首页
信任
数据处理附录

数据处理附录

此页面内容由AI翻译。我们力求准确，但译文可能与原文存在细微差异。如有任何不一致之处，请以官方英文版本为准。如对译文有任何疑问或顾虑，请联系我们。

请参阅我们的政策档案⁠（在新标签页或窗口中打开），了解此政策和其他政策的先前版本。

本数据处理附录（"附录"）是对相关协议中 Canva 与客户之间协议的补充，并构成协议的一部分。本补充协议适用于 Canva 根据协议作为客户个人数据的处理者或服务提供者（视情况而定）的情况。如果本补充协议与协议内容有任何冲突，以本补充协议为准。

1. 定义与解释

在本补充协议中，以下术语具有以下含义：

协议指 Canva 的使用条款或 Canva 与客户之间关于客户访问和使用服务的其他协议。

适用的隐私法律指根据协议适用于个人数据处理的所有法律。

“Canva” 指适用并在相关协议中确认的 Canva 实体

“客户”指在适用协议中确定的实体或个人。

“数据主体” 指已被识别或可识别的个人，其个人数据正在被处理。

“欧洲隐私法” 指：(i) 欧洲议会和理事会关于保护自然人在处理个人数据和自由流通此类数据方面的条例 2016/679（通用数据保护条例）（“欧盟GDPR”）；(ii) 根据2018年欧洲联盟（退出）法案第3节纳入英国国内法的欧盟GDPR（“英国GDPR”）；(iii) 1992年6月19日的瑞士联邦数据保护法及其相应条例（“瑞士DPA”）；(iv) 欧盟关于隐私和电子通信的指令2002/58/EC；以及 (v) 根据(i)至(iv)项制定或依据的任何国家法律；在每种情况下，均可随时修订、取代或更新。

“个人资料” 指任何与已识别或可识别个人相关的信息，或根据适用隐私法律定义的任何其他被视为“个人资料”或“个人信息”的信息。

个人数据泄露指 Canva 的安全漏洞，导致数据的意外或非法破坏、丢失、篡改、未授权披露或访问。

“受限转移”是指（i）在欧盟通用数据保护条例（GDPR）适用的情况下，将个人数据从欧洲经济区（EEA）转移到未由欧洲委员会作出充分性决定的国家；（ii）在英国GDPR适用的情况下，将个人数据从英国转移到任何其他国家，且该转移不基于英国GDPR第17A节的充分性规定；以及（iii）在瑞士联邦数据保护和信息委员会（Swiss DPA）适用的情况下，将个人数据转移到瑞士以外的国家，且该国家未被瑞士联邦数据保护和信息委员会公布的充分性司法管辖区名单所涵盖。

“SCCs” 指的是欧洲委员会2021年6月4日决定（EU）2021/914附件的标准合同条款⁠（在新标签页或窗口中打开），可能会不时修订、取代或更新。

“英国补充协议”指由信息专员办公室根据《英国数据保护法2018》第119(A)条发布的国际数据传输补充协议（版本B1.0），可能会不时修订、取代或更新。

除非适用的协议另有定义，否则“用户”指客户授权使用服务的任何个人。

术语“控制者”、“处理者”、“数据主体” 和 “处理” 在适用的隐私法律中具有其定义，若未在其中定义，则指欧盟GDPR和英国GDPR（“处理”、“处理过程” 和 “已处理” 也应相应解释），而“企业” 和 “服务提供商” 则具有在CCPA中赋予它们的含义。

但未在本补充协议中定义的任何大写术语，应具有协议中赋予它们的含义。

客户个人资料的处理

2.1.双方关系：客户是附件 1.B中“个人数据类别”所描述的个人数据的控制者或商业版（如适用）（“客户个人数据”），而 Canva 可画将仅作为处理者或服务提供商（如适用）代表客户处理客户个人数据。 Canva可画和客户均应遵守适用隐私法律规定的各自义务。如果适用的隐私法律没有明确规定控制者和处理者的概念，则各方在本附录项下的义务应根据适用的隐私法律进行解释，以尽可能与这些角色的范围保持一致，同时仍完全遵守适用的隐私法律。

2.2. 目的限制： Canva 将处理客户个人数据：(i) 提供和维护服务（包括监控、维护和提升服务的安全性）；(ii) 履行其在协议及本补充协议下的义务；以及 (iii) 根据客户的书面指示，按照协议、本补充协议和/或通过服务提交的指示（“允许的用途”）。除非适用的法律另有规定，Canva 不得为任何其他目的（包括其自身的商业目的）保留、使用、披露或以其他方式处理客户个人数据，除非为允许的目的。Canva应立即通知客户，如果其得知客户的处理指令侵犯了适用的隐私法律，但没有义务主动监控客户是否遵守适用的隐私法律。

在 Canva 根据美国州隐私法律处理客户个人数据的范围内：Canva 不得（i）根据适用的美国州隐私法律，将客户个人数据定义为“出售”、“共享”或“出于定向广告目的处理”；或（ii）将客户个人数据与 Canva 从其他人或代表他人接收的个人数据，或通过与数据主体的互动收集的个人数据相结合，除非在协议和适用的隐私法律允许的范围内。客户有权在通知后采取合理措施：(i) 确保 Canva 以符合适用隐私法律的方式处理客户个人数据；以及 (ii) 停止并纠正未经授权使用客户个人数据的行为，包括任何未在协议或本补充协议中明确授权的使用。各方确认，客户将客户个人数据转移给Canva不构成适用隐私法律意义上的“销售”客户个人数据，Canva也不会为交换客户个人数据向客户提供任何金钱或其他有价值的对价。Canva 证明其理解本补充协议下的义务（包括但不限于第2.2节中的限制），并将遵守这些义务。

2.3.国际转账：在 Canva 将客户个人数据（或允许将客户个人数据转移）到收集该数据的国家以外的国家时，应首先采取必要的措施，确保转移符合适用的隐私法律。此类措施可能包括（但不限于）将客户个人数据转移给已签署由欧洲委员会、英国国务大臣、信息专员办公室或巴西数据保护局（视情况而定）采纳的标准合同条款的接收方，或将客户个人数据转移给与 Canva 签订合同、确保客户个人数据符合适用隐私法律要求的接收方。Canva 还将以一种总体提供与客户个人数据首次收集国家相当的保障措施的方式，保护客户个人数据。

2.4. 标准合同条款：在客户向 Canva 转移客户个人数据涉及受限制转移的情况下，SCC 将被引用并成为本补充协议的组成部分，客户为“数据出口方”，Canva 为“数据进口方”。为了符合SCC的目的：(i) 第二模块（控制者与处理者）条款应适用，第一、三和四模块的条款应被全部删除；(ii) 第九条中的第2选项应适用；(iii) 第十一条中的可选语言应被删除；(iv) 第十七条中的第1选项应适用，且SCC应受爱尔兰法律管辖；(v) 第十八条(b)款中的争议应在爱尔兰法院解决；(vi) SCC的附件应填写本数据处理协议附件中列明的信息；(vii) 如果SCC与协议（包括本数据处理协议）中的任何条款冲突，应以SCC为准，直至冲突部分。[/translated_text]

2.4.a. 英国转让：关于受英国通用数据保护条例（UK GDPR）保护的客户个人数据，依据第2.4节纳入的标准合同条款（SCCs）应适用，但须进行以下修改：(i) SCCs应根据英国附录的规定进行修订，英国附录将被引用纳入；(ii) 英国附录第1部分的表格1至3应视为使用本数据处理协议（DPA）附件中的信息填写完成；(iii) 英国附录第1部分的表格4应视为通过选择“进口商”完成；(iv) SCCs与英国附录之间的任何冲突应根据英国附录第10节和第11节的规定解决。

2.4.b. 瑞士转账：关于受瑞士数据保护法（DPA）保护的客户个人数据，按照第2.4节所纳入的标准合同条款（SCCs）应适用，但需作出以下修改：(i) 对“条例（EU）2016/679”的引用应解释为对瑞士数据保护法的引用；(ii) 对“欧盟”、“联盟”和“成员国”的引用应替换为“瑞士”；(iv) 对“主管监管机构”和“主管法院”的引用应解释为对“瑞士联邦数据保护与信息委员会”和“瑞士联邦法院”的引用；(v) 标准合同条款应受瑞士法律管辖，争议应由瑞士有管辖权的法院解决。

2.5.处理保密性：Canva应确保其授权处理客户个人数据的任何人员（包括Canva的员工、代理和分包商）（“授权人员”）都应承担严格的保密义务（无论是合同义务还是法定义务）。Canva 应确保所有授权人员仅为允许的目的而处理数据。

2.6.安全：Canva 将采取适当的技术和组织措施，以防止客户个人数据遭受意外或非法的破坏、丢失、篡改、未授权披露或访问，如附件2（“技术和组织措施”）所述。客户确认，Canva可能会不时通过在https://www.canva.com/policies/technical-and-organisational-measures/公布这些措施来更新或修改技术和组织措施。前提是此类更新和修改不会导致整体安全水平的下降。

2.7.子处理：客户授权 Canva 在提供的允许用途内，聘请第三方处理者（"子处理者"）处理客户个人数据，前提是：

(a) Canva 至少提前30天通过在https://www.canva.com/policies/subprocessors/⁠（在新标签页或窗口中打开）公布详细信息，通知任何子处理方的拟议添加或更换。并将向客户提供一种接收新子处理方通知的机制，以便客户就数据保护方面的合理异议提出，包括涉及客户个人数据的保护。客户应在通知后的10天内，通过 privacy@canva.com 通知 Canva，并说明其异议。在收到此类异议后，如果Canva在合理范围内能够根据协议向客户提供服务，而无需使用被反对的子处理方，并且其自行决定这样做，则客户在关于拟议使用子处理方的本条款下将不再拥有任何权利。如果 Canva 全权酌情决定需要使用子处理方，并且无法满足客户对拟议使用新子处理方或替代子处理方的异议，那么客户可以终止相关的订单表格，该终止在 Canva 开始使用该新子处理方或替代子处理方的日期生效，且仅限于将使用拟议新子处理方进行客户个人数据处理的服务。

（b）Canva对其聘用任何子处理方都施加数据保护条款，确保其提供的保护标准基本与本附录下的标准一致，且Canva对其子处理方的任何行为、错误或疏漏造成的违反本附录的行为承担全部责任。

Canva 当前的子处理方已在 https://www.canva.com/policies/subprocessors/ 进行说明。根据SCC第9(c)条的规定，客户确认由于保密义务，Canva可能被限制向客户披露子处理方协议。当 Canva 无法向客户披露子处理方协议时，Canva 将在合理范围内提供与该协议相关的所有信息（保密的基础上）。

2.8。合作与数据主体的权利： Canva应提供所有合理且及时的协助，帮助客户回应：(i) 数据主体根据适用隐私法律行使其任何权利的请求（包括访问、更正、反对、删除和数据可携带权，视情况而定）；以及 (ii) 与 Canva 处理客户个人数据相关的任何其他通信、查询或投诉，除非适用隐私法律禁止。如果任何此类请求、信函、查询或投诉直接提交给 Canva，Canva 应及时通知客户，并提供全部详细信息。

2.9.数据保护影响评估： Canva应向客户提供所有合理且及时的协助，帮助客户遵守适用隐私法律关于进行数据保护影响评估的义务，并在必要时与相关数据保护机构进行咨询。

2.10.个人数据泄露：一旦发现个人数据泄露，Canva应在不延迟的情况下通知客户，并提供客户合理要求的所有及时信息和合作，以便客户履行其在（以及根据）适用隐私法律下的数据泄露报告义务。Canva 将采取所有合理必要的措施和行动，以补救或减轻个人数据泄露的影响，前提是这些措施涉及客户的个人数据，并将就与个人数据泄露相关的所有重大进展通知客户。客户不得在未获得 Canva 事先批准的情况下，直接或间接识别 Canva（包括在任何法律程序中或向监管机构或受影响的数据主体的通知中）就任何个人数据泄露发表任何声明或承认责任，除非客户在适用法律的强制要求下必须这样做。无论如何，客户应提前合理书面通知 Canva 任何此类沟通或发布。

2.11.删除客户个人数据：协议终止或到期后，Canva 应销毁其所持有或控制的所有客户个人数据，除非出于允许的目的或法律要求需要保留客户个人数据。无论如何，Canva 将按照本附录提供的相同保护标准处理客户个人数据，直到可以删除为止。

2.12.审计：客户确认，Canva 定期由独立的第三方审计机构根据 ISO 27001 标准进行审查。应客户要求，Canva应向客户提供其审计报告的摘要副本，相关报告应遵守协议中的保密条款。Canva 还应对客户提交的任何书面审计问题作出回应，前提是客户每年不得行使此权利超过一次。客户同意，根据《标准合同条款》第8.9条的规定，客户应通过指示Canva遵守本第2.12节所述的审计措施来行使其权利。