最后更新:2025年7月10日
1.1 适用范围。本文件规定名为“Tuduu”(以下简称“平台”)的在线平台的一般使用条款(以下简称“条款”),该平台由 Drilldown S.r.l. 开发并提供,其注册地址位于意大利米兰(MI)20135,Viale Isonzo 8,增值税号/税号 12392590969(以下简称“Drilldown”)。本条款适用于所有注册平台并使用其服务的专业用户。专业用户包括但不限于:使用“食谱”和“Nutrition”版块的营养专业人士(如营养师、饮食学家、膳食顾问);主要使用“食谱”版块的内容创作者和内容提供者;以及使用“Shop”和“食谱”版块的电商运营者。
1.2 接受。用户访问、注册及任何使用平台的行为,都以完整阅读并明确接受本条款以及与之相关的任何文件(如隐私政策和数据处理协议,若适用)为前提。如不接受,则不得使用平台。用户声明已阅读本条款,并承诺始终遵守。
1.3 用户资格。平台仅面向已成年且具备法律行为能力的专业用户。注册即表示用户保证自己已年满18周岁(或已达到其所在国家/地区的法定成年年龄),并且如代表公司或机构行事,则拥有必要的授权代表权。Drilldown 保留要求补充信息或文件以核实用户专业身份的权利(例如,在适用法规要求时,要求营养专业人士提供专业协会/执业名录登记证明)。
2.1 注册流程。平台注册可通过以下方式进行:(i)通过平台网站提供的在线注册表单,用户填写所需数据;或(ii)通过 Drilldown 直接发送邀请(例如在合作、试点项目或联盟计划中)。在任一情况下,完成注册后,都会为用户创建个人账户(以下简称“账户”)。
2.2 所提供的数据与凭证。用户承诺在注册时提供准确、完整、真实的信息(例如姓名、电子邮件地址、职业信息等),并及时更新。账户登录凭证(用户名和密码)为个人专属,不得转让。用户必须对自己的凭证严格保密,不得与第三方共享。如账户遗失、被盗或怀疑遭到未经授权使用,用户应立即通知 Drilldown,后者可采取必要措施(例如临时冻结账户)。
2.3 账户唯一性。除非 Drilldown 就特定需求以书面形式另行授权(例如,为同一组织的不同协作者设置独立账户),每位用户只能创建一个账户。Drilldown 保留删除或合并同一用户重复账户的权利。
2.4 账户管理与暂停。用户对其账户下进行的所有活动负责。Drilldown 有权在任何时候、无需提前通知地拒绝、暂停或注销注册或账户,若其认为存在违反本条款、滥用平台或出于安全原因。若因违反条款而由 Drilldown 注销账户,用户无权就未使用服务期间已支付的任何费用获得退款,除非适用法律另有规定。
3.1 “食谱”版块。平台提供“食谱”版块,用户可在其中创建、上传和管理烹饪食谱。该版块对所有注册专业用户开放,尤其包括:(i)营养专业人士,可创建食谱并纳入客户饮食计划,或与其他用户分享;(ii)创作者和内容提供者,可发布原创食谱、文字、配料、步骤和图片,并使其可在平台上访问;(iii)电商运营者,可将其网店产品与食谱中的配料关联,将食谱作为推广和销售食品的工具。“食谱”版块支持营养及饮食偏好筛选(如素食、纯素、无麸质等),以便更轻松地找到适合特定需求的菜品。上传的食谱会由平台通过算法处理,算法会分析配料并自动计算每份的营养值(例如热量、宏量营养素等),以及依据所列配料判断其与特定饮食方案的兼容性。
3.2 “Shop”版块。“Shop”版块面向从事电商和/或零售、且处于食品或营养领域的专业用户。在此版块中,用户可将其食品目录或配料与 Tuduu 平台整合。具体而言,电商运营者可将其网店产品与 Tuduu 上的食谱关联:例如,食谱中列出的某一配料可对应为运营者商店中可购买的商品。平台终端用户(如访客或运营者客户)因此可一键将这些配料/商品直接加入购物车,形成“可购买食谱”的体验。平台还为与商店整合的食谱提供自动 SEO(搜索引擎优化)功能,以提升其在线可见度。对于与 Shop 关联的产品,平台也可应用营养分析和分类算法:例如识别营养特征,或识别过敏原的存在/缺失,并自动生成筛选条件(如“无乳糖”“有机”等),帮助用户找到符合其饮食需求的产品。
3.3 “Nutrition”版块。“Nutrition”版块主要面向营养专业人士(营养师、饮食学家、膳食顾问或其他获授权人员)。在平台此区域内,专业人士可管理其客户/患者的信息和营养计划。Nutrition 版块的功能包括创建和定制饮食计划、膳食方案或营养报告的工具。专业人士可在营养计划中使用食谱(自行创建或平台已有),并可调整份量,通过集成的营养计算算法实时查看营养影响。此外,Nutrition 版块还可生成 PDF 文件(例如饮食单或交付给客户的报告),并配套专用移动应用:该移动应用可让最终客户直接在智能手机上查看自己的营养计划、推荐食谱和专业人士共享的其他信息。这有助于在平台上实现持续跟踪,并加强专业人士与客户之间的直接互动。
3.4 营养分析算法。在上述所有版块中,Tuduu 平台都使用先进算法对食谱和产品进行营养分析。这些算法处理用户提供的数据(食谱配料、产品营养信息、份量等),并自动生成如下结果:营养值计算(如能量、宏量营养素、微量营养素)、对所含过敏原或特定物质的提示,以及有关食谱/产品是否适合特定饮食的建议(例如某食谱是否适合纯素或无麸质饮食)。这些算法旨在提供有用且准确的信息;然而,它们基于可用数据和一般规则运行,不涉及直接人工干预。因此,生成的结果可能并不总是完全准确或适用于每一种情况。用户(尤其是营养专业人士)有责任在使用或向客户传达这些信息之前,检查并核实算法所提供的营养信息和建议的准确性。用户应如何处理任何错误或不一致,将在本条款后续章节中说明。
4.1 合法且合规使用。用户承诺按照本条款、Drilldown 可能提供的任何说明,以及适用法律法规使用平台及相关服务。禁止用户将平台用于非法或未经授权的目的。具体而言,用户不得:(i)以违反第三方权利或法律规定的方式使用平台(例如侵犯知识产权、个人数据保护、竞争公平等规则);(ii)引入有害、冒犯、诽谤、淫秽或其他不当内容或材料;(iii)未经授权尝试访问平台功能、他人账户或 Drilldown 的信息系统,或破坏平台的安全性或完整性(例如通过植入病毒、恶意软件或其他扰乱性活动)。
4.2 对算法输出的核验。如第3.4条所述,平台通过算法自动生成营养信息和建议。用户确认此类信息仅具参考性,必须始终进行批判性评估。用户,尤其是营养专业人士,有义务在将算法输出用于专业目的或与客户/公众分享前,检查其准确性和一致性(例如,针对某食谱计算出的营养值,或赋予某产品的营养/饮食标签)。如用户发现平台生成的数据存在错误、不一致或异常,应通过平台提供的支持或联系工具及时向 Drilldown 报告。用户知悉,若未履行该核验义务,可能导致不准确的信息传播,而其本人将被视为对此负责。
4.3 用户内容——许可与保证。用户上传、发布或以其他方式输入平台的所有内容(包括但不限于文字、食谱、配料、照片、视频、商标、标识、产品描述)必须由用户合法持有。用户保证其对这些内容拥有必要的权利(知识产权和/或使用权),或已从权利人处获得适当授权,以确保用户在平台上使用这些内容以及 Drilldown 按本条款使用这些内容不会侵犯第三方权利。此外,用户通过上传内容至平台,即授予 Drilldown 非独占、可再许可且免费的权利和许可,使其可仅为提供平台服务及平台推广活动之目的使用、复制、修改、发布、翻译、分发、展示和表演这些内容。该许可将在用户从账户或平台删除内容时终止,但法律义务或权利保护所要求保留的情况除外。用户还保证所提供内容准确、真实(例如,食谱中的营养信息或配料确实属实),且不违反法律法规(例如,不包含食品领域中误导性或不被允许的声明)。用户对其输入平台的内容承担全部责任,并使 Drilldown 免受因上述内容引起的任何第三方主张的损害并为其提供赔偿与免责保护(另见第9.4条赔偿条款)。Drilldown 保留删除或隐藏其自行认定违反本条款、第三方权利或不适当的任何用户内容的权利。
4.4 电商运营者的特别义务。以电商运营者身份使用 Shop 版块的用户,对其上架的产品及通过平台达成的商业交易承担唯一责任。这包括但不限于:食品产品是否符合现行法规(例如食品安全、标签、经授权的营养和健康声明);产品描述的真实性和完整性(配料、过敏原、营养特征、价格等);处理终端用户下达的订单、相应发货、交付、开票,以及根据适用法律(例如如适用于终端客户的《消费者法典》)提供售后支持、退货和退款。Drilldown 仅提供平台的技术基础设施,以促进电商运营者与最终购买用户之间的对接:除第三方合作伙伴介入的情况外,Drilldown 不是电商运营者与最终客户之间商品买卖的合同一方,也不对该等用户销售的产品承担任何保证义务。电商运营者将使 Drilldown 免于因其所提供产品或通过平台进行的商业交易引起的任何责任或费用,包括任何投诉、争议、损害或违约。
4.5 遵守专业规范。如果用户是受职业道德规范或特定法律要求约束的专业人士(例如加入专业协会的营养师),则必须以符合其专业身份义务的方式使用平台。例如,营养专业人士应确保其使用平台工具(如制定饮食方案或营养建议)时,符合适用于其职业的指南和法规。本条款中的任何内容均不免除用户遵守这些专业义务。
5.1 付费服务与 SaaS 方案。访问平台的某些功能或版块(例如,电商高级使用“食谱”版块,或“Nutrition”版块的高级工具)可能需要订阅付费的 SaaS(软件即服务)计划。Drilldown 可提供不同层级的方案(例如:可管理食谱数量上限的方案、额外功能如“可购买食谱”、移除 Tuduu 水印、优先支持等),具体见平台或 Drilldown 的商业文档。部分方案可能包含初始免费试用期,期满后除非用户及时取消,订阅将转为付费。
5.2 费用与支付方式。各类订阅套餐的价格(以下简称“费用”)会显示在平台上或在订阅时由 Drilldown 通知用户。费用通常以不含增值税及任何适用税费的金额表示,如按现行税法应缴纳,则将另行加收。费用通过外部电子支付系统支付,例如 Stripe。订阅时,用户可能需要输入信用卡或其他受支持支付方式的数据,且用户授权 Drilldown(或第三方提供商 Stripe)按所选方案的周期(例如按月或按年)自动扣收应付费用。所有交易均受 Stripe 支付提供商的条款与条件约束;Drilldown 不存储用户信用卡的完整信息,这些信息由 Stripe 安全管理。
5.3 价格变更。Drilldown 保留随时修改订阅方案价格的权利。任何价格变更将在通知用户后的下一个计费周期开始前生效。Drilldown 将在合理提前期内通过适当方式(例如电子邮件或平台内通知)告知用户价格变化。若用户不愿接受新价格,可在变更生效前取消订阅;在变更生效后继续使用服务,即视为接受新价格。
5.4 订阅期限与取消。除非另有说明,订阅均为自动续订:每个周期(每月、每年等)到期后,订阅将自动续期同等时长,除非用户取消或 Drilldown 在下文规定期限内终止。用户可随时通过平台上的相应功能(例如账户设置)或联系 Drilldown 支持请求取消订阅。取消将在已支付订阅期结束时生效:在该期限之前,用户仍可使用付费功能,且未使用期间不予退款。如用户未支付费用(例如信用卡无效或余额不足)或违反本条款,Drilldown 可暂停或终止订阅;在此情况下,用户仍须支付截至终止之日已产生的金额,若终止因用户违约而发生,Drilldown 仍有权要求进一步损害赔偿。
若 Drilldown 与用户签订了规定平台使用特殊条款和条件的书面特定协议(例如定制服务合同、企业协议或合作协议),或规定将内容(食谱与产品)发布到外部渠道,例如市场平台 Tuduu.it 或其他共享渠道,则该特定协议的条款将作为对本条款的补充而适用。若定制合同条款与本一般条款存在冲突,则仅在冲突事项范围内,以定制合同条款为准。对于特定协议未明确规定的所有事项,仍适用本一般条款。
7.1 平台与 Drilldown 内容。平台(包括软件、源代码、设计、用户界面、数据库、“Tuduu”和“Drilldown”商标、标识、域名,以及网站和应用中的所有其他内容和材料,但不包括上述定义的用户内容)为 Drilldown 或其许可方的专有财产。上述元素受版权、商标、专利、工业设计和/或其他知识产权保护法律保护。用户承诺不复制、修改、分发、出售或基于平台或其专有内容的任何部分创作衍生作品,除非 Drilldown 或法律明确允许。访问平台并不以任何方式将 Drilldown 享有的软件或其他元素的知识产权转移给用户,而仅授予一项有限、可撤销、非独占的使用许可,用于按照本条款使用平台。
7.2 用户内容。用户保留其上传至平台之自有内容的全部权利所有权(如第4.3条所定义)。但根据第4.3条,用户授予 Drilldown 以该条款所述目的和限制使用上述内容的许可。用户知悉,这些发布在平台上的内容可能对其他用户可见,或者在食谱或公开信息的情况下,甚至对未注册访客可见,并授权 Drilldown 在平台功能范围内进行必要的发布、分享或索引活动,以提高这些内容的可见度。
7.3 反馈与建议。如果用户向 Drilldown 提供与平台或服务相关的意见、建议或想法(例如提出新功能或改进建议),这些内容不视为保密信息。Drilldown 可自由将这些反馈用于任何目的,且不因此向用户支付任何报酬或给予任何认可,也不因此向用户转移其所实施的任何修改或改进的权利。
8.1 个人数据处理。Drilldown 按照欧盟条例 2016/679(“GDPR”)及适用的意大利隐私法规处理用户提供或在使用平台过程中收集的个人数据。关于个人数据处理方式和目的的信息详见提供给用户并可在平台网站查阅的隐私声明。用户接受本条款,即声明已阅读该声明。
8.2 用户输入的第三方数据。若用户(例如营养专业人士)在平台上输入第三方的个人数据,例如关于其客户或患者的信息(如姓名、联系方式、健康状况或饮食相关数据),则其保证这些数据的取得合法,并在必要时已获得相关当事人的知情同意,以便在平台中使用这些数据。就这些处理而言,用户为数据控制者,Drilldown 在第28条 GDPR 意义下作为数据处理者,仅限于为提供平台服务所必需的存储和处理活动。就此,可能会制定专门的数据处理协议(Data Processing Agreement),详细规定各方在个人数据保护方面的义务;如适用,该协议被视为本条款的组成部分。
8.3 使用数据与汇总数据。Drilldown 被授权收集并处理有关用户使用平台的数据(例如使用的功能、创建的食谱数量、搜索参数、浏览统计、所提供的反馈等),以改进服务并确保平台正常运行。这些使用数据在收集后,可能会经过匿名化和汇总处理,使之不再能够直接或间接识别用户或自然人。用户明确知悉并同意,Drilldown 可在遵守现行法律的前提下,将这些匿名和汇总数据用于统计分析、研究与开发,以及商业和变现目的。例如,这可能包括发布基于整体用户数据得出的营养趋势报告或洞察,或以严格匿名的形式与感兴趣的第三方(如商业合作伙伴)共享统计数据。在任何情况下,此类活动均不会在未经用户同意或没有其他合法依据的情况下,将用户可识别的个人数据传递给第三方。
9.1 平台功能——“按现状”提供。Tuduu 平台及其所有服务和功能均以“现状”和“可获得”为条件向用户提供(“as is” 和 “as available”)。这意味着,尽管 Drilldown 承诺维持平台运行并保持更新,但不对无错误或不中断运行作任何特定保证。特别是,Drilldown 不保证:(i)平台完全满足用户的特定需求;(ii)通过使用平台获得的结果(包括算法营养分析)始终准确、精确或可靠;(iii)平台运行无中断、延迟、故障或错误;(iv)软件中的任何缺陷或漏洞会被立即修复。用户同意,使用平台的风险由其自行承担。
9.2 Drilldown 责任限制。在适用法律允许的最大范围内,Drilldown 不对用户或第三方因使用平台或无法使用平台而遭受的间接、附带、后果性、特殊或惩罚性损害承担责任。在上述限制范围内,任何如下损失均不予赔偿:利润损失、收入或储蓄损失、商业机会损失、数据丢失、业务中断或第三方对用户的索赔。如因任何原因 Drilldown 在与用户的合同关系中被认定承担责任,则其总责任不得超过用户在导致责任事件之前12个月内向 Drilldown 支付的费用金额(若平台免费使用,则最高赔偿额为100欧元)。该责任限制在法律允许的最大范围内适用,本条款中的任何内容均不旨在限制 Drilldown 因故意或重大过失或其他法律不允许限制的情形所承担的责任。
9.3 非医疗或诊断建议。用户确认,平台及所提供功能不构成医疗器械,也不以任何方式提供医疗建议、诊断或个性化医疗治疗。通过 Tuduu 生成的营养信息、数据和建议仅用于信息和专业支持目的,绝不替代医生或合格卫生专业人员的意见。任何与健康、饮食或个体治疗有关的决定,都必须由合格专业人士基于对具体情况的直接评估作出。若用户是营养专业人士,则其对向客户/患者提供的建议仍负全部责任:使用平台并不免除用户亲自评估和遵循最佳专业实践的义务。若用户不是医疗从业者,则必须始终咨询医生或合格专科人士以获取诊断或治疗建议。Drilldown 不保证因使用平台而产生任何健康或身体状况结果,也不对完全依赖平台信息所导致的后果承担责任。
9.4 用户赔偿。用户承诺对 Drilldown 及其代表、员工和协作者进行赔偿并使其免受损害,免于任何损失、损害、责任、费用或支出(包括合理的律师费),这些损失源于任何第三方的索赔或主张,而该索赔或主张由以下情形引起或与之相关:(i)用户在平台上提供、且侵犯第三方权利或法律规定的内容;(ii)用户在使用平台时违反本条款或法律义务;(iii)用户在使用平台时存在疏忽、不谨慎或故意不当行为;(iv)用户通过平台销售或商业化的产品(在电商运营者情况下),包括对该等产品质量、合规性或安全性的任何争议。Drilldown 将及时通知用户此类索赔的发生,并在抗辩中合理协作,但 Drilldown 有权自主决定自己的法律辩护方式。
10.1 合同期限。本用户与 Drilldown 之间的合同关系在用户接受条款时生效(注册和/或首次使用平台)并在用户使用平台期间持续有效。用户的账户及任何订阅均为不定期,但按上述规定定期自动续订,除非按下述规定终止。
10.2 用户解除。用户可随时通过要求注销其账户并停止使用平台的方式解除本合同关系。账户注销可通过平台上的相应功能(如可用)或以书面方式联系 Drilldown 进行。如用户自愿解除,除上文第5.4条关于进行中的订阅另有规定外,用户无权就尚未完全享受的已付费用获得退款。账户关闭后,用户先前输入平台的数据和内容将无法再次访问,但隐私政策中规定的法定义务所要求的数据保存或权利保护情形除外。
10.3 Drilldown 的暂停或终止。Drilldown 保留在以下情况下临时暂停用户访问平台或立即终止本合同(停用账户)的权利:(i)为保障平台或数据安全有必要时(例如发生网络安全破坏或威胁时);(ii)用户严重或反复违反本条款时(例如非法使用平台、未支付应付费用、未经授权披露保密数据等);(iii)法律机关命令或法律要求时;(iv)Drilldown 停止与平台相关的业务或因故无法继续提供服务时。除非法律或命令禁止(例如要求立即屏蔽的命令),Drilldown 将以书面形式向用户说明暂停或终止的原因,并在可能时提前作出合理通知。若终止并非由用户造成(例如上述第(iv)项),且适用时,Drilldown 将向用户退还其已支付但在终止生效日之后未享用的订阅期对应的部分费用。
10.4 终止后的效力。合同关系因任何原因终止后,用户应立即停止使用平台。本条款中性质上应在终止后继续有效的所有条款(例如:已产生的付款义务、免责声明、责任限制、赔偿条款、知识产权及数据处理条款)将继续完全有效。本条款失效不影响各方截至该时点已产生的任何法定权利或救济。
Drilldown 保留随时更新或修改本条款的权利,例如为适应法律变化、引入新功能或服务,或出于其他组织需要。若条款发生实质性变更,Drilldown 将通过在平台网站发布通知和/或向用户注册邮箱发送通知的方式,提前给予适当通知。变更自通知中指定的日期起生效(如未指定,则自通知后15天起生效)。若用户不愿接受修改,可在其生效日前通过注销账户解除合同。如在该期限内未解除,则视为已接受新条款,并自所述生效日起对用户适用。
本条款及由此产生的所有合同关系受意大利法律管辖。凡因本条款的解释、有效性、履行或终止,或与平台使用相关而在 Drilldown 与用户之间产生的任何争议,均提交米兰法院专属管辖,但适用法律规定的强制性管辖法院不受影响。
13.1 完整协议。本条款(连同所引用或附带的文件,如隐私声明及适用时的数据处理协议)构成用户与 Drilldown 之间就用户使用平台事宜的完整协议,并取代双方此前就同一 विषय达成的任何口头或书面协议。仍可依照上文第6条订立特别合同。
13.2 部分无效。若本条款中的任何规定被有管辖权的机构(例如法院)认定为无效、失效或不可执行,则应在法律允许的最大范围内适用,该认定不影响其余条款的有效性和可执行性,其余条款仍完全有效且具有约束力。
13.3 不弃权。Drilldown 依据本条款享有的任何权利或权限如未及时行使或延迟行使,并不构成对该权利或权限的放弃;在法律允许范围内,该权利仍可在后续行使。
13.4 合同转让。未经 Drilldown 事先书面同意,用户不得将本合同(即其账户及由条款产生的权利/义务)转让或移交给第三方。Drilldown 在通知用户后,可在企业转让、重大公司重组,或向其母公司、子公司或关联公司转让的框架内转让本合同,但前提是这不会损害用户依据本条款享有的权利。
13.5 语言与版本。本一般使用条款以意大利语撰写。任何其他语言译本或本地版本仅供查阅便利;如存在不一致或解释疑义,以意大利语文本为准。
13.6 联系方式。对于与本条款或平台使用有关的任何通信,用户可通过网站上所示联系方式联系 Drilldown(例如提供的支持邮箱地址)。Drilldown 也可通过注册时提供的联系方式(电子邮件、地址)联系用户。
双方:本数据处理协议由以下双方签订:
数据控制者(以下简称“控制者”):使用 Nutrition 模块并决定患者个人数据处理目的和方式的专业人士(自然人或法人);
数据处理者(以下简称“处理者”):提供 Nutrition 模块的软件公司(例如软件平台/CRM),代表控制者处理个人数据。
1.1 标的
根据欧盟条例 2016/679(GDPR)第28条,本协议规范处理者代表控制者在向控制者提供的 Nutrition 模块范围内所进行的个人数据处理。具体而言,处理者将仅为提供 Nutrition 模块功能并按照控制者指示(见第6节)处理控制者在 CRM 中输入的数据(姓名、联系方式、患者营养数据等)。个人数据处理将按照 GDPR 第4(2)条允许的操作进行,例如收集、记录、组织、存储、查阅、使用、修改、删除等,为提供服务所必需。
1.2 期限
本协议期限与控制者和处理者之间就使用 Nutrition 模块所形成的合同关系期限一致。只要处理者代表控制者处理个人数据,本协议即持续有效。若主要服务终止(例如账户注销或服务合同到期),则适用第10节所述的数据返还/删除条款。若处理者严重违反数据保护规则或本协议项下义务,控制者有权立即终止本协议。任何一方就违约造成的损失要求赔偿的权利不受影响。
处理者向控制者提供一个软件平台(Nutrition 模块),以 SaaS 方式管理患者营养工作。处理目的在于使控制者能够存储和处理其患者信息,以提供个性化营养咨询、制定膳食计划、监测体重变化及其他健康参数,并管理与患者的沟通及相关预约。这些功能属于软件管理的医疗/营养实践范围,类似于用于病历和治疗计划管理的数字化医疗服务。
具体而言,所进行处理的性质包括提供 Nutrition 模块服务所需的全部操作,包括收集、组织、查阅、修改、保存、导出、向控制者本身传达、删除或销毁系统中输入的数据,均依照控制者的指示进行。处理者不会将数据用于任何超出约定之外的自有目的,也不会向第三方披露,除非依据控制者指示或法律义务(详见下文)。
在 Nutrition 模块范围内,处理者将代表控制者处理与其患者相关的以下类型个人数据:
身份和联系方式数据:姓名、姓氏、电子邮件地址、出生日期和出生地、电话号码及任何地址(例如用于联系患者)。
营养/健康数据:关于患者健康状况和饮食习惯的信息,例如营养偏好或限制(特殊饮食、食物过敏、素食/纯素选择等)、体重监测数据及类似人体测量或健康参数,以及与营养相关的生活方式备注。此类信息属于 GDPR 第4(15)条所称的健康相关个人数据,和/或可能间接揭示宗教或哲学信念(例如饮食选择),构成 GDPR 第9条所称的特殊类别数据。因此,控制者和处理者均承诺采取法规要求的必要防护与安全措施,以保护这些敏感数据。
根据本协议被处理数据的数据主体类别为:控制者的患者(客户),即接受控制者营养咨询或其他服务且其个人数据被输入 Nutrition 模块的自然人。
控制者承诺:
合法性与透明度:确保交由处理者的患者个人数据系合法收集和处理(例如在必要时取得患者知情同意或 GDPR 第6条下的其他有效法律依据),并且已根据 GDPR 第13和14条对数据主体充分告知处理目的和方式。控制者仍对其就这些数据遵守法律义务对数据主体负责。
书面指示:向处理者提供清晰、最新且有书面记录的数据处理指示(例如通过本协议及任何政策或操作说明)。任何额外指示或对初始指示的修改都应以书面形式通知(也可通过电子邮件 PEC 或电子工单系统),并作为参考予以保存。处理者仅依照所收到的指示处理数据。若处理者认为控制者的某项指示违反隐私法规,应立即通知控制者(另见第6节)。
监督与审计:在开始前以及之后定期核查,处理者是否就其受托数据提供了足够的技术和组织措施保证,并遵守本协议规定。控制者有权在合理提前通知后,定期(如每年)对处理者与受托数据相关的活动进行审计或检查,以核实对数据保护规则及约定指示的遵守情况。处理者承诺配合,并在约定范围内提供信息或对基础设施的合理访问(详见第6节和第8节中关于审计和分包商的说明)。
异常报告:如发现处理者在数据处理方式上存在错误、不一致或违规,可能导致不符合本协议或现行隐私规范,控制者应及时通知处理者。双方应协作迅速纠正任何发现的不合规之处。
信息保密:将其在合同关系中获知的有关处理者安全措施、系统和商业秘密的信息视为严格保密。即便本协议终止后,该保密义务仍然有效。
数据主体请求处理:控制者仍负责回应其患者提出的权利请求(访问、更正、删除、反对、可携带等——GDPR 第III章)。若处理者直接收到与本协议所涉数据有关的数据主体通讯或请求,应立即转交控制者,不得自行处理,除非得到特别授权。控制者将向处理者提供满足这些请求所需的指示,并考虑到处理者将在法律规定范围内协助控制者(见第6节)。
处理者承诺履行 GDPR 第28条规定的所有义务。具体而言,除本协议其他部分进一步规定的义务外,处理者必须:
仅按指示处理:仅依据控制者的书面指示处理个人数据。此规定同样适用于向第三国或国际组织传输数据:未经控制者事先指示/授权,处理者不得进行此类操作(另见第9节),除非欧盟或成员国法律要求处理者进行特定处理;在这种情况下,处理者应在处理前通知控制者该法律义务,除非法律因重要公共利益原因禁止该通知。
人员保密:确保其授权处理个人数据的人员(自有员工或协作者)已接受关于遵守隐私法规的适当指示,并在合同上承诺保密(或受适当的法定保密义务约束)。处理者应监督任何在其授权下并可访问控制者个人数据的人,不得在未得到控制者指示的情况下处理这些数据。该保密义务在本协议终止后继续有效。
数据安全:根据 GDPR 第32条采取并维持适当的技术和组织措施,以确保与所委托处理风险相适应的安全水平。这些措施包括但不限于:个人数据的假名化和加密(在适当情况下)、访问控制和身份验证系统、确保处理系统和服务的机密性、完整性、可用性和韧性的能力,以及在发生物理或技术事故时迅速恢复数据访问的能力。处理者应建立程序,定期测试、验证和评估已实施技术和组织措施的有效性(更多安全措施详见下文第7节)。
使用限制:不得将控制者提供的个人数据用于自有目的,亦不得制作副本或重复件,除非为提供服务所必需且无论如何需经控制者同意/指示。处理者保证为控制者处理的数据在逻辑上或物理上与其他客户的数据或其自身数据库分离,以避免混淆。
分包处理者:未经控制者事先书面授权,不得将特定处理活动委托给分包处理者(sub-processors)。如获准使用分包处理者(详见第8节),处理者应对其施加与本协议相同的个人数据保护义务,且对分包处理者履行其义务对控制者承担完全责任。
协助控制者:考虑处理性质和掌握的信息,协助控制者履行其数据保护义务。具体而言,处理者应为控制者提供适当支持,以便其满足数据主体行使权利的请求(访问、更正、删除、反对、可携带等),例如提供软件功能,使控制者可应请求导出、更正或删除患者数据。此外,处理者应在数据安全义务以及必要时向监管机构或数据主体通知个人数据泄露的义务方面,协助控制者遵守 GDPR 第32至34条(例如及时向控制者提供与数据泄露相关的信息,以便其在72小时内完成通知,见下一点)。同样,在需要进行数据保护影响评估(DPIA)或根据 GDPR 第35至36条与监管机构进行事前咨询时,处理者也应提供相关信息予以协助。
泄露通知:在涉及代表控制者处理的数据发生安全漏洞或事故时(例如未经授权访问、丢失、销毁或意外披露个人数据),应立即通知控制者。该通知应包含处理者所知、对控制者评估事件严重性以及履行向隐私监管机构和/或向数据主体通知义务(依 GDPR 第33和34条)所需的全部信息。处理者承诺在事件分析、管理以及根据控制者指示起草相关通知或说明方面支持控制者。
合规证明与审计:向控制者提供证明其遵守本协议义务所需的全部信息。应控制者要求,处理者将提供所实施安全措施的证明文件(例如认证、内部/外部审计报告、合规证明),并协助由控制者或其委派人士进行的检查或核查。审计方式(时间、范围、保护其他客户数据的安全措施等)将由双方在相互需求基础上协商确定。
冲突指示的报告:若处理者认为控制者发出的指示违反 GDPR 或其他与数据保护有关的法律规定,应在执行该指示前及时通知控制者,并可暂停执行,直至控制者确认或修改该指示(如 GDPR 第28(3)条所允许)。
处理者声明其已采取适当的技术和组织措施,以根据 GDPR 第32条确保与所处理风险相适应的安全水平。选择这些措施时,已考虑技术现状、实施成本、处理的性质、范围、上下文和目的,以及对自然人权利和自由的风险。具体而言,处理者实施了如下措施:
访问控制:仅允许经授权人员基于严格必要的目的访问个人数据;为用户和管理员采用安全认证系统(例如强密码、双因素认证)。
加密与假名化:在传输过程中使用加密协议保护个人数据(例如 HTTPS/TLS),并在可行情况下对服务器或备份中的静态数据进行加密。可对汇总分析中的患者识别数据进行假名化,以便在没有额外信息的情况下无法将其归属于特定自然人。
完整性与可用性:定期备份系统和恢复程序,以确保在发生物理或技术事故时,个人数据可被快速恢复并可访问。使用反恶意软件、防火墙和监控措施,防止未经授权访问或数据丢失。
测试与监控:通过内部审计、漏洞测试、安全日志监控等方式定期验证所采取安全措施的有效性,并在必要时及时修复发现的薄弱环节。
处理者所采取的安全措施在专门的技术文档中有更详细说明(例如技术与组织措施附录),该文档可按要求提供给控制者,并视为本协议组成部分。处理者保证根据风险演变和最佳安全实践不断更新这些措施,并将可能影响受托数据保护的重大变更通知控制者。
处理者仅可在获得控制者授权后,方可将其他主体作为分包处理者(subfornitori)介入。该授权可以针对单一分包处理者,或针对已知类别的分包处理者(例如托管服务、电子邮件服务等)作一般性授权;在后一种情况下,处理者仍应就任何新增或替换此类分包处理者的计划通知控制者,使其有机会在分包处理者开始处理数据前提出异议。
任何获准的分包处理者都应由处理者通过书面合同约束,该合同至少应施加与本协议相同的数据保护义务,尤其包括适当的安全和保密保障。处理者仍对其任命的分包处理者对控制者所承担义务的履行承担全部责任;若分包处理者违反其义务,处理者将首先对控制者承担责任。
本协议所涉个人数据的处理仅在位于欧盟或欧洲经济区境内的基础设施(服务器、数据中心)中进行。处理者不预期将个人数据传输至第三国(欧洲经济区之外),除非因使用经控制者根据第8节授权的分包处理者而有必要。在任何情况下,处理者(或其分包处理者)向第三国或国际组织的任何传输,仅可依 GDPR 第V章进行。具体而言,必须事先获得控制者授权,并且应满足 GDPR 第44及后续条款的条件,例如基于欧盟委员会充分性决定,或通过采用欧盟委员会批准的标准合同条款、具有约束力的公司规则或其他适当保障。处理者应告知控制者拟议传输的方式及法律依据,以便控制者评估并授予(或拒绝)授权。
在双方就 Nutrition 模块所涉服务关系因任何原因终止时(例如主合同解除或到期,或由处理者最终停止服务),处理者应停止代表控制者进行的任何进一步个人数据处理。由控制者在合同终止时或在约定期限内以书面形式选择,处理者应返还其代表控制者处理的全部个人数据(例如以可互操作格式导出),或从其系统中彻底删除所有此类数据。在任何情况下,处理者都应删除任何现存数据副本(包括备份副本),除非欧盟或成员国适用法规要求其保留数据(在此情况下,处理者应向控制者说明要求保留的数据及法律依据,并仅为法定保存目的处理这些数据)。应要求,处理者应以书面形式证明已完成删除。
即使本协议终止后,处理者及授权人员在协议有效期内承担的保密义务仍继续有效。处理者还保证,在终止情况下,其任命的分包处理者将受相同的数据返还/删除义务约束。