Phụ lục xử lý dữ liệu nhanh

Ngày có hiệu lực: Ngày 22 tháng 8 năm 2024

Phụ lục xử lý dữ liệu này (”DPA“) bổ sung và tạo thành một phần của thỏa thuận giữa Brisk Labs Corp. (”Nhanh“) và Tổ chức Giáo dục hoặc (nếu có) Giáo viên liên quan đến việc chuyển giao và xử lý Dữ liệu được Bảo hiểm liên quan đến việc cung cấp Dịch vụ.

1. ĐỊNH NGHĨA
1.1

Trừ khi được định nghĩa khác trong DPA này, các thuật ngữ viết hoa được sử dụng nhưng không được xác định trong DPA này sẽ có ý nghĩa được quy định trong Thỏa thuận. Các thuật ngữ viết hoa sau đây được sử dụng trong DPA này sẽ được định nghĩa như sau:
Thỏa thuận“có nghĩa là thỏa thuận được ký kết giữa Brisk và Khách hàng kết hợp các điều khoản tại https://www.briskteaching.com/terms hoặc theo thỏa thuận khác giữa các bên.
Luật bảo vệ dữ liệu áp dụng“nghĩa là tất cả các luật, quy tắc, quy định và yêu cầu của chính phủ hiện hành liên quan đến quyền riêng tư, bảo mật hoặc bảo mật của Dữ liệu Cá nhân, vì chúng có thể được sửa đổi hoặc cập nhật theo cách khác theo thời gian, bao gồm (nhưng không giới hạn) GDPR.
Bộ xử lý phụ được ủy quyền“nghĩa là các đơn vị xử lý phụ được liệt kê trong Phụ lục 4 và bất kỳ đơn vị xử lý phụ nào khác được chỉ định theo khoản 7.4.
Mục đích của bộ điều khiển“có nghĩa là: (a) thực hiện nghiên cứu và phát triển nội bộ để phát triển, thử nghiệm, cải thiện và thay đổi chức năng của các sản phẩm và dịch vụ của Brisk; (b) tạo bộ dữ liệu ẩn danh để đào tạo hoặc đánh giá các sản phẩm và dịch vụ của Brisk; và (c) quản lý tài khoản Khách hàng trên Dịch vụ và quản lý mối quan hệ của Brisk với Khách hàng theo Thỏa thuận, trong từng trường hợp như được mô tả thêm trong Bảng 1.
Dữ liệu được bảo hiểm“có nghĩa là Dữ liệu Cá nhân: (a) được cung cấp bởi hoặc thay mặt Khách hàng cho Brisk liên quan đến việc cung cấp Dịch vụ; hoặc (b) thu thập, phát triển, sản xuất hoặc xử lý theo cách khác bởi Brisk, hoặc các đại lý hoặc nhà thầu phụ của nó, cho mục đích cung cấp Dịch vụ, trong từng trường hợp như được mô tả thêm trong Bảng 1.
Khách hàng“có nghĩa là Tổ chức Giáo dục hoặc Giáo viên tham gia Thỏa thuận với Brisk liên quan đến Dịch vụ.
Chủ thể dữ liệu“có ý nghĩa được trao cho nó trong GDPR.
Ngày có hiệu lực“có nghĩa là ngày Brisk và Khách hàng ký kết Thỏa thuận.
GDPR“có nghĩa là Quy định (EU) 2016/679 (”GDPR CỦA EU“) hoặc, nếu có,”GDPR CỦA ANH“, như được định nghĩa trong mục 3 (10) của Đạo luật Bảo vệ Dữ liệu 2018.
Dữ liệu cá nhân“có ý nghĩa được trao cho nó trong GDPR.
Xử lý“có ý nghĩa được trao cho nó trong GDPR, và”Quy trình“,”Quy trình“và”Xử lý“sẽ được giải thích tương ứng.
Sự cố an ninh“có nghĩa là vi phạm an ninh dẫn đến việc phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập trái phép vào (bao gồm cả truy cập nội bộ trái phép vào) Dữ liệu được bảo hiểm.
Điều khoản hợp đồng tiêu chuẩn“hoặc”SCC“có nghĩa là các Điều khoản Hợp đồng Tiêu chuẩn được đính kèm với Quyết định thực hiện của Ủy ban (EU) 2021/914 và có sẵn tại https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en.
Bộ xử lý phụ“có nghĩa là một bộ xử lý được một bộ xử lý khác giao nhiệm vụ để thực hiện các hướng dẫn của bộ điều khiển.
Luật bảo vệ dữ liệu Thụy Sĩ“có nghĩa là Đạo luật Liên bang Thụy Sĩ về Bảo vệ Dữ liệu ngày 25 tháng 9 năm 2020 (”FADDLE“) và Pháp lệnh bảo vệ dữ liệu của Thụy Sĩ ngày 31 tháng 8 năm 2022 (the”Pháp lệnh“), và bất kỳ phiên bản mới hoặc sửa đổi nào của các luật này có thể có hiệu lực theo thời gian.

1.2

Các điều khoản”bộ điều khiển“và”bộ xử lý“Có những ý nghĩa được đưa ra cho họ trong GDPR.

2. TƯƠNG TÁC VỚI THỎA THUẬN
2.1

DPA này được đưa vào và tạo thành một phần không thể thiếu của Thỏa thuận. DPA này bổ sung và (trong trường hợp có mâu thuẫn) thay thế Thỏa thuận liên quan đến bất kỳ Xử lý Dữ liệu được Bảo hiểm nào.

3. VAI TRÒ CỦA CÁC BÊN
3.1

Các Bên thừa nhận và đồng ý rằng:

  1. trừ khi được nêu trong đoạn 3.1, Brisk Xử lý Dữ liệu được Bảo hiểm với tư cách là đơn vị xử lý trong việc thực hiện nghĩa vụ của mình theo Thỏa thuận và DPA này và Khách hàng đóng vai trò là người kiểm soát; và
  2. Brisk đóng vai trò là người kiểm soát đối với việc Xử lý Dữ liệu được Bảo hiểm cho Mục đích của Kiểm soát viên như được xác định trong Bảng 1.
4. CHI TIẾT XỬ LÝ DỮ LIỆU
4.1

Các chi tiết về việc Xử lý Dữ liệu Cá nhân theo Thỏa thuận và DPA này (bao gồm chủ đề, bản chất và mục đích của việc Xử lý, các loại Dữ liệu Cá nhân và Chủ thể Dữ liệu) được mô tả trong Thỏa thuận và trong Phụ lục 1 của DPA này.

4.2

Ngoài việc xử lý dữ liệu được bảo hiểm cho các mục đích của bên kiểm soát:

  1. Brisk sẽ chỉ Xử lý Dữ liệu được Bảo hiểm theo hướng dẫn do Khách hàng cung cấp và theo Luật Bảo vệ Dữ liệu Áp dụng; và
  2. Thỏa thuận và DPA này sẽ cấu thành các hướng dẫn cho Brisk về việc xử lý dữ liệu được bảo hiểm bởi Brisk và Khách hàng có thể đưa ra các hướng dẫn bằng văn bản khác theo DPA này.
4.3

Brisk sẽ:

  1. cung cấp cho Khách hàng thông tin để cho phép Khách hàng tiến hành và ghi lại bất kỳ đánh giá tác động bảo vệ dữ liệu nào và tham vấn trước với các cơ quan giám sát được yêu cầu theo Luật Bảo vệ Dữ liệu Áp dụng; và
  2. thông báo kịp thời cho Khách hàng nếu theo ý kiến của Khách hàng, một hướng dẫn từ Khách hàng vi phạm Luật Bảo vệ Dữ liệu Áp dụng.
5. TUÂN THỦ
5.1

Khách hàng phải tuân thủ các nghĩa vụ của mình theo Luật Bảo vệ Dữ liệu Áp dụng và phải đảm bảo rằng:

  1. bất kỳ hướng dẫn nào cho Brisk liên quan đến việc Xử lý Dữ liệu được Bảo vệ đều tuân thủ Luật Bảo vệ Dữ liệu Áp dụng;
  2. cung cấp thông tin như vậy cho Chủ thể dữ liệu liên quan đến việc xử lý dữ liệu được bảo hiểm bởi Brisk theo yêu cầu của Luật Bảo vệ Dữ liệu Áp dụng;
  3. nó nhanh chóng thông báo cho Brisk về bất kỳ yêu cầu nào nhận được từ Chủ thể Dữ liệu để thực hiện các quyền của họ theo Luật Bảo vệ Dữ liệu Áp dụng.
6. BẢO MẬT VÀ TIẾT LỘ
6.1

Brisk sẽ:

  1. hạn chế quyền truy cập vào Dữ liệu được bảo hiểm đối với những nhân viên có nhu cầu kinh doanh để có quyền truy cập vào Dữ liệu được Bảo hiểm đó; và
  2. đảm bảo rằng những nhân viên đó phải tuân thủ các nghĩa vụ bảo vệ Dữ liệu được bảo vệ ít nhất như các điều khoản của DPA này và Thỏa thuận, bao gồm các nghĩa vụ bảo mật đối với bất kỳ Dữ liệu được Bảo hiểm nào mà họ có quyền truy cập.
7. ĐỊNH NGHĨA
7.1

Brisk có thể Xử lý Dữ liệu được Bảo hiểm ở bất cứ nơi nào mà Brisk hoặc các đơn vị xử lý phụ của Brisk duy trì các cơ sở, tùy thuộc vào phần còn lại của khoản 7 này và bất kỳ hạn chế nào đối với việc chuyển tiếp theo có trong SCC.

7.2

Khách hàng cấp cho Brisk ủy quyền chung để thuê bất kỳ Bộ xử lý phụ được ủy quyền nào để Xử lý Dữ liệu được Bảo hiểm.

7.3

Brisk sẽ:

  1. ký kết một thỏa thuận bằng văn bản với mỗi bên xử lý phụ được ủy quyền áp đặt các nghĩa vụ bảo vệ dữ liệu mà về bản chất, bảo vệ Dữ liệu được bảo vệ không kém so với nghĩa vụ của Brisk theo DPA này; và
  2. vẫn chịu trách nhiệm đối với việc mỗi Bên xử lý phụ được ủy quyền tuân thủ các nghĩa vụ theo DPA này.
7.4

Brisk sẽ cung cấp cho Khách hàng thông báo trước ít nhất mười bốn (14) ngày về bất kỳ thay đổi được đề xuất nào đối với Bộ xử lý phụ được ủy quyền. Khách hàng sẽ thông báo cho Brisk nếu họ phản đối đề xuất thay đổi đối với Bộ xử lý phụ được ủy quyền (bao gồm, nếu có, khi thực hiện quyền phản đối theo khoản 9 (a) của SCC) bằng cách cung cấp cho Brisk thông báo bằng văn bản về sự phản đối trong vòng bảy (7) ngày sau khi Brisk thông báo cho Khách hàng về sự thay đổi được đề xuất đó (an”Phản đối“).

7.5

Trong trường hợp Khách hàng gửi Phản đối, Brisk và Khách hàng sẽ làm việc cùng nhau một cách thiện chí để tìm ra giải pháp được cả hai bên chấp nhận để giải quyết sự phản đối đó. Nếu Brisk và Khách hàng không thể đạt được giải pháp được cả hai bên chấp nhận trong một khung thời gian hợp lý, không quá ba mươi (30) ngày, Brisk có thể chấm dứt một phần của Thỏa thuận liên quan đến Dịch vụ bị ảnh hưởng bởi sự thay đổi đó bằng cách cung cấp thông báo bằng văn bản cho Khách hàng.

8. YÊU CẦU QUYỀN CỦA CHỦ THỂ DỮ LIỆU
8.1

Brisk sẽ thông báo cho Khách hàng mà không chậm trễ quá mức về bất kỳ yêu cầu nào nhận được bởi Brisk hoặc bất kỳ Bộ xử lý phụ được ủy quyền nào từ Chủ thể Dữ liệu để khẳng định các quyền của họ theo Luật Bảo vệ Dữ liệu Áp dụng liên quan đến Dữ liệu được Brisk xử lý với tư cách là người xử lý hoặc xử lý phụ (a”Yêu cầu chủ thể dữ liệu“).

8.2

Ngoài việc xử lý dữ liệu được bảo hiểm của Brisk cho các Mục đích của Người kiểm soát, giữa Brisk và Khách hàng, Khách hàng sẽ có toàn quyền quyết định trả lời Yêu cầu của Chủ thể Dữ liệu. Brisk sẽ không trả lời Yêu cầu của Chủ thể Dữ liệu mà không có sự đồng ý trước của Khách hàng, ngoại trừ trường hợp Brisk có thể thông báo cho Chủ thể Dữ liệu rằng yêu cầu của họ đã được chuyển đến Khách hàng.

8.3

Brisk sẽ cung cấp cho Khách hàng sự hỗ trợ hợp lý khi cần thiết để Khách hàng thực hiện nghĩa vụ của mình theo Luật Bảo vệ Dữ liệu Áp dụng để đáp ứng Yêu cầu của Chủ thể Dữ liệu liên quan đến Dữ liệu được Bảo hiểm.

9. AN NINH
9.1

Brisk sẽ thực hiện và duy trì các biện pháp bảo mật và bảo vệ dữ liệu kỹ thuật và tổ chức phù hợp được thiết kế để đảm bảo tính bảo mật của Dữ liệu được Bảo hiểm, bao gồm, nhưng không giới hạn, bảo vệ chống lại việc Xử lý trái phép hoặc bất hợp pháp và chống lại việc vô tình mất mát, phá hủy hoặc làm hỏng Dữ liệu được Bảo hiểm.

9.2

Khi đánh giá mức độ bảo mật thích hợp, Brisk sẽ tính đến tính chất, phạm vi, bối cảnh và mục đích của việc Xử lý cũng như các rủi ro do Xử lý gây ra, đặc biệt là từ việc phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập vào Dữ liệu được bảo hiểm vô tình hoặc bất hợp pháp.

9.3

Brisk sẽ thực hiện và duy trì như một tiêu chuẩn tối thiểu các biện pháp được nêu trong Bảng 2.

10. THÔNG TIN VÀ KIỂM TOÁN
10.1

Khách hàng có thể kiểm tra việc Brisk tuân thủ DPA này liên quan đến việc Xử lý Dữ liệu được Bảo hiểm của Brisk. Các Bên đồng ý rằng tất cả các cuộc kiểm toán như vậy sẽ được thực hiện:

  1. không quá hàng năm, trừ khi cơ quan giám sát có thẩm quyền đối với việc Xử lý Dữ liệu được bảo hiểm hoặc theo Luật Bảo vệ Dữ liệu Áp dụng yêu cầu kiểm toán thường xuyên hơn;
  2. khi có thông báo bằng văn bản hợp lý cho Brisk;
  3. chỉ trong giờ làm việc bình thường của Brisk; và
  4. theo cách không làm gián đoạn đáng kể hoạt động kinh doanh hoặc hoạt động của Brisk.
10.2

Đối với bất kỳ cuộc kiểm toán nào được thực hiện theo đoạn 10.3: một số văn bản

  1. Khách hàng có thể thuê kiểm toán viên bên thứ ba tiến hành kiểm toán thay mặt mình, trừ trường hợp Brisk có thể phản đối hợp lý sự tham gia của kiểm toán viên bên thứ ba nếu kiểm toán viên bên thứ ba đó là đối thủ cạnh tranh của Brisk; và
  2. Brisk sẽ không bắt buộc phải tạo điều kiện thuận lợi cho bất kỳ cuộc kiểm toán nào đó trừ khi và cho đến khi các Bên đồng ý bằng văn bản về phạm vi và thời gian của cuộc kiểm toán đó.
10.3

Khách hàng sẽ kịp thời thông báo cho Brisk về bất kỳ sự không tuân thủ nào được phát hiện trong quá trình kiểm toán.

10.4

Kết quả kiểm toán sẽ là thông tin bí mật của Brisk.

10.5

Brisk sẽ cung cấp cho Khách hàng theo yêu cầu hoặc có thể cung cấp cho Khách hàng để đáp ứng bất kỳ yêu cầu kiểm toán nào do Khách hàng gửi đến Brisk, một trong những điều sau đây:

  1. chứng nhận tuân thủ bảo vệ dữ liệu được cấp bởi một tổ chức cấp chứng nhận thường được chấp nhận đã được kiểm toán bởi một chuyên gia bảo mật dữ liệu hoặc bởi một công ty kiểm toán được chứng nhận công khai; hoặc
  2. các tài liệu khác chứng minh một cách hợp lý việc thực hiện các biện pháp bảo mật dữ liệu kỹ thuật và tổ chức phù hợp với các tiêu chuẩn ngành.
10.6

Nếu một cuộc kiểm toán theo yêu cầu của Khách hàng được đề cập trong các tài liệu hoặc chứng nhận do Brisk cung cấp theo khoản 10.7, và:

  1. chứng nhận hoặc tài liệu có ngày tháng trong vòng mười hai (12) tháng kể từ khi Khách hàng yêu cầu kiểm toán; và
  2. Brisk xác nhận rằng không có thay đổi quan trọng nào được biết đến trong các biện pháp kiểm soát được kiểm toán,

Khách hàng đồng ý chấp nhận chứng nhận hoặc tài liệu đó thay vì tiến hành kiểm toán thực tế đối với các biện pháp kiểm soát được bao phủ bởi chứng nhận hoặc tài liệu liên quan.

11. SỰ CỐ AN NINH
11.1

Brisk sẽ thông báo cho Khách hàng bằng văn bản mà không chậm trễ quá mức sau khi biết về bất kỳ Sự cố An ninh nào.

11.2

Brisk sẽ thực hiện các bước hợp lý để ngăn chặn, điều tra và giảm thiểu bất kỳ Sự cố bảo mật nào và sẽ gửi cho Khách hàng thông tin kịp thời về Sự cố Bảo mật, trong phạm vi Brisk biết hoặc khi thông tin có sẵn cho Brisk, bao gồm, nhưng không giới hạn, bản chất của Sự cố An ninh, các biện pháp được thực hiện để giảm thiểu hoặc ngăn chặn Sự cố An ninh và tình trạng điều tra.

11.3

Brisk sẽ cung cấp hỗ trợ hợp lý trong việc điều tra của Khách hàng (hoặc, nếu có, Khách hàng của mình) về bất kỳ Sự cố bảo mật nào và bất kỳ nghĩa vụ nào của Khách hàng (hoặc, nếu có, của Khách hàng) liên quan đến Sự cố Bảo mật theo Luật Bảo vệ Dữ liệu Áp dụng, bao gồm bất kỳ thông báo nào cho Chủ thể Dữ liệu hoặc cơ quan giám sát.

11.4

Thông báo hoặc phản ứng của Brisk đối với Sự cố An ninh theo khoản 11 này sẽ không được hiểu là sự thừa nhận của Brisk về bất kỳ lỗi hoặc trách nhiệm pháp lý nào liên quan đến Sự cố An ninh.

12. THỜI HẠN, XÓA VÀ TRẢ LẠI
12.1

DPA này sẽ bắt đầu vào Ngày có hiệu lực và, bất chấp việc chấm dứt Thỏa thuận, sẽ vẫn có hiệu lực cho đến khi và tự động hết hạn sau khi Brisk xóa tất cả Dữ liệu được bảo hiểm như được mô tả trong DPA này.

12.2

Brisk sẽ:

  1. nếu Khách hàng yêu cầu làm như vậy (thay mặt cho Khách hàng của mình, nếu thích hợp) trong vòng ba mươi (30) ngày kể từ khi hết hạn Thỏa thuận (Thời gian lưu giữ“), cung cấp một bản sao của tất cả Dữ liệu được Bảo hiểm ở định dạng thường được sử dụng theo yêu cầu của Khách hàng hoặc cung cấp chức năng tự phục vụ cho phép Khách hàng tải xuống Dữ liệu được Bảo hiểm đó; và
  2. khi hết thời hạn lưu giữ, xóa tất cả các bản sao Dữ liệu được bảo hiểm được xử lý bởi Brisk hoặc bất kỳ Bộ xử lý phụ được ủy quyền nào, trừ bất kỳ Dữ liệu được bảo hiểm nào mà Brisk được yêu cầu lưu giữ để tuân thủ luật hiện hành, để theo đuổi hoặc bảo vệ các khiếu nại pháp lý hoặc cho Mục đích của Kiểm soát viên.
13. CHUYỂN KHOẢN QUỐC TẾ
13.1

Các Điều khoản Hợp đồng Tiêu chuẩn, như được nêu thêm trong Bảng 3, sẽ áp dụng cho việc chuyển Dữ liệu được Bảo hiểm từ Khách hàng sang Brisk và là một phần của DPA này.

13.2

Các Bên đồng ý rằng việc thực hiện Thỏa thuận sẽ có hiệu lực tương tự như việc ký kết SCC.

LỊCH TRÌNH 1: Chi tiết xử lý
A. Danh sách các bên
B. Mô tả chế biến
C. Cơ quan giám sát có thẩm quyền

Cơ quan giám sát có thẩm quyền là Ủy viên bảo vệ dữ liệu Ireland.

LỊCH 2: Các biện pháp kỹ thuật và tổ chức

Giới thiệu

Brisk sử dụng sự kết hợp của các chính sách, thủ tục, hướng dẫn và kiểm soát kỹ thuật và vật lý để bảo vệ dữ liệu cá nhân mà nó xử lý khỏi sự mất mát vô tình và truy cập, tiết lộ hoặc phá hủy trái phép.

Quản trị và Chính sách

Brisk giao nhân sự chịu trách nhiệm xác định, xem xét và thực hiện các chính sách và biện pháp an ninh.

Nhanh chóng:

  • đã ghi lại các biện pháp an ninh mà nó đã thực hiện trong chính sách an ninh và/hoặc các hướng dẫn và tài liệu liên quan khác;
  • xem xét các biện pháp và chính sách bảo mật của mình một cách thường xuyên để đảm bảo chúng tiếp tục phù hợp với dữ liệu được bảo vệ.

Brisk thiết lập và tuân theo các cấu hình an toàn cho các hệ thống và phần mềm và đảm bảo rằng các biện pháp bảo mật được xem xét trong quá trình khởi động dự án và phát triển các hệ thống CNTT mới.

Phản ứng vi phạm

Brisk có một kế hoạch phản ứng vi phạm đã được phát triển để giải quyết các sự kiện vi phạm dữ liệu. Kế hoạch thường xuyên được kiểm tra và cập nhật.

Phòng vệ xâm nhập, chống vi-rút và chống phần mềm độc hại

Các hệ thống CNTT của Brisk được sử dụng để xử lý dữ liệu cá nhân có phần mềm bảo mật dữ liệu thích hợp được cài đặt trên chúng, bao gồm tường lửa tiêu chuẩn công nghiệp, chống vi-rút, chống phần mềm độc hại và các hệ thống phát hiện xâm nhập.

Brisk thu thập, duy trì và xem xét nhật ký sự kiện để xác định hoạt động đáng ngờ.

Kiểm soát truy cập

Brisk giới hạn quyền truy cập vào dữ liệu cá nhân bằng cách thực hiện các biện pháp kiểm soát truy cập thích hợp, bao gồm:

  • hạn chế quyền truy cập quản trị và sử dụng tài khoản quản trị;
  • thay đổi tất cả các mật khẩu mặc định trước khi triển khai hệ điều hành, tài sản hoặc ứng dụng;
  • yêu cầu xác thực và ủy quyền để có quyền truy cập vào hệ thống CNTT (tức là yêu cầu người dùng nhập ID người dùng và mật khẩu trước khi họ được phép truy cập vào hệ thống CNTT);
  • các biện pháp để đảm bảo quyền truy cập ít đặc quyền nhất vào các hệ thống CNTT;
  • các thủ tục thích hợp để kiểm soát việc phân bổ và thu hồi quyền truy cập dữ liệu cá nhân. Ví dụ, có các thủ tục thích hợp để thu hồi quyền truy cập của nhân viên vào hệ thống CNTT khi họ nghỉ việc hoặc thay đổi vai trò;
  • sử dụng xác thực đa yếu tố để truy cập dữ liệu trên hệ thống của Brisk;
  • tự động hết thời gian và khóa thiết bị đầu cuối người dùng nếu không hoạt động;
  • quyền truy cập vào hệ thống CNTT bị chặn sau nhiều lần cố gắng không thành công để nhập thông tin xác thực và/hoặc ủy quyền chính xác;
  • giám sát và ghi nhật ký truy cập vào các hệ thống CNTT;
  • giám sát và ghi nhật ký sửa đổi dữ liệu hoặc tệp trên hệ thống CNTT.

Tính khả dụng và sao lưu dữ liệu cá nhân

Brisk có một kế hoạch khôi phục thảm họa được ghi nhận để đảm bảo rằng các hệ thống và dữ liệu quan trọng có thể được khôi phục kịp thời trong trường hợp xảy ra sự cố vật lý hoặc kỹ thuật. Kế hoạch thường xuyên được kiểm tra và cập nhật.

Brisk thường xuyên sao lưu thông tin trên các hệ thống CNTT và giữ các bản sao lưu ở các vị trí riêng biệt. Các bản sao lưu thông tin được kiểm tra thường xuyên.

Phân đoạn dữ liệu cá nhân

Nhanh chóng:

  • tách biệt và hạn chế quyền truy cập giữa các thành phần mạng và, nếu thích hợp, thực hiện các biện pháp để cung cấp khả năng xử lý riêng biệt (lưu trữ, sửa đổi, xóa, truyền) dữ liệu cá nhân được thu thập và sử dụng cho các mục đích khác nhau;
  • không sử dụng dữ liệu trực tiếp để kiểm tra hệ thống của mình.

Xử lý thiết bị CNTT

Nhanh chóng:

  • có các quy trình để xóa an toàn tất cả dữ liệu cá nhân trước khi xử lý các hệ thống CNTT;
  • sử dụng công nghệ thích hợp để thanh lọc thiết bị dữ liệu.

Mã hóa

Brisk mã hóa dữ liệu ở trạng thái nghỉ bằng AES-256 và trong quá trình chuyển bằng TLS 1.2 trở lên.

Các khóa mã hóa được lưu trữ riêng biệt với thông tin được mã hóa.

Truyền hoặc vận chuyển dữ liệu cá nhân

Các biện pháp kiểm soát thích hợp được thực hiện bởi Brisk để bảo mật dữ liệu cá nhân trong quá trình truyền hoặc quá trình vận chuyển, bao gồm:

  • mã hóa trong quá trình chuyển tiếp;
  • ghi dữ liệu cá nhân khi được truyền qua điện tử.

Làm cứng thiết bị

Brisk đảm bảo rằng tất cả các máy ảo đều được làm cứng theo Điểm chuẩn của Trung tâm Bảo mật Internet (CIS).

Quản lý tài sản và phần mềm

Brisk duy trì kiểm kê tài sản CNTT và dữ liệu được lưu trữ trên chúng, cùng với danh sách chủ sở hữu của các tài sản CNTT có liên quan.

Nhanh chóng:

  • lập tài liệu và thực hiện các quy tắc để sử dụng tài sản CNTT có thể chấp nhận được.
  • yêu cầu xác thực cấp mạng và sử dụng chứng chỉ khách hàng để xác thực và xác thực hệ thống;
  • triển khai các công cụ quản lý bản vá tự động và các công cụ cập nhật phần mềm cho hệ điều hành và phần mềm;
  • chủ động giám sát các lỗ hổng phần mềm và triển khai kịp thời bất kỳ bản vá lỗi nào ngoài chu kỳ;
  • chỉ cho phép sử dụng các phiên bản mới nhất của trình duyệt web và ứng dụng email được hỗ trợ đầy đủ.

Brisk lưu trữ tất cả các khóa API một cách an toàn, bao gồm như sau:

  • Brisk lưu trữ các khóa API trực tiếp trong các biến môi trường của nó;
  • Brisk không lưu trữ các khóa API ở phía máy khách;
  • Brisk không xuất bản thông tin đăng nhập khóa API trong kho mã trực tuyến (cho dù riêng tư hay không); và
  • Brisk sử dụng các công cụ quản lý khóa API để truy xuất và quản lý thông tin đăng nhập cho các dự án phát triển lớn.

Đào tạo và nâng cao nhận thức cho nhân viên

Các thỏa thuận của Brisk với nhân viên và nhà thầu và sổ tay nhân viên nêu rõ trách nhiệm của nhân viên liên quan đến bảo mật thông tin.

Brisk thực hiện:

  • đào tạo nhân viên thường xuyên về các vấn đề bảo mật dữ liệu và quyền riêng tư liên quan đến vai trò công việc của họ và đảm bảo rằng những người mới bắt đầu được đào tạo thích hợp trước khi họ bắt đầu vai trò của mình (như một phần của thủ tục lên máy bay);
  • sàng lọc và kiểm tra lý lịch thích hợp đối với các cá nhân có quyền truy cập vào dữ liệu cá nhân nhạy cảm.

Brisk đảm bảo rằng các trách nhiệm bảo mật thông tin được áp dụng ngay trước khi chấm dứt hoặc thay đổi việc làm và những trách nhiệm áp dụng sau khi chấm dứt hoặc thay đổi việc làm được thông báo và thực hiện.

Nhân viên phải chịu các biện pháp kỷ luật nếu vi phạm các chính sách và thủ tục của Brisk liên quan đến quyền riêng tư và bảo mật dữ liệu.

Lựa chọn nhà cung cấp dịch vụ và hoa hồng dịch vụ

Brisk đánh giá khả năng của các nhà cung cấp dịch vụ để đáp ứng các yêu cầu bảo mật của họ trước khi thu hút họ.

Brisk đã ký hợp đồng bằng văn bản với các nhà cung cấp dịch vụ yêu cầu họ thực hiện các biện pháp bảo mật thích hợp để bảo vệ dữ liệu cá nhân mà họ có quyền truy cập và hạn chế sử dụng dữ liệu cá nhân theo hướng dẫn của Brisk.

Phần 2

Hỗ trợ yêu cầu quyền của chủ thể dữ liệu

Brisk đã thực hiện các chính sách và biện pháp thích hợp để xác định và giải quyết các yêu cầu về quyền của chủ thể dữ liệu, bao gồm:

  • Brisk duy trì hồ sơ chính xác để cho phép công ty xác định nhanh chóng tất cả dữ liệu cá nhân được xử lý thay mặt cho Khách hàng; và
  • Các bản sao lưu dữ liệu cá nhân được xử lý bởi Brisk thay mặt Khách hàng được ghi đè lên một cách thường xuyên và trong mọi trường hợp ba mươi (30) ngày một lần để đảm bảo các yêu cầu xóa và chỉnh sửa được thực hiện đầy đủ.
BIỂU 3: CÁC ĐIỀU KHOẢN HỢP ĐỒNG TIÊU CHUẨN
1. EU SCCS

Đối với bất kỳ chuyển nhượng nào được đề cập trong khoản 13, các Điều khoản Hợp đồng Tiêu chuẩn sẽ được hoàn thành như sau:

1.1

Mô-đun hai (bộ điều khiển đến bộ xử lý), hoặc khi thích hợp, Mô-đun Ba (bộ xử lý sang bộ xử lý) của SCC sẽ áp dụng cho việc xử lý dữ liệu được bảo hiểm của Brisk.

1.2

Khoản 7 của Điều khoản Hợp đồng Tiêu chuẩn (Điều khoản kết nối) không được áp dụng.

1.3

Phương án 2 của Khoản 9 (a) (Ủy quyền chung bằng văn bản) sẽ được áp dụng và khoảng thời gian được quy định được xác định tại khoản 7.4 của DPA.

1.4

Tùy chọn trong Khoản 11 (a) của Điều khoản Hợp đồng Tiêu chuẩn (Cơ quan giải quyết tranh chấp độc lập) không áp dụng.

1.5

Đối với Khoản 17 của Điều khoản Hợp đồng Tiêu chuẩn (Luật điều chỉnh), các Bên đồng ý rằng lựa chọn 1 sẽ được áp dụng và luật điều chỉnh sẽ là luật Ailen.

1.6

Trong Khoản 18 của Điều khoản Hợp đồng Tiêu chuẩn (Lựa chọn diễn đàn và thẩm quyền), các Bên quy phục quyền tài phán của các tòa án Ireland.

1.7

Đối với Mục đích của Phụ lục I của Điều khoản Hợp đồng Tiêu chuẩn, Phụ lục 1 của DPA bao gồm các thông số kỹ thuật liên quan đến các bên, mô tả chuyển nhượng và cơ quan giám sát có thẩm quyền.

1.8

Đối với Mục đích của Phụ lục II của Điều khoản Hợp đồng Tiêu chuẩn, Phụ lục 2 của DPA bao gồm các biện pháp kỹ thuật và tổ chức.

2. Phụ lục Vương quốc Anh
2.1

Đoạn 2 này (Phụ lục Vương quốc Anh) sẽ áp dụng cho bất kỳ chuyển Dữ liệu được Bảo hiểm nào từ Khách hàng (với tư cách là nhà xuất dữ liệu) sang Brisk (với tư cách là người nhập dữ liệu), trong phạm vi:

  1. Luật bảo vệ dữ liệu của Vương quốc Anh áp dụng cho Khách hàng khi thực hiện chuyển giao đó; hoặc
  2. việc chuyển giao là một “chuyển tiếp” như được định nghĩa trong Phụ lục đã được phê duyệt.
2.2

Như được sử dụng trong đoạn 2 này:

Phụ lục được phê duyệt“có nghĩa là phụ lục mẫu, phiên bản B.1.0 do Ủy viên Thông tin Vương quốc Anh ban hành theo Đạo luật Bảo vệ Dữ liệu S119A (1) 2018 và được đưa ra trước Quốc hội Vương quốc Anh vào ngày 2 tháng 2 năm 2022, vì nó có thể được sửa đổi theo Mục 18 của Phụ lục được phê duyệt.

Luật bảo vệ dữ liệu của Vương quốc Anh“có nghĩa là tất cả các luật liên quan đến bảo vệ dữ liệu, xử lý Dữ liệu Cá nhân, quyền riêng tư và/hoặc thông tin liên lạc điện tử có hiệu lực theo thời gian ở Vương quốc Anh, bao gồm GDPR của Vương quốc Anh và Đạo luật Bảo vệ Dữ liệu 2018.

2.3

Phụ lục được phê duyệt sẽ là một phần của DPA này đối với bất kỳ chuyển nhượng nào được đề cập trong đoạn 2.1 và việc thực hiện DPA này sẽ có hiệu lực tương tự như việc ký vào Phụ lục đã được phê duyệt.

2.4

Phụ lục được phê duyệt sẽ được coi là hoàn thành như sau: một số văn bản

  1. “Phụ lục SCC của EU” sẽ đề cập đến các SCC khi chúng được đưa vào Hiệp định này theo khoản 13 và Phụ lục 3 này;
  2. Bảng 1 của Phụ lục được phê duyệt sẽ được hoàn thành với các chi tiết trong đoạn A của Phụ lục 1;
  3. “Thông tin Phụ lục” sẽ đề cập đến thông tin được nêu trong Phụ lục 1 và Bảng 2
  4. đối với mục đích của Bảng 4 của Phụ lục được phê duyệt, Brisk (với tư cách là người nhập dữ liệu) có thể chấm dứt DPA này, trong phạm vi áp dụng Phụ lục được phê duyệt, theo Mục‎19 của Phụ lục đã được phê duyệt; và
  5. Mục 16 của Phụ lục được phê duyệt không áp dụng.
3. Phụ lục Thụy Sĩ
3.1

Phụ lục Thụy Sĩ này sẽ áp dụng cho bất kỳ Xử lý Dữ liệu được Bảo hiểm nào tuân theo Luật Bảo vệ Dữ liệu Thụy Sĩ.

3.2

Giải thích Phụ lục này

  1. Trong trường hợp Phụ lục này sử dụng các thuật ngữ được định nghĩa trong Điều khoản Hợp đồng Tiêu chuẩn, các điều khoản đó sẽ có ý nghĩa tương tự như trong Điều khoản Hợp đồng Tiêu chuẩn. Ngoài ra, các thuật ngữ sau có ý nghĩa sau:

    Phụ lục“có nghĩa là phụ lục này cho các Điều khoản;
    Điều khoản“có nghĩa là các Điều khoản Hợp đồng Tiêu chuẩn được đưa vào DPA này theo khoản 13 và như được quy định thêm trong Phụ lục 3 này; và
    FDPIC“có nghĩa là Ủy viên Thông tin và Bảo vệ Dữ liệu Liên bang.
  1. Phụ lục này sẽ được đọc và giải thích theo cách phù hợp với Luật Bảo vệ Dữ liệu Thụy Sĩ và để nó thực hiện nghĩa vụ của các Bên theo Điều 16 (2) (d) của FADP.
  2. Phụ lục này sẽ không được giải thích theo cách mâu thuẫn với các quyền và nghĩa vụ được quy định trong Luật Bảo vệ Dữ liệu Thụy Sĩ.
  3. Bất kỳ tham chiếu nào đến pháp luật (hoặc các quy định cụ thể của pháp luật) có nghĩa là luật pháp (hoặc điều khoản cụ thể) vì nó có thể thay đổi theo thời gian. Điều này bao gồm trường hợp luật (hoặc điều khoản cụ thể) đó đã được hợp nhất, ban hành lại và/hoặc thay thế sau khi Phụ lục Thụy Sĩ này đã được đưa ra.
  4. Liên quan đến bất kỳ Xử lý Dữ liệu Cá nhân nào tuân theo Luật Bảo vệ Dữ liệu Thụy Sĩ, Phụ lục này sửa đổi và bổ sung các Điều khoản trong phạm vi cần thiết để chúng hoạt động: một số văn bản
    1. đối với việc chuyển giao được thực hiện bởi nhà xuất dữ liệu cho người nhập dữ liệu, trong phạm vi Luật Bảo vệ Dữ liệu Thụy Sĩ áp dụng cho Xử lý của nhà xuất dữ liệu khi thực hiện chuyển giao đó; và
    2. là các điều khoản bảo vệ dữ liệu tiêu chuẩn được FDPIC phê duyệt, ban hành hoặc công nhận cho các mục đích của Điều 16 (2) (d) của FADP.

3.3

Hệ thống phân cấp

Trong trường hợp có mâu thuẫn hoặc không nhất quán giữa Phụ lục này và các quy định của Điều khoản hoặc các thỏa thuận liên quan khác giữa các Bên, tồn tại tại thời điểm Phụ lục này được thỏa thuận hoặc tham gia sau đó, các điều khoản cung cấp sự bảo vệ tốt nhất cho Chủ thể Dữ liệu sẽ được ưu tiên áp dụng.

3.4

Những thay đổi đối với các điều khoản

  1. Trong phạm vi Xử lý Dữ liệu Cá nhân của nhà xuất dữ liệu hoàn toàn tuân theo Luật Bảo vệ Dữ liệu Thụy Sĩ hoặc việc chuyển Dữ liệu Cá nhân từ nhà xuất dữ liệu sang nhà nhập dữ liệu theo Điều khoản là “chuyển tiếp” (như được định nghĩa trong các Điều khoản, được sửa đổi bởi phần còn lại của đoạn 3.3 (a)), các sửa đổi sau đây được thực hiện đối với các Điều khoản:
    1. Các tham chiếu đến “Điều khoản” hoặc “SCC” có nghĩa là Phụ lục Thụy Sĩ này vì nó sửa đổi SCC.
    2. Khoản 6 Mô tả (các) chuyển nhượng được thay thế bằng:
    3. “Các chi tiết về việc chuyển giao, và đặc biệt là các loại Dữ liệu Cá nhân được chuyển và (các) mục đích mà chúng được chuyển giao, là những chi tiết được quy định trong Bảng 1 của DPA này, nơi Luật Bảo vệ Dữ liệu Thụy Sĩ áp dụng cho việc xử lý của nhà xuất dữ liệu khi thực hiện chuyển giao đó.”
    4. Các tham chiếu đến “Quy định (EU) 2016/679” hoặc “Quy định đó” hoặc “GDPR” được thay thế bằng “Luật Bảo vệ Dữ liệu Thụy Sĩ” và tham chiếu đến (các) Điều cụ thể của “Quy định (EU) 2016/679" hoặc “GDPR” được thay thế bằng Điều tương đương hoặc Phần của Luật Bảo vệ Dữ liệu Thụy Sĩ được áp dụng.
    5. Các tham chiếu đến Quy định (EU) 2018/1725 bị xóa.
    6. Các tham chiếu đến “Liên minh châu Âu”, “Liên minh”, “EU” và “Quốc gia thành viên EU” đều được thay thế bằng “Thụy Sĩ”.
    7. Khoản 13 (a) và Phần C của Phụ lục I không được sử dụng; “cơ quan giám sát có thẩm quyền” là FDPIC;
    8. Điều 17 được thay thế để nêu rõ: “Các điều khoản này được điều chỉnh bởi luật pháp Thụy Sĩ”.
    9. Điều 18 được thay thế để nêu rõ: “Bất kỳ tranh chấp nào phát sinh từ các Điều khoản này liên quan đến Luật Bảo vệ Dữ liệu Thụy Sĩ sẽ được giải quyết bởi các tòa án của Thụy Sĩ. Chủ thể dữ liệu cũng có thể đưa ra các thủ tục tố tụng pháp lý chống lại người xuất dữ liệu và/hoặc người nhập dữ liệu trước tòa án của Thụy Sĩ nơi người đó có nơi cư trú thường xuyên của mình. Các Bên đồng ý quy phục quyền tài phán của các tòa án đó.”
KẾ HOẠCH 4: Bộ xử lý phụ được ủy quyền