重要提示:谷歌和雅虎将从 2024 年 2 月起要求使用 DMARC。

数据处理协议

2.1.0版

各方。

  • 签署PowerDMARC的注册组织,在此进一步称为"控制器"。

而且

  •  MENAINFOSEC公司的注册办事处和主要营业地点在美国特拉华州,在此被称为 "处理器"。

序言。

  1. 控制器已经与处理器签订了一份或多份协议,由处理器向控制器提供各种服务,或将签订此类协议。本协议或这些协议在此进一步被称为 "主协议"
  2. 在执行主协议时,处理器将处理控制器负责的数据,并且仍然负责。这些数据包括《一般数据保护条例》(EU 2016/679)意义上的个人数据,以下简称"GDPR"。
  3. 考虑到GDPR第28条第3款的规定,双方希望在本协议中规定处理这些个人数据的条件。

协议。

  • 范围
    1. 只要在提供主协议规定的服务时,进行了一项或多项附件1所列的处理业务,本协议就适用
    2. 在提供服务过程中进行的附件1的处理业务在此进一步被称为:"处理业务"。在这方面所处理的个人数据是。个人资料'。
    3. 本协议中的所有概念都具有GDPR中赋予它们的含义。
    4. 如果更多的和其他的个人数据是根据控制人的指示进行处理的,或者是以本条款中描述的其他方式进行处理的,本协议也尽可能地适用于这些处理业务。
    5. 附件构成本协议的一部分。它们包括:

附件1处理业务、个人数据和保留期限。

  • 主题
    1. 控制器拥有并保留对个人数据的完全控制权。如果控制人不通过使用处理器的系统来处理个人资料,处理器将完全根据控制人的书面指示进行处理,例如,将任何个人资料传递给欧盟以外的第三方。在这方面,主协议被认为是一个通用的指示。
    2. 处理业务仅在与主协议有关的情况下进行。除主协议规定的情况外,处理器不得处理个人数据。特别是,处理人不得为自己的目的使用个人数据。
    3. 处理器将以正确的方式和适当的谨慎来执行处理业务。
  • 安全措施
    1. 处理器应采取GDPR要求的所有技术和组织安全措施,特别是根据GDPR第32条。
    2. 处理器应确保在处理器参与处理业务的人员(不限于雇员)有义务遵守有关个人资料的保密规定。
  • 数据泄露 & 隐私影响评估
    1. 处理器应将GDPR第12条第4款所指的任何 "个人数据泄露 "通知控制器这种违规行为在下文中被称为:"数据违规"。
    2. 处理人将在适当的时间内向控制人提供他所掌握的、为履行GDPR第33条的义务所必需的所有信息为此,处理器必须尽快以处理器确定的标准格式提供相关信息。这意味着,如果数据泄露显然可能导致对自然人的权利和自由的风险,处理器应尽快通知控制器。如果数据泄露显然不可能对自然人的权利和自由造成风险,则允许处理者在稍后的时间通知控制者,但通知的时间不得无故拖延。如果有理由怀疑数据泄露是否可能导致对自然人的权利和自由的风险,处理器应尽快将数据泄露的情况通知控制器。
    3. 完全由控制人决定是否向荷兰个人数据管理局和/或数据主体报告在处理器中建立的数据泄露。
  • 子处理者的参与
    1. 在执行处理业务时,未经控制人事先同意,处理人无权聘请第三方作为子处理人。控制器的同意也可以与某类次级处理人有关。
    2. 如果控制器同意,处理器必须确保各自的第三方签订一份协议,其中他至少遵守与处理器在本协议下的相同的法律义务和任何额外的义务。
    3. 如果同意与某类第三方有关,处理器应将其聘用的次级处理人告知控制器。然后,控制器可以反对增加或替换处理器的次级处理人。
  • 保密义务
    1. 处理器将对个人数据进行保密。处理器确保个人数据不会直接或间接提供给任何第三方。第三方一词也包括处理人的工作人员,只要他们没有必要注意到个人数据。如果本协议中有相反的规定和/或法定条例或判决要求披露,则这一禁止规定不适用。
    2. 处理人应将数据主体以外的任何一方提出的访问、提供或以其他形式请求和交流个人资料的请求告知控制器,除非法律禁止处理人这样做,否则违反本条款所包含的保密义务。在数据主体提出要求的情况下,处理器应将这些要求转交给控制器,或将数据主体转交给控制器。
  • 保留期和删除
    1. 控制器负责确定有关个人数据的保留期限。只要个人数据在控制器的控制之下(例如在托管服务的情况下),他将在适当的时间内自行删除这些数据。
    2. 在主协议终止的情况下,或在附件1中提到的保留期结束后,处理器应删除个人资料,由控制器酌情将其转移给他,除非个人资料必须保留更长的时间,例如与处理器的(法定)义务有关,或如果控制器要求个人资料保留更长的时间,并且处理器和控制器就更长的保留时间的费用和其他条件达成协议,尽管控制器有责任遵守法定保留期,但后者仍是如此。任何向控制方的转移都是由控制方承担费用的。
    3. 如果控制器通过受保护的登录方式要求删除账户和数据,处理器应在账户和数据删除请求后30天内删除个人资料,由控制器决定将其转移给他,除非个人资料必须保留更长时间,例如与处理器的(法定)义务有关,或者如果控制器要求个人资料保留更长时间,并且处理器和控制器就该更长时间保留的费用和其他条件达成协议,尽管控制器有责任遵守法定保留期,但后者也是如此。任何向控制方的转移都是由控制方承担费用的。
    4. 处理人将应控制人的要求,说明已经进行了上段所述的删除。控制器可以自费核实是否真的发生了。本协议第10条适用于该核查。在必要的情况下,处理人应将主协议的任何终止通知所有参与处理个人数据的子处理人,并指示他们按照主协议的规定行事。
    5. 除非各方另有约定,控制人自己将负责备份个人资料。
  • 数据主体的权利 
    1. 如果控制人自己可以接触到个人资料,他本人应遵守数据主体提出的与个人资料有关的所有要求。处理器应立即将其收到的任何请求转交给控制器。
    2. 只有在上段所述的情况不可能发生时,处理器才会在适当的时间内与控制器充分合作,以:
    3. 在得到控制人的批准和指示后,向数据主体提供对其各自的个人数据的访问。
    4. 删除或纠正个人数据。
    5. 证明个人资料已被删除或更正(如果控制人不同意个人资料不正确,则记录资料当事人认为其个人资料不正确的事实)。
    6. 以结构化的、通常的和机器可读的形式向控制人或控制人指定的第三方提供各自的个人数据,并且
    7. 使控制人能够以其他方式遵守GDPR或其他适用法律规定的处理个人数据的义务。
    8. 上段所述的合作的费用和要求由双方共同决定。如果没有这方面的任何协议,费用将由控制人承担。
  • 责任
    1. 例如,控制人负责,并因此对处理业务的(规定的目的)、个人数据的使用和内容、向第三方提供、个人数据的存储期限、处理方式和为此目的采用的手段承担全部责任。
    2. 按照主协议的规定,处理器对控制器负责。 验证
      1. 财务主任有权每年一次自费核查本协议规定的遵守情况,或由独立的注册审计师或注册信息学专业人员进行核查。
      2. 处理器应向控制器提供所有必要的信息,以证明GDPR第28条中的义务得到了遵守。如果控制器聘用的第三方发出的指令在处理器看来构成对GDPR的侵犯,处理器将立即通知控制器。
      3. 控制器的调查将始终限于用于处理业务的处理器的系统。在核查过程中获得的信息将由控制器保密处理,仅用于核查处理器是否遵守本协议规定的义务,并且将尽快删除这些信息或其部分内容。控制器保证,所聘用的任何第三方也将承担这些义务。
    3. 其他规定
      1. 对本协议的任何修改只有在双方书面同意的情况下才有效。
      2. 双方将根据任何修正或补充的法规、有关当局的补充指示和对GDPR应用的日益深入的了解(例如,通过但不限于判例法或报告)、标准条款的引入和/或其他需要调整的事件或见解,调整本协议。
      3. 本协议在主协议有效期内有效。本协议的条款在解决本协议的必要范围内以及在本协议终止后仍然有效。最后一类规定包括但不限于有关保密和争端的规定。
      4. 本协议优先于控制器和处理器之间的所有其他协议。
      5. 本协议完全受荷兰法律管辖。
      6. 双方将把与本协议有关的争端专门提交给阿姆斯特丹地区法院。

附件1

个人资料的处理操作和保留期限

本附件构成加工协议的一部分,必须由各方签字确认。

  • 双方预期处理的个人数据。
    • 命名
    • 电子邮件地址
    • DMARC取证数据的正文数据(RUF、不符合 DMARC 的电子邮件)
  • 个人资料的使用(=处理方法)以及处理的目的和资源。
    • PowerDMARC处理收到的DMARC报告。在DMARC规范中,有两种类型的报告。
      • 汇总报告
        这些报告包含了某一IP地址每天为你的域名发送的信息数量的数据,包括这些信息的SPF和DKIM检查结果。汇总报告不包含个人数据。
      • 法证报告
        取证报告由数量有限的DMARC 报告发送者发送。这些是未通过 DMARC 检查的特定邮件的副本。这些邮件的内容可能包含个人身份信息 (PII)。PowerDMARC 提供了几种存储这些邮件的方法:

        • 默认情况下。默认情况下,邮件正文被剥离,只有邮件头被存储。
        • 加密的。客户端可以在PowerDMARC软件中上传一个公共PGP密钥。整个传入的信息将使用这个密钥进行加密。客户端能够使用他们的私人密钥和密码来解密数据。
        • 未加密的。在具体确认并接受PowerDMARC作为数据处理器后,客户将能够在PowerDMARC软件中存储未加密的完整信息体。

使用条款和(各类)个人数据的保留期。

  • 许可证。除基本免费版外的所有许可证
  • 数据保留。365天