数据处理协议

1.1 范围。本数据处理协议（以下简称“DPA”）适用于提供dss⁺服务时客户转发给dss⁺的个人数据处理过程，对dss⁺、客户或代表客户(包括服务的任何最终用户)的第三方(“客户个人数据”)具有约束效力。DPA 在服务协议有效期内生效。

1.2 定义。此处未定义的大写术语具有协议中赋予的含义。此外，本文中使用的下列术语具有以下含义：

• “适用的数据保护法”是指适用于客户个人数据处理的任何数据保护立法，包括（根据情况以及可能不时修订的所有立法）：(i) 瑞士联邦数据保护法和其实施条例（“瑞士数据保护立法”）； (ii) 欧盟《通用数据保护条例》（“GDPR”）及其英国的同等条例（“英国 GDPR”）；和/或 (iii) 其他适用的数据保护立法。
• “控制者”是指单独或与其他人共同确定个人数据处理目的和方式的实体。
• “数据主体”是指与个人数据相关的已识别或可识别的人员。
• “个人数据”是指与数据主体相关的任何信息；可识别的自然人是指可以直接或间接识别的自然人，特别是通过参考诸如姓名、身份证号码、位置数据、在线标识符等标识符或特定于身体、生理、心理、遗传、心理、经济、文化或社会身份的一个或多个因素来识别的自然人。
• “处理者”是指代表控制者处理个人数据的实体。
• “处理”或“处理”是指对个人数据或个人数据集执行的任何操作或一组操作，无论是否通过自动方式，例如收集、记录、组织、存储、改编或更改、检索、协商、通过传输、传播或以其他方式提供的披露、调整或组合、限制、删除或销毁。

1.3 数据保护立法。除非另有说明，本DPA协议适用于客户个人数据处理的所有法律。如果除瑞士数据保护立法和 GDPR 之外的数据保护法律适用于客户个人数据的处理，客户向 dss⁺ 承诺遵守适用于其的与客户个人数据处理有关的义务，并通知 dss⁺以书面形式说明此类立法中包含的任何可能对 dss⁺ 作为客户处理者处理客户个人数据产生影响的规定。

2.1 角色和合规性。双方承认并同意： (i) 处理的主题和细节在本协议附录 1 中指定； (ii) 各方应遵守适用的数据保护法规定的有关客户个人数据处理的义务； (iii) 客户是客户个人数据的控制者或第三方处理者（视情况而定）； (iv) dss⁺ 是客户个人数据的处理者，除非是为了与提供服务相关的 dss⁺ 合法业务运营而处理此类个人数据，详情请参阅 dss⁺ 隐私政策。

2.2 处理范围。 dss⁺ 应根据本 DPA 处理客户个人数据。当 dss⁺ 充当客户个人数据的处理者或分处理者时，dss⁺ 承诺仅根据客户的书面指示处理个人数据，除非适用于 dss⁺ 的法律要求 dss⁺ 对客户个人数据进行其他处理。通过签订服务协议，客户指示 dss⁺ 作为处理者仅严格遵守任何适用的数据保护立法来处理客户个人数据，并且仅按照协议（包括本 DPA）中所述提供和改进服务。客户同意这些是客户向 dss⁺ 发出的关于处理客户个人数据的完整书面指示，并且任何附加或替代指示必须以书面形式同意。

2.3 客户的义务。客户应对在服务中处理的客户个人数据的质量、合法性和相关性负责，并对受处理影响的第三方和数据保护主管机构负责。特别是，客户承诺： (i) 拥有并始终保持处理此类个人数据的有效理由，包括在需要时获得同意； (ii) 向数据主体提供有关其个人数据收集和处理的充分信息。

2.4 数据删除。在服务协议到期或终止时，dss⁺ 应根据适用的数据保护法删除 dss⁺ 系统中的所有客户个人数据（包括任何现有副本）或永久匿名化。 dss⁺ 应尽快遵守本指令，除非出于技术或法律原因要求 dss⁺ 保留全部或部分客户个人数据。客户承认并接受，传输和/或保护其希望保留的客户个人数据是客户的唯一责任。

2.5 dss⁺ 协助。如果客户提出要求，并且始终在支付相关费用和成本的情况下，dss⁺ 应向客户提供合理必要的协助，以便客户履行相关数据保护法以及 GDPR 或瑞士法规（如果适用）规定的义务。数据保护立法，包括根据 GDPR 第 35 条和第 36 条与数据主体请求、影响评估和事先协商义务相关的立法，在与服务功能兼容的范围内。当 dss⁺ 充当处理者时，dss⁺ 应将其收到的有关客户个人数据的任何数据主体请求转发给客户，客户应负责响应此类请求。

3.1 安全措施。 dss⁺ 应实施并维持适当的技术和组织措施，以保护客户个人数据免遭安全漏洞的发生，从而导致客户个人数据的意外或非法破坏、丢失、更改或访问（“安全事件”）。 dss⁺ 应采取适当措施，确保其员工和分包商遵守上述安全措施，特别是确保所有授权处理客户个人数据的人员均承诺处理客户个人数据，并遵守合同规定保密或遵守适当的法律保密义务。

3.1.1 安全措施的适当性。客户保证其已验证并承诺持续验证本第 3 节中指定的技术和组织措施足以根据任何适用的数据保护法中规定的要求充分保护客户个人数据。

3.2 安全事件。如果适用的数据保护法有要求，如果 dss⁺ 发现安全事件，dss⁺ 承诺通过任何有用的方式（特别是通过客户指定的联系人）尽快通知客户。 dss⁺ 与本第 3.2 条相关的行为不应构成且不得解释为 dss⁺ 承认任何过失或责任。客户应负责对客户个人数据进行任何分析并遵守适用的法律规定（例如通知义务）。在这种情况下，dss⁺ 应向客户提供客户合理要求的任何协助，以履行其义务，费用由客户承担。

3.3 安全措施的信息和审核。信息。如果适用的数据保护法有要求，dss⁺ 应向客户提供所有合理必要的文档和信息，以证明 dss⁺ 遵守其在本协议项下的义务，并允许客户或客户指定的（且 dss⁺ 合理接受的）独立审计员审计 dss⁺ 遵守以下规定的情况：其在本 DPA 下的义务。任何信息或审计请求都必须以书面形式传达给 dss⁺，并指明要审查的具体文档，以及要审计的 dss⁺ 的具体义务。 dss⁺ 应通知客户可以在 dss⁺ 办事处查阅文档的日期或可以进行审核的日期及其方式。客户的费用（包括其任命的任何独立审计师的费用）应完全由客户承担。 dss⁺ 可以向客户开具发票，以支付其因本节而产生的费用。审核结束后，客户应将完整的审核报告免费转发给 dss⁺。客户应明确承诺为确保 dss⁺对其有关客户个人数据义务的遵守，仅使用收集的信息，并且不会用于针对dss⁺的任何法律或行政诉讼。第 3.3 条中包含的规定不得解释为要求 dss⁺ 向客户提供 (i) 与 dss⁺ 商业秘密相关的任何信息或任何机密性质的信息，或 (ii) 有关 dss⁺ 客户（客户除外）的任何信息。 dss⁺ 可以在签订具体保密协议的情况下进行文档审查或审计。

4.1 分授权。客户明确授权 dss⁺ 使用子处理者。 dss⁺ 承诺以书面形式确保：(i) 分处理者仅在履行其义务所需的范围内访问和处理客户个人数据； (ii) 分处理者对 dss⁺ 承担的合同义务至少与因本 DPA 和服务协议而产生的 dss⁺ 对客户承担的合同义务相同； (iii) 如果 GDPR 适用，则分处理者须承担 GDPR 第 28(3) 条规定的义务。如果 GDPR 适用，dss⁺ 承诺提前以书面形式通知客户有关添加或更换其他子处理者的任何计划变更；客户在收到通知后应有 14 天的时间提交反对意见。如果 dss⁺ 尽管客户反对，仍确认分处理者的指定，则客户有权终止适用的服务（只要涉及受影响的服务），并在收到 dss⁺ 上述确认后 14 天内发出书面通知，立即生效。如果反对新的子处理者，此终止权应是客户唯一且排他的补救措施。客户未能在第 4.1 条规定的期限内提出反对和/或终止，应被视为接受新的子处理者。

4.2 数据传输。 除非有符合 DPA 和本节中提供的保护措施，否则dss⁺ 代表客户处理的客户个人数据不得转移到客户所在地理位置之外，也不得在客户所在地理位置之外进行存储和处理。客户同意dss⁺可以在瑞士、欧盟或任何其他国家处理或转移客户个人数据，前提是该等国家已被欧盟委员会和瑞士认可为确保充分的个人数据保护水平，或者该转移受到适当的保障措施的约束，例如依靠欧盟委员会的标准合同条款或其他合法机制。

5.1 数据保护联系人。向 dss⁺ 发出的与本 DPA 和/或数据保护相关的所有通信均应发送至privacy@consultdss.com。客户必须向 dss⁺ 提供其 DPO 的详细联系信息，或者如果法律没有要求指定 DPO，则必须向 dss⁺ 提供负责数据保护事务的联系人。

5.2 加工活动登记册。客户承认，dss⁺ 可能会被要求（尤其是 GDPR）：(i) 收集和存储某些信息，包括与 dss⁺ 合作的每个处理者和/或控制者的名称和联系方式，以及当地代表（如适用）控制者和/或数据保护官的身份，以及所进行的处理的类别； (ii) 向任何主管当局提供此类信息。客户承诺向 dss⁺ 提供 dss⁺ 履行其义务所需的所有合理信息。

5.3 层次结构。如果本 DPA 的条款与任何适用服务协议的条款发生冲突或矛盾，则以本 DPA 的条款为准。本服务协议的条款适用于本 DPA 未涵盖的所有方面。

5.4 可分割性。如果本 DPA 的任何条款因任何原因被认定为无效或无法执行，双方应以替代条款取代该条款，该替代条款应尽可能实现与无效或无法执行的条款相同的法律和经济目的。无论如何，本 DPA 的其余部分在双方之间仍具有完全效力。在不限制上述规定的情况下，如果由于适用的数据保护法的强制性规定，本协议中有关管辖法律的规定可能不适用于本 DPA 的全部或部分，双方同意适用实施此类规定的国家的法律限制（如果多个国家/地区的法律可能适用，则指与 dss⁺ 有最密切联系的国家/地区的法律）。