客户合规性数据传输策略

选择您的语言:

欧盟《通用数据保护条例》和《数据传输附录》

本数据处理附录(“附录”)是 Guidepoint Global, LLC 与客户之间当前协议的一部分,并对其进行了修改(以下协议,无论是否明确说明,均称为“协议”或“协议”)。本附录由 Guidepoint Global, LLC(其主要办公地址为 730 Third Avenue, New York, NY 10017)(“处理者”和/或“数据输入者”)和客户(“控制者”和/或“数据输出者”)之间签订,后者已获悉其内容并选择不季节性反对,因此被视为附录的一方。本附录自协议签署之日或 2018 年 5 月 25 日(以较晚者为准)(“生效日期”)制定和签订。控制者和处理者有时在本协议中单独称为“一方”,也统称为“双方”。

就本附录而言,除非另有说明,否则此处的大写术语应与欧盟《通用数据保护条例》(“GDPR”)或“关于向第三方国家/地区设立的数据处理者传输个人数据的标准合同条款”中使用的定义具有相同的含义,这些条款包含在“2010 年 2 月 5 日欧盟委员会关于传输标准合同条款的决定向在第三国建立的处理者提供个人数据“(”标准合同条款“或”条款“作为附件 1)。

本附录适用于从欧盟数据主体收集或由欧盟数据主体提供的个人数据。本附录在相关部分也适用于在欧盟处理的任何个人数据。

演出

根据处理者根据本协议提供的服务,处理者可以保管或存储、处理或访问某些数据文件,这些数据文件可能包含 GDPR 定义的个人数据,详见附录 1;和

双方希望确保根据 GDPR 在保护数据主体的隐私方面采取足够的保护措施,因此希望根据本协议规定的条款和条件修改协议;和

欧洲数据保护法要求 EU/EEA 国家/地区的数据输出者为向非 EU/EEA 国家/地区传输个人数据提供足够的保护,并且可以通过要求数据输入者根据 2004 年 12 月 27 日第 2004/915/EC 号委员会决定(不时修订或替换)签订向第三国传输个人数据的标准合同条款来提供此类保护。

因此,

鉴于并考虑到此处包含的相互承诺和契约,以及其他良好和有价值的对价,特此确认其接收和充足性,双方特此同意如下:

协议的修订

1. 协议的修订

  • 1.1 修订。 双方特此同意,应通过在协议中增加本附录来修订本协议。
  • 1.2 附录的效力。 服务协议中未特别修订的所有条款应保持完全有效。如果本附录的规定与服务协议的任何规定之间存在任何不可调和的冲突,应以本附录的规定为准。如果本附录的某一条款无效或变为无效,则本附录其他条款的有效性不受影响,并且本协议的每个条款和规定均应在法律允许的最大范围内有效和执行。
  • 1.3 进一步修订。 本协议的条款,包括本条款的规定,不得修订、修改或补充,未经各方授权代表事先书面同意,不得放弃或同意偏离本协议的规定。任何一方对本协议项下任何违约、虚假陈述或违反保证或承诺的弃权,无论是否有意,均不得视为延伸至任何先前或后续的违约、虚假陈述或违反本协议项下的保证或承诺,或以任何方式影响因任何先前或后续此类事件而产生的任何权利。

2. 数据处理

  • 2.1 控制器说明。 处理者应仅代表控制者并为其利益处理控制者的个人数据,并应根据控制者的书面指示处理。双方明确同意并规定,该协议(包括适用的服务水平协议或等效文件)应构成控制者对处理者的书面指示。任何其他处理指令必须由双方以书面形式共同同意。如果处理者认为某项指令违反了适用法律,则处理者应立即通知控制者。
  • 2.2 转让给处理者的权限。 控制者声明并保证,控制者拥有授权和权利(包括在需要时同意),以合法地将所有个人数据以及与控制者访问或使用服务相关的任何其他数据或信息传输给处理者。
  • 2.3 遵守适用法律 控制者声明并保证,其应遵守 (i) 现行的适用国际、联邦、州、省和地方法律、规则、法规、指令和政府要求,以及它们以任何方式生效的与个人数据的隐私、机密性和/或安全性相关的法律、规则、法规、指令和政府要求,包括但不限于 GDPR;(ii) 有关隐私、数据保护、机密性或信息安全的适用行业标准,包括但不限于支付卡行业数据安全标准(“PCI DSS”);以及 (iii) 当前有效和生效的处理者书面要求中与个人数据的隐私、机密性和/或安全相关的适用条款,或处理者以书面形式提供给控制者的适用隐私政策、声明或通知(统称为“适用法律”)。

3. 分包商

  • 3.1 分包商的参与。 控制者明确承认并同意:(a) 处理者可以保留与提供服务有关的受处理者控制、控制或与处理者共同控制的任何实体(“关联公司”);以及 (b) 处理者和处理者的关联公司可以分别聘请与提供服务相关的其他第三方处理者(统称为“分处理者”)。
  • 3.2 分包商的义务。 任何分处理者将被允许仅在提供处理者为其聘请的服务所必需的情况下处理个人数据,并且禁止此类分处理者出于任何其他目的处理个人数据。此类分包商将根据包含与本协议规定的相同数据保护义务的书面协议提供服务。除非协议中另有规定,否则处理者应对其分处理者的行为和疏忽向控制者承担责任,其程度与处理者直接根据本附录的条款履行每个分处理者的服务时应承担的责任相同。
  • 3.3 分包商列表。 根据控制者的要求,处理者应向控制者提供相应服务的最新分包商名单以及这些分包商的身份(“分包商名单”)。

4. 保密

  • 4.1 保密性。 处理者将对控制者的个人数据进行保密。处理者将确保其参与处理控制者个人数据的人员被告知个人数据的机密性,接受过有关其职责的适当培训,并承担保密义务,并且此类义务在该人员与处理者的合作终止后继续有效。

5. 安全性

  • 5.1 安全措施。 处理者应实施适当的技术和组织措施来保护控制者个人数据的安全性、机密性、完整性和可用性,如附录 2 中更详细地规定。
  • 5.2 数据泄露通知。 处理者应在发现此类数据泄露后,立即通知控制者任何导致意外或非法破坏、丢失、更改、未经授权披露或访问控制者个人数据的安全漏洞(“数据泄露”)。数据泄露通知(如有)将通过双方同意的方式发送给控制者的指定联系人。控制者全权负责确保其维护准确的联系信息,以便进行此类通知。

6. 协助控制者

  • 6.1 数据主体权利。 在可能的情况下,考虑到处理的性质,处理者将向控制者提供商业上合理的协助,以履行控制者响应 GDPR 第 12-23 条中规定的行使数据主体权利请求的义务。
  • 6.2 安全和数据保护影响评估。 处理者将根据 GDPR、第 32 条(处理安全性)和第 36 条(事先咨询)向控制者提供商业上合理的协助,以履行控制者履行义务,前提是处理的性质和处理者可获得的信息。
  • 6.3 审计和检查。根据与处理者操作相关的系统安全或数据文件完整性相关的限制,处理者应向控制者提供必要的信息,以证明遵守 GDPR 第 28 条中规定的义务。处理者应允许并协助由控制者或控制者授权的其他审计师进行的审计,包括检查。控制者应按照处理者当时的专业服务费率向处理者补偿任何此类现场审计所花费的任何时间,该费率应应要求提供给控制者。在开始任何此类现场审核之前,除了控制者应负责的报销率外,处理者和控制者还应共同商定审计的范围、时间和持续时间。双方应本着诚意工作,将审计安排在互惠互利的时间,以避免不合理地干扰处理方的业务运营。考虑到处理者所花费的资源,所有报销率都应合理。除非双方另有书面约定,否则控制者应承担与根据本条款对处理者进行审计相关的费用。控制者应立即通知处理者,提供有关在与服务或本协议相关的审计过程中发现的任何不合规情况的信息。

7. 数据传输

  • 7.1 传输到美国。
    控制者明确承认,部分或全部服务可能在美国境内提供和/或托管,欧盟认为美国对个人数据的法律保护不足。控制者明确同意将控制者的个人数据传输到美国,以便处理者提供服务并履行其在协议下的义务。此类转让将根据本协议进行,包括附件 1(标准合同条款)。

8. 个人数据删除

  • 8.1 删除或返回控制者个人数据。 除非法律另有要求或适用的行业最佳实践允许以适当降低法律风险或纪念控制者关于书面指示的意图,否则处理者将在合理的时间内删除或归还控制者的个人数据,前提是:(i) 停止提供与处理相关的服务,或 (ii) 控制者的合法, 书面请求。
  • 8.2 认证。双方同意,附件 1(标准合同条款)第 12(1) 条中描述的个人数据删除证明应由处理者根据控制者的要求并在法律允许的情况下提供给控制者。

9. 赔偿

  • 9.1 赔偿。 控制者同意赔偿处理者及其关联公司及其各自的当前、未来和前任高级职员、员工、董事、代理人、继任者和受让人(统称为“处理者受偿人”)并使其免受损害,并由处理者选择对处理者受偿人可能遭受的任何和所有损失(定义见下文)进行辩护,前提是此类损失是由以下原因引起的或可能以任何方式归因于: (i) 任何违反本附录的行为;以及 (ii) 控制者或其人员与本附录中规定的义务相关的疏忽、重大过失、恶意、欺诈行为或不作为,或故意或故意的不当行为。就本附录而言,“损失”是指所有判决、和解、裁决、损害赔偿、损失、费用、责任、处罚、利息索赔(包括税款和与之直接相关的所有相关利息和罚款)以及所有相关的合理成本、费用和其他费用(包括所有合理的律师费和调查、诉讼、听证会、程序的合理内部和外部成本, 文件和数据制作以及发现、和解、判决、裁决、利息和处罚)。

10. 杂项

  • 10.1 对应项。 本附录可以副本签署,每一份都应被视为原件,所有副本共同构成一份文件。
  • 10.2 期限和终止。
    所有终止通知必须采用书面形式,并遵守协议中规定的终止程序。除非双方另有书面约定,否则本附录应继续有效,直至协议到期。
  • 10.3 条款的存续。 任何一方根据其性质在本附录终止或期满后继续存在的权利和义务,包括但不限于保密义务,应在本附录终止或期满后继续有效。
  • 10.4 完整协议。 本附录(应纳入本协议并构成其组成部分)构成双方之间的完整协议和谅解,并取代所有先前和同期关于本附录特定主题的口头和书面谈判、协议和谅解(如有),除非根据书面协议,否则不得修改本附录, 由各方的授权代表签署。
  • 10.5 可分割性。 如果本附录中的任何条款在任何司法管辖区无效、非法或不可执行,则该条款在此类司法管辖区内无效、非法或不可执行,但不影响其余条款的有效性、合法性和可执行性;而某一特定条文在某一特定司法管辖区的无效,不应使该条文在任何其他司法辖区无效。

附件 1

标准合同条款(处理者)

根据 GDPR 和指令 95/46/EC 第 26 条第 (2) 款的规定,将个人数据传输给在第三方国家/地区设立的处理者,而这些处理者无法确保足够的数据保护水平,数据输入者和数据输出者(如协议中确定的那样)各自称为“一方”;“双方”共同同意以下合同条款(条款),以便在数据输出者向数据输入者传输附录 1 中规定的个人数据时,在保护个人的隐私、基本权利和自由方面提供足够的保障措施。

第 1 条

定义

就条款而言:(a) “个人数据”、“特殊类别的数据”、“处理/处理”、“控制者”、“处理者”、“数据主体”和“监管机构”的含义应与欧洲议会和理事会 1995 年 10 月 24 日关于个人数据处理和此类数据自由移动的个人保护的指令 95/46/EC 中的含义相同;(b) “数据输出者”是指传输个人数据的控制者;(c) “数据输入者”是指同意从数据输出者处接收个人数据的处理者,该数据打算在传输后根据其指示和条款的条款代表他进行处理,并且不受第三国系统的约束,确保指令 95/46/EC 第 25 条第 (1) 款所指的充分保护;(d) “子处理者”是指数据输入者或数据输入者的任何其他子处理者聘请的任何处理者,他们同意从数据输入者或数据输入者的任何其他子处理者那里接收个人数据,专门用于在按照数据输出者的指示传输后代表数据输出者进行的处理活动, 条款的条款和书面分包合同的条款;(e) “适用的数据保护法”是指保护个人的基本权利和自由的立法,特别是保护他们在个人数据处理方面的隐私权,适用于数据输出者所在成员国的数据控制者;(f) “技术和组织安全措施”是指旨在保护个人数据免遭意外或非法破坏或意外丢失、更改、未经授权的披露或访问的措施,特别是当处理涉及通过网络传输数据时,以及防止所有其他非法形式的处理。

第 2 条

转账详情

附录 1 中规定了传输的详细信息,特别是适用的个人数据的特殊类别,该附录 1 构成了条款的组成部分。

第 3 条

第三方受益人条款

1. 数据主体可以作为第三方受益人对数据输出者执行本条款、第 4(b) 至 (i) 条、第 5(a) 至 (e) 条和 (g) 至 (j)、第 6(1) 和 (2) 条、第 7 条、第 8(2) 条和第 9 至 12 条。2. 在数据输出者事实上消失或在法律上不复存在的情况下,数据主体可以对数据输入者执行本条款、第 5(a) 至 (e) 和 (g) 条、第 6 条、第 7 条、第 8(2) 条和第 9 至 12 条,除非任何继任实体通过合同或法律实施承担了数据输出者的全部法律义务, 因此,它承担了数据输出者的权利和义务,在这种情况下,数据主体可以针对此类实体执行这些权利和义务。3. 数据主体可以对子处理者执行本条款、第 5(a) 至 (e) 和 (g) 条、第 6 条、第 7 条、第 8(2) 条和第 9 至 12 条,如果数据输出者和数据输入者事实上已消失或在法律上不复存在或已资不抵债,除非任何继任实体已通过合同或法律运作承担了数据输出者的全部法律义务因此,它承担了数据输出者的权利和义务,在这种情况下,数据主体可以针对此类实体执行这些权利和义务。子处理方的此类第三方责任应仅限于其根据条款进行的自身处理操作。4. 如果数据主体明确希望并得到国家法律允许,则双方不反对数据主体由协会或其他机构代表。

第 4 条

数据输出者的义务

数据输出者同意并保证:(a) 个人数据的处理(包括传输本身)已经并将继续按照适用数据保护法的相关规定进行(并且在适用的情况下,已通知数据输出者所在成员国的相关当局),并且不违反该国的相关规定;(b) 其已指示并在整个个人数据处理服务期间指示数据输入者仅代表数据输出者并根据适用的数据保护法和条款处理传输的个人数据;(c) 数据输入者将就本合同附录 2 中规定的技术和组织安全措施提供充分保证;(d) 在评估适用的数据保护法的要求后,安全措施适用于保护个人数据免遭意外或非法破坏或意外丢失、更改、未经授权的披露或访问,特别是当处理涉及通过网络传输数据时,以及防止所有其他非法形式的处理, 并且这些措施确保安全级别与处理所带来的风险和要保护的数据的性质相适应,同时考虑到其实施的最新技术和成本;(e) 确保遵守安全措施;(f) 如果传输涉及特殊类别的数据,则数据主体在传输之前或之后已被告知或将要被告知其数据可能会被传输到未提供指令 95/46/EC 所指的足够保护的第三国;(g) 如果数据输出者决定继续传输或解除暂停,则根据第 5(b) 条和第 8(3) 条将从数据输入者或任何子处理者收到的任何通知转发给数据保护监管机构;(h) 应要求向数据主体提供条款的副本(附录 2 除外)和安全措施的摘要说明,以及必须根据条款签订的任何子处理服务合同的副本,除非条款或合同包含商业信息, 在这种情况下,它可能会删除此类商业信息;(i) 在子处理的情况下,处理活动由子处理者根据第 11 条执行,该子处理者为个人数据和数据主体的权利提供至少与条款下的数据输入者相同级别的保护;以及 (j) 它将确保遵守第 4(a) 至 (i) 条。

第 5 条

数据输入者的义务

数据输入者同意并保证:(a) 仅代表数据输出者处理个人数据,并遵守其指示和条款;如果出于任何原因无法提供此类合规性,则同意立即通知数据输出者其无法遵守,在这种情况下,数据输出者有权暂停数据传输和/或终止合同;(b) 它没有理由相信适用于它的立法阻止它履行从数据输出者那里收到的指示及其在合同下的义务,并且如果该立法发生变化,可能会对条款提供的保证和义务产生重大不利影响, 一旦知道更改,它将立即通知数据输出者,在这种情况下,数据输出者有权暂停数据传输和/或终止合同;(c) 在处理传输的个人数据之前,它已经实施了附录 2 中规定的技术和组织安全措施;(d) 它将立即通知数据输出者:(i) 执法机构披露个人数据的任何具有法律约束力的请求,除非另有禁止,例如刑法禁止对执法调查保密,(ii) 任何意外或未经授权的访问,以及 (iii) 直接从数据主体收到的任何请求,但未响应该请求, 除非已获另行授权;(e) 及时、妥善地处理数据输出者关于其处理受传输的个人数据的所有询问,并遵守监管机构关于处理所传输数据的建议;(f) 应数据输出者的要求,提交其数据处理设施以供对条款所涵盖的处理活动进行审计,这些活动应由数据输出者或由数据输出者选择的具有受保密义务约束的必要专业资格的检查机构进行, 在适用的情况下,与监管机构达成协议;(g) 应要求向数据主体提供条款的副本或任何现有的子处理合同,除非条款或合同包含商业信息,在这种情况下,它可以删除此类商业信息,但附录 2 除外,附录 2 应在数据主体无法从数据输出者处获得副本的情况下替换为安全措施的摘要描述;(h) 在进行子处理时,它事先已通知数据输出者并事先获得其书面同意;(i) 子处理方的处理服务将按照第 11 条进行;(j) 立即将其根据条款签订的任何子处理方协议的副本发送给数据输出者。

第 6 条

责任

1. 双方同意,因任何一方或子处理方违反第 3 条或第 11 条中提及的义务而遭受损害的任何数据主体有权从数据输出者那里获得所遭受的损害赔偿。2. 如果数据主体无法根据第 1 款向数据输出者提出赔偿要求,原因是数据输入者或其子处理者违反了第 3 条或第 11 条中提到的任何义务,因为数据输出者实际上已经消失或在法律上不复存在或已经资不抵债, 数据输入者同意,数据主体可以像数据输出者一样向数据输入者提出索赔,除非任何继任实体已通过合同或依法承担数据输出者的全部法律义务,在这种情况下,数据主体可以针对此类实体行使其权利。数据输入者不得以子处理方违反其义务为由来逃避自身责任。3. 如果数据主体无法向第 1 款和第 2 款中提及的数据输出者或数据输入者提出索赔,原因是子处理方违反了第 3 条或第 11 条中提及的任何义务,因为数据输出者和数据输入者实际上已经消失或在法律上不复存在或已经资不抵债, 子处理者同意,数据主体可以就其根据条款进行的处理操作向数据子处理者提出索赔,就像它是数据输出者或数据输入者一样,除非任何继任实体已通过合同或法律实施承担了数据输出者或数据输入者的全部法律义务, 在这种情况下,数据主体可以针对此类实体行使其权利。子处理方的责任应限于其根据本条款进行的处理操作。

第 7 条

调解和管辖权

1. 数据输入者同意,如果数据主体根据条款对其援引第三方受益人权利和/或要求损害赔偿,数据输入者将接受数据主体的决定:

  • (a) 将争议提交独立人士或监管机构(如适用)进行调解;
  • (b) 将争议提交数据输出者所在成员国的法院。

2. 双方同意,数据主体所做的选择不会损害其根据国家或国际法的其他规定寻求补救措施的实体或程序权利。

第 8 条

与监管机构合作

1. 数据输出者同意在监管机构要求时或适用的数据保护法要求将本合同的副本交存给监管机构。2. 双方同意,监管机构有权对数据输入者和任何子处理者进行审计,其范围和条件与根据适用的数据保护法适用于数据输出者的审计相同。3. 数据输入者应及时通知数据输出者,是否存在适用于其或任何子处理者的法律,阻止根据第 2 款对数据输入者或任何子处理者进行审计。在这种情况下,数据输出者有权采取第 5 (b) 条中预见的措施。

第 9 条

管辖法律

这些条款应受数据输出者所在成员国的法律管辖。

第 10 条

合同的变更

双方承诺不更改或修改本条款。这并不排除各方在需要时就业务相关问题添加条款,只要这些条款不与条款相抵触。

第 11 条

子处理

1. 未经数据输出者事先书面同意,数据输入者不得分包其根据条款代表数据输出者执行的任何处理操作。如果数据输入者在征得数据输出者同意的情况下分包其在条款下的义务,则只能通过与分包者签订书面协议的方式进行分包,该协议对分包者施加的义务与根据第1 条对数据输入者施加的义务相同。如果子处理者未能履行此类书面协议规定的数据保护义务,则数据输入者仍应就其履行此类协议规定的义务向数据输出者承担全部责任。2. 数据输入者与副处理者之间的先前书面合同还应规定第 3 条中规定的第三方受益人条款,以防数据主体无法向数据输出者或数据输入者提出第 6 条第 1 款中提及的赔偿要求,因为他们事实上已经消失或已在法律中不复存在或已经资不抵债,并且没有继承实体已通过合同或法律实施承担了数据输出者或数据输入者的全部法律义务。子处理方的此类第三方责任应仅限于其根据条款进行的自身处理操作。3. 第 1 款中提及的合同子处理的数据保护方面的相关规定应受数据输出者所在成员国的法律管辖。4. 数据输出者应保留一份根据条款签订并由数据输入者根据第 5 (j) 条通知的子处理协议清单,该清单应至少每年更新一次。该列表应提供给数据输出者的数据保护监管机构。
1 根据本决定,数据输出方和数据输入方之间签订的合同的子处理方可以共同签署满足这一要求。

第 12 条

个人数据处理服务终止后的义务

1. 双方同意,在终止提供数据处理服务时,数据输入者和子处理者应根据数据输出者的选择,将传输的所有个人数据及其副本退还给数据输出者,或应销毁所有个人数据并向数据输出者证明其已这样做, 除非对数据输入者施加的法律禁止其退还或销毁所传输的全部或部分个人数据。在这种情况下,数据输入者保证其将保证所传输个人数据的机密性,并且不会再主动处理所传输的个人数据。2. 数据输入者和子处理者保证,应数据输出者和/或监管机构的要求,其将提交其数据处理设施,以便对第 1 段中提及的措施进行审计。

标准合同条款附录 1

本附录构成条款的一部分,必须由双方填写并签署。

会员国可以根据本国程序填写或指定本附录中应包含的任何其他必要信息。

数据输出器

数据输出者是(请简要说明您与传输相关的活动):

协议中指定的控制者(数据输出者)保留了数据输入者的服务,以便根据协议从数据输入者的全球专业网络中获得主题专家的咨询服务。

数据输入者

数据输入者是(请简要说明与传输相关的活动):

Guidepoint 是数据输入器。协议中指定的控制者(数据输出者)保留了数据输入者的服务,以便根据协议从数据输入者的全球专业网络中获得主题专家的咨询服务。

数据主体

传输的个人数据涉及以下类别的数据主体:

  • 雇员(包括自雇人士)
  • 最终用户
  • 独立承包商
  • 投资者
  • 业主
  • 与业务相关的其他相关个人

数据类别

传输的个人数据涉及以下类别的数据:

  • 名字
  • 电子邮件地址
  • 街道地址/邮寄地址
  • 电话号码
  • IP 地址
  • 浏览器 Cookie
  • 设备 ID
  • 由控制者或数据主体自行决定提供的其他信息
  • 经营业务以及向控制者提供服务和支持所需的其他信息
  • 与个人数据相关的信息

特殊类别的数据(如果适用)

传输的个人数据涉及以下特殊类别的数据:

没有。

加工操作

传输的个人数据将受到以下基本处理活动的约束:

提供的与所列数据主体相关的数据用于允许处理者在正常过程中向控制者提供服务和支持,包括出于各种业务相关目的进行通信、法律合规性(包括 GDPR 合规性和纪念书面说明)以及协议范围内其他相关的预期业务用途。

标准合同条款附录 2

本附录构成条款的一部分,必须由双方填写并签署。

数据输入者根据第 4(d) 和 5(c) 条(或随附的文件/立法)实施的技术和组织安全措施的描述:

  • 书面安全策略或计划
  • 灾难恢复计划
  • 事件响应计划
  • 网络分段
  • 防火墙
  • 入侵防护设备
  • 传输中加密
  • 防病毒保护
  • 密码程序
  • 基于角色的访问
  • 定期修补和更新关键系统和其他连接到关键系统的系统
  • 用户培训
  • 员工手册
  • 反垃圾邮件控制
  • 安全编码实践