数据处理协议
自 2023 年 9 月 29 日起生效 | 查看以前版本的数据处理协议 | 比较更改
根据欧洲议会和理事会于 2016 年 4 月 27 日就保护自然人在个人数据处理和此类数据自由移动方面作出的规定 (EU) 2016/679 的要求,废除指令 95/46/EC(以下简称“GDPR”),提供商(以下简称“处理者”)与您(以下简称“控制者”)订立数据处理合同关系,以便规定个人数据处理的条款和条件、个人数据保护方式,以及规定在将本条款的内容作为主合同履行的过程中双方在处理数据主体(代表控制者)的个人数据时的其他权利和义务。
1.个人数据处理。依据这些条款提供的服务包括处理隐私政策中列出的已识别或可识别自然人的相关信息(以下简称“个人数据”)。
2.授权。控制者授权处理者处理个人数据,包括以下说明:
(i) “处理目的”是指根据本条款提供服务,处理者仅被允许代表控制者依据控制者所要求的服务条款处理个人数据。出于其他目的所收集的全部信息在控制者-处理者合同关系之外进行处理。
(ii) 处理周期是指按照本条款确立相互合作至终止服务为止的一段时间,
(iii) 个人数据的范围和类别。这些服务仅会处理一般个人数据。但是,控制者全权负责确定个人数据范围。
(iv) “数据主体”是指自然人作为控制者的设备的授权用户,
(v) 处理活动是指出于处理目的而所需执行的一切和所有操作,
(vi) “记载说明”是指本条款、其附件、隐私政策和服务文档中所述的说明。控制者应对处理者依据数据保护法的相应适用条款处理个人数据的法律许可负责。
3.处理者的义务。处理者负责以下事项:
(i) 仅根据书面说明以及出于条款、其附件、隐私政策和服务文档中定义的目的处理个人数据,
(ii) 根据 GDPR 向获授权处理个人数据的人员(以下简称“获授权人员”)指示其权利和义务以及他们的违规责任,并确保获授权人员承诺保密并按照书面说明操作,
(iii) 实施并遵循条款、其附件、隐私政策和服务文档中所述的措施,
(iv) 协助控制者应对数据主体涉及其权限的请求。未经控制者的指示,处理者不得更正、删除或限制个人数据的处理。代表控制者处理的数据主体就其个人数据的所有请求应立即转发给控制者。
(v) 协助控制者向监管机构和数据主体通知个人数据泄露,处理者应在发现任何违反个人数据处理或个人数据安全的行为后立即通知控制者。处理者应在合理范围内协助调查并消除此类违规行为,并采取合理措施来进一步限制不良影响。
(vi) 根据控制者的选择,可在处理期结束后将所有个人数据删除或返还给控制者。控制者承诺在处理期结束后十 (10) 天内将其决定告知处理者。该规定不得影响处理者出于公共利益、科学研究目的、统计目的或为确立、行使或辩护合法要求的目的而有必要保留个人数据的权利。
(vii) 确保代表控制者执行的所有类别处理活动的记录保持最新,
(viii) 使证明合规性所需的全部信息能够作为条款、其附件、隐私政策和服务文档的一部分提供给控制者。如果控制者方对个人数据处理进行审核或控制,则控制者有义务在计划审核或控制前至少三十 (30) 天以书面形式通知处理者。
4.雇佣其他处理者。处理者有权雇佣其他处理者来执行特定的处理活动,例如依据条款、其附件、隐私政策和服务文档来为服务提供云存储和基础设施。当前,Microsoft 提供的云存储和基础设施作为 Azure 云服务的一部分。即使在这情况下,处理者应仍是唯一的联络点,并且是对合规性负责的一方。处理者特此承诺,在出于可能反对此类改变目的而添加或替换其他处理者时会告知控制者。
5.处理的地域。处理者确保执行处理的所在地位于欧洲经济区或欧洲委员会根据控制者的决定确认为安全的国家/地区。如果传输和处理所在地位于欧洲经济区或欧洲委员会根据控制者的请求经决定确认为安全的国家/地区之外,则应适用标准合同条款。
6.安全性。处理者通过了 ISO 27001:2013 认证,并且在对网络层、操作系统、数据库、应用程序、人员和操作流程应用安全控制时使用 ISO 27001 框架来实施分层防御安全策略。定期评估和审查是否符合法规和合同要求(对处理者的其他基础设施和操作执行类似评估和审查),并采取必要步骤以持续确保合规性。处理者已使用基于 ISO 27001 的 ISMS 来组织数据安全性。安全文档主要包括信息安全、物理安全以及设备安全性、事件管理、处理数据泄露和安全事件等的策略文档。
7.技术和组织措施。处理者应保护个人数据,以免遭偶然和非法的损坏和破坏、偶然丢失、更改、未经授权的访问和披露。为此,处理者应按照 GDPR 的要求,为保护数据主体的权利而针对处理模式和处理所带来的风险采取适当技术和组织措施。在安全策略中,详细说明了技术和组织措施。
8.处理者的联系信息。有关个人数据保护的所有通知、请求、需求和其他通信应寄送给 ESET, spol. s.r.o.,正式地址如下:Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk。