最后更新:2021年9月27日

客户标准合同条款(SCC)(处理器控制器)

最后更新:2021年9月27日

这些标准合同条款附在星期一的附件中,并构成星期一的一部分.数据处理附录可在 http://www.www.cd-hszc.com/terms/dpa,或客户与周一之间的其他协议.com管理客户资料内个人资料的处理("德通社”). 除非本附件另有规定, 本标准合同条款中使用的大写术语具有德通社中赋予它们的含义.

节中,我

条款1

目的和范围

(a)        The purpose of these standard contractual clauses is to ensure compliance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to 个人资料的处理 and on the free movement of such data (General Data Protection Regulation) for the transfer of personal data to a third country.

(b)当事人:

(一)自然人、法人, 公共权力/会议记录, 传送个人资料的机构/机构或其他机构/机构(以下简称“实体/机构”), 如附件一所列.A(以下简称“数据导出人”),以及

(ii)在第三国从数据出口国接收个人数据的实体, 直接或间接通过另一实体,也就是本条款的一方, 如附件一所列.A(以下各“数据导入者”)

已同意本标准合同条款(以下简称“条款”).

(c)本条款适用于附件I所指明的个人资料的转移.B.

(d)包含其中提到的附件的本条款附录构成本条款不可分割的一部分.

条款2

条款的效力和不变性

(a)本条款规定了适当的保障措施, 包括可强制执行的数据主体权利和有效的法律救济, 根据法规(EU) 2016/679第46(1)条和第46(2)(c)条, 关于从控制器到处理器和/或处理器到处理器的数据传输, 标准合同条款依据法规(EU) 2016/679第28(7)条, 前提是它们没有被修改, 除了选择适当的模块或在附录中添加或更新信息. 这并不妨碍双方在更广泛的合同中包括这些条款中规定的标准合同条款和/或添加其他条款或额外的保障措施, 只要它们不相矛盾, 直接或间接, 这些条款或损害数据主体的基本权利或自由.

(b)这些条款不损害数据出口商根据法规(EU) 2016/679所承担的义务.

条款3

第三方受益人

(a)数据当事人可援引并执行本条款, 作为第三方受益人, 对数据导出器和/或数据导入器, 但以下情况除外:

第1款、第2款、第3款、第6款、第7款;

(2)条款8.1 (b), 8.9(a)、(c)、(d)、(e);

(iii)第9(a)、(c)、(d)和(e)条;

(iv)第12(a)、(d)和(f)条;

(v)条款13;

(vi)条款15.1(c)、(d)和(e);

(七)条款16 (e);

(viii)第18(a)和(b)条.

(b)第(a)段不损害法规(EU) 2016/679下数据主体的权利.

条款4

解释

(a)当本条款使用法规(EU) 2016/679中定义的术语时, 该等用语与该规例所载的含义相同.

(b)本条款应根据法规(EU) 2016/679的规定进行解读和解释.

(c)本条款的解释不得与法规(EU) 2016/679中规定的权利和义务相冲突.

条款5

层次结构

如果本条款与双方之间的相关协议的规定相矛盾, 在本条款达成协议或此后订立时已存在的, 以本条款为准.

条款6

转让说明

转帐详情, 特别是被转移的个人数据的类别以及它们被转移的目的, 是在附件I中指定的.B.

第7条-可选

不习惯.

第二节-双方的义务

条款8

数据保护措施

数据导出器保证它已经使用了合理的努力来确定数据导入器是可以的, 通过实施适当的技术和组织措施, 以履行其在本条款下的义务.

8.1说明

(a)数据输入方应仅按照数据输出方的书面指示处理个人数据. 数据导出人可在合同期间发出此类指示.

(b)如果数据导入者不能遵守这些指示,则应立即通知数据导出者.

8.2目的限制

数据导入方应仅为转移的特定目的处理个人数据, 如附件一所示.B,除非数据导出者有进一步的指示.

8.3透明度

根据要求, 数据导出人应将本条款复制一份, 包括由双方填写的附录, 供资料当事人免费使用. 在保护商业秘密或其他保密信息必要的范围内, 包括附件二所述的措施和个人资料, 在共享副本之前,数据导出者可以对这些条款附录的部分文本进行修订, 但在数据主体无法理解其内容或行使其权利的情况下,应提供有意义的摘要. 根据要求, 双方应向数据主体提供修订的理由, 在不泄露修改过的信息的前提下. 本条款不损害数据出口商根据法规(EU) 2016/679第13和14条的义务.

8.4准确性

如果数据导入器意识到它收到的个人数据是不准确的, 或者已经过时了, 它应及时通知数据导出人. 在这种情况下,数据导入方应配合数据导出方对数据进行删除或纠正.

8.数据处理、删除或返回的持续时间

数据输入方仅应在附件一规定的时间内进行数据处理.B. 结束后提供处理服务, 数据导入者应, 由数据导出者选择, 删除代表数据导出者处理的所有个人数据,并向数据导出者证明已这样做, 或将代表其处理的所有个人数据返还给数据导出器,并删除现有的副本. 直到数据被删除或返回, 数据输入方应继续确保遵守本条款. 如果适用于数据导入的当地法律禁止返还或删除个人数据, 数据输入方保证将继续确保遵守这些条款,并仅在当地法律要求的范围和时间内对其进行处理. 这并不影响第14条, 特别是第14(e)条规定的数据输入方在合同期间通知数据输出方的要求,如果数据输出方有理由相信其正在或已经受到不符合第14(a)条规定的法律或惯例的约束。.

8.6处理安全性

(a)数据输入和, 在传输过程中, 数据导出人还应采取适当的技术和组织措施,以确保数据的安全, 包括防止安全漏洞导致意外或非法破坏, 损失, 变更, 未经授权披露或接触该等数据(以下称“个人数据泄露”). 在评估适当的安全级别时, 双方应充分考虑技术现状, 执行成本, 自然, 范围, 处理的背景和目的以及数据主体在处理过程中所涉及的风险. 双方应特别考虑采用加密或假名, 包括在传输过程中, 处理的目的可以以这种方式实现. 以防假名, 将个人数据归属于特定数据主体的附加信息应, 在可能的情况下, 仍然处于数据导出器的独家控制之下. 遵守本段规定的义务, 数据输入方至少应实施附件二规定的技术和组织措施. 数据输入方应进行定期检查,以确保这些措施继续提供适当水平的安全.

(b)数据输入方仅应在执行工作所绝对必要的范围内,允许其人员访问数据, 合同的管理和监督. 委员会应确保获授权处理个人资料的人士已承诺保密或有适当的法定保密义务.

(c)如果数据进口商根据本条款处理的个人数据发生个人数据泄露, 数据输入方应当采取适当措施解决违约问题, 包括减轻其不利影响的措施. 数据导入方在知道违约后,也应及时通知数据导出方. 该通知应包含可获得更多信息的联络点的详细信息, 违约性质的描述(包括, 在可能的情况下, 有关的资料当事人及个人资料纪录的类别及大致数目), 其可能的后果以及为解决违约而采取或提议的措施,包括, 在适当的地方, 减轻其可能的不利影响的措施. 在哪里, 到目前为止, 同时提供所有信息是不可能的, 初始通知应包含当时可获得的信息,进一步的信息应包含, 当它变得可用时, 随后提供,不得无故拖延.

(d)数据输入方应与数据输出方合作并协助数据输出方,使其能够遵守法规(EU) 2016/679所规定的义务, 特别是通知主管监管当局和受影响的数据主体, 考虑到处理的性质和数据输入者可获得的信息.

8.7敏感数据

转让涉及揭示种族或民族出身的个人资料, 政治观点, 宗教或哲学信仰, 或者是工会会员, 基因数据, 或者用于唯一识别自然人的生物特征数据, 有关健康或个人性生活或性取向的数据, 或与刑事定罪和犯罪有关的数据(以下称“敏感数据”), 数据输入方应适用附件一所述的具体限制和/或额外保障措施.B.

8.8起转移

数据导入方只能根据数据导出方的书面指示向第三方披露个人数据. 除了, 数据只能披露给位于欧盟以外的第三方(与数据进口国在同一个国家或在另一个第三国), (以下简称“向前转移”),如果第三方是或同意受本条款约束, 在适当的模块下, 或者,如果:

(i)转移至根据法规(EU) 2016/679第45条作出的充分性决定受益的国家,该决定涵盖转移;

(ii)第三方根据(EU) 2016/679第46或47条法规就相关处理确保适当的保障措施;

(三)设立所必需的转迁, 行使或辩护在具体行政方面的法律要求, regulatory or judicial proceedings; or

(iv)转移是为了保护数据主体或其他自然人的重大利益所必需的.

数据导入方必须遵守本条款下的所有其他保障措施, 特别是目的限制.

8.9文件和合规性

(a)数据进口商应及时、充分地处理来自数据出口商与本条款项下的处理有关的查询.

(b)双方应能够证明遵守本条款. 特别是, 数据导入者应保存代表数据导出者进行的处理活动的适当文件.

(c)数据导入者应向数据导出者提供所有必要的信息,以证明其遵守本条款中规定的义务,并应数据导出者的要求, 允许并协助审核本条款所涵盖的加工活动, 以合理的时间间隔或有不符合的迹象. 在决定审查或审计时, 数据导出者可以考虑数据导入者持有的相关证明.

(d)数据导出人可选择自行进行审计或委托独立审计员进行审计. 审计可包括对数据输入机构的场所或实体设施进行检查,并应, 在适当的地方, 在得到合理通知后执行.

(e)双方应提供第(b)和(c)段所述的信息, 包括所有审计的结果, 可根据主管监督机关的要求提供

条款9

使用sub-processors

(a)数据输入者获得数据输出者的一般授权,可从议定的清单中使用子处理器. 数据导入商应至少提前十(10)个工作日,以书面形式明确通知数据导出商该清单的任何拟更改,包括增加或更换子处理器, 因此,在子处理器介入之前,给数据导出者足够的时间来反对这些改变。. 数据导入人应当向数据导出人提供必要的信息,使数据导出人能够行使其提出异议的权利.

(b)数据输入者使用子处理器进行特定处理活动(代表数据输出者)的情况, 合同应当以书面形式约定, 在物质, 与根据本条款约束数据导入者的数据保护义务相同, 包括数据主体的第三方受益人权利. 双方同意, 遵守本条款, 数据导入器履行第8条规定的义务.8. 数据导入器应确保子处理器遵守数据导入器根据本条款所承担的义务.

(c)数据输入方应提供, 应数据导出者的要求, 这种子处理器协议的副本以及对数据导出器的任何后续修改. 在保护商业秘密或其他保密信息必要的范围内, 包括个人资料, 数据导入者可以在共享副本之前编辑协议文本.

(d)数据导入者应继续对数据导出者完全负责,以履行其与数据导入者签订的合同所规定的子处理器义务. 如果子处理器未能履行其在该合同下的义务,数据导入者应通知数据导出者.

(e)数据导入器应与子处理器商定第三方受益人条款,在数据导入器实际上消失的情况下, 在法律上已不复存在或已资不抵债-数据导出人有权终止子处理器合同,并指示子处理器删除或归还个人数据.

第10条

数据对象的权利

(a)        数据导入者应将收到的数据主体的任何请求及时通知数据导出者. 除非经数据导出人授权,数据导出人不得自行答复该请求.

(b)数据进口商应协助数据出口商履行其义务,回应数据主体根据法规(EU) 2016/679行使其权利的请求. 在这方面, 缔约方应在附件二中规定适当的技术和组织措施, 考虑到加工的性质, 提供协助的依据, 以及所需援助的范围和程度.

(c)履行(a)和(b)款规定的义务, 数据导入者应遵守数据导出者的指示.

条款11

纠正

(a)数据输入者应以透明和易于获取的格式通知数据主体, 通过个人通知或其网站, 获授权处理投诉的联络点. 它应迅速处理从数据主体收到的任何投诉.

(b)数据主体与一方当事人就遵守本条款发生争议时, 该缔约方应尽其最大努力及时友好地解决该问题. 双方应将该等争议通知对方, 在适当的地方, 合作解决这些问题.

(c)数据主体援引第3条规定的第三方受益人权利, 数据输入方应根据以下条件接受数据的决定:

(i)向其经常居住地或工作地点所在会员国的监管当局提出申诉, 或依第十三条规定之主管监察机关;

(ii)将争议提交第18条所指的主管法院.

(d)双方同意数据主体可由非营利性机构代表, 根据法规(EU) 2016/679第80(1)条规定的条件,组织或协会.

(e)数据进口国应遵守适用的欧盟或成员国法律下具有约束力的决定.

(f)数据输入方同意,数据主体作出的选择不会损害其根据适用法律寻求补救的实质性和程序性权利.

条款12

责任

(a)任何一方因违反本条款而给另一方造成的任何损害,均应向另一方负责.

(b)数据输入方应对数据主体承担责任, 数据主体有权获得补偿, 对于任何实质性或非实质性损害,数据输入方或其子处理器因违反本条款项下的第三方受益人权利而导致数据主体.

(c)尽管有(b)款, 数据导出人应对数据主体承担责任, 数据主体有权获得补偿, 对于任何实质性或非实质性损害,数据导出者或数据导入者(或其子处理器)因违反本条款项下的第三方受益人权利而导致数据主体. 这并不影响数据导出者的责任, 数据导出器是代表控制器的处理器, 根据法规(EU) 2016/679或法规(EU) 2018/1725承担的责任, 是适用的.

(d)双方同意,如果数据导出人根据第(c)款对数据导入人(或其子处理器)造成的损害负有责任,则数据导出人应向数据导入人(或其子处理器)承担责任。, 有权向数据导入方追讨与数据导入方所承担的损害责任相对应的部分赔偿.

(e)超过一方应对因违反本条款而对数据主体造成的任何损害负责, 所有责任方应承担共同和连带责任,数据主体有权向法院起诉任何一方.

(f)双方同意,如果一方根据第(e)款承担责任, 有权向对方索取与其所承担的损害责任相对应的部分赔偿.

(g)数据导入者不得援引子处理器的行为来避免其自身的责任.

条款13

监督
(a)若数据导出商在欧盟成员国设立:负责确保数据导出商遵守(EU) 2016/679号法规(EU)有关数据传输的规定的监管机构, 如附件一所示.三、作为主管监察机关.

数据导出器不在欧盟成员国建立, but falls within the territorial 范围 of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) and has appointed a representative pursuant to Article 27(1) of Regulation (EU) 2016/679: The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, 如附件一所示.三、作为主管监察机关.

数据导出器不在欧盟成员国建立, but falls within the territorial 范围 of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679: The supervisory authority of one of the Member States in which the data subjects whose personal data is transferred under these Clauses in relation to the offering of goods or services to them, 或者谁的行为被监控, 位于, 如附件一所示.三、作为主管监察机关.

(b)数据进口商同意在任何旨在确保遵守本条款的程序中接受主管监管当局的管辖并与之合作. 特别是, 数据输入方同意回复查询, 接受监察机关稽核并遵守监察机关所采取之措施, 包括补救和补偿措施. 采取必要措施的,应当向监察机关提供书面确认.

第三节-地方法律和公共当局进入时的义务

条款14

影响遵守条款的当地法律和惯例

 (a)双方保证,它们没有理由相信第三目的国的法律和惯例适用于数据输入方处理个人数据, 包括公开个人资料的规定或授权公共当局查阅的措施, 阻止数据导入者履行其在本条款下的义务. 这是基于法律和实践尊重基本权利和自由的本质,不超过民主社会的必要和相称的,以保障条例(EU) 2016/679第23(1)条所列目标之一的理解, 是否与这些条款相矛盾.

(b)双方声明,在提供第(a)段中的保证时,, 他们特别适当地考虑到下列因素:

(一)转让的具体情况, 包括加工链的长度, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;

(ii)第三目的地国的法律和惯例- -包括要求向公共当局披露数据或授权公共当局查阅数据的法律和惯例- -视转移的具体情况而定, 适用的限制和保障措施;

(iii)任何相关合同, 实施技术或组织保障措施以补充本条款下的保障措施, 包括在传输和在目的国处理个人数据时采取的措施.

(c)数据输入方保证, 根据(b)段进行评估时, 其已尽其最大努力向数据导出者提供相关信息,并同意将继续与数据导出者合作,以确保遵守本条款.

(d)双方同意将第(b)段规定的评估记录在案,并应要求提供给主管监管当局.

(e)在下列情况下,数据进口商同意立即通知数据导出人, 在同意这些条款后和合同期间, 其有理由相信其正在或已经受到不符合(a)款规定的法律或惯例的约束。, 包括在第三国法律发生变更或采取措施(如披露要求)后,表明在实践中适用此类法律,但不符合(a)段的要求.

(f)根据第(e)段发出通知后, 或者数据导出者有其他理由相信数据导入者不能再履行其在本条款下的义务, 数据导出人应迅速确定适当的措施(例如.g. 数据出口国和/或数据进口国为解决这种情况而采取的确保安全和保密的技术或组织措施). 如果数据导出人认为无法确保数据传输的适当保障措施,则应暂停数据传输, 或经主管监督机关指示之. 在这种情况下, 数据导出人有权终止合同, 就根据本条款处理个人资料而言. 如果合同涉及两个以上的当事人, 数据导出方仅可对相关方行使此终止权, 除非双方另有约定. 当合同根据本条款终止时,第16(d)和(e)条应适用.

条款15

数据输入者在公共当局访问时的义务

15.1)通知

(a)数据输入方同意通知数据输出方并, 在可能的情况下, 如有下列情况,则立即向数据当事人提出(如有必要,在数据导出人的帮助下):

(i)收到来自公共当局的具有法律约束力的请求, 包括司法机关, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, 请求机关, the legal basis for the request and the response provided; or

(ii)        becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer.

(b)如果数据进口商被禁止根据目的国法律通知数据出口商和/或数据主体, 数据输入方同意尽其最大努力获得该禁令的豁免, 为了尽可能多地交流信息, 尽快. 数据导入方同意将其所做的最大努力记录下来,以便能够根据数据导出方的要求进行证明.

(c)在目的国法律允许的情况下, 数据导入者同意提供数据导出者, 在合同有效期内定期进行, 尽可能多地提供所收到请求的相关信息(特别是, 的请求数量, 所要求的数据类型, 请求机关/会议记录, 请求是否受到挑战,以及挑战的结果, 等.).

(d)数据进口商同意按照(a)至(c)段的规定,在合同期间保存资料,并应主管监督当局的要求提供资料.

(e)第(a)至(c)段不影响根据第14(e)条和第16条数据进口商在无法遵守本条款时及时通知数据导出人的义务.

15.审查合法性和数据最小化

(a)数据输入方同意审查披露请求的合法性, 特别是它是否在授予提出请求的公共当局的权力范围内, 并对请求提出质疑, 经过仔细的评估, 它的结论是,有合理的理由认为,根据目的国的法律,该项请求是非法的, 国际法和国际礼让原则下的适用义务. 数据输入方应在相同条件下寻求上诉的可能性. 当挑战一个请求时, 数据输入方应寻求临时措施,以便在主管司法机关对其是非曲直作出决定之前暂停该请求的影响. 除非根据适用的程序规则有要求,否则不得披露所要求的个人资料. 这些要求不损害第14(e)条规定的数据输入者的义务。.

(b)数据输入方同意将其法律评估和对披露要求的任何质疑记录在案, 在目的国法律允许的范围内, 为数据导出者提供文档. 并应应主管监察机关要求提供.

(c)数据输入方同意在回应披露请求时提供所允许的最低数量的信息, 基于对请求的合理解释.

第四节最后条款

条款16

不遵守条款和终止

(a)数据进口商如不能遵守本条款,应及时通知数据出口商, 不管出于什么原因.

(b)数据输入方违反本条款或无法遵守本条款, 数据导出者应暂停向数据导入者转移个人数据,直至再次确保遵守或终止合同. 这并不影响第14(f)条。.

(c)数据导出人应有权终止合同, 就根据本条款处理个人资料而言, 地点:

(i)数据出口商已根据第(b)段暂停向数据进口商转移个人数据,且未能在合理时间内(无论如何在暂停后的一个月内)恢复对本条款的遵守;

(ii)        the data importer is in substantial or persistent breach of these Clauses; or

(iii)数据输入方未能遵守主管法院或监管机构就其在本条款项下的义务作出的具有约束力的决定.

在这种情况下,应将不符合情况通知主管监督机关. 当合同涉及两个以上当事人时, 数据导出方仅可对相关方行使此终止权, 除非双方另有约定.

(d)根据第(c)款在合同终止前已转让的个人数据,应由数据导出人选择,立即归还给数据导出人或全部删除. 同样适用于该等资料的任何副本. 数据导入者应向数据导出者证明数据的删除. 直到数据被删除或返回, 数据输入方应继续确保遵守本条款. 如果适用于数据输入的当地法律禁止返回或删除所转移的个人数据, 数据输入方保证将继续确保遵守这些条款,并仅在当地法律要求的范围和时间内处理数据.

(e)        Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. 这并不影响法规(EU) 2016/679下适用于相关处理的其他义务.

条款17

适用法律

本条款应受欧盟成员国的法律管辖, 但这种法律允许第三方受益人的权利. 双方同意,这将是爱尔兰共和国的法律.

条款18

法院和管辖权的选择

(a)由本条款引起的任何争议应由欧盟成员国的法院解决

(b)双方同意,这些法院应为爱尔兰共和国法院.

(c)数据主体还可以向其经常居住地所在会员国的法院对数据出口商和/或数据进口商提起法律诉讼.

(d)双方同意接受此类法院的管辖.

附件我

A.   方列表

数据出口国(s): 

名称:在德通社或本协议中标识为“客户”的实体.

地址:德通社或本协议中规定的客户地址. 

联系人的名字, 职位和联系方式:客户的联系方式, 如德通社或本协议所述.

与根据本条款转让的数据有关的活动:第2条规定的活动.德通社表3和附表1.

签署及日期:签订本协议及德通社, 以及为EEA转帐使用服务, 数据导出人被视为已签署了本标准合同条款及其各自的附件.

角色(控制器/处理器):控制器.

数据进口国(s): 

名称:周一.com在德通社中识别.

地址:周一的地址.根据本协议的规定.

联系人姓名、职位及联系方式:周一联系方式.com在本协议中规定.

与根据本条款转让的数据有关的活动:

第2节规定的活动.德通社表3和附表1.

签署及日期:签订本协议及德通社, 并作为数据导入者,代表数据导出者从事EEA transfer, 数据输入方被视为已签署了本标准合同条款及其各自的附件.

角色(控制器/处理器):处理器.

B.   描述转移

传送个人资料的资料当事人类别

有关数据主题的类别,载于《bc365游戏》的附表1(处理详情).

传送的个人资料类别

个人资料的类别载于申诉专员办事处的附表1(处理详情).

转移的敏感数据(如适用)和应用的限制或保障措施,充分考虑到数据的性质和涉及的风险, 比如严格的目的限制, 准入限制(包括仅对经过专门培训的员工开放), 保存访问数据的记录, 对转移的限制或额外的安全措施.

除第2条规定外,双方不打算转让敏感数据.德通社的5个.

传递的频率(e.g. 数据是一次性传输还是连续传输).

根据客户使用服务和提交个人资料的情况,持续转移个人资料.

处理的性质

有关处理的性质,已载于德通社的附表1(处理详情).

数据传输和进一步处理的目的

处理的目的载于德通社的附表1(处理详情).

个人资料将被保留的期间, or, 如果这是不可能的, 用来确定那个时期的标准

个人资料的保留期限为本协议期间, 除非本协议和/或德通社另有约定.

用于传输到(子)处理器, 也要指明主题, 处理的性质和持续时间

与转移到子处理器有关, 标的物, 及处理的性质载于第5节详述的连结.2.德通社的1个. 子处理器处理的时间为协议的时间, 除非本协议和/或德通社另有约定.

C.   监督主管部门

依第13条规定,确定主管监管机构

数据导出的主管监管权限将根据《bc365app》确定.

附件二

技术和组织措施,包括确保数据安全的技术和组织措施

数据输入方实施的技术和组织措施的描述(包括任何相关认证),以确保适当的安全水平, 考虑到自然, 范围, 处理的上下文和目的, 以及对自然人权利和自由的风险

技术和组织措施(包括数据输入方持有的证明)以及响应数据主体要求所需援助的范围和程度, 在德通社和安全文档中有描述吗.

用于传输到(子)处理器, 还要描述(子)处理器采取的具体技术和组织措施,以便能够向控制器提供帮助, 用于从处理器到子处理器的传输, 数据导出者.

数据导入器将对子处理器施加的技术和组织措施在德通社中有描述.

附件3

英国跨境数据传输

1. 本附件III(英国转让)自标准合同条款生效之日起生效.

背景:

2. 本附件III旨在根据英国GDPR第46条,为向第三国或国际组织转移个人数据的目的,以及就从控制器到处理器和/或处理器到处理器的数据转移,提供适当的保障.

解释:

3. 本附件三在何处使用标准合同条款中定义的术语, 这些条款应具有与标准合同条款相同的含义. 此外,以下术语具有以下含义:

英国数据保护法所有与数据保护有关的法律, 个人资料的处理, 隐私和/或在英国不时有效的电子通信, 包括英国《bc365app》和《bc365app下载》.
英国GDPR《bc365游戏》, 因为它是英格兰和威尔士法律的一部分, 根据2018年欧盟(退出)法案第3条,苏格兰和北爱尔兰.
UK大不列颠及北爱尔兰联合王国

4. 本附件III应根据英国数据保护法的规定进行阅读和解释, 因此,如果符合其提供第46条GDPR要求的适当保障措施的意图.

5. 本附件III的解释不得与英国数据保护法规定的权利和义务相冲突.

6. 任何对立法(或立法的具体规定)的引用都意味着立法(或具体规定)可能随着时间的推移而改变. 这包括该立法(或具体条款)已被合并的情况, 在德通社生效后重新制定和/或替换.

7. 如果本附件III与标准合同条款的规定或双方之间的其他相关协议有冲突或不一致之处, 在同意或签订德通社时已存在的, 应以对数据主体提供最大保护的规定为准.

8. 本附件三纳入了标准合同条款,这些条款被认为在必要的范围内进行了修改,因此它们适用于:

(a)用于数据导出者向数据输入者所作的转移, to the extent that 英国数据保护法 apply 数据导出者’s processing when making that transfer; and

(b)根据英国GDPR法第46条为转让提供适当的保障.

9. 以上第‎8条要求的修订包括(但不限于):

(a)“条款”指包含标准合同条款的本附件三

(b)第6条转让的说明替换为:

“转让的详情,特别是转让的个人资料类别和转让的目的,载于附件一.B在进行数据转移时,英国数据保护法律适用于数据出口商的处理.”

(c)提及“法规(EU) 2016/679”或“该法规”被“英国数据保护法律”取代,提及“法规(EU) 2016/679”的特定条款被替换为英国数据保护法律的同等条款或章节. 

(d)删除对法规(EU) 2018/1725的引用.

(e)凡提及“联盟”、“欧盟”及“欧盟成员国”时,均以“英国”取代。

(f) 条款13(a) and Part C of Annex II are not used; the “competent supervisory authority” is the Information Commissioner;

(g)第17条改为“本条款受英格兰和威尔士法律管辖”。.

(h)第18条改为: 

“由本条款引起的任何争议应由英格兰和威尔士法院解决. 数据主体也可以在英国任何国家的法院对数据出口商和/或数据进口商提起法律诉讼. 双方同意服从此类法院的管辖.”

(i)条款的脚注不构成本附件三的一部分.

10. 双方可同意根据苏格兰或北爱尔兰的法律和/或法院对第17条和/或18条进行更改.

11. 双方可以修改本附件III,但应保留第46条英国GDPR要求的有关转让的适当保障措施,方法是合并标准合同条款,并根据上文第8条对其进行更改.

12. 双方可以使本附件三(包含标准合同条款)对双方具有法律约束力的任何方式强制执行,并允许数据主体按照合同条款中规定的方式行使其权利. 如果标准合同条款不被视为适合英国转让的合法机制, 此类英国转让可由将个人数据转让给在第三国设立的加工商或分加工商的标准合同条款管辖, 由欧洲委员会根据指令95/46/EC通过.

附件四

额外的安全措施

1. 在EEA转移或英国转移的情况下, 双方同意以下列保障措施和声明补充这些条款, 在适当的地方:

(a)数据输入者应制定并按照良好的行业惯例保持措施,以保护个人数据不被拦截(包括在从数据输出者向数据输入者的传输过程中以及在不同系统和服务之间). 这包括设置和维护网络保护,以阻止攻击者拦截数据和加密传输中的个人数据,并阻止攻击者读取数据.

(b)数据输入方将作出商业上合理的努力予以抵制, 以适用法律为准, 与受GDPR或英国GDPR保护的个人数据有关的任何大规模监视请求, 包括根据美国外国情报监视法庭(“FISA”)第702条;

(c)如果数据输入方意识到任何政府当局(包括执法部门)希望获取部分或全部个人数据或其副本, 无论是自愿的还是强制的, 除非法律禁止或强制要求:

(i)数据导入者应告知相关政府部门,数据导入者是个人数据的处理者,且数据导出者未授权数据导入者向政府当局披露个人数据, 及通知有关政府当局,任何及所有查阅个人资料的要求或要求应因此以书面通知或送达资料导出人;

(ii)数据输入方将使用商业上合理的法律机制,对任何此类查阅数据输入方控制下的个人数据的要求提出质疑. 尽管上面的, (a)数据导出人承认,就其性质而言,这种质疑可能并不总是合理或可能的, 范围, 预期的政府权限访问的上下文和目的, 和(b), 考虑到自然, 范围, 政府当局查阅个人资料的背景及目的, 数据输入方有理由并有诚意地相信,为防止对任何个人或实体造成严重损害的迫在眉睫的风险,有必要紧急访问, 第(e)(II)款不适用. 在这样的事件, 数据导入人应当通知数据导出人, 尽快, 通过政府权限访问, 并为数据导出者提供相关的细节, 除非在法律禁止的范围内.

2. 每12个月一次, 数据导入器将通知数据导出器, 应数据导出者的书面要求, 所收到的对个人资料有约束力的法律要求的种类,并只在收到该等要求的范围内, 包括国家安全命令和指令, 其中包括根据FISA第702条发布的任何程序.

授权团队一起完成更多的工作

14天免费试用|不需要信用卡