DECODO 数据处理协议
UAB“Data troops”法人代码305893779,地址:立陶宛维尔纽斯市Svitrigailos街34号(“Decodo”)(以下简称数据处理方);
与本数据处理协议签约的自然人或法人(以下简称“数据控制者”);
以下统称为“双方”,单独称为“一方”,考虑到:
(A) 双方已达成合同安排,数据处理方同意向数据控制方提供订单表和/或许可协议中规定的服务及相关技术支持(以下简称“协议”);
(B) 在向数据控制方提供服务的过程中,数据处理方须代表数据控制方并为其利益处理个人数据;
(C) 根据欧洲议会和理事会2016年4月27日颁布的《欧盟条例(EU) 2016/679》(关于在处理个人数据方面保护自然人以及此类数据自由流动的条例,并废止指令95/46/EC)第28条第3款规定 (《通用数据保护条例》)(“GDPR”)规定,处理者进行的数据处理须受欧盟或欧盟成员国法律规定的合同或其他法律文书约束,该文书对处理者具有约束力,且须明确处理事项及期限、处理性质与目的、个人数据类型及数据主体类别,并载明控制者的义务与权利;
双方已达成本数据处理协议(“数据处理协议”),并同意如下条款:
1. 定义术语
1.1. 除非上下文另有规定,本数据处理协议(包括其序言和附件)中出现的专有名词均应具有以下定义:
术语
定义
个人数据
指与已识别或可识别的自然人有关的任何信息。可识别的自然人是指可通过直接或间接方式被识别的人,特别是通过参考姓名、身份证号、位置数据、在线标识符等标识符,或通过参考该自然人身体、生理、遗传、心理、经济、文化或社会身份的一个或多个特定因素来识别的人;
数据控制者
指任何已签署本协议并有权决定个人数据处理目的和方式的实体或个人;
数据处理器
指Decodo,其根据本数据处理协议代表数据控制者处理个人数据;
次级数据处理者
指由数据处理方聘用的第三方分包商,该分包商在提供服务的过程中,代表数据控制方处理个人数据;
抓取API服务和网站解锁器(服务)
指由Decodo提供的一个或多个自动化数据收集工具;
适用的数据保护法律
指在本数据处理协议有效期内任何时候适用于数据控制者或数据处理者的所有相关国家或国际数据保护法律法规,包括《通用数据保护条例》(GDPR)。
2. 主题事项
2.1. 数据控制方应作为数据控制方遵守所有适用数据保护法律,确保其对个人数据的处理及向数据处理方提供的任何指令均符合这些法律。
2.2. 数据控制方声明其已根据适用数据保护法律获得所有必要的隐私声明、同意及权利,以授权数据处理方处理个人数据并提供本协议及本数据处理协议所述服务。
2.3. 数据处理者应仅依据数据控制者的书面指示处理个人数据,包括涉及向第三国或国际组织转移个人数据的指示。除非适用数据保护法律另有要求,数据处理者不得在未获此类指示的情况下处理个人数据。若适用数据保护法律强制要求处理个人数据(包括向第三国或国际组织转移),数据处理方应在处理前告知数据控制方该法律要求,除非法律因重大公共利益原因禁止披露。
2.4. 数据处理方依据本数据处理协议处理个人数据时,应尽最大努力遵守适用数据保护法律。数据处理方应实施适当的技术和组织措施,确保其处理活动符合适用数据保护法律的要求,并保障数据主体的权利。
3. 数据控制者的数据处理说明
3.1. 数据处理方应仅依据数据控制方的书面指示处理个人数据,包括涉及向第三国或国际组织转移数据的指示。除非适用数据保护法律另有要求,数据处理方不得在未获此类指示的情况下处理个人数据。
3.2. 若特定情形下缺乏数据处理指示,或指示违反本数据处理协议及适用数据保护法,数据处理者应立即通知数据控制者。数据处理者不得采取任何可能导致数据控制者违反适用数据保护法的行为。
3.3. 数据控制者授权数据处理者代表其与分包处理者签订协议,以履行数据处理者在本数据处理协议项下的义务。数据处理者应为此目的维护一份当前使用的分包处理者名单。数据控制者可通过书面请求获取该名单副本,以审查数据处理者当前聘用的分包处理者。
3.4. 数据控制者向数据处理者发出的指令如下,其中明确规定了处理事项、处理期限、处理性质、处理目的以及数据类型和数据主体类别:
术语
定义
主题内容
向数据控制者提供抓取API及网站解锁服务(以下简称“服务”)
处理的性质与目的
数据处理方仅为提供服务及任何相关服务(如有)之目的处理个人数据,具体内容详见《数据处理协议》
数据主体的类别
在使用服务及相关服务(如有)时,其个人数据由数据控制者处理的个人
个人数据类型
数据控制者在使用服务及相关服务(如有)时处理的个人相关数据
处理时长
在数据控制者使用服务及相关服务(如有)期间
4. 数据安全
4.1. 数据处理方应保护个人数据免遭破坏、修改、未经授权的传播、非法访问及所有其他形式的非法处理。数据处理方应根据技术现状、实施成本以及处理的性质、范围、背景和目的,采取适当的技术和组织措施,以减轻对个人权利和自由的风险。
4.2. 未经数据控制者事先书面同意,数据处理者不得向任何第三方披露或提供依据本数据处理协议处理的个人数据,但根据本协议聘用的次级处理者除外。
4.3. 数据处理者应限制仅允许因履行本协议直接工作职能所需的员工访问个人数据。此类员工应承担与数据处理方同等的保密义务。
4.4. 数据处理方应立即向数据控制方通报任何意外或未经授权访问个人数据的行为及其他安全事件(个人数据泄露),并采取一切必要措施协助处理该情况。
5. 协调
5.1. 数据处理方应合理协助数据控制方履行其在适用数据保护法项下的法律义务,包括但不限于数据控制方响应数据主体关于个人数据的信息查询、更正、封锁或删除请求的义务。
5.2. 对于数据主体、主管机关或任何其他第三方就本数据处理协议所涉个人数据处理事宜向数据处理方提出的任何请求,数据处理方应立即将该等请求转交数据控制方。
5.3. 经双方同意,数据控制者有权以其数据控制者身份采取合理措施,核实数据处理者能否履行本数据处理协议项下义务,并确认数据处理者已实施必要措施确保合规。
5.4. 经双方同意且在合理范围内,数据处理方应协助数据控制方进行数据保护影响评估、事前咨询及其他与数据保护机构的沟通事宜。
6. 最终条款
6.1. 除非本数据处理协议另有定义,其中使用的所有术语均具有协议中赋予的相同含义。
6.2. 本数据处理协议的条款应适用于数据处理方处理数据控制方作为数据控制方的个人数据期间。
6.3. 本数据处理协议终止时,数据处理方应遵照数据控制方的指示,删除或向数据控制方返还所有个人数据,并确保任何分包处理方采取相同措施。
6.4. 本数据处理协议构成协议不可分割的组成部分。任何未在本协议中明确规制的事项,均应适用协议条款。
最后更新时间:2025年4月22日。