数据处理协议
本数据处理协议(“DPA”)被纳入并构成Adapty服务条款的一部分,服务条款可在https://adapty.io/terms/或客户与Adapty之间的其他书面或电子协议中找到(以下简称“协议”)。
数据处理者和数据控制者在此各自被称为“一方”,共同称为“双方”。数据处理者和数据控制者同意如下:
如果您代表公司签署这些条款,则您声明您有权约束该实体。如果您没有此权力,或者如果您不无条件同意这些条款,则您无权使用该软件。
1. 定义
1.1. 适用的隐私法律是指任何政府机构颁布的关于个人数据的收集、使用、转移和披露的所有法律、法规、条例、法规、规则、指导、命令或任何其他法律权利。
1.2. 数据控制者是指协议下的客户。
1.3. 数据处理者是指 Adapty。
1.4. 数据主体是指直接或间接识别或可识别的与个人数据相关的人员。
1.5. GDPR是指2016年欧洲议会和理事会的《通用数据保护条例》(EU)2016/679,关于自然人在处理个人数据和此类数据自由流动的保护。
1.6. 英国 GDPR是指保留的欧盟法律版本的《通用数据保护条例》((EU)2016/679)(EU GDPR),根据2018年《欧盟(撤回)法》第3条以及根据2019年《数据保护、隐私和电子通信(修订等)法令》(SI 2019/419)进行修订,成为英格兰、威尔士、苏格兰和北爱尔兰法律的组成部分。
1.7. 个人数据是指数据控制者提供的、受适用隐私法律规制的任何信息,包括有关已识别或可识别个人的信息。
1.8. 处理、过程和处理是指任何涉及使用个人数据的活动或适用隐私法律可能以其他方式定义的处理、过程或处理。这包括对个人数据或一组个人数据进行的任何操作或操作集,无论是否通过自动手段进行,例如收集、记录、组织、构建、存储、适应或修改、检索、咨询、使用、通过传输、传播或以其他方式使之可用、对齐或组合、限制、删除或销毁。处理还包括向第三方转移个人数据。
1.9. 标准合约条款(SCC)是指由欧洲委员会实施决策(EU)2021/914于2021年6月4日制定的标准合同条款,用于根据欧洲议会和理事会2016/679号法规将个人数据转移到第三国,可在以下网址获取:https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en。
1.10. 子处理者是指数据处理者聘用的第三方数据处理者,可能会接触或处理个人数据。
2. 个人数据的处理
2.1. 处理个人数据的主题、期限、性质和目的,以及个人数据的类型和数据主体的类别在附录 I 中规定。
2.2. 数据处理者应避免处理超出附录 I 所规定范围的个人数据。
2.3. 各方特此同意,在处理个人数据的过程中,涉及到的所有关系方面,包括根据 GDPR 第28条需要解决的事项,都在 SCC 中规定和管理。
3. 跨境个人数据转移
3.1. 从欧盟转移。根据 GDPR 保护的个人数据的处理,各方特此同意,转移受 SCC 的约束,SCC 通过引用并成为本 DPA 的一个组成部分。SCC 的附录根据本 DPA 的附录 1 填写。根据本 DPA 的附录 2,SCC 赋予的选项被视为已选择。
3.2. 从瑞士转移。根据1992年6月19日瑞士数据保护法(“FADP”)保护的个人数据的处理,各方特此同意,该转移受 SCC 约束,并且为使 SCC 符合瑞士法律而进行必要的调整,从而适合确保从瑞士向第三国转移数据的适当保护水平,根据FADP第6条第2款字母a的规定。调整清单见于将个人数据转移到数据保护水平不足的国家的第4.3条。
3.3. 从英国转移。根据英国 GDPR 保护的个人数据的处理,各方特此同意,该转移受英欧委员会的标准合同条款的国际数据转移附录约束,并可在https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf获取,随英国信息专员办公室、议会或国务卿的采用、修正或更新而进行调整。
4. 同意
4.1. 数据控制者表示并保证:(i)其处理指令应遵守适用的隐私法律;(ii)它将遵守适用的隐私法律,特别是关于处理个人数据的合法依据的数据控制者承认并同意数据处理者的服务取决于并基于最终用户的同意或任何其他经证明的合法基础,应由数据控制者获得,数据处理者依赖于此。数据控制者表示存在这种同意或任何其他经证明的合法基础。
5. 加州消费者隐私权
5.1. 本条款 5 中的“个人信息”、“消费者”和其他大写术语应具有2018年加州消费者隐私法(Cal. Civ. Code §§ 1798.100 et. Seq.)中规定的含义,随时修改(“CCPA”)。
5.2. 特此同意,各方之间的任何个人数据共享仅为满足商业目的而进行,Adapty 不会接收或处理任何个人数据作为提供服务的对价。
5.3. 因此,数据控制者对依据其使用服务而遵守 CCPA 负责。数据控制者独自负责且承担责任,确定在服务过程中与消费者的个人数据共享或转移是否构成个人数据的销售。
5.4. 数据处理者不得出于提供协议中指定的服务以外的商业目的保留、使用或披露个人数据。
6. 期限
6.1. 本 DPA 自协议生效之日起生效。只要协议保持有效,本 DPA 将继续生效。
7. 可分割性
7.1. 如果本 DPA 的任何条款部分或全部无效、无效或不可执行,则本 DPA 其他条款的有效性、有效性和可执行性不受影响。
7.2. 任何此类无效、无效或不可执行的条款应在法律允许的范围内视为由最接近反映无效、无效或不可执行条款的经济意图和目的的有效、有效和可执行的条款所替代,涉及其主题、规模、时间、地点和适用范围。
7.3.上述规则应类推适用于填补本 DPA 中可能存在的任何空白。
8. 完整协议
8.1. 各方明确声明,本 DPA 和此处提到的文件构成各方之间的完整协议,并取代与本 DPA 的主题不论书面与否存在的任何以前的草稿、协议、承诺、谅解、条件和安排,尽管存在各方之间任何性质的冲突优先秩序。
9. 管辖法律和管辖权
9.1. DPA 应依据协议中规定的法律进行管辖。
9.2. 各方特此提交至协议中规定的管辖选择,以处理因本 DPA 引起的任何争议或索赔,包括关于其存在、有效性或终止及其无效的后果的争议。
10. 其他事项
10.1. 在以下情况下发生冲突或模糊:
10.1.1. DPA 的任何条款与协议的任何条款之间,DPA 的条款应当优先;
10.1.2. 本协议正文中的任何条款应优先于附录中的任何条款;
10.1.3. 本协议的任何条款与任何执行的 SCC 之间,执行的 SCC 的条款应优先。
附录 1
附录 I
附录 II. 技术和组织措施,包括确保数据安全的技术和组织措施
如果是,请提供具体细节
• 定期更新操作系统、硬件和任何第三方软件,以避免安全漏洞。
• 使用防火墙和入侵防止系统(IPS)限制访问并保护 Adapty 服务器。
• 使用多因素身份验证确保远程访问通信的安全。
• 每天备份客户数据,采用轮换计划。
