Phụ lục về cách xử lý dữ liệu

Lần sửa đổi gần đây nhất: ngày 8 tháng 8 năm 2023 | Các phiên bản trước

Jibe và đối tác đồng ý với phụ lục này ("Partner") đã ký thỏa thuận về việc cung cấp Dịch vụ của Đơn vị xử lý (được sửa đổi tuỳ từng thời điểm, "Thoả thuận").

Phụ lục về cách xử lý dữ liệu này (bao gồm cả phụ lục, "Phụ lục về cách xử lý dữ liệu") do Jibe và Đối tác ký kết để bổ sung cho Thoả thuận. Phụ lục về cách xử lý dữ liệu này sẽ có hiệu lực và thay thế mọi điều khoản áp dụng trước đó liên quan đến vấn đề này (bao gồm mọi điều khoản xử lý dữ liệu và bảo mật liên quan đến Dịch vụ của đơn vị xử lý), kể từ Ngày điều khoản có hiệu lực.

Nếu chấp nhận Phụ lục về việc xử lý dữ liệu này thay mặt cho Đối tác, bạn sẽ đảm bảo rằng: (a) bạn có đầy đủ thẩm quyền pháp lý để ràng buộc Đối tác vào Phụ lục về việc xử lý dữ liệu này; (b) bạn đã đọc và hiểu Phụ lục về cách xử lý dữ liệu này; và (c) bạn thay mặt cho Đối tác đồng ý với Phụ lục về việc xử lý dữ liệu này. Nếu bạn không có quyền hạn pháp lý để ràng buộc Đối tác, vui lòng không chấp nhận Phụ lục về cách xử lý dữ liệu này.

1. Giới thiệu

Phụ lục về cách xử lý dữ liệu này phản ánh thỏa thuận của các bên về các điều khoản quản lý việc xử lý và bảo mật một số dữ liệu nhất định liên quan đến Luật pháp bảo vệ dữ liệu của Châu Âu và Luật bảo vệ dữ liệu bên ngoài Châu Âu.

2. Định nghĩa và diễn giải

2.1 Trong Phụ lục về xử lý dữ liệu này:

"Sản phẩm bổ sung" là một sản phẩm, dịch vụ hoặc ứng dụng do Jibe hoặc bên thứ ba cung cấp mà:

"Các điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu" là các điều khoản bổ sung được đề cập trong Phụ lục 3, phản ánh thỏa thuận của các bên về các điều khoản chi phối việc xử lý một số dữ liệu liên quan đến Luật bảo vệ dữ liệu bên ngoài Châu Âu.

"Quốc gia thoả mãn điều kiện" là:

(a) đối với dữ liệu được xử lý theo Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu (viết tắt là GDPR EU): Khu vực kinh tế Châu Âu (EEA) hoặc một quốc gia/lãnh thổ được công nhận là đảm bảo việc bảo vệ dữ liệu ở mức độ thoả đáng theo GDPR EU;

(b) đối với dữ liệu được xử lý theo Quy định chung về bảo vệ dữ liệu của Vương quốc Anh (GDPR):

c

"Giải pháp chuyển dữ liệu thay thế" là một giải pháp (không phải SCC) cho phép chuyển dữ liệu cá nhân đến một quốc gia thứ ba theo Luật bảo vệ dữ liệu của Châu Âu, chẳng hạn như khung bảo vệ dữ liệu được công nhận là đảm bảo rằng các thực thể địa phương tham gia sẽ bảo vệ đầy đủ.

"Sự cố dữ liệu" là hành vi vi phạm bảo mật của Jibe, dẫn đến việc do. "Sự cố dữ liệu" sẽ không bao gồm các nỗ lực hoặc hoạt động không thành công mà không ảnh hưởng đến tính bảo mật của Dữ liệu cá nhân của đối tác, bao gồm các lần đăng nhập không thành công, ping, quét cổng, tấn công từ chối dịch vụ và các cuộc tấn công mạng khác vào tường lửa hoặc hệ thống được nối mạng.

"Công cụ Đối tượng dữ liệu" là một công cụ (nếu có) do Jibe Entity cung cấp cho các đối tượng dữ liệu cho phép Jibe phản hồi trực tiếp và chuẩn hóa một số yêu cầu nhất định của các đối tượng dữ liệu liên quan đến Dữ liệu cá nhân của đối tác (ví dụ: chế độ cài đặt quảng cáo trực tuyến hoặc trình bổ trợ chọn không tham gia trình duyệt).

"EEA" là Khu vực kinh tế Châu Âu.

"Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu" là Quy định (EU) 2016/679 của Nghị viện Châu Âu và của Hội đồng ngày 27 tháng 4 năm 2016 về việc bảo vệ thể nhân có liên quan đến việc xử lý dữ liệu cá nhân và việc di chuyển tự do dữ liệu này, đồng thời bãi bỏ Chỉ thị 95/46/EC.

"Luật bảo vệ dữ liệu của Châu Âu" là (tùy từng trường hợp áp dụng): (a) GDPR; và/hoặc (b) FDPA Thuỵ Sĩ.

"Luật Châu Âu" có nghĩa là, tùy từng trường hợp áp dụng: (a) Luật của Liên minh Châu Âu hoặc Quốc gia thành viên của Liên minh Châu Âu (nếu Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu áp dụng cho việc xử lý Dữ liệu cá nhân của đối tác); và/hoặc (b) luật của Vương quốc Anh hoặc một phần của Vương quốc Anh (nếu GDPR (Quy định chung về bảo vệ dữ liệu) của Vương quốc Anh áp dụng cho việc xử lý Dữ liệu cá nhân của đối tác).

"GDPR" (nếu có) là: (a) GDPR EU; và/hoặc (b) GDPR UK.

"Jibe" là Pháp nhân của Jibe là bên tham gia Thỏa thuận này.

"Pháp nhân Jibe" có nghĩa là Jibe Mobile, Inc, Jibe Mobile Limited hoặc bất kỳ pháp nhân nào khác kiểm soát trực tiếp hoặc gián tiếp, do Jibe Mobile, Inc. kiểm soát hoặc dưới sự kiểm soát chung.

"Chứng nhận ISO 27001" là chứng nhận ISO/IEC 27001:2013 hoặc chứng nhận tương đương cho Dịch vụ của đơn vị xử lý.

"Bộ xử lý phụ mới" có nghĩa như đã nêu trong Phần 11.1 (Sự đồng ý đối với Mức độ tương tác của đơn vị xử lý phụ).

"Luật bảo vệ dữ liệu bên ngoài Châu Âu" có nghĩa là luật pháp bảo vệ dữ liệu hoặc quyền riêng tư có hiệu lực bên ngoài Khu vực kinh tế Châu Âu, Thụy Sĩ và Vương quốc Anh.

"Địa chỉ email thông báo" là địa chỉ email (nếu có): (i) do Đối tác cung cấp cho Jibe hoặc (ii) do Đối tác chỉ định, thông qua giao diện người dùng của Dịch vụ xử lý hoặc các phương thức khác do Jibe cung cấp để nhận thông báo của Jibe liên quan đến Phụ lục về cách xử lý dữ liệu này. Để rõ ràng, Đối tác có trách nhiệm cung cấp cho Jibe Địa chỉ email thông báo và thông báo cho Jibe về mọi thay đổi đối với Địa chỉ email nhận thông báo.

"Dữ liệu cá nhân của đối tác" là dữ liệu cá nhân do Jibe xử lý thay mặt cho Đối tác trong việc Jibe cung cấp Dịch vụ cho Đơn vị xử lý.

"SCC đối tác" là các SCC (Đơn vị kiểm soát với đơn vị xử lý), SCC (Quy trình từ đơn vị xử lý đến đơn vị xử lý) và/hoặc SCC (Quy trình với đơn vị xử lý) nếu có.

"Dịch vụ xử lý" là các dịch vụ RCS Business Messaging (như mô tả tại developers.google.com/business-communications/rcs-business-messaging).

"SCC" là các SCC và/hoặc SCC dành cho đối tác (Bộ xử lý đến bộ xử lý, Jibe Exporter), nếu có.

"SCC (Bộ điều khiển đến bộ xử lý)" là các điều khoản tại business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa.

"SCC (Bộ xử lý đến bộ điều khiển)" là các điều khoản tại business.safety.google/gdprprocessorterms/sccs/p2c.

"SCC (Bộ xử lý đến bộ xử lý)" là các điều khoản tại business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa.

"SCC (Bộ xử lý đến bộ xử lý, Jibe Exporter)" là các điều khoản tại business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group.

"Tài liệu bảo mật" là Giấy chứng nhận ISO 27001 và mọi chứng nhận hoặc tài liệu bảo mật khác mà Jibe có thể cung cấp liên quan đến Dịch vụ của Đơn vị xử lý.

"Các biện pháp bảo mật" có nghĩa như đã nêu trong Phần 7.1.1 (Các biện pháp bảo mật của Jibe).

"Đơn vị xử lý phụ" là các bên thứ ba được uỷ quyền theo Phụ lục về cách xử lý dữ liệu này để có quyền truy cập và xử lý Dữ liệu cá nhân của đối tác theo cách hợp lý nhằm cung cấp một phần Dịch vụ của đơn vị xử lý và mọi dịch vụ hỗ trợ kỹ thuật có liên quan.

"Cơ quan giám sát" (nếu có): (a) "cơ quan giám sát" theo định nghĩa trong GDPR EU; và/hoặc (b) "Ủy viên" theo định nghĩa trong GDPR UK và/hoặc FDPA Thuỵ Sĩ.

"FDPA Thụy Sĩ" là Đạo luật bảo vệ dữ liệu liên bang ngày 19 tháng 6 năm 1992 (Thụy Sĩ).

"Thời hạn" là khoảng thời gian từ Ngày điều khoản có hiệu lực cho đến khi Jibe cung cấp Dịch vụ của Đơn vị xử lý theo Thỏa thuận.

"Ngày điều khoản có hiệu lực" là ngày Thỏa thuận có hiệu lực.

"Quy định chung về bảo vệ dữ liệu của Vương quốc Anh" nghĩa là Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu như được sửa đổi và kết hợp vào luật của Vương quốc Anh theo Đạo luật (Rút lui) Liên minh Châu Âu của Vương quốc Anh năm 2018 và luật thứ cấp hiện hành theo Đạo luật đó.

2.2 Các thuật ngữ "đơn vị kiểm soát", "chủ thể dữ liệu", "dữ liệu cá nhân", "xử lý" và "đơn vị xử lý" được dùng trong Phụ lục về cách xử lý dữ liệu này có nghĩa như đã nêu trong GDPR và các thuật ngữ "công cụ nhập dữ liệu" và "trình xuất dữ liệu" có ý nghĩa như được quy định trong các SCC hiện hành.

2.3 Các từ "include" và "include" có nghĩa là "bao gồm nhưng không giới hạn đến". Mọi ví dụ trong Phụ lục về cách xử lý dữ liệu này đều mang tính minh hoạ và không phải là ví dụ duy nhất về một khái niệm cụ thể.

2.4 Mọi thông tin tham chiếu đến khung pháp lý, đạo luật hoặc pháp chế khác đều là thông tin tham chiếu đến nội dung được sửa đổi hoặc ban hành lại tùy từng thời điểm.

2.5 Trong phạm vi mọi bản dịch của Phụ lục về cách xử lý dữ liệu này không nhất quán với bản tiếng Anh, thì bản tiếng Anh sẽ được ưu tiên áp dụng.

3. Thời hạn của Phụ lục về xử lý dữ liệu này

Phụ lục về cách xử lý dữ liệu này sẽ có hiệu lực từ Ngày các điều khoản có hiệu lực và bất kể thời hạn có hết hiệu lực hay không, Điều khoản này vẫn có hiệu lực cho đến khi Jibe tự động hết hạn khi Jibe xóa tất cả Dữ liệu cá nhân của đối tác theo mô tả trong Phụ lục về cách xử lý dữ liệu này.

4. Áp dụng Phụ lục về cách xử lý dữ liệu này

4.1 Áp dụng Luật bảo vệ dữ liệu của Châu Âu. Mục 5 (Xử lý dữ liệu) đến Điều 12 (Liên hệ với Jibe; Hồ sơ xử lý) (bao gồm cả) sẽ chỉ áp dụng trong phạm vi mà Luật bảo vệ dữ liệu của Châu Âu áp dụng cho việc xử lý Dữ liệu cá nhân của đối tác, bao gồm nếu:

(a) việc xử lý là trong bối cảnh các hoạt động của cơ sở của Đối tác ở EEA hoặc Vương quốc Anh; và/hoặc

(b) Dữ liệu cá nhân của đối tác là dữ liệu cá nhân liên quan đến các chủ thể dữ liệu ở Khu vực kinh tế Châu Âu (EEA) hoặc Vương quốc Anh và quá trình xử lý liên quan đến việc cung cấp hàng hóa/dịch vụ cho họ hoặc giám sát hành vi của họ tại Khu vực kinh tế Châu Âu (EEA) hoặc Vương quốc Anh.

4.2 Ứng dụng cho Dịch vụ của đơn vị xử lý. Phụ lục về cách xử lý dữ liệu này sẽ chỉ áp dụng cho Dịch vụ của đơn vị xử lý mà các bên đã đồng ý với Phụ lục về việc xử lý dữ liệu này (ví dụ: (a) Dịch vụ của đơn vị xử lý mà Đối tác đã nhấp vào để chấp nhận Phụ lục về việc xử lý dữ liệu này;

4.3 Kết hợp Điều khoản bổ sung về Bảo vệ dữ liệu bên ngoài Châu Âu. Các điều khoản bổ sung về bảo vệ dữ liệu bên ngoài Châu Âu Quy định bổ sung liên quan đến Phụ lục về cách xử lý dữ liệu này.

5. Xử lý dữ liệu

5.1 Vai trò và tuân thủ quy định; Uỷ quyền.

5.1.1 Trách nhiệm của Đơn vị xử lý và Đơn vị xử lý. Các bên thừa nhận và đồng ý rằng:

(a) Phụ lục 1 mô tả vấn đề và thông tin chi tiết về việc xử lý Dữ liệu cá nhân của đối tác;

(b) Jibe là người xử lý Dữ liệu cá nhân của Đối tác theo Luật bảo vệ dữ liệu của Châu Âu;

(c) Đối tác là đơn vị kiểm soát hoặc xử lý Dữ liệu cá nhân của Đối tác (nếu có) theo Luật bảo vệ dữ liệu của Châu Âu; và

(d) mỗi bên sẽ tuân thủ các nghĩa vụ hiện hành theo Luật bảo vệ dữ liệu của Châu Âu liên quan đến việc xử lý Dữ liệu cá nhân của đối tác.

5.1.2 Đối tác xử lý. Nếu Đối tác là đơn vị xử lý:

a

(b) Đối tác sẽ chuyển tiếp ngay lập tức đến đơn vị kiểm soát có liên quan bất kỳ thông báo nào do Jibe cung cấp theo Mục 5.4 (Thông báo hướng dẫn), 7.2.1 (Thông báo sự cố), 11.4 (Cơ hội phản đối các thay đổi của đơn vị xử lý phụ) hoặc đề cập đến bất kỳ SCC nào; và

(c) Đối tác có thể cung cấp cho đơn vị kiểm soát có liên quan mọi thông tin do Jibe cung cấp theo Mục 7.4 (Giấy chứng nhận bảo mật), 10.5 (Thông tin Trung tâm dữ liệu) và 11.2 (Thông tin về Đơn vị xử lý phụ).

5.2 Hướng dẫn dành cho đối tác. .

5.3 Tuân thủ Jibe. Jibe sẽ tuân thủ Hướng dẫn trừ khi bị cấm theo Luật Châu Âu.

5.4 Thông báo hướng dẫn. Jibe sẽ ngay lập tức thông báo cho Đối tác nếu: theo ý kiến của Jibe: Mục 5.4 này (Thông báo hướng dẫn) không làm giảm các quyền và nghĩa vụ của một trong hai bên ở nơi khác trong Thoả thuận.

5.5 Sản phẩm bổ sung. Nếu Đối tác sử dụng bất kỳ Sản phẩm bổ sung nào, thì Dịch vụ của đơn vị xử lý có thể cho phép Sản phẩm bổ sung đó truy cập vào Dữ liệu cá nhân của đối tác theo yêu cầu cho hoạt động tương tác của Sản phẩm bổ sung với Dịch vụ của đơn vị xử lý. Khi cần thiết, các bên sẽ tham gia vào các điều khoản xử lý dữ liệu riêng biệt để giải quyết cách Sản phẩm bổ sung sẽ xử lý Dữ liệu cá nhân của đối tác.

6. Xóa dữ liệu

6.1 Biện pháp xóa trong thời hạn.

6.1.1 Dịch vụ dành cho đơn vị xử lý có chức năng xoá. Trong Thời hạn, nếu:

(a) chức năng của Dịch vụ xử lý bao gồm tùy chọn để Đối tác xóa Dữ liệu cá nhân của đối tác;

(b) Đối tác sử dụng Dịch vụ của Đơn vị xử lý để xoá một số Dữ liệu cá nhân của Đối tác; và

c

6.1.2 Dịch vụ dành cho đơn vị xử lý không có chức năng xóa. Trong Thời hạn, nếu chức năng của Dịch vụ dành cho đơn vị xử lý không bao gồm lựa chọn cho phép Đối tác xoá Dữ liệu cá nhân của đối tác, thì Jibe sẽ tuân thủ mọi yêu cầu hợp lý của Đối tác nhằm hỗ trợ việc xoá dữ liệu đó, miễn là quyền này có tính đến bản chất và chức năng của Dịch vụ của Đơn vị xử lý và trừ khi Luật Châu Âu yêu cầu lưu trữ. Jibe có thể tính phí (dựa trên chi phí hợp lý của Jibe) đối với việc xoá dữ liệu theo Mục 6.1.2 này (Dịch vụ dành cho Đơn vị xử lý không có chức năng xoá). Jibe sẽ cung cấp cho Đối tác các thông tin chi tiết về mọi khoản phí áp dụng và cơ sở tính toán trước khi xóa dữ liệu.

6.2 Xóa khi thời hạn kết thúc. Khi Thời hạn kết thúc, Đối tác sẽ hướng dẫn Jibe xoá tất cả Dữ liệu cá nhân của đối tác (bao gồm cả các bản sao hiện có) khỏi hệ thống của Jibe theo luật hiện hành. Jibe sẽ tuân thủ hướng dẫn này ngay khi có thể một cách hợp lý, trừ khi Luật Châu Âu yêu cầu lưu trữ.

7. Bảo mật dữ liệu

7.1 Các biện pháp bảo mật và hỗ trợ của Jibe.

7.1.1 Các biện pháp bảo mật của Jibe. Jibe sẽ triển khai và duy trì các biện pháp về mặt kỹ thuật và tổ chức để bảo vệ Dữ liệu cá nhân của đối tác trước hành vi phá hoại, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập trái phép hay vô tình như mô tả trong Phụ lục 2 ("Các biện pháp bảo mật"). Như đã mô tả trong Phụ lục 2, Các biện pháp bảo mật bao gồm: Jibe có thể cập nhật hoặc sửa đổi các Biện pháp bảo mật tuỳ từng thời điểm, miễn là các bản cập nhật và sửa đổi đó không làm giảm tính bảo mật chung của Dịch vụ dành cho đơn vị xử lý.

7.1.2 Truy cập và tuân thủ. Jibe sẽ (a) uỷ quyền cho nhân viên, nhà thầu và Đơn vị xử lý phụ của mình truy cập vào Dữ liệu cá nhân của đối tác khi cần thiết để tuân thủ Chỉ dẫn;

7.1.3 Hỗ trợ bảo mật của Jibe. Có tính đến bản chất của việc xử lý Dữ liệu cá nhân của đối tác và thông tin có sẵn cho Jibe, Jibe sẽ hỗ trợ Đối tác trong việc đảm bảo tuân thủ các nghĩa vụ của Đối tác (hoặc, trong đó Đối tác là bên xử lý, các nghĩa vụ của đơn vị kiểm soát có liên quan) liên quan đến việc bảo mật dữ liệu cá nhân và các trường hợp vi phạm dữ liệu cá nhân, bao gồm cả các nghĩa vụ của Đối tác (hoặc Đối tác là bên xử lý, các điều khoản tương ứng) theo Điều 32 đến Điều 34 (bao gồm:

(a) triển khai và duy trì các Biện pháp bảo mật theo Mục 7.1.1 (Các biện pháp bảo mật của Jibe);

(b) tuân thủ các điều khoản trong Mục 7.2 (Sự cố dữ liệu); và

(c) cung cấp cho Đối tác Tài liệu bảo mật theo Mục 7.5.1 (Quy trình xem xét Tài liệu bảo mật) và thông tin trong Phụ lục về Xử lý dữ liệu này.

7.2 Sự cố dữ liệu.

7.2.1 Thông báo sự cố. Nếu Jibe phát hiện ra Sự cố dữ liệu, Jibe sẽ: (a) thông báo ngay cho Đối tác về Sự cố dữ liệu và không chậm trễ quá mức; và (b) nhanh chóng thực hiện các bước hợp lý để giảm thiểu tác hại và bảo mật Dữ liệu cá nhân của Đối tác.

7.2.2 Chi tiết về sự cố dữ liệu. Thông báo theo Mục 7.2.1 (Thông báo sự cố) sẽ mô tả: bản chất của Sự cố dữ liệu, bao gồm các tài nguyên của Đối tác bị ảnh hưởng; các biện pháp Jibe đã thực hiện hoặc dự định thực hiện để khắc phục Sự cố dữ liệu, đồng thời giảm thiểu rủi ro tiềm ẩn; Nếu không thể cung cấp tất cả các thông tin đó cùng một lúc, thông báo ban đầu của Jibe sẽ có thông tin sau đó và thông tin bổ sung sẽ được cung cấp ngay lập tức khi có.

7.2.3 Gửi thông báo. Jibe sẽ gửi thông báo về mọi Sự cố dữ liệu đến Địa chỉ email nhận thông báo hoặc theo quyết định của Jibe (bao gồm cả việc Đối tác chưa cung cấp Địa chỉ email nhận thông báo) bằng các phương thức giao tiếp trực tiếp khác (ví dụ: bằng cách gọi điện thoại hoặc gặp gỡ trực tiếp). Đối tác tự chịu trách nhiệm cung cấp Địa chỉ email nhận thông báo và đảm bảo rằng Địa chỉ email nhận thông báo là thông tin hiện tại và hợp lệ.

7.2.4 Thông báo của bên thứ ba. Đối tác tự chịu trách nhiệm tuân thủ luật thông báo sự cố áp dụng cho Đối tác và thực hiện mọi nghĩa vụ thông báo của bên thứ ba liên quan đến Sự cố dữ liệu.

7.2.5 Không xác nhận lỗi của Jibe. Thông báo hoặc phản hồi của Jibe đối với một Sự cố dữ liệu theo Mục 7.2 (Sự cố dữ liệu) này sẽ không được coi là sự xác nhận của Jibe về bất kỳ lỗi hoặc trách nhiệm pháp lý nào đối với Sự cố dữ liệu.

7.3 Trách nhiệm và đánh giá bảo mật của Đối tác.

7.3.1 Trách nhiệm bảo mật của Đối tác. Đối tác đồng ý rằng, dù không ảnh hưởng đến nghĩa vụ của Jibe theo Mục 7.1 (Các biện pháp bảo mật và hỗ trợ của Jibe) và 7.2 (Sự cố về dữ liệu):

(a) Đối tác chịu trách nhiệm về việc sử dụng Dịch vụ của Đơn vị xử lý, bao gồm:

(i) sử dụng Dịch vụ của Đơn vị xử lý một cách thích hợp để đảm bảo mức độ bảo mật phù hợp với rủi ro đối với Dữ liệu cá nhân của đối tác; và

(ii) bảo mật thông tin xác thực tài khoản, hệ thống và thiết bị mà Đối tác sử dụng để truy cập Dịch vụ của đơn vị xử lý; và

(b) Jibe không có nghĩa vụ bảo vệ Dữ liệu cá nhân của Đối tác mà Đối tác chọn lưu trữ hoặc chuyển ra bên ngoài hệ thống của Jibe và Bộ xử lý phụ.

7.3.2 Đánh giá bảo mật của đối tác. Đối tác xác nhận các Biện pháp bảo mật do Jibe triển khai và duy trì như mô tả trong Mục 7.1.1 (Các biện pháp bảo mật của Jibe) cung cấp mức độ bảo mật phù hợp với rủi ro đối với Dữ liệu cá nhân của Đối tác, có tính đến bản chất, phạm vi, bối cảnh và mục đích xử lý Dữ liệu cá nhân của đối tác; tình trạng hiện đại; chi phí triển khai; và các rủi ro đối với cá nhân.

7.4 Chứng nhận bảo mật. Để đánh giá và giúp đảm bảo hiệu quả liên tục của các biện pháp bảo mật, Jibe sẽ duy trì chứng nhận ISO 27001 hoặc các biện pháp thích hợp khác để chứng minh tính hiệu quả của các Biện pháp bảo mật.

7.5 Xem xét và kiểm tra việc tuân thủ.

7.5.1 Đánh giá tài liệu bảo mật. Để chứng minh việc Jibe tuân thủ các nghĩa vụ của mình theo Phụ lục này về việc xử lý dữ liệu, Jibe sẽ cung cấp Tài liệu bảo mật để Đối tác xem xét.

7.5.2 Quyền kiểm toán của Đối tác.

(a) Jibe sẽ cho phép Đối tác hoặc kiểm toán viên bên thứ ba do Đối tác chỉ định tiến hành kiểm toán (bao gồm cả kiểm tra) để xác minh rằng Jibe tuân thủ các nghĩa vụ của mình theo Phụ lục về Xử lý dữ liệu này theo Mục 7.5.3 (Điều khoản kinh doanh bổ sung cho Kiểm tra). Trong quá trình kiểm tra, Jibe sẽ cung cấp mọi thông tin cần thiết để chứng minh sự tuân thủ đó và đóng góp vào quá trình kiểm tra theo mô tả trong Mục 7.4 (Chứng nhận bảo mật) và Mục 7.5 này (Đánh giá và kiểm tra việc tuân thủ).

(b) Nếu các SCC áp dụng theo Mục 10.2 (Các quy định hạn chế về việc chuyển nhượng tại Châu Âu), Jibe sẽ cho phép Đối tác (hoặc đơn vị kiểm toán bên thứ ba do Đối tác chỉ định) tiến hành kiểm toán theo mô tả trong các SCC hiện hành và cung cấp tất cả thông tin theo yêu cầu của các SCC, theo từng Mục 7.5.3 (Điều khoản kinh doanh bổ sung cho các đợt kiểm toán).

(c) Đối tác cũng có thể tiến hành kiểm tra để xác minh rằng Jibe tuân thủ các nghĩa vụ của mình theo Phụ lục này về việc xử lý dữ liệu bằng cách xem xét (các) chứng chỉ của Jibe do bất kỳ kiểm toán viên bên thứ ba nào cấp cho Jibe (ví dụ: Chứng nhận ISO 27001, nếu có).

7.5.3 Điều khoản kinh doanh bổ sung cho hoạt động kiểm toán.

(a) Đối tác sẽ gửi bất kỳ yêu cầu kiểm tra nào theo Mục 7.5.2(a) hoặc 7.5.2(b) tới Jibe như được mô tả trong Mục 12.1 (Liên hệ với Jibe).

(b) Sau khi Jibe nhận được yêu cầu theo Mục 7.5.3(a), Jibe và Đối tác sẽ thảo luận và thống nhất trước về ngày bắt đầu hợp lý, phạm vi, thời lượng và các chế độ kiểm soát bảo mật cũng như tính bảo mật áp dụng cho mọi quá trình kiểm tra theo Mục 7.5.2(a) hoặc 7.5.2(b).

(c) Jibe có thể tính phí (dựa trên chi phí hợp lý của Jibe) cho mọi cuộc kiểm tra theo Mục 7.5.2(a) hoặc 7.5.2(b). Jibe sẽ cung cấp cho Đối tác thông tin chi tiết hơn về mọi khoản phí áp dụng và cơ sở tính toán trước khi tiến hành những cuộc kiểm tra nào như vậy. Đối tác sẽ chịu trách nhiệm thanh toán mọi khoản phí do kiểm toán viên bên thứ ba chỉ định để Đối tác tiến hành việc kiểm tra đó.

c Mọi sự phản đối như vậy của Jibe sẽ yêu cầu Đối tác phải cử một kiểm toán viên khác hoặc tự tiến hành kiểm tra.

(e) Không có nội dung nào trong Phụ lục về cách xử lý dữ liệu này yêu cầu Jibe để thông báo cho Đối tác hoặc kiểm tra viên bên thứ ba của Đối tác hoặc cho phép Đối tác hoặc kiểm toán viên bên thứ ba của Đối tác truy cập:

(i) mọi dữ liệu của bất kỳ đối tác hoặc khách hàng nào khác của Tổ chức Jibe;

(ii) thông tin kế toán hoặc tài chính nội bộ của Pháp nhân Jibe;

(iii) bí mật thương mại của Pháp nhân Jibe;

(iv) bất kỳ thông tin nào, theo ý kiến hợp lý của Jibe, có thể: (A) gây tổn hại đến tính bảo mật của mọi hệ thống hoặc cơ sở của Tổ chức Jibe;

(v) bất kỳ thông tin nào mà Đối tác hoặc kiểm tra viên bên thứ ba của Đối tác tìm cách truy cập vì bất kỳ lý do nào khác ngoài lý do thực hiện nghĩa vụ của Đối tác một cách thành thực theo Luật bảo vệ dữ liệu của Châu Âu.

8. Đánh giá và tư vấn tác động

Có tính đến bản chất của quá trình xử lý và thông tin có sẵn cho Jibe, Jibe sẽ hỗ trợ Đối tác trong việc đảm bảo tuân thủ các nghĩa vụ của Đối tác (hoặc trong đó Đối tác là bên xử lý, các nghĩa vụ của đơn vị kiểm soát có liên quan) liên quan đến đánh giá tác động của hoạt động bảo vệ dữ liệu và tham vấn trước, bao gồm (nếu có) nghĩa vụ của Đối tác hoặc đơn vị kiểm soát có liên quan theo Điều 35 và 36 của GDPR, bằng cách:

(a) cung cấp Tài liệu bảo mật theo Mục 7.5.1 (Xem xét tài liệu bảo mật);

(b) cung cấp thông tin có trong Phụ lục về cách xử lý dữ liệu này; và

(c) cung cấp hoặc cung cấp theo cách thức chuẩn của Jibe, các tài liệu khác liên quan đến bản chất của Dịch vụ dành cho đơn vị xử lý và việc xử lý Dữ liệu cá nhân của đối tác (ví dụ: tài liệu của trung tâm trợ giúp).

9. Quyền của chủ thể dữ liệu

9.1 Phản hồi yêu cầu của chủ thể dữ liệu. Nếu Jibe nhận được yêu cầu của một chủ đề dữ liệu liên quan đến Dữ liệu cá nhân của Đối tác, thì Jibe sẽ cấp phép cho Jibe và Jibe thông báo cho Đối tác rằng họ sẽ:

(a) phản hồi trực tiếp yêu cầu của chủ thể dữ liệu theo chức năng chuẩn của Công cụ chủ thể dữ liệu (nếu yêu cầu được thực hiện thông qua Công cụ chủ thể dữ liệu); hoặc

(b) tư vấn cho đối tượng dữ liệu gửi yêu cầu của họ đến Đối tác và Đối tác sẽ chịu trách nhiệm phản hồi yêu cầu đó (nếu yêu cầu không được thực hiện thông qua Công cụ đối tượng dữ liệu).

9.2 Hỗ trợ về yêu cầu cho chủ thể dữ liệu của Jibe. Jibe sẽ hỗ trợ Đối tác (hoặc trong đó Đối tác là đơn vị xử lý, đơn vị kiểm soát có liên quan) thực hiện các nghĩa vụ của mình theo GDPR để phản hồi các yêu cầu thực thi quyền của chủ thể dữ liệu trong mọi trường hợp có tính đến việc xử lý Dữ liệu cá nhân của đối tác và Điều 11 của GDPR, nếu có (bao gồm cả trường hợp):

(a) cung cấp chức năng của Dịch vụ dành cho đơn vị xử lý;

(b) tuân thủ các cam kết trong Mục 9.1 (Phản hồi yêu cầu đối với dữ liệu); và

(c) nếu có thể áp dụng cho Dịch vụ dành cho đơn vị xử lý, cung cấp Công cụ chủ thể dữ liệu.

9.3 Sửa đổi. Nếu Đối tác biết rằng mọi Dữ liệu cá nhân của đối tác đều không chính xác hoặc đã lỗi thời, thì Đối tác sẽ chịu trách nhiệm chỉnh sửa hoặc xoá dữ liệu đó theo yêu cầu của Luật bảo vệ dữ liệu của Châu Âu, bao gồm cả việc sử dụng chức năng của Dịch vụ của Đơn vị xử lý (nếu có).

10. Hoạt động chuyển dữ liệu

10.1 Cơ sở lưu trữ và xử lý dữ liệu. Theo phần còn lại của Mục 10 này (Hoạt động chuyển dữ liệu), Jibe có thể xử lý Dữ liệu cá nhân của đối tác tại bất kỳ quốc gia nào mà Jibe hoặc bất kỳ Đơn vị xử lý phụ nào của Jibe duy trì cơ sở vật chất.

10.2 Chuyển khoản bị hạn chế ở Châu Âu. Các bên thừa nhận rằng Luật pháp bảo vệ dữ liệu của Châu Âu không yêu cầu SCC hoặc Giải pháp chuyển dữ liệu thay thế để xử lý Dữ liệu cá nhân của đối tác hoặc chuyển dữ liệu này sang một Quốc gia thoả mãn điều kiện.

Nếu Dữ liệu cá nhân của đối tác được chuyển đến bất kỳ quốc gia nào khác và Luật bảo vệ dữ liệu của Châu Âu áp dụng cho những lần chuyển đó ("Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu"), thì:

(a) nếu Jibe sử dụng Giải pháp chuyển dữ liệu thay thế cho mọi Quá trình chuyển dữ liệu bị hạn chế ở Châu Âu, thì Jibe sẽ thông báo cho Đối tác về giải pháp phù hợp và đảm bảo rằng các tài khoản Chuyển dữ liệu bị hạn chế đó tại Châu Âu được thực hiện theo giải pháp đó; và/hoặc

(b) nếu Jibe không sử dụng hoặc đã thông báo cho Đối tác rằng Jibe không còn sử dụng Giải pháp chuyển dữ liệu thay thế cho mọi Quá trình chuyển dữ liệu bị hạn chế ở Châu Âu, thì:

(i) nếu địa chỉ của Jibe nằm ở một Quốc gia thoả mãn điều kiện:

(A) SCC (Bộ xử lý thành bộ xử lý, nhà xuất khẩu Jibe) sẽ áp dụng đối với các Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu từ Jibe sang các Đơn vị xử lý phụ; và

(B) Ngoài ra, nếu địa chỉ của Đối tác không thuộc một Quốc gia thỏa mãn điều kiện, thì SCC (Đơn vị xử lý thành Nhà kiểm soát) sẽ được áp dụng đối với Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu giữa Jibe và Đối tác (bất kể Đối tác là người kiểm soát và/hoặc đơn vị xử lý); hoặc

(ii) nếu địa chỉ của Jibe không nằm ở Quốc gia thỏa mãn điều kiện:

Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với vai trò là đơn vị kiểm soát và/hoặc SCC (Đơn vị kiểm soát với đơn vị xử lý) sẽ được áp dụng (theo Đối tác là đơn vị kiểm soát và/hoặc đơn vị xử lý) đối với việc Chuyển dữ liệu bị hạn chế ở Châu Âu giữa Đối tác và Jibe; và

(c) nội dung đề cập đến Google LLC hoặc Google và tới Bạn trong bất kỳ SCC nào sẽ lần lượt là với Jibe và Đối tác.

10.3 Thông tin và biện pháp bổ sung. Jibe sẽ cung cấp cho Đối tác thông tin liên quan đến hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu, bao gồm cả thông tin về các biện pháp bổ sung để bảo vệ Dữ liệu cá nhân của đối tác, như mô tả trong Mục 7.5.1 (Tài liệu đánh giá bảo mật), Phụ lục 2 (Các biện pháp bảo mật) và các tài liệu khác liên quan đến bản chất của Dịch vụ của Đơn vị xử lý và việc xử lý Dữ liệu cá nhân của đối tác (ví dụ: bài viết trong trung tâm trợ giúp).

10.4 Chấm dứt. Nếu Đối tác kết luận rằng, dựa trên việc sử dụng Dịch vụ của Đơn vị xử lý hiện tại hoặc dự kiến, mà Giải pháp chuyển dữ liệu thay thế và/hoặc SCC, nếu có, không cung cấp các biện pháp bảo vệ thích hợp cho Dữ liệu cá nhân của Đối tác, thì Đối tác có thể ngay lập tức chấm dứt Thoả thuận bằng cách thông báo cho Jibe bằng văn bản.

10.5 Thông tin về Trung tâm dữ liệu. Thông tin về vị trí của các trung tâm dữ liệu LLL của Google có tại www.google.com/about/datacenters/locations/index.html.

11. Nhà cung cấp và nhân viên hỗ trợ

11.1 Đồng ý với việc tương tác của đơn vị xử lý phụ. Đối tác cho phép cụ thể việc tương tác của các Đơn vị xử lý phụ được liệt kê trong Mục 11.2 (Thông tin về Đơn vị xử lý phụ) kể từ Ngày điều khoản có hiệu lực. Ngoài ra, Đối tác cũng thường uỷ quyền cho các bên thứ ba tham gia làm Đơn vị xử lý phụ ("Bộ xử lý phụ mới"), tuân theo Mục 11.4 (Cơ hội để phản đối các thay đổi đối với đơn vị xử lý phụ).

11.2 Thông tin về Đơn vị xử lý phụ. Theo yêu cầu bằng văn bản của Đối tác, Jibe sẽ cung cấp thông tin về Đơn vị xử lý phụ và vị trí của họ. Bạn phải gửi mọi yêu cầu như vậy cho Jibe sử dụng thông tin liên hệ nêu trong Mục 12.1 (Liên hệ với Jibe).

11.3 Yêu cầu đối với tương tác của đơn vị xử lý phụ. Khi tương tác với bất kỳ Đơn vị xử lý phụ nào, Jibe sẽ:

(a) đảm bảo thông qua một hợp đồng bằng văn bản rằng:

(i) Đơn vị xử lý phụ chỉ truy cập và sử dụng Dữ liệu cá nhân của đối tác trong phạm vi yêu cầu để thực hiện các nghĩa vụ đã ký hợp đồng phụ, tuân theo Thoả thuận (bao gồm cả Phụ lục về việc xử lý dữ liệu này); và

(ii) nếu việc xử lý Dữ liệu cá nhân của đối tác tuân theo Luật bảo vệ dữ liệu của Châu Âu, nghĩa vụ bảo vệ dữ liệu trong Phụ lục về xử lý dữ liệu này (như đề cập trong Điều 28(3) của GDPR, nếu có) sẽ được áp dụng cho Đơn vị xử lý phụ; và

(b) hoàn toàn chịu trách nhiệm đối với tất cả các nghĩa vụ đã ký hợp đồng phụ, cũng như mọi hành động và thiếu sót của Đơn vị xử lý phụ.

11.4 Cơ hội phản đối các thay đổi của đơn vị xử lý phụ.

a

(b)

12. Liên hệ với Jibe; Hồ sơ xử lý

12.1 Liên hệ với Jibe. Khi thực hiện các quyền của mình theo Phụ lục về cách xử lý dữ liệu này, Đối tác có thể liên hệ với Jibe thông qua người liên hệ về việc bảo vệ dữ liệu RCS của Jibe, có thể truy cập qua issuetracker.google.com hoặc thông qua những phương thức khác mà Jibe có thể cung cấp.

12.2 Bản ghi xử lý của Jibe. Jibe sẽ lưu giữ tài liệu thích hợp về các hoạt động xử lý theo yêu cầu của GDPR. Đối tác xác nhận rằng Jibe cần phải tuân thủ GDPR (Quy định chung về bảo vệ dữ liệu) để: Do đó, khi được yêu cầu và nếu có, Đối tác sẽ cung cấp thông tin đó cho Jibe thông qua giao diện người dùng của Dịch vụ của Đơn vị xử lý hoặc bằng các phương thức khác mà Jibe có thể cung cấp.

12.3 Yêu cầu của đơn vị kiểm soát. Nếu Jibe nhận được yêu cầu hoặc hướng dẫn của một bên thứ ba có ý định làm đơn vị kiểm soát Dữ liệu cá nhân của đối tác, Jibe sẽ đề xuất bên thứ ba liên hệ với Đối tác.

13. Trách nhiệm pháp lý

Nếu Thỏa thuận chịu sự điều chỉnh của luật:

(b) khu vực tài phán không thuộc Hoa Kỳ, thì tổng trách nhiệm pháp lý kết hợp của các bên và đơn vị liên kết của họ theo hoặc liên quan đến Phụ lục về xử lý dữ liệu này sẽ phải tuân theo Thỏa thuận này.

14. Hiệu lực của Phụ lục xử lý dữ liệu này

14.1 Thứ tự ưu tiên. Nếu có bất kỳ xung đột hoặc sự không nhất quán nào giữa các SCC, các Điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu, Phụ lục này về việc xử lý dữ liệu và phần còn lại của Thỏa thuận, thì thứ tự ưu tiên sau sẽ áp dụng:

(a) các SCC;

(b) Điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu;

(c) phần còn lại của Phụ lục về cách xử lý dữ liệu này; và

(d) phần còn lại của Thỏa thuận.

Theo nội dung sửa đổi trong Phụ lục về cách xử lý dữ liệu này, Thoả thuận vẫn còn nguyên hiệu lực thi hành.

14.2 Không sửa đổi SCC. Không có nội dung nào trong Thỏa thuận này (bao gồm cả Phụ lục về xử lý dữ liệu này) nhằm sửa đổi hoặc mâu thuẫn với bất kỳ SCC nào, hoặc làm giảm các quyền cơ bản hoặc quyền tự do của các chủ thể dữ liệu theo Luật bảo vệ dữ liệu của Châu Âu.

14.3 Không ảnh hưởng đến Các điều khoản dành cho đơn vị kiểm soát. Phụ lục về cách xử lý dữ liệu này sẽ không ảnh hưởng đến bất kỳ điều khoản riêng biệt nào của Jibe và Partner phản ánh mối quan hệ giữa đơn vị kiểm soát và đơn vị kiểm soát đối với một dịch vụ không phải là Dịch vụ của đơn vị xử lý.

14.4 SCC cũ của Vương quốc Anh. Kể từ ngày 21 tháng 9 năm 2022 hoặc ngày có hiệu lực của Thoả thuận, tuỳ theo thời điểm nào muộn hơn, các điều khoản bổ sung của SCC đối với việc chuyển GDPR của Vương quốc Anh sẽ được áp dụng, đồng thời sẽ thay thế và chấm dứt mọi điều khoản tiêu chuẩn trong hợp đồng được phê duyệt theo GDPR của Vương quốc Anh và Đạo luật bảo vệ dữ liệu 2018, cũng như trước đây của Đối tác và Jibe ("SCC cũ tại Vương quốc Anh"). Mục 14 này.

15. Thay đổi đối với Phụ lục về cách xử lý dữ liệu này

15.2 Thay đổi đối với Phụ lục về cách xử lý dữ liệu. Jibe có thể thay đổi Phụ lục về cách xử lý dữ liệu này nếu nội dung thay đổi đó:

(a) được cho phép rõ ràng trong Phụ lục về cách xử lý dữ liệu này, bao gồm cả nội dung như mô tả trong Mục 15.1 (Các thay đổi đối với URL);

(b) phản ánh thay đổi về tên hoặc hình thức của pháp nhân;

(c) tuân thủ luật, quy định hiện hành, lệnh toà hay hướng dẫn của cơ quan chính phủ, hoặc phản ánh việc Jibe sử dụng Giải pháp chuyển dữ liệu thay thế; hoặc

......... (.

15.3 Thông báo về các thay đổi. Nếu Jibe có ý định thay đổi Phụ lục về cách xử lý dữ liệu này theo Mục 15.2(c) hoặc (d), Jibe sẽ thông báo cho Đối tác trong ít nhất 30 ngày (hoặc trong khoảng thời gian ngắn hơn có thể bắt buộc để tuân thủ luật hiện hành, quy định hiện hành, lệnh toà hoặc hướng dẫn của cơ quan hoặc cơ quan chính phủ) trước khi sự thay đổi này có hiệu lực: (a) gửi Email hoặc Địa chỉ thông báo cho người dùng xử lý (thông báo của Người dùng xử lý thông báo qua email) Nếu Đối tác phản đối bất kỳ thay đổi nào như vậy, thì Đối tác có thể chấm dứt Thỏa thuận bất cứ lúc nào bằng cách gửi thông báo bằng văn bản cho Jibe trong vòng 90 ngày kể từ khi Jibe thông báo về thay đổi đó.

Phụ lục 1: Chủ đề và thông tin chi tiết về việc xử lý dữ liệu

Vấn đề quan trọng

Việc Jibe cung cấp Dịch vụ của Đơn vị xử lý và mọi hoạt động hỗ trợ kỹ thuật có liên quan cho Đối tác.

Thời gian xử lý

Thời hạn cộng với thời hạn từ cuối Thời hạn cho đến khi Jibe xóa mọi dữ liệu cá nhân của Đối tác theo Phụ lục này.

Bản chất và mục đích xử lý

Jibe sẽ xử lý Dữ liệu cá nhân của đối tác, bao gồm cả (nếu áp dụng liên quan đến bản chất của Dịch vụ dành cho đơn vị xử lý và Hướng dẫn) thu thập, ghi lại, sắp xếp, lập cấu trúc, lưu trữ, thay đổi, truy xuất, sử dụng, tiết lộ, kết hợp, xóa và hủy dữ liệu cá nhân của đối tác nhằm mục đích cung cấp Dịch vụ của đơn vị xử lý và mọi dịch vụ hỗ trợ kỹ thuật có liên quan cho Đối tác theo Phụ lục về xử lý dữ liệu này.

Các loại dữ liệu cá nhân

Dữ liệu cá nhân liên quan đến những cá nhân được cung cấp cho Jibe thông qua Dịch vụ xử lý, của (hoặc theo hướng dẫn) của Đối tác hoặc người dùng cuối của Đối tác.

Danh mục các chủ đề dữ liệu

Chủ thể dữ liệu bao gồm các cá nhân mà dữ liệu được cung cấp cho Jibe thông qua Dịch vụ của đơn vị xử lý (hoặc theo hướng dẫn) hoặc bởi Đối tác.

Phụ lục 2: Biện pháp bảo mật

Kể từ Ngày điều khoản có hiệu lực, Jibe sẽ triển khai và duy trì các Biện pháp bảo mật trong Phụ lục 2 này. Jibe có thể cập nhật hoặc sửa đổi các biện pháp bảo mật đó tuỳ từng thời điểm, với điều kiện là những bản cập nhật và sửa đổi đó không làm giảm tính bảo mật chung của Dịch vụ dành cho đơn vị xử lý.

1. Trung tâm dữ liệu và An ninh mạng

(a) Trung tâm dữ liệu.

Cơ sở hạ tầng. Jibe duy trì các trung tâm dữ liệu được phân phối theo khu vực địa lý. Jibe lưu trữ tất cả dữ liệu sản xuất trong các trung tâm dữ liệu bảo mật thực.

Dư thừa. Hệ thống cơ sở hạ tầng được thiết kế để loại bỏ những điểm chịu lỗi và giảm thiểu tác động của những rủi ro môi trường được báo trước. Mạch kép, thiết bị chuyển mạch, mạng hoặc các thiết bị cần thiết khác giúp cung cấp khả năng dự phòng này. Dịch vụ của đơn vị xử lý được thiết kế để cho phép Jibe thực hiện một số hình thức bảo trì phòng ngừa và sửa chữa mà không bị gián đoạn. Tất cả các thiết bị và cơ sở môi trường đều có tài liệu về quy trình bảo trì phòng ngừa, trong đó nêu chi tiết quy trình và tần suất thực hiện theo quy cách của nhà sản xuất hoặc nội bộ. Việc bảo trì và sửa chữa thiết bị trung tâm dữ liệu được lên lịch thông qua một quy trình chuẩn theo các quy trình được ghi chép.

Nguồn. Hệ thống điện trung tâm dữ liệu được thiết kế để dự phòng và duy trì mà không ảnh hưởng đến các hoạt động liên tục, 24 giờ một ngày và 7 ngày một tuần. Trong hầu hết các trường hợp, một nguồn điện chính cũng như một nguồn điện thay thế, mỗi nguồn đều có công suất bằng nhau, được cung cấp cho các thành phần cơ sở hạ tầng quan trọng trong trung tâm dữ liệu. Nguồn điện dự phòng được cung cấp bởi nhiều cơ chế khác nhau, chẳng hạn như pin cấp nguồn liên tục (UPS), cung cấp khả năng bảo vệ nguồn điện đáng tin cậy một cách nhất quán trong tình trạng mất điện, mất điện, quá điện áp, dưới điện áp và các điều kiện tần suất không dung sai. Nếu nguồn điện phục vụ bị gián đoạn, nguồn điện dự phòng sẽ được thiết kế để cung cấp năng lượng tạm thời cho trung tâm dữ liệu, hết công suất trong tối đa 10 phút cho đến khi hệ thống trình tạo sao lưu tiếp quản. Các trình tạo này có khả năng tự động khởi động trong vòng vài giây để cung cấp đủ năng lượng điện khẩn cấp để chạy dữ liệu ở mức đầy đủ, thường là trong một khoảng thời gian nhiều ngày.

Hệ điều hành của máy chủ. Máy chủ Jibe sử dụng hệ điều hành cứng – được tuỳ chỉnh theo nhu cầu riêng của doanh nghiệp. Dữ liệu được lưu trữ bằng các thuật toán sở hữu để tăng cường bảo mật và dự phòng dữ liệu. Jibe sử dụng quy trình đánh giá mã để tăng tính bảo mật của mã dùng để cung cấp Dịch vụ cho đơn vị xử lý và tăng cường bảo mật sản phẩm trong môi trường sản xuất.

Hoạt động kinh doanh liên tục. Jibe sao chép dữ liệu qua nhiều hệ thống để bảo vệ chống lại việc vô tình làm hư hại hoặc mất mát. Jibe đã thiết kế và thường xuyên lên kế hoạch cũng như thử nghiệm các chương trình lập kế hoạch duy trì hoạt động kinh doanh/thu hồi thảm hoạ.

Công nghệ mã hóa. Các chính sách bảo mật của Jibe bắt buộc mã hóa ở trạng thái tĩnh đối với tất cả dữ liệu của người dùng, bao gồm cả dữ liệu cá nhân. Dữ liệu thường được mã hoá ở nhiều cấp độ trong ngăn xếp bộ nhớ sản xuất của Jibe trong các trung tâm dữ liệu, bao gồm cả cấp độ phần cứng, mà không yêu cầu bất kỳ hành động nào của đối tác hoặc khách hàng. Việc sử dụng nhiều lớp mã hoá sẽ bổ sung khả năng bảo vệ dữ liệu thừa và cho phép Jibe chọn cách tiếp cận tối ưu dựa trên các yêu cầu của ứng dụng. Tất cả dữ liệu cá nhân đều được mã hoá ở cấp bộ nhớ, thường sử dụng AES256. Jibe sử dụng các thư viện mật mã phổ biến kết hợp với mô-đun xác thực FIPS 140-2 của Jibe để triển khai phương thức mã hoá một cách nhất quán trên các Dịch vụ của đơn vị xử lý.

(b) Mạng và truyền dẫn.

Truyền dữ liệu. Các trung tâm dữ liệu thường được kết nối thông qua các đường liên kết riêng tư tốc độ cao để truyền dữ liệu một cách an toàn và nhanh chóng giữa các trung tâm dữ liệu. Điều này được thiết kế để ngăn việc đọc, sao chép, thay đổi hoặc xóa dữ liệu mà không cho phép trong quá trình truyền tải điện tử. Jibe chuyển dữ liệu qua các giao thức Internet tiêu chuẩn.

Bề mặt tấn công bên ngoài. Jibe sử dụng nhiều lớp thiết bị mạng và tính năng phát hiện xâm nhập để bảo vệ bề mặt tấn công bên ngoài. Jibe xem xét các vectơ tấn công tiềm ẩn và kết hợp các công nghệ được xây dựng cho mục đích phù hợp vào các hệ thống hướng ra bên ngoài.

Phát hiện xâm nhập. Tính năng phát hiện xâm nhập nhằm cung cấp thông tin chi tiết về các hoạt động tấn công đang diễn ra và cung cấp đầy đủ thông tin để ứng phó với các sự cố. Tính năng phát hiện xâm nhập của Jibe có liên quan đến:

1. Kiểm soát chặt chẽ kích thước và cấu tạo của khu vực tấn công của Jibe thông qua các biện pháp phòng ngừa;

2. Sử dụng các biện pháp kiểm soát phát hiện thông minh tại các điểm nhập dữ liệu; và

3. Sử dụng các công nghệ tự động khắc phục một số tình huống nguy hiểm nhất định.

Ứng phó với sự cố. Jibe giám sát nhiều kênh liên lạc về các sự cố bảo mật và nhân viên bảo mật của Jibe sẽ phản ứng kịp thời với những sự cố đã biết.

Công nghệ mã hóa. Jibe cung cấp tính năng mã hoá HTTPS (còn gọi là kết nối TLS). Máy chủ Jibe hỗ trợ đường cong hình elip tạm thời Diffie Trao đổi khoá mã hoá Hellman được ký bằng RSA và ECDSA. Các phương thức bảo mật chuyển tiếp (PFS) hoàn hảo này giúp bảo vệ lưu lượng truy cập và giảm thiểu tác động của khoá bị xâm phạm hoặc đột phá trong mật mã.

2. Quyền truy cập và chế độ kiểm soát trang web

(a) Kiểm soát trang web.

Hoạt động bảo mật của Trung tâm dữ liệu tại chỗ. Các trung tâm dữ liệu của Jibe duy trì các hoạt động bảo mật tại chỗ chịu trách nhiệm về tất cả hoạt động bảo mật của trung tâm dữ liệu thực tế 24/7. Các nhân viên vận hành an ninh tại chỗ giám sát camera giám sát trên TV Mạch kín ("CCTV") và tất cả các hệ thống báo động. Nhân viên vận hành bảo mật tại chỗ thường xuyên thực hiện các hoạt động tuần tra nội bộ và bên ngoài trung tâm dữ liệu.

Quy trình truy cập vào Trung tâm dữ liệu. Jibe duy trì các quy trình truy cập chính thức để cho phép truy cập thông tin vào trung tâm dữ liệu. Các trung tâm dữ liệu này được đặt trong các cơ sở yêu cầu quyền truy cập vào khoá thẻ điện tử, có các chuông báo liên kết với hoạt động bảo mật tại chỗ. Tất cả người tham gia vào trung tâm dữ liệu đều phải xác định danh tính cũng như chứng minh danh tính cho các hoạt động bảo mật tại chỗ. Chỉ nhân viên, nhà thầu và khách truy cập được uỷ quyền mới được phép vào trung tâm dữ liệu. Chỉ nhân viên và nhà thầu được uỷ quyền mới được phép yêu cầu cấp khoá thẻ điện tử để truy cập vào các cơ sở này. Yêu cầu quyền truy cập khóa thẻ điện tử cho trung tâm dữ liệu phải được thực hiện trước và bằng văn bản, đồng thời cần có sự chấp thuận của nhân viên trung tâm dữ liệu được ủy quyền. Tất cả những người tham gia khác yêu cầu quyền truy cập vào trung tâm dữ liệu tạm thời phải: (i) được người quản lý trung tâm dữ liệu phê duyệt trước đối với trung tâm dữ liệu cụ thể và các khu vực nội bộ mà họ muốn đến;

Thiết bị bảo mật trung tâm dữ liệu tại chỗ. Các trung tâm dữ liệu của Jibe sử dụng khoá thẻ điện tử và hệ thống kiểm soát quyền truy cập sinh trắc học được liên kết với một chuông báo hệ thống. Hệ thống kiểm soát quyền truy cập theo dõi và ghi lại khoá thẻ điện tử của từng cá nhân và khi họ truy cập vào cửa chu vi, phương thức vận chuyển và nhận hàng cũng như các khu vực quan trọng khác. Hoạt động trái phép và những lần truy cập không thành công đều được hệ thống kiểm soát quyền truy cập ghi lại và điều tra khi thích hợp. Quyền truy cập được ủy quyền trong các hoạt động kinh doanh và trung tâm dữ liệu bị hạn chế dựa trên khu vực và trách nhiệm công việc của cá nhân đó. Các cửa cứu hỏa tại các trung tâm dữ liệu đang được báo động. Camera CCTV đang hoạt động cả ở trong và ngoài trung tâm dữ liệu. Vị trí của máy ảnh được thiết kế để bao gồm các khu vực chiến lược bao gồm, bao quanh, chu vi, cửa ra vào tòa nhà trung tâm dữ liệu và vận chuyển/nhận hàng. Nhân viên vận hành an ninh tại chỗ quản lý việc giám sát, ghi lại và kiểm soát thiết bị của camera quan sát. Cáp an toàn trên khắp các trung tâm dữ liệu sẽ kết nối thiết bị CCTV. Camera ghi hình tại chỗ thông qua trình quay video kỹ thuật số 24/7. Hồ sơ giám sát được lưu giữ trong ít nhất 7 ngày dựa trên hoạt động.

(b) Kiểm soát truy cập.

Chuyên viên bảo mật cơ sở hạ tầng. Jibe có và duy trì một chính sách bảo mật đối với nhân viên, đồng thời yêu cầu phải đào tạo về bảo mật trong gói đào tạo dành cho nhân viên. Nhân viên bảo mật cơ sở hạ tầng của Jibe có trách nhiệm theo dõi liên tục cơ sở hạ tầng bảo mật của Jibe, xem xét các Dịch vụ của Đơn vị xử lý và phản hồi các sự cố bảo mật.

Kiểm soát Truy cập và Quản lý Đặc quyền. Quản trị viên và người dùng của Đối tác phải tự xác thực bằng hệ thống xác thực tập trung hoặc hệ thống đăng nhập một lần duy nhất để có thể sử dụng Dịch vụ của đơn vị xử lý.

Chính sách và quy trình truy cập dữ liệu nội bộ – Chính sách truy cập. Các chính sách và quy trình truy cập dữ liệu nội bộ của Jibe được thiết kế nhằm ngăn chặn hành vi truy cập trái phép vào hệ thống được dùng để xử lý dữ liệu cá nhân và những người/hoặc hệ thống trái phép. Jibe mong muốn thiết kế hệ thống của mình để: (i) chỉ cho phép những người được ủy quyền truy cập dữ liệu mà họ được phép truy cập; và (ii) đảm bảo rằng người dùng không thể đọc, sao chép, thay đổi hoặc xóa dữ liệu cá nhân mà không có sự cho phép trong khi xử lý, sử dụng và sau khi ghi. Các hệ thống này được thiết kế để phát hiện mọi hoạt động truy cập không phù hợp. Jibe sử dụng hệ thống quản lý quyền truy cập tập trung để kiểm soát quyền truy cập của nhân viên vào các máy chủ sản xuất, và chỉ cấp quyền truy cập cho một số ít nhân viên được ủy quyền. LDAP, Kerberos và một hệ thống độc quyền sử dụng chứng chỉ kỹ thuật số được thiết kế nhằm cung cấp cho Jibe các cơ chế truy cập linh hoạt và an toàn. Các cơ chế này được thiết kế để chỉ cấp quyền truy cập được chấp thuận cho các máy chủ lưu trữ trang web, nhật ký, dữ liệu và thông tin cấu hình. Jibe yêu cầu sử dụng mã nhận dạng người dùng riêng biệt, mật khẩu mạnh, tính năng xác thực hai yếu tố và theo dõi danh sách truy cập một cách cẩn thận để giảm thiểu khả năng xảy ra việc sử dụng trái phép tài khoản. Việc cấp hoặc sửa đổi quyền truy cập dựa trên: trách nhiệm công việc của nhân viên được ủy quyền; yêu cầu về nhiệm vụ cần thiết để thực hiện các nhiệm vụ được ủy quyền; và cơ sở cần biết. Việc cấp hoặc sửa đổi quyền truy cập cũng phải tuân theo chính sách và chương trình đào tạo về truy cập dữ liệu nội bộ của Jibe. Các yêu cầu phê duyệt được quản lý bằng các công cụ quy trình công việc, giúp lưu trữ hồ sơ kiểm tra về mọi thay đổi. Việc truy cập vào các hệ thống được ghi lại để tạo biên bản kiểm tra về trách nhiệm giải trình. Khi sử dụng mật khẩu để xác thực (ví dụ: đăng nhập vào máy trạm), các chính sách mật khẩu phải tuân thủ ít nhất một số phương pháp tiêu chuẩn ngành. Các tiêu chuẩn này bao gồm các hạn chế về việc sử dụng lại mật khẩu và đủ độ mạnh mật khẩu.

3. Dữ liệu

(a) Lưu trữ, tách biệt và xác thực dữ liệu.

Jibe lưu trữ dữ liệu trong môi trường nhiều khách hàng trên các máy chủ của Google LLC. Dữ liệu, cơ sở dữ liệu Dịch vụ của đơn vị xử lý và cấu trúc hệ thống tệp được sao chép giữa nhiều trung tâm dữ liệu phân tán về mặt địa lý. Jibe tách riêng dữ liệu của từng đối tác hoặc khách hàng. Hệ thống xác thực tập trung được sử dụng trên tất cả các Dịch vụ của đơn vị xử lý để tăng tính bảo mật của dữ liệu.

(b) Ngừng sử dụng đĩa và Hướng dẫn hủy đĩa.

Một số ổ đĩa có chứa dữ liệu có thể gặp sự cố về hiệu suất, lỗi hoặc lỗi phần cứng khiến các ổ đĩa này ngừng hoạt động ("Decommissioned Disk"). Mọi Ổ đĩa sẽ ngừng hoạt động phải tuân theo một loạt các quy trình hủy dữ liệu ("Nguyên tắc hủy dữ liệu") trước khi rời khỏi cơ sở của Jibe để sử dụng lại hoặc hủy. Những ổ đĩa đã ngừng hoạt động sẽ bị xoá theo quy trình nhiều bước và được ít nhất hai trình xác thực độc lập xác minh hoàn tất. Kết quả xóa được ghi lại bằng số sê-ri của ổ đĩa cơ chế để theo dõi. Cuối cùng, ổ đĩa đã gỡ bỏ được xoá được phát hành cho khoảng không quảng cáo để tái sử dụng và triển khai lại. Nếu do lỗi phần cứng, bạn không thể xoá Đĩa đã ngừng hoạt động, ổ đĩa này sẽ được lưu trữ an toàn cho đến khi bị huỷ. Mỗi cơ sở đều được kiểm tra thường xuyên để giám sát việc tuân thủ Nguyên tắc hủy dữ liệu.

(c) Dữ liệu ẩn danh.

Dữ liệu quảng cáo trực tuyến thường liên kết với các giá trị nhận dạng trực tuyến mà chúng có tên là 'bút danh' (nghĩa là không thể chỉ định chúng cho một cá nhân cụ thể nếu không sử dụng thêm thông tin). Jibe có sẵn nhiều chính sách cũng như biện pháp kiểm soát về mặt kỹ thuật và tổ chức để đảm bảo việc phân tách giữa dữ liệu gán biệt danh và thông tin nhận dạng cá nhân của người dùng (tức là thông tin có thể được dùng để xác định, liên hệ hoặc định vị chính xác một cá nhân), chẳng hạn như dữ liệu tài khoản Jibe của người dùng. Các chính sách của Jibe chỉ cho phép trao đổi thông tin giữa dữ liệu được gán biệt danh và dữ liệu nhận dạng cá nhân trong một số ít trường hợp.

(d) Khởi chạy bài đánh giá.

Jibe tiến hành đánh giá việc ra mắt các sản phẩm và tính năng mới trước khi ra mắt. Hoạt động này bao gồm cả hoạt động đánh giá quyền riêng tư do các kỹ sư về quyền riêng tư được đào tạo đặc biệt thực hiện. Trong các quy trình đánh giá quyền riêng tư, kỹ sư về quyền riêng tư đảm bảo rằng mọi chính sách và nguyên tắc hiện hành của Jibe đều được tuân thủ, bao gồm nhưng không giới hạn ở các chính sách liên quan đến bút danh, cũng như hoạt động lưu giữ và xoá dữ liệu.

4. Bảo mật nhân sự

Nhân viên của Jibe bắt buộc phải hành xử theo cách tuân thủ nguyên tắc của công ty về tính bảo mật, đạo đức kinh doanh, cách sử dụng phù hợp và các tiêu chuẩn chuyên nghiệp. Jibe thực hiện các hoạt động kiểm tra lai lịch phù hợp ở mức độ pháp lý cho phép và phù hợp với luật lao động hiện hành tại địa phương cũng như luật pháp.

Nhân viên bắt buộc phải thực hiện thỏa thuận bảo mật và phải xác nhận, đồng thời tuân thủ các chính sách bảo mật và quyền riêng tư của Jibe. Nhân viên được đào tạo về bảo mật. Nhân viên xử lý Dữ liệu cá nhân của đối tác phải hoàn tất các yêu cầu bổ sung phù hợp với vai trò của họ. Nhân viên của Jibe sẽ không xử lý Dữ liệu cá nhân của Đối tác khi họ chưa ủy quyền.

5. Bảo mật bộ xử lý phụ

Trước khi tham gia Đơn vị xử lý phụ, Jibe tiến hành kiểm tra các phương thức bảo mật và bảo vệ quyền riêng tư của Đơn vị xử lý phụ để đảm bảo Đơn vị xử lý phụ có mức độ bảo mật và quyền riêng tư phù hợp với quyền truy cập của họ vào dữ liệu và phạm vi của các dịch vụ mà đơn vị xử lý đang cung cấp. Sau khi Jibe đã đánh giá các rủi ro do Đơn vị xử lý phụ gây ra, Đơn vị xử lý phụ sẽ phải ký kết các điều khoản hợp đồng bảo mật, bảo mật và quyền riêng tư phù hợp theo các yêu cầu trong Mục 11.3 (Yêu cầu đối với việc tham gia của Đơn vị xử lý phụ).

Phụ lục 3: Điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu

Điều khoản bổ sung sau đây cho Luật bảo vệ dữ liệu bên ngoài Châu Âu sẽ bổ sung cho Phụ lục về cách xử lý dữ liệu này:

• Phụ lục về đơn vị xử lý LGPD tại business.safety.google/processorterms/lgpd (ngày 27 tháng 8 năm 2020)
• Phụ lục Luật của tiểu bang Hoa Kỳ tại business.safety.google/processorterms/us-state-laws (ngày 12 tháng 12 năm 2022)

Nội dung đề cập đến Google LLC hoặc Google trong Phụ lục về đơn vị xử lý LGPD và Phụ lục luật của tiểu bang Hoa Kỳ sẽ được gửi cho Jibe.

Phụ lục về cách xử lý dữ liệu của Jibe, phiên bản 4.0

Các phiên bản trước

• Ngày 2 tháng 11 năm 2020