数据处理协议(符合GDPR)
自2018年5月1日起生效
此数据处理(“DPA”)反映了双方就IBANCOM服务条款(“TOS”)下的个人数据处理条款达成的协议。DPA是对本服务条款的修订,并在其纳入服务条款时生效,其可在订单或对服务条款的执行修订中指明。在纳入服务条款后,DPA将成为服务条款的一部分。
在本协议中t:
(a) 服务”指根据服务条款向客户提供的服务;
(b) “个人数据”指与已识别或可识别的自然人(“数据主体”)有关的任何信息;
(c)“客户”、“控制人”或“你”是指自然人或法人、公共机关、机构或其他机构,单独或与他人共同确定处理个人数据的目的和方式;
(d) “处理器”,“IBANCOM”或“我们”是指代表控制器处理个人数据的自然人或法人、公共机构、机构或其他机构;
(e) “处理/处理”是指对个人数据或个人数据集进行的任何操作或操作,无论是否通过自动化方式,如收集、记录、组织、构建、存储、改编或更改、检索、咨询、使用、通过传播、散播或以其他方式提供,协调或组合、限制、删除或破坏的披露;
(f) 子处理器”或“分包商”是指由处理者聘用的第三方分包商,作为分包商提供服务的角色的一部分,处理客户的个人数据;
(g) “技术和组织安全措施”是指那些旨在确保适合风险的安全级别的措施,包括个人数据的假名化和加密,确保持续保密,完整性,可用性和处理能力的能力。系统和服务,在发生物理或技术事件时及时恢复可用性和访问个人数据的能力,定期测试,评估和检测技术和组织措施的有效性的过程,以确保处理的安全性。
(h) “数据保护法”是指适用于根据协议处理个人数据的所有法律和法规,包括欧盟,欧洲经济区及其成员国的法律和法规。.
本协议适用于
a) 客户向IBANCOM处理的本协议日期发送的所有数据;
b) 自本协议签订之日起,IBANCOM根据客户的授权访问的所有数据;及
c) IBANCOM代表客户接收的所有数据;
与服务有关。
为了执行协议,特别是代表客户执行服务,客户授权并要求IBANCOM处理以下个人数据:客户信息:我们可能从您使用IBANCOM网站和您的交互中收集的信息与我们离线,如:
• 联系信息:姓名,家庭住址,电话或手机号码,电子邮件地址和密码
• F财务信息:信用卡号码和账单信息(税号,付款人增值税号,账单地址,账单电子邮件,发票发送地点);信用卡号码由Avangate(我们的支付网关),Paypal或其他类型的付款处理; IBANCOM只收取您的信用卡付款。
• 就业联系方式,包括:雇主姓名,职称和职能,业务联系方式; IBANCOM根据我们的一般隐私政策条款处理客户信息。
服务数据:IBANCOM为其提供访问权限的IBANCOM,客户或第三方系统上的数据。
• 用户存储和处理的数据,例如:发送用于处理的数据,用户执行的操作历史
• 日志文件信息:IBANCOM系统保存三种类型的日志:连接日志,实际上是每个请求到每个应用程序的日志。这些连接日志可以包括诸如web请求,因特网协议(“IP”)地址,浏览器类型,引用/退出页面和URL,点击次数,域名,登陆页面,查看的页面和其他此类信息之类的信息。第二种类型的日志是应用程序日志,由我们的软件在数据处理期间生成。应用程序日志日志是为了处理我们的服务器而发送的所有输入数据的记录,可帮助IBANCOM识别和诊断当前系统问题的来源并帮助预测未来的问题。
IBANCOM根据其隐私政策的条款处理客户信息,并根据您的服务订单条款将服务数据视为机密信息
数据主题类别:数据主体包括客户代表和最终用户,例如员工,求职者,承包商,合作者,合作伙伴和客户的客户。数据主体还可能包括试图向服务用户传达或传输个人数据的个人.
IIBANCOM仅旨在提供服务处理个人数据,并同意:
• (a) 为了本协议中规定的目的处理和使用个人数据,或仅根据客户的书面指示处理和使用个人数据,除非得到客户明确的事先书面同意,否则不得用于其他目的,或者
• (b) 不向第三方泄露数据,除非其员工,代理商和分包商从事数据处理并受到约束性义务或任何法律或法规可能要求的除外;
• (c) I采取适当的技术和组织措施,保护数据免受未经授权或非法处理或意外丢失,破坏或损坏,并考虑到技术发展状况和实施任何措施的成本,此类措施应确保适用于未经授权或非法处理或意外丢失,破坏或损坏以及要保护的数据性质可能造成的损害的安全级别;
• (d) 如果数据主体行使数据保护法中与数据相关的任何权利,请尽快通知客户,并在必要时协助客户履行义务考虑到第7条规定的承诺,回应这些要求;
• (e) 除非事先获得客户明确的书面授权,否则不得在欧盟以外处理或转移数据,并确保此类转移符合相应的要求
作为数据控制者的服务客户必须对遵守适用的数据保护法规承担责任。值得注意的是,客户有义务评估存储在平台上的个人数据处理的合法性
The Customer agrees that it shall ensure compliance at all times with the applicable data protection 客户同意其应始终确保遵守适用的数据保护法,特别是,客户应确保其向IBANCOM披露的任何个人数据披露均经数据主体同意或以其他方式合法。个人数据的控制权归客户所有,在客户和IBANCOM之间,客户将始终为服务,服务条款和本数据处理协议保留数据控制者。客户有责任遵守其根据适用的数据保护法作为数据控制者的义务,特别是为了向IBANCOM传输任何个人数据的理由(包括提供任何必要的通知和获得任何所需的同意),以及有关处理和使用数据的决定。<
IBANCOM将授予客户对持有个人数据的平台环境的电子访问权限,以允许客户删除,发布,更正或阻止对特定个人数据的访问,或者,如果这是不切实际的并且在适用法律允许的范围内,请遵循客户的详细书面删除,发布,更正或阻止访问个人数据的说明。
BANCOM应将个人数据的任何请求传递给客户,以便根据协议删除,发布,更正或阻止处理个人数据。
IBANCOM在全球所有地点以符合适用数据保护法和本数据处理协议要求的方式处理所有个人数据。
数据由IBANCOM存储在位于德国的数据中心,由其分包商Hetzner Online GmbH 管理
Industriestr. 25
91710 Gunzenhausen
Deutschland
电话:+49(0)9831 505-0 *
传真:+49(0)9831 505-3
数据中心位于
Hetzner Online AG
Am Datacenterpark 1
08223 Falkenstein
关于IBANCOM在欧洲经济区数据中心存储的个人数据,应确保其子处理器符合以下适用数据保护法的要求:
•(i)IBANCOM已与子处理器签订合同,规定子处理器将根据适用的数据保护法律承担数据保护和保密义务;
•(ii)此外,如果子处理器处理来自未收到“充分”发现的国家的个人数据,IBANCOM将要求子处理器执行包含与本DPA一致的安全要求的模型条款。
根据协议和服务条款,未经客户事先书面同意,IBANCOM不得代表客户执行的任何处理操作分包。
如果IBANCOM在客户同意的情况下分包其在协议下的义务,则应仅通过与子处理器的书面协议进行,该协议对分包商施加与协议下IBANCOM相同的义务。如果子处理器未能履行此书面协议规定的数据保护义务,IBANCOM将对履行该协议下的子处理器义务对客户承担全部责任。
作为数据控制者的客户可以要求IBANCOM审核子处理器或确认已发生此类审核(或在可能的情况下,获取或协助数据管理员获取有关子处理器操作的第三方审核报告)以确保遵守此类义务。根据书面请求,财务主任还有权收到IBANCOM与可处理个人数据的子处理器协议的相关条款的副本,除非协议包含机密信息,在这种情况下,IBANCOM可以提供协议的编辑版本。
有关第1款所述合同子处理的数据保护方面的规定应受客户所在成员国的法律管辖。
在代表客户处理与服务相关的个人数据时,IBANCOM应确保其实施并保持对处理此类数据的适当技术和组织安全措施的遵守。因此,IBANCOM将实施以下措施:
• a) 为防止未经授权的人员访问处理个人数据的数据处理系统(物理访问控制),IBANCOM应采取措施防止物理访问,例如保安人员和安全建筑物以及工厂房屋。
• b) 为了防止未经授权使用数据处理系统(系统访问控制),根据所订购的特定服务,可以应用以下控件:通过密码进行身份验证和在多个级别上记录访问权限。
对于在IBANCOM上托管的API服务:(i)对数据中心的逻辑访问受到防火墙/ VLAN的限制和保护; (ii)应用以下安全流程:集中式日志记录和警报,以及(iii)防火墙。
• c) 确保有权使用数据处理系统的人员只能访问他们有权访问的个人数据,并且在处理和处理过程中未经授权不能读取,复制,修改或删除个人数据。 /或在存储(数据访问控制)之后,只有经过适当授权的人员才能访问和管理个人数据,限制直接数据库查询访问,并建立和实施应用程序访问权限。
除了上述访问控制规则之外,IBANCOM还实施了一种访问策略,在该策略下,数据管理员可以控制其授权人员对其API服务环境以及个人数据和其他数据的访问。
• d) 确保在电子传输或传输过程中未经授权不能读取,复制,修改或删除个人数据,并且可以检查和确定通过数据传输设施传输个人数据的实体(传输控制),IBANCOM将遵守以下要求:除了API服务另有规定外,服务环境之外的数据传输是加密的(HTTPS)。通过某些电子邮件或消息服务发送的通信内容(包括发件人和收件人地址)一旦通过此类服务收到,可能不会被加密。数据管理员对其决定使用非加密通信或传输的结果负全部责任。
• e) 为了确保能够检查和确定是否以及通过谁将个人数据输入数据处理系统,修改或删除(输入控制),IBANCOM将遵守以下要求:个人数据源受控制通过客户的安全文件传输(即通过Web服务或输入应用程序)管理客户和个人数据与系统的集成。
• f) 确保个人数据免受意外破坏或损失:定期进行备份;备份是加密的并且是安全的。
• g) 为确保可以单独处理为不同目的收集的个人数据,来自不同数据控制器环境的数据在IBANCOM系统上进行逻辑隔离。
客户可以每年审核一次IBANCOM对协议条款和本数据处理协议的遵守情况。
客户可以在适用于客户的法律要求的范围内对处理个人数据的服务计算机系统进行更频繁的审核。如果第三方要进行审核,则第三方必须由双方共同协商,并且必须在进行审核之前执行IBANCOM可接受的书面保密协议。
要请求审核,客户必须至少提前4周提交详细的审核计划,该审核日期描述了审核的建议范围,持续时间和开始日期。 IBANCOM将审核审核计划并向数据管理员提供任何疑虑或问题(例如,任何可能危及IBANCOM安全,隐私或就业政策的信息请求)。
审计报告是根据协议条款的各方的机密信息。任何审核均由数据管理员承担。
如果此类审计协助需要使用不同的或额外的资源,则任何IBANCOM要求提供审计协助的请求都被视为单独的服务。在执行此类审计协助之前,IBANCOM将寻求数据管理员的书面批准和协议以支付任何相关费用。
IBANCOM评估并回应可能导致未经授权访问或处理个人数据的事件
客户会被告知此类事件,并根据活动的性质定义升级路径和响应团队以解决这些事件。 IBANCOM将与客户合作,与相应的技术团队合作,并在必要时与外部执法机构一起响应此事件。事件响应的目标是恢复服务环境的机密性,完整性和可用性,并确定根本原因和补救步骤。
指出IBANCOM运营人员应对可能未经授权处理个人数据的事件。
在发现个人数据泄露事件后,IBANCOM应毫不迟延地通知客户。 IBANCOM应及时调查任何安全漏洞并采取合理措施确定其根本原因并防止再次发生。 收集信息或以其他方式获取信息时,除非法律禁止,否则IBANCOM将向数据管理员提供安全漏洞的描述,违规主体的数据类型以及数据管理员可能合理要求的有关受影响的其他信息。人。 双方同意真诚地协调制定任何相关公开声明的内容或受影响人的任何必要通知。
除法律另有规定外,IBANCOM将及时通知客户其收到的行政或行政机构或其他政府机构(“要求”)的任何传票,司法,行政或仲裁令,以及与个人数据有关的IBANCOM是代表客户处理。应客户的要求,IBANCOM将提供合理的信息,可以响应客户的需求和合理要求的任何协助,以便及时响应需求。客户承认IBANCOM没有责任直接与提出要求的实体进行互动。
双方同意,在终止提供数据处理服务时,IBANCOM将提供检索或以其他方式返回存储在平台环境中的客户个人数据,除非对当事人施加的法律禁止其返回或销毁全部或部分转移的个人数据。在这种情况下,双方保证它将保证所传输的个人数据的机密性,并且不会主动处理传输的个人数据。
本协议将受客户所在成员国的法律管辖。
1. 协议的范围和主题
2. 定义
(a) 服务”指根据服务条款向客户提供的服务;
(b) “个人数据”指与已识别或可识别的自然人(“数据主体”)有关的任何信息;
(c)“客户”、“控制人”或“你”是指自然人或法人、公共机关、机构或其他机构,单独或与他人共同确定处理个人数据的目的和方式;
(d) “处理器”,“IBANCOM”或“我们”是指代表控制器处理个人数据的自然人或法人、公共机构、机构或其他机构;
(e) “处理/处理”是指对个人数据或个人数据集进行的任何操作或操作,无论是否通过自动化方式,如收集、记录、组织、构建、存储、改编或更改、检索、咨询、使用、通过传播、散播或以其他方式提供,协调或组合、限制、删除或破坏的披露;
(f) 子处理器”或“分包商”是指由处理者聘用的第三方分包商,作为分包商提供服务的角色的一部分,处理客户的个人数据;
(g) “技术和组织安全措施”是指那些旨在确保适合风险的安全级别的措施,包括个人数据的假名化和加密,确保持续保密,完整性,可用性和处理能力的能力。系统和服务,在发生物理或技术事件时及时恢复可用性和访问个人数据的能力,定期测试,评估和检测技术和组织措施的有效性的过程,以确保处理的安全性。
(h) “数据保护法”是指适用于根据协议处理个人数据的所有法律和法规,包括欧盟,欧洲经济区及其成员国的法律和法规。.
3. 本协议的适用
a) 客户向IBANCOM处理的本协议日期发送的所有数据;
b) 自本协议签订之日起,IBANCOM根据客户的授权访问的所有数据;及
c) IBANCOM代表客户接收的所有数据;
与服务有关。
4. C个人数据的类别和个人数据处理的目的
• 联系信息:姓名,家庭住址,电话或手机号码,电子邮件地址和密码
• F财务信息:信用卡号码和账单信息(税号,付款人增值税号,账单地址,账单电子邮件,发票发送地点);信用卡号码由Avangate(我们的支付网关),Paypal或其他类型的付款处理; IBANCOM只收取您的信用卡付款。
• 就业联系方式,包括:雇主姓名,职称和职能,业务联系方式; IBANCOM根据我们的一般隐私政策条款处理客户信息。
服务数据:IBANCOM为其提供访问权限的IBANCOM,客户或第三方系统上的数据。
• 用户存储和处理的数据,例如:发送用于处理的数据,用户执行的操作历史
• 日志文件信息:IBANCOM系统保存三种类型的日志:连接日志,实际上是每个请求到每个应用程序的日志。这些连接日志可以包括诸如web请求,因特网协议(“IP”)地址,浏览器类型,引用/退出页面和URL,点击次数,域名,登陆页面,查看的页面和其他此类信息之类的信息。第二种类型的日志是应用程序日志,由我们的软件在数据处理期间生成。应用程序日志日志是为了处理我们的服务器而发送的所有输入数据的记录,可帮助IBANCOM识别和诊断当前系统问题的来源并帮助预测未来的问题。
IBANCOM根据其隐私政策的条款处理客户信息,并根据您的服务订单条款将服务数据视为机密信息
数据主题类别:数据主体包括客户代表和最终用户,例如员工,求职者,承包商,合作者,合作伙伴和客户的客户。数据主体还可能包括试图向服务用户传达或传输个人数据的个人.
5. IBANCOM的责任
• (a) 为了本协议中规定的目的处理和使用个人数据,或仅根据客户的书面指示处理和使用个人数据,除非得到客户明确的事先书面同意,否则不得用于其他目的,或者
• (b) 不向第三方泄露数据,除非其员工,代理商和分包商从事数据处理并受到约束性义务或任何法律或法规可能要求的除外;
• (c) I采取适当的技术和组织措施,保护数据免受未经授权或非法处理或意外丢失,破坏或损坏,并考虑到技术发展状况和实施任何措施的成本,此类措施应确保适用于未经授权或非法处理或意外丢失,破坏或损坏以及要保护的数据性质可能造成的损害的安全级别;
• (d) 如果数据主体行使数据保护法中与数据相关的任何权利,请尽快通知客户,并在必要时协助客户履行义务考虑到第7条规定的承诺,回应这些要求;
• (e) 除非事先获得客户明确的书面授权,否则不得在欧盟以外处理或转移数据,并确保此类转移符合相应的要求
6. 客户的责任
The Customer agrees that it shall ensure compliance at all times with the applicable data protection 客户同意其应始终确保遵守适用的数据保护法,特别是,客户应确保其向IBANCOM披露的任何个人数据披露均经数据主体同意或以其他方式合法。个人数据的控制权归客户所有,在客户和IBANCOM之间,客户将始终为服务,服务条款和本数据处理协议保留数据控制者。客户有责任遵守其根据适用的数据保护法作为数据控制者的义务,特别是为了向IBANCOM传输任何个人数据的理由(包括提供任何必要的通知和获得任何所需的同意),以及有关处理和使用数据的决定。<
7. 数据主体的权利
BANCOM应将个人数据的任何请求传递给客户,以便根据协议删除,发布,更正或阻止处理个人数据。
8. 跨境和境外数据传输
数据由IBANCOM存储在位于德国的数据中心,由其分包商Hetzner Online GmbH 管理
Industriestr. 25
91710 Gunzenhausen
Deutschland
电话:+49(0)9831 505-0 *
传真:+49(0)9831 505-3
数据中心位于
Hetzner Online AG
Am Datacenterpark 1
08223 Falkenstein
关于IBANCOM在欧洲经济区数据中心存储的个人数据,应确保其子处理器符合以下适用数据保护法的要求:
•(i)IBANCOM已与子处理器签订合同,规定子处理器将根据适用的数据保护法律承担数据保护和保密义务;
•(ii)此外,如果子处理器处理来自未收到“充分”发现的国家的个人数据,IBANCOM将要求子处理器执行包含与本DPA一致的安全要求的模型条款。
9. 子处理
如果IBANCOM在客户同意的情况下分包其在协议下的义务,则应仅通过与子处理器的书面协议进行,该协议对分包商施加与协议下IBANCOM相同的义务。如果子处理器未能履行此书面协议规定的数据保护义务,IBANCOM将对履行该协议下的子处理器义务对客户承担全部责任。
作为数据控制者的客户可以要求IBANCOM审核子处理器或确认已发生此类审核(或在可能的情况下,获取或协助数据管理员获取有关子处理器操作的第三方审核报告)以确保遵守此类义务。根据书面请求,财务主任还有权收到IBANCOM与可处理个人数据的子处理器协议的相关条款的副本,除非协议包含机密信息,在这种情况下,IBANCOM可以提供协议的编辑版本。
有关第1款所述合同子处理的数据保护方面的规定应受客户所在成员国的法律管辖。
10. 技术和组织措施
• a) 为防止未经授权的人员访问处理个人数据的数据处理系统(物理访问控制),IBANCOM应采取措施防止物理访问,例如保安人员和安全建筑物以及工厂房屋。
• b) 为了防止未经授权使用数据处理系统(系统访问控制),根据所订购的特定服务,可以应用以下控件:通过密码进行身份验证和在多个级别上记录访问权限。
对于在IBANCOM上托管的API服务:(i)对数据中心的逻辑访问受到防火墙/ VLAN的限制和保护; (ii)应用以下安全流程:集中式日志记录和警报,以及(iii)防火墙。
• c) 确保有权使用数据处理系统的人员只能访问他们有权访问的个人数据,并且在处理和处理过程中未经授权不能读取,复制,修改或删除个人数据。 /或在存储(数据访问控制)之后,只有经过适当授权的人员才能访问和管理个人数据,限制直接数据库查询访问,并建立和实施应用程序访问权限。
除了上述访问控制规则之外,IBANCOM还实施了一种访问策略,在该策略下,数据管理员可以控制其授权人员对其API服务环境以及个人数据和其他数据的访问。
• d) 确保在电子传输或传输过程中未经授权不能读取,复制,修改或删除个人数据,并且可以检查和确定通过数据传输设施传输个人数据的实体(传输控制),IBANCOM将遵守以下要求:除了API服务另有规定外,服务环境之外的数据传输是加密的(HTTPS)。通过某些电子邮件或消息服务发送的通信内容(包括发件人和收件人地址)一旦通过此类服务收到,可能不会被加密。数据管理员对其决定使用非加密通信或传输的结果负全部责任。
• e) 为了确保能够检查和确定是否以及通过谁将个人数据输入数据处理系统,修改或删除(输入控制),IBANCOM将遵守以下要求:个人数据源受控制通过客户的安全文件传输(即通过Web服务或输入应用程序)管理客户和个人数据与系统的集成。
• f) 确保个人数据免受意外破坏或损失:定期进行备份;备份是加密的并且是安全的。
• g) 为确保可以单独处理为不同目的收集的个人数据,来自不同数据控制器环境的数据在IBANCOM系统上进行逻辑隔离。
11. 审计权
客户可以在适用于客户的法律要求的范围内对处理个人数据的服务计算机系统进行更频繁的审核。如果第三方要进行审核,则第三方必须由双方共同协商,并且必须在进行审核之前执行IBANCOM可接受的书面保密协议。
要请求审核,客户必须至少提前4周提交详细的审核计划,该审核日期描述了审核的建议范围,持续时间和开始日期。 IBANCOM将审核审核计划并向数据管理员提供任何疑虑或问题(例如,任何可能危及IBANCOM安全,隐私或就业政策的信息请求)。
审计报告是根据协议条款的各方的机密信息。任何审核均由数据管理员承担。
如果此类审计协助需要使用不同的或额外的资源,则任何IBANCOM要求提供审计协助的请求都被视为单独的服务。在执行此类审计协助之前,IBANCOM将寻求数据管理员的书面批准和协议以支付任何相关费用。
12. 事件管理和违规通知
客户会被告知此类事件,并根据活动的性质定义升级路径和响应团队以解决这些事件。 IBANCOM将与客户合作,与相应的技术团队合作,并在必要时与外部执法机构一起响应此事件。事件响应的目标是恢复服务环境的机密性,完整性和可用性,并确定根本原因和补救步骤。
指出IBANCOM运营人员应对可能未经授权处理个人数据的事件。
在发现个人数据泄露事件后,IBANCOM应毫不迟延地通知客户。 IBANCOM应及时调查任何安全漏洞并采取合理措施确定其根本原因并防止再次发生。 收集信息或以其他方式获取信息时,除非法律禁止,否则IBANCOM将向数据管理员提供安全漏洞的描述,违规主体的数据类型以及数据管理员可能合理要求的有关受影响的其他信息。人。 双方同意真诚地协调制定任何相关公开声明的内容或受影响人的任何必要通知。