数据处理协议

最后更新:01/12/2021(版本1.0.4)

在此签署《十大网赌靠谱网址平台》

距软件GmbH是一家

  1. 协议主题

    在履行合同的过程中,Pitch软件公司, Joachimstraße 7, 10119年柏林处理器)及顾客(“客户,连同处理器的"),就处理器软件提供给用户("合同”),则处理器有可能根据艺术处理个人数据. 4 no. 1一般资料保障规例("GDPR"), i.e. 与已识别的或可识别的自然人有关的任何信息(e.g. 的名字, 客户的客户的地址或电话号码), 根据《十大网赌靠谱网址平台结合》(“客户数据‟). 本协议(“协议”)规定双方在处理器使用客户数据提供本合同项下服务时的数据保护义务和权利.

  2. 处理范围

    1. 处理人应代表客户并按照艺术含义中客户的指示处理客户数据. 28 GDPR. 客户仍是第3条规定的控制人. 28 GDPR.

    2. 处理程序对客户数据的处理方式、范围和目的由 附件2.2 to this 协议; the processing relates to the types of personal data and categories of data subjects specified therein. 处理的时间与合同的期限相对应.

    3. 处理器保留对客户数据进行匿名化或聚合的权利,使其无法再识别个人数据主体, 用这种形式来进行基于需求的设计, 机器学习, 开发、优化和提供合同约定的服务. 双方同意,就本协议而言,匿名的和根据上述要求汇总的客户数据不被视为客户数据.

    4. 处理器可以在数据保护法法律允许的范围内,为处理器作为控制器的自身目的处理和使用客户数据, 如获资料当事人的法定许可或同意. 本协议不适用于此类数据处理.

    5. 处理器对客户数据的处理,原则上应在欧盟或欧洲经济区(EEA)的另一缔约国进行。. 尽管如此,如果处理器事先通知客户,处理器仍可在EEA以外按照本协议的规定处理客户数据(e.g. (在隐私政策中)有关数据处理的地点,以及是否符合艺术的要求. 第44条至第48条GDPR的履行或根据第. 49 GDPR适用.

  3. 客户发出指示的权利

    1. 处理器按照客户的指示处理客户数据, 除非处理器在法律上另有要求. 在后一种情况下, 加工前应将该法律要求告知客户, 除非法律基于公共利益的重要理由禁止此类信息.

    2. 客户的指示原则上在本协议的条款中有结论性的规定和文件. 偏离本协议规定或附加附加要求的个别指令应征得处理器同意.

    3. 处理器应确保客户数据是按照客户的指示进行处理的. 如果处理器认为客户发出的指令违反了本协议或适用的数据保护法, 处理器在相应通知客户后,有权暂停执行该指令,直至客户确认该指令. 双方同意,根据指示处理客户数据的全部责任由客户承担.

  4. 客户的法律责任

    1. 客户应单独负责允许客户数据的处理,并在双方关系中维护数据主体的权利. 第三方是否应根据本协议对客户数据的处理向处理器提出索赔, 客户应在第一次提出索赔时,赔偿处理方所有此类索赔.

    2. 客户有责任根据合同及时向处理器提供客户数据以提供服务,并对客户数据的质量负责. 如果客户在检查处理程序的结果时发现有关数据保护规定或客户指示的错误或不规范,客户应立即和完整地通知处理程序.

    3. 应要求,客户应向处理方提供第3条规定的信息. 30帕拉. 2 GDPR,目前它还不能被处理器使用.

    4. 处理程序被要求向政府机构或个人提供有关处理客户数据的信息,或以任何其他方式与这些机构合作, 在处理方提出第一次请求时,客户有义务协助处理方提供该等信息并履行其他适当的合作义务.

  5. 人事和系统的要求

    处理器应承诺所有处理客户数据的人员对客户数据的处理保密.

  6. 安全的处理

    1. 处理器按照本合同第3条的规定采取必要的、适当的技术和组织措施. 32 GDPR, 考虑到目前的技术水平, 实施成本和性质, 范围, 客户资料的情况和目的, 以及对数据主体的权利和自由构成风险的不同可能性和严重性, 以确保客户数据受到与风险相适应的程度的保护. 实施的技术和组织措施包括 附件6.1.

    2. 处理方有权在本协议期限内修改技术和组织措施, 只要他们继续遵守法律规定.

  7. 进一步加工者的参与

    1. 客户授予处理器一般授权,以聘请进一步的处理器处理客户数据. 本协议签订时所从事的其他加工者列于 附件7.2. 在一般情况下, 与第三方审查或维护数据处理程序或系统或涉及其他额外服务的服务提供商之间的合同关系不需要授权, 即使不能排除访问客户数据, 只要处理器采取合理步骤保护客户数据的机密性. 为了接收有关添加或更换现有子处理器的通知,用户可通过以下链接订阅邮件列表: 球场app.typeform.com/to/Mjivi4yI. 子处理器通知将不迟于任何更改前14天发出, 以允许顾客提出异议. 客户只可因重要原因提出异议,并须向-à-vis处理器证明. 如果客户在收到通知后14天内没有提出异议, 客户对相应的合同失效提出异议的权利. 如果客户对象, 处理器有权终止本合同和本协议,通知期为三个月至一个月结束.

    2. 处理器与后置处理器之间的协议必须使后置处理器承担与本协议中处理器义务相同的义务. 双方同意,如果合同具有与本协议相应的保护水平,则此要求已得到满足.

    3. 在遵守美国证券交易委员会的要求的前提下. 2.本协议第5条的规定,本协议第5条的规定. 如果涉及第三国的进一步加工商,则7也适用. 根据欧盟委员会2010年2月5日的决定,客户在此授权处理器代表客户与另一个处理器就将个人数据转移给第三国的处理器的标准合同条款达成协议. 客户声明其愿意合作以满足艺术的要求. 在必要的范围内执行GDPR.

  8. 数据对象的权利

    1. 处理器应在合理范围内,通过技术和组织措施,支持客户履行对行使数据主体权利的请求作出回应的义务.

    2. 如数据当事人直接向处理器提出行使其权利的请求, 处理器将及时将此请求转发给客户.

    3. 处理器应将与存储的客户数据有关的任何信息通知客户, 处理器可根据指示向其披露的客户数据的接收者,以及存储的目的, 只要客户无法自行处理该等信息,且客户无法自行收集该等信息.

    4. 处理器将, 在合理和必要的范围内, 使“客户”能够改正, 删除或限制对客户资料的进一步处理, 或按客户的指示改正, 阻塞或限制进一步处理本身, 如果并且在客户不可能做到这一点的情况下. 在这种情况下, 处理程序在此方面所发生的费用应得到补偿,并向-à-vis客户证实.

    5. 如果根据第3条,数据主体就客户数据对-à-vis具有数据可移植性的权利. 20 GDPR, 处理程序应在合理和必要的范围内,以结构化方式向客户交付客户数据, 常用和机器可读的格式, 如果“用户”无法从其他地方获取数据. 在这种情况下, 处理程序在此方面所发生的费用应得到补偿,并向-à-vis客户证实.

  9. 处理器的通知和支持义务

    1. 如果客户因违反有关客户数据的安全(特别是根据第3条)而负有法定通知义务. 33, 34 GDPR), 处理器应及时将其职责范围内的任何应报告事件通知客户. 处理器应在合理和必要的范围内,根据处理器的要求,协助客户履行通知义务. 在这种情况下, 处理程序在此方面所发生的费用应得到补偿,并向-à-vis客户证实.

    2. 处理程序应在合理和必要的范围内,协助客户进行由客户进行的数据保护影响评估, 如果有必要的话, 随后根据本条与监管当局协商. 35、36 GDPR. 在这种情况下, 处理程序在此方面所发生的费用应得到补偿,并向-à-vis客户证实.

  10. 删除和归还客户资料

    1. 本协议终止后,处理器应根据客户的自由裁量权,
      a. either delete or return the 客户数据; and
      b. 删除其中的现有副本
      除非处理器依法有义务进一步存储客户数据.

    2. 处理程序可保留作为有序和准确处理客户数据的证据的文件, 在本协议终止后.

  11. 证据和审计

    1. 处理器应向客户提供, 应客户要求, 提供处理方所需和可获得的所有信息,以证明其遵守本协议项下的义务.

    2. 客户有权审核(包括检查)加工商是否符合本协议的规定, 特别是技术和组织措施的实施.

    3. 为了进行检查,根据. 11.2., 客户有权在正常营业时间(周一至周五上午10点至下午6点)内,根据第2条及时提前通知,进入处理器处理客户数据的营业场所. 11.5 .自费, 在不干扰业务进程的情况下,并严格保密加工方的商业和商业秘密.

    4. 处理器有权, 自行决定,并考虑客户的法律义务, 不披露与处理器业务有关的敏感信息,或披露信息会导致处理器违反法定或其他合同规定. 客户无权访问处理器其他客户的数据或信息, 成本信息, 质量控制和合同管理报告, 或处理人的与约定的审计目的不直接相关的任何其他机密数据.

    5. 客户应及时(通常至少提前两周)将所有与审核有关的情况通知处理程序. 客户每一历年可进行不超过一次审核.

    6. 如果客户委托第三方进行审计, 客户应以书面的方式向第三方承担义务,就像客户根据本节对-à-vis处理器负有义务一样. 11. 除了, 除非第三方有保密的专业义务,用户应以书面协议的方式要求第三方保密和保密. 应处理器的要求, 客户应立即向处理器提交与第三方的承诺和保密协议. 客户不得委托处理程序的任何竞争对手进行审核.

    7. 由处理器决定, 可提供遵守本协议项下义务的证明, 而不是检查, 由独立机构提交适当的当前意见或报告(e.g. 审计师, 审计部门, 数据保护官员, IT安全部门, 资料保障核数师或质素核数师)或由资讯科技保安或资料保障核数师取得适当的认证("审计报告"), 如果审核报告能够以适当方式使客户确信处理程序遵守了本协议中规定的合同义务.

  12. 合同期限及终止

    本协议的期限和终止应按本合同的期限和终止条款执行. 合同的终止将自动导致本协议的取消. 本合同的孤立终止不包括在内.

  13. 责任

    1. 处理方在本协议项下的责任应受本合同中规定的免责声明和责任限制的约束. 只要第三方对处理器提出索赔,而该索赔是由于客户违反本协议或根据数据保护法,客户作为控制人的义务之一造成的, 客户应在第一次提出要求时,对处理程序作出赔偿,使其免受上述索赔之害.

    2. 客户承诺,在处理程序第一次提出请求时,应赔偿处理程序因其侵权而遭受的与客户责任相应的所有可能的罚款.

  14. 最后条款

    1. 如果本协议的个别条款无效或变得无效或存在空白, 其余条款不受影响. 双方承诺用一项法律允许的、最接近无效条款目的、从而满足第3条规定的条款来取代无效条款. 28 GDPR.

    2. 本协议与双方其他安排发生冲突时, 特别是合同, 以本协议的规定为准.

附件2.2

客户资料处理的进一步资料
1 数据处理的目的和范围 以web应用程序的形式提供Pitch软件, 桌面应用程序, 或移动应用程序, 作为一个创造的平台, 合作, and distributing of presentations; fulfilment of the 处理器’s obligations under the 合同.
2 个人资料的种类 Contact data; usage data; any data filled in by the 客户 in the Software; Employee Data; 客户数据; Supplier Data; User-generated Data; User data; Profile data; User的名字; password; email; logfiles.
3 数据主题类别 Users of the Pitch software; possibly other data subjects mentioned or included in data filled in by the 客户 in the Software.

附件6.1

根据艺术的技术和组织措施. 32 GDPR

根据 艺术. 32 GDPR 个人数据的控制器和处理器必须采取技术和组织措施(TOM),以确保满足数据保护的安全和保护要求. 技术措施 是否被理解为广义上物理上可执行的所有保护尝试, 例如加固门窗或在软件和硬件中实施的措施, 例如设置用户帐户和密码要求. 组织措施 是否被理解为通过指令实现的保护尝试, 程序和过程.

No. 类别的措施 描述的类别 技术措施 组织措施
1 加密(艺术. 32 (1) a) GDPR) 密码学措施,以确保信息在内部或外部传输时被散列,并且只有使用正确的加密密钥才能重新变得可读. 公司网站加密(“动态数据”)
笔记本/笔记本和移动数据运营商的数据加密(“静止数据”)
2 保密-物理访问控制(第3条). 32 (1) b) GDPR) 防止未获授权人士查阅处理或使用个人资料的资料处理系统的措施. 建筑物,门窗的安全与报警系统 数字密钥管理系统
自动门禁系统和带有安全锁的手动锁系统
光壁垒/运动探测器
入口视频监控
3 保密-数据存取控制(第3条). 32 (1) b) GDPR) 防止未经授权使用数据处理系统的措施. 使用用户名/密码和/或生物识别方法进行身份验证 分配用户权限, 定义用户配置文件, 分配的密码, 并将用户资料分配给it系统
使用入侵检测系统 当员工离开公司时立即阻止授权
上锁的外壳/安全锁
密码保护屏保和自动屏幕锁定在不活动的情况下, 还有双因素用户身份验证
用于分离数据流的虚拟网络的实现
4 保密-数据使用控制(第3条). 32 (1) b) GDPR) 确保有权使用数据处理系统的人只有权查阅其有权查阅的数据的措施, 个人数据无法读取, 复制, 在加工或使用过程中及储存后未经授权而改变或移除. 使用文档碎纸机或适当的服务提供商,并在重用之前删除数据介质 开发授权概念(读取的差异化授权), 编辑或删除数据)和密码程序(包括. 特殊字符,最小长度,密码修改)
由系统管理员分配权限
5 保密-传输控制(第3条). 32 (1) b) GDPR) 确保个人资料不被读取的措施, 复制, 在电子传输、运输或存储到数据载体上时改变或删除的, 并有可能查核及确定拟用资料传送设施将个人资料传送给哪些机构. 所有接口的文档 数据接收方的文件和计划的交出或约定的删除时限的期限
6 保密-分离控制(第3条). 32 (1) b) GDPR) 确保为不同目的收集的数据可以分别处理的措施. 功能分离(生产/测试) 授权概念的开发
分离的数据库和数据库中的单独表 逻辑端分离
7 完整性-输入控制(第3条. 32 (1) b) GDPR) 必须维护完整的数据管理和维护文档,以确保数据的持续完整性. 后续检查数据是否已输入的措施, 更改或删除(删除), 以及由谁. 没有本地管理员权限 输入的授权分配
基于授权概念更改和删除数据
8 可用性-可用性控制(第3条. 32 (1) b) GDPR) 确保个人资料免受意外破坏或丢失的措施. 服务器机房的空调 在未经授权进入服务器室时报警
服务器室的灭火器, 安装火灾和烟雾探测系统, 不间断电源(UPS) 安全外包地点的远程数据备份
服务器机房温湿度监测及带电涌保护的电源插座板 制定应急计划和灾难恢复计划, 在洪水地区:水线以上的服务器室
服务器室不设卫生设施
9 可用性-作业控制(第3条. 32 (1) b) GDPR) 采取措施确保, 在委托处理个人数据的情况下, 数据只按照财务主任的指示处理. 在选择处理器时要考虑到勤勉方面(特别是在数据安全方面)
对违约行为的合同处罚
给处理器的书面指令(e.g. 数据处理协议)中定义的. 28 (2) GDPR
处理器已指派一名资料保护主任
处理机同意的有效控制权
使处理器的雇员承担数据保密义务(第3条). 28 Abs. 3点了. b GDPR)
在服务提供结束时删除数据的保证, 对处理器及其活动的持续控制
使用分包商需得到控制人的同意,并事先对处理人采取的安全措施进行核实和编制文件
10 弹性(艺术. 32 (1) b) GDPR) 确保系统和服务的弹性的措施,确保系统和服务的设计方式能够处理高高峰负载和高连续的处理负载. 测试存储、访问和线路容量
11 恢复供应(第3条). 32 (1) c) GDPR) 确保在发生物理或技术事故时及时恢复数据的可用性和访问权的措施. 基础设施的冗余设计(硬盘,e.g. RAID) 备份的概念
云服务 数据恢复测试
12 数据保护管理(第3条. 32 (1) d) GDPR 确保定期测试过程的措施, 评估和评估确保加工安全的技术和组织措施的有效性. DSB和IT版本的检查

附件7.2

进一步的处理器
No. 进一步处理器的名称 通过该进一步处理器进行处理的描述
1 Auth0公司.地址:东北第八街10800号
美国华盛顿州贝尔维尤市600号套房98004
验证软件
2 亚马逊网络服务公司.
美国华盛顿州西雅图市特里大道北410号,98109-5210.
安全的数据库存储云服务平台
3 斑马鱼实验室(Imgix),特哈马街423号
美国加利福尼亚州旧金山市,94103
图像优化软件
4 Longtail广告解决方案有限公司.
(JWPlayer),纽约,纽约,10016-5675,美国
实时协作支持软件
5 推杆式有限公司
英国伦敦Scrutton街28号,EC2A 4RP
用于添加实时双向的API服务
6 WorkOS公司.
美国加利福尼亚州旧金山市14街775号
企业SSO软件
7 MagicBell公司.
美国加利福尼亚州,核桃市,柠檬大街9214号340S
应用内通知软件

在此签署《十大网赌靠谱网址平台》

请联络十大网赌靠谱网址平台 privacy@球场.com,如果你有任何问题.

版本1.0.4 (01/12/2021)

十大网赌靠谱网址平台的数据处理协议的版本历史