跳转至

数据处理协议(DPA)

本《数据处理协议》(以下简称 “DPA”)旨在说明上海观测未来信息技术有限公司(以下称为“我们”或“观测云”)与客户之间关于个人数据处理的安排。本协议已纳入观测云与引用该协议的客户之间的主订阅协议(或其他电子或共同签署的书面协议)(“协议”),用以确保我们作为数据处理者能够遵守适用的数据保护法律法规。

1、引言

本DPA是为了确保观测云作为数据处理者能够在处理客户个人数据时遵循适用的数据保护法律法规,并明确双方在数据处理方面的权利和义务。

2、定义

以下定义适用于本 DPA:

“客户数据”是指提交给服务处理的来自客户环境的数据。通过客户对服务的配置和使用,客户可以控制客户数据的类型和数量。

“客户个人数据”是指包含个人数据的客户数据。

“个人数据泄露”是指观测云传输、存储或以其他方式处理客户个人数据时发生的安全泄漏,导致客户个人数据遭到意外或非法破坏、丢失、篡改、或未经授权的披露或访问。

“帐户数据”是指客户向观测云提供的与创建或管理其观测云帐户相关的客户信息,例如授权用户或客户的账单联系人的名字和姓氏、用户名和电子邮件地址。

“数据主体”:指个人数据所属的自然人。

“处理”:指对个人数据进行的任何操作,包括但不限于收集、记录、存储、使用、传输和删除。

“数据处理者”:指根据本协议处理个人数据的一方,即观测云。

“控制者”:指决定个人数据处理目的和方式的一方,即客户。

“分处理商”:是指观测云或观测云关联公司聘请的、在提供服务时代表观测云或其关联公司处理客户个人数据的任何处理者。

“观测云”是指作为本 DPA 签约方的上海观测未来信息技术有限公司。

“数据保护法”是指直接适用于协议方处理个人数据的数据保护或隐私法律和法规,包括欧洲数据保护法。

“GDPR” 是指欧洲议会和理事会 2016 年 4 月 27 日颁布的关于保护自然人个人数据处理和此类数据自由流动的,并废除第 95/46/EC号指令的《通用数据保护条例》(2016/679)。

“SCC” 是指欧盟委员会委员会根据 2021 年 6 月 4 日发布的法规 (EU) 2016/679 执行关于向第三国传输个人数据的标准合同条款的决定所附的国际传输标准合同条款,包括纳入英国转让附录(如果适用)。

3、角色分工

3.1 双方同意观测云是在提供服务时处理客户个人数据的处理者,观测云将仅根据协议、本 DPA(包括附录 A)和订单(“书面说明”)处理客户个人数据。

3.2 客户作为数据控制者,需确保其在向观测云提供个人数据时具有合法权利,并且其提供的指示和要求符合适用法律。

4、数据安全

4.1 安全措施。考虑到处理的现有技术、实施成本、性质、范围、背景和目的,以及自然人权利和自由的不同可能性和不同严重程度的风险,观测云已实施并应维持适当的技术性和组织性措施,以确保与处理个人数据的风险级别相匹配的安全水准。客户同意,观测云实施的安全措施(列于附录B)足以满足其在本 DPA 项下的义务。尽管有上述规定,客户承认并同意,其对自己安全使用产品负责。

4.2 个人数据泄露。观测云在发现个人数据泄露后,将立即通知客户,不得无故拖延。观测云向客户发出的通知内容包含 (a) 个人数据泄露的性质,包括相关数据主体和个人数据记录的类别和大致数量;(b) 观测云已采取或计划采取的措施来应对和缓解个人数据泄露;(c) 观测云建议客户采取的解决个人数据泄露问题的任何措施。观测云根据本条规定对个人数据泄露进行通知或响应的义务并不构成观测云承认与个人数据泄露有关的任何过失或责任。

5、分处理商

5.1 客户授权观测云聘用分处理商,来代表观测云处理个人数据。并同意观测云使用分处理商列表中列出的分处理商。观测云将在指定新的分处理商之前至少 30 天更新分处理商列表,并向客户提供一种接收分处理商列表更新通知的机制,该机制现在可通过分处理商列表获取。

5.2 观测云将与分处理商签订合同,其中包含与本 DPA 中的数据保护义务等效的数据保护义务,确保其遵守适用的数据保护法。

5.3 观测云将对其子处理商在本 DPA 下与观测云的履行相关的行为和不作为承担责任,其程度与观测云直接履行服务时所承担的责任相同,观测云将尽力确保这些分处理商能够提供足够的保障,保护个人数据的安全。

6、数据主体权利

6.1 观测云将协助客户履行数据主体的权利,包括但不限于访问、更正、删除和限制处理。如果数据主体通过观测云联系客户行使其权利,观测云将尽力将请求转发给客户。

7、数据转移和删除

7.1 在协议终止或到期后,在客户的书面请求下,个人数据将在30天内被删除。

7.2 除非适用法律另有要求,否则存档在备份中的任何客户个人数据都将被隔离并受到保护,免遭任何进一步处理。尽管有上述规定,在适用法律要求观测云保留部分或全部客户个人数据的范围内,观测云没有义务删除保留的客户个人数据,并且本 DPA 将继续适用于保留的客户个人数据。

8、审计

8.1 观测云的审计报告。根据客户的要求,并根据协议的保密条款,观测云将向客户提供与服务安全相关的观测云审计报告的副本或摘录,包括例如其 ISO 27001 认证、SOC 2 报告。

9、数据传输

9.1 客户授权观测云及其分处理商跨境传输客户数据,包括但不限于从欧洲经济区和英国转移。为了保护个人数据从欧洲经济区和英国的传输,双方同意签订标准合同条款(SCC )和英国传输附件。在本 DPA 或协议上的签名构成对标准合同条款(SCC )及其随附任何附件的签署。

9.2 标准合同条款的具体应用:

(1)模块 2 将适用 ;

(2)在第 7 条(对接)中,可选的对接条款将适用;

(3)在第 9 条(分处理商的使用)中,选项 2 针对分处理商的“一般书面授权”条款应适用,且事先通知的时间期限应如本 DPA 第 5.1 条所述;

(4)在第 11 条 (救济) 中, 可选语言不适用。

(5)在第 13 条(监督) 中,主管监督机构应为德国主管部门。

(6)在第 17 条(管辖法律)中,标准合同条款应受德国法律管辖;

(7)在第 18(b) 条(诉讼地和管辖权的选择)中,双方同意争议应提交德国法院裁决;

(8)标准合同条款的附件一应补充本 DPA 的附录 A 中载明的信息;

(9)标准合同条款的附件二应补充本 DPA 的附录 B 中载明的信息。

9.3 如果观测云提供服务涉及将客户个人数据从英国传输到未被认定为对客户个人数据提供足够保护的第三国, 则应使用并按照第 9.2 条的规定完成《标准合约条款》。

10、冲突

如果本DPA 、SCC 和协议之间存在冲突或不一致,其优先顺序为:(1) 标准合约条款(SCC); (2) 本 DPA;(3) 协议。

11、协议变更

11.1 观测云在以下情况下,可能会对本 DPA 进行更改:(a) 需要进行更改以遵守适用法律;(b) 更改在商业上是合理的,不会实质性降低服务的安全性,不会改变观测云处理客户个人数据的范围,并且不会对客户在本 DPA 下的权利产生重大不利影响。

附录 A:数据处理详情

1、当事方名单

1.1 数据输出方:

姓名:【 】 地址:【 】 联系人姓名:【 】,职位:【 】,联系方式:【 】 在本《数据处理协议》中涉及的数据转移相关活动:为了提供、支持和改进服务,处理客户个人数据和账户数据。 签名和日期: 双方同意,签署协议即代表双方均签署了本附录 A。 角色(控制者/处理者):对于客户个人数据,是处理者或控制者;对于账户数据,是控制者。

1.2 数据输入方:

名称:上海观测未来信息技术有限公司 地址:上海市浦东新区科苑路399号7幢 联系人姓名:【 】,职位:【 】,联系方式:【 】 在本《数据处理协议》中涉及的数据转移相关活动:为了提供、支持和改进服务,处理客户个人数据和账户数据。 签名和日期: 双方同意,签署协议即代表双方均签署了本附录 A。 角色(控制者/处理者):对于客户个人数据,是处理者;对于账户数据,是控制者。

2、数据传输说明

2.1 被传输个人数据主体的类别

(1)帐户数据:数据主体可能包括客户的员工。

(2)客户个人数据:数据主体可能包括客户的员工、顾客、供应商和最终用户。

2.2 传输的个人数据的类别

(1)帐户数据:客户为了使用服务而发送给观测云的个人数据。

(2)关于客户个人数据:客户为了使用服务而发送给观测云的个人数据。

2.3 敏感数据

不传输任何敏感数据。

2.4 传输频率(数据是一次性传输还是连续传输)

个人数据会持续传输。

2.5 处理的性质

关于帐户数据:观测云公共隐私政策中概述的一般帐户管理和其他活动。

对于客户个人数据:协议、订单、DPA 和文档中所述的分析、存储和其他服务。

2.6 数据传输和进一步处理的目的

使观测云能够向客户提供产品并行使其在协议项下的权利和义务。

2.7 个人数据的保留期限

关于帐户数据:保留个人数据是为了根据观测云的隐私政策管理客户的帐户。关于客户个人数据:个人数据根据客户的服务配置或文档中概述的保留时间表进行保留。

附录 B:技术和组织措施

观测云将针对其代表客户处理的客户个人数据至少实施以下技术性和组织性安全措施。

1、加密和密钥管理

1.1 观测云观测云维护加密机制和密码学密钥的管理政策和程序,以确保在观测云的加密系统中的有效管理。

1.2 观测云根据行业标准实践,在静态和公共网络之间传输时进行加密(如果适用)

2、合规审计

2.1 观测云将在协议的有效期内维持SSAE 18 SOC 2认证,或类似的认证。此认证将每年更新一次。根据客户的要求,观测云将在协议有效期的每12个月内提供其最近的SOC 2报告摘要。

2.2 观测云遵循ISO 27001和其他行业标准实践的指南。

3、访问控制

3.1 只有授权用户才能访问数据, 包括存储在任何电子或便携式介质上或传输时。授权用户应仅有权限访问各自履行职责所必需的数据和资源。

3.2 观测云维护用户访问控制,以便及时进行用户账户的配置和解除配置。

4、业务的连续性

4.1 观测云维护业务连续性、备份和灾难恢复计划(“BC/DR计划”),以最大程度地减少服务中断并遵守适用法律。

4.2 BC/DR计划涵盖了服务及其任何依赖的威胁,并建立了重新恢复访问和使用服务的程序。 BC/DR计划会定期进行测试。

5、变更控制

5.1 观测云维护对服务进行变更的政策和程序,包括底层基础设施和系统组件,以确保满足质量标准。

5.2 观测云每年对其网络和服务进行渗透测试。在测试期间发现的任何漏洞将根据观测云的漏洞管理政策和程序进行修复,并根据观测云的风险管理框架进行评估。

5.3 观测云定期进行网络漏洞扫描,并将根据观测云的漏洞管理政策和程序进行漏洞修复,并根据观测云的风险管理框架进行评估。

5.4 安全补丁按照观测云的补丁更新计划进行应用。

6、数据安全

6.1 观测云采取技术保障和其他安全措施,以确保客户个人数据的安全和机密性

6.2 观测云在生产环境中隔离客户个人数据。

7、治理和风险管理

7.1 观测云维护信息安全计划,至少每年进行一次审查。

7.2 观测云维护风险管理计划,至少每年进行一次风险评估。

8、行政控制

8.1 观测云使用第三方对所有有权访问客户个人数据的观测云人员进行员工背景验证。

8.2 观测云员工需要完成入职和年度安全意识培训

文档评价

文档内容是否对您有帮助? ×