Phụ lục Xử lý Dữ liệu

Phụ lục Xử lý Dữ liệu (Data Processing Addendum, “DPA”) này có hiệu lực kể từ ngày 27 tháng 9 năm 2021, hay ngày có hiệu lực (“Ngày có hiệu lực”) mà bạn với tư cách là khách hàng thương mại (“bạn” hoặc “Khách hàng”) mua Dịch vụ ( như định nghĩa bên dưới) từ Clipchamp Pty Ltd (ACN 162516556), một công ty con của Microsoft Corporation (Clipchamp,”“chúng tôi,”“cho chúng tôi,”“của chúng tôi,”hoặc“Nhà cung cấp Dịch vụ”), và là một phần của bất kỳ và tất cả các thỏa thuận (bao gồm, nhưng không giới hạn ở, Điều khoản (như định nghĩa bên dưới)), đơn hàng, tuyên bố công việc và các tài liệu hợp đồng khác giữa các bên (gọi riêng và gọi chung là “Thỏa thuận”). DPA này được ký kết bởi Clipchamp và/hoặc bất kỳ Bên liên kết nào (như định nghĩa bên dưới) cung cấp Dịch vụ cho Khách hàng và Khách hàng và/hoặc bất kỳ Bên liên kết nào (như định nghĩa bên dưới) mua Dịch vụ từ Clipchamp theo Thỏa thuận. DPA này áp dụng trong phạm vi Nhà cung cấp Dịch vụ nhận, lưu trữ hoặc xử lý Dữ liệu Cá nhân thay mặt cho Khách hàng liên quan đến bất kỳ Dịch vụ nào. Clipchamp và Khách hàng gọi riêng là “bên” và gọi chung là “các bên” của DPA này. Thỏa thuận bao gồm DPA này. Trong trường hợp có xung đột giữa DPA này và Thỏa thuận, Thỏa thuận sẽ được ưu tiên áp dụng trong phạm vi kiểm soát (ngoại trừ một số tròng hợp mà điều khoản trong DPA được yêu cầu theo pháp luật hiện hành, khi đó, điều khoản liên quan trong DPA này sẽ được ưu tiên áp dụng trong phạm vi xung đột). Tất cả các thuật ngữ viết hoa không được định nghĩa trong DPA này sẽ có ý nghĩa được quy định trong Thỏa thuận.

1. CÁC ĐỊNH NGHĨA.

Các điều khoản sau đây có ý nghĩa như nêu dưới đây chỉ nhằm mục đích của DPA và không áp dụng cho Điều khoản và Điều kiện của Clipchamp (“Điều khoản”). Các thuật ngữ khác có thể được định nghĩa trong DPA này.

1.1 “Bên liên kết” có nghĩa là các thực thể sở hữu, được sở hữu bởi hoặc thuộc sở hữu chung với một bên.

1.2 “Hoạt động Kinh doanh” bao gồm các nội dung sau, mỗi nội dung đều gắn với việc cung cấp Dịch vụ cho Khách hàng: (1) quản lý thanh toán và tài khoản; (2) đãi ngộ (ví dụ, tính toán hoa hồng cho nhân viên và các ưu đãi cho đối tác); (3) báo cáo nội bộ và lập mô hình kinh doanh (ví dụ: dự báo, doanh thu, lập kế hoạch năng lực, chiến lược sản phẩm); (4) chống gian lận, tội phạm mạng hoặc tấn công mạng có thể ảnh hưởng đến Dịch vụ của Clipchamp hoặc các sản phẩm và dịch vụ của Bên liên kết; (5) cải thiện tính năng cốt lõi về khả năng tiếp cận, quyền riêng tư hoặc tiết kiệm năng lượng; và (6) báo cáo tài chính và tuân thủ các nghĩa vụ pháp lý (phụ thuộc vào các giới hạn về công bố Dữ liệu đã Xử lý được nêu trong Phần 2.9 dưới đây).

1.3 “Bên kiểm soát” có nghĩa là thực thể xác định mục đích và phương thức Xử lý Dữ liệu Cá nhân.

1.4 “Luật Bảo vệ Dữ liệu” có nghĩa là tất cả các luật bảo vệ dữ liệu và quyền riêng tư áp dụng cho việc Xử lý Dữ liệu Cá nhân theo Thỏa thuận, bao gồm, nếu có, Luật Bảo vệ Dữ liệu của Liên minh Châu Âu và Đạo luật về Quyền riêng tư của Úc 1988 (Cth).

1.5 “Chủ thể Dữ liệu” có nghĩa là cá nhân có liên quan tới Dữ liệu Cá nhân.

1.6 “Luật Bảo vệ Dữ liệu của EU” có nghĩa là (i) trước ngày 25 tháng 5 năm 2018, Chỉ thị 95/46/EC của Nghị viện và của Hội đồng Châu Âu về việc bảo vệ các cá nhân liên quan đến việc xử lý Dữ liệu Cá nhân và tự do di chuyển dữ liệu đó (“Chỉ thị”); (ii) vào và sau ngày 25 tháng 5 năm 2018, Quy định 2016/679 của Nghị viện và của Hội đồng Châu Âu về bảo vệ thể nhân liên quan đến việc xử lý Dữ liệu Cá nhân và tự do di chuyển dữ liệu đó (Quy định chung về Bảo vệ Dữ liệu) (General Data Protection Regulation, “GDPR”); và (iii) Chỉ thị và GDPR được chuyển thành luật trong nước của mỗi Quốc gia Thành viên.

1.7 “Điều khoản Hợp đồng Tiêu chuẩn” có nghĩa là các điều khoản của hợp đồng tiêu chuẩn áp dụng cho Bên xử lý đã được Ủy ban Châu Âu phê duyệt và được đưa vào DPA này.

1.8 “Dữ liệu Cá nhân” có nghĩa là bất kỳ thông tin nào liên quan đến một thể nhân được xác định hoặc có thể xác định mà Khách hàng gửi cho Nhà cung cấp Dịch vụ như một phần của Dịch vụ.

1.9 “Vi phạm Dữ liệu Cá nhân” có nghĩa là hành vi vi phạm bảo mật Dịch vụ dẫn đến việc phá hủy do vô tình hoặc bất hợp pháp, làm mất, thay đổi, tiết lộ hoặc truy cập trái phép vào Dữ liệu Cá nhân.

1.10 “Xử lý” hoặc “việc Xử lý” có nghĩa là bất kỳ thao tác hoặc nhóm thao tác nào được thực hiện trên Dữ liệu Cá nhân, dù có hay không bằng phương tiện tự động, chẳng hạn như thu thập, ghi chép, tổ chức, lưu trữ, điều chỉnh hoặc thay đổi, truy xuất, tham vấn, sử dụng, tiết lộ bằng hình thức truyền tải, phổ biến hoặc cung cấp sẵn, liên kết hoặc kết hợp, hạn chế, xóa bỏ hoặc phá hủy.

1.11 “Dữ liệu đã Xử lý” có nghĩa là: (a) Dữ liệu Khách hàng; (b) Dữ liệu Dịch vụ Chuyên nghiệp; (c) Dữ liệu Cá nhân; và (d) bất kỳ dữ liệu nào khác được Clipchamp xử lý liên quan đến Dịch vụ mà là thông tin bí mật của Khách hàng theo Thỏa thuận.

1.12 “Bên xử lý” có nghĩa là một thực thể xử lý Dữ liệu Cá nhân thay mặt cho Bên kiểm soát.

1.13 “Dịch vụ Chuyên nghiệp” có nghĩa là các dịch vụ sau: (a) Dịch vụ tư vấn của Clipchamp, bao gồm các dịch vụ lập kế hoạch, tư vấn, hướng dẫn, di chuyển dữ liệu, triển khai và giải pháp/phát triển phần mềm được cung cấp theo đơn hàng dịch vụ Clipchamp có kết hợp DPA này bằng cách tham chiếu; và (b) dịch vụ hỗ trợ kỹ thuật do Clipchamp cung cấp giúp khách hàng xác định và giải quyết các vấn đề ảnh hưởng đến Dịch vụ, bao gồm hỗ trợ kỹ thuật được cung cấp như một phần trong dịch vụ hỗ trợ của Clipchamp và bất kỳ dịch vụ hỗ trợ kỹ thuật nào khác.

1.14 “Dữ liệu Dịch vụ Chuyên nghiệp” có nghĩa là tất cả dữ liệu, bao gồm tất cả các tệp văn bản, âm thanh, video, hình ảnh hoặc phần mềm, được cung cấp cho Clipchamp, bởi hoặc thay mặt cho Khách hàng (hoặc Khách hàng cho phép Clipchamp lấy từ Dịch vụ) hoặc lấy bằng cách khác hoặc được xử lý bởi hoặc thay mặt cho Clipchamp thông qua cam kết với Clipchamp để có được Dịch vụ Chuyên nghiệp.

1.15 “Dịch vụ” có nghĩa là, nói riêng và nói chung, bất kỳ sản phẩm, dịch vụ hoặc tài liệu nào do Nhà cung cấp Dịch vụ cung cấp cho Khách hàng theo Thỏa thuận.

1.16 “Bên xử lý phụ” có nghĩa là bất kỳ Bên xử lý nào được Nhà cung cấp Dịch vụ hoặc bất kỳ thành viên nào trong nhóm công ty của họ sử dụng hoặc tham gia xử lý Dữ liệu Khách hàng, Dữ liệu Dịch vụ Chuyên nghiệp và/hoặc Dữ liệu Cá nhân theo Thỏa thuận như được mô tả trong Điều 28 của GDPR. Bên xử lý phụ có thể bao gồm các bên thứ ba hoặc bất kỳ thành viên nào trong nhóm công ty của Nhà cung cấp Dịch vụ (tức là Bên liên kết của Nhà cung cấp Dịch vụ).

1.17 “Cung cấp Dịch vụ” bao gồm một hoặc nhiều nội dung sau: (a) Cung cấp các tính năng hoạt động được Khách hàng và người dùng của Khách hàng cấp phép, định cấu hình và sử dụng, bao gồm cả việc cung cấp trải nghiệm người dùng cá nhân hóa; (b) Khắc phục sự cố (ngăn ngừa, phát hiện và sửa chữa các vấn đề); và (c) Cải thiện liên tục (cài đặt các bản cập nhật mới nhất và cải tiến năng suất, độ tin cậy, hiệu quả, chất lượng và bảo mật của người dùng).

1.18 “Cung cấp Dịch vụ Chuyên nghiệp” bao gồm một hoặc nhiều nội dung sau: (a) Cung cấp Dịch vụ Chuyên nghiệp, bao gồm cung cấp hỗ trợ kỹ thuật, lập kế hoạch chuyên môn, tư vấn, hướng dẫn, di chuyển dữ liệu, triển khai và các dịch vụ phát triển giải pháp/phần mềm; (b) Khắc phục sự cố (ngăn ngừa, phát hiện, điều tra, giảm thiểu và sửa chữa các vấn đề, bao gồm Sự cố Bảo mật và các vấn đề được xác định trong Dịch vụ Chuyên nghiệp hoặc (các) Sản phẩm có liên quan trong quá trình cung cấp Dịch vụ Chuyên nghiệp); và (c) Cải thiện liên tục (cải thiện việc cung cấp, hiệu quả, chất lượng và bảo mật của Dịch vụ Chuyên nghiệp và (các) Sản phẩm nền dựa trên vấn đề được xác định khi cung cấp Dịch vụ Chuyên nghiệp, bao gồm cài đặt các bản cập nhật mới nhất và sửa lỗi phần mềm).

2. PHẠM VI, VAI TRÒ, XỬ LÝ VÀ YÊU CẦU CHỦ THỂ DỮ LIỆU.

2.1 Phạm vi. Để rõ ràng, DPA này chỉ áp dụng cho việc Xử lý dữ liệu trong môi trường được kiểm soát bởi Clipchamp và các Bên xử lý phụ của Clipchamp trong trường hợp Clipchamp hoạt động như một Bên xử lý theo luật hiện hành. Vì vậy, DPA này áp dụng cho mối quan hệ hợp đồng của các bên nếu có liên quan tới Dữ liệu Khách hàng, Dữ liệu Cá nhân và/hoặc Dữ liệu Dịch vụ Chuyên nghiệp và được Khách hàng gửi đến Clipchamp, nhưng không áp dụng nếu (a) dữ liệu không bao gồm bất kỳ Dữ liệu Cá nhân nào (như định nghĩa theo luật hiện hành), (b) Dữ liệu Khách hàng, Dữ liệu Cá nhân và Dữ liệu Dịch vụ Chuyên nghiệp, tại mọi thời điểm trong khi và để thực hiện Dịch vụ, vẫn nằm tại cơ sở của Khách hàng hoặc trong môi trường hoạt động bên thứ ba đã chọn của Khách hàng, hoặc (c) Clipchamp đóng vai trò là Bên kiểm soát theo luật hiện hành để thực hiện Dịch vụ. Nếu Clipchamp là Bên kiểm soát theo luật hiện hành để thực hiện Dịch vụ hoặc nếu luật hiện hành có yêu cầu khác, các bên thừa nhận và đồng ý rằng chính sách bảo mật của Clipchamp tại https://clipchamp.com/privacy/ sẽ áp dụng cho việc xử lý dữ liệu liên quan đến Dịch vụ thay cho DPA này. Ngoài ra, Khách hàng hiểu và đồng ý rằng các bản xem trước riêng tư, bản xem trước công khai và bất kỳ bản thử nghiệm beta nào khác về tính năng, công cụ hoặc chức năng (gọi riêng và gọi chung là “Bản xem trước”) có thể sử dụng các biện pháp bảo mật và quyền riêng tư ở mức thấp hơn hoặc khác với các biện pháp thường áp dụng trong Dịch vụ. Trừ khi có lưu ý khác, Khách hàng không nên sử dụng Bản xem trước để xử lý Dữ liệu Cá nhân hoặc dữ liệu khác tuân theo các yêu cầu tuân thủ pháp luật hoặc quy định. Đối với Dịch vụ, các điều khoản sau trong DPA này không áp dụng cho Bản xem trước: Xử lý Dữ liệu Cá nhân; GDPR, CCPA và Bảo mật Dữ liệu.

2.2 Vai trò của các Bên.  Trừ khi được quy định trong Phần 2.9 (Xử lý cho Hoạt động Kinh doanh), các bên thừa nhận và đồng ý rằng đối với việc Xử lý Dữ liệu Cá nhân theo DPA này, Khách hàng có thể đóng vai trò là Bên kiểm soát hoặc Bên xử lý và Nhà cung cấp Dịch vụ có thể hoạt động với tư cách là Bên xử lý hoặc Bên xử lý phụ. Phần 2.9 đưa ra các trường hợp hạn chế trong đó Clipchamp có thể hoạt động như một Bên kiểm soát độc lập với Khách hàng.

2.3 Khách hàng Xử lý Dữ liệu Cá nhân.  Khi sử dụng Dịch vụ, Khách hàng sẽ tuân thủ các nghĩa vụ của mình theo Luật Bảo vệ Dữ liệu liên quan đến việc xử lý Dữ liệu Cá nhân và bất kỳ hướng dẫn xử lý nào mà Khách hàng đưa ra cho Nhà cung cấp Dịch vụ. Khách hàng tuyên bố và đảm bảo rằng họ có các ủy quyền cần thiết để Nhà cung cấp Dịch vụ Xử lý Dữ liệu Cá nhân nhằm mục đích cung cấp Dịch vụ cho Khách hàng theo Thỏa thuận. Để tránh nghi ngờ, trong bất kỳ trường hợp nào khi Luật Bảo vệ Dữ liệu của EU áp dụng và Khách hàng là Bên xử lý, Khách hàng tuyên bố và đảm bảo với Clipchamp rằng các hướng dẫn của Khách hàng, bao gồm cả việc chỉ định Clipchamp làm Bên xử lý hoặc Bên xử lý phụ, đã được ủy quyền bởi Bên kiểm soát có liên quan.

2.4 Nhà cung cấp Dịch vụ Xử lý Dữ liệu Cá nhân.  Nhà cung cấp Dịch vụ sẽ chỉ sử dụng và xử lý Dữ liệu Khách hàng, Dữ liệu Dịch vụ Chuyên nghiệp và Dữ liệu Cá nhân như được mô tả và tùy thuộc theo các giới hạn nêu bên dưới (a) để cung cấp cho Khách hàng Dịch vụ theo hướng dẫn bằng văn bản của Khách hàng và (b) đối với sự cố hoạt động kinh doanh, để cung cấp Dịch vụ cho Khách hàng. Không kể điều này, Khách hàng hướng dẫn Nhà cung cấp Dịch vụ xử lý Dữ liệu Khách hàng, Dữ liệu Dịch vụ Chuyên nghiệp và Dữ liệu Cá nhân: (i) theo Thỏa thuận, (ii) như một phần của bất kỳ việc Xử lý nào do Khách hàng khởi xướng trong quá trình sử dụng Dịch vụ, (iii) để tuân thủ các hướng dẫn hợp lý khác của Khách hàng trong phạm vi nhất quán với các điều khoản của Thỏa thuận, và (iv) phù hợp với các quyền và nghĩa vụ gắn liền với Dữ liệu Cá nhân. Việc Xử lý mọi Dữ liệu Khách hàng, Dữ liệu Dịch vụ Chuyên nghiệp và/hoặc Dữ liệu Cá nhân ngoài phạm vi của Thỏa thuận sẽ yêu cầu có sự đồng ý trước bằng văn bản giữa Nhà cung cấp Dịch vụ và Khách hàng dưới hình thức văn bản sửa đổi Thỏa thuận. Khi có thông báo bằng văn bản, Khách hàng có thể chấm dứt Thỏa thuận nếu Nhà cung cấp Dịch vụ từ chối tuân theo các hướng dẫn hợp lý của Khách hàng nằm ngoài những hướng dẫn đã đồng ý để thực hiện Dịch vụ, trong phạm vi hướng dẫn đó là cần thiết để tuân thủ Luật Bảo vệ Dữ liệu. Nhà cung cấp Dịch vụ sẽ thông báo cho Khách hàng nếu họ không thể tiếp tục tuân thủ các quyền và nghĩa vụ gắn liền với Dữ liệu Cá nhân và sẽ ngay lập tức ngừng xử lý Dữ liệu Cá nhân đó và thực hiện các bước cần thiết để khắc phục bất kỳ quá trình xử lý trái phép nào.

2.5 Yêu cầu của Chủ thể Dữ liệu.  Nhà cung cấp Dịch vụ sẽ cố gắng hết sức để thông báo kịp thời cho Khách hàng về yêu cầu của bất kỳ Chủ thể Dữ liệu nào về quyền truy cập, chỉnh sửa, sửa đổi hoặc xóa Dữ liệu Cá nhân của cá nhân đó. Trong phạm vi Khách hàng không có quyền truy cập vào Dữ liệu Cá nhân đó thông qua việc sử dụng Dịch vụ để đáp ứng yêu cầu như vậy, Nhà cung cấp Dịch vụ sẽ cung cấp cho Khách hàng sự hợp tác và hỗ trợ hợp lý về mặt thương mại liên quan đến việc đáp ứng yêu cầu của Chủ thể Dữ liệu về quyền truy cập vào Dữ liệu Cá nhân của cá nhân đó trong phạm vi luật pháp cho phép. Khách hàng sẽ chịu trách nhiệm về bất kỳ chi phí nào phát sinh từ việc Nhà cung cấp Dịch vụ cung cấp hỗ trợ như vậy.

2.6 Thời gian.  Thời gian Xử lý theo Thỏa thuận sẽ tiếp tục cho đến khi các Dịch vụ áp dụng bị chấm dứt theo quy định trong Thỏa thuận.

2.7 Mục đích.  Mục đích của Xử lý là việc Nhà cung cấp Dịch vụ cung cấp Dịch vụ cho Khách hàng theo Thỏa thuận và như được chỉ định trong bất kỳ đơn hàng dịch vụ nào được ký kết theo Thỏa thuận.

2.8 Quyền sở hữu.  Giữa các bên, Khách hàng giữ mọi quyền, quyền sở hữu và lợi ích trong và đối với Dữ liệu Khách hàng. Clipchamp không có quyền trong Dữ liệu Khách hàng, ngoài các quyền mà Khách hàng cấp cho Clipchamp trong Thỏa thuận hoặc Mục 2.8 này của DPA. Mặc dù vậy, Mục 2.8 này không ảnh hưởng đến quyền của Clipchamp trong phần mềm hoặc dịch vụ mà Clipchamp cấp phép cho Khách hàng.

2.9 Xử lý cho Hoạt động Kinh doanh. Khi Xử lý cho Hoạt động Kinh doanh, Clipchamp sẽ áp dụng các nguyên tắc hạn chế dữ liệu và sẽ không sử dụng hoặc xử lý Dữ liệu Khách hàng, Dữ liệu Dịch vụ Chuyên nghiệp hoặc Dữ liệu Cá nhân cho mục đích: (a) lập hồ sơ người dùng, (b) quảng cáo hoặc các mục đích thương mại tương tự không liên quan đến Dịch vụ, hoặc (c) bất kỳ mục đích nào khác, ngoài các mục đích được nêu trong DPA này. Trong phạm vi Clipchamp sử dụng hoặc xử lý Dữ liệu Cá nhân theo Luật Bảo vệ Dữ liệu của EU cho Hoạt động Kinh doanh gắn liền với việc cung cấp Dịch vụ cho Khách hàng, Clipchamp sẽ tuân thủ các nghĩa vụ của bên kiểm soát dữ liệu độc lập theo Luật Bảo vệ Dữ liệu của EU đối với mục đích sử dụng trong các trường hợp hạn chế như vậy. Để tránh nhầm lẫn, Clipchamp chấp nhận các trách nhiệm bổ sung của “bên kiểm soát” dữ liệu theo Luật Bảo vệ Dữ liệu của EU đối với việc Xử lý liên quan đến Hoạt động Kinh doanh của mình để: (a) hành động nhất quán với yêu cầu quy định, trong phạm vi được yêu cầu theo Luật Bảo vệ Dữ liệu của EU; và (b) tăng cường tính minh bạch cho Khách hàng và xác nhận trách nhiệm giải trình của Clipchamp đối với việc Xử lý như vậy. Clipchamp sử dụng các biện pháp bảo vệ để bảo vệ Dữ liệu Khách hàng, Dữ liệu Dịch vụ Chuyên nghiệp và Dữ liệu Cá nhân đang Xử lý, bao gồm dữ liệu được xác định trong DPA này và dữ liệu được quy định trong Điều 6(4) của GDPR. Đối với việc Xử lý Dữ liệu Cá nhân theo Phần này, Clipchamp thực hiện các cam kết nêu trong phần Biện pháp Bảo vệ Bổ sung. Đối với những mục đích đó (i) bất kỳ tiết lộ nào của Clipchamp về Dữ liệu Cá nhân, như được mô tả trong Phụ lục II của Phụ lục 1 (Biện pháp Kỹ thuật và Tổ chức bao gồm Biện pháp Kỹ thuật và Tổ chức để Đảm bảo tính Bảo mật của Dữ liệu) (gọi chung và gọi riêng là “Biện pháp Bảo vệ Bổ sung”), đã được chuyển giao liên quan đến Hoạt động Kinh doanh được coi là “Tiết lộ có Liên quan” và (ii) các cam kết trong Biện pháp Bảo vệ Bổ sung áp dụng cho Dữ liệu Cá nhân đó.

2.10 Xử lý Dữ liệu Cá nhân; GDPR. Tất cả Dữ liệu Cá nhân mà Clipchamp xử lý liên quan đến việc cung cấp Dịch vụ được thu thập như một phần của (a) Dữ liệu Khách hàng, (b) Dữ liệu Dịch vụ Chuyên nghiệp, hoặc (c) dữ liệu do Clipchamp tạo ra, thu được hoặc thu thập cho mục đích hoặc để tăng hiệu suất của Dịch vụ (bao gồm dữ liệu được gửi đến Clipchamp do Khách hàng sử dụng các tính năng dựa trên dịch vụ hoặc được Clipchamp thu được từ phần mềm cài đặt cục bộ). Dữ liệu Cá nhân được cung cấp cho Clipchamp bởi hoặc thay mặt cho Khách hàng thông qua việc sử dụng Dịch vụ cũng là Dữ liệu Khách hàng. Dữ liệu Cá nhân được cung cấp cho Clipchamp bởi hoặc thay mặt cho Khách hàng thông qua việc sử dụng Dịch vụ Chuyên nghiệp cũng là Dữ liệu Dịch vụ Chuyên nghiệp. Thông tin định danh dùng tên giả có thể được đưa vào dữ liệu do Clipchamp xử lý liên quan đến việc cung cấp Dịch vụ và cũng là Dữ liệu Cá nhân. Bất kỳ Dữ liệu Cá nhân nào được đặt biệt danh, hoặc bỏ định danh nhưng không ẩn danh, hoặc Dữ liệu Cá nhân có nguồn gốc từ Dữ liệu Cá nhân cũng là Dữ liệu Cá nhân.

2.11 Tiết lộ Dữ liệu đã Xử lý. Clipchamp sẽ không tiết lộ hoặc cung cấp quyền truy cập vào bất kỳ Dữ liệu đã Xử lý nào ngoại trừ: (1) theo chỉ dẫn của Khách hàng; (2) như được mô tả trong DPA này; hoặc (3) theo yêu cầu của luật hiện hành. Tất cả quá trình Xử lý Dữ liệu đã Xử lý phải tuân theo nghĩa vụ bảo mật của Clipchamp theo Thỏa thuận. Clipchamp sẽ không tiết lộ hoặc cung cấp quyền truy cập vào bất kỳ Dữ liệu đã Xử lý nào cho cơ quan thực thi pháp luật trừ khi luật hiện hành yêu cầu. Nếu cơ quan thực thi pháp luật liên hệ với Clipchamp để yêu cầu Dữ liệu đã Xử lý, Clipchamp sẽ cố gắng chuyển sang cơ quan thực thi pháp luật để yêu cầu dữ liệu đó trực tiếp từ Khách hàng. Nếu bị buộc phải tiết lộ hoặc cấp quyền truy cập vào bất kỳ Dữ liệu đã Xử lý nào cho cơ quan thực thi pháp luật, Clipchamp sẽ thông báo ngay cho Khách hàng và cung cấp bản sao của yêu cầu trừ khi Clipchamp tin rằng pháp luật cấm làm như vậy. Khi nhận được bất kỳ yêu cầu nào khác của bên thứ ba về Dữ liệu đã Xử lý, Clipchamp sẽ thông báo ngay cho Khách hàng trừ khi bị pháp luật cấm. Clipchamp sẽ từ chối yêu cầu trừ khi được pháp luật yêu cầu tuân thủ. Nếu yêu cầu hợp lệ, Clipchamp sẽ cố gắng chuyển sang bên thứ ba để yêu cầu dữ liệu trực tiếp từ Khách hàng. Để tránh nhầm lẫn, Clipchamp sẽ không cung cấp cho bất kỳ bên thứ ba nào: (a) quyền truy cập trực tiếp, gián tiếp, toàn diện hoặc không kiểm soát vào Dữ liệu đã Xử lý; (b) khóa mã hóa nền tảng được sử dụng để bảo mật Dữ liệu đã Xử lý hoặc khả năng giải mã hóa đó; hoặc (c) quyền truy cập vào Dữ liệu đã Xử lý nếu Clipchamp biết rằng dữ liệu sẽ được sử dụng cho các mục đích khác với mục đích được nêu trong yêu cầu của bên thứ ba. Để hỗ trợ điều trên, Clipchamp có thể cung cấp thông tin liên hệ cơ bản của Khách hàng cho bên thứ ba.

3. XỬ LÝ PHỤ.

3.1 Sử dụng Bên xử lý phụ.  Khách hàng thừa nhận và đồng ý rằng (a) bên liên kết của Nhà cung cấp Dịch vụ và nhà cung cấp dịch vụ bên thứ ba có thể tham gia với tư cách là Bên xử lý phụ liên quan đến việc cung cấp Dịch vụ. Bên xử lý phụ như vậy sẽ chỉ được phép truy cập Dữ liệu Cá nhân để cung cấp các dịch vụ mà Nhà cung cấp Dịch vụ đã thuê họ cung cấp liên quan đến Dịch vụ và họ bị cấm sử dụng Dữ liệu Cá nhân cho bất kỳ mục đích nào khác. Nhà cung cấp Dịch vụ đã ký một thỏa thuận bằng văn bản với mỗi Bên xử lý phụ có nghĩa vụ bảo vệ dữ liệu nhất quán với DPA trong phạm vi áp dụng đối với bản chất của dịch vụ do Bên xử lý phụ cung cấp.

3.2 Trách nhiệm đối với Bên xử lý phụ.  Nhà cung cấp Dịch vụ sẽ chịu trách nhiệm pháp lý đối với hành vi của Bên xử lý phụ của mình ở mức độ tương tự như mức mà Nhà cung cấp Dịch vụ sẽ phải chịu trách nhiệm pháp lý nếu thực hiện dịch vụ của Bên xử lý phụ trực tiếp theo DPA, trừ khi có quy định khác trong Thỏa thuận.

3.3 Phản đối Bên xử lý phụ.  Theo yêu cầu, Nhà cung cấp Dịch vụ sẽ cung cấp danh sách các Bên xử lý phụ hiện tại cho Dịch vụ mà Khách hàng đã truy cập. Trong trường hợp Khách hàng phản đối Bên xử lý phụ một cách hợp lý, Nhà cung cấp Dịch vụ sẽ thông báo cho Khách hàng về bất kỳ lựa chọn thay thế nào sẵn có để thay đổi Dịch vụ hoặc nhận Dịch vụ từ Bên xử lý phụ thay thế, cùng với mọi khoản phí áp dụng hoặc thay đổi về điều khoản. Nếu không có giải pháp thay thế được Khách hàng chấp nhận trong một khoảng thời gian hợp lý, Khách hàng có thể chấm dứt Dịch vụ mà Nhà cung cấp Dịch vụ không thể cung cấp nếu thiếu Bên xử lý phụ bị phản đối, và nhận khoản tiền hoàn lại theo tỷ lệ cho khoảng thời gian chưa dùng còn lại của Dịch vụ.

4. QUYỀN RIÊNG TƯ VÀ BẢO MẬT DỮ LIỆU.

4.1 Biện pháp Bảo mật của Nhà cung cấp Dịch vụ.  Nhà cung cấp Dịch vụ duy trì một chương trình bảo mật bằng văn bản để bảo vệ trước Hành vi Vi phạm Dữ liệu Cá nhân và để duy trì tính bảo mật và bí mật của Dữ liệu Cá nhân được Nhà cung cấp Dịch vụ xử lý trong quá trình cung cấp Dịch vụ, tuân theo Luật Bảo vệ Dữ liệu. Chương trình bảo mật của Nhà cung cấp Dịch vụ bao gồm các biện pháp bảo vệ mang tính hành chính, kỹ thuật và vật lý phù hợp với quy mô và nguồn lực của Nhà cung cấp Dịch vụ và các loại thông tin mà Nhà cung cấp Dịch vụ xử lý. Nhà cung cấp Dịch vụ có thể cập nhật các biện pháp bảo mật của mình theo thời gian phù hợp với sự phát triển của biện pháp thực hành tốt nhất trong ngành, với điều kiện là các cập nhật và sửa đổi đó không làm giảm tính bảo mật của Dịch vụ. Đối với bất kỳ Dịch vụ nào mà Nhà cung cấp Dịch vụ có được chứng nhận hoặc kiểm tra của bên thứ ba, theo yêu cầu, Nhà cung cấp Dịch vụ sẽ cung cấp bản sao chứng nhận hoặc kiểm tra của bên thứ ba gần nhất của Nhà cung cấp Dịch vụ nếu có, mà Nhà cung cấp Dịch vụ thường cung cấp cho khách hàng của mình khi có yêu cầu.

4.2. Nhân sự của Nhà cung cấp Dịch vụ.  Nhà cung cấp Dịch vụ sẽ đảm bảo rằng quyền truy cập của nhân sự của Nhà cung cấp Dịch vụ vào Dữ liệu Cá nhân được giới hạn ở những nhân sự của Nhà cung cấp Dịch vụ mà cần quyền truy cập đó để thực hiện Thỏa thuận. Nhân sự của Nhà cung cấp Dịch vụ truy cập Dữ liệu Cá nhân sẽ được thông báo về tính chất bí mật của Dữ liệu Cá nhân, phải tuân theo các nghĩa vụ bảo mật bằng văn bản và phải được đào tạo phù hợp về trách nhiệm của họ và bản chất của Dữ liệu Cá nhân.

4.3 Biện pháp Bảo mật của Khách hàng.  Dịch vụ có thể cung cấp tính năng và chức năng bảo mật mà Khách hàng có thể chọn sử dụng (ví dụ: mã hóa dữ liệu đang chuyển). Trong phạm vi Dịch vụ cung cấp cho Khách hàng quyền kiểm soát và tính năng cho phép Khách hàng quản lý Dịch vụ, Khách hàng có trách nhiệm định cấu hình Dịch vụ một cách thích hợp và sử dụng các biện pháp kiểm soát sẵn có mà Khách hàng cho là phù hợp để duy trì tính bảo mật, bảo vệ, xóa và sao lưu Dữ liệu Cá nhân thích hợp. Khách hàng cũng có trách nhiệm triển khai các biện pháp mang tính tổ chức và kỹ thuật thích hợp liên quan đến việc sử dụng Dịch vụ theo cách cho phép Khách hàng tuân thủ Luật Bảo vệ Dữ liệu.

5. PHẢN ỨNG TRƯỚC HÀNH VI VI PHẠM DỮ LIỆU CÁ NHÂN.

Nhà cung cấp Dịch vụ sẽ nỗ lực hết sức để thông báo kịp thời cho Khách hàng về mọi trường hợp tiết lộ trái phép hoặc làm mất Dữ liệu Cá nhân theo yêu cầu của Luật Bảo vệ Dữ liệu và theo các quy định có liên quan trong Thỏa thuận. Nhà cung cấp Dịch vụ sẽ thực hiện các bước thích hợp để xác định và khắc phục nguyên nhân gây tiết lộ trái phép hoặc làm mất như vậy và sẽ cung cấp thông tin liên quan đến Hành vi Vi phạm Dữ liệu Cá nhân theo yêu cầu hợp lý của Khách hàng. Thông báo sẽ được gửi đến quản trị viên Dịch vụ của Khách hàng bằng phương thức thông báo bình thường, trừ trường hợp, do thời gian là yếu tố thiết yếu trong tình huống này, email sẽ được gửi đến email trong hồ sơ mà Clipchamp lưu cho Khách hàng. Khách hàng có trách nhiệm đảm bảo rằng Khách hàng duy trì thông tin liên hệ cập nhật trên bảng điều khiển Dịch vụ hiện hành. Khách hàng thừa nhận rằng Nhà cung cấp Dịch vụ sẽ không thông báo cho Khách hàng về những nỗ lực vi phạm bảo mật không thành công dẫn đến việc truy cập trái phép hoặc làm mất Dữ liệu Cá nhân.

6. CHUYỂN VÀ XUẤT DỮ LIỆU.

6.1 Chuyển Dữ liệu.  Khách hàng xác nhận và đồng ý với việc chuyển Dữ liệu Cá nhân của Nhà cung cấp Dịch vụ (bao gồm, nếu Khách hàng ở Châu Âu, bên ngoài EEA và Thụy Sĩ theo Phần 6.2 dưới đây và nếu Khách hàng ở Úc, bên ngoài Úc), tùy thuộc vào việc Nhà cung cấp Dịch vụ tuân thủ Luật Bảo vệ Dữ liệu hiện hành và các yêu cầu của DPA này.

6.2 Chuyển Dữ liệu từ EEA và Thụy Sĩ.  Trừ khi Nhà cung cấp Dịch vụ đưa ra một cơ chế chuyển giao thích hợp thay thế (được công nhận theo Luật Bảo vệ Dữ liệu) cho quốc gia áp dụng hoặc Nhà cung cấp Dịch vụ hành động với tư cách là Bên xử lý phụ, Điều khoản Hợp đồng Tiêu chuẩn sẽ áp dụng cho Dữ liệu Cá nhân được Nhà cung cấp Dịch vụ chuyển từ Khu vực Kinh tế Châu Âu (European Economic Area, “EEA”) và/hoặc Thụy Sĩ sang một quốc gia không được Ủy ban Châu Âu hoặc Cơ quan Bảo vệ Dữ liệu Liên bang Thụy Sĩ công nhận là có mức độ bảo vệ thích hợp cho Dữ liệu Cá nhân. Việc chuyển Dữ liệu Cá nhân ra khỏi EEA hoặc Thụy Sĩ như vậy sẽ chịu sự điều chỉnh của Mô-đun 2 trong Điều khoản Hợp đồng Tiêu chuẩn (Standard Contractual Clauses, SCC) sẵn có tại địa chỉ http://data.europa.eu/eli/dec_impl/2021/914/oj (“SCC Mới”) và việc chuyển Dữ liệu Cá nhân ra khỏi Vương Quốc Anh sẽ chịu sự điều chỉnh của Điều khoản Hợp đồng Tiêu chuẩn sẵn có tại địa chỉ https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 (“SCC Cũ”). SCC Mới và SCC Cũ được kết hợp và tạo thành một phần của DPA này. Như được sử dụng trong SCC Mới và SCC Cũ, thuật ngữ “bên nhập khẩu dữ liệu” có nghĩa là Nhà cung cấp Dịch vụ và thuật ngữ “bên xuất khẩu dữ liệu” có nghĩa là Khách hàng và Bên liên kết của họ. Không kể những điều nêu trên, nhằm mục đích của Điều khoản Hợp đồng Tiêu chuẩn:

  • Khoản 7 tùy chọn của SCC Mới sẽ không được áp dụng,

  • tùy chọn 1, Khoản 9(a) của SCC Mới sẽ được áp dụng và khoảng thời gian sẽ được chỉ định là 30 ngày;

  • tùy chọn 1, Khoản 17 của SCC Mới sẽ được áp dụng và sẽ tham chiếu đến Cộng hòa Ireland;

  • nội dung tùy chọn trong Khoản 11(a) của SCC Mới sẽ không được áp dụng;

  • Phụ lục I, II và III của SCC Mới và Phụ lục I của SCC Cũ sẽ được thay thế toàn bộ bằng Phụ lục 1 đính kèm theo đây.

6.3 Cơ chế Xuất khẩu Dữ liệu Thay thế. Nếu Nhà cung cấp Dịch vụ áp dụng cơ chế xuất khẩu dữ liệu thay thế khác (được công nhận theo Luật Bảo vệ Dữ liệu), Điều khoản Hợp đồng Tiêu chuẩn sẽ ngừng áp dụng kể từ ngày Nhà cung cấp Dịch vụ triển khai cơ chế xuất khẩu dữ liệu mới đó. 

7. XÓA DỮ LIỆU.

Trong và sau Thỏa thuận, Nhà cung cấp Dịch vụ sẽ xóa hoặc trả lại cho Khách hàng tất cả Dữ liệu Cá nhân thuộc quyền sở hữu hoặc kiểm soát của Nhà cung cấp Dịch vụ như quy định trong Thỏa thuận, ngoại trừ trường hợp Nhà cung cấp Dịch vụ được pháp luật hiện hành yêu cầu giữ lại Dữ liệu Cá nhân cụ thể (trong trường hợp đó, Nhà cung cấp Dịch vụ sẽ lưu trữ dữ liệu và thực hiện các biện pháp hợp lý để ngăn Dữ liệu Cá nhân tiếp tục bị xử lý). Các điều khoản của DPA này sẽ tiếp tục áp dụng cho Dữ liệu Cá nhân đó.

8. HỢP TÁC.

8.1 DPIA, Hồ sơ Hoạt động Xử lý và Tham vấn Trước.  Trong phạm vi Luật Bảo vệ Dữ liệu của EU yêu cầu, Nhà cung cấp Dịch vụ sẽ, sau khi gửi thông báo hợp lý và chi phí do Khách hàng chịu, cung cấp thông tin được yêu cầu hợp lý liên quan đến Dịch vụ để cho phép Khách hàng thực hiện đánh giá tác động tới việc bảo vệ dữ liệu (data protection impact assessments, “DPIA”), ghi chép hồ sơ hoạt động xử lý và/hoặc tham vấn trước với cơ quan bảo vệ dữ liệu. Để tránh nhầm lẫn, Clipchamp sẽ (nếu được yêu cầu) cung cấp hồ sơ và thông tin cho Khách hàng và đảm bảo hồ sơ và thông tin đó chính xác và cập nhật trong phạm vi được yêu cầu theo Luật Bảo vệ Dữ liệu của EU.

8.2 Yêu cầu Tiết lộ theo Pháp luật.  Nếu Nhà cung cấp Dịch vụ nhận được yêu cầu ràng buộc pháp lý về việc tiết lộ Dữ liệu Cá nhân tuân theo DPA này, yêu cầu đó sẽ được chuyển ngay đến Khách hàng để cho phép Khách hàng có cơ hội tham gia vào bất kỳ thủ tục pháp lý nào mà họ cho là phù hợp liên quan đến việc bảo vệ hoặc tiết lộ Dữ liệu Cá nhân. Không kể điều này, Clipchamp có thể cung cấp bất kỳ thông tin nào như vậy cho cơ quan giám sát nếu Luật Bảo vệ Dữ liệu yêu cầu.

8.3 Kiểm tra.  Đối với các cuộc kiểm tra được mô tả trong Khoản 5(f), 11 và 12(2), Điều khoản Mẫu của EU, Khách hàng đồng ý rằng các cuộc kiểm tra sẽ được thực hiện theo quy định sau: Theo yêu cầu của bên xuất khẩu dữ liệu và tuân theo các nghĩa vụ bảo mật được quy định trong Thỏa thuận, Nhà cung cấp Dịch vụ sẽ, trong một khoảng thời gian hợp lý sau khi có yêu cầu như vậy, cung cấp cho bên xuất khẩu dữ liệu (hoặc kiểm toán viên bên thứ ba độc lập của bên xuất khẩu dữ liệu không phải là đối thủ cạnh tranh của Nhà cung cấp Dịch vụ) thông tin về việc Nhà cung cấp Dịch vụ tuân thủ các nghĩa vụ được quy định trong DPA, có thể ở dạng báo cáo và chứng nhận kiểm tra của bên thứ ba, trong phạm vi Nhà cung cấp Dịch vụ đang có báo cáo hoặc chứng nhận như vậy và thường cung cấp chúng cho khách hàng. Khách hàng sẽ bồi hoàn cho Nhà cung cấp Dịch vụ cho khoảng thời gian tiêu tốn và chi phí phát sinh cho bất kỳ cuộc kiểm tra tại chỗ nào theo mức phí dịch vụ chuyên nghiệp tiêu chuẩn của Nhà cung cấp Dịch vụ. Trước khi bắt đầu bất kỳ cuộc kiểm tra nào, Nhà cung cấp Dịch vụ và bên xuất khẩu dữ liệu phải thống nhất về phạm vi, thời gian và thời lượng.

9. GIỚI HẠN TRÁCH NHIỆM PHÁP LÝ.

9.1 Loại trừ Thiệt hại. TRONG MỌI TRƯỜNG HỢP, KHÔNG BÊN NÀO SẼ CHỊU TRÁCH NHIỆM TRƯỚC BÊN CÒN LẠI VỀ BẤT KỲ THIỆT HẠI NÀO MANG TÍNH CHẤT GIÁN TIẾP, NGẪU NHIÊN, NGOẠI LỆ, ĐẶC BIỆT HAY HẬU QUẢ, PHÁT SINH TỪ HOẶC LIÊN QUAN TỚI DPA NÀY HOẶC THỎA THUẬN, NGAY CẢ KHI ĐÃ ĐƯỢC THÔNG BÁO TRƯỚC VỀ KHẢ NĂNG XẢY RA MẤT MÁT HOẶC THIỆT HẠI NHƯ VẬY.

9.2 Tổng Trách nhiệm Pháp lý.  TRÁCH NHIỆM PHÁP LÝ LIÊN QUAN ĐẾN DPA NÀY SẼ PHẢI TUÂN THEO GIỚI HẠN TRÁCH NHIỆM PHÁP LÝ ĐƯỢC QUY ĐỊNH TRONG THỎA THUẬN. NẾU KHÔNG CÓ QUY ĐỊNH VỀ GIỚI HẠN TRÁCH NHIỆM PHÁP LÝ TRONG THỎA THUẬN, VẬY THÌ TRONG HỢP ĐỒNG, TỔNG TRÁCH NHIỆM PHÁP LÝ CỦA MỘT BÊN TRƯỚC BÊN CÒN LẠI PHÁT SINH TỪ MỌI LÝ DO TỐ TỤNG VÀ CƠ SỞ VỀ TRÁCH NHIỆM PHÁP LÝ SẼ KHÔNG VƯỢT QUÁ MỘT (1) LẦN SỐ TIỀN THỰC TẾ MÀ KHÁCH HÀNG TRẢ CHO NHÀ CUNG CẤP DỊCH VỤ TRONG KHOẢNG THỜI GIAN MƯỜI HAI (12) THÁNG TRƯỚC ĐÓ THEO THỎA THUẬN.

10. ĐIỀU KHOẢN CHUNG.

10.1 Sửa đổi và Bổ sung.  Các bên đồng ý cùng nhau xác định và thực hiện các sửa đổi thích hợp đối với điều khoản của DPA này mà không làm thay đổi về căn bản nội dung kinh tế hay phân bổ rủi ro do Thỏa thuận thiết lập (i) nếu cơ quan giám sát hoặc chính phủ hoặc tổ chức quản lý khác yêu cầu làm như vậy, (ii) nếu việc đó là cần thiết để tuân thủ Luật Bảo vệ Dữ liệu, hoặc (iii) để thực hiện hoặc tuân thủ các điều khoản hợp đồng tiêu chuẩn sửa đổi có thể được ban hành theo Luật Bảo vệ Dữ liệu. Để tránh nhầm lẫn, điều khoản hợp đồng tiêu chuẩn quy định trong Thỏa thuận Chuyển Dữ liệu Quốc tế của Vương quốc Anh (International Data Transfer Agreement, “ITDA”) tại địa chỉ https://ico.org.uk/media/for-organisations/documents/4019483/international-data-transfer-addendum.pdf sẽ áp dụng cho việc chuyển dữ liệu cá nhân từ Vương quốc Anh sang Hoa Kỳ và các khu vực pháp lý không phù hợp khác theo DPA này. Có thể thêm điều khoản bổ sung dưới dạng Tệp đính kèm hoặc Phụ lục của DPA này trong trường hợp điều khoản đó chỉ áp dụng cho việc xử lý Dữ liệu Cá nhân theo Luật Bảo vệ Dữ liệu của các quốc gia hoặc khu vực pháp lý cụ thể. Một trong hai bên có thể cung cấp thông báo về những thay đổi đó cho bên còn lại và DPA được sửa đổi sẽ có hiệu lực theo điều khoản của Thỏa thuận.

10.2 Luật Điều chỉnh và Địa điểm Giải quyết Tranh chấp. Trừ khi có yêu cầu khác để tuân thủ Luật Bảo vệ Dữ liệu (bao gồm, nhưng không giới hạn ở, Luật Bảo vệ Dữ liệu của EU), DPA này sẽ được hiểu và thực thi theo Thỏa thuận mà không liên quan đến nguyên tắc xung đột nguồn luật (“luật hiện hành”). Mỗi bên đồng ý rằng bất kỳ vụ kiện, tố tụng hay quy trình nào khác dựa trên hoặc phát sinh từ DPA này (gọi riêng là “Tranh chấp”) sẽ được đệ trình và duy trì theo Thỏa thuận và mỗi bên đồng ý với thẩm quyền xét xử và địa điểm bắt buộc của trọng tài viên và tòa án, đồng thời từ bỏ mọi quyền phản đối về quyền xét xử và địa điểm như vậy. Bên thắng kiện trong bất kỳ Tranh chấp nào sẽ có quyền đòi bồi thường các khoản phí và chi phí luật sư hợp lý của mình, ngoại trừ trong hình thức xét xử trọng tài, khi đó việc đòi bồi thường các khoản phí và chi phí luật sư sẽ được điều chỉnh bởi Thỏa thuận và quy chế trọng tài. Đạo luật Thống nhất về Giao dịch Thông tin Máy tính và Công ước của Liên Hợp Quốc về Hợp đồng Mua bán Hàng hóa Quốc tế sẽ không áp dụng cho DPA này.

10.3 Các điều khoản khác. Nhằm mục đích của DPA này, bất kỳ thuật ngữ định nghĩa nào đề cập đến số ít đều bao gồm số nhiều và ngược lại. Trừ trường hợp đã hoặc sẽ có ký kết DPA khác giữa các bên về chủ đề của Thỏa thuận này, nếu không thì DPA này cấu thành toàn bộ thỏa thuận giữa các bên và thay thế tất cả các đề xuất, bằng lời hoặc bằng văn bản, tất cả các cuộc đàm phán, trò chuyện hoặc thảo luận giữa các bên liên quan tới chủ đề của DPA này và tất cả các giao dịch trong quá khứ hoặc quy tắc ngành hoặc thông lệ.

10.4 Đạo luật Quyền riêng tư của Người tiêu dùng California (California Consumer Privacy Act, CCPA). Nếu Clipchamp đang xử lý Dữ liệu Cá nhân trong phạm vi của CCPA, Clipchamp đưa ra các cam kết bổ sung sau đây với Khách hàng. Clipchamp sẽ thay mặt Khách hàng xử lý Dữ liệu Khách hàng, Dữ liệu Dịch vụ Chuyên nghiệp và Dữ liệu Cá nhân, và không lưu giữ, sử dụng hoặc tiết lộ dữ liệu đó cho bất kỳ mục đích nào khác ngoài các mục đích được nêu trong DPA và được phép theo CCPA, bao gồm cả theo bất kỳ trường hợp miễn trừ “bán” nào. Trong mọi trường hợp, Clipchamp sẽ không bán bất kỳ dữ liệu nào như vậy. Các điều khoản CCPA này không giới hạn hay giảm bớt bất kỳ cam kết bảo vệ dữ liệu nào mà Clipchamp đưa ra với Khách hàng trong DPA và/hoặc Thỏa thuận giữa Clipchamp và Khách hàng. Trong phạm vi pháp luật hiện hành yêu cầu, Phụ lục CCPA đính kèm thành Phụ lục 2 của DPA này sẽ áp dụng cho Dịch vụ.

10.5 Dữ liệu Sinh trắc. Nếu Khách hàng sử dụng Dịch vụ để xử lý Dữ liệu Sinh trắc, trong phạm vi pháp luật hiện hành yêu cầu, Khách hàng có trách nhiệm: (i) gửi thông báo cho các chủ thể dữ liệu, bao gồm cả về thời gian lưu giữ và tiêu hủy; (ii) có được sự đồng ý từ các chủ thể dữ liệu; và (iii) xóa Dữ liệu Sinh trắc, tất cả nếu thích hợp và theo quy định trong Yêu cầu Bảo vệ Dữ liệu hiện hành. Clipchamp sẽ xử lý Dữ liệu Sinh trắc đó theo hướng dẫn được lập thành văn bản của Khách hàng (như mô tả trong phần “Phạm vi, Vai trò, Xử lý và Yêu cầu của Chủ thể Dữ liệu” nêu trên) và bảo vệ Dữ liệu Sinh trắc đó phù hợp với các điều khoản bảo mật và bảo vệ dữ liệu theo DPA này. Nhằm mục đích của phần này, “Dữ liệu Sinh trắc” sẽ có ý nghĩa được nêu trong Điều 4 của GDPR và, nếu có, các điều khoản tương đương trong Luật Bảo vệ Dữ liệu khác.

PHỤ LỤC 1

PHỤ MỤC I

A.   DANH SÁCH CÁC BÊN

Bên xuất khẩu dữ liệu:

Tên: Khách hàng hoặc thực thể liên kết của Khách hàng hoặc khách hàng và bên liên kết khách hàng tương ứng của họ là người dùng các sản phẩm hoặc dịch vụ của Nhà cung cấp Dịch vụ (“Giải pháp của Nhà cung cấp Dịch vụ”) và ở Khu vực Kinh tế Châu Âu hoặc Thụy Sĩ.

Địa chỉ: Địa chỉ được chỉ định trong Thỏa thuận.

Tên, vị trí và chi tiết liên hệ của người liên hệ: Có mô tả trong Thỏa thuận này; nếu không có mô tả trong Thỏa thuận thì là người ký Thỏa thuận.

Điện thoại: Có mô tả trong phần thông báo của Thỏa thuận này; nếu không có mô tả trong Thỏa thuận thì chọn “Không áp dụng”. E-mail: Có mô tả trong phần thông báo của Thỏa thuận này; nếu không có mô tả trong Thỏa thuận thì chọn “Không áp dụng”.

Hoạt động liên quan tới dữ liệu được chuyển theo những Điều khoản này:

Sử dụng Dịch vụ của Clipchamp như mô tả trong Thỏa thuận.

Chữ ký và ngày: Cùng người ký và đề ngày như trong Thỏa thuận.

Vai trò (bên kiểm soát/bên xử lý): Bên kiểm soát

Bên nhập khẩu dữ liệu:

Tên: Clipchamp Pty Ltd (ACN 162516556)

Địa chỉ: Level 1, 315 Brunswick Street, Fortitude Valley QLD 4006, Australia

Tên, vị trí và chi tiết liên hệ của người liên hệ: Clipchamp Pty Ltd, c/o Microsoft Corporation, Attn: Chief Privacy Officer, 1 Microsoft Way, Redmond, WA 98052 USA

Điện thoại: n/a e-mail: privacy@clipchamp.com

Hoạt động liên quan tới dữ liệu được chuyển theo những Điều khoản này:

Thực hiện Dịch vụ của Clipchamp như mô tả trong Thỏa thuận.

Chữ ký và ngày: Cùng người ký và đề ngày như trong Thỏa thuận.

Vai trò (bên kiểm soát/bên xử lý): Bên xử lý

B.   MÔ TẢ CHUYỂN DỮ LIỆU

Khách hàng với tư cách là bên xuất khẩu dữ liệu có thể gửi dữ liệu cá nhân đến Clipchamp (bên nhập khẩu dữ liệu), phạm vi gửi được xác định và kiểm soát bởi bên xuất khẩu dữ liệu theo quyết định riêng của họ và có thể bao gồm nhưng không giới hạn, các loại chủ thể dữ liệu có dữ liệu cá nhân được chuyển sau đây:

  • Khách hàng tiềm năng, đối tác kinh doanh, nhà cung cấp và nhân viên của bên xuất khẩu dữ liệu (là thể nhân)

  • Nhân viên hoặc người liên hệ của bên xuất khẩu dữ liệu và/hoặc khách hàng tiềm năng, khách hàng, đối tác kinh doanh và nhà cung cấp của bên xuất khẩu dữ liệu

  • Người dùng của bên xuất khẩu dữ liệu được bên xuất khẩu dữ liệu ủy quyền sử dụng Dịch vụ

  • Các cá nhân có hình ảnh có thể xuất hiện trong video do người dùng của bên xuất khẩu dữ liệu tải lên

Khách hàng với tư cách là bên xuất khẩu dữ liệu có thể gửi dữ liệu cá nhân đến Clipchamp (bên nhập khẩu dữ liệu), phạm vi gửi được xác định và kiểm soát bởi bên xuất khẩu dữ liệu theo quyết định riêng của họ và có thể bao gồm nhưng không giới hạn, các loại dữ liệu cá nhân được chuyển sau đây:

  • Thông tin liên hệ, thông tin tuyển dụng và giáo dục, địa chỉ IP, dữ liệu kết nối, dữ liệu bản địa hóa và dữ liệu cá nhân có trong nội dung do người dùng tạo hoặc nói về người dùng (bao gồm nhưng không giới hạn ở, video và hình ảnh xuất hiện trong video do người dùng của bên xuất khẩu dữ liệu tải lên).

Dữ liệu nhạy cảm được chuyển (nếu có) và các hạn chế hoặc biện pháp bảo vệ được áp dụng có xem xét đầy đủ bản chất của dữ liệu và các rủi ro liên quan, chẳng hạn như giới hạn về mục đích nghiêm ngặt, giới hạn về truy cập (bao gồm chỉ cấp quyền truy cập cho nhân viên đã được đào tạo chuyên ngành), hồ sơ về quyền truy cập vào dữ liệu, các hạn chế đối với việc chuyển tiếp hoặc các biện pháp bảo mật bổ sung:

  • Kể từ Ngày có hiệu lực của Thỏa thuận, các bên không dự kiến các loại dữ liệu cá nhân đặc biệt sẽ được chuyển. Không kể quy định này, Khách hàng với tư cách là bên xuất khẩu dữ liệu có thể gửi các danh mục dữ liệu đặc biệt tới Clipchamp (bên nhập khẩu dữ liệu), phạm vi được xác định và kiểm soát bởi bên xuất khẩu dữ liệu theo quyết định riêng của họ, thông qua video tải lên, trường văn bản hoặc nội dung khác và nhằm mục đích giải thích rõ mà có thể tiết lộ nguồn gốc chủng tộc hoặc sắc tộc, ý kiến chính trị, niềm tin tôn giáo hoặc triết học, tư cách thành viên công đoàn và/hoặc tình trạng sức khỏe hoặc đời sống tình dục.

Tần suất chuyển (ví dụ: dữ liệu được chuyển một lần hay liên tục):

Liên tục.

Bản chất của việc xử lý:

  • Thực hiện Dịch vụ như mô tả trong Thỏa thuận.

Mục đích của việc truyền dữ liệu và xử lý thêm:

  • Thực hiện Dịch vụ như mô tả trong Thỏa thuận.

Khoảng thời gian mà dữ liệu cá nhân sẽ được lưu giữ hoặc, nếu không thể, các tiêu chí được sử dụng để xác định khoảng thời gian đó:

  • Trong thời hạn của Thỏa thuận.

Đối với việc chuyển giao cho bên xử lý (phụ), cũng nêu rõ đối tượng, bản chất và thời hạn của quá trình xử lý:

  • Theo DPA, bên nhập khẩu dữ liệu có thể thuê công ty khác cung cấp một số dịch vụ hạn chế thay mặt cho bên nhập khẩu dữ liệu, chẳng hạn như cung cấp hỗ trợ khách hàng. Bất kỳ nhà thầu phụ nào như vậy sẽ chỉ được phép lấy dữ liệu cá nhân để cung cấp dịch vụ mà bên nhập khẩu dữ liệu đã thuê họ cung cấp và họ bị cấm sử dụng dữ liệu cá nhân cho bất kỳ mục đích nào khác.

C.   CƠ QUAN GIÁM SÁT CÓ THẨM QUYỀN

Cơ quan giám sát có thẩm quyền sẽ là:

  • Cơ quan giám sát của Cộng hòa Ireland

PHỤ MỤC II -

BIỆN PHÁP KỸ THUẬT VÀ TỔ CHỨC BAO GỒM BIỆN PHÁP KỸ THUẬT VÀ TỔ CHỨC ĐỂ ĐẢM TÍNH BẢO MẬT CỦA DỮ LIỆU

Clipchamp duy trì các chính sách bảo mật được lập thành văn bản cho Dịch vụ hiện hành, những chính sách này sẵn có cho Khách hàng ở dạng Phụ lục theo các điều khoản bảo mật của Thỏa thuận.

Bên xử lý phụ

Bạn có thể yêu cầu danh sách các Bên xử lý phụ được phê duyệt của Clipchamp theo các điều khoản bảo mật của Thỏa thuận bằng cách gửi yêu cầu đến đại diện bán hàng Clipchamp của bạn. Để tránh nhầm lẫn, bất kỳ danh sách Bên xử lý phụ nào như vậy đều có thể được Clipchamp cập nhật theo quy định trong Thỏa thuận và/hoặc DPA này.

PHỤ LỤC 2

Phụ lục Đạo luật Quyền riêng tư của Người tiêu dùng California

Phụ lục CCPA này (“Phụ lục”) đề ngày vào ngày có hiệu lực của Thỏa thuận (như định nghĩa bên dưới) được đưa vào và hợp thành một phần của đơn hàng, thỏa thuận và/hoặc thỏa thuận/phụ lục bảo vệ dữ liệu được ký kết giữa Clipchamp và/hoặc Bên liên kết của họ như được xác định bên dưới (“Nhà cung cấp Dịch vụ”) và Khách hàng và/hoặc Bên liên kết của họ đối với Thỏa thuận. Nhà cung cấp Dịch vụ và Khách hàng gọi riêng là “bên” và gọi chung là “các bên”. Nhằm mục đích của Phụ lục này, “Bên liên kết” có nghĩa là bất kỳ thực thể nào trực tiếp hoặc gián tiếp được sở hữu hoặc kiểm soát bởi một bên, trong đó “kiểm soát” được định nghĩa là việc nắm giữ, trực tiếp hoặc gián tiếp, quyền kiểm soát hoặc yêu cầu chỉ đạo công tác quản lý và các chính sách của một thực thể, cho dù thông qua quyền sở hữu chứng khoán có quyền biểu quyết, theo hợp đồng hay theo cách khác. Trừ khi có quy định khác trong tài liệu này, tất cả các thuật ngữ không được định nghĩa trong Phụ lục này sẽ có ý nghĩa được quy định trong Thỏa thuận.

Phụ lục này nêu các điều khoản và điều kiện liên quan đến việc tuân thủ Đạo luật Quyền riêng tư của Người tiêu dùng California năm 2018. Luật Dân sự California §1798.100 et seq. và quy định liên quan (“CCPA”), có thể được sửa đổi trong từng thời kỳ. Trong trường hợp có xung đột giữa Phụ lục này và Thỏa thuận, Phụ lục này sẽ điều chỉnh, khi áp dụng. Các thuật ngữ viết hoa được xác định trong Phụ lục này sẽ có cùng ý nghĩa như được định nghĩa trong CCPA, trừ khi có ghi chú khác.

Các Bên đồng ý như sau:

  1. Trong phạm vi áp dụng, Nhà cung cấp Dịch vụ sẽ luôn tuân thủ CCPA, bao gồm bất kỳ nội dung sửa đổi nào. Ngoài ra, trong phạm vi bất kỳ Thông tin Cá nhân nào (như định nghĩa trong CCPA) (“Thông tin Cá nhân”) được thu thập bởi Nhà cung cấp Dịch vụ do kết quả của Thỏa thuận này, Nhà cung cấp Dịch vụ sẽ không giữ lại, sử dụng hay tiết lộ Thông tin Cá nhân cho bất kỳ mục đích nào khác ngoài việc cung cấp Dịch vụ được quy định trong Thỏa thuận. Cụ thể, Nhà cung cấp Dịch vụ sẽ không lưu giữ, sử dụng hoặc tiết lộ Thông tin Cá nhân ngoài các mục đích được phép theo Thỏa thuận.

  2. Lưu giữ, sử dụng hoặc tiết lộ Thông tin Cá nhân ngoài mối quan hệ kinh doanh trực tiếp giữa Nhà cung cấp Dịch vụ và Khách hàng; tuy nhiên, với điều kiện rằng Nhà cung cấp Dịch vụ đó có thể tiết lộ Thông tin cá nhân cho và cho phép xử lý Thông tin Cá nhân bởi các nhà cung cấp dịch vụ thực hiện dịch vụ cho hoặc thay mặt cho Nhà cung cấp Dịch vụ, miễn là nhà cung cấp dịch vụ đó phải tuân theo yêu cầu hợp đồng tương đương đối với Thông tin Cá nhân như áp dụng cho Nhà cung cấp Dịch vụ theo Thỏa thuận và Phụ lục này. Nhà cung cấp Dịch vụ sẽ vẫn chịu trách nhiệm về hành động của các nhà cung cấp dịch vụ của mình.

Bất kể quy định nào trái ngược trong Thỏa thuận này, các bên đồng ý rằng việc Khách hàng cung cấp Thông tin cá nhân cho Nhà cung cấp Dịch vụ là cần thiết để thực hiện mục đích kinh doanh và không nằm trong và bị loại trừ rõ ràng khỏi việc trao đổi thù lao hay bất kỳ điều gì khác có giá trị giữa các bên.

Nếu bất kỳ sửa đổi nào đối với Phụ lục này là bắt buộc do thay đổi trong luật hoặc quy định về bảo vệ dữ liệu, một trong hai bên có thể thông báo bằng văn bản cho bên kia về nội dung thay đổi luật như vậy. Các bên sẽ thảo luận và thương lượng một cách thiện chí về bất kỳ sửa đổi cần thiết nào đối với Phụ lục này để giải quyết nội dung thay đổi đó một cách hợp lý trong thời gian sớm nhất.

It looks like your preferred language is English