Contract
对供应商的隐私与数据保护要求
上次更新时间:2023 年 1 月 1 日
1、定义
1.1“协议”是指主服务协议、采购订单条款与条件或服务提供商根据其为客户提供服务的其他合同。
1.2 “客户”是指接受本协议所提供服务的 RELX 公司。
1.3 “数据保护法”是指适用于个人信息处理的所有法律、条例、规定、法令、决议和其他政府要求。
1.4 “个人信息”是指服务提供商根据本协议处理的个人数据。
1.5 “处理”是指对个人信息进行的任何处理或其他访问、操作或一系列操作,“处理”和“被处理”应具有相应的含义。
1.6 “服务提供商”是指根据本协议提供服务的服务提供商或供应商。
1.7 小写的术语““个人数据”、“数据主体”、“处理”、“控制者”、“共同控制者”、“处理方”、“个人数据泄露”和“监管机构”应具有《数据保护法》中赋予它们的相同含义。如果
《数据保护法》中使用了同等或相应的术语,如“个人信息”而非“个人数据”,在此应视为相同术语。
1.8 此处使用但未定义的大写术语应具有本协议中规定的含义。
2、处理说明
2.1 服务提供商代表客户执行的处理活动的性质与目的与提供本协议项下的服务相关。
2.2 处理的期限为客户有权接收或使用服务的期限,直至根据本协议处置个人信息为止。
2.3 数据主体的类别是指个人信息作为服务的一部分由客户或按照客户指示提供给服务提供商的个人。
2.4 个人信息类型是指作为服务的一部分由客户或按照客户指示提供给服务提供商的个人数据类型。
2.5 对于包含在任何客户帐户数据、使用数据和其他数据中的任何个人信息,服务提供商作为控制者根据提供、管理或保障服务的需要进行处理,客户和服务提供商各自为独立的控制者,而非共同控制者。
2.6 对于服务提供者作为控制者独立收集并作为服务的一部分提供给客户的任何个人信息,服务提供商和客户各自为独立控制者,而非共同控制者。服务提供商负责确保其提供给客户进行处理的个人信息的合法性。
2.7 有关服务提供商代表客户执行的处理活动的任何附加详细信息以及客户对服务提供商的处理指示,均在本协议中列明。
3、处理限制
3.1 服务提供商应遵守其在《数据保护法》项下的义务,且仅在履行本协议的必要情况下处理个人信息。
3.2 如服务提供商代表客户处理任何个人信息,服务提供商应仅根据客户的书面指示处理个人信息,除非服务提供商受到适用法律的要求;在这种情况下,服务提供商应在进行处理之前告知客户该法律要求,除非该法律出于公共利益的重要考量禁止披露此类信息。如服务提供商认为某项指示违反了《数据保护法》,则服务提供商应立即通知客户。
4、人员
服务提供商应确保被授权处理个人信息的人员已做出保密承诺或承担适当的法定保密义务,除非按照客户指示或适用法律要求,否则不会处理个人信息。
5、安全性
服务提供商应实施和维持适当的技术和组织架构措施,包括本协议中规定的措施,使其对个人信息的处理符合《数据保护法》的要求,确保数据主体的权利得到保护,并提供至少与《数据保护法》规定的保护级别相当的保护标准。
6、通知客户有关请求
在法律允许的范围内,服务提供商应及时以书面形式通知客户来自数据主体、监管机构或其他第三方的任何请求,或服务提供商收到的任何传票或其他司法或行政命令、或来自政府机构的请求或诉讼,要求获取或披露个人信息。除非法律禁止,否则客户有权反对或干预此类请求,或自行承担代替或代表服务提供商处理此类请求的费用。服务提供商应在此类程序中合理地配合客户。
7、合作
7.1 考虑到处理的性质,服务提供商应通过适当的技术和组织架构措施,在可能的情况下,协助客户履行义务,对《数据保护法》中规定的数据主体的权利(包括访问、更正、提出异议和删除的权利,如适用)的行使请求作出回应。
7.2 服务提供商应协助客户确保其遵守数据安全、个人数据泄露通知以及《数据保护法》所规定的其他义务,同时考虑到处理的性质和服务提供商可获得的信息。
8、个人数据泄露
服务提供商应按照本协议中的规定,不得无故拖延,并在所有情况下,在发现个人信息存在个人数据泄露后,在《数据保护法》规定的时间内通知客户,并应作出合理努力,协助客户调查和补救此类个人数据泄露事件。
9、问责
如果服务提供商代表客户处理任何个人信息,服务提供商应向客户提供一切必要的信息,以证明其遵守《数据保护法》,并允许客户或客户授权的其他审计机构进行审核并协助审计,包括检 查,但须作出适当的保密承诺。
10、分包处理方
10.1 如果服务提供商代表客户处理任何个人信息,客户特此向服务提供商提供一般性书面授权,允许聘请其他处理方处理个人信息。服务提供商应告知客户有关增加或更换此类其他处理方的任何预期变化,以便客户有机会合理地反对此类变更。
10.2 如果服务提供商聘请另一处理方代表客户进行特定的处理活动,则应通过合同或适用法律规定的其他法律行为对该另一处理方施加此处及本协议或其他法律行为规定的相同的数据保护义 务。如该另一处理方未能履行其数据保护义务,服务提供商应对该另一处理方的义务履行承担全部责任。
11、处理的地点
个人信息可能会转移到服务提供商及其聘用的处理方维护设施的任何国家,在这些国家,服务提供商及其聘用的处理方须采取《数据保护法》中所述的适当保障措施,包括任何适用的转移机 制。
12、培训
服务提供商应对处理任何个人信息的人员进行适当的隐私培训(包括《数据保护法》可能要求的培训)。
13、索赔
如果客户面临因违反《数据保护法》而引起的或与之相关的实际或潜在的索赔,涉及服务提供商基于本协议提供的服务,服务提供商应及时提供与该索赔的辩护相关的所有材料和信息以及与该索赔有关的基本情况。
14、处置
在服务提供商代表客户提供与个人信息处理相关的服务结束后,或在客户要求的更早时间,服务提供商应根据客户的选择,删除或向客户或其指定人员(以客户可能合理指定的数据格式)归还
所有个人信息并删除现有副本,除非适用法律要求存储个人信息。应客户要求,服务提供商应以书面形式证明此类处置。
15、司法管辖区特定条款
如果服务提供商处理的任何个人信息源自本协议附件所列的任何司法管辖区的《数据保护法》或受其限制,则除上述条款外,适用司法管辖区所规定的条款也同样适用。
附件
司法管辖区特定条款
1.欧洲经济区
1.1 如果客户将个人信息从欧洲经济区(以下简称“EEA”)传输给位于EEA 以外的服务提供商,除非双方可依据《数据保护法》规定的替代传输机制或基础,否则双方将被视为已就该等传输签署了 2021 年 6 月 4 日第 2021/914 号欧洲委员会实施决定(EU)(该决定可在 xxxx://xxxx.xxxxxx.xx/xxx/xxx_xxxx/0000/000/xx 上找到)批准的标准合同条款(以下简称“条
款”),据此:
a. 客户为“数据输出方”,服务提供商为“数据输入方”;
b. 脚注、第 11(a) 条选项和第 17 条选项 1 不适用,相应附件分别用协议中所载的信息补全;
c. 如果每一方均作为控制方,则模块一适用,模块二、三和四不适用;
d. 如果客户作为控制方,服务提供商作为处理方,则模块二适用,模块一、三和四不适用,第 9(a) 条选项 1 不适用,选项 2 中的期限为 14 天;
e. 如果每一方均作为处理方,则模块三适用,模块一、二和四不适用;第 9(a) 条选项 1 不适用,选项 2 中的期限为 14 天;
f. “主管监管机构”是指数据输出方所在国家/地区的主管监管机构;
g. 该条款受数据输出方所在国家/地区的法律管辖;
h. 由该条款引起的任何争议应由数据输出方所在国家/地区的法院解决;并且
i. 如果协议的任何条款与该条款之间存在任何冲突,以该条款为准。
1.2 如果客户位于EEA 外,但从位于EEA 内的服务提供商处接收个人信息,除非双方可依据《数据保护法》规定的替代传输机制或基础,否则双方将被视为已就该等传输签署了该条款,据此:
a. 服务提供商为“数据输出方”,客户为“数据输入方”;
b. 相应附件分别由协议中所载的信息补全;
c. 如果服务提供商作为控制方,则模块一适用,模块二、模块三、模块四、脚注、第 11(a)
条选项和第 17 条选项 1 不适用;
d. 如果服务提供商作为处理方,则模块四适用,模块一、模块二、模块三和脚注不适用;
e. “主管监管机构”是指数据输出方所在国家/地区的主管监管机构;
f. 该条款受数据输出方所在国家/地区的法律管辖;
g. 由该条款引起的任何争议应由数据输出方所在国家/地区的法院解决;并且
h. 如果协议的任何条款与该条款之间存在任何冲突,以该条款为准。
2.英国
2.1 对于从英国传输个人数据,根据上述第 1 条实施的条款将在进行以下修改后适用:
a. 根据《2018 年英国数据保护法》第 119A 条发布的欧盟委员会标准合同条款的国际数据传输附录第 2 部分的规定对条款进行修订,该附录可能会随时被修订或取代(以下简称 “英国附录”);
b. 英国附录第 1 部分中的表 1 至表 3 分别由和协议中所载的信息补全;以及
c. 英国附录第 1 部分中的表 4 通过选择“双方均不”进行补全。
3.瑞士
3.1 对于从瑞士传输个人数据,根据上述第 1 条实施的条款将在进行以下修改后适用:
a. 若提及“第 2016/679 号条例(EU)”,则应解释为《瑞士联邦数据保护法》(以下简称 “FADP”);
b. 若提及“第 2016/679 号条例(EU)”中的特定条款,应替换为 FADP 的相应条款或章节;
c. 若提及“欧盟”、“联盟”、“成员国”和“成员国法律”,应替换为“瑞士”或“瑞士法律”,具体视情况而定;
d. 对“成员国”一词的解释不应排除瑞士境内的数据主体获得其权利的可能性;
e. 不使用第 13(a) 条和附件一C 部分,“主管监管机构”是指瑞士联邦数据保护信息专员;
f. 该条款受瑞士法律管辖;并且
g. 由该条款引起的任何争议将由瑞士法院解决。
4.巴西
4.1 如果每一方均作为控制方,则每一方应当:
a. 遵守 2018 年第 13,709 号《巴西通用数据保护法》(Lei Geral de Proteção de Xxxxx Xxxxxxxx)
(以下简称“LGPD”)规定的义务;
b. 保留个人数据处理操作的执行记录;
c. 任命一名数据保护官;并且
d. 采取安全、技术和行政措施,以保护个人数据免受未经授权的访问,并免遭意外或非法破坏、丢失、篡改、传播或任何形式的不当或非法处理,包括国家主管部门规定的适用的最低技术标准。
4.2 如果客户将个人信息从巴西转移至位于巴西境外的服务提供商,服务提供商保证遵守数据主体的原则和权利以及 LGPD 规定的数据保护机制。
5、南非
如果服务提供商在 2013 年第 4 号《南非个人信息保护法》(POPIA)范围内为客户处理任何个人信息,服务提供商必须建立和维持 POPIA 第 19 节所述的安全措施。如果有合理理由相信数据主体的个人信息已被任何未经授权的人访问或获取,服务提供商将立即通知客户。
6、美国加利福尼亚州