本数据处理协议（"DPA"）是与发布在 https://senecaesg.com/ 网站上的条款和条件互补的（"Seneca ESG平台"），如果您或代表您的组织的用户使用Seneca ESG平台的服务，即视为自动签订此协议。在这种情况下，您/您的组织/公司被视为作为"控制者"，而Seneca ESG作为"处理者"，每一方称为"一方"，合称为"双方"。

本DPA中使用的术语应具有本DPA中规定的含义。

如果双方未签署控制者提交的DPA，则本DPA适用。

控制者承诺，在适用法律下，具有处理将输入Seneca ESG平台的个人数据的有效法律依据。

1. 定义

1.1 在本DPA中，以下术语具有以下定义，相关术语应相应解释：

1.1.1 "适用法律"指（a）英国和欧盟或成员国关于任何个人数据的法律，任何处理个人数据的实体受到此类立法的约束；（b）与保护个人数据及其所涉及的自然人相关的任何其他适用法律，无论是全球范围内适用的，且适用于Seneca ESG平台服务中的处理。

1.1.2 "控制者个人数据"是指控制者（员工；顾问）在Seneca ESG或Seneca ESG平台上处理的个人数据；

1.1.3 "欧洲经济区（EEA）"指欧洲经济区；

1.1.4 "欧盟数据保护法律"指欧盟指令95/46/EC，转化为每个成员国的国内立法，并根据时间的推移进行修改、替代或废止，包括2016年4月27日欧洲议会和理事会的2016/679号条例（通用数据保护条例GDPR）及实施或补充GDPR的法律，以及（ii）包括电子隐私指令在内的任何数据隐私立法及其修订、替代或废止。

1.1.5 "GDPR"指2016年4月27日欧洲议会和理事会的2016/679号条例，关于保护自然人对个人数据的处理以及自由流动的相关规定，并废止了指令95/46/EC（通用数据保护条例GDPR）。

1.1.6 "个人数据"指以下内容（i）欧盟指令95/46/EC中的个人数据定义，并根据各成员国的国内立法进行转化，并随时进行修改、替代或废止；（ii）根据GDPR修改、替代或废止的个人数据定义；（iii）在其他国家（包括瑞士）的本地数据保护或隐私法律中的个人数据定义（如适用）。

1.1.7 "国际传输"指由欧盟和英国定义的背景下不适用，因为所有此类个人数据是公开可访问的，并仅包含控制者公司相关的信息，其中自然人被视为控制者的员工。

1.1.8 "服务"指Seneca ESG平台为控制者或通过控制者直接由控制者用户提供或执行的服务和其他活动，依据条款和条件进行。

1.1.9 "分处理者"指任何第三方（包括任何处理者附属公司，但不包括处理者或其任何分包商的员工）被处理者或任何处理者附属公司指定或委托处理个人数据，代表控制者进行处理。

1.1.10 "处理者附属公司"指拥有或控制、由处理者拥有或控制或与处理者共同控制或拥有的实体，其中控制的定义是直接或间接地拥有指挥或导致管理和政策方向的权力，无论是通过投票证券的所有权，合同还是其他方式。此处包括Seneca ESG新加坡和荷兰。

dpa.sections.definitions.terms.title

dpa.sections.definitions.include.title

2. 权限

2.1 处理者保证，在任何分处理者处理控制者个人数据之前，处理者应与该分处理者签署数据处理协议，该协议在法律和保护个人数据权利方面至少与本协议具有相同的承诺。

3. 控制者个人数据的处理

3.1 处理者及每个处理者附属公司应：

3.1.1 在处理控制者个人数据时遵守所有适用法律；

3.1.2 除非适用法律要求，否则不得处理控制者个人数据，除非是根据相关控制者的或控制者的书面指示进行处理，在此情况下，处理者或相关处理者附属公司应在法律允许的范围内，在处理相关个人数据之前，通知控制者该法律要求。

3.2 控制者应代表控制者或确保控制者执行：

3.2.1 指示处理者及每个处理者附属公司（并授权处理者及每个处理者附属公司指示每个分处理者）进行：

3.2.1.1 处理控制者个人数据；

3.2.1.2 特别是，按合理需要将控制者个人数据转移到任何国家或地区，以提供服务并与条款和条件一致。

3.3 本DPA附录1列出了处理者处理控制者个人数据的某些信息，符合GDPR第28条第3款（以及可能适用于其他适用法律的等效要求）。控制者可以根据需要通过书面通知处理者，合理修改附录1。附录1（包括根据本第3.3条修订的部分）不授予任何方任何权利，也不对任何本协议方施加任何义务。

4. 处理者及其附属公司人员

处理者及每个处理者附属公司应采取合理措施，确保任何员工、代理商或分处理者承包商的可靠性，这些人员可能接触控制者个人数据，并确保每个人的访问仅限于那些需要知道或访问相关控制者个人数据的人，并严格按照条款和条件的目的，以及为了遵守适用法律。

5. 安全性

5.1 鉴于技术的现状、实施成本以及处理的性质、范围、背景和目的，以及对自然人权利和自由的风险，处理者及每个处理者附属公司应采取适当的技术和组织措施，以确保针对该风险的安全水平，必要时包括GDPR第32条第1款中提到的措施。

5.2 在评估适当的安全级别时，处理者及每个处理者附属公司应特别考虑处理过程中所面临的风险，尤其是个人数据泄露的风险。

5.3 处理者及每个处理者附属公司实施的技术和组织措施列在附录2中。

6. 分处理

6.1 控制者授权处理者及每个处理者附属公司根据本节6的规定任命（并允许根据本节6的规定任命的分处理者）分处理者，并遵守条款和条件中的任何限制。

6.2 处理者及每个处理者附属公司可以继续使用处理者或任何处理者附属公司在本DPA日期之前已经聘用的分处理者，但处理者及每个处理者附属公司应尽快满足第6.4条规定的义务。

6.3 控制者授权处理者分包处理者，处理者认为为正确服务提供所必需。根据控制者要求，处理者将提供涉及服务提供的所有类别分包商的最新名单。

分处理者也应视为本协议中的处理者。处理者同意与第三方分处理者签署数据处理协议，使分处理者同意遵守本协议中规定的义务。

在任何情况下，分包商应承担与处理者相同的数据保护义务，以确保处理符合GDPR的规定（目前是执行中的最全面的个人数据保护法规）。

6.4 对于每个分处理者，处理者或相关处理者附属公司应：

6.4.1 在分处理者首次处理控制者个人数据之前（或根据第6.2条相关规定），进行充分的尽职调查，确保分处理者能够提供满足条款和条件要求的个人数据保护水平；

6.4.2 确保处理者、相关处理者附属公司或相关中介分处理者与分处理者之间的协议，受书面合同的约束，合同条款至少应为控制者个人数据提供与本DPA中规定的相同的保护水平，并满足GDPR第28条第3款的要求。

6.5 处理者及每个处理者附属公司应确保每个分处理者履行与控制者个人数据处理相关的义务，如同它是本DPA的当事方一样。

7. 数据主体的权利

7.1 鉴于处理的性质，处理者及每个处理者附属公司应实施适当的技术和组织措施，以履行其法律义务，应对数据主体依据适用法律行使权利的请求。

7.2 处理者应：

7.2.1 在处理者或任何分处理者收到数据主体根据适用法律提出的关于控制者个人数据的请求时，应及时通知控制者；

7.2.2 确保其不会响应该请求，除非按控制者的书面指示或适用法律要求，处理者或分处理者应在法律允许的范围内，提前告知控制者该法律要求。

8. 个人数据泄露

8.1 处理者应在意识到个人数据泄露事件后无不当延迟地通知控制者，提供足够的信息使控制者能够履行向数据主体或监管机构报告或告知个人数据泄露的义务。"此通知应至少包含以下信息：

8.1.1 描述个人数据泄露事件的性质，涉及的数据主体类别及数量，以及涉及的个人数据记录类别及数量；

8.1.2 通知处理者的数据保护官或其他相关联系人的姓名和联系方式，以便获取更多信息；

8.1.3 描述个人数据泄露事件可能产生的后果；

8.1.4 描述为解决个人数据泄露采取的或拟采取的措施。

8.2 处理者应与控制者合作，并采取合理的商业步骤，协助调查、缓解和修复每个个人数据泄露事件。

9. 数据保护影响评估与事先咨询

处理者及每个处理者附属公司应为控制者提供合理的协助，进行数据保护影响评估，以及与监管机构或其他相关数据隐私当局进行事先咨询，按照GDPR第35条或第36条或任何其他数据保护法律的相关规定，专门与控制者个人数据的处理有关，且考虑到处理的性质和分处理者所掌握的信息。

10. 删除或返回控制者个人数据

10.1 根据第10.2条规定，控制者可以自行决定通过书面通知处理者要求在停止日期后三十（30）天内，处理者及每个处理者附属公司（a）通过安全文件传输返回所有控制者个人数据的完整副本，并以控制者合理通知的格式；（b）删除并确保删除所有由任何分处理者处理的其他副本。处理者及每个处理者附属公司应在停止日期后的30天内遵守该书面请求。

10.2 每个分处理者可以在适用法律要求的范围内保留控制者个人数据，仅限于适用法律要求的必要范围和时间段，并且确保所有此类控制者个人数据的机密性，且确保仅按适用法律要求的目的处理此类数据，且不得用于其他目的。

10.3 处理者应在停止日期后的30天内向控制者提供书面确认文件，证明处理者及其分处理者已完全遵守第10条的规定。

10.4 就本条款而言，"删除"指移除或消除个人数据，使其不能恢复或重建；"停止日期"指涉及控制者个人数据处理的服务停止日期。

11. 审计权

11.1 处理者及每个处理者附属公司应应控制者请求提供所有必要信息，以证明遵守本DPA。

12. 一般条款

适用法律和管辖权

12.1 不影响第7条（调解和管辖权）：

12.1.1 双方同意根据条款和条件中规定的管辖权选择，解决因本DPA产生的任何争议或索赔，包括关于其存在、有效性或终止，或其无效的后果；

12.1.2 本DPA及由其引起的所有非合同或其他义务由条款和条件中规定的国家或地区的法律管辖。

优先顺序

12.2 本DPA中的任何内容都不会减少处理者或任何处理者附属公司根据条款和条件对个人数据保护的义务，或允许处理者或任何处理者附属公司以条款和条件禁止的方式处理（或允许处理）个人数据。

12.3 根据本DPA的主题，如果本DPA与双方之间的任何其他协议存在不一致，包括条款和条件及（除非明确书面同意，否则）在本DPA日期后签订或拟签订的协议，本DPA的规定应优先于其他协议。

适用法律的变更等

12.4 控制者可以：

12.4.1 通过书面通知处理者提出任何其他本DPA的修改，控制者认为这是为了应对任何数据保护法的要求。

12.5 如果控制者根据第12.4.1条通知：

12.5.1 处理者及每个处理者附属公司应迅速配合（并确保任何受影响的分处理者迅速配合），以确保根据第6.4.3条的规定，对任何协议作出等效修改；

12.5.2 控制者不得无理拒绝或延迟同意处理者为保护分处理者免受与第12.4.1条和/或12.5.1条中所做的修改相关的额外风险而提出的任何修改。

12.6 如果控制者根据第12.4.1条通知，双方应尽快讨论拟议的修改，并本着诚意协商，尽可能迅速地就该修改或其他替代修改达成一致，旨在解决控制者通知中提出的要求。

12.7 控制者和处理者均不应要求控制者附属公司或处理者附属公司的同意或批准，以根据第12.5条或其他方式修改本DPA。

分离条款

12.8 如果本DPA的任何条款无效或不可执行，则本DPA的其余部分仍然有效并有效执行。无效或不可执行的条款应进行必要的修改，以确保其有效性和可执行性，同时尽可能保留双方的意图，或者（如果不可能）应当解释为未包含无效或不可执行部分。

12.9 双方的联系信息。

每一方特此通知对方，其代表和员工的联系信息将被另一方处理，用于执行、开发、履行和控制商定服务的提供，考虑到合同义务的合规性作为数据处理的合法依据。个人数据将在商业协议的期限内保留，并在协议终止后遵守法定时效期，以遵守任何可能由此产生的责任。此外，双方应履行向各自代表和员工提供信息的义务。

双方的数据可能会转移到银行和金融实体进行支付管理和收款，转移到税务机关和其他公共行政机构以进行相应的税务申报，并遵守各自的法律义务，按照适用的法规进行，并在法定要求的情况下转移给公共行政机构。

双方可以请求访问本条款中提到的个人数据，对其进行更正、删除、可移植性、限制处理以及对该处理提出异议，在附录3中规定的地址联系双方。

12.10 责任

处理者应对未能遵守本协议规定的义务所产生的所有罚款和处罚负责。

附录1：个人数据处理说明

本附录包括根据GDPR第28条第3款要求的个人数据处理的某些详细信息。

个人数据处理的主题和持续时间

个人数据处理的主题和持续时间在条款和条件及隐私政策中规定。

个人数据处理的性质和目的

个人数据处理的性质和目的是在条款和条件及隐私政策中规定的。

与个人数据相关的数据主体类别

控制者处理的个人数据将涉及控制者的员工，在B2B视角和背景下。

将要处理的个人数据类型

联系数据（姓名；电子邮件等...）

就业数据（控制者；角色等...）

操作数据（平台上的用户行为）

处理者及其附属公司的义务和权利

处理者有义务遵守适用法律的要求，主要是并特别是欧盟条例2016/679（通用数据保护立法GDPR），该法规在欧盟法律中优先于每个成员国本地转化的立法。