Zonos 数据处理协议

本数据处理协议（“DPA”）作为 Zonos 服务条款 和 隐私政策（“主协议”）的附录，适用于 iGlobal Exports, LLC, DBA Zonos（“Zonos”）与客户（“客户”）之间（统称为“双方”）。

鉴于： 

A. 客户作为数据控制者。

B. 客户希望将某些服务的外包，这些服务涉及个人数据的处理，委托给 Zonos 作为处理者。

C. 双方希望实施符合当前法律框架要求的数据处理协议，并遵守2016年4月27日欧洲议会和理事会关于保护自然人个人数据处理及其自由流动的法规（EU）2016/679，以及废除指令95/46/EC（通用数据保护条例）。

D. 双方希望明确各自的权利和义务。

本 DPA 包括并通过引用纳入本文件底部提到的附录和附加条款。所有未在本 DPA 中定义的专有名词应具有主协议中规定的含义。

双方同意如下：

1. 定义

除非在本DPA中另有定义，本DPA中使用的首字母大写的术语和表达应具有以下含义：

1. “合同处理者”指的是次级处理者；

2. “数据保护法”指的是欧盟数据保护法，以及在适用范围内，任何其他国家的数据保护或隐私法；

3. “数据传输”指的是：

   1. 从客户向合同处理者的个人数据传输；或
   2. 从合同处理者向次级处理者的后续个人数据传输，或在合同处理者的两个机构之间的传输，在每种情况下，如果此类传输会被数据保护法（或为解决数据保护法的数据传输限制而制定的数据传输协议条款）禁止；

4. “DPA”指的是本数据处理协议及所有附表；

5. “EEA”指的是欧洲经济区；

6. “欧盟数据保护法”指的是欧盟指令95/46/EC，作为每个成员国的国内立法的转化，并不时修订、替换或取代，包括GDPR及实施或补充GDPR的法律；

7. “GDPR”指的是欧盟通用数据保护条例2016/679；

8. “个人数据”指的是合同处理者根据或与主协议相关的客户代表处理的任何个人数据；

9. “服务”指的是Zonos根据主协议向客户提供的任何产品或服务，并在主协议中更详细描述；

10. “次级处理者”指的是由Zonos或代表Zonos任命的任何处理者，以根据DPA代表客户处理个人数据。

11. 术语“控制者”、“数据主体”、“成员国”、“个人数据”、“个人数据泄露”和“处理”应具有与GDPR中相同的含义，其相关术语应相应解释。

2. 客户义务

1. 遵守法律。

   1. 在DPA的范围内及其使用服务时，客户同意其应在处理个人数据时遵守作为控制者在数据保护法下的义务，并向Zonos发出任何处理指令。
   2. 客户已根据数据保护法提供通知并获得（或将获得）Zonos处理个人数据并根据主协议和本DPA提供服务所需的所有同意和权利。

2. 控制者指令。双方同意，主协议（包括本DPA）以及客户根据主协议使用Zonos服务构成了客户对Zonos处理个人数据的完整和最终指令，超出指令范围的额外指令需客户与Zonos事先书面同意。

3. Zonos 义务

1. 遵守法律。在DPA的范围内及其使用服务时，Zonos应：

   1. 作为处理者在处理个人数据时负责遵守所有适用的数据保护法；并且
   2. 不得在客户的书面指令之外处理客户的个人数据。

2. Zonos 人员。Zonos应采取合理措施确保任何可能接触个人数据的员工、代理或承包商的可靠性，确保在每种情况下，访问严格限制在需要了解/访问相关个人数据的个人，以履行主协议的目的，并在该个人对合同处理者的职责背景下遵守适用法律，确保所有此类个人均受保密承诺或专业或法定保密义务的约束。

3. 安全。

   1. 考虑到技术的现状、实施成本、处理的性质、范围、背景和目的以及对自然人权利和自由的不同可能性和严重性风险，Zonos应就个人数据实施适当的技术和组织措施，以确保与该风险相适应的安全水平，包括在适当情况下，GDPR第32(1)条中提到的措施。
   2. 在评估适当的安全水平时，Zonos应考虑处理所带来的风险，特别是个人数据泄露的风险。

4. 次级处理。Zonos不得任命（或披露任何个人数据给）任何次级处理者，除非客户要求或授权。

5. 数据主体权利。

   1. 考虑到处理的性质，Zonos应通过实施适当的技术和组织措施协助客户，尽可能履行Zonos的义务，Zonos合理理解的，以响应根据数据保护法行使数据主体权利的请求。

   2. Zonos同意：

      1. 如果收到数据主体根据任何数据保护法对个人数据的请求，立即通知客户；并且
      2. 确保不响应该请求，除非根据客户的书面指令或Zonos所受适用法律的要求，在这种情况下，Zonos应在合同处理者响应请求之前，在适用法律允许的范围内通知客户该法律要求。

6. 个人数据泄露。

   1. Zonos在意识到影响个人数据的个人数据泄露时，应毫不拖延地通知客户，向客户提供足够的信息，以便客户履行根据数据保护法报告或通知数据主体个人数据泄露的任何义务。
   2. Zonos应与客户合作，并采取客户指示的合理商业步骤，以协助调查、减轻和补救每个此类个人数据泄露。

7. 数据保护影响评估和事前咨询。Zonos应为客户提供合理的协助，进行任何数据保护影响评估，以及与监督机构或其他有权数据隐私机构的事前咨询，客户合理认为根据GDPR第35或36条或任何其他数据保护法的等效条款所需的，在每种情况下，仅与合同处理者处理个人数据相关，并考虑到处理的性质和合同处理者可用的信息。

8. 数据的返回或删除。在服务停用或终止时，所有个人数据应被删除，但此要求不适用于Zonos根据适用法律需要保留的部分或全部个人数据，或其在备份系统中存档的个人数据，Zonos应将此类个人数据安全隔离并保护，以防止任何进一步处理，除非适用法律要求。

9. 安全报告。Zonos应维护其安全标准的记录。应客户书面请求，Zonos应提供对客户提出的所有合理信息请求的回应（在保密基础上），包括对信息安全和审计问卷的回应，客户（合理行事）认为有必要确认Zonos遵守本DPA，前提是客户每年不得行使此权利超过一次。

10. 数据传输。客户承认并同意Zonos可能在全球范围内访问和处理个人数据，以根据主协议提供服务，特别是个人数据将被转移到并由Zonos在美国和Zonos次级处理者运营的其他司法管辖区处理。Zonos应确保此类传输符合数据保护法的要求，包括符合欧盟批准的个人数据传输标准合同条款。

11. 加州个人信息的附加条款。

    1. 本第11节仅适用于加州个人信息。

    2. 在根据客户指令处理加州个人信息时，双方承认并同意，客户是业务方，Zonos是CCPA目的下的服务提供者。

    3. 双方同意Zonos将作为服务提供者严格为履行主协议下的服务目的处理加州个人信息。Zonos根据Zonos隐私政策将服务数据用于其自身的合法商业目的。双方同意Zonos不得进行以下操作：

       1. 出售加州个人信息（如CCPA中定义）；
       2. 为商业目的保留、使用或披露加州个人信息，除非为商业目的或CCPA另行允许；或
       3. iii. 在客户与Zonos之间的直接业务关系之外保留、使用或披露加州个人信息。

    4. Zonos证明其理解并将遵守第11(c)节中规定的限制。

4. 一般条款

1. 保密性。每一方必须对本协议及其在与本DPA相关的过程中收到的关于另一方及其业务的信息（“保密信息”）保密，未经另一方事先书面同意不得使用或披露该保密信息，除非：

   1. 法律要求披露；
   2. 相关信息已在公共领域。

2. 通知。根据本DPA发出的所有通知和通信必须以书面形式，并将亲自递送、通过邮寄或通过电子邮件发送至本DPA标题中列出的地址或电子邮件地址，或由双方不时通知的其他地址。

5. 管辖法律和管辖权

本DPA受主协议中的法律和管辖权条款的约束，除非数据保护法另有要求。

附录A. Zonos次级处理者列表

可根据要求提供

附录B. 安全措施

可根据要求提供