Bỏ qua đến nội dung chính
WaiverKit.
Tính năngGiá
Đăng nhậpBắt đầu miễn phí
Ghi chúWaiverKit · Bản 2026
WaiverKit

Ký. Lưu. Không bao giờ mất. Một công cụ Thụy Sĩ nhỏ thay thế kẹp giấy bằng tệp PDF có dấu thời gian và tìm kiếm được.

Cựu sinh viên EPFL · Lausanne

Sản phẩm

  • Tính năng
  • Giá
  • Cách hoạt động
  • Ngành nghề

Công ty

  • Giới thiệu
  • Liên hệ

Pháp lý

  • Bảo mật
  • Điều khoản
  • DPA
Tuân thủ · Hồ sơ
ESIGNUETAGDPRAES-256 khi truyền và khi lưu

© 2026 WaiverKit · Đã đăng ký bản quyền.

Sản phẩm của Clashware Sàrl · clashware.com

Bảo mậtĐiều khoảnLiên hệ
WaiverKit

Thỏa thuận xử lý dữ liệu

Cập nhật lần cuối: ngày 13 tháng 4 năm 2026

Thỏa thuận xử lý dữ liệu này ("DPA") là một phần của Điều khoản dịch vụ WaiverKit giữa WaiverKit ("Bên xử lý") và khách hàng ("Bên kiểm soát") và phản ánh sự đồng thuận của các bên về việc xử lý dữ liệu cá nhân theo yêu cầu tại Điều 28 của Quy định chung về bảo vệ dữ liệu của EU (GDPR) và, khi áp dụng, UK GDPR và FADP Thụy Sĩ.

1. Đối tượng và thời hạn

Đối tượng của việc xử lý là cung cấp nền tảng đơn miễn trừ kỹ thuật số WaiverKit cho Bên kiểm soát. Việc xử lý tiếp tục chừng nào Bên kiểm soát còn duy trì tài khoản hoạt động và trong bất kỳ thời gian lưu giữ sau chấm dứt nào được mô tả tại Mục 11.

2. Tính chất và mục đích xử lý

Bên xử lý xử lý dữ liệu cá nhân chỉ để lưu trữ, cung cấp, bảo mật và hỗ trợ dịch vụ WaiverKit: thu thập và lưu đơn miễn trừ đã ký, tạo bản ghi PDF, gửi email giao dịch, xác thực người dùng, xử lý thanh toán và tạo báo cáo phân tích thay mặt Bên kiểm soát.

3. Loại dữ liệu cá nhân và nhóm chủ thể dữ liệu

Dữ liệu cá nhân được xử lý có thể bao gồm:

  • Dữ liệu định danh người ký (họ tên, ngày sinh, địa chỉ, email, số điện thoại)
  • Hình ảnh chữ ký và chữ ký đánh máy
  • Dữ liệu người giám hộ đối với người ký là trẻ vị thành niên
  • Dữ liệu tài khoản người dùng doanh nghiệp (tên, email, mã xác thực, địa chỉ IP)

Các nhóm chủ thể dữ liệu bao gồm: người tham gia ký đơn miễn trừ, người giám hộ của người tham gia là trẻ vị thành niên, và nhân viên hoặc người dùng được ủy quyền của Bên kiểm soát.

4. Nghĩa vụ và quyền của Bên kiểm soát

Bên kiểm soát chịu trách nhiệm về tính hợp pháp của việc thu thập và xử lý dữ liệu cá nhân, xin các chấp thuận cần thiết từ chủ thể dữ liệu, về độ chính xác của hướng dẫn đưa cho Bên xử lý, và đảm bảo rằng các mẫu đơn miễn trừ và quy trình mà họ cấu hình tuân thủ luật hiện hành. Bên kiểm soát giữ mọi quyền đối với dữ liệu cá nhân và có thể đưa ra hướng dẫn được ghi chép cho Bên xử lý bất cứ lúc nào.

5. Bên xử lý phụ

Bên kiểm soát ủy quyền cho Bên xử lý sử dụng các bên xử lý phụ sau đây để cung cấp dịch vụ:

  • Clerk (xác thực, quản lý phiên và danh bạ người dùng).
  • Stripe (xử lý thanh toán và thu phí thuê bao).
  • Resend (gửi email giao dịch).
  • Cloudflare R2 (lưu trữ đối tượng cho hình ảnh chữ ký và tệp PDF).
  • Vercel (lưu trữ ứng dụng, mạng biên và định tuyến yêu cầu).
  • Neon (Postgres) (lưu trữ cơ sở dữ liệu Postgres được quản lý cho dữ liệu có cấu trúc).

Bên xử lý sẽ thông báo cho Bên kiểm soát về mọi việc thêm hoặc thay thế bên xử lý phụ dự kiến với cơ hội hợp lý để phản đối trên cơ sở chính đáng.

6. Biện pháp bảo mật

Bên xử lý áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân, bao gồm:

  • Mã hóa khi truyền (TLS 1.2+) và khi lưu trữ cho cơ sở dữ liệu và lưu trữ đối tượng
  • Kiểm soát truy cập theo vai trò và IAM với quyền tối thiểu trên toàn hạ tầng
  • Cách ly giữa các khách hàng được thực thi ở lớp ứng dụng và truy vấn
  • Ghi nhật ký kiểm toán cho các hành động quản trị và truy cập PII
  • Sao lưu định kỳ, quét phụ thuộc tự động và quy trình ứng phó sự cố

7. Quyền của chủ thể dữ liệu

Xét đến tính chất của việc xử lý, Bên xử lý sẽ hỗ trợ Bên kiểm soát bằng các biện pháp kỹ thuật và tổ chức phù hợp để thực hiện nghĩa vụ đáp ứng yêu cầu của chủ thể dữ liệu khi họ thực hiện quyền truy cập, chỉnh sửa, xóa, hạn chế, mang dữ liệu và phản đối theo Điều 15 đến 22 của GDPR.

8. Thông báo vi phạm dữ liệu

Bên xử lý sẽ thông báo cho Bên kiểm soát không chậm trễ không hợp lý và trong mọi trường hợp trong vòng 72 giờ kể từ khi biết về một vi phạm dữ liệu cá nhân ảnh hưởng đến dữ liệu của Bên kiểm soát. Thông báo sẽ mô tả tính chất của vi phạm, hậu quả có thể xảy ra, các biện pháp đã thực hiện hoặc đề xuất, và đầu mối liên hệ để biết thêm thông tin.

9. Chuyển dữ liệu quốc tế

Khi dữ liệu cá nhân được chuyển ra ngoài Khu vực Kinh tế Châu Âu, Vương quốc Anh hoặc Thụy Sĩ đến một quốc gia không có quyết định về mức bảo vệ tương đương, các lần chuyển đó được điều chỉnh bởi Điều khoản hợp đồng tiêu chuẩn (SCC) của Ủy ban Châu Âu và, khi áp dụng, Phụ lục chuyển dữ liệu quốc tế của Vương quốc Anh và phụ lục Thụy Sĩ, cùng với các biện pháp bổ sung cần thiết theo đánh giá tác động chuyển dữ liệu.

10. Quyền kiểm toán

Bên xử lý sẽ cung cấp cho Bên kiểm soát mọi thông tin hợp lý cần thiết để chứng minh việc tuân thủ DPA này và sẽ cho phép cũng như đóng góp vào các cuộc kiểm toán, bao gồm kiểm tra tại chỗ, do Bên kiểm soát hoặc kiểm toán viên được Bên kiểm soát ủy quyền thực hiện, với nghĩa vụ bảo mật hợp lý và không quá một lần mỗi năm dương lịch trừ trường hợp có sự cố bảo mật được ghi nhận hoặc yêu cầu từ cơ quan quản lý.

11. Chấm dứt, hoàn trả và xóa

Khi thỏa thuận chấm dứt, Bên xử lý sẽ, theo lựa chọn của Bên kiểm soát, xóa hoặc hoàn trả mọi dữ liệu cá nhân được xử lý thay mặt Bên kiểm soát, và xóa các bản sao hiện có, trừ khi pháp luật yêu cầu tiếp tục lưu trữ. Các bản sao lưu chứa dữ liệu cá nhân sẽ được xóa theo chu kỳ lưu giữ sao lưu thông thường.

Cần bản đã ký?

Trang này là DPA tiêu chuẩn của WaiverKit. Để có bản đã đối ký hoặc đối với các tổ chức yêu cầu DPA tùy chỉnh, đội pháp lý của chúng tôi sẵn sàng hỗ trợ.

Yêu cầu bản đã kýLiên hệ