数据处理协议 (DPA)

一、适用性

本数据处理协议仅适用于客户或其最终用户是位于欧洲经济区或瑞士境内的数据主体的客户。

 

二、 处理角色和活动

  1. Strikingly作为处理器和用户作为控制器。在 Strikingly 和客户之间,客户是客户数据的数据控制者,Strikingly 应仅作为代表客户行事的数据处理器处理客户数据。  
  2. 对数据的处理客户同意 (i) 在处理客户数据及其向 Strikingly 发出的任何处理指令方面,其应遵守数据保护法规定的数据控制者义务;(ii) 它已提供通知并获得(或应获得)数据保护法项下的所有必要同意和权利,以便 Strikingly 根据协议和本 DPA 处理客户数据和提供服务。  
  3. Strikingly客户数据处理。Strikingly 应仅出于本 DPA 中描述的目的且仅根据客户的书面合法说明处理客户数据。双方同意,本 DPA 和协议规定了客户就客户数据的处理和处理向 Strikingly 提供的完整和最终指示。  
  4. 遵守法律。客户应确保其指示符合与受控数据相关的所有适用法律、法规和规则。此外,客户应确保合法收集其受控数据。Strikingly 不会访问或使用客户的数据,除非为维护或提供服务所必需,或者为遵守法律或政府、执法或监管机构的约束性命令所必需。  

三、数据处理详情

  1. 主旨。本 DPA 下数据处理的主题是客户数据。 
  2. 持续时间。在 Strikingly 和客户之间,根据本 DPA 处理数据的持续时间为协议根据其条款终止。 
  3. 目的。根据本 DPA 处理数据的目的是向客户提供服务以及履行 Strikingly 在本协议(包括本 DPA)下或双方另有约定的义务。 
  4. 数据主体的类别。通过客户的帐户(“用户”)访问和/或使用服务的任何个人和任何个人:(i) 其电子邮件地址包含在客户的分发列表中,(ii) 其信息存储在服务上或通过服务收集,或 (iii) 客户通过服务向其发送电子邮件或以其他方式与之互动或沟通(统称为“订阅者”)。 
  5. 客户数据的处理。引人注目地处理客户提供的客户数据。此类客户数据可能包含特殊类别的数据,具体取决于客户如何使用服务。客户数据可能会受到以下流程活动的影响:(i) 提供、维护和改进向客户提供的服务所必需的存储和其他处理;(ii) 向客户提供客户和技术支持;(iii) 法律要求或协议中另有规定的披露。 
  6. 客户数据的类型。尽管协议中有任何相反的规定(包括本 DPA),客户承认 Strikingly 有权使用和披露与服务的运营、支持和/或使用相关的和/或获得的数据,以用于其合法的商业目的,例如计费、帐户管理、技术支持、产品开发以及销售和营销。如果任何此类数据根据数据保护法被视为个人数据,Strikingly 是此类数据的控制者,因此应根据数据保护法处理此类数据。

 四、子处理器

  1. 授权的子处理器。客户同意 Strikingly 可以委托子处理商代表客户处理客户数据。Strikingly 目前聘用的分处理商名单可应要求提供。  
  2. 子处理器的义务。Strikingly 应: (i) 与分处理方签订书面协议,施加数据保护条款,要求处理方按照数据保护法要求的标准保护客户数据;(ii) 对其遵守本 DPA 的义务以及处理者导致 Strikingly 违反其在本 DPA 下的任何义务的任何作为或不作为负责。

五、安全

  1. 安全措施。Strikingly 应实施和维护适当的技术和组织安全措施,以保护客户数据免受安全事件的影响,并保护客户数据的安全性和机密性。 
  2. 客户责任。尽管有上述规定,客户同意,除非本 DPA 另有规定,否则客户有责任确保其安全使用服务,包括保护其帐户身份验证凭据、保护客户数据在往返于服务的传输过程中的安全以及采取任何适当的措施安全加密或备份上传到服务的任何客户数据的步骤。 

六、国际传输

  1. 处理地点。Strikingly在欧盟以内或者以外的数据中心存储和处理欧盟数据(定义如下)。所有其他客户数据均可在美国及全球任何客户、其关联方和/或其子处理器维持数据处理操作的地方转移和处理。Strikingly应根据《资料保护法》的要求,实施适当的保护措施,以保护在任何地方处理的个人资料。
  2. 转移机制。尽管有第 6.1 条的规定,如果 Strikingly 根据本 DPA 处理或传输(直接或通过继续传输)来自欧盟、欧洲经济区和/或其成员国和瑞士的个人数据(“欧盟数据”)在或向国家/地区如果不能确保上述地区适用的数据保护法所指的数据保护水平足够高,则双方同意 Strikingly 为此类数据提供适当的保护措施。客户在必须遵守上述任何措施的前提下,在此授权向欧盟以外的目的地转移或访问欧盟数据。

七、额外的安全性

  1. 处理的保密性。Strikingly 应确保任何经 Strikingly 授权处理客户数据的人(包括其员工、代理人和分包商)应承担适当的保密义务(无论是合同义务还是法定义务)。  
  2. 安全事件响应。在获悉安全事件后,Strikingly 应立即通知客户,并应及时提供与安全事件相关的信息,因为它是已知的或应客户的合理要求。

八、数据删除

协议终止后,Strikingly 应(由客户选择)删除其拥有或控制的客户数据(包括副本),但此要求不适用于适用法律要求 Strikingly 保留部分或全部客户的情况数据,或它已存档在备份系统上的客户数据,客户数据 Strikingly 应安全隔离并保护这些数据免受任何进一步处理,除非适用法律要求。

 

九、合作

  1. 该服务为客户提供了许多控制措施,客户可以使用这些控制措施来检索、更正、删除或限制客户数据,客户可以使用这些控制措施来协助其履行 GDPR 规定的义务,包括与响应来自数据主体或适用的数据保护机构。如果客户无法独立访问服务中的相关客户数据,Strikingly 应(由客户承担费用)提供合理合作,以协助客户响应个人或适用数据保护机构提出的与处理个人数据有关的任何请求根据协议。如果直接向 Strikingly 提出任何此类请求,未经客户事先授权,Strikingly 不得直接回复此类通信,除非法律强制要求这样做。如果 Strikingly 需要回应此类请求,Strikingly 应立即通知客户并向其提供请求副本,除非法律禁止这样做。 
  2. 如果执法机构向 Strikingly 发送对客户数据的要求(例如,通过传票或法院命令),Strikingly 应尝试重定向执法机构以直接向客户请求该数据。作为这项工作的一部分,Strikingly 可能会向执法机构提供客户的基本联系信息。如果被迫向执法机构披露客户数据,则 Strikingly 应向客户发出合理通知,告知客户允许客户寻求保护令或其他适当补救措施,除非法律禁止 Strikingly 这样做。 
  3. 在欧盟数据保护法要求 Strikingly 的范围内,Strikingly 应(由客户承担费用)提供合理要求的有关服务的信息,以使客户能够根据法律要求进行数据保护影响评估或事先与数据保护机构协商。 

 

还有其它问题?提交请求