协议

数据处理协议

了解 InsertChat 如何处理经批准的网站来源、访客对话和相关助理工作流程的个人数据。

职责明确GDPR-准备好子处理者审查

免费开始

3天免费试用 · 试用期间不收取任何费用

DPA 范围

面向访客的人工智能处理协议

在公共网站上部署品牌助理之前，请检查重要的处理范围、保障措施和操作控制。

加工范围

DPA 支持审查 InsertChat 如何处理品牌助理、访客对话、批准来源和相关服务的个人数据。

权利和援助

该协议涵盖数据主体权利、个人数据泄露响应、DPIA、审计、删除和个人数据返还方面的协助。

分处理者和转移

隐私审查可以包括子处理者、传输保护措施以及在启动高风险访问者工作流程之前记录的说明。

协议

数据处理协议

完整的 DPA 仍然在一处可用。

概述

类别：法律

生效日期： 2024 年 9 月 11 日

本数据处理协议（“协议”）构成 InsertChat（在本协议中称为“数据处理者”）与 InsertChat 服务的任何用户（在本协议中称为“公司”）（统称为“双方”）之间的服务合同（“主要协议”）的一部分。

鉴于

(A) 公司充当数据控制者。
(B) 公司希望将某些涉及个人数据处理的服务分包给数据处理者。
(C) 双方寻求实施一项数据处理协议，该协议符合有关数据处理的现行法律框架的要求以及欧洲议会和理事会 2016 年 4 月 27 日关于保护自然人个人数据处理和此类数据自由流动的条例 (EU) 2016/679，并废除指令 95/46/EC（一般数据保护条例）。
(D) 双方希望规定其权利和义务。

协议如下：

1. 定义和解释

1.1 除非本协议另有定义，本协议中使用的大写术语和表达应具有以下含义：

“协议” 指本数据处理协议及其所有部分。
“公司个人数据” 是指由签约处理者代表公司根据主协议或与之相关的任何个人数据。
“签约处理器” 表示子处理器。
“数据保护法” 指欧盟数据保护法以及（在适用的情况下）任何其他国家/地区的数据保护或隐私法。
'EEA' 指欧洲经济区。
“欧盟数据保护法” 是指欧盟指令 95/46/EC，已转化为每个成员国的国内立法，并不时修订、替换或取代，包括由 GDPR 以及实施或补充 GDPR.
'GDPR' 表示欧盟通用数据保护条例 2016/679.
“数据传输” 是指将公司个人数据从公司传输至签约处理者，或将公司个人数据从签约处理者传输至分处理者，或在签约处理者的两个机构之间传输，在每种情况下，数据保护法均禁止此类传输。
“服务” 指公司提供的服务。
“分处理者” 指由处理者指定或代表处理者代表公司处理与本协议相关的个人数据的任何人员。

1.2 术语“委员会”、“控制者”、“数据主体”、“成员国”、“个人数据”、“个人数据泄露”、“处理”和“监管机构”应与 GDPR 中的含义相同，并且应相应地解释其同源术语。

2. 公司个人数据的处理

2.1 处理器应：

在处理公司个人数据时遵守所有适用的数据保护法。
除非按照相关公司的书面说明处理公司个人数据。

2.2 公司指示处理者处理公司个人数据。

3. 处理人员

3.1 处理者应采取合理措施，确保可能访问公司个人数据的任何签约处理者的任何员工、代理人或承包商的可靠性，确保在每种情况下，访问权限严格限于需要了解/访问相关公司个人数据的个人（对于主协议而言是严格必要的），并在该个人对签约处理者的职责范围内遵守适用法律，确保所有此类个人均遵守保密承诺或专业或法定保密义务。

4. 安全性

4.1 考虑到现有技术、实施成本、处理的性质、范围、背景和目的，以及自然人权利和自由的不同可能性和严重程度的风险，处理者应就公司个人数据实施适当的技术和组织措施，以确保适合该风险的安全级别，包括酌情采取 GDPR.

第 32(1) 条中提到的措施

4.2 在评估适当的安全级别时，处理者应特别考虑处理过程中带来的风险，特别是个人数据泄露带来的风险。

5. 子处理

5.1 除非公司要求或授权，处理者不得指定任何子处理者（或向其披露任何公司个人数据）。

6. 数据主体权利

6.1 考虑到处理的性质，处理者应尽可能协助公司实施适当的技术和组织措施，以履行公司合理理解的义务，响应数据保护法规定的行使数据主体权利的请求。

6.2 处理器应：

如果收到数据主体根据任何数据保护法提出的有关公司个人数据的请求，请立即通知公司。
确保除非根据公司的书面指示��处理者须遵守的适用法律的要求，否则不会对该请求做出响应，在这种情况下，处理者应在适用法律允许的范围内，在签约处理者响应请求之前将该法律要求告知公司。

7. 个人数据泄露

7.1 在意识到影响公司个人数据的个人数据泄露事件后，处理者应立即通知公司，向公司提供足够的信息，以便公司履行数据保护法规定的报告或通知数据主体有关个人数据泄露事件的任何义务。

7.2 处理者应与公司合作，并按照公司的指示采取合理的商业措施，协助调查、缓解和补救每起此类个人数据泄露事件。

8. 数据保护影响评估和事前咨询

8.1 处理者应向公司提供合理的协助，以进行任何数据保护影响评估，并事先与监管机构或其他数据隐私主管机构进行协商，公司合理地认为 GDPR 第 35 条或第 36 条或任何其他数据保护法的同等条款要求这样做。

9. 公司个人数据的删除或返还

9.1 根据本节规定，处理者应在任何情况下在涉及公司个人数据处理的任何服务停止之日（“停止日期”）后 10 个工作日内立即删除并促使删除公司个人数据的所有副本。

10. 审计权

10.1 根据本节的规定，处理者应根据要求向公司提供证明遵守本协议所需的所有信息，并应允许并协助公司或公司授权的审计员对签约处理者处理公司个人数据进行审计，包括检查。

10.2 公司的信息和审计权利仅在本协议未另行授予满足数据保护法相关要求的权利的情况下根据本节产生。

11. 数据传输

11.1 未经公司事先书面同意，处理者不得将公司个人数据转移或授权转移到欧盟和/或欧洲经济区 (EEA) 以外的国家。如果根据本协议处理的个人数据从 EEA 范围内的国家转移到 EEA 范围之外的国家，双方应确保个人数据得到充分保护。为了实现这一目标，除非另有约定，双方应依赖欧盟批准的标准合同条款来传输个人数据。