Skip to Content
Go back
BAS-IP / PHỤ LỤC XỬ LÝ DỮ LIỆU

Cập nhật lần cuối: [10.12.2025]

Phụ lục xử lý dữ liệu này (sau đây gọi là ‘DPA‘) được ký kết giữa bạn (sau đây gọi là ‘Khách hàng‘, ‘bạn‘, ‘của bạn‘) và BAS-IP DISTRIBUTION LTD (sau đây gọi là ‘Công ty‘, ‘BAS-IP‘, ‘chúng tôi‘, của chúng tôi’), sau đây gọi riêng là ‘Bên‘ hoặc gọi chung là ‘Các bên‘. DPA này bổ sung cho các Điều khoản và Điều kiện (sau đây gọi là ‘Thỏa thuận‘), được ký kết giữa các Bên.

DPA này điều chỉnh việc xử lý dữ liệu cá nhân mà Khách hàng cung cấp cho BAS-IP liên quan đến việc sử dụng các sản phẩm và dịch vụ của BAS-IP (gọi chung là ‘Dịch vụ‘), cũng như bất kỳ dữ liệu cá nhân nào mà BAS-IP có được trong quá trình thực hiện Dịch vụ cho Khách hàng.

Trừ khi có định nghĩa khác trong DPA này, tất cả các thuật ngữ viết hoa được sử dụng trong DPA này sẽ có ý nghĩa được quy định trong Thỏa thuận. DPA này sẽ vẫn có hiệu lực cho đến khi chấm dứt Thỏa thuận giữa bạn và chúng tôi điều chỉnh việc bạn sử dụng Dịch vụ. Trong trường hợp có bất kỳ xung đột nào giữa DPA này và Thỏa thuận, các quy định của DPA này sẽ được ưu tiên áp dụng đối với việc xử lý dữ liệu cá nhân.

1. Định nghĩa

Đối với mục đích của DPA này, các định nghĩa sau sẽ được áp dụng:

Dữ liệu khách hàng” có nghĩa là bất kỳ dữ liệu cá nhân nào mà Khách hàng tải lên, truyền tải hoặc cung cấp cho BAS-IP liên quan đến Dịch vụ, cũng như bất kỳ dữ liệu cá nhân nào mà BAS-IP xử lý trong quá trình thực hiện Dịch vụ.

Luật bảo vệ dữ liệu” có nghĩa là tất cả các luật và quy định hiện hành liên quan đến việc xử lý Dữ liệu Khách hàng, bao gồm các luật và quy định của Liên minh Châu Âu, Khu vực Kinh tế Châu Âu và các quốc gia thành viên, Vương quốc Anh, chẳng hạn như:

  • Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu (EU GDPR);
  • Quy định chung về bảo vệ dữ liệu của Vương quốc Anh (UK GDPR);
  • Đạo luật Bảo vệ Dữ liệu 2018;
  • Đạo luật Dữ liệu (Sử dụng và Truy cập) 2025 (DUAA);
  • bất kỳ luật và quy định bảo vệ dữ liệu hiện hành nào khác, trong phạm vi áp dụng cho các Bên và các hoạt động xử lý theo DPA này bất kỳ luật và quy định hiện hành nào khác.

Cơ chế truyền dữ liệu” có nghĩa là bất kỳ cơ chế, công cụ hoặc khuôn khổ nào được pháp luật công nhận cho phép chuyển Dữ liệu khách hàng từ khu vực pháp lý này sang khu vực pháp lý khác tuân thủ Luật bảo vệ dữ liệu hiện hành, bao gồm nhưng không giới hạn ở Điều khoản hợp đồng tiêu chuẩn của Liên minh Châu Âu và Phụ lục của Vương quốc Anh.

SCC của EU” có nghĩa là Điều khoản hợp đồng tiêu chuẩn của Liên minh Châu Âu về việc chuyển Dữ liệu khách hàng sang các nước thứ ba theo Quy định (EU) 2016/679 của Nghị viện Châu Âu và Hội đồng được phê duyệt bởi Quyết định Thực hiện của Ủy ban Châu Âu (EU) 2021/914 ngày 4 tháng 6 năm 2021, như hiện tại được quy định tại https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

Quy định chung về bảo vệ dữ liệu (GDPR)” có nghĩa là Quy định (EU) 2016/679 của Nghị viện Châu Âu và của Hội đồng ngày 27 tháng 4 năm 2016 về việc bảo vệ thể nhân liên quan đến việc xử lý dữ liệu cá nhân và về việc di chuyển tự do dữ liệu đó, đồng thời bãi bỏ Chỉ thị 95/46/EC.

Chuyển dữ liệu quốc tế” có nghĩa là bất kỳ việc chuyển Dữ liệu khách hàng nào từ một quốc gia mà dữ liệu được thu thập đến một quốc gia bên ngoài khu vực tài phán đó, trong đó Luật Bảo vệ Dữ liệu hiện hành yêu cầu các biện pháp bảo vệ thích hợp cho việc chuyển dữ liệu đó.

Cơ quan công quyền” có nghĩa là cơ quan chính phủ hoặc cơ quan thực thi pháp luật, bao gồm cả cơ quan tư pháp.

Dữ liệu khách hàng nhạy cảm” có nghĩa là Dữ liệu khách hàng tiết lộ nguồn gốc chủng tộc hoặc dân tộc, quan điểm chính trị, niềm tin tôn giáo hoặc triết học, hoặc tư cách thành viên công đoàn, dữ liệu di truyền hoặc dữ liệu sinh trắc học nhằm mục đích xác định duy nhất một thể nhân, dữ liệu liên quan đến sức khỏe, đời sống tình dục hoặc khuynh hướng tình dục của một người hoặc dữ liệu liên quan đến tiền án và tội phạm.

Dịch vụ” có nghĩa là các dịch vụ do Công ty cung cấp cho Khách hàng.

Cơ quan giám sát” có nghĩa là một cơ quan công quyền độc lập chịu trách nhiệm giám sát việc áp dụng luật bảo vệ dữ liệu.

Các biện pháp bảo mật kỹ thuật và tổ chức” có nghĩa là các biện pháp nhằm bảo vệ dữ liệu cá nhân chống lại sự phá hủy không chủ ý hoặc mất mát, thay đổi, tiết lộ hoặc truy cập trái phép, đặc biệt là khi xử lý liên quan đến việc truyền dữ liệu qua mạng và chống lại tất cả các hình thức xử lý bất hợp pháp khác.

GDPR của Vương quốc Anh” có nghĩa là phiên bản được giữ lại của Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu vì nó là một phần của luật Vương quốc Anh, cùng với bất kỳ sửa đổi nào được thực hiện bởi Đạo luật Bảo vệ Dữ liệu 2018 và bất kỳ luật hiện hành nào khác của Vương quốc Anh điều chỉnh việc xử lý dữ liệu cá nhân.

Phụ lục Vương quốc Anh” có nghĩa là Phụ lục chuyển dữ liệu quốc tế đối với Điều khoản hợp đồng tiêu chuẩn của Liên minh Châu Âu đã được ban hành bởi Ủy viên Thông tin cho các Bên thực hiện Chuyển dữ liệu bị hạn chế theo nghĩa của Luật Bảo vệ Dữ liệu của Vương quốc Anh, như hiện được quy định tại https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.

người kiểm soát“, “bên xử lý“, “bên xử lý phụ“, “chủ thể dữ liệu“, “dữ liệu cá nhân” và “xử lý” có ý nghĩa được quy định trong Luật bảo vệ dữ liệu.

2. Vai trò và trách nhiệm

Trong trường hợp BAS-IP xử lý Dữ liệu khách hàng thay mặt bạn liên quan đến Dịch vụ, bạn thừa nhận và đồng ý rằng liên quan đến việc xử lý Dữ liệu khách hàng, bạn là bên kiểm soát hoặc xử lý và chúng tôi là bên xử lý hoặc xử lý phụ (theo định nghĩa của Luật Bảo vệ Dữ liệu) thay mặt bạn. Mô tả về quá trình xử lý như vậy được nêu trong Phụ lục 1 của DPA này. DPA này sẽ áp dụng tương ứng với các vai trò đã được thiết lập và không áp dụng cho các trường hợp mà chúng tôi đóng vai trò là bên kiểm soát theo Chính sách Quyền riêng tư của BAS-IP.

Nếu Khách hàng là bên xử lý, Khách hàng đảm bảo với BAS-IP rằng các hướng dẫn và hành động của Khách hàng liên quan đến dữ liệu cá nhân, bao gồm chỉ định BAS-IP làm bên xử lý phụ và, nếu có, ký kết SCC của EU hoặc bất kỳ Phụ lục nào khác theo Mục 9 của DPA này (bao gồm cả những điều có thể được sửa đổi trong Mục 9 bên dưới), đã (và sẽ,  trong thời gian của DPA này, tiếp tục) được ủy quyền bởi người kiểm soát bên thứ ba có liên quan.

3. Hướng dẫn

Các Bên đồng ý rằng DPA này và Thỏa thuận hiện hành cấu thành các hướng dẫn bằng văn bản đầy đủ và cuối cùng của Khách hàng liên quan đến việc xử lý Dữ liệu Khách hàng (sau đây gọi là ‘Hướng dẫn‘) trong đó Khách hàng đóng vai trò là bên kiểm soát hoặc xử lý và BAS-IP đóng vai trò là bên xử lý hoặc xử lý phụ theo Luật Bảo vệ Dữ liệu.

Bất kỳ hướng dẫn bổ sung hoặc thay thế nào phải được các Bên đồng ý bằng văn bản và phải phù hợp với DPA này và Thỏa thuận.

4. Mô tả quá trình xử lý

Việc xử lý Dữ liệu Khách hàng thay mặt Khách hàng liên quan đến Dịch vụ được mô tả trong Phụ lục 1 của DPA này. Chúng tôi có quyền cập nhật mô tả xử lý theo thời gian để phản ánh chức năng mới là một phần của Dịch vụ.

5. Nghĩa vụ của khách hàng

5.1. Nghĩa vụ của Kiểm soát viên

Trong phạm vi của DPA, khi Khách hàng đóng vai trò là bên kiểm soát, Khách hàng phải chịu trách nhiệm tuân thủ tất cả các yêu cầu áp dụng cho Khách hàng với tư cách là bên kiểm soát theo Luật Bảo vệ Dữ liệu.

Khi đóng vai trò là người kiểm soát, bạn phải:

(a) duy trì tính chính xác, chất lượng, bảo mật và bảo mật của Dữ liệu khách hàng;

(b) tuân thủ và thực hiện các nghĩa vụ của bạn theo Luật Bảo vệ Dữ liệu, bao gồm liên quan đến quyền của chủ thể dữ liệu, bảo mật dữ liệu và bảo mật, đồng thời đảm bảo bạn có cơ sở pháp lý thích hợp để xử lý dữ liệu cá nhân;

(c) chỉ cung cấp BAS-IP Dữ liệu khách hàng đã được thu thập hợp pháp và đảm bảo dữ liệu đó đầy đủ, phù hợp và tương xứng với các mục đích đã định;

(d) đảm bảo rằng Hướng dẫn của bạn cho BAS-IP liên quan đến việc xử lý Dữ liệu Khách hàng tuân thủ Luật Bảo vệ Dữ liệu, bao gồm các nguyên tắc giảm thiểu dữ liệu, giới hạn mục đích và giới hạn lưu trữ.

5.2. Nghĩa vụ của Bên xử lý

Trong phạm vi của DPA, khi Khách hàng đóng vai trò là bên xử lý, Khách hàng sẽ chịu trách nhiệm tuân thủ tất cả các yêu cầu áp dụng cho Khách hàng với tư cách là bên xử lý theo Luật Bảo vệ Dữ liệu.

Khi hoạt động với tư cách là Bên xử lý, bạn phải:

(a) chỉ cung cấp cho BAS-IP các hướng dẫn xử lý phản ánh chính xác các hướng dẫn bằng văn bản của bộ điều khiển tương ứng;

(b) chỉ cung cấp BAS-IP Dữ liệu khách hàng đã được lấy hợp pháp từ bên kiểm soát tương ứng và đầy đủ, phù hợp và giới hạn ở những gì cần thiết cho các mục đích được phép;

(c) duy trì tính minh bạch với bên kiểm soát tương ứng về sự tham gia của BAS-IP và bất kỳ bên xử lý phụ nào;

(d) tuân thủ tất cả các nghĩa vụ theo Luật Bảo vệ Dữ liệu hiện hành với tư cách là bên xử lý;

(e) đảm bảo rằng nhân viên của bạn hoặc bất kỳ bên thứ ba nào truy cập Dữ liệu khách hàng tuân thủ DPA này và Thỏa thuận.

6. Nghĩa vụ BAS-IP

6.1. Nghĩa vụ chung

Khi BAS-IP hoạt động như một bộ xử lý/bộ xử lý phụ, chúng tôi phải:

(a) xử lý Dữ liệu khách hàng theo Hướng dẫn của bạn và dành riêng cho các mục đích cụ thể;

(b) thông báo cho bạn nếu, theo ý kiến hợp lý của BAS-IP:

(i) Hướng dẫn của bạn vi phạm hoặc có thể vi phạm Luật Bảo vệ Dữ liệu hiện hành; hoặc

(ii) BAS-IP không thể tuân thủ Hướng dẫn của bạn;

(c) thực hiện và duy trì các biện pháp kỹ thuật và tổ chức thích hợp để đảm bảo tính bảo mật của Dữ liệu Khách hàng;

(d) tuân thủ tất cả các Luật Bảo vệ Dữ liệu hiện hành, bao gồm các nghĩa vụ liên quan đến quyền của chủ thể dữ liệu, bảo mật dữ liệu và bảo mật;

(e) đảm bảo, thông qua hợp đồng bằng văn bản hoặc các phương tiện ràng buộc pháp lý khác, rằng bất kỳ bên xử lý phụ nào được tham gia xử lý Dữ liệu khách hàng thay mặt cho BAS-IP phải tuân theo các nghĩa vụ bảo vệ dữ liệu tương đương như được quy định trong DPA này và Thỏa thuận;

(f) duy trì hồ sơ chính xác về tất cả các hoạt động xử lý được thực hiện thay mặt bạn theo DPA này và cung cấp hồ sơ đó cho bạn theo yêu cầu;

(g) thông báo cho bạn ngay lập tức nếu BAS-IP biết rằng bất kỳ Dữ liệu khách hàng nào do bạn cung cấp là không chính xác, không đầy đủ hoặc lỗi thời;

(g) áp dụng các biện pháp bảo vệ hoặc hạn chế thích hợp và cần thiết khi xử lý Dữ liệu Khách hàng nhạy cảm, theo yêu cầu của Luật Bảo vệ Dữ liệu hoặc Hướng dẫn;

(h) cung cấp cho bạn tất cả thông tin cần thiết một cách hợp lý để chứng minh BAS-IP tuân thủ các nghĩa vụ của mình theo Luật Bảo vệ Dữ liệu hiện hành.

6.2. Thông báo cho Khách hàng

Khi biết, chúng tôi sẽ thông báo cho bạn về bất kỳ yêu cầu ràng buộc pháp lý nào về việc tiết lộ Dữ liệu Khách hàng của Cơ quan Công quyền, trừ khi chúng tôi bị pháp luật cấm thông báo cho Khách hàng, chẳng hạn như để bảo vệ tính bảo mật của cuộc điều tra của Cơ quan Công quyền. Chúng tôi sẽ thông báo cho bạn nếu BAS-IP biết về bất kỳ thông báo, yêu cầu hoặc điều tra nào của Cơ quan Giám sát liên quan đến việc xử lý Dữ liệu Khách hàng theo DPA này được thực hiện giữa bạn và chúng tôi.

6.3. Bảo mật

Chúng tôi sẽ không truy cập, sử dụng hoặc tiết lộ cho bất kỳ bên thứ ba nào bất kỳ Dữ liệu khách hàng nào, ngoại trừ, trong mỗi trường hợp, khi cần thiết để duy trì hoặc cung cấp Dịch vụ hoặc khi cần thiết để tuân thủ các nghĩa vụ hợp đồng và pháp lý hoặc lệnh ràng buộc của cơ quan công quyền (chẳng hạn như trát đòi hầu tòa hoặc lệnh của tòa án).

Chúng tôi sẽ đảm bảo rằng bất kỳ nhân viên/nhà thầu nào mà chúng tôi ủy quyền truy cập Dữ liệu khách hàng thay mặt chúng tôi phải tuân theo các nghĩa vụ bảo mật, hợp đồng hoặc nghĩa vụ theo luật định thích hợp đối với Dữ liệu khách hàng.

6.4. Các biện pháp bảo mật

Chúng tôi sẽ thực hiện và duy trì các biện pháp kỹ thuật và tổ chức thích hợp để bảo vệ Dữ liệu khách hàng khỏi bất kỳ vi phạm dữ liệu nào như phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập trái phép vào Dữ liệu khách hàng được truyền, lưu trữ hoặc xử lý theo cách khác (sau đây gọi là ‘Sự cố bảo mật‘) theo các tiêu chuẩn bảo mật của chúng tôi được nêu trong Phụ lục 2 của DPA này.

Bạn thừa nhận rằng các biện pháp bảo mật tùy thuộc vào tiến bộ kỹ thuật, do đó chúng tôi có thể sửa đổi hoặc cập nhật Phụ lục 2 của DPA này theo quyết định riêng của chúng tôi, miễn là việc sửa đổi hoặc cập nhật đó không dẫn đến sự suy giảm đáng kể trong các biện pháp bảo mật được cung cấp bởi Phụ lục 2 của DPA này.

6.5. Sự cố bảo mật

Khi biết về Sự cố bảo mật, chúng tôi sẽ:

  • thông báo cho bạn ngay lập tức sau khi chúng tôi biết về Sự cố bảo mật;
  • cung cấp thông tin kịp thời liên quan đến Sự cố bảo mật (loại dữ liệu cá nhân, danh mục và số lượng cá nhân hoặc hồ sơ tiềm năng bị ảnh hưởng) khi được biết hoặc theo yêu cầu hợp lý của bạn; và
  • nhanh chóng thực hiện các bước hợp lý để ngăn chặn và điều tra bất kỳ Sự cố bảo mật nào để bạn có thể thông báo cho các cơ quan có thẩm quyền và/hoặc Chủ thể dữ liệu bị ảnh hưởng về Sự cố bảo mật.

Thông báo hoặc phản hồi của chúng tôi đối với Sự cố bảo mật sẽ không được hiểu là sự thừa nhận của chúng tôi về bất kỳ lỗi hoặc trách nhiệm pháp lý nào liên quan đến Sự cố bảo mật.

6.6. Trả lại hoặc xóa Dữ liệu khách hàng

Khi chấm dứt hoặc hết hạn Thỏa thuận được ký kết giữa bạn và chúng tôi, chúng tôi sẽ xóa hoặc trả lại tất cả Dữ liệu khách hàng mà chúng tôi sở hữu hoặc kiểm soát. Yêu cầu này sẽ không áp dụng trong phạm vi luật hiện hành hoặc nghĩa vụ hợp đồng tương ứng yêu cầu chúng tôi giữ lại một số hoặc tất cả Dữ liệu khách hàng.

6.7. Hỗ trợ hợp lý

Chúng tôi đồng ý cung cấp hỗ trợ hợp lý cho Khách hàng về:

(a) bất kỳ yêu cầu nào từ chủ thể dữ liệu liên quan đến việc truy cập hoặc chỉnh sửa, xóa, hạn chế, di chuyển, chặn hoặc xóa Dữ liệu Khách hàng mà chúng tôi xử lý thay mặt cho Khách hàng. Trong trường hợp chủ thể dữ liệu gửi yêu cầu đó trực tiếp cho chúng tôi, Mục 7 của DPA này sẽ được áp dụng;

(b) điều tra Sự cố An ninh và thông báo các thông báo cần thiết liên quan đến Sự cố An ninh đó, theo Mục 6.5 của DPA này;

(c) chuẩn bị đánh giá tác động bảo vệ dữ liệu (‘DPIA‘) và khi cần thiết, tham khảo ý kiến của Khách hàng với Cơ quan giám sát theo Điều 35 và 36 của GDPR.

6.8 Đánh giá và chứng nhận

6.8.1 Kiểm toán cơ quan giám sát

Nếu Cơ quan giám sát yêu cầu kiểm tra các cơ sở xử lý dữ liệu của chúng tôi, chúng tôi sử dụng để xử lý Dữ liệu Khách hàng nhằm xác định hoặc giám sát việc tuân thủ Luật Bảo vệ Dữ liệu của Khách hàng, chúng tôi sẽ hợp tác với cuộc kiểm toán. Khách hàng chịu trách nhiệm về tất cả các chi phí và lệ phí liên quan đến cuộc kiểm toán đó, bao gồm tất cả các chi phí và lệ phí hợp lý cho bất kỳ và tất cả thời gian chúng tôi dành cho bất kỳ cuộc kiểm toán nào như vậy, ngoài mức giá cho các dịch vụ do chúng tôi thực hiện.

6.8.2 Kiểm toán

Khách hàng có thể, trước khi bắt đầu xử lý và định kỳ, sau đó, đánh giá các biện pháp kỹ thuật và tổ chức do chúng tôi thực hiện. Nếu Khách hàng là bên kiểm soát đối với dữ liệu cá nhân do chúng tôi xử lý thay mặt Khách hàng, theo thỏa thuận trước hợp lý và kịp thời, trong giờ làm việc bình thường và không làm gián đoạn hoạt động kinh doanh của chúng tôi, chúng tôi có thể cung cấp cho Khách hàng tất cả thông tin cần thiết để chứng minh sự tuân thủ các nghĩa vụ của mình được quy định tại Điều 28 của GDPR và cho phép và đóng góp vào các cuộc kiểm toán,  bao gồm các cuộc kiểm tra, được thực hiện bởi Khách hàng hoặc kiểm toán viên khác do Khách hàng ủy quyền liên quan đến việc xử lý đó.

Chúng tôi sẽ, theo yêu cầu bằng văn bản của Khách hàng và trong một khoảng thời gian hợp lý, cung cấp cho Khách hàng tất cả thông tin cần thiết cho việc kiểm toán đó, trong phạm vi thông tin đó nằm trong tầm kiểm soát của chúng tôi và chúng tôi không bị loại trừ việc tiết lộ thông tin đó theo luật hiện hành, nghĩa vụ bảo mật hoặc bất kỳ nghĩa vụ nào khác đối với bên thứ ba.

7. Yêu cầu của chủ thể dữ liệu

Trong trường hợp chủ thể dữ liệu liên hệ với chúng tôi về việc thực hiện các quyền của họ theo Luật Bảo vệ Dữ liệu (cụ thể là yêu cầu truy cập, chỉnh sửa hoặc xóa Dữ liệu Khách hàng), chúng tôi sẽ sử dụng tất cả các nỗ lực hợp lý để chuyển tiếp các yêu cầu đó cho bạn. Nếu chúng tôi được yêu cầu về mặt pháp lý để trả lời yêu cầu như vậy, chúng tôi sẽ thông báo ngay cho bạn và cung cấp cho bạn một bản sao của yêu cầu trừ khi chúng tôi bị pháp luật cấm làm như vậy.

8. Bộ xử lý phụ

BAS-IP có sự cho phép chung bằng văn bản của Khách hàng cho việc tham gia của các bên xử lý phụ từ một danh sách đã thỏa thuận. BAS-IP đồng ý thông báo cho Khách hàng về bất kỳ thay đổi dự kiến nào đối với danh sách đó liên quan đến việc bổ sung hoặc thay thế bên xử lý phụ ít nhất 10 ngày trước khi bên xử lý phụ được đề cập, do đó cho Khách hàng cơ hội phản đối những thay đổi đó. BAS-IP sẽ cung cấp cho Khách hàng những thông tin cần thiết để cho phép Khách hàng thực hiện quyền phản đối.

Nếu Mục 9 của DPA này được áp dụng, thủ tục thuê bên xử lý phụ sẽ được điều chỉnh bởi các quy định có liên quan của Mục 9 của DPA này. Trong trường hợp đó, các quy định của Mục 9 sẽ được ưu tiên áp dụng.

Danh sách Bên xử lý phụ đã thỏa thuận được nêu trong Phụ lục 3 của DPA này.

9. Chuyển dữ liệu khách hàng

9.1. Tổng quan

Bạn thừa nhận và đồng ý rằng việc sử dụng Dịch vụ BAS-IP có thể liên quan đến việc chuyển Dữ liệu Khách hàng sang các khu vực pháp lý khác, tuân thủ Luật Bảo vệ Dữ liệu hiện hành.

Trong trường hợp việc chuyển giao như vậy yêu cầu các biện pháp bảo vệ thích hợp, Cơ chế truyền dữ liệu hiện hành sẽ được sử dụng, chẳng hạn như SCC của EU và Phụ lục của Vương quốc Anh. Các Cơ chế truyền dữ liệu này được kết hợp và tạo thành một phần không thể tách rời của DPA này, như được mô tả thêm trong Phần 9.2. và 9.3.

Trong trường hợp có bất kỳ mâu thuẫn nào giữa các quy định của DPA này và Cơ chế chuyển dữ liệu hiện hành, các quy định của Cơ chế chuyển dữ liệu có liên quan sẽ chỉ được ưu tiên áp dụng trong phạm vi xung đột đó.

9.2. Chuyển nhượng theo GDPR

Khi việc xử lý Dữ liệu khách hàng thay mặt bạn liên quan đến Dịch vụ cấu thành “chuyển giao” theo GDPR, Điều khoản hợp đồng tiêu chuẩn sẽ được áp dụng.

Khi bạn là bên kiểm soát và chúng tôi là bên xử lý, Mô-đun Hai của SCC EU sẽ được áp dụng và khi bạn là bên xử lý và chúng tôi là bên xử lý phụ, Mô-đun Ba của SCC EU sẽ được áp dụng.

Đối với mục đích của EU SCC, BAS-IP là “Người nhập dữ liệu” và bạn là “Người xuất dữ liệu”.

Các điều khoản liên quan có trong SCC của EU được kết hợp bằng cách tham chiếu và là một phần không thể thiếu của DPA này. Các điều khoản và phụ lục của SCC EU được coi là đã hoàn thành như sau:

(i) trong Khoản 7, điều khoản cập bến tùy chọn sẽ không được áp dụng;

(ii) tại Khoản 9, Phương án 2 (Văn bản ủy quyền chung) sẽ được áp dụng. Đối với mục đích của Khoản 9 (a), khoảng thời gian thông báo cho Bên xuất dữ liệu sẽ là 10 ngày;

(iii) trong Khoản 11, điều khoản tùy chọn sẽ không được áp dụng;

(iv) tại khoản 13, một phương án cụ thể sẽ được áp dụng tùy thuộc vào trường hợp cụ thể;

(v) Trong Khoản 17, Phương án 1 sẽ được áp dụng. SCC của EU sẽ được điều chỉnh bởi luật pháp của Cộng hòa Liên bang Đức;

(vi) trong Điều 18 (b), tranh chấp sẽ được giải quyết bởi tòa án của Cộng hòa Liên bang Đức;

(vii) Phụ lục I của SCC EU được coi là đã hoàn thành với thông tin được nêu trong Phụ lục 1 của DPA này;

(viii) Phụ lục II của SCC của EU được coi là đã hoàn thành với thông tin được nêu trong Phụ lục 2 của DPA này.

9.3. Chuyển giao theo Khung bảo vệ dữ liệu của Vương quốc Anh

Khi việc xử lý Dữ liệu khách hàng thay mặt bạn liên quan đến Dịch vụ cấu thành “chuyển giao hạn chế” theo Luật bảo vệ dữ liệu của Vương quốc Anh, Phụ lục của Vương quốc Anh sẽ được áp dụng.

Khi bạn là bên kiểm soát và BAS-IP là bên xử lý, Mô-đun Hai của SCC EU sẽ được áp dụng và khi bạn là bên xử lý và chúng tôi là bên xử lý phụ, Mô-đun Ba của SCC EU sẽ được áp dụng, như đã hoàn thành trong tiểu mục 9.2. của DPA này.

Theo mục đích của Phụ lục Vương quốc Anh, BAS-IP là “Nhà nhập khẩu” và bạn là “Nhà xuất khẩu”.

Các điều khoản liên quan có trong Phụ lục Vương quốc Anh được kết hợp bằng cách tham chiếu và là một phần không thể thiếu của DPA này. Các bảng trong Phụ lục Vương quốc Anh được coi là đã hoàn thành như sau:

(i) Bảng 1 trong Phần 1 được coi là đã hoàn thành với các thông tin được nêu trong Phụ lục 1 của DPA này và số đăng ký chính thức của Nhà nhập khẩu được 328138502 và số đăng ký chính thức của Nhà xuất khẩu được chứa trong tài khoản của Khách hàng, nếu có;

(ii) Bảng 2 trong Phần 1 được coi là đã hoàn thành phù hợp với thông tin được nêu trong tiểu mục 9.2. của DPA này;

(iii) Bảng 3 trong Phần 1 được coi là đã hoàn thành với các thông tin được nêu trong Phụ lục 1, 2 và 3 của DPA này;

(iv) trong Bảng 4 của Phần 1, không bên nào có thể kết thúc Phụ lục này như được nêu trong Mục 19 của Phụ lục Vương quốc Anh.

BẢNG 1 – MÔ TẢ XỬ LÝ

DANH SÁCH CÁC BÊN

Khách hàng (Trình xuất dữ liệu)

Tên: Bạn, ‘Khách hàng’

Địa chỉ: thông tin liên quan có trong tài khoản của Khách hàng.

Tên, chức vụ và chi tiết liên hệ của người liên hệ: thông tin liên quan có trong tài khoản của Khách hàng.

Các hoạt động liên quan đến dữ liệu được chuyển theo các Điều khoản này: cung cấp Dịch vụ.

Chữ ký và ngày: các Bên đồng ý rằng việc thực hiện Thỏa thuận của Bên xuất dữ liệu sẽ cấu thành việc thực hiện DPA này bởi cả Bên nhập dữ liệu và Bên xuất dữ liệu. Ngày đăng ký tài khoản trên Nền tảng sẽ được coi là ngày thực hiện DPA này.

Vai trò: người điều khiển hoặc bộ xử lý

BAS-IP DISTRIBUTION LTD (Nhà nhập dữ liệu)

Tên: CÔNG TY TNHH PHÂN PHỐI BAS-IP

Địa chỉ: Crown House 27 Old Gloucester Street, London, Anh

Tên, chức vụ và chi tiết liên hệ của người liên hệ: [vui lòng điền tên, chức vụ và chi tiết liên hệ, ví dụ: email]

Các hoạt động liên quan đến dữ liệu được chuyển theo các Điều khoản này: cung cấp Dịch vụ.

Chữ ký và ngày: các Bên đồng ý rằng việc thực hiện Thỏa thuận của Bên xuất dữ liệu sẽ cấu thành việc thực hiện DPA này bởi cả Bên nhập dữ liệu và Bên xuất dữ liệu. Ngày đăng ký tài khoản trên Nền tảng sẽ được coi là ngày thực hiện DPA này.

Vai trò: bên xử lý hoặc bên xử lý phụ

MÔ TẢ CHUYỂN KHOẢN

1.Danh mục chủ thể dữ liệu có dữ liệu cá nhân được chuyển giao:

  • Khách hàng của khách hàng;
  • các chủ thể dữ liệu khác có dữ liệu cá nhân được chuyển trong các dịch vụ do Công ty cung cấp cho Khách hàng.

2.Danh mục dữ liệu cá nhân được chuyển:

  • dữ liệu cá nhân liên quan đến Khách hàng của Khách hàng;
  • dữ liệu cá nhân khác có thể được chuyển trong các dịch vụ do Công ty cung cấp cho Khách hàng.

     1. Dữ liệu nhạy cảm được chuyển (nếu có) và áp dụng các hạn chế hoặc biện pháp bảo vệ có tính đến đầy đủ bản chất của dữ liệu và các rủi ro liên quan:

Bên nhập dữ liệu chỉ có thể có quyền truy cập vào dữ liệu nhạy cảm khi dữ liệu nhạy cảm đó được Khách hàng cung cấp và chỉ trong phạm vi cần thiết để thực hiện Dịch vụ. Trong những trường hợp như vậy, Bên nhập dữ liệu thực hiện các biện pháp kỹ thuật và tổ chức được nêu trong Phụ lục 2, cùng với bất kỳ biện pháp bảo vệ hoặc hạn chế thích hợp và cần thiết nào khác, có tính đến bản chất của dữ liệu nhạy cảm và rủi ro liên quan đến việc xử lý dữ liệu đó, tuân thủ luật và quy định hiện hành.

      2. Tần suất chuyển khoản:

Dữ liệu cá nhân được chuyển liên tục.

     3. Bản chất của quá trình xử lý:

Xử lý dữ liệu cá nhân bao gồm: thu thập, ghi lại, tổ chức, cấu trúc, lưu trữ, điều chỉnh hoặc thay đổi, truy xuất, tham vấn, căn chỉnh hoặc kết hợp, hạn chế, xóa hoặc tiêu hủy.

    4. (Các) mục đích của việc truyền dữ liệu và xử lý thêm:

Mục đích của việc xử lý dữ liệu theo các Điều khoản này là thực hiện các dịch vụ cho Bên xuất dữ liệu bởi Bên nhập dữ liệu theo Thỏa thuận được ký kết giữa Bên nhập dữ liệu và Bên xuất dữ liệu.

    5. Khoảng thời gian mà dữ liệu cá nhân sẽ được lưu giữ, hoặc, nếu không thể, các tiêu chí được sử dụng để xác định khoảng thời gian đó:

Dữ liệu cá nhân sẽ được lưu trữ trong suốt thời gian DPA này được ký kết giữa Bên nhập dữ liệu và Bên xuất dữ liệu trừ khi có thỏa thuận khác bằng văn bản hoặc Bên nhập dữ liệu được yêu cầu giữ lại một số hoặc tất cả dữ liệu cá nhân được chuyển theo luật hiện hành.

    6. Đối với việc chuyển giao cho bên xử lý (phụ), hãy nêu rõ đối tượng, bản chất và thời gian xử lý:

Chủ đề: Hiệu suất dịch vụ

Bản chất: Thu thập, ghi lại, tổ chức, cấu trúc, lưu trữ, điều chỉnh hoặc thay đổi, truy xuất, tham vấn, căn chỉnh hoặc kết hợp, hạn chế, xóa hoặc tiêu hủy.

duration: hiệu suất dịch vụ cho Bên nhập dữ liệu bởi bên xử lý (phụ) theo thỏa thuận dịch vụ được ký kết giữa Bên nhập dữ liệu và bên xử lý (phụ).

CƠ QUAN GIÁM SÁT CÓ THẨM QUYỀN

Theo Điều 13, cơ quan giám sát có thẩm quyền theo các Điều khoản này được xác định tùy thuộc vào phiên bản của Điều 13(a) áp dụng cho Bên xuất dữ liệu.

PHỤ LỤC 2 – CÁC BIỆN PHÁP KỸ THUẬT VÀ TỔ CHỨC

CÁC BIỆN PHÁP KỸ THUẬT VÀ TỔ CHỨC, BAO GỒM CÁC BIỆN PHÁP KỸ THUẬT VÀ TỔ CHỨC ĐỂ ĐẢM BẢO TÍNH BẢO MẬT CỦA DỮ LIỆU

Mô tả các biện pháp kỹ thuật và tổ chức được thực hiện bởi (các) Bên nhập dữ liệu để đảm bảo mức độ bảo mật thích hợp, có tính đến bản chất, phạm vi, bối cảnh và mục đích của việc xử lý cũng như các rủi ro đối với quyền và tự do của thể nhân:

  • Data Importer cam kết duy trì tính bảo mật, tính toàn vẹn, tính khả dụng và khả năng phục hồi của tất cả dữ liệu cá nhân được đề cập trong suốt các hoạt động xử lý của mình và đảm bảo rằng dữ liệu cá nhân được bảo vệ khỏi mất mát và phá hủy bằng cách thực hiện các chính sách, quy trình bảo mật thông tin nội bộ phù hợp và các biện pháp thích hợp khác.
  • Trình nhập dữ liệu cấp quyền truy cập vào dữ liệu cá nhân nghiêm ngặt trên cơ sở cần biết và dữ liệu đó chỉ có thể truy cập được bởi nhân viên được ủy quyền.
  • Data Importer đã triển khai danh sách kiểm soát truy cập và kiểm soát truy cập dựa trên vai trò để thực thi sự tách biệt nghiêm ngặt các quyền truy cập của người dùng.
  • Quy trình bảo mật thông tin của Data Importer phải được xem xét thường xuyên.
  • Data Importer sử dụng các nhà cung cấp dịch vụ đáng tin cậy và giám sát những biện pháp kỹ thuật và tổ chức mà họ có để đảm bảo rằng dữ liệu cá nhân luôn được bảo vệ.
  • Data Importer đã thực hiện các biện pháp được thiết kế để bảo vệ tính bảo mật và tính toàn vẹn của dữ liệu cá nhân trong quá trình truyền dữ liệu.
  • Data Importer đã triển khai các biện pháp kỹ thuật và tổ chức được thiết kế để ngăn chặn các sự cố bảo mật và ngăn ngừa mất mát và hư hỏng dữ liệu thêm.

PHỤ LỤC 3 – ĐƠN VỊ XỬ LÝ PHỤ

Bên kiểm soát đã cho phép sử dụng các bên xử lý phụ sau:

Bộ xử lý phụ 1

Tên: Hetzner Online GmbH / Hetzner Phần Lan Oy

Địa chỉ: Industriestr. 25, 91710 Gunzenhausen, Đức / Huurrekuja 10, 04360 Tuusula (Helsinki / Tuusula), Phần Lan

Tên, chức vụ và chi tiết liên hệ của người liên hệ: [email protected] 

Mô tả xử lý: lưu trữ dữ liệu trên máy chủ của Hetzner Online GmbH / Hetzner Phần Lan Oy

Bộ xử lý phụ 2

Tên: DigitalOcean, LLC

Địa chỉ: 105 Edgeview Drive, Ste. 425, Broomfield, CO 80021, Hoa Kỳ

Tên, chức vụ và chi tiết liên hệ của người liên hệ: [email protected] 

Mô tả xử lý: lưu trữ dữ liệu trên máy chủ của DigitalOcean, LLC