数据处理协议

学期价值
协议本数据保护协议补充了 服务条款
批准的子处理商云耀斑 (美国;DNS、网络和安全提供商), 沃尔特 (美国;托管服务提供商), 数字海洋 (美国;托管服务提供商), 条纹 (美国;支付处理器), 贝宝 (美国;支付处理器)
提供商安全联系人security@forwardemail.net
安全政策看法 我们在 GitHub 上的安全政策
治理国家美国特拉华州

本文档衍生自 通用纸质 DPA 标准术语(1.0 版) 并作出了以下变更:

  1. 适用法律和选定法院 已包含以下部分 Governing State 如上所述。
  2. 服务提供商关系 已作为下面的一节包含在内。

1. 提供商作为处理者

在以下情况下 顾客 是客户个人数据的控制者, 提供者 将被视为代表处理个人数据的处理者 顾客.

2. 提供商作为子处理者

在以下情况下 顾客 是客户个人数据的处理者, 提供者 将被视为客户个人数据的子处理器。

1. 处理细节

封面上的附件 I(B) 描述了本处理的主题、性质、目的和持续时间,以及 个人资料类别 收集并 数据主体类别.

2. 处理说明

顾客 指示 提供者 处理客户个人数据:(a)提供和维护服务;(b)可通过以下方式进一步规定 顾客 使用服务;(c)如 协议;以及 (d) 按照 顾客 并承认 提供者 关于根据本 DPA 处理客户个人数据。 提供者 将遵守这些指示,除非适用法律禁止。 提供者 将立即通知 顾客 如果无法遵循处理指令。 顾客 已经给出且仅将给出符合适用法律的指示。

3. 提供商处理

提供者 将仅根据本 DPA 处理客户个人数据,包括封面页中的详细信息。如果 提供者 更新服务以更新现有产品、特性或功能或包含新产品、特性或功能, 提供者 可能会改变 数据主体类别, 个人资料类别, 特殊类别数据, 特殊类别数据限制或保障措施, 转学频率, 处理的性质和目的, 和 处理时长 根据需要通过通知反映更新 顾客 更新和变化。

4. 客户处理

在哪里 顾客 是处理器,并且 提供者 是子处理器, 顾客 将遵守所有适用法律 顾客 处理客户个人数据。 顾客 与其控制者达成的协议同样要求 顾客 遵守所有适用法律 顾客 作为处理器。此外, 顾客 将遵守子处理商的要求 顾客 与其控制者达成的协议。

顾客 已经遵守并将继续遵守有关向客户提供客户个人数据的所有适用数据保护法律 提供者 和/或服务,包括做出所有披露、获得所有同意、提供充分的选择以及实施适用数据保护法要求的相关保障措施。

6. 子处理器

A。 提供者 不会向子处理商提供、转让或移交任何客户个人数据,除非 顾客 已批准分包商。 批准的子处理商 包括子处理器的身份、其所在国家/地区以及其预期的处理任务。 提供者 将告知 顾客 至少提前 10 个工作日以书面形式告知对 批准的子处理商 无论是通过添加还是更换子处理器,这允许 顾客 有足够的时间在 提供者 开始使用新的子处理器。 提供者 会给 顾客 允许所需的信息 顾客 行使反对变更的权利 批准的子处理商. 顾客 收到变更通知后 30 天内 批准的子处理商 反对,否则 顾客 将被视为接受变更。如果 顾客 在收到通知后 30 天内反对变更, 顾客提供者 将真诚合作解决 顾客 反对或关注。

b. 在聘用分包商时, 提供者 将与分包商签订书面协议,确保分包商仅在 (i) 履行分包义务所需的范围内访问和使用客户个人数据,并且 (ii) 符合 协议.

c. 如果《GDPR》适用于客户个人数据的处理,则 (i) 本 DPA 中所述的数据保护义务(如适用,请参阅《GDPR》第 28(3) 条)也适用于分包商,以及 (ii) 提供商 与子处理商达成的协议将纳入这些义务,包括有关如何 提供者 及其子处理者将协调回应有关处理客户个人数据的问询或请求。此外, 提供者 将分享于 顾客 要求提供与子处理商签订的协议(包括任何修订)的副本。在保护商业机密或其他机密信息(包括个人数据)所需的范围内, 提供者 可以在共享副本之前编辑其与其子处理器之间的协议文本。

d. 提供者 对分包给其子处理商的所有义务负全部责任,包括其子处理商在处理客户个人数据时的行为和疏忽。 提供者 若其子处理商未能履行与客户之间协议项下关于客户个人数据的重大义务,将通知客户 提供者 以及子处理器。

1.授权

顾客 同意 提供者 可能会根据需要将客户个人信息转移到欧洲经济区、英国或其他相关地理区域以外,以提供服务。如果 提供者 将客户个人信息转移到欧盟委员会或其他相关监管机构尚未发布充分性决定的地区, 提供者 将根据适用的数据保护法对客户个人数据转移到该地区实施适当的保障措施。

2. 欧洲经济区外转移

顾客提供者 同意,如果 GDPR 保护客户个人数据的转移,则转移来自 顾客 从欧洲经济区内部到 提供者 在欧洲经济区以外,且转移不受欧洲委员会作出的充分性决定的管辖,则通过签订本 DPA, 顾客提供者 被视为已签署 EEA SCC 及其附件,这些附件通过引用纳入。任何此类转让均根据 EEA SCC 进行,其填写方式如下:

a. EEA SCC 的模块二(控制者到处理者)适用于以下情况: 顾客 是控制者, 提供者 正在处理客户个人数据 顾客 作为处理器。

b. EEA SCC 的第三模块(处理者到子处理者)适用于以下情况: 顾客 是处理器,并且 提供者 代表处理客户个人数据 顾客 作为子处理器。

c. 对于每个模块,以下内容适用(如适用):

  1. 第7条中的可选对接条款不适用;

  2. 在第9条中,选项2(一般书面授权)适用,且子处理商变更的提前通知最短时间段为10个工作日;

  3. 在第11条中,可选语言不适用;

  4. 删除第13条中的所有方括号;

  5. 在第 17 条(选项 1)中,EEA SCC 将受以下法律管辖: 理事会员国;

  6. 在第 18(b) 条中,争议将由 理事会员国; 和

  7. 本 DPA 的封面包含 EEA SCC 附件 I、附件 II 和附件 III 中要求的信息。

3. 英国境外的转账

顾客提供者 同意,如果英国 GDPR 保护客户个人数据的转移,则转移来自 顾客 从英国境内到 提供者 在英国境外,且转移不受英国国务大臣作出的充分性决定的管辖,则通过签订本 DPA, 顾客提供者 被视为已签署英国附录及其附件,这些附件通过引用纳入本文件。任何此类转让均根据英国附录进行,该附录填写如下:

a. 本 DPA 第 3.2 节包含英国附录表 2 中要求的信息。

b. 英国附录表 4 修改如下:任何一方均不得根据英国附录第 19 条规定终止英国附录;如果 ICO 根据英国附录第 18 条发布修订后的批准附录,则双方应本着诚信的原则对本 DPA 进行相应修改。

c. 封面包含英国附录附件 1A、附件 1B、附件 II 和附件 III 所要求的信息。

4. 其他国际转移

对于个人数据传输,如果瑞士法律(而非任何欧洲经济区成员国或英国的法律)适用于传输的国际性质,则欧洲经济区标准条款第 4 条中对 GDPR 的引用在法律要求的范围内应修改为参考《瑞士联邦数据保护法》或其后续法案,并且监管机构的概念将包括瑞士联邦数据保护和信息专员。

  1. 一旦发现任何安全事件, 提供者 将:(a) 通知 顾客 在可行的情况下,不得无故拖延,但不得晚于获悉安全事件后 72 小时;(b)在获悉安全事件后或根据合理要求及时提供有关安全事件的信息。 顾客;以及 (c) 及时采取合理措施控制和调查安全事件。 提供商 根据本 DPA 的要求对安全事件做出通知或回应,不应被视为 提供者 对安全事件不承担任何过错或责任。

1. 审计权利

提供者 会给 顾客 证明其遵守本 DPA 所需的所有合理信息,以及 提供者 将允许并有助于审计,包括检查 顾客, 评估 提供商 遵守本 DPA。但是, 提供者 可能会限制对数据或信息的访问,如果 顾客 获取信息将产生负面影响 提供商 知识产权、保密义务或适用法律规定的其他义务。 顾客 承认并同意,其将仅通过指示以下方式行使其根据本 DPA 享有的审计权利以及适用数据保护法授予的任何审计权利: 提供者 遵守以下报告和尽职调查要求。 提供者 将在 DPA 结束后 3 年内保留其遵守本 DPA 的记录。

2. 安全报告

顾客 承认 提供者 定期根据 安全政策 由独立第三方审计师进行。经书面请求, 提供者 会给 顾客以保密方式提供当时报告的摘要副本,以便 顾客 可以验证 提供商 符合 安全政策.

3. 安全尽职调查

除了报告之外, 提供者 将回应以下人士提出的合理信息请求: 顾客 确认 提供商 遵守本 DPA,包括对信息安全、尽职调查和审计问卷的回复,或提供有关其信息安全计划的其他信息。所有此类请求必须以书面形式向 提供商安全联系人 并且每年只能进行一次。

1. 咨询答复

如果 提供者 收到任何其他人关于处理客户个人数据的询问或请求, 提供者 将通知 顾客 关于请求和 提供者 不会在没有 顾客 事先同意。此类查询和请求的示例包括司法、行政或监管机构关于客户个人数据的命令,其中通知 顾客 不被适用法律禁止,也不被数据主体要求禁止。如果适用法律允许, 提供者 将遵循 顾客 关于这些请求的合理指示,包括提供状态更新和合理要求的其他信息 顾客. 如果数据主体根据适用数据保护法提出删除或退出的有效请求 顾客提供者, 提供者 将协助 顾客 根据适用的数据保护法来满足请求。 提供者 将与提供合理协助 顾客, 在 顾客 费用,在任何法律回应或其他程序行动中 顾客 响应第三方请求 提供商 根据本 DPA 处理客户个人数据。

2. DPIA 和 DTIA

如果适用数据保护法律有要求, 提供者 将合理协助 顾客 在进行任何强制性数据保护影响评估或数据传输影响评估以及与相关数据保护机构磋商时,考虑到处理和客户个人数据的性质。

1. 客户删除

提供者 将开启 顾客 以与服务功能一致的方式删除客户个人数据。 提供者 将尽快合理地遵守此指示,除非适用法律要求进一步存储客户个人数据。

2. DPA 到期时的删除

a. DPA 到期后, 提供者 将退还或删除客户个人数据 顾客 除非适用法律要求或授权进一步存储客户个人数据,否则不得要求进一步存储。如果适用法律无法退回或销毁,或禁止退回或销毁, 提供者 将尽合理努力防止进一步处理客户个人数据,并将继续保护其持有、保管或控制的客户个人数据。例如,适用法律可能要求 提供者 继续托管或处理客户个人数据。

b. 如果 顾客提供者 已作为本 DPA 的一部分加入 EEA SCC 或英国附录, 提供者 只会给予 顾客 如果符合欧洲经济区标准条款 8.1(d) 和 8.5 条中规定的个人数据删除证明 顾客 要求一个。

1. 责任限额和损害赔偿豁免

在适用数据保护法允许的最大范围内,每一方因本数据保护协议而产生的或与本数据保护协议相关的对另一方承担的总累计责任将受本数据保护协议中规定的责任豁免、排除和限制的约束。 协议.

任何针对 提供者 或其关联公司因本 DPA 而产生的或与本 DPA 相关的诉讼,只能由 顾客 属于 协议.

3. 例外情况

  1. 本 DPA 不限制个人根据适用数据保护法就其数据保护权利承担的任何责任。此外,本 DPA 不限制双方因违反 EEA SCC 或英国附录而承担的任何责任。

  1. 本 DPA 构成本协议的一部分并作为本协议的补充。如果本 DPA 与本协议有任何不一致,则 协议或其任何部分,对于不一致之处,较早列出的部分将控制较后列出的部分:(1)EEA SCC 或英国附录,(2)本 DPA,然后(3) 协议.

本 DPA 将于以下时间生效: 提供者顾客 同意 DPA 的封面并签署或以电子方式接受 协议 并将持续到 协议 到期或终止。然而, 提供者顾客 将继续遵守本 DPA 和适用数据保护法规定的义务,直至 顾客 停止将客户个人信息传输至 提供者提供者 停止处理客户个人数据。

尽管适用法律或类似条款 协议,有关本 DPA 的所有解释和争议均受 治理国家 不考虑其法律冲突条款。此外,尽管本法对法院选择、管辖权或类似条款有所规定, 协议双方同意,就本 DPA 提起任何法律诉讼、行动或程序,且各方不可撤销地接受以下法院的专属管辖权: 治理国家.

在《加州消费者隐私法案》(加州民法典第 1798.100 条及以下条款)(“CCPA”)适用的范围内,双方承认并同意 提供者 是一家服务提供商,正在从以下机构接收个人数据 顾客 按照约定提供服务 协议,这构成了商业目的。 提供者 不会出售任何个人信息 顾客 在下面 协议。 此外, 提供者 不会保留、使用或披露任何由 顾客 在下面 协议 除提供服务所需外 顾客,如 协议,或根据适用的数据保护法的允许。 提供者 证明其理解本段的限制。

  1. “适用法律” 指适用于或管辖某一方的法律、规则、法规、法院命令和相关政府部门的其他约束性要求。

  2. “适用的数据保护法” 指管辖服务如何处理或使用个人的个人信息、个人数据、个人身份信息或其他类似术语的适用法律。

  3. “控制器” 对于决定处理个人数据的目的和范围的公司,其含义与适用的数据保护法所赋予的含义相同。

  4. “封面” 指经双方签署或以电子方式接受的、包含本 DPA 标准条款并确定 提供者, 顾客,以及数据处理的主题和细节。

  5. “客户个人资料” 指以下个人信息: 顾客 上传或提供 提供者 作为服务的一部分并受本 DPA 管辖。

  6. "DPA" 指本 DPA 标准条款、封面页 提供者顾客以及封面中引用或附加的政策和文件。

  7. “EEA SCC” 指根据欧洲议会和欧洲理事会条例 (EU) 2016/679 向第三国转移个人数据的标准合同条款,欧盟委员会 2021 年 6 月 4 日第 2021/914 号实施决定所附的标准合同条款。

  8. “欧洲经济区” 或者 "EEA" 指欧盟成员国、挪威、冰岛和列支敦士登。

  9. "GDPR" 指由相关欧洲经济区成员国当地法律实施的欧盟法规 2016/679。

  10. “个人资料” 具有适用数据保护法中关于个人信息、个人数据或其他类似术语的含义。

  11. “加工” 或者 “过程” 对于对个人数据的任何使用或执行计算机操作(包括通过自动方法),将具有适用数据保护法中赋予的含义。

  12. “处理器” 对于代表控制者处理个人数据的公司,其含义与适用的数据保护法所赋予的含义相同。

  13. “报告” 指由另一家公司代表提供商根据安全政策中定义的标准准备的审计报告。

  14. “限制转让” 指 (a) 在适用 GDPR 的情况下,将个人数据从欧洲经济区 (EEA) 转移到欧洲经济区以外的国家,且该国家不受欧洲委员会的充分性判定约束;以及 (b) 在适用英国 GDPR 的情况下,将个人数据从英国转移到任何其他国家,且该国家不受根据《2018 年英国数据保护法》第 17A 条制定的充分性法规约束。

  15. “安全事故” 指 GDPR 第 4 条定义的个人数据泄露。

  16. “服务”协议.

  17. “特殊类别数据” 具有 GDPR 第 9 条中赋予的含义。

  18. “子处理器” 对于在控制者的批准和接受下,协助处理者代表控制者处理个人数据的公司,将具有适用数据保护法所赋予的含义。

  19. "UK GDPR" 指根据英国 2018 年《欧洲联盟(退出)法案》第 3 条在英国实施的欧洲联盟法规 2016/679。

  20. “英国附录” 指信息专员根据 2018 年数据保护法 S119A(1) 进行限制性转移的各方发布的 EEA SCC 的国际数据传输附录。