Căn cứ:

• Bộ luật Dân sự 2015;
• Luật An ninh mạng 2018;
• Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân;
• Luật Bảo vệ quyền lợi người tiêu dùng 2023;
• Nhu cầu hợp tác và thỏa thuận dịch vụ giữa các bên.

1. BÊN KIỂM SOÁT DỮ LIỆU CÁ NHÂN (sau đây gọi là “Bên Kiểm soát”):

• Tên: [Tên khách hàng]
• Địa chỉ: […]
• Đại diện: […]
• Chức vụ: […]

2. BÊN XỬ LÝ DỮ LIỆU CÁ NHÂN (sau đây gọi là “Bên Xử lý”):

• Tên: [Tên công ty]
• Địa chỉ: […]
• Đại diện: […]
• Chức vụ: […]

Hai bên thống nhất ký kết Thỏa thuận Xử lý Dữ liệu Cá nhân (“Thỏa thuận”) với các điều khoản sau:

---

Điều 1. Giải thích thuật ngữ #

• Dữ liệu cá nhân: là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một cá nhân cụ thể hoặc giúp xác định một cá nhân cụ thể, theo định nghĩa tại Nghị định 13/2023/NĐ-CP.
• Xử lý dữ liệu cá nhân: là một hoặc nhiều hoạt động tác động đến dữ liệu cá nhân, bao gồm thu thập, ghi, lưu trữ, sửa đổi, truy cập, khai thác, sử dụng, chia sẻ, truyền tải, xóa, hủy dữ liệu.
• Bên xử lý phụ: là tổ chức/cá nhân được Bên Xử lý thuê để thực hiện một phần hoặc toàn bộ hoạt động xử lý dữ liệu cá nhân thay mặt Bên Xử lý.

Điều 2. Mục đích và phạm vi xử lý #

• Bên Xử lý chỉ được xử lý dữ liệu cá nhân nhằm cung cấp dịch vụ fulfillment theo hợp đồng dịch vụ chính giữa hai bên và không được sử dụng cho bất kỳ mục đích nào khác nếu chưa được sự chấp thuận bằng văn bản của Bên Kiểm soát.

Điều 3. Nghĩa vụ của Bên Xử lý #

• Chỉ xử lý dữ liệu cá nhân theo đúng mục đích, phạm vi, thời hạn và chỉ dẫn của Bên Kiểm soát.
• Tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP.
• Áp dụng các biện pháp kỹ thuật, quản trị phù hợp để đảm bảo an toàn dữ liệu cá nhân, bao gồm nhưng không giới hạn: mã hóa, phân quyền truy cập, lưu nhật ký truy cập.
• Thông báo ngay cho Bên Kiểm soát trong vòng 72 giờ kể từ khi phát hiện sự cố rò rỉ, mất mát hoặc bị truy cập trái phép dữ liệu cá nhân.
• Lưu giữ hồ sơ xử lý dữ liệu cá nhân theo quy định và cung cấp khi có yêu cầu của cơ quan nhà nước có thẩm quyền.

Điều 4. Chuyển dữ liệu cá nhân ra nước ngoài #

Bên Xử lý chỉ được chuyển dữ liệu cá nhân ra ngoài lãnh thổ Việt Nam khi:

• Có sự chấp thuận bằng văn bản của Bên Kiểm soát; và
• Tuân thủ các yêu cầu về đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo Nghị định 13/2023/NĐ-CP;
• Gửi báo cáo cho Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an.

Điều 5. Bảo mật #

• Bên Xử lý bảo đảm tất cả nhân sự tham gia xử lý dữ liệu cá nhân phải ký cam kết bảo mật, và chịu trách nhiệm nếu để xảy ra vi phạm.

Điều 6. Sử dụng bên xử lý phụ #

• Bên Xử lý chỉ được thuê Bên xử lý phụ khi có sự đồng ý trước bằng văn bản của Bên Kiểm soát.
• Bên Xử lý phụ phải tuân thủ đầy đủ các nghĩa vụ tại Thỏa thuận này.

Điều 7. Xử lý dữ liệu khi chấm dứt hợp đồng #

• Khi Thỏa thuận hoặc hợp đồng dịch vụ chấm dứt, Bên Xử lý phải xóa hoặc hoàn trả toàn bộ dữ liệu cá nhân theo yêu cầu của Bên Kiểm soát và lập biên bản xác nhận việc xóa/trả dữ liệu.

Điều 8. Luật áp dụng và giải quyết tranh chấp #

• Thỏa thuận này được điều chỉnh bởi pháp luật Việt Nam.
• Mọi tranh chấp sẽ được ưu tiên giải quyết bằng thương lượng. Nếu không đạt được thỏa thuận, tranh chấp sẽ được đưa ra giải quyết tại Tòa án nhân dân có thẩm quyền tại Việt Nam.

Điều 9. Hiệu lực #

• Thỏa thuận có hiệu lực từ ngày [Ngày hiệu lực] và tồn tại cho đến khi một trong hai bên thông báo chấm dứt bằng văn bản, trừ khi pháp luật có quy định khác.