Phụ lục xử lý dữ liệu (Khách hàng)
Cập nhật lần cuối: 20 tháng 12 năm 2023
Tổng quan
Phụ lục xử lý dữ liệu này, bao gồm các phụ lục ("DPA") sẽ chi phối bất kỳ dịch vụ nào được cung cấp cho khách hàng được liệt kê trong Biểu mẫu đặt hàng ("Khách hàng"), bằng cách OPSWAT Inc. và các chi nhánh của nó ("OPSWAT") với tư cách là Bên xử lý hoặc Bên xử lý phụ trong phạm vi dữ liệu cá nhân được xử lý.
Khách hàng và OPSWAT mỗi Bên sẽ được gọi ở đây là một "Bên" và gọi chung là "Các Bên".
DPA này bổ sung và được đưa vào bất kỳ thỏa thuận nào giữa các Bên, bao gồm nhưng không giới hạn ở OPSWATĐiều khoản và Điều kiện Tiêu chuẩn của nó,OPSWATĐiều khoản và Điều kiện Dịch vụ Chuyên nghiệp, OPSWATĐiều khoản dịch vụ đánh giá an ninh mạng của hoặc thỏa thuận bán hàng, giấy phép hoặc thỏa thuận tương tự khác nếu có ("Thỏa thuận") và sẽ vẫn có hiệu lực trong Thời hạn.
Không giới hạn tính tổng quát của những điều đã nói ở trên, đối tượng, bản chất và mục đích của việc xử lý theo DPA này là để cung cấp Dịch vụ theo Thỏa thuận và các danh mục dữ liệu cá nhân và danh mục chủ thể dữ liệu là những danh mục cần thiết để cung cấp Dịch vụ theo Thỏa thuận.
DPA này sẽ có hiệu lực và thay thế mọi điều khoản bảo mật và xử lý dữ liệu hiện hành trước đây kể từ Ngày DPA có hiệu lực.
1. Định nghĩa
Đối với các mục đích của DPA này, các thuật ngữ dưới đây sẽ có ý nghĩa được quy định dưới đây. Các thuật ngữ viết hoa được sử dụng nhưng không được định nghĩa khác trong DPA này sẽ có ý nghĩa được quy định trong Thỏa thuận.
"Đơn vị liên kết" có nghĩa là, đối với mỗi bên, các thực thể Kiểm soát, được kiểm soát bởi, hoặc dưới sự kiểm soát chung với bên đó.
"Dữ liệu Tổng hợp" có nghĩa là số liệu thống kê, điểm chuẩn, biện pháp và thông tin hoặc dữ liệu khác được ẩn danh bằng cách xóa thông tin cá nhân hoặc thông tin khác để dữ liệu không thể được quy cho một cá nhân hoặc Khách hàng cụ thể (sử dụng các nỗ lực hợp lý về mặt thương mại hoặc theo yêu cầu của Luật Áp dụng).
"Luật Áp dụng" là các luật, quy tắc, hướng dẫn, lệnh và quy định hiện hành của quốc gia, liên bang, tiểu bang và địa phương.
"Báo cáo đánh giá" có nghĩa là ISO 27001, SSAE 16 SOC II hoặc báo cáo đánh giá tương tự được thực hiện bởi kiểm toán viên bên thứ ba đủ điều kiện.
"Kiểm soát" có nghĩa là quyền sở hữu có lợi của hơn năm mươi phần trăm (50%) quyền biểu quyết hoặc vốn chủ sở hữu trong một thực thể.
"Dữ liệu Cá nhân của Khách hàng" có nghĩa là thông tin liên quan đến một thể nhân được xác định hoặc có thể nhận dạng được bảo vệ theo Luật Bảo vệ Dữ liệu mà Khách hàng cung cấp hoặc cung cấp OPSWAT, hoặc cái đó OPSWAT các Quy trình thay mặt Khách hàng, trong từng trường hợp, liên quan đến việc cung cấp hoặc là một phần của Dịch vụ theo Thỏa thuận bất kỳ lúc nào cho đến khi chấm dứt Thỏa thuận.
"Đơn vị liên kết bên kiểm soát dữ liệu" có nghĩa là các Đơn vị liên kết của Khách hàng chưa ký vào Mẫu đơn đặt hàng hoặc Thỏa thuận của riêng họ với OPSWAT, là các thực thể: (a) tuân theo Luật Bảo vệ Dữ liệu; và (b) được phép sử dụng Dịch vụ theo Thỏa thuận.
"Luật Bảo vệ Dữ liệu" có nghĩa là Luật Áp dụng, bao gồm nhưng không giới hạn ở luật của EEA và/hoặc các quốc gia thành viên (chẳng hạn như GDPR), Vương quốc Anh và Thụy Sĩ, áp dụng cho việc Xử lý Dữ liệu Cá nhân của Khách hàng theo Thỏa thuận (trong mọi trường hợp, như được sửa đổi, thay thế hoặc thay thế).
"Chủ thể Dữ liệu" có nghĩa là cá nhân có liên quan đến Dữ liệu Cá nhân của Khách hàng.
"EEA" có nghĩa là Khu vực Kinh tế Châu Âu.
"GDPR" có nghĩa là Quy định chung về bảo vệ dữ liệu EU 2016/679.
"Sự cố bảo mật thông tin" có nghĩa là vi phạm bảo mật dẫn đến phá hủy vô tình hoặc bất hợp pháp hoặc mất mát, thay đổi, tiết lộ hoặc truy cập trái phép vào Dữ liệu Cá nhân của Khách hàng trong OPSWAT'sở hữu, giam giữ hoặc kiểm soát. "Sự cố bảo mật thông tin" không bao gồm các nỗ lực hoặc hoạt động không thành công không ảnh hưởng đến tính bảo mật của Dữ liệu Cá nhân của Khách hàng, bao gồm các lần đăng nhập không thành công, ping, quét cổng, tấn công từ chối dịch vụ và các cuộc tấn công mạng khác vào tường lửa hoặc hệ thống mạng.
"Mẫu đơn đặt hàng" có nghĩa là một tài liệu ghi danh hoặc đặt hàng.
"Xử lý" có nghĩa là bất kỳ hoạt động hoặc tập hợp các hoạt động nào được thực hiện trên Dữ liệu Cá nhân của Khách hàng, bao gồm việc thu thập, ghi lại, tổ chức, cấu trúc, lưu trữ, điều chỉnh hoặc thay đổi, truy xuất, tư vấn, sử dụng, tiết lộ bằng cách truyền, phổ biến hoặc cung cấp, điều chỉnh hoặc kết hợp, hạn chế hoặc xóa Dữ liệu Cá nhân của Khách hàng. Các thuật ngữ "Quy trình", "Quy trình" và "Đã xử lý" sẽ được hiểu tương ứng.
"SCC" có nghĩa là Quyết định của Ủy ban Châu Âu (EU) 2021/914 ngày 4 tháng 6 năm 2021 về các điều khoản hợp đồng tiêu chuẩn để chuyển dữ liệu cá nhân sang các nước thứ ba theo Quy định (EU) 2016/679 của Nghị viện và Hội đồng Châu Âu, có thể được sửa đổi, trình bày lại hoặc thay thế tùy từng thời điểm.
"Các biện pháp an ninh" có nghĩa là các biện pháp kỹ thuật và tổ chức được sử dụng bởi OPSWAT để bảo vệ Dữ liệu Cá nhân của Khách hàng, như được mô tả thêm trong Mục 5.1 (OPSWAT'Các biện pháp an ninh).
"Dịch vụ" được định nghĩa trong Thỏa thuận và cũng có nghĩa là các dịch vụ và/hoặc sản phẩm được cung cấp bởi OPSWAT cho Khách hàng theo Thỏa thuận như được nêu chi tiết trong Mẫu đơn đặt hàng.
"Đơn vị xử lý phụ" có nghĩa là bên thứ ba, trừ OPSWAT, tham gia và ủy quyền bởi OPSWAT, theo DPA này để Xử lý Dữ liệu Cá nhân của Khách hàng liên quan đến Dịch vụ.
"Thuật ngữ" sẽ có nghĩa được quy định tại Mục 2.
2. Thời hạn của DPA
DPA này sẽ có hiệu lực khi Thỏa thuận có hiệu lực và sẽ tự động hết hạn khi chấm dứt Thỏa thuận.
3. Xử lý dữ liệu
3.1 Phạm vi xử lý; Hướng dẫn khách hàng; OPSWAT Tuân thủ Hướng dẫn của Khách hàng. Bằng cách ký kết DPA này, Khách hàng hướng dẫn OPSWAT chỉ xử lý Dữ liệu Cá nhân của Khách hàng theo Luật Bảo vệ Dữ liệu. OPSWAT sẽ chỉ Xử lý Dữ liệu Cá nhân của Khách hàng theo hướng dẫn của Khách hàng: (a) để cung cấp Dịch vụ; (b) theo ủy quyền của Hiệp định, bao gồm DPA này; và (c) như được ghi lại trong các hướng dẫn bằng văn bản khác do Khách hàng cung cấp và được thừa nhận bằng văn bản bởi OPSWAT như các hướng dẫn cấu thành cho các mục đích của DPA này, trừ khi Luật Áp dụng yêu cầu làm như vậy theo cách khác. Đối tượng và chi tiết của Xử lý được mô tả trong Phụ lục 1 (Chi tiết xử lý).
3.2 Trách nhiệm của Khách hàng. Khách hàng tuyên bố và đảm bảo rằng (a) Khách hàng đã có được bất kỳ ủy quyền, sự đồng ý và quyền cần thiết nào theo Luật Bảo vệ Dữ liệu cho OPSWAT'Xử lý Dữ liệu Cá nhân của Khách hàng (bao gồm cả việc chuyển giao hoặc cung cấp quyền truy cập vào Dữ liệu Cá nhân của Khách hàng cho OPSWAT) phù hợp với các điều khoản của DPA này; và (b) các hướng dẫn, quyết định và hành động của Khách hàng liên quan đến việc Xử lý Dữ liệu Cá nhân của Khách hàng phải tuân thủ Luật Áp dụng, bao gồm Luật Bảo vệ Dữ liệu. Khách hàng sẽ thông báo OPSWAT không chậm trễ quá mức nếu Khách hàng không thể tuân thủ Mục 3.2 này (Trách nhiệm của Khách hàng).
3.3 Phân tích. OPSWAT có thể thu thập, phát triển, tạo, trích xuất, biên soạn, tổng hợp, phân tích, sử dụng, thương mại hóa hoặc chia sẻ Dữ liệu Tổng hợp với các bên thứ ba cho nhiều mục đích khác nhau, bao gồm: (i) duy trì, cải thiện, tiếp thị và quảng bá Dịch vụ của chúng tôi; (ii) xác định, hiểu và dự đoán các vấn đề về hiệu suất và bảo mật và các yếu tố ảnh hưởng đến chúng; (iii) cung cấp thông tin cập nhật, cải tiến và trải nghiệm được cá nhân hóa cho khách hàng của chúng tôi; và (iv) nghiên cứu và phát triển các sản phẩm và dịch vụ mới. Để tránh nhầm lẫn, Dữ liệu Tổng hợp sẽ loại trừ Dữ liệu Cá nhân của Khách hàng hoặc bất kỳ thông tin nào nhận dạng Khách hàng.
4. Xóa hoặc trả lại dữ liệu.
Vào ngày chấm dứt có hiệu lực của DPA này, hoặc theo yêu cầu bằng văn bản của Khách hàng, OPSWAT sẽ xóa, cấp cho Khách hàng quyền truy cập, chỉnh sửa hoặc trả lại Dữ liệu Cá nhân của Khách hàng (bao gồm các bản sao hiện có) từ OPSWATcác hệ thống phù hợp với Luật Áp dụng ngay khi có thể thực hiện được một cách hợp lý, trừ khi Luật Áp dụng yêu cầu hoặc cho phép OPSWAT để lưu giữ Dữ liệu Cá nhân của Khách hàng (ví dụ: Luật Áp dụng có thể cho phép OPSWAT để giữ lại các bản sao Dữ liệu Cá nhân của Khách hàng được lưu trữ điện tử trên kho lưu trữ dữ liệu hoặc hệ thống sao lưu).
5. Bảo mật dữ liệu.
5.1 OPSWAT'Các biện pháp an ninh. OPSWAT sẽ thực hiện và duy trì các Biện pháp Bảo mật phù hợp hợp lý để bảo vệ Dữ liệu Cá nhân của Khách hàng, như được mô tả trong Phụ lục 2 (Các biện pháp bảo mật). OPSWAT có thể cập nhật hoặc sửa đổi các Biện pháp Bảo mật theo thời gian miễn là các cập nhật và sửa đổi đó không làm giảm đáng kể tính bảo mật tổng thể của Dịch vụ.
5.2 Tuân thủ bảo mật bởi OPSWAT Nhân viên. OPSWAT sẽ chỉ cấp quyền truy cập vào Dữ liệu Cá nhân của Khách hàng cho nhân viên, nhà thầu độc lập, OPSWAT Các chi nhánh và Bộ xử lý phụ cần quyền truy cập như vậy cho phạm vi hoạt động của họ và có nghĩa vụ bảo mật không ít hạn chế hơn OPSWATnghĩa vụ bảo mật của Thỏa thuận trong Thỏa thuận.
5.3 Sự cố bảo mật thông tin
5.3.1 Thông báo sự cố an toàn thông tin. Nếu OPSWAT nhận thức được sự cố bảo mật thông tin, OPSWAT sẽ: (a) thông báo cho Khách hàng về Sự cố An toàn Thông tin mà không chậm trễ quá mức, theo Mục 13 (Thông báo), sau khi biết về Sự cố An toàn Thông tin; và (b) thực hiện các bước hợp lý để xác định nguyên nhân của Sự cố bảo mật thông tin đó, giảm thiểu tác hại và ngăn chặn sự tái diễn. Ngoại trừ trong phạm vi yêu cầu của Luật Áp dụng, OPSWAT sẽ không thông báo cho bên thứ ba về Sự cố bảo mật thông tin nêu tên Khách hàng một cách rõ ràng mà không có sự đồng ý trước bằng văn bản của Khách hàng, ngoài các Đơn vị xử lý phụ, cơ quan thực thi pháp luật, nhân viên điều chỉnh bảo hiểm đã được phê duyệt, và OPSWATcủa các đơn vị cung cấp dịch vụ ứng cứu sự cố an toàn thông tin.
5.3.2 Thông báo. Khách hàng tự chịu trách nhiệm tuân thủ luật thông báo sự cố áp dụng cho Khách hàng và thực hiện nghĩa vụ thông báo của bên thứ ba liên quan đến bất kỳ Sự cố bảo mật thông tin nào (ví dụ: Điều 33 và 34 của GDPR). Trong trường hợp này, OPSWAT sẽ hỗ trợ hợp lý cho Khách hàng.
5.3.3 Không thừa nhận lỗi bởi OPSWAT. OPSWATThông báo hoặc phản hồi của bạn đối với Sự cố bảo mật thông tin theo Mục 5.3 (Sự cố bảo mật thông tin) này sẽ không được hiểu là sự thừa nhận của OPSWAT về bất kỳ lỗi hoặc trách nhiệm pháp lý nào liên quan đến Sự cố bảo mật thông tin.
5.4 Trách nhiệm và Đánh giá Bảo mật của Khách hàng.
5.4.1 Trách nhiệm bảo mật của Khách hàng. Khách hàng đồng ý rằng, không ảnh hưởng đến OPSWATnghĩa vụ của Mục 5.1 (OPSWATCác biện pháp bảo mật) và Mục 5.3 (Sự cố bảo mật thông tin):
(a) Khách hàng tự chịu trách nhiệm về việc sử dụng Dịch vụ của mình, bao gồm:
(i) sử dụng Dịch vụ một cách thích hợp để đảm bảo mức độ bảo mật phù hợp với rủi ro liên quan đến Dữ liệu Cá nhân của Khách hàng;
(ii) bảo mật thông tin xác thực tài khoản, hệ thống và thiết bị Khách hàng sử dụng để truy cập Dịch vụ;
(iii) bảo mật hệ thống và thiết bị của Khách hàng OPSWAT sử dụng để cung cấp Dịch vụ; và
(iv) sao lưu Dữ liệu Cá nhân Khách hàng của mình.
(b)OPSWAT không có nghĩa vụ bảo vệ Dữ liệu Cá nhân của Khách hàng mà Khách hàng chọn lưu trữ hoặc chuyển ra bên ngoài OPSWATvà hệ thống của Bên xử lý phụ (ví dụ: lưu trữ ngoại tuyến hoặc tại chỗ).
5.4.2 Đánh giá bảo mật của Khách hàng.
(a) Khách hàng tự chịu trách nhiệm xem xét và đánh giá cho chính mình liệu Dịch vụ, các Biện pháp Bảo mật và OPSWATCác cam kết của Mục 5 (Bảo mật dữ liệu) này đáp ứng nhu cầu của Khách hàng, bao gồm cả đối với bất kỳ nghĩa vụ bảo mật nào của Khách hàng theo Luật Bảo vệ Dữ liệu.
(b) Khách hàng thừa nhận và đồng ý rằng (có tính đến các tiêu chuẩn ngành, chi phí thực hiện và bản chất, phạm vi, bối cảnh và mục đích của việc Xử lý Dữ liệu Cá nhân của Khách hàng cũng như các rủi ro đối với chủ thể dữ liệu) các Biện pháp Bảo mật được thực hiện và duy trì bởi OPSWAT theo quy định tại Phụ lục 2 (OPSWAT'Các biện pháp bảo mật) cung cấp mức độ bảo mật phù hợp với rủi ro đối với Dữ liệu Cá nhân của Khách hàng.
5.5 Đánh giá về sự tuân thủ. Báo cáo kiểm toán có sẵn cho Khách hàng theo yêu cầu bằng văn bản của Khách hàng và tuân theo các nghĩa vụ bảo mật được quy định trong Thỏa thuận.
6. Quyền của chủ thể dữ liệu
6.1 Trách nhiệm của Khách hàng đối với các yêu cầu của chủ thể dữ liệu. Nếu OPSWAT nhận bất kỳ yêu cầu nào từ chủ thể dữ liệu liên quan đến Dữ liệu Cá nhân của Khách hàng, trong phạm vi được Luật Áp dụng cho phép, OPSWAT sẽ thông báo ngay cho Khách hàng về bất kỳ yêu cầu nào như vậy. Khách hàng sẽ chịu trách nhiệm đáp ứng bất kỳ yêu cầu nào như vậy.
6.2 OPSWATHỗ trợ Yêu cầu Chủ thể Dữ liệu. OPSWAT sẽ (có tính đến bản chất của việc Xử lý Dữ liệu Cá nhân của Khách hàng) cung cấp cho Khách hàng sự hỗ trợ hợp lý khi cần thiết để Khách hàng thực hiện nghĩa vụ của mình theo Luật Bảo vệ Dữ liệu để đáp ứng các yêu cầu của chủ thể dữ liệu. Khách hàng sẽ hoàn trả OPSWAT đối với bất kỳ khoản phí hoặc chi phí nào phát sinh liên quan đến hỗ trợ đó tại OPSWATmức giá dịch vụ chuyên nghiệp hiện hành tại thời điểm đó.
7. Truyền dữ liệu
OPSWAT có thể lưu trữ và xử lý Dữ liệu Cá nhân của Khách hàng ở bất cứ đâu OPSWAT, các Đơn vị liên kết hoặc Đơn vị xử lý phụ của nó duy trì hoạt động, như được cung cấp trong Phần 8 bên dưới. Đối với việc chuyển Dữ liệu Cá nhân của Khách hàng ra quốc tế theo Luật Bảo vệ Dữ liệu ở EEA, Thụy Sĩ và Vương quốc Anh, các điều khoản của Phụ lục 3, Mục 1.10 và/hoặc 1.11 sẽ được áp dụng.
8. Bộ xử lý phụ
Khách hàng ủy quyền OPSWAT để thu hút các Chi nhánh của mình và các bên thứ ba khác với tư cách là Đơn vị xử lý phụ. Danh sách OPSWATBộ xử lý phụ của có sẵn tại https://www.opswat.com/legal/subprocessors và Khách hàng có thể đăng ký cập nhật danh sách này thông qua nguồn cấp dữ liệu RSS. Nếu Khách hàng ký kết SCC hoặc các thỏa thuận tương tự khác, việc Khách hàng ký các thỏa thuận đó cấu thành sự ủy quyền trước bằng văn bản của Khách hàng đối với nhà thầu phụ bằng cách OPSWAT Xử lý Dữ liệu Cá nhân của Khách hàng nếu sự cho phép đó được yêu cầu theo SCC hoặc các thỏa thuận tương tự khác. OPSWAT sẽ chịu trách nhiệm về tất cả các nghĩa vụ được ký hợp đồng phụ và tất cả các hành vi và thiếu sót của Đơn vị xử lý phụ của mình.
9. Đơn vị liên kết của Bên Kiểm soát Dữ liệu
9.1 Mối quan hệ và giao tiếp. Bằng cách ký DPA này, Khách hàng thừa nhận và đồng ý rằng mình đang tham gia DPA này thay mặt cho chính mình và, trong phạm vi được yêu cầu theo Luật Bảo vệ Dữ liệu hiện hành, nhân danh và thay mặt cho các Đơn vị liên kết của Bên Kiểm soát Dữ liệu, trong phạm vi OPSWAT Xử lý Dữ liệu Cá nhân của Khách hàng mà các Đơn vị liên kết của Bên Kiểm soát Dữ liệu đó đủ điều kiện là Bên kiểm soát, do đó thiết lập DPA giữa OPSWAT và mỗi Đơn vị liên kết bên kiểm soát dữ liệu, tuân theo các quy định của Thỏa thuận và DPA này. Khách hàng đồng ý đảm bảo mỗi Đơn vị liên kết của Bên Kiểm soát Dữ liệu đồng ý bị ràng buộc bởi các nghĩa vụ của DPA này. Tuy nhiên, Đơn vị liên kết bên kiểm soát dữ liệu không và không trở thành một bên của Thỏa thuận và chỉ là một bên của DPA này. Tất cả việc truy cập và sử dụng Dịch vụ của Đơn vị liên kết bên kiểm soát dữ liệu phải tuân thủ Thỏa thuận và mọi vi phạm Thỏa thuận của Đơn vị liên kết bên kiểm soát dữ liệu sẽ bị Khách hàng coi là vi phạm. Khách hàng là bên ký kết trong Thỏa thuận sẽ vẫn chịu trách nhiệm điều phối tất cả các thông tin liên lạc với OPSWAT theo DPA này và sẽ có quyền thực hiện và nhận bất kỳ thông tin liên lạc nào liên quan đến DPA này thay mặt cho Đơn vị liên kết bên kiểm soát dữ liệu.
9.2 Quyền của Đơn vị liên kết bên kiểm soát dữ liệu. Trong trường hợp Đơn vị liên kết của Bên Kiểm soát Dữ liệu trở thành một bên tham gia DPA với OPSWAT, nó sẽ chỉ làm như vậy trong phạm vi được yêu cầu theo Luật Bảo vệ Dữ liệu. Trừ khi được yêu cầu rõ ràng bởi Luật Bảo vệ Dữ liệu đối với Đơn vị liên kết của Bên Kiểm soát Dữ liệu để thực hiện quyền hoặc tìm kiếm biện pháp khắc phục theo DPA này từ OPSWAT tự mình trực tiếp, các Bên đồng ý rằng: (a) Khách hàng là bên ký kết trong Thỏa thuận sẽ có toàn quyền thực hiện bất kỳ quyền nào như vậy hoặc tìm kiếm bất kỳ biện pháp khắc phục nào như vậy thay mặt cho Đơn vị liên kết của Bên kiểm soát dữ liệu; và (b) Khách hàng là bên ký kết Thỏa thuận, trong phạm vi không bị cấm bởi Luật Bảo vệ Dữ liệu, sẽ thực hiện bất kỳ quyền nào như vậy theo DPA này theo cách kết hợp cho tất cả các Đơn vị liên kết bên Kiểm soát Dữ liệu của mình.
10. Quyền kiểm toán
Theo yêu cầu bằng văn bản của Khách hàng, OPSWAT sẽ cung cấp một bản sao Báo cáo kiểm toán gần đây nhất cho Khách hàng, tuân theo các điều khoản bảo mật của Hợp đồng như sau: OPSWATthông tin bí mật. OPSWAT cũng sẽ trả lời bất kỳ câu hỏi kiểm toán bằng văn bản nào do Khách hàng gửi cho mình, với điều kiện Khách hàng không được thực hiện quyền này nhiều hơn một lần mỗi năm.
11. Quy định cụ thể về thẩm quyền
Nếu OPSWAT Xử lý Dữ liệu Cá nhân từ khu vực tài phán được liệt kê trong Phụ lục 3, các điều khoản tương ứng sẽ được áp dụng đối với việc Xử lý đó.
12. Giới hạn trách nhiệm pháp lý
Ngoại trừ trong phạm vi bị cấm bởi Luật Áp dụng, toàn bộ trách nhiệm pháp lý kết hợp của một trong hai bên và các Đơn vị liên kết của bên đó (bao gồm cả Đơn vị liên kết của Bên kiểm soát dữ liệu) đối với bên kia và các Đơn vị liên kết của bên đó, cho dù theo hợp đồng, sai lầm cá nhân hoặc bất kỳ lý thuyết trách nhiệm pháp lý nào khác, theo hoặc liên quan đến Thỏa thuận, DPA này và SCC, nếu được ký kết, sẽ được giới hạn ở các giới hạn trách nhiệm pháp lý hoặc giới hạn trách nhiệm pháp lý khác do các Bên thỏa thuận trong Thỏa thuận. OPSWAT và OPSWAT Toàn bộ trách nhiệm pháp lý của Đơn vị liên kết đối với tất cả các khiếu nại từ Khách hàng và tất cả các Đơn vị liên kết bên kiểm soát dữ liệu của Khách hàng phát sinh từ Thỏa thuận hoặc bất kỳ DPA nào sẽ áp dụng tổng hợp cho tất cả các khiếu nại theo cả Thỏa thuận và tất cả DPA và sẽ không được hiểu là áp dụng riêng lẻ và riêng lẻ cho Khách hàng hoặc cho bất kỳ Đơn vị liên kết bên kiểm soát dữ liệu nào là một bên hợp đồng của bất kỳ DPA nào như vậy.
13. Thông báo
Các thông báo do một Bên yêu cầu hoặc cho phép đưa ra có thể được đưa ra (a) phù hợp với các quy định thông báo của Hiệp định; (b) đến các đầu mối liên lạc chính của một Bên với Bên kia; và/hoặc (c) đến bất kỳ email nào do Khách hàng cung cấp nhằm mục đích cung cấp cho email đó các thông tin liên lạc hoặc cảnh báo liên quan đến Dịch vụ. Khách hàng hoàn toàn chịu trách nhiệm đảm bảo rằng email của mình là hiện hành và hợp lệ. Một bản sao của tất cả các thông báo sẽ được gửi qua email đến: Pháp lý@opswat..com.
14. Hiệu lực của các Điều khoản này
Ngoại trừ những thay đổi do DPA này thực hiện, Thỏa thuận và/hoặc bất kỳ thỏa thuận nào khác liên quan đến Dịch vụ vẫn không thay đổi và có hiệu lực đầy đủ. Trong trường hợp có xung đột giữa Thỏa thuận và DPA này, các quy định của DPA này sẽ kiểm soát và chi phối đối với vấn đề này. Trong trường hợp có xung đột giữa DPA này và SCC, các quy định của SCC sẽ kiểm soát và điều chỉnh đối với đối tượng của SCC.
15. Luật điều chỉnh
DPA này sẽ chịu sự điều chỉnh của luật pháp có cùng khu vực tài phán với Thỏa thuận, trừ khi và trong phạm vi Luật Bảo vệ Dữ liệu yêu cầu DPA này chịu sự điều chỉnh của luật pháp của khu vực tài phán khác.
Chi tiết xử lý
Chủ đề |
OPSWATviệc cung cấp Dịch vụ cho Khách hàng được nêu chi tiết trong Thỏa thuận.
|
Thời gian xử lý |
Thời hạn cộng với khoảng thời gian kể từ ngày DPA chấm dứt có hiệu lực cho đến khi xóa tất cả Dữ liệu Cá nhân của Khách hàng bằng cách OPSWAT theo quy định của UBND tỉnh.
|
Các loại dữ liệu cá nhân | Thông tin nhận dạng và liên hệ (ví dụ: tên, chức danh, địa chỉ doanh nghiệp, số điện thoại doanh nghiệp, email doanh nghiệp) của nhân viên Khách hàng, nhà thầu độc lập hoặc người dùng được ủy quyền của Dịch vụ; Dữ liệu lịch sử mua và sử dụng của khách hàng trên Dịch vụ; Công nghệ thông tin ("IT") dữ liệu liên quan (ví dụ: địa chỉ IP của khách truy cập vào OPSWATtrang web của bạn, dữ liệu điều hướng trực tuyến, loại trình duyệt, tùy chọn ngôn ngữ, dữ liệu pixel, dữ liệu cookie, dữ liệu đèn hiệu web, tệp nhật ký); và Nội dung và siêu dữ liệu của bất kỳ tệp, email hoặc dữ liệu nào khác được gửi để quét hoặc cung cấp cho OPSWAT trong quá trình cung cấp Dịch vụ |
Bản chất và mục đích của việc xử lý |
OPSWAT sẽ Xử lý Dữ liệu Cá nhân của Khách hàng nhằm mục đích cung cấp Dịch vụ cho Khách hàng theo Thỏa thuận và DPA.
|
Danh mục dữ liệu cá nhân đặc biệt |
Không có loại dữ liệu cá nhân đặc biệt nào được trao đổi giữa các Bên.
|
Đối tượng dữ liệu |
Khách hàng và nhân viên hoặc nhà thầu độc lập của Đơn vị liên kết, được ủy quyền sử dụng Dịch vụ.
|
Vui lòng tham khảo Chính sách bảo mật của chúng tôi tại https://www.opswat.com/pháp lý/chính sách bảo mật để biết thêm chi tiết về cách thức OPSWAT Xử lý Dữ liệu Cá nhân của Khách hàng.
Các biện pháp an ninh
OPSWAT đã thực hiện các Biện pháp Bảo mật sau đây liên quan đến việc Xử lý Dữ liệu Cá nhân của Khách hàng:
1. Kiểm soát truy cập vật lý.
OPSWAT sử dụng các biện pháp được thiết kế để ngăn chặn những người không được phép truy cập vào các hệ thống xử lý dữ liệu trong đó Dữ liệu Cá nhân của Khách hàng được xử lý, chẳng hạn như sử dụng nhân viên an ninh, tòa nhà an ninh và cơ sở trung tâm dữ liệu.
2. Kiểm soát truy cập hệ thống.
Những điều sau đây có thể, trong số các biện pháp kiểm soát khác, được áp dụng tùy thuộc vào Dịch vụ cụ thể được đặt hàng: xác thực qua mật khẩu và/hoặc xác thực hai yếu tố, quy trình ủy quyền được ghi lại, quy trình quản lý thay đổi được ghi lại và ghi nhật ký truy cập ở nhiều cấp độ. Đối với môi trường Dịch vụ được lưu trữ bởi OPSWAT: (i) đăng nhập vào môi trường Dịch vụ bằng cách OPSWAT nhân viên và Bộ xử lý phụ được ghi lại; (ii) truy cập logic vào các trung tâm dữ liệu bị hạn chế và bảo vệ bởi tường lửa / VLAN và các quy tắc định tuyến; và (iii) hệ thống phát hiện xâm nhập, ghi nhật ký và cảnh báo tập trung, và tường lửa được sử dụng. OPSWAT quản lý từng hệ thống là một phần của phát triển phần mềm Dịch vụ với các chính sách bảo mật cho từng hệ thống. Các chính sách được phê duyệt bởi OPSWAT chủ sở hữu rủi ro và được quản lý bởi chủ sở hữu tài sản. Ví dụ, không có nhà thầu độc lập nào có quyền truy cập vào hệ thống xây dựng.
3. Điều khiển truyền dẫn.
Trừ khi có quy định khác cho Dịch vụ (bao gồm trong Biểu mẫu đặt hàng, tuyên bố công việc hoặc thông số kỹ thuật dịch vụ hiện hành được tham chiếu trong Thỏa thuận), việc truyền dữ liệu ra ngoài môi trường Dịch vụ được mã hóa. OPSWAT duy trì một chương trình an ninh mạng thích hợp bao gồm mã hóa Dữ liệu Cá nhân của Khách hàng. Một số Dịch vụ có thể được Khách hàng cấu hình để cho phép truy cập vào các trang web của bên thứ ba yêu cầu thông tin liên lạc không được mã hóa. Nội dung thông tin liên lạc (bao gồm địa chỉ người gửi và người nhận) được gửi qua một số dịch vụ email hoặc nhắn tin có thể không được mã hóa. Khách hàng hoàn toàn chịu trách nhiệm về kết quả quyết định sử dụng các thông tin liên lạc hoặc truyền tải không được mã hóa đó.
4. Điều khiển đầu vào.
Nguồn Dữ liệu Cá nhân của Khách hàng nằm dưới sự kiểm soát của Khách hàng và Dữ liệu Cá nhân của Khách hàng được tích hợp vào OPSWAT Hệ thống được quản lý bằng cách truyền tệp bảo mật (tức là thông qua các dịch vụ web hoặc được nhập vào ứng dụng) từ OPSWAT. Một số Dịch vụ cho phép Khách hàng sử dụng các giao thức truyền tệp không được mã hóa. Trong những trường hợp như vậy, Khách hàng hoàn toàn chịu trách nhiệm về quyết định sử dụng các giao thức truyền trường không được mã hóa đó.
5. Sao lưu dữ liệu.
Đối với Dịch vụ được lưu trữ bởi OPSWAT: sao lưu được thực hiện một cách thường xuyên; Các bản sao lưu được bảo mật bằng cách sử dụng kết hợp các điều khiển kỹ thuật và vật lý, tùy thuộc vào Dịch vụ được nêu chi tiết trong Biểu mẫu đặt hàng.
6. Kinh doanh liên tục; Phục hồi sau thảm họa.
OPSWAT đã thực hiện kế hoạch kinh doanh liên tục và khắc phục thảm họa.
7. Bảo mật chuỗi cung ứng.
Đơn vị xử lý phụ hoặc thành phần của bên thứ ba cho Dịch vụ được xem xét bởi OPSWAT sĩ quan và OPSWAT Hợp pháp trước khi chúng được sử dụng như một phần của Dịch vụ.
8. Quét lỗ hổng.
Quét lỗ hổng được thực hiện hàng tuần để liên tục xác định các mối đe dọa rủi ro được khắc phục cho môi trường này.
9.OPSWAT Bộ xử lý phụ.
OPSWAT Bộ xử lý phụ được sử dụng cho OPSWAT Sản phẩm được đánh giá rủi ro bảo mật và yêu cầu ký Phụ lục xử lý dữ liệu (DPA) và/hoặc Điều khoản hợp đồng tiêu chuẩn với OPSWAT để đảm bảo rằng các yêu cầu bảo mật tối thiểu và mức độ dịch vụ theo GDPR được tuân thủ.
10. Software Phát triển.
Phát triển phần mềm dịch vụ tuân theo các quy trình Vòng đời Phát triển Hệ thống ("SDLC") nghiêm ngặt, bao gồm OPSWAT Trình quản lý sản phẩm ("PM") thiết lập và thực hiện các yêu cầu, thiết kế, triển khai, kiểm tra đơn vị, xem xét mã, kiểm tra tự động, kiểm tra Đảm bảo chất lượng thủ công ("QA") và kiểm tra chấp nhận.
11.Secure SDLC.
OPSWAT đã thông qua OWSAP SAMM ( Software Mô hình đảm bảo trưởng thành) và OWASP ASVS (Tiêu chuẩn xác minh bảo mật ứng dụng) cho SDLC an toàn.
12.IT An ninh.
OPSWAT sử dụng Xác thực đa yếu tố ("MFA") để xác thực an toàn và tuân theo các tiêu chuẩn NIST 800-63B: https://pages.nist.gov/800-63-3/sp800-63b.html#memsecretver.
Quy định cụ thể về thẩm quyền
1. Khu vực kinh tế châu Âu, Thụy Sĩ và Vương quốc Anh
1.1 Phạm vi. Các quy định sau đây chỉ áp dụng đối với OPSWATXử lý Dữ liệu Cá nhân của Khách hàng tuân theo Luật Bảo vệ Dữ liệu ở EEA, Thụy Sĩ và Vương quốc Anh.
1.2 Định nghĩa.
(a) Các thuật ngữ "Bên kiểm soát", "Bên xử lý" và "Cơ quan giám sát" sẽ có ý nghĩa được quy định trong GDPR.
(b) "Phụ lục Vương quốc Anh" có nghĩa là Phụ lục Truyền Dữ liệu Quốc tế cho SCC, Phiên bản B1.0, do Văn phòng Ủy ban Thông tin của Vương quốc Anh ban hành.
1.3 Trách nhiệm của Bộ xử lý và Bộ điều khiển. Các Bên thừa nhận và đồng ý rằng:
(a)OPSWAT là Bên xử lý hoặc Bên xử lý phụ, nếu có, Dữ liệu Cá nhân của Khách hàng theo Luật Bảo vệ Dữ liệu;
(b) Khách hàng là Bên kiểm soát hoặc Bên xử lý, nếu có, Dữ liệu Cá nhân của Khách hàng theo Luật Bảo vệ Dữ liệu;
(c) Khách hàng sẽ hoàn toàn chịu trách nhiệm về tính chính xác, chất lượng và tính hợp pháp của Dữ liệu Cá nhân của Khách hàng và phương tiện mà Khách hàng có được Dữ liệu Cá nhân của Khách hàng; và
(d) mỗi Bên sẽ tuân thủ các nghĩa vụ áp dụng cho mình theo Luật Bảo vệ Dữ liệu liên quan đến việc Xử lý Dữ liệu Cá nhân của Khách hàng.
1.4 Ủy quyền của Bên Kiểm soát Bên thứ ba. Nếu Khách hàng là Bên xử lý, Khách hàng tuyên bố và đảm bảo OPSWAT hướng dẫn và hành động của Khách hàng liên quan đến Dữ liệu Cá nhân của Khách hàng, bao gồm cả việc chỉ định OPSWAT với tư cách là Bộ xử lý, đã được Bộ điều khiển có liên quan ủy quyền. Khách hàng thừa nhận rằng OPSWAT không chịu trách nhiệm thu thập sự đồng ý hoặc ủy quyền cho việc Xử lý Dữ liệu Cá nhân của Khách hàng.
1.5 Xử lý bởi OPSWAT để tuân thủ luật áp dụng. Nếu OPSWAT phải Xử lý Dữ liệu Cá nhân của Khách hàng trái với hướng dẫn của Khách hàng hoặc theo ủy quyền của Thỏa thuận (bao gồm DPA này) để tuân thủ Luật Áp dụng, OPSWAT sẽ thông báo cho Khách Hàng về Luật Áp Dụng trước khi Xử Lý, trừ khi Luật Áp Dụng cấm thông báo đó vì lý do quan trọng vì lợi ích công cộng.
1.6 Các biện pháp an ninh. OPSWAT (có tính đến tình trạng hiện đại, chi phí thực hiện và bản chất, phạm vi, bối cảnh và mục đích của Xử lý cũng như rủi ro về khả năng và mức độ nghiêm trọng khác nhau đối với quyền và tự do của chủ thể dữ liệu) thực hiện các Biện pháp bảo mật thích hợp để đảm bảo mức độ bảo mật phù hợp với rủi ro, bao gồm các Biện pháp bảo mật được nêu chi tiết trong Phụ lục 2, và khi thích hợp:
(a) ẩn danh và mã hóa Dữ liệu Cá nhân của Khách hàng;
(b) khả năng đảm bảo tính bảo mật, tính toàn vẹn, tính sẵn sàng và khả năng phục hồi liên tục của các hệ thống xử lý và Dịch vụ, bao gồm các biện pháp và thông lệ cụ thể sau đây;
(c) khả năng khôi phục tính khả dụng và quyền truy cập vào Dữ liệu Cá nhân của Khách hàng một cách kịp thời trong trường hợp xảy ra sự cố vật lý hoặc kỹ thuật; và
(d) một quy trình thường xuyên kiểm tra, đánh giá và đánh giá tính hiệu quả của các biện pháp kỹ thuật và tổ chức để đảm bảo tính bảo mật của việc Xử lý Dữ liệu Cá nhân của Khách hàng.
1.7 Hỗ trợ hợp lý. OPSWAT sẽ cung cấp hỗ trợ hợp lý cho Khách hàng, theo yêu cầu của Luật Áp dụng áp dụng cho OPSWATVai trò của Bên xử lý, để Khách hàng tuân thủ nghĩa vụ của Khách hàng trong việc thực hiện đánh giá tác động bảo vệ dữ liệu theo Điều 35 GDPR. Trong các tình huống mà việc Xử lý Dữ liệu Cá nhân của Khách hàng dẫn đến rủi ro cao đối với quyền và tự do của chủ thể dữ liệu, OPSWAT sẽ cung cấp hỗ trợ hợp lý cho Khách hàng khi tìm kiếm sự tư vấn trước từ Cơ quan giám sát theo Điều 36 GDPR.
1.8 Chi tiết sự cố an toàn thông tin. Thông báo được thực hiện theo Mục 5.3 của DPA (Sự cố bảo mật thông tin) sẽ:
(a) mô tả bản chất của Sự cố An toàn Thông tin bao gồm nếu có thể, các loại và số lượng gần đúng của các chủ thể dữ liệu liên quan và các loại và số lượng gần đúng các hồ sơ dữ liệu cá nhân có liên quan;
(b) thông báo tên và chi tiết liên lạc của nhân viên bảo vệ dữ liệu hoặc đầu mối liên hệ khác nơi có thể thu thập thêm thông tin;
(c) mô tả các hậu quả có thể xảy ra của Sự cố An toàn Thông tin; và
(d) mô tả các biện pháp được thực hiện hoặc đề xuất thực hiện bởi; OPSWAT để giải quyết Sự cố An toàn Thông tin, bao gồm, khi thích hợp, các biện pháp để giảm thiểu các tác động bất lợi có thể xảy ra.
Ở đâu, và trong chừng mực không thể cung cấp thông tin cùng một lúc, thông tin có thể được cung cấp theo từng giai đoạn mà không bị chậm trễ quá mức.
1.9 Kiểm toán tuân thủ.
1.9.1 Khách hàng có thể, theo yêu cầu trước bằng văn bản hợp lý với thông báo bằng văn bản trước ít nhất bốn mươi lăm (45) ngày, kiểm toán OPSWATViệc tuân thủ các nghĩa vụ của mình theo DPA này mười hai (12) tháng một lần trong thời hạn của Thỏa thuận, để đáp ứng các yêu cầu của Luật Bảo vệ Dữ liệu. Khách hàng phải thực hiện tất cả các cuộc kiểm toán trong quá trình định kỳ OPSWAT giờ làm việc và không được can thiệp bất hợp lý vào OPSWAT hoạt động kinh doanh. Trong phạm vi yêu cầu của Luật Bảo vệ Dữ liệu, bao gồm cả trường hợp được Cơ quan giám sát của Khách hàng ủy quyền, Khách hàng hoặc Cơ quan giám sát của Khách hàng có thể thực hiện kiểm tra thường xuyên.
1.9.2 Nếu một bên thứ ba tiến hành kiểm toán, OPSWAT có thể phản đối kiểm toán viên nếu kiểm toán viên, trong OPSWATý kiến hợp lý, không phù hợp với trình độ hoặc độc lập, hoặc OPSWAT đối thủ. Sự phản đối như vậy của OPSWAT sẽ yêu cầu Khách hàng chỉ định một kiểm toán viên khác hoặc tự tiến hành kiểm toán.
1.9.3 Để yêu cầu kiểm toán, Khách hàng phải nộp kế hoạch kiểm toán đề xuất chi tiết cho OPSWAT ít nhất hai (2) tuần trước ngày đánh giá dự kiến. Kế hoạch kiểm toán được đề xuất phải mô tả phạm vi, thời hạn và ngày bắt đầu kiểm toán được đề xuất. OPSWAT sẽ xem xét kế hoạch kiểm toán được đề xuất và cung cấp cho Khách hàng các mối quan tâm hoặc câu hỏi (ví dụ: bất kỳ yêu cầu cung cấp thông tin nào có thể ảnh hưởng OPSWAT bảo mật, quyền riêng tư, việc làm hoặc các chính sách liên quan khác). OPSWAT sẽ hợp tác với Khách hàng để thống nhất kế hoạch kiểm toán cuối cùng. Không có nội dung nào trong Mục 1.9 (Kiểm toán Tuân thủ) này yêu cầu OPSWAT vi phạm nghĩa vụ bảo mật.
1.9.4 Nếu phạm vi kiểm toán được yêu cầu được đề cập trong Báo cáo kiểm toán trong vòng mười hai (12) tháng kể từ khi Khách hàng yêu cầu kiểm toán; và OPSWAT xác nhận không có thay đổi trọng yếu nào trong các kiểm soát được kiểm toán, Khách hàng đồng ý chấp nhận Báo cáo kiểm toán thay cho việc yêu cầu kiểm toán các kiểm soát thuộc phạm vi điều chỉnh của Báo cáo kiểm toán.
1.9.5 Kiểm toán do Khách hàng chi trả. Khách hàng sẽ hoàn trả OPSWAT cho bất kỳ thời gian nào được sử dụng bởi OPSWAT hoặc Đơn vị xử lý phụ của nó liên quan đến bất kỳ cuộc kiểm toán nào theo Mục 1.9 (Kiểm toán tuân thủ) này tại OPSWATmức giá dịch vụ chuyên nghiệp hiện hành tại thời điểm đó. Khách hàng sẽ thanh toán tất cả các khoản phí được tính bởi bất kỳ kiểm toán viên nào do Khách hàng chỉ định để thực hiện bất kỳ cuộc kiểm toán nào như vậy.
1.9.6 Các bên đồng ý rằng Mục 1.9 (Kiểm toán tuân thủ) này sẽ đáp ứng OPSWATnghĩa vụ của SCC theo yêu cầu kiểm toán của SCC áp dụng cho nhà nhập dữ liệu theo Khoản 5 (f) và cho bất kỳ Đơn vị xử lý phụ nào theo Khoản 11 và Khoản 12 (2).
1.10 Chuyển dữ liệu ra khỏi EEA hoặc Thụy Sĩ. Nếu việc lưu trữ và/hoặc Xử lý Dữ liệu Cá nhân của Khách hàng liên quan đến việc chuyển Dữ liệu Cá nhân của Khách hàng ra khỏi EEA hoặc Thụy Sĩ và Luật Bảo vệ Dữ liệu áp dụng cho việc chuyển Dữ liệu Cá nhân của Khách hàng đó, những điều sau đây sẽ được áp dụng trừ khi việc chuyển giao được thực hiện cho một quốc gia EEA có quyết định đầy đủ của Ủy ban Châu Âu:
1.10.1 Phụ lục 4 sẽ được áp dụng và OPSWAT sẽ thực hiện việc chuyển giao như vậy theo SCC từ bộ điều khiển đến bộ xử lý được tham chiếu trong đó nếu: OPSWAT là Bên xử lý và Khách hàng là Bên kiểm soát Dữ liệu Cá nhân của Khách hàng theo Luật Bảo vệ Dữ liệu.
1.10.2 Phụ lục 5 sẽ được áp dụng và OPSWAT sẽ thực hiện việc chuyển giao như vậy theo SCC từ bộ xử lý đến bộ xử lý được tham chiếu trong đó nếu: OPSWAT là Đơn vị xử lý phụ và Khách hàng là Bên xử lý Dữ liệu Cá nhân của Khách hàng theo Luật Bảo vệ Dữ liệu.
1.11 Chuyển dữ liệu ra khỏi Vương quốc Anh. Nếu việc lưu trữ và/hoặc Xử lý Dữ liệu Cá nhân của Khách hàng liên quan đến việc chuyển Dữ liệu Cá nhân của Khách hàng ra khỏi Vương quốc Anh và Luật Bảo vệ Dữ liệu áp dụng cho việc chuyển Dữ liệu Cá nhân của Khách hàng đó, Phụ lục 6 sẽ được áp dụng và OPSWAT sẽ thực hiện việc chuyển giao đó theo SCC được tham chiếu trong đó trừ khi việc chuyển giao được thực hiện cho một quốc gia EEA hoặc một quốc gia có quyết định đầy đủ của Ủy ban Châu Âu được chính phủ Vương quốc Anh công nhận.
1.12 Thỏa thuận xử lý phụ. OPSWAT có thể biên tập lại tất cả các điều khoản kinh doanh hoặc pháp lý bí mật trong các thỏa thuận của mình với Đơn vị xử lý phụ trước khi trả lời yêu cầu của Khách hàng về bản sao thỏa thuận Bộ xử lý phụ theo Khoản 9 (c) của SCC.
1.13 Cơ hội phản đối các thay đổi của bộ xử lý phụ. Khi một Đơn vị xử lý phụ mới được tham gia trong Thời hạn, OPSWAT sẽ, ít nhất mười lăm (15) ngày trước khi Đơn vị xử lý phụ mới Xử lý bất kỳ Dữ liệu Cá nhân nào của Khách hàng, thông báo cho Khách hàng về cam kết bằng văn bản bằng cách cập nhật danh sách Đơn vị xử lý phụ của mình tại https://www.opswat.com/legal/subprocessors. Khách hàng có thể phản đối Đơn vị xử lý phụ mới bằng cách cung cấp thông báo bằng văn bản cho OPSWAT trong vòng năm (5) ngày làm việc kể từ ngày trên OPSWAT'thông báo của bạn. Trong trường hợp Khách hàng phản đối Đơn vị xử lý phụ, Khách hàng và OPSWAT sẽ làm việc cùng nhau một cách thiện chí để tìm ra một giải pháp được chấp nhận lẫn nhau để giải quyết sự phản đối đó. Nếu các bên không thể đạt được giải pháp được chấp nhận lẫn nhau trong một khung thời gian hợp lý, Khách hàng có thể, như biện pháp khắc phục duy nhất và độc quyền của mình, chấm dứt Biểu mẫu đặt hàng hiện hành cho Dịch vụ bằng cách sử dụng Bộ xử lý phụ được đề cập bằng cách cung cấp thông báo bằng văn bản cho OPSWAT.
1.14 Xử lý hồ sơ. Khách hàng thừa nhận rằng OPSWAT được yêu cầu theo GDPR để: (a) thu thập và duy trì hồ sơ của một số thông tin nhất định theo Điều 30 (2) GDPR, bao gồm tên và chi tiết liên hệ của mỗi Bộ xử lý và / hoặc Bộ kiểm soát thay mặt OPSWAT đang hành động và, nếu có, của đại diện địa phương và nhân viên bảo vệ dữ liệu của Bên xử lý hoặc Bên kiểm soát đó; và (b) cung cấp thông tin đó cho Cơ quan giám sát theo Điều 30 (4) GDPR. Nếu GDPR áp dụng cho việc Xử lý Dữ liệu Cá nhân của Khách hàng, khi được yêu cầu, Khách hàng sẽ cung cấp thông tin đó cho OPSWATvà sẽ đảm bảo rằng tất cả thông tin được cung cấp được giữ chính xác và cập nhật.
2. California
2.1 Phạm vi. Các quy định sau đây chỉ áp dụng đối với OPSWATViệc Xử lý Dữ liệu Cá nhân của Khách hàng tuân theo Đạo luật Quyền riêng tư của Người tiêu dùng California năm 2018, Bộ luật Dân sự Cal. §1798.100 và các mục tiếp theo, được sửa đổi bởi Đạo luật Quyền riêng tư California và các quy định liên quan, đôi khi có thể được sửa đổi thêm (gọi chung là "CCPA").
2.2 Định nghĩa. Các thuật ngữ "bán", "chia sẻ" và "nhà cung cấp dịch vụ" sẽ có cùng ý nghĩa như được định nghĩa theo CCPA.
2.3 Nhà cung cấp dịch vụ. OPSWAT là nhà cung cấp dịch vụ cho Khách hàng. OPSWAT sẽ chỉ Xử lý Dữ liệu Cá nhân của Khách hàng cho mục đích cung cấp Dịch vụ. Trừ khi được cho phép khác theo Thỏa thuận hoặc CCPA:
(a) OPSWAT sẽ không tiếp tục thu thập, lưu giữ, sử dụng hoặc tiết lộ Dữ liệu Cá nhân của Khách hàng cho mục đích thương mại hoặc bất kỳ mục đích nào khác ngoài việc thực hiện mục đích được dự tính theo Thỏa thuận;
(b) OPSWAT sẽ không lưu giữ, sử dụng hoặc tiết lộ Dữ liệu Cá nhân của Khách hàng bên ngoài mối quan hệ kinh doanh trực tiếp giữa các Bên; và
(c) OPSWAT sẽ không kết hợp Dữ liệu Cá nhân của Khách hàng nhận được từ hoặc thay mặt cho Khách hàng với Dữ liệu Cá nhân từ người khác hoặc được thu thập từ tương tác của chính Khách hàng với Khách hàng, trừ khi cần thiết để cung cấp Dịch vụ theo Thỏa thuận.
2.4 Không bán hoặc chia sẻ. OPSWAT sẽ không bán hoặc chia sẻ Dữ liệu Cá nhân của Khách hàng.
2.5 Tuân thủ CCPA. OPSWAT phải tuân thủ tất cả các phần hiện hành của CCPA, bao gồm cung cấp cùng mức độ bảo vệ quyền riêng tư theo yêu cầu của CCPA đối với Dữ liệu Cá nhân của Khách hàng được Xử lý theo Thỏa thuận này.
2.6 Kiểm toán CCPA.
2.6.1 Khách hàng có thể, theo yêu cầu trước bằng văn bản hợp lý với thông báo bằng văn bản trước ít nhất bốn mươi lăm (45) ngày, kiểm toán OPSWATViệc tuân thủ các nghĩa vụ của mình theo DPA này mười hai (12) tháng một lần trong suốt thời hạn của Thỏa thuận. Khách hàng phải thực hiện tất cả các cuộc kiểm toán trong quá trình định kỳ OPSWAT giờ làm việc và không được can thiệp bất hợp lý vào OPSWAT hoạt động kinh doanh. Trong phạm vi CCPA yêu cầu, bao gồm cả trường hợp được Cơ quan Bảo vệ Quyền riêng tư California ủy quyền, Khách hàng có thể thực hiện kiểm tra thường xuyên.
2.6.2 Nếu một bên thứ ba tiến hành kiểm toán, OPSWAT có thể phản đối kiểm toán viên nếu kiểm toán viên, trong OPSWATý kiến hợp lý, không phù hợp với trình độ hoặc độc lập, hoặc OPSWAT đối thủ. Sự phản đối như vậy của OPSWAT sẽ yêu cầu Khách hàng chỉ định một kiểm toán viên khác hoặc tự tiến hành kiểm toán.
2.6.3 Để yêu cầu kiểm toán, Khách hàng phải gửi kế hoạch kiểm toán được đề xuất chi tiết cho OPSWAT ít nhất hai (2) tuần trước ngày đánh giá dự kiến. Kế hoạch kiểm toán được đề xuất phải mô tả phạm vi, thời hạn và ngày bắt đầu kiểm toán được đề xuất. OPSWAT sẽ xem xét kế hoạch kiểm toán được đề xuất và cung cấp cho Khách hàng các mối quan tâm hoặc câu hỏi (ví dụ: bất kỳ yêu cầu cung cấp thông tin nào có thể ảnh hưởng OPSWAT bảo mật, quyền riêng tư, việc làm hoặc các chính sách liên quan khác). OPSWAT sẽ hợp tác với Khách hàng để thống nhất kế hoạch kiểm toán cuối cùng. Không có nội dung nào trong Mục 2.6 (Kiểm toán CCPA) này yêu cầu OPSWAT vi phạm nghĩa vụ bảo mật.
2.6.4 Nếu phạm vi kiểm toán được yêu cầu được đề cập trong Báo cáo kiểm toán trong vòng mười hai (12) tháng kể từ khi Khách hàng yêu cầu kiểm toán; và OPSWAT xác nhận không có thay đổi trọng yếu nào trong các kiểm soát được kiểm toán, Khách hàng đồng ý chấp nhận Báo cáo kiểm toán thay cho việc yêu cầu kiểm toán các kiểm soát thuộc phạm vi điều chỉnh của Báo cáo kiểm toán.
2.6.5 Kiểm toán là chi phí của Khách hàng. Khách hàng sẽ hoàn trả OPSWAT cho bất kỳ thời gian nào được sử dụng bởi OPSWAT hoặc Đơn vị xử lý phụ liên quan đến bất kỳ cuộc kiểm toán nào theo Mục 2.6 (Kiểm toán CCPA) này tại OPSWATmức giá dịch vụ chuyên nghiệp hiện hành tại thời điểm đó. Khách hàng sẽ thanh toán tất cả các khoản phí được tính bởi bất kỳ kiểm toán viên nào do Khách hàng chỉ định để thực hiện bất kỳ cuộc kiểm toán nào như vậy.
2.6.6 Các bên đồng ý rằng Mục 2.6 (Kiểm toán CCPA) này sẽ đáp ứng OPSWATnghĩa vụ của CCPA trong việc cung cấp cho Khách hàng quyền thực hiện các bước hợp lý và phù hợp để đảm bảo rằng OPSWATViệc xử lý Dữ liệu Cá nhân của Khách hàng theo Thỏa thuận này phù hợp với OPSWATnghĩa vụ của CCPA.
2.7 Thông báon. OPSWAT sẽ thông báo cho Khách hàng nếu OPSWAT xác định rằng nó không còn có thể đáp ứng các nghĩa vụ của mình theo CCPA. Khi OPSWATThông báo của các bên theo Mục 2.7 này, các bên sẽ đàm phán một cách thiện chí các thay đổi đối với Thỏa thuận này hoặc Dịch vụ để cho phép OPSWAT để đáp ứng các nghĩa vụ của mình theo CCPA. Nếu quá ba mươi (30) ngày, Khách hàng có thể chấm dứt Mẫu đơn đặt hàng hiện hành yêu cầu OPSWAT'Xử lý dữ liệu cá nhân.
2.8 Khắc phục việc sử dụng trái phép dữ liệu cá nhân. Theo yêu cầu bằng văn bản của Khách hàng, OPSWAT sẽ ngừng Xử lý và xóa hoặc trả lại Dữ liệu Cá nhân của Khách hàng theo Mục 4 của DPA (Xóa hoặc Trả lại Dữ liệu). OPSWAT sẽ cung cấp cho Khách hàng giấy chứng nhận chứng thực OPSWATtuân thủ yêu cầu bằng văn bản của Khách hàng. Các bên đồng ý rằng Mục 2.8 này sẽ đáp ứng OPSWATnghĩa vụ của Khách hàng trong việc cung cấp cho Khách hàng quyền thực hiện các bước hợp lý và phù hợp để dừng và khắc phục OPSWATviệc sử dụng trái phép Dữ liệu Cá nhân của Khách hàng.
2.9 Bảo mật hợp lý. Các bên đồng ý rằng Mục 5 (Bảo mật dữ liệu) sẽ đáp ứng OPSWATnghĩa vụ của đối với bảo mật dữ liệu theo CCPA.
2.10 Yêu cầu chủ thể dữ liệu CCPA. Các bên đồng ý rằng Mục 6 của DPA (Quyền chủ thể dữ liệu) sẽ đáp ứng OPSWATnghĩa vụ của đối với Yêu cầu chủ thể dữ liệu theo CCPA.
2.11 Bộ xử lý phụ. Các bên đồng ý rằng Mục 8 của DPA (Đơn vị xử lý phụ) sẽ đáp ứng OPSWATnghĩa vụ của các đơn vị xử lý phụ đối với Đơn vị xử lý phụ theo CCPA.
SCC - Bộ điều khiển đến bộ xử lý
Các Bên đồng ý rằng họ sẽ tuân thủ Mô-đun 2 của SCC, được kết hợp ở đây bằng cách tham khảo, một bản sao có thể được tìm thấy tại https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en. Khách hàng cũng có thể yêu cầu một bản sao của các điều khoản liên quan từ quyền riêng tư@opswat..com
Các Bên đồng ý rằng các điều khoản sau đây được áp dụng:
1. Khoản 7: Các Bên đã chọn bao gồm khoản 7.
2. Khoản 9(a): Các Bên đã chọn bao gồm Phương án 2 (Ủy quyền chung bằng văn bản) với khoảng thời gian là 15 ngày.
3. Điều 11 (a): Các Bên không kết hợp ngôn ngữ tùy chọn cho phép chủ thể dữ liệu nộp đơn khiếu nại miễn phí với cơ quan giải quyết tranh chấp độc lập cho chủ thể dữ liệu.
4. Khoản 17: Các khoản này sẽ được điều chỉnh bởi luật pháp của một trong các Quốc gia Thành viên EU, miễn là luật đó cho phép quyền thụ hưởng của bên thứ ba. Các Bên đồng ý rằng đây sẽ là luật của Quốc gia Thành viên nơi đặt trụ sở của nhà xuất dữ liệu. Nếu nhà xuất dữ liệu không ở EU, các bên đồng ý rằng đây sẽ là luật của Ireland.
5. Khoản 18(b): Các Bên đồng ý rằng đó sẽ là tòa án của Quốc gia Thành viên EU nơi đặt trụ sở của nhà xuất dữ liệu. Nếu nhà xuất dữ liệu không ở EU, các bên đồng ý rằng đó sẽ là tòa án của Ireland.
Các Bên đồng ý rằng Mô-đun 2 của SCC được ưu tiên hơn bất kỳ thỏa thuận nào khác giữa các bên, cho dù được ký kết trước hay sau ngày các Điều khoản này được ký kết. Nếu luật pháp hoặc thủ tục pháp lý của bất kỳ khu vực tài phán nào yêu cầu, các Bên sẽ thực hiện hoặc thực hiện lại Mô-đun 2 của SCC như một tài liệu riêng biệt.
Phụ lục 1 của Phụ lục 4
A. Danh sách các bên
(Các) nhà xuất dữ liệu: Khách hàng
Vai trò (bộ điều khiển / bộ xử lý): Bộ điều khiển
(Các) nhà nhập dữ liệu: OPSWAT
Vai trò (bộ điều khiển / bộ xử lý): Bộ xử lý
B. Mô tả chuyển nhượng
Danh mục đối tượng dữ liệu: xem Phụ lục 1 của DPA
Danh mục Dữ liệu Cá nhân được chuyển: xem Phụ lục 1 của DPA
Danh mục dữ liệu nhạy cảm/đặc biệt: không có
Tần suất chuyển: liên tục khi cần thiết cho việc cung cấp Dịch vụ
Bản chất hoặc quá trình xử lý và (các) mục đích của việc truyền dữ liệu: xem Phụ lục 1 của DPA
Khoảng thời gian Dữ liệu Cá nhân sẽ được lưu giữ: xem Phụ lục 1 của DPA
C. Cơ quan giám sát có thẩm quyền
Quốc gia thành viên EU nơi đặt nhà xuất dữ liệu. Nếu nhà xuất dữ liệu không ở EU, đây sẽ là Ireland.
Phụ lục 2 Phụ lục 4
Các biện pháp kỹ thuật và tổ chức bao gồm các biện pháp tổ chức kỹ thuật để đảm bảo tính bảo mật của dữ liệu
Xem Phụ lục 2 của DPA. Để chuyển cho Bộ xử lý phụ, OPSWAT phải đảm bảo rằng các Đơn vị xử lý phụ đó tuân thủ cơ bản các Biện pháp bảo mật được liệt kê trong Phụ lục 2 của DPA.
SCC - Bộ xử lý đến bộ xử lý
Các Bên đồng ý rằng họ sẽ tuân thủ Mô-đun 3 của SCC, được kết hợp ở đây bằng cách tham khảo, một bản sao có thể được tìm thấy tại https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en. Khách hàng cũng có thể yêu cầu một bản sao của các điều khoản liên quan từ quyền riêng tư@opswat..com.
Các Bên đồng ý rằng các điều khoản sau đây được áp dụng:
1. Khoản 7: Các Bên đã chọn bao gồm khoản 7.
2. Khoản 9(a): Các Bên đã chọn bao gồm Phương án 2 (Ủy quyền chung bằng văn bản) với khoảng thời gian là 15 ngày.
3. Điều 11 (a): Các Bên không kết hợp ngôn ngữ tùy chọn cho phép chủ thể dữ liệu nộp đơn khiếu nại miễn phí với cơ quan giải quyết tranh chấp độc lập cho chủ thể dữ liệu.
4. Khoản 17: Các khoản này sẽ được điều chỉnh bởi luật pháp của một trong các Quốc gia Thành viên EU, miễn là luật đó cho phép quyền thụ hưởng của bên thứ ba. Các Bên đồng ý rằng đây sẽ là luật của Quốc gia Thành viên nơi đặt trụ sở của nhà xuất dữ liệu. Nếu nhà xuất dữ liệu không ở EU, các bên đồng ý rằng đây sẽ là luật của Ireland.
5. Khoản 18(b): Các Bên đồng ý rằng đó sẽ là tòa án của Quốc gia Thành viên EU nơi đặt trụ sở của nhà xuất dữ liệu. Nếu nhà xuất dữ liệu không ở EU, các bên đồng ý rằng đó sẽ là tòa án của Ireland.
6. Phụ lục I A. Xem Phụ lục 1 Phụ lục 4 của DPA với Khách hàng và OPSWAT đóng vai trò vừa là người xử lý.
7. Phụ lục I B và C: Xem Phụ lục 1 Phụ lục 4 của DPA.
8. Phụ lục II: Xem Phụ lục 2 Phụ lục 4 của DPA.
Các Bên đồng ý rằng Mô-đun 3 của SCC được ưu tiên hơn bất kỳ thỏa thuận nào khác giữa các bên, cho dù được ký kết trước hay sau ngày các Điều khoản này được ký kết. Nếu luật pháp hoặc thủ tục pháp lý của bất kỳ khu vực tài phán nào yêu cầu, các Bên sẽ thực hiện hoặc thực hiện lại Mô-đun 2 của SCC như một tài liệu riêng biệt.
Chuyển Dữ liệu Cá nhân của Khách hàng ra khỏi Vương quốc Anh
Các Bên đồng ý rằng họ sẽ tuân thủ Mô-đun 2 hoặc Mô-đun 3 của SCC (nếu có), như được hoàn thành bởi Phụ lục 4 hoặc Phụ lục 5 (tương ứng) và được sửa đổi bởi Phụ lục Vương quốc Anh, được kết hợp bằng cách tham khảo, một bản sao có thể được tìm thấy trên trang web của Văn phòng Ủy viên Thông tin (https://ico.org.uk/media/for-organisations/documents/4019535/addendum-international-data-transfer.docx). Khách hàng cũng có thể yêu cầu một bản sao của các điều khoản liên quan từ quyền riêng tư@opswat..com.
1. Bảng 1: Các bên
Đơn vị xuất dữ liệu: Khách hàng
Trình nhập dữ liệu: OPSWAT
2. Bảng 2: Các SCC, mô-đun và mệnh đề được chọn đã chọn
Mô-đun 2 hoặc Mô-đun 3 của SCC, như được hoàn thành bởi Phụ lục 4 hoặc Phụ lục 5
3. Bảng 3: Thông tin phụ lục
Phụ lục 1A: Xem Phụ lục 1 của Phụ lục 4 của DPA
Phụ lục 1B: Xem Phụ lục 1 Phụ lục 4 của DPA
Phụ lục II: Xem Phụ lục 2 của Phụ lục 4 của DPA
Phụ lục III: Danh sách OPSWATBộ xử lý phụ của có sẵn tại https://www.opswat.com/pháp lý/nhà xử lý phụ
4. Bảng 4: Kết thúc Phụ lục này khi Phụ lục được phê duyệt thay đổi
Nhà nhập khẩu hoặc xuất khẩu
Các Bên đồng ý rằng Mô-đun 2 hoặc Mô-đun 3 của SCC (nếu có), được sửa đổi bởi Phụ lục Vương quốc Anh, được ưu tiên hơn bất kỳ thỏa thuận nào khác giữa các bên, cho dù được ký kết trước hay sau ngày các Điều khoản này được ký kết. Nếu luật pháp hoặc thủ tục pháp lý của bất kỳ khu vực tài phán nào yêu cầu, các Bên sẽ thực hiện hoặc thực hiện lại Mô-đun 2 hoặc Mô-đun 3 của SCC (nếu có), như được sửa đổi bởi Phụ lục Vương quốc Anh, như một tài liệu riêng.
