b) “Ủy ban” theo định nghĩa trong GDPR UK.

“Thời hạn” là khoảng thời gian tính từ Ngày có hiệu lực của Điều khoản cho đến khi Jibe chấm dứt việc cung cấp Dịch vụ của đơn vị xử lý theo Thoả thuận.

“Ngày có hiệu lực của Điều khoản” là ngày có hiệu lực của Thoả thuận.

"Nhà cung cấp và nhân viên hỗ trợ của bên thứ ba" có ý nghĩa như nêu trong Mục 11.1 (Sự đồng ý với việc sử dụng nhà cung cấp và nhân viên hỗ trợ của bên thứ ba).

"Quy định chung về bảo vệ dữ liệu của Vương quốc Anh" có nghĩa là Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu như được sửa đổi và kết hợp vào luật của Vương quốc Anh theo Đạo luật (Rời khỏi) Liên minh Châu Âu của Vương quốc Anh năm 2018, nếu đạo luật này có hiệu lực.

2.2 Các thuật ngữ "đơn vị kiểm soát", "chủ thể dữ liệu", "dữ liệu cá nhân", "hoạt động xử lý" và "đơn vị xử lý" được sử dụng trong Phụ lục về việc xử lý dữ liệu này có ý nghĩa như đã nêu trong GDPR, còn các thuật ngữ "đơn vị nhập dữ liệu" và "đơn vị xuất dữ liệu" có ý nghĩa như đã nêu trong Các điều khoản hợp đồng mẫu.

2.3 Các cụm từ "bao gồm cả", "bao gồm" hoặc bất kỳ cách diễn đạt tương tự nào sẽ được hiểu là để minh hoạ và không giới hạn ý nghĩa của các từ đứng trước các cụm từ đó. Mọi ví dụ trong Phụ lục về hoạt động xử lý dữ liệu này chỉ nhằm mục đích minh hoạ và không phải là ví dụ duy nhất về một khái niệm cụ thể.

2.4 Mọi thông tin dẫn chiếu đến một khung pháp lý, đạo luật hoặc văn bản quy phạm pháp luật khác đều là thông tin dẫn chiếu đến nội dung được sửa đổi hoặc ban hành lại của thông tin đó tuỳ từng thời điểm.

2.5 Nếu Điều khoản xử lý dữ liệu này được dịch sang bất kỳ ngôn ngữ nào khác và có sự khác biệt giữa văn bản tiếng Anh và văn bản dịch, thì văn bản tiếng Anh sẽ được ưu tiên áp dụng.

3. Thời hạn của Phụ lục về cách xử lý dữ liệu này

Phụ lục về việc Xử lý dữ liệu này sẽ có hiệu lực từ Ngày có hiệu lực của Điều khoản và sẽ tiếp tục có hiệu lực cho đến khi Jibe xoá tất cả Dữ liệu cá nhân của Công ty (như mô tả trong Phụ lục về việc Xử lý dữ liệu này) và sẽ tự động hết hạn sau khi Jibe xoá tất cả Dữ liệu cá nhân của Công ty.

4. Việc áp dụng Phụ lục về cách xử lý dữ liệu này

4.1 Áp dụng Luật bảo vệ dữ liệu của Châu Âu. Mục 5 (Xử lý dữ liệu) đến mục 12 (Liên hệ với Jibe; Xử lý bản ghi) (bao gồm cả các mục này) sẽ chỉ áp dụng trong phạm vi mà Luật bảo vệ dữ liệu của Châu Âu áp dụng cho việc xử lý Dữ liệu cá nhân của Công ty, bao gồm cả trường hợp:

(a) việc xử lý là trong bối cảnh các hoạt động của cơ sở của Công ty tại EEA hoặc Vương quốc Anh; và/hoặc

(b) Dữ liệu cá nhân của công ty là dữ liệu cá nhân liên quan đến các đối tượng dữ liệu ở Khu vực kinh tế Châu Âu (EEA) hoặc Vương quốc Anh và việc xử lý liên quan đến việc cung cấp hàng hoá hoặc dịch vụ cho các đối tượng dữ liệu đó hoặc việc giám sát hành vi của họ ở EEA hoặc Vương quốc Anh.

4.2 Áp dụng cho Dịch vụ của đơn vị xử lý. Phụ lục về việc xử lý dữ liệu này sẽ chỉ áp dụng cho các Dịch vụ của đơn vị xử lý mà các bên đã đồng ý với Phụ lục về việc xử lý dữ liệu này (ví dụ: (a) các Dịch vụ của đơn vị xử lý mà Công ty đã nhấp để chấp nhận Phụ lục về việc xử lý dữ liệu này; hoặc (b) nếu Thoả thuận đưa Phụ lục về việc xử lý dữ liệu này vào bằng cách tham chiếu, thì các Dịch vụ của đơn vị xử lý là đối tượng của Thoả thuận).

4.3 Tích hợp các điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu. Các điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu sẽ bổ sung cho các Điều khoản xử lý dữ liệu này.

5. Xử lý dữ liệu

5.1 Vai trò và việc tuân thủ quy định; Uỷ quyền.

5.1.1 Trách nhiệm của Đơn vị xử lý và Đơn vị kiểm soát. Các bên xác nhận và đồng ý rằng:

(a) Phụ lục 1 mô tả chủ đề và thông tin chi tiết về việc xử lý Dữ liệu cá nhân của Công ty;

(b) Jibe là một đơn vị xử lý Dữ liệu cá nhân của Công ty theo Luật bảo vệ dữ liệu của Châu Âu;

(c) Công ty là một đơn vị kiểm soát hoặc đơn vị xử lý (nếu có) Dữ liệu cá nhân của Công ty theo Luật bảo vệ dữ liệu của Châu Âu; và

(d) mỗi bên sẽ tuân thủ các nghĩa vụ hiện hành theo Luật bảo vệ dữ liệu của Châu Âu liên quan đến việc xử lý Dữ liệu cá nhân của Công ty.

5.1.2 Uỷ quyền của Đơn vị kiểm soát bên thứ ba. Nếu Công ty là một bên xử lý, thì Công ty đảm bảo với Jibe rằng các hướng dẫn và hành động của Công ty liên quan đến Dữ liệu cá nhân của Công ty, bao gồm cả việc bổ nhiệm Jibe làm một bên xử lý khác, đã được bên kiểm soát có liên quan cho phép.

5.2 Hướng dẫn của Công ty. Bằng việc ký Phụ lục về việc xử lý dữ liệu này, Công ty chỉ hướng dẫn Jibe xử lý Dữ liệu cá nhân của Công ty theo luật hiện hành: (a) để cung cấp Dịch vụ của đơn vị xử lý và mọi dịch vụ hỗ trợ kỹ thuật có liên quan; (b) như được chỉ định thêm thông qua việc Công ty sử dụng Dịch vụ của đơn vị xử lý (bao gồm cả trong phần cài đặt và chức năng khác của Dịch vụ của đơn vị xử lý) và mọi dịch vụ hỗ trợ kỹ thuật có liên quan; (c) như được ghi nhận trong Thoả thuận, bao gồm cả Phụ lục về việc xử lý dữ liệu này; và (d) như được ghi nhận thêm trong mọi hướng dẫn bằng văn bản khác do Công ty đưa ra và được Jibe xác nhận là các hướng dẫn cho mục đích của Phụ lục về việc xử lý dữ liệu này.

5.3 Trách nhiệm tuân thủ của Jibe đối với Hướng dẫn. Jibe sẽ tuân thủ các hướng dẫn được mô tả trong Mục 5.2 (Hướng dẫn của Công ty) (bao gồm cả việc chuyển dữ liệu) trừ phi Luật của Châu Âu hoặc Luật quốc gia mà Jibe phải tuân thủ yêu cầu Jibe xử lý Dữ liệu cá nhân của Công ty theo cách khác. Trong trường hợp đó, Jibe sẽ thông báo cho Công ty (trừ phi bất kỳ luật nào như vậy cấm Jibe làm như vậy vì lý do quan trọng liên quan đến lợi ích công cộng).

5.4 Sản phẩm bổ sung. Nếu Công ty sử dụng bất kỳ Sản phẩm bổ sung nào, thì Dịch vụ xử lý có thể cho phép Sản phẩm bổ sung đó truy cập vào Dữ liệu cá nhân của Công ty theo yêu cầu để Sản phẩm bổ sung tương tác với Dịch vụ xử lý. Phụ lục về việc xử lý dữ liệu này không áp dụng cho việc xử lý dữ liệu cá nhân liên quan đến việc cung cấp bất kỳ Sản phẩm bổ sung nào mà Công ty sử dụng, bao gồm cả dữ liệu cá nhân được truyền đến hoặc từ Sản phẩm bổ sung đó.

6. Xoá dữ liệu

6.1 Xoá trong thời hạn.

6.1.1 Dịch vụ bộ xử lý có chức năng xoá. Trong Thời hạn, nếu:

(a) chức năng của Dịch vụ của đơn vị xử lý bao gồm lựa chọn để Công ty xoá Dữ liệu cá nhân của Công ty;

(b) Công ty sử dụng Dịch vụ của đơn vị xử lý để xoá một số Dữ liệu cá nhân của Công ty; và

thì Jibe sẽ xoá Dữ liệu cá nhân của Công ty đó khỏi các hệ thống của Jibe ngay khi có thể một cách hợp lý trên thực tế, trừ khi Pháp luật Châu Âu hoặc Pháp luật Quốc gia yêu cầu phải lưu trữ dữ liệu đó.

6.1.2 Dịch vụ của đơn vị xử lý không có chức năng xoá. Trong Thời hạn, nếu chức năng của Dịch vụ của đơn vị xử lý không bao gồm lựa chọn để Công ty xoá Dữ liệu cá nhân của Công ty, thì Jibe sẽ tuân thủ mọi yêu cầu hợp lý của Công ty để hỗ trợ việc xoá đó, trong phạm vi có thể, có tính đến bản chất và chức năng của Dịch vụ của đơn vị xử lý. Jibe có thể tính phí (dựa trên chi phí hợp lý của Jibe) cho mọi hoạt động xoá dữ liệu theo Mục 6.1.2 (Dịch vụ của đơn vị xử lý không có chức năng xoá dữ liệu) này. Jibe sẽ cung cấp cho Công ty thông tin chi tiết hơn về mọi khoản phí áp dụng và cơ sở tính toán trước khi xoá dữ liệu như vậy.

6.2 Xoá khi hết Thời hạn. Khi Thời hạn kết thúc, Công ty sẽ hướng dẫn Jibe xoá tất cả Dữ liệu cá nhân của Công ty (bao gồm cả bản sao hiện có) khỏi hệ thống của Jibe theo luật hiện hành. Jibe sẽ tuân thủ hướng dẫn này ngay khi có thể một cách hợp lý trên thực tế, trừ trường hợp Pháp Luật Châu Âu hoặc Pháp Luật Quốc Gia yêu cầu phải lưu trữ dữ liệu đó.

7. Bảo mật dữ liệu

7.1 Biện pháp bảo mật và dịch vụ hỗ trợ bảo mật của Jibe.

7.1.1 Biện pháp bảo mật của Jibe. Jibe sẽ triển khai và duy trì các biện pháp kỹ thuật và tổ chức để bảo vệ Dữ liệu cá nhân của Công ty khỏi bị huỷ bỏ, mất, thay đổi, tiết lộ hoặc truy cập trái phép hoặc trái pháp luật một cách tình cờ hoặc bất hợp pháp như mô tả trong Phụ lục 2 ("Biện pháp bảo mật"). Tuỳ từng thời điểm, Jibe có thể cập nhật hoặc sửa đổi Biện pháp bảo mật, miễn là những bản cập nhật và sửa đổi đó không làm giảm tính bảo mật tổng thể của Dịch vụ của đơn vị xử lý.

7.1.2 Việc tuân thủ các biện pháp bảo mật của nhân viên Jibe.Jibe sẽ đảm bảo rằng tất cả những người được uỷ quyền xử lý Dữ liệu cá nhân của Công ty đều đã cam kết bảo mật hoặc chịu trách nhiệm bảo mật theo quy định của pháp luật.

7.1.3 Dịch vụ hỗ trợ bảo mật của Jibe. Công ty đồng ý rằng Jibe sẽ hỗ trợ Công ty đảm bảo tuân thủ mọi nghĩa vụ của Công ty liên quan đến việc bảo mật dữ liệu cá nhân và các trường hợp vi phạm dữ liệu cá nhân (có tính đến bản chất của việc xử lý Dữ liệu cá nhân của Công ty và thông tin có sẵn cho Jibe), bao gồm cả (nếu có) nghĩa vụ của Công ty theo các Điều 32 đến 34 (bao gồm cả) của Quy định chung về việc bảo vệ dữ liệu (GDPR) bằng cách:

(a) triển khai và duy trì các Biện pháp bảo mật theo Phần 7.1.1 (Biện pháp bảo mật của Jibe);

(b) tuân thủ các điều khoản trong Mục 7.2 (Sự cố về dữ liệu); và

(c) cung cấp cho Công ty Tài liệu bảo mật theo mục 7.5.1 (Xem xét tài liệu bảo mật) và thông tin có trong Phụ lục về việc xử lý dữ liệu này.

7.2 Sự cố về dữ liệu.

7.2.1 Thông báo về sự cố. Nếu phát hiện Sự cố về dữ liệu, Jibe sẽ: (a) nhanh chóng thông báo Sự cố về dữ liệu cho Công ty; và (b) nhanh chóng thực hiện các bước hợp lý để giảm thiểu thiệt hại và bảo mật Dữ liệu cá nhân của Công ty.

7.2.2 Thông tin chi tiết về sự cố dữ liệu. Các thông báo được thực hiện theo Mục 7.2.1 (Thông báo về sự cố) sẽ mô tả, trong phạm vi có thể, thông tin chi tiết về Sự cố về dữ liệu, bao gồm cả các bước được thực hiện để giảm thiểu rủi ro tiềm ẩn và các bước mà Jibe đề xuất Công ty thực hiện để giải quyết Sự cố về dữ liệu.

7.2.3 Việc gửi thông báo.Jibe sẽ gửi thông báo về mọi Sự cố dữ liệu đến Địa chỉ email thông báo hoặc theo quyết định của Jibe (bao gồm cả trường hợp Công ty chưa cung cấp Địa chỉ email thông báo), thông qua phương thức giao tiếp trực tiếp khác (ví dụ: qua cuộc gọi điện thoại hoặc cuộc họp trực tiếp). Công ty chịu hoàn toàn trách nhiệm cung cấp Địa chỉ email nhận thông báo và đảm bảo rằng Địa chỉ email nhận thông báo là hợp lệ và còn hiệu lực.

7.2.4 Thông báo của bên thứ ba. Công ty tự chịu trách nhiệm tuân thủ luật thông báo về sự cố áp dụng cho Công ty và thực hiện mọi nghĩa vụ thông báo của bên thứ ba liên quan đến Sự cố về dữ liệu.

7.2.5 Jibe không xác nhận lỗi.Việc Jibe thông báo hoặc phản hồi về Sự cố về dữ liệu theo Mục 7.2 (Sự cố về dữ liệu) sẽ không được hiểu là Jibe xác nhận lỗi hoặc trách nhiệm pháp lý nào đối với Sự cố về dữ liệu.

7.3 Trách nhiệm và đánh giá của Công ty về việc bảo mật.

7.3.1 Trách nhiệm bảo mật của Công ty. Công ty đồng ý rằng (không ảnh hưởng đến các nghĩa vụ của Jibe theo Mục 7.1 (Biện pháp bảo mật và hỗ trợ bảo mật của Jibe) và Mục 7.2 (Sự cố về dữ liệu)):

(a) Công ty chịu trách nhiệm về việc sử dụng Dịch vụ của bên xử lý, bao gồm:

(i) sử dụng Dịch vụ của đơn vị xử lý một cách thích hợp để đảm bảo mức độ bảo mật phù hợp với rủi ro đối với Dữ liệu cá nhân của Công ty; và

(ii) bảo mật thông tin xác thực tài khoản, hệ thống và thiết bị mà Công ty sử dụng để truy cập vào Dịch vụ của đơn vị xử lý; và

(b) Jibe không có nghĩa vụ bảo vệ Dữ liệu cá nhân của Công ty mà Công ty chọn lưu trữ hoặc chuyển ra bên ngoài hệ thống của Jibe và các đơn vị xử lý phụ của Jibe.

7.3.2 Đánh giá của Công ty về việc bảo mật. Công ty xác nhận và đồng ý rằng (có tính đến công nghệ hiện đại, chi phí triển khai và bản chất, phạm vi, bối cảnh và mục đích của việc xử lý Dữ liệu cá nhân của Công ty, cũng như rủi ro đối với cá nhân) các Biện pháp bảo mật do Jibe triển khai và duy trì trong Mục 7.1.1 (Biện pháp bảo mật của Jibe) cung cấp mức độ bảo mật phù hợp với rủi ro đối với Dữ liệu cá nhân của Công ty.

7.4 Chứng nhận bảo mật. Để đánh giá và giúp đảm bảo các biện pháp bảo mật tiếp tục hiệu quả, Jibe sẽ duy trì Chứng nhận ISO 27001.

7.5 Kiểm tra và kiểm toán việc tuân thủ.

7.5.1 Xem xét Tài liệu bảo mật. Để chứng minh việc tuân thủ các nghĩa vụ của Jibe theo Phụ lục về cách xử lý dữ liệu này, Jibe sẽ cung cấp Tài liệu bảo mật để Khách hàng xem xét.

7.5.2 Quyền kiểm tra của Công ty.

(a) Jibe sẽ cho phép Công ty hoặc một kiểm toán viên bên thứ ba do Công ty chỉ định tiến hành kiểm tra (bao gồm cả kiểm tra) để xác minh việc Jibe tuân thủ các nghĩa vụ của mình theo Phụ lục về việc xử lý dữ liệu này theo Mục 7.5.3 (Điều khoản kinh doanh bổ sung về kiểm tra).Jibe sẽ đóng góp vào các cuộc kiểm tra như mô tả trong Mục 7.4 (Chứng nhận bảo mật) và Mục 7.5 (Xem xét và kiểm tra việc tuân thủ) này.

(b) Nếu các Điều khoản hợp đồng tiêu chuẩn áp dụng theo Mục 10.2 (Chuyển dữ liệu), thì Jibe sẽ cho phép Công ty hoặc một kiểm toán viên bên thứ ba do Công ty chỉ định tiến hành kiểm tra như mô tả trong các Điều khoản hợp đồng tiêu chuẩn theo Mục 7.5.3 (Các điều khoản kinh doanh bổ sung cho hoạt động kiểm tra).

(c) cũng có thể tiến hành kiểm tra để xác minh việc Jibe tuân thủ các nghĩa vụ của mình theo Phụ lục về việc xử lý dữ liệu này bằng cách xem xét chứng chỉ được cấp cho Chứng chỉ ISO 27001 (phản ánh kết quả của cuộc kiểm tra do người kiểm tra bên thứ ba thực hiện).

7.5.3 Các điều khoản kinh doanh bổ sung đối với quy trình kiểm tra.

(a) Công ty sẽ gửi mọi yêu cầu kiểm tra theo Mục 7.5.2(a) hoặc 7.5.2(b) cho Jibe như mô tả trong Mục 12.1 (Liên hệ với Jibe).

(b) Sau khi Jibe nhận được yêu cầu theo Mục 7.5.3(a), Jibe và Công ty sẽ thảo luận và thống nhất trước về ngày bắt đầu, phạm vi và thời lượng hợp lý, cũng như các biện pháp kiểm soát an toàn và bảo mật áp dụng cho mọi hoạt động kiểm tra theo Mục 7.5.2(a) hoặc 7.5.2(b).

(c) Jibe có thể tính phí (dựa trên chi phí hợp lý của Jibe) cho mọi hoạt động kiểm tra theo Mục 7.5.2(a) hoặc 7.5.2(b).Jibe sẽ cung cấp cho Công ty thông tin chi tiết hơn về mọi khoản phí áp dụng và cơ sở tính toán trước khi tiến hành cuộc kiểm tra như vậy. Công ty sẽ chịu trách nhiệm thanh toán mọi khoản phí mà kiểm toán viên bên thứ ba do Công ty chỉ định để tiến hành việc kiểm tra đó yêu cầu.

(d) Jibe có thể phản đối bất kỳ kiểm toán viên bên thứ ba nào do Công ty chỉ định để tiến hành kiểm toán theo Mục 7.5.2(a) hoặc 7.5.2(b) nếu theo ý kiến hợp lý của Jibe, kiểm toán viên đó không đủ tiêu chuẩn hoặc không độc lập, là đối thủ cạnh tranh của Jibe hoặc rõ ràng là không phù hợp. Khi Jibe đưa ra sự phản đối như vậy, Công ty sẽ phải chỉ định một kiểm toán viên khác hoặc phải tự mình tiến hành kiểm tra.

(e) Không có nội dung nào trong Phụ lục về việc xử lý dữ liệu này yêu cầu Jibe phải tiết lộ cho Công ty hoặc kiểm tra viên bên thứ ba của Công ty, hoặc cho phép Công ty hoặc kiểm tra viên bên thứ ba của Công ty truy cập vào:

(i) dữ liệu bất kỳ của mọi khách hàng khác của Pháp nhân Jibe;

(ii) thông tin kế toán hoặc tài chính nội bộ của Pháp nhân Jibe;

(iii) bí mật thương mại của Pháp nhân Jibe;

(iv) bất kỳ thông tin nào mà theo ý kiến hợp lý của Jibe, có thể: (A) làm tổn hại đến tính bảo mật của hệ thống hoặc cơ sở của bất kỳ pháp nhân nào của Jibe; hoặc (B) khiến bất kỳ pháp nhân nào của Jibe vi phạm nghĩa vụ theo Luật bảo vệ dữ liệu của Châu Âu hoặc nghĩa vụ bảo mật và/hoặc quyền riêng tư đối với Công ty hoặc bất kỳ bên thứ ba nào; hoặc

(v) bất kỳ thông tin nào mà Công ty hoặc kiểm tra viên bên thứ ba của Công ty tìm cách truy cập vì lý do nào khác ngoài lý do thực hiện nghĩa vụ của Công ty một cách thành thực theo Luật bảo vệ dữ liệu của Châu Âu.

7.5.4 Không sửa đổi Các điều khoản tiêu chuẩn trong hợp đồng. Nếu Điều khoản hợp đồng tiêu chuẩn áp dụng theo Mục 10.2 (Chuyển dữ liệu), thì không có nội dung nào trong Mục 7.5 (Xem xét và kiểm tra việc tuân thủ) này làm thay đổi hoặc sửa đổi bất kỳ quyền hoặc nghĩa vụ nào của Công ty hoặc Jibe theo Điều khoản hợp đồng tiêu chuẩn.

8. Đánh giá tác động và tham vấn

Công ty đồng ý rằng Jibe sẽ hỗ trợ Công ty đảm bảo tuân thủ mọi nghĩa vụ của Công ty liên quan đến việc đánh giá tác động của việc bảo vệ dữ liệu và tham vấn trước (có tính đến bản chất của hoạt động xử lý và thông tin mà Jibe có được), bao gồm cả (nếu có) nghĩa vụ của Công ty theo Điều 35 và 36 của GDPR, bằng cách:

(a) cung cấp Tài liệu về việc bảo mật theo Mục 7.5.1 (Xem xét Tài liệu về việc bảo mật);

(b) cung cấp thông tin có trong Phụ lục về cách xử lý dữ liệu này; và

(c) cung cấp hoặc đưa ra theo thông lệ tiêu chuẩn của Jibe, các tài liệu khác có liên quan đến bản chất của Dịch vụ của đơn vị xử lý và việc xử lý Dữ liệu cá nhân của Công ty (ví dụ: tài liệu của trung tâm trợ giúp).

9. Quyền của chủ thể dữ liệu

9.1 Phản hồi yêu cầu của chủ thể dữ liệu. Nếu Jibe nhận được yêu cầu của một chủ thể dữ liệu liên quan đến Dữ liệu cá nhân của Công ty, thì Jibe sẽ:

(a) nếu yêu cầu được đưa ra thông qua Công cụ dành cho chủ thể dữ liệu, hãy phản hồi trực tiếp yêu cầu của chủ thể dữ liệu theo chức năng tiêu chuẩn của Công cụ dành cho chủ thể dữ liệu đó; hoặc

(b) nếu yêu cầu không được gửi thông qua Công cụ dành cho chủ thể dữ liệu, hãy tư vấn để chủ thể dữ liệu gửi yêu cầu của họ cho Công ty và Công ty sẽ chịu trách nhiệm phản hồi yêu cầu đó.

9.2 Biện pháp hỗ trợ yêu cầu của Chủ thể dữ liệu của Jibe. Công ty đồng ý rằng Jibe sẽ hỗ trợ Công ty thực hiện mọi nghĩa vụ của Công ty trong việc phản hồi các yêu cầu của chủ thể dữ liệu (có tính đến bản chất của việc xử lý Dữ liệu cá nhân của Công ty và Điều 11 của GDPR nếu có), bao gồm cả (nếu có) nghĩa vụ của Công ty trong việc phản hồi các yêu cầu thực thi quyền của chủ thể dữ liệu trong Chương III của GDPR, bằng cách:

(a) cung cấp chức năng của Dịch vụ bộ xử lý;

(b) tuân thủ các cam kết trong Mục 9.1 (Phản hồi yêu cầu của chủ thể dữ liệu); và

10. Hoạt động chuyển dữ liệu

10.1 Cơ sở lưu trữ và xử lý dữ liệu. Công ty đồng ý rằng Jibe có thể, subject to Section 10.2 (Transfers of Data), lưu trữ và xử lý Dữ liệu cá nhân của Công ty ở bất kỳ quốc gia nào mà Jibe hoặc bất kỳ Đơn vị xử lý phụ nào của Jibe có cơ sở vật chất.

10.2 Chuyển dữ liệu.

Nếu việc lưu trữ và/hoặc xử lý Dữ liệu cá nhân của Công ty liên quan đến việc chuyển Dữ liệu cá nhân của Công ty từ Khu vực kinh tế Châu Âu (EEA), Thuỵ Sĩ hoặc Vương quốc Anh sang bất kỳ quốc gia thứ ba nào không thuộc phạm vi quyết định về mức độ bảo vệ dữ liệu cá nhân thỏa đáng theo Luật bảo vệ dữ liệu của Châu Âu:

(a) Công ty (với vai trò là bên xuất dữ liệu) sẽ được xem là đã ký kết Các điều khoản hợp đồng tiêu chuẩn với Jibe (với vai trò là bên nhập dữ liệu);

(b) việc chuyển sẽ tuân theo Các điều khoản tiêu chuẩn trong hợp đồng; và

(c) các nội dung tham chiếu đến Google LLC và Khách hàng trong Các điều khoản hợp đồng tiêu chuẩn sẽ lần lượt là Jibe và Công ty.

10.3 Thông tin về trung tâm dữ liệu. Bạn có thể xem thông tin về vị trí đặt các trung tâm dữ liệu của Google tại www.google.com/about/datacenters/locations/index.html.

11. Đơn vị xử lý phụ

11.1 Đồng ý với việc sử dụng đơn vị xử lý phụ. Công ty đặc biệt uỷ quyền cho việc tham gia của các Đơn vị liên kết của Jibe với tư cách là Bên xử lý phụ ("Bên xử lý phụ là Đơn vị liên kết của Jibe"). Ngoài ra, Công ty thường uỷ quyền cho việc tham gia của bất kỳ bên thứ ba nào khác với tư cách là Bên xử lý phụ ("Bên xử lý phụ là bên thứ ba"). Nếu các Điều khoản hợp đồng tiêu chuẩn áp dụng theo Mục 10.2 (Chuyển dữ liệu), thì các nội dung uỷ quyền nêu trên sẽ là sự đồng ý bằng văn bản trước đó của Công ty đối với việc Jibe ký hợp đồng phụ để xử lý Dữ liệu cá nhân của Công ty.

11.2 Thông tin về Đơn vị xử lý phụ. Theo yêu cầu bằng văn bản của Công ty, Jibe sẽ cung cấp thông tin về các Đơn vị xử lý phụ và vị trí của các đơn vị này. Mọi yêu cầu như vậy phải được gửi đến Jibe bằng thông tin liên hệ nêu trong Mục 12.1 (Liên hệ với Jibe).

11.3 Yêu cầu đối với việc sử dụng đơn vị xử lý phụ. Khi giao dịch với một Nhà xử lý phụ bất kỳ, Jibe sẽ:

(a) đảm bảo thông qua hợp đồng bằng văn bản rằng:

(i) Đơn vị xử lý phụ chỉ truy cập và sử dụng Dữ liệu cá nhân của Công ty trong phạm vi cần thiết để thực hiện các nghĩa vụ được giao thầu phụ và thực hiện việc này theo Thoả thuận (bao gồm cả Phụ lục xử lý dữ liệu này) và (nếu có) theo các Điều khoản hợp đồng tiêu chuẩn theo Mục 10.2 (Chuyển dữ liệu); và

(ii) nếu GDPR áp dụng cho việc xử lý Dữ liệu cá nhân của Công ty, thì các nghĩa vụ bảo vệ dữ liệu trong Điều 28(3) của GDPR sẽ được áp dụng cho Bên xử lý phụ; và

(b) hoàn toàn chịu trách nhiệm pháp lý đối với tất cả nghĩa vụ đã ký kết trong hợp đồng phụ, cũng như mọi hành vi và thiếu sót của Nhà xử lý phụ.

11.4 Cơ hội phản đối các thay đổi đối với đơn vị xử lý phụ.

(a) Khi bất kỳ Bên xử lý phụ bên thứ ba mới nào được tham gia trong Thời hạn, Jibe sẽ thông báo cho Công ty về việc tham gia (bao gồm tên và vị trí của bên xử lý phụ có liên quan cũng như các hoạt động mà bên xử lý phụ đó sẽ thực hiện) bằng cách gửi email đến Địa chỉ email thông báo ít nhất 30 ngày trước khi Bên xử lý phụ bên thứ ba mới xử lý bất kỳ Dữ liệu cá nhân nào của Công ty.

(b) Công ty có thể phản đối bất kỳ Nhà cung cấp dịch vụ phụ thuộc bên thứ ba mới nào bằng cách chấm dứt ngay lập tức Thỏa thuận này sau khi gửi thông báo bằng văn bản cho Jibe, với điều kiện là Công ty gửi thông báo đó trong vòng 90 ngày kể từ khi được thông báo về việc sử dụng Nhà cung cấp dịch vụ phụ thuộc bên thứ ba mới như mô tả trong Mục 11.4(a). Quyền chấm dứt này là biện pháp khắc phục duy nhất và độc quyền của Công ty nếu Công ty phản đối bất kỳ Nhà xử lý phụ bên thứ ba mới nào.

12. Liên hệ với Jibe; Xử lý bản ghi

12.1 Liên hệ với Jibe. Công ty có thể liên hệ với Jibe liên quan đến Phụ lục về hoạt động xử lý dữ liệu này thông qua thông tin liên hệ về việc bảo vệ dữ liệu RCS của Jibe. Bạn có thể liên hệ với họ qua http://issuetracker.google.com hoặc thông qua các phương thức khác mà Jibe có thể cung cấp theo thời gian.

12.2 Hồ sơ xử lý của Jibe. Công ty xác nhận rằng theo GDPR, Jibe phải: (a) thu thập và duy trì hồ sơ của một số thông tin nhất định, bao gồm tên và thông tin liên hệ của từng đơn vị xử lý và/hoặc đơn vị kiểm soát mà Jibe thay mặt cho họ hoạt động và (nếu có) của người đại diện địa phương và chuyên viên bảo vệ dữ liệu của đơn vị xử lý hoặc đơn vị kiểm soát đó; và (b) cung cấp thông tin đó cho bất kỳ Cơ quan giám sát nào. Theo đó, khi được yêu cầu và nếu thích hợp, Công ty sẽ cung cấp thông tin đó cho Jibe thông qua giao diện người dùng của Dịch vụ bộ xử lý hoặc thông qua các phương thức khác mà có thể Jibe cung cấp, đồng thời sẽ sử dụng giao diện người dùng đó hoặc các phương thức khác để đảm bảo rằng tất cả thông tin được cung cấp đều là thông tin chính xác và mới nhất.

13. Trách nhiệm pháp lý

13.1 Giới hạn trách nhiệm. Bất kể nội dung nào khác trong Thoả thuận, tổng trách nhiệm của một bên đối với bên kia theo hoặc liên quan đến Phụ lục xử lý dữ liệu này sẽ được giới hạn ở số tiền hoặc số tiền thanh toán tối đa mà trách nhiệm của bên đó được giới hạn theo Thoả thuận (do đó, mọi trường hợp loại trừ các khiếu nại về bảo mật hoặc bồi thường khỏi giới hạn trách nhiệm của Thoả thuận sẽ không áp dụng cho các khiếu nại theo Thoả thuận liên quan đến Luật bảo vệ dữ liệu của Châu Âu hoặc Luật bảo vệ dữ liệu không phải của Châu Âu). Không có nội dung nào trong Mục 13 (Trách nhiệm pháp lý) này loại trừ hoặc giới hạn trách nhiệm pháp lý của một trong hai bên đối với: (a) trường hợp tử vong hoặc thương tích cá nhân do sơ suất của bên đó hoặc do sơ suất của nhân viên hoặc đại lý của bên đó; (b) hành vi gian lận hoặc trình bày sai nhằm mục đích gian lận; hoặc (c) các vấn đề không thể loại trừ hoặc giới hạn trách nhiệm pháp lý theo luật hiện hành.

13.2 Trách nhiệm pháp lý trong trường hợp áp dụng Các điều khoản tiêu chuẩn trong hợp đồng. Nếu Các điều khoản hợp đồng tiêu chuẩn áp dụng theo Mục 10.2 (Chuyển dữ liệu), thì tổng trách nhiệm pháp lý gộp của mỗi bên và các Đơn vị liên kết của bên đó đối với bên kia và các Đơn vị liên kết của bên kia theo hoặc liên quan đến Thoả thuận và Các điều khoản hợp đồng tiêu chuẩn gộp sẽ tuân theo Mục 13.1 (Giới hạn trách nhiệm pháp lý).

14. Đơn vị thụ hưởng bên thứ ba

Nếu một Đơn vị liên kết của một bên là một bên trong Các điều khoản hợp đồng tiêu chuẩn áp dụng theo Mục 10.2 (Chuyển dữ liệu), thì Đơn vị liên kết đó sẽ là bên thụ hưởng bên thứ ba của Mục 6.2 (Xoá khi hết hạn), 7.5 (Xem xét và kiểm tra việc tuân thủ), 9.1 (Phản hồi yêu cầu của chủ thể dữ liệu), 10.2 (Chuyển dữ liệu), 11.1 (Đồng ý với việc sử dụng đơn vị xử lý phụ) và 13.2 (Trách nhiệm pháp lý nếu áp dụng Các điều khoản hợp đồng tiêu chuẩn). Trong trường hợp Mục 14 (Đơn vị thụ hưởng bên thứ ba) này mâu thuẫn hoặc không nhất quán với bất kỳ điều khoản nào khác trong Thoả thuận, thì Mục 14 (Đơn vị thụ hưởng bên thứ ba) này sẽ được áp dụng.

15. Hiệu lực của Phụ lục về cách xử lý dữ liệu này

Nếu có bất kỳ xung đột hoặc điểm không nhất quán nào giữa Các điều khoản hợp đồng tiêu chuẩn, Điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu, Phụ lục về cách xử lý dữ liệu này và phần còn lại của Thoả thuận, thì thứ tự ưu tiên sau đây sẽ được áp dụng:

(a) Các điều khoản tiêu chuẩn trong hợp đồng;

(b) Các điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu;

(d) phần còn lại của Thoả thuận.

Nếu Thoả thuận này (bao gồm cả mọi Phụ lục) được dịch sang bất kỳ ngôn ngữ nào khác và văn bản dịch mâu thuẫn hoặc không nhất quán với văn bản tiếng Anh, thì văn bản tiếng Anh sẽ được ưu tiên áp dụng.

Theo nội dung sửa đổi trong Phụ lục về việc xử lý dữ liệu này, Thoả thuận vẫn có đầy đủ hiệu lực.

16. Nội dung thay đổi đối với Phụ lục về cách xử lý dữ liệu này

16.1 Thay đổi đối với URL Tuỳ từng thời điểm, Jibe có thể thay đổi bất kỳ URL nào được đề cập trong Phụ lục về cách xử lý dữ liệu này và nội dung tại bất kỳ URL nào như vậy, ngoại trừ việc Jibe chỉ có thể thay đổi Các điều khoản tiêu chuẩn trong hợp đồng theo Mục 16.2(b) – 16.2(d) (Thay đổi đối với Điều khoản về cách xử lý dữ liệu) hoặc để đưa vào bất kỳ phiên bản mới nào của Các điều khoản tiêu chuẩn trong hợp đồng có thể được áp dụng theo Luật về việc bảo vệ dữ liệu của Châu Âu, trong mỗi trường hợp theo cách không ảnh hưởng đến tính hợp lệ của Các điều khoản tiêu chuẩn trong hợp đồng theo Luật về việc bảo vệ dữ liệu của Châu Âu.

16.2 Thay đổi đối với Điều khoản xử lý dữ liệu. Jibe có thể thay đổi Phụ lục về cách xử lý dữ liệu này nếu thay đổi đó:

(a) được cho phép rõ ràng theo Phụ lục về cách xử lý dữ liệu này, bao gồm cả nội dung được mô tả trong Mục 16.1 (Các thay đổi đối với URL);

(b) phản ánh việc thay đổi tên hoặc hình thức của một pháp nhân;

(c) cần thiết để tuân thủ luật hiện hành, quy định hiện hành, lệnh toà hoặc hướng dẫn của cơ quan quản lý hoặc cơ quan chính phủ; hoặc

(d) không (i) làm giảm mức độ bảo mật tổng thể của Dịch vụ của đơn vị xử lý; (ii) mở rộng phạm vi hoặc loại bỏ bất kỳ quy định hạn chế nào đối với (x) trong trường hợp Điều khoản bổ sung cho Luật bảo vệ dữ liệu không phải của Châu Âu, quyền của Jibe trong việc sử dụng hoặc xử lý dữ liệu trong phạm vi Điều khoản bổ sung cho Luật bảo vệ dữ liệu không phải của Châu Âu hoặc (y) trong trường hợp phần còn lại của Điều khoản xử lý dữ liệu này, việc xử lý Dữ liệu cá nhân của Công ty của Jibe, như mô tả trong Mục 5.3 (Tuân thủ hướng dẫn của Jibe); và (iii) nếu không, sẽ tác động bất lợi đáng kể đến các quyền của Công ty theo Phụ lục về cách xử lý dữ liệu này, như do Jibe xác định một cách hợp lý.

16.3 Thông báo về các thay đổi. Nếu Jibe có ý định thay đổi Phụ lục về việc xử lý dữ liệu này theo Mục 16.2(c) hoặc (d), thì Jibe sẽ thông báo cho Công ty ít nhất 30 ngày (hoặc khoảng thời gian ngắn hơn có thể được yêu cầu để tuân thủ luật hiện hành, quy định hiện hành, lệnh toà hoặc hướng dẫn do cơ quan hoặc cơ quan quản lý của chính phủ ban hành) trước khi thay đổi có hiệu lực bằng cách: (a) gửi email đến Địa chỉ email thông báo; hoặc (b) thông báo cho Công ty thông qua giao diện người dùng cho Dịch vụ của đơn vị xử lý. Nếu phản đối bất kỳ thay đổi nào như vậy, Công ty có thể chấm dứt Thoả thuận bằng cách gửi thông báo bằng văn bản cho Jibe trong vòng 90 ngày kể từ khi Jibe thông báo về thay đổi đó.

Phụ lục 1: Chủ đề và thông tin chi tiết về việc xử lý dữ liệu

Tiêu đề

Jibe cung cấp Dịch vụ của đơn vị xử lý và mọi dịch vụ hỗ trợ kỹ thuật có liên quan cho Công ty.

Thời gian xử lý

Thời hạn cộng với khoảng thời gian từ khi hết Thời hạn cho đến khi Jibe xoá tất cả Dữ liệu cá nhân của Công ty theo Phụ lục về việc xử lý dữ liệu này.

Bản chất và mục đích của việc xử lý

Jibe sẽ xử lý Dữ liệu cá nhân của Công ty nhằm mục đích cung cấp Dịch vụ của đơn vị xử lý và mọi dịch vụ hỗ trợ kỹ thuật liên quan cho Công ty theo Phụ lục về việc xử lý dữ liệu này (bao gồm cả việc thu thập, ghi lại, sắp xếp, sắp xếp, lưu trữ, sửa đổi, truy xuất, sử dụng, tiết lộ, kết hợp, xoá và huỷ bỏ Dữ liệu cá nhân của Công ty, nếu có liên quan đến Dịch vụ của đơn vị xử lý và hướng dẫn được mô tả trong Mục 5.2 (Hướng dẫn của Công ty)).

Các loại dữ liệu cá nhân

Dữ liệu cá nhân liên quan đến các cá nhân do Công ty (hoặc theo hướng dẫn của Công ty) hoặc người dùng cuối của Công ty cung cấp cho Jibe thông qua Dịch vụ xử lý.

Danh mục chủ thể dữ liệu

Chủ thể dữ liệu bao gồm những cá nhân mà dữ liệu được cung cấp cho Jibe thông qua các Dịch vụ xử lý do (hoặc theo hướng dẫn của) Công ty hoặc người dùng cuối của Công ty cung cấp.

Phụ lục 2: Các biện pháp bảo mật

Kể từ Ngày có hiệu lực của Điều khoản, Jibe sẽ triển khai và duy trì các biện pháp bảo mật trong Phụ lục 2 này. Tuỳ từng thời điểm, Jibe có thể cập nhật hoặc sửa đổi các Biện pháp bảo mật đó, miễn là những bản cập nhật và sửa đổi đó không làm giảm tính bảo mật tổng thể của Dịch vụ xử lý.

1. Bảo mật mạng và trung tâm dữ liệu

(a) Trung tâm dữ liệu.

Cơ sở hạ tầng. Jibe duy trì các trung tâm dữ liệu được phân bổ theo vị trí địa lý. Jibe lưu trữ tất cả dữ liệu sản xuất trong các trung tâm dữ liệu an toàn về mặt vật lý.

Sự dư thừa. Các hệ thống cơ sở hạ tầng được thiết kế để loại bỏ các điểm lỗi và giảm thiểu tác động của các rủi ro môi trường dự kiến. Mạch kép, nút chuyển, mạng hoặc các thiết bị cần thiết khác giúp cung cấp tính năng dự phòng này. Dịch vụ bộ xử lý được thiết kế để cho phép Jibe thực hiện một số loại bảo trì phòng ngừa và khắc phục mà không bị gián đoạn. Tất cả thiết bị và cơ sở vật chất môi trường đều có quy trình bảo trì phòng ngừa được ghi lại, trong đó nêu chi tiết quy trình và tần suất thực hiện theo thông số kỹ thuật nội bộ hoặc của nhà sản xuất. Hoạt động bảo trì phòng ngừa và khắc phục thiết bị trung tâm dữ liệu được lên lịch thông qua quy trình tiêu chuẩn theo các quy trình được ghi nhận.

Nguồn điện. Hệ thống điện của trung tâm dữ liệu được thiết kế để dự phòng và có thể bảo trì mà không ảnh hưởng đến hoạt động liên tục, 24 giờ mỗi ngày và 7 ngày mỗi tuần. Trong hầu hết các trường hợp, nguồn điện chính cũng như nguồn điện dự phòng, mỗi nguồn có công suất bằng nhau, được cung cấp cho các thành phần cơ sở hạ tầng quan trọng trong trung tâm dữ liệu. Nguồn điện dự phòng được cung cấp bởi nhiều cơ chế, chẳng hạn như pin nguồn cung cấp điện không gián đoạn (UPS). Pin này cung cấp nguồn điện bảo vệ đáng tin cậy một cách nhất quán trong các điều kiện điện áp thấp, điện áp cao, mất điện cục bộ, mất điện toàn bộ, tần số vượt quá giới hạn cho phép. Nếu nguồn điện công cộng bị gián đoạn, nguồn điện dự phòng được thiết kế để cung cấp nguồn điện tạm thời cho trung tâm dữ liệu, ở mức công suất tối đa, trong tối đa 10 phút cho đến khi hệ thống máy phát điện diesel tiếp quản. Máy phát điện diesel có thể tự động khởi động trong vòng vài giây để cung cấp đủ nguồn điện dự phòng cho việc vận hành trung tâm dữ liệu ở công suất tối đa, thường là trong vài ngày.

Hệ điều hành máy chủ. Máy chủ Jibe sử dụng các hệ điều hành được tăng cường được tuỳ chỉnh cho nhu cầu riêng của máy chủ của doanh nghiệp. Dữ liệu được lưu trữ bằng các thuật toán độc quyền để tăng cường tính bảo mật và tính dự phòng của dữ liệu. Jibe triển khai quy trình đánh giá mã nguồn để nâng cao mức độ an toàn của mã nguồn dùng để cung cấp Dịch vụ bộ xử lý và tăng cường mức độ an toàn của sản phẩm trong môi trường thực tế.

Duy trì hoạt động kinh doanh. Jibe sao chép dữ liệu trên nhiều hệ thống để giúp bảo vệ khỏi việc vô tình huỷ bỏ hoặc mất dữ liệu. Jibe đã thiết kế và thường xuyên lên kế hoạch cũng như kiểm thử các chương trình khôi phục sau thảm hoạ/lập kế hoạch duy trì hoạt động kinh doanh.

(b) Mạng và truyền dẫn.

Truyền dữ liệu. Các trung tâm dữ liệu thường được kết nối thông qua các đường liên kết riêng tư tốc độ cao để cung cấp dịch vụ truyền dữ liệu nhanh chóng và an toàn giữa các trung tâm dữ liệu. Phương thức này được thiết kế để ngăn chặn việc đọc, sao chép, thay đổi hoặc xoá dữ liệu mà không được uỷ quyền trong quá trình truyền hoặc vận chuyển điện tử hoặc trong khi ghi dữ liệu vào phương tiện lưu trữ dữ liệu. Jibe chuyển dữ liệu qua các giao thức tiêu chuẩn của Internet.

Bề mặt tấn công bên ngoài. Jibe sử dụng nhiều lớp thiết bị mạng và phát hiện xâm nhập để bảo vệ bề mặt tấn công bên ngoài. Jibe xem xét các vectơ tấn công tiềm ẩn và tích hợp các công nghệ được xây dựng phù hợp với mục đích vào các hệ thống hướng ra bên ngoài.

Phát hiện xâm nhập. Tính năng phát hiện xâm nhập nhằm cung cấp thông tin chi tiết về các hoạt động tấn công đang diễn ra và cung cấp thông tin đầy đủ để phản hồi các sự cố. Tính năng phát hiện xâm nhập của Jibe bao gồm:

Kiểm soát chặt chẽ kích thước và cấu trúc của bề mặt tấn công của Jibe thông qua các biện pháp phòng ngừa;
Sử dụng các chế độ kiểm soát phát hiện thông minh tại các điểm nhập dữ liệu; và
Sử dụng các công nghệ tự động khắc phục một số tình huống nguy hiểm.

Xử lý sự cố. Jibe theo dõi nhiều kênh liên lạc để phát hiện sự cố bảo mật. Nhân viên bảo mật của Jibe sẽ phản ứng kịp thời với các sự cố đã biết.

Công nghệ mã hoá. Jibe cung cấp tính năng mã hoá HTTPS (còn gọi là kết nối SSL hoặc TLS). Máy chủ Jibe hỗ trợ giao dịch trao đổi khoá mật mã Diffie Hellman dạng hàm số elip tạm thời được ký bằng RSA và ECDSA. Các phương thức bảo mật chuyển tiếp hoàn hảo (PFS) này giúp bảo vệ lưu lượng truy cập và giảm thiểu tác động của khoá bị xâm phạm hoặc đột phá mã hoá.

2. Quyền truy cập và chế độ kiểm soát trang web

(a) Chế độ kiểm soát trang web.

Hoạt động bảo mật tại chỗ của trung tâm dữ liệu. Các trung tâm dữ liệu của Jibe duy trì hoạt động bảo mật tại chỗ, chịu trách nhiệm về tất cả các chức năng bảo mật trung tâm dữ liệu thực tế 24 giờ mỗi ngày, 7 ngày mỗi tuần. Nhân viên vận hành an ninh tại chỗ theo dõi camera Hệ thống truyền hình vòng kín ("CCTV") và tất cả hệ thống báo động. Nhân viên bảo vệ tại chỗ thường xuyên tuần tra bên trong và bên ngoài trung tâm dữ liệu.

Quy trình truy cập vào trung tâm dữ liệu. Jibe duy trì các quy trình truy cập chính thức để cho phép truy cập thực tế vào các trung tâm dữ liệu. Các trung tâm dữ liệu được đặt trong các cơ sở vật chất yêu cầu sử dụng khoá thẻ điện tử để truy cập, với chuông báo được liên kết với hoạt động bảo mật tại chỗ. Tất cả những người vào trung tâm dữ liệu đều phải tự xác minh cũng như xuất trình giấy tờ tuỳ thân cho các hoạt động bảo mật tại chỗ. Chỉ những nhân viên, nhà thầu và khách truy cập được uỷ quyền mới được phép vào trung tâm dữ liệu. Chỉ những nhân viên và nhà thầu được uỷ quyền mới được phép yêu cầu quyền truy cập bằng khoá thẻ điện tử vào các cơ sở này. Yêu cầu truy cập vào khoá thẻ điện tử của trung tâm dữ liệu phải được gửi trước và bằng văn bản, đồng thời phải được người quản lý của người yêu cầu và giám đốc trung tâm dữ liệu phê duyệt. Tất cả những người khác cần quyền truy cập tạm thời vào trung tâm dữ liệu phải: (i) được các nhà quản lý trung tâm dữ liệu phê duyệt trước cho trung tâm dữ liệu cụ thể và các khu vực nội bộ mà họ muốn ghé thăm; (ii) đăng nhập vào các hoạt động bảo mật tại chỗ; và (iii) tham khảo bản ghi truy cập trung tâm dữ liệu đã phê duyệt xác định cá nhân đó đã được phê duyệt.

Thiết bị bảo mật tại chỗ cho trung tâm dữ liệu. Trung tâm dữ liệu của Jibe sử dụng khoá thẻ điện tử và hệ thống kiểm soát truy cập sinh trắc học được liên kết với chuông báo hệ thống. Hệ thống kiểm soát truy cập theo dõi và ghi lại khoá thẻ điện tử của từng cá nhân cũng như thời điểm họ truy cập vào các cửa xung quanh, khu vực vận chuyển và nhận hàng cũng như các khu vực quan trọng khác. Hoạt động trái phép và các lần truy cập không thành công sẽ được hệ thống kiểm soát truy cập ghi lại và điều tra (nếu thích hợp). Quyền truy cập được uỷ quyền trong toàn bộ hoạt động kinh doanh và trung tâm dữ liệu bị hạn chế dựa trên các khu vực và trách nhiệm công việc của cá nhân. Cửa chống cháy tại các trung tâm dữ liệu được gắn chuông báo động. Camera quan sát đang hoạt động cả bên trong và bên ngoài trung tâm dữ liệu. Vị trí của các máy ảnh được thiết kế để bao phủ các khu vực chiến lược, bao gồm cả chu vi, cửa vào toà nhà trung tâm dữ liệu và khu vực vận chuyển/nhận hàng. Nhân viên vận hành bảo vệ tại chỗ quản lý thiết bị giám sát, ghi hình và điều khiển của hệ thống camera quan sát. Các cáp bảo mật trong toàn bộ trung tâm dữ liệu kết nối thiết bị CCTV. Máy quay ghi hình tại chỗ thông qua máy ghi hình kỹ thuật số 24 giờ/ngày, 7 ngày/tuần. Bản ghi giám sát được giữ lại ít nhất 7 ngày dựa trên hoạt động.

(b) Kiểm soát quyền truy cập.

Nhân viên bảo mật cơ sở hạ tầng. Jibe có và duy trì chính sách bảo mật cho nhân viên, đồng thời yêu cầu nhân viên tham gia khoá đào tạo về bảo mật trong gói đào tạo. Nhân viên bảo mật cơ sở hạ tầng của Jibe chịu trách nhiệm giám sát liên tục cơ sở hạ tầng bảo mật của Jibe, xem xét Dịch vụ bộ xử lý và phản hồi các sự cố bảo mật.

Kiểm soát quyền truy cập và quản lý đặc quyền. Người dùng và quản trị viên của công ty phải xác thực chính họ thông qua một hệ thống xác thực tập trung hoặc thông qua một hệ thống đăng nhập một lần để sử dụng Dịch vụ của đơn vị xử lý.

Quy trình và chính sách về quyền truy cập dữ liệu nội bộ – Chính sách về quyền truy cập. Các quy trình và chính sách truy cập dữ liệu nội bộ của Jibe được thiết kế để ngăn chặn người và/hoặc hệ thống trái phép truy cập vào các hệ thống dùng để xử lý dữ liệu cá nhân. Jibe đặt mục tiêu thiết kế hệ thống của mình để: (i) chỉ cho phép những người được uỷ quyền truy cập vào dữ liệu mà họ được uỷ quyền truy cập; và (ii) đảm bảo rằng không thể đọc, sao chép, thay đổi hoặc xoá dữ liệu cá nhân khi chưa được uỷ quyền trong quá trình xử lý, sử dụng và sau khi ghi lại. Các hệ thống này được thiết kế để phát hiện mọi hành vi truy cập không phù hợp. Jibe sử dụng một hệ thống quản lý quyền truy cập tập trung để kiểm soát quyền truy cập của nhân viên vào máy chủ sản xuất và chỉ cấp quyền truy cập cho một số ít nhân viên được uỷ quyền. LDAP, Kerberos và một hệ thống độc quyền sử dụng chứng chỉ SSH được thiết kế để cung cấp cho Jibe các cơ chế truy cập linh hoạt và bảo mật. Các cơ chế này được thiết kế để chỉ cấp quyền truy cập đã phê duyệt cho máy chủ lưu trữ trang web, nhật ký, dữ liệu và thông tin cấu hình. Jibe yêu cầu sử dụng mã nhận dạng người dùng duy nhất, mật khẩu mạnh, xác thực hai yếu tố và danh sách quyền truy cập được giám sát cẩn thận để giảm thiểu khả năng sử dụng tài khoản trái phép. Việc cấp hoặc sửa đổi quyền truy cập dựa trên: trách nhiệm công việc của nhân viên được uỷ quyền; các yêu cầu về nhiệm vụ công việc cần thiết để thực hiện các nhiệm vụ được uỷ quyền; và cơ sở cần biết. Việc cấp hoặc sửa đổi quyền truy cập cũng phải tuân thủ các chính sách và chương trình đào tạo nội bộ của Jibe về quyền truy cập dữ liệu. Các yêu cầu phê duyệt được quản lý bằng các công cụ quy trình công việc giúp duy trì bản ghi kiểm tra của tất cả thay đổi. Hoạt động truy cập vào hệ thống được ghi lại để tạo một dấu vết kiểm tra nhằm đảm bảo trách nhiệm. Khi mật khẩu được sử dụng để xác thực (ví dụ: đăng nhập vào máy trạm), các chính sách mật khẩu tuân thủ ít nhất các phương pháp tiêu chuẩn trong ngành sẽ được triển khai. Các tiêu chuẩn này bao gồm các quy định hạn chế về việc sử dụng lại mật khẩu và độ mạnh của mật khẩu.

3. Dữ liệu

(a) Lưu trữ, tách biệt và xác thực dữ liệu.

Jibe lưu trữ dữ liệu trong môi trường đa người dùng trên các máy chủ thuộc sở hữu của Jibe. Dữ liệu, cơ sở dữ liệu Dịch vụ xử lý và cấu trúc hệ thống tệp được sao chép giữa nhiều trung tâm dữ liệu phân tán theo vị trí địa lý. Jibe tách riêng dữ liệu của từng khách hàng một cách hợp lý. Một hệ thống xác thực trung tâm được sử dụng trên tất cả Dịch vụ trình xử lý để tăng cường tính bảo mật đồng nhất của dữ liệu.

(b) Nguyên tắc về việc huỷ kích hoạt ổ đĩa và huỷ bỏ ổ đĩa.

Một số ổ đĩa chứa dữ liệu có thể gặp phải vấn đề về hiệu suất, lỗi hoặc sự cố phần cứng khiến chúng bị ngừng hoạt động ("Ổ đĩa ngừng hoạt động"). Mỗi ổ đĩa ngừng hoạt động đều phải tuân thủ một loạt quy trình huỷ dữ liệu ("Nguyên tắc huỷ dữ liệu") trước khi rời khỏi cơ sở của Jibe để tái sử dụng hoặc huỷ. Các Ổ đĩa đã ngừng hoạt động sẽ bị xoá trong một quy trình nhiều bước và được ít nhất hai trình xác thực độc lập xác minh hoàn toàn. Kết quả xoá được ghi lại theo số sê-ri của Ổ đã ngừng hoạt động để theo dõi. Cuối cùng, Ổ đĩa đã ngừng hoạt động đã bị xoá sẽ được phát hành vào khoảng không quảng cáo để sử dụng lại và triển khai lại. Nếu không thể xoá Ổ đĩa đã ngừng hoạt động do lỗi phần cứng, thì ổ đĩa này sẽ được lưu trữ an toàn cho đến khi có thể huỷ bỏ. Mỗi cơ sở đều được kiểm tra thường xuyên để theo dõi việc tuân thủ Hướng dẫn huỷ bỏ dữ liệu.

4. Bảo mật nhân sự

Nhân viên của Jibe phải hành xử theo cách nhất quán với các nguyên tắc của công ty về tính bảo mật, đạo đức kinh doanh, cách sử dụng phù hợp và tiêu chuẩn chuyên nghiệp. Jibe tiến hành kiểm tra lý lịch một cách hợp lý trong phạm vi pháp luật cho phép và theo luật lao động hiện hành tại địa phương cũng như các quy định theo luật định.

Nhân viên phải thực thi thoả thuận bảo mật và phải xác nhận đã nhận và tuân thủ các chính sách về quyền riêng tư và bảo mật của Jibe. Nhân viên được đào tạo về bảo mật. Những nhân viên xử lý Dữ liệu cá nhân của Công ty phải hoàn tất các yêu cầu bổ sung phù hợp với vai trò của họ. Nhân viên của Jibe sẽ không xử lý Dữ liệu cá nhân của Công ty khi chưa được uỷ quyền

5. Bảo mật của đơn vị xử lý phụ

Trước khi đưa vào sử dụng Nhà cung cấp dịch vụ phụ trợ, Jibe sẽ tiến hành kiểm tra các phương pháp bảo mật và quyền riêng tư của Nhà cung cấp dịch vụ phụ trợ để đảm bảo rằng Nhà cung cấp dịch vụ phụ trợ cung cấp mức độ bảo mật và quyền riêng tư phù hợp với quyền truy cập của họ vào dữ liệu và phạm vi dịch vụ mà họ được thuê để cung cấp. Sau khi Jibe đánh giá các rủi ro mà Nhà cung cấp dịch vụ phụ trình bày, thì Nhà cung cấp dịch vụ phụ phải tuân thủ các yêu cầu trong Mục 11.3 (Yêu cầu đối với việc tham gia của Nhà cung cấp dịch vụ phụ) và phải ký các điều khoản hợp đồng thích hợp về bảo mật, tính bảo mật và quyền riêng tư.

Phụ lục 3: Các điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu

Các điều khoản bổ sung sau đây cho Luật bảo vệ dữ liệu bên ngoài Châu Âu sẽ bổ sung cho các Điều khoản xử lý dữ liệu này:

Phụ lục về CCPA cho nhà cung cấp dịch vụ tại privacy.google.com/businesses/gdprprocessorterms/ccpa (ngày 27 tháng 8 năm 2020)
Phụ lục về đơn vị xử lý theo Luật chung về việc bảo vệ dữ liệu cá nhân (LGPD) tại privacy.google.com/businesses/gdprprocessorrterms/lgpd (ngày 27 tháng 8 năm 2020)

Điều khoản xử lý dữ liệu của Jibe, Phiên bản 2.0

Ngày 27 tháng 8 năm 2020