Danh sách Bên xử lý phụ
Nesta página
1. Mục đích
Tài liệu này liệt kê tất cả các nhà cung cấp dịch vụ bên thứ ba ("bên xử lý phụ") mà Swopli LTDA (CNPJ 61.902.473/0001-79) thuê để xử lý dữ liệu cá nhân thay mặt cho người dùng Swopli.
Danh sách này được duy trì nhằm đảm bảo tính minh bạch và tuân thủ các nghĩa vụ bảo vệ dữ liệu theo:
- Luật Bảo vệ Dữ liệu Cá nhân (LGPD) của Brazil, Luật số 13.709/2018
- Quy định Bảo vệ Dữ liệu Chung (GDPR) của EU, Quy định 2016/679
- Các luật bảo vệ dữ liệu hiện hành khác tại các quốc gia nơi Swopli làm cho các tính năng liên quan khả dụng theo Phạm vi tính năng
Để biết chi tiết đầy đủ về cách Swopli xử lý dữ liệu cá nhân, hãy xem Chính sách Quyền riêng tư của chúng tôi.
2. Thông báo Cập nhật
Swopli sẽ cung cấp thông báo trước 30 ngày về bất kỳ thay đổi nào đối với danh sách bên xử lý phụ này, bao gồm:
- Bổ sung một bên xử lý phụ mới
- Loại bỏ một bên xử lý phụ hiện có
- Các thay đổi quan trọng đối với vai trò hoặc hoạt động xử lý dữ liệu của bên xử lý phụ
Thông báo sẽ được gửi qua email đến địa chỉ liên kết với tài khoản Swopli của bạn. Bạn cũng có thể đăng ký nhận cập nhật bằng cách truy cập swopli.com/vi/phap-ly/nha-xu-ly-phu.
Nếu bạn phản đối việc bổ sung một bên xử lý phụ mới, bạn có thể chấm dứt tài khoản của mình trong thời hạn thông báo 30 ngày. Để biết chi tiết về việc chấm dứt tài khoản, hãy xem Điều khoản Dịch vụ của chúng tôi.
3. Các Bên xử lý phụ Hiện tại
Bảng dưới đây liệt kê tất cả các bên xử lý phụ hiện đang được Swopli thuê, mục đích họ xử lý dữ liệu, các loại dữ liệu được xử lý, vị trí của họ và các liên kết đến thỏa thuận xử lý dữ liệu (DPA) hoặc chính sách quyền riêng tư của họ.
| Bên xử lý phụ | Mục đích | Dữ liệu được Xử lý | Vị trí | Liên kết DPA |
|---|---|---|---|---|
| Supabase, Inc. | Cơ sở dữ liệu, xác thực, lưu trữ | Dữ liệu tài khoản, tin đăng sản phẩm, tin nhắn, hồ sơ trao đổi, hình ảnh | Hoa Kỳ (AWS us-east-1) với dữ liệu được lưu trữ tại Brazil (AWS sa-east-1) | supabase.com/legal/dpa |
| Stripe, Inc. | Xử lý thanh toán, chi trả | Phương thức thanh toán, dữ liệu giao dịch, địa chỉ thanh toán, thông tin tài khoản ngân hàng (người bán), địa chỉ giao hàng | Hoa Kỳ (với thực thể tại Brazil là Stripe Payments Brasil Serviços Financeiros Ltda.) | stripe.com/legal/dpa |
| RevenueCat, Inc. | Điều phối đăng ký đa nền tảng (iOS/Android/Web qua đồng bộ Paddle), Customer Center, quản lý quyền VIP | Biên lai mua hàng, trạng thái đăng ký, ID người dùng, thông tin thiết bị | Hoa Kỳ | revenuecat.com/dpa |
| Paddle.com Market Limited | merchant of record cho thanh toán web (VIP/Boost), thu thuế toàn cầu, tự động chuyển đổi tiền tệ | Phương thức thanh toán, dữ liệu giao dịch, địa chỉ thanh toán, email, địa chỉ IP | Vương quốc Anh, Hoa Kỳ | paddle.com/legal/dpa |
| Apple Inc. | Mua hàng trong ứng dụng (iOS) | Biên lai mua hàng, Apple ID (đã băm), thông tin thiết bị | Hoa Kỳ | apple.com/legal/privacy (Apple đóng vai trò là merchant of record) |
| Google LLC | Mua hàng trong ứng dụng (Android) | Biên lai mua hàng, thông tin tài khoản Google, thông tin thiết bị | Hoa Kỳ | policies.google.com/privacy (Google đóng vai trò là merchant of record) |
| Resend, Inc. | Gửi email giao dịch | Địa chỉ email, tên, nội dung email (xác nhận tài khoản, thông báo trao đổi, phản hồi hỗ trợ) | Hoa Kỳ (AWS us-east-1) | resend.com/legal/dpa |
| Cloudflare, Inc. | CDN, bảo vệ DDoS, điện toán biên | Địa chỉ IP, tác nhân người dùng, siêu dữ liệu yêu cầu (nhật ký trong 24 giờ) | Hoa Kỳ (với mạng lưới biên toàn cầu) | cloudflare.com/cloudflare-customer-dpa |
| Sentry (Functional Software, Inc.) | Giám sát lỗi, báo cáo sự cố | Nhật ký lỗi, dấu vết ngăn xếp (stack traces), thông tin thiết bị, ID người dùng, địa chỉ IP | Hoa Kỳ | sentry.io/legal/dpa |
| PostHog, Inc. | Phân tích sản phẩm (tham gia tùy chọn cho EU/EEA/UK/CH) | Dữ liệu sự kiện, ID người dùng, thông tin thiết bị, sử dụng tính năng, hành vi ẩn danh | Liên minh Châu Âu (PostHog Cloud EU) | posthog.com/docs/privacy/dpa |
| Nominatim (OpenStreetMap) | Chuyển đổi địa lý ngược để hiển thị vị trí | Tọa độ, các truy vấn tìm kiếm vị trí | Liên minh Châu Âu (tự lưu trữ) | osmfoundation.org/wiki/Privacy_Policy |
| OpenAI OpCo, LLC / OpenAI Ireland Ltd. | Moderation API để đánh giá trust & safety tự động trước khi xuất bản | Tin đăng sản phẩm, tin nhắn, văn bản/hình ảnh hồ sơ, metadata kiểm duyệt | Hoa Kỳ / Ireland (khi áp dụng) | openai.com/policies/data-processing-addendum |
| Melhor Envio | Tạo nhãn vận chuyển, theo dõi, hậu cần ngược (chỉ tại Brazil) | Mã theo dõi, địa chỉ người gửi/người nhận, kích thước kiện hàng, trạng thái lô hàng | Brazil | melhorenvio.com.br/termos-de-uso |
4. Cơ chế Chuyển giao
4.1 Chuyển giao Dữ liệu Quốc tế
Một số bên xử lý phụ đặt tại các quốc gia bên ngoài Khu vực Kinh tế Châu Âu (EEA), Brazil hoặc quốc gia nơi bạn cư trú. Swopli đảm bảo rằng tất cả các hoạt động chuyển giao dữ liệu quốc tế đều được bảo vệ bằng các biện pháp bảo vệ phù hợp, bao gồm:
- Các Điều khoản Hợp đồng Tiêu chuẩn (SCCs) của EU: Đối với việc chuyển giao từ EU/EEA sang các nước không có quyết định về tính tương đương (ví dụ: Hoa Kỳ, Brazil), Swopli và bên xử lý phụ thực hiện các Điều khoản Hợp đồng Tiêu chuẩn của Ủy ban EU (Module 2 và 3 tùy trường hợp áp dụng).
- Đánh giá Tác động Chuyển giao (TIA): Swopli đã thực hiện Đánh giá Tác động Chuyển giao cho tất cả các hoạt động chuyển giao có rủi ro cao để đảm bảo rằng các SCCs cung cấp sự bảo vệ hiệu quả trong thực tế.
- SCCs của Brazil (LGPD): Đối với các chuyển giao liên quan đến dữ liệu người dùng Brazil, Swopli sử dụng các Điều khoản Hợp đồng Tiêu chuẩn tuân thủ LGPD hoặc dựa trên sự đồng ý rõ ràng của người dùng khi được yêu cầu bởi Điều 33 của LGPD.
- Phụ lục Xử lý Dữ liệu (DPA): Tất cả các bên xử lý phụ đã thực hiện các DPA kết hợp các SCCs áp dụng và yêu cầu bên xử lý phụ triển khai các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân.
4.2 Các Bên xử lý phụ của Bên xử lý phụ
Một số bên xử lý phụ được liệt kê ở trên có thể thuê các bên xử lý phụ của riêng họ (ví dụ: các nhà cung cấp cơ sở hạ tầng đám mây). Khi điều này xảy ra:
- Bên xử lý phụ chính vẫn chịu hoàn toàn trách nhiệm trước Swopli về việc tuân thủ của bên xử lý phụ của họ.
- Mối quan hệ với bên xử lý phụ của bên xử lý phụ được điều chỉnh bởi DPA và chính sách quyền riêng tư của bên xử lý phụ chính (đã được liên kết trong bảng trên).
- Swopli kiểm toán các bên xử lý phụ chính để đảm bảo họ chuyển tiếp các nghĩa vụ bảo vệ dữ liệu tương đương cho các bên xử lý phụ của họ.
4.3 Nơi lưu trữ Dữ liệu
- Brazil: Dữ liệu người dùng cho cư dân Brazil được lưu trữ tại AWS sa-east-1 (São Paulo) thông qua Supabase, tuân thủ các thực hành tốt nhất về lưu trữ dữ liệu tại địa phương của LGPD.
- EU/EEA: Dữ liệu PostHog được lưu trữ tại EU thông qua PostHog Cloud EU. Các bên xử lý phụ khác có thể lưu trữ dữ liệu tại Hoa Kỳ hoặc trên toàn cầu, tùy thuộc vào SCCs.
- Các khu vực khác trên thế giới: Vị trí lưu trữ dữ liệu thay đổi tùy theo bên xử lý phụ. Xem cột "Vị trí" ở trên.
5. Quyền của Bạn
Theo các luật bảo vệ dữ liệu hiện hành, bạn có quyền:
- Truy cập dữ liệu cá nhân mà chúng tôi đang nắm giữ về bạn
- Sửa đổi các dữ liệu không chính xác hoặc không đầy đủ
- Xóa bỏ dữ liệu của bạn (tuân theo các nghĩa vụ lưu giữ theo luật định)
- Phản đối việc xử lý dựa trên lợi ích hợp pháp
- Hạn chế xử lý trong một số trường hợp nhất định
- Tính di động của dữ liệu (nhận dữ liệu của bạn ở định dạng có cấu trúc, có thể đọc được bằng máy)
Để thực hiện các quyền này, vui lòng truy cập swopli.com/vi/quyen-rieng-tu/du-lieu-cua-toi hoặc email dpo@swopli.com.
Để biết chi tiết đầy đủ về các quyền của bạn và cách Swopli xử lý dữ liệu cá nhân, hãy xem Chính sách Quyền riêng tư của chúng tôi.
6. Câu hỏi
Nếu bạn có câu hỏi về danh sách bên xử lý phụ này, việc chuyển giao dữ liệu hoặc các thực hành bảo vệ dữ liệu của chúng tôi:
- Cán bộ Bảo vệ Dữ liệu (DPO): dpo@swopli.com
- Yêu cầu hỗ trợ chung: help@swopli.com
- Yêu cầu pháp lý: legal@swopli.com
Đối với người dùng EU/EEA, bạn cũng có thể liên hệ với đại diện GDPR của chúng tôi (Điều 27):
- Đại diện tại EU: Đang trong quá trình bổ nhiệm — trong thời gian chờ đợi, vui lòng liên hệ dpo@swopli.com