Data Processing Annex 2019
本数据处理附件(DPA)适用于您(Customer)通过MessageBird B.V.(MessageBird)的服务向端用户提供的所有个人数据处理(Services),根据单独协议中单独定义的服务提供。此DPA适用于MessageBird的通用条款和条件或主服务协议的附加部分,该协议适用于Customer和MessageBird(合称:Parties)。如果协议和此DPA之间的条款存在冲突或不一致,以DPA为准。
诸如“个人数据”、“处理”、“数据控制者”、“数据处理者”、“个人数据泄露”等术语应具有适用数据保护法(Data Protection Legislation)指派给它们的含义,除了(子)处理者的定义外,明确排除电信运营商和其他在这些服务运营中被视为必要的电信服务提供商。由于这些方仅作为信息的传输媒介或独立的数据控制者,因此不属于数据处理者的定义。
Customer和MessageBird均承认并理解,关于Customer基于服务向MessageBird提供的端用户(“数据主体”)的个人数据处理,MessageBird是数据处理者。
Customer特此指示MessageBird在协议下为服务的执行处理数据主体的个人数据。
MessageBird应针对与服务相关的任何个人数据处理:
仅根据Customer的书面指示处理个人数据,除非MessageBird适用欧盟任何成员国的法律或欧盟法律要求另行处理个人数据;
仅向需要知晓的人员提供对个人数据的访问权限,并确保所有有权访问或处理个人数据的人员都有法律义务对个人数据保密;
采取适当的技术和组织措施来保护个人数据免受未经授权或非法处理,及意外丢失、破坏、损坏、篡改或泄露。这些措施应与处理所呈现的风险水平相适应(并考虑到个人数据的性质),以及可能由个人数据泄露引起的损害;
应Customer的合理请求而向其提供协助,以便Customer遵守其在数据保护法下的义务,包括通知个人数据泄露、处理的安全性以及协助Customer进行任何相关的数据保护影响评估;
向Customer提供合理的协助,以便Customer遵守在数据保护法下行使其权利的数据主体的请求。MessageBird将通过Customer的账户或专用API提供技术和组织措施,以便Customer履行这些义务。Customer特此承认并同意,通过电子邮件发送的请求不被视为有效手段来行使其权利,任何此类请求将不会由MessageBird处理。为了避免疑义,作为数据控制者的Customer负责处理任何与数据主体的个人数据相关的请求或投诉;
根据Customer的选择,在Customer与MessageBird的协议终止时删除或返回个人数据及其副本,除非强制性适用法律另有要求;
依据数据保护法的要求维护根据协议和本DPA进行的处理活动记录;
至少每两年审核MessageBird的安全和个人数据处理活动,并根据Customer的书面请求向其提供此类审计结果的摘要或描述(保密)。ISO 27001:2013审计报告的摘要将被视为满足Customer的要求。为避免疑义,审计可以是内部审计或由第三方执行的审计,但该决定应由MessageBird自行决定;
如果根据本DPA第2(h)段提供给Customer的审计结果的摘要或描述给予Customer充分理由相信MessageBird违反了与Customer提供的个人数据相关的本DPA的义务,应允许由Customer任命并已批准的独立及合格的第三方审核MessageBird的适用个人数据处理活动,前提是满足本附件第3款的条款;以及,
若MessageBird收到政府或监管机构的通知或通信,该通知或通信直接涉及Customer指示和提供的个人数据的处理,MessageBird或其(子)处理者应尽快通知Customer,除非此类通知或通信被法律禁止。
Customer应:
至少在行使本DPA第2(i)段下的Customer审计权之前两(2)个月通知MessageBird;
确保任何审计不会无理中断MessageBird的业务运营;以及,
承担和支付此类审计的所有费用。
如果Customer作为数据控制者,Customer保证所有处理活动都是合法的、有特定目的的,并且通知和同意或其他适当的法律依据已到位,以实现合法的个人数据转移。如果Customer为数据处理者(在这种情况下MessageBird将为子处理者),Customer确保相关数据控制者保证此条款中列出的条件满足。
鉴于服务的性质,Customer和Customer的端用户使用服务可能需要将个人数据转移到EEA以外地区;当服务的执行涉及将个人数据转移到(子)处理者位于EEA以外地区时,Customer特此授予MessageBird在Customer和MessageBird之间的所有协议有效期内代表Customer签订欧盟示范合同条款的授权,如果数据保护法下没有其他适用的转移机制。
通过本条款,Customer给予MessageBird一项书面授权,用于根据本附件的条件聘用任何第三方作为新的(子)处理者进行个人数据处理。对于在本协议下的个人数据处理中聘用任何(子)处理者,未经事先通知Customer任何拟议更改以增加或替代其他处理者,MessageBird不会进行处理,从而给予Customer有机会反对此类变更。
Customer可能仅因与数据保护有关的合理基础上而反对任何此类新(子)处理者,方法是终止协议和本附件。如果Customer反对任何此类新(子)处理者,这一终止权利是Customer唯一和排他性的补救措施。
Customer特此同意将列在 https://www.messagebird.com/en-gb/legal/privacy#processorList上的实体作为MessageBird进行个人数据处理的(子)处理者。MessageBird将在聘用新的(子)处理者进行个人数据处理时更新(子)处理者名单。
MessageBird将采取所有可用和适当的合同措施,以确保当聘用(子)处理者时:
(子)处理者仅在服务或其部分执行必要时处理个人数据;
通过合同或在欧盟或成员国法律下的其他法律行为向(子)处理者施加提供类似保护的数据保护义务,尤其是提供足够的保证以通过适当的技术和组织措施来实施,以使处理符合数据保护法要求;以及,
MessageBird就其(子)处理者的义务履行对Customer承担在本DPA下的责任。
处理的细节:
处理的主题和目的:向Customer提供MessageBird的服务。
个人数据类别:Customer通过服务向MessageBird提供的关于端用户的信息。
数据主体类别:数据主体包括Customer的客户、员工、供应商和任何其他自然人,他们是通信服务的端用户,Customer通过服务提供的个人数据。
处理的持续时间:个人数据将根据服务的执行所需的时间进行处理,或根据适用法律所需的时间进行处理。
本数据处理附件受荷兰法律管辖,双方同意阿姆斯特丹法院对与此DPA相关的所有事宜享有专属管辖权,包括与该DPA相关的任何裁决或判决的执行。