文档

简体中文

English

简体中文

English

Appearance

数据处理协议

生效日期:2025年1月1日

本数据处理协议("DPA")与我们的服务条款隐私政策可接受使用政策一起,构成Choiceform("我们"或"我们的")与您("客户"、""或"您的")之间关于您使用Atomemo平台时处理个人数据的协议的一部分。

本协议中未定义的所有大写术语均具有协议和适用数据保护法律中规定的含义。

1. 定义和解释

1.1 适用数据保护法律 是指(如适用):

(a) 通用数据保护条例(EU)2016/679("GDPR"); (b) 2018年英国数据保护法和英国GDPR; (c) 瑞士联邦数据保护法; (d) 加州消费者隐私法和加州隐私权法("CCPA/CPRA"); (e) 全球范围内的任何其他适用数据保护和隐私法律;

以及可能不时修订、扩展或取代的相关法律。

1.2 控制者 是指决定个人数据处理目的和方式的实体。在本DPA的背景下,您(客户)作为控制者。

1.3 处理者 是指代表控制者处理个人数据的实体。Choiceform在本DPA下作为处理者。

1.4 个人数据 是指与已识别或可识别自然人相关的任何信息,如适用数据保护法律所定义。

1.5 数据主体 是指个人数据所涉及的已识别或可识别的人。

1.6 处理 是指对个人数据执行的任何操作,包括收集、记录、组织、结构化、存储、改编、检索、咨询、使用、披露、传播、限制、删除或销毁。

1.7 子处理者 是指Choiceform指定的代表客户处理个人数据的任何第三方。

1.8 安全漏洞 是指对个人数据的任何意外、未经授权或非法的销毁、丢失、更改、披露或访问。

1.9 标准合同条款 或"SCCs"是指欧盟委员会针对向第三国转移个人数据的标准合同条款。

2. 范围和适用

2.1 双方关系

双方承认并同意:

(a) 客户是通过Atomemo处理的个人数据的控制者; (b) Choiceform是代表客户并根据客户指示行事的处理者; (c) 本DPA仅适用于Choiceform在提供Atomemo平台时代表客户处理个人数据的情况。

2.2 自托管部署

对于自托管社区版部署:

(a) 客户保持对个人数据存储和处理的完全控制; (b) 本DPA仅适用于客户与Choiceform共享的个人数据(例如,账户信息、支持请求); (c) 客户负责遵守在其基础设施上处理数据的适用数据保护法律。

2.3 客户责任

客户声明并保证:

(a) 它拥有收集、处理和向Choiceform转移个人数据的所有必要法律依据; (b) 它已向数据主体提供了所有必需的通知并获得了所有必要的同意; (c) 其对Choiceform的指示符合适用数据保护法律; (d) 它对个人数据的准确性、质量和合法性以及获取方式负责。

3. 处理详情

3.1 主题和性质

Choiceform处理个人数据以提供Atomemo工作流自动化平台,包括:

  • 工作流创建、执行和管理
  • AI代理操作
  • 插件集成和API连接
  • 协作功能
  • 平台分析和性能监控

3.2 处理目的

个人数据的处理目的如下:

(a) 提供和维护Atomemo平台; (b) 按客户配置执行工作流和自动化任务; (c) 启用AI代理功能; (d) 处理插件和第三方服务集成; (e) 提供客户支持; (f) 确保平台安全并防止滥用; (g) 改进平台功能(使用汇总的匿名数据)。

3.3 处理期限

Choiceform将在协议期限内处理个人数据,除非另有规定。终止后,个人数据将根据第9节删除或返还。

3.4 个人数据类别

根据客户对Atomemo的使用,处理的个人数据可能包括:

账户数据:

  • 姓名、电子邮件地址、用户名
  • 组织信息
  • 账户偏好和设置

工作流数据:

  • 工作流配置和脚本
  • AI代理定义和指令
  • 通过工作流处理的数据
  • 执行日志和结果

集成数据:

  • API凭据和访问令牌(加密)
  • 从连接服务检索的数据
  • 插件配置

使用数据:

  • 平台使用模式和访问的功能
  • 性能指标和错误日志
  • IP地址(临时存储用于安全)

协作数据:

  • 评论和共享内容
  • 工作空间成员信息
  • 活动日志

3.5 数据主体类别

数据主体可能包括:

(a) 客户的员工、承包商和授权用户; (b) 通过客户工作流处理其数据的最终用户; (c) 通过集成服务收集其数据的个人; (d) 客户使用Atomemo处理其个人数据的任何其他个人。

4. 客户指示

4.1 处理指示

Choiceform仅在以下情况下处理个人数据:

(a) 根据协议提供Atomemo所必需的; (b) 根据客户的书面指示; (c) 适用法律要求的。

4.2 指示合规性

如果Choiceform认为客户的指示违反了适用数据保护法律:

(a) Choiceform将立即通知客户; (b) Choiceform可以暂停执行该指示,直到客户确认或修改; (c) Choiceform无需遵守非法指示。

4.3 禁止未经授权的使用

Choiceform不会:

(a) 出售个人数据; (b) 出于本DPA规定之外的目的处理个人数据; (c) 向第三方披露个人数据,除非本DPA允许; (d) 保留个人数据超过必要或允许的时间。

5. 安全措施

5.1 技术和组织措施

Choiceform实施并维护适当的技术和组织措施以保护个人数据,包括:

技术措施:

  • 传输中的数据加密(TLS 1.2+)
  • 静态敏感数据加密(AES-256)
  • 访问控制和身份验证机制
  • 网络安全和防火墙
  • 入侵检测和预防系统
  • 定期安全测试和漏洞评估
  • 安全凭据存储(散列和加密)

组织措施:

  • 仅限授权人员访问
  • 员工保密义务
  • 安全意识培训
  • 事件响应程序
  • 供应商安全评估
  • 定期安全政策审查

5.2 安全标准

Choiceform维护的安全措施:

(a) 考虑技术现状和实施成本; (b) 考虑处理的性质、范围、背景和目的; (c) 解决数据主体权利和自由的风险; (d) 提供与风险相适应的安全级别。

5.3 安全措施的更新

Choiceform可能不时更新安全措施,前提是:

(a) 更新不会导致安全降级; (b) 更新保持或增强保护级别; (c) 更新符合适用数据保护法律。

6. 子处理者

6.1 授权

客户授权Choiceform聘用子处理者处理个人数据,但须遵守本节中的条件。

6.2 当前子处理者

Choiceform的当前子处理者列表位于:[指定URL或参考]

子处理者可能包括以下提供商:

  • 云基础设施和托管服务
  • 数据库和存储服务
  • 电子邮件发送服务
  • 分析和监控工具
  • 客户支持平台
  • 安全服务

6.3 子处理者要求

Choiceform确保:

(a) 子处理者受书面协议约束,施加的数据保护义务不低于本DPA; (b) 子处理者实施适当的技术和组织措施; (c) 子处理者遵守适用数据保护法律; (d) Choiceform对子处理者的行为承担责任。

6.4 新子处理者通知

Choiceform将:

(a) 在聘用新子处理者之前至少提前30天通知; (b) 更新子处理者列表; (c) 允许客户基于合理的数据保护理由提出异议。

6.5 客户异议

如果客户反对新的子处理者:

(a) 客户必须在30天内通知Choiceform; (b) 双方将真诚合作寻找解决方案; (c) 如果未找到解决方案,客户可以终止受影响的服务。

7. 数据主体权利

7.1 请求协助

Choiceform将协助客户响应数据主体请求,包括以下请求:

(a) 访问个人数据; (b) 更正不准确的个人数据; (c) 删除个人数据("被遗忘权"); (d) 限制处理; (e) 反对处理; (f) 将数据移植到另一个控制者; (g) 不受自动化决策的影响。

7.2 请求处理

如果Choiceform直接收到数据主体请求:

(a) Choiceform将毫不拖延地转发给客户; (b) Choiceform不会直接响应,除非法律要求; (c) Choiceform将向客户提供合理的协助。

7.3 技术协助

Choiceform将向客户提供:

(a) 导出个人数据的工具访问权限; (b) 删除或修改个人数据的功能; (c) 履行数据主体请求的技术支持; (d) 关于个人数据处理活动的信息。

8. 数据保护影响评估和咨询

8.1 DPIA协助

应客户要求,Choiceform将提供合理协助:

(a) 数据保护影响评估(DPIA); (b) 与监管机构的事先咨询; (c) 提供关于处理活动的信息; (d) 评估风险和缓解措施。

8.2 信息提供

Choiceform将提供DPIA所需的信息,前提是此类信息:

(a) Choiceform可用; (b) 客户尚无法访问; (c) 对DPIA合理必要。

9. 数据保留和删除

9.1 活跃服务期

在协议期限内,Choiceform将根据提供Atomemo的需要保留个人数据。

9.2 终止后

协议终止或到期后,Choiceform将根据客户的选择:

(a) 在30天内删除所有个人数据;或 (b) 以常用格式将个人数据返还给客户。

9.3 例外情况

Choiceform可能保留个人数据:

(a) 在适用法律要求的范围内; (b) 在备份系统中最多90天; (c) 争议解决或法律程序所需的。

9.4 删除证明

应要求,Choiceform将提供个人数据已被删除或返还的书面证明。

10. 安全漏洞

10.1 漏洞通知

如果Choiceform意识到安全漏洞:

(a) Choiceform将毫不拖延地通知客户(可能时在72小时内); (b) 通知将包括有关漏洞的可用详细信息; (c) Choiceform将在调查进展时提供更新。

10.2 漏洞信息

漏洞通知将包括(在可用范围内):

(a) 漏洞的性质和受影响数据的类别; (b) 受影响数据主体的数量和类别; (c) 漏洞的可能后果; (d) 已采取或拟采取的措施以解决漏洞; (e) 获取更多信息的联系点。

10.3 调查和缓解

Choiceform将:

(a) 迅速调查安全漏洞; (b) 采取合理措施减轻危害; (c) 配合客户的调查; (d) 实施措施防止再次发生; (e) 为监管或法律目的保留证据。

10.4 客户义务

客户负责:

(a) 评估是否通知数据主体; (b) 根据要求通知监管机构; (c) 确定其他响应措施; (d) 管理与受影响个人的沟通。

11. 国际数据传输

11.1 数据存储位置

个人数据可能在以下位置存储和处理:

(a) 主要数据中心:[指定位置]; (b) 备份设施:[指定位置]; (c) 子处理者列表中列出的子处理者位置。

11.2 传输机制

对于欧洲经济区、英国或瑞士以外的传输,Choiceform依赖于:

(a) 欧盟委员会充分性决定; (b) 标准合同条款(SCCs); (c) 适用数据保护法律下的其他合法传输机制。

11.3 标准合同条款

在适用SCCs的情况下:

(a) SCCs被纳入并构成本DPA的一部分; (b) 客户是"数据出口方",Choiceform是"数据进口方"; (c) SCCs优先于本DPA中的冲突条款; (d) 适用欧盟SCCs的模块二(控制者到处理者)。

11.4 额外保障措施

Choiceform实施补充措施以保护传输的数据,包括:

(a) 传输中和静态时的强加密; (b) 严格的访问控制; (c) 与子处理者的合同承诺; (d) 定期安全审计和评估。

12. 审计和合规

12.1 审计权利

客户可通过以下方式审计Choiceform对本DPA的合规性:

(a) 审查Choiceform的安全文档和认证; (b) 提交有关数据处理实践的书面问题; (c) 进行现场审计(受第12.2节约束)。

12.2 现场审计

对于现场审计:

(a) 客户必须提前至少30天书面通知; (b) 审计限制为每年一次,除非监管机构要求; (c) 审计不得不合理地干扰Choiceform的运营; (d) 客户必须签署Choiceform的标准保密协议; (e) 客户承担审计的所有费用; (f) 审计必须在营业时间进行。

12.3 审计报告

Choiceform可通过提供以下内容满足审计权利:

(a) 第三方审计报告(SOC 2、ISO 27001等); (b) 安全认证和证明; (c) 对客户合理问题的书面答复; (d) 安全措施的书面证据。

12.4 补救

如果审计揭示不合规:

(a) Choiceform将与客户合作制定补救计划; (b) Choiceform将在合理时间框架内实施纠正措施; (c) Choiceform将提供补救进展的更新。

13. 与监管机构的合作

13.1 监管合作

Choiceform将:

(a) 根据法律要求与监管机构合作; (b) 协助客户响应监管询问; (c) 提供机构要求的信息(在允许的情况下); (d) 通知客户监管联系(除非法律禁止)。

13.2 监管询问

如果Choiceform收到监管机构的询问:

(a) Choiceform将迅速通知客户(除非被禁止); (b) Choiceform不会在未经客户批准的情况下披露个人数据(除非法律要求); (c) 客户可以选择直接向机构回应。

14. 责任和赔偿

14.1 GDPR责任

根据GDPR第82条:

(a) 每一方对因违反GDPR的处理造成的损害承担责任; (b) Choiceform仅对因其未能遵守专门针对处理者的GDPR义务而造成的损害承担责任; (c) 如果Choiceform证明其对导致损害的事件不负责任,则不承担责任。

14.2 责任限制

根据适用法律:

(a) Choiceform在本DPA下的总责任限于服务条款中规定的范围; (b) 任何一方均不对间接、后果性或惩罚性损害承担责任; (c) 这些限制不适用于法律不能限制的损害。

14.3 赔偿

每一方将就以下原因引起的第三方索赔赔偿另一方:

(a) 赔偿方违反本DPA; (b) 未能遵守适用数据保护法律; (c) 过失或故意不当行为;

前提是被赔偿方:(i) 及时通知赔偿方;(ii) 提供合理合作;和 (iii) 允许赔偿方控制辩护和和解。

15. 期限和终止

15.1 期限

本DPA自生效日期起生效,并持续至以下较早者:

(a) 协议终止; (b) 完成所有处理并删除个人数据。

15.2 终止的影响

终止后:

(a) 处理义务终止,除非删除/返还所需; (b) 根据第9节进行个人数据删除/返还; (c) 保密义务继续有效; (d) 旨在继续有效的条款(包括责任、赔偿)保持有效。

15.3 生存

以下条款在终止后继续有效:

  • 安全漏洞通知(如果漏洞在期限内发生)
  • 审计权利(对处理期的审计)
  • 责任和赔偿
  • 保密义务
  • 数据删除证明

16. 一般条款

16.1 优先顺序

在发生冲突的情况下:

(a) 本DPA优先于服务条款关于数据保护的规定; (b) SCCs优先于本DPA关于国际传输的规定; (c) 适用数据保护法律在要求的情况下优先于本DPA。

16.2 修订

Choiceform可以修订本DPA:

(a) 以遵守适用数据保护法律的变化; (b) 反映处理活动的变化; (c) 对于重大变更提前30天通知。

16.3 可分割性

如果任何条款被认定为无效或不可执行:

(a) 该条款将被修改至最小必要程度; (b) 其余条款保持完全有效; (c) 如有必要,双方将协商替代条款。

16.4 完整协议

本DPA与协议一起构成双方之间关于数据处理的完整协议。

16.5 通知

本DPA下的通知必须发送至:

Choiceform: support@choiceform.app 主题:"DPA通知"

客户: 与客户账户关联的电子邮件地址

通过使用Atomemo,客户同意本数据处理协议的条款。

© 2024-2025 Choiceform

有关本DPA的问题,请联系support@choiceform.app,主题行为"DPA咨询"。