数据处理协议

1。定义

此处未另行定义的术语应具有欧盟 GDPR 或协议中赋予的含义。以下术语应具有以下相应的含义：

• 1.1。数据传输是指控制者为订单管理目的向组织提供客户个人数据，并将此类数据存储在安全托管基础设施（例如 AWS）上。本组织不会将客户个人数据转移给无关的第三方。
• 1.2。“欧盟 GDPR” 是指欧洲议会和理事会2016年4月27日关于在个人数据处理方面保护自然人和此类数据自由流动以及废除第95/46/EC号指令（一般数据保护条例）的第2016/679号条例（欧盟）。
• 1.3。“标准合同条款” 是指根据欧盟委员会2021年6月4日关于向第三国设立的处理者传输个人数据的标准合同条款的2021/914号实施决定（EU），作为附表1附于此处的合同条款，这些条款无法确保足够的数据保护水平。
• 1.4。“控制者” 是指单独或与其他人共同决定个人数据处理目的和方式的自然人或法人、公共机构、机构或其他机构；如果此类处理的目的和方式由欧盟或成员国法律确定，则欧盟或成员国法律可能规定控制人或其提名的具体标准。
• 1.5。“处理者” 是指代表控制者处理个人数据的自然人或法人、公共机构、机构或其他机构。
• 1.6。“分处理者” 是指处理者指定的处理器/分包商，负责提供全部或部分服务，并按照控制者提供的个人数据进行处理。

2。本协议的目的

本 DPA 规定了处理者在个人数据处理方面的各种义务，并仅限于处理者在协议下的义务。如果《协议》的条款与本 DPA 的规定存在冲突，则以本 DPA 的规定为准。

3.个人数据和数据主体的类别

控制者授权处理者处理个人数据的权限，其范围由控制者确定和监管。本DPA附表1的附件一中规定了个人数据的当前性质。

4。处理的目的

根据协议，处理者处理个人数据的目的仅限于处理者向控制者和/或其客户提供服务。

5。处理时长

除非控制者另有书面协议，否则处理者将在协议期限内处理个人数据。

6。数据控制者的义务

• 6.1。数据控制者应保证其拥有向数据处理者提供个人数据的所有必要权利，以便进行与约定服务相关的处理。在数据隐私法要求的范围内，数据控制者负责确保在适当的法律基础上向数据处理者提供此类个人数据，允许合法处理活动，包括获得任何必要的数据主体对本处理的同意，并负责确保保留此类同意的记录。如果数据主体撤销此类同意，则数据控制者有责任将撤销的事实告知数据处理者。
• 6.2。数据控制者应向其收集个人数据的所有自然人提供相关的隐私声明。
• 6.3。数据控制者应在数据控制者或其收集个人数据的任何数据主体的要求下要求数据处理者清除个人数据，除非适用法律另行要求数据处理者保留个人数据。
• 6.4。如果数据控制者收到或得知任何以下信息，则应立即以书面形式通知数据处理者：
• 6.4.1。表明违反有关个人数据的数据隐私法的投诉或指控；
• 6.4.3。一人或多人就收集、处理、使用或传输个人数据提出的询问或投诉；
• 6.4.4。任何寻求个人数据的监管请求、搜查令或其他法律、监管、行政或政府程序

7。数据处理者的义务

• 7.1。处理者将遵循从控制者、其关联公司、代理人或人员收到的有关个人数据处理的书面和记录指示，包括电子邮件（每项指令，均为 “指令”）。
• 7.2。协议和相关文件中描述的处理应被视为主计长的指示。
• 7.3。 应数据控制者的要求，数据处理者将向数据控制者提供合理的协助，以回应/遵守数据主体在行使其权利时提出的要求/指示，或相关监管机构对数据处理者的个人数据处理的要求/指示。
• 7.4。关于个人数据，数据处理者应根据数据保护法获得同意（必要时）和/或向数据主体发出通知，以使共享的个人数据能够按照本协议的规定提供给另一方和由其使用。
• 7.5。当共享的个人数据传输到数据处理者的领土边界之外时，转让人应确保此类数据的接收者有合同义务保护此类个人数据，使其达到与本附录和《数据保护法》规定的相同或更高的标准。
• 7.6。如果处理器认为处理指令违反了适用的法律或法规，则应通知控制器。
• 7.7。作为数据处理者，考虑到处理的性质和数据处理者可用的信息，数据处理者应协助数据控制者按照 GDPR 的要求进行任何必要的数据保护影响评估 (DPIA)。

8。数据保密

• 8.1。 为了处理个人数据，处理者将使用以下人员
• 8.1.1。得知个人数据的机密性质，
• 8.1.2。根据协议提供服务。
• 8.3。处理者将采取适当的技术和组织措施，按照双方书面商定的标准，按照规格保护个人数据的安全性、机密性和完整性。
• 8.3。处理者将采取适当的技术和组织措施，按照双方书面商定的标准，按照规格保护个人数据的安全性、机密性和完整性。

9。审计权

• 9.1。 根据控制者的合理要求，处理者将向控制者提供合理必要的信息，以证明处理者在处理个人数据时遵守了欧盟 GDPR 或其他适用法律规定的义务。
• 9.2。当控制者希望在处理器现场进行审计（自行或通过代表）时，应提前 45 天向处理者发出书面通知；处理者将就控制者或其代表进行的审计（包括检查）提供合理的合作与协助。
• 9.3。财务主任应承担此类审计的费用。

10。数据传输机制

处理器处理的所有个人数据都存储在 AWS 提供的安全托管基础设施上。此外，使用Zoho CRM管理客户查询。除非 AWS 或 Zoho CRM 根据本 DPA 的条款进行存储或处理所必需的个人数据，否则不得将任何个人数据传输到欧洲经济区（“EEA”）以外的任何国家。任何此类处理都应遵守适用的数据保护法，包括对欧洲经济区以外的传输使用适当的保障措施

11。子处理器

• 11.1。 控制者承认并同意，处理者可以聘请第三方分处理者来履行服务，前提是此类分处理者采取技术和组织措施来确保与其共享的个人数据的机密性；处理者聘用并获得控制者批准的当前分处理者列于本附表1的附件三。处理器应至少提前三十 (30) 个日历日向客户发送意向变更通知，将附件 III 中列出的子处理器的任何预期变更或增加通知控制者。根据GDPR第28（4）条，如果处理者未能代表分处理者履行DPA规定的与服务履行相关的数据保护义务，处理者仍应向控制者承担责任。
• 11.2。如果控制者担心分处理者对个人数据的处理合理可能导致控制者违反 GDPR 规定的数据保护义务，则控制者可以反对处理者使用此类子处理器，处理者和控制者应真诚地协商解决此类问题。

12。个人数据泄露通知

• 12.1。处理者应在发生个人数据泄露时维持规定的程序（定义见GDPR），并且在得知任何个人数据泄露时应毫不拖延地通知控制者，除非此类数据泄露不太可能对自然人的权利和自由造成风险。
• 12.2。处理者应向控制者提供所有合理的协助，以遵守向监管机构和/或数据主体发出的个人数据泄露通知，确定此类数据泄露的原因，并采取合理的商业上合理的措施来缓解和补救此类数据泄露。
• 12.3。 处理器不确认故障。处理者根据本 DPA 对个人数据泄露的通知或回应不应被解释为处理者对与数据事件有关的任何过失或责任的承认。

13。个人数据的返回和删除

• 13.1。 处理者应在本协议终止或协议项下的处理者服务停止后至少 45 天（以较早者为准）将所有个人数据返还给控制者，或者根据控制者的指示，处理者应删除个人数据。在收到控制者的通知后，处理者应在合理可行的情况下尽快以常用格式或当前存储格式返回此类个人数据。
• 13.2。 无论如何，处理者应在本协议结束后尽快删除个人数据，包括其所有副本。

14。技术和组织措施

考虑到技术发展状况和实施任何措施的成本，处理者将采取适当的技术和组织措施，防止未经授权或非法处理个人数据以及个人数据的意外丢失或破坏或损坏，以确保适当的安全级别，以适合：(a) 未经授权或非法处理或意外丢失、破坏或损坏可能造成的损害；以及 (b) 应保护数据的性质 [包括措施] 见附件二附表 1]