PhotoRobot
Trung tâm tin cậy
Hợp pháp
Thỏa thuận xử lý dữ liệu PhotoRobot (DPA)
Điều khoản dịch vụ của PhotoRobot
Thỏa thuận cấp phép PhotoRobot
Tài liệu về quyền riêng tư của PhotoRobot - Tổng quan
Chính sách bảo mật của PhotoRobot
Thông báo về quyền riêng tư của PhotoRobot GDPR (Điều 13)
Thỏa thuận xử lý dữ liệu PhotoRobot (DPA)
Chính sách sử dụng được chấp nhận của PhotoRobot (AUP)
Thỏa thuận mức dịch vụ (SLA) của PhotoRobot
Thỏa thuận mức dịch vụ (SLA) cho phần mềm PhotoRobot
Thỏa thuận mức dịch vụ (SLA) cho phần cứng PhotoRobot
Điều khoản hỗ trợ khách hàng của PhotoRobot
Chính sách cookie của PhotoRobot
Chính sách đồng ý tiếp thị PhotoRobot
Danh sách bộ xử lý phụ PhotoRobot
Định nghĩa pháp lý và thuật ngữ PhotoRobot
Chỉnh sửa lần cuối: Dec 29, 2025

Thỏa thuận xử lý dữ liệu PhotoRobot (DPA)

Tài liệu này đại diện cho Thỏa thuận xử lý dữ liệu PhotoRobot: Phiên bản 1.0 - Phiên bản PhotoRobot, uni-Robot Ltd., Cộng hòa Séc.

1. Các bên

Thỏa thuận xử lý dữ liệu này ("DPA") được ký kết giữa:

Bộ điều khiển (Khách hàng)
Cá nhân hoặc pháp nhân đã tham gia Điều khoản dịch vụ của PhotoRobot và sử dụng Dịch vụ.

Bộ xử lý:
Công ty TNHH uni-Robot
Vodičkova 710/31
110 00 Praha 1
Cộng hòa Séc
Mã công ty: 01478061
Mã số thuế GTGT: CZ01478061
Thư điện tử: legal@photorobot.com

Sau đây gọi chung là "Các bên".

DPA này bổ sung cho Điều khoản dịch vụ của PhotoRobot và áp dụng khi PhotoRobot xử lý dữ liệu cá nhân thay mặt cho Khách hàng.

2. Đối tượng và bản chất của quá trình xử lý

PhotoRobot ("Bên xử lý") cung cấp các dịch vụ dựa trên đám mây, tiện ích mở rộng phần mềm cục bộ, quản lý chương trình cơ sở và cơ sở hạ tầng lưu trữ cần thiết để xử lý hình ảnh, siêu dữ liệu và nội dung kỹ thuật số liên quan do Khách hàng tải lên ("Bên kiểm soát").

Chế biến bao gồm:

  • Bộ sưu tập
  • Lưu trữ
  • Truyền tải
  • Trích xuất siêu dữ liệu
  • đồng bộ hóa giữa CL ↔ Cloud
  • Lưu trữ nội dung do khách hàng tải lên
  • Tạo nhật ký và chẩn đoán
  • Hoạt động sao lưu

Việc xử lý được thực hiện nghiêm ngặt thay mặt cho Bên kiểm soát, theo hướng dẫn bằng văn bản của họ.

3. Thời lượng

DPA này vẫn có hiệu lực trong suốt thời gian của mối quan hệ hợp đồng giữa các Bên và sau đó miễn là Bên xử lý lưu trữ hoặc xử lý bất kỳ dữ liệu cá nhân nào thay mặt cho Bên kiểm soát.

4. Dữ liệu cá nhân và danh mục chủ thể dữ liệu

4.1. Các loại dữ liệu cá nhân

Tùy thuộc vào cách sử dụng Dịch vụ, dữ liệu được xử lý có thể bao gồm:

  • Dữ liệu nhận dạng (tên, họ, công ty)
  • Dữ liệu liên hệ (email, điện thoại)
  • nội dung trực quan (hình ảnh, video)
  • siêu dữ liệu được liên kết với nội dung đã tải lên
  • dữ liệu nhật ký, địa chỉ IP, mã định danh kỹ thuật
  • Dữ liệu cấp dự án
  • thông tin đăng nhập (băm), mã truy cập

Bên xử lý không yêu cầu hoặc cố ý xử lý các loại dữ liệu đặc biệt (Điều 9 GDPR).

4.2. Các loại chủ thể dữ liệu

  • Nhân viên của khách hàng
  • Khách hàng hoặc đối tác của khách hàng
  • Người dùng được ủy quyền
  • Bất kỳ cá nhân nào được trình bày trong nội dung trực quan do Khách hàng tải lên

Khách hàng hoàn toàn chịu trách nhiệm đảm bảo thu thập dữ liệu hợp pháp từ các chủ thể dữ liệu.

5. Hướng dẫn từ Bộ điều khiển

Bên xử lý chỉ xử lý dữ liệu cá nhân:

  1. theo hướng dẫn bằng văn bản của Bộ điều khiển,
  2. theo yêu cầu để cung cấp Dịch vụ,
  3. để đảm bảo tính bảo mật, tính toàn vẹn và tính khả dụng của hệ thống,
  4. theo yêu cầu của luật pháp EU hoặc Séc.

Nếu Bên xử lý cho rằng một hướng dẫn là bất hợp pháp, Bên xử lý phải thông báo cho Bên kiểm soát.

6. Bảo mật

Bên xử lý đảm bảo rằng tất cả những người được ủy quyền xử lý dữ liệu cá nhân:

  • phải tuân theo nghĩa vụ bảo mật,
  • đã được đào tạo thích hợp,
  • chỉ xử lý dữ liệu theo hướng dẫn của Bên kiểm soát.

7. Đơn vị xử lý phụ

Bên xử lý sử dụng một số bên thứ ba nhất định ("Bên xử lý phụ") để hỗ trợ Dịch vụ.

7.1. Bên xử lý phụ được phê duyệt

Bên kiểm soát cấp phép chung cho Bên xử lý tham gia vào các loại Bên xử lý phụ sau:

  • nhà cung cấp cơ sở hạ tầng đám mây (ví dụ: Google Cloud Platform)
  • Nhà cung cấp dịch vụ gửi email
  • Nhà cung cấp phân tích
  • Hệ thống quản lý phiếu
  • Dịch vụ giám sát an ninh
  • Hệ thống sao lưu và phục hồi sau thảm họa

Danh sách đầy đủ được duy trì trong Danh sách bộ xử lý phụ PhotoRobot và có thể được cập nhật.

7.2. Thông báo thay đổi

Bên xử lý sẽ thông báo cho Bên kiểm soát về bất kỳ thay đổi dự kiến nào đối với Bên xử lý phụ trước ít nhất 15 ngày , cho phép Bên kiểm soát phản đối trên cơ sở hợp lý.

8. Chuyển dữ liệu quốc tế

Khi Bên xử lý phụ hoặc cơ sở hạ tầng nằm bên ngoài EEA, Bên xử lý đảm bảo:

  • áp dụng Điều khoản hợp đồng tiêu chuẩn (SCC 2021),
  • các biện pháp bảo vệ kỹ thuật và tổ chức bổ sung,
  • giảm thiểu quyền truy cập và mã hóa,
  • kiểm tra tuân thủ của nhà cung cấp cơ bản.

Google Cloud Platform cung cấp:

  • ISO 27001, ISO 27017, ISO 27018
  • Báo cáo SOC 1/2/3
  • Tài liệu tuân thủ GDPR

Thông tin chi tiết có tại https://cloud.google.com/security.

9. Các biện pháp an ninh

Bên xử lý phải thực hiện các biện pháp kỹ thuật và tổ chức tiêu chuẩn ngành (TOM), bao gồm:

9.1. Các biện pháp kỹ thuật

  • Mã hóa TLS của dữ liệu đang truyền
  • Lưu trữ an toàn với mã truy cập được mã hóa
  • môi trường xử lý bị cô lập
  • băm mật khẩu
  • Giới hạn tốc độ và hệ thống phát hiện xâm nhập
  • tường lửa nhiều lớp
  • Bảo mật trung tâm dữ liệu vật lý (thông qua Google Cloud)

9.2. Các biện pháp tổ chức

  • Kiểm soát truy cập dựa trên vai trò
  • Ghi nhật ký và giám sát truy cập
  • Chính sách nội bộ về xử lý dữ liệu
  • Nghĩa vụ bảo mật của nhân viên
  • Đào tạo an ninh định kỳ
  • Quản lý rủi ro nhà cung cấp

Danh sách đầy đủ các TOM có sẵn theo yêu cầu.

10. Quyền của chủ thể dữ liệu

Bộ xử lý hỗ trợ Bộ điều khiển phản hồi với:

  • Yêu cầu truy cập
  • Chỉnh sửa
  • Xóa
  • Hạn chế
  • Khả năng di chuyển dữ liệu
  • Phản đối

Bên xử lý sẽ chuyển tiếp bất kỳ yêu cầu trực tiếp nào từ chủ thể dữ liệu đến Bên kiểm soát mà không bị chậm trễ quá mức.

11. Thông báo vi phạm dữ liệu

Trong trường hợp vi phạm dữ liệu cá nhân, Bên xử lý sẽ thông báo cho Bên kiểm soát:

  • không chậm trễ quá mức,
  • bao gồm tất cả thông tin theo yêu cầu của Điều 33 GDPR,
  • và cung cấp thông tin cập nhật liên tục cho đến khi khắc phục xong.

Kiểm soát viên vẫn chịu trách nhiệm thông báo cho các cơ quan chức năng và các cá nhân bị ảnh hưởng.

12. Xóa hoặc trả lại dữ liệu

Khi chấm dứt hợp đồng:

  • Bên xử lý xóa Dữ liệu khách hàng sau 30 ngày,
  • trừ khi có hướng dẫn khác của Bộ điều khiển,
  • trừ trường hợp pháp luật yêu cầu lưu giữ.

Các bản sao lưu bị ghi đè trong vòng đời bình thường của chúng.

13. Kiểm toán

Kiểm soát viên có quyền:

  • nhận tài liệu chứng minh tuân thủ GDPR
  • yêu cầu báo cáo về TOM
  • thực hiện kiểm toán hợp lý, giới hạn một lần mỗi năm
  • dựa vào chứng nhận của bên thứ ba (báo cáo ISO/SOC của Google Cloud)

Kiểm toán không được gây nguy hiểm cho an ninh hoặc làm gián đoạn hoạt động.

14. Trách nhiệm pháp lý

Trách nhiệm pháp lý của các Bên tuân theo Điều khoản dịch vụ.
Bên xử lý chỉ chịu trách nhiệm về các vi phạm do chính mình vi phạm nghĩa vụ GDPR.

15. Luật điều chỉnh và quyền tài phán

DPA này được điều chỉnh bởi luật pháp của Cộng hòa Séc.

Tranh chấp sẽ được giải quyết bởi tòa án ở Praha, Cộng hòa Séc.

16. Điều khoản hợp đồng tiêu chuẩn (SCC)

Khi được yêu cầu, SCC 2021 (Mô-đun 2: Bộ điều khiển → Bộ xử lý) áp dụng như một phụ lục của DPA này.

PhotoRobot:

  • kết hợp SCC bằng cách tham chiếu,
  • bao gồm tất cả các điều khoản bắt buộc,
  • thực hiện các biện pháp kỹ thuật bổ sung
  • đảm bảo tuân thủ việc chuyển đến các đơn vị xử lý phụ bên ngoài EEA.

SCC có thể được cung cấp đầy đủ theo yêu cầu.

17. Liên hệ

Công ty TNHH uni-Robot
Vodičkova 710/31
110 00 Praha 1
Cộng hòa Séc

Thư điện tử: legal@photorobot.com