InfluxData 数据处理协议 – 旧版本

• 适用于在 2021 年 10 月 1 日之前与 InfluxData 签订产品/服务协议的客户

InfluxData Inc. 和您（“客户”）已签订一项或多项协议，据此，InfluxData 和/或其关联公司（统称为“InfluxData”或“公司”）可以出于向客户提供服务（如下定义）的目的处理个人数据。InfluxData 同意按照本数据处理附录（“DPA”）的要求，代表客户处理此类个人数据。本 DPA 中未定义的所有大写术语均应具有协议中规定的含义。

1. 定义

1.1  “关联公司” 指直接或间接控制、受控制或与本 DPA 的一方受共同控制的实体。“控制”是指所有权、投票权或类似的权益，代表相关实体当时流通总权益的百分之五十 (50%) 或以上。“受控”一词将据此解释。

1.2  “协议” 指客户与公司之间为向客户提供服务而签订的，并提及本 DPA 的书面或电子协议。

1.3  “适用法律” 指 (a) (EU) 2016/679 号条例（“GDPR”）；(b) 适用于在任何个人数据被传输或处理的区域中处理个人数据的任何其他法律或法规；(c) 批准、实施、采纳、补充或替换前述内容的任何法律或法规；以及 (d) 政府或监管机构或主管机关就遵守前述内容而发布的任何指南或行为准则；在每种情况下，均指在生效范围内，并根据时间推移进行更新、修订或替换。

1.4  “数据主体请求” 指数据主体根据适用法律行使各种“数据主体权利”的请求，包括但不限于 GDPR 第 3 章规定的数据主体权利。

1.5  “个人数据泄露” 指导致传输、存储或以其他方式处理的个人数据意外或非法销毁、丢失、更改、未经授权披露或访问的安全漏洞。

1.6  “人员” 指经公司授权，有权在公司授权下处理个人数据的公司任何人员。

1.7  “服务” 指公司根据协议向客户提供的服务。

1.8  “分包处理商” 指数据处理者就与协议相关的个人数据处理而指定或代表其指定的任何个人或实体。

1.9  在本 DPA 中，以下术语（以及适用法律定义的任何基本相似的术语）应具有根据适用法律的含义进行解释的含义：数据控制者、数据处理者、数据主体、个人数据、服务提供商、处理和传输。

2. DPA 的范围和处理活动的详细信息

2.1  范围。本 DPA 适用于且仅适用于以下情况和范围：公司代表客户处理个人数据，目的是根据协议向客户提供服务（“商业目的”）。处理的主题和持续时间、处理的性质和目的、个人数据的类型以及数据主体的类别在本 DPA 附件 1 的附录 1（标准合同条款）中列出。

2.2  双方的角色。 根据 GDPR，在公司和客户之间，客户是个人数据的数据控制者，公司是个人数据的数据处理者，除非客户是个人数据的数据处理者，在这种情况下，公司是客户关于个人数据的分包处理商。根据 2018 年《加州消费者隐私法案》，公司是客户的服务提供商。

3. 个人数据的处理

3.1  指示。 客户指示公司（并授权公司指示其人员和分包处理商）出于商业目的并以符合协议、本 DPA 和适用法律的方式处理（包括国际传输）个人数据（“指示”）。公司不得将个人数据保留、使用或披露用于商业目的以外的任何目的，或客户或适用法律明确允许的其他目的。双方同意，客户关于处理的性质和目的的完整且最终的指示在协议和本 DPA 中列出。超出这些指示范围的处理（如有）将需要客户与公司之间的事先书面协议。

3.2  公司的义务。 如果公司合理认为指示违反适用法律，公司应立即通知客户。如果适用法律要求公司以不符合指示的方式处理个人数据，公司将在不太可能发生的情况下通知客户。

4. 个人数据的国际传输

4.1  国际传输的一般授权。 客户承认并同意，公司及其分包处理商可以在任何州、省、国家或其他司法管辖区提供服务。公司及其分包处理商可以在公司或其分包处理商维护数据处理运营的全球任何地方传输和处理个人数据。公司将始终根据适用法律的要求，为处理的个人数据提供充分的保护水平。

4.2  标准合同条款。 如果 (1) GDPR 适用于公司在本 DPA 下的处理；并且 (2) 公司在本 DPA 下的处理涉及将个人数据从 EEA 传输到任何未被认为在 GDPR 含义内提供充分保护的国家/地区），则双方同意

1. 如果公司已通过瑞士-美国和欧盟-美国隐私盾框架的自我认证，则此类个人数据从 EEA 到美国的传输将根据美国商务部发布的瑞士-美国和欧盟-美国隐私盾框架和原则进行，两者均可在 https://www.privacyshield.gov/EU-US-Framework（统称为“隐私盾框架”）上查阅，并且公司应在本 DPA 项下的履行中遵守隐私盾框架；或者
2. 如果隐私盾框架不适用于预期传输，公司未通过隐私盾框架的自我认证，或者隐私盾框架已被适用法律作废，则此类传输应通过附件 1 中规定的标准合同条款（“SCC”）来执行。双方同意，公司将遵守 SCC 中“数据导入者”的义务，客户将遵守“数据导出者”的义务。客户同意，客户根据 SCC 对公司分包处理的权利受本 DPA 第 5.3 节和第 5.4 节的约束。客户同意，客户根据 SCC 第 5.1(f) 条的审计权受本 DPA 第 9.1 节的约束。为了明确起见，如果 SCC 适用且在 SCC 适用的范围内，公司和客户对本 DPA 的同意签名将被视为对 SCC 的签名。

5. 公司人员和分包处理商

5.1  指示。 公司应要求公司的分包处理商和人员仅根据指示处理个人数据，除非适用法律另有要求（在这种情况下，公司应通知客户）。

5.2  保密性。公司可以仅出于商业目的向公司人员和分包处理商披露或传输个人数据。公司应确保公司的分包处理商和人员根据协议承担保密义务。

5.3  分包处理的一般授权。 客户同意，公司可以聘请分包处理商出于商业目的处理个人数据。公司当前分包处理商的列表（“InfluxData 服务分包处理商列表”）可在以下网址查阅：www.influxdata.com/legal（公司可能会不时更新该 URL）。如果公司打算对添加或更换任何分包处理商做出任何更改，公司将在 InfluxData 服务分包处理商列表上并通过电子邮件向客户提供合理的提前通知。如果在收到此类通知后的五 (5) 个工作日内，客户以书面形式反对公司任命新的分包处理商，前提是该反对意见基于与数据保护相关的合理理由，则双方将真诚地讨论此类担忧，以期达成解决方案。

5.4  公司的义务。 公司应确保所有分包处理商均受书面协议的约束，这些协议对个人数据的保护不低于本 DPA（包括关于分包处理商的分包处理）。对于因分包处理商的行为或不作为而导致的公司违反其在本 DPA 下义务的任何行为，公司仍将承担责任。

6. 数据主体请求。

6.1  数据主体请求。 公司应根据适用法律的要求，并由客户承担费用，向客户提供商业上合理的合作和协助，以履行客户响应数据主体请求的义务。

7. 保密性和数据保留

7.1  保密性。 未经客户事先书面同意，公司不会向任何第三方披露或传输个人数据，除非适用法律、法规或公共机构要求，或本 DPA 或协议另有允许。

7.2  法律强制披露。 如果执法机构向公司发送个人数据需求（例如，通过传票或法院命令），公司将尝试引导执法机构直接向客户请求此类个人数据。作为此努力的一部分，公司可能会向执法机构提供客户的基本联系信息。如果被迫向执法机构披露个人数据，则公司将（在法律允许的情况下）合理通知客户该需求，以便客户寻求保护令或其他适当的补救措施。

7.3 . 个人数据的返还。 在协议到期或终止时，并根据适用法律和公司的内部数据保留计划，公司应删除或返还其拥有或控制的个人数据。本要求不适用于公司已在备份系统上存档的个人数据，公司应根据协议和本 DPA 继续保护这些数据。

8. 安全性和个人数据泄露

8.1  安全措施。 考虑到现有技术水平、实施成本以及处理的性质、范围、背景和目的，以及自然人的权利和自由面临不同可能性和严重程度的风险，公司应针对个人数据实施适当的技术和组织措施，以确保与该风险相适应的安全级别，包括在适当情况下，GDPR 第 32(1) 条中提及的措施。

8.2  个人数据泄露。 公司在意识到个人数据泄露后，应立即通知客户，不得无故拖延。如果发生个人数据泄露，公司将向客户提供充分的信息（在公司知悉的情况下），以满足公司在 GDPR 第 33(3) 条下的义务或适用法律另有要求的义务。公司在本节下报告或响应个人数据泄露的义务不应且不会被解释为公司承认对个人数据泄露的任何过错或责任。

8.3  合作。 公司应根据适用法律的要求，并由客户承担费用，遵守客户的合理要求，以协助客户履行客户在 GDPR 第 32 – 36 条下的义务。

9. 审计和记录

9.1  在适用法律要求的范围内，公司应向客户提供公司控制范围内的信息，这些信息对于证明客户遵守适用法律是必要的。应客户的要求，且每年不超过一次，公司应将其控制范围内的数据处理设施提交审计，以审计本 DPA 涵盖的处理活动。审计应由客户或受保密义务约束的第三方审计师进行。

10. 客户的陈述和保证

10.1  客户陈述并保证客户（包括（如适用）其人员和关联公司）

• • a)  将始终遵守适用法律，以履行其在协议和本 DPA 下的义务；
  • b)  将始终保持正式和有效授权，以发出协议、本 DPA 或客户以其他方式提供的指示；
  • c)  已提供通知并获得（或将获得）公司根据协议和本 DPA 传输和处理个人数据所需的所有许可、同意和权利；以及
  • d)  将及时回复关于个人数据的查询，并将此类查询及时通知公司。

11. 责任限制

11.1  InfluxData 因本 DPA（包括 SCC 下）引起或与之相关的责任，无论是在合同、侵权行为还是任何其他责任理论下，均受基础协议中包含的责任限制和免除的约束。本协议中的任何内容均不限制公司在人身伤害或死亡方面的责任，或根据适用法律协议可能无法限制的任何其他责任或损失。

12. 其他

12.1  本 DPA 明确纳入并修订每项协议。

12.2  除非适用法律另有要求，否则本数据处理协议应受协议中管辖法律和管辖权条款的管辖并据其解释。本数据处理协议构成并体现了双方之间关于本协议标的物的完整协议和谅解，并取代双方之间先前或 contemporaneously 的所有书面、电子或口头沟通、陈述、协议或谅解。本数据处理协议不影响各方在协议项下的权利和义务，协议将继续完全有效。如果本数据处理协议的条款与协议的条款之间存在任何冲突，则就标的物涉及个人数据的处理而言，应以本数据处理协议的条款为准。

12.3  如果本数据处理协议和协议条款，与任何根据本文第 4.2 节签订的框架协议或数据传输协议的条款之间存在任何冲突或不一致，则以该框架协议或数据传输协议的条款为准。

12.4  本数据处理协议列出了双方就其涵盖的主题达成的所有条款。除就欺诈性陈述而言，任何其他陈述或条款均不适用或构成本数据处理协议的一部分。

12.5  非本数据处理协议一方的人员不应享有本数据处理协议项下的任何权利（包括根据 1999 年合同（第三方权利）法案）来执行本数据处理协议的任何条款。

12.6  除本数据处理协议的一方、其继任者和允许的受让人外，任何其他人均无权执行本数据处理协议的任何条款，除非适用法律另有要求。

12.7  除本数据处理协议所做的更改外，协议保持不变并完全有效。如果本数据处理协议与协议之间存在任何冲突，则在本数据处理协议与协议冲突的范围内，应以本数据处理协议为准。

12.8  本数据处理协议的条款是可分割的。如果任何短语、条款或规定全部或部分无效或不可执行，则该无效性或不可执行性仅应影响该短语、条款或规定，本数据处理协议的其余部分应保持完全有效。

附件 1：标准合同条款

标准合同条款（处理者）

作为本标准合同条款所附数据处理协议一方的客户实体（“数据导出方”）和公司（“数据导入方”）已就以下合同条款（“条款”）达成一致，以便就数据导出方将附录 1 中规定的个人数据国际传输至数据导入方，提供充分的保障，以保护个人的隐私以及基本权利和自由。

背景

数据导出方已与数据导入方签订数据处理附录（“数据处理协议”）。根据数据处理协议的条款，预期数据导入方提供的服务将涉及将个人数据传输至数据导入方。数据导入方和/或其次级处理者可能会在无法确保充分数据保护水平的国家/地区提供服务。为确保符合 95/46/EC 指令以及适用的数据保护法，数据导出方同意提供此类服务，包括附带的个人数据处理和国际传输，但前提是数据导入方执行并遵守本条款的条款。

条款 1

定义

就本条款而言

(a) “个人数据”、“特殊类别的数据”、“处理/加工”、“控制者”、“处理者”、“数据主体”和“监管机构” 应具有与欧洲议会和理事会 1995 年 10 月 24 日关于在个人数据处理和此类数据的自由流动方面保护个人的 95/46/EC 指令中相同的含义；[如果本条款受将数据保护法保护范围扩展至法人的人员的法律管辖，则添加“但如果本条款管辖与已识别或可识别的法人（以及自然人）有关的数据传输，则“个人数据”的定义将扩展为包括这些数据”字样。]

(b) “数据导出方”是指传输个人数据的控制者；

(c) “数据导入方”是指同意从数据导出方接收个人数据的处理者，该个人数据旨在按照其指示和本条款的条款，在传输后代表其进行处理，并且不受确保 95/46/EC 指令第 25(1) 条含义范围内充分保护的第三国系统管辖；[如果本条款不受成员国法律管辖，则删除“并且不受确保 95/46/EC 指令第 25(1) 条含义范围内充分保护的第三国系统管辖”字样。]

(d) “分处理者”是指数据导入方或数据导入方的任何其他分处理者聘用的任何处理者，该处理者同意从数据导入方或数据导入方的任何其他分处理者处接收个人数据，该个人数据专门用于在传输后按照其指示、本条款的条款以及书面分包合同的条款，代表数据导出方开展处理活动；

(e) “适用的数据保护法”是指保护个人基本权利和自由的法律，特别是其在数据导出方成立的成员国的数据控制者适用的个人数据处理方面的隐私权；

(f) “技术和组织安全措施”是指旨在保护个人数据免遭意外或非法销毁或意外丢失、更改、未经授权的披露或访问的措施，尤其是在处理涉及通过网络传输数据的情况下，以及防范所有其他形式的非法处理。

条款 2

传输详情

传输的详情，尤其是在适用的情况下，特殊类别的个人数据在附录 1 中具体说明，附录 1 构成本条款的组成部分。

条款 3

第三方受益人条款

1. 数据主体可以作为第三方受益人，针对数据导出方执行本条款、条款 4(b) 至 (i)、条款 5(a) 至 (e) 和 (g) 至 (j)、条款 6(1) 和 (2)、条款 7、条款 8(2) 以及条款 9 至 12。
2. 如果数据导出方实际上已消失或在法律上已不复存在，除非任何继任实体通过合同或法律的运作承担了数据导出方的全部法律义务，从而承担了数据导出方的权利和义务，在这种情况下，数据主体可以针对该实体执行，数据主体可以针对数据导入方执行本条款、条款 5(a) 至 (e) 和 (g)、条款 6、条款 7、条款 8(2) 以及条款 9 至 12。
3. 如果数据导出方和数据导入方均实际上已消失或在法律上已不复存在，或者已资不抵债，除非任何继任实体通过合同或法律的运作承担了数据导出方的全部法律义务，从而承担了数据导出方的权利和义务，在这种情况下，数据主体可以针对该实体执行，数据主体可以针对分处理者执行本条款、条款 5(a) 至 (e) 和 (g)、条款 6、条款 7、条款 8(2) 以及条款 9 至 12。分处理者的此类第三方责任应限于其在本条款项下的自身处理操作。
4. 各方不反对数据主体由协会或其他机构代表，如果数据主体明确希望如此，并且如果国家法律允许。

条款 4

数据导出方的义务

数据导出方同意并保证

(a) 个人数据的处理，包括传输本身，已经并将继续按照适用的数据保护法的相关规定进行（并且，在适用的情况下，已通知数据导出方成立的成员国的相关机构），并且不违反该州的相关规定；

(b) 其已指示，并且在个人数据处理服务持续期间将指示数据导入方仅代表数据导出方并按照适用的数据保护法和本条款处理传输的个人数据；

(c) 数据导入方将就本合同附录 2 中规定的技术和组织安全措施提供充分的保证；

(d) 在评估适用数据保护法的要求后，安全措施适合保护个人数据免遭意外或非法销毁或意外丢失、更改、未经授权的披露或访问，尤其是在处理涉及通过网络传输数据的情况下，以及防范所有其他形式的非法处理，并且这些措施确保了与处理带来的风险以及要保护的数据的性质相适应的安全级别，同时考虑到现有技术水平及其执行成本；

(e) 其将确保遵守安全措施；

(f) 如果传输涉及特殊类别的数据，则已告知数据主体，或将在传输之前或之后尽快告知数据主体，其数据可能会传输到未在 95/46/EC 指令含义范围内提供充分保护的第三国；[如果本条款不受成员国法律管辖，则删除“在 95/46/EC 指令含义范围内”字样。]

(g) 将根据条款 5(b) 和条款 8(3) 从数据导入方或任何分处理者处收到的任何通知转发给数据保护监管机构，如果数据导出方决定继续传输或解除暂停；

(h) 应数据主体的要求，向其提供本条款的副本，附录 2 除外，以及安全措施的摘要说明，以及任何必须按照本条款制定的分处理服务合同的副本，除非本条款或合同包含商业信息，在这种情况下，它可以删除此类商业信息；

(i) 在分处理的情况下，分处理活动是根据条款 11 由分处理者进行的，该分处理者为个人数据和数据主体的权利提供至少与数据导入方在本条款项下提供的相同水平的保护；以及

(j) 其将确保遵守条款 4(a) 至 (i)。

条款 5

数据导入方的义务

数据导入方同意并保证

(a) 仅代表数据导出方并遵守其指示和本条款处理个人数据；如果由于任何原因无法提供此类合规性，其同意立即告知数据导出方其无法合规，在这种情况下，数据导出方有权暂停数据传输和/或终止合同；

(b) 其没有理由相信适用于它的法律阻止其履行从数据导出方处收到的指示以及其在本合同项下的义务，并且如果该法律发生变更，很可能对本条款提供的保证和义务产生重大不利影响，其将在意识到变更后立即将变更通知数据导出方，在这种情况下，数据导出方有权暂停数据传输和/或终止合同；

(c) 其在处理传输的个人数据之前已实施附录 2 中规定的技术和组织安全措施；

(d) 其将立即将以下情况通知数据导出方

(i) 执法机构提出的任何具有法律约束力的个人数据披露请求，除非另有禁止，例如根据刑法为维护执法调查的保密性而禁止，

(ii) 任何意外或未经授权的访问，以及

(iii) 直接从数据主体处收到的任何请求，而不回应该请求，除非已获得其他授权这样做；

(e) 及时妥善地处理数据导出方提出的所有关于其处理受传输约束的个人数据的询问，并遵守监管机构关于传输数据处理的建议；

(f) 应数据导出方的要求，提交其数据处理设施以供审核本条款涵盖的处理活动，审核应由数据导出方或由独立成员组成并具有保密义务的所需专业资格的检查机构进行，在适用的情况下，由数据导出方与监管机构协商选定；

(g) 应数据主体的要求，向其提供本条款的副本，或任何现有的分处理合同，除非本条款或合同包含商业信息，在这种情况下，它可以删除此类商业信息，但附录 2 除外，如果数据主体无法从数据导出方处获得副本，则附录 2 应替换为安全措施的摘要说明；

(h) 在分处理的情况下，其已事先通知数据导出方并获得其事先书面同意；

(i) 分处理者的处理服务将按照条款 11 进行；

(j) 及时向数据导出方发送其根据本条款签订的任何分处理者协议的副本。

条款 6

责任

1. 双方同意，任何数据主体，如果因任何一方或分处理者违反条款 3 或条款 11 中提及的义务而遭受损害，均有权从数据导出方处获得损害赔偿。
2. 如果数据主体无法根据第 1 款针对数据导出方提出索赔以获得赔偿，原因是数据导入方或其分处理者违反了条款 3 或条款 11 中提及的任何义务，因为数据导出方实际上已消失或在法律上已不复存在，或者已资不抵债，则数据导入方同意数据主体可以针对数据导入方提出索赔，如同其是数据导出方一样，除非任何继任实体通过合同或法律的运作承担了数据导出方的全部法律义务，在这种情况下，数据主体可以针对该实体执行其权利。数据导入方不得依赖分处理者违反其义务的行为来规避其自身责任。
3. 如果数据主体无法针对第 1 款和第 2 款中提及的数据导出方或数据导入方提出索赔，原因是分处理者违反了条款 3 或条款 11 中提及的任何义务，因为数据导出方和数据导入方均实际上已消失或在法律上已不复存在，或者已资不抵债，则分处理者同意数据主体可以针对数据分处理者就其在本条款项下的自身处理操作提出索赔，如同其是数据导出方或数据导入方一样，除非任何继任实体通过合同或法律的运作承担了数据导出方或数据导入方的全部法律义务，在这种情况下，数据主体可以针对该实体执行其权利。分处理者的责任应限于其在本条款项下的自身处理操作。

条款 7

调解和管辖权

1. 数据导入方同意，如果数据主体援引针对其的第三方受益人权利和/或根据本条款索赔损害赔偿，数据导入方将接受数据主体的决定
   • (a) 将争议提交调解，由独立人士或在适用的情况下，由监管机构进行调解；
   • (b) 将争议提交至数据导出方成立的成员国的法院。
2. 双方同意，数据主体做出的选择不会损害其根据国家或国际法的其他规定寻求补救的实质性或程序性权利。

条款 8

与监管机构合作

1. 数据导出方同意，如果监管机构要求或适用数据保护法要求，则将本合同的副本提交给监管机构。
2. 双方同意，监管机构有权对数据导入方以及任何分处理者进行审核，审核的范围和条件应与适用于根据适用数据保护法对数据导出方进行审核的范围和条件相同。
3. 数据导入方应及时告知数据导出方，适用于其或任何分处理者的法律阻止根据第 2 款对数据导入方或任何分处理者进行审核的情况。在这种情况下，数据导出方应有权采取条款 5(b) 中预见的措施。

条款 9

管辖法律

本条款应受数据导出方成立的成员国的法律管辖。

条款 10

合同的变更

各方承诺不变更或修改本条款。这不妨碍各方在需要时添加与业务相关的问题的条款，只要它们不与本条款相矛盾。

条款 11

分处理

1. 未经数据导出方事先书面同意，数据导入方不得将根据本条款代表数据导出方执行的任何处理操作分包。如果数据导入方经数据导出方同意，分包其在本条款项下的义务，则只能通过与分处理者签订书面协议的方式进行，该协议对分处理者施加与本条款项下对数据导入方施加的相同义务。如果分处理者未能履行其在该书面协议项下的数据保护义务，则数据导入方仍应对分处理者在该协议项下的义务的履行向数据导出方承担全部责任。
2. 数据导入方与分处理者之间的先前书面合同还应规定条款 3 中规定的第三方受益人条款，以用于数据主体无法针对数据导出方或数据导入方提出条款 6 第 1 款中提及的赔偿索赔的情况，因为他们实际上已消失或在法律上已不复存在，或者已资不抵债，并且没有继任实体通过合同或法律的运作承担了数据导出方或数据导入方的全部法律义务。分处理者的此类第三方责任应限于其在本条款项下的自身处理操作。
3. 第 1 款中提及的合同中与分处理的数据保护方面相关的规定应受数据导出方成立的成员国的法律管辖。
4. 数据导出方应保留根据本条款签订并由数据导入方根据条款 5(j) 通知的分处理协议清单，该清单应至少每年更新一次。该清单应可供数据导出方的数据保护监管机构查阅。

条款 12

个人数据处理服务终止后的义务

1. 双方同意，在数据处理服务提供终止时，数据导入方和分处理者应根据数据导出方的选择，将所有传输的个人数据及其副本归还给数据导出方，或销毁所有个人数据并向数据导出方证明已这样做，除非施加于数据导入方的法律阻止其归还或销毁所有或部分传输的个人数据。在这种情况下，数据导入方保证其将保证传输的个人数据的机密性，并且将不再主动处理传输的个人数据。
2. 数据导入方和分处理者保证，应数据导出方和/或监管机构的要求，其将提交其数据处理设施以供审核第 1 款中提及的措施。

附录 1 标准合同条款的附录

数据导出方： 数据导出方是：客户

数据导入方： 数据导入方是：InfluxData Inc. 及其关联公司

数据主体： 传输的个人数据涉及以下类别的数据主体：数据导出方、其关联公司及其服务提供商、员工、顾问、代理和经数据导出方授权使用服务的代表。

数据类别： 数据导出方可能会向数据导入方提交个人数据，其中可能包括但不限于以下类别的个人数据：(a) 姓名；(b) 职称；(c) 职位；(d) 雇主；(e) 联系信息（公司、电子邮件、电话、实际营业地址）；(f) IP 地址；(g) 数据导出方选择根据协议向服务提供的任何其他个人数据。

特殊类别的数据（如适用）： 不适用

处理操作 数据导入方处理个人数据的目的是履行与数据导出方协议相关的合同服务。处理可能包括收集、存储、检索、咨询、使用、擦除或销毁、通过传输、传播或其他方式提供数据导出方的个人数据，以根据数据导出方的指示和适用法律向数据导入方提供服务所必需的方式。

附录 2 标准合同条款的附录

考虑到现有技术水平、实施成本以及处理的性质、范围、背景和目的，以及对自然人权利和自由的不同可能性和严重程度的风险，公司应就个人数据实施适当的技术和组织措施，以确保与该风险相适应的安全级别，包括在适当情况下，GDPR 第 32(1) 条中提及的措施。

在不限制前述规定的前提下，此类技术和组织安全措施包括（在适当情况下）

1. 对所有通过公共网络传输的包含个人信息的记录和文件进行加密（在技术上可行的范围内），并对所有要无线传输的数据进行加密；
2. 实施对系统进行合理监控，以防止未经授权使用或访问个人信息；
3. 使用安全的用户身份验证协议；
4. 定期对公司员工进行计算机安全系统正确使用以及个人信息安全重要性的培训和教育；以及
5. 最小化个人数据收集。

公司将定期测试、评估和评价其技术和组织安全措施的有效性，以确保公司个人数据的安全处理。公司可能会不时向客户提供有关公司安全实践的更多信息。