数据处理协议 (DPA)

上次更新日期：2024-08-20

最近更新的分处理者页面：2024-05-12

本《数据处理协议》概述了我们代表您处理个人数据的条款。

此数据处理协议（以下简称“协议”）概述了Petitions24 Oy（以下简称“服务提供商”）在提供在线请愿托管服务（以下简称“服务”）过程中，代表请愿发起人（以下简称“请愿发起人”或“数据控制者”）处理个人数据的义务和条件。

条款修改

我们保留随时更改或修改这些条款的权利，恕不另行通知。

定义和角色

• 服务提供者：Petitions.net（Petitions24 Oy)，作为数据处理者，根据需要代表数据控制者处理个人数据以提供服务。
• 数据控制者：请愿书作者，决定从请愿签名者处收集的个人数据处理目的和方式。 作为托管在Petitions.net上的请愿书的作者，您被视为数据控制者。 您决定请愿书的内容，向签署人询问的问题，处理其个人数据的目的，以及存储个人数据的期限。 Petitions.net 提供一个在线平台用于创建和托管请愿，帮助您作为数据控制者，根据您的目标和法律义务自主决定请愿的数据收集和使用。

处理范围

服务提供商将仅根据数据控制者的指示处理个人数据，并且只在提供服务所需的范围内处理。 处理活动的范围仅限于托管、管理和促进在线请愿。

数据保护

服务提供商承诺实施技术和组织措施，以确保个人数据免受未经授权的访问、丢失或损坏。

Prohibited Data Collection

It is prohibited to request personal identification numbers (such as national ID numbers) from signatories.

Prohibited Data Collection

Petition Authors are strictly prohibited from requesting personal identification numbers (such as national ID numbers) from signatories.

子处理器

服务提供商可以聘请分处理器以协助提供服务。 服务提供商将确保分处理器遵守与本数据处理协议一致的数据保护义务。 您确认并同意，服务提供商保留酌情选择和更换次处理器的权利，以高效提供服务。

List of the subprocessors. （最后更新日期：2024-05-12)

数据控制者义务

数据控制者负责确保个人数据的收集、处理和处理符合所有适用的法律和法规。

数据控制者识别

根据《通用数据保护条例》（GDPR），必须明确说明数据控制者的身份。 以下是对使用我们网站的请愿书作者的规定：

个别请愿发起人

如果您作为个人发起请愿，您需要提供您的全名。 这将作为您根据GDPR规定的数据控制者的身份识别。

组织请愿书作者

如果请愿书是代表某个组织创建的，则必须提供该组织的全称。 此外，组织应指定并提供负责数据处理活动的代表的联系方式，例如数据保护官（DPO）或类似人员。

数据主体权利

数据控制者必须确保数据主体（请愿签署者）能够行使其在GDPR下的权利，例如访问、纠正或删除其数据的权利，或者向监督机构提出投诉的权利。

责任与合规

数据控制者必须能够证明符合GDPR的要求，包括回应数据主体关于其个人数据的请求。

隐私政策或声明

必须提供明确且易于访问的隐私政策或通知，说明如何处理个人数据、处理目的以及数据主体如何行使其权利。

变更通知

请愿书作者必须通知Petitions.net（Petitions24 Oy）他们作为数据控制者的身份或其代表的联系方式的任何变更。

数据处理年度审查

请愿书作者须进行年度审查，以确定是否仍然有合法理由继续处理签署者的个人数据。 此审核应评估数据与请愿目的之间的必要性和相关性。 如果请愿发起者确定不再有继续处理数据的合法理由，则必须采取适当措施停止处理，并根据适用的数据保护法律启动数据删除程序。

数据保留与删除

若数据控制方（请愿书的作者）违反任何数据处理协议（DPA）的条款，包括但不限于未能进行年度数据处理活动审查或未能为继续处理签署人的个人数据提供有效的理由，服务提供商有权删除或移除与其请愿书相关的个人数据。

责任限制

在任何情况下，无论是合同、侵权行为（包括过失）或其他原因，数据处理者对数据控制者的所有损害、损失和诉讼原因的总责任均不得超过数据控制者根据本协议支付给数据处理者的总金额。

适用法律

本协议受芬兰法律管辖。