BASELINKER 规则
BASELINKER 规则
个人数据处理协议
(“委托协议”)
缔结双方:
《规则》中的用户(“管理者”)和
BaseLinker 有限责任公司,公司住所为弗罗茨瓦夫的Plac Solny 15, 50-062 弗罗茨瓦夫,公司注册于弗罗茨瓦夫的弗罗茨瓦夫-法xx奇纳地方法院国际法院企业登记册,国家法院登记处第六商事庭,国家法院登记号 KRS 0000795513, 税号 NIP 8971868567, 公司统计号 REGON 383907714, 电子邮箱: xxxxxxx@xxxxxxxxxx.xxx(“处理者”)。
管理者和处理者在下文中统称为“缔约双方”,各自单独称为“缔约方”。
1. 委托协议标的
1.1. 委托协议的标的分别是,与履行缔约双方缔结的协议(“主协议”)有关,将管理者对个人数据的处理委托或分委托给处理者,并依据欧洲议会和理事会 2016 年 4 月 27 日关于在个人数据处理和此类数据自由流动方面保护自然人的法规 (EU) 2016/679 第 28(3) 条以及废除指令 95/46/EC(欧盟法律公报 L119 号,第 1 页)(“GDPR”)。
1.2. 管理者为了执行主协议的目的,在委托协议规定的范围内委托处理者处理个人数据,处理者承诺按照《规则》和《GDPR》处理个人数据。
1.3. 委托协议适用于管理者是委托个人数据的处理者的情况,在此情况下,处理者成为数据的进一步处理者。
1.4. 委托协议不适用于处理者作为独立管理者处理个人数据的情况。
2. 委托处理范围
2.1. 管理者委托处理者在以下范围内处理个人数据:
(a) 数据主体类别:管理者的员工、分包商、客户、供应商或承包商;
(b) 个人数据类别:在执行主协议和提供数据所需的范围内,特别是姓名、前缀 - 先生/女士、公司名称、税号 NIP、住所地址、电子邮件地址、送货地址、电话号码、订单详情。
2.2. 处理者有权对委托数据执行以下处理活动:记录、组织、结构化、存储、改编或修改、下载、查看、使用、通过发送进行披露、传播或以其他方式提供、匹配或组合、限制、删除或破坏。处理操作的 范围取决于,管理者通常在执行主协议期间发出的指示。
3. 仅根据管理者的书面指示进行处理
3.1. 处理者将仅根据委托协议的规定和管理者的书面指示处理个人数据。
3.2. 第 2 点以外的个人数据处理需要修改委托协议。
3.3. 如果处理者采取行为是为了履行欧盟法律或处理者所遵守的成员国法律对其施加的义务,并且该义务的履行与委托协议的规定不相符,则上述规定不适用。然后,在开始处理之前,处理者会向管理者通报相关法律义务,除非适用法律禁止提供此类信息。
4. 保密义务
4.1. 处理者授权仅接受过个人数据保护培训并参与履行主协议的员工处理委托给其的个人数据。
4.2. 处理者确保第 4.1 点中所述的人员:
(a) 根据需要知道的原则处理个人数据,以及
(b) 已承诺对个人数据保密或遵守适当的法定保密义务。
5. 处理的安全性
5.1. 处理者确保实施适当的技术和组织措施,以确保处理符合 GDPR,包括与侵犯数据主体权利和自由的风险相对应的处理安全级别、进行和更新风险分析的结果,以及实施风险管理计划。特别是,处理者有义务确保所委托的数据免遭意外或非法破坏、丢失、修改、未经授权的披露或访问、传输、存储或以任何其他方式处理,这尤其可能导致物理、物质或非物质的损害。
5.2. 处理者实施的安全措施见附录 A。
5.3. 处理者确保委托的个人数据,受到处理者组织内基于 ISO/IEC 27001 标准实施的信息安全管理体系的保护。
5.4. 处理者不得将个人数据用于委托协议规定的目的以外的目的,特别是,未经明确许可,处理者不得将个人数据传输给第三方,也不得创建个人数据的副本和拷贝件,前提是上述规定不包括创建备份副本以确保正确的处理个人数据。
6. 进一步的委托处理
6.1. 处理者可以使用其他处理者的服务来履行主协议。附录 B 中提供了处理者委托处理个人数据的其他处理者的列表。
6.2. 处理者应就更新附录 B 更换更多处理者或有关任何添加内容的预期更改,通知管理者。管理者有机会在收到通知后 5 天内,通过立即终止主协议来反对此类更改。管理者继续履行主协议则意味着,管理者对附录B 的更新没有任何的异议。
6.3. 只有在协议的基础上,才允许使用进一步处理者服务,且协议对该标的施加了与委托协议项下适用于原始处理者相同的数据保护义务。
6.4. 如果该进一步处理者未能履行其数据保护义务,则原始处理者对管理者负有履行该进一步处理者义务的全部责任。
6.5. 管理者授权处理者授予与其他处理者相关的 GDPR 第 29 条规定的授权、发出说明和指令。
7. 个人数据的传输
7.1. 在处理者的 ICT 基础设施的正常运行和处理者组织中流程的高效运行(包括存储参与执行主协议的人员之间的文件或通信)所必需的范围内,处理者可以将委托的个人数据转移或授权转移至欧洲经济区之外。
7.2. 个人数据向第三国的转移将根据 GDPR 第 45(3) 条所述的决定进行,如果没有此类决定,则处理者将通过 GDPR 第 46 条规定的解决方案提供适当级别的保护,特别是通过欧盟委员会采用的标准协议条款。
8. 响应数据主体的请求
8.1. 处理者采用,使管理者能够履行响应数据主体请求义务的组织和技术措施。
8.2. 如果个人数据主体针对管理者行使访问、更正、补充、删除或限制个人数据处理的权利,则处理者有义务按照管理者的指示行使个人数据主体的权利。
8.3. 如果处理者收到有关行使委托数据相关人员权利的请求,则处理者将在收到请求后 7 天内将此情况通知管理者。当发送有关请求的信息时,处理者提供发送者的数据和请求的内容。
9. 个人数据删除或返还
处理者将在最近有效的主协议到期或终止后或者收到管理者请求后不迟于 30 天删除依据委托协议处理的所有个人数据,并将删除其所有现有副本,除非欧盟法律或成员国法律要求处理者存储个人数据,或者个人数据存储在处理者在正常业务过程中创建的 IT 基础设施的备份副本中。
10. 报告
10.1. 应管理者的要求,处理者提供实施或证明遵守 GDPR 第 28 条和第 32-36 条规定义务所需的信息。
10.2. 处理者将立即通知管理者这一事实,但不得晚于检测到个人数据保护违规行为后的 36 小时。如果处理者无法向管理者提供有关已识别违规行为的全面信息,则将陆续提供,但不得无故拖延。
11. 检查
11.1. 为了核查委托协议所规定义务的遵守情况,管理者有权对处理者处理管理者所委托数据的范围进行检查。管理者可以亲自或由授权人员进行检查,但检查频率不得超过每 12 个月一次,但可以在发生事故时进行检查。
11.2. 检查将在缔约双方同意的日期进行,但不得早于处理者通知进行检查意向后的 5 个工作日。通知应具体说明检查的范围、参与实施的人员以及建议日期。收到计划检查通知后,处理者有权向管理者通知新的建议检查日期,但该日期不迟于管理者所建议日期后的 10 个工作日。
11.3. 向管理者或其授权人员提供的、或由管理者或其授权人员制定的、与检查有关的所有信息和文件,包括检查结果,均属于机密并构成处理者的商业秘密(“保密信息”)。管理者有义务对保密信息 保密,并保证其授权人员对保密信息保密,特别是管理者和授权人员:
(a) 未经处理者以文件形式事先明确许可,不得向第三方披露保密信息,否则视为违规;
(b) 不得将保密信息用于进行检查以外的目的,特别是商业目的。
11.4. 管理者有义务向处理者提供授权进行检查人员的书面承诺,以在上述规定的范围内对保密信息进行保密。如果不满足前一句中所规定的条件,处理者有权拒绝提供答案,并拒绝访问授权代表管理者进行检查的人员。
11.5. 检查可在工作日进行。检查只能在检查相关文件并获得有关其规定执行情况的必要解释的范围内进行,并且仅在不需要访问处理者提供服务所使用的电子和 IT 系统和设备的情况下,因为这些资源还可能处理缔约双方间委托关系未涵盖的其他个人数据。检查将以不干扰处理者在进行的活动的方式进行,否则处理者有权暂停检查,同时向管理者提出建议恢复检查的日期。
11.6. 如果检查过于繁琐或超出意向检查通知书中规定的范围,处理者可以暂停检查,并在支付额外费用的情况下继续进行检查,并同时考虑到提供信息、提供文件、沟通或采取与检查有关的其他要求或必要行动的管理成本。
11.7. 处理者有权拒绝向管理者提供受法律保护的秘密的信息,包括处理者或第三方的商业秘密,以及 构成委托协议未涵盖的个人数据信息,如果此信息可以被其他信息所替换(包括处理者的声明),
如果不可能,则只有在双方和管理者授权进行检查的所有人员达成一致协议后(有义务正确保护这些信息的适当协议),该信息将仅在处理者指定的地点并在处理者指定的人员的监督下提供给管理者。
12. 处理者责任
12.1. 处理者应对因不履行或不当履行委托协议而导致的任何违规行为向管理者承担责任。
12.2. 对于监管机构因管理者违反个人数据保护而对管理者实施的行政罚款或其他行政制裁而造成的任何损害,处理者不承担任何的责任。
13. 最后条款
13.1. 本委托协议在主协议有效期内缔结。
13.2. 以大写字母书写且未另行定义的术语具有《规则》中所赋予的含义。
13.3. GDPR 中定义的术语“个人数据”、“处理”、“限制处理”、“个人数据保护违规”或其他术语具有 GDPR 中赋予的含义,并适用于管理者。
13.4. 《委托协议》中未规定的事项,适用《规则》的规定以及《民法典》和《通用数据保护条例》的规定。
13.5. 有权审理委托协议引起的争议的法院,是处理者住所所在地的管辖法院。
13.6. 出于和委托协议相关的目的,处理者的联系方式为电子邮件:xxxxxxx@xxxxxxxxxx.xxx。
附录A
处理者的安全措施
GDPR 实施情况
GDPR 实施项目已落实,处理者拥有并维护 GDPR 所要求的文件,包括所有类别处理活动的登记册。
对个人数据保护系统进行持续的维护并定期审查。对个人数据保护体系每年进行一次独立的审核,必要时也会进行临时审核。
安全级别对应已识别的风险,且安全级别在不断的提高。处理者确保委托数据的安全级别足以应对侵犯自然人权利和自由的风险,特别是保护委托个人数据免遭意外破坏、丢失、修改和未经授权的披露。
对于为处理委托个人数据的资源,则具有最新的风险分析结果。且在实施风险管理计划,以维持并不断提高个人数据安全水平。如果发现可能导致重大风险的漏洞,则会将其视为风险处理计划的一部分,并分配适当的优先级。
处理者已应用涵盖 GDPR 合规性各个方面的数据保护文件。并定期咨询,解释机构的政策和程序,并在必要时与数据保护官团队合作以进行更新。
由于全面实施了 ISO/IEC 27001 标准,组织还拥有全面的信息安全管理体系文档,其中还包括个人数据保护体系。
个人数据保护政策和程序
处理者已根据 GDPR 第 24(2) 条和波兰监管机构的要求制定和采用了个人数据保护政策和程序。个人数据保护政策和程序,已被传达给处理者的员工们。
处理者已制定并实施了用于管理 ICT 资源的安全策略或指令。处理者已制定了立即向管理者报告信息安全漏洞的程序。
根据 GDPR 第 29 条,对个人数据进行操作的人员已获得了处理个人数据的正式授权。处理者保存所有类别的处理活动登记册,其中包括 GDPR 第 30(2) 条要求的所有信息。处理者能够证明遵守个人数据处理原则。
员工意识
处理者确保,在允许处理个人数据之前,所雇用的工作人员熟悉适用的数据保护政策和程序。
处理者通过定期培训和其他旨在提高个人数据保护和信息安全意识的活动,以确保提高其员工的意识。参与个人数据处理的处理者的员工和合作者有义务对其保密。
参与处理委托个人数据的处理者员工已获得处理个人数据的适当授权,并且根据“需要知道”原则,他们对数据的访问和授权受到限制。
违规管理、自然人请求、支持管理者证明遵守GDPR
处理者已在检测到可能的数据保护漏洞方面实施了程序。
处理者有能力行使数据主体的权利,特别是限制处理的权利和被遗忘的权利。
如果发生违反个人数据保护的情况,处理者应在委托协议规定的期限内及时通知管理者。处理者在履行
GDPR 相关义务所需的范围和期限内,回答管理者所提出的问题。
数据保护官和与数据保护相关的其他职能
处理者已任命了一名身份符合 GDPR 第 38 条要求的数据保护官,并执行 GDPR 第 39 条规定的所有任务。数据保护官的联系方式:xxxxxxx@xxxxxxxxxx.xxx.
数据保护官是独立的,有关处理目的和方法的决定,由最高管理层的代表以及流程和资源的所有者决定。
因信息安全管理体系的运行,特认任命了履行符合 ISO/IEC 27001 标准要求职能的人员,特别是首席信息安全官。
行为准则和认证机制、信息安全
处理者已根据 ISO/IEC 27001 标准实施了完整的信息安全管理体系,并拥有确认根据上述标准正确实施和维护信息安全管理体系(ISMS) 的最新证书。
审计和风险分析
处理者对其个人数据保护系统,进行定期、独立的审核和安全测试。
处理者定期对处理个人数据的资源进行识别和分类,其中包括现有和计划的安全措施、已识别的漏洞、威胁发生的概率和严重程度。
此外,还通过使用关键绩效指标 (KPI) 监控信息安全水平。
分包商
处理者仅使用先前经过验证的第三方/分包商的服务,以确保足够的个人数据保护水平。
处理者核实其他处理者提供的保证是否充分,包括在适当的情况下要求填写调查问卷并提供答案。
数据处理位置和数据传输、云数据处理
通常,处理者在 BaseLinker 规则中指定的,在专门进一步处理实体提供的数据中心处理个人数据,ICT基础设施的主要供应商是 Amazon Web Services EMEA SARL, 00 Xxxxxx Xxxx X. Xxxxxxx, L-1855 Luksemburg。该实体的安全保障见说明:xxxxx://xxx.xxxxxx.xxx/xxxxxxxx/
所有委托的个人数据,仅存储在专门的进一步处理实体所提供的基础设施中。但是,为了在自己的资源上处理数据,处理者实施了物理安全规则和有关远程工作安全的规则。
如果委托数据在 AWS 云端处理,处理者会评估供应商所采用的安全措施,并使用首席信息安全官和资 源所有者选择的工具和配置解决方案对其进行补充。特别是使用数据加密、配置解决方案正确性验证、 使用监控、漏洞扫描、网络流量过滤、事件记录、访问管理、分离、分段和冗余以及负载xx解决方案。
物理安全
个人数据处理的物理位置采用了访问控制措施,包括在适当情况下采用门禁卡系统、视频监控、安全机构和防盗警报器。
处理者的参与数据处理的资源,在物理上与其他组织分开。
已实施了尽量减少物理和环境威胁造成损失风险的安全措施,包括酌情采用适当的威胁检测系统,其中包括消防系统。
定期检查个人数据处理领域的访问权限,并在必要时撤销。规范了安全数据删除和数据介质安全退出使用的流程。
根据干净桌面原则,纸质文件受到保护,并防止未经授权的访问,且在规定的处理期限后,使用标准不低于机密文件对应标准的碎纸机进行销毁。
IT 系统的访问控制
按照需知原则授予 IT 系统内的授权,并实施了密码策略。工作人员必须遵守清洁办公桌和屏幕政策。
在适当的情况下使用加密、双重身份验证和 VPN 等访问控制措施。
技术安全、维护和设备测试
用于处理个人数据的 IT 系统具有断电保护。按照供应商的建议进行硬件和软件的维护。
已采用并应用清除和销毁撤销使用资源的程序。服务器机房的安全符合现行安全标准。
处理者确保定期测试、检测和评估技术与组织措施的有效性,以确保处理安全。
活动连续性
处理者拥有活动连续性计划,并已实施适当的机制来监视和检测可能影响信息安全和活动连续性的事件。在发生物理或技术事件时,处理者能够有效地恢复个人数据的可用性和访问权限。
处理者已实施备份策略,其中包括适当的范围、频率和测试。处理者已实施故障后恢复和测试程序。
已采取措施防止 IT 系统中未经授权的数据复制并确保备份副本的安全。
其他 GDPR 要求
处理者按照隐私设计(privacy by design)原则实施新的解决方案。处理者按照默认隐私(privacy by default)原则处理数据。
处理者保留用于处理个人数据的资源清单。
附录B
进一步处理者列表
1. Amazon Web Services EMEA SARL
00 Xxxxxx Xxxx X. Xxxxxxx, L-1855 卢森堡
(通过其波兰分公司运营的公司:
Amazon Web Services EMEA SARL sp. z o.o. 波兰分公司
Generation Xxxx Z, 9th Floor, ul. Towarowa 28, 00-839 华沙)
2. OVH sp. z o.o.
ul. Xxxxxxxx 0, 00-000 xxxx夫
3. Bezpieczna Firma sp. z o.o.
ul. Traktorowa 126/104, 91-116 xx
4. Google Ireland Ltd
Xxxxxx Xxxxx Xxxxxx Xxxxxx Xxxxxx 0, X00X0X0 xxx
5. Slack Technologies, LLC
000 Xxxxxx Xx Xxx Xxxxxxxxx, XX 00000 xx
0. Twilio Ireland Limited
00 – 00 Xxxxx Xxxx Xxxx, Xxxxx Xxxx, Xxxxxx 0, X00 X000, xxx
0. Cloudflare Inc.,
000 Xxxxxxxx Xxxxxx Xxx Xxxxxxxxx, XX 00000, xx
0. 提供技术支持和 IT 安全服务(包括 IT 系统安全审计服务)的实体,
9. 提供法律服务的实体,
10. 与处理者相关联参与主协议执行的公司。