菜单
中文 (简体)
支持
AdGuard AdGuard Software Limited — 数据处理协议
这是文档的翻译版本。查看原文

AdGuard 数据处理协议

2024年 10月 31日
本《数据处理协议》(以下简称"协议")适用于公司使用 AdGuard 服务意味着处理受数据保护法管辖的个人数据时,数据保护法的具体要求。
本协议是对隐私政策的补充,隐私政策是我们数据保护做法和措施的主要参考。
本协议的期限应遵循服务协议的期限。本协议未定义的术语应具有《服务协议》中规定的含义。
不同意本协议全部和/或部分内容,和/或不理解本协议任何条款的个人,不得采取任何旨在访问和使用服务的行动,否则视为无条件接受本协议,无任何例外

定义和解释

除非本协议另有定义,本 DPA 中使用的大写术语和表述应具有以下含义:
术语和定义
  • "AdGuard ":AdGuard Software Limited,根据塞浦路斯法律正式注册成立的公司,注册号为 332952。
  • "AdGuard 服务"或"服务":服务由 AdGuard 提供,并在网站上明确说明。
  • "协议":指本《数据处理协议》及所有附表。
  • "公司":根据服务协议使用 AdGuard 服务的客户。
  • "公司个人数据":指与公司或公司客户或员工有关的、与服务协议相关的任何个人数据。
  • "合同处理方":指分包商。
  • "数据保护法":指欧盟数据保护法,以及在适用范围内,任何其他国家的数据保护法或隐私法。
  • "欧洲经济区":指欧洲经济区。
  • "欧盟数据保护法":指欧盟第 95/46/EC 号指令,该指令已转化为各成员国的国内立法,并不时被修订、替代或取代,包括被 GDPR 以及实施或补充 GDPR 的法律所取代。
  • "GDPR":指欧盟《通用数据保护条例 2016/679》。
  • "数据传输":指公司个人数据从控制方向处理方或合同处理方的转移,或公司个人数据从处理方向分处理方的继续转移,或分处理方的两个机构之间的转移。
  • “服务协议”:指 AdGuard 与客户之间的协议,该协议受单独书面文件的约束,根据该协议,AdGuard 可授予公司一项非排他性、不可转让的权利,以访问和使用 AdGuard 服务,但须遵守该服务协议和适用订阅计划中规定的条款和限制。根据该服务协议,公司有权向最终用户分发 AdGuard 服务。因此,为了保护根据服务协议可能向其分发 AdGuard 服务的最终用户的个人数据,公司承诺遵守本协议(数据处理协议)中规定的规则。
  • "子处理方":指由处理方指定或代表处理方指定代表控制方处理与本协议有关的个人数据的任何人。
  • "网站"https://adguard.com, https://adguard-vpn.com, https://adguard-dns.io/,或与代表 AdGuard 提供 AdGuard 服务有关的任何其他网站。
"委员会"、"控制方"、"数据主体"、"成员国"、"个人数据"、"个人数据泄露"、"处理"和"监管机构"等术语应具有与 GDPR 或其他适用数据保护法中相同的含义,其同义术语应相应解释。
以下术语适用于本协议:"公司"、"您"和"您的"指作为公司和服务协议承包商的您。"我们"、"我们自己"、"我们的"和"我们"指 AdGuard。"方"、"各方"指公司和 AdGuard。上述术语或其他词语的单数、复数、大写和/或他/她或他们的任何用法均可互换,因此指的是同一个人。

1. 一般条款

为保护和保障服务最终用户的个人数据安全,双方特此达成如下协议:
  • 公司作为数据控制方("控制方")。
  • 公司希望将某些服务(定义见下文)分包给 AdGuard,AdGuard 作为数据处理者("处理者")。
  • 双方寻求执行一份数据处理协议,该协议应符合与数据处理相关的现行法律框架的要求,以及欧洲议会和欧盟理事会 2016年 4月 27日关于在个人数据处理方面保护自然人以及关于此类数据自由流动的第 2016/679 号条例(欧盟),并废除第 95/46/EC 号指令(《通用数据保护条例》)和其他适用的数据保护法律。
  • 双方希望规定其权利和义务。

2. 公司个人数据的处理

处理者应该进行以下操作:
  • 在处理公司个人数据时遵守所有适用的数据保护法;
  • 除第 2 条中控制方的文件指示外,不得处理公司个人数据;
控制方指示处理方处理公司个人数据,以便
  • 提供服务和相关技术支持;
  • 履行法律义务或解决争议;
  • 执行任何旨在优化服务安全性、隐私性、保密性和功能性的内部任务;
  • 执行内部报告、财务报告和其他类似内部任务。

3. 处理人人员

处理人应采取合理步骤,确保任何签约处理人的任何员工、代理或承包商的可靠性,这些员工、代理或承包商可能会访问公司个人数据,确保在每种情况下,访问严格限于那些需要了解/访问相关公司个人数据的个人,这对于主协议的目的是绝对必要的,和/或在该个人对签约处理人的职责范围内遵守数据保护法和其他相关法律,确保所有这些个人都受到保密承诺或专业或法定保密义务的约束。

4. 安全

根据 GDPR 第 32 (1) 条的规定,处理者应实施适当的技术和组织措施,以确保安全水平与风险相适应,同时考虑到技术水平、实施成本以及处理的性质、范围、背景和目的。这些措施应旨在保护自然人的权利和自由,同时考虑到不同可能性和严重程度的风险,包括个人数据泄露的风险。
处理方还应评估与处理活动相关的风险,并采取符合《个人信息保护条例》第 32 (1) 条规定的措施,确保公司个人数据始终安全。

5. 分包处理

在遵守本协议的前提下,公司向处理方授予一般授权,以聘用分包处理方并向其披露或转让公司个人数据。公司确认并批准处理方隐私政策中列出的子处理方名单,并了解处理方可能会定期更新该名单,在这种情况下,处理方应根据隐私政策通知程序通知公司。此外,公司授权处理人向其公司集团内的任何公司披露和传输个人数据。
处理人确保,在保护公司个人数据方面,子处理人与处理人签订的协议的限制性和保护性不低于本协议,且适用于子处理人所提供服务的性质。

6. 数据当事人的权利

考虑到处理的性质,处理者应合理地协助公司履行其义务,以回应数据当事人根据数据保护法行使其权利的请求。
处理方应该执行以下操作:
  • 如果收到数据主体根据任何数据保护法就公司个人数据提出的请求,应立即通知公司;并且
  • 确保不对该请求做出回应,除非是根据控制方的文件指示或处理方所遵守的适用法律的要求,在这种情况下,处理方应在适用法律允许的范围内,在合同处理方对请求做出回应之前将该法律要求通知控制方。

7. 个人数据泄露

处理人应根据适用的数据保护法及其内部个人数据泄露程序管理任何个人数据泄露。如果发生影响公司个人数据的个人数据泄露事件,处理方应毫不延迟地通知公司,提供足够的信息使公司能够履行数据保护法规定的义务,包括必要时通知数据主体。在此情况下,处理者应向公司提供足够的资讯,以便公司根据数据保护法履行任何报告或通知数据当事人个人数据外洩的义务。
处理人应与公司合作,并按照公司的指示采取合理的商业措施,协助调查、减轻和补救每起个人数据泄露事件。 各方应承担调查、补救、减轻影响的费用以及其他相关费用,只要数据泄露是由该方造成的。
各方应承担授权监管机构、政府机构或有管辖权的法院因其违反本协议规定的义务而实施的任何罚款、处罚、损害赔偿或其他相关金额的费用。

8. 数据保护影响评估和事先磋商

处理程序应向公司提供合理的协助,以进行任何数据保护影响评估,并与监督机构或其他主管数据隐私的机构进行事先磋商,控制器合理地认为这是 GDPR 第 35 条或第 36 条或任何其他数据保护法的同等规定所要求的,在每种情况下,仅与签约处理程序处理公司个人数据有关,并考虑到处理的性质和签约处理程序可获得的信息。

9. 删除或归还公司个人数据

在停止任何涉及公司个人数据处理的服务的情况下,处理方应在适用法律允许的范围内并根据处理方的条款和条件以及隐私政策删除所有公司个人数据。如果公司需要其数据的副本,必须在删除其账户之前提出请求;账户删除后提出的请求将不再予以考虑。

10. 审核权

在本第 10 条的规限下,处理者应按要求向公司提供所有必要的资料,以证明其遵守本协议。除非发生个人资料外洩事件或监管机构发出指示,否则公司在每个日曆年内不得行使其权利超过一次。
公司应至少提前六十(60)天书面通知处理人其打算根据本协议对处理人进行审计。审核须在处理者的营业时间内进行,不得干扰处理者的运作,并须确保公司、处理者及其他数据当事人的个人数据受到保护。处理人和公司应事先共同商定审计的日期、范围、持续时间以及适用于审计的安全和保密控制措施。公司承认,在进行审计之前,控制方可能要求签署保密协议。
公司的信息和审计权利仅在本协议未赋予其符合数据保护法相关要求的信息和审计权利的情况下根据第 10 条产生。

11. 数据传输

在可能的情况下,处理者应仅将数据传输或授权传输到瑞士境内的国家、欧盟和/或根据第 1 条的规定作出充分性决定的国家。 45 GDPR 和艺术。 16 瑞士 FADP。如果根据本协议处理的个人数据从瑞士或任何欧盟国家或任何需要充分性决定的国家转移到此范围之外的国家,双方应确保个人数据得到充分保护。为了实现这一目标,除非另有约定,双方应依赖瑞士和/或欧盟和/或英国批准的当时有效的标准合同条款来传输个人数据或数据保护规定的其他传输机制法律。处理者应有权向子处理者执行此类传输,前提是针对传输的性质实施了充​​分的保障措施。

12. 声明和保证

通过聘用、支付服务费用、传输任何文件、数据或信息、接受服务和/或与 AdGuard 进行任何其他形式的互动,公司声明并保证:
  • 公司接受 AdGuard 官方网站上公布的有关个人数据处理和保护的隐私政策,包括但不限于同意处理其个人数据和/或其员工、和/或代表、和/或最终用户等;
  • 他已事先获得个人和最终用户的所有必要同意和批准,其个人数据将在执行服务协议和本协议的过程中转移到 AdGuard。尽管本协议有任何其他规定,公司仍应对 AdGuard 承担责任,并赔偿因不当和/或粗心履行本协议义务而产生的所有损失,这涉及:
  • 对公司和/或第三方的生命和/或健康和/或声誉造成损害;
  • 支付与 AdGuard 承担行政和/或其他公共责任相关的罚款的义务;
  • 有义务向第三方赔偿非法个人数据处理、数据泄露和/或不当数据处理造成的损失和/或损害。

13. 最终条款

遵守适用法律。处理人将根据本协议和适用于本协议下角色的数据保护法处理公司个人数据。处理人不负责遵守仅适用于公司业务或行业的数据保护法,也不承担任何责任。
保密。每一方必须对其收到的关于另一方及其与本协议有关的业务的任何信息("保密信息")保密,未经另一方事先书面同意,不得使用或披露保密信息,但以下情况除外:
  • 法律要求披露;
  • 非因双方过错,相关信息已经公开。
温馨提示:根据本协议发出的所有通知和通信必须采用书面形式,并通过电子邮件发送。控制方应通过电子邮件发送到与其根据服务协议使用服务有关的地址。处理人应通过电子邮件发送至以下地址:privacy@adguard.com
管辖法律和司法管辖区。本协议受塞浦路斯法律管辖,不考虑任何司法管辖区的法律选择或冲突规定,因本协议、订单、任何通过引用纳入的文件、AdGuard 技术或服务引起的或与之相关的争议、诉讼、索赔或诉因应受塞浦路斯共和国的专属司法管辖。
变更。我们可能会随时变更本《数据处理协议》。法律、法规和行业标准的演变可能要求进行这些变更,或者我们可能对我们的业务进行变更。我们将在本页面发布变更内容,并鼓励您随时查看我们的《数据处理协议》以了解最新情况。如果我们所做的更改会对您的隐私权造成实质性改变,我们将通过电子邮件另行通知。如果您不同意本《数据处理协议》的变更,请通过 privacy@adguard.com 与我们联系。
其他文件:
最终用户许可协议 AdGuard 临时邮箱的 EULA 隐私政策 AdGuard 网站的隐私政策 AdGuard 账号和 AdGuard 网站的条款和条件 销售条款
隐私声明: