数据处理协议(DPA)

生效日期: 2025年6月23日
最后更新: 2025年6月23日

1. 介绍与适用范围

本数据处理协议(”DPA”)构成MICRO DIGITAL ELECTRONICS CORP S.R.L.(”处理方”、”我们”、”我司”或”本公司”)与合同方(”控制方”、”您”或”您的”)之间关于通过https://vendor.energy提供VENDOR能源项目相关信息服务的服务协议的一部分。

本DPA根据以下法规管理处理方代表控制方处理个人数据:

  • 法规(EU) 2016/679(通用数据保护条例 – “GDPR”)
  • 在罗马尼亚实施GDPR的第190/2018号法律
  • 关于个人数据处理的罗马尼亚第506/2004号法律
  • 其他适用的数据保护法律

2. 处理方信息

法律实体:
MICRO DIGITAL ELECTRONICS CORP S.R.L.
注册号:50047468
地址:罗马尼亚布加勒斯特第4区联合大道16号705办公室
EUID:ROONRC.J2024009262405

数据保护联系人:
Vitaly Peretyachenko
电子邮件:vp@vendor.energy
地址:罗马尼亚布加勒斯特第4区联合大道16号705办公室

3. 定义

就本DPA而言:

3.1 GDPR定义

  • “控制方” 指确定个人数据处理目的和方式的自然人或法人
  • “处理方” 指代表控制方处理个人数据的自然人或法人
  • “个人数据” 指与已识别或可识别的自然人相关的任何信息
  • “处理” 指对个人数据执行的任何操作
  • “数据主体” 指已识别或可识别的自然人
  • “监管机构” 指负责监控GDPR合规性的独立公共机构

3.2 服务特定定义

  • “服务协议” 指信息服务的主要协议
  • “授权人员” 指被授权访问个人数据的员工和承包商
  • “安全事件” 指导致个人数据被破坏、丢失、更改或未经授权披露的任何安全漏洞

4. 主题事项和期限

4.1 主题事项

本DPA的主题事项是处理以下必要的个人数据:

  • 管理商业沟通和咨询
  • 提供项目信息和更新
  • 促进投资者关系和沟通
  • 维护联系数据库和沟通偏好
  • 处理通讯订阅和营销沟通

4.2 期限

本DPA在服务协议期间内保持有效,并持续到所有个人数据已根据本协议规定删除或返还给控制方为止。

4.3 处理的性质和目的

处理仅限于提供VENDOR能源项目信息服务和维护与潜在投资者和合作伙伴业务关系所必需的活动。

5. 数据类别和数据主体

5.1 数据主体类别

个人数据可能涉及:

  • 商业联系人: 合作伙伴公司、投资者和利益相关者的代表
  • 通讯订阅者: 已订阅项目更新的个人
  • 咨询联系人: 已提交联系表格或咨询的个人
  • 网站访客: 访问我们网站的个人(仅分析数据)

5.2 个人数据类别

处理方可能处理以下类别的个人数据:

联系信息:

  • 全名和职务
  • 电子邮件地址
  • 电话号码
  • 公司名称和职位
  • LinkedIn个人资料网址

沟通数据:

  • 咨询内容和消息
  • 沟通偏好
  • 订阅状态和偏好
  • 响应和参与数据

技术数据(网站分析):

  • IP地址(尽可能匿名化)
  • 浏览器和设备信息
  • 网站使用模式
  • 访问日志和时间戳

6. 处理方义务

6.1 处理指令

处理方应:

  • 仅根据控制方的书面指令处理个人数据
  • 未经事先书面授权不得为任何其他目的处理个人数据
  • 如指令似乎违反适用的数据保护法,应立即通知控制方
  • 根据GDPR第30条要求维护所有处理活动的记录

6.2 保密性

处理方确保:

  • 所有被授权处理个人数据的人员都受保密义务约束
  • 保密义务在雇佣或参与终止后继续有效
  • 仅限于授权人员访问个人数据
  • 定期提供数据保护要求的培训

6.3 安全措施

处理方实施适当的技术和组织措施,包括:

技术措施:

  • 传输和静止状态下个人数据的加密
  • 定期安全更新和补丁管理
  • 访问控制和身份验证系统
  • 网络安全和防火墙保护
  • 定期安全监控和事件检测

组织措施:

  • 数据保护政策和程序
  • 定期员工数据保护培训
  • 事件响应程序
  • 供应商管理和尽职调查
  • 定期安全评估和审计

7. 子处理

7.1 一般授权

控制方为处理方参与子处理方提供一般授权,但须符合本节规定的条件。

7.2 当前子处理方

处理方目前参与以下子处理方:

子处理方服务位置保护措施
Google LLC分析服务美国/欧盟欧盟-美国DPF, SCCs
欧盟托管提供商网络托管欧盟充分性决定
电子邮件服务提供商电子邮件通信欧盟充分性决定

7.3 新子处理方

在参与新子处理方之前,处理方应:

  • 进行适当的尽职调查
  • 确保充分的数据保护保护措施
  • 至少提前30天通知控制方
  • 允许控制方反对参与

7.4 子处理方要求

所有子处理方必须:

  • 提供技术和组织措施的充分保证
  • 受与本DPA等效的数据保护义务的书面协议约束
  • 允许处理方和控制方进行审计和检查
  • 立即通知处理方任何安全事件

8. 数据主体权利

8.1 协助数据主体请求

处理方应通过以下方式协助控制方响应数据主体请求:

  • 提供技术和组织措施以支持权利行使
  • 及时转发直接收到的任何数据主体请求
  • 在10个工作日内提供必要的信息和协助
  • 实施措施以促进自动化权利行使(如可能)

8.2 特定权利支持

处理方为以下权利提供支持:

访问权(第15条):

  • 提供已处理个人数据的副本
  • 确认处理活动和目的
  • 识别子处理方和数据接收方

更正权(第16条):

  • 更正不准确的个人数据
  • 完善不完整的个人数据
  • 通知相关子处理方变更

删除权(第17条):

  • 在需要时安全删除个人数据
  • 确保子处理方删除
  • 提供删除确认

限制处理权(第18条):

  • 实施处理限制
  • 适当标记受限数据
  • 确保子处理方遵守限制

数据可携权(第20条):

  • 以结构化、机器可读格式提供数据
  • 在技术可行时促进直接转移给其他控制方

9. 个人数据泄露

9.1 事件检测和响应

处理方应:

  • 实施系统以及时检测安全事件
  • 立即响应以遏制和评估任何事件
  • 调查事件的原因、范围和影响
  • 记录所有事件和采取的响应措施

9.2 通知要求

在意识到个人数据泄露时,处理方应:

  • 立即通知控制方,不得无故拖延,最迟24小时内
  • 提供关于事件的所有可用信息
  • 充分配合泄露评估和响应
  • 如需要,协助监管通知

9.3 泄露信息

泄露通知应包括:

  • 泄露的性质和受影响的数据类别
  • 受影响的数据主体和个人数据记录数量
  • 泄露的可能后果
  • 已采取或拟采取的解决泄露的措施
  • 获取进一步信息的联系信息

9.4 补救

处理方应:

  • 立即采取措施减轻伤害
  • 实施额外保护措施防止再次发生
  • 提供补救进展的定期更新
  • 承担补救费用,除非由控制方行为造成

10. 数据传输

10.1 允许的传输

个人数据可以传输到:

  • 欧盟/欧洲经济区国家: 适用充分性决定
  • 具有充分性决定的第三国: 由欧盟委员会确定
  • 具有适当保护措施的第三国: 使用SCCs、BCRs或认证计划

10.2 传输保护措施

对于传输到没有充分性决定的第三国:

  • 标准合同条款(SCCs): 欧盟批准的合同条款
  • 传输影响评估: 评估当地法律和做法
  • 额外保护措施: 数据保护的技术措施
  • 定期审查: 持续评估传输条件

10.3 受限传输

处理方不得将个人数据传输到:

  • 没有充分保护或保护措施的国家
  • 无法提供同等保护的组织
  • 当地法律可能破坏保护的管辖区

11. 审计和合规

11.1 审计权利

控制方有权:

  • 对处理方的数据保护合规进行审计
  • 检查相关文档和系统
  • 就数据保护实践采访授权人员
  • 聘请合格的第三方审计师

11.2 审计程序

审计应:

  • 合理提前通知(最少30天)
  • 在正常营业时间进行
  • 不干扰正常业务运营
  • 在适当的保密安排下进行

11.3 审计费用

  • 控制方承担每年进行的审计费用
  • 如发现不合规,额外审计可能由处理方承担费用
  • 安全事件后的紧急审计由处理方承担费用

11.4 合规监控

处理方维护:

  • 定期合规自我评估
  • 所有数据保护措施的文档
  • 员工培训和意识计划的记录
  • 技术和组织措施的证据

12. 数据保留和删除

12.1 保留期

个人数据仅保留收集目的所需的期间:

  • 联系数据: 自最后交互起3年或直到请求删除
  • 通讯订阅: 直到取消订阅或请求删除
  • 投资者沟通: 出于法律合规保留7年
  • 网站分析: 26个月(Google Analytics默认)

12.2 安全删除

在保留期满或根据控制方指令时,处理方应:

  • 从所有系统安全删除所有个人数据
  • 确保所有子处理方删除
  • 提供书面删除确认
  • 维护删除记录以供合规目的

12.3 法律保留

如出现以下情况,删除可能暂停:

  • 法律程序待决或预期
  • 监管调查正在进行
  • 适用强制性法律保留期
  • 控制方提供特定书面指令

13. 数据返还

13.1 数据返还程序

在服务协议终止或应请求时,处理方应:

  • 以结构化、常用格式将所有个人数据返还给控制方
  • 从处理方系统和子处理方系统删除所有副本
  • 在30天内提供删除证明
  • 仅在法律要求时保留备份副本

13.2 数据格式

返还的数据将以以下格式提供:

  • 机器可读格式(CSV、JSON、XML)
  • 为安全起见的加密格式
  • 便于导入的有组织结构
  • 数据字段和格式的完整文档

14. 责任和赔偿

14.1 处理方责任

处理方仅在以下情况下对处理造成的损害承担责任:

  • 未遵守专门针对处理方的GDPR义务
  • 在控制方合法指令之外或违反合法指令行事

14.2 责任限制

处理方在本DPA下的总责任不得超过在索赔前12个月内根据服务协议支付的总费用。

14.3 赔偿

处理方应就以下事项向控制方提供赔偿:

  • 因处理方不合规导致的监管罚款
  • 因处理方违反本DPA产生的第三方索赔
  • 因处理方造成的强制性数据泄露通知费用

14.4 保险

处理方维护适当的专业责任和网络保险覆盖,以支持其在本DPA下的义务。

15. 终止

15.1 终止事件

本DPA在以下情况下终止:

  • 服务协议到期或终止
  • 完成所有数据返还和删除义务
  • 双方书面同意
  • 在30天内未治愈的重大违约

15.2 继续有效

以下条款在终止后继续有效:

  • 数据返还和删除义务
  • 保密要求
  • 责任和赔偿条款
  • 持续合规验证的审计权利

16. 管辖法律和争议

16.1 管辖法律

本DPA受罗马尼亚法律和欧盟法规(包括GDPR)管辖。

16.2 争议解决

争议应通过以下方式解决:

  • 主要管辖权: 罗马尼亚布加勒斯特有管辖权的法院
  • 替代争议解决: 通过认可的ADR机构进行调解
  • 紧急救济: 任何一方可就数据保护违规寻求禁令救济

16.3 监管合作

双方同意充分配合:

  • 监管机构的调查
  • 数据主体投诉程序
  • 监管执法行动

17. 修订和更新

17.1 修订程序

本DPA可在以下情况下修订:

  • 双方书面同意
  • 为符合适用法律的变化
  • 反映处理活动或技术的变化

17.2 监管更新

处理方将通知控制方:

  • 数据保护立法的变化
  • 监管机构的新指导
  • 行业最佳实践发展

18. 联系信息

DPA相关事宜:

数据保护官:
Vitaly Peretyachenko
MICRO DIGITAL ELECTRONICS CORP S.R.L.
电子邮件:vp@vendor.energy
地址:罗马尼亚布加勒斯特第4区联合大道16号705办公室

一般联系:
电子邮件:info@vendor.energy

罗马尼亚监管机构:
ANSPDCP(个人数据处理国家监管局)
网站:anspdcp.ro
电子邮件:anspdcp@dataprotection.ro

本数据处理协议自上述首次规定的日期起生效,并应根据其条款保持有效。

通过使用我们的服务,控制方确认并同意本DPA的条款。

MICRO DIGITAL ELECTRONICS CORP S.R.L.
数据处理方
日期:2025年6月23日

控制方签名
公司:________________
姓名:________________
职务:________________
日期:________________