数据处理协议
本数据处理协议(以下简称 “DPA”)构成控制方(你)与 Smile Rain(处理方)之间服务条款的组成部分。它规定 Smile Rain 代表控制方就 app.smile-rain.top 工作区进行的个人数据处理活动,依据 GDPR 第 28 条起草。
1. 本协议的适用范围
如果你仅以个人身份使用 Smile Rain 管理自己的任务和笔记,你的数据处理受 隐私政策 管辖,本协议不适用于你。本协议仅适用于你作为数据控制方的组织,且你使用 Smile Rain 涉及处理员工、承包商、客户或其他最终用户的个人数据。在这种情况下,GDPR 第 28 条要求签订书面协议,规定处理方(Smile Rain)如何处理该数据。
2. 处理的主题、性质和期限
本协议涵盖的处理活动是 Smile Rain 工作区的运营 — 存储、检索和展示控制方上传的内容 — 期限为控制方订阅期限及之后任何法律要求的保留期。处理性质为通过云基础设施对工作区内容进行自动化处理。目的是提供服务条款中描述的生产力工作区。
3. 数据类别和数据主体
本协议下处理的个人数据可能包括姓名、电子邮件地址、头像、看板任务内容、笔记内容、加密保险库条目和标签名称。数据主体为控制方的员工、承包商和访问工作区的最终用户。控制方有责任确保其具有上传和处理此数据的合法依据。
4. 处理方义务(GDPR 第 28(3) 条)
Smile Rain 作为处理方承诺:
- 仅根据控制方的书面指示处理个人数据,包括本协议和服务条款中规定的指示,并在指示违反适用法律时立即通知控制方。
- 确保被授权处理个人数据的人员受保密义务约束,且仅能访问其职责所需的数据。
- 实施第 6 节所述的技术和组织安全措施,并协助控制方履行其自身的安全义务。
- 遵守第 5 节中关于聘用次处理商的条件,并对未能履行同等义务的次处理商向控制方承担责任。
- 协助控制方响应数据主体请求(第 8 节)并履行 GDPR 第 32–36 条下的义务(安全、数据泄露通知、DPIA、事先协商)。
- 在终止时,按控制方选择返回或删除所有个人数据,如第 11 节所述。
- 向控制方提供证明遵守本协议和 GDPR 第 28 条所需的所有信息,并配合第 10 节所述的审计工作。
5. 次处理商
控制方授予一般授权,允许就托管、身份验证、分析和电子邮件投递聘用次处理商。当前名单已在 隐私政策 第 3 节中发布。我们将在添加或更换次处理商前至少 30 天通知控制方。如果控制方提出异议,可在 30 天期限内以书面方式终止受影响的服务。我们向每个次处理商施加不低于本协议保护水平的义务。
6. 安全措施
考虑到技术现状、实施成本以及处理的性质和风险,Smile Rain 维护以下技术和组织措施:传输中的 TLS 加密;存储层的静态加密;基于角色的访问控制,将数据访问权限限制在授权人员范围内;保险库条目的客户端加密(控制方持有密钥);以及对安全状况的年度审查。
7. 跨境传输
在需要将个人数据传输给位于欧盟/欧洲经济区以外的次处理商的情况下,此类传输依据欧盟委员会标准合同条款(具体为委员会决定(EU)2021/914 中发布的模块 2:控制方至处理方)进行,并在传输影响评估表明需要时辅以额外保障措施。相关 SCC 副本可应要求提供。
8. 数据主体请求
如果数据主体直接联系 Smile Rain 请求行使其权利,我们将及时将其转至控制方。我们将提供合理的技术和组织协助,帮助控制方在适用法律规定的时限内回应访问、更正、删除、限制、可携带性和反对请求。
9. 个人数据泄露
如发生影响本协议下处理数据的个人数据泄露,Smile Rain 将在无不当延迟且无论如何在知晓后 72 小时内通知控制方。通知将包括(在可获得的范围内):泄露性质、相关数据主体和记录的类别及大致数量、可能的后果,以及为解决泄露已采取或拟采取的措施。
10. 审计与检查
控制方有权审计 Smile Rain 对本协议和 GDPR 第 28 条的遵守情况。我们将在 30 天内回应合理的书面审计请求,提供我们安全计划的摘要以及相关认证或第三方评估。现场审计需要至少 30 天的提前书面通知,须签署保密协议,且除非发生经核实的泄露,每年最多进行一次。
11. 数据返还或删除
在控制方订阅终止后 90 天内,Smile Rain 将根据控制方的书面选择,以常用机器可读格式返还本协议下处理的所有个人数据,或安全删除,但欧盟或成员国法律要求保留的情况除外。我们将以书面方式确认完成。
12. 执行本协议
如需为你的组织签署本协议,请发邮件至 [email protected],附上你的法人实体名称和授权签署人的联系方式。我们将在 10 个工作日内返还已反签名的副本。在交换签署副本之前,你以控制方身份使用工作区即视为接受本协议发布条款。