我们能帮你什么吗?
數據處理附錄 (中文繁体)
本數據處理附錄(以下簡稱”DPA“)納入企業組織用戶與北京商詢科技有限公司及/或其關聯方(以下合稱”DataMesh“,與企業組織用戶統稱”雙方“)之間訂立的《DataMesh FactVerse 隱私政策》(以下簡稱“協議”)並構成其一部分。根據該協議,企業組織用戶訂購了適用協議中定義的 DataMesh FactVerse 服務(以下簡稱“服務”)。本 DPA 的目的是反映雙方關於按照資料保護立法處理企業用戶和客戶個人資料的條款達成共識。
本 DPA 並不取代或替代由企業組織用戶協商並在協議或(如適用)受協議管轄的訂單(“訂購文件”)中提及的與客戶個人資料處理有關的任何協議或附錄,而且任何此類單獨協商的協議或附錄的效力高於本 DPA,在本DPA與任何上述單獨協商的協議或附錄約定有不一致的情形下,應適用該單獨協商的協議或附錄。在根據本協議向企業組織用戶提供 SAAS 服務的過程中,DataMesh 可以代表企業組織用戶處理客戶個人資料。DataMesh 同意遵守以下關於由企業組織用戶或為企業組織用戶提交給 SAAS 服務或由企業組織用戶或為企業組織用戶通過 SAAS 服務收集和處理的任何客戶個人資料的規定。本文中任何大寫但未定義的術語應具有協議中規定的含義。
定義
“數據保護立法“是指(如適用)歐洲議會和理事會2016年4月27日有關在處理客戶個人數據方面保護自然人並廢除第95/46/EC號指令(”GDPR”)的歐盟2016/679號條例、2018年英國《數據保護法案》、英國的《一般數據保護條例》(根據《2018年退歐法案》納入,經英國2019年《數據保護、隱私和電子通訊條例》修正)(“UK-GDPR”)、英國2003年《隱私和電子通訊條例》(“PECR”)、1992年《瑞士聯邦數據保護法案》(經修訂)(“FADP”)、《中華人民共和國個人信息保護法》(2021)(“PRC–PIPL”)、《中華人民共和國數據安全法》(2021)(“PRC-DSL”)以及任何相關管轄區可能存在的所有其他與處理客戶個人數據和隱私有關的適用法律。
“關聯方“是指擁有或控制、被某方擁有或控制、與某方處於同一控制或擁有下的實體,其中控制被定義為直接或間接擁有指導或導致指導某實體的管理和政策的權力,無論是通過擁有投票權的證券、通過合同或其他方式獲得。 企業組織用戶:是指經企業組織授權的管理員創建企業組織架構,邀請組織成員作為企業組織用戶登錄DataMesh賬號或為用戶配置企業賬號,完成企業組織創建後,由企業組織授權管理員配置、開通、管理和使用DataMesh產品的用戶。DataMesh企業組織用戶包括但不限於法人、組織、合夥企業或個體工商戶等合法主體。 客戶數據:指由客戶提供或為客戶提供的與服務相關的電子數據和信息,包括任何客戶個人數據,不包括非DataMesh應用程序信息。
客戶個人數據是指在使用產品的過程中由客戶或其他方代表客戶提交、存儲、發布、展示或以其他方式傳輸的任何個人數據,但不包括以違反適用的訂閱協議和或本 DPA 的方式由客戶或其他方代表客戶提交、存儲、發布、展示或以其他方式傳輸的任何個人數據。
“數據控制者(人)””數據處理者(人)””數據主體“”客戶個人數據“”處理“以及”適當的技術和組織措施”應根據適用的數據保護立法來解釋。
“分處理人”或“分處理者”是指由 DataMesh 或任何 DataMesh 關聯方指定或代表 DataMesh 或任何 DataMesh 關聯方,代表企業組織用戶和/或企業組織用戶關聯方處理與協議有關的客戶個人數據的任何人(包括任何第三方和任何 DataMesh 關聯方,但不包括 DataMesh 的雇員或其任何承包商)。
數據保護條款
雙方的關係。 雙方同意,就提供 SAAS 服務過程中處理的客戶數據而言,企業組織用戶是數據控制人,而 DataMesh 是其數據處理人。企業組織用戶應在任何時候遵守數據保護立法,以處理其根據協議提供給 DataMesh 的所有客戶個人數據以及與使用 SAAS 服務有關的客戶個人數據。
企業組織用戶關聯方。 如果企業組織用戶關聯方已經簽署了一份訂購文件,但其本身並不是協議的一方,則本 DPA 是該訂購文件的附錄。如果企業組織用戶關聯方既不是訂購文件的締約方,也不是協議的締約方,則本 DPA 不適用於該關聯方。此類關聯方應要求企業組織用戶為該實體的利益簽署一份數據處理協議。
處理的目的、期限和性質。 本 DPA 所涵蓋的處理主題是許可企業組織用戶訪問和使用通過 DataMesh 網站(https://datamesh.com、https://www.datamesh.com.cn/、https://www.datamesh.co.jp/)或訂購文件訂購或另行在協議、訂購文件或本 DPA 中描述的 SAAS 服務,該處理將持續到適用的訂購文件中所列的期限結束。有關處理性質的詳細信息載於本 DPA 的附表1。
- 應按下列處理客戶個人數據: (i) 按照本 DPA、協議或(如適用)訂購文件中規定的企業組織用戶的書面指示; (ii) 由企業組織用戶分享或傳送與企業組織用戶使用服務有關的數據;及 (iii) 遵守企業組織用戶提供的其他書面合理指示,而該等指示須符合本 DPA、協議及數據保護立法的條款。如果 DataMesh 被要求為適用法律規定的任何其他目的處理客戶個人數據,DataMesh 將在處理之前通知企業組織用戶該要求,除非該法律以公共利益等重要或強制性理由禁止這樣做。
- 如果 DataMesh 認為企業組織用戶通過服務提供的客戶個人數據處理指令違反了適用的數據保護立法,應及時通知企業組織用戶,不得無故拖延。
- 應實施和維護適當的技術和組織措施,以保護客戶數據免遭未經授權或非法處理以及意外損失、破壞、損害、盜竊、更改或披露。這些措施應與任何未經授權或非法處理、意外丟失、破壞、損害或盜竊客戶數據可能造成的損害相適應,並考慮到要保護的客戶數據的性質。
- 可雇用並已雇用其他公司代表其提供有限的服務,但 DataMesh 必須遵守本條款的規定。企業組織用戶特此確認其對 DataMesh 使用分處理人的一般授權。DataMesh 當前的分處理人名單可應企業組織用戶的書面要求提供。將允許分處理人處理客戶數據,以提供 DataMesh 聘請他們提供的服務,他們應被禁止將客戶數據用於任何其他目的。DataMesh 仍對其分處理人遵守本 DPA 的義務負責。DataMesh 向其傳輸客戶個人數據的任何分處理人將與 DataMesh 簽訂書面協議,要求分處理人遵守與本 DPA 的要求一致的條款。如果企業組織用戶要求通知對分處理人名單的任何更新,企業組織用戶可通過電子郵件 compliance@datamesh.com 要求此類通知。DataMesh將在任何此類通知的三十(30)天內更新該名單,如果企業組織用戶在該時間範圍內沒有合法地反對此類更改。合法的反對必須包含與分處理人不遵守適用的數據保護立法有關的合理和有記錄的理由。如果 DataMesh 合理地認為這些反對意見是合法的,企業組織用戶可通過向 DataMesh 提供書面通知,終止協議。企業組織用戶承認並同意:(a) DataMesh 的關聯方可通過與 DataMesh 的書面協議保留為分處理人,以及 (b) DataMesh 和 DataMesh 的關聯方可根据本條款第 4 條,在提供 SAAS 服務方面分別聘用第三方分包商。
- 應確保所有需要訪問客戶數據的 DataMesh 人員被告知客戶數據的保密性質,並遵守本條款和適用的數據保護立法中規定的義務。
- 應根據企業組織用戶的書面要求,協助企業組織用戶實施適當和合理的技術和組織措施,以協助企業組織用戶履行義務,回應數據保護立法規定的數據主體的要求(包括與處理有關的資訊要求,以及與訪問、糾正、刪除或攜帶客戶數據有關的要求),但 DataMesh 有權要求企業組織用戶賠償與此類協助有關的任何時間、開支或費用的合理成本。
- 應根據企業組織用戶的要求採取合理措施,協助企業組織用戶履行 GDPR 第 32 至 36 條規定的義務,同時考慮到本 DPA 下處理的性質;但是,DataMesh 保留要求企業組織用戶賠償與此類協助有關的任何時間、支出或費用的合理成本的權利。
- 應在服務的適用期限結束時,根據企業組織用戶的書面要求,安全地銷毀或將此類客戶數據歸還給企業組織用戶。
- 同意在 DataMesh 處理或允許任何分處理人在任何未被數據保護立法視為對客戶數據提供充分保護的國家處理客戶數據時,按以下方式跨越國際邊界傳輸此類客戶數據。(i) 在歐盟和歐洲經濟區,遵守標準合同條款,這些條款應通過提及方式全部納入並構成本 DPA 的組成部分,並載於下文附表 2(「標準合同條款」或「SCCs」)。但如果 DPA 與標準合同條款發生衝突,應以標準合同條款為準,(ii) 對於英國,應遵守根據英國信息委員會辦公室的指導意見修訂的標準合同條款,如附表 3 所示。(iii)對於瑞士,應遵守根據聯邦數據保護和信息委員會的指導意見(見附表4)修訂的標準合同條款,雙方同意該條款應適用於此類轉讓;(iv)對於其他管轄區,應遵守適用的數據保護法律和規則。
- 應根據書面要求,以關於其安全、隱私和架構的第三方認證和審計報告的形式提供有關其合規性的資訊,或以行業標準的書面審計調查表作出回應,但此類審計的目的是核實 DataMesh 是否按照 DPA 規定的義務處理客戶數據。此類審計可由企業組織用戶或由獨立成員組成的檢查機構進行,該檢查機構擁有必要的專業證書或資格,對上述機構有保密義務的約束。為避免疑問,不允許進入 DataMesh 的資訊技術系統的任何部分、數據託管點或中心或其基礎設施。雙方同意,標準合約條款中描述的任何審計均應遵守這一規定。
- 如果 DataMesh 意識到其安全遭到破壞,導致 DataMesh 在根據協議提供 SAAS 服務的過程中處理的客戶數據遭到任何意外的、未經授權的或非法的破壞、丟失、更改、披露或訪問(「事件」),應立即通知企業組織用戶,並向企業組織用戶(此後盡快)提供事件的描述以及關於事件的定期更新資訊,包括其對客戶數據的影響。DataMesh 應另外採取行動調查該事件並合理地防止或減輕該事件的影響;以及
- 應提供企業組織用戶合理要求的相關資訊,以證明遵守本 DPA 中規定的義務。 責任的限制。本 DPA 應受企業組織用戶與 DataMesh 在協議中商定的責任限制的約束,此類限制應合計適用於協議和 DPA 下的所有索賠。
DPA 附錄 1
數據處理的細節
DataMesh 應根據協議和 DPA 處理資訊以提供 SAAS 服務。DataMesh 應處理由客戶的最終用戶通過客戶的 SAAS 服務的實施確定的資訊。作為一個例子,在某個標準的程序化實施中,為了利用服務,客戶可允許將以下資訊作為“預設屬性”默認發送。
個人數據的類型
● 企業名稱
● 電子郵箱地址
● 真實姓名
數據主體的類別
客戶網絡和移動應用程序的用戶。
處理活動
由 DataMesh 向客戶提供服務。
DPA 附錄 2
标准合同条款(处理者)標準合約條款(處理者)
為了 GDPR 第 28 條和第 46 條的目的,將客戶數據傳輸給在第三國建立的處理者,這些國家不能確保足夠的數據保護水平。
根據這些規定,DataMesh 應被視為“進口商”,而客戶應被視為“出口商”。進口商的聯繫資訊如下:
名稱:DataMesh
電子郵件: compliance@datamesh.com
數據出口商的聯繫資訊出現在客戶與 DataMesh 之間適用的訂單表、發票或主服務協議上。數據出口方和數據進口方就以下標準合約條款(“條款”)達成協議,以便為數據出口方向數據進口方傳輸協議或 DPA 附錄1中確定的客戶數據提供充分的隱私保護及基本權利和自由保障。
第一節
第 1 條 目的和範圍
(a) 這些標準合約條款的目的是確保遵守歐洲議會和理事會2016年4月27日有關在處理客戶數據方面保護自然人和此類客戶數據自由流動的(EU)2016/679號條例(通用數據保護條例)的要求,以便使客戶數據傳輸到第三國。
(b) 締約方/雙方:
(i) 傳輸附錄I.A所列客戶數據的自然人或法人、公共機關、機構或其他機構(以下簡稱“實體”)(以下簡稱“數據出口方(者)”),以及
(ii) 直接或間接地通過同為本條款締約方的另一實體,從數據出口方接收附錄I.A中所列的客戶數據的第三國的實體(以下簡稱,各“數據進口方(者)”)。
已同意這些標準合約條款(以下簡稱“條款”)。
(c) 本條款適用於附錄I.B中規定的客戶數據的傳輸。
(d) 本條款的附錄,包括其中提到的附錄,構成本條款的組成部分。
第 2 條 條款的效力和不可變更性
(a) 本條款根據(歐盟)2016/679號條例第46(1)條和第46(2)(c)條規定了適當的保障措施,包括可執行的數據主體權利和有效的法律救濟措施,對於從控制者向處理者和/或處理者之間的數據傳輸,根據(歐盟)2016/679號條例第28(7)條規定了標準合約條款,不得被修改,除非選擇適當模塊或添加或更新附錄中的資訊。這並不妨礙締約方將這些條款中規定的標準合約條款納入更廣泛的合約和/或增加其他條款或額外的保障措施,只要它們不直接或間接地與這些條款相矛盾或損害數據主體的基本權利或自由。
(b) 這些條款不影響數據出口者根據(歐盟)2016/679號條例所承擔的義務。
第 3 條 第三方受益人
(a) 數據主體可以作為第三方受益人,對數據出口方和/或數據進口方援引並執行這些條款,但以下情況除外。
(i) 第1條、第2條、第3條、第6條、第7條;
(ii) 第8.1(b)條、第8.9(a)、(c)、(d)和(e)條;
(iii) 第9(a)、(c)、(d)和(e)條;
(iv) 第12(a)、(d)和(f)條;(v) 第13條;
(vi) 第15.1(c)、(d)和(e)條;
vii) 第16(e)條;
(viii) 第18(a)和(b)條。
(b) (a)段不影響(歐盟)條例2016/679規定的數據主體的權利。
第 4 條 解釋
(a) 如果這些條款使用了在(歐盟)2016/679號條例中定義的術語,這些術語應具有與該條例中相同的含義。
(b) 這些條款應根據(歐盟)2016/679號條例的規定來閱讀和解釋。
(c) 這些條款的解釋不得與(歐盟)2016/679號條例規定的權利和義務相衝突。
第 5 條 層次結構
如果這些條款與雙方在商定這些條款時存在的或此後簽訂的相關協議的規定有矛盾,則以這些條款為準。
第 6 條 傳輸說明
傳輸的細節,特別是傳輸的客戶數據類別和傳輸的目的,在附錄I.B中規定。特別是傳輸的個人數據類別和傳輸的目的,在附件IB中規定。
第 7 條- 可選 對接條款
特意省略的這一條款
第二節- 雙方的義務
第 8 條 數據保護措施
數據出口方保證其已作出合理努力確定數據進口方能夠透過實施適當的技術和組織措施履行其在這些條款下的義務。
8.1 指示
(a) 數據進口方應僅根據數據出口方的書面指示處理客戶數據。數據出口方可以在整个合約期間發出這種指示。
(b) 如果數據進口方無法遵循這些指示,應立即通知數據出口方。
8.2 目的限制
數據進口方應僅為附錄I.B中規定的特定傳輸目的處理客戶數據,除非數據出口方有進一步指示。
8.3 透明度
應要求,數據出口者應向數據主體免費提供這些條款的副本,包括由雙方完成的附錄。在保護商業機密或其他機密資訊的必要範圍內,包括附錄二所述的措施和客戶個人數據,數據出口者可在分享副本之前編輯這些條款附錄的部分文本,但在數據主體無法理解其內容或行使其權利時,應提供有意義的摘要。應數據主體的要求,雙方應在不透露經編輯的資訊的情況下,盡可能向數據主體提供編輯的理由。本條款不影響數據出口方根據(歐盟)2016/679號條例第13和14條所承擔的義務。
8.4 準確度
如果數據進口方意識到其所收到的客戶數據不準確或已經過時,其應通知數據出口方,不得無故拖延。在這種情況下,數據進口方應與數據出口方合作,刪除或糾正這些數據。
8.5 處理的期限和數據的刪除或歸還
數據進口商的處理應僅在附錄I.B中規定的期限內進行。在提供處理服務結束後,數據進口方應根據數據出口方的選擇,刪除代表數據出口方處理的所有客戶個人數據,並向數據出口方證明其已這樣做,或向數據出口方歸還代表其處理的所有客戶個人數據並刪除現有副本。在數據被刪除或退還之前,數據進口方應繼續確保遵守這些條款。如果適用於數據進口方的當地法律禁止歸還或刪除客戶個人數據,數據進口方保證其將繼續確保遵守這些條款,並僅在當地法律規定的範圍和時間內處理這些數據。這並不妨礙第14條,即第14(e)條對數據進口方的要求,即在整個合約期間內,如果數據進口方有理由相信其受制於或已經受制於不符合第14(a)條規定的法律或慣例,則應通知數據出口方。
8.6 處理的安全性
(a) 數據進口方以及在傳輸過程中數據出口方應采取適當的技術和組織措施,以確保數據的安全,包括防止安全漏洞導致意外或非法破壞、丟失、更改、未經授權的披露或訪問該數據(以下簡稱“客戶個人數據洩漏”)。在評估適當的安全水平時,雙方應適當考慮技術水平、實施成本、處理的性質、範圍、背景和目的以及處理過程中對數據主體涉及的風險。雙方應考慮採用加密或匿名化,包括在傳輸過程中,如果處理的目的可以通過這種方式實現。在匿名化的情況下,在可能的情況下,用於將客戶個人數據歸屬於特定數據主體的附加資訊應保持在數據出口方的專屬控制之下。在遵守本款規定的義務時,數據進口方應至少實施附錄二中規定的技術和組織措施。數據進口方應進行定期檢查,以確保這些措施繼續提供適當的安全水平。
(b) 數據進口方應僅在執行、管理和監測合約所嚴格需要的範圍內允許其工作人員訪問客戶個人數據。數據進口方應確保被授權處理客戶個人數據的人員已承諾保密或承擔適當的法定保密義務。
(c) 如果數據進口方根據本條款處理的客戶個人數據發生了客戶個人數據洩漏,數據進口方應採取適當措施處理該洩漏事件,包括采取措施減輕其不利影響。數據進口方也應在意識到洩漏事件後,在沒有不當延遲的情況下通知數據出口方。該通知應包含獲取更多資訊的聯繫人的詳細資訊、對洩漏事件性質的描述(如有可能,包括有關數據主體和客戶個人數據記錄的類別和大約數量)、其可能的後果以及為解決該問題而採取或建議採取的措施,包括在適當情況下減輕其可能的不利影響的措施。在不可能同時提供所有資訊的情況下,最初的通知應包含當時可獲得的資訊,隨後在獲得進一步資訊時應無不當延遲地提供。
(d) 考慮到處理的性質和數據進口方可獲得的資訊,數據進口方應與數據出口方合作並協助數據出口方,使數據出口方能夠遵守(歐盟)2016/679號條例規定的義務,特別是通知主管監督機構和受影響的數據主體。
8.7 敏感數據
如果傳輸涉及揭示種族或民族血統、政治觀點、宗教或哲學信仰或工會會員資格的客戶個人數據,基因數據,用於唯一識別自然人的生物識別數據,有關健康或個人性生活或性取向的數據,或與刑事定罪和犯罪有關的數據(以下簡稱“敏感數據”),數據進口方應適用附錄I.B所述的特定限制和/或額外保障措施。
8.8 再傳輸
數據進口方只能根據數據出口方的書面指示向第三方披露客戶個人數據。此外,只有在第三方在適當的模塊下受到或同意受到本條款的約束的情況下,才能向位於歐盟以外的第三方披露數據(與數據進口方在同一國家或在另一個第三國,以下簡稱「再傳輸」),或者,數據進口方在下列情況下才能進行再傳輸:
(i) 再傳輸到一個受益於根據2016/679號條例(歐盟)第45條作出的充分性決定的國家;
(ii) 第三方根據(歐盟)2016/679號條例第46條或第47條的規定,在有關處理方面確保適當的保障措施;
(iii) 在具體的行政、監管或司法程序中,為建立、行使或捍衛法律主張而必須進行的再傳輸;或
(iv) 為了保護數據主體或其他自然人的重要利益所必需。
只有當數據進口方遵守這些條款規定的所有其他保障措施,特別是目的限制的情況下,再傳輸才能進行。
8.9 證明文件與合規
(a) 數據進口方應及時並充分地處理數據出口方提出的與本條款下處理有關的查詢。
(b) 雙方應能證明對這些條款的遵守。特別是,數據進口方應保留有關代表數據出口方進行處理活動的適當文件。
(c) 數據進口方應向數據出口方提供所有必要的資訊,以證明遵守這些條款中規定的義務,並應數據出口方的要求,在合理的時間間隔或有跡象表明不合規時,允許並協助對這些條款所涵蓋的處理活動進行審計。在決定審查或審計時,數據出口方可考慮到數據進口方持有的相關認證。
(d) 數據出口方可選擇自行進行審計,也可以委託獨立審計師進行審計。審計可包括對數據進口方的場所或實際設施的檢查,並應酌情在合理的通知下進行。
(e) 締約方應根據要求向主管監督機構提供(b)和(c)段中提到的資訊,包括任何審計的結果。
第 9 條 使用分處理者
(a) 一般書面授權。數據進口方擁有數據出口方的一般授權,可從商定的清單中聘用分處理者。數據進口方應至少提前30天以書面形式明確通知數據出口方擬通過增加或更換分處理者對該清單進行任何更改,從而使數據出口方有足夠時間在聘用分處理者之前反對此類更改。數據進口方應向數據出口方提供必要資訊,使數據出口方能夠行使其反對權。
(b) 如果數據進口方聘請分處理者(代表數據出口方)進行具體的處理活動,其應通過書面合約的方式進行,該合約實質上規定了與數據進口方在這些條款下受到約束的相同的數據保護義務,包括在數據主體的第三方受益人權利方面。雙方同意,通過遵守本條款,數據進口方履行了其在第8.8條下的義務。數據進口方應確保分處理者遵守數據進口方根據這些條款所承擔的義務。
(c) 數據進口方應根據數據出口方的要求,向數據出口方提供此類分處理者協議和任何後續修正案的副本。在保護商業機密或其他機密資訊(包括客戶個人數據)的必要範圍內,數據進口方可在分享副本之前對協議文本進行編輯。
(d) 數據進口方應繼續為分處理者履行合約義務的情況,向數據出口方負全部責任。數據進口方應將分處理者未能履行該合約規定的任何義務的情況通知數據出口方。
(e) 數據進口方應與分處理者商定一個第三方受益人條款,據此,在數據進口方事實上已經消失、在法律上不復存在或已經破產的情況下,數據出口方應有權終止分處理者合約並指示分處理者刪除或歸還客戶個人數據。
第 10 條 數據主體的權利
(a) 數據進口方應及時通知數據出口方其從數據主體收到的任何請求。除非得到數據出口方的授權,否則數據進口方本身不得對該請求作出回應。
(b) 數據進口方應協助數據出口方履行義務,以回應數據主體根據(歐盟)2016/679號條例行使其權利的請求。在這方面,考慮到處理的性質以及所需協助的範圍和程度,雙方應在附錄二中規定適當的技術和組織措施。
(c) 數據進口方應在不違反服務功能的情况下允許客戶在服務期限內刪除客戶數據。客戶使用刪除功能刪除客戶數據後,將無法恢復這些數據。DataMesh將遵從客戶的刪除指令和適用法律,盡快在30天內將客戶數據從DataMesh系統中移除,除非DataMesh遵循的任何適用法律或法規要求DataMesh以更長的期限去保留這些數據。
(d) 在履行(a)、(b)和(c)段規定的義務時,數據進口方應遵守數據出口方的指示。
第 11 條 救濟
(a) 數據進口方應通過個別通知或在其網站上,以透明且易於訪問的形式,告知數據主體一個有權處理投訴的聯繫人。數據進口方應迅速處理其從數據主體處收到的任何投訴。
(b) 如果數據主體與締約方之一在遵守這些條款方面發生爭議,該方應盡最大努力及時友好地解決此問題。雙方應相互通報此類爭議,並在適當時合作解決這些爭議。
(c) 如果數據主體根據第3條援引第三方受益權,數據進口方應接受數據主體的決定。
(i) 向其經常居住地或工作地點的成員國的監管機構,或根據第13條規定的主管監管機構提出投訴;
(ii) 將爭端提交給第18條所指向的爭議解決機構。
(d) 雙方同意,根據(歐盟)2016/679號條例第80(1)條規定的條件,數據主體可由非營利性機構、組織或協會代表。
(e) 數據進口方應遵守在適用的歐盟或成員國法律下具有約束力的決定。
(f) 數據進口方同意,數據主體的選擇不會損害其根據適用法律尋求救濟的實質性和程序性權利。
第 12 條 責任
(a) 每一方應對其因違反這些條款而給另一方造成的任何損失負責。
(b) 數據進口方應向數據主體負責,對於數據進口方或其分處理者因違反本條款規定的第三方受益人權利而給數據主體造成的任何物質或非物質損失,數據主體有權獲得賠償。
(c) 儘管有 (b) 段的規定,數據出口方應向數據主體負責,並且數據主體有權就數據出口方或數據進口方(或其分處理者)違反本條款規定的第三方受益人權利而給數據主體造成任何物質或非物質損失獲得賠償。這不影響數據出口方的責任,若在數據出口方是代表控制者行事的處理者情況下,則不影響控制者在(歐盟)2016/679號條例或(歐盟)2018/1725號條例(如適用)下的責任。
(d) 雙方同意,如果數據出口方根據 (c) 段對數據進口方(或其分處理者)造成的損害負有責任,其應有權向數據進口方索回與數據進口方的損害責任相對應的那份賠償。
(e) 如果一個以上的締約方對因違反這些條款而給數據主體造成的任何損害負有責任,所有責任方應承擔連帶責任,數據主體有權在法庭上對任何一方締約方提起訴訟。
(f) 雙方同意,如果一方根據 (e) 段被認定負有責任,其應有權向另一方/各方索回與其對損害的責任相對應的那份賠償。
(g) 數據進口方不得援引分處理者的行为來避免自己的責任。
第 13 條 監管
(a) 如果數據出口方是在歐盟成員國建立的。如附錄I.C所示,負責確保數據出口方在數據傳輸方面遵守(歐盟)2016/679號條例的監管機構應作為主管監管機構行事。
如果數據出口方未在歐盟成員國設立,但根據(歐盟)2016/679號條例第3(2)條的適用領土範圍,並已根據(歐盟)2016/679號條例第27(1)條任命了一名代表。如附錄I.C所示,(歐盟)2016/679號條例第27(1)條所指的代表所在的成員國的監督機構應作為主管監督機構行事。
如果數據出口方未在歐盟成員國設立,但根據(歐盟)2016/679號條例第3(2)條,屬於該條例的適用地域範圍,但無需根據(歐盟)2016/679號條例第27(2)條指定代表。如附錄I.C所示,根據本條款向其提供商品或服務,其客戶個人數據被傳輸或其行為被監控的數據主體所在的一個成員國的監督機構應作為主管監督機構。
(b) 數據進口方同意在任何旨在確保遵守這些條款的程序中服從主管監督機構的管轄並與之合作。特別是,數據進口方同意回應查詢、接受審計並遵守監督機構採取的措施,包括救濟和賠償措施。數據進口方應向監督機構提供書面確認,說明已經採取了必要的行動。
第三節–地方法律和公共當局訪問時的義務
第14 條 影響遵守本條款的地方法律和慣例
(a) 雙方保證,他們沒有理由相信,目的地第三國適用於數據進口方處理客戶個人數據的法律和慣例,包括披露客戶個人數據的任何要求或授權公共當局查閱的措施,會妨礙數據進口方履行本條款規定的義務。這是基於這樣的理解:尊重基本權利和自由的本質,並且不超過民主社會中為保障(歐盟)第 2016/679 號條例第 23(1) 條所列目標之一的必要和相稱的法律和慣例,與這些條款不相矛盾。
(b) 雙方聲明,在提供 (a) 段中的保證時,他們已特別適當地考慮到了以下因素:
(i) 傳輸的具體情況,包括處理鏈的長度、涉及的行為者數量和使用的傳輸渠道;預期的再傳輸;接收者的類型;處理的目的;傳輸的客戶個人數據的類別和格式;發生傳輸的經濟部門;傳輸的數據的儲存地點;
(ii) 目的地第三國的法律和慣例 – 包括那些要求向公共當局披露數據或授權這些當局訪問的法律和慣例 – 與轉讓的具體情況有關,以及適用的限制和保障措施;
(iii) 為補充本條款規定的保障措施而採取的任何相關的合同、技術或組織保障措施,包括在傳輸過程中以及在目的地國家處理客戶個人數據時採用的措施。
(c) 數據進口方保證,在進行 (b) 段規定的評估時,其已盡最大努力向數據出口方提供相關資訊,並同意將繼續與數據出口方合作以確保遵守本條款。
(d) 各方同意將 (b) 段規定的評估記錄在案,並應要求向主管監督機構提供。
(e) 如果在同意這些條款之後以及在合約期間內,數據進口方有理由相信其正在或已經受到不符合 (a) 段要求的法律或慣例的約束,包括在第三國的法律發生變化或有措施(例如披露要求)表明這些法律在實踐中的應用不符合 (a) 段的要求之後,數據進口方同意迅速通知數據出口方。
(f) 在根據 (e) 段發出通知後,或如果數據出口方有理由相信數據進口方不能再履行其在本條款下的義務,數據出口方應迅速確定數據出口方和/或數據進口方應採取的適當措施(如確保安全和保密的技術或組織措施)以解決這一情況。在這種情況下,數據出口方應有權終止合約,只要其涉及到這些條款下的客戶個人數據處理。如果合約涉及兩個以上的締約方,數據出口方只能對相關締約方行使這一終止權,除非雙方另有約定。如果合約根據本條款被終止,則應適用第 16(d) 和(e) 條。
第 15 條 數據進口方在被公共當局訪問時的義務
15.1 通知
(a) 數據進口方同意在以下情況下迅速通知數據出口方,並在可能的情況下通知數據主體(必要時在數據出口方的幫助下)。
(i) 收到公共當局(包括司法當局)根據目的地國法律提出的具有法律約束力的要求,要求披露根據本條款傳輸的客戶個人數據;這種通知應包括關於所要求的客戶個人數據、請求機關、請求所依據的法律依據和所提供的答覆的信息;或
(ii) 意識到公共當局根據目的地國的法律對根據本條款傳輸的客戶個人數據進行任何直接訪問;這種通知應包括數據進口方所能獲得的所有資訊。
(b) 如果數據進口方根據目的地國的法律被禁止通知數據出口方和/或數據主體,數據進口方同意盡其最大努力獲得禁令的豁免,以期盡快傳達盡可能多的資訊。數據進口方同意將其最大的努力記錄在案,以便能在數據出口方的要求下證明這些努力。
(c) 在目的地國家法律允許的情況下,數據進口方同意在合約期間內定期向數據出口方提供盡可能多的關於收到的請求的相關資訊(特別是請求的數量、請求的數據類型、請求的機構/單位、請求是否被質疑以及這些質疑的結果等)。
(d) 數據進口方同意在合約期間內保存 (a) 至 (c) 段規定的資訊,並根據要求向主管監督機構提供這些資訊。
(e) (a) 至 (c) 段不影響數據進口方根據第 14(e) 條和第 16 條在無法遵守這些條款時迅速通知數據出口方的義務。
15.2 合法性審查和數據最小化
(a) 數據進口方同意審查披露請求的合法性,特別是該請求是否仍在授予提出請求的公共當局的權力範圍內,並在經過仔細評估後認為有合理理由認為根據目的地國家的法律、國際法規定的適用義務和國際禮讓原則,該請求是非法的,則對該請求提出質疑。數據進口方應在相同條件下尋求上訴的可能性。在對請求提出質疑時,數據進口方應尋求臨時措施,以期在主管司法當局對其案情作出決定之前暫停請求的效力。在根據適用的程序規則要求披露之前,數據進口方不應披露所要求的客戶個人數據。這些要求不影響第 14(e) 條規定的數據進口方的義務。
(b) 數據進口方同意記錄其法律評估和對披露請求的任何質疑,並在目的地國家法律允許的範圍內,向數據出口方提供這些文件。數據進口方還應根據要求向主管監督機構提供這些文件。
(c) 數據進口方同意在回應披露請求時,根據對請求的合理解釋,提供允許的最低限度的資訊量。
第四節- 最後條款
第 16 條 不遵守本條款和終止
(a) 如果數據進口方因任何原因無法遵守這些條款,應及時通知數據出口方。
(b) 如果數據進口方違反這些條款或無法遵守這些條款,數據出口方應暫停向數據進口方傳輸客戶個人數據,直到再次確保遵守或終止合約。這並不影響第 14(f) 條。
(c) 只要涉及這些條款下的客戶個人數據處理,在以下情況下,數據出口方有權終止合約:
(i) 數據出口方已根據 (b) 段暫停向數據進口方傳輸客戶個人數據,並且在合理時間內及在任何情況下一個月內均未恢復對本條款的遵守;
(ii) 數據進口方嚴重或持續地違反本條款;或
(iii) 數據進口方未能遵守主管法院或監督機構關於其在這些條款下的義務的有約束力的決定。
在這些情況下,數據出口方應將這種不遵守規定的情況通知主管監督機構。如果合約涉及兩個以上的締約方,除非雙方另有約定,否則數據出口方只能對相關締約方行使這一終止權。
(d) 根據 (c) 段在合約終止前已經傳輸的客戶個人數據,應根據數據出口方的選擇立即歸還給數據出口方或全部刪除。這也應適用於數據的任何副本。數據進口方應向數據出口方證明數據的刪除。在數據被刪除或歸還之前,數據進口方應繼續確保遵守這些條款。如果適用於數據進口方的當地法律禁止歸還或刪除轉讓的客戶個人數據,則數據進口方保證將繼續確保遵守這些條款,並僅在當地法律規定的範圍和期限內處理數據。
(e) 在以下情況下,任何一方均可撤銷其受本條款約束的協議:(i) 歐盟委員會根據 (歐盟) 2016/679 號條例第 45(3) 條通過一項決定,該決定涉及本條款適用的客戶個人數據的傳輸;或 (ii) (歐盟) 2016/679 號條例成為客戶個人數據被傳輸目的地國家的法律框架的一部分。這不影響根據 (歐盟) 2016/679 號條例適用於有關處理的其他義務。
第 17 條 管轄法律
這些條款應受數據出口方所在的歐盟成員國的法律管轄。如果該法律不允許第三方受益人權利,則應受另一個允許第三方受益人權利的歐盟成員國的法律管轄。締約方同意,這將是 [愛爾蘭共和國] 的法律。
第 18 條 法院和管轄權的選擇
(a) 由這些條款引起的任何爭議應由 [德國法蘭克福] 的法院解決。
(b) 數據主體也可在其經常居住地的成員國法院對數據出口方和/或數據進口方提起法律訴訟。
(c) 締約方同意接受這些法院的管轄。
標準合約條款附件一
A.締約方名單
數據出口方:“數據出口方的身份和聯繫方式,以及在適用的情況下,其/其數據保護官員和/或在歐盟的代表的身份和聯繫方式”。
數據出口方是協議中確定為“客戶”或“控制者”的實體。
數據進口方:“數據進口方的身份和聯繫細節,包括負責數據保護的任何聯繫人”
數據進口方是DataMesh,其根據協議條款提供服務(定義見協議),按照數據出口方的指示處理客戶個人數據。
B.傳輸的描述
客戶個人數據被傳輸的數據主體類別
傳輸的客戶個人數據涉及《DPA》附錄1中定義的數據主體類別。
傳輸的客戶個人數據類別
傳輸的客戶個人數據涉及《DPA》附錄1中定義的數據類別。
傳輸的敏感數據(如果適用)和應用的限制或保障措施,充分考慮到數據的性質和所涉及的風險,例如,嚴格的目的限制、訪問限制(包括只有經過專門培訓的工作人員才能訪問)、保存數據訪問記錄、對繼續傳輸的限制或額外的安全措施。
傳輸的頻率(例如,數據是一次性的還是連續的傳輸)。
– 連續傳輸
處理的性質
– 由 DataMesh 根據協議向客戶提供服務。
数据传输和进一步处理的目的
– 為 DataMesh 向客戶提供協議下的服務之目的。
客戶個人數據將被保留的期限,或者,如果這不可能,用於確定該期限的標準——。除非適用法律另有規定,數據進口方可以保留客戶個人數據的期限,以(i)協議規定的服務期限,或(ii)數據出口方確定的期限中較早者為準。
對於向分處理者的傳輸,也要說明處理的主題、性質和期限,請見附件三(分處理者名單)。
C.主管監督機構
如果數據出口者是在歐洲經濟區國家建立的,並且在其建立的背景下處理預期的客戶個人數據,監督機構是該歐洲經濟區國家的監督機構(GDPR第3.1條)。
如果數據出口者沒有在歐洲經濟區國家建立,但在額外的地域基礎上屬於 GDPR 的範圍(GDPR 第 3.2 條)。
– 如果它指定了一個歐盟代表(GDPR 第 27 條),監督機構是數據出口者的代表所在的歐洲經濟區國家之一。
– 如果不需要指定歐盟代表,監督機構是根據這些標準合約條款被傳輸的數據主體所在的歐洲經濟區國家之一。
標準合約條款附件二
技術和組織措施,包括確保數據安全的技術和組織措施
安全是我們在 DataMesh 的最大優先事項之一。在本頁中,我們提供了有關您的數據安全的信息,我們的一般安全做法,以及如果您有下面沒有回答的問題,您可以如何聯繫安全團隊的成員。
安全概述
DataMesh 平台利用各种控制措施来保护客户数据:
DataMesh 平台利用各種控制措施來保護客戶數據:
● DataMesh 應用程序數據在傳輸過程中使用 TLS 保證安全,並在休息時以 DataMesh 的專有分析數據庫格式進行加密。
● DataMesh 應用從邏輯上分離了用戶數據,對您的數據的訪問受到強大的認證和授權控制的保護。
● DataMesh 在整個開發生命周期中對應用程序的變化進行審計:進行架構審查以及嚴格的自動和手動代碼審查過程。
● DataMesh 監控應用程序服務器、基礎設施和 DataMesh 網路環境,以檢測潛在的濫用。
● DataMesh 保持著原生和活躍的 SOC 2 類型II認證,並獲得了雲星聯盟(CSA)星級1級認證。
● 此外,我們的雲服務提供商微軟公司定期根據以下標準對安全、隱私和合規控制進行獨立驗證。ISO/IEC 27001、ISO/IEC 27017、SOC 1、SOC 2、SOC 3、PCI DSS、HIPAA、CSA Star、FedRAMP 和許多其他標準。
標準合約條款附件三 分處理者名單
分處理人。就本條款第 9 條而言,數據出口方特此同意數據進口方在允許的範圍內並根據 DPA 分包其根據本條款進行的任何或所有數據處理業務。此外,雙方同意,為了第 9 條的目的。
(i) 在向 compliance@datamesh.com 提出書面請求後,可向數據出口方提供經批准的分處理者名單;並且
(ii) 事先通知對分處理者名單的更新,要求數據出口方首先通過電子郵件compliance@datamesh.com 向 DataMesh 提交此類通知的書面請求。然後,數據進口方將在 30 天内向數據出口方提供一份數據進口方的分處理者名單的副本,並根據 DPA 向數據出口方發送該分處理者名單的更新(如有)。
數據主體請求。就本條款第10(a)條而言,數據出口方特此授權數據進口方對數據進口方直接從數據主體收到的數據主體請求作出回應,告知數據主體(i)其收到投訴、查詢或請求,(ii)其已通知數據控制者,及(iii)其正在等待數據控制者的進一步指示。
DPA 附錄 3
英國標準合約條款附錄(處理者)
國際傳輸協議
本英國《標準合約條款(處理者)國際傳輸協議附錄》(“附錄”)是由資訊专员為進行限制性轉讓的各方發布的。資訊专员認為,當本附錄作為具有法律約束力的合約訂立時,它為限制性傳輸提供了適當的保障。
表1:締約方
開始日期 | 協議的生效日期 | |
各方 | 出口方(發送限制性傳輸的人) | 進口方(接受限制性傳輸的人) |
締約方的詳細數據 | 客戶 | DataMesh |
主要聯繫人 | 收件人:客戶 電子郵件:為客戶的賬戶所有者提供的電子郵箱地址 | 收件人:總法律顧問 電子郵件:compliance@datamesh.com |
表2:選定的SCC、模塊和選定的條款
增補歐盟的SCCs | 本增編所附的批准的歐盟SCC的版本,詳見下文。模塊2,載於DPA的附錄2。 模塊。 |
模塊2。 | 模塊2,如DPA附錄2所規定的。 |
表3:附錄信息
表3:附錄資訊
“附錄資訊”是指通過提及而納入 DPA 並在 DPA 附錄 2 中列出的必須提供的選定模塊的資訊。
附件1A:締約方名單。如協議所規定。
附件1B:傳輸的描述。如 DPA 附錄 2 所規定。
附件二:技術和組織措施,包括確保數據安全的技術和組織措施。如 SCCs 附件二所規定的。
附件三:分處理者名單。如 SCCs 附件三所規定的。
表4:在批准的增編發生變化時終止本增編
在批准的增編髮生變化時結束本增編 | 雙方可按照第19條的規定終止本附錄。 進口方(是) 出口方(是) 兩方都沒有(沒有) |
第2部分:强制性条款 強制性條款 核定增編的強制性條款,即由 ICO 發布並在 2022 年 2 月 2 日根據《2018年數據保護法案》第 119A 條提交議會的模板增編 B.1.0,並根據這些強制性條款的第 18 條進行修訂
DPA 附錄 4
瑞士標準合約條款附錄(處理者)
就 DPA 下的數據傳輸受《FADP》管轄而言,只要這些修訂不具有效力或被解釋為修訂與 GDPR 下的客戶個人數據處理有關的標準合約條款,則應適用以下條款:
- 瑞士聯邦數據保護和資訊专员(「FDPIC」)將是主管監督機構,在《證券交易委員會》第 13 條的附錄I.C。
- 根據《標準合約條款》第 17 條和第 18 條的規定,合約索賠的適用法律和當事人之間訴訟的管轄地應符合《標準合約條款》的規定,但對「成員國」一詞的解釋不得排除瑞士的數據主體根據第 18 條c款在其慣常居住地(瑞士)為其權利提出訴訟的可能性。
- 對「GDPR」的提及應理解為對「FADP」的提及;以及
- 如果 FADP 保護作為數據主體的法律實體,標準合約條款將適用於與已識別或可識別的法律實體有關的數據。