V1.9更新了4月12日2021年
本数据处理协议(以下简称“协议”)德通社)由以下双方于最迟签署日期签署(“DPA生效日期“fivetran,Inc。之间(”Fivetran.)和以下定义的客户(“顾客“)。资本化术语有MSA中提供的含义(下面定义),除非此处提供。
鉴于Fivetran和用户是主订阅协议(“MSA.)关于客户试用和/或订阅Fivetran服务;和
然而,Fivetran和客户希望进入这一DPA,这将为缔约方的安全和数据保护义务提供了一些关于MSA的某些规定。
因此,双方同意如下:
1.定义。
1.1”违反“指Fivetran违反安全规定,导致意外或非法破坏、丢失、更改、未经授权披露或访问服务中存储的个人数据。
1.2”CCPA“意味着加州消费者隐私法,其相关法规及其继任者。
1.3”控制器“,”处理器“,”数据主题“和”过程(无论是否大写)具有GDPR赋予的含义(定义如下),并包括CCPA和其他适用法律中的等价术语,在每种情况下均适用于Fivetran根据MSA提供的服务。
1.4”客户数据"指"用户"为提供"服务"而向Fivetran提供的所有资料。
1.5“数据保护法“系指美国、欧盟、欧洲经济区及其成员国、瑞士和英国境内适用于根据MSA处理个人数据的GDPR、英国GDPR、CCPA和所有其他法律法规。
1.6“GDP.“指2016年欧洲议会的一般数据保护规定2016/679和2016年4月27日关于保护个人数据的处理以及这些数据的自由流动,以及废除指令95 /46 / EC。
1.7 “个人资料“:(a)具有数据保护法中关于欧洲经济区、瑞士和英国居民规定的含义,(b)指CCPA中关于加利福尼亚居民定义的个人信息,以及(c)关于其他司法管辖区的居民,包括适用于服务的其他法律项下的同等条款。
1.8 “标准合同条款“是指经欧盟委员会2010年2月5日决定批准的将个人数据传输至第三国处理机构的标准合同条款或根据GDPR通过的任何后续条款。就标准合同条款而言,客户是数据导出者,Fivetran是日期导入者,附录1和附录2要求的信息在本DPA的附录1和附录2中描述。
1.9”英国GDPR“系指欧洲议会和理事会2016年4月27日关于个人数据处理和数据自由流动方面的自然人保护的法规(EU) 2016/679,因为这是英格兰和威尔士法律的一部分,根据《2018年欧盟(脱欧)法案》第3节,苏格兰和北爱尔兰将受到制裁。
2.处理客户数据。
2.1一般加工条件.Fivetran只会处理客户数据,以履行其在MSA下的义务或在客户的事先书面同意。
2.2根据欧盟和英国法律处理.“用户”可能是个人资料的控制人或处理人。Fivetran将作为处理器或子处理器,视情况而定。各方应遵守《数据保护法》规定的适用于其的义务。如果发现用户要求的处理违反了《数据保护法》,Fivetran将立即通知用户。
2.3按照加州法律进行处理.根据CCPA规定,就CCPA适用的个人资料而言:(a) Fivetran不会“出售”(如CCPA所定义)任何个人资料;及(b)除为客户提供服务所需外,Fivetran不会收集、共享或使用任何个人数据。
2.4当地实施协议.如果和当需要满足美国、欧盟、欧洲经济区及其成员国、瑞士和英国以外特定国家的法律、法规和/或当地业务要求时,双方可签订一份当地实施附录,涵盖该协议项下的其他要求MSA或本DPA中尚未涉及的法律。
2.5处理的保密性.Fivetran将客户数据视为客户机密信息(该术语在MSA中定义)。Fivetran将根据MSA的保密义务保护客户数据。
2.6合作与数据主体权利.Fivetran将向客户提供合理及时的协助(费用由客户承担),以使客户能够响应:(a)数据主体的任何请求,以行使其在数据保护法律下的任何权利(包括访问、更正、反对、擦除和数据可移植的权利,如适用);和(b)从数据主体、监管机构或其他第三方收到的与客户数据处理有关的任何其他信函、询问或投诉。如果直接向Fivetran提出任何此类请求、信函、询问或投诉,Fivetran将立即通知客户,并提供相关的全部详情。
2.7客户数据回报和处置.在客户提出书面要求或MSA终止或到期后30天内,Fivetran将:(a)如果客户要求,向客户提供Fivetran拥有但客户尚未拥有的任何客户数据的副本;以及(b)以使该等客户数据不可读及不可检索的方式,安全地销毁Fivetran持有的所有客户数据。尽管有上述规定,Fivetran可保留客户数据的副本:(x)如果Fivetran有单独的法律权利或义务保留部分或全部客户数据;和(y)在备份系统中,直到根据Fivetran的备份策略覆盖或删除备份。
2.8国际转移.Fivetran不得将数据转移到欧洲经济区(“EEA”)之外除非采取必要措施确保传输符合适用的数据保护法律。在不影响上述规定的情况下,客户同意在Fivetran实施符合数据保护法律的传输解决方案的EEA以外的转让,例如:(a)如果此类转让受欧盟委员会适当性决定的约束;(b)通过引用纳入本文的标准合同条款;(c)根据GDPR第46条或数据保护法的其他规定适用另一适当保障措施;或(d)根据GDPR第49条的克减。
2.9子处理.客户同意Fivetran与Fivetran子公司和第三方子处理器合作处理个人数据,以履行MSA规定的Fivetran义务。Fivetran将在其网站上保持一份最新的子处理器列表,该列表将在任何子处理器更改至少10天前更新详细信息,从而使客户有机会反对该等更改。Fivetran将按要求对其指定的任何子处理器施加与本DPA中对Fivetran施加的相同的数据保护条款,以保护个人数据。
2.10数据保护影响评估.对于用户根据数据保护法可能被要求进行的任何数据保护影响评估,Fivetran将向用户提供合理的合作(费用由用户承担)。
3.Fivetran安全措施。
3.1审计.以下是数据保护法下的审计要求。根据客户的要求,在MSA中规定的保密义务或第三方的适当NDA的情况下,Fivetran将向客户提供其最近的SOC 2审计报告摘要。Fivetran还将回答客户的安全问卷,每年不超过一次,并通过电话会议或亲自(由客户承担费用)解决后续问题。此外,客户可联系Fivetran,要求对与个人数据保护有关的程序进行现场审核,但不得超过每年一次。在任何现场审核开始前,客户和Fivetran应就审核的范围、时间、持续时间以及Fivetran在审核过程中发生的差旅费或其他费用的报销率达成一致。考虑到Fivetran所花费的资源,所有报销率都应是合理的。客户应及时通知Fivetran在审核过程中发现的任何不合规信息。
3.2 Fivetran安全职责.Fivetran将:(a)使用程序,技术和行政保障,旨在确保在客户缓存和客户数据来源和目标系统之间的途中时确保客户数据的机密性,安全性,完整性,可用性和隐私;(b)通过服务防范任何未经授权的处理,丢失,使用,披露或获取或访问客户数据。
3.3人员背景调查.在参与可能获得客户数据的任何员工或承包商之前,Fivetran将进行犯罪历史背景检查(适当于在美国以外的国家/地区遵守适用法律)的刑事历史背景检查(根据适用的法律),涵盖就业开始日期之前的五年期间这样的员工。
4.客户安全措施。
在不限制Fivetran在此DPA和MSA中的义务中,客户承认它负责确定如何将服务连接到客户的数据源和数据仓库。Notwithstanding any other provision of this DPA, the MSA or any other agreement related to the Services, Fivetran will have no obligations or liability as to any loss resulting from: (a) Customer’s environment, source and target data repositories, systems or software, or (b) Customer’s security configuration or administration of the Services. In particular:
4.1客户职责.客户负责与其环境相关的安全性,特别是其源系统和目标仓库,以及与其配置相关的安全性。这包括在其系统和网络上实施和管理步骤,技术和管理安全性,足以:(a)确保在源系统和目标系统中的客户数据的机密性,安全性,完整性和隐私;(b)防止违反客户数据。
4.2适当的许可. 客户全权负责为用户提供服务,包括:(a)验证用户的方法(如行业标准的安全用户名/密码策略);(b) 管理管理员权限;(c) 对不再需要访问服务的人员取消授权;(d) 以安全的方式设置任何API使用;以及(e)定期审核用户创建的任何公共访问链接,并在必要时限制创建公共链接的权限。
4.3 Fivetran客户数据源访问权限。为了使用服务,客户必须授权服务访问客户的数据库或源系统。在授予授权时,客户应遵循对客户数据库信息的最低权限原则,尤其是授予对数据库数据的只读访问权限。
5.个人资料违反通知及解决办法。
5.1违约通知.Fivetran将通过电子邮件通知客户任何已确认的违约行为,并将电子邮件发送至以下签名页上的通知电子邮件地址,或如果未提供任何服务,则在Fivetran发现或通知违约行为后,不得无故延迟。Fivetran将进一步采取合理必要的措施进行补救或减轻违约的影响,并将向客户通报与违约相关的所有重大进展。
5.2合作. Fivetran将向客户提供合理的信息和合作,以便客户能够履行其根据适用法律(并按照适用法律要求的时间表)可能承担的任何数据泄露报告义务。
6.杂项。
6.1施工;解释.本DPA并非独立协议,只有在Fivetran与客户之间的MSA有效时才有效。本DPA是MSA的一部分,受其条款和条件管辖,包括其中规定的责任限制。本DPA和MSA是双方相互理解的完整和唯一声明,并取代和取消之前与本协议主题事项相关的所有书面和口头协议和通信。本授权书内的标题仅供参考之用,并不构成本授权书的一部分。
6.2可分割性.如果本DPA的任何条款被裁定无效或不可执行,本DPA将被修改至必要的最低程度,以在尽可能大的程度上达到双方最初预期的相同法律和商业效果。在适用法律允许的范围内,各方放弃使本DPA的任何条款在任何方面被禁止或不可执行的任何法律条款。
6.3修正案;执法权利.对本DPA的任何修改或修订,或对本DPA项下的任何权利的任何放弃,均不得生效,除非本DPA各方以书面形式签署。任何一方未能执行本DPA项下的任何权利不应被解释为放弃该方的任何权利。
6.4转让. 本DPA只能在与MSA规定的有效转让相关的情况下转让。如果MSA由一方根据其条款转让,则该DPA将由同一方自动转让给同一受让人。
6.5适用法律.本DPA将受MSA管辖地区法律管辖并根据其进行解释,除非GDPR或数据保护法另有要求,在这种情况下,本DPA将受爱尔兰共和国法律管辖。
6.6同行. 本DPA可通过传真或电子签名签署和交付,并有两份或多份副本,每份副本均视为原件,但所有副本共同构成同一份文书。
附录1:数据处理描述
由MSA下的FiVetran执行的数据处理活动可以描述如下:
主题和目的
所转移的个人资料须经下列基本处理程序处理:
Fivetran将处理客户个人数据,以便于将数据迁移到客户数据来源到客户的数据仓库中。
数据科目
个人数据传输关注以下类别的数据主题:
使用Fivetran服务的客户员工和顾问。
个人数据存储在客户的数据源中并由Fivetran处理的个人数据。
个人数据类别
转移的个人资料涉及下列类别的资料:
Fivetran可能会访问使用Fivetran服务的用户的雇员和顾问的个人数据。
Fivetran可以访问个人数据,个人数据存储在客户数据源中。
处理的个人数据类型由客户决定,可能包括但不限于:姓名、电子邮件地址、物理地址、ip地址和其他在线标识符、出生日期、电话/手机号码、位置数据。
特殊类别的数据(如果合适)
转移的个人资料涉及下列特别类别的资料:
如上
附录2技术和组织安全措施
Fivetran根据《数据保护法》实施的技术和组织安全措施的描述:
Fivetran安全措施可以在我们的网站上找到//www.miaplace.com/docs/security
安全措施包括:
传输层安全
所有数据通过使用行业标准加密协议(TLS 1.2+)的加密协议传输至Fivetran或从Fivetran传输
Fivetran将未加密请求(HTTP)重定向到加密协议(HTTPS)
物理与环境安全
Fivetran服务托管在谷歌云平台(GCP)和亚马逊网络服务(AWS)中。托管提供商维护物理和环境安全保护,包括:
基于最不特权的原则,物理访问仅限于批准的员工
多因素认证时,批准人员进入设施
闭路电视摄像机(CCTV)的录像存取点
火灾探测和抑制系统
电源,网络和冷却的冗余基础设施
逻辑访问控制
基于最低权限原则,员工对Fivetran服务的逻辑访问是被限制的。所有访问都经过正式批准,并需要多因素身份验证。
如果员工被解雇,或者员工改变了角色,不再需要访问权限,那么访问权限将被删除,并且每季度进行一次审查
访问活动在集中的日志记录基础设施中进行记录,并保护其不受篡改。
合规
Fivetran完成了对其设施、网络和系统的年度独立SOC 2类型2审计。应数据导出者的要求,Fivetran将提供审计结果。
处理客户数据
每个客户的数据管道在主机环境中分别进行管理。除非在//www.miaplace.com/docs/security#retentionofcustomerdata除了在传输过程中,Fivetran不存储客户数据。对数据管道功能所需的客户资源的访问信息在主机存储设施GCP或AWS中进行逻辑分离。
Fivetran不控制主机物理基础架构。Fivetran依赖于多个可用区域的GCP和AWS的容错性质,并且可以在灾难性故障的情况下将平台重新部署到另一个区域。
除非在//www.miaplace.com/docs/security#retentionofcustomerdata,Fivetran将在数据管道配置期间处理客户指定的区域内的客户数据。Fivetran支持的当前地理区域在这里找到://www.miaplace.com/docs/getting-started/ips.