DPA

数据处理协议

我们的标准合同条款

最后更新日期:2021 年 6 月 11 日

本数据处理协议(“协议”)构成您与 Zentrio LLC(位于 6547 N Academy Blvd #1321 Colorado Springs, CO 80918 United States)之间具有法律约束力的合同,适用于 Zentrio LLC 代表您处理客户个人数据的范围您是数据控制者,

然而

(A) 本公司作为数据控制者。

(B) 公司希望将某些暗示处理个人数据的服务分包给数据处理器。

(C) 双方寻求实施一项数据处理协议,该协议符合当前与数据处理相关的法律框架的要求以及欧洲议会和理事会于 2016 年 4 月 27 日颁布的法规 (EU) 2016/679在个人数据的处理和此类数据的自由移动方面保护自然人,并废除指令 95/46/EC(通用数据保护条例)。

(D) 双方希望规定其权利和义务。

协议如下:

  1. 定义和解释

1.1 除非本协议另有定义,本协议中使用的大写术语和表达应具有以下含义:

1.1.1 “协议”是指本数据处理协议和所有附表;

1.1.2 “公司个人数据”是指由签约处理方代表公司根据主协议或与主协议相关处理的任何个人数据;

1.1.3 “签约处理者”是指分处理者;

1.1.4 “数据保护法”是指欧盟数据保护法,以及在适用范围内,任何其他国家的数据保护或隐私法;

1.1.5 “EEA”指欧洲经济区;

1.1.6 “欧盟数据保护法”是指欧盟指令 95/46/EC,已转换为每个成员国的国内立法并不时修订、替换或取代,包括 GDPR 和实施或补充 GDPR 的法律;

1.1.7 “GDPR”是指欧盟通用数据保护条例 2016/679;

1.1.8 “数据传输”是指:

1.1.8.1 将公司个人数据从公司转移到签约处理方;或者

1.1.8.2 将公司个人数据从签约处理者转移到分包处理者,或在签约处理者的两个机构之间转移,在每种情况下,这种转移将被数据保护法(或数据传输条款)禁止为解决数据保护法的数据传输限制而签订的协议);

1.1.9 “服务”是指本公司提供的在线教育或电子学习服务。

1.1.10 “分处理方”是指由处理方或代表处理方指定代表公司处理与协议有关的个人数据的任何人。

1.2 术语“委员会”、“控制者”、“数据主体”、“成员国”、“个人数据”、“个人数据泄露”、“处理”和“监管机构”应与 GDPR 中的含义相同,其同源术语应相应解释。

  1. 公司个人数据的处理

2.1 处理者应:

2.1.1 在处理公司个人数据时遵守所有适用的数据保护法律;和

2.1.2 除相关公司的书面说明外,不得处理公司个人数据。

2.2 公司指示处理者处理公司个人数据。

  1. 处理人员

处理者应采取合理措施确保任何可能访问公司个人数据的任何签约处理者的任何员工、代理人或承包商的可靠性,确保在每种情况下都严格限于需要了解/访问相关信息的个人公司个人数据,对于主要协议的目的而言是绝对必要的,并在个人对签约处理者的职责范围内遵守适用法律,确保所有此类个人都遵守保密承诺或专业或法定保密义务.

  1. 安全

4.1 考虑到现有技术、实施成本和处理的性质、范围、背景和目的以及自然人权利和自由的不同可能性和严重程度的风险,处理者应就公司个人数据采取适当的技术和组织措施,以确保与该风险相适应的安全级别,包括(如适用)GDPR 第 32(1) 条中提到的措施。

4.2 在评估适当的安全级别时,处理者应特别考虑处理带来的风险,尤其是个人数据泄露带来的风险。

  1. 子处理

5.1 除非公司要求或授权,否则处理方不得任命(或向其披露任何公司个人数据)任何分处理方。

  1. 数据主体权利

6.1 考虑到处理的性质,处理者应在可能的情况下通过实施适当的技术和组织措施来协助公司,以履行公司合理理解的公司义务,以响应行使数据的请求数据保护法规定的主体权利。

6.2 处理者应:

6.2.1 如果收到数据主体根据任何数据保护法提出的关于公司个人数据的请求,应立即通知公司;和

6.2.2 确保它不响应该请求,除非公司的书面指示或处理者所受适用法律的要求,在这种情况下,处理者应在适用法律允许的范围内通知公司该法律要求在签约处理器响应请求之前。

  1. 个人数据泄露

7.1 处理者在发现影响公司个人数据的个人数据泄露事件后,处理者应立即通知公司,向公司提供足够的信息,使公司能够履行任何义务,根据数据保护报告或通知数据主体个人数据泄露法律。

7.2 处理者应与公司合作并按照公司的指示采取合理的商业步骤,以协助调查、缓解和补救每个此类个人数据泄露事件。

  1. 数据保护影响评估和事先咨询处理方应就任何数据保护影响评估以及与监管机构或其他主管数据隐私机构的事先咨询向公司提供合理协助,公司合理认为 GDPR 第 35 条或第 36 条对此有要求或任何其他数据保护法的同等规定,在每种情况下,仅与签约处理者处理公司个人数据有关,并考虑到处理的性质和可提供给签约处理者的信息。

  1. 公司个人资料的删除或归还

9.1 根据本节第 9 条的规定,处理者应及时并在任何情况下在

在涉及公司个人数据处理的任何服务停止之日起 10 个工作日(“停止日期”),删除并促使删除这些公司个人数据的所有副本。

  1. 审核权限

10.1 根据本第 10 条的规定,处理方应根据公司要求向公司提供证明遵守本协议所需的所有信息,并应允许公司或公司委托的审计师进行审计,包括检查,并为此做出贡献。合同处理方对公司个人数据的处理。

10.2 公司的信息和审计权仅在本协议未以其他方式给予他们符合数据保护法相关要求的信息和审计权的情况下根据第 10.1 条产生。

  1. 数据传输

11.1 未经公司事先书面同意,处理者不得将数据传输或授权传输至欧盟和/或欧洲经济区 (EEA) 以外的国家/地区。如果根据本协议处理的个人数据从欧洲经济区内的国家转移到欧洲经济区以外的国家,双方应确保个人数据得到充分保护。为实现这一目标,除非另有约定,否则双方应依赖欧盟批准的标准合同条款来传输个人数据。

  1. 一般条款

12.1 保密。每一方必须对本协议及其收到的有关另一方及其与本协议有关的业务的信息(“机密信息”)保密,未经另一方事先书面同意,不得使用或披露该机密信息,除非程度:

(a) 法律要求披露;

(b) 相关信息已经在公共领域。

12.2 通知。根据本协议发出的所有通知和通讯必须以书面形式发送,并将亲自递送、邮寄或通过电子邮件发送至本协议标题中规定的地址或电子邮件地址,发送至本协议不时通知的其他地址双方更改地址。

  1. 治理法律和管辖区

13.1 本协议受美国法律管辖。 

13.2 与本协议有关的任何争议,如果双方无法友好解决,将提交给美国科罗拉多州埃尔帕索县法院的专属管辖权。