数据处理协议模板 - TDSI Cloud
← 返回 GDPR

数据处理协议模板

本数据处理协议(DPA)模板帮助您与TDSI Cloud建立符合GDPR要求的数据处理关系。根据GDPR规定,当您作为数据控制者使用TDSI Cloud作为数据处理者时,需要签订此协议。

数据处理协议

1. 定义和解释

除非上下文另有要求,以下术语具有以下含义:

  • "个人数据"指与已识别或可识别的自然人相关的任何信息
  • "数据处理"指对个人数据执行的任何操作
  • "数据控制者"指单独或共同决定个人数据处理目的和方式的实体
  • "数据处理者"指代表数据控制者处理个人数据的实体
  • "GDPR"指欧盟通用数据保护条例(2016/679)

2. 数据处理者的角色

双方确认并同意:

  • 数据控制者保留对个人数据的控制权和所有权
  • TDSI Cloud仅作为数据处理者,按照数据控制者的指示处理个人数据
  • TDSI Cloud不会将个人数据用于除服务提供之外的任何目的

3. 处理指令

TDSI Cloud将仅按照以下方式处理个人数据:

  • 按照数据控制者不时提供的书面指示
  • 根据TDSI Cloud服务条款
  • 遵守所有适用的法律法规

4. 人员保密

TDSI Cloud确保其人员:

  • 对个人数据保密
  • 仅在需要知道的基础上访问个人数据
  • 接受有关数据保护义务的培训

5. 安全措施

TDSI Cloud实施适当的技术和组织安全措施,包括但不限于:

  • 加密技术保护数据传输和存储
  • 严格的访问控制机制
  • 定期安全审计和渗透测试
  • 灾难恢复和业务连续性计划
  • 符合ISO 27001和SOC 2标准

6. 子处理者

数据控制者授权TDSI Cloud使用以下类别的子处理者:

  • 云基础设施提供商
  • 支付处理服务
  • 客户支持工具
  • 分析和监控服务

TDSI Cloud将就子处理者的使用通知数据控制者,并确保子处理者承担与本协议相同的保护义务。

7. 数据主体权利

在收到数据主体行使其权利的请求后,TDSI Cloud将:

  • 立即将请求转发给数据控制者
  • 根据数据控制者的指示提供合理协助
  • 在技术可行的范围内提供协助以满足请求

8. 数据泄露通知

在发现个人数据泄露后,TDSI Cloud将:

  • 72小时内通知数据控制者
  • 提供泄露的性质和可能影响的描述
  • 提供建议的应对措施
  • 持续通报最新进展

9. 数据删除和返回

在服务终止后,TDSI Cloud将:

  • 应数据控制者的选择,删除或返回所有个人数据
  • 在30天内完成数据删除
  • 提供数据删除证明
  • 删除所有备份中的个人数据

10. 审计权

数据控制者有权对TDSI Cloud的合规性进行审计,条件如下:

  • 提前30天书面通知
  • 审计在正常工作时间进行
  • 审计不对TDSI Cloud的运营造成不合理干扰
  • 数据控制者承担审计费用

作为替代,TDSI Cloud可提供第三方审计报告(如SOC 2报告)以满足审计要求。

11. 协议期限

本协议自双方签署之日起生效,并将持续有效,直至:

  • 服务协议终止
  • 所有个人数据被删除或返回
  • 双方书面同意终止

📋 如何使用本模板:

  1. 下载并审阅完整协议内容
  2. 根据您的具体业务需求进行定制
  3. 咨询法律顾问确保符合您的法律要求
  4. 联系TDSI Cloud团队签署正式协议
下载PDF版本 联系我们的法律团队

需要帮助?

我们的GDPR合规团队可以回答您关于数据处理协议的任何问题。

查看GDPR合规指南 →