Thỏa thuận Xử lý Dữ liệu

Thỏa thuận Xử lý Dữ liệu này ("DPA") được ký kết giữa thực thể được xác định là Bên Kiểm soát trong đơn đặt hàng hoặc thỏa thuận dịch vụ áp dụng ("Bên Kiểm soát") và PZX (CNPJ: 62.054.402/0001-26), có trụ sở chính tại Bang São Paulo, Brazil ("Bên Vận hành"), và là một phần của thỏa thuận điều chỉnh việc sử dụng Konn ("Thỏa thuận").

1. Định nghĩa

"Dữ liệu Cá nhân" có nghĩa là bất kỳ thông tin nào liên quan đến một cá nhân được xác định hoặc có thể xác định được, theo định nghĩa của Luật Bảo vệ Dữ liệu Tổng quát Brazil (LGPD, Luật số 13.709/2018).

"Xử lý" có nghĩa là bất kỳ thao tác nào được thực hiện trên Dữ liệu Cá nhân, bao gồm thu thập, lưu trữ, sử dụng, truy cập, truyền tải và xóa.

"Bên Kiểm soát" có nghĩa là cá nhân hoặc pháp nhân có thẩm quyền quyết định về việc Xử lý Dữ liệu Cá nhân.

"Bên Vận hành" có nghĩa là cá nhân hoặc pháp nhân xử lý Dữ liệu Cá nhân thay mặt cho Bên Kiểm soát, theo hướng dẫn của Bên Kiểm soát.

"Chủ thể Dữ liệu" có nghĩa là cá nhân mà Dữ liệu Cá nhân có liên quan đến.

"Bên Vận hành Phụ" có nghĩa là bất kỳ bên thứ ba nào được Bên Vận hành thuê để xử lý Dữ liệu Cá nhân thay mặt cho Bên Kiểm soát.

"Dịch vụ" có nghĩa là nền tảng Konn và bất kỳ tính năng liên quan nào được PZX cung cấp theo Thỏa thuận.

2. Phạm vi và Mối quan hệ

DPA này điều chỉnh việc xử lý Dữ liệu Cá nhân bởi PZX với tư cách là Bên Vận hành, thay mặt cho Bên Kiểm soát, liên quan đến việc cung cấp Dịch vụ.

Bên Kiểm soát xác định mục đích và phương tiện xử lý. PZX xử lý Dữ liệu Cá nhân chỉ để cung cấp và vận hành Dịch vụ, theo hướng dẫn của Bên Kiểm soát như được quy định trong DPA này và Thỏa thuận.

3. Bản chất, Mục đích và Thời hạn Xử lý

Bản chất: lưu trữ, tổ chức, lập chỉ mục, xử lý ngữ nghĩa, truy xuất và hiển thị nội dung do Bên Kiểm soát và những người dùng được ủy quyền của mình cung cấp.

Mục đích: cung cấp nền tảng Konn, bao gồm quản lý tài liệu, đồ thị tri thức, tìm kiếm ngữ nghĩa và các tính năng theo ngữ cảnh được hỗ trợ bởi AI.

Thời hạn: trong thời hạn của Thỏa thuận. Khi chấm dứt, các quy định của Mục 12 sẽ áp dụng.

4. Các loại Dữ liệu Cá nhân và Chủ thể Dữ liệu

Các loại Dữ liệu Cá nhân được xử lý theo DPA này phụ thuộc vào nội dung do Bên Kiểm soát cung cấp. Có thể bao gồm, nhưng không giới hạn ở:

• Dữ liệu nhận dạng và liên hệ: tên, địa chỉ email và thông tin nghề nghiệp của người dùng của Bên Kiểm soát và bất kỳ cá nhân nào được đề cập trong nội dung đã tải lên;

• Dữ liệu tổ chức: cấu trúc nhóm, vai trò và truyền thông nội bộ;

• Dữ liệu nội dung: tài liệu, ghi chú và các mục tri thức có thể chứa Dữ liệu Cá nhân về nhân viên, khách hàng hoặc bên thứ ba của Bên Kiểm soát.

Bên Kiểm soát thừa nhận rằng PZX không thể kiểm soát hoặc dự đoán các loại Dữ liệu Cá nhân chứa trong nội dung được tải lên Dịch vụ. Bên Kiểm soát chịu trách nhiệm đảm bảo rằng tất cả Dữ liệu Cá nhân được cung cấp cho Dịch vụ có cơ sở pháp lý hợp lệ để xử lý theo luật áp dụng.

Các Chủ thể Dữ liệu chủ yếu là nhân viên và người dùng được ủy quyền của Bên Kiểm soát, và có khả năng là các bên thứ ba có dữ liệu xuất hiện trong nội dung được Bên Kiểm soát tải lên.

5. Nghĩa vụ của Bên Vận hành

PZX, với tư cách là Bên Vận hành, sẽ:

5.1 Tuân theo hướng dẫn: chỉ xử lý Dữ liệu Cá nhân theo hướng dẫn được lập thành văn bản của Bên Kiểm soát, trừ khi luật áp dụng yêu cầu khác. PZX sẽ thông báo cho Bên Kiểm soát nếu cho rằng một hướng dẫn vi phạm luật áp dụng, trước khi tiến hành.

5.2 Bảo mật: đảm bảo rằng nhân viên được ủy quyền xử lý Dữ liệu Cá nhân bị ràng buộc bởi các nghĩa vụ bảo mật.

5.3 An ninh: triển khai và duy trì các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ Dữ liệu Cá nhân, như được mô tả trong Mục 8.

5.4 Bên Vận hành Phụ: chỉ thuê Bên Vận hành Phụ theo Mục 7.

5.5 Quyền của Chủ thể Dữ liệu: hỗ trợ Bên Kiểm soát trong việc phản hồi các yêu cầu về quyền của Chủ thể Dữ liệu, như được mô tả trong Mục 9.

5.6 Xóa bỏ: xóa hoặc trả lại Dữ liệu Cá nhân khi chấm dứt, như được mô tả trong Mục 12.

5.7 Kiểm toán: cung cấp thông tin cần thiết để chứng minh việc tuân thủ DPA này, như được mô tả trong Mục 11.

5.8 Thông báo sự cố: thông báo cho Bên Kiểm soát không chậm trễ vô lý, và không muộn hơn 72 giờ sau khi nhận biết, về bất kỳ sự cố an ninh đã được xác nhận nào liên quan đến Dữ liệu Cá nhân được xử lý theo DPA này. Thông báo sẽ bao gồm bản chất của sự cố, các loại và số lượng gần đúng các Chủ thể Dữ liệu bị ảnh hưởng, hậu quả có thể xảy ra và các biện pháp đã thực hiện hoặc đề xuất.

6. Nghĩa vụ của Bên Kiểm soát

Bên Kiểm soát sẽ:

6.1 Cơ sở pháp lý: đảm bảo rằng tất cả Dữ liệu Cá nhân được cung cấp cho Dịch vụ có cơ sở pháp lý hợp lệ để xử lý theo luật áp dụng, bao gồm dữ liệu về bên thứ ba được tải lên như một phần của tài liệu hoặc nội dung tri thức.

6.2 Tính chính xác: cung cấp hướng dẫn chính xác và cập nhật và đảm bảo rằng Dữ liệu Cá nhân được cung cấp là phù hợp và liên quan đến mục đích dự định.

6.3 Quyền của Chủ thể Dữ liệu: xử lý các yêu cầu của Chủ thể Dữ liệu được gửi đến Bên Kiểm soát và phối hợp với PZX khi cần sự hỗ trợ của Bên Vận hành.

6.4 Tuân thủ: tuân thủ tất cả các luật bảo vệ dữ liệu áp dụng với tư cách là Bên Kiểm soát, bao gồm việc lấy bất kỳ sự đồng ý cần thiết nào từ các Chủ thể Dữ liệu.

7. Bên Vận hành Phụ

7.1 Các Bên Vận hành Phụ hiện tại

Bên Kiểm soát ủy quyền cho PZX thuê các Bên Vận hành Phụ sau đây liên quan đến Dịch vụ:

7.2 Bên Vận hành Phụ trong tương lai

PZX có thể thuê thêm các nhà cung cấp mô hình AI (bao gồm, nhưng không giới hạn, các nhà cung cấp dịch vụ sắp xếp lại, nhúng hoặc xử lý âm thanh) khi Dịch vụ phát triển. PZX sẽ thông báo cho Bên Kiểm soát về bất kỳ việc thêm hoặc thay thế dự định nào của Bên Vận hành Phụ ít nhất 30 ngày trước.

Bên Kiểm soát có thể phản đối một Bên Vận hành Phụ mới trên cơ sở bảo vệ dữ liệu hợp lý bằng cách thông báo cho PZX bằng văn bản trong vòng 15 ngày kể từ khi nhận được thông báo. Nếu các bên không thể giải quyết phản đối, Bên Kiểm soát có thể chấm dứt Thỏa thuận mà không bị phạt, với thông báo bằng văn bản 30 ngày.

7.3 Nghĩa vụ của Bên Vận hành Phụ

PZX sẽ áp đặt các nghĩa vụ bảo vệ dữ liệu cho tất cả các Bên Vận hành Phụ tương đương với những nghĩa vụ được quy định trong DPA này. PZX vẫn chịu trách nhiệm trước Bên Kiểm soát về việc thực hiện nghĩa vụ của các Bên Vận hành Phụ.

8. Các biện pháp an ninh

PZX triển khai các biện pháp kỹ thuật và tổ chức sau đây để bảo vệ Dữ liệu Cá nhân:

• Mã hóa dữ liệu khi truyền tải (TLS) và khi lưu trữ;

• Cách ly tenant: dữ liệu của mỗi Bên Kiểm soát được tách biệt logic với các tenant khác;

• Kiểm soát truy cập dựa trên vai trò giới hạn quyền truy cập cho nhân viên được ủy quyền;

• Giám sát và ghi nhật ký an ninh;

• Đánh giá truy cập định kỳ.

PZX có thể cập nhật các biện pháp này theo thời gian, với điều kiện các bản cập nhật không làm giảm đáng kể mức độ bảo vệ tổng thể.

9. Quyền của Chủ thể Dữ liệu

PZX sẽ hỗ trợ Bên Kiểm soát trong việc thực hiện các nghĩa vụ của mình để đáp ứng các yêu cầu về quyền của Chủ thể Dữ liệu theo luật áp dụng, bao gồm các yêu cầu về truy cập, sửa chữa, xóa, di chuyển dữ liệu và phản đối.

Bên Kiểm soát chịu trách nhiệm nhận và đánh giá ban đầu các yêu cầu của Chủ thể Dữ liệu. Khi việc thực hiện một yêu cầu cần hành động từ PZX, Bên Kiểm soát sẽ gửi yêu cầu đến PZX qua kênh liên hệ trong Mục 13. PZX sẽ phản hồi trong vòng 15 ngày làm việc.

10. Truyền dữ liệu quốc tế

Dữ liệu Cá nhân được xử lý theo DPA này có thể được truyền và xử lý ở các quốc gia ngoài Brazil, bao gồm Hoa Kỳ, nơi các Bên Vận hành Phụ của PZX hoạt động. Các chuyển giao như vậy được thực hiện dựa trên các biện pháp bảo vệ hợp đồng đầy đủ theo Điều 33 của LGPD.

Đối với các Bên Kiểm soát thuộc phạm vi điều chỉnh của GDPR, các chuyển giao đến các Bên Vận hành Phụ ngoài Khu vực Kinh tế Châu Âu được điều chỉnh bởi các cơ chế chuyển giao áp dụng, bao gồm các Điều khoản Hợp đồng Tiêu chuẩn khi cần thiết.

11. Quyền kiểm toán

Theo yêu cầu bằng văn bản của Bên Kiểm soát, PZX sẽ cung cấp thông tin cần thiết một cách hợp lý để chứng minh sự tuân thủ DPA này. PZX có thể thực hiện nghĩa vụ này bằng cách cung cấp các chứng nhận cập nhật, tài liệu an ninh hoặc báo cáo kiểm toán tóm tắt.

Bên Kiểm soát có thể yêu cầu một cuộc kiểm toán tại chỗ không quá một lần mỗi năm dương lịch, với thông báo bằng văn bản ít nhất 30 ngày và tự chi trả chi phí. Bất kỳ cuộc kiểm toán nào phải được thực hiện theo cách không làm gián đoạn hoạt động của PZX hoặc làm tổn hại đến an ninh hoặc tính bảo mật của dữ liệu của các khách hàng khác.

12. Thời hạn, Chấm dứt và Xóa dữ liệu

DPA này vẫn có hiệu lực trong suốt thời hạn của Thỏa thuận.

Khi chấm dứt hoặc hết hạn Thỏa thuận:

• Bên Kiểm soát sẽ có 30 ngày để xuất dữ liệu của mình khỏi Dịch vụ;

• Sau khoảng thời gian này, PZX sẽ xóa tất cả Dữ liệu Cá nhân được xử lý theo DPA này trong vòng 30 ngày, bao gồm các bản sao do các Bên Vận hành Phụ nắm giữ, nơi khả thi về mặt kỹ thuật;

• PZX sẽ cung cấp xác nhận bằng văn bản về việc xóa theo yêu cầu của Bên Kiểm soát;

• PZX có thể lưu giữ Dữ liệu Cá nhân vượt quá thời gian này chỉ trong phạm vi luật áp dụng yêu cầu, trong trường hợp đó dữ liệu sẽ tiếp tục tuân theo các nghĩa vụ bảo mật của DPA này.

13. Trách nhiệm

Trách nhiệm của mỗi bên theo DPA này tuân theo các giới hạn được nêu trong Thỏa thuận. Không có điều gì trong DPA này giới hạn trách nhiệm của bất kỳ bên nào đối với các nghĩa vụ không thể bị loại trừ hoặc giới hạn theo luật bảo vệ dữ liệu áp dụng.

14. Luật áp dụng

DPA này được điều chỉnh bởi luật của Cộng hòa Liên bang Brazil, đặc biệt là LGPD (Luật số 13.709/2018). Bất kỳ tranh chấp nào phát sinh từ DPA này mà không thể được giải quyết một cách thân thiện sẽ được đệ trình lên các tòa án của Quận São Paulo, Bang São Paulo.

15. Liên hệ

Đối với các vấn đề liên quan đến DPA này, các yêu cầu về quyền của chủ thể dữ liệu hoặc sự cố an ninh:

• Email: [email protected]

• Trang web: pzx.app

Nhân viên Bảo vệ Dữ liệu:

• Tên: Filipe Albuquerque Brauns Cazelgrandi

• Email: [email protected]

Phụ lục A, Chi tiết Xử lý

Phụ lục này bổ sung cho Mục 3 và có thể được cập nhật bằng thỏa thuận bằng văn bản chung để phản ánh những thay đổi trong Dịch vụ.