数据处理

若要将以下条款纳入您与Smartsheet Inc.签订的访问和使用订阅服务的协议中,请填写此表格形式

本资料处理附录("德通社)是Smartsheet Inc. ("内容)和管理客户访问和使用在线服务的“客户”(“协议”)。本协议中未定义的大写术语具有本协议中规定的含义。

1.定义。在本协议中,下列术语(及其引申)的含义如下:

  • 下属“”系指拥有或控制、被本协议一方拥有或控制、或与该方共同控制或拥有的任何个人或实体,其中“控制”的定义为直接或间接拥有指导或导致指导某一实体的管理和政策的权力,无论是通过拥有有表决权证券、合同或其他方式。
  • 控制器"是指决定个人数据处理的目的和方式的个人或实体。
  • 客户"系指已签订本协议并同意将本DPA纳入本协议的个人或实体。
  • 客户的内容"指任何数据、文件附件、文本、图像、报告、个人信息或其他由客户或用户上传或提交到在线服务并由Smartsheet代表客户处理的内容。为免生疑问,“客户内容”不包括不揭示“客户内容”实际内容的使用、统计、学习或技术信息。
  • 客户个人资料"指“客户内容”中包含的个人资料。
  • 数据泄露"系指违反安全规定,导致意外或非法破坏、丢失、更改、未经授权披露或访问"客户内容"。
  • 资料保护法例"在适用于一方的范围内,指任何国家关于处理客户个人数据的数据保护或隐私法律。
  • 数据对象"是指已识别或可识别的自然人。
  • 或"聚会,派对"指客户及/或智能表格(如适用)。
  • 个人资料指与数据主体或家庭有关、识别、描述或能够与数据主体或家庭有关的任何信息。
  • 过程“指对个人数据执行的任何操作或一组操作,无论是否通过自动方式,例如收集、记录、组织、结构、存储、改编、更改、检索、咨询、使用、对齐、组合、限制、删除、销毁或通过传输、传播或以其他方式提供的披露。
  • 处理器指代表控制者处理个人数据的个人或实体。
  • 专业服务"指Smartsheet提供或控制的与在线服务相关的实施、配置、集成、培训、咨询和其他专业服务。
  • 服务"系指专业服务、订阅服务以及Smartsheet提供或控制的与订阅服务一起使用的任何其他在线服务或应用程序。
  • 内容的人员"指经Smartsheet授权处理客户个人数据的任何个人。
  • Subprocessor"系指由Smartsheet指定或代表Smartsheet处理与本协议有关的客户个人数据的任何个人或实体(包括任何第三方,但不包括Smartsheet人员)。
  • 订阅服务指由Smartsheet提供和控制的基于订阅的在线服务和应用程序。
  • 监督权力"系指根据数据保护法设立或承认的独立主管公共机构。
  • 用户"指客户或其他用户授权或邀请访问和使用客户根据订单和本协议条款可获得的在线服务的任何个人。

2.各方的作用。

2.1客户和Smartsheet同意,在双方之间,客户是控制者,Smartsheet是客户个人数据的处理者,每一方均全权负责遵守适用于其的数据保护法,并履行其对第三方(包括数据主体和监管机构)的任何相关义务。

2.2客户作为控制者

  • 2.2.1客户全权负责客户个人数据的准确性以及客户获取、披露和处理客户个人数据的手段的合法性。
  • 2.2.2客户对Smartsheet处理客户个人数据的指示将遵守数据保护法,并得到适当授权,并确保所有必要的权利、权限和同意。

2.3Smartsheet作为处理器

  • 2.3.1 Smartsheet将仅在以下情况下处理客户个人数据:(a)根据客户书面指示或授权用户通过在线服务发起;(b)必要时提供服务,防止或解决在线服务的技术问题或违反“协议”或本“DPA”的行为;或(c)适用法律要求的。附表1(处理客户个人资料的详情)载列Smartsheet处理客户个人资料的说明。如果Smartsheet合理地认为任何处理客户个人数据的指令违反或将违反数据保护法,Smartsheet同意立即通知客户。
  • 2.3.2 Smartsheet将确保Smartsheet人员:(a)仅在履行本DPA和本协议项下Smartsheet处理义务所需的范围内访问客户个人数据;(b)受与本DPA和本协议中规定的保护性基本相同的客户个人数据保密义务的约束;以及(c)接受与客户个人数据处理相关的适当培训。
  • 2.3.3 Smartsheet不会违反数据保护法出售或共享客户个人数据。
  • 2.3.4 Smartsheet不会评估客户内容的类型或实质内容,以确定其是否属于客户个人数据和/或受任何特定法律要求的约束。
  • 2.3.5 DPA终止后,Smartsheet将按照本协议返还或删除客户内容。

3.安全。

Smartsheet将按照《协议》实施和维护旨在保护和保护“客户内容”(包括其返回和删除)的技术、物理和组织措施和控制。尽管有上述规定,客户应全权负责独立评估并最终实施Smartsheet提供给客户的安全配置设置,因为Smartsheet认为有必要满足其在适用数据保护法下的要求和法律义务。

3.2客户承认,通过其用户,客户:(a)控制客户内容的类型和实质;和(b)设置用户访问“客户内容”的权限;因此,客户有责任审查和评估在线服务的记录功能是否符合数据保护法规定的与客户个人数据相关的客户所需的安全义务。

4.个子处理器。

4.1 Smartsheet的子处理器将在m.santa-greenland.com/legal/subprocessors并可由Smartsheet不时根据本DPA更新。客户授权Smartsheet关联公司作为子处理器,并根据本第4条的条款和条件使用任何确定的子处理器。

Smartsheet将对每个子处理器进行适当的尽职调查,并与每个子处理器签订书面协议,其中包括处理客户个人数据的规定,这些规定至少与本DPA中规定的保护相同。

4.3根据数据保护法,Smartsheet对子处理器的作为和不作为负责,包括子处理器对另一个子处理器的委任。

4.4新的个子处理器;反对权

  • 4.4.1客户必须填写在m.santa-greenland.com/legal/subprocessor-notification接收Smartsheet的新子处理器预约通知。提交该表格后,如果Smartsheet打算指定新的子处理器,Smartsheet将提前书面通知客户;但是,如果为了维持在线服务或客户内容的可用性和安全性,Smartsheet必须在指定新的临时子处理器后,立即以书面形式通知客户。
  • 4.4.2如果客户基于与客户个人数据处理相关的合理理由反对新的子处理器,客户必须在收到预约通知后十五(15)天内书面通知Smartsheet;否则,Smartsheet将视为客户授权的新子处理器的委任。在收到客户的反对通知后,Smartsheet将尽合理努力向客户提供在线服务的更改,或建议商业上合理的在线服务配置或使用,以避免新的子处理器处理客户个人数据。如果Smartsheet不能根据上述努力解决客户的异议,Smartsheet将在收到客户的异议通知后十五(15)天内通知客户。然后,客户可以在Smartsheet发出通知后三十(30)天内书面通知Smartsheet终止本DPA和任何受影响的服务,并获得适用服务终止部分的预付费用退款。

5.数据主题请求。

5.1 Smartsheet将通过在线服务为客户提供访问客户个人数据的权限,以便客户响应数据主体有关客户个人数据的请求。

Smartsheet将在收到和验证Smartsheet直接从数据主体收到的有关客户个人数据的任何请求后,在任何情况下,在10个工作日内以书面形式通知客户,并且Smartsheet只能直接回应数据主体的请求:(a)确认该请求与客户有关;(b)根据适用法律的要求;或(c)经客户书面同意。除本协议另有规定外,Smartsheet作为处理器,无意响应或履行任何数据主体请求。

5.3应客户的书面要求,在客户无法自行访问客户个人数据的情况下,Smartsheet将在访问客户个人数据方面向客户提供合理的协助,以便客户回应此类数据主体的请求。在法律允许的范围内,客户将负责Smartsheet在正常业务范围之外的协助工作所产生的任何费用。

6.数据被破坏。

Smartsheet将在了解到数据泄露后的72小时内,毫不迟延地以书面形式通知客户。

6.2 Smartsheet将根据Smartsheet的安全事件政策和程序调查并在必要时减轻或补救数据泄露(“违反管理”)。

根据Smartsheet的法律义务,Smartsheet将向客户提供因违规管理而可获得的信息,包括事件的性质、披露的具体信息(如已知)以及任何相关的缓解措施或补救措施("违反信息”),以确保客户因数据泄露而遵守其在数据保护法下的义务。

6.4如果客户要求除违约信息外的与数据泄露有关的特定信息,应客户的书面要求,且在客户无法自行获取额外信息的情况下,Smartsheet将根据客户的要求与客户合理合作,尝试收集并提供此类额外信息。

7.审计的权利。

Smartsheet将聘请外部审计员进行年度审计,并核实其安全措施和控制的充分性(“审计”)。审计将:(a)由独立的第三方安全专业人员进行,费用由Smartsheet自行选择;(b)包括根据AICPA SOC2标准或与AICPA SOC2基本相同的其他替代标准对在线服务的安全措施和控制进行测试,从而至少生成SOC2报告或实质性等效内容;和(c)包括对在线服务的渗透测试,并生成渗透测试报告。审计员所产生的报告(“报告”)根据本协议或双方同意的保密协议的保密义务,应客户的书面要求,不超过每年向客户提供。为明确起见,每份报告仅讨论报告发布时在线服务的一般商业可用性;随后发布的服务,如果包含在报告中,将在该报告的下一个年度迭代中。

根据客户的书面要求,Smartsheet将根据Smartsheet处理活动的性质和Smartsheet可获得的信息,就数据保护影响评估和与监管机构的磋商向客户提供合理的协助。如果客户在上述内容和报告之外,还要求提供信息以遵守数据保护法,在客户自行承担费用并提出书面要求的情况下,如果客户无法自行获取额外信息,Smartsheet将允许并配合客户委托的第三方审计人员对Smartsheet处理客户个人数据进行审计(“客户审计),但条件是:

  • 7.2.1客户向Smartsheet提供合理的提前通知,包括审核员的身份、客户审核的预期日期和范围;
  • 7.2.2 Smartsheet通过通知客户的方式批准审计师,且该批准不得被无理拒绝;
  • 7.2.3在客户审计过程中,客户和审核员应避免对Smartsheet的场所、设备或业务造成任何损害、伤害或破坏;而且
  • 7.2.4除非监管机构另有要求,否则客户在任何日历年中只能发起一次客户审核。

8.国际规定。

8.1双方承认并同意,Smartsheet对客户个人数据的处理可能涉及客户个人数据从客户到Smartsheet的国际转移(“国际转移”)。客户确认,自生效日期起,Smartsheet的主要加工活动在美国,详情见//m.santa-greenland.com/data-access-and-transfers

8.2如果Smartsheet处理来自附表4(特定管辖区域条款)中所列管辖区域之一的适用数据保护法并受其保护的客户个人数据,则除本DPA条款外,还将适用其中规定的有关适用管辖区域的条款。

8.3如果客户使用服务需要有效的转移机制,以便合法地将客户个人数据从一个司法管辖区(即欧洲经济区)转移("经济区)、英国、瑞士或附表4所列任何其他司法管辖区)向位于该司法管辖区以外的Smartsheet (a转移机制),则附表3(跨境转移机制)的条款及条件将适用。

8.4如果任何传输机制未能作为国际传输的合法数据传输机制,双方将按照本DPA第9.8条(数据保护法律的变更)的规定行事。

9.将军。

9.1修正案;豁免.除非另有明确规定,本保密协议只能通过双方授权代表签署的书面协议进行修改。对本DPA的任何违约行为的放弃仅在以书面形式进行时才有效,并且此类放弃将不会生效或被解释为对任何后续违约行为的放弃。

9.2遣散费.如果本DPA的任何条款被认为是不可执行的,那么该条款将被解释为修改到必要的最低程度以使其可执行(如果法律允许)或忽略它(如果法律不允许),本DPA的其余部分将保持书面有效。尽管有上述规定,如果修改或无视不可执行的条款将导致本DPA的基本目的无法实现,则整个DPA将被视为无效。

9.3优先顺序.关于本DPA的主题事项,如果本DPA与双方之间的任何其他书面协议(包括本协议)之间存在任何冲突,则以本DPA为准。双方之间可能已经存在的任何数据处理协议将被本DPA完全取代和取代。如果标准合同条款与本DPA中的任何其他条款(包括附表4(管辖特定条款))之间存在任何冲突,则以适用的标准合同条款的规定为准。

9.4通知.除非本协议另有明确规定,双方将根据本协议提供通知,但所有通知均可通过电子邮件发送。

9.5适用法律及司法管辖权.除非数据保护法禁止,本DPA受本协议中规定的法律管辖,本DPA的各方特此就本DPA项下产生的任何争议,服从本协议中规定的司法管辖区和地点的选择(如有)。

9.6执行.无论客户或其关联公司或第三方是否是客户个人数据的控制者,除非法律另有规定:(a)只有客户有权对Smartsheet执行本DPA的任何条款;和(b) Smartsheet在本DPA项下的义务,包括任何适用的通知,将仅针对客户。

9.7责任.在本DPA的各方之间,各方在本DPA项下的责任和救济均受本协议中规定的总责任限制和损害排除的约束。

9.8数据保护法的变化.如果由于数据保护法的变更或随后适用的数据保护法的变更而需要对本DPA进行任何变更,则任何一方均可就该法律变更向另一方发出书面通知。然后,双方将善意地讨论和协商解决此类变更所需的对本DPA的任何变更,以便在切实可行的情况下尽快同意和实施这些变更或替代变更,前提是这些变更对于服务和Smartsheet业务运营的功能和性能是合理的。

9.9保留权利.尽管本DPA中有任何相反的规定:(a) Smartsheet保留保留信息的权利,如果披露这些信息将对Smartsheet或其客户构成安全风险,或被适用法律或合同义务禁止;和(b) Smartsheet在本DPA项下的通知、响应或提供信息或合作不代表Smartsheet承认任何错误或责任。

9.10监管要求.如果法律或法律程序要求Smartsheet披露客户个人数据,在法律允许的范围内,Smartsheet同意就此类披露向客户发出事先通知,以便为客户提供合理的机会出庭、反对并获得保护令或其他有关此类披露的适当救济。

附表1:处理客户个人资料的详情

本附表1包括GDPR第28(3)条所要求的个人数据处理的某些细节。

处理个人资料的事项及期间:

  • 个人数据处理的主题事项和持续时间在协议和本DPA中规定。

处理个人资料的性质及目的

  • Smartsheet处理个人数据是合理要求,以促进或支持提供本协议和本DPA所述的服务。

个人资料类别及资料当事人类别:

  • 个人资料的类型及个人资料所涉及的资料主体的类别由客户自行决定及控制。

控制者的义务和权利:

  • 客户的义务和权利载于本协议和本DPA中。

附表2:技术和组织安全措施

在适用的情况下,本附表2将作为标准合同条款的附件二。

Smartsheet的技术和组织安全措施的全文可在//m.santa-greenland.com/legal/security

附表3:跨境转移机制

1.定义。

1.1”标准合约条款"是指(视任何特定客户的特殊情况而定)下列任何一项:

  • 1.1.1欧洲经济区标准合同条款;而且
  • 1.1.2英国标准合同条款。

1.2”EEA标准合同条款或"已批准的欧盟scc指欧盟委员会第2021/914号决定批准的标准合同条款。

1.3”英国标准合同条款“是指由信息专员办公室(ICO)发布的模板附录,并于2022年2月2日根据《2018年数据保护法》第119a条提交给议会,根据第18条进行了修订。

2.EEA标准合同条款.对于受EEA标准合同条款约束的欧洲经济区数据传输,EEA标准合同条款将以以下方式适用:

2.1模块一(控制器到控制器)适用于Smartsheet作为控制器处理在线服务使用数据的场景。为清楚起见,使用数据是指从客户使用服务中获得的分析统计、学习或技术信息,不包括或揭示“客户内容”的内容。这些数据由Smartsheet所有,用于提供支持、保护和/或保护服务。

2.2模块二(控制器到处理器)适用于客户是客户个人数据的控制器,而Smartsheet是客户个人数据的处理器;

2.3对于每个模块,如适用:

  • 2.3.1条款7中的可选对接条款不适用;
  • 第9条中的2.3.2,选项2将适用,并且提供通知的流程和对子处理程序更改提出异议的时间期限将如本DPA第4节(子处理程序)所述;
  • 2.3.3在第11条中,可选语言不适用;
  • 2.3.4在第17条中,EEA标准合同条款将受德国法律管辖。
  • 2.3.5在第18(b)条中,争议将在德国法院解决。
  • 2.3.6附录I A部分:
  • 数据出口商:客户及客户的授权附属公司。
  • 联系详细信息:“客户”帐户所有者的电子邮件地址,或“客户”选择接收隐私通信的电子邮件地址。
  • 数据导出者的角色:数据导出者的角色在本DPA第2节中概述。
  • 签署和日期:通过签署DPA,数据出口商被视为已在生效日期签署了本协议中包含的这些标准合同条款,包括其附件。
  • 数据导入:Smartsheet Inc.
  • 联系方式:Smartsheet Privacy - privacy@smartsheet.com;Smartsheet Security - security@smartsheet.com。
  • 数据导入者的角色:数据导入者的角色在本DPA第2节中概述。
  • 签署和日期:签署DPA后,数据进口商被视为已在生效日期签署了本协议中包含的标准合同条款,包括其附件。
  • 2.3.7附录I B部分:
  • 数据主体的类别载于附表1。
  • 传输的敏感数据如附表1所示。
  • 转让的频率是本协定存续期间的一个连续基础。
  • 处理的性质在附表1中描述。
  • 处理的目的在附表1中描述。
  • 处理的周期见附表1。
  • 对于向子处理器的传输,处理的主题、性质和持续时间概述在//m.santa-greenland.com/legal/subprocessors
  • 3.3.8在附件I, Part C:根据第13条,主管监管机构的确定如下:
  • 如果数据出口商设立在欧盟成员国:负责确保数据出口商遵守关于数据传输的法规(EU) 2016/679的监管机构应作为主管监管机构。
  • 如果数据出口商不在欧盟成员国设立,但根据其第3(2)条属于条例(EU) 2016/679的适用领土范围,并根据条例(EU) 2016/679第27(1)条任命了代表:设立条例(EU) 2016/679第27(1)条意义上的代表的成员国的监管机构应担任主管监管机构。
  • 如果数据出口商不在欧盟成员国设立,但根据条例(EU) 2016/679第3(2)条属于条例(EU) 2016/679的适用领土范围,但无需根据条例(EU) 2016/679第27(2)条任命代表:libertés国家信息委员会(CNIL) - 3 Place de Fontenoy, 75007,法国巴黎应担任主管监管机构。
  • 如果数据出口商在联合王国设立,或在英国数据保护法律和法规的适用领土范围内,信息专员办公室应作为主管监管机构。
  • 如果数据出口商在瑞士设立,或在瑞士数据保护法律和法规的适用领土范围内,瑞士联邦数据保护和信息专员应在相关数据传输受瑞士数据保护法律和法规管辖的情况下担任主管监管机构。
  • 2.3.9附表2作为标准合同条款的附件二。

3.英国标准合同条款.对于受英国标准合同条款约束的来自英国的数据传输,英国标准合同条款将以以下方式适用:

  • 3.1通过引用纳入本DPA的EEA标准合同条款也适用于英国的数据传输,但须遵守本附表3。
  • 3.2英国附录将被视为双方之间已签署,EEA scc将被视为按照英国附录中关于英国数据转移的规定进行了修订。

附表4:管辖具体条款

1.加州。

1.1“”的定义资料保护法包括加州消费者隐私法("CCPA)和《加州隐私权法案》("CPRA”)。

1.2条款业务”、“商业目的”、“服务提供者”、“出售,和个人信息“具有CCPA中规定的含义,以及在根据本DPA处理的客户个人数据的背景下。

1.3就客户个人资料而言,智表是CCPA下的服务提供者。

Smartsheet不会(a)出售客户个人数据;(b)为提供服务的特定目的以外的任何目的保留、使用或披露任何客户个人数据,包括为提供服务以外的商业目的保留、使用或披露客户个人数据,包括为向不同的客户提供服务;或(c)在Smartsheet与客户的直接业务关系之外保留、使用或披露客户个人资料。

1.5双方承认并同意,本DPA中所述客户指示授权的客户个人数据处理是Smartsheet提供服务和双方之间直接业务关系的组成部分,并包含在其中。如果Smartsheet合理地认为Smartsheet不能再履行本数据保护法项下的适用义务,则Smartsheet同意通知客户。

1.6尽管本协议或任何与之相关的订单中有任何规定,双方承认并同意Smartsheet对客户个人数据的访问不构成双方就本协议交换的对价的一部分。

在任何在线服务使用数据被视为客户个人数据的范围内,Smartsheet是该等数据的业务,并将根据其隐私声明处理该等数据。为清楚起见,使用数据是指从客户使用服务中获得的分析统计、学习或技术信息,不包括或揭示“客户内容”的内容。这些数据由Smartsheet所有,用于提供支持、保护和/或保护服务。

1.8补救需求.客户有权采取合理和适当的步骤(a)验证Smartsheet是否以符合本DPA的方式使用从客户或代表客户收到的个人信息,以便客户能够履行其在数据保护法下的义务。这项权利可能包括按照本DPA执行客户审计;(b)停止和纠正Smartsheet未经授权使用客户个人数据的行为;以及(c)采取双方合理商定的任何该等其他补救措施。例如,根据本协议,客户可以要求Smartsheet提供文件,以验证Smartsheet不再保留或使用已向客户提出有效删除个人信息请求的数据主体的客户个人信息。

1.9认证.Smartsheet证明其理解并将遵守本DPA和协议中规定的义务,包括对其处理客户个人信息的限制。

2.经济区

2.1“”的定义资料保护法例,包括《一般数据保护条例》(EU 2016/679) (GDPR”)。

2.2当Smartsheet使用子处理器时,它将:

  • 2.2.1要求任何指定的子处理者按照适用的数据保护法要求的标准保护客户个人数据,例如包括GDPR第28(3)条中提到的相同的数据保护义务,特别是提供足够的保证,以实施适当的技术和组织措施,使处理符合GDPR的要求;而且
  • 2.2.2要求任何指定的子处理者书面同意仅在欧盟宣布具有“充分”保护水平的国家处理数据;或只处理与标准合同条款相同的数据。

2.3GDPR处罚.尽管本DPA或本协议中有任何相反规定(包括但不限于任何一方的赔偿义务),任何一方都不对监管机构或政府机构因另一方违反GDPR而根据GDPR第83条对另一方发出或征收的任何GDPR罚款负责。

3.瑞士。

3.1“”的定义资料保护法例,其中包括瑞士联邦数据保护法。

3.2当Smartsheet使用子处理器时,它会

  • 3.2.1要求任何指定的子处理者按照适用的数据保护法要求的标准保护客户个人数据,例如包括GDPR第28(3)条中提到的相同的数据保护义务,特别是提供足够的保证,以实施适当的技术和组织措施的方式,使处理符合GDPR的要求;而且
  • 3.2.2要求任何指定的子处理者书面同意仅在欧盟宣布具有“充分”保护水平的国家处理数据;或只处理与标准合同条款相同的数据。

3.3在《瑞士联邦数据保护法》允许和要求的范围内,数据主体可以向瑞士法院对数据出口商和/或数据进口商提起法律诉讼。

3.4在当时生效的《瑞士联邦数据保护法》版本要求的范围内,标准合同条款的适用性将被解释为将与法律实体有关的数据包括为客户个人数据。

4.联合王国。

4.1本DPA中对GDPR的引用将在一定程度上被视为对英国相应法律的引用(包括英国GDPR和2018年数据保护法)。

4.2当Smartsheet使用子处理器时,它会

  • 4.2.1要求任何指定的子处理者按照适用的数据保护法要求的标准保护客户个人数据,例如包括GDPR第28(3)条中提到的相同的数据保护义务,特别是提供足够的保证,以实施适当的技术和组织措施,使处理符合GDPR的要求;而且
  • 4.2.2要求任何指定的分处理者书面同意仅在欧盟宣布具有“充分”保护水平的国家处理数据;或只处理与标准合同条款相同的数据。

最后更新:2022年10月4日

存档的版本

这些是Smartsheet数据处理附录的遗留版本,仅供参考用途。

查看存档列表