数据处理附录

数据处理附录

 

本附录构成合同的不可或缺部分,由以下各方签订:

 

  1. (i) 客户(“数据出口商”)
  2. (ii) IQUALIF(“数据进口商”)

 

各方均为“当事方”并通常称为“当事方们”。

 

序言

鉴于数据进口商提供专业软件服务、计算机及相关服务(如具有高级搜索功能的浏览器);

根据合同,数据进口商已同意向数据出口商提供合同中规定的服务(“服务”);

鉴于,通过提供服务,数据进口商获得或受益于访问数据出口商或与数据出口商存在(潜在)关系的其他人的信息,此类信息可被视为个人数据,依据欧洲议会和理事会2016年4月27日关于保护个人数据处理和数据自由流动的第(欧盟)2016/679号条例(“GDPR”)及其他适用的数据保护法律的定义。

鉴于本附录包含关于数据进口商作为数据出口商授权的数据处理代理,在收集、处理和使用此类个人数据时的条款和条件,以确保各方遵守适用的数据保护法律。

 

因此,为使各方继续合法地维持关系,双方达成如下附录:

第一部分

 

1. 文件结构与定义

1.1 结构

本附录由以下不同部分组成:

 

第一部分:

包含一般条款,例如关于本附录中使用的定义、遵守本地法律、时间安排和终止的规定

 
第二部分:

包含未修改的标准合同条款文件的正文

 
第二部分的附录1.1:

包含数据进口商作为授权数据处理代理向数据出口商提供的处理操作详细信息(包括处理、性质和目的、个人数据类型以及数据主体类别)

 
第二部分的附录2:

描述数据进口商在所有处理活动中应用的技术和组织安全措施,详见第二部分的附录1.1

 
第三部分:

包含当事方签名以受本附录约束,并识别每个数据进口商

 

 

1.2 术语与定义

为本附录之目的,适用GDPR所使用的术语和定义(在第二部分的标准合同条款正文中,未定义的术语不大写)。

 

“成员国”

指属于欧洲联盟或欧洲经济区的国家

 
“特殊类别(个人)数据”

指揭示种族或族裔出身、政治观点、宗教或哲学信仰、工会会员身份的个人数据,以及基因数据、生物识别数据(若用于唯一识别个人)、健康数据、性取向或性生活相关数据

 
“标准合同条款”

指根据欧盟委员会2010年2月5日第2010/87/EU号决定制定的,用于向第三国的处理代理转移个人数据的标准合同条款,经过欧盟委员会2016年12月16日的第(欧盟)2016/2297号执行决定修订

 
“数据处理者”

指任何位于欧盟/欧洲经济区内外的处理代理,接受数据进口商或其其他处理者的个人数据,专用于根据数据出口商指示、附录条款和合同进行的处理活动,且不受确保充分保护的第三国机制(即第95/46/EC指令第25(1)条)约束

 

 

 

2. 数据出口商的义务

2.1 数据出口商有义务确保遵守GDPR及其他适用数据保护法律的所有义务,并根据GDPR第5(2)条的要求证明此类合规性。数据出口商保证,已获得数据主体的事先同意(依据GDPR第6(a)条),并已履行通知数据主体的义务(依据GDPR第13和14条)。

2.2 数据出口商必须根据GDPR第30(1)条,向数据进口商提供与本附录项下服务相关的处理活动文件,以便数据进口商遵守GDPR第30(2)条的义务。

2.3 数据出口商必须根据适用数据保护法律的要求,任命数据保护官或代表。必须向数据进口商提供数据保护代理或代表的联系方式(如有)。

2.4 数据出口商在完成处理前,通过接受本附录,确认数据进口商的技术和组织安全措施(详见第二部分附录2)是适当且充分的,以保护数据主体的权益,并确认数据进口商在这方面提供了充分保障。

 

3. 遵守本地法律

为满足第28条关于处理代理的实施要求,适用以下修订:

 

3.1 指示

  1. (i) 数据出口商指示数据进口商仅代表其本人处理个人数据。数据出口商的指示在本附录和合同中提供。数据出口商有责任确保所有指示符合适用的数据保护法律。除非欧盟或成员国法律另有要求,否则数据进口商必须仅按照数据出口商的指示处理个人数据(否则适用第1部分第3.2(iv)款)。
  2. (ii) 超出本附录或合同中指示的其他指示,必须在本附录和合同中明确说明。如执行此类额外指示会产生费用,数据进口商应在执行前通知数据出口商并说明原因。只有在数据出口商确认接受相关费用后,数据进口商方可执行此额外指示。除非紧急或特殊情况需要其他形式(如口头、电子),否则应书面提供额外指示,且应由数据出口商书面确认且不延迟。
  3. 1. 除非数据出口商无法自行进行更正、删除或限制个人数据,否则指示也可涉及第1部分第3.3款中规定的更正、删除和/或限制个人数据的事项。
  4. 2. 如果数据进口商认为某指示违反GDPR或其他欧盟或成员国的适用数据保护规定(“有争议的指示”),应立即通知数据出口商。如数据进口商认为指示侵犯GDPR或其他数据保护规定,有权不遵循该指示。若数据出口商确认有争议的指示并承担责任,数据进口商应执行该指示,除非涉及(i)技术和组织措施的实施,(ii)数据主体的权利,或(iii)数据处理者的参与。在此类情况下,数据进口商可联系主管监管机构由其依法评估该指示的合法性。如主管机构认定该指示合法,数据进口商应执行之。第1部分第3.1(ii)款仍然适用。

 

3.2 数据进口商的义务

  1. (i) 数据进口商须确保被授权处理个人数据的人员(包括员工和任何分包商员工)已承诺保密或受适当的法定义务约束,且这些人员在访问个人数据时应按照数据出口商的指示处理数据。
  2. (ii) 在代表数据出口商处理个人数据之前,须实施第二部分附录2中规定的技术和组织安全措施。如措施未降低保护水平,可适时调整,但不得低于原有水平。
  3. (iii) 应根据请求向数据出口商提供符合本附录义务的合规证明(如审计报告),包括安全原则、系统可用性和保密性。如法律要求,数据出口商可要求进行审计(“审计”),由独立审计员在保密协议下进行。审计须经数据进口商事先书面同意,且由数据出口商承担相关费用。审计后,须出具总结报告(“现场审计报告”)。
  4. (iv) 必要时,数据进口商应及时通知数据出口商:
    1. a. 法律强制披露请求(除非禁止,如刑事案件中的保密);
    2. b. 直接来自数据主体的投诉或请求(如访问、更正、删除、限制处理、数据可携带、反对自动决策等),除非已获授权回应;
    3. c. 根据欧盟或成员国法律,超出指示范围的个人数据处理请求(除非法律出于公共利益禁止此类处理);
    4. d. 发现侵犯个人数据的行为(由自己或分包商引起),可能影响数据出口商的个人数据,须协助通知数据出口商及监管机构(依据GDPR第33(3)条)
  5. (v) 根据数据出口商请求,协助进行数据保护影响评估(依据GDPR第35条)和事前咨询(依据GDPR第36条),提供必要信息。仅在出口商无法通过其他方式履行义务时提供协助,并提前告知相关费用。确认后,提供协助。
  6. (vi) 服务结束后,数据出口商可要求在一个月内返还或销毁由数据进口商处理的个人数据,除非法律要求保存,否则应删除所有相关数据。

 

3.3 相关人员的权利

  1.  
    1. (i) 数据出口商负责管理和回应数据主体的请求。数据进口商无义务直接回应数据主体。
    2. (ii) 如需协助处理数据主体请求,出口商应根据第1部分第3.1(ii)款发出指示。数据进口商应采取适当的技术和组织措施协助出口商回应GDPR第III章规定的请求,包括:
    3. a. 关于信息请求,数据进口商仅提供依据GDPR第13和14条所需信息,若出口商无法自行获取;
    4. b. 关于访问请求(GDPR第15条),仅提供应提供给数据主体的相关信息,若出口商无法自行获取;
    5. c. 关于更正(GDPR第16条)、删除(GDPR第17条)、限制处理(GDPR第18条)或数据可携带(GDPR第20条)请求,若出口商无法自行处理,提供协助以满足请求;
    6. d. 关于通知个人数据更正、删除或限制处理(GDPR第19条),协助通知所有相关接收者;
    7. e. 关于数据主体行使反对权(GDPR第21、22条),由出口商决定是否接受反对及其处理方式;
    8. (iii) 进口商的协助义务仅限于其基础设施内处理的个人数据(如数据库、系统、应用);
    9. (iv) 出口商应决定数据主体是否可行使第1部分第3.1款规定的权利,并告知进口商所需协助的范围;
    10. (v) 若数据出口商要求提供超出第1部分第3.3(ii)、(iii)款的额外或修改的技术和组织措施,进口商应告知相关费用。确认后,实施相应措施以协助回应数据主体请求;
    11. (vi) 不限制第3.3(v)款的范围,出口商应补偿进口商为回应请求所产生的合理费用。

 

3.4 转包

  1.  
    1. (i) 数据出口商授权数据进口商在未事先书面同意的情况下,不得将任何处理活动转包给第三方。仅在获得出口商书面同意后,进口商方可通过书面协议将义务转包给数据处理者,协议中应对处理者施加相同义务。如处理者无法履行其数据保护义务,进口商仍对出口商承担全部责任。
    2. (ii) 书面协议中应包含第三方受益条款(第3条),以防数据主体因数据出口商或进口商的实体已消失、依法终止或破产,无法对其提出索赔,且所有法律义务未转移至继任实体。在此情况下,责任仅限于其自身处理活动。
    3. (iii) 关于数据保护的转包条款,应遵守数据出口商所在地的法律。
    4. (iv) 进口商须每年至少更新一次转包清单,并向数据保护监管机构备案。

 

3.5 期限

本附录的有效期与相关合同的到期日一致。除非另有规定,终止相关的权利和义务亦与合同相同。

 

4. 责任限制

4.1 各方应履行本附录及适用数据保护法律下的义务。

4.2 任何因违反本附录或适用数据保护法律的责任,应受合同中或适用条款中规定的责任条款约束,除非本附录另有规定。若责任由合同责任条款管辖,则本附录下的责任视为合同责任。

 

5. 一般条款

5.1 若本附录第一部分与第二部分存在不一致,以第二部分为准。即使如此,超出第二部分(即标准条款内容)的第一部分,若不与之矛盾,仍然有效。

5.2 若本附录与其他合同条款存在冲突,以本附录为准,特别是关于数据保护的义务。如有疑问,优先适用本附录。

5.3 若本附录任何条款无效或不可执行,其余部分仍有效。无效或不可执行的条款将被修改以确保其有效性,或视为未曾存在,或在不影响双方意图的前提下进行解释。此原则亦适用于本附录的遗漏部分。

5.5 为遵守相关法规,双方可请求修改第1部分第3条(遵守本地法律)或其他部分,以符合欧盟或成员国主管当局的指令、命令或法律发展,特别涉及GDPR或标准合同条款的使用。除非欧盟委员会明确批准,否则不得修改或替换标准合同条款内容(如新条款或数据保护标准)。

5.6 本附录中提及的“条款”应指本附录的所有条款,除非另有说明。

5.7 第2部分第9条的法律适用选择适用于整个合同。

 

6. 双方为个人目的传输和处理的个人数据(从数据控制者到数据控制者的转移)

6.1 双方充分知晓,某些个人数据将由数据出口商转移至数据进口商,反之亦然,且此类数据由各方出于自身目的进行处理。关于此类个人数据,不影响本附录的其他条款(除第6条外)。

6.2 数据出口商可向数据进口商转移涉及其员工的个人数据,包括安全事件信息或由数据出口商为提供服务而创建的其他文件或资料。数据进口商可为自身目的处理此类个人数据,特别是在与其员工的业务关系中,用于质量控制、培训或商业用途。

6.3 数据进口商可向数据出口商转移个人数据,包括其员工的姓名和联系方式。数据出口商可为自身目的处理此类数据。

6.4 双方应遵守所有适用的数据保护法律,包括GDPR,收集、处理和使用从对方收到的此类个人数据。特别是,双方应采取充分的安全措施,提供与第二部分附录2中规定的安全措施相当的保护水平。对个人数据的访问应限于必要范围内。

6.5 双方应在目标实现后尽快删除此类个人数据,除非法律要求保存。

第二部分

 

欧盟委员会决定

关于2010年2月5日第2010/87/EU号决定的第三国个人数据转移标准合同条款

 

 

 

第1条

定义

在条款中,以下术语具有相同含义:

a) “个人数据”、“特殊类别数据”、“处理/处理”、“控制者”、“处理者”、“数据主体”及“监管机构”应与1995年10月24日欧洲议会和理事会第95/46/EC号指令关于保护个人数据处理和数据自由流动的定义相同(“指令”);

b) “数据出口商”指转移个人数据的控制者;

c) “数据进口商”指同意接受由数据出口商转移的个人数据、并根据指示在转移后代表其进行处理的处理者,且不受第95/46/EC指令第25(1)条确保充分保护的第三国机制约束;(d)“数据处理者”指由数据进口商或其其他数据处理者聘用、同意接受个人数据、仅为代表数据出口商在转移后根据指示进行处理的处理者,且受书面数据处理合同约束;

e) “适用的数据保护法律”指保护个人基本权利和自由(包括隐私权)并适用于数据出口商所在地成员国的法律;

f) “与安全相关的技术和组织措施”指旨在防止个人数据意外或非法销毁、意外丢失、篡改、未授权披露或访问的措施,特别是在处理涉及数据传输的情况下,以及防止所有其他非法处理形式的措施。

第2条

转移细节

转移的详细信息,包括特殊类别数据,详见附录1,构成本条款的组成部分。

第3条

第三方受益条款

1. 数据主体可作为第三方受益人,向数据出口商执行本条款、第4(b)至(i)款、第5(a)至(e)款及(g)至(j)款、第6(1)及(2)款、第7款、第8(2)款及第9至12条行使权利;

2. 数据主体可在数据出口商已实际消失或依法终止的情况下,向数据进口商行使本条款、第5(a)至(e)款及(g)、第6款、第7款、第8(2)款及第9至12条的权利,前提是其所有法律义务已通过合同或法律程序转移至继任实体,且数据主体可对该继任实体行使权利;

数据主体亦可在数据出口商和数据进口商实际消失、依法终止或破产的情况下,向数据处理者行使本条款、第5(a)至(e)款及(g)、第6款、第7款、第8(2)款及第9至12条的权利,但仅限于其自身处理活动,且责任仅限于其自身处理范围内的活动。此类责任应限制在其自身处理活动范围内。

4. 各方不反对数据主体由协会或其他机构代表,前提是其意愿如此且符合国家法律规定。

第4条

数据出口商的义务

数据出口商接受并保证:

a) 处理(包括实际转移个人数据)已按照相关数据保护法律的规定进行,并在必要时通知主管当局,且不违反相关法律;

b) 已指示并将持续指示数据进口商仅代表其本人、依据适用法律和本条款处理转移的个人数据;

c) 数据进口商将提供充分的保障措施,符合本合同附录2中规定的技术和组织安全措施;

d) 经过评估,安全措施足以保护个人数据免遭意外或非法销毁、丢失、篡改、未授权披露或访问,特别是在涉及数据传输的情况下,并确保安全水平与处理风险和数据性质相符,考虑技术水平和成本;

e) 将确保遵守安全措施;

f) 若转移涉及特殊类别数据,数据主体在转移前或尽快通知其数据可能被转移至不提供充分保护的第三国(依据第95/46/EC指令第4条),已被告知;

g) 若接收来自数据进口商或其数据处理者的通知(依据第5(b)和第8(3)条),将转发给数据保护监管机构(如决定继续转移或解除暂停);

h) 若数据主体请求,应提供本条款(除附录2外)及安全措施的摘要,及任何进一步的转包协议副本(除非包含商业信息,否则可删除);

i) 若进行转包,处理活动应符合第11条,且提供的保护水平不低于本条款;

j) 将确保遵守第4(a)至(i)款的规定。

第5条

数据进口商的义务

数据进口商接受并保证:

a) 仅代表数据出口商、依据其指示和本条款处理个人数据;如因任何原因无法遵守,应尽快通知出口商,否则出口商可暂停转移或终止合同;

b) 无合理理由相信适用法律阻止其履行指示或合同义务;如法律变更可能影响保证或义务,应立即通知出口商;

c) 已实施第二部分附录2中规定的技术和组织安全措施;

d) 应立即通知出口商:

  1. a. 法律强制披露请求(除非禁止);
  2. b. 任何偶发或未授权访问;
  3. c. 直接来自数据主体的请求(除非已获授权回应);

e) 及时妥善处理出口商关于个人数据处理的询问,并依据监管机构意见行事;

f) 根据出口商要求,接受审计,验证其处理措施,须由独立专业人员在保密条件下进行;

g) 若数据主体请求,应提供本条款(或任何现有的转包协议)副本(除非包含商业信息,否则可删除),且不得披露除附录2外的内容;

h) 若进行保密转包,须提前通知出口商并获得书面同意;

i) 处理服务应符合第11条;

j) 及时向出口商提供任何转包协议副本。

第6条

责任

1. 双方同意,因一方或其数据处理者违反第3或第11条义务而造成损害的,受害数据主体可向数据出口商索赔;

2. 若数据主体因数据出口商已实际消失、依法终止或破产,无法对其提出索赔,数据进口商同意,数据主体可向其提出索赔,前提是所有法律义务已转移至继任实体,且责任仅限于其自身处理活动;

3. 若数据出口商和进口商已实际消失、依法终止或破产,且其法律义务未转移,数据主体可向其提出索赔,责任亦限于其自身处理活动范围内。

 

第7条

调解与管辖

1. 进口商同意,若数据主体依据本条款行使第三方受益人权利或索赔,须接受其决定:

a) 提交争议至独立调解人或主管当局;

b) 将争议提交至出口商所在地成员国法院。

2. 双方同意,数据主体的选择不影响其依据其他法律获得救济的权利。

第8条

与监管机构合作

1. 出口商同意在主管当局要求或法律规定下,提交本合同副本;

2. 双方同意,主管当局可对数据进口商及其处理者进行检查,条件与对出口商的检查相同;

3. 进口商应尽快通知出口商有关法律法规,若阻止其核查义务的执行,出口商可采取第5( b) 条规定的措施;

第9条

适用法律

本条款受出口商所在地成员国法律管辖。

第10条

合同变更

双方承诺不修改本条款,但可加入其他商业条款,前提不与本条款冲突。

第11条

后续转包

1. 未经出口商事先书面同意,进口商不得将任何处理活动转包给第三方。仅在获得出口商书面同意后,方可通过书面协议将义务转包给处理者,协议中应对处理者施加相同义务。如处理者无法履行义务,进口商仍对出口商承担全部责任。

2. 书面协议中应包含第三方受益条款(第3条),以防数据主体因出口商或进口商已消失、依法终止或破产,无法索赔,且所有法律义务未转移至继任实体。责任仅限于其自身处理活动。

3. 关于数据保护的转包,应遵守出口商所在地法律。

4. 进口商须每年更新转包清单,并向监管机构备案。

 

3.5 有效期

本附录的有效期与相关合同的到期日一致。除非另有规定,终止相关的权利和义务亦与合同相同。

 

4. 责任限制

4.1 各方应履行本附录及相关法律规定的义务。

4.2 责任范围由合同或相关责任条款规定,除非本附录另有规定。若责任由合同责任条款管辖,则本附录下的责任视为合同责任。

 

5. 一般条款

5.1 若本附录第一部分与第二部分存在不符,以第二部分为准。第一部分(超出第二部分的内容)若不与之矛盾,仍然有效。

5.2 若本附录与其他合同条款冲突,以本附录为准,特别是关于数据保护的义务。如有疑问,以本附录为优先依据。

5.3 若本附录任何条款无效或不可执行,其余部分仍有效。无效部分将被修改或视为未曾存在,或按意图合理解释。此原则亦适用于遗漏部分。

5.5 为符合相关法规,双方可请求修改第1部分第3条(遵守本地法律)或其他部分,以符合欧盟或成员国主管当局的指令、命令或法律发展,特别涉及GDPR或标准合同条款的使用。除非欧盟委员会明确批准,否则不得修改或替换条款内容(如新条款或数据保护标准)。

5.6 本附录中“条款”指本附录的所有内容,除非另有说明。

5.7 第2部分第9条的法律选择适用于整个合同。

 

6. 双方为个人目的传输和处理的个人数据(从数据控制者到数据控制者的转移)

6.1 双方明确知晓,某些个人数据将由数据出口商转移至数据进口商,反之亦然,且此类数据由各方出于自身目的进行处理。此类个人数据的处理不影响本附录的其他条款(除第6条外)。

6.2 数据出口商可向数据进口商转移涉及其员工的个人数据,包括安全事件信息或由数据出口商为提供服务而创建的其他文件或资料。数据进口商可为自身目的处理此类数据,特别是在与其员工的业务关系中,用于质量控制、培训或商业用途。

6.3 数据进口商可向数据出口商转移个人数据,包括其员工的姓名和联系方式。数据出口商可为自身目的处理此类数据。

6.4 双方应遵守所有适用的数据保护法律,包括GDPR,收集、处理和使用从对方收到的此类个人数据。特别是,双方应采取充分的安全措施,提供与第二部分附录2中规定的安全措施相当的保护水平。对个人数据的访问应限于必要范围内。

6.5 双方应在目标实现后尽快删除此类个人数据,除非法律要求保存。

第2部分

 

欧盟委员会决定

关于2010年2月5日第2010/87/EU号决定的第三国个人数据转移标准合同条款

 

 

 

第1条

定义

在条款中,以下术语具有相同含义:

a) “个人数据”、“特殊类别数据”、“处理/处理”、“控制者”、“处理者”、“数据主体”及“监管机构”应与1995年10月24日欧洲议会和理事会第95/46/EC号指令关于保护个人数据处理和数据自由流动的定义相同;

b) “数据出口商”指转移个人数据的控制者;

c) “数据进口商”指同意接受由数据出口商转移的个人数据、并根据指示在转移后代表其进行处理的处理者,且不受第95/46/EC指令第25(1)条确保充分保护的第三国机制约束;(d)“数据处理者”指由数据进口商或其其他数据处理者聘用、同意接受个人数据、仅为代表数据出口商在转移后根据指示进行处理的处理者,且受书面数据处理合同约束;

e) “适用的数据保护法律”指保护个人基本权利和自由(包括隐私权)并适用于数据出口商所在地成员国的法律;

f) “与安全相关的技术和组织措施”指旨在防止个人数据意外或非法销毁、意外丢失、篡改、未授权披露或访问的措施,特别是在处理涉及数据传输的情况下,以及防止所有其他非法处理形式的措施。

第2条

转移细节

转移的详细信息,包括特殊类别数据,详见附录1,构成本条款的组成部分。

第3条

第三方受益条款

1. 数据主体可作为第三方受益人,向数据出口商执行本条款、第4(b)至(i)款、第5(a)至(e)款及(g)至(j)款、第6(1)及(2)款、第7款、第8(2)款及第9至12条行使权利;

2. 数据主体可在数据出口商已实际消失或依法终止的情况下,向数据进口商行使本条款、第5(a)至(e)款及(g)、第6款、第7款、第8(2)款及第9至12条的权利,前提是其所有法律义务已通过合同或法律程序转移至继任实体,且数据主体可对该继任实体行使权利;

数据主体亦可在数据出口商和数据进口商实际消失、依法终止或破产的情况下,向数据处理者行使本条款、第5(a)至(e)款及(g)、第6款、第7款、第8(2)款及第9至12条的权利,但仅限于其自身处理活动,且责任仅限于其自身处理范围内的活动。此类责任应限制在其自身处理活动范围内。

4. 各方不反对数据主体由协会或其他机构代表,前提是其意愿如此且符合国家法律规定。

第4条

数据出口商的义务

数据出口商接受并保证:

a) 处理(包括实际转移个人数据)已按照相关数据保护法律的规定进行,并在必要时通知主管当局,且不违反相关法律;

b) 已指示并将持续指示数据进口商仅代表其本人、依据适用法律和本条款处理转移的个人数据;

c) 数据进口商将提供充分的保障措施,符合本合同附录2中规定的技术和组织安全措施;

d) 经过评估,安全措施足以保护个人数据免遭意外或非法销毁、丢失、篡改、未授权披露或访问,特别是在涉及数据传输的情况下,并确保安全水平与处理风险和数据性质相符,考虑技术水平和成本;

e) 将确保遵守安全措施;

f) 若转移涉及特殊类别数据,数据主体在转移前或尽快通知其数据可能被转移至不提供充分保护的第三国(依据第95/46/EC指令第4条),已被告知;

g) 若接收来自数据进口商或其数据处理者的通知(依据第5(b)和第8(3)条),将转发给数据保护监管机构(如决定继续转移或解除暂停);

h) 若数据主体请求,应提供本条款(除附录2外)及安全措施的摘要,及任何进一步的转包协议副本(除非包含商业信息,否则可删除);

i) 若进行转包,处理活动应符合第11条,且提供的保护水平不低于本条款;

j) 将确保遵守第4(a)至(i)款的规定。

第5条

数据进口商的义务

数据进口商接受并保证:

a) 仅代表数据出口商、依据其指示和本条款处理个人数据;如因任何原因无法遵守,应尽快通知出口商,否则出口商可暂停转移或终止合同;

b) 无合理理由相信适用法律阻止其履行指示或合同义务;如法律变更可能影响保证或义务,应立即通知出口商;

c) 已实施第二部分附录2中规定的技术和组织安全措施;

d) 应立即通知出口商:

  1. a. 法律强制披露请求(除非禁止);
  2. b. 任何偶发或未授权访问;
  3. c. 直接来自数据主体的请求(除非已获授权回应);

e) 及时妥善处理出口商关于个人数据处理的询问,并依据监管机构意见行事;

f) 根据出口商要求,接受审计,验证其处理措施,须由独立专业人员在保密条件下进行;

g) 若数据主体请求,应提供本条款(或任何现有的转包协议)副本(除非包含商业信息,否则可删除),且不得披露除附录2外的内容;

h) 若进行保密转包,须提前通知出口商并获得书面同意;

i) 处理服务应符合第11条;

j) 及时向出口商提供任何转包协议副本。

第6条

责任

1. 双方同意,因一方或其数据处理者违反第3或第11条义务而造成损害的,受害数据主体可向数据出口商索赔;

2. 若数据主体因数据出口商已实际消失、依法终止或破产,无法对其提出索赔,数据进口商同意,数据主体可向其提出索赔,前提是所有法律义务已转移至继任实体,且责任仅限于其自身处理活动;

3. 若数据出口商和进口商已实际消失、依法终止或破产,且其法律义务未转移,数据主体可向其提出索赔,责任亦限于其自身处理活动范围内。

 

第7条

调解与管辖

1. 进口商同意,若数据主体依据本条款行使第三方受益人权利或索赔,须接受其决定:

a) 提交争议至独立调解人或主管当局;

b) 将争议提交至出口商所在地成员国法院。

2. 双方同意,数据主体的选择不影响其依据其他法律获得救济的权利。

第8条

与监管机构合作

1. 出口商同意在主管当局要求或法律规定下,提交本合同副本;

2. 双方同意,主管当局可对数据进口商及其处理者进行检查,条件与对出口商的检查相同;

3. 进口商应尽快通知出口商有关法律法规,若阻止其核查义务的执行,出口商可采取第5( b) 条规定的措施;

第9条

适用法律

本条款受出口商所在地成员国法律管辖。

第10条

合同变更

双方承诺不修改本条款,但可加入其他商业条款,前提不与本条款冲突。

第11条

后续转包

1. 未经出口商事先书面同意,进口商不得将任何处理活动转包给第三方。仅在获得出口商书面同意后,方可通过书面协议将义务转包给处理者,协议中应对处理者施加相同义务。如处理者无法履行义务,进口商仍对出口商承担全部责任。

2. 书面协议中应包含第三方受益条款(第3条),以防数据主体因出口商或进口商已消失、依法终止或破产,无法索赔,且所有法律义务未转移至继任实体。责任仅限于其自身处理活动。

3. 关于数据保护的转包,应遵守出口商所在地法律。

4. 进口商须每年更新转包清单,并向监管机构备案。

 

3.5 有效期

本附录的有效期与相关合同的到期日一致。除非另有规定,终止相关的权利和义务亦与合同相同。