数据处理协议

本数据处理协议("DPA")由在适用的订单或服务协议中被指定为控制者的实体("控制者")与总部位于巴西圣保罗州的 PZX(CNPJ: 62.054.402/0001-26)("处理者")签订,并构成规范 Konn 使用的协议("协议")的一部分。

1. 定义

"个人数据"指根据巴西《通用数据保护法》(LGPD,第 13.709/2018 号法律)定义的与已识别或可识别自然人相关的任何信息。

"处理"指对个人数据执行的任何操作,包括收集、存储、使用、访问、传输和删除。

"控制者"指对个人数据处理具有决策权的自然人或法人。

"处理者"指根据控制者的指示代表控制者处理个人数据的自然人或法人。

"数据主体"指个人数据所涉及的自然人。

"子处理者"指处理者代表控制者处理个人数据所聘用的任何第三方。

"服务"指 Konn 平台以及 PZX 根据协议提供的任何相关功能。

2. 范围与关系

本 DPA 规范 PZX 作为处理者代表控制者在提供服务过程中对个人数据的处理。

控制者决定处理的目的和方式。PZX 仅根据本 DPA 和协议中规定的控制者指示处理个人数据,以提供和运营服务。

3. 处理的性质、目的与期限

性质:对控制者及其授权用户提交的内容进行存储、组织、索引、语义处理、检索和显示。

目的:提供 Konn 平台,包括文档管理、知识图谱、语义搜索和 AI 辅助上下文功能。

期限:在协议期限内。协议终止后,适用第 12 条的规定。

4. 个人数据与数据主体的类别

根据本 DPA 处理的个人数据类别取决于控制者提交的内容。可能包括但不限于:

• 识别和联系信息:控制者用户及上传内容中提及的任何个人的姓名、电子邮件地址和职业信息;

• 组织信息:团队结构、角色和内部沟通;

• 内容信息:可能包含有关控制者员工、客户或第三方的个人数据的文档、笔记和知识条目。

控制者承认 PZX 无法控制或预测上传到服务的内容中包含的个人数据类别。控制者有责任确保提交给服务的所有个人数据具有适用法律下处理的有效法律依据。

数据主体主要是控制者的员工和授权用户,以及其数据可能出现在控制者上传内容中的第三方。

5. 处理者的义务

PZX 作为处理者承担以下义务:

5.1 遵循指示:仅根据控制者的书面指示处理个人数据,适用法律另有要求的除外。如 PZX 认为指示违反适用法律,将在执行前通知控制者。

5.2 保密:确保处理个人数据的授权人员受保密义务约束。

5.3 安全:实施并维护适当的技术和组织措施以保护个人数据,如第 8 条所述。

5.4 子处理者:仅根据第 7 条聘用子处理者。

5.5 数据主体权利:协助控制者响应数据主体的权利请求,如第 9 条所述。

5.6 删除:在协议终止时删除或返还个人数据,如第 12 条所述。

5.7 审计:提供证明遵守本 DPA 所需的信息,如第 11 条所述。

5.8 事件通知:在知悉本 DPA 项下处理的个人数据涉及的任何已确认的安全事件后,毫不延迟地通知控制者,最迟不超过 72 小时。通知将包括事件的性质、受影响的数据主体的类别和大致数量、可能的后果以及已采取或拟采取的措施。

6. 控制者的义务

控制者承担以下义务:

6.1 法律依据:确保提交给服务的所有个人数据,包括作为文档或知识内容一部分上传的第三方数据,具有适用法律下处理的有效法律依据。

6.2 准确性:提供准确和最新的指示,并确保提交的个人数据对预期目的而言充分且相关。

6.3 数据主体权利:处理直接发送给控制者的数据主体请求,并在需要处理者协助时与 PZX 协调。

6.4 合规性:作为控制者遵守所有适用的数据保护法律,包括从数据主体处获得任何必需的同意。

7. 子处理者

7.1 当前子处理者

控制者授权 PZX 在提供服务过程中聘用以下子处理者:

7.2 未来子处理者

随着服务的发展,PZX 可能会聘用其他 AI 模型提供商(包括但不限于重排序、嵌入或音频处理服务提供商)。PZX 将至少提前 30 天通知控制者任何拟添加或替换的子处理者。

控制者可在收到通知后 15 天内以书面形式通知 PZX,基于合理的数据保护理由对新的子处理者提出反对。如双方无法解决该反对,控制者可提前 30 天书面通知终止协议,无需承担违约金。

7.3 子处理者义务

PZX 将对所有子处理者施加与本 DPA 中规定的数据保护义务相当的义务。PZX 对子处理者义务的履行向控制者承担责任。

8. 安全措施

PZX 实施以下技术和组织措施以保护个人数据:

• 数据传输(TLS)和静态加密;

• 租户隔离:每个控制者的数据与其他租户在逻辑上分离;

• 基于角色的访问控制,将访问限制为授权人员;

• 安全监控和日志记录;

• 定期访问审查。

PZX 可随时间更新这些措施,前提是更新不会实质性降低整体保护水平。

9. 数据主体权利

PZX 将协助控制者履行其根据适用法律响应数据主体权利请求的义务,包括访问、更正、删除、可移植性和反对的请求。

控制者负责接收和初步评估数据主体请求。当响应请求需要 PZX 采取行动时,控制者将通过第 13 条中的联系渠道向 PZX 提交请求。PZX 将在 15 个工作日内响应。

10. 国际数据传输

根据本 DPA 处理的个人数据可能被传输至并在巴西以外的国家处理,包括 PZX 的子处理者运营的美国。此类传输根据 LGPD 第 33 条以适当的合同保障措施进行。

对于受 GDPR 约束的控制者,向欧洲经济区以外的子处理者的传输受适用传输机制的约束,包括必要时的标准合同条款。

11. 审计权

应控制者的书面请求,PZX 将提供证明遵守本 DPA 所合理必需的信息。PZX 可通过提供最新的认证、安全文档或审计报告摘要来履行此义务。

控制者每个日历年最多可请求一次现场审计,需提前至少 30 天书面通知,费用由控制者承担。任何审计必须以不扰乱 PZX 运营且不损害其他客户数据安全或机密性的方式进行。

12. 期限、终止与数据删除

本 DPA 在协议期限内保持有效。

协议终止或到期后:

• 控制者将有 30 天 的时间从服务中导出其数据;

• 在此期限后,PZX 将在 30 天 内删除根据本 DPA 处理的所有个人数据,包括子处理者持有的副本(在技术可行的情况下);

• PZX 将应控制者的请求提供删除的书面确认;

• PZX 仅在适用法律要求的范围内保留超出此期限的个人数据,在此情况下,数据将继续受本 DPA 保密义务的约束。

13. 责任

各方根据本 DPA 承担的责任受协议中规定的限制约束。本 DPA 中的任何内容均不限制任何一方对适用数据保护法下不可排除或限制的义务的责任。

14. 适用法律

本 DPA 受巴西联邦共和国法律的管辖,特别是 LGPD(第 13.709/2018 号法律)。本 DPA 引起的任何无法友好解决的争议应提交至巴西圣保罗州圣保罗区的法院。

15. 联系方式

有关本 DPA、数据主体权利请求或安全事件的事宜:

• 电子邮件:[email protected]

• 网站:pzx.app

数据保护官:

• 姓名:Filipe Albuquerque Brauns Cazelgrandi

• 电子邮件:[email protected]

附录 A,处理详情

本附录补充第 3 条,并可根据双方书面协议进行更新以反映服务的变化。