Lần sửa đổi gần đây nhất: Ngày 8 tháng 8 năm 2023 | Các phiên bản trước
Jibe và bên đối tác đồng ý với phụ lục này ("Đối tác") đã ký kết một thoả thuận về việc cung cấp Dịch vụ của đơn vị xử lý (được sửa đổi theo từng thời điểm, "Thoả thuận").
Phụ lục này về việc xử lý dữ liệu (bao gồm cả các phụ lục, "Phụ lục về việc xử lý dữ liệu") do Jibe và Đối tác ký kết và bổ sung cho Thoả thuận. Phụ lục về cách xử lý dữ liệu này sẽ có hiệu lực và thay thế mọi điều khoản áp dụng trước đó liên quan đến chủ đề của các điều khoản đó (bao gồm mọi điều khoản về bảo mật và xử lý dữ liệu liên quan đến Dịch vụ của đơn vị xử lý), kể từ Ngày có hiệu lực của Điều khoản.
Nếu thay mặt cho Đối tác chấp nhận Phụ lục về hoạt động xử lý dữ liệu này, bạn phải đảm bảo rằng: (a) bạn có toàn quyền pháp lý để ràng buộc Đối tác với Phụ lục về hoạt động xử lý dữ liệu này; (b) bạn đã đọc và hiểu Phụ lục về hoạt động xử lý dữ liệu này; và (c) bạn thay mặt cho Đối tác đồng ý với Phụ lục về hoạt động xử lý dữ liệu này. Nếu bạn không có quyền hạn pháp lý để ràng buộc Đối tác, vui lòng không chấp nhận Phụ lục về việc xử lý dữ liệu này.
1. Giới thiệu
Phụ lục về việc xử lý dữ liệu này phản ánh thoả thuận của các bên về các điều khoản điều chỉnh việc xử lý và bảo mật một số dữ liệu có liên quan đến Luật bảo vệ dữ liệu của Châu Âu và Luật bảo vệ dữ liệu bên ngoài Châu Âu.
2. Định nghĩa và diễn giải
2.1 Trong Phụ lục về cách xử lý dữ liệu này:
"Sản phẩm bổ sung" là sản phẩm, dịch vụ hoặc ứng dụng do Jibe hoặc bên thứ ba cung cấp, trong đó: (a) không thuộc Dịch vụ của Đơn vị xử lý; và (b) có thể truy cập để sử dụng trong giao diện người dùng của Dịch vụ của Đơn vị xử lý hoặc được tích hợp với Dịch vụ của Đơn vị xử lý.
"Điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu" là các điều khoản bổ sung được đề cập trong Phụ lục 3, thể hiện thoả thuận của các bên về các điều khoản quy định việc xử lý một số dữ liệu có liên quan đến Luật bảo vệ dữ liệu bên ngoài Châu Âu.
"Quốc gia thoả đáng" là:
(a) đối với dữ liệu được xử lý theo Quy định chung về việc bảo vệ dữ liệu của Liên minh Châu Âu (viết tắt là GDPR EU): Khu vực kinh tế Châu Âu (EEA) hoặc một quốc gia/vùng lãnh thổ được công nhận là đảm bảo việc bảo vệ dữ liệu ở mức độ thoả đáng theo GDPR EU;
(b) đối với dữ liệu được xử lý theo Quy định chung về việc bảo vệ dữ liệu của Vương quốc Anh (viết tắt là GDPR UK): Vương quốc Anh hoặc một quốc gia/vùng lãnh thổ được công nhận là đảm bảo việc bảo vệ dữ liệu ở mức độ thoả đáng theo GDPR UK và Đạo luật bảo vệ dữ liệu năm 2018; và/hoặc
(c) đối với dữ liệu được xử lý theo Đạo luật bảo vệ dữ liệu liên bang của Thuỵ Sĩ: Thuỵ Sĩ hoặc một quốc gia/vùng lãnh thổ (i) có tên trong danh sách các tiểu bang có luật đảm bảo mức độ bảo vệ thoả đáng theo thông tin do Uỷ viên thông tin và bảo vệ dữ liệu liên bang của Thuỵ Sĩ công bố hoặc (ii) được Hội đồng liên bang Thuỵ Sĩ công nhận là đảm bảo mức độ bảo vệ thoả đáng cho dữ liệu theo Đạo luật bảo vệ dữ liệu liên bang của Thuỵ Sĩ, trong mỗi trường hợp, ngoài cơ sở của một khung bảo vệ dữ liệu không bắt buộc.
"Giải pháp chuyển dữ liệu thay thế" là một giải pháp (ngoài SCC) cho phép chuyển dữ liệu cá nhân đến một quốc gia thứ ba theo Luật bảo vệ dữ liệu của Châu Âu, ví dụ: một khung bảo vệ dữ liệu được công nhận là đảm bảo rằng các pháp nhân địa phương tham gia cung cấp biện pháp bảo vệ đầy đủ.
"Sự cố về dữ liệu" là hành vi vi phạm đối với hoạt động bảo mật của Jibe dẫn đến việc huỷ, mất, sửa đổi, tiết lộ hoặc truy cập trái phép hoặc trái pháp luật Dữ liệu cá nhân của Đối tác trên hệ thống do Jibe quản lý hoặc kiểm soát. "Sự cố về dữ liệu" sẽ không bao gồm các nỗ lực hoặc hoạt động không thành công không ảnh hưởng đến tính bảo mật của Dữ liệu cá nhân của Đối tác, bao gồm cả nỗ lực đăng nhập, ping, quét cổng, tấn công từ chối dịch vụ cũng như các cuộc tấn công mạng khác vào tường lửa hoặc hệ thống có kết nối mạng.
"Công cụ dành cho chủ thể dữ liệu" là một công cụ (nếu có) do một pháp nhân Jibe cung cấp cho chủ thể dữ liệu, cho phép Jibe phản hồi trực tiếp và theo cách chuẩn hoá đối với một số yêu cầu nhất định của chủ thể dữ liệu liên quan đến Dữ liệu cá nhân của đối tác (ví dụ: chế độ cài đặt quảng cáo trực tuyến hoặc trình bổ trợ trình duyệt chọn không sử dụng).
"EEA" là Khu vực kinh tế Châu Âu.
"Quy định chung về việc bảo vệ dữ liệu của Liên minh Châu Âu" là Quy định (Liên minh Châu Âu) 2016/679 của Nghị viện Châu Âu và của Hội đồng có hiệu lực kể từ ngày 27/04/2016 về việc bảo vệ thể nhân liên quan đến việc xử lý dữ liệu cá nhân và việc di chuyển tự do dữ liệu này, cũng như bãi bỏ Chỉ thị 95/46/EC.
"Luật bảo vệ dữ liệu ở Châu Âu", tuỳ từng trường hợp, là: (a) Quy định chung về việc bảo vệ dữ liệu (GDPR); và/hoặc (b) Đạo luật bảo vệ dữ liệu liên bang của Thuỵ Sĩ (Swiss FDPA).
"Luật pháp Châu Âu" (nếu có) là: (a) Luật pháp của EU hoặc Luật pháp của Quốc gia thành viên EU (nếu Luật về việc bảo vệ dữ liệu của Liên minh Châu Âu (GDPR) áp dụng cho việc xử lý Dữ liệu cá nhân của Đối tác); và/hoặc (b) Luật pháp của Vương quốc Anh hoặc luật pháp của một vùng lãnh thổ thuộc Vương quốc Anh (nếu Luật về việc bảo vệ dữ liệu của Vương quốc Anh (GDPR) áp dụng cho việc xử lý Dữ liệu cá nhân của Đối tác).
"GDPR" có nghĩa là (tuỳ từng trường hợp áp dụng): (a) Quy định chung về việc bảo vệ dữ liệu của Liên minh Châu Âu; và/hoặc (b) Quy định chung về việc bảo vệ dữ liệu của Vương quốc Anh.
"Jibe" nghĩa là pháp nhân Jibe là bên tham gia Thoả thuận.
"Pháp nhân Jibe" là Jibe Mobile, Inc, Jibe Mobile Limited hoặc bất kỳ pháp nhân nào khác kiểm soát trực tiếp hoặc gián tiếp, chịu sự kiểm soát hoặc cùng nắm quyền kiểm soát với Jibe Mobile, Inc.
"Chứng nhận ISO 27001" nghĩa là chứng nhận ISO/IEC 27001:2013 hoặc một chứng nhận tương đương cho Dịch vụ của bên xử lý.
"Bên xử lý phụ mới" có nghĩa như nêu trong Mục 11.1 (Sự đồng ý về việc sử dụng Bên xử lý phụ).
"Luật bảo vệ dữ liệu bên ngoài Châu Âu" là luật bảo vệ dữ liệu hoặc quyền riêng tư có hiệu lực bên ngoài Khu vực kinh tế Châu Âu (EEA), Thuỵ Sĩ và Vương quốc Anh.
"Địa chỉ email nhận thông báo" là địa chỉ email (nếu có): (i) do Đối tác cung cấp cho Jibe hoặc (ii) do Đối tác chỉ định, thông qua giao diện người dùng của Dịch vụ của đơn vị xử lý hoặc các phương tiện khác do Jibe cung cấp, để nhận một số thông báo nhất định từ Jibe liên quan đến Phụ lục về việc xử lý dữ liệu này. Để rõ ràng, Đối tác có trách nhiệm cung cấp cho Jibe Địa chỉ email nhận thông báo và thông báo cho Jibe về mọi nội dung cập nhật đối với Địa chỉ email nhận thông báo.
"Dữ liệu cá nhân của Đối tác" là dữ liệu cá nhân do Jibe xử lý thay mặt cho Đối tác trong quá trình Jibe cung cấp Dịch vụ của đơn vị xử lý.
"Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đối tác" là các SCC (Đơn vị kiểm soát với Đơn vị xử lý), các SCC (Đơn vị xử lý với Đơn vị kiểm soát) và/hoặc các SCC (Đơn vị xử lý với Đơn vị xử lý), nếu có.
"Dịch vụ xử lý" nghĩa là các dịch vụ RCS Business Messaging (như mô tả tại developers.google.com/business-communications/rcs-business-messaging.
"SCC" có nghĩa là SCC của Đối tác và/hoặc SCC (Đơn vị xử lý với đơn vị xử lý, Trình xuất Jibe), nếu có.
"SCC (Đơn vị kiểm soát với đơn vị xử lý)" là các điều khoản có tại business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa.
"SCC (Bên xử lý với bên kiểm soát)" là các điều khoản tại business.safety.google/gdprprocessorterms/sccs/p2c.
"SCC (Bên xử lý với bên xử lý)" là các điều khoản tại business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa.
"SCC (Bên xử lý với bên xử lý, Trình xuất Jibe)" là các điều khoản tại business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group.
"Tài liệu bảo mật" có nghĩa là Chứng chỉ ISO 27001 và mọi tài liệu hoặc chứng chỉ bảo mật khác mà Jibe có thể cung cấp liên quan đến Dịch vụ của đơn vị xử lý.
"Biện pháp bảo mật" có ý nghĩa như đã nêu trong Mục 7.1.1 (Biện pháp bảo mật của Jibe).
"Đơn vị xử lý phụ" là các bên thứ ba được uỷ quyền theo Phụ lục về việc xử lý dữ liệu này để có quyền truy cập hợp lý và xử lý Dữ liệu cá nhân của Đối tác nhằm cung cấp một số phần của Dịch vụ của đơn vị xử lý và mọi dịch vụ hỗ trợ kỹ thuật có liên quan.
"Cơ quan giám sát" có nghĩa là, tuỳ trường hợp áp dụng: (a) "cơ quan giám sát" theo định nghĩa trong GDPR EU; và/hoặc (b) "Ủy ban" theo định nghĩa trong GDPR Vương quốc Anh và/hoặc FDPA Thuỵ Sĩ.
"Swiss FDPA" là Đạo luật bảo vệ dữ liệu liên bang có hiệu lực từ ngày 19 tháng 6 năm 1992 (Thuỵ Sĩ).
"Thời hạn" là khoảng thời gian tính từ Ngày có hiệu lực của Điều khoản cho đến khi Jibe chấm dứt việc cung cấp Dịch vụ bộ xử lý theo Thoả thuận.
"Ngày có hiệu lực của Điều khoản" là ngày có hiệu lực của Thoả thuận.
"Quy định chung về việc bảo vệ dữ liệu của Vương quốc Anh" có nghĩa là Quy định chung về việc bảo vệ dữ liệu của Liên minh Châu Âu như được sửa đổi và kết hợp vào luật của Vương quốc Anh theo Đạo luật (Rút lui khỏi) Liên minh Châu Âu của Vương quốc Anh năm 2018 và cùng các văn bản luật pháp thứ cấp hiện hành được ban hành theo Đạo luật đó.
2.2 Các thuật ngữ "đơn vị kiểm soát", "chủ thể dữ liệu", "dữ liệu cá nhân", "hoạt động xử lý" và "đơn vị xử lý" được dùng trong Phụ lục về việc xử lý dữ liệu này có ý nghĩa như đã nêu trong GDPR, còn các thuật ngữ "đơn vị nhập dữ liệu" và "đơn vị xuất dữ liệu" có ý nghĩa như đã nêu trong SCC hiện hành.
2.3 Các từ "bao gồm" và "trong đó có" có nghĩa là "bao gồm nhưng không giới hạn ở". Mọi ví dụ trong Phụ lục về hoạt động xử lý dữ liệu này chỉ nhằm mục đích minh hoạ và không phải là ví dụ duy nhất về một khái niệm cụ thể.
2.4 Mọi thông tin dẫn chiếu đến một khung pháp lý, đạo luật hoặc văn bản quy phạm pháp luật khác đều là thông tin dẫn chiếu đến nội dung được sửa đổi hoặc ban hành lại của thông tin đó tuỳ từng thời điểm.
2.5 Trong trường hợp có bất kỳ bản dịch nào của Phụ lục về cách xử lý dữ liệu này không nhất quán với bản tiếng Anh, thì bản tiếng Anh sẽ được áp dụng.
3. Thời hạn của Phụ lục về cách xử lý dữ liệu này
Phụ lục về việc xử lý dữ liệu này sẽ có hiệu lực kể từ Ngày có hiệu lực của Điều khoản và sẽ tiếp tục có hiệu lực cho đến khi Jibe xoá tất cả Dữ liệu cá nhân của Đối tác như mô tả trong Phụ lục về việc xử lý dữ liệu này, bất kể Thời hạn có hết hạn hay không.
4. Việc áp dụng Phụ lục về cách xử lý dữ liệu này
4.1 Áp dụng Luật bảo vệ dữ liệu của Châu Âu. Mục 5 (Xử lý dữ liệu) đến 12 (Liên hệ với Jibe; Xử lý bản ghi) (bao gồm cả) sẽ chỉ áp dụng trong phạm vi Luật bảo vệ dữ liệu của Châu Âu áp dụng cho việc xử lý Dữ liệu cá nhân của Đối tác, bao gồm cả trường hợp:
(a) việc xử lý là trong bối cảnh các hoạt động của cơ sở của Đối tác tại EEA hoặc Vương quốc Anh; và/hoặc
(b) Dữ liệu cá nhân của Đối tác là dữ liệu cá nhân liên quan đến các đối tượng dữ liệu ở Khu vực kinh tế Châu Âu (EEA) hoặc Vương quốc Anh và việc xử lý liên quan đến việc cung cấp hàng hoá hoặc dịch vụ cho các đối tượng dữ liệu đó hoặc việc giám sát hành vi của họ ở EEA hoặc Vương quốc Anh.
4.2 Áp dụng cho Dịch vụ của đơn vị xử lý. Phụ lục về hoạt động xử lý dữ liệu này sẽ chỉ áp dụng cho các Dịch vụ của đơn vị xử lý mà các bên đã đồng ý với Phụ lục về hoạt động xử lý dữ liệu này (ví dụ: (a) các Dịch vụ của đơn vị xử lý mà Đối tác đã nhấp để chấp nhận Phụ lục về hoạt động xử lý dữ liệu này; hoặc (b) nếu Thoả thuận đưa Phụ lục về hoạt động xử lý dữ liệu này vào bằng cách tham chiếu, thì các Dịch vụ của đơn vị xử lý là đối tượng của Thoả thuận).
4.3 Tích hợp các điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu. Các điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu sẽ bổ sung cho Phụ lục về việc xử lý dữ liệu này.
5. Xử lý dữ liệu
5.1 Vai trò và việc tuân thủ quy định; Uỷ quyền.
5.1.1 Trách nhiệm của Đơn vị xử lý và Đơn vị kiểm soát. Các bên xác nhận và đồng ý rằng:
(a) Phụ lục 1 mô tả chủ đề và thông tin chi tiết về việc xử lý Dữ liệu cá nhân của Đối tác;
(b) Jibe là một đơn vị xử lý Dữ liệu cá nhân của Đối tác theo Luật bảo vệ dữ liệu của Châu Âu;
(c) Đối tác là một đơn vị kiểm soát hoặc đơn vị xử lý (nếu có) Dữ liệu cá nhân của Đối tác theo Luật bảo vệ dữ liệu của Châu Âu; và
(d) mỗi bên sẽ tuân thủ các nghĩa vụ hiện hành theo Luật bảo vệ dữ liệu của Châu Âu liên quan đến việc xử lý Dữ liệu cá nhân của Đối tác.
5.1.2 Đối tác bộ xử lý. Trường hợp Đối tác là đơn vị xử lý:
(a) Đối tác đảm bảo liên tục rằng đơn vị kiểm soát có liên quan đã cấp phép (i) hướng dẫn, (ii) việc Đối tác chỉ định Jibe làm một đơn vị xử lý khác và (iii) việc Jibe tham gia làm đơn vị xử lý phụ như mô tả trong Mục 11 (Đơn vị xử lý phụ);
(b) Đối tác sẽ chuyển tiếp ngay lập tức đến đơn vị kiểm soát có liên quan mọi thông báo do Jibe cung cấp theo Mục 5.4 (Thông báo hướng dẫn), 7.2.1 (Thông báo về sự cố), 11.4 (Cơ hội phản đối các thay đổi đối với đơn vị xử lý phụ) hoặc thông báo đề cập đến bất kỳ SCC nào; và
(c) Đối tác có thể cung cấp cho đơn vị kiểm soát có liên quan bất kỳ thông tin nào do Jibe cung cấp theo Mục 7.4 (Chứng nhận bảo mật), 10.5 (Thông tin về Trung tâm dữ liệu) và 11.2 (Thông tin về đơn vị xử lý phụ).
5.2 Hướng dẫn của đối tác. Bằng việc ký Phụ lục về việc xử lý dữ liệu này, Đối tác chỉ thị cho Jibe xử lý Dữ liệu cá nhân của Đối tác theo luật hiện hành: (a) để cung cấp Dịch vụ của đơn vị xử lý và mọi dịch vụ hỗ trợ kỹ thuật liên quan; (b) như được chỉ định thêm thông qua việc Đối tác sử dụng Dịch vụ của đơn vị xử lý (bao gồm cả trong phần cài đặt và chức năng khác của Dịch vụ của đơn vị xử lý) và mọi dịch vụ hỗ trợ kỹ thuật liên quan; (c) như được ghi nhận trong Thoả thuận, bao gồm cả Phụ lục về việc xử lý dữ liệu này; và (d) như được ghi nhận thêm trong mọi hướng dẫn bằng văn bản khác do Đối tác đưa ra và được Jibe xác nhận là hướng dẫn cho mục đích của Phụ lục về việc xử lý dữ liệu này (gọi chung là "Hướng dẫn").
5.3 Tuân thủ hướng dẫn của Jibe. Jibe sẽ tuân thủ Hướng dẫn trừ phi bị Luật Châu Âu cấm.
5.4 Thông báo hướng dẫn. Jibe sẽ thông báo ngay cho Đối tác nếu theo ý kiến của Jibe: (a) Luật của Châu Âu cấm Jibe tuân thủ một Hướng dẫn; (b) một Hướng dẫn không tuân thủ Luật bảo vệ dữ liệu của Châu Âu; hoặc (c) Jibe không thể tuân thủ một Hướng dẫn, trong mỗi trường hợp, trừ phi Luật của Châu Âu cấm thông báo như vậy. Mục 5.4 (Thông báo hướng dẫn) này không làm giảm các quyền và nghĩa vụ của một trong hai bên ở những phần khác trong Thoả thuận.
5.5 Sản phẩm bổ sung. Nếu Đối tác sử dụng bất kỳ Sản phẩm bổ sung nào, thì Dịch vụ của đơn vị xử lý có thể cho phép Sản phẩm bổ sung đó truy cập vào Dữ liệu cá nhân của Đối tác theo yêu cầu để Sản phẩm bổ sung tương tác với Dịch vụ của đơn vị xử lý. Nếu cần, các bên sẽ ký kết các điều khoản xử lý dữ liệu riêng để giải quyết cách Sản phẩm bổ sung xử lý Dữ liệu cá nhân của đối tác.
6. Xoá dữ liệu
6.1 Xoá trong thời hạn.
6.1.1 Dịch vụ của đơn vị xử lý có chức năng xoá. Trong Thời hạn, nếu:
(a) chức năng của Dịch vụ dành cho đơn vị xử lý bao gồm cả tuỳ chọn để Đối tác xoá Dữ liệu cá nhân của Đối tác;
(b) Đối tác sử dụng Dịch vụ của đơn vị xử lý để xoá một số Dữ liệu cá nhân của Đối tác; và
(c) Đối tác không thể khôi phục Dữ liệu cá nhân của đối tác đã bị xoá (ví dụ: từ "thùng rác"), thì Jibe sẽ xoá Dữ liệu cá nhân của đối tác đó khỏi các hệ thống của mình ngay khi có thể một cách hợp lý trên thực tế, trừ phi Pháp luật Châu Âu yêu cầu phải lưu trữ dữ liệu đó.
6.1.2 Dịch vụ của đơn vị xử lý không có chức năng xoá. Trong Thời hạn, nếu chức năng của Dịch vụ của đơn vị xử lý không bao gồm lựa chọn để Đối tác xoá Dữ liệu cá nhân của Đối tác, thì Jibe sẽ tuân thủ mọi yêu cầu hợp lý của Đối tác để hỗ trợ việc xoá dữ liệu đó, trong phạm vi có thể, có tính đến bản chất và chức năng của Dịch vụ của đơn vị xử lý, trừ phi Luật pháp Châu Âu yêu cầu phải lưu trữ dữ liệu. Jibe có thể tính phí (dựa trên chi phí hợp lý của Jibe) cho mọi yêu cầu xoá dữ liệu theo Mục 6.1.2 (Dịch vụ của đơn vị xử lý không có chức năng xoá dữ liệu) này. Jibe sẽ cung cấp cho Đối tác thông tin chi tiết hơn về mọi khoản phí áp dụng và cơ sở tính toán trước khi xoá dữ liệu như vậy.
6.2 Xoá khi hết hạn. Khi Thời hạn kết thúc, Đối tác sẽ hướng dẫn Jibe xoá tất cả Dữ liệu cá nhân của Đối tác (bao gồm cả bản sao hiện có) khỏi hệ thống của Jibe theo luật hiện hành. Jibe sẽ tuân thủ hướng dẫn này ngay khi có thể một cách hợp lý, trừ trường hợp Pháp luật Châu Âu yêu cầu lưu trữ.
7. Bảo mật dữ liệu
7.1 Biện pháp bảo mật và dịch vụ hỗ trợ bảo mật của Jibe.
7.1.1 Biện pháp bảo mật của Jibe. Jibe sẽ triển khai và duy trì các biện pháp kỹ thuật và tổ chức để bảo vệ Dữ liệu cá nhân của Đối tác khỏi bị huỷ bỏ, mất, thay đổi, tiết lộ trái phép hoặc truy cập một cách tình cờ hoặc bất hợp pháp như mô tả trong Phụ lục 2 ("Biện pháp bảo mật"). Như mô tả trong Phụ lục 2, các Biện pháp bảo mật bao gồm các biện pháp: (a) để mã hoá dữ liệu cá nhân; (b) để giúp đảm bảo tính bảo mật, tính toàn vẹn, khả năng sẵn sàng và khả năng phục hồi liên tục của các hệ thống và dịch vụ của Jibe; (c) để giúp khôi phục quyền truy cập kịp thời vào dữ liệu cá nhân sau một sự cố; và (d) để kiểm thử thường xuyên mức độ hiệu quả. Jibe có thể cập nhật hoặc sửa đổi Biện pháp bảo mật theo thời gian, miễn là những bản cập nhật và sửa đổi đó không làm giảm tính bảo mật tổng thể của Dịch vụ của đơn vị xử lý.
7.1.2 Quyền truy cập và tình trạng tuân thủ. Jibe sẽ (a) chỉ uỷ quyền cho nhân viên, nhà thầu và đơn vị xử lý phụ truy cập vào Dữ liệu cá nhân của Đối tác khi cần thiết để tuân thủ Hướng dẫn; (b) thực hiện các bước thích hợp để đảm bảo nhân viên, nhà thầu và đơn vị xử lý phụ tuân thủ các Biện pháp bảo mật trong phạm vi áp dụng cho phạm vi thực hiện của họ; và (c) đảm bảo rằng tất cả những người được uỷ quyền xử lý Dữ liệu cá nhân của Đối tác đều đã cam kết bảo mật hoặc chịu trách nhiệm bảo mật theo quy định của pháp luật.
7.1.3 Dịch vụ hỗ trợ bảo mật của Jibe. Xem xét bản chất của việc xử lý Dữ liệu cá nhân của Đối tác và thông tin mà Jibe có được, Jibe sẽ hỗ trợ Đối tác đảm bảo tuân thủ các nghĩa vụ của Đối tác (hoặc, trong trường hợp Đối tác là bên xử lý, nghĩa vụ của bên kiểm soát có liên quan) liên quan đến việc bảo mật dữ liệu cá nhân và các trường hợp vi phạm dữ liệu cá nhân, bao gồm cả nghĩa vụ của Đối tác (hoặc, trong trường hợp Đối tác là bên xử lý, nghĩa vụ của bên kiểm soát có liên quan) theo các Điều 32 đến 34 (bao gồm cả) của GDPR bằng cách:
(a) triển khai và duy trì các Biện pháp bảo mật theo Phần 7.1.1 (Biện pháp bảo mật của Jibe);
(b) tuân thủ các điều khoản trong Mục 7.2 (Sự cố về dữ liệu); và
(c) cung cấp cho Đối tác Tài liệu về việc bảo mật theo Mục 7.5.1 (Xem xét Tài liệu về việc bảo mật) và thông tin có trong Phụ lục về việc xử lý dữ liệu này.
7.2 Sự cố về dữ liệu.
7.2.1 Thông báo về sự cố. Nếu phát hiện Sự cố về dữ liệu, Jibe sẽ: (a) nhanh chóng thông báo Sự cố về dữ liệu cho Đối tác; và (b) nhanh chóng thực hiện các bước hợp lý để giảm thiểu thiệt hại và bảo mật Dữ liệu cá nhân của Đối tác.
7.2.2 Thông tin chi tiết về sự cố về dữ liệu. Thông báo được thực hiện theo Mục 7.2.1 (Thông báo về sự cố) sẽ mô tả: bản chất của Sự cố dữ liệu, bao gồm cả các tài nguyên của Đối tác bị ảnh hưởng; các biện pháp mà Jibe đã thực hiện hoặc dự định thực hiện để giải quyết Sự cố dữ liệu và giảm thiểu rủi ro tiềm ẩn; các biện pháp (nếu có) mà Jibe đề xuất Đối tác thực hiện để giải quyết Sự cố dữ liệu; và thông tin chi tiết về đầu mối liên hệ để có thể nhận thêm thông tin. Nếu không thể cung cấp tất cả thông tin đó cùng một lúc, thông báo ban đầu của Jibe sẽ chứa thông tin hiện có và thông tin bổ sung sẽ được cung cấp ngay khi có.
7.2.3 Gửi thông báo. Jibe sẽ gửi thông báo về mọi Sự cố về dữ liệu đến Địa chỉ email thông báo hoặc theo quyết định của Jibe (kể cả khi Đối tác chưa cung cấp Địa chỉ email thông báo) bằng hình thức giao tiếp trực tiếp khác (ví dụ: qua điện thoại hoặc cuộc họp trực tiếp). Đối tác tự chịu trách nhiệm cung cấp Địa chỉ email nhận thông báo và đảm bảo rằng Địa chỉ email nhận thông báo là hợp lệ và còn hiệu lực.
7.2.4 Thông báo của bên thứ ba. Đối tác tự chịu trách nhiệm tuân thủ luật thông báo về sự cố áp dụng cho Đối tác và thực hiện mọi nghĩa vụ thông báo của bên thứ ba liên quan đến Sự cố về dữ liệu.
7.2.5 Jibe không xác nhận lỗi. Việc Jibe thông báo hoặc phản hồi về Sự cố về dữ liệu theo Mục 7.2 này (Sự cố về dữ liệu) không cấu thành việc xác nhận lỗi hoặc trách nhiệm pháp lý nào của Jibe đối với Sự cố về dữ liệu.
7.3 Trách nhiệm và đánh giá của Đối tác về việc bảo mật.
7.3.1 Trách nhiệm bảo mật của Đối tác. Đối tác đồng ý rằng (không ảnh hưởng đến các nghĩa vụ của Jibe theo Mục 7.1 (Biện pháp bảo mật và hỗ trợ bảo mật của Jibe) và Mục 7.2 (Sự cố về dữ liệu)):
(a) Đối tác chịu trách nhiệm về việc sử dụng Dịch vụ của bên xử lý, bao gồm:
(i) sử dụng Dịch vụ của đơn vị xử lý một cách thích hợp để đảm bảo mức độ bảo mật phù hợp với rủi ro đối với Dữ liệu cá nhân của Đối tác; và
(ii) bảo mật thông tin xác thực tài khoản, hệ thống và thiết bị mà Đối tác sử dụng để truy cập vào Dịch vụ của đơn vị xử lý; và
(b) Jibe không có nghĩa vụ bảo vệ Dữ liệu cá nhân của Đối tác mà Đối tác chọn lưu trữ hoặc chuyển ra bên ngoài hệ thống của Jibe và các đơn vị xử lý phụ của Jibe.
7.3.2 Đánh giá bảo mật của đối tác. Đối tác xác nhận rằng các Biện pháp bảo mật do Jibe triển khai và duy trì như mô tả trong Mục 7.1.1 (Biện pháp bảo mật của Jibe) cung cấp mức độ bảo mật phù hợp với rủi ro đối với Dữ liệu cá nhân của Đối tác, có tính đến bản chất, phạm vi, ngữ cảnh và mục đích của việc xử lý Dữ liệu cá nhân của Đối tác; công nghệ hiện đại; chi phí triển khai và rủi ro đối với cá nhân.
7.4 Chứng nhận bảo mật. Để đánh giá và giúp đảm bảo biện pháp bảo mật tiếp tục hiệu quả, Jibe sẽ duy trì Chứng nhận ISO 27001 hoặc các biện pháp thích hợp khác để chứng minh hiệu quả của biện pháp bảo mật.
7.5 Kiểm tra và kiểm toán việc tuân thủ.
7.5.1 Xem xét tài liệu bảo mật. Để chứng minh việc Jibe tuân thủ các nghĩa vụ theo Phụ lục về hoạt động xử lý dữ liệu này, Jibe sẽ cung cấp Tài liệu bảo mật để Đối tác xem xét.
7.5.2 Quyền kiểm tra của Đối tác.
(a) Jibe sẽ cho phép Đối tác hoặc một kiểm tra viên bên thứ ba do Đối tác chỉ định tiến hành kiểm tra (bao gồm cả kiểm tra) để xác minh việc Jibe tuân thủ các nghĩa vụ của mình theo Phụ lục về việc xử lý dữ liệu này theo Mục 7.5.3 (Điều khoản kinh doanh bổ sung về kiểm tra). Trong quá trình kiểm tra, Jibe sẽ cung cấp tất cả thông tin cần thiết để chứng minh sự tuân thủ đó và đóng góp cho các cuộc kiểm tra như mô tả trong Mục 7.4 (Chứng nhận bảo mật) và Mục 7.5 (Xem xét và kiểm tra việc tuân thủ) này.
(b) Nếu SCC áp dụng theo Mục 10.2 (Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu), thì Jibe sẽ cho phép Đối tác (hoặc một kiểm toán viên bên thứ ba do Đối tác chỉ định) tiến hành kiểm tra như mô tả trong SCC hiện hành và trong quá trình kiểm tra đó, cung cấp tất cả thông tin mà SCC đó yêu cầu, mỗi thông tin đều tuân thủ Mục 7.5.3 (Điều khoản kinh doanh bổ sung cho hoạt động kiểm tra).
(c) Đối tác cũng có thể tiến hành kiểm tra để xác minh việc Jibe tuân thủ các nghĩa vụ của mình theo Phụ lục về việc xử lý dữ liệu này bằng cách xem xét mọi chứng chỉ do bất kỳ kiểm tra viên bên thứ ba nào cấp cho Jibe (ví dụ: Chứng chỉ ISO 27001, nếu có).
7.5.3 Điều khoản bổ sung về doanh nghiệp đối với quy trình kiểm tra.
(a) Đối tác sẽ gửi mọi yêu cầu kiểm tra theo Mục 7.5.2(a) hoặc 7.5.2(b) cho Jibe như mô tả trong Mục 12.1 (Liên hệ với Jibe).
(b) Sau khi Jibe nhận được yêu cầu theo Mục 7.5.3(a), Jibe và Đối tác sẽ thảo luận và thống nhất trước về ngày bắt đầu, phạm vi và thời lượng hợp lý, cũng như các biện pháp kiểm soát an toàn và bảo mật áp dụng cho mọi hoạt động kiểm tra theo Mục 7.5.2(a) hoặc 7.5.2(b).
(c) Jibe có thể tính phí (dựa trên chi phí hợp lý của Jibe) cho bất kỳ đợt kiểm tra nào theo Mục 7.5.2(a) hoặc 7.5.2(b). Jibe sẽ cung cấp cho Đối tác thông tin chi tiết hơn về mọi khoản phí áp dụng và cơ sở tính toán trước khi tiến hành cuộc kiểm tra như vậy. Đối tác sẽ chịu trách nhiệm thanh toán mọi khoản phí mà kiểm toán viên bên thứ ba do Đối tác chỉ định để tiến hành kiểm tra.
(d) Jibe có thể phản đối bất kỳ kiểm toán viên bên thứ ba nào do Đối tác chỉ định để tiến hành kiểm toán theo Mục 7.5.2(a) hoặc 7.5.2(b) nếu theo ý kiến hợp lý của Jibe, kiểm toán viên đó không đủ tiêu chuẩn hoặc không độc lập, là đối thủ cạnh tranh của Jibe hoặc rõ ràng là không phù hợp. Khi Jibe đưa ra sự phản đối như vậy, Đối tác sẽ phải chỉ định một kiểm toán viên khác hoặc phải tự mình tiến hành kiểm tra.
(e) Không có nội dung nào trong Phụ lục về việc xử lý dữ liệu này yêu cầu Jibe phải tiết lộ cho Đối tác hoặc kiểm tra viên bên thứ ba của Đối tác, hoặc cho phép Đối tác hoặc kiểm tra viên bên thứ ba của Đối tác truy cập vào:
(i) dữ liệu của bất kỳ đối tác hoặc khách hàng nào khác của Pháp nhân Jibe;
(ii) thông tin kế toán hoặc tài chính nội bộ của Pháp nhân Jibe;
(iii) bí mật thương mại của Pháp nhân Jibe;
(iv) bất kỳ thông tin nào mà theo ý kiến hợp lý của Jibe, có thể: (A) làm tổn hại đến tính bảo mật của hệ thống hoặc cơ sở của bất kỳ pháp nhân nào của Jibe; hoặc (B) khiến bất kỳ pháp nhân nào của Jibe vi phạm nghĩa vụ theo Luật bảo vệ dữ liệu của Châu Âu hoặc nghĩa vụ bảo mật và/hoặc quyền riêng tư đối với Đối tác hoặc bất kỳ bên thứ ba nào; hoặc
(v) bất kỳ thông tin nào mà Đối tác hoặc kiểm tra viên bên thứ ba của Đối tác tìm cách truy cập vì lý do nào khác ngoài lý do thực hiện nghĩa vụ của Đối tác một cách thành thực theo Luật bảo vệ dữ liệu của Châu Âu.
8. Đánh giá tác động và tham vấn
Xem xét bản chất của hoạt động xử lý và thông tin có sẵn cho Jibe, Jibe sẽ hỗ trợ Đối tác đảm bảo tuân thủ các nghĩa vụ của Đối tác (hoặc trong trường hợp Đối tác là đơn vị xử lý, nghĩa vụ của đơn vị kiểm soát có liên quan) liên quan đến việc đánh giá tác động của việc bảo vệ dữ liệu và tham vấn trước, bao gồm cả (nếu có) nghĩa vụ của Đối tác hoặc đơn vị kiểm soát có liên quan theo Điều 35 và 36 của GDPR, bằng cách:
(a) cung cấp Tài liệu về việc bảo mật theo Mục 7.5.1 (Xem xét Tài liệu về việc bảo mật);
(b) cung cấp thông tin có trong Phụ lục về cách xử lý dữ liệu này; và
(c) cung cấp hoặc đưa ra theo thông lệ tiêu chuẩn của Jibe, các tài liệu khác có liên quan đến bản chất của Dịch vụ của đơn vị xử lý và việc xử lý Dữ liệu cá nhân của Đối tác (ví dụ: tài liệu của trung tâm trợ giúp).
9. Quyền của chủ thể dữ liệu
9.1 Phản hồi yêu cầu của chủ thể dữ liệu. Nếu Jibe nhận được yêu cầu của một chủ thể dữ liệu liên quan đến Dữ liệu cá nhân của Đối tác, thì Đối tác uỷ quyền cho Jibe và Jibe thông báo cho Đối tác rằng Jibe sẽ:
(a) trực tiếp phản hồi yêu cầu của chủ thể dữ liệu theo chức năng tiêu chuẩn của Công cụ dành cho chủ thể dữ liệu (nếu yêu cầu được đưa ra thông qua Công cụ dành cho chủ thể dữ liệu); hoặc
(b) tư vấn để chủ thể dữ liệu gửi yêu cầu của họ cho Đối tác và Đối tác sẽ chịu trách nhiệm phản hồi yêu cầu đó (nếu yêu cầu không được gửi thông qua Công cụ dành cho Chủ thể dữ liệu).
9.2 Biện pháp hỗ trợ yêu cầu của Chủ thể dữ liệu của Jibe. Jibe sẽ hỗ trợ Đối tác (hoặc trong trường hợp Đối tác là đơn vị xử lý, thì là đơn vị kiểm soát có liên quan) thực hiện các nghĩa vụ theo GDPR để phản hồi các yêu cầu thực thi quyền của chủ thể dữ liệu, trong mọi trường hợp, có tính đến bản chất của việc xử lý Dữ liệu cá nhân của Đối tác và nếu có, thì cả Điều 11 của GDPR, bao gồm (nếu có):
(a) cung cấp chức năng của Dịch vụ bộ xử lý;
(b) tuân thủ các cam kết trong Mục 9.1 (Phản hồi yêu cầu của chủ thể dữ liệu); và
(c) cung cấp Công cụ dành cho chủ thể dữ liệu (nếu có áp dụng cho Dịch vụ của đơn vị xử lý).
9.3 Chỉnh sửa. Nếu biết rằng Dữ liệu cá nhân bất kỳ của Đối tác là không chính xác hoặc đã lỗi thời, thì Đối tác sẽ chịu trách nhiệm chỉnh sửa hoặc xoá dữ liệu đó theo yêu cầu của Luật bảo vệ dữ liệu của Châu Âu, bao gồm cả (nếu thích hợp) bằng cách sử dụng chức năng của Dịch vụ của đơn vị xử lý.
10. Hoạt động chuyển dữ liệu
10.1 Cơ sở lưu trữ và xử lý dữ liệu. Theo phần còn lại của Mục 10 (Chuyển dữ liệu) này, Jibe có thể xử lý Dữ liệu cá nhân của Đối tác ở bất kỳ quốc gia nào mà Jibe hoặc bất kỳ Đơn vị xử lý phụ nào của Jibe có cơ sở vật chất.
10.2 Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu. Các bên xác nhận rằng Luật bảo vệ dữ liệu của Châu Âu không yêu cầu SCC hoặc Giải pháp chuyển dữ liệu thay thế để xử lý Dữ liệu cá nhân của Đối tác ở hoặc chuyển dữ liệu đó đến một Quốc gia thoả mãn điều kiện.
Nếu Dữ liệu cá nhân của Đối tác được chuyển đến bất kỳ quốc gia nào khác và Luật bảo vệ dữ liệu ở Châu Âu áp dụng cho các hoạt động chuyển dữ liệu đó ("Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu"), thì:
(a) nếu Jibe sử dụng Giải pháp chuyển dữ liệu thay thế cho mọi Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu, thì Jibe sẽ thông báo cho Đối tác về giải pháp có liên quan và đảm bảo rằng các Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu đó được thực hiện theo giải pháp đó; và/hoặc
(b) nếu Jibe chưa sử dụng hoặc thông báo cho Đối tác rằng Jibe không còn sử dụng Giải pháp chuyển giao thay thế cho mọi Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu, thì:
(i) nếu địa chỉ của Jibe nằm ở một Quốc gia đủ điều kiện:
(A) SCC (Đơn vị xử lý với đơn vị xử lý, Đơn vị xuất dữ liệu của Jibe) sẽ áp dụng đối với các Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu như vậy từ Jibe đến Đơn vị xử lý phụ; và
(B) ngoài ra, nếu địa chỉ của Đối tác không nằm ở một Quốc gia đủ điều kiện, thì SCC (Đơn vị xử lý với Đơn vị kiểm soát) sẽ áp dụng cho các Lượt chuyển bị hạn chế ở Châu Âu giữa Jibe và Đối tác (bất kể Đối tác có phải là Đơn vị kiểm soát và/hoặc Đơn vị xử lý hay không); hoặc
(ii) nếu địa chỉ của Jibe không nằm ở một Quốc gia đủ điều kiện:
SCC (Đơn vị kiểm soát với đơn vị xử lý) và/hoặc SCC (Đơn vị xử lý với đơn vị xử lý) sẽ áp dụng (tuỳ thuộc vào việc Đối tác là đơn vị kiểm soát và/hoặc đơn vị xử lý) đối với các hoạt động Chuyển dữ liệu bị hạn chế ở Châu Âu giữa Đối tác và Jibe; và
(c) các nội dung tham chiếu đến Google LLC hoặc Google và đến Bạn trong bất kỳ SCC nào sẽ lần lượt là đến Jibe và Đối tác.
10.3 Biện pháp và thông tin bổ sung. Jibe sẽ cung cấp cho Đối tác thông tin liên quan đến Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu, bao gồm cả thông tin về các biện pháp bổ sung để bảo vệ Dữ liệu cá nhân của Đối tác, như mô tả trong Mục 7.5.1 (Xem xét tài liệu bảo mật), Phụ lục 2 (Biện pháp bảo mật) và các tài liệu khác liên quan đến bản chất của Dịch vụ của đơn vị xử lý và việc xử lý Dữ liệu cá nhân của Đối tác (ví dụ: bài viết trên trung tâm trợ giúp).
10.4 Chấm dứt. Nếu Đối tác kết luận, dựa trên việc sử dụng hiện tại hoặc dự định của mình đối với Dịch vụ của đơn vị xử lý, rằng Giải pháp chuyển đổi thay thế và/hoặc SCC (nếu có) không cung cấp biện pháp bảo vệ thích hợp cho Dữ liệu cá nhân của Đối tác, thì Đối tác có thể chấm dứt ngay Thoả thuận này để thuận tiện bằng cách thông báo cho Jibe bằng văn bản.
10.5 Thông tin về trung tâm dữ liệu. Bạn có thể xem thông tin về vị trí đặt các trung tâm dữ liệu của Google LLC tại www.google.com/about/datacenters/locations/index.html.
11. Đơn vị xử lý phụ
11.1 Đồng ý với việc sử dụng đơn vị xử lý phụ. Đối tác uỷ quyền cụ thể cho việc tham gia của các Đơn vị xử lý phụ được liệt kê trong Mục 11.2 (Thông tin về Đơn vị xử lý phụ) kể từ Ngày có hiệu lực của Điều khoản. Ngoài ra, Đối tác thường uỷ quyền cho bất kỳ bên thứ ba nào khác làm Nhà cung cấp dịch vụ phụ ("Nhà cung cấp dịch vụ phụ mới"), tuân theo Mục 11.4 (Cơ hội phản đối các thay đổi đối với Nhà cung cấp dịch vụ phụ).
11.2 Thông tin về đơn vị xử lý phụ. Theo yêu cầu bằng văn bản của Đối tác, Jibe sẽ cung cấp thông tin về Bên xử lý phụ và vị trí của họ. Mọi yêu cầu như vậy phải được gửi đến Jibe bằng thông tin liên hệ nêu trong Mục 12.1 (Liên hệ với Jibe).
11.3 Yêu cầu đối với việc sử dụng đơn vị xử lý phụ. Khi giao dịch với một Nhà xử lý phụ bất kỳ, Jibe sẽ:
(a) đảm bảo thông qua hợp đồng bằng văn bản rằng:
(i) Đơn vị xử lý phụ chỉ truy cập và sử dụng Dữ liệu cá nhân của Đối tác trong phạm vi cần thiết để thực hiện các nghĩa vụ được giao thầu phụ và thực hiện việc này theo Thoả thuận (bao gồm cả Phụ lục về việc xử lý dữ liệu này); và
(ii) nếu việc xử lý Dữ liệu cá nhân của Đối tác phải tuân thủ Luật bảo vệ dữ liệu của Châu Âu, thì các nghĩa vụ bảo vệ dữ liệu trong Phụ lục về việc xử lý dữ liệu này (như được đề cập trong Điều 28(3) của GDPR, nếu có) sẽ được áp dụng cho Đơn vị xử lý phụ; và
(b) hoàn toàn chịu trách nhiệm pháp lý đối với tất cả nghĩa vụ đã ký kết trong hợp đồng phụ, cũng như mọi hành vi và thiếu sót của Nhà xử lý phụ.
11.4 Cơ hội phản đối các thay đổi đối với đơn vị xử lý phụ.
(a) Nếu có bất kỳ Bên xử lý phụ mới nào được tham gia trong Thời hạn, thì ít nhất 30 ngày trước khi Bên xử lý phụ mới xử lý bất kỳ Dữ liệu cá nhân nào của Đối tác, Jibe sẽ thông báo cho Đối tác về việc tham gia (bao gồm tên và vị trí của bên xử lý phụ có liên quan cũng như các hoạt động mà bên xử lý phụ đó sẽ thực hiện) bằng cách gửi email đến Địa chỉ email thông báo.
(b) Đối tác có thể phản đối bất kỳ Nhà cung cấp dịch vụ phụ mới nào bằng cách chấm dứt Thoả thuận ngay lập tức sau khi gửi thông báo bằng văn bản cho Jibe, với điều kiện là Đối tác gửi thông báo đó trong vòng 90 ngày kể từ khi được thông báo về việc tham gia của Nhà cung cấp dịch vụ phụ mới như mô tả trong Mục 11.4(a).
12. Liên hệ với Jibe; Xử lý bản ghi
12.1 Liên hệ với Jibe. Khi thực thi các quyền của mình theo Phụ lục về việc xử lý dữ liệu này, Đối tác có thể liên hệ với Jibe thông qua thông tin liên hệ về việc bảo vệ dữ liệu RCS của Jibe. Bạn có thể liên hệ với họ qua issuetracker.google.com hoặc thông qua các phương thức khác mà Jibe có thể cung cấp.
12.2 Hồ sơ xử lý của Jibe. Jibe sẽ lưu giữ tài liệu phù hợp về các hoạt động xử lý của mình theo yêu cầu của GDPR. Đối tác xác nhận rằng theo GDPR, Jibe phải: (a) thu thập và duy trì hồ sơ về một số thông tin nhất định, bao gồm: (i) tên và thông tin liên hệ của từng đơn vị xử lý và/hoặc đơn vị kiểm soát mà Jibe thay mặt cho họ hoạt động và (nếu có) của người đại diện địa phương và nhân viên bảo vệ dữ liệu của đơn vị xử lý hoặc đơn vị kiểm soát đó, và (ii) nếu có theo các Điều khoản SCC có liên quan, Cơ quan giám sát của Đối tác; và (b) cung cấp thông tin đó cho bất kỳ Cơ quan giám sát nào. Theo đó, khi được yêu cầu và nếu thích hợp, Đối tác sẽ cung cấp thông tin đó cho Jibe thông qua giao diện người dùng của Dịch vụ bộ xử lý hoặc bằng các phương thức khác mà có thể Jibe cung cấp, đồng thời sẽ sử dụng giao diện người dùng đó hoặc các phương thức khác để đảm bảo rằng tất cả thông tin được cung cấp đều là thông tin chính xác và mới nhất.
12.3 Yêu cầu của tay điều khiển. Nếu nhận được yêu cầu hoặc hướng dẫn của một bên thứ ba tự xưng là đơn vị kiểm soát Dữ liệu cá nhân của Đối tác, thì Jibe sẽ đề nghị bên thứ ba đó liên hệ với Đối tác.
13. Trách nhiệm pháp lý
Nếu Thoả thuận chịu sự điều chỉnh của luật pháp tại:
(a) một tiểu bang của Hợp chúng quốc Hoa Kỳ, thì bất kể nội dung nào khác trong Thoả thuận, tổng trách nhiệm pháp lý của một bên đối với bên kia theo hoặc liên quan đến Phụ lục về việc xử lý dữ liệu này sẽ được giới hạn ở số tiền tối đa bằng tiền hoặc dựa trên khoản thanh toán mà trách nhiệm pháp lý của bên đó được giới hạn theo Thoả thuận (do đó, mọi trường hợp loại trừ các khiếu nại về việc bảo mật hoặc bồi thường khỏi giới hạn trách nhiệm pháp lý của Thoả thuận sẽ không áp dụng cho các khiếu nại theo Thoả thuận liên quan đến Luật bảo vệ dữ liệu của Châu Âu hoặc Luật bảo vệ dữ liệu không phải của Châu Âu); hoặc
(b) một khu vực tài phán không thuộc một tiểu bang của Hoa Kỳ, thì toàn bộ trách nhiệm pháp lý gộp của các bên và các đơn vị liên kết của họ theo hoặc liên quan đến Phụ lục về việc xử lý dữ liệu này sẽ tuân theo Thoả thuận.
14. Hiệu lực của Phụ lục về cách xử lý dữ liệu này
14.1 Thứ tự ưu tiên. Nếu có bất kỳ xung đột hoặc điểm không nhất quán nào giữa các Điều khoản tiêu chuẩn trong hợp đồng (SCC), Điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu, Phụ lục về việc xử lý dữ liệu này và phần còn lại của Thoả thuận, thì thứ tự ưu tiên sau đây sẽ được áp dụng:
(a) SCC;
(b) Các điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu;
(c) phần còn lại của Phụ lục về cách xử lý dữ liệu này; và
(d) phần còn lại của Thoả thuận.
Theo nội dung sửa đổi trong Phụ lục về việc xử lý dữ liệu này, Thoả thuận vẫn có đầy đủ hiệu lực.
14.2 Không sửa đổi SCC. Không có nội dung nào trong Thoả thuận (bao gồm cả Phụ lục về cách xử lý dữ liệu này) được dùng để sửa đổi hoặc có mâu thuẫn với bất kỳ Điều khoản tiêu chuẩn nào trong hợp đồng (SCC) hoặc làm giảm các quyền cơ bản hay quyền tự do của các chủ thể dữ liệu theo Luật bảo vệ dữ liệu ở Châu Âu.
14.3 Không ảnh hưởng đến Điều khoản của đơn vị kiểm soát. Phụ lục về việc xử lý dữ liệu này sẽ không ảnh hưởng đến bất kỳ điều khoản riêng nào giữa Jibe và Đối tác phản ánh mối quan hệ giữa đơn vị kiểm soát với đơn vị kiểm soát đối với một dịch vụ không phải là Dịch vụ của đơn vị xử lý.
14.4 Các SCC cũ của Vương quốc Anh. Kể từ ngày 21 tháng 9 năm 2022 hoặc ngày có hiệu lực của Thoả thuận (tuỳ thời điểm nào đến sau), các điều khoản bổ sung của SCC về việc chuyển dữ liệu theo GDPR của Vương quốc Anh sẽ được áp dụng, đồng thời sẽ thay thế và chấm dứt mọi điều khoản hợp đồng tiêu chuẩn được phê duyệt theo GDPR của Vương quốc Anh và Đạo luật bảo vệ dữ liệu năm 2018 mà Đối tác và Jibe đã ký trước đó ("Các điều khoản SCC cũ của Vương quốc Anh"). Mục 14.4 này (Các SCC cũ của Vương quốc Anh) sẽ không ảnh hưởng đến quyền của một trong hai bên hoặc quyền của bất kỳ chủ thể dữ liệu nào có thể đã phát sinh theo Các SCC cũ của Vương quốc Anh trong thời gian các SCC đó có hiệu lực.
15. Nội dung thay đổi đối với Phụ lục về cách xử lý dữ liệu này
15.1 Thay đổi đối với URL. Đôi khi, Jibe có thể thay đổi bất kỳ URL nào được tham chiếu trong Phụ lục về cách xử lý dữ liệu này và nội dung tại bất kỳ URL nào như vậy, ngoại trừ việc Jibe chỉ có thể thay đổi SCC theo Mục 15.2(b) – 15.2(d) (Thay đổi đối với Phụ lục về cách xử lý dữ liệu) hoặc để đưa vào bất kỳ phiên bản mới nào của SCC có thể được áp dụng theo Luật bảo vệ dữ liệu ở Châu Âu, trong mỗi trường hợp theo cách không ảnh hưởng đến tính hợp lệ của SCC theo Luật bảo vệ dữ liệu ở Châu Âu.
15.2 Thay đổi đối với Phụ lục về cách xử lý dữ liệu. Jibe có thể thay đổi Phụ lục về cách xử lý dữ liệu này nếu thay đổi đó:
(a) được cho phép rõ ràng trong Phụ lục về cách xử lý dữ liệu này, bao gồm cả nội dung được mô tả trong Mục 15.1 (Các thay đổi đối với URL);
(b) phản ánh việc thay đổi tên hoặc hình thức của một pháp nhân;
(c) là cần thiết để tuân thủ luật, quy định hiện hành, lệnh toà hoặc hướng dẫn của cơ quan quản lý hoặc cơ quan chính phủ, hoặc phản ánh việc Jibe sử dụng Giải pháp chuyển dữ liệu thay thế; hoặc
(d) không (i) làm giảm mức độ bảo mật tổng thể của Dịch vụ của đơn vị xử lý; (ii) mở rộng phạm vi hoặc loại bỏ bất kỳ quy định hạn chế nào đối với (x) trong trường hợp Điều khoản bổ sung cho Luật bảo vệ dữ liệu không phải của Châu Âu, quyền của Jibe trong việc sử dụng hoặc xử lý dữ liệu trong phạm vi Điều khoản bổ sung cho Luật bảo vệ dữ liệu không phải của Châu Âu hoặc (y) trong trường hợp phần còn lại của Phụ lục về cách xử lý dữ liệu này, việc xử lý Dữ liệu cá nhân của Đối tác của Jibe, như mô tả trong Mục 5.3 (Tuân thủ hướng dẫn của Jibe); và (iii) không gây ảnh hưởng bất lợi đáng kể đến quyền của Đối tác theo Phụ lục về cách xử lý dữ liệu này, như được Jibe xác định một cách hợp lý.
15.3 Thông báo về các thay đổi. Nếu Jibe có ý định thay đổi Phụ lục về việc xử lý dữ liệu này theo Mục 15.2(c) hoặc (d), thì Jibe sẽ thông báo cho Đối tác ít nhất 30 ngày (hoặc khoảng thời gian ngắn hơn có thể cần thiết để tuân thủ luật hiện hành, quy định hiện hành, lệnh toà hoặc hướng dẫn do cơ quan hoặc cơ quan quản lý của chính phủ ban hành) trước khi thay đổi có hiệu lực bằng cách: (a) gửi email đến Địa chỉ email thông báo; hoặc (b) thông báo cho Đối tác thông qua giao diện người dùng cho Dịch vụ của đơn vị xử lý. Nếu phản đối bất kỳ thay đổi nào như vậy, Đối tác có thể chấm dứt Thoả thuận để thuận tiện bằng cách gửi thông báo bằng văn bản cho Jibe trong vòng 90 ngày kể từ khi Jibe thông báo về thay đổi đó.
Phụ lục 1: Chủ đề và thông tin chi tiết về việc xử lý dữ liệu
Tiêu đề
Jibe cung cấp Dịch vụ của đơn vị xử lý và mọi dịch vụ hỗ trợ kỹ thuật có liên quan cho Đối tác.
Thời gian xử lý
Thời hạn cộng với khoảng thời gian từ khi kết thúc Thời hạn cho đến khi Jibe xoá tất cả Dữ liệu cá nhân của Đối tác theo Phụ lục về việc xử lý dữ liệu này.
Bản chất và mục đích của việc xử lý
Jibe sẽ xử lý Dữ liệu cá nhân của Đối tác, bao gồm cả (như áp dụng cho bản chất của Dịch vụ của đơn vị xử lý và Hướng dẫn) việc thu thập, ghi lại, sắp xếp, cấu trúc, lưu trữ, thay đổi, truy xuất, sử dụng, tiết lộ, kết hợp, xoá và huỷ bỏ Dữ liệu cá nhân của Đối tác cho mục đích cung cấp Dịch vụ của đơn vị xử lý và mọi dịch vụ hỗ trợ kỹ thuật liên quan cho Đối tác theo Phụ lục về việc xử lý dữ liệu này.
Các loại dữ liệu cá nhân
Dữ liệu cá nhân liên quan đến các cá nhân do Đối tác (hoặc theo hướng dẫn của Đối tác) hoặc người dùng cuối của Đối tác cung cấp cho Jibe thông qua Dịch vụ xử lý.
Danh mục chủ thể dữ liệu
Chủ thể dữ liệu bao gồm những cá nhân mà dữ liệu được cung cấp cho Jibe thông qua Dịch vụ của đơn vị xử lý (hoặc theo hướng dẫn của) hoặc do Đối tác cung cấp.
Phụ lục 2: Các biện pháp bảo mật
Kể từ Ngày có hiệu lực của Điều khoản, Jibe sẽ triển khai và duy trì các biện pháp bảo mật trong Phụ lục 2 này. Tuỳ từng thời điểm, Jibe có thể cập nhật hoặc sửa đổi các Biện pháp bảo mật đó, miễn là những bản cập nhật và sửa đổi đó không làm giảm tính bảo mật tổng thể của Dịch vụ xử lý.
1. Bảo mật mạng và trung tâm dữ liệu
(a) Trung tâm dữ liệu.
Cơ sở hạ tầng. Jibe duy trì các trung tâm dữ liệu được phân bổ theo vị trí địa lý. Jibe lưu trữ tất cả dữ liệu sản xuất trong các trung tâm dữ liệu an toàn về mặt vật lý.
Sự dư thừa. Các hệ thống cơ sở hạ tầng được thiết kế để loại bỏ các điểm lỗi và giảm thiểu tác động của các rủi ro môi trường dự kiến. Mạch kép, nút chuyển, mạng hoặc các thiết bị cần thiết khác giúp cung cấp tính năng dự phòng này. Dịch vụ bộ xử lý được thiết kế để cho phép Jibe thực hiện một số loại bảo trì phòng ngừa và khắc phục mà không bị gián đoạn. Tất cả thiết bị và cơ sở vật chất môi trường đều có quy trình bảo trì phòng ngừa được ghi lại, trong đó nêu chi tiết quy trình và tần suất thực hiện theo thông số kỹ thuật nội bộ hoặc của nhà sản xuất. Hoạt động bảo trì phòng ngừa và khắc phục thiết bị trung tâm dữ liệu được lên lịch thông qua quy trình tiêu chuẩn theo các quy trình được ghi nhận.
Nguồn điện. Hệ thống điện của trung tâm dữ liệu được thiết kế để dự phòng và có thể bảo trì mà không ảnh hưởng đến hoạt động liên tục, 24 giờ mỗi ngày và 7 ngày mỗi tuần. Trong hầu hết các trường hợp, nguồn điện chính cũng như nguồn điện dự phòng, mỗi nguồn có công suất bằng nhau, được cung cấp cho các thành phần cơ sở hạ tầng quan trọng trong trung tâm dữ liệu. Nguồn điện dự phòng được cung cấp bởi nhiều cơ chế, chẳng hạn như pin nguồn cung cấp điện không gián đoạn (UPS). Pin này cung cấp nguồn điện bảo vệ đáng tin cậy một cách nhất quán trong các điều kiện điện áp thấp, điện áp cao, mất điện cục bộ, mất điện toàn bộ, tần số vượt quá giới hạn cho phép. Nếu nguồn điện công cộng bị gián đoạn, nguồn điện dự phòng được thiết kế để cung cấp nguồn điện tạm thời cho trung tâm dữ liệu, ở mức công suất tối đa, trong tối đa 10 phút cho đến khi hệ thống máy phát dự phòng tiếp quản. Các máy phát điện có thể tự động khởi động trong vòng vài giây để cung cấp đủ nguồn điện dự phòng cho việc vận hành trung tâm dữ liệu ở công suất tối đa, thường là trong vài ngày.
Hệ điều hành máy chủ. Máy chủ Jibe sử dụng các hệ điều hành được tăng cường được tuỳ chỉnh cho nhu cầu riêng của máy chủ của doanh nghiệp. Dữ liệu được lưu trữ bằng các thuật toán độc quyền để tăng cường tính bảo mật và tính dự phòng của dữ liệu. Jibe triển khai quy trình đánh giá mã nguồn để nâng cao mức độ an toàn của mã nguồn dùng để cung cấp Dịch vụ bộ xử lý và tăng cường mức độ an toàn của sản phẩm trong môi trường thực tế.
Duy trì hoạt động kinh doanh. Jibe sao chép dữ liệu trên nhiều hệ thống để giúp bảo vệ khỏi việc vô tình huỷ bỏ hoặc mất dữ liệu. Jibe đã thiết kế và thường xuyên lên kế hoạch cũng như kiểm thử các chương trình lập kế hoạch duy trì hoạt động kinh doanh liên tục/khôi phục sau thảm hoạ.
Công nghệ mã hoá. Chính sách bảo mật của Jibe yêu cầu phải mã hoá dữ liệu tĩnh cho tất cả dữ liệu người dùng, bao gồm cả dữ liệu cá nhân. Dữ liệu thường được mã hoá ở nhiều cấp trong ngăn xếp bộ nhớ sản xuất của Jibe trong các trung tâm dữ liệu, bao gồm cả cấp phần cứng, mà không yêu cầu đối tác hoặc khách hàng phải làm gì cả. Việc sử dụng nhiều lớp mã hoá sẽ tăng cường khả năng bảo vệ dữ liệu dư thừa và cho phép Jibe chọn phương pháp tối ưu dựa trên các yêu cầu của ứng dụng. Tất cả dữ liệu cá nhân đều được mã hoá ở cấp bộ nhớ, thường là bằng AES256. Jibe sử dụng các thư viện mật mã phổ biến kết hợp với mô-đun đã được xác thực theo tiêu chuẩn FIPS 140-2 của Jibe để triển khai mã hoá một cách nhất quán trên các Dịch vụ xử lý.
(b) Mạng và truyền dẫn.
Truyền dữ liệu. Các trung tâm dữ liệu thường được kết nối thông qua các đường liên kết riêng tư tốc độ cao để cung cấp dịch vụ truyền dữ liệu nhanh chóng và an toàn giữa các trung tâm dữ liệu. Phương thức này được thiết kế để ngăn chặn việc đọc, sao chép, thay đổi hoặc xoá dữ liệu mà không được uỷ quyền trong quá trình truyền tải điện tử. Jibe chuyển dữ liệu qua các giao thức tiêu chuẩn của Internet.
Bề mặt tấn công bên ngoài. Jibe sử dụng nhiều lớp thiết bị mạng và phát hiện xâm nhập để bảo vệ bề mặt tấn công bên ngoài. Jibe xem xét các vectơ tấn công tiềm ẩn và tích hợp các công nghệ được xây dựng phù hợp với mục đích vào các hệ thống hướng ra bên ngoài.
Phát hiện xâm nhập. Tính năng phát hiện xâm nhập nhằm cung cấp thông tin chi tiết về các hoạt động tấn công đang diễn ra và cung cấp thông tin đầy đủ để phản hồi các sự cố. Tính năng phát hiện xâm nhập của Jibe bao gồm:
Kiểm soát chặt chẽ kích thước và cấu trúc của bề mặt tấn công của Jibe thông qua các biện pháp phòng ngừa;
Sử dụng các chế độ kiểm soát phát hiện thông minh tại các điểm nhập dữ liệu; và
Sử dụng các công nghệ tự động khắc phục một số tình huống nguy hiểm.
Xử lý sự cố. Jibe theo dõi nhiều kênh liên lạc để phát hiện sự cố bảo mật. Nhân viên bảo mật của Jibe sẽ nhanh chóng phản ứng với các sự cố đã biết.
Công nghệ mã hoá. Jibe cung cấp tính năng mã hoá HTTPS (còn gọi là kết nối TLS). Máy chủ Jibe hỗ trợ trao đổi khoá mật mã Diffie-Hellman dạng đường cong elip ngắn hạn được ký bằng RSA và ECDSA. Các phương thức bảo mật chuyển tiếp hoàn hảo (PFS) này giúp bảo vệ lưu lượng truy cập và giảm thiểu tác động của khoá bị xâm phạm hoặc đột phá mã hoá.
2. Quyền truy cập và chế độ kiểm soát trang web
(a) Chế độ kiểm soát trang web.
Hoạt động bảo mật tại chỗ của trung tâm dữ liệu. Các trung tâm dữ liệu của Jibe duy trì hoạt động bảo mật tại chỗ, chịu trách nhiệm về tất cả chức năng bảo mật trung tâm dữ liệu thực tế 24 giờ mỗi ngày, 7 ngày mỗi tuần. Nhân viên bảo vệ tại chỗ giám sát camera Vòng lặp truyền hình kín ("CCTV") và tất cả hệ thống báo động. Nhân viên bảo vệ tại chỗ thường xuyên tuần tra bên trong và bên ngoài trung tâm dữ liệu.
Quy trình truy cập vào trung tâm dữ liệu. Jibe duy trì các quy trình truy cập chính thức để cho phép truy cập thực tế vào các trung tâm dữ liệu. Các trung tâm dữ liệu được đặt trong các cơ sở vật chất yêu cầu sử dụng khoá thẻ điện tử để truy cập, với chuông báo được liên kết với hoạt động bảo mật tại chỗ. Tất cả những người vào trung tâm dữ liệu đều phải tự xác minh cũng như xuất trình giấy tờ tuỳ thân cho các hoạt động bảo mật tại chỗ. Chỉ những nhân viên, nhà thầu và khách truy cập được uỷ quyền mới được phép vào trung tâm dữ liệu. Chỉ những nhân viên và nhà thầu được uỷ quyền mới được phép yêu cầu quyền truy cập bằng khoá thẻ điện tử vào các cơ sở này. Yêu cầu truy cập vào khoá thẻ điện tử của trung tâm dữ liệu phải được gửi trước và bằng văn bản, đồng thời phải được nhân viên trung tâm dữ liệu được uỷ quyền phê duyệt. Tất cả những người khác cần truy cập tạm thời vào trung tâm dữ liệu phải: (i) được các nhà quản lý trung tâm dữ liệu phê duyệt trước đối với trung tâm dữ liệu cụ thể và các khu vực nội bộ mà họ muốn truy cập; (ii) đăng nhập tại các hoạt động bảo mật tại chỗ; và (iii) tham khảo bản ghi truy cập trung tâm dữ liệu đã phê duyệt xác định cá nhân đó đã được phê duyệt.
Thiết bị bảo mật tại chỗ của trung tâm dữ liệu. Trung tâm dữ liệu của Jibe sử dụng khoá thẻ điện tử và hệ thống kiểm soát truy cập sinh trắc học được liên kết với chuông báo hệ thống. Hệ thống kiểm soát truy cập theo dõi và ghi lại khoá thẻ điện tử của từng cá nhân cũng như thời điểm họ truy cập vào các cửa ngoại vi, khu vực vận chuyển và nhận hàng cũng như các khu vực quan trọng khác. Hoạt động trái phép và các lần truy cập không thành công sẽ được hệ thống kiểm soát truy cập ghi lại và điều tra khi thích hợp. Quyền truy cập được uỷ quyền trong toàn bộ hoạt động kinh doanh và trung tâm dữ liệu bị hạn chế dựa trên các khu vực và trách nhiệm công việc của từng cá nhân. Cửa chống cháy tại các trung tâm dữ liệu được gắn chuông báo động. Camera quan sát đang hoạt động cả bên trong và bên ngoài trung tâm dữ liệu. Vị trí của các camera được thiết kế để bao phủ các khu vực chiến lược, bao gồm cả chu vi, cửa vào toà nhà trung tâm dữ liệu và khu vực vận chuyển/nhận hàng. Nhân viên vận hành bảo vệ tại chỗ quản lý thiết bị giám sát, ghi hình và điều khiển của hệ thống camera quan sát. Các cáp bảo mật trong toàn bộ trung tâm dữ liệu kết nối thiết bị CCTV. Máy quay ghi hình tại chỗ thông qua máy ghi hình kỹ thuật số 24 giờ/ngày, 7 ngày/tuần. Bản ghi giám sát được giữ lại ít nhất 7 ngày dựa trên hoạt động.
(b) Kiểm soát quyền truy cập.
Nhân viên bảo mật cơ sở hạ tầng. Jibe có và duy trì chính sách bảo mật cho nhân viên, đồng thời yêu cầu nhân viên tham gia khoá đào tạo về bảo mật trong gói đào tạo. Nhân viên bảo mật cơ sở hạ tầng của Jibe chịu trách nhiệm giám sát liên tục cơ sở hạ tầng bảo mật của Jibe, xem xét Dịch vụ bộ xử lý và ứng phó với các sự cố bảo mật.
Kiểm soát quyền truy cập và quản lý đặc quyền. Quản trị viên và người dùng của đối tác phải tự xác thực bằng hệ thống xác thực tập trung hoặc hệ thống đăng nhập một lần để sử dụng Dịch vụ của trình xử lý.
Quy trình và chính sách về quyền truy cập dữ liệu nội bộ – Chính sách về quyền truy cập. Các quy trình và chính sách truy cập dữ liệu nội bộ của Jibe được thiết kế để ngăn chặn người và/hoặc hệ thống trái phép truy cập vào các hệ thống dùng để xử lý dữ liệu cá nhân. Jibe đặt mục tiêu thiết kế hệ thống của mình để: (i) chỉ cho phép những người được uỷ quyền truy cập vào dữ liệu mà họ được uỷ quyền truy cập; và (ii) đảm bảo rằng không thể đọc, sao chép, thay đổi hoặc xoá dữ liệu cá nhân khi chưa được uỷ quyền trong quá trình xử lý, sử dụng và sau khi ghi lại. Các hệ thống này được thiết kế để phát hiện mọi hành vi truy cập không phù hợp. Jibe sử dụng một hệ thống quản lý quyền truy cập tập trung để kiểm soát quyền truy cập của nhân viên vào máy chủ sản xuất và chỉ cấp quyền truy cập cho một số ít nhân viên được uỷ quyền. LDAP, Kerberos và một hệ thống độc quyền sử dụng chứng chỉ kỹ thuật số được thiết kế để cung cấp cho Jibe các cơ chế truy cập an toàn và linh hoạt. Các cơ chế này được thiết kế để chỉ cấp quyền truy cập đã phê duyệt cho máy chủ lưu trữ trang web, nhật ký, dữ liệu và thông tin cấu hình. Jibe yêu cầu sử dụng mã nhận dạng người dùng duy nhất, mật khẩu mạnh, xác thực hai yếu tố và danh sách quyền truy cập được giám sát cẩn thận để giảm thiểu khả năng sử dụng tài khoản trái phép. Việc cấp hoặc sửa đổi quyền truy cập dựa trên: trách nhiệm công việc của nhân viên được uỷ quyền; các yêu cầu về nhiệm vụ công việc cần thiết để thực hiện các nhiệm vụ được uỷ quyền; và cơ sở cần biết. Việc cấp hoặc sửa đổi quyền truy cập cũng phải tuân thủ các chính sách và chương trình đào tạo nội bộ của Jibe về quyền truy cập dữ liệu. Các yêu cầu phê duyệt được quản lý bằng các công cụ quy trình công việc duy trì hồ sơ kiểm tra của tất cả thay đổi. Hoạt động truy cập vào hệ thống được ghi lại để tạo một dấu vết kiểm tra nhằm đảm bảo trách nhiệm. Khi mật khẩu được dùng để xác thực (ví dụ: đăng nhập vào máy trạm), các chính sách mật khẩu tuân theo ít nhất các phương pháp tiêu chuẩn của ngành sẽ được triển khai. Các tiêu chuẩn này bao gồm cả các quy định hạn chế về việc sử dụng lại mật khẩu và độ mạnh mật khẩu đủ.
3. Dữ liệu
(a) Lưu trữ, tách biệt và xác thực dữ liệu.
Jibe lưu trữ dữ liệu trong môi trường đa người dùng trên các máy chủ thuộc sở hữu của Google LLC. Dữ liệu, cơ sở dữ liệu Dịch vụ bộ xử lý và cấu trúc hệ thống tệp được sao chép giữa nhiều trung tâm dữ liệu phân tán theo vị trí địa lý. Jibe tách riêng dữ liệu của từng đối tác hoặc khách hàng một cách hợp lý. Hệ thống xác thực trung tâm được sử dụng trên tất cả Dịch vụ bộ xử lý để tăng cường tính bảo mật đồng nhất của dữ liệu.
(b) Nguyên tắc về ổ đĩa đã ngừng hoạt động và huỷ bỏ ổ đĩa.
Một số ổ đĩa chứa dữ liệu có thể gặp vấn đề về hiệu suất, lỗi hoặc lỗi phần cứng khiến chúng bị ngừng hoạt động ("Ổ đĩa ngừng hoạt động"). Mọi Ổ đĩa đã ngừng hoạt động đều phải trải qua một loạt quy trình huỷ dữ liệu ("Nguyên tắc huỷ dữ liệu") trước khi rời khỏi cơ sở của Jibe để tái sử dụng hoặc huỷ. Các ổ đĩa đã ngừng hoạt động sẽ được xoá theo quy trình nhiều bước và được ít nhất hai trình xác thực độc lập xác minh hoàn tất. Kết quả xoá được ghi lại theo số sê-ri của Ổ đĩa đã ngừng hoạt động để theo dõi. Cuối cùng, Ổ đã ngừng hoạt động đã bị xoá sẽ được phát hành vào khoảng không quảng cáo để sử dụng lại và triển khai lại. Nếu không thể xoá Đĩa đã ngừng hoạt động do lỗi phần cứng, thì đĩa đó sẽ được lưu trữ an toàn cho đến khi có thể huỷ bỏ. Mỗi cơ sở đều được kiểm tra thường xuyên để theo dõi việc tuân thủ Hướng dẫn huỷ bỏ dữ liệu.
(c) Dữ liệu gán biệt danh.
Dữ liệu quảng cáo trực tuyến thường được liên kết với các giá trị nhận dạng trực tuyến mà bản thân chúng được coi là "tên giả" (tức là không thể phân bổ cho một cá nhân cụ thể nếu không sử dụng thông tin bổ sung). Jibe có một bộ chính sách mạnh mẽ cũng như các biện pháp kiểm soát kỹ thuật và tổ chức để đảm bảo sự tách biệt giữa dữ liệu tên giả và thông tin nhận dạng cá nhân của người dùng (tức là thông tin có thể dùng để xác định trực tiếp, liên hệ hoặc định vị chính xác một cá nhân), chẳng hạn như dữ liệu tài khoản Jibe của người dùng. Chính sách của Jibe chỉ cho phép luồng thông tin giữa dữ liệu nhận dạng cá nhân và dữ liệu có tên giả trong những trường hợp hạn chế nghiêm ngặt.
(d) Ra mắt bài đánh giá.
Jibe tiến hành đánh giá trước khi ra mắt các sản phẩm và tính năng mới. Quy trình này bao gồm cả việc đánh giá quyền riêng tư do các kỹ sư về quyền riêng tư đã qua đào tạo đặc biệt thực hiện. Trong quy trình đánh giá quyền riêng tư, các kỹ sư về quyền riêng tư đảm bảo rằng tất cả chính sách và nguyên tắc hiện hành của Jibe đều được tuân thủ, bao gồm nhưng không giới hạn ở các chính sách liên quan đến việc sử dụng tên đại diện, giữ lại và xoá dữ liệu.
4. Bảo mật nhân sự
Nhân viên của Jibe phải hành xử theo cách nhất quán với các nguyên tắc của công ty về tính bảo mật, đạo đức kinh doanh, cách sử dụng phù hợp và tiêu chuẩn chuyên nghiệp. Jibe tiến hành kiểm tra lý lịch một cách hợp lý trong phạm vi pháp luật cho phép và theo luật lao động hiện hành cũng như các quy định theo luật định.
Nhân viên phải thực thi thoả thuận bảo mật và phải xác nhận đã nhận được cũng như tuân thủ chính sách bảo mật và quyền riêng tư của Jibe. Nhân viên được đào tạo về bảo mật. Những nhân viên xử lý Dữ liệu cá nhân của Đối tác phải hoàn tất các yêu cầu bổ sung phù hợp với vai trò của họ. Nhân viên của Jibe sẽ không xử lý Dữ liệu cá nhân của đối tác nếu không được uỷ quyền.
5. Bảo mật của đơn vị xử lý phụ
Trước khi đưa vào sử dụng Nhà cung cấp dịch vụ phụ trợ, Jibe sẽ kiểm tra các phương pháp bảo mật và quyền riêng tư của Nhà cung cấp dịch vụ phụ trợ để đảm bảo rằng Nhà cung cấp dịch vụ phụ trợ cung cấp mức độ bảo mật và quyền riêng tư phù hợp với quyền truy cập của họ vào dữ liệu và phạm vi dịch vụ mà họ được yêu cầu cung cấp. Sau khi Jibe đánh giá các rủi ro do Nhà cung cấp dịch vụ phụ trình bày, Nhà cung cấp dịch vụ phụ phải ký các điều khoản hợp đồng thích hợp về bảo mật, tính bảo mật và quyền riêng tư, tuân theo các yêu cầu trong Mục 11.3 (Yêu cầu đối với việc tham gia của Nhà cung cấp dịch vụ phụ).
Phụ lục 3: Các điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu
Các điều khoản bổ sung sau đây cho Luật bảo vệ dữ liệu bên ngoài Châu Âu sẽ bổ sung cho Phụ lục về việc xử lý dữ liệu này:
- Phụ lục về đơn vị xử lý theo Luật chung về việc bảo vệ dữ liệu cá nhân (LGPD) tại business.safety.google/processorterms/lgpd (ngày 27 tháng 8 năm 2020)
- Phụ lục theo luật của tiểu bang ở Hoa Kỳ tại business.safety.google/processorterms/us-state-laws (có hiệu lực từ ngày 12 tháng 12 năm 2022)
Các nội dung tham chiếu đến Google LLC hoặc Google trong Phụ lục dành cho đơn vị xử lý theo LGPD và Phụ lục dành cho Luật tiểu bang của Hoa Kỳ sẽ là đến Jibe.
Phụ lục về cách xử lý dữ liệu của Jibe, Phiên bản 4.0