數據處理附錄

本附錄構成合同不可分割的一部分，由以下各方簽訂：

(i) 客戶（“數據導出者”）
(ii) POSTCODEZIP（“數據導入器”）

每個都是一個“派對”，通常是“派對”。

前言

數據進口商提供專業軟件服務、計算機和相關服務的地方；

根據合同，數據導入方已同意向數據導出方提供合同中規定的服務（“服務”）；

如果數據進口方通過提供服務而獲得或受益於對數據出口方信息或與數據出口方有（潛在）關係的其他人的信息的訪問，則此類信息可能被視為法規意義上的個人數據(EU) 2016 年 4 月 27 日歐洲議會和理事會關於保護個人處理個人數據和此類數據的自由移動 (“ GDPR ”) 的2016/679和其他適用的數據保護法。

本附錄包含適用於數據進口商作為數據出口商的授權數據處理代理收集、處理和使用此類個人數據的條款和條件，以確保雙方遵守適用的數據保護法.

因此，為使雙方能夠合法地繼續其關係，雙方達成如下協議：

第1部分

1. 文件的結構和定義

1.1 結構

本附錄包括以下不同部分：

第1部分：	包含一般規定，例如關於本附錄中使用的定義、遵守當地法律、時間安排和終止
第2部分：	包含未經修訂的標準合同條款文件的正文
第 2 部分的附錄 1.1：	包含數據導入方向作為授權數據處理代理的數據導出方提供的處理操作的詳細信息（包括處理、處理的性質和目的、個人數據的類型以及數據主體的類別）。附錄
第 2 部分的附錄 2：	包含對數據導入者的技術和組織安全措施的描述，這些措施適用於第 2 部分附錄 1.1 中描述的所有處理活動
第 3 部分：	包含受本附錄約束的各方的簽名並標識每個數據導入者

1.2 術語和定義

就本附錄而言，GDPR 使用的術語和定義適用（在第 2 部分標準合同條款文件的正文中，定義的術語未大寫）。

“會員國”	指屬於歐盟或歐洲經濟區的國家
“特殊類別的（個人）數據”	指揭示種族或族裔血統、政治觀點、宗教或哲學信仰或工會會員身份的個人數據，以及基因數據、生物識別數據（如果為了唯一識別個人而進行處理）、有關健康的數據、有關個人性別的數據生活或性取向
《標準合同條款》	指根據 2010 年 2 月 5 日的委員會決定 2010/87/EU 制定的用於傳輸在第三國建立的處理代理的個人數據的標準合同條款，該條款由 2016 年 2 月 16 日的委員會實施決定 (EU) 2016/2297 修訂。 2016 年 12 月
“數據處理器”？？	指位於歐盟/歐洲經濟區內部或外部的任何處理代理，他們同意從數據導入方或數據導入方的任何其他處理方接收個人數據，專用於數據導出方在根據數據導出者的指示、本附錄的條款以及與數據導入者的合同進行傳輸

2. 數據導出者的義務

2.1 數據出口方有義務確保遵守 GDPR 和適用於數據出口方的任何其他適用數據保護法項下的所有適用義務，並按照 GDPR 第 5 (2) 條的要求證明此類遵守情況。數據出口方保證數據進口方已根據 GDPR 第 6 (a) 條獲得數據主體的事先同意，並已按照 GDPR 第 13 條和第 14 條履行了通知數據主體的義務。

2.2 數據出口方必鬚根據 GDPR 第 30 條第 1 款向數據進口方提供與本附錄下的服務相關的處理活動的相應文件，以確保數據進口方履行其義務GDPR 第 30 (2) 條。

2.3 數據出口商必須在適用數據保護法要求的範圍內任命一名數據保護官或代表。數據導出者有義務向數據導入者提供數據保護代理或代表（如果有）的聯繫方式。

2.4. 數據導出方在完成處理之前通過接受本附錄確認數據導入方的技術和組織安全措施（如第 2 部分的附錄 2 所述）適當且足以保護數據主體的權利並確認數據導入方在這方面提供了足夠的保障。

3. 遵守當地法律

為滿足 GDPR 第 28 條規定的處理代理實施要求，適用以下修訂：

3.1 說明

(i) 數據導出者指示數據導入者僅代表數據導出者處理個人數據。本附錄和合同中提供了數據導出者的說明。數據導出方有義務確保向數據導入方發出的所有指令均符合適用的數據保護法律。除非歐盟或成員國法律另有要求，否則數據導入方必須僅根據數據導出方提供的說明處理個人數據（在後一種情況下，第 1 部分第 3.2 (iv) (c) 條適用） .
(ii) 超出本附錄或合同中的說明的所有其他說明必須包含在本附錄和合同的主題中。如果執行此附加指令涉及數據導入方的費用，數據導入方應在執行指令之前將此類費用通知數據導出方並提供解釋。只有在數據導出方確認接受這些執行指令的費用後，數據導入方才應執行此附加指令。除非緊急或其他特定情況需要另一種形式（例如口頭、電子），否則數據導出者必須以書面形式給出額外的指示。非書面形式的指示必須由數據導出方立即以書面形式確認。
1. 除非數據導出方無法自行對個人數據進行更正、刪除或限制，否則該說明還可能涉及第 1 部分第 3.3 條中規定的個人數據的更正、刪除和/或限制。
2.數據進口商必須立即通知數據導出，如果它認為，一個指令違反GDPR或歐盟或成員國的其他適用的數據保護規定（“爭議指令”）。如果數據進口商認為指令違反了歐盟或成員國的 GDPR 或其他適用的數據保護規定，則數據進口商沒有義務遵循爭議指令。如果數據出口商在從數據進口商處收到信息並承認其對有爭議的指令負責，數據進口商應執行有爭議的指令，除非有爭議的指令涉及 (i) 技術和組織措施的實施，(ii) 數據的權利主體或 (iii) 數據處理者的參與。在 (i) 至 (iii) 的情況下，數據進口商可以聯繫主管監管機構，讓該機構對有爭議的指令進行合法評估。如果監管機構宣布被質疑指令是合法的，數據導入方應執行被質疑指令。第 1 部分第 3.1 (ii) 條應繼續適用。

數據供應商的責任3.2

(i) 數據進口商必須確保經數據進口商授權代表數據出口商處理個人數據的人員，尤其是數據進口商的員工和任何分包商的員工，已承諾遵守保密規定或受制於適當的法定保密義務，並且有權訪問個人數據的此類人員根據數據導出者的指示對其進行處理。
(ii) 在代表數據出口商處理個人數據之前，數據進口商必須實施第 2 部分附錄 2 中規定的技術和組織安全措施。如果技術和組織安全措施提供的保護不低於第 2 部分附錄 2 中規定的保護，則數據導入方可能會不時更改技術和組織安全措施。
(iii) 應數據出口商的要求，數據進口商應向數據出口商提供信息，以表明其遵守本附錄規定的數據進口商的義務。雙方同意通過向數據導出方提供審計報告（涵蓋原則安全、系統可用性和機密性）（“審計報告”）來履行此信息義務。如果法律要求進行額外的審計活動，數據出口商可以要求數據出口商或數據出口商指定的其他審計員進行檢查，前提是該審計員與數據進口商簽署保密協議，以保證數據進口商的安全。合理的滿意度（“審計”）。本次審計受以下條件約束：(i) 數據導入方的事先正式書面接受； (ii) 數據出口商應承擔與數據出口商和數據進口商現場審計相關的所有費用。數據導出者必須創建一份總結現場審計結果和觀察結果的審計報告（“現場審計報告”）。現場審計報告和審計報告是數據進口商的機密信息，不得向第三方披露，除非適用的數據保護法要求或根據數據進口商的同意。現場審計報告和審計報告是數據進口商的機密信息，不得向第三方披露，除非適用的數據保護法要求或根據數據進口商的同意。現場審計報告和審計報告是數據進口商的機密信息，不得向第三方披露，除非適用的數據保護法要求或根據數據進口商的同意。
(iv) 數據進口方有義務及時通知數據出口方：
1. 一種。關於執法機關披露個人數據的任何具有法律約束力的請求，除非另有禁止，例如刑法禁止保護執法調查的機密性
2. 灣關於直接從數據主體收到的任何投訴和請求（例如，關於訪問、更正、刪除、處理限制、數據可移植性、反對數據處理、自動決策）而不響應該請求，除非數據導入方已獲得授權這樣做
3. C。如果數據導入者或數據處理者根據歐盟或數據導入者或數據處理者所屬成員國的法律有義務在超出數據導出者的指示範圍內處理個人數據，則在進行此類處理之前指示，除非歐盟或成員國的法律基於重要的公共利益理由禁止此類處理，在這種情況下，向數據出口商發出的通知應指明歐盟或成員國法律下的法律要求；或者
4. d.如果數據進口商僅因自身或其分包商而意識到個人數據受到侵犯，這將影響本合同所涵蓋的數據出口商的個人數據，在這種情況下，數據進口商將協助數據出口商履行其義務，根據適用的數據保護法，根據 GDPR 第 33 條第 3 款，通過提供可支配的信息通知數據主體和（在適用的情況下）監管機構。
5. (v) 應數據出口方的要求，數據進口方應被迫協助數據出口方履行 GDPR 第 35 條可能要求的數據保護影響評估和可能需要的事先協商的義務。 GDPR 第 36 條關於數據進口方根據本附錄向數據出口方提供的服務的要求，向數據出口方提供必要的信息。只有在數據出口方無法通過其他方式履行其義務時，數據進口方才有義務提供此類協助。數據進口商將告知數據出口商此類協助的費用。一旦數據導出器確認其可以承擔此費用，數據導入器將向數據導出器提供此幫助。
6. (vi) 在提供服務結束時，數據輸出方可以在提供服務後一個月內要求返還數據輸入方根據本附錄處理的個人數據。除非成員國或歐盟的法律要求數據進口商存儲或保留此類個人數據，否則數據進口商將在一個月期限後刪除所有此類個人或非個人數據，無論這些數據是否已返回至數據出口商應其要求與否。

3.3 相關人員的權利

1. (i) 數據導出者管理和響應數據主體提出的請求。數據進口商沒有義務直接回應數據主體。
2. (ii) 如果數據出口商需要數據進口商協助處理和響應數據主體的請求，數據出口商應根據第 1 部分第 3.1 (ii) 條發出進一步指令。數據進口商將協助數據出口商採取以下適當的技術組織措施來響應 GDPR 第三章中規定的行使數據主體權利的請求，如下所示：
3. 一種。對於信息請求，如果數據導出者無法自行找到，數據導入者將僅向數據導出者提供 PGRD 第 13 條和第 14 條要求的信息。
4. 灣關於訪問請求（GDPR 第 15 條），數據導入方將僅向數據導出方提供應提供給數據主體以用於上述訪問請求的信息，如果後者無法單獨找到它。
5. C。關於糾正請求（GDPR 第 16 條）、刪除請求（GDPR 第 17 條）、處理請求的限制（GDPR 第 18 條）或可移植性請求（GDPR 第 20 條），並且僅如果數據導出方自身無法糾正或刪除、限製或傳輸個人數據給另一第三方，則數據導入方將向數據導出方提供糾正或刪除、限製或傳輸相關個人數據給其他第三方的可能性，或者如果無法做到這一點，它將提供協助以糾正或刪除、限製或傳輸相關的個人數據給其他第三方。
6. d. 關於與更正、刪除或限制處理相關的通知（GDPR 第 19 條），如果數據出口商提出要求，則數據進口商將通過通知數據進口商作為處理者聘用的個人數據的所有接收者來協助數據出口商如果數據導出者無法自行補救這種情況。
7. e. 關於數據主體行使的異議權（GDPR 第 21 條和第 22 條），數據導出方將確定異議是否合法以及如何處理。
8. (iii) 數據進口商的協助義務僅限於在其基礎設施內處理的個人數據（例如數據進口商擁有或提供的數據庫、系統、應用程序）。
9. (iv) 數據出口商應確定數據主體是否可以行使本第 1 部分第 3.1 條規定的數據主體權利，並應告知數據進口商第 3.3 (ii)、（ iii) 第 1 部分的內容是必要的。
10. (v) 如果數據出口方要求額外的或修改的技術和組織措施來滿足數據主體的權利，這些措施超出了數據進口方根據第 1 部分第 3.3 (ii)、(iii) 款提供的協助，則數據進口商應告知數據出口商實施此類額外或修改的技術和組織措施的成本。一旦數據出口方確認其能夠支付這些費用，數據進口方應立即實施此類額外或修改的技術和組織措施，以協助數據出口方響應數據主體的請求。
11. (vi) 在不限制第 1 部分第 3.3 (v) 條的範圍的情況下，數據導出方有義務補償數據導入方為響應數據主體的請求而產生的合理費用。

3.4 子處理

1. (i) 數據出口商授權數據進口商使用分包商提供本附錄項下的服務。數據進口商應謹慎選擇此類數據處理器。數據導出方批准第 2 部分末尾附錄 1.1 中列出的數據處理方。
2. (ii) 數據進口商應在適用於分包服務的範圍內將其在本附錄下的義務轉移給數據處理者。
3. (iii) 數據進口商可自行決定解僱、更換或任命另一個適當且可靠的數據處理者。如果數據導出者以書面形式提出要求，數據導入者必須遵循以下程序：

1. 一種。數據導入方應在對第 1 部分第 3.4 (i) 條提及的數據處理方列表進行任何更改之前通知數據導出方。如果數據導出方未根據第 3.4 條提出異議。 (b) 第 1 部分在收到數據進口商的通知後三十天，額外的數據處理者應被視為被接受。
2. 灣如果數據導出方有正當理由反對額外的數據處理方，它將在收到數據導入方通知後的 30 天內且在數據導入方的服務投入運營之前向數據導入方發出事先書面通知。如果數據導出者反對使用額外的數據處理器，數據導入者可以通過以下選項之一（由其酌情選擇）清除反對意見：(A) 數據導入者將取消其使用額外處理器的計劃關於數據導出者的個人數據； (B) 數據進口方將採取數據出口方在其反對意見中要求的糾正措施（取消反對），並就數據出口方的個人數據使用額外的處理器；(C) 數據進口商可能會停止提供或數據出口商可能同意不（暫時或永久）使用服務的特定方面，這將涉及使用數據出口商對數據出口商個人數據的進一步處理。
1. (iv) 如果數據處理者位於 EU-EEA 以外的國家/地區，該國家/地區根據歐盟委員會的決定未被認可提供足夠的數據保護水平，則數據進口商將採取措施以遵守足夠的水平根據 GDPR 進行數據保護（此類措施可能包括 - 其中包括 - 使用基於歐盟模式條款的數據處理合同，在歐盟-美國保護盾框架內轉移到自我認證的數據處理器，或類似的程序）。

3.5 到期

本附錄的到期日與相應合同的到期日相同。除本附件另有規定外，與終止有關的權利和義務與本合同所載的權利和義務相同。

4. 責任限制

4.1 每一方處理其在本附錄和適用的數據保護立法下的義務。

4.2 與違反本附錄或適用的數據保護立法規定的義務有關的任何責任均應受本合同規定或適用於本合同的責任條款的約束和管轄，本附錄另有規定的除外。如果責任受本合同規定的或適用於本合同的責任條款管轄，則為計算責任限額或確定其他責任限額的適用，本附件下產生的任何責任均應視為根據本合同產生。

5. 一般規定

5.1 本附件第1、2部分如有不一致或不一致之處，以第2部分為準。具體而言，即使在這種情況下，僅超出第 2 部分（即標準條款的條款）而不與第 2 部分相衝突的第 1 部分仍然有效。

5.2 如果本附錄的規定與對雙方具有約束力的其他合同的規定有任何差異，則以本附錄規定雙方的數據保護義務。如對其他合同中的條款是否涉及當事人的數據保護義務存有疑問，以本附件為準。

5.3 如果本附錄的任何條款無效或無法執行，本附錄的其餘部分應保持完全有效。無效或不可執行的條款將被 (i) 修改以確保其有效性和可執行性，同時盡可能保留雙方的意圖，或者 - 如果這不可能 - (ii) 解釋為好像無效或不可執行的部分已經從未成為合同的一部分。如果本附錄有遺漏，上述規定也適用。

5.5 在必要的範圍內，雙方可以要求修改第 1 部分第 3 條（遵守當地法律）或附錄的其他部分，以符合歐盟或歐盟主管當局發布的解釋、指令或命令。成員國、國家執法規定或與 GDPR 相關的任何其他法律發展或向參與數據處理的任何實體授權的其他條件，特別是與 GDPR 中標準合同條款的使用相關的其他條件。除非歐盟委員會明確批准（例如通過新的適當條款和數據保護標準），否則不得修改或替換標準合同條款的條款。

5.6 本附錄中對“條款”的任何引用均應理解為指本附錄的所有規定，除非另有說明。

5.7 第 2 部分第 9 條中的法律選擇適用於整個合同。

6. 當事人出於個人目的傳輸和處理的個人數據（從數據控制者轉移到數據控制者）

6.1 雙方充分了解某些個人數據將從數據導出方傳輸到數據導入方，反之亦然，並且此類數據由每一方出於其自身目的進行處理。關於該等個人資料，不影響本附件的其他規定（本第6條除外）。

6.2 數據出口方可以將與數據進口方員工相關的個人數據傳輸給數據進口方，包括安全事件信息，或數據出口方創建或建立的與數據進口方員工提供的服務相關的任何其他文件或文件。數據導入器。數據進口商可能會出於自身目的處理此類個人數據，尤其是在與數據進口商人員的專業關係、質量控制和培訓或商業目的方面。

6.3. 數據導入方可以將個人數據傳輸給數據導出方，包括數據導入方人員的姓名和聯繫方式。數據導出方可能出於自身目的處理此類個人數據。

6.4 雙方在收集、處理和使用根據第 1 部分第 1 條從另一方收到的此類個人數據時應遵守任何適用的數據保護法律，包括 GDPR。特別是，雙方應採取充分的安全措施，提供與第 2 部分附錄 2 中規定的安全措施類似的保護級別。對此類個人數據的任何訪問都應僅限於需要了解它們。

6.5 雙方必須在達到目的後儘快刪除該等個人資料。

第2部分

委員會的決定

2010 年 2 月 5 日

關於根據歐洲議會和理事會的 95/46/EC 指令將個人數據傳輸到在第三方國家建立的數據處理者的標準合同條款

第 1 條

定義

在條款的含義內：

a) “個人數據”、“特殊數據類別”、“處理/處理”、“控制者”、“處理者”、“數據主體”和“監管機構”的含義與 95/46/EC 中的含義相同1995 年 10 月 24 日歐洲議會和理事會關於保護個人處理個人數據和自由移動此類數據的指令 (1)；

b) “數據導出者”是傳輸個人數據的數據控制者；

c) “數據導入者”是數據處理者，同意從數據導出者處接收旨在代表數據導出者在傳輸後根據其指示和這些條款的條款進行處理的個人數據，並且該數據處理者不是受第 95/46/EC 號指令第 25(1) 條所指的第三國機制的約束； (d) “數據處理器”是指由數據進口商或數據進口商的任何其他數據處理器聘用的數據處理器，該數據處理器同意從數據進口商或數據進口商的任何其他數據處理器接收個人數據，專門用於處理活動根據數據導出者的指示在傳輸後代表數據導出者進行，根據本條款規定的條件和數據處理合同的書面分包條款；

e) “適用的數據保護法”是指保護個人基本權利和自由的立法，包括與個人數據處理相關的隱私權，並適用於數據出口商所在成員國的控制者；

f) “與安全相關的技術和組織措施”？？指旨在保護個人數據免受意外或非法破壞或意外丟失、更改、未經授權的披露或訪問的措施，特別是在處理涉及通過網絡傳輸數據的情況下，以及防止所有其他非法處理形式。

第 2 條

轉讓詳情

附錄 1 中規定了傳輸的詳細信息，包括在適當情況下特殊類別的個人數據，該附錄是這些條款的組成部分。

第 3 條

第三方受益人條款

1. 數據主體可以對數據導出者執行本條、第 4(b) 至 (i) 條、第 5(a) 至 (e) 和 (g) 至 (j) 條、第 6 (1) 和 (2) 條)、第 7 條、第 8(2) 條和第 9 至第 12 條作為第三方受益人

2. 數據主體可以對數據導入方執行本條、第 5 (a) 至 (e) 和 (g) 條、第 6 條、第 7 條、第 8 (2) 條和第 9 條至第 12在法律中消失或不復存在，除非他的所有法律義務已通過合同或法律運作轉移到繼承實體，因此數據導出者的權利和義務恢復到該繼承實體，並且數據針對該繼承實體因此，主體可以執行上述條款。

數據主體可以對數據處理者強制執行本條、第 5 (a) 至 (e) 和 (g) 條、第 6 條、第 7 條、第 8 (2) 條和第 9 條至第 12 條，但僅限於以下情況：出口商和數據進口商已經實體消失、在法律上不復存在或資不抵債，除非數據出口商的所有法律義務已通過合同或法律實施轉移給合法繼承人，他們的權利和因此，數據導出者的義務是既定的，數據主體因此可以對其執行此類條款。數據處理者的此類責任必須僅限於其在這些條款下的處理活動。

4. 如果數據主體願意且國家法律允許，則當事人不反對由協會或其他機構代表數據主體。

第 4 條

數據導出者的義務

數據導出者接受並保證以下內容：

a) 處理，包括個人數據的實際傳輸，已經並將繼續根據適用數據保護法的相關規定進行（並且，在適用的情況下，已通知成員國的主管當局數據出口方所在的）並且不違反該國的相關規定；

b) 他們已經指示並將在個人數據處理服務期間指示數據導入方根據適用的數據保護法和這些條款處理僅代表數據導出方傳輸的個人數據；

c) 數據導入方將對本合同附錄 2 中規定的技術和組織安全措施提供足夠的保障；

d) 在評估適用數據保護法的要求後，安全措施足以保護個人數據免遭意外或非法破壞或意外丟失、更改、未經授權的披露或訪問，尤其是在處理涉及數據傳輸的情況下通過網絡，並防止所有其他非法形式的處理，並確保與處理所代表的風險和要保護的數據的性質相適應的安全級別，同時考慮到技術水平和實施成本；

e) 他們將確保遵守安全措施；

f) 如果傳輸涉及特殊類別的數據，數據主體已經或將在傳輸前或傳輸後儘快被告知他或她的數據可能被傳輸到不提供的第三國95/46/EC 指令含義內的足夠保護水平；

g) 如果數據保護監管機構決定繼續轉移或解除暫停，他們會將根據第 5 (b) 和第 8 (3) 條從數據進口商或任何數據處理器收到的任何通知轉發給數據保護監管機構；

h) 如果數據主體要求，他們應向數據主體提供一份本條款的副本（附錄 2 除外）、安全措施的摘要說明以及根據本條款簽訂的任何進一步分包協議的副本，除非條款或協議包含商業信息，在這種情況下，他可以撤回此類信息；

i) 在分包數據處理過程的情況下，處理活動根據第 11 條由數據處理者執行，該數據處理者根據這些條款提供至少與數據導入者相同級別的個人數據保護和數據主體權利; 和

j) 它將確保遵守第 4 (a) 至 (i) 條。

第 5 條

數據導入者的義務

數據導入者接受並保證以下內容：

a) 他們將僅代表數據導出者並根據數據導出者的指示和這些條款處理個人數據；如果由於任何原因不能遵守，他們同意盡快通知數據出口商其無法履行，在這種情況下，數據出口商可以暫停數據傳輸和/或終止合同；

b) 他們沒有理由相信適用於他們的法律阻止他履行數據導出者給出的指示以及他在合同項下應承擔的義務，並且如果該法律發生變化而可能產生重大不利影響對本條款項下的保證和義務的影響，他應在獲悉後立即通知數據出口方該變更，在這種情況下，數據出口方可以暫停數據傳輸和/或終止合同；(c) 在處理傳輸的個人數據之前，他們已經實施了附錄 2 中規定的技術和組織安全措施；

d) 他們將立即通知數據導出者：

i) 任何來自執法機關的具有約束力的披露個人數據的請求，除非另有規定，例如旨在保護警方調查保密的刑事禁令；

ii) 任何偶然或未經授權的訪問；和

iii) 直接從有關人員那裡收到的任何請求，除非他得到授權，否則沒有答复；管理員

e) 他們將迅速、妥善地處理數據出口商關於其處理所傳輸的個人數據的所有詢問，並將根據監管機構關於處理所傳輸數據的意見採取行動；

f) 應數據出口方的要求，他們將對其數據處理設施進行審計，對這些條款所涵蓋的數據出口方或由具有必要專業資格的獨立成員組成的監督機構進行的處理活動進行審計，受保密義務的約束，由數據出口商選擇，在適當的情況下，經監管機構同意；

g) 如果數據主體要求，他們將向數據主體提供這些條款的副本，或任何現有的數據處理合同分包，除非條款或合同包含商業信息，在這種情況下，它可以刪除此類信息，除附錄 2 外，附錄 2 將被安全措施的摘要描述所取代，其中數據主體無法從數據導出方獲得副本；

h) 在保密的進一步分包數據處理的情況下，他將確保提前通知數據輸出方並獲得數據輸出方的書面同意；

i) 數據處理者提供的處理服務應符合第 11 條的規定；

j) 他們將立即將其根據這些條款簽訂的數據處理協議的任何分包合同的副本發送給數據出口商。

第 6 條

責任

1. 雙方同意，因一方或數據處理方違反第 3 條或第 11 條所述義務而遭受損害的任何數據主體可以從數據出口商那裡獲得損害賠償。

2. 如果數據主體因數據導入方或其數據處理方未能遵守第 3 條或第 11 條規定的任何義務而無法對數據導出方提起第 1 段所述的損害賠償訴訟，因為數據出口商實體消失、在法律上不復存在或資不抵債，數據進口商同意數據主體可以像數據出口商一樣對其提出投訴，除非數據出口商的所有法律義務已通過合同轉移或通過法律運作，轉移到其繼任實體，然後數據主體可以針對該實體執行其權利。數據進口商不得依賴數據處理者違反其義務來逃避其自身的責任。

3. 如果數據主體因數據處理者違反其在第 3 條或第 11 條下的義務而無法對數據導出者或數據導入者提起第 1 和第 2 段所述的訴訟，因為數據導出者和數據導入者實體消失、在法律上不復存在或資不抵債，數據處理者同意數據主體可以根據這些條款就其自身的處理活動對其提出投訴，就好像它是數據導出者或數據導入者一樣，除非所有數據導出者或數據導入者的法律義務已通過合同或法律運作轉移給法定繼承人，數據主體可以針對該繼承人主張其權利。根據這些條款，數據處理者的責任必須僅限於其自身的處理活動。

第 7 條

調解和管轄權

1. 數據導入方同意，如果根據本條款，數據主體向其援引第三方受益人的權利和/或對其遭受的損害要求賠償，則其將接受數據主體的決定：

一）由一個獨立的人，或在適當情況下，監管當局將爭議提交調解;

b）使會員國的法院在數據導出是基於之前對爭端。

2、當事人同意，數據主體的選擇不影響數據主體根據國內法或國際法其他規定獲得救濟的程序性或實體性權利。

第 8 條

與監管機構的合作

1. 數據出口商同意在監管機構要求或適用數據保護法規定的情況下，將本合同的副本存入監管機構。

2. 雙方同意，監管機構可以根據適用的數據保護法對數據進口方和任何數據處理方進行檢查，其程度和條件與在數據出口方進行的檢查相同。

3. 數據進口商應盡快通知數據出口商有關數據進口商或任何數據處理者的立法是否存在阻止根據第 2 段在數據進口商或任何數據處理者處進行驗證的情況。在這種情況下，數據出口商可採取第 5 (b) 條規定的措施。

第 9 條

適用法律

這些條款適用並受數據導出者所在成員國的法律管轄。

第 10 條

合同的修改

雙方承諾不修改本條款。雙方可以自由加入他們認為必要的其他商業條款，前提是這些條款不與當前條款相矛盾。

第 11 條

後續分包

1. 未經數據出口商事先書面同意，數據進口商不得將其根據這些條款代表數據出口商進行的任何處理活動分包出去。數據進口商只能在數據出口商同意的情況下，通過與數據處理者的書面協議將其在這些條款下的義務分包給數據處理者，該協議對數據處理者施加與根據這些條款強加給數據進口商的義務相同的義務。如果數據處理方無法履行該書面協議項下的數據保護義務，則數據導入方應繼續對數據導出方履行這些義務承擔全部責任。

2. 數據導入方和數據處理方之間的事先書面協議還應包括第 3 條中規定的第三方受益人條款，用於防止數據主體提出第 6 條第 1 款中提到的損害索賠的情況)，針對數據出口商或數據進口商，因為數據出口商或數據進口商已實際消失、在法律上不復存在或已資不抵債，並且數據出口商或數據進口商的所有法律義務尚未通過合同或運營轉移法，到另一個繼承實體。根據這些條款，數據處理者的責任必須僅限於其自身的處理活動。

3. 與第 1 段中提到的合同數據處理分包的數據保護方面有關的規定應受數據出口商所在成員國的法律管轄。

4. 數據出口方應保存一份根據本條款簽訂的數據處理協議分包方名單，並由數據進口方按照第5(j)條的規定通知，該清單應至少每年更新一次。該列表應提供給數據導出者的數據保護監督機構。

第 12 條

個人數據處理服務終止後的義務

1. 雙方同意，在完成數據處理服務後，數據導入方和數據處理方將在數據導出方方便的情況下，將所有傳輸的個人數據及其副本返還給數據導出方，或銷毀所有此類數據並提供證明銷毀數據導出者，除非對數據導入者施加的法律禁止其返回或銷毀全部或部分傳輸的個人數據。在這種情況下，數據導入方保證將確保傳輸的個人數據的機密性，並且不再主動處理數據。

2. 數據進口方和數據處理方應確保，如果數據出口方和/或監管機構提出要求，他們將對其數據處理方式進行第 1 段所述措施的驗證。

第 2 部分的附錄 1.1

轉讓詳情

數據導出器

數據導出者是合同協議中定義的客戶。

數據導入器

數據進口商是POSTCODEZIP並分配給處理數據，到數據導出提供服務。

數據主體

傳輸的個人數據涉及以下類別的數據主體：

一種？？通用目錄中列出的電話用戶

★其他，包括：

數據類別

傳輸的個人數據涉及以下類別的數據：

數據導出者的數據主體的個人數據類別，特別是，

一種？？全名

★郵寄地址

一種？？聯繫方式（電子郵件、電話、IP 地址等）

一種？？有關電話訂戶的營銷活動詳情

★其他，包括住房類型、收入、城市平均年齡等匿名填寫

特殊類別的數據（如果適用）

傳輸的個人數據涉及以下特殊類別的數據：

★不預見特殊類別數據的傳輸

一種？？種族或民族血統

一種？？宗教或哲學信仰

一種？？工會會員

一種？？政治觀點

一種？？遺傳信息

一種？？生物識別信息

一種？？有關性取向或性生活的信息

一種？？健康數據

加工活動

傳輸的個人數據將受以下基本處理活動的約束：

- ² 處理目的

代表數據導出者進行的處理基於以下主題，尤其是：

★負責數據導出方提供的產品或服務

★被叫人可以要求提供的產品或服務

★從被叫人處取得的訂單以及對這些訂單的進一步處理

★研究問捲和分析

★電話營銷

一種？？其他，包括：

- â€¢ 加工的性質和目的

數據導入方代表數據導出方處理數據主體的個人數據，以提供以下服務，尤其是：

★自動填表
★地址驗證表

★銷售和營銷

★其他，包括更新市政廳和政黨的數據庫

- â€¢ 提供服務和僱傭服務提供者

POSTCODEZIP 主要對Data Exporter 進行組合、集中和提供服務。指定的服務提供商提供的服務可以圍繞以下輔助服務構建（以及其他適當的）：(i) 提供與所使用的數據處理中心相關的應用程序、工具、系統和 IT 基礎設施，以便提供並通過此類應用程序、工具和系統支持服務，包括處理上述數據主體的個人數據，(ii) 提供與此類應用程序、工具、系統相關的 IT 支持、維護和其他服務和 IT 基礎設施，包括對存儲在此類應用程序、工具和系統中的個人數據的潛在訪問，以及 (iii) 提供數據保護服務、保護監控和事件響應服務，包括在提供此類保護服務時可能訪問個人數據。 POSTCODEZIP 可能會聘請如下數據處理者提供服務，包括輔助服務。

- â€¢ 外部第三方服務提供商作為分配給數據處理的子實體

POSTCODEZIP 聘請外部和第三方服務提供商（不是 POSTCODEZIP 的子公司）來支持向數據導出者提供服務。數據導出者批准此類外部第三方服務提供商作為分配給數據處理的子實體。

如果參與數據處理的子實體位於歐盟/歐洲經濟區以外的國家/地區，根據歐盟委員會的決定，該國家/地區沒有足夠的數據保護水平，則數據進口商將採取措施獲得足夠的數據保護水平。根據 GDPR 和第 1 部分第 3.4 (iv) 節保護數據。

附錄 2，第 2 部分

技術和組織保護措施

數據進口方應採取以下經數據出口方確認的技術和組織保護措施，以根據風險保證個人權利和自由的適當安全水平。在評估相關保護級別時，數據出口商特別考慮了處理中涉及的風險，包括意外或非法破壞、更改、未經授權的披露或訪問傳輸、存儲或以其他方式處理的個人數據。澄清：這些技術和組織保護措施不適用於數據導出者提供的應用程序、工具、系統和/或 IT 基礎設施。

1 一般技術和組織保護措施

1.1 一般信息和數據保護策略

應採取以下步驟來遵循一般數據和信息保護策略：

a) 採取措施評估在技術和組織保護方面採取的措施；

b) 提供培訓以提高員工的意識；

c) 對相關係統進行描述並授予員工訪問權限；

d) 無論何時實施或修改系統，都應建立正式的文件化過程；

e) 記錄組織結構、過程、職責和各自的評估；

1.2 信息保護的組織

應採取以下措施來協調數據和信息保護活動：

a) 定義保護信息和數據的責任（例如通過數據保護管理政策）；

b) 保護可用信息和數據的必要專業知識；

c) 所有員工都致力於確保個人數據保密，並已被告知違反此承諾的潛在後果。

1.3 加工區出入控制

必須採取以下措施來防止未經授權的人員在處理、存儲或傳輸個人數據時訪問數據處理系統（特別是軟件和硬件）：

a) 建立安全區域；

b) 保護和限制對數據處理系統的訪問；

c) 為員工和第三方建立訪問授權，包括各自的文件；

d) 應記錄對存儲個人數據的數據處理中心的任何訪問。

1.4 對數據處理系統的訪問控制

必須採取以下措施來防止未經授權訪問數據處理系統：

a) 用戶認證政策和程序；

b) 在所有計算機系統上使用密碼；

c) 對網絡的遠程訪問需要多因素身份驗證，並根據其職責和授權授予相關人員；

d) 對特定功能的訪問基於單獨分配給用戶帳戶的工作功能和/或屬性；

e) 定期審查與個人數據相關的訪問權限；

f) 更新訪問權限的記錄。

1.5 控制對數據處理系統特定使用領域的訪問

必須採取以下措施確保有權使用數據處理系統的被授權人只能訪問其各自職責和訪問權限範圍內的數據，不得擅自讀取、複製、修改或刪除個人數據：

1.
1. a) 員工的政策、指示和培訓，涉及他們每個人在保密、訪問個人數據的權利以及個人數據處理範圍方面的義務；

b) 對未經授權訪問個人數據的人採取紀律措施；

c) 應僅在需要知道的基礎上授予授權人員訪問個人數據的權限；

d) 維護系統管理員名單，並採取適當措施監控系統管理員；

e) 不得複製或複製任何存儲系統上的個人數據，以使未經授權的人能夠刪除發起人的信息；

f) 受控和記錄的數據刪除或銷毀；

g) 安全地存儲所有出於法律或監管原因必須保留的個人數據（例如保留數據的義務），並且僅在法律要求的時間內保留。

1.6 變速器控制

必須採取以下措施，以防止個人數據在數據存儲設備的傳輸或運輸過程中被未經授權的第三方讀取、複製、修改或刪除（取決於所進行的個人數據處理）：

1.
1. a) 使用防火牆；

b) 避免出於傳輸目的將個人數據存儲在移動存儲設備上，或對設備進行加密；
c) 只有在激活加密保護後才能在筆記本電腦和其他移動設備上使用；

d) 記錄個人數據傳輸。

1.7數據輸入控制

必須採取以下措施以確保可以驗證和確定個人數據是否已被輸入或從數據處理系統中刪除，以及由誰：

1.
1. a) 授權讀取、更改和刪除存儲數據的策略；

b) 有關讀取、更改和刪除存儲數據的保護措施。

1.8 工作控制

在委託處理個人數據的情況下，必須採取以下措施以確保按照主管的指示處理此類數據：

1.
1. a) 分配給數據處理的實體或子實體，謹慎選擇（代表控制者處理個人數據的服務提供商）；

b) 向分配給數據處理的員工、實體或子實體提供有關個人數據處理範圍的說明；

c) 與分配給數據處理的實體或子實體商定的審計權；

d) 與指定處理數據的實體或子實體達成的協議。

1.9 與用於其他目的的加工分離

必須採取以下措施來確保為其他目的收集的數據可以單獨處理：

1.
1. a) 根據用戶的現有權利單獨訪問個人數據；

b) 接口、批處理和報告用於其他目的和功能，以便為其他目的收集的數據可以單獨處理。

1.10 假名化

對於個人數據的假名化，必須採取以下措施：

1.
1. a) 如果數據出口方訂購了特定的處理操作，或者如果數據進口方根據有關某些處理活動的現行數據保護法認為這是合適的，則個人數據的處理將按照以下方式進行：如果不使用附加信息，數據就不能再歸屬於特定的人。這些附加信息將單獨保存；

b) 使用假名化技術，包括分配列表隨機化；以銳利的形式創造價值。

1.11 加密

應採取以下步驟對支持加密的應用程序和傳輸中的個人數據進行加密：

1. a) 使用加密技術；

b) 建立加密管理以支持授權使用的加密技術；

c) 通過用於生成、修改、撤銷、銷毀、分發、認證、存儲、捕獲、使用和存檔加密密鑰的程序和協議來支持密碼學的使用，以防止未經授權的修改和披露。

1.12 數據處理系統和服務的完整性

必須採取以下措施以確保數據處理系統和服務的完整性：

1. a) 保護數據處理系統免受通過適當手段（例如防病毒軟件、數據丟失防護軟件和惡意軟件、軟件補丁、防火牆和託管桌面保護）的操縱或破壞；

b) 禁止安裝任何對數據處理系統、服務或個人數據操作有害的服務或軟件；

c) 在網絡本身的結構中使用網絡入侵檢測和預防系統。

1.13 數據處理系統和服務的可用性以及在發生重大或技術事故時恢復訪問和使用個人數據的可能性

必須採取以下措施，以確保數據處理系統的可用性，以及在發生材料或技術事件時能夠快速恢復個人數據的可用性和訪問權限（特別是通過確保個人數據受到保護，不會被意外破壞或丟失）：

a) 有控製手段來保存備份副本和恢復丟失或刪除的數據；

b) 基礎設施冗餘和性能測試；

c) 計算機資源的實物保護；

d) 使用工具監控內部網絡的狀態和可用性；

e) 管理事件管理程序的事件報告和響應政策，並作為定期培訓的一部分重申遵守這些政策；

f) 備份（有時是異地）以恢復系統以使其再次執行其功能；

g) 業務連續性/災難恢復計劃

1.14 數據處理系統和服務的彈性

必須採取以下措施來確保數據處理系統和服務的彈性：

a) 系統和和諧配置，使用批准的安全參數；

b) 網絡冗餘；

c) 關鍵系統的密封保護。

1.15 定期測試、評估和評估技術和組織措施有效性以確保數據處理安全的程序

定期測試、評估和評估保護數據處理的技術和組織措施的有效性的程序。

a) 採取必要的步驟來評估風險和緩解策略；

b) IT 部門的服務分析會議，以解決當前問題；

c) 定期更新業務連續性/災難恢復計劃。

第 3 部分

各方簽名和數據進口商名單

當您填寫在線訂單並通過勾選接受一般使用條款和條件的框進行驗證時，管理客戶與 POSTCODEZIP 之間關係的合同即成立。

將付款發送到 POSTCODEZIP 將視為已同意並建立的合同。

請注意：本文是從法語翻譯過來的。有效且具有法律限制的原始法語版本可在此處獲取。