Home 公司 法律 数据保护附录–(DPA)
应用程序

数据保护附录–(DPA)

大纲

相关页面

本数据处理附录(以下简称”DPA”)纳入Edgio, Inc.,其附属公司和子公司(统称为”Edgio”)与客户之间的Edgio服务条款(以下简称”协议”),并成为其组成部分。 如果本DPA的任何条款与本协议的任何条款冲突,则本DPA的适用条款将受其控制。

1定义。

本DPA中使用以下术语,其含义如下。 本DPA中未定义的大写术语具有本协议中规定的含义。

1.1 “适当国家/地区”是指欧盟数据保护法律或英国(“英国”)相关主管当局承认为个人数据提供适当保护的国家/地区。

1.2 “适用的数据保护法律”是指 (i)适用于根据本DPA处理个人数据的EEA及其成员国的法律和法规,包括欧盟数据保护法; (ii)《加州消费者保护法》及《加州隐私权法》;及 (iii)实施或补充上述规定的所有法律以及任何其他适用的数据保护或隐私法律。

1.3 “客户个人数据”是指与消费者(客户的”最终用户”)相关,由Edgio或其子处理方代表客户在履行服务和Edgio在协议下的其他义务时处理的任何及所有个人数据。

1.4 “欧洲经济区”是指欧洲经济区,包括欧洲联盟成员国以及挪威,冰岛和列支敦士登。

1.5 “欧盟保护法律”是指 (i) GDPR; (二)经修订的欧盟电子隐私指令(2002/58/EC号指令)以及取代该修订指令的任何立法; (iii)根据,依据,取代或继承上述规定而制定的任何国家数据保护法,以及 (iv)在适用情况下,应理解为包括英国数据保护法律。

1.6 “GDPR”是指《欧盟通用数据保护条例》(第2016/679号条例)。

1.7与根据本DPA处理个人数据相关的”标准合同条款”指 (a)欧盟委员会不时批准的将个人数据从控制者传输到第三国处理者的标准条款,其当前批准版本为欧盟委员会2021年6月4日第2021/914号决定中规定的标准条款,可在以下网站获取: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021D0914&from=EN,并在附件2 (“欧盟标准合同条款”)中列出;以及 (b)欧盟标准合同条款的英国附录,载于附件3 (“英国附录”)。

1.8 “英国数据保护法”是指与数据保护,个人数据处理,隐私和/或电子通信相关的所有适用法律,在英国不时生效,包括英国GDPR和2018年数据保护法。

1.9 “UK GDPR”是指《英国一般数据保护条例》,因为根据《2018年欧盟(退出)法案》第3条,该条例构成了英格兰和威尔士,苏格兰和北爱尔兰法律的一部分。

1.10 “个人数据”是指Edgio在根据服务协议执行服务时可能访问的构成适用数据保护法所指的”个人数据”或”个人信息”的任何信息。

1.11″处理”,”流程”,”数据主体”,”控制人”,”业务”,”处理器”, “服务提供商”,”特殊类别的个人数据”具有适用的数据保护法律赋予的含义,前提是此类法律中存在此类概念。

2,数据处理

2.1范围和角色。 考虑到本协议中规定的相互义务,本DPA应在Edgio根据本协议处理客户个人数据时遵守与服务相关的适用数据保护法律。 在此背景下,客户和Edgio承认并同意: (a)根据适用的数据保护法律,Edgio是处理方,客户是控制方;以及 (b) Edgio只是客户或其最终用户在服务上放置的任何个人数据的渠道。 Edgio和客户应遵守适用的数据保护法,以处理个人数据,并遵守适用的数据保护法。

2.2处理说明。

(A)客户说明。 Edgio将处理客户个人数据作为提供服务的一种方式,并按照本DPA中规定的客户书面说明,或双方以书面形式达成的其他协议。 如果适用的数据保护法律要求Edgio按照客户指示以外的其他方式处理客户个人数据,除非法律禁止,否则它将在处理发生之前通知客户。

(i)根据本DPA处理客户个人数据的目的是提供客户根据协议不时启动的服务,包括处理发票和付款,与客户最终用户和/或子处理器沟通有关服务,维护客户, 最终用户和/或子处理器帐户,测量和/或分析服务使用情况,防止或检测服务和/或网站的欺诈或滥用行为,维护和/或更新服务和/或使子处理器代表Edgio执行技术,物流或其他功能以促进服务的提供。

(ii) Edgio保证不会 (a)”出售”(如CCPA中的定义)或”共享”(如CPRA中的定义)客户个人数据; (b)保留,使用或披露客户个人数据用于除根据服务协议提供服务的特定目的之外的任何目的,包括为提供服务以外的商业目的保留,使用或披露客户个人数据;或 (c)保留,使用或披露客户个人数据给提供服务所必需的任何人或双方之间的直接业务关系之外的任何人。

(iii)客户声明并保证:(1)其处理指示符合所有适用的数据保护法律;以及(2)客户已获得并维护处理和传输所有个人数据的所有法定通知,同意和许可。 客户承认,考虑到处理的性质,Edgio无法确定客户的指示是否违反适用的数据保护法律。

(b)保密。 Edgio对其有权访问个人数据的人员和第三方规定了适当的合同义务,以确保此类人员和第三方受其对此类个人数据的保密义务的约束并意识到其对这些个人数据的保密义务。

(c) Edgio安全措施。 Edgio已实施并维护附件1 C部分所述的技术和组织措施,旨在保护个人数据免遭意外或非法破坏;或意外丢失,更改,未经授权的披露或访问, 以及其他非法处理形式。 Edgio可能会不时更新或修改此类技术和组织措施,前提是此类更新或修改不会导致服务的整体安全性下降。 客户承认并同意(考虑到最新技术,实施成本,个人数据处理的性质,范围,背景和目的以及最终用户面临的风险) Edgio实施和维护的技术和组织措施(如本第2.2 (c)节(Edgio安全措施)中所述)提供了与个人数据相关的风险相应的安全级别。 在使用服务时,客户承认不应将其对服务的使用配置为在Edgio的边缘服务器上缓存或存储个人数据。

(d)客户安全义务。 客户同意在不损害Edgio在第2.2 (c)节(Edgio安全措施)和第6节(数据泄露通知)下的义务的情况下,客户对其使用服务全权负责,包括: (1)适当使用服务以确保与个人数据相关的风险相对应的安全级别,例如选择和使用加密;以及(2)保护客户用于访问服务的帐户身份验证凭据,系统和设备。 客户承认其对使用客户的有效身份验证凭据对服务采取的所有行动负责,包括但不限于最终用户,客户供应商或代表客户行事的任何其他第三方。

(e)特殊类别的数据。 客户不得,也不得允许其最终用户以任何方式直接或间接向Edgio传输或以其他方式提供任何透露或包含以下任何内容的个人数据:种族或民族血统,政治观点,宗教或哲学信仰, 或工会会员,遗传数据,用于唯一识别自然人的生物特征数据,有关健康的数据或有关自然人性生活或性取向的数据或有关自然人刑事定罪或犯罪的数据。

3,数据主体权利

3.1考虑到服务和处理的性质,客户承认Edgio作为服务的一部分向客户提供某些控制,特性和功能, 客户可选择将其用于履行与数据主体请求(包括退货或删除请求)相关的适用数据保护法律规定的义务。

3.2客户有责任正确配置服务,以便: (a)收集,传输和使用个人数据的范围仅限于客户接收服务所必需的范围; (b)个人数据的保留期限是客户接收服务所需的最短时间;以及 (C)如果客户希望将个人数据保留的时间长于本服务保留的时间,则客户使用API或类似技术来设置日志文件请求。

3.3如果服务的控制,特性和/或功能不包括客户删除个人数据的选项, 然后,Edgio将遵守客户的合理要求以促进此类删除,前提是Edgio确定这是可行的,同时考虑到服务和处理的性质以及Edgio的数据保留惯例,除非适用的数据保护法律要求Edgio保留个人数据。 根据本第3.3节,Edgio可能会对任何数据删除收取费用(基于Edgio的合理成本)。 Edgio将在任何此类数据删除之前向客户提供任何适用费用的详细信息。 客户承认其有义务在协议终止时从其帐户中清除任何个人数据,并且客户未清除的任何此类个人数据将在其正常业务过程中从Edgio的系统中删除。

4次级处理

4.1客户授予一般授权: (a) Edgio任命Edgio附属公司为子处理方;以及 (b) Edgio和Edgio附属公司指定第三方服务提供商,包括但不限于营销,业务, 工程或客户支持提供商,作为子处理方,仅在必要时支持服务的提供。

4.2客户承认并同意Edgio通过以下URL维护其子处理器列表:https://read.edg.io/hubfs/Edgecast-Service-Supplements/Edgio-Sub-processor-Authorized.pdf (“子处理器站点”)。 在Edgio允许新的子处理商开始处理客户个人数据之前至少三十(30)天,Edgio将通过向子处理商站点添加此类新的子处理商(“通知服务”),向客户提供有关此类新的子处理商的通知。

4.3如果客户对Edgio使用通知服务中通知的新子处理器有合理异议,客户应在通过通知服务收到信息后十(10)个工作日内以书面形式及时通知Edgio任何异议。 如果客户对新的子处理商提出合理异议,Edgio同意与客户进行善意讨论,以解决客户的异议。 如果客户未按照本第4.3节的规定及时对任何新的或替换的子处理器提出异议,则客户将被视为已同意该子处理器并放弃其反对该子处理器的权利。 Edgio可能会在第4.3节中规定的异议程序正在处理过程中使用新的子处理程序。

4.4如果Edgio根据第4.1节聘用子处理商,它将通过与子处理商签订书面协议(“处理子合同”)的方式进行,该协议对子处理商规定了与根据本DPA对Edgio规定的义务实质上相同的义务。 Edgio将继续对客户履行处理分包合同条款下的分处理方义务承担责任。

5,数据传输

5.1如果Edgio对客户个人数据的任何处理发生在适当国家/地区以外的地点,双方同意本DPA附录2 (欧盟标准合同条款)和附录3 (英国附录)中的适用标准合同条款 将适用于从欧洲经济区,瑞士或英国向Edgio传输此类客户个人数据。 作为处理方,Edgio将遵守标准合同条款中”数据导入方”的义务,而作为控制者的客户将遵守”数据导出方”的义务。

5.2以下条款应适用于附件2中规定的标准合同条款和附件3中规定的标准合同条款:

(a)客户可根据标准合同条款第8.9 (c)条行使其审计权,如本DPA第7 (审计)条中所述,并受其要求的约束。

(b) Edgio可以按照本DPA第4节(子处理)中的规定并遵照其中的要求指定子处理方。

5.3尽管本第5节中有任何相反的规定,但标准合同条款将不适用于客户为将客户个人数据合法转移到适当国家/地区以外而采用其他公认合规标准的情况。

6,数据泄露通知

6.1 Edgio将在意识到实际安全事件已发生时立即通知客户,前提是Edgio自行确定此类安全事件会损害客户个人数据的安全性和/或机密性(“数据泄露”)。 如果Edgio遭受数据泄露,在通知客户后,双方应真诚合作,同意并采取可能必要的措施,以减轻或补救数据泄露的影响。 根据本第6节(数据泄露通知)对数据泄露的通知或响应不应被解释为Edgio对与数据泄露相关的任何故障或责任的确认。

6.2在发生数据泄露时,客户有充分的权力和责任确定是否按照适用法律的要求通知受影响的个人和其他方,以及通知的方式和时间。

7,审计

7.1客户同意其根据欧洲数据保护法对客户个人数据进行审计的权利首先通过请求Edgio提供: (a)向客户提供Edgio的审计报告摘要副本,该审计报告与第2.2条(c)项中提及的Edgio技术和组织措施有关,这些报告应遵守本协议的保密规定, 哪些报告应证明Edgio的技术和组织措施充分且符合公认的行业审计标准;以及 (b)当Edgio请求或要求提供与Edgio根据本DPA处理个人数据相关的额外信息时,Edgio拥有或控制的其他信息。

7.2客户收到第7.1节规定的审计报告后, 根据第7.3节中的条款,客户或客户授权的独立第三方审计师可对Edgio处理客户个人数据的相关环境进行合理检查,以验证Edgio是否遵守其在本DPA下的义务。

7.3根据上文第7.2节进行审计时,

(a) Edgio应根据欧洲数据保护法律,向客户提供客户可能合理要求的由Edgio拥有或控制的信息,以证明Edgio遵守了本DPA下的义务。 客户不得在任何十二(12)个日历月期间内多次行使其审计权。 审计应限于工作日(正常工作时间内,不包括美国联邦假日)和双方事先合理商定的范围。 客户必须至少提前三十(30)天向Edgio发出审核通知,并采取一切合理措施防止不必要的Edgio运营中断。 客户应承担与此类审计相关的所有成本和费用。

(b)如果Edgio合理认为任何第三方审计师不具备适当资格或独立,是Edgio的竞争对手或明显不适合,则Edgio可反对客户指定的任何第三方审计师根据第7.2条进行任何审计。 Edgio提出的任何此类异议将要求客户指定另一名审计师或自行进行审计。

(C)本DPA中的任何规定均不要求Edgio向客户或其第三方审计员披露,或允许客户或其第三方审计员访问:

(i) Edgio或Edgio附属公司的任何其他客户的任何数据;

(ii)任何Edgio或Edgio附属公司的内部会计或财务信息;

(iii) Edgio或Edgio附属公司的任何商业秘密;

(iv) Edgio合理认为可能(1)损害Edgio或Edgio附属公司系统或场所安全的任何信息; 或(2)导致Edgio或任何Edgio附属公司违反其在适用数据保护法律下的义务或其对客户或任何第三方的安全和/或隐私义务;或

(v)客户或其第三方审计师出于善意履行适用数据保护法律规定的客户义务以外的任何原因试图访问的任何信息。

(d)对于因任何此类审计而向客户披露个人数据而产生的或与之相关的,由第三方提出的所有费用和索赔(无论是实际费用还是指称费用),客户应向Edgio进行赔偿,为其辩护并使其免受损害。 考虑到服务和处理的性质,客户承认Edgio无法根据客户提供服务所需的最终用户信息(例如,和最终用户的IP地址)识别个人身份。

8,一般规定

8.1第三方受益人。 在不损害根据标准合同条款授予的权利的情况下,本DPA不授予任何第三方受益人权利。

8.2保密。 客户同意本DPA的详细信息不是公开信息,构成协议中定义的Edgio机密信息。

8.3生存。 在本协议的适用期限内,本DPA将保持完全有效,无论本协议是否有相反规定,均应在本协议终止或到期后继续有效。 协议终止或到期时,Edgio可以继续处理客户个人数据,前提是此类处理符合本DPA和适用数据保护法律的要求。

8.4完整协议,冲突。 本DPA取代并取代Edgio和客户之间先前或同期的所有关于客户个人数据处理的书面或口头陈述,谅解,协议或通信。 除本延期起诉协议另有规定外,本协议仍应完全有效。 如果本DPA的条款与本协议有任何冲突,则只要本DPA的条款与客户个人数据的处理有关,则以本DPA的条款为准。

8.5修正,放弃。 本延期起诉协议只能以书面形式进行修改,并由双方签署。 任何一方未能或延迟行使或执行本协议中的任何权利,均不构成对任何此类权利的放弃。

PART A

处理方标准合同条款的控制方

数据导出器:

名称: 根据服务订单。

地址: 根据服务订单。

联系人的姓名,职位和详细联系方式: 根据服务订单。

与根据本条款传输的数据相关的活动:请参阅以下数据进口商的活动。

角色:控制器

数据导入器:

名称: Edgio,Inc.

地址: 11811 N. Tatum Blvd .,Suite 3031, Phoenix, AZ 85028

联系人姓名,职位和详细联系方式:Rich Diegnan,DPO,rdiegnan@edg.io

与根据本条款传输的数据相关的活动:Edgio Inc.通过一系列全球存在点向数字媒体客户提供内容交付网络服务,视频流和相关安全服务。

角色:处理器

PART B

主题

与提供服务相关的处理,包括网站加速,WAF,通过Edgio网络下载软件和高级爬虫程序服务。

Duration

自生效日期起至本协议终止。

个人数据被传输的数据主体类别。

客户的最终用户,客户的业务员工

处理的性质

自生效日期起至本协议终止。

传输的个人数据类别:

类别

数据

根据需要选择

客户内容中的最终用户个人数据和记录数据中的个人数据

客户内容中的个人数据(如果有)由客户选择。 对于此类数据,处理此类数据(如果有)仅限于Edgio作为此类数据的渠道的角色。 为了提供服务,Edgio可能会处理和保留某些记录的数据,这涉及到数据导出器最终用户的IP地址的短期存储。

X

处理敏感数据(如适用)并实施充分考虑到数据性质和所涉风险的限制或保障措施,例如严格的目的限制,访问限制(包括仅对经过专门培训的工作人员进行访问),保存数据访问记录, 限制继续转让或采取额外的安全措施。

特殊类别
数据

Nature of the processing

Edgio处理客户个人数据,以提供内容交付和安全服务,作为客户或其最终用户在服务上放置的客户个人数据的促进因素。 Edgio出于提供服务的目的处理记录的数据。 记录的数据将传输到美国用于计费等目的,并在短期内存储。

传输频率(例如数据是一次性传输还是连续传输)

转让将持续进行。

个人数据将被保留的期限,或者,如果无法保留,则是用于确定该期限的标准

数据传输和进一步处理的目的是使Edgio在必要的范围内根据协议提供服务。

个人数据将被保留的期限,或者,如果无法保留,则是用于确定该期限的标准

数据传输和进一步处理的目的是使Edgio在必要的范围内根据协议提供服务。

对于转移至(子)处理商,还应指明处理的主题,性质和持续时间

根据客户的服务配置,适用的子处理器详细信息包括以下链接中提供的信息:

https://view.highspot.com/viewer/
616088e19bf7c594a5444f64

主管监管机构

欧盟标准合同条款: 负责确保数据导出者在数据传输方面遵守GDPR的监管机构应充当主管监管机构。

欧盟标准合同条款的英国附录(如适用): 如果数据出口者在英国成立或属于英国数据保护法律和法规的适用范围,则信息专员办公室应作为主管监管机构。

C部分

技术和组织措施

EDGIO信息安全策略

信息安全策略。 Edgio维护一个正式的,记录在案的信息安全政策,该政策基于各种公认的行业安全标准,并与NIST网络安全框架保持一致,适用于Edgio资产上的所有员工和授权用户。

信息安全团队。 Edgio维护着信息安全团队,以促进和协助执行Edgio的信息安全策略和实践。

EDGIO符合标准

产品安全性。 适用服务的设计和实施采用技术,逻辑和物理控制,这些控制适应Edgio及其客户的业务和安全需求。 对于适用的企业服务,Edgio每年根据以下一项或多项标准,准则和惯例对适用于服务的控制措施进行认证:

PCI (PCI-DSS)

ISO 27001

SSAE -18 SOC 1,2或3

证书共享。 如适用,Edgio将在合理的客户请求下为客户购买的每项服务提供一份证书。

保护Edgio证书。 提供给客户的证书被视为机密信息。

控制

Edgio控件。 Edgio使用行业认可的安全实践,过程和工具来保护其网络,这些安全实践,过程和工具专门适用于Edgio的威胁环境和业务环境。

第三方硬件安全。 Edgio更改供应商提供的系统密码和其他安全参数的默认值。

定期系统和安全测试。 Edgio定期测试用于网络安全的系统和流程,以最大限度地提高运营能力。

安全软件开发周期。 Edgeio开发和维护旨在通过隐私和网络安全风险评估保护客户个人数据的系统,并在适当情况下在开发生命周期中使用自动化来实施控制措施,以及其他做法。

移动设备管理。 Edgio公司发行的设备(如标准发行的笔记本电脑和移动电话)由负责设备保护以及此类设备处理的数据安全的可识别个人维护。 无论何时在非Edgio物理环境中携带,运输或使用设备,Edgio资产都必须进行物理锁定或相对安全的保护。

网络监控。 Edgio利用网络监控工具和程序来识别Edgeio网络上未经授权的活动。

供应链风险管理

合同控制。 Edgio利用合同措施来强制第三方Edgeios遵守适当的信息安全要求,例如Edgio的信息安全标准,供应商行为准则和其他风险管理政策。

风险管理. Edgio建立了治理,流程和工具,可在Edgio企业中用于管理第三方风险。 该计划要求供应商根据Edgio的企业信息安全策略和行业最佳实践满足或超过安全要求。 这些工具和实践可能包括供应商填写问卷,提供控制证据以及远程或现场评估。 该计划发现供应商的问题,并及时解决这些问题。

访问控制

访问管理

逻辑访问控制。 Edgio维护逻辑访问控制策略,以便只有授权人员才能根据职位和工作要求访问关键业务应用程序和系统。

唯一用户ID。 Edgio为每个授权用户分配一个唯一的用户ID,用于对操作进行问责。

访问查看。 Edgio使用授权审核和角色更改流程来提醒管理员,当授权用户不再需要访问权限时,必须修改和/或撤消访问权限。

活动日志记录。 Edgio策略要求记录和监控对Edgio网络和Edgio资产的访问。

安全工具。 在Edgio网络中部署了基于硬件和软件的工具,以提供来自防火墙,入侵检测系统,路由器和交换机等设备的实时警报。

事件日志。 需要配置关键Edgio资产以生成事件日志。 根据数据保留和法规要求保留事件日志。

最小特权原则。 Edgio通常会利用最小特权原则来管理其每个系统的访问权限。 对生产网络,系统或应用程序功能的特权访问通常受到控制,并仅限于操作上可行的少数人员,并根据”需要知道”或”逐个事件”进行授权。

远程访问的多重身份验证。 Edgio的策略要求使用多重身份验证来保护对Edgio网络和Edgio资产的远程访问。

身份验证。 Edgio的访问控制策略要求授权用户访问凭据唯一地标识个人,系统或服务并受到保护。 这些授权用户访问凭据授予的访问权限需要定期审核,以验证是否仍然需要访问权限。

取消置备。 当不再需要(例如工作角色变更)或终止时,需要取消配置或删除访问权限。

物理安全性

物理控制。 Edgio利用控制措施将访问Edgio系统的设施的实际权限限制为授权人员。

物理访问管理。 根据设施类型的不同,电子卡读卡器,钥匙,保安人员或当地公司人员可能会允许进入。

监视。 闭路电视摄像机被部署到战略地点,以保护人员,行动和财产。

访客管理。 Edgio政策要求访问者始终拥有并展示Edgio颁发的访问者徽章。 Edgio要求访客在收到访客徽章之前登录访客日志。 Edgio人员在Edgio办公场所时,必须始终佩戴公司颁发的ID徽章。

数据中心安全。 Edgio要求对每个机房,数据中心和类似设施进行物理安全控制。

员工和承包商信息安全培训

年度信息安全意识培训。 Edgio要求Edgio的员工和承包商每年完成信息安全和网络安全方面的培训,让他们了解自己在信息安全方面的角色。

渗透测试

Edgio的渗透测试的内部使用。 Edgio根据风险对Edgio的内部和外部环境进行渗透测试。

渗透测试的限制。 出于对Edgio及其客户的安全考虑,Edgio不允许客户测试Edgio拥有,运营或位于Edgio数据中心的网络设备的安全状态。 此外,Edgio不允许拒绝服务,泛洪或涉及大量占用网络带宽的任何类似测试活动。

防火墙和网络分段

防火墙和安全工具。 Edgio利用基于硬件和软件的工具(如防火墙)在整个Edgio网络中提供来自入侵检测系统,路由器和交换机等设备的实时警报。

网络和系统架构。 Edgio使用系统,软件和网络架构实践来降低网络风险。

备用UPS (不适用于客户内容)

备份策略。 Edgio在适当的情况下正式维护数据备份策略和程序。 在完成数据映射,保留或删除活动时,将对数据备份进行管理和考虑。

关键文件备份和测试。 管理员需要定期备份重要文件,并采取适当的预防措施来保护信息不被破坏,丢失或损坏。 此外,还要求管理员定期测试备份/灾难恢复恢复过程。

数据保留和数据销毁(不适用于客户内容)

数据保留策略。 Edgio策略要求在数据的整个生命周期(从创建,传输,存储,修改, 保留和销毁。

系统特定。 Edgio通过使用特定于系统的数据保留摘要来管理数据保留。 数据保留摘要记录系统包含的数据类型,每种数据类型的收集和使用目的,销毁的触发事件以及数据应保留的时间段。 这些数据保留摘要必须符合Edgio公司范围内的数据保留计划以及任何适用的法律,法规和客户要求。

数据销毁。 Edgio的数据销毁实践与NIST 800 -88一致,包含磁性,固态,光学介质和机密纸质文档中包含的数据。

事件响应/数据泄露

程序

事件响应计划。 Edgio保留了书面的,可操作的事件响应计划,以使Edgio能够对数据泄露及时作出反应。

响应计划测试。 Edgio的事件响应计划通过桌面练习进行测试,以协调和验证记录的程序。

事件响应和缓解

安全事件审查。 安全事件数据按计划进行审查和分析。 当超过预先确定的事件阈值时,需要立即升级安全事件,并根据定义的事件管理流程作出响应。

人力资源

人力资源系统;取消置备。 Edgio的信息安全协议和程序需要嵌入到所有Edgio人力资源系统和流程中。 Edgio的人力资源部(以下简称”HR”)和IT部门在帐户创建,角色权限和访问取消配置方面实现了自动化的可审计例程,这些例程涵盖了新员工的请求,角色变更或员工离职。

背景调查。 根据适用法律,人力资源部在招聘时对Edgio员工完成全面的雇佣前背景调查,包括犯罪记录,SSN,工作授权和被禁方名单(例如外国资产控制办公室)检查。

《行为准则》。 《Edgio行为准则》要求Edgio员工遵守Edgio的信息安全政策和程序。

漏洞管理方案

漏洞风险缓解。 Edgio的漏洞管理计划旨在实施和维护一些做法和过程,以减轻Edgio的业务环境中的漏洞风险。

增补程序管理过程。 为了保持其网络和托管系统的高水平功能和安全性,Edgio为安装在Edgio网络上的生产硬件和软件建立了修补程序管理流程。 最初评估供应商安全修补程序以确定风险和部署优先级。 一旦修补程序通过了正确的测试过程,就会发布该修补程序,以便安排将其部署到生产环境中。

重大系统更改。 Edgio计划,监控,控制和跟踪Edgio资产的重大变化。

漏洞扫描。 Edgio定期执行内部和外部漏洞扫描。 系统所有者可以根据需要安排实时漏洞系统扫描,以适应不断变化的威胁媒介。

对客户扫描的限制。 由于可能会破坏Edgio系统并给Edgio及其客户带来安全风险,Edgio不允许客户(或其第三方)测试或扫描Edgio资产。

报告共享的限制。 Edgio不提供漏洞报告或回答与使用和/或不使用Edgio基础结构中部署的特定硬件,软件或第三方产品有关的特定常见漏洞和披露(“CVE”)问题。

业务连续性和事件管理(“BCEM”)

业务连续性协议。 Edgio维护业务连续性和灾难恢复协议,旨在增强Edgio对重大事件的响应能力,这些事件可能会破坏Edgio的网络和设施,或者损害Edgio提供服务的能力。

灾害风险评估. Edgio的业务连续性和灾难恢复实践可识别Edgio资产的潜在恢复风险,并使用行业认可的实践实施旨在帮助最小化和缓解这些风险的措施。

专门的团队资源。 Edgio通过严格的标准化规划和定期测试,开发和实施旨在最大程度降低恢复风险的策略,并验证Edgio的响应能力。

附件2:用于从欧盟转让的标准合同条款

(控制器到处理器)

欧盟委员会执行2021年6月4日关于向第三国传输个人数据的标准合同条款的第(EU) 2021/914号决定(根据欧洲议会和理事会的第(EU) 2016/679号条例)(控制者至处理者传输)。

客户(以下简称”数据导出者”)与Edgio,Inc.(以下简称”数据导入者”)之间各为”一方”;统称为”各方”,

考虑到本文所载的相互盟约和承诺

已就以下合同条款(“条款”)达成一致,以便为数据导出者向数据导入者传输附件1中规定的个人数据提供有关保护个人隐私,基本权利和自由的充分保障。

第一节

条例草案第1条

目的和范围

(a)这些标准合同条款的目的是确保符合2016年4月27日欧洲议会和理事会关于在处理个人数据和自由流动方面保护自然人的条例(EU) 2016/679的要求 数据(一般数据保护条例),以便将数据传输至第三国。

(b)缔约方:

(i)转让附件一A所列个人数据的自然人或法人,公共机构,机构或其他机构(以下简称”实体”)(以下简称”数据导出者”),以及

(ii)第三国的实体(以下简称”数据导入者”)直接或间接通过附件一.A中列出的也是本条款缔约方的另一实体从数据导出者处接收个人数据的实体(以下简称”数据导入者”)

已同意本标准合同条款(以下简称‘条款’)。

(c)本条款适用于附件一.B中规定的个人数据传输

(d)本条款的附录中所述的附件构成本条款不可分割的一部分。

条例草案第2条

条款的效力和不变性

(a)这些条款根据条例(EU) 2016/679第46 (1)条和第46 (2)(c)条规定了适当的保障措施,包括可强制执行的数据主体权利和有效的法律补救措施,以及关于从控制者到处理者和/或处理者到处理者的数据传输, 根据法规(EU) 2016/679第28条第7款的标准合同条款,除非选择适当的模块或添加或更新附录中的信息,否则不得对其进行修改。 这并不妨碍双方将这些条款中规定的标准合同条款纳入更广泛的合同和/或添加其他条款或附加保障措施,前提是这些条款不直接或间接抵触这些条款或损害数据主体的基本权利或自由。

(b)本条款不影响数据导出者根据条例(EU) 2016/679承担的义务。

条例草案第3条

第三方受益人

(a)数据主体可作为第三方受益人针对数据导出者和/或数据导入者援引和执行本条款,但以下情况除外:

(i)第1条,第2条,第3条,第6条,第7条;

(ii)第8条–模块2:第8.1(b),8.9(a),(c),(d)和(e)条;

(iii)第9条–模块2:第9 (a)条, (C), (D)和 (e);

(iv)第12条–模块二:第12 (a),(d)和(f)条;

(v)第13条;

(vi)第15.1(c),(d)及(e)条;

(vii)第16(e)条;

(viii)第18条-模块2:第18(a)及(b)条。

(b)段次 (A)不损害条例(EU) 2016/679规定的数据主体权利。

条例草案第4条

口译

(a)如果这些条款使用条例(EU) 2016/679中定义的术语,这些术语应具有与该条例中相同的含义。

(b)本条款应根据条例(EU) 2016/679的规定进行阅读和解释。

(C)本条款不应以与条例(EU) 2016/679中规定的权利和义务相冲突的方式解释。

条例草案第5条

层次结构

如果本条款与双方之间的相关协议的条款之间存在矛盾,则以本条款为准。

条例草案第6条

转账说明

转让的详情,特别是转让的个人资料类别及转让的目的,载于附件一.B

条例草案第7条

停靠子句

故意留空。

第二节当事人的义务

条例草案第8条

数据保护保障

数据导出者保证已采取合理措施确定数据导入者能够通过实施适当的技术和组织措施来履行其在本条款下的义务。

8.1说明

(a)数据导入者仅应根据数据导出者的书面指示处理个人数据。 数据导出者可在整个合同期内发出此类指示。

(b)如果数据导入者无法遵循这些指示,则应立即通知数据导出者。

8.2目的限制

数据导入者仅应出于附件I.B中规定的特定传输目的处理个人数据,除非数据导出者另有指示。

8.3透明度

数据导出者应根据请求免费向数据主体提供本条款的副本,包括双方填写的附录。 为了保护商业机密或其他机密信息(包括附件二中所述措施和个人数据),数据导出者可在共享副本之前编辑本条款附录的部分文本, 但如果数据主体不能理解其内容或行使其权利,则应提供有意义的摘要。 缔约方应根据请求向数据主体提供编辑的理由,尽可能不透露编辑后的信息。 本条款不影响(EU) 2016/679条例第13条和第14条规定的数据导出者义务。

8.4准确度

如果数据导入者发现其收到的个人数据不准确或已过时,则应立即通知数据导出者。 在这种情况下,数据导入者应与数据导出者合作删除或纠正数据。

8.5处理和删除或返回数据的持续时间

数据导入者的处理只能在附件一.B规定的期限内进行。在提供处理服务结束后,数据导入者应根据数据导出者的选择, 删除代表数据导出者处理的所有个人数据,并向数据导出者证明其已这样做,或将代表其处理的所有个人数据返回数据导出者,并删除现有副本。 在删除或返回数据之前,数据导入者应继续确保遵守这些条款。 如果数据导入者适用的当地法律禁止返回或删除个人数据, 数据导入者保证将继续确保遵守这些条款,并且只会在当地法律要求的范围内和期限内进行处理。 这不影响第14条, 特别是第14 (e)条规定的数据导入者在合同有效期内有理由相信数据导出者受或已受不符合第14 (a)条要求的法律或实践约束时,应通知数据导出者。

8.6处理的安全性

(a)数据导入者以及在传输过程中数据导出者应实施适当的技术和组织措施,以确保数据的安全,包括防止安全受到破坏,导致意外或非法销毁,丢失,更改,未经授权的披露或访问数据 (以下简称”个人数据泄露”)。 在评估适当的安全级别时,双方应适当考虑最新技术,实施成本,处理的性质,范围,背景和目的以及数据主体处理过程中涉及的风险。 双方应特别考虑采用加密或化名法,包括在传输过程中以这种方式实现处理目的。 在化名的情况下,将个人数据归属于特定数据主体的附加信息在可能的情况下仍受数据导出者的独家控制。 在遵守本款规定的义务时,数据导入者应至少执行附件二中规定的技术和组织措施 数据导入者应进行定期检查,以确保这些措施继续提供适当的安全级别。

(b)数据导入者应仅在执行,管理和监测合同所绝对必要的范围内允许其人员访问个人数据。 它应确保被授权处理个人数据的人员已承诺保密或承担适当的法定保密义务。

(c)在数据导入者根据本条款处理的个人数据发生个人数据泄露时,数据导入者应采取适当措施解决该违规行为,包括采取措施减轻其不利影响。 数据导入者还应在意识到违规行为后立即通知数据导出者。 此类通知应包含可获取更多信息的联络点的详细信息,违规性质的描述(可能时包括数据主体的类别和大致数量以及相关的个人数据记录), 它可能产生的后果以及为处理违约行为而采取或提议采取的措施,包括酌情采取措施减轻其可能产生的不利影响。 在无法同时提供所有资料的情况下,初始通知应载列当时可获得的资料,进一步的资料一旦可获得,随后应毫不迟延地提供。

(D)数据导入者应与数据导出者合作并提供协助,以使数据导出者能够遵守法规(EU) 2016/679规定的义务,尤其是通知主管监管机构和受影响的数据主体, 考虑到处理的性质和数据导入者可获得的信息。

8.7敏感数据

转让涉及透露种族或族裔出身,政治观点,宗教或哲学信仰或工会成员身份的个人数据,遗传数据或生物特征数据(用于唯一识别自然人),有关健康或个人性生活或性取向的数据, 或与刑事定罪和犯罪有关的数据(下称”敏感数据”),数据导入者应适用附件一.B中所述的特定限制和/或附加保障措施

8.8继续传输

数据导入者只能根据数据导出者的书面指示向第三方披露个人数据。 此外,仅当第三方根据相应模块接受或同意受本条款约束时,才可将数据披露给位于欧盟以外的第三方(与数据导入者位于同一国家/地区或在另一第三方国家/地区,以下简称”继续传输”), 或者如果:

(一)继续转让是指根据涵盖继续转让的(EU) 2016/679号条例第45条,向受益于适当性决定的国家转让;

(ii)第三方根据(EU) 2016/679法规第46条或第47条,以其他方式确保相关处理的适当保障措施;

(三)在特定的行政,管理或司法程序中,为确立,行使或辩护法律权利要求而必须继续转移

(iv)为了保护数据主体或其他自然人的重大利益,必须继续传输数据。

数据导入者必须遵守本条款规定的所有其他保障措施,尤其是目的限制。

8.9文档和合规性

(a)数据导入者应及时,充分地处理数据导出者提出的与本条款下的处理相关的查询。

(b)双方应能够证明遵守本条款。 特别是,数据导入者应保存有关代表数据导出者进行的处理活动的适当文档。

(c)数据导入者应向数据导出者提供证明遵守本条款中规定的义务所需的所有信息,并应数据导出者的请求,允许并有助于对本条款所涵盖的处理活动进行审计, 在合理的时间间隔内,或在有不遵守的迹象时。 在决定审核或审计时,数据导出者可能会考虑数据导入者持有的相关认证。

(d)数据导出者可选择自行进行审计或委托独立审计员进行审计。 审计可包括对数据导入者的场所或物理设施进行检查,并应在适当情况下以合理通知的方式进行。

(e)缔约方应提供第2款所指的资料 (B)和 (C),包括任何审计的结果,可根据要求提供给主管监管机构。

条例草案第9条

使用子处理器

(a)数据导入者拥有数据导出者的一般授权,可与商定清单中的子处理者接洽。 数据导入者应至少提前三十(30)天以书面形式通知数据导出者,通过添加或更换子处理者对该列表进行任何预期更改, 从而使数据导出者有足够的时间在子处理者参与之前反对此类更改。 数据导入者应向数据导出者提供必要的信息,使数据导出者能够行使其反对权。

(b)如果数据导入者委托子处理者(代表数据导出者)执行特定处理活动,则应通过书面合同进行,该合同在实质上规定了与根据本条款约束数据导入者的数据保护义务相同的数据保护义务, 包括数据主体的第三方受益人权利。 双方同意,通过遵守本条款,数据导入者履行第8.8条规定的义务。 数据导入者应确保子处理者遵守数据导入者根据本条款应遵守的义务。

(c)数据导入者应在数据导出者的请求下,提供此类子处理者协议以及对数据导出者的任何后续修订的副本。 在保护商业机密或其他机密信息(包括个人数据)所需的范围内,数据导入者可在共享副本之前编辑协议文本。

(d)数据导入者应对数据导出者履行其与数据导入者签订的合同规定的子处理者义务负全部责任。 如果子处理方未能履行该合同规定的义务,数据导入方应通知数据导出方。

(e)数据导入者应与子处理者商定第三方受益人条款,在数据导入者实际失踪的情况下, 不再存在法律或已破产–数据出口者有权终止分处理者合同并指示分处理者删除或返回个人数据。

条例草案第10条

数据主体权利

(a) 数据导入者应将收到的数据主体的任何请求及时通知数据导出者。 除非数据导出者授权,否则它不会对该请求作出回应。

(B)数据导入者应协助数据导出者履行其义务,回应数据主体根据条例(EU) 2016/679行使其权利的请求。 在这方面,缔约方应在附件二中列出适当的技术和组织措施,同时考虑到提供援助的处理性质以及所需援助的范围和程度。

(c)履行本款规定的义务 (A)和 (b),数据导入者应遵守数据导出者的指示。

条例草案第11条

补救

(a)数据导入者应通过个人通知或在其网站上以透明和易于访问的格式通知数据主体有权处理投诉的联络点。 它应迅速处理从数据主体收到的任何投诉。

(b)如果数据主体与其中一方在遵守本条款方面发生争议,该方应尽最大努力及时友好地解决问题。 双方应相互通报此类争端,并酌情合作解决争端。

(c)如果数据主体根据第3条援引第三方受益人权利,数据导入者应接受数据主体的决定,前提是:

(i)根据第13条向其惯常居所或工作地点所在成员国的监管机构或主管监管机构提出投诉;

(ii)将争议提交第18条所指的主管法院。

(D)缔约方同意,数据主体可根据条例(EU) 2016/679第80 (1)条中规定的条件,由非营利组织,组织或协会代表。

(e)数据导入者应遵守根据适用的欧盟或成员国法律具有约束力的决定。

(f)数据导入者同意,数据主体的选择不会损害其根据适用法律寻求补救的实质性和程序性权利。

条例草案第12条

责任

(a)各方应对因违反本条款而给另一方造成的任何损失承担责任。

(b)数据导入者应对数据主体承担责任,且数据主体有权因数据导入者或其子处理者违反本条款下的第三方受益人权利而导致的任何重大或非重大损失获得赔偿。

(c)尽管有该款的规定 (B),数据导出者应对数据主体负责,数据主体有权就数据导出者或数据导入者(或其子处理者)因违反本条款下的第三方受益人权利而导致的任何重大或非重大损失获得赔偿。 这不影响数据导出者的责任,如果数据导出者是代表控制者行事的处理者,则不影响根据适用的条例(EU) 2016/679或条例(EU) 2018/1725对控制者的责任。

(d)双方同意,如果数据导出者根据第段承担责任 (c)对于数据导入者(或其子处理者)造成的损害,数据导入者有权要求数据导入者退还与数据导入者对损害的责任相对应的部分赔偿。

(e)如果多个一方对因违反本条款而对数据主体造成的任何损害负有责任, 所有责任方应承担连带责任,数据主体有权向法院起诉其中任何一方。

(f)双方同意,如果一方根据第段承担责任 (e)它应有权要求另一缔约方退还与其对损害的责任相应的部分赔偿。

(g)数据导入者不得援引子处理者的行为来逃避其自身的责任。

条例草案第13条

监督

负责确保数据出口者遵守关于数据传输的条例(EU) 2016/679 (如附件I.C所示)的监管机构应作为主管监管机构。

(b)数据导入者同意在任何旨在确保遵守本条款的程序中将自己置于主管监管机构的管辖范围内并与其合作。 尤其是,数据导入者同意回应询问,接受审计并遵守监管机构采取的措施,包括补救和补偿措施。 它应向监管机构提供已采取必要行动的书面确认。

第三节——在公共机关介入的情况下,当地法律和义务

条例草案第14条

影响条款合规性的当地法律和惯例

(a)双方保证,他们没有理由相信第三目的地国家/地区适用于数据导入者处理个人数据的法律和实践,包括披露个人数据的任何要求或授权公共当局访问的措施, 防止数据导入者履行本条款规定的义务。 这是基于这样的理解:尊重基本权利和自由的本质,并且不超过民主社会中保障条例(EU) 2016/679第23(1)条所列目标之一的必要和相称的法律和做法。 不与本条款相矛盾。

(b)双方声明,在提供第1款所述保证时 (a)它们特别适当考虑到下列因素:

(一)转让的具体情况,包括处理链的长度,所涉参与者的人数和使用的传输渠道;打算继续转让的内容;接收者的类型;处理目的;被转让个人数据的类别和格式; 进行转让的经济部门;所转让数据的储存地点;

(二)第三目的地国的法律和惯例,包括要求向公共当局披露数据或授权这些当局访问的法律和惯例,与转让的具体情况以及适用的限制和保障措施有关;

(iii)为补充本条款下的保障措施而实施的任何相关合同,技术或组织保障措施,包括在传输过程中以及在目的地国家/地区处理个人数据时适用的措施。

(c)数据导入者保证,在进行第1段所述的评估时 (b),它已尽最大努力向数据导出者提供相关信息,并同意继续与数据导出者合作,以确保遵守这些条款。

(d)双方同意根据第(b)款记录评估,并根据请求提供给主管监管机构。

(e)数据导入者同意在同意本条款后以及在合同有效期内,如果有理由相信数据导出者受或已受不符合(a)段要求的法律或惯例的约束,则应立即通知数据导出者, 包括在第三国法律发生变化或某项措施(例如披露请求)表明此类法律在实践中的适用不符合(a)款的要求之后。

(f)在根据(e)段发出通知后,或者如果数据导出者有理由认为数据导入者无法再履行本条款规定的义务,则数据导出者应立即确定适当的措施(例如确保安全和保密的技术或组织措施) 由数据导出者和/或数据导入者采用以解决这种情况。 如果数据导出者认为无法确保数据传输的适当保障措施,或者主管监管机构指示暂停数据传输,则数据导出者应暂停数据传输。 在这种情况下,数据导出者有权终止合同,只要合同涉及本条款下的个人数据处理。 如果合同涉及两个以上的当事方,数据导出方只能对相关当事方行使终止权,除非当事方另有协议。 根据本条款终止合同的,适用第16(d)和(e)条。

条例草案第15条

数据导入者在公共机构访问时的义务

15.1通知

(a)数据导入者同意在以下情况下立即通知数据导出者,并在可能的情况下及时通知数据主体(如有必要,在数据导出者的帮助下):

(i)根据目的地国家/地区的法律,接收公共机构(包括司法机构)提出的具有法律约束力的披露根据本条款传输的个人数据的请求; 此类通知应包括有关所要求的个人数据,请求当局,请求的法律依据和所提供的答复的信息;或

(ii)了解到公共当局根据目的地国家/地区的法律直接访问根据本条款传输的个人数据;此类通知应包括进口商可获得的所有信息。

(b)如果数据导入者根据目的地国家/地区的法律被禁止通知数据导出者和/或数据主体,则数据导入者同意尽最大努力争取豁免禁令,以便尽可能多地传达信息, 请尽快。 数据导入者同意记录其所做的最大努力,以便能够根据数据导出者的请求进行证明。

(c)在目的地国法律允许的情况下,数据导入者同意在合同期间定期向数据导出者提供尽可能多的有关所收到请求的信息(特别是请求数量,所请求的数据类型, 请求当局,请求是否受到质疑以及此类质疑的结果等)。

(d)数据导入者同意在合同有效期内根据第(a)至(c)款保存信息,并根据要求提供给主管监管机构。

(e)(a)至(c)段不影响数据导入者根据第14 (e)条和第16条承担的义务,即在数据导出者无法遵守这些条款时及时通知数据导出者。

15.2审查合法性和数据最小化

(a)数据导入者同意审查披露请求的合法性,特别是该请求是否仍在授予请求公共当局的权力范围内, 如果经仔细评估后,委员会得出结论认为,根据目的地国法律,国际法和国际礼让原则规定的适用义务,有合理理由认为该请求是非法的,则对该请求提出质疑。 数据导入者应在相同条件下寻求上诉的可能性。 在对请求提出质疑时,数据导入者应寻求临时措施,以期在主管司法当局就请求的是非曲直作出决定之前中止请求的效力。 除非适用的程序规则要求披露个人数据,否则不得披露所要求的个人数据。 这些要求不影响第14 (e)条规定的数据导入者义务。

(b)数据导入者同意记录其法律评估和对披露请求的任何质疑,并在目的地国家/地区法律允许的范围内,将文件提供给数据导出者。 它还应根据请求提供给主管监管机构。

(c)数据导入者同意在回应披露请求时,根据对该请求的合理解释,提供允许的最低限度的信息。

第四节最后条款

条例草案第16条

不遵守条款和终止

(a)如果数据导入者因任何原因无法遵守本条款,则应立即通知数据导出者。

(b)如果数据导入者违反本条款或无法遵守本条款,数据导出者应暂停向数据导入者传输个人数据,直至再次确保合规或合同终止。 这并不影响第14(f)条。

(c)在以下情况下,数据导出者有权终止与本条款下的个人数据处理相关的合同:

(i)数据导出者已根据(b)段暂停向数据导入者传输个人数据,且未在合理时间内恢复对这些条款的遵守,在任何情况下,在暂停后的一个月内恢复遵守;

(ii)数据导入者严重或持续违反本条款;或

(iii)数据导入者未遵守主管法院或监管机构就其在本条款下的义务做出的具有约束力的决定。

在这些情况下,它应将此类违规行为通知主管监管机构。 如果合同涉及两个以上的当事方,数据导出方只能对相关当事方行使终止权,除非当事方另有约定。

(d)在合同终止之前根据第段转让的个人数据 (c)应根据数据导出者的选择,立即将其退还给数据导出者或将其全部删除。 这同样适用于数据的任何副本。 数据导入者应向数据导出者证明数据的删除。 在删除或返回数据之前,数据导入者应继续确保遵守这些条款。 如果数据导入者适用的当地法律禁止返回或删除已传输的个人数据, 数据导入者保证将继续确保遵守这些条款,并仅在当地法律要求的范围内和期限内处理数据。

(e)任何一方均可在以下情况下撤销其受本条款约束的协议 (i)欧盟委员会根据(EU) 2016/679条例第45 (3)条通过一项决定,该决定涉及本条款适用的个人数据传输;或者 (二)条例(EU) 2016/679成为个人数据转移到的国家的法律框架的一部分。 这不影响(EU) 2016/679法规下适用于相关处理的其他义务。

条例草案第17条

适用法律

本条款应受欧盟成员国之一的法律管辖,前提是此类法律允许第三方受益人的权利。 双方同意,这将是爱尔兰的法律。

条例草案第18条

法院和管辖权的选择

(a)由本条款引起的任何争议应由欧盟成员国的法院解决。

(b)双方同意这些法院为爱尔兰的法院。

(c)数据主体还可以向其惯常居所所在成员国的法院对数据导出者和/或数据导入者提起法律诉讼。

(d)双方同意接受此类法院的管辖。

条例草案第19条

传输受瑞士数据保护法的约束

(a)在瑞士的数据保护和隐私法律和法规(“瑞士数据保护法“)适用于个人数据的传输,数据导出者和数据导入者同意修改这些条款,以便(仅)针对此类传输(而不会限制或影响这些条款的其他应用):

一 这些条款中对法规(EU) 2016/679或”该法规”或欧盟或成员国法律的一般和具体引用与瑞士数据保护法律中的等效引用具有相同的含义;

二 对”成员国”一词的解释不应排除瑞士境内的数据主体根据本条款第18 (c)条在其惯常居住地(瑞士)就其权利提起诉讼的可能性;

三 转移的详细信息是附件一中规定的信息,瑞士数据保护法适用于数据出口者在进行转移时的数据处理;

四. 这些条款还适用于与已识别或可识别法律实体相关的信息的传输,在这些信息受到与瑞士数据保护法下的”个人数据”类似的保护之前,这些法律将不再适用于法律实体;以及

V.就本条款第13条而言,瑞士联邦数据保护和信息专员是主管监管机构。


附录2附件一

A.缔约方名单

数据导出者: [数据导出者的身份和详细联系方式,以及在适用情况下其/其数据保护官员和/或欧盟代表的身份和详细联系方式]

请参阅附件1 A部分

b.转让说明

请参阅附件1 B部分

c.主管监管机构

请参阅附件1 B部分

附录2附件二

请参阅附件1第C部分

附录2附件三

子处理器列表

不适用。


附件3

欧盟标准合同条款的英国附录

本附录的日期:

1本附录自条款之日起生效。

背景:

2信息专员认为,本附录提供了适当的保障措施,用于依据英国GDPR第46条将个人数据传输至第三国或国际组织,以及将数据从控制者传输至处理者和/或处理者传输至处理者。

本增编的解释

3如果本增编使用附件中定义的术语,这些术语的含义应与附件中的2.22相同。 此外,以下术语具有以下含义:

本附录

本条款附录

附件

委员会(EU) 2021年6月4日第2021/914号决定附件中规定的标准合同条款

英国数据保护法律

英国不时生效的与数据保护,个人数据处理,隐私和/或电子通信相关的所有法律,包括英国GDPR和2018年数据保护法。

英国GDPR

《英国一般数据保护条例》,因为根据《2018年欧盟(退出)法案》第3条,它构成了英格兰和威尔士,苏格兰和北爱尔兰法律的一部分。

英国

大不列颠及北爱尔兰联合王国

4本附录应根据英国数据保护法的规定进行阅读和解释,以便在满足其提供GDPR第46条所要求的适当保障措施的意图时。

5,本附录不得以与英国数据保护法规定的权利和义务相冲突的方式解释。

6凡提及立法(或立法的具体规定),即指立法(或具体规定)可能随时间而变化。 这包括在本增编订立后,该立法(或具体规定)已合并,重新颁布和/或取代的地方。

层次结构

7如果本附录与条款或双方之间的其他相关协议的规定之间存在冲突或不一致,则应以对数据主体提供最大保护的规定为准。

本条款的纳入

8本附录纳入了被视为在必要的范围内进行修改的条款,以使其生效:

A. 对于数据导出者向数据导入者进行的传输,在英国数据保护法适用于数据导出者在进行该传输时的处理的范围内;以及

B. 根据英国GDPR法律第46条为转让提供适当的保障。

9,以上第7条所要求的修改,包括(但不限于):

A. 对”条款”的引用是指本附录,因为它包含了条款

B. 第6条转让的说明替换为:

“传输的详细信息,特别是传输的个人数据类别及其传输目的)是附件一.B中规定的内容,其中英国数据保护法适用于数据出口者在进行传输时的数据处理。”

D. 对”法规(EU) 2016/679″或”该法规”的引用被”英国数据保护法律”取代,对”法规(EU) 2016/679″的特定条款的引用 被替换为英国数据保护法律的同等条款或部分。

E. 删除了对条例(EU) 2018/1725的引用。

F. 对”欧盟”,”欧盟”和”欧盟成员国”的提法全部改为”联合王国”。

G. 不使用附件II第13(a)条和C部分;”主管监管机构”是信息专员;

H. 第17条改为”本条款受英格兰和威尔士法律管辖”。

一 第18条现予取代,内容如下:

J. 因本条款引起的任何争议应由英格兰和威尔士法院解决。 数据主体还可以向英国任何国家/地区的法院提起针对数据导出者和/或数据导入者的法律诉讼。 双方同意接受这类法院的管辖。”

K. 本条款的脚注不构成增编的一部分。

对本增编的修正

10,双方可同意修改第17条和/或第18条,以提及苏格兰或北爱尔兰的法律和/或法院。

11,双方可以修改本附录,但前提是通过纳入本条款并根据上述第7条对其进行修改,以维护《通用数据保护条例》第46条所要求的有关转让的适当保障措施。

执行本附录

12,双方可以任何方式订立附录(纳入本条款),使其对双方具有法律约束力,并允许数据主体执行本条款规定的权利。 这包括(但不限于):

A. 在本条款中加入本增编,并在上述附件1A中加入签名:

“签署后,我们同意受英国欧盟委员会标准合同条款附录的约束,日期为:”并添加日期(所有转让均在附录中)。

“通过签署,我们还同意受英国欧盟委员会标准合同条款附录的约束”,并添加日期(如果根据条款和附录有转移)(或具有相同效果的词语)和执行条款;或

B. 根据本附录修订条款,并执行这些修订条款。


附录3附件一

A.缔约方名单

数据导出者: [数据导出者的身份和详细联系方式,以及在适用情况下其/其数据保护官员和/或欧盟代表的身份和详细联系方式]

请参阅附件1 A部分

b.转让说明

请参阅附件1 B部分

c.主管监管机构

请参阅附件1 B部分


附录3附件二

请参阅附件1第C部分


附录3

子处理器列表

不适用。

相关文档

2022 ESG Report