数据处理协议
作为基础设施提供商,我们如何处理您的数据。
最后更新: 2026-03-14
本数据处理协议("DPA")构成VIRTUA SYSTEMS("Virtua.Cloud"、"我们"、"我们的")与客户("您"、"您的")之间服务条款的组成部分,并根据《通用数据保护条例》(EU)2016/679("GDPR")规定Virtua.Cloud代表客户处理个人数据的相关事宜。
1. 定义
- 个人数据:与已识别或可识别的自然人相关的任何信息,如GDPR第4(1)条所定义。
- 处理:对个人数据执行的任何操作,如GDPR第4(2)条所定义。
- 数据控制者:决定个人数据处理目的和方式的自然人或法人。在本DPA中,客户作为数据控制者。
- 数据处理者:代表数据控制者处理个人数据的自然人或法人。在本DPA中,Virtua.Cloud作为数据处理者。
- 次级处理者:数据处理者委托代表数据控制者处理个人数据的第三方。
- 数据主体:其个人数据被处理的已识别或可识别的自然人。
- 监管机构:负责监督GDPR适用的独立公共机构。
2. 范围和角色
Virtua.Cloud提供基础设施即服务(IaaS)托管。我们的客户获得对其虚拟专用服务器的完全管理访问权限,并对其在该基础设施上存储和处理的数据承担全部责任。
Virtua.Cloud不会访问、监控或处理存储在客户服务器上的数据。我们仅作为提供服务所需的客户账户数据(如联系信息、账单详情和支持通信)的数据处理者。
对于客户选择在其Virtua.Cloud服务器上存储或处理的任何个人数据,客户是数据控制者,并对遵守适用的数据保护法律承担全部责任。
3. 处理详情
| 要素 | 描述 |
|---|---|
| 处理性质 | IaaS托管、账户管理、计费、客户支持 |
| 个人数据类别 | 客户联系信息(姓名、电子邮件、电话)、账单数据(地址、支付参考)、支持工单内容、服务器访问日志 |
| 数据主体类别 | 客户员工和授权联系人 |
| 处理目的 | 服务交付和合同履行 |
| 持续时间 | 在服务协议期间,加上我们隐私政策中描述的适用保留期 |
4. Virtua.Cloud的义务
作为数据处理者,Virtua.Cloud应:
- 仅根据客户的书面指示处理个人数据,法律要求除外。
- 确保被授权处理个人数据的人员受保密义务约束。
- 实施适当的技术和组织措施,以确保与风险相适应的安全水平,包括:
- 自有和租赁机架空间的物理安全,带有访问控制
- 网络安全,包括DDoS防护和防火墙
- 传输中的数据加密
- 严格的访问控制和身份验证
- 自托管的监控和告警系统
- 协助客户回应根据GDPR第三章行使权利的数据主体请求。
- 协助客户确保遵守有关安全、违规通知和数据保护影响评估的义务。
- 在服务协议终止时,根据客户的选择,删除或归还所有个人数据。
- 向客户提供证明遵守本DPA所需的一切信息。
5. 客户的义务
作为数据控制者,客户应:
- 确保所有个人数据处理存在有效的法律依据。
- 遵守所有适用的数据保护法律法规。
- 对存储或处理在其Virtua.Cloud服务器上的任何个人数据承担全部责任。
- 提供符合适用法律的处理指示。
6. 次级处理者
Virtua.Cloud使用以下次级处理者。所有其他服务(监控、工单、电子邮件)完全在我们自己的基础设施上内部运营。
| 次级处理者 | 目的 | 处理的数据 | 位置 |
|---|---|---|---|
| Stripe | 支付处理 | 账单数据、银行卡详情 | EU / US |
| PayPal | 支付处理 | 账单数据、电子邮件地址 | EU / US |
| Mollie | 支付处理 | 账单数据 | EU |
我们将通知您有关次级处理者的任何预期变更,并给您30天内提出异议的机会。如果您提出异议且我们无法合理满足您的异议,任一方均可终止受影响的服务。
7. 数据泄露通知
如果发生影响代表客户处理的数据的个人数据泄露事件,Virtua.Cloud将在知悉泄露后不当延迟地通知客户,且在任何情况下不超过72小时。通知将包括:
- 个人数据泄露的性质
- 受影响的数据主体和记录的类别及大致数量
- 泄露的可能后果
- 已采取或拟采取的补救措施
Virtua.Cloud将与客户合作,履行客户根据GDPR第33条和第34条承担的通知义务。
8. 数据位置
所有客户账户数据(联系信息、账单、支持工单)仅存储在我们位于欧盟的数据中心。不存在客户个人数据的国际传输。
客户可以选择在我们任何可用的位置部署服务器,包括欧盟以外的位置。服务器位置的选择及由此产生的任何数据传输完全由作为数据控制者的客户负责。
9. 数据保留和删除
Virtua.Cloud根据我们的隐私政策中描述的保留计划保留客户账户数据。
服务协议终止后,客户账户数据将根据隐私政策中规定的保留期进行删除。客户有责任在终止前检索或删除其服务器上存储的任何数据。
10. 审计权
客户可以审计Virtua.Cloud对本DPA的遵守情况,但须满足以下条件:
- 客户必须提前至少30天发出书面通知。
- 审计应在正常工作时间内进行。
- 每个日历年不超过一次审计,监管机构要求的除外。
- 审计费用由客户承担,除非审计发现Virtua.Cloud严重违反本DPA。
11. 适用法律
本DPA受法国法律管辖并依其解释。因本DPA引起的任何争议应提交法国巴黎法院专属管辖。
12. 联系方式
如对本数据处理协议有任何疑问或需要行使您的权利,请联系我们: