数据处理补充协议(DPA)
面向受监管市场的客户 — 主要是 GDPR 第 28 条意义上的数据控制者 — 我们提供可双方签署的 DPA,约定 svdy 在为您处理个人数据时所遵循的规则。
DPA 包含的内容
svdy 标准 DPA 涵盖以下条款(参考 EDPB SCC、UK ICO ICA 和 ISO 27018 的模板):
1. 角色与适用范围
客户为数据控制者,svdy 为处理者。个人数据范围:员工、考勤记录、休假记录、流程表单、审计日志。
2. 下游处理方
授权 /trust/sub-processors 中列出的 5 家下游处理方。如有变更,将提前 30 天通知并提供反对机制。
3. 安全
AWS 多可用区 + 静态 AES-256 加密 + 传输 TLS 1.2 及以上 + 基于角色的访问控制 + 审计日志。SOC 2 项目启动后(2027 年 Q1)每年进行一次渗透测试。
4. 数据主体权利
客户(控制者)首先通过管理后台处理 DSAR(导出 / 删除 / 修正)。无法自助完成的请求,svdy 将在 5 个工作日内协助处理。
5. 安全事件通知
在知晓后 72 小时内通知您,附上事件主题、影响范围及补救措施,邮件发送至您指定的 DPO 联系人。
6. 国际数据传输
欧盟 → 美国传输适用 EU SCC(2021 版本)。面向英国的传输适用 UK Addendum 对 SCC 的补充条款。
7. 合同终止
合同终止时,客户可通过管理后台导出数据 30 天;之后除非有法律保留义务,svdy 将在 60 天内进行彻底删除。
申请双方签署的 DPA
请发送邮件至 legal@svdy.com,附上贵公司名称以及作为数据控制者的法人主体(欧盟 / 英国 / 美国)。我们将在 2 个工作日内回复一份预签 PDF。免费 — DPA 包含在所有付费套餐中。
发邮件至 legal@svdy.com处于预客户阶段 — 我们正与法务团队合作,准备在本页面发布可下载的 PDF。届时会一并公布 SHA-256 哈希值,便于您校验文件完整性。
