本翻译仅为方便阅读而提供。如有任何不一致之处,以本文件的英文版本为准,英文版本是唯一具有法律约束力的文本。
数据处理协议
数据处理协议
本数据处理协议("DPA")由以下双方签订:
- Sonetel AB (publ),组织编号 556486-5847("供应商");以及
- 您所代表的公司或实体("客户")
以下合称为"双方"或单独称为"一方"。
1. 背景
1.1 本 DPA 构成供应商与客户之间主服务协议("协议")的组成部分。1.2 在签订协议后,供应商将作为处理者代表客户处理个人数据。客户是个人数据处理的控制者。1.3 如果客户与另一方就相关个人数据共同担任控制者,客户应相应地通知供应商。1.4 本协议的目的是确保处理活动符合数据处理的适用要求和数据保护规则下的义务,并确保在协议框架内供应商执行服务期间,从客户向供应商传输个人数据时对个人完整性和个人基本权利提供充分保护。
2. 定义
| "处理" | 指对个人数据或个人数据集执行的任何操作或一组操作,无论是否通过自动化方式,例如收集、记录、组织、结构化、存储、改编或更改、检索、查询、使用、通过传输披露、传播或以其他方式提供、对齐或组合、限制、删除或销毁; |
|---|---|
| "个人数据" | 指与已识别或可识别的自然人("数据主体")相关的任何信息;可识别的自然人是指可以直接或间接识别的人,特别是通过参考诸如姓名、识别号码、位置数据、在线标识符或与该自然人的身体、生理、遗传、心理、经济、文化或社会身份相关的一个或多个特定因素来识别; |
| "数据保护规则" | 指不时适用的关于个人数据处理的法律法规,包括但不限于欧洲议会和理事会第(EU) 2016/679号法规("GDPR")、监管机构的约束性决定、法规和建议以及关于数据保护的补充性地方适应和法规。 |
| "控制者" | 指单独或与他人共同决定个人数据处理目的和方式的自然人或法人、公共机构、机关或其他机构;如果此类处理的目的和方式由欧盟或成员国法律确定,则控制者或其提名的具体标准可由欧盟或成员国法律规定; |
| "处理者" | 指代表控制者处理个人数据的自然人或法人、公共机构、机关或其他机构; |
| "分处理者" | 指代表供应商作为分处理者处理个人数据的自然人或法人; |
| "数据主体" | 指个人数据所涉及的自然人。 |
| "监管机构" | 指根据第51条由成员国设立的独立公共机构。瑞典的监管机构是瑞典数据保护局。 |
2.1 除非另有说明,本 DPA 中使用的任何其他大写字母术语或概念(在某些情况下作为标题的一部分除外)应具有数据保护规则中确立的含义和概念,否则应具有协议中的含义,除非情况明显需要另一种解释。
3. 责任和指示
3.1 客户是供应商根据协议代表客户处理的所有个人数据的控制者。因此,客户负责遵守数据保护规则。客户承诺向供应商告知与根据本协议执行处理相关的数据保护规则。除了根据数据保护规则直接适用于处理者的要求外,供应商还应有义务遵守客户已告知供应商的数据保护规则和监管机构建议的其他适用要求。客户还应持续向供应商告知第三方(包括监管机构和数据主体)因处理而采取的行动。3.2 供应商以及在供应商授权下行事的任何人,如有权访问个人数据,不得出于任何其他目的处理这些数据,除非符合客户的书面指示或根据数据保护规则。适用于本 DPA 的指示载于_附录1_。除附录1中列出的指示外,本 DPA 和协议构成客户关于个人数据处理的指示。客户应立即将影响供应商在本 DPA 下义务的任何变更通知供应商。3.3 如果欧盟法律或供应商或分处理者所属成员国的国家法律要求,本 DPA 下的个人数据也可能被处理。如果需要此类处理,供应商或分处理者应在处理前将法律要求通知客户,除非根据该法律的公共利益禁止此类信息。3.4 供应商有权存储和处理从客户获得的以汇总或匿名格式的数据,这些数据在本 DPA 下不包含个人数据。
4. 安全
4.1 供应商应实施数据保护规则要求的技术和组织措施,以确保与风险相适应的安全级别,并保护正在处理的个人数据免遭意外或非法破坏、丢失或更改,或未经授权披露或访问正在处理的个人数据。4.2 供应商应协助客户确保履行 GDPR 第32-36条下的义务,同时考虑处理类型和供应商可获得的信息。4.3 供应商应在获悉个人数据泄露后立即通知客户。
5. 个人数据和信息的披露
5.1 如果供应商收到来自数据主体、监管机构或其他第三方的请求,要求获取供应商代表客户处理的个人数据的相关信息,供应商应立即将该请求转发给客户。供应商以及在供应商授权下行事的任何人,不得在没有客户明确指示的情况下披露个人数据或关于个人数据处理的其他信息,除非根据适用的数据保护规则要求此类披露。5.2 供应商应通过采取适当的技术和组织措施协助客户履行其响应数据主体访问、更正和删除权利请求的义务,同时考虑处理的性质,并在适用的国家法律要求时协助披露个人数据。
6. 与监管机构的联系
6.1 供应商应将监管机构关于本 DPA 下个人数据处理的任何联系通知客户。除非数据保护规则要求,否则供应商无权代表客户或代表客户与监管机构打交道。
7. 分处理者
7.1 个人数据可由分处理者处理,前提是供应商与分处理者签订书面协议,该协议对其施加与本 DPA 规定的处理个人数据时相应的义务。7.2 供应商承诺将任何聘用新分处理者或更换分处理者的计划通知客户。客户有权反对此类变更。此类反对只能涉及与根据 DPA 处理个人数据时履行技术和组织安全要求相关的客观理由。7.3 供应商负责确保考虑数据保护规则下使用分处理者的要求,并确保此类分处理者提供充分保证,以实施适当的技术和组织措施,使处理符合数据保护规则的要求。7.4 供应商应向客户提供根据本 DPA 指定用于处理个人数据的分处理者的正确和最新列表,以及联系信息和处理的地理位置。客户可在 https://sonetel.com/en/help/help-topics/terms-conditions/sub-processors/ 查看此列表。供应商承诺在分处理者列表有任何更新时通知客户,并确保其始终正确。7.5 如果分处理者未能履行协议、本 DPA 和/或数据保护规则下的义务,供应商应负责履行分处理者对客户的义务。
8. 审计
8.1 供应商应在客户向供应商提出此类请求后的合理时间内,向客户提供遵守本 DPA 和数据保护规则义务所需的所有信息。8.2 供应商应启用并促进审计,包括由客户或客户选择的另一独立审计师(费用由客户承担)进行的检查,且供应商可合理接受。审计师在审计前必须签署供应商提供的充分保密协议。客户有权每年免费进行一次审计。如果客户希望进行额外审计,客户必须补偿供应商与审计相关的所有费用。8.3 关于本 DPA 第8条规定的义务,如果供应商认为某项指示违反了数据保护规则,供应商应立即通知客户。
9. 向欧盟/欧洲经济区以外传输个人数据
9.1 如果供应商和/或分处理者将个人数据传输到欧盟/欧洲经济区以外的地点,供应商和/或分处理者应确保此类传输符合适用的数据保护规则。
10. 保密
10.1 供应商应在适用的情况下遵守适用于机密或保密信息的国家立法。供应商承诺确保授权根据本 DPA 处理个人数据的人员已承诺对处理保密或受适用的法定保密义务约束。10.2 上述第10.1条不适用于监管机构根据数据保护规则或其他法定义务要求的信息。10.3 保密义务在协议和/或 DPA 终止后仍然适用。
11. 数据可携性
11.1 供应商应确保客户能够履行与供应商代表客户处理的个人数据相关的数据可携性义务。
12. 补偿
12.1 如果根据第5、8、9和11条对供应商施加的义务导致供应商的大量工作,供应商应有权从客户处获得合理补偿。12.2 如果客户根据第7条对新分处理者提出合法反对,而供应商不同意更换分处理者,供应商应有权从客户处获得额外补偿,以补偿因无法使用该分处理者而给供应商造成的费用。12.3 如果客户的处理指示超出供应商通常向其客户提供的服务的功能和安全级别,供应商应有权就因此产生的所有工作和所有费用获得合理补偿,例如,在供应商的系统/服务或其他需要供应商代表客户进行特殊调整的情况下。
13. 责任
13.1 如果供应商、在供应商授权下行事的任何人或分处理者违反本 DPA 或客户提供的数据处理指示处理个人数据,供应商应在考虑协议产生的责任限制的情况下,就客户因错误处理而遭受的直接损害向客户进行补偿。无论本协议中的责任限制如何,供应商根据第13.1款的责任应始终限于相当于客户在损害发生前十二(12)个月内根据协议向供应商支付的费用的金额。如果协议在整个合同年度内未生效,则该金额应根据客户预期在协议下的合同年度内支付的费用计算。13.2 在本 DPA 期限内及之后,客户应就供应商因客户的不明确、不充分或非法指示或其他源于客户的情况而遭受的任何直接损害(包括来自数据主体和第三方的索赔)对供应商进行赔偿并使其免受损害。13.3 上述第13.1条规定的供应商的损害赔偿义务仅在以下情况下适用:i) 客户立即以书面形式将针对客户的任何索赔通知供应商;以及 ii) 客户允许供应商控制索赔的辩护并就和解做出独立决定。
14. 期限和终止
14.1 本 DPA 在双方正式签署后生效,可作为协议的修订单独签署,也可作为协议的一部分签署,并在供应商代表客户处理个人数据期间保持有效。14.2 在协议或本 DPA 终止时(以先发生者为准),供应商应根据客户的指示删除或将所有个人数据返还给客户,并确保所有分处理者也这样做。14.3 如果客户未要求返还个人数据,供应商应在 DPA 或协议终止后(以先发生者为准)90天内删除数据。除非欧盟法律或成员国国家法律要求存储个人数据,否则供应商应删除任何现有副本。
15. 变更和补充
15.1 如果在本 DPA 期限内数据保护规则发生变更,或者监管机构发布关于数据保护规则应用的指南、决定或法规,导致本 DPA 不再满足 DPA 的要求,双方应对本 DPA 进行必要的变更,以满足此类新的或额外的要求。此类变更应在一方向另一方发送变更通知后不迟于三十(30)天生效,或不迟于数据保护规则、监管机构的指南、决定或法规规定的时间生效。15.2 对本 DPA 的其他变更和补充,为具有约束力,必须以书面形式作出并由双方正式签署。
16. 其他
16.1 本 DPA 取代并替换双方之间所有先前的 DPA,并取代协议中关于本 DPA 主题事项的任何不同规定,无论协议中是否另有说明。16.2 本 DPA 应受与协议相同的法律管辖,并受与协议相同的法院管辖。16.3 此外,协议的条款也应适用于供应商对个人数据的处理以及本 DPA 下的义务。但是,如果协议和本 DPA 的规定之间存在矛盾,则关于所有个人数据处理,DPA 的规定将优先。协议的规定不得限制或修改本 DPA 的任何义务。16.4 本 DPA 应受协议中规定的相同法律管辖,并受协议中规定的相同法院管辖。
附录1 – 数据处理指示
在这些数据处理指示中,所有大写单词应具有 DPA 中定义的相同含义,除非另有明确说明。
| 目的 请说明供应商作为客户的数据处理者处理个人数据的所有目的 | 供应商处理个人数据的目的是履行协议下的服务。个人数据也可能为 IT 支持和相关服务而处理。此外,供应商处理数据用于欺诈检测和其他预防措施。 |
|---|---|
| 数据类别 请说明供应商作为数据处理者将处理的个人数据 | 供应商处理以下类别的个人数据: |
- 客户在使用供应商服务时传输给供应商的信息和数据,
- 与使用供应商服务相关的用户数据和信息,
- 最终用户生成的内容,以及
- 与 IT 支持和相关服务相关的其他信息。
供应商不处理敏感个人数据,客户负责确保不将敏感个人数据传输到供应商的服务,除非供应商事先以书面形式同意此类处理。 数据主体类别 请说明供应商作为数据处理者将处理其个人数据的数据主体类别 | 供应商处理以下类别的数据主体:
- 注册用户的信息,以及
- 客户通过使用供应商的任何服务传输给供应商的材料中出现的数据主体的信息,以及
- 最终用户信息。
保留要求 请说明供应商存储个人数据的保留时间 | 个人数据必须应客户要求并根据客户的指示删除。 供应商在协议或 DPA 终止后有90天的保留期。