PhotoRobot
信托中心
法律
PhotoRobot 数据处理协议(DPA)
PhotoRobot 服务条款
PhotoRobot 许可协议
PhotoRobot 隐私文档概述
PhotoRobot 隐私政策
PhotoRobot GDPR 隐私声明(第13条)
PhotoRobot 数据处理协议(DPA)
PhotoRobot 可接受使用政策(AUP)
PhotoRobot 服务水平协议(SLA)
PhotoRobot 软件的服务水平协议(SLA)
PhotoRobot硬件的服务水平协议(SLA)
PhotoRobot 客户支持条款
PhotoRobot Cookie 政策
PhotoRobot 营销同意政策
PhotoRobot 子处理器列表
PhotoRobot 法律定义与术语表
最后编辑:2025年12月29日

PhotoRobot 数据处理协议(DPA)

本文档代表PhotoRobot数据处理协议:版本1.0 — PhotoRobot版uni-Robot有限公司,捷克共和国。

1. 政党

本数据处理协议(“DPA”)是在以下时间签订的:

财务主管(客户)
已签订PhotoRobot服务条款并使用该服务的个人或法人实体。

以及

处理器:
uni-Robot有限公司
沃迪奇科娃710/31
110 00 布拉格 1
捷克共和国
公司编号:01478061
增值税编号:CZ01478061
电子邮件:legal@photorobot.com

以下统称为 “当事方”

本DPA补充了PhotoRobot的服务条款,适用于PhotoRobot代表客户处理个人数据时。

2. 处理主题与性质

PhotoRobot(“处理器”)提供基于云的服务、本地软件扩展、固件管理和托管基础设施,用于处理客户(“控制器”)上传的图像、元数据及相关数字内容。

处理内容包括:

  • 收藏
  • 存储
  • 传输
  • 元数据提取
  • CL ↔ 云之间的同步
  • 托管客户上传内容
  • 日志与诊断的创建
  • 备用行动

处理完全由 控制者根据其文档说明执行。

3. 持续时间

该延期起诉协议在双方合同关系期间有效,之后只要处理方代表财务主管存储或处理任何个人数据。

4. 个人数据及数据主体类别

4.1. 个人数据的类型

根据服务的使用方式,处理中的数据可能包括:

  • 身份信息(姓名、姓氏、公司)
  • 联系方式(电子邮件、电话)
  • 视觉内容(图片、视频)
  • 与上传内容相关的元数据
  • 日志数据、IP地址、技术标识符
  • 项目级数据
  • 凭据(哈希)、访问令牌

处理方 要求或有意处理特殊类别的数据(GDPR第9条)。

4.2. 数据主体类别

  • 客户员工
  • 客户的客户或合作伙伴
  • 授权用户
  • 用户上传的视觉内容中出现了什么

客户需完全负责确保数据主体的数据合法收集。

5. 控制器指令

处理方仅处理个人数据:

  1. 根据管制员的详细说明,
  2. 根据提供服务的要求,
  3. 以确保系统的安全性、完整性和可用性,
  4. 根据欧盟或捷克法律的要求。

如果处理器认为某条指令非法,处理器必须通知控制器。

6. 保密原则

处理方确保所有被授权处理个人数据的人员:

  • 受保密义务约束,
  • 接受过适当的培训,
  • 仅在控制者的指令下处理数据。

7. 子处理器

处理器使用某些第三方(“子处理器”)来支持服务。

7.1. 批准的子处理器

控制器授权处理器接入以下类别子处理器:

  • 云基础设施提供商(例如, 谷歌云平台
  • 电子邮件投递服务提供商
  • 分析提供商
  • 票务系统
  • 安全监控服务
  • 备份与灾难恢复系统

完整列表保存在 PhotoRobot 子处理器列表中,可能会更新。

7.2. 变更通知

处理方应至少提前 15天 通知主管任何拟对子处理商的变更,允许主管基于合理理由提出异议。

8. 国际数据传输

当子处理器或基础设施位于欧洲经济区外时,处理器确保:

  • 标准合同条款的适用(SCC 2021),
  • 补充的技术和组织保障,
  • 最小化访问和加密,
  • 由基础供应商进行合规审计。

Google Cloud Platform 提供:

  • ISO 27001、ISO 27017、ISO 27018
  • SOC 1/2/3报告
  • GDPR合规文档

详情可见 https://cloud.google.com/security

9. 安全措施

处理商应实施行业标准的技术和组织措施(TOM),包括:

9.1. 技术措施

  • 传输中数据的TLS加密
  • 加密访问令牌的安全存储
  • 隔离处理环境
  • 密码哈希
  • 速率限制与入侵检测系统
  • 多层防火墙
  • 物理数据中心安全(通过谷歌云)

9.2. 组织措施

  • 基于角色的访问控制
  • 访问日志与监控
  • 数据处理的内部政策
  • 员工保密义务
  • 定期安全培训
  • 供应商风险管理

完整TOM名单可按需查询。

10. 数据主体权利

处理器协助控制器响应:

  • 访问请求
  • 整流
  • 删除
  • 限制
  • 数据可移植性
  • 反对意见

处理商应将数据主体的任何直接请求转发给控制者,且不得有不当延误。

11. 数据泄露通知

如发生个人数据泄露,处理方应通知控制者:

  • 不需拖延
  • 包括GDPR第33条要求的所有信息,
  • 并在修复完成前持续提供更新。

控制员仍负责通知相关部门及受影响人员。

12. 删除或返回数据

合同终止时:

  • 处理方在 30天后删除客户数据,
  • 除非主管另有指示,
  • 除非法律要求保留。

备份在其正常生命周期内会被覆盖。

13. 审计

控制者有权:

  • 收到证明符合GDPR的文件
  • 请求提交TOM报告
  • 进行合理的审计,限制为每年一次
  • 依赖第三方认证(Google Cloud 的 ISO/SOC 报告)

审计不得危及安全或干扰运营。

14. 责任

双方责任遵循服务条款。
处理商仅对自身违反GDPR义务导致的违规行为负责。

15. 管辖法律与管辖权

该延期起诉协议受 捷克共和国法律管辖。

争议应由 捷克共和国布拉格的法院解决。

16. 标准合同条款(SCC)

如有需要, SCC 2021(模块2:控制器→处理器) 作为该DPA的附件适用。

PhotoRobot:

  • 通过引用纳入SCC,
  • 包含所有强制性条款,
  • 实施补充技术措施
  • 确保向欧洲经济区外子处理器的转让合规。

如有要求,最高法院可完整提供。

17. 接触

uni-Robot有限公司
沃迪奇科娃710/31
110 00 布拉格 1
捷克共和国

电子邮件:legal@photorobot.com