数据保护附录–(DPA)
本数据处理附录(以下简称”DPA “)并入Edgio, Inc.,其附属公司和子公司(统称为”Edgio”)与客户之间的Edgio服务条款(以下简称”协议”)并成为其一部分。 如果本DPA的任何条款与本协议的任何条款冲突,则适用本DPA控制的适用条款。
1.定义。
以下术语在本DPA中使用,具有此处规定的含义。 本DPA中使用但未在本协议中定义的大写术语具有本协议中规定的含义。
1.1 “适当国家/地区”是指欧盟数据保护法或英国(以下简称”英国”)相关主管当局承认为个人数据提供足够程度保护的国家或地区。
1.2 “适用的数据保护法”是指 (i)适用于本延期起诉协议下个人数据处理的EEA及其成员国的法律和法规,包括欧盟数据保护法; (ii)《加利福尼亚州消费者保护法》(“CCPA”)和《加利福尼亚州隐私权法》(“CPRA”);以及 (iii)实施或补充上述内容的所有法律以及任何其他适用的数据保护或隐私法律。
1.3 “客户个人数据”是指与消费者(客户的”最终用户”)有关的任何及所有个人数据,由Edgio或其子处理商代表客户处理,以履行服务和Edgio根据协议承担的其他义务。
1.4″欧洲经济区”是指欧洲经济区,包括欧洲联盟成员国以及挪威,冰岛和列支敦士登。
1.5 “欧盟保护法”是指 (i) GDPR; (ii)经修订的欧盟电子隐私指令(指令2002/58/EC)以及取代经修订的指令的任何立法, (iii)根据,依据,取代或继承前述规定而制定的任何国家数据保护法,以及 (iv)在适用的情况下,应理解为包括英国数据保护法。
1.6 “GDPR”是指欧盟一般数据保护条例(第2016/679号条例)。
1.7与根据本DPA处理个人数据有关的”标准合同条款”是指 (a)欧盟委员会不时批准的将个人数据从控制人转移到第三国设立的处理者的标准条款,其当前批准版本载于欧盟委员会2021年6月4日第2021/914号决定,可在以下网址查阅:https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021D0914&from=EN,并载于附件2 (“欧盟标准合同条款”);以及 (b)附件3所列的《欧盟标准合同条款联合王国增编》(“联合王国增编”)。
1.8 “英国数据保护法”是指在英国不时生效的与数据保护,个人数据处理,隐私和/或电子通信相关的所有适用法律,包括英国GDPR和2018年数据保护法。
1.9 “英国GDPR”是指英国《通用数据保护条例》,因为根据2018年欧盟(撤回)法案第3条,它构成英格兰和威尔士,苏格兰和北爱尔兰法律的一部分。
1.10″个人数据”是指Edgio在根据服务协议执行服务时可访问的构成适用数据保护法所指的”个人数据”或”个人信息”的任何信息。
1.11″处理”,”处理”,”数据主体”,”控制者”,”业务”,”处理者”,”服务提供商”,”特殊类别个人数据”具有适用数据保护法赋予它们的含义,前提是这些法律中存在此类概念。
2,数据处理
2.1范围和角色。 考虑到本协议中规定的相互义务,本延期起诉协议应适用于Edgio处理客户个人数据的范围,该范围受与服务相关的适用数据保护法的约束。 在此情况下,客户和Edgio承认并同意: (a)根据适用的数据保护法,Edgio是处理者,客户是控制者;以及 (B) EDGIO仅作为客户或其最终用户放置在服务上的任何个人数据的渠道。 Edgio和客户应遵守适用的个人数据处理数据保护法,并遵守适用的数据保护法。
2.2处理说明。
(A)客户说明。 Edgio将处理客户个人数据作为提供服务的一种方式,并按照本DPA中规定的客户书面指示,或双方之间以书面形式商定的其他方式处理客户个人数据。 如果适用的数据保护法要求Edgio处理客户个人数据,除非法律禁止这样做,否则Edgio将在处理发生之前通知客户。
(i)根据本协议处理客户个人数据的目的是提供客户根据协议不时发起的服务,包括处理发票和付款,与客户最终用户和/或次级处理商就服务进行沟通,维护客户,最终用户和/或次级处理商账户,测量和/或分析服务使用情况,防止或检测欺诈或滥用服务和/或更新服务以及/或支持次级处理商代表Edgio提供技术,物流或其他功能。
(ii) Edgio证明其不会 (a)”出售”(定义见CCPA)或”共享”(定义见CPRA)客户个人数据; (b)保留,使用或披露客户个人数据的目的不是为了根据服务协议提供服务的特定目的,包括为提供服务以外的商业目的保留,使用或披露客户个人数据;或 (c)保留,使用或披露客户个人数据给提供服务所需或双方之间直接业务关系之外的任何人。
(iii)客户声明并保证:(1)其处理指令符合所有适用的数据保护法;以及(2)其已获得并维护处理和传输所有个人数据所需的所有法律通知,同意和许可。 客户承认,考虑到处理的性质,Edgio无法确定客户的指示是否违反适用的数据保护法。
(b)保密。 Edgio对其人员和有权访问个人数据的第三方施加适当的合同义务,以确保此类人员和第三方受此类个人数据的保密义务的约束,并了解其对此类个人数据的保密义务。
(c) Edgio安全措施。 Edgio已实施并维护附件1 C部分所述的技术和组织措施,旨在保护个人数据免受意外或非法破坏;或意外丢失,更改,未经授权的披露或访问,以及防止其他非法处理形式。 8899shop.com可以不时更新或修改该技术和组织措施,前提是这些更新或修改不会导致服务的整体安全性下降。 客户承认并同意(考虑到最新技术水平,实施成本,处理个人数据的性质,范围,背景和目的以及最终用户面临的风险)本2.2(c)节(Edgio安全措施)中规定的Edgio实施和维护的技术和组织措施提供了适合个人数据风险的安全级别。 在使用服务时,客户承认不应配置其对服务的使用,以便在Edgio的边缘服务器上缓存或存储个人数据。
(d)客户安全义务。客户同意,在不损害依第2.2条(c)项(依第6条(数据泄露通知)所规定的义务的前提下,客户独自对其使用服务承担责任,包括:( 1)适当使用服务以确保与个人数据风险相适应的安全级别,例如选择和采用加密;( 2)保护客户用于访问服务的帐户验证凭证,系统和设备,且无需客户授权,包括第三方的授权。
(e)特殊类别数据。 客户不得以任何方式直接或间接地向Edgio传输或以其他方式提供任何揭示或包含以下内容的个人数据:种族或民族血统,政治观点,宗教或哲学信仰,工会会员身份,遗传数据,生物识别数据,有关自然人性生活或性取向的健康数据或与自然人的刑事定罪或犯罪相关的数据。
3,数据主体权利
3.1考虑到服务和处理的性质,客户承认Edgio向客户提供某些控制,特性和功能,作为服务的一部分,客户可能会选择使用这些控制,特性和功能,以履行其在适用的数据保护法下与数据主体的请求相关的义务,包括退回或删除请求。
3.2客户负责正确配置服务,以便: (a)仅在客户接收服务所需的范围内收集,传输和使用个人数据; (b)客户收到服务所需的最短时间内保留个人数据;以及 (c)如果客户希望保留个人数据的时间超过服务保留时间,则客户可使用API或类似技术设置日志文件请求。
3.3如果服务的控制,特性和/或功能不包括客户删除个人数据的选项,则Edgio将遵从客户的合理请求,以方便删除此类数据,前提是Edgio考虑到服务和处理的性质以及Edgio的数据保留惯例,并且除非适用的数据保护法要求Edgio保留个人数据。 Edgio可能会根据第3.3条对任何数据的删除收取费用(基于Edgio的合理成本)。 Edgio将在删除任何此类数据之前向客户提供任何适用费用的详细信息。 客户承认其有义务在协议终止时从其账户中清除任何个人数据,且客户未清除的任何此类个人数据将在其日常业务流程中从Edgio系统中删除。
4.子处理
4.1客户授予一般授权: (a)向Edgio委任Edgio附属公司为分处理商;及 您同意,对于因任何该等业务往来或因在”服务”上出现该等刊登广告人士而发生的任何种类的任何损失或损毁,中国机械商务网无需负责或承担任何责任。
4.2客户确认并同意Edgio通过以下URL维护其子处理器列表:https://read.edg.io/hubfs/Edgecast-Service-Supplements/Edgio-Sub-processor-Authorized.pdf (“子处理器站点”)。 在Edgio允许新的子处理器开始处理客户个人数据前至少三十(30)天,Edgio将通过将新的子处理器添加到子处理器站点(“通知服务”),通知客户此类新的子处理器。
4.3如果客户对通过通知服务通知的Edgio使用新的子处理器有合理的异议,客户应在通过通知服务收到信息后十(10)个工作日内及时以书面形式通知Edgio。 如果客户对新的次级处理商提出合理异议,Edgio同意与客户进行善意讨论,以解决客户的异议。 如果客户未根据第4.3节对任何新的或替换的子处理器及时提出异议,则客户将被视为已同意此类子处理器并放弃其反对此类子处理器的权利。 Edgio可在本第4.3节规定的异议程序进行过程中使用新的子处理器。
4.4如果Edgio根据第4.1节聘用次级处理者,则其将通过与次级处理者签订书面协议(“处理次级处理合同”)来实现,该协议对次级处理者施加的义务与根据本延期协议对Edgio施加的义务实质上相当。 根据处理分包合同条款, Edgio将对客户履行分包处理商的义务承担责任。
5,数据传输
5.1如果Edgio对客户个人数据的任何处理发生在适当国家/地区以外的位置,双方同意,本延期起诉协议附件2 (欧盟标准合同条款)和附件3 (英国附录)中所附的适用标准合同条款将适用于将此类客户个人数据从EEA,瑞士或英国转移到Edgio的情况。 Edgio‘d‘d处理者,将遵守标准合同条款中”数据进口者”的义务,客户作为控制者,将遵守”数据出口者”的义务。
5.2以下条款应适用于附件2中所列和附件3中规定的标准合同条款:
(a)客户可以根据标准合同条款第8.9 (c)条行使其审核权,该条款在本延期起诉协议第7 (审核)条的规定并受其约束。
(b) Edgio可按照本DPA第4条(子处理)的规定并在其要求的前提下任命子处理者。
5.3尽管本第5节中有任何相反的规定,但如果客户已采用替代公认合规标准将客户个人数据合法转移到适当的国家/地区,则标准合同条款将不适用。
6.数据泄露通知
6.1 Edgio在得知实际发生安全事件时,只要Edgio自行判断此类安全事件危及客户个人数据的安全性和/或机密性(“数据泄露”),将立即通知客户。 如果Edgio遭遇数据泄露,在通知客户后,双方应真诚合作,同意并采取必要措施,以减轻或补救数据泄露的影响。 根据本第6条(数据泄露通知), Edgio对数据泄露的通知或回应不应被解释为Edgio承认与数据泄露有关的任何过错或责任。
6.2在发生数据泄露的情况下,客户有充分的权力和责任来决定是否根据适用法律的要求通知受影响的个人和其他当事方,以及通知的方式和时间。
7,审计
7.1客户同意根据欧洲数据保护法对客户个人数据进行审计的权利首先通过请求Edgio提供: (a)向客户提供一份与第2.2 (c)节(Edgio安全措施)中提及的Edgio技术和组织措施相关的Edgio审计报告的摘要副本,该报告应遵守协议的保密规定,且报告应证明Edgio的技术和组织措施充分且符合公认的行业审计标准;以及 (b)当Edgio请求或要求与Edgio根据本DPA执行的个人数据处理相关的额外信息时,Edgio拥有或控制的额外信息。
7.2在客户根据第7.1条收到审核报告后,并根据第7.3条的条款,客户或客户授权的独立第三方审核员可对Edgio与客户个人数据处理相关的处理环境进行合理检查,以验证Edgio是否遵守本延期保密协议项下的义务。
7.3根据上文第7.2节进行审计时,
(a) Edgio应根据欧洲数据保护法,向客户提供Edgio拥有或控制的客户合理要求的信息,以证明Edgio遵守本延期保护法规定的义务。 客户在任何十二(12)个日历月期间行使审计权不得超过一次。 审计应限于工作日(正常工作时间内,不包括美国联邦假日)和事先经各方合理商定的范围。 客户必须至少提前三十(30)天向Edgio发出审计通知,并采取一切合理措施防止对Edgio运营造成不必要的干扰。 客户应承担与此类审计相关的所有成本和费用。
(b)如果Edgio合理认为该审计师不具备适当的资格或独立能力,是Edgio的竞争对手或其他明显不适合, Edgio可反对客户委任的任何第三方审计师根据第7.2条进行任何审计。 Edgio的任何此类异议将要求客户指定另一位审核员或自行进行审核。
(c)本延期起诉协议中的任何内容均不要求Edgio向客户或其第三方审计员披露,或允许客户或其第三方审计员访问:
(i) Edgio或Edgio附属公司的任何其他客户的任何数据;
(ii)任何Edgio或Edgio附属公司的内部会计或财务信息;
(iii) Edgio或Edgio附属公司的任何商业秘密;
(iv) Edgio合理认为可能(1)危害Edgio或Edgio附属公司系统或场所的安全的任何信息;或(2)导致Edgio或任何Edgio附属公司违反其在适用数据保护法下的义务或其对客户或任何第三方的安全和/或隐私义务的任何信息;或
(v)客户或其第三方审计员出于善意履行适用数据保护法规定的客户义务以外的任何原因寻求访问的任何信息。
(D)客户将赔偿,辩护和保护Edgio免受因任何此类审计而导致或与向客户披露个人数据有关的第三方主张的所有费用和索赔(不论是实际的还是声称的)。 考虑到服务和处理的性质,客户承认,Edgio无法根据客户提供服务所需的最终用户信息(例如,最终用户的IP地址)识别个人身份。
8.一般规定
8.1第三方受益人。 在不损害标准合同条款下授予的权利的情况下,本延期起诉协议不授予任何第三方受益人权利。
8.2保密。 客户同意本延期起诉协议的详细信息不是公开的,并且构成协议中定义的Edgio机密信息。
8.3生存。 本协议在本协议的适用期限内仍然具有完全效力,即使本协议中有任何相反规定,在本协议终止或到期后仍应继续有效。 在协议终止或到期时,Edgio可以继续处理客户个人数据,前提是此类处理符合本DPA和适用的数据保护法的要求。
8.4完整协议,冲突。 本延期起诉协议取代并取代Edgio和客户之间关于处理客户个人数据的所有先前或同期的陈述,谅解,协议或通信,无论是书面还是口头的。 除本DPA中的修订外,本协议将继续具有完全效力和效力。 如果本延期起诉协议的条款与协议之间存在任何冲突,则以涉及客户个人数据处理的主题为准。
8.5修正,弃权。 本延期起诉协议只能以书面形式修订,并由双方签署。 任何一方未能或延迟行使或执行本协议中的任何权利均不构成对任何此类权利的放弃。
PART A
处理器标准合同条款的控制者
数据导出器:
名称:根据服务订单。
地址:根据服务订单。
联系人姓名,职位和联系方式:根据服务订单。
与根据这些条款传输的数据相关的活动:请参阅数据导入者的下述活动。
角色:控制器
数据导入器:
名称:Edgio,Inc.
地址:11811 N. Tatum Blvd ., Suite 3031, Phoenix, AZ 85028
联系人姓名,职位和联系方式: Rich Diegnan, DPO, rdiegnan@edg.io
与根据这些条款传输的数据相关的活动:Edgio Inc.通过一系列全球接入点向数字媒体客户提供内容交付网络服务,视频流和相关安全服务。
角色:处理器
PART B
主题事项
与提供服务相关的处理,包括网站加速,WAF,通过Edgio网络下载软件和高级爬虫程序服务。
Duration
自生效日期起至协议终止。
传输个人数据的数据主体类别。
客户的最终用户,客户的业务员工
处理的性质
自生效日期起至协议终止。
传输的个人数据类别:
类别
数据
根据需要选择
客户内容中的最终用户个人数据和记录数据中的个人数据
客户内容中的个人数据(如有)由客户选择。 对于此类数据,此类数据的处理(如有)仅限于Edgio作为此类数据的管道的角色。 为了提供服务,Edgio可能会处理和保留某些记录的数据,这涉及数据导出者最终用户的IP地址的短期存储。
X
处理敏感数据(如适用)并实施充分考虑到数据性质和所涉风险的限制或保障措施,例如严格的目的限制,访问限制(包括仅限经过专门培训的员工访问),保存数据访问记录,限制向前传输或其他安全措施。 |
特殊类别
数据
无
Nature of the processing
Edgio处理客户个人数据,以提供内容交付和安全服务,作为客户或其最终用户放置在服务中的客户个人数据的管道。 为提供服务而处理记录的数据。 记录的数据被传输到美国用于计费等目的,并在短期内存储。
传输频率(例如数据是一次性还是连续传输)
转移将持续进行。
个人数据将保留的期限,或者如果无法保留,则确定该期限所用的标准
数据传输和进一步处理的目的是在必要的情况下,使8899shop.com根据协议提供服务。
个人数据将保留的期限,或者如果无法保留,则确定该期限所用的标准
数据传输和进一步处理的目的是在必要的情况下,使8899shop.com根据协议提供服务。
对于转让给(子)处理者,还应指定处理的主题,性质和持续时间
根据客户的服务配置,适用的子处理器详细信息包括以下链接中提供的信息:
https://view.highspot.com/viewer/
616088e19bf7c594a544f64
主管监管机构
欧盟标准合同条款:负责确保数据出口商在数据传输方面遵守GDPR的监管机构应充当主管监管机构。
欧盟标准合同条款的英国附录(如适用):如果数据出口商在英国成立或属于英国数据保护法律和法规的适用范围,信息专员办公室将充当主管监管机构。
C部分
技术和组织措施
EDGIO信息安全政策
信息安全政策。 Edgio维护一个正式的,记录在案的信息安全政策,该政策基于各种公认的行业安全标准,并与NIST网络安全框架保持一致,适用于Edgio资产上的所有员工和授权用户。
信息安全团队。 Edgio设有信息安全团队,以促进和协助Edgio的信息安全策略和实践的实施。
EDGIO符合标准
产品安全。 适用服务的设计和实施采用技术,逻辑和物理控制,以适应Edgio及其客户的业务和安全需求。 对于适用的企业服务,Egio每年根据以下一个或多个标准,指引和惯例认证适用于本服务的控制措施:
PCI (PCI-DSS)
ISO 27001
SSAE-18 SOC 1,2或3
证书共享。 如果客户提出合理要求,Edgio将为每位客户购买的服务提供证书。
保护Edgio证书。 提供给客户的证书被视为机密信息。
控件
Edgio控件。 Edgio使用业界认可的安全实践,程序和工具来保护其网络,这些安全实践,程序和工具专门针对Edgio的威胁形势和业务环境进行调整。
第三方硬件安全。 Edgio更改供应商提供的系统密码和其他安全参数的默认值。
定期系统和安全测试。 Edgio定期测试用于网络安全的系统和流程,以最大限度地提高运营能力。
安全的软件开发周期。 Edgio开发和维护旨在通过隐私和网络安全风险评估来保护客户个人数据的系统,并在适当的情况下在开发生命周期中使用自动化来实施控制,以及其他做法。
移动设备管理。 Edgio公司发行的设备(如标准问题笔记本电脑和移动电话)由可识别的人员维护,这些人员负责设备的保护以及此类设备所处理的数据的安全性。 无论何时在非Edgio物理环境中携带,运输或使用设备,Edgio资产都必须以物理方式锁定或相当程度地保护。
网络监控。 Edgio利用网络监控工具和程序来识别Edgio网络上的未经授权活动。
供应链风险管理
合同控制。 Edgio利用合同措施强制第三方Edgios遵守适当的信息安全要求,例如Edgio的信息安全标准,供应商行为准则和其他风险管理政策。
EDGIO风险管理. Edgio已建立治理,流程和工具,可在整个Edgio企业中用于管理第三方风险。 该计划要求供应商根据Edgio的公司信息安全政策和行业最佳实践,满足或超过安全要求。 这些工具和实践可能包括供应商填写问卷,提供控制证据以及远程或现场评估。 该计划发现与供应商之间的问题,并努力及时解决这些问题。
访问控制
访问管理
逻辑访问控制。 Edgio维护逻辑访问控制策略,以便只有授权人员才能根据职位和工作要求访问关键业务应用程序和系统。
唯一用户ID。 Edgio为每个授权用户分配一个唯一的用户ID,以便对操作负责。
访问查看。 Edgio使用授权审阅和角色更改流程,在授权用户不再需要访问时提醒管理员修改和/或撤销访问权限的必要性。
活动日志记录。 Edgio策略要求记录和监控对Edgio网络和Edgio资产的访问。
安全工具。 在整个Edgio网络中部署了基于硬件和软件的工具,以提供来自防火墙,入侵检测系统,路由器和交换机等设备的实时警报。
事件日志。 需要配置关键的Edgio资产才能生成事件日志。 根据数据保留和法规要求保留事件日志。
最小特权原则。 Edgio通常使用最小特权原则来管理其每个系统的访问权限。 对生产网络,系统或应用程序功能的特权访问通常会受到控制,并仅限于操作上可行的人员,并根据”需要知道”或”逐项事件”获得授权。
远程访问的多重身份验证。 Edgio的策略要求使用多重身份验证来保护对Edgio网络和Edgio资产的远程访问。
身份验证。 Edgio的访问控制策略要求授权用户的访问凭据唯一标识个人,系统或服务,并受到保护。 这些授权用户访问凭据授予的访问权限需要定期审核,以验证是否仍需要访问权限。
取消配置。 当不再需要访问权限(例如工作角色更改)或终止时,需要取消配置或删除访问权限。
物理安全
物理控制。 Edgio利用控制措施限制授权人员实际访问装有Edgio系统的设施。
物理访问管理。 根据设施类型,电子卡访问读卡器,钥匙,保安人员或当地公司人员可能允许访问。
监控。 闭路电视摄像机被部署到战略位置,以保护人员,运营和财产。
访客管理。 Edgio政策要求访客始终持有并展示Edgio颁发的访客徽章。 Edgio要求访客在收到访客徽章之前登录访客日志。 Edgio人员在Edgio场所内的任何时候都必须佩戴公司颁发的身份证。
数据中心安全性。 Edgio要求对每个机房,数据中心和类似设施进行物理安全控制。
员工和承包商信息安全培训
年度信息安全意识培训。 Edgio要求Edgio员工和承包商每年完成有关信息安全和网络安全的培训,告知他们自己在信息安全中的角色。
渗透测试
Edgio的内部使用渗透测试. Edgio根据风险对Edgio的内部和外部环境进行渗透测试。
渗透测试的限制 出于对Edgio及其客户的安全考虑,Edgio不允许客户测试Edgio拥有,运营或位于Edgio数据中心的网络设备的安全状态。 此外,Edgio不允许拒绝服务,泛洪或任何涉及大量消耗网络带宽的类似测试活动。
防火墙和网络分段
防火墙和安全工具。 Edgio在整个Edgio网络中利用基于硬件和软件的工具(如防火墙)提供来自入侵检测系统,路由器和交换机等设备的实时警报。
网络和系统体系结构。 Edgio使用系统,软件和网络架构实践来降低网络风险。
BACK-UPS (不适用于客户内容)
备份策略。 Edgio在适当的情况下正式维护数据备份策略和程序。 数据备份在完成数据映射,保留或删除活动时受到管理和考虑。
关键文件备份和测试。 管理员需要定期备份重要文件,并采取适当的预防措施,以保护信息免受破坏,丢失或损坏。 此外,管理员还需要对备份/灾难恢复还原过程执行定期测试。
数据保留和数据销毁(不适用于客户内容)
数据保留策略。 Edgio政策要求在数据的整个生命周期(从创建,传输,存储,修改,保留和销毁)以系统和结构化的方式管理和保护数据。
系统特定。 Edgio通过使用系统特定的数据保留摘要来管理数据保留。 数据保留摘要记录系统包含的数据类型,收集和使用每种数据类型的目的,触发销毁事件以及应保存数据的时间段。 这些数据保留摘要必须符合Edgio公司范围内的数据保留时间表以及任何适用的法律,法规和客户要求。
数据销毁。 Edgio的数据销毁实践与NIST 800-88一致,包括磁性,固态,光学介质和机密纸质文件中包含的数据。
事件响应/数据泄露
程序
事件响应计划。 Edgio维护书面的,可行的事件响应计划,使Edgio能够及时应对数据泄露。
响应计划测试。 Edgio的事件响应计划通过使用桌面练习来协调和验证记录的程序进行测试。
事件响应和缓解
安全事件回顾。 安全事件数据按计划进行审核和分析。 当超出预先确定的事件阈值并按照定义的事件管理流程作出响应时,需要立即升级安全事件。
人力资源
HR Systems; Deprovisioning。 Edgio的信息安全协议和程序需要嵌入到所有Edgio人力资源系统和流程中。 Edgio的人力资源部(“HR”)和IT部门已针对帐户创建,角色权限和访问权限撤销配置制定了自动化,可审计的例程,这些例程涵盖了新员工请求,角色变更或员工离职。
背景调查。 在遵守适用法律的前提下,人力资源部在招聘时完成对Edgio员工的全面雇佣前背景调查,包括犯罪记录,SSN,工作授权和被禁方名单(例如海外资产控制办公室)检查。
行为准则. Edgio行为准则要求Edgio员工遵守Edgio的信息安全政策和程序。
漏洞管理方案
漏洞风险缓解。 Edgio的漏洞管理计划旨在实施和维护各种做法和过程以减轻Edgio商业环境中的漏洞风险。
修补程序管理过程。 为了保持其网络和托管系统的高水平功能和安全性,Edgio为安装在Edgio网络上的生产硬件和软件制定了一个既定的补丁管理流程。 最初评估供应商安全修补程序以确定风险和部署优先级。 一旦修补程序通过了正确的测试过程,就会发布修补程序,以便计划部署到生产中。
重大系统更改。 Edgio计划,监控,控制和跟踪Edgio资产的重大变化。
漏洞扫描。 Edgio会定期执行内部和外部漏洞扫描。 系统所有者可以根据需要安排实时漏洞系统扫描,以适应不断变化的威胁向量。
对客户扫描的限制。 由于有可能破坏Edgio系统并为Edgio及其客户带来安全风险,Edgio不允许客户(或其第三方)测试或扫描Edgio资产。
对报告共享的限制。 关于使用和/或不使用在Edgio基础结构内部署的特定硬件,软件或第三方产品的问题,Edgio不提供漏洞报告,也不回答特定的常见漏洞与披露(“CVE”)问题。
业务连续性和事件管理(“BCEM”)
业务连续性协议。 Edgio维护业务连续性和灾难恢复协议,旨在增强Edgio对可能中断Edgio网络和设施或损害Edgio提供服务能力的重大事件的响应能力。
灾害风险评估. Edgio的业务连续性和灾难恢复实践可识别Edgio资产的潜在恢复风险,并采用业界认可的实践实施旨在帮助最小化和缓解这些风险的措施。
专用团队资源。 Edgio制定并实施旨在最大限度降低恢复风险的策略,并通过严格的标准化规划和定期测试验证Edgio的响应能力。
附件2:从欧盟转移时使用的标准合同条款
(控制器到处理器)
欧盟委员会2021年6月4日第2021/914号执行决定(EU)2021/914号决定,该决定涉及根据欧洲议会和理事会第2016/679号条例(EU)2016/679号条例向第三国传输个人数据的标准合同条款(控制人到处理者转移)。
客户(以下简称”数据出口者”)与Edgio, Inc.(以下简称”数据进口者”)之间,双方均为”当事方”;合称为”当事方”,
考虑到本协议所载的相互契约和承诺
同意以下合同条款(“条款”),以便在保护个人隐私,基本权利和自由方面提供充分的保障,以便数据导出者将附件1中规定的个人数据传输给数据导入者。
第一节
条例草案第1条
目的和范围
(a)这些标准合同条款的目的是确保符合欧洲议会和欧洲理事会2016年4月27日关于在处理个人数据时保护自然人和此类数据的自由流动(一般数据保护条例)以将数据传输到第三国的法规(EU) 2016/679的要求。
(b)双方:
(i)‘d附件一.A所列个人数据的自然人或法人,公共当局,机构或其他机构(以下简称”实体”)(以下简称”数据出口商”),以及
(二)在‘d国家/地区通过附件一.A所列也是本条款缔约方的另一实体直接或间接从数据出口商处接收个人数据的实体(以下简称”数据进口商”)
同意这些标准合同条款(以下简称‘条款’)。
(c)这些条款适用于附件I.B.所述的个人数据的传输
(d)本条款的附录载有其中所提述的附件,构成本条款不可分割的一部分。
条例草案第2条
条款的效力和不可变性
(a)这些条款根据法规(EU) 2016/679第46 (1)条和第46 (2)(c)条规定了适当的保障措施,包括可强制执行的数据主体权利和有效的法律补救措施;对于从控制者到处理者和/或处理者到处理者的数据传输,则根据法规(EU) 2016/679第28 (7)条规定了标准合同条款,前提是未进行修改,除非选择适当的模块或添加或更新附录中的信息。 这并不妨碍双方将这些条款中规定的标准合同条款纳入更广泛的合同和/或添加其他条款或附加保障措施,前提是它们不直接或间接违反这些条款或损害数据主体的基本权利或自由。
(b)这些条款不妨碍数据出口者根据(EU) 2016/679号法规应遵守的义务。
条例草案第3条
第三方受益人
(a)数据主体可以作为第三方受益人针对数据导出者和/或数据导入者援引和执行这些条款,但以下情况除外:
(i)第1条,第2条,第3条,第6条,第7条;
(ii)第8条–模块2:第8.1 (b),8.9 (a),(c),(d)和(e)条;
(iii)第9条–模块2:第9(a)条, (c), (d)和 (e);
(iv)第12条─第2单元:第12(a),(d)及(f)条;
(v)第13条;
(vi)第15.1(c),(d)及(e)条;
(vii)第16(e)条;
(viii)第18条–模块2:第18(a)及(b)条。
(b)段 (A)不影响数据主体根据第(EU) 2016/679号条例所享有的权利。
条例草案第4条
口译
(a)如果这些条款使用的术语在第(EU) 2016/679号条例中定义,则这些术语的含义与该条例中的含义相同。
(b)本条款应参照(EU) 2016/679号条例的规定进行阅读和解释。
(c)对这些条款的解释不得与法规(EU)2016/679中规定的权利和义务相冲突。
条例草案第5条
层次结构
如果这些条款与双方之间的相关协议的条款之间存在冲突,则以这些条款为准。
条例草案第6条
转账说明
附件一.B.具体说明了传输的细节,特别是传输的个人数据的类别和传输目的
条例草案第7条
对接条款
故意空白。
第二节-当事人的义务
条例草案第8条
数据保护保护措施
数据导出者保证其已采取合理的措施来确定数据导入者能够通过实施适当的技术和组织措施来履行其在这些条款下的义务。
8.1说明
(a)数据导入者应仅根据数据导出者的书面指示处理个人数据。 数据导出者可以在整个合同期间发出此类指示。
(b)如资料导入者不能遵照该等指示行事,应立即通知资料导出者。
8.2目的限制
除非数据导出者进一步指示,否则数据导入者应仅出于附件一.B所述传输的特定目的处理个人数据。
8.3透明度
根据要求,数据出口者应免费向数据主体提供这些条款(包括双方填写的附录)的副本。 在保护商业秘密或其他机密信息(包括附件二中所述措施和个人数据)的必要范围内,数据导出者可以在共享副本之前修改本条款附录的部分文本,但如果数据主体无法理解其内容或行使其权利,则应提供有意义的摘要。 缔约方应根据请求向数据主体提供编辑的理由,但不透露编辑后的信息。 本条款不影响数据导出者在法规(EU)2016/679第13和14条下的义务。
8.4准确度
如果数据导入者发现收到的个人数据不准确或过时,应及时通知数据导出者。 在这种情况下,数据导入者应与数据导出者合作,以擦除或纠正数据。
8.5数据处理和擦除或返回的持续时间
数据导入者只能在附件I.B中规定的期限内进行处理。在提供处理服务结束后,数据导入者应根据数据导出者的选择删除代表数据导出者处理的所有个人数据,并向数据导出者证明其已完成处理,或将代表数据导出者处理的所有个人数据返还给数据导出者并删除现有副本。 在删除或退回数据之前,数据导入者应继续确保遵守这些条款。 如果适用于数据导入者的当地法律禁止退回或删除个人数据,则数据导入者保证其将继续确保遵守这些条款,并且仅在该当地法律要求的范围和期限内处理这些条款。 这不妨碍第14条,特别是第14 (e)条规定的数据导入者在有理由相信数据导入者受到或已成为不符合第14 (a)条要求的法律或惯例的约束时,必须在整个合同期间通知数据导出者。
8.6处理的安全性
(a)数据导入者和数据导出者在传输过程中应实施适当的技术和组织措施,以确保数据的安全,包括防止安全漏洞,从而导致意外或非法销毁,丢失,更改,未经授权的披露或访问该数据(以下简称”个人数据泄露”)。 在评估适当的安全级别时,双方应适当考虑到最新的状况,执行成本,处理的性质,范围,背景和目的以及数据主体处理所涉及的风险。 缔约方应特别考虑采用加密或假名,包括在传输过程中,如果可以通过加密或假名来实现处理目的。 在假名的情况下,将个人数据归属于特定数据主体的附加信息应在可能的情况下保持在数据导出者的独家控制之下。 在履行本款规定的义务时,数据导入者至少应执行附件二中规定的技术和组织措施。 数据导入者应定期进行检查,以确保这些措施继续提供适当的安全级别。
(b)数据进口商应仅在为执行,管理和监督合同而严格必要的范围内才准许其人员访问个人数据。 它应确保被授权处理个人数据的人已承诺保密或承担适当的法定保密义务。
(c)如果发生与数据导入者根据本条款处理的个人数据有关的个人数据泄露事件,数据导入者应采取适当措施处理该泄露事件,包括缓解其不利影响的措施。 数据导入者还应在得知违规行为后立即通知数据导出者。 此类通知应包含可获得更多信息的联络点的详细情况,对违规行为性质的描述(在可能的情况下包括相关数据主体和个人数据记录的类别和大致数目),其可能产生的后果以及为处理违规行为而采取或拟议采取的措施,包括酌情为减轻其可能产生的不利影响而采取的措施。 在不可能同时提供所有资料的情况下,初始通知应载有当时掌握的资料,并应在掌握的进一步资料后立即提供,不得无故拖延。
(d)数据导入者应与数据导出者合作并协助数据导出者,以使数据导出者能够遵守其在法规(EU) 2016/679下的义务,特别是通知主管监管机构和受影响的数据主体,同时考虑到数据导入者可获得的处理性质和信息。
8.7敏感数据
如果传输涉及揭示种族或民族血统,政治观点,宗教或哲学信仰,工会成员身份的个人数据,遗传数据或用于唯一识别自然人的生物特征数据,有关健康或一个人的性生活或性取向的数据,或与刑事定罪和犯罪有关的数据(以下‘s敏感数据’),数据导入者应适用附件一.B所述的具体限制和/或附加保障措施
8.8继续转移
数据导入者只能根据数据导出者的书面指示向第三方披露个人数据。 此外,如果第三方是或同意受这些条款的约束,根据相应模块,或在以下情况下,数据只能披露给欧盟以外的第三方(与数据导入者位于同一国家/地区或位于另一第三方国家/地区,以下简称”继续传输”):
(i)向前转移是根据第2016/679号条例第45条作出的适足性决定受益的国家/地区,该决定涵盖向前转移;
(ii)第三方根据(EU)2016/679法规第46条或第47条确保对相关处理采取适当的保障措施;
(iii)在具体的行政,监管或司法程序中,为确立,行使或辩护法律权利主张所必需的转移;或
(iv)为了保护数据主体或另一自然人的重大利益,有必要继续传输。
数据导入者必须遵守这些条款下的所有其他保障措施,特别是目的限制。
8.9文档和合规性
(a)数据导入者应及时,充分地处理数据导出者提出的与本条款下的数据处理相关的查询。
(b)双方应能够证明遵守了这些条款。 特别是,数据导入者应保留代表数据导出者执行的处理活动的适当文档。
(c)数据导入者应向数据导出者提供所有必要的信息,以证明数据导出者遵守了这些条款中规定的义务,并应数据导出者的请求,允许并协助对这些条款所涵盖的处理活动进行审计,时间间隔合理或有迹象表明存在不遵守情况。 在决定审查或审计时,数据导出者可考虑数据导入者持有的相关证明。
(d)数据出口商可选择自行进行审计或委托一名独立审计员。 审计可包括对数据导入者的场所或实际设施进行检查,并应在适当情况下在合理通知的情况下进行。
(e)当事各方应提供上文第13段所述的资料 (b)和 (C),包括任何审计结果,可应要求提供给主管监管机构。
条例草案第9条
使用子处理器
(a)数据导入者已获得数据导出者的一般授权,可从商定的清单中聘用次级处理者。 数据导入者应至少提前三十(30)天通过添加或替换子处理者,专门以书面形式通知数据导出者对该列表的任何预期更改,从而让数据导出者有足够的时间在使用子处理者之前对这些更改提出异议。 数据导入者应向数据导出者提供必要的信息,使数据导出者能够行使其反对权。
(b)如果数据导入者聘请次级处理者(代表数据导出者)执行特定的处理活动,则其应通过书面合同的形式做到这一点,该合同实质上规定了与这些条款下对数据导入者具有约束力的相同的数据保护义务,包括数据主体的第三方受益人权利。 双方同意,通过遵守本条款,数据进口商将履行第8.8条规定的义务。 数据导入者应确保次级处理者遵守数据导入者根据这些条款应承担的义务。
(c)数据导入者应应数据导出者的要求,向数据导出者提供此类次级处理者协议的副本以及随后对数据导出者的任何修订。 在保护商业秘密或其他机密信息(包括个人数据)的必要范围内,数据导入者可以在共享副本之前修改协议文本。
(d)数据导入者应继续对数据导出者履行其与数据导入者签订的合同规定的子处理者的义务承担全部责任。 数据导入方应将次级处理方未能履行合同义务的情况通知数据导出方。
(e)数据导入者应与次级处理者约定第三方受益人条款,根据该条款,如果数据导入者实际消失,在法律上不再存在或破产,数据导出者应有权终止次级处理者合同并指示次级处理者删除或归还个人数据。
条例草案第10条
数据主体权利
(a) 数据导入者应将其从数据主体收到的任何请求及时通知数据导出者。 除非经数据导出者授权,否则不应自行回应请求。
(b)数据导入者应协助数据导出者履行其义务,回应数据主体根据条例(EU)2016/679行使其权利的请求。 在这方面,缔约方应在附件二中列出适当的技术和组织措施,同时考虑到提供援助的处理性质,以及所需援助的范围和程度。
(c)履行第89款规定的义务 (a)和 (b)数据导入者应遵守数据导出者的指示。
条例草案第11条
纠正
(a)数据导入者应以透明和易于查阅的格式,通过个别通知或在其网站上,将有权处理投诉的联络点通知数据主体。 它应迅速处理从数据主体收到的任何投诉。
(b)如果数据主体与其中一方在遵守这些条款方面发生争议,该方应尽最大努力及时友好地解决问题。 双方应随时向对方通报此类争端,并酌情合作解决争端。
(c)如果数据主体根据第3条援引第三方受益人权利,则数据导入者应接受数据主体的决定:
(i)根据第13条向其惯常居住地或工作地点所在成员国的监管机构或主管监管机构提出投诉;
(ii)将争议提交第18条所指的主管法院。
(d)双方同意数据主体可由非营利组织,组织或协会代表,具体条件见(EU) 2016/679号条例第80 (1)条。
(e)数据导入者应遵守适用的欧盟或成员国法律下具有约束力的决定。
(f)数据导入者同意,数据主体的选择不会损害其根据适用法律寻求补救的实质性和程序性权利。
条例草案第12条
责任
(a)任何一方均应就其因违反本条款而对另一方造成的任何损害向另一方承担责任。
(b)数据导入者应向数据主体负责,数据主体有权获得赔偿,因为数据导入者或其次级处理者违反本条款规定的第三方受益人权利而对数据主体造成的任何重大或非重大损害。
(c)尽管有一款的规定 (b),对于数据导出者或数据导入者(或其次级处理者)违反本条款规定的第三方受益人权利而对数据主体造成的任何重大或非重大损害,数据导出者应向数据主体承担责任,并且数据主体有权获得赔偿。 这不影响数据导出者的责任,如果数据导出者是代表控制者行事的处理者,则不影响控制者根据法规(EU) 2016/679或法规(EU) 2018/1725 (如适用)承担的责任。
(d)双方同意,如果数据出口商应根据第款承担责任 (c)对于数据导入者(或其次级处理者)造成的损害,其有权向数据导入者索回与数据导入者对损害的责任相对应的部分赔偿。
(e)如果超过一方应对因违反本条款而对数据主体造成的任何损害负责,则所有责任主体均应承担连带和个别责任,且数据主体有权向法院起诉任何此类主体。
(f)双方同意,如果一方应根据第段承担责任 (e)缔约方应有权向另一缔约方索回与其对损害的责任相对应的部分赔偿。
(g)资料进口者不得援引次级处理者的行为逃避其本身的责任。
条例草案第13条
监督
负责确保数据导出者遵守附件一.C中所述数据传输相关法规(EU) 2016/679的监管机构应充当主管监管机构。
(b)数据导入者同意在任何旨在确保遵守这些条款的程序中接受主管监管机构的管辖并与之合作。 具体而言,数据导入者同意回复查询,接受审计并遵守监管机构采取的措施,包括补救和补偿措施。 它应向监管机构提供已采取必要措施的书面确认。
第III节–地方法律和公共当局查阅的义务
条例草案第14条
影响遵守条款的当地法律和惯例
(a)双方保证,他们没有理由相信目的地第三国适用于数据导入者处理个人数据的法律和惯例,包括披露个人数据的任何要求或授权公共当局访问的措施,会妨碍数据导入者履行这些条款规定的义务。 这是基于这样的理解,即尊重基本权利和自由的本质,不超出民主社会保障(EU)2016/679号条例第23条第1款所列目标之一所必需和相称的法律和惯例,不与这些条款相抵触。
(b)双方在提供第段中的保修时声明 (a)他们特别考虑到下列要素:
(i)转让的具体情况,包括处理链的长度,所涉参与者的数目和所使用的传输渠道;打算向前传输;接收者的类型;处理目的;所传输的个人数据的类别和格式;进行传输的经济部门;所传输数据的存储位置;
(ii)目的地第三国的法律和惯例,包括要求向公共当局披露数据或授权此类当局查阅的法律和惯例,以及适用的限制和保障措施;
(iii)为补充这些条款下的保障而制定的任何相关合同,技术或组织保障措施,包括在目的地国传输和处理个人数据时所采取的措施。
(c)数据输入者保证,在根据上文第段进行评估时 (二)委员会已尽最大努力向数据输出者提供有关资料,并同意继续与数据输出者合作,确保遵守这些条款。
(d)缔约方同意根据第(b)款记录评估,并应请求提供给主管监管机构。
(e)如果在同意这些条款后并在合同有效期内,数据导入者有理由相信其受制于或已受制于不符合(a)段要求的法律或惯例,包括在第三国法律发生变化或采取措施(例如披露请求)表明此类法律在实践中的适用不符合(a)段的要求之后,数据导入者同意立即通知数据导出者。
(f)在根据(e)段发出通知后,或如果数据导出者有理由相信数据导入者无法再履行其在本条款下的义务,数据导出者应立即确定数据导出者和/或数据导入者应采取的适当措施(例如确保安全和保密性的技术或组织措施),以解决这种情况。如果数据导出者认为无法确保此类传输的适当保障措施,或在主管监管当局指示下,则应立即确定数据导出者和/或数据导出方同意的情况下,以其他方式使用。
条例草案第15条
数据导入者在公共当局查阅的情况下的义务
15.1通知
(a)数据导入者同意在以下情况下立即通知数据导出者,并在可能的情况下立即通知数据主体(如有必要,在数据导出者的帮助下):
(i)根据目的地国的法律,从公共当局(包括司法当局)收到具有法律约束力的请求,要求披露根据本条款传输的个人数据;此类通知应包括有关所请求的个人数据,请求当局,请求的法律依据和所提供的答复的信息;或
(ii)知悉公共当局可直接查阅根据目的地国家/地区的法律根据这些条款传输的个人数据;此类通知应包括进口商可获得的所有信息。
(b)如果根据目的地国家/地区的法律禁止数据导入者通知数据导出者和/或数据主体,数据导入者同意尽最大努力免除该禁令,以便尽快提供尽可能多的信息。 数据导入者同意记录其最大努力,以便能够根据数据导出者的请求进行演示。
(c)在目的地国法律允许的情况下,数据导入者同意在合同期间定期向数据导出者提供尽可能多的关于所收到请求的相关信息(特别是请求数量,所请求的数据类型,请求当局,请求是否受到质疑以及此类质疑的结果等)。
(d)数据导入者同意根据(a)至(c)款在合同期限内保留信息,并应主管监管机构的请求提供给该信息。
(e)(a)至(c)段不妨碍数据导入者根据第14 (e)条和第16条在无法遵守这些条款的情况下立即通知数据导出者的义务。
15.2审查合法性和尽量减少数据
(a)数据进口商同意审查披露请求的合法性,特别是该请求是否仍在授予请求公共当局的权力范围内,如果经过仔细评估后得出结论认为有合理理由认为根据目的地国的法律,国际法规定的适用义务和国际礼让原则,该请求是非法的,则可对请求提出质疑。 数据导入者应在相同条件下寻求上诉的可能性。 在对请求提出质疑时,数据进口者应寻求临时措施,以期在主管司法当局对请求的是非曲直作出裁定之前中止请求的效力。 除非适用的程序规则要求披露所要求的个人数据,否则不得披露此类数据。 这些要求不影响数据导入者在第14 (e)条下的义务。
(b)数据导入者同意记录其法律评估和对披露请求的任何质疑,并在目的地国法律允许的范围内,向数据导出者提供这些文件。 它还应根据请求向主管监管机构提供。
(c)数据导入者同意在回应披露请求时,根据对请求的合理解释,提供允许的最低限度信息。
第四节-最后条款
条例草案第16条
不遵守条款和终止
(a)无论出于何种原因,如果数据导入者无法遵守这些条款,则数据导入者应立即通知数据导出者。
(b)如果数据导入者违反本条款或无法遵守本条款,数据导出者应暂停向数据导入者传输个人数据,直至再次确保合规或合同终止为止。 这不妨碍第14(f)条。
(c)数据出口商有权终止合同,只要该合同涉及这些条款下的个人数据处理,在以下情况下:
(i)数据导出者已根据(b)段暂停向数据导入者传输个人数据,且未能在合理时间内恢复遵守本条款的规定,无论如何在暂停后的一个月内恢复遵守本条款的规定;
(ii)数据导入者严重或持续违反这些条款;或
(iii)数据导入者未遵守主管法院或监管机构就其在这些条款下的义务做出的具有约束力的决定。
在这些情况下,它应将此类不遵守情况通知主管监管机构。 如果合同涉及两个以上的当事方,数据出口方只能对相关当事方行使终止权,除非双方另有约定。
(d)在合同终止前根据上文第13段转让的个人数据 (c)应根据数据出口商的选择,立即将数据出口商退回或全部删除。 这同样适用于数据的任何副本。 数据导入者应向数据导出者证明数据的删除。 在删除或退回数据之前,数据导入者应继续确保遵守这些条款。 如果适用于数据导入者的当地法律禁止退回或删除所传输的个人数据,则数据导入者保证其将继续确保遵守这些条款,并且仅在该当地法律要求的范围和期限内处理数据。
(e)任何一方均可在下列情况下撤销其受这些条款约束的协议 (i)欧盟委员会根据(EU) 2016/679号条例第45条第(3)款通过一项涉及本条款适用的个人数据传输的决定;或 (ii)条例(EU) 2016/679成为个人数据传输国法律框架的一部分。 这不妨碍根据法规(EU) 2016/679适用于相关处理的其他义务。
条例草案第17条
适用法律
这些条款应受欧盟成员国之一的法律管辖,前提是此类法律允许第三方受益人权利。 双方同意这是爱尔兰的法律。
条例草案第18条
法院和管辖权的选择
(a)由这些条款引起的任何争议应由欧盟成员国的法院解决。
(b)双方同意这些法院为爱尔兰法院。
(c)数据主体还可向其惯常居所所在成员国的法院起诉数据出口者和/或数据进口者。
(d)双方同意服从此类法院的管辖权。
条例草案第19条
传输受瑞士数据保护法约束
(a)瑞士的数据保护和隐私法律和法规(“瑞士数据保护法“)适用于个人数据的传输,数据出口者和数据进口者同意对这些条款进行修改,以便(仅限于)此类传输(且不限制或影响这些条款的应用):
i 这些条款中对法规(EU) 2016/679或”该法规”或欧盟或成员国法律的一般和特定引用与瑞士数据保护法中的同等引用具有相同的含义;
二. “成员国”一词的解释不会使瑞士的数据主体无法根据本条款第18条(c)项在其惯常居住地(瑞士)就其权利提起诉讼;
三 数据传输的详细信息是附件一中规定的,其中瑞士数据保护法适用于数据出口商在进行数据传输时的处理;
四. 这些条款也适用于与已识别或可识别的法律实体相关的信息的传输,该等信息在瑞士数据保护法下受到与”个人数据”类似的保护,直至此类法律被修订为不再适用于法律实体;以及
五,瑞士联邦数据保护和信息专员是本条款第13条所述的主管监管机构。
附件一附件二
A.缔约方名单
数据导出者:[数据导出者的身份和联系方式(如适用),其数据保护官和/或欧盟代表的身份和联系方式]
见附件1 A部分
B.转让说明
见附件1 B部分
c.主管监管机构
见附件1 B部分
附件二2
见附件1第C部分
附件二.附件三
子处理器列表
不适用。
附录3
欧盟标准合同条款的英国增编
本增编的日期:
1.本附录自条款生效之日起生效。
背景:
2.信息专员认为,本附录提供了适当的保障措施,以便根据英国GDPR第46条将个人数据传输至第三国或国际组织,以及从控制者到处理者和/或处理者到处理者的数据传输。
本增编的解释
3.如果本附录使用附件中定义的术语,这些术语的含义应与附件中的含义相同。 此外,以下术语具有以下含义:
本增编
本条款附录
附件
英国数据保护法
在英国不时生效的与数据保护,个人数据处理,隐私和/或电子通信相关的所有法律,包括英国GDPR和2018年数据保护法。
UK GDPR
英国一般数据保护条例,因为它是英格兰和威尔士,苏格兰和北爱尔兰法律的一部分,根据《2018年欧盟(撤回)法案》第3条。
英国
大不列颠及北爱尔兰联合王国
4.本附录应参照英国数据保护法的规定进行阅读和解释,并在满足GDPR第46条要求的情况下提供适当的保障措施。
5.本附录的解释不得与英国数据保护法规定的权利和义务相冲突。
6.任何提及立法(或立法的具体规定)的地方,都是指立法(或具体规定)可能随着时间的推移而发生变化。 这包括在本增编签订后对立法(或具体规定)进行合并,重新颁布和/或取代的情况。
层次结构
7.如果本附录与本附录达成协议或签订本附录时存在的条款或双方之间的其他相关协议的规定发生冲突或不一致,则应以向数据主体提供最强保护的条款为准。
条款的纳入
8.本增编纳入条款,这些条款被视为在必要的范围内进行修改,以使其生效:
A. 对于数据导出者向数据导入者进行的传输,只要英国数据保护法适用于数据导出者进行传输时的处理;以及
b 根据英国GDPR法律第46条为转让提供适当的保障。
9.上述第7条所要求的修订包括(但不限于):
A. 提及”条款”指本增编纳入条款
b 第6条转移说明替换为:
“传输的详细信息,特别是传输的个人数据类别和传输目的)为附件一.B中规定的内容,其中英国数据保护法适用于数据出口者在传输时的处理。”
D. 对”法规(EU) 2016/679″或”该法规”的引用被”英国数据保护法”取代,对”法规(EU) 2016/679″“的引用被替换为英国数据保护法的相应条款或章节。
e 删除了对第2018/1725号条例的引用。
F. 提及”联盟”,”欧盟”和”欧盟成员国”均替换为”联合王国”
G. 未使用附件II第13(a)条和C部分;”主管监管机构”为信息专员;
H. 第17条现予取代,说明”这些条款受英格兰及威尔士法律管辖”。
i 第18条改为:
J. “由这些条款引起的任何争议应由英格兰和威尔士法院解决。数据主体还可以向英国任何国家的法院对数据出口者和/或数据进口者提起法律诉讼。双方同意将自己置于此类法院的管辖之下。”
K. 条款的脚注并不构成增编的一部分。
对本增编的修正
10,双方可同意更改第17条和/或第18条,以提及苏格兰或北爱尔兰的法律和/或法院。
11.双方可修改本附录,但前提是该附录保持了英国通用数据保护条例第46条所要求的相关转让的适当保障措施,纳入条款并根据上文第7条对其进行更改。
正在执行此附录
12.双方可以任何方式签署附录(包含条款),使其对双方具有法律约束力,并允许数据主体执行条款中规定的权利。 这包括(但不限于):
A. 将本增编加入本条款,并在上文附件1A中加入签名:
“通过签署,我们同意受欧盟委员会标准合同条款英国附录的约束,日期为:”并添加日期(如果所有转让均在附录中)。
“通过签署,我们还同意受日期为欧盟委员会标准合同条款的英国附录的约束”,并添加日期(如果条款和附录中都有转让)(或具有相同效果的词语)并执行条款;或
b 根据本增编修订条款,并执行这些修订后的条款。
附件一附件三
A.缔约方名单
数据导出者:[数据导出者的身份和联系方式(如适用),其数据保护官和/或欧盟代表的身份和联系方式]
见附件1 A部分
B.转让说明
见附件1 B部分
c.主管监管机构
见附件1 B部分
附件二附件三
见附件1第C部分
附件三
子处理器列表
不适用。