数据处理附录

1.目的及范围

为了根据《协议》向您提供“产品”，Code42代表您处理客户数据，客户数据可能包括个人数据。本DPA反映了双方根据数据保护法的要求就处理个人数据达成的协议。在与本协议发生任何冲突的情况下，本DPA将控制。

2.定义

2.1”控制器”指确定处理个人资料的目的和方法的实体。

2.2”资料保护法例指适用于本协议项下个人数据处理的任何适用的数据保护法律和法规，包括欧盟、欧洲经济区及其成员国、瑞士、英国和美国及其各州的适用法律和法规。

2.3”数据对象”指与个人资料有关的人士。

2.4”个人资料“指任何识别、涉及、描述、合理地能够与已识别或可识别的人相关联或可以直接或间接地与之相关联的客户数据。

2.5”处理”、“流程"或"过程”指对个人数据进行的任何操作或一组操作，无论是否通过自动化手段，例如收集、记录、组织、存储、改编、修改、检索、查询、使用、披露、传播、删除或销毁。

2.6“处理器”指代表数据控制者处理个人数据的实体。

2.7”标准合同条款“指的是控制者对处理者的标准合同条款，这些条款涉及将个人数据转移到未显示出足够数据保护水平的第三国，这是欧盟委员会2021年6月4日第2021/914号决定批准的，在本文中引用。”

2.8”Sub-processor指Code42的关联公司或为Code42处理个人数据的其他第三方服务提供商。

3.个人资料的处理

3.1数据处理角色。在你和Code42之间，你是控制器，Code42是处理器。您控制根据本协议处理的数据主体和个人数据的类别，并仅为商业目的向Code42提供此类个人数据。Code42不知道或控制您为处理提供的个人数据。您对个人资料的准确性、质量和合法性以及您获取该等个人资料的方式负全部责任。

3.2数据处理说明。本DPA和协议是您对Code42处理个人数据的完整和最终指示。您和Code42必须就任何附加或替代指令达成一致。如果Code42认为您的指示违反了数据保护法，Code42将通知您。Code42将根据本协议(包括本协议中包含的所有文件)处理个人数据，并遵守您向Code42提供的与本协议一致的其他合理指示。Code42不会出售个人资料。Code42不会收集、保留、使用或披露个人数据(A)用于本协议规定的特定目的以外的任何目的，或(B)您与Code42之间的直接业务关系之外的任何目的。在适用法律要求的情况下，Code42将披露个人数据，在这种情况下，除非Code42被禁止这样做，否则Code42将提前通知您。Code42证明其理解并将遵守本第3条(个人资料的处理)中的限制。

4.资料当事人的权利

4.1更正、阻止和删除。如果您不具备数据保护法所要求的修改、阻止或删除个人数据的能力，您可以向Code42提供书面指示，由其代表您行事。Code42将在技术可行和法律允许的范围内遵循您的指示。如果该等协助超出本协议项下提供的服务，您将支付Code42提供该等协助的费用。

4.2数据主体请求。如获许可，Code42会在资料当事人要求查阅、更正、修改或删除该资料当事人的个人资料时，立即通知阁下。未经您事先书面同意，Code42将不会回应任何资料当事人的请求，除非确认该请求与您有关。

4.3合作与援助。Code42将协助您处理您收到的与Code42处理个人数据相关的任何请求、投诉、通知或通信