PHỤ LỤC BẢO MẬT VÀ XỬ LÝ DỮ LIỆU CÁ NHÂN

Phụ lục bảo mật và xử lý Dữ liệu cá nhân (Processing Data Agreement) này được đính kèm và không tách rời với Hợp đồng Thuê bao Dịch vụ Phần mềm 1Office giữa Quý khách hàng (Khách hàng) và Công ty Cổ phần 1Office (1Office). Hiệu lực của Phụ lục này sẽ được áp dụng theo hiệu lực của Hợp đồng Thuê bao Dịch vụ Phần mềm hai bên đã ký kết.

Phụ lục bảo mật và xử lý Dữ liệu cá nhân được ký kết nhằm thiết lập các điều khoản cụ thể về xử lý dữ liệu cá nhân, đảm bảo tuân thủ các quy định pháp luật hiện hành.

Phụ lục bảo mật và xử lý Dữ liệu cá nhân này điều chỉnh các hoạt động Xử lý Dữ liệu cá nhân theo hai vai trò: Khách hàngBên kiểm soát dữ liệu; 1OfficeBên xử lý dữ liệu đối với dữ liệu cá nhân do Khách hàng nhập/lưu trên hệ thống.

Các điều khoản trong Phụ lục bảo mật và xử lý Dữ liệu cá nhân  sẽ được ưu tiên áp dụng đối với tất cả các vấn đề liên quan đến xử lý dữ liệu cá nhân trong quá trình hợp tác cung cấp dịch vụ.

1Office sẽ sửa đổi và bổ sung Phụ lục bảo mật và xử lý Dữ liệu cá nhân này theo từng thời kỳ để bảo đảm phù hợp với quy định pháp luật và sự thay đổi trong phạm vi dịch vụ. Đối với Khách hàng đang sử dụng dịch vụ thuê bao phần mềm, 1Office sẽ thông báo thông qua email, website, thông báo qua hệ thống (in-app), hoặc phương thức liên lạc mà hai Bên đã thống nhất trong Hợp đồng. Các phiên bản trước đây và phiên bản mới nhất của Phụ lục này được lưu trữ tại:[ …website].

ĐIỀU 1.ĐỊNH NGHĨA VÀ GIẢI THÍCH CÁC THUẬT NGỮ

Dữ liệu cá nhân:

  1. Là thông tin gắn với một cá nhân cụ thể hoặc giúp xác định một cá nhân cụ thể, có thể bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm theo Nghị định 13.
  2. Dữ liệu cá nhân được đề cập trong thỏa thuận có thể là dữ liệu của khách hàng của Khách hàng, của cá nhân đại diện, người lao động của mỗi Bên và/hoặc cá nhân bất kỳ có liên quan đến Hợp Đồng và Thỏa thuận này mà trong quá trình ký kết, thực hiện, triển khai Hợp Đồng này các bên có thể trao đổi, chuyển giao Dữ liệu của các chủ thể dữ liệu cho nhau.

Dữ liệu cá nhân cơ bản: Dữ liệu cá nhân cơ bản bao gồm:

  • Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
  • Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
  • Giới tính;
  • Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
  • Quốc tịch;
  • Hình ảnh của cá nhân;
  • Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
  • Tình trạng hôn nhân;
  • Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
  • Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
  • Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể được hiểu theo quy định tại Nghị định 13 và các quy định khác của pháp luật hiện hành.

Dữ liệu cá nhân nhạy cảm: là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:

  • Quan điểm chính trị, quan điểm tôn giáo;
  • Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
  • Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
  • Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
  • Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
  • Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
  • Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
  • Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
  • Xử lý dữ liệu: Được hiểu là một hoặc nhiều hoạt động đối với dữ liệu cá nhân như thu thập, ghi, lưu giữ, sắp xếp, phân loại, phân tích, sửa đổi, truy xuất, sử dụng, công bố, chia sẻ, chuyển giao, xóa hoặc hủy.
  • Chủ thể dữ liệu: Là cá nhân mà dữ liệu cá nhân đề cập tới.
  • Bên kiểm soát dữ liệu: Là tổ chức/cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân trong phạm vi Hợp đồng.
  • Bên xử lý dữ liệu: Là tổ chức/cá nhân thực hiện việc xử lý dữ liệu cá nhân thay mặt cho Bên kiểm soát dữ liệu theo Hợp đồng/Phụ lục này.
  • Bên xử lý phụ: Được hiểu là tổ chức/cá nhân do Bên xử lý dữ liệu thuê để hỗ trợ xử lý dữ liệu cá nhân theo chỉ dẫn hợp pháp của Bên kiểm soát dữ liệu.
  • Sự cố vi phạm dữ liệu: Là sự kiện làm lộ, mất mát, truy cập trái phép, thay đổi trái phép hoặc hủy dữ liệu cá nhân; hoặc các hành vi khác vi phạm quy định về bảo vệ dữ liệu cá nhân.

Dữ liệu kỹ thuật (nhật ký hệ thống): Là dữ liệu phát sinh từ việc sử dụng dịch vụ nhằm mục đích vận hành, an toàn thông tin, đo lường và cải tiến dịch vụ.

ĐIỀU 2.VAI TRÒ VÀ PHẠM VI XỬ LÝ

  • Trong phạm vi cung cấp, vận hành dịch vụ theo Hợp đồng, Khách hàng là Bên kiểm soát dữ liệu; 1Office là Bên xử lý dữ liệu đối với dữ liệu cá nhân do Khách hàng nhập/lưu trên hệ thống.
  • Bên xử lý dữ liệu cam kết không lưu giữ, sử dụng và khai thác các Dữ liệu cá nhân được Bên kiểm soát dữ liệu truyền sang cho các mục đích khác ngoài phạm vi được quy định tại Hợp đồng và Phụ lục này và/hoặc quy định của pháp luật có liên quan. Trong mọi trường hợp, Bên xử lý dữ liệu cam kết áp dụng các biện pháp, chuẩn bị các điều kiện cần thiết để đảm bảo an ninh, an toàn thông tin cho các Dữ liệu cá nhân được xử lý.
  • Các loại dữ liệu cá nhân các Bên có thể xử lý bao gồm:
  • Dữ liệu cá nhân cơ bản
  • Dữ liệu cá nhân nhạy cảm
  • Khách hàng sở hữu toàn bộ dữ liệu do Khách hàng nhập vào hệ thống trong suốt thời gian thuê bao và chịu trách nhiệm về tính hợp pháp của nguồn dữ liệu, mục đích xử lý, nội dung thông báo cho chủ thể dữ liệu và các căn cứ pháp lý tương ứng.
  • Trường hợp Khách hàng yêu cầu 1Office xử lý các nhóm dữ liệu cá nhân nhạy cảm, Khách hàng bảo đảm đã có cơ sở pháp lý và điều kiện xử lý phù hợp theo quy định pháp luật, đồng thời cung cấp cho 1Office các chỉ dẫn được ghi nhận bằng văn bản (hoặc hình thức tương đương). Trường hợp 1Office yêu cầu làm rõ, Khách hàng sẽ bổ sung hoặc xác nhận các chỉ dẫn chi tiết bằng văn bản trước khi 1Office tiếp tục xử lý.
  • 1Office chỉ chịu trách nhiệm đối với việc xử lý dữ liệu cá nhân trong phạm vi truy cập, quản lý và kiểm soát của mình theo Hợp đồng/Phụ lục này. 1Office không có nghĩa vụ kiểm tra hoặc xác minh tính hợp pháp, tính chính xác, đầy đủ, cập nhật của dữ liệu do Khách hàng cung cấp và không chịu trách nhiệm đối với bất kỳ vi phạm hoặc thiệt hại nào phát sinh từ việc Khách hàng thu thập, cung cấp dữ liệu không hợp pháp, không chính xác hoặc sử dụng, chia sẻ, xử lý dữ liệu đó cho các mục đích riêng của Khách hàng.
  • Sau khi 1Office đã bàn giao, hoặc chấm dứt quyền truy cập đối với dữ liệu theo yêu cầu của Khách hàng, 1Office không chịu trách nhiệm đối với mọi hành vi lưu trữ, sử dụng, chia sẻ hoặc xử lý tiếp theo đối với dữ liệu đó do Khách hàng hoặc bên thứ ba do Khách hàng chỉ định thực hiện, trừ phần trách nhiệm thuộc về 1Office theo quy định pháp luật và thỏa thuận tại Hợp đồng/Phụ lục này.

Trường hợp Bên kiểm soát dữ liệu bị chủ thể dữ liệu khiếu nại, tố cáo, khởi kiện và/hoặc bồi thường thiệt hại, Bên kiểm soát dữ liệu sẽ tự chịu trách nhiệm và giải quyết vấn đề bằng chi phí của mình, đồng thời, giữ cho Bên xử lý dữ liệu không bị ảnh hưởng và được miễn trừ mọi nghĩa vụ phát sinh (nếu có), trừ trường hợp việc khiếu nại, tố cáo, khởi kiện và/hoặc bồi thường thiệt hại của chủ thể dữ liệu đó phát sinh do lỗi của Bên xử lý dữ liệu.

ĐIỀU 3.BIỆN PHÁP AN NINH VÀ QUẢN TRỊ

  • Hạ tầng và lưu trữ: Dữ liệu của Khách hàng được lưu trữ tại trung tâm dữ liệu đáp ứng tiêu chuẩn an ninh thông tin tương đương ISO/IEC 27001. 1Office duy trì kiểm soát truy cập, phân quyền theo nguyên tắc cần biết; ghi nhận nhật ký hệ thống; sao lưu dự phòng định kỳ; và cơ chế khôi phục sau thảm họa phù hợp với mô hình dịch vụ.
  • Biện pháp kỹ thuật: 1Office áp dụng mã hóa trong quá trình truyền; kiểm soát truy cập đa lớp; quét lỗ hổng và khắc phục theo chu kỳ hợp lý; giám sát an toàn thông tin và phát hiện bất thường; kiểm soát thay đổi và quản lý cấu hình.
  • Tổ chức và nhân sự: Nhân sự 1Office có liên quan đến việc truy cập, xử lý dữ liệu của Khách hàng phải ký Cam kết bảo mật và an toàn thông tin; được phân quyền phù hợp; được đào tạo định kỳ về bảo vệ dữ liệu và an toàn thông tin; chịu giám sát tuân thủ khi truy cập dữ liệu của Khách hàng.

Kiểm thử và đánh giá: 1Office định kỳ đánh giá an toàn thông tin với quy mô dịch vụ. Khi 1Office có yêu cầu kiểm tra/đối soát, hai Bên phối hợp theo kế hoạch, phạm vi và điều kiện bảo mật phù hợp (không làm gián đoạn dịch vụ).

ĐIỀU 4.BÊN XỬ LÝ PHỤ

  • 1Office được phép thuê Bên xử lý phụ là tổ chức, cá nhân khác để thực hiện một phần hoạt động xử lý dữ liệu nhằm cung cấp dịch vụ khi có sự chấp thuận trước đó bằng văn bản của Khách hàng. 1Office có trách nhiệm lựa chọn, ràng buộc Bên xử lý phụ bằng hợp đồng hoặc thỏa thuận bảo mật và bảo vệ dữ liệu với mức bảo vệ không thấp hơn các nghĩa vụ tương ứng quy định tại Phụ lục này, và giám sát việc tuân thủ của Bên xử lý phụ trong phạm vi công việc được 1Office giao.
  • 1Office sẽ thông báo cho Khách hàng về danh mục Bên xử lý phụ chủ yếu có liên quan trực tiếp tới dữ liệu cá nhân của Khách hàng, cũng như các thay đổi quan trọng trong danh mục này, thông qua email hoặc kênh liên lạc đã thống nhất. Khách hàng có quyền nêu ý kiến hoặc phản đối bằng văn bản trong vòng 07 (bảy) ngày làm việc kể từ ngày nhận được thông báo; quá thời hạn nêu trên mà Khách hàng không có ý kiến thì được hiểu là không phản đối việc sử dụng (hoặc tiếp tục sử dụng) Bên xử lý phụ đó.

Trường hợp Khách hàng đưa ra phản đối có căn cứ hợp lý đối với một Bên xử lý phụ, hai Bên sẽ thiện chí trao đổi để lựa chọn phương án phù hợp nhằm duy trì dịch vụ.

ĐIỀU 5.QUYỀN CHỦ THỂ DỮ LIỆU VÀ HỖ TRỢ TUÂN THỦ

  • Khi nhận được yêu cầu thực hiện quyền của chủ thể dữ liệu, Khách hàng sẽ thông báo cho 1Office và chỉ thực hiện theo chỉ dẫn hợp pháp bằng văn bản được đại diện có thẩm quyền hợp pháp của Khách hàng ký tên và đóng dấu xác nhận, trừ khi pháp luật có quy định khác.
  • 1Office hỗ trợ Khách hàng đáp ứng các yêu cầu hợp pháp của chủ thể dữ liệu và yêu cầu hợp pháp của cơ quan nhà nước có thẩm quyền liên quan đến dữ liệu do 1Office xử lý, phù hợp với quy định pháp luật và khả năng kỹ thuật của hệ thống. Trường hợp việc hỗ trợ của 1Office vượt quá phạm vi dịch vụ chuẩn hoặc phát sinh khối lượng công việc đáng kể, hai Bên sẽ thỏa thuận trước bằng văn bản về phạm vi công việc, thời hạn thực hiện và chi phí tương ứng (nếu có).

Khách hàng chủ trì và chịu trách nhiệm thực hiện đánh giá tác động xử lý dữ liệu cá nhân, đánh giá việc chuyển dữ liệu ra nước ngoài (nếu có) theo quy định pháp luật, đồng thời hợp tác cung cấp cho 1Office các thông tin, tài liệu và chỉ dẫn cần thiết trong phạm vi liên quan đến dịch vụ.

ĐIỀU 6.SỰ CỐ VÀ THÔNG BÁO VI PHẠM DỮ LIỆU

  • 1Office phải thông báo bằng văn bản cho Khách hàng một cách nhanh nhất có thể khi nhận thấy có sự vi phạm quy định về bảo vệ Dữ liệu cá nhân và phối hợp thực hiện các thủ tục thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân.

Thông báo văn bản bao gồm, trong phạm vi có thể: mô tả sự cố, nhóm dữ liệu bị ảnh hưởng, quy mô ước tính, nguy cơ đối với quyền lợi của chủ thể dữ liệu, biện pháp đã áp dụng/đề xuất, thông tin đầu mối liên hệ.

ĐIỀU 7.LƯU TRỮ, XUẤT DỮ LIỆU VÀ XÓA/ẨN DANH

  • Trong thời gian hiệu lực Hợp đồng, Khách hàng có quyền yêu cầu xuất dữ liệu theo định dạng hỗ trợ bởi hệ thống, trên cơ sở bảo đảm an toàn và chi phí hợp lý.
  • Khi chấm dứt Hợp đồng, 1Office duy trì dữ liệu của Khách hàng trên hệ thống tối đa 30 ( ba mươi) ngày theo thỏa thuận tại Hợp đồng để phục vụ việc bàn giao. Trong thời hạn này, Khách hàng có quyền yêu cầu xuất dữ liệu. Hết thời hạn trên, 1Office xóa/ẩn danh dữ liệu theo quy trình nội bộ trừ về lưu trữ và bảo vệ dữ liệu, trừ trường hợp pháp luật hoặc cơ quan nhà nước có thẩm quyền yêu cầu 1Office phải lưu giữ lâu hơn.

Sau khi hoàn tất việc xóa hoặc ẩn danh dữ liệu theo khoản 7.2, 1Office sẽ xác nhận cho Khách hàng bằng văn bản hoặc hình thức điện tử tương đương, nêu rõ thời điểm hoàn tất việc xóa/ẩn danh và phạm vi dữ liệu đã xử lý.

ĐIỀU 8.TIẾT LỘ THEO YÊU CẦU CƠ QUAN NHÀ NƯỚC

  • Trường hợp 1Office nhận được yêu cầu bằng văn bản từ cơ quan nhà nước có thẩm quyền liên quan đến dữ liệu hoặc thông tin của Khách hàng, 1Office trong phạm vi pháp luật cho phép sẽ thông báo bằng văn bản cho Khách hàng trong thời gian sớm nhất có thể và cung cấp thông tin về nội dung, phạm vi yêu cầu. 1Office chỉ tiết lộ thông tin, dữ liệu trong phạm vi tối thiểu cần thiết để tuân thủ yêu cầu đó và quy định pháp luật có liên quan.

Các Bên phối hợp trong việc xử lý yêu cầu của cơ quan nhà nước có thẩm quyền, bao gồm nhưng không giới hạn ở việc trao đổi thông tin, tài liệu cần thiết, nhằm bảo đảm tuân thủ quy định pháp luật và bảo vệ tối đa quyền và lợi ích hợp pháp của Khách hàng và chủ thể dữ liệu. Trường hợp pháp luật yêu cầu 1Office không được phép thông báo cho Khách hàng (ví dụ: yêu cầu mật, yêu cầu phục vụ điều tra), 1Office được miễn nghĩa vụ thông báo nêu tại khoản 8.1 cho đến khi có thông báo tiếp theo từ cơ quan nhà nước.

ĐIỀU 9.CHẾ TÀI, TRÁCH NHIỆM VÀ GIỚI HẠN

  • Nghĩa vụ bảo mật thông tin, bảo vệ dữ liệu cá nhân và chế tài đối với hành vi vi phạm nghĩa vụ bảo mật, vi phạm quy định về bảo vệ dữ liệu cá nhân của mỗi Bên được áp dụng theo điều khoản bảo mật của Hợp đồng, Thỏa thuận Bảo mật thông tin, Phụ lục này và các quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Mọi biện pháp xử lý nội bộ, yêu cầu bồi thường thiệt hại hoặc xử phạt vi phạm (nếu có) đều được thực hiện trên cơ sở lỗi, mức độ vi phạm và thiệt hại thực tế phát sinh.

Các Bên phối hợp khắc phục, giảm thiểu thiệt hại và thực hiện nghĩa vụ bồi thường (nếu có) theo thỏa thuận trên tinh thần hợp tác và các quy định pháp luật hiện hành.

ĐIỀU 10.HIỆU LỰC VÀ ÁP DỤNG

  • Phụ lục này có hiệu lực kể từ ngày ký và là một phần không thể tách rời của Hợp Đồng và có hiệu lực trong thời gian hiệu lực của Hợp Đồng, ngoại trừ trường hợp các Bên có thỏa thuận khác.
  • Hai Bên cam kết thực hiện đúng và đủ nghĩa vụ của mình theo các điều khoản của Phụ lục này và theo quy định tại Nghị định 13/2023/NĐ-CP ký ngày 17/04/2023 (“Nghị Định 13”) của Chính phủ và các văn bản quy định sửa đổi Nghị định 13 về việc bảo vệ dữ liệu cá nhân đối với Hợp đồng được Hai Bên ký kết bao gồm nhưng không giới hạn các Hợp đồng đã, đang và sẽ ký kết trong tương lai.
  • Các nội dung không được đề cập tại Phụ lục này sẽ áp dụng theo quy định tại Hợp Đồng.
  • Phụ lục này được lập thành 02 (hai) bản Tiếng Việt có giá trị pháp lý ngang nhau, mỗi Bên giữ 01 (một) bản.