資料處理協議

本資料處理協議(「DPA」)由在適用的訂單或服務協議中被指定為控制者的實體(「控制者」)與總部位於巴西聖保羅州的 PZX(CNPJ: 62.054.402/0001-26)(「處理者」)簽訂,並構成規範 Konn 使用的協議(「協議」)的一部分。

1. 定義

「個人資料」指根據巴西《通用資料保護法》(LGPD,第 13.709/2018 號法律)定義的與已識別或可識別自然人相關的任何資訊。

「處理」指對個人資料執行的任何操作,包括蒐集、儲存、使用、存取、傳輸和刪除。

「控制者」指對個人資料處理具有決策權的自然人或法人。

「處理者」指根據控制者的指示代表控制者處理個人資料的自然人或法人。

「資料主體」指個人資料所涉及的自然人。

「子處理者」指處理者代表控制者處理個人資料所聘用的任何第三方。

「服務」指 Konn 平台以及 PZX 根據協議提供的任何相關功能。

2. 範圍與關係

本 DPA 規範 PZX 作為處理者代表控制者在提供服務過程中對個人資料的處理。

控制者決定處理的目的和方式。PZX 僅根據本 DPA 和協議中規定的控制者指示處理個人資料,以提供和營運服務。

3. 處理的性質、目的與期限

性質:對控制者及其授權使用者提交的內容進行儲存、組織、索引、語義處理、檢索和顯示。

目的:提供 Konn 平台,包括文件管理、知識圖譜、語義搜尋和 AI 輔助上下文功能。

期限:在協議期限內。協議終止後,適用第 12 條的規定。

4. 個人資料與資料主體的類別

根據本 DPA 處理的個人資料類別取決於控制者提交的內容。可能包括但不限於:

• 識別和聯絡資訊:控制者使用者及上傳內容中提及的任何個人的姓名、電子郵件地址和職業資訊;

• 組織資訊:團隊結構、角色和內部溝通;

• 內容資訊:可能包含有關控制者員工、客戶或第三方的個人資料的文件、筆記和知識條目。

控制者承認 PZX 無法控制或預測上傳到服務的內容中包含的個人資料類別。控制者有責任確保提交給服務的所有個人資料具有適用法律下處理的有效法律依據。

資料主體主要是控制者的員工和授權使用者,以及其資料可能出現在控制者上傳內容中的第三方。

5. 處理者的義務

PZX 作為處理者承擔以下義務:

5.1 遵循指示:僅根據控制者的書面指示處理個人資料,適用法律另有要求的除外。如 PZX 認為指示違反適用法律,將在執行前通知控制者。

5.2 保密:確保處理個人資料的授權人員受保密義務約束。

5.3 安全:實施並維護適當的技術和組織措施以保護個人資料,如第 8 條所述。

5.4 子處理者:僅根據第 7 條聘用子處理者。

5.5 資料主體權利:協助控制者回應資料主體的權利請求,如第 9 條所述。

5.6 刪除:在協議終止時刪除或返還個人資料,如第 12 條所述。

5.7 稽核:提供證明遵守本 DPA 所需的資訊,如第 11 條所述。

5.8 事件通知:在知悉本 DPA 項下處理的個人資料涉及的任何已確認的安全事件後,毫不延遲地通知控制者,最遲不超過 72 小時。通知將包括事件的性質、受影響的資料主體的類別和大致數量、可能的後果以及已採取或擬採取的措施。

6. 控制者的義務

控制者承擔以下義務:

6.1 法律依據:確保提交給服務的所有個人資料,包括作為文件或知識內容一部分上傳的第三方資料,具有適用法律下處理的有效法律依據。

6.2 準確性:提供準確和最新的指示,並確保提交的個人資料對預期目的而言充分且相關。

6.3 資料主體權利:處理直接發送給控制者的資料主體請求,並在需要處理者協助時與 PZX 協調。

6.4 合規性:作為控制者遵守所有適用的資料保護法律,包括從資料主體處獲得任何必需的同意。

7. 子處理者

7.1 當前子處理者

控制者授權 PZX 在提供服務過程中聘用以下子處理者:

7.2 未來子處理者

隨著服務的發展,PZX 可能會聘用其他 AI 模型提供商(包括但不限於重排序、嵌入或音訊處理服務提供商)。PZX 將至少提前 30 天通知控制者任何擬新增或替換的子處理者。

控制者可在收到通知後 15 天內以書面形式通知 PZX,基於合理的資料保護理由對新的子處理者提出反對。如雙方無法解決該反對,控制者可提前 30 天書面通知終止協議,無需承擔違約金。

7.3 子處理者義務

PZX 將對所有子處理者施加與本 DPA 中規定的資料保護義務相當的義務。PZX 對子處理者義務的履行向控制者承擔責任。

8. 安全措施

PZX 實施以下技術和組織措施以保護個人資料:

• 資料傳輸(TLS)和靜態加密;

• 租戶隔離:每個控制者的資料與其他租戶在邏輯上分離;

• 基於角色的存取控制,將存取限制為授權人員;

• 安全監控和日誌記錄;

• 定期存取審查。

PZX 可隨時間更新這些措施,前提是更新不會實質性降低整體保護水準。

9. 資料主體權利

PZX 將協助控制者履行其根據適用法律回應資料主體權利請求的義務,包括存取、更正、刪除、可攜性和反對的請求。

控制者負責接收和初步評估資料主體請求。當回應請求需要 PZX 採取行動時,控制者將透過第 13 條中的聯絡管道向 PZX 提交請求。PZX 將在 15 個工作日內回應。

10. 國際資料傳輸

根據本 DPA 處理的個人資料可能被傳輸至並在巴西以外的國家處理,包括 PZX 的子處理者營運的美國。此類傳輸根據 LGPD 第 33 條以適當的契約保障措施進行。

對於受 GDPR 約束的控制者,向歐洲經濟區以外的子處理者的傳輸受適用傳輸機制的約束,包括必要時的標準契約條款。

11. 稽核權

應控制者的書面請求,PZX 將提供證明遵守本 DPA 所合理必需的資訊。PZX 可透過提供最新的認證、安全文件或稽核報告摘要來履行此義務。

控制者每個日曆年最多可請求一次現場稽核,需提前至少 30 天書面通知,費用由控制者承擔。任何稽核必須以不擾亂 PZX 營運且不損害其他客戶資料安全或機密性的方式進行。

12. 期限、終止與資料刪除

本 DPA 在協議期限內保持有效。

協議終止或到期後:

• 控制者將有 30 天 的時間從服務中匯出其資料;

• 在此期限後,PZX 將在 30 天 內刪除根據本 DPA 處理的所有個人資料,包括子處理者持有的副本(在技術可行的情況下);

• PZX 將應控制者的請求提供刪除的書面確認;

• PZX 僅在適用法律要求的範圍內保留超出此期限的個人資料,在此情況下,資料將繼續受本 DPA 保密義務的約束。

13. 責任

各方根據本 DPA 承擔的責任受協議中規定的限制約束。本 DPA 中的任何內容均不限制任何一方對適用資料保護法下不可排除或限制的義務的責任。

14. 適用法律

本 DPA 受巴西聯邦共和國法律的管轄,特別是 LGPD(第 13.709/2018 號法律)。本 DPA 引起的任何無法友好解決的爭議應提交至巴西聖保羅州聖保羅區的法院。

15. 聯絡方式

有關本 DPA、資料主體權利請求或安全事件的事宜:

• 電子郵件:[email protected]

• 網站:pzx.app

資料保護長:

• 姓名:Filipe Albuquerque Brauns Cazelgrandi

• 電子郵件:[email protected]

附錄 A,處理詳情

本附錄補充第 3 條,並可根據雙方書面協議進行更新以反映服務的變化。