数据处理协议
本数据处理协议(”DPA“)纳入并构成Adapty服务条款(如下定义)的一部分,由客户与Adapty之间签署,规范客户对服务的使用及Adapty的服务提供。
客户与Adapty在此共同称为”双方“,单独称为”一方“。双方的详细信息见附表1。
在与Adapty服务条款的条款发生任何冲突或不一致的情况下,本DPA将优先于Adapty服务条款中的其他条款,以解决此类冲突或不一致。
本协议中未另行定义的专有名词应具有Adapty服务条款中赋予它们的含义。
背景
本DPA,包括所有附表,规定了双方就Adapty代表客户处理的个人数据的相关数据保护义务,如附表1中所述,按照适用的隐私法。
1. 定义
1.1. Adapty 服务条款指在https://adapty.io/terms/提供的服务条款或客户与 Adapty 之间的其他书面或电子协议。
1.2. 适用的隐私法律指所有法律、法令、法规、条例、条款、规则、指导、命令或任何其他由任何政府机构发布的法律权利,统辖个人数据的收集、使用、转移和披露。
1.3. 数据控制者指确定个人数据处理的目的和方式的自然人或实体,或其他负责决定个人数据处理的相关事项的实体。
1.4. 数据处理者指在控制者的代表下处理个人数据的自然人或法人或其他机构。
1.5. 数据主体请求应具有本 DPA 第 3.2 条中给出的含义。
1.6. 数据主体指直接或间接识别或可识别的与个人数据相关的自然人。
1.7. GDPR指欧洲议会和欧盟理事会第 2016/679 号条例,该条例涉及对自然人处理个人数据的保护以及此类数据的自由流动,并废除第 95/46/EC 号指令。
1.8. 英国 GDPR指保留的欧盟法律版本的通用数据保护条例((EU)2016/679)(欧盟 GDPR),因根据 2018 年《欧盟(撤回)法》第 3 条成为英格兰和威尔士、苏格兰和北爱尔兰法律的一部分,并由 2019 年数据保护、隐私和电子通信(修订等)(EU 退出) 法规第 1 附表修改(SI 2019/419)。
1.9. 个人数据指与已识别或可识别的自然人相关的任何信息,并由客户提供以供处理,受到适用的隐私法律的规范,包括与已识别或可识别的个人相关的信息。
1.10 个人数据泄露应具有本 DPA 第 6.1 条中给出的含义。
1.11. 处理、过程和处理指涉及使用个人数据的任何活动,或适用的隐私法律可能对此定义的处理、过程或处理。这包括对个人数据或个人数据集执行的任何操作或操作集,无论是否通过自动方式进行,如收集、记录、组织、结构化、存储、调整或修改、检索、咨询、使用、通过传输、传播或以其他方式提供、对齐或结合、限制、删除或销毁。处理还包括将个人数据转移给第三方。
1.12. 标准合同条款 (SCC)指由欧洲委员会批准的标准合同条款(随时更新、修改、替换或取代)。如果欧洲委员会用修订或新的标准合同条款替换标准合同条款,则在相关监督机构批准使用这些修订或新的标准合同条款的情况下,本协议中对“标准合同条款”的引用将被视为对这些修订或新标准合同条款的引用。
1.13. 子处理者指由 Adapty 雇用的第三方数据处理者,可能会获得或处理个人数据。
1.14. 子处理者变更通知应具有本 DPA 第 4.1 条中给出的含义。
2. 个人数据的处理
2.1. 各方的角色。 各方确认并同意,在个人数据处理方面,客户是控制者,Adapty 是处理者。
2.2. 数据处理细节。 个人数据处理的主题、持续时间、性质和目的,以及个人数据的类型和数据主体的类别已在 附表 1 中具体说明。
2.3. 处理范围。 Adapty 应避免处理超出客户文档中合理和惯常指示范围的个人数据,如 Adapty 服务条款或本数据处理协议中所述,除非相关法律要求 Adapty 进行此类处理。
2.4. 客户的指示。 客户对个人数据处理的指示应符合适用的隐私法律。客户对个人数据的准确性、质量和合法性及获取个人数据的方式承担独立责任。客户特别承认并同意,其使用服务不会侵犯任何数据主体的权利。
2.5. 处理的法律依据。 客户承认并同意,Adapty 的服务依赖于客户获得的合法依据,且 Adapty 基于此合法依据进行操作。客户声明此类合法依据确实存在。
2.6. 儿童隐私。 在处理儿童的个人数据(如适用隐私法律所述)时,客户有义务遵守由平台政策、法规和适用隐私法律设定的额外要求,以保护儿童。这些法律中有些特别关注儿童(例如《儿童在线隐私保护法》),而其他法律虽然更加广泛,但包括对儿童的具体保护(例如《通用数据保护条例》和类似区域法律)。
3. 数据主体请求
3.1. 对数据主体请求的响应。 客户应对依据适用隐私法行使数据主体权利的请求的任何法定义务承担唯一责任。各方同意并确认Adapty无法响应数据主体请求。
3.2. 数据主体的请求。 Adapty将在法律允许的范围内,及时通知客户,如果其收到来自数据主体的任何请求以行使适用隐私法下的数据主体权利(每个请求称为“数据主体请求”)。
合作以实现数据主体的权利。Adapty将为客户提供合理及时的协助(包括通过适当的技术和组织措施),使客户能够响应数据。
3.3. 主体请求。 如果客户请求Adapty协助响应任何请求,则Adapty将在可能的范围内,提供商业上合理的努力以协助客户响应此类请求,前提是Adapty得法律允许这样做,并且该请求的响应符合适用隐私法的要求。
3.4. 成本。 在法律允许的范围内,客户应对因Adapty提供此类协助而产生的任何费用负责,包括与额外功能提供相关的任何费用。在这种情况下,Adapty将提前通知您这些费用。
4. 子处理
4.1. 子处理者的任命。 客户授权 Adapty 根据本节及 DPA 中的任何限制任命子处理者。客户承认并同意 Adapty 可以在不事先征得客户同意的情况下聘用子处理者。为了允许第三方子处理者处理个人数据,Adapty 将与每个子处理者签订书面协议,包含数据保护义务,确保对个人数据提供至少与本 DPA 中相同水平的保护。Adapty 会在子处理者变更之前以书面形式通知客户任何有关子处理者的增加或更换的意图(“子处理者变更通知”)。客户可以根据本 DPA 的第 4.2 条对该子处理者的变更提出异议。
4.2. 当前子处理者名单。 Adapty 在处理过程中聘用的当前子处理者名单提供在本 DPA 的附录 3 中。对于任何关于子处理者的增加或更换的变更,Adapty 将在十(10)天内更新本 DPA 的子处理者名单。
4.3. 责任。 对于每个子处理者,Adapty 应: (i) 采取合理步骤确保子处理者承诺提供 DPA 所要求的个人数据保护级别, (ii) 对于子处理者未能履行其数据保护义务,仍向客户承担全部责任。
4.4. 对子处理者的异议权。 客户可以合理地对 Adapty 的任何有关子处理者的增加或更换的变更提出异议(例如,如果向子处理者提供个人数据可能违反适用的数据保护法律或削弱对该个人数据的保护),通过在收到子处理者变更通知的十(10)天内及时以书面形式通知 Adapty。客户的通知应解释提出异议的合理依据。
如果客户通知 Adapty 此类异议,双方将本着诚意讨论此事,以期实现一个商业上合理的解决方案。如果在十五(15)天内无法解决该异议,由于在未聘用该子处理者的情况下无法继续进行适当的处理,Adapty 有权拒绝根据本 DPA 进一步处理,并在不承担此类终止责任的情况下终止 Adapty 服务条款。
5. 跨境个人数据传输
5.1. 从欧盟转移。 在GDPR保护个人数据的情况下,各方在此同意此类转移受SCC的约束,该SCC通过参考并入入此DPA,构成其不可或缺的一部分。SCC的选项和附录被视为根据此DPA的附录4进行填写。
5.2. 从瑞士转移。 在FADP保护个人数据的情况下,各方在此同意此类转移受SCC的约束,并进行必要的调整,以使SCC符合瑞士法律,从而适合确保从瑞士向第三国转移数据时提供足够的保护水平,符合FADP第6条第2款第a项的规定。调整清单在第4.3条中提供,涉及基于已确认的标准合同条款和2021年8月27日联邦数据保护和信息专员签署的模型合同的个人数据转移到数据保护水平不足的国家中(可在https://www.edoeb.admin.ch/edoeb/en/home/data-protection/handel-und-wirtschaft/transborder-data-flows.html查看)。案例2的选项2将适用。
5.3. 从英国转移。 在UK GDPR保护个人数据的情况下,各方在此同意此类转移受欧洲委员会国际数据转移标准合同条款的国际数据转移附录的约束,该附录可在https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf获取,并由英国信息专员办公室、议会或国务卿采纳、修订或更新。
6. 技术和组织措施
6.1. 技术和组织措施。 Adapty 应实施和维护适当的技术和组织措施,以确保个人数据的安全性、保密性和完整性,适当和适用的情况下,包括 GDPR 第 32 条所提到的措施,如本 DPA 附表 2 所述,以保护个人数据不受:
- 意外或非法销毁,以及
- 丢失、变更、未授权披露或访问个人数据(每项均称为“个人数据泄露”)。
6.2. 合规控制。 Adapty 定期监测附表 2 中规定的措施的合规性。6.3. 确保合规的协助。 考虑到处理的性质和 Adapty 可用的个人数据,Adapty 协助客户确保遵守 GDPR 第 32 至 36 条款的义务。
7. 个人数据泄露
7.1. 个人数据泄露的通知。如果 Adapty 意识到个人数据泄露,Adapty 应在法律允许的范围内,在 Adapty 或任何子处理者意识到影响客户个人数据的个人数据泄露后,无需不当延迟通过电子邮件通知客户,并提供合理的信息(在 Adapty 合理的掌握和/或控制范围内)。
7.2. 合作。Adapty 应根据处理的性质和可用的相关信息提供合作,以帮助客户满足根据适用隐私法向数据主体或数据保护机构通知个人数据泄露的任何义务。Adapty 还应采取任何合理必要的措施和行动来补救或减轻个人数据泄露的影响,并应及时向客户通报与个人数据泄露相关的所有重大进展。
8. 审计
8.1. 客户的审计权利。 Adapty向客户提供所有合理必要的信息,以证明遵守本数据处理协议(DPA)中规定的义务,并允许并协助客户或客户指定的其他审计员进行审计,包括检查,涉及本DPA下义务的履行。
8.2. Adapty在审计中的合作。 Adapty应向客户提供客户或其第三方审计员进行审计所需的所有合理必要的信息、系统和员工,前提是客户:
8.2.1. 在审计前给予四十五(45)天的通知;并且
8.2.2. 在正常工作时间内进行审计;并且
8.2.3. 采取所有合理措施防止对Adapty运营的不必要干扰。此类审计应严格在与个人数据处理相关的信息范围内进行。
8.3. 审计参数。 双方应共同商定审计或检查的范围、时间和持续时间。
8.4. 保密性。 本DPA下的所有审计均应受到保密义务的约束。客户应与Adapty分享完整的审计报告,除非其会计师和法律顾问受保密义务的约束,否则不得与任何第三方分享。客户不得将此审计报告用于评估Adapty是否遵守本DPA以外的任何其他目的。
8.5. 成本。 客户将承担此类审计的费用,除非双方另有协议。
8.6. 审计频率。 客户在任何十二(12)个日历月内不得行使其审计权利超过一次,除非:
8.6.1. 如果根据主管数据保护当局的指示要求;或者
8.6.2. 如果由于Adapty及(或)子处理器遭受的个人数据泄露而有必要。
9. 保密性
9.1. Adapty应采取一切合理步骤确保任何被授权处理个人数据的员工的可靠性,并确保这些员工受到适当的保密义务的约束,并始终遵守适用的隐私法律。
10. 删除或返回个人数据
10.1. 在(i)终止本DPA,或(ii)客户的书面请求,或(iii)Adapty不再需要处理个人数据以履行其在Adapty服务条款和本DPA下的义务,或(iv)Adapty拒绝根据本DPA第4.4条款处理,Adapty应根据客户的选择,删除、销毁或将所有个人数据返回给客户,并销毁或返回现有副本,但在Adapty根据适用的隐私法要求保持个人数据副本一段特定时间的情况下除外。 在该保留期满后,Adapty应立即删除或销毁所有剩余的个人数据。
10.2. 如果任何子处理者处理了个人数据,Adapty应确保在特定情况下,该子处理者也将根据本节中规定的条款返回、删除或销毁其持有的所有个人数据。
11. 加州消费者的隐私权
11.1. 本节11中的“个人信息”、“消费者”和其他大写术语应具有《2018年加州消费者隐私法案》(California Consumer Privacy Act of 2018,Cal. Civ. Code §§ 1798.100 et. Seq,及不时修订)中规定的含义(“CCPA”)。
11.2. 特此同意,双方之间的任何个人数据共享仅为实现商业目的,而Adapty不作为服务对价接收或处理任何个人数据。
11.3. 因此,客户对其在使用服务时遵守CCPA的义务独自承担责任。客户有责任判断在服务过程中是否共享或转移数据主体的个人数据构成个人数据的销售。
11.4. Adapty不得为了提供Adapty服务条款中指定的服务以外的商业目的保留、使用或披露个人数据。
12. 条款
12.1. 本数据处理协议自Adapty 服务条款的生效日期起生效。只要Adapty 服务条款持续有效,本数据处理协议将一直有效。
13. 可分割性
13.1. 如果本DPA的任何条款全部或部分无效、失效或不可执行,则本DPA的其他条款的有效性、有效性和可执行性将不受影响。
13.2. 在法律允许的范围内,任何此类无效、失效或不可执行的条款应被视为由最能反映该无效、失效或不可执行的条款的经济意图和目的的有效、有效和可执行的条款替代,涉及其主题、范围、时间、地点和适用范围。
13.3. 前述规则应相应适用,以填补本DPA中可能存在的任何空白。
14. 完整协议
14.1. 各方明确声明本数据处理协议(包括此处提到的附表)及本协议提到的文件构成各方之间的完整协议,并取代各方之间任何先前的草稿、协议、承诺、理解、条件和安排,不论其性质如何,包括是否以书面形式存在,均不影响与本数据处理协议的主题相关的任何相互矛盾的优先顺序。
15. 适用法律和管辖权
15.1. DPA应受Adapty服务条款中规定的法律管辖。
15.2. 各方在此提交协议中规定的管辖权选择,以应对根据本DPA产生的任何争议或索赔,包括关于其存在、有效性或终止或无效后果的争议。
16. 其他
16.1. 如果出现以下情况之间的冲突或模糊,
16.1.1. DPA的任何条款与Adapty服务条款的任何条款,DPA的条款应优先;
16.1.2. 本协议的任何条款与已执行的SCC的任何条款,已执行的SCC的条款应优先。
计划 1. 数据处理参数
i.技术信息
该类别包含与最终用户用于访问客户数字服务的设备相关的技术数据(例如移动游戏或应用程序)。此类信息可能包括,例如,IP地址、设备型号、操作系统和语言设置。
ii.标识符
该类别包含与最终用户的设备或应用实例相关的各种标识符。此类标识符可能包括,例如,Apple广告商标识符(IDFA)、供应商标识符(IDFV)、Google广告ID以及其他类似标识符。
iii.使用数据该类别指有关最终用户如何与客户服务互动的信息。它包括但不限于以下数据:应用内事件;最终用户的动作,例如点击客户广告;客户广告的观看(印象);应用程序下载和安装时间戳;应用程序启动;应用内购买(包括购买时间和金额);客户根据其服务的性质选择跟踪和分析的任何其他事件或互动数据。
iv.联系信息
该类别包含直接识别或与个人最终用户相关的个人数据,这对于沟通或用户特定功能是必要的。此类数据可能包括,例如电子邮件地址、名字、姓氏以及客户有意传输给Adapty的其他属性。
Adapty不会出售客户的个人数据
安排 2. 技术和组织措施,包括确保数据安全的技术和组织措施
• 定期更新操作系统、硬件和任何第三方软件,以避免安全漏洞。
• 使用防火墙和入侵防止系统(IPS)限制访问并保护 Adapty 服务器。
• 使用多因素身份验证确保远程访问通信的安全。
• 每天备份客户数据,采用轮换计划。
计划 3. 子处理器名单
附录 4. SCCs 的条款
1. 根据协议,适用于自欧盟转移的控制者个人数据的模块是模块2 – “控制者到处理者”。
2. 在欧盟SCCs条款中允许选择选项的情况下,做出以下选择:
3. SCC的附件IA应被视为填写如下:
- 数据出口方是客户,出口方的详细信息与DPA的第1附表(A部分)中列出的相同。
与根据SCC转移的数据相关的活动:将个人数据转移到数据进口方,以使数据进口方能够根据Adapty服务条款提供服务。 - 数据进口方是Adapty,Adapty的详细信息与DPA的第1附表(A部分)中列出的相同。
与根据SCC转移的数据相关的活动:从数据出口方接收个人数据,以根据Adapty服务条款提供服务。
4. SCC的附件IB应与DPA的第1附表相同,并且此外,以下详情被包括以完成附件IB:转移的频率为持续性的。
5. 附件IC的填写如下:爱尔兰共和国的监管机构。
6. SCC的附件II应与DPA的第2附表相同。
7. SCC的附件III应与DPA的第3附表相同。
