数据处理规定

本数据处理协议（以下称为“协议”）由Venipak Lietuva,UAB（代表其“数据控制器”的客户充当“数据处理器”）进行的个人数据处理。根据通用数据保护法规，本协议对数据处理器和数据控制器具有约束力。

1. 协议的定义和解释

1.1除非协议的上下文需要其他暗示，否则就本协议（包括其序言和附件）而言，大写单词应具有以下含义：

通用数据保护条例	2016年4月27日，欧洲议会和理事会（EU）2016/679条例，关于保护自然人在处理个人数据和此类数据的自由流动并废除第95/46/EC号指令。
数据控制器	指本协议的自然或合法方，公共机构，机关或任何其他机构（单独或与其他机构合作）确定数据处理的目的和措施。
数据处理器	指本协议的自然或合法方，公共机构，代理机构或代表数据控制者处理个人数据的任何其他机构。
数据	指与已识别或可识别自然人（“数据主体”）有关的任何信息；可识别的自然人是指可以直接或间接识别的人，特别是通过参考诸如姓名，识别号，位置数据，在线标识符之类的标识符，或针对特定于身体，生理，该自然人的遗传，心理，经济，文化或社会身份。
数据处理	指对个人数据或个人数据集执行的任何操作或一组操作，无论是否通过自动化方式进行，例如收集，记录，组织，构造，存储，改编或更改，检索，咨询，使用，通过传播，传播或其他方式公开，对齐或组合，限制，擦除或破坏。
自动化手段	指完全或部分由自动化措施执行的动作。
数据主体	指根据本协议处理其数据的自然人。
第三方	指自然人或法人，公共权力机构，机构或组织，而不是数据主体，控制者，处理者以及在控制者或处理者的直接授权下被授权处理个人数据的人。
技术和组织措施	指旨在保护数据免遭偶然或非法破坏，修改，披露以及任何其他非法处理的措施。这些措施必须确保这种保护级别与数据的性质及其处理所带来的风险相对应。

1.2 就本协议而言：

（a）复数词与单数词具有相同的含义，反之亦然；

（b）在协议文本中使用特定性别（男性或女性）应解释为使用其中任何一种性别；

（c）“包括”一词应相应地表示“没有任何限制的包括”或“包括但不限于”；

（d）本协议各节的标题仅是为了方便起见，对本协议的解释没有影响；

（e）提及各段落，附件和其他规定是指本协定的各段落，附件和规定。

1.3 该协议是双方协商和安排的共同结果；因此，不能以任何一方为起草协议或其任何部分的责任为理由而对协议进行解释。

1.4 此处未定义的概念应根据法规的规定进行解释。

2.协议的主题和目的

2.1 本协议旨由数据处理器代表数据控制器进行的个人数据处理。根据通用数据保护法规，本协议对数据处理器和数据控制器具有约束力。

2.2 协议附件中详细说明了由数据处理器代表数据控制者进行的数据处理的性质，主题和目的，以及与处理后的数据类型和数据主题类别有关的信息。

3.协议效力

3.1 根据《通用数据保护条例》第28条第9款订立的协议，根据本《通用数据保护条例》，本协议将生效并对数据处理器和数据控制者具有约束力。

3.2 数据处理器代表数据控制器处理数据时，本协议即适用。

3.3 应数据控制者的要求，数据处理者必须在协议期满或完成后终止所进行的数据处理活动，并且，如果数据控制者愿意，并且除非数据保护法规另有规定，否则数据处理者必须删除或返回所有，将数据发送到数据控制器，并删除此类文档的所有可用副本。

4.数据处理器义务

4.1 数据处理器已采取适当的技术和组织措施，以确保数据处理器根据本协议的规定进行的数据处理符合数据保护法规的要求，即《通用数据保护条例》的要求，并保证保护数据主体的权利。

4.2除适用法律另有规定的情况外，数据处理者承诺仅根据数据处理者的指示以书面文件形式处理数据。在这种情况下，在开始处理数据之前，数据处理者必须在法律规定的范围内将这种法律要求通知数据控制者。如果在特定情况下未向数据处理器提供有关如何处理数据的指令，或者任何此类指令违反了适用的数据保护法律行为，则数据处理器必须立即将其通知数据控制器。

4.3 考虑到数据处理的特点，并在允许的范围内使用适当的技术和组织措施，数据处理者协助数据控制者履行其对行使数据主体权利的要求的答复。根据本协议，数据主体的权利包括索取信息的权利，以及根据数据主体的请求纠正，销毁数据或停止处理数据的权利。

4.4 考虑到数据处理的性质和可用信息，数据处理器可帮助数据控制器履行适用的数据保护法规规定的特定职责。具体职责包括数据处理的安全性（《通用数据保护条例》第32条），数据泄露通知（《通用数据保护条例》第33-34条）以及数据保护影响评估和事前咨询（欧盟第35-36条）通用数据保护条例）。

4.5 数据处理者承诺向数据控制者提供所有信息和协助，以证明其履行了此处承担的所有义务，并提供所有条件，并帮助数据控制者或其授权审核员进行审核，包括现场检查。

5.子处理器

5.1 数据控制者确认数据处理者可以使用协议附件中指定的任何其他公司作为子处理者。数据处理器应将与子处理器的使用或变更有关的所有以及任何计划的变更通知数据控制器，而数据控制器有权不同意此类变更。

5.2 数据处理器应确保并应数据控制器的要求，通过文件确认子处理器是通过书面协议实施的，除此处规定的义务外，书面协议还必须履行各自的数据处理义务。数据处理器对数据控制器负有全部责任，以履行子处理器的义务。

5.3 数据控制者可以请求数据处理者验证子处理器或提交对这种验证的确认，或者在可能的情况下，获取或帮助数据控制器获取外部审计员关于子处理器的活动/绩效的报告，以期达到以下目的：确保符合数据保护法规的要求。

6.数据传输到第三国

6.1 协议中规定的处理个人数据的义务只能在所述的欧盟或EEA成员中履行。仅在数据管理员事先书面同意的情况下，才能将数据转移到非欧盟或非欧洲经济区成员国，并且仅在适用的数据保护法规和欧盟第五章规定的所有特殊条款和条件下进行。通用数据保护条例已得到满足。

6.2 数据控制者可随时根据协议第6.1条取消其关于将数据传输至第三国的同意。在这种情况下，数据处理器必须立即终止数据传输，并应数据控制器的要求提供书面确认。

7.信息的安全性和机密性

7.1 数据处理器根据本协议确保适当的数据保护，以防止数据被破坏，更改，未经授权的披露或访问。数据也应受到保护，免受任何其他形式的非法处理。

7.2 数据处理者应准备并不断更新技术，组织和措施的描述，以使其符合数据保护法规的要求。

7.3 未经数据管理员事先书面同意，数据处理器承诺不透露根据本协议处理的数据或不允许任何第三方访问数据，但根据本协议使用的子处理器除外。

7.4 数据处理者确保与数据处理有关的所有人员都有义务确保机密性，或确保他们遵守法律规定的相应机密性义务。

8.适用法律和争端解决

8.1 本协议已起草，并应根据立陶宛共和国的法律行为进行解释，但法律冲突的原则除外，否则可能适用其他规定。

8.2 经双方同意，解决本协议引起的所有争议的唯一且特殊的地方是立陶宛共和国法院，依管辖权而定。

9.责任限制和损害赔偿

9.1 除非双方另有协议，否则它们应根据协议第8节中指定的一般适用规定承担责任。

9.2 数据处理器在本协议下的一般责任以及所有义务在任何情况下均不超过3,000欧元。在任何情况下，数据处理器均不对性能损失，利润损失，声誉损失或任何其他间接损失或后果损失承担责任。由双方之间的相互协议造成的数据丢失被认为是间接损失。

10.其他

条款的可分割性

10.1 如果法院或仲裁庭认为本协议的任何规定为非法，无效或不可信，则本协议的其他规定将继续有效并在整个范围内适用。仅部分或在某种程度上被确认为非法，无效或不可行的本协议的任何条款应在未被视为非法，无效或不可信的范围内保持有效。双方将以合法，有效和合理的条款取代协议中的这些非法，无效或不合理的条款，并应尽可能接近双方在达成本协议时的意图。双方将尽一切努力确保本协定所有条款的执行。

无冲突协议

10.2 本协议是双方协商确定的文件，由双方共同起草。本协议应取代双方以前就协议目标达成的所有安排，并且应是双方对协议条件的绝对唯一声明。本条款并不限制另一方对欺诈行为承担责任的权利。

10.3 每一缔约方承诺在本协定缔结后不缔结任何与该协定所规定的义务不符的其他协议。

协议的修订和补充

10.4 本协议的任何附件，修正案和增补件（包括本条款的修正案和增补件）仅在由所有缔约方签署的书面文件形式化后才有效。

费用

10.5 每一缔约方应支付与本协定的谈判，起草，签署，生效和执行本协定有关的费用。

数据处理协议附件1

数据处理的主题和目的	完成以下任务或向数据控制器提供数据处理器的以下服务：服务提供–用于处理，管理由数据主体购买（订购）的服务；用于在数据处理器的信息系统中标识数据主体；用于识别数据主体以在数据处理者的网站上访问其帐户（数据处理者确保进行此类访问时）；解决与服务的实施，提供和使用有关的问题；在数据主体购买的服务的条款和条件发生变更的情况下，与数据主体联系；履行其他合同义务；为了直接营销的目的；用于业务分析和统计分析；进行一般调查，以改善服务及其质量；进行审核。
被处理的个人数据类别	被处理的个人数据类别包括：个人业务联系信息，例如姓名，姓氏，电话号码或手机号码，电子邮件，居住地址，工作场所。
数据主体的类别	数据控制器的代表和最终用户，例如员工，工作职位的候选人，承包商，同事，合作伙伴，数据控制器的客户以及其他必须输入数据处理器中央数据控制器系统的人员。
数据处理活动	输入，更正和删除个人数据，制作可能包含个人数据的服务器备份副本及其存储。
子处理器列表	不适用
管辖权	立陶宛