NeuroCRMPhụ lục Xử lý Dữ liệu
Phụ lục Xử lý Dữ liệu này (“DPA”) là một phần của Điều khoản Dịch vụ giữa bạn (“Khách hàng”, bên kiểm soát) và Empire Luxury International Corporation (DBA Neuro Empire) (“NeuroCRM”, bên xử lý) và điều chỉnh việc xử lý dữ liệu cá nhân chứa trong Nội dung Khách hàng. Khi có xung đột về các vấn đề bảo vệ dữ liệu, DPA này sẽ được ưu tiên áp dụng hơn so với Điều khoản.
1. Vai trò và Phạm vi
Đối với Nội dung Khách hàng, Khách hàng là bên kiểm soát (hoặc bên xử lý hành động thay cho khách hàng của chính mình) và NeuroCRM là bên xử lý (hoặc bên xử lý phụ). NeuroCRM xử lý Nội dung Khách hàng chỉ nhằm cung cấp Dịch vụ và theo các chỉ dẫn được lập thành văn bản của Khách hàng, bao gồm Điều khoản, DPA này, và việc sử dụng các tính năng của Dịch vụ. NeuroCRM chỉ hành động với tư cách bên kiểm soát độc lập đối với phạm vi hạn chế gồm dữ liệu tài khoản, thanh toán và bảo mật được mô tả trong Chính sách Quyền riêng tư.
2. Chi tiết về việc Xử lý
Đối tượng: cung cấp Dịch vụ NeuroCRM. Thời hạn: thời hạn đăng ký của Khách hàng cộng với bất kỳ giai đoạn kết thúc nào. Bản chất và mục đích: các hoạt động lưu trữ (hosting), lưu trữ dữ liệu và xử lý cần thiết để cung cấp Dịch vụ theo cấu hình do Khách hàng thiết lập. Các loại chủ thể dữ liệu: các liên hệ, khách hàng tiềm năng, khách hàng, nhân viên của Khách hàng, và những cá nhân khác mà Khách hàng nhập dữ liệu. Các loại dữ liệu cá nhân: theo quyết định của Khách hàng, thường là dữ liệu định danh và liên hệ, hồ sơ kinh doanh và thông tin liên lạc; Khách hàng không được nhập dữ liệu thuộc loại đặc biệt trừ khi được thỏa thuận bằng văn bản.
3. Chỉ dẫn của Khách hàng và Tuân thủ
NeuroCRM sẽ xử lý Nội dung Khách hàng chỉ theo các chỉ dẫn được lập thành văn bản, bao gồm cả việc chuyển giao, trừ khi pháp luật hiện hành yêu cầu (trong trường hợp đó NeuroCRM sẽ thông báo cho Khách hàng trừ khi bị cấm). NeuroCRM sẽ thông báo cho Khách hàng nếu, theo quan điểm của mình, một chỉ dẫn vi phạm luật bảo vệ dữ liệu hiện hành. Khách hàng chịu trách nhiệm về tính hợp pháp của Nội dung Khách hàng và về việc có tất cả các thông báo và sự đồng ý cần thiết.
4. Tính bảo mật của Nhân sự
NeuroCRM bảo đảm rằng nhân sự được ủy quyền xử lý Nội dung Khách hàng bị ràng buộc bởi các nghĩa vụ bảo mật và chỉ xử lý dữ liệu theo chỉ dẫn.
5. Các Biện pháp Bảo mật
NeuroCRM triển khai các biện pháp kỹ thuật và tổ chức phù hợp để bảo đảm một mức độ bảo mật tương ứng với rủi ro, bao gồm mã hóa khi truyền và mã hóa các mã thông báo truy cập (access token) khi lưu trữ, cách ly logic giữa các tenant, kiểm soát truy cập và ghi nhật ký, khả năng phục hồi và sao lưu, cùng việc rà soát định kỳ. Bản tóm tắt có sẵn theo yêu cầu và trong Chính sách Quyền riêng tư.
6. Các Bên Xử lý Phụ
Khách hàng cấp ủy quyền chung cho NeuroCRM thuê các bên xử lý phụ. Danh sách hiện hành có tại /legal/subprocessors. NeuroCRM áp đặt lên mỗi bên xử lý phụ các nghĩa vụ bảo vệ dữ liệu không kém phần bảo vệ so với DPA này và vẫn chịu trách nhiệm về hoạt động của họ. NeuroCRM sẽ thông báo trước ít nhất 30 ngày về bất kỳ bên xử lý phụ mới hoặc thay thế nào; Khách hàng có thể phản đối trên cơ sở bảo vệ dữ liệu hợp lý, và nếu các bên không thể giải quyết được sự phản đối, Khách hàng có thể chấm dứt phần Dịch vụ bị ảnh hưởng và nhận hoàn tiền các khoản phí chưa sử dụng đã trả trước.
7. Các Yêu cầu của Chủ thể Dữ liệu và Hỗ trợ
Xét đến bản chất của việc xử lý, NeuroCRM sẽ, bằng các biện pháp phù hợp và trong phạm vi hợp lý về mặt thương mại, hỗ trợ Khách hàng trong việc phản hồi các yêu cầu của chủ thể dữ liệu và trong việc tuân thủ các nghĩa vụ của Khách hàng liên quan đến bảo mật, thông báo vi phạm, đánh giá tác động bảo vệ dữ liệu và tham vấn trước. Nếu NeuroCRM nhận được yêu cầu trực tiếp từ một chủ thể dữ liệu, NeuroCRM sẽ chuyển yêu cầu đó cho Khách hàng và không phản hồi trừ khi được chỉ dẫn hoặc pháp luật yêu cầu.
8. Thông báo Vi phạm Dữ liệu Cá nhân
NeuroCRM sẽ thông báo cho Khách hàng không chậm trễ một cách bất hợp lý, và trong mọi trường hợp trong vòng 24 giờ kể từ khi biết về một vi phạm dữ liệu cá nhân đã được xác nhận hoặc bị nghi ngờ một cách hợp lý có ảnh hưởng đến Nội dung Khách hàng, và sẽ cung cấp thông tin có sẵn để giúp Khách hàng đáp ứng các nghĩa vụ thông báo của mình, kèm theo các cập nhật khi cuộc điều tra tiến triển. Thông báo như vậy không phải là sự thừa nhận lỗi hoặc trách nhiệm pháp lý. Việc xác định có thông báo cho cơ quan quản lý hoặc cho các chủ thể dữ liệu hay không, và việc thực hiện các thông báo đó, là trách nhiệm của Khách hàng với tư cách bên kiểm soát; NeuroCRM cung cấp sự hợp tác hợp lý.
9. Chuyển giao Quốc tế
Khi việc xử lý liên quan đến việc chuyển giao dữ liệu cá nhân ra ngoài EEA, Vương quốc Anh hoặc Thụy Sĩ đến một quốc gia không có quyết định về mức độ đầy đủ (adequacy decision), các bên kết hợp Standard Contractual Clauses (2021/914), Module Two (controller to processor) của Ủy ban Châu Âu, được hoàn thiện với thông tin trong DPA này, cùng với UK International Data Transfer Addendum và các điều chỉnh Thụy Sĩ khi áp dụng; ngoài ra NeuroCRM có thể dựa vào EU-US Data Privacy Framework khi được chứng nhận. NeuroCRM áp dụng các biện pháp bổ sung khi phù hợp. Trong trường hợp xung đột, SCC được ưu tiên áp dụng chỉ trong phạm vi cần thiết.
10. Đường biên Dữ liệu Nga (152-FZ)
Đối với dữ liệu cá nhân của các cá nhân tại Liên bang Nga, NeuroCRM duy trì một đường biên Nga tách biệt với việc ghi nhận và lưu trữ chính trên các máy chủ đặt tại Nga, theo Luật Liên bang số 152-FZ, và xử lý dữ liệu đó theo chỉ dẫn của Khách hàng theo Điều 6(3) 152-FZ. Đường biên này và quy trình thông báo vi phạm của nó (sơ bộ trong vòng 24 giờ và kết quả trong vòng 72 giờ tới Roskomnadzor) hoạt động độc lập với chuỗi GDPR. Xem Chính sách Xử lý Dữ liệu Cá nhân (Nga).
11. Kiểm toán
NeuroCRM sẽ cung cấp các thông tin cần thiết để chứng minh việc tuân thủ DPA này và cho phép các cuộc kiểm toán. Để giảm thiểu gián đoạn, NeuroCRM có thể đáp ứng các yêu cầu kiểm toán bằng cách cung cấp các chứng nhận hoặc báo cáo hiện hành của bên thứ ba (chẳng hạn ISO 27001 hoặc SOC 2 Type II) khi có sẵn. Các cuộc kiểm toán tại chỗ hoặc chi tiết được giới hạn ở một lần mỗi năm (trừ khi sau một vụ vi phạm), yêu cầu thông báo trước ít nhất 30 ngày, phạm vi được thỏa thuận chung, tính bảo mật, và được tiến hành trong giờ làm việc mà không gây cản trở một cách bất hợp lý.
12. Trả lại và Xóa bỏ
Khi chấm dứt, theo lựa chọn của Khách hàng được đưa ra trong vòng 30 ngày, NeuroCRM sẽ trả lại Nội dung Khách hàng ở định dạng được sử dụng phổ biến hoặc xóa nó và, theo yêu cầu, xác nhận việc xóa trong một khoảng thời gian hợp lý, ngoại trừ trong phạm vi mà việc lưu giữ được pháp luật yêu cầu. Các bản sao lưu định kỳ được ghi đè theo chu kỳ luân chuyển tiêu chuẩn.
13. Trách nhiệm Pháp lý và Thứ tự Ưu tiên
Trách nhiệm pháp lý của mỗi bên theo DPA này phải tuân theo các giới hạn và loại trừ trong Điều khoản Dịch vụ, bao gồm cả mức giới hạn nâng cao đối với các vi phạm về bảo vệ dữ liệu. DPA này, bao gồm cả các SCC được kết hợp trong đó, được ưu tiên áp dụng hơn các điều khoản xung đột của Điều khoản về các vấn đề bảo vệ dữ liệu. DPA được điều chỉnh bởi các quy định về luật và giải quyết tranh chấp của Điều khoản áp dụng cho Khách hàng.