Ang Data Processing Addendum ("DPA") na ito ay bumubuo ng bahagi ng Mga Tuntunin at Kundisyon ("Mga Tuntunin") na makukuha sa https://yeshello.app/page/terms sa pagitan ng Thrive Route Digital Limited, isang kumpanyang isinasama sa Hong Kong (Business Registration Number: 73780714) ("YesHello", "Processor", "kami", "namin") at ng gumagamit ("Controller", "ikaw", "iyong") - sama-samang tinatawag na "Mga Partido".
Ang DPA na ito ay nalalapat kung saan ang YesHello ay nagpoproseso ng Personal na Data sa inyong ngalan kaugnay ng pagbibigay ng Serbisyo, lalo na sa pamamagitan ng mga form sa pagkuha ng lead, mga form sa pakikipag-ugnayan, at iba pang mga tampok ng pagkolekta ng data sa inyong mga Card.
1. Mga Kahulugan
Ang mga terminong may malalaking titik ngunit hindi tinukoy sa DPA na ito ay may kahulugang ibinigay sa kanila sa Mga Tuntunin. Bukod pa rito:
"Naaangkop na Batas sa Proteksyon ng Data" ay nangangahulugang lahat ng mga batas at regulasyon na naaangkop sa pagpoproseso ng Personal na Data sa ilalim ng DPA na ito, kabilang ang EU General Data Protection Regulation (Regulasyon (EU) 2016/679) ("GDPR"), ang UK General Data Protection Regulation, ang Hong Kong Personal Data (Privacy) Ordinance (Cap. 486), ang California Consumer Privacy Act tulad ng binago ng California Privacy Rights Act ("CCPA/CPRA"), at anumang iba pang naaangkop na batas sa proteksyon ng data.
"Controller" ay nangangahulugang ikaw, ang Gumagamit ng YesHello na nagtatakda ng mga layunin at paraan ng pagpoproseso ng Personal na Data na kinokolekta sa pamamagitan ng inyong mga Card.
"Data Subject" ay nangangahulugang isang natukoy o matutukoy na natural na tao na ang Personal na Data ay pinoproseso sa ilalim ng DPA na ito, kabilang ang mga Bisita na nagsusumite ng impormasyon sa pamamagitan ng inyong mga Card.
"Personal na Data" ay nangangahulugang anumang impormasyon na may kaugnayan sa isang Data Subject na pinoproseso ng YesHello sa inyong ngalan sa pamamagitan ng Serbisyo.
"Paglabag sa Personal na Data" ay nangangahulugang isang paglabag sa seguridad na humahantong sa aksidenteng o ilegal na pagkasira, pagkawala, pagbabago, hindi awtorisadong pagbubunyag ng, o hindi awtorisadong pag-access sa Personal na Data na ipinadala, nakaimbak, o kung hindi man ay pinoproseso ng YesHello.
"Processor" ay nangangahulugang YesHello, na nagpoproseso ng Personal na Data sa ngalan ng Controller.
"Sub-processor" ay nangangahulugang anumang third party na inuupahan ng YesHello upang iproseso ang Personal na Data sa ngalan ng Controller.
"Standard Contractual Clauses" o "SCC" ay nangangahulugang ang mga standard contractual clause na inaprubahan ng European Commission para sa paglipat ng Personal na Data sa mga bansang nasa labas ng European Economic Area.
2. Saklaw at Mga Papel
2.1 Mga Papel
Ikaw ang Controller at ang YesHello ang Processor kaugnay ng Personal na Data na kinokolekta mula sa mga Bisita sa pamamagitan ng mga form sa pagkuha ng lead, mga form sa pakikipag-ugnayan, at iba pang mga tampok ng pagkolekta ng data ng inyong mga Card. Pinoproseso ng YesHello ang Personal na Data na ito nang eksklusibo sa inyong ngalan at alinsunod sa inyong mga dokumentadong tagubilin.
2.2 Saklaw ng Pagpoproseso
Ang mga kategorya ng Personal na Data, mga Data Subject, at mga aktibidad sa pagpoproseso na saklaw ng DPA na ito ay ang mga sumusunod:
Mga Data Subject: Mga Bisita na nakikipag-ugnayan sa inyong mga Card at nagsusumite ng impormasyon sa pamamagitan ng mga form o iba pang mga tampok ng pagkolekta ng data na inyong na-configure.
Mga Kategorya ng Personal na Data: Ayon sa natukoy ng mga field ng form na inyong na-configure, na maaaring kabilang ang mga pangalan, email address, numero ng telepono, pangalan ng kumpanya, titulo ng trabaho, mga mensahe, at anumang iba pang mga field na pipiliin ninyong kolektahin.
Mga Aktibidad sa Pagpoproseso: Koleksyon, pag-iimbak, pagkuha, pagpapadala (kabilang ang sa pamamagitan ng mga webhook na inyong na-configure), pagpapakita sa dashboard ng inyong Account, at pagtanggal.
Tagal: Sa loob ng panahon na aktibo ang inyong Account, at anim na pung (60) araw kasunod ng pagtatapos ng Account tulad ng inilarawan sa Mga Tuntunin, maliban kung ang mas mahabang panahon ng pagpapanatili ay kinakailangan ng Naaangkop na Batas sa Proteksyon ng Data.
3. Mga Obligasyon ng Controller
Kailangan ninyong:
(a) Tiyakin na ang inyong koleksyon at pagpoproseso ng Personal na Data sa pamamagitan ng Serbisyo ay sumusunod sa Naaangkop na Batas sa Proteksyon ng Data, kabilang ang pagkakaroon ng wastong legal na batayan para sa pagpoproseso;
(b) Magbigay ng angkop na mga abiso sa privacy sa mga Data Subject bago o sa oras ng pagkolekta ng data, na nagbibigay-alam sa kanila ng inyong pagkakakilanlan bilang Controller at ng mga layunin ng pagpoproseso;
(c) Tumugon sa mga kahilingan ng Data Subject (pag-access, pagwawasto, pagtanggal, portability, pagtutol, paghihigpit) sa loob ng mga takdang panahon na kinakailangan ng Naaangkop na Batas sa Proteksyon ng Data;
(d) Tiyakin na ang anumang mga tagubilin na ibibigay ninyo sa YesHello tungkol sa pagpoproseso ng Personal na Data ay sumusunod sa Naaangkop na Batas sa Proteksyon ng Data;
(e) Panatilihin ang inyong sariling mga talaan ng mga aktibidad sa pagpoproseso tulad ng kinakailangan ng Naaangkop na Batas sa Proteksyon ng Data; at
(f) Abisuhan ang YesHello nang mabilis kung magiging aware kayo sa anumang pangyayari na maaaring makaapekto sa kakayahan ng YesHello na matupad ang mga obligasyon nito sa ilalim ng DPA na ito.
4. Mga Obligasyon ng Processor
4.1 Mga Tagubilin sa Pagpoproseso
Magpoproseso lamang ang YesHello ng Personal na Data alinsunod sa inyong mga dokumentadong tagubilin, maliban kung kinakailangan itong gawin ng naaangkop na batas. Ang inyong mga tagubilin ay nakadokumento sa: (a) DPA na ito; (b) Mga Tuntunin; at (c) ang inyong paggamit ng mga tampok at setting ng Serbisyo (kabilang ang mga configuration ng form, configuration ng webhook, at mga kahilingan sa pag-export ng data). Kung ang YesHello ay kinakailangan ng naaangkop na batas na iproseso ang Personal na Data para sa anumang iba pang layunin, ipapaalam ng YesHello sa inyo ang kinakailangang legal bago ang pagpoproseso, maliban kung ipinagbabawal ng batas na gawin ito.
4.2 Pagkumpidensyal
Titiyakin ng YesHello na ang mga taong may awtorisasyon na magproseso ng Personal na Data ay nagako sa pagkumpidensyal o nasa ilalim ng angkop na obligasyon ayon sa batas ng pagkumpidensyal.
4.3 Mga Hakbang sa Seguridad
Magpapatupad at magpapanatili ang YesHello ng angkop na mga teknikal at organisasyonal na hakbang upang protektahan ang Personal na Data laban sa aksidenteng o ilegal na pagkasira, pagkawala, pagbabago, hindi awtorisadong pagbubunyag, o pag-access. Ang mga hakbang na ito ay kinabibilangan ng:
(a) Pag-encrypt sa transit: Lahat ng data na ipinapadala sa pagitan ng mga Gumagamit, Bisita, at mga server ng YesHello ay ine-encrypt gamit ang TLS 1.2 o mas mataas; (b) Pag-encrypt sa pahinga: Ang Personal na Data na nakaimbak sa mga server ng YesHello ay ine-encrypt sa pahinga; (c) Mga kontrol sa pag-access: Ang pag-access sa Personal na Data ay nililimitahan sa mga awtorisadong tauhan batay sa need-to-know, na may authentication at role-based na mga kontrol sa pag-access; (d) Seguridad ng imprastraktura: Lahat ng server ay naka-host sa mga data center na matatagpuan sa Germany na may mga pisikal na kontrol sa seguridad, fire suppression, at redundant na kuryente; (e) Backup at pagbawi: Regular na mga awtomatikong backup na may mga nasubok na pamamaraan ng pagbawi; (f) Seguridad ng network: Proteksyon ng firewall, pagtuklas ng panghihimasok, at pagmamatyag ng imprastraktura ng server; (g) Pamamahala ng kahinaan: Regular na mga update at pag-patch ng software ng server at mga dependency; at (h) Pagtugon sa insidente: Mga nakadokumentong pamamaraan ng pagtugon sa insidente para sa pagtukoy, pagpigil, at pag-aayos ng mga insidente sa seguridad.
Regular na susuriin at ia-update ng YesHello ang mga hakbang na ito upang matiyak ang patuloy na angkop na isinasaalang-alang ang estado ng sining, ang mga gastos sa pagpapatupad, at ang kalikasan, saklaw, konteksto, at mga layunin ng pagpoproseso, pati na rin ang panganib sa mga karapatan at kalayaan ng mga Data Subject.
4.4 Tulong sa Mga Kahilingan ng Data Subject
Ang YesHello, isinasaalang-alang ang kalikasan ng pagpoproseso, ay tutulong sa inyo sa pamamagitan ng angkop na mga teknikal at organisasyonal na hakbang sa pagsasakatuparan ng inyong obligasyon na tumugon sa mga kahilingan ng Data Subject. Kung ang isang Data Subject ay direktang makipag-ugnayan sa YesHello na may kahilingan na may kaugnayan sa inyong data, agad na ire-redirect ng YesHello ang kahilingang iyon sa inyo at hindi direktang tutugon sa Data Subject nang wala ang inyong tagubilin, maliban kung kinakailangan ng batas.
4.5 Tulong sa Pagsunod
Tutulungan kayo ng YesHello sa pagtitiyak ng pagsunod sa inyong mga obligasyon tungkol sa seguridad ng pagpoproseso, abiso ng Paglabag sa Personal na Data, mga pagtatasa ng epekto sa proteksyon ng data, at mga nakaraang konsultasyon sa mga awtoridad na tagapangasiwa, isinasaalang-alang ang kalikasan ng pagpoproseso at ang impormasyong available sa YesHello.
4.6 Pagtanggal at Pagbabalik ng Data
Sa pagtatapos ng Mga Tuntunin o sa inyong nakasulat na kahilingan, ang YesHello, sa inyong pagpili, ay magtatanggal o magbabalik ng lahat ng Personal na Data na pinoproseso sa inyong ngalan, at magtatanggal ng mga kasalukuyang kopya, maliban kung ang naaangkop na batas ay nangangailangan ng pagpapanatili. Kasunod ng pagtatapos ng Account, ang Personal na Data ay tatanggalin sa loob ng animnapung (60) araw tulad ng inilarawan sa Mga Tuntunin. Maaari kayong mag-export ng inyong data anumang oras sa pamamagitan ng functionality ng pag-export ng Serbisyo.
5. Mga Sub-processor
5.1 Awtorisasyon
Nagbibigay kayo ng pangkalahatang nakasulat na awtorisasyon para sa YesHello na makipag-ugnayan sa mga Sub-processor upang iproseso ang Personal na Data sa inyong ngalan, napapailalim sa mga kinakailangan ng Seksyon 5 na ito.
5.2 Listahan ng Sub-processor
Pinapanatili ng YesHello ang isang kumpletong at napapanahong listahan ng lahat ng kasalukuyang Sub-processor, kabilang ang kanilang mga pangalan, lokasyon, at mga aktibidad sa pagpoproseso na kanilang ginagawa, sa sumusunod na dedikadong pahina:
https://yeshello.app/page/subprocessors
Ang listahang ito ay ina-update nang maaga bago ang anumang mga pagbabago at bumubuo ng mapagkakatiwalaang sanggunian para sa impormasyon ng Sub-processor. Sa pamamagitan ng pagtanggap sa DPA na ito, kinikilala at sinasang-ayunan ninyo ang mga Sub-processor na nakalista sa pahinang iyon sa Petsa ng Pagpapatupad.
5.3 Abiso ng Mga Pagbabago
Aabisuhan kayo ng YesHello sa pamamagitan ng email nang hindi bababa sa tatlumpung (30) araw bago makipag-ugnayan sa isang bagong Sub-processor o palitan ang isang kasalukuyang Sub-processor. Ang listahan ng Sub-processor sa https://yeshello.app/page/subprocessors ay ia-update nang sabay sa pagpapalabas ng abiso.
5.4 Karapatang Tumutol
Kung mayroon kayong makatwirang tutol sa isang bagong Sub-processor batay sa mga dahilang may kaugnayan sa proteksyon ng data, maaari kayong abisuhan ang YesHello nang nakasulat sa loob ng labing-apat (14) na araw mula sa pagtanggap ng abiso. Gagawa ang YesHello ng mga makatuwirang pagsisikap sa komersyo upang matugunan ang inyong tutol, na maaaring kabilang ang pag-aalok ng alternatibong configuration na umiiwas sa paggamit ng Sub-processor na tinulan. Kung hindi makatuwirang matutugunan ng YesHello ang inyong tutol, maaaring wakasan ng alinmang partido ang apektadong bahagi ng Serbisyo, at makakatanggap kayo ng pro-rata na refund ng anumang prepaid na bayad para sa natapusang bahagi.
5.5 Mga Obligasyon ng Sub-processor
Magpapataw ang YesHello ng mga obligasyon sa proteksyon ng data sa bawat Sub-processor na hindi materyal na mas kaunti sa proteksyong itinakda sa DPA na ito. Ang YesHello ay nananatiling ganap na mananagot sa inyo para sa pagganap ng mga obligasyon ng bawat Sub-processor.
6. Internasyonal na Paglipat ng Data
6.1 Lokasyon ng Hosting
Ang Personal na Data na pinoproseso sa ilalim ng DPA na ito ay naka-host sa mga server na matatagpuan sa Germany.
6.2 Mga Paglipat sa Labas ng EEA
Kung ang Personal na Data na nagmumula sa European Economic Area, United Kingdom, o Switzerland ay inililipat sa isang Sub-processor na matatagpuan sa labas ng mga rehiyong iyon, tinitiyak ng YesHello na ang mga naturang paglipat ay isinasagawa alinsunod sa Naaangkop na Batas sa Proteksyon ng Data. Ang mga mekanismo ng paglipat na naaangkop sa bawat Sub-processor ay isinasaad sa listahan ng Sub-processor sa https://yeshello.app/page/subprocessors. Gumagamit ang YesHello ng isa o higit pa sa mga sumusunod na mekanismo:
(a) Desisyon ng sapat na proteksyon ng European Commission para sa bansang tatanggap; (b) Standard Contractual Clauses (SCC) na inaprubahan ng European Commission, tulad ng isinama sa mga kasunduan ng YesHello sa mga Sub-processor; (c) Sertipikasyon ng tatanggap sa ilalim ng isang aprubadong balangkas ng paglipat (tulad ng EU-US Data Privacy Framework); o (d) Anumang iba pang legal na mekanismo ng paglipat na kinikilala sa ilalim ng Naaangkop na Batas sa Proteksyon ng Data.
6.3 Karagdagang Pag-iingat
Kung umaasa sa Standard Contractual Clauses, magsasagawa ang YesHello ng pagtatasa ng epekto ng paglipat at magpapatupad ng mga karagdagang hakbang kung kinakailangan upang matiyak na ang antas ng proteksyon para sa Personal na Data ay hindi mapipinsala ng paglipat.
7. Abiso ng Paglabag sa Personal na Data
7.1 Abiso sa Controller
Aabisuhan kayo ng YesHello nang walang hindi kinakailangang pagkaantala, at sa anumang kaso sa loob ng pitumpu't dalawang (72) oras, pagkatapos malaman ang Paglabag sa Personal na Data na nakakaapekto sa Personal na Data na pinoproseso sa inyong ngalan.
7.2 Nilalaman ng Abiso
Ang abiso ay maglalaman, hanggang sa available:
(a) Isang paglalarawan ng kalikasan ng Paglabag sa Personal na Data, kabilang ang mga kategorya at tinatayang bilang ng mga Data Subject at mga rekord na may kinalaman; (b) Ang malamang na mga kahihinatnan ng paglabag; (c) Isang paglalarawan ng mga hakbang na ginawa o iminumungkahing gawin upang matugunan ang paglabag, kabilang ang mga hakbang upang mapababa ang posibleng masamang epekto nito; at (d) Ang pangalan at mga detalye ng pakikipag-ugnayan ng isang punto ng pakikipag-ugnayan kung saan maaaring makuha ang karagdagang impormasyon.
7.3 Patuloy na Impormasyon
Kung hindi posibleng ibigay ang lahat ng impormasyon sa oras ng paunang abiso, magbibigay ang YesHello ng impormasyon sa mga yugto nang walang karagdagang hindi kinakailangang pagkaantala habang ito ay nagiging available.
7.4 Kooperasyon
Makikipagtulungan ang YesHello sa inyo at gagawa ng mga makatuwirang hakbang sa komersyo upang tumulong sa pagsisiyasat, pagpapababa, at pag-aayos ng Paglabag sa Personal na Data. Pananatilihin ng YesHello ang mga katibayan na may kaugnayan sa paglabag para sa mga layunin ng pagsisiyasat.
7.5 Walang Pagtatasa ng Panganib
Ang abiso ng YesHello sa inyo ng isang Paglabag sa Personal na Data ay hindi isang pagkilala sa anumang kasalanan o pananagutan. Nananatili sa inyo ang responsibilidad na tiyakin kung ang paglabag ay nangangailangan ng abiso sa mga awtoridad na tagapangasiwa o mga Data Subject sa ilalim ng Naaangkop na Batas sa Proteksyon ng Data.
8. Audit at Inspeksyon
8.1 Impormasyon at Pagsunod
Gagawin ng YesHello na available sa inyo ang lahat ng impormasyong makatwirang kinakailangan upang ipakita ang pagsunod sa mga obligasyong itinakda sa DPA na ito.
8.2 Mga Karapatan sa Audit
Mayroon kayong karapatang magsagawa ng mga audit, kabilang ang mga inspeksyon, upang mapatunayan ang pagsunod ng YesHello sa DPA na ito, napapailalim sa mga sumusunod na kondisyon:
(a) Magbibigay kayo ng hindi bababa sa tatlumpung (30) araw na paunang nakasulat na abiso ng isang kahilingan sa audit; (b) Ang mga audit ay isasagawa sa loob ng normal na oras ng negosyo at hindi makakaapekto nang hindi makatwiran sa mga operasyon ng negosyo ng YesHello; (c) Mananagot kayo sa mga gastos ng anumang audit, maliban kung ang audit ay nagbubunyag ng materyal na paglabag sa DPA na ito ng YesHello; (d) Ang mga natuklasan ng audit ay itatrato bilang kumpidensyal na impormasyon; at (e) Ang mga audit ay hindi lalampas sa isa (1) bawat labindalawang buwang panahon, maliban kung kinakailangan ng isang awtoridad na tagapangasiwa o na-trigger ng isang Paglabag sa Personal na Data.
8.3 Third-party na Auditor
Maaari kayong humirang ng isang kwalipikado, independyenteng third-party na auditor upang magsagawa ng audit sa inyong ngalan, sa kondisyon na ang auditor ay sumasang-ayon sa mga obligasyon sa pagkumpidensyal na katanggap-tanggap sa YesHello.
8.4 Alternatibong Katiyakan
Bilang alternatibo sa isang on-site na audit, maaaring ibigay ng YesHello sa inyo ang: (a) isang buod ng mga nauugnay na ulat ng third-party na audit o mga sertipikasyon (tulad ng SOC 2 o ISO 27001, kung nakuha); (b) mga nakumpletong standardisadong questionnaire sa seguridad; o (c) iba pang dokumentasyong makatuwirang nagpapakita ng pagsunod sa DPA na ito. Isasaalang-alang ninyo ang naturang alternatibong katiyakan nang may mabuting loob bago gamitin ang inyong mga karapatan sa on-site na audit.
9. Pananagutan
Ang pananagutan ng bawat partido sa ilalim ng DPA na ito ay napapailalim sa mga limitasyon ng pananagutan na itinakda sa Mga Tuntunin. Walang anumang sa DPA na ito ang maglilimitahan ng pananagutan ng alinmang partido para sa mga paglabag sa Naaangkop na Batas sa Proteksyon ng Data sa lawak na ang naturang pananagutan ay hindi maaaring limitahan sa ilalim ng batas na iyon.
10. Tagal at Pagtatapos
10.1 Tagal
Ang DPA na ito ay mananatiling may bisa sa loob ng panahon na ang YesHello ay nagpoproseso ng Personal na Data sa inyong ngalan.
10.2 Kaligtasan
Ang mga Seksyon 4.6 (Pagtanggal at Pagbabalik ng Data), 7 (Abiso ng Paglabag sa Personal na Data), 8 (Audit at Inspeksyon), at 9 (Pananagutan) ay mananatiling may bisa pagkatapos ng pagtatapos ng DPA na ito.
11. Namamahalang Batas
Ang DPA na ito ay pamamahalaan at bibigyang-kahulugan alinsunod sa namamahalang batas ng Mga Tuntunin. Sa lawak na ang Naaangkop na Batas sa Proteksyon ng Data ay nangangailangan ng pagpapatupad ng batas ng isang partikular na hurisdiksyon (halimbawa, ang GDPR ay nangangailangan ng ilang probisyon na pamamahalaan ng batas ng isang EU Member State), ang naturang batas ay nalalapat sa mga nauugnay na probisyon ng DPA na ito.
12. Mga Pagbabago
Maaaring i-update ng YesHello ang DPA na ito paminsan-minsan upang ipakita ang mga pagbabago sa Naaangkop na Batas sa Proteksyon ng Data o sa aming mga hakbang sa seguridad. Ang mga update sa listahan ng Sub-processor ay pinamamahalaan nang hiwalay sa https://yeshello.app/page/subprocessors tulad ng inilarawan sa Seksyon 5. Ang mga materyal na pagbabago sa DPA na ito ay aabisuhan alinsunod sa Seksyon 20 ng Mga Tuntunin. Ang kasalukuyang bersyon ng DPA na ito ay laging makukuha sa https://yeshello.app/page/dpa.
13. Pakikipag-ugnayan
Para sa mga katanungan tungkol sa DPA na ito o mga bagay na may kaugnayan sa pagpoproseso ng data:
Thrive Route Digital Limited 21/F CMA Building, 64 Connaught Road Central, Hong Kong Email: [email protected]