新增:智能动画 — 为您的原型添加动画效果。 了解更多

新增:智能动画 — 为您的原型添加动画效果。 了解更多
跳过导航
法律

数据处理附录

版本 2023 年 10 月 24 日

本数据处理附录(以下简称“DPA”)补充并构成 www.sketch.com 上提供的 Sketch 平台服务条款(以下简称“条款”)的不可分割组成部分,由您(以下简称“控制者”)和 Sketch(以下简称“处理者”)双方达成。您和 Sketch 以下统称为“双方”,单独称为“一方”。

通过接受本 DPA 的条款,您声明您有权代表控制者签署本 DPA。

鉴于

  • 双方已同意,处理者应向控制者提供某些服务(以下简称“服务”),如本 DPA 所不可分割的一部分的条款中进一步规定;
  • 作为提供服务的一部分,处理者将代表控制者处理个人数据;以及
  • 双方希望在本 DPA 中明确其在处理此类个人数据方面的权利和义务。

特此同意如下

定义

  1. 在本 DPA 中,以下术语,无论是单数还是复数,应具有本段赋予的含义
  • “适用法律要求” — 任何和所有国际、欧盟、国家、省级或地方法律、法规、命令、法令、行政命令或条约、判决、法院命令、行为准则(无论是否具有约束力)、指南或任何其他相关政府或政府机构或监管机构的要求,在双方履行条款的过程中适用。
  • “控制者个人数据” — 与已识别或可识别的自然人相关的任何信息,无论是控制者提供给处理者,还是处理者根据控制者的指示作为服务的一部分收集或生成的,在两种情况下,都是为了使处理者能够根据条款提供其服务,并在附件 1 - 处理详情中进一步描述。
  • “数据泄露” — 导致意外或非法破坏、丢失、更改、未经授权披露或访问处理者传输、存储或以其他方式处理的控制者个人数据的安全漏洞。
  • “数据主体请求” — 数据主体根据 GDPR 并根据 GDPR 行使其权利。
  • “数据主体” — 控制者个人数据所涉及的已识别或可识别的自然人。
  • “EEA” – 欧洲经济区。
  • “生效日期” — 以下两种日期中的较晚者:(i) 双方签署条款的日期;或 (ii) 您接受本 DPA 的日期。
  • “欧盟 GDPR” — 2016 年 4 月 27 日欧洲议会和理事会关于保护自然人在处理个人数据方面以及此类数据自由流动的条例 (EU) 2016/679,废止指令 95/46/EC。
  • “GDPR” – 英国 GDPR 和/或欧盟 GDPR(视情况而定),以及 EEA 或英国任何成员国(包括英国数据保护法案 2018 年)中适用的任何实施或补充立法。
  • “相关机构” – (i) 在英国和英国 GDPR 的背景下,是指英国信息专员办公室和/或英国政府(视情况而定);和/或 (ii) 在 EEA 和欧盟 GDPR 的背景下,是指欧盟委员会。
  • “限制国家” — (i) 在英国的背景下,是指英国以外的国家或地区;和 (ii) 在 EEA 的背景下,是指 EEA 以外的国家或地区,在每种情况下,相关机构都没有根据 GDPR 第 45 条的决定,认定该国或地区为个人数据的“充分”保护水平。
  • “限制性转让” — 将控制者个人数据披露、授予访问权限或以其他方式转让给任何个人,而根据 GDPR 第五章,在没有法律依据的情况下,这将是被禁止的。
  • “标准合同条款” — 欧洲委员会发布的用于将个人数据从处理者转让给设在限制国家/地区的处理者的标准数据保护条款(即,适用其模块 3)。
  • “子处理器” — 处理者使用的第三方,以处理控制者个人数据,以便提供服务的部分和/或相关的技术支持。
  • “监管机构” – (i) 在英国和英国 GDPR 的背景下,是指英国信息专员办公室;和 (ii) 在 EEA 和欧盟 GDPR 的背景下,应具有欧盟 GDPR 第 4(21) 条赋予该术语的含义。
  • “条款” — Sketch 平台(包括 Sketch Mac 应用、Web 应用和 Sketch Mirror)的服务条款,可在 www.sketch.com 上获得。
  • “英国 GDPR” – 欧盟 GDPR,其通过修订后的 2018 年欧洲联盟(退出)法案第 3 条(包括通过 2019 年数据保护、隐私和电子通信(修正案等)(欧盟退出)条例)成为英国法律的一部分(如适用)。

术语“个人数据”、“特殊类别个人数据”、“处理”、“控制者”和“处理者”在本 DPA 中的含义与 GDPR 中的含义相同。

1.2 控制者保证并声明,根据本 DPA 委托给处理者的处理受 GDPR 的领土范围约束,该范围是根据 GDPR 确定的(包括根据 GDPR 第 3 条)。控制者进一步同意,在实际上不受 GDPR 的领土范围约束的情况下,本 DPA 应被视为自动失效,自生效日期起生效,无需通知。

处理指令

  1. 本 DPA 涉及处理者代表控制者在履行条款下的义务过程中处理控制者个人数据。此类处理的进一步详情载于附件 1 - 处理详情,如 GDPR 第 28(3) 条要求。
  2. 在履行条款下的义务过程中,处理者应仅根据控制者的指示处理控制者个人数据,而不应将控制者个人数据用于任何其他目的,除非适用法律要求这样做。
  3. 通过签署本 DPA,控制者特此授权并指示处理者处理控制者个人数据:(i) 提供服务和相关的技术支持;(ii) 如控制者使用服务和/或其技术支持请求所允许或要求;(iii) 如条款(包括本 DPA)所允许或要求;以及 (iv) 如控制者向处理者提供的任何其他书面指令中所记录(“允许目的”)。
  4. 如果处理者认为控制者给出的指示会导致处理者违反适用法律要求,处理者应立即通知控制者。
  5. 控制者不会与处理者共享任何特殊类别的个人数据。控制者进一步确认,处理者不会请求或要求任何特殊类别的个人数据来提供服务,也不希望接收或存储任何特殊类别的个人数据。
  6. 控制者持续保证,为了 GDPR 第 6 条的目的,在条款有效期内,处理者根据本 DPA 和条款(包括控制者不时发布的关于此类处理的任何和所有指令)处理控制者个人数据,存在并将会存在有效的法律依据。

控制者个人数据的机密性

  1. 处理者应确保其所有员工、承包商和其他人员均受制于关于控制者个人数据的保密承诺或专业或法定保密义务。
  2. 除处理者必须遵守适用法律要求,并且根据此类适用法律要求被禁止从控制者处获得事先书面同意外,处理者不得以任何方式向任何非经批准的子处理器披露控制者个人数据。

安全

  1. 处理者应考虑到控制者个人数据的性质以及处理控制者个人数据的风险,实施适当的技术和组织措施,以保护控制者个人数据免遭任何意外或非法破坏、丢失、更改、未经授权的披露或未经授权的访问(“安全措施”)。安全措施将考虑最先进的技术水平、实施成本以及处理的性质、范围、背景和目的,并在附件 2 - 安全措施中列出。
  2. 控制者同意,其对其使用服务负全部责任,包括:(i) 适当使用服务,以确保与控制者个人数据相关的风险相适应的安全级别;(ii) 保护其用于访问服务的任何帐户身份验证凭据、系统和设备;以及 (iii) 备份所有控制者个人数据。控制者理解并同意,处理者没有义务保护控制者选择存储或传输到处理者或任何子处理器系统之外的控制者个人数据(例如,离线或内部存储)。控制者全权负责评估服务和处理者根据本 DPA 做出的承诺是否满足其需求,包括控制者是否符合 GDPR 和/或适用法律要求下的任何安全义务。

子处理器

  1. 控制者授权处理者根据本节任命子处理器。
  2. 处理器可以在本 DPA 日期继续使用处理器在该日期之前已使用的那些子处理器。
  3. 处理器应在以下地址更新子处理器列表,向控制者提供任何新的子处理器任命的书面通知,包括子处理器将执行的处理的合理细节:/subprocessors/。 如果在收到该通知后十 (10) 天内,控制者以书面形式向处理器通知任何反对意见(有正当理由),
    1. 处理器应尽合理努力提供一项商业上合理的变更,以改变服务的提供方式,从而避免使用拟议的子处理器; 或者
    2. 如果无法进行此类更改,则任何一方都可以通过书面通知另一方立即终止条款,无论是全部终止还是部分终止,以至于涉及需要使用拟议的子处理器的服务的条款(始终受条款的规定约束)。
  4. 关于每个子处理器,处理器应确保处理器与子处理器之间的安排受书面合同的约束,该合同包括条款,这些条款至少为控制者个人数据提供与本 DPA 中规定的条款相同的保护级别,以及标准合同条款(如果适用)。
  5. 处理器应继续对每个子处理器在控制者个人数据方面的行为和疏忽承担责任。

数据主体权利

  1. 考虑到处理的性质,处理器应在情况下合理必要且技术上可行的情况下,向控制者提供必要的协助,以帮助控制者履行其响应数据主体请求的义务。
  2. 处理器应
    1. 如果处理器收到数据主体请求,应立即通知控制者; 以及
    2. 除非在控制者的书面指示下(并且在这种情况下,由控制者承担费用)或根据适用法律要求,否则不回复任何数据主体请求。

数据泄露通知

  1. 一旦处理器意识到与控制者个人数据相关的疑似或实际数据泄露已发生(或可能已发生),处理器应立即通知控制者。 此类通知应在检测到(疑似)数据泄露后立即提供,不得无故延迟。
  2. 处理器应向控制者提供以下信息,前提是处理器能够合理地提供此类信息
    1. 数据泄露的性质和受影响的数据主体;
    2. 已确定和疑似的数据泄露后果; 以及
    3. 处理器已采取或拟采取的措施,以减轻数据泄露的影响。
  3. 应控制者的请求,处理器将配合将数据泄露通知给主管监管机构(可根据 GDPR 确定)和/或数据主体。
  4. 控制者对遵守可能适用于控制者的任何数据泄露通知要求负全部责任。 处理器在本节中对数据泄露的通知或响应不构成对数据泄露的过失或责任的确认。

数据保护影响评估、事先咨询和审计

  1. 处理器应在控制者的费用下,向控制者提供合理的协助,进行任何数据保护影响评估和与监管机构的事先咨询,控制者合理地认为根据 GDPR 第 35 条或第 36 条需要进行这些评估和咨询,在每种情况下,仅与处理器处理控制者个人数据相关,并考虑到处理的性质以及处理器可获得的信息。
  2. 应控制者的要求,处理器应提供其认为在这种情况下适当的信息,以证明其遵守本 DPA。 除非第 8.3 节和第 8.4 节另有规定,如果控制者(以合理的方式行事)能够提供书面证据证明处理器根据本段提供的的信息在这种情况下不足以证明处理器遵守本 DPA,则处理器应允许并协助控制者或控制者授权的审计员进行审计,包括现场检查,以评估处理器处理控制者个人数据的情况。
  3. 控制者应提前合理地通知处理器任何将要进行的审计或检查(通知时间不得少于三十 (30) 天),并且应尽最大努力(并确保其授权的每个审计员尽最大努力)避免对处理器的场所、设备、人员、数据和业务造成任何损害、伤害或干扰(包括对处理器其他客户数据的机密性或安全性或对处理器向这些其他客户提供服务的可用性的任何干扰)。
  4. 控制者应承担与任何检查或审计相关的任何第三方费用,并向处理器报销处理器因任何此类检查或审计而产生的所有费用。

限制性个人数据传输

  1. 如果适用,任何从英国的控制者向荷兰的处理器的控制者个人数据传输均受英国数据保护法案 2018 年附表 21 第 5 段中相关机构发布的充分性法规的约束,因此不构成限制性传输。

  2. 在存在从处理器到任何子处理器的控制者个人数据限制性传输的情况下,处理器将确保此类限制性传输按照 GDPR 第 46 条及以下条款中规定的保障措施进行,具体参考标准合同条款,用于将个人数据传输给根据 2021 年 6 月 4 日欧盟委员会决定 2021/914/EU 建立的位于第三国的处理器,其中

    1. 处理器 - 作为“数据出口商”; 以及
    2. 子处理器 - 作为“数据进口商”。

删除控制者个人数据

  1. 在任何涉及处理控制者个人数据的服务停止之日,处理器应立即停止出于任何目的(存储除外)处理控制者个人数据。
  2. 控制者特此确认并同意,由于服务的性质以及处理器处理的控制者个人数据,在这些情况下,返回(与删除相反)控制者个人数据不是一项切实可行的选择。 考虑到以上情况,控制者同意,在本协议中,控制者被视为已不可撤销地选择删除,而不是返回控制者个人数据。
  3. 处理器和任何子处理器可以在适用法律要求的情况下保留控制者个人数据,保留时间为适用法律规定的时间,前提是处理器和任何此类子处理器应确保
    1. 此类控制者个人数据的机密性; 以及
    2. 此类控制者个人数据仅在需要用于适用法律要求存储其数据的目的,并且不为任何其他目的处理。

期限和终止

  1. 本 DPA 自生效之日起生效。
  2. 本 DPA 是条款的不可分割组成部分,在条款到期或终止之前(无论出于何种原因)一直有效。

杂项

  1. 如果本 DPA 中的条款与条款之间存在与处理控制者个人数据相关的任何不一致,则本 DPA 的条款优先适用。
  2. 如果适用法律要求对本 DPA 进行修订,则任何一方都可以提出修订建议,双方将真诚地进行谈判以达成协议,确保 DPA 继续遵守适用法律要求。