NeuroCRM← neurocrm.vip

数据处理附录

Last updated: 2026-06-20  ·  Effective date: 2026-06-20

本数据处理附录(“DPA”)构成您(“客户”,即控制者)与 Empire Luxury International Corporation(DBA Neuro Empire)(“NeuroCRM”,即处理者)之间服务条款的一部分,并管辖客户内容中所含个人数据的处理。在数据保护事项上发生冲突时,本 DPA 的效力优先于服务条款。

1. 角色与适用范围

对于客户内容,客户为控制者(或代表其自身客户行事的处理者),NeuroCRM 为处理者(或次级处理者)。NeuroCRM 仅为提供本服务并依据客户的书面指示处理客户内容,这些指示包括服务条款、本 DPA 以及对本服务功能的使用。NeuroCRM 仅就隐私政策中所述有限的账户、计费及安全数据作为独立的控制者行事。

2. 处理详情

标的:提供 NeuroCRM 服务。期限:客户订阅的期限加上任何收尾期。性质与目的:按客户配置提供本服务所必需的托管、存储及处理操作。数据主体类别:客户的联系人、潜在客户、客户、员工及其数据由客户录入的其他个人。个人数据类别:由客户确定,通常为身份识别及联系数据、业务记录和通信;除非另有书面约定,客户不得录入特殊类别数据。

3. 客户指示与合规

NeuroCRM 仅依据书面指示处理客户内容,包括关于传输的指示,除非适用法律另有要求(在此情形下,NeuroCRM 将通知客户,但被禁止通知的除外)。如 NeuroCRM 认为某项指示违反适用的数据保护法律,将通知客户。客户负责客户内容的合法性,并负责具备所有必要的告知和同意。

4. 人员的保密义务

NeuroCRM 确保获授权处理客户内容的人员受保密义务约束,并仅按指示处理数据。

5. 安全措施

NeuroCRM 实施适当的技术和组织措施,以确保与风险相称的安全水平,包括传输中加密及静态存储的访问令牌加密、租户的逻辑隔离、访问控制与日志记录、弹性与备份,以及定期审查。可应请求并在隐私政策中获取概要。

6. 次级处理者

客户授予 NeuroCRM 委托次级处理者的一般授权。当前清单见 /legal/subprocessors。NeuroCRM 对每一名次级处理者施加不低于本 DPA 保护程度的数据保护义务,并对其履行承担责任。NeuroCRM 将就任何新的或替换的次级处理者至少提前 30 天通知;客户可基于合理的数据保护理由提出异议,如双方无法解决该异议,客户可终止受影响的服务并获得已预付未使用费用的退款。

7. 数据主体请求与协助

在考虑处理性质的前提下,NeuroCRM 将以适当措施并在商业上合理的范围内,协助客户响应数据主体请求,并协助其履行有关安全、违规通报、数据保护影响评估及事先咨询的义务。如 NeuroCRM 直接收到数据主体的请求,将转交客户,且除非按指示或法律要求外不予答复。

8. 个人数据泄露通报

在知悉影响客户内容的、已确认或合理怀疑的个人数据泄露后,NeuroCRM 将不无故迟延地通知客户,且无论如何均在24 小时内通知,并提供可用信息以协助客户履行其通报义务,并随调查进展提供更新。此类通知不构成对过错或责任的承认。是否向监管机构或数据主体进行通报的决定及此类通报的作出,是客户作为控制者的责任;NeuroCRM 提供合理配合。

9. 国际传输

如处理涉及将个人数据从欧洲经济区、英国或瑞士传输至无充分性认定的国家,双方纳入欧盟委员会的标准合同条款(2021/914),模块二(控制者至处理者),并以本 DPA 中的信息予以补全,连同适用的英国国际数据传输附录及瑞士适配条款;或者,NeuroCRM 可在已认证的情况下依赖 EU-US Data Privacy Framework。NeuroCRM 视情况采取补充措施。如发生冲突,SCC 仅在必要范围内优先适用。

10. 俄罗斯数据回路(152-FZ)

对于俄罗斯联邦境内个人的个人数据,NeuroCRM 维持一个隔离的俄罗斯回路,依据第 152-FZ 号联邦法律在位于俄罗斯境内的服务器上进行主要的记录和存储,并依据 152-FZ 第 6 条第 3 款按客户指示处理此类数据。该回路及其违规通报流程(初步通报在 24 小时内、结果在 72 小时内通报 Roskomnadzor)独立于 GDPR 链条运行。参见个人数据处理政策(俄罗斯)

11. 审计

NeuroCRM 将提供证明其遵守本 DPA 所必需的信息,并允许进行审计。为尽量减少干扰,NeuroCRM 可在可用情况下通过提供当前的第三方认证或报告(例如 ISO 27001 或 SOC 2 Type II)来满足审计请求。现场或详细审计每年限一次(违规事件之后的情形除外),需至少提前 30 天通知、双方商定范围、保密,并在工作时间内进行且不得造成不合理的干扰。

12. 返还与删除

终止后,依客户在 30 天内作出的选择,NeuroCRM 将以常用格式返还客户内容或将其删除,并应请求在合理期限内证明删除,但法律要求保留的范围除外。例行备份按标准轮换周期予以覆盖。

13. 责任与效力顺序

各方在本 DPA 项下的责任受服务条款中的限制和排除条款约束,包括针对数据保护违规的提高责任上限。本 DPA(包括其所纳入的 SCC)在数据保护事项上优先于服务条款中相冲突的条款。本 DPA 受适用于客户的服务条款中的法律及争议解决条款管辖。

Related documents
Privacy PolicyTerms of ServiceRefund & Cancellation PolicyCookie PolicyAcceptable Use PolicyCopyright & Takedown PolicySub-processorsPersonal Data Processing Policy (Russia)Government & Law Enforcement Requests

NeuroCRM — The Service is operated by Empire Luxury International Corporation (DBA Neuro Empire), 7901 4th St N, STE 300, St. Petersburg, FL 33702, USA.
Questions about this document? Contact support@neurocrm.vip.

© 2026 Empire Luxury International Corporation (DBA Neuro Empire). This page is the official, controlling version of this document in English; translations are provided for convenience.