数据处理协议

本数据处理协议（“DPA”）构成《使用条款》（或其他涉及相同主题的类似标题的书面或电子协议）的一部分（”协议”) 客户之间（定义见协议）和”Slide Craft 技术私人有限公司” 根据该协议，处理器向控制器提供软件和服务（ “服务”）。控制器和处理器分别称为 “派对” 并统称为 “各方”。

作为协议义务的一部分，双方寻求实施本 DPA，以遵守欧盟 GDPR（定义见下文）关于处理者处理个人数据（定义见欧盟 GDPR）的要求。

本 DPA 适用于处理者对个人数据的处理，由控制者提供，是处理者根据协议承担的义务的一部分。

除非另有以下修改，否则本协议的条款将保持完全的效力和效力。

1。定义

此处未另行定义的术语应具有欧盟 GDPR 或协议中赋予的含义。以下术语应具有以下相应的含义：

1.1。“数据传输“是指从控制者向处理者传输个人数据，或处理者的两个机构之间或处理者向子处理者传输个人数据。
1.2。”欧盟 GDPR” 指欧洲议会和理事会2016年4月27日关于在个人数据处理方面保护自然人和此类数据自由流动以及废除第95/46/EC号指令（一般数据保护条例）的第2016/679号条例（欧盟）。
1.3。”标准合同条款” 是指根据欧盟委员会2021年6月4日关于向在第三国设立的无法确保足够数据保护水平的处理者传输个人数据的标准合同条款的2021/914号实施决定（欧盟）作为附表1所附的合同条款。
1.4。”控制器” 指单独或与其他人共同决定个人数据处理目的和方式的自然人或法人、公共机构、机构或其他机构；如果此类处理的目的和方式由欧盟或成员国法律确定，则欧盟或成员国法律可能规定控制人或其提名的具体标准。
1.5。 “处理器” 指代表控制者处理个人数据的自然人或法人、公共机构、机构或其他机构。
1.6。”子处理器” 指处理者为提供全部或部分服务和处理控制者提供的个人数据而指定的处理器/分包商。

2。本协议的目的
本 DPA 规定了处理者在个人数据处理方面的各种义务，并仅限于处理者在协议下的义务。如果《协议》的条款与本 DPA 的规定存在冲突，则以本 DPA 的规定为准。
3.个人数据和数据主体的类别
1. 根据协议，处理者处理个人数据的目的仅限于处理者向控制者和/或其客户提供服务。
4。处理的目的
1. 控制者授权处理者处理个人数据，其范围由控制者确定和监管。本 DPA 附表 1 的附件 I 中规定了个人数据的当前性质。根据协议，处理者处理个人数据的目的仅限于处理者向控制者及/或其客户提供服务。
5。处理时长
1. 除非控制者另有书面协议，否则处理者将在协议期限内处理个人数据。

6。数据控制者的义务
1. 6.1。数据控制者应保证其拥有向数据处理者提供个人数据的所有必要权利，以便进行与约定服务相关的处理。在数据隐私法要求的范围内，数据控制者负责确保在适当的法律基础上向数据处理者提供此类个人数据，允许合法处理活动，包括获得任何必要的数据主体对本处理的同意，并负责确保保留此类同意的记录。如果数据主体撤销此类同意，则数据控制者有责任将撤销的事实告知数据处理者。
2. 6.2。数据控制者应向其收集个人数据的所有自然人提供相关的隐私声明。
3. 6.3。数据控制者应要求数据处理者在数据控制者或其收集个人数据的任何数据主体的要求下清除个人数据，除非适用法律另行要求数据处理者保留个人数据。
4. 6.4。如果数据控制者收到或得知任何以下信息，则应立即以书面形式通知数据处理者：
  1. 6.4.1。表明违反有关个人数据的数据隐私法的投诉或指控；
  2. 6.4.2。要求一个或多个个人访问、更正或删除个人数据；
  3. 6.4.3。一人或多人就收集、处理、使用或传输个人数据提出的询问或投诉；以及
  4. 6.4.4。任何寻求个人数据的监管请求、搜查令或其他法律、监管、行政或政府程序

7。数据处理者的义务

7.1。处理者将遵循从控制者、其关联公司、代理人或人员收到的有关个人数据处理的书面和记录指示，包括电子邮件（每项均为 “指令”）。
7.2。协议和相关文件中描述的处理应被视为主计长的指示。
7.3。应数据控制者的要求，数据处理者将向数据控制者提供合理的协助，以回应/遵守数据主体在行使其权利时提出的要求/指示，或相关监管机构对数据处理者的个人数据处理的要求/指示。
7.4。关于个人数据，数据控制者应根据数据保护法获得同意（必要时）和/或向数据主体发出通知，以使共享的个人数据能够按照本协议的规定提供给另一方和由其使用。
7.5。当共享的个人数据传输到数据处理者的领土边界之外时，转让人应确保此类数据的接收者有合同义务保护此类个人数据，使其达到与本 DPA 和《数据保护法》规定的相同或更高的标准。
7.6。如果处理器认为处理指令违反了适用的法律或法规，则应通知控制器。
7.5。作为数据处理者，考虑到处理的性质和数据处理者可用的信息，数据处理者应协助数据控制者按照 GDPR 的要求进行任何必要的数据保护影响评估 (DPIA)。

8。数据保密
1. 8.1。为了处理个人数据，处理者将使用以下人员：
  1. 8.1.1。已告知个人数据的机密性质，以及
  2. 8.1.2。根据协议提供服务。
2. 8.2。处理者将根据公认的行业惯例，定期对有权访问个人数据的个人进行数据安全和数据隐私方面的培训，并应确保对所有个人数据严格保密。
3. 8.3。处理者将采取适当的技术和组织措施，按照双方书面商定的标准，按照规格保护个人数据的安全性、机密性和完整性。

9。审计权

9.1。根据控制者的合理要求，处理者将向控制者提供合理必要的信息，以证明处理者在处理个人数据时遵守了欧盟 GDPR 或其他适用法律规定的义务。
9.2。当控制者希望在处理器现场进行审计（自行或通过代表）时，应至少提前十五 (15) 天向处理者发出书面通知；处理器将就控制者或其代表进行的审计（包括检查）提供合理的合作与协助。
9.3。财务主任应承担此类审计的费用。

10。数据传输机制

为处理者在欧洲经济区以外的国家/地区进行处理而进行的任何数据传输（”EEA”）只能按照《达尔富尔和平协议》附表1的规定进行。如果此类示范条款未与本 DPA 同时执行，则处理方不得不当地暂停执行此类模板示范条款，在这种情况下，必须将个人数据传输到欧洲经济区以外才能履行协议。

11。子处理器
1. 11.1。控制者承认并同意，处理者可以聘请第三方分处理者来履行服务，前提是此类分处理者采取技术和组织措施来确保与其共享的个人数据的机密性；处理者聘用并获得控制者批准的当前分处理者列于本附表1的附件三。处理器应至少提前三十 (30) 个日历日向客户发送意向变更通知，将附件 III 中列出的子处理器的任何预期变更或增加通知控制者。根据GDPR第28（4）条，如果处理者未能代表分处理者履行DPA规定的与服务履行相关的数据保护义务，处理者仍应向控制者承担责任。
2. 11.2。如果控制者担心分处理者对个人数据的处理合理可能导致控制者违反 GDPR 规定的数据保护义务，则控制者可以反对处理者使用此类子处理器，处理者和控制者应真诚地协商解决此类问题。

12。个人数据泄露通知
1. 12.1。处理者应在发生个人数据泄露时维持规定的程序（定义见GDPR），并且在得知任何个人数据泄露时应毫不拖延地通知控制者，除非此类数据泄露不太可能对自然人的权利和自由造成风险。
2. 12.2。处理者应向控制者提供所有合理的协助，以遵守向监管机构和/或数据主体发出的个人数据泄露通知，确定此类数据泄露的原因，并采取合理的商业上合理的措施来缓解和补救此类数据泄露。
3. 12.3。处理器不确认故障。处理者根据本 DPA 对个人数据泄露的通知或回应不应被解释为处理者对与数据事件有关的任何过失或责任的承认。

13。个人数据的返回和删除
1. 13.1。处理者应在协议终止或协议下处理者服务停止后至少三十 (30) 天内（以较早者为准）将所有个人数据返还给控制者，或者如果控制者指示，处理者应删除个人数据。在收到控制者的通知后，处理者应在合理可行的情况下尽快以常用格式或当前存储格式返回此类个人数据。
2. 13.2。无论如何，处理者应在本协议结束后尽快删除个人数据，包括其所有副本。

14。技术和组织措施
1. 考虑到技术发展状况和实施任何措施的成本，处理者将采取适当的技术和组织措施，防止未经授权或非法处理个人数据以及个人数据的意外丢失或破坏或损坏，以确保适当的安全级别，以适合：(a) 未经授权或非法处理或意外丢失、破坏或损坏可能造成的损害；以及 (b) 应保护数据的性质 [包括措施] 见附件二附表 1]

附表 1

附件一

A. 当事方名单

数据导出器：

姓名： 客户（如相关订单表中所述）。

地址: 如相关订单表中所述。

联系人的姓名、职位和联系方式： 如相关订单表中所述。

与根据这些条款传输的数据相关的活动: 根据协议，Slide Craft Technologies Pvt Ltd提供的服务的接收者。

签名和日期： 协议中规定了签名和日期。

角色控制器/处理器）： 控制器

数据导入器：

姓名： Slide Craft 技术私人有限公司

地址： 卡纳塔克邦 560082 班加罗尔南部 K R 路旁 Arham Towers 4 楼 05 63/3 号客舱

联系人的姓名、职位和联系方式： Avinash，avinash@deck.in

与根据这些条款传输的数据相关的活动: 根据协议向客户提供服务。

签名和日期: 协议中规定了签名和日期。

角色（控制器/处理器）： 处理器。

B. 转让描述

传输个人数据的数据主体类别
客户对服务的授权用户。

传输的个人数据类别

姓名、地址、出生日期、年龄、教育、电子邮件、性别、图片、工作、语言、电话、相关人员、相关网址、用户名、用户名。

传输的敏感数据（如果适用），并应用了充分考虑数据性质和所涉风险的限制或保障措施，例如严格的目的限制、访问限制（包括仅限接受过专业培训的员工的访问权限）、保留数据访问记录、对继续传输的限制或其他安全措施。

未收集任何敏感数据。

传输频率（例如，数据是一次性传输还是连续传输）。

持续的基础

处理的性质
协议和随附的订单表中更全面地描述了处理的性质

数据传输和进一步处理的目的

转让的目的是促进本协议和随附订单中更全面地描述的服务的执行。

个人数据的保留期限，或者，如果不可能，则用于确定该期限的标准

协议、附录和随附的订单表中更全面地描述了客户个人数据的保留期限。

对于向（子）处理者的传输，还要说明处理的主题、性质和持续时间

协议、附录和随附的订单表中更全面地描述了处理的主题、性质和持续时间。

C. 主管监管机构

数据导出者在欧洲经济区国家成立。

主管监管机构由适用欧盟SCC第13条确定。

附件二

技术和组织措施，包括确保数据安全的技术和组织措施

描述由实施的技术和组织安全措施 Slide Craft 技术私人有限公司 作为数据处理者/数据进口者，考虑到处理的性质、范围、背景和目的，以及自然人权利和自由面临的风险，确保适当的安全级别。

安全

保安管理系统。
- 组织。 Slide Craft 技术私人有限公司 指定合格的安全人员，其职责包括开发、实施和持续维护信息安全计划。
- 政策。管理层审查并支持所有与安全相关的政策，以确保客户个人数据的安全性、可用性、完整性和机密性。这些政策每年至少更新一次。
- 评估。 Slide Craft 技术私人有限公司 聘请信誉良好的独立第三方每年至少对包含客户个人数据的所有系统进行一次风险评估。
- 风险治疗。 Slide Craft 技术私人有限公司 维持正式有效的风险处理计划，其中包括渗透测试、漏洞管理和补丁管理，以识别和保护客户个人数据的安全性、完整性或机密性免受潜在威胁。
- 供应商管理。 Slide Craft 技术私人有限公司 维持有效的供应商管理计划
- 事故管理。 Slide Craft 技术私人有限公司 定期审查安全事件，包括有效确定根本原因和采取纠正措施。
- 标准。 Slide Craft 技术私人有限公司 运行符合 ISO/IEC 27001:2022 标准要求的信息安全管理系统。
人事安全。
- Slide Craft 技术私人有限公司 员工必须以符合公司有关保密、商业道德、适当使用和专业标准的指导方针的方式行事。 Slide Craft 技术私人有限公司 在法律允许的范围内，根据适用的当地劳动法、习惯做法和成文法规，对根据本协议有权访问客户数据（包括与工作经历和犯罪记录有关的数据）的任何员工进行合理适当的背景调查。
- 员工在雇用时必须签署书面保密协议，并始终保护客户的个人数据。人员必须确认收到并遵守了 Slide Craft 技术私人有限公司的保密、隐私和安全政策。向人员提供有关如何实施和遵守信息安全计划的隐私和安全培训。处理客户个人数据的人员必须完成与其职责相适应的额外要求（例如认证）。 Slide Craft 技术私人有限公司 未经授权，其人员不会处理客户的个人数据。
访问控制
- 访问管理。 Slide Craft 技术私人有限公司 维持正式的访问管理流程，对所有有权访问客户个人数据的人员进行申请、审查、批准和提供，以限制对客户个人数据和存储、访问或传输客户个人数据的系统的访问权限，仅限需要此类访问的经适当授权的人员。定期进行访问审查，以确保只有有权访问客户个人数据的人员仍然需要这些数据。
- 基础设施安全人员。 Slide Craft 技术私人有限公司 制定并维持其人员安全政策，并要求将安全培训作为其人员培训计划的一部分。 Slide Craft 技术私人有限公司的基础设施安全人员负责持续监控 Slide Craft 技术私人有限公司 的安全基础架构、对服务的审查以及对安全事件的响应。
- 访问控制和权限管理。 Slide Craft 技术私人有限公司和客户的管理员和最终用户必须通过多因素身份验证系统或单点登录系统进行自我身份验证才能使用服务
- 内部数据访问流程和政策-访问政策。 Slide Craft 技术私人有限公司的内部数据访问流程和政策旨在防止未经授权的访问、使用、披露、更改或销毁客户个人数据。 Slide Craft 技术私人有限公司 其系统设计为仅允许经授权的人员访问基于 “最低特权” 和 “需要知道” 的原则有权访问的数据，并防止本应有权访问的其他人获得访问权限。Slide Craft 技术私人有限公司 需要使用唯一的用户 ID、强密码、双因素身份验证和仔细监控的访问列表，以最大限度地减少未经授权使用帐户的可能性。访问权限的授予或修改基于：授权人员的工作职责；执行授权任务所必需的工作职责要求；知情依据；必须符合 Slide Craft 技术私人有限公司 的内部数据访问政策和培训。批准由工作流程工具管理，这些工具维护所有变更的审计记录。记录系统访问权限以创建问责制审计记录。如果使用密码进行身份验证（例如登录工作站），则密码政策遵循行业标准惯例。这些标准包括密码复杂性、密码到期、密码锁定、对密码重复使用的限制以及在不使用一段时间后再次提示输入密码
数据中心和网络安全
- 数据中心。
  - 基础设施。 Slide Craft 技术私人有限公司 将 AWS 作为其数据中心。
  - 弹性。 AWS 上启用了多可用区，并且 Slide Craft 技术私人有限公司 定期进行备份恢复测试以确保弹性。
  - 服务器操作系统。Slide Craft 技术私人有限公司 服务器是针对应用程序环境定制的，服务器已经过强化以保证服务的安全。 Slide Craft 技术私人有限公司 采用代码审查流程来提高用于提供服务的代码的安全性，并增强生产环境中的安全产品。
  - 灾难恢复。 Slide Craft 技术私人有限公司 在多个系统上复制数据，以帮助防止意外破坏或丢失。 Slide Craft 技术私人有限公司 已设计并定期计划和测试其灾难恢复计划。
  - 安全日志。Slide Craft 技术私人有限公司 的系统启用了对各自系统日志设施的日志记录功能，以支持安全审计，监控和检测实际和企图攻击或入侵的行为 Slide Craft 技术私人有限公司 的系统。
  - 漏洞管理。Slide Craft 技术私人有限公司 定期对其生产和开发环境的所有基础架构组件进行漏洞扫描。漏洞以风险为基础进行修复，并尽快为所有组件安装关键、高和中等安全补丁。
网络和传输。
- 数据传输。生产环境中的传输通过互联网标准协议传输。
- 外部攻击面。AWS 上的生产环境已设置了相当于虚拟防火墙的 AWS 安全组。
- 事件响应。 Slide Craft 技术私人有限公司 维护事件管理政策和程序，包括详细的安全事件上报程序。 Slide Craft 技术私人有限公司 监控各种通信渠道以防安全事件，以及 Slide Craft 技术私人有限公司的安全人员将对可疑或已知的事件迅速做出反应，减轻此类安全事件的有害影响，并记录此类安全事件及其结果。
- 加密技术。 Slide Craft 技术私人有限公司 使 HTTPS 加密（也称为 SSL 或 TLS）可用于传输中的数据。
数据存储、隔离、身份验证和销毁。Slide Craft 技术私人有限公司 将数据存储在 AWS 服务器上的多租户环境中。数据、服务数据库和文件系统架构在 AWS 的多个可用区之间复制。 Slide Craft 技术私人有限公司 在逻辑上隔离不同客户的数据。所有服务都使用中央身份验证系统，以提高数据的统一安全性。 Slide Craft 技术私人有限公司 通过使用一系列数据销毁流程，确保安全处置客户数据。

附件三

子处理器列表

控制器已授权使用以下子处理器：

Name of Sub- Processor	Description of Processing	Location of Other Processor
Amazon Web Services	Hosting the Production Environment and All customer data (eg document data etc)	USA
Slack	For messaging	USA
Webflow	For websites	USA
Stripe	Payment gateway	USA
Adobe	For design	USA