限时 为企业提供. 切换到硝基和保存! 看到促销细节.
产品信息
关于硝基 Products你需要知道的一切-从产品更新和下载, 到用户指南和发布说明.

数据处理附录

有效:10月28日th, 2022

本数据处理附录(“DPA”)构成硝基业务服务条款或硝基服务条款的一部分, 是适用的, governing the 使用 of 硝基’s services (“Agreement”) entered by and between You or the Licensee (each as defined in the relevant Agreement; and for purposes of this DPA, 您和被许可方在此被称为“客户”)和硝基 软件, 公司. (“硝基”),以反映双方就硝基根据本协议单独代表客户处理个人数据达成的协议. 双方均被称为“双方”,各称为“一方”.

1. 定义

就本DPA而言,下列术语具有下列含义. 本DPA中使用但未定义的大写术语具有本协议中规定的含义.

(a) 下属 指直接或间接控制的任何实体, 是由, 或与主体实体处于共同控制之下, 其中“控制”指的是指挥或导致主体实体指挥的权力, 是否(i)通过拥有有表决权证券, 或者(ii)通过实际上控制该实体的管理决策的能力, 通过合同或其他方式.

(b) API 系指硝基根据本协议向客户提供的任何应用程序编程接口.

(c) 适用的资料保护法律 意味着隐私, 适用于本协议项下个人数据处理的任何司法管辖区的数据保护和数据安全法律法规, 包括, 但不限于, 欧洲数据保护法和CCPA, 每一种都需要不时修改.

(d) CCPA 系指《立博app下载》以及根据该法颁布的任何法规.

(e) 客户数据 系指为执行服务而向硝基加工公司提供或提供的信息.

(f) 文档 意味着用户指南, 发布说明, 硝基向客户提供的与服务或专业服务相关的实施指南和任何其他技术文件.

(g) 经济区 意思是欧洲经济区.

(h) 欧洲数据保护法 指的是GDPR等欧盟数据保护法律法规, 其成员国, 瑞士, 冰岛, 列支敦斯登, 挪威和联合王国, 在每种情况下, 在适用于本协议项下的个人资料处理的范围内.

(i) GDPR 系指欧洲议会和理事会2016年4月27日通过的法规(EU) 2016/679, 不时修改.

(j) 信息安全事件 指的是已知的对硝基安全的破坏导致意外或非法的破坏, 损失, 变更, 未经授权的披露, 或访问, 硝基的个人资料, 保管或控制. 信息安全事件不包括不成功的尝试或不危及个人数据安全的活动, 包括, 但不限于, 失败的登录尝试, ping, 端口扫描, 拒绝服务攻击, 或者其他针对防火墙或网络系统的网络攻击.

(k) 知识产权 意思是全世界所有的知识产权, 包括:(i)专利, 发明的披露(不论是否可申请专利), 专利申请, 重新发出, 复查, 实用新型权利和设计权利(注册的或其他), 以及注册或其他工业产权, (2)商标, 服务商标, 公司名称, 贸易名称, 网络标识符, 商业外观, 以及其他类似的货源或原产地名称,以及上述任何一项所象征的商誉, (3)版权, 道德上的权利, 设计的权利, 数据库的权利, 数据收集, 以及其他特殊权利, (四)保密信息、技术中的商业秘密或者其他所有权, 监管和其他信息, 设计, 结果, 技术, 和其他知识, 和(v)的应用程序, 注册, 和更新, 以及所有相关的权利, 在世界上任何地方的任何上述行为.

(l) 个人资料 指构成“个人资料”的客户资料,”“个人信息,或适用数据保护法中定义的“个人身份信息”, 或类似性质的信息, 除非“个人数据”不包括与硝基在正常业务关系过程中的业务联系人有关的客户人员或代表的信息, 硝基作为这些信息的控制者.

(m) 处理 系指对个人资料或对个人资料集进行的任何操作或一组操作, 无论是否通过自动化手段, 如收集, 记录, 组织, 构建, 存储, 适应或改变, 检索, 咨询, 使用, 披露,传播, 传播或以其他方式提供的, 排列或组合, 限制, 擦除或破坏.

(n) 专业服务 系指硝基执行的与服务相关的任何服务,如激活, 培训, 配置, 集成, 评估, 和优化.

(o) 安全措施 具有第5(a)条(提供商的安全措施)所述含义.

(p) 标准合同条款 指按照欧盟委员会第2016/679/EU和第2018/914/EU号决定规定的形式,将个人数据转移到设立在第三国的处理程序的标准合同条款中的强制性规定, 并由欧洲委员会第2021/914号决定实施, 2021年6月4日.

(q) 个子处理器 指硝基委托第三方处理与服务有关的个人数据.

(r) 第三方个子处理器 是否符合附件1第5节(子处理器)的含义.

(年代) 控制器, 数据对象, 处理器, 监督权力 本DPA中使用的含义与GDPR中规定的含义相同.

2. DPA的期限和范围

(a)只要硝基处理个人数据,本DPA将继续有效, 尽管本协议期满或终止.

(b) 附件1 (欧盟附件)仅适用于受欧洲数据保护法约束的处理.

(c) 附件2 (加州附件),如果客户是有关该等处理的“企业”或“服务提供者”(定义见CCPA),则本DPA仅适用于CCPA所规定的处理.

3. 客户的指示

硝基只会按照客户给硝基的指示处理个人资料. 这份DPA是这些指令的完整表达, 客户的附加指示仅根据双方签署的本DPA修正案对硝基橡胶具有约束力. "用户"指示硝基处理个人资料,以提供本《立博app下载》规定的服务.

4. 分析

客户承认并同意,作为服务的一部分,硝基可以:

(a) create and derive from 处理 related to the Services elements that are necessary to provide the Services; and/or

(b)在与服务相关的处理过程中,创建和获取不识别客户或任何自然人身份的匿名和/或聚合数据, 和使用, 向第三方公布或分享此类匿名和/或聚合数据,以改进硝基的产品和服务和/或用于其其他合法商业目的.

5. 安全

(a) 提供者的安全措施. 硝基将实施和维护旨在保护个人数据不被意外或非法破坏的技术和组织措施, 损失, 变更, 未经授权披露或查阅个人资料(“安全措施)所述 附件3 (安全措施). 硝基可能不定期更新安全措施而不另行通知, 只要更新后的措施不会大幅减少对个人资料的整体保护.

(b) 信息安全事件. 硝基将毫不迟延地通知客户所知悉的任何信息安全事件. 此类通知可能描述信息安全事件的可用细节, 包括为减轻潜在风险所采取的步骤的摘要,以及硝基建议客户考虑采取的处理信息安全事件的步骤. 硝基对信息安全事件的通知或回应不应被解释为硝基承认与信息安全事件有关的任何过错或责任.

(c) 客户的安全责任和评估.

(i) 客户的安全责任. 客户同意,, 不限制硝基在第5条(安全)项下的义务, "用户"对其使用"服务"负全部责任, 包括 (a) making appropriate 使用 of the Services to ensure a level of security appropriate to the risk in respect of the 个人资料; (b) securing the account authentication credentials, systems and devices Customer 使用s to access the Services; (c) securing Customer’s systems and devices that 硝基 使用s to provide the Services; and (d) backing up 个人资料.

(ii) 客户的安全评估. 用户同意本服务, 安全措施和硝基在本DPA项下的承诺足以满足客户的需求, 包括客户在适用的数据保护法律下的任何安全义务, 并提供与个人资料的风险相适应的保安级别.

6. 数据对象的权利

(a) 硝基的数据主体请求协助. 硝基将(考虑到个人数据处理的性质)向客户提供合理必要的协助,以使客户履行其在适用数据保护法项下的义务,满足数据主体行使其在适用数据保护法项下权利的请求("数据主体请求)就硝基拥有或控制的个人资料. 客户应按硝基当时的专业服务费率赔偿硝基的任何此类协助, 应客户要求提供哪些.

(b) 客户对请求的责任. 如果硝基收到一个数据主体请求, 硝基将通知数据主体向客户提交请求,客户将负责响应该请求.

7. 客户的责任

(a) 客户的合规. 客户应遵守适用的数据保护法律规定的义务. "用户"应确保(并完全负责确保)其第3条中的指示符合适用的数据保护法, 并由客户发出所有通知, 并得到了所有人的同意, 个人数据所属的个人和适用的数据保护法所要求的所有其他方,以便客户按照本协议处理个人数据.

(b) 禁止数据. 客户向硝基声明并保证,客户数据没有也不会, 没有硝基的事先书面同意, contain any social security numbers or other government-issued identification numbers; biometric information; passwords for online accounts; credentials to any financial accounts; tax return data; credit reports or consumer reports; any payment card information subject to the Payment Card Industry 数据安全 Standard; information subject to the Gramm-Leach-Bliley Act, Fair Credit Reporting Act or the regulations promulgated under either such law; information subject to 限制s under 适用的资料保护法律 governing 个人资料 of children, 包括, 但不限于, all information about children under 13 years of age; or any information that falls within any special categories of data (as defined in GDPR). Customer further represents that 客户数据 does not and will not contain protected health information subject to the Health Insurance Portability and Accountability Act (HIPAA) or any similar legislation in other jurisdiction; other information regarding an individual’s medical history, 精神或身体状况, or medical treatment or diagnosis by a health care professional; or health insurance information unless Customer and 硝基 have separately entered into a HIPAA Business Associate Agreement.

8. 杂项

除非经新闻部明确修改,本协议的条款仍然完全有效. 如果本DPA与本协议条款之间存在任何冲突或不一致, 这个DPA将会执政. 尽管本协议或与之相关的任何订单表格中有任何与之相反的内容, 双方承认并同意,硝基对个人数据的访问不构成双方就本协议交换对价的一部分. 尽管本协议有任何相反规定, any notices required or permitted to be given by 硝基 to Customer under this DPA may be given (a) in accordance with any notice cla使用 of the Agreement; (b) to 硝基’s primary points of contact at Customer; or (c) to any email provided by Customer for the purpose of providing it with Services-related communications or alerts. "用户"应全权负责确保该等通知地址有效.

dpa附录1
欧盟的附件

1. 处理的数据

(a) 处理标的及细节. The Parties acknowledge and agree that (i) the subject matter of the 处理 under the Agreement is 硝基’s provision of the Services; (ii) the duration of the 处理 is from 硝基’s receipt of 个人资料 until deletion of all 个人资料 by 硝基 in accordance with the Agreement; (iii) the nature and purpose of the 处理 is to provide the Services; (iv) the 数据对象s to whom the 个人资料 pertains are Customer (to the extent that Customer is an individual), 服务或硝基软件的用户, 和个人, 所产生的个人资料, 共享 or uploaded by Customer and/or 使用rs of the Services and/or 硝基’s software; and (v) the categories of 个人资料 are the personal data generated, 共享, 应客户或本服务及/或硝基软件的用户上传或要求(其中可能包括文件中包含的个人数据), 图片和其他媒体以及用户生成的内容,如文档, 文本, 图片及其他内容).

(b) Roles and Regulatory Compliance; Authorization. The Parties acknowledge and agree that (i) 硝基 is a 处理器 of 个人资料 under 欧洲数据保护法; (ii) Customer is a 控制器 (or a 处理器 acting on the instructions of a 控制器) of 个人资料 under 欧洲数据保护法; and (iii) each Party will comply with the obligations applicable to it in such role under the 欧洲数据保护法 with respect to the 处理 of 个人资料. 如果“客户”是处理器, 客户向硝基声明并保证,客户在个人资料方面的指示和行动, 包括任命硝基作为另一种处理器, 是否得到相关负责人的授权.

(c) 硝基对说明书的遵从性. 除非适用的欧洲数据保护法另有要求,否则硝基将仅根据客户在本DPA中声明的指示处理个人数据, 在这种情况下,硝基将通知客户(除非法律禁止硝基这样做).

(d) 数据删除. 硝基应应客户书面要求并在服务提供结束后删除硝基系统上的所有个人数据, 并删除现有的副本,除非(i)欧洲联盟或其成员国的适用法律要求继续存储个人数据, 受欧洲数据保护法或(ii)适用的数据保护法约束的个人数据, 所有其他个人资料. 硝基将在合理可行的情况下尽快并不迟于该等指令到期或终止后180天内遵守该等指令, 除非适用的数据保护法要求存储. 客户可选择在本协议期满或终止前至少30天以书面形式向硝基索取该等个人数据的副本,并收取额外费用. 根据工作指令或对本协议的其他修改,双方同意收取此类费用, 在根据本条款删除该等个人资料之前,硝基将提供该等个人资料的副本.

2. 数据安全

(a) 硝基安全措施,控制和协助

(i) 硝基安全援助. 在书面请求, 硝基应向客户提供必要的合理协助,使客户遵守欧洲数据保护法所规定的个人数据方面的义务, 包括GDPR第32至34条(含), by (a) implementing and maintaining the 安全措施; (b) complying with the terms of Section 5(b) (信息安全事件) of the DPA; and (c) complying with this 附件1. 客户在此承认并同意,该等措施足以使客户遵守这些义务.

(ii) 硝基员工的安全合规. 硝基将确保其被授权访问个人数据的人员遵守适当的保密义务.

(b) 合规性的审查和审计 客户可在每个日历年不超过一次的情况下审核硝基对其在本DPA项下义务的遵守情况,并在欧洲数据保护法可能要求的其他场合进行审核, 包括客户监管机构授权的情况. 硝基将通过向“客户”或“客户”的监管机构提供进行审计所需的合理信息和协助,协助此类审计. 如果由第三方进行审计, 如果审核员是,硝基可以反对审核员, 在尼特罗看来是合理的, 不是独立的, 硝基的竞争对手, 或者在其他方面明显不合适. 硝基提出的异议将要求客户指定另一审计员或自行进行审计. 申请审核, 客户必须在建议的审计日期前至少三(3)周向硝基提交建议的审计计划,任何第三方审核员必须签署一份硝基都能接受的保密协议(该接受不得被不合理地拒绝),规定对与审计有关的所有交换的信息以及有关审计结果或发现的任何报告进行保密处理. 建议的审核计划必须描述建议的审核范围、持续时间和开始审核的日期. 硝基将审查拟议的审计计划,并向客户提供任何关注或问题(例如, 任何可能危及硝基安全的信息请求, 数据保护, 隐私, 雇佣或其他相关政策). 硝基将与客户合作商定最终审核计划. 本第2(b)条中的任何内容均不得要求硝基违反任何保密义务. 如果在请求的审计中要评估的控制或措施在SOC 2类型2中得到处理, ISO, 或由有资格的第三方审核员在客户提出审计要求后十二(12)个月内完成的类似审计报告,且硝基确认自该报告发布之日起,被审计的控制没有已知的重大不利变化, 客户同意接受此类报告,而不是要求对此类控制或措施进行审计. 审计必须在硝基的正常营业时间内进行, 根据双方同意的最终审核计划和硝基的安全, 安全和/或其他相关政策, 不得无理干涉硝基的业务活动. 客户应及时通知硝基在审核过程中发现的任何不合规行为,并向硝基提供与第2(b)条项下的任何审核相关的任何审核报告。, 除非欧洲数据保护法禁止或监管当局另有指示. 客户只能将审计报告用于满足客户的监管审计要求和/或确认符合本DPA的要求. 任何审核费用均由客户自行承担. 对于硝基和任何第三方在本第2(b)条项下的任何审计或检查所花费的任何时间,客户应按硝基当时的专业服务费率偿还硝基, 应客户要求提供哪些. 客户将负责由客户指定的审计员执行该等审计所收取的任何费用.

3. 影响评估及谘询

硝基将(考虑到处理的性质和硝基可获得的信息)合理地协助客户遵守GDPR第35条和第36条规定的义务, 通过(a)提供描述硝基信息安全计划的相关方面以及与之相关的安全措施的文件,以及(b)提供协议中包含的其他信息, 包括这德通社.

4. 数据传输

(a) 数据处理设备. 硝基可能, 根据第4(b)条(欧洲经济区以外的转移), 在美国或硝基或其子处理器维护设施的任何地方存储和处理个人数据.

(b) 转移出欧洲经济区. 如果客户将个人数据从欧洲经济区转移到欧洲委员会认为没有充分数据保护的国家的硝基, 该等转让将受标准合同条款的管辖, 其条款特此纳入本协议. 进一步推进上述, the Parties agree that (i) Customer will act as the data exporter and 硝基 will act as the data importer under the 标准合同条款; (ii) for purposes of Appendix 1 to the 标准合同条款, 数据主体的类别, data, 特殊类别的数据(如适用), the 处理 operations shall be as set out in Section 1(a) to this 附件1 (处理标的及细节); (iii) for purposes of Appendix 2 to the 标准合同条款, the technical and 组织al measures shall be the 安全措施; (iv) data importer will provide the copies of the sub处理器 agreements that must be sent by the data importer to the data exporter pursuant to Cla使用 5(j) of the 标准合同条款 upon data exporter’s request, that data importer may remove or redact all commercial information or cla使用s unrelated the 标准合同条款 or their equivalent beforehand; (v) the audits described in Cla使用 5(f) and Cla使用 12(2) of the 标准合同条款 shall be performed in accordance with Section 2(b) of this 附件1 (合规性的审查和审计); (vi) Customer’s authorizations in Section 5 (个子处理器) of this 附件1 will constitute Customer’s prior written consent to the subcontracting by 硝基 of the 处理 of 个人资料 if such consent is required under Cla使用 5(h) of the 标准合同条款; and (vii) certification of deletion of 个人资料 as described in Cla使用 12(1) of the 标准合同条款 shall be provided upon data importer’s written request.

尽管有上述规定, 标准合同条款(或与标准合同条款下的义务相同)不适用于根据《立博app下载》在欧洲经济区以外转移个人数据的替代公认合规标准适用于转移的情况. 如果(a)本附件1与本DPA的任何其他规定之间存在任何冲突或不一致, 以附件1为准, 或(b)标准合同条款和本协议的任何其他条款, 以标准合同条款为准.

5. 个子处理器

(a) 同意子处理器契约. 客户特别授权硝基的关联公司作为子处理器,并通常授权其他第三方作为子处理器("第三方个子处理器”).

(b) 个子处理器的信息. 有关子处理器的信息,包括它们的功能和位置,可在以下网站查阅: http://careers.salvereginabooks.com/trust-center-data-protection/sub处理器s-and-subcontractors (可由硝基不时更新)或硝基不时提供给客户的其他网站地址(一起), “Sub处理器网站”).

(c) 子处理器参与的要求. 当使用任何子处理器时, 硝基将与该子处理器签订书面合同,其中包含的数据保护义务不低于本DPA中关于个人数据的保护义务,在适用于该子处理器提供的服务性质的范围内. 硝基应对本协议项下分包给的所有义务负责, 子处理器或其相关的作为和不作为.

(d) 反对子处理器更改的机会. 当硝基在本协议生效日期后雇用任何新的第三方子处理器时, 硝基将通过更新子处理器网站或其他书面方式通知客户相关约定(包括相关子处理器的名称和位置及其将执行的活动). 如客户在收到有关保护个人资料的合理理由后15天内,以书面通知硝基反对该约定, 客户和硝基将真诚合作,找到双方都能接受的解决方案,以解决此类异议. 如果双方无法在合理的时限内达成相互接受的解决办法, 客户可能, 作为它唯一的补救办法, 通过向硝基发出书面通知的方式终止本协议并取消服务,并向硝基支付自协议终止之日起在本协议项下到期和欠下的所有款项.

(e) 充足的同意. 客户在此确认并同意,上述程序足以获得客户对GDPR第28条下的子处理的事先书面同意, 以及在标准合同条款第5(h)条规定的范围内.

dpa附录2
加州的附件

  1. 就本附件2而言, 术语“业务,”“商业目的,“销售”和“服务提供者”的含义与《立博app手机版》中所规定的含义相同, “个人信息”系指构成《立博app手机版》管辖的个人信息的个人数据.
  2. 双方的意图是,硝基是一个服务提供商. 硝基 shall not (a) sell any personal information; (b) retain, 为提供服务的特定目的以外的任何目的使用或披露任何个人信息, 包括保留, 使用, or disclosing the personal information for a commercial purpose other than the provision of the Services; or (c) retain, 在硝基和客户之间的直接业务关系之外使用或披露个人信息. 硝基特此证明,它理解在本第2条下的义务,并将遵守这些义务.
  3. 双方承认硝基的保留, 根据客户在DPA中记录的指示授权使用和披露个人信息,是硝基提供服务和双方业务关系不可分割的一部分.

dpa附录3
安全措施

信息的保护是信息安全的主要目的, 这是通过实施一组适当的控制来实现的吗, 包括组织结构, 政策和程序, 流程, 技术IT控制. 这些控制是需要设计的, 实现, 监控, 综述了, 并改进以确保硝基及其关联公司的信息资产, 它的合作伙伴或客户随时都是安全的. 指 技术组织措施