這是文件的翻譯版本。檢視原文
AdGuard 資料處理協定
2024年 10月 31日
本《資料處理協定》(以下簡稱 "協定")適用於公司使用 AdGuard 服務時,涉及受資料保護法規範之個人資料的處理,以及符合資料保護法的具體要求。
本協定是對隱私政策的補充,隱私政策是我們資料保護措施和原則的主要依據。
本協定的期限應遵循服務協定的期限。本協定未定義的術語,應具有《服務協定》中規定的含義。
如個人不同意本協定的全部或部分內容,或無法理解本協定的任何條款,則不得採取任何旨在存取或使用服務的行動,否則將被視為無條件接受本協定,且不得有任何例外。
定義與解釋
除非本協定另有定義,本協定(DPA)中使用的所有大寫術語與表述應具有以下含義:
術語與定義
- "AdGuard ":指 AdGuard Software Limited,根據塞浦路斯法律正式註冊成立的公司,註冊號為 332952。
- "AdGuard 服務"或"服務":指由 AdGuard 提供的服務,並於官網明確說明。
- "協議":指本《資料處理協定》及所有附錄。
- "公司":指根據服務協定使用 AdGuard 服務的客戶。
- "公司個人資料":指與公司、公司客戶或員工相關的、與服務協定相關的任何個人資料。
- "契約處理方":指分包商。
- "資料保護法":指歐盟資料保護法,以及適用範圍內的其他國家/地區的資料保護法或隱私法。
- "歐洲經濟區":指歐洲經濟區。
- "歐盟數據保護法":指歐盟第 95/46/EC 號指令(已轉化為各成員國的國內立法),以及不時修訂、取代或補充該指令的法律,包括《一般資料保護規則》(GDPR)。
- "GDPR":指歐盟《一般資料保護規則 2016/679》。
- "資料傳輸":指公司個人資料從控制方向處理方或契約處理方的轉移,或從處理方向分處理方的進一步傳輸,或分處理方的兩個實體之間的傳輸。
- “服務協定”:指 AdGuard 與客戶之間的協定,該協定受單獨書面文件約束,根據該協定,AdGuard 可授權公司一項非專屬、不可轉讓的權利,以存取和使用 AdGuard 服務,並遵守該協定及適用訂閱方案中規定的條款與限制。
- "子處理方":指由處理方或代表處理方指派,代表控制方處理與本協定相關的個人資料之任何人。
- "網站":https://adguard.com, https://adguard-vpn.com, https://adguard-dns.io/,或與代錶 AdGuard 提供 AdGuard 服務有關的任何其他網站。
"委員會"、"控制方"、"資料主體"、"成員國"、"個人資料"、"個人資料外洩"、"處理" 和 "監管機構" 等術語,應具有 GDPR 或適用資料保護法中相同的含義,其對應詞應適當解釋。
以下術語適用於本協定:"公司"、"您"和"您的"指作為公司和服務協議承包商的您。"我們"、"我們自己"、"我們的"和"我們"指 AdGuard。"方"、"各方"指公司和 AdGuard。上述術語的單數、複數、大寫與人稱代名詞(他/她/他們)的任何變體可互換使用,並指同一實體。
1. 一般條款
為保護和保障服務最終使用者的個人資料安全,雙方同意如下條款:
-
公司作為資料控制方("控制方")。
-
公司希望將部分服務(定義見下文)分包給 AdGuard,AdGuard 作為資料處理方("處理方")。
-
雙方須執行符合適用法規的資料處理協定,該協定應符合與數據處理相關的現行法律框架的要求,以及歐洲議會和歐盟理事會 2016年 4月 27日關於在個人數據處理方面保護自然人以及關於此類數據自由流動的第 2016/679 號條例(歐盟),並廢除第 95/46/EC 號指令(《通用數據保護條例》)和其他適用的數據保護法律。
- 雙方希望規定其權利和義務。
2. 公司個人資料的處理
處理方應執行以下操作:
-
在處理公司個人資料時,遵守所有適用的資料保護法;
- 除第 2 條中控制方的文件指示外,不得處理公司個人數據;
控制方指示處理方處理個人資料以:
-
提供服務及技術支援;
-
履行法律義務或解決爭議;
-
執行優化服務安全性、隱私性、機密性和功能性之內部作業;
- 執行內部報告、財務報告和其他類似內部任務。
3. 處理方的安全義務
處理人應採取合理步驟,確保任何簽約處理人的任何員工、代理或承包商的可靠性,這些員工、代理或承包商可能會訪問公司個人數據,確保在每種情況下,訪問嚴格限於那些需要了解/訪問相關公司個人數據的個人,這對於主協定的目的是絕對必要的,和/或在該個人對簽約處理人的職責範圍內遵守數據保護法和其他相關法律,確保所有這些個人都受到保密承諾或專業或法定保密義務的約束。
4. 安全
根據 GDPR 第 32 (1) 條的規定,處理者應實施適當的技術和組織措施,以確保全全水准與風險相適應,同時考慮到技術水准、實施成本以及處理的性質、範圍、背景和目的。這些措施應旨在保護自然人的權利和自由,同時考慮到不同可能性和嚴重程度的風險,包括個人數據泄露的風險。
處理方還應評估與處理活動相關的風險,併採取符合《個人信息保護條例》第 32 (1) 條規定的措施,確保公司個人數據始終安全。
5. 分包處理
在遵守本協定的前提下,公司嚮處理方授予一般授權,以聘用分包處理方並嚮其披露或轉讓公司個人數據。公司確認並批准處理方隱私政策中列出的子處理方名單,了解處理方可能會定期更新該名單,在這種情況下,處理方應根據隱私政策通知程式通知公司。此外,公司授權處理人嚮其公司集團內的任何公司披露和傳輸個人數據。
處理人確保,在保護公司個人數據方面,子處理人與處理人簽訂的協定的限制性和保護性不低於本協定,且適用於子處理人所提供服務的性質。
6. 數據當事人的權利
考慮到處理的性質,處理者應合理地協助公司履行其義務,以回應數據當事人根據數據保護法行使其權利的請求。
處理方應該執行以下操作:
-
如果收到數據主體根據任何數據保護法就公司個人數據提出的請求,應立即通知公司;
- 確保不對該請求做出回應,除非是根據控制方的文件指示或處理方所遵守的適用法律的要求,在這種情況下,處理方應在適用法律允許的範圍內,在契約處理方對請求做出回應之前將該法律要求通知控制方。
7. 個人資料泄露
處理人應根據適用的數據保護法及其內部個人數據泄露程式管理任何個人數據泄露。如果發生影響公司個人數據的個人數據泄露事件,處理方應毫不延遲地通知公司,提供足夠的信息使公司能夠履行數據保護法規定的義務,包括必要時通知數據主體。在此情況下,處理者應嚮公司提供足夠的資訊,以便公司根據數據保護法履行任何報告或通知數據當事人個人數據外洩的義務。
處理人應與公司合作,併按照公司的指示採取合理的商業措施,協助調查、減輕和補救每起個人數據泄露事件。
各方應承擔調查、補救、減輕影響的費用以及其他相關費用,只要數據泄露是由該方造成的。
各方應承擔授權監管機構、政府機構或有管轄權的法院因其違反本協定規定的義務而實施的任何罰款、處罰、損害賠償或其他相關金額的費用。
8. 數據保護影響評估和事先磋商
處理程式應嚮公司提供合理的協助,以進行任何數據保護影響評估,併與監督機構或其他主管數據隱私的機構進行事先磋商,控制器合理地認為這是 GDPR 第 35 條或第 36 條或任何其他數據保護法的同等規定所要求的,在每種情況下,僅與簽約處理程式處理公司個人數據有關,併考慮到處理的性質和簽約處理程式可取得的信息。
9. 刪除或歸還公司個人數據
在停止任何涉及公司個人數據處理的服務的情況下,處理方應在適用法律允許的範圍內併根據處理方的條款和條件以及隱私政策刪除所有公司個人數據。如果公司需要其數據的副本,必須在刪除其帳戶之前提出請求;賬戶刪除後提出的請求將不再予以考慮。
10. 審核權
在本第 10 條的規限下,處理者應按要求嚮公司提供所有必要的資料,以證明其遵守本協定。除非發生個人資料外洩事件或監管機構發出指示,否則公司在每個日曆年內不得行使其權利超過一次。
公司應至少提前六十(60)天書面通知處理人其打算根據本協議對處理人進行審計。審核須在處理者的營業時間內進行,不得幹擾處理者的運作,併須確保公司、處理者及其他數據當事人的個人數據受到保護。處理人和公司應事先共同商定審計的日期、範圍、持續時間以及適用於審計的安全和保密控制措施。公司承認,在進行審計之前,控制方可能要求簽署保密協定。
公司的信息和審計權利僅在本協議未賦予其符合數據保護法相關要求的信息和審計權利的情況下根據第 10 條產生。
11. 數據傳輸
在可能的情況下,處理者應僅將數據傳輸或授權傳輸到瑞士境內的國家、歐盟和/或根據第 1 條的規定作出充分性決定的國家。 45 GDPR 和藝術。 16 瑞士 FADP。如果根據本協議處理的個人數據從瑞士或任何歐盟國家或任何需要充分性決定的國家轉移到此範圍之外的國家,雙方應確保個人數據得到充分保護。為了實現這一目標,除非另有約定,雙方應依賴瑞士和/或歐盟和/或英國批准的當時有效的標准契約條款來傳輸個人數據或數據保護規定的其他傳輸機制法律。處理者應有權嚮子處理者執行此類傳輸,前提是針對傳輸的性質實施了充分的保障措施。
12. 宣告和保證
通過聘用、支付服務費用、傳輸任何文件、數據或信息、接受服務和/或與 AdGuard 進行任何其他形式的互動,公司宣告並保證:
- 公司接受 AdGuard 官方網站上公佈的有關個人數據處理和保護的隱私政策,包括但不限於同意處理其個人數據和/或其員工、和/或代錶、和/或最終用戶等;
- 他已事先獲得個人和最終用戶的所有必要同意和批准,其個人數據將在執行服務協定和本協議的過程中轉移到 AdGuard。盡管本協議有任何其他規定,公司仍應對 AdGuard 承擔責任,併賠償因不當和/或粗心履行本協定義務而產生的所有損失,這涉及:
- 對公司和/或第三方的生命和/或健康和/或聲譽造成損害;
- 支付與 AdGuard 承擔行政和/或其他公共責任相關的罰款的義務;
- 有義務嚮第三方賠償非法個人數據處理、數據泄露和/或不當數據處理造成的損失和/或損害。
13. 最終條款
遵守適用法律。處理人將根據本協議和適用於本協議下角色的數據保護法處理公司個人數據。處理人不負責遵守僅適用於公司業務或行業的數據保護法,也不承擔任何責任。
保密。每一方必須對其收到的關於另一方及其與本協議有關的業務的任何信息("保密信息")保密,未經另一方事先書面同意,不得使用或披露保密信息,但以下情況除外:
-
法律要求披露;
- 非因雙方過錯,相關信息已經公開。
溫馨提示:根據本協議發出的所有通知和通信必須採用書面形式,併通過電子郵件發送。控制方應通過電子郵件發送到與其根據服務協議使用服務有關的地址。處理人應通過電子郵件發送至以下地址:privacy@adguard.com
管轄法律和司法管轄區。本協議受塞浦路斯法律管轄,不考慮任何司法管轄區的法律選擇或沖突規定,因本協定、訂單、任何通過引用納入的文件、AdGuard 技術或服務引起的或與之相關的爭議、訴訟、索賠或訴因應受塞浦路斯共和國的專屬司法管轄。
變更。我們可能會隨時變更本《數據處理協議》。法律、法規和行業標准的演變可能要求進行這些變更,或者我們可能對我們的業務進行變更。我們將在本頁面PO變更內容,併鼓勵您隨時檢視我們的《數據處理協定》以了解最新情況。如果我們所做的更改會對您的隱私權造成實質性改變,我們將通過電子郵件另行通知。如果您不同意本《數據處理協定》的變更,請通過 privacy@adguard.com 與我們聯繫。
