数据处理协议

最后更新日期:2022年4月12日(版本1.0.6)

在此签署数据处理协议

距软件GmbH是一家

  1. 协议主题

    在与距软件GmbH是一家的合同履行过程中, Joachimstraße 7, 10119柏林处理器)和客户("客户,与处理器一起(")关于向用户提供处理程序软件("合同”),则处理机有可能根据第十条处理个人数据. 4 no. 《十大网赌平台推荐把》("GDPR"), i.e. 与识别或可识别的自然人(e.g. 的名字, 客户客户的地址或电话号码), 根据数据保护法,客户作为控制者(“客户数据‟). 本协议(“协议)规定了双方在处理方使用客户数据提供合同项下服务时的数据保护义务和权利.

  2. 处理范围

    1. 处理人应代表并按照本协议条款中所述的客户指示处理客户数据. 28 GDPR. 根据第款,客户仍为控制人. 28 GDPR.

    2. 处理程序处理客户数据的方式、范围和目的均由中确定 附件2.2 to this 协议; the processing relates to the types of personal data and categories of data subjects specified therein. 处理的时间与合同的期限相对应.

    3. 处理程序保留对客户数据进行匿名化或聚合的权利,其聚合方式将不再可能识别单个数据主体, 并以这种形式使用它们来进行基于需求的设计, 机器学习, 开发、优化和提供合同约定的服务. 双方同意,就本协议而言,匿名化并按上述要求汇总的客户数据不被视为客户数据.

    4. 在数据保护法律允许的范围内,处理人可以作为控制人为自己的目的处理和使用客户数据. 本协议不适用于此类数据处理.

    5. 处理方对客户数据的处理原则上应在欧盟或欧洲经济区(EEA)的其他缔约国内进行。. 然而,如果处理程序事先通知客户(e),则允许处理程序按照本协议的规定在欧洲经济区以外处理客户数据.g. 在隐私政策中)关于数据处理的地点,以及如果艺术的要求. 满足44到48个GDPR,或者根据艺术的例外. 49 GDPR适用.

  3. 客户发出指示的权利

    1. 处理器按照客户的指示处理客户数据, 除非法律要求处理器做其他的事情. 在后一种情况下, 加工者应在加工前告知客户该法律要求, 除非法律以公共利益的重要理由禁止此类信息.

    2. 客户的指示原则上在本协议条款中有明确规定和文件. 个别指令如违反本协议规定或附加要求,应经处理方同意.

    3. 处理人应确保客户资料按照客户提供的指示处理. 如果处理方认为用户发出的指令侵犯了本协议或适用的数据保护法律, 处理器通知客户后有权暂停执行该指令,直至客户确认该指令. 双方同意,按照指示处理客户数据的唯一责任由客户承担.

  4. 客户的法律责任

    1. 客户全权负责客户数据处理的许可,并负责保障双方关系中数据主体的权利. 第三方是否应根据本协议对客户数据的处理对处理者提出索赔, 客户应在处理机第一次提出索赔时赔偿处理机.

    2. 客户有责任及时向处理方提供客户数据,以便处理方根据合同提供服务,并对客户数据的质量负责. 如果用户在检查处理程序结果时发现数据保护规定或用户指令的错误或不规范,应立即完整地通知处理程序.

    3. 应要求,客户应向加工者提供第2条规定的信息. 30帕拉. 2 GDPR,目前它还不能用于处理器.

    4. 如果处理者被要求向政府机构或个人提供有关处理客户数据的信息,或以任何其他方式与这些机构合作, 客户有义务在处理方提出第一次要求时协助其提供此类信息,并履行其他适当的合作义务.

  5. 人事和系统要求

    处理方应保证所有参与处理客户数据的人员对客户数据的处理保密.

  6. 安全的处理

    1. 加工者根据工艺要求采取必要的技术和组织措施. 32 GDPR, 考虑到目前的技术水平, 实施成本和性质, 范围, 客户数据的情况和目的, 以及数据主体的权利和自由所受风险的不同可能性和严重程度, 以确保客户数据的保护水平与风险相适应. 实施的技术和组织措施包括所列措施 附件6.1.

    2. 在本协议有效期内,处理方有权修改技术和组织措施, 只要他们继续遵守法定要求.

  7. 进一步加工者的参与

    1. 客户向处理方授予一般授权,允许处理方进一步处理客户数据. 在缔结本协议时参与的其他加工者列于 附件7.2. 在一般情况下, 与与第三方审查或维护数据处理程序或系统有关或涉及其他额外服务的服务提供商之间的合同关系无需授权, 即使不能排除对客户数据的访问, 只要处理程序采取合理措施保护客户数据的机密性. 为了接收有关添加或更换现有子处理器的通知客户可通过以下链接订阅邮件列表: 球场app.typeform.com/to/Mjivi4yI. 子处理器通知将在任何更改之前不迟于14天发生, 以允许客户提出异议. 只有客户提出异议的重要原因必须通过-à-vis处理方可证实. 客户在收到通知后14天内未提出异议, 客户有权对相应的约定失效提出异议. 如果客户反对, 加工者有权终止合同和本协议,通知期为三个月,直至一个月结束.

    2. 处理程序和后续处理程序之间的协议规定,后续处理程序必须承担与本协议规定的处理程序相同的义务. 双方同意,如果合同具有与本协议相对应的保护级别,则该要求得到满足.

    3. 遵守Sec的要求. 2.第5条本协议的规定. 如果涉及第三国的进一步加工者,7也应适用. 根据欧盟委员会2010年2月5日的决定,用户特此授权处理程序代表用户与另一个处理程序就向第三国处理程序转移个人数据的标准合同条款签订协议. 客户声明其愿意合作以满足本条款的要求. GDPR达到必要的程度.

  8. 数据对象的权利

    1. 处理方应在合理范围内通过技术和组织措施支持客户履行客户对行使数据主体权利的请求作出回应的义务.

    2. 只要数据主体直接向处理器提交行使其权利的请求, 处理器将及时将此请求转发给用户.

    3. 处理人应将与存储的客户数据有关的任何信息通知客户, 关于客户数据的接收方,处理器可以根据指示向其披露数据,以及存储数据的目的, 只要客户不掌握该等资料,且客户无法自行收集该等资料.

    4. 处理器将, 在合理和必要的范围内, 使客户纠正, 删除或限制进一步处理客户资料, 或根据客户的指示正确, 阻塞或限制进一步处理本身, 如果并且在某种程度上,这对客户来说是不可能的. 在这种情况下, 处理方应报销处理方在此方面产生的费用和成本,并在-à-vis客户处证实.

    5. 根据条款规定,数据主体对-à-vis客户的客户数据享有可携带性的权利. 20 GDPR, 处理方应在合理和必要的范围内,以结构化的方式向客户提供客户数据, 常用和机器可读的格式, 如果客户无法从其他地方取得资料. 在这种情况下, 处理方应报销处理方在此方面产生的费用和成本,并在-à-vis客户处证实.

  9. 处理器的通知和支持义务

    1. 如果客户因客户数据的安全性被违反(特别是根据第4条)而受法定通知义务的约束. 33, 34 GDPR), 处理方应及时通知客户处理方责任范围内任何可报告的事件. 处理方应根据处理方的要求,在合理和必要的范围内协助客户履行通知义务. 在这种情况下, 处理方应报销处理方在此方面产生的费用和成本,并在-à-vis客户处证实.

    2. 处理方应在合理和必要的范围内协助客户进行数据保护影响评估, 如果有必要的话, 随后根据第十条与监督当局进行磋商. 35、36 GDPR. 在这种情况下, 处理方应报销处理方在此方面产生的费用和成本,并在-à-vis客户处证实.

  10. 删除及退回客户资料

    1. 本协议终止后,加工者应根据客户的自由裁量权,
      a. either delete or return the 客户数据; and
      b. 删除现有副本
      除非法律规定处理器有义务进一步存储客户数据.

    2. 处理方可以保留文件,作为对客户数据进行有序和准确处理的证据, 在本协议终止后.

  11. 证据和审计

    1. 处理方应向客户提供, 应客户要求, 处理方需要并可获得的所有信息,以证明其遵守了本协议项下的义务.

    2. 客户有权审核(包括检查)处理方是否遵守本协议的规定, 特别是技术和组织措施的实施.

    3. 为了按照Sec的规定进行检查. 11.2., 客户有权在按照Sec的规定及时提前通知后,在正常营业时间内(周一至周五上午10点至下午6点)进入处理程序处理客户数据的营业场所. 11.5 .自费, 在不干扰业务进程的情况下,并严格保密处理器的业务和商业秘密.

    4. 处理器的标题是, 在考虑到客户的法律义务的情况下,由其自行决定, 不得披露与处理程序业务有关的敏感信息,或如果处理程序因其披露而违反法律或其他合同规定. 客户无权访问处理器其他客户的数据或信息, 成本信息, 质量控制和合同管理报告, 或处理方与约定审计目的不直接相关的任何其他机密数据.

    5. 客户应及时(通常至少提前两周)通知处理人与审计执行有关的所有情况. 客户每个日历年不得进行超过一次的审核.

    6. 如果客户委托第三方进行审核, 客户应以书面的方式向第三方承担义务,就像客户根据本条款对-à-vis处理器所承担的义务一样. 11. 除了, 客户应以书面协议的方式责成第三方保守秘密和保密,除非第三方有保密的职业义务. 应处理器的要求, 客户应立即向处理方提交与第三方的承诺和保密协议. 客户不得委托处理方的竞争对手进行审核.

    7. 由处理器决定, 可提供遵守本协议项下义务的证明, 而不是检查, 通过提交来自独立机构(e.g. 审计师, 审计部门, 数据保护官员, IT安全部门, 数据保护审核员或质量审核员)或由IT安全或数据保护审核员(“审计报告"), 审核报告是否能使客户以适当的方式使自己相信处理方遵守了本协议中所包含的合同义务.

  12. 合同期限及终止

    本协议的期限和终止应受合同期限和终止条款的约束. 合同的终止将自动导致本协议的取消. 本合同的单独终止不包括在内.

  13. 责任

    1. 加工者在本协议项下的责任应受合同中规定的免责声明和责任限制的约束. 由于用户违反本协议或用户作为控制人的数据保护法义务而导致的第三方对处理程序提出索赔, 客户应在第一次请求时赔偿加工者,并使其免受这些索赔.

    2. 客户承诺在加工商第一次提出要求时,赔偿加工商可能被处以的与客户因侵权应承担的部分相应的罚款.

  14. 最后条款

    1. 如果本协议的个别条款无效或变得无效或包含空白, 其余条款不受影响. 双方承诺以法律允许的、最接近无效条款目的并因此满足第十条要求的条款取代无效条款. 28 GDPR.

    2. 如本协议与双方的其他安排发生冲突, 特别是合同, 以本协议的规定为准.

附件2.2

关于处理客户资料的进一步资料
1 数据处理的目的和范围 提供的Pitch软件作为一个web应用程序, 桌面应用程序, 或移动应用程序, 作为一个创造的平台, 合作, and distributing of presentations; the collection, 存储, analysis and reporting to the 客户 of data and metrics of reader engagement with presentations; fulfilment of the 处理器’s obligations under the 合同.
2 个人资料的种类 Contact data; usage data; any data filled in by the 客户 in the Software; Employee Data; 客户数据; Supplier Data; User-generated Data; User data; Profile data; User的名字; password; email; logfiles; data relating reader interaction with presentations;
3 数据主体的类别 Users of the Pitch software; readers of presentations; possibly other data subjects mentioned or included in data filled in by the 客户 in the Software.

附件6.1

根据艺术的技术和组织措施. 32 GDPR

根据 艺术. 32 GDPR 个人数据的控制者和处理者必须采取技术和组织措施(TOM),以确保满足数据保护的安全和保护要求. 技术措施 是否应该被理解为在最广泛的意义上是物理上可实施的所有保护尝试, 例如固定门窗或在软件和硬件中实施的措施, 例如设置用户帐户和密码要求. 组织措施 是否被理解为通过指示实施的保护尝试, 程序和过程.

No. 类别的措施 描述的类别 技术措施 组织措施
1 加密(艺术. 32 (1) a) GDPR) 加密措施确保信息在内部或外部传输时进行散列处理,并且只有使用正确的加密密钥才能再次变为可读. 公司网站加密(“动态数据”)
手提电脑/手提电脑及流动数据载体上的数据载体的加密("静止数据")
2 保密-物理访问控制(第2条. 32 (1) b) GDPR) 防止未获授权人士查阅处理或使用个人资料的资料处理系统的措施. 建筑物的安全、门窗装有报警系统 数字密钥管理系统
自动门禁系统和带安全锁的手动锁定系统
光壁垒/运动探测器
入口视频监控
3 保密-数据访问控制(第2条. 32 (1) b) GDPR) 防止未经授权使用数据处理系统的措施. 使用用户名/密码和/或生物识别方法进行身份验证 分配用户权限, 定义用户配置文件, 分配的密码, 并将用户配置文件分配给it系统
使用入侵检测系统 当员工离开公司时,立即阻止授权
上锁的外壳/安全锁
密码保护屏保和自动锁定屏幕,以防不活跃, 以及双因素用户身份验证
实现虚拟网络对数据流的分离
4 保密-数据使用控制(第2条. 32 (1) b) GDPR) 采取措施,确保有权使用资料处理系统的人士只可查阅他们有权查阅的资料, 这些个人数据是无法读取的, 复制, (三)在加工、使用过程中及贮存后,未经许可擅自涂改、移走的. 使用文件碎纸机或适当的服务提供者,并在重新使用前删除数据介质 开发一个授权概念(用于读取的差异化授权, 编辑或删除数据)和密码程序(包括. 特殊字符、最小长度、密码更改)
系统管理员权限分配
5 保密-传输控制(第2条. 32 (1) b) GDPR) 确保个人资料不被读取的措施, 复制, 在电子传输或在数据载体上传输或存储过程中改变或移去的, 并且有可能检查和确定设想通过数据传输设施向哪些机构传送个人数据. 所有接口的文档 数据接收人的文件和计划移交的时间周期或商定的删除时间限制
6 保密-分离控制(第2条. 32 (1) b) GDPR) 确保为不同目的收集的数据可以分别处理的措施. 功能分离(生产/测试) 开发一个授权概念
分离的数据库和数据库中的独立表 逻辑端分离
7 完整性-输入控制(第2条. 32 (1) b) GDPR) 必须维护数据管理和维护的完整文档,以确保数据的持续完整性. 后续检查是否已输入数据的方法, 更改或删除(删除), 以及由谁. 没有本地管理员权限 输入授权的转让
根据授权概念更改和删除数据
8 可用性-可用性控制(第2条. 32 (1) b) GDPR) 确保个人资料不受意外毁坏或遗失的措施. 服务器机房的空调 在未经授权进入服务器室时发出警报
服务器机房的灭火器, 安装火灾和烟雾探测系统, 不间断电源(UPS) 在安全的外包地点进行远程数据备份
服务器室内温湿度监测及电涌保护电源出线带 制定应急计划和灾后恢复计划, 在洪水泛滥地区:水线以上的服务器室
服务器室没有卫生设施
9 可用性-作业控制(第2条. 32 (1) b) GDPR) 采取措施确保, (如属委托处理个人资料), 数据只根据控制器的指示进行处理. 处理器的选择要考虑勤勉方面(特别是数据安全方面)
对违约行为的合同处罚
给处理器的书面指令(e.g. 数据处理协议)定义见第2条. 28 (2) GDPR
处理器已经任命了一名数据保护官
与处理器商定的有效控制权
将处理器的员工置于数据保密义务之下(第2条. 28 Abs. 3点了. b GDPR)
保证在服务提供结束时删除数据, 对处理机及其活动的连续控制
使用分包商需要控制人的同意,并事先核实处理人采取的安全措施和文件
10 弹性(艺术. 32 (1) b) GDPR) 确保系统和服务弹性的措施,以确保系统和服务的设计方式能够处理即使是高高峰负载和高连续处理负载. 测试存储、访问和线路容量
11 恢复可用性(第2条. 32 (1) c) GDPR) 采取措施,确保在发生物理或技术事故时,能及时恢复资料的可用性和查阅权. 冗余设计的基础设施(硬盘,e.g. RAID) 备份的概念
云服务 数据恢复测试
12 数据保护管理(第2条. 32 (1) d) GDPR 确保定期检测过程的措施, 评估和评估确保处理程序安全的技术和组织措施的成效. DSB和IT修订的检查

附件7.2

进一步的处理器
No. 进一步处理器的名称 通过这个进一步处理器进行处理的描述
1 Auth0公司.东八街10800号
美国西澳98004 Bellevue 600套房
验证软件
2 亚马逊网络服务公司.
美国华盛顿州西雅图特里大道北410号,邮编98109-5210.
数据库存储的安全云服务平台
3 斑马鱼实验室(Imgix),泰哈马街423号
美国加利福尼亚州旧金山市94103号一楼
图像优化软件
4 长尾广告解决方案公司.
(JWPlayer), 2号公园大道10楼,纽约,纽约10016-5675,美国
支持实时协作的软件
5 推杆式有限公司
英国伦敦Scrutton街28号,EC2A 4RP
用于添加实时双向的API服务
6 WorkOS公司.
美国旧金山14街775号,加州94114
企业SSO软件
7 MagicBell公司.
美国加州核桃市柠檬街9214号340S, 91789
应用内通知软件
8 Mux公司.
利物浦街34-37号,4单元.英国伦敦EC2M 7PP 4楼06号
视频传输软件
9 Sendgrid Twilio德国有限公司
罗森海姆Str. 143C, 8167, München,德国
验证软件

在此签署数据处理协议

请与十大网赌靠谱网址平台联络 privacy@球场.com如果你有任何问题,请联系我.

版本1.0.6 (12/04/2022)

十大网赌靠谱网址平台的数据处理协议的版本历史