Transfon Ltd - 处理者 - 下称为“供应商”。
协议或合同的主题和持续时间完全由各自合同关系中提供的信息确定。供应商应根据本协议基于《通用数据保护条例》第4条第2款和第28条为客户处理个人数据。
客户应根据本文件附录1描述可能收集、处理或使用的任何个人数据的对象、性质和目的,数据的性质以及受影响的人。只要不受本文件第1节描述的合同关系所控制。
合同约定的数据处理应仅在欧洲联盟成员国或另一欧洲经济区成员国境内进行。任何转移至第三国均需事先获得客户的同意,并且仅当《通用数据保护条例》第44条及其后续条款中定义的特殊条件得到满足时方可进行。
(1) 在开始数据处理之前,供应商应记录事先确定的必要技术和组织措施的执行,特别是就协议或合同的详细执行而言,并将这些记录的措施提交给客户进行检查(见本文件附录2)。客户接受这些文件后,记录的措施将成为合同的基础。如果客户的检查/审计显示需要进行修订,应通过双方协议实施这些修订。
(2) 供应商应当根据《第28条第3款第2项第c款》和《GDPR第32条》,特别是与《GDPR第5条第1款和第2款》结合使用的规定,确保数据的安全性。所采取的措施既包括数据安全的措施,又包括确保系统在机密性、完整性、可用性和弹性方面具有适当风险水平的措施。必须考虑技术水平、实施成本、处理的性质、范围和目的,以及在《GDPR第32条第1款》范围内发生的风险对自然人权利和自由的可能性和严重性。
(3) 技术和组织措施应当符合技术进步和进一步发展。在这方面,供应商被允许实施替代的适当措施。指定措施的安全水平不得受损。必须记录重大更改。
(1) 供应商无权擅自删除或限制代表第三方处理的数据。在这方面,只要受影响的个人直接与供应商联系,供应商将立即无延迟地将此请求转发给客户。
(2) 在服务范围内,供应商应根据客户的记录的指令,迅速确保以下内容:删除政策、被遗忘权、数据更正、数据可携带性和数据披露。
除遵守本协议的规定外,供应商还应遵守《GDPR第28条至第33条》的法定义务;在这方面,供应商特别要确保遵守以下要求:
5.1 根据《GDPR第28条第3款第2项第b款》、《GDPR第29条》和《GDPR第32条第4款》的规定保密。供应商仅将已经受过保密义务并事先了解了与其工作相关的数据保护规定的员工委托给本协议中定义的数据处理。除非法律另有规定,供应商及其授权人员只能按照客户的指示(包括本协议授予的权限)处理数据。
5.2 根据第28条第3款第2句第c款和《GDPR》第32条的规定,本协议中为履行的所有技术和组织措施详见附录2。
5.3 供应商和客户应根据要求与监管机构合作,履行其职责。
5.4 如监管机构进行与本协议或合同相关的检查和措施,供应商应立即通知客户。在供应商受到调查或与任何民事或刑事法律、行政规则或关于处理与本协议或合同相关的个人数据的违规行为有关的有关当局的调查中作为当事方时,同样适用此规定。
5.5 如客户受到监管机构、行政或简易程序、受害人或第三方的赔偿要求,或与供应商处理本协议或合同有关的情况下,供应商应尽最大努力支持客户。
5.6 供应商应定期监测其责任范围内的内部流程以及技术和组织措施,以确保按照适用的数据保护法的要求执行处理,并保护受影响人的权利。
5.7 客户可以要求提供文件以验证供应商根据本协议第3节采取的技术和组织措施的执行情况。
为本协议目的,子合同关系被定义为直接与主要委托的提供相关的服务。这不包括供应商使用的辅助服务,例如电信服务;邮政/运输服务;维护和用户支持服务;以及其他确保数据处理系统的硬件和软件的机密性、可用性、完整性和弹性的措施。然而,在外包的辅助服务情况下,供应商有责任进行适当的法律约定和实施适当的检查措施,以保证客户数据的数据保护和数据安全。
(1) 客户有权与供应商协商实施检查,或由个案指定的检查员进行检查。客户有权通过及时通告的例行检查来验证供应商在其业务运营中是否遵守本协议,通常应提前通知。
(2) 供应商应确保客户能够验证供应商在《GDPR》第28条项下的义务方面的遵守。供应商有责任根据客户的要求提供必要的信息,特别是提供有关技术和组织措施实施的证据。
(3) 有关不仅适用于本特定协议或合同的措施的证据可以通过遵守《GDPR》第40条规定的批准的行为准则;根据《GDPR》第42条规定的批准的认证程序进行认证;独立机构(例如审计师、数据保护官、IT安全部门、数据隐私审计师、质量审计师)提供的当前审计员证书、报告或报告摘要;或由IT安全部门或数据保护审计提供的适当认证来提供。
(4) 供应商可以主张因为使客户进行检查而要求报酬。
(1) 供应商应协助客户遵守有关个人数据安全、数据泄露报告要求、数据保护影响评估和《GDPR》第32至36条所述的先前咨询的义务。这包括:
8.1.1. 通过考虑数据处理的情况和目的、由于安全漏洞可能导致的法律违规的预期概率和严重性,以及能够立即检测到相关法律违规的措施,确保采取适当的技术和组织措施,以确保足够的保护水平。
8.1.2. 有义务立即向客户报告个人数据的违规行为。
8.1.3. 有责任协助客户履行向受影响的人提供信息的义务,并在此过程中立即通知客户履行自身的义务。
8.1.4. 协助客户进行数据保护影响评估。
8.1.5. 协助客户进行与监管机构事先咨询相关的工作。
(2) 供应商可以要求对不包含在服务描述中且不归因于供应商故障的支持服务进行赔偿。
(1) 客户应立即确认口头指令(至少以文本形式)。
(2) 如果供应商认为某个指令违反了数据保护法规,供应商应立即通知客户。然后,供应商有权暂停执行相关指令,直到客户确认或更改指令。
(1) 未经客户知悉,不得创建数据的复制品或副本,除了备份副本,只要它们对确保正常数据处理以及遵守法定存储义务是必要的。
(2) 在合同工作结束后,或在客户的要求下,最迟在服务协议终止时,供应商应提交给客户或 - 在事先同意的情况下 - 销毁根据数据保护法进入其处置的与合同相关的所有文件、处理和利用结果以及数据集。与合同相关的所有测试和废料也适用相同的规定。根据要求,供应商应提供有关数据删除的性质和时间的信息。
(3) 在合同期满后,供应商应根据各自的保留期保留证明数据按照有序和合同方式处理的文件。另外,供应商可以在合同终止时将该文件转交给客户而免除此义务。
(1) UniConsent 仅会为执行服务的特定目的将个人数据披露给子处理器。UniConsent 不会因商业目的向第三方出售或披露个人数据。
(2) UniConsent 将在 https://www.uniconsent.com/dpa-subprocessors 维护子处理器列表,并会在新的或替代的子处理器开始处理个人数据之前的至少三十(30)天内将其名称添加到列表中。如果客户基于数据保护的合理理由反对任何新的或替代的子处理器,应在通知后的十(10)天内以书面形式通知 UniConsent,双方将本着诚信解决此事。
(3) UniConsent 将确保其委托提供与本DPA相关的服务的任何子处理器仅基于一份书面合同进行,该合同对该子处理器施加的条款(即数据保护义务)不得低于本DPA对UniConsent施加的那些。
本合同无需支付费用。
如果客户需要协助回答本协议第4节中所述的受影响人的询问,客户将需要为此协助支付供应商的费用。
如果客户行使本协议第7节中描述的监控权利,则约定的报酬金额将基于供应商指定监督审计员的员工的固定小时费率。
如果客户根据本协议第9节的说明向供应商发出指示,则客户将需要支付由这些指示产生的任何费用。
本协议依赖于本文件第1节中描述的主要合同关系的存在。主要合同关系的取消或其他终止将同时使本协议失效。
孤立的非凡取消通知权利得以保留,法定的撤销权利也得以保留。
开始使您的网站和应用符合欧盟 GDPR、美国 CPRA、加拿大 PIPEDA 等法规
注册