数据处理修正案(DPA)

数据处理修正案

此客户数据处理修正案("DPA")反映了欧洲数据保护条例的要求(“GDPR”),因为它于2018年5月25日生效。欧盟提供的局部产品和服务准备好GDPR,这位DPA为您提供了必要的文件这准备好了。

该数据处理修正案是局部公司(“地方国”)与客户之间的服务条款(“协议”)的编值。本DPA中未定义的所有大写条款应具有协议中规定的含义。客户通过代表本DPA进入此DPA,并在数据保护法下,以其授权的附属公司(如下所定义)所要求的。

双方同意如下:

定义

“Affiliate”是指直接或间接控制的实体由具有实体的共同控制权。

“授权会员”是指根据协议允许或以其他方式接受服务的任何客户联盟。

“控制”是指代所有权,表决或类似兴趣,代表五十百分之五十(50%)或更多兴趣的兴趣随后突出了有关实体的突出。术语“受控”应相应地解释。

“控制器”是指确定个人数据处理的目的和手段的实体。

“客户数据”是指在协议下提供服务的过程中代表客户的任何数据,包括本地主义者和/或其关联公司的数据。

“数据保护法”是指适用于协议下的个人数据处理的所有数据保护和隐私法律和法规,包括适用于欧盟数据保护法。

“欧盟数据保护法”是指2018年5月25日之前,欧洲议会的指令95/46 / EC和理事会关于保护个人数据以及自由流动的个人此类数据(“指令”)和2018年5月25日和之后,欧洲议会的第2016/679条和理事会关于保护个人数据以及此类数据的自由流动的自然人(一般数据保护规则)(“GDPR”); (ii)指令2002/58 / eC关于处理个人数据的处理以及在电子通信部门的保护以及适用的国家实施(在每种情况下,可以修改,取代或更换)。

“个人数据”是指与所识别或可识别的自然人有关的任何客户数据,以便在适用的数据保护法下被视为个人数据。

“隐私盾”是指美国商务部管理的欧盟美国和瑞士美国隐私盾构框架。


“隐私盾构原则”是指欧洲委员会第12零零六年7月12日欧洲委员会决定的隐私盾构框架原则(按补充原则补充)根据该指令,详情,其中可以在www.privacyshield.gov/中找到欧盟美框架。

“处理器”是指代表控制器处理个人数据的实体。

“处理”具有在GDPR中给出的含义,“过程”,“进程”和“处理”应相应地解释。

“安全事件”是指任何未经授权或非法违反安全性,导致意外或非法的破坏,损失,更改,未经授权披露或获取个人数据的违约。

“服务”是指在协议中根据诸如更特别描述的客户提供的任何产品或服务。

“子处理器”是指由地方主义或其附属公司从事任何处理器,以协助履行根据协议或该DPA提供服务的义务。子处理器可能包括第三方或任何地区联盟。

2.此DPA的范围和适用性

2.1此DPA适用于在提供服务的过程中代表客户处理个人数据的地方,只在提供服务和此类个人数据的情况下,欧洲经济区域和/或其欧洲经济区域的数据保护法会员国,瑞士和/或英国。双方同意遵守此DPA的条款和条件,与此类个人数据有关。

2.2各方的作用。与本地主义和客户之间一样,客户是个人数据的控制器,也应仅代表客户处理个人数据作为处理器。协议中的任何内容或此DPA都不应阻止本地主义者使用或共享本地主义者将独立于客户收集和处理的任何数据'使用这些服务。

2.3客户义务。客户同意(i)符合其在数据保护法律下遵守其作为其处理个人数据的法律的义务以及将其向地区问题发出的任何处理指示; (ii)它提供了通知,并获得(或者)在本地主义者处理个人资料的数据保护法下获得所有同意和权利,以便根据协议和本DPA提供服务。

2.4个人数据的局部处理。作为处理器,本地主义者应仅用于以下目的的个人数据:(i)根据协议执行服务的处理; (ii)处理为履行协议执行的任何步骤; (iii)遵守客户提供的其他合理说明,以便他们与此修正案的条款一致,只有根据客户已记录的合法指示。双方同意,该DPA和该协议将客户的完整和最终指示与本地主义者联系,以处理个人数据和处理的范围(如果有的话)要求在客户和局部人之间提前书面协议。

2.5数据的性质。局部人处理客户提供的客户数据。此类客户数据可能包含特殊类别的数据,具体取决于客户的使用方式。客户数据可能受到以下过程活动的约束:(i)存储和提供提供,维护和改进为客户提供的服务所需的其他处理; (ii)为客户提供客户和技术支持; (iii)根据法律规定的披露或在协议中以其他方式提出的披露。

2.6局部数据。尽管该协议(包括此DPA)中有任何相反的规定,客户承认本地主义者有权使用和披露与其合法的运营,支持和/或使用相关的和/或获得的数据经营宗旨,如结算,账户管理,技术支持,产品开发和销售和营销。在数据保护法下认为任何此类数据都被视为个人数据,因此本地主义者是此类数据的控制人,因此应根据数据保护法处理此类数据。

3.次流量

3.1授权子处理器。客户同意本地主义者可以参与子处理器来处理客户的个人数据'代表。当前由本地主义者与客户授权的子处理器列于附件A.

3.2子处理器义务。本地主义者应:(i)与施加数据保护术语的书面协议,要求子处理器保护个人数据保护数据保护法所需的标准; (ii)仍然遵守遵守该DPA的义务以及使局部主人违反此DPA下的任何义务的子处理器的任何行为或遗漏。

3.3对子处理器的更改。如果它添加或删除子处理器,则本地主义者应提供客户合理的预先通知(如果是这样的电子邮件)。

3.4对子处理器的反对意见。客户可能会对本地主义者预约在合理的基础上以与数据保护有关的合理理由,通过在第3.3节收到第3.3节收到的第五(5)个日历日内以书面形式通知定位的地位,以便在第3.3节通知。此类通知应解释异议的合理理由。在此类活动中,缔约方应诚信地讨论此类担忧,以实现商业合理的决议。如果是不可能的,则任何一方都可以终止不使用目标到新子处理器无法提供的适用服务。

4.安全

4.1安全措施。局部人应当根据地方主人实施并维持适当的技术和组织安全措施,以保护个人数据并保留个人数据的安全和机密性'S附件B中描述的安全标准(“安全措施”)。

4.2加工的机密性。局部人应确保由地方主人授权处理个人数据(包括其员工,代理商和分包商)的任何人应在适当的保密义务(是否是合同或法定义务)。

4.3安全事件响应。在意识到安全事件时,局部人应通知客户而不会过度延迟,并应当及时提供与安全事件有关的信息,因为它已知或客户合理要求。

4.4安全措施更新。客户承认安全措施符合技术进步和发展,并且该地方主义可能会不时更新或修改安全措施,但这些更新和修改不会导致客户购买的服务的整体安全性退化。

5.国际转移

5.1处理位置。位于欧洲联盟以外的数据中心中的局域网存储和处理欧盟数据(下面定义)。所有其他客户数据可以在美国和客户,其关联公司和/或其子处理器维护数据处理操作的世界中的所有其他客户数据和世界任何地方进行转移和处理。本地主义者应当根据数据保护法的要求,实施适当的保障保障以保护个人数据。

5.2转移机制:尽管第6.1节,但在欧洲联盟,欧洲经济区和/或其成员国和瑞士(“欧盟数据”(“欧盟数据”)下,本DPA下的局域网进程或转让(直接或通过上海转账)个人数据在上述领土适用数据保护法律中,不确保不确保有足够的数据保护水平的国家,缔约方同意,凭借已通过认证其遵守情况,将认为,本地主义者应被视为为此类数据提供适当的保障措施隐私盾牌和本地主义者应根据隐私盾构原则处理此类数据。客户特此授权欧盟数据的任何转让或访问欧盟数据,欧盟以外的目的地受到任何采取的任何措施。

6.返回或删除数据

6.1在停用服务后,应删除所有个人数据,保存该要求不适用于适用法律所要求的范围内,以保留其所有个人数据,或者其存档的个人数据除适用法律所需的程度外,这种个人数据局部主人应安全地隔离和保护任何进一步的处理。

7.合作

7.1客户无法独立访问服务中相关的个人数据,地方国应(在客户'S费用)考虑到加工的性质,提供合理的合作,通过适当的技术和组织措施来协助客户,以便响应个人或适用于个人处理的个人或适用的数据保护当局的任何要求协议下的数据。如果任何此类请求直接向地区进行,则位于未经客户的情况下不应直接响应此类通信'先前授权,除非法律迫使这样做。如果局部人需要响应此类请求,则本地主义者应立即通知客户并提供副本请求,除非合法禁止这样做。

7.2在数据保护法下,局部主旨需要(在客户)下'S费用)提供关于局部人的合理要求的信息'■根据协议处理个人数据,使客户能够根据法律要求开展数据保护影响评估或与数据保护当局的磋商。

8.杂项

8.1除该DPA的变更外,该协议保持不变,全面效应和效果。如果该DPA与协议之间存在任何冲突,则该DPA将以这种冲突的程度为准。

8.2此DPA是协议中的一部分,所以参考"Agreement"在协议中,应包括此DPA。

8.3在任何方面,任何一方都应限制其对任何个人的责任'根据此DPA或其他方式的数据保护权。

8.4此DPA应根据协议中的管理法律和管辖范围规定,除非按数据保护法另行要求,否则该DPA应受到管理法律和管辖权规定。

附件A - 局部子处理器列表

可应要求提供

附件B - 安全措施

可应要求提供