跳转至

NiceGPU 服务条款附录:数据处理协议

最后更新日期:2025 年 4 月 17 日

本数据处理协议(“协议”)构成以下双方之间的服务条款(“主协议”)的一部分:(i) 客户(“控制者”);和 (ii) NiceGPU Inc.(“处理者”或“服务提供商”)。本协议自客户与处理者签订主协议生效之日起生效。本协议中使用的术语应具有本协议中规定的含义。未在本协议中另行定义的大写术语应具有主协议中赋予它们的含义。除非下文另有修改,主协议的条款应继续完全有效。

1. 定义

在本协议中,以下术语应具有以下含义:

  • “匿名数据” 指与一组或一类消费者和/或个人相关的信息,其中:(i) 控制者无法被识别为信息的来源;(ii) 允许识别个人的个人可识别信息已被删除;以及 (iii) 信息无法合理地识别或链接到任何消费者、个人、家庭或设备。
  • “适用法律” 指《通用数据保护条例》(GDPR)、《英国通用数据保护条例》(UK GDPR)、《瑞士通用数据保护条例》(Swiss GDPR)、《加州消费者隐私法》(CCPA)、《加州隐私权法案》(CPRA)以及任何其他适用的数据保护法律。
  • “个人数据” 指根据主协议,由合同处理者代表控制者处理的任何个人数据。
  • “合同处理者” 指处理者或子处理者。
  • “欧洲经济区” 指欧洲经济区。
  • “GDPR” 指欧盟《通用数据保护条例》2016/679 及其在欧洲经济区和英国的实施法规。
  • “受限传输” 指受 GDPR 约束的个人数据向欧洲经济区以外的传输。
  • “服务” 指根据主协议,由合同处理者为控制者提供或将要提供的服务和其他活动。
  • “标准合同条款” 指 2021 年 6 月 4 日欧盟委员会执行决定(EU)2021/914 关于将个人数据传输至第三国的标准合同条款,依据欧盟议会和理事会条例(EU)2016/679,作为附表 A 附于此处。
  • “子处理者” 指任何个人(包括任何第三方和任何处理者关联方,但不包括处理者的员工)或其任何分包商,由处理者或处理者关联方任命或代表其行事,在主协议范围内代表任何控制者处理个人数据。
  • “处理者关联方” 指拥有或控制、被拥有或被控制或与处理者共同控制或拥有的实体,其中控制定义为直接或间接拥有指导或导致实体管理和政策方向的权力,无论是通过拥有投票证券、合同或其他方式。
  • 术语“委员会”、“控制者”、“数据主体”、“成员国”、“个人数据”、“个人数据泄露”、“处理”和“监管机构”应具有与 GDPR 中相同的含义。

2. 数据处理

2.1 范围和角色: 双方承认并同意,关于个人数据的处理,客户是控制者,NiceGPU 是处理者,并且 NiceGPU 将根据下文第 5 节“子处理者”中规定的要求聘请子处理者。

2.2 客户对个人数据的处理: 客户应在其使用服务的过程中,按照数据保护法律的要求处理个人数据。为避免疑义,客户对个人数据处理的指示应符合数据保护法律。客户应对个人数据的准确性、质量和合法性以及客户获取个人数据的方式负全部责任。

2.3 处理者对个人数据的处理: 处理者应将个人数据视为机密信息,并仅根据客户的书面指示代表客户处理个人数据,用于以下目的:(i) 根据主协议进行处理;(ii) 用户在使用服务时发起的处理;和 (iii) 遵守客户提供的其他有文件记录的合理指示(例如,通过电子邮件),只要这些指示与主协议的条款一致。

3. 数据主体的权利

3.1 数据主体请求: 在法律允许的范围内,如果处理者收到数据主体要求访问、更正、修改或删除其个人数据的请求,处理者应立即通知客户。未经客户事先书面同意,处理者不得回应任何此类数据主体请求,除非确认该请求与客户有关。在法律允许的范围内,并且在客户无法通过使用服务访问此类个人数据的情况下,处理者应向客户提供商业上合理的合作和协助,以处理数据主体对其个人数据的访问请求。

4. NiceGPU 人员

4.1 保密性: 处理者应确保其参与处理个人数据的人员被告知个人数据的机密性质,已接受其职责的适当培训,并已签署书面保密协议。处理者应确保此类保密义务在人员聘用终止后仍然有效。

4.2 可靠性: 处理者应采取商业上合理的步骤,确保参与处理个人数据的任何 NiceGPU 人员的可靠性。

4.3 访问限制: 处理者应确保 NiceGPU 对个人数据的访问限于根据主协议执行服务的人员。

4.4 数据保护官: NiceGPU 集团成员已任命了一名数据保护官。指定的人员可通过dpo@nicegpu.com联系。

5. 子处理者

5.1 子处理者的任命: 客户承认并同意(a) 处理者的关联方可以作为子处理者保留;和 (b) 处理者及其关联方可以分别聘请第三方子处理者以提供服务。处理者或处理者关联方已与每个子处理者签订了书面协议,其中包含的数据保护义务不低于本协议中关于保护个人数据的义务,适用于该子处理者提供的服务性质。

5.2 当前子处理者列表和新子处理者通知: 处理者应向客户提供服务的当前子处理者列表。此类子处理者列表应包括这些子处理者的身份及其所在国家(“子处理者列表”)。客户可以在处理者的网站上找到订阅每个适用服务的新子处理者通知的机制,客户应订阅该机制,如果客户订阅,处理者将在授权任何新子处理者处理个人数据之前通知客户。

5.3 对新子处理者的异议权: 客户可以通过根据第 5.2 节规定的机制,在收到处理者通知后的十(10)个工作日内及时书面通知处理者,对处理者使用的新子处理者提出异议。如果客户对新子处理者提出异议,如前一句所述,处理者将尽合理努力向客户提供服务的变更,或建议客户配置或使用服务的商业上合理的变更,以避免由被异议的新子处理者处理个人数据,而不对客户造成不合理的负担。如果处理者无法在合理的时间内(不得超过三十(30)天)提供此类变更,客户可以通过向处理者提供书面通知,终止仅涉及无法由处理者在没有使用被异议的新子处理者的情况下提供的那些服务的适用订单表格。处理者将退还客户任何预付费用,涵盖自终止生效日期起剩余期限的此类订单表格。

6. 安全

6.1 个人数据保护的控制措施: 处理者应维护适当的技术和组织措施,以保护个人数据的安全(包括防止未经授权或非法处理,防止意外或非法销毁、丢失、更改、未经授权披露或访问个人数据)、保密性和完整性,如 NiceGPU 安全文档中所述。处理者定期监控这些措施的合规性。处理者在订阅期限内不会大幅降低服务的整体安全性。

6.2 第三方认证和审计: 处理者已获得 NiceGPU 安全文档中列出的第三方认证和审计。在客户合理间隔的书面请求下,并遵守主协议中规定的保密义务,处理者应向非处理者竞争对手的客户提供(或客户的独立第三方审计师,非处理者竞争对手)处理者最新的第三方审计或认证副本(视情况而定)。

7. 安全漏洞管理和通知

处理者维护 NiceGPU 安全文档中规定的安全事件管理政策和程序,并应在法律允许的范围内,及时通知客户任何实际或合理怀疑的未经授权的个人数据披露,包括任何个人数据泄露。处理者应尽合理努力确定此类个人数据泄露的原因,并采取处理者认为必要且合理的步骤,以补救此类个人数据泄露的原因,只要补救措施在处理者的合理控制范围内。此处的义务不适用于由客户或客户的用户引起的事件。

8. 个人数据的返回和删除

处理者应将个人数据返还给客户,并在适用法律允许的范围内删除个人数据。