mongodb数据处理协议

最后更新:2024年10月21日。要查看本协议的变更内容,请点击此处

本数据处理协议(以下简称“DPA”)是云订阅协议、云服务条款或您与mongodb之间关于您使用云服务(以下简称“mongodb协议”)的任何适用服务或订阅协议的一部分。本DPA规定了关于处理客户个人数据(如下定义)的数据保护要求,该数据由mongodb收集、存储或以其他方式处理,以提供云服务。除非本DPA单独签署,否则本DPA自mongodb协议生效之日起生效,或自最后签署之日起生效。

1. 定义。

在本DPA中使用以下术语具有以下含义。任何在本DPA中未定义的首字母大写的术语的含义均由您的mongodb协议提供。

    客户”、“”和“您的”是指同意订单表或根据相关mongodb协议使用云服务的组织。

    客户个人数据”是指客户上传到云服务并由mongodb处理的任何个人数据。

    数据保护法”在适用范围内,是指:(i)欧洲议会和理事会关于个人数据处理以及此类数据自由流动的2016/679号条例(通用数据保护条例)(以下简称“欧盟GDPR”);(ii)2018年数据保护法以及欧盟GDPR,根据2018年英国欧洲联盟(退出)法第3条纳入英国法律(《英国GDPR》);(iii)欧盟电子隐私指令(指令2002/58/EC);(iv)瑞士联邦数据保护法(《FADP》);(v)2018年加利福尼亚消费者隐私法,根据2020年加利福尼亚隐私权法案修订(《加利福尼亚民法典》第1798.100条至第1798.199.100条),以及可能不时修订的CCPA法规(《加利福尼亚法规》第11卷,第7000条至第7102条)(以下简称“CCPA”);以及(vi)适用于各方的任何其他数据保护立法,该立法适用于其在mongodb协议下处理客户个人数据时的角色。

    数据主体请求”在第5.1节中有定义。

    EEA”是指欧洲经济区。

    "分包商"是指mongodb雇用以处理客户个人数据的任何第三方数据处理商。

    技术和组织安全措施”在第3.2节中有定义。

    术语“控制器”、“数据主体”、“个人数据”、“个人数据泄露”、“处理器”、“处理”和“监督机构”的含义在第EU GDPR中规定。

2. 数据处理。

    2.1. 范围和角色。 当mongodb在提供云服务的过程中处理受数据保护法监管的客户个人数据时,本DPA适用。在此背景下,mongodb是客户的“处理器”,客户可能是“控制器”或“处理器”,具体取决于客户个人数据。为了明确起见,本DPA不适用于任何可能受欧盟理事会和议会2022年12月14日第2022/2554号条例(关于金融部门数字运营弹性以及修订法规的条例)(以下简称“DORA”)监管的数据处理。客户和mongodb之间根据DORA可能需要满足的任何合同要求应单独处理。

    2.2. 处理细节。

      2.2.1. 主题。 本DPA下数据处理的主题是客户个人数据。

      2.2.2. 处理期限。 本数据保护协议项下的数据处理期限至MongoDB协议到期或终止之日,具体以协议条款为准。

      2.2.3. 目的和性质。 本数据保护协议项下的数据处理目的是根据MongoDB协议向客户提供云服务。

      2.2.4. 客户个人数据类型。 本数据保护协议项下处理客户个人数据类型包括客户上传至云服务的任何客户个人数据。

      2.2.5. 数据主体类别。 数据主体可能包括客户的客户、员工、供应商和最终用户,或任何其他客户上传至云服务的个人。

    2.3. 遵守法律。 各方将遵守所有适用的数据保护法,包括欧盟通用数据保护条例(GDPR),并就客户个人数据处理相关问题进行遵守。

    2.4. MongoDB的处理。 MongoDB仅将客户个人数据处理于以下目的:(i) 提供云服务,(ii) 客户在云服务使用中发起的处理,以及(iii) 根据您的MongoDB协议、本数据保护协议以及与MongoDB协议条款一致的其他合理书面指示进行数据处理。任何其他处理将需要双方事先书面同意。

    2.5. 客户义务。 客户承认它控制客户个人数据的性质和内容。客户将确保,根据数据保护法的要求,已获得所有必要的适当同意并向数据主体提供通知,以使客户个人数据在数据保护协议和MongoDB协议期限和目的内合法转移给MongoDB。

3. 安全。

    3.1. 人员保密。 MongoDB将确保所有访问客户个人数据的我们的人员和任何分包商都承担适当的保密义务。

    3.2. 安全措施。 我们将实施适当的技术和组织安全措施,以确保处理客户个人数据时符合风险的安全级别。当前的技术和组织安全措施请参阅https://mongodb.ac.cn/technical-and-organizational-security-measures(“技术和组织安全措施”)。

    3.3. 可选安全控制。 MongoDB提供了一系列安全控制、功能和功能,客户可以选择使用,具体请参阅技术和组织安全措施及我们的文档。客户负责实施这些措施,以确保符合客户个人数据的安全级别。

    3.4. 泄露通知。 如果我们意识到影响客户个人数据的个人数据泄露,我们将立即通知您。

4. 分包商。

    4.1. 授权子处理器。您承认并同意,我们可能保留我们的附属公司和其他第三方,代表您作为子处理器,进一步处理客户个人信息,以提供云服务。我们将在以下位置维护我们当前子处理器的名单:[https://mongodb.ac.cn/cloud/trust/compliance/subprocessors](https://mongodb.ac.cn/cloud/trust/compliance/subprocessors),并在添加或替换任何子处理器之前至少提前30天更新。您也可以注册以接收有关我们子处理器名单任何变更的电子邮件通知。

    4.2. 对子处理器的异议。如果您对任何新的子处理器有合理的异议,则(A)我们将指示该子处理器不要代表您处理客户个人信息,并在可能的情况下,继续根据MongoDB协议和任何适用的订单表条款提供云服务,或者(B)如果我们不能使用该子处理器提供云服务,您作为唯一的和排他的救济,可以终止本协议和任何适用的订单表,并获得未使用订阅的预付费退款。

    4.3 子处理器义务。MongoDB将对每个子处理器施加与我们根据本数据保护协议所施加的相同的数据保护义务。我们将根据数据保护法的要求对子处理器的义务履行承担相应的责任。

5. 数据主体请求。

    5.1. 为协助您履行对数据主体请求的回应义务,云服务为客户提供了检索、更正或删除客户个人信息的能力。客户可以使用这些控件来协助其履行数据保护法下的义务,包括与数据主体根据数据保护法行使权利相关的义务(每个均为“数据主体请求”)。

    5.2. 如果数据主体就识别客户的数据主体请求联系MongoDB,在法律允许的范围内,我们将及时通知客户。仅当客户无法自行访问客户个人信息,且MongoDB在法律上允许这样做时,我们将为客户提供商业上合理的协助,以响应数据主体请求。在法律允许的范围内,客户将负责由此产生的任何费用,包括与提供附加功能相关的任何费用。

6. 客户个人信息请求。

    6.1. 如果我们收到来自任何政府机构(“请求方”)的具有法律效力和约束力的命令(“请求”),要求披露客户个人信息,我们将使用商业上合理的努力将请求方重新引导,要求其直接从客户处获取该客户个人信息。

    6.2. 尽管我们已尽力,但我们被迫向请求方披露客户个人信息时,我们将

    (a) 在法律允许的范围内,及时通知客户请求,以允许客户寻求保护令或其他适当的救济。如果我们被禁止通知客户,我们将使用商业上合理的努力获得该禁止的豁免;

    (b) 对任何范围过广或不适当的请求(包括与欧盟法律冲突的请求)提出异议;

    (c) 仅披露满足请求所必需的最小客户个人信息量。

7. 合作。考虑我们处理的性质和我们可获取的信息,根据您的请求和费用,MongoDB将提供合理的协助,以确保遵守适用的数据保护法关于实施适当的安全措施、个人信息泄露通知、影响评估以及与监督机构或监管机构的协商等义务,所有这些仅与MongoDB处理客户个人信息有关。

8. 客户审计权。

    8.1. 根据客户的要求,并遵守您与MongoDB签订的保密协议中规定的保密义务,MongoDB将以第三方认证和审计的形式,向客户(或客户的独立第三方审计师)提供MongoDB符合本DPA中规定的安全义务的信息。

    8.2. 如果该信息不足以证明我们符合DPA中的安全义务,您可以根据MongoDB协议中的通知条款联系MongoDB,要求对MongoDB保护客户个人数据的相关程序进行现场审计,但仅限于适用数据保护法所要求的部分。客户将偿还MongoDB进行此类现场审计的合理费用。在任何此类现场审计开始之前,客户和MongoDB将共同确定审计的范围、时间和持续时间。

    8.3. 客户将在审计过程中发现的任何不符合规定的信息及时通知MongoDB,MongoDB将尽其商业合理努力解决任何已确认的不符合规定。

9. 数据传输。

    9.1. 数据部署位置。客户通过选择云服务的配置来控制客户个人数据实际存放的区域(“部署区域”)。当数据保护法要求时,客户在部署区域之间转移客户个人数据的行为将受到下述9.3节中描述的转移机制的管理。

    9.2. 其他处理位置。您可以选择使用云服务的某些可选功能,这些功能可能需要将客户个人数据传输到EEA、瑞士或英国的境外。当数据保护法要求时,此类转移将受到下述9.3节中的规定管理。

    9.3. 转移机制。MongoDB参与并认证符合欧盟-美国数据隐私框架、欧盟-美国数据隐私框架的英国扩展以及瑞士-美国数据隐私框架(统称为“DPF”)。根据DPF的要求,MongoDB将(i)向客户个人数据提供至少与DPF原则要求相同的隐私保护水平,(ii)如果MongoDB确定无法满足DPF原则要求的相同保护水平,将通知客户,以及(iii)在通知后,采取合理和适当的措施来补救未经授权的客户个人数据处理。如果客户个人数据的传输是从EEA、瑞士或英国传输到尚未根据数据保护法被相关机构认定为为个人数据提供充分保护水平的领土,MongoDB同意根据以下附表1中的规定处理该客户个人数据,该附表是本DPA的组成部分。

10. 数据的返还或删除。在MongoDB协议到期或终止后,客户可以检索或删除所有客户个人数据。在您的MongoDB协议终止或您提出请求后,MongoDB将删除客户未删除的任何客户个人数据,除非我们根据法律规定必须存储客户个人数据。

11. CCPA责任。本节11的规定中,客户个人数据应包括“个人信息”(根据CCPA的定义),指客户上传到云服务并由MongoDB处理的信息。MongoDB根据CCPA定义,属于“服务提供者”。

    11.1. MongoDB将不会

      11.1.1. 为提供云服务以外的任何目的保留、使用或披露客户个人数据;

      11.1.2. 在MongoDB与客户之间的直接业务关系之外保留、使用或披露客户个人数据;

      11.1.3. 出售或分享客户个人数据(根据CCPA中“出售”和“分享”的定义);或

      11.1.4. 将客户个人数据与MongoDB从另一MongoDB客户处接收到的个人信息合并,除非根据CCPA的规定允许。

    11.2. 如果我们确定我们无法再遵守CCPA作为服务提供者的义务,我们将通知您。

    11.3. 根据CCPA的规定,您有权通知后采取合理适当的措施来阻止和纠正未经授权使用受CCPA保护的个人信息。

    附件1
    标准合同条款

    1. 本附件1中,“标准合同条款”指根据情况可能适用的,欧洲委员会在2021/914号决议中批准的标准合同条款的相关模块,或欧洲委员会不时采纳的任何后续版本的标准合同条款。欧洲委员会对任何修订后的标准合同条款生效之日起,本DPA中对“标准合同条款”的所有引用均应指该最新版本。

    2. 根据DPA的第9.3节,如果客户个人数据从EEA、瑞士或英国转移到根据数据保护法未得到相关当局认定为提供充分个人数据保护水平的领土,则应根据本附件1适用标准合同条款。

    3. 标准合同条款的纳入。

      3.1. 当根据上述第2条标准合同条款是适用的转让机制时,双方同意

        3.1.1 第7款不适用。

        3.1.2 在第9(a)款中,选择2将适用,子处理器变更的提前通知期限将根据DPA的第4.1节规定。

        3.1.3 在第11(a)款中,可选语言不适用。

        3.1.4 在第17款中,选择1将适用,标准合同条款受爱尔兰共和国法律管辖。

        3.1.5 在第18(b)款中,争议将在爱尔兰共和国法院解决。

      3.2. 为附件I,标准合同条款的A部分(当事人名单)目的

        数据出口商:客户。

        • 联系方式:客户的账户所有者电子邮件地址,或客户选择的接收法律通信的电子邮件地址。

        • 数据出口商角色:数据出口商的角色在DPA的第2节中概述。

        • 签名和日期:通过签订MongoDB协议,数据出口商被视为在本附件I的DPA生效日期签署了标准合同条款,包括其附件,并根据本附件I的DPA第3节配置。

        数据进口商:MongoDB,Inc.代表其自身及其非EEA关联公司。

        • 联系方式:MongoDB的DPO邮箱地址为[email protected]

        • 数据导入员角色:数据导入员的角色在DPA的第二部分中进行了概述。

        • 签名及日期:通过签署MongoDB协议,数据导入员被认为已签署标准合同条款,包括其附件,并按照DPA附件1第三部分的第3部分进行配置,自MongoDB协议生效之日起。

      3.3. 标准合同条款附件I,B部分的目的(数据转移描述)

        3.3.1 数据主体的类别在DPA的第二部分2.2.5中进行了描述。

        3.3.2 转移的客户个人数据形式在DPA的第二部分2.2.4中进行了描述。

        3.3.3 转移的频率在MongoDB协议期间为持续进行。

        3.3.4 处理的性质和目的在DPA的第二部分2.2.3中进行了描述。

        3.3.5 与处理相关的客户个人数据保留期将在MongoDB协议终止时结束。

        3.3.6 对于向子处理器的转移,处理的主题和性质在:https://mongodb.ac.cn/cloud/trust/compliance/subprocessors 中进行了描述。子处理器处理的时间与数据导入员相同。

      3.4. 标准合同条款附件I,C部分(有权监管的当局),有权监管的当局/机构应按照欧盟GDPR和标准合同条款第13款确定。

      3.5. DPA的第3部分和第4.3部分包含了标准合同条款附件II所需的信息(技术和组织措施)。

      3.6. 除了上述规定外,以下各项均为标准合同条款的一部分,并规定了各方对标准合同条款下各自义务的理解

        3.6.1 标准合同条款第8.9款:审计。数据出口商承认并同意,它通过指示数据导入员遵守DPA第8节(客户审计权)中描述的审计措施来行使第8.9款下的审计权利(权利)。

        3.6.2 标准合同条款第9(c)款:披露子处理器协议。各方承认,根据子处理器保密限制,数据导入员可能无法向数据出口商披露后续的子处理器协议。即使数据导入员无法向数据出口商披露子处理器协议,各方同意,在数据出口商的要求下,数据导入员(以保密为基础)应向数据出口商提供与该子处理协议有关的所有合理信息。

        3.6.3 标准合同条款第12款:责任。在数据保护法允许的最大范围内,根据标准合同条款提出的任何索赔将受MongoDB协议中规定的任何总责任限制的影响。

    4. 受FADP保护的客户个人数据的转移。

      4.1. 关于受FADP保护的客户个人数据的转移,标准合同条款将根据上述第2部分和第3部分的规定适用,以下有所修改

        4.1.1 标准合同条款中对“指令95/46/EC”或“法规(EU)2016/679”的任何提及应解释为对FADP的提及;

        4.1.2 对“欧盟”、“联盟”、“成员国”和“成员国法律”的提及应解释为对瑞士及其法律的提及;

        4.1.3 对“有权监管的当局”和“有权法院”的提及应解释为对瑞士联邦数据保护与信息专员和瑞士的有权法院的提及。

    5. 受英国GDPR保护的客户个人数据的转移。

      5.1. 关于受英国GDPR保护的客户个人数据的转移,根据2018年《数据保护法》第119A(1)条发布的欧盟委员会标准合同条款的国际数据转移附录(《英国附录》),应适用并纳入本DPA,其中第一部分:表格应根据本附表第1部分的第3节的相关规定填写。数据出口商或数据进口商可根据《英国附录》第19条终止《英国附录》,如果双方在真诚努力修改DPA以反映批准的变更以及对《英国附录》的任何合理澄清后,无法达成一致。在附表第1部分的第3节与《英国附录》的任何强制条款之间发生冲突的情况下,如果英国GDPR适用于转移,则《英国附录》应予以适用。