数据处理 协议

1. 介绍

This Data Processing Agreement ("DPA") supplements the Terms of Service and Privacy Policy of Mewayz Global, Corp. ("Mewayz", "we", "us", or "our"). This DPA applies when Mewayz processes Personal Data on behalf of the Customer in the course of providing the Mewayz platform services.

本数据处理协议根据《通用数据保护条例》（GDPR）（EU）2016/679 及其他适用的数据保护法规，确立了客户与 Mewayz 之间的控制者-处理者关系。

客户使用 Mewayz 服务即表示同意受本 DPA 条款约束。本 DPA 自客户接受我们的服务条款或开始使用我们的服务之日起生效。

2. 定义

根据GDPR第4条，以下定义适用于本DPA：

• 控制器 — 决定个人数据处理目的和方式的自然人、法人、公共机构、代理机构或其他团体，无论是单独或与他人共同决定。
• 处理器 — 代表控制者处理个人数据的自然人或法人、公共当局、机构或其他团体。
• Sub-processor — 处理者为代表控制者处理个人数据而聘请的任何第三方。
• 个人数据 — Any information relating to an identified or identifiable natural person ("Data Subject"). An identifiable natural person is one who can be identified, directly or indirectly, by reference to an identifier.
• 处理中 — 对个人数据进行的任何操作或系列操作，无论是否通过自动化方式，例如收集、记录、组织、结构化、存储、改编、修改、检索、查阅、使用、通过传输披露、传播或以其他方式提供、对齐、组合、限制、删除或销毁。
• 数据主体 — 其个人数据正在被处理的已识别或可识别的自然人。

3. 范围与角色

根据本 DPA，客户作为控制者，Mewayz 作为处理者，处理通过 Mewayz 平台处理的个人数据。

Mewayz仅根据控制方的书面指令处理个人数据，包括将个人数据转移至第三国或国际组织，除非处理者受欧盟或成员国法律要求必须处理。

如果Mewayz认为指令违反适用的数据保护法规，应立即告知控制方。

4. 数据处理详情

以下描述 Mewayz 执行的数据处理活动的性质、目的和范围：

个人数据类别：

• 账户数据 — 姓名、电子邮件地址、电话号码、公司名称、职位、登录凭证。
• 联系人数据 — Contact information of the Customer's end users, clients, or leads stored within the Mewayz platform.
• Usage Data — 平台交互日志、功能使用分析、IP地址、浏览器和设备信息。
• 内容数据 — 客户在平台内上传或创建的文件、文档、消息、笔记及其他任何内容。

数据主体类别：

• The Customer's end users and platform users
• The Customer's employees and team members
• The Customer's contacts, clients, and leads

处理目的：

根据服务条款的规定，提供、维护和改进 Mewayz 平台服务，包括 CRM、项目管理、开票、帮助台以及平台内可用的所有其他模块。

5. 安全措施

Mewayz实施适当的技术和组织措施，确保与风险相适应的安全水平，包括：

• 静态加密 — 我们服务器上存储的所有个人数据均采用AES-256加密标准进行加密。
• 传输加密 — 客户与Mewayz之间传输的所有数据均通过TLS 1.2或更高加密协议进行保护。
• 访问控制 — 严格的基于角色的访问控制确保只有授权人员才能访问个人数据。所有管理访问均强制要求多因素认证。
• 定期安全审查 — 我们定期进行安全评估、漏洞扫描和代码审查，以识别并修复潜在的安全风险。
• 事件响应程序 — 我们制定了详细的应急响应流程，包括事件识别、控制、根除、恢复及事后复盘。
• 备份与恢复 — 定期执行自动化备份并安全存储。定期测试恢复流程以确保数据完整性和可用性。

6. Sub-processors

Mewayz聘请以下子处理方协助提供服务。每个子处理方均经过适用数据保护要求的合规性审核：

• Stripe, Inc. — 支付处理。地点：美国。处理数据：支付和账单信息。
• Cloudflare, Inc. — 内容分发网络（CDN）和安全服务。位置：美国（全球边缘网络）。处理的数据：流量数据、IP地址。
• Hetzner Online GmbH — 服务器托管与基础设施。位置：欧盟/美国。处理数据：服务器存储的所有平台数据。

Mewayz应在添加或更换任何子处理者前通知客户，为客户提供反对此类变更的机会。若客户合理反对，Mewayz应尽合理努力提供替代解决方案，否则客户可终止受影响的服务。

Mewayz应通过合同方式对每个子处理者施加不低于本DPA规定的数据保护义务。

7. 数据主体权利

Mewayz应协助控制方履行其义务，响应数据主体根据GDPR行使权利的请求，包括：

• 访问权 (第15条) — 获得确认并访问其个人数据的权利。
• 更正权 (第16条) — The right to have inaccurate Personal Data corrected.
• 删除权 (第17条) — 在特定情况下要求删除个人数据的权利。
• 限制处理权 (第18条) — The right to restrict the processing of Personal Data.
• 数据可携权 (第20条) — 以结构化、通用且机器可读的格式接收个人数据的权利。

Mewayz收到数据主体请求后应立即通知控制方，且除非经控制方授权，不得直接响应此类请求。

8. 数据泄露通知

发生个人数据泄露事件时，Mewayz 应根据 GDPR 第 33 条，在意识到泄露后毫不拖延地并在任何情况下 72 小时内通知控制者。

The notification shall include:

• 个人数据泄露性质的说明，包括受影响的数据主体类别和大致数量以及个人数据记录。
• 数据保护官或其他可获取更多信息的联系点的姓名和联系方式。
• 个人数据泄露可能造成的后果说明。
• 为解决该泄露事件已采取或建议采取的措施说明，包括为减轻其可能的不利影响而采取的措施。

Mewayz应与控制方合作，并采取合理的商业措施协助调查、缓解和补救每次此类违规事件。

9. 数据传输

当个人数据从欧洲经济区（EEA）传输至未被认定提供充分数据保护水平的非EEA国家时，Mewayz确保实施适当的保障措施，包括：

• 欧盟委员会采用的欧盟-美国及其他国际数据传输标准合同条款（SCCs）
• 根据传输影响评估，必要时采取补充标准合同条款的额外技术和组织措施。

Mewayz应将数据传输机制的变更告知控制方，并确保任何传输均符合适用的数据保护法规。

10. 数据保留与删除

客户与 Mewayz 协议终止或到期后，Mewayz 应根据控制者的选择：

• 在收到书面请求后 30 天内，删除所有代表控制方处理的个人数据；或
• 在收到书面请求后30天内，以结构化、常用且机器可读的格式将所有个人数据返还给控制者。

Mewayz应删除现有个人数据副本，除非欧盟或成员国法律要求存储该个人数据。根据要求，Mewayz应提供数据删除的书面确认。

11. 审计

Mewayz应向控制方提供所有必要信息，以证明符合本DPA和GDPR第28条规定的义务。

The Controller, or an independent third-party auditor mandated by the Controller, may conduct audits to verify Mewayz's compliance with this DPA, subject to the following conditions:

• 控制方应在进行任何审计前至少提前30天发出合理的书面通知。
• Audits shall be conducted during normal business hours and shall not unreasonably interfere with Mewayz's operations.
• 控制方应承担任何审计的费用，除非审计结果显示Mewayz存在重大不合规情况。
• 审计结果及任何获得的信息均应视为机密。

12. 接触

有关本数据处理协议或数据保护查询的任何问题，请联系我们：

• 公司： Mewayz Global, Corp.
• 地址： 131 Continental Dr, Suite 305, Newark, DE 19713, USA
• 数据保护邮箱： [email protected]
• EIN： 38-4374855
• 网站： https://mewayz.com