跳过导航
法律

数据处理附录

2023 年 10 月 24 日版本

本数据处理附录(以下简称“**DPA**”)补充并构成在 www.sketch.com 上提供的 Sketch 平台的《服务条款》(以下简称“**条款**”)的组成部分,由您(以下简称“**控制者**”)与 Sketch(以下简称“**处理者**”)缔结。您和 Sketch 在此之后统称为“**双方**”,单独称为“**一方**”。

通过接受本 DPA 的条款,您声明您有权约束控制者遵守本 DPA。

鉴于

  • 双方已同意处理者应向控制者提供某些服务(以下简称“**服务**”),如本 DPA 作为其组成部分的条款中进一步规定;
  • 作为交付服务的一部分,处理者将代表控制者处理个人数据;以及
  • 双方希望在本 DPA 中规定其在处理此类个人数据方面的权利和义务。

特此协议如下

定义

  1. 在本 DPA 中,无论单数或复数,以下术语应具有本段赋予它们的含义
  • “**适用法律要求**”——任何和所有国际、欧盟、国家、省或地方法律、法规、命令、法令、行政命令或条约、判决、法院命令、行为准则(无论是否具有约束力)、指南或任何相关政府或政府机构或监管机构的任何其他要求,因为它们适用于履行条款的双方或其中一方。
  • “**控制者个人数据**”——与已识别或可识别的自然人相关的任何信息,这些信息由控制者提供给处理者,或者由处理者根据控制者的指示收集或生成,作为服务的一部分,在两种情况下,都是为了处理者根据条款提供其服务,并如 附件 1 – 处理详情 中进一步描述。
  • “**数据泄露**”——导致意外或非法销毁、丢失、更改、未经授权的披露或访问由处理者传输、存储或以其他方式处理的控制者个人数据的安全漏洞。
  • “**数据主体请求**”——数据主体根据 GDPR 及其规定行使其权利。
  • “**数据主体**”——与控制者个人数据相关的已识别或可识别的自然人。
  • “**EEA**”——欧洲经济区。
  • “**生效日期**”——以下两者中较晚的日期:(i) 双方签订条款的日期;或 (ii) 您接受本 DPA 的日期。
  • “**欧盟 GDPR**”——欧盟理事会和欧洲议会 2016 年 4 月 27 日关于在个人数据处理和此类数据的自由流动方面保护自然人并废除指令 95/46/EC 的法规 (EU) 2016/679。
  • “**GDPR**”——英国 GDPR 和/或欧盟 GDPR(如适用),以及 EEA 或英国任何成员国中的任何适用实施或补充立法(包括《2018 年英国数据保护法》)。
  • “**相关机构**”——(i) 在英国和英国 GDPR 的上下文中,是指英国信息专员办公室和/或英国政府(在适用情况下);和/或 (ii) 在 EEA 和欧盟 GDPR 的上下文中,是指欧盟委员会。
  • “**限制国家/地区**”——(i) 在英国的上下文中,是指英国境外的国家或地区;和 (ii) 在 EEA 的上下文中,是指 EEA 境外的国家或地区,在每种情况下,相关机构都未根据 GDPR 第 45 条的决定,认为其对个人数据提供“充分”的保护级别。
  • “**限制性转移**”——根据 GDPR 第五章,如果不存在法律依据,则禁止向任何人披露、授予访问权限或以其他方式转移控制者个人数据。
  • “**标准合同条款**”——欧盟委员会发布的用于将个人数据从处理者转移到位于限制国家/地区的处理者的标准数据保护条款(即,应用其中的模块 3)。
  • “**分包处理者**”——处理者使用其来处理控制者个人数据以便提供部分服务和/或相关技术支持的第三方。
  • “**监管机构**”——(i) 在英国和英国 GDPR 的上下文中,是指英国信息专员办公室;和 (ii) 在 EEA 和欧盟 GDPR 的上下文中,应具有欧盟 GDPR 第 4(21) 条中赋予该术语的含义。
  • “**条款**”——在 www.sketch.com 上提供的 Sketch 平台的《服务条款》(包括 Sketch Mac 应用程序、Web 应用程序和 Sketch Mirror)。
  • “**英国 GDPR**”——欧盟 GDPR,因为它通过经修订的《2018 年欧洲联盟(退出)法案》第 3 条(包括通过《2019 年数据保护、隐私和电子通信(修订等)(欧盟退出)条例》)构成英国法律的一部分(**如果适用**)。

本 DPA 中使用的术语“个人数据”、“特殊类别的个人数据”、“处理”、“控制者”和“处理者”具有 GDPR 中赋予的含义。

1.2 控制者保证并声明,根据 GDPR 确定(包括根据 GDPR 第 3 条),根据本 DPA 委托给处理者的处理属于 GDPR 的地域范围。控制者进一步同意,如果事实上不受 GDPR 的地域范围约束,则本 DPA 应被视为自生效日期起自动失效,无需通知。

处理指示

  1. 本 DPA 涉及处理者代表控制者在履行条款规定的义务的过程中处理控制者个人数据。根据 GDPR 第 28(3) 条的要求,此类处理的更多详细信息在 附件 1 – 处理详情 中列出。
  2. 在履行条款规定的义务的过程中,处理者应仅按照控制者的指示处理控制者个人数据,并且不得将控制者个人数据用于任何其他目的,除非适用法律要求这样做。
  3. 通过签订本 DPA,控制者特此授权并指示处理者处理控制者个人数据:(i) 提供服务和相关的技术支持;(ii) 控制者使用服务和/或请求技术支持时允许或要求的其他情况;(iii) 条款(包括本 DPA)允许或要求的其他情况;以及 (iv) 控制者向处理者提供的任何其他书面指示中进一步记录的情况(“**允许的目的**”)。
  4. 如果处理者认为控制者给出的指示会导致处理者违反适用法律要求,则处理者应立即通知控制者。
  5. 控制者不会与处理者分享任何特殊类别的个人数据。控制者进一步承认,处理者不要求或需要任何特殊类别的个人数据来提供服务,并且不希望接收或存储任何特殊类别的个人数据。
  6. 控制者持续保证,为了 GDPR 第 6 条的目的,在条款期限内,存在有效的法律依据,允许处理者根据本 DPA 和条款(包括控制者不时发出的与此类处理有关的任何和所有指示)处理控制者个人数据。

控制者个人数据的保密性

  1. 处理者应确保其所有员工、承包商和其他人员均受制于保密承诺或对控制者个人数据的专业或法定保密义务。
  2. 未经控制者事先书面同意,处理者不得以任何方式向任何未经批准的分包处理者披露控制者个人数据,除非处理者必须遵守适用法律要求,并且适用法律要求禁止其获得控制者的事先书面同意。

安全

  1. 处理者应考虑到控制者个人数据的性质以及处理控制者个人数据所涉及的风险,采取适当的技术和组织措施来保护控制者个人数据免受任何意外或非法的销毁、丢失、更改、未经授权的披露或未经授权的访问(“**安全措施**”)。安全措施将考虑现有技术水平、实施成本以及处理的性质、范围、背景和目的,并在 附件 2 – 安全措施 中列出。
  2. 控制者同意,其对服务的使用承担全部责任,包括:(i)适当使用服务以确保与控制者个人数据的风险相适应的安全级别;(ii)保护其用于访问服务的任何帐户验证凭据、系统和设备;以及(iii)备份所有控制者个人数据。控制者理解并同意,处理者没有义务保护控制者选择存储或传输到处理者或任何分处理者的系统之外(例如,离线或本地存储)的控制者个人数据。控制者全权负责评估服务和处理者在本DPA下的承诺是否满足其需求,包括控制者遵守GDPR和/或适用法律要求项下的任何安全义务。

分包处理者

  1. 控制者授权处理者根据本节的规定任命分处理者。
  2. 处理者可以继续使用在本DPA日期处理者已经雇用的分处理者。
  3. 处理者应提前以书面形式通知控制者任何新分处理者的任命,包括由分处理者承担的处理的合理详细信息,方法是更新其分处理者列表,地址如下:/subprocessors/。如果在收到该通知后的十(10)天内,控制者以书面形式通知处理者对拟议的任命提出任何异议(有合理理由)
    1. 处理者应尽合理的努力,对服务的提供做出商业上合理的变更,从而避免使用拟议的分处理者;或者
    2. 如果无法做出此类变更,任何一方均可以书面通知另一方,立即终止全部或部分条款,只要该条款与需要使用拟议的分处理者的服务相关(始终受条款规定的约束)。
  4. 对于每个分处理者,处理者应确保处理者和分处理者之间的安排受书面合同的约束,其中包括为控制者个人数据提供至少与本DPA中规定的保护级别相当的条款,以及标准合同条款(如适用)。
  5. 处理者应对每个分处理者在控制者个人数据方面的行为和疏忽向控制者承担责任。

数据主体权利

  1. 考虑到处理的性质,处理者应在情况允许的范围内,为控制者提供合理必要的且技术上可行的协助,以协助控制者履行其响应数据主体请求的义务。
  2. 处理者应
    1. 如果处理者收到数据主体请求,应立即通知控制者;以及
    2. 除非根据控制者的书面指示(在这种情况下,由控制者承担费用)或适用法律要求,否则不得响应任何数据主体请求。

数据泄露通知

  1. 一旦得知发生(或可能发生)与控制者个人数据相关的可疑或实际数据泄露,处理者应立即通知控制者。应在检测到(可疑)数据泄露后立即提供此类通知,不得无故拖延。
  2. 处理者应向控制者提供以下信息,只要处理者能够在合理范围内提供此类信息
    1. 数据泄露的性质和受影响的数据主体;
    2. 已识别和可疑的数据泄露后果;以及
    3. 处理者为减轻数据泄露的影响而采取或计划采取的措施。
  3. 应控制者的要求,处理者将合作通知主管监管机构(可根据GDPR确定)和/或数据主体数据泄露情况。
  4. 控制者全权负责遵守可能适用于控制者的任何数据泄露通知要求。处理者根据本节发出的数据泄露通知或响应不构成对数据泄露的过错或责任的承认。

数据保护影响评估、事先咨询和审计

  1. 处理者应以控制者的成本,为控制者提供合理的协助,包括任何数据保护影响评估以及与监管机构的事先咨询,如果控制者合理地认为GDPR第35条或第36条要求这样做,则仅限于处理者对控制者个人数据的处理,并考虑到处理的性质以及处理者可以获得的信息。
  2. 处理者应根据要求向控制者提供处理者(合理地)认为适合在当前情况下证明其遵守本DPA的信息。根据第8.3和8.4条,如果控制者(合理地)能够提供书面证据表明处理者根据本段提供的信息不足以证明处理者遵守本DPA,处理者应允许并促成由控制者或控制者授权的审计师对处理者处理控制者个人数据进行审计,包括现场检查。
  3. 控制者应给予处理者合理的审计或检查通知(无论如何,通知时间不得少于三十(30)天),并应尽最大努力(并确保其授权的每个审计师尽最大努力)避免对处理者的场所、设备、人员、数据和业务造成任何损害、伤害或破坏(包括对处理者其他客户的数据的保密性或安全性,或处理者向其他客户提供的服务的可用性的任何干扰)。
  4. 控制者应承担与任何检查或审计相关的任何第三方费用,并向处理者偿还处理者因任何此类检查或审计而产生的所有费用。

个人数据的限制性传输

  1. 在适用的情况下,任何将控制者个人数据从英国的控制者传输到荷兰的处理者的行为均受英国数据保护法2018第21条附表5项下相关机构发布的充分性法规的约束,因此,不构成限制性传输。

  2. 如果存在从处理者到任何分处理者的控制者个人数据的限制性传输,则处理者将确保根据GDPR第46条及后续条款中提供的保障措施进行此类限制性传输,特别是参照委员会2021年6月4日关于将个人数据传输到在第三国建立的处理者的标准合同条款,符合委员会决定2021/914/EU,其中

    1. 处理者 – 作为“数据出口者”;以及
    2. 分处理者 – 作为“数据进口者”。

删除控制者个人数据

  1. 在停止任何涉及处理控制者个人数据的服务之日,处理者应立即停止出于存储以外的任何目的处理所有控制者个人数据。
  2. 控制者特此承认并同意,由于服务和处理者处理的控制者个人数据的性质,在当前情况下,返还(而不是删除)控制者个人数据不是一种合理可行的选择。 考虑到上述情况,控制者同意,特此视为已不可撤销地选择删除控制者个人数据,而不是返还。
  3. 处理者和任何分处理者可以在适用法律要求的情况下保留控制者个人数据,期限为适用法律可能要求的期限,前提是处理者和任何此类分处理者应确保
    1. 此类控制者个人数据的机密性;以及
    2. 此类控制者个人数据仅用于适用法律要求存储的目的而进行必要的处理,且不得用于其他目的。

期限和终止

  1. 本DPA应在生效日期生效。
  2. 本DPA构成条款的组成部分,并在条款到期或终止(无论出于何种原因)之前保持有效。

其他

  1. 如果本DPA的条款与条款之间存在与控制者个人数据处理相关的任何不一致,则以本DPA的条款为准。
  2. 如果适用法律要求修改本DPA,则任何一方均可提出修改意见,双方将真诚地进行谈判,以达成协议,确保DPA继续符合适用法律要求。