我们能帮你什么吗?
数据处理附录 (中文简体)
本数据处理附录 (“DPA“) 纳入企业组织用户与北京商询科技有限公司及/或其关联方(以下合称”DataMesh“,与企业组织用户统称“双方”) 之间订立的《DataMesh FactVerse 隐私政策》 (“协议“) 并构成其一部分。根据该协议,企业组织用户订购了适用协议中定义的 DataMesh FactVerse 服务 (“服务“)。本 DPA 的目的是反映双方关于按照数据保护立法处理企业用户和客户个人数据的条款达成一致。
本 DPA 并不取代或替代由企业组织用户协商并在协议或(如适用)受协议管辖的订单(”订购文件“)中提及的与客户个人数据处理有关的任何协议或附录,而且任何此类单独协商的协议或附录的效力高于本 DPA,在本DPA与任何上述单独协商的协议或附录约定有不一致的情形下,应适用该单独协商的协议或附录。 在根据本协议向企业组织用户提供 SAAS 服务的过程中,DataMesh 可代表企业组织用户处理客户个人数据。DataMesh 同意遵守以下关于由企业组织用户或为企业组织用户提交给 SAAS 服务或由企业组织用户或为企业组织用户通过 SAAS 服务收集和处理的任何客户个人数据的规定。本文中任何大写但未定义的术语应具有协议中规定的含义。
定义
“数据保护立法“是指(如适用)欧洲议会和理事会2016年4月27日关于在处理客户个人数据方面保护自然人并废除第95/46/EC号指令(”GDPR“)的欧盟2016/679号条例、2018年英国《数据保护法案》、英国的《一般数据保护条例》(根据《2018年退欧法案》纳入,经英国2019年《数据保护、隐私和电子通信条例》修正)(“UK-GDPR“)、英国2003年《隐私和电子通信条例》(“PECR“)、1992年《瑞士联邦数据保护法案》(经修订)(“FADP“)、《中华人民共和国个人信息保护法》(2021)(“PRC–PIPL”)、《中华人民共和国数据安全法》(2021)(“PRC-DSL“)以及任何相关管辖区可能存在的所有其他与处理客户个人数据和隐私有关的适用法律。
“关联方“是指拥有或控制、被某方拥有或控制、与某方处于同一控制或拥有下的实体,其中控制被定义为直接或间接拥有指导或导致指导某实体的管理和政策的权力,无论是通过拥有投票权的证券、通过合同或其他方式获得。
企业组织用户:是指经企业组织授权的管理员创建企业组织架构,邀请组织成员作为企业组织用户登录DataMesh账号或为用户配置企业账号,完成企业组织创建后,由企业组织授权管理员配置、开通、管理和使用DataMesh产品的用户。DataMesh企业组织用户包括但不限于法人、组织、合伙企业或个体工商户等合法主体。
客户数据:指由客户提供或为客户提供的与服务相关的电子数据和信息,包括任何客户个人数据,不包括非DataMesh应用程序信息。
客户个人数据:是指在使用产品的过程中由客户或其他方代表客户提交、存储、发布、展示或以其他方式传输的任何个人数据,但不包括以违反适用的订阅协议和或本 DPA 的方式由客户或其他方代表客户提交、存储、发布、展示或以其他方式传输的任何个人数据。
“数据控制者(人)“、”数据处理者(人)“、”数据主体“、”客户个人数据“、”处理“以及”适当的技术和组织措施 “应根据适用的数据保护立法来解释。 “分处理人“或 “分处理者 “是指由 DataMesh 或任何 DataMesh 关联方指定或代表 DataMesh 或任何 DataMesh 关联方,代表企业组织用户和/或企业组织用户关联方处理与协议有关的客户个人数据的任何人(包括任何第三方和任何 DataMesh 关联方,但不包括 DataMesh 的雇员或其任何承包商)。
数据保护条款
双方的关系。双方同意,就提供 SAAS 服务过程中处理的客户数据而言,企业组织用户是数据控制人,而 DataMesh 是其数据处理人。企业组织用户应在任何时候遵守数据保护立法,以处理其根据协议提供给 DataMesh 的所有客户个人数据以及与使用 SAAS 服务有关的客户个人数据。
企业组织用户关联方。如果企业组织用户关联方已经签署了一份订购文件,但其本身并不是协议的一方,则本 DPA 是该订购文件的附录。如果企业组织用户关联方既不是订购文件的缔约方,也不是协议的缔约方,则本 DPA 不适用于该关联方。此类关联方应要求企业组织用户为该实体的利益签署一份数据处理协议。
处理的目的、期限和性质。本 DPA 所涵盖的处理主题是许可企业组织用户访问和使用通过 DataMesh 网站(https://datamesh.com、https://www.datamesh.com.cn/、https://www.datamesh.co.jp/)或订购文件订购或另行在协议、订购文件或本 DPA 中描述的 SAAS 服务,该处理将持续到适用的订购文件中所列的期限结束。有关处理性质的详情载于本DPA的附表1。
1.应按下述处理客户个人数据:
(i) 按照本DPA、协议或(如适用)订购文件中规定的企业组织用户的书面指示;
(ii) 由企业组织用户分享或传送与企业组织用户使用服务有关的资料;及
(iii) 遵守企业组织用户提供的其他书面合理指示,而该等指示须符合本 DPA、协议及数据保护立法的条款。如果 DataMesh 被要求为适用法律规定的任何其他目的处理客户个人数据,DataMesh 将在处理之前通知企业组织用户该要求,除非该法律以公共利益等重要或强制性理由禁止这样做。
2.如果 DataMesh 认为企业组织用户通过服务提供的客户数据处理指令违反了适用的数据保护立法,应及时通知企业组织用户,不得无故拖延。
3.应实施和维护适当的技术和组织措施,以保护客户数据免遭未经授权或非法处理以及意外损失、破坏、损害、盗窃、更改或披露。这些措施应与任何未经授权或非法处理、意外丢失、破坏、损害或盗窃客户资料可能造成的损害相适应,并考虑到要保护的客户数据的性质。
4.可雇用并已雇用其他公司代表其提供有限的服务,但 DataMesh 必须遵守本条款的规定。企业组织用户特此确认其对 DataMesh 使用分处理人的一般授权。DataMesh 当前的分处理人名单可应企业组织用户的书面要求提供。将允许分处理人处理客户数据,以提供 DataMesh 聘请他们提供的服务,他们应被禁止将客户数据用于任何其他目的。DataMesh 仍对其分处理人遵守本 DPA 的义务负责。DataMesh 向其传输客户个人数据的任何分处理人将与 DataMesh 签订书面协议,要求分处理人遵守与本 DPA 的要求一致的条款。如果企业组织用户要求通知对分处理人名单的任何更新,企业组织用户可通过电子邮件 compliance@datamesh.com 要求此类通知。DataMesh将在任何此类通知的三十(30)天内更新该名单,如果企业组织用户在该时间范围内没有合法地反对此类更改。合法的反对必须包含与分处理人不遵守适用的数据保护立法有关的合理和有记录的理由。如果 DataMesh 合理地认为这些反对意见是合法的,企业组织用户可通过向 DataMesh 提供书面通知,终止协议。企业组织用户承认并同意:(a) DataMesh 的关联方可通过与 DataMesh 的书面协议保留为分处理人,以及 (b) DataMesh 和 DataMesh 的关联方可根据本条款第 4 条,在提供 SAAS 服务方面分别聘用第三方分包商。
5.应确保所有需要访问客户数据的 DataMesh 人员被告知客户数据的保密性质,并遵守本条款和适用的数据保护立法中规定的义务。
6.应根据企业组织用户的书面要求,协助企业组织用户实施适当和合理的技术和组织措施,以协助企业组织用户履行义务,回应数据保护立法规定的数据主体的要求(包括与处理有关的信息要求,以及与访问、纠正、删除或携带客户数据有关的要求),但 DataMesh 有权要求企业组织用户偿还与此类协助有关的任何时间、开支或费用的合理成本。
7.应根据企业组织用户的要求采取合理措施,协助企业组织用户履行 GDPR 第 32 至 36 条规定的义务,同时考虑到本 DPA 下处理的性质;但是,DataMesh 保留要求企业组织用户偿还与此类协助有关的任何时间、支出或费用的合理成本的权利。
8.应在服务的适用期限结束时,根据企业组织用户的书面要求,安全地销毁或将此类客户数据返还给企业组织用户。
9.同意在 DataMesh 处理或允许任何分处理人在任何未被数据保护立法视为对客户数据提供充分保护的国家处理客户数据时,按以下方式跨越国际边界传输此类客户数据。(i) 在欧盟和欧洲经济区,遵守标准合同条款,这些条款应通过提及方式全部纳入并构成本 DPA 的组成部分,并载于下文附表 2(”标准合同条款 “或 “SCCs“)。但如果DPA与标准合同条款发生冲突,应以标准合同条款为准,(ii) 对于英国,应遵守根据英国信息专员办公室的指导意见修订的标准合同条款,如附表 3 所示。(iii)对于瑞士,应遵守根据联邦数据保护和信息专员的指导意见(见附表4)修订的标准合同条款,双方同意该条款应适用于此类转让;(iv)对于其他管辖区,应遵守适用的数据保护法律和规则。
10.应根据书面要求,以关于其安全、隐私和架构的第三方认证和审计报告的形式提供有关其合规性的信息,或以行业标准的书面审计调查表作出回应,但此类审计的目的是核实 DataMesh 是否按照 DPA 规定的义务处理客户数据。此类审计可由企业组织用户或由独立成员组成的检查机构进行,该检查机构拥有必要的专业证书或资格,对上述机构有保密义务的约束。为避免疑问,不允许进入 DataMesh 的信息技术系统的任何部分、数据托管点或中心或其基础设施。双方同意,标准合同条款中描述的任何审计均应遵守这一规定。
11.如果 DataMesh 意识到其安全遭到破坏,导致 DataMesh 在根据协议提供 SAAS 服务的过程中处理的客户数据遭到任何意外的、未经授权的或非法的破坏、丢失、更改、披露或访问(”事件“),应立即通知企业组织用户,并向企业组织用户(此后尽快)提供事件的描述以及关于事件的定期更新信息,包括其对客户数据的影响。DataMesh 应另外采取行动调查该事件并合理地防止或减轻该事件的影响;以及
12.应提供企业组织用户合理要求的相关信息,以证明遵守本DPA中规定的义务。 责任的限制。本 DPA 应受企业组织用户与 DataMesh 在协议中商定的责任限制的约束,此类限制应合计适用于协议和 DPA 下的所有索赔。
DPA 附表 1
数据处理的细节
DataMesh 应根据协议和 DPA 处理信息以提供 SAAS 服务。DataMesh 应处理由客户的最终用户通过客户的 SAAS 服务的实施确定的信息。作为一个例子,在一个标准的程序化实施中,为了利用服务,客户可允许将以下信息作为 “默认属性”默认发送。
个人资料的类型
- 企业名称
- 邮箱地址
- 真实姓名
数据主体的类别
客户网络和移动应用程序的用户。
处理活动
由 DataMesh 向客户提供服务。
DPA 附表 2
标准合同条款(处理者)
为了 GDPR 第 28 条和第 46 条的目的,将客户数据传输给在第三国建立的处理者,这些国家不能确保足够的数据保护水平。
根据这些规定,DataMesh 应被视为 “进口商”,而客户应被视为 “出口商”。进口商的联系信息如下:
名称:DataMesh
电子邮件: compliance@datamesh.com
数据出口商的联系信息出现在客户与 DataMesh 之间适用的订单表、发票或主服务协议上。 数据出口方和数据进口方就以下标准合同条款(”条款“)达成协议,以便为数据出口方向数据进口方传输协议或 DPA 附表1中确定的客户数据提供充分的隐私保护及基本权利和自由保障。
第一节
第 1 条 目的和范围
(a) 这些标准合同条款的目的是确保遵守欧洲议会和理事会2016年4月27日关于在处理客户数据方面保护自然人和此类客户数据自由流动的(EU)2016/679号条例(通用数据保护条例)的要求,以便使客户数据传输到第三国。
(b) 缔约方/双方:
(i) 传输附件I.A所列客户数据的自然人或法人、公共机关、机构或其他机构(以下简称 “实体”)(以下简称 “数据出口方(者)”),以及
(ii)直接或间接地通过同为本条款缔约方的另一实体,从数据出口方接收附件I.A中所列的客户数据的第三国的实体(以下简称,各 “数据进口方(者)”)。
已同意这些标准合同条款(以下简称:”条款”)。
(c) 本条款适用于附件I.B中规定的客户数据的传输。
(d) 本条款的附录,包括其中提到的附件,构成本条款的组成部分。
第 2 条 条款的效力和不可变更性
(a) 本条款根据(欧盟)2016/679号条例第46(1)条和第46(2)(c)条规定了适当的保障措施,包括可执行的数据主体权利和有效的法律补救措施,对于从控制者向处理者和/或处理者到处理者的数据传输,根据(欧盟)2016/679号条例第28(7)条规定了标准合同条款,不得被修改,除非选择适当模块或添加或更新附录中的信息。这并不妨碍缔约方将这些条款中规定的标准合同条款纳入更广泛的合同和/或增加其他条款或额外的保障措施,只要它们不直接或间接地与这些条款相矛盾或损害数据主体的基本权利或自由。
(b) 这些条款不影响数据出口者根据(欧盟)2016/679号条例所承担的义务。
第 3 条 第三方受益人
(a) 数据主体可以作为第三方受益人,对数据出口方和/或数据进口方援引并执行这些条款,但以下情况除外。
(i) 第1条、第2条、第3条、第6条、第7条;
(ii) 第8.1(b)条、第8.9(a)、(c)、(d)和(e)条;
(iii) 第9(a)、(c)、(d)和(e)条;
(iv) 第12(a)、(d)和(f)条;
(v) 第13条;
(vi) 第15.1(c)、(d)和(e)条;
(vii) 第16(e)条;
(viii) 第18(a)和(b)条。
(b) (a)段不影响(欧盟)条例2016/679规定的数据主体的权利。
第 4 条 解释
(a) 如果这些条款使用了在(欧盟)2016/679号条例中定义的术语,这些术语应具有与该条例中相同的含义。
(b) 这些条款应根据(欧盟)2016/679号条例的规定来阅读和解释。
(c) 这些条款的解释不得与(欧盟)2016/679号条例规定的权利和义务相冲突。
第 5 条 层次结构
如果这些条款与双方在商定这些条款时存在的或此后签订的相关协议的规定有矛盾,则以这些条款为准。
第 6 条 传输说明
传输的细节,特别是传输的客户数据类别和传输的目的,在附件I.B中规定。
第 7 条 – 可选 对接条款
特意省略的这一条款
第二节 – 双方的义务
第 8 条 数据保护措施
数据出口方保证其已作出合理努力确定数据进口方能够通过实施适当的技术和组织措施履行其在这些条款下的义务。
8.1 指示
(a) 数据进口方应仅根据数据出口方的书面指示处理客户数据。数据出口方可以在整个合同期内发出这种指示。
(b) 如果数据进口方无法遵循这些指示,应立即通知数据出口方。
8.2 目的限制
数据进口方应仅为附件I.B中规定的特定转让目的处理客户数据,除非数据出口方有进一步指示。
8.3 透明度
应要求,数据出口者应向数据主体免费提供这些条款的副本,包括由双方完成的附录。在保护商业秘密或其他机密信息的必要范围内,包括附件二所述的措施和客户个人数据,数据出口者可在分享副本之前编辑这些条款附录的部分文本,但在数据主体无法理解其内容或行使其权利时,应提供有意义的摘要。应数据主体的要求,双方应在不透露经编辑的信息的情况下,尽可能向数据主体提供编辑的理由。本条款不影响数据出口方根据(欧盟)2016/679号条例第13和14条所承担的义务。
8.4 准确度
如果数据进口方意识到其所收到的客户数据不准确或已经过时,其应通知数据出口方,不得无故拖延。在这种情况下,数据进口方应与数据出口方合作,删除或纠正这些数据。
8.5 处理的期限和数据的删除或归还
数据进口商的处理应仅在附件I.B中规定的期限内进行。在提供处理服务结束后,数据进口方应根据数据出口方的选择,删除代表数据出口方处理的所有客户个人数据,并向数据出口方证明其已这样做,或向数据出口方归还代表其处理的所有客户个人数据并删除现有副本。在数据被删除或退回之前,数据进口方应继续确保遵守这些条款。如果适用于数据进口方的当地法律禁止归还或删除客户个人数据,数据进口方保证其将继续确保遵守这些条款,并且只在当地法律规定的范围内和时间内处理这些数据。这并不影响第14条,即第14(e)条对数据进口方的要求,即在整个合同期内,如果数据进口方有理由相信其受制于或已经受制于不符合第14(a)条规定的法律或惯例,则应通知数据出口方。
8.6 处理的安全性
(a) 数据进口方以及在传输过程中数据出口方应采取适当的技术和组织措施,以确保数据的安全,包括防止安全漏洞导致意外或非法破坏、丢失、更改、未经授权的披露或访问该数据(以下简称 “客户个人数据泄露”)。在评估适当的安全水平时,双方应适当考虑技术水平、实施成本、处理的性质、范围、背景和目的以及处理过程中对数据主体涉及的风险。双方应考虑采用加密或匿名化,包括在传输过程中,如果处理的目的可以通过这种方式实现。在匿名化的情况下,在可能的情况下,用于将客户个人数据归属于特定数据主体的附加信息应保持在数据出口方的专属控制之下。在遵守本款规定的义务时,数据进口方应至少实施附件二中规定的技术和组织措施。数据进口方应进行定期检查,以确保这些措施继续提供适当的安全水平。
(b) 数据进口方应仅在执行、管理和监测合同所严格需要的范围内允许其工作人员访问客户个人数据。数据进口方应确保被授权处理客户个人数据的人员已承诺保密或承担适当的法定保密义务。
(c) 如果数据进口方根据本条款处理的客户个人数据发生了客户个人数据泄露,数据进口方应采取适当措施处理该泄露事件,包括采取措施减轻其不利影响。数据进口方也应在意识到泄露事件后,在没有不当延迟的情况下通知数据出口方。该通知应包含可获得更多信息的联络人的详细信息、对泄露事件性质的描述(如有可能,包括有关数据主体和客户个人数据记录的类别和大致数量)、其可能的后果以及为解决该问题而采取或建议采取的措施,包括在适当情况下减轻其可能的不利影响的措施。在不可能同时提供所有信息的情况下,最初的通知应包含当时可获得的信息,随后在获得进一步信息时应无不当拖延地提供。
(d) 考虑到处理的性质和数据进口方可获得的信息,数据进口方应与数据出口方合作并协助数据出口方,使数据出口方能够遵守(欧盟)2016/679号条例规定的义务,特别是通知主管监督机构和受影响的数据主体。
8.7 敏感数据
如果传输涉及揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员资格的客户个人数据,基因数据,用于唯一识别自然人的生物识别数据,有关健康或个人性生活或性取向的数据,或与刑事定罪和犯罪有关的数据(以下简称 “敏感数据”),数据进口方应适用附件I.B所述的特定限制和/或额外保障措施。
8.8 再传输
数据进口方只能根据数据出口方的书面指示向第三方披露客户个人数据。此外,只有在第三方在适当的模块下受到或同意受到本条款的约束的情况下,才能向位于欧盟以外的第三方披露数据(与数据进口方在同一国家或在另一个第三国,以下简称 “再传输”),或者,数据进口方在下列情况下才能进行再传输:
(i) 再传输到一个受益于根据2016/679号条例(欧盟)第45条作出的充分性决定的国家;
(ii) 第三方根据(欧盟)2016/679号条例第46条或第47条的规定,在有关处理方面确保适当的保障措施;
(iii) 在具体的行政、监管或司法程序中,为建立、行使或捍卫法律主张而必须进行的再传输;或
(iv) 为了保护数据主体或其他自然人的重要利益所必需。
只有在数据进口方遵守这些条款规定的所有其他保障措施,特别是目的限制的情况下,再传输才能进行。
8.9 证明文件和合规
(a) 数据进口方应及时和充分地处理数据出口方提出的与本条款下的处理有关的查询。
(b) 双方应能证明对这些条款的遵守。特别是,数据进口方应保留有关代表数据出口方进行处理活动的适当文件。
(c) 数据进口方应向数据出口方提供所有必要的信息,以证明遵守这些条款中规定的义务,并应数据出口方的要求,在合理的时间间隔或有迹象表明不合规时,允许并协助对这些条款所涵盖的处理活动进行审计。在决定审查或审计时,数据出口方可以考虑到数据进口方持有的相关认证。
(d) 数据出口方可以选择自己进行审计,也可以委托独立审计师进行审计。审计可包括对数据进口方的场所或实际设施的检查,并应酌情在合理的通知下进行。
(e) 缔约方应根据要求向主管监督机构提供(b)和(c)段中提到的信息,包括任何审计的结果。
第 9 条 使用分处理者
(a) 一般书面授权。数据进口方拥有数据出口方的一般授权,可从商定的清单中聘用分处理者。数据进口方应至少提前30天以书面形式明确通知数据出口方拟通过增加或更换分处理者对该清单进行任何更改,从而使数据出口方有足够的时间在聘用分处理者之前反对此类更改。数据进口方应向数据出口方提供必要的信息,使数据出口方能够行使其反对权。
(b) 如果数据进口方聘请分处理者(代表数据出口方)进行具体的处理活动,其应通过书面合同的方式进行,该合同实质上规定了与数据进口方在这些条款下受到约束的相同的数据保护义务,包括在数据主体的第三方受益人权利方面。双方同意,通过遵守本条款,数据进口方履行了其在第8.8条下的义务。数据进口方应确保分处理者遵守数据进口方根据这些条款所承担的义务。
(c) 数据进口方应根据数据出口方的要求,向数据出口方提供此类分处理者协议和任何后续修正案的副本。在保护商业秘密或其他机密信息(包括客户个人数据)的必要范围内,数据进口方可在分享副本之前对协议文本进行编辑。
(d) 数据进口方应继续为分处理者履行合同义务的情况,向数据出口方负全部责任。数据进口方应将分处理者未能履行该合同规定的任何义务的情况通知数据出口方。
(e) 数据进口方应与分处理者商定一个第三方受益人条款,据此,在数据进口方事实上已经消失、在法律上不复存在或已经破产的情况下,数据出口方应有权终止分处理者合同并指示分处理者删除或归还客户个人数据。
第 10 条 数据主体的权利
(a) 数据进口方应及时通知数据出口方其从数据主体收到的任何请求。除非得到数据出口方的授权,否则数据进口方本身不得对该请求作出回应。
(b) 数据进口方应协助数据出口方履行义务,以回应数据主体根据(欧盟)2016/679号条例行使其权利的请求。在这方面,考虑到处理的性质以及所需协助的范围和程度,双方应在附件二中规定适当的技术和组织措施。
(c) 数据进口方应在不违背服务功能的情况下允许客户在服务期限内删除客户数据。客户使用删除能力删除客户数据后,将无法恢复这些数据。DataMesh将遵从客户的删除指令和适用法律,尽快在30天内将客户数据从DataMesh系统中移除,除非DataMesh遵循的任何适用法律或法规要求DataMesh以更长的期限去保留这些数据。
(d) 在履行(a)、(b)和(c)段规定的义务时,数据进口方应遵守数据出口方的指示。
第 11 条 救济
(a) 数据进口方应通过个别通知或在其网站上,以透明和易于访问的形式,告知数据主体一个有权处理投诉的联系人。数据进口方应迅速处理其从数据主体处收到的任何投诉。
(b) 如果数据主体与缔约方之一在遵守这些条款方面发生争议,该方应尽最大努力及时友好地解决这一问题。双方应相互通报此类争议,并在适当时合作解决这些争议。
(c) 如果数据主体根据第3条援引第三方受益权,数据进口方应接受数据主体的决定。
(i) 向其经常居住地或工作地点的成员国的监管机构,或根据第13条规定的主管监管机构提出投诉;
(ii) 将争端提交给第18条所指向的争议解决机构。
(d) 双方同意,根据(欧盟)2016/679号条例第80(1)条规定的条件,数据主体可由非营利性机构、组织或协会代表。
(e) 数据进口方应遵守在适用的欧盟或成员国法律下具有约束力的决定。
(f) 数据进口方同意,数据主体的选择不会损害其根据适用法律寻求救济的实质性和程序性权利。
第 12 条 责任
(a) 每一方应对其因违反这些条款而给另一方造成的任何损失负责。
(b) 数据进口方应向数据主体负责,对于数据进口方或其分处理者因违反本条款规定的第三方受益人权利而给数据主体造成的任何物质或非物质损失,数据主体有权获得赔偿。
(c) 尽管有(b)段的规定,数据出口方应向数据主体负责,并且数据主体有权就数据出口方或数据进口方(或其分处理者)违反本条款规定的第三方受益人权利而给数据主体造成任何物质或非物质损失获得赔偿。这不影响数据出口方的责任,若在数据出口方是代表控制者行事的处理者的情况下,则不影响控制者在(欧盟)2016/679号条例或(欧盟)2018/1725号条例(如适用)下的责任。
(d) 双方同意,如果数据出口方根据(c)段对数据进口方(或其分处理者)造成的损害负有责任,其应有权向数据进口方索回与数据进口方的损害责任相对应的那部分赔偿。
(e) 如果一个以上的缔约方对因违反这些条款而给数据主体造成的任何损害负有责任,所有责任方应承担连带责任,数据主体有权在法庭上对任何一方缔约方提起诉讼。
(f) 双方同意,如果一方根据(e)段被认定负有责任,其应有权向另一方/各方索回与其对损害的责任相应的那部分赔偿。
(g) 数据进口方不得援引分处理者的行为来避免自己的责任。
第 13 条 监管
(a) 如果数据出口方是在欧盟成员国建立的。如附件I.C所示,负责确保数据出口方在数据传输方面遵守(欧盟)2016/679号条例的监管机构应作为主管监管机构行事。
如果数据出口方未在欧盟成员国设立,但根据(欧盟)2016/679号条例第3(2)条的适用领土范围,并已根据(欧盟)2016/679号条例第27(1)条任命了一名代表。如附件I.C所示,(欧盟)2016/679号条例第27(1)条所指的代表所在的成员国的监督机构应作为主管监督机构行事。
如果数据出口方未在欧盟成员国设立,但根据(欧盟)2016/679号条例第3(2)条,属于该条例的适用地域范围,但无需根据(欧盟)2016/679号条例第27(2)条指定代表。如附件I.C所示,根据本条款向其提供商品或服务,其客户个人数据被传输或其行为被监控的数据主体所在的一个成员国的监督机构应作为主管监督机构。
(b) 数据进口方同意在任何旨在确保遵守这些条款的程序中服从主管监督机构的管辖并与之合作。特别是,数据进口方同意回应查询、接受审计并遵守监督机构采取的措施,包括救济和赔偿措施。数据进口方应向监督机构提供书面确认,说明已经采取了必要的行动。
第三节–地方法律和公共当局访问时的义务
第14 条 影响遵守本条款的当地法律和惯例
(a) 双方保证,他们没有理由相信,目的地第三国适用于数据进口方处理客户个人数据的法律和惯例,包括披露客户个人数据的任何要求或授权公共当局查阅的措施,会妨碍数据进口方履行本条款规定的义务。这是基于这样的理解:尊重基本权利和自由的本质,并且不超过民主社会中为保障(欧盟)第2016/679号条例第23(1)条所列目标之一的必要和相称的法律和惯例,与这些条款不相矛盾。
(b) 双方声明,在提供(a)段中的保证时,他们已特别适当地考虑到了以下因素:
(i) 传输的具体情况,包括处理链的长度、涉及的行为者数量和使用的传输渠道;预期的再传输;接收者的类型;处理的目的;传输的客户个人数据的类别和格式;发生传输的经济部门;传输的数据的储存地点;
(ii) 目的地第三国的法律和惯例–包括那些要求向公共当局披露数据或授权这些当局访问的法律和惯例–与转让的具体情况有关,以及适用的限制和保障措施;
(iii) 为补充本条款规定的保障措施而采取的任何相关的合同、技术或组织保障措施,包括在传输过程中以及在目的地国家处理客户个人数据时采用的措施。
(c) 数据进口方保证,在进行(b)段规定的评估时,其已尽最大努力向数据出口方提供相关信息,并同意将继续与数据出口方合作以确保遵守本条款。
(d) 各方同意将(b)段规定的评估记录在案,并应要求向主管监督机构提供。
(e) 如果在同意这些条款之后以及在合同期内,数据进口方有理由相信其正在或已经受到不符合(a)段要求的法律或惯例的约束,包括在第三国的法律发生变化或有措施(例如披露要求)表明这些法律在实践中的应用不符合(a)段的要求之后,数据进口方同意迅速通知数据出口方。
(f) 在根据(e)段发出通知后,或如果数据出口方有理由相信数据进口方不能再履行其在本条款下的义务,数据出口方应迅速确定数据出口方和/或数据进口方应采取的适当措施(如确保安全和保密的技术或组织措施)以解决这一情况。在这种情况下,数据出口方应有权终止合同,只要其涉及到这些条款下的客户个人数据处理。如果合同涉及两个以上的缔约方,数据出口方只能对相关缔约方行使这一终止权,除非双方另有约定。如果合同根据本条款被终止,则应适用第16(d)和(e)条。
第 15 条 数据进口方在被公共当局访问时的义务
15.1 通知
(a) 数据进口方同意在以下情况下迅速通知数据出口方,并在可能的情况下通知数据主体(必要时在数据出口方的帮助下)。
(i) 收到公共当局(包括司法当局)根据目的地国法律提出的具有法律约束力的要求,要求披露根据本条款传输的客户个人数据;这种通知应包括关于所要求的客户个人数据、请求机关、请求所依据的法律依据和所提供的答复的信息;或
(ii) 意识到公共当局根据目的地国的法律对根据本条款传输的客户个人数据进行任何直接访问;这种通知应包括数据进口方可获得的所有信息。
(b) 如果数据进口方根据目的地国的法律被禁止通知数据出口方和/或数据主体,数据进口方同意尽其最大努力获得禁令的豁免,以期尽快传达尽可能多的信息。数据进口方同意将其最大的努力记录在案,以便能够在数据出口方的要求下证明这些努力。
(c) 在目的地国家法律允许的情况下,数据进口方同意在合同期内定期向数据出口方提供尽可能多的关于收到的请求的相关信息(特别是请求的数量、请求的数据类型、请求的机构/单位、请求是否被质疑以及这些质疑的结果等)。
(d) 数据进口方同意在合同期内保存(a)至(c)段规定的信息,并根据要求向主管监督机构提供这些信息。
(e) (a)至(c)段不影响数据进口方根据第14(e)条和第16条在无法遵守这些条款时迅速通知数据出口方的义务。
15.2 合法性审查和数据最小化
(a) 数据进口方同意审查披露请求的合法性,特别是该请求是否仍在授予提出请求的公共当局的权力范围内,并在经过仔细评估后认为有合理理由认为根据目的地国家的法律、国际法规定的适用义务和国际礼让原则,该请求是非法的,则对该请求提出质疑。数据进口方应在相同条件下寻求上诉的可能性。在对请求提出质疑时,数据进口方应寻求临时措施,以期在主管司法当局对其案情作出决定之前中止请求的效力。在根据适用的程序规则要求披露之前,数据进口方不应披露所要求的客户个人数据。这些要求不影响第14(e)条规定的数据进口方的义务。
(b) 数据进口方同意记录其法律评估和对披露请求的任何质疑,并在目的地国家法律允许的范围内,向数据出口方提供这些文件。数据进口方还应根据要求向主管监督机构提供这些文件。
(c) 数据进口方同意在回应披露请求时,根据对请求的合理解释,提供允许的最低限度的信息量。
第四节 – 最后条款
第 16 条 不遵守本条款和终止
(a) 如果数据进口方因任何原因无法遵守这些条款,应及时通知数据出口方。
(b) 如果数据进口方违反这些条款或无法遵守这些条款,数据出口方应暂停向数据进口方传输客户个人数据,直到再次确保遵守或终止合同。这并不影响第14(f)条。
(c) 只要涉及这些条款下的客户个人数据处理,在以下情况下,数据出口方有权终止合同:
(i) 数据出口方已根据(b)段暂停向数据进口方传输客户个人数据,并且在合理时间内及在任何情况下一个月内均未恢复对本条款的遵守;
(ii) 数据进口方严重或持续地违反本条款;或
(iii) 数据进口方未能遵守主管法院或监督机构关于其在这些条款下的义务的有约束力的决定。
在这些情况下,数据出口方应将这种不遵守规定的情况通知主管监督机构。如果合同涉及两个以上的缔约方,除非双方另有约定,否则数据出口方只能对相关缔约方行使这一终止权。
(d) 根据(c)段在合同终止前已经传输的客户个人数据,应根据数据出口方的选择立即返还给数据出口方或全部删除。这也应适用于数据的任何副本。数据进口方应向数据出口方证明数据的删除。在数据被删除或归还之前,数据进口方应继续确保遵守这些条款。如果适用于数据进口方的当地法律禁止归还或删除转让的客户个人数据,则数据进口方保证将继续确保遵守这些条款,并仅在当地法律规定的范围内和期限内处理数据。
(e) 在以下情况下,任何一方均可撤销其受本条款约束的协议:(i) 欧盟委员会根据(欧盟)2016/679号条例第45(3)条通过一项决定,该决定涉及本条款适用的客户个人数据的传输;或(ii) (欧盟)2016/679号条例成为客户个人数据被传输目的地国家的法律框架的一部分。这不影响根据(欧盟)2016/679号条例适用于有关处理的其他义务。
第 17 条 管辖法律
这些条款应受数据出口方所在的欧盟成员国的法律管辖。如果该法律不允许第三方受益人权利,则应受另一个允许第三方受益人权利的欧盟成员国的法律管辖。缔约方同意,这将是[爱尔兰共和国]的法律。
第 18 条 法院和管辖权的选择
(a) 由这些条款引起的任何争议应由[德国法兰克福]的法院解决。
(b) 数据主体也可在其经常居住地的成员国法院对数据出口方和/或数据进口方提起法律诉讼。
(c) 缔约方同意接受这些法院的管辖。
标准合同条款附件一
A.缔约方名单
数据出口方:[数据出口方的身份和联系方式,以及在适用的情况下,其/其数据保护官员和/或在欧盟的代表的身份和联系方式] 。
数据出口方是协议中确定为 “客户 “或 “控制者”的实体。
数据进口方:[数据进口方的身份和联系细节,包括负责数据保护的任何联系人]
数据进口方是 DataMesh,其根据协议条款提供服务(定义见协议),按照数据出口方的指示处理客户个人数据。
B.转让的描述
客户个人数据被传输的数据主体类别
传输的客户个人数据涉及《DPA》附表1中定义的数据主体类别。
传输的客户个人数据类别
传输的客户个人数据涉及《DPA》附表1中定义的数据类别。
传输的敏感数据(如果适用)和应用的限制或保障措施,充分考虑到数据的性质和所涉及的风险,例如,严格的目的限制、访问限制(包括只有经过专门培训的工作人员才能访问)、保存数据访问记录、对继续传输的限制或额外的安全措施。
传输的频率(例如,数据是一次性的还是连续的传输)。
– 连续传输
处理的性质
– 由 DataMesh 根据协议向客户提供服务。
数据传输和进一步处理的目的
– 为 DataMesh 向客户提供协议下的服务之目的。
客户个人数据将被保留的期限,或者,如果这不可能,用于确定该期限的标准——。
除非适用法律另有规定,数据进口方可以保留客户个人数据的期限,以(i)协议规定的服务期限,或(ii)数据出口方确定的期限中较早者为准。
对于向分处理者的传输,也要说明处理的主题、性质和期限,请见附件三(分处理者名单)。
C.主管监督机构
如果数据出口者是在欧洲经济区国家建立的,并且在其建立的背景下处理预期的客户个人数据,监督机构是该欧洲经济区国家的监督机构(GDPR第3.1条)。
如果数据出口者没有在欧洲经济区国家建立,但在额外的地域基础上属于 GDPR 的范围(GDPR 第 3.2 条)。
– 如果它指定了一个欧盟代表(GDPR 第 27 条),监督机构是数据出口者的代表所在的欧洲经济区国家之一。
– 如果不需要指定欧盟代表,监督机构是根据这些标准合同条款被传输的数据主体所在的欧洲经济区国家之一。
标准合同条款附件二
技术和组织措施,包括确保数据安全的技术和组织措施
安全是我们在 DataMesh 的最大优先事项之一。在本页中,我们提供了有关您的数据安全的信息,我们的一般安全做法,以及如果您有下面没有回答的问题,您可以如何联系安全团队的成员。
安全概述
DataMesh 平台利用各种控制措施来保护客户数据:
- DataMesh 应用程序数据在传输过程中使用 TLS 保证安全,并在休息时以 DataMesh 的专有分析数据库格式进行加密。
- DataMesh 应用从逻辑上分离了用户数据,对您的数据的访问受到强大的认证和授权控制的保护。
- DataMesh 在整个开发生命周期中对应用程序的变化进行审计:进行架构审查以及严格的自动和手动代码审查过程。
- DataMesh 监控应用服务器、基础设施和 DataMesh 网络环境,以检测潜在的滥用。
- DataMesh 保持着原生和活跃的 SOC 2 类型II认证,并获得了云星联盟(CSA)星级1级认证。
- 此外,我们的云服务提供商微软公司定期根据以下标准对安全、隐私和合规控制进行独立验证。ISO/IEC 27001、ISO/IEC 27017、SOC 1、SOC 2、SOC 3、PCI DSS、HIPAA、CSA Star、FedRAMP 和许多其他标准。
标准合同条款附件三 分处理者名单
分处理人。就本条款第 9 条而言,数据出口方特此同意数据进口方在允许的范围内并根据 DPA 分包其根据本条款进行的任何或所有数据处理业务。此外,双方同意,为了第 9 条的目的。
(i) 在向 compliance@datamesh.com 提出书面请求后,可向数据出口方提供经批准的分处理者名单;并且
(ii) 事先通知对分处理者名单的更新,要求数据出口方首先通过电子邮件compliance@datamesh.com 向 DataMesh 提交此类通知的书面请求。然后,数据进口方将在 30 天内向数据出口方提供一份数据进口方的分处理者名单的副本,并根据 DPA 向数据出口方发送该分处理者名单的更新(如有)。
数据主体请求。就本条款第10(a)条而言,数据出口方特此授权数据进口方对数据进口方直接从数据主体收到的数据主体请求作出回应,告知数据主体(i)其收到投诉、查询或请求,(ii)其已通知数据控制者,及(iii)其正在等待数据控制者的进一步指示。
DPA 附表 3
英国标准合同条款附录(处理者)
国际传输协议
本英国《标准合同条款(处理者)国际传输协议附录》(”附录“)是由信息专员为进行限制性转让的各方发布的。信息专员认为,当本附录作为具有法律约束力的合同订立时,它为限制性传输提供了适当的保障。
表1:缔约方
开始日期 | 协议的生效日期 | |
各方 | 出口方(发送限制性传输的人)。 | 进口方(接受限制性传输的人) |
缔约方的详细资料 | 客户 | DataMesh |
主要联系人 | 收件人:客户 电子邮件:为客户的账户所有者提供的电子邮箱地址 | 收件人:总法律顾问 电子邮件:compliance@datamesh.com |
表2:选定的SCC、模块和选定的条款
增补欧盟的SCCs。 | 本增编所附的批准的欧盟SCC的版本,详见下文。模块2,载于DPA的附表2。 |
模块。 | 模块2,如DPA附表2所规定的。 |
表3:附录信息
“附录信息 “是指通过提及而纳入 DPA 并在 DPA 附表 2 中列出的必须提供的选定模块的信息。
附件1A:缔约方名单。如协议所规定。
附件1B:传输的描述。如 DPA 附表 2 所规定。
附件二:技术和组织措施,包括确保数据安全的技术和组织措施。如 SCCs 附件二所规定的。
附件三:分处理者名单。如 SCCs 附件三所规定。
表4:在批准的增编发生变化时终止本增编
在批准的增编发生变化时结束本增编 | 双方可按照第 19 条的规定终止本附录。 进口方(是) 出口方(是) 两方都没有 (没有) |
第 2 部分:强制性条款 核定增编的强制性条款,即由 ICO 发布并在 2022 年 2 月 2 日根据《2018年数据保护法案》第 119A 条提交议会的模板增编 B.1.0,并根据这些强制性条款的第 18 条进行修订
DPA 附表 4
瑞士标准合同条款附录(处理者)
就 DPA 下的数据传输受《FADP》管辖而言,只要这些修订不具有效力或被解释为修订与 GDPR 下的客户个人数据处理有关的标准合同条款,则应适用以下条款:
- 瑞士联邦数据保护和信息专员(”FDPIC“)将是主管监督机构,在《证券交易委员会》第 13 条的附件I.C。
- 根据《标准合同条款》第 17 条和第 18 条的规定,合同索赔的适用法律和当事人之间诉讼的管辖地应符合《标准合同条款》的规定,但对 “成员国 “一词的解释不得排除瑞士的数据主体根据第 18 条c款在其惯常居住地(瑞士)为其权利提出起诉的可能性。
- 对 “GDPR “的提及应理解为对 “FADP “的提及;以及
- 如果 FADP 保护作为数据主体的法律实体,标准合同条款将适用于与已识别或可识别的法律实体有关的数据。