quay lại mục Pháp lý

Thỏa thuận Xử lý Dữ liệu

Cập nhật lần cuối:
2024-11-21

Thỏa thuận Xử lý Dữ liệu (DPA) của Botpress

Thỏa thuận DPA này bổ sung và là một phần không thể tách rời của hợp đồng giữa tổ chức thuộc nhóm Botpress được xác định trong Điều khoản Dịch vụ và Khách hàng. DPA này có hiệu lực khi được dẫn chiếu vào hợp đồng đó.

1. Định nghĩa

1.a Các thuật ngữ viết hoa chưa được định nghĩa ở đây sẽ mang ý nghĩa như trong Hợp đồng.

1.b Trong DPA này:

(a) “Hợp đồng” có ý nghĩa như được nêu trong Điều khoản Dịch vụ.

(b) “Nhóm Botpress” nghĩa là Botpress và các công ty liên kết của nó.

(c) “Thông tin Cá nhân California” là Dữ liệu Cá nhân thuộc phạm vi bảo vệ của CCPA.

(d) “Luật Bảo vệ Dữ liệu Canada” là Đạo luật Bảo vệ Thông tin Cá nhân và Tài liệu Điện tử, SC 2000, c 5 và Đạo luật về bảo vệ thông tin cá nhân trong khu vực tư nhân, CQLR c P-39.1, có thể được sửa đổi, thay thế hoặc cập nhật.

(e) “CCPA” là Bộ luật Dân sự California Mục 1798.100 trở đi (còn gọi là Đạo luật Quyền riêng tư Người tiêu dùng California 2018).

(f) “Người tiêu dùng”, “Doanh nghiệp”, “Bán” và “Nhà cung cấp dịch vụ” sẽ mang ý nghĩa như trong CCPA.

(g) “Bên kiểm soát” là bất kỳ Cá nhân hoặc tổ chức nào, một mình hoặc cùng với bên khác, quyết định mục đích và phương thức Xử lý Dữ liệu Cá nhân.

(h) “Luật Bảo vệ Dữ liệu” là tất cả các quy định pháp luật về bảo vệ dữ liệu và quyền riêng tư áp dụng trên toàn thế giới đối với một bên của DPA này, bao gồm nhưng không giới hạn các Luật Bảo vệ Dữ liệu Châu Âu, Luật Bảo vệ Dữ liệu Canada và CCPA, được sửa đổi, bãi bỏ, hợp nhất hoặc thay thế theo thời gian.

(i) “Đối tượng Dữ liệu” là cá nhân mà Dữ liệu Cá nhân liên quan đến.

(j) “Châu Âu” là Liên minh Châu Âu, Khu vực Kinh tế Châu Âu và/hoặc các quốc gia thành viên, Thụy Sĩ và Vương quốc Anh.

(k) “Luật Bảo vệ Dữ liệu Châu Âu” là các luật bảo vệ dữ liệu áp dụng tại Châu Âu, có thể được sửa đổi, thay thế hoặc cập nhật.

(l) “Dữ liệu Châu Âu” là Dữ liệu Cá nhân thuộc phạm vi bảo vệ của Luật Bảo vệ Dữ liệu Châu Âu.

(m) “Đơn vị liên kết được phép” là bất kỳ Đơn vị liên kết Khách hàng nào (i) được phép sử dụng Dịch vụ Phần mềm theo Hợp đồng, (ii) đủ điều kiện là Bên kiểm soát Dữ liệu Cá nhân được Botpress Xử lý, và (iii) chịu sự điều chỉnh của Luật Bảo vệ Dữ liệu Châu Âu.

(n) “Người” được hiểu rộng, bao gồm bất kỳ cá nhân, công ty, công ty trách nhiệm hữu hạn, công ty hợp danh hữu hạn, công ty, hiệp hội, quan hệ đối tác, quỹ tín thác hoặc di sản, liên doanh, cơ quan chính phủ hoặc đơn vị chính trị của cơ quan đó, hoặc bất kỳ tổ chức nào khác.

(o) “Dữ liệu Cá nhân” là bất kỳ thông tin nào liên quan đến một cá nhân đã được nhận diện hoặc có thể nhận diện.

(p) “Xử lý” hoặc “Xử lý” là bất kỳ thao tác hoặc tập hợp thao tác nào được thực hiện bởi Bên xử lý đối với Dữ liệu Cá nhân, dù có sử dụng phương tiện tự động hay không;

(q) “Bên xử lý” là Cá nhân hoặc tổ chức Xử lý Dữ liệu Cá nhân thay mặt cho Bên kiểm soát.

(r) “Cơ quan quản lý” là, tùy trường hợp, bất kỳ Cá nhân, tổ chức thực thi pháp luật hoặc cơ quan nào có thẩm quyền quản lý, giám sát hoặc chính phủ (dù theo quy định pháp luật hay không) đối với toàn bộ hoặc một phần hoạt động Xử lý Dữ liệu Cá nhân liên quan đến việc cung cấp hoặc nhận Dịch vụ, bao gồm nhưng không giới hạn các cơ quan giám sát bảo vệ dữ liệu Châu Âu;

(s) “Sự cố An ninh” là sự cố vi phạm an ninh dẫn đến việc phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập trái phép vào Dữ liệu Cá nhân được truyền, lưu trữ hoặc Xử lý bởi Botpress và/hoặc các Bên xử lý phụ liên quan đến việc cung cấp Dịch vụ, không bao gồm các sự kiện không làm ảnh hưởng đến an ninh Dữ liệu Cá nhân, như đăng nhập không thành công, ping, quét cổng, tấn công từ chối dịch vụ và các tấn công mạng khác vào tường lửa hoặc hệ thống mạng.

(t) “Dịch vụ” là Dịch vụ Phần mềm hoặc Dịch vụ Chuyên nghiệp do bất kỳ tổ chức nào thuộc Nhóm Botpress cung cấp cho Khách hàng hoặc các Đơn vị liên kết của họ.

(u) “Điều khoản Hợp đồng Chuẩn” là các điều khoản hợp đồng chuẩn được đính kèm theo Quyết định (EU) 2021/914 ngày 4 tháng 6 năm 2021 của Ủy ban Châu Âu; có thể được sửa đổi, thay thế hoặc bị thay thế.

(v) “Bên xử lý phụ” là bất kỳ Bên xử lý nào được Botpress hoặc các Đơn vị liên kết của Botpress thuê để hỗ trợ thực hiện các nghĩa vụ của Botpress liên quan đến việc cung cấp Dịch vụ theo Hợp đồng. Bên xử lý phụ có thể bao gồm bên thứ ba hoặc Đơn vị liên kết của Botpress nhưng không bao gồm cá nhân được Botpress tuyển dụng hoặc thuê.

(w) “Quốc gia thứ ba” là khu vực pháp lý hoặc đối tượng: (i) không được Ủy ban Châu Âu công nhận là cung cấp mức độ bảo vệ dữ liệu cá nhân đầy đủ; và (ii) không thuộc khuôn khổ phù hợp được cơ quan hoặc tòa án có thẩm quyền công nhận là đảm bảo mức độ bảo vệ dữ liệu cá nhân đầy đủ;

(x) “Dữ liệu Sử dụng” là dữ liệu liên quan đến việc sử dụng Phần mềm của Người dùng được ủy quyền, có thể chứa Dữ liệu Cá nhân khi cần xác định người dùng, nhưng không bao gồm Dữ liệu Hội thoại. Dữ liệu Sử dụng có thể bao gồm Dữ liệu Cá nhân về nhân viên và nhà thầu của Khách hàng nhưng không bao gồm người dùng cuối tương tác với Bot của Khách hàng.

2. Vai trò của các bên

2.a Khi Xử lý Dữ liệu Hội thoại thông qua Dịch vụ, các bên xác nhận và đồng ý rằng Khách hàng là Bên kiểm soát và Botpress là Bên xử lý.

2.b Nếu Khách hàng là Bên xử lý thay mặt cho Bên kiểm soát, Botpress sẽ được coi là bên xử lý phụ của Khách hàng.

2.c Botpress sẽ là Bên kiểm soát đối với Dữ liệu Sử dụng.

3. Tuân thủ Luật Bảo vệ Dữ liệu

3.a Mỗi bên sẽ thực hiện bất kỳ hoạt động xử lý Dữ liệu Cá nhân nào phù hợp với tất cả các Luật Bảo vệ Dữ liệu áp dụng.

3.b Botpress không chịu trách nhiệm tuân thủ bất kỳ Luật Bảo vệ Dữ liệu nào áp dụng cho Khách hàng hoặc ngành nghề của Khách hàng mà không áp dụng chung cho Botpress.

3.c Nếu Botpress nhận thấy không thể Xử lý Dữ liệu Cá nhân theo hướng dẫn của Khách hàng do yêu cầu pháp lý theo luật áp dụng, Botpress sẽ (i) thông báo ngay cho Khách hàng về yêu cầu pháp lý đó trong phạm vi luật cho phép; và (ii) khi cần thiết, dừng mọi hoạt động Xử lý (ngoài việc chỉ lưu trữ và duy trì an ninh cho Dữ liệu Cá nhân bị ảnh hưởng) cho đến khi Khách hàng đưa ra hướng dẫn mới phù hợp với luật áp dụng. Nếu điều khoản này được áp dụng, Botpress sẽ không chịu trách nhiệm với Khách hàng theo Hợp đồng về việc không thực hiện Dịch vụ Phần mềm hoặc Dịch vụ Chuyên nghiệp liên quan cho đến khi Botpress xác định hợp lý rằng hướng dẫn của Khách hàng là hợp pháp.

4. Nghĩa vụ của Botpress

4.a Botpress chỉ Xử lý Dữ liệu Cá nhân cho các mục đích được mô tả trong DPA này hoặc theo thỏa thuận khác trong phạm vi hướng dẫn hợp pháp nhận được từ Khách hàng, trừ khi và trong phạm vi pháp luật áp dụng yêu cầu khác.

4.b Botpress sẽ triển khai và duy trì các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ Dữ liệu Cá nhân khỏi các Sự cố An ninh, bao gồm như mô tả tại Phụ lục 2 của DPA này (“Biện pháp An ninh”). Botpress có thể sửa đổi hoặc cập nhật các Biện pháp An ninh theo quyết định của mình miễn là việc sửa đổi hoặc cập nhật đó không làm giảm đáng kể mức độ bảo vệ do các Biện pháp An ninh cung cấp.

4.c Botpress sẽ coi Dữ liệu Cá nhân là thông tin bảo mật của Khách hàng và đảm bảo rằng bất kỳ nhân viên hoặc nhà thầu nào được phép truy cập hoặc Xử lý Dữ liệu Cá nhân đều phải chịu các nghĩa vụ bảo mật phù hợp (dù theo hợp đồng hay theo luật định) đối với Dữ liệu Cá nhân đó.

4.d Botpress sẽ xóa hoặc trả lại tất cả Dữ liệu Cá nhân được Xử lý theo DPA này khi chấm dứt hoặc hết hạn Thỏa thuận. Botpress có thể giữ lại các bản sao của Dữ liệu Cá nhân nếu pháp luật hiện hành yêu cầu, hoặc khi Dữ liệu Cá nhân đã được lưu trữ trong hệ thống sao lưu, các dữ liệu này sẽ được cách ly an toàn và bảo vệ khỏi bất kỳ hoạt động Xử lý nào tiếp theo và sẽ bị xóa theo quy trình xóa dữ liệu áp dụng.

5. Nghĩa vụ của Khách hàng

5.a Khách hàng có trách nhiệm đảm bảo việc sử dụng Dịch vụ Phần mềm hoặc Phần mềm tuân thủ tất cả các Luật Bảo vệ Dữ liệu hiện hành, bao gồm việc đảm bảo rằng (i) Khách hàng được phép chỉ định Botpress Xử lý Dữ liệu Cá nhân thay mặt mình theo DPA này, (ii) Khách hàng có quyền chuyển giao hoặc cung cấp quyền truy cập Dữ liệu Cá nhân cho Botpress để Xử lý theo các điều khoản của Thỏa thuận (bao gồm DPA này), (iii) đảm bảo rằng các chỉ dẫn của Khách hàng liên quan đến việc Xử lý Dữ liệu Cá nhân tuân thủ pháp luật hiện hành, bao gồm Luật Bảo vệ Dữ liệu;

5.b Khách hàng phải thông báo kịp thời bằng văn bản cho Botpress nếu có lý do để tin rằng hoặc đã được thông báo rằng việc Xử lý Dữ liệu Cá nhân do Khách hàng thực hiện thông qua Dịch vụ có thể vi phạm pháp luật hiện hành, bao gồm Luật Bảo vệ Dữ liệu.

5.c Khách hàng chịu trách nhiệm xác định các biện pháp bảo mật do Botpress triển khai có đáp ứng đầy đủ nghĩa vụ của Khách hàng theo Luật Bảo vệ Dữ liệu hiện hành hay không. Khách hàng cũng chịu trách nhiệm đảm bảo quyền truy cập vào Dịch vụ Phần mềm được bảo mật và chỉ dành cho nhân sự được ủy quyền.

6. Sự cố An ninh

6.a Botpress sẽ thông báo kịp thời cho Khách hàng nếu phát hiện bất kỳ Sự cố Bảo mật nào và sẽ cung cấp thông tin liên quan đến Sự cố Bảo mật đó ngay khi có hoặc theo yêu cầu hợp lý của Khách hàng.

6.b Khi được yêu cầu, Botpress sẽ hỗ trợ hợp lý và kịp thời cho Khách hàng khi cần thiết để Khách hàng có thể thông báo về Sự cố Bảo mật cho Cơ quan Quản lý và/hoặc các Chủ thể Dữ liệu bị ảnh hưởng, nếu việc thông báo này là bắt buộc theo Luật Bảo vệ Dữ liệu.

7. Đơn vị Xử lý phụ

7.a Botpress có thể thuê các Đơn vị Xử lý phụ để Xử lý Dữ liệu Cá nhân. Danh sách các Đơn vị Xử lý phụ hiện tại được nêu tại Phụ lục 3, mọi thay đổi về Đơn vị Xử lý phụ sẽ được thông báo cho Khách hàng.

7.b Botpress lựa chọn các Đơn vị Xử lý phụ có cam kết bảo vệ dữ liệu ở mức tương đương hoặc cao hơn so với các điều khoản trong DPA này (bao gồm, nếu phù hợp, các Điều khoản Hợp đồng Tiêu chuẩn), trong phạm vi áp dụng cho loại dịch vụ mà Đơn vị Xử lý phụ cung cấp. Botpress vẫn chịu trách nhiệm về việc mỗi Đơn vị Xử lý phụ tuân thủ các nghĩa vụ của DPA này và về mọi hành động hoặc thiếu sót của Đơn vị Xử lý phụ gây ra vi phạm bất kỳ nghĩa vụ nào của Botpress theo DPA này.

7.c Nếu Botpress Xử lý Dữ liệu châu Âu thay mặt Khách hàng, Khách hàng có thể phản đối Đơn vị Xử lý phụ mới vì lý do hợp lý liên quan đến bảo vệ dữ liệu. Nếu nhận được thông báo phản đối, Botpress đồng ý thảo luận thiện chí để đạt được giải pháp hợp lý về mặt thương mại. Nếu không đạt được giải pháp, Botpress có thể chọn không bổ nhiệm Đơn vị Xử lý phụ mới hoặc cho phép Khách hàng chấm dứt đăng ký phần Dịch vụ Phần mềm phụ thuộc vào Đơn vị Xử lý phụ mới đó mà không chịu trách nhiệm với bất kỳ bên nào (nhưng không ảnh hưởng đến các khoản phí phát sinh trước khi chấm dứt).

7.d Nếu pháp luật hoặc theo các Điều khoản Hợp đồng Tiêu chuẩn yêu cầu, Botpress sẽ nỗ lực hợp lý để cung cấp cho Khách hàng các thông tin cần thiết về thỏa thuận giữa Botpress và Đơn vị Xử lý phụ. Khách hàng đồng ý rằng một số thông tin có thể bị lược bỏ hoặc chỉ cung cấp dưới dạng bảo mật.

8. Chuyển giao Dữ liệu Cá nhân

8.a Việc Xử lý Dữ liệu Cá nhân không phải Dữ liệu châu Âu bởi các thực thể trong Nhóm Botpress sẽ được thực hiện tại bất kỳ khu vực pháp lý nào mà pháp luật về Quyền riêng tư cho phép.

8.b Việc Xử lý Dữ liệu châu Âu chỉ được thực hiện:

a) Trong phạm vi châu Âu;

b) Tại khu vực pháp lý được Ủy ban châu Âu công nhận có mức bảo vệ phù hợp theo Luật Bảo vệ Dữ liệu áp dụng;

c) Tại bất kỳ khu vực pháp lý nào, bởi tổ chức hoặc đơn vị cung cấp các biện pháp bảo vệ phù hợp, bao gồm thông qua các Điều khoản Hợp đồng Tiêu chuẩn;

d) Tại bất kỳ khu vực pháp lý nào, với sự đồng ý bằng văn bản của Khách hàng hoặc Chủ thể Dữ liệu liên quan.

8.c Khi việc Xử lý Dữ liệu châu Âu diễn ra tại Quốc gia thứ ba, các bên được coi là đã ký kết các Điều khoản Hợp đồng Tiêu chuẩn chỉ đối với Dữ liệu Cá nhân liên quan và việc Xử lý liên quan. Các bên đồng ý rằng cho mục đích của các Điều khoản Hợp đồng Tiêu chuẩn:

a) Nếu Khách hàng là Bên kiểm soát và Botpress là Bên xử lý, sẽ áp dụng Mô-đun 2 (Bên kiểm soát sang Bên xử lý).

b) Nếu Khách hàng là Bên xử lý và Botpress là đơn vị xử lý phụ, sẽ áp dụng Mô-đun 3 (Bên xử lý sang đơn vị xử lý phụ).

c) Đối với Dữ liệu Sử dụng, sẽ áp dụng Mô-đun 1 (Bên kiểm soát sang Bên kiểm soát).

d) Tại Điều khoản 7 của Điều khoản Hợp đồng Tiêu chuẩn, điều khoản bổ sung tùy chọn sẽ không áp dụng;

e) Tại Điều khoản 9 của Điều khoản Hợp đồng Tiêu chuẩn, sẽ áp dụng Lựa chọn 2 và thời gian thông báo trước bằng văn bản về thay đổi đơn vị xử lý phụ là 10 ngày;

f) Tại Điều khoản 11 của Điều khoản Hợp đồng Tiêu chuẩn, ngôn ngữ tùy chọn sẽ không áp dụng;

g) Tại Điều khoản 17 (Lựa chọn 1), Điều khoản Hợp đồng Tiêu chuẩn sẽ tuân theo luật Ireland;

h) Tại Điều khoản 18(b) của Điều khoản Hợp đồng Tiêu chuẩn, tranh chấp sẽ được giải quyết tại tòa án Ireland;

i) Botpress sẽ là "bên nhập dữ liệu" và Khách hàng sẽ là "bên xuất dữ liệu" (thay mặt mình và các Đơn vị liên kết được phép);

j) Thông tin liên quan tại Phụ lục 1 và Phụ lục 2 của DPA này được coi là đã được bao gồm trong các Phụ lục của Điều khoản Hợp đồng Tiêu chuẩn;

k) Nếu và trong phạm vi Điều khoản Hợp đồng Tiêu chuẩn mâu thuẫn với bất kỳ điều khoản nào của DPA này, Điều khoản Hợp đồng Tiêu chuẩn sẽ được ưu tiên áp dụng trong phạm vi mâu thuẫn đó.

8.d Chuyển giao dữ liệu sang Thụy Sĩ và Vương quốc Anh. Trong phạm vi việc chuyển giao Dữ liệu Cá nhân giữa Khách hàng và Botpress và/hoặc Đơn vị Xử lý phụ chịu sự điều chỉnh của Luật Bảo vệ Dữ liệu Thụy Sĩ hoặc Vương quốc Anh, các Điều khoản Hợp đồng Tiêu chuẩn sẽ được coi là đã được sửa đổi để phản ánh các yêu cầu của Luật Bảo vệ Dữ liệu Thụy Sĩ và Vương quốc Anh áp dụng, bao gồm các tham chiếu đến luật, pháp luật áp dụng và cơ quan, tòa án có thẩm quyền.

9. Xử lý theo CCPA

9.a Khi xử lý Thông tin Cá nhân California theo chỉ dẫn của Khách hàng, các bên xác nhận và đồng ý rằng Khách hàng là Doanh nghiệp và Botpress là Nhà cung cấp Dịch vụ theo CCPA. Các bên đồng ý rằng Botpress sẽ Xử lý Thông tin Cá nhân California với tư cách là Nhà cung cấp Dịch vụ chỉ nhằm mục đích thực hiện Dịch vụ Phần mềm và Dịch vụ Chuyên nghiệp theo Thỏa thuận ("Mục đích Kinh doanh") hoặc theo quy định khác của CCPA.

10. Yêu cầu từ bên thứ ba

10.a Khách hàng chịu trách nhiệm giải quyết mọi yêu cầu từ Chủ thể Dữ liệu hoặc Cơ quan Quản lý liên quan đến Dữ liệu Cá nhân của họ và Khách hàng sẽ sử dụng các tính năng của Dịch vụ Phần mềm để truy xuất thông tin liên quan đến việc xử lý Dữ liệu Cá nhân.

10.b Nếu Khách hàng không thể tự mình giải quyết yêu cầu từ Chủ thể Dữ liệu hoặc Cơ quan Quản lý (“Yêu cầu”), Botpress sẽ hỗ trợ hợp lý cho Khách hàng để đáp ứng các yêu cầu liên quan đến việc Xử lý Dữ liệu Cá nhân theo Thỏa thuận. Trừ trường hợp và trong phạm vi yêu cầu phát sinh do Botpress không thực hiện đúng nghĩa vụ theo DPA này, Khách hàng sẽ hoàn trả cho Botpress các chi phí hợp lý phát sinh khi hỗ trợ Khách hàng.

10.c Nếu một Yêu cầu hoặc thông báo khác liên quan đến việc Xử lý Dữ liệu Cá nhân theo Thỏa thuận được gửi trực tiếp đến Botpress, Botpress sẽ thông báo kịp thời cho Khách hàng và hướng dẫn Chủ thể Dữ liệu hoặc Cơ quan Quản lý gửi Yêu cầu trực tiếp cho Khách hàng. Khách hàng sẽ hoàn toàn chịu trách nhiệm trả lời về mặt nội dung đối với bất kỳ Yêu cầu hoặc thông báo nào liên quan đến Dữ liệu Cá nhân.

11. Kiểm tra liên quan đến dữ liệu cá nhân

11.a Khi có yêu cầu và thông báo hợp lý cho Botpress, Khách hàng được phép, tự chịu chi phí, tiến hành các kiểm tra cần thiết để đảm bảo rằng Dữ liệu Cá nhân do Botpress xử lý thay mặt Khách hàng được thực hiện theo đúng chỉ dẫn của Khách hàng. Theo yêu cầu của Khách hàng, Botpress sẽ cho phép kiểm tra và thanh tra việc xử lý do Botpress thực hiện. Việc kiểm tra này có thể được tiến hành bởi Khách hàng và/hoặc bên thứ ba (do Khách hàng lựa chọn và được Botpress chấp thuận hợp lý) thay mặt Khách hàng. Khách hàng phải thực hiện mọi biện pháp cần thiết để tránh gây thiệt hại hoặc gián đoạn cho cơ sở vật chất, thiết bị, nhân sự và hoạt động kinh doanh của các đơn vị thuộc Botpress Group.

11.b Khách hàng và Botpress phải thống nhất trước về tính chất, phạm vi và thời gian của bất kỳ cuộc kiểm tra nào do Khách hàng thực hiện, và Khách hàng sẽ hoàn trả cho Botpress mọi chi phí hợp lý liên quan đến cuộc kiểm tra đó, chi phí này có thể được ước tính theo yêu cầu của Khách hàng trước khi bắt đầu kiểm tra. Trong phạm vi có thể, các yêu cầu kiểm tra của Khách hàng sẽ được đáp ứng thông qua các báo cáo kiểm toán của bên thứ ba do Botpress cung cấp, nếu có sẵn.

11.c Nếu Botpress Xử lý Dữ liệu Châu Âu thay mặt Khách hàng, Botpress sẽ cung cấp cho Khách hàng, khi có yêu cầu hợp lý (trên cơ sở bảo mật) (i) bản tóm tắt báo cáo kiểm tra bảo mật của mình và (ii) trả lời bằng văn bản cho tất cả các yêu cầu hợp lý về thông tin do Khách hàng đưa ra nhằm xác nhận việc tuân thủ DPA của Botpress, với điều kiện Khách hàng không thực hiện quyền này quá một lần mỗi năm trừ khi Khách hàng có lý do hợp lý để nghi ngờ Botpress không tuân thủ DPA.

12. Giới hạn trách nhiệm

12.a Tổng trách nhiệm của Botpress và các Công ty liên kết, phát sinh từ hoặc liên quan đến DPA này (và bất kỳ DPA nào khác giữa các bên) và các Điều khoản Hợp đồng Tiêu chuẩn (nếu áp dụng), dù theo hợp đồng, ngoài hợp đồng hay bất kỳ lý thuyết trách nhiệm nào khác, sẽ bị giới hạn ở tổng số Phí mà Khách hàng đã trả cho Botpress để sử dụng Dịch vụ trong vòng 12 tháng trước khi xảy ra sự kiện phát sinh trách nhiệm.

13. Thẩm quyền xét xử

Trừ khi pháp luật Bảo vệ Dữ liệu hiện hành yêu cầu khác, DPA này sẽ được điều chỉnh và giải thích theo luật áp dụng cho Thỏa thuận và mọi tranh chấp liên quan đến Thỏa thuận này sẽ do tòa án có thẩm quyền tại khu vực được chỉ định trong Đề xuất giải quyết.

Trong trường hợp pháp luật Bảo vệ Dữ liệu yêu cầu DPA này phải được điều chỉnh bởi luật của một quốc gia thành viên Liên minh Châu Âu, DPA này sẽ được điều chỉnh bởi luật của Ireland và các tranh chấp liên quan đến Thỏa thuận này sẽ do tòa án Ireland giải quyết.

14. Quy định chung

14.a Ưu tiên áp dụng. Trong trường hợp có bất kỳ mâu thuẫn nào giữa các điều khoản của DPA này và bất kỳ điều khoản nào khác của Thỏa thuận, các điều khoản của DPA sẽ luôn được ưu tiên áp dụng, trừ khi và trong phạm vi có quy định rõ ràng rằng một điều khoản khác của Thỏa thuận sẽ được ưu tiên hoặc một điều khoản của DPA này sẽ bị loại bỏ hoặc sửa đổi.

14.b Sửa đổi. Botpress có thể sửa đổi DPA này để phản ánh các thay đổi trong thực tiễn xử lý dữ liệu của mình. Bất kỳ sửa đổi nào ngoài việc làm rõ ngôn ngữ (sẽ được thông báo thường xuyên cho Khách hàng) sẽ được gửi đến Khách hàng và chỉ có hiệu lực khi được Khách hàng chấp nhận. Nếu pháp luật yêu cầu phải sửa đổi DPA này, Khách hàng sẽ có quyền lựa chọn chấp nhận sửa đổi đó hoặc chấm dứt đăng ký Dịch vụ Phần mềm.

14.c  Tính độc lập của các điều khoản. Nếu bất kỳ điều khoản riêng lẻ nào của DPA này bị xác định là không hợp lệ hoặc không thể thực thi, tính hợp lệ và khả năng thực thi của các điều khoản còn lại sẽ không bị ảnh hưởng.


Phụ lục 1 – Chi tiết về Xử lý dữ liệu

Xác định Bên kiểm soát dữ liệu

Khách hàng

Người liên hệ: người được xác định trong Đề xuất đã được Khách hàng chấp nhận.

Xác định Bên xử lý dữ liệu

Nếu Khách hàng ở Canada: Technologies Botpress Inc. Nếu Khách hàng ở nơi khác: Botpress, Inc.

Người liên hệ:

Jean-Bernard Perron [email protected]

Danh mục Đối tượng dữ liệu

Khách hàng có thể gửi Dữ liệu Cá nhân trong quá trình sử dụng Dịch vụ Phần mềm, phạm vi dữ liệu này do Khách hàng tự quyết định và kiểm soát, tuân theo các điều khoản dịch vụ áp dụng, và có thể bao gồm, nhưng không giới hạn đối với Dữ liệu Cá nhân liên quan đến các đối tượng dữ liệu sau:

  • Cá nhân sử dụng Phần mềm thay mặt Khách hàng
  • Người dùng cuối của các Bot của Khách hàng

Danh mục Dữ liệu Cá nhân

Khách hàng có thể gửi Dữ liệu Cá nhân vào Dịch vụ Phần mềm và có thể cho phép Người dùng cuối gửi Dữ liệu Cá nhân vào Dịch vụ Phần mềm, phạm vi dữ liệu này do Khách hàng tự quyết định và kiểm soát, tuân theo các điều khoản dịch vụ áp dụng.

Dịch vụ Phần mềm không được thiết kế để Xử lý dữ liệu nhạy cảm, Khách hàng phải tự chịu trách nhiệm xác định sự phù hợp của Dịch vụ Phần mềm cho việc Xử lý dữ liệu nhạy cảm.

Botpress sẽ xử lý thông tin liên hệ của Người dùng được ủy quyền (tên, email, số điện thoại) và dữ liệu sử dụng, hành vi về việc sử dụng sản phẩm cho mục đích hỗ trợ kỹ thuật và thống kê.

Bản chất của việc Xử lý dữ liệu

  • Lưu trữ và các hoạt động Xử lý khác cần thiết để cung cấp, duy trì và cải thiện Dịch vụ cung cấp cho Khách hàng;
  • Công bố theo Thỏa thuận (bao gồm DPA này) và/hoặc theo yêu cầu của pháp luật áp dụng;
  • Botpress sẽ Xử lý Dữ liệu Cá nhân khi cần thiết để cung cấp Dịch vụ theo Thỏa thuận, và theo chỉ dẫn bổ sung của Khách hàng trong quá trình sử dụng Dịch vụ.
  • Botpress Xử lý Dữ liệu Sử dụng để cung cấp hỗ trợ kỹ thuật và cho mục đích thống kê (nhằm cải tiến và phát triển sản phẩm).

Thời gian lưu trữ Dữ liệu Cá nhân

Theo nghĩa vụ của Botpress về việc xóa hoặc trả lại dữ liệu cho Khách hàng, theo Thỏa thuận, Botpress sẽ Xử lý Dữ liệu Cá nhân trong suốt thời gian hiệu lực của Thỏa thuận, trừ khi có thỏa thuận khác bằng văn bản

Phụ lục 2 – Biện pháp An ninh

1. Quản trị

Botpress thực hiện các chính sách và quy trình phù hợp liên quan đến Dữ liệu Cá nhân, bao gồm:

  • Quy trình An ninh Thông tin;
  • Chính sách về việc sử dụng Dữ liệu Cá nhân;
  • Quy trình Báo cáo Sự cố An ninh và Bảo mật;
  • Cơ chế Đánh giá Rủi ro;
  • Quy trình Kiểm toán Nội bộ;
  • Biện pháp Hợp đồng;

2. Quyền truy cập của người dùng

  • Chức năng và trách nhiệm của người dùng Botpress và các hồ sơ người dùng có quyền truy cập vào Dữ liệu Cá nhân và hệ thống thông tin được xác định rõ ràng.
  • Botpress áp dụng các biện pháp để thông báo cho người dùng về các quy tắc an ninh liên quan đến việc thực hiện nhiệm vụ của họ và hậu quả nếu vi phạm các quy tắc này.
  • Không sử dụng các giao thức văn bản thuần để truy cập hoặc truyền Dữ liệu Cá nhân. Chỉ chấp nhận giao thức SSL cho các hoạt động này.
  • Botpress đảm bảo an toàn cho các quy trình và thủ tục xử lý hoặc tiêu hủy các phương tiện vật lý hoặc thiết bị có thể chứa Dữ liệu Cá nhân.
  • Dữ liệu Cá nhân được tách biệt vật lý, hoặc tách biệt logic nếu nằm trên cơ sở dữ liệu hoặc môi trường ảo, với các dữ liệu khác của Botpress. Nếu Dữ liệu Cá nhân không được tách biệt vật lý khỏi các dữ liệu, hệ thống hoặc ứng dụng không liên quan đến Khách hàng, Botpress sẽ áp dụng các biện pháp kiểm soát an ninh phù hợp, bao gồm kiểm soát truy cập.

3. Kiểm soát truy cập

Botpress duy trì các máy chủ, cơ sở dữ liệu liên quan và các thành phần phần cứng và/hoặc phần mềm khác lưu trữ Dữ liệu Cá nhân trong trung tâm dữ liệu an toàn với quyền truy cập được kiểm soát và giám sát, chỉ cho phép nhân sự được ủy quyền.

Botpress áp dụng các biện pháp kiểm soát truy cập logic hiệu quả trên tất cả các hệ thống dùng để tạo, truyền hoặc xử lý Dữ liệu Cá nhân, bao gồm nhưng không giới hạn ở:

  • Xác thực người dùng, yêu cầu sử dụng định danh duy nhất ("user ID") và tên.
  • Chiến lược mật khẩu đủ phức tạp và mạnh.
  • Quyền truy cập của người dùng vào các tài nguyên thông tin chứa Dữ liệu Cá nhân chỉ được cấp dựa trên nhu cầu công việc liên quan đến nhiệm vụ và trách nhiệm của người dùng đó.
  • Quyền truy cập của người dùng vào các hệ thống máy tính cho phép truy cập Dữ liệu Cá nhân sẽ bị xóa ngay lập tức khi người dùng rời khỏi hoặc chuyển sang vị trí công việc mới mà không cần quyền truy cập này.
  • Mật khẩu mặc định và các thiết lập bảo mật phải được thay đổi trên các sản phẩm/ứng dụng bên thứ ba được sử dụng để hỗ trợ Dữ liệu Cá nhân.
  • Các nhà cung cấp dịch vụ bên thứ ba phải tuân thủ các yêu cầu và nghĩa vụ bảo mật tương đương với người dùng được ủy quyền của Botpress khi xử lý Dữ liệu Cá nhân.
  • Xác nhận lại hàng năm về lý do tồn tại của các tài khoản người dùng và quyền truy cập liên quan đến thông tin cá nhân.

4. Kiến trúc bảo mật mạng

Botpress áp dụng các biện pháp kiểm soát truy cập mạng hiệu quả trên tất cả các hệ thống dùng để tạo, truyền hoặc xử lý Dữ liệu Cá nhân, bao gồm nhưng không giới hạn ở:

  • Tường lửa luôn hoạt động và được cài đặt tại ranh giới giữa mạng nội bộ (riêng tư) của Botpress và mạng công cộng (Internet).
  • Hệ thống phát hiện và ngăn chặn xâm nhập được cấu hình và giám sát đúng cách trên mạng của Botpress.
  • Chỉ các dịch vụ/quy trình và cổng cần thiết cho các chương trình thường xuyên mới được kích hoạt trên cơ sở dữ liệu và các hệ thống thông tin khác dùng để xử lý Dữ liệu Cá nhân. Tất cả các dịch vụ/quy trình khác trên máy chủ đều bị vô hiệu hóa.
  • Tất cả các hệ thống thông tin, kho lưu trữ và hệ thống khác dùng để xử lý Dữ liệu Cá nhân phải được đặt trong môi trường trung tâm dữ liệu được kiểm soát vật lý và được sử dụng nhằm mục đích bảo vệ hệ thống thông tin.
  • Các kênh bảo mật (ví dụ: TLS, SFTP, SSH, IPSEC, v.v.) phải được sử dụng nhất quán cho các liên lạc với trung tâm dữ liệu của Botpress.

5. Kiểm soát quản lý lỗ hổng

Botpress áp dụng các biện pháp kiểm soát quản lý lỗ hổng hiệu quả trên tất cả các hệ thống dùng để tạo, truyền hoặc xử lý Dữ liệu Cá nhân, bao gồm nhưng không giới hạn ở:

  • Triển khai các thiết bị phòng ngừa và phát hiện trên mạng để lọc email lừa đảo và phần mềm độc hại trước khi chúng đến các máy trạm do Botpress quản lý và có quyền truy cập trực tiếp hoặc gián tiếp vào Dữ liệu Cá nhân.
  • Triển khai phần mềm phòng chống và phát hiện virus, phần mềm độc hại trên tất cả các máy trạm do Botpress quản lý và xử lý Dữ liệu Cá nhân.
  • Duy trì quy trình và thực hành quản lý bản vá tiêu chuẩn để đảm bảo bảo vệ tất cả thiết bị dùng để truy cập, xử lý hoặc lưu trữ Dữ liệu Cá nhân.
  • Thiết bị và tài liệu chứa Dữ liệu Cá nhân phải cho phép xác định thông tin đã truy cập, được kiểm kê và chỉ cho phép người dùng được ủy quyền truy cập theo tài liệu bảo mật.
  • Áp dụng các biện pháp ngăn chặn trộm cắp, mất mát hoặc truy cập trái phép vào Dữ liệu Cá nhân trong quá trình truyền và chuyển giao.

6. Sao lưu, khôi phục và đảm bảo dữ liệu

Botpress triển khai các kế hoạch phục hồi thảm họa và duy trì hoạt động kinh doanh nhằm giảm thiểu tối đa thời gian ngừng hoạt động và mất dữ liệu.

  • Botpress triển khai các chức năng phục hồi thảm họa nhằm khôi phục chức năng của hệ thống chứa Dữ liệu Cá nhân trong thời gian đã thỏa thuận giữa các bên hoặc, nếu không có, trong thời gian hợp lý tùy theo tính chất của Dữ liệu Cá nhân.
  • Botpress đảm bảo một cách hệ thống rằng Dữ liệu Cá nhân chỉ có thể được truy cập bởi nhân sự được ủy quyền của Botpress (ví dụ: các bản sao lưu bên ngoài luôn được mã hóa).
  • Để giảm thiểu rủi ro từ các mối đe dọa môi trường, thiết bị sẽ được đặt xa các vị trí có nguy cơ môi trường cao và được bổ sung bằng thiết bị dự phòng đặt ở khoảng cách hợp lý.
  • Các cơ chế bảo mật và dự phòng sẽ được triển khai để bảo vệ thiết bị khỏi các sự cố dịch vụ tiện ích (ví dụ: mất điện, gián đoạn mạng, v.v.).
  • Chính sách và quy trình lưu trữ, bảo quản dữ liệu phải được thiết lập và các cơ chế sao lưu hoặc dự phòng phải được triển khai để đảm bảo tuân thủ các yêu cầu pháp lý, quy định, hợp đồng hoặc kinh doanh. Việc kiểm tra khả năng khôi phục từ bản sao lưu đĩa hoặc băng sẽ được thực hiện theo các khoảng thời gian đã lên kế hoạch.

7. Kiểm toán bảo mật

Botpress áp dụng các biện pháp kiểm soát trên tất cả các hệ thống dùng để tạo, truyền hoặc xử lý Dữ liệu Cá nhân, bao gồm nhưng không giới hạn ở:

  • Quét lỗ hổng hoặc kiểm toán bởi bên thứ ba đối với các thiết bị hạ tầng hướng ra ngoài (công cộng) chứa Dữ liệu Cá nhân.
  • Kiểm thử xâm nhập bởi bên thứ ba đối với các hệ thống của Botpress lưu trữ và xử lý Dữ liệu Cá nhân.
  • Đánh giá định kỳ bởi bên thứ ba đối với các ứng dụng hoặc quy trình hỗ trợ thông tin tài chính.
  • Botpress cam kết xử lý tất cả các lỗ hổng được phát hiện qua kiểm thử xâm nhập và thông báo cho Khách hàng về các biện pháp khắc phục.

8. Đào tạo và nâng cao nhận thức

Botpress triển khai chương trình nâng cao nhận thức về an ninh cho nhân viên và nhà cung cấp dịch vụ có liên quan đến các hệ thống xử lý Dữ liệu Cá nhân, bao gồm:

  • Botpress đảm bảo nhân viên của mình hiểu rõ các mối đe dọa và vấn đề quản lý rủi ro thông tin liên quan đến Dịch vụ Botpress cũng như các chính sách quản lý rủi ro thông tin liên quan.
  • Nhân viên Botpress sẽ được đào tạo và cập nhật thường xuyên về các chính sách, quy trình quản lý rủi ro thông tin phù hợp với hệ thống phân loại rủi ro tiêu chuẩn và các quy trình liên quan.
  • Nhân viên nhà thầu phụ sẽ được thông báo về hệ thống phân loại rủi ro thông tin và các quy trình phù hợp của Botpress.
  • Chính sách và quy trình phải được thiết lập để dọn dẹp các tài liệu hiển thị chứa dữ liệu nhạy cảm khi không có người tại nơi làm việc và thực thi việc đăng xuất phiên làm việc trên máy trạm sau một khoảng thời gian không hoạt động.

Phụ lục 3 – Đơn vị xử lý phụ

Botpress duy trì danh sách các Đơn vị xử lý phụ được cập nhật trên Trust Center của mình. Trừ khi có quy định khác, tất cả dữ liệu đều được xử lý tại Hoa Kỳ.

Ký Thỏa thuận Xử lý Dữ liệu
Tất cả hệ thống đang hoạt động
SOC 2
Chứng nhận
GDPR
Tuân thủ
© 2025
Hub
Tích hợp
Kênh
LLMs
Tài nguyên
Liên hệ bộ phận kinh doanh
Tài liệu hướng dẫn
Thuê chuyên gia
Video
Câu chuyện khách hàng
Tham khảo API
Blog
Trạng thái
Tài nguyên v12
Cộng đồng
Đối tác & Cộng tác viên
Discord
Công ty
Giới thiệu
Cơ hội nghề nghiệp
Pháp lý
Quyền riêng tư