联系我们

Cookie Consent

We use 'cookies' and related technologies to help identify you and your devices, to operate our site, enhance your experience and conduct advertising and analysis. Some of these cookies are optional and are only used when you have agreed to them. You can consent to all our optional cookies at once, or manage your own preferences through the "cookie preferences" link. You can read more about uses in our cookie policy.

PreferencesDenyAccept

供应商数据处理协议

下载供应商数据处理协议 PDF

下载

本数据处理协议 (”DPA”),自2023年12月21日起由伊顿与服务商(及/或其关联公司)之间生效,规定了与根据伊顿与服务商(和/或其关联公司)之间的任何协议向伊顿(和/或其关联公司)提供的服务和/或产品相关的个人数据(定义见下文)的隐私、保密、安全和保护的条款和条件,无论此类协议在生效之日之前或之后是否存在(如适用的协议,“服务” 协议”),该协议与本 DPA 一起统称为 “协议”)。

卖方和伊顿公学也应统称为”各方” 并分别作为”派对”。

双方特此协议如下:

1。定义
在本DPA中,以下术语应具有以下含义:

1.1。”授权人员” 应指正式和适当授权履行与办公室或协议或合同相关的特定职责的所有人员,在此背景下应包括供应商的工作人员、代理人和分包商。

1.2。”控制器” 是指单独或与其他人共同决定个人数据处理目的和方式的自然人或法人、公共当局、机构或其他机构。

1.3。”数据保护法” 指当前生效的所有适用数据保护法律、规则、规章、指令和政府要求,以任何方式与个人数据的隐私、保密、安全或保护有关,应包括GDPR、PDPA、CCPA和CPRA。

1.4。”数据主体” 应指已识别或可识别的自然人。可识别的自然人是指可以直接或间接识别的人,特别是通过提及诸如姓名、识别号码、位置数据、在线标识符等标识符或该自然人的生理、生理、遗传、心理、经济、文化或社会身份的一个或多个特定因素来识别的人。

1.5。”个人数据” 是指与数据主体相关的任何信息。

1.6。”个人数据泄露” 指安全漏洞,导致传输、存储或以其他方式处理的个人数据意外或非法破坏、丢失、更改、未经授权的披露或访问。

1.7。”处理器” 是指代表控制者处理个人数据的自然人或法人、公共机构、机构或其他机构。

1.8。”服务” 应指服务协议中规定的供应商为伊顿公学完成的工作。

1.9。 “服务协议” 应指卖方与伊顿之间描述和管理卖方向伊顿提供的服务的协议。

1.10。 “正在处理/待处理” 指对个人数据进行的任何操作或一系列操作,无论是否采用自动方式,例如收集、记录、组织、存储、改编或更改、检索、查询、使用、通过传输、传播或以其他方式提供、校准或组合、封锁、删除或销毁。

2。数据处理

2.1。在向伊顿提供服务方面,服务商承认并同意,其只能在履行服务协议义务的必要时处理个人数据,并严格按照伊顿的书面指示(”允许的目的“) 如本 DPA 中所述,在这种情况下,供应商应在处理之前将该法律要求告知伊顿,除非法律出于重要的公共利益理由禁止这样做。

2.2。供应商承认,Eton可能是个人数据的控制者或处理者,如果Eton是处理者,则供应商承认它将是Eton的次级处理者。各方均应遵守并遵守适用的数据保护法对其适用的义务。

2.3。 子处理: 伊顿和服务商同意附表C中的次级处理商名单,该清单可以由卖方聘用。供应商在添加或删除第三方分处理者来处理个人数据之前,应获得伊顿的明确书面同意,前提是:(i) 供应商至少在向本附表C中的现有子处理者名单中添加或删除任何分处理器(包括其执行或将要执行的处理详情)之前至少15天获得伊顿的同意;(ii) 供应商通过向分处理者签订的合同聘请第三方子处理者,实质上,数据保护义务与对数据保护规定的义务相同供应商遵守本 DPA,并确保分处理方遵守本 DPA 和适用的数据保护法规定的供应商应承担的义务。供应商应确保分处理者不得进一步聘用任何第三方分处理商。应伊顿的要求,卖方应提供此类分处理商协议以及伊顿任何后续修正案的副本。在保护商业秘密或其他机密信息(包括个人数据)所必需的范围内,供应商可以在共享副本之前编辑协议文本。供应商应与分处理方达成第三方受益人条款,根据该条款,如果供应商事实上已经消失、法律不存在或已经破产,Eton有权终止分处理者合同并指示分处理者删除或归还个人数据;(iii) 供应商仍对因其分处理者的行为、错误或疏忽而导致的任何违反本DPA的行为承担全部责任。如果伊顿基于与保护个人数据有关的合理理由拒绝同意供应商任命第三方分处理者,则伊顿可以选择暂停或终止服务协议而不会受到处罚。

2.4。 处理的保密性: 供应商将限制其人员未经授权处理个人数据。供应商将对其人员施加适当的合同义务,包括与保密、数据保护和数据安全有关的相关义务。供应商应确保将其义务转移给其授权处理个人数据的任何人(包括供应商以任何身份任职的人员、供应商的员工和分包商)(和”授权人士“)应遵守严格的保密义务(无论是合同义务还是法定义务),并且不得允许任何没有此类保密义务的人处理个人数据。供应商应确保所有授权人员仅在必要时为许可目的处理个人数据。

2.5。为避免疑问,任何可能导致本 DPA 范围之外进行处理的指令(例如,由于引入了新的处理目的)都需要双方事先达成协议,并且在适用的情况下,应遵守相应协议下的合同变更程序

2.6。如果供应商认为某项指令违反了数据保护法,供应商应毫不拖延地书面通知伊顿,并以书面形式详细解释其发表意见的理由。

3.数据安全

供应商应采取适当的技术和组织措施,确保个人数据的安全性并保护数据免受个人数据泄露的影响,如本协议附表B所述。在评估适当的安全级别时,双方应适当考虑处理的最新技术、性质、范围、背景和目的以及数据主体所涉及的风险。

4。期限和终止

4.1。本 DPA 自签署之日起生效。只要供应商根据服务协议处理个人数据,它就将继续完全有效。

4.2。如果需要进行修订以确保本 DPA 符合数据保护法,则双方应做出合理努力,应控制者的要求就此类修正达成协议。如果双方无法就此类修正达成协议,Eton 可以提前 [●] 天书面通知卖方终止服务协议和本 DPA。

4.3。在不影响适用数据保护法任何规定的情况下,如果供应商违反了本 DPA 规定的义务,Eton 可以指示供应商暂停处理个人数据,直到供应商遵守本 DPA 或终止服务协议。如果出于任何原因无法遵守本 DPA,卖方应立即通知伊顿。

4.4。在以下情况下,伊顿有权终止与根据本DPA处理个人数据有关的服务协议:

a. 伊顿已根据第4.3条暂停供应商对个人数据的处理,如果在合理的时间内以及在任何情况下都未在暂停后的 [●] 个月内恢复对本DPA的遵守;

b. 供应商严重或持续违反本 DPA 或其在适用数据保护法下的义务;

c. 供应商未能遵守主管法院或主管监督机构就其根据本 DPA 或适用的数据保护法承担的义务所做的具有约束力的决定。

4.5。如果卖方无法继续根据服务协议提供服务,则应通知伊顿,根据该协议,伊顿有权终止本DPA。

4.6。在根据第 2.6 条告知伊顿其指令违反适用的法律要求后,卖方有权终止与本 DPA 下的个人数据处理相关的服务协议。

5。操作和访问请求

5.1。如果数据保护机构采取任何行动,供应商应协助 Eton。供应商特此允许伊顿根据客户和/或任何数据保护机构的要求自行决定向其客户和/或任何数据保护机构披露本 DPA 的内容。应伊顿的要求,供应商应为伊顿提供所有与隐私相关的问题的指定联系人。

5.2。供应商应向伊顿提供所有合理和及时的协助,以使伊顿能够回应:

(i) 数据主体要求行使适用法律规定的任何权利(包括其访问权、更正权、异议权、删除权和数据可移植权,视情况而定)的任何请求;以及

(ii) 从数据主体、监管机构或其他第三方收到的与个人数据处理相关的任何其他信函、查询或投诉。如果直接向供应商提出任何此类请求、信函、查询或投诉,供应商应立即通知伊顿并在适当情况下通知控制者,提供完整的详细信息。

5.3。供应商应与伊顿合作并提供协助,以使伊顿履行其在数据保护法下的义务,包括数据主体权利请求,同时考虑到处理的性质和供应商可获得的信息。

6。国际转账

Eton 和 Vendor 应采取技术和组织措施,确保个人数据的任何跨境数据传输都受到符合《数据保护法》的措施的保护,这些措施包括但不限于充分性评估、传输影响评估、数据治理结构等,或者《数据保护法》附表B中提及的任何其他措施。特此澄清,附表B中的技术和组织措施是指示性的,不应视为已穷尽。双方可以共同同意根据流行的行业最佳做法和/或适用法律修改措施。

7。违规通知

7.1。如果发生与供应商或分处理者处理的数据有关的个人数据泄露,供应商应毫不拖延地将个人数据泄露通知伊顿,无论如何应在供应商意识到泄露后的 48 小时内。此类通知应至少包含:

(a) 对违规性质的描述(在可能的情况下,包括有关数据主体的类别和大致数量);

(b) 联系点的详细信息,通过该联系点可以获得有关个人数据泄露的更多信息;

(c) 其可能的后果以及为处理违约行为,包括减轻其可能的不利影响而已经采取或拟采取的措施。

7.2。如果无法同时提供所有这些信息,则初始通知应包含当时可获得的信息,随后应毫不拖延地提供进一步的信息。

7.3。双方应在附表C中列出卖方在协助伊顿履行适用数据保护法规定的伊顿义务时应提供的所有其他内容。

8。删除或返回数据

在服务协议期限内的任何时候,应伊顿的书面要求或服务协议因任何原因终止或到期时,供应商应指示所有授权人员安全处置所有个人数据副本,并以书面形式向伊顿证明此类个人数据已安全处置。卖方应遵守伊顿关于归还或处置个人数据的所有指示,并应在归还个人数据处置时提供归还/删除证书。供应商同意,如果在签发此类证书后发现供应商拥有个人数据的副本,则违反本 DPA。在删除或返回数据之前,供应商应继续确保遵守本 DPA。

9。审计权

供应商应能够证明遵守本 DPA。供应商应保留与供应商在本DPA下的业绩有关的完整和准确的记录,并应根据服务协议的适用法律在伊顿可能传达的期限内保留此类记录。供应商应允许伊顿(或其指定的第三方审计师)审计供应商遵守本DPA的情况,并应向伊顿提供伊顿(或其第三方审计师)进行此类审计所需的所有信息、系统和人员。卖方承认,伊顿(或其第三方审计师)可以进入其办公场所进行本次审计,前提是伊顿提前合理地通知卖方其审计意向,在正常工作时间进行审计,并采取一切合理措施防止对供应商的运营造成不必要的干扰。除非发现供应商违反了本DPA,否则伊顿应对此类审计的费用负责。供应商同意自费进行伊顿公学要求的任何更改,以纠正此类审计或测试中发现的不足之处。

10。数据保护影响评估

供应商应向伊顿提供伊顿可能需要的所有合理和及时的协助,以便进行数据保护影响评估,并在必要时咨询相关的数据保护机构。

11。赔偿

供应商将赔偿、辩护伊顿及其关联公司及其各自的股东、董事、高级职员、员工和代理人免受因供应商违反本协议义务而产生的第三方索赔而产生的所有费用、负债、损害赔偿和成本(包括和解费用和合理的律师费)。

12。杂项

12.1。如有任何冲突,本 DPA 的规定应优先于《服务协议》或伊顿与服务商之间任何其他协议的规定。如果本 DPA 与适用的数据保护法之间存在任何冲突,则适用的数据保护法优先于 DPA 其余部分的规定。

12.2。除服务协议中明确规定的情况外,任何一方均不得因履行本 DPA 下的义务而获得任何报酬。

12.3。如果本 DPA 要求 “书面通知”,也可以通过电子邮件将此类通知发送给另一方。

12.4。本 DPA 的任何补充协议或修正案必须以书面形式签订并由双方签署。

12.5。如果本《达尔富尔和平协议》的个别条款失效、无效或不可行,则不应影响本《达尔富尔和平协议》其余条件的有效性。

自生效之日起,客户和伊顿分别通过其正式授权的代表同意本DPA的条款和条件。

 

安排 A

A. 当事方名单

伊顿: [伊顿及其数据保护官员和/或代表的身份和联系方式(如适用)]

1。姓名:________________________

地址:__________________________

联系人姓名、职位和联系方式:________________________________________

与根据这些条款传输的数据相关的活动:如B部分所述

签名和日期:____________________________

角色(控制器/处理器):控制器/处理器

供应商: [供应商的身份和联系方式,包括负责数据保护的任何联系人]

1。姓名:________________________

地址:__________________________

联系人姓名、职位和联系方式:________________________________________

与根据这些条款传输的数据相关的活动:____________________________________________

签名和日期:____________________________

角色(控制器/处理器):处理器/子处理器

B. 转让描述

传输个人数据的数据主体类别

伊顿可以向服务提交个人数据,其范围由伊顿自行决定和控制,其中可能包括但不限于与以下类别数据主体相关的个人数据 [列出传输个人数据的数据主体(例如 HNI、员工等)]

传输的个人数据类别

伊顿可以向供应商提交个人数据,其范围由伊顿自行决定和控制,其中可能包括但不限于以下类别的个人数据:(姓名...)、职务、职位、雇主、联系信息(电子邮件、电话、传真、实际地址等)、身份数据、连接数据或本地化数据(包括IP地址)、伊顿客户的申请数据。[填写与供应商共享的个人数据(例如 — 姓名、电子邮件、电话号码等)] 传输的敏感数据(如果适用),并应用了充分考虑数据性质和所涉风险的限制或保障措施,例如严格的目的限制、访问限制(包括仅限接受过专业培训的员工的访问权限)、保留数据访问记录、对继续传输的限制或其他安全措施 [列出传输的敏感数据的类别(如果有)] 传输频率(例如,数据是一次性传输还是连续传输) 个人数据持续传输

数据传输和进一步处理的目的

Eton of the Services 在访问和使用过程中传输个人数据,以便供应商可以提供服务。 个人数据的保留期限,或者,如果不可能,则用于确定该期限的标准 伊顿账户终止后,供应商将根据DPA第8条删除所有个人数据。在适用法律允许供应商保留部分或全部个人数据的范围内,此要求不适用,在这种情况下,伊顿应隔离和保护个人数据免受进一步处理。 对于向(子)处理者的传输,还要说明处理的主题、性质和持续时间 如附表 C 所述。

日程安排 B

确保数据安全的技术和组织措施

描述供应商为确保适当的安全级别而采取的技术和组织措施(包括任何相关认证),同时考虑到处理的性质、范围、背景和目的以及自然人权利和自由的风险。

人们

  • 网络安全意识和卫生
  • 背景验证(刑事、教育、以前的工作、信用检查等)
  • 员工手册
  • 时事通讯和电子邮件可增强网络安全意识。

流程

  • 信息安全政策与程序
  • 可接受的使用政策
  • 违规行为的纪律处分程序
  • 变更管理政策
  • 事故响应政策
  • BCP 和灾难恢复实践
  • 第三方(供应商)管理政策
  • 数据分类政策
  • 根据最小权限原则访问数据:
  • 必做之事
  • 知情权
  • Clear Desk Clear Screen 政策

技术性的

  • 物理访问控制
  • 基于角色的访问控制,具有精细的角色定义。
  • 对静态、处理中和传输中的数据进行加密
  • 使用 Windows Bit Locker 加密进行笔记本电脑加密。
  • 通过 VPN 进行所有远程访问
  • 使用路由器、代理服务器、L7 防火墙、WAF 进行多层网络保护
  • 入侵检测系统
  • 监控日志、事件检测和响应
  • 设备强化政策。
  • 备份和恢复
  • 安全中心
  • 密钥库
  • 补丁管理
  • 反恶意软件和 AV 引擎

附表 C

子处理器列表

伊顿已授权使用以下子处理器:

1。姓名:________________________

地址:__________________________

联系人姓名、职位和联系方式:________________________________________

处理说明(包括授权多个子处理者时的明确责任划分):______________________________________________________________________

2。姓名:________________________

地址:__________________________

联系人姓名、职位和联系方式:________________________________________

处理说明(包括授权多个子处理者时的明确责任划分):______________________________________________________________________

3. 等等