Thỏa thuận xử lý dữ liệu này của Cleeksy (“Thỏa thuận”, “DPA”) và các Phụ lục đi kèm phản ánh sự đồng thuận của các bên liên quan và Cleeksy về việc Cleeksy xử lý dữ liệu cá nhân của Khách hàng được thu thập bởi Cleeksy hoặc Cleeksy thay mặt Khách hàng xử lý dữ liệu cá nhân được truyền, lưu trữ và xử lý thông qua Dịch vụ Cleeksy cung cấp cho Khách hàng.
Thỏa thuận này là một phần không thể tách rời của Điều khoản dịch vụ được nêu tại https://cleeksy.com/phap-ly/dieu-khoan-dich-vu/. Trong trường hợp có bất kỳ mâu thuẫn nào giữa các điều khoản giữa Thỏa thuận xử lý dữ liệu và Điều khoản dịch vụ, thì quy định được nêu trong Thỏa thuận này sẽ được ưu tiên hơn các điều khoản được nêu trong Điều khoản dịch vụ, trong phạm vi của mâu thuẫn đó.
Tùy từng thời điểm, chúng tôi sẽ có thể cập nhật Thỏa thuận này. Khách hàng sẽ nhận được thông báo qua email hoặc thông qua phần thông báo trên Ứng dụng. Phiên bản mới nhất cũng đồng thời cập nhật tại website này tại https://cleeksy.com/phap-ly/thoa-thuan-xu-ly-du-lieu-dpa/.
Thời hạn của Thỏa thuận này sẽ bằng với thời hạn của Điều khoản dịch vụ. Các điều khoản khác không được định nghĩa trong Thỏa thuận này có ý nghĩa như đã được quy định trong Điều khoản dịch vụ.
1. Định nghĩa
Dữ liệu cá nhân: là bất kỳ thông tin nào gắn liền với một cá nhân cụ thể hoặc giúp xác định một cá nhân cụ thể khi (i) thông tin đó có trong Dữ liệu Khách hàng, dữ liệu Cleeksy thu thập được; và (ii) được bảo vệ tương tự như dữ liệu cá nhân, thông tin cá nhân hoặc thông tin nhận dạng cá nhân theo pháp luật Bảo vệ Dữ liệu hiện hành.
Dữ liệu Khách hàng: là tất cả thông tin mà Khách hàng gửi hoặc thu thập thông qua quá trình sử dụng Dịch vụ, bao gồm (i) các Dữ liệu cá nhân của Khách hàng và Người dùng cuối của Khách hàng, (ii) các nội dung mà Khách hàng đăng tải trên Nền tảng phần mềm. Dữ liệu Khách hàng không bao gồm những nội dung được đăng tải bởi Cleeksy.
Chủ thể dữ liệu: là cá nhân có Dữ liệu cá nhân được thu thập, xử lý.
Xử lý dữ liệu (“Xử lý”): là bất kỳ hoạt động hoặc tập hợp các hoạt động nào được thực hiện trên Dữ liệu cá nhân, bao gồm việc thu thập, ghi lại, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hoá, giải mã, sao chép, chuyển giao, hủy, tham khảo, sử dụng, tiết lộ bằng cách truyền tải, phổ biến hoặc cung cấp theo cách khác, điều chỉnh hoặc kết hợp, hạn chế hoặc xóa Dữ liệu cá nhân.
Bên Kiểm soát dữ liệu cá nhân (“Bên Kiểm soát”): là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
Bên Xử lý dữ liệu cá nhân (“Bên Xử lý”): là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát.
Bên Kiểm soát và Xử lý dữ liệu cá nhân (“Bên Kiểm soát và Xử lý”): là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
Chỉ dẫn: là sự chỉ định bằng văn bản do Chủ thể dữ liệu đưa ra cho Bên Kiểm soát, Bên Kiểm soát và Xử lý hoặc cho Bên Xử lý để Chỉ dẫn cho các bên này thực hiện một hành động liên quan đến Dữ liệu cá nhân (bao gồm nhưng không giới hạn ở việc cá nhân hóa, chặn, xóa, cung cấp).
Vi phạm Dữ liệu cá nhân (“Vi phạm”): là vi phạm bảo mật dẫn đến việc vô tình hoặc bất hợp pháp phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập vào Dữ liệu cá nhân được truyền, lưu trữ hoặc Xử lý bởi chúng tôi và/hoặc các Nhà thầu xử lý dữ liệu của chúng tôi khi cung cấp Dịch vụ Cleeksy. “Vi phạm Dữ liệu cá nhân” sẽ không bao gồm các nỗ lực hoặc hoạt động tấn công không thành công và không ảnh hưởng đến tính bảo mật của Dữ liệu cá nhân, bao gồm nhưng không giới hạn các nỗ lực đăng nhập không thành công, ping, port scan, tấn công vào tường lửa và hệ thống mạng, và các tấn công khác.
Nhà thầu xử lý dữ liệu (“Nhà thầu xử lý”): là bất kỳ Bên xử lý nào do chúng tôi thuê để hỗ trợ thực hiện nghĩa vụ của chúng tôi đối với việc cung cấp Dịch vụ theo thỏa thuận với Khách hàng. Nhà thầu xử lý là các bên thứ ba nhưng không bao gồm nhân viên của Cleeksy.
Pháp luật bảo vệ dữ liệu cá nhân hiện hành: pháp luật hiện hành của Việt Nam về bảo vệ dữ liệu và quyền riêng tư áp dụng cho các bên tương ứng có vai trò Xử lý dữ liệu cá nhân bao gồm nhưng không giới hạn Nghị định 13/2023/NĐ-CP bảo vệ dữ liệu cá nhân.
2. Trách nhiệm của Khách hàng
a. Tuân thủ pháp luật
Trong phạm vi của Điều khoản dịch vụ và trong việc sử dụng bất kỳ Dịch vụ nào của Cleeksy, Khách hàng chịu trách nhiệm tuân thủ tất cả các yêu cầu được quy định trong Điều khoản dịch vụ và Thỏa thuận này, nhằm đáp ứng pháp luật bảo vệ dữ liệu cá nhân hiện hành.
Việc tuân thủ pháp luật của Khách hàng theo điều khoản này bao gồm nhưng không giới hạn, Khách hàng thừa nhận và đồng ý rằng Khách hàng sẽ tự chịu trách nhiệm về:
- Tính chính xác và tính hợp pháp của Dữ liệu Khách hàng trong đó bao gồm Dữ liệu cá nhân mà Khách hàng thu thập.
- Tuân thủ tất cả các yêu cầu cần thiết về tính minh bạch và tính hợp pháp theo pháp luật bảo vệ dữ liệu cá nhân hiện hành đối với việc thu thập và sử dụng Dữ liệu cá nhân, bao gồm cả việc xin phép và đạt được sự đồng ý cần thiết từ Chủ thể dữ liệu.
- Đảm bảo Khách hàng có quyền chuyển và cung cấp quyền truy cập vào Dữ liệu cá nhân cho chúng tôi để Xử lý theo các Điều khoản dịch vụ (bao gồm cả Thỏa thuận xử lý dữ liệu này).
- Đảm bảo rằng Chỉ dẫn về Xử lý Dữ liệu cá nhân của Khách hàng cho chúng tôi tuân thủ pháp luật hiện hành, bao gồm quy định về bảo vệ dữ liệu cá nhân.
- Tuân thủ tất cả các quy định của pháp luật (bao gồm cả quy định về bảo vệ dữ liệu cá nhân) áp dụng cho mọi email hoặc bất kỳ nội dung nào được tạo, gửi hoặc quản lý thông qua Nền tảng phần mềm Cleeksy. Bạn cần thông báo cho chúng tôi ngay lập tức nếu Khách hàng không thể tuân thủ trách nhiệm của mình theo phần “Tuân thủ pháp luật” này hoặc quy định luật bảo vệ dữ liệu cá nhân hiện hành.
b. Cung cấp cho Cleeksy quyền của Bên Xử lý, Bên Kiểm soát và Xử lý tuỳ loại dữ liệu
Bạn đồng ý rằng Điều khoản dịch vụ (bao gồm Thỏa thuận này), cùng với Đơn đặt hàng cho việc sử dụng Dịch vụ và việc Khách hàng sử dụng Dịch vụ, cấu thành nên Chỉ dẫn hoàn chỉnh của Khách hàng cho chúng tôi để Xử lý dữ liệu cá nhân trong thời gian Khách hàng sử dụng Dịch vụ. Đồng thời, Khách hàng có thể cung cấp hướng dẫn bổ sung trong thời gian sử dụng phù hợp với Thỏa thuận, bản chất và việc sử dụng hợp pháp Dịch vụ.
c. Đảm bảo tính bảo mật của Dữ liệu cá nhân
Khách hàng chịu trách nhiệm một cách độc lập về việc xác định tính bảo mật dữ liệu được cung cấp khi sử dụng Dịch vụ Cleeksy và đảm bảo đáp ứng đầy đủ các nghĩa vụ của Khách hàng theo pháp luật bảo vệ dữ liệu cá nhân hiện hành. Khách hàng cũng chịu trách nhiệm về việc sử dụng Dịch vụ Cleeksy một cách an toàn, bao gồm bảo vệ tính bảo mật của Dữ liệu cá nhân khi truyền đến và truyền đi từ việc sử dụng Dịch vụ Cleeksy.
3. Trách nhiệm của Cleeksy
a. Tuân thủ Chỉ dẫn được ủy quyền và pháp luật
Chúng tôi sẽ chỉ Xử lý Dữ liệu cá nhân cho các mục đích được mô tả trong Điều khoản dịch vụ, Chính sách quyền riêng tư và Thỏa thuận xử lý dữ liệu này với sự ủy quyền và Chỉ dẫn hợp pháp của Khách hàng theo pháp luật về bảo vệ dữ liệu cá nhân hiện hành. Chúng tôi không chịu trách nhiệm tuân thủ bất kỳ quy định bảo vệ dữ liệu nào áp dụng riêng cho Khách hàng hoặc ngành của Khách hàng mà không áp dụng chung cho chúng tôi.
b. Xung đột pháp luật
Nếu chúng tôi biết rằng chúng tôi không thể Xử lý Dữ liệu cá nhân theo Chỉ dẫn của Khách hàng, nhằm đáp ứng yêu cầu pháp lý của bất kỳ quy định pháp luật hiện hành nào, chúng tôi sẽ:
- Thông báo ngay cho Khách hàng về yêu cầu pháp lý đó trong phạm vi được pháp luật hiện hành cho phép.
- Khi cần thiết, ngừng tất cả việc Xử lý (ngoài việc chỉ lưu trữ và duy trì tính bảo mật của Dữ liệu cá nhân bị ảnh hưởng) cho đến khi Khách hàng đưa ra Chỉ dẫn mới mà chúng tôi có thể tuân thủ. Trong phạm vi của điều khoản này, chúng tôi sẽ không chịu trách nhiệm pháp lý về bất kỳ lỗi nào trong việc thực hiện cung cấp Dịch Vụ cho đến khi Khách hàng đưa ra Chỉ dẫn hợp pháp mới liên quan đến Quá trình xử lý.
c. Triển khai các biện pháp bảo mật
Với sự cân đối về trình độ kỹ thuật, chi phí triển khai và bản chất, phạm vi, bối cảnh của quá trình Xử lý dữ liệu, chúng tôi sẽ triển khai và duy trì các biện pháp kỹ thuật và vận hành phù hợp để bảo vệ Dữ liệu cá nhân khỏi các Vi phạm Dữ liệu cá nhân, như được mô tả trong Phụ lục 2 của Thỏa thuận này “Các biện pháp bảo mật”. Chúng tôi có thể sửa đổi hoặc cập nhật các Biện pháp Bảo mật theo quyết định của mình với điều kiện là việc sửa đổi hoặc cập nhật đó không dẫn đến sự xuống cấp đáng kể trong khả năng bảo vệ mà các Biện pháp Bảo mật cung cấp.
d. Bảo mật an toàn thông tin
Chúng tôi sẽ đảm bảo rằng bất kỳ nhân viên nào làm việc cho Cleeksy và Nhà thầu xử lý dữ liệu được chúng tôi ủy quyền để Xử lý Dữ liệu cá nhân đều phải tuân theo các trách nhiệm bảo mật phù hợp (dù là nghĩa vụ theo hợp đồng hay theo luật định) đối với Dữ liệu cá nhân đó. Mỗi cá nhân đều được phân quyền nghiêm ngặt để truy cập những thông tin liên quan khi thật sự cần thiết, với mục đích được nêu trong Điều khoản dịch vụ.
e. Vi phạm Dữ liệu cá nhân
Với các vi phạm liên quan đến Dữ liệu cá nhân mà chúng tôi đóng vai trò là Bên Kiểm soát và Xử lý, chúng tôi sẽ báo cáo cơ quan nhà nước có thẩm quyền theo quy định của pháp luật.
Với các vi phạm liên quan đến Dữ liệu cá nhân mà chúng tôi đóng vai trò là Bên Xử lý, chúng tôi sẽ thông báo ngay cho Khách hàng biết về bất kỳ Vi phạm Dữ liệu cá nhân nào cùng các thông tin liên quan đến Vi phạm Dữ liệu cá nhân một cách kịp thời.
Theo yêu cầu của Khách hàng, chúng tôi sẽ nhanh chóng hỗ trợ Khách hàng thông báo các Vi phạm Dữ liệu cá nhân có liên quan đến các cơ quan có thẩm quyền và/hoặc Chủ thể Dữ liệu bị ảnh hưởng, nếu Khách hàng được yêu cầu làm như vậy theo quy định pháp luật bảo vệ dữ liệu cá nhân. Trong mức độ thương mại hợp lý, chúng tôi sẽ kịp thời hỗ trợ điều tra, giảm thiểu và khắc phục các Vi phạm Dữ liệu cá nhân đã xảy ra.
f. Xóa hoặc trả lại Dữ liệu
Sau khi kết thúc thời hạn chúng tôi lưu trữ dữ liệu như thể hiện tại Chính sách quyền riêng tư, với vai trò là Bên Xử lý, chúng tôi sẽ xóa hoặc trả lại tất cả Dữ liệu Khách hàng, bao gồm cả Dữ liệu cá nhân (bao gồm cả bản sao của chúng) được Xử lý theo Thỏa thuận này trong các tình huống sau:
- Trong quá trình sử dụng Dịch vụ, và Khách hàng đưa ra yêu cầu cho chúng tôi trong việc xóa Dữ liệu. Xin lưu ý việc xóa Dữ liệu này có thể dẫn đến mất quyền truy cập vào Dịch vụ mà chúng tôi cung cấp.
- Sau khi Khách hàng chấm dứt hoặc hết hạn sử dụng Dịch vụ Cleeksy theo các thủ tục của Dịch vụ. Việc yêu cầu xóa Dữ liệu và tài khoản Cleeksy được thực hiện bằng cách điền vào biểu mẫu yêu cầu quyền riêng tư.
Với các dữ liệu Cleeksy là Bên Kiểm soát và Xử lý, bất kể quy định trên, việc xóa dữ liệu sẽ không áp dụng khi có đề nghị của Khách hàng trong các trường hợp:
- Pháp luật quy định không cho phép xóa dữ liệu;
- Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật;
- Dữ liệu cá nhân đã được công khai theo quy định của pháp luật;
- Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật;
- Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
- Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của Khách hàng hoặc cá nhân khác.
Chúng tôi đề xuất Khách hàng nên chủ động trích xuất các Dữ liệu cá nhân của mình trước khi kết thúc thời hạn sử dụng Dịch vụ bằng công cụ trích xuất dữ liệu mà chúng tôi cung cấp ngay trong ứng dụng.
4. Quyền của Chủ thể dữ liệu
Là Khách hàng của Cleeksy, với Dữ liệu Khách hàng, chúng tôi cung cấp cho Khách hàng một số biện pháp kiểm soát mà Khách hàng có thể sử dụng để truy xuất, sửa, xóa hoặc hạn chế Dữ liệu cá nhân để thực hiện các nghĩa vụ của mình theo pháp luật bảo vệ dữ liệu cá nhân hiện hành, bao gồm các nghĩa vụ của Khách hàng trong việc phản hồi các yêu cầu từ Chủ thể Dữ liệu khi họ cần thực hiện các Quyền của Chủ thể dữ liệu theo pháp luật bảo vệ dữ liệu cá nhân hiện hành và theo quy định trong Điều khoản dịch vụ.
Trong trường hợp Khách hàng không thể giải quyết một cách độc lập về các yêu cầu của Chủ thể dữ liệu, thì theo yêu cầu bằng văn bản của Khách hàng, chúng tôi sẽ cung cấp hỗ trợ hợp lý để Khách hàng phản hồi mọi Yêu cầu của Chủ thể dữ liệu hoặc yêu cầu từ các cơ quan bảo vệ dữ liệu liên quan đến việc Xử lý thông tin cá nhân Dữ liệu theo Thỏa thuận trong thời gian sớm nhất có thể kể từ ngày nhận được yêu cầu cần hỗ trợ từ Khách hàng. Bạn sẽ hoàn trả cho chúng tôi các chi phí hợp lý về mặt thương mại phát sinh từ sự hỗ trợ này tùy từng trường hợp theo thông báo từ chúng tôi.
Trong trường hợp Chủ thể dữ liệu liên lạc trực tiếp với chúng tôi, chúng tôi sẽ thông báo cho Khách hàng và Chủ thể dữ liệu để các bên có thể làm việc trực tiếp với nhau. Bạn sẽ tự chịu trách nhiệm phản hồi mọi Yêu cầu của Chủ thể Dữ liệu liên quan đến Dữ liệu cá nhân của chủ thể này.
5. Nhà thầu xử lý dữ liệu
Bạn đồng ý rằng chúng tôi có thể thuê Nhà thầu xử lý để Xử lý Dữ liệu cá nhân do chúng tôi thu thập và Xử lý Dữ liệu cá nhân thay cho Khách hàng. Các đơn vị này bao gồm nhưng không giới hạn: Đơn vị hỗ trợ dịch vụ lưu trữ đám mây và cơ sở hạ tầng, các đơn vị hỗ trợ chúng tôi cung cấp tính năng, chức năng và tích hợp bên trong Dịch vụ. Một số nhà thầu xử lý dữ liệu sẽ áp dụng cho Khách hàng theo mặc định và một số sẽ chỉ áp dụng nếu Khách hàng chọn tham gia.
Các nhà thầu xử lý dữ liệu sẽ được cập nhật theo thời gian theo Phụ lục 3 “Các đơn vị nhà thầu xử lý dữ liệu”. Liên hệ qua email legal@cleeksy.com để nhận được bảng cập nhập mới nhất. Trong vòng 30 (ba mươi) ngày kể từ lúc nhận được thông báo, nếu Khách hàng có bất kỳ sự phản đối nào dựa trên cơ sở hợp lý liên quan đến xử lý dữ liệu cá nhân, các bên sẽ thảo luận về sự lo ngại của Khách hàng nhằm đạt được một sự thỏa thuận hợp lý. Nếu không đạt được sự đồng thuận tại đây, chúng tôi sẽ ra quyết định của riêng mình, hoặc không hợp tác với Nhà thầu xử lý dữ liệu này hoặc tạm dừng/chấm dứt hợp đồng Dịch vụ với Khách hàng. Mọi số dư trong Tài khoản Dịch vụ của Khách hàng đều được hoàn lại.
Đối với các Nhà thầu xử lý dữ liệu lần đầu tiên hợp tác, chúng tôi sẽ tiến hành thẩm định đầy đủ để đảm bảo rằng Nhà thầu xử lý dữ liệu này có khả năng cung cấp mức độ bảo vệ cho Dữ liệu cá nhân của chúng tôi theo yêu cầu của Điều khoản dịch vụ.
Trong phạm vi Dịch vụ mà đơn vị Nhà thầu xử lý dữ liệu đó cung cấp, chúng tôi cũng sẽ yêu cầu các đơn vị Nhà thầu xử lý dữ liệu này cung cấp ít nhất cùng mức độ bảo vệ Dữ liệu cá nhân như các điều được liệt kê trong Thỏa thuận xử lý dữ liệu này hoặc theo pháp luật bảo vệ dữ liệu cá nhân hiện hành.
6. Chuyển dữ liệu ra nước ngoài
Khi Khách hàng sử dụng Dịch vụ của chúng tôi, Dữ liệu cá nhân của Khách hàng sẽ được chuyển, lưu trữ, và xử lý ở trong phạm vi đất nước Việt Nam, tuân thủ pháp luật bảo vệ dữ liệu cá nhân hiện hành. Trong trường hợp cần thiết cần lưu chuyển Dữ liệu cá nhân của Khách hàng ra nước ngoài để thực hiện hoạt động cung cấp Dịch vụ như được mô tả trong Điều khoản dịch vụ, chúng tôi sẽ thực hiện đầy đủ các thủ tục hợp lý theo yêu cầu của Pháp luật để đảm bảo mọi hoạt động lưu chuyển Dữ liệu của chúng tôi là hợp pháp.
Đối với dữ liệu nội dung và tài liệu Khách hàng tải lên Dịch vụ, không bao gồm Dữ liệu cá nhân, Khách hàng thừa nhận và đồng ý rằng chúng tôi hoặc các đơn vị nhà thầu xử lý dữ liệu quốc tế có thể truy cập và xử lý dữ liệu phần lớn tại Singapore nơi cơ sở xử lý dữ liệu của Cleeksy được đặt hoặc trên phạm vi toàn cầu nơi các đơn vị nhà thầu xử lý dữ liệu đặt tại để cung cấp Dịch vụ như đã liệt kê trong Điều khoản dịch vụ. Khi Dữ liệu này được chuyển giao ra khỏi phạm vi của nước Việt Nam, các bên sẽ đảm bảo việc chuyển giao đó được thực hiện tuân thủ các yêu cầu của pháp luật bảo vệ dữ liệu cá nhân hiện hành.
7. Bằng chứng về sự tuân thủ
Chúng tôi sẽ cung cấp cho Khách hàng tất cả thông tin cần thiết một cách hợp lý để chứng minh sự tuân thủ với Thỏa thuận này, đồng thời cho phép Khách hàng đóng góp vào các cuộc kiểm tra, bao gồm cả các cuộc kiểm tra do Khách hàng hoặc Đơn vị thanh tra của Khách hàng thực hiện đánh giá, khi pháp luật hiện hành yêu cầu.
Bạn thừa nhận và đồng ý rằng, với Dữ liệu Khách hàng, Khách hàng sẽ thực hiện các quyền kiểm soát của mình theo Thỏa thuận xử lý dữ liệu này bằng cách Chỉ dẫn chúng tôi tuân thủ các biện pháp kiểm toán được mô tả trong phần ‘Bằng chứng tuân thủ’ này. Với các dữ liệu khác Cleeksy thu thập được, Cleeksy kiểm soát và xử lý theo đúng quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Bạn đồng ý và thừa nhận rằng Dịch vụ Cleeksy được lưu trữ bởi Nhà thầu xử lý dữ liệu của chúng tôi, những người duy trì các chương trình bảo mật được xác thực độc lập (ISO/IEC 27001 hoặc các tiêu chuẩn bảo mật tương đương khác). Hệ thống của chúng tôi được đánh giá hàng năm như một phần của tuân thủ ISO 27001 và được kiểm tra thường xuyên bởi các bên thứ ba độc lập các hãng.
Theo yêu cầu bằng văn bản của Khách hàng, chúng tôi sẽ cung cấp phản hồi bằng văn bản (trên cơ sở bảo mật) cho tất cả các yêu cầu hợp lý của Khách hàng để xác nhận việc chúng tôi tuân thủ Thỏa thuận này, với điều kiện là Khách hàng sẽ không thực hiện quyền này nhiều hơn một lần mỗi năm dương lịch trừ khi Khách hàng có cơ sở hợp lý để nghi ngờ việc chúng tôi không tuân thủ Thỏa thuận xử lý dữ liệu và Cleeksy đồng ý.
8. Các điều khoản chung
a. Sửa đổi
Bất kể điều khoản nào mâu thuẫn với Điều khoản dịch vụ (https://cleeksy.com/phap-ly/dieu-khoan-dich-vu/) và không ảnh hưởng đến phần Tuân thủ Chỉ dẫn và Bảo mật được nêu trong Thỏa thuận này, chúng tôi đều có quyền cập nhật và thay đổi. Và các điều khoản trong mục “Sửa đổi và không từ bỏ” của Điều khoản dịch vụ vẫn được áp dụng.
b. Tính hiệu lực từng phần
Nếu bất kỳ điều khoản riêng lẻ nào của Thỏa thuận này không hợp lệ hoặc không thể thi hành, thì điều khoản còn lại của Thỏa thuận này sẽ vẫn có giá trị và hiệu lực.
c. Trách nhiệm hữu hạn
Tham chiếu theo mục “Giới hạn trách nhiệm” được quy định tại Điều khoản dịch vụ (https://cleeksy.com/phap-ly/dieu-khoan-dich-vu/).
9. Các bên tham gia vào thỏa thuận này
a. Các đơn vị liên kết
Khách hàng tham gia vào Thỏa thuận xử lý dữ liệu này thay mặt cho chính Khách hàng và thay mặt cho Người dùng cuối của Khách hàng. Chỉ dành cho các mục đích của Thỏa thuận này và trừ khi có quy định khác, các thuật ngữ “Khách hàng”, sẽ bao gồm Khách hàng và người dùng cuối của mình.
b. Ủy quyền
Pháp nhân đồng ý với Thỏa thuận này với tư cách là Khách hàng đồng ý rằng họ được ủy quyền đồng ý và tham gia vào Thỏa thuận này, thay mặt cho chính họ và, nếu có, cho người dùng cuối của họ.
c. Biện pháp khắc phục
Các bên đồng ý rằng (i) chỉ pháp nhân Khách hàng là bên tham gia Thỏa thuận sẽ thực hiện bất kỳ quyền nào hoặc tìm kiếm bất kỳ biện pháp khắc phục nào mà bất kỳ người dùng cuối của Khách hàng cần thực hiện (ii) pháp nhân Khách hàng là bên tham gia Thỏa thuận sẽ thực hiện bất kỳ quyền nào như vậy theo Thỏa thuận xử lý dữ liệu này một cách tổng hợp mà không phải theo từng người dùng riêng lẻ. Thực thể Khách hàng là thực thể tham gia hợp đồng chịu trách nhiệm điều phối tất cả các Chỉ dẫn, ủy quyền và liên lạc với chúng tôi theo Thỏa thuận xử lý này, và sẽ có quyền thực hiện và nhận bất kỳ thông tin liên lạc nào liên quan đến Thỏa thuận xử lý dữ liệu này thay mặt cho người dùng cuối của mình.
d. Các quyền khác
Các bên đồng ý rằng Khách hàng sẽ xem xét việc tuân thủ của chúng tôi và đơn vị liên kết với chúng tôi đối với Thỏa thuận xử lý dữ liệu này theo phần “Chứng minh tuân thủ” một cách tổng hợp trong một lần kiểm tra. Để thực hiện điều này, Khách hàng và thay mặt người dùng cuối của mình sẽ kết hợp một số yêu cầu kiểm tra để thực hiện đối với Cleeksy và các đơn vị liên kết của Cleeksy.
Mọi thông tin, yêu cầu, thắc mắc, vui lòng liên hệ legal@cleeksy.com hoặc:
CÔNG TY CỔ PHẦN CLEEKSY
Bộ phận pháp lý
Địa chỉ: Số 27 đường Chế Viết Tấn, Phường Hòa Xuân, Quận Cẩm Lệ, Thành phố Đà Nẵng, Việt Nam.
Điện thoại: 0901960959
Phụ lục 1 – Mô tả quy trình xử lý dữ liệu
I. Danh sách các bên tham gia
1. Bên chuyển dữ liệu
Đại diện: Khách hàng, như được định nghĩa trong Điều khoản dịch vụ dành cho Khách hàng của Cleeksy (thay mặt cho chính họ và các những đối tượng người dùng khác như nhân viên, đối tác của Khách hàng).
Địa chỉ: Địa chỉ của Khách hàng, như được cung cấp trong Đơn đặt hàng.
Tên, chức vụ và chi tiết liên hệ của người liên hệ: Chi tiết liên hệ của Khách hàng, như được nêu trong Đơn đặt hàng và/hoặc như được nêu trong Tài khoản Cleeksy của Khách hàng.
Các hoạt động liên quan đến dữ liệu được chuyển giao theo các Điều khoản này: Xử lý Dữ liệu cá nhân liên quan đến việc Khách hàng sử dụng Dịch vụ theo Điều khoản dịch vụ dành cho Khách hàng của Cleeksy.
Loại dữ liệu: Các Dữ liệu Khách hàng.
Vai trò: Bên kiểm soát dữ liệu.
2. Bên nhận dữ liệu
Đại diện: Công ty Cổ phần Cleeksy.
Địa chỉ: Số 27 đường Chế Viết Tấn, Phường Hòa Xuân, Quận Cẩm Lệ, Thành phố Đà Nẵng, Việt Nam.
Tên, chức vụ và chi tiết liên hệ của người liên hệ: Data Protection Officer, Công ty Cổ phần Cleeksy, Số 27 đường Chế Viết Tấn, Phường Hòa Xuân, Quận Cẩm Lệ, Thành phố Đà Nẵng, Việt Nam.
Các hoạt động liên quan đến dữ liệu được chuyển giao các Điều khoản này: Xử lý Dữ liệu cá nhân liên quan đến việc Khách hàng sử dụng Dịch vụ theo Điều khoản dịch vụ dành cho Khách hàng của Cleeksy.
Loại dữ liệu: các Dữ liệu Khách hàng.
Vai trò: Bên xử lý dữ liệu.
3. Bên thu thập dữ liệu
Đại diện: Công ty Cổ phần Cleeksy.
Địa chỉ: Số 27 đường Chế Viết Tấn, Phường Hòa Xuân, Quận Cẩm Lệ, Thành phố Đà Nẵng, Việt Nam.
Tên, chức vụ và chi tiết liên hệ của người liên hệ: Data Protection Officer, Công ty Cổ phần Cleeksy, 27 Chế Viết Tấn, Quận Cẩm Lệ, Thành phố Đà Nẵng.
Các hoạt động liên quan đến dữ liệu được chuyển giao các Điều khoản này: Xử lý Dữ liệu cá nhân liên quan đến việc Khách hàng sử dụng Dịch vụ theo Điều khoản dịch vụ dành cho Khách hàng của Cleeksy.
Loại dữ liệu: Dữ liệu thanh toán, dữ liệu chăm sóc khách hàng, tư vấn và tiếp thị, dữ liệu trên diễn đàn cộng đồng do Khách hàng cung cấp trực tiếp cho Cleeksy, dữ liệu cá nhân của Khách hàng được Cleeksy thu thập tự động, dữ liệu khác mà Cleeksy nhận được từ các bên thứ ba.
Vai trò: Bên kiểm soát và xử lý dữ liệu.
II. Mô tả quá trình chuyển giao dữ liệu
Danh sách các Chủ thể Dữ liệu có Dữ liệu cá nhân được chuyển giao
Bạn có thể gửi Dữ liệu cá nhân trong quá trình sử dụng Dịch vụ, phạm vi dữ liệu này do Khách hàng quyết định và kiểm soát, và có thể bao gồm, nhưng không giới hạn đối với Dữ liệu cá nhân liên quan đến các danh mục Chủ thể Dữ liệu sau:
Bạn và những Người dùng cuối khác bao gồm nhân viên, đại lý, cộng tác viên, khách hàng, khách hàng tiềm năng, nhà cung cấp và nhà thầu phụ của Khách hàng. Chủ thể Dữ liệu cũng có thể bao gồm các cá nhân đang cố gắng liên lạc hoặc chuyển Dữ liệu cá nhân cho người dùng cuối của Khách hàng.
Danh sách các loại Dữ liệu cá nhân được chuyển giao
Bạn có thể gửi Dữ liệu cá nhân cho Dịch vụ Cleeksy, phạm vi của nó được xác định và kiểm soát bởi Khách hàng, theo quyết định riêng của Khách hàng và có thể bao gồm nhưng không giới hạn ở các danh mục Dữ liệu cá nhân sau:
1. Thông tin định danh (như được định nghĩa trong Điều khoản dịch vụ tại https://cleeksy.com/phap-ly/dieu-khoan-dich-vu/).
2. Mọi Dữ liệu cá nhân khác do Khách hàng hoặc người dùng cuối của Khách hàng nhập, gửi đến hoặc nhận được thông qua Dịch vụ Cleeksy.
Dữ liệu nhạy cảm được truyền và áp dụng các hạn chế hoặc biện pháp bảo vệ
Các bên không lường trước được việc chuyển dữ liệu nhạy cảm.
Tần suất chuyển giao dữ liệu
Thường xuyên và liên tục, trong suốt quá trình sử dụng Dịch vụ Cleeksy.
Bản chất của quá trình xử lý
Dữ liệu cá nhân sẽ được Xử lý theo Điều khoản dịch vụ (https://cleeksy.com/phap-ly/dieu-khoan-dich-vu/) (bao gồm cả Thỏa thuận xử lý dữ liệu này – https://cleeksy.com/phap-ly/thoa-thuan-xu-ly-du-lieu-dpa/) tuân theo các hoạt động Xử lý sau:
1. Lưu trữ và Xử lý cần thiết để cung cấp, duy trì và cải thiện Dịch vụ đăng ký cung cấp cho Khách hàng; và/hoặc
2. Tiết lộ theo Điều khoản dịch vụ (bao gồm cả Thỏa thuận này) và/hoặc theo sự bắt buộc của pháp luật hiện hành.
Mục đích của việc chuyển giao và xử lý khác
Chúng tôi sẽ Xử lý Dữ liệu cá nhân khi cần thiết để cung cấp Dịch vụ Cleeksy theo Điều khoản dịch vụ, và theo các Chỉ dẫn khác trong Đơn Đặt hàng, và theo Chỉ dẫn khác của Khách hàng khi sử dụng Dịch vụ.
Khoảng thời gian mà Dữ liệu cá nhân được lưu giữ
Theo quy định tại mục Xóa hoặc Trả lại Dữ liệu của Thỏa thuận này, chúng tôi sẽ Xử lý Dữ liệu cá nhân trong suốt thời hạn của Điều khoản dịch vụ, trừ khi có thỏa thuận khác bằng văn bản.
Cơ quan giám sát có thẩm quyền
Cơ quan giám sát có thẩm quyền được xác định theo pháp luật bảo vệ dữ liệu cá nhân tại Việt Nam.
Phụ lục 2 – Các biện pháp bảo mật
Chúng tôi hiện tuân thủ các Biện pháp bảo mật được mô tả trong Phụ lục 2 này. Tất cả các thuật ngữ viết hoa không được định nghĩa khác ở đây sẽ có nghĩa như được quy định trong Điều khoản dịch vụ.
I. Quản lý và kiểm soát truy cập
1. Ngăn chặn truy cập sản phẩm trái phép
Xử lý thuê ngoài
Chúng tôi lưu trữ Dịch vụ của mình với các nhà cung cấp cơ sở hạ tầng đám mây thuê ngoài. Ngoài ra, chúng tôi duy trì hợp đồng với các nhà cung cấp để cung cấp Dịch vụ theo Thỏa thuận của chúng tôi. Chúng tôi dựa vào các thỏa thuận hợp đồng, chính sách quyền riêng tư và các chương trình tuân thủ của nhà cung cấp để bảo vệ dữ liệu được các nhà cung cấp này xử lý hoặc lưu trữ.
An ninh vật lý và môi trường
Chúng tôi lưu trữ cơ sở hạ tầng sản phẩm của mình với các nhà cung cấp cơ sở hạ tầng thuê ngoài. Chúng tôi không sở hữu hoặc duy trì phần cứng đặt tại các trung tâm dữ liệu của nhà cung cấp cơ sở hạ tầng bên ngoài. Hệ thống máy chủ chạy các ứng dụng dành cho Khách hàng được bảo mật về mặt logic và vật lý từ các hệ thống thông tin nội bộ của công ty chúng tôi kết hợp các tiêu chuẩn bảo mật của cơ sở hạ tầng thuê ngoài. Các biện pháp kiểm soát an ninh vật lý và môi trường được kiểm tra để tuân thủ ISO 27001, cùng với các chứng nhận khác.
Xác thực
Chúng tôi thực hiện chính sách một mật khẩu cho các sản phẩm của Cleeksy. Khách hàng tương tác với sản phẩm qua giao diện người dùng phải xác thực trước khi truy cập dữ liệu khách hàng không công khai.
Phân quyền truy cập
Dữ liệu Khách hàng được lưu trữ trong hệ thống lưu trữ đa khách hàng (multi-tenant), nơi mà Khách hàng chỉ có thể truy cập vào dữ liệu của mình thông qua giao diện người dùng của ứng dụng và giao diện lập trình ứng dụng (API). Khách hàng không được phép truy cập trực tiếp vào cơ sở hạ tầng ứng dụng nằm bên dưới hệ thống. Mô hình phân quyền trong các sản phẩm của chúng tôi được thiết kế để đảm bảo rằng chỉ những cá nhân được chỉ định phù hợp mới có thể truy cập các tính năng, chế độ xem và tùy chọn tùy chỉnh có liên quan. Việc phân quyền cho các tập dữ liệu được thực hiện thông qua việc xác thực quyền của người dùng đối với các thuộc tính được liên kết với từng tập dữ liệu.
Quyền truy cập Giao diện lập trình ứng dụng (“API”)
API sản phẩm công khai có thể được truy cập bằng cách sử dụng khóa API hoặc thông qua ủy quyền Oauth.
2. Ngăn chặn việc sử dụng trái phép sản phẩm
Chúng tôi triển khai các khả năng phát hiện và kiểm soát truy cập theo tiêu chuẩn ngành cho các mạng nội bộ hỗ trợ các sản phẩm của mình.
Kiểm soát truy cập
Cơ chế kiểm soát truy cập mạng được thiết kế để ngăn lưu lượng mạng sử dụng các giao thức trái phép tiếp cận cơ sở hạ tầng sản phẩm. Các biện pháp kỹ thuật được triển khai khác nhau giữa các nhà cung cấp cơ sở hạ tầng và bao gồm triển khai Đám mây riêng ảo (VPC), phân tách nhóm bảo mật và quy tắc tường lửa truyền thống.
Phát hiện và ngăn chặn xâm nhập
Chúng tôi triển khai giải pháp Tường lửa ứng dụng web (WAF) để bảo vệ các trang web của khách hàng được lưu trữ và các ứng dụng có thể truy cập internet khác. WAF được thiết kế để xác định và ngăn chặn các cuộc tấn công vào các dịch vụ mạng có sẵn công khai.
Kiểm thử tĩnh
Mã được lưu trữ trong kho lưu trữ mã nguồn của chúng tôi được kiểm tra theo các phương pháp hay nhất và các lỗi phần mềm có thể nhận dạng bằng cách sử dụng công cụ tự động.
Thử nghiệm thâm nhập
Chúng tôi duy trì mối quan hệ với các nhà cung cấp dịch vụ thử nghiệm thâm nhập được ngành công nhận để thử nghiệm thâm nhập cả ứng dụng web Cleeksy và cơ sở hạ tầng mạng nội bộ của công ty ít nhất hàng năm. Mục đích của các thử nghiệm thâm nhập này là xác định các lỗ hổng bảo mật và giảm thiểu rủi ro cũng như tác động kinh doanh mà chúng gây ra cho các hệ thống trong phạm vi.
Chương trình săn lỗi bảo mật
Một chương trình tiền thưởng cho lỗi bảo mật được xây dựng nhằm khuyến khích các nhà nghiên cứu bảo mật độc lập khám phá và tiết lộ các lỗi bảo mật một cách có đạo đức. Chúng tôi triển khai chương trình tiền thưởng lỗi bảo mật nhằm nỗ lực mở rộng các cơ hội có sẵn để tương tác với cộng đồng bảo mật và cải thiện khả năng phòng thủ của sản phẩm trước các cuộc tấn công tinh vi.
3. Hạn chế quyền truy cập & những yêu cầu về Phân quyền
Hạn chế quyền truy cập
Một nhóm nhỏ nhân viên của chúng tôi có quyền truy cập Đặc quyền vào sản phẩm và dữ liệu khách hàng thông qua các giao diện được kiểm soát. Mục đích của việc cung cấp quyền truy cập cho một nhóm nhỏ nhân viên là để hỗ trợ khách hàng hiệu quả, phát triển và nghiên cứu sản phẩm, khắc phục sự cố tiềm ẩn, phát hiện và ứng phó với sự cố bảo mật cũng như triển khai bảo mật dữ liệu. Quyền truy cập được kích hoạt thông qua các yêu cầu truy cập “đúng lúc”; tất cả các yêu cầu như vậy được ghi lại. Nhân viên được cấp quyền truy cập theo vai trò và hoạt động đánh giá tính rủi ro đối với quyền truy cập được thực hiện hàng ngày. Quyền truy cập quản trị hoặc các quyền truy cập có tính rủi ro cao được xem xét và kiểm định lại ít nhất sáu tháng một lần. Bất kỳ ai có quyền truy cập này đều phải tuân theo các nghĩa vụ bảo mật nghiêm ngặt theo hợp đồng và có thể bị kỷ luật hoặc chấm dứt hợp đồng nếu họ không đáp ứng các nghĩa vụ này.
Kiểm tra lý lịch
Những vị trí được cấp quyền truy cập Đặc quyền và có tính rủi ro đều phải trải qua quá trình tuyển dụng chặt chẽ, đánh giá và kiểm tra tham chiếu, được ký thỏa thuận bảo mật và được đào tạo về an toàn thông tin trong ngày đầu tiên làm việc tại công ty.
II. Kiểm soát việc truyền dữ liệu
Dữ liệu ở trạng thái sử dụng
Chúng tôi yêu cầu mã hóa HTTPS (còn được gọi là SSL hoặc TLS) trên tất cả các giao diện đăng nhập và miễn phí trên mọi trang web của khách hàng được lưu trữ trên các sản phẩm của Cleeksy. Việc triển khai HTTPS của chúng tôi sử dụng các thuật toán và chứng chỉ tiêu chuẩn của ngành.
Dữ liệu ở trạng thái lưu trữ
Chúng tôi lưu trữ mật khẩu người dùng theo các chính sách tuân theo các thông lệ tiêu chuẩn của ngành về bảo mật. Chúng tôi đã triển khai các công nghệ để đảm bảo rằng dữ liệu được mã hóa khi lưu trữ.
III. Kiểm soát đầu vào
Quy trình phát hiện rủi ro
Chúng tôi đã thiết kế cơ sở hạ tầng của mình để ghi lại thông tin mở rộng về hành vi của hệ thống, lưu lượng truy cập nhận được, xác thực hệ thống và các yêu cầu ứng dụng khác. Hệ thống nội bộ tổng hợp dữ liệu nhật ký và cảnh báo nhân viên thích hợp về các hoạt động độc hại, ngoài ý muốn hoặc bất thường. Nhân viên của chúng tôi, bao gồm nhân viên bảo mật, vận hành và hỗ trợ, sẵn sàng ứng phó với các sự cố đã biết.
Phản hồi và theo dõi
Chúng tôi duy trì hồ sơ về các sự cố bảo mật có thể lường trước bao gồm mô tả, ngày và giờ của các hoạt động liên quan và cách xử lý sự cố. Các sự cố bảo mật đáng ngờ và đã xác nhận được điều tra bởi nhân viên bảo mật, vận hành hoặc hỗ trợ; và cách thức giải quyết được xác định và lập thành văn bản. Đối với bất kỳ sự cố nào đã được xác nhận, chúng tôi sẽ thực hiện các bước thích hợp để giảm thiểu thiệt hại cho sản phẩm và Khách hàng. Các hoạt động thông báo đến Khách hàng kịp thời sẽ được thực hiện theo quy định của Điều khoản dịch vụ.
IV. Quản lý tính sẵn sàng của hệ thống
Tính khả dụng của cơ sở hạ tầng
Các nhà cung cấp cơ sở hạ tầng sử dụng các nỗ lực hợp lý về mặt thương mại để đảm bảo thời gian hoạt động tối thiểu là 99% hàng tháng. Các nhà cung cấp duy trì dự phòng tối thiểu N+1 cho các dịch vụ cấp điện, mạng và sưởi ấm, thông gió và điều hòa không khí (HVAC).
Khả năng chịu lỗi
Các chiến lược sao lưu và sao chép được thiết kế để đảm bảo dự phòng và bảo vệ chuyển đổi dự phòng trong một lỗi xử lý nghiêm trọng. Dữ liệu khách hàng được sao lưu vào nhiều kho lưu trữ dữ liệu và được sao chép trên nhiều vùng khả dụng.
Bản sao và sao lưu trực tuyến
Nếu khả thi, cơ sở dữ liệu được thiết kế để sao chép dữ liệu giữa không ít hơn 1 cơ sở dữ liệu chính và 1 cơ sở dữ liệu phụ. Tất cả các cơ sở dữ liệu được sao lưu và duy trì bằng ít nhất các phương pháp tiêu chuẩn của ngành.
Các kế hoạch khắc phục thảm họa
Chúng tôi duy trì và thường xuyên kiểm tra các kế hoạch khắc phục thảm họa để giúp đảm bảo có sẵn thông tin sau khi các quy trình kinh doanh quan trọng bị gián đoạn hoặc gặp sự cố.
Sản phẩm của chúng tôi được thiết kế để đảm bảo dự phòng và chuyển đổi dự phòng liền mạch. Các phiên bản máy chủ hỗ trợ các sản phẩm cũng được thiết kế với mục tiêu ngăn chặn các điểm lỗi đơn lẻ. Thiết kế này hỗ trợ các hoạt động của chúng tôi trong việc duy trì và cập nhật các ứng dụng sản phẩm cũng như chương trình phụ trợ đồng thời hạn chế thời gian ngừng hoạt động.
Phụ lục 3 – Các đơn vị nhà thầu xử lý dữ liệu
Để giúp Cleeksy cung cấp Dịch vụ phần mềm, chúng tôi thuê các Đơn vị xử lý dữ liệu thứ ba để hỗ trợ các hoạt động xử lý dữ liệu của chúng tôi. Danh sách các Đơn vị xử lý dữ liệu được liệt kê tại Danh sách các đối tác thứ 3 xử lý dữ liệu (https://cleeksy.com/phap-ly/danh-sach-cac-don-vi-xu-ly-du-lieu/).