Data Processing Annex 2019
Documents
本数据处理附件(DPA)适用于您(客户)通过MessageBird B.V.(MessageBird)提供的服务向MessageBird提供的有关最终用户的所有个人数据处理,该服务在另一协议中单独定义(服务)。本DPA适用于MessageBird的一般条款和条件或主服务协议,取决于哪个协议对客户和MessageBird适用(统称为:协议)。如果协议和本DPA之间存在冲突或不一致,以DPA为准。
“个人数据”、“处理”、“数据控制者”、“数据处理者”、“个人数据泄露”等术语应根据适用的数据保护法(数据保护法)所赋予的意义,除外电信运营商和其他电信服务提供商明确定义为(-)处理者的定义,这些提供者被认为是服务运营所必需的,但由于这些方仅作为中介或独立的数据控制者操作,因此不属于数据保护法中规定的数据处理者的定义范围。
客户和MessageBird都承认并理解,在客户基于服务向MessageBird提供最终用户的个人数据(“数据主体”)进行处理时,MessageBird为数据处理者。
客户在此指示MessageBird按照协议的要求处理数据主体的个人数据。
MessageBird在任何与服务相关的个人数据处理中应:
仅在客户的书面指示下处理个人数据,除非MessageBird适用的欧盟任何成员国法律或欧盟法律要求处理个人数据;
仅提供具有“需知”权限的人员访问个人数据,并确保所有访问或处理个人数据的人员具有保密个人数据的法律义务;
采取适当的技术和组织措施,以保护个人数据免受未经授权或非法处理以及意外损失、破坏、损害、修改或披露。这些措施应适合处理所带来的风险水平(并考虑到个人数据的性质)和可能导致的损害,个人数据泄露可能会对个人数据造成的影响;
根据客户合理要求的任何协助,以便允许客户遵守客户在数据保护法下的义务,包括通知个人数据泄露、处理安全性以及协助客户进行任何相关的数据保护影响评估;
提供客户合理的协助,以便允许客户遵守其对数据主体在数据保护法下行使其权利的义务。MessageBird将通过客户账户或专用API提供技术和组织措施,以允许客户履行这些义务。客户在此承认并同意,通过电子邮件发送的请求不被视为有效的行使权利的方式,任何此类请求将不会由MessageBird处理。为避免疑义,作为数据控制者的客户负责处理数据主体就其个人数据向客户提出的任何请求或投诉;
在终止与MessageBird的客户协议时,根据客户的选择,删除或返回个人数据及其副本,除非适用的强制性法律另行要求;
根据数据保护法要求保持协议和本DPA下的处理活动记录;
至少每两年对MessageBird的个人数据处理活动进行一次审计,并在客户书面请求后(保密方式)向客户提供该审计的结果的总结或描述。如客户要求,ISO 27001:2013审计报告的摘要将被视为满足客户的请求。为避免疑问,审计可以是内部审计,也可以是第三方执行的审计,但该决定由MessageBird全权决定;
如果MessageBird根据本DPA条款2(h)向客户提供的审计结果总结或描述让客户合理相信MessageBird违背了本DPA的有关个人数据处理的义务,则客户委托并获得MessageBird批准的独立且合格的第三方可以审计MessageBird的个人数据处理活动,但需满足本附录第3条的条件;
如果MessageBird收到政府或监管机构直接与客户、MessageBird或其(分)处理者指示和提供的个人数据处理相关的通知或通信,则在合理可能的情况下尽快通知客户,除非法律禁止此类通知或通信。
客户应:
在行使客户在本DPA条款2(i)下的审计权之前至少两(2)个月通知MessageBird;
确保任何审计不会无理由地干扰MessageBird的业务运营;
承担并支付此类审计的所有费用。
如果客户作为数据控制者,客户保证所有处理活动合法、具有特定目的,且拥有必要的通知和同意或其他适当的法律依据,以便合法转移个人数据。如果客户是数据处理者(在这种情况下MessageBird将是分处理者),客户确保相关的数据控制者满足本条款中列出的条件。
鉴于服务的性质,客户及其最终用户使用服务可能需要将个人数据转移到欧洲经济区(EEA)以外;当服务涉及将个人数据转移到EEA以外的(分)处理者时,客户在客户与MessageBird之间的所有协议期限内,在没有其他适用的数据保护法下的转移机制情况下,授权MessageBird代表客户签订向EEA以外(分)处理者提供的数据传输的欧盟标准合同条款。
通过本条款,客户给予MessageBird以书面形式的授权,聘用其他第三方作为处理个人数据的新(分)处理者,受本附录条款的约束。MessageBird在没有事先通知客户任何更改涉及添加或更换其他处理者的情况下,不会在本协议下参与任何(分)处理者处理个人数据,客户可对此类更改提出反对。
客户只能基于与数据保护相关的合理理由,反对任何此类新(分)处理者,方法是终止协议和本附录。如果客户反对任何此类新(分)处理者,则该终止权是客户唯一和排他性的补救措施。
客户特别同意参与位于 https://www.messagebird.com/en-gb/legal/privacy#processorList的实体作为MessageBird的(分)处理者,以处理个人数据。MessageBird在雇用处理个人数据的新(分)处理者时,将更新(分)处理者列表。
MessageBird将采取所有可用和适当的合同措施,以确保在雇用(分)处理者时:
(分)处理者只有在服务或其部分的履行中需要时,才能处理个人数据;
通过EU或成员国法律下的合同或其他法律行为对(分)处理者实施的数据保护义务应提供与本DPA中类似的保护,特别是提供足够的保证,以实施适当的技术和组织措施,使处理符合数据保护法的要求,及;
MessageBird仍对客户承担本DPA下其(分)处理者履行义务的责任。
处理详情:
处理的主题和目的:向客户提供MessageBird的服务。
个人数据的类别:客户通过服务向MessageBird提供的最终用户信息。
数据主体的类别:数据主体包括客户的客户、员工、供应商和任何其他作为通信服务最终用户的自然人,客户通过服务提供其个人数据。
处理的持续时间:个人数据将在履行服务所需的时间内处理,或根据适用法律的要求处理。
本数据处理附件受荷兰法律管辖,双方就本DPA相关目的,包括执行其下或与其相关的任何裁决或判决,提交给阿姆斯特丹法院的专有管辖。
