Phụ lục xử lý dữ liệu của Forwork
Phụ lục này áp dụng khi khách hàng Business giao cho Forwork xử lý dữ liệu cá nhân để cung cấp dịch vụ theo thỏa thuận tương ứng.
1. Phạm vi và thứ tự ưu tiên
Phụ lục xử lý dữ liệu (“DPA”) là một phần của thỏa thuận giữa CÔNG TY TNHH FORWORK.ME (“Forwork”) và khách hàng Business khi Forwork xử lý dữ liệu cá nhân theo chỉ dẫn của khách hàng. Nếu DPA khác với điều khoản dịch vụ về cùng một hoạt động xử lý dữ liệu Business, DPA được ưu tiên trong phạm vi khác biệt đó; quy định bắt buộc của pháp luật luôn được ưu tiên.
2. Vai trò của các bên
Khách hàng xác định mục đích, phạm vi dữ liệu được đưa vào workspace và quyền của thành viên; trong phạm vi đó khách hàng là bên kiểm soát hoặc chủ thể có vai trò tương đương theo pháp luật áp dụng. Forwork xử lý dữ liệu theo chỉ dẫn hợp lệ để cung cấp, bảo mật, hỗ trợ và duy trì dịch vụ. Forwork có thể tự xác định mục đích đối với dữ liệu tài khoản, thanh toán, chống gian lận, log bảo mật và nghĩa vụ pháp lý của chính mình; các hoạt động đó tuân theo Chính sách bảo mật công khai.
3. Chỉ dẫn và trách nhiệm khách hàng
- Chỉ đưa vào Forwork dữ liệu có cơ sở xử lý hợp pháp và đã cung cấp thông báo cần thiết.
- Không yêu cầu Forwork xử lý trái pháp luật, vượt tính năng đã thỏa thuận hoặc thu thập dữ liệu nhạy cảm không cần thiết.
- Quản lý tài khoản quản trị, thành viên, quyền truy cập, xuất bản và thời hạn lưu nội dung.
- Thông báo cho Forwork nếu chỉ dẫn có nguy cơ vi phạm pháp luật để hai bên đánh giá và điều chỉnh.
4. Đối tượng và loại dữ liệu
| Nhóm | Ví dụ dữ liệu | Chủ thể |
|---|---|---|
| Tài khoản và thành viên | Họ tên, email, vai trò, định danh tài khoản, cấu hình. | Quản trị viên, thành viên, cộng tác viên. |
| Work Identity và nội dung | Hồ sơ, kinh nghiệm, dự án, media, dịch vụ, liên hệ và bằng chứng nghề nghiệp. | Thành viên, khách hàng, đối tác hoặc cá nhân được nhắc tới. |
| Vận hành và bảo mật | Thời gian truy cập, IP, thiết bị, phiên, log, sự kiện quản trị và báo cáo lỗi. | Người dùng và người truy cập được phép. |
| Hỗ trợ và giao dịch | Nội dung yêu cầu, mã giao dịch, gói dịch vụ, hóa đơn và lịch sử xử lý. | Đầu mối khách hàng và người yêu cầu hỗ trợ. |
5. Mục đích và thời hạn xử lý
Forwork xử lý dữ liệu để tạo và quản lý workspace, xác thực người dùng, lưu trữ và hiển thị nội dung theo cài đặt, cung cấp tính năng, bảo mật, sao lưu, hỗ trợ, đo lường vận hành, xử lý giao dịch và tuân thủ pháp luật. Việc xử lý kéo dài trong thời hạn dịch vụ và giai đoạn hợp lý cần thiết để xuất/xóa dữ liệu, vận hành backup, giải quyết tranh chấp hoặc đáp ứng nghĩa vụ lưu trữ.
6. Bảo mật và nhân sự
Forwork áp dụng biện pháp kỹ thuật và tổ chức phù hợp với rủi ro, gồm kiểm soát truy cập, phân tách quyền, bảo vệ phiên và thông tin xác thực, mã hóa đường truyền, log, sao lưu, cập nhật phần mềm, quản lý lỗ hổng và ứng phó sự cố. Nhân sự hoặc nhà cung cấp được cấp quyền theo nhu cầu công việc và chịu nghĩa vụ bảo mật.
7. Nhà cung cấp phụ trợ
Khách hàng cho phép Forwork sử dụng nhà cung cấp phụ trợ cần thiết để vận hành dịch vụ. Forwork giới hạn phạm vi dữ liệu, yêu cầu nghĩa vụ bảo mật và chịu trách nhiệm quản lý nhà cung cấp trong phạm vi pháp luật và hợp đồng áp dụng. Danh sách hiện tại:
| Nhà cung cấp/hệ thống | Dịch vụ và dữ liệu liên quan | Điều kiện sử dụng |
|---|---|---|
| Cloudflare | R2/CDN, phân phối và lưu trữ media/tài sản; metadata kỹ thuật. | Khi nội dung được tải lên hoặc phân phối qua hạ tầng R2/CDN. |
| OAuth đăng nhập và Firebase Cloud Messaging; định danh đăng nhập hoặc token thiết bị. | Khi người dùng chọn Google Sign-In hoặc bật thông báo tương ứng. | |
| OpenAI | Xử lý nội dung/prompt cần thiết cho tính năng AI. | Chỉ khi người dùng gọi tính năng AI được cấu hình dùng OpenAI. |
| Anthropic | Nhà cung cấp AI thay thế theo cấu hình tác vụ. | Chỉ khi tác vụ được cấu hình dùng Anthropic. |
| Hạ tầng tự quản lý | MongoDB, Redis, MinIO và dịch vụ thông báo; dữ liệu ứng dụng, cache, phiên, media và thông báo. | Do Forwork vận hành hoặc kiểm soát theo cấu hình triển khai. |
Ngân hàng, tổ chức thanh toán hoặc dịch vụ do khách hàng/người dùng tự kết nối có thể xử lý dữ liệu với vai trò độc lập theo điều khoản riêng và không mặc nhiên là nhà cung cấp phụ trợ của Forwork.
8. Thay đổi nhà cung cấp
Forwork cập nhật danh sách này trước hoặc trong thời gian hợp lý sau thay đổi cần thiết. Khách hàng Business có thể phản đối trên căn cứ bảo vệ dữ liệu hợp lý; hai bên sẽ thiện chí tìm phương án thay thế, hạn chế phạm vi hoặc chấm dứt phần dịch vụ bị ảnh hưởng theo thỏa thuận.
9. Yêu cầu của chủ thể dữ liệu
Khách hàng chịu trách nhiệm tiếp nhận và đánh giá yêu cầu liên quan đến dữ liệu do mình kiểm soát. Trong phạm vi tính năng và thông tin sẵn có, Forwork hỗ trợ truy cập, xuất, chỉnh sửa, hạn chế hoặc xóa dữ liệu. Nếu Forwork nhận trực tiếp yêu cầu thuộc trách nhiệm khách hàng, Forwork có thể chuyển yêu cầu cho đầu mối Business, trừ khi pháp luật cấm.
10. Sự cố dữ liệu
Khi xác định sự cố ảnh hưởng dữ liệu Business do Forwork xử lý, Forwork thực hiện biện pháp cô lập và khắc phục, lưu thông tin cần thiết và thông báo cho đầu mối khách hàng trong thời gian phù hợp với rủi ro và nghĩa vụ pháp luật. Thông báo, khi có, mô tả bản chất sự cố, dữ liệu/chủ thể có thể bị ảnh hưởng, biện pháp đã hoặc sẽ thực hiện và đầu mối phối hợp trong phạm vi thông tin sẵn có.
11. Chuyển và vị trí xử lý dữ liệu
Dữ liệu có thể được xử lý tại Việt Nam hoặc khu vực nơi nhà cung cấp được liệt kê vận hành hạ tầng. Khi hoạt động cấu thành chuyển dữ liệu qua biên giới, các bên thực hiện đánh giá, hồ sơ, biện pháp bảo vệ hoặc thủ tục khác theo pháp luật áp dụng. Khách hàng không nên đưa dữ liệu bị hạn chế vị trí vào dịch vụ trước khi thống nhất yêu cầu bằng văn bản.
12. Xuất, xóa và chấm dứt
Trong thời hạn dịch vụ, khách hàng sử dụng tính năng sẵn có hoặc liên hệ hỗ trợ để xuất dữ liệu. Sau khi chấm dứt, Forwork xóa hoặc vô hiệu hóa dữ liệu đủ điều kiện theo quy trình áp dụng, trừ backup luân chuyển, dữ liệu đã công khai/chia sẻ hợp lệ, hồ sơ giao dịch, bảo mật, tranh chấp hoặc phần phải lưu theo pháp luật. Khách hàng cần xuất dữ liệu cần giữ trước khi hết thời hạn truy cập.
13. Bằng chứng và liên hệ
Forwork cung cấp thông tin hợp lý về biện pháp bảo vệ và hoạt động xử lý để khách hàng đánh giá tuân thủ, nhưng có thể từ chối yêu cầu làm lộ bí mật, dữ liệu của khách hàng khác hoặc biện pháp phòng vệ. Yêu cầu DPA gửi tới [email protected].