Data Processing Addendum (DPA) – URLZ.li / APPHUBIC LTD

数据处理附录(DPA)

最后更新:2025年8月27日
本 DPA 构成您与本机构之间协议的一部分(“顾客“ 或者 ”控制器“) 和 APPHUBIC有限公司,交易为 URLZ.li (“处理器”)。本模板旨在符合英国《通用数据保护条例》(GDPR)以及适用情况下的欧盟《通用数据保护条例》(GDPR)。此模板仅供参考,不构成法律建议。

各方

处理器: APPHUBIC LTD,公司编号 16438256,注册办事处位于 20 Wenlock Road,伦敦,英国,N1 7GU,交易名称为“URLZ.li”。

控制器: 在主要服务协议、订单或与 URLZ.li 的帐户注册中确定的客户。

1. 主题及时长

1.1 本 DPA 管辖处理者代表控制者就 URLZ.li 服务所进行的个人数据处理。

1.2 除非法律另有规定,处理应在主协议期限和任何续订期间持续进行。

2. 定义

诸如此类的术语 个人资料, 加工, 控制器, 处理器, 数据主体, 和 监管机构 具有英国 GDPR 和(如适用)欧盟 GDPR 中赋予的含义。

3. 性质、范围和目的

3.1 性质和目的: 提供链接缩短、管理和分析服务,包括 API 访问、点击记录和相关功能,详情请参阅 附件一.

3.2 数据和数据主体的类别: 如下所述 附件一;通常可能包括 IP 地址、用户代理、点击时间戳和有限的帐户数据。

3.3 处理方应仅根据控制方的书面指示处理个人数据。

4. 处理者义务

  • 仅根据控制者的书面指示处理个人数据,包括有关国际转移的指示。
  • 确保有权处理个人数据的人员遵守保密义务。
  • 实施并维持适当的技术和组织措施(见 附件二).
  • 在发现个人数据泄露后,应立即通知控制者(第 9 条)。
  • 协助控制者处理数据主体请求(第 10 节)、安全、DPIA 以及在需要时与当局的磋商。
  • 根据法律要求保存处理记录。
  • 避免在没有第 6 节所规定的保证的情况下任命子处理器。

5. 控制者义务

  • 提供合法、有记录的指示并确保处理具有有效的法律依据。
  • 除非明确书面同意,否则不得传输特殊类别的数据。
  • 立即通知处理者影响处理指令或合法依据的变更。
  • 负责对数据主体的通知、同意和透明度。

6. 子处理器

  • 控制者授权处理者聘请子处理者进行托管、分析、电子邮件传递、客户支持、计费和相关服务。
  • 处理者对子处理者施加的义务应不低于本 DPA 的保护程度,并对其履行情况负责。
  • 最新的子处理者列表可应要求提供,或通过处理者网站获取。处理者将发出重大变更通知,以便控制者基于合理理由提出异议。

7. 国际转移

当个人数据被转移到英国或欧洲经济区以外时,处理方应实施适当的保障措施,包括英国国际数据传输协议 (IDTA)、欧盟标准合同条款 (SCC) 以及必要的补充措施。

8. 安全措施

处理者应实施与风险相适应的技术和组织措施,包括 附件二 (例如,传输加密、访问控制、日志记录、定期审查)。

9. 个人数据泄露

处理者在意识到个人数据泄露后,应立即通知控制者,提供当时合理可用的信息,并在必要时配合支持控制者履行通知当局和数据主体的义务。

10. 数据主体权利

考虑到处理的性质,处理者应尽可能通过适当的技术和组织措施协助控制者履行其响应行使数据主体权利的请求的义务。

11. 审计与合规

在合理的事先通知后,处理方应提供必要信息,以证明其合规性,并允许控制方或其委托的独立审计机构进行审计,但须遵守保密性、安全性和业务连续性的约束。在适当情况下,可以使用远程审计和第三方证书/报告来满足审计要求。

12. 退货和删除

主协议终止或到期后,处理方应删除个人数据或将其返还给控制方,除非法律要求保留。删除操作可通过安全擦除流程和标准备份轮换进行。

13. 责任与赔偿

除适用法律禁止的范围外,各方在本 DPA 项下的责任均受主协议中规定的排除和限制的约束。

14. 适用法律和管辖权

本数据保护协议 (DPA) 受英格兰和威尔士法律管辖。双方均接受英格兰和威尔士法院的专属管辖权。

15. 优先顺序

如果本 DPA 与主协议之间存在冲突,则就此处的主题而言,本 DPA 应为优先。

附件

附件一——处理细节

  • 主题: URLZ.li平台和API的运行。
  • 期间: 在主协议期限内以及此后法律要求的期限内。
  • 性质和目的: 链接缩短、重定向、分析和基于 API 的功能;用于安全/滥用预防的日志记录。
  • 数据主体类别: 控制者的最终用户;点击缩短链接的访问者;控制者的员工/管理员。
  • 个人数据类别: 通常包括 IP 地址、用户代理、语言、设备类型、推荐人、时间戳、账户标识符(姓名/邮箱)、账单元数据(通过支付服务提供商获取的标记/付款状态)。不包含特殊类别的数据。
  • 特殊类别: 非故意。除非明确书面同意,否则控制者不得提交此类数据。
  • 处理操作: 收集、存储、聚合、分析、检索、传输、删除。

附件二——技术和组织措施(TOM)

  • 访问控制: 基于角色的访问、最小特权、管理帐户的 MFA。
  • 加密: 传输数据的 TLS;凭证/密钥的加密秘密管理。
  • 可用性和弹性: 备份、监控、警报、灾难恢复程序。
  • 日志记录和监控: 集中日志、异常检测、速率限制、滥用控制。
  • 开发安全: 代码审查、依赖关系扫描、变更管理。
  • 数据最小化和保留: 有限的数据收集;保留时间表;安全删除。
  • 供应商管理: 处理器 DPA 与子处理器;定期审查。
  • 员工保障: 保密承诺;安全培训。
  • 事件响应: 记录的程序;违规通知工作流程。

附件三——授权子处理者

最新的子处理器列表可应要求提供 support@urlz.li. 典型类别包括:

  • 云托管和 CDN 提供商;
  • 支付处理器;
  • 电子邮件传递和客户支持平台;
  • 分析和监控工具;
  • 安全和日志服务。

处理者将向子处理者提供重大变更的合理提前通知,以允许控制者基于合理理由提出反对。

执行

本 DPA 通过引用纳入双方之间的主要协议,并在执行该协议、注册帐户或继续使用服务(如适用)时视为接受。

接触

APPHUBIC有限公司
20 Wenlock Road,伦敦,英国,N1 7GU
公司编号:16438256
电子邮件: support@urlz.li

© APPHUBIC有限公司 — URLZ.li • 此 DPA 旨在确保透明度,应由法律顾问进行审查。