quay lại Pháp lý

Thỏa thuận xử lý dữ liệu

Cập nhật lần cuối: 
2024-04-24

Botpress Thỏa thuận xử lý dữ liệu (DPA)

DPA này bổ sung cho và tạo thành một phần không thể thiếu của thỏa thuận giữa thực thể của Botpress nhóm được xác định trong Điều khoản dịch vụ và Khách hàng. DPA này có hiệu lực khi được đưa vào thỏa thuận đó bằng cách tham chiếu.

1. Định nghĩa

1.a Các thuật ngữ viết hoa không được định nghĩa ở đây sẽ có nghĩa được quy định trong Thỏa thuận.

1.b Trong DPA này:

(a) “ Thỏa thuận ” có nghĩa như được quy định trong Điều khoản dịch vụ.

(b) “ Nhóm Botpress ” có nghĩa là Botpress và bất kỳ chi nhánh nào của nó.

(c) “ Thông tin cá nhân của California ” có nghĩa là Dữ liệu cá nhân phải tuân theo sự bảo vệ của CCPA.

(d) “ Luật bảo vệ dữ liệu của Canada ” có nghĩa là Đạo luật bảo vệ thông tin cá nhân và tài liệu điện tử, SC 2000, c 5 và Đạo luật về bảo vệ thông tin cá nhân trong khu vực tư nhân, CQLR c P-39.1 có thể được sửa đổi, thay thế hoặc thay thế.

(e) “ CCPA ” có nghĩa là Bộ luật Dân sự California Mục 1798.100 trở đi (còn được gọi là Đạo luật Quyền riêng tư của Người tiêu dùng California năm 2018).

(f) “ Người tiêu dùng”,Doanh nghiệp ”, “ Bán ” và “ Nhà cung cấp dịch vụ ” sẽ có ý nghĩa như được nêu trong CCPA.

(g) “ Người kiểm soát ” có nghĩa là bất kỳ Người nào, một mình hoặc cùng với những người khác, xác định mục đích và phương tiện Xử lý Dữ liệu Cá nhân.

(h) “ Luật bảo vệ dữ liệu ” có nghĩa là tất cả luật pháp hiện hành trên toàn thế giới liên quan đến bảo vệ dữ liệu và quyền riêng tư áp dụng cho một bên của DPA này, bao gồm nhưng không giới hạn Luật bảo vệ dữ liệu của Châu Âu, Luật bảo vệ dữ liệu của Canada và CCPA trong từng trường hợp khi được sửa đổi, bãi bỏ, hợp nhất hoặc thay thế theo thời gian.

(i) “ Chủ thể dữ liệu ” có nghĩa là cá nhân mà Dữ liệu cá nhân liên quan đến.

(j) “ Châu Âu ” có nghĩa là Liên minh Châu Âu, Khu vực Kinh tế Châu Âu và/hoặc các quốc gia thành viên của họ, Thụy Sĩ và Vương quốc Anh.

(k) “ Luật bảo vệ dữ liệu châu Âu ” có nghĩa là luật bảo vệ dữ liệu áp dụng tại châu Âu, có thể được sửa đổi, thay thế hoặc thay thế.

(l) “ Dữ liệu Châu Âu ” có nghĩa là Dữ liệu Cá nhân phải tuân theo sự bảo vệ của Luật Bảo vệ Dữ liệu Châu Âu.

(m) “ Các Chi nhánh được phép ” có nghĩa là bất kỳ Chi nhánh Khách hàng nào (i) được phép sử dụng Dịch vụ Phần mềm theo Thỏa thuận, (ii) đủ điều kiện là Bộ điều khiển Dữ liệu Cá nhân được Xử lý bởi Botpress và (iii) phải tuân theo Luật Bảo vệ Dữ liệu của Châu Âu.

(n) “ Người ” được hiểu theo nghĩa rộng và bao gồm bất kỳ cá nhân, tập đoàn, công ty trách nhiệm hữu hạn, quan hệ đối tác hạn chế, công ty, hiệp hội, quan hệ đối tác, ủy thác hoặc bất động sản, liên doanh, tổ chức chính phủ hoặc đơn vị chính trị của tổ chức đó, hoặc bất kỳ tổ chức nào khác.

(o) “ Dữ liệu cá nhân ” có nghĩa là bất kỳ thông tin nào liên quan đến một cá nhân đã được xác định hoặc có thể xác định được.

(p) “ Xử lý ” hoặc “ Quy trình ” có nghĩa là bất kỳ hoạt động hoặc tập hợp các hoạt động nào được Bộ xử lý thực hiện trên Dữ liệu cá nhân, bất kể có sử dụng phương tiện tự động hay không;

(q) “ Bộ xử lý ” có nghĩa là Người xử lý Dữ liệu cá nhân thay mặt cho Bộ điều khiển.

(r) “ Cơ quan quản lý ” có nghĩa là, tùy từng trường hợp, bất kỳ Cá nhân hoặc cơ quan thực thi pháp luật hoặc cơ quan khác có thẩm quyền quản lý, giám sát hoặc chính phủ (theo chương trình luật định hoặc theo cách khác) đối với toàn bộ hoặc bất kỳ phần nào của Hoạt động xử lý dữ liệu cá nhân liên quan đến việc cung cấp hoặc nhận Dịch vụ, bao gồm nhưng không giới hạn ở các cơ quan giám sát bảo vệ dữ liệu của Châu Âu;

(s) “ Vi phạm bảo mật ” có nghĩa là vi phạm bảo mật dẫn đến việc vô tình hoặc bất hợp pháp phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập vào Dữ liệu cá nhân được truyền, lưu trữ hoặc Xử lý theo cách khác bởi Botpress và/hoặc Bộ xử lý phụ liên quan đến việc cung cấp Dịch vụ, không bao gồm các sự kiện không gây nguy hiểm đến tính bảo mật của Dữ liệu cá nhân, bao gồm các nỗ lực đăng nhập không thành công, ping, quét cổng, tấn công từ chối dịch vụ và các cuộc tấn công mạng khác vào tường lửa hoặc hệ thống mạng.

(t) “ Dịch vụ ” có nghĩa là Dịch vụ phần mềm hoặc Dịch vụ chuyên nghiệp do bất kỳ thực thể nào của Botpress Nhóm cho Khách hàng hoặc các Chi nhánh của Khách hàng.

(u) “ Điều khoản hợp đồng tiêu chuẩn ” có nghĩa là các điều khoản hợp đồng tiêu chuẩn được đính kèm vào Quyết định (EU) 2021/914 ngày 4 tháng 6 năm 2021 của Ủy ban Châu Âu; có thể được sửa đổi, thay thế hoặc thay thế.

(v) “ Bộ xử lý phụ ” có nghĩa là bất kỳ Bộ xử lý nào được thuê bởi Botpress hoặc Botpress Các chi nhánh hỗ trợ thực hiện Botpress nghĩa vụ liên quan đến việc cung cấp Dịch vụ theo Thỏa thuận. Các Bộ xử lý phụ có thể bao gồm bên thứ ba hoặc Botpress Các chi nhánh nhưng sẽ không bao gồm các cá nhân được tuyển dụng hoặc tham gia bởi Botpress .

(w) “ Quốc gia thứ ba ” có nghĩa là một khu vực pháp lý hoặc người nhận: (i) không được Ủy ban Châu Âu công nhận là cung cấp mức độ bảo vệ đầy đủ cho dữ liệu cá nhân; và (ii) không được bao phủ bởi một khuôn khổ phù hợp được các cơ quan hoặc tòa án có liên quan công nhận là cung cấp mức độ bảo vệ đầy đủ cho dữ liệu cá nhân;

(x) “ Dữ liệu sử dụng ” có nghĩa là dữ liệu liên quan đến việc Người dùng được ủy quyền sử dụng Phần mềm, có thể chứa Dữ liệu cá nhân khi cần xác định từng người dùng nhưng không bao gồm bất kỳ Dữ liệu hội thoại nào. Dữ liệu sử dụng có thể bao gồm Dữ liệu cá nhân về nhân viên và nhà thầu của Khách hàng nhưng không bao gồm dữ liệu về người dùng cuối tương tác với Bot của Khách hàng.

2. Vai trò của các bên

2.a Trong quá trình Xử lý Dữ liệu Hội thoại thông qua Dịch vụ, các bên thừa nhận và đồng ý rằng Khách hàng đóng vai trò là Bộ điều khiển và rằng Botpress hoạt động như một Bộ xử lý.

2.b Nếu Khách hàng hoạt động như một Bộ xử lý thay mặt cho Bộ điều khiển, Botpress được coi là đơn vị xử lý phụ của Khách hàng.

2.c Botpress sẽ là Người kiểm soát đối với Dữ liệu sử dụng.

3. Tuân thủ Luật bảo vệ dữ liệu

3.a Mỗi bên phải thực hiện mọi hoạt động xử lý Dữ liệu cá nhân theo đúng quy định của Luật bảo vệ dữ liệu hiện hành.

3.b Botpress không chịu trách nhiệm tuân thủ bất kỳ Luật bảo vệ dữ liệu nào áp dụng cho Khách hàng hoặc ngành của Khách hàng mà không áp dụng chung cho Botpress .

3.c Nếu Botpress nhận thấy rằng không thể Xử lý Dữ liệu Cá nhân theo hướng dẫn của Khách hàng do yêu cầu pháp lý theo bất kỳ luật hiện hành nào, Botpress sẽ (i) thông báo kịp thời cho Khách hàng về yêu cầu pháp lý đó trong phạm vi được pháp luật hiện hành cho phép; và (ii) khi cần thiết, dừng mọi Xử lý (ngoại trừ việc chỉ lưu trữ và duy trì tính bảo mật của Dữ liệu cá nhân bị ảnh hưởng) cho đến khi Khách hàng đưa ra hướng dẫn mới tuân thủ pháp luật hiện hành. Nếu điều khoản này được viện dẫn, Botpress sẽ không chịu trách nhiệm với Khách hàng theo Thỏa thuận đối với bất kỳ trường hợp không thực hiện Dịch vụ phần mềm hoặc Dịch vụ chuyên nghiệp nào cho đến thời điểm đó Botpress xác định một cách hợp lý rằng hướng dẫn của Khách hàng là hợp pháp.

4. Botpress Nghĩa vụ

4.a Botpress sẽ chỉ Xử lý Dữ liệu Cá nhân cho các mục đích được mô tả trong DPA này hoặc theo thỏa thuận khác trong phạm vi hướng dẫn hợp pháp nhận được từ Khách hàng, trừ trường hợp và trong phạm vi luật hiện hành yêu cầu khác.

4.b Botpress sẽ triển khai và duy trì các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ Dữ liệu cá nhân khỏi các Sự cố bảo mật, bao gồm các biện pháp được mô tả trong Phụ lục 2 của DPA này (“ Biện pháp bảo mật ”). Botpress có thể sửa đổi hoặc cập nhật các Biện pháp Bảo mật theo quyết định của mình với điều kiện là việc sửa đổi hoặc cập nhật đó không làm giảm đáng kể khả năng bảo vệ do các Biện pháp Bảo mật cung cấp.

4.c Botpress sẽ xử lý Dữ liệu cá nhân như thông tin bí mật của Khách hàng và sẽ đảm bảo rằng bất kỳ nhân viên hoặc bên liên hệ nào được phép truy cập hoặc Xử lý Dữ liệu cá nhân đều phải tuân thủ các nghĩa vụ bảo mật phù hợp (dù là theo hợp đồng hay theo luật định) đối với Dữ liệu cá nhân đó.

4.đ Botpress sẽ xóa hoặc trả lại tất cả Dữ liệu cá nhân được Xử lý theo DPA này khi Thỏa thuận chấm dứt hoặc hết hạn. Botpress có thể lưu giữ các bản sao Dữ liệu cá nhân khi luật hiện hành yêu cầu hoặc khi Dữ liệu cá nhân đã được lưu trữ trên các hệ thống sao lưu, dữ liệu đó sẽ được cô lập và bảo vệ an toàn khỏi mọi Xử lý tiếp theo và bị xóa theo các thông lệ xóa hiện hành.

5. Nghĩa vụ của khách hàng

5.a Khách hàng có trách nhiệm đảm bảo rằng việc sử dụng Dịch vụ Phần mềm hoặc Phần mềm của mình tuân thủ mọi Luật Bảo vệ Dữ liệu hiện hành, bao gồm việc đảm bảo rằng (i) Khách hàng được phép chỉ định Botpress để Xử lý Dữ liệu Cá nhân thay mặt cho mình theo DPA này, (ii) nó có quyền chuyển giao hoặc cung cấp quyền truy cập vào Dữ liệu Cá nhân cho Botpress để Xử lý theo các điều khoản của Thỏa thuận (bao gồm cả DPA này), (iii) đảm bảo rằng các hướng dẫn của Khách hàng liên quan đến Xử lý Dữ liệu Cá nhân tuân thủ luật hiện hành, bao gồm Luật Bảo vệ Dữ liệu;

5.b Khách hàng phải thông báo ngay lập tức Botpress bằng văn bản nếu có lý do để tin hoặc nếu đã được thông báo rằng Việc Xử lý Dữ liệu Cá nhân do Khách hàng thực hiện thông qua Dịch vụ là hoặc có thể vi phạm luật hiện hành, bao gồm Luật Bảo vệ Dữ liệu.

5.c Khách hàng có trách nhiệm xác định xem các biện pháp bảo mật được thực hiện bởi Botpress đáp ứng đầy đủ các nghĩa vụ của Khách hàng theo Luật Bảo vệ Dữ liệu hiện hành. Khách hàng cũng có trách nhiệm đảm bảo rằng quyền truy cập vào Dịch vụ Phần mềm của mình được bảo mật và chỉ dành cho nhân viên được ủy quyền.

6. Vi phạm an ninh

6.một Botpress sẽ thông báo ngay cho Khách hàng nếu phát hiện bất kỳ Vi phạm bảo mật nào và sẽ cung cấp thông tin kịp thời liên quan đến Vi phạm bảo mật đó khi Khách hàng biết hoặc yêu cầu một cách hợp lý.

6.b Theo yêu cầu, Botpress sẽ nhanh chóng cung cấp hỗ trợ hợp lý cho Khách hàng khi cần thiết để cho phép Khách hàng thông báo về Vi phạm bảo mật cho Cơ quan quản lý và/hoặc Chủ thể dữ liệu bị ảnh hưởng, nếu thông báo đó là bắt buộc theo Luật bảo vệ dữ liệu.

7. Bộ xử lý phụ

7.a Botpress có thể thuê Bộ xử lý phụ để Xử lý Dữ liệu cá nhân. Các Bộ xử lý phụ hiện tại được liệt kê tại Phụ lục 3, bất kỳ thay đổi nào đối với Bộ xử lý phụ sẽ được thông báo cho Khách hàng.

7.b Botpress lựa chọn các Bộ xử lý phụ cung cấp các cam kết bảo vệ dữ liệu cung cấp ít nhất cùng mức độ bảo vệ cho Dữ liệu cá nhân như các cam kết trong DPA này (bao gồm, khi thích hợp, các Điều khoản hợp đồng tiêu chuẩn), trong phạm vi áp dụng cho bản chất của các dịch vụ do các Bộ xử lý phụ đó cung cấp. Botpress vẫn chịu trách nhiệm về việc tuân thủ các nghĩa vụ của DPA này của mỗi Bộ xử lý phụ và đối với bất kỳ hành vi hoặc thiếu sót nào của Bộ xử lý phụ đó gây ra vi phạm bất kỳ Botpress ' nghĩa vụ theo DPA này.

7.c Nếu Botpress Xử lý Dữ liệu Châu Âu thay mặt cho Khách hàng, Khách hàng có thể phản đối một Bộ xử lý phụ mới, vì những lý do hợp lý dựa trên bảo vệ dữ liệu. Nếu được thông báo về sự phản đối như vậy, Botpress đồng ý thảo luận vấn đề một cách thiện chí để đạt được giải pháp hợp lý về mặt thương mại. Nếu không thể đạt được giải pháp như vậy, Botpress có thể lựa chọn từ bỏ việc bổ nhiệm Bộ xử lý phụ mới hoặc cho phép Khách hàng chấm dứt đăng ký của mình đối với phần Dịch vụ phần mềm dựa trên Bộ xử lý phụ mới đó mà không phải chịu trách nhiệm với bất kỳ bên nào (nhưng không ảnh hưởng đến bất kỳ khoản phí nào phát sinh trước khi chấm dứt).

7.d Nếu được yêu cầu bởi luật pháp hoặc theo Điều khoản hợp đồng tiêu chuẩn, Botpress sẽ nỗ lực hợp lý để cung cấp cho Khách hàng thông tin cần thiết về Botpress ' thỏa thuận với các Bộ xử lý phụ. Khách hàng đồng ý rằng một số thông tin có thể được biên tập từ các thỏa thuận đó hoặc được cung cấp trên cơ sở bảo mật.

8. Chuyển giao dữ liệu cá nhân

8.a Việc xử lý Dữ liệu cá nhân khác với Dữ liệu châu Âu bởi Botpress Các thực thể của nhóm sẽ diễn ra tại bất kỳ khu vực pháp lý nào mà việc xử lý đó được phép theo luật hiện hành của Khu vực pháp lý về quyền riêng tư.

8.b Việc xử lý Dữ liệu Châu Âu sẽ được thực hiện độc quyền:

a) Trong phạm vi Châu Âu;

b) tại một khu vực pháp lý cung cấp mức độ bảo vệ đầy đủ theo quyết định của Ủy ban Châu Âu dựa trên Luật Bảo vệ Dữ liệu hiện hành;

c) tại bất kỳ khu vực pháp lý nào, bởi một tổ chức hoặc thực thể cung cấp các biện pháp bảo vệ thích hợp, bao gồm thông qua Điều khoản hợp đồng tiêu chuẩn;

d) tại bất kỳ khu vực pháp lý nào, với sự đồng ý bằng văn bản của Khách hàng hoặc Chủ thể dữ liệu có liên quan.

8.c Khi Xử lý Dữ liệu Châu Âu diễn ra tại một Quốc gia thứ ba, các bên sẽ được coi là đã tham gia vào các Điều khoản Hợp đồng Chuẩn chỉ liên quan đến Dữ liệu Cá nhân có liên quan và Xử lý có liên quan. Các bên đồng ý rằng cho mục đích của các Điều khoản Hợp đồng Chuẩn:

a) Nếu Khách hàng là Người kiểm soát và Botpress là Bộ xử lý, Mô-đun 2 (Bộ điều khiển tới Bộ xử lý) sẽ được áp dụng.

b) Nếu Khách hàng là Người xử lý và Botpress là bộ xử lý phụ, Mô-đun 3 (Bộ xử lý đến Bộ xử lý) sẽ được áp dụng.

c) Đối với Dữ liệu sử dụng, Mô-đun 1 (Bộ điều khiển tới Bộ điều khiển) sẽ được áp dụng.

d) trong Điều khoản 7 của Điều khoản hợp đồng tiêu chuẩn, điều khoản neo đậu tùy chọn sẽ không được áp dụng;

e) trong Điều khoản 9 của Điều khoản hợp đồng tiêu chuẩn, Tùy chọn 2 sẽ được áp dụng và thời hạn thông báo trước bằng văn bản về thay đổi bên xử lý phụ sẽ là 10 ngày;

f) trong Điều 11 của Điều khoản hợp đồng chuẩn, ngôn ngữ tùy chọn sẽ không được áp dụng;

g) trong Điều khoản 17 (Tùy chọn 1), Điều khoản hợp đồng tiêu chuẩn sẽ được điều chỉnh bởi luật pháp Ireland;

h) tại Khoản 18(b) của Điều khoản hợp đồng tiêu chuẩn, các tranh chấp sẽ được giải quyết trước tòa án Ireland;

Tôi) Botpress sẽ là "bên nhập dữ liệu" và Khách hàng sẽ là "bên xuất dữ liệu" (thay mặt cho chính mình và các Bên liên kết được phép);

j) thông tin có liên quan được nêu trong Phụ lục 1 và Phụ lục 2 của DPA này được coi là đã được đưa vào Phụ lục của Điều khoản hợp đồng chuẩn;

k) nếu và trong phạm vi các Điều khoản hợp đồng chuẩn xung đột với bất kỳ điều khoản nào của DPA này, thì các Điều khoản hợp đồng chuẩn sẽ được ưu tiên áp dụng trong phạm vi xung đột đó.

8.d Chuyển giao Thụy Sĩ và Vương quốc Anh. Trong phạm vi chuyển giao Dữ liệu cá nhân giữa Khách hàng và Botpress và/hoặc Bộ xử lý phụ phải tuân theo Luật bảo vệ dữ liệu của Thụy Sĩ hoặc Vương quốc Anh, các Điều khoản hợp đồng chuẩn sẽ được coi là đã được sửa đổi để phản ánh các yêu cầu của Luật bảo vệ dữ liệu hiện hành của Thụy Sĩ và Vương quốc Anh, bao gồm các tham chiếu đến luật pháp, luật hiện hành và các cơ quan có thẩm quyền và tòa án.

9. Xử lý CCPA

9.a Khi xử lý Thông tin cá nhân của California theo hướng dẫn của Khách hàng, các bên thừa nhận và đồng ý rằng Khách hàng là một Doanh nghiệp và Botpress là Nhà cung cấp dịch vụ cho mục đích của CCPA. Các bên đồng ý rằng Botpress sẽ Xử lý Thông tin Cá nhân của California với tư cách là Nhà cung cấp Dịch vụ chỉ nhằm mục đích thực hiện Dịch vụ Phần mềm và Dịch vụ Chuyên nghiệp theo Thỏa thuận ( Mục đích Kinh doanh ) hoặc theo cách khác được CCPA cho phép.

10. Yêu cầu của bên thứ ba

10.a Khách hàng có trách nhiệm giải quyết mọi yêu cầu từ Chủ thể dữ liệu hoặc Cơ quan quản lý liên quan đến Dữ liệu cá nhân của họ và Khách hàng sẽ sử dụng các tính năng của Dịch vụ phần mềm có sẵn để truy xuất thông tin có liên quan về việc xử lý Dữ liệu cá nhân.

10.b Nếu Khách hàng không thể tự mình giải quyết yêu cầu của Chủ thể dữ liệu hoặc Cơ quan quản lý (“ Yêu cầu ”), Botpress sẽ cung cấp hỗ trợ hợp lý cho Khách hàng, để trả lời bất kỳ yêu cầu nào liên quan đến Xử lý Dữ liệu Cá nhân theo Thỏa thuận. Ngoại trừ trường hợp và trong phạm vi yêu cầu dựa trên việc không thực hiện Botpress để tôn trọng các nghĩa vụ của mình theo DPA này, Khách hàng sẽ hoàn trả Botpress cho các chi phí hợp lý trong việc cung cấp bất kỳ hỗ trợ nào cho Khách hàng.

10.c Nếu Yêu cầu hoặc thông tin liên lạc khác liên quan đến Xử lý Dữ liệu Cá nhân theo Thỏa thuận được gửi trực tiếp tới Botpress , Botpress sẽ thông báo ngay cho Khách hàng và sẽ tư vấn cho Chủ thể dữ liệu hoặc Cơ quan quản lý gửi Yêu cầu của họ trực tiếp cho Khách hàng. Khách hàng sẽ chịu toàn bộ trách nhiệm trả lời về mặt nội dung cho bất kỳ Yêu cầu hoặc thông tin liên lạc nào liên quan đến Dữ liệu cá nhân.

11. Kiểm toán liên quan đến dữ liệu cá nhân

11.a Theo yêu cầu và thông báo hợp lý cho Botpress , Khách hàng được phép, với chi phí của riêng mình, thực hiện các xác minh cần thiết để đảm bảo rằng Dữ liệu cá nhân được xử lý bởi Botpress thay mặt cho Khách hàng được xử lý theo hướng dẫn của Khách hàng. Theo yêu cầu của Khách hàng, Botpress sẽ cho phép kiểm toán và thanh tra quá trình xử lý được thực hiện bởi Botpress . Việc kiểm toán như vậy có thể được thực hiện bởi Khách hàng và/hoặc bên thứ ba (do Khách hàng lựa chọn và được chấp nhận hợp lý bởi Botpress ) hành động thay mặt cho Khách hàng. Khách hàng sẽ thực hiện mọi biện pháp cần thiết để tránh gây ra bất kỳ thiệt hại hoặc gián đoạn nào cho cơ sở, thiết bị, nhân sự và hoạt động kinh doanh của Botpress Nhóm thực thể.

11.b Khách hàng và Botpress sẽ thỏa thuận trước về bản chất, phạm vi và thời hạn của bất kỳ cuộc kiểm toán nào của Khách hàng và Khách hàng sẽ hoàn trả Botpress cho tất cả các chi phí hợp lý liên quan đến việc kiểm toán như vậy, có thể được ước tính theo yêu cầu của Khách hàng trước khi bắt đầu kiểm toán. Trong phạm vi có thể, bất kỳ yêu cầu kiểm toán nào của Khách hàng sẽ được thực hiện thông qua các báo cáo kiểm toán của bên thứ ba do Botpress , nếu có sẵn.

11.c Nếu Botpress Xử lý Dữ liệu Châu Âu thay mặt cho Khách hàng, Botpress sẽ cung cấp cho Khách hàng, theo yêu cầu hợp lý (trên cơ sở bảo mật) (i) bản sao tóm tắt báo cáo thử nghiệm bảo mật của mình và (ii) phản hồi bằng văn bản cho tất cả các yêu cầu hợp lý về thông tin do Khách hàng đưa ra cần thiết để xác nhận Botpress tuân thủ DPA này, với điều kiện là Khách hàng sẽ không thực hiện quyền đó nhiều hơn một lần mỗi năm dương lịch trừ khi Khách hàng có thể đưa ra lý do hợp lý để nghi ngờ Botpress ' không tuân thủ DPA.

12. Giới hạn trách nhiệm

12.một Botpress ' và trách nhiệm pháp lý của các Công ty liên kết, được tính tổng hợp, phát sinh từ hoặc liên quan đến DPA này (và bất kỳ DPA nào khác giữa các bên) và Điều khoản hợp đồng tiêu chuẩn (nếu có), cho dù trong hợp đồng, hành vi vi phạm pháp luật hoặc theo bất kỳ lý thuyết trách nhiệm pháp lý nào khác, sẽ bị giới hạn ở tổng số tiền Phí mà Khách hàng đã trả cho Botpress để xem xét các Dịch vụ trong thời gian 12 tháng trước khi xảy ra sự cố dẫn đến trách nhiệm pháp lý.

13. Quyền hạn

Trừ khi có yêu cầu khác theo Luật bảo vệ dữ liệu hiện hành, DPA này sẽ được điều chỉnh và diễn giải theo luật áp dụng cho Thỏa thuận và mọi tranh chấp liên quan đến Thỏa thuận này sẽ được giải quyết bởi tòa án có thẩm quyền của khu vực tài phán được nêu trong Đề xuất.

Trong phạm vi Luật Bảo vệ Dữ liệu yêu cầu DPA này phải tuân theo luật pháp của một quốc gia thành viên Liên minh Châu Âu, DPA này sẽ tuân theo luật pháp của Ireland và các tranh chấp liên quan đến Thỏa thuận này sẽ được giải quyết tại tòa án Ireland.

14. Tổng quát

14.a Quyền ưu tiên. Trong trường hợp có bất kỳ sự không nhất quán nào giữa bất kỳ điều khoản nào của DPA này và bất kỳ điều khoản nào khác của Thỏa thuận, các điều khoản của DPA sẽ luôn được ưu tiên, trừ khi và trong phạm vi được quy định rõ ràng rằng một điều khoản khác của Thỏa thuận sẽ được ưu tiên hoặc rằng một điều khoản của DPA này sẽ bị hủy bỏ hoặc sửa đổi.

14.b Sửa đổi. Botpress có thể sửa đổi DPA này để phản ánh những thay đổi trong hoạt động xử lý dữ liệu của mình. Bất kỳ sửa đổi nào khác ngoài những thay đổi để làm rõ ngôn ngữ (sẽ được thông báo thường xuyên cho Khách hàng) sẽ được gửi cho Khách hàng và sẽ không áp dụng trừ khi được Khách hàng chấp nhận. Nếu luật hiện hành yêu cầu sửa đổi DPA này, Khách hàng sẽ

có quyền lựa chọn chấp nhận sửa đổi đó hoặc chấm dứt đăng ký Dịch vụ phần mềm.

14.c Tính khả thi . Nếu bất kỳ điều khoản riêng lẻ nào của DPA này được xác định là không hợp lệ hoặc không thể thi hành, tính hợp lệ và khả năng thi hành của các điều khoản khác của DPA này sẽ không bị ảnh hưởng.

Phụ lục 1 – Chi tiết về quá trình xử lý

Xác định Bộ điều khiển

Khách hàng

Người liên hệ: người được xác định trong Đề xuất được Khách hàng chấp nhận. Xác định Bộ xử lý

Nếu Khách hàng ở Canada: Công nghệ Botpress Công ty TNHH

Nếu Khách hàng ở nơi khác: Botpress , Inc.

Người liên hệ:

Jean-Bernard Perrron

bảo vệ@ botpress .com

Các loại chủ thể dữ liệu

Khách hàng có thể gửi Dữ liệu cá nhân trong quá trình sử dụng Dịch vụ phần mềm, phạm vi do Khách hàng xác định và kiểm soát theo quyết định riêng của mình, tuân theo các điều khoản dịch vụ hiện hành và có thể bao gồm nhưng không giới hạn ở Dữ liệu cá nhân liên quan đến các loại Đối tượng dữ liệu sau:

  • Cá nhân sử dụng Phần mềm thay mặt cho Khách hàng
  • Người dùng cuối của Bot khách hàng

Các loại dữ liệu cá nhân

Khách hàng có thể gửi Dữ liệu cá nhân đến Dịch vụ phần mềm và có thể cho phép Người dùng cuối gửi Dữ liệu cá nhân đến Dịch vụ phần mềm, phạm vi do Khách hàng xác định và kiểm soát theo quyết định riêng của mình, tùy thuộc vào các điều khoản dịch vụ hiện hành.

Dịch vụ phần mềm không được thiết kế cho mục đích Xử lý dữ liệu nhạy cảm, Khách hàng phải chịu trách nhiệm xác định tính phù hợp của Dịch vụ phần mềm để Xử lý dữ liệu nhạy cảm.

Botpress sẽ xử lý thông tin liên lạc về Người dùng được ủy quyền (tên, email, điện thoại) cũng như dữ liệu sử dụng và hành vi về việc sử dụng sản phẩm cho mục đích hỗ trợ kỹ thuật và thống kê.

Bản chất của quá trình xử lý

  • Lưu trữ và Xử lý khác cần thiết để cung cấp, duy trì và cải thiện Dịch vụ được cung cấp cho Khách hàng;
  • Tiết lộ theo Thỏa thuận (bao gồm cả DPA này) và/hoặc theo yêu cầu của luật hiện hành;
  • Botpress sẽ Xử lý Dữ liệu Cá nhân khi cần thiết để cung cấp Dịch vụ theo Thỏa thuận và theo hướng dẫn thêm của Khách hàng khi sử dụng Dịch vụ.
  • Botpress Xử lý Dữ liệu sử dụng để cung cấp hỗ trợ kỹ thuật và cho mục đích thống kê (để cải tiến và phát triển sản phẩm).

Thời hạn Dữ liệu cá nhân sẽ được lưu giữ

Tùy thuộc vào Botpress ' nghĩa vụ xóa hoặc trả lại dữ liệu cho Khách hàng, theo Thỏa thuận Botpress sẽ Xử lý Dữ liệu Cá nhân trong suốt thời hạn của Thỏa thuận, trừ khi có thỏa thuận khác bằng văn bản.

Phụ lục 2 – Các biện pháp an ninh

1. Quản trị

Botpress thực hiện các chính sách và thủ tục phù hợp liên quan đến Dữ liệu cá nhân, bao gồm:

  • Quy trình bảo mật thông tin;
  • Chính sách sử dụng Dữ liệu cá nhân;
  • Quy trình báo cáo sự cố về an ninh và quyền riêng tư;
  • Cơ chế đánh giá rủi ro;
  • Quy trình kiểm toán nội bộ;
  • Biện pháp hợp đồng;

2. Quyền truy cập của người dùng

  • Chức năng và trách nhiệm của Botpress người dùng và hồ sơ người dùng có quyền truy cập vào Dữ liệu cá nhân và hệ thống thông tin được xác định rõ ràng.
  • Botpress áp dụng các biện pháp để thông báo cho người sử dụng về các quy tắc bảo mật ảnh hưởng đến việc thực hiện nhiệm vụ của họ và hậu quả nếu họ vi phạm các quy tắc này.
  • Giao thức văn bản rõ ràng không được sử dụng để truy cập hoặc chuyển Dữ liệu cá nhân. Chỉ giao thức SSL được chấp nhận cho các hoạt động này.
  • Botpress đảm bảo tính bảo mật của các quy trình và thủ tục xử lý hoặc tiêu hủy phương tiện hoặc thiết bị vật lý có thể chứa Dữ liệu cá nhân.
  • Dữ liệu cá nhân được tách biệt về mặt vật lý hoặc tách biệt về mặt logic nếu dữ liệu đó nằm trên cơ sở dữ liệu hoặc môi trường ảo, khỏi các dữ liệu khác Botpress dữ liệu. Nếu Dữ liệu cá nhân không được tách biệt về mặt vật lý khỏi dữ liệu, hệ thống hoặc ứng dụng khác không liên quan đến Khách hàng, Botpress áp dụng các biện pháp kiểm soát an ninh phù hợp, bao gồm kiểm soát truy cập.

3. Kiểm soát truy cập

Botpress duy trì các máy chủ, cơ sở dữ liệu có liên quan và các thành phần phần cứng và/hoặc phần mềm khác lưu trữ Dữ liệu cá nhân trong một trung tâm dữ liệu an toàn có quyền truy cập được kiểm soát và giám sát để chỉ cho phép nhân viên được ủy quyền ra vào.

Botpress áp dụng các biện pháp kiểm soát truy cập logic hiệu quả trên tất cả các hệ thống được sử dụng để tạo, truyền hoặc xử lý Dữ liệu cá nhân, các biện pháp đó bao gồm nhưng không giới hạn ở:

  • Xác thực người dùng, người dùng phải sử dụng mã định danh duy nhất ("ID người dùng") và tên.
  • Một chiến lược mật khẩu đủ phức tạp và mạnh mẽ.
  • Quyền/quyền đặc quyền truy cập của người dùng vào các nguồn thông tin có chứa Dữ liệu cá nhân phải được cấp khi cần thiết liên quan đến nhiệm vụ và trách nhiệm của người dùng.
  • Quyền truy cập của người dùng vào hệ thống máy tính cho phép truy cập Dữ liệu cá nhân sẽ bị xóa ngay khi người dùng rời đi hoặc nếu người dùng thay đổi công việc và công việc mới không yêu cầu quyền truy cập.
  • Mật khẩu mặc định và cài đặt bảo mật phải được thay đổi trong các sản phẩm/ứng dụng của bên thứ ba được sử dụng để hỗ trợ Dữ liệu cá nhân.
  • Các nhà cung cấp dịch vụ bên thứ ba phải tuân theo các yêu cầu và nghĩa vụ bảo mật tương đương như Botpress người dùng được ủy quyền khi xử lý Dữ liệu cá nhân.
  • Xác nhận lại hàng năm về tính hợp lý của tài khoản người dùng và các quyền hạn liên quan đến việc truy cập thông tin cá nhân.

4. Kiến trúc bảo mật mạng

Botpress áp dụng các biện pháp kiểm soát truy cập mạng hiệu quả trên tất cả các hệ thống được sử dụng để tạo, truyền hoặc xử lý Dữ liệu cá nhân, các biện pháp đó bao gồm nhưng không giới hạn ở:

  • Tường lửa luôn hoạt động và được cài đặt tại ranh giới mạng giữa mạng nội bộ (riêng tư) của Botpress và mạng công cộng (Internet).
  • Các hệ thống phát hiện và ngăn chặn xâm nhập được cấu hình và giám sát đúng cách được sử dụng trên Botpress mạng.
  • Chỉ những dịch vụ/quy trình và cổng cần thiết để thực hiện các chương trình thường lệ mới được bật trên cơ sở dữ liệu và các hệ thống thông tin khác được sử dụng để xử lý Dữ liệu cá nhân. Tất cả các dịch vụ/quy trình khác trên máy chủ đều bị vô hiệu hóa.
  • Tất cả các hệ thống thông tin, kho lưu trữ và các hệ thống khác được sử dụng để xử lý Dữ liệu cá nhân phải được đặt tại môi trường trung tâm dữ liệu được kiểm soát và được sử dụng cho mục đích bảo vệ hệ thống thông tin.
  • ● Các kênh an toàn (ví dụ: TLS, SFTP, SSH, IPSEC, v.v.) phải được sử dụng nhất quán để liên lạc với Botpress trung tâm dữ liệu.

5. Kiểm soát quản lý lỗ hổng

Botpress áp dụng các biện pháp kiểm soát quản lý lỗ hổng hiệu quả trên tất cả các hệ thống được sử dụng để tạo, truyền hoặc xử lý Dữ liệu cá nhân, các biện pháp đó bao gồm nhưng không giới hạn ở:

  • Triển khai các thiết bị phát hiện và phòng ngừa mạng để giúp lọc email lừa đảo và phần mềm độc hại trước khi chúng đến các máy trạm do Botpress và có quyền truy cập trực tiếp hoặc gián tiếp vào Dữ liệu cá nhân.
  • Triển khai phần mềm phòng ngừa và phát hiện phần mềm diệt vi-rút và phần mềm độc hại trên tất cả các máy trạm do Botpress và xử lý Dữ liệu cá nhân.
  • Duy trì quy trình và thực hành quản lý bản vá chuẩn để đảm bảo bảo vệ tất cả các thiết bị được sử dụng để truy cập, xử lý hoặc lưu trữ Dữ liệu cá nhân.
  • Các thiết bị và tài liệu chứa Dữ liệu cá nhân phải cho phép xác định thông tin được truy cập, được lập danh mục và chỉ có người dùng được phép truy cập dữ liệu theo tài liệu bảo mật mới có thể truy cập.
  • Các biện pháp ngăn ngừa trộm cắp, mất mát hoặc truy cập trái phép vào Dữ liệu cá nhân trong quá trình truyền và chuyển giao.

6. Sao lưu, phục hồi và tính khả dụng của dữ liệu

Botpress thực hiện các kế hoạch phục hồi thảm họa và duy trì hoạt động kinh doanh sau đây để giảm thiểu thời gian ngừng hoạt động và mất dữ liệu tối đa.

  • Botpress thực hiện các chức năng phục hồi sau thảm họa được thiết kế để khôi phục chức năng của hệ thống chứa Dữ liệu cá nhân trong khoảng thời gian do các bên thỏa thuận hoặc nếu không, trong khoảng thời gian hợp lý tùy theo bản chất của Dữ liệu cá nhân.
  • Botpress sẽ đảm bảo một cách có hệ thống rằng Dữ liệu cá nhân không thể truy cập được trừ khi được ủy quyền Botpress nhân sự (ví dụ: các bản sao lưu bên ngoài sẽ được mã hóa một cách có hệ thống).
  • Để giảm thiểu rủi ro từ các mối đe dọa, mối nguy hiểm và cơ hội truy cập trái phép vào môi trường, thiết bị phải được bố trí cách xa các vị trí có khả năng xảy ra rủi ro môi trường cao và được bổ sung thêm thiết bị dự phòng đặt ở khoảng cách hợp lý.
  • Các cơ chế bảo mật và dự phòng sẽ được triển khai để bảo vệ thiết bị khỏi tình trạng mất điện (ví dụ: mất điện, gián đoạn mạng, v.v.).
  • Các chính sách và thủ tục lưu giữ và lưu trữ dữ liệu phải được thiết lập và các cơ chế sao lưu hoặc dự phòng phải được triển khai để đảm bảo tuân thủ các yêu cầu về quy định, luật định, hợp đồng hoặc kinh doanh. Việc kiểm tra khả năng phục hồi của các bản sao lưu đĩa hoặc băng phải được triển khai theo các khoảng thời gian đã định.

7. Kiểm tra an ninh

Botpress áp dụng các biện pháp kiểm soát đối với tất cả các hệ thống được sử dụng để tạo, truyền hoặc xử lý Dữ liệu cá nhân, các biện pháp kiểm soát đó bao gồm nhưng không giới hạn ở:

  • Quét lỗ hổng hoặc kiểm tra của bên thứ ba đối với các thiết bị cơ sở hạ tầng bên ngoài (công cộng) có chứa Dữ liệu cá nhân.
  • Kiểm tra thâm nhập của bên thứ ba Botpress hệ thống lưu trữ và xử lý Dữ liệu cá nhân.
  • Đánh giá định kỳ của bên thứ ba khi các ứng dụng hoặc quy trình hỗ trợ thông tin tài chính.
  • Botpress cam kết xử lý mọi lỗ hổng được xác định thông qua các cuộc kiểm tra xâm nhập và thông báo cho Khách hàng về các hành động khắc phục.

8. Đào tạo và nâng cao nhận thức

Botpress triển khai chương trình nâng cao nhận thức về bảo mật cho nhân viên và nhà cung cấp dịch vụ tương tác với các hệ thống xử lý Dữ liệu cá nhân, bao gồm:

  • Botpress sẽ đảm bảo rằng nhân viên của mình hiểu được các mối đe dọa và mối quan tâm liên quan đến quản lý rủi ro thông tin Botpress Dịch vụ và chính sách quản lý rủi ro thông tin có liên quan.
  • Botpress nhân viên sẽ được đào tạo và cập nhật thường xuyên về các chính sách và thủ tục quản lý rủi ro thông tin có liên quan của chương trình phân loại quản lý rủi ro tiêu chuẩn và các thủ tục phù hợp.
  • Nhân viên nhà thầu phụ sẽ được thông báo về Botpress Kế hoạch phân loại quản lý rủi ro thông tin và các thủ tục thích hợp.
  • Phải thiết lập các chính sách và thủ tục để xóa các tài liệu có thể nhìn thấy chứa dữ liệu nhạy cảm khi không gian làm việc không có người trông coi và thực hiện đăng xuất phiên làm việc của máy trạm trong một khoảng thời gian không hoạt động.

Phụ lục 3 – Bộ xử lý phụ Trừ khi có chỉ định khác, địa điểm xử lý là: Hoa Kỳ.

Dịch vụ web của Amazon

  • AWS lưu trữ các dịch vụ đám mây và toàn bộ Dữ liệu khách hàng của chúng tôi.
  • AWS xử lý thông tin phân tích về việc sử dụng Botpress dịch vụ đám mây.

Google Analytics

  • Google Analytics xử lý thông tin phân tích về việc sử dụng Botpress dịch vụ đám mây.

Bàn làm việc tươi mới

  • Freshdesk cung cấp dịch vụ trợ giúp.
  • Freshdesk xử lý mọi dữ liệu do người dùng cung cấp cho mục đích hỗ trợ kỹ thuật.

Lọ đựng nước nóng

  • Chúng tôi sử dụng dịch vụ Hotjar trên dịch vụ này.
  • Hotjar cung cấp thông tin về hành vi của khách hàng sử dụng dịch vụ.

OpenAI

  • OpenAI được sử dụng để xử lý dữ liệu văn bản người dùng nhập vào để tạo ra phản hồi văn bản.

Bảng điều khiển hỗn hợp

  • Mixpanel được sử dụng để thu thập dữ liệu phân tích về cách sử dụng sản phẩm và trang web, nhằm mục đích cải thiện dịch vụ.

Intercom

  • Intercom được sử dụng để cung cấp hỗ trợ trực tiếp cho người truy cập dịch vụ và Trang web.
Thực hiện thỏa thuận xử lý dữ liệu
Tất cả các hệ thống hoạt động
SOC 2
Chứng nhận
GDPR
Tuân thủ
© 2024
Nền tảng
Giá
Studio đại lý
Động cơ tự động
Cơ sở tri thức
Bảng
Hub
Tích hợp
Kênh
LLMs
Tài nguyên
Nói chuyện với bộ phận bán hàng
Tư liệu
Tìm một chuyên gia
Video
Câu chuyện của khách hàng
Tài liệu tham khảo API
Tin tức
Tình trạng
v12 Tài nguyên
Cộng đồng
Hỗ trợ cộng đồng
Trở thành đối tác
Trở thành Đại sứ
Trở thành Đối tác liên kết
Sự kiện
Công ty
Về
Nghề nghiệp
Tin tức & Báo chí
Hợp pháp
Sự riêng tư
© Botpress 2024