本文件是 PinChat ( https://pinchat.me ) 的數據處理協議(DPA),根據歐盟《通用數據保護規則》(GDPR)第28條進行準備。這是 PinChat 與您( PinChat.me 的用戶)之間的具有法律約束力的協議。
建議您仔細閱讀本文件,以及我們的以下文件:
- PinChat.me - 使用條款
- PinChat.me - 隱私政策
- 您與 PinChat 簽訂的任何其他具有法律約束力的文件,用於提供 PinChat.me 服務;
- 我們在最新版本的安全包中包含的文件。
注意:
- 您了解我們可能對下文中的條款進行合理變更,以反映 GDPR 或其他相關法律的變化,或我們業務運營的變更。
- 如果您對本 DPA 有任何疑問,請聯繫我們,Email: service@pinchatcorp.com 。
版本:1.0
最近更新日期:2023年5月10日
生效日期:2023年5月10日
上下文
一、定義
- 1.1. 除本協議和主協議中其他地方定義的條款外,對於本協議的全部內容,附件 1 中的條款("定義")所包含的術語應具有其中所列的含義。
- 1.2. 各方互相同意並理解,對於本協議而言,採用歐洲數據保護法律的所有定義。
二、您的責任
- 2.1. 根據本 DPA 和主協議的規定,您作為數據控制者有責任遵守適用的數據保護法律下您操作所需的所有要求,以進行個人數據的處理。
- 2.2. 您同意並承認,除以下內容的一般性之外,您有以下責任:
- (i)提供給公司用於服務目的的個人數據的準確性、質量和合法性,以及相應的獲取方式和方法;
- (ii)遵守適用的數據保護法律(包括歐洲數據保護法律)下的所有必要的透明度和合法性要求;
- (iii)對個人數據的收集和使用,包括獲得任何必要的同意和授權,特別是用於用戶的市場營銷目的;
- (iv)確保您有權根據本 DPA 和主協議的條款將個人數據轉移或提供給我們進行處理;
- (v)確保您遵守適用於您的所有法律,包括但不限於數據保護法律,涉及通過我們的服務創建、發送或以其他方式管理的任何電子郵件或其他內容。
- 2.3. 您在此確認並同意,如果您無法履行本協議和適用的數據保護法律下的義務,特別是在適用的數據保護法律下,應及時且無不當延遲地通知公司。
- 2.4. 您在此確認並理解,本協議的規定以及主協議的相關規定和您作為數據主體的任何其他書面要求,將構成您作為數據控制者的完整和最終指示,用於本 DPA 的目的和關於您的個人數據的處理。
- 2.5. 您在此確認、理解並同意,除本範圍之外的任何其他指示均需要您的事先書面請求。
三、公司的責任
- 3.1. 公司僅對本 DPA 中描述的目的進行個人數據的處理,並根據附件 2("處理詳細信息")中的內容或根據您合法指示的範圍內的其他協議進行處理,除非數據保護法律,包括但不限於歐洲數據保護法律和其他適用於雙方的法律和法規要求另外處理。
- 3.2. 公司不對只適用於您和/或您所在行業而對 PinChat 的運營無法律適用的適用數據保護法律的合規負責和承擔責任。
- 3.3. 公司應在法律允許的範圍內立即且無不當延遲地通知您,如果根據適用法律和/或法規的法律要求,認為公司無法按照本 DPA 的規定進行個人數據的處理。
安全性
- 3.4. 根據本 DPA 的規定,公司將考慮到技術發展狀況、實施成本、個人數據處理的性質、範圍、上下文和目的以及對自然人權利和自由的風險的不同可能性和嚴重性,實施並保持適當的技術和組織措施,以確保該風險的適當安全水平,如本協議附件 3 中的規定(統稱為"安全措施")。
- 3.5. 公司應確保安全措施成為其實施的信息安全管理系統("ISMS")的一部分。
- 3.6. 不違反任何相反的規定,公司可以根據自己的判斷修改或更新安全措施,前提是該修改或更新不會導致安全措施提供的保護程度出現實質性降低或符合相關法律和法律義務。
保密性
- 3.7. 公司在此確保,任何被授權代表我們進行個人數據處理的工作人員或被委任的人士都受到適當的保密義務和合同和法律義務的約束,涉及該個人數據。
個人數據違規
- 3.8. 公司在此同意,在察覺到任何個人數據違規後,根據適用的數據保護法律的規定,及時且無不當延遲地通知您,并在必要時提供根據您的書面請求所知的或合理請求的信息。
- 3.9. 公司在此同意,根據您的書面請求,盡快提供合理的協助,以使相關的個人數據違規通知能夠按照適用的數據保護法律通知有關當局和/或受影響的數據主體。
個人數據的刪除或退還
- 3.10. 公司在此同意,在服務終止或到期時,根據主協議的相關規定,刪除或退還與主協議和本 DPA 相關的所有個人數據,包括為本 DPA 目的處理的個人數據的副本,但根據任何適用法律可能要求保留全部或部分個人數據的情況,需採取額外的安全措施,如隔離和保護,以防止進一步處理。
四、數據主體請求
- 4.1. 您在此確認、同意並接受,公司將通過軟件為您提供控制功能,以便您能夠檢索、更正、刪除或限制個人數據,以協助您遵守數據保護法律的要求。
- 4.2. 公司可以根據您的書面請求,在個人數據處理的範圍內提供合理的協助,以回應任何數據主體的請求。
- 4.3. 公司在此確保,將采取適當的技術和組織措施,以保護您根據本 DPA 提供給我們的個人數據,免受未經授權的訪問、更改、披露或刪除。
- 4.4. 公司在此確保,公司將按照適用的數據保護法律的規定,處理由您作為數據控制者提供的數據主體請求。
五、外部服務商
- 5.1. 您同意並理解,公司可以委託第三方作為外部服務商,來進行處理根據本 DPA 的個人數據。公司將與任何委託的外部服務商簽訂合同,要求外部服務商遵守適用的數據保護法律的要求。
- 5.2. 公司將對其委託的外部服務商的行為負責。
六、數據轉移
- 6.1. 公司同意,如果您根據本 DPA 和主協議的規定要求,將個人數據轉移給第三方,公司將提供合理的協助,以確保該個人數據的轉移的技術和組織措施的安全性。
- 6.2. 公司在此確認,公司在其控制下的個人數據不會轉移到不符合歐洲數據保護法律要求的國家或地區,除非在適用的數據保護法律允許的情況下或在您的事先書面請求下。
七、監管和審計
- 7.1. 雙方同意,根據主協議為提供服務而應當締結的標準合同條款以及作為本資料處理協議的一部分,應適用於此處的附件 5,並自動修訂以反映歐洲數據保護法律的任何變化。
- 7.2. 根據第 7.1 條,雙方在此互相理解並同意,公司承擔數據引進方的權利和義務,您則承擔數據引出方的權利和義務,正如標準合同條款中所定義的,這些權利和義務將在雙方成為標準合同條款的一方以及相關數據傳輸開始之日生效,以較晚者為準。
- 7.3. 雙方在此互相同意,如果標準合同條款適用且與本資料處理協議的任何條款相衝突,則在相關事項上,標準合同條款將優先適用於此衝突的範圍內。
八、 附加條款
歐洲數據
- 8.1. DPA 的這部分適用於歐洲數據,用於主協議的目的。
- 8.2. 雙方在此同意,當根據指示處理歐洲數據時,您是歐洲數據的數據控制者,而 PinChat.me 是數據處理者。
- 8.3. PinChat.me 保留權利,在適用時,立即通知您指示侵犯歐洲數據保護法律的情況。
- 8.4. 公司將根據指定的外部服務商對附件 4 進行任何必要的更改,並通過電子郵件通知您,您有權在此通知後 30(三十)天內基於與本 DPA 相關的合理理由提出異議。
- 8.5. 公司將根據歐洲數據保護法律的要求,在您合理可得的信息範圍內提供合理協助,包括但不限於數據保護影響評估(DPIA)和與監管機構或其他相關數據隱私機構的諮詢。
- 8.6. PinChat.me 將向您提供合理必要的信息,以證明其遵守本協議的規定,並且可能允許進行審計,包括但不限於檢查。
其他數據
- 8.8. DPA 的這部分適用於非歐洲數據,根據適用的數據保護法律的規定。
- 8.9. 雙方同意 PinChat.me 將嚴格按照適用的數據保護法律處理此類個人數據,僅用於根據主協議的規定提供服務。
- 8.10. 雙方將根據法律要求簽署任何其他協議,以遵守適用的數據保護法律。
九、DPA 的當事方
- 9.1. 當您註冊並接受 PinChat.me 軟件解決方案的《 PinChat.me 服務條款 》時,您作為系統的用戶代表自己以及在法律和適用的數據保護法律允許的範圍內的授權聯繫公司,代表自己與您的每個授權聯繫公司建立獨立的 DPA,受到協議和本協議條款的約束。
- 9.2. 您在此同意並承認,每個授權聯繫公司同意受到本 DPA 的義務約束,適用於主協議。
- 9.3. 您在此同意並承認,除本協議另有規定外,根據法律允許的範圍,對於本 DPA 的目的,“用戶”、“您”和“您的”將包括您和這些授權聯繫公司。
- 9.4. 作為用戶同意此 DPA 的法律實體代表自己和(如適用)其每個授權聯繫公司,並且有權同意並簽署此 DPA。
十、一般條款
- 10.1. 本 DPA 自生效日起有效,直到數據控制者或數據處理者根據適用的規定終止主協議為止。
- 10.2. 雙方可以根據主協議的規定以書面通知 30(三十)天終止本 DPA,並通過系統設置中的取消系統來實現。
- 10.3. 不受本 DPA 和主協議中其他相反規定的限制, PinChat.me 保留隨時對本 DPA 進行任何更新和修訂的權利,但需遵守本 DPA 中的其他附加條款。
- 10.4. 如果本 DPA 的任何單獨條款被確定為無效或不可執行,該無效或不可執行的條款將不影響本 DPA 的其他條款的有效性和可執行性。
- 10.5. 未經對方事先書面同意,任何一方不得轉讓、讓與、設定負擔、許可或以其他方式處理或處置本協議下的任何契約權利或義務。
- 10.6. 雙方和授權聯繫公司因本 DPA 全部或部分產生的責任,不論是合同、侵權還是其他責任理論,都將受制於主協議中的責任限制和排除條款。
- 10.7. 雙方在此同意並接受主協議中指定的管轄權選擇,涉及本 DPA。
PinChat 數據處理協議附件
附件 1:定義
- 「數據控制者」:指單獨或與他人共同確定個人數據處理目的和手段的自然人、法人、公共機構、機構或其他機構。
- 「數據保護法律」:指適用於協議下相應數據處理角色的與數據保護和隱私有關的適用全球性法規,包括但不限於:
- (1) 歐洲的數據保護法律;
- (2) 2018年《加利福尼亞消費者隱私法》(CCPA);
- (3) 澳大利亞和新加坡的數據保護和隱私法律;
- (4) 其他;在任何情況下,根據需要修訂、廢除、合併或替換。
- 「數據主體」:指與個人數據相關的個人。
- 「數據處理者」:指代表數據控制者處理個人數據的自然人、法人、公共機構、機構或其他機構。
- 「歐洲」:指歐洲聯盟、歐洲經濟區及其成員國。
- 「歐洲數據」:指受歐洲數據保護法律保護的個人數據。
- 「歐洲數據保護法律」:指適用於歐洲的數據保護法律,包括:
- (1) 2016/679號條例 - 歐盟通用數據保護條例(「GDPR」);
- (2) 2002/58/EC指令 - 隱私和電子通信指令;
- (3) 第1點和第2點的相應國家實施;
- (4) 任何適用的國家法律,根據英國脫歐而取代或轉換GDPR或任何其他與數據和隱私有關的法律;在任何情況下,均可能經修訂、替換或廢除。
- 「EU-US隱私盾」:由美國商務部運營、獲得歐洲委員會批准的自我認證計劃,可能經修訂、替換或廢除。
- 「指示」:指數據控制者向數據處理者發出的任何書面、文件化的指示,指導其針對個人數據執行特定或一般行動,包括但不限於去個人化、阻止、刪除、提供。
- 「許可的關聯方」:包括任何根據主協議允許代表您獲取服務的任何關聯方,但未與我們簽訂獨立協議且不符合作為我們處理的個人數據的控制者的標準,且可能受到歐洲數據保護法律的約束。
- 「個人數據」:指在主協議中定義的帳戶內(如主協議中定義)所包含的與已識別或可識別個人有關的任何信息,並受適用的數據保護法律下的其他個人信息或可識別信息的保護。
- 「個人數據違規」:指在提供服務的過程中,由我們和/或我們的外部服務商意外或非法銷毀、遺失、更改、未經授權披露或訪問的個人數據傳輸、存儲或以其他方式處理,但不包括未成功的嘗試或不會危及個人數據安全的活動,包括未成功的登錄嘗試、ping、端口掃描、阻斷服務攻擊以及針對防火牆或網絡系統的其他網絡攻擊。
- 「處理」:指對個人數據進行的任何操作或操作集,包括但不限於收集、記錄、組織、結構化、存儲、適應或更改、檢索、查閱、使用、通過傳輸進行披露、傳播或以其他方式提供、對齊或結合、限制或刪除個人數據,並且相應地理解「處理」、「處理」和「處理」等術語。
- 「服務」:與主協議中的定義相同。
- 「標準合同條款」:指歐洲委員會根據相關決定批准的數據處理者的標準合同條款,並包含在本附件 5 中,作為協議的一部分,可能經修訂、替換或廢除。
- 「外部服務商」:指我們委托的任何數據處理者,以協助我們履行主協議下提供服務的義務,並且可能包括第三方,但不包括 PinChat.me 的任何雇員或顧問。
附件 2:處理的詳細信息
此附件 2:處理的詳細信息是 DPA 的一部分。
- 處理的性質和目的: 公司將根據提供服務的需要處理個人數據,根據主協議,並可能在其他文件中進一步明確指定,該文件是主協議和 DPA 的一部分。
- 處理的持續時間: 除非另有明確規定,個人數據的處理將在主協議的持續時間內進行,除非另有書面協議。
- 數據主體類別: 根據主協議的規定,數據主體將包括任何類型的用戶客戶,因此可能因數據控制者的系統使用而有所不同。
- 個人數據類別: 根據主協議的規定,個人數據的類別可能根據系統的使用而有所不同,包括但不限於以下內容:
- 姓名
- 電子郵件地址
- 電話號碼
- 數據控制者通過使用其他字段請求的信息
- 數據控制者和個體之間的聊天記錄
- 數據控制者的使用情況,並不是絕對的。
- 處理操作: 包括統一的內部流程,其中系統用戶的數據將持續或系統性地收集、存儲和用於提供服務,符合主協議的要求。數據處理者將代表數據控制者處理個人數據。
- 個人數據的保護措施: 數據處理者將採取適當的技術和組織措施來保護個人數據的機密性、完整性和可用性,並根據適用的數據保護法律要求進行操作。
- 數據主體權利: 數據處理者將根據適用的數據保護法律允許的範圍內,協助數據控制者處理數據主體的權利請求,並確保遵守相關的義務和流程。
- 個人數據違規通知: 在發現個人數據違規時,數據處理者將立即通知數據控制者,並在合理範圍內提供協助,以幫助數據控制者遵守相關的義務和流程。
- 外部服務商的參與: 數據處理者將遵從主協議對外部服務商進行監督和管理的義務。該監督和管理將包括選擇和監測外部服務商,確保其遵守適用的數據保護法律要求,並適當保護個人數據的安全性。
附件 3:安全措施
- 此附件 3 的安全措施是 DPA 的一部分,除非另有定義,否則所有大寫字母開頭的術語應與主協議中所定義的含義相同。
- 這些措施是ISMS的一部分,將按照最佳實踐和標準進行維護。
A. 存取控制和管理
公司已採取適當措施防止未經授權的人員訪問系統、網絡、應用程序和個人數據,例如:
- 實施和維護存取控制政策和程序,作為內部信息安全管理系統("ISMS")的一部分;
- 根據“需要知道”和“最低特權”的原則制定存取規則;
- 對直接訪問數據庫採取限制原則;
- 員工在訪問系統進行個人數據處理時使用雙因素身份驗證(2FA);
- 用戶可以使用“Google Authenticator”和“HIPAA”自定義功能進行2FA安全登錄;
- 用戶可以使用“Strict Password”自定義功能進行密碼管理。
B. 加密
公司將使用適當的加密技術來保護個人數據,並在適用的情況下用於傳輸中的數據(所有通信之間的數據)和靜態數據。
C. 信息分類和處理
公司將建立適當的處理操作記錄、資產處理程序和可接受使用政策,以確保所有信息,包括個人數據,根據其對未經授權訪問、披露或修改的重要性和敏感性進行分類。
D. 人力資源安全
公司已采取合理措施,確保其有權訪問個人數據的員工和承包商熟悉並遵守安全和隱私政策和程序。
這些措施包括:
- (a)對所有有權訪問個人數據的員工和承包商進行背景核查,如犯罪記錄核查;
- (b)與所有員工和承包商簽訂保密協議和數據處理協議;
- (c)員工和承包商參加關注保護個人數據、隱私和安全的培訓和意識計劃。
E. 運營安全
公司致力於確保正確和安全的個人數據處理設施,包括:
- 通過實施和維護與內部變更管理政策相一致的程序來控制處理系統和設施的變更;
- 通過實施和維護與內部備份政策相一致的程序進行定期備份和備份測試;
- 保持具有用戶活動、異常、錯誤和信息安全事件記錄的事件日誌;
- 確保所有相關信息處理系統的時鐘同步。
F. 網絡安全
公司已實施防火墻保護和入侵檢測系統,並定期監控網絡活動。
G. 安全開發
公司根據採用的安全系統工程原則進行軟件開發和相關支持過程,例如:
- 安全設計;
- 對任何變更或新開發進行安全測試;
- 區分開發/測試/生產環境。
H. 供應商評估
公司定期評估供應商服務並承擔通知數據控制者有關根據主協議提供服務的任何變更的責任。
I. 業務持續性和事件管理
公司確保對隱私和安全事件的管理採取一致的方法,包括通過:
- 文件化並定期測試的業務持續性和事件管理程序;
- 文件化並定期測試的個人數據違規通知程序。
J. 內部安全審計
公司定期評估個人數據風險並審查已實施的安全政策和程序的有效性。
附件 4:安全措施
閱讀此附件 4 時,請結合 DPA 的第 5 條和其他適用的條款。
外部服務商 | 使用目的 | 地點 |
---|---|---|
Google | 社交登入、App 平台、推播通知 | 美國 |
Facebook | 社交登入、Webhook 整合 | 美國 |
Apple | 社交登入、App 平台 | 美國 |
MetaMask | 社交登入 | 美國 |
WalletConnect | 社交登入 | 美國 |
MailChimp | Email 服務 | 美國 |
Twilio | 簡訊服務 | 美國 |
Amazon Web Service | Hosting & Infrastructure | 日本 |
PayPal | 第三方金流服務串接 | 美國 |
Stripe | 第三方金流服務串接 | 愛爾蘭 |
LINE | 第三方金流服務串接 | 日本 |
TapPay | 第三方支付 | 台灣 |
Instagram | Webhook 整合 | 美國 |
WhatsApp | Webhook 整合 | 美國 |
GoSquared | 數據統計 | 英國 |
附件 5:標準合同條款
- 根據歐洲委員會官方網站上的最新版本標準合同條款,可在此處找到 連結,並對相關事項進行實施和遵循。
- 標準合同條款是本協議的一部分,適用於根據歐洲數據保護法律對當事方進行的範圍內。
- 為了本協議和當事方的合同關係,採用第二模塊:控制者對處理者之間的數據傳輸。