数据处理协议

已发布： 2023 年 1 月 10 日

有效： 2023 年 1 月 10 日至 2023 年 7 月 4 日

您可以查看最新协议 这里.

本附有欧盟标准合同条款（处理者）的数据处理协议（以下简称 “DPA”）是客户服务条款的一部分，可在以下网址查阅 https://digify.com/legal.html, 除非客户与 Digify Inc.（以下合称 “公司”）签订了书面的企业主服务协议（以下简称 “协议”），同意这些条款。.

1. 处理详情。公司根据协议作为个人数据处理者的职责详情如下：
   
   
   1. 个人数据处理的事由：公司向客户提供服务。.
   2. 个人数据处理期限：期限以及公司删除客户资料之前的任何期限。.
   3. 个人数据处理的性质和目的：使客户能够获得公司提供的服务以及协议中规定的其他义务。.
   4. 个人数据类别：在客户数据包含个人数据的范围内，可能包括最终用户通过服务存储或传输的电子形式的最终用户识别信息和组织数据以及文件、图像和其他内容或数据。.
   5. 数据主体：如果客户数据包含个人数据，则可能涉及客户的最终用户以及与这些最终用户合作或共享数据的任何个人。.
      
      
2. 适用范围。本 DPA 的适用范围如下：
   1. 欧盟标准合同条款适用于协议中定义的服务所处理的数据，以及未来的服务变更；以及
   2. 附录 B 中的 “GDPR 附录 ”仅在欧盟数据保护法要求的范围内适用，并将于 2018 年 5 月 25 日生效。.
      
      
3. DPA 的效力。如果本 DPA 中的规定与协议中的规定相冲突，则以本 DPA 为准。除本 DPA 所做的修改外，协议仍将完全有效，并保持不变。本 DPA 和欧盟标准合同条款将在协议到期或终止时自动终止。.

证据 A

委员会第 C(2010)593 号决定

欧盟标准合同条款（处理者）

为第 95/46/EC 号指令第 26(2)条之目的，将个人数据传输给在第三国设立的处理者，而这些国家不能确保足够的数据保护水平

数据输出机构名称：与 Digify Inc 签订 Digify 服务协议的客户

(“数据导出器”)

还有

数据导入机构名称：Digify, Inc.

地址：350 Townsend Street #746, San Francisco, CA 94107 USA美国加州旧金山汤森街 350 号 #746 邮编 94107

(数据导入器）

各为 “一方”；合称 “各方”、,

同意以下合同条款（以下简称 "条款"），以便在数据输出方向数据输入方转移附录 1 所述个人数据时，在保护个人隐私及基本权利和自由方面提供充分保障。.

第 1 條

定义

1. “个人数据”、“特殊类别数据”、“处理/加工”、“控制者”、“处理者”、“数据主体 ”和 “监督机构 ”与 1995 年 10 月 24 日欧洲议会和理事会关于在处理个人数据时保护个人以及关于此类数据自由流动的第 95/46/EC 号指令中的含义相同；;
2. “数据输出方 ”指传输个人数据的控制方；;
3. “数据输入方 ”是指同意从数据输出方接收个人数据，以便在根据其指示和本条款的规定进行传输后代表其进行处理的处理方，且该处理方不受确保第 95/46/EC 号指令第 25(1)条所指充分保护的第三国制度的约束；;
4. “分包商 ”指数据输入方或数据输入方的任何其他分包商聘用的任何处理商，该处理商同意从数据输入方或数据输入方的任何其他分包商处接收个人数据，专门用于根据数据输入方或数据输入方的任何其他分包商的指示、本条款及书面分包合同条款进行转移后代表数据输出方开展的处理活动；;
5. “适用的数据保护法 ”是指保护个人基本权利和自由的法律，特别是在处理个人数据方面保护其隐私权的法律，适用于数据输出方所在成员国的数据控制方；;
6. “技术和组织安全措施 ”是指旨在保护个人数据免遭意外或非法破坏或意外丢失、篡改、 未经授权的披露或访问的措施，特别是在数据处理涉及网络传输的情况下，以及旨在保护 个人数据免遭所有其他非法形式的处理的措施。.

第 2 條

转让详情

附录 1 具体说明了传输的详情，特别是适用的特殊类别个人数据，该附录是本条款的组成部分。.

第 3 條

第三方受益人条款

1. 資料當事人可作為第三方受益人對資料出口者執行本條、第 4(b)至(i)條、第 5(a)至(e)及(g)至(j)條、第 6(1)及(2)條、第 7 條、第 8(2)條，以及第 9 至 12 條。.
2. 如資料出口商在事實上已消失或在法律上已不存在，資料當事人可對資料進口商執行本條、第 5(a)至(e)及(g)條、第 6 條、第 7 條、第 8(2)條及第 9 至 12 條，除非任何繼承實體已透過合約或法律的實施承擔資料出口商的全部法律責任，並因此承擔資料出口商的權利和義務，在此情況下，資料當事人可對該實體執行本條、第 5(a)至(e)及(g)條、第 6 條、第 7 條、第 8(2)條及第 9 至 12 條。.
3. 如資料出口商及資料進口商在法律上已實際消失或不復存在，或已無力償債，資料當事人可對次加工 商執行本條款、第 5(a)至(e)及(g)條、第 6 條、第 7 條、第 8(2)條，以及第 9 至 12 條、除非任何后继实体已通过合同或法律的实施承担了数据输出方的全部法律义务，并因此承担了数据输出方的权利和义务，在此情况下，数据主体可对该实体强制执行这些权利和义务。子处理方的第三方责任仅限于其根据本条款进行的处理操作。.
4. 如果数据当事人明确表示希望并在国家法律允许的情况下，双方不反对由协会或其他机构代表数据当事人。.

第 4 條

数据输出者的义务

数据输出方同意并保证

1. 个人数据的处理，包括传输本身，已经并将继续按照适用的数据保护法的相关规定进行（并在适用的情况下，已通知数据出口方所在成员国的相关当局），且不违反该国的相关规定；;
2. 已指示数据导入方并在个人数据处理服务期间指示数据导入方仅代表数据导出方并根据适用的数据保护法律和本条款处理所传输的个人数据；;
3. 数据导入者将就本合同附录 2 规定的技术和组织安全措施提供充分保证；;
4. 在对适用的数据保护法的要求进行评估后，安全措施适合于保护个人数据免遭意外或非法毁坏或意外丢失、更改、未经授权的披露或访问，特别是在处理过程涉及通过网络传输数据的情况下，并适合于保护个人数据免遭所有其他非法形式的处理，而且这些措施确保了与处理过程带来的风险和受保护数据的性质相适应的安全级别，同时考虑到了技术水平和实施成本；;
5. 确保遵守安全措施；;
6. 如果传输涉及特殊类别的数据，则在传输之前或之后尽快告知或将告知数据当事人，其数据可能被传输到不提供第 95/46/EC 号指令所指的充分保护的第三国；;
7. 如果数据输出方决定继续传输或取消暂停，将根据第 5(b)条和第 8(3)条从数据输入方或任何子处理方收到的任何通知转发给数据保护监管机构；;
8. 应要求向数据当事人提供本条款的副本（附录 2 除外）、安全措施的简要说明以及根据本条款必须签订的任何分处理服务合同的副本，除非本条款或合同包含商业信息，在这种情况下，可以删除此类商业信息；;
9. 在分處理的情況下，有關處理活動須由分處理者根據第 11 條進行，而該分處理者對個人資料及資料當事人的權利所提供的保障，至少與資料輸入者根據該等條款所提供的保障水平相同；及
10. 确保遵守第 4(a)至(i)条的规定。.

第 5 條

数据导入者的义务

数据导入者同意并保证

1. 仅代表数据输出方处理个人数据，并遵守其指示和本条款；如果因任何原因无法遵守本条款，则同意立即通知数据输出方其无法遵守本条款，在此情况下，数据输出方有权暂停数据传输和/或终止合同；;
2. 它没有理由认为适用于它的法律妨碍它履行从数据输出方收到的指示和合同规定的义务，如果该法律发生变化，可能对条款规定的保证和义务产生重大不利影响，它将在获悉变化后立即通知数据输出方，在这种情况下，数据输出方有权暂停数据传输和/或终止合同；;
3. 在处理转让的个人数据之前，已实施附录 2 规定的技术和组织安全措施；;
4. 它将立即通知数据输出者：
   1. 执法机构提出的任何具有法律约束力的披露个人数据的要求，除非另有禁止，如刑法禁止为执法调查保密；;
   2. 任何意外或未经授权的访问；以及
   3. 直接从数据当事人处收到的任何请求，除非另有授权，否则不对该请求作出回应；;
5. 迅速、妥善地处理数据输出方就其对转让所涉个人数据的处理提出的所有询问，并遵守监管机构就转让数据的处理提出的建议；;
6. 应数据输出方的要求，提交其数据处理设施，以便对条款所涵盖的处理活动进行审计，审计工作应由数据输出方或由数据输出方（如适用）经与监管机构协商选定的、由独立成员组成的检查机构进行，该检查机构应具备必要的专业资格，并受保密义务的约束；;
7. 应要求向数据当事人提供条款副本或任何现有的分处理合同副本，除非条款或合同包含商业信息，在这种情况下，它可以删除此类商业信息，但附录 2 除外，在数据当事人无法从数据出口方获得副本的情况下，附录 2 应由安全措施的简要说明取代；;
8. 如果要进行二次处理，应事先通知数据输出方并获得其书面同意；;
9. 分包商将根据第 11 条的规定提供处理服务；;
10. 将其根据本条款签订的任何子处理程序协议的副本立即发送给数据出口方。.

第 6 條

责任

1. 双方同意，因任何一方或子处理方违反第 3 条或第 11 条所述义务而蒙受损失的任何数据主体有权从数据出口方处获得损害赔偿。.
2. 如資料當事人因資料輸入者或其次級處理者違反第 3 條或第 11 條所述的任何義 務，而未能根據第 1 段向資料輸出者提出索償，原因是資料輸出者在法律上已 事實上消失或不復存在，或已無力償債、数据导入方同意，数据主体可向数据导入方提出索赔，如同其为数据导出方，除非任何继承实体已通过合同或法律的实施承担了数据导出方的全部法律义务，在此情况下，数据主体可向该实体强制执行其权利。数据导入方不得以次处理方违反其义务为由规避自身责任。.
3. 如資料當事人因從屬處理者違反第 3 條或第 11 條所述的任何義務而無法向第 1 和第 2 款所述的資料出口者或資料進口者提出申索，原因是資料出口者和資料進口者事實上已消失或在法律上已不存在或已無力償債、子处理方同意，数据主体可根据本条款就其自身的处理操作向数据子处理方提出索赔，如同其为数据出口方或数据进口方，除非任何继承实体已通过合同或法律的实施承担了数据出口方或数据进口方的全部法律义务，在此情况下，数据主体可对该实体行使其权利。分包商的责任仅限于其根据本条款进行的处理操作。.

第 7 條

调解和管辖权

1. 数据导入方同意，如果数据主体对其援引第三方受益人权利和/或根据条款要求损害赔偿，数据导入方将接受数据主体的决定：
   1. 将争议提交独立人士调解，或酌情提交监管机构调解；;
   2. 将争议提交数据出口方所在成员国的法院。.
      
      
2. 双方同意，数据主体做出的选择不会损害其根据国内法或国际法的其他规定寻求补救的实体权利或程序权利。.

條例草案第8條

与监管机构合作

1. 如果监管机构提出要求或适用的数据保护法要求交存本合同副本，则数据输出方同意向监管机构交存本合同副本。.
2. 双方同意，监管机构有权对数据输入方和任何子处理方进行审计，审计范围和条件与根据适用的数据保护法对数据输出方进行的审计相同。.
3. 如适用于数据输入方或任何分处理方的法律妨碍根据第 2 款对数据输入方或任何分处理 方进行审计，数据输入方应及时通知数据输出方。在此情况下，数据出口方有权采取第 5(b)条规定的措施。.

第 9 條

准据法

本条款受数据出口方所在成员国的法律管辖。.

條例草案第10條

合同的变更

双方承诺不变更或修改条款。这并不妨碍双方在必要时增加与业务相关的条款，只要这些条款不与本条款相抵触。.

條例草案第11條

次级处理

1. 未經資料出口方事先書面同意，資料輸入方不得將其根據本條款代表資料出口方進行的任何處理操作分包。如資料輸入方在獲得資料輸出方同意下，把其在本條款下的責任分判，則只可透過與次處理者訂立書面協議的方式進行，而該協議對次處理者所施加的責任，與本條款對資料輸入方所施加的責任相同。如次處理者未能根據該等書面協議履行其保護資料的責任，資料輸入者仍須就次處理者根據該等協議履行其責任向資料輸出者負全責。.
2. 数据导入方和子处理方之间的事先书面合同还应规定第 3 条中规定的第三方受益人条款，以 便在以下情况下数据主体无法向数据导出方或数据导入方提出第 6 条第 1 款所述的赔偿要求，因 为数据导出方或数据导入方事实上已经消失，或在法律上已不复存在，或已破产，并且没有继 承实体根据合同或法律规定承担数据导出方或数据导入方的全部法律义务。子处理方的第三方责任应仅限于其根据本条款进行的处理操作。.
3. 与第 1 款所述合同分处理的数据保护相关的规定应受数据出口方所在成员国的法律管辖。.
4. 数据输出方应保存一份根据本条款缔结并由数据输入方根据第 5(j)条通知的分处理协议清单，该清单应至少每年更新一次。该清单应提供给数据输出方的数据保护监管机构。.

條例草案第12條

个人数据处理服务终止后的义务

1. 双方同意，在终止提供数据处理服务时，数据导入方和子处理方应根据数据输出方的选择，将所传输的所有个人数据及其副本归还给数据输出方，或销毁所有个人数据，并向数据输出方证明其已这样做，除非法律规定数据导入方不得归还或销毁所传输的全部或部分个人数据。在这种情况下，数据导入方保证其将保证所传输个人数据的保密性，并且不再主动处理所传输的个人数据。.
2. 数据输入方和子处理方保证，在数据输出方和/或监管机构提出要求时，将提交其数据处理设 施，以便对第 1 款所述措施进行审计。.

附加条款

1. 分包处理。資料輸入方可委託其他公司代表資料輸入方提供有限部分的服務（包括支援服務），而資料輸出方同意資料輸入方將個人資料的處理分包予條款所述的次處理者。資料輸入者將確保任何次處理者只會查閱和使用個人資料，以提供資料輸入者與次處理者之間書面協議所載的服務。资料输出者确认，只要资料输入者与次处理者之间的次处理协议至少提供本协议所要求的资料保护水平，则本条款中适用于资料输入者与次处理者之间协议的任何要求应得到完全满足。.
2. 责任。本条款受主服务协议或服务条款中 “责任限制 ”部分所载的责任限制和免责条款的约束，因此数据导入者和 Digify Pte Ltd 的总责任合计不得超过协议中规定的限制。数据输出方无权就同一损失同时向数据输入方和 Digify Pte Ltd 追偿。.

欧盟标准合同条款附录 1

本附录构成条款的一部分。.

数据导出器

数据输出方是经 DPA 修订的本协议的客户。.

数据导入器

数据导入者是 Digify 公司（以下简称 “公司”），一家为企业提供文件安全服务的供应商。公司提供网站、软件和移动应用程序，允许用户在发送文件后对文件进行安全保护和跟踪。公司的服务也可通过应用编程接口 (API) 访问。.

数据对象

传输的个人数据涉及 Data Exportter 和 Data Exportter 关联公司的最终用户，包括 Data Exportter 的员工、顾问和承包商，以及使用 Data Importer 提供的服务与这些最终用户合作或共享的任何个人。.

数据类别

传输的个人数据涉及最终用户的身份信息和组织数据，以及最终用户通过 Data Importer 的服务以电子形式存储或传输的文件、图像和其他内容或数据。.

加工操作

转让的个人数据将进行以下基本处理活动（请注明）：

处理范围。.

处理数据输出方个人数据的范围和目的在本条款所附的 DPA 以及数据输出方和数据输入方之间的协议中均有说明。.

处理期限。.

数据处理期限为适用协议中规定的期限。.

数据删除或返回。.

协议到期或终止时，数据导入者同意根据协议的条款和条件从数据导入者的服务中删除或归还数据导出者的个人数据。.

获取数据。.

Data Exporter 可指定一名管理员，该管理员有权根据本协议访问 Data Exporter 的个人数据。此外，Data Exporter 的个人最终用户将能够访问与特定帐户相关联的该最终用户的任何个人数据，该最终用户通过该帐户根据服务功能、协议以及公司与 Data Exporter 个人最终用户之间的协议访问和使用服务。.

次级处理。.

Data Importer 可聘請其他公司代表 Data Importer 提供部分服務。Data Importer 將確保任何此等次加工者只會存取及使用 Data Exporter 的任何個人資料，以根據本協議提供服務。.

欧盟标准合同条款附录 2

描述数据导入者根据以下规定实施的技术和组织安全措施

第 4(d)及 5(c)條（或所附文件／法例）：

数据隐私联系人

数据导入者的数据隐私官联系方式：contact@digify.com

安全措施

数据导入者已实施并将保持适当的行政、技术和物理保障措施，以保护个人数据。.

1. 访问控制。数据导入者将采取适当措施，防止未经授权人员访问数据处理设备。.
2. 数据访问控制。数据导入者承诺，有权使用数据处理系统的人员只能在相应访问权限的范围和程度内访问客户个人数据。.
3. 用户控制。Data Importer 将采取适当措施，防止其数据处理系统被未经授权的人员使用。此外，Data Importer 将采取适当措施，防止未经授权读取、复制或删除存储的数据。.
4. 传输控制。数据导入者将确保通过使用处理者服务处理的客户个人数据的安全。.
5. 组织控制。数据导入者将以符合数据保护立法要求的方式维护其内部组织。.
6. 指令控制。由数据输出方转给数据输入方的客户个人数据只能按照控制方的指示进行处理。.

Data Importer 可随时更新这些安全措施，但如果 Data Importer 更新安全措施的方式严重削弱了其中所述的管理、技术或物理安全功能，Data Importer 将通知 Data Exporter。.

证据 B

Digify GDPR 附录

1.公司使用分包商。客户同意公司指定分包商（包括分包商）执行服务。如果分包商将处理受欧盟数据保护法管辖的个人数据，公司将确保分包商履行有关个人数据的合同义务，以满足欧盟数据保护法的要求。 https://digify.com/legal.html: