Gặp gỡ YOLO26: AI tầm nhìn thế hệ tiếp theo.
Ultralytics
Legal

Thỏa thuận Xử lý Dữ liệu (DPA) của Ultralytics

Xem Thỏa thuận Xử lý Dữ liệu của Ultralytics bao gồm việc xử lý dữ liệu cá nhân, các biện pháp bảo mật và tuân thủ các luật bảo vệ dữ liệu của EU và Vương quốc Anh.

Thỏa thuận Xử lý Dữ liệu ("DPA") này được tích hợp vào và là một phần của (i) Điều khoản Dịch vụ của Ultralytics và/hoặc (ii) bất kỳ đơn đặt hàng, thỏa thuận doanh nghiệp hoặc thỏa thuận văn bản nào khác có tham chiếu đến DPA này (gọi chung là "Thỏa thuận") giữa khách hàng ("Khách hàng", "bạn") và Ultralytics, Inc. ("Ultralytics", "Công ty", "chúng tôi").

DPA này phản ánh thỏa thuận của các bên liên quan đến:

  • (A) Các điều khoản Bên kiểm soát-đến-Bên xử lý: Việc Ultralytics xử lý Dữ liệu Cá nhân của Khách hàng với tư cách là Bên xử lý (hoặc bên xử lý phụ trong trường hợp Khách hàng là Bên xử lý) thay mặt cho Khách hàng liên quan đến các Dịch vụ; và
  • (B) Các điều khoản Bên kiểm soát-đến-Bên kiểm soát: Việc mỗi bên xử lý Dữ liệu Cá nhân của Bên kiểm soát với tư cách là Bên kiểm soát độc lập, chỉ trong phạm vi được mô tả tại Mục 10.

DPA này có hiệu lực trong thời hạn của Thỏa thuận và chừng nào Ultralytics còn Xử lý Dữ liệu Cá nhân của Khách hàng thay mặt cho Khách hàng.

DPA này chỉ áp dụng cho việc Xử lý Dữ liệu Cá nhân của Khách hàng bởi Ultralytics trong phạm vi Nền tảng Ultralytics. Để tránh nghi ngờ, DPA này không áp dụng cho việc Khách hàng sử dụng, triển khai hoặc vận hành các model mã nguồn mở Ultralytics YOLO bên ngoài Nền tảng Ultralytics, vốn được thực hiện dưới trách nhiệm duy nhất của Khách hàng.

Ultralytics có thể cập nhật DPA này theo thời gian để phản ánh các thay đổi về luật pháp, hướng dẫn quy định hoặc các Dịch vụ, có hiệu lực kể từ ngày đăng, với điều kiện các bản cập nhật không làm giảm đáng kể các biện pháp bảo vệ quyền riêng tư đối với Dữ liệu Cá nhân của Khách hàng mà không có sự đồng ý của Khách hàng (ngoại trừ trường hợp pháp luật hiện hành yêu cầu).

Link to this sectionCác định nghĩa#

"Công ty Liên kết" có nghĩa là bất kỳ thực thể nào kiểm soát trực tiếp hoặc gián tiếp, bị kiểm soát bởi, hoặc đang chịu sự kiểm soát chung với một bên, trong đó "kiểm soát" có nghĩa là sở hữu hơn 50% quyền biểu quyết.

"Các biện pháp bảo vệ phù hợp" có nghĩa là (các) cơ chế có hiệu lực pháp lý để chuyển giao Dữ liệu Cá nhân theo sự cho phép của Luật Bảo vệ Dữ liệu hiện hành, đặc biệt nhưng không giới hạn ở Điều 46 GDPR.

"Bên xử lý phụ" có nghĩa là bất kỳ Bên xử lý nào được Ultralytics hoặc các Công ty Liên kết của họ thuê để Xử lý Dữ liệu Cá nhân của Khách hàng thay mặt cho Ultralytics liên quan đến các Dịch vụ.

"Dữ liệu Tài khoản Công ty" có nghĩa là dữ liệu cá nhân liên quan đến mối quan hệ của Công ty với Khách hàng, bao gồm tên hoặc thông tin liên hệ của các cá nhân được Khách hàng ủy quyền truy cập vào tài khoản của Khách hàng và thông tin thanh toán của các cá nhân mà Khách hàng đã liên kết với tài khoản của mình. Dữ liệu Tài khoản Công ty cũng bao gồm bất kỳ dữ liệu nào mà Công ty có thể cần thu thập cho mục đích quản lý mối quan hệ với Khách hàng, xác minh danh tính hoặc theo yêu cầu của luật pháp và quy định hiện hành.

"Dữ liệu Sử dụng của Công ty" có nghĩa là dữ liệu sử dụng Dịch vụ được thu thập và xử lý bởi Công ty liên quan đến việc cung cấp các Dịch vụ, bao gồm nhưng không giới hạn ở dữ liệu được sử dụng để xác định nguồn và đích của một liên lạc, nhật ký hoạt động, và dữ liệu được sử dụng để tối ưu hóa và duy trì hiệu suất của các Dịch vụ, cũng như để điều tra và ngăn chặn việc lạm dụng hệ thống.

"Dữ liệu Khách hàng" có nghĩa là bất kỳ dữ liệu, nội dung, tài liệu, tệp hoặc thông tin nào (bao gồm tập dữ liệu, hình ảnh, video, chú thích, nhãn, metadata, dữ liệu đầu vào và đầu ra của model, và nội dung khác) mà Khách hàng hoặc người dùng được ủy quyền của họ tải lên, gửi thông qua, truyền tải đến hoặc cung cấp để Xử lý liên quan đến các Dịch vụ, bao gồm bất kỳ dữ liệu nào được tạo cho Khách hàng thông qua việc Khách hàng sử dụng các Dịch vụ.

"Vi phạm Dữ liệu Cá nhân của Khách hàng" có nghĩa là vi phạm bảo mật dẫn đến việc vô tình hoặc trái phép tiêu hủy, mất mát, thay đổi, tiết lộ hoặc truy cập trái phép vào Dữ liệu Cá nhân của Khách hàng do Ultralytics hoặc các Bên xử lý phụ của họ Xử lý liên quan đến các Dịch vụ. Vi phạm Dữ liệu Cá nhân của Khách hàng không bao gồm các nỗ lực hoặc hoạt động không thành công không gây tổn hại đến Dữ liệu Cá nhân của Khách hàng (ví dụ: các nỗ lực đăng nhập không thành công, quét cổng, tấn công từ chối dịch vụ, hoặc các cuộc tấn công khác vào tường lửa hoặc hệ thống mạng).

"Luật Bảo vệ Dữ liệu" có nghĩa là tất cả các luật hiện hành liên quan đến quyền riêng tư và bảo vệ dữ liệu áp dụng cho việc xử lý Dữ liệu Cá nhân của một bên theo Thỏa thuận, bao gồm (nếu áp dụng) GDPR, UK GDPR, Swiss FADP, ePrivacy/PECR, CCPA/CPRA và các luật bảo vệ quyền riêng tư tiểu bang khác của Hoa Kỳ.

"GDPR" có nghĩa là Quy định (EU) 2016/679; "UK GDPR" có nghĩa là GDPR được tích hợp vào luật của Vương quốc Anh; "Swiss FADP" có nghĩa là Đạo luật Liên bang Thụy Sĩ về Bảo vệ Dữ liệu (đã sửa đổi). "Hướng dẫn" có nghĩa là các hướng dẫn bằng văn bản của Khách hàng gửi tới Ultralytics liên quan đến việc Xử lý Dữ liệu Cá nhân của Khách hàng, như được mô tả trong Mục 2.2.

"SCCs" có nghĩa là các điều khoản hợp đồng tiêu chuẩn của EU (Quyết định 2021/914); "Phụ lục UK" có nghĩa là Phụ lục Chuyển Dữ liệu Quốc tế của ICO. Các thuật ngữ viết hoa khác có ý nghĩa như được quy định trong Luật Bảo vệ Dữ liệu và/hoặc Thỏa thuận.

"Dịch vụ" có nghĩa là các dịch vụ và chức năng được Ultralytics cung cấp cho Khách hàng theo Thỏa thuận, bao gồm Nền tảng Ultralytics và bất kỳ dịch vụ hỗ trợ, quản trị và tài liệu liên quan nào, như được mô tả chi tiết hơn trong Thỏa thuận.

"Nền tảng Ultralytics" có nghĩa là môi trường phần mềm dưới dạng dịch vụ (SaaS) dựa trên đám mây của Ultralytics, thông qua đó Khách hàng có thể tải lên, quản lý, chú thích và quản lý phiên bản các tập dữ liệu; huấn luyện, đánh giá, so sánh, xuất và triển khai các model thị giác máy tính; quản lý dự án và người dùng; và truy cập các tính năng và hỗ trợ liên quan, thông qua đó Ultralytics Xử lý Dữ liệu Cá nhân của Khách hàng thay mặt cho Khách hàng theo DPA này.

"Model Mã nguồn mở Ultralytics YOLO" có nghĩa là các model thị giác máy tính mã nguồn mở và mã nguồn liên quan do Ultralytics cung cấp theo các giấy phép mã nguồn mở hiện hành, mà Khách hàng có thể tải xuống, triển khai, lưu trữ và vận hành độc lập trong môi trường của riêng họ. Để làm rõ, khi Khách hàng triển khai hoặc sử dụng các Model Mã nguồn mở Ultralytics YOLO bên ngoài Nền tảng Ultralytics, Ultralytics không Xử lý Dữ liệu Cá nhân thay mặt cho Khách hàng theo DPA này.

Link to this sectionTrách nhiệm của Khách hàng#

2.1 Tuân thủ Pháp luật. Khách hàng chịu trách nhiệm tuân thủ Luật Bảo vệ Dữ liệu liên quan đến việc Xử lý Dữ liệu Cá nhân và việc sử dụng các Dịch vụ của mình, bao gồm việc cung cấp các thông báo bắt buộc và nhận được mọi sự đồng ý và ủy quyền cần thiết.

2.2 Hướng dẫn. Thỏa thuận (bao gồm DPA này), cùng với việc cấu hình và sử dụng các Dịch vụ của Khách hàng phù hợp với Thỏa thuận, cấu thành Hướng dẫn hoàn chỉnh của Khách hàng gửi tới Ultralytics để Xử lý Dữ liệu Cá nhân của Khách hàng. Khách hàng có thể cung cấp thêm các Hướng dẫn khác trong thời hạn hợp đồng, miễn là chúng nhất quán với Thỏa thuận và các Dịch vụ. Nếu Ultralytics tin rằng các Hướng dẫn bổ sung đòi hỏi những thay đổi hoặc gánh nặng đáng kể, các bên sẽ thảo luận với thiện chí.

2.3 Dữ liệu bị cấm. Trừ khi được các bên thỏa thuận rõ ràng bằng văn bản (bao gồm thỏa thuận về các biện pháp bảo vệ bổ sung theo yêu cầu của Luật Bảo vệ Dữ liệu hiện hành), Khách hàng sẽ không cung cấp, gửi thông qua hoặc cung cấp cho Ultralytics bất kỳ Loại Dữ liệu Cá nhân Đặc biệt nào theo Điều 9 GDPR (hoặc tương đương), hoặc dữ liệu liên quan đến các kết án hoặc vi phạm hình sự theo Điều 10 GDPR.

Để minh họa và không giới hạn, Dữ liệu bị cấm bao gồm:

  • số giấy tờ tùy thân do chính phủ cấp (như số hộ chiếu, số căn cước công dân hoặc số an sinh xã hội);
  • thông tin sức khỏe hoặc y tế, bao gồm cả các định danh sinh trắc học được sử dụng cho mục đích xác định duy nhất một cá nhân;
  • thông tin liên quan đến nguồn gốc chủng tộc hoặc dân tộc, quan điểm chính trị, niềm tin tôn giáo hoặc triết học, hoặc tư cách thành viên công đoàn của một cá nhân;
  • dữ liệu di truyền hoặc dữ liệu sinh trắc học được xử lý cho mục đích xác định duy nhất một cá nhân;
  • dữ liệu cá nhân liên quan đến trẻ em, khi bị hạn chế bởi Luật Bảo vệ Dữ liệu hiện hành;
  • và dữ liệu liên quan đến các kết án hình sự, hành vi phạm tội bị cáo buộc, hoặc các hoạt động thực thi pháp luật.

Ngoài ra, các Dịch vụ cũng không nhằm mục đích xử lý các dữ liệu khác đòi hỏi sự bảo vệ cao hơn theo Luật Bảo vệ Dữ liệu hiện hành, chẳng hạn như dữ liệu thẻ thanh toán, số tài khoản ngân hàng hoặc vị trí địa lý chính xác. Khách hàng chịu trách nhiệm duy nhất trong việc đảm bảo rằng các tập dữ liệu, hình ảnh, video, chú thích, nhãn, metadata hoặc nội dung khác được tải lên hoặc xử lý thông qua các Dịch vụ không chứa Dữ liệu bị cấm. Bất kỳ việc Xử lý Dữ liệu bị cấm nào vi phạm Mục này cấu thành một sự vi phạm nghiêm trọng đối với DPA này.

2.4 Dữ liệu không phù hợp; Bồi thường. Khách hàng chịu trách nhiệm duy nhất về tính hợp pháp của Dữ liệu Cá nhân của Khách hàng được cung cấp cho Ultralytics và đảm bảo dữ liệu đó phù hợp với các Dịch vụ. Khách hàng sẽ bảo vệ và bồi thường cho Ultralytics chống lại bất kỳ khiếu nại nào của bên thứ ba phát sinh từ việc Khách hàng cung cấp Dữ liệu Cá nhân cho các Dịch vụ vi phạm Thỏa thuận, DPA này hoặc Luật Bảo vệ Dữ liệu hiện hành.

Link to this sectionNghĩa vụ của Ultralytics với tư cách là Bên xử lý#

3.1 Giới hạn Mục đích. Ultralytics sẽ chỉ Xử lý Dữ liệu Cá nhân của Khách hàng (a) để cung cấp các Dịch vụ theo Thỏa thuận và Phụ lục A, (b) theo Hướng dẫn của Khách hàng, và (c) theo yêu cầu của pháp luật hiện hành. Ultralytics sẽ không sử dụng Dữ liệu Cá nhân của Khách hàng hoặc Dữ liệu Khách hàng để huấn luyện, cải thiện hoặc phát triển các model chung hoặc thương mại của Ultralytics, trừ khi có hướng dẫn rõ ràng từ Khách hàng bằng văn bản hoặc thông qua các Dịch vụ.

3.2 Xung đột Luật pháp. Nếu Ultralytics nhận thấy mình không thể Xử lý Dữ liệu Cá nhân của Khách hàng theo các Hướng dẫn do yêu cầu pháp lý, Ultralytics sẽ (trong phạm vi pháp luật cho phép) thông báo cho Khách hàng và, khi cần thiết, tạm dừng việc Xử lý bị ảnh hưởng (ngoại trừ lưu trữ bảo mật) cho đến khi Khách hàng đưa ra các Hướng dẫn tuân thủ.

3.3 Bảo mật Nhân sự. Ultralytics sẽ đảm bảo những người được ủy quyền xử lý Dữ liệu Cá nhân của Khách hàng phải tuân thủ các nghĩa vụ bảo mật. Khách hàng đồng ý rằng Ultralytics có thể tiết lộ Dữ liệu Cá nhân của Khách hàng cho các cố vấn chuyên môn và kiểm toán viên của mình nếu cần thiết một cách hợp lý liên quan đến việc thực hiện Thỏa thuận/DPA, tùy thuộc vào các nghĩa vụ bảo mật.

3.4 Xử lý phụ. Ultralytics có thể thuê các Bên xử lý phụ theo Mục 5 và vẫn chịu trách nhiệm về việc thực hiện các nghĩa vụ tương đương của họ.

3.5 Xóa / Trả lại. Sau khi chấm dứt các Dịch vụ, Ultralytics sẽ xóa hoặc trả lại Dữ liệu Cá nhân của Khách hàng theo Thỏa thuận và Phụ lục A, trừ khi pháp luật yêu cầu phải lưu giữ. Chứng nhận xóa dữ liệu theo SCCs sẽ được cung cấp theo yêu cầu của Khách hàng.

Link to this sectionQuyền của Chủ thể dữ liệu (hoặc Người tiêu dùng)#

4.1 Yêu cầu của Chủ thể dữ liệu (hoặc Người tiêu dùng). Ultralytics sẽ, trong phạm vi pháp luật cho phép, thông báo cho Khách hàng tại địa chỉ liên hệ chính trong tài khoản mà không chậm trễ nếu Ultralytics nhận được yêu cầu từ Chủ thể dữ liệu (hoặc Người tiêu dùng) để thực hiện quyền truy cập (hoặc tiết lộ), quyền cải chính, hạn chế Xử lý, xóa bỏ (hoặc xóa hoặc "quyền được quên"), tính di động của dữ liệu, phản đối Xử lý, hoặc quyền không phải chịu một quyết định cá nhân tự động ("Yêu cầu của Chủ thể dữ liệu (hoặc Người tiêu dùng)").

4.2 Hỗ trợ. Có tính đến bản chất của việc Xử lý, Ultralytics sẽ hỗ trợ hợp lý cho Khách hàng trong việc phản hồi các yêu cầu thực hiện quyền của Chủ thể dữ liệu theo Luật Bảo vệ Dữ liệu, trong phạm vi Khách hàng không thể thực hiện yêu cầu bằng cách sử dụng các chức năng Dịch vụ hiện có.

4.3 DPIA; Tham vấn trước. Có tính đến bản chất của việc Xử lý và thông tin sẵn có cho Ultralytics, Ultralytics sẽ hỗ trợ hợp lý cho Khách hàng với (i) các đánh giá tác động bảo vệ dữ liệu và (ii) việc tham vấn và/hoặc hợp tác của Khách hàng với các cơ quan giám sát, trong mỗi trường hợp theo yêu cầu của Luật Bảo vệ Dữ liệu và khi Khách hàng không có quyền truy cập vào thông tin liên quan. Ngoại trừ trường hợp Luật Bảo vệ Dữ liệu yêu cầu hoặc liên quan đến Vi phạm Dữ liệu Cá nhân của Khách hàng, Khách hàng sẽ không yêu cầu sự hỗ trợ này quá một lần trong bất kỳ thời hạn mười hai (12) tháng nào. Khách hàng sẽ hoàn trả các chi phí và phí tổn hợp lý mà Ultralytics phải chịu khi cung cấp sự hỗ trợ như vậy, nếu pháp luật cho phép.

Link to this sectionCác Bên xử lý phụ#

5.1 Ủy quyền chung. Khách hàng cấp cho Ultralytics một ủy quyền bằng văn bản chung để thuê các Bên xử lý phụ Xử lý Dữ liệu Cá nhân của Khách hàng cho các Dịch vụ.

5.2 Danh sách và Thông báo. Danh sách các Sub-Processor hiện tại có sẵn tại Ultralytics Sub-Processor List ("Danh sách"). Ultralytics sẽ cung cấp một cơ chế để đăng ký nhận thông báo về các cập nhật đối với Danh sách này và sẽ gửi thông báo về các Sub-Processor mới ít nhất mười (10) ngày trước khi ủy quyền cho họ Xử lý Dữ liệu Cá nhân của Khách hàng. Khách hàng có trách nhiệm đăng ký các thông báo đó khi có sẵn; nếu Khách hàng không đăng ký, Khách hàng xác nhận rằng họ có thể không nhận được thông báo trước thông qua cơ chế đó. Trong mọi trường hợp, các bản cập nhật cho Danh sách sẽ được coi là thông báo về các thay đổi đối với Sub-Processor. Khách hàng xác nhận rằng một số Sub-Processor là cần thiết để cung cấp Dịch vụ và việc phản đối việc sử dụng một sub-processor có thể khiến Công ty không thể cung cấp Dịch vụ cho Khách hàng.

Để làm rõ, các Công ty Liên kết của Ultralytics tham gia vào việc cung cấp các Dịch vụ, bao gồm Ultralytics Ltd (Anh) và Ultralytics AI Spain, S.L., có thể đóng vai trò là Bên xử lý phụ nội bộ khi họ Xử lý Dữ liệu Cá nhân của Khách hàng thay mặt cho Ultralytics Inc. liên quan đến các Dịch vụ.

5.3 Phản đối Bên xử lý phụ mới. Khách hàng có thể phản đối bằng văn bản đối với việc thuê một Bên xử lý phụ mới trên cơ sở bảo vệ dữ liệu hợp lý theo Mục 5.2. Nếu Ultralytics không thể giải quyết thỏa đáng sự phản đối của Khách hàng, Khách hàng có thể ngừng Dịch vụ bị ảnh hưởng bằng thông báo bằng văn bản, mà không miễn trừ trách nhiệm của Khách hàng đối với bất kỳ khoản phí nào đã phát sinh trước khi ngừng dịch vụ đó.

5.4 Chuyển giao trách nhiệm. Ultralytics sẽ chỉ thuê các Bên xử lý phụ sau khi thực hiện thẩm định rủi ro hợp lý để đánh giá xem Bên xử lý phụ có khả năng cung cấp mức độ bảo vệ phù hợp cho Dữ liệu Cá nhân của Khách hàng theo Luật Bảo vệ Dữ liệu hiện hành hay không, và sẽ giám sát định kỳ các Bên xử lý phụ như một phần của chương trình quản lý nhà cung cấp. Ultralytics sẽ đảm bảo rằng các Bên xử lý phụ của mình phải chịu các nghĩa vụ bảo vệ dữ liệu tương đương về mặt thực chất, hoặc bảo vệ cao hơn, so với những nghĩa vụ được quy định trong DPA này. Theo yêu cầu của Khách hàng, Ultralytics sẽ cung cấp các bản sao (có thể bị biên tập lại để bảo mật) các điều khoản bảo vệ dữ liệu của Bên xử lý phụ có liên quan theo yêu cầu của SCCs.

Link to this sectionBảo mật#

6.1 Các biện pháp. Có tính đến trình độ kỹ thuật, bản chất, phạm vi, bối cảnh và mục đích của việc Xử lý, cũng như rủi ro về khả năng xảy ra và mức độ nghiêm trọng khác nhau đối với quyền và tự do của các cá nhân, Ultralytics sẽ thực hiện và duy trì các biện pháp kỹ thuật và tổ chức phù hợp để đảm bảo mức độ bảo mật phù hợp với rủi ro đó, phù hợp với Luật Bảo vệ Dữ liệu hiện hành, bao gồm Điều 32 của GDPR. Các biện pháp này được mô tả trong Phụ lục C, mà Ultralytics có thể cập nhật theo thời gian, với điều kiện bất kỳ cập nhật nào như vậy không làm giảm đáng kể mức độ bảo vệ tổng thể đối với Dữ liệu Cá nhân của Khách hàng.

6.2 Trách nhiệm của Khách hàng. Mặc dù có những quy định trên, Khách hàng thừa nhận rằng, trừ khi được quy định rõ ràng trong DPA này, Khách hàng chịu trách nhiệm về việc sử dụng Dịch vụ an toàn của mình, bao gồm việc bảo vệ thông tin xác thực tài khoản của mình, định cấu hình quyền truy cập một cách phù hợp và đảm bảo rằng người dùng của mình truy cập và sử dụng các Dịch vụ theo cách nhất quán với Luật Bảo vệ Dữ liệu hiện hành và các tính năng bảo mật do Ultralytics cung cấp.

Link to this sectionKiểm toán của Khách hàng và Chứng minh sự Tuân thủ#

7.1 Tài liệu. Theo yêu cầu hợp lý, Ultralytics sẽ cung cấp thông tin cần thiết một cách hợp lý để chứng minh sự tuân thủ DPA này (bao gồm các báo cáo kiểm toán hoặc chứng nhận hiện tại của bên thứ ba, nếu có). Ultralytics sẽ duy trì hồ sơ đầy đủ để chứng minh sự tuân thủ DPA này và lưu giữ các hồ sơ đó trong một khoảng thời gian hợp lý sau khi chấm dứt (ví dụ: ba (3) năm), trừ khi pháp luật yêu cầu thời hạn dài hơn.

7.2 Kiểm toán. Khi Luật Bảo vệ Dữ liệu yêu cầu và tài liệu không đầy đủ, Khách hàng có thể, sau khi thông báo trước bằng văn bản một cách hợp lý và với chi phí của Khách hàng, yêu cầu kiểm toán hoặc kiểm tra các hệ thống và quy trình liên quan của Ultralytics. Bất kỳ cuộc kiểm toán hoặc kiểm tra nào như vậy sẽ chỉ được thực hiện sau khi có thỏa thuận bằng văn bản giữa các bên về phạm vi, thời điểm và thời lượng của cuộc kiểm toán, cũng như bất kỳ mức hoàn trả hợp lý nào cho thời gian và nguồn lực của Ultralytics đã chi ra liên quan đến cuộc kiểm toán. Bất kỳ cuộc kiểm toán nào được thực hiện theo Mục này sẽ:

  • (a) không xảy ra quá một lần trong bất kỳ thời hạn mười hai (12) tháng nào;
  • (b) diễn ra trong giờ làm việc bình thường của Ultralytics;
  • (c) phải tuân theo các biện pháp kiểm soát bảo mật, an toàn và bảo mật thông tin hợp lý; và
  • (d) giới hạn trong các hệ thống và hồ sơ liên quan một cách hợp lý đến việc Xử lý Dữ liệu Cá nhân của Khách hàng.

Khách hàng sẽ thông báo kịp thời cho Ultralytics về bất kỳ sự không tuân thủ nghiêm trọng nào được xác định trong quá trình kiểm toán để cho phép Ultralytics có cơ hội hợp lý để giải quyết các phát hiện đó.

Link to this sectionVi phạm Dữ liệu Cá nhân#

8.1 Thông báo. Ultralytics sẽ thông báo cho Khách hàng mà không chậm trễ nhưng không muộn hơn 72 giờ sau khi biết về Vi phạm Dữ liệu Cá nhân của Khách hàng.

8.2 Hỗ trợ. Ultralytics sẽ cung cấp sự hỗ trợ hợp lý cho các thông báo bắt buộc của Khách hàng gửi tới các cơ quan quản lý và các Chủ thể dữ liệu bị ảnh hưởng, có tính đến thông tin sẵn có cho Ultralytics.

8.3 Không thừa nhận lỗi. Thông báo vi phạm không cấu thành sự thừa nhận về lỗi hoặc trách nhiệm pháp lý. Nghĩa vụ thông báo vi phạm không áp dụng trong trường hợp Vi phạm Dữ liệu Cá nhân của Khách hàng được gây ra bởi hành động hoặc sự thiếu sót của Khách hàng hoặc người dùng của Khách hàng.

Link to this sectionChuyển giao (EU/UK/Thụy Sĩ)#

9.1 Chuyển giao Quốc tế. Khách hàng thừa nhận rằng các hoạt động xử lý chính của Ultralytics có thể diễn ra tại Hoa Kỳ và các địa điểm khác khi cần thiết để cung cấp các Dịch vụ.

Để làm rõ, Dữ liệu Cá nhân của Khách hàng cũng có thể được chuyển giao giữa Ultralytics Inc. và các Công ty Liên kết của họ (bao gồm Ultralytics Ltd (Anh) và Ultralytics AI Spain, S.L.) nơi các Công ty Liên kết đó đóng vai trò là Bên xử lý phụ liên quan đến các Dịch vụ. Trường hợp các chuyển giao đó đủ điều kiện là chuyển giao quốc tế theo Luật Bảo vệ Dữ liệu hiện hành, chúng sẽ phải tuân theo các Biện pháp bảo vệ phù hợp, bao gồm SCCs (Module 3, nếu áp dụng) hoặc các cơ chế chuyển giao hợp lệ khác.

Trường hợp việc chuyển giao Dữ liệu Cá nhân của Khách hàng đến một quốc gia chưa được công nhận là cung cấp mức độ bảo vệ dữ liệu đầy đủ là cần thiết, các chuyển giao đó sẽ được thực hiện theo các Biện pháp bảo vệ phù hợp theo Luật Bảo vệ Dữ liệu hiện hành, bao gồm, nếu áp dụng, SCCs và Phụ lục UK như được tích hợp vào DPA này.

9.2 EU SCCs. Đối với các chuyển giao Dữ liệu Cá nhân của Khách hàng thuộc phạm vi GDPR đến một quốc gia thứ ba mà không có sự đầy đủ, các bên kết hợp các EU SCCs. Module Hai (Bên kiểm soát→Bên xử lý) áp dụng khi Khách hàng là Bên kiểm soát; Module Ba (Bên xử lý→Bên xử lý phụ) áp dụng khi Khách hàng là Bên xử lý. Các phụ lục SCC được hoàn thiện bằng cách sử dụng Phụ lục B (Phụ lục I/III) và Phụ lục C (Phụ lục II).

9.3 Phụ lục UK. Đối với các chuyển giao thuộc phạm vi UK GDPR, các bên kết hợp Phụ lục UK, được hoàn thiện bằng cách tham chiếu đến Phụ lục B/C và lựa chọn cơ chế chuyển giao hiện hành.

9.4 Thụy Sĩ. Đối với các chuyển giao của Thụy Sĩ, EU SCCs áp dụng với các sửa đổi tiêu chuẩn của Thụy Sĩ (các tham chiếu đến GDPR bao gồm Swiss FADP; FDPIC là cơ quan có thẩm quyền, v.v.), được hoàn thiện bằng cách tham chiếu đến các Phụ lục.

9.5 Yêu cầu truy cập của Chính phủ. Ultralytics sẽ xử lý các yêu cầu ràng buộc pháp lý đối với Dữ liệu Cá nhân của Khách hàng phù hợp với luật hiện hành và SCCs, bao gồm (khi pháp luật cho phép) việc thông báo cho Khách hàng và hợp tác hợp lý.

Link to this sectionCác Điều khoản Bên kiểm soát-đến-Bên kiểm soát (Tài khoản Ultralytics / Sử dụng / Ops Bảo mật)#

10.1 Phạm vi. Mục này áp dụng cho việc Xử lý Dữ liệu Cá nhân của Bên kiểm soát bởi mỗi bên với tư cách là Bên kiểm soát độc lập (không phải bên kiểm soát chung), bao gồm việc Ultralytics Xử lý Dữ liệu Tài khoản Công ty và Dữ liệu Sử dụng của Công ty.

10.2 Nghĩa vụ của Bên kiểm soát độc lập. Mỗi bên sẽ:

  • (a) Xử lý Dữ liệu Cá nhân của Bên kiểm soát tuân thủ Luật Bảo vệ Dữ liệu;
  • (b) thực hiện các biện pháp bảo mật phù hợp; và
  • (c) phản hồi các liên lạc quản lý liên quan đến việc Xử lý của riêng mình.

10.3 Xử lý của Ultralytics với tư cách là Bên kiểm soát. Ultralytics Xử lý Dữ liệu Tài khoản Công ty và Dữ liệu Sử dụng của Công ty với tư cách là Bên kiểm soát cho: quản trị tài khoản, thanh toán, giám sát bảo mật và ngăn chặn lạm dụng, xác minh danh tính, tuân thủ pháp lý, kiểm toán/kế toán và vận hành dịch vụ (bao gồm hiệu suất và độ tin cậy). Việc Xử lý đó được mô tả trong Chính sách Quyền riêng tư của Ultralytics. Không có nội dung nào trong DPA này được diễn giải là tạo ra mối quan hệ kiểm soát chung giữa các bên.

Để tránh nghi ngờ, Ultralytics và các Công ty Liên kết của họ có thể xử lý dữ liệu liên hệ kinh doanh hạn chế (như tên, địa chỉ email công ty và thông tin liên hệ chuyên môn) trong bối cảnh tiếp cận thương mại, giới thiệu, quan hệ đối tác và các hoạt động quản lý quan hệ khách hàng với tư cách là các Bên kiểm soát độc lập.

Link to this sectionCác Điều khoản California (CCPA/CPRA)#

11.1 Nhà cung cấp Dịch vụ / Bên xử lý. Trong phạm vi CCPA/CPRA áp dụng và Ultralytics Xử lý Dữ liệu Cá nhân của Khách hàng thay mặt cho Khách hàng, Ultralytics đóng vai trò là "nhà cung cấp dịch vụ" và/hoặc "bên xử lý", và sẽ không "bán" hoặc "chia sẻ" thông tin cá nhân đó.

11.2 Sử dụng hạn chế. Ultralytics sẽ không lưu giữ, sử dụng hoặc tiết lộ Dữ liệu Cá nhân của Khách hàng ngoài mục đích kinh doanh trực tiếp của việc cung cấp các Dịch vụ, trừ khi được CCPA/CPRA cho phép.

11.3 Phân biệt đối xử. Các Bên không được phân biệt đối xử với Người tiêu dùng vì họ đã thực hiện các quyền của mình.

Link to this sectionCác Điều khoản chung#

12.1 Giới hạn Trách nhiệm. Các giới hạn và loại trừ trong Thỏa thuận áp dụng cho DPA này, trừ khi bị pháp luật hoặc SCCs/Phụ lục UK cấm.

12.2 Tính tách biệt. Nếu bất kỳ quy định nào của DPA này không hợp lệ hoặc không thể thực thi, thì phần còn lại của DPA này vẫn có hiệu lực và được áp dụng. Quy định không hợp lệ hoặc không thể thực thi đó sẽ (i) được sửa đổi khi cần thiết để đảm bảo tính hợp lệ và khả năng thực thi, đồng thời bảo tồn ý định của các Bên càng gần càng tốt hoặc, nếu điều này là không thể, (ii) được diễn giải theo cách như thể phần không hợp lệ hoặc không thể thực thi đó chưa từng tồn tại trong đó.

12.3 Thực thi DPA này. DPA này được tích hợp vào và là một phần của Thỏa thuận. Khách hàng tham gia vào DPA này (bao gồm, nếu áp dụng, EU SCCs và Phụ lục UK) bằng cách:

  • (a) chấp nhận hoặc đồng ý bị ràng buộc bởi Thỏa thuận (bao gồm bằng cách nhấp vào "Tôi đồng ý" hoặc cơ chế tương tự đối với Điều khoản Dịch vụ),
  • (b) ký kết đơn đặt hàng, tuyên bố công việc hoặc thỏa thuận bằng văn bản khác có tích hợp hoặc tham chiếu đến Thỏa thuận, hoặc
  • (c) sử dụng hoặc tiếp tục sử dụng các Dịch vụ sau khi DPA này được Công ty cung cấp.

Khách hàng tuyên bố và đảm bảo rằng cá nhân chấp nhận Thỏa thuận và/hoặc sử dụng các Dịch vụ thay mặt cho Khách hàng có thẩm quyền để ràng buộc Khách hàng và, nếu áp dụng, các Công ty Liên kết của Khách hàng.

12.4 Liên hệ. Các yêu cầu về quyền riêng tư: privacy@ultralytics.com; DPO: dpo@ultralytics.com; thông báo pháp lý: legal@ultralytics.com.

Link to this sectionCác bên; Công ty Liên kết#

Khách hàng tham gia vào DPA này thay mặt cho chính mình và các Công ty Liên kết của mình là người dùng được ủy quyền của các Dịch vụ theo Thỏa thuận và là Bên kiểm soát/Bên xử lý Dữ liệu Cá nhân của Khách hàng ("Công ty Liên kết được Cho phép"). Khách hàng tuyên bố rằng họ có thẩm quyền ràng buộc các Công ty Liên kết được Cho phép.

Link to this sectionPhụ lục A: Chi tiết về việc Xử lý Dữ liệu Cá nhân#

Bản chất: Ultralytics cung cấp phần mềm dựa trên đám mây và các dịch vụ liên quan cho phép Khách hàng truy cập và sử dụng các sản phẩm và tính năng của Ultralytics, bao gồm huấn luyện model, suy luận, quản lý tập dữ liệu, quy trình triển khai và hỗ trợ cũng như quản trị liên quan ("Dịch vụ"), như được mô tả trong Thỏa thuận.

Để làm rõ, các Dịch vụ bao gồm Nền tảng Ultralytics, thông qua đó Ultralytics Xử lý Dữ liệu Cá nhân của Khách hàng thay mặt cho Khách hàng theo DPA này. Riêng biệt, Ultralytics cũng cung cấp các model mã nguồn mở Ultralytics YOLO, mà Khách hàng có thể triển khai và vận hành độc lập trong môi trường của riêng họ. Khi Khách hàng triển khai hoặc sử dụng các model Ultralytics YOLO bên ngoài Nền tảng Ultralytics, Ultralytics không Xử lý Dữ liệu Cá nhân thay mặt cho Khách hàng, và Khách hàng chịu trách nhiệm duy nhất trong việc thực hiện các biện pháp kỹ thuật và tổ chức phù hợp, xác định mục đích và phương tiện Xử lý, và đảm bảo sự tuân thủ Luật Bảo vệ Dữ liệu hiện hành liên quan đến việc triển khai và sử dụng đó.

Mục đích: Ultralytics Xử lý Dữ liệu Cá nhân của Khách hàng thay mặt cho Khách hàng vì các mục đích sau:

  • để cung cấp, vận hành, bảo mật và hỗ trợ các Dịch vụ theo Thỏa thuận và các Hướng dẫn bằng văn bản của Khách hàng;
  • để tuân thủ các hướng dẫn hợp lý bằng văn bản khác do Khách hàng cung cấp, trong đó các hướng dẫn đó nhất quán với Thỏa thuận và DPA này;
  • để phản hồi các yêu cầu do Khách hàng hoặc người dùng được ủy quyền của Khách hàng khởi tạo trong quá trình sử dụng Dịch vụ (bao gồm các yêu cầu hỗ trợ khách hàng);
  • để giám sát, ngăn chặn và phát hiện các sự cố bảo mật, gian lận, lạm dụng và việc sử dụng sai dịch vụ; và
  • để tuân thủ các nghĩa vụ pháp lý hiện hành.

Ultralytics sẽ không sử dụng Dữ liệu Cá nhân của Khách hàng để huấn luyện hoặc cải thiện các mô hình chung của Ultralytics ngoại trừ khi được Khách hàng hướng dẫn rõ ràng bằng văn bản hoặc thông qua các Dịch vụ. Để làm rõ, Ultralytics có thể sử dụng Dữ liệu Sử dụng Công ty và dữ liệu tổng hợp hoặc dữ liệu đã khử định danh (nếu được phép) để vận hành, bảo mật và cải thiện các Dịch vụ.

Khi Khách hàng chọn chia sẻ tập dữ liệu, mô hình hoặc nội dung khác thông qua các tính năng cộng đồng hoặc công khai của Dịch vụ, việc chia sẻ đó cấu thành hướng dẫn bằng văn bản của Khách hàng. Khách hàng chịu trách nhiệm duy nhất về việc đảm bảo mình có tất cả các quyền cần thiết và cơ sở pháp lý để cung cấp dữ liệu đó cho người dùng khác.

Thời hạn Xử lý: Ultralytics sẽ Xử lý Dữ liệu Cá nhân của Khách hàng trong thời hạn của Thỏa thuận và trong thời gian cần thiết để cung cấp các Dịch vụ theo Hướng dẫn của Khách hàng. Sau khi chấm dứt hoặc hết hạn Thỏa thuận, Ultralytics sẽ xóa hoặc trả lại Dữ liệu Cá nhân của Khách hàng theo Thỏa thuận và DPA này, trừ khi việc lưu giữ thêm là bắt buộc theo luật hiện hành. Để làm rõ, khi Ultralytics Xử lý Dữ liệu Cá nhân của Bên kiểm soát (bao gồm Dữ liệu Tài khoản Công ty và Dữ liệu Sử dụng Công ty) với tư cách là Bên kiểm soát độc lập theo Mục 10, việc Xử lý đó sẽ diễn ra trong các khoảng thời gian được nêu trong Chính sách quyền riêng tư của Ultralytics.

Các danh mục Chủ thể dữ liệu: Dữ liệu Cá nhân của Khách hàng có thể liên quan đến các danh mục Chủ thể dữ liệu sau đây, do Khách hàng xác định và kiểm soát:

  • Nhân viên, nhà thầu, đại lý và người đại diện của Khách hàng;
  • Người dùng và quản trị viên được ủy quyền của Khách hàng;
  • và người dùng cuối, khách hàng hoặc các cá nhân khác mà Khách hàng chọn gửi Dữ liệu Cá nhân của họ tới các Dịch vụ.

Các danh mục Dữ liệu Cá nhân: Dữ liệu Cá nhân của Khách hàng có thể bao gồm các danh mục Dữ liệu Cá nhân sau đây, trong phạm vi được Khách hàng gửi hoặc cung cấp thông qua Dịch vụ bởi hoặc thay mặt cho Khách hàng:

  • Dữ liệu định danh tài khoản và người dùng, chẳng hạn như tên, địa chỉ email, tên người dùng/ID người dùng, tên tổ chức và vai trò/quyền của người dùng (ví dụ: quản trị viên/người dùng).
  • Dữ liệu sử dụng và dữ liệu thiết bị/kỹ thuật, chẳng hạn như địa chỉ IP, mã định danh thiết bị và thuộc tính hệ thống (ví dụ: loại thiết bị, hệ điều hành, loại trình duyệt), tệp nhật ký, dấu thời gian, sự kiện xác thực, lịch sử truy cập và (nếu có) các ứng dụng đã cài đặt hoặc chi tiết cấu hình được thu thập như một phần của quy trình làm việc của thiết bị doanh nghiệp hoặc bảo mật.
  • Nội dung và đầu vào do Khách hàng cung cấp, chẳng hạn như lời nhắc do người dùng tạo, nhận xét, chú thích, siêu dữ liệu hoặc nhãn của tập dữ liệu và bất kỳ nội dung nào khác mà Khách hàng tải lên hoặc gửi thông qua Dịch vụ (bao gồm hình ảnh/video/âm thanh hoặc các tệp khác), nhưng chỉ trong phạm vi nội dung đó chứa Dữ liệu Cá nhân.
  • Dữ liệu hỗ trợ và truyền thông, chẳng hạn như thông tin liên lạc hỗ trợ khách hàng, báo cáo sự cố, thông tin khắc phục sự cố và chi tiết liên hệ hành chính.

Các danh mục Dữ liệu Cá nhân được xử lý có thể bao gồm thêm những danh mục được mô tả trong Chính sách quyền riêng tư của Ultralytics.

Dữ liệu nhạy cảm hoặc Các danh mục dữ liệu đặc biệt: Các Dịch vụ không được thiết kế hoặc dự định để Xử lý các Danh mục Dữ liệu Cá nhân đặc biệt (như được định nghĩa tại Điều 9 GDPR hoặc tương đương theo các Luật Bảo vệ Dữ liệu hiện hành) hoặc Dữ liệu Cá nhân liên quan đến tiền án và hành vi phạm tội (Điều 10 GDPR), và Khách hàng bị cấm cung cấp dữ liệu đó trừ khi có thỏa thuận rõ ràng bằng văn bản với Ultralytics và tuân theo các biện pháp bảo vệ bổ sung.

Link to this sectionPhụ lục B: Thông tin Phụ lục I và Phụ lục III (EU SCCs và UK Addendum)#

Phần sau đây bao gồm thông tin được yêu cầu bởi Phụ lục I và Phụ lục III của EU SCCs, và Bảng 1, Phụ lục 1A và Phụ lục 1B của UK Addendum.

1. Các Bên

Bên xuất dữ liệu:

  • Tên: Tên pháp nhân của Khách hàng
  • Tên giao dịch (nếu khác): [Tùy chọn]
  • Địa chỉ: Địa chỉ đăng ký của Khách hàng
  • Số đăng ký chính thức (nếu có): [Tùy chọn]
  • Tên, chức vụ và chi tiết liên hệ của người liên hệ: Tên, Chức danh, Email
  • Các hoạt động liên quan đến dữ liệu được chuyển theo các Điều khoản này: Sử dụng Dịch vụ theo Thỏa thuận, bao gồm việc chuyển Dữ liệu Cá nhân của Khách hàng cho Ultralytics để Xử lý liên quan đến Dịch vụ, như được mô tả trong Thỏa thuận, DPA này và Phụ lục A.
  • Chữ ký và ngày tháng: Bằng việc thực hiện/chấp nhận Thỏa thuận/DPA
  • Vai trò (bên kiểm soát/bên xử lý): Bên kiểm soát

Bên nhập dữ liệu:

  • Tên: Ultralytics Inc.
  • Tên giao dịch (nếu khác): N/A
  • Địa chỉ và thông tin liên hệ: 5001 Judicial Way, Frederick, MD, 21703, Hoa Kỳ; privacy@ultralytics.com
  • Số đăng ký chính thức (nếu có): 6755919
  • Các hoạt động liên quan đến dữ liệu được chuyển theo các Điều khoản này: Xử lý Dữ liệu Cá nhân của Khách hàng thay mặt cho Khách hàng để cung cấp, vận hành, bảo mật, duy trì và hỗ trợ các Dịch vụ, và như được mô tả khác trong Thỏa thuận, DPA này và Phụ lục A.
  • Chữ ký và ngày tháng: Bằng việc thực hiện/chấp nhận Thỏa thuận/DPA
  • Vai trò (bên kiểm soát/bên xử lý): Như được mô tả trong Mục 3 của DPA.

2. Mô tả việc Chuyển dữ liệu

TrườngChi tiết
Chủ thể dữ liệuNhư được mô tả trong Phụ lục A của DPA
Các danh mục Dữ liệu Cá nhânNhư được mô tả trong Phụ lục A của DPA
Dữ liệu Cá nhân thuộc Danh mục đặc biệt (nếu có)Như được mô tả trong Phụ lục A của DPA
Bản chất của việc Xử lýNhư được mô tả trong Phụ lục A của DPA
Các mục đích Xử lýNhư được mô tả trong Phụ lục A của DPA
Thời hạn Xử lý và Lưu giữ (hoặc các tiêu chí để xác định thời hạn đó)Như được mô tả trong Phụ lục A của DPA
Tần suất chuyển dữ liệuKhi cần thiết để cung cấp và thực hiện tất cả các nghĩa vụ và quyền liên quan đến Dữ liệu Cá nhân như được quy định trong Thỏa thuận hoặc DPA
Người nhận Dữ liệu Cá nhân được chuyển cho Bên nhập dữ liệuCông ty sẽ duy trì danh sách các Sub-Processor tại: Ultralytics Sub-Processor List

Các Bên xử lý phụ trong cùng tập đoàn:

Ultralytics Ltd (Vương quốc Anh) - hỗ trợ kỹ thuật, hỗ trợ khách hàng, hỗ trợ giới thiệu và các tương tác thương mại (bao gồm giới thiệu sản phẩm và quan hệ đối tác)

Ultralytics AI Spain, S.L. (Tây Ban Nha) - hỗ trợ kỹ thuật, tương tác thương mại và các hoạt động tiếp xúc khách hàng, bao gồm việc xử lý hạn chế dữ liệu liên hệ kinh doanh

3. Cơ quan quản lý có thẩm quyền

Cơ quan quản lý sẽ là cơ quan quản lý của Bên xuất dữ liệu, được xác định theo Điều 13 của EU SCCs. Cơ quan quản lý cho mục đích của UK Addendum sẽ là Văn phòng Ủy viên Thông tin Vương quốc Anh.

Link to this sectionPhụ lục C: Các biện pháp bảo mật kỹ thuật và tổ chức#

Phần sau đây bao gồm thông tin được yêu cầu bởi Phụ lục II của EU SCCs và Phụ lục II của UK Addendum.

Biện pháp bảo mật kỹ thuật và tổ chứcChi tiết
Các biện pháp giả danh hóa và mã hóa dữ liệu cá nhânDữ liệu Cá nhân của Khách hàng được bảo vệ thông qua mã hóa trong quá trình truyền tải bằng các kết nối bảo mật tiêu chuẩn ngành (TLS) giữa các thành phần nền tảng và các điểm cuối bên ngoài. Dữ liệu được lưu trữ trong các dịch vụ đám mây được hưởng lợi từ việc mã hóa khi lưu trữ do nhà cung cấp đám mây quản lý và các kiểm soát quản lý khóa bảo mật.
Các biện pháp đảm bảo tính bảo mật, toàn vẹn, sẵn có và khả năng phục hồi liên tục của các hệ thống và dịch vụ xử lýUltralytics duy trì các cam kết về Bảo mật, Tính bảo mật và Tính sẵn có cho các Dịch vụ của mình, bao gồm cấu hình hệ thống được thiết kế để hạn chế truy cập trái phép, phát hiện và giám sát xâm nhập, quét lỗ hổng và kiểm thử xâm nhập, mã hóa trong quá trình truyền tải và lưu trữ, cũng như các kiểm soát lưu giữ/tiêu hủy dữ liệu. Nền tảng Ultralytics vận hành sử dụng các dịch vụ đám mây được quản lý với tính sẵn có cao. Các nhà cung cấp cơ sở hạ tầng dưới dạng dịch vụ (IaaS) của chúng tôi hỗ trợ khả năng phục hồi cơ sở dữ liệu thông qua sao chép và tính sẵn có cao. Ultralytics cũng đảm bảo rằng các biện pháp kỹ thuật và tổ chức (TOMs) của các Bên xử lý phụ hạ nguồn đáp ứng hoặc vượt quá các tiêu chuẩn được đặt ra trong thỏa thuận này.
Các biện pháp đảm bảo khả năng khôi phục tính sẵn có và quyền truy cập vào dữ liệu cá nhân một cách kịp thời trong trường hợp xảy ra sự cố vật lý hoặc kỹ thuậtDữ liệu của khách hàng trong Nền tảng Ultralytics được sao lưu bằng các dịch vụ gốc của nhà cung cấp đám mây. Các bản sao lưu được giám sát và các ngoại lệ được điều tra và khắc phục. Dữ liệu sao lưu được mã hóa khi lưu trữ và trong quá trình truyền tải, quyền truy cập bị giới hạn đối với nhân viên được ủy quyền. Việc lập kế hoạch liên tục kinh doanh và phục hồi sau thảm họa bao gồm các mục tiêu điểm phục hồi (RPOs), mục tiêu thời gian phục hồi (RTOs) và các vai trò & trách nhiệm được xác định.
Các quy trình để thường xuyên kiểm tra, đánh giá và thẩm định hiệu quả của các biện pháp kỹ thuật và tổ chức nhằm đảm bảo an ninh cho quá trình xử lýUltralytics thực hiện quét lỗ hổng thường xuyên trên hệ thống và mạng và kiểm thử xâm nhập trên môi trường sản xuất. Quản lý lỗ hổng bao gồm quét phụ thuộc và các thực hành phát triển bảo mật được tích hợp vào các quy trình CI/CD, và các lỗ hổng được xác định được ưu tiên và khắc phục dựa trên mức độ nghiêm trọng và rủi ro. Ngoài ra, Ultralytics tiến hành đánh giá rủi ro hàng năm và Đánh giá quản lý như một phần của thực hành ISMS tiêu chuẩn.
Các biện pháp định danh và ủy quyền người dùngNền tảng Ultralytics sử dụng nhà cung cấp xác thực và định danh, hỗ trợ xác thực người dùng và quản lý phiên. Quyền truy cập vào các hệ thống kỹ thuật (bao gồm các kho lưu trữ mã nguồn) bị giới hạn đối với nhân viên được ủy quyền và được quản lý bởi các quyền dựa trên vai trò, bảo vệ nhánh và các đánh giá bắt buộc. Quyền truy cập nội bộ tuân theo mô hình đặc quyền tối thiểu và các kiểm soát truy cập dựa trên vai trò.
Các biện pháp bảo vệ dữ liệu trong quá trình truyền tảiMạng đầu vào của Nền tảng Ultralytics bị giới hạn đối với các kết nối HTTPS (TLS) bảo mật thông qua các điểm cuối frontend được chỉ định. Các liên lạc nội bộ giữa các thành phần nền tảng và các dịch vụ lưu trữ được mã hóa trong quá trình truyền tải bằng TLS.
Các biện pháp bảo vệ dữ liệu trong quá trình lưu trữĐối với Nền tảng Ultralytics, dữ liệu của Khách hàng được lưu trữ trong các dịch vụ đám mây được quản lý, mã hóa với tính dự phòng và hỗ trợ sao lưu. Các dịch vụ đám mây được quản lý cung cấp khả năng mã hóa tích hợp, sao lưu tự động, lưu trữ dự phòng và tính sẵn có cao. Mã hóa do nhà cung cấp đám mây quản lý được áp dụng cho dữ liệu khi lưu trữ.
Các biện pháp đảm bảo an ninh vật lý cho các địa điểm nơi dữ liệu cá nhân được xử lýNền tảng Ultralytics được lưu trữ bằng cách sử dụng các nhà cung cấp dịch vụ đám mây bên thứ ba. Các biện pháp bảo vệ vật lý và môi trường cho các trung tâm dữ liệu lưu trữ được vận hành bởi các tổ chức Bên xử lý phụ có liên quan. Ultralytics xem xét các báo cáo chứng thực của tổ chức Bên xử lý phụ và thực hiện phân tích rủi ro ít nhất hàng năm.
Các biện pháp đảm bảo ghi nhật ký sự kiệnUltralytics tận dụng việc ghi nhật ký gốc trên đám mây để giám sát, khắc phục sự cố và điều tra sự cố. Tính sẵn có của nền tảng và các cảnh báo liên quan đến bảo mật được truyền đạt nội bộ qua các liên lạc nội bộ và email, và bên ngoài qua một trang trạng thái được lưu trữ. Ngoài ra, Ultralytics thường xuyên xem xét quyền truy cập vào các ứng dụng, công cụ và tài nguyên xử lý hoặc lưu trữ Dữ liệu Khách hàng.
Các biện pháp đảm bảo cấu hình hệ thống, bao gồm cấu hình mặc địnhUltralytics duy trì các quy trình quản lý thay đổi được ghi chép lại điều chỉnh các thay đổi đối với Nền tảng Ultralytics và mã nguồn mô hình Ultralytics YOLO, bao gồm khởi tạo thay đổi, tài liệu, tiêu chuẩn phát triển, kiểm thử, đánh giá và phê duyệt trước khi phát hành hoặc triển khai. Các thay đổi được theo dõi trong quản lý phiên bản với sự đánh giá đồng đẳng và xác thực quy trình CI/CD.
Các biện pháp quản trị và quản lý CNTT và bảo mật CNTT nội bộUltralytics duy trì các chính sách và thủ tục bảo mật phù hợp với các cam kết dịch vụ và các yêu cầu tuân thủ nội bộ, với việc đánh giá hàng năm các chính sách và thủ tục chính. Nhân viên phải xác nhận các chính sách thông qua một công cụ Quản trị, Rủi ro, Tuân thủ (GRC) chuyên dụng và bắt buộc phải hoàn thành đào tạo nhận thức về bảo mật và đào tạo về quyền riêng tư hàng năm, cùng với đào tạo về mã hóa an toàn cho các vai trò kỹ thuật. Các rủi ro được ghi lại trong sổ đăng ký rủi ro tập trung và được xem xét chính thức ít nhất hàng năm.
Các biện pháp chứng nhận/đảm bảo các quy trình và sản phẩmUltralytics dựa vào các dịch vụ được quản lý bởi bên thứ ba (bao gồm các tổ chức dịch vụ con) và xem xét các báo cáo SOC 2 của họ hàng năm như một phần của các kiểm soát giám sát. Sự thẩm định nhà cung cấp dựa trên rủi ro, và các nhà cung cấp được phân loại thành các cấp (Quan trọng/Cao/Trung bình/Thấp), với các biện pháp bảo vệ hợp đồng và đánh giá lại định kỳ.
Các biện pháp đảm bảo tối thiểu hóa dữ liệuUltralytics xử lý dữ liệu của Khách hàng theo các thỏa thuận khách hàng và các yêu cầu bảo vệ dữ liệu hiện hành, đồng thời giới hạn việc Xử lý trong những gì cần thiết để cung cấp và hỗ trợ các Dịch vụ (bao gồm quản lý tập dữ liệu, chú thích, huấn luyện mô hình, đánh giá và các chức năng nền tảng liên quan). Việc sử dụng mã nguồn mở Ultralytics YOLO do khách hàng quản lý và Ultralytics không xử lý khối lượng công việc suy luận cho khách hàng trong bối cảnh đó.
Các biện pháp đảm bảo chất lượng dữ liệuUltralytics sử dụng các thực hành phát triển và triển khai được kiểm soát được thiết kế để hỗ trợ tính toàn vẹn và độ tin cậy, bao gồm đánh giá đồng đẳng, kiểm thử tự động, quy trình CI/CD và quản lý thay đổi được kiểm soát cho Nền tảng và các bản phát hành mã nguồn mở.
Các biện pháp đảm bảo thời hạn lưu giữ dữ liệu hạn chếUltralytics áp dụng các cam kết lưu giữ dữ liệu và tiêu hủy dữ liệu như một phần của các cam kết dịch vụ của mình. Dữ liệu khách hàng cho Nền tảng được sao lưu bằng các dịch vụ được quản lý, và việc xóa/trả lại được xử lý theo các thỏa thuận khách hàng và luật hiện hành.
Các biện pháp đảm bảo trách nhiệm giải trìnhUltralytics duy trì kế hoạch ứng phó sự cố và các thủ tục được ghi chép lại để xác định, báo cáo, quản lý và theo dõi các sự cố bảo mật và quyền riêng tư, bao gồm liên lạc để báo cáo lỗ hổng bên ngoài qua security@ultralytics.com. Các sự cố được ghi lại và xử lý với sự tham gia của Kỹ thuật, Pháp lý và ban quản lý điều hành theo mức độ nghiêm trọng.
Các biện pháp cho phép tính di động của dữ liệu và đảm bảo xóa dữ liệuDữ liệu Cá nhân của Khách hàng được gửi tới Nền tảng Ultralytics có thể bị xóa bởi Khách hàng và/hoặc theo yêu cầu của Khách hàng, theo Thỏa thuận và DPA này. Khi yêu cầu xóa, Ultralytics sẽ thực hiện theo hướng dẫn của Khách hàng và các yêu cầu pháp lý hiện hành. (Tính di động được hỗ trợ trong phạm vi Khách hàng có thể xuất hoặc truy xuất Dữ liệu Khách hàng của mình từ các Dịch vụ nếu có thể.) Các mô hình mã nguồn mở Ultralytics YOLO được triển khai bởi Khách hàng trong môi trường chuyên dụng của họ, đảm bảo quyền kiểm soát quản trị dữ liệu đầy đủ.
Các biện pháp kỹ thuật và tổ chức của các Bên xử lý phụUltralytics sử dụng chương trình quản lý nhà cung cấp dựa trên rủi ro để giới thiệu và giám sát các nhà cung cấp dịch vụ bên thứ ba, bao gồm xem xét các chứng thực tuân thủ và các yêu cầu bảo mật và bảo vệ dữ liệu hợp đồng. Ultralytics cũng giám sát các Tổ chức dịch vụ con và xem xét các báo cáo SOC 2 của họ hàng năm. Ultralytics cũng ký kết các Thỏa thuận Xử lý Dữ liệu với các Bên xử lý phụ của mình với các nghĩa vụ bảo vệ dữ liệu tương tự về cơ bản với những nghĩa vụ được chứa trong DPA này.

Link to this sectionPhụ lục D: UK Addendum#

Phụ lục Chuyển dữ liệu Quốc tế cho các Điều khoản Hợp đồng Tiêu chuẩn của Ủy ban EU

Link to this sectionPhần 1: Các bảng#

Bảng 1: Các bên

TrườngBên xuất khẩuBên nhập khẩu
Ngày bắt đầuPhụ lục UK này sẽ có cùng ngày hiệu lực với DPAPhụ lục UK này sẽ có cùng ngày hiệu lực với DPA
Chi tiết các bênKhách hàngCông ty
Liên hệ chínhXem Phụ lục B của DPA nàyXem Phụ lục B của DPA này

Bảng 2: Các SCC, Mô-đun và Điều khoản được chọn

TrườngChi tiết
EU SCCsPhiên bản của EU SCCs được phê duyệt mà Phụ lục UK này được đính kèm như định nghĩa trong DPA và được hoàn thiện bởi Mục 6.2 và 6.3 của DPA.

Bảng 3: Thông tin phụ lục

"Thông tin phụ lục" có nghĩa là thông tin phải được cung cấp cho các mô-đun đã chọn như quy định trong Phụ lục của EU SCCs được phê duyệt (ngoại trừ các Bên), và đối với Phụ lục UK này được quy định trong:

Phụ lục (Annex)Tham chiếu
Phụ lục 1A: Danh sách các BênTheo Bảng 1 ở trên
Phụ lục 2B: Mô tả việc chuyển giaoXem Phụ lục B của DPA này
Phụ lục II: Các biện pháp kỹ thuật và tổ chức bao gồm các biện pháp kỹ thuật và tổ chức để đảm bảo an ninh dữ liệuXem Phụ lục C của DPA này
Phụ lục III: Danh sách các Bên xử lý phụ (Chỉ dành cho Mô-đun 2 và 3)Xem Phụ lục B của DPA này

Bảng 4: Chấm dứt Phụ lục UK này khi Phụ lục UK được phê duyệt thay đổi

Lưu ý: Điều khoản này cho phép bên được chọn (nếu có) chấm dứt Phụ lục UK nếu ICO thay đổi Phụ lục UK được phê duyệt dẫn đến sự gia tăng trực tiếp, đáng kể, không cân xứng và có thể chứng minh được đối với (a) chi phí trực tiếp của việc thực hiện các nghĩa vụ theo Phụ lục UK hoặc (b) rủi ro của bên đó theo Phụ lục UK.

TrườngLựa chọn
Chấm dứt Phụ lục UK này khi Phụ lục UK được phê duyệt thay đổix Bên nhập khẩu x Bên xuất khẩu ☐ Không bên nào

Link to this sectionTham gia Phụ lục UK này#

Mỗi bên đồng ý bị ràng buộc bởi các điều khoản và điều kiện được quy định trong Phụ lục UK này, để đổi lấy việc bên kia cũng đồng ý bị ràng buộc bởi Phụ lục UK này.

Mặc dù Phụ lục 1A và Điều khoản 7 của EU SCCs được phê duyệt yêu cầu chữ ký của các Bên, vì mục đích thực hiện các chuyển giao ngoài UK (ex-UK Transfers), các Bên có thể tham gia Phụ lục UK này theo bất kỳ cách nào làm cho chúng có tính ràng buộc pháp lý đối với các Bên và cho phép các chủ thể dữ liệu thực thi quyền của mình như được quy định trong Phụ lục UK này. Việc tham gia Phụ lục UK này sẽ có hiệu lực tương tự như việc ký kết EU SCCs được phê duyệt và bất kỳ phần nào của EU SCCs được phê duyệt.

Link to this sectionGiải thích Phụ lục UK này#

Khi Phụ lục UK này sử dụng các thuật ngữ được định nghĩa trong EU SCCs được phê duyệt, các thuật ngữ đó sẽ có cùng ý nghĩa như trong EU SCCs được phê duyệt. Ngoài ra, các thuật ngữ sau đây có các ý nghĩa như sau:

Thuật ngữĐịnh nghĩa
Phụ lục UKcó nghĩa là Phụ lục chuyển dữ liệu quốc tế này kết hợp với EU SCCs, được đính kèm vào DPA dưới dạng Phụ lục D.
EU SCCscó nghĩa là (các) phiên bản của EU SCCs được phê duyệt mà Phụ lục UK này được đính kèm, như được quy định trong Bảng 2, bao gồm Thông tin phụ lục
Thông tin phụ lụcsẽ như được quy định trong Bảng 3
Các biện pháp bảo vệ phù hợpcó nghĩa là tiêu chuẩn bảo vệ đối với dữ liệu cá nhân và quyền của các chủ thể dữ liệu, vốn được yêu cầu bởi Luật bảo vệ dữ liệu UK khi bạn thực hiện chuyển giao ngoài UK (ex-UK Transfer) dựa trên các điều khoản bảo vệ dữ liệu tiêu chuẩn theo Điều 46(2)(d) UK GDPR.
Phụ lục UK được phê duyệtcó nghĩa là Phụ lục mẫu do ICO ban hành và trình lên Quốc hội theo s119A của Đạo luật bảo vệ dữ liệu 2018 vào ngày 2 tháng 2 năm 2022, có thể được sửa đổi theo Mục 18 của Phụ lục UK.
EU SCCs được phê duyệtcó nghĩa là các điều khoản hợp đồng tiêu chuẩn được Ủy ban Châu Âu phê duyệt trong Quyết định của Ủy ban 2021/914 ngày 4 tháng 6 năm 2021, dành cho việc chuyển dữ liệu cá nhân sang các quốc gia không được Ủy ban Châu Âu công nhận là cung cấp mức độ bảo vệ đầy đủ cho dữ liệu cá nhân (được sửa đổi và cập nhật theo thời gian).
ICOcó nghĩa là Văn phòng Ủy viên Thông tin (Information Commissioner's Office).
Chuyển giao ngoài UK (ex-UK Transfer)sẽ có cùng định nghĩa như được quy định trong DPA.
UKcó nghĩa là Vương quốc Anh và Bắc Ireland
Luật bảo vệ dữ liệu UKcó nghĩa là tất cả các luật liên quan đến bảo vệ dữ liệu, xử lý dữ liệu cá nhân, quyền riêng tư và/hoặc truyền thông điện tử có hiệu lực theo thời gian tại UK, bao gồm UK GDPR và Đạo luật bảo vệ dữ liệu 2018.
UK GDPRsẽ có định nghĩa được quy định trong DPA.

Phụ lục UK phải luôn được giải thích theo cách nhất quán với Luật bảo vệ dữ liệu UK và để đáp ứng nghĩa vụ của các Bên trong việc cung cấp các Biện pháp bảo vệ phù hợp.

Nếu các điều khoản có trong Phụ lục UK sửa đổi EU SCCs được phê duyệt theo bất kỳ cách nào không được cho phép theo EU SCCs được phê duyệt hoặc Phụ lục UK được phê duyệt, (các) sửa đổi đó sẽ không được kết hợp vào Phụ lục UK và các điều khoản tương đương của EU SCCs được phê duyệt sẽ thay thế chúng.

Nếu có bất kỳ sự không nhất quán hoặc xung đột nào giữa Luật bảo vệ dữ liệu UK và Phụ lục UK, Luật bảo vệ dữ liệu UK sẽ được áp dụng.

Nếu ý nghĩa của Phụ lục UK không rõ ràng hoặc có nhiều hơn một ý nghĩa, ý nghĩa phù hợp nhất với Luật bảo vệ dữ liệu UK sẽ được áp dụng.

Bất kỳ tham chiếu nào đến luật pháp (hoặc các điều khoản cụ thể của luật pháp) có nghĩa là luật pháp (hoặc điều khoản cụ thể) đó khi nó có thể thay đổi theo thời gian. Điều này bao gồm cả trường hợp luật pháp (hoặc điều khoản cụ thể) đó đã được hợp nhất, ban hành lại và/hoặc thay thế sau khi Phụ lục UK được tham gia.

Link to this sectionHệ thống phân cấp#

Mặc dù Điều khoản 5 của EU SCCs được phê duyệt quy định rằng EU SCCs được phê duyệt ưu tiên hơn tất cả các thỏa thuận liên quan giữa các bên, các bên đồng ý rằng, đối với các chuyển giao ngoài UK, hệ thống phân cấp trong Mục 10 dưới đây sẽ được ưu tiên.

Khi có bất kỳ sự không nhất quán hoặc xung đột nào giữa Phụ lục UK được phê duyệt và EU SCCs (nếu có), Phụ lục UK được phê duyệt sẽ ghi đè lên EU SCCs, trừ khi (và trong chừng mực) các điều khoản không nhất quán hoặc xung đột của EU SCCs cung cấp sự bảo vệ lớn hơn cho các chủ thể dữ liệu, trong trường hợp đó các điều khoản đó sẽ ghi đè lên Phụ lục UK được phê duyệt.

Khi Phụ lục UK này kết hợp EU SCCs đã được tham gia để bảo vệ các chuyển giao ngoài EU (ex-EU Transfers) tuân theo GDPR, thì các bên thừa nhận rằng không có điều gì trong Phụ lục UK ảnh hưởng đến các EU SCCs đó.

Link to this sectionSự kết hợp và các thay đổi đối với EU SCCs#

Phụ lục UK này kết hợp EU SCCs được sửa đổi đến mức cần thiết để:

  • cùng nhau hoạt động cho việc chuyển dữ liệu do bên xuất khẩu dữ liệu thực hiện sang bên nhập khẩu dữ liệu, trong chừng mực Luật bảo vệ dữ liệu UK áp dụng cho việc xử lý của bên xuất khẩu dữ liệu khi thực hiện chuyển dữ liệu đó, và chúng cung cấp các Biện pháp bảo vệ phù hợp cho các chuyển giao dữ liệu đó;
  • Các Mục 9 đến 11 ở trên ghi đè lên Điều khoản 5 (Hệ thống phân cấp) của EU SCCs; và
  • Phụ lục UK (bao gồm cả EU SCCs được kết hợp vào đó) (1) được điều chỉnh bởi luật pháp của Anh và xứ Wales và (2) bất kỳ tranh chấp nào phát sinh từ đó sẽ được giải quyết bởi tòa án của Anh và xứ Wales.

Trừ khi các bên đã đồng ý các sửa đổi thay thế đáp ứng các yêu cầu của Mục 12 của Phụ lục UK này, các quy định tại Mục 15 của Phụ lục UK này sẽ được áp dụng.

Không được phép thực hiện các sửa đổi đối với EU SCCs được phê duyệt ngoại trừ việc đáp ứng các yêu cầu của Mục 12 của Phụ lục UK này.

Các sửa đổi sau đây đối với EU SCCs (cho mục đích của Mục 12 của Phụ lục UK này) được thực hiện:

  • Tham chiếu đến "Các Điều khoản" có nghĩa là Phụ lục UK này, kết hợp với EU SCCs;
  • Trong Điều khoản 2, xóa các từ: "và, đối với việc chuyển dữ liệu từ bên kiểm soát sang bên xử lý và/hoặc bên xử lý sang bên xử lý, các điều khoản hợp đồng tiêu chuẩn theo Điều 28(7) của Quy định (EU) 2016/679";
  • Điều khoản 6 (Mô tả việc chuyển giao) được thay thế bằng: "Các chi tiết về (các) chuyển giao và đặc biệt là các loại dữ liệu cá nhân được chuyển và (các) mục đích mà dữ liệu đó được chuyển là những chi tiết được quy định tại Phụ lục I.B khi Luật bảo vệ dữ liệu UK áp dụng cho việc xử lý của bên xuất khẩu dữ liệu khi thực hiện chuyển giao đó.";
  • Điều khoản 8.7(i) của Mô-đun 1 được thay thế bằng: "nó đến một quốc gia được hưởng lợi từ các quy định về mức độ đầy đủ theo Mục 17A của UK GDPR bao gồm việc chuyển tiếp";
  • Điều khoản 8.8(i) của Mô-đun 2 và 3 được thay thế bằng: "việc chuyển tiếp là đến một quốc gia được hưởng lợi từ các quy định về mức độ đầy đủ theo Mục 17A của UK GDPR bao gồm việc chuyển tiếp;"
  • Các tham chiếu đến "Quy định (EU) 2016/679", "Quy định (EU) 2016/679 của Nghị viện Châu Âu và Hội đồng ngày 27 tháng 4 năm 2016 về việc bảo vệ cá nhân liên quan đến xử lý dữ liệu cá nhân và về sự lưu chuyển tự do của dữ liệu đó (Quy định chung về bảo vệ dữ liệu)" và "Quy định đó" đều được thay thế bằng "Luật bảo vệ dữ liệu UK". Các tham chiếu đến (các) Điều cụ thể của "Quy định (EU) 2016/679" được thay thế bằng Điều hoặc Mục tương đương của Luật bảo vệ dữ liệu UK;
  • Các tham chiếu đến Quy định (EU) 2018/1725 bị loại bỏ;
  • Các tham chiếu đến "Liên minh Châu Âu", "Liên minh", "EU", "Quốc gia thành viên EU", "Quốc gia thành viên" và "EU hoặc Quốc gia thành viên" đều được thay thế bằng "UK";
  • Tham chiếu đến "Điều khoản 12(c)(i)" tại Điều khoản 10(b)(i) của Mô-đun một, được thay thế bằng "Điều khoản 11(c)(i)";
  • Điều khoản 13(a) và Phần C của Phụ lục I không được sử dụng;
  • Cả "cơ quan giám sát có thẩm quyền" và "cơ quan giám sát" đều được thay thế bằng "Ủy viên Thông tin";
  • Trong Điều khoản 16(e), tiểu mục (i) được thay thế bằng: "Bộ trưởng Ngoại giao ban hành các quy định theo Mục 17A của Đạo luật bảo vệ dữ liệu 2018 bao gồm việc chuyển dữ liệu cá nhân mà các điều khoản này áp dụng;";
  • Điều khoản 17 được thay thế bằng: "Các Điều khoản này được điều chỉnh bởi luật pháp của Anh và xứ Wales";
  • Điều khoản 18 được thay thế bằng: "Bất kỳ tranh chấp nào phát sinh từ các Điều khoản này sẽ được giải quyết bởi tòa án của Anh và xứ Wales." Một chủ thể dữ liệu cũng có thể đưa ra các thủ tục pháp lý chống lại bên xuất khẩu dữ liệu và/hoặc bên nhập khẩu dữ liệu trước tòa án của bất kỳ quốc gia nào tại UK. Các bên đồng ý phục tùng quyền tài phán của các tòa án đó."; và
  • Các chú thích của EU SCCs được phê duyệt không tạo thành một phần của Phụ lục UK, ngoại trừ các chú thích 8, 9, 10 và 11.

Link to this sectionCác sửa đổi đối với Phụ lục UK#

Các bên có thể đồng ý thay đổi Điều khoản 17 và/hoặc 18 của EU SCCs để tham chiếu đến luật pháp và/hoặc tòa án của Scotland hoặc Bắc Ireland.

Nếu các bên muốn thay đổi định dạng thông tin có trong Phần 1: Bảng của Phụ lục UK được phê duyệt, họ có thể làm như vậy bằng cách đồng ý thay đổi bằng văn bản, với điều kiện là thay đổi đó không làm giảm các Biện pháp bảo vệ phù hợp.

Theo thời gian, ICO có thể ban hành Phụ lục UK được phê duyệt sửa đổi mà:

  • thực hiện các thay đổi hợp lý và cân xứng đối với Phụ lục UK được phê duyệt, bao gồm cả việc sửa lỗi trong Phụ lục UK được phê duyệt; và/hoặc
  • phản ánh những thay đổi đối với Luật bảo vệ dữ liệu UK.

Phụ lục UK được phê duyệt sửa đổi sẽ chỉ định ngày bắt đầu mà từ đó các thay đổi đối với Phụ lục UK được phê duyệt có hiệu lực và liệu các bên có cần xem xét Phụ lục UK này bao gồm cả Thông tin phụ lục hay không. Phụ lục UK này được tự động sửa đổi như được quy định trong Phụ lục UK được phê duyệt sửa đổi kể từ ngày bắt đầu được chỉ định.

Nếu ICO ban hành Phụ lục UK được phê duyệt sửa đổi theo Mục 18 của Phụ lục UK này, nếu một bên do kết quả trực tiếp của những thay đổi trong Phụ lục UK được phê duyệt mà phải chịu sự gia tăng đáng kể, không cân xứng và có thể chứng minh được đối với:

  • chi phí trực tiếp của việc thực hiện các nghĩa vụ theo Phụ lục UK; và/hoặc
  • rủi ro của bên đó theo Phụ lục UK,

và trong cả hai trường hợp, bên đó đã thực hiện các bước hợp lý trước tiên để giảm bớt các chi phí hoặc rủi ro đó để chúng không còn đáng kể và không cân xứng, thì bên đó có thể chấm dứt Phụ lục UK này vào cuối thời hạn thông báo hợp lý, bằng cách gửi thông báo bằng văn bản cho thời hạn đó cho bên kia trước ngày bắt đầu của Phụ lục UK được phê duyệt sửa đổi.

Các bên không cần sự đồng ý của bất kỳ bên thứ ba nào để thực hiện các thay đổi đối với Phụ lục UK này, nhưng mọi thay đổi phải được thực hiện theo các điều khoản của nó.