Thỏa thuận xử lý dữ liệu GDPR

1. Phạm vi và mục đích của thỏa thuận

Thỏa thuận xử lý dữ liệu GDPR (Phụ lục xử lý dữ liệu) này là một phần không tách rời của hợp đồng giữa Anatole và Người dùng. Thỏa thuận áp dụng cho các hoạt động xử lý dữ liệu cá nhân được Anatole thực hiện thay mặt Người dùng trong quá trình sử dụng Dịch vụ Anatole.

Tài liệu này tạo thành Thỏa thuận xử lý dữ liệu GDPR được tích hợp trong [Điều khoản dịch vụ của Anatole](/vi/terms), phù hợp với Điều 7.3 của Điều khoản. Nó chính thức hóa các nghĩa vụ tương ứng của Người dùng (Bên kiểm soát dữ liệu) và Anatole (Bên xử lý dữ liệu) để bảo vệ dữ liệu cá nhân của Khách mời, theo Điều 28 của GDPR.

Các Bên thừa nhận rằng, đối với các hoạt động xử lý này, Người dùng là Bên kiểm soát dữ liệu và Anatole hoạt động với tư cách Bên xử lý dữ liệu theo nghĩa của Quy định bảo vệ dữ liệu áp dụng (GDPR và luật quốc gia).

Mục đích của Thỏa thuận này là xác định các điều kiện mà theo đó Anatole cam kết xử lý dữ liệu cá nhân thay mặt Người dùng, cũng như quyền và nghĩa vụ của mỗi bên. Thỏa thuận được ký kết mà không cần ký riêng biệt, việc chấp nhận thỏa thuận được thực hiện thông qua việc chấp nhận Điều khoản dịch vụ trực tuyến.

Trừ khi có quy định khác trong Thỏa thuận này, các thuật ngữ được sử dụng có định nghĩa được đưa ra trong GDPR. Đặc biệt, "dữ liệu cá nhân", "chủ thể dữ liệu", "xử lý", "Bên kiểm soát dữ liệu", "Bên xử lý dữ liệu", "vi phạm dữ liệu cá nhân" có ý nghĩa được quy định tại Điều 4 của GDPR.

2. Mô tả các hoạt động xử lý do Anatole thực hiện

Anatole được ủy quyền xử lý thay mặt Người dùng dữ liệu cá nhân cần thiết để cung cấp Dịch vụ như được định nghĩa trong Điều khoản dịch vụ. Các đặc điểm của các hoạt động xử lý này được tóm tắt trong bảng dưới đây, phù hợp với các yêu cầu của Điều 28 của GDPR:

Lưu ý: Các loại chủ thể dữ liệu liên quan đến các hoạt động xử lý này chủ yếu là Khách mời được Người dùng chỉ định (gia đình, bạn bè, những người thân yêu được mời đến đám cưới). Người dùng cũng có thể nhập dữ liệu liên quan đến đồng tổ chức của họ (ví dụ: thông tin liên hệ của người làm chứng hoặc thành viên gia đình giúp tổ chức) trên nền tảng – dữ liệu người dùng này thường thuộc về chính tài khoản Người dùng và được xử lý như một phần của hoạt động dịch vụ (ví dụ: quản lý truy cập). Cuối cùng, dữ liệu riêng của Người dùng (chẳng hạn như thông tin cá nhân, thông tin xác thực của họ) được Anatole xử lý với tư cách Bên kiểm soát dữ liệu như một phần của quản lý mối quan hệ hợp đồng (xem Chính sách bảo mật của Anatole), và không được nêu chi tiết ở đây vì nó nằm ngoài phạm vi của Thỏa thuận này.

Được thỏa thuận rằng nếu Người dùng sử dụng Dịch vụ để xử lý Dữ liệu hoặc danh mục Dữ liệu hoặc cho các mục đích khác với những mục đích được mô tả ở trên, họ tự chịu rủi ro. Anatole không thể chịu trách nhiệm về việc không tuân thủ do xử lý không được các Bên cung cấp. Người dùng cam kết chỉ sử dụng nền tảng cho các mục đích mà nó được dự định, phù hợp với Điều khoản dịch vụ và bảng này.

3. Nghĩa vụ của Người dùng (bên kiểm soát dữ liệu)

Với tư cách là Bên kiểm soát dữ liệu, Người dùng cam kết:

• Tuân thủ và hướng dẫn có tài liệu: Tuân thủ đầy đủ các quy định về dữ liệu cá nhân hiện hành (GDPR, luật quốc gia) đối với việc xử lý mà họ thực hiện thông qua Anatole. Người dùng xác định mục đích và phương tiện xử lý được giao cho Anatole và đảm bảo rằng các hướng dẫn họ đưa ra cho Anatole được ghi chép, tuân thủ hợp đồng và quy định. Bất kỳ hướng dẫn nào của Người dùng vượt quá phạm vi Dịch vụ hoặc trái với quy định sẽ không được Anatole thực hiện. Người dùng sẽ sử dụng nền tảng phù hợp với các tài liệu hợp đồng và sẽ không hướng dẫn Anatole xử lý dữ liệu vi phạm luật.

• Tính hợp pháp của dữ liệu được xử lý: Đảm bảo rằng dữ liệu cá nhân được giao cho Anatole đã được thu thập và được Người dùng xử lý phù hợp với GDPR. Điều này bao gồm, không giới hạn: thông báo trước cho chủ thể dữ liệu khi thu thập dữ liệu của họ, truyền đạt tất cả thông tin bắt buộc (danh tính bên kiểm soát dữ liệu, mục đích thiệp mời đám cưới, cơ sở pháp lý – sự đồng ý hoặc lợi ích hợp pháp, quyền của chủ thể dữ liệu, v.v.). Người dùng phải cung cấp cho Khách mời thông tin rõ ràng, ví dụ thông qua chính sách bảo mật riêng của họ hoặc văn bản được cung cấp trong quá trình thu thập email. Khi cơ sở pháp lý để xử lý là sự đồng ý (đặc biệt là để gửi email/SMS cho cá nhân), có được sự đồng ý hợp lệ và có thể chứng minh được từ mỗi chủ thể dữ liệu trước khi gửi lời mời. Người dùng phải có khả năng chứng minh rằng Khách mời đã đồng ý nhận lời mời, hoặc nếu không, việc gửi dựa trên cơ sở pháp lý hợp lệ khác (ví dụ: lợi ích hợp pháp với quyền phản đối được tôn trọng). Tính đến quyền phản đối của chủ thể dữ liệu (ví dụ: nếu Khách mời đã phản đối việc nhận lời mời, đảm bảo họ không còn được nhập hoặc mời nữa). Nói chung, chỉ xử lý thông qua Anatole dữ liệu phù hợp, liên quan và hạn chế đối với những gì cần thiết cho các mục đích theo đuổi (nguyên tắc giảm thiểu).

• Độ chính xác và cập nhật: Đảm bảo tính chính xác của dữ liệu Khách mời và cập nhật nếu cần thiết. Anatole cung cấp các công cụ cho phép Người dùng sửa chữa hoặc xóa dữ liệu; đó là trách nhiệm của Người dùng để đáp ứng bất kỳ yêu cầu sửa chữa nào từ chủ thể dữ liệu. Anatole có thể, trong khả năng của mình, giúp Người dùng duy trì dữ liệu chính xác theo hướng dẫn của họ.

• Biện pháp bảo mật của Người dùng: Thực hiện các biện pháp bảo mật thích hợp ở phía Người dùng để đảm bảo bảo vệ dữ liệu khi sử dụng nền tảng. Ví dụ: Người dùng phải bảo mật quyền truy cập vào tài khoản của họ (mật khẩu mạnh, xác thực hai yếu tố nếu có), và đảm bảo bảo mật dữ liệu khi xuất hoặc tải thông tin từ Anatole.

• Sử dụng nền tảng tuân thủ: Không lạm dụng các chức năng của Anatole để thu thập hoặc xử lý dữ liệu nhạy cảm hoặc rất cá nhân mà không có thỏa thuận trước của Anatole. Nền tảng có thể chứa các trường dạng tự do (ví dụ: khả năng Người dùng nhập tin nhắn cá nhân hóa) không nhằm mục đích chứa dữ liệu nhạy cảm (chẳng hạn như dữ liệu sức khỏe, nguồn gốc chủng tộc, quan điểm tôn giáo, v.v.). Người dùng cam kết không đưa dữ liệu đặc biệt như vậy vào. Anatole không chịu trách nhiệm về việc sử dụng không tuân thủ các trường này của Người dùng.

• Hợp tác: Nói chung hơn, hợp tác thiện chí với Anatole để cho phép tuân thủ xử lý. Ví dụ: trong trường hợp kiểm toán hoặc yêu cầu thông tin (xem mục 4.5), Người dùng sẽ tham gia trong phạm vi hợp lý.

Người dùng thừa nhận rằng họ giữ toàn bộ trách nhiệm đối với Dữ liệu cá nhân được xử lý thay mặt họ. Người dùng vẫn chịu trách nhiệm về việc tuân thủ xử lý tổng thể đối với chủ thể dữ liệu và cơ quan chức năng, như một phần nghĩa vụ của họ với tư cách Bên kiểm soát dữ liệu. Anatole thừa nhận trách nhiệm Bên xử lý dữ liệu của mình phù hợp với Điều 28 của GDPR, đặc biệt là về bảo mật, bảo mật và hợp tác. Trong trường hợp Người dùng vi phạm nghĩa vụ Bên kiểm soát dữ liệu của họ, hậu quả tài chính và pháp lý do đó thuộc về trách nhiệm của họ, tuân theo trách nhiệm riêng của Anatole với tư cách Bên xử lý dữ liệu.

4. Nghĩa vụ của Anatole (bên xử lý dữ liệu)

Với tư cách Bên xử lý dữ liệu, Anatole cam kết tuân thủ các nghĩa vụ sau, phù hợp với Điều 28 của GDPR:

4.1. Xử lý theo hướng dẫn

Anatole sẽ xử lý dữ liệu cá nhân của Khách mời chỉ theo hướng dẫn có tài liệu từ Người dùng và chỉ cho mục đích duy nhất là cung cấp Dịch vụ như được định nghĩa trong Hợp đồng. Điều này bao gồm các hoạt động kỹ thuật cần thiết như lưu trữ, lưu trữ, gửi email/SMS, định dạng thiệp mời, theo dõi phản hồi, quản lý quà cưới, bảo trì và hỗ trợ.

Anatole sẽ không quyết định về mục đích hoặc phương tiện xử lý ngoài hướng dẫn của Người dùng. Anatole đặc biệt sẽ từ bỏ bất kỳ việc sử dụng dữ liệu nào cho các mục đích khác (tiếp thị riêng, lập hồ sơ, v.v.), bất kỳ việc bán hoặc cho thuê dữ liệu nào, và bất kỳ việc hợp nhất dữ liệu Khách mời nào với các cơ sở dữ liệu khác, trừ khi có nghĩa vụ pháp lý trái ngược.

Nếu Anatole cho rằng hướng dẫn của Người dùng tạo thành vi phạm GDPR hoặc các quy định hiện hành khác, họ sẽ thông báo ngay cho Người dùng. Tương tự, nếu Anatole được yêu cầu bởi luật pháp của EU hoặc luật quốc gia để tiến hành xử lý ngoài hướng dẫn (ví dụ: tiết lộ bằng lệnh của tòa án), họ sẽ thông báo cho Người dùng trước khi xử lý (trừ khi luật pháp cấm vì lý do lợi ích công cộng quan trọng).

4.2. Bảo mật dữ liệu

Anatole đảm bảo rằng dữ liệu cá nhân được xử lý thay mặt Người dùng sẽ được giữ hoàn toàn bảo mật. Để đạt được điều này, Anatole cam kết:

• Chỉ tiết lộ dữ liệu Khách mời cho các thành viên nhân viên của mình, nhà thầu phụ hoặc nhà cung cấp dịch vụ cần truy cập cho mục đích thực hiện Dịch vụ, và chỉ trong phạm vi thực sự cần thiết cho sự can thiệp của họ.
• Đảm bảo rằng những người được ủy quyền này tuân theo nghĩa vụ bảo mật pháp lý hoặc hợp đồng. Anatole kết hợp các điều khoản bảo mật tuân thủ các yêu cầu của Thỏa thuận này vào hợp đồng lao động hoặc dịch vụ.
• Không sao chép, tái tạo hoặc sử dụng dữ liệu Khách mời cho các mục đích khác với những mục đích được Hợp đồng cung cấp, và không giữ lại bản sao dữ liệu ngoài những gì cần thiết cho dịch vụ hoặc để tuân thủ luật pháp.
• Đảm bảo rằng nhân viên xử lý dữ liệu của mình được đào tạo về các yêu cầu bảo vệ dữ liệu và nhận thức được tầm quan trọng của bảo mật.

Nghĩa vụ bảo mật này tiếp tục ngay cả sau khi chấm dứt hợp đồng.

4.3. Bảo mật xử lý

Anatole sẽ thực hiện tất cả các biện pháp bảo mật kỹ thuật và tổ chức phù hợp để đảm bảo mức độ bảo mật phù hợp với rủi ro, phù hợp với Điều 32 của GDPR. Anatole cam kết duy trì mức độ bảo mật tuân thủ trạng thái nghệ thuật. Tính đến trạng thái kiến thức, chi phí thực hiện và bản chất của dữ liệu, Anatole đặc biệt thực hiện các biện pháp sau:

• Bảo mật dữ liệu logic: Bảo vệ máy chủ và cơ sở dữ liệu chống xâm nhập (tường lửa, hệ thống phát hiện xâm nhập), mã hóa truyền thông (ví dụ: TLS cho giao diện web, SMTP an toàn cho email gửi đi), chính sách kiểm soát truy cập nghiêm ngặt (quyền truy cập dữ liệu dành riêng cho những người được ủy quyền đã đề cập ở trên, với xác thực mạnh). Dữ liệu khách mời được lưu trữ trên máy chủ được lưu trữ trong môi trường an toàn tôn trọng các tiêu chuẩn ngành (trung tâm dữ liệu an toàn, giám sát 24/7, v.v.).
• Bảo mật vật lý: Dữ liệu được lưu trữ thông qua các dịch vụ lưu trữ đám mây được công nhận về bảo mật của họ (xem Xử lý phụ bên dưới).
• Khả năng phục hồi và toàn vẹn: Sao lưu dữ liệu thường xuyên để ngăn chặn mất dữ liệu, kiểm tra toàn vẹn, kế hoạch phục hồi thảm họa trong trường hợp sự cố lớn, để đảm bảo tính khả dụng của dữ liệu Người dùng trong phạm vi có thể.
• Kiểm tra và kiểm toán bảo mật: Anatole thường xuyên thực hiện đánh giá bảo mật nền tảng của mình (kiểm tra nội bộ, kiểm toán bên ngoài nếu cần thiết) để xác định và sửa chữa các lỗ hổng. Các kiểm tra này được tiến hành bảo mật và kết quả có thể được truyền đạt cho Người dùng theo yêu cầu hợp pháp, tuân theo bảo mật.

Anatole cam kết thông báo cho Người dùng về bất kỳ vi phạm dữ liệu cá nhân nào (sự cố bảo mật vô tình hoặc bất hợp pháp dẫn đến phá hủy, mất, thay đổi, tiết lộ trái phép hoặc truy cập trái phép vào dữ liệu cá nhân) mà nó biết và liên quan đến dữ liệu Người dùng. Thông báo này sẽ được thực hiện trong vòng 24 giờ sau khi phát hiện sự cố. Anatole sẽ cung cấp cho Người dùng tất cả thông tin liên quan về bản chất vi phạm, dữ liệu có khả năng bị ảnh hưởng, hậu quả có thể xảy ra và các biện pháp khắc phục được thực hiện, để cho phép Người dùng, nếu cần thiết, thông báo sự cố này cho cơ quan bảo vệ dữ liệu có thẩm quyền (CNIL) và/hoặc chủ thể dữ liệu, phù hợp với Điều 33 và 34 của GDPR. Các Bên sẽ hợp tác thiện chí trong trường hợp sự cố để giảm thiểu ảnh hưởng của nó.

4.4. Xử lý phụ (bộ xử lý phụ)

Người dùng đồng ý rõ ràng để Anatole tham gia bộ xử lý phụ (còn được gọi là nhà thầu phụ cấp dưới hoặc nhà cung cấp dịch vụ bên thứ ba) để thực hiện các hoạt động xử lý cụ thể thay mặt Người dùng, như một phần của việc cung cấp Dịch vụ. Những điều này có thể bao gồm các danh mục sau: lưu trữ đám mây, dịch vụ gửi email và SMS, công cụ phân tích kỹ thuật, sửa lỗi dữ liệu AI, v.v.

Các bộ xử lý phụ hiện tại được Anatole tham gia bao gồm (danh sách không đầy đủ):

• Supabase – Lưu trữ cơ sở dữ liệu & Tệp: Supabase là nhà cung cấp cơ sở hạ tầng ứng dụng của chúng tôi. Vai trò: lưu trữ cơ sở dữ liệu PostgreSQL chứa dữ liệu Anatole (tài khoản, đám cưới, thiệp mời, phản hồi, quà cưới, v.v.), và lưu trữ các tệp liên quan (ví dụ: ảnh đám cưới của bạn) trong không gian chuyên dụng. Vị trí: Liên minh Châu Âu. Chúng tôi sử dụng máy chủ châu Âu của Supabase (khu vực EU) để tất cả dữ liệu và tệp được lưu trữ riêng ở châu Âu. Dữ liệu được lưu trữ được mã hóa khi nghỉ ngơi và chỉ có thể truy cập vào các ứng dụng Anatole và quản trị viên được ủy quyền của chúng tôi.

• Vercel – Lưu trữ front-end: Vercel là nền tảng lưu trữ cho giao diện ứng dụng của chúng tôi (trang web Anatole và giao diện người dùng). Vai trò: phân phối ứng dụng web và nội dung tĩnh cho người dùng cuối, thông qua mạng phân phối toàn cầu (CDN) để có hiệu suất tối ưu. Vị trí: chủ yếu là Hoa Kỳ (Vercel Inc.), với CDN trên khắp thế giới (bao gồm cả máy chủ ở châu Âu). Đảm bảo chuyển giao: Vercel được chứng nhận theo Khung bảo mật dữ liệu EU-US và cung cấp Phụ lục xử lý dữ liệu tiêu chuẩn tuân thủ GDPR.

• Bird – Gửi email giao dịch: dịch vụ email được sử dụng để định tuyến email do Anatole tạo. Vai trò: gửi email giao dịch đáng tin cậy liên quan đến đám cưới (ví dụ: thiệp mời, xác nhận tham dự, lời nhắc, thông tin quà cưới) thay mặt cặp đôi. Vị trí: chủ yếu là Hoa Kỳ, với cơ sở hạ tầng dự phòng. Đảm bảo chuyển giao: Bird cung cấp Phụ lục xử lý dữ liệu tiêu chuẩn tuân thủ các yêu cầu của GDPR và đảm bảo hợp đồng cho chuyển giao quốc tế.

• Bird – Gửi SMS giao dịch: nền tảng được sử dụng để gửi SMS (ví dụ thiệp mời hoặc lời nhắc SMS, hoặc tin nhắn xác minh) cho khách mời đã cung cấp số điện thoại. Vai trò: định tuyến SMS đến các nhà khai thác di động của liên hệ của bạn. Vị trí: Bird Inc. là công ty Hoa Kỳ, nhưng có sự hiện diện ở EU. Đảm bảo chuyển giao: Bird có Quy tắc công ty ràng buộc (BCR) được phê duyệt bởi các cơ quan bảo vệ dữ liệu châu Âu và cung cấp Phụ lục xử lý dữ liệu tuân thủ GDPR.

• CookieYes – Nền tảng quản lý đồng ý: công cụ quản lý đồng ý cookie. CookieYes triển khai biểu ngữ cookie trên trang web của chúng tôi và ghi lại lựa chọn của mỗi người dùng liên quan đến cookie. Vai trò: đảm bảo rằng trình theo dõi không thiết yếu chỉ được kích hoạt với sự đồng ý, và giữ bằng chứng về sự đồng ý hoặc từ chối của người dùng. Vị trí: CookieYes Limited là công ty đăng ký tại Vương quốc Anh.

• OpenAI – Trí tuệ nhân tạo: dịch vụ AI tiên tiến mà chúng tôi sử dụng qua API cho các chức năng cụ thể (ví dụ: sửa lỗi dữ liệu được định dạng kém, tạo hình ảnh theo yêu cầu). Vai trò: xử lý thuật toán nội dung mà chúng tôi gửi để tạo ra kết quả (tệp đã sửa hoặc hình ảnh được tạo) được trả lại cho Anatole. Vị trí: Hoa Kỳ (OpenAI, Inc.). Đảm bảo: Phù hợp với các điều khoản sử dụng API của OpenAI, dữ liệu chúng tôi truyền không được OpenAI sử dụng để đào tạo các mô hình AI của họ và được tự động xóa khỏi hệ thống của họ trong vòng tối đa 30 ngày sau khi xử lý.

• OVH – Quản lý tên miền & DNS: OVHcloud là nhà đăng ký và máy chủ DNS của chúng tôi cho tên miền anatole.wedding. Vai trò: quản lý kỹ thuật tên miền, bản ghi DNS và lưu trữ một số chức năng phụ trợ. Vị trí: Pháp (OVH, công ty Pháp). Dữ liệu cá nhân: rất ít dữ liệu trên thực tế – OVH chủ yếu xử lý dữ liệu kỹ thuật (truy vấn DNS của khách truy cập).

Anatole đảm bảo rằng tất cả các bộ xử lý phụ của nó đã xác nhận cơ chế chuyển giao cho các quốc gia thứ ba (BCR, Điều khoản hợp đồng tiêu chuẩn, quyết định đầy đủ) và DPA tiêu chuẩn của họ tuân thủ các yêu cầu của Điều 28 GDPR. Anatole cam kết rằng mỗi bộ xử lý phụ cung cấp đảm bảo đầy đủ liên quan đến việc thực hiện các biện pháp kỹ thuật và tổ chức phù hợp, để xử lý đáp ứng các yêu cầu của GDPR và đảm bảo bảo vệ quyền của chủ thể dữ liệu. Anatole ký kết với mỗi bộ xử lý phụ này một hợp đồng bằng văn bản áp đặt nghĩa vụ bảo vệ dữ liệu tương đương với các nghĩa vụ của Thỏa thuận này, đặc biệt là về bảo mật, bảo mật và thông báo vi phạm.

Anatole vẫn hoàn toàn chịu trách nhiệm đối với Người dùng về việc thực hiện của các bộ xử lý phụ của nó về nghĩa vụ bảo vệ dữ liệu của họ. Anatole sẽ giám sát các bộ xử lý phụ này và vẫn là điểm liên hệ duy nhất của Người dùng.

Thông tin và quyền phản đối: Anatole sẽ thông báo cho Người dùng về bất kỳ thay đổi dự kiến nào liên quan đến việc bổ sung hoặc thay thế các bộ xử lý phụ quan trọng liên quan đến xử lý dữ liệu cá nhân của Người dùng. Thông tin này sẽ được cung cấp thông qua thông báo (ví dụ: trong giao diện quản trị của Người dùng hoặc qua email) ít nhất 15 ngày trước khi thay đổi. Người dùng có tùy chọn đưa ra phản đối hợp lý và hợp pháp đối với những thay đổi này trong khoảng thời gian 15 ngày này. Phản đối phải được thúc đẩy thiện chí, ví dụ nếu Người dùng tin rằng một bộ xử lý phụ mới trình bày đảm bảo tuân thủ không đầy đủ.

Trong trường hợp phản đối chưa được giải quyết liên quan đến bộ xử lý phụ mới, Anatole có thể, theo quyết định của mình, từ bỏ việc tham gia bộ xử lý phụ này, hoặc đề xuất giải pháp thay thế cho Người dùng. Nếu không tìm được giải pháp chấp nhận được, Người dùng có thể chấm dứt hợp đồng mà không bị phạt do phản đối này. Việc chấm dứt này sẽ được coi là hợp pháp và không có lỗi ở phía Anatole.

5. Số phận dữ liệu khi kết thúc hợp đồng

Khi kết thúc mối quan hệ hợp đồng, tức là trong trường hợp chấm dứt hoặc hết hạn Điều khoản dịch vụ, Người dùng có tùy chọn để truy xuất tất cả dữ liệu cá nhân được xử lý thay mặt họ thông qua Anatole. Anatole cung cấp, theo yêu cầu của Người dùng, dữ liệu ở định dạng chuẩn có thể đọc được (ví dụ: xuất CSV danh sách khách mời và phản hồi).

Người dùng phải thực hiện tùy chọn trả lại này trước ngày kết thúc hợp đồng hoặc muộn nhất là trong vòng 15 ngày sau đó. Ngoài ra, Anatole sẽ tiến hành xóa hoàn toàn dữ liệu cá nhân của Người dùng vẫn còn trong quyền sở hữu của nó, theo lịch trình sau:

• Xóa hoạt động ngay lập tức: Ngay sau khi kết thúc hợp đồng, Anatole sẽ làm cho dữ liệu Người dùng không thể truy cập trên nền tảng (tài khoản bị vô hiệu hóa). Dữ liệu có thể được giữ lại tạm thời trong bản sao lưu hệ thống.
• Xóa cuối cùng: Trong trường hợp không có hướng dẫn trái ngược của Người dùng, Anatole sẽ xóa tất cả dữ liệu cá nhân của Người dùng trong vòng tối đa 90 ngày sau ngày đám cưới hoặc chấm dứt hợp đồng, tùy theo điều kiện nào đến trước. Điều này bao gồm xóa cơ sở dữ liệu hoạt động và ghi đè hoặc mã hóa bản sao lưu vẫn chứa dữ liệu này. Theo yêu cầu bằng văn bản của Người dùng, Anatole có thể chứng thực bằng văn bản về việc phá hủy dữ liệu hiệu quả sau khi hoàn thành.

Nếu Người dùng muốn trả lại dữ liệu trước khi xóa, Anatole có thể hỗ trợ (dịch vụ này có thể được tính phí nếu nó tạo ra chi phí đáng kể). Trong mọi trường hợp, Anatole sẽ không giữ lại bất kỳ dữ liệu cá nhân nào của Người dùng vượt quá thời gian đã đề cập, ngoại trừ nghĩa vụ lưu trữ hợp pháp dài hơn. Ví dụ: Anatole có thể giữ lại nhật ký kết nối hoặc giao dịch ngẫu nhiên chứa dữ liệu cá nhân nếu luật pháp yêu cầu, nhưng trong trường hợp này, dữ liệu đó sẽ vẫn được bảo vệ và lưu trữ riêng biệt.

Các nghĩa vụ bảo mật và bảo mật của Anatole tiếp tục áp dụng miễn là Anatole giữ lại dữ liệu.

Trong trường hợp chấm dứt khẩn cấp (đình chỉ ngay lập tức vì vi phạm nghiêm trọng), Người dùng có 7 ngày để truy xuất dữ liệu của họ thông qua xuất tự động từ giao diện của họ. Sau thời gian này, thủ tục xóa bình thường áp dụng (thời gian tối đa 90 ngày theo các điều khoản được xác định ở trên).

6. Liên hệ và người bảo vệ dữ liệu

Đối với bất kỳ câu hỏi hoặc hướng dẫn nào liên quan đến bảo vệ dữ liệu cá nhân theo Thỏa thuận này, Người dùng có thể liên hệ với người liên hệ bảo vệ dữ liệu của Anatole. Người liên hệ này không có tư cách DPO theo nghĩa của Điều 37 GDPR. Chi tiết liên hệ được chỉ ra trong Chính sách bảo mật và/hoặc trên trang web Anatole (ví dụ: địa chỉ email chuyên dụng như privacy@anatole.wedding).

Anatole cam kết xử lý bất kỳ yêu cầu nào của Người dùng liên quan đến Thỏa thuận này càng nhanh càng tốt.

7. Điều khoản cuối cùng

7.1. Thứ bậc tài liệu

Thỏa thuận này là một phần của Điều khoản dịch vụ. Trong trường hợp mâu thuẫn giữa quy định Điều khoản và quy định Thỏa thuận liên quan đến xử lý dữ liệu cá nhân, Thỏa thuận sẽ được ưu tiên. Trong trường hợp xung đột giữa các tài liệu hợp đồng và nghĩa vụ pháp lý bắt buộc, nghĩa vụ pháp lý tự động được ưu tiên. Các quy định Điều khoản khác vẫn có hiệu lực đầy đủ đối với mọi thứ không được đề cập trong Thỏa thuận.

7.2. Thời hạn

Các nghĩa vụ của Anatole với tư cách Bên xử lý dữ liệu theo Thỏa thuận này áp dụng trong suốt thời gian cung cấp Dịch vụ liên quan đến xử lý dữ liệu cá nhân thay mặt Người dùng, và cho đến khi xóa dữ liệu. Các nghĩa vụ mà về bản chất tiếp tục (bảo mật, hỗ trợ, v.v.) sẽ tồn tại theo cần thiết sau khi kết thúc hợp đồng.

7.3. Luật áp dụng và thẩm quyền

Thỏa thuận này tuân theo cùng một luật như Điều khoản dịch vụ (xem Điều 9 của Điều khoản). Bất kỳ tranh chấp nào liên quan đến việc thực hiện hoặc giải thích của nó sẽ được giải quyết theo các thủ tục giải quyết tranh chấp được cung cấp trong Điều khoản. Tuy nhiên, trong trường hợp tranh chấp bảo vệ dữ liệu cụ thể, các Bên sẽ hợp tác thiện chí để tìm giải pháp tuân thủ quy định và, nếu cần thiết, tham khảo ý kiến của cơ quan giám sát có thẩm quyền (ví dụ: CNIL) để được tư vấn.

7.4. Toàn bộ và sửa đổi

Thỏa thuận này tạo thành toàn bộ thỏa thuận của các Bên liên quan đến bảo vệ dữ liệu cho Dịch vụ Anatole. Nó có thể được bổ sung hoặc sửa đổi bằng văn bản được ký bởi cả hai Bên (bao gồm bằng sự đồng ý điện tử rõ ràng). Anatole bảo lưu quyền đề xuất cập nhật cho Thỏa thuận này trong trường hợp tiến hóa quy định hoặc Dịch vụ, theo cùng các thủ tục như sửa đổi Điều khoản dịch vụ. Người dùng sẽ được thông báo về bất kỳ sửa đổi đáng kể nào và có thể từ chối bằng cách chấm dứt Dịch vụ trước khi có hiệu lực nếu nó có hại.

Trong trường hợp tuyên bố vô hiệu của một điều khoản bởi tòa án, các bên cam kết đàm phán thiện chí để thay thế nó bằng một điều khoản tương đương và hợp pháp.

Bằng cách ký hoặc chấp nhận điện tử Điều khoản dịch vụ, Người dùng và Anatole thừa nhận đã đọc và hiểu Thỏa thuận này và cam kết tuân thủ tất cả các quy định của nó.

KAWLET EURL Vốn cổ phần: €1,000 15 Square Rameau 59000 Lille, France RCS Lille: 993 159 250 SIRET: 99315925000014 Email: privacy@anatole.wedding