重要提醒:谷歌和雅虎將從2024年2月開始要求DMARC。

數據處理協定

版本 2.1.0

雙方:

  • 註冊PowerDMARC的註冊組織,在此進一步稱為 “控制者”。

  •  MENAINFOSEC, Inc,其註冊辦事處和主要營業地點位於美國特拉華州,在此稱為「處理者」;

序言:

  1. 控制者已與處理者簽訂了一項或多項協定,以便處理者向控制者提供各種服務,或將簽訂此類協定。本協定或這些協定在本協定中進一步稱為「主協定」。
  2. 在執行主協定時,處理者將處理控制者負責的數據。這些數據包括《通用數據保護條例》(EU 2016/679)意義上的個人數據,以下簡稱“GDPR”。
  3. 考慮到GDPR第28條第3款的規定,雙方希望在本協定中規定處理這些個人數據的條件。

協定:

  • 範圍
    1. 本協定適用於在提供主協定項下的服務時執行的一項或多項處理操作,這些操作包含在附件 1 中。
    2. 在提供服務時進行的附件1的處理操作在此進一步稱為:「處理操作」。。在此方面處理的個人數據是:“個人數據”。
    3. 本協定中的所有概念均具有GDPR中賦予它們的含義。
    4. 如果根據控制者的指示處理更多和其他個人數據,或者如果它們被處理在本條款中未描述的情況下,則本協定也盡可能適用於這些處理操作。
    5. 附件構成本協定的一部分。它們包括:

附件 1 處理操作、個人數據和保留期限;

  • 主題
    1. 控制者擁有並保留對個人數據的完全控制權。如果控制者不使用處理者的系統自行處理個人數據,則處理者將僅根據控制者的書面指示進行處理,例如,關於將任何個人數據傳遞給歐盟以外的第三方。在這方面,《主要協定》被視為一般性指示。
    2. 處理操作僅在與主協定相關的情況下進行。除主協議規定外,處理者不得處理個人數據。特別是,處理者不得將個人數據用於其自身目的。
    3. 處理者將以適當的方式和適當的謹慎執行處理操作。
  • 安全措施
    1. 處理者應採取GDPR要求他採取的所有技術和組織安全措施,特別是根據GDPR第32條。
    2. 處理者應確保參與處理者處理操作的人員(不限於員工)有義務遵守有關個人數據的機密性。
  • 數據洩露 和隱私影響評估
    1. 處理者應將 GDPR第12條第4款中的任何個人數據洩露通知控制者。此類違規行為在下文中稱為:「數據洩露」。
    2. 處理者將在適當的時候向控制者提供他所擁有的所有資訊,這些資訊是履行GDPR第33條義務所必需的。就此而言,處理者必須儘快以處理者確定的標準格式提供相應的資訊。這意味著,如果數據洩露顯然可能對自然人的權利和自由造成風險,則處理者應儘快將數據洩露通知控制者。如果數據洩露顯然不太可能對自然人的權利和自由構成風險,則允許處理者稍後通知控制者,前提是通知不得無故拖延。如果有理由懷疑數據洩露是否可能對自然人的權利和自由造成風險,處理者應儘快將數據洩露通知控制者。
    3. 完全由控制者決定是否向荷蘭個人數據管理局和/或數據主體報告在處理者處發現的數據洩露。
  • 次級處理者的參與
    1. 在執行處理操作時,未經控制者事先同意,處理者無權聘請第三方作為次級處理者。控制者的同意也可能與特定類別的子處理者有關。
    2. 如果控制者同意,處理者必須確保相應的第三方簽訂合約,在該協定中,他至少遵守與處理者在本協定項下相同的法律義務和任何其他義務。
    3. 如果同意涉及某種類型的第三方,處理者應將其聘用的子處理者告知控制者。然後,控制者可以反對添加或替換有關處理者的子處理者。
  • 保密義務
    1. 處理者將對個人數據保密。處理者確保個人數據不會直接或間接提供給任何第三方。“第三方”一詞還包括處理者的人員,只要他們沒有必要注意個人數據。如果本協議中規定了相反的規定和/或法定法規或判決要求進行任何披露,則此禁令不適用。
    2. 除非法律禁止處理者這樣做,否則處理者應通知控制者數據主體以外的任何一方違反本條款中包含的保密義務的訪問、提供或其他形式的請求和通信個人數據的請求。如果數據主體提出請求,處理者應將這些請求轉發給控制者,或將數據主體轉介給控制者。
  • 保留期和刪除
    1. 控制者負責確定個人數據的保留期限。只要個人數據在控制者的控制之下(例如,在託管服務的情況下),他將在適當的時候自行刪除它們。
    2. 在主協定終止的情況下,或者處理者應在附件 1 中提到的保留期屆滿後刪除個人數據,由控制者自行決定將其轉移給他,除非個人數據必須保留更長時間,例如與處理者的(法定)義務有關,或者如果控制者要求將個人數據保留更長時間並且處理者和控制者達到就較長保留期的費用和其他條件達成一致,儘管財務主任有責任遵守法定保留期。向控制者的任何轉移均由控制者承擔費用。
    3. 如果控制者通過受保護的登錄請求帳戶和數據刪除,則處理者應在帳戶和數據刪除請求后三十天內刪除個人數據,由控制者自行決定將其轉移給他,除非個人數據必須保留更長時間,例如與處理者的(法定)義務有關, 或者,如果控制者要求將個人數據保留更長時間,並且處理者和控制者就更長時間保留的成本和其他條件達成一致,則後者儘管控制者有責任遵守法定保留期限。向控制者的任何轉移均由控制者承擔費用。
    4. 處理者應控制者的要求聲明上一段中所指的刪除已經發生。財務總監可以自費核實這是否確實發生過。本協定第10條適用於該驗證。在必要時,處理者應將主協定的任何終止通知所有參與處理個人數據的次級處理者,並指示他們按照其中的規定行事。
    5. 除非雙方另有約定,否則控制者本人將負責個人數據的備份。
  • 數據主體的權利 
    1. 如果控制者本人可以訪問個人數據,他本人應遵守數據主體與個人數據有關的所有請求。處理者應立即將處理者收到的任何請求傳遞給控制者。
    2. 只有當上一段中的意圖無法實現時,處理者才會在適當的時間內與控制者充分合作,以便:
    3. 在獲得控制者的批准並按照控制者的指示后,向數據主體提供對其各自個人數據的訪問許可權,
    4. 刪除或更正個人數據,
    5. 如果個人數據不正確,則證明個人數據已被刪除或更正(或者,如果控制者不同意個人數據不正確,則記錄數據主體認為其個人數據不正確的事實)
    6. 以結構化、通常和機器可讀的形式向控制者或控制者指定的第三方提供相應的個人數據,以及
    7. 使控制者能夠以其他方式遵守其在處理個人數據領域的GDPR或其他適用法律規定的義務。
    8. 前款所稱合作的費用和要求由雙方共同決定。如未就此達成任何協議,費用將由財務主任承擔。
  • 責任
    1. 例如,控制者負責並據此對處理操作、個人數據的使用和內容、向第三方的提供、個人數據的存儲期限、處理方式以及為此目的採用的手段承擔全部責任。
    2. 按照主協議的規定,處理者對控制者負責。 驗證
      1. 財務總監有權每年自費核實對本協議條款的遵守情況,或由獨立的註冊審計師或註冊資訊學專業人員進行核實。
      2. 處理者應向控制者提供所有必要的資訊,以證明已遵守GDPR第28條中的義務。如果控制者聘請的第三方發出的指令在處理者看來構成違反GDPR的行為,則處理者將立即通知控制者。
      3. 對控制者的調查將始終限於用於處理操作的處理者的系統。在驗證過程中獲得的信息應由控制者保密處理,並且僅用於驗證處理者是否遵守本協定項下的義務,並且資訊或其部分將儘快刪除。控制者保證,任何參與的第三方也將承擔這些義務。
    3. 其他規定
      1. 對本協定的任何修訂只有在雙方書面同意的情況下才有效。
      2. 雙方將根據任何修訂或補充的法規、相關當局的補充指示以及對GDPR應用的更多瞭解(例如,但不限於判例法或報告)、標準條款的引入和/或其他需要此類調整的事件或見解來調整本協定。
      3. 只要主協定有效,本協定就有效。本協議的條款在本協議的解決所必需的範圍內仍然有效,並且在本協定終止後繼續有效。最後一類規定包括但不限於有關保密和爭議的規定。
      4. 本協定優先於控制者和處理者之間的所有其他協定。
      5. 本協定僅受荷蘭法律管轄。
      6. 雙方將僅將與本協議有關的爭議提交阿姆斯特丹地方法院。

附件1

個人數據的處理操作和保留期限

本附件構成處理協定的一部分,必須由雙方草簽。

  • 雙方希望處理的個人數據:
    • 名字
    • E-mail位址
    • DMARC取證數據的身體數據(RUF,不符合 DMARC 的電子郵件)
  • 個人數據的使用(=處理方法)以及處理的目的和資源:
    • PowerDMARC處理傳入的DMARC報告。在DMARC規範中,有兩種類型的報告。
      • 匯總報表
        這些報告包含有關您的網域每天針對某個IP位址發送的郵件數量的數據,包括針對這些郵件的SPF和 DKIM 檢查結果。匯總報告不包含個人數據。
      • 取證報告
        取證報告由有限數量的 DMARC報告 發送者發送。這些是未通過 DMARC 檢查的特定郵件的副本。這些郵件的內容可以包含個人身份資訊 (PII)。PowerDMARC提供了幾種存儲這些資訊的方法。

        • 默認值:預設情況下,郵件正文被剝離,僅存儲標頭
        • 加密:用戶端可以在PowerDMARC軟體中上傳一個公共PGP密鑰。整個傳入消息將使用此金鑰進行加密。用戶端能夠使用其私鑰和密碼解密數據。
        • 未加密:在具體確認並接受PowerDMARC作為數據處理者后,客戶將能夠將未加密的完整消息正文存儲在PowerDMARC軟體中。

(各種類型)個人數據的使用條款和保留期限:

  • 許可證:除基本免費版本外的所有許可證
  • 數據保留:365 天