数据处理协议

1. 定义

• "个人数据"指与已识别或可识别的自然人相关的任何信息，定义以适用数据保护法律为准。
• "处理"指对个人数据执行的任何操作，包括收集、存储、使用、披露和删除。
• "控制方"指确定处理目的和方式的客户。
• "处理方"指代表控制方处理个人数据的 Get UI Flow。
• "子处理方"指处理方委托代表控制方处理个人数据的第三方。
• "数据主体"指其个人数据正在被处理的个人。
• "适用数据保护法"指所有适用的数据保护相关法律，包括 GDPR、UK GDPR 和 CCPA 等。

2. 范围与目的

本 DPA 适用于处理方在向控制方提供 Get UI Flow 平台过程中对个人数据的所有处理。处理详情如下：

• 处理主题：提供 Get UI Flow 企业工作流自动化平台。
• 期限：控制方与处理方之间服务协议的有效期。
• 性质与目的：托管、处理和展示工作流数据；用户认证和账户管理；事务性通信。
• 数据主体类别：控制方的员工、承包商和最终用户。
• 个人数据类别：姓名、电子邮箱、公司隶属关系、技术标识符（IP、用户代理）以及用户输入的工作流数据。

3. 处理方义务

处理方应：

• 仅按照控制方的书面指示处理个人数据，除非适用法律另有要求。
• 确保被授权处理个人数据的人员受保密义务约束。
• 实施适当的技术和组织措施，确保与风险相适应的安全水平。
• 协助控制方履行响应数据主体请求的义务。
• 协助控制方确保遵守数据泄露通知义务。
• 在服务协议终止时，根据控制方的选择删除或归还所有个人数据。
• 提供证明合规所需的所有信息，并允许审计。

4. 安全措施

处理方实施以下安全措施：

• 加密：传输中数据使用 TLS 1.3；静态数据使用 AES-256（通过 Cloudflare 基础设施）。
• 认证：Argon2id 密码哈希、基于 JWT 的会话管理（含轮换和重用检测）。
• 访问控制：基于角色的访问控制，遵循最小权限原则。
• 审计日志：所有安全相关事件均记录时间戳，账户删除时进行匿名化处理。
• PII 脱敏：电子邮箱在传输至错误监控服务（Sentry）前经 SHA-256 哈希处理。
• 备份：所有数据库表每日自动备份至加密对象存储（R2），每周进行恢复验证。
• 事件响应：文档化的事件响应程序，遏制目标为 15 分钟内，通知时限为 72 小时内。

5. 子处理方

控制方授权处理方委托以下子处理方。处理方将在添加或更换子处理方前至少 30 天通知控制方，以便控制方提出异议。

6. 国际数据传输

当个人数据被传输至欧洲经济区、英国或其他有数据传输限制的司法管辖区以外时，处理方确保采取适当的保护措施：

• 经欧盟委员会通过的标准合同条款（SCCs）（欧盟委员会实施决定 (EU) 2021/914）。
• 英国国际数据传输协议（IDTA），适用于从英国的数据传输。
• 子处理方 DPA 包含等效的数据传输机制承诺。

7. 数据主体权利

处理方应：

• 及时通知控制方直接收到的任何数据主体请求。
• 协助控制方响应数据主体的访问、更正、删除、可携性、限制和反对请求。
• 在可行的情况下提供自助工具（通过 /api/user/export 导出数据，通过 /api/user/delete 删除账户）。
• 除经控制方授权或法律要求外，不直接回复数据主体请求。

8. 数据泄露通知

发生个人数据泄露时，处理方应：

• 在发现泄露后不迟于 48 小时内无不当延迟地通知控制方。
• 向控制方提供足够的信息以履行其在适用法律下的通知义务，包括：
  • 泄露的性质（受影响的数据主体和记录的类别及大致数量）。
  • 泄露可能产生的后果。
  • 已采取或拟采取的应对泄露和减轻影响的措施。
• 配合控制方的调查和补救工作。

9. 审计权

控制方有权审计处理方对本 DPA 的合规性。审计应：

• 每个日历年不超过一次，除非发生泄露或合规问题。
• 提前至少 30 天书面通知。
• 在正常工作时间内进行，并以最小化干扰的方式开展。
• 费用由控制方承担，除非审计发现重大不合规。

处理方将提供相关文件、记录和人员以支持合理的审计请求。

10. 终止与数据归还

服务协议终止时：

• 处理方应根据控制方的选择，在 30 天内归还或删除所有个人数据。
• 控制方可在账户关闭前通过数据导出端点以结构化、机器可读的格式（JSON）请求获取其数据副本。
• 处理方可在适用法律要求的范围内保留个人数据，并继续适用本 DPA 的保护措施。
• 匿名化的审计日志（已移除 user_id）可出于平台安全目的保留，因为它们不再构成个人数据。

联系方式

如对本 DPA 有任何疑问或需要签署副本，请联系 legal@getuiflow.com。