数据处理协议

1。定义和解释

2018年5月25日,处理个人数据的行为取代监管(欧盟)2016/679的欧洲议会和理事会2016年4月27日(以下简称通用数据保护监管)。

本协议包含了需求提出的规则在一般数据保护监管对于数据处理机协议。额外的需求出现的一般数据保护法规或国家剩余规则协议的时间进入后,当事人应当认为,这种必要的修改协议,确保符合要求。引用另外协议的第2.9节。

控制器的数据是有义务通知数据处理机数据控制器的IT安全法规、安全政策和遵守任何相关补充安全规则,和数据处理器是有义务审查这些。

在本协议中,下列单词和词组有以下含义:
“处理”意味着是什么在处理个人数据的行为,和“过程”和“处理器”必须相应解释。
的“数据控制器”意味着什么在行动中指定的处理个人数据。
的“数据处理”意味着什么在行动中指定的处理个人数据。
“适用法律”意味着行为,规定或绑定从政府指导适用于本协议下的处理个人数据。
“权威”意味着所有相关国家政府或法定机构或当局的问题或其他有关部门或单位负责监管或管理一个政党或服务包括,但不限于,国家数据保护部门。
“个人数据泄露”指违反安全可能导致意外或非法破坏,损失,改变或未经授权的披露,或访问个人数据传输、存储或处理。
截至2018年5月25日,“处理个人数据的行为”意味着在每个实例一般数据保护规定,纳入国家立法的个别成员国的欧洲经济区以及所有适用的立法有关个人资料的处理和自然人的隐私和独立。
“个人资料”有意义行动中指定的个人数据的处理。
的“数据主题”有意义行动中指定的个人数据的处理。
“第三国”意味着一个国家这不是欧洲经济区的一部分。
“服务”意味着意味着LetsBuild提供任何服务或有义务提供给客户。
除了这些数据处理器协议,“LetsBuild订阅”指适用的服务条款和隐私政策通过协议,签署服务订单和/或发票支付。
“LetsBuild应用”意味着LetsBuild控股公司提供的服务和相关公司的条款中定义的数据控制器使用。
所有引用法律规定应被视为包括所有随后重新颁布或修改条款规定。

2。一般要求

数据处理器只能处理个人数据按照记录从数据控制器指令指定在本协议或数据控制器提供了书面指示数据处理器通过其他方式。

处理个人数据的范围由本协议,仅限于条款3中描述的处理。“处理个人数据的描述”。

处理器的数据可能不会改变个人资料的内容以任何方式披露或允许披露的任何个人资料给第三方,除非:

• 本协议明确表示,
• 这个数据控制器已经授权和/或通过其他方式提供本指令,和/或
• 所需的处理是按照适用的法律是由数据处理器
• 披露了条款2.9。,the Data processor must as far as possible according to applicable law notify the Data controller before processing the personal data.

处理器必须的数据,在一个正在进行的基础上,处理个人数据的记录以及记录的安全漏洞。

2.1。安全

数据处理器必须实现和确保数据处理器的员工实施适当的技术和组织措施来保护个人数据免受未经授权或非法处理和意外损失,破坏,破坏,改变或披露。对于那些目的,数据处理器必须考虑的最新发展,实现的成本,的性质、范围、背景和目的的加工和风险自然人的权利和自由。部分数据的安全,是指在条款4中,提供了一个通用的描述技术和组织的安全措施。数据处理器必须而且安全的个人数据通过技术和组织安全措施一般数据保护监管和任何国家剩余规则。

数据控制器应采取合理的步骤来确保所有的员工,代表或合同方可能访问个人数据是可靠的,所有这些人都受到保密义务或商业或法律专业保密的义务。此外,数据处理机必须确保访问个人数据在所有情况下仔细有限的人员需要访问数据,这是必要的,以提供服务的访问的上下文中这样的人“任务数据处理器和这样的人(我)已经了解的个人资料的机密性,(2)已经完成了相关的培训关于适用法律,和(3)意识到数据处理器方面的义务在此协议下的数据保护。

至少每年一次,数据处理器必须评估他或她的内部安全指令和指导方针处理个人数据的目的,确保必要的安全措施依法随时观察到部分“数据安全”和4本协议的条款。

2.2。援助

数据处理器将协助数据控制器在确保数据控制器可以遵守数据主体的行使他或她的权利的行动处理下个人资料个人资料,包括遵守评估、调查、交流或调查的行动处理下个人资料或提供的所有信息数据控制器要求的一个合理的期限内。
数据处理器将协助数据控制器完成的技术和组织措施,在可能的情况下以允许数据控制器响应请求的运动例如数据的权利主体依法采取行动处理个人数据。
一旦数据处理器变得意识到个人资料泄露,数据处理器必须,没有不当延误,通知数据控制器,数据处理器将配合和协助数据控制器对解决这种个人数据被破坏。数据处理器不应做任何沟通的个人数据泄露,无论是公开还是第三方,未经事先书面协议与数据控制器对这种沟通的内容,除非数据处理机有法律义务提供这样的交流。

数据处理器必须遵守并确保数据处理机的员工遵守(i)的安全政策和其他政策提供了数据处理器,其中包括部分数据安全,(ii)所有适用的安全需求的数据控制器的具体位置已书面通报数据处理器,和(3)数据处理器的内部安全标准。
数据处理器是义务应对调查与精确的地址信息的数据控制器的个人数据存储。数据处理器将数据更新与数据控制器后任何变更。

2.3。个子数据处理

一般授权获得的数据处理器的数据控制器使用子处理器。然而,数据处理器将通知任何预期变化有关的数据控制器添加或更换其他数据处理器,从而使控制器的数据对象这样的改变的机会。这种沟通必须接收到数据控制器不晚于前30天前应用程序或更改生效。控制器有反对改变的数据,数据控制器必须通知7日内数据处理机收到信息。控制器的数据可能只有对象的数据控制器公平和具体的理由这样做。

事先同意的数据在数据处理机控制器是有条件的:

• 进行足够的尽职调查个人sub-processor为了确保说sub-processor能够提供的保护水平对个人数据的处理需要根据这个协议,
• 确保数据处理机之间的协议或个人sub-processor包括提供相同的保护条款作为本协议的条款。

控制器的数据将在任何时候有权请求文档数据处理机的存在和内容sub-processors sub-processor协议的数据所使用的处理器为目的的实现数据处理器对数据控制器的义务。

在数据的事件处理器进入清理程序,数据中指定的控制器可以直接接触sub-processors条款”5。Sub-processors”。

2.4。授权有关个人资料转移到第三国

根据第五章的数据保护规定,数据控制器授权个人资料转移到数据处理器/ sub-processors在第三国已被列为安全由欧洲委员会。

数据控制器授权数据处理器/ sub-processors在美国通过“隐私保护”已授权欧盟委员会和美国之间的协议。

数据控制器没有提供指令在本节中或通过随后的书面交流有关个人资料转移到第三国,数据处理器将不会执行这样一个框架内的数据传输协议处理器。

2.5。遵守法规,等等。

数据处理器将依法处理个人数据采取行动处理个人数据和义务不执行,允许和/或省略的行动可能会导致数据控制器的违反行为的个人数据的处理。认为数据处理机的指令构成违反行为的个人数据的处理,数据处理器必须立即通知数据控制器。
数据处理器是有义务使控制、检验和/或审查的数据控制器或任何其他的人被授权这样做的数据控制器对处理个人数据,是指在2.12节。控制和声明。

2.6。终止

数据处理器协议终止可以依法终止条件,包括终止通知中指定的“LetsBuild订阅”除了以下部分:

在终止本协议,数据处理器将:

• 中断处理个人数据
• 从数据控制器请求后,
  • 返回所有个人数据在数据处理机的占有或他或她已经控制以及所有副本的数据控制器。第一个出口由数据处理器没有提供成本数据控制器。数据控制器需要额外的出口,从数据控制器数据处理机可以要求支付基于时间所处理的进一步出口除了第一个出口,
  • 销毁所有副本和确认数据控制器,它已经发生,除非数据处理器,通过适用法律,受到限制,或预防由一个权威,破坏或返回个人资料的全部或部分,在这种情况下,数据处理器必须秘密地处理这些数据,继续处理他们依照本协议的条款,不得处理它们更需要相当大的规模比为了符合要求在适用法律或权威的问题。

不管什么原因,本协议的终止不影响本协议下双方的权利和义务。因此,当事人的权利和义务的协议终止后继续有效。

2.7。赋值

除了条款2.3。,the Data processor will not in any way, in whole or in part, assign (or attempt to assign) his or her rights or obligations under this Agreement to a third party without the prior written consent of the Data controller.

2.8。完整的协议

双方同意本协议是双方之间的完整协议有关的主题。这个范围内,本协议取代所有之前的协议双方对标的物的协议。

2.9。变化

没有放弃或变更的条款,条件或本协议的义务将是有效的,除非这样做是在写作和签署的授权人签署并代表方提供豁免或需要更改。在发生这些变化,数据处理器,没有不当延误,确保sub-processors也受变化。

如果发现本协议的任何条款或条件无效、违法或无法执行主管机关在一定程度上,这个词或条件,应当在所需的范围,是切断了从剩下的条款和条件仍将根据他们的内容实际上最大程度地由法律规定的。

在一定程度上改变立法,在条款1所称。相关的协议或实践,产生本,当事人有权执行协议的变更通知的30天,没有另一方的付款产生的需求)。

2.10。沟通

所有通信提供依照本协议必须以书面形式。

2.11。保密和保密

期间GenieBelt协议终止之后,数据处理器必须保密的义务对所有数据表示数据处理机通过合作获取知识。

截至2018年5月25日,数据处理器必须确保每个人都处理数据覆盖的协议,包括员工、第三方(例如维修工)和sub-processors受保密义务或由相关法定义务的保密。

2.12。控制和声明

数据处理器,没有不必要的延迟,提供与请求的控制器的数据信息,让控制器的数据可能在任何时候确保数据处理机能够遵守本协议所产生的需求。

数据控制器,代表数据控制器或控制器的审计(内部和外部)进行检查和审计数据的访问处理器,接收文档,包括日志、提问等为目的的确定,数据处理器因本协议符合要求。成本与数据控制器的检查数据处理机接管了控制器的数据。

同意,数据处理器将进行年度监督以确保子任务处理器启用审计数据的安全性。
数据控制器,它被认为是必要的,可以选择启动sub-processor的审计。这可能发生,如果根据数据控制器的评估、数据处理机的监督sub-processor没有提供足够的数据控制器安全处理sub-processor的位置是按照这个数据处理器进行协议。

如果数据控制器要进行检查,上述措施依照本协议,控制器可以进行检验的数据分配必要的时间和资源。

2.13。选择适用的法律

本协议将法律管辖,并按照比利时法律,解释和各方承认法语法院的布鲁塞尔,比利时专属管辖权。

3所示。处理个人数据的描述

本节提供的信息数据处理器的处理个人资料的提供服务。

3.1。处理的目的

处理数据的控制器的数据按照目的和服务进行描述的“LetsBuild订阅”。

数据处理器是不允许使用数据用于其他目的。

接收到的数据可能只是上处理指令从数据控制器。

3.2。处理的一般描述

个人数据传输将进行以下处理:

• 收集、记录、组织构建、存储、改编或变更、检索、搜索、使用、披露,传播,传播或以其他方式提供,排列或组合,限制、消除或破坏。

3.3。类型的个人资料

处理操作包含个人数据在下面指定的类别。提供的安全级别的处理数据处理器和任何sub-processors应该反映的敏感性数据,按照部分数据安全。

普通个人数据按第六条的数据保护规定:

• 名字和姓氏
• 电子邮件
• 电话号码

3.4。类别的数据对象

关于以下类别的数据对象将数据处理:

• 成员
• 潜在的成员
• 工作人员

4所示。数据安全

我们完全致力于让您的数据安全。
我们的数据安全措施的详细描述,请参考我们的隐私政策。