数据处理附录

服务条款

隐私

其他协议

内容大学

政策

杂项

要将以下条款纳入您与Smartsheet Inc.签订的访问和使用订阅服务的协议中,请填写此表格形式

本数据处理附录("德通社)纳入并构成Smartsheet Inc. ("内容)及管理客户访问及使用网上服务的“客户”(“协议”)。本协议中未定义的大写术语具有本协议中规定的含义。

1.定义。在本DPA中,下列术语(及其派生词)的含义如下:

  • 下属系指拥有或控制本协议一方、被本协议一方拥有或控制、或与本协议一方处于共同控制或所有权下的任何个人或实体,其中“控制”的定义为直接或间接拥有指导或导致指导某一实体的管理和政策的权力,无论是通过拥有有表决权证券、通过合同或其他方式。
  • 控制器指确定个人数据处理的目的和方法的个人或实体。
  • 客户系指已签订本协议并同意将本DPA纳入本协议的个人或实体。
  • 客户的内容"系指由客户或用户上传或提交至在线服务并由Smartsheet代表客户处理的任何数据、文件附件、文本、图像、报告、个人信息或其他内容。为免生疑问,“客户内容”不包括不显示“客户内容”实际内容的使用、统计、学习或技术信息。
  • 客户个人资料指“客户内容”内所载的个人资料。
  • 数据泄露指因意外或非法破坏、丢失、更改、未经授权的披露或访问“客户内容”而导致的安全违反。
  • 数据保护法律”系指在一方适用的范围内,任何国家关于客户个人数据处理的数据保护或隐私法律。
  • 数据对象指已识别或可识别的自然人。
  • ”或“聚会,派对指客户和/或智能表(视情况而定)。
  • 个人资料系指与数据主体或家庭有关、识别、描述或能够与之关联的任何信息。
  • 过程指对个人数据进行的任何操作或一组操作,无论是否通过自动化手段,如通过传输、传播或以其他方式提供而进行的收集、记录、组织、构造、存储、改编、更改、检索、咨询、使用、校准、组合、限制、删除、销毁或披露。
  • 处理器指代表控制人处理个人数据的个人或实体。
  • 专业服务指Smartsheet提供或控制的与在线服务相关的实施、配置、集成、培训、咨询和其他专业服务。
  • 服务"系指专业服务、订阅服务以及Smartsheet提供或控制的与订阅服务一起使用的任何其他在线服务或应用程序。
  • 内容的人员指获Smartsheet授权处理客户个人资料的任何个人。
  • Subprocessor系指由Smartsheet委任或代表Smartsheet处理与本协议有关的客户个人数据的任何个人或实体(包括任何第三方但不包括Smartsheet人员)。
  • 订阅服务指由Smartsheet提供和控制的基于订阅的在线服务和应用程序。
  • 监督权力指根据《数据保护法》设立或承认的独立主管公共机关。
  • 用户"系指经"用户"或其他"用户"授权或邀请访问和使用"用户"根据"订单"和"协议"条款提供的在线服务的任何个人。

2.角色的政党。

2.1客户和Smartsheet同意,就双方之间而言,客户是控制者,Smartsheet是客户个人数据的处理者,双方均完全负责遵守适用于其的数据保护法,并履行其对第三方(包括数据主体和监管机构)的任何相关义务。

2.2客户为控制器

  • 2.2.1“客户”应全权负责“客户”个人资料的准确性以及其获取、披露和处理“客户”个人资料的手段的合法性。
  • 2.2.2客户对Smartsheet处理客户个人数据的指示将符合数据保护法,并得到正式授权,并确保所有必要的权利、权限和同意。

2.3内容随着处理器

  • 2.3.1 Smartsheet将仅处理以下客户个人数据:(a)根据客户书面指示或授权用户通过在线服务发起的指示;(b)必要时提供服务,防止或解决在线服务的技术问题或违反本协议或本DPA的行为;或(c)根据适用法律的要求。附表1(处理客户个人资料的详情)列明智能表处理客户个人资料的说明。如果Smartsheet有理由认为处理客户个人数据的任何指示违反或将违反数据保护法,Smartsheet同意立即通知客户。
  • 2.3.2 Smartsheet将确保Smartsheet人员:(a)仅在履行本DPA和本协议项下Smartsheet的处理义务所需的范围内访问客户个人数据;(b)受客户个人数据保密义务的约束,其保护性与本DPA和本协议中规定的基本相同;以及(c)接受与处理客户个人数据相关的适当培训。
  • 2.3.3 Smartsheet不会违反《数据保护法》出售或共享客户个人数据。
  • 2.3.4 Smartsheet不会评估客户内容的类型或实质内容,以确定其是否是客户个人数据和/或受任何特定法律要求的约束。
  • 2.3.5 DPA终止后,Smartsheet将根据本协议返回或删除客户内容。

3.安全。

3.1 Smartsheet将根据本协议实施和维护技术、物理和组织措施和控制,以保护和保护客户内容(包括其返回和删除)。尽管有上述规定,“用户”应全权负责独立评估并最终实施Smartsheet提供给“用户”的安全配置设置,如果“用户”认为有必要满足其在适用数据保护法下的要求和法律义务。

3.2用户确认,通过其用户,用户:(a)控制“用户内容”的类型和内容;和(b)设置访问“客户内容”的用户权限;因此,"用户"有责任审查和评估在线服务的记录功能是否符合"用户"根据《数据保护法》所要求的有关"用户个人数据"的安全义务。

4.个子处理器。

4.1 Smartsheet的子处理器将在m.santa-greenland.com/legal/subprocessors并可由智能表格不时根据本DPA进行更新。客户授权Smartsheet关联公司作为子处理器,并根据本第4条的条款和条件使用任何确定的子处理器。

4.2 Smartsheet将对每个子处理器进行适当的尽职调查,并与每个子处理器签署书面协议,其中包括处理客户个人数据的规定,其保护程度至少与本DPA中规定的一样。

4.3根据数据保护法,Smartsheet对子处理器的作为和不作为负责,包括子处理器对另一个子处理器的任命。

4.4新的个子处理器;正确的对象

  • 4.4.1客户必须填写以下表格m.santa-greenland.com/legal/subprocessor-notification通过Smartsheet接收新的子处理器预约通知。在提交该表格后,Smartsheet将提前书面通知客户,如果Smartsheet打算任命新的子处理器;但是,如果新的临时子处理器为维护在线服务或客户内容的可用性和安全性而需要直接参与,Smartsheet将在任命该子处理器后,毫不迟延地以书面形式通知客户。
  • 4.4.2如果客户在合理的基础上反对与客户个人数据处理相关的新子处理器,客户必须在收到任命通知后的十五(15)天内书面通知Smartsheet;否则,Smartsheet将视为客户授权的新子处理器的任命。在收到来自客户的反对通知后,Smartsheet将尽合理努力向客户提供在线服务的更改,或推荐商业上合理的在线服务配置或使用,以避免新的子处理器处理客户个人数据。如果Smartsheet不能根据上述努力解决客户的异议,Smartsheet将在收到客户的异议通知后十五(15)天内通知客户。然后,客户可以在Smartsheet发出通知后三十(30)天内书面通知Smartsheet,终止本DPA和任何受影响的服务,并获得适用服务终止部分的预付费用的退款。

5.数据请求。

5.1 Smartsheet将向客户提供通过在线服务访问客户个人数据的权限,使客户能够回应与客户个人数据有关的数据主体请求。

5.2 Smartsheet将毫不拖延地以书面形式通知客户,无论如何,在收到并核实Smartsheet直接从数据主体收到的与客户个人数据有关的任何请求后,在10个工作日内通知客户,并且Smartsheet只能直接回应数据主体的请求:(a)确认该请求与客户有关;(b)适用法律要求的;或(c)经客户书面同意。除本协议规定外,Smartsheet作为处理器无意响应或履行任何数据主体请求。

5.3应客户书面要求,且在客户无法自行访问客户个人数据的情况下,Smartsheet将为客户访问客户个人数据提供合理协助,以便客户响应该等数据主体的请求。在法律允许的范围内,“客户”将负责Smartsheet在正常业务之外的协助工作所产生的任何费用。

6.数据被破坏。

6.1一旦Smartsheet意识到数据泄露,将毫不迟延地以书面形式通知客户,无论如何在72小时内通知客户。

6.2 Smartsheet将根据Smartsheet的安全事件政策和程序进行调查,并在必要时减轻或补救数据泄露(“违反管理”)。

6.3在遵守Smartsheet的法律义务的前提下,Smartsheet将向客户提供因其违约管理而向Smartsheet提供的信息,包括事件的性质、披露的具体信息(如果已知)以及任何相关的缓解措施或补救措施("违反信息),以便客户因数据泄露而遵守其在数据保护法下的义务。

6.4如果客户要求除违约信息外,还提供与数据泄露相关的具体信息,应客户书面要求,且在客户无法自行获取额外信息的情况下,Smartsheet将根据客户的要求合理配合客户,试图收集和提供此类额外信息。

7.审计的权利。

7.1 Smartsheet将使用外部审计员每年审计和核实其安全措施和控制的充分性(“审计”)。审计将:(a)由独立的第三方安全专业人员进行,费用由Smartsheet承担;(b)包括根据AICPA SOC2标准或与AICPA SOC2基本等同的其他替代标准对在线服务的安全措施和控制进行的测试,其结果是至少生成SOC2报告或实质相当的报告;以及(c)包括在线服务的渗透测试,并产生渗透测试报告。审计署编制的报告(“报告)将根据本协议的保密义务或双方同意的保密协议,在不超过每年一次的书面要求下提供给客户。为明确起见,每份报告仅讨论报告发布时在线服务的一般商业可用性;随后发布的服务,如果包含在报告中,将在该报告的下一个年度迭代中。

7.2根据客户的书面要求,Smartsheet将在考虑到Smartsheet处理活动的性质和Smartsheet可获得的信息的情况下,就数据保护影响评估和与监管机构的磋商向客户提供合理的协助。如果除上述条款和报告外,客户还需要符合数据保护法的信息,在客户自行承担费用并提出书面要求的情况下,如果客户无法自行获取额外信息,Smartsheet将允许第三方审计师就Smartsheet的客户个人数据处理("客户审计”),提供:

  • 7.2.1客户向Smartsheet提供合理的提前通知,包括审核员的身份、预期的客户审核日期和范围;
  • 7.2.2 Smartsheet通过通知客户的方式批准审核员,该批准不得被无理拒绝;
  • 7.2.3客户和审计师采取行动,避免在客户审计过程中对Smartsheet的场所、设备或业务造成任何损害、伤害或中断;而且
  • 7.2.4除非监管机构另有要求,否则客户在任何日历年只发起一次客户审计。

8.国际规定。

8.1双方承认并同意,通过Smartsheet处理客户个人数据可能涉及客户个人数据从客户到Smartsheet的国际转移("国际转移”)。客户确认,自生效日期起,Smartsheet的主要加工活动在美国,详情见//m.santa-greenland.com/data-access-and-transfers

8.2如果Smartsheet处理的客户个人数据源自附表4(管辖区域特定条款)所列管辖区域之一的适用数据保护法,并受其保护,则除本DPA条款外,还将适用其中针对适用管辖区域规定的条款。

8.3如果客户使用本服务需要有效的转移机制才能合法地将客户个人数据从一个司法管辖区(即欧洲经济区)转移("经济区)、英国、瑞士或附表4所列的任何其他司法管辖区)提交至该司法管辖区以外的智能表(a“转移机制),附表3(跨境转运机制)的条款和条件将适用。

8.4如果任何传输机制未能作为国际传输的合法数据传输机制,各方将根据本DPA第9.8条(数据保护法的变更)采取行动。

9.将军。

9.1修正案;豁免.除非本协议另有明确规定,本DPA只能通过双方授权代表签署的书面协议进行修改。对任何违反本DPA行为的放弃仅在书面形式下有效,且该等放弃将不适用或不被解释为对任何后续违约行为的放弃。

9.2遣散费.如果本DPA的任何条款被认为是不可执行的,那么该条款将被解释为在必要的最小程度上修改它以使其可执行(如果法律允许)或无视它(如果法律不允许),而本DPA的其余部分将保持书面效力。尽管有上述规定,如果修改或无视不可执行的条款将导致本DPA的基本目的未能实现,则整个DPA将被视为无效。

9.3优先顺序.关于本DPA的主题事项,如果本DPA与双方之间的任何其他书面协议(包括本协议)之间存在任何冲突,则由本DPA管辖。双方之间可能已经存在的任何数据处理协议将全部由本DPA取代。如果标准合同条款与本DPA中的任何其他条款(包括附录4(管辖特定条款))之间存在任何冲突,则以适用的标准合同条款的规定为准。

9.4通知.除非本协议另有明确规定,双方应根据本协议在本DPA项下提供通知,但所有此类通知均可通过电子邮件发送。

9.5适用法律及司法管辖权.除非数据保护法禁止,本DPA受本协议中规定的法律管辖,本DPA的各方在此就本DPA项下产生的任何争议,服从本协议中规定的司法管辖区和地点的选择(如果有的话)。

9.6执行.无论客户或其关联公司或第三方是否为客户个人数据控制人,除非法律另有规定:(a)只有客户有权对Smartsheet执行本DPA的任何条款;以及(b) Smartsheet在本DPA项下的义务,包括任何适用的通知,仅针对客户。

9.7责任.与本DPA双方之间一样,每一方在本DPA项下的责任和救济均受本协议中规定的总责任限制和损害排除的限制。

9.8数据保护法的变化.如果由于《数据保护法》的变更或随后适用的《数据保护法》的变更而要求对本DPA进行任何变更,则任何一方均可就该法律变更向另一方发出书面通知。随后,双方将本着诚意讨论和协商本DPA的任何变更,以便在切实可行的情况下尽快同意并实施这些变更或替代变更,前提是这些变更对于服务和Smartsheet的业务操作的功能和性能而言是合理的。

9.9保留的权利.尽管本DPA中有任何相反规定:(a) Smartsheet保留保留可能对Smartsheet或其客户构成安全风险或适用法律或合同义务禁止的信息披露的权利;以及(b) Smartsheet在本DPA项下的通知、回应或提供信息或合作并不表示Smartsheet承认任何过错或责任。

9.10监管要求.如果法律或法律程序要求Smartsheet披露客户个人数据,在法律允许的范围内,Smartsheet同意就此类披露事先通知客户,给客户一个合理的机会,让客户出现、提出反对,并获得保护令或其他有关此类披露的适当救济。

附表1:客户个人数据处理细节

本附表1包括GDPR第28(3)条所要求的个人数据处理的某些细节。

处理个人资料的事项及期限:

  • 个人数据处理的主题事项和期限在本协议和本DPA中有规定。

处理个人资料的性质及目的

  • 为促进或支持本协议和本DPA项下所述的服务的提供,合理要求Smartsheet处理个人数据。

个人资料类别及资料当事人类别:

  • 个人资料的类型及个人资料所涉及的资料主体的类别,由客户自行决定及控制。

控制人的义务和权利:

  • 客户的义务和权利载于本协议和本DPA中。

附表2:技术和组织安全措施

如适用,本附表2将作为标准合同条款的附件二。

Smartsheet的技术和组织安全措施全文载于以下网页//m.santa-greenland.com/legal/security

附表3:跨境转移机制

1.定义。

1.1”标准合同条款”指以下任何一种情况,视个别客户的特殊情况而定:

  • 1.1.1 EEA标准合同条款;而且
  • 1.1.2英国标准合同条款。

1.2”EEA标准合同条款”或“欧盟批准的癌系指欧洲委员会在第2021/914号决定中批准的标准合同条款。

1.3”英国标准合同条款指信息专员办公室(ICO)于2022年2月2日根据《2018年数据保护法》s119A发布并提交议会的附录模板,根据第18条进行了修订。

2.EEA标准合同条款.对于受欧洲经济区标准合同条款约束的欧洲经济区数据传输,欧洲经济区标准合同条款将以以下方式适用:

2.1模块1(控制器到控制器)将适用于Smartsheet作为控制器处理在线服务使用数据的地方。为明确起见,使用数据是客户使用本服务时获得的分析统计、学习或技术信息,不包含或透露“客户内容”的内容。这些数据由Smartsheet所有,用于提供支持、保护和/或保护服务。

2.2模块二(控制器到处理器)适用于“客户”是“客户个人数据控制器”和“Smartsheet”是“客户个人数据处理器”的情况;

2.3对于每个模块(如适用):

  • 第7条2.3.1中可选对接条款不适用;
  • 第9条2.3.2,选项2将适用,提供通知的过程和子处理器更改的异议时间期限将按照本DPA第4条(子处理器)规定;
  • 2.3.3在第11条中,可选语言不适用;
  • 2.3.4在第17条中,EEA标准合同条款将受德国法律管辖。
  • 2.3.5在第18(b)条中,争议将在德国法院解决。
  • 2.3.6附录一A部分:
  • 数据出口商:客户和客户的授权关联公司。
  • 联系方式:“用户”帐户所有者的电子邮件地址,或“用户”选择接收隐私通信的电子邮件地址。
  • 数据出口商的角色:数据出口商的角色在本DPA的第2条中有概述。
  • 签署和日期:通过签署DPA,数据出口商被视为在生效日期签署了本标准合同条款,包括其附件。
  • 数据导入:Smartsheet Inc。
  • 联系方式:Smartsheet Privacy - privacy@smartsheet.com;Smartsheet Security - security@smartsheet.com。
  • 数据导入人的角色:数据导入人的角色在本DPA第2条中有概述。
  • 签署和日期:通过签署DPA,数据进口商被视为在生效日期签署了本标准合同条款(包括其附件)。
  • 2.3.7附录一B部分:
  • 数据主题的类别载于附表1。
  • 所传输的敏感数据见附表1。
  • 转让的频率是《协定》存续期的连续基础。
  • 处理的性质见附表1。
  • 处理的目的见附表1。
  • 处理的周期见附表1。
  • 对于转移到子处理器,处理的主题、性质和持续时间概述在//m.santa-greenland.com/legal/subprocessors
  • 3.3.8在附件一C部分:根据第13条的规定,主管监督机构的确定如下:
  • 如果数据出口商设立在欧盟成员国:负责确保数据出口商遵守关于数据转移的法规(EU) 2016/679的监管机构应作为主管监管机构。
  • 如果数据出口商不是设立在欧盟成员国,但根据其第3(2)条属于法规(EU) 2016/679的适用领土范围内,并根据法规(EU) 2016/679第27(1)条任命了一名代表:设立了法规(EU) 2016/679第27(1)条含义内的代表的成员国的监管当局应作为主管监管当局。
  • 如果数据出口商不是建立在欧盟成员国,但属于根据法规(EU) 2016/679第3(2)条适用的领土范围内,但不必根据法规(EU) 2016/679第27(2)条指定代表:国家信息和信息委员会libertés (CNIL) - 3 Place de Fontenoy, 75007,法国巴黎应作为主管监管机构。
  • 如果数据出口商设立在联合王国,或属于英国数据保护法律和法规适用的领土范围,则信息专员办公室将作为主管监管机构。
  • 如果数据出口商设立在瑞士,或属于瑞士数据保护法律和法规适用的领土范围,如果相关数据传输受瑞士数据保护法律和法规管辖,则瑞士联邦数据保护和信息专员应作为主管监管机构。
  • 2.3.9附表2是标准合同条款的附件二。

3.英国标准合同条款.对于受《英国标准合同条款》约束的来自英国的数据传输,《英国标准合同条款》将以以下方式适用:

  • 3.1通过引用纳入本DPA的欧洲经济区标准合同条款也将适用于英国数据传输,但须遵守本附表3。
  • 3.2英国附录将被视为双方之间的执行,欧洲经济区scc将被视为根据英国附录中关于英国数据传输的具体规定进行修订。

附表4:管辖具体条款

1.加州。

1.1”的定义数据保护法律包括《加州消费者隐私法》(CCPA)和《加州隐私权法》(CPRA”)。

1.2条款“业务”、“商业目的”、“服务提供者”、“出售”、“个人信息“具有CCPA中规定的含义,以及在根据本DPA处理的客户个人数据的背景下。

1.3就客户个人资料而言,智能表是CCPA下的服务提供者。

Smartsheet不会(a)出售客户个人数据;(b)为提供服务的特定目的以外的任何目的保留、使用或披露任何客户个人数据,包括为提供服务以外的商业目的保留、使用或披露客户个人数据,包括向不同的客户提供服务;或(c)在Smartsheet与客户之间的直接业务关系之外,保留、使用或披露客户个人数据。

1.5双方承认并同意,本DPA中描述的客户指示授权的处理客户个人数据是Smartsheet提供服务和双方之间直接业务关系不可分割和包含的内容。Smartsheet同意,在其合理的意见下,如果Smartsheet不能再履行其在本数据保护法下的适用义务,则通知客户。

1.6无论本协议或与之相关的任何订单表格中有任何规定,双方确认并同意Smartsheet对客户个人数据的访问不构成双方就本协议交换对价的一部分。

1.7在任何在线服务使用数据被视为客户个人数据的情况下,Smartsheet是有关该等数据的业务,并将根据其隐私通知处理该等数据。为明确起见,使用数据是客户使用本服务时获得的分析统计、学习或技术信息,不包含或透露“客户内容”的内容。这些数据由Smartsheet所有,用于提供支持、保护和/或保护服务。

1.8补救需求.客户有权采取合理和适当的步骤(a)核实Smartsheet以符合本DPA的方式使用其从客户处或代表客户接收的个人信息,以使客户能够履行其在数据保护法项下的义务。该权利可能包括根据本DPA执行客户审计;(b)停止并纠正Smartsheet未经授权使用客户个人资料的行为;以及(c)采取各方合理商定的任何此类其他补救努力。例如,根据本协议,客户可要求Smartsheet提供文件,以核实Smartsheet不再保留或使用已有效要求客户删除其个人信息的数据主体的客户个人信息。

1.9认证.Smartsheet证明其理解并将遵守本DPA和本协议中规定的义务,包括对其处理客户个人信息的限制。

2.经济区

2.1”的定义数据保护法律,包括通用数据保护条例(EU 2016/679) (GDPR”)。

2.2当Smartsheet使用子处理器时,它将:

  • 2.2.1要求任何指定的子处理商按照适用的数据保护法要求的标准保护客户个人数据,例如包括GDPR第28(3)条所述的相同数据保护义务,特别是提供足够的保证,以执行适当的技术和组织措施,使处理将满足GDPR的要求;而且
  • 2.2.2要求任何指定的子处理器书面同意,只在欧盟已宣布具有“足够”保护水平的国家处理数据;或仅按与标准合同条款相同的条款处理数据。

2.3GDPR处罚.尽管在本DPA或本协议中有任何相反规定(包括但不限于任何一方的赔偿义务),任何一方都不负责监管机构或政府机构根据GDPR第83条对另一方发出或征收的与该另一方违反GDPR有关的GDPR罚款。

3.瑞士。

3.1”的定义数据保护法律包括瑞士联邦数据保护法。

3.2当Smartsheet使用子处理器时,它会

  • 3.2.1要求任何指定的子处理商按照适用的数据保护法要求的标准保护客户个人数据,例如包括GDPR第28(3)条所述的相同数据保护义务,特别是提供足够的保证,以执行适当的技术和组织措施,使处理将满足GDPR的要求;而且
  • 3.2.2要求任何指定的子处理器书面同意只在欧盟已宣布具有“足够”保护水平的国家处理数据;或仅按与标准合同条款相同的条款处理数据。

3.3在瑞士联邦数据保护法允许和要求的范围内,数据主体可以向瑞士法院对数据出口商和/或数据进口商提起法律诉讼。

3.4在当时生效的《瑞士联邦数据保护法》版本所要求的范围内,标准合同条款的适用性将被解释为将与法律实体有关的数据包括为客户个人数据。

4.联合王国。

4.1本DPA中对GDPR的引用将在此程度上被视为对英国相应法律的引用(包括英国GDPR和2018年数据保护法)。

4.2当Smartsheet使用子处理器时,它会

  • 4.2.1要求任何指定的子处理程序按照适用的数据保护法要求的标准保护客户个人数据,例如包括GDPR第28(3)条所述的相同数据保护义务,特别是提供足够的保证,以执行适当的技术和组织措施,使处理将满足GDPR的要求;而且
  • 4.2.2要求任何指定的子处理器书面同意只在欧盟已宣布具有“足够”保护水平的国家处理数据;或仅按与标准合同条款相同的条款处理数据。

最后更新:2022年10月4日

存档的版本

这些是Smartsheet数据处理附录的遗留版本,仅供参考。

查看档案列表