Ultralytics Thỏa thuận xử lý dữ liệu

Thỏa thuận xử lý dữ liệu này ("DPA") được tích hợp vào và tạo thành một phần của (i) Ultralytics Điều khoản dịch vụ và/hoặc (ii) bất kỳ mẫu đơn đặt hàng, thỏa thuận doanh nghiệp hoặc thỏa thuận bằng văn bản nào khác có liên quan đến DPA này (mỗi thỏa thuận được gọi là "Thỏa thuận") giữa khách hàng ("Khách hàng", "bạn") và Ultralytics , Inc. (" Ultralytics ", "Công ty", "chúng tôi").

Thỏa thuận DPA này phản ánh sự đồng thuận của các bên liên quan đến:

• (A) Các điều khoản từ bộ điều khiển đến bộ xử lý: Ultralytics 'Xử lý Dữ liệu Cá nhân của Khách hàng với tư cách là Bên xử lý (hoặc bên xử lý phụ nếu Khách hàng là Bên xử lý) thay mặt Khách hàng liên quan đến các Dịch vụ; và
• (B) Điều khoản giữa các Bên Kiểm soát Dữ liệu: việc mỗi bên Xử lý Dữ liệu Cá nhân của Bên Kiểm soát với tư cách là Bên Kiểm soát độc lập, chỉ trong phạm vi được mô tả tại Mục 10.

Thỏa thuận bảo vệ dữ liệu này vẫn có hiệu lực trong suốt thời hạn của Thỏa thuận và cho đến khi nào... Ultralytics Xử lý dữ liệu cá nhân của khách hàng thay mặt khách hàng.

Thỏa thuận bảo vệ dữ liệu này chỉ áp dụng cho việc xử lý Dữ liệu Cá nhân của Khách hàng bởi Ultralytics trong Ultralytics Nền tảng. Để tránh hiểu nhầm, Thỏa thuận bảo mật dữ liệu này không áp dụng cho việc Khách hàng sử dụng, triển khai hoặc vận hành của Ultralytics YOLO các mô hình mã nguồn mở bên ngoài Ultralytics Nền tảng này được vận hành dưới trách nhiệm duy nhất của Khách hàng.

Ultralytics Chúng tôi có thể cập nhật Thỏa thuận bảo vệ dữ liệu này định kỳ để phản ánh những thay đổi trong luật, hướng dẫn quy định hoặc Dịch vụ, có hiệu lực kể từ ngày đăng tải, với điều kiện các bản cập nhật đó không làm giảm đáng kể mức độ bảo vệ quyền riêng tư đối với Dữ liệu cá nhân của Khách hàng mà không có sự đồng ý của Khách hàng (trừ trường hợp luật pháp hiện hành yêu cầu).

1. Định nghĩa

"Công ty liên kết" có nghĩa là bất kỳ thực thể nào trực tiếp hoặc gián tiếp kiểm soát, bị kiểm soát bởi, hoặc thuộc quyền kiểm soát chung với một bên, trong đó "kiểm soát" có nghĩa là sở hữu hơn 50% quyền biểu quyết.

"Biện pháp bảo vệ thích hợp" có nghĩa là (các) cơ chế có hiệu lực pháp lý để chuyển giao Dữ liệu Cá nhân được cho phép theo Luật Bảo vệ Dữ liệu hiện hành, đặc biệt nhưng không giới hạn ở Điều 46 GDPR.

"Bộ xử lý phụ" có nghĩa là bất kỳ Bộ xử lý nào được thuê bởi Ultralytics hoặc các công ty liên kết của nó xử lý dữ liệu cá nhân của khách hàng trên Ultralytics thay mặt liên quan đến các Dịch vụ.

"Dữ liệu tài khoản công ty" có nghĩa là dữ liệu cá nhân liên quan đến mối quan hệ giữa Công ty và Khách hàng, bao gồm tên hoặc thông tin liên hệ của những cá nhân được Khách hàng ủy quyền truy cập vào tài khoản của Khách hàng và thông tin thanh toán của những cá nhân mà Khách hàng đã liên kết với tài khoản của mình. Dữ liệu tài khoản công ty cũng bao gồm bất kỳ dữ liệu nào mà Công ty có thể cần thu thập cho mục đích quản lý mối quan hệ với Khách hàng, xác minh danh tính hoặc theo yêu cầu của luật và quy định hiện hành.

"Dữ liệu sử dụng của Công ty" có nghĩa là dữ liệu sử dụng Dịch vụ được Công ty thu thập và xử lý liên quan đến việc cung cấp Dịch vụ, bao gồm nhưng không giới hạn ở dữ liệu được sử dụng để xác định nguồn và đích của một liên lạc, nhật ký hoạt động và dữ liệu được sử dụng để tối ưu hóa và duy trì hiệu suất của Dịch vụ, cũng như để điều tra và ngăn chặn việc lạm dụng hệ thống.

"Dữ liệu Khách hàng" có nghĩa là bất kỳ dữ liệu, nội dung, tài liệu, tệp hoặc thông tin nào (bao gồm tập dữ liệu, hình ảnh, video, chú thích, nhãn, siêu dữ liệu, đầu vào và đầu ra mô hình, và các nội dung khác) mà Khách hàng hoặc người dùng được ủy quyền của Khách hàng tải lên, gửi qua, truyền đến hoặc cung cấp theo bất kỳ cách nào khác để Xử lý liên quan đến Dịch vụ, bao gồm bất kỳ dữ liệu nào được tạo ra cho Khách hàng thông qua việc Khách hàng sử dụng Dịch vụ.

"Vi phạm dữ liệu cá nhân khách hàng" có nghĩa là vi phạm an ninh dẫn đến việc phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập trái phép dữ liệu cá nhân khách hàng được xử lý bởi bên thứ ba, dù là do vô ý hay cố ý. Ultralytics hoặc các bên xử lý phụ của nó liên quan đến Dịch vụ. Vi phạm Dữ liệu Cá nhân Khách hàng không bao gồm các nỗ lực không thành công hoặc các hoạt động không làm tổn hại đến Dữ liệu Cá nhân Khách hàng (ví dụ: các nỗ lực đăng nhập không thành công, quét cổng, tấn công từ chối dịch vụ hoặc các cuộc tấn công khác vào tường lửa hoặc hệ thống mạng).

"Luật Bảo vệ Dữ liệu" có nghĩa là tất cả các luật hiện hành liên quan đến quyền riêng tư và bảo vệ dữ liệu áp dụng cho việc Xử lý Dữ liệu Cá nhân của một bên theo Thỏa thuận này, bao gồm (nếu có) GDPR, GDPR của Vương quốc Anh, FADP của Thụy Sĩ, ePrivacy/PECR, CCPA/CPRA và các luật về quyền riêng tư khác của các tiểu bang Hoa Kỳ.

"GDPR" có nghĩa là Quy định (EU) 2016/679; "UK GDPR" có nghĩa là GDPR được tích hợp vào luật pháp Vương quốc Anh; "Swiss FADP" có nghĩa là Đạo luật Liên bang Thụy Sĩ về Bảo vệ Dữ liệu (đã được sửa đổi). "Hướng dẫn" có nghĩa là các hướng dẫn bằng văn bản của Khách hàng gửi đến Ultralytics liên quan đến việc xử lý dữ liệu cá nhân của khách hàng, như được mô tả trong Mục 2.2.

"SCCs" có nghĩa là các điều khoản hợp đồng tiêu chuẩn của EU (Quyết định 2021/914); "Phụ lục Vương quốc Anh" có nghĩa là Phụ lục Chuyển giao Dữ liệu Quốc tế của ICO. Các thuật ngữ viết hoa khác có nghĩa được quy định trong Luật Bảo vệ Dữ liệu và/hoặc Thỏa thuận.

"Dịch vụ" có nghĩa là các dịch vụ và chức năng được cung cấp bởi Ultralytics cho Khách hàng theo Thỏa thuận, bao gồm Ultralytics Nền tảng và mọi hỗ trợ, quản lý và tài liệu liên quan, như được mô tả chi tiết hơn trong Thỏa thuận.

"Nền tảng Ultralytics " có nghĩa là Ultralytics Môi trường phần mềm dưới dạng dịch vụ (SaaS) dựa trên điện toán đám mây, thông qua đó Khách hàng có thể tải lên, quản lý, chú thích và tạo phiên bản cho các tập dữ liệu; huấn luyện, đánh giá, so sánh, xuất khẩu và triển khai các mô hình thị giác máy tính; quản lý dự án và người dùng; và truy cập các tính năng và hỗ trợ liên quan, và thông qua đó Ultralytics Xử lý Dữ liệu Cá nhân của Khách hàng thay mặt Khách hàng theo Thỏa thuận Bảo vệ Dữ liệu này.

"Các mô hình mã nguồn mở Ultralytics YOLO " có nghĩa là các mô hình thị giác máy tính mã nguồn mở và mã nguồn liên quan được cung cấp bởi Ultralytics theo các giấy phép mã nguồn mở hiện hành, Khách hàng có thể tải xuống, triển khai, lưu trữ và vận hành độc lập trong môi trường của riêng họ. Để rõ ràng hơn, khi Khách hàng triển khai hoặc sử dụng Ultralytics YOLO Các mô hình mã nguồn mở bên ngoài Ultralytics Nền tảng, Ultralytics Không xử lý Dữ liệu Cá nhân thay mặt Khách hàng theo Thỏa thuận Bảo vệ Dữ liệu này.

2. Trách nhiệm của khách hàng

2.1 Tuân thủ pháp luật. Khách hàng chịu trách nhiệm tuân thủ các Luật Bảo vệ Dữ liệu liên quan đến việc Xử lý Dữ liệu Cá nhân và việc sử dụng Dịch vụ, bao gồm việc cung cấp các thông báo cần thiết và thu thập mọi sự đồng ý và ủy quyền cần thiết.

2.2 Hướng dẫn. Thỏa thuận này (bao gồm cả Thỏa thuận bảo mật dữ liệu này), cùng với cấu hình và việc sử dụng Dịch vụ của Khách hàng theo Thỏa thuận, tạo thành toàn bộ Hướng dẫn của Khách hàng đối với Ultralytics Để xử lý Dữ liệu Cá nhân của Khách hàng. Khách hàng có thể cung cấp thêm Hướng dẫn trong suốt thời hạn, miễn là các hướng dẫn đó phù hợp với Thỏa thuận và Dịch vụ. Nếu Ultralytics Nếu các bên tin rằng cần có hướng dẫn bổ sung, đòi hỏi những thay đổi hoặc gánh nặng đáng kể, thì các bên sẽ thảo luận một cách thiện chí.

2.3 Dữ liệu bị cấm. Trừ khi có thỏa thuận rõ ràng bằng văn bản giữa các bên (bao gồm cả thỏa thuận về các biện pháp bảo vệ bổ sung theo yêu cầu của Luật Bảo vệ Dữ liệu hiện hành), Khách hàng không được cung cấp, gửi qua hoặc bằng bất kỳ cách nào khác cung cấp cho Ultralytics bất kỳ Dữ liệu Cá nhân Thuộc Danh mục Đặc biệt nào theo Điều 9 GDPR (hoặc tương đương), hoặc dữ liệu liên quan đến các bản án hình sự hoặc hành vi phạm tội theo Điều 10 GDPR.

Để minh họa và không giới hạn, Dữ liệu bị cấm bao gồm:

• Số định danh do chính phủ cấp (như số hộ chiếu, số chứng minh nhân dân hoặc số an sinh xã hội);
• Thông tin sức khỏe hoặc y tế, bao gồm các định danh sinh trắc học được sử dụng nhằm mục đích nhận dạng duy nhất một cá nhân;
• thông tin liên quan đến nguồn gốc chủng tộc hoặc dân tộc, quan điểm chính trị, tín ngưỡng tôn giáo hoặc triết học, hoặc tư cách thành viên công đoàn của một cá nhân;
• Dữ liệu di truyền hoặc dữ liệu sinh trắc học được xử lý nhằm mục đích nhận dạng duy nhất một cá nhân;
• Dữ liệu cá nhân liên quan đến trẻ em, trong trường hợp bị hạn chế bởi Luật Bảo vệ Dữ liệu hiện hành;
• và dữ liệu liên quan đến các bản án hình sự, hành vi phạm tội bị cáo buộc hoặc các hoạt động thực thi pháp luật.

Ngoài ra, Dịch vụ cũng không nhằm mục đích xử lý các dữ liệu khác yêu cầu mức độ bảo vệ cao hơn theo Luật Bảo vệ Dữ liệu hiện hành, chẳng hạn như dữ liệu thẻ thanh toán, số tài khoản ngân hàng hoặc vị trí địa lý chính xác. Khách hàng hoàn toàn chịu trách nhiệm đảm bảo rằng các tập dữ liệu, hình ảnh, video, chú thích, nhãn, siêu dữ liệu hoặc nội dung khác được tải lên hoặc xử lý thông qua Dịch vụ không bao gồm Dữ liệu Bị Cấm. Bất kỳ việc xử lý Dữ liệu Bị Cấm nào vi phạm Điều khoản này đều cấu thành hành vi vi phạm nghiêm trọng Thỏa thuận Bảo vệ Dữ liệu này.

2.4 Dữ liệu không phù hợp; Bồi thường. Khách hàng hoàn toàn chịu trách nhiệm về tính hợp pháp của Dữ liệu Cá nhân Khách hàng cung cấp cho Ultralytics và để đảm bảo tính phù hợp với Dịch vụ. Khách hàng sẽ bảo vệ và bồi thường. Ultralytics khỏi và chống lại bất kỳ khiếu nại nào của bên thứ ba phát sinh từ việc Khách hàng cung cấp Dữ liệu Cá nhân cho Dịch vụ vi phạm Thỏa thuận này, Thỏa thuận Bảo vệ Dữ liệu này hoặc Luật Bảo vệ Dữ liệu hiện hành.

3. Ultralytics Nghĩa vụ của người xử lý dữ liệu

3.1 Giới hạn mục đích. Ultralytics Chúng tôi sẽ chỉ xử lý Dữ liệu Cá nhân của Khách hàng (a) để cung cấp Dịch vụ theo Thỏa thuận và Phụ lục A, (b) theo Hướng dẫn của Khách hàng và (c) theo yêu cầu của luật pháp hiện hành. Ultralytics Sẽ không sử dụng Dữ liệu Cá nhân Khách hàng hoặc Dữ liệu Khách hàng để đào tạo, cải thiện hoặc phát triển. Ultralytics 'Các mẫu chung hoặc có sẵn trên thị trường, trừ trường hợp Khách hàng có chỉ dẫn rõ ràng bằng văn bản hoặc thông qua Dịch vụ.

3.2 Xung đột pháp luật. Nếu Ultralytics Khi nhận ra rằng không thể xử lý Dữ liệu Cá nhân của Khách hàng theo đúng hướng dẫn do yêu cầu pháp lý, Ultralytics (Trong phạm vi pháp luật cho phép) sẽ thông báo cho Khách hàng và, nếu cần thiết, tạm ngừng việc Xử lý dữ liệu bị ảnh hưởng (ngoại trừ lưu trữ an toàn) cho đến khi Khách hàng đưa ra Hướng dẫn tuân thủ.

3.3 Bảo mật thông tin cá nhân. Ultralytics Sẽ đảm bảo những người được ủy quyền xử lý Dữ liệu Cá nhân của Khách hàng phải tuân thủ các nghĩa vụ bảo mật. Khách hàng đồng ý Ultralytics Công ty có thể tiết lộ Dữ liệu Cá nhân của Khách hàng cho các cố vấn chuyên nghiệp và kiểm toán viên của mình khi cần thiết một cách hợp lý liên quan đến việc thực hiện Thỏa thuận/Hợp đồng Bảo mật Dữ liệu, tuân theo các nghĩa vụ bảo mật.

3.4 Xử lý con. Ultralytics có thể thuê các nhà thầu phụ theo quy định tại Mục 5 và vẫn chịu trách nhiệm về việc họ thực hiện các nghĩa vụ tương đương.

3.5 Xóa/Trả lại. Khi chấm dứt Dịch vụ, Ultralytics Chúng tôi sẽ xóa hoặc trả lại Dữ liệu Cá nhân của Khách hàng theo Thỏa thuận và Phụ lục A, trừ khi việc lưu giữ là bắt buộc theo quy định của pháp luật. Giấy chứng nhận xóa theo SCCs sẽ được cung cấp theo yêu cầu của Khách hàng.

4. Quyền của chủ thể dữ liệu (hoặc người tiêu dùng)

4.1 Yêu cầu của Chủ thể Dữ liệu (hoặc Người tiêu dùng). Ultralytics Trong phạm vi pháp luật cho phép, sẽ thông báo cho Khách hàng thông qua người liên hệ chính trong tài khoản mà không chậm trễ nếu Ultralytics Nhận được yêu cầu từ Chủ thể Dữ liệu (hoặc Người tiêu dùng) để thực hiện quyền truy cập (hoặc tiết lộ), quyền sửa đổi, hạn chế xử lý, xóa (hoặc loại bỏ hoặc "quyền được lãng quên"), quyền chuyển dữ liệu, phản đối việc xử lý, hoặc quyền không bị chịu sự quyết định cá nhân tự động ("Yêu cầu của Chủ thể Dữ liệu (hoặc Người tiêu dùng)").

4.2 Hỗ trợ. Có tính đến bản chất của việc Xử lý, Ultralytics Chúng tôi sẽ hỗ trợ hợp lý cho Khách hàng để đáp ứng các yêu cầu thực hiện quyền của Chủ thể Dữ liệu theo Luật Bảo vệ Dữ liệu, trong trường hợp Khách hàng không thể thực hiện yêu cầu đó bằng các chức năng Dịch vụ hiện có.

4.3 Đánh giá tác động bảo vệ dữ liệu (DPIA); Tham vấn trước. Cân nhắc bản chất của việc xử lý dữ liệu và thông tin sẵn có để Ultralytics , Ultralytics sẽ cung cấp hỗ trợ hợp lý cho Khách hàng về (i) đánh giá tác động bảo vệ dữ liệu và (ii) việc Khách hàng tham vấn và/hoặc hợp tác với các cơ quan giám sát, trong mỗi trường hợp khi được yêu cầu bởi Luật Bảo vệ Dữ liệu và khi Khách hàng không có quyền truy cập vào thông tin liên quan. Trừ trường hợp được yêu cầu bởi Luật Bảo vệ Dữ liệu hoặc liên quan đến Vi phạm Dữ liệu Cá nhân của Khách hàng, Khách hàng không được yêu cầu hỗ trợ như vậy quá một lần trong bất kỳ khoảng thời gian mười hai (12) tháng nào. Khách hàng sẽ hoàn trả Ultralytics 'Các chi phí và khoản phí hợp lý phát sinh trong việc cung cấp sự hỗ trợ đó, trong trường hợp được pháp luật cho phép.

5. Bộ xử lý con

5.1 Ủy quyền chung. Khách hàng cấp quyền Ultralytics Giấy ủy quyền bằng văn bản chung để thuê các đơn vị xử lý phụ (Subprocessors) xử lý dữ liệu cá nhân của khách hàng cho các Dịch vụ.

5.2 Danh sách và Thông báo. Danh sách các đơn vị xử lý phụ hiện tại có sẵn tại ultralytics ("Danh sách"). Ultralytics Công ty sẽ cung cấp cơ chế để đăng ký nhận thông báo cập nhật Danh sách và sẽ thông báo về các Bên xử lý phụ mới ít nhất mười (10) ngày trước khi cho phép họ xử lý Dữ liệu Cá nhân của Khách hàng. Khách hàng có trách nhiệm đăng ký nhận các thông báo này nếu có; nếu Khách hàng không đăng ký, Khách hàng thừa nhận rằng họ có thể không nhận được thông báo trước thông qua cơ chế đó. Trong mọi trường hợp, việc cập nhật Danh sách sẽ được coi là thông báo về những thay đổi đối với Bên xử lý phụ. Khách hàng thừa nhận rằng một số Bên xử lý phụ là cần thiết để cung cấp Dịch vụ và việc phản đối việc sử dụng một bên xử lý phụ có thể ngăn cản Công ty cung cấp Dịch vụ cho Khách hàng.

Để rõ ràng hơn, Ultralytics Các chi nhánh tham gia vào việc cung cấp Dịch vụ, bao gồm: Ultralytics Ltd (Vương quốc Anh) và Ultralytics AI Spain, SL, có thể hoạt động như các đơn vị xử lý dữ liệu phụ nội bộ tập đoàn khi họ xử lý Dữ liệu Cá nhân của Khách hàng thay mặt cho... Ultralytics Công ty TNHH liên quan đến các Dịch vụ.

5.3 Phản đối việc bổ nhiệm nhà thầu phụ mới. Khách hàng có thể phản đối bằng văn bản việc bổ nhiệm nhà thầu phụ mới dựa trên các lý do bảo vệ dữ liệu hợp lý theo Mục 5.2. Nếu Ultralytics Nếu không thể giải quyết hợp lý khiếu nại của Khách hàng, Khách hàng có thể ngừng cung cấp Dịch vụ bị ảnh hưởng bằng thông báo bằng văn bản, mà không phải chịu bất kỳ khoản phí nào đã phát sinh trước khi ngừng cung cấp dịch vụ.

5.4 Quy trình chuyển giao công việc. Ultralytics Công ty sẽ chỉ hợp tác với các nhà thầu phụ sau khi tiến hành thẩm định rủi ro hợp lý để đánh giá xem nhà thầu phụ có khả năng cung cấp mức độ bảo vệ phù hợp cho Dữ liệu Cá nhân của Khách hàng theo Luật Bảo vệ Dữ liệu hiện hành hay không, và sẽ định kỳ giám sát các nhà thầu phụ như một phần của chương trình quản lý nhà cung cấp. Ultralytics sẽ đảm bảo rằng các Bên xử lý phụ của mình tuân thủ các nghĩa vụ bảo vệ dữ liệu tương đương về mặt nội dung hoặc thậm chí bảo vệ tốt hơn so với các nghĩa vụ được quy định trong Thỏa thuận bảo vệ dữ liệu này. Theo yêu cầu của Khách hàng, Ultralytics Sẽ cung cấp bản sao (có thể được biên tập lại vì lý do bảo mật) các điều khoản bảo vệ dữ liệu của Bên xử lý phụ có liên quan theo yêu cầu của SCCs.

6. An ninh

6.1 Các biện pháp. Cân nhắc đến trình độ công nghệ hiện tại, bản chất, phạm vi, bối cảnh và mục đích của việc Xử lý, cũng như rủi ro với mức độ và mức độ nghiêm trọng khác nhau đối với các quyền và tự do của cá nhân, Ultralytics Phải thực hiện và duy trì các biện pháp kỹ thuật và tổ chức phù hợp để đảm bảo mức độ bảo mật phù hợp với rủi ro đó, theo Luật Bảo vệ Dữ liệu hiện hành, bao gồm Điều 32 của GDPR. Các biện pháp này được mô tả trong Phụ lục C, trong đó Ultralytics có thể cập nhật định kỳ, miễn là bất kỳ bản cập nhật nào như vậy không làm giảm đáng kể mức độ bảo vệ tổng thể đối với Dữ liệu Cá nhân của Khách hàng.

6.2 Trách nhiệm của Khách hàng. Mặc dù vậy, Khách hàng thừa nhận rằng, trừ khi có quy định khác trong Thỏa thuận Bảo vệ Dữ liệu này, Khách hàng chịu trách nhiệm về việc sử dụng Dịch vụ một cách an toàn, bao gồm việc bảo vệ thông tin xác thực tài khoản, cấu hình kiểm soát truy cập phù hợp và đảm bảo rằng người dùng của mình truy cập và sử dụng Dịch vụ theo cách phù hợp với Luật Bảo vệ Dữ liệu hiện hành và các tính năng bảo mật do cung cấp. Ultralytics .

7. Kiểm toán khách hàng và chứng minh sự tuân thủ

7.1 Tài liệu. Theo yêu cầu hợp lý, Ultralytics sẽ cung cấp thông tin cần thiết một cách hợp lý để chứng minh việc tuân thủ Thỏa thuận bảo mật dữ liệu này (bao gồm các báo cáo kiểm toán hoặc chứng nhận của bên thứ ba hiện hành, nếu có). Ultralytics sẽ duy trì hồ sơ đầy đủ để chứng minh việc tuân thủ Thỏa thuận bảo vệ dữ liệu này và lưu giữ các hồ sơ đó trong một khoảng thời gian hợp lý sau khi chấm dứt (ví dụ: ba (3) năm), trừ khi luật pháp yêu cầu một khoảng thời gian dài hơn.

7.2 Kiểm toán. Trong trường hợp Luật Bảo vệ Dữ liệu yêu cầu và tài liệu không đầy đủ, Khách hàng có thể, sau khi thông báo bằng văn bản trước đó một cách hợp lý và với chi phí của Khách hàng, yêu cầu kiểm toán hoặc kiểm tra. Ultralytics 'các hệ thống và quy trình liên quan. Bất kỳ cuộc kiểm toán hoặc thanh tra nào như vậy chỉ được tiến hành sau khi có thỏa thuận bằng văn bản giữa các bên về phạm vi, thời gian và thời lượng của cuộc kiểm toán, cũng như bất kỳ mức phí bồi hoàn hợp lý nào cho Ultralytics ' thời gian và nguồn lực đã bỏ ra liên quan đến cuộc kiểm toán. Bất kỳ cuộc kiểm toán nào được tiến hành theo Mục này phải:

• (a) xảy ra không quá một lần trong bất kỳ khoảng thời gian mười hai (12) tháng nào;
• (b) diễn ra trong Ultralytics ' giờ làm việc bình thường;
• (c) phải tuân thủ các biện pháp kiểm soát bảo mật, an ninh và an toàn hợp lý; và
• (d) chỉ giới hạn ở các hệ thống và hồ sơ có liên quan hợp lý đến việc Xử lý Dữ liệu Cá nhân của Khách hàng.

Khách hàng phải thông báo ngay lập tức. Ultralytics bất kỳ sự không tuân thủ trọng yếu nào được phát hiện trong quá trình kiểm toán để cho phép Ultralytics một cơ hội hợp lý để giải quyết những phát hiện đó.

8. Vi phạm dữ liệu cá nhân

8.1 Thông báo. Ultralytics Chúng tôi sẽ thông báo cho Khách hàng trong thời gian sớm nhất nhưng không muộn hơn 72 giờ sau khi phát hiện ra việc rò rỉ Dữ liệu Cá nhân của Khách hàng.

8.2 Hỗ trợ. Ultralytics sẽ cung cấp sự hỗ trợ hợp lý cho các thông báo cần thiết của Khách hàng gửi đến các cơ quan quản lý và các Chủ thể Dữ liệu bị ảnh hưởng, có tính đến thông tin hiện có. Ultralytics .

8.3 Không thừa nhận. Thông báo vi phạm không cấu thành sự thừa nhận lỗi hoặc trách nhiệm. Nghĩa vụ thông báo vi phạm không áp dụng trong trường hợp Vi phạm Dữ liệu Cá nhân của Khách hàng do hành động hoặc thiếu sót của Khách hàng hoặc người dùng của Khách hàng gây ra.

9. Chuyển khoản (EU/Anh/Thụy Sĩ)

9.1 Chuyển khoản quốc tế. Khách hàng xác nhận rằng Ultralytics Các hoạt động xử lý dữ liệu chính có thể diễn ra tại Hoa Kỳ và các địa điểm khác khi cần thiết để cung cấp Dịch vụ.

Để rõ ràng hơn, Dữ liệu Cá nhân Khách hàng cũng có thể được chuyển giao giữa các bên. Ultralytics Công ty TNHH và các công ty liên kết của nó (bao gồm Ultralytics Ltd (Vương quốc Anh) và Ultralytics AI Spain, SL) trong trường hợp các công ty liên kết đó đóng vai trò là các bên xử lý phụ liên quan đến Dịch vụ. Trường hợp các hoạt động chuyển giao này được coi là chuyển giao quốc tế theo Luật Bảo vệ Dữ liệu hiện hành, chúng sẽ phải tuân theo các Biện pháp Bảo vệ Thích hợp, bao gồm SCCs (Mô-đun 3, nếu có) hoặc các cơ chế chuyển giao hợp lệ khác.

Trường hợp cần chuyển Dữ liệu Cá nhân của Khách hàng đến một quốc gia chưa được công nhận là có mức độ bảo vệ dữ liệu đầy đủ, việc chuyển giao đó sẽ tuân theo các Biện pháp Bảo vệ Thích hợp theo Luật Bảo vệ Dữ liệu hiện hành, bao gồm, nếu có, các Điều khoản Hợp đồng Chuẩn (SCC) và Phụ lục Vương quốc Anh được tích hợp vào Thỏa thuận Bảo vệ Dữ liệu này.

9.2 Các Điều khoản Hợp đồng Chuẩn của EU. Đối với việc chuyển giao Dữ liệu Cá nhân của Khách hàng tuân theo GDPR sang quốc gia thứ ba mà không có sự tương thích, các bên sẽ kết hợp các Điều khoản Hợp đồng Chuẩn của EU. Mô-đun Hai (Bên kiểm soát → Bên xử lý) áp ​​dụng khi Khách hàng là Bên kiểm soát; Mô-đun Ba (Bên xử lý → Bên xử lý phụ) áp dụng khi Khách hàng là Bên xử lý. Các phụ lục của Điều khoản Hợp đồng Chuẩn được hoàn thiện bằng cách sử dụng Phụ lục B (Phụ lục I/III) và Phụ lục C (Phụ lục II).

9.3 Phụ lục Vương quốc Anh. Đối với các giao dịch chuyển dữ liệu tuân theo GDPR của Vương quốc Anh, các bên sẽ kết hợp Phụ lục Vương quốc Anh, được hoàn thiện bằng cách tham chiếu đến Phụ lục B/C và lựa chọn cơ chế chuyển dữ liệu áp dụng.

9.4 Thụy Sĩ. Đối với các giao dịch chuyển tiền tại Thụy Sĩ, các Điều khoản Hợp đồng Chuẩn của EU được áp dụng với các sửa đổi tiêu chuẩn của Thụy Sĩ (các tham chiếu đến GDPR bao gồm FADP Thụy Sĩ; FDPIC là cơ quan có thẩm quyền, v.v.), được bổ sung bằng cách tham chiếu đến các Phụ lục.

9.5 Yêu cầu truy cập của Chính phủ. Ultralytics Sẽ xử lý các yêu cầu ràng buộc pháp lý đối với Dữ liệu Cá nhân của Khách hàng phù hợp với luật hiện hành và các Điều khoản Hợp đồng Chuẩn (SCC), bao gồm (nếu được pháp luật cho phép) việc thông báo cho Khách hàng và sự hợp tác hợp lý.

10. Các điều khoản giữa các bộ điều khiển ( Ultralytics (Tài khoản / Sử dụng / Vận hành bảo mật)

10.1 Phạm vi. Phần này áp dụng cho việc Xử lý Dữ liệu Cá nhân của Bên Kiểm soát bởi mỗi bên với tư cách là Bên Kiểm soát độc lập (không phải các bên kiểm soát chung), bao gồm: Ultralytics 'Xử lý dữ liệu tài khoản công ty và dữ liệu sử dụng của công ty.'

10.2 Nghĩa vụ của Bên Kiểm soát Độc lập. Mỗi bên sẽ:

• (a) Xử lý Dữ liệu Cá nhân của Bên Kiểm soát theo đúng Luật Bảo vệ Dữ liệu;
• (b) thực hiện các biện pháp bảo mật thích hợp; và
• (c) phản hồi các thông báo từ cơ quan quản lý liên quan đến việc xử lý dữ liệu của chính mình.

10.3 Xử lý bộ điều khiển Ultralytics . Ultralytics Công ty xử lý Dữ liệu Tài khoản và Dữ liệu Sử dụng của Công ty với tư cách là Bên kiểm soát dữ liệu cho các mục đích: quản trị tài khoản, lập hóa đơn, giám sát an ninh và ngăn chặn lạm dụng, xác minh danh tính, tuân thủ pháp luật, kiểm toán/kế toán và vận hành dịch vụ (bao gồm hiệu suất và độ tin cậy). Việc xử lý này được mô tả trong [tài liệu]. Ultralytics Chính sách bảo mật. Không có điều khoản nào trong Thỏa thuận bảo mật dữ liệu này được hiểu là tạo ra mối quan hệ đồng kiểm soát dữ liệu giữa các bên.

Để tránh hiểu nhầm, Ultralytics và các công ty liên kết của nó có thể xử lý dữ liệu liên hệ kinh doanh hạn chế (chẳng hạn như tên, địa chỉ email công ty và thông tin liên hệ chuyên môn) trong bối cảnh tiếp cận thương mại, trình diễn, hợp tác và các hoạt động quản lý quan hệ khách hàng với tư cách là các Bên kiểm soát dữ liệu độc lập.

11. Thuật ngữ của California (CCPA/CPRA)

11.1 Nhà cung cấp dịch vụ / Bộ xử lý. Trong phạm vi CCPA/CPRA áp dụng và Ultralytics Xử lý dữ liệu cá nhân của khách hàng thay mặt khách hàng. Ultralytics Công ty này đóng vai trò là "nhà cung cấp dịch vụ" và/hoặc "bên xử lý dữ liệu", và sẽ không "bán" hoặc "chia sẻ" thông tin cá nhân đó.

11.2 Sử dụng có giới hạn. Ultralytics Chúng tôi sẽ không lưu giữ, sử dụng hoặc tiết lộ Dữ liệu Cá nhân của Khách hàng ngoài mục đích kinh doanh trực tiếp là cung cấp Dịch vụ, trừ trường hợp được CCPA/CPRA cho phép.

11.3 Phân biệt đối xử. Các Bên không được phân biệt đối xử với Người tiêu dùng vì họ đã thực hiện các quyền của mình.

12. Các điều khoản chung

12.1 Giới hạn trách nhiệm. Các giới hạn và điều khoản loại trừ trong Thỏa thuận này áp dụng cho Thỏa thuận bảo mật dữ liệu này, trừ trường hợp bị pháp luật hoặc Phụ lục SCCs/UK cấm.

12.2 Tính hiệu lực từng phần. Nếu bất kỳ điều khoản nào của Thỏa thuận bảo mật dữ liệu này không hợp lệ hoặc không thể thi hành, thì phần còn lại của Thỏa thuận bảo mật dữ liệu này vẫn có hiệu lực. Điều khoản không hợp lệ hoặc không thể thi hành đó sẽ được (i) sửa đổi khi cần thiết để đảm bảo tính hợp lệ và khả năng thi hành, đồng thời bảo toàn ý định của các Bên càng sát càng tốt hoặc, nếu điều này không thể thực hiện được, (ii) được hiểu theo cách như thể phần không hợp lệ hoặc không thể thi hành đó chưa từng tồn tại.

12.3 Thực hiện Thỏa thuận Bảo vệ Dữ liệu này. Thỏa thuận Bảo vệ Dữ liệu này được tích hợp vào và là một phần của Thỏa thuận. Khách hàng ký kết Thỏa thuận Bảo vệ Dữ liệu này (bao gồm, nếu có, các Điều khoản Hợp đồng Tiêu chuẩn EU và Phụ lục Vương quốc Anh) bằng cách:

• (a) chấp nhận hoặc đồng ý bị ràng buộc bởi Thỏa thuận (bao gồm cả việc nhấp vào "Tôi đồng ý" hoặc cơ chế tương tự trong Điều khoản dịch vụ),
• (b) thực hiện mẫu đơn đặt hàng, bản mô tả công việc hoặc thỏa thuận bằng văn bản khác có kết hợp hoặc tham chiếu đến Thỏa thuận này, hoặc
• (c) sử dụng hoặc tiếp tục sử dụng Dịch vụ sau khi Thỏa thuận Bảo vệ Dữ liệu này được Công ty cung cấp.

Khách hàng cam kết và bảo đảm rằng cá nhân chấp nhận Thỏa thuận và/hoặc sử dụng Dịch vụ thay mặt Khách hàng có thẩm quyền ràng buộc Khách hàng và, nếu có, các công ty liên kết của Khách hàng.

12.4 Liên hệ. Yêu cầu về quyền riêng tư: ultralytics ; Cán bộ bảo vệ dữ liệu (DPO): ultralytics ; Thông báo pháp lý: ultralytics .

13. Các bên liên quan; Các công ty con

Khách hàng ký kết Thỏa thuận Bảo vệ Dữ liệu này thay mặt cho chính mình và các Công ty liên kết được ủy quyền sử dụng Dịch vụ theo Thỏa thuận và là Bên Kiểm soát/Xử lý Dữ liệu Cá nhân của Khách hàng ("Các Công ty liên kết được phép"). Khách hàng cam kết rằng mình có thẩm quyền ràng buộc các Công ty liên kết được phép.

Phụ lục A: Chi tiết về việc xử lý dữ liệu cá nhân

Thiên nhiên: Ultralytics Cung cấp phần mềm dựa trên điện toán đám mây và các dịch vụ liên quan cho phép Khách hàng truy cập và sử dụng. Ultralytics các sản phẩm và tính năng, bao gồm đào tạo mô hình, suy luận, quản lý tập dữ liệu, quy trình triển khai và hỗ trợ cũng như quản trị liên quan ("Dịch vụ"), như được mô tả trong Thỏa thuận.

Để rõ ràng hơn, các Dịch vụ bao gồm: Ultralytics Nền tảng, thông qua đó Ultralytics Xử lý Dữ liệu Cá nhân của Khách hàng thay mặt Khách hàng theo Thỏa thuận Bảo vệ Dữ liệu này. Ngoài ra, Ultralytics cũng cung cấp Ultralytics YOLO các mô hình mã nguồn mở, mà Khách hàng có thể triển khai và vận hành độc lập trong môi trường của riêng họ. Trường hợp Khách hàng triển khai hoặc sử dụng Ultralytics YOLO các mô hình bên ngoài Ultralytics Nền tảng, Ultralytics Không xử lý Dữ liệu Cá nhân thay mặt Khách hàng, và Khách hàng hoàn toàn chịu trách nhiệm thực hiện các biện pháp kỹ thuật và tổ chức phù hợp, xác định mục đích và phương tiện xử lý, và đảm bảo tuân thủ các Luật Bảo vệ Dữ liệu hiện hành liên quan đến việc triển khai và sử dụng đó.

Mục đích: Ultralytics Xử lý Dữ liệu Cá nhân của Khách hàng thay mặt Khách hàng cho các mục đích sau:

• Cung cấp, vận hành, bảo mật và hỗ trợ các Dịch vụ theo Thỏa thuận và Hướng dẫn bằng văn bản của Khách hàng;
• Tuân thủ các chỉ dẫn hợp lý khác được Khách hàng cung cấp bằng văn bản, trong trường hợp các chỉ dẫn đó phù hợp với Thỏa thuận và Thỏa thuận bảo mật dữ liệu này;
• Để đáp ứng các yêu cầu do Khách hàng hoặc người dùng được ủy quyền của Khách hàng đưa ra trong quá trình sử dụng Dịch vụ (bao gồm cả các yêu cầu hỗ trợ khách hàng);
• để giám sát, ngăn ngừa và detect các sự cố an ninh, gian lận, lạm dụng và sử dụng sai dịch vụ; và
• Tuân thủ các nghĩa vụ pháp lý hiện hành.

Ultralytics sẽ không sử dụng Dữ liệu Cá nhân của Khách hàng để đào tạo hoặc cải thiện Ultralytics 'Các mô hình chung, trừ khi có chỉ dẫn rõ ràng khác từ Khách hàng bằng văn bản hoặc thông qua Dịch vụ. Để rõ ràng hơn, Ultralytics Công ty có thể sử dụng Dữ liệu sử dụng của Công ty và dữ liệu tổng hợp hoặc dữ liệu đã được ẩn danh (nếu được phép) để vận hành, bảo mật và cải thiện Dịch vụ.

Trường hợp Khách hàng lựa chọn chia sẻ tập dữ liệu, mô hình hoặc nội dung khác thông qua các tính năng cộng đồng hoặc công khai của Dịch vụ, việc chia sẻ đó được coi là chỉ thị bằng văn bản của Khách hàng. Khách hàng vẫn chịu trách nhiệm duy nhất trong việc đảm bảo mình có tất cả các quyền và cơ sở pháp lý cần thiết để cung cấp dữ liệu đó cho người dùng khác.

Thời gian xử lý: Ultralytics Chúng tôi sẽ xử lý Dữ liệu Cá nhân của Khách hàng trong suốt thời hạn của Thỏa thuận và trong thời gian cần thiết để cung cấp Dịch vụ theo Hướng dẫn của Khách hàng. Sau khi Thỏa thuận chấm dứt hoặc hết hạn, Ultralytics sẽ xóa hoặc trả lại Dữ liệu Cá nhân của Khách hàng theo Thỏa thuận và Thỏa thuận Bảo vệ Dữ liệu này, trừ khi việc lưu giữ thêm là bắt buộc theo luật hiện hành. Để rõ ràng hơn, trong trường hợp này, Ultralytics Bộ điều khiển xử lý Dữ liệu Cá nhân (bao gồm Dữ liệu Tài khoản Công ty và Dữ liệu Sử dụng của Công ty) với tư cách là Bộ điều khiển độc lập theo Mục 10, việc xử lý này sẽ diễn ra trong các khoảng thời gian được quy định trong Ultralytics Chính sách bảo mật.

Các loại đối tượng dữ liệu: Dữ liệu cá nhân của khách hàng có thể liên quan đến các loại đối tượng dữ liệu sau, do khách hàng xác định và kiểm soát:

• Nhân viên, nhà thầu, đại lý và người đại diện của khách hàng;
• Người dùng và quản trị viên được ủy quyền của khách hàng;
• và người dùng cuối, khách hàng hoặc các cá nhân khác của Khách hàng mà Khách hàng lựa chọn cung cấp Dữ liệu Cá nhân của họ cho Dịch vụ.

Các loại dữ liệu cá nhân: Dữ liệu cá nhân của khách hàng có thể bao gồm các loại dữ liệu cá nhân sau, trong phạm vi được khách hàng gửi đến hoặc cung cấp thông qua Dịch vụ hoặc thay mặt khách hàng:

• Dữ liệu tài khoản và thông tin nhận dạng người dùng , chẳng hạn như tên, địa chỉ email, tên người dùng/ID người dùng, tên tổ chức và vai trò/quyền hạn của người dùng (ví dụ: quản trị viên/người dùng).
• Dữ liệu sử dụng và thiết bị/kỹ thuật , chẳng hạn như địa chỉ IP, mã định danh thiết bị và thuộc tính hệ thống (ví dụ: loại thiết bị, hệ điều hành, loại trình duyệt), tệp nhật ký, dấu thời gian, sự kiện xác thực, lịch sử truy cập và (nếu có) các ứng dụng đã cài đặt hoặc chi tiết cấu hình được thu thập như một phần của quy trình làm việc về thiết bị hoặc bảo mật của doanh nghiệp.
• Nội dung và thông tin đầu vào do khách hàng cung cấp , chẳng hạn như lời nhắc do người dùng tạo, bình luận, chú thích, siêu dữ liệu hoặc nhãn tập dữ liệu, và bất kỳ nội dung nào khác mà Khách hàng tải lên hoặc gửi thông qua Dịch vụ (bao gồm hình ảnh/video/âm thanh hoặc các tệp khác), nhưng chỉ trong phạm vi nội dung đó chứa Dữ liệu Cá nhân.
• Dữ liệu hỗ trợ và liên lạc , chẳng hạn như thông tin liên lạc hỗ trợ khách hàng, báo cáo sự cố, thông tin khắc phục sự cố và chi tiết liên hệ quản trị.

Các loại Dữ liệu Cá nhân được xử lý có thể bao gồm thêm những loại được mô tả trong phần sau. Ultralytics Chính sách bảo mật.

Dữ liệu nhạy cảm hoặc dữ liệu thuộc loại đặc biệt: Dịch vụ không được thiết kế hoặc dự định để xử lý các loại dữ liệu cá nhân đặc biệt (như được định nghĩa trong Điều 9 GDPR hoặc tương đương theo Luật Bảo vệ Dữ liệu hiện hành) hoặc dữ liệu cá nhân liên quan đến các bản án và hành vi phạm tội hình sự (Điều 10 GDPR), và Khách hàng bị cấm cung cấp các dữ liệu đó trừ khi có thỏa thuận rõ ràng bằng văn bản với chúng tôi. Ultralytics và phải tuân thủ các biện pháp bảo vệ bổ sung.

Phụ lục B: Thông tin Phụ lục I và Phụ lục III (Điều khoản hợp đồng tiêu chuẩn của EU và Phụ lục bổ sung của Vương quốc Anh)

Phần sau đây bao gồm thông tin được yêu cầu trong Phụ lục I và Phụ lục III của Hiệp định Hợp tác Tiêu chuẩn và Hợp tác (SCC) của EU, cũng như Bảng 1, Phụ lục 1A và Phụ lục 1B của Phụ lục bổ sung của Vương quốc Anh.

1. Các Bên

(Các) công cụ xuất dữ liệu:

• Tên: Tên pháp nhân của khách hàng
• Tên thương mại (nếu khác): [Tùy chọn]
• Địa chỉ: Địa chỉ đăng ký của khách hàng
• Số đăng ký chính thức (nếu có): [Tùy chọn]
• Thông tin liên hệ của người phụ trách: Họ tên, Chức danh, Email
• Các hoạt động liên quan đến dữ liệu được chuyển giao theo các Điều khoản này: Sử dụng Dịch vụ theo Thỏa thuận, bao gồm việc chuyển giao Dữ liệu Cá nhân của Khách hàng cho Ultralytics để xử lý dữ liệu liên quan đến các Dịch vụ, như được mô tả trong Thỏa thuận, Thỏa thuận bảo mật dữ liệu này và Phụ lục A.
• Chữ ký và ngày tháng: Bằng việc ký kết/chấp thuận Thỏa thuận/DPA
• Vai trò (bộ điều khiển/bộ xử lý): Bộ điều khiển

Trình nhập dữ liệu:

• Tên: Ultralytics Công ty TNHH
• Tên thương mại (nếu khác): Không áp dụng
• Địa chỉ và thông tin liên hệ: 5001 Judicial Way, Frederick, MD, 21703, Hoa Kỳ; ultralytics
• Số đăng ký chính thức (nếu có): 6755919
• Các hoạt động liên quan đến dữ liệu được chuyển giao theo các Điều khoản này: Xử lý Dữ liệu Cá nhân của Khách hàng thay mặt Khách hàng để cung cấp, vận hành, bảo mật, duy trì và hỗ trợ Dịch vụ, và như được mô tả khác trong Thỏa thuận, Thỏa thuận Bảo vệ Dữ liệu này và Phụ lục A.
• Chữ ký và ngày tháng: Bằng việc ký kết/chấp thuận Thỏa thuận/DPA
• Vai trò (bộ điều khiển/bộ xử lý): Như được mô tả trong Mục 3 của Thỏa thuận bảo vệ dữ liệu (DPA).

2. Mô tả về việc chuyển nhượng

3. Cơ quan giám sát có thẩm quyền

Cơ quan giám sát sẽ là cơ quan giám sát của Bên xuất khẩu dữ liệu, được xác định theo Điều 13 của EU SCCs. Cơ quan giám sát cho mục đích của Phụ lục Vương quốc Anh sẽ là Văn phòng Ủy viên Thông tin Vương quốc Anh.

Phụ lục C: Các biện pháp an ninh kỹ thuật và tổ chức

Phần sau đây bao gồm các thông tin cần thiết theo Phụ lục II của Hiệp định Hợp đồng Tiêu chuẩn EU và Phụ lục II của Phụ lục bổ sung của Vương quốc Anh.

Phụ lục D: Phụ lục bổ sung của Vương quốc Anh

Phụ lục về chuyển giao dữ liệu quốc tế kèm theo các điều khoản hợp đồng tiêu chuẩn của Ủy ban Châu Âu

Phần 1: Bảng biểu

Bảng 1: Các bên tham gia

Bảng 2: Các SCC, Mô-đun và Điều khoản được chọn lọc

Bảng 3: Thông tin Phụ lục

"Thông tin Phụ lục" có nghĩa là thông tin phải được cung cấp cho các mô-đun đã chọn như được nêu trong Phụ lục của các Điều khoản Hợp đồng Chuẩn EU đã được phê duyệt (ngoại trừ các Bên), và đối với Phụ lục bổ sung của Vương quốc Anh này, thông tin đó được nêu trong:

Bảng 4: Kết thúc Phụ lục Vương quốc Anh này khi Phụ lục Vương quốc Anh được phê duyệt thay đổi

Lưu ý: Điều khoản này cho phép bên được chọn (nếu có) chấm dứt Phụ lục Vương quốc Anh nếu ICO thay đổi Phụ lục Vương quốc Anh đã được phê duyệt mà dẫn đến sự gia tăng đáng kể, không cân xứng và có thể chứng minh được về (a) chi phí trực tiếp thực hiện các nghĩa vụ của mình theo Phụ lục Vương quốc Anh hoặc (b) rủi ro của mình theo Phụ lục Vương quốc Anh.

Việc ký kết Phụ lục Vương quốc Anh này

Mỗi bên đồng ý chịu ràng buộc bởi các điều khoản và điều kiện được nêu trong Phụ lục Vương quốc Anh này, đổi lại việc bên kia cũng đồng ý chịu ràng buộc bởi Phụ lục Vương quốc Anh này.

Mặc dù Phụ lục 1A và Điều khoản 7 của Các Điều khoản Hợp đồng Chuẩn EU đã được phê duyệt yêu cầu chữ ký của các Bên, nhưng để thực hiện việc chuyển dữ liệu ra khỏi Vương quốc Anh, các Bên có thể ký kết Phụ lục Vương quốc Anh này theo bất kỳ cách nào khiến chúng có tính ràng buộc pháp lý đối với các Bên và cho phép chủ thể dữ liệu thực thi các quyền của họ như đã nêu trong Phụ lục Vương quốc Anh này. Việc ký kết Phụ lục Vương quốc Anh này sẽ có hiệu lực tương đương với việc ký kết Các Điều khoản Hợp đồng Chuẩn EU đã được phê duyệt và bất kỳ phần nào của Các Điều khoản Hợp đồng Chuẩn EU đã được phê duyệt.

Giải thích Phụ lục này của Vương quốc Anh

Trường hợp Phụ lục Vương quốc Anh này sử dụng các thuật ngữ được định nghĩa trong các Điều khoản Hợp đồng Chuẩn của EU đã được phê duyệt, thì các thuật ngữ đó sẽ có cùng ý nghĩa như trong các Điều khoản Hợp đồng Chuẩn của EU đã được phê duyệt. Ngoài ra, các thuật ngữ sau đây có ý nghĩa như sau:

Phụ lục của Vương quốc Anh phải luôn được hiểu theo cách phù hợp với Luật Bảo vệ Dữ liệu của Vương quốc Anh và đáp ứng nghĩa vụ của các Bên trong việc cung cấp các Biện pháp Bảo vệ Thích hợp.

Nếu các điều khoản trong Phụ lục Vương quốc Anh sửa đổi các Điều khoản Hợp đồng Chuẩn của EU đã được phê duyệt theo bất kỳ cách nào không được phép theo các Điều khoản Hợp đồng Chuẩn của EU đã được phê duyệt hoặc Phụ lục Vương quốc Anh đã được phê duyệt, thì (các) sửa đổi đó sẽ không được đưa vào Phụ lục Vương quốc Anh và điều khoản tương đương trong các Điều khoản Hợp đồng Chuẩn của EU đã được phê duyệt sẽ thay thế chúng.

Nếu có bất kỳ sự không nhất quán hoặc mâu thuẫn nào giữa Luật Bảo vệ Dữ liệu của Vương quốc Anh và Phụ lục của Vương quốc Anh, thì Luật Bảo vệ Dữ liệu của Vương quốc Anh sẽ được áp dụng.

Nếu ý nghĩa của Phụ lục Vương quốc Anh không rõ ràng hoặc có nhiều hơn một ý nghĩa, thì ý nghĩa phù hợp nhất với Luật Bảo vệ Dữ liệu của Vương quốc Anh sẽ được áp dụng.

Bất kỳ tham chiếu nào đến luật pháp (hoặc các điều khoản cụ thể của luật pháp) đều có nghĩa là luật pháp (hoặc điều khoản cụ thể đó) có thể thay đổi theo thời gian. Điều này bao gồm cả trường hợp luật pháp (hoặc điều khoản cụ thể đó) đã được hợp nhất, ban hành lại và/hoặc thay thế sau khi Phụ lục của Vương quốc Anh được ký kết.

Thứ bậc

Mặc dù Điều 5 của Các Điều khoản Hợp đồng Chuẩn EU đã được phê duyệt quy định rằng Các Điều khoản Hợp đồng Chuẩn EU đã được phê duyệt sẽ có hiệu lực ưu tiên hơn tất cả các thỏa thuận liên quan giữa các bên, các bên đồng ý rằng, đối với các giao dịch chuyển tiền ra khỏi Vương quốc Anh, thứ tự ưu tiên được nêu trong Mục 10 bên dưới sẽ được áp dụng.

Trong trường hợp có bất kỳ sự không nhất quán hoặc mâu thuẫn nào giữa Phụ lục được phê duyệt của Vương quốc Anh và các Điều khoản Hợp đồng Chuẩn của EU (nếu có), Phụ lục được phê duyệt của Vương quốc Anh sẽ được ưu tiên áp dụng, trừ trường hợp (và trong phạm vi) các điều khoản không nhất quán hoặc mâu thuẫn của các Điều khoản Hợp đồng Chuẩn của EU cung cấp sự bảo vệ tốt hơn cho chủ thể dữ liệu, trong trường hợp đó, các điều khoản đó sẽ được ưu tiên áp dụng.

Trường hợp Phụ lục Vương quốc Anh này tích hợp các Điều khoản Hợp đồng Chuẩn của EU đã được ký kết để bảo vệ các hoạt động chuyển giao dữ liệu ra ngoài EU theo quy định của GDPR, thì các bên thừa nhận rằng không có điều khoản nào trong Phụ lục Vương quốc Anh ảnh hưởng đến các Điều khoản Hợp đồng Chuẩn của EU đó.

Việc hợp nhất và thay đổi các điều khoản hợp đồng tiêu chuẩn của EU (EU SCCs)

Phụ lục này của Vương quốc Anh kết hợp các Điều khoản Hợp đồng Chuẩn của EU, được sửa đổi ở mức cần thiết để:

• Cả hai cùng hoạt động để thực hiện việc chuyển dữ liệu từ bên xuất khẩu dữ liệu sang bên nhập khẩu dữ liệu, trong phạm vi Luật Bảo vệ Dữ liệu của Vương quốc Anh áp dụng cho quá trình xử lý dữ liệu của bên xuất khẩu khi thực hiện việc chuyển dữ liệu đó, và chúng cung cấp các Biện pháp Bảo vệ Thích hợp cho các hoạt động chuyển dữ liệu này;
• Các mục từ 9 đến 11 nêu trên sẽ ghi đè lên Điều khoản 5 (Thứ bậc) của các Điều khoản Hợp đồng Tiêu chuẩn của EU; và
• Phụ lục Vương quốc Anh (bao gồm cả các SCC của EU được kết hợp trong đó) (1) được điều chỉnh bởi luật pháp của Anh và xứ Wales và (2) bất kỳ tranh chấp nào phát sinh từ đó đều được giải quyết bởi các tòa án của Anh và xứ Wales.

Trừ khi các bên đã thỏa thuận các sửa đổi thay thế đáp ứng các yêu cầu của Mục 12 của Phụ lục Vương quốc Anh này, các điều khoản của Mục 15 của Phụ lục Vương quốc Anh này sẽ được áp dụng.

Không được phép sửa đổi các Điều khoản Hợp đồng Chuẩn của EU đã được phê duyệt, ngoại trừ việc đáp ứng các yêu cầu của Mục 12 của Phụ lục Vương quốc Anh này.

Các sửa đổi sau đây được thực hiện đối với các Điều khoản Hợp đồng Chuẩn của EU (cho mục đích của Mục 12 của Phụ lục Vương quốc Anh này):

• Các tham chiếu đến "Điều khoản" ở đây có nghĩa là Phụ lục của Vương quốc Anh này, bao gồm các Điều khoản Tiêu chuẩn và Hợp đồng của EU;
• Trong Điều 2, hãy xóa các từ: "và, liên quan đến việc chuyển dữ liệu từ bộ điều khiển sang bộ xử lý và/hoặc bộ xử lý sang bộ xử lý, các điều khoản hợp đồng tiêu chuẩn theo Điều 28(7) của Quy định (EU) 2016/679";
• Điều khoản 6 (Mô tả về (các) hoạt động chuyển giao) được thay thế bằng: "Chi tiết về (các) hoạt động chuyển giao và đặc biệt là các loại dữ liệu cá nhân được chuyển giao và (các) mục đích chuyển giao đó được quy định trong Phụ lục IB trong trường hợp Luật Bảo vệ Dữ liệu của Vương quốc Anh áp dụng cho việc xử lý dữ liệu của bên xuất khẩu khi thực hiện việc chuyển giao đó."
• Điều khoản 8.7(i) của Mô-đun 1 được thay thế bằng: "việc chuyển tiếp dữ liệu đến một quốc gia được hưởng lợi từ các quy định về tính đầy đủ theo Mục 17A của GDPR Vương quốc Anh là điều khoản bao gồm việc chuyển tiếp này";
• Điều khoản 8.8(i) của Mô-đun 2 và 3 được thay thế bằng: "việc chuyển tiếp dữ liệu được thực hiện đến một quốc gia được hưởng lợi từ các quy định về tính đầy đủ theo Mục 17A của GDPR Vương quốc Anh bao gồm việc chuyển tiếp dữ liệu;"
• Các tham chiếu đến "Quy định (EU) 2016/679", "Quy định (EU) 2016/679 của Nghị viện Châu Âu và Hội đồng ngày 27 tháng 4 năm 2016 về bảo vệ cá nhân liên quan đến việc xử lý dữ liệu cá nhân và về tự do lưu chuyển dữ liệu đó (Quy định chung về bảo vệ dữ liệu)" và "Quy định đó" đều được thay thế bằng "Luật Bảo vệ Dữ liệu của Vương quốc Anh". Các tham chiếu đến Điều (các Điều) cụ thể của "Quy định (EU) 2016/679" được thay thế bằng Điều hoặc Mục tương đương của Luật Bảo vệ Dữ liệu của Vương quốc Anh;
• Các tham chiếu đến Quy định (EU) 2018/1725 đã bị xóa bỏ;
• Các từ ngữ như "Liên minh châu Âu", "Liên minh", "EU", "Quốc gia thành viên EU", "Quốc gia thành viên" và "EU hoặc Quốc gia thành viên" đều được thay thế bằng "Vương quốc Anh";
• Tham chiếu đến "Điều khoản 12(c)(i)" tại Điều khoản 10(b)(i) của Mô-đun một được thay thế bằng "Điều khoản 11(c)(i)";
• Điều khoản 13(a) và Phần C của Phụ lục I không được sử dụng;
• Cả "cơ quan giám sát có thẩm quyền" và "cơ quan giám sát" đều được thay thế bằng "Ủy viên Thông tin";
• Trong Điều 16(e), tiểu mục (i) được thay thế bằng: "Bộ trưởng Bộ Nội vụ ban hành các quy định theo Mục 17A của Đạo luật Bảo vệ Dữ liệu năm 2018 bao gồm việc chuyển giao dữ liệu cá nhân mà các điều khoản này áp dụng;";
• Điều khoản 17 được thay thế bằng: "Các điều khoản này tuân theo luật của Anh và xứ Wales";
• Điều khoản 18 được thay thế bằng: "Mọi tranh chấp phát sinh từ các Điều khoản này sẽ được giải quyết bởi các tòa án của Anh và xứ Wales." Chủ thể dữ liệu cũng có thể khởi kiện bên xuất khẩu dữ liệu và/hoặc bên nhập khẩu dữ liệu trước các tòa án của bất kỳ quốc gia nào thuộc Vương quốc Anh. Các bên đồng ý tuân theo thẩm quyền của các tòa án đó."; và
• Các chú thích cuối trang của các Điều khoản Hợp đồng Chuẩn EU đã được phê duyệt không thuộc Phụ lục của Vương quốc Anh, ngoại trừ các chú thích cuối trang 8, 9, 10 và 11.

Các sửa đổi đối với Phụ lục Vương quốc Anh

Các bên có thể thỏa thuận thay đổi Điều 17 và/hoặc Điều 18 của EU SCCs để tham chiếu đến luật và/hoặc tòa án của Scotland hoặc Bắc Ireland.

Nếu các bên muốn thay đổi định dạng thông tin trong Phần 1: Bảng biểu của Phụ lục đã được phê duyệt của Vương quốc Anh, họ có thể làm như vậy bằng cách thỏa thuận bằng văn bản về sự thay đổi đó, với điều kiện là sự thay đổi đó không làm giảm các Biện pháp Bảo vệ Thích hợp.

Thỉnh thoảng, ICO có thể ban hành Phụ lục được phê duyệt sửa đổi của Vương quốc Anh, trong đó:

• Thực hiện các thay đổi hợp lý và tương xứng đối với Phụ lục đã được phê duyệt của Vương quốc Anh, bao gồm việc sửa chữa các lỗi trong Phụ lục đã được phê duyệt của Vương quốc Anh; và/hoặc
• Phản ánh những thay đổi trong Luật Bảo vệ Dữ liệu của Vương quốc Anh.

Phụ lục sửa đổi đã được phê duyệt của Vương quốc Anh sẽ quy định ngày bắt đầu có hiệu lực của các thay đổi đối với Phụ lục sửa đổi đã được phê duyệt của Vương quốc Anh và liệu các bên có cần xem xét lại Phụ lục này của Vương quốc Anh, bao gồm cả Thông tin Phụ lục hay không. Phụ lục này của Vương quốc Anh sẽ tự động được sửa đổi như đã nêu trong Phụ lục sửa đổi đã được phê duyệt của Vương quốc Anh kể từ ngày bắt đầu được chỉ định.

Nếu ICO ban hành Phụ lục Vương quốc Anh được phê duyệt sửa đổi theo Mục 18 của Phụ lục Vương quốc Anh này, nếu một bên sẽ chịu sự gia tăng đáng kể, không cân xứng và có thể chứng minh được do những thay đổi trong Phụ lục Vương quốc Anh được phê duyệt:

• chi phí trực tiếp của nó để thực hiện các nghĩa vụ theo Phụ lục Vương quốc Anh; và/hoặc
• rủi ro của nó theo Phụ lục của Vương quốc Anh,

và trong cả hai trường hợp, nếu bên đó đã thực hiện các bước hợp lý để giảm thiểu các chi phí hoặc rủi ro đó sao cho chúng không quá lớn và không tương xứng, thì bên đó có thể chấm dứt Phụ lục Vương quốc Anh này sau một thời hạn thông báo hợp lý, bằng cách gửi thông báo bằng văn bản cho bên kia về thời hạn đó trước ngày bắt đầu của Phụ lục Vương quốc Anh đã được phê duyệt sửa đổi.

Các bên không cần sự đồng ý của bất kỳ bên thứ ba nào để thực hiện các thay đổi đối với Phụ lục Vương quốc Anh này, nhưng bất kỳ thay đổi nào cũng phải được thực hiện theo đúng các điều khoản của Phụ lục.