数据处理协议
本《数据处理协议》(下称 "协议")适用于 JIA, Inc.(下称 "处理方")和客户(下称 "控制方"),双方各称为 "一方",合称 "双方"。本协议自双方签署《主服务协议》("协议")之日("生效日")起生效,除非 JIA 可能对本协议进行修订。
本协议适用于与根据协议提供的软件和/或服务(统称 "服务")有关的个人数据(定义见下文)。 服务涉及使用第三方云提供商(目前是提供 Azure 的微软公司),可能属于协议指定的三个类别之一:
[方案一]处理器采购和管理第三方云提供商关系。 在此方案中,控制方特此授权处理器代表控制方和/或为控制方的利益直接与第三方云提供商签订合同,第三方云提供商是处理器的分包商--在本协议中披露为分包商。
[方案二]控制方建立第三方云提供商关系,处理器管理控制方对第三方云提供商的使用。 在此方案中,控制方负责直接与第三方云提供商签订合同(包括但不限于适用法律要求的任何数据处理协议),并全权负责与该第三方相关的所有义务。 第三方云提供商是控制方的处理方。 在本方案中,处理器仅是控制方的处理器。
[方案三]控制方采购并管理第三方云提供商关系。 与上述情景二相同,但鉴于控制方的采购和管理,处理方可能不会代表控制方处理任何个人数据。 但是,如果控制方要求处理方提供支持--这可能涉及个人数据的附带处理,本协议可能仍然是必要的。
自生效日起,本《议定书》成为《协定》的一部分并纳入《协定》,因此,《协定》中提及的"《协定》"包括本《议定书》。 除本《议定书》所作的变更外,《协议》保持不变并具有完全效力。 本《议定书》与《协议》之间如有冲突,以本《议定书》为准。
背 景
(A) 处理人正在或将要根据本协议为控制人或代表控制人提供服务。
(B) 双方承认并同意,服务可能涉及在美国处理个人数据,包括但不限于向美国和从美国传输个人数据,以及在美国存储个人数据。
(C) 本协议旨在规定适用于个人数据处理的数据保护条款,以确保个人的数据保护权利和自由按照适用的数据保护法(定义见下文)继续受到保护。
同意
1.定义
在本协议中
1.1"企业"、"消费者"、"控制者"、"处理者"、"数据主体"、"个人数据"、"处理"(和"过程")、"服务提供者"和"特殊类别数据"将具有适用的数据保护法所赋予的含义。 "个人信息"(适用的数据保护法中使用的术语)将包含在 "个人数据 "短语中,"消费者 "将包含在本议定书中使用的 "数据主体 "短语中。
1.2"适用的数据保护法 "是指不时适用于双方的有关协议项下个人数据处理的任何隐私或数据保护法律,包括但不限于 GDPR 和 CCPA(均定义见下文)。
1.3 就每一方而言,"授权人 "是指经该方授权处理数据的任何人(包括该方的员工、代理和分包商)。
1.4 "CCPA "指《加州消费者隐私法》(California Consumer Privacy Act)、《加州民法典》(California Civil Code)第 1798.100 节等及其实施细则。自 2023 年 1 月 1 日起,"CCPA "将包括《加州隐私权法案》及其实施细则。
1.5"欧洲经济区"指欧洲经济区,在本议定书中包括瑞士。
1.6"GDPR "指《通用数据保护条例》(欧盟)2016/679,在本协议中使用时包括英国-GDPR(关于英国)和《联邦数据保护法》(关于瑞士)。
1.7 凡提及"指示 "及相关术语,系指控制方关于处理数据(定义见下文)的书面指示,其中包括协议和本协议的条款。
1.8"示范条款 "在适用情况下是指
1.8.1 对于受欧洲经济区(EEA)法律管辖的数据传输,根据 GDPR 和欧盟委员会根据 (EU) 2021/914 号决定批准的从欧洲经济区(EEA)向第三国传输个人数据的标准合同条款,目前载于 https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en("欧洲经济区示范条款")。
1.8.2 对于受英国法律管辖的数据传输,欧洲经济区示范条款加上英国信息专员办公室 ("ICO")发布的经批准的附录中的强制性条款,目前载于 https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf(" 英国附录修正案")。
1.8.3 对于受《联邦数据保护法》(瑞士)管辖的数据传输,将适用欧洲经济区示范条款;但这些条款将针对此类传输进行修订,规定由瑞士联邦数据保护和信息专员进行监督,且 "成员国 "一词的解释不得排除瑞士数据主体在瑞士行使其权利的可能性。
1.9"允许的目的 "具有第 3 节规定的含义;以及
2.双方关系
控制者是控制者(在某些情况下是处理者),特此指定处理者为处理者,处理所附附表 2 中描述的个人数据。 此类个人数据称为 "数据"。
3.目的限制
3.1 處理器只會在執行服務所需的情況下,根據控制者的文件指示(「獲准目的」),以處理器的身份處理資料(並保存有關處理活動的記錄)。 此外,在适用范围内,双方确认:(x) 控制方是一家 "企业",处理方是一家 "服务提供商",如 CCPA 所定义;(y) 处理方对数据的处理是提供服务所必需的;以及 (z) 控制方将不会从处理方那里获得任何金钱或其他有价值的对价,以换取处理方对数据的访问和处理。 如果适用法律与控制方的文件指示相冲突,处理方将在处理前通知控制方,除非法律禁止此类通知。 在任何情况下,如果控制方的书面指示对处理方提出额外要求,双方将公平调整支付给处理方的费用。 在不限制上述规定的前提下,处理人在任何情况下均不得
(a) 为其自身或任何第三方的目的处理数据,包括出售、出租、发布、披露、传播或以其他方式向任何第三方提供此类数据;
(b) 对确定处理数据的目的和方式承担任何责任;
(c) 未经控制方事先同意,向任何第三方(其授权分包商除外)披露数据,除非适用于处理方的任何法律要求披露数据。
(d) 以任何可能导致控制方违反适用数据保护法规定的任何义务的方式处理数据。
3.2 控制者有責任確保其合法處理資料,並擁有所有其他必要的權利,讓處理者處理資料。控制方不得向处理方提供控制方不拥有上述权利的任何数据。在不限制前述规定的前提下,控制方有责任确保提供任何必要的通知,获得数据主体的同意,并确保保存此类同意的记录。如果数据主体撤销同意,控制方有责任将撤销同意的事实告知处理方,并协助处理方进一步处理该数据。
3.3 控制者对数据的准确性和质量负责。
3.4 控制方将尽最大努力确定服务是否涉及处理源自澳大利亚、巴西、欧洲经济区、英国或阿根廷的任何个人数据,如果是,将立即通知处理方。此外,如果数据受 CCPA 或 GDPR 以外的任何适用数据保护法管辖,控制方必须通知处理方,以便双方采取措施签订遵守此类法律所需的附加合同条款(如有)。
3.5 如果数据包括源自欧洲经济区(EEA)或英国的任何个人数据,则处理者和控制者在签订本协议的同时,也在此签署、签订并将下文第 11 节提及的适用示范条款纳入本协议。
3.6 如果双方正在使用的数据传输机制随后被修改、撤销,或被主管监管机构或其他政府机构认定为无效,控制方和处理方将真诚合作,终止在该机制下进行的传输,或寻求合适的替代机制。
4.处理过程的保密性
資料處理人將確保任何獲授權人須履行保密責任(不論是合約、法定或其他責任),並且不會允許任何沒有履行保密責任的人士處理資料。 資料處理者須確保所有獲授權人士只會按獲准用途的需要處理資料。
5.安全
5.1 處理器會實施及維持適當的技術及組織保安措施,以保護資料免受未經授權或非法的保安破壞,導致意外或非法破壞、遺失、更改、未經授權披露或取用處理器所控制的資料(「保安事故」)。处理人的技术和组织安全措施载于附表3,并可能不时更新。
5.2 控制方负责审查处理方提供的有关数据安全的信息,并独立确定处理方的安全措施是否符合控制方的要求和适用数据保护法规定的法律义务。
6.分包
未经控制人事先书面同意,处理人不得将任何数据处理分包给第三方分包商,控制人不得无理拒绝、附加条件或延迟同意。 控制方同意处理方聘请其附属机构和其他第三方分包商处理数据,但条件是 (i) 处理人至少提前 10 天通知任何分包商的增加或移除(包括其执行或将执行的处理的详情),该通知可通过电子邮件发送给控制人;(ii) 处理人对其指定的任何分包商实施数据保护条款,该条款以本协议规定的大致相同的标准保护数据;以及 (iii) 处理人仍对因其分包商的行为、错误或疏忽而造成的任何违反本协议的行为承担全部责任。 截至生效日期的分包商见附表 4。
7.合作与数据当事人的权利
考虑到处理的性质,处理者将在可能的情况下及时通知控制者,并向控制者提供合理的协助(费用由控制者承担),以便控制者能够对以下情况作出回应: (i) 資料當事人要求行使其在適用的資料保障法下的任何權利 (包括但不限於其查閱、更正、反對、刪除及資料可攜性的權利 (如適用));及 (ii) 資料當事人、監管機構或其他第三方就資料處理而提出的任何其他通訊、查詢或投訴。 除非法律另有规定,处理方不负责直接回复任何请求、信件、查询或投诉。
8.安全事件
8.1 處理器在知悉任何保安事故後,須立即通知控制人。處理器將盡合理的努力找出該保安事故的原因,並採取其認為必要及合理的步驟,在處理器可控制的範圍內,糾正該保安事故的原因;但如保安事故是由控制者或與服務有關的任何第三方所引致,則處理器並無上述責任。
8.2 控制方将承担因控制方(或任何第三方)的疏忽行为或不行为或违反本协议而导致的安全事件相关损失和费用(包括合理的律师费),包括但不限于以下任何费用:(a) 向受影响的个人和监管机构提供安全事件通知的费用;(b) 采取补救措施或以其他方式减轻安全事件造成的任何实际或潜在损害或伤害的费用,包括但不限于建立呼叫中心、提供信用监控或信用恢复服务的费用。
9.数据的转移、删除或归还
控制人有权应处理人的要求,从处理人处获得处理人拥有的所有数据的副本,费用由控制人承担。 处理人将在控制人的费用范围内提供控制人合理要求的任何进一步协助,以便安全地向第三方移交任何数据。 处理人还同意,在控制人提出要求时,删除或以其他方式安全销毁处理人拥有的所有数据(包括但不限于分包商拥有的任何数据),费用由控制人承担。 在此情況下,處理器會隔離及保護資料,使其免受任何進一步處理,惟法律規定者除外,然後盡快歸還或安全銷毀資料。
10.审计
处理方将应要求在合理的时间间隔内,并在适用的数据保护法要求的情况下,向控制方提供所有必要的信息,以证明遵守了该法律规定的义务;但双方将尽最大努力通过书面调查表和报告或证明的副本来履行所有审计义务。如果审计结果无法通过书面资料获得,也允许进行检查。除非适用的数据保护法另有规定,否则控制方每个日历年只能根据本节要求进行一次审计。 所有审计及其他文件和信息的提供将由控制方承担费用,并遵守本协议的保密规定。 处理人可要求所有接收信息的第三方书面承诺将所有信息视为机密信息,作为遵守本节规定的条件。
11.数据传输的传输机制
11.1 如果在履行服务过程中,受 GDPR 或适用于欧洲经济区或英国的与个人保护或隐私相关的任何其他法律管辖的数据被转移到欧洲经济区或英国以外的国家(如美国),而这些国家无法确保适用数据保护法意义上的适当数据保护水平,则下文列出的转移机制将适用于此类转移,并且可由双方直接执行(在适用数据保护法允许的范围内):
11.1.1 对于控制方以控制方身份行事、处理方以处理方身份行事的欧洲经济区转移,欧洲经济区示范条款模块二(控制方对处理方)--须遵守本协议附表 1 中的条款;
11.1.2 对于控制方以处理方身份行事、处理方以控制方的子处理方身份行事的欧洲经济区转移,欧洲经济区示范条款模块三(处理方对处理方)--受本协议附表 1 条款的约束;
11.1.3 对于英国的转让,欧洲经济区示范条款模块二或模块三(视情况而定)加上英国附录修正案,但须遵守本议定书附表 1 中的条款。
11.1.4 对于瑞士数据传输,根据本协议附表 1 中的条款,采用欧洲经济区示范条款模块二或模块三(视情况而定)。
12.责任限制
处理器及其附属机构因本协议引起的或与本协议有关的总责任受本协议中规定的责任限制、担保限制、免责声明以及其他担保和责任排除的限制。 无论索赔的性质如何--无论是合同、侵权行为还是其他责任理论,上述规定均适用。
13.赔偿
Controller 将为处理器、其附属机构、分包商及其各自的所有者、董事、高级职员、经理、成员、雇员、承包商和代理辩护、进行赔偿并使其免受任何及所有责任、损失、损害或费用(包括律师费)的损害,这些责任、损失、损害或费用是由以下原因造成或引起的:(a) Controller 或其代理(包括但不限于与服务有关的第三方)的疏忽、故意不当行为或欺诈;(b) Controller 提供的指示;或 (c) Controller 违反本协议规定的义务。
14.杂项
14.1 本《议定书》中的章节标题和其他标题仅供参考之用,不构成本《议定 书》的组成部分,也不影响本《议定书》的含义或解释。
14.2 本《议定书》的条款可以分割。如果任何条款或规定全部或部分无效或不可执行,则这种无效性或不可执行 性将只影响该条款或规定,而本议定书的其他条款和规定仍将完全有效。
14.3 本议定书规定的任何通知、信函或其他通信必须根据协议条款提供。
14.4 本《议定书》的各项条款对双方及其各自的继承人和受让人具有约束力。
14.5 除非适用的数据保护法另有规定,否则本协议在所有方面均受协议中规定的管辖法律和管辖权条款管辖,并按照其进行解释。
附表 1
欧洲经济区、英国和瑞士数据传输机制
就示范条款模块二(控制方对处理方)和示范条款模块三(处理方对处理方)而言,控制方是数据输出方,处理方是数据输入方,双方同意以下内容。 如本附表 1 未明确提及哪个模块适用,则两个模块均适用。
1.对《示范条款》和《英国增补修订案》的引用。以提及方式纳入《示范条款》模块 2 和模块 3 中的相关条款,这些条款是本《议定 书》的组成部分。 英国附录修正案》也以提及方式纳入本议定书,并作为本议定书的组成部分。 条款范本》附录和《英国增补修正案》所需信息载于附表 2。
2.对接条款。双方选择删除《示范条款》中的可选对接条款(第 7 条)。
3.指示。本协议和本协议是控制方在签署本协议时对处理方处理个人数据的完整和最终的书面指示。 任何附加或替代指令必须与本协议和协定的条款一致。 就示范条款第 8.1(a)条而言,控制方处理个人数据的指示包括为执行服务而向欧洲经济区和英国以外的第三方进行的转发。
在控制方作为处理方行事的情况下,客户声明并保证,其在《协议》和本《协议》中规定的处理指示,包括其根据本《协议》授权处理方指定子处理方,已获得相关控制方的授权。 控制器将全权负责在适当情况下将从处理器收到的任何通知转发给相关控制器。
4.处理的安全性。就《示范条款》第 8.6(a)条而言,"控制方 "完全负责独立确定附表 3 中规定的技术和组织措施是否符合 "控制方 "的要求,并同意(考虑到技术发展水平、实施成本以及处理其个人数据的性质、范围、背景和目的以及对个人的风险)处理方实施和维护的安全措施提供了与此类个人数据的风险相适应的安全级别。 就《示范条款》第 8.6(c)条而言,个人数据泄露将根据《议定书》第 8 条进行处理。
5.根据《示范条款》进行审计。双方同意,《示范条款》第 8.9 条所述审计将根据《议定书》第 10 节进行。
6.使用分包商的一般授权。締約雙方根據《條款範本》第 9 條選擇方案 2。 就第9(a)條而言,處理者獲控制者一般授權,可根據《協議》第6條聘用次處理者。 处理人将根据本《议定书》第6条向客户提供现有的次级处理人名单(次级处理人称为 "分包商")。 如处理人与次处理人订立与提供服务有关的示范条款模块三(处理人对处理人),控制人特此授权处理人及其联属公司代表控制人提供一般授权,让参与提供服务的次处理人聘用次处理人,以及增加或更换任何该等次处理人的决策和批准权。
7.投诉--补救。双方选择删除示范条款第 11 条中的可选语言。 就第 11 條的其餘文字而言,在符合《議定書》第 7 條的規定下,處理者會在其網站上告知資料當事人有關投訴的聯絡點。 如果处理人收到数据主体关于根据本协议处理的个人数据的投诉,处理人将通知控制人,处理人将不无故拖延地把投诉转达给控制人。 处理人在其他方面没有义务处理该请求(除非法律另有规定或与控制人另有约定)。
8.責任。 除本协议和议定书中规定的其他限制外,处理人根据示范条款第 12 条承担的责任仅限于因处理人未遵守适用数据保护法专门针对处理人规定的义务,或处理人的行为超出或违反控制人提供的合法指令(如 GDPR 第 82 条规定)而造成的损害。
9.监督。条款范本》第 13 条适用如下:
a.如果控制方设立在欧盟成员国,负责确保控制方在数据传输方面遵守 GDPR 的监管机构将作为主管监管机构。
b.如果控制方未在欧盟成员国设立,但根据《GDPR》第 3(2)条属于《GDPR》的领土范围,并已根据《GDPR》第 27(1)条任命了一名代表,则《GDPR》第 27(1)条所指的代表所在成员国的监管机构将作为主管监管机构行事。
c.如果控制方未在欧盟成员国设立,但根据《GDPR》第 3(2)条属于《GDPR》的领土适用范围,且无需根据《GDPR》第 27(2)条指定代表,则其个人数据被转移或其行为被监控的数据主体所在的其中一个成员国的监管机构将作为主管监管机构。
d.如果控制方设立在英国或属于英国-GDPR 的适用范围,ICO 将作为主管监督机构。
e.如果控制方在瑞士设立,或属于《联邦数据保护法》(瑞士)的适用范围,则瑞士联邦数据保护和信息专员将作为主管监督机构,负责对《联邦数据保护法》所规定的相关数据传输进行监督。
10.政府查閱要求的通知。就《示范条款》第 15.1(a)条而言,处理人在收到政府的查阅要求时,将(仅)通知控 制人,而不通知资料当事人。 控制方将全权负责在必要时及时通知数据当事人。
11.准据法。 在法律允许的最大范围内,就《示范条款》第 17 条而言,准据法为协议准据法部分指定的法律。 否则,《欧洲经济区示范条款》将受以下法律管辖:(a) 关于欧洲经济区(瑞士除外),比利时法律;(b) 关于英国,英格兰和威尔士法律;(c) 关于瑞士,瑞士法律。
12.法庭和管辖权的选择。在法律允许的最大范围内,根据《示范条款》第 18 条具有专属管辖权的法院应为本协议 "地点 "部分指定的法院。 否则,在解决由示范条款引起或与之相关的任何争议或诉讼时,具有专属管辖权的法院为:(a) 涉及欧洲经济区数据主体(瑞士数据主体除外)的数据传输,比利时法院;(b) 涉及英国数据主体的数据传输,英格兰和威尔士法院;(c) 涉及瑞士数据主体的数据传输,瑞士法院。
13.附录。 欧洲经济区示范条款附录将填写如下:
a.附表 2 第 1 节的内容将构成欧洲经济区示范条款附件 I.A。
b. 附表 2 第 2 节的内容将构成欧洲经济区示范条款附件 I.B。
c. 附表 2 第 3 节的内容将构成欧洲经济区示范条款附件 I.C。
d. 附表 2 第 4 节的内容将构成欧洲经济区示范条款附件 II。
14.英国数据出口。英国附录修正案》第一部分表 1 至表 3 所需的信息载于附表 2。 就《英国增补件修正案》第一部分表 4 而言,任何一方均不得在《英国增补件修正案》发生变化时终止该修正案。
15.从瑞士出口数据。对于瑞士的数据传输,欧洲经济区示范条款也适用于与已识别或可识别的法律实体有关的信息传输,这些信息根据瑞士法律受到类似于个人数据的保护--直到这些法律被修订为不再适用于法律实体。 此外,"成员国 "一词不会被解释为排除瑞士数据主体在瑞士行使权利的可能性。
16.冲突。 示范条款受《议定书》约束。 但是,如果《示范条款》适用于某一特定情况,而《示范条款》与《议定书》之间存在冲突,则以《示范条款》为准。
附表 2
服务说明
1.党派
数据输出方:数据输出方的身份和联系方式,以及在欧盟(和/或英国或瑞士)的数据保护官和/或代表(如适用)的身份和联系方式
名称:客户(该术语定义见主服务协议开头段落)("控制方)
地址:如《服务总协议》开头段落所述
联系人姓名、职位和联系方式: 如《总服务协议》第 6 节所述
与根据这些条款转移的数据有关的活动:履行协议规定的服务。
角色: 就模式条款模块二(控制器到处理器)而言,控制器是控制器。 就模式条款模块三(处理器到处理器)而言,控制器是处理器。
数据导入者:数据导入者的身份和详细联系信息,包括负责数据保护的任何联系人。
名称: JIA, Inc:JIA公司("处理器)
地址:201 NE Park Plaza, Suite 220, Vancouver, Washington 98684 United States 201 NE Park Plaza, Suite 220, Vancouver, Washington 98684 United States
联系人姓名、职位和联系方式:Glenn Batson (glenn.batson@jenkon.com)
与根据这些条款转移的数据有关的活动:履行协议规定的服务。
角色:处理器
2.转让说明
a.个人数据被转移的数据主体类别
控制者可向服务提交个人数据,其范围由控制者自行决定和控制,其中可能包括但不限于与以下各类数据主体有关的个人数据:
- 独立销售团队(如代表、顾问、附属机构)、潜在客户、客户、业务合作伙伴、供应商和控制人的雇员(自然人)
- 经控制员授权使用服务的用户
b.转让的个人资料类别
控制者可向服务提交个人数据,其范围由控制者自行决定和控制,其中可能包括但不限于以下类别的个人数据:
- 基本识别信息(如姓名、护照、个人身份信息等)
- 联系信息
- 人口信息
- 财务信息
- 在线标识符(即 IP 地址、cookie 等)
- 用户生成的内容(即社交媒体内容、个人网站等)
c.转移的敏感数据(如适用)
转移的敏感数据(如适用),并采用充分考虑到数据性质和所涉风险的限制或保障措施,例如严格的目的限制、访问限制(包括只有经过专门培训的员工才能访问)、保存数据访问记录、对继续转移的限制或额外的安全措施。
无。
d.传输频率
传输频率(例如,数据是一次性传输还是连续传输)。
根据与服务有关的控制方要求,持续提供。
e.处理的性质
处理的性质是履行协议规定的服务。
f.处理目的、数据传输和进一步处理
处理人将在必要时处理个人数据,以履行协议规定的服务,并根据控制人的进一步指示使用服务。
g.处理期限
个人数据的保留期限,或者,如果无法保留,用于确定该期限的标准。
根据《议定书》第 9 条,除非另有书面约定,处理方将在协议期限内处理个人数据。
h.子处理程序的转让
对于向(子)处理程序的转让,还应说明处理的主题、性质和期限:
根据上述第2(f)小节所述处理者的处理方式,子处理者将在必要时处理个人数据,以根据协议履行服务。根据《协议》第 6 条的规定,除非另有书面约定,子处理人将在协议有效期内处理个人数据。
附表 4 列出了目前用于提供服务的子处理程序的身份及其所在国。子处理方可根据《议定书》第 6 节的规定进行更新。
3.主管监督机构
根据第 13 条确定主管监督机构。
见本议定书附表 1 第 9 节。
4.技术和组织措施
處理器將維持行政、技術及實體保障措施,以保護因服務而處理的個人資料的安全性、保密性及完整性,詳情請參閱附表3或處理器合理提供的其他資料。
附表 3
技术和组织措施,包括确保数据安全的技术和组织措施
处理人使用合理的管理、技术和物理保障措施,包括但不限于加密、强大的密码和访问控制,以限制只有那些需要知道这些信息以履行本协议规定的处理人义务的个人访问个人信息。 處理者亦會記錄誰曾接觸個人資料。处理人接触个人信息的人员会接受有关保障措施和适当接触个人信息的培训。 当处理方需要将个人信息从数据输出方的生产环境中转移出来时,数据首先会通过处理方提供和维护的 "擦除脚本 "程序进行删除或扰乱。 脚本运行后,可通过安全文件传输协议传输数据。
如果数据输出者要求处理者访问数据输出者的生产环境,处理者仅访问数据输出者所要求的内容,且该访问始终由数据输出者管理,并受数据输出者当时可能提供的任何政策或程序的约束。
如上所述,根据微软与处理器之间的合同,微软为处理器提供云存储服务。有关微软技术和组织措施的具体信息,请访问:https://docs.microsoft.com/en-us/azure/compliance/。微软当前形式的数据保护附录可在此处查阅:https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA。
其他措施包括
- 个人数据的化名和加密
- 确保处理系统和服务的持续保密性、完整性、可用性和复原力
- 定期检测、评估和评价技术和组织措施的有效性,以确保处理过程的安全
- 用户识别和授权
- 传输过程中的数据保护
- 存储过程中的数据保护
- 事件记录
- 有限的数据保留
附表 4
分处理器列表
数据导入者使用以下分包商处理协议项下的个人数据:
实体名称 | 次级处理活动 | 实体国家 |
微软公司(Azure) | 第三方云服务提供商 | 美国以及协议中指定的 Azure 租户所在的其他国家。 |
Atlassian | 服务台应用程序提供商 | 美国 |
数据导入器附属机构:
实体名称 | 实体国家 |
Jenkon Mexico S DE RL DE CV | 墨西哥 |
在Jenkon,我们知道您正在建立一个成功的直销公司。您需要的是一个具有核心价值的软件合作伙伴,以无缝支持您的发展战略。诚信。协作。激情。可靠性。信任。
