Điều khoản xử lý dữ liệu

KHẢ NĂNG ÁP DỤNG
Các điều khoản này có thể áp dụng giữa GOI và nhà trường là bên mà GOI đã ký kết thỏa thuận nếu GOI được xem là bộ xử lý dữ liệu và nhà trường là bộ kiểm soát dữ liệu theo nghĩa được đưa ra trong Quy định bảo vệ dữ liệu chung của EU. Các điều khoản này có thể được áp dụng giữa GOI và đại lý, nếu GOI hoạt động trong vai trò của bộ xử lý dữ liệu phụ đối với đại lý là bộ xử lý dữ liệu cuối – nhà trường. Trong trường hợp này, bộ kiểm soát dữ liệu là chỉ đại lý và bộ xử lý dữ liệu là chỉ GOI với tư cách là bộ xử lý dữ liệu phụ của đại lý.

ĐỊNH NGHĨA
Các thuật ngữ được sử dụng ở đây sẽ có cùng ý nghĩa như được đưa ra trong Quy định 2016/679 của Nghị viện Châu Âu và của Hội đồng bảo vệ thể nhân liên quan đến
việc xử lý dữ liệu cá nhân và trao đổi tự do dữ liệu đó cùng việc hủy bỏ Chỉ thị 95/46/EC (“Quy định”). Các điều khoản này bao gồm nhưng không giới hạn việc kiểm soát, xử lý dữ liệu cá nhân, chủ thể dữ liệu cùng xử lý các vi phạm dữ liệu cá nhân.

MỤC ĐÍCH
Với các điều khoản này, các bên đồng ý rằng nhà trường là bộ kiểm soát dữ liệu, chỉ định GOI làm bộ xử lý dữ liệu để xử lý dữ liệu cá nhân của nhà trường trong suốt thời hạn thỏa thuận theo các điều khoản đã thỏa thuận trong tài liệu này.

Bộ xử lý dữ liệu sẽ chỉ xử lý dữ liệu cá nhân để tiếp tục thực hiện các nghĩa vụ được quy định trong thỏa thuận và theo các hướng dẫn bằng văn bản được cung cấp bởi bộ kiểm soát dữ liệu.

Bộ kiểm soát dữ liệu sẽ là người kiểm soát duy nhất cho dữ liệu cá nhân và chịu trách nhiệm tuân thủ các nghĩa vụ của Quy định và các luật áp dụng khác được đặt ra cho bộ kiểm soát dữ liệu, đồng thời đảm bảo các cơ sở pháp lý để xử lý dữ liệu cá nhân, thông báo cho chủ thể dữ liệu về hoạt động xử lý cùng các chính sách bảo mật, tuân thủ các nghĩa vụ về tài liệu tham khảo với những bộ kiểm soát khác và đảm bảo dữ liệu được giữ chính xác. Nếu trong phạm vi cơ sở pháp lý để xử lý dữ liệu cá nhân cần sự đồng ý của từng cá nhân, bộ kiểm soát dữ liệu chịu trách nhiệm về việc có được sự đồng ý và quản lý nó theo Quy định. Bộ kiểm soát dữ liệu chịu trách nhiệm về dữ liệu được nhập vào các dịch vụ của bộ xử lý dữ liệu và tính hợp pháp của nó, vì bộ kiểm soát dữ liệu có quyền kiểm soát duy nhất đối với dữ liệu đó.

Bộ xử lý dữ liệu không được quyền xử lý dữ liệu cá nhân cho bất kỳ mục đích nào khác hoặc cho bất kỳ ai khác. Nếu bộ xử lý dữ liệu chuyển dữ liệu ra bên ngoài bộ xử lý dữ liệu EU / EEA thì phải tuân thủ các nghĩa vụ theo Quy định đối với chuyển dữ liệu quốc tế. Bộ xử lý dữ liệu phải thông báo ngay cho bộ kiểm soát dữ liệu khi xét thấy các hướng dẫn bằng văn bản do bộ kiểm soát dữ liệu cung cấp để xử lý dữ liệu cá nhân là vi phạm Quy định hoặc luật bảo vệ dữ liệu quốc gia. Ngoài các điều khoản trong Phụ lục này, các bên đồng ý tuân thủ Quy định áp dụng cho mỗi bên.

Các chi tiết bổ sung liên quan đến việc xử lý dữ liệu có thể được mô tả trong bản thỏa thuận hoặc trong một tài liệu riêng.

BỘ XỬ LÝ DỮ LIỆU PHỤ

Bộ xử lý dữ liệu được quyền sử dụng các bộ xử lý dữ liệu phụ để xử lý dữ liệu cá nhân. Thông tin bổ sung về bộ xử lý dữ liệu phụ có thể được cung cấp theo yêu cầu.

Khi sử dụng bộ xử lý dữ liệu phụ để xử lý dữ liệu cá nhân, bộ xử lý dữ liệu đồng ý rằng họ sẽ áp đặt các điều khoản bảo vệ dữ liệu đối với bất kỳ bộ xử lý dữ liệu phụ nào mà họ chỉ định để bảo vệ dữ liệu cá nhân theo cùng tiêu chuẩn như được quy định trong Phụ lục này. Bộ xử lý dữ liệu hoàn toàn chịu trách nhiệm về việc tuân thủ các yêu cầu của Phụ lục này đối với các bộ xử lý dữ liệu phụ của họ.

BẢO MẬT

Tất cả dữ liệu cá nhân được xử lý bởi bộ xử lý dữ liệu thay cho bộ kiểm soát dữ liệu được xem là thông tin bảo mật của bộ kiểm soát dữ liệu và bộ xử lý dữ liệu không được tiết lộ dữ liệu cá nhân cho bất kỳ ai hoặc sử dụng nó cho bất kỳ mục đích nào khác ngoài mục đích đã thỏa thuận. Bộ xử lý dữ liệu phải đảm bảo chỉ những người có thẩm quyền mới được quyền truy cập vào dữ liệu cá nhân cần thiết để tiếp tục thực hiện nghĩa vụ của bộ xử lý dữ liệu liên quan đến mục đích chung và những người này phải chịu trách nhiệm bảo mật dữ liệu nghiêm ngặt theo hợp đồng hoặc theo luật định, và không được cho phép bất kỳ cá nhân nào không đáp ứng nghĩa vụ bảo mật xử lý dữ liệu. Nghĩa vụ bảo mật sẽ tồn tại đến khi chấm dứt hoặc hết hạn thỏa thuận.

BẢO VỆ

Bộ xử lý dữ liệu sẽ thực hiện các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân khỏi sự phá hủy do vô tình hoặc bất hợp pháp, sự mất mát, thay đổi, tiết lộ trái phép hoặc truy cập vào dữ liệu cá nhân. Các biện pháp này sẽ dự tính cả tình trạng kỹ thuật, chi phí thực hiện, tính chất, phạm vi, bối cảnh và mục đích xử lý cũng như các rủi ro có thể xảy ra cùng mức độ nghiêm trọng đối với các quyền tự do của con người.

Các biện pháp có thể bao gồm, tùy trường hợp:
a) Ghi ký hiệu và mã hóa dữ liệu cá nhân;
b) Khả năng đảm bảo bảo mật, toàn vẹn, tiện lợi và khả năng phục hồi của hệ thống xử lý và dịch vụ;
c) Khả năng khôi phục tính khả dụng và truy cập dữ liệu cá nhân một cách kịp thời trong trường hợp xảy ra sự cố vật lý hoặc kỹ thuật;
d) Quy trình có thể thường xuyên kiểm tra, ước tính và đánh giá hiệu quả của các biện pháp kỹ thuật và tổ chức để đảm bảo an ninh cho quá trình xử lý dữ liệu.

VI PHẠM DỮ LIỆU CÁ NHÂN

Bộ xử lý dữ liệu phải thông báo ngay lập tức cho bộ kiểm soát dữ liệu về việc vi phạm dữ liệu cá nhân mà họ biết, để bộ kiểm soát dữ liệu có thể tuân thủ các Quy định về việc thông báo vi phạm dữ liệu cá nhân trong giới hạn thời gian định trước.

Nếu bộ xử lý dữ liệu có kế hoạch thay đổi bộ xử lý dữ liệu phụ thì phải thông báo trước cho bộ kiểm soát dữ liệu bằng văn bản ít nhất 7 ngày. Bộ xử lý dữ liệu có nghĩa vụ phải thông báo về những lo ngại trong việc bổ sung, loại bỏ hoặc thay đổi bộ xử lý dữ liệu phụ. Sau khi nhận được thông báo, bộ kiểm soát dữ liệu có quyền phản đối dự định thay đổi trong việc sử dụng bộ xử lý dữ liệu phụ. Nếu bộ kiểm soát dữ liệu phản đối dự định thay đổi và bộ xử lý dữ liệu không thể sử dụng hợp lý bộ xử lý dữ liệu phụ khác hoặc phương pháp khác để xử lý dữ liệu cá nhân, thì bộ xử lý dữ liệu không chịu trách nhiệm cho các thiệt hại hoặc tổn hại do sự phản đối đó gây ra. Trong tình huống này, bộ xử lý dữ liệu có quyền chấm dứt thỏa thuận bằng cách gửi thông báo bằng văn bản trước ít nhất 1 tháng cho bộ kiểm soát dữ liệu.

Khi thông báo cho bộ kiểm soát dữ liệu, bộ xử lý dữ liệu phải bao gồm các chi tiết cần thiết về vi phạm dữ liệu cá nhân. Ngoài ra, bộ xử lý dữ liệu cũng phải cung cấp hỗ trợ hợp lý cho bộ kiểm soát dữ liệu. Bộ xử lý dữ liệu cũng phải thực hiện tất cả các biện pháp cần thiết khác để giảm thiểu hoặc khắc phục ảnh hưởng của vi phạm dữ liệu cá nhân và ngăn chặn các vi phạm tiếp theo.

ĐÁNH GIÁ TÁC ĐỘNG BẢO VỆ DỮ LIỆU

Nếu bộ xử lý dữ liệu nhận thức được việc xử lý dữ liệu theo kế hoạch sẽ gây ra rủi ro cao đến quyền lợi và sự tự do của con người, thì phải thông báo cho bộ kiểm soát dữ liệu về việc này và hỗ trợ bộ kiểm soát dữ liệu, nếu cần, trong việc thực hiện đánh giá tác động bảo vệ dữ liệu.

QUYỀN CỦA CHỦ THỂ DỮ LIỆU

Cân nhắc đến bản chất của việc xử lý dữ liệu, bộ xử lý dữ liệu phải giúp đỡ bộ kiểm soát dữ liệu một cách kịp thời không được trì hoãn bao gồm các ứng dụng kỹ thuật và các biện pháp tổ chức, để thực hiện bất kỳ yêu cầu nào từ chủ thể dữ liệu nhằm thực hiện các quyền của họ theo Quy định. Các quyền đó có thể bao gồm: (như đã được mô tả trong Quy định) quyền truy cập, chỉnh sửa, phản đối, xóa (“quyền xóa khỏi bộ nhớ”) và tính di động của dữ liệu. Nếu các yêu cầu trên được thực hiện trực tiếp với bộ xử lý dữ liệu thì phải thông báo ngay cho bộ kiểm soát dữ liệu về những yêu cầu này.

KIỂM TOÁN

Bộ xử lý dữ liệu sẽ cho phép bộ kiểm soát dữ liệu thực hiện kiểm toán đối với bộ xử lý dữ liệu tuân thủ theo các điều khoản này và phải cung cấp cho bộ kiểm soát dữ liệu quyền truy cập tất cả các hệ thống, cơ sở, tài nguyên, thông tin và nhân viên khi cần thiết để bộ kiểm soát dữ liệu thực hiện cuộc kiểm toán đó.

Việc kiểm toán sẽ được thực hiện trong giờ làm việc thông thường với mục đích gây ra sự gián đoạn ít nhất cho hoạt động kinh doanh của bộ xử lý dữ liệu. Kiểm soát viên cũng phải đưa ra thông báo trước và hợp lý về kế hoạch kiểm toán. Cả hai bên chịu trách nhiệm về các chi phí của họ liên quan đến cuộc kiểm toán.

CÁC ĐIỀU KHOẢN KHÁC

Nếu bộ xử lý dữ liệu phải hỗ trợ bộ kiểm soát dữ liệu thực hiện các nghĩa vụ của bộ kiểm soát dữ liệu liên quan đến vi phạm dữ liệu, quyền của chủ thể dữ liệu và đánh giá tác động bảo vệ dữ liệu, thì bộ xử lý dữ liệu có quyền lập các hóa đơn thực tế phát sinh được sử dụng cho các nhiệm vụ hỗ trợ theo giá mỗi giờ đã thỏa thuận giữa các bên. Hóa đơn này sử dụng cho các nhiệm vụ hỗ trợ yêu cầu mà bộ kiểm soát dữ liệu đã chấp nhận rằng bộ xử lý dữ liệu có thể sử dụng thời gian để thực hiện các nhiệm vụ hỗ trợ.

Bộ xử lý dữ liệu không chịu trách nhiệm trước bộ kiểm soát dữ liệu đối với bất kỳ thiệt hại gián tiếp, do hậu quả đặc biệt đối với các khiếu nại do bên thứ ba đưa ra. Trách nhiệm của bộ xử lý dữ liệu trước bộ kiểm soát dữ liệu gồm mọi khiếu nại về sự tổn thất, thiệt hại, hoặc các chi phí liên quan đến một đơn đặt hàng cụ thể, trong mọi trường hợp thì tổng số tiền không vượt quá 30% số tiền mà bộ kiểm soát đã trả cho các dịch vụ (không bao gồm VAT) liên quan đến đơn hàng.

Đối với các dịch vụ hoặc phần mềm được lập hóa đơn (hoặc có giá) hàng tháng, trách nhiệm của bộ xử lý dữ liệu đối với bất kỳ khiếu nại nào về tổn thất, thiệt hại, hoặc các chi phí sẽ không vượt quá tổng số tiền mà nhà trường (chưa bao gồm VAT) trả cho các dịch vụ hoặc phần mềm trong khoảng thời gian 2 tháng trước khi yêu cầu bồi thường thiệt hại đầu tiên.

THỜI HẠN VÀ ẢNH HƯỞNG CỦA VIỆC CHẤM DỨT BẢN THỎA THUẬN

Các điều khoản này có hiệu lực vào cùng ngày với thỏa thuận giữa các bên và các điều khoản này sẽ có hiệu lực cho đến khi chấm dứt hoặc hết hạn thỏa thuận. Trong một khoảng thời gian hợp lý sau khi chấm dứt hoặc hết hạn thỏa thuận, bộ xử lý dữ liệu sẽ xóa hoặc trả lại tất cả dữ liệu cá nhân cho bộ kiểm soát dữ liệu đồng thời xóa tất cả các bản sao của dữ liệu cá nhân, trừ khi luật pháp quốc gia hoặc EU hoặc quốc gia thành viên yêu cầu bộ xử lý dữ liệu giữ lại một số hoặc tất cả những dữ liệu đó. Trong trường hợp như vậy, bất kỳ việc xử lý thêm dữ liệu cá nhân đều bị cấm, ngoại trừ trong phạm vi luật pháp yêu cầu. Bộ kiểm soát dữ liệu có nghĩa vụ đảm bảo rằng họ có các bản sao dự phòng của dữ liệu trước khi xóa, nếu cho rằng dữ liệu vẫn cần thiết.

Nếu bộ kiểm soát dữ liệu không thông báo cho bộ xử lý dữ liệu về việc xóa hoặc trả lại dữ liệu trong vòng 12 tháng kể từ khi chấm dứt hoặc hết hạn thỏa thuận, bộ xử lý dữ liệu sẽ xóa tất cả dữ liệu cá nhân, bao gồm mọi bản sao, trừ khi luật pháp quốc gia hoặc EU hoặc quốc gia thành viên yêu cầu bộ xử lý dữ liệu giữ lại một số hoặc tất cả dữ liệu đó. Trong trường hợp như vậy, bất kỳ việc xử lý thêm dữ liệu cá nhân nào cũng đều bị cấm, ngoại trừ trong phạm vi luật pháp yêu cầu. Bộ kiểm soát dữ liệu có nghĩa vụ đảm bảo rằng họ có các bản sao dự phòng của dữ liệu trước khi xóa, nếu cho rằng dữ liệu vẫn cần thiết.

MÔ TẢ QUY TRÌNH XỬ LÝ DỮ LIỆU

Quy định về xử lý dữ liệu: Điều khoản về các dịch vụ của GOI và sự hổ trợ cho khách hàng và các đại lý. GOI thu thập, xử lý và lưu trữ dữ liệu cá nhân liên quan đến khách hàng, người dùng và các đại lý theo thỏa thuận, luật hiện hành và các điều khoản này. Dữ liệu cá nhân liên quan đến nhà trường có thể bao gồm các loại dữ liệu cá nhân như: tên, địa chỉ email và các dữ liệu khác. Dữ liệu cá nhân chủ yếu liên quan đến những chủ thể của dữ liệu đó là giáo viên hoặc học sinh trong nhà trường.

Các bộ phận phụ: Các Bộ xử lý dữ liệu phụ được phê duyệt vào ngày bản thỏa thuận có hiệu lực.
● Google Cloud Platform và các bộ phận phụ như liệt kê ở đây: https://cloud.google.com/terms/subprocessors
● Amazon, Inc. và các bộ phận phụ
● Microsoft, Inc. và các bộ phận phụ
● Eduten Ltd.