數據處理附錄

本附錄構成合同的組成部分，由以下各方簽訂：

(i) 客戶（“數據導出者”）
(ii) LISTREET（“數據導入器”）

每個都是“黨”，通常是“黨”。

前言

數據導入者在哪裡提供專業的軟件服務、計算機和相關服務；

根據合同，數據導入方已同意向數據導出方提供合同規定的服務（“服務”）；

如果通過提供服務，數據進口商接收或受益於訪問數據出口商的信息或與數據出口商有（潛在）關係的其他人的信息，此類信息可能被認定為法規意義上的個人數據(EU) 2016 年 4 月 27 日歐洲議會和理事會關於在處理個人數據和此類數據的自由流動方面保護個人的 2016/679 號（“ GDPR ”）和其他適用的數據保護法。

本附錄包含適用於數據進口商作為數據出口商的授權數據處理代理收集、處理和使用此類個人數據的條款和條件，以確保各方遵守適用的數據保護法.

因此，為使雙方能夠合法地繼續其關係，雙方已將本附錄總結如下：

第1部分

1. 文件的結構和定義

1.1 結構

本附錄包括以下不同部分：

第1部分：	包含一般規定，例如關於本附錄中使用的定義、遵守當地法律、時間安排和終止
第2部分：	包含未修改的標準合同條款文件的正文
第 2 部分附錄 1.1：	包含數據導入方作為授權數據處理代理向數據導出方提供的處理操作的詳細信息（包括處理、處理的性質和目的、個人數據的類型和數據主體的類別）附錄
第 2 部分的附錄 2：	包含對數據導入者的技術和組織安全措施的描述，這些措施適用於第 2 部分附錄 1.1 中描述的所有處理活動
第 3 部分：	包含受本附錄約束的各方的簽名並識別每個數據導入者

1.2 術語和定義

就本附錄而言，GDPR 使用的術語和定義適用（在第 2 部分的標準合同條款文檔的正文中，其中定義的術語未大寫）。

“會員國”	指屬於歐盟或歐洲經濟區的國家
“特殊類別的（個人）數據”	指揭示種族或民族血統、政治觀點、宗教或哲學信仰或工會成員身份的個人數據，以及基因數據、生物特徵數據（如果處理的目的是唯一識別一個人）、有關健康的數據、有關個人性別的數據生活或性取向
《標準合同條款》	指根據 2010 年 2 月 5 日第 2010/87/EU 號委員會決定，在 2010 年 2 月 5 日經委員會實施決定 (EU) 2016/2297 修訂的第三國建立的處理代理的個人數據傳輸標準合同條款2016 年 12 月
“數據處理器”	指位於歐盟/歐洲經濟區內部或外部的任何處理代理，其同意從數據導入方或數據導入方的任何其他處理方接收個人數據，僅用於數據導出方在根據數據導出者的指示、本附錄的條款和與數據導入者的合同進行傳輸

2. 數據導出者的義務

2.1 數據輸出者有義務確保遵守 GDPR 和適用於數據輸出者的任何其他適用數據保護法項下的所有適用義務，並按照 GDPR 第 5 條第 (2) 款的要求證明這種合規性。數據輸出方保證數據輸入方已根據 GDPR 第 6 條 (a) 項獲得數據主體的事先同意，並已按照 GDPR 第 13 條和第 14 條履行了通知數據主體的義務。

2.2 數據輸出方必鬚根據 GDPR 第 30 條第 (1) 款向數據輸入方提供與本附錄下的服務相關的處理活動的相應文件，以使數據輸入方在必要的範圍內遵守以下義務GDPR 第 30 條第 2 款。

2.3 數據輸出者必須在適用的數據保護法要求的範圍內任命一名數據保護官或代表。數據出口商有義務向數據進口商提供數據保護代理或代表（如有）的詳細聯繫信息。

2.4. 數據導出者在完成處理之前通過接受本附錄確認數據導入者的技術和組織安全措施（如第 2 部分附錄 2 中所述）是適當且足以保護數據主體的權利的並確認數據導入方在這方面提供了充分的保障。

3. 遵守當地法律

為滿足 GDPR 第 28 條後處理代理的實施要求，適用以下修改：

3.1 使用說明

(i) 數據輸出者指示數據輸入者僅代表數據輸出者處理個人數據。本附錄和合同中提供了數據導出者的說明。數據出口商有義務確保向數據進口商發出的所有指示均符合適用的數據保護法律。除非歐盟或成員國法律另有要求，否則數據導入方必須僅根據數據導出方提供的說明處理個人數據（在後一種情況下，適用第 1 部分第 3.2 (iv) (c) 條） .
(ii) 超出本附錄或合同中說明的所有其他說明必須包含在本附錄和合同的主題中。如果執行此附加指令涉及數據導入方的費用，數據導入方應在執行指令前告知數據導出方此類費用並提供說明。只有在數據導出方確認接受執行指令的這些費用後，數據導入方才應執行此附加指令。除非緊急情況或其他特定情況需要其他形式（例如口頭、電子），否則數據導出者必須以書面形式提供額外說明。非書面形式的指示必須由數據導出者立即以書面形式確認。
1. 除非數據輸出方無法自行對個人數據進行更正、刪除或限制，否則該指示還可能涉及第 1 部分第 3.3 條中規定的個人數據的更正、刪除和/或限制。
2. 如果數據導入方認為指令違反了GDPR或歐盟或成員國的其他適用數據保護規定（“有爭議的指令”），則數據導入方必須立即通知數據導出方如果監管機構宣布質疑指令合法，數據導入方應執行質疑指令。第 1 部分第 3.1 (ii) 條應繼續適用。

3.2 數據導入者的義務

(i) 數據進口商必須確保由數據進口商授權代表數據出口商處理個人數據的人員，特別是數據進口商的員工和任何分包商的員工，已承諾遵守保密規定或受適當的法定保密義務，並且有權訪問個人數據的人員按照數據導出者的指示對其進行處理。
(ii) 在代表數據導出者處理個人數據之前，數據導入者必須實施第 2 部分附錄 2 中規定的技術和組織安全措施。如果提供的保護不低於第 2 部分附錄 2 中規定的保護，數據導入者可能會不時更改技術和組織安全措施。
(iii) 應數據輸出者的要求，數據輸入者應向數據輸出者提供信息，以表明數據輸入者遵守本附錄規定的義務。雙方同意，通過向數據導出者提供審計報告（包括原則的安全性、系統可用性和保密性）（“審計報告”）來履行這一信息義務。如果法律要求進行額外的審計活動，數據輸出方可以要求數據輸出方或數據輸出方指定的其他審計員進行檢查，但前提是該審計員與數據輸入方簽署了保密協議，並提交給數據輸入方合理的滿意（“審計”）。本次審核須符合以下條件：(i) 數據導入方的事先正式書面接受；(ii) 數據輸出方應承擔與數據輸出方和數據輸入方現場審核相關的所有費用。數據導出者必須創建一份審計報告，總結現場審計的結果和觀察結果（“現場審計報告”）。現場審計報告和審計報告是數據導入方的機密信息，除非適用的數據保護法要求或數據導入方同意，否則不得向第三方披露。
(iv) 數據導入方有義務立即通知數據導出方：
1. 一種。關於執法當局披露個人數據的任何具有法律約束力的請求，除非另有禁止，例如根據刑法禁止保護執法調查的機密性
2. 灣。關於直接從數據主體收到的任何投訴和請求（例如，關於訪問、更正、刪除、處理限制、數據可移植性、反對數據處理、自動決策）而不響應該請求，除非數據導入方已被授權這樣做
3. C。如果數據導入方或數據處理方有義務，根據歐盟或數據導入方或數據處理方所屬成員國的法律，在超出數據導出方指示的範圍內處理個人數據，然後再執行超出範圍的此類處理指示，除非歐盟或成員國的法律以重大公共利益為由禁止此類處理，在這種情況下，向數據輸出者發出的通知應具體說明歐盟或成員國法律的法律要求；或者
4. d。如果數據導入方僅因自己或其分包商而意識到個人數據受到侵犯，這將影響本合同所涵蓋的數據導出方的個人數據，在這種情況下，數據導入方將協助數據導出方履行其義務，根據適用的數據保護法，根據 GDPR 第 33 條第 (3) 款，通過提供可供其支配的信息來通知數據主體和（如適用）監管機構。
5. (v) 應數據輸出方的要求，數據輸入方應被迫協助數據輸出方履行其義務，執行 GDPR 第 35 條可能要求的數據保護影響評估，並進行事先協商GDPR 第 36 條關於數據進口商根據本附錄向數據出口商提供的服務的要求，向數據出口商提供必要的信息。只有在數據輸出方無法通過其他方式履行義務的情況下，數據輸入方才有義務提供此類協助。數據導入方將告知數據導出方此類協助的費用。一旦數據導出者確認可以承擔此費用，數據導入者將向數據導出者提供此幫助。
6. (vi) 提供服務結束後，數據輸出方可在服務後一個月內要求返還數據輸入方根據本附件處理的個人數據。除非成員國或歐盟的立法要求數據進口商存儲或保留此類個人數據，否則數據進口商將在一個月後刪除所有此類個人或非個人數據，無論它們是否已退回數據導出器是否應其請求。

3.3 相關人員的權利

1. (i) 數據導出者管理和響應數據主體提出的請求。數據導入者沒有義務直接回應數據主體。
2. (ii) 如果數據輸出方需要數據輸入方協助處理和響應數據主體的請求，數據輸出方應根據第 1 部分第 3.1 (ii) 條發出進一步指示。數據輸入方將協助數據輸出方採取以下適當和技術性的組織措施來響應 GDPR 第 III 章中規定的數據主體行使權利的請求，具體如下：
3. 一種。關於信息請求，如果數據輸出方無法自行找到這些信息，數據輸入方只會向數據輸出方提供 PGRD 第 13 條和第 14 條要求的信息。
4. 灣。關於訪問請求（GDPR 第 15 條），數據導入方將僅向數據導出方提供應為所述訪問請求提供給數據主體的信息，如果後者無法單獨找到它。
5. C。關於更正請求（GDPR 第 16 條）、刪除請求（GDPR 第 17 條）、處理請求限制（GDPR 第 18 條）或可移植性請求（GDPR 第 20 條），並且僅如果數據導出方無法自行更正或刪除、限製或將個人數據傳輸給其他第三方，數據導入方將向數據導出方提供更正或刪除、限製或傳輸相關個人數據給其他第三方的可能性，或者如果無法做到這一點，它將提供協助以糾正或刪除、限製或將相關個人數據傳輸給其他第三方。
6. d。關於與更正、刪除或限制處理有關的通知（GDPR 第 19 條），如果數據導出方要求，數據導入方將通知所有數據導入方作為處理方聘用的個人數據的所有接收方，以協助數據導出方。如果數據導出者無法自行糾正這種情況。
7. e. 關於數據主體行使的反對權（GDPR 第 21 條和第 22 條），數據導出者將確定反對是否合法以及如何處理。
8. (iii) 數據進口商的協助義務僅限於在其基礎設施內處理的個人數據（例如，數據進口商擁有或提供的數據庫、系統、應用程序）。
9. (iv) 數據輸出方應確定數據主體是否可以行使本第 1 部分第 3.1 條中規定的數據主體的權利，並應告知數據輸入方第 3.3 (ii) 條規定的協助範圍，（第 1 部分的 iii) 是必要的。
10. (v) 如果數據導出者要求額外或修改的技術和組織措施來滿足數據主體根據第 1 部分第 3.3 (ii)、(iii) 款提供的援助之外的數據主體的權利，則數據進口商應告知數據出口商實施此類額外或修改的技術和組織措施的成本。一旦數據導出方確認其能夠支付這些費用，數據導入方應實施此類附加或修改的技術和組織措施，以協助數據導出方響應數據主體的請求。
11. (vi) 在不限制第 1 部分第 3.3 (v) 條的範圍的情況下，數據輸出方有義務向數據輸入方償還其為響應數據主體的請求而產生的合理費用。

3.4 子處理

1. (i) 數據輸出方授權數據輸入方使用分包商提供本附件項下的服務。數據導入者應謹慎選擇此類數據處理者。數據導出者批准第 2 部分末尾附錄 1.1 中列出的數據處理者。
2. (ii) 數據導入方應在適用於分包服務的範圍內將其在本附錄下的義務轉移給數據處理方。
3. (iii) 數據導入者可自行決定解僱、更換或任命其他適當且可靠的數據處理者。如果數據導出者以書面形式要求，數據導入者必須遵循以下程序：

1. 一種。在對第 1 部分第 3.4 (i) 條中引用的數據處理者列表進行任何更改之前，數據導入方應通知數據導出方。如果數據導出方未根據第 3.4 條提出異議。(b) 第 1 部分的第 1 部分在收到數據導入方的通知後 30 天，額外的數據處理者應被視為已被接受。
2. 灣。如果數據導出方有正當理由反對額外的數據處理方，將在收到數據導入方通知後的三十天內，在數據導入方的服務開始運行之前，向數據導入方發出事先書面通知。如果數據出口商反對使用額外的數據處理器，數據進口商可以通過以下選項之一（自行選擇）清除反對：（A）數據進口商將取消其使用額外處理器的計劃數據導出者的個人數據；(B) 數據導入方將採取數據導出方在其反對（取消反對）中要求的糾正措施，並使用有關數據導出方個人數據的附加處理器；
1. (iv) 如果數據處理者位於 EU-EEA 以外的國家/地區，根據歐盟委員會的決定，該國家/地區未被認可提供足夠水平的數據保護，則數據進口商將採取措施遵守足夠水平的數據保護根據 GDPR 的數據保護（此類措施可能包括 - 除其他外 - 使用基於歐盟模式條款的數據處理合同，在歐盟-美國保護盾框架內傳輸給自我認證的數據處理器，或類似的程序）。

3.5 到期

本附錄的到期日與相應合同的到期日相同。除本附件另有規定外，與終止有關的權利和義務與合同中的權利和義務相同。

4. 責任限制

4.1 各方根據本附錄和適用的數據保護法規履行其義務。

4.2 與違反本附錄或適用的數據保護法規下的義務有關的任何責任應受合同中規定或適用於合同的責任條款的約束和管轄，除非本附錄另有規定。如果責任受合同中規定的或適用於合同的責任條款的約束，用於計算責任限額或確定其他責任限制的適用，則根據本附錄產生的任何責任應被視為根據合同產生。

5. 一般規定

5.1 如果本附錄第 1 部分和第 2 部分之間存在任何不一致或差異，以第 2 部分為準。具體而言，即使在這種情況下，僅超出第 2 部分（即標準條款的條款）而不與之相抵觸的第 1 部分仍然有效。

5.2 如果本附件的規定與對雙方具有約束力的其他合同的規定存在差異，則以本附件的規定為準。如對其他合同中的條款是否涉及當事人的數據保護義務有疑問，以本附件為準。

5.3 如果本附錄的任何條款無效或不可執行，本附錄的其餘部分應保持完全有效。無效或不可執行的條款將被 (i) 修改以確保其有效性和可執行性，同時盡可能保留當事人的意圖，或者 - 如果不可能 - (ii) 解釋為無效或不可執行的部分具有從來沒有成為合同的一部分。如果本附錄有遺漏，上述規定也應適用。

5.5 在必要的範圍內，雙方可以要求修改第 1 部分第 3 條（遵守當地法律）或附錄的其他部分，以符合歐盟或歐盟主管當局發布的解釋、指令或命令。成員國、國家執法規定或任何其他有關 GDPR 的法律發展或其他授權給參與數據處理的任何實體的條件，特別是有關 GDPR 中標準合同條款的使用。除非歐盟委員會明確批准（例如通過新的適當條款和數據保護標準），否則不得修改或替換標準合同條款的條款。

5.6 本附錄中對“條款”的任何引用應理解為指本附錄的所有規定，除非另有說明。

5.7 第 2 部分第 9 條中的法律選擇適用於整個合同。

6. 當事人為個人目的傳輸和處理的個人數據（從數據控制者轉移到數據控制者）

6.1 雙方充分了解，某些個人數據將從數據輸出方傳輸至數據輸入方，反之亦然，並且該等數據由各方出於自身目的進行處理。關於此類個人資料，不影響本附錄的其他規定（本第 6 條除外）。

6.2 數據輸出方可以將與數據輸入方員工有關的個人數據傳輸給數據輸入方，包括安全事件信息，或數據輸出方創建或建立的與數據輸入方員工提供的服務相關的任何其他文件或文件。數據導入器。數據導入者可能會出於自身目的處理此類個人數據，特別是在與數據導入者人員的專業關係中，用於質量控制和培訓，或出於商業目的。

6.3. 數據導入者可以將個人數據傳輸給數據導出者，包括數據導入者人員的姓名和聯繫方式。數據出口商可能會出於自己的目的處理此類個人數據。

6.4 雙方在收集、處理和使用根據第 1 部分第 1 條從另一方收到的此類個人數據時，應遵守任何適用的數據保護法律，包括 GDPR。特別是，雙方應採取充分的安全措施，提供與第 2 部分附錄 2 中規定的安全措施類似的保護級別。對此類個人數據的任何訪問均應僅限於了解這些數據的需要。

6.5 雙方必須在達到目的後儘快刪除該等個人資料。

第2部分

委員會的決定

2010 年 2 月 5 日

根據歐洲議會和理事會的 95/46/EC 指令，關於將個人數據傳輸到第三方國家/地區建立的數據處理器的標準合同條款

第 1 條

定義

在條款的含義內：

a) “個人數據”、“特殊類別數據”、“處理/處理”、“控制者”、“處理者”、“數據主體”和“監管機構”應與 95/46/EC 中的含義相同1995 年 10 月 24 日歐洲議會和理事會關於在處理個人數據和此類數據自由流動方面保護個人的指令 (1)；

b) “數據導出者”是傳輸個人數據的數據控制者；

c) “數據導入者”是指同意從數據導出者處接收擬在傳輸後根據其指示和這些條款的條款代表數據導出者處理的個人數據的數據處理者，而不是受第 95/46/EC 號指令第 25(1) 條含義內確保充分保護的第三國機制的約束；(d) “數據處理者”是指數據導入者或數據導入者的任何其他數據處理者聘請的數據處理者，他們同意從數據導入者或數據導入者的任何其他數據處理者處接收專門用於處理活動的個人數據根據數據導出者的指示在傳輸後代表數據導出者進行，

e) “適用的數據保護法”是指保護個人基本權利和自由的立法，包括關於處理個人數據的隱私權，並適用於數據出口商所在成員國的控制者；

f) “與安全有關的技術和組織措施”是指旨在保護個人數據免受意外或非法破壞或意外丟失、更改、未經授權的披露或訪問的措施，特別是在處理涉及通過網絡傳輸數據的情況下，以及所有其他非法形式的處理。

第 2 條

轉讓詳情

附件 1 中詳細說明了傳輸的詳細信息，包括（如適用）特殊類別的個人數據，該附件構成了這些條款的組成部分。

第 3 條

第三方受益人條款

1. 數據主體可以針對數據輸出者執行本條款、第 4(b) 至 (i) 條、第 5(a) 至 (e) 和 (g) 至 (j) 條、第 6 (1) 和 (2) 條)、第 7 條、第 8(2) 條和第 9 至 12 條作為第三方受益人

2. 數據主體可以在數據輸出方實際存在的情況下對數據輸入方執行本條、第 5 條 (a) 至 (e) 和 (g)、第 6 條、第 7 條、第 8 條 (2) 和第 9 至 12 條。消失或在法律上不再存在，除非他的所有法律義務已通過合同或法律實施轉移給繼任實體，因此數據導出者的權利和義務恢復到繼任實體，並且數據針對該實體因此，主體可以強制執行上述條款。

數據主體可以針對數據處理者執行本條款、第 5 (a) 至 (e) 和 (g) 條、第 6 條、第 7 條、第 8 (2) 條和第 9 至 12 條，但僅在數據出口商和數據進口商實際消失、在法律上不復存在或資不抵債，除非數據出口商的所有法律義務已通過合同或法律實施轉移給合法繼承人，其權利和因此，數據導出者的義務被賦予，數據主體因此可以對其執行此類條款。數據處理者的此類責任必須限於其根據這些條款進行的處理活動。

4. 如果數據主體願意並且國家法律允許，當事人不反對由協會或其他機構代表數據主體。

第 4 條

數據導出者的義務

數據導出者接受並保證以下內容：

a) 處理，包括個人數據的實際傳輸，已經並將繼續按照適用的數據保護法的相關規定進行（並且，在適用的情況下，已通知成員國的主管當局數據輸出方所在地）且不違反該國有關規定；

b) 他們已指示並將在個人數據處理服務期間指示數據導入方僅代表數據導出方並根據適用的數據保護法和這些條款處理傳輸的個人數據；

c) 數據導入方將對本合同附錄 2 中規定的技術和組織安全措施提供充分的保障；

d) 在評估適用的數據保護法的要求後，安全措施足以保護個人數據免受意外或非法破壞或意外丟失、更改、未經授權的披露或訪問，特別是在處理涉及數據傳輸的情況下通過網絡，並針對所有其他非法形式的處理，並在考慮到技術水平和實施成本的情況下，確保與處理所代表的風險和要保護的數據的性質相適應的安全級別；

e) 他們將確保遵守安全措施；

f) 如果傳輸涉及特殊類別的數據，數據主體已被告知或將在傳輸之前或在傳輸後儘快被告知其數據可能被傳輸到不提供的第三國指令 95/46/EC 所指的足夠保護水平；

g) 如果數據保護監管機構決定繼續傳輸或解除暫停，他們會將根據第 5 (b) 和 8 (3) 條從數據導入者或任何數據處理者收到的任何通知轉發給數據保護監管機構；

h) 如果數據主體要求，他們應向數據主體提供除附錄 2 外的這些條款的副本，以及安全措施的摘要描述，以及根據這些條款達成的任何進一步分包協議的副本，除非條款或協議包含商業信息，在這種情況下，他可以撤回此類信息；

i) 在分包數據處理過程的情況下，數據處理者根據第 11 條執行處理活動，該處理活動至少提供與這些條款下的數據導入者相同級別的個人數據和數據主體權利保護; 和

j) 它將確保符合第 4 (a) 至 (i) 條。

第 5 條

數據導入者的義務

數據導入者接受並保證以下內容：

a) 他們將僅代表數據出口商並根據數據出口商的指示和這些條款處理個人數據；如果由於任何原因不能遵守，他們同意盡快通知數據導出方其無法執行，在這種情況下，數據導出方可以暫停數據傳輸和/或終止合同；

b) 他們沒有理由相信適用於他們的法律會阻止他履行數據導出者的指示以及他在合同下應承擔的義務，並且如果此類法律發生可能產生重大不利影響的變更影響條款下的保證和義務的，他應在知悉變更後立即通知數據輸出方，在這種情況下，數據輸出方可以暫停數據傳輸和/或終止合同；(c) 在處理傳輸的個人數據之前，他們已實施附錄 2 中規定的技術和組織安全措施；

d) 他們將立即通知數據導出者：

i) 除非另有說明，否則執法當局要求披露個人數據的任何具有約束力的請求，例如旨在保護警方調查秘密的刑事禁令；

ii) 任何偶然或未經授權的訪問；和

iii) 直接從有關人員處收到的任何請求，除非他得到授權，否則不予回复；管理員

e) 他們將及時妥善地處理數據輸出方關於其處理所傳輸的個人數據的所有詢問，並將根據監管機構對所傳輸數據的處理的意見採取行動；

f) 應數據出口商的要求，他們將對其數據處理設施進行審計，由數據出口商或由具有必要專業資格的獨立成員組成的監督機構對這些條款所涵蓋的處理活動進行審計，遵守保密義務並由數據導出者選擇，在適當的情況下，經監管機構同意；

g) 如果數據主體要求，他們將向數據主體提供這些條款的副本，或任何現有的數據處理合同分包合同，除非條款或合同包含商業信息，在這種情況下，它可以刪除此類信息信息，除了附錄 2，它將被安全措施的摘要描述所取代，其中數據主體無法從數據導出者獲得副本；

h) 在機密進一步分包數據處理的情況下，他將確保提前通知數據導出方並獲得數據導出方的書面同意；

i) 數據處理者提供的處理服務應符合第 11 條的規定；

j) 他們將立即將其根據這些條款簽訂的數據處理協議的任何分包合同的副本發送給數據出口商。

第 6 條

責任

1. 雙方同意，任何數據主體因一方或數據處理者違反第 3 條或第 11 條所述義務而遭受損害的，可向數據輸出方就所受損害獲得賠償。

2. 如果數據主體因數據導入方或其數據處理方未能履行其在第 3 條或第 11 條下的任何義務而無法對數據導出方提起第 1 段所述的損害賠償訴訟，因為數據出口商實際消失、在法律上不復存在或資不抵債，數據進口商同意，除非數據出口商的所有法律義務已通過合同轉移，否則數據主體可以像數據出口商一樣對其提出投訴或通過法律的實施，向其繼任實體發送數據，然後數據主體可以針對該實體行使他的權利。數據導入者不得依靠數據處理者違反其義務來避免自己的責任。

3. 如果數據主體因數據處理方違反第 3 條或第 11 條規定的義務而無法對數據導出方或數據導入方提起第 1 段和第 2 段所述的訴訟，因為數據導出方和數據導入方實際消失、在法律上不復存在或資不抵債，數據處理者同意，數據主體可以根據這些條款就其自己的處理活動提出投訴，就好像它是數據導出者或數據導入者一樣，除非所有數據輸出方或數據輸入方的法律義務已通過合同或法律實施轉移給法定繼承人，然後數據主體可以向其主張其權利。根據這些條款，數據處理者的責任必須僅限於其自身的處理活動。

第 7 條

調解和管轄權

1. 數據導入方同意，如果根據本條款，數據主體援引第三方受益人的權利和/或要求賠償所受損害的，他將接受數據主體的決定：

a) 將爭議提交獨立人士或監管機構（如適用）進行調解；

b) 將爭議提交數據導出者所在成員國的法院。

2. 雙方同意，數據主體的選擇不影響數據主體根據國家或國際法的其他規定獲得補救的程序或實體權利。

第 8 條

與監管機構的合作

1. 如果監管機構要求或適用的數據保護法規定此類存放，數據輸出方同意向監管機構存放一份本合同的副本。

2. 雙方同意，監管機構可以根據適用的數據保護法，在與在數據輸出方進行檢查相同的程度和條件下對數據輸入方和任何數據處理方進行檢查。

3. 數據輸入方應盡快通知數據輸出方，有關數據輸入方或任何數據處理方的立法阻止數據輸入方或任何數據處理方根據第 2 款進行驗證。在這種情況下，數據輸出方可採取第 5 條 (b) 項規定的措施。

第 9 條

適用法律

這些條款適用並受數據導出者所在成員國的法律管轄。

第 10 條

合同修改

雙方承諾不修改本條款。雙方可以自由加入他們認為必要的其他商業條款，前提是它們不與本條款相抵觸。

第 11 條

後續分包

1. 未經數據輸出方事先書面同意，數據輸入方不得將其根據本條款代表數據輸出方進行的任何處理活動分包。數據導入方僅應在獲得數據導出方同意的情況下，通過與數據處理方簽訂書面協議，將其在本條款下的義務分包，對數據處理方施加與根據本條款對數據導入方施加相同的義務。如果數據處理者無法履行其在該書面協議下的數據保護義務，則數據進口商應對數據出口商履行這些義務承擔全部責任。

2. 數據導入方和數據處理方之間的事先書面協議還應包括第 3 條中規定的第三方受益人條款，用於阻止數據主體提出第 6 條（1 )，針對數據出口商或數據進口商，因為數據出口商或數據進口商已實際消失、在法律上不復存在或已資不抵債，並且數據出口商或數據進口商的所有法律義務未通過合同或運營轉移法律，到另一個繼任實體。根據這些條款，數據處理者的責任必須限於其自身的處理活動。

3. 第 1 段中提及的合同數據處理分包合同的數據保護方面的規定應受數據輸出方所在成員國的法律管轄。

4. 數據輸出方應保留根據本條款訂立並由數據輸入方根據第 5 (j) 條通知的數據處理協議的分包商清單，該清單應至少每年更新一次。該列表應提供給數據出口商的數據保護監督機構。

第 12 條

個人數據處理服務終止後的義務

1. 雙方同意，在完成數據處理服務後，數據導入方和數據處理方將在數據導出方方便的情況下，將所有傳輸的個人數據及其副本退還給數據導出方，或銷毀所有此類數據並提供證明對數據輸出者的破壞，除非對數據輸入者施加的法律禁止其返回或銷毀所傳輸的全部或部分個人數據。在這種情況下，數據導入方保證將確保傳輸的個人數據的機密性，並且不會再主動處理數據。

2. 數據輸入方和數據處理方應確保，如果數據輸出方和/或監管機構要求，他們將對其數據處理方式進行第 1 段所述措施的驗證。

第 2 部分附錄 1.1

轉讓詳情

數據導出器

數據導出者是合同協議中定義的客戶。

數據導入器

Data Importer 是 LISTREET，負責處理數據，為 Data Exporter 提供服務。

數據主體

傳輸的個人數據涉及以下類別的數據主體：

★通用名錄中列出的電話用戶

✔其他，包括：

數據類別

傳輸的個人數據涉及以下類別的數據：

數據導出者的數據主體的個人數據類別，尤其是，

★全稱

â～'郵政地址

★聯繫方式（電子郵件、電話、IP地址等）

★有關電話用戶的營銷活動詳情

★其他，包括匿名製作的城市住房類型、收入和平均年齡

特殊類別的數據（如適用）

傳輸的個人數據涉及以下特殊類別的數據：

★未預見特殊類別數據的傳輸

☉種族或民族血統

☉宗教或哲學信仰

★工會會員

★政治觀點

★遺傳信息

★生物特徵信息

☉性取向或性生活信息

★健康數據

處理活動

傳輸的個人數據將受到以下基本處理活動的約束：

- â€¢ 處理的目的

代表數據導出者進行的處理基於以下主題，特別是：

★負責數據導出方提供的產品或服務

★被叫方可以要求的產品或服務的報價

â〜'從被叫者那裡獲得的訂單以及對這些訂單的進一步處理

★研究問卷與分析

★電話營銷

★其他，包括：

- â€¢ 處理的性質和目的

數據導入者代表數據導出者處理數據主體的個人數據，以提供以下服務，尤其是：

â～'自動完成表格
â〜'地址驗證表

â~'銷售和市場營銷

â～'其他，包括更新市政廳和政黨的數據庫

- • 提供服務和僱傭服務提供者

LISTREET 主要是對 Data Exporter 進行組合、集中和提供服務。指定服務提供商提供的服務可能圍繞以下輔助服務構建（以及其他適當的服務）：(i) 提供與所使用的數據處理中心相關的應用程序、工具、系統和 IT 基礎設施，以便提供並支持服務，包括通過此類應用程序、工具和系統處理上述數據主體的個人數據，(ii) 提供與此類應用程序、工具、系統相關的 IT 支持、維護和其他服務和 IT 基礎設施，包括對存儲在此類應用程序、工具和系統中的個人數據的潛在訪問權限，以及 (iii) 提供數據保護服務、保護監控和事件響應服務，包括在提供此類保護服務時可能訪問個人數據。LISTREET 可能會聘請以下數據處理方提供服務，包括輔助服務。

- • 外部第三方服務提供商作為分配給數據處理的子實體

LISTREET 聘請外部和第三方服務提供商（不是 LISTREET 的子公司）來支持向數據導出者提供服務。數據導出者批准此類外部第三方服務提供商作為分配給數據處理的子實體。

如果涉及數據處理的子實體位於歐盟/歐洲經濟區以外的國家/地區，根據歐盟委員會的決定，該國家被認為沒有足夠水平的數據保護，數據導入方將採取措施獲得足夠水平的數據保護。數據保護符合 GDPR 和第 1 部分第 3.4 (iv) 節。

附錄 2，第 2 部分

技術和組織保護措施

數據導入方應根據風險採取以下經數據導出方確認的技術和組織保護措施，以確保個人權利和自由的適當安全水平。在評估相關保護級別時，數據導出者特別考慮了處理過程中涉及的風險，包括意外或非法破壞、更改、未經授權的披露或訪問傳輸、存儲或以其他方式處理的個人數據。澄清：這些技術和組織保護措施不適用於數據導出器提供的應用程序、工具、系統和/或 IT 基礎設施。

1 一般技術和組織保護措施

1.1 一般信息和數據保護策略

應採取以下步驟來遵循一般數據和信息保護策略：

a) 採取措施評估在技術和組織保護方面所採取的措施；

b) 提供培訓以提高員工的意識；

c) 對相關係統進行描述並授予員工訪問權限；

d) 每當實施或修改系統時，建立正式的文件過程；

e) 記錄組織結構、過程、職責和各自的評價；

1.2 信息保護組織

為了協調數據和信息保護活動，應採取以下措施：

a) 明確的信息和數據保護職責（例如通過數據保護管理政策）；

b) 保護現有信息和數據的必要專業知識；

c) 所有員工都承諾確保個人數據得到保密，並已被告知違反此承諾的潛在後果。

1.3 加工區域的訪問控制

在處理、存儲或傳輸個人數據時，必須採取以下措施防止未經授權的人員訪問數據處理系統（特別是軟件和硬件）：

a) 建立安全區域；

b) 保護和限制對數據處理系統的訪問；

c) 為員工和第三方建立訪問權限，包括各自的文件；

d) 應記錄對存儲個人數據的數據處理中心的任何訪問。

1.4 數據處理系統的訪問控制

為了防止未經授權訪問數據處理系統，必須採取以下措施：

a) 用戶認證政策和程序；

b) 在所有計算機系統上使用密碼；

c) 遠程訪問網絡需要多因素認證，並根據其職責和授權授予相關人員；

d) 對特定功能的訪問基於單獨分配給用戶帳戶的工作職能和/或屬性；

e) 定期審查與個人數據相關的訪問權；

f) 訪問權限更改的記錄保持最新。

1.5 控制對數據處理系統特定使用領域的訪問

必須採取以下措施，確保有權使用數據處理系統的授權人員只能在其各自職責和訪問權限範圍內訪問數據，並且未經授權不得讀取、複製、修改或刪除個人數據：

1.
1. a) 員工的政策、指示和培訓，涉及他們每個人在保密、訪問個人數據的權利和個人數據處理範圍方面的義務；

b) 對未經授權訪問個人數據的人採取紀律措施；

c) 在需要知道的基礎上，只允許授權人員訪問個人數據；

d) 維護系統管理員名單並採取適當措施監控系統管理員；

e) 不得在任何存儲系統上複製或複制個人數據，以使未經授權的人能夠刪除發起人的信息；

f) 受控和記錄的數據刪除或銷毀；

g) 安全存儲出於法律或監管原因（例如，保留數據的義務）必須保留的所有個人數據，並且僅在法律要求的時間內保存。

1.6 傳輸控制

必須採取以下措施，以防止未經授權的第三方在傳輸或傳輸數據存儲設備期間讀取、複製、修改或刪除個人數據（取決於所進行的個人數據處理）：

1.
1. a) 使用防火牆；

b) 避免出於傳輸目的將個人數據存儲在移動存儲設備上，或對設備進行加密；
c) 只有在激活加密保護後才能在筆記本電腦和其他移動設備上使用；

d) 記錄個人數據傳輸。

1.7 數據錄入控制

必須採取以下措施，以確保可以驗證和確定個人數據是否已輸入或從數據處理系統中刪除以及由誰輸入：

1.
1. a) 授權讀取、更改和刪除存儲數據的政策；

b) 有關讀取、更改和刪除存儲數據的保護措施。

1.8 工作控制

在委託處理個人數據的情況下，必須採取以下措施確保按照主管的指示處理此類數據：

1.
1. a) 分配給數據處理的實體或子實體，謹慎選擇（代表控制者處理個人數據的服務提供商）；

b) 對分配給數據處理的員工、實體或子實體的任何個人數據處理範圍的說明；

c) 與分配給數據處理的實體或子實體商定的審計權；

d) 與指定處理數據的實體或子實體達成的協議。

1.9 與其他目的的處理分開

必須採取以下措施，以確保為其他目的收集的數據可以單獨處理：

1.
1. a) 根據用戶現有權利單獨訪問個人數據；

b) 接口、批處理和報告用於其他目的和功能，以便為其他目的收集的數據可以單獨處理。

1.10 化名

對於個人數據的假名化，必須採取以下措施：

1.
1. a) 如果數據導出方下令進行特定的處理操作，或者如果數據導入方根據有關某些處理活動的現行數據保護法認為這是適當的，則個人數據的處理將以如下方式進行：如果不使用附加信息，數據就不能再歸屬於特定的人。這些附加信息將單獨保存；

b) 使用假名技術，包括分配列表隨機化；以利器的形式創造價值。

1.11 加密

應採取以下步驟對支持加密的應用程序和傳輸中的個人數據進行加密：

1. a) 使用加密技術；

b) 建立加密管理以支持授權使用的加密技術；

c) 通過用於生成、修改、撤銷、銷毀、分發、認證、存儲、捕獲、使用和歸檔密碼密鑰的程序和協議來支持密碼學的使用，以防止未經授權的修改和洩露。

1.12 數據處理系統和服務的完整性

為了確保數據處理系統和服務的完整性，必須採取以下措施：

1. a) 保護數據處理系統免於通過適當手段（例如防病毒軟件、數據丟失預防軟件和針對惡意軟件的軟件、軟件補丁、防火牆和託管桌面保護）進行操縱或破壞；

b) 禁止安裝任何對數據處理系統、服務或個人數據操作有害的服務或軟件；

c) 在網絡本身的結構中使用網絡入侵檢測和預防系統。

1.13 數據處理系統和服務的可用性以及在發生重大或技術事件時恢復訪問和使用個人數據的可能性

必須採取以下措施，以確保數據處理系統的可用性，以及在發生重大或技術事件時能夠快速恢復個人數據的可用性和訪問權（特別是通過確保個人數據受到保護以防意外破壞或丟失）：

a) 具有保存備份副本和恢復丟失或刪除數據的控製手段；

b) 基礎設施冗餘和性能測試；

c) 計算機資源的物理保護；

d) 使用工具監控內部網絡的狀態和可用性；

e) 管理事件管理程序的事件報告和響應政策，並作為定期培訓的一部分重申遵守這些政策；

f) 備份（有時是異地）以恢復系統，使其能夠再次執行其功能；

g) 業務連續性/災難恢復計劃

1.14 數據處理系統和服務的彈性

必須採取以下措施來確保數據處理系統和服務的彈性：

a) 系統和配置和諧，使用批准的安全參數；

b) 網絡冗餘；

c) 關鍵系統的遏制保護。

1.15 定期測試、評估和評估技術和組織措施有效性的程序，以確保數據處理的安全性

定期測試、評估和評估保護數據處理的技術和組織措施的有效性的程序。

a) 採取必要措施評估風險和緩解策略；

b) IT 部門的服務分析會議，以解決當前問題；

c) 定期更新業務連續性/災難恢復計劃。

第 3 部分

當事人簽名及數據導入者名單

當您填寫在線訂單並通過勾選接受一般使用條款和條件的框進行驗證時，管理客戶與 LISTREET 之間關係的合同即告成立。

將付款發送給 LISTREET 將視為已同意並建立的合同。

請注意：此文本已從法語翻譯。可在此處獲得有效且具有法律限制的原始法語版本。