BROSH 業務夥伴資料處理協議
最後修改時間:2023 年 2 月 7 日
條款及條件:
本合作夥伴 DPA 涵蓋以下處理: (1) 合作夥伴上傳、傳輸或以其他方式向 BROSH 提供的與合作夥伴協議相關的個人資料; (2) BROSH(或其客戶)上傳、傳輸或以其他方式向合作夥伴提供的與合作夥伴協議相關的個人資料。
本合作夥伴 DPA(包括 SCC,定義如下)和合作夥伴協議在本合作夥伴 DPA 中統稱為「協議」。若本協議的任何條款之間存在任何衝突或不一致,則應以以下文件的規定(按優先順序排列)為準: (a) SCC (b) 本合作夥伴 DPA; (c) 合作夥伴協議。
這個合作夥伴 DPA 的目的是建立一個框架來解決以下場景:
- 根據合作夥伴協議,BROSH 和合作夥伴可以各自成為歐洲個人資料的控制者(定義如下),並且在某些情況下,將該歐洲個人資料傳輸給另一方,以便該另一方充當該歐洲個人資料的控制者。
- BROSH 和合作夥伴可能各自是歐洲個人資料的控制者,並且在某些情況下,將該歐洲個人資料傳輸給另一方,以便該另一方作為處理者向另一方提供某些服務(例如,作為解決方案合作夥伴執行服務或完成 API 呼叫);或者
- BROSH 和合作夥伴可能各自是聯合客戶的歐洲個人資料的處理者,並將此類資料傳輸給另一方,以便按照該聯合客戶的指示進行處理。
1. 定義
「企業」和「服務提供者」具有 CCPA 中賦予的含義。
「加州個人資訊」指受 CCPA 保護的個人資料。
「CCPA」指《加州民法典》。 1798.100 及以下(也稱為 2018 年加州消費者隱私法案)。
「控制者」指單獨或與他人共同決定個人資料處理的目的和方式的自然人或法人、公共機關、代理機構或其他機構。
「資料保護法」指與資料保護和隱私相關的所有適用的全球法律或法規,適用於根據本協議處理相關個人資料的各方,包括但不限於歐洲資料保護法、CCPA 和資料保護法。澳洲和新加坡的保護和隱私法;每種情況均不時修訂、廢除、合併或替換。 「歐洲」指歐盟、歐洲經濟區和/或其成員國、瑞士和英國。
「歐洲資料保護法」指適用於歐洲的資料保護法,包括: (i) 歐洲議會和理事會關於在個人資料處理和自由流動方面保護自然人的第 2016/679 號條例此類資料(《一般資料保護規範》)(“GDPR”); (ii) 關於電子通訊領域個人資料處理和隱私保護的指令 2002/58/EC; (iii) 適用的國家實施 (i) 和 (ii) 的情況; (iii) GDPR,因為它根據 2018 年歐盟(退出)法案第 3 條構成英國國內法的一部分(「英國 GDPR」); (iv) 1992 年 6 月 19 日瑞士聯邦資料保護法及其條例(「瑞士 DPA」);在每種情況下,可能會被修改、取代或替換。
「歐洲個人資料」是指根據本協議共享的個人資料受歐洲資料保護法監管。
「聯合客戶」是指合作夥伴和 BROSH 的客戶。
「聯合客戶個人資料」指聯合客戶作為控制者的任何個人資料。
「BROSH 個人資料」指 BROSH 作為控制者的任何個人資料。
「合作夥伴個人資料」是指合作夥伴作為控制者的任何個人資料。
「個人資料」指與已識別或可識別個人相關的任何信息,此類資訊包含在BROSH 個人資料、合作夥伴個人資料或聯合客戶個人資料中,並且根據適用的資料保護法受到與個人資料或個人識別資訊類似的保護。
「個人資料外洩」指對個人資料的任何意外或非法破壞、遺失、變更、未經授權的揭露或存取。
「處理」指對個人資料執行的任何操作或一組操作,包括收集、記錄、組織、建置、儲存、改編或變更、檢索、諮詢、使用、透過傳輸、傳播或以其他方式提供的揭露、對齊或組合、限製或刪除個人資料。術語「過程」、「過程」和「已處理的」將被相應地解釋。
「處理者」指代表控制者處理個人資料的自然人或法人、公共機構、代理機構或其他機構。
「標準合約條款」或「SCC」係指歐盟委員會 2021 年 6 月 4 日第 2021/914 號實施決定所附的標準合約條款。
「子處理者」是指向處理者提供處理服務的任何實體。
「監管機構」指由歐洲經濟區成員國、瑞士或英國設立的獨立公共機構。
「英國附錄」指英國 ICO 根據 2018 年資料保護法第 s119A 條發布的國際資料傳輸附錄(B.1.0 版),該附錄可能會被修改、取代或取代。
2. 遵守法律
雙方均應聲明並保證,他們將遵守適用的資料保護法規定的各自義務和責任。
3. 聯合處理器場景
每一方與另一方一起作為共同客戶個人資料的處理者,將 (i) 遵守與共同客戶簽訂的任何協議中規定的指示和限制; (ii) 與另一方合理合作,以便行使適用的資料保護法中規定的資料保護權利。雙方均承認並同意,雙方均充當共同客戶的處理者,且任何一方均未聘請另一方作為子處理者。
4. 控制器到控制器場景
各方與另一方一起作為個人資料的控制者,將與另一方合理合作,以行使適用的資料保護法中規定的資料保護權利。
雙方承認並同意,雙方均作為個人資料的控制者獨立行事,且雙方不是歐洲資料保護法定義的聯合控制者。
5. 控制器到處理器場景
對於 BROSH 代表合作夥伴並在合作夥伴的指導下處理個人資料的處理操作,術語「處理者」指 BROSH,術語「控制者」指合作夥伴,術語「個人資料」指合作夥伴個人資料。對於合作夥伴代表 BROSH 並在 BROSH 的指導下處理個人資料的資料處理操作,術語「處理者」指合作夥伴,術語「控制者」指 BROSH,術語「個人資料」指 BROSH 個人資料。
B.處理範圍。
在上述第 5.a 節所述的情況下,各方同意僅出於適用的合作夥伴協議和/或合作夥伴與共同客戶的協議中規定的目的處理個人資料。為避免疑義,本 DPA 的附表 A 中描述了所處理的個人資料的類別以及受本 DPA 約束的資料主體的類別。
6. 控制者義務
雙方以控制者的身分同意:
A.提供處理者指示,並根據協議確定處理者處理個人資料的目的和方式;和
B.透過以下方式遵守適用的資料保護法規定的控制者對個人資料的保護、安全和其他義務: (i) 建立和維護一個程序,以行使其個人資料在其上處理的個人的權利代表財務主任; (ii) 僅處理合法有效收集的數據,並確保此類數據與各自的用途相關且相稱; (iii) 確保其人員或代表其存取或使用個人資料的任何第三方遵守本 DPA 的規定。
7. 處理者的義務
A.加工要求。雙方作為處理者同意:
一個。 (i) 僅出於提供、支援和改進處理者的產品和服務(包括提供見解和其他報告)的目的,使用適當的技術和組織安全措施處理個人資料; (ii) 遵守財務主任的指示。處理者不會出於任何其他目的使用或處理個人資料。如果處理方無法遵守本DPA 第6 - 9 條的要求,則處理方將立即書面通知控制方,在這種情況下,控制方可以終止本協議以及任何適用的合作夥伴協議,或採取任何其他合理行動,包括暫停資料處理操作;
b.如果處理者認為控制者的指令違反了適用的資料保護法,請立即通知控制者,不得無故拖延;
c.如果處理者代表控制者收集個人數據,請遵循控制者關於此類個人資料收集的指示;
d.採取商業上合理的步驟,確保 (i) 其僱用的人員和 (ii) 代表處理者履行職責的其他人員遵守本協議和適用的合作夥伴協議的條款;
e.聲明並保證其員工、授權代理和任何子處理者均須遵守嚴格的保密義務(無論是合約義務還是法定義務),並且不得允許任何不承擔此類義務的人處理個人資料。
f.如果其打算聘用分處理者來幫助其履行本DPA 規定的義務,或將全部或部分處理活動委託給此類分處理者,(i) 向控制者提供處理者目前聘用的分處理者清單(此類別清單有關 BROSH 的信息,請訪問https://www.brosh.io/pagex/zh-hk/sub-processors-page.html在線獲取),並至少提前30 天通知控制者任何新子處理者的參與,並給予控制者有反對的機會; (ii) 若子處理者依照處理者的指示行事,則仍需對子處理者在資料保護方面的作為與不作為承擔責任; (iii) 與此類分處理者簽訂合約安排,約束他們提供與本協議規定相同程度的資料保護和資訊安全;
g。根據要求,向控制者提供處理者的隱私和安全政策;和
h.如果處理者進行獨立安全審查,請通知控制者。
B. 致財務總監的通知。如果處理者意識到以下情況,處理者將立即且不得無故拖延地通知控制者:
一個。處理者或其員工未遵守本 DPA 第 6 至 9 條或與保護依本 DPA 處理的個人資料相關的適用資料保護法;
b.執法機構或政府機構提出的任何具有法律約束力的個人資料揭露請求,除非法律另有規定禁止處理者通知控制者,例如為了保護執法機構調查的機密性;
c.監管機構就個人資料發出的任何通知、詢問或調查;或者
d.直接從控制者的資料主體收到的任何投訴或請求(特別是存取、修正或封鎖個人資料的請求)。未經控制者事先書面授權,處理者不會回應任何此類請求。
C. 向財務主任提供協助。處理者將在以下方面向控制者提供及時、合理的協助:
一個。回應個人根據適用的資料保護法行使權利(包括其存取、更正、反對、刪除和資料可攜性的權利,如適用)的任何請求,並且處理者同意,如果直接收到此類請求,則立即通知控制者;
b.對個人資料外洩的調查以及就此類個人資料外洩向監管機構和控制者資料主體發出通知;和
c.在適當的情況下,準備資料保護影響評估,並在必要時與任何監管機構進行諮詢。
D.所需的處理。
如果資料保護法要求處理者出於與本協議無關的原因處理任何個人數據,處理者將在任何處理之前通知控制者此要求,除非法律禁止處理者通知控制者此類處理的結果(例如,由於適用的歐盟成員國法律中可能存在的保密要求)。
E、安全。處理器將:
一個。維持適當的組織和技術安全措施(包括人員、設施、硬體和軟體、儲存和網路、存取控制、監控和日誌記錄、漏洞和違規檢測、事件回應、傳輸和靜態個人資料加密)以防止未經授權或意外存取、遺失、更改、揭露或破壞個人資料;
b.對所有處理者人員在個人資料方面的安全、隱私和保密保障的充分性負責,並對此類處理者人員未能滿足本 DPA 條款的任何情況負責;
c.採取適當措施,確認處理者的所有人員均依照本 DPA 的要求保護個人資料的安全、隱私和機密性;和
d.如果處理者、其子處理者或代表處理者行事的任何其他第三方發生任何個人資料洩露,請立即通知控制者,並且在任何情況下應在發現個人資料外洩後 48 小時內通知控制者。
F. 加州個人資訊的附加規定。
當處理者根據從控制者收到的指示處理加州個人資訊時,雙方承認並同意控制者是企業,而處理者是 CCPA 中的服務提供者。雙方同意,處理者將作為服務提供者處理加州個人信息,嚴格用於提供、支持和改進處理者的服務(包括提供見解和其他報告)(「商業目的」)或經處理者許可的其他目的。 CCPA。
8. 審核、認證
A. 監管機構審計。
如果監管機構要求對處理者處理個人資料的資料處理設施進行審計,以確定或監控資料保護法的遵守情況,處理者將配合此類審計。控制者將補償處理者因配合審計而產生的合理費用,除非此類審計顯示處理者未遵守本 DPA。
B. 處理器認證。
處理者必須根據控制者的請求(每個日曆年不得超過一次請求)透過電子郵件發送(如果BROSH 是處理者,此類電子郵件應發送至privacy@brosh.io;如果合作夥伴是處理者,合作夥伴應建立並提供根據要求向 BROSH 發送有關資料保護的電子郵件通訊的單一聯絡人),以書面形式證明遵守本 DPA。
9. 資料返回和刪除
雙方同意,在資料處理服務終止或控制者提出合理要求時,處理者應並應採取合理措施,促使任何子處理者根據控制者的選擇,歸還所有歐洲個人資料及其副本。安全地銷毀它們,並向控制者證明已採取此類措施,除非資料保護法阻止處理者返還或銷毀所披露的全部或部分歐洲個人資料。在這種情況下,處理者同意對其保留的歐洲個人資料保密,並且只會在該日期之後積極處理此類歐洲個人數據,以遵守適用的法律。
10. 資料傳輸
無論個人資料被傳輸到其原籍國境外,各方均應確保此類傳輸符合資料保護法的要求。
一個。合作夥伴個人資料。對於將歐洲個人資料從合作夥伴傳輸到BROSH 以便由歐洲以外司法管轄區的BROSH 進行處理,且該司法管轄區無法為個人資料提供足夠水平的保護(在適用的歐洲資料保護法的含義內),雙方同意:(i)標準合約條款:雙方同意遵守並依照下列第 10(c) 條納入的 SCC 處理歐洲資料。
(ii)隱私權護盾:儘管根據歐盟法院在案例 C-311/18 中的判決,BROSH, Inc. 不依賴歐盟-美國隱私權護盾作為個人資料傳輸的法律依據,只要BROSH, Inc. 透過隱私權護盾自我認證,BROSH Inc. 將按照隱私權護盾原則處理歐洲個人數據,並告知合作夥伴是否無法遵守此要求。
雙方同意,BROSH 實體為其處理歐洲個人資料的資料主體是 SCC 下的第三方受益人。如果 BROSH 無法或變得無法遵守這些要求,則歐洲個人資料將僅在歐盟成員國境內進行處理和使用,並且歐洲個人資料向非歐盟國家的任何移動都需要事先合作夥伴對歐洲個人資料的書面同意。如果 BROSH 無法遵守本第 10(a) 條的規定,BROSH 應立即通知合作夥伴。
b.布羅什個人資料。對於將歐洲個人資料從BROSH 傳輸至合作夥伴,以便由歐洲以外司法管轄區的合作夥伴進行處理,且該司法管轄區無法為個人資料提供足夠水平的保護(在適用的歐洲資料保護法的含義內),雙方同意:
(i)標準合約條款:雙方同意遵守並依照下文第 10(c) 條納入的 SCC 處理歐洲資料。
(ii)隱私權護盾:只要 BROSH, Inc. 通過隱私權護盾自我認證,合作夥伴將按照隱私權護盾原則處理歐洲個人數據,並告知 BROSH 如果其無法遵守此要求。
雙方同意,合作夥伴為其處理歐洲個人資料的資料主體為 SCC 下的第三方受益人。如果合作夥伴無法或變得無法遵守這些要求,則歐洲個人資料將僅在歐盟成員國境內進行處理和使用,並且歐洲個人資料向非歐盟國家的任何移動都需要事先BROSH 關於個人資料的書面同意。如果合作夥伴無法遵守本第 10(b) 條的規定,合作夥伴應立即通知 BROSH。
c.標準合約條款。雙方承認並同意,就 SCC 而言:(i) 就合作夥伴個人資料而言,「資料匯出方」應為合作夥伴,「資料匯入方」應為 BROSH(代表其自身及其關聯公司行事) ; (ii) 對於 BROSH 個人數據,「資料匯出方」應為 BROSH(代表其本身及其關聯公司行事),「資料導入方」應為合作夥伴; (iii) 若雙方均為控制者,則應適用模組一條款;如果根據 SCC 接收個人資料的一方代表作為控制者的另一方充當處理者,則應適用模組二條款; (iv) 第7條中,適用可選對接條款; (v) 第 9 條中,模組二的選項 2 應適用,且處理者應依本 DPA 第 7(a) 條取得子處理者的授權; (vi) 刪除第11條中的可選語言; (vii) 在第17 條和第18(b) 條中,SCC 應受愛爾蘭共和國或已簽訂協議的BROSH 法律實體所在的EEA 成員國的法律管轄,並且爭議應在愛爾蘭共和國或EEA 成員國的法院解決。 (viii) 在 SCC 附件一中,協議中列出了雙方的詳細資訊; (ix) SCC 附件一及附件二的其餘資訊應視為已完成本 DPA 附表 A 所列的資訊。
d.英國轉帳。對於受英國 GDPR 約束的個人數據,SCC 應根據上述第 10(c) 條和以下附加修改適用:(i) SCC 應按照英國附錄的規定進行修訂,該附錄應透過引用併入; (ii) 英國附錄第 1 部分的表 1 至表 3 應填寫本 DPA 附表 A 所規定的相關資訊; (iii) 英國附錄第 1 部分的表 4 應視為選擇「均不」已完成; (iv) SCC 與英國附錄之間的任何衝突應根據英國附錄第 10 條和第 11 條解決。
e.瑞士轉帳。對於受瑞士 DPA 約束的個人數據,SCC 應根據上述第 10(c) 條和以下附加修改適用:(i) 引用「條例 (EU) 2016/679」及其中的具體條款應解釋為對瑞士DPA 及其等效條款或章節的引用; (ii) 對「歐盟」、「聯盟」和「成員國」的提及應替換為「瑞士」; (iii) 「主管監理機關」及「主管法院」應替換為「瑞士聯邦資料保護資訊專員」及「瑞士適用法院」; (iv) 在第 17 條和第 18(b) 條中,SCC 應受瑞士法律管轄,爭議應在瑞士法院解決。
11. 期限
只要任何一方根據合作夥伴協議對另一方上傳或以其他方式提供的個人資料進行個人資料處理操作,本 DPA 就一直有效。
12. 賠償
各方應就所有損失、損害、責任、缺陷、訴訟、判決、利息、獎勵、處罰,為另一方及其子公司、關聯公司及其各自的管理人員、董事、員工和代理人進行辯護、賠償並使其免受損害、罰款、費用或任何類型的開支,包括合理的律師費、執行本協議項下任何賠償權利的費用,以及因任何第三方針對另一方的索賠而產生或導致的尋求任何保險提供者的費用因違約方未能遵守本 DPA 或歐洲資料保護法中包含的適用法律、法規或原則規定的任何義務而引起或導致的。各方的責任應遵守適用的合作夥伴協議中的責任限制。
附表A
附件 A - 轉讓說明
1.資料主體的類別。傳輸的個人資料涉及以下類別的資料主體,具體取決於資料匯入方和資料匯出方之間的協定:
布羅什成員;資料導出方的潛在和實際客戶以及員工;數據導出者的銷售和行銷線索;與資料匯出者有或可能有商業關係的第三方(例如廣告商、客戶、企業訂戶、承包商和產品使用者)。
2.個人資料的類別。傳輸的個人資料涉及以下資料類別:
傳輸的資料是資料匯出方根據合作夥伴協議向資料匯入方提供的個人資料。此類個人資料可能包括名字、姓氏、電子郵件地址、聯絡資訊、教育和工作經驗以及BROSH 會員個人資料、簡歷、有關銷售線索和客戶名單的CRM 資料中提供的其他資訊、資料匯出者提供的有關資料的任何註釋。
- 敏感資料(如果適用) 。傳輸的個人資料可能涉及以下特殊類別的資料:
沒有任何。 - 轉移頻率。
個人資料會持續傳輸。 - 處理的性質和目的。此次轉讓的目的如下:
此次轉讓旨在促進合作協議中規定的雙方關係。 「合作夥伴協議」是由資料導入者和資料匯出者簽訂的用於管理各方之間資料共享的協議(但不包括合作夥伴與BROSH 之間用於管理合作夥伴購買BROSH 產品和服務的客戶協議)。 - 個人資料的保留期限:
雙方之間傳輸的個人資料只能保留合作夥伴協議允許的期限。雙方同意,雙方將在與另一方一起作為個人資料的控制者的情況下,與另一方合理合作,以行使資料保護中規定的資料保護權利法律。 - 處理的主題、性質和持續時間。
處理的主題、性質和持續時間如協議(包括本 DPA)所述。 - 主管監督機構。就標準合約條款而言,主管監管機構是合作夥伴或合作夥伴的EEA 代表所在的EEA 成員國的主管機構(就合作夥伴個人資料而言)或[愛爾蘭資料保護專員](就合作夥伴個人資料而言)。就英國和瑞士傳輸而言,主管監管機構是英國資訊專員或瑞士聯邦資料保護資訊專員(如適用)。
附件 B – 安全措施
我們使用各種安全技術和程序來幫助保護您的個人資料。所有個人資料均透過適當的實體、技術和組織措施進行保護。有關 BROSH 安全性的更多信息,請參閱https://www.brosh.io/pagex/zh-hk/Security-Policy.html 。