数据保护附录

本数据保护附录（“DPA”) 构成主认购协议的一部分 Aryaka 和客户（如适用，“协议”）在这之下 Aryaka 向客户提供服务。 本 DPA 中使用但未定义的大写术语应具有协议中规定的含义。

• 1.释义
• 1.1“控制器” 指单独或与他人共同确定个人数据处理目的和方式的实体。
• 1.2 《数据保护法》 指适用于各方个人数据处理的所有法律。
• 1.3 “数据主体” 指可能根据本 DPA 处理其个人数据的任何个人。
• 1.4 “个人资料” 指客户向服务提供的与已识别或可识别自然人相关的信息。
• 1.5 “过程” or “处理” 指对个人数据或个人数据集执行的任何操作或一组操作，无论是否通过自动方式进行，例如收集、记录、组织、构建、存储、改编或更改、检索、咨询、使用、通过传输披露、传播或以其他方式提供、调整或组合、限制、删除或销毁个人数据。
• 1.6 “处理器” 指代表数据控制者处理个人数据的实体。
• 2. 双方关系。 客户和 Aryaka 已签订服务协议。双方承认客户是本协议中的控制者，并且 Aryaka 是一个处理器。双方将根据协议和适用的数据保护法处理个人数据
• 3. 客户义务。 客户将仅提供充分、相关且合理必要的个人数据 Aryaka 执行服务。客户声明并保证其个人数据的收集和披露 Aryaka 遵守所有适用的数据保护法。
• 4. 指示。 。 Aryaka 仅 (i) 根据协议中记录并在附件 IB 中进一步描述的客户指示来处理个人数据； (ii) 根据需要遵守适用法律，前提是 Aryaka 不应被要求按照任何可能（根据合理的意见）的客户指示采取行动 Aryaka） 原因 Aryaka 违反适用法律。 Aryaka 如果认为客户有关个人数据处理的任何指示将违反适用的数据保护法，将通知客户。
• 5. 安全。 Aryaka 将采取合理步骤实施适当的技术和组织措施，旨在保护个人数据免受预期的安全性、机密性或完整性威胁或危害。 Aryaka 将确保被授权处理个人数据的人员承诺保密或承担适当的法定保密义务。
• 6. 数据泄露。 Aryaka 将在任何时候立即通知客户 Aryaka 得知存在安全漏洞，导致处理的个人数据被意外或非法破坏、丢失、更改、未经授权的披露或访问（每个“数据泄露”），除非适用法律禁止或执法部门或监管机构另有指示。考虑到处理的性质和可用的信息 Aryaka, Aryaka 将根据客户的合理要求，采取合理措施协助客户遵守适用法律要求的客户有关数据泄露的通知义务。 Aryaka 保留就任何请求的帮助向客户收取合理费用的权利。
• 7. 返回或Disp奥萨尔。 在协议终止后 30 天内，客户可以要求 Aryaka 销毁或将所有个人数据返还给客户，除非适用法律要求由以下人员存储个人数据： Aryaka.
• 8. 审计；查询。 根据客户的合理要求（每年行使次数不得超过一次，除非监管机构要求更频繁） Aryaka 将立即向客户提供其拥有的证明所需的所有信息 Aryaka遵守本 DPA 规定的义务，并将允许并有助于合理的审计。提供的所有信息将 Aryaka的机密信息，未经授权不得泄露 Aryaka事先书面同意，适用法律要求的情况除外。
• 9. 分包。 客户授权 Aryaka 将个人数据传输给子处理者，以便向客户提供服务。 Aryaka 将维护子处理者的列表。当前的分处理者列表包含在附件三中。 Aryaka 将子处理者添加到此列表时，将提前 14 天通知客户，并提供反对此类添加的机会。如果 Aryaka 在通知后 14 天内未收到反对意见，则分处理者被视为已被客户接受。 Aryaka 将与此类分处理者签订协议，其中包括与本 DPA 类似的数据保护条款。
• 10. Aryaka 帮助。 根据客户的合理要求并考虑处理的性质， Aryaka 将采取合理措施，协助客户履行客户的义务，通过采取适当的技术和组织措施，响应数据主体根据适用法律行使其权利的请求。考虑到处理的性质和可用的信息 Aryaka, Aryaka 还将应客户的合理要求协助客户履行其有关进行数据保护影响评估和监管机构相关咨询的合规义务。 Aryaka 保留就此类请求的帮助向客户收取合理费用的权利。
• 11. 加州消费者隐私法 (CCPA) 规定。
• 11.1 法律合规性。 Aryaka 将为加州居民的个人数据提供与 CCPA 规定的客户要求相同级别的隐私保护。 Aryaka 如果出现以下情况，将以书面形式通知客户 Aryaka 确定其无法再履行 CCPA 规定的义务。客户有权在发出通知后 Aryaka，采取合理和适当的措施来停止和纠正未经授权的个人数据使用，包括在以下情况 Aryaka 已通知客户其无法再履行其 CCPA 义务。
• 11.2 处理限制。 在任何情况下都不得 Aryaka：(a) 向第三方披露加州居民的个人数据以获取金钱或其他有价值的报酬，或向第三方披露个人数据以进行跨情境行为广告； (b) 为了商业利益向任何第三方披露加州居民的个人数据 Aryaka 或任何第三方； (c) 在境外保留、使用或披露加州居民的个人数据 Aryaka与客户的直接业务关系或出于协议中指定的商业目的或适用法律允许的其他商业目的之外的商业目的； (d) 将加州居民的个人数据与以下个人信息相结合： Aryaka 从其他人或代表其他人接收，或从其自己与数据主体的互动中收集，适用法律允许的情况除外。 Aryaka 证明其理解并将遵守上述限制。
• 12. 数据传输
• 12.1 受 GDPR 约束的个人数据的限制传输。 欧盟标准合同条款（模块 2 控制者到处理者）((EU) 2021/914）可在 [www.aryaka.com/SCC2021-Controller-to-Processor/]（“欧盟 SCC”），并通过引用并入本文，连同所附附件 I 和 II 将适用于受欧盟通用数据保护约束的任何个人数据传输法规 ((EU) 2016/679)（“GDPR”）。尽管有上述规定，欧盟 SCC 将不适用于以下范围内的传输：(i) 对客户有管辖权的主管机构通过的决定，声明管辖区满足个人数据的充分保护水平（“充分性决定”） ”）。
• 12.1.1 在第 9 条中，双方同意根据第 [2] 条（分包）选择方案 9。
• 12.1.2 第11条中的可选语言除外。
• 12.1.3 在第 17 条中，欧盟 SCC 将受荷兰法律管辖。
• 12.1.4 在第18条中，任何disp欧盟 SCC 引起的争议将由荷兰法院解决。
• 12.1.5 在附件 IC 中，客户所在的数据保护机构为主管监管机构。
• 12.2.来自瑞士的限制转移。 经本节修改后的欧盟 SCC 将适用于受瑞士联邦数据保护法 (FADP) 约束且不受充分性决定约束的任何个人数据传输：
• 12.2.1 “欧盟成员国”一词不得是完整的erp其方式是排除瑞士的数据主体根据第 18(c) 条在其惯常居住地（瑞士）起诉其权利的可能性。
• 12.2.2 欧盟 SCC 中对 GDPR 的引用应理解为对 FADP 的引用。
• 12.2.3 在第 17 条中，欧盟 SCC 将受瑞士法律管辖。
• 12.2.4 在附件 IC 中，瑞士联邦数据保护和信息专员是主管监督机构。
• 12.3 限制从 United Kingdom. 个人数据的传输须遵守所在国法律 United Kingdom （包括英国通用数据保护条例）并且不受充分性决定的约束，双方同意：
• 12.3.1 欧盟委员会标准合同条款英国国际数据传输附录 B1.0 版的规定，自 21 年 2022 月 XNUMX 日起生效，可访问 https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf （“英国附录”），包括第 2 部分“强制性条款”，通过引用并入本文并应完全适用；
• 12.3.2 英国附录表1中各方的名称、角色及其详细信息应在所附附件1中列出；
• 12.3.3 在英国附录的表 2 和表 3 中，通过引用纳入本 DPA 的欧盟 SCC 模块 2（包括所附附件中列出的信息）应适用；和
• 12.3.4. 在英国附录的表 4 中，任何一方均可终止英国附录。
• 13. 冲突；可执行性。 如果本 DPA 的任何条款被任何有管辖权的法院判定为无效或不可执行，该判决不会使本 DPA 的任何其他条款或客户与客户之间的任何其他合同无效或不可执行。 Aryaka。本 DPA 是对本协议的补充。如果本协议与本 DPA 之间存在任何不一致，则以本 DPA 为准。本协议中不受本 DPA 影响的任何其他条款或义务将仍然完全有效。如果本 DPA 或为履行本 DPA 而采取或打算采取的任何行动没有或不会满足任何一方根据适用于双方的法律所承担的义务，双方将真诚地进行谈判，以达成适当的修订这个 DPA。