软件开发外包服务协议（2025年GDPR要求）

软件开发外包服务协议（2025年GDPR要求）本协议由以下双方于[日期]签订：委托方（以下简称“客户”）：[客户公司名称]地址：[客户公司地址]统一社会信用代码/注册号：[客户公司统一社会信用代码/注册号]服务方（以下简称“供应商”）：[供应商公司名称]地址：[供应商公司地址]统一社会信用代码/注册号：[供应商公司统一社会信用代码/注册号]（以下简称“双方”）鉴于客户希望委托供应商进行软件开发服务（以下简称“服务”），并希望在该服务过程中处理相关的个人数据，双方根据《通用数据保护条例》（GDPR）及相关法律法规，本着平等互利、协商一致的原则，达成协议如下：第一条定义1.1除非本协议上下文另有明确说明，以下术语具有以下含义：a)“个人数据”是指任何能够识别自然人的数据或能够识别自然人的任何其他与该自然人相关的数据（无论数据是电子的还是非电子的）；b)“数据处理”是指对个人数据进行任何操作，包括收集、记录、存储、访问、使用、修改、删除、披露、传输或以其他方式处理；c)“数据控制者”是指决定处理个人数据的目的是内容和方式的实体；d)“数据处理者”是指在数据控制者的指令下处理个人数据的实体；e)“数据保护影响评估”（DPIA）是指评估处理活动对个人数据保护可能带来的风险，并确定必要缓解措施的流程；f)“数据泄露”是指个人数据的非授权访问、披露、丢失、篡改或破坏；g)“子处理者”是指由数据处理者委托处理个人数据的第三方。1.2本协议中提及的法律法规均指截至本协议生效之日适用的法律、法规和规章，包括但不限于GDPR及其实施条例。第二条数据控制者与数据处理者2.1客户是本协议项下处理个人数据的控制者，就服务目的决定处理的目的和方式。2.2供应商是本协议项下处理个人数据的处理者，将在客户的指令下处理个人数据，并承担因遵守客户指令而产生的合规责任。第三条数据处理目的与方式3.1供应商同意仅在为实现本协议约定的服务目的所必需的范围内处理个人数据，具体目的包括但不限于：[列明具体服务目的，例如：开发、测试、部署指定软件；提供与软件开发相关的技术支持；内部项目管理等]。3.2供应商承诺以符合GDPR原则的方式处理个人数据，包括：a)合法性、公平性、透明度：处理方式需具有法律依据，公平对待数据主体，并以透明的方式处理数据；b)目的限制：仅为实现声明的目的处理个人数据，不得用于与该目的无关的活动；c)数据最小化：仅收集和处理为实现目的所必需的个人数据；d)准确性：确保个人数据的准确性和及时更新；e)存储限制：不存储个人数据超过实现目的所需的时间；f)完整性与保密性：采取适当的技术和组织措施保护个人数据，防止未授权的访问、泄露、丢失或破坏；g)问责制：能够证明其符合GDPR的要求。第四条数据主体的权利4.1供应商同意在其技术和能力范围内，协助客户履行数据主体依据GDPR享有的各项权利，包括访问权、更正权、删除权（被遗忘权）、限制处理权、数据可携权、反对权等。4.2供应商应建立内部流程，以便及时接收、处理和响应数据主体的权利请求，并将请求转达给客户。供应商应遵守客户就如何处理这些请求给出的明确指令。4.3供应商应配合客户，在法律要求或本协议约定的时限内，向数据主体或监管机构提供必要的信息。第五条安全措施5.1供应商必须实施并维持适当的技术和组织措施（TOMs），以确保个人数据的安全，保护个人数据免受未经授权或非法的处理，以及意外丢失、破坏或损坏。这些措施应与处理个人数据的类型、规模和风险相匹配。5.2具体安全措施应包括但不限于：[列明或要求提供具体措施，例如：采用行业标准的加密技术保护传输中和存储中的个人数据；实施严格的访问控制措施，确保只有授权人员才能访问个人数据；定期进行安全审计和风险评估；建立入侵检测和防御系统；制定并测试数据备份和恢复计划]。5.3供应商应确保其子处理者也遵守不低于本协议规定的安全要求。第六条数据泄露通知6.1供应商在检测到或怀疑发生数据泄露时，必须在发现之日起[例如：72]小时内，通过[例如：电话、电子邮件]向客户指定的联系人报告内部情况，包括泄露的性质、可能的影响、已采取或拟采取的措施等。6.2供应商应配合客户履行向监管机构或数据主体通知数据泄露的义务。第七条子处理者7.1供应商在未经客户事先书面同意的情况下，不得将客户个人数据委托给任何子处理者。7.2供应商选择的子处理者应具备履行数据处理所必需的适当能力，并同意遵守本协议中与数据处理和数据保护相关的所有条款。7.3供应商应向客户提供其选定的子处理者的必要信息，包括子处理者的联系方式、拟处理的数据类型、处理活动细节以及其采用的安全措施。7.4供应商对子处理者的行为和违约承担责任，并应确保子处理者仅为供应商的指令处理个人数据。第八条数据传输8.1如本协议项下的服务或处理活动涉及将个人数据传输至欧盟以外的国家或地区，供应商应确保：a)该国家或地区提供与GDPR相当的的数据保护水平；或b)已采用GDPR认可的保障措施，如标准合同条款（SCCs）。8.2如传输至缺乏充分性保障的国家或地区，供应商应使用客户事先书面同意的、由欧盟委员会发布的SCCs，或经客户书面同意的约束性公司规则（BCRs）或其他保障措施。8.3供应商应向客户提供关于数据传输活动及其依据的详细信息。第九条数据保护影响评估（DPIA）9.1如本协议项下的处理活动或拟议的处理活动被认为具有高风险（例如，处理大量敏感数据，或采用新的广泛监控技术），供应商应在处理活动开始前，根据客户的要求或其自身判断，进行数据保护影响评估（DPIA）。9.2供应商应完成DPIA，并向客户提交评估报告，其中应包括识别的风险、为减轻风险而提出的措施以及采取或拟采取的这些措施的说明。双方应就DPIA的结果和提出的措施进行协商。第十条数据保护官（DPO）10.1双方应根据GDPR第37条的规定，评估处理活动的性质、范围和风险，决定是否需要指定数据保护官（DPO）。10.2如指定DPO，[说明哪一方指定，例如：客户指定其DPO，供应商应与其合作；或双方根据情况协商指定]。指定的DPO应负责监督本协议项下的数据保护合规性，并作为双方就数据保护事宜沟通的接口。10.3双方应确保其指定的DPO能够有效地履行其职责。第十一条合同终止与数据处置11.1本协议在[条件，例如：服务完成、双方协商一致]时终止。11.2无论因何种原因终止本协议，供应商都必须在客户的要求下，并在本协议或其他法律规定的保密义务允许的范围内：a)向客户返还所有包含个人数据的存储介质和记录；或b)在客户书面指示下，安全地删除或匿名化所有个人数据，并证明已采取这些措施。c)上述返还或删除/匿名化义务在本协议终止后持续有效。第十二条违约责任12.1若任何一方违反本协议的约定，特别是违反数据保护相关义务，应承担相应的法律责任，包括但不限于：a)赔偿因违约行为给对方造成的直接损失；b)如因违约导致监管机构处以罚款，违约方应承担该罚款的全部或部分责任，具体比例由双方根据违约情况协商确定；c)有权要求违约方立即停止违约行为，并采取补救措施恢复合规。12.2若供应商未能履行其通知数据泄露的义务，或未能及时通知客户，应承担相应的违约责任。第十三条争议解决13.1因本协议引起的或与本协议相关的任何争议，双方应首先通过友好协商解决。13.2若协商不成，双方同意将争议提交至[选择一种方式，例如：客户所在地有管辖权的人民法院诉讼解决；或提交[指定仲裁委员会名称]按照其届时有效的仲裁规则进行仲裁]。第十四条法律适用14.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。第十五条协议的完整性与修订15.1本协议构成双方就本协议主题达成的完整协议，取代之前所有的口头或书面的协议、谅解和承诺。15.2对本协议的任何修改或补充，均应以书面形式作出，并经双方授权代表签署后生效。第十六条通知16.1与本协议有关的任何通知或通讯应以书面形式，通过本协议首页所示的地址、传真或电子邮件发送。以电子邮件方式发送的，发出时视为送达；以传真方式发送的，发送成功时视为送达；以邮寄方式发送的，寄出后[例如：3]个工作日视为送达。第十七条可分割性17.1若本协议任何条款