数据处理协议
本数据处理协议(“本协议”)构成条款与条件(“主协议”)的一部分,订立于以下各方之间:
- 客户(“数据控制者”)
- Textintel FZE(“数据处理者”)
(合称“双方”)。
1. 背景
1.1 客户作为数据控制者,拟将涉及个人数据处理的某些服务分包给数据处理者。
1.2 双方希望签署一份符合适用数据保护法律的数据处理协议,包括:
- 欧洲议会和欧洲理事会于2016年4月27日颁布的第2016/679号条例《自然人数据保护及此类数据自由流动条例》(通用数据保护条例,GDPR)。
- 任何其他适用于个人数据处理的数据保护或隐私法律。
1.3 本协议规定了双方在数据保护与隐私方面的权利和义务。
2. 定义与解释
2.1 除非另有定义,本协议中首字母大写的术语具有以下含义:
- “本协议”——本数据处理协议,包括所有附件和时间表。
- “客户个人数据”——数据处理者根据主协议代表客户处理的任何个人数据。
- “数据保护法律”——所有适用的隐私与数据保护法律,包括 GDPR 及其补充或实施的任何国内法律。
- “处理”——对个人数据进行的任何操作,例如收集、存储、传输或删除。
- “分处理者”——经数据处理者授权,代表客户处理个人数据的任何第三方。
2.2 本协议未定义的任何术语,应具有 GDPR 中赋予的含义。
3. 数据处理范围
3.1 客户指示数据处理者仅严格按照以下内容处理客户个人数据:
- 客户的书面指示。
- 主协议及本数据处理协议。
- 适用的数据保护法律。
3.2 除本协议和主协议规定的目的外,数据处理者不得出于任何其他目的处理客户个人数据。
4. 数据处理者的责任
4.1 数据处理者应:
- 确保遵守适用的数据保护法律。
- 按照行业最佳实践安全地处理数据。
- 仅允许授权人员访问数据。
- 确保所有处理客户个人数据的人员均受保密义务约束。
5. 安全措施
5.1 数据处理者应采取适当的技术和组织措施,以确保客户个人数据的安全,并考虑:
- 安全技术的最新水平。
- 数据处理的性质、范围和背景。
- 潜在风险,包括未经授权的访问、数据泄露和丢失。
5.2 适用时,安全措施应包括:
- 数据在传输和存储过程中的加密。
- 访问控制与身份验证机制。
- 定期的安全审计和风险评估。
6. 分处理
6.1 未经客户事先书面批准,数据处理者不得聘用任何分处理者。
6.2 客户确认并授权数据处理者使用以下已批准的分处理者:
- Amazon Web Services
- Meta
- Google
- Amplitude
- Firebase Analytics
- Stripe
6.3 数据处理者应确保任何分处理者遵守与本协议相同的义务。
7. 数据主体权利
7.1 数据处理者应协助客户履行有关数据主体权利的义务,包括:
- 访问个人数据。
- 更正或删除不准确的数据。
- 数据可携权请求。
7.2 如果数据处理者收到数据主体的请求,应:
8. 数据泄露通知
8.1 若发生个人数据泄露,数据处理者应:
- 毫不延迟地通知客户。
- 提供客户遵守法律报告义务所需的所有信息。
- 采取合理措施减轻并补救泄露事件。
9. 数据传输
9.1 数据处理者除非:
- 已获得客户事先书面同意;
- 已实施适当的保障措施(如标准合同条款 SCC),
否则不得将客户个人数据传输至欧盟/欧洲经济区以外地区。
10. 数据保留与删除
10.1 主协议终止后,客户可要求:
- 在 10 个工作日内删除所有客户个人数据。
- 提供符合性删除证明。
11. 审计权利
11.1 客户有权:
- 要求信息以证明合规性。
- 对数据处理者进行审计和检查。
12. 保密性
12.1 双方均应对本协议项下共享的所有信息予以保密,未经对方书面同意不得披露,但以下情况除外:
13. 适用法律与管辖权
13.1 本协议受阿拉伯联合酋长国迪拜法律管辖。
13.2 因本协议产生的任何争议应提交迪拜法院解决。