پرش به محتوای اصلی
OpenAI

Updated: ۱۰ آذر ۱۴۰۴

ضمیمه پردازش داده‌های OpenAI

دانلود PDF(در یک پنجره جدید باز می‌شود)

موثر: ۱ ژانویه ۲۰۲۶

(مشاهده ضمیمه پردازش داده‌های قبلی)

این ضمیمه پردازش داده‌های OpenAI («DPA») مکمل و جزئی از توافق‌نامه خدمات OpenAI («توافق‌نامه») است که استفاده از خدمات را تنظیم می‌کند و از تاریخ مؤثر بین مشتری ذکر‌شده فوق («مشتری») و شرکت OpenAI OpCo, LLC، از طرف خود و به نمایندگی از شرکت‌های وابسته‌اش، در صورت اقتضا، منعقد می‌گردد، مگر اینکه مشتری در یکی از کشورهای منطقه اقتصادی اروپا یا سوئیس مستقر باشد، که در این صورت این توافق با شرکت OpenAI Ireland Ltd.، از طرف خود و به نمایندگی از شرکت‌های وابسته‌اش، در صورت اقتضا، منعقد می‌شود («OpenAI»). اصطلاحات با حروف بزرگ که در DPA تعریف نشده‌اند، معانی ارائه شده در توافق‌نامه را دارند. در این DPA، به OpenAI و مشتری هر یک به‌عنوان یک «طرف» و به‌طور جمعی به‌عنوان «طرفین» اشاره می‌شود. مشتری اظهار می‌دارد که مجاز است به‌طور قانونی این توافق‌نامه را منعقد کند و اگر این توافق‌نامه را از طرف یک نهاد منعقد می‌کند، دارای اختیار قانونی برای متعهد ساختن آن نهاد است. با کلیک بر روی با پذیرش فرم سفارش، یا استفاده از خدمات «موافقم»، مشتری با این توافق‌نامه موافقت می‌نماید.

1. جزئیات.

  • 1.1 چارجوب و نقش‌ها. به‌عنوان بخشی از ارائه خدمات به مشتری طبق توافق‌نامه، ممکن است OpenAI داده‌های مشتری را به نمایندگی از مشتری پردازش کند. OpenAI به عنوان پردازشگر داده به نمایندگی از مشتری عمل می‌کند و این توافق‌نامه پردازش داده‌ها (DPA) این پردازش را تنظیم می‌کند.
  • 1.2 جزئیات پردازش. OpenAI تنها داده‌های مشتری را برای اهداف ارائه خدمات به مشتری مطابق با توافق‌نامه و این DPA پردازش خواهد کرد. جزئیات مربوط به ماهیت، مدت، همچنین انواع داده‌های مشتری و دسته‌بندی اشخاص مرتبط با داده‌ها، در ضمیمه 1 (جزئیات پردازش) این DPA مشخص شده‌اند. OpenAI و مشتری هر یک موافقت می‌کنند که به تعهدات مربوطه خود تحت قوانین حفاظت از داده‌ها در ارتباط با خدمات پایبند باشند.

2. تعهدات OpenAI.

  • 2.1 دستورالعمل‌های مشتری. طرفین توافق می‌کنند که این DPA، توافق‌نامه (شامل فرم سفارش) و هرگونه دستورالعمل ارائه‌شده از طریق ابزارهای پیکربندی و سایر ابزارهای موجود در خدماتی که توسط OpenAI در چارچوب خدمات ارائه می‌شوند، مجموعاً دستورالعمل‌های مستند مشتری در خصوص پردازش داده‌های مشتری («دستورالعمل‌های مشتری») توسط OpenAI را تشکیل می‌دهند. OpenAI داده‌های مشتری را تنها مطابق با دستورالعمل‌های مشتری پردازش خواهد کرد، مگر اینکه قوانین قابل اجرا که OpenAI تابع آن‌ها است، ملزم به انجام این کار باشد، که در این صورت OpenAI این الزام را پیش از پردازش به مشتری اطلاع خواهد داد، مگر اینکه از نظر قانونی ممنوع باشد.
  • 2.2 اطلاع‌رسانی به مشتری. در صورتی که از نظر OpenAI دستورالعمل مشتری ناقض قوانین حفاظت از داده باشد، OpenAI به‌سرعت مشتری را به‌صورت کتبی مطلع خواهد کرد. اگر OpenAI درخواستی الزام‌آور از سوی یک مرجع اجرای قانون برای افشای داده‌های مشتری دریافت کند، تا حدی که قانوناً مجاز باشد، OpenAI مشتری را مطلع خواهد ساخت.
  • 2.3 محرمانگی. OpenAI اطمینان حاصل خواهد کرد که تمامی افرادی که از سوی OpenAI مجاز به پردازش داده‌های مشتری هستند، متعهد به حفظ محرمانگی شده‌اند یا مشمول تعهد قانونی مناسب برای حفظ محرمانگی هستند.
  • 2.4 درخواست‌های اشخاص مرتبط با داده‌ها. اگر OpenAI در ارتباط با داده‌های مشتری، و مطابق با قوانین حفاظت از داده («درخواست‌های اشخاص مرتبط با داده‌ها») درخواستی برای اعمال حقوق اشخاص مرتبط با داده‌ها دریافت کند، OpenAI تا حدی که قانوناً مجاز باشد، مشتری را مطلع خواهد کرد.  OpenAI بدون مجوز کتبی قبلی مشتری به هیچ‌یک از این درخواست‌ها پاسخ نخواهد داد، به‌جز در مواردی که مشتری به OpenAI اجازه می‌دهد درخواست‌های اشخاص مرتبط با داده‌ها را در صورت لزوم به مشتری ارجاع دهد تا مشتری بتواند مستقیماً پاسخ دهد. با در نظر گرفتن ماهیت پردازش، OpenAI با اجرای تدابیر فنی و سازمانی مناسب، تا حد امکان، مشتری را در پاسخ‌گویی به درخواست‌های اشخاص مرتبط با داده‌ها یاری خواهد کرد.
  • 2.5 امنیت. OpenAI تدابیر امنیتی سازمانی و فنی معقول و مناسبی را برای حفاظت از داده‌های مشتری، همان‌طور که در توافق‌نامه تعیین شده است، اجرا و حفظ خواهد کرد.
  • 2.6 کمک به مشتری. OpenAI با در نظر گرفتن ماهیت پردازش و اطلاعاتی که در دسترس دارد، کمک‌های معقولی به مشتری ارائه خواهد داد تا مشتری بتواند به تعهدات خود تحت قوانین حفاظت از داده عمل کند؛ از جمله، در صورت اقتضا، تهیه ارزیابی‌های تأثیر حفاظت از داده‌ها در ارتباط با پردازش داده‌های مشتری توسط OpenAI و، در صورت لزوم، مشاوره مشتری با مرجع نظارتی ذی‌صلاح در خصوص چنین پردازشی، اگر چنین مشاوره‌ای طبق قوانین حفاظت از داده الزامی باشد.
  • 2.7 نقض داده‌های شخصی. OpenAI بدون تأخیر غیرموجه و پس از آگاه شدن از هرگونه نقض داده‌های شخصی، مشتری را مطلع خواهد کرد. OpenAI کمک‌های معقولی به مشتری ارائه خواهد داد تا مشتری بتواند به تعهدات خود تحت قوانین حفاظت از داده در ارتباط با چنین نقض داده‌های شخصی عمل کند.
  • 2.8 ارزیابی تطابق. OpenAI بنا به درخواست کتبی معقول مشتری و در حدی که قوانین حفاظت از داده ایجاب کند: (i) حداکثر یک‌بار در سال، سیاست‌های حفظ حریم خصوصی و امنیتی خود و سایر اطلاعات لازم برای اثبات پایبندی به تعهدات OpenAI تحت این DPA را در اختیار مشتری قرار خواهد داد؛  و (ii) مشروط به وجود توافق‌نامه محرمانگی مناسب بین طرفین، اجازه انجام و در صورت لزوم همکاری در ممیزی یا بازرسی‌هایی را که توسط مشتری یا از طرف او انجام می‌شوند، به هزینه کامل مشتری خواهد داد.  چنین ممیزی یا بازرسی‌ای باید: (A) به گونه‌ای انجام شود که کمترین اختلال را در کسب‌وکار OpenAI ایجاد کند؛ (B) برای تأیید این باشد که OpenAI داده‌های مشتری را مطابق با این DPA پردازش می‌کند؛ و (C) بیش از یک‌بار در سال انجام نشود. در جایی که قوانین حفاظت از داده اجازه دهند، OpenAI می‌تواند به جای آن، خلاصه‌ای از گزارش‌های ممیزی مرتبط با پایبندی OpenAI به این DPA را در اختیار مشتری قرار دهد. چنین نتایج و مستنداتی، از جمله نتایج هرگونه ممیزی یا بازرسی، اطلاعات محرمانه OpenAI تلقی خواهند شد.
  • 2.9 بکارگیری زیرپردازنده‌ها. مشتری بدین‌وسیله مجوز کلی به OpenAI می‌دهد تا از زیرپردازنده‌های ذکر‌شده در فهرست زیرپردازنده‌ها برای پردازش داده‌های مشتری در ارتباط با خدمات استفاده کند. OpenAI هرگونه تغییر در فهرست زیرپردازنده‌ها را از طریق پست وبلاگ، اعلان درون خدمات یا سایر روش‌های معقول اطلاع‌رسانی خواهد کرد، یا در صورتی که مشتری در سایت فهرست زیرپردازنده‌ها برای دریافت اعلان‌های ایمیلی ثبت‌نام کرده باشد، از طریق ایمیل اطلاع خواهد داد. مشتری می‌تواند با پیروی از دستورالعمل‌های مندرج در فهرست زیرپردازنده‌ها یا از طریق تماس با privacy@openai.com ظرف 30 روز از دریافت اعلان تغییر، نسبت به استفاده از چنین زیرپردازنده اضافی اعتراض کند. در چنین مواردی، OpenAI با مشتری همکاری خواهد کرد تا نگرانی‌های او را برطرف کرده و گزینه‌ها یا راه‌حل‌های معقول تجاری ارائه دهد. اگر هیچ‌یک از گزینه‌ها یا راه‌حل‌ها بنا به تشخیص معقول OpenAI از نظر تجاری قابل اجرا نباشند، یا اگر اعتراضات ظرف 30 روز از تاریخ دریافت اعلان اعتراض مشتری توسط OpenAI، به رضایت طرفین حل‌وفصل نشوند، آنگاه هر یک از طرفین می‌توانند توافق‌نامه یا هر فرم سفارش یا استفاده‌ای از خدمات را که بدون استفاده از زیرپردازنده جدید قابل ارائه نیست، فسخ کنند. در چنین حالتی، هرگونه هزینه پرداخت‌شده از سوی مشتری که مربوط به دوره‌ها یا بازه‌هایی پس از تاریخ چنین فسخی باشد، به میزان مربوطه مسترد خواهد شد.
  • 2.10 تعهدات زیرپردازنده. OpenAI با هر زیرپردازنده قراردادهایی منعقد خواهد کرد که تعهداتی مشابه با تعهدات تحمیل‌شده بر OpenAI تحت این DPA را بر آن‌ها تحمیل کند. با رعایت محدودیت‌های مسئولیت مندرج در توافق‌نامه، OpenAI نسبت به اقدامات و قصورهای زیرپردازنده‌های خود به همان اندازه‌ای مسئول خواهد بود که اگر خود OpenAI این اقدامات یا قصورها را انجام داده بود، تحت این DPA مسئول شناخته می‌شد.
  • 2.11 بازگشت یا حذف داده‌ها. پس از انقضاء یا فسخ توافق‌نامه، OpenAI بنا به دستور مشتری، داده‌های مشتری و نسخه‌های موجود را بازمی‌گرداند یا حذف می‌کند، مگر اینکه نگهداری داده‌های مشتری طبق قوانین قابل اجرا الزامی باشد که در این صورت، OpenAI آن داده‌ها را ایزوله کرده و از هرگونه پردازش بیشتر محافظت خواهد کرد، مگر به میزانی که قوانین قابل اجرا ایجاب کند.

3. تعهدات مشتری.

  • 3.1 اعلان‌ها و مجوزها مشتری اعلام می‌دارد، تضمین می‌کند و تعهد می‌نماید که کلیه اطلاع‌رسانی‌های لازم را انجام داده و کلیه حقوق، رضایت‌ها و مجوزهای لازم را، در حدی که طبق قوانین حفاظت از داده مورد نیاز است، برای ارائه داده‌های مشتری به OpenAI و اعطای مجوز به OpenAI برای پردازش داده‌های مشتری در ارتباط با توافق‌نامه، از جمله این DPA، دارا بوده و در طول مدت اعتبار توافق‌نامه حفظ خواهد کرد.
  • 3.2 همکاری. مشتری باید به طور معقول با OpenAI همکاری نماید تا به OpenAI در انجام هر یک از تعهداتش تحت قوانین حفاظت از داده‌های قابل اجرا کمک کند.
  • 3.3 پیکربندی‌ها. بدون لطمه به تعهدات امنیتی OpenAI در بخش 2.5 این DPA، مشتری تأیید و توافق می‌کند که مسئول برخی پیکربندی‌ها و تصمیمات طراحی برای خدمات بوده و اجرای این پیکربندی‌ها و تصمیمات طراحی (برای مثال، دوره‌های نگهداری، حذف و غیره) به نحوی که با قوانین قابل اجرای حفاظت از داده مطابقت داشته باشد، بر عهده اوست.

4. انتقال بین‌المللی داده‌ها.

  • 4.1 داده‌های منطقه اقتصادی اروپا (EEA) و سوئیس. داده‌های مشتری که توسط OpenAI تحت این DPA پردازش می‌شوند ممکن است در دامنه شمول قوانین حفاظت از داده‌های منطقه اقتصادی اروپا یا سوئیس («داده‌های EEA و سوئیس») قرار گیرند. صرف‌نظر از طرف قرارداد OpenAI که تحت این DPA اعمال می‌شود، مشتری بدین‌وسیله به OpenAI Ireland Limited دستور می‌دهد که هرگونه داده‌های EEA و سوئیس را مطابق با این DPA پردازش کند. در حدی که OpenAI Ireland Limited داده‌های EEA و سوئیس را برای ارائه خدمات به سایر شرکت‌های وابسته OpenAI یا اشخاص ثالث خارج از منطقه اقتصادی اروپا یا سوئیس منتقل کند، این کار را بر اساس توافق‌نامه‌هایی انجام خواهد داد که شامل بندهای قراردادی استاندارد (SCCs) هستند و تضمین می‌کنند که تدابیر حفاظتی مناسب برای حفاظت از داده‌های مشتری برقرار است، یا بر اساس تصمیم کافی بودن صادرشده از سوی کمیسیون اروپا طبق ماده 45 مقررات عمومی حفاظت از داده‌ها (GDPR) خواهد بود.
  • 4.2 داده‌های بریتانیا. داده‌های مشتری که توسط OpenAI تحت این DPA پردازش می‌شوند ممکن است در دامنه شمول قوانین حفاظت از داده‌های بریتانیا («داده‌های UK») قرار گیرند. صرف‌نظر از طرف قرارداد OpenAI که تحت این DPA اعمال می‌شود، مشتری بدین‌وسیله به OpenAI OpCo, LLC دستور می‌دهد که هرگونه داده‌های UK را مطابق با این DPA و بندهای قراردادی استاندارد (SCCs) اصلاح‌شده طبق پیوست بریتانیا (UK Addendum) پردازش کند که این بندها به‌صورت مفروض منعقد شده‌اند (و از طریق این ارجاع در این DPA گنجانده شده‌اند) و طبق توصیف مندرج در ضمیمه 1 تکمیل شده‌اند.

5. الزامات بیشتر.

در حدی که قوانین حریم خصوصی ایالات متحده آمریکا قابل اجرا باشند:

  • 5.1 OpenAI موافقت می‌کند که (a) هیچ‌گونه مبلغ پولی یا ارزش مالی دیگری در ازای دریافت داده‌های مشتری از مشتری دریافت نکند. طرفین تصدیق و توافق می‌کنند که مشتری داده‌های خود را به OpenAI «نفروخته است» (طبق تعریفی که در قوانین حریم خصوصی ایالات متحده آمده است)؛(b) داده‌های شخصی را نه «می‌فروشد» (طبق تعاریف مندرج در قوانین حریم خصوصی ایالات متحده) و نه «به اشتراک می‌گذارد» (طبق تعریف قانون حفظ حریم خصوصی مصرف‌کنندگان کالیفرنیا (CCPA))؛(c) در صورتی که مشتری اجازه دهد یا دستور دهد که OpenAI داده‌های مشتری را که مشمول قوانین حریم خصوصی ایالات متحده است، به‌صورت ناشناس در چارچوب خدمات پردازش کند، OpenAI موظف است که (i) اقدامات معقولی را برای جلوگیری از استفاده از این داده‌های ناشناس جهت استنتاج اطلاعات درباره یک شخص حقیقی خاص یا یک خانوار، یا ارتباط دادن آن داده‌ها با ایشان، اتخاذ کند؛(ii) به‌طور عمومی متعهد شود که این داده‌های ناشناس را به همان شکل نگهداری و استفاده کرده و تلاشی برای بازشناسایی آن اطلاعات نکند، مگر در مواردی که قوانین حریم خصوصی ایالات متحده اجازه دهند؛ و(iii) پیش از به‌اشتراک‌گذاری داده‌های ناشناس با هر شخص ثالثی، از جمله زیرپردازنده‌ها، متعهد شود که آن گیرندگان از طریق قرارداد به رعایت الزامات مندرج در بندهای (c)(i)-(iii) ملزم شوند؛ و(d) در مواردی که داده‌های مشتری مشمول CCPA باشد (i) داده‌های مشتری را فقط در حدی نگهداری، استفاده، افشا یا به‌طور دیگر پردازش کند که برای اهداف تجاری مشخص‌شده در توافق‌نامه، از جمله بدون محدودیت موارد مندرج در ضمیمه 1 این DPA، ضروری باشد؛(ii) داده‌های مشتری را به‌هیچ‌وجه خارج از رابطه تجاری مستقیم میان OpenAI و مشتری نگهداری، استفاده، افشا یا به‌طور دیگر پردازش نکند؛(iii) هیچ داده‌ای از مشتری را با داده‌های شخصی دیگری که OpenAI از یا از طرف اشخاص ثالث دیگر دریافت می‌کند یا از تعاملات خود با افراد جمع‌آوری می‌کند، ترکیب نکند، مشروط بر اینکه OpenAI ممکن است داده‌های مشتری را در صورتی که از سوی مشتری دستور داده شده باشد یا طبق مفاد مجاز CCPA، برای اهداف مجاز ترکیب کند؛(iv) چنانچه OpenAI تشخیص دهد که دیگر قادر به رعایت تعهدات خود تحت CCPA نیست، بدون تأخیر غیرموجه مشتری را مطلع کند؛ و(v) اگر مشتری به‌طور معقول معتقد باشد که پردازش داده‌های مشتری توسط OpenAI با الزامات CCPA همخوانی ندارد و این موضوع را به‌طور معقول به OpenAI اطلاع دهد، طرفین با حسن نیت برای رفع مشکل همکاری خواهند کرد؛ و اگر پس از این همکاری، مشتری به‌طور معقول تشخیص دهد که مشکل قابل رفع نیست، OpenAI بنا به دستور کتبی مشتری، پردازش داده‌های مشتریِ تحت تأثیر را متوقف خواهد کرد.
  • 5.2 مشتری موافقت می‌کند که از انجام هر اقدامی که (a) ارائه داده‌های مشتری به OpenAI را به‌عنوان یک «فروش» تحت قوانین حریم خصوصی ایالات متحده یا «اشتراک‌گذاری» تحت قانون CCPA (یا مفاهیم معادل آن در قوانین حریم خصوصی ایالات متحده) تلقی کند، یا (b) موجب شود که OpenAI دیگر یک «ارائه‌دهنده خدمات» تحت CCPA یا «پردازنده» تحت قوانین حریم خصوصی ایالات متحده نباشد، خودداری نماید.

6. تعاریف.

«داده‌های مشتری» به معنای داده‌های شخصی است که توسط OpenAI به نمایندگی از مشتری برای ارائه خدمات پردازش می‌شود.

«کنترل‌کننده داده» دارای معنای اختصاص‌یافته به اصطلاح «کنترل‌کننده» (یا اصطلاحات مشابه آن) طبق قوانین حفاظت از داده است.

«پردازنده داده» دارای معنای اختصاص‌یافته به اصطلاح «پردازنده» (یا اصطلاحات مشابه آن) طبق قوانین حفاظت از داده است.

«قوانین حفاظت از داده» به قوانین حفظ حریم خصوصی و حفاظت از داده‌هایی اطلاق می‌شود که در ارتباط با پردازش داده‌های مشتری توسط OpenAI در چارچوب خدمات قابل اجرا هستند.

«شخص مرتبط با داده» دارای معنای اختصاص‌یافته به اصطلاح «data subject» (یا اصطلاحات مشابه آن) طبق قوانین حفاظت از داده است.

«GDPR» به مقررات (EU) 2016/679 پارلمان اروپا و شورای اتحادیه اروپا مورخ 27 آوریل 2016 اطلاق می‌شود

«داده‌های شخصی» دارای معنای اختصاص‌یافته به اصطلاح «داده‌های شخصی» یا «اطلاعات شخصی» (یا اصطلاحات مشابه دیگر) طبق قوانین حفاظت از داده است.

«نقض داده‌های شخصی» به معنای نقض امنیتی‌ای است که منجر به نابودی، از دست رفتن، تغییر، افشای غیرمجاز یا دسترسی غیرمجاز تصادفی یا غیرقانونی به داده‌های مشتری می‌شود که توسط OpenAI، زیرپردازنده‌های آن یا هر شخص ثالث دیگری که به نمایندگی از OpenAI عمل می‌کند، ذخیره، منتقل یا به هر نحو دیگر پردازش شده‌اند.

«پردازش» دارای معنای اختصاص‌یافته به اصطلاح «پردازش» (یا اصطلاحات مشابه آن) طبق قوانین حفاظت از داده است.

«SCCها» به بندهای قراردادی استاندارد برای انتقال داده‌های شخصی به کشورهای ثالث اشاره دارد که در تاریخ 4 ژوئن 2021 توسط کمیسیون اروپا تصویب شده‌اند (و ممکن است هر چند وقت یکبار اصلاح، به‌روزرسانی یا جایگزین شوند).

«زیرپردازنده‌ها» به زیرپردازنده‌هایی اطلاق می‌شود که توسط OpenAI برای پردازش داده‌های مشتری در ارتباط با خدمات به کار گرفته شده‌اند و در فهرست زیرپردازنده‌ها درج شده‌اند.

فهرست زیرپردازنده‌ها” به فهرستی اشاره دارد که در آدرس زیر در دسترس است https://platform.openai.com/subprocessors(در یک پنجره جدید باز می‌شود).

«ضمیمه بریتانیا» به پیوست بریتانیا برای بندهای قراردادی استاندارد اتحادیه اروپا (EU SCCs) اشاره دارد که توسط کمیسر اطلاعات طبق بخش 119A(1) قانون حفاظت از داده‌های 2018 بریتانیا صادر شده است.

«قوانین حریم خصوصی ایالات متحده» به زیرمجموعه‌ای از قوانین حفاظت از داده اطلاق می‌شود که در مورد ساکنان ایالات متحده آمریکا قابل اجرا هستند، از جمله، بدون محدودیت، قانون حفظ حریم خصوصی مصرف‌کنندگان کالیفرنیا («CCPA»).

ضمیمه 1

جزئیات پردازش

1. ماهیت و هدف:

اجرای خدمات تحت توافق‌نامه.

2. مدت قرارداد:

مدت قرارداد و مدتی که پس از آن برای انجام تعهدات مربوطه طرفین پس از پایان مدت لازم است، از جمله حذف داده‌ها.

3. دسته‌بندی‌های داده‌های مشتری:

مشتری ممکن است داده‌های شخصی را به خدمات ارائه دهد که دسته‌بندی آن‌ها بستگی به نحوه استفاده مشتری از خدمات دارد و این استفاده کاملاً به صلاحدید مشتری تعیین و کنترل می‌شود، اما ممکن است شامل مواردی از قبیل نام‌ها، اطلاعات تماس، اطلاعات جمعیت‌شناختی یا هرگونه اطلاعات دیگری باشد که توسط کاربران نهایی مشتری در قالب داده‌های غیرساختاریافته ارائه می‌شود.

4. دسته‌بندی‌های اشخاص مرتبط با داده:

اشخاص مرتبط با داده‌ها ممکن است شامل، اما نه محدود به، کارکنان مشتری، مشتریان، تأمین‌کنندگان و به‌طور کلی کاربران نهایی باشند.

5. انتقال داده‌های حساس (در صورت لزوم):

انتقال داده‌های حساس (در صورت لزوم) و اعمال محدودیت‌ها یا تدابیر حفاظتی که به طور کامل ماهیت داده‌ها و خطرات مرتبط را در نظر می‌گیرند، مانند محدودیت‌های سختگیرانه در هدف، محدودیت‌های دسترسی (از جمله دسترسی فقط برای کارکنانی که آموزش‌های تخصصی را گذرانده‌اند)، نگهداری سوابق دسترسی به داده‌ها، محدودیت‌های انتقال به جلو یا تدابیر امنیتی اضافی.

هیچ داده حساسی قرار نیست منتقل شود مگر اینکه کاربر به طور غیرمنتظره‌ای آن را در داده‌های غیرساختاریافته وارد کند.

6. تناوب:

فرکانس انتقال (مانند آیا داده‌ها به صورت یک‌باره یا به طور مداوم منتقل می‌شوند).

به‌طور پیوسته و بر اساس استفاده مشتری از خدمات

7. انتقال به زیرپردازنده‌ها:

طبق ماده 2.9 این DPA، زیرپردازنده‌ها داده‌های مشتری را در حدی که برای انجام خدمات ضروری باشد پردازش خواهند کرد. این پردازش برای مدت زمان توافق‌نامه انجام خواهد شد، مگر اینکه خلاف آن به‌صورت کتبی توافق شده باشد.

8. اطلاعات SCCها برای انتقال داده‌های بریتانیا طبق بخش 4.2:

  • 8.1 ماژول دوم (کنترل‌کننده به پردازنده) از SCCها زمانی اعمال می‌شود که مشتری یک کنترل‌کننده داده باشد و OpenAI داده‌های مشتری را به‌عنوان پردازنده داده پردازش کند. ماژول سوم (پردازنده به زیرپردازنده) از SCCها زمانی اعمال می‌شود که مشتری یک پردازنده داده باشد و OpenAI داده‌های مشتری را به‌عنوان یک زیرپردازنده پردازش کند.
  • 8.2 برای هر ماژول از SCCها، در صورت اعمال، موارد زیر قابل اجرا هستند:(i) بند اختیاری اتصال در بند 7 قابل اجرا نیست؛(ii) در بند 9، گزینه 2 (مجوز کتبی کلی) اعمال می‌شود و حداقل مدت زمان اطلاع‌رسانی قبلی برای تغییرات زیرپردازنده‌ها همان است که در بخش 2.9 این DPA تعیین شده است؛(iii) در بند 11، زبان اختیاری اعمال نمی‌شود؛(iv) تمام کروشه‌ها در بند 13 از این پس حذف می‌شوند؛(v) در بند 17 (گزینه 1)، SCCها تحت قوانین انگلستان و ولز حاکم خواهند بود؛(vi) در بند 18(b)، اختلافات در دادگاه‌های انگلستان و ولز حل‌وفصل خواهند شد؛(vii) این ضمیمه 1 شامل اطلاعات مورد نیاز در پیوست I و پیوست III از SCCها است؛(viii) بخش 2.5 (امنیت) این DPA شامل اطلاعات مورد نیاز در پیوست II از SCCها می‌باشد؛(ix) مقام نظارتی ذی‌صلاح، دفتر کمیسر اطلاعات («ICO») است.
  • 8.3 منتقل‌کننده(های) داده: مشتری تحت توافق‌نامه؛ دریافت‌کننده(های) داده: OpenAI OpCo, LLC، به نشانی 1455 3rd Street, San Francisco, CA 94158، مسئول حفاظت از داده‌ها، privacy@openai.com.

اجرای قرارداد پردازش داده‌ها(در یک پنجره جدید باز می‌شود)