本Send开云体育手机网页版登录入口官网pulse数据处理协议(“DPA”)是Sendpulse的一部分服务条款(“条款”)、客户(以下简称“客户”、“用户”、“您”)与SendPulse Inc.(以下简称“公司”、“SendPulse”、“我们”、“我们”或“我们的”)之间的协议,该协议开云体育手机网页版登录入口官网规定了处理客户上传或以其他方式向SendPulse提供的与服务相关的个人数据和/或处理SendPulse代表他们向客户提供的与服务履行相关的任何个人数据。以下分别称为“一方”或合称为“双方”。
除非本DPA另有定义,本DPA中使用的所有大写术语均具有SendPulse服务条款中规定的含义。开云体育手机网页版登录入口官网本DPA将一直有效,直至客户与我们之间关于客户使用服务的条款终止或到期,并且所有个人数据已根据本协议第5.4条被返还或删除。
1.定义
”标准合约条款(SCC)“指根据欧盟委员会2021年6月4日实施决定(EU) 2021/914批准的欧洲议会和理事会条例(EU) 2016/679向第三国转移个人数据的标准合同条款,目前载于https://eurlex.europa.eu/eli/dec_impl/2021/914/oj。
”一般数据保护条例(GDPR)指欧洲议会和理事会2016年4月27日关于在个人数据处理和此类数据自由流动方面保护自然人的条例(EU) 2016/679,以及废除指令95/46/EC。
”个人资料"系指与已识别或可识别自然人有关的任何信息。
”数据对象"指与个人资料有关的已识别或可识别的人。
”客户个人资料"系指客户上传或以其他方式向SendPulse提供的与服务有关的个人数据,或SendPulse代表其向客户提供的与服务履行有关的任何开云体育手机网页版登录入口官网个人数据,或客户作为数据控制者或数据处理者而SendPulse作为数据处理者的任何其他个人数据。
”其他数据保护法律法规“指适用于根据不时修订的条款处理个人数据的所有法律和法规,包括欧盟、欧洲经济区及其成员国、美国及其各州的法律和法规,但GDPR除外。
”Sub-processor"系指为促进SendPulse代表客户进行处理而向SendPulse提供处理服务的任何实体。开云体育手机网页版登录入口官网
”公共权力指政府机构或执法机关,包括司法机关。
”监督权力“是指负责监督数据保护立法适用情况的独立公共机构。
2.角色及职责
2.1.GDPR下的角色
如果GDPR适用于您对客户数据的处理,则您承认并同意,就客户数据的处理而言,您是控制者或处理者,而我们是代表您行事的处理者(由GDPR定义),如本DPA项下商定的标准合同条款(“条款”)和附录及其相应附件中所述。本DPA不适用于我们根据Sendpulse的隐私政策作为控制者的情况。开云体育手机网页版登录入口官网
2.2.scc的应用
如果客户是个人数据的控制者和数据输出者,SendPulse是该个人数据的处理者和数据输入者,则双方应遵守附录I(控制者和处理者之间的标准合同条款开云体育手机网页版登录入口官网)和附录,并附上相应的附件。
如果客户是个人数据的处理者和数据出口商,而SendPulse是该个人数据的处理者和数据进口商,则双方应遵守附录II(处理者与处理者之间的标准合开云体育手机网页版登录入口官网同条款)和附录,并附上相应的附件。
本DPA的附录连同相应的附件在相同程度上构成附录I和附录II的一部分。
3.指令
双方同意,本DPA和条款构成您关于我们代表您处理客户数据的完整和最终文件化指示(“指示”)。任何额外或替代指示必须与本DPA和条款的条款和条件一致。
4.你的义务
在DPA和条款的范围内以及您对服务的使用范围内,您将全权负责遵守GDPR和其他数据保护法律法规适用于您的所有要求。您声明并保证,您将对以下事项全权负责:
(i)所收集客户资料的准确性、质量、完整性、保密性和安全性;
(ii)通过以下方式遵守GDPR和其他数据保护法律法规关于收集和使用个人数据的所有必要的透明度、合法性、公平性和其他要求:
- 建立和维护行使代表客户处理其客户个人数据的数据主体的权利的程序;
- 仅向我们提供已合法及有效取得的资料,并确保该等资料与有关用途相关及相称;
- 确保其人员或代表其访问或使用客户个人数据的任何第三方遵守本DPA和条款的规定。
(iii)确保您给我们的关于处理客户数据的指示符合GDPR和其他数据保护法律法规,包括遵守数据最小化、目的和存储限制的原则;而且
(iv)就您向我们发出的任何指示,遵守所有适用的法律、规则、法规(包括GDPR和其他数据保护法律和法规)。
5.我们的义务
5.1.一般义务
关于个人数据的处理,Sendpulse应:开云体育手机网页版登录入口官网
(i)仅为提供、支持和改进服务的目的,使用适当的技术和组织安全措施,并按照本DPA第3条和第4条从客户处收到的指示处理客户个人数据;
(ii)如果SendPulse不能遵守其在本DP开云体育手机网页版登录入口官网A项下的义务,则通知客户,在这种情况下,客户可以终止协议或采取任何其他合理行动,包括暂停数据处理操作;
(iii)如果SendPulse认为客户的指示可能违反GD开云体育手机网页版登录入口官网PR或其他数据保护法律法规的规定,则通知客户;
(iv)在SendPulse根据条款代表客户从数据主体获取客户个人数据的情况下,遵循客户关于收集客户个人数据的指示(包括关于提供通知和行使选择权);开云体育手机网页版登录入口官网
(v)采取合理步骤确保SendPulse授权其代表其访问客户数据的任何员工/承包商遵守条款和本DPA的相应规定。开云体育手机网页版登录入口官网
5.2.客户须知
一旦了解到这一点,我们将通知您公共机构要求披露客户个人数据的任何具有法律约束力的要求,除非法律禁止SendPulse通知客户,例如,为维护公共机构调查的机密性。开云体育手机网页版登录入口官网开云体育手机网页版登录入口官网SendPulse将通知客户,如果它意识到监管机构就您和我们之间根据本DPA处理客户个人数据进行的任何通知、询问或调查。
5.3.安全措施
开云体育手机网页版登录入口官网SendPulse应根据本DPA附件II中规定的安全标准,实施并保持适当的技术和组织措施,以保护客户数据免受个人数据泄露(“安全事件”)。贵方承认,安全措施受技术进步的制约,因此我方可自行决定修改或更新附件II,前提是此类修改或更新不会导致本DPA签署时附件II所提供的安全措施发生实质性退化。
5.4.安全事故
在获悉安全事件后,SendPulse应:(i)在我们获悉安全事件后立即通知您;开云体育手机网页版登录入口官网(ii)及时提供已知的或您合理要求的与安全事件有关的信息;及(iii)立即采取合理步骤控制和调查任何安全事件,以便您能够将安全事件通知主管部门和/或受影响的数据主体。我们对安全事件的通知或回应不应被解释为我们承认有关安全事件的任何过错或责任。
5.5.保密
开云体育手机网页版登录入口官网SendPulse不会访问或使用任何客户数据,或向任何第三方披露任何客户数据,除非在每种情况下,出于维护或提供服务的必要,或出于遵守合同和法律义务或公共机构的约束性命令(如传票或法院命令)的必要。我们应确保我们授权代表我们访问客户数据的任何员工/承包商均须就客户数据遵守适当的保密合同或法定责任义务,包括在他们各自的雇佣结束或合同终止或到期后。
5.6.返回或删除客户资料
开云体育手机网页版登录入口官网除非GDPR或其他数据保护法律法规阻止SendPulse返还或销毁我们拥有的全部或部分客户个人数据,否则SendPulse应并应促使任何子处理者根据客户的选择向客户返还所有客户个人数据及其副本或安全地销毁这些数据,并向客户证明已采取此类措施。在这种情况下,SendPulse开云体育手机网页版登录入口官网同意保留其保留的客户个人数据的机密性,并且仅会在该日期之后积极处理该客户个人数据,以遵守适用的法律法规或合同义务。
5.7.合理的援助
开云体育手机网页版登录入口官网SendPulse同意就以下事项向客户提供合理协助:
(i)数据主体就SendPulse代表客户访问或纠正、删除、限制、携带、阻止或删除客户个人数据提出的任何请求。开云体育手机网页版登录入口官网如果数据主体直接向SendPulse发送此类请求,则适用本DPA第7条;开云体育手机网页版登录入口官网
(ii)根据本DPA第5.4条对安全事件进行调查,并就该等安全事件发出必要的通知;
(iii)准备数据保护影响评估,并在必要时根据GDPR第35条和第36条与监管机构进行咨询。
6.审核及认证
如果监管机构要求对SendPulse处理客户个人数据的数据处理设施进行审计,以确定或监测客户是否遵守GDPR或其他数据保护法律法规,SendPulse将配合该审计。开云体育手机网页版登录入口官网客户应负责与此类审核相关的所有成本和费用,包括SendPulse为此类审核所花费的所有合理成本和费用,以及SendPulse所提供服务的费率。开云体育手机网页版登录入口官网
客户可以在处理开始之前,以及之后定期对SendPulse所采取的技术和组织措施进行审核。开云体育手机网页版登录入口官网如果客户是SendPulse代表其处理的个人数据的控制者,根据合理和及时的事先协议,在正常营业时间内,在不中断SendPulse的业务运营的情况下,Sen开云体育手机网页版登录入口官网dPulse可以向客户提供所有必要的信息,以证明其遵守GDPR第28条规定的义务,并允许并协助审计,包括检查,由客户或客户委托的其他审核员就此类处理进行审核。
开云体育手机网页版登录入口官网SendPulse应应客户的书面要求,在合理的时间内,向客户提供审计所需的所有信息,只要这些信息在处理器的控制范围内,并且SendPulse不受适用法律、保密义务或对第三方的任何其他义务的限制,可以披露这些信息。
7.资料当事人要求
如果数据主体就行使其在GDPR和其他数据保护法律法规下的权利(特别是访问、纠正或阻止客户个人数据的请求)与我们联系,我们将尽一切合理努力向您转发该等请求。如果法律要求我们对该等要求作出回应,我们将立即通知您并向您提供该等要求的副本,除非法律禁止我们这样做。
8.子处理器和第三方处理器
您同意我们可根据有关scc第9条所载的规定聘请分处理者协助履行我们在条款下提供服务的义务。我们同意通知客户任何有关增加或更换子处理器的预期变更,从而使客户有机会在SCC规定的期限内反对此类变更。
客户承认,在提供某些服务时,SendPulse在收到客户指示后,可以将客户个人数据传输给第三方数据处理者,或与第三方数据处理开云体育手机网页版登录入口官网者进行交互。"用户"同意,如果发生此类转移,"用户"有责任与该等第三方数据处理方订立单独的合同安排,约束其遵守GDPR和其他数据保护法律法规规定的义务。为免生疑问,该等第三方数据处理者并非本DPA所指的子处理者。
9.客户资料的转移
双方同意按照欧盟委员会2021年6月4日第2021/914号决定批准的标准合同条款遵守和处理受GDPR保护的客户数据,以便就本DPA附录和附录中规定的个人数据转移的隐私保护以及自然人和法人的基本权利和自由引入充分的保障措施。
附录二世
标准合同条款(处理器-处理器)
节中,我
条款1。目的和范围
就本条款而言:
(a)这些标准合同条款的目的是确保符合欧洲议会和理事会2016年4月27日第(EU) 2016/679号条例的要求,该条例关于个人数据处理方面对自然人的保护,以及将个人数据转移到第三国时对此类数据的自由流动(一般数据保护条例)。
(b)双方:
(i)附件i . a所列的转移个人数据的自然人或法人、公共当局、机构或其他机构(以下简称“实体”)(以下简称“数据出口商”),以及
(ii)在第三国的实体直接或间接地通过附件I.A中所列的另一个同样是本条款缔约方的实体从数据出口者处接收个人数据(以下简称“数据进口者”)
已同意这些标准合同条款(以下简称“条款”)。
(c)本条款适用于附件i.b所规定的个人资料转移
本条款的附录包含其中提及的附件,构成本条款不可分割的一部分。
条款2。条款的效力和不变性
(a)这些条款规定了适当的保障措施,包括根据条例(EU) 2016/679第46(1)条和第46(2)(c)条规定的可强制执行的数据主体权利和有效的法律补救措施,关于从控制者到处理者和/或处理者到处理者的数据传输,根据条例(EU) 2016/679第28(7)条规定的标准合同条款,前提是这些条款未被修改,除非选择适当的模块或在附录中添加或更新信息。这并不妨碍双方在更广泛的合同中包括本条款中规定的标准合同条款和/或添加其他条款或额外保障措施,前提是这些条款不直接或间接与本条款相抵触,也不损害数据主体的基本权利或自由。
(b)本条款不影响数据出口商根据条例(EU) 2016/679所承担的义务。
条款3。第三方受益人
(a)数据主体可以作为第三方受益人,对数据出口商和/或数据进口商援引和执行本条款,但有以下例外:
(i)第1条、第2条、第3条、第6条、第7条;
(2)条款8.1 (a), (c)和(d)和第8.9条(a), (c), (d), (e), (f)和(g);
(iii)第9(a)、(c)、(d)及(e)条;/p>
(iv)第12(a)、(d)及(f)条;
(v)第13条;
(vi)第15.1(c)、(d)和(e)条;
(vii)第16(e)条;
(viii)第18(a)及(b)条。
(b)第(a)段不损害条例(EU) 2016/679规定的数据主体的权利。
条款4。解释
(a)如果本条款使用法规(EU) 2016/679中定义的术语,则这些术语应与该法规中定义的含义相同。
(b)本条款应根据条例(EU) 2016/679的规定进行阅读和解释。
(c)本条款的解释不应与法规(EU) 2016/679中规定的权利和义务相冲突。
条款5。层次结构
本条款与双方在订立本条款时或订立本条款后存在的相关协议的规定不一致的,以本条款为准。
条款6。转让的描述
转移的详情,特别是转移的个人资料类别和转移的目的,载于附件i.b
条款7。对接条款
(a)非本条款缔约方的实体,经双方同意,可随时以数据出口国或数据进口国的身份,通过填写附录并签署附件i.a加入本条款
(b)一旦其完成附录并签署附件I.A,加入实体将成为本条款的缔约方,并具有附件I.A中指定的数据出口商或数据进口商的权利和义务
(c)加入实体在成为缔约方之前的一段时间内不享有本条款项下产生的任何权利或义务。
第二节双方的义务
条款8。数据保护措施
数据导出者保证其已作出合理努力,以确定数据导入者能够通过实施适当的技术和组织措施来履行其在本条款下的义务。
8.1指令
(a)数据出口者已通知数据进口者,其在其控制人的指示下作为处理者,数据出口者应在处理前向数据进口者提供该指示。
(b)数据进口商应仅根据控制者的书面指示处理个人数据,该指示由数据出口商传达给数据进口商,以及数据出口商的任何其他书面指示。该附加指示不得与控制者的指示相冲突。控制者或数据导出者可在整个合同期间就数据处理提出进一步的文件化指示。
(c)如果数据进口者无法遵守这些指示,则应立即通知数据出口者。当数据输入者无法遵循控制者的指示时,数据输出者应立即通知控制者。
数据导出者保证其已对数据导入者施加了与控制者与数据导出者之间的合同或欧盟或成员国法律下的其他法律行为中规定的相同的数据保护义务。
8.2用途限制
数据进口者应仅为附件I.B中规定的转移的特定目的处理个人数据,除非数据出口者向数据进口者发出控制者的进一步指示或数据出口者的进一步指示。
8.3透明度
应要求,数据导出者应向数据主体免费提供一份本条款的副本,包括由双方填写的附录。在保护商业秘密或其他机密信息(包括个人数据)所必需的范围内,数据导出者可在共享附录副本之前修订附录的部分文本,但在数据主体无法理解其内容或行使其权利的情况下,应提供有意义的摘要。应要求,双方应在尽可能不披露已修订信息的情况下,向数据主体提供进行修订的理由。
8.4精度
如果数据输入方意识到其收到的个人数据不准确或已过时,则应毫不迟延地通知数据输出方。在这种情况下,数据输入方应与数据输出方合作,纠正或删除数据。
8.5数据处理和擦除或返回的持续时间
数据进口商的处理只能在附件i.b规定的期限内进行。在处理服务的提供结束后,数据进口商应根据数据出口商的选择,删除代表控制者处理的所有个人数据,并向数据出口商证明它已经这样做了,或者将代表其处理的所有个人数据归还给数据出口商,并删除现有的副本。在数据被删除或返回之前,数据进口商应继续确保遵守这些条款。如果适用于数据进口商的当地法律禁止返回或删除个人数据,则数据进口商保证其将继续确保遵守本条款,并且仅在当地法律要求的范围内和期限内处理该等数据。这并不妨碍第14条,特别是第14(e)条规定的数据进口商在合同期间内通知数据出口商的要求,如果其有理由相信其所遵守的法律或惯例不符合第14(a)条的要求。
8.6处理安全
(a)数据进口商以及在传输期间,数据出口商应实施适当的技术和组织措施,以确保数据的安全,包括防止违反安全导致意外或非法破坏、丢失、更改、未经授权的披露或访问该数据(以下简称“个人数据泄露”)。在评估适当的安全级别时,他们应适当考虑技术水平、实施成本、处理的性质、范围、背景和目的,以及处理数据主体所涉及的风险。双方应特别考虑采用加密或假名化,包括在传输过程中,如果处理目的可以通过这种方式实现。在采用假名的情况下,在可能的情况下,用于将个人数据归因于特定数据主体的额外信息仍应由数据出口者或控制者独家控制。为履行其在本段项下的义务,数据进口者至少应实施附件II中规定的技术和组织措施。数据导入者应进行定期检查,以确保这些措施继续提供适当级别的安全。
(b)数据输入方应仅在为执行、管理和监测合同而严格必要的范围内,才允许其人员访问数据。它应确保被授权处理个人数据的人已承诺保密或承担适当的法定保密义务。
(c)如果数据进口商根据本条款处理的个人数据发生个人数据泄露,数据进口商应采取适当措施解决该泄露,包括减轻其不利影响的措施。数据输入方还应在意识到违规行为后,毫不迟延地通知数据输出方,并在适当和可行的情况下,通知控制者。该通知应包含可获得更多信息的联络点的详细信息、泄露性质的描述(包括在可能的情况下,涉及的数据主体和个人数据记录的类别和大致数量)、可能的后果以及为解决数据泄露而采取或拟议的措施,包括减轻其可能不利影响的措施。在不可能同时提供所有信息的情况下,初始通知应包含当时可获得的信息,而在获得进一步信息时,随后应毫不迟延地提供。
(d)数据进口商应与数据出口商合作并协助其履行条例(EU) 2016/679规定的义务,特别是通知其控制者,以便后者可以在考虑到处理的性质和数据进口商可获得的信息的情况下,反过来通知主管监管机构和受影响的数据主体。
8.7敏感数据
如果转移涉及揭示种族或民族出身、政治观点、宗教或哲学信仰或工会会员资格的个人数据、基因数据或用于唯一识别自然人的生物特征数据、有关健康或个人性生活或性取向的数据,或与刑事定罪和犯罪有关的数据(以下简称“敏感数据”),数据进口商应适用附件i.b所载的特定限制和/或额外保障措施
8.8转程
数据进口者仅应根据控制者的书面指示向第三方披露个人数据,如数据出口者向数据进口者传达的那样。此外,只有在以下情况下,数据才可披露给欧盟以外的第三方(与数据进口商在同一国家或在另一个第三国,以下简称“转移”):第三方同意或同意在相应模块下受本条款约束,或者:
(i)后续转移是向根据涵盖后续转移的法规(EU) 2016/679第45条的充分性决定而受益的国家;
(ii)第三方根据法规(EU) 2016/679第46或47条确保适当的保障措施;
(iii)在具体的行政、监管或司法程序中,后续转移是建立、行使或辩护法律索赔所必需的;或
(iv)为了保护数据主体或另一个自然人的重大利益,进一步的转移是必要的。
任何后续转移均须由数据进口商遵守本条款下的所有其他保障措施,特别是目的限制。
8.9文件和合规性
(a)数据进口者应及时、充分地处理来自数据出口者或控制者的与本条款下的处理有关的询问。
(b)双方应能证明遵守了本条款。特别是,数据进口者应保存有关代表控制者进行的处理活动的适当文件。
(c)数据进口商应向数据出口商提供所有必要的信息,以证明遵守本条款中规定的义务,数据出口商应将其提供给控制者。
(d)数据输入方应允许并协助数据输出方在合理的时间间隔内或在有不合规迹象时对本条款所涵盖的处理活动进行审计。当数据出口者根据控制者的指示要求进行审计时,同样适用。在决定是否进行审计时,数据出口国可考虑数据进口国持有的相关证书。
(e)如果审计是在控制者的指示下进行的,数据导出者应将审计结果提供给控制者。
(f)数据出口人可选择自行进行审计或委托一名独立审计员进行审计。审计可包括对数据进口商的场所或实际设施进行检查,并应在适当情况下在合理通知的情况下进行。
(g)双方应应主管监管机构的要求,向其提供(b)和(c)段所述的信息,包括任何审计的结果。
条款9所示。子处理器的使用
(a)一般书面授权数据输入方获得控制者的一般授权,可以从商定的列表中聘用子处理方。数据进口商应至少提前10天以书面形式明确通知控制者通过增加或更换子处理器对该列表进行的任何预期更改,从而使控制者有足够的时间在子处理器聘用之前能够反对此类更改。数据导入者应向控制者提供必要的信息,使控制者能够行使其反对权。数据输入方应将分处理方的聘用通知数据输出方。
(b)如果数据进口商聘请分处理者(代表控制者)进行特定的处理活动,其应通过书面合同进行,该书面合同在实质上规定了与本条款下约束数据进口商的义务相同的数据保护义务,包括数据主体的第三方受益人权利。双方同意,通过遵守本条,数据进口商履行了第8.8条项下的义务。数据进口者应确保分处理者遵守数据进口者根据本条款所承担的义务。
(c)应数据输出者或控制者的要求,数据输入者应提供该分处理者协议的副本及任何后续修订。在为保护商业秘密或其他机密信息(包括个人数据)所必需的范围内,数据导入者可在共享协议副本之前对协议文本进行修订。
(d)数据进口者应继续就分处理者履行其与数据进口者合同项下的义务向数据出口者负全部责任。数据输入方应将分处理方未能履行其在该合同下的义务的任何情况通知数据输出方。
(e)数据进口者应与分处理者商定第三方受益条款——在数据进口者实际上已消失、在法律上已不复存在或已资不抵债的情况下——数据出口者应有权终止分处理者合同,并指示分处理者删除或返还个人数据。
条款10。数据主体权利
(a)数据输入方应将其从数据主体收到的任何请求及时通知数据输出方,以及(在适当的情况下)控制者,除非控制者授权其这样做,否则不得对该请求作出回应。
(b)数据进口商应在适当的情况下与数据出口商合作,协助控制者履行其义务,回应数据主体根据条例(EU) 2016/679或条例(EU) 2018/1725(如适用)提出的行使其权利的请求。在这方面,各缔约方应在附件二中规定适当的技术和组织措施,同时考虑到提供援助的处理性质以及所需援助的范围和程度。
(c)在履行第(a)段和第(b)段规定的义务时,数据输入方应遵守控制者的指示,如数据输出方所传达的那样。
条款11。纠正
(a)数据进口商应以透明和易于获取的格式,通过个人通知或在其网站上,通知数据主体授权处理投诉的联络点。它应迅速处理从数据主体收到的任何投诉。数据输入方同意,数据主体也可以向独立的争议解决机构提出投诉,而无需数据主体承担任何费用。它应以(a)段所规定的方式告知数据主体该补救机制,并告知他们不需要使用该机制,或在寻求补救时遵循特定的顺序。
(b)如果数据主体与一方就遵守本条款发生争议,该方应尽最大努力及时友好地解决该问题。双方应相互通报该等争议,并在适当情况下合作解决争议。
(c)如果数据主体根据第3条调用第三方受益人权利,数据进口商应接受数据主体的决定:
(i)向其经常居住地或工作地点所在成员国的监管机构,或根据第13条规定的主管监管机构提出投诉;
(ii)将争议提交第18条所指的主管法院。
(d)双方接受数据主体可以由非营利性机构、组织或协会根据条例(EU) 2016/679第80(1)条规定的条件代表。
(e)数据进口商应遵守根据适用的欧盟或成员国法律具有约束力的决定。
(f)数据进口商同意,数据主体作出的选择不会损害他/她根据适用法律寻求补救的实质性和程序性权利。
条款12。责任
每一方均应对因违反本条款而给另一方造成的任何损害承担责任。
(b)对于数据进口者或其子处理者违反本条款下的第三方受益人权利而对数据主体造成的任何实质性或非实质性损害,数据进口者应对数据主体负责,数据主体有权获得赔偿。
(c)尽管有第(b)段的规定,对于数据出口商或数据进口商(或其分处理者)违反本条款下的第三方受益人权利而造成的数据主体的任何实质性或非实质性损害,数据出口商应对数据主体负责,数据主体应有权获得赔偿。这并不影响数据出口商的责任,如果数据出口商是代表控制者行事的处理者,则不影响控制者根据条例(EU) 2016/679或条例(EU) 2018/1725(如适用)承担的责任。
(d)双方同意,如果数据出口者根据第(c)段对数据进口者(或其子处理者)造成的损害承担责任,则其有权向数据进口者追讨与数据进口者对损害的责任相对应的那部分赔偿。
(e)如果因违反本条款而对数据主体造成的任何损害有不止一方负责,则所有责任方应承担共同和连带责任,数据主体有权向法院起诉其中任何一方。
(f)双方同意,如果一方根据(e)项负有责任,则其有权向另一方追讨与其对损害的责任相对应的那部分赔偿。
(g)数据导入方不得援引子处理方的行为来逃避其自身的责任。
条款13。监督
(a)如附件I.C所示,在本条款下就向其提供商品或服务而进行个人数据转移的数据主体所在国家,或其行为受到监控的数据主体所在国家的监管机构,应作为主管监管机构。
(b)数据进口商同意在旨在确保遵守本条款的任何程序中服从主管监管机构的管辖并与之合作。特别是,数据进口者同意回应查询、接受审计并遵守监管机构采取的措施,包括补救和补偿措施。它应向监管机构提供书面确认,证明已经采取了必要的行动。
当地法律和公共当局访问时的义务
第三节
条款14。影响遵守本条款的当地法律和惯例
(a)双方保证,他们没有理由相信第三目的地国适用于数据进口商处理个人数据的法律和惯例,包括披露个人数据的任何要求或授权公共当局访问的措施,会阻止数据进口商履行其在本条款项下的义务。这是基于这样一种理解,即尊重基本权利和自由的本质,并且不超过民主社会为保障条例(EU) 2016/679第23(1)条所列目标之一所必需和相称的法律和实践与本条款并不矛盾。
(b)双方声明,在提供(a)款中的保证时,他们特别适当地考虑了以下要素:
(i)转让的具体情况,包括处理链的长度、所涉行为体的数量和使用的传输渠道;预定转乘;接收者的类型;加工的目的;所转移的个人资料的类别及格式;发生转移的经济部门;传输数据的存储位置;
(ii)第三目的地国的法律和惯例——包括那些要求向公共当局披露数据或授权公共当局访问数据的法律和惯例——根据转移的具体情况以及适用的限制和保障措施而相关;
(iii)为补充本条款下的保障措施而实施的任何相关的合同、技术或组织保障措施,包括在传输期间和在目的国对个人数据进行处理时采用的措施。
(c)数据输入方保证,在进行段所规定的评估时
(b)其已尽最大努力向数据导出者提供相关信息,并同意将继续与数据导出者合作以确保遵守本条款。
(d)双方同意将(b)段规定的评估文件化,并应主管监管机构的要求提供。
(e)如果在同意本条款后并在合同期间内,数据进口者有理由相信其现在或已经受制于不符合第(a)段要求的法律或惯例,则数据进口者同意立即通知数据出口者,包括在第三国法律发生变化或采取措施(如披露请求)后,表明实践中适用的此类法律不符合(a)段的要求。数据出口商应将通知转发给控制者。
(f)在根据(e)段发出通知之后,或者如果数据出口商以其他方式有理由相信数据进口商不能再履行其在本条款下的义务,数据出口商和/或数据进口商应迅速确定数据出口商和/或数据进口商为解决该情况而采取的适当措施(例如确保安全和保密的技术或组织措施),如果适当的话,应与控制者协商。如果数据出口者认为不能确保这种转移的适当保障措施,或者如果控制者或主管监管机构指示这样做,则数据出口者应暂停数据转移。在这种情况下,数据出口商有权终止合同,只要涉及本条款下的个人数据处理。如果合同涉及两个以上当事方,则数据出口人仅可就有关当事方行使这种终止权利,除非当事方另有约定。如果合同根据本条终止,则第16(d)和(e)条适用。
条款15。在公共当局访问数据时,数据进口者的义务
15.1通知
(a)数据输入方同意在以下情况下立即通知数据输出方及(在可能的情况下)数据当事人(如有需要,在数据输出方的帮助下):
(i)收到公共当局(包括司法当局)根据目的国法律提出的具有法律约束力的要求,要求披露根据本条款转移的个人数据;该通知应包括有关所请求的个人数据、请求当局、请求的法律依据和所提供的答复的信息;或
(ii)了解到公共当局对根据本条款根据目的国法律转移的个人数据的任何直接访问;此种通知应包括进口商可获得的所有资料。
数据导出者应将该通知转发给控制者。
(b)如果数据进口商根据目的国的法律被禁止通知数据出口商和/或数据主体,则数据进口商同意尽其最大努力获得对禁令的豁免,以便尽快传达尽可能多的信息。数据输入方同意记录其所做的最大努力,以便能够在数据输出方要求时展示这些努力。
(c)在目的地国法律允许的情况下,数据输入方同意在合同有效期内,定期向数据输出方提供尽可能多的有关收到的请求的资料(特别是请求的数目、请求的数据类型、请求的当局、请求是否受到质疑以及质疑的结果等)。数据导出者应将该信息转发给控制者。
(d)数据进口商同意在合同有效期内按照(a)至(c)段的规定保存信息,并应主管监管机构的要求提供信息。
(e)第(a)段至(c)段不影响数据进口商根据第14(e)条和第16条在其无法遵守这些条款时及时通知数据出口商的义务。
15.2合法性审查和数据最小化
(a)数据进口商同意审查披露请求的合法性,特别是其是否仍在授予请求方公共当局的权力范围内,如果经过仔细评估后,其得出结论,有合理理由认为根据目的国法律、国际法下的适用义务和国际礼貌原则,该请求是非法的,则对该请求提出质疑。资料输入人须在相同条件下,寻求上诉的可能性。在对请求提出质疑时,数据进口商应寻求临时措施,以便在主管司法当局对请求的是非直作出决定之前暂停请求的效力。除非根据适用的程序规则要求,否则不得披露所要求的个人数据。这些要求不影响第14(e)条规定的数据进口商的义务。
(b)数据进口商同意记录其法律评估和对披露请求的任何质疑,并在目的国法律允许的范围内,向数据出口商提供文件。并应应要求向主管监管机构提供。数据导出者应向控制者提供评估结果。
(c)数据进口商同意在回应披露请求时,根据对该请求的合理解释,提供允许的最低数量的信息。
最后条款
第四节
条款16。不遵守本条款及终止
(a)如果数据进口者因任何原因无法遵守本条款,则应立即通知数据出口者。
(b)如果数据进口商违反了这些条款或无法遵守这些条款,数据出口商应暂停向数据进口商转移个人数据,直到再次确保符合规定或合同终止。这并不影响第14(f)条。
(c)在以下情况下,数据出口商有权终止合同,只要涉及本条款下的个人数据处理:
(i)数据出口商已根据(b)段暂停向数据进口商转移个人数据,且未在合理时间内以及在暂停后的一个月内恢复对这些条款的遵守;
(ii)数据进口商严重或持续违反本条款;或
(iii)数据进口商未能遵守主管法院或监管机构就其在本条款下的义务作出的有约束力的决定。
在这种情况下,应将此类不合规情况通知主管监管机构和控制者。如果合同涉及两个以上当事方,则数据出口人只能就有关当事方行使这种终止权利,除非当事方另有约定。
(d)根据(c)段在合同终止前已转移的个人数据,应由数据出口商选择立即返还给数据出口商或全部删除。上述规定亦适用于该等资料的任何副本。资料输入人须向资料输出人证明已删除资料。在数据被删除或返回之前,数据进口商应继续确保遵守这些条款。如果适用于数据进口商的当地法律禁止返回或删除已转移的个人数据,则数据进口商保证其将继续确保遵守本条款,并且仅在当地法律要求的范围内和期限内处理数据。
(e)在以下情况下,任一方均可撤销其受本条款约束的协议:(i)欧盟委员会根据条例(EU) 2016/679第45(3)条作出了涉及本条款适用的个人数据转移的决定;或(ii)条例(EU) 2016/679成为个人数据被转移到的国家的法律框架的一部分。这并不影响条例(EU) 2016/679中适用于相关加工的其他义务。
条款17。适用法律
本条款应受欧盟成员国之一的法律管辖,前提是该法律允许第三方受益人权利。双方同意,本协议为爱尔兰共和国法律。
条款18。法院和司法管辖区的选择
(a)由本条款引起的任何争议应由欧盟成员国的法院解决。
(b)双方同意这些法院为爱尔兰共和国的法院。
(c)数据主体还可以在其经常居住地的成员国法院对数据出口者和/或数据进口者提起法律诉讼。
(d)双方同意接受此类法院的管辖。
附录
附件我
A.当事人名单
数据出口国
名称:“您”,“客户”,“用户”
地址:相关信息包含在客户的帐户中。联系人姓名、职位和联系方式:相关信息包含在客户的账户中。
与根据本条款传输的数据相关的活动:
- 存储;
- 获得客户服务按照您的使用功能;
- 滥用的检测、预防和补救;
- 维护、改进和提供我们的服务。
签署和日期:签署本条款,即视为数据出口商在协议生效日期已签署本协议所包含的标准合同条款,包括其附件。
角色:附录I (controller -to- processor transfer)客户是控制器。在附录II(处理器到处理器的传输)中,客户是一个处理器。
数据进口国
名称:Sen开云体育手机网页版登录入口官网dPulse Inc.
地址:220 E 23街401,纽约,NY 10010。
联系人姓名,职位和联系方式:Medvednikov Evgeny,董事,+1 415 800 2960,support@开云体育手机网页版登录入口官网www.alanlshields.com
与根据本条款传输的数据有关的活动:存储;
- 获得客户服务按照您的使用功能;
- 滥用的检测、预防和补救;
- 维护、改进和提供SendPulse的服务。开云体育手机网页版登录入口官网
签署和日期:签订本条款,即视为数据进口商在协议生效日已签署本协议所包含的标准合同条款,包括其附件。
角色:处理器
B.转让说明
1.转移个人数据的数据主体类别:客户、客户、潜在客户和客户、学生、捐赠者和员工。
2.传送的个人资料类别:
姓名、性别、生日、语言、电子邮件地址、电话号码、居住地址、雇主、业务地址、头衔、专业知识、其他人口统计信息、购买历史和活动出席情况。
3.传输的敏感数据(如适用)以及充分考虑到数据性质和涉及的风险的限制或保障措施:客户数据不包括社会保险号码或其他国民身份证号码、密码、安全凭据或任何类型的敏感个人信息。
4.转移的频率:
个人资料是持续传送的。
5.加工性质:
个人资料处理包括:
- 存储;
- 获得客户服务按照您的使用功能;
- 滥用的检测、预防和补救;
- 维护,改进,并提供Sendpulse的服务。开云体育手机网页版登录入口官网
6.数据传送及进一步处理的目的:
本条款项下数据处理的目的是数据进口商根据数据进口商与数据出口商之间订立的服务协议为数据出口商提供服务,包括但不限于提供电子邮件和移动营销服务、CRM、聊天机器人。开云体育重庆时时彩
7.个人资料将被保留的期限,或(如不可能)用以决定该期限的准则:
个人数据应在数据进口商和数据出口商之间订立的DPA期间存储,除非另有书面约定或适用法律要求数据进口商保留部分或全部转移的个人数据。
8.对于传输到(子)处理器,也要指定处理的主题、性质和持续时间:
- 标的物:履行服务。
- 性质:收集、记录、组织、结构、储存、改编或变更、检索、查阅、对齐或组合、限制、删除或销毁。
- 持续时间:子处理器根据处理器和子处理器之间达成的服务协议为处理器执行服务的时间。
C.主管监管机构
根据第13条,本条款下的主管监管机构是其中一个成员国的监管机构,即数据保护委员会(爱尔兰共和国),根据本条款,其个人数据在向其提供商品或服务时被转移,或其行为被监控。
附件二
技术和组织措施,包括确保数据安全的技术和组织措施
描述数据进口商为确保适当级别的安全而实施的技术和组织措施,同时考虑到处理的性质、范围、背景和目的,以及自然人权利和自由面临的风险:
数据进口商保持适当的组织和技术安全措施(包括人员、设施、硬件和软件、存储和网络、访问控制、监控和记录、漏洞和违规检测、事件响应、传输和休息时客户个人数据的加密),以防止未经授权或意外访问、丢失、更改、披露或破坏客户个人数据。
数据进口商采取措施确保所有SendPulse人员对客户个人数据的安全、隐私和保密保障措施的充分性,并对该SendPulse人员未能满足本DPA条款的任何情况负责。开云体育手机网页版登录入口官网
数据进口商采取合理步骤确认所有SendPulse人员正在按照本DPA的要求保护客户个人数据的安全性、隐私性和机密性。开云体育手机网页版登录入口官网
资料进口商已实施措施,以确保在转移个人资料时,个人资料的机密性和完整性受到保障。
数据输入方承诺在整个数据输入方处理活动中保持所有相关个人数据的机密性、完整性、可用性和弹性,并通过实施适当的内部信息安全政策和程序确保个人数据免受损失和破坏。
附件3
子处理器列表
控制器已授权使用以下子处理器:
Sub-processor 1:
名称:亚马逊网络服务公司。
地址:410特里大道北,西雅图,华盛顿州98109-5210
联系人姓名、职务及联系方式:
处理描述(包括在授权多个子处理器的情况下明确划分职责):数据存储。
Sub-processor 2:
名称:CONTABO GMBH。
地址:Aschauer Straße 32a, 81549 München
联系人姓名、职位和联系方式:Herrn Rechtsanwalt博士Karsten Kinast, llm . Kinast, DPO, Rechtsanwaltsgesellschaft mbH, Hohenzollernring 54,50672 Köln或通过电子邮件发送至datenschutzbeauftragter@contabo.de
处理描述(包括在授权多个子处理器的情况下明确划分职责):数据存储。
Sub-processor 3:
公司名称:赫茨纳在线有限公司。
地址:德国Gunzenhausen, Industriestr. 25, 91710
联系人姓名、职位及联系方式:Margit Müller, DPO, data-protection@hetzner.com.
处理描述(包括在授权多个子处理器的情况下明确划分职责):数据存储。
Sub-processor 4:
名字:韦利亚。Net internetdienste GMBH
地址:Hansestr. 111, 5开云体育备用网址114, Köln
联系人姓名、职务及联系方式:Karsten Kinast博士,LL.M.(律师)Kinast, DPO, Rechtsanwaltsgesellschaft mbH Hohenzollernring 54 D-50672科隆邮箱:mail@kinast.eu.
处理描述(包括在授权多个子处理器的情况下明确划分职责):数据存储。
Sub-processor 5:
名称:谷歌LLC。
地址:1600圆形剧场公园路山景,CA 94043
联系人姓名、职务及联系方式:
处理描述(包括在授权多个子处理器的情况下明确划分职责):数据存储,数据分析。
Sub-processor 6:
名称:SELECTEL有限公司
地址:俄罗斯圣彼得堡Cvetochnaya St. 21
联系人姓名、职务及联系方式:开云体育电子游艺sales@selectel.ru
处理描述(包括在授权多个子处理器的情况下明确划分职责):数据存储。
更新:15.04.2022
注册
登陆Facebook 用谷歌登录