Hiến chương Luật riêng tư

Ngày – Phát hành vào ngày 01/01/2020

Lần sửa đổi cuối cùng vào ngày – 12/06/2023

Khả năng áp dụng:

Tài liệu này (“Yêu cầu”) tạo thành một phần không thể thiếu và có tính ràng buộc về mặt pháp lý của bất kỳ Thỏa thuận dịch vụ tổng thể, Tuyên bố công việc hoặc hợp đồng nào khác (“Thỏa thuận”) giữa Shaip (“Công ty”) và nhà cung cấp dịch vụ (“Nhà cung cấp/người làm việc tự do/chuyên gia tư vấn”).

1. Định nghĩa

Đối với mục đích của các Yêu cầu này, các thuật ngữ sau đây sẽ có ý nghĩa như được nêu dưới đây:

  • “Luật bảo vệ dữ liệu hiện hành” có nghĩa là tất cả luật, quy tắc và quy định quốc tế, liên bang, tiểu bang và địa phương áp dụng cho việc Xử lý Dữ liệu cá nhân, bao gồm nhưng không giới hạn ở GDPR, GDPR của Vương quốc Anh, CCPA/CPRA, HIPAA, PIPEDA và LGPD.
  • “Dữ liệu công ty” nghĩa là tất cả dữ liệu, thông tin và tài liệu, dưới mọi hình thức hoặc phương tiện, được cung cấp cho Nhà cung cấp bởi hoặc thay mặt Công ty, hoặc được thu thập, tạo ra, trích xuất, đặt biệt danh, ẩn danh (nếu có thể đảo ngược) hoặc được Nhà cung cấp xử lý thay mặt Công ty. Điều này bao gồm Dữ liệu Dự án và bất kỳ Dữ liệu Cá nhân nào.
  • “Vi phạm dữ liệu” có nghĩa là bất kỳ vi phạm bảo mật thực tế hoặc nghi ngờ nào dẫn đến việc phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập vào Dữ liệu của Công ty một cách vô tình hoặc bất hợp pháp.
  • “GDPR” có nghĩa là Quy định chung về bảo vệ dữ liệu (EU) 2016/679.
  • "Dữ liệu cá nhân" có nghĩa là bất kỳ thông tin nào liên quan đến một cá nhân đã được xác định hoặc có thể xác định được (“Chủ thể dữ liệu”) có trong Dữ liệu của Công ty.
  • “Dữ liệu cá nhân nhạy cảm” có nghĩa là bất kỳ loại dữ liệu nào được coi là nhạy cảm theo Luật Bảo vệ Dữ liệu Hiện hành, bao gồm nhưng không giới hạn ở nguồn gốc chủng tộc hoặc dân tộc, quan điểm chính trị, tín ngưỡng tôn giáo hoặc triết học, tư cách thành viên công đoàn, dữ liệu di truyền, dữ liệu sinh trắc học, dữ liệu liên quan đến sức khỏe hoặc dữ liệu liên quan đến đời sống tình dục hoặc khuynh hướng tình dục của một người.
  • "Chế biến" có nghĩa là bất kỳ hoạt động nào được thực hiện trên Dữ liệu của Công ty, chẳng hạn như thu thập, ghi lại, tổ chức, lưu trữ, điều chỉnh, truy xuất, sử dụng, tiết lộ, phổ biến hoặc hủy bỏ.
  • “Dữ liệu dự án” có nghĩa là dữ liệu cụ thể (ví dụ: giọng nói, hình ảnh, văn bản) được Nhà cung cấp thu thập hoặc tạo ra như một phần của các dịch vụ cung cấp cho Công ty.
  • “Bộ xử lý phụ” có nghĩa là bất kỳ bên thứ ba nào được Nhà cung cấp thuê để Xử lý Dữ liệu của Công ty.

2. Vai trò và nghĩa vụ của nhà cung cấp

2.1 Vai trò là Bên xử lý/Bên xử lý phụ. Nhà cung cấp thừa nhận rằng khi Xử lý Dữ liệu Công ty, Nhà cung cấp đóng vai trò là "Bên xử lý" hoặc "Bên xử lý phụ" thay mặt Công ty. Nhà cung cấp không có quyền sở hữu hoặc quyền độc lập đối với Dữ liệu Công ty.

2.2 Xử lý theo hướng dẫn. Nhà cung cấp chỉ được phép Xử lý Dữ liệu Công ty theo các hướng dẫn hợp pháp, có văn bản của Công ty, bao gồm các hướng dẫn được nêu trong Thỏa thuận và các Tuyên bố Công việc liên quan. Nhà cung cấp bị nghiêm cấm Xử lý Dữ liệu Công ty cho mục đích riêng hoặc cho bất kỳ mục đích nào không được Công ty chỉ dẫn rõ ràng. Hướng dẫn phải bao gồm các yêu cầu về lưu giữ và xử lý dữ liệu. Nếu Nhà cung cấp tin rằng một hướng dẫn vi phạm Luật Bảo vệ Dữ liệu Hiện hành, Nhà cung cấp phải thông báo ngay cho Công ty.

2.3 Tuân thủ pháp luật. Nhà cung cấp bảo đảm và cam kết rằng họ sẽ tuân thủ mọi Luật bảo vệ dữ liệu hiện hành trong quá trình thực hiện Thỏa thuận và sẽ thông báo ngay cho Công ty nếu có bất kỳ luật nào ngăn cản việc tuân thủ hoặc yêu cầu tiết lộ Dữ liệu của Công ty (ví dụ: yêu cầu truy cập của chính phủ).

3. Các biện pháp an ninh kỹ thuật và tổ chức

3.1 Tiêu chuẩn bảo mật. Nhà cung cấp phải triển khai và duy trì các biện pháp bảo mật kỹ thuật và tổ chức phù hợp để bảo vệ Dữ liệu của Công ty khỏi mọi Vi phạm Dữ liệu. Các biện pháp này phải tương xứng với mức độ rủi ro và bản chất của dữ liệu, và tối thiểu phải bao gồm:

  1. Mã hóa: Mã hóa toàn bộ Dữ liệu của Công ty khi lưu trữ và khi truyền tải.
  2. Kiểm soát truy cập: Kiểm soát truy cập chặt chẽ dựa trên đặc quyền tối thiểu, đảm bảo chỉ những nhân viên được ủy quyền mới có quyền truy cập vào Dữ liệu của Công ty.
  3. Giảm thiểu dữ liệu: Chỉ thu thập và xử lý lượng Dữ liệu cá nhân tối thiểu cần thiết cho dự án đã chỉ định.
  4. Môi trường an toàn: Đảm bảo rằng tất cả các hệ thống được sử dụng để Xử lý Dữ liệu của Công ty đều được cấu hình, vá lỗi, ghi nhật ký và giám sát một cách an toàn.
  5. Xóa an toàn: Thực hiện các quy trình xóa Dữ liệu của Công ty một cách an toàn và vĩnh viễn theo hướng dẫn của Công ty, bao gồm xóa khỏi bản sao lưu.
  6. Bảo mật vật lý: Bảo mật mọi vị trí và thiết bị vật lý nơi Dữ liệu của Công ty được lưu trữ hoặc truy cập.
  7. Kiểm tra và giám sát: Kiểm tra xâm nhập thường xuyên, đánh giá lỗ hổng và giám sát liên tục.
  8. Kinh doanh liên tục: Duy trì kế hoạch ứng phó sự cố, phục hồi sau thảm họa và duy trì hoạt động kinh doanh.

4. Xử lý phụ

4.1 Cần có sự đồng ý trước. Nhà cung cấp sẽ không thuê bất kỳ Bộ xử lý phụ nào để Xử lý Dữ liệu của Công ty mà không có sự đồng ý trước bằng văn bản cụ thể của Công ty.

4.2 Chuyển giao nghĩa vụ. Nếu được chấp thuận, Nhà cung cấp phải ký một thỏa thuận bằng văn bản với Bên xử lý phụ trong đó áp đặt cho Bên xử lý phụ các nghĩa vụ bảo vệ dữ liệu giống hoặc nghiêm ngặt hơn như các Yêu cầu này áp đặt cho Nhà cung cấp.

4.3 Danh sách bộ xử lý phụ. Nhà cung cấp phải duy trì danh sách các Đơn vị xử lý phụ được cập nhật thường xuyên và cung cấp cho Công ty khi được yêu cầu. Công ty có quyền từ chối bất kỳ Đơn vị xử lý phụ nào bất cứ lúc nào.

4.4 Chịu toàn bộ trách nhiệm. Nhà cung cấp vẫn phải chịu hoàn toàn trách nhiệm với Công ty về việc thực hiện các nghĩa vụ của Bên xử lý phụ và về bất kỳ hành vi hoặc thiếu sót nào của Bên xử lý phụ.

5. Thông báo và quản lý vi phạm dữ liệu

5.1 Thông báo ngay lập tức. Nhà cung cấp phải thông báo cho Công ty bằng văn bản mà không chậm trễ và trong mọi trường hợp không muộn hơn hai mươi bốn (24) giờ sau khi lần đầu tiên biết về bất kỳ Vi phạm dữ liệu nào.

5.2 Chi tiết vi phạm. Thông báo tối thiểu phải:

  1. Mô tả bản chất của Vi phạm dữ liệu, bao gồm các danh mục và số lượng gần đúng của Đối tượng dữ liệu và hồ sơ dữ liệu liên quan.
  2. Cung cấp tên và thông tin liên lạc của nhân viên bảo vệ dữ liệu của Nhà cung cấp hoặc điểm liên hệ có liên quan khác.
  3. Mô tả những hậu quả có thể xảy ra do Vi phạm dữ liệu.
  4. Mô tả các biện pháp mà Nhà cung cấp đã thực hiện hoặc đề xuất thực hiện để giải quyết Vi phạm dữ liệu và giảm thiểu tác động của nó.

5.3 Cập nhật liên tục. Nhà cung cấp sẽ cung cấp thông tin cập nhật thường xuyên cho đến khi sự cố được giải quyết hoàn toàn.

5.4 Hợp tác. Nhà cung cấp phải hợp tác toàn diện với Công ty trong việc điều tra, khắc phục và thông báo về bất kỳ Vi phạm Dữ liệu nào. Nhà cung cấp phải chịu mọi chi phí liên quan đến Vi phạm Dữ liệu trong phạm vi do việc vi phạm các Yêu cầu này gây ra.

6. Truyền dữ liệu quốc tế

6.1 Nhà cung cấp không được chuyển Dữ liệu Công ty qua biên giới quốc tế mà không có sự đồng ý trước bằng văn bản của Công ty. Nhà cung cấp phải chỉ định tất cả các quốc gia mà Nhà cung cấp sẽ Xử lý Dữ liệu Công ty.

6.2 Khi cần thiết, Nhà cung cấp đồng ý tham gia vào Điều khoản hợp đồng tiêu chuẩn (SCC), Quy tắc ràng buộc của công ty (BCR), Phụ lục của Vương quốc Anh hoặc bất kỳ cơ chế nào khác do Công ty yêu cầu để đảm bảo việc chuyển dữ liệu hợp pháp.

6.3 Nhà cung cấp phải tuân thủ các yêu cầu về lưu trữ dữ liệu tại địa phương khi áp dụng.

7. Kiểm toán và thanh tra

Công ty, hoặc kiểm toán viên bên thứ ba được Công ty chỉ định, có quyền tiến hành kiểm toán, với chi phí của riêng mình, để xác minh việc Nhà cung cấp tuân thủ các Yêu cầu này. Nhà cung cấp phải cung cấp tất cả thông tin, tài liệu cần thiết và quyền tiếp cận cơ sở vật chất và nhân sự.

Nhà cung cấp phải trải qua các chứng nhận của bên thứ ba thường xuyên (ví dụ: ISO 27001, SOC 2) và/hoặc tự đánh giá, đồng thời phải nhanh chóng khắc phục mọi thiếu sót được xác định trong quá trình kiểm toán hoặc đánh giá trong khung thời gian đã thỏa thuận chung.

8. Hỗ trợ Quyền của Chủ thể Dữ liệu

Nhà cung cấp phải thông báo ngay lập tức, và trong mọi trường hợp không muộn hơn bốn mươi tám (48) giờ, cho Công ty về bất kỳ yêu cầu nào nhận được từ Chủ thể Dữ liệu để thực hiện các quyền của họ (ví dụ: truy cập, chỉnh sửa, xóa, chuyển nhượng). Nhà cung cấp sẽ không phản hồi trực tiếp các yêu cầu đó trừ khi được Công ty chỉ dẫn và sẽ cung cấp mọi hỗ trợ cần thiết để Công ty có thể phản hồi.

9. Trả về và xóa dữ liệu

Khi Thỏa thuận chấm dứt hoặc theo yêu cầu của Công ty, Nhà cung cấp sẽ, theo lựa chọn của Công ty, xóa hoặc trả lại toàn bộ Dữ liệu của Công ty một cách an toàn trong vòng ba mươi (30) ngày. Nhà cung cấp phải đảm bảo xóa dữ liệu khỏi các bản sao lưu và cung cấp chứng nhận bằng văn bản về việc xóa dữ liệu đó.

10. Các loại dữ liệu đặc biệt

10.1 Dữ liệu chăm sóc sức khỏe (HIPAA): Nếu Nhà cung cấp xử lý bất kỳ Thông tin Y tế được Bảo vệ (PHI) nào, Nhà cung cấp thừa nhận mình là "Đối tác Kinh doanh" (hoặc nhà thầu phụ của Đối tác Kinh doanh) theo HIPAA. Nhà cung cấp phải tuân thủ các yêu cầu của HIPAA và phải thực hiện Thỏa thuận Đối tác Kinh doanh (BAA) của Công ty.

10.2 Dữ liệu nhạy cảm khác: Đối với các dự án liên quan đến Dữ liệu cá nhân nhạy cảm (bao gồm dữ liệu sinh trắc học hoặc dữ liệu từ trẻ em), Nhà cung cấp phải có được sự chấp thuận của Công ty và tuân thủ các giao thức bảo mật và xử lý nâng cao theo quy định của Công ty.

11. Bồi thường và Trách nhiệm pháp lý

Nhà cung cấp đồng ý bảo vệ, bồi thường và giữ cho Công ty, các chi nhánh, cán bộ và khách hàng của Công ty không phải chịu bất kỳ khiếu nại, trách nhiệm pháp lý, thiệt hại, mất mát, tiền phạt, hình phạt và chi phí (bao gồm cả phí luật sư hợp lý) phát sinh từ hoặc liên quan đến bất kỳ vi phạm nào đối với các Yêu cầu này của Nhà cung cấp, nhân viên của Nhà cung cấp hoặc các Bộ xử lý phụ của Nhà cung cấp.

Trách nhiệm pháp lý sẽ không bị giới hạn đối với các vi phạm liên quan đến Vi phạm dữ liệu, tiền phạt theo quy định, hành vi cố ý sai trái hoặc gian lận.

12. Các quy định chung

12.1 Quyền ưu tiên. Trong trường hợp có bất kỳ xung đột nào giữa các điều khoản của Thỏa thuận và các Yêu cầu này, các Yêu cầu này sẽ được ưu tiên áp dụng đối với việc bảo vệ dữ liệu.

12.2 Sửa đổi. Những Yêu cầu này chỉ có thể được sửa đổi bằng văn bản sửa đổi có chữ ký của đại diện có thẩm quyền của cả hai bên.

12.3 Sự sống còn. Các nghĩa vụ liên quan đến bảo mật, xóa dữ liệu, trách nhiệm pháp lý và quyền kiểm toán vẫn có hiệu lực sau khi Thỏa thuận chấm dứt.

12.4 Luật áp dụng. Các Yêu cầu này sẽ được điều chỉnh và diễn giải theo luật hiện hành được nêu trong Thỏa thuận.