数据处理协议

之间

根据《销售公约》，客户为控制方（以下简称 "控制方"）、

和

作为数据处理者的Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland（以下简称 "数据处理者"，控制者和数据处理者合称 "双方"）。

序言

控制方在 GTC（以下简称 "主协议"）中委托数据处理方提供其中规定的服务。合同执行的一部分就是对个人数据的处理。特别是，GDPR 第 28 条规定了具体要求。GDPR 第 28 条对此类委托处理提出了具体

§ 1 定义

(1) 根据《个人数据保护法》第 4 (7) 条，控制者是单独或与其他控制者共同决定个人数据处理目的和方式的实体。(1) 根据 GDPR 第 4 (7) 条，控制方是单独或与其他控制方共同决定个人数据处理目的和

(2) 根据 GDPR 第 4 (8) 条，数据处理者是代表控制者处理个人数据的自然人或法人、当局、机构或其他团体。数据处理者（Data Processor）是指代表控制者处理个人数据的自然人或法人、当局、机构或其

(3) 根据《个人数据保护法》第 4(1)条，个人数据是指与已识别或可识别的自然人（以下称 "数据主体"）有关的任何信息。GDPR 第 4 (1) 条规定，个人数据是指与已识别或可识别的自然人（以下简称 \理、遗传、精神、经济、文化或社会身份相关的一个或多个特定因素。

(4) 需要特别保护的个人数据是指根据《欧洲个人信息权公约》第 9 条披露种族、民族、政治观点、宗教或哲学信仰或工会会员身份的个人数据，以及根据《欧洲个人信息权公约》第 9 条披露种族、民族、条规定的有关刑事定罪和刑事犯罪或相关安全措施的个人数据，以及根据 GDPR 第 11 条规定的遗传数据。GDPR 第 10 条规定的有关刑事定罪和刑事犯罪或相关安全措施的个人数据，以及 GDPR 第 4 (13) 条规定的基因数据。GDPR 第 4 (134(15)条规定的健康数据。4 (15)条规定的健康数据，以及自然人的性生活或性取向数据。

(5) 根据《个人数据保护公约》第 4 (2) 条，处理是对个人数据进行的任何操作或一系列操作，无论是否通过自动方式，如收集、记录、组织、归档、存储、改编或更改、检索、咨询、使用、通过传输、传播

(6) 根据 GDPR 第 4 (21) 条，监督机构是成员国根据 GDPR 第 51 条设立的独立国家机构。

§ 2 合同主体

(1) 数据处理人为控制方提供主合同中规定的服务。在此过程中，数据处理者获得了个人数据，数据处理者完全代表控制者并根据控制者的指示为控制者处理这些数据。数据处理者处理数据的范围和目的在主

(2) 双方缔结本协议，以明确双方在数据保护法下的权利和义务。如有疑问，本协议的规定优先于主合同的规定。

(3) 本合同的规定适用于与主合同有关的所有活动，在这些活动中，数据处理者及其雇 员或数据处理者授权的人员接触到源自控制者或为控制者收集的个人数据。

(4) 本协议的期限以主合同的期限为准，除非以下条款规定了进一步的义务或终止权。

§ 3 授课权

(1) 数据处理者只能在主合同范围内并按照控制者的指示收集、处理或使用数据。如果欧盟或其所属成员国的法律要求数据处理者进行进一步处理，则数据处理者应在处理前将这些法律要求通知控制者。

(2) 财务主任的指示最初应由本协定确定。此后，财务主任可通过书面或文本形式的个别指示（个别指示）对其进行修订、补充或取 代。财务主任有权随时发布此类指示。这包括有关更正、删除和封锁数据的

(3) 财务主任应将发出的所有指示记录在案。超出《主合同》约定服务范围的指示应视为更改服务的请求。

(4) 如果数据处理者认为控制者的指示违反了数据保护规定，则应及时通知控制者。数据处理者有权暂停执行相关指令，直至控制者对其进行确认或修改。数据处理者可拒绝执行明显违法的指令。

§ 4 处理的数据类型、数据主体群体、第三国

(1) 在履行主合同的范围内，数据处理者有权获取附件 1**详细规定的个人数据。

(2) 受資料處理影響的資料當事人列於附件 1. 。

(3) 根据第 44 条及其后条款的规定，可向第三国转移个人数据。44 et seq.GDPR.

§ 5 数据处理者的保护措施

(1) 数据处理者有义务遵守有关数据保护的法律规定，不得将从控制者领域获得的信 息透露给第三方，也不得让第三方接触到这些信息。应确保文件和数据的安全，以防向未经授权的人员泄露，同时考虑到最

(2) 数据处理者应在其职责范围内组织内部机构，使其符合数据保护的特殊要求。数据处理者应采取附件 2**规定的技术和组织措施，以便根据《信息权公约》第 32 条充分保护控制者的数据。数据处理方应

(3) 数据处理方雇用的数据处理人员未经授权不得收集、处理或使用个人数据。数据处理者应对所有受其委托处理和履行本合同的人员（以下简称 "员工"）承担相应的义务（保密义务，《欧盟数据保护条例

(4) 数据处理者已任命一名数据保护官。数据处理者的数据保护官是 heyData GmbH, Schützenstr.5, 10117 Berlin, datenschutz@heydata.eu, www.heydata.eu。

§ 6 数据处理者的信息义务

(1) 如果数据处理者、其在合同范围内雇用的人员或第三方在处理个人数据时出现中断、疑似违反数据保护规定或违反合同义务、疑似安全相关事件或其他违规行为，数据处理者应及时通知控制者。这同样适

(a) 個人資料外洩性質的描述，盡可能包括受影響資料當事人的類別及數目、受影響的類別及受影響個人資料記錄的數目；

(b) 说明数据处理者为解决违规问题所采取或建议采取的措施，以及（如适用）为减 轻其可能造成的不利影响而采取的措施；

(c) 对个人资料外泄可能造成的后果的描述。

(2) 数据处理者应立即采取必要措施确保数据安全，减轻可能对数据当事人造成的任何不利后果，并将此通知控制者和请求进一步指示。

(3) 此外，数据处理者有义务随时向控制者提供信息，只要控制者的数据受到第 1 款所述违规行为的影响。

(4) 数据处理者应将第 5 条第(2)款规定的安全措施的任何重大变更通知控制者。

§ 7 财务主任的控制权

(1) 在开始数据处理之前，控制方可对数据处理方的技术和组织措施进行自我确认，此后每年定期进行自我确认。为此，控制者可从数据处理者处获取信息，从专家、认证或内部审计处获取现有证书，或在及度干扰数据处理者的运作。

(2) 数据处理者承诺应控制者的口头或书面要求，在合理的时间内向控制者提供对数据处理者的技术和组织措施进行检查所需的所有信息和证据。

(3) 财务长应将检查结果记录在案并通知数据处理者。如果控制员发现错误或不正常情况，特别是在对检查结果进行检查时发现错误或不 正常情况，控制员应及时通知数据处理员。如果在检查过程中发现事实

§ 8 服务提供商的使用

(1) 合同约定的服务应由附件 3中列出的服务提供商（以下简称 "子处理方"）参与执行。根据《信息权保护条例》第 28(2)条第 1 款的规定，控制方授予数据处理方在其合同义务范围内聘用其他子处

(2) 数据处理者应在涉及或更换次级处理者的任何预期变更之前通知控制者。控制方可以根据数据保护法规定的重要理由，反对子处理方的参与或更换。

(3) 必须在收到有关变更的信息后 2 周内，对拟参与或更换的子处理程序提出异议。如未提出异议，则视为同意。如果有数据保护法规定的重要理由，且控制方和处理方之间无法达成友好的解决方案，则控制

(4) 数据处理者在雇用子处理者时，应按照本协议的规定对其进行约束。

(5) 如果数据处理者委托第三方提供的服务被视为纯粹的辅助性服务，则不存在本条款所指的 次级处理者关系。例如，这些服务包括邮政、运输和装运服务、清洁服务、电信服务，但没有具体提及数据处理者

§ 9 数据当事人的要求和权利

(1) 数据处理者应采取适当的技术和组织措施，支持控制者履行《个人信息保护公 约》第 12-22 条和第 32 至 36 条规定的义务。

(2) 如果数据当事人直接向数据处理者主张权利，如查阅、更正或删除其数据的权 利，数据处理者不应独立做出反应，而应将数据当事人转给控制者，并等待控制 者的指示。

§ 10 责任

(1) 在与数据处理者的内部关系中，如果数据处理者根据数据保护法对数据进行不可接受或不正确的处理，或在委托处理的范围内使用数据，导致数据主体遭受损害，则控制者应单独对数据主体承担赔偿责任

(2) 如果造成损害的原因是数据处理者、其法定代表或代理机构故意或严重疏忽失职，则数据处理者应承担无限责任。

(3) 数据处理者只对违反义务的过失行为负责，而履行义务是正确履行合同的前提条件，并且控制者经常依赖和可以依赖对义务的遵守，但仅限于合同典型的平均损失。在所有其他方面，处理者的责任--包括

(4) 第 10.3 节规定的责任限制不适用于因生命、身体、健康受到伤害或承担担保而引起的损害索赔。

§ 11 主合同的终止

(1) 主合同终止后，数据处理者应向控制者归还所有提供给它的文件、数据和数据载体，或应控制者的要求（除非根据欧盟法律或德意志联邦共和国法律有义务保存个人数据）删除这些文件、数据和数据载体

(2) 控制者有权以适当的方式控制数据处理者按合同规定完全归还或删除数据。

(3) 数据处理者有义务对其了解到的与主合同有关的数据保密，即使在主合同结束之后。在主合同结束后，只要数据处理者掌握着由控制者转交给它的或它为控制者收集的个人数据，本协议仍然有效。

§ 12 最后条款

(1) 如果数据处理者没有明确表示免费执行本协议规定的支持行动，它可以向控制者收取合理的费用，除非数据处理者自己的行为或疏忽使这种支持直接成为必要。

(2) 对本协定的修订和补充必须以书面形式进行。这也适用于对这一正式要求的任何放弃。个别合同协议的优先权不受影响。

(3) 如果本协议的个别条款全部或部分无效或不可执行，不应影响其余条款的有效性。

(4) 本协议受德国法律管辖。

附件 2 - 数据处理者的技术和组织措施

1.导言

本文件概述了处理方根据《个人资料保护法》第 32 条第 3 款所采取的技术和组织措施。32 para.1 GDPR.这些是处理者为保护个人数据而采取的措施。本文件的目的是支持控制方履行其在

2.保密（《德国信息权法案》第 32 条第 1 款 b 项）

2.1 入口控制

以下措施可防止未经授权人员进入数据处理系统：

• 在家工作：未经授权的人无法进入员工家中

• 在家庭办公室工作：指示员工尽可能在起居室以外的独立办公室工作

2.2 入场控制

以下措施可防止未经授权人员进入数据处理系统：

• 使用用户和密码进行身份验证

• 使用防火墙

• 使用移动设备管理

• 数据载体加密

• 自动锁定桌面

• 用户授权管理

• 创建用户配置文件

• 中央密码规则

• 使用双因素身份验证

• 公司安全密码政策

• 离开工作站时手动锁定桌面的一般说明

2.3 存取控制

以下措施可确保未经授权者无法访问个人数据：

• 记录对应用程序的访问（特别是在输入、更改和删除数据时）

• 尽可能减少管理员人数

• 系统管理员对用户权限的管理

• 指示员工只有在咨询后才会删除数据

2.4 隔离控制

以下措施确保为不同目的收集的个人数据分开处理：

• 在不同的系统或数据载体上进行物理分离存储

• 生产和测试系统分离

• 逻辑客户端分离（软件方面）

• 数据库权限的定义

• 内部指示，在可能的情况下，在披露或法定删除期限到期后，对个人数据进行匿名化/假名化处理。

3.完整性（《欧洲个人信息权公约》第 32 条第 1 款 b 项）

3.1 转移控制

确保个人数据在数据载体的传输或存储过程中不会被擅自读取、复制、更改或删除，并可 以检查哪些人或机构接收了个人数据。为确保这一点，我们采取了以下措施：

• 无线局域网加密（WPA2，带强密码）

• 记录访问和检索

• 通过加密连接（如 SFTP 或 HTTPS）提供数据

• 禁止向外部服务器上传公司数据

3.2 输入控制

以下措施可确保检查谁在数据处理系统中处理了个人数据以及在什么时间处理的：

• 记录数据的输入、修改和删除

• 手动或自动控制日志

• 通过单个用户名（而不是用户组）跟踪数据输入、修改和删除情况

• 明确删除责任

legal.dpa.latest.annexes.2.3.2.text.6

4.可用性和弹性（《信息权法案》第 32 条第 1 款 b 项）

以下措施可确保个人数据免受意外破坏或丢失，并始终可供客户使用：

• 服务器机房的灭火器

• 用于监控服务器机房温度和湿度的设备

• 服务器机房的空调

• 服务器机房的保护插座带

• 不间断电源 (UPS)

• 服务器机房视频监控

• 未经授权进入服务器机房的警报信息

• 定期备份

• 检查备份过程

• 在安全的异地存储数据备份

• 定期进行数据恢复测试并记录结果

• 服务器机房内或机房上方没有卫生设施

• 由专业托管商托管（至少托管最重要的数据

5.定期审查、评估和评价的程序（《德国信息权法案》第 32 条第 1 款 d 项；《德国信息权法案》第 25 条第 1 款）

5.1 数据保护管理

以下措施旨在确保本组织符合数据保护法的基本要求：

• 使用 heyData 平台进行数据保护管理

• 任命数据保护官heyData

• 雇员对数据保密的义务

• 定期对员工进行数据保护培训

• 保持对处理活动的全面了解（《个人信息处理条例》第 30 条）

5.2 事件应对管理

以下措施旨在确保在发生数据保护漏洞时启动报告程序：

• 根据《欧盟数据保护条例》第 4 条第 12 款向监管机构报告数据保护违规行为的程序（《欧盟数据保护条例》第 33 条）。向监管机构报告数据保护违规行为（GDPR 第 4 条第 12 款）

• 根据《欧盟数据保护法》第 4 条第 12 款，向数据当事人通报数据泄露情况（《欧盟 数据保护法》第 34 条）。向数据主体发送《信息权法案》第 4 条第 12 款（《信息权法案》第 34 条）

• 数据保护官参与处理安全事件和数据泄露事件

• 使用防火墙

5.3 数据保护友好型默认设置（《德国数据保护条例》第 25 条第 2 款）

以下措施旨在确保在发生数据保护漏洞时启动报告程序：

• 根据《欧盟数据保护条例》第 4 条第 12 款向监管机构报告数据保护违规行为的程序（《欧盟数据保护条例》第 33 条）。向监管机构报告数据保护违规行为（GDPR 第 4 条第 12 款）

• 根据《欧盟数据保护法》第 4 条第 12 款，向数据当事人通报数据泄露情况（《欧盟 数据保护法》第 34 条）。向数据主体发送《信息权法案》第 4 条第 12 款（《信息权法案》第 34 条）

5.4 订单控制

以下措施确保个人数据只能按照说明进行处理：

• 给承包商的书面指示或文本形式的指示（如通过数据处理协议）

• 确保在订单完成后销毁数据，例如要求提供相应的确认函

• 承包商确认其员工承诺对数据保密（通常在数据处理协议中确认）

• 谨慎选择承包商（尤其是在数据安全方面）

• 持续审查承包商及其活动

• 确保在订单完成后销毁数据，例如要求提供相应的确认函

1.3 版，2024 年 4 月 10 日生效