请联系我们如果您的企业或组织需要本GDPR DPA的签名副本
在按照处理器提供服务的过程中(Sync.com Inc.)使用条款,处理器处理由控制器提供的个人数据和加密数据,在适用的数据保护法律(“控制器数据”)中,控制器扮演控制器的角色。本附录规定了与处理控制器数据有关的各方的数据保护义务和权利,以提供使用条款下的服务。
2.1 -处理器应代表控制器并按照控制器的指示处理控制器数据,除非法律要求处理器这样做。在后一种情况下,处理方应在处理前将该法律要求告知控制者,除非法律以公共利益的重要理由禁止此类信息。
2.2 -处理器对控制器数据的处理仅包括在创建帐户期间提供的个人数据和其他联系信息,以及在使用服务期间提供的个人和加密数据。处理的期限与使用条款的期限相对应。
处理器的帐户创建过程要求控制器提供个人信息和其他联系信息。这些个人信息可能包括电子邮件地址、名、姓以及个人和/或商业账单信息。个人信息将由处理程序处理,用于验证目的,并为控制者提供服务。
控制器提供的个人信息和其他信息在传输过程中使用SSL/TLS加密。处理器可以在传输期间和静止时自动应用额外的客户端加密层,这被定义为端到端加密。
处理器从不以非加密格式处理文件、文件元数据、加密密钥或密码(“加密的控制器数据”),除非控制器请求处理器这样做。加密控制器数据始终是端到端加密的,并以这样一种方式存储,即处理器不能以可读的格式访问它,或与第三方共享它。Sync的应用程序和功能允许控制器,并且只允许控制器(或者在Business Pro计划的情况下,控制器和控制器的管理员)控制谁可以解密和访问加密的控制器数据,例如在共享时,在与其他应用程序启用应用内共享时,在启用帐户或密码恢复时,或在Business Pro计划的管理员情况下,在发放帐户时。
处理器尽一切努力确保处理器不能访问或解密控制器的加密控制器数据,无论控制器可能启用或使用了哪些功能。
在使用服务期间,控制器也可以提交非加密数据,包括共享时的电子邮件地址。处理器尽一切努力确保非加密数据的传输和存储是安全的,并且对该数据的访问受到高度限制。如果控制器对加密控制器数据或非加密数据的安全性有任何疑问,控制器可以通过help@sync.com联系处理器
2.3 -控制器保留对控制器数据处理的类型、范围、目的和方法发出指令的权利。如果使用条款包含关于更改请求的规定,则这些规定应比照适用于本说明。
2.4 -控制者应对控制者数据处理的合法性负责。如果第三方基于处理控制器数据的非法而对处理器提出索赔,在处理器第一次提出请求时,控制器应释放处理器的任何和所有此类索赔。
2.5 -处理器保留匿名化控制器数据或以不允许识别用户或自然人的方式聚合数据的权利,以及为了设计、进一步开发、优化和向控制器以及服务的其他用户提供服务的目的而使用这种形式的数据的权利。双方同意,按照上述方式匿名或汇总的控制器数据不再被归类为本附录中的控制器数据。
数据控制者同意并保证:
由数据控制者处理并转移给数据处理者的个人数据是根据适用法律进行的,包括有关处理合法性的立法要求。
在个人数据处理服务期间,它已指示并将指示数据处理方仅代表数据控制方并根据适用法律处理传输的个人数据。
确保就数据控制者的内部技术和组织安全措施及个人数据保障措施提供充分保障。
确保有关使用数据处理器的服务共享和协作个人数据的政策和程序的实施和执行。
4.1 -处理方应责成所有参与处理控制器数据的人员对处理控制器数据保密。
4.2 -处理者应确保在其授权下行事且有权访问控制者数据的自然人仅应根据其指示处理此类数据。
5.1 -处理器采取所有适当的技术和组织措施,考虑到技术水平、实施成本和控制器数据处理的性质、范围、情况和目的,以及对数据主体的权利和自由的风险的不同可能性和严重性,以确保与控制器数据的风险相适应的保护水平。
5.2 -特别地,处理方应在开始处理控制者数据之前建立并在整个期间保持技术和组织保障措施,以在提供使用条款中所述的服务时保护数据控制者的个人数据,并确保按照这些措施进行控制者数据的处理。
加密
数据处理机在传送过程中和静止时,会尽一切努力对个人数据进行加密。
账户安全
数据处理器为数据控制器提供可选的帐户安全特性,包括双因素身份验证,以防止未经授权的帐户级别更改。
数据安全
数据处理器为数据控制器提供安全性、兼容性和帐户恢复功能,以控制谁可以解密和访问加密控制器数据。
数据恢复
数据处理器为数据控制器及其最终用户提供了恢复以前上传的已删除文件和恢复以前上传的文件版本的能力。
数据冗余
数据处理器采用多层数据冗余来防止数据丢失并确保可用性。
数据中心和位置
数据处理器的生产系统位于加拿大多伦多市的多西汉姆联个协同位置数据中心。加拿大根据GDPR第45(1)条的要求提供了足够的数据保护水平。数据处理器定期检查数据中心的服务组织控制(SOC)报告,SOC 1和/或SOC 2,以获得足够的安全控制。
保密
数据处理器将数据控制器传送的所有个人数据视为严格机密信息。个人数据的查阅仅限于为数据处理方履行其在主协议和本数据处理方附录项下的义务而处理个人数据的必要和相关的雇员。Data Processor的员工需要接受背景调查和保密协议,并接受政策和程序方面的持续培训。
变更管理
数据处理器确保在实现之前,所有与安全相关的更改都已得到适当管理层的授权。
6.1 -控制者特此授权处理机以一般方式与其他处理机进行合作。
6.2 -在签订本数据处理协议时,以下子处理器应被视为经数据控制者批准,用于计费目的和支付处理(Paypal,美国,Bitpay,美国,美国,Zuora Inc.,美国),用于销售和技术支持(Helpscout,美国,Slack Technologies Inc.,美国,ZenDesk Inc.,美国),用于交易邮件通信(SendGrid,美国,MailJet,美国),用于营销通信(MailChimp,美国)。
数据处理器要求这些处理器也遵守GDPR和适用的数据保护法。这些子处理器被禁止将数据控制器的个人数据用于除使用条款中规定的用途以外的任何目的。
6.3 -处理人应将任何增加或更换进一步处理人的变更通知控制者。控制人有权反对任何预期的更改。如果控制器反对,则禁止处理器进行预期的更改。在授权修改的情况下,处理程序应相应地更新本协议,并将其提供给控制人。
6.4 -处理器应按照本附录中关于处理器的规定,在合同中对每个进一步的处理器施加相同的数据保护义务。
6.5 -处理程序应监督进一步处理程序已采取适当的技术和组织措施,并确保这些措施的执行方式使控制器数据的处理符合本附录的规定。
7.1 -处理人应在合理程度上用技术和组织措施支持控制者履行其对行使数据主体权利的请求作出响应的义务。
7.2 -处理器应在意识到控制器数据的任何违反后立即通知控制器,特别是导致控制器数据的破坏、丢失、更改或未经授权的披露或访问的任何事件。如果可能,通知应包含以下描述:
7.3 -如果控制人有义务根据GDPR第33条和第34条通知监管当局和/或数据主体,处理人应应控制人的要求,协助控制人履行这些义务。
7.4 -处理人应在合理程度上协助控制者进行数据保护影响评估,并在必要时根据GDPR第35条和第36条(如适用)与监管当局进行后续磋商。
根据控制器的指示,在使用条款终止后,处理器应完全且不可撤销地删除所有控制器数据,除非法律规定处理器有义务进一步存储控制器数据。
9.1 -处理器应确保并定期控制控制器数据的处理与本附录和控制器的指示一致。
9.2 -处理者应以适当的方式记录本附录项下义务的履行情况,并应控制人的要求向控制人提供适当的证据。
9.3 -在开始处理控制者数据之前,在使用条款期间,应定期(但不得超过每年一次)向控制者提供所有必要的信息,以证明其遵守本附录的规定,特别是第5节中定义的实施和组织措施。
此文件最后一次修改是2019年11月22日。