Contract
数据保护协议
1. 释义
1.1 「公司」指已执行购买,供应,服务或其他任何与 CMI 或其关联公司的商业协议的实体。
1.2 「控制者」、「数据当事人」、「个人资料」、「个人资料泄露」、「处理」、「处理者」及「监管部门」各词汇的涵义由「一般数据保护规例」赋予。
1.3 「数据保护法律」指 (i) 任何适用欧盟法律,(ii) 任何有关个人资料处理及个人私隐保护的适用本地法律,(iii) 「一般数据保护规例」及 (iv) 任何由监管部门发出的有约束力的指引或实务守则。
1.4 「一般数据保护规例」指欧洲议会和欧盟理事会於 2016 年 4 月 27 日發表的编号 (EU) 2016/679 关于在处理个人资料和在转移该等数据方面保护自然人的规例,以及废除指令 95/46/EC (「一般数据保护规例」)。
1.5 「项目」指(i)由公司提供的商品与/或服务 和(ii)公司提供该等商品与/或服务的过程,两者皆是依照与 CMI 或其关联公司的商业协议。
2. 个人资料的处理
2.1 协议双方确认及同意在个人资料处理的事宜方面,CMI 是个人资料的控制者,而公司在处理个人资料的范围内会代表 CMI 以处理者之身份进行。
2.2 不论在有关公司的购买、供应、服务的协议、或其他任何与 CMI 或其关联公司的商业协议中任何其他条款的规定,公司在提供项目时,个人资料可能会﹕
2.2.1 于全球各类系统、网络及设施 (包括数据库) 中被使用、管理、取得、转移或保存;或
2.2.2 被公司转移到全球各地,但以容许公司履行其与CMI 或其关联公司的协议下的责任为限
CMI 会在公司将会依靠数据保护法律容许的适当转移机制的前提下,委任公司履行每个转移以提供系统所需。
2.3 当处理是以 CMI 的名义进行时,公司应提供足够担保,以保证会以其处理符合数据保护法律要求及确保数据当事人的权利受保护的方式下,实施适当科技化且有组织的措施。
2.4 公司在未获得 CMI 的事先书面批准下,不应以聘用、分判、再授特许或其他方式将任何与 CMI 或其关联公司的协议下与项目有关的个人资料处理转授予另一处理者。
2.5 在各协议方分别为公司与 CMI 或其关联公司的有关项目的协议下的个人资料处理的控制者时,就 「一般数据保护规例」第 26 条而言,协议双方并非该等处理的共同控制者。
2.6 公司可以就其与 CMI 或其关联公司有关项目的协议提出修订,以反映公司的安全措施、政 策及程序的改变,从而使其符合数据保护法律的要求。公司应以书面通知 CMI 该等修订。 如 CMI 不接受修订,协议双方应合理及真诚地行事,以尽快磋商及就进一步修订达成共识。
2.7 受数据保护法律规限,如公司发现其认为可能显示欺诈性使用项目任何部分的活动时,应向 CMI 提供合理通知。本条款不应强制要求公司主动监察项目的欺诈性使用。
3. 个人资料的国际转移
3.1 除非已确保数据受到数据保护法律下充分程度的保护 (「保障」),公司不应处理或转移 (亦不应允许个人资料被转移) 至欧洲经济区外。该等保障包括但不限于﹕(i) 转移至根据欧盟执行委员会的充分决定确保资料受到充分程度的保护的国家,或 (ii)履行公司与 CMI 或 CMI 之联营公司有关项目的协议时需进行该转移,或 (iii) 该转移受欧盟执行委员会于 2010 年 2 月 5 日决定的欧盟标准合约条款 (处理者) 管辖,而此决定已视为被引用并入本协议。当欧盟执行委员会的充分决定或该等保障失效时,或当转移个人资料至欧洲经济区外的条件不再被符合时,该等转移应立即停止进行。
4. 安全
4.1 虑及处理之性质、范围、背景及目的,以及自然人的权利及自由所受之各种可能且严重的 风险,公司应实施适当科技及组织的措施以确保并得证明其处理符合数据保护法律的规定。该等措施应在必要时得予审视及更新。
4.2 在与处理活动相称的情况下,第 4.1 部提及的措施应包括实施适当的数据保护政策。
5. 通知条款
5.1 公司应及時以书面形式通知和/或应全面配合 CMI 如因任何理由下(i)公司未能遵守或未有遵守本附件中的任何部份,(ii)公司将违反或已违反任何关于其处理个人资料的数据保护法律,或(iii)数据保护法律不再容许由 CMI 向公司合法地转移个人数据。在这种情况下,公司应作出一切合理,必要及恰当的措施修复任何不合规的情况,或停止进一步处理个人资料,CMI 有可能会按自行决定立刻中止与此项目有关的协议及/或本协议及/或公司对个人资料的存取,或采取任何其他必要行动。
6. 终止条款
6.1 本协议自签署之日起生效并持续有效至根据与此项目有关协议的终止之日。除了在任何现行法律要求下进一步存储个人资料之外,公司应及时向 CMI 通报其存有的所有个人资料
和及时归还或删除所有有关的个人资料(按 CMI 自行选择)及其任何现有复本,而费用由公司自行承担。公司应向 CMI 保证已根据上述和 CMI 的指示归还或删除所有个人资料。如公司因法律或技术原因未能销毁或删除个人资料,公司应立刻通知 CMI。
7. 赔偿条款
7.1 在任何情况下 CMI 均不需承担及公司应赔偿 CMI 由于公司未有遵守任何数据保护法律所导致任何损害、成本、负债、费用和损失。
7.2 公司确认本协议规定的义务属于必要而且任何违规行为都可能严重损害 CMI。如果与数据相关的数据当事人,数据保护机构或任何其他监管机构就公司违反数据保护法下的义务而对 CMI 提出索赔要求(“索赔”),公司应在 CMI 要求下协助及介入 CMI 对此类索赔的辩护和应向 CMI 补偿所有因此类索赔而缴纳的成本和损害,且保证 CMI 免于此损失。CMI 应及时以书面形式通知公司有关任何索赔,并应在相关索赔的抗辩和相关和解谈判过程中全面配合公司。
8. 合约期限及优先顺序条款
8.1 载于本协议的新条款应立即生效。
8.2 若本协议的规定与公司和 CMI 或其关联公司处理和保护个人数据的购买、供应、服务的协议、或其他任何与 CMI 或其关联公司的商业协议互相抵触,均以本协议的规定为准。除非在此明确修改,否则公司和 CMI 或其关联公司之间的购买、供应、服务的协议、或其他任何与 CMI 或其关联公司的商业协议中的所有条款及条件仍然有效。