数据处理协议（DPA）

1）当事方、范围与期限

控制者（“客户”）：签约使用 EU Returns Hub 服务的经营主体（详见订单/在线注册信息）。

处理者：EU Returns Hub — Dzianis Vislavus（详见上文）。

本 DPA 构成并并入双方的服务条款/订单。其适用于处理者在附录 I 所述服务中代表控制者处理的 个人数据。本 DPA 自以下二者中较早者生效：（a）客户在线接受；或（b）双方签署之日；并在基础服务存续期间持续有效。

2）定义

“个人数据”“处理”“控制者”“处理者”“数据主体”“个人数据泄露”“监管机构”等术语与欧盟《通用数据保护条例》（GDPR）一致。

3）角色与职责

• 控制者决定处理之目的与方式，并确保具有合法依据、对数据主体的透明说明。
• 处理者仅代表控制者处理个人数据，不自行决定目的与方式。
• 除非另行书面约定，处理者不有意处理特殊类别个人数据。

4）控制者指令

处理者仅按照控制者的书面指令处理个人数据，包括涉及向第三国/国际组织传输时；法律（欧盟或成员国）另有要求的，处理者将在不被禁止的情况下于处理前告知控制者。

5）处理者义务

• 保密：被授权处理个人数据的人员均受保密义务约束。
• 安全：实施适当的技术与组织措施（“TOMs”，见附录 II），并按风险与技术发展合理维持。
• 分处理：仅依第 7 节约定启用分处理方，并对其履约承担责任。
• 记录：依 GDPR 第 30(2) 条保存处理活动记录，并按控制者请求提供。
• 协助：在合理范围内协助控制者履行 GDPR 第 32–36 条义务（安全、泄露通报、主体请求、DPIA 等）。
• 目的限制：不出售个人数据，不用于广告或无关目的，仅用于服务交付。
• 培训：按岗位提供安全/隐私培训。

6）安全措施

基线 TOMs 载于附录 II，包括访问控制、传输加密、EU 托管存储、日志与监控、漏洞管理，以及仓库物理安全等。

7）分处理方

控制者授予处理者 一般授权 使用列于 /cn/subprocessors.html 的分处理方（或应要求提供清单）。处理者将：（a）对分处理方施加与本 DPA 不低的保护义务；（b）对其履约承担责任；（c）通过上述页面或电子邮件在变更前至少 15 天提前通知。控制者可基于合理理由提出异议；若无法解决，控制者可无罚金终止受影响的服务。

8）国际数据传输

处理主要在 EEA/英国/瑞士境内进行。非经控制者指令或法律要求，处理者不将个人数据传输出上述区域。若发生传输，处理者将采用适当机制（如 欧盟标准合同条款（SCCs））及必要的补充措施。若控制者选择使用境外通信渠道/服务商（如用于支持的 WeChat）或安排对华出口等，此等选择视为控制者对相关接触/物流数据跨境传输的指令。

9）个人数据泄露

处理者在知悉个人数据泄露后将 不延迟且不超过 36 小时 通知控制者，并提供当时可得信息与后续更新，以便控制者履行对监管机构与数据主体的法定义务。

10）数据主体权利与 DPIA 协助

• 处理者在可行情况下将迅速转交其收到的与控制者数据相关的数据主体请求，并协助控制者在法定期限内回复。
• 处理者将按比例合理协助控制者开展数据保护影响评估（DPIA）及必要的事前咨询。

11）数据返还与删除

在相关服务结束时或按控制者书面指令，处理者将 删除 或 返还 个人数据，并删除现存副本，除非欧盟或成员国法律要求保留。运营备份在日常周期内被覆盖（通常不超过 60 天）。发票/会计等法定保存（如波兰税法）可能适用。

12）审计与信息

处理者将提供展示合规所必需的信息，并允许控制者或其委托审计方进行审计（含检查），每 12 个月最多一次，提前 30 天通知，于营业时间进行，并受保密与合理安全规则约束。优先采用远程审计/文档审阅。控制者自行承担自身及第三方费用；超出合理范围的额外支持可收费。

13）责任与赔偿

双方在本 DPA 下的总责任受基础服务条款中的限制与除外约束，法律禁止者除外。本 DPA 不限制因故意不当行为或强制性数据保护义务违约而产生的责任。

14）期限、法律与管辖

本 DPA 在处理者代表控制者进行处理的期间持续有效。适用 波兰法，争议由 波兰波兹南 有管辖权法院专属管辖，但不影响 GDPR 下数据主体或监管机构的强制性权利。

效力优先：如本 DPA 与服务条款冲突，就数据保护事项以本 DPA 为准。

附录 I — 处理详情

A. 标的与目的

为在欧电商/站点卖家提供退货处理：入仓与识别（Client ref/RMA/订单号）、拍照、外观分级（A/B/C）、生成报告、临时存储（14 天），并执行控制者决策（欧洲转售/对华出口/环保处置/延长存储）。

B. 处理性质

收集、记录、结构化、存储、检索、查阅、使用、传输（向控制者或其指定接收方，如物流、平台）及删除。

C. 数据主体类别

• 退货的终端买家；
• 控制者的员工/代理（联系人、账号用户）。

D. 个人数据类别

• 退货面单/单据上出现的标识与联系信息（如订单/RMA 编号；寄件人姓名/地址；如面单载有则包括电话/邮箱）；
• 运营资料：物品照片、分级备注、状态、时间戳、库位；
• 控制者账号：姓名、邮箱/即时通讯（WeChat/WhatsApp）、角色。

E. 特殊类别数据

不以处理特殊类别数据为目的。未经书面明确同意和相应保障，不得指示处理者处理此类数据。

F. 保留期限

• 运营照片/报告：默认保留至多 180 天（可按请求更早删除）；
• 访问/系统日志：通常至多 180 天；
• 发票/会计资料：依波兰法保留（通常 5–6 年）。

G. 处理地点

主要在 EEA 内（仓库位于波兰；EU 托管云）。仅按第 8 节进行境外传输。

附录 II — 技术与组织措施（TOMs）

• 治理与政策：信息安全/数据保护政策；最小权限；入转离管理；保密协议。
• 访问控制：唯一账号；高权限多因素认证；基于角色；会话超时；周期审查。
• 物理安全：仓库 CCTV、限制区域、访客登记；无 Ref/未识别件隔离区。
• 设备与终端：全盘加密；补丁；生产数据终端部署反恶意/EDR。
• 传输与存储：传输 TLS 1.2+；用于照片/报告的云对象存储加密。
• 网络安全：防火墙；网络分段；必要场景下管理员 VPN。
• 监控与日志：访问/管理操作日志；异常告警；时间同步。
• 备份与连续性：关键数据定期备份与恢复演练；仓库运营连续性预案。
• 供应商管理：分处理方尽职调查与合同保障；跨境传输采用 SCC 等机制。
• 漏洞管理：定期更新；漏洞扫描；整改跟踪；变更管理。
• 事件响应：预案、升级路径；依第 9 节通报泄露。
• 数据最小化：仅收集处理识别/作业所必需数据；在可行时对面单照片做去标识处理。
• 测试与质保：在可行时使用匿名/合成数据进行预生产测试。

附录 III — 分处理方

最新清单可见 /cn/subprocessors.html（亦可按需提供）。常见类别包括：

• 欧盟云基础设施/对象存储（EEA 数据中心）；
• 事务型邮件（向控制者用户发送账号/运营通知）；
• 按控制者指令使用的沟通工具（如用于支持的 WeChat）；
• 物流/承运（对华出口或欧盟内运输，按控制者指示）；
• 支付/开票工具（仅控制者计费数据）。