数据处理协议 (DPA)
翻译声明
⚠️ 重要声明:本文件由土耳其语翻译而来。如本翻译与土耳其语原版之间存在任何差异,以土耳其语版本为准。
您可以在以下地址找到土耳其语原始文件:https://evaste.co/tr/legal-center/data-processing-agreement
1. 当事方和定义
1.1. 当事方
数据控制者:客户公司(以下简称"数据控制者"或"客户")
数据处理者:Evaste(Group Taiga旗下),土耳其伊斯坦布尔莱文特,电子邮件:dpa@evaste.co(以下简称"数据处理者"或"Evaste")
1.2. 定义
"适用数据保护法规":指6698号KVKK法、欧盟通用数据保护条例(GDPR)、电子隐私指令及所有相关国家实施法规。
"个人数据":指与已识别或可识别的自然人相关的任何信息。
"处理":指对个人数据执行的任何操作,包括收集、记录、组织、存储、修改、传输、删除等。
"数据控制者":指决定个人数据处理目的和方式的自然人或法人。
"数据处理者":指代表数据控制者处理个人数据的自然人或法人。
"分包处理商":指数据处理者委托执行部分处理活动的第三方。
"数据泄露":指个人数据被意外或非法销毁、丢失、更改、未经授权披露或访问。
"监管机构":指个人数据保护局(KVKK)和/或相关欧盟成员国数据保护机构。
"标准合同条款(SCC)":指欧盟委员会批准的用于国际数据传输的标准合同条款。
2. 合同标的
2.1. 范围
本数据处理协议("DPA")是数据控制者与数据处理者之间签订的主服务协议("主协议")不可分割的一部分,规定了双方在个人数据处理方面的权利和义务。
2.2. 目的
本DPA的目的是:
- 满足GDPR第28条和KVKK的要求
- 确保个人数据的安全合法处理
- 明确界定各方责任
- 保护数据主体的权利
2.3. 优先级
如主协议与本DPA之间存在冲突,在个人数据保护方面,本DPA的条款优先适用。
3. 处理的性质和目的
3.1. 处理目的
数据处理者代表数据控制者处理个人数据,仅限于以下目的:
- 提供Cookie同意管理服务
- 收集、存储和报告同意记录
- Cookie扫描和分类服务
- 隐私政策和告知文本创建服务
- 合规报告服务
- 提供客户支持
- 主协议范围内的其他服务
3.2. 处理期限
处理将在主协议有效期内按照本DPA规定的条件持续进行。
3.3. 处理性质
处理活动包括:收集、记录、组织、结构化、存储、调整、修改、检索、咨询、使用、通过传输披露、传播、提供访问、对齐、合并、限制、删除、销毁。
4. 个人数据类别和数据主体
4.1. 处理的个人数据类别
| 类别 | 说明 |
|---|---|
| 标识数据 | IP地址、Cookie ID、设备ID |
| 同意数据 | 同意偏好、同意时间 |
| 技术数据 | 浏览器类型、操作系统 |
| 行为数据 | 页面访问、交互行为 |
| 地理数据 | 国家、地区(基于IP,近似值) |
4.2. 特殊类别个人数据
本DPA范围内不处理特殊类别个人数据(KVKK第6条、GDPR第9条)。数据控制者承诺不通过Evaste服务收集此类数据。
4.3. 数据主体类别
处理的个人数据涉及以下人员:
- 数据控制者网站的访客
- 数据控制者移动应用的用户
- 数据控制者的客户和潜在客户
4.4. 处理记录量
预计处理记录量:根据主协议中规定的订阅计划而有所不同。
5. 处理者的义务
数据处理者承担以下义务:
5.1. 指令遵从
- 仅按照数据控制者的书面指令处理个人数据。
- 如认为某项指令违反适用数据保护法规,将立即通知数据控制者。
- 主协议和本DPA构成有效的书面指令。
5.2. 保密性
- 确保有权访问个人数据的人员受保密义务约束。
- 确保人员仅访问履行职责所需的数据。
5.3. 安全措施
- 实施GDPR第32条规定的适当技术和组织安全措施。
- 定期评估安全措施的充分性。
- 安全措施详见附件A。
5.4. 分包处理商使用
- 未经数据控制者事先书面同意,不得使用分包处理商。
- 与分包处理商签订包含同等数据保护义务的书面合同。
5.5. 数据主体请求
- 协助数据控制者回应数据主体请求。
- 将直接收到的请求转发给数据控制者。
5.6. 数据泄露通知
- 发现数据泄露后立即(最迟24小时内)通知数据控制者。
- 提供有关泄露的所有信息和文件。
5.7. 审计支持
- 响应数据控制者或其授权代表的合理审计请求。
- 配合监管机构的检查。
5.8. 合同终止
- 合同终止时,根据数据控制者的指示返还或销毁个人数据。
- 法律规定的保留义务除外。
6. 控制者的义务
数据控制者承担以下义务:
6.1. 法律合规
- 声明并保证其具有收集和使用个人数据的合法依据。
- 声明已按要求告知数据主体和/或取得必要同意。
6.2. 指令合法性
- 保证向数据处理者发出的指令符合适用数据保护法规。
- 确保Evaste的Cookie同意管理服务满足法律要求是数据控制者的责任。
6.3. 告知义务
- 向最终用户提供有关通过Evaste服务进行的数据处理的适当隐私通知。
- 在Cookie政策中披露Evaste或相关分包处理商。
6.4. 数据准确性
- 确保提供给Evaste的个人数据准确、最新。
- 在必要时更新数据。
7. 分包处理商的使用
7.1. 一般授权
数据控制者预先批准使用附件B中列出的分包处理商(一般书面授权)。
7.2. 新分包处理商通知
- Evaste将在新增分包处理商前至少30(三十)天书面通知数据控制者。
- 通知将发送至数据控制者的注册电子邮件地址。
- 当前分包处理商列表发布在 https://evaste.co/legal-center/sub-processors
7.3. 异议权
- 数据控制者可在15(十五)天内以合理理由对新分包处理商提出异议。
- 如有异议,双方将进行善意协商。
- 如无法达成解决方案,数据控制者可终止合同。
7.4. 分包处理商合同
- Evaste将与分包处理商签订包含与本DPA同等义务的书面合同。
- Evaste对数据控制者承担分包处理商行为的责任。
8. 国际数据传输
8.1. 欧洲经济区外传输
将个人数据传输至欧洲经济区(EEA)以外时:
- 充分性决定:可向欧盟委员会作出充分性决定的国家传输数据。
- 标准合同条款(SCC):适用欧盟委员会2021年6月4日通过的SCC。
- 补充措施:根据Schrems II判决采取必要的额外技术和组织措施。
8.2. 传输影响评估
- Evaste已针对向美国或其他第三国的传输进行了传输影响评估(TIA)。
- TIA结果可应数据控制者要求共享。
8.3. 土耳其境外传输
根据KVKK第9条,向境外传输:
- 向具有充分保护的国家传输
- 通过包含充分保护承诺的合同传输
- 经明确同意后传输
将采用上述适用的方式。
9. 安全措施
9.1. 技术措施
Evaste实施以下技术安全措施:
- 加密:传输中使用TLS 1.3,存储时使用AES-256
- 访问控制:基于角色的访问控制(RBAC)、多因素身份验证(MFA)、最小权限原则
- 网络安全:Web应用防火墙(WAF)、IDS/IPS系统、DDoS防护
- 应用安全:OWASP Top 10防护、定期安全扫描、渗透测试
9.2. 组织措施
- 保密协议(所有员工)
- 安全意识培训
- 访问授权程序
- 事件响应计划
9.3. 安全措施评估
- 安全措施每年审查一次。
- 根据风险评估进行更新。
- 通过独立审计验证。
10. 审计权
10.1. 审计范围
数据控制者有权进行审计,以验证本DPA义务的遵守情况。
10.2. 审计通知
- 审计请求必须至少提前30(三十)天书面通知。
- 审计范围和期限必须事先确定。
- 审计必须在正常工作时间内进行。
10.3. 审计方式
- 现场审计:由数据控制者或其授权代表进行、由独立审计员进行、合理费用由数据控制者承担
- 远程审计:安全报告和证书审查、问答会议、文档共享
10.4. 现有审计报告
Evaste可应要求提供以下审计报告:
- SOC 2 Type II报告
- ISO 27001证书
- 渗透测试摘要报告
10.5. 保密性
审计过程中获得的信息将被保密,仅用于合规评估目的。
11. 数据主体请求
11.1. 请求转发
- 直接收到的数据主体请求将在未验证身份的情况下转发给数据控制者。
- Evaste将立即通知数据控制者。
11.2. 支持义务
Evaste将协助数据控制者回应以下权利相关的请求:
- 访问权
- 更正权
- 删除权("被遗忘权")
- 限制处理权
- 数据可携权
- 反对权
11.3. 响应时间
Evaste将在10(十)个工作日内提供满足数据主体请求所需的技术支持。
11.4. 技术功能
Evaste平台提供以下自助服务功能:
- 导出同意记录
- 删除特定访客数据
- 数据访问报告
12. 数据泄露通知
12.1. 定义
本DPA项下的"数据泄露"是指Evaste处理的个人数据被意外或非法销毁、丢失、更改、未经授权披露或访问。
12.2. 通知时限
- Evaste将在发现数据泄露后最迟24(二十四)小时内通知数据控制者。
- 通知将发送至:dpa@evaste.co和数据控制者的注册电子邮件地址。
12.3. 通知内容
初始通知将包含以下信息:
- 泄露的性质
- 受影响的数据类别
- 受影响的估计记录数
- 初步发现和已采取的紧急措施
- 联系人
12.4. 详细报告
在初始通知后72小时内将提交包含以下内容的详细报告:
- 泄露的时间线
- 根本原因分析
- 可能后果评估
- 已采取和计划采取的纠正措施
- 受影响数据的完整清单(如可能)
12.5. 合作
Evaste将:
- 在泄露调查中与数据控制者充分合作。
- 提供向监管机构通知所需的信息。
- 支持向受影响的数据主体发出通知。
13. 合同期限和终止
13.1. 期限
本DPA在主协议有效期内有效。
13.2. 终止
- 本DPA随主协议的终止自动终止。
- 如发生严重违约,任何一方可提前30天书面通知终止。
13.3. 持续义务
终止后,以下义务继续有效:
- 保密义务(永久)
- 数据销毁/返还义务(90天内)
- 法定保留义务(在相关期限内)
14. 合同终止时的数据销毁
14.1. 数据返还/销毁选项
合同终止时,根据数据控制者的指示:
- 数据返还:以通用格式(CSV、JSON)传输数据、安全传输方式、30天内完成
- 数据销毁:安全删除方法、符合NIST标准、提供销毁证书
14.2. 保留例外
在以下情况下,数据可保留至法定期限届满:
- 税务法规要求
- 进行中的法律程序
- 监管机构要求
14.3. 销毁证书
数据销毁完成后,Evaste将提供书面证书,说明已销毁的数据和使用的方法。
15. 责任和赔偿
15.1. 责任分配
- 各方对因违反自身义务而造成的损失负责。
- 数据处理者仅在未遵守向其发出的指令或违反GDPR直接规定的数据处理者义务的范围内承担责任。
15.2. 赔偿
- 双方应就因违反适用数据保护法规而产生的行政罚款和数据主体索赔相互赔偿。
- 赔偿要求根据过错程度确定。
15.3. 责任限制
主协议中的责任限制适用于本DPA,但以下情况除外:
- 故意或重大过失情况下不适用。
- 法律法规限制的情况下不适用。
16. 保密
16.1. 保密义务
- 双方应对本DPA项下获得的所有信息保密。
- 保密信息仅用于合同目的。
16.2. 例外
保密义务不适用于以下情况:
- 公开信息
- 因法律要求披露的信息
- 经事先书面同意共享的信息
16.3. 期限
保密义务在合同期内及合同终止后永久有效。
17. 一般条款
17.1. 适用法律
本DPA受土耳其共和国法律管辖。GDPR范围内的处理活动还适用欧盟数据保护法规。
17.2. 管辖法院
伊斯坦布尔法院和执行办公室对争议具有管辖权。
17.3. 修订
- 本DPA的修订必须采用书面形式。
- 因法规变更而需要的更新将立即实施。
17.4. 可分割性
任何条款被认定无效不影响其他条款的效力。
17.5. 不弃权
未行使任何权利不构成对该权利的放弃。
17.6. 完整协议
本DPA及其附件构成关于个人数据处理的完整协议。
18. 附件
本DPA不可分割的附件包括:
- 附件A:技术和组织安全措施
- 附件B:已批准的分包处理商列表
- 附件C:欧盟标准合同条款(SCC)
关于标准合同条款:欧盟委员会2021年6月4日执行决定(EU) 2021/914项下的标准合同条款已纳入本DPA。选定的模块:模块2(数据控制者 → 数据处理者)
联系信息
Evaste (Group Taiga)
地址:土耳其伊斯坦布尔莱文特
DPA咨询:dpa@evaste.co
数据保护官:dpo@evaste.co
一般咨询:info@evaste.co
网站:https://evaste.co
数据处理协议 (DPA)
翻译声明
⚠️ 重要声明:本文件由土耳其语翻译而来。如本翻译与土耳其语原版之间存在任何差异,以土耳其语版本为准。
您可以在以下地址找到土耳其语原始文件:https://evaste.co/tr/legal-center/data-processing-agreement
1. 当事方和定义
1.1. 当事方
数据控制者:客户公司(以下简称"数据控制者"或"客户")
数据处理者:Evaste(Group Taiga旗下),土耳其伊斯坦布尔莱文特,电子邮件:dpa@evaste.co(以下简称"数据处理者"或"Evaste")
1.2. 定义
"适用数据保护法规":指6698号KVKK法、欧盟通用数据保护条例(GDPR)、电子隐私指令及所有相关国家实施法规。
"个人数据":指与已识别或可识别的自然人相关的任何信息。
"处理":指对个人数据执行的任何操作,包括收集、记录、组织、存储、修改、传输、删除等。
"数据控制者":指决定个人数据处理目的和方式的自然人或法人。
"数据处理者":指代表数据控制者处理个人数据的自然人或法人。
"分包处理商":指数据处理者委托执行部分处理活动的第三方。
"数据泄露":指个人数据被意外或非法销毁、丢失、更改、未经授权披露或访问。
"监管机构":指个人数据保护局(KVKK)和/或相关欧盟成员国数据保护机构。
"标准合同条款(SCC)":指欧盟委员会批准的用于国际数据传输的标准合同条款。
2. 合同标的
2.1. 范围
本数据处理协议("DPA")是数据控制者与数据处理者之间签订的主服务协议("主协议")不可分割的一部分,规定了双方在个人数据处理方面的权利和义务。
2.2. 目的
本DPA的目的是:
- 满足GDPR第28条和KVKK的要求
- 确保个人数据的安全合法处理
- 明确界定各方责任
- 保护数据主体的权利
2.3. 优先级
如主协议与本DPA之间存在冲突,在个人数据保护方面,本DPA的条款优先适用。
3. 处理的性质和目的
3.1. 处理目的
数据处理者代表数据控制者处理个人数据,仅限于以下目的:
- 提供Cookie同意管理服务
- 收集、存储和报告同意记录
- Cookie扫描和分类服务
- 隐私政策和告知文本创建服务
- 合规报告服务
- 提供客户支持
- 主协议范围内的其他服务
3.2. 处理期限
处理将在主协议有效期内按照本DPA规定的条件持续进行。
3.3. 处理性质
处理活动包括:收集、记录、组织、结构化、存储、调整、修改、检索、咨询、使用、通过传输披露、传播、提供访问、对齐、合并、限制、删除、销毁。
4. 个人数据类别和数据主体
4.1. 处理的个人数据类别
| 类别 | 说明 |
|---|---|
| 标识数据 | IP地址、Cookie ID、设备ID |
| 同意数据 | 同意偏好、同意时间 |
| 技术数据 | 浏览器类型、操作系统 |
| 行为数据 | 页面访问、交互行为 |
| 地理数据 | 国家、地区(基于IP,近似值) |
4.2. 特殊类别个人数据
本DPA范围内不处理特殊类别个人数据(KVKK第6条、GDPR第9条)。数据控制者承诺不通过Evaste服务收集此类数据。
4.3. 数据主体类别
处理的个人数据涉及以下人员:
- 数据控制者网站的访客
- 数据控制者移动应用的用户
- 数据控制者的客户和潜在客户
4.4. 处理记录量
预计处理记录量:根据主协议中规定的订阅计划而有所不同。
5. 处理者的义务
数据处理者承担以下义务:
5.1. 指令遵从
- 仅按照数据控制者的书面指令处理个人数据。
- 如认为某项指令违反适用数据保护法规,将立即通知数据控制者。
- 主协议和本DPA构成有效的书面指令。
5.2. 保密性
- 确保有权访问个人数据的人员受保密义务约束。
- 确保人员仅访问履行职责所需的数据。
5.3. 安全措施
- 实施GDPR第32条规定的适当技术和组织安全措施。
- 定期评估安全措施的充分性。
- 安全措施详见附件A。
5.4. 分包处理商使用
- 未经数据控制者事先书面同意,不得使用分包处理商。
- 与分包处理商签订包含同等数据保护义务的书面合同。
5.5. 数据主体请求
- 协助数据控制者回应数据主体请求。
- 将直接收到的请求转发给数据控制者。
5.6. 数据泄露通知
- 发现数据泄露后立即(最迟24小时内)通知数据控制者。
- 提供有关泄露的所有信息和文件。
5.7. 审计支持
- 响应数据控制者或其授权代表的合理审计请求。
- 配合监管机构的检查。
5.8. 合同终止
- 合同终止时,根据数据控制者的指示返还或销毁个人数据。
- 法律规定的保留义务除外。
6. 控制者的义务
数据控制者承担以下义务:
6.1. 法律合规
- 声明并保证其具有收集和使用个人数据的合法依据。
- 声明已按要求告知数据主体和/或取得必要同意。
6.2. 指令合法性
- 保证向数据处理者发出的指令符合适用数据保护法规。
- 确保Evaste的Cookie同意管理服务满足法律要求是数据控制者的责任。
6.3. 告知义务
- 向最终用户提供有关通过Evaste服务进行的数据处理的适当隐私通知。
- 在Cookie政策中披露Evaste或相关分包处理商。
6.4. 数据准确性
- 确保提供给Evaste的个人数据准确、最新。
- 在必要时更新数据。
7. 分包处理商的使用
7.1. 一般授权
数据控制者预先批准使用附件B中列出的分包处理商(一般书面授权)。
7.2. 新分包处理商通知
- Evaste将在新增分包处理商前至少30(三十)天书面通知数据控制者。
- 通知将发送至数据控制者的注册电子邮件地址。
- 当前分包处理商列表发布在 https://evaste.co/legal-center/sub-processors
7.3. 异议权
- 数据控制者可在15(十五)天内以合理理由对新分包处理商提出异议。
- 如有异议,双方将进行善意协商。
- 如无法达成解决方案,数据控制者可终止合同。
7.4. 分包处理商合同
- Evaste将与分包处理商签订包含与本DPA同等义务的书面合同。
- Evaste对数据控制者承担分包处理商行为的责任。
8. 国际数据传输
8.1. 欧洲经济区外传输
将个人数据传输至欧洲经济区(EEA)以外时:
- 充分性决定:可向欧盟委员会作出充分性决定的国家传输数据。
- 标准合同条款(SCC):适用欧盟委员会2021年6月4日通过的SCC。
- 补充措施:根据Schrems II判决采取必要的额外技术和组织措施。
8.2. 传输影响评估
- Evaste已针对向美国或其他第三国的传输进行了传输影响评估(TIA)。
- TIA结果可应数据控制者要求共享。
8.3. 土耳其境外传输
根据KVKK第9条,向境外传输:
- 向具有充分保护的国家传输
- 通过包含充分保护承诺的合同传输
- 经明确同意后传输
将采用上述适用的方式。
9. 安全措施
9.1. 技术措施
Evaste实施以下技术安全措施:
- 加密:传输中使用TLS 1.3,存储时使用AES-256
- 访问控制:基于角色的访问控制(RBAC)、多因素身份验证(MFA)、最小权限原则
- 网络安全:Web应用防火墙(WAF)、IDS/IPS系统、DDoS防护
- 应用安全:OWASP Top 10防护、定期安全扫描、渗透测试
9.2. 组织措施
- 保密协议(所有员工)
- 安全意识培训
- 访问授权程序
- 事件响应计划
9.3. 安全措施评估
- 安全措施每年审查一次。
- 根据风险评估进行更新。
- 通过独立审计验证。
10. 审计权
10.1. 审计范围
数据控制者有权进行审计,以验证本DPA义务的遵守情况。
10.2. 审计通知
- 审计请求必须至少提前30(三十)天书面通知。
- 审计范围和期限必须事先确定。
- 审计必须在正常工作时间内进行。
10.3. 审计方式
- 现场审计:由数据控制者或其授权代表进行、由独立审计员进行、合理费用由数据控制者承担
- 远程审计:安全报告和证书审查、问答会议、文档共享
10.4. 现有审计报告
Evaste可应要求提供以下审计报告:
- SOC 2 Type II报告
- ISO 27001证书
- 渗透测试摘要报告
10.5. 保密性
审计过程中获得的信息将被保密,仅用于合规评估目的。
11. 数据主体请求
11.1. 请求转发
- 直接收到的数据主体请求将在未验证身份的情况下转发给数据控制者。
- Evaste将立即通知数据控制者。
11.2. 支持义务
Evaste将协助数据控制者回应以下权利相关的请求:
- 访问权
- 更正权
- 删除权("被遗忘权")
- 限制处理权
- 数据可携权
- 反对权
11.3. 响应时间
Evaste将在10(十)个工作日内提供满足数据主体请求所需的技术支持。
11.4. 技术功能
Evaste平台提供以下自助服务功能:
- 导出同意记录
- 删除特定访客数据
- 数据访问报告
12. 数据泄露通知
12.1. 定义
本DPA项下的"数据泄露"是指Evaste处理的个人数据被意外或非法销毁、丢失、更改、未经授权披露或访问。
12.2. 通知时限
- Evaste将在发现数据泄露后最迟24(二十四)小时内通知数据控制者。
- 通知将发送至:dpa@evaste.co和数据控制者的注册电子邮件地址。
12.3. 通知内容
初始通知将包含以下信息:
- 泄露的性质
- 受影响的数据类别
- 受影响的估计记录数
- 初步发现和已采取的紧急措施
- 联系人
12.4. 详细报告
在初始通知后72小时内将提交包含以下内容的详细报告:
- 泄露的时间线
- 根本原因分析
- 可能后果评估
- 已采取和计划采取的纠正措施
- 受影响数据的完整清单(如可能)
12.5. 合作
Evaste将:
- 在泄露调查中与数据控制者充分合作。
- 提供向监管机构通知所需的信息。
- 支持向受影响的数据主体发出通知。
13. 合同期限和终止
13.1. 期限
本DPA在主协议有效期内有效。
13.2. 终止
- 本DPA随主协议的终止自动终止。
- 如发生严重违约,任何一方可提前30天书面通知终止。
13.3. 持续义务
终止后,以下义务继续有效:
- 保密义务(永久)
- 数据销毁/返还义务(90天内)
- 法定保留义务(在相关期限内)
14. 合同终止时的数据销毁
14.1. 数据返还/销毁选项
合同终止时,根据数据控制者的指示:
- 数据返还:以通用格式(CSV、JSON)传输数据、安全传输方式、30天内完成
- 数据销毁:安全删除方法、符合NIST标准、提供销毁证书
14.2. 保留例外
在以下情况下,数据可保留至法定期限届满:
- 税务法规要求
- 进行中的法律程序
- 监管机构要求
14.3. 销毁证书
数据销毁完成后,Evaste将提供书面证书,说明已销毁的数据和使用的方法。
15. 责任和赔偿
15.1. 责任分配
- 各方对因违反自身义务而造成的损失负责。
- 数据处理者仅在未遵守向其发出的指令或违反GDPR直接规定的数据处理者义务的范围内承担责任。
15.2. 赔偿
- 双方应就因违反适用数据保护法规而产生的行政罚款和数据主体索赔相互赔偿。
- 赔偿要求根据过错程度确定。
15.3. 责任限制
主协议中的责任限制适用于本DPA,但以下情况除外:
- 故意或重大过失情况下不适用。
- 法律法规限制的情况下不适用。
16. 保密
16.1. 保密义务
- 双方应对本DPA项下获得的所有信息保密。
- 保密信息仅用于合同目的。
16.2. 例外
保密义务不适用于以下情况:
- 公开信息
- 因法律要求披露的信息
- 经事先书面同意共享的信息
16.3. 期限
保密义务在合同期内及合同终止后永久有效。
17. 一般条款
17.1. 适用法律
本DPA受土耳其共和国法律管辖。GDPR范围内的处理活动还适用欧盟数据保护法规。
17.2. 管辖法院
伊斯坦布尔法院和执行办公室对争议具有管辖权。
17.3. 修订
- 本DPA的修订必须采用书面形式。
- 因法规变更而需要的更新将立即实施。
17.4. 可分割性
任何条款被认定无效不影响其他条款的效力。
17.5. 不弃权
未行使任何权利不构成对该权利的放弃。
17.6. 完整协议
本DPA及其附件构成关于个人数据处理的完整协议。
18. 附件
本DPA不可分割的附件包括:
- 附件A:技术和组织安全措施
- 附件B:已批准的分包处理商列表
- 附件C:欧盟标准合同条款(SCC)
关于标准合同条款:欧盟委员会2021年6月4日执行决定(EU) 2021/914项下的标准合同条款已纳入本DPA。选定的模块:模块2(数据控制者 → 数据处理者)
联系信息
Evaste (Group Taiga)
地址:土耳其伊斯坦布尔莱文特
DPA咨询:dpa@evaste.co
数据保护官:dpo@evaste.co
一般咨询:info@evaste.co
网站:https://evaste.co