Bắt đầu tạo
Bắt đầu tạo
Pháp lý

Thỏa thuận xử lý dữ liệu của QR Code AI

Thỏa thuận xử lý dữ liệu (DPA) này quy định cách QR Code AI xử lý dữ liệu cá nhân thay mặt khách hàng, tuân thủ GDPR và các quy định bảo vệ dữ liệu hiện hành.

THỎA THUẬN XỬ LÝ DỮ LIỆU (DPA)

Cập nhật lần cuối: ngày 2 tháng 3 năm 2026

Thỏa thuận xử lý dữ liệu này ("DPA") là một phần của Điều khoản dịch vụ ("Thỏa thuận") giữa Supernovae, một công ty đăng ký tại Pháp tại địa chỉ 27 Rue Wurtz, Juvisy-sur-Orge 91260, số VAT FR67948452891 ("Bên xử lý", "chúng tôi"), và tổ chức đồng ý với DPA này ("Bên kiểm soát", "bạn"), gọi chung là "Các Bên".

DPA này áp dụng khi chúng tôi xử lý dữ liệu cá nhân thay mặt bạn liên quan đến các dịch vụ QR Code AI, bao gồm cả qua API.

1. ĐỊNH NGHĨA

  • "Dữ liệu cá nhân" là mọi thông tin liên quan đến một cá nhân đã được xác định hoặc có thể xác định, theo định nghĩa tại Điều 4(1) của GDPR.
  • "Xử lý" là mọi hoạt động hoặc tập hợp hoạt động được thực hiện trên Dữ liệu cá nhân, theo định nghĩa tại Điều 4(2) của GDPR.
  • "Chủ thể dữ liệu" là cá nhân đã được xác định hoặc có thể xác định mà Dữ liệu cá nhân liên quan đến.
  • "Sub-processor" là bất kỳ bên thứ ba nào được Bên xử lý thuê để xử lý Dữ liệu cá nhân thay mặt Bên kiểm soát.
  • "GDPR" là Quy định (EU) 2016/679 của Nghị viện châu Âu và Hội đồng.
  • "UK GDPR" là GDPR được chuyển hóa vào luật Vương quốc Anh theo Đạo luật Bảo vệ Dữ liệu 2018.
  • "SCCs" là Các Điều khoản Hợp đồng Tiêu chuẩn do Ủy ban châu Âu phê duyệt cho việc chuyển Dữ liệu cá nhân sang các quốc gia thứ ba.
  • "Vi phạm dữ liệu" là sự cố vi phạm an ninh dẫn đến việc phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập trái phép Dữ liệu cá nhân, dù vô tình hay bất hợp pháp.

2. PHẠM VI VÀ VAI TRÒ

2.1 Bên kiểm soát và Bên xử lý

Vì mục đích của DPA này:

  • Bạn (Bên kiểm soát): Bạn quyết định mục đích và phương thức xử lý Dữ liệu cá nhân khi sử dụng Dịch vụ, đặc biệt khi bạn dùng API của chúng tôi để tạo mã QR cho khách hàng của bạn hoặc tích hợp Dịch vụ của chúng tôi vào sản phẩm của bạn.
  • Chúng tôi (Bên xử lý): Chúng tôi xử lý Dữ liệu cá nhân thay mặt bạn theo hướng dẫn của bạn, như mô tả trong DPA này và Thỏa thuận.

2.2 Khi nào DPA này áp dụng

DPA này áp dụng khi:

  • Bạn sử dụng API QR Code AI để tạo mã QR có xử lý dữ liệu của người dùng cuối của bạn (ví dụ: URL chứa thông tin cá nhân, dữ liệu vCard, thông tin liên hệ được mã hóa trong mã QR).
  • Bạn sử dụng các tính năng theo dõi và phân tích của QR Code AI thu thập dữ liệu quét từ người dùng cuối của bạn.
  • Bất kỳ tình huống nào khác mà chúng tôi xử lý Dữ liệu cá nhân thay mặt bạn với vai trò là bên xử lý dữ liệu.

Khi bạn sử dụng QR Code AI với tư cách người dùng cá nhân cho mục đích riêng, chúng tôi hoạt động như một bên kiểm soát dữ liệu độc lập và việc xử lý dữ liệu sẽ được điều chỉnh bởi Chính sách quyền riêng tư của chúng tôi.

3. CHI TIẾT XỬ LÝ DỮ LIỆU

3.1 Đối tượng và thời hạn

Chúng tôi xử lý Dữ liệu cá nhân trong suốt thời hạn của Thỏa thuận để cung cấp các dịch vụ QR Code AI, bao gồm tạo mã QR, theo dõi, phân tích và các chức năng liên quan.

3.2 Tính chất và mục đích xử lý

  • Tạo mã QR dựa trên dữ liệu đầu vào do Bên kiểm soát cung cấp
  • Theo dõi lượt quét mã QR và thu thập dữ liệu phân tích
  • Lưu cấu hình mã QR và metadata liên quan
  • Xử lý yêu cầu mã QR nghệ thuật do AI tạo
  • Cung cấp báo cáo và bảng điều khiển phân tích

3.3 Loại Dữ liệu cá nhân

Các loại Dữ liệu cá nhân được xử lý có thể bao gồm:

  • Thông tin liên hệ (tên, địa chỉ email, số điện thoại) được mã hóa trong mã QR
  • URL và địa chỉ web
  • Dữ liệu vị trí từ lượt quét mã QR
  • Thông tin thiết bị và địa chỉ IP từ lượt quét mã QR
  • Prompt văn bản và hình ảnh được cung cấp để tạo mã QR bằng AI
  • Bất kỳ dữ liệu nào khác mà Bên kiểm soát lựa chọn mã hóa trong mã QR

3.4 Nhóm Chủ thể dữ liệu

  • Người dùng cuối quét mã QR do Bên kiểm soát tạo
  • Cá nhân có thông tin liên hệ được mã hóa trong mã QR
  • Người dùng sản phẩm hoặc dịch vụ của Bên kiểm soát tương tác với mã QR

4. NGHĨA VỤ CỦA BÊN XỬ LÝ

4.1 Hướng dẫn xử lý

Chúng tôi chỉ xử lý Dữ liệu cá nhân theo hướng dẫn được ghi nhận của bạn, trừ khi luật EU hoặc luật của quốc gia thành viên mà chúng tôi chịu sự điều chỉnh yêu cầu thực hiện việc đó. Trong trường hợp này, chúng tôi sẽ thông báo cho bạn về yêu cầu pháp lý đó trước khi xử lý, trừ khi pháp luật cấm việc cung cấp thông tin vì các lý do quan trọng liên quan đến lợi ích công.

4.2 Bảo mật

Chúng tôi đảm bảo rằng những người được ủy quyền xử lý Dữ liệu cá nhân đã cam kết bảo mật hoặc chịu một nghĩa vụ bảo mật theo quy định pháp luật phù hợp.

4.3 Biện pháp bảo mật

Chúng tôi triển khai các biện pháp kỹ thuật và tổ chức phù hợp để đảm bảo mức độ bảo mật tương xứng với rủi ro, bao gồm:

  • Mã hóa Dữ liệu cá nhân khi truyền (TLS/HTTPS) và khi lưu trữ
  • Kiểm soát truy cập và xác thực theo vai trò cho hệ thống nội bộ
  • Đánh giá bảo mật định kỳ và quét lỗ hổng
  • Hạ tầng được lưu trữ với các nhà cung cấp được chứng nhận ISO 27001
  • Bảo vệ DDoS và tường lửa ứng dụng web (Cloudflare)
  • Sao lưu định kỳ với lưu trữ được mã hóa
  • Ghi log và giám sát truy cập vào Dữ liệu cá nhân

4.4 Sub-processor

Chúng tôi sử dụng các sub-processor được liệt kê trên trang Sub-processor. Chúng tôi sẽ thông báo cho bạn về mọi thay đổi dự kiến đối với sub-processor bằng cách cập nhật trang đó. Bạn có thể phản đối một sub-processor mới bằng cách liên hệ với chúng tôi tại [email protected] trong vòng 30 ngày kể từ ngày cập nhật. Nếu bạn phản đối và chúng tôi không thể đáp ứng hợp lý phản đối đó, một trong hai bên có thể chấm dứt phần Dịch vụ bị ảnh hưởng.

Chúng tôi ký kết thỏa thuận bằng văn bản với tất cả sub-processor, trong đó áp đặt các nghĩa vụ bảo vệ dữ liệu không kém bảo vệ so với các nghĩa vụ trong DPA này.

4.5 Quyền của Chủ thể dữ liệu

Chúng tôi sẽ hỗ trợ bạn trong việc phản hồi các yêu cầu từ Chủ thể dữ liệu khi họ thực hiện quyền theo luật bảo vệ dữ liệu hiện hành (truy cập, chỉnh sửa, xóa, hạn chế, chuyển dữ liệu, phản đối). Nếu chúng tôi nhận được yêu cầu trực tiếp từ Chủ thể dữ liệu, chúng tôi sẽ nhanh chóng chuyển hướng họ đến bạn, trừ khi có hướng dẫn khác.

4.6 Hỗ trợ tuân thủ

Chúng tôi sẽ hỗ trợ bạn bảo đảm tuân thủ các nghĩa vụ theo Điều 32 đến 36 của GDPR, có tính đến tính chất xử lý và thông tin sẵn có đối với chúng tôi.

5. THÔNG BÁO VI PHẠM DỮ LIỆU

5.1 Thời hạn thông báo

Chúng tôi sẽ thông báo cho bạn về Vi phạm dữ liệu mà không chậm trễ không cần thiết, và trong mọi trường hợp trong vòng 72 giờ kể từ khi nhận biết về vi phạm. Thông báo sẽ được gửi đến địa chỉ email gắn với tài khoản của bạn.

5.2 Nội dung thông báo

Thông báo sẽ bao gồm, trong phạm vi thông tin sẵn có:

  • Mô tả về bản chất của Vi phạm dữ liệu, bao gồm các nhóm và số lượng ước tính Chủ thể dữ liệu và bản ghi bị ảnh hưởng.
  • Tên và thông tin liên hệ của đầu mối phụ trách bảo vệ dữ liệu của chúng tôi.
  • Mô tả các hậu quả có khả năng xảy ra của Vi phạm dữ liệu.
  • Mô tả các biện pháp đã thực hiện hoặc đề xuất để xử lý Vi phạm dữ liệu, bao gồm các biện pháp giảm thiểu tác động bất lợi có thể xảy ra.

5.3 Hợp tác liên tục

Chúng tôi sẽ hợp tác với bạn và cung cấp hỗ trợ hợp lý trong việc điều tra, giảm thiểu và khắc phục mọi Vi phạm dữ liệu, cũng như trong việc thực hiện các thông báo đến cơ quan giám sát hoặc Chủ thể dữ liệu mà bạn có nghĩa vụ phải thực hiện.

6. CHUYỂN DỮ LIỆU QUỐC TẾ

6.1 Vị trí dữ liệu

Dữ liệu cá nhân chủ yếu được lưu trữ và xử lý trong Liên minh châu Âu:

  • Pháp (EU) qua Scaleway
  • Hà Lan (EU) qua DigitalOcean

6.2 Chuyển ra ngoài EU/EEA

Một số sub-processor của chúng tôi đặt ngoài EU/EEA, chủ yếu tại Hoa Kỳ. Đối với các chuyển giao này, chúng tôi dựa trên:

  • EU-US Data Privacy Framework: Khi áp dụng, cho việc chuyển đến các nhà cung cấp tại Hoa Kỳ được chứng nhận theo khuôn khổ này.
  • Standard Contractual Clauses (SCCs): Chúng tôi đưa các SCCs do Ủy ban châu Âu phê duyệt (Commission Implementing Decision (EU) 2021/914) vào thỏa thuận với các sub-processor đặt ngoài EU/EEA trong trường hợp Data Privacy Framework không áp dụng.

6.3 Đánh giá tác động chuyển giao

Chúng tôi thực hiện đánh giá tác động chuyển giao đối với việc chuyển dữ liệu sang quốc gia thứ ba và triển khai các biện pháp bổ sung khi cần để bảo đảm mức độ bảo vệ dữ liệu phù hợp.

7. KIỂM TOÁN VÀ THANH TRA

7.1 Quyền kiểm toán

Bạn có quyền kiểm toán việc chúng tôi tuân thủ DPA này. Chúng tôi sẽ cung cấp cho bạn mọi thông tin cần thiết để chứng minh tuân thủ và cho phép, cũng như đóng góp vào các cuộc kiểm toán, bao gồm thanh tra, do bạn hoặc kiểm toán viên do bạn chỉ định thực hiện.

7.2 Quy trình kiểm toán

Kiểm toán tuân theo các điều kiện sau:

  • Bạn phải thông báo bằng văn bản ít nhất 30 ngày trước khi tiến hành bất kỳ cuộc kiểm toán nào.
  • Kiểm toán không được thực hiện quá một lần mỗi năm, trừ khi cơ quan giám sát yêu cầu hoặc sau một Vi phạm dữ liệu.
  • Kiểm toán phải được thực hiện trong giờ làm việc bình thường và không được gây cản trở bất hợp lý đến hoạt động của chúng tôi.
  • Bạn chịu chi phí cho mọi cuộc kiểm toán, trừ khi kiểm toán phát hiện vi phạm trọng yếu đối với DPA này.
  • Thông tin mật của các khách hàng khác của chúng tôi không được bị lộ trong quá trình kiểm toán.

8. LƯU GIỮ VÀ XÓA DỮ LIỆU

8.1 Trong thời hạn Thỏa thuận

Chúng tôi lưu giữ Dữ liệu cá nhân trong suốt thời hạn Thỏa thuận khi cần thiết để cung cấp Dịch vụ.

8.2 Khi chấm dứt

Khi Thỏa thuận chấm dứt hoặc theo yêu cầu bằng văn bản của bạn:

  • Chúng tôi sẽ xóa Dữ liệu cá nhân khỏi các hệ thống đang hoạt động trong vòng 30 ngày.
  • Dữ liệu cá nhân trong kho lưu trữ sao lưu sẽ được xóa bỏ trong vòng 6 tháng.
  • Chúng tôi có thể lưu giữ Dữ liệu cá nhân trong phạm vi pháp luật hiện hành yêu cầu (ví dụ: nghĩa vụ thuế, kế toán); trong trường hợp đó, chúng tôi sẽ cô lập và bảo vệ dữ liệu đó và giới hạn việc xử lý tiếp theo ở mức cần thiết theo pháp luật.

8.3 Xác nhận

Theo yêu cầu của bạn, chúng tôi sẽ cung cấp xác nhận bằng văn bản rằng Dữ liệu cá nhân đã được xóa theo mục này.

9. TRÁCH NHIỆM

Trách nhiệm của mỗi bên theo DPA này chịu sự giới hạn trách nhiệm được nêu trong Thỏa thuận. Không nội dung nào trong DPA này giới hạn trách nhiệm của bất kỳ bên nào đối với Chủ thể dữ liệu hoặc cơ quan giám sát theo luật bảo vệ dữ liệu hiện hành.

10. LUẬT ĐIỀU CHỈNH

DPA này được điều chỉnh bởi pháp luật Pháp. Đối với Chủ thể dữ liệu tại EU, GDPR được áp dụng. Đối với Chủ thể dữ liệu tại Vương quốc Anh, UK GDPR được áp dụng. Mọi tranh chấp phát sinh từ DPA này sẽ được giải quyết theo các điều khoản giải quyết tranh chấp của Thỏa thuận.

11. CÁCH KÝ KẾT DPA NÀY

DPA này được tích hợp vào và là một phần của Điều khoản dịch vụ. Bằng việc sử dụng các Dịch vụ QR Code AI, bạn đồng ý với DPA này.

Nếu bạn cần một bản DPA này có chữ ký riêng để lưu hồ sơ, vui lòng liên hệ với chúng tôi tại [email protected] và chúng tôi sẽ cung cấp trong vòng 10 ngày làm việc.

12. LIÊN HỆ

Nếu bạn có câu hỏi về DPA này hoặc thực tiễn xử lý dữ liệu của chúng tôi:

Supernovae 27 Rue Wurtz Juvisy-sur-Orge, Ile-de-France 91260 France [email protected]

Bắt đầu tạo mã QR với QR Code AI

QR Code AI giúp bạn tạo mã QR tùy chỉnh với thiết kế do AI hỗ trợ, màu sắc theo thương hiệu và phân tích lượt quét theo thời gian thực. Chọn từ hơn 1.200 mẫu, tải xuống PNG, SVG hoặc PDF, và theo dõi mọi lượt quét trên 109 locale được hỗ trợ.

Tạo mã QR miễn phí của bạn