IPRoyal数据处理协议
(1) 签订本数据处理协议的自然人或法人(“数据控制方”),以及
(2) IPRoyal(“数据处理方”)
数据控制方和数据处理方以下统称为“双方”,单独称为“一方”,
鉴于:
- 数据处理方提供多种IP地址代理基础设施解决方案, 包括供客户连接互联网的IP地址,以及访问公司的数据收集和代理管理解决方案(下称“服务”)。
- 数据控制方希望购买数据处理方的服务。
- 双方已签订协议,根据该协议,数据处理方同意提供服务(如 服务条款 所述)(下称“协议”/“主协议”)。
- 在向数据控制方提供服务的过程中,数据处理方必须代表数据控制方并按照其利益处理个人数据;
已签订本数据处理协议(“数据处理协议”)并达成如下协议:
1. 定义
1.1. 除非上下文另有要求,本数据处理协议中使用的首字母大写术语,包括其序言和附件,应具有以下所示的含义:
| 适用的数据保护法 | 指在本数据处理协议期间任何时候适用的任何国家或国际具有约束力的数据保护法律或法规。 |
| 数据控制方 | 指已接受 服务条款 并决定个人数据处理目的和方式的实体或个人。 |
| 数据处理方 | 指IPRoyal,根据本数据处理协议代表数据控制方处理个人数据。 |
| 个人数据 | 指与已识别或可识别的自然人有关的任何信息。 |
| 次处理方 | 指由数据处理方聘用的第三方分包商,作为分包商提供服务的一部分,将代表数据控制方处理个人数据。 |
| 服务 | 指公司提供的多种IP地址代理基础设施解决方案,包括供客户连接互联网的IP地址,以及访问公司的数据收集和代理管理解决方案。 服务可通过网站 www.iproyal.cn 访问和使用。 |
本数据处理协议中使用的其他术语应按照主协议中的描述进行解释。.
2. 各方的义务
2.1. 数据控制方同意根据相关数据保护法履行其作为数据控制方的职责,处理个人数据并向数据处理方发出任何处理指示。
2.2. 数据控制方已提供所有必要的隐私通知和/或根据适用的数据保护法获得数据处理方处理个人数据和根据协议及本数据处理协议提供服务所需的所有同意和权利。
2.3. 数据处理方不得故意采取任何会导致数据控制方违反适用数据保护法的行动。
2.4. 数据处理方不会评估数据控制方指示的合法性或合规性。 数据控制方应全权负责并承担确保其指示完全合法且符合适用数据保护法的责任。 如果数据处理方合理地认为某项指示明显违反了适用的数据保护法律,它将通知数据控制方。数据处理方不负责遵守特定于数据控制方或其行业的任何数据保护法律,这些法律通常不适用于数据处理方。
2.5. 尤其是在不影响上述一般性的情况下,数据控制方承认并同意其将全权负责:(i) 数据控制方个人数据的准确性、质量和合法性以及其获取个人数据的方式;(ii) 遵守适用数据保护法律下所有必要的透明度和合法性要求,以收集和使用个人数据,包括数据控制方使用数据处理方服务所需的任何必要通知、同意和授权;(iii) 确保其有权根据服务条款(包括本数据处理协议)的规定,将个人数据转移或提供给数据处理方进行处理;以及 (iv) 确保其向数据处理方发出的关于处理个人数据的指示符合适用法律,包括适用数据保护法律。数据控制方还应如果数据控制方无法履行本节规定的责任,应毫不拖延地通知数据处理方。
3. 数据处理指示
3.1. 数据处理方承诺根据数据控制方的书面指示处理个人数据,包括涉及将个人数据传输到第三国或国际组织的指示, 除非欧盟或欧盟成员国法律要求数据处理方这样做。
3.2. 数据控制方对数据处理方的指示包括处理的主题和持续时间、处理的性质和目的、个人数据的类型和数据主体的类别如下:
| 主题 | 向数据控制方提供服务。 |
| 处理的性质和目的 | 数据处理方将根据协议中描述的内容,为控制者提供服务和相关服务(如有)而处理个人数据。 |
| 数据主体类别 | 在使用服务和相关服务(如有)时,数据控制方选择处理的自然人的个人数据。 |
| 个人数据类型 | 数据控制方在使用服务和相关服务(如有)时选择处理的与自然人有关的数据。 |
| 处理期限 | 数据控制方使用服务和相关服务期间(如有)。 |
3.3. 数据处理方在根据本数据处理协议处理个人数据时,应遵守任何适用的数据保护法律和数据保护机构或其他主管机构的适用建议。
3.4. 数据控制方授权数据处理方代表数据控制方与分处理方签订协议,以履行其在本数据保护协议下的义务。数据处理方应维护一份用于履行本数据处理协议规定义务的分处理方名单。数据控制方可以通过书面请求数据处理方提供当前参与的分处理方名单来了解这些分处理方。
4. 合作
4.1. 在合理范围内,考虑到处理的性质,数据处理方应协助数据控制方履行其在适用的数据保护法律下的法律义务,包括但不限于数据控制方回应数据主体行使其请求信息权利以及要求更正、阻止或删除个人数据的请求的义务。
4.2. 如果数据处理方收到数据主体、主管当局或任何其他第三方关于本数据处理协议所涵盖的个人数据处理的任何请求,数据处理方应将此类请求转交给数据控制方。
4.3. 在双方同意的条款和合理范围内,数据控制方有权以其作为数据控制方的身份,采取必要措施以验证数据处理方是否能够履行其在本数据处理协议下的义务,并且数据处理方确实已采取措施确保此类合规性。
4.4. 在双方同意的条款和合理范围内,数据处理方应协助数据控制方进行数据保护影响评估、事前咨询以及与数据保护当局的其他沟通。
5. 责任
5.1. 各方及其所有关联公司的责任,总和起来,无论是因合同、侵权或任何其他责任理论而引起或与本附录相关的责任,应受限于 协议 中规定的限制和排除条款。
5.2. 数据处理方有权要求补偿因数据控制方 (i) 不准确、不完整或非法的指示;和/或 (ii) 无根据、过度和/或对数据处理方施加不合理不成比例成本的合作请求而产生的合理费用、成本和费用。
6. 数据安全措施
6.1. 数据处理方应保护个人数据免遭破坏、修改、非法传播或非法访问。 个人数据还应受到保护,防止所有其他形式的非法处理。 考虑到技术的现状和实施成本,并考虑到处理的性质、范围、背景和目的以及对个人权利和自由的不同可能性和严重性风险,数据处理方应实施适当的技术和组织措施。
6.2. 数据处理方应确保只有因履行本数据处理协议下的直接工作职能而需要访问个人数据的必要员工才被授予访问权限。数据处理方应确保这些员工遵守与数据处理方在本数据处理协议下相同程度的保密义务。
6.3. 数据处理方承诺未经数据控制方事先书面同意,不得披露或以其他方式使根据本数据处理协议处理的个人数据可供任何第三方使用,除非是根据本数据处理协议聘用的次级处理方。
6.4. 数据处理方应采取一切必要措施协助,并应在可能的情况下立即通知数据控制方任何意外或未经授权访问个人数据或任何其他安全事件(个人数据泄露)。
7. 最终条款
7.1. 本数据处理协议中使用的所有定义应具有与协议中规定的相同含义,除非本数据处理协议中另有明确规定。
7.2. 本数据处理协议的条款应在数据处理方处理数据控制方作为数据控制方的个人数据期间适用。
7.3. 本数据处理协议应在根据 协议 向数据控制方提供服务期间适用,除非双方根据协议和/或本数据处理协议中的规定提前终止 协议 和/或本数据处理协议。
7.4. 本数据处理协议到期后,数据处理方应根据数据控制方通知数据处理方的选择,删除或返还所有个人数据给数据控制方,并确保任何子处理方也执行相同操作。
7.5. 本数据处理协议应为协议的组成部分。任何未明确受本数据处理协议管辖的事项应受协议管辖。