Phụ lục Xử lý Dữ liệu

Các thuật ngữ viết hoa có ý nghĩa được đưa ra trong GDPR. Các thuật ngữ sau có ý nghĩa như dưới đây.

DPA này áp dụng cho việc xử lý Dữ liệu Cá nhân của Khách hàng được thực hiện bởi upDevTeam LTD thay mặt cho Khách hàng trong quá trình cung cấp Dịch vụ.

Các bên công nhận rằng, liên quan đến việc xử lý này, Khách hàng là Người kiểm soát và upDevTeam LTD là Người xử lý.

upDevTeam LTD cũng xử lý dữ liệu với tư cách là Người kiểm soát liên quan đến các hoạt động kinh doanh của chính nó (hóa đơn tài khoản, chống lạm dụng, tiếp thị). Chính sách Bảo mật mô tả việc xử lý đó.

upDevTeam LTD sẽ:

Khách hàng cho phép upDevTeam LTD thuê các Người xử lý phụ sau đây:

Chúng tôi sẽ thông báo cho Khách hàng ít nhất 30 ngày trước khi thêm hoặc thay thế một Người xử lý phụ bằng cách đăng thông báo thay đổi tại godeskflow.com/dpa hoặc qua email đến liên hệ tài khoản. Nếu Khách hàng phản đối hợp lý về lý do bảo vệ dữ liệu, chúng tôi sẽ làm việc thiện chí để tìm một giải pháp; nếu không thể đạt được thỏa thuận, Khách hàng có thể chấm dứt Dịch vụ bị ảnh hưởng vì lý do thuận tiện.

Chúng tôi vẫn chịu trách nhiệm với Khách hàng về các hành động và thiếu sót của các Người xử lý phụ như thể chúng là của chính chúng tôi.

Chúng tôi triển khai và duy trì các biện pháp kỹ thuật và tổ chức phù hợp với rủi ro, bao gồm:

Dữ liệu Cá nhân của Khách hàng được lưu trữ trong EEA. Khi việc chuyển giao Dữ liệu Cá nhân của Khách hàng ra ngoài EEA là cần thiết (ví dụ: khi có Người xử lý phụ có trụ sở tại Mỹ), các bên sẽ tích hợp các Điều khoản Hợp đồng Tiêu chuẩn theo tham chiếu, với upDevTeam LTD đóng vai trò là 'người xuất khẩu dữ liệu' cho việc chuyển giao tiếp theo và Người xử lý phụ là 'người nhập khẩu dữ liệu'.

Khi Khách hàng đặt trụ sở ngoài EEA và dữ liệu cá nhân chảy từ upDevTeam LTD sang Khách hàng, các bên sẽ tích hợp các SCC (Mô-đun 4) cho việc chuyển giao tương ứng.

Chúng tôi hoàn thành một đánh giá tác động chuyển giao cho mỗi Người xử lý phụ không thuộc EEA và áp dụng các biện pháp bổ sung (mã hóa, bí danh hóa) nơi đánh giá khuyến nghị.

Nếu chúng tôi nhận được yêu cầu từ một chủ thể dữ liệu liên quan đến Dữ liệu Cá nhân của Khách hàng, chúng tôi sẽ không phản hồi trực tiếp ngoại trừ việc xác nhận đã nhận và chuyển hướng chủ thể dữ liệu đến Khách hàng. Chúng tôi sẽ chuyển yêu cầu đến Khách hàng mà không chậm trễ không cần thiết.

Chúng tôi sẽ cung cấp sự hỗ trợ hợp lý cho Khách hàng trong việc đáp ứng các yêu cầu truy cập, chỉnh sửa, xóa bỏ, hạn chế, di động, và phản đối, căn cứ vào tính chất của việc xử lý và thông tin có sẵn cho chúng tôi. Nếu yêu cầu quá mức hoặc rõ ràng không có căn cứ, chúng tôi có thể thu phí hợp lý.

Chúng tôi sẽ thông báo cho Khách hàng mà không chậm trễ, và trong mọi trường hợp trong vòng 72 giờ kể từ khi trở thành aware về một vi phạm dữ liệu cá nhân ảnh hưởng đến Dữ liệu Cá nhân của Khách hàng. Thông báo sẽ bao gồm thông tin yêu cầu theo Điều 33(3) GDPR trong phạm vi biết được, với các cập nhật khi cuộc điều tra tiến triển.

Chúng tôi sẽ hợp tác với Khách hàng để chứa, điều tra, và ghi chép lại vi phạm, và sẽ không đưa ra bất kỳ tuyên bố công khai nào về điều đó mà không có sự đồng ý trước của Khách hàng ngoại trừ khi luật pháp yêu cầu.

Chúng tôi cung cấp cho Khách hàng thông tin cần thiết để chứng minh sự tuân thủ Điều 28 GDPR thông qua (a) DPA này, (b) tài liệu trắng về an ninh có sẵn theo yêu cầu, và (c) các báo cáo kiểm toán bên thứ ba gần nhất của các Người xử lý phụ liên quan (ví dụ: báo cáo SOC 2).

Nếu Khách hàng tin rằng các tài liệu đề cập trong điều 10.1 không đủ, Khách hàng có thể, với chi phí của mình và thông báo bằng văn bản ít nhất 30 ngày trước, kiểm toán sự tuân thủ của chúng tôi với DPA này không quá một lần mỗi năm (trừ khi xảy ra vi phạm nghiêm trọng), với điều kiện kiểm toán (i) được thực hiện trong giờ làm việc bình thường, (ii) không gây gián đoạn cho hoạt động của chúng tôi, (iii) được thực hiện bởi một kiểm toán viên độc lập bị ràng buộc bởi các nghĩa vụ bảo mật phù hợp, và (iv) không bao gồm truy cập vào cơ sở vật chất hoặc dữ liệu của các khách hàng khác.

Các báo cáo kiểm toán là thông tin bảo mật của upDevTeam LTD và chỉ có thể được chia sẻ với các cơ quan quản lý và cố vấn pháp luật dưới điều kiện bảo mật.

Khi chấm dứt Dịch vụ, chúng tôi sẽ, theo lựa chọn của Khách hàng và trong vòng 30 ngày kể từ ngày chấm dứt, hoặc trả lại tất cả Dữ liệu Cá nhân của Khách hàng trong định dạng điện tử có cấu trúc hoặc xóa bỏ một cách an toàn, ngoại trừ trong trường hợp giữ lại là cần thiết theo luật EU hoặc luật của quốc gia thành viên.

Các bản sao lưu sẽ được xóa theo tiêu chuẩn thời gian giữ lại bản sao lưu hồi quy của chúng tôi (hiện tại là 35 ngày). Các bản sao lưu vẫn được bảo vệ bởi các biện pháp an ninh trong điều 6 cho đến khi chúng bị ghi đè.

Trách nhiệm phát sinh theo DPA này được điều chỉnh bởi phần giới hạn trách nhiệm của Điều khoản Dịch vụ.

Khi Điều 82 GDPR phân bổ trách nhiệm giữa các người kiểm soát chung, người xử lý và người xử lý phụ, các bên đồng ý tuân theo sự phân bổ theo luật định đó.

DPA này có hiệu lực vào ngày Khách hàng chấp nhận Điều khoản Dịch vụ và tiếp tục có hiệu lực trong thời gian upDevTeam LTD xử lý Dữ liệu Cá nhân của Khách hàng thay mặt cho Khách hàng, cùng với bất kỳ khoảng thời gian tồn tại nào cần thiết để thực hiện các nghĩa vụ theo các điều 9, 10 và 11.

DPA này được điều chỉnh bởi luật pháp của Cộng hòa Cyprus, ngoại trừ trường hợp SCCs áp dụng, luật áp dụng được xác định trong SCCs có hiệu lực cho các vấn đề nằm trong phạm vi của SCCs.

Thông báo theo DPA này nên được gửi đến info@godeskflow.com (các vấn đề xử lý dữ liệu) và đến info@godeskflow.com (các vấn đề liên quan đến đối tượng dữ liệu và cơ quan giám sát).