数据处理附录

0. 概述和签署方式

本数据处理附录（“DPA”）构成 Cuttalo srl（意大利，“处理者”） 与使用 DepScope 付费层的客户（“控制者”）之间服务条款的一部分。 通过订阅 Pro 或 Team 计划并接受我们的 条款， 视为控制者已签署本 DPA。可向 [email protected] 请求会签 PDF。

1. 定义

• GDPR：欧盟 2016/679 条例。
• 个人数据、处理、数据主体、控制者、处理者、子处理者：如 GDPR 第 4 条所定义。
• 服务：根据服务条款由 Cuttalo 提供的 DepScope 服务。
• 客户个人数据：Cuttalo 代表控制者在提供服务过程中处理的个人数据。

2. 角色和范围

对于通过服务处理的客户个人数据，Cuttalo 作为代表控制者的处理者。 每一方均应遵守 GDPR 和适用数据保护法下的义务。

3. 主题、性质、目的、持续时间

• 主题：提供服务及相关支持。
• 性质和目的：运行 API、存储账户数据、发送身份验证邮件、计量使用、防止滥用、计费。
• 持续时间：协议期间，加上 隐私政策 中规定的保留期。
• 数据类型：邮箱、API 密钥指纹、IP 地址（哈希）、User-Agent、请求元数据、计费标识符。
• 数据主体类别：访问服务的控制者授权用户。

4. 处理者义务（GDPR 第 28(3) 条）

Cuttalo 应：

• 仅按控制者的书面指示处理客户个人数据；
• 确保授权处理客户个人数据的人员负有保密义务；
• 实施附录 II（/zh/security）所述的适当技术和组织措施；
• 协助控制者响应数据主体请求、违规通知和 DPIA（GDPR 第 32-36 条）；
• 服务终止后，除非法律要求保留，否则删除或返还所有客户个人数据；
• 提供证明合规性所需的信息并允许审计（见第 8 节）。

5. 子处理者（GDPR 第 28(2) 条）

控制者授予 Cuttalo 聘用 /zh/subprocessors 所列子处理者的一般授权。 Cuttalo 将在添加或替换子处理者前至少 30 天 通知。

6. 国际传输

当客户个人数据传输到 EEA 之外时，双方同意传输将受欧盟-美国数据隐私框架（适用时）和/或标准合同条款 2021/914（模块 2 或模块 3）约束。

7. 个人数据泄露

Cuttalo 将在知悉影响客户个人数据的个人数据泄露后不迟延通知控制者， 在任何情况下不迟于 48 小时。

8. 审计和信息权利

控制者可在合理提前通知下每日历年一次（除非发生个人数据泄露）请求证明合规性所需的信息。 Cuttalo 将提供审计报告、安全文档和书面回应。

9. 返还和删除

服务终止后 30 天内，Cuttalo 将按控制者选择删除或返还其持有的所有客户个人数据， 受适用法律保留义务约束（例如意大利民法典第 2220 条规定的税务记录）。

10. 责任和优先顺序

本 DPA 下的责任受服务条款中的限制约束，意大利民法典第 1229 条或 GDPR 第 82 条 不能限制的责任除外。本 DPA 与条款冲突时，关于客户个人数据处理事项以本 DPA 为准。

11. 适用法律

意大利法律；专属管辖权：意大利塔兰托法院，消费者保护强制规定除外。

附录 I — 处理详情

• 数据输出方：控制者（客户）。
• 数据输入方：Cuttalo srl，意大利（处理者）。
• 性质 / 目的：提供 DepScope 服务。
• 数据主体类别：控制者的授权用户。
• 个人数据类别：邮箱、哈希 IP、User-Agent、API 密钥指纹、请求元数据、计费标识符。
• 频率：连续，服务期间。
• 保留：见 隐私 §4。

附录 II — 技术和组织措施

完整描述见 /zh/security。 摘要：TLS 1.2+、SHA-256 哈希的 API 密钥、不存储密码、数据库私有网络、 OVH Gravelines（欧盟）的加密异地备份、每 6 小时自动警报、GDPR 规定的 72 小时违规通知。

附录 III — 授权的子处理者

当前列表和变更通知程序见 /zh/subprocessors。