本数据处理协议(“协议”)属于GrabzIt Limited的《服务合同》的一部分 条款和条件 (“主要协议”).
本协议是对《主协议》的修订,在其并入《主协议》后生效,该合并可以在《主协议》或《主协议》的已执行修订中指定。 成立后 into主协议,本协议将成为主协议的一部分。
我们会定期更新本协议。 如果您有一个活动的GrabzIt帐户,则将通过电子邮件通知您任何修改。 在此页面的底部,您可以找到 DPA的存档版本.
本协议的期限应遵循主协议的期限。 本文中未定义的术语具有主协议中规定的含义。
(A)公司充当数据控制者。
(B)公司希望将某些服务(包括对个人数据的处理)分包给数据处理器。
(C)双方寻求实施符合当前法律框架中有关数据处理的要求以及欧洲议会和2016理事会4月679的(EU)27 / 2016条例的数据处理协议。在处理个人数据以及此类数据的自由移动方面保护自然人,并废除95 / 46 / EC指令(通用数据保护法规)。
(D)缔约方希望规定其权利和义务。
1.1除非本文另有定义,否则本协议中使用的大写术语和表达应具有以下含义:
1.1.1“协议”是指本数据处理协议和所有时间表;
1.1.2“公司个人数据”是指由合同处理方代表公司根据或与主要协议有关的任何个人数据;
1.1.3“合约处理器”是指子处理器;
1.1.4“数据保护法”是指欧盟数据保护法,并在适用的情况下,是其他任何国家/地区的数据保护或隐私法;
1.1.5“ EEA”是指欧洲经济区;
1.1.6“欧盟数据保护法”是指欧盟指令95 / 46 / EC(已转置) into每个成员国的国内立法,并不时加以修改,替代或取代,包括GDPR和实施或补充GDPR的法律;
1.1.7“ GDPR”是指欧盟通用数据保护法规2016 / 679;
1.1.8“数据传输”是指:
1.1.8.1将公司的个人数据从公司转移到合约处理方; 要么
1.1.8.2,将公司个人数据从合同处理方转移到分包处理方,或者在两个地方的合同处理方之间转移,在每种情况下,此类转移均会受到数据保护法(或数据转移协议条款的禁止)到位以解决《数据保护法》中的数据传输限制);
1.1.9“服务”是指GrabzIt提供的Web捕获和转换服务。
1.1.10“子处理器”是指任何人int由“处理器”或“处理器”代表处理,以代表“公司”处理与协议有关的“个人数据”。
1.2“委员会”,“控制人”,“数据主体”,“会员国”,“个人数据”,“个人数据违规”,“处理”和“监管机构”等术语应具有与GDPR中相同的含义,其相关术语应作相应解释。
2.1处理器应:
2.1.1在处理公司个人数据时遵守所有适用的数据保护法; 和
2.1.2除处理相关公司的书面说明外,不会处理公司的个人数据。
2.2公司指示处理者处理公司的个人数据。
处理者应采取合理步骤,以确保可能访问公司个人数据的任何合同处理者的任何雇员,代理或承包商的可靠性,并确保在每种情况下访问严格限于需要了解/访问相关个人的个人。为实现主要协议的目的而严格必要的公司个人数据,并在该人对订约处理方的职责范围内遵守适用法律,以确保所有此类人均受到保密承诺或专业或法定保密义务的约束。
4.1服用 into考虑到现有技术水平,实施成本以及处理的性质,范围,背景和目的以及自然人的权利和自由变化的可能性和严重性的风险,处理方应与公司个人相关数据会采取适当的技术和组织措施以确保适合该风险的安全级别,包括GDPR第32(1)条所指的措施。
4.2在评估适当的安全级别时,处理器应特别考虑到处理(尤其是来自个人数据泄露)所带来的风险。
5.1 Appoint子处理器。 您承认并同意:(a)GrabzIt Limited可以就服务条款聘请第三方聘请的第三方分处理器。 GrabzIt Limited将进入 int与分处理器的书面协议,对分处理器施加了与本协议赋予GrabzIt Limited相似的数据保护义务。 如果子处理器未能履行与GrabzIt Limited达成的书面协议规定的数据保护义务。 对于GrabzIt Limited的主要协议中另有规定的情况,GrabzIt Limited将对您根据该协议履行次级处理器义务承担责任。 通过此DPA,数据控制器向GrabzIt作为数据处理器提供一般书面授权,以根据需要聘请子处理器来执行服务。
5.2当前子处理器列表。 GrabzIt Limited将提供该服务的子处理器列表。 可以找到GrabzIt Limited子处理器的最新列表 请点击此处。。 GrabzIt Limited将更新列表,以反映对GrabzIt Limited的子处理器的任何添加,替换或更改。
新子处理器的5.3异议权。 您可以合理地反对GrabzIt Limited使用新的子处理器。 数据控制器承认这些子处理器对于提供服务至关重要,并且反对使用子处理器可能会阻止GrabzIt Limited向数据控制器提供服务。
6.1服用 into考虑到处理的性质,处理器应在可能的范围内通过采取适当的技术和组织措施来协助公司,以履行公司合理理解的公司义务,以响应行使数据主体权利的要求根据《数据保护法》。
6.2处理器应:
如果6.2.1根据任何《数据保护法》从数据主体收到有关公司个人数据的请求,XNUMX会立即通知公司; 和
6.2.2确保除公司书面说明或处理方所适用的适用法律所规定外,不对请求作出回应,在这种情况下,处理方应在适用法律允许的范围内,在处理前向公司通知该法律要求。订约处理者响应该请求。
7.1处理器应在处理器得知影响到公司个人数据的个人数据泄露后立即通知公司,并向公司提供足够的信息,以使公司能够履行根据数据保护而举报或通知数据主体的任何义务法律。
7.2 Processor应与公司合作,并按照公司指示采取合理的商业步骤,以协助调查,缓解和补救此类个人数据泄露。
8.1处理程序应在公司合理地认为GDPR第35或36条或其他任何同等规定要求的任何数据保护影响评估以及与监管机构或其他主管数据保密当局的事先协商中向公司提供合理的帮助。数据保护法,在每种情况下均仅涉及通过并处理公司的个人数据 into说明处理的性质以及订约处理者可获得的信息。
9.1在不违反本节的规定的前提下,9处理者应在涉及公司个人数据处理的任何服务终止之日(以下简称“终止日期”)的10个工作日内(无论如何)删除并促使其删除所有这些副本公司个人资料。
10.1在不违反本节10的前提下,处理器应应要求向公司提供一切必要的信息,以证明其符合本协议的规定,并应允许并协助公司或公司委托的审计师进行审计(包括检查)合同处理方处理公司的个人数据。
10.2公司的信息和审计权仅在10.1条下产生,前提是该协议没有以其他方式给予他们满足《数据保护法》相关要求的信息和审计权。
10.3可以在工作时间内要求进行审核,每六个月最多可以进行一次审核,并通知30天。 审核产生的任何费用将由公司承担。
11.1双方同意GrabzIt Limited可以根据需要将根据本DPA处理的个人数据转移到欧洲经济区(EEA)或瑞士以外的国家/地区,以提供服务。 如果GrabzIt Limited将受本DPA保护的个人数据转移到欧洲委员会尚未发布充分性决定的国家。 GrabzIt将确保已根据适用法律实施了适当的个人数据传输保护措施。
12.1机密性。 双方必须对本协议及其收到的有关另一方及其与本协议有关的业务的信息(“机密信息”)保密,并且未经另一方事先书面同意,不得使用或披露该机密信息。程度:
(a)法律要求披露;
(b)相关信息已经在公共领域。
12.2通知。 根据本协议提供的所有通知和通讯必须以书面形式进行,并且将通过电子邮件发送。 应当通过发送至与《主要协议》有关其使用服务的地址的电子邮件来通知控制人。 应通过发送到以下地址的电子邮件通知处理者:support@grabz.it
由本DPA,合同中的天气,侵权行为或任何其他责任理论引起或与之相关的每一方(包括其各自的关联公司)的责任,均应遵守GrabzIt Limited委托人的“责任限制”部分协议及本节中对一方责任的任何提及,均指该方及其所有关联公司根据GrabzIt的有限主要协议以及所有DPA的总责任。
14.1本协议受英国法律管辖。
14.2与本协议相关的任何纠纷,当事双方将无法友好解决,将提交给英国法院的专属管辖权。
最近更新:8th 十一月2019
你也可以 下载 本数据处理协议为PDF格式。
请以以下PDF格式下载我们的数据处理协议的以前版本:
