数据处理附录

本附录构成合同不可分割的一部分，由以下各方签订：

(i) 客户（“数据导出者”）
(ii) POSTCODEZIP（“数据导入器”）

每个都是一个“派对”，通常是“派对”。

前言

数据进口商提供专业软件服务、计算机和相关服务的地方；

根据合同，数据导入方已同意向数据导出方提供合同中规定的服务（“服务”）；

如果数据进口方通过提供服务而获得或受益于对数据出口方信息或与数据出口方有（潜在）关系的其他人的信息的访问，则此类信息可能被视为法规意义上的个人数据(EU) 2016 年 4 月 27 日欧洲议会和理事会关于保护个人处理个人数据和此类数据的自由移动 (“ GDPR ”) 的2016/679和其他适用的数据保护法。

本附录包含适用于数据进口商作为数据出口商的授权数据处理代理收集、处理和使用此类个人数据的条款和条件，以确保双方遵守适用的数据保护法.

因此，为使双方能够合法地继续他们的关系，双方达成了本附录如下：

第1部分

1. 文件的结构和定义

1.1 结构

本附录包括以下不同部分：

第1部分：	包含一般规定，例如关于本附录中使用的定义、遵守当地法律、时间安排和终止
第2部分：	包含未经修订的标准合同条款文件的正文
第 2 部分的附录 1.1：	包含数据导入方向作为授权数据处理代理的数据导出方提供的处理操作的详细信息（包括处理、处理的性质和目的、个人数据的类型以及数据主体的类别）。附录
第 2 部分的附录 2：	包含对数据导入者的技术和组织安全措施的描述，这些措施适用于第 2 部分附录 1.1 中描述的所有处理活动
第 3 部分：	包含受本附录约束的各方的签名并标识每个数据导入者

1.2 术语和定义

就本附录而言，GDPR 使用的术语和定义适用（在第 2 部分标准合同条款文件的正文中，定义的术语未大写）。

“会员国”	指属于欧盟或欧洲经济区的国家
“特殊类别的（个人）数据”	指揭示种族或族裔血统、政治观点、宗教或哲学信仰或工会会员身份的个人数据，以及基因数据、生物识别数据（如果为了唯一识别个人而进行处理）、有关健康的数据、有关个人性别的数据生活或性取向
《标准合同条款》	指根据 2010 年 2 月 5 日的委员会决定 2010/87/EU 制定的用于传输在第三国建立的处理代理的个人数据的标准合同条款，该条款由 2016 年 2 月 16 日的委员会实施决定 (EU) 2016/2297 修订。 2016 年 12 月
“数据处理器”？？	指位于欧盟/欧洲经济区内部或外部的任何处理代理，他们同意从数据导入方或数据导入方的任何其他处理方接收个人数据，专用于数据导出方在根据数据导出者的指示、本附录的条款以及与数据导入者的合同进行传输

2. 数据导出者的义务

2.1 数据出口方有义务确保遵守 GDPR 和适用于数据出口方的任何其他适用数据保护法项下的所有适用义务，并按照 GDPR 第 5 (2) 条的要求证明此类遵守情况。数据出口方保证数据进口方已根据 GDPR 第 6 (a) 条获得数据主体的事先同意，并已按照 GDPR 第 13 条和第 14 条履行了通知数据主体的义务。

2.2 数据出口方必须根据 GDPR 第 30 条第 1 款向数据进口方提供与本附录下的服务相关的处理活动的相应文件，以确保数据进口方履行其义务GDPR 第 30 (2) 条。

2.3 数据出口商必须在适用数据保护法要求的范围内任命一名数据保护官或代表。数据导出者有义务向数据导入者提供数据保护代理或代表（如果有）的联系方式。

2.4. 数据导出方在完成处理之前通过接受本附录确认数据导入方的技术和组织安全措施（如第 2 部分的附录 2 所述）适当且足以保护数据主体的权利并确认数据导入方在这方面提供了足够的保障。

3. 遵守当地法律

为满足 GDPR 第 28 条规定的处理代理实施要求，适用以下修订：

3.1说明

(i) 数据导出者指示数据导入者仅代表数据导出者处理个人数据。本附录和合同中提供了数据导出者的说明。数据导出方有义务确保向数据导入方发出的所有指令均符合适用的数据保护法。除非欧盟或成员国法律另有要求，否则数据导入方必须仅根据数据导出方提供的说明处理个人数据（在后一种情况下，第 1 部分第 3.2 (iv) (c) 条适用） .
(ii) 超出本附录或合同中的说明的所有其他说明必须包含在本附录和合同的主题中。如果执行此附加指令涉及数据导入方的费用，数据导入方应在执行指令之前将此类费用通知数据导出方并提供解释。只有在数据导出方确认接受这些执行指令的费用后，数据导入方才应执行此附加指令。除非紧急或其他特定情况需要另一种形式（例如口头、电子），否则数据导出者必须以书面形式给出额外的指示。非书面形式的指示必须由数据导出方立即以书面形式确认。
1. 除非数据导出方无法自行对个人数据进行更正、删除或限制，否则该说明也可能涉及第 1 部分第 3.3 条中规定的个人数据的更正、删除和/或限制。
2.数据进口商必须立即通知数据导出，如果它认为，一个指令违反GDPR或欧盟或成员国的其他适用的数据保护规定（”争议指令”）。如果数据进口商认为指令违反了欧盟或成员国的 GDPR 或其他适用的数据保护规定，则数据进口商没有义务遵循争议指令。如果数据出口商在从数据进口商处收到信息并承认其对有争议的指令负责，数据进口商应执行有争议的指令，除非有争议的指令涉及 (i) 技术和组织措施的实施，(ii) 数据的权利主体或 (iii) 数据处理者的参与。在 (i) 至 (iii) 的情况下，数据进口商可以联系主管监管机构，让该机构对有争议的指令进行合法评估。如果监管机构宣布被质疑指令合法，数据导入方应执行被质疑指令。第 1 部分第 3.1 (ii) 条应继续适用。

3.2 数据进口方的义务

(i) 数据进口商必须确保经数据进口商授权代表数据出口商处理个人数据的人员，尤其是数据进口商的员工和任何分包商的员工，已承诺遵守保密规定或受制于适当的法定保密义务，并且有权访问个人数据的此类人员根据数据导出者的指示对其进行处理。
(ii) 在代表数据出口商处理个人数据之前，数据进口商必须实施第 2 部分附录 2 中规定的技术和组织安全措施。如果技术和组织安全措施提供的保护不低于第 2 部分附录 2 中规定的保护，则数据导入方可能会不时更改技术和组织安全措施。
(iii) 应数据出口商的要求，数据进口商应向数据出口商提供信息，以表明其遵守本附录规定的数据进口商的义务。双方同意通过向数据导出方提供审计报告（涵盖原则安全、系统可用性和机密性）（“审计报告”）来履行此信息义务。如果法律要求进行额外的审计活动，数据出口商可以要求数据出口商或数据出口商指定的其他审计员进行检查，前提是该审计员与数据进口商签署保密协议，以保证数据进口商的安全。合理的满意度（“审计”）。本次审计受以下条件约束：(i) 数据导入方的事先正式书面接受； (ii) 数据出口商应承担与数据出口商和数据进口商现场审计相关的所有费用。数据导出者必须创建一份总结现场审计结果和观察结果的审计报告（“现场审计报告”）。现场审计报告和审计报告是数据进口商的机密信息，不得向第三方披露，除非适用的数据保护法要求或根据数据进口商的同意。现场审计报告和审计报告是数据进口商的机密信息，不得向第三方披露，除非适用的数据保护法要求或根据数据进口商的同意。现场审计报告和审计报告是数据进口商的机密信息，不得向第三方披露，除非适用的数据保护法要求或根据数据进口商的同意。
(iv) 数据进口方有义务及时通知数据出口方：
1. 一种。关于执法机关披露个人数据的任何具有法律约束力的请求，除非另有禁止，例如刑法禁止保护执法调查的机密性
2. 湾关于直接从数据主体收到的任何投诉和请求（例如，关于访问、更正、删除、处理限制、数据可移植性、反对数据处理、自动决策）而不响应该请求，除非数据导入方已获得授权这样做
3. C。如果数据导入者或数据处理者根据欧盟或数据导入者或数据处理者所属成员国的法律有义务在超出数据导出者的指示范围内处理个人数据，则在进行此类处理之前指示，除非欧盟或成员国的法律基于重要的公共利益理由禁止此类处理，在这种情况下，向数据出口商发出的通知应指明欧盟或成员国法律下的法律要求；或者
4. d.如果数据进口商仅因自身或其分包商而意识到个人数据受到侵犯，这将影响本合同所涵盖的数据出口商的个人数据，在这种情况下，数据进口商将协助数据出口商履行其义务，根据适用的数据保护法，根据 GDPR 第 33 条第 3 款，通过提供可支配的信息通知数据主体和（在适用的情况下）监管机构。
5. (v) 应数据出口方的要求，数据进口方应被迫协助数据出口方履行 GDPR 第 35 条可能要求的数据保护影响评估和可能需要的事先协商的义务。 GDPR 第 36 条关于数据进口方根据本附录向数据出口方提供的服务的要求，向数据出口方提供必要的信息。只有在数据出口方无法通过其他方式履行其义务时，数据进口方才有义务提供此类协助。数据进口商将告知数据出口商此类协助的费用。一旦数据导出器确认其可以承担此费用，数据导入器将向数据导出器提供此帮助。
6. (vi) 在提供服务结束时，数据输出方可以在提供服务后一个月内要求返还数据输入方根据本附录处理的个人数据。除非成员国或欧盟的立法要求数据进口商存储或保留此类个人数据，否则数据进口商将在一个月期限后删除所有此类个人或非个人数据，无论这些数据是否已返回至所述数据导出器在其请求。

3.3 相关人员的权利

1. (i) 数据导出者管理和响应数据主体提出的请求。数据进口商没有义务直接回应数据主体。
2. (ii) 如果数据出口商需要数据进口商协助处理和响应数据主体的请求，数据出口商应根据第 1 部分第 3.1 (ii) 条发出进一步指令。数据进口商将协助数据出口商采取以下适当的技术组织措施来响应 GDPR 第三章中规定的行使数据主体权利的请求，如下所示：
3. 一种。对于信息请求，如果数据导出者无法自行找到，数据导入者将仅向数据导出者提供 PGRD 第 13 条和第 14 条要求的信息。
4. 湾关于访问请求（GDPR 第 15 条），数据导入方将仅向数据导出方提供应提供给数据主体以用于上述访问请求的信息，如果后者无法单独找到它。
5. C。关于纠正请求（GDPR 第 16 条）、删除请求（GDPR 第 17 条）、处理请求的限制（GDPR 第 18 条）或可移植性请求（GDPR 第 20 条），并且仅如果数据导出方自身无法纠正或删除、限制或传输个人数据给另一第三方，则数据导入方将向数据导出方提供纠正或删除、限制或传输相关个人数据给其他第三方的可能性，或者如果无法做到这一点，它将提供协助以纠正或删除、限制或传输有关的个人数据给其他第三方。
6. d. 关于与更正、删除或限制处理相关的通知（GDPR 第 19 条），如果数据出口商提出要求，则数据进口商将通过通知数据进口商作为处理者聘用的个人数据的所有接收者来协助数据出口商如果数据导出者无法自行补救这种情况。
7. e. 关于数据主体行使的异议权（GDPR 第 21 条和第 22 条），数据导出方将确定异议是否合法以及如何处理。
8. (iii) 数据进口商的协助义务仅限于在其基础设施内处理的个人数据（例如数据进口商拥有或提供的数据库、系统、应用程序）。
9. (iv) 数据出口商应确定数据主体是否可以行使本第 1 部分第 3.1 条规定的数据主体权利，并应告知数据进口商第 3.3 (ii)、（ iii) 第 1 部分的内容是必要的。
10. (v) 如果数据出口方要求额外的或修改的技术和组织措施来满足数据主体的权利，这些措施超出了数据进口方根据第 1 部分第 3.3 (ii)、(iii) 款提供的协助，则数据进口商应告知数据出口商实施此类额外或修改的技术和组织措施的成本。一旦数据出口方确认其能够支付这些费用，数据进口方应立即实施此类额外或修改的技术和组织措施，以协助数据出口方响应数据主体的请求。
11. (vi) 在不限制第 1 部分第 3.3 (v) 条的范围的情况下，数据导出方有义务补偿数据导入方为响应数据主体的请求而产生的合理费用。

3.4 子处理

1. (i) 数据出口商授权数据进口商使用分包商提供本附录项下的服务。数据进口商应谨慎选择此类数据处理器。数据导出方批准第 2 部分末尾附录 1.1 中列出的数据处理方。
2. (ii) 数据进口商应在适用于分包服务的范围内将其在本附录下的义务转移给数据处理者。
3. (iii) 数据进口商可自行决定解雇、更换或任命另一个适当且可靠的数据处理者。如果数据导出者以书面形式提出要求，数据导入者必须遵循以下程序：

1. 一种。数据导入方应在对第 1 部分第 3.4 (i) 条提及的数据处理方列表进行任何更改之前通知数据导出方。如果数据导出方未根据第 3.4 条提出异议。 (b) 第 1 部分在收到数据进口商的通知后三十天，额外的数据处理者应被视为被接受。
2. 湾如果数据导出方有正当理由反对额外的数据处理方，它将在收到数据导入方通知后的 30 天内且在数据导入方的服务投入运营之前向数据导入方发出事先书面通知。如果数据导出者反对使用额外的数据处理器，数据导入者可以通过以下选项之一（由其酌情选择）清除反对意见：(A) 数据导入者将取消其使用额外处理器的计划关于数据导出者的个人数据； (B) 数据进口方将采取数据出口方在其反对意见中要求的纠正措施（取消反对），并就数据出口方的个人数据使用额外的处理器；(C) 数据进口商可能会停止提供或数据出口商可能同意不（暂时或永久）使用服务的特定方面，这将涉及使用数据出口商对数据出口商个人数据的进一步处理。
1. (iv) 如果数据处理者位于 EU-EEA 以外的国家/地区，该国家/地区根据欧盟委员会的决定未被认可提供足够的数据保护水平，则数据进口商将采取措施以遵守足够的水平根据 GDPR 进行数据保护（此类措施可能包括 - 其中包括 - 使用基于欧盟模式条款的数据处理合同，在欧盟-美国保护盾框架内转移到自我认证的数据处理器，或类似的程序）。

3.5 到期

本附录的到期日与相应合同的到期日相同。除本附件另有规定外，与终止有关的权利和义务与本合同所载的权利和义务相同。

4. 责任限制

4.1 每一方处理其在本附录和适用的数据保护立法下的义务。

4.2 与违反本附录或适用的数据保护立法规定的义务有关的任何责任均应受本合同规定或适用于本合同的责任条款的约束和管辖，本附录另有规定的除外。如果责任受本合同规定的或适用于本合同的责任条款管辖，则为计算责任限额或确定其他责任限额的适用，本附件下产生的任何责任均应视为本合同下产生的责任。

5.一般规定

5.1 本附件第1、2部分如有不一致或不一致之处，以第2部分为准。具体而言，即使在这种情况下，仅超出第 2 部分（即标准条款的条款）而不与第 2 部分相冲突的第 1 部分仍然有效。

5.2 如果本附录的规定与对双方具有约束力的其他合同的规定有任何差异，则以本附录规定双方的数据保护义务。如对其他合同中的条款是否涉及当事人的数据保护义务存有疑问，以本附件为准。

5.3 如果本附录的任何条款无效或无法执行，本附录的其余部分应保持完全有效。无效或不可执行的条款将被 (i) 修改以确保其有效性和可执行性，同时尽可能保留双方的意图，或者 - 如果这不可能 - (ii) 解释为好像无效或不可执行的部分已经从未成为合同的一部分。如果本附录有遗漏，上述规定也适用。

5.5 在必要的范围内，双方可以要求修改第 1 部分第 3 条（遵守当地法律）或附录的其他部分，以符合欧盟或欧盟主管当局发布的解释、指令或命令。成员国、国家执法规定或与 GDPR 相关的任何其他法律发展或向参与数据处理的任何实体授权的其他条件，特别是与 GDPR 中标准合同条款的使用相关的其他条件。除非欧盟委员会明确批准（例如通过新的适当条款和数据保护标准），否则不得修改或替换标准合同条款的条款。

5.6 本附录中对“条款”的任何引用均应理解为指本附录的所有规定，除非另有说明。

5.7 第 2 部分第 9 条中的法律选择适用于整个合同。

6. 当事人出于个人目的传输和处理的个人数据（从数据控制者转移到数据控制者）

6.1 双方充分了解某些个人数据将从数据导出方传输到数据导入方，反之亦然，并且此类数据由每一方出于其自身目的进行处理。关于该等个人资料，不影响本附件的其他规定（本第6条除外）。

6.2 数据出口方可以将与数据进口方员工相关的个人数据传输给数据进口方，包括安全事件信息，或数据出口方创建或建立的与数据进口方员工提供的服务相关的任何其他文件或文件。数据供应商。数据导入方可能会出于自身目的处理此类个人数据，尤其是在与数据导入方人员的专业关系、质量控制和培训或商业目的方面。

6.3. 数据导入方可以将个人数据传输给数据导出方，包括数据导入方人员的姓名和联系方式。数据导出方可能出于自身目的处理此类个人数据。

6.4 双方在收集、处理和使用根据第 1 部分第 1 条从另一方收到的此类个人数据时应遵守任何适用的数据保护法律，包括 GDPR。特别是，双方应采取充分的安全措施，提供与第 2 部分附录 2 中规定的安全措施类似的保护级别。对此类个人数据的任何访问都应仅限于需要了解它们。

6.5 双方必须在达到目的后尽快删除该等个人资料。

第2部分

委员会的决定

2010 年 2 月 5 日

关于根据欧洲议会和理事会的 95/46/EC 指令将个人数据传输给在第三方国家建立的数据处理者的标准合同条款

第 1 条

定义

在条款的含义内：

a) “个人数据”、“特殊数据类别”、“处理/处理”、“控制者”、“处理者”、“数据主体”和“监管机构”的含义与 95/46/EC 中的含义相同1995 年 10 月 24 日欧洲议会和理事会关于保护个人处理个人数据和自由移动此类数据的指令 (1)；

b) “数据导出者”是传输个人数据的数据控制者；

c) “数据导入者”是数据处理者，同意从数据导出者处接收旨在代表数据导出者在传输后根据其指示和这些条款的条款进行处理的个人数据，并且该数据处理者不是受第 95/46/EC 号指令第 25(1) 条所指的第三国机制的约束； (d) “数据处理器”是指由数据进口商或数据进口商的任何其他数据处理器聘用的数据处理器，该数据处理器同意从数据进口商或数据进口商的任何其他数据处理器接收个人数据，专门用于处理活动根据数据导出者的指示在传输后代表数据导出者进行，根据本条款规定的条件和数据处理合同的书面分包条款；

e) “适用的数据保护法”是指保护个人基本权利和自由的立法，包括与个人数据处理有关的隐私权，并适用于数据出口商所在成员国的控制者；

f) “与安全相关的技术和组织措施”？？指旨在保护个人数据免遭意外或非法破坏或意外丢失、更改、未经授权的披露或访问的措施，特别是在处理涉及通过网络传输数据的情况下，以及防止所有其他非法处理形式。

第 2 条

转让详情

附录 1 规定了传输的详细信息，包括在适当情况下特殊类别的个人数据，该附录是这些条款的组成部分。

第 3 条

第三方受益人条款

1. 数据主体可以对数据导出者执行本条、第 4(b) 至 (i) 条、第 5(a) 至 (e) 和 (g) 至 (j) 条、第 6 (1) 和 (2) 条)、第 7 条、第 8(2) 条和第 9 至第 12 条作为第三方受益人

2. 数据主体可以对数据导入方执行本条、第 5 (a) 至 (e) 和 (g) 条、第 6 条、第 7 条、第 8 (2) 条和第 9 条至第 12 条，如果数据导出方有实际在法律中消失或不复存在，除非他的所有法律义务已通过合同或法律运作转移到继承实体，因此数据导出者的权利和义务恢复到该继承实体，并且数据针对该继承实体因此，主体可以执行上述条款。

数据主体可以对数据处理者强制执行本条、第 5 (a) 至 (e) 和 (g) 条、第 6 条、第 7 条、第 8 (2) 条和第 9 条至第 12 条，但仅限于以下情况：出口商和数据进口商已实际消失、在法律上不复存在或资不抵债，除非数据出口商的所有法律义务已通过合同或法律实施转移给合法继承人，其权利和因此，数据导出者的义务是既定的，数据主体因此可以对其执行此类条款。数据处理者的此类责任必须仅限于其在这些条款下的处理活动。

4. 如果数据主体愿意且国家法律允许，则当事人不反对由协会或其他机构代表的数据主体。

第 4 条

数据导出者的义务

数据导出者接受并保证以下内容：

a) 处理，包括个人数据的实际传输，已经并将继续根据适用数据保护法的相关规定进行（并且，在适用的情况下，已通知成员国的主管当局数据出口方所在的）并且不违反该国的相关规定；

b) 他们已经指示并将在个人数据处理服务期间指示数据导入方根据适用的数据保护法和这些条款处理仅代表数据导出方传输的个人数据；

c) 数据导入方将对本合同附录 2 中规定的技术和组织安全措施提供足够的保障；

d) 在评估适用数据保护法的要求后，安全措施足以保护个人数据免遭意外或非法破坏或意外丢失、更改、未经授权的披露或访问，尤其是在处理涉及数据传输的情况下通过网络，并防止所有其他非法形式的处理，并确保与处理所代表的风险和要保护的数据的性质相适应的安全级别，同时考虑到技术水平和实施成本；

e) 他们将确保遵守安全措施；

f) 如果传输涉及特殊类别的数据，在传输前或传输后尽快通知数据主体他或她的数据可能被传输到不提供的第三国95/46/EC 指令含义内的足够保护水平；

g) 如果数据保护监管机构决定继续转移或解除暂停，他们会将根据第 5 (b) 和第 8 (3) 条从数据进口商或任何数据处理器收到的任何通知转发给数据保护监管机构；

h) 如果数据主体要求，他们应向数据主体提供本条款的副本（附录 2 除外）、安全措施的摘要说明以及根据本条款签订的任何进一步分包协议的副本，除非条款或协议包含商业信息，在这种情况下，他可以撤回此类信息；

i) 在分包数据处理过程的情况下，处理活动根据第 11 条由数据处理者执行，该数据处理者根据这些条款提供至少与数据导入者相同级别的个人数据保护和数据主体权利; 和

j) 它将确保遵守第 4 (a) 至 (i) 条。

第 5 条

数据导入者的义务

数据导入者接受并保证以下内容：

a) 他们将仅代表数据导出者并根据数据导出者的指示和这些条款处理个人数据；如果由于任何原因不能遵守，他们同意尽快通知数据出口商其无法履行，在这种情况下，数据出口商可以暂停数据传输和/或终止合同；

b) 他们没有理由相信适用于他们的法律阻止他履行数据导出者给出的指示以及他在合同项下应承担的义务，并且如果该法律发生变化而可能产生重大不利影响对本条款项下的保证和义务的影响，他应在获悉后立即通知数据出口方该变更，在这种情况下，数据出口方可以暂停数据传输和/或终止合同；(c) 在处理传输的个人数据之前，他们已经实施了附录 2 中规定的技术和组织安全措施；

d) 他们将立即通知数据导出者：

i) 任何来自执法机关的具有约束力的披露个人数据的请求，除非另有规定，例如旨在保护警方调查保密的刑事禁令；

ii) 任何偶然或未经授权的访问；和

iii) 直接从有关人员那里收到的任何请求，除非他得到授权，否则没有答复；管理员

e) 他们将迅速、妥善地处理数据出口商关于其处理所传输的个人数据的所有询问，并将根据监管机构关于处理所传输数据的意见采取行动；

f) 应数据出口方的要求，他们将对其数据处理设施进行审计，对这些条款所涵盖的数据出口方或由具有必要专业资格的独立成员组成的监督机构进行的处理活动进行审计，受保密义务的约束，由数据出口商选择，在适当的情况下，经监管机构同意；

g) 如果数据主体要求，他们将向数据主体提供这些条款的副本，或任何现有的数据处理合同分包，除非条款或合同包含商业信息，在这种情况下，它可能会删除此类信息，除了附录 2，附录 2 将被安全措施的摘要描述所取代，其中数据主体无法从数据导出方获得副本；

h) 在保密的进一步分包数据处理的情况下，他将确保提前通知数据输出方并获得数据输出方的书面同意；

i) 数据处理者提供的处理服务应符合第 11 条的规定；

j) 他们将立即将其根据这些条款签订的数据处理协议的任何分包合同的副本发送给数据出口商。

第 6 条

责任

1. 双方同意，因一方或数据处理方违反第 3 条或第 11 条所述义务而遭受损害的任何数据主体可以从数据出口方获得损害赔偿。

2. 如果数据主体因数据导入方或其数据处理方未能遵守第 3 条或第 11 条规定的任何义务而无法对数据导出方提起第 1 段所述的损害赔偿诉讼，因为数据出口商实体消失、在法律上不复存在或资不抵债，数据进口商同意数据主体可以像数据出口商一样对其提出投诉，除非数据出口商的所有法律义务已通过合同转移或通过法律运作，转移到其继任实体，然后数据主体可以针对该实体执行其权利。数据进口商不得依赖数据处理者违反其义务来逃避其自身的责任。

3. 如果数据主体因数据处理者违反其在第 3 条或第 11 条下的义务而无法对数据导出者或数据导入者提起第 1 和第 2 段所述的诉讼，因为数据导出者和数据导入者实体消失、在法律上不复存在或资不抵债，数据处理者同意数据主体可以根据这些条款就其自身的处理活动对其提出投诉，就好像它是数据导出者或数据导入者一样，除非所有数据导出者或数据导入者的法律义务已通过合同或法律运作转移给法定继承人，数据主体可以针对该继承人主张其权利。根据这些条款，数据处理者的责任必须仅限于其自身的处理活动。

第 7 条

调解和管辖权

1. 数据导入方同意，如果根据本条款，数据主体向其援引第三方受益人的权利和/或对其遭受的损害要求赔偿，则其将接受数据主体的决定：

a) 将争议提交独立人士或监管机构（如适用）进行调解；

b) 将争议提交数据导出方所在成员国的法院。

2、当事人同意，数据主体的选择不影响数据主体根据国内法或国际法其他规定获得救济的程序性或实体性权利。

第 8 条

与监管机构的合作

1. 数据出口商同意在监管机构要求或适用数据保护法规定的情况下，将本合同的副本存入监管机构。

2. 双方同意，监管机构可以根据适用的数据保护法对数据进口方和任何数据处理方进行检查，其程度和条件与在数据出口方进行的检查相同。

3. 数据进口商应尽快通知数据出口商有关数据进口商或任何数据处理者的立法是否存在阻止根据第 2 段在数据进口商或任何数据处理者处进行验证的情况。在这种情况下，数据出口商可采取第 5 (b) 条规定的措施。

第 9 条

适用法律

这些条款适用并受数据导出者所在成员国的法律管辖。

第 10 条

合同的修改

双方承诺不修改本条款。双方可以自由加入他们认为必要的其他商业条款，前提是这些条款不与当前条款相矛盾。

第 11 条

后续分包

1. 未经数据出口商事先书面同意，数据进口商不得将其根据这些条款代表数据出口商进行的任何处理活动分包出去。数据进口商只能在数据出口商同意的情况下，通过与数据处理者的书面协议将其在这些条款下的义务分包给数据处理者，该协议对数据处理者施加与根据这些条款强加给数据进口商的义务相同的义务。如果数据处理方无法履行该书面协议项下的数据保护义务，则数据导入方应继续对数据导出方履行这些义务承担全部责任。

2. 数据导入方和数据处理方之间的事先书面协议还应包括第 3 条中规定的第三方受益人条款，用于防止数据主体提出第 6 条第 1 款中提到的损害索赔的情况)，针对数据出口商或数据进口商，因为数据出口商或数据进口商已实际消失、在法律上不复存在或已资不抵债，并且数据出口商或数据进口商的所有法律义务尚未通过合同或运营转移法，到另一个继承实体。根据这些条款，数据处理者的责任必须仅限于其自身的处理活动。

3. 与第 1 段中提到的合同数据处理分包的数据保护方面有关的规定应受数据出口商所在成员国的法律管辖。

4. 数据出口方应保存一份根据本条款签订的数据处理协议分包方名单，并由数据进口方按照第5(j)条的规定通知，该清单应至少每年更新一次。该列表应提供给数据导出者的数据保护监督机构。

第 12 条

个人数据处理服务终止后的义务

1. 双方同意，在完成数据处理服务后，数据导入方和数据处理方将在数据导出方方便的情况下，将所有传输的个人数据及其副本返还给数据导出方，或销毁所有此类数据并提供证明销毁数据导出者，除非对数据导入者施加的法律禁止其返回或销毁全部或部分传输的个人数据。在这种情况下，数据导入方保证将确保传输的个人数据的机密性，并且不再主动处理数据。

2. 数据进口方和数据处理方应确保，如果数据出口方和/或监管机构提出要求，他们将对其数据处理方式进行第 1 段所述措施的验证。

第 2 部分的附录 1.1

转让详情

数据导出器

数据导出者是合同协议中定义的客户。

数据导入器

数据导入器是 POSTCODEZIP 并被分配处理数据，为数据导出器提供服务。

数据主体

传输的个人数据涉及以下类别的数据主体：

一种？？通用目录中列出的电话用户

★其他，包括：

数据类别

传输的个人数据涉及以下类别的数据：

数据导出者的数据主体的个人数据类别，特别是，

一种？？全名

★邮寄地址

一种？？联系方式（电子邮件、电话、IP 地址等）

一种？？有关电话订户的营销活动详情

★其他，包括住房类型、收入、城市平均年龄等匿名填写

特殊类别的数据（如适用）

传输的个人数据涉及以下特殊类别的数据：

★不预见特殊类别数据的传输

一种？？种族或民族血统

一种？？宗教或哲学信仰

一种？？工会会员

一种？？政治观点

一种？？遗传信息

一种？？生物识别信息

一种？？有关性取向或性生活的信息

一种？？健康数据

加工活动

传输的个人数据将受以下基本处理活动的约束：

- ² 处理目的

代表数据导出者进行的处理基于以下主题，尤其是：

★负责数据导出方提供的产品或服务

★被叫人可以要求提供的产品或服务

★从被叫人处取得的订单以及对这些订单的进一步处理

★研究问卷和分析

★电话营销

一种？？其他，包括：

- â€¢ 加工的性质和目的

数据导入方代表数据导出方处理数据主体的个人数据，以提供以下服务，尤其是：

★自动填表
★地址验证表

★销售和营销

★其他，包括更新市政厅和政党的数据库

- â€¢ 提供服务和雇佣服务提供者

POSTCODEZIP 主要对Data Exporter 进行组合、集中和提供服务。指定的服务提供商提供的服务可以围绕以下辅助服务构建（以及其他适当的）：(i) 提供与所使用的数据处理中心相关的应用程序、工具、系统和 IT 基础设施，以便提供并通过此类应用程序、工具和系统支持服务，包括处理上述数据主体的个人数据，(ii) 提供与此类应用程序、工具、系统相关的 IT 支持、维护和其他服务和 IT 基础设施，包括对存储在此类应用程序、工具和系统中的个人数据的潜在访问，以及 (iii) 提供数据保护服务、保护监控和事件响应服务，包括在提供此类保护服务时可能访问个人数据。 POSTCODEZIP 可能会聘请如下数据处理者提供服务，包括辅助服务。

- â€¢ 外部第三方服务提供商作为分配给数据处理的子实体

POSTCODEZIP 聘请外部和第三方服务提供商（不是 POSTCODEZIP 的子公司）来支持向数据导出者提供服务。数据导出者批准此类外部第三方服务提供商作为分配给数据处理的子实体。

如果参与数据处理的子实体位于欧盟/欧洲经济区以外的国家/地区，根据欧盟委员会的决定，该国家/地区没有足够的数据保护水平，数据进口商将采取措施获得足够的数据保护水平。根据 GDPR 和第 1 部分第 3.4 (iv) 节保护数据。

附录 2，第 2 部分

技术和组织保护措施

数据进口方应采取以下经数据出口方确认的技术和组织保护措施，以根据风险保证个人权利和自由的适当安全水平。在评估相关保护级别时，数据出口商特别考虑了处理中涉及的风险，包括意外或非法破坏、更改、未经授权的披露或访问传输、存储或以其他方式处理的个人数据。澄清：这些技术和组织保护措施不适用于数据导出者提供的应用程序、工具、系统和/或 IT 基础设施。

1 一般技术和组织保护措施

1.1 一般信息和数据保护策略

应采取以下步骤来遵循一般数据和信息保护策略：

a) 采取措施评估在技术和组织保护方面采取的措施；

b) 提供培训以提高员工的意识；

c) 对相关系统进行描述并授予员工访问权限；

d) 无论何时实施或修改系统，都应建立正式的文件化过程；

e) 记录组织结构、过程、职责和各自的评估；

1.2 信息保护的组织

应采取以下措施来协调数据和信息保护活动：

a) 定义保护信息和数据的责任（例如通过数据保护管理政策）；

b) 保护可用信息和数据的必要专业知识；

c) 所有员工都致力于确保个人数据保密，并已被告知违反此承诺的潜在后果。

1.3 加工区出入控制

必须采取以下措施来防止未经授权的人员在处理、存储或传输个人数据时访问数据处理系统（特别是软件和硬件）：

a) 建立安全区域；

b) 保护和限制对数据处理系统的访问；

c) 为员工和第三方建立访问授权，包括各自的文件；

d) 应记录对存储个人数据的数据处理中心的任何访问。

1.4 对数据处理系统的访问控制

必须采取以下措施来防止未经授权访问数据处理系统：

a) 用户认证政策和程序；

b) 在所有计算机系统上使用密码；

c) 对网络的远程访问需要多因素身份验证，并根据其职责和授权授予相关人员；

d) 对特定功能的访问基于单独分配给用户帐户的工作功能和/或属性；

e) 定期审查与个人数据相关的访问权限；

f) 更新访问权限的记录。

1.5 控制对数据处理系统特定使用领域的访问

必须采取以下措施确保有权使用数据处理系统的被授权人只能访问其各自职责和访问权限范围内的数据，不得擅自读取、复制、修改或删除个人数据：

1.
1. a) 员工的政策、指示和培训，涉及他们每个人在保密、访问个人数据的权利以及个人数据处理范围方面的义务；

b) 对未经授权访问个人数据的人采取纪律措施；

c) 应仅在需要知道的基础上授予授权人员访问个人数据的权限；

d) 维护系统管理员名单，并采取适当措施监控系统管理员；

e) 不得复制或复制任何存储系统上的个人数据，以使未经授权的人能够删除发起人的信息；

f) 受控和记录的数据删除或销毁；

g) 安全地存储所有出于法律或监管原因必须保留的个人数据（例如保留数据的义务），并且仅在法律要求的时间内存储。

1.6 变速器控制

必须采取以下措施，以防止个人数据在数据存储设备的传输或运输过程中被未经授权的第三方读取、复制、修改或删除（取决于所进行的个人数据处理）：

1.
1. a) 使用防火墙；

b) 避免出于传输目的将个人数据存储在移动存储设备上，或对设备进行加密；
c) 只有在激活加密保护后才能在笔记本电脑和其他移动设备上使用；

d) 记录个人数据传输。

1.7 数据录入控制

必须采取以下措施以确保可以验证和确定个人数据是否已被输入或从数据处理系统中删除，以及由谁：

1.
1. a) 授权读取、更改和删除存储数据的策略；

b) 有关读取、更改和删除存储数据的保护措施。

1.8 工作控制

在委托处理个人数据的情况下，必须采取以下措施以确保按照主管的指示处理此类数据：

1.
1. a) 分配给数据处理的实体或子实体，谨慎选择（代表控制者处理个人数据的服务提供商）；

b) 向分配给数据处理的员工、实体或子实体提供有关个人数据处理范围的说明；

c) 与分配给数据处理的实体或子实体商定的审计权；

d) 与指定处理数据的实体或子实体达成的协议。

1.9 与用于其他目的的加工分离

必须采取以下措施来确保为其他目的收集的数据可以单独处理：

1.
1. a) 根据用户的现有权利单独访问个人数据；

b) 接口、批处理和报告用于其他目的和功能，以便为其他目的收集的数据可以单独处理。

1.10 假名化

对于个人数据的假名化，必须采取以下措施：

1.
1. a) 如果数据出口方订购了特定的处理操作，或者如果数据进口方根据有关某些处理活动的现行数据保护法认为这是合适的，则个人数据的处理将按照以下方式进行：如果不使用附加信息，数据就不能再归属于特定的人。这些附加信息将单独保存；

b) 使用假名化技术，包括分配列表随机化；以锐利的形式创造价值。

1.11 加密

应采取以下步骤对支持加密的应用程序和传输中的个人数据进行加密：

1. a) 使用加密技术；

b) 建立加密管理以支持授权使用的加密技术；

c) 通过用于生成、修改、撤销、销毁、分发、认证、存储、捕获、使用和存档加密密钥的程序和协议来支持密码学的使用，以防止未经授权的修改和披露。

1.12 数据处理系统和服务的完整性

必须采取以下措施以确保数据处理系统和服务的完整性：

1. a) 保护数据处理系统免受通过适当手段（例如防病毒软件、数据丢失防护软件和恶意软件、软件补丁、防火墙和托管桌面保护）的操纵或破坏；

b) 禁止安装任何对数据处理系统、服务或个人数据操作有害的服务或软件；

c) 在网络本身的结构中使用网络入侵检测和预防系统。

1.13 数据处理系统和服务的可用性以及在发生重大或技术事故时恢复访问和使用个人数据的可能性

必须采取以下措施，以确保数据处理系统的可用性，以及在发生材料或技术事件时能够快速恢复个人数据的可用性和访问权限（特别是通过确保个人数据受到保护，不会被意外破坏或丢失）：

a) 有控制手段来保存备份副本和恢复丢失或删除的数据；

b) 基础设施冗余和性能测试；

c) 计算机资源的实物保护；

d) 使用工具监控内部网络的状态和可用性；

e) 管理事件管理程序的事件报告和响应政策，并作为定期培训的一部分重申遵守这些政策；

f) 备份（有时是异地）以恢复系统以使其再次执行其功能；

g) 业务连续性/灾难恢复计划

1.14 数据处理系统和服务的弹性

必须采取以下措施来确保数据处理系统和服务的弹性：

a) 系统和和谐配置，使用批准的安全参数；

b) 网络冗余；

c) 关键系统的密封保护。

1.15 定期测试、评估和评估技术和组织措施有效性以确保数据处理安全的程序

定期测试、评估和评估保护数据处理的技术和组织措施的有效性的程序。

a) 采取必要的步骤来评估风险和缓解策略；

b) IT 部门的服务分析会议，以解决当前问题；

c) 定期更新业务连续性/灾难恢复计划。

第 3 部分

各方签名和数据进口商名单

当您填写在线订单并通过勾选接受一般使用条款和条件的方框进行验证时，管理客户与 POSTCODEZIP 之间关系的合同即成立。

将付款发送到 POSTCODEZIP 将视为已同意并建立的合同。

请注意：本文是从法语翻译过来的。有效且具有法律限制的原始法语版本可在此处获取。