Cập nhật17 thg 6, 2024
Phụ lục Xử lý Dữ liệu
Khi cung cấp dịch vụ của chúng tôi, Workbase có thể xử lý dữ liệu cá nhân thay mặt cho bạn. Để phác thảo cụ thể cách chúng tôi sẽ thực hiện việc xử lý này và nghĩa vụ của chúng tôi cũng như nghĩa vụ của người dùng / khách hàng của chúng tôi, chúng tôi đã phát triển Bản Phụ Lục Xử Lý Dữ Liệu (DPA) mà chúng tôi ký kết miễn phí với bất kỳ ai sử dụng dịch vụ của chúng tôi và yêu cầu nó.
Các điều khoản của DPA này được đính kèm với Điều Khoản Dịch Vụ của Workbase và là một phần của thỏa thuận của bạn với chúng tôi khi bạn đăng ký sử dụng Dịch Vụ của chúng tôi.
Tuy nhiên, nếu có yêu cầu cho bạn ký một DPA riêng biệt với chúng tôi, Workbase cung cấp Bản Phụ Lục Xử Lý Dữ Liệu bổ sung cho Điều Khoản Dịch Vụ hoặc bất kỳ Thỏa Thuận nào khác. Vui lòng để một cá nhân được ủy quyền thực hiện Bản DPA này. Khi bạn ký thỏa thuận, bạn sẽ ngay lập tức nhận được một bản sao đã ký đầy đủ có thể tải xuống qua email.
Bản Phụ Lục Xử Lý Dữ Liệu này (“DPA”) được đưa vào và tuân theo các điều khoản và điều kiện của Thỏa Thuận giữa Workbase Platforms sp. z o.o. (“Workbase”) và thực thể hoặc người đặt hàng hoặc truy cập Dịch Vụ (“Khách hàng”). Tất cả các thuật ngữ viết hoa không được định nghĩa trong DPA này sẽ có nghĩa được quy định trong Thỏa Thuận. Để tránh nghi ngờ, tất cả các tham chiếu đến “Thỏa Thuận” sẽ bao gồm DPA này (bao gồm cả SCCs (nếu có), như đã định nghĩa ở đây).
DPA này quy định nghĩa vụ của Workbase và Khách hàng liên quan đến việc bảo vệ Dữ Liệu Cá Nhân, Nội Dung và các Thông Tin Bảo Mật khác của Khách hàng theo quy định của Luật Bảo Vệ Dữ Liệu.
1. Định nghĩa
“Công ty liên kết” có nghĩa là bất kỳ thực thể nào kiểm soát, được kiểm soát bởi, hoặc nằm dưới sự kiểm soát chung với thực thể chủ thể. “Kiểm soát”, cho mục đích của định nghĩa này, có nghĩa là quyền sở hữu hoặc kiểm soát trực tiếp hoặc gián tiếp hơn 50% quyền biểu quyết của thực thể chủ thể.
“Thỏa Thuận” có nghĩa là Điều Khoản Dịch Vụ của Workbase, hoặc thỏa thuận bằng văn bản hoặc điện tử khác, điều chỉnh việc cung cấp Dịch Vụ cho Khách hàng, khi các điều khoản hoặc thỏa thuận này có thể được cập nhật theo thời gian.
“CCPA” có nghĩa là Đạo Luật Quyền Riêng Tư Người Tiêu Dùng California, các quy định liên quan và các phiên bản kế nhiệm của nó.
“Người kiểm soát”, “Chủ thể dữ liệu”, “Xử lý” và “Người xử lý” (có hoặc không có chữ hoa) có nghĩa là các thuật ngữ được cung cấp trong GDPR và bao gồm các điều khoản tương tự theo Luật Bảo Vệ Dữ Liệu ở các khu vực pháp lý khác.
“Luật Bảo Vệ Dữ Liệu” có nghĩa là tất cả các luật và quy định áp dụng cho việc xử lý Dữ Liệu Cá Nhân của Workbase theo Thỏa Thuận, bao gồm CCPA và GDPR.
“GDPR” có nghĩa là Quy định (EU) 2016/679 của Nghị viện Châu Âu và Hội đồng vào ngày 27 tháng 4 năm 2016 về bảo vệ các cá nhân tự nhiên liên quan đến việc xử lý dữ liệu cá nhân và việc tự do di chuyển dữ liệu đó.
“Dữ Liệu Cá Nhân” có nghĩa là bất kỳ thông tin nào liên quan đến một cá nhân tự nhiên đã được xác định hoặc có thể xác định mà được Workbase xử lý thay mặt cho Khách hàng theo Thỏa Thuận.
“Sự cố bảo mật” có nghĩa là sự phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập vào Nội Dung, Dữ Liệu Cá Nhân của Người Dùng hoặc các Thông Tin Bảo Mật khác của Khách hàng được Workbase xử lý thay mặt cho Khách hàng theo Thỏa Thuận.
2. Xử lý dữ liệu cá nhân
2.1 Vai trò của các bên. Khách hàng có thể là người kiểm soát Dữ Liệu Cá Nhân hoặc là người xử lý. Workbase sẽ đóng vai trò là người xử lý hoặc Người xử lý phụ, tùy theo từng trường hợp. Workbase sẽ tuân thủ các nghĩa vụ theo Luật Bảo Vệ Dữ Liệu điều chỉnh các hoạt động của Workbase khi xử lý Dữ Liệu Cá Nhân. Khách hàng sẽ hoàn toàn chịu trách nhiệm về việc tuân thủ Luật Bảo Vệ Dữ Liệu liên quan đến việc thu thập và chuyển cho Workbase Dữ Liệu Cá Nhân, và về việc thông báo cho Workbase về bất kỳ nghĩa vụ nào được áp đặt lên Workbase khi là Người xử lý phụ hoặc nhà cung cấp dịch vụ cho Khách hàng.
2.2 Chi tiết về việc xử lý. Chủ đề của việc xử lý Dữ Liệu Cá Nhân bởi Workbase là việc thực hiện Ứng Dụng Workbase theo Thỏa Thuận. Thời gian xử lý, bản chất và mục đích của việc xử lý, các loại Dữ Liệu Cá Nhân và các loại Chủ thể Dữ Liệu được xử lý theo DPA này được quy định thêm trong Phụ Lục A.
2.3 Xử lý theo Luật Bảo Vệ Dữ Liệu. Workbase chỉ được xử lý Dữ Liệu Cá Nhân thay mặt cho và theo các hướng dẫn tài liệu của Khách hàng cho các mục đích sau: (a) xử lý theo Thỏa Thuận và các Đơn Đặt hàng áp dụng; (b) xử lý do Người Dùng khởi xướng trong việc sử dụng Ứng Dụng Workbase; và (c) xử lý để tuân thủ các hướng dẫn tài liệu khác được Khách hàng cung cấp. Workbase sẽ nhanh chóng thông báo cho Khách hàng nếu nó nhận thức rằng việc xử lý mà Khách hàng yêu cầu vi phạm Luật Bảo Vệ Dữ Liệu.
2.4 Xử lý theo Luật California. Theo CCPA, và liên quan đến Dữ Liệu Cá Nhân mà CCPA áp dụng: (a) Workbase sẽ không “bán” (như được định nghĩa trong CCPA) bất kỳ Dữ Liệu Cá Nhân nào; và (b) Workbase sẽ không thu thập, chia sẻ hoặc sử dụng bất kỳ Dữ Liệu Cá Nhân nào trừ khi cần thiết để thực hiện dịch vụ cho Khách hàng.
2.5 Bảo mật trong quá trình xử lý. Workbase sẽ coi Dữ Liệu Cá Nhân là Thông Tin Bảo Mật của Khách hàng và bảo vệ nó theo các nghĩa vụ bảo mật trong Thỏa Thuận. Workbase sẽ đảm bảo rằng nhân viên của mình tham gia vào việc xử lý Dữ Liệu Cá Nhân được thông báo về tính chất bí mật của Dữ Liệu Cá Nhân, đã nhận được đào tạo phù hợp về trách nhiệm của họ và đã ký hợp đồng bảo mật bằng văn bản không kém phần bảo vệ quyền của Khách hàng trong dữ liệu này như DPA này.
2.6 Yêu cầu của Chủ thể Dữ Liệu; Đánh giá tác động dữ liệu. Workbase sẽ, tùy theo tính chất của việc xử lý, hỗ trợ Khách hàng bằng các biện pháp kỹ thuật và tổ chức phù hợp, trong chừng mực có thể, cho việc thực hiện nghĩa vụ của Khách hàng để phản hồi: (a) bất kỳ yêu cầu nào từ một chủ thể dữ liệu để thực hiện bất kỳ quyền nào của mình theo Luật Bảo Vệ Dữ Liệu; (b) bất kỳ thư từ, truy vấn hoặc khiếu nại nào nhận được từ một chủ thể dữ liệu, cơ quan quản lý hoặc bên thứ ba khác liên quan đến việc xử lý Dữ Liệu Cá Nhân, và (c) bất kỳ đánh giá tác động bảo vệ dữ liệu nào mà Khách hàng có thể phải thực hiện theo Luật Bảo Vệ Dữ Liệu. Nếu bất kỳ yêu cầu, thư từ, truy vấn hoặc khiếu nại nào được gửi trực tiếp đến Workbase, Workbase sẽ nhanh chóng thông báo cho Khách hàng cung cấp đầy đủ thông tin chi tiết về điều đó. Workbase sẽ không phản hồi yêu cầu của một chủ thể dữ liệu mà không có sự đồng ý bằng văn bản trước của Khách hàng, ngoại trừ việc xác nhận rằng yêu cầu đó liên quan đến Khách hàng.
3. Người xử lý phụ
3.1 Người xử lý phụ được ủy quyền. Khách hàng đồng ý cho Workbase sử dụng các công ty liên kết của Workbase và các Người xử lý phụ bên thứ ba để xử lý Dữ Liệu Cá Nhân cho các mục đích được mô tả trong Thỏa Thuận và DPA này. Các Người xử lý phụ hiện đang được Workbase sử dụng có sẵn trên https://www.workbase.com/legal/sub-processors. Workbase hoặc một Công ty liên kết của Workbase sẽ ký hợp đồng bằng văn bản với mỗi Người xử lý phụ áp đặt các điều khoản bảo vệ dữ liệu lên Người xử lý phụ cơ bản tương đương với, và không kém phần bảo vệ quyền của các chủ thể dữ liệu trong Dữ Liệu Cá Nhân hơn, DPA này. Workbase sẽ thông báo cho Khách hàng nếu nó thêm hoặc loại bỏ các Người xử lý phụ trong vòng mười (10) ngày làm việc của những thay đổi như vậy nếu Khách hàng chọn nhận những thông báo đó ở đây. Khách hàng có thể phản đối quyết định của Workbase trong việc bổ nhiệm hoặc thay thế một Người xử lý phụ, với điều kiện phản đối đó trên cơ sở lý do hợp lý liên quan đến bảo mật dữ liệu. Nếu Khách hàng không phản đối một Người xử lý phụ mới trong vòng mười (10) ngày làm việc, Khách hàng sẽ được coi là đã ủy quyền cho việc sử dụng Người xử lý phụ mới của Workbase và từ bỏ quyền phản đối của mình. Nếu Khách hàng phản đối một Người xử lý phụ mới, Workbase sẽ nỗ lực hợp lý để tránh việc sử dụng Người xử lý phụ đó để xử lý Dữ Liệu Cá Nhân, thông qua việc điều chỉnh hoặc đề xuất thay đổi cấu hình của khách hàng trong Ứng Dụng Workbase. Nếu không có các phương án trên được thực hiện, Workbase sẽ chấm dứt đăng ký liên quan với phần của Ứng Dụng Workbase mà chỉ có thể được cung cấp bởi Workbase bằng cách sử dụng Người xử lý phụ đó. Khách hàng sẽ không nhận được hoàn tiền cho bất kỳ khoản phí trả trước nào chưa sử dụng liên quan đến việc chấm dứt đó và nếu phí còn lại chưa được thanh toán cho một kỳ đăng ký, Khách hàng sẽ ngay lập tức thanh toán số dư còn lại cho khoảng thời gian còn lại của kỳ đăng ký.
3.2 Trách nhiệm về các Người xử lý phụ. Trong trường hợp một Người xử lý phụ không thực hiện các nghĩa vụ bảo vệ dữ liệu của mình, Workbase vẫn chịu trách nhiệm hoàn toàn với Khách hàng về việc thực hiện nghĩa vụ của Người xử lý phụ đó.
4. Bảo mật
4.1 Biện pháp bảo mật. Workbase sẽ sử dụng các biện pháp bảo vệ thủ tục, kỹ thuật và hành chính được thiết kế để đảm bảo tính bảo mật, an ninh, tính toàn vẹn, tính sẵn có và quyền riêng tư của Nội dung, Dữ liệu cá nhân và các thông tin Bảo mật khác của Khách hàng được lưu trữ trong Ứng Dụng Workbase. Workbase có thể cập nhật hoặc sửa đổi các biện pháp đó theo thời gian với điều kiện những cập nhật và sửa đổi đó không dẫn đến sự suy giảm đáng kể về tổng thể an ninh của Ứng Dụng Workbase trong thời gian đăng ký của Khách hàng. Workbase không chịu trách nhiệm về bất kỳ vi phạm hoặc mất mát nào do Khách hàng, người dùng của Khách hàng hoặc bởi cấu hình và thông số triển khai của Khách hàng cho Ứng Dụng Workbase gây ra.
4.2 Quyền kiểm tra. Workbase sẽ cung cấp cho Khách hàng thông tin mà Khách hàng có thể hợp lý yêu cầu để chứng minh sự tuân thủ của Workbase đối với các nghĩa vụ theo Luật Bảo Vệ Dữ Liệu. Workbase sẽ tiếp tục cho phép và đóng góp vào các cuộc kiểm tra do Khách hàng hoặc một kiểm toán viên được Khách hàng chỉ định thực hiện miễn là không phải là đối thủ cạnh tranh của Workbase. Tất cả thông tin và yêu cầu kiểm toán và quy trình đó: (a) phải hợp lý dựa trên tính chất của Ứng Dụng Workbase và các loại Dữ liệu Cá Nhân được xử lý, (b) phải tuân theo một thỏa thuận bảo mật phù hợp; và (c) không được thực hiện quá một lần mỗi năm trừ khi theo yêu cầu của một cơ quan bảo vệ dữ liệu có thẩm quyền. Trước khi bắt đầu bất kỳ cuộc kiểm tra nào như vậy, Khách hàng và Workbase sẽ nhất trí về phạm vi, thời gian và thời gian của cuộc kiểm tra và tỷ lệ hoàn trả cho bất kỳ chi phí đi lại hoặc chi phí khác mà Workbase phát sinh trong quá trình cuộc kiểm tra đó. Tất cả các tỷ lệ hoàn lại phải hợp lý, căn cứ vào nguồn lực mà Workbase đã tiêu tốn. Khách hàng sẽ nhanh chóng thông báo cho Workbase về bất kỳ sự không tuân thủ nào được phát hiện trong quá trình kiểm tra.
4.3 Thông báo vi phạm. Workbase sẽ thông báo cho Khách hàng qua email mà không chậm trễ về việc phát hiện một Sự cố Bảo mật. Workbase sẽ thực hiện tất cả các hành động cần thiết một cách hợp lý để khắc phục hoặc giảm thiểu tác động của Sự cố Bảo mật. Workbase sẽ tiếp tục giữ cho Khách hàng được thông báo về tất cả các phát triển quan trọng liên quan đến sự cố và cung cấp thông tin và sự hợp tác mà Khách hàng có thể hợp lý yêu cầu để hoàn thành các nghĩa vụ báo cáo vi phạm dữ liệu theo Luật Bảo Vệ Dữ Liệu.
5. Trả lại và xóa dữ liệu cá nhân
Ngay khi chấm dứt hoặc hết hạn Thỏa Thuận, Workbase sẽ (theo sự lựa chọn của Khách hàng) xóa hoặc trả lại cho Khách hàng tất cả Dữ Liệu Cá Nhân (bao gồm cả bản sao) trong sự sở hữu hoặc kiểm soát của mình, ngoại trừ yêu cầu này sẽ không áp dụng trong trường hợp Workbase được yêu cầu theo luật hiện hành để giữ lại một phần hoặc tất cả Dữ Liệu Cá Nhân, hoặc đối với Dữ Liệu Cá Nhân mà nó đã lưu trữ trong các hệ thống sao lưu, dữ liệu mà Workbase sẽ cách ly một cách an toàn, bảo vệ khỏi bất kỳ xử lý bổ sung nào và cuối cùng xóa theo chính sách xóa của Workbase, ngoại trừ trong trường hợp được yêu cầu bởi luật hiện hành. Các bên đồng ý rằng chứng nhận xóa Dữ Liệu Cá Nhân mô tả trong Điều 8.5 và 16(d) của Điều Khoản 2021 từ Người Kiểm Soát đến Người Xử lý và 2021 từ Người Xử lý đến Người Xử lý (nếu có) sẽ được Workbase cung cấp cho Khách hàng chỉ khi có yêu cầu bằng văn bản từ Khách hàng.
6. Điều khoản cụ thể của Châu Âu
6.1 Cơ chế chuyển dữ liệu xuyên biên giới. Các cơ chế chuyển dữ liệu được liệt kê trong Phụ lục B sẽ áp dụng, theo thứ tự ưu tiên bên dưới, cho bất kỳ việc chuyển Dữ Liệu Cá Nhân nào từ các quốc gia thành viên của Liên minh Châu Âu, Khu vực Kinh tế Châu Âu và Vương quốc Anh đến các quốc gia chưa được Ủy ban Châu Âu xác định là cung cấp mức độ bảo vệ đầy đủ cho Dữ Liệu Cá Nhân.
6.2 Trong trường hợp Workbase xử lý Dữ Liệu Cá Nhân xuất phát từ các quốc gia thành viên của Liên Minh Châu Âu, Khu vực Kinh tế Châu Âu hoặc Vương quốc Anh tại một quốc gia chưa được Ủy ban Châu Âu xác định là cung cấp mức độ bảo vệ đầy đủ cho Dữ Liệu Cá Nhân, dữ liệu Cá Nhân sẽ được coi là đã được bảo vệ đầy đủ do phiên bản không thay đổi của các Điều khoản Hợp đồng Chuẩn đã được Ủy ban Châu Âu phê duyệt cho việc Chuyển giao Dữ Liệu Cá Nhân đến cho Các Người Xử lý đặt tại Các Quốc gia Thứ ba theo GDPR, như đã được Ủy ban Châu Âu phê duyệt quyết định thực hiện 2021/914 (các “SCCs”) như quy định tại http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm tính đến Ngày có hiệu lực của DPA này, đã được đưa vào theo tham chiếu trong DPA này. Phụ lục 1 trong DPA này chứa một số điều khoản giải thích và bổ sung về việc áp dụng SCCs. Thông tin yêu cầu theo Phụ lục 1 và 2 của SCCs được cung cấp trong Phụ lục A và B của DPA này.
7. Các vấn đề khác
7.1 Giới hạn trách nhiệm. Trách nhiệm của mỗi bên đối với bên kia theo DPA này, cho dù trong hợp đồng, trách nhiệm dân sự hay theo bất kỳ lý thuyết trách nhiệm nào khác, do đó phải tuân theo các giới hạn trách nhiệm trong Thỏa Thuận.
7.2 Xây dựng; Giải thích. DPA này không phải là một thỏa thuận độc lập và chỉ có hiệu lực trong khi Thỏa Thuận có hiệu lực giữa Workbase và Khách hàng. DPA này và Thỏa thuận là tuyên bố hoàn chỉnh và độc quyền về sự hiểu biết lẫn nhau của các bên và thay thế và hủy bỏ mọi thỏa thuận và thông tin trước đó bằng văn bản và lời nói liên quan đến vấn đề này. Các tiêu đề chứa trong DPA này chỉ mang tính chất tham khảo cho sự tiện lợi và không cấu thành một phần của DPA này.
7.3 Tách biệt. Nếu bất kỳ điều khoản nào của DPA này được tuyên bố là không hợp lệ hoặc không thể thi hành, DPA này sẽ được sửa đổi ở mức tối thiểu cần thiết để đạt được, ở mức tối đa có thể, cùng một hiệu lực pháp lý và thương mại mà các bên ban đầu đã dự định. Trong phạm vi được luật hiện hành cho phép, các bên từ bỏ bất kỳ điều khoản nào của luật sẽ khiến bất kỳ điều khoản nào của DPA này bị cấm hoặc không thể thi hành dưới bất kỳ hình thức nào.
7.4 Sửa đổi; Thực thi quyền. Không có sửa đổi hoặc bổ sung nào dành cho DPA này, cũng như không có sự từ bỏ bất kỳ quyền nào theo DPA này, sẽ có hiệu lực trừ khi được lập thành văn bản và ký bởi các bên ở đây. Việc một trong hai bên không thực hiện bất kỳ quyền nào theo DPA này sẽ không được coi là sự từ bỏ bất kỳ quyền nào của bên đó.
7.5 Chuyển nhượng. DPA này chỉ có thể được chuyển nhượng cùng với một chuyển nhượng hợp lệ theo Thỏa Thuận. Nếu Thỏa Thuận được chuyển nhượng bởi một bên theo các điều khoản của nó, DPA này sẽ tự động được chuyển nhượng bởi cùng một bên đến cùng một người nhận.
7.6 Luật điều chỉnh. DPA này sẽ được điều chỉnh và giải thích theo luật của khu vực pháp lý điều chỉnh Thỏa Thuận trừ khi luật của GDPR quy định khác, trong trường hợp đó DPA này sẽ được điều chỉnh bởi luật của Hà Lan.
7.7 Bản sao. DPA này có thể được ký và giao bằng fax hoặc chữ ký điện tử và trong hai hoặc nhiều bản sao, mỗi bản sẽ được coi là bản gốc, nhưng tất cả sẽ hợp thành một và một văn bản.
PHỤ LỤC 1: CÁC ĐIỀU KHOẢN HỢP ĐỒNG CHUẨN CÓ THỂ ÁP DỤNG VÀ CÁC ĐIỀU KHOẢN BỔ SUNG
1. Sự kết hợp của SCCs
Các bên đồng ý rằng SCCs được kết hợp theo tham chiếu vào DPA này như sau:
1.1 Mô-đun 1: Chuyển giao từ người kiểm soát đến người kiểm soát, Điều khoản 1 đến 6, 8 và 10 đến 18 áp dụng khi Workbase Xử lý Dữ Liệu Cá Nhân với tư cách là Người kiểm soát theo các điều khoản của Thỏa Thuận, Workbase và các Công ty liên kết liên quan của nó nằm ở các nước thứ ba không được phê duyệt về mức độ đầy đủ, và Khách hàng và các Công ty liên kết liên quan của mình được thành lập tại EEA.
1.2 Mô-đun 2: Chuyển giao từ người kiểm soát đến người xử lý, Điều khoản 1 đến 6 và 8 đến 18 áp dụng khi Workbase Xử lý Dữ Liệu Cá Nhân với tư cách là Người xử lý theo các điều khoản của Thỏa Thuận, Workbase và các Công ty liên kết Người xử lý phụ liên quan nằm ở các nước không được phê duyệt về mức độ đầy đủ, và Khách hàng và các Công ty liên kết liên quan của họ được thành lập tại EEA.
1.3 Mô-đun 3: Chuyển giao từ người xử lý đến người xử lý, Điều khoản 1 đến 6 và 8 đến 18 áp dụng khi Workbase Xử lý Dữ Liệu Cá Nhân với tư cách là Người xử lý theo các điều khoản của Thỏa Thuận, Workbase và các Công ty liên kết Người xử lý phụ liên quan nằm ở các nước không được phê duyệt về mức độ đầy đủ, và Khách hàng và các Công ty liên kết liên quan của họ được thành lập tại EEA.
1.4 Mô-đun 4: Chuyển giao từ người xử lý đến người kiểm soát, Điều khoản 1 đến 6, 8, 10 đến 12, và 14 đến 18 áp dụng khi Workbase Xử lý Dữ Liệu Cá Nhân với tư cách là Người xử lý theo các điều khoản của Thỏa Thuận, và Workbase và các Công ty liên kết Người xử lý phụ liên quan nằm trong EEA, và Khách hàng và các Công ty liên kết liên quan của họ nằm ở các nước không được phê duyệt về mức độ đầy đủ.
2. Các điều khoản tùy chọn của điều khoản hợp đồng chuẩn
Ngoài Điều 1.1, khi SCCs xác định các điều khoản tùy chọn (hoặc các điều khoản có nhiều tùy chọn) thì các điều khoản sau sẽ được áp dụng theo cách sau:
2. Điều khoản 7 (Điều khoản cắm) được bỏ qua;
2.2 Trong Điều khoản 9(a) (Sử dụng các Người xử lý phụ) (Mô-đun 2) – Tùy chọn 2 sẽ được áp dụng và các bên sẽ thực hiện quy trình và thời gian đã thống nhất trong DPA để bổ nhiệm các Người xử lý phụ;
2.3 Trong Điều khoản 11(a) (Bồi thường) (Mô-đun 1, 2 hoặc 4) – điều khoản tùy chọn sẽ KHÔNG áp dụng;
2.4 Trong Điều khoản 16(b) (Tạm dừng chuyển giao) nếu Workbase là người xuất khẩu dữ liệu thì nó sẽ tạm dừng chuyển giao dữ liệu cá nhân chỉ khi được yêu cầu bởi luật pháp và sẽ thông báo cho Khách hàng càng sớm càng tốt (trước khi tạm dừng nếu có thể) để Khách hàng có thể khắc phục tình trạng yêu cầu tạm dừng;
3. Các điều khoản tùy chọn của EU
3.1 Trong Điều khoản 17 (Luật Điều chỉnh) (Mô-đun 1, 2 hoặc 4) – luật của Hà Lan sẽ điều chỉnh; và
3.2 Trong Điều khoản 18 (Lựa chọn diễn đàn và thẩm quyền) (Mô-đun 1, 2 hoặc 4) – tòa án của Hà Lan sẽ có thẩm quyền.
4. Các điều khoản cụ thể cho Vương quốc Anh
4.1 Điều khoản 6 Mô tả về chuyển giao được thay thế bằng:
“Các chi tiết về chuyển giao và đặc biệt là các loại dữ liệu cá nhân được chuyển giao và lý do mà chúng được chuyển giao) là những gì được chỉ định trong Phụ lục I.B khi Luật Bảo Vệ Dữ Liệu Vương Quốc Anh áp dụng cho việc xử lý của người xuất khẩu dữ liệu khi thực hiện chuyển giao đó.”
4.2 Các tham chiếu đến “Quy định (EU) 2016/679” hoặc “quy định đó” đều được thay thế bằng “Luật Bảo Vệ Dữ Liệu Vương Quốc Anh” và các tham chiếu đến Điều (các) cụ thể của “Quy định (EU) 2016/679” được thay thế bằng Điều hoặc Phần tương đương của Luật Bảo Vệ Dữ Liệu Vương Quốc Anh.
4.3 Các tham chiếu đến Quy định (EU) 2018/1725 được loại bỏ.
4.4 Các tham chiếu đến “Liên minh”, “EU” và “Quốc gia thành viên EU” đều được thay thế bằng “Vương quốc Anh”.
4.5 Trong Điều khoản 17 (Luật điều chỉnh) (Mô-đun 1, 2 hoặc 4) – luật của Anh và xứ Wales sẽ điều chỉnh; và
4.6 Trong Điều khoản 18 (Lựa chọn diễn đàn và thẩm quyền) (Mô-đun 1, 2 hoặc 4) – các tòa án tại London, Anh sẽ có thẩm quyền.
5. Các điều khoản bổ sung cho SCCs
5.1 Tài liệu và tuân thủ. Đối với các mục đích của Điều khoản 8.9(b) – Mô-đun Một, Điều khoản 8.9(e) – Mô-đun Hai và Điều khoản 8.3 – Mô-đun Bốn, các quy định xem xét và kiểm tra trong Thỏa Thuận và DPA sẽ được áp dụng.
5.2 Thông báo và Minh bạch. Các Bên công nhận và đồng ý rằng Workbase, khi được yêu cầu bởi SCCs để thông báo cho cơ quan giám sát có thẩm quyền, sẽ trước tiên cung cấp cho Khách hàng chi tiết về thông báo, cho phép Khách hàng có ý kiến bằng văn bản trước vào thông báo phù hợp mà Khách hàng muốn làm như vậy, mà không làm chậm lại thời gian thông báo một cách không hợp lý.
5.3 Để thực hiện Điều khoản 8.2 – Mô-đun 1, Điều khoản 8.3 – Mô-đun 2 và Điều khoản 15.1(a), các bên đồng ý và công nhận rằng có thể không thể cho Workbase thực hiện các thông báo phù hợp cho các chủ thể dữ liệu và do đó, Khách hàng sẽ (sau khi được Người Nhập Dữ liệu thông báo) có tùy chọn là bên thực hiện bất kỳ thông báo nào cho chủ thể dữ liệu, và Workbase sẽ cung cấp mức độ hỗ trợ được quy định trong DPA.
5.4 Trách nhiệm. Đối với các mục đích của Điều khoản 12(a), trách nhiệm của các bên sẽ được hạn chế theo các quy định giới hạn trách nhiệm trong Thỏa Thuận.
5.5 Người ký. Mặc dù thực tế là SCCs đã được kết hợp ở đây bằng tham chiếu mà không được ký trực tiếp, Workbase và Khách hàng mỗi bên đồng ý rằng việc thực hiện Thỏa thuận sẽ được coi là việc thực hiện SCCs của nó, và rằng nó được ủy quyền đầy đủ để làm như vậy thay mặt cho, và để ràng buộc hợp đồng, Người Xuất khẩu hoặc Người Nhập khẩu Dữ liệu (nếu có), theo đó.
Phụ lục A: Chi tiết về việc xử lý
Chủ đề của việc xử lý
Workbase sẽ xử lý Dữ Liệu Cá Nhân khi cần thiết để cung cấp Ứng dụng Workbase cho Khách hàng theo Thỏa Thuận.
Thời gian xử lý
Workbase sẽ xử lý Dữ Liệu Cá Nhân trong thời gian của Thỏa Thuận cho đến khi Thỏa Thuận chấm dứt, trừ khi có thỏa thuận khác bằng văn bản.
Loại Chủ thể Dữ liệu
Workbase thu thập Dữ Liệu Cá Nhân từ Người Dùng của Khách hàng để cung cấp Ứng dụng Workbase.
Bản chất và mục đích của việc xử lý
Mục đích của việc xử lý Dữ Liệu Cá Nhân của Khách hàng bởi Workbase là việc cung cấp Dịch Vụ theo Thỏa Thuận.
Các loại Dữ Liệu Cá Nhân
Dữ Liệu Cá Nhân được thu thập từ người dùng của Khách hàng có thể bao gồm mà không giới hạn: Dữ liệu xác định như tên và địa chỉ email, và dữ liệu nhận dạng điện tử như địa chỉ IP và các định danh trực tuyến khác. Các loại Dữ Liệu Cá Nhân khác bao gồm địa chỉ vật lý (cho mục đích thanh toán), số điện thoại / di động, dữ liệu vị trí, và ID thiết bị. Workbase không theo dõi nội dung mà người dùng đưa vào Ứng dụng Workbase. Nếu người dùng thêm Dữ Liệu Cá Nhân vào Ứng dụng Workbase (trong một dự án Workbase trong Dịch vụ), Workbase sẽ tự động xử lý Dữ Liệu Cá Nhân đó.
Dữ Liệu Cá Nhân Nhạy cảm được chuyển giao
Khách hàng sẽ không phải gửi Dữ Liệu Cá Nhân nhạy cảm cho các Dịch Vụ.
Tần suất chuyển dữ liệu
Liên tục
Thời gian mà Dữ Liệu Cá Nhân sẽ được lưu giữ
Thời gian mà Dữ Liệu Cá Nhân sẽ được lưu giữ được mô tả chi tiết hơn trong Thỏa Thuận, DPA và các Đơn Đặt hàng áp dụng liên quan.
Nghĩa vụ và quyền của Khách hàng
Những nghĩa vụ và quyền của Khách hàng với tư cách là người kiểm soát được quy định trong Thỏa Thuận và DPA này.
Phụ lục B: Các biện pháp bảo mật
Mô tả về các biện pháp bảo mật kỹ thuật và tổ chức của Workbase
Workbase thiết lập an ninh dữ liệu theo luật hiện hành. Các biện pháp Bảo mật Kỹ thuật và Tổ chức đã được thực hiện được nêu dưới đây. Các biện pháp được thực hiện nhằm đảm bảo mức độ bảo vệ phù hợp với rủi ro liên quan đến tính bảo mật, tính toàn vẹn, tính sẵn có và khả năng phục hồi của các hệ thống. Công nghệ hiện tại, chi phí thực hiện, bản chất, quy mô và mục đích của việc xử lý, cũng như xác suất xảy ra và mức độ nghiêm trọng của rủi ro đối với quyền và tự do của các cá nhân tự nhiên cũng cần được xem xét. Workbase đã đặt ra một số Biện pháp Bảo mật Kỹ thuật và Tổ chức và có thể thực hiện các biện pháp thay thế từ thời gian này sang thời gian khác, miễn là các biện pháp đó không làm giảm đáng kể mức độ an ninh của Workbase. Workbase có thể cung cấp cho Khách hàng, theo yêu cầu hợp lý, bằng chứng đầy đủ về việc tuân thủ các nghĩa vụ Xử lý Dữ liệu của mình theo Thỏa thuận này.
Các biện pháp ẩn danh và mã hóa dữ liệu cá nhân
Các biện pháp bảo đảm an ninh liên tục cho tính bảo mật, tính toàn vẹn, tính sẵn có và khả năng phục hồi của các hệ thống và dịch vụ xử lý
Các biện pháp bảo đảm khả năng khôi phục tính sẵn có và truy cập dữ liệu cá nhân một cách kịp thời trong trường hợp xảy ra sự cố vật lý hoặc kỹ thuật
Các quy trình thường xuyên kiểm tra, đánh giá và đánh giá hiệu quả của các biện pháp kỹ thuật và tổ chức để đảm bảo an ninh cho việc xử lý
Các biện pháp xác định và ủy quyền người dùng
Các biện pháp bảo vệ dữ liệu trong quá trình truyền tải
Các biện pháp bảo vệ dữ liệu trong quá trình lưu trữ
Các biện pháp bảo đảm an ninh vật lý cho các địa điểm mà dữ liệu cá nhân được xử lý
Các biện pháp đảm bảo việc ghi lại sự kiện
Các biện pháp bảo đảm cấu hình hệ thống, bao gồm cấu hình mặc định
Các biện pháp bảo vệ và quản lý IT nội bộ và an ninh IT
Các biện pháp chứng nhận / đảm bảo cho quy trình và sản phẩm
Các biện pháp đảm bảo tối thiểu hóa dữ liệu
Các biện pháp bảo đảm chất lượng dữ liệu
Các biện pháp bảo đảm giới hạn dữ liệu lưu trữ
Các biện pháp bảo đảm trách nhiệm
Các biện pháp cho phép tính di động dữ liệu và đảm bảo việc xóa bỏ