Thỏa thuận xử lý dữ liệu

Thuật ngữGiá trị
Hiệp địnhDPA này bổ sung cho Điều khoản dịch vụ
Bộ xử lý phụ được phê duyệtĐám mây bùng phát (Hoa Kỳ; nhà cung cấp DNS, mạng và bảo mật), Gói dữ liệu (Mỹ/Anh; nhà cung cấp dịch vụ lưu trữ), Vultr (Mỹ; nhà cung cấp dịch vụ lưu trữ), Đại dương kỹ thuật số (Mỹ; nhà cung cấp dịch vụ lưu trữ), Vạch sọc (Mỹ; bộ xử lý thanh toán), Tài khoản PayPal (Mỹ; đơn vị xử lý thanh toán)
Liên hệ bảo mật nhà cung cấpsecurity@forwardemail.net
Chính sách bảo mậtXem Chính sách bảo mật của chúng tôi trên GitHub
Nhà nước quản lýBang Delaware, Hoa Kỳ

Tài liệu này là một dẫn xuất của Điều khoản tiêu chuẩn DPA trong giấy thông thường (Phiên bản 1.0) và những thay đổi sau đây đã được thực hiện:

  1. Luật điều chỉnh và Tòa án được lựa chọn đã được bao gồm như một phần dưới đây với Governing State được xác định ở trên.
  2. Mối quan hệ nhà cung cấp dịch vụ đã được bao gồm như là một phần dưới đây.

1. Nhà cung cấp là đơn vị xử lý

Trong những tình huống mà Khách hàng là Người kiểm soát dữ liệu cá nhân của khách hàng, Các nhà cung cấp sẽ được coi là Bên xử lý đang xử lý dữ liệu cá nhân thay mặt cho Khách hàng.

2. Nhà cung cấp là Bộ xử lý phụ

Trong những tình huống mà Khách hàng là Bên xử lý dữ liệu cá nhân của khách hàng, Các nhà cung cấp sẽ được coi là Bên xử lý phụ của Dữ liệu cá nhân của Khách hàng.

1. Xử lý chi tiết

Phụ lục I(B) trên Trang bìa mô tả nội dung, bản chất, mục đích và thời gian của Quá trình xử lý này, cũng như Danh mục dữ liệu cá nhân được thu thập và Danh mục chủ thể dữ liệu.

2. Hướng dẫn xử lý

Khách hàng hướng dẫn Các nhà cung cấp xử lý Dữ liệu Cá nhân của Khách hàng: (a) để cung cấp và duy trì Dịch vụ; (b) như có thể được quy định thêm thông qua của khách hàng việc sử dụng Dịch vụ; (c) như được ghi trong Hiệp định; và (d) như được ghi lại trong bất kỳ hướng dẫn bằng văn bản nào khác được đưa ra bởi Khách hàng và được thừa nhận bởi Các nhà cung cấp về Xử lý Dữ liệu Cá nhân của Khách hàng theo DPA này. Các nhà cung cấp sẽ tuân theo các hướng dẫn này trừ khi bị cấm làm như vậy bởi Luật hiện hành. Các nhà cung cấp sẽ thông báo ngay Khách hàng nếu nó không thể làm theo hướng dẫn Xử lý. Khách hàng đã đưa ra và sẽ chỉ đưa ra các hướng dẫn tuân thủ Luật áp dụng.

3. Nhà cung cấp xử lý

Các nhà cung cấp sẽ chỉ Xử lý Dữ liệu Cá nhân của Khách hàng theo DPA này, bao gồm các chi tiết trên Trang bìa. Nếu như Các nhà cung cấp cập nhật Dịch vụ để cập nhật hiện có hoặc bao gồm các sản phẩm, tính năng hoặc chức năng mới, Các nhà cung cấp có thể thay đổi Danh mục chủ thể dữ liệu, Danh mục dữ liệu cá nhân, Dữ liệu danh mục đặc biệt, Hạn chế hoặc biện pháp bảo vệ dữ liệu danh mục đặc biệt, Tần suất chuyển giao, Bản chất và mục đích của việc xử lý, Và Thời gian xử lý khi cần thiết để phản ánh các cập nhật bằng cách thông báo Khách hàng về những cập nhật và thay đổi.

4. Xử lý khách hàng

Ở đâu Khách hàng là một bộ xử lý và Các nhà cung cấp là một bộ xử lý phụ, Khách hàng sẽ tuân thủ tất cả các Luật hiện hành áp dụng cho của khách hàng Xử lý dữ liệu cá nhân của khách hàng. của khách hàng thỏa thuận với Người kiểm soát của nó sẽ yêu cầu tương tự Khách hàng tuân thủ tất cả các Luật hiện hành áp dụng cho Khách hàng như một Bộ xử lý. Ngoài ra, Khách hàng sẽ tuân thủ các yêu cầu của Bộ xử lý phụ trong của khách hàng thỏa thuận với Kiểm soát viên của nó.

Khách hàng đã tuân thủ và sẽ tiếp tục tuân thủ tất cả các Luật bảo vệ dữ liệu hiện hành liên quan đến việc cung cấp Dữ liệu cá nhân của khách hàng cho Các nhà cung cấp và/hoặc Dịch vụ, bao gồm việc tiết lộ mọi thông tin, thu thập mọi sự đồng ý, đưa ra lựa chọn phù hợp và triển khai các biện pháp bảo vệ liên quan được yêu cầu theo Luật bảo vệ dữ liệu hiện hành.

6. Bộ xử lý phụ

Một. Các nhà cung cấp sẽ không cung cấp, chuyển giao hoặc bàn giao bất kỳ Dữ liệu cá nhân nào của Khách hàng cho Người xử lý phụ trừ khi Khách hàng đã phê duyệt Bộ xử lý phụ. Danh sách hiện tại của Bộ xử lý phụ được phê duyệt bao gồm danh tính của Người xử lý phụ, quốc gia vị trí của họ và các nhiệm vụ Xử lý dự kiến của họ. Các nhà cung cấp sẽ thông báo Khách hàng trước ít nhất 10 ngày làm việc và bằng văn bản về mọi thay đổi dự định đối với Bộ xử lý phụ được phê duyệt cho dù bằng cách bổ sung hoặc thay thế Bộ xử lý phụ, cho phép Khách hàng có đủ thời gian để phản đối những thay đổi trước khi Các nhà cung cấp bắt đầu sử dụng (các) Bộ xử lý phụ mới. Các nhà cung cấp sẽ cho Khách hàng thông tin cần thiết để cho phép Khách hàng thực hiện quyền phản đối việc thay đổi Bộ xử lý phụ được phê duyệt. Khách hàng có 30 ngày sau khi có thông báo thay đổi đối với Bộ xử lý phụ được phê duyệt phản đối, nếu không thì Khách hàng sẽ được coi là chấp nhận những thay đổi. Nếu như Khách hàng phản đối sự thay đổi trong vòng 30 ngày kể từ ngày thông báo, Khách hàngCác nhà cung cấp sẽ hợp tác thiện chí để giải quyết của khách hàng phản đối hoặc quan tâm.

b. Khi tham gia Bộ xử lý phụ, Các nhà cung cấp sẽ có thỏa thuận bằng văn bản với Bộ xử lý phụ để đảm bảo Bộ xử lý phụ chỉ truy cập và sử dụng Dữ liệu cá nhân của khách hàng (i) trong phạm vi cần thiết để thực hiện các nghĩa vụ được ký hợp đồng phụ với nó và (ii) phù hợp với các điều khoản của Hiệp định.

c. Nếu GDPR áp dụng cho việc Xử lý dữ liệu cá nhân của khách hàng, (i) các nghĩa vụ bảo vệ dữ liệu được mô tả trong DPA này (như được đề cập trong Điều 28(3) của GDPR, nếu có) cũng được áp dụng đối với Bộ xử lý phụ và (ii ) của nhà cung cấp thỏa thuận với Bộ xử lý phụ sẽ kết hợp các nghĩa vụ này, bao gồm chi tiết về cách Các nhà cung cấp và Bộ xử lý phụ của nó sẽ phối hợp để trả lời các câu hỏi hoặc yêu cầu về Xử lý dữ liệu cá nhân của khách hàng. Ngoài ra, Các nhà cung cấp sẽ chia sẻ tại của khách hàng yêu cầu một bản sao các thỏa thuận của nó (bao gồm mọi sửa đổi) với Người xử lý phụ của nó. Trong phạm vi cần thiết để bảo vệ bí mật kinh doanh hoặc thông tin bí mật khác, bao gồm dữ liệu cá nhân, Các nhà cung cấp có thể biên tập lại nội dung thỏa thuận của mình với Bộ xử lý phụ trước khi chia sẻ bản sao.

d. Các nhà cung cấp vẫn hoàn toàn chịu trách nhiệm pháp lý đối với tất cả các nghĩa vụ được ký hợp đồng phụ với Bộ xử lý phụ của mình, bao gồm các hành vi và thiếu sót của Bộ xử lý phụ trong việc xử lý Dữ liệu cá nhân của khách hàng. Các nhà cung cấp sẽ thông báo cho Khách hàng về bất kỳ việc Người xử lý phụ nào không thực hiện nghĩa vụ quan trọng về Dữ liệu cá nhân của Khách hàng theo thỏa thuận giữa Các nhà cung cấp và Bộ xử lý phụ.

1. Ủy quyền

Khách hàng đồng ý rằng Các nhà cung cấp có thể chuyển Dữ liệu cá nhân của Khách hàng ra ngoài EEA, Vương quốc Anh hoặc lãnh thổ địa lý liên quan khác nếu cần để cung cấp Dịch vụ. Nếu như Các nhà cung cấp chuyển Dữ liệu cá nhân của Khách hàng đến lãnh thổ mà Ủy ban Châu Âu hoặc cơ quan giám sát có liên quan khác chưa ban hành quyết định thỏa đáng, Các nhà cung cấp sẽ thực hiện các biện pháp bảo vệ thích hợp cho việc truyền Dữ liệu Cá nhân của Khách hàng đến lãnh thổ đó phù hợp với Luật Bảo vệ Dữ liệu Hiện hành.

2. Chuyển khoản ngoài EEA

Khách hàngCác nhà cung cấp đồng ý rằng nếu GDPR bảo vệ việc truyền Dữ liệu cá nhân của Khách hàng thì việc chuyển giao đó là từ Khách hàng từ trong EEA đến Các nhà cung cấp bên ngoài EEA và việc chuyển giao không bị chi phối bởi quyết định thỏa đáng do Ủy ban Châu Âu đưa ra, sau đó bằng cách ký kết DPA này, Khách hàngCác nhà cung cấp được coi là đã ký các EEA SCC và các Phụ lục của chúng, được đưa vào bằng cách tham chiếu. Mọi hoạt động chuyển nhượng như vậy đều được thực hiện theo EEA SCC, được hoàn thành như sau:

Một. Mô-đun Hai (Bộ điều khiển tới Bộ xử lý) của EEA SCC áp dụng khi Khách hàng là Người điều khiển và Các nhà cung cấp đang xử lý dữ liệu cá nhân của khách hàng cho Khách hàng như một Bộ xử lý.

b. Mô-đun 3 (Bộ xử lý đến Bộ xử lý phụ) của EEA SCC áp dụng khi Khách hàng là một bộ xử lý và Các nhà cung cấp đang xử lý dữ liệu cá nhân của khách hàng thay mặt cho Khách hàng với tư cách là Bộ xử lý phụ.

c. Đối với mỗi mô-đun, những điều sau đây sẽ được áp dụng (nếu có):

  1. Điều khoản lắp ghép tùy chọn ở Điều 7 không áp dụng;

  2. Trong Điều khoản 9, Tùy chọn 2 (ủy quyền chung bằng văn bản) sẽ được áp dụng và khoảng thời gian tối thiểu để thông báo trước về những thay đổi của Người xử lý phụ là 10 ngày làm việc;

  3. Tại Điều 11, ngôn ngữ tùy chọn không được áp dụng;

  4. Bỏ dấu ngoặc vuông ở Điều 13;

  5. Trong Điều khoản 17 (Lựa chọn 1), các SCC của EEA sẽ chịu sự điều chỉnh của luật pháp Nước thành viên quản lý;

  6. Trong Điều 18(b), tranh chấp sẽ được giải quyết tại tòa án của nước Nước thành viên quản lý; Và

  7. Trang bìa của DPA này chứa thông tin được yêu cầu trong Phụ lục I, Phụ lục II và Phụ lục III của EEA SCC.

3. Chuyển khoản ngoài Vương quốc Anh

Khách hàngCác nhà cung cấp đồng ý rằng nếu GDPR của Vương quốc Anh bảo vệ việc truyền Dữ liệu cá nhân của Khách hàng thì việc truyền dữ liệu đó là từ Khách hàng từ trong Vương quốc Anh đến Các nhà cung cấp bên ngoài Vương quốc Anh và việc chuyển giao không chịu sự điều chỉnh của quyết định thỏa đáng do Bộ trưởng Ngoại giao Vương quốc Anh đưa ra, sau đó bằng cách ký kết DPA này, Khách hàngCác nhà cung cấp được coi là đã ký Phụ lục của Vương quốc Anh và các Phụ lục của chúng, được đưa vào bằng cách tham chiếu. Mọi hoạt động chuyển nhượng như vậy đều được thực hiện theo Phụ lục của Vương quốc Anh, được hoàn thành như sau:

Một. Phần 3.2 của DPA này chứa thông tin được yêu cầu trong Bảng 2 của Phụ lục Vương quốc Anh.

b. Bảng 4 của Phụ lục Vương quốc Anh được sửa đổi như sau: Không bên nào được phép chấm dứt Phụ lục Vương quốc Anh như được quy định trong Mục 19 của Phụ lục Vương quốc Anh; trong phạm vi ICO ban hành Phụ lục được phê duyệt sửa đổi theo Mục 18 của Phụ lục Vương quốc Anh, các bên sẽ làm việc một cách thiện chí để sửa đổi DPA này cho phù hợp.

c. Trang bìa chứa thông tin được yêu cầu bởi Phụ lục 1A, Phụ lục 1B, Phụ lục II và Phụ lục III của Phụ lục Vương quốc Anh.

4. Chuyển khoản quốc tế khác

Đối với việc chuyển Dữ liệu cá nhân trong đó luật pháp Thụy Sĩ (chứ không phải luật ở bất kỳ quốc gia thành viên EEA hoặc Vương quốc Anh nào) áp dụng cho tính chất quốc tế của việc chuyển giao, thì việc tham chiếu đến GDPR trong Điều 4 của EEA SCC, trong phạm vi được yêu cầu về mặt pháp lý, được sửa đổi để tham chiếu đến Đạo luật bảo vệ dữ liệu liên bang Thụy Sĩ hoặc đạo luật kế tiếp, và khái niệm cơ quan giám sát sẽ bao gồm Ủy viên thông tin và bảo vệ dữ liệu liên bang Thụy Sĩ.

  1. Khi biết về bất kỳ Sự cố Bảo mật nào, Các nhà cung cấp sẽ: (a) thông báo Khách hàng không chậm trễ quá mức khi có thể, nhưng không muộn hơn 72 giờ sau khi biết về Sự cố An ninh; (b) cung cấp thông tin kịp thời về Sự cố bảo mật khi nó được biết hoặc theo yêu cầu hợp lý của Khách hàng; và (c) nhanh chóng thực hiện các bước hợp lý để ngăn chặn và điều tra Sự cố Bảo mật. của nhà cung cấp thông báo hoặc phản hồi về Sự cố bảo mật theo yêu cầu của DPA này sẽ không được hiểu là sự thừa nhận của Các nhà cung cấp về bất kỳ lỗi hoặc trách nhiệm pháp lý nào đối với Sự cố Bảo mật.

1. Quyền kiểm toán

Các nhà cung cấp sẽ cho Khách hàng tất cả thông tin cần thiết một cách hợp lý để chứng minh sự tuân thủ của mình với DPA này và Các nhà cung cấp sẽ cho phép và đóng góp vào việc kiểm toán, bao gồm cả việc kiểm tra bởi Khách hàng, để đánh giá của nhà cung cấp tuân thủ DPA này. Tuy nhiên, Các nhà cung cấp có thể hạn chế quyền truy cập vào dữ liệu hoặc thông tin nếu của khách hàng tiếp cận thông tin sẽ tác động tiêu cực của nhà cung cấp quyền sở hữu trí tuệ, nghĩa vụ bảo mật hoặc các nghĩa vụ khác theo Luật hiện hành. Khách hàng thừa nhận và đồng ý rằng họ sẽ chỉ thực hiện các quyền kiểm toán của mình theo DPA này và mọi quyền kiểm toán được cấp bởi Luật bảo vệ dữ liệu hiện hành bằng cách hướng dẫn Các nhà cung cấp để tuân thủ các yêu cầu báo cáo và thẩm định dưới đây. Các nhà cung cấp sẽ lưu giữ hồ sơ về việc tuân thủ DPA này trong 3 năm sau khi DPA kết thúc.

2. Báo cáo bảo mật

Khách hàng thừa nhận rằng Các nhà cung cấp được kiểm tra thường xuyên theo các tiêu chuẩn được xác định trong Chính sách bảo mật bởi các kiểm toán viên bên thứ ba độc lập. Theo yêu cầu bằng văn bản, Các nhà cung cấp sẽ cho Khách hàng, trên cơ sở bí mật, một bản sao tóm tắt của Báo cáo hiện tại để Khách hàng có thể xác minh của nhà cung cấp tuân thủ các tiêu chuẩn được xác định trong Chính sách bảo mật.

3. Thẩm định an ninh

Ngoài Báo cáo, Các nhà cung cấp sẽ đáp ứng các yêu cầu hợp lý về thông tin được đưa ra bởi Khách hàng xác nhận của nhà cung cấp tuân thủ DPA này, bao gồm các câu trả lời về bảo mật thông tin, thẩm định và bảng câu hỏi kiểm tra hoặc bằng cách cung cấp thông tin bổ sung về chương trình bảo mật thông tin của mình. Tất cả các yêu cầu như vậy phải được lập thành văn bản và gửi tới Liên hệ bảo mật nhà cung cấp và chỉ có thể được thực hiện mỗi năm một lần.

1. Trả lời các câu hỏi

Nếu như Các nhà cung cấp nhận được bất kỳ câu hỏi hoặc yêu cầu nào từ bất kỳ ai khác về việc Xử lý Dữ liệu Cá nhân của Khách hàng, Các nhà cung cấp Sẽ thông báo Khách hàng về yêu cầu và Các nhà cung cấp sẽ không đáp ứng yêu cầu mà không có của khách hàng sự đồng ý trước. Ví dụ về các loại yêu cầu và yêu cầu này bao gồm lệnh của cơ quan tư pháp, hành chính hoặc quản lý về Dữ liệu Cá nhân của Khách hàng khi thông báo Khách hàng không bị cấm theo Luật hiện hành hoặc yêu cầu từ chủ thể dữ liệu. Nếu được Luật hiện hành cho phép, Các nhà cung cấp sẽ làm theo của khách hàng hướng dẫn hợp lý về những yêu cầu này, bao gồm việc cung cấp thông tin cập nhật trạng thái và các thông tin khác theo yêu cầu hợp lý của Khách hàng. Nếu chủ thể dữ liệu đưa ra yêu cầu hợp lệ theo Luật bảo vệ dữ liệu hiện hành để xóa hoặc từ chối của khách hàng cung cấp Dữ liệu Cá nhân của Khách hàng cho Các nhà cung cấp, Các nhà cung cấp Sẽ giúp Khách hàng trong việc thực hiện yêu cầu theo Luật bảo vệ dữ liệu hiện hành. Các nhà cung cấp sẽ hợp tác và cung cấp hỗ trợ hợp lý để Khách hàng, Tại của khách hàng chi phí, trong bất kỳ phản hồi pháp lý hoặc hành động tố tụng nào khác được thực hiện bởi Khách hàng để đáp lại yêu cầu của bên thứ ba về của nhà cung cấp Xử lý Dữ liệu Cá nhân của Khách hàng theo DPA này.

2. PPIA và DTIA

Nếu được yêu cầu bởi Luật bảo vệ dữ liệu hiện hành, Các nhà cung cấp sẽ hỗ trợ hợp lý Khách hàng trong việc thực hiện mọi đánh giá tác động bảo vệ dữ liệu bắt buộc hoặc đánh giá tác động truyền dữ liệu và tham vấn với các cơ quan bảo vệ dữ liệu có liên quan, có tính đến bản chất của việc Xử lý và Dữ liệu cá nhân của khách hàng.

1. Khách hàng xóa

Các nhà cung cấp sẽ kích hoạt Khách hàng để xóa Dữ liệu cá nhân của Khách hàng theo cách phù hợp với chức năng của Dịch vụ. Các nhà cung cấp sẽ tuân thủ hướng dẫn này ngay khi có thể thực hiện được một cách hợp lý trừ khi Luật hiện hành yêu cầu lưu trữ thêm Dữ liệu cá nhân của khách hàng.

2. Xóa khi hết hạn DPA

Một. Sau khi DPA hết hạn, Các nhà cung cấp sẽ trả lại hoặc xóa Dữ liệu Cá nhân của Khách hàng tại của khách hàng hướng dẫn trừ khi việc lưu trữ thêm Dữ liệu cá nhân của Khách hàng được yêu cầu hoặc cho phép theo Luật hiện hành. Nếu việc trả lại hoặc tiêu hủy là không thể thực hiện được hoặc bị cấm theo Luật hiện hành, Các nhà cung cấp sẽ thực hiện những nỗ lực hợp lý để ngăn chặn việc xử lý bổ sung Dữ liệu cá nhân của Khách hàng và sẽ tiếp tục bảo vệ Dữ liệu cá nhân của Khách hàng còn lại do mình sở hữu, lưu giữ hoặc kiểm soát. Ví dụ: Luật áp dụng có thể yêu cầu Các nhà cung cấp để tiếp tục lưu trữ hoặc Xử lý Dữ liệu Cá nhân của Khách hàng.

b. Nếu như Khách hàngCác nhà cung cấp đã tham gia EEA SCC hoặc Phụ lục của Vương quốc Anh như một phần của DPA này, Các nhà cung cấp sẽ chỉ cho Khách hàng chứng nhận xóa Dữ liệu cá nhân được mô tả trong Điều 8.1(d) và Điều 8.5 của EEA SCC nếu Khách hàng yêu cầu một cái.

1. Giới hạn trách nhiệm pháp lý và miễn trừ thiệt hại

Trong phạm vi tối đa được cho phép theo Luật bảo vệ dữ liệu hiện hành, tổng trách nhiệm pháp lý tích lũy của mỗi bên đối với bên kia phát sinh từ hoặc liên quan đến DPA này sẽ tuân theo các miễn trừ, loại trừ và giới hạn trách nhiệm pháp lý được nêu trong Hiệp định.

Bất kỳ khiếu nại nào được đưa ra chống lại Các nhà cung cấp hoặc các Chi nhánh của nó phát sinh từ hoặc liên quan đến DPA này chỉ có thể được đưa ra bởi Khách hàng thực thể là một bên của Hiệp định.

3. Ngoại lệ

  1. DPA này không giới hạn bất kỳ trách nhiệm pháp lý nào đối với một cá nhân về quyền bảo vệ dữ liệu của cá nhân đó theo Luật bảo vệ dữ liệu hiện hành. Ngoài ra, DPA này không giới hạn bất kỳ trách nhiệm pháp lý nào giữa các bên đối với hành vi vi phạm EEA SCC hoặc Phụ lục của Vương quốc Anh.

  1. DPA này là một phần và bổ sung cho Thỏa thuận. Nếu có bất kỳ sự mâu thuẫn nào giữa DPA này, Hiệp định, hoặc bất kỳ phần nào của chúng, phần được liệt kê trước đó sẽ kiểm soát phần được liệt kê sau vì sự không nhất quán đó: (1) SCC EEA hoặc Phụ lục của Vương quốc Anh, (2) DPA này và sau đó (3) Hiệp định.

DPA này sẽ bắt đầu khi Các nhà cung cấpKhách hàng đồng ý với Trang bìa cho DPA và ký tên hoặc chấp nhận bằng phương thức điện tử Hiệp định và sẽ tiếp tục cho đến khi Hiệp định hết hạn hoặc bị chấm dứt. Tuy nhiên, Các nhà cung cấpKhách hàng mỗi bên sẽ vẫn phải tuân theo các nghĩa vụ trong DPA này và Luật bảo vệ dữ liệu hiện hành cho đến khi Khách hàng ngừng chuyển Dữ liệu Cá nhân của Khách hàng sang Các nhà cung cấpCác nhà cung cấp ngừng xử lý dữ liệu cá nhân của khách hàng.

Bất chấp luật điều chỉnh hoặc các điều khoản tương tự của Hiệp định, mọi diễn giải và tranh chấp về DPA này sẽ được điều chỉnh bởi luật pháp của Nhà nước quản lý không tính đến sự xung đột của các quy định pháp luật. Ngoài ra, bất chấp việc lựa chọn diễn đàn, thẩm quyền hoặc các điều khoản tương tự của Hiệp định, các bên đồng ý đưa bất kỳ vụ kiện, hành động hoặc thủ tục pháp lý nào về DPA này tới và mỗi bên sẽ tuân theo thẩm quyền xét xử độc quyền của các tòa án của Nhà nước quản lý.

Trong phạm vi Đạo luật về quyền riêng tư của người tiêu dùng California, Cal. Dân sự. Bộ luật § 1798.100 et seq ("CCPA") được áp dụng, các bên thừa nhận và đồng ý rằng Các nhà cung cấp là nhà cung cấp dịch vụ và đang nhận Dữ liệu Cá nhân từ Khách hàng cung cấp Dịch vụ theo thỏa thuận trong Hiệp định, tạo thành mục đích kinh doanh. Các nhà cung cấp sẽ không bán bất kỳ Dữ liệu Cá nhân nào được cung cấp bởi Khách hàng Bên dưới Hiệp định. Ngoài ra, Các nhà cung cấp sẽ không giữ lại, sử dụng hoặc tiết lộ bất kỳ Dữ liệu Cá nhân nào được cung cấp bởi Khách hàng Bên dưới Hiệp định ngoại trừ trường hợp cần thiết để cung cấp Dịch vụ cho Khách hàng, như đã nêu trong Hiệp địnhhoặc được cho phép bởi Luật bảo vệ dữ liệu hiện hành. Các nhà cung cấp xác nhận rằng họ hiểu các hạn chế của đoạn này.

  1. "Luật áp dụng" nghĩa là luật pháp, quy tắc, quy định, lệnh của tòa án và các yêu cầu ràng buộc khác của cơ quan chính phủ có liên quan áp dụng cho hoặc chi phối một bên.

  2. "Luật bảo vệ dữ liệu hiện hành" nghĩa là Luật áp dụng quy định cách Dịch vụ có thể xử lý hoặc sử dụng thông tin cá nhân, dữ liệu cá nhân, thông tin nhận dạng cá nhân hoặc điều khoản tương tự khác.

  3. "Người điều khiển" sẽ có (các) ý nghĩa được nêu trong Luật bảo vệ dữ liệu hiện hành dành cho công ty xác định mục đích và mức độ xử lý dữ liệu cá nhân.

  4. "Trang bìa" nghĩa là tài liệu được các bên ký kết hoặc chấp nhận dưới dạng điện tử, bao gồm các Điều khoản tiêu chuẩn DPA này và xác định Các nhà cung cấp, Khách hàngvà chủ đề cũng như chi tiết của việc xử lý dữ liệu.

  5. "Dữ liệu cá nhân của khách hàng" nghĩa là Dữ liệu Cá nhân mà Khách hàng tải lên hoặc cung cấp cho Các nhà cung cấp như một phần của Dịch vụ và được điều chỉnh bởi DPA này.

  6. "DPA" nghĩa là các Điều khoản tiêu chuẩn DPA này, Trang bìa giữa Các nhà cung cấpKhách hàng, cũng như các chính sách và tài liệu được tham chiếu trong hoặc đính kèm trên Trang bìa.

  7. "EEA SCC" nghĩa là các điều khoản hợp đồng tiêu chuẩn được đính kèm với Quyết định thực thi 2021/914 ngày 4 tháng 6 năm 2021 của Ủy ban Châu Âu về các điều khoản hợp đồng tiêu chuẩn về việc truyền dữ liệu cá nhân sang các nước thứ ba theo Quy định (EU) 2016/679 của Nghị viện Châu Âu và Hội đồng Châu Âu .

  8. "Khu vực kinh tế châu Âu" hoặc "EEA" có nghĩa là các quốc gia thành viên của Liên minh Châu Âu, Na Uy, Iceland và Liechtenstein.

  9. "GDPR" có nghĩa là Quy định của Liên minh Châu Âu 2016/679 được thực thi theo luật địa phương tại quốc gia thành viên EEA có liên quan.

  10. "Dữ liệu cá nhân" sẽ có (các) nghĩa được nêu trong Luật bảo vệ dữ liệu hiện hành đối với thông tin cá nhân, dữ liệu cá nhân hoặc thuật ngữ tương tự khác.

  11. "Xử lý" hoặc "Quá trình" sẽ có (các) ý nghĩa được nêu trong Luật bảo vệ dữ liệu hiện hành đối với bất kỳ việc sử dụng hoặc thực hiện thao tác máy tính nào trên Dữ liệu cá nhân, bao gồm cả bằng các phương pháp tự động.

  12. "Bộ xử lý" sẽ có (các) ý nghĩa được nêu trong Luật bảo vệ dữ liệu hiện hành dành cho công ty xử lý dữ liệu cá nhân thay mặt cho Bên kiểm soát.

  13. "Báo cáo" nghĩa là các báo cáo kiểm toán do một công ty khác lập theo các tiêu chuẩn được xác định trong Chính sách bảo mật thay mặt cho Nhà cung cấp.

  14. "Hạn chế chuyển nhượng" nghĩa là (a) khi áp dụng GDPR, việc truyền dữ liệu cá nhân từ EEA sang một quốc gia ngoài EEA không thuộc phạm vi xác định đầy đủ của Ủy ban Châu Âu; và (b) khi GDPR của Vương quốc Anh áp dụng, việc truyền dữ liệu cá nhân từ Vương quốc Anh sang bất kỳ quốc gia nào khác không tuân theo các quy định đầy đủ được thông qua theo Mục 17A của Đạo luật bảo vệ dữ liệu của Vương quốc Anh năm 2018.

  15. "Sự cố an ninh" nghĩa là Vi phạm dữ liệu cá nhân như được định nghĩa trong Điều 4 của GDPR.

  16. "Dịch vụ" nghĩa là sản phẩm và/hoặc dịch vụ được mô tả trong Hiệp định.

  17. "Dữ liệu danh mục đặc biệt" sẽ có nghĩa như được nêu trong Điều 9 của GDPR.

  18. "Bộ xử lý phụ" sẽ có (các) ý nghĩa được nêu trong Luật bảo vệ dữ liệu hiện hành đối với một công ty, với sự chấp thuận và chấp nhận của Bên kiểm soát, hỗ trợ Bộ xử lý xử lý Dữ liệu cá nhân thay mặt cho Bên kiểm soát.

  19. "UK GDPR" nghĩa là Quy định của Liên minh Châu Âu 2016/679 được triển khai theo mục 3 của Đạo luật (Rút tiền) Liên minh Châu Âu năm 2018 của Vương quốc Anh.

  20. "Phụ lục của Vương quốc Anh" nghĩa là phụ lục chuyển dữ liệu quốc tế cho SCC EEA do Ủy viên thông tin dành cho các bên thực hiện chuyển dữ liệu bị hạn chế theo Đạo luật bảo vệ dữ liệu S119A(1) năm 2018.

Tài liệu này là một dẫn xuất của Điều khoản tiêu chuẩn DPA trong giấy thông thường (Phiên bản 1.0) và được cấp phép theo CC BY 4.0.