BROSH 业务合作伙伴数据处理协议
最后修改日期:2023 年 2 月 7 日
条款和条件:
本合作伙伴 DPA 涵盖以下内容的处理:(1) 合作伙伴根据合作伙伴协议上传、传输或以其他方式向 BROSH 提供的个人数据;以及 (2) BROSH(或其客户)根据合作伙伴协议上传、传输或以其他方式向合作伙伴提供的个人数据。
本合作伙伴 DPA(包括下文定义的 SCC)和合作伙伴协议在本合作伙伴 DPA 中统称为“协议”。如果本协议的任何条款之间存在任何冲突或不一致,则应以以下文件(按优先顺序)的规定为准:(a) SCC (b) 本合作伙伴 DPA;以及 (c) 合作伙伴协议。
本合作伙伴 DPA 的目的是建立一个框架来处理以下情况:
- BROSH 和合作伙伴可以根据合作伙伴协议,各自作为欧洲个人数据的控制者(定义如下),并且在某些情况下,将该欧洲个人数据转移给另一方,以供该另一方充当该欧洲个人数据的控制者;
- BROSH 和合作伙伴可能各自是欧洲个人数据的控制者,并且在某些情况下,将该欧洲个人数据转移给另一方,以便该另一方作为处理者向另一方提供某些服务(例如,作为解决方案合作伙伴提供服务或完成 API 调用);或者
- BROSH 和合作伙伴可以各自成为联合客户的欧洲个人数据的处理者,并根据该联合客户的指示将此类数据传输给另一方进行处理。
1. 定义
“企业”和“服务提供商”将具有 CCPA 中赋予的含义。
“加州个人信息”是指受 CCPA 保护的个人信息。
“CCPA” 指加州民法典第 1798.100 条及以下条款(也称为 2018 年加州消费者隐私法案)。
“控制者”是指单独或与他人共同决定处理个人数据的目的和方法的自然人或法人、公共主管机关、机构或其他机构。
“数据保护法”是指适用于根据本协议处理相关个人数据的各方的与数据保护和隐私有关的所有适用的全球法律或法规,包括但不限于欧洲数据保护法、CCPA 以及澳大利亚和新加坡的数据保护和隐私法;在每种情况下均会不时修订、废除、合并或替换。“欧洲”是指欧盟、欧洲经济区和/或其成员国、瑞士和英国。
“欧洲数据保护法”是指在欧洲适用的数据保护法,包括:(i) 欧洲议会和理事会关于在个人数据处理和此类数据自由流动方面保护自然人的 2016/679 号条例(通用数据保护条例)(“GDPR”);(ii) 关于个人数据处理和电子通信领域隐私保护的 2002/58/EC 指令;以及 (iii) 适用的 (i) 和 (ii) 的国家实施;或 (iii) 根据 2018 年《欧洲联盟(退出)法案》第 3 条构成英国国内法一部分的 GDPR(“英国 GDPR”);以及 (iv) 1992 年 6 月 19 日的瑞士联邦数据保护法及其条例(“瑞士 DPA”);在每种情况下,均可能被修订、取代或替换。
“欧洲个人数据”是指根据本协议共享并受欧洲数据保护法管制的个人数据。
“联合客户”是指合作伙伴和 BROSH 共同的客户。
“联合客户个人数据”是指联合客户作为控制者的任何个人数据。
“BROSH 个人数据”是指 BROSH 作为控制者的任何个人数据。
“合作伙伴个人数据”是指合作伙伴作为控制者的任何个人数据。
“个人数据”是指与已识别或可识别个人有关的任何信息,此类信息包含在 BROSH 个人数据、合作伙伴个人数据或联合客户个人数据中,并且根据适用的数据保护法受到与个人数据或个人身份信息类似的保护。
“个人数据泄露”是指对个人数据的任何意外或非法破坏、丢失、更改、未经授权的披露或访问。
“处理”是指对个人数据执行的任何操作或操作集,包括收集、记录、组织、构建、存储、调整或更改、检索、查阅、使用、通过传输、传播或以其他方式提供、调整或组合、限制或删除个人数据。术语“处理”、“进程”和“已处理”将作相应解释。
“处理者”是指代表控制者处理个人数据的自然人或法人、公共主管机关、机构或其他机构。
“标准合同条款”或“SCC”是指欧盟委员会 2021 年 6 月 4 日第 2021/914 号实施决定所附的标准合同条款。
“子处理器”是指向处理器提供处理服务的任何实体。
“监管机构”是指由欧洲经济区成员国、瑞士或英国设立的独立公共机构。
“英国附录”是指英国 ICO 根据 2018 年数据保护法第 119A 条发布的《国际数据传输附录》(版本 B.1.0),其可能会被修订、取代或替换。
2. 遵守法律
双方应各自声明并保证其将遵守适用的数据保护法规定的各自义务和责任。
3. 联合处理器场景
各方在与另一方共同担任联合客户个人数据处理方的范围内,应 (i) 遵守与联合客户的任何协议中规定的指示和限制;以及 (ii) 与另一方合理合作,以行使适用数据保护法规定的数据保护权利。双方均承认并同意,各方均担任联合客户的处理方,任何一方均不得将另一方作为子处理方。
4. 控制者对控制者场景
各方在其与另一方共同充当个人数据控制者的范围内,将与另一方进行合理合作,以使其能够行使适用的数据保护法所规定的数据保护权利。
双方承认并同意,各方均独立地作为个人数据的控制者,并且双方不是欧洲数据保护法定义的联合控制者。
5. 控制器到处理器场景
对于 BROSH 代表合作伙伴并按照合作伙伴的指示处理个人数据的处理操作,术语“处理方”指 BROSH,术语“控制方”指合作伙伴,术语“个人数据”指合作伙伴个人数据。对于合作伙伴代表 BROSH 并按照 BROSH 的指示处理个人数据的数据处理操作,术语“处理方”指合作伙伴,术语“控制方”指 BROSH,术语“个人数据”指 BROSH 个人数据。
B.处理范围。
在上述第 5.a 节所述情形下,各方同意仅为适用的合作伙伴协议和/或合作伙伴与联合客户达成的协议中规定的目的处理个人数据。为避免疑问,本 DPA 的附表 A 中描述了处理的个人数据类别和受本 DPA 约束的数据主体类别。
6. 控制者义务
各方作为控制者同意:
A.向处理者提供指令并按照协议约定确定处理者处理个人信息的目的和方式;以及
B.遵守适用的数据保护法为控制者规定的有关个人数据的保护、安全和其他义务,方式如下:(i)建立并维护代表控制者处理个人数据的个人行使权利的程序;(ii)仅处理合法有效收集的数据,并确保此类数据与各自的用途相关且成比例;以及(iii)确保其人员或代表其访问或使用个人数据的任何第三方遵守本 DPA 的规定。
7. 处理者义务
A.处理要求。各方作为处理者同意:
a.处理个人数据 (i) 仅用于提供、支持和改进处理方的产品和服务(包括提供见解和其他报告),使用适当的技术和组织安全措施;以及 (ii) 遵守控制方发出的指示。处理方不得将个人数据用于任何其他目的。如果处理方无法遵守本 DPA 第 6-9 条的要求,处理方将立即书面通知控制方,在这种情况下,控制方可以终止本协议和任何适用的合作伙伴协议,或采取任何其他合理行动,包括暂停数据处理操作;
b.如果处理者认为控制者的指令违反了适用的数据保护法,则应立即、毫不拖延地通知控制者;
c.如果处理者代表控制者从个人收集个人信息,则应遵循控制者关于此类个人信息收集的指示;
d.采取商业上合理的措施确保 (i) 其雇用的人员和 (ii) 代表处理方执行工作的其他人员遵守本协议以及适用的合作伙伴协议的条款;
e.声明并保证其雇员、授权代理人及任何子处理者均须遵守严格的保密义务(无论是合同义务还是法定义务),并且不得允许任何不承担此类保密义务的人员处理个人数据;
f.如果企业打算聘用子处理商来帮助其履行本 DPA 规定的义务,或将全部或部分处理活动委托给此类子处理商,则 (i) 向控制者提供企业当前聘用的子处理商列表(BROSH 的此类列表可在线获取,网址为https://www.brosh.io/pagex/zh-cn/sub-processors-page.html ),并至少提前 30 天将聘用任何新子处理商的情况通知控制者,让控制者有机会提出异议;(ii) 如果此类子处理商按照企业指示行事,则企业仍需对子处理商在数据保护方面的作为和不作为向控制者承担责任;以及 (iii) 与此类子处理商签订合同安排,约束其提供与本文规定相同级别的数据保护和信息安全;
g.根据要求向控制者提供处理者的隐私和安全政策;以及
h.如果处理者进行独立安全审查,则通知控制者。
B. 通知控制者。如果处理者发现以下情况,处理者应立即、毫不拖延地通知控制者:
a.处理方或其员工不遵守本 DPA 第 6 至 9 条或与根据本 DPA 处理的个人数据保护有关的适用数据保护法;
b.任何执法机构或政府机构提出的具有法律约束力的个人信息披露请求,除非法律禁止处理者通知控制者,例如为了维护执法机构调查的机密性;
c.监管机构就个人数据发出的任何通知、问询或调查;或
d.任何直接来自控制者数据主体的投诉或请求(尤其是访问、更正或阻止个人数据的请求)。未经控制者事先书面授权,处理者不会回应任何此类请求。
C. 协助控制者。处理者将就以下事项向控制者提供及时、合理的协助:
a.响应个人根据适用的数据保护法行使权利的任何请求(包括其访问、更正、反对、删除和数据可携性的权利,如适用),并且处理者同意在直接收到此类请求时立即通知控制者;
b.调查个人数据泄露事件并向监管机构和控制者数据主体通报此类个人数据泄露事件;以及
c.在适当情况下,准备数据保护影响评估,并在必要时与任何监管机构进行磋商。
D.所需处理。
如果数据保护法要求处理者因与本协议无关的原因处理任何个人数据,则处理者将在任何处理之前将此要求告知控制者,除非法律禁止处理者告知控制者此类处理(例如,由于适用的欧盟成员国法律可能存在的保密要求)。
E. 安全性。处理者将:
a.维持适当的组织和技术安全措施(包括针对人员、设施、硬件和软件、存储和网络、访问控制、监控和日志记录、漏洞和违规检测、事件响应、传输和静态个人数据加密),以防止未经授权或意外的访问、丢失、更改、披露或破坏个人数据;
b.负责确保处理方所有人员对个人数据的安全、隐私和保密保障措施充分,并对此类处理方人员未能满足本 DPA 的条款承担责任;
c.采取适当措施确认处理方所有人员均按照本 DPA 的要求保护个人数据的安全性、隐私性和机密性;并且
d.当处理者、其子处理者或代表处理者行事的任何其他第三方发生任何个人数据泄露时,应立即通知控制者,且无论如何应在发现个人数据泄露后 48 小时内通知控制者。
F. 加州个人信息的附加规定。
当处理者根据控制者发出的指示处理加州个人信息时,双方承认并同意,控制者是企业,而处理者是 CCPA 所指的服务提供商。双方同意,处理者将作为服务提供商处理加州个人信息,严格用于提供、支持和改进处理者的服务(包括提供见解和其他报告)(“业务目的”)或 CCPA 允许的其他目的。
8. 审计、认证
一、监管部门审计。
如果监管机构要求对处理者处理个人数据的数据处理设施进行审计,以确定或监控是否遵守数据保护法,则处理者将配合此类审计。控制者将补偿处理者为配合审计而产生的合理费用,除非此类审计发现处理者不遵守本 DPA。
B. 处理器认证。
处理者必须根据控制者的要求(每个日历年不超过一次请求)通过电子邮件(如果 BROSH 是处理者,则此类电子邮件应发送至 privacy@brosh.io;如果合作伙伴是处理者,则合作伙伴应根据要求建立并向 BROSH 提供有关数据保护电子邮件通信的单一联系点)证明其书面遵守本 DPA。
9. 数据返回和删除
双方同意,在数据处理服务终止或控制者提出合理要求时,处理者应采取合理措施,促使任何子处理者按照控制者的选择,将所有欧洲个人数据及其副本返还给控制者或安全销毁,并向控制者证明其已采取此类措施,除非数据保护法禁止处理者返还或销毁已披露的全部或部分欧洲个人数据。在这种情况下,处理者同意对其保留的欧洲个人数据保密,并且仅在该日期之后主动处理此类欧洲个人数据,以遵守适用法律。
10. 数据传输
无论何时将个人数据转移到其原籍国以外,各方都将确保此类转移符合数据保护法的要求。
a. 合作伙伴个人数据。对于将欧洲个人数据从合作伙伴转移到 BROSH 以供 BROSH 在欧洲以外的司法管辖区进行处理,而该司法管辖区无法为个人数据提供足够的保护水平(在适用的欧洲数据保护法的含义范围内),双方同意:(i)标准合同条款:双方同意遵守并按照下文第 10(c) 节中所包含的 SCC 处理欧洲数据。
(ii)隐私保护:尽管根据欧盟法院在 C-311/18 案中的判决,BROSH, Inc. 不依赖欧盟-美国隐私保护作为传输个人数据的法律依据,但只要 BROSH, Inc. 自我认证符合隐私保护,BROSH Inc 就会根据隐私保护原则处理欧洲个人数据,如果合作伙伴无法遵守此要求,则会告知合作伙伴。
双方同意,BROSH 实体为其处理欧洲个人数据的数据主体是 SCC 下的第三方受益人。如果 BROSH 无法或无法遵守这些要求,则欧洲个人数据将仅在欧盟成员国境内处理和使用,并且任何欧洲个人数据向非欧盟国家的转移都需要合作伙伴就欧洲个人数据事先书面同意。如果 BROSH 无法遵守本第 10(a) 条的规定,BROSH 应立即通知合作伙伴。
b. BROSH 个人数据。对于将欧洲个人数据从 BROSH 转移到合作伙伴,并由合作伙伴在欧洲以外的司法管辖区进行处理,而该司法管辖区无法为个人数据提供足够的保护水平(在适用的欧洲数据保护法的含义范围内),双方同意:
(i)标准合同条款:双方同意遵守并按照下文第 10(c) 节中所包含的 SCC 处理欧洲数据。
(ii)隐私保护:只要 BROSH, Inc. 对隐私保护进行自我认证,合作伙伴就会根据隐私保护原则处理欧洲个人数据,如果无法遵守此要求,则会告知 BROSH。
双方同意,合作伙伴为其处理欧洲个人数据的数据主体是 SCC 下的第三方受益人。如果合作伙伴无法或无法遵守这些要求,则欧洲个人数据将仅在欧盟成员国境内处理和使用,并且任何欧洲个人数据向非欧盟国家/地区的转移都需要 BROSH 就个人数据事先书面同意。合作伙伴应及时通知 BROSH 其无法遵守本第 10(b) 条的规定。
c. 标准合同条款。双方承认并同意,就 SCC 而言:(i) 对于合作伙伴个人数据,“数据输出方”应为合作伙伴,“数据输入方”应为 BROSH(代表其自身及其关联方行事);(ii) 对于 BROSH 个人数据,“数据输出方”应为 BROSH(代表其自身及其关联方行事),“数据输入方”应为合作伙伴;(iii) 如果双方均为控制者,则应适用模块一条款;如果根据 SCC 接收个人数据的一方代表作为控制者的另一方充当处理者,则应适用模块二条款;(iv) 在第 7 条中,应适用可选对接条款;(v) 在第 9 条中,应适用模块二的选项 2,处理者应根据本 DPA 第 7(a) 节获得子处理者的授权;(vi) 在第 11 条中,应删除可选语言; (vii) 在第 17 条和第 18(b) 条中,SCC 应受爱尔兰共和国或签订本协议的 BROSH 法人实体设立所在地的欧洲经济区成员国法律管辖,争议应在该等国家或地区的法院解决,如果该 BROSH 未设立在欧洲经济区,则应在爱尔兰共和国设立;(viii) 在 SCC 的附件一中,各方的详细信息在本协议中列出;以及 (ix) SCC 附件一和附件二中的其余信息应被视为与本 DPA 附表 A 中列出的信息一起完成。
d. 英国转移。对于受英国 GDPR 约束的个人数据,SCC 应根据上述第 10(c) 条和以下附加修改适用:(i) SCC 应根据英国附录的规定进行修订,并应通过引用纳入其中;(ii) 英国附录第 1 部分中的表 1 至表 3 应填写本 DPA 附表 A 中规定的相关信息;(iii) 英国附录第 1 部分中的表 4 应通过选择“均不”视为已完成;(iv) SCC 和英国附录之间的任何冲突应根据英国附录第 10 条和第 11 条解决。
e. 瑞士转移。对于受瑞士 DPA 约束的个人数据,SCC 应根据上述第 10(c) 条和以下附加修改适用:(i) 对“法规 (EU) 2016/679”及其中的具体条款的引用应解释为对瑞士 DPA 及其中等效条款或章节的引用;(ii) 对“欧盟”、“联盟”和“成员国”的引用应替换为对“瑞士”的引用;(iii) 对“主管监督机构”和“主管法院”的引用应替换为对“瑞士联邦数据保护信息专员”和“瑞士适用法院”的引用;(iv) 在第 17 条和第 18(b) 条中,SCC 应受瑞士法律管辖,争议应在瑞士法院解决。
11. 期限
只要任何一方依据并按照合作伙伴协议对另一方上传或以其他方式提供的个人信息进行个人信息处理操作,本DPA 将持续有效。
12. 赔偿
各方均应为另一方及其子公司、关联公司及其各自的管理人员、董事、员工和代理人进行辩护、赔偿并免遭所有损失、损害、责任、缺陷、诉讼、判决、利息、奖励、处罚、罚款、成本或费用(包括合理的律师费、根据本协议执行任何赔偿权利的费用以及追究任何保险提供商的费用),无论该等损失、损害、责任、缺陷、诉讼、判决、利息、奖励、处罚、罚款、成本或费用因违约方未能遵守本 DPA 或适用法律、法规或欧洲数据保护法中的原则规定的任何义务而引起或导致的任何第三方对另一方提出索赔而产生。各方的责任应受适用合作伙伴协议中的责任限制的约束。
附表 A
附件 A - 转让描述
1.数据主体类别。根据数据输入方和数据输出方之间的协议,所转移的个人数据涉及以下类别的数据主体:
BROSH 会员;数据输出者的潜在和实际客户和员工;数据输出者的销售和营销线索;以及与数据输出者有或可能有商业关系的第三方(例如广告商、客户、企业订阅者、承包商和产品用户)。
2.个人数据类别。所转移的个人数据涉及以下类别的数据:
传输的数据是数据输出者根据合作伙伴协议向数据输入者提供的个人数据。此类个人数据可能包括名字、姓氏、电子邮件地址、联系信息、教育和工作经历以及 BROSH 会员资料、简历、有关销售线索和客户名单的 CRM 数据中提供的其他信息、数据输出者提供的有关上述内容的任何注释以及 BROSH 会员在 BROSH 平台上进行的其他活动。
- 敏感数据(如适用) 。所转移的个人数据可能涉及以下特殊类别的数据:
没有任何。 - 转移频率。
个人数据被持续地转移。 - 处理的性质和目的。转移是为了以下目的:
此次转让旨在建立《合作伙伴协议》中设想的双方关系。“合作伙伴协议”是数据输入方和数据输出方签订的管理双方之间数据共享的协议(但不包括合作伙伴和 BROSH 之间管理合作伙伴购买 BROSH 产品和服务的客户协议)。 - 个人资料保留期限:
双方之间转移的个人数据只能在合作伙伴协议允许的期限内保留。双方同意,在各自与另一方共同担任个人数据控制者的范围内,各方将与另一方进行合理合作,以行使数据保护法规定的数据保护权利。 - 处理的主题、性质和持续时间。
处理的主题、性质和持续时间如协议(包括本 DPA)中所述。 - 主管监督机构。就标准合同条款而言,主管监督机构是合作伙伴或合作伙伴的 EEA 代表所在的 EEA 成员国的机构(就合作伙伴个人数据而言)或 [爱尔兰数据保护专员](就 BROSH 个人数据而言)。就英国和瑞士的转移而言,主管监督机构是英国信息专员或瑞士联邦数据保护信息专员(视情况而定)。
附件 B – 安全措施
我们使用各种安全技术和程序来帮助保护您的个人数据。所有个人数据均使用适当的物理、技术和组织措施进行保护。有关 BROSH 安全性的更多信息,请参阅https://www.brosh.io/pagex/zh-cn/Security-Policy.html 。