数据处理附录

本附录构成合同的组成部分，由以下各方签订：

(i) 客户（“数据导出者”）
(ii) LISTREET（“数据导入器”）

每个都是“党”，通常是“党”。

前言

数据导入者在哪里提供专业的软件服务、计算机和相关服务；

根据合同，数据导入方已同意向数据导出方提供合同规定的服务（“服务”）；

如果通过提供服务，数据进口商接收或受益于访问数据出口商的信息或与数据出口商有（潜在）关系的其他人的信息，此类信息可能被认定为法规意义上的个人数据(EU) 2016 年 4 月 27 日欧洲议会和理事会关于在处理个人数据和此类数据的自由流动方面保护个人的 2016/679 号（“ GDPR ”）和其他适用的数据保护法。

本附录包含适用于数据进口商作为数据出口商的授权数据处理代理收集、处理和使用此类个人数据的条款和条件，以确保各方遵守适用的数据保护法.

因此，为使双方能够合法地继续其关系，双方已将本附录总结如下：

第1部分

1. 文件的结构和定义

1.1 结构

本附录包括以下不同部分：

第1部分：	包含一般规定，例如关于本附录中使用的定义、遵守当地法律、时间安排和终止
第2部分：	包含未修改的标准合同条款文件的正文
第 2 部分附录 1.1：	包含数据导入方作为授权数据处理代理向数据导出方提供的处理操作的详细信息（包括处理、处理的性质和目的、个人数据的类型和数据主体的类别）附录
第 2 部分的附录 2：	包含数据导入者的技术和组织安全措施的描述，这些措施适用于第 2 部分附录 1.1 中描述的所有处理活动
第 3 部分：	包含受本附录约束的各方的签名并识别每个数据导入者

1.2 术语和定义

就本附录而言，GDPR 使用的术语和定义适用（在第 2 部分的标准合同条款文档的正文中，其中定义的术语未大写）。

“会员国”	指属于欧盟或欧洲经济区的国家
“特殊类别的（个人）数据”	指揭示种族或民族血统、政治观点、宗教或哲学信仰或工会成员身份的个人数据，以及基因数据、生物特征数据（如果处理的目的是唯一识别一个人）、有关健康的数据、有关个人性别的数据生活或性取向
《标准合同条款》	指根据 2010 年 2 月 5 日第 2010/87/EU 号委员会决定，在 2010 年 2 月 5 日经委员会实施决定 (EU) 2016/2297 修订的第三国建立的处理代理的个人数据传输标准合同条款2016 年 12 月
“数据处理器”？？	指位于欧盟/欧洲经济区内部或外部的任何处理代理，其同意从数据导入方或数据导入方的任何其他处理方接收个人数据，仅用于数据导出方在根据数据导出者的指示、本附录的条款和与数据导入者的合同进行传输

2. 数据导出者的义务

2.1 数据出口商有义务确保遵守 GDPR 和适用于数据出口商的任何其他适用数据保护法项下的所有适用义务，并按照 GDPR 第 5 条第 (2) 款的要求证明此类遵守。数据输出方保证数据输入方已根据 GDPR 第 6 条 (a) 项获得数据主体的事先同意，并已按照 GDPR 第 13 条和第 14 条履行了通知数据主体的义务。

2.2 数据输出方必须根据 GDPR 第 30 条第 (1) 款向数据输入方提供与本附录下的服务相关的处理活动的相应文件，以使数据输入方在必要的范围内遵守以下义务GDPR 第 30 条第 2 款。

2.3 数据输出者必须在适用的数据保护法要求的范围内任命一名数据保护官或代表。数据出口商有义务向数据进口商提供数据保护代理人或代表（如有）的联系方式。

2.4. 数据导出者在完成处理之前通过接受本附录确认数据导入者的技术和组织安全措施（如第 2 部分附录 2 中所述）是适当且足以保护数据主体的权利的并确认数据导入方在这方面提供了充分的保障。

3. 遵守当地法律

为满足 GDPR 第 28 条后处理代理的实施要求，适用以下修改：

3.1 使用说明

(i) 数据输出者指示数据输入者仅代表数据输出者处理个人数据。本附录和合同中提供了数据导出者的说明。数据出口商有义务确保向数据进口商发出的所有指示均符合适用的数据保护法律。除非欧盟或成员国法律另有要求，否则数据导入方必须仅根据数据导出方提供的说明处理个人数据（在后一种情况下，适用第 1 部分第 3.2 (iv) (c) 条） .
(ii) 超出本附录或合同中说明的所有其他说明必须包含在本附录和合同的主题中。如果执行此附加指令涉及数据导入方的费用，数据导入方应在执行指令前告知数据导出方此类费用并提供说明。只有在数据导出方确认接受这些执行指令的费用后，数据导入方才应执行此附加指令。除非紧急情况或其他特定情况需要其他形式（例如口头、电子），否则数据导出者必须以书面形式提供额外说明。非书面形式的指示必须由数据导出者立即以书面形式确认。
1. 除非数据输出方无法自行对个人数据进行更正、删除或限制，否则该指示还可能涉及第 1 部分第 3.3 条中规定的个人数据更正、删除和/或限制。
2. 如果数据导入方认为指令违反了GDPR或欧盟或成员国的其他适用数据保护规定（“有争议的指令”），则数据导入方必须立即通知数据导出方"). 如果数据进口商认为指令违反了 GDPR 或欧盟或成员国的其他适用数据保护规定，则数据进口商没有义务遵循有争议的指令。如果数据出口商确认有争议的指令从数据导入方收到信息并承认其对有争议的指令负责，数据导入方应执行有争议的指令，除非有争议的指令涉及 (i) 技术和组织措施的实施，(ii) 数据的权利主题或 (iii) 数据处理者的参与。在 (i) 至 (iii) 的情况下，数据导入者可以联系主管监管机构，让该机构对有争议的指令进行合法评估。如果监管机构宣布质疑指令合法，数据导入方应执行质疑指令。第 1 部分第 3.1 (ii) 条应继续适用。

3.2 数据导入者的义务

(i) 数据进口商必须确保由数据进口商授权代表数据出口商处理个人数据的人员，特别是数据进口商的员工和任何分包商的员工，已承诺遵守保密规定或受适当的法定保密义务，并且有权访问个人数据的人员按照数据导出者的指示对其进行处理。
(ii) 在代表数据导出者处理个人数据之前，数据导入者必须实施第 2 部分附录 2 中规定的技术和组织安全措施。如果提供的保护不低于第 2 部分附录 2 中规定的保护，数据导入者可能会不时更改技术和组织安全措施。
(iii) 应数据输出者的要求，数据输入者应向数据输出者提供信息，以表明数据输入者遵守本附录规定的义务。双方同意，通过向数据导出者提供审计报告（包括原则的安全性、系统可用性和保密性）（“审计报告”）来履行这一信息义务。如果法律要求进行额外的审计活动，数据输出方可以要求数据输出方或数据输出方指定的其他审计员进行检查，但前提是该审计员与数据输入方签署了保密协议，并提交给数据输入方合理的满意（“审计”）。本次审核须符合以下条件：(i) 数据导入方的事先正式书面接受； (ii) 数据输出方应承担与数据输出方和数据输入方现场审核相关的所有费用。数据导出者必须创建一份审计报告，总结现场审计的结果和观察结果（“现场审计报告”）。现场审计报告和审计报告是数据导入方的机密信息，除非适用的数据保护法要求或数据导入方同意，否则不得向第三方披露。现场审计报告和审计报告是数据导入方的机密信息，除非适用的数据保护法要求或数据导入方同意，否则不得向第三方披露。现场审计报告和审计报告是数据导入方的机密信息，除非适用的数据保护法要求或数据导入方同意，否则不得向第三方披露。
(iv) 数据导入方有义务立即通知数据导出方：
1. 一个。关于执法当局披露个人数据的任何具有法律约束力的请求，除非另有禁止，例如根据刑法禁止保护执法调查的机密性
2. 湾。关于直接从数据主体收到的任何投诉和请求（例如，关于访问、更正、删除、处理限制、数据可移植性、反对数据处理、自动决策）而不响应该请求，除非数据导入方已被授权这样做
3. C。如果数据导入方或数据处理方有义务，根据欧盟或数据导入方或数据处理方所属成员国的法律，在超出数据导出方指示的范围内处理个人数据，然后再执行超出范围的此类处理指示，除非欧盟或成员国的法律以重大公共利益为由禁止此类处理，在这种情况下，向数据输出者发出的通知应具体说明欧盟或成员国法律的法律要求；或者
4. d。如果数据导入方仅因自己或其分包商而意识到个人数据受到侵犯，这将影响本合同所涵盖的数据导出方的个人数据，在这种情况下，数据导入方将协助数据导出方履行其义务，根据适用的数据保护法，根据 GDPR 第 33 条第 (3) 款，通过提供可供其支配的信息来通知数据主体和（如适用）监管机构。
5. (v) 应数据输出方的要求，数据输入方应被迫协助数据输出方履行其义务，执行 GDPR 第 35 条可能要求的数据保护影响评估，并进行事先协商GDPR 第 36 条关于数据进口商根据本附录向数据出口商提供的服务的要求，向数据出口商提供必要的信息。只有在数据输出方无法通过其他方式履行义务的情况下，数据输入方才有义务提供此类协助。数据导入方将告知数据导出方此类协助的费用。一旦数据导出者确认可以承担此费用，数据导入者将向数据导出者提供此帮助。
6. (vi) 提供服务结束后，数据输出方可在服务后一个月内要求返还数据输入方根据本附件处理的个人数据。除非成员国或欧盟的立法要求数据进口商存储或保留此类个人数据，否则数据进口商将在一个月后删除所有此类个人或非个人数据，无论它们是否已退回数据导出器是否应其请求。

3.3 相关人员的权利

1. (i) 数据导出者管理和响应数据主体提出的请求。数据导入者没有义务直接回应数据主体。
2. (ii) 如果数据输出方需要数据输入方协助处理和响应数据主体的请求，数据输出方应根据第 1 部分第 3.1 (ii) 条发出进一步指示。数据输入方将协助数据输出方采取以下适当和技术性的组织措施来响应 GDPR 第 III 章中规定的数据主体行使权利的请求，具体如下：
3. 一个。关于信息请求，如果数据输出方无法自行找到这些信息，数据输入方只会向数据输出方提供 PGRD 第 13 条和第 14 条要求的信息。
4. 湾。关于访问请求（GDPR 第 15 条），数据导入方将仅向数据导出方提供应为所述访问请求提供给数据主体的信息，如果后者无法单独找到它。
5. C。关于更正请求（GDPR 第 16 条）、删除请求（GDPR 第 17 条）、处理请求限制（GDPR 第 18 条）或可移植性请求（GDPR 第 20 条），并且仅如果数据导出方无法自行更正或删除、限制或将个人数据传输给其他第三方，数据导入方将向数据导出方提供更正或删除、限制或传输相关个人数据给其他第三方的可能性，或者如果无法做到这一点，它将提供协助以纠正或删除、限制或将相关个人数据传输给其他第三方。
6. d。关于与更正、删除或限制处理有关的通知（GDPR 第 19 条），如果数据导出方要求，数据导入方将通知所有数据导入方作为处理方聘用的个人数据的所有接收方，以协助数据导出方。如果数据导出者无法自行纠正这种情况。
7. e. 关于数据主体行使的反对权（GDPR 第 21 条和第 22 条），数据导出者将确定反对是否合法以及如何处理。
8. (iii) 数据进口商的协助义务仅限于在其基础设施内处理的个人数据（例如，数据进口商拥有或提供的数据库、系统、应用程序）。
9. (iv) 数据输出方应确定数据主体是否可以行使本第 1 部分第 3.1 条中规定的数据主体的权利，并应告知数据输入方第 3.3 (ii) 条规定的协助范围，（第 1 部分的 iii) 是必要的。
10. (v) 如果数据导出者要求额外或修改的技术和组织措施来满足数据主体根据第 1 部分第 3.3 (ii)、(iii) 款提供的援助之外的数据主体的权利，则数据进口商应告知数据出口商实施此类额外或修改的技术和组织措施的成本。一旦数据导出方确认其能够支付这些费用，数据导入方应实施此类附加或修改的技术和组织措施，以协助数据导出方响应数据主体的请求。
11. (vi) 在不限制第 1 部分第 3.3 (v) 条的范围的情况下，数据输出方有义务向数据输入方偿还其为响应数据主体的请求而产生的合理费用。

3.4 子处理

1. (i) 数据输出方授权数据输入方使用分包商提供本附录项下的服务。数据导入者应谨慎选择此类数据处理者。数据导出者批准第 2 部分末尾附录 1.1 中列出的数据处理者。
2. (ii) 数据导入方应在适用于分包服务的范围内将其在本附录下的义务转移给数据处理方。
3. (iii) 数据导入者可自行决定解雇、更换或任命其他适当且可靠的数据处理者。如果数据导出者以书面形式要求，数据导入者必须遵循以下程序：

1. 一个。在对第 1 部分第 3.4 (i) 条中引用的数据处理者列表进行任何更改之前，数据导入者应通知数据导出者。如果数据导出者未根据第 3.4 条提出反对。 (b) 第 1 部分的第 1 部分在收到数据导入者的通知后三十天，应视为接受额外的数据处理者。
2. 湾。如果数据导出方有正当理由反对额外的数据处理方，将在收到数据导入方通知后的三十天内，在数据导入方的服务开始运行之前，向数据导入方发出事先书面通知。如果数据出口商反对使用额外的数据处理器，数据进口商可以通过以下选项之一（自行选择）清除反对：（A）数据进口商将取消其使用额外处理器的计划数据导出者的个人数据； (B) 数据导入方将采取数据导出方在其反对（取消反对）中要求的纠正措施，并使用有关数据导出方个人数据的附加处理器；(C) 数据进口商可能会停止提供或数据出口商可能同意不使用（临时或永久）服务的特定方面，这将涉及使用数据出口商对数据出口商个人数据的进一步处理。
1. (iv) 如果数据处理者位于 EU-EEA 以外的国家/地区，根据欧盟委员会的决定，该国家/地区未被认可提供足够水平的数据保护，则数据进口商将采取措施遵守足够水平的数据保护根据 GDPR 的数据保护（此类措施可能包括 - 除其他外 - 使用基于欧盟模式条款的数据处理合同，在欧盟-美国保护盾框架内传输给自我认证的数据处理器，或类似的程序）。

3.5 到期

本附录的到期日与相应合同的到期日相同。除本附件另有规定外，与终止有关的权利和义务与合同中的权利和义务相同。

4. 责任限制

4.1 各方根据本附录和适用的数据保护法规履行其义务。

4.2 与违反本附录或适用的数据保护法规下的义务有关的任何责任应受合同中规定或适用于合同的责任条款的约束和管辖，除非本附录另有规定。如果责任受合同中规定的或适用于合同的责任条款的约束，用于计算责任限额或确定其他责任限制的适用，则根据本附录产生的任何责任应被视为根据合同产生。

5. 一般规定

5.1 如果本附录第 1 部分和第 2 部分之间存在任何不一致或差异，以第 2 部分为准。具体而言，即使在这种情况下，仅超出第 2 部分（即标准条款的条款）而不与之相抵触的第 1 部分仍然有效。

5.2 如果本附件的规定与对双方具有约束力的其他合同的规定存在差异，则以本附件的规定为准。如对其他合同中的条款是否涉及当事人的数据保护义务有疑问，以本附件为准。

5.3 如果本附录的任何条款无效或不可执行，本附录的其余部分应保持完全有效。无效或不可执行的条款将被 (i) 修改以确保其有效性和可执行性，同时尽可能保留当事人的意图，或者 - 如果不可能 - (ii) 解释为无效或不可执行的部分具有从来没有成为合同的一部分。如果本附录有遗漏，上述规定也应适用。

5.5 在必要的范围内，双方可以要求修改第 1 部分第 3 条（遵守当地法律）或附录的其他部分，以符合欧盟或欧盟主管当局发布的解释、指令或命令。成员国、国家执法规定或任何其他有关 GDPR 的法律发展或其他授权给参与数据处理的任何实体的条件，特别是有关 GDPR 中标准合同条款的使用。除非欧盟委员会明确批准（例如通过新的适当条款和数据保护标准），否则不得修改或替换标准合同条款的条款。

5.6 本附录中对“条款”的任何引用应理解为指本附录的所有规定，除非另有说明。

5.7 第 2 部分第 9 条中的法律选择适用于整个合同。

6. 当事人出于个人目的传输和处理的个人数据（从数据控制者转移到数据控制者）

6.1 双方充分了解某些个人数据将从数据输出方传输至数据输入方，反之亦然，并且该等数据由各方出于自身目的进行处理。关于此类个人资料，不影响本附录的其他规定（本第 6 条除外）。

6.2 数据输出方可以将与数据输入方工作人员有关的个人数据传输给数据输入方，包括有关安全事件的信息，或数据输出方创建或建立的与数据输入方工作人员提供的服务相关的任何其他文件或文件。数据导入器。数据导入者可能会出于自身目的处理此类个人数据，特别是在与数据导入者人员的专业关系中，用于质量控制和培训，或出于商业目的。

6.3. 数据导入者可以将个人数据传输给数据导出者，包括数据导入者人员的姓名和联系方式。数据出口商可能会出于自己的目的处理此类个人数据。

6.4 双方在收集、处理和使用根据第 1 部分第 1 条从另一方收到的此类个人数据时，应遵守任何适用的数据保护法律，包括 GDPR。特别是，双方应采取充分的安全措施，提供与第 2 部分附录 2 中规定的安全措施类似的保护级别。对此类个人数据的任何访问应仅限于了解这些数据的需要。

6.5 双方必须在达到目的后尽快删除该等个人资料。

第2部分

委员会的决定

2010 年 2 月 5 日

根据欧洲议会和理事会的 95/46/EC 指令，关于将个人数据传输到第三方国家/地区建立的数据处理器的标准合同条款

第 1 条

定义

在条款的含义内：

a) “个人数据”、“特殊类别数据”、“处理/处理”、“控制者”、“处理者”、“数据主体”和“监管机构”应与 95/46/EC 中的含义相同1995 年 10 月 24 日欧洲议会和理事会关于在处理个人数据和此类数据自由流动方面保护个人的指令 (1)；

b) “数据导出者”是传输个人数据的数据控制者；

c) “数据导入者”是指同意从数据导出者处接收拟在传输后根据其指示和这些条款的条款代表数据导出者处理的个人数据的数据处理者，而不是受第 95/46/EC 号指令第 25(1) 条含义内确保充分保护的第三国机制的约束； (d) “数据处理者”是指数据导入者或数据导入者的任何其他数据处理者聘请的数据处理者，他们同意从数据导入者或数据导入者的任何其他数据处理者处接收专门用于处理活动的个人数据根据数据导出者的指示在传输后代表数据导出者进行，根据本条款规定的条件和书面分包数据处理合同的条款；

e) “适用的数据保护法”是指保护个人基本权利和自由的立法，包括关于处理个人数据的隐私权，并适用于数据出口商所在成员国的控制者；

f) “与安全有关的技术和组织措施”？指旨在保护个人数据免受意外或非法破坏或意外丢失、更改、未经授权的披露或访问的措施，特别是在处理涉及通过网络传输数据的情况下，以及防止所有其他非法形式的处理。

第 2 条

转让详情

附件 1 中详细说明了传输的详细信息，包括（如适用）特殊类别的个人数据，该附件构成了这些条款的组成部分。

第 3 条

第三方受益人条款

1. 数据主体可以针对数据输出者执行本条款、第 4(b) 至 (i) 条、第 5(a) 至 (e) 和 (g) 至 (j) 条、第 6 (1) 和 (2) 条)、第 7 条、第 8(2) 条和第 9 至 12 条作为第三方受益人

2. 数据主体可以在数据输出方实际存在的情况下对数据输入方执行本条款、第 5 条 (a) 至 (e) 和 (g)、第 6 条、第 7 条、第 8 条 (2) 和第 9 至 12 条。消失或在法律上不再存在，除非他的所有法律义务已通过合同或法律实施转移给继任实体，因此数据导出者的权利和义务恢复到继任实体，并且数据针对该实体因此，主体可以强制执行上述条款。

数据主体可以针对数据处理者执行本条款、第 5 (a) 至 (e) 和 (g) 条、第 6 条、第 7 条、第 8 (2) 条和第 9 至 12 条，但仅在数据出口商和数据进口商实际消失、在法律上不复存在或资不抵债，除非数据出口商的所有法律义务已通过合同或法律实施转移给合法继承人，其权利和因此，数据导出者的义务被赋予，数据主体因此可以对其执行此类条款。数据处理者的此类责任必须限于其根据这些条款进行的处理活动。

4. 如果数据主体愿意并且国家法律允许，当事人不反对由协会或其他机构代表数据主体。

第 4 条

数据导出者的义务

数据导出者接受并保证以下内容：

a) 处理，包括个人数据的实际传输，已经并将继续按照适用的数据保护法的相关规定进行（并且，在适用的情况下，已通知成员国的主管当局数据输出方所在地）且不违反该国有关规定；

b) 他们已指示并将在个人数据处理服务期间指示数据导入方仅代表数据导出方并根据适用的数据保护法和这些条款处理传输的个人数据；

c) 数据导入方将对本合同附录 2 中规定的技术和组织安全措施提供充分的保障；

d) 在评估适用的数据保护法的要求后，安全措施足以保护个人数据免受意外或非法破坏或意外丢失、更改、未经授权的披露或访问，特别是在处理涉及数据传输的情况下通过网络，并针对所有其他非法形式的处理，并在考虑到技术水平和实施成本的情况下，确保与处理所代表的风险和要保护的数据的性质相适应的安全级别；

e) 他们将确保遵守安全措施；

f) 如果传输涉及特殊类别的数据，数据主体已被告知或将在传输之前或在传输后尽快被告知其数据可能被传输到不提供的第三国指令 95/46/EC 所指的足够保护水平；

g) 如果数据保护监管机构决定继续传输或解除暂停，他们会将根据第 5 (b) 和 8 (3) 条从数据导入者或任何数据处理者收到的任何通知转发给数据保护监管机构；

h) 如果数据主体要求，他们应向数据主体提供除附录 2 外的这些条款的副本，以及安全措施的摘要描述，以及根据这些条款达成的任何进一步分包协议的副本，除非条款或协议包含商业信息，在这种情况下，他可以撤回此类信息；

i) 在分包数据处理过程的情况下，数据处理者根据第 11 条执行处理活动，该处理活动至少提供与这些条款下的数据导入者相同级别的个人数据和数据主体权利保护; 和

j) 它将确保符合第 4 (a) 至 (i) 条。

第 5 条

数据导入者的义务

数据导入者接受并保证以下内容：

a) 他们将仅代表数据出口商并根据数据出口商的指示和这些条款处理个人数据；如果由于任何原因不能遵守，他们同意尽快通知数据导出方其无法执行，在这种情况下，数据导出方可以暂停数据传输和/或终止合同；

b) 他们没有理由相信适用于他们的法律会阻止他履行数据导出者的指示以及他在合同下应承担的义务，并且如果此类法律发生可能产生重大不利影响的变更影响条款下的保证和义务的，他应在知悉变更后立即通知数据输出方，在这种情况下，数据输出方可以暂停数据传输和/或终止合同；(c) 在处理传输的个人数据之前，他们已实施附录 2 中规定的技术和组织安全措施；

d) 他们将立即通知数据导出者：

i) 除非另有说明，否则执法当局要求披露个人数据的任何具有约束力的请求，例如旨在保护警方调查保密的刑事禁令；

ii) 任何偶然或未经授权的访问；和

iii) 直接从有关人员处收到的任何请求，除非他得到授权，否则未经答复；管理员

e) 他们将及时妥善地处理数据输出方关于其处理所传输的个人数据的所有询问，并将根据监管机构对所传输数据的处理的意见采取行动；

f) 应数据出口商的要求，他们将对其数据处理设施进行审计，由数据出口商或由具有必要专业资格的独立成员组成的监督机构对这些条款所涵盖的处理活动进行审计，遵守保密义务，并由数据导出者在适当情况下经监管机构同意选择；

g) 如果数据主体要求，他们将向数据主体提供这些条款的副本，或任何现有的数据处理合同分包合同，除非条款或合同包含商业信息，在这种情况下，它可以删除此类信息信息，除了附录 2，它将被安全措施的摘要描述所取代，其中数据主体无法从数据导出者获得副本；

h) 在机密进一步分包数据处理的情况下，他将确保提前通知数据导出方并获得数据导出方的书面同意；

i) 数据处理者提供的处理服务应符合第 11 条的规定；

j) 他们将立即将其根据这些条款签订的数据处理协议的任何分包合同的副本发送给数据出口商。

第 6 条

责任

1. 双方同意，任何数据主体因一方或数据处理者违反第 3 条或第 11 条所述义务而遭受损害的，可向数据输出方就所受损害获得赔偿。

2. 如果数据主体因数据导入方或其数据处理方未能履行其在第 3 条或第 11 条下的任何义务而无法对数据导出方提起第 1 段所述的损害赔偿诉讼，因为数据出口商实际消失、在法律上不复存在或资不抵债，数据进口商同意，除非数据出口商的所有法律义务已通过合同转移，否则数据主体可以像数据出口商一样对其提出投诉或通过法律的实施，向其继承实体发送数据，然后数据主体可以对其行使权利。数据导入者不得依靠数据处理者违反其义务来避免自己的责任。

3. 如果数据主体因数据处理方违反第 3 条或第 11 条规定的义务而无法对数据导出方或数据导入方提起第 1 段和第 2 段所述的诉讼，因为数据导出方和数据导入方实际消失、在法律上不复存在或资不抵债，数据处理者同意数据主体可以根据这些条款就其自己的处理活动提出投诉，就好像它是数据导出者或数据导入者一样，除非所有数据输出方或数据输入方的法律义务已通过合同或法律实施转移给法定继承人，然后数据主体可以向其主张其权利。根据这些条款，数据处理者的责任必须限于其自身的处理活动。

第 7 条

调解和管辖权

1. 数据导入方同意，如果根据本条款，数据主体援引第三方受益人的权利和/或要求赔偿所受损害的，他将接受数据主体的决定：

a) 将争议提交独立人士或监管机构（如适用）进行调解；

b) 将争议提交数据导出者所在成员国的法院。

2. 双方同意，数据主体的选择不影响数据主体根据国家或国际法的其他规定获得补救的程序或实体权利。

第 8 条

与监管机构的合作

1. 如果监管机构要求或适用的数据保护法规定此类存放，数据输出方同意向监管机构存放一份本合同的副本。

2. 双方同意，监管机构可以根据适用的数据保护法，在与在数据输出方进行检查相同的程度和条件下对数据输入方和任何数据处理方进行检查。

3. 数据输入方应尽快通知数据输出方，有关数据输入方或任何数据处理方的立法阻止数据输入方或任何数据处理方根据第 2 款进行验证。在这种情况下，数据输出方可采取第 5 条 (b) 项规定的措施。

第 9 条

适用法律

这些条款适用并受数据导出者所在成员国的法律管辖。

第 10 条

合同修改

双方承诺不修改本条款。双方可以自由加入他们认为必要的其他商业条款，前提是它们不与本条款相抵触。

第 11 条

后续分包

1. 未经数据输出方事先书面同意，数据输入方不得将其根据本条款代表数据输出方进行的任何处理活动分包。数据导入方仅应在获得数据导出方同意的情况下，通过与数据处理方签订书面协议，将其在本条款下的义务分包，对数据处理方施加与根据本条款对数据导入方施加相同的义务。如果数据处理者不能遵守该书面协议规定的数据保护义务，数据进口商应对数据出口商履行这些义务承担全部责任。

2. 数据导入方和数据处理方之间的事先书面协议还应包括第 3 条中规定的第三方受益人条款，用于阻止数据主体提出第 6 条（1 )，针对数据出口商或数据进口商，因为数据出口商或数据进口商已实际消失、在法律上不复存在或已资不抵债，并且数据出口商或数据进口商的所有法律义务未通过合同或运营转移法律，到另一个继任实体。根据这些条款，数据处理者的责任必须限于其自身的处理活动。

3. 第 1 段中提及的合同数据处理分包合同的数据保护方面的规定应受数据输出方所在成员国的法律管辖。

4. 数据输出方应保留根据本条款订立并由数据输入方根据第 5 (j) 条通知的数据处理协议的分包商清单，该清单应至少每年更新一次。该列表应提供给数据出口商的数据保护监督机构。

第 12 条

个人数据处理服务终止后的义务

1. 双方同意，在完成数据处理服务后，数据导入方和数据处理方将在数据导出方方便的情况下，将所有传输的个人数据及其副本退还给数据导出方，或销毁所有此类数据并提供证明对数据导出者的破坏，除非对数据导入者施加的法律禁止其返回或销毁所传输的全部或部分个人数据。在这种情况下，数据导入方保证将确保传输的个人数据的机密性，并且不会再主动处理数据。

2. 数据输入方和数据处理方应确保，如果数据输出方和/或监管机构要求，他们将对其数据处理方式进行第 1 段所述措施的验证。

第 2 部分附录 1.1

转让详情

数据导出器

数据导出者是合同协议中定义的客户。

数据导入器

Data Importer 是 LISTREET，负责处理数据，为 Data Exporter 提供服务。

数据主体

传输的个人数据涉及以下类别的数据主体：

一个？？通用目录中列出的电话用户

✔其他，包括：

数据类别

传输的个人数据涉及以下类别的数据：

数据导出者的数据主体的个人数据类别，尤其是，

一个？？全名

â～'邮政地址

一个？？联系方式（电子邮件、电话、IP 地址等）

一个？？有关电话用户的营销活动详情

★其他，包括匿名制作的城市住房类型、收入和平均年龄

特殊类别的数据（如适用）

传输的个人数据涉及以下特殊类别的数据：

★未预见特殊类别数据的传输

一个？？种族或民族血统

一个？？宗教或哲学信仰

一个？？工会会员

一个？？政治观点

一个？？遗传信息

一个？？生物特征信息

一个？？有关性取向或性生活的信息

一个？？健康数据

处理活动

传输的个人数据将受到以下基本处理活动的约束：

- â€¢ 处理的目的

代表数据导出者进行的处理基于以下主题，特别是：

★负责数据导出方提供的产品或服务

★被叫方可以要求的产品或服务的报价

â～'从被叫者那里获得的订单以及这些订单的进一步处理

★研究问卷与分析

★电话营销

一个？？其他，包括：

- â€¢ 处理的性质和目的

数据导入者代表数据导出者处理数据主体的个人数据，以提供以下服务，尤其是：

â～'自动完成表格
â〜'地址验证表

â~'销售和市场营销

â～'其他，包括更新市政厅和政党的数据库

- • 提供服务和雇佣服务提供者

LISTREET 主要是对 Data Exporter 进行组合、集中和提供服务。指定服务提供商提供的服务可能围绕以下辅助服务构建（以及其他适当的服务）：(i) 提供与所使用的数据处理中心相关的应用程序、工具、系统和 IT 基础设施，以便提供并支持服务，包括通过此类应用程序、工具和系统处理上述数据主体的个人数据，(ii) 提供与此类应用程序、工具、系统相关的 IT 支持、维护和其他服务和 IT 基础设施，包括对存储在此类应用程序、工具和系统中的个人数据的潜在访问权限，以及 (iii) 提供数据保护服务、保护监控和事件响应服务，包括在提供此类保护服务时可能访问个人数据。 LISTREET 可能会聘请以下数据处理方提供服务，包括辅助服务。

- • 外部第三方服务提供商作为分配给数据处理的子实体

LISTREET 聘请外部和第三方服务提供商（不是 LISTREET 的子公司）来支持向数据导出者提供服务。数据导出者批准此类外部第三方服务提供商作为分配给数据处理的子实体。

如果参与数据处理的子实体位于欧盟/欧洲经济区以外的国家/地区，根据欧盟委员会的决定，该国家被认为没有足够的数据保护水平，数据导入方将采取措施获得足够的数据保护水平数据保护符合 GDPR 和第 1 部分第 3.4 (iv) 节。

附录 2，第 2 部分

技术和组织保护措施

数据导入方应根据风险采取以下经数据导出方确认的技术和组织保护措施，以确保个人权利和自由的适当安全水平。在评估相关保护级别时，数据导出者特别考虑了处理过程中涉及的风险，包括意外或非法破坏、更改、未经授权的披露或访问传输、存储或以其他方式处理的个人数据。澄清：这些技术和组织保护措施不适用于数据导出器提供的应用程序、工具、系统和/或 IT 基础设施。

1 一般技术和组织保护措施

1.1 一般信息和数据保护策略

应采取以下步骤来遵循一般数据和信息保护策略：

a) 采取措施评估在技术和组织保护方面所采取的措施；

b) 提供培训以提高员工的意识；

c) 对相关系统进行描述并授予员工访问权限；

d) 每当实施或修改系统时，建立正式的文件过程；

e) 记录组织结构、过程、职责和各自的评价；

1.2 信息保护组织

为了协调数据和信息保护活动，应采取以下措施：

a) 明确的信息和数据保护职责（例如通过数据保护管理政策）；

b) 保护现有信息和数据的必要专业知识；

c) 所有员工都致力于确保个人数据得到保密，并已被告知违反此承诺的潜在后果。

1.3 加工区域的访问控制

在处理、存储或传输个人数据时，必须采取以下措施防止未经授权的人员访问数据处理系统（特别是软件和硬件）：

a) 建立安全区域；

b) 保护和限制对数据处理系统的访问；

c) 为员工和第三方建立访问权限，包括各自的文件；

d) 应记录对存储个人数据的数据处理中心的任何访问。

1.4 数据处理系统的访问控制

为了防止未经授权访问数据处理系统，必须采取以下措施：

a) 用户认证政策和程序；

b) 在所有计算机系统上使用密码；

c) 远程访问网络需要多因素认证，并根据其职责和授权授予相关人员；

d) 对特定功能的访问基于单独分配给用户帐户的工作职能和/或属性；

e) 定期审查与个人数据相关的访问权；

f) 访问权限更改的记录保持更新。

1.5 控制对数据处理系统特定使用领域的访问

必须采取以下措施，确保有权使用数据处理系统的授权人员只能在其各自职责和访问权限范围内访问数据，并且未经授权不得读取、复制、修改或删除个人数据：

1.
1. a) 员工的政策、指示和培训，涉及他们每个人在保密、访问个人数据的权利和个人数据处理范围方面的义务；

b) 对未经授权访问个人数据的人采取纪律措施；

c) 在需要知道的基础上，只允许授权人员访问个人数据；

d) 维护系统管理员名单并采取适当措施监控系统管理员；

e) 不得在任何存储系统上复制或复制个人数据，以使未经授权的人能够删除发起人的信息；

f) 受控和记录的数据删除或销毁；

g) 安全存储出于法律或监管原因（例如，保留数据的义务）必须保留的所有个人数据，并且仅在法律要求的时间内保存。

1.6 传输控制

必须采取以下措施，以防止未经授权的第三方在传输或传输数据存储设备期间读取、复制、修改或删除个人数据（取决于所进行的个人数据处理）：

1.
1. a) 使用防火墙；

b) 避免出于传输目的将个人数据存储在移动存储设备上，或对设备进行加密；
c) 只有在激活加密保护后才能在笔记本电脑和其他移动设备上使用；

d) 记录个人数据传输。

1.7 数据录入控制

必须采取以下措施，以确保可以验证和确定个人数据是否已输入或从数据处理系统中删除以及由谁输入：

1.
1. a) 授权读取、更改和删除存储数据的政策；

b) 有关读取、更改和删除存储数据的保护措施。

1.8 工作控制

在委托处理个人数据的情况下，必须采取以下措施确保按照主管的指示处理此类数据：

1.
1. a) 分配给数据处理的实体或子实体，谨慎选择（代表控制者处理个人数据的服务提供商）；

b) 对分配给数据处理的员工、实体或子实体的任何个人数据处理范围的说明；

c) 与分配给数据处理的实体或子实体商定的审计权；

d) 与指定处理数据的实体或子实体达成的协议。

1.9 与其他目的的处理分开

必须采取以下措施，以确保为其他目的收集的数据可以单独处理：

1.
1. a) 根据用户现有权利单独访问个人数据；

b) 接口、批处理和报告用于其他目的和功能，以便为其他目的收集的数据可以单独处理。

1.10 化名

对于个人数据的假名化，必须采取以下措施：

1.
1. a) 如果数据导出方下令进行特定的处理操作，或者如果数据导入方根据有关某些处理活动的现行数据保护法认为这是适当的，则个人数据的处理将以如下方式进行：如果不使用附加信息，数据就不能再归属于特定的人。这些附加信息将单独保存；

b) 使用假名技术，包括分配列表随机化；以利器的形式创造价值。

1.11 加密

应采取以下步骤对支持加密的应用程序和传输中的个人数据进行加密：

1. a) 使用加密技术；

b) 建立加密管理以支持授权使用的加密技术；

c) 通过生成、修改、撤销、销毁、分发、认证、存储、捕获、使用和归档密码密钥的程序和协议支持密码学的使用，以防止未经授权的修改和泄露。

1.12 数据处理系统和服务的完整性

为了确保数据处理系统和服务的完整性，必须采取以下措施：

1. a) 保护数据处理系统免于通过适当手段（例如防病毒软件、数据丢失预防软件和针对恶意软件的软件、软件补丁、防火墙和托管桌面保护）进行操纵或破坏；

b) 禁止安装任何对数据处理系统、服务或个人数据操作有害的服务或软件；

c) 在网络本身的结构中使用网络入侵检测和预防系统。

1.13 数据处理系统和服务的可用性以及在发生重大或技术事件时恢复访问和使用个人数据的可能性

必须采取以下措施，以确保数据处理系统的可用性，以及在发生重大或技术事件时能够快速恢复个人数据的可用性和访问权（特别是通过确保个人数据受到保护以防意外破坏或丢失）：

a) 具有保存备份副本和恢复丢失或删除数据的控制手段；

b) 基础设施冗余和性能测试；

c) 计算机资源的物理保护；

d) 使用工具监控内部网络的状态和可用性；

e) 管理事件管理程序的事件报告和响应政策，并作为定期培训的一部分重申遵守这些政策；

f) 备份（有时是异地）以恢复系统，使其能够再次执行其功能；

g) 业务连续性/灾难恢复计划

1.14 数据处理系统和服务的弹性

必须采取以下措施来确保数据处理系统和服务的弹性：

a) 系统和配置和谐，使用批准的安全参数；

b) 网络冗余；

c) 关键系统的遏制保护。

1.15 定期测试、评估和评估技术和组织措施有效性的程序，以确保数据处理的安全性

定期测试、评估和评估保护数据处理的技术和组织措施的有效性的程序。

a) 采取必要措施评估风险和缓解策略；

b) IT 部门的服务分析会议，以解决当前问题；

c) 定期更新业务连续性/灾难恢复计划。

第 3 部分

当事人签名及数据导入者名单

当您填写在线订单并通过勾选接受一般使用条款和条件的框进行验证时，管理客户与 LISTREET 之间关系的合同即告成立。

将付款发送给 LISTREET 将视为已同意并建立的合同。

请注意：此文本已从法语翻译。可在此处获得有效且具有法律限制的原始法语版本。