1. Các bên
Thỏa thuận này được ký kết giữa Kwamle Media (“Bên xử lý”) và Khách hàng (“Bên kiểm soát”) sử dụng nền tảng kwamlemedia.com / app.kwamlemedia.com.
2. Định nghĩa
- “Dữ liệu cá nhân”: bất kỳ thông tin nào liên quan đến một cá nhân có thể nhận dạng.
- “Xử lý”: bất kỳ thao tác nào được thực hiện trên dữ liệu cá nhân (thu thập, lưu trữ, sử dụng, chuyển giao, xóa).
- “GDPR”: Quy định bảo vệ dữ liệu chung của EU (Quy định 2016/679).
- “CCPA”: Đạo luật về quyền riêng tư của người tiêu dùng California.
- “Bên xử lý phụ”: bất kỳ bên thứ ba nào xử lý dữ liệu thay mặt Kwamle.
3. Phạm vi xử lý
Kwamle xử lý dữ liệu cá nhân cho các mục đích sau:
- Vận hành dịch vụ tự động hóa tiếp thị và bot thông minh.
- Quản lý trang và tài khoản Meta và tương tác với đối tượng của khách hàng.
- Tạo phân tích và thống kê.
- Thực hiện các lệnh gọi AI theo cài đặt của khách hàng.
Dữ liệu bao gồm: tên, số điện thoại, địa chỉ email, mã định danh Facebook/Instagram, nội dung tin nhắn và bình luận.
4. Nghĩa vụ của Kwamle với tư cách bên xử lý
- Chỉ xử lý dữ liệu theo hướng dẫn được ghi nhận của khách hàng.
- Đảm bảo tính bảo mật của dữ liệu giữa tất cả nhân viên có quyền truy cập.
- Áp dụng các biện pháp bảo mật phù hợp (Điều 32 của GDPR).
- Hỗ trợ khách hàng phản hồi các yêu cầu của chủ thể dữ liệu.
- Thông báo cho khách hàng về bất kỳ vi phạm dữ liệu nào trong vòng 72 giờ.
- Không thuê bên xử lý phụ mà không có sự đồng ý của khách hàng.
- Xóa hoặc trả lại dữ liệu của khách hàng khi dịch vụ kết thúc.
5. Biện pháp bảo mật
- Mã hóa dữ liệu khi truyền (TLS 1.3) và khi lưu (AES-256).
- Kiểm soát truy cập theo vai trò (RBAC) và nguyên tắc đặc quyền tối thiểu.
- Nhật ký kiểm toán được giữ trong 12 tháng.
- Kiểm thử xâm nhập hằng năm bởi bên thứ ba.
- Xác thực hai yếu tố cho nhân viên trên hệ thống sản xuất.
- Sao lưu được mã hóa mỗi 24 giờ tại một vị trí địa lý khác.
- Một chương trình quản lý lỗ hổng cùng với các bản cập nhật bảo mật ngay lập tức.
6. Bên xử lý phụ hiện tại
| Bên xử lý | Mục đích | Vị trí |
|---|---|---|
| DigitalOcean | Lưu trữ hạ tầng | Amsterdam, Frankfurt |
| Cloudflare | CDN, bảo vệ DDoS | Toàn cầu (Mạng Edge) |
| OpenAI | Mô hình AI (tùy chọn) | Hoa Kỳ |
| Google (Gemini) | Mô hình AI (tùy chọn) | Toàn cầu |
| Anthropic | Mô hình AI (tùy chọn) | Hoa Kỳ |
| Stripe | Xử lý thanh toán | Hoa Kỳ, Ireland |
| Paymob | Xử lý thanh toán (Ai Cập) | Cairo |
| Postmark | Gửi email | Hoa Kỳ |
Khách hàng có thể phản đối việc thêm bên xử lý phụ mới trong vòng 30 ngày kể từ khi được thông báo.
7. Chuyển dữ liệu quốc tế
Khi chuyển dữ liệu ra ngoài Khu vực Kinh tế Châu Âu, chúng tôi dựa vào:
- Các Điều khoản hợp đồng tiêu chuẩn mới (SCC 2021).
- Quyết định đầy đủ cho các quốc gia được Ủy ban Châu Âu phê duyệt.
- Một Đánh giá tác động chuyển giao (TIA) cho mỗi mối quan hệ với bên xử lý phụ.
8. Vi phạm dữ liệu
Khi phát hiện vi phạm:
- Thông báo cho khách hàng trong vòng 72 giờ với chi tiết sự cố.
- Cung cấp báo cáo toàn diện về nguyên nhân, phạm vi và các hành động đã thực hiện.
- Hợp tác đầy đủ trong việc ứng phó và báo cáo cho cơ quan quản lý.
9. Quyền kiểm toán
Khách hàng có quyền:
- Yêu cầu báo cáo SOC 2 Type II hằng năm.
- Tiến hành kiểm toán hằng năm với thông báo trước 30 ngày, bằng chi phí của họ.
- Nhận kết quả tóm tắt của các bài kiểm thử xâm nhập.
10. Xóa dữ liệu khi kết thúc dịch vụ
- Khi chấm dứt thỏa thuận, Kwamle xóa toàn bộ dữ liệu cá nhân trong vòng 90 ngày.
- Hồ sơ thanh toán được giữ trong 7 năm (yêu cầu kế toán).
- Theo yêu cầu, khách hàng được cung cấp bản sao dữ liệu của họ ở định dạng JSON/CSV trước khi xóa.
Sẵn sàng ký?
Liên hệ đội ngũ pháp lý của chúng tôi để nhận DPA đã ký cho tổ chức của bạn.