本数据处理协议(“DPA”)是客户(定义见协议)与“Slide Craft Technologies Pvt Ltd” 之间的使用条款(或处理相同主题的其他类似标题的书面或电子协议)(“协议”)的一部分,处理者据此向控制者提供软件和服务(“服务”)。控制者和处理者单独称为“一方”,合称为“双方”。
双方旨在执行本数据处理协议,以遵守欧盟GDPR(定义见下文)的要求,涉及处理者根据本协议项下义务处理个人数据(定义见欧盟GDPR)。
本数据处理协议适用于处理者根据本协议项下义务处理控制者提供的个人数据。
除下文另有修改外,本协议的条款应保持完全有效。
1. 定义
本协议未另行定义的术语,应具有欧盟GDPR或本协议中赋予它们的含义。以下术语应具有下文赋予它们的相应含义:
- 1.1. “数据传输” 指个人数据从控制者向处理者的传输,或在处理者的两个机构之间,或由处理者与分处理者之间的传输。
- 1.2. “欧盟 GDPR” 指欧洲议会和理事会2016年4月27日关于个人数据处理和此类数据自由流动的自然人保护并废止第95/46/EC号指令的第(EU) 2016/679号条例(通用数据保护条例)。
- 1.3. “标准合同条款” 指根据欧盟委员会2021年6月4日第(EU) 2021/914号实施决定,本协议附件1所附的合同条款,该决定涉及向未确保足够数据保护水平的第三国处理者传输个人数据的标准合同条款。
- 1.4. “控制者” 指单独或与他人共同确定个人数据处理目的和方式的自然人或法人、公共机构、代理机构或其他实体;如果此类处理的目的和方式由欧盟或成员国法律确定,则控制者或其任命的具体标准可由欧盟或成员国法律规定。
- 1.5. “处理者” 指代表控制者处理个人数据的自然人或法人、公共机构、代理机构或其他实体。
- 1.6. “分处理者” 指由处理者指定,为提供全部或部分服务并处理由控制者提供的个人数据的处理者/分包商。
- 2. 本协议目的
- 本数据处理协议规定了处理者在个人数据处理方面的各项义务,且应限于处理者在协议项下的义务。如果协议条款与本数据处理协议之间存在冲突,则以本数据处理协议的条款为准。
- 3. 个人数据类别和数据主体
- 处理者处理个人数据的目的应限于处理者根据协议向控制者和/或其客户提供服务。
- 4. 处理目的
- 控制者授权处理者处理个人数据,处理范围由控制者确定和规范。个人数据的当前性质在本数据处理协议附表1附件I中列明。处理者处理个人数据的目的应限于处理者根据协议向控制者和/或其客户提供服务。
- 5. 处理期限
- 处理者将在协议期限内处理个人数据,除非控制者另有书面约定。
- 6. 数据控制者的义务
- 6.1. 数据控制者应保证其拥有所有必要的权利向数据处理者提供个人数据,以便数据处理者就约定服务进行处理。在数据隐私法要求的范围内,数据控制者负责确保其在适当的法律依据下向数据处理者提供此类个人数据,该法律依据应允许合法的处理活动,包括获得数据主体对此处理的任何必要同意,并确保此类同意的记录得到维护。如果数据主体撤销此类同意,数据控制者负责将撤销事实告知数据处理者。
- 6.2. 数据控制者应向其收集个人数据的所有自然人提供相关的隐私声明。
- 6.3. 数据控制者应在数据控制者或其收集个人数据的任何数据主体要求时,要求数据处理者清除个人数据,除非适用法律另有规定数据处理者必须保留该个人数据。
- 6.4. 如果数据控制者收到或得知以下任何情况,应立即书面通知数据处理者:
- 6.4.1. 指示违反数据隐私法关于个人数据的投诉或指控;
- 6.4.2. 一个或多个个人要求访问、更正或删除个人数据的请求;
- 6.4.3. 一个或多个个人就个人数据的收集、处理、使用或传输提出的询问或投诉;以及
- 6.4.4. 任何寻求个人数据的监管请求、搜查令或其他法律、监管、行政或政府程序
- 7. 数据处理者的义务
- 7.1. 处理者将遵循从控制者、其关联公司、代理人或人员处收到的关于个人数据处理的书面和有记录的指示(包括电子邮件)(每项均为“指令”)。
- 7.2. 协议和相关文件中描述的处理应被视为控制者的指令。
- 7.3. 应数据控制者的请求,数据处理者将合理协助数据控制者回应/遵守数据主体行使其权利的请求/指示,或回应/遵守适用监管机构关于数据处理者处理个人数据的请求/指示。
- 7.4. 关于个人数据,数据控制者应根据数据保护法律获得同意(如有必要)和/或向数据主体提供通知,以使共享的个人数据能够按照本协议的设想提供给另一方并由其使用。
- 7.5. 如果共享的个人数据被传输到数据处理者的地域范围之外,传输方应确保此类数据的接收方负有合同义务,以不低于本DPA和数据保护法律规定的标准保护此类个人数据。
- 7.6. 如果处理者认为某项处理指令违反了适用法律或法规,应通知控制者。
- 7.5. 作为数据处理者,考虑到处理的性质以及数据处理者可获取的信息,数据处理者应协助数据控制者根据GDPR的要求进行任何必要的数据保护影响评估(DPIA)。
- 8. 数据保密
- 8.1. 为处理个人数据,处理者将使用符合以下条件的人员:
- 8.1.1. 了解个人数据的保密性质,并且
- 8.1.2. 根据协议履行服务。
- 8.2. 处理者将根据公认的行业惯例,定期对有权访问个人数据的个人进行数据安全和数据隐私方面的培训,并应确保所有个人数据严格保密。
- 8.3. 处理者将根据双方书面共同同意的规范和标准,采取适当的技术和组织措施,以保护个人数据的安全性、保密性和完整性。
- 8.1. 为处理个人数据,处理者将使用符合以下条件的人员:
- 9. 审计权
- 9.1. 根据控制者的合理请求,处理者将向控制者提供合理必要的信息,以证明处理者在处理个人数据方面遵守其在欧盟 GDPR 或其他适用法律下的义务。
- 9.2. 当控制者希望在处理者场所进行审计(由其自身或通过代表)时,应至少提前十五 (15) 天向处理者发出书面通知;处理者将为控制者或其代表进行的审计(包括检查)提供合理的合作和协助。
- 9.3. 控制者应承担此类审计的费用。
- 10. 数据传输机制
- 处理者在欧洲经济区以外国家进行处理的任何数据传输(“EEA”)应仅按照数据处理协议附表 1 中详述的规定进行。如果此类示范条款未与本数据处理协议同时签署,则在为履行协议需要将个人数据传输到 EEA 之外的情况下,处理者不应无故拒绝签署此类模板示范条款。
- 11. 分处理者
- 11.1. 控制者承认并同意,处理者在履行服务时可以聘用第三方分处理者,前提是此类分处理者采取技术和组织措施,以确保与其共享的个人数据的保密性;处理者目前聘用并经控制者批准的分处理者列于本协议附表 1 附件 III 中。处理者应在计划对附件 III 中列出的分处理者进行任何更改或增加之前至少提前三十 (30) 个日历日通知控制者,通过电子邮件将更改通知发送给客户。根据 GDPR 第 28(4) 条,对于分处理者未能履行其在本数据处理协议项下的数据保护义务(与服务履行相关),处理者仍应对控制者承担责任。
- 11.2. 如果控制者担心分处理者处理个人数据合理可能导致控制者违反其在 GDPR 下的数据保护义务,控制者可以反对处理者使用该分处理者,并且处理者和控制者应真诚协商以解决该问题。
- 12. 个人数据泄露通知
- 12.1. 处理者应在发生个人数据泄露(如 GDPR 所定义)时保持既定程序,并且,如果发现任何个人数据泄露,应立即通知控制者,除非此类数据泄露不太可能对自然人的权利和自由造成风险。
- 12.2. 处理者应向控制者提供一切合理协助,以遵守向监管机构和/或数据主体通知个人数据泄露的要求,查明此类数据泄露的原因,并采取合理必要的商业合理措施来减轻和补救此类数据泄露。
- 12.3. 处理者不承认过失。处理者根据本数据处理协议对个人数据泄露的通知或回应,不应被解释为处理者承认对该数据事件的任何过失或责任。
- 13. 个人数据的返还和删除
- 13.1. 在协议终止或处理者根据协议停止服务后(以较早者为准)至少三十 (30) 天内,处理者应将所有个人数据返还给控制者,或者,如果控制者指示,处理者应删除个人数据。处理者应以常用格式或以控制者酌情决定的当前存储格式返还此类个人数据,并在收到控制者通知后,在合理可行的情况下尽快完成。
- 13.2. 无论如何,处理者应在协议终止后,在合理可行的情况下尽快删除个人数据,包括其所有副本。
- 14. 技术和组织措施
- 考虑到技术发展水平和实施任何措施的成本,处理者将采取适当的技术和组织措施,防止未经授权或非法处理个人数据,以及防止个人数据意外丢失、毁坏或损坏,以确保达到以下安全水平:(a) 未经授权或非法处理、意外丢失、毁坏或损坏可能造成的损害;以及 (b) 需保护数据的性质[包括附表 1 附件 II 中所述的措施]。
附表 1
附件一
A. 各方列表
数据出口方:
- 姓名: 客户(如相关订单中所示)。
地址:如相关订单中所示。
联系人姓名、职位和联系方式:如相关订单中所示。
与根据本条款传输的数据相关的活动:根据协议接收Slide Craft Technologies 私人有限公司提供的服务。
签名和日期:签名和日期载于协议中。
角色(控制者/处理者):控制者
数据进口方:
- 姓名: Slide Craft Technologies 私人有限公司
地址:Cabin no 05 63/3 4th Floor, Arham Towers Off K R Road, Bangalore South, 560082, Karnataka
联系人姓名、职位和联系方式:Avinash DPO, avinash@deck.in
欧盟代表联系方式:Rickert Rechtsanwaltsgesellschaft mbH, art-27-rep-slidecraft@rickert.law
与根据本条款传输的数据相关的活动:根据协议向客户提供服务。
签名和日期:签名和日期载于协议中。
角色(控制者/处理者):处理者。
B. 传输说明
- 个人数据被传输的数据主体类别
- 客户服务的授权用户。
传输的个人数据类别
- 姓名、地址、出生日期、年龄、教育程度、电子邮件、性别、图像、职业、语言、电话、关联人、关联网址、用户ID、用户名。
传输的敏感数据(如适用)以及充分考虑数据性质和所涉风险而采取的限制或保障措施,例如严格的目的限制、访问限制(包括仅限接受过专门培训的人员访问)、保留数据访问记录、进一步传输的限制或额外的安全措施。
- 未收集敏感数据。
传输频率(例如,数据是单次传输还是持续传输)。
- 持续进行
处理的性质
处理的性质在协议和随附订单中更详细地描述
数据传输和进一步处理的目的
传输目的是为了促进在协议和随附订单中更详细描述的服务的履行。
个人数据的保留期限,或者,如果无法确定,则为确定该期限所使用的标准
客户个人数据的保留期限在协议、附录和随附订单中更详细地描述。
对于向(子)处理者进行的传输,也应指明处理的主题、性质和期限
- 处理的主题、性质和期限在协议、附录和随附订单中更详细地描述。
C. 主管监督机构
数据出口方设立于欧洲经济区(EEA)国家。
主管监督机构根据欧盟标准合同条款(EU SCCs)第13条的适用情况确定。
附录二
技术和组织措施,包括旨在确保数据安全的技术和组织措施
技术和组织安全措施说明,由Slide Craft Technologies Pvt Ltd作为数据处理者/数据进口方实施,以确保适当的安全级别,并考虑到处理的性质、范围、背景和目的,以及对自然人权利和自由的风险。
- 安全
- 安全管理系统.
- 组织. Slide Craft Technologies Pvt Ltd 指定合格的安全人员,其职责包括信息安全方案的制定、实施和持续维护。
- 政策. 管理层审查并支持所有安全相关政策,以确保客户个人数据的安全性、可用性、完整性和保密性。这些政策每年至少更新一次。
- 评估. Slide Craft Technologies Pvt Ltd 聘请信誉良好的独立第三方,每年至少一次对所有包含客户个人数据的系统进行风险评估。
- 风险处理. Slide Craft Technologies Pvt Ltd 维护一套正式且有效的风险处理方案,包括渗透测试、漏洞管理和补丁管理,以识别并防范可能威胁客户个人数据安全、完整性或保密性的潜在威胁。
- 供应商管理. Slide Craft Technologies Pvt Ltd 维护有效的供应商管理计划
- 事件管理。 Slide Craft Technologies Pvt Ltd 定期审查安全事件,包括有效确定根本原因和采取纠正措施。
- 标准。 Slide Craft Technologies Pvt Ltd 运营符合 ISO/IEC 27001:2022 标准要求的信息安全管理系统。
- 人员安全。
- Slide Craft Technologies Pvt Ltd 人员必须遵守公司关于保密、商业道德、合理使用和专业标准的指导方针。 Slide Craft Technologies Pvt Ltd 对根据本协议将访问客户数据的任何员工进行合理适当的背景调查,包括就业历史和犯罪记录,在法律允许的范围内,并符合适用的当地劳动法、惯例和法规。
- 人员在受雇时必须签署书面保密协议,并始终保护客户个人数据。人员必须确认已收到并遵守 Slide Craft Technologies Pvt Ltd的保密、隐私和安全政策。人员会接受关于如何实施和遵守信息安全计划的隐私和安全培训。处理客户个人数据的人员需要根据其角色完成额外的要求(例如,获得认证)。 Slide Craft Technologies Pvt Ltd 未经授权,其人员不会处理客户个人数据。
- 访问控制
- 访问管理. Slide Craft Technologies Pvt Ltd 维护正式的访问管理流程,用于请求、审查、批准和配置所有有权访问客户个人数据的人员,以限制对客户个人数据以及存储、访问或传输客户个人数据的系统的访问,仅限于有此访问需求的经过适当授权的人员。定期进行访问审查,以确保只有仍然需要访问客户个人数据的人员才拥有该权限。
- 基础设施安全人员. Slide Craft Technologies Pvt Ltd 制定并维护针对其人员的安全策略,并要求其人员将安全培训作为其培训方案的一部分。 Slide Craft Technologies Pvt Ltd的基础设施安全人员负责持续监控 Slide Craft Technologies Pvt Ltd 的安全基础设施、服务审查以及安全事件响应。
- 访问控制和权限管理. Slide Craft Technologies Pvt Ltd的管理员和客户的最终用户必须通过多因素身份验证系统或单点登录系统进行身份验证,才能使用服务
- 内部数据访问流程和策略 – 访问策略. Slide Craft Technologies Pvt Ltd的内部数据访问流程和策略旨在防止未经授权访问、使用、披露、更改或销毁客户个人数据。 Slide Craft Technologies Pvt Ltd 设计其系统,仅允许授权人员根据“最小权限”和“按需知悉”原则访问其被授权访问的数据,并防止未经授权的人员获取访问权限。 Slide Craft Technologies Pvt Ltd 要求使用唯一的用户ID、强密码、双因素认证和严格监控的访问列表,以最大程度地减少未经授权的账户使用。访问权限的授予或修改基于:授权人员的职责;执行授权任务所需的工作职责要求;按需知悉原则;并且必须符合 Slide Craft Technologies Pvt Ltd 的内部数据访问策略和培训。审批通过工作流工具进行管理,这些工具会保留所有更改的审计记录。系统访问会被记录,以创建可追溯的审计跟踪。对于需要密码进行身份验证(例如,登录工作站)的情况,密码策略遵循行业标准实践。这些标准包括密码复杂性、密码有效期、密码锁定、限制密码重用以及在一段时间不活动后重新提示输入密码。
- 数据中心和网络安全
- 数据中心。
- 基础设施。 Slide Craft Technologies Pvt Ltd 将AWS作为其数据中心。
- 弹性。 已在AWS上启用多可用区,并且 Slide Craft Technologies Pvt Ltd 定期进行备份恢复测试,以确保系统弹性。
- 服务器操作系统。Slide Craft Technologies Pvt Ltd 服务器根据应用环境进行定制,并已进行加固以确保服务的安全性。 Slide Craft Technologies Pvt Ltd 采用代码审查流程,以提高用于提供服务的代码安全性,并增强生产环境中的安全产品。
- 灾难恢复. Slide Craft Technologies Pvt Ltd 通过多个系统复制数据,以帮助防止意外破坏或丢失。 Slide Craft Technologies Pvt Ltd 已设计并定期规划和测试其灾难恢复程序。
- 安全日志。Slide Craft Technologies Pvt Ltd 的系统已启用日志记录到各自的系统日志设施,以支持安全审计,并监控和检测对或入侵的实际和尝试性攻击, Slide Craft Technologies Pvt Ltd 的系统。
- 漏洞管理。Slide Craft Technologies Pvt Ltd 对其生产和开发环境的所有基础设施组件进行定期漏洞扫描。漏洞修复基于风险评估,所有组件的关键、高危和中危安全补丁都会在商业上可行的情况下尽快安装。
- 数据中心。
- 网络与传输。
- 数据传输. 生产环境中的传输通过互联网标准协议进行。
- 外部攻击面. AWS 安全组(相当于虚拟防火墙)已在 AWS 生产环境中部署。
- 事件响应. Slide Craft Technologies Pvt Ltd 维护事件管理政策和程序,包括详细的安全事件升级程序。 Slide Craft Technologies Pvt Ltd 监控各种通信渠道以发现安全事件,并 Slide Craft Technologies Pvt Ltd的安全人员将迅速响应可疑或已知事件,减轻此类安全事件的有害影响,并记录此类安全事件及其结果。
- 加密技术. Slide Craft Technologies Pvt Ltd 为传输中的数据提供HTTPS加密(也称为SSL或TLS)。
- 数据存储、隔离、认证和销毁。Slide Craft Technologies Pvt Ltd 在AWS服务器上的多租户环境中存储数据。数据、服务数据库和文件系统架构在AWS的多个可用区之间进行复制。 Slide Craft Technologies Pvt Ltd 逻辑隔离不同客户的数据。所有服务均采用中央认证系统,以提高数据统一安全性。 Slide Craft Technologies Pvt Ltd 通过一系列数据销毁流程,确保客户数据的安全销毁。
附件三
子处理者列表
控制者已授权使用以下子处理者: