數據處理協議 (DPA)

Avatar
Strikingly Tech

一、適用性

本數據處理協議僅適用於客戶或其最終用戶是位於歐洲經濟區或瑞士境內的數據主體的客戶。

 

二、 處理角色和活動

  1. Strikingly作為處理器和用戶作為控制器。在 Strikingly 和客戶之間,客戶是客戶數據的數據控制者,Strikingly 應僅作為代表客戶行事的數據處理器處理客戶數據。
  2. 對數據的處理。客戶同意 (i) 在處理客戶數據及其向 Strikingly 發出的任何處理指令方面,其應遵守數據保護法規定的數據控制者義務;(ii) 它已提供通知並獲得(或應獲得)數據保護法項下的所有必要同意和權利,以便 Strikingly 根據協議和本 DPA 處理客戶數據和提供服務。
  3. Strikingly客戶數據處理。Strikingly 應僅出於本 DPA 中描述的目的且僅根據客戶的書面合法說明處理客戶數據。雙方同意,本 DPA 和協議規定了客戶就客戶數據的處理和處理向 Strikingly 提供的完整和最終指示。
  4. 遵守法律。客戶應確保其指示符合與受控數據相關的所有適用法律、法規和規則。此外,客戶應確保合法收集其受控數據。Strikingly 不會訪問或使用客戶的數據,除非為維護或提供服務所必需,或者為遵守法律或政府、執法或監管機構的約束性命令所必需。

三、數據處理詳情

  1. 主旨。本 DPA 下數據處理的主題是客戶數據。
  2. 持續時間。在 Strikingly 和客戶之間,根據本 DPA 處理數據的持續時間為協議根據其條款終止。
  3. 目的。根據本 DPA 處理數據的目的是向客戶提供服務以及履行 Strikingly 在本協議(包括本 DPA)下或雙方另有約定的義務。
  4. 數據主體的類別。通過客戶的帳戶(“用戶”)訪問和/或使用服務的任何個人;和任何個人:(i) 其電子郵件地址包含在客戶的分發列表中,(ii) 其資訊存儲在服務上或通過服務收集,或 (iii) 客戶通過服務向其發送電子郵件或以其他方式與之互動或溝通(統稱為“訂閱者”)。
  5. 客戶數據的處理。引人注目地處理客戶提供的客戶數據。此類客戶數據可能包含特殊類別的數據,具體取決於客戶如何使用服務。客戶數據可能會受到以下流程活動的影響:(i) 提供、維護和改進向客戶提供的服務所必需的存儲和其他處理;(ii) 向客戶提供客戶和技術支持;(iii) 法律要求或協議中另有規定的披露。
  6. 客戶數據的類型。儘管協議中有任何相反的規定(包括本 DPA),客戶承認 Strikingly 有權使用和披露與服務的運營、支持和/或使用相關的和/或獲得的數據,以用於其合法的商業目的,例如計費、帳戶管理、技術支持、產品開發以及銷售和行銷。如果任何此類數據根據數據保護法被視為個人數據,Strikingly 是此類數據的控制者,因此應根據數據保護法處理此類數據。

 四、子處理器

  1. 授權的子處理器。客戶同意 Strikingly 可以委託子處理商代表客戶處理客戶數據。Strikingly 目前聘用的分處理商名單可應要求提供。
  2. 子處理器的義務。Strikingly 應: (i) 與分處理方簽訂書面協議,施加數據保護條款,要求處理方按照數據保護法要求的標準保護客戶數據;(ii) 對其遵守本 DPA 的義務以及處理者導致 Strikingly 違反其在本 DPA 下的任何義務的任何作為或不作為負責。

五、安全

  1. 安全措施。Strikingly 應實施和維護適當的技術和組織安全措施,以保護客戶數據免受安全事件的影響,並保護客戶數據的安全性和機密性。
  2. 客戶責任。儘管有上述規定,客戶同意,除非本 DPA 另有規定,否則客戶有責任確保其安全使用服務,包括保護其帳戶身份驗證憑據、保護客戶數據在往返於服務的傳輸過程中的安全以及採取任何適當的措施安全加密或備份上傳到服務的任何客戶數據的步驟。

六、國際傳輸

  1. 處理地點。Strikingly在歐盟以內或者以外的數據中心存儲和處理歐盟數據(定義如下)。所有其他客戶數據均可在美國及全球任何客戶、其關聯方和/或其子處理器維持數據處理操作的地方轉移和處理。Strikingly應根據《資料保護法》的要求,實施適當的保護措施,以保護在任何地方處理的個人資料。
  2. 轉移機制。儘管有第1 條的規定,如果 Strikingly 根據本 DPA 處理或傳輸(直接或通過繼續傳輸)來自歐盟、歐洲經濟區和/或其成員國和瑞士的個人數據(“歐盟數據”)在或向國家/地區如果不能確保上述地區適用的數據保護法所指的數據保護水準足夠高,則雙方同意 Strikingly 為此類數據提供適當的保護措施。客戶在必須遵守上述任何措施的前提下,在此授權向歐盟以外的目的地轉移或訪問歐盟數據。

七、額外的安全性

  1. 處理的保密性。Strikingly 應確保任何經 Strikingly 授權處理客戶數據的人(包括其員工、代理人和分包商)應承擔適當的保密義務(無論是合同義務還是法定義務)。
  2. 安全事件回應。在獲悉安全事件後,Strikingly 應立即通知客戶,並應及時提供與安全事件相關的資訊,因為它是已知的或應客戶的合理要求。

八、數據刪除

協議終止後,Strikingly 應(由客戶選擇)刪除其擁有或控制的客戶數據(包括副本),但此要求不適用於適用法律要求 Strikingly 保留部分或全部客戶的情況數據,或它已存檔在備份系統上的客戶數據,客戶數據 Strikingly 應安全隔離並保護這些數據免受任何進一步處理,除非適用法律要求。

 

九、合作

  1. 該服務為客戶提供了許多控制措施,客戶可以使用這些控制措施來檢索、更正、刪除或限制客戶數據,客戶可以使用這些控制措施來協助其履行 GDPR 規定的義務,包括與回應來自數據主體或適用的數據保護機構。如果客戶無法獨立訪問服務中的相關客戶數據,Strikingly 應(由客戶承擔費用)提供合理合作,以協助客戶回應個人或適用數據保護機構提出的與處理個人數據有關的任何請求根據協議。如果直接向 Strikingly 提出任何此類請求,未經客戶事先授權,Strikingly 不得直接回復此類通信,除非法律強制要求這樣做。如果 Strikingly 需要回應此類請求,Strikingly 應立即通知客戶並向其提供請求副本,除非法律禁止這樣做。
  2. 如果執法機構向 Strikingly 發送對客戶數據的要求(例如,通過傳票或法院命令),Strikingly 應嘗試重定向執法機構以直接向客戶請求該數據。作為這項工作的一部分,Strikingly 可能會向執法機構提供客戶的基本聯繫資訊。如果被迫向執法機構披露客戶數據,則 Strikingly 應向客戶發出合理通知,告知客戶允許客戶尋求保護令或其他適當補救措施,除非法律禁止 Strikingly 這樣做。
  3. 在歐盟數據保護法要求 Strikingly 的範圍內,Strikingly 應(由客戶承擔費用)提供合理要求的有關服務的資訊,以使客戶能夠根據法律要求進行數據保護影響評估或事先與數據保護機構協商。

 

還有其他問題?提交請求