數據保護附錄–(DPA)
本數據處理附錄(以下簡稱“DPA”)已併入Edgio,Inc.,其附屬公司和子公司(統稱“Edgio”)與客戶之間的服務條款(以下簡稱“協議”),並構成其中的一部分。 如果本DPA的任何條款與本協議的任何條款衝突,則本DPA的適用條款將受到控制。
定義。
本DPA中使用了以下術語,其含義如下。 本DPA中使用的大寫術語和此處未定義的術語應具有協議中規定的含義。
1.1“適當國家/地區”是指歐盟數據保護法或英國相關主管當局承認為個人數據提供適當保護的國家或地區。
1.2“適用的數據保護法”是指 (i)適用於根據本DPA處理個人數據的EEA及其成員國的法律和法規,包括歐盟數據保護法; (ii)《加利福尼亞消費者保護法》(「CCPA」)及《加利福尼亞隱私權法》(「CPRA」);及 (iii)執行或補充上述法律以及任何其他適用的數據保護或隱私法律的所有法律。
1.3“客戶個人數據”是指與消費者(客戶的“最終用戶”)有關並由Edgio或其子處理商代表客戶在履行服務和Edgio根據協議承擔的其他義務時處理的任何及所有個人數據。
1.4 “EEA”是指歐洲經濟區,包括歐洲聯盟成員國以及挪威,冰島和列支敦士登。
1.5“歐盟保護法”是指 (i) GDPR; (二)經修正的歐盟電子隱私權指令(第2002/58/EC號指令)以及取代此經修正指令的任何立法, (iii)根據上述法律取代或繼承而制定的任何國家數據保護法,以及 (iv)如適用,應理解為包括英國數據保護法。
1.6“GDPR”是指歐盟一般數據保護條例(第2016/679號法規)。
1.7與根據本DPA處理個人數據相關的“標準合同條款”是指 (a)歐盟委員會不時批准在第三國制定的關於將個人數據從控制者轉移到處理者的標準條款,其當前批准版本是歐盟委員會2021年6月4日第2021/914號決定中規定的,可在https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021D0914&from=EN上找到,並在附件2 (“歐盟標準合同條款”)中規定;和 (b)歐盟標準合同條款的聯合王國增編,見附件3 (“聯合王國增編”)。
1.8“英國數據保護法”是指與數據保護,個人數據處理,隱私和/或電子通信相關的所有適用法律,包括英國GDPR和2018年數據保護法。
1.9「UK GDPR」是指英國一般資料保護條例,因為根據2018年歐盟(退出)法案第3節,該條例構成英格蘭和威爾士,蘇格蘭和北愛爾蘭法律的一部分。
1.10“個人數據”是指Edgio在根據服務協議執行服務時可能訪問的構成適用數據保護法含義範圍內的“個人數據”或“個人資訊”的任何資訊。
1.11“處理”,“流程”,“數據主體”,“控制人”,“業務”,“處理人”,“服務提供商”,“特殊類別的個人數據”具有適用數據保護法賦予它們的含義,但此類概念在這些法律中存在。
2數據處理
2.1範圍和角色。 考慮到此處規定的相互義務,本DPA適用於Edgio根據協議處理與服務相關的適用數據保護法處理客戶個人數據的範圍。 在此背景下,客戶和Edgio承認並同意: (a)根據適用的數據保護法,Edgio是處理者,客戶是控制者;以及 (b) Edgio僅充當客戶或其最終用戶在服務中提供的任何個人數據的管道。 Edgio和客戶應遵守適用的數據保護法,以處理個人數據,但須遵守適用的數據保護法。
2.2處理說明。
(A)客戶說明。 Edgio將根據客戶在本DPA中規定的書面說明或雙方之間的書面協議來處理客戶個人數據,以此作為提供服務的一種方式。 如果適用的數據保護法要求Edgio以客戶指示以外的方式處理客戶個人數據,則除非法律禁止,否則Edgio將在處理之前通知客戶。
(i)根據本DPA處理客戶個人數據的目的是指客戶根據本協議不時發起的服務提供,包括處理發票和付款,與客戶最終用戶和/或子處理商就服務進行溝通,維護客戶,最終用戶和/或子處理商帳戶,測量和/或分析服務使用情況,防止或檢測或濫用服務和/或網站,以及維護或更新服務的其他物流處理商或技術功能。
㈡Edgio證明不會 (a)“出售”(如CCPA所定義)或“共享”(如CPRA所定義)客戶個人數據; (b)保留,使用或披露客戶個人數據的目的不是為了根據服務協議提供服務的特定目的,包括出於除提供服務外的商業目的而保留,使用或披露客戶個人數據;或 (c)保留,使用客戶個人數據,或將其披露給任何提供服務所需的人員,或在雙方之間的直接業務關係之外的人員。
(iii)客戶聲明並保證:(1)其處理指示符合所有適用的資料保護法;以及(2)客戶已取得並維護所有法律規定的通知,同意和許可,以處理和傳輸所有個人資料。 客戶承認,考慮到處理的性質,Edgio無法確定客戶的指示是否違反了適用的數據保護法。
(b)保密。 Edgio對其人員和有權訪問個人數據的第三方規定了適當的合同義務,以確保此類人員和第三方受其對此類個人數據的保密義務的約束,並了解其對此類個人數據的保密義務。
(c) Edgio安全措施。 Edgio實施並維護了附件1 C部分所述的技術和組織措施,旨在保護個人數據免遭意外或非法破壞;或意外丟失,篡改,未經授權的披露或訪問,以及防止其他非法形式的處理。 Edgio可能會不時更新或修改此類技術和組織措施,前提是此類更新或修改不會導致服務的整體安全性降低。 客戶承認並同意(考慮到最先進的技術,實施成本,個人數據處理的性質,範圍,背景和目的以及對最終用戶的風險) Edgio實施和維護的技術和組織措施(如第2.2 (c)節(Edgio安全措施)中所述)可提供與個人數據相關風險相應的安全級別。 在使用服務時,客戶承認不應將其服務的使用配置爲在Edgio的邊緣服務器上緩存或存儲個人數據。
(d)客戶安全義務。客戶同意,在不影響Edgio根據第2.2 (c)(Edgio安全措施)和第6 (數據洩露通知)承擔的義務的情況下,客戶對其服務的使用負有全部責任,包括:(1)適當使用服務以確保符合個人數據風險的安全級別,例如,選擇和使用加密的客戶的身份驗證設備,以及(2)客戶對客戶服務的所有用戶的身份驗證或客戶的身份驗證的有效操作。
(e)特殊類別的數據。 客戶不得,也不得允許其最終用戶直接或間接向Edgio傳輸或以任何方式向Edgio提供任何透露或包含以下任何內容的個人數據:種族或族裔出身,政治觀點,宗教或哲學信仰,工會成員身份,遺傳數據,生物特徵數據,與自然人的性生活或性取向或犯罪相關的數據。
3數據主體權利
3.1考慮到服務和處理的性質,客戶承認Edgio作為服務的一部分向客戶提供了某些控制,特性和功能,客戶可以選擇使用這些控制,特性和功能,以履行與數據主體請求相關的適用數據保護法規定的義務,包括退回或刪除請求。
3.2客戶負責正確配置服務,以便: (a)個人數據的收集,傳輸和使用僅限於客戶接收服務所需的範圍; (b)個人資料的保留期為客戶接收服務所需的最短時間;以及 (C)如果客戶希望將個人數據保留的時間長於服務保留的時間,客戶可使用API或類似技術來設定日誌文件請求。
3.3如果服務的控件,特性和/或功能不包括客戶刪除個人數據的選項,則Edgio將遵守客戶的合理請求,以便於刪除個人數據,前提是Edgio考慮到服務和處理的性質以及Edgio的數據保留實踐,並且除非適用的數據保護法要求Edgio保留個人數據。 Edgio可以根據第3.3節的規定對任何數據刪除收取費用(根據Edgio的合理成本)。 Edgio將在刪除任何此類數據之前向客戶提供任何適用費用的詳細資訊。 客戶承認其有義務在協議終止時從其帳戶中清除任何個人數據,並且在正常的業務流程中,客戶未清除的任何此類個人數據將從Edgio的系統中刪除。
4子處理
4.1客戶授予一般授權: (a)由Edgio任命Edgio附屬公司為次處理者;和 (b) Edgio和Edgio附屬公司僅在支援提供服務所需的情況下,指定第三方服務提供商(包括但不限於行銷,業務,工程或客戶支援提供商)作為子處理商。
4.2客戶確認並同意Edgio通過以下URL維護其子處理器列表:https://read.edg.io/hubfs/Edgecast-Service-Supplements/Edgio-Sub-processor-Authorized.pdf (“子處理器站點”)。 在Edgio允許新的子處理器開始處理客戶個人數據之前至少三十30天,Edgio將通過將新的子處理器添加到子處理器站點(“通知服務”),向客戶通知新的子處理器。
4.3如果客戶對Edgio使用通過通知服務通知的新子處理器有合理的異議,客戶應在通過通知服務收到信息後十10個工作日內以書面及時通知Edgio任何異議。 如果客戶對新的子處理器提出合理的異議,Edgio同意與客戶進行真誠的討論,以解決客戶的異議。 如果客戶未根據本第4.3節對任何新的或更換的子處理器及時提出反對意見,則客戶將被視為同意該子處理器並放棄反對該子處理器的權利。 Edgio可能會在第4.3節中規定的異議處理程序進行中使用新的子處理程序。
4.4如果Edgio根據第4.1條聘請分處理商,則它將通過與分處理商簽訂的書面協議(“處理分合同”)來這樣做,該協議規定分處理商承擔與本DPA規定Edgio承擔的實質上等同的義務。 Edgio將繼續對客戶負責,以便根據處理子合同的條款履行子處理商的義務。
5數據傳輸
5.1如果Edgio對客戶個人數據的處理發生在適當國家/地區以外的地點,雙方同意,本DPA附件2 (歐盟標準合同條款)和附件3 (英國附錄)中所附的適用標準合同條款將適用於將此類客戶個人數據從EEA,瑞士或英國傳輸到Edgio。 Edgio作為‘d,將遵守標準合同條款中“數據進口商”的義務,而作為控制人的客戶將遵守‘d“數據出口商”的義務。
5.2以下條款適用於附件2中列出的標準合同條款和附件3中規定的條款:
(a)客戶可根據標準合同條款第8.9 (c)條行使其審計權,如中所述,並遵守本DPA第7節(審計)的要求。
(b) Edgio可根據本DPA第4節(子處理)中的規定指定子處理人,並遵守該條款的要求。
5.3儘管本第5節中有任何相反規定,但如果客戶已採用替代認可合規標準,將客戶個人數據合法傳輸到適當國家/地區以外,則標準合同條款將不適用。
6數據洩露通知
6.1 Edgio在得知實際發生的安全事件後,將立即通知客戶,但Edgio自行決定此類安全事件會危及客戶個人數據的安全性和/或機密性(“數據洩露”)。 如果Edgio遭受數據洩露,當事方應在通知客戶後真誠合作,同意並採取必要措施以減輕或補救數據洩露的影響。 Edgio根據本第6節(數據洩露通知)發出的數據洩露通知或對數據洩露的響應不應被解釋為Edgio承認與數據洩露有關的任何過失或責任。
6.2如果發生數據洩露,客戶有充分的權力和責任來決定是否按照適用法律的要求通知受影響的個人和其他各方,以及通知的方式和時間。
7審計
7.1客戶同意,根據歐洲數據保護法,首先通過請求Edgio提供以下內容來行使其對客戶個人數據的審計權: (a)向客戶提供Edgio審計報告的摘要副本,該報告與第2.2 (c)節(Edgio安全措施)中提及的Edgio技術和組織措施有關,這些報告應遵守協議的保密規定,並且報告應證明Edgio的技術和組織措施是充分的,並且符合公認的行業審計標準;以及 (b)當Edgio要求或要求與Edgio根據本DPA處理個人數據有關的額外資訊時,Edgio擁有或控制的額外資訊提供給相關監管機構。
7.2在客戶根據第7.1節收到審計報告後,根據第7.3節的條款,客戶或客戶授權的獨立第三方審計員可對與客戶個人數據處理相關的Edgio處理環境進行合理檢查,以驗證Edgio是否遵守本DPA規定的義務。
7.3如根據上文第7.2節進行審計,
(a) Edgio應根據歐洲數據保護法向客戶提供Edgio持有或控制的客戶可能合理要求的資訊,以證明Edgio遵守了本DPA規定的義務。 客戶在任何十二(12)個日曆月期間內不得多次行使其審計權利。 審計應限於工作日(正常工作時間內,美國聯邦節假日除外)和各方事先合理商定的範圍。 客戶必須至少提前三十30天通知Edgio進行審計,並採取一切合理措施防止對Edgio的營運造成不必要的中斷。 客戶應承擔與此類審計相關的所有成本和費用。
(b)如果Edgio合理地認為,該審計員不是Edgio的競爭對手,或明顯不適合,Edgio可以反對客戶指定的第三方審計員根據第7.2條進行任何審計。 Edgio的任何此類異議將要求客戶任命另一名審計員或自行進行審計。
(c)本DPA中的任何內容均不要求Edgio向客戶或其第三方審計員披露,或允許客戶或其第三方審計員訪問:
(i) Edgio或Edgio附屬公司的任何其他客戶的任何數據;
(ii)任何Edgio或Edgio附屬公司的內部會計或財務資料;
(iii) Edgio或Edgio附屬公司的任何商業祕密;
(iv) Edgio合理認為可能(1)危害任何Edgio或Edgio附屬機構系統或場所安全的任何資訊;或2導致Edgio或任何Edgio附屬機構違反適用數據保護法規定的義務或其對客戶或任何第三方的安全和/或隱私義務;或
(v)客戶或其第三方審計員出於善意履行客戶在適用數據保護法下的義務以外的任何原因尋求訪問的任何資訊。
(d)客戶將賠償Edgio,為其辯護,並使其免受第三方因任何此類審計向客戶披露個人數據而產生或與之相關的所有費用和索賠(無論是實際的還是據稱的)。 考慮到服務和處理的性質,客戶承認Edgio無法根據Edgio提供服務所需的最終用戶資訊(例如,最終用戶的IP地址)來識別個人。
8一般規定
8.1第三方受益人。 在不損害標準合同條款授予的權利的情況下,本DPA不授予任何第三方受益人權利。
8.2保密。 客戶同意本DPA的詳細資訊不公開,並構成本協議中定義的Edgio機密資訊。
8.3生存。 本DPA在本協議的適用期限內仍具有完全的效力和效力,即使本協議有任何相反規定,本協議在本協議終止或到期後仍然有效。 協議終止或到期時,Edgio可以繼續處理客戶個人數據,前提是此類處理符合本DPA和適用數據保護法的要求。
8.4完整協議,衝突。 本DPA取代並取代Edgio與客戶之間先前或同期所有關於客戶個人數據處理的書面或口頭陳述,諒解,協議或溝通。 除本DPA中的修訂外,本協議仍具有完全的效力。 如果本DPA的條款與本協議有任何衝突,則本DPA的條款應以處理客戶個人數據為準。
8.5修正,棄權。 本DPA只能以書面形式修改並由雙方簽署。 任何一方未能或延遲行使或執行本協議中的任何權利均不構成對任何此類權利的放棄。
PART A
控制方與處理方標準合同條款之間的關係
數據導出器:
名稱:根據服務訂單。
地址:根據服務訂單。
聯係人的姓名,職位和聯係人詳細資訊:根據服務訂單。
與根據本條款傳輸的數據相關的活動:請參閱數據進口商的下述活動。
角色:控制器
數據導入器:
名稱:Edgio, Inc.
地址:11811 N. Tatum Blvd., Suite 3031,Phoenix, AZ 85028
聯繫人姓名,職位和詳細聯繫方式:Rich Diegnan,DPO,rdiegnan@edg.io
與根據這些條款傳輸的數據相關的活動:Edgio Inc.通過一系列全球性的網點向數字媒體客戶提供內容交付網路服務,影片流和相關的安全服務。
角色:處理器
PART B
主題事項
與提供服務相關的處理,包括網站加速,WAF,通過Edgio網路下載軟體和高級爬蟲程序服務。
Duration
自生效日期起至協議終止之日止。
其個人數據被傳輸的數據主體的類別。
客戶的最終用戶,客戶的企業員工
處理的性質
自生效日期起至協議終止之日止。
傳輸的個人數據類別:
類別
數據
根據需要選擇
客戶內容中的最終用戶個人數據和記錄數據中的個人數據
客戶內容中的個人數據(如果有)由客戶選擇。 對於此類數據,如果有的話,此類數據的處理僅限於Edgio作為此類數據的管道。 為了提供服務,Edgio可能會處理並保留某些記錄的數據,這涉及數據導出器最終用戶的IP地址的短期存儲。
X
|
處理敏感數據(如適用)並實施充分考慮數據性質和所涉風險的限制或保障措施,例如嚴格的目的限制,訪問限制(包括僅限接受過專門培訓的工作人員訪問),保留數據訪問記錄,對繼續傳輸的限制或額外安全措施。 |
特別類
數據
無
Nature of the processing
Edgio處理客戶個人數據,以提供內容交付和安全服務,作為客戶或其最終用戶在服務上提供的客戶個人數據的管道。 Edgio處理記錄的數據以提供服務。 記錄的數據將傳輸到美國進行計費等用途,並在短期內存儲。
傳輸頻率(例如數據是一次性傳輸還是連續傳輸)
移交工作將持續進行。
個人數據的保留期限,或者,如果不可能保留,則確定該期限所使用的標準
數據傳輸和進一步處理的目的是使Edgio能夠在必要的範圍內根據協議提供服務。
個人數據的保留期限,或者,如果不可能保留,則確定該期限所使用的標準
數據傳輸和進一步處理的目的是使Edgio能夠在必要的範圍內根據協議提供服務。
對於向(子)處理者轉讓,還應指明處理的主題,性質和持續時間
根據客戶的服務配置,適用的子處理器詳細信息包括以下鏈接中提供的子處理器詳細信息:
https://view.highspot.com/viewer/
616088e19bf7c594a5444f64
主管監管機構
歐盟標準合同條款:負責確保數據出口商在數據傳輸方面遵守GDPR的監管機構應作為主管監管機構行事。
歐盟標準合同條款的英國附錄(如適用):如果數據出口者在英國成立或屬於英國數據保護法律和法規適用的地區範圍,資訊專員辦公室應作為主管監管機構。
C部分
技術AD組織措施
EDGIO資訊安全策略
資訊安全策略。 Edgio維護著一個正式的,有文檔的資訊安全策略,該策略基於各種公認的行業安全標準,與NIST網路安全框架保持一致,適用於Edgio資產上的所有員工和授權用戶。
資訊安全小組。 Edgio負責維護資訊安全小組,以促進和協助實施Edgio的資訊安全策略和實踐。
EDGIO符合標準
產品安全性。 適用的服務是以技術,邏輯和物理控制進行設計和實施的,這些控制適合Edgio及其客戶的業務和安全需求。 對於適用的企業服務,Edgio每年根據以下一項或多項標準,準則和實踐對適用於本服務的控制進行認證:
PCI (PCI-DSS)
ISO 27001
18 SOC 1,2或3
證書共享。 如果適用,Edgio將根據客戶合理的請求為每次購買的服務提供證書。
保護Edgio證書。 提供給客戶的證書被視為機密資訊。
控件
Edgio控件。 Edgio使用業界認可的安全實踐,程序和工具保護其網路,特別適合Edgio的威脅環境和業務環境。
第三方硬體安全性。 Edgio更改供應商提供的系統密碼和其他安全參數的預設值。
定期系統和安全測試。 Edgio定期測試用於網路安全的系統和流程,以最大程度地提高營運能力。
安全軟體開發週期。 Edgio開發和維護旨在通過隱私和網路安全風險評估來保護客戶個人數據的系統,並在適當的情況下在開發生命週期中使用自動化來實施控制和其他做法。
移動設備管理。 Edgio公司發布的設備(如標準問題筆記型電腦電腦和移動電話)由負責保護設備以及此類設備處理的數據安全的可識別個人維護。 在非Edgio物理環境中攜帶,運輸或使用設備時,必須對Edgio資產進行物理鎖定或同等保護。
網路監控。 Edgio利用網路監控工具和程序來識別Edgio網路上未經授權的活動。
供應鍊風險管理
合同控制。 Edgio利用合同措施強制第三方Edgios遵守適當的資訊安全要求,例如Edgio的資訊安全標準,供應商行為準則和其他風險管理策略。
Edgio風險管理。 Edgio建立了管理,流程和工具,可在整個Edgio企業中用於管理第三方風險。 該計劃要求供應商根據Edgio的公司資訊安全策略和行業最佳實踐滿足或超過安全要求。 這些工具和做法可能包括供應商填寫問卷,提供控制證據以及遠程或現場評估。 該計劃發現供應商的問題,並及時解決這些問題。
訪問控制
訪問管理
邏輯訪問控制。 Edgio維護邏輯訪問控制策略,因此只有授權人員才能根據職位和工作要求訪問關鍵業務應用程式和系統。
唯一用戶ID。 Edgio為每個授權用戶分配一個唯一的用戶ID,以確定操作的責任。
訪問查看。 Edgio使用授權審核和角色更改流程來提醒管理員在授權用戶不再需要訪問權限時必須修改和/或撤消訪問權限。
活動日誌記錄。 Edgio策略要求記錄和監控對Edgio網路和Edgio資產的訪問。
安全工具。 在整個Edgio網路中部署了基於硬體和軟體的工具,以提供來自防火牆,入侵檢測系統,路由器和交換機等設備的實時警報。
事件日誌。 需要配置重要的Edgio資產以生成事件日誌。 根據數據保留和法規要求保留事件日誌。
最小特權原則。 Edgio通常會使用最小權限原則來管理其每個系統的訪問權限。 對生產網路,系統或應用程式功能的特權訪問通常受到控制和限制,只允許操作可行的少數人員訪問,並根據“需要知道”或“逐個事件”授權。
遠程訪問的多因素身份驗證。 Edgio的策略要求使用多重身份驗證來保護對Edgio網路和Edgio資產的遠程訪問。
身份驗證。 Edgio的訪問控制策略要求授權用戶訪問憑證唯一標識個人,系統或服務,並受到保護。 這些授權使用者存取認證所授予的存取權限必須定期進行審查,以確認是否仍然需要。
取消置備。 不再需要訪問權限(例如工作角色變更)或終止時,需要取消配置或刪除訪問權限。
物理安全
物理控制。 Edgio利用控件限制授權人員實際訪問容納Edgio系統的設施。
物理訪問管理。 視設施類型而定,電子讀卡器,鑰匙,保全員人員或當地公司人員可能允許進入。
監視。 閉路電視攝影機部署在重要地點,以保護人員,操作和財產。
訪客管理。 Edgio政策要求訪客始終擁有並展示Edgio頒發的訪客徽章。 Edgio要求訪客在收到訪客徽章之前先登入訪客日誌。 Edgio員工在Edgio場所時,必須始終佩戴公司頒發的身分證。
數據中心安全性。 Edgio要求對每個機房,數據中心和類似設施進行物理安全控制。
員工和承包商資訊安全培訓
年度資訊安全意識培訓。 Edgio要求Edgio的員工和承包商每年都要完成有關資訊安全和網路安全的培訓,以告知他們在資訊安全方面所扮演的角色。
滲透測試
Edgio的滲透測試的內部使用。 Edgio根據風險對Edgio的內部和外部環境執行滲透測試。
滲透測試限制 出於對Edgio及其客戶的安全考慮,Edgio不允許客戶測試Edgio擁有,執行或位於Edgio數據中心的網路設備的安全狀態。 此外,Edgio不允許拒絕服務,泛洪或任何涉及大量網路帶寬消耗的類似測試活動。
防火牆和網路分段
防火牆和安全工具。 Edgio在整個Edgio網路中利用基於硬體和軟體的工具(如防火牆)提供來自入侵檢測系統,路由器和交換機等設備的實時警報。
網絡和系統體系結構。 Edgio使用系統,軟體和網路架構實踐來降低網路風險。
Back-UPS (不適用於客戶內容)
備份策略。 Edgio在適當的情況下正式維護數據備份策略和程序。 在完成數據映射,保留或刪除活動時,數據備份將受到管理和考慮。
關鍵文件備份和測試。 管理員需要定期備份重要文件,並採取適當的預防措施來保護信息免受威脅,丟失或損壞。 此外,管理員還需要定期測試備份/災難恢復還原過程。
數據保留和數據銷毀(不適用於客戶內容)
數據保留策略。 Edgio策略要求在數據的整個生命週期(從創建,傳輸,存儲,修改,保留和銷毀)中以系統和結構化的方式管理和保護數據。
系統特定。 Edgio通過使用系統特定的數據保留摘要來管理數據保留。 數據保留摘要記錄系統包含的數據類型,每種數據類型的收集和使用目的,銷毀的觸發事件以及數據應保存的時間段。 這些數據保留摘要需要符合Edgio公司範圍內的數據保留計劃以及任何適用的法律,法規和客戶要求。
數據銷毀。 Edgio的數據銷毀實踐與NIST 800-88一致,涵蓋磁,固態,光學介質和機密紙質文檔中包含的數據。
事件響應/數據洩露
程序
事件響應計劃。 Edgio維護著一份書面的,可操作的事件響應計劃,使Edgio能夠及時應對數據洩露。
響應計劃測試。 Edgio的事件響應計劃通過桌面練習進行測試,以協調和驗證記錄的程序。
事件響應和緩解
安全事件複查。 安全事件數據將定期審核和分析。 當超過預先確定的事件閾值時,安全事件需要立即上報,並根據定義的事件管理流程對其作出響應。
人力資源
HR系統;取消配置。 Edgio的資訊安全協議和程序必須嵌入到所有Edgio人力資源系統和流程中。 Edgio的人力資源部門(“HR”)和IT部門已針對帳戶創建,角色權限和取消訪問權限等方面制定了自動化的,可審計的例程,這些例程涵蓋了新員工的請求,角色變更或員工的終止。
背景檢查。 根據適用法律,人力資源部在聘用Edgio員工時完成全面的僱傭前背景調查,包括犯罪記錄,SSN,工作授權和禁止方名單(例如外國資產控制辦公室)檢查。
Edgio行為準則。 Edgio行為準則要求Edgio員工遵守Edgio的資訊安全策略和程序。
漏洞管理計劃
漏洞風險緩解。 Edgio的漏洞管理計劃旨在實施和維護實踐和過程,以降低Edgio業務環境中的漏洞風險。
修補程序管理過程。 為了保持網路和託管系統的高水平功能和安全性,Edgio為安裝在Edgio網路上的生產硬體和軟體制定了完善的補丁管理流程。 最初評估供應商安全修補程序以確定風險和部署優先級。 一旦修補程序通過了正確的測試過程,就會發布該修補程序,以便計劃部署到生產環境中。
重大系統更改。 Edgio計劃,監控,控制和跟蹤Edgio資產的重大變更。
漏洞掃描。 Edgio定期執行內部和外部漏洞掃描。 系統所有者可以根據需要安排實時漏洞系統掃描,以適應不斷變化的威脅向量。
對客戶掃描的限制。 由於Edgio系統可能會中斷並給Edgio及其客戶帶來安全風險,因此Edgio不允許客戶(或其第三方)測試或掃描Edgio資產。
對報告共享的限制。 Edgio不提供漏洞報告,也不回答有關使用和/或不使用Edgio基礎結構中部署的特定硬體,軟體或第三方產品的特定常見漏洞和披露(“CVE”)問題。
業務連續性和事件管理(“BCEM”)
業務連續性協議。 Edgio維護業務連續性和災難恢復協議,旨在增強Edgio對可能中斷Edgio網路和設施或以其他方式損害Edgio提供服務能力的重大事件的響應能力。
災害風險評估。 Edgio的業務連續性和災難恢復實踐可識別Edgio資產的潛在恢復風險,並採用業界公認的實踐來幫助最小化和降低這些風險。
專用團隊資源。 Edgio開發並實施旨在通過嚴格的標準化規劃和定期測試將恢復風險降至最低並驗證Edgio的響應能力的策略。
附件2:用於從歐盟轉讓的標準合同條款
(控制器到處理器)
歐盟委員會2021年6月4日第2021/914號執行決定(歐盟),該決定涉及根據歐洲議會和歐盟理事會第2016/679號條例(控制者對處理者的轉讓)向第三國傳輸個人數據的標準合同條款。
“客戶”(以下簡稱“數據導出器”)與Edgio, Inc.(以下簡稱“數據導入器”)之間的“當事方”;統稱為“當事方”,
考慮到本文所載的相互契約和承諾
已同意以下合同條款(以下簡稱“條款”),以便在數據出口者向數據進口者傳輸附件1中指定的個人數據時,在保護個人隱私以及基本權利和自由方面提供充分的保障措施。
第一節
條例草案第1條
目的和範圍
(a)這些標準合同條款的目的是確保遵守歐洲議會和理事會2016年4月27日關於在處理個人數據方面保護自然人以及關於將數據傳輸到第三國的此類數據自由移動(一般數據保護條例)的第2016/679號條例(EU)的要求。
(b)締約方:
(i)‘附件一.A所列個人數據的自然人或法人,公共當局,機構或其他機構(以下簡稱‘d實體’)(以下簡稱“數據出口商”),以及
‘d第三國的實體,直接或間接通過附件一.A所列本條款締約方的另一實體從數據出口者處接收個人數據(以下稱”數據進口者”)
已同意這些標準合同條款(以下簡稱:‘條款’)。
(c)本條款適用於附件I.B所指明的個人資料的轉移
(d)本條款的附錄中載有本條款所提述的附件,構成本條款不可分割的一部分。
條例草案第2條
條款的效力和不變性
(a)這些條款根據第2016/679 2016 (1)條和第46 679 (2)(c)條規定了適當的保障措施,包括可執行的數據主體權利和有效的法律補救措施,以及關於從控制者到處理者和/或處理者到處理者的數據傳輸,根據第(EU) 46號條例第28 (7)條規定的標準合同條款,前提是這些條款未經修改,只要在模塊中添加或更新資訊。 這並不妨礙各方將本條款中規定的標準合同條款納入更廣泛的合同中和/或添加其他條款或附加保障,前提是這些條款不直接或間接與本條款相矛盾,也不損害數據主體的基本權利或自由。
(b)本條款不妨礙數據出口者根據第(EU) 2016 / 679號條例所承擔的義務。
條例草案第3條
第三方受益人
(a)數據主體可作為第三方受益人,針對數據出口者和/或數據進口者援引和執行本條款,但以下例外情況除外:
(i)第1條第2條第3條第6條第7條;
(ii)第8條—模塊2:第8.1 (b),8.9 (a),(c),(d)及(e)條;
(iii)第9條–模塊2:第9 (a)條, (c), (d)和 (e);
(iv)第12條–模塊2:第12 (a),(d)和(f)條;
(v)第13條;
(VI)第15.1 (c),(d)及(e)條;
(vii)第16 (e)條;
(viii)第18條—第18單元:第2(a)及(b)條。
(b)段 (A)不損害數據主體根據第(EU) 2016/679號條例所享有的權利。
條例草案第4條
口譯
(a)如果本條款使用第(EU) 2016 679號條例中定義的術語,則這些術語的含義應與該條例中的含義相同。
(b)本條款應參照(歐盟)第2016/679號條例的條文來理解及解釋。
(c)本條款的解釋不得與(歐盟)第2016/679號條例規定的權利和義務相衝突。
條例草案第5條
層次結構
如果本條款與雙方之間的相關協議(在本條款達成協議或簽訂之後存在)的條款發生衝突,則以本條款為準。
條例草案第6條
轉賬說明
轉讓的詳情,特別是轉讓的個人資料類別及其轉移目的,載於附件一.B
條例草案第7條
Docking子句
故意清空。
第二節-各方的義務
條例草案第8條
數據保護保障
數據出口商保證已採取合理的努力來確定數據進口商能夠通過實施適當的技術和組織措施來履行其在本條款下的義務。
8.1說明
(a)數據進口商只能根據數據出口商的書面指示處理個人數據。 數據出口商可在合同期限內發出此類指示。
(b)如果數據進口商無法遵守這些指示,則應立即通知數據出口商。
8.2目的限制
除非數據出口者另有指示,否則數據進口者應僅出於特定傳輸目的處理個人數據,如附件一.B所述。
8.3透明度
根據請求,數據出口者應免費向數據主體提供這些條款的副本,包括締約方填寫的附錄。 為了保護商業祕密或其他機密資訊(包括附件II中所述的措施和個人數據),數據出口者可在共享副本之前編輯本條款附錄的部分文本,但應在數據主體無法理解其內容或行使其權利的情況下提供有意義的摘要。 雙方應根據請求,盡可能向數據主體提供編輯原因,但不透露編輯過的資訊。 本條款不妨礙數據出口者根據第679 (EU) 2016號條例第13條和第14條承擔的義務。
8.4精確度
如果數據進口商發現其收到的個人數據不准確或已過時,應及時通知數據出口商。 在這種情況下,數據進口商應與數據出口商合作清除或糾正數據。
8.5處理和擦除或返回數據的持續時間
數據進口商的處理應僅在附件一.B中規定的期限內進行。在處理服務結束後,數據進口商應根據數據出口商的選擇刪除代表數據出口商處理的所有個人數據,並向數據出口商證明已完成處理,或將代表數據出口商處理的所有個人數據返還給數據出口商並刪除現有副本。 在數據被刪除或返回之前,數據進口商應繼續確保遵守本條款。 如果適用於數據進口商的當地法律禁止返還或刪除個人數據,則數據進口商保證將繼續確保遵守本條款,並僅在當地法律要求的範圍內和時間內處理這些數據。 這並不影響第14條,尤其是第14 (e)條規定的數據進口商如有理由相信數據出口者受到或已經受到不符合第14 (a)條規定的法律或慣例的約束,則在合同有效期內通知數據出口者。
8.6處理的安全性
(a)數據進口者以及在傳輸過程中數據出口者應實施適當的技術和組織措施,以確保數據的安全,包括防止安全漏洞導致意外或非法破壞,丟失,篡改,未經授權的披露或訪問該數據(以下簡稱‘個人數據洩露’)。 在評估適當的安全級別時,雙方應適當考慮數據主體的最新水平,實施成本,處理的性質,範圍,背景和目的以及處理過程中所涉及的風險。 各方應特別考慮採用加密或假名處理方法,包括在傳輸過程中,如果以這種方式實現處理目的。 在假名化的情況下,用於將個人數據歸屬特定數據主體的附加資訊應在可能的情況下繼續由數據出口者獨家控制。 在履行本款規定的義務時,數據進口者應至少實施附件二中規定的技術和組織措施 數據進口商應定期進行檢查,以確保這些措施繼續提供適當的安全級別。
(b)數據進口商只能在執行,管理和監測合同所絕對必要的範圍內,才允許其工作人員查閱個人數據。 它應確保被授權處理個人數據的人員已承諾保密或承擔適當的法定保密義務。
(c)如果數據進口商根據本條款處理的個人數據發生違反個人數據的情況,數據進口商應採取適當措施解決違反行為,包括減輕其不利影響的措施。 數據進口商還應在發現違規行為後立即通知數據出口商。 此類通知應包括可獲得更多資訊的聯絡點的詳細資訊,對違約行為性質的說明(可能時包括相關數據主體和個人數據記錄的類別和大致數目),其可能的後果以及為解決違約行為而採取或擬議採取的措施,包括酌情減輕違約行為可能的不利影響的措施。 如果無法同時提供所有資料,則初次通知應載有當時可獲得的資料,並應在獲得進一步資料時,在不被無故拖延的情況下提供進一步資料。
(d)數據進口商應與數據出口者合作並協助數據出口者,使數據出口者能夠遵守第(EU) 2016 679號條例規定的義務,特別是通知主管監管機構和受影響的數據主體,同時考慮到數據進口者的處理性質和可用資訊。
8.7敏感數據
‘s涉及個人數據透露種族或族裔出身,政治觀點,宗教或哲學信仰,工會成員身份,遺傳數據或生物特徵數據(用於唯一識別自然人),有關健康或某人性生活或性取向的數據,或與刑事定罪和犯罪有關的數據(以下簡稱”敏感數據”),數據進口者應應用附件I.B中描述的具體限制和/或附加保障
8.8轉乘
數據進口商僅應根據數據出口商的書面指示向第三方披露個人數據。 ‘,只有在第三方根據相應模塊受本條款約束或同意受本條款約束的情況下,或在以下情況下,才能將數據披露給位於歐盟以外的第三方(與數據進口商位於同一國家或另一個第三國,以下簡稱“轉發傳輸”):
(一)繼續轉讓是根據第2016/679號條例(歐盟)第45條規定的關於繼續轉讓的充分性決定受益的國家;
㈡第三方以其他方式確保根據2016/679年(歐盟)條例第46條或第47條對有關加工採取適當的保障措施;
(iii)繼續移交是在特定行政,規管或司法程序中確立,行使或辯護法律要求所必需的;或
(iv)為了保護數據主體或其他自然人的重大利益,必須繼續傳輸。
任何後續傳輸都必須遵守本條款規定的所有其他保障措施,特別是目的限制。
8.9文檔和合規性
(a)數據進口商應迅速,充分地處理數據出口商提出的與本條款下的處理相關的查詢。
(b)各締約方應能夠證明遵守了本條款。 尤其是,數據進口者應保留代表數據出口者進行的處理活動的適當文件。
(c)數據進口商應在合理間隔內或在有不遵守跡象的情況下,向數據出口商提供所有必要資訊,以證明遵守本條款規定的義務,並應數據出口商的請求,允許和協助對本條款所涵蓋的處理活動進行審計。 在決定審查或審計時,數據出口者可考慮數據進口者持有的相關證書。
(d)數據出口商可選擇自行進行審計或委託獨立審計員進行審計。 審計可包括對數據進口商的場所或物理設施進行檢查,並應在適當情況下在合理通知的情況下進行。
(e)締約各方應提供上文第37段所述的資料 (b)和 (c),包括任何審計結果,應要求提供給主管監管機構。
條例草案第9條
子處理器的使用
(a)數據進口者獲得數據出口者的一般授權,可從商定的名單中聘用分處理者。 數據進口者應至少提前三十(30)天以書面形式具體通知數據出口者,通過添加或替換子處理者對該清單的任何預期更改,從而使數據出口者有足夠的時間能夠在子處理者參與之前反對此類更改。 數據進口商應向數據出口商提供必要的資訊,使數據出口商能夠行使反對權。
(b)如果數據進口商委託子處理商(代表數據出口商)執行特定的處理活動,則應通過書面合同來執行此操作,該合同實質上規定了與本條款約束數據進口商的數據保護義務相同的義務,包括數據主體的第三方受益人權利。 雙方同意,通過遵守本條款,數據進口商將履行第8.8條規定的義務。 數據進口商應確保子處理商遵守本條款規定的數據進口商應承擔的義務。
(c)數據進口者應根據數據出口者的請求,向數據出口者提供此類次處理者協議的副本及隨後的任何修正。 為了保護商業祕密或其他機密資訊(包括個人數據),數據進口商可在共享副本之前編輯協議文本。
(d)數據進口者應繼續對數據出口者負有全部責任,以履行子處理者與數據進口者之間的合同規定的義務。 如果次處理者未能履行合同規定的義務,數據進口者應通知數據出口者。
(e)數據進口商應與子處理商商定第三方受益人條款,在數據進口商事實上消失,法律不復存在或破產的情況下,數據出口商應有權終止子處理商合同並指示子處理商擦除或返還個人數據。
條例草案第10條
數據主體權限
(a) 數據進口商應立即將其收到的數據主體的任何請求通知數據出口商。 除非數據出口者已授權,否則不應對該請求作出答復。
(b)數據進口商應協助數據出口商履行其義務,響應數據主體根據(EU) 2016 679號條例行使其權利的請求。 在這方面,締約方應在附件二中列出適當的技術和組織措施,同時考慮到提供援助的處理性質以及所需援助的範圍和程度。
(c)履行第43段規定的義務 (a)和 (b),數據進口商應遵守數據出口商的指示。
條例草案第11條
補救
(a)數據進口者應通過個人通知或在其網站上,以透明和易於查閱的格式向數據主體通報有權處理投訴的聯絡點。 它應迅速處理從數據主體收到的任何投訴。
(b)如果數據主體與其中一方就本條款的遵守情況發生爭議,該方應盡最大努力及時友好地解決該問題。 雙方應相互通報此類爭端,並在適當情況下合作解決爭端。
(C)如果數據主體根據第3條援引第三方受益人權利,數據進口商應接受數據的決定,但須符合以下條件:
(i)根據第13條向其慣常居住地或工作地點所在成員國的監管機構或主管監管機構提出投訴;
(ii)將爭議提交第18條所指的主管法院。
(d)締約方同意數據主體可由非營利性機構,組織或協會代表2016,但須遵守(歐盟)第679號條例第80 (1)條規定的條件。
(e)數據進口商應遵守根據適用的歐盟或成員國法律具有約束力的決定。
(f)數據進口商同意數據主體所做的選擇不會損害其根據適用法律尋求補救的實質性和程序性權利。
條例草案第12條
責任
(a)每一方均須就其因違反本條款而對另一方造成的損害向另一方負責。
(b)數據進口商應對數據主體負責,數據主體有權就數據進口商或其子處理商因違反本條款規定的第三方受益人權利而導致數據主體的任何重大或非重大損害獲得賠償。
(c)儘管有本款的規定 (b),數據出口者應對數據主體負責,數據主體有權獲得賠償,因為數據出口者或數據進口者(或其子處理者)違反本條款規定的第三方受益人權利而導致數據主體遭受任何重大或非重大損害。 這不影響數據出口者的責任,如果數據出口者是代表控制者行事的處理者,則不影響控制者根據第(EU) 2016/679號條例或第(EU) 2018 1725號條例(如適用)承擔的責任。
(d)雙方同意,如果數據出口者根據第款承擔責任 (c)對於數據進口商(或其子處理商)造成的損害,它有權向數據進口商索回與數據進口商對損害的責任相對應的部分賠償。
(e)如果因違反本條款而對數據主體造成的任何損害負有多個責任方,則所有責任方均應承擔連帶責任,數據主體有權向法院起訴任何這些責任方。
(f)雙方同意,如果一方根據第款負有責任 (e)該締約方有權要求另一締約方賠償與其對損害的責任相對應的部分賠償。
(g)數據進口者不得援引子處理者的行為來逃避自己的責任。
條例草案第13條
監督
負責確保數據出口商遵守附件一.C中有關數據傳輸的第2016/679號條例(EU)的監管機構應作為主管監管機構行事。
(b)數據進口商同意在旨在確保遵守本條款的任何程序中,將自己置於主管監管機構的管轄範圍內並與主管監管機構合作。 尤其是,數據進口商同意回復查詢,接受審計並遵守監管機構採取的措施,包括補救和補償措施。 它應向監管機構提供已採取必要行動的書面確認。
第III節–公共機關可利用的地方法律和義務
條例草案第14條
影響遵守條款的當地法律和慣例
(a)雙方保證他們沒有理由相信第三國適用於數據進口商處理個人數據的法律和慣例,包括任何披露個人數據的要求或授權公共當局訪問的措施,會妨礙數據進口商履行本條款規定的義務。 這是基於這樣一項理解,即尊重基本權利和自由的實質,不超過民主社會為維護(歐盟) 2016第679號條例第23條第1款所列目標之一所必需和相稱的法律和做法,與這些條款並不相抵觸。
(b)雙方聲明,在提供第段所述的擔保時 (a)它們特別適當考慮到下列因素:
㈠轉讓的具體情況,包括處理鍊的長度,所涉行為者的數目和所使用的傳輸通路;打算繼續轉讓;接收者的類型;處理目的;所轉讓個人數據的類別和格式;進行轉讓的經濟部門;所轉讓數據的儲存地點;
㈡目的地第三國的法律和慣例–包括要求向公共當局披露數據或授權公共當局訪問的法律和慣例–與轉讓的具體情況有關,以及適用的限制和保障措施;
(iii)為補充本條款下的保障而實施的任何相關合同,技術或組織保障措施,包括在目的地國傳輸期間和處理個人數據時所適用的措施。
(c)數據進口者保證,在根據第段進行評估時 (B),它已盡最大努力向數據出口者提供相關資訊,並同意繼續與數據出口者合作,以確保遵守這些條款。
(d)各方同意根據(b)段記錄評估,並應要求將其提供給主管監管機構。
(e)數據進口商同意,如果在同意本條款後和合同期限內,有理由相信其受到或已經受到不符合(a)段要求的法律或慣例的約束,包括在第三國法律發生變化或出現表明該等法律在實踐中的應用不符合(a)段要求的措施(例如披露要求),則立即通知數據出口商。
(f)根據(e)段發出通知後,或者如果數據出口者有理由相信數據進口者無法再履行本條款規定的義務,則數據出口者應立即確定數據出口者應採取的適當措施(例如技術或組織措施,以確保全員全和保密),以便數據出口者和/或數據進口者根據本條款規定終止數據傳輸,且僅當該合同規定,當該方有權終止時,數據出口者才有權與第16條規定的相關監管當局有權終止數據傳輸。
條例草案第15條
數據進口者在公共當局訪問時的義務
15.1通知
(a)數據進口商同意在下列情況下迅速通知數據出口者,並在可能的情況下及時通知數據主體(必要時在數據出口者的幫助下):
(i)接收公共當局(包括司法當局)根據目的地國法律提出的披露根據本條款轉讓的個人數據的具有法律約束力的請求;此類通知應包括有關所請求的個人數據,請求當局,請求的法律依據和所提供的答復的資訊;或
(ii)了解到公共當局根據目的地國法律直接訪問根據本條款傳輸的個人數據;此類通知應包括進口商可獲得的所有資訊。
(b)如果數據進口商根據目的地國的法律被禁止通知數據出口者和/或數據主體,則數據進口商同意盡最大努力獲得豁免,以儘快傳達盡可能多的資訊。 數據進口商同意記錄其所作的最大努力,以便能夠根據數據出口商的請求證明這些努力。
(c)在目的地國法律允許的情況下,數據進口商同意在合同期限內定期向數據出口商提供盡可能多的有關所收到請求的相關資訊(特別是請求的數量,所請求的數據類型,請求當局,請求是否受到質疑以及此類質疑的結果等)。
(d)數據進口商同意根據(a)至(c)段在合同期限內保留資訊,並應要求提供給主管監管機構。
(e)(a)至(c)段不影響數據進口商根據第14 (e)條和第16條在其無法遵守本條款時及時通知數據出口商的義務。
15.2審查合法性和數據最少化
(a)數據進口商同意審查披露請求的合法性,特別是其是否仍在授予提出請求的公共當局的權力範圍內,並在經過仔細評估後得出結論認為,根據目的地國的法律,國際法規定的適用義務和國際禮讓原則,有合理理由認為該請求是非法的時,對該請求提出質疑。 數據進口者應在相同條件下尋求上訴的可能性。 在對請求提出異議時,數據進口者應尋求臨時措施,以期在主管司法當局就請求的是非曲直作出決定之前暫停請求的效力。 除非適用的程序規則要求披露個人資料,否則不得披露要求披露的個人資料。 這些要求不影響數據進口商根據第14 (e)條承擔的義務。
(b)數據進口商同意記錄其法律評估和對披露請求的任何質疑,並在目的地國法律允許的範圍內,將文件提供給數據出口商。 它還應根據請求向主管監管機構提供。
(c)數據進口商同意根據對披露請求的合理解釋,在答復披露請求時提供允許的最低限度資訊。
第IV節-最後條款
條例草案第16條
不遵守條款和終止
(a)如果數據進口商出於任何原因無法遵守本條款,則應立即通知數據出口商。
(b)如果數據進口商違反本條款或無法遵守本條款,數據出口商應暫停向數據進口商傳輸個人數據,直至再次確保合規或合同終止。 此舉並不影響第14 (f)條。
(c)數據出口商有權終止合同,只要合同涉及本條款規定的個人數據處理,且:
(i)數據出口者已根據(b)段暫停向數據進口者傳輸個人數據,並且在合理時間內以及無論如何在暫停後一個月內未恢復對本條款的遵守;
(ii)資料輸入者嚴重或持續違反本條款;或
(iii)數據進口商未遵守主管法院或監管機構就其在本條款下的義務所做的具有約束力的決定。
在這些情況下,應將此類不遵守情況通知主管監管機構。 如果合同涉及兩個以上的當事方,數據出口者只能對相關當事方行使終止權,除非雙方另有約定。
(d)在合同終止前根據第款轉讓的個人數據 (c)應根據數據出口者的選擇,立即將其返還給數據出口者,或將其全部刪除。 這同樣適用於數據的任何副本。 數據進口者應向數據出口者證明刪除了數據。 在數據被刪除或返回之前,數據進口商應繼續確保遵守本條款。 如果適用於數據進口商的當地法律禁止返還或刪除已傳輸的個人數據,則數據進口商保證將繼續確保遵守這些條款,並僅在當地法律要求的範圍內處理數據。
(e)任何一方均可在任何情況下撤銷其受本條款約束的協議 (i)歐盟委員會根據第2016/679號條例(EU)第45 (3)條通過一項決定,該決定涉及本條款適用的個人數據的傳輸;或 (ii)第2016/679號條例(EU)成為個人數據傳輸目的地國家/地區法律框架的一部分。 這不影響根據第2016/679號條例(歐盟)適用於有關處理的其他義務。
條例草案第17條
適用法律
這些條款應受歐盟成員國之一的法律管轄,前提是該法律允許第三方受益人權利。 雙方同意這是愛爾蘭的法律。
條例草案第18條
法院和管轄權的選擇
(a)由本條款引起的任何爭議應由歐盟成員國的法院解決。
(b)雙方同意,愛爾蘭法院應為這些法院。
(c)數據主體還可向其慣常居住地所在成員國的法院提起對數據出口者和/或數據進口者的法律訴訟。
(d)雙方同意接受此類法院的管轄。
條例草案第19條
轉讓須遵守瑞士數據保護法
(a)在瑞士的數據保護和隱私法律和法規(“瑞士數據保護法”)適用於個人數據的傳輸,數據出口者和數據進口者同意對這些條款進行修正,以便(僅)就此類傳輸(且不限制或影響本條款的應用):
一 在這些條款中,一般和具體提及條例(EU) 2016/679或”該條例”或歐盟或成員國法律,與瑞士數據保護法中的同等提及具有相同含義;
二 “會員國”一詞的解釋不會使瑞士境內的數據主體無法根據本條款第18 (c)條在其慣常居住地(瑞士)起訴其權利;
三 轉讓的詳細資訊是附件一中規定的,其中瑞士數據保護法適用於數據出口商進行轉讓時的處理;
四. 這些條款也適用於與已識別或可識別的法律實體相關的資訊的傳輸,在這些法律被修正為不再適用於法律實體之前,此類資訊受到類似瑞士數據保護法所規定的”個人數據”的保護;以及
V.瑞士聯邦數據保護和資訊專員是本條款第13條所述的主管監管機構。
附件2附件一
a.締約方名單
數據出口商:[數據出口商的身份和聯繫方式,以及數據保護官員和/或歐洲聯盟代表的身份和聯繫方式(如適用)]
請參閱附件1 A部分
B.轉讓說明
請參閱附件1 B部分
c.主管監督機構
請參閱附件1 B部分
附件2附件二
請參閱附件1第C部分
附件2附件三
子處理器列表
不適用。
附件3
歐盟標準合同條款的聯合王國增編
本附錄日期:
1.本增編自條款的同一日期起生效。
背景:
2資訊專員認為,本附錄提供了適當的保障措施,以便根據英國GDPR第46條將個人數據傳輸至第三國或國際組織,以及從控制者向處理者和/或處理者向處理者傳輸數據。
本增編的解釋
3.如果本增編使用附件中界定的術語,這些術語的含義與附件2.22中的含義相同。 此外,以下術語具有以下含義:
本增編
本條款增編
附件
英國數據保護法
所有與數據保護,個人數據處理,隱私和/或電子通信相關的法律在英國不時生效,包括英國GDPR和2018年數據保護法。
英國GDPR
聯合王國《一般數據保護條例》,因為根據2018年《歐洲聯盟(退出)法》第3條,它構成英格蘭和威爾士,蘇格蘭和北愛爾蘭法律的一部分。
英國
大不列顛及北愛爾蘭聯合王國
4本附錄應根據英國數據保護法的規定進行閱讀和解釋,以便IF履行其提供GDPR第46條所要求的適當保障的意圖。
5本附錄的解釋不得與英國數據保護法規定的權利和義務相衝突。
6凡提到立法(或立法的具體規定),均指立法(或具體規定)可能隨時間而改變。 這包括在本增編訂立後該立法(或具體規定)已被合併,重新頒布和/或取代的情況。
層次結構
7如果本附錄與本附錄的條款或雙方之間的其他相關協議(在本附錄達成或簽訂時已存在)之間存在衝突或不一致,則以對數據主體提供最大保護的條款為準。
條款的納入
8本增編包含以下條款:
答 對於數據出口者向數據進口者進行的傳輸,在英國數據保護法適用於數據出口者進行傳輸時的處理;以及
B. 根據英國GDPR法律第46條為轉讓提供適當的保障。
9上文第7節所要求的修正包括(但不限於):
答 對“條款”的提及是指本附錄,因其包含了條款
B. 第6條轉讓說明替換為:
“傳輸的詳細資訊,特別是傳輸的個人數據的類別以及傳輸的目的是在附件一.B中規定的,英國數據保護法適用於數據出口者進行傳輸時的處理。”
d “Regulation (EU) 679″”或“The Regulation”的引用被“UK Data Protection Laws”所取代,“Regulation (EU) 2016 2016 679″”的特定條款被英國數據保護法的相應條款或部分所取代。
e 刪除了對條例(EU) 2018/1725的引用。
F. “歐盟”,“歐盟”和“歐盟成員國”的提法全部替換為“聯合王國”
G 不使用附件II第13 (a)條和C部分;”主管監管機構”是資訊專員;
H 第17條現予取代,以述明“本條款受英格蘭及威爾斯法律規管”。
一 第18條取代為:
J “由本條款引起的任何爭議應由英格蘭和威爾士法院解決。數據主體還可向英國任何國家的法院提起針對數據出口者和/或數據進口者的法律訴訟。雙方同意接受此類法院的管轄。”
K 這些條款的腳注不構成增編的一部分。
對本增編的修正
10雙方可同意更改第17條和/或18條,以提及蘇格蘭或北愛爾蘭的法律和/或法院。
11雙方可修改本附錄,但前提是通過納入條款並根據上述第7節對條款進行修改,以維護《英國GDPR》第46條所要求的相關轉讓的適當保障措施。
執行本附錄
12各方可以任何方式簽署本附錄(包含本條款),使其對各方具有法律約束力,並允許數據主體執行本條款中規定的權利。 這包括(但不限於):
答 在本條款中加入本增編,並在上述附件1A中加入簽名:
“通過簽署,我們同意受歐盟委員會標準合同條款英國附錄的約束,日期為:”並添加日期(所有轉讓均在附錄下)
“通過簽署,我們也同意受歐盟委員會標準合同條款的英國附錄的約束”,並添加日期(在條款和附錄下均有轉讓)(或具有相同效力的文字)和條款的執行;或
B. 根據本增編修訂條款,並執行這些修訂條款。
附件3附件一
a.締約方名單
數據出口商:[數據出口商的身份和聯繫方式,以及數據保護官員和/或歐洲聯盟代表的身份和聯繫方式(如適用)]
請參閱附件1 A部分
B.轉讓說明
請參閱附件1 B部分
c.主管監督機構
請參閱附件1 B部分
附件3附件二
請參閱附件1第C部分
附件3附件三
子處理器列表
不適用。