Skip to content
GoDesk
法律 · 数据处理附录

数据处理附录

本 DPA 适用于 upDevTeam LTD(“处理者”)与任何使用 GoDesk 服务的客户之间,客户在使用服务时作为 GDPR 下的“控制者”处理可识别个人的数据。它通过引用并入服务条款。

最后更新: 2026-05-06
TL;DR

如果您使用 GoDesk 服务支持商业客户、员工或任何其他可识别的人,则您是控制者,我们是处理者。本 DPA 管辖我们如何根据 GDPR 第28条在您授权的情况下处理个人数据。

通过接受我们的服务条款,您也接受本 DPA。需要对方签字的企业客户可以在 info@godeskflow.com 请求此类文件。

内容
  1. 01定义
  2. 02范围和角色
  3. 03处理详情(GDPR 第 28(3) 条)
  4. 04处理者义务
  5. 05子处理者
  6. 06安全措施
  7. 07国际转移
  8. 08数据主体请求
  9. 09个人数据泄露
  10. 10审计
  11. 11返回和删除
  12. 12责任
  13. 13期限
  14. 14适用法律
  15. 15联系

01定义

大写术语在 GDPR 中具有给定的含义。以下术语具有以下含义。

客户个人数据
客户或其最终用户通过 GoDesk 服务传输或存储的个人数据,我们作为处理者代表客户处理。
GDPR
欧洲议会和理事会于2016年4月27日通过的法规(EU)2016/679(通用数据保护条例)及任何国家实施立法,包括英国GDPR。
处理者
upDevTeam LTD。
控制者
客户。
子处理者
upDevTeam LTD 为处理客户个人数据而雇佣的任何第三方处理者。
标准合同条款
根据 GDPR,将个人数据转移至第三国的标准合同条款,由欧盟委员会决定(EU)2021/914(适用模块2 / 模块3)通过。

02范围和角色

本 DPA 适用于 upDevTeam LTD 在提供服务过程中代表客户处理客户个人数据。

双方承认,在此类处理方面,客户是控制者,而 upDevTeam LTD 是处理者。

upDevTeam LTD 作为控制者处理其自身商业运营中的数据(账户计费、反滥用、市场营销)。隐私政策描述了该处理。

03处理详情(GDPR 第 28(3) 条)

主题
向客户提供 GoDesk 远程桌面服务。
持续时间
只要客户使用该服务,外加第 11 节约定的任何终止后保留期。
性质和目的
托管、传输、身份验证、遥测、支持及其他操作服务所需的处理。
数据类别
账户标识符(电子邮件、对等 ID)、连接元数据(时间戳、IP)及客户选择放入设备名称或会话元数据中的任何个人数据。会话内容采用端到端加密,无法以明文访问。
数据主体类别
客户的最终用户、员工、承包商及通过客户访问服务的任何个人的设备。
特殊类别的数据
upDevTeam LTD 作为处理者不会收集。客户不得在设备名称或其他明文元数据中放入特殊类别的数据。

04处理者义务

upDevTeam LTD 将:

  • 仅根据客户的书面指示处理客户个人数据,包括条款和本数据处理协议中规定的内容,法律要求除外;
  • 确保授权处理客户个人数据的人员受到适当的保密义务约束;
  • 实施并维护第 6 节中描述的技术和组织措施;
  • 遵守 GDPR 第 28(2) 和 (4) 条关于引入子处理者的条件(第 5 节);
  • 根据处理的性质,协助客户履行其在 GDPR 第 32 至 36 条下的义务;
  • 提供全部必要信息以证明符合 GDPR 第 28 条的要求。

05子处理者

客户授权 upDevTeam LTD 涉及以下子处理者:

Supabase, Inc.
账户数据库、身份验证、遥测存储。托管于欧盟。
Hetzner Online GmbH
用于中继和网络基础设施的计算和带宽(塞浦路斯和德国)。
Cloudflare, Inc.
DNS、CDN、边缘安全。
Google Ireland Ltd.
可选分析,只有在客户最终用户通过 Cookie 横幅选择加入时。
Stripe Payments Europe Ltd.
付费计划的卡处理。

我们将在至少 30 天前通知客户有关添加或更换子处理者的信息,通过在 godeskflow.com/dpa 发布更改或通过电子邮件通知账户联系人。如果客户在数据保护方面有所合理异议,我们将本着善意努力寻找解决方案;如果无法达成一致,客户可以方便地终止受影响的服务。

我们对客户的子处理者的行为和遗漏承担责任,就像它们是我们自己的行为一样。

06安全措施

我们实施并维护适合风险的技术和组织措施,包括:

  • 传输中使用 TLS 1.3,静态备份中使用 AES-256-GCM,采用 X25519 + ED25519 密钥交换进行端到端加密会话内容;
  • 基于角色的访问控制,默认使用最小权限且员工必须进行双因素身份验证;
  • 对生产系统的管理操作进行集中审计日志记录;
  • 漏洞管理、依赖扫描和及时安全补丁;
  • 物理安全委托给获得 ISO 27001 认证的数据中心运营商;
  • 记录的事件响应程序,并有值班轮换。

07国际转移

客户个人数据托管在欧洲经济区(EEA)。如需将客户个人数据从 EEA 转移(例如,当涉及美国总部的子处理者时),双方通过引用纳入标准合同条款,由 upDevTeam LTD 作为该转移的“数据出口方”,子处理者作为“数据进口方”。

如果客户成立于 EEA 以外且个人数据从 upDevTeam LTD 流向客户,双方将纳入对应转移的 SCC(模块 4)。

我们对每个非 EEA 子处理者完成转移影响评估,并在评估推荐的情况下应用补充措施(加密、假名化)。

08数据主体请求

如果我们收到来自数据主体的关于客户个人数据的请求,我们将不会直接回应,仅确认收到并将数据主体引导至客户。我们会在不拖延的情况下将请求转发给客户。

我们将根据处理的性质及我们掌握的信息为客户在应对访问、纠正、删除、限制、可携带性和异议请求时提供合理协助。如果请求过于频繁或明显没有依据,我们可能会收取合理费用。

09个人数据泄露

我们将在知晓后不延误地通知客户,且无论如何会在 72 小时内通知客户,涉及客户个人数据的个人数据泄露。通知将包括 GDPR 第 33(3) 条所需的信息,尽可能提供后续更新。

在处理紧急情况的过程中,我们将与客户合作,控制、调查并记录泄露,并在法律要求外不对其做公开声明,除非事先获得客户同意。

10审计

我们向客户提供必要的信息,以证明符合 GDPR 第 28 条,通过(a)本数据处理协议,(b) 请求时可用的安全白皮书,以及(c)相关子处理者最新的第三方审计报告(例如SOC 2报告)。

如果客户合理认为第 10.1 节提及的材料不足,客户可以在至少提前 30 天书面通知的情况下,自费对我们遵守本数据处理协议的情况进行审计,审计不得超过每年一次(除非发生重大违约),前提是审计(i)在正常工作时间内进行,(ii) 不干扰我们的运营,(iii) 由受到适当保密义务约束的独立审计员进行,且 (iv) 不包括访问其他客户的设施或数据。

审计报告是 upDevTeam LTD 的机密信息,只能在保密的情况下与监管机构和法律顾问共享。

11返回和删除

在服务终止时,我们将在客户选择下,并在终止日期后的 30 天内,或以结构化电子格式返回所有客户个人数据,或安全删除它,除非 EU 或成员国法律要求保留。

备份副本将根据我们的标准滚动备份保留(目前为 35 天)进行删除。备份在被覆盖之前仍受第 6 节中的安全措施保护。

12责任

根据本数据处理协议产生的责任受服务条款中责任限制条款的约束。

在 GDPR 第 82 条将责任分配给共同控制者、处理者和子处理者的情况下,各方同意遵循该法定分配。

13期限

本数据处理协议自客户接受服务条款之日起生效,并在 upDevTeam LTD 代表客户处理客户个人数据的期间内继续有效,外加履行第 9、10 和 11 节下的义务所需的任何存续期。

14适用法律

本数据处理协议受塞浦路斯共和国法律管辖,但在适用标准合同条款的情况下,标准合同条款中规定的适用法律优先于标准合同条款的范围内的事项。

15联系

根据本数据处理协议发送的通知应发送至 info@godeskflow.com(数据处理事项)和 info@godeskflow.com(数据主体和监督机构事项)。

如果需要在 upDevTeam LTD 信头上签署的本数据处理协议副本,请发送电子邮件至 info@godeskflow.com。此数据处理协议的英文版为控制版本。