数据处理附录

服务条款

隐私

其他协议

内容大学

政策

杂项

如欲将以下条款纳入您与Smartsheet Inc.就访问和使用订阅服务达成的协议,请填写此表格形式

本资料处理附录("德通社)被纳入Smartsheet Inc.(")之间的协议并构成其协议的一部分。内容(")以及对客户访问和使用在线服务("协议”)。本协议中未定义的大写术语具有本协议中所赋予的含义。

1.定义。在本DPA中,下列术语(及其衍生词)具有下列含义:

  • 下属“”系指拥有或控制、由本协议一方拥有或控制、或与本协议一方共同控制或拥有的任何个人或实体,其中“控制”被定义为通过拥有具有投票权的证券、合同或其他方式,直接或间接拥有指导或促成某一实体的管理和政策走向的权力。

  • 控制器“指决定处理个人资料的目的及方法的个人或实体。

    客户“指已签订本协议并同意将本DPA纳入本协议的个人或实体。”

    客户的内容"指由客户或用户上传或提交给在线服务,并由Smartsheet代表客户处理的任何数据、文件附件、文本、图像、报告、个人信息或其他内容。

    客户个人资料“指包含在客户内容中的个人数据。”

    数据泄露“指因违反安全而导致意外或非法破坏、丢失、更改、未经授权披露或访问客户内容的行为。”

    数据保护法律在适用于一方当事人的范围内,指任何国家关于处理客户个人数据的数据保护或隐私法律。

    数据对象“指有身份或可辨认身份的自然人。

    ”或“聚会,派对“指客户和/或智能表格(视情况而定)。

    个人资料“指与数据主体或家庭有关、识别、描述或能够与数据主体或家庭相关联的任何信息。”

    过程“指对个人资料所进行的任何操作或一套操作,不论是否以自动方式进行,例如收集、记录、组织、构造、储存、改编、更改、检索、咨询、使用、对齐、组合、限制、删除、销毁或通过传输、传播或以其他方式披露。”

    处理器“”指代表控制人处理个人数据的个人或实体。

    专业服务"系指由Smartsheet提供并由客户在订单或工作说明书中指定购买的与在线服务有关的实施、配置、集成、培训、咨询和其他专业服务。

    服务“”指订阅服务、专业服务,以及由Smartsheet提供或控制并与订阅服务一起使用的任何其他在线服务或应用程序。

    内容的人员"指获Smartsheet授权处理客户个人数据的任何个人。

    Subprocessor"系指由Smartsheet委任或代表其处理客户个人数据的任何个人或实体(包括任何第三方,但不包括Smartsheet人员)。

    订阅服务"指由Smartsheet提供并由客户购买的基于订阅的在线工作协作服务和应用程序。

    监督权力“指根据《数据保护法》建立或认可的独立主管公共机关。

    用户"系指经"用户"或其他用户授权或邀请根据《协议》条款访问和使用"在线服务"的任何个人。

2.角色的政党。

2.1.客户和Smartsheet同意,在双方之间,客户是控制人,而Smartsheet是客户个人数据的处理人,且双方均自行负责遵守适用于其的数据保护法,并履行其对第三方(包括数据主体和监管机构)的任何相关义务。

2.2.客户为控制器

  • 2.2.1.客户须对客户个人资料的准确性以及获取和处理客户个人资料的方法的合法性负全责。

    2.2.2.客户要求Smartsheet处理客户个人数据的指示将遵守数据保护法,并经正式授权,并确保所有必要的权利、许可和同意。

2.3内容随着处理器

  • 2.3.1.Smartsheet只会在以下情况处理客户个人数据:(a)根据客户的书面指示或授权用户通过在线服务发起的;(b)必要时提供服务并防止或解决在线服务的技术问题或违反本协议或本DPA的行为;或(c)根据适用法律的要求。附表1(处理客户个人资料的详情)载列智能表处理客户个人资料的说明。

    2.3.2.Smartsheet将确保Smartsheet人员:(a)仅在履行本DPA和本协议项下的处理义务所需的范围内访问客户个人数据;(b)受本DPA和本协议中规定的客户个人数据的保密义务的约束;及(c)接受有关处理客户个人资料的适当培训。

    2.3.3.除本DPA或本协议另有允许的情况外,Smartsheet不会以金钱或其他代价向第三方披露客户个人数据。

    2.3.4.应客户书面要求,且在客户无法自行获取相关信息的情况下,智库将在数据保护影响评估和与监管部门磋商方面,向客户提供合理的协助,同时考虑到智库处理客户个人数据的性质以及智库可获得的信息。

    2.3.5.Smartsheet不会评估客户内容的类型或实质,以确定其是否属于客户个人数据或是否受任何特定法律要求的约束。

3.安全。

3.1.Smartsheet将按照本协议实施和维护旨在保护和保护“客户内容”(包括其返还和删除)的技术、实体和组织措施和控制。

3.2.“用户”承认,“用户”通过其“用户”:(a)控制“用户内容”的类型和内容;和(b)设置用户访问“用户内容”的权限;因此,客户有责任审查和评估在线服务记录在案的功能是否符合《数据保护法》规定的与客户个人数据相关的客户所要求的安全义务。

3.3."用户"承认," Smartsheet "的安全措施可能会在合理通知"用户"后不时更新,以反映流程改进或实践的变化(但这些修改并不会显著降低" Smartsheet "在生效日所反映的义务)。"用户"应全权负责独立评估和实施其认为必要的可用安全配置设置,以满足"用户"在适用的数据保护法下的要求和法律义务。

4.个子处理器。

4.1.子处理器将在www.santa-greenland.com/legal/subprocessors并可根据本DPA不时由Smartsheet进行更新。客户授权智能表联属公司作为子处理器,并根据本第4条的条款和条件使用任何已确定的子处理器。

4.2.Smartsheet将对每一个Subprocessor进行适当的尽职调查,并与每一个Subprocessor达成书面协议,其中包括处理客户个人数据的条款,其实质上与本DPA中规定的条款一样具有保护意义。

4.3.Smartsheet对Subprocessor的行为和疏忽负责,包括一个Subprocessor对另一个Subprocessor的任命。

4.4.新的个子处理器;正确的对象

  • 4.4.1.客户必须填写可于www.santa-greenland.com/legal/subprocessor-notification通过Smartsheet接收新的Subprocessor预约通知。提交该等表格后,如果Smartsheet打算指定新的子处理器,则Smartsheet将事先书面通知用户;但前提是,如果为了维持在线服务或客户内容的可用性和安全性,有必要直接涉及新的子处理器,则Smartsheet应在任命新子处理器后立即以书面形式通知"用户"。
  • 4.4.2.如"客户"以与"客户个人资料处理"有关的合理理由反对使用新的"分处理器","客户"必须在收到预约通知后十五(15)天内以书面形式通知" Smartsheet ";否则,Smartsheet将视为用户对新子处理器的授权。在收到客户发出的反对通知后,Smartsheet将尽合理努力向客户提供在线服务的更改,或就在线服务的商业合理配置或使用提出建议,以避免新的子处理器处理客户个人数据。如果Smartsheet无法根据上述努力解决客户的异议,则Smartsheet应在收到客户的异议通知后十五(15)天内通知客户。随后,用户可在Smartsheet通知后三十(30)天内书面通知Smartsheet,终止本DPA和任何受影响的服务,并就相关服务终止部分收取预付费用的退款。

5.数据请求。

5.1.Smartsheet将通过在线服务向客户提供访问客户个人数据的权限,以允许客户回复数据主体有关客户个人数据的请求。

5.2.对于从数据主体直接收到的与客户个人数据有关的任何请求,Smartsheet将不得无故延误地以书面形式通知客户,并且Smartsheet可以直接回应数据主体的请求:(a)确认该请求与客户有关;(b)根据适用法律的要求;或(c)经客户书面同意。

5.3.应客户书面要求,且在客户无法自行查阅客户个人资料的情况下,Smartsheet将向客户提供合理协助,协助客户查阅客户个人资料,以便客户回应该等资料当事人的要求。在法律允许的情况下,客户将负责支付因Smartsheet在正常业务范围之外提供协助而产生的任何费用。

6.数据被破坏。

6.1.当Smartsheet发现数据泄露时,应立即以书面形式通知客户。

6.2.Smartsheet将根据其安全事件政策和程序进行调查,并在必要时减轻或补救数据泄露("违反管理”)。

6.3.根据智库的法律义务,智库将向客户提供因其违约管理而可获得的信息,包括事件的性质、披露的特定信息(如已知),以及任何相关的缓解措施或补救措施("违反信息”),要求“用户”遵守因数据违反而应遵守的《数据保护法》规定的义务。

6.4.如果客户要求除违约信息外,还提供与数据违约有关的具体信息,应客户书面要求,且在客户无法自行获取额外信息的情况下,Smartsheet将按客户要求与客户合理合作,试图收集和提供该等额外信息。

7.审计的权利。

7.1.Smartsheet将使用外部审计师每年审计和核实其安全措施和控制的充分性("审计”)。审核将:(a)由独立第三方安全专业人员执行,费用由Smartsheet选择并承担;(b)包括根据AICPA SOC2标准或实质上等同于AICPA SOC2的其他替代标准,对在线服务的安全措施和控制进行测试,从而至少生成一份SOC2报告或实质性同等内容;(c)包括在线服务的渗透测试,并生成渗透测试报告。审计署所编制的报告("报告根据本协议的保密义务或双方同意的保密协议,应在每年不超过一年的时间内根据书面要求提供给客户。为明确起见,每份报告仅讨论报告发布时在线服务的一般商业可用性;随后发布的服务,如果包含在报告中,将会出现在该报告的下一年度迭代中。

7.2.如果“客户”为遵守“数据保护法”而要求提供“报告”之外的信息,在“客户”自行承担费用并提出书面要求的情况下,并且在“客户”无法自行获取额外信息的情况下,“智库”将允许并配合“客户”委托的第三方审计员进行与“智库”处理客户个人数据相关的审计(“客户审计”),提供:

  • 7.2.1.客户向Smartsheet提供合理的提前通知,包括审核员的身份以及客户审核的预期日期和范围;
  • 7.2.2.Smartsheet通过通知客户批准审核员,但该批准不得无故拒绝;
  • 7.2.3.客户和审核员的行为是避免在该等客户审核过程中对Smartsheet的经营场所、设备或业务造成任何损害、伤害或中断;而且
  • 7.2.4.除监管机构另有要求外,"客户"在任何日历年度内只发起一次"客户"审核。

8.国际规定。

8.1.双方承认并同意,使用智能表处理客户个人数据可能涉及客户个人数据从客户向智能表的国际转移("国际转移”)。客户承认,自生效日起,Smartsheet的主要加工活动在美国,详情见//www.santa-greenland.com/data-access-and-transfers

8.2如果Smartsheet处理的客户个人数据源自附表4(管辖权特定条款)中所列的适用数据保护法之一并受其保护,则其中规定的关于适用管辖权的条款将在本DPA条款之外适用。

8.3如果客户对服务的使用需要有效的转移机制才能将客户个人数据从某个司法管辖区(即欧洲经济区(经济区)、英国、瑞士或附表4所列的任何其他司法管辖区)。转移机制”),则适用附表3(跨境转运机制)的条款及条件。

8.4如果任何传输机制不能作为国际传输的合法数据传输机制,双方应按照本DPA第9.8条(数据保护法的变更)行事。

9.将军。

9.1.修正案;豁免.除非本协议另有明确规定,本DPA仅可通过各方授权代表签署的书面协议进行修改。对任何违反本DPA行为的豁免仅在书面形式下有效,且该等豁免不构成或被解释为对任何后续违约行为的豁免。

9.2.遣散费.如果本DPA的任何条款被认为是不可执行的,则该条款应被解释为修改至使其可执行(如法律允许)所需的最低限度,或忽略该条款(如法律不允许),且本DPA的其余内容将保持书面有效。尽管有上述规定,如果修改或忽视不可执行的条款会导致本DPA的基本目的失效,则整个DPA将被视为无效。

9.3.优先顺序.关于本DPA的主题事项,如果本DPA与双方之间的任何其他书面协议(包括本协议)发生冲突,则本DPA将管辖和控制本DPA。双方之间可能已经存在的任何数据处理协议将被本DPA全部取代和取代。

9.4.通知.除非本协议另有明确规定,双方应根据本协议提供本DPA项下的通知,但所有此类通知均可通过电子邮件发送。

9.5.适用法律及管辖权.除数据保护法禁止外,本DPA受本协议中规定的法律管辖,对于本DPA项下产生的任何争议,本DPA各方特此提交本协议中规定的管辖权和地点选择(如有)。

9.6.执行.无论客户或其联属公司或第三方是否为客户个人数据控制人,除非法律另有要求:(a)只有客户有权对Smartsheet执行本DPA的任何条款;以及(b) Smartsheet在本DPA项下的义务,包括任何适用通知,仅针对客户。

9.7.责任.就本DPA的各方而言,各方在本DPA项下的责任和救济均受本协议中规定的总责任限制和损害赔偿除外条款的约束。

9.8.数据保护法的变化.如果由于数据保护法的变更或随后适用的数据保护法的变更而要求对本DPA进行任何变更,则任一方均可就该法律的变更向另一方发出书面通知。随后,双方将善意地讨论并协商本DPA的任何必要变更,以便在切实可行的情况下尽快同意并实施这些变更或其他变更,前提是该等变更就服务的功能和性能以及Smartsheet的业务运营而言是合理的。

9.9.保留的权利.尽管本DPA中有任何相反规定:(a)对于可能对Smartsheet或其客户构成安全风险或为适用法律或合同义务所禁止的信息的披露,Smartsheet保留拒绝披露的权利;以及(b) Smartsheet在本DPA项下发出的通知、回应或提供的信息或合作并不表示Smartsheet承认任何过错或责任。

附表1:处理客户个人资料的详情

本附表1包括《GDPR》第28(3)条所要求的处理个人资料的某些细节。

处理个人资料的事宜及期限:

  • 个人数据处理的主题和持续时间在本协议和本DPA中有所规定。

处理个人资料的性质及目的

  • 使用Smartsheet处理个人数据是为便利或支持本协议和本DPA项下所述的服务的提供而合理要求的。

个人资料类别及资料当事人类别:

  • 个人数据的类型和与个人数据有关的数据主体的类别由客户自行决定和控制。

控制人的义务和权利:

  • 客户的义务和权利在本协议和本DPA中有所规定。

附表2:技术和组织安全措施

在适用的情况下,本附表2将作为标准合同条款的附件二。

Smartsheet的技术和组织安全措施全文载于//www.santa-greenland.com/legal/security

附表三:跨境转移机制

1.定义。

1.1。”标准合同条款"根据特定客户特有的情况,指下列任何一种情况:

  • 1.1.1.EEA标准合同条款;而且
  • 1.1.2.英国标准合同条款。

1.2。”EEA标准合同条款”或“欧盟批准的癌指欧盟委员会第2021/914号决定批准的标准合同条款。

1.3.”英国标准合同条款"指信息专员办公室(ICO)根据2022年2月2日《2018数据保护法》第s119A条发布并提交给议会的模板附录,该附录根据‎18条进行了修订。

2.EEA标准合同条款.对于符合EEA标准合同条款的欧洲经济区数据传输,EEA标准合同条款将以下列方式适用:

2.1.模块一(控制器到控制器)将适用于Smartsheet作为控制器处理在线服务使用数据。

2.2.模块二(控制器至处理器)适用于以下情况:客户是客户个人数据的控制器,而Smartsheet是客户个人数据的处理器;

2.3.对于每个模块,如适用:

  • 2.3.1.第7条中,可选对接条款不适用;
  • 2.3.2.在第9条中,选项2将适用,而提供通知的过程和子处理器更改的反对时间将在本DPA第4条(子处理器)中规定;
  • 2.3.3.在第11条中,可选语言将不适用;
  • 2.3.4.在第17条中,EEA标准合同条款将受德国法律管辖。
  • 2.3.5.在第18(b)条中,争议将在德国法院解决。
  • 2.3.6.附件一A部分:
  • 数据出口商:客户和客户的授权关联公司。
  • 联系方式:客户帐户所有者的电子邮件地址,或发送到客户选择用于接收隐私通信的电子邮件地址。
  • 数据导出者角色:本DPA第2节概述了数据导出者的角色。
  • 签署和日期:通过签署DPA,数据出口商将被视为自生效日期签署了纳入本合同的这些标准合同条款,包括其附件。
  • 数据进口商:Smartsheet Inc.
  • 联系方式:Smartsheet Privacy - privacy@smartsheet.com;Smartsheet安全- security@smartsheet.com。
  • 数据导入器角色:本DPA第2节概述了数据导入器的角色。
  • 签署及日期:数据进口商签署DPA即视为已于生效日期签署了纳入本合同的标准合同条款,包括其附件。
  • 2.3.7.附件一,B部分:
  • 数据主体的类别见附表1。
  • 所传输的敏感数据在附表1中描述。
  • 转让的频率是协议期间的连续基础。
  • 处理的性质见附表1。
  • 处理的目的见附表1。
  • 处理的期间见附表1。
  • 对于转移到子处理器,处理的主题、性质和持续时间概述在//www.santa-greenland.com/legal/subprocessors
  • 3.3.8.在附件一C部分中:根据第13条,主管监管机关确定如下:
  • 如果数据出口商位于欧盟成员国:负责确保数据出口商遵守法规(EU) 2016/679关于数据转移的监管机构应作为主管监管机构。
  • 如果数据出口商不在欧盟成员国,但根据第3(2)条属于法规(EU) 2016/679的适用区域范围,并根据法规(EU) 2016/679第27(1)条指定了一名代表,则法规(EU) 2016/679第27(1)条含义内的代表应在其成员国的监管机构中成立,作为主管监管机构。
  • 如果数据出口商不是建立在欧盟成员国,但根据其第3(2)条属于法规(EU) 2016/679的适用区域范围,但无需根据法规(EU) 2016/679:国家信息委员会libertés (CNIL) - 3 Place de Fontenoy, 75007巴黎,法国,第27(2)条指定代表。
  • 如果数据出口商设在英国或在英国数据保护法律和法规适用的领土范围内,信息专员办公室将作为主管监管机构。
  • 如果数据出口商在瑞士设立或在瑞士数据保护法律和法规适用的领土范围内,瑞士联邦数据保护和信息专员应作为主管监管机构,因为相关数据转移受瑞士数据保护法律和法规管辖。
  • 2.3.9.附表2作为标准合同条款的附件二。

3.如果本合同标准条款与本DPA中的任何其他条款(包括附录4(管辖区域特定条款))之间存在冲突,则以适用的合同标准条款的规定为准。

附表4:管辖具体条款

1.加州。

1.1.的定义数据保护法律包括《加州消费者隐私法》("CCPA”)。

1.2.术语“业务”、“商业目的”、“服务提供者”、“出售”、“个人信息具有中华公法所赋予的含义。

1.3.在客户个人资料方面,Smartsheet是《消费者权益保护法》下的服务供应商。

1.4.Smartsheet不会(a)出售客户个人数据;(b)为提供服务的特定目的以外的任何目的保留、使用或披露任何客户个人数据,包括为提供服务以外的商业目的保留、使用或披露客户个人数据;或(c)在Smartsheet与客户之间的直接业务关系之外保留、使用或披露客户个人数据。

1.5.双方承认并同意,本DPA中所述的客户指示授权的客户个人数据处理,是Smartsheet提供服务以及双方之间的直接业务关系的组成部分,并包含在Smartsheet中。

1.6.尽管本协议或任何订单中有任何与之相关的内容,但双方承认并同意,Smartsheet对客户个人数据的访问并不构成双方就本协议交换的对价的一部分。

1.7.如果任何在线服务使用数据被视为客户个人数据,则Smartsheet将根据其隐私通知处理该等数据。

2.经济区

2.1.的定义数据保护法律"包括一般数据保护条例(EU 2016/679) ("GDPR”)。

2.2.当Smartsheet使用子处理器时,它将:

  • 2.2.1.要求任何指定的子处理器以适用的数据保护法要求的标准保护客户个人数据,例如包括GDPR第28(3)条中提到的相同的数据保护义务,特别是提供足够的保证以实施适当的技术和组织措施,使处理符合GDPR的要求;而且
  • 2.2.2.要求任何指定的子处理器以书面形式同意只在欧盟宣称拥有“足够”保护水平的国家处理数据;或只按相当于标准合同条款的条款处理数据。

2.3.GDPR处罚.尽管本DPA或本协议中有任何相反规定(包括但不限于任一方的赔偿义务),但任一方均不应对监管机构或政府机构根据GDPR第83条对另一方违反GDPR的行为发出或征收的任何GDPR罚款负责。

3.瑞士。

3.1.的定义数据保护法律包括《瑞士联邦数据保护法》。

3.2.当Smartsheet与Subprocessor交战时,它会

  • 3.2.1.要求任何指定的子处理器以适用的数据保护法要求的标准保护客户个人数据,例如包括GDPR第28(3)条中提到的相同的数据保护义务,特别是提供足够的保证以实施适当的技术和组织措施,使处理符合GDPR的要求;而且
  • 3.2.2.要求任何指定的子处理器以书面形式同意只在欧盟宣称拥有“足够”保护水平的国家处理数据;或只按相当于标准合同条款的条款处理数据。

4.联合王国。

4.1.在本DPA中提及GDPR将在此程度上被视为提及英国的相应法律(包括英国GDPR和2018年数据保护法)。

4.2.当Smartsheet与Subprocessor交战时,它会

  • 4.2.1.要求任何指定的子处理器以适用的数据保护法要求的标准保护客户个人数据,例如包括GDPR第28(3)条中提到的相同的数据保护义务,特别是提供足够的保证以实施适当的技术和组织措施,使处理符合GDPR的要求;而且
  • 4.2.2.要求任何指定的子处理器以书面形式同意只在欧盟宣称拥有“足够”保护水平的国家处理数据;或只按相当于标准合同条款的条款处理数据。

最后更新日期:2021年10月4日

存档的版本

这些是智能表数据处理附录的遗留版本,仅供参考用途。

查看档案列表