Contract
数据安全和隐私附录
1. 双方称呼。双方同意,对于从本公司或代表本公司收到的或与因履行供应商义务而获得的所有数据(“公司数据”),本公司应为“管理人”,供应商为“处理人”。 各方应遵守所有相关隐私法并履行本协议规定下的相关义务。供应商应确保任何可获取“公司数据”的下级处理人均应履行本协议规定下的供应商义务。
2. 使用“隐私数据”。供应商只有在根据与本公司签订的任何合同履行其义务或本公司另有要求时,才能获取、使用、维护、收集、修改、合并、共享或披露所有私人或私人独有信息以及有关或属于私人的所有敏感财务信息,包括可用来识别或联系特定个人的任何信息,例如姓名、电子邮件地址、电话号码、社会保险号、金融账户信息、信用卡号或其他(“隐私数据”)。在代表本公司处理“隐私数据”时,供应商应确保代表其行事或根据其权限行事的任何人只能根据本公司的书面指示处理“隐私数据”。如果相关法律要求使用除“处理指令”之外的其他方式处理“隐私数据”(除非该法律禁止此类信息,或者“处理指令”可能违反任何适用法律),那么供应商应立即将该要求告知本公司。
3. 隐私和安全政策。供应商应执行并维护与其处理“隐私数据”相关的适当的技术和组织措施(费用自理),以确保遵守相关隐私法。此外,供应商保证其已采用并实施了完全合法且易于操作的技术措施,以保护“隐私数据”免遭意外、未经授权或非法的破坏、丢失、更改、披露和获取,以及免受其他任何非法活动的影响。供应商应确保其代表本公司处理“隐私数据”的代理人和代表已经签署协议,要求他们对“隐私数据”保密,并采取一切合理措施确保处理“隐私数据”的供应商代表充分接受了有关遵守本协议和相关法律的培训。
4. 代理人和分包商。未经本公司事先书面同意,供应商不得委托其他处理人代表本公司进行涉及“隐私数据”的特定处理活动。如果本公司提供书面同意,供应商将与下级处理人签订具有约束力的书面合同(“处理人合同”),该合同要求下级处理人也要履行本附录中规定的数据保护义务。根据本公司要求,供应商应提供任何已生效的《处理人合同》的副本。供应商应确保已获批准的第三方“隐私数据”接收人同意仅将此信息用于本公司开展业务之目的,并遵守所有适用法律、规则和法规以及本公司的任何政策,并遵守本附录所述的防护措施。
5. 合作、审计和检查。供应商应向本公司提供合理的协助、信息和合作,以确保在遵守相关法律的前提下履行公司的以下义务:(1) 数据安全;(2) 数据泄露通知;(3) 响应有关 “隐私数据”和/或公司数据隐私或监管机构或个人安全措施的请求;(4) 进行隐私影响评估。供应商应执行并维护适当的技术和组织措施(费用自理),协助本公司履行公司义务,响应个人关于“隐私数据”的请求。这包括确保记录所有与“隐私数据”相关的请求,并在收到请求后的三天内将其提交给本公司。 本公司保留随机进行现场审计的权利,以确保供应商遵守本附录中的“隐私数据”义务,但公司在进行此类审计和/或检查前,应向供应商提供合理的事先通知,并确保任何审计员必须遵守保密义务,并确保进行此类审计或检查的目的是为了尽量减少对供应商业务和其他客户的干扰。此外,供应商应与本公司合作,共同监督供应商的合规情况。
6. 禁止跨境传输。未经公司事先书面同意,供应商不得将任何“公司数据”传输至欧洲经济区("EEA")以外的任何国家或任何国际组织(“国际收件人”)。如果本公司同意将“受保护的数据”传输给“国际收件人”,则供应商应确保此类传输(以及任何后续传输):(1) 遵循书面合同,该合同涵盖了任何与“隐私数据”安全性和机密性相关的条
款;(2) 应符合相关法律规定的此类跨境隐私数据传输的可强制执行机制(其形式和内容须经本公司书面批准);(3) 遵循本附录;(4) 遵守其他相关隐私法。
7. 保存记录。供应商应保留其代表本公司进行的所有处理活动的完整、准确和最新的书面
记录(“处理记录”),并应本公司要求及时提供此类信息(包括“处理记录”在
x),这是本公司为了证明供应商遵守相关隐私法和本协议所规定的义务而提出的合理要求,本公司可将此情况向监管机构披露。 “处理记录”至少应包含供应商代表本公司处理的所有“隐私数据”的描述、处理类型、处理目的、同意记录(如果有)以及本公司要求其提供的任何其他信息。
8. 数据泄露。如果未经授权的第三方实际或有嫌疑获取与服务或本协议相关的“隐私数据”,供应商应将此潜在的数据泄露通知本公司,不得无故拖延(自发现潜在数据泄露
起,无论如何不得超过 12 小时),并根据本公司的合理要求,将详细情况以书面或电子
邮件的形式提供给本公司,不得无故拖延(尽可能在发现潜在数据泄露的 24 小时内)。此外,供应商应调查并修复潜在的数据泄露,如果数据泄露导致供应商或本公司有法律义务通知受影响的个人,或将受影响的个人置于风险中,则供应商应提供令本公司满意的保证,确保不再发生数据泄露。供应商保证,如果发生泄露“隐私数据”行为,将对所有响应步骤进行记录,并对事件以及采取的措施(如果有)进行事后审查,以更改与 “隐私数据”相关的商业惯例。供应商同意全力配合本公司处理此类事件(包括但不限于适用法律或法规要求的任何调查、报告或其他义务,包括响应监管部门的询问或调
查,或遵循本公司其他要求),并与本公司合作,以其他方式响应并减轻因数据泄露而造成的任何损害。未经本公司事先书面授权,供应商不得将数据泄露情况告知任何第三方。
9. 信息管理。一旦供应商不需要再履行其在本协议规定下的处理任何“隐私数据”的义务时,供应商应按照本公司书面要求,立即安全删除“隐私数据”或将其以硬拷贝或电子形式返回给本公司。在完成本协议规定下的服务后,供应商应尽快安全删除所有现有的 “隐私数据”副本(电子和硬拷贝形式);除非适用法律要求存储任何数据,若如此,供应商应以书面形式将此情况告知本公司。
10. 赔偿和禁令救济。供应商同意对本公司在响应和/或减轻因违反本附录而造成的损害时所产生的所有费用进行补偿和赔偿;违反情况包括泄露“隐私数据”,以及供应商因超出或违反本公司合法指示而引起的任何诉讼,或供应商对其在本附录规定下的数据保护或隐私义务方面产生的任何重大违约。此外,供应商承认并同意,如果有可能违反或实际违反本附录将导致无法弥补的损害,对此,金钱方面的赔偿可能无法提供充分的救济措施;此外,除了所有其他救济措施外,本公司还有权获得具体的履约和禁令救济,特别是为了保护“隐私数据”免遭泄露或不当使用,以作为对供应商违反本附录的一种救济措施,无需发布担保且不损害本附录或适用法律可能赋予的其他权利。此外,供应商未能遵守本附录的任何条款将被视为严重违反本协议,且本公司可终止本协议而不对供应商承担任何责任。在与本附录相关的诉讼中,非胜诉方应负责并向胜诉方及其代理人、顾问、代表或分部支付因诉讼(包括由此产生的任何上诉)而产生的合理法律费用。
2