数据处理协议 2023年5月
本数据处理协议适用于如果您在2023年5月3日之前,期间或之后注册使用MessageBird的服务(包括通过其任何附属公司),则适用。我们的存档数据处理协议可在 此处获取。
本数据处理协议,包括附录(“DPA”)构成了MessageBird与客户之间的协议的一部分,目的是为MessageBird提供(在线)通信服务的购买,以反映双方关于客户个人数据处理的协议。在本DPA中,术语“您”、“您的”或“客户”指的是您(受限于下面第1.2节的规定),而术语“我们、“我们的”或“MessageBird”指的是我们。本DPA中使用但未在下面定义的术语在MessageBird的一般条款和条件或与我们的其他协议中进行定义,后者管理您使用服务的条款。
双方同意本DPA将替代双方之前可能已经就服务签订的任何现有数据保护附录或类似协议。
1. Scope, Customer Affiliates and Term
1.1 范围。本数据处理协议(DPA)规范MessageBird作为处理方对客户个人数据的处理。
1.2 客户关联公司。客户代表自身,并且在数据保护法要求的范围内,代表其关联公司(如条款中定义),进入此DPA。如果您为这些关联公司提供服务访问权限,并且我们处理这些关联公司作为数据控制者的客户个人数据(“客户关联公司”)。仅为本DPA之目的,除非另有说明,术语“客户”和“您”应包含客户和客户关联公司。
2. Definitions
“Account Data” 是您为订立和管理协议以及您的账户而向 MessageBird 提供的任何个人数据,包括但不限于联系信息、账单详情以及关于订立和管理协议及相关服务的通信。
“CCPA” 指的是2018年加利福尼亚消费者隐私法及其下发布的任何法规,并在每次修订时适用。
“Customer Data” 是指您或代表您(或您的客户应用程序的用户)根据协议提交并由服务处理或存储的任何数据和其他信息或内容。
“Customer Personal Data” 是指由 MessageBird 作为处理者处理的客户数据中的个人数据,除非在此 DPA 中另有规定。
“Data Protection Laws” 是指根据协议适用于个人数据的机密性、隐私、安全性或处理的任何管辖区域的所有法律和法规,例如并在适用的情况下,GDPR 或 CCPA。
“EEA” 是指就本 DPA 而言的欧洲经济区和瑞士。
“GDPR” 是指 (i) 欧洲议会和理事会关于自然人处理个人数据及该数据自由流动的保护的2016/679号法规(通用数据保护法规);或 (ii) 针对英国,2018年数据保护法。
“MessageBird” 是指作为本 DPA 的一方的 MessageBird 实体,即在第15条中的普通条款和条件(合同实体)中列出的实体,除非在您的订单中另有说明。您或 MessageBird 也可以在本 DPA 中分别称为“一方”和一同称为“各方”。
“Personal Data” 是指与直接或间接识别或可识别的自然人有关的任何信息,无论是单独还是与其他信息结合。
“Personal Data Breach” 是指对客户个人数据的任何意外、未经授权或非法破坏、丢失、更改、披露或访问,以及适用的数据保护法律下的任何类似术语,例如“安全漏洞”。
“Services” 是指我们或我们的子公司提供的所有产品和服务,(a)您根据任何订单订购;或(b)您使用的。
“Standard Contractual Clauses” 是指数据控制者到处理者(模块二)或处理者到处理者(模块三)的标准合同条款,用于根据欧洲议会和理事会的2016/679号法规向第三国转移个人数据,由欧洲委员会实施决定(EU)2021/914 于2021年6月4日批准,目前如在此https://eurlex.europa.eu/eli/dec_impl/2021/914/oj中所列。
“Sub-processor” 是指代表 MessageBird 实体作为数据处理者或分处理者处理客户个人数据的第三方实体。
“UK Standard Contractual Clauses” 是指以下任何或全部:(i)由英国信息专员根据 DPA 2018 第119A条发布的国际数据传输协议;(ii)通过 DPA 2018 第119A条由英国信息专员发布的欧洲委员会标准合同条款的国际数据传输附件;或(iii)由英国信息专员或欧洲委员会发布并可能不时替换的此类标准合约条款。
“处理”、“数据控制者”、“数据处理者”、“数据主体”等条款应具有 GDPR 下赋予它们的意义。“数据控制者”的定义包括“企业”、“消费者”、“控制者”和“组织”;“数据处理者”包括“服务提供者”、“处理者”和“数据中介”;“数据主体”包括“消费者”和“个人”;而“个人数据”则包括“个人信息”,在CCPA和其他适用的数据保护法律下。术语“商业目的”、“商业意图”、“出售”和“共享”应具有适用数据保护法律赋予它们的相同含义,并在每种情况下,其同源术语应相应地进行解释。
3. Processing of Customer Personal Data
3.1 目的。我们将仅在必要范围内处理客户个人数据: (i) 提供服务,包括通信传输、确保服务安全、提供技术和交付报告、提供支持,并根据您作为数据处理者指定的、在本DPA第3.2节中规定的书面指示开发和实施改进和更新,(ii) 为我们的合法业务目的处理,如本DPA第3.4节中作为数据控制者所述,(iii) 以及其他适用法律要求的情况。
3.2 客户指示。协议和本DPA构成了您在本DPA签署时对我们作为数据处理者的完整指示。我们将遵循其他合理书面指示,前提是这些指示与协议的条款一致。
3.3 处理详情。本DPA附录I(传输描述)附件I第B部分规定了我们作为数据处理者或子处理者的处理性质和目的、处理活动、处理时间、个人数据类型以及数据主体类别。
3.4 合法业务目的。您承认我们作为独立的数据控制者在必要范围内为以下合法业务目的处理客户个人数据:账单、账户管理、财务和内部报告、打击和防止可能影响您、我们或我们服务的安全威胁、网络攻击和网络犯罪、业务建模(例如,预测、容量和收入规划、产品策略)、欺诈、垃圾信息、滥用的预防和检测、提升MessageBird套件中的产品或服务,以及遵守我们的法律义务。
4. 客户义务
4.1 合法性。如果您作为客户个人数据的数据控制者,您保证所有处理活动都是合法的,有特定目的,且已采取任何必要的通知和同意或其他适当的法律依据,以确保客户个人数据的合法传输。如果您是数据处理者(在这种情况下,我们将作为子处理者),您将确保相关数据控制者保证满足本第4.1节中列出的条件。
4.2 合规性。 您全权负责 (a) 确保您遵守适用于您使用服务和处理客户个人数据的数据保护法律,(b) 独立评估服务的技术和组织措施是否满足您的要求,以及 (c) 实施和维护您提供或控制的组件的隐私和安全措施(包括但不限于与服务和客户应用程序一起使用的密码和设备)。
5. Security
5.1 安全措施。考虑到技术的发展现状、实施成本,以及处理的性质、范围、背景和目的,以及对自然人权利和自由的风险可能性和严重性的不同,我们将实施和维护适当的技术和组织安全措施,以保护客户个人数据免受个人数据泄露,并维护我们的系统用于处理客户个人数据的客户数据的安全性、完整性、可用性、弹性和机密性。我们采用的安全措施在附录II中描述。
5.2 安全措施的更新。您有责任审查我们提供的有关客户个人数据安全的信息,并根据数据保护法进行独立评估,以确定这些信息是否符合您的要求和法律义务。您承认安全措施受技术进步和发展影响,我们可能会不时更新或修改我们的安全措施,前提是此类更新和修改不会导致客户个人数据整体安全性下降。
5.3 访问控制。我们应用“需要知道”和“最低权限”原则,确保对客户个人数据的访问仅限于提供服务所需的人员,并符合协议,包括本DPA。
5.4 处理的保密性。我们将确保任何被我们授权处理客户个人数据的人或方(包括我们的人员、代理和次级处理器)已被告知此类客户个人数据的机密性,并将受到适当的保密义务(无论是合同的或法定责任),这种义务在他们的聘用终止后仍然有效。
5.5 个人数据泄露响应和通知。一旦意识到个人数据泄露,我们将毫不迟延地 (i) 通知您,(ii) 调查个人数据泄露,(iii) 在知道或您合理要求时,及时提供与个人数据泄露相关的信息,以及 (iv) 采取商业上合理的步骤来减轻影响并防止个人数据泄露的再次发生。
6. Assistance
6.1 数据保护协助。我们将在合理的请求下为您提供协助,以便您能履行在数据保护法律下的义务,包括通知个人数据泄露,评估处理的适当安全水平,并协助您进行相关数据保护影响评估的执行。
6.2 协助数据主体权利。我们将为您提供合理的协助,以便您能履行对根据数据保护法律行使其权利的数据主体的义务,通过您的账户提供技术和组织措施。为避免疑问,您作为数据控制者负责处理任何关于数据主体的顾客个人数据的请求或投诉。
7. Disclosure and Disclosure Requests
7.1 披露和访问的限制。我们不会提供访问或披露客户个人数据,除非 (i) 您指示,(ii) 在协议和本 DPA 中规定,或 (iii) 法律要求。
7.2 披露请求。如果我们收到来自政府或监管机构的披露客户个人数据的请求,我们会在合理可能的情况下尽快通知您,除非法律禁止此通知。我们将根据披露请求政策处理披露请求,该政策可在 https://bird.com/legal/disclosure-requests 获得。
8. Sub-processors
8.1 当前子处理器列表。您同意在MessageBird的处理器和子处理器概览标题为“最终用户个人数据”下列出的子处理器的参与,该栏目包含供您订阅有关我们使用子处理器变更通知的程序。如果您订阅此类通知,并且考虑到本DPA的第8.3节,我们将在合理可行的情况下尽快分享子处理器变更的详细信息。
8.2 子处理器的指定。通过本DPA,您向我们提供了一般书面授权,以便参与子处理器进行客户个人数据的处理,受本DPA第8.3节和以下要求的约束:
我们将限制子处理器对客户个人数据的访问,仅限于子处理器协议中规定的服务所必需的内容;
我们将与子处理器达成数据保护义务,该义务与本DPA下的义务实质上相同;以及
我们在本DPA下仍对您负责子处理器的数据保护义务的履行。
9. Cross Border Transfers of Customer Personal Data
9.1 客户个人数据的转移。我们可能在遵守数据保护法要求的所有适当保障措施的条件下转移客户个人数据。这可能包括事先的数据转移影响评估,采用、监督和评估补充的技术、组织和法律措施,可执行的数据主体权利,并确保数据主体具有有效的法律补救措施。
9.2 分处理者标准合同条款。除非有适足性决定或替代转移机制适用,我们已经与位于欧洲经济区(EEA)之外的分处理者(包括我们的关联公司)签署并将保持标准合同条款,根据本DPA第9.1节所规定的条款进行。
9.3 客户个人数据转移的转移机制。如果您使用服务需要跨境数据转移机制以合法地将客户个人数据从某一司法管辖区(例如EEA、加利福尼亚、新加坡、瑞士或英国)出口给我们,这一节将适用。如果在提供服务的过程中,依据GDPR或适用于本DPA的任何其他关于个人保护或隐私的法律,将客户个人数据转移给位于数据保护法意义上不确保充分数据保护水平的MessageBird所在国家,以下列出的转移机制将适用于此类转移,并可由相关各方直接根据数据保护法进行执行。
9.3.1 各方同意,标准合同条款将适用于通过服务从EEA或瑞士直接或通过后续转移至位于EEA或瑞士之外的MessageBird实体的客户个人数据,且此类国家未被欧盟委员会(或在瑞士的情况下,被瑞士的主管当局)认定为提供充分个人数据保护水平的国家。
9.3.1.1 当您作为数据控制者,MessageBird作为数据处理者时,将适用标准合同条款的EU控制者到处理者(模块二)以转移来自EEA的客户个人数据。当您作为数据处理者,MessageBird作为分处理者时,将适用处理者到处理者(模块三)的标准合同条款以转移来自EEA的客户个人数据。
9.3.1.2 在标准合同条款下,MessageBird将被视为数据接收者,而您将被视为数据输出者。此DPA双方的签署将被视为对适用的标准合同条款的签署,这些条款将被视为并入此DPA。标准合同条款附件1和附件2所要求的细节可在此DPA的附件I和附件II中取得。如本DPA与标准合同条款之间存在任何冲突或不一致,则标准合同条款仅在涉及从EEA的客户个人数据转移时优先。
9.3.1.3 在标准合同条款要求各方选择可选条款并填写信息时,各方已按以下设置进行选择:
i. 不采用可选条款7“对接条款”。
ii. 对于条款9“使用分处理者”,各方选择以下选项:“选项2 一般书面授权:数据接收者拥有控制者的分处理者参与的一般授权,该授权来自商定的列表。数据接收者至少提前10个工作日书面明确告知控制者有关该列表中添加或替换分处理者的任何拟议更改,从而使控制者有足够的时间可在分处理者参与之前对上述更改提出异议。数据接收者应向数据输出者提供其行使异议权所需的信息。数据接收者应告知数据输出者分处理者的参与情况。”
iii. 对于条款11 (a) “补救措施”,各方不采纳该选项。
iv. 对于条款17“适用法律”,各方选择以下选项:“选项1。这些条款应受某个欧盟成员国的法律管辖,前提是该法律允许第三方权利。双方同意应适用荷兰法律。”
v. 对于条款18 (b) “论坛和管辖权选择”:“双方同意这些应为荷兰法院。”
9.3.2 各方同意,英国标准合同条款将适用于通过服务从英国直接或通过后续转移至位于英国之外的MessageBird实体的客户个人数据,该国家未被英国的主管监管当局或政府机构认定为提供充分个人数据保护水平的国家。
10. Audit
10.1 审计报告。我们的通信平台将定期根据 ISO 27001:2013 标准(或同等标准)进行审计。审核可以由我们自行决定,选择内部审核,或由第三方实施审核。应书面要求,我们将向您提供审计报告的摘要(“审计报告”),以便您验证我们对审核标准和本数据保护协议 (DPA) 的合规性。这些审计报告以及其中列出的任何结论或发现均为我们的机密信息。
10.2 客户信息请求。我们将向您提供展示符合本数据保护协议 (DPA) 规定义务所需的所有信息。我们将书面回复您提出的合理信息请求,包括对合理范围内的信息安全和审计问卷的回复,并确认符合本数据保护协议 (DPA),前提是您 (i) 已首先合理努力从我们提供或公开的信息、审计报告和其他文件中获取所请求的信息,并且 (ii) 每年行使此权利不超过一次,除非服务处理活动中发生个人数据泄露或重大改变需要执行额外的问卷。提供的所有回复均为我们的机密信息。
10.3 客户审核。如果我们提供给您的审计报告使您有理由相信我们在本数据保护协议 (DPA) 下的义务(与您提供的客户个人数据有关)存在违反,我们将允许您指定并经我们批准的独立且合格的第三方审计员审计相关的个人数据处理活动,前提是遵守适用法律允许的最大范围内的以下要求:
您须至少提前六十(60)天发出合理的通知,才可行使审核权;
审计员同意与我们签订符合市场标准的保密义务;
您和审计员应采取措施将对我们业务运营的干扰降到最低;
审核将在正常营业时间进行;
我们不必提供其他客户的客户数据访问权限或不涉及服务提供的系统访问;
所有审计费用由您支付。
11. 删除和返还客户个人数据
Upon termination or expiration of the Agreement, we will (at your election) delete or return to you all Customer Personal Data (including copies) in our possession or control, save that this requirement will not apply to the extent we are required by law to retain some or all of the Customer Personal Data. If you instruct us to delete Customer Personal Data, Customer Personal Data archived on our back up systems will be protected from further processing, and deleted when the required retention period has passed.
12. 客户关联方沟通及权利
根据第1.2节,代表某个客户附属公司签署此DPA,即在我们与该客户附属公司之间成立一份单独的DPA,受以下条款限制:
12.1. 通信。作为协议签约方的客户应继续负责协调根据此DPA与我们的所有通信,并有权代表其客户附属公司进行和接收与此DPA有关的任何通信。
12.2 客户附属公司的权利。当客户附属公司与我们成为DPA一方时,在数据保护法要求的范围内,有权根据此DPA行使权利和寻求补救措施,受以下条款限制:
(i) 除非数据保护法要求客户附属公司自行根据此DPA直接向MessageBird行使权利或寻求补救措施,否则双方同意:(i) 仅作为协议签约方的客户代表客户附属公司行使任何该等权利或寻求任何该等补救措施,并且(ii) 作为协议签约方的客户应在此DPA下行使任何该等权利,而不是单独针对每个客户附属公司进行,而是以自己及其所有客户附属公司的合并方式进行。
(ii) 双方同意,当根据此DPA第10.3节进行与客户个人数据保护相关程序的现场审计时,作为协议签约方的客户应尽量将多个代表其自己及其所有客户附属公司进行的审计请求合并为一次单一的审计,以减少对我们的影响。
为明确起见,客户附属公司并不成为协议的签约方。
13. California Consumer Privacy Act.
在适用的范围内,我们向您做出以下额外承诺,涉及在CCPA范围内处理客户个人数据。
13.1 我们在美国数据保护法下的义务。本第13.1节中使用的术语“商业目的”、“商业用途”、“消费者”、“出售”和“共享”具有CCPA赋予它们的意义。在适用的情况下,我们将遵守CCPA,并按照CCPA和其他适用的美国数据保护法的规定处理所有受CCPA和其他适用美国数据保护法约束的客户个人数据(“美国个人数据”)。对于美国个人数据,我们在CCPA下是服务提供商,在其他美国数据保护法下是数据处理者。我们不会出售美国个人数据。我们不得保留、使用或披露任何美国个人数据:(i) 除了协议中规定的商业目的以外的任何用途(包括出于协议中规定的商业目的或CCPA或适用法律允许以外的商业用途保留、使用或披露美国个人数据);或 (ii) 在您和我们之间的直接业务关系之外。
13.2 客户义务。您声明并保证,您已通知最终用户其个人数据根据适用的数据保护法被使用或共享。您负责在适用于您作为数据控制者的范围内遵守数据保护法的要求。
14. 管辖法律和争议解决。任何因本DPA引起或与其相关的争议、索赔或争议(“争议”)应受荷兰法律管辖并根据荷兰法律进行解释。每一方同意阿姆斯特丹有管辖权的法院对任何因本DPA引起或与其相关的争议拥有专属管辖权。