数据处理协议
根据欧洲议会和理事会于 2016 年 4 月 27 日就保护自然人在个人数据处理和此类数据自由移动方面作出的规定 (EU) 2016/679 的要求,废除指令 95/46/EC(以下简称“GDPR”),提供商(以下简称“处理者”)与您(以下简称“控制者”)订立数据处理合同关系,以便规定个人数据处理的条款和条件、个人数据保护方式,以及规定在将本条款的内容作为主合同履行的过程中双方在处理数据主体(代表控制者)的个人数据时的其他权利和义务。
1.个人数据处理。依据这些条款提供的服务包括处理隐私政策中列出的已识别或可识别自然人的相关信息(以下简称“个人数据”)。
2.授权。控制者授权处理者处理个人数据,包括以下说明:
(i) “处理目的”是指根据本条款提供服务,处理者仅被允许代表控制者依据控制者所要求的服务条款处理个人数据。出于其他目的所收集的全部信息在控制者-处理者合同关系之外进行处理。
(ii) 处理周期是指按照本条款确立相互合作至终止服务为止的一段时间,
(iii) 个人数据的范围和类别应包括一般个人数据,不包括任何及所有特殊类别的个人数据,
(iv) “数据主体”是指自然人作为控制者的设备的授权用户,
(v) 处理操作是指出于处理目的而所需执行的一切和所有操作,
(vi) “记载说明”是指本条款、其附件、隐私政策和服务文档中所述的说明。控制者应对处理者依据数据保护法的相应适用条款处理个人数据的法律许可负责。
3.处理者的义务。处理者负责以下事项:
(i) 仅根据书面说明以及出于条款、其附件、隐私政策和服务文档中定义的目的处理个人数据,
(ii) 确保获授权处理个人数据的人员承诺保密,并按照书面说明操作,
(iii) 实施并遵循条款、其附件、隐私政策和服务文档中所述的措施,
(iv) 协助控制者应对数据主体涉及其权限的请求。未经控制者的指示,处理者不得更正、删除或限制个人数据的处理。代表控制者处理的数据主体就其个人数据的所有请求应立即转发给控制者。
(v) 协助控制者向监管机构和数据主体通知个人数据泄露,
(vi) 在处理期结束后将所有个人数据删除或返还给控制者,
(vii) 确保代表控制者执行的所有类别处理活动的记录保持最新,
(viii) 使证明合规性所需的全部信息能够作为条款、其附件、隐私政策和服务文档的一部分提供给控制者。
4.雇佣其他处理者。处理者有权雇佣其他处理者来执行特定的处理活动,例如依据条款、其附件、隐私政策和服务文档来为服务提供云存储和基础设施。当前,Microsoft 提供的云存储和基础设施作为 Azure 云服务的一部分。即使在这情况下,处理者应仍是唯一的联络点,并且是对合规性负责的一方。
5.处理的地域。处理者确保执行处理的所在地位于欧洲经济区或欧洲委员会根据控制者的决定确认为安全的国家/地区。如果传输和处理所在地位于欧洲经济区或欧洲委员会根据控制者的请求经决定确认为安全的国家/地区之外,则应适用标准合同条款。
6.安全性。处理者通过了 ISO 27001:2013 认证,并且在对网络层、操作系统、数据库、应用程序、人员和操作流程应用安全控制时使用 ISO 27001 框架来实施分层防御安全策略。定期评估和审查是否符合法规和合同要求(对处理者的其他基础设施和操作执行类似评估和审查),并采取必要步骤以持续确保合规性。处理者已使用基于 ISO 27001 的 ISMS 来组织数据安全性。安全文档主要包括信息安全、物理安全以及设备安全性、事件管理、处理数据泄露和安全事件等的策略文档。
7.处理者的联系信息。有关个人数据保护的所有通知、请求、需求和其他通信应寄送给 ESET, spol. s.r.o.,正式地址如下:Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk。