数据处理协议 EasySIGN

本数据处理协议构成本协议不可分割的一部分。 用户在协议中对个人数据负责（“控制者”）。 EasySIGN BV 是个人数据的协议处理器（“处理器”）。 在此之后，双方将被称为控制器或处理器。

鉴于

双方同意控制器使用处理器作为 EasySIGN 图形制作软件的软件供应商。 处理者在协议执行的背景下处理控制者的个人数据。

为了使双方能够以符合法律的方式履行其关系，双方签订了本数据处理协议（“DPA”），如下：
 

1。 定义

为本 DPA 的目的：  

“适用的数据保护法”	: 保护个人基本权利和自由的立法，特别是他们在处理个人数据方面的隐私权，该立法适用于控制者和处理者； 适用数据保护法一词还包括 GDPR；
“控制器”	: 上述EasySIGN客户，作为自然人或法人，单独或与他人一起确定处理个人数据的目的和方式；
“GDP是”	: 欧洲议会和理事会关于在处理个人数据和此类数据的自由流动方面保护自然人的条例 (EU) 2016/679，于 25 年 2018 月 XNUMX 日生效；
“国际组织”	：受国际公法管辖的组织及其附属机构，或由两个或多个国家之间的协议或根据协议设立的任何其他机构；
“会员国”	：属于欧盟的国家；
“个人资料”	：与已识别或可识别的自然人（数据主体）有关的任何信息；
“数据主体”	: 一个可识别的人，可以直接或间接识别，特别是通过诸如姓名、识别号码、位置数据、在线识别符等标识符或身体、生理、遗传特征的一个或多个元素，该自然人的精神、经济、文化或社会身份；
“个人数据泄露”	: 导致意外或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据的安全漏洞；
“处理/处理”	：对个人数据或个人数据集执行的任何操作或一组操作，无论是否通过自动方式，例如收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用、披露通过传输、传播或以其他方式提供、对齐或组合、限制、删除或破坏；
“处理器”	：EasySIGN BV，代表控制者处理个人数据；
“客户与客户之间的协议 进入时的 EasySIGN 订阅”	：控制者与处理者之间达成的主要协议，规定了提供服务的条件；
“服务”	：处理者向控制者提供的服务，并在本 DPA 附录 1 中的“处理对象”中进行了描述；
“特殊类别的个人数据”	: 揭示种族或民族血统、政治观点、宗教或哲学信仰或工会成员身份的个人数据； 处理遗传数据和生物特征数据以唯一识别自然人、有关健康的数据或有关自然人性生活或性取向的数据；
“子处理器”	：由处理者聘请的数据处理者，声明其愿意从处理者处接收个人数据，仅用于处理活动，必须按照其指示、本 DPA 的条件和书面子条款的条件为控制者执行-处理协议；
“监管机构”	: 成员国根据 GDPR 第 51 条设立的独立公共机构；
“技术和组织   安防措施”	：旨在保护个人数据免受意外破坏或意外丢失、更改、未经授权的披露或访问的措施，特别是在处理涉及通过网络传输数据的情况下，以及防止所有其他非法形式的处理；
“第三国”	：欧盟委员会尚未决定该国或该国的一个地区或一个或多个特定部门保证足够水平的数据保护的国家。

2. 处理细节

处理者作为数据处理者为控制者执行的处理活动的详细信息（例如处理的主题、性质和目的、个人数据的类型和类别）数据主体）在本 DPA 的附录 1 中列出。

3. 控制者的权利和义务

控制者已指示处理者，并应在已发出指示的数据处理期间继续指示处理者仅为控制者处理个人数据，并根据适用的数据保护法、协议客户和 EasySIGN 之间关于订阅、本 DPA 和控制器的说明。 在一般情况和个别情况下，控制者有权并有义务向处理者发出处理个人数据的指示。 指示还可能涉及个人数据的更正、删除和阻止。 指示通常以书面形式提供，除非紧急情况或其他特定情况需要不同的形式（例如口头或电子）。 控制器应立即以书面形式确认非书面指示。 只要执行指令导致处理者产生费用，处理者应首先通知控制者这些费用。 只有在控制器确认其负责执行该指令的费用后，处理器才应执行该指令。

4. 处理者的义务

处理器将：

1. 仅按照控制者的指示并代表控制者处理个人数据； 此类说明在客户与 EasySIGN 签订订阅时的协议中、本 DPA 以及上述第 3 条所述的其他书面形式中给出。 遵守控制者指示的义务也适用于将个人数据传输到第三国或国际组织；
2. 如果处理器因任何原因无法遵守控制器的指令，请立即通知控制器；
3. 确保由处理者授权代表控制者处理个人数据的人员承诺遵守保密义务，或者这些人员承担适当的保密义务，并且有权访问个人数据的人员将处理这些个人数据符合控制者指示的数据；
4. 在处理个人数据之前，实施符合附录 2 中进一步规定的适用数据保护法要求的技术和组织安全措施，并确保就这些技术和组织安全措施向控制者提供充分的保证；
5. 在可行的范围内，通过适当的技术和组织措施协助控制者履行控制者的义务，以响应数据主体在信息、访问、更正和删除、处理限制方面行使权利的请求、通知、数据可移植性、提出异议和自动决策； 只要这些可行的技术和组织措施需要对附录 2 中提到的技术和组织措施进行更改或更改，处理者将通知控制者实施这些附加或更改的技术和组织措施的成本。 一旦控制者确认这些费用由他承担，处理者将实施这些额外或更改的技术和组织措施，以协助控制者确保遵守数据主体的请求；
6. 向控制者提供所有必要的信息，以证明遵守本 DPA 和 GDPR 第 28 条规定的义务，并允许和协助审计，包括由控制者或控制者授权的其他审计员进行的检查。 控制者意识到亲自和现场审计可能会严重扰乱处理者的业务运营，花费大量资金并且耗时。 因此，只有在补偿处理者由于其业务运营中断而产生的费用的情况下，控制者才可以亲自和现场进行审计；
7. 立即通知控制器：
   i.

   执法机构披露个人数据的任何具有法律约束力的请求，除非另有禁止通知，例如根据刑法禁止保护执法调查的机密性；
   II。

   直接从数据主体收到的投诉和请求（例如，与访问、更正、删除、处理限制、通知、数据可移植性、反对数据处理和自动决策有关的投诉和请求）而不进一步处理该请求除非另有授权这样做；
   III。

   如果处理者有义务根据欧盟立法或适用于其的成员国立法处理超出控制者指示范围的个人数据，则在超出该范围进行处理之前，除非欧盟立法或立法该成员国出于公共利益的令人信服的原因禁止该信息； 通知必须具体说明该欧盟立法或成员国立法的法定要求；
   IV。

   如果处理者认为指令违反适用的数据保护法； 如果它发出该通知，则处理器没有义务遵循该指令，除非并且直到控制器已确认或更改它； 和
   v.

   一旦处理者发现个人数据泄露，在不超过 24 小时内。 如果发生此类个人数据泄露，处理者应根据控制者的书面请求，协助控制者履行适用数据保护法规定的义务，向数据主体或监管机构报告违规行为，并记录个人数据泄露. 与报告有关的联系方式记录在客户服务系统中。 联系人列于本协议附件；
8. 根据 GDPR 第 35 条的要求，协助控制者进行数据保护影响评估，该评估涉及处理者向控制者提供的服务以及处理者为控制者处理的个人数据；
9. 处理与处理个人数据相关的控制者的所有问题（例如，使控制者能够迅速回应数据主体的投诉或请求）并遵守监管​​机构关于处理传输的数据的建议数据;
10. 只要它有义务并被要求更正、删除和/或阻止根据本 DPA 处理的个人数据，请立即执行此操作。 如果由于法定数据保留要求而无法删除个人数据，则处理者应限制对个人数据的进一步处理和/或使用，而不是删除相关的个人数据，或从个人数据中删除相应的身份（“阻塞”）。 如果此类阻止义务适用于处理者，则处理者应在不迟于保留期结束的日历年的最后一天删除相关个人数据。

 

5. 子处理

 

1. 控制者允许使用处理者为提供服务而聘请的子处理者。 控制者批准分处理者在以下方面：

   Web鲸鱼	Woocommerce 网上商店
   HubSpot的	客户关系管理
   Copernica	客户关系管理
   队长	客户关系管理
   U-数字	营销服务商
   Hotjar	上网行为记录工具
   莫利	支付服务提供商
   精确在线	基于云的簿记
   Libra 服务自动化	电脑服务商
   Microsoft Office 365中	基于云的电子邮件和电子表格
   维布	基于云的许可证管理器
   谷歌	Google Analytics

   他们提供的处理协议已与这些方签订。
2. 如果处理者打算聘请新的或更多的子处理者，处理者将确保 EasySIGN“隐私政策”（https://www.easysign.com/about-us/privacy-policy/) 已更新。 控制器确保定期咨询 EasySIGN“隐私政策”。 如果控制者有合理理由反对使用新的或更多的子处理者，则控制者必须在收到通知子处理者的 14 天内立即以书面形式通知处理者。 如果控制者反对新的或不同的子处理者，并且保留并非不合理，处理者将尽合理努力对控制者可用的服务进行更改，或建议对控制者或由服务的控制者使用，以防止已提出异议的新的或不同的子处理者处理个人数据，而不会给控制者带来不合理的负担。 如果处理者无法在合理的时间段内提供该更改，这段时间不会超过六十 (60) 天，则控制者可以终止“条款和条件”中受影响部分的相关部分（https://www.easysign.com/about-us/general-terms-and-conditions/)，但是，仅针对那些在不使用新的或不同的子处理者的情况下无法由处理者提供的服务，该子处理者已通过书面通知向处理者提出异议。
3. 处理者应以合同方式对所有子处理者施加与本 DPA 中包含的相同的数据保护义务。 处理者和子处理者之间的协议必须为附录 2 中规定的技术和组织安全措施的实施提供充分保证，只要这些技术和组织安全措施对子处理者提供的服务很重要.
4. 处理器非常谨慎地选择子处理器。
5. 如果此类子处理者位于第三国，则处理者应根据控制者的书面请求，根据委员会决定，代表控制者（以控制者的名义）签订欧盟示范合同（控制者 > 处理者） 2010/87/欧盟。 在这种情况下，控制者指示并授权处理者以控制者的名义向子处理者发出指令，并根据欧盟示范合同执行控制者对子处理者的所有权利。
6. 如果子处理者未能履行其义务，则处理者仍对控制者负责履行子处理者的义务。 但是，对于因控制器对子处理器的指示而引起的任何损害/损失和索赔，处理器不承担任何责任。

 

6。 责任限制

由本 DPA 引起或与之相关的所有责任均遵循“条款和条件”中规定的或适用于“条款和条件”的责任规定，并仅受其管辖。 因此，为了计算责任限制和/或确定其他责任限制的应用，根据本 DPA 产生的任何责任应被视为根据相关“条款和条件”产生。

7. 期限和终止

1. 本 DPA 的期限与相关“条款和条件”的期限相同。 除非本协议另有规定，终止领域的权利和义务与相关“条款和条件”中规定的相同。
2. 处理者将应控制者的第一次请求，在服务提供结束后删除或返回控制者所有个人数据，并删除所有现有副本，除非处理者有义务根据欧盟或成员保留此类个人数据国家法律。

 

8。 杂项

1. 如果本 DPA 的规定与双方之间的任何其他协议发生冲突，则在双方的数据保护义务方面应以本 DPA 的规定为准。 如果对其他协议中的条款是否与双方的数据保护义务相关存在疑问，应以本 DPA 为准。
2. 本 DPA 任何条款的无效或不可执行不应影响本 DPA 其余条款的有效性或可执行性。 无效或不可执行的条款被 (i) 以保证其有效性或可执行性的方式进行修改，同时尽可能地保留双方的意图，或者 - 如果不可能 - (ii) 就好像无效或不可执行的部分从未包含在其中。 如果本 DPA 包含遗漏，上述内容也适用
3. 本 DPA 受与客户与 EasySIGN 签订订阅时的协议相同的法律管辖，除非强制性适用数据保护法适用。
4. 本处理协议受荷兰法律约束。 任何有关其实施的争议将提交给埃因霍温的主管法院

   

全名：	保罗·斯科夫斯
位置：	总经理
地址：	Melkweg 5, 5527 CZ 哈珀特
日期：	21 2022三月

 

附件 1 – 数据主体类别

传输的个人数据涉及以下类别的数据主体：

• 公司
• 客户的客户
• 员工
• 供应商

 

处理对象

使用软件进行标志和其他图形制作的设计和制造。

处理的性质和目的

处理者代表控制者收集、存储、处理和使用数据主体的个人数据，以执行协议，包括：

• 管理任务、会议和电话；
• 将个人数据添加到 CRM 工具中，用于跟进电子邮件、管理联系人和公司；
• 跟进销售流程；
• 发票；
• 时间登记；
• 支持票的创建和管理（包括其统计）
• 目标创建和管理
• 网络语音

 

个人资料类型

处理者代表控制者收集、处理和使用的个人数据涉及以下类别的个人数据：使用数据和联系方式，更具体地说： 废止:

• 所需的订阅；
• 用户名;
• 密码;

  您的订单:

• 名字和姓氏;
• 电话号码;
• 电子邮件地址;
• 福尔库塔尔；

  您的公司详细信息:

• 公司名称;
• 发票地址;
• 邮政编码和城市；
• 国家;
• 电子邮件地址;
• 增值税号；

  付款细节:

• IBAN 和归属。

安全漏洞联系人

这将是被指定为协议联系人的人。 这可以通过登录到 www.EasySIGN.com 在“我的详细信息”下。

与处理器联系

合规与隐私经理：EasySIGN BV、Paul Schoofs 支持@easysign.com

附件 2 – 安全措施表

处理者根据适用的数据保护法实施的技术和组织安全措施的描述：本附录描述了处理者必须至少维护的技术和组织安全措施和程序，以保护创建、收集、接收的个人数据的安全，或以其他方式获得。

总类

在签订服务协议时，技术和组织措施可被视为最先进的。 处理者将随着时间的推移评估技术和组织措施，同时考虑到实施成本、性质、范围、背景和处理目标，以及自然人权利和自由的概率和严重程度不同的风险。

详细技术措施

  使用密码对 EasySIGN 系统进行逻辑访问控制：

• 所有 EasySIGN 员工都了解并警惕“社会工程”；

  EasySIGN 24/7 全天候监控其系统：

• 每五分钟测量一次可用性。
• EasySIGN（虚拟）服务器的监控由合格的运营工程师和开发人员团队进行，可以根据每台机器和每项服务测量它们是否可用以及它们是否提供了满足约定服务级别所需的性能。 警报通过 Whatsapp 和电子邮件进行。

根据客户的配置，EasySIGN 通常部分在云中工作。 这意味着登录许可证需要 Wibu Systems（分包商 Claranet GmbH）和 Webwhales Woocommerce 的数据中心的可用性。 客户许可证访问系统的操作和可用性不依赖于我们位于 Hapert 的办公室的本地服务器。 EasySIGN 使用 SSL 安全协议。 有适当和最新的机制来检测和处理恶意软件，包括计算机病毒。 只有授权人员才能访问个人数据。 员工有严格的保密义务，这已包含在雇佣合同中。 该大楼设有警报系统，并在办公时间以外 24/7 全天候监控。 在办公时间内，门是关闭的，只有通过预约并在 EasySIGN 员工的指导下才能进入。

日志文件

  所有用户操作都会被无限期地记录和存储。 日志由以下组件组成：

• 接收邮件：所有发送到 EasySIGN 的邮件
• EasySIGN 网站和软件：用户使用 EasySIGN 执行的所有操作以及由此导致的所有错误；

  日志中存在以下个人数据：

• 用户名
• 计算机名
• 用户ID
• IP地址
• 电子邮件地址/完整的电子邮件

有了这些数据，就可以找出这个用户是谁以及这个人做了什么。 EasySIGN 将“文档工作流程状态”无限期地存储在日志文件中，因此也无限期地存储它。 在此日志中，您可以随时查看对文档执行了哪些操作，例如授予许可、更改名称、打开、删除、拆分、分组、导出、绘图、错误消息等操作。此日志数据存储在生产服务器上在日志数据库中。 这是与 WooCommerce 网上商店数据库不同的数据库。