联合管制员时间表

1.

定义和解释

1.1.

在本附表中:

适当的保护措施

指根据《数据保护法》可能不时允许的个人数据转移的法律上可执行的机制;

CCPA

“”系指“加州消费者隐私法”、“加州民法典”第1798.100条及其后各条。(一)修正案及其实施条例;

沟通

指与任何一方在与本协议和/或任何共享个人数据处理相关的任何数据保护法项下的义务相关的投诉、查询、通知、请求或其他通信(但不包括任何数据主体请求),包括数据主体提出的任何赔偿要求或数据保护监管机构就上述任何内容发出的任何通知、调查或其他行动;

同意

指自由给出的、具体的、知情的和明确的指示(通过声明或明确的肯定行动),表明相关数据主体已同意对与其相关的未被撤回的共享个人数据进行相关转移和/或处理。如果相关的共享个人数据属于特殊类别个人数据,则本定义应理解为上述“明确”一词为“明确且明确”。条款自由给出的,具体的,知情的,明确的显式的在本定义中应根据数据保护法进行解释;

接触点

就每一方而言,指按照本附表附件5第1段确定为该方的人;

控制器

具有资料保障法例所赋予的含义;

资料保护法例

指适用于任何一方和/或任何一方与本协议有关的权利、责任和/或义务:

(一)

欧盟GDPR;

(b)

英国GDPR和《2018年数据保护法》;

(c)

《2003年隐私和电子通信(欧盟指令)条例》;

(d)

与个人资料的处理、私隐及/或使用有关的任何其他适用法律;

(e)

实施或补充上述法律的任何法律;和

(f)

取代、延长、重新制定、合并或修改上述任何法律的任何法律;和

(g)

CCPA(如适用)。

数据保护监管机构

指负责执行《数据保护法》的任何监管机构、机构或机构;

数据对象

具有资料保障法例所赋予的含义;

资料当事人要求

指数据主体根据GDPR第III章就任何共享个人数据或有关该等数据的处理行使数据主体的任何权利而提出的请求;

披露方

指每一方(或代表其行事的任何人)向另一方(或代表另一方行事的任何人)披露或以其他方式使其可以访问任何共享的个人数据;

GDPR

指《欧盟通用数据保护条例》、《(EU) 2016/679条例》以及根据《2018年欧盟(退出)法》第3条构成英国国内法一部分的英国GDPR(包括由英国或英国部分地区的法律不时进一步修订或修改的);

允许的法律依据

指的是GDPR第6(1)条允许的合法基础,披露方根据该法律与接收方共享共享的个人数据并由接收方处理,双方同意的合法基础是同意和合法利益;

允许的目的

指将所收集的个人资料用于为“堆栈溢出集体”提供平台;江南足球鞋

允许接受者

是指下列人士,他们需要查阅所收集的个人资料作许可用途:

(一)

相关接收方员工;和

(b)

相关接收方的承包商和分包商(及其雇员);

个人资料

具有资料保障法例所赋予的含义;

个人资料外泄

具有资料保障法例所赋予的含义;

处理

在资料保障法例(及相关的表达,包括加工过程中,流程应据此解释);

处理器

具有资料保障法例所赋予的含义;

收到的个人资料

指相关方为接收方的共享个人数据;

接收方

指每一方(或代表其行事的任何人)接收或访问另一方(或代表另一方行事的任何人)披露或提供的任何共享个人数据;

共享个人资料

指由一方或代表另一方从或代表另一方收到的个人资料,或由一方以其他方式提供给另一方用于获许目的的个人资料;

特别类别个人资料

是指数据保护法中提及的特殊类别的个人数据;和

1.2

除非上下文另有要求,对本附表的引用均包括其附录。

2.

本时间表及双方的状态

双方均为共享个人数据的控制人。如果双方共享共享的个人数据,则应按照本附表的条款进行共享和管理。

3.

遵守资料保护法例

3.1.

在另一方遵守其在本附表其他条款中的明确义务的前提下,每一方均应始终遵守与行使和履行其在本协议项下的各自权利和义务有关的所有数据保护法。

3.2.

本附表在各方之间分配了某些权利和责任,作为双方之间可执行的合同义务,但本附表中的任何内容均不打算限制或排除任何一方在数据保护法(包括GDPR第82条以及双方在任何数据保护法下对数据主体应承担的义务)下的责任或义务。

4.

商定的共享基础

4.1.

双方已确定有必要共享共享的个人数据,以实现许可的目的。

4.2.

双方同意,本协议涉及持续和常规的数据共享。

4.3.

双方将在合法利益的基础上共享数据,Stack已经进行了合法利益评估。

4.4.

双方已在本附表附录1中记录了有关共享个人数据的其他详细信息,其中包括:

4.4.1.

各方分享“共享个人资料”的目的;

4.4.2.

为何根据本协议的条款共享共享个人数据对于实现这些目标是必要的;和

4.4.3.

共享个人数据的各方对数据主体和/或社会的利益;

5.

客户的义务

5.1.

客户只能将收到的数据用于许可的目的,不得以对个人造成不利影响的方式使用数据。

5.2.

客户应提供透明的信息,并为任何进一步处理提供适当的法律依据。

6.

一般义务

6.1.

每一方,在其作为接收方的范围内,向相关披露方承诺,仅对收到的个人数据进行所有处理:

6.1.1.

根据本协议并在所有方面按照数据保护法的规定,为允许的目的;和

6.1.2.

在与许可的合法基础一致的范围内,

6.2.

双方同意,就共享个人数据而言,相关披露方:

6.2.1.

在双方之间,根据第5.3段和第9.1段的规定,是数据主体的主要联络点;

6.2.2.

在符合第5.3和9.1段的前提下,应将数据主体作为数据主体行使其权利以及就共享个人数据进行任何查询时,引导其联系其联系人,并在第5.2.5和5.2.11段所述的所有信息中确定其联系联系人,作为数据主体就共享或以其他方式处理此类共享个人数据提出的所有请求或其他通信的联系联系人;

6.2.3.

应确保在接收方(或代表其行事的任何人员)收到共享的个人数据之前,一直按照适用于该数据的数据保护法收集、处理和转移该数据;

6.2.4.

应确保共享个人数据在披露或向相关接收方提供时是准确且最新的,并应在本协议有效期内,如该等共享个人数据变得不准确或过期(连同修订和更正的数据),应及时通知接收方;

6.2.5.

单独负责双方遵守根据GDPR第5(1)(a)、13和14条或任何类似的数据保护法向数据主体提供信息的所有义务,包括接收方或代表接收方根据本协议在允许的合法基础上出于允许的目的对共享个人数据进行的所有处理所需的义务,并应遵守附录4中各自的义务;

6.2.6.

应确保共享的个人数据在从英国转移到与本协议有关的接收方(或代表其行事的任何人)时:

(一)

不受(或可能受)实施《大不列颠及北爱尔兰联合王国退出欧洲联盟和欧洲原子能共同体协定》第71条(保护个人资料)的任何法律的约束;和

(b)

不受联合王国以外任何司法管辖区的法律管辖;

6.2.7.

如果“同意”在本协议中被确定为共享个人数据的允许合法基础,则任何一方根据本协议进行共享个人数据的传输和处理时,均应根据数据保护法的要求,单独负责获得数据主体的同意;

6.2.8.

在不损害其其他义务的前提下,应确保其有权将共享的个人数据转移给接收方,并且接收方(以及接收方的每个许可接收方)有权根据所有适用法律和法律理论按照本协议条款为许可的目的处理共享的个人数据;

6.2.9.

如果接收方意识到第5.2.7段所述的任何此类同意被撤回,或相关数据主体要求任何一方不再为许可目的处理其共享的个人数据,则应立即通知接收方;

6.2.10.

仅负责确保披露方从第三方收到共享个人数据,或由第三方代表披露方处理共享个人数据时,披露方已与该等第三方作出安排:

(一)

所有数据保护法(包括GDPR第26、28和32条,如适用)的要求;

(b)

足以允许披露方根据所有数据保护法与接收方(及其允许的接收方)共享共享的个人数据;和

(c)

接收方(及其许可接收方)根据本协议处理该等数据的要求;和

6.2.11.

应按照GDPR第26条的要求,向数据主体提供本附表的实质内容(并通知其任何变更)。披露方根据第5.2.5段提供的信息中必须概述上述内容。根据本款5.2.11,机密信息的实质内容可进一步获得时,机密信息应进行编辑。

6.3.

尽管有本附表的条款,双方承认数据主体有权对作为控制人的任何相关方行使其在《数据保护法》项下的合法权利。

6.4.

每一方应使用其合理的努力协助其他遵守任何义务与本协议有关的所有数据保护法律,不得履行其义务根据本安排在这样一种方式使另一方违约另一方的任何义务适用的数据保护法律在一定程度上意识到,或者合理应该已经意识到,同样的将是一个违反这种义务。

6.5.

在不影响任何其他义务的前提下,如果任何一方意识到任何共享个人数据不准确或过时,应立即通知另一方。

7.

技术和组织措施

7.1.

接收方应始终:

7.1.1.

根据资料保护法例的要求,制订及维持适当的技术及组织措施;

7.1.2.

实施和维持适当的技术和组织措施,以保护其拥有或控制的“收到的个人资料”免受意外、未经授权或非法的破坏、丢失、更改、披露或访问,同时考虑:

(一)

受保护资料的性质;

(b)

因未能如此保护所收到的个人资料而可能造成的损害;

(c)

技术发展状况;和

(d)

实施任何措施的成本;

7.1.3.

确保其有能力(技术和其他方面)在数据保护法要求的范围内:

(一)

应资料当事人的要求,提供、更正或删除与该资料当事人有关的所有已收到的个人资料;和

(b)

遵从任何资料当事人的要求;

前提是相关披露方遵守其在本协议项下的义务;和

7.1.4.

在不影响本第6段中任何其他义务的情况下,实施和遵守本附表附录3中规定的技术和组织措施。

7.2.

各方应遵守本附表附件3规定的各自义务,并可行使其各自的权利和救济。

8.

第三方处理

8.1.

每一方承诺,在为获许目的所必需的情况下,不会将其作为接收方所接收的个人资料披露或转让给获许接收方以外的任何第三方。转让或披露其为接收方的“收到的个人数据”的每一方应确保该等个人数据的转让和披露符合同等且具有法律约束力的义务,这些义务的繁重程度不低于本附表项下适用于接收方的义务。

8.2.

对于处理者代表接收方对收到的个人数据进行的任何处理,该接收方应:

8.2.1.

对该处理者进行充分的尽职调查,以确保其能够按照本协议和数据保护法的要求为收到的个人数据提供保护;和

8.2.2.

确保根据所有数据保护法(包括GDPR第28条和第32条)的要求,始终与每个处理者签订适当的书面协议。

8.3.

相关接收方应就其每个被许可接收方在接收个人数据方面的所有作为和不作为向披露方承担责任。本附表中要求一方做某事或不做某事的每项义务均应包括该方确保其所有许可接收方做某事或不做某事的义务。

9.

国际转账

接收方应在以下情况之外处理收到的个人数据:(i)英国和欧洲经济区(“经济区”);或(ii)根据数据保护法对控制者数据的跨境转移施加限制的任何其他地区,仅符合本协议附录6所附的标准合同条款,以便实施适当的保护措施来保护控制者数据。

10.

处理资料主体的要求及通讯

10.1.

遵守任何数据主体请求或通信的责任落在最初收到该数据主体请求或通信的一方。在遵守任何数据主体请求或处理任何通信时,各方应遵守其义务,并按照附录5中“处理数据主体请求和通信的详细程序”部分的约定履行义务。

10.2.

如果任何一方收到与另一方(或代表另一方)处理的共享个人数据相关的通信,则该方应:

10.2.1.

及时(无论如何应在收到后两个工作日内)通知另一方的联络点;和

10.2.2.

在合理可行的范围内,在作出任何回应前与另一方协商。

10.3.

在不影响第9.1段的前提下,如果作为接收方的一方收到其认为与处理收到的个人数据有关的数据主体请求,则应立即(无论如何应在收到后两个工作日内)通知披露方的联络点,并向其提供完整的详细信息。

10.4.

各方应尽一切合理努力,就任何数据主体请求或沟通向另一方提供充分、及时的合作与协助,使另一方能够遵守《数据保护法》规定的相关时间表,并就任何数据主体请求或沟通产生的任何问题找到有效、及时和友好的解决方案。在不影响上述规定的普遍性的前提下,另一方应在5天内对根据本第9.4款提出的任何合作或协助请求作出回应。

11.

个人资料外泄

11.1.

如果每一方怀疑或意识到其(或代表其行事的任何人员)作为接收方处理的任何收到的个人数据存在任何实际或可能发生的个人数据泄露事件,则每一方应立即(在任何情况下均在48小时内)通知披露方。在这种情况下,相关接收方应及时提供:

11.1.1.

披露方(或其顾问)合理要求的充分信息,以履行数据保护法规定的报告个人数据泄露的任何义务(在有利于该等合规的时间表内);

11.1.2.

向调查个人数据泄露事件的数据保护监管机构提供数据保护监管机构不时要求的完整信息;

11.1.3.

披露方(或其顾问)要求的所有合理协助,包括:

(一)

与数据保护监管机构合作(包括调查或采取行动以减轻或补救个人数据泄露);

(b)

提供任何一方遵守数据保护法或披露方其他合理要求所需的所有相关数据和记录;

(c)

采取披露方指示的合理步骤,协助调查、缓解和补救个人数据泄露(可能包括向披露方提供受影响的任何设施的实际访问权限,并促进与该事项有关的工作人员和其他人员的面谈);和

(d)

与披露方就管理与个人数据泄露有关的公共关系和公开声明进行协调。

11.2.

接收方在本第10段项下的义务应由披露方承担合理的费用履行,除非个人数据泄露(或导致个人数据泄露的情况,或受到威胁或怀疑的情况)是由于接收方的任何疏忽或故意违约,或接收方违反其在本协议项下的义务造成的。在这种情况下,费用应由接收方或接收方的成本和费用承担。

12.

数据保护影响评估

12.1.

双方应确定是否需要就共享个人数据的计划共享进行数据保护影响评估,如果适用,双方已完成数据保护影响评估,并同意本协议将有助于减轻已识别的某些风险。

12.2.

一方当事人认为:

12.2.1.

数据保护影响评估是遵守《数据保护法》所必需的;或

12.2.2.

就本协议项下或与本协议相关的共享或其他处理活动而言,先前为遵守《数据保护法》而进行的必要数据保护影响评估所确定的风险可能发生了变化;

另一方应提供其合理要求的合理协助。

12.3.

第11.2段所述的协助可包括:

12.3.1.

对设想的处理操作和共享个人数据处理的允许目的的系统描述;

12.3.2.

对处理操作的必要性和相称性的评估;

12.3.3.

对数据主体权利和自由的风险评估;

12.3.4.

为应对风险而设想的措施,包括保障措施、安全措施和机制,以确保对共享个人数据的保护;和

12.3.5.

与相关数据保护监管机构进行必要的事先咨询。

13.

记录

各方应保留其对共享个人数据的所有处理的完整、准确和最新的书面记录,并在必要时证明其遵守了本附表和所有数据保护法。

14.

治理和审查

在共享个人数据之前,各方应建立、遵守并维护本附表附件5中所列的安排,直至本协议终止或期满。

15.

审计

15.1.

各方应(并应确保其所有许可接收方):

15.1.1.

向另一方提供所需的信息,以证明该方遵守了其在本附表下的义务;

15.1.2.

经合理的事先通知,在任何12个月内允许、允许并协助另一方(或另一方委托的另一名审计师)在正常营业时间内进行审计,包括检查,但仅限于核实被审计方是否遵守其在本附表下的义务;和

15.1.3.

为第14.1.2段所述的每次审计或检查的目的,提供(或促成)对所有相关系统、人员、营业场所和记录的访问权限,并就任何此类审计或检查提供(并促成)所有进一步合理的合作、访问权限和协助。

15.2.

每一方应允许另一方在本协议终止或期满后最多六年的时间内行使第14.1款规定的权利。

15.3.

进行审计、检查的相关方应遵守另一方的合理指示,以尽量减少对另一方业务的干扰,并保护另一方机密信息的保密性。被审计、检查方可以要求进行审计、检查的第三方与被审计、检查方直接作出保密承诺。

16.

保留

16.1.

根据第15.2段的规定,各方应按照本附表附件1为共享个人数据的特定要素确定的保留期限保留收到的个人数据。

16.2.

如果双方是接收方,则双方应:

16.2.1.

根据第15.2.2至15.2.4(含)条的规定,处理所有收到的个人数据的时间不得超过为获得许可的目的所必需的时间,且不得超过符合本附表和所有数据保护法的时间;

16.2.2

在本协议终止或期满(以较早者为准)时停止处理所有收到的个人资料;和

16.2.3

立即、保密和安全地销毁或处置其拥有或控制的、不能再按照本附表处理的所有收到的个人数据(及所有副本)。

17.

成本

除本协议明确规定外,各方应自行支付与本附表的谈判、准备、签署和履行有关的费用和开支。

18.

生存

除本附件另有明确规定外,本附件的规定应在本协议终止或期满后继续有效,并无限期继续有效。

附录1
共享的个人资料

共享的个人资料将由Stack与客户共享

参考 堆栈给客户
分享个人资料的主题

邀请用户到collective,分配标签和识别用户。

从公开信息中编译自我识别用户的用户id,并与客户共享。

要分享的个人资料类型 用户ID
共享的法律依据 合法利益
此资料中特殊类别的个人资料 没有一个
资料当事人的类别 集体用户
接收到数据后会发生什么?

客户可以决定邀请哪些Stack Overflow用户江南足球鞋到集体成为认可成员,并可以邀请他们加入集体。它们还可以将标签分配给特定的用户/用户id。

客户可以决定是否邀请用户加入其集体。客户可以分配标签等。

客户与Stack共享的个人资料

参考 堆栈给客户
分享个人资料的主题 确认被邀请的用户到collective,分配标签和识别用户。
共享的法律依据 合法利益
要分享的个人资料类型 用户ID
此资料中特殊类别的个人资料 没有一个
资料当事人的类别 集体用户
接收到数据后会发生什么? 客户信息返回到公共集合站点。

附录2
分享个人资料的进一步详情

数据共享目标

各方已确定以下共享个人资料的目的及目的:促进集体资料的使用。

1.

必要性

双方已确定,根据本协议条款共享“共享个人数据”对于实现这些目标是必要的,因为:这将促进“集体”产品的使用。

2.

数据共享的好处

双方已确定,数据主体和/或社会将从共享个人数据中获得以下利益:增加价值并促进集体。

3.

数据共享的风险和缓解措施

3.1.

双方已确定共享“共享个人数据”可能产生以下风险,并已同意采取措施消除或减轻该等风险,包括本协议中规定的措施:

数据主体可能不清楚向哪个实体行使其权利。这已通过在集体隐私声明中提供信息得到解决。接收方可能会将共享的个人数据用于新的目的。本协议已就此作出规定,要求客户仅以与原始收集目的相容的方式或在适当的法律基础下使用数据。(5.1)

附录3
技术和组织措施

4.

安全管理

如果相关披露方共享共享的个人数据,则披露方应以与本附表附录1一致的方式提供共享的个人数据。

5.

人员

5.1.

每一方在其为相关接收方的情况下,应始终确保自然人对收到的个人数据的处理仅限于其员工及其许可接收方的员工(统称为:人员)根据本协议需要为相关许可目的对其进行处理,并且所有此类人员:

5.1.1.

是可靠的,并且在使用、维护、保护和处理收到的个人数据方面接受了足够的培训,以符合所有数据保护法和本附表的要求;

5.1.2.

被告知所收到的个人数据的机密性以及本附录3项下相关方的义务,并受适当的保密义务约束;

5.1.3.

不将任何已收到的个人资料公布、披露或泄露给受此义务约束的任何第三方,而该等第三方是不被允许这样做的;

5.1.4.

受(并遵守)有约束力的书面合同义务对收到的个人数据保密(除非根据适用的英国或欧盟法律要求披露);和

5.1.5.

知悉并遵守他们在本附表及《安全管理条例》下的职责;

附录4
透明的安排

请参阅链接到Collectives™隐私声明

附录5
管治及检讨

6.

接触点

6.1.

Stack的联系点是privacy@stackoverflow.com有关私隐及资料保护事宜,或根据私隐通知不时以书面通知客户。

6.2.

客户的联络点是MSA中指定的通知地址(或根据MSA不时以书面形式通知Stack的地址)。

6.3.

privacy@stackoverflow.com应是第三方就数据主体请求和通信以及与共享个人数据相关的任何其他事项的第一联络点。各方各自的联络点应在其各自的内部全面负责在其义务范围内适当处理和响应数据主体请求和通信。

6.4.

本附表要求发送给联络点的任何通知或通信均应发送至该联络点的相关联系方式或电子邮件地址。此类通知和通信应被视为按照MSA中规定的相同规则交付。

7.

报告

7.1.

各方承诺向另一方报告:

7.1.1.

与数据主体(或代表其的第三方)共享个人数据相关的数据主体请求(或据称的数据主体请求)的数量;和

7.1.2.

与共享个人数据相关的任何通信(包括适用法律要求或据称要求披露共享个人数据的任何请求);

只要在此期间收到了请求。

8.

接触点之间的关系

8.1.

双方联络人应召开电话会议,必要时可与客户定期会议协调,每三个月不少于一次,以管理双方关系并评估:

8.1.1.

本协议中规定的共享安排的整体有效性;

8.1.2.

任何通讯或其他关切领域;

8.1.3.

每项准许的合法依据及准许的目的是否仍然有效及适当;

8.1.4.

是否享有本附表附件2所载的利益,以及是否需要继续分享“共享的个人资料”;

8.1.5.

本协议项下的隐私通知和安排是否仍然适当;

8.1.6.

根据本附表附件2进行的最近一次质量检查(或任何类似数据);

8.1.7.

数据共享的风险是否发生变化;和

8.1.8.

本附表附件3所载的技术性及组织性措施是否足够。

8.2.

在根据本第3段召开的每次会议之后,联络点应及时向相关利益相关方提供其调查结果的联合报告。

9.

质量检查

双方应各自对其为披露方的共享个人数据样本进行定期测试,以测试其准确性和最新性。该等测试应在本协议期限内每12个月至少进行一次。各方可依赖对其在过去12个月内进行的相同或基本相似的数据集的测试,包括根据与第三方的其他数据共享安排进行的测试。

10.

审查

10.1

双方应定期审查本附表的内容审查),其中应包括确认:

10.1.1.

有关安排应反映目前的做法和当事各方的目标;

10.1.2.

许可目的的范围仍然相关,且未经双方同意,接收方使用共享个人数据的范围未扩大;

10.1.3.

本附表附录2所述对资料当事人或社会的利益正在实现;

10.1.4.

本附录5的安排是否足够及是否有效;

10.1.5.

任何一方在审查期间提出的任何数据保护监管机构发布的任何相关新指导已被视为审查的一部分;

10.1.6.

是否应根据本协议继续共享共享的个人数据;和

10.1.7.

数据主体仍然是共享安排的焦点,以及他们的权利是否得到尊重。

10.2.

审查应在开始后的头两年内至少每六个月进行一次,此后至少每12个月进行一次。

附录6
欧盟GDPR-2021标准合同条款(SCCs),用于将个人数据转移到第三国-模块1 -控制器到控制器

标准合同条款

节中,我
条款1目的及范围

(一)

这些标准合同条款的目的是确保遵守欧洲议会和理事会2016年4月27日关于在个人数据处理和此类数据自由流动方面保护自然人的条例(EU) 2016/679(一般数据保护条例)的要求。(1)将个人资料转移至第三国。

(b)

当事人:

(我)

如附件I.A所列的自然人或法人、公共机构/机构、机构/机构或其他实体/机构(以下简称“实体/机构”)转移个人数据(以下简称“数据输出方”),以及

(2)

如附件I.A所列,直接或间接通过同样是本条款缔约方的另一个实体从数据出口商处接收个人数据的第三国实体(以下各为“数据进口商”)。

已同意本标准合同条款(以下简称“条款”)。

(c)

本条款适用于附件i . b所列的个人资料转移

(d)

本条款的附录包含其中提及的附件,构成本条款不可分割的一部分。

条款2条款的效力和不变性

(一)

这些条款规定了适当的保障措施,包括可执行的数据主体权利和有效的法律补救措施,符合法规(EU) 2016/679第46(1)条和第46(2)(c)条,并且,关于从控制者到处理者和/或处理者到处理者的数据传输,符合法规(EU) 2016/679第28(7)条的标准合同条款,前提是它们未被修改。除非选择适当的模块或在附录中添加或更新信息。这并不妨碍双方在更广泛的合同中包括这些条款中规定的标准合同条款和/或添加其他条款或额外保障,只要它们不直接或间接与这些条款相抵触,也不损害数据主体的基本权利或自由。

(b)

这些条款不影响数据出口商根据法规(EU) 2016/679所承担的义务。

条款3第三方受益人

(一)

数据主体可以作为第三方受益人,对数据导出方和/或数据导入方调用和执行本条款,但有以下例外情况:

(我)

条款1、条款2、条款3、条款6、条款7;

(2)

第8.5 (e)和8.9(b)条;

(3)

(未使用)

(iv)

第12(a)和(d)条;

(v)

条款13;

(vi)

第15.1(c)、(d)和(e)条;

(七)

条款16 (e);

(八)

第18(a)和(b)条。

(b)

(a)段不损害法规(EU) 2016/679规定的数据主体的权利。

条款4解释

(一)

如果本条款使用法规(EU) 2016/679中定义的术语,则这些术语应与该法规中的含义相同。

(b)

这些条款应根据法规(EU) 2016/679的规定进行阅读和解释。

(c)

不得以与法规(EU) 2016/679规定的权利和义务相冲突的方式解释这些条款。

条款5层次结构

本条款与双方在本条款签订时或之后签订的相关协议中存在的规定相矛盾的,以本条款为准。

条款6转让说明

有关转移的详情,特别是转移的个人资料类别和转移的目的,载于附件i.b

条款7对接条款

(一)

非本条款缔约方的实体可在双方同意的情况下,通过填写附录并签署附件i.a,随时以数据出口商或数据进口商的身份加入本条款

(b)

一旦完成附录并签署附件I.A,加入实体即成为这些条款的缔约方,并根据其在附件I.A中的指定拥有数据出口商或数据进口商的权利和义务

(c)

加入实体在成为缔约方之前的一段时间内,不享有根据本条款产生的任何权利或义务。

第ii节-双方的义务
条款8资料保障措施

数据出口商保证其已尽合理努力确定数据进口商能够通过实施适当的技术和组织措施来履行其在本条款下的义务。

8.1.

目的限制

数据导入者只能出于附件I. b中规定的特定传输目的处理个人数据。数据导入者只能出于其他目的处理个人数据:

(一)

在取得资料当事人事先同意的情况下;

(b)

在具体的行政、监管或司法程序中,为确立、行使或辩护法律要求所必需的;或

(c)

在必要的情况下,为了保护数据主体或其他自然人的切身利益。

8.2.

透明度

(一)

为了使数据主体能够根据第10条有效地行使其权利,数据进口方应当直接或通过数据出口方通知数据主体:

(我)

其身份及联络资料;

(2)

处理的个人资料类别;

(3)

获得本条款副本的权利;

(iv)

如果其打算将个人资料转移给接收方或接收方类别的任何第三方/机构(视情况而定,以提供有意义的信息),则该等转移的目的以及根据第8.7条的理由。

(b)

(a)段不适用于数据主体已经拥有信息的情况,包括当这些信息已经由数据出口商提供,或者提供信息被证明是不可能的,或者对数据进口商来说,提供信息将涉及不成比例的努力。在后一种情况下,数据进口者应尽可能使信息公开。

(c)

应要求,双方应向数据主体免费提供本条款的副本,包括其填写完整的附录。在保护商业秘密或其他机密信息(包括个人数据)的必要程度上,双方可以在共享附录副本之前编辑附录的部分文本,但应在数据主体否则无法理解其内容或无法行使其权利的情况下提供有意义的摘要。应要求,双方应在不泄露已编辑信息的情况下,尽可能向数据主体提供进行编辑的原因。

(d)

(a)至(c)段不影响数据出口商根据法规(EU) 2016/679第13条和第14条承担的义务。

8.3.

准确性和数据最小化

(一)

各方应确保个人资料准确,并在必要时保持最新。数据导入者应采取一切合理步骤,确保在考虑到处理目的的情况下,不准确的个人数据被立即删除或纠正。

(b)

如果一方意识到其转移或接收的个人数据不准确或已过时,则应及时通知另一方。

(c)

数据输入者应确保个人数据是足够的、相关的,并且仅限于与处理目的相关的必要数据。

8.4.

存储的限制

数据进口商保留个人数据的时间不得超过处理个人数据的目的所必需的时间。它应采取适当的技术或组织措施,以确保遵守这一义务,包括删除或匿名化(2)数据和所有备份在保留期结束时。

8.5.

处理的安全性

(一)

数据进口商以及在传输过程中,数据出口商应实施适当的技术和组织措施,以确保个人数据的安全性,包括防止因违反安全导致意外或非法破坏、丢失、更改、未经授权的披露或访问(以下简称“个人数据泄露”)。在评估适当的安全级别时,他们应当充分考虑当前的技术状况、实施成本、处理的性质、范围、背景和目的,以及处理对数据主体所涉及的风险。双方应特别考虑采用加密或假名处理,包括在传输过程中,如果可以通过这种方式实现处理目的。

(b)

各缔约方已商定附件二所列的技术和组织措施。数据进口者应进行定期检查,以确保这些措施继续提供适当的安全水平。

(c)

数据输入者应确保被授权处理个人数据的人已承诺保密,或负有适当的法定保密义务。

(d)

如果数据进口商根据本条款处理的个人数据发生个人数据泄露,则数据进口商应采取适当措施处理个人数据泄露,包括采取措施减轻其可能的不利影响。

(e)

在可能对自然人的权利和自由造成风险的个人数据泄露的情况下,数据进口者应当及时通知数据出口者和第13条规定的主管监管机构。该通知应包含i)对违规性质的描述(如可能,包括有关数据主体和个人数据记录的类别和大致数量),ii)可能的后果,iii)为解决违规而采取或建议采取的措施,以及iv)可以从其获得更多信息的联系人的详细信息。如果数据输入方不可能同时提供所有信息,它可以分阶段提供,而不会造成不必要的进一步延误。

(f)

在个人数据泄露可能对自然人的权利和自由造成高风险的情况下,数据进口商还应毫不拖延地通知有关的数据主体个人数据泄露及其性质,如果必要的话,应与数据出口商合作,连同(e)段第ii点到第iv点提到的信息,除非数据进口者已采取措施大幅减少对自然人权利或自由的风险,否则通知将涉及不成比例的努力。在后一种情况下,数据导入者应当发布公开通信或采取类似措施,将个人数据泄露告知公众。

(g)

数据输入方应记录与个人数据泄露有关的所有相关事实,包括其影响和所采取的任何补救行动,并保存相关记录。

8.7.

敏感数据

如果转让涉及揭示种族或族裔出身、政治观点、宗教或哲学信仰或工会会员资格的个人数据、遗传数据或用于唯一识别自然人的生物特征数据、有关健康或个人性生活或性取向的数据,或有关刑事定罪或犯罪的数据(以下简称"敏感数据"),数据进口方应当根据数据的具体性质和所涉及的风险,实施特定的限制和/或额外的保障措施。这可能包括限制允许访问个人数据的人员、额外的安全措施(如假名化)和/或进一步披露的额外限制。

8.8.

开始转移

数据进口商不得向位于欧盟以外的第三方披露个人数据(3)(在与数据进口商相同的国家或在另一个第三国,以下简称“继续转让”),除非该第三方是或同意受相应模块下这些条款的约束。否则,只有在下列情况下,资料进口者才可继续转让资料:

(我)

根据涵盖后续转移的法规(EU) 2016/679第45条,转移到受益于充分性决定的国家;

(2)

第三方根据(EU) 2016/679法规第46或47条就相关处理确保适当的保障措施;

(3)

第三方与数据进口者签订了一份具有约束力的文书,以确保与本条款规定的数据保护水平相同,并且数据进口者向数据出口者提供了一份这些保障措施的副本;

(iv)

在具体的行政、管制或司法程序中确立、行使或辩护法律要求所必需的;

(v)

为了保护数据主体或其他自然人的切身利益,有必要;或

(vi)

在其他条件均不适用的情况下,在告知数据主体其目的、接收方身份以及由于缺乏适当的数据保护保障而导致的此类转移可能给他/她带来的风险之后,数据进口者已经获得了数据主体在特定情况下的进一步转移的明确同意。在这种情况下,数据进口者应当通知数据出口者,并且在后者的要求下,应当向其传送提供给数据主体的信息的副本。

任何后续转移均须由数据进口商遵守本条款下的所有其他保障措施,特别是目的限制。

8.8.

数据导入器授权下的处理

数据进口者应当确保在其权限下行事的任何人,包括处理者,只在其指令下处理数据。

8.9.

文档和遵从性

(一)

各方应能够证明其遵守了本条款项下的义务。特别是,数据进口者应保留在其责任范围内进行的处理活动的适当文件。

(b)

数据进口者应当根据要求向主管监管机构提供此类文件。

条款9

(未使用)

第10条数据主体的权利

(一)

在相关的情况下,在数据出口商的协助下,数据进口商应处理其从数据主体收到的有关处理其个人数据和行使其在这些条款下的权利的任何查询和请求,不得无故拖延,最迟应在收到该查询或请求后一个月内处理。(4)数据输入方应当采取适当措施,为此类查询、请求和数据主体权利的行使提供便利。提供给数据主体的任何信息都应以易于理解和获取的形式,使用清晰易懂的语言。

(b)

特别是,根据数据主体的要求,数据进口者应当免费:

(我)

向资料当事人确认有关他/她的个人资料是否正被处理,并提供有关他/她的资料及附件一所载资料的副本;如果个人数据已经或将被转移,则提供个人数据已经或将被转移到的接收者或接收者类别的信息(视情况而定,以便提供有意义的信息)、此类转移的目的及其依据第8.7条的理由;并提供关于根据第12(c)(i)条向监管机构提出投诉的权利的信息;

(2)

纠正与数据主体有关的不准确或不完整的数据;

(3)

删除与数据主体有关的个人数据,如果这些数据正在或已经被处理,违反了确保第三方受益人权利的任何条款,或者如果数据主体撤回了处理所依据的同意。

(c)

如果数据进口商出于直接营销目的处理个人数据,如果数据主体反对,则应停止为此目的处理个人数据。

(d)

除非得到数据主体的明确同意,或者根据目的地国家的法律授权,否则数据进口商不得仅基于对所转移的个人数据的自动处理(以下简称“自动决定”)做出会对数据主体产生法律效力或对他/她产生类似重大影响的决定。前提是这些法律规定了适当的措施来保护数据主体的权利和合法利益。在这种情况下,如有必要,数据进口者应与数据出口者合作:

(我)

告知数据主体设想的自动化决策、设想的后果和所涉及的逻辑;和

(2)

实施适当的保障措施,至少允许数据主体对决定提出异议,表达他/她的观点并获得人类的审查。

(e)

如果数据主体提出的要求过多,特别是由于其重复的特点,数据进口商可以在考虑到批准该要求的行政成本的情况下收取合理的费用,也可以拒绝就该要求采取行动。

(f)

数据进口商可以拒绝数据主体的请求,如果这种拒绝是目的国法律允许的,并且在民主社会中是必要和相称的,以保护法规(EU) 2016/679第23(1)条所列的目标之一。

(g)

如果数据进口商打算拒绝数据主体的请求,它应当告知数据主体拒绝的理由,以及向主管监管机构提出申诉和/或寻求司法补救的可能性。

条款11纠正

(一)

数据进口商应通过个人通知或在其网站上,以透明和易于访问的形式告知数据主体被授权处理投诉的联系人。它应当迅速处理从数据主体收到的任何投诉。

[数据输入方同意数据主体也可以向独立的争议解决机构提出投诉(5)数据主体无需支付任何费用。它应当以(a)段规定的方式告知数据主体这种补救机制,并且他们不需要使用该机制,或者在寻求补救时遵循特定的顺序。

(b)

如果数据主体与一方当事人之间就遵守本条款发生争议,该方应尽其最大努力及时友好地解决该问题。双方应相互通报此类争议,并在适当情况下合作解决争议。

(c)

当数据主体根据第3条援引第三方受益权时,数据进口者应当接受数据主体的决定,符合:

(我)

向其经常居住地或工作地点所在成员国的监管机构,或第13条规定的主管监管机构提出投诉;

(2)

将争议提交第18条所指的主管法院。

(d)

双方同意,在法规(EU) 2016/679第80(1)条规定的条件下,数据主体可以由非营利机构、组织或协会代表。

(e)

数据进口商应遵守在适用的欧盟或成员国法律下具有约束力的决定。

(f)

资料输入者同意资料当事人所作的选择不会损害他/她根据适用法律寻求补救的实质及程序权利。

条款12责任

(一)

任何一方因违反本条款给另一方造成的任何损害,均应向另一方承担赔偿责任。

(b)

任何一方因违反本条款下的第三方受益权而给数据主体造成的实质性或非实质性损害,均应向数据主体承担责任,数据主体有权获得赔偿。这并不影响数据出口商根据法规(EU) 2016/679承担的责任。

(c)

如果因违反本条款而对数据主体造成的任何损害负有不止一方的责任,则所有责任方应承担连带责任,数据主体有权向法院起诉其中任何一方。

(d)

双方同意,如果一方根据第(c)款承担责任,则有权向另一方索赔与其对损害的责任相对应的部分赔偿。

(e)

数据进口商不得援引处理者或子处理者的行为来逃避其自身的责任。

条款13监督

(一)

如果数据出口商在欧盟成员国设立:如附件I.C所示,负责确保数据出口商遵守关于数据传输的法规(EU) 2016/679的监管机构应作为主管监管机构。

(一)

如果数据出口商不在欧盟成员国设立,但根据第3(2)条属于第(EU) 2016/679号法规的适用领土范围,并根据第(EU) 2016/679号法规第27(1)条指定了一名代表:如附件I.C所示,在欧盟法规2016/679第27(1)条意义上设立代表的成员国监管机构应作为主管监管机构。

(一)

如果数据出口商未在欧盟成员国设立,但根据法规(EU) 2016/679第3(2)条属于其适用的领土范围,但无需根据法规(EU) 2016/679第27(2)条指定代表:如附录I.C所示,数据主体的个人数据在本条款下因向其提供商品或服务而被转移,或者其行为被监控,其所在地的一个成员国的监管机构应当作为有权的监管机构。

(b)

数据进口者同意在任何旨在确保遵守本条款的程序中,接受主管监管机构的管辖并与之合作。特别是,数据进口商同意回应查询,接受审计并遵守监管机构采取的措施,包括补救和补偿措施。它应当向监管机构提供已采取必要行动的书面确认。

第三节:地方法律和公共当局访问时的义务
条款14影响遵守本条款的当地法律和惯例

(一)

双方保证,他们没有理由相信第三目的地国适用于数据进口商处理个人数据的法律和惯例,包括披露个人数据的任何要求或授权公共当局访问的措施,会阻止数据进口商履行其在本条款下的义务。这是基于这样一种理解,即尊重基本权利和自由的本质,并且不超过民主社会中维护法规(EU) 2016/679第23(1)条所列目标之一的必要和相称的法律和实践,与这些条款并不矛盾。

(b)

双方声明,在提供第(a)款中的保证时,他们特别考虑了以下因素:

(我)

转移的具体情况,包括处理链的长度、涉及的行为者的数量和使用的传输渠道;拟继续转移;接收人的类型;处理目的;所传送的个人资料的类别及格式;发生转移的经济部门;所传输数据的存储位置;

(2)

目的地第三国的法律和惯例——包括那些要求向公共当局披露数据或授权此类当局访问数据的法律和惯例——与转移的具体情况有关,以及适用的限制和保障措施(6)

(3)

为补充本条款下的保障措施而实施的任何相关合同、技术或组织保障措施,包括在传输期间和在目的地国处理个人数据时采用的措施。

(c)

数据进口商保证,在根据(b)段进行评估时,其已尽最大努力向数据出口商提供相关信息,并同意将继续与数据出口商合作,以确保遵守这些条款。

(d)

双方同意将(b)段规定的评估记录下来,并应要求提供给主管监管机构。

(e)

数据进口商同意立即通知数据出口国,如果后同意这些条款和合同期间,有理由相信,它已经成为受法律或实践不是(a)款的要求,包括在第三国的法律变化后或测量(如披露请求)指示应用程序这样的法律在实践中不符合(a)款的要求。

(f)

在根据(e)段发出通知后,或者如果数据出口商有其他理由相信数据进口商不能再履行其在这些条款下的义务,数据出口商应迅速确定数据出口商和/或数据进口商将采取的适当措施(例如,确保安全和保密的技术或组织措施)来解决这种情况。如果数据出口商认为无法确保数据传输的适当保障措施,或者受到主管监管机构的指示,则应暂停数据传输。在这种情况下,数据出口商有权终止合同,只要合同涉及本条款下的个人数据处理。如果合同涉及两方以上,除非双方另有约定,否则数据出口者只能对相关方行使终止合同的权利。根据本条终止合同的,适用第16(d)和(e)条。

条款15在公共当局访问的情况下,数据进口者的义务

15.1.

通知

(一)

如果发生以下情况,数据进口方同意立即通知数据出口方,并在可能的情况下,及时通知数据主体(如有必要,在数据出口方的帮助下):

(我)

根据目的地国家的法律,收到公共机构(包括司法机构)提出的具有法律约束力的要求,要求披露根据本条款转移的个人数据;该通知应包括有关所请求的个人资料、请求当局、请求的法律依据和所提供的答复的信息;或

(2)

知悉公共当局根据目的地国家的法律对根据本条款转移的个人数据的任何直接访问;此种通知应包括向进口商提供的所有信息。

(b)

如果根据目的地国的法律,数据进口者被禁止通知数据出口者和/或数据主体,则数据进口者同意尽其最大努力获得对禁令的豁免,以期尽快传达尽可能多的信息。数据导入方同意记录其所做的最大努力,以便能够在数据导出方提出要求时证明这些努力。

(c)

在目的国法律允许的情况下,资料进口商同意在合约有效期内定期向资料出口商提供所收到要求的尽可能多的相关资料(特别是要求的数目、所要求的资料类型、提出要求的权力、要求是否受到质疑,以及该等质疑的结果等)。

(d)

数据进口商同意根据(a)至(c)段的规定,在合同有效期内保留信息,并应主管监管机构的要求提供信息。

(e)

(a)至(c)段不影响数据进口者根据第14(e)条和第16条的义务,即在数据出口者无法遵守这些条款时及时通知其。

15.2.

审查合法性和数据最小化

(一)

资料输入方同意覆核有关披露要求的合法性,特别是该项要求是否仍在提出要求的公共当局所获授权的权力范围内;如经仔细评估后,认为有合理理由认为有关要求根据目的国的法律、国际法的适用义务和国际社会原则属非法,则同意对有关要求提出质疑。数据进口者应在同样条件下寻求上诉的可能性。当对请求提出质疑时,数据进口商应寻求临时措施,以暂停请求的效力,直到主管司法当局决定其是非事实。公署不会披露所要求的个人资料,直到根据适用的程序规则有要求时才会披露。这些要求不影响数据进口商在第14(e)条下的义务。

(b)

资料输入方同意将其法律评估及对披露要求的任何质疑记录在案,并在目的国法律允许的范围内,向资料输出方提供该等文件。它还应根据要求将其提供给主管监管机构。

(c)

资料输入者同意在回应披露要求时,根据对该要求的合理解释,提供所允许的最少数量的资料。

第四节-最终条款
条款16不遵守条款和终止

(一)

无论出于何种原因,如果数据进口者不能遵守这些条款,应及时通知数据出口者。

(b)

在数据进口者违反本条款或无法遵守本条款的情况下,数据出口者应暂停向数据进口者转移个人数据,直至再次确保遵守或合同终止。这并不影响第14(f)条。

(c)

在以下情况下,数据出口商有权终止合同,只要合同涉及本条款下的个人数据处理:

(我)

资料出口者已根据(b)段暂停向资料进口者转移个人资料,而未能在一段合理时间内及在任何情况下均未能在暂停后一个月内恢复遵守本条款;

(2)

数据进口方严重或持续违反本条款;或

(3)

数据进口商未能遵守主管法院或监管机构就其在本条款下的义务作出的具有约束力的决定。

在这些情况下,它应当将此类违规行为告知主管监管机构。如果合同涉及两方以上,除非双方另有约定,否则数据出口者只能对相关方行使终止合同的权利。

(d)

在根据(c)段终止合同之前转移的个人数据,应根据数据出口者的选择立即退还给数据出口者或全部删除。上述规定亦适用于该等资料的任何副本。数据进口者应向数据出口者证明数据已删除。在数据被删除或归还之前,数据进口方应继续确保遵守本条款。如果适用于数据进口商的当地法律禁止返回或删除已转移的个人数据,则数据进口商保证其将继续确保遵守这些条款,并仅在当地法律要求的范围内和时间内处理数据。

(e)

在以下情况下,任一方均可撤销其受本条款约束的协议:(i)欧盟委员会根据法规(EU) 2016/679第45(3)条作出决定,该决定涵盖本条款适用的个人数据传输;或(ii)法规(EU) 2016/679成为个人数据转移到的国家的法律框架的一部分。这并不影响法规(EU) 2016/679下适用于相关处理的其他义务。

条款17适用法律

这些条款应受欧盟成员国之一的法律管辖,前提是该法律允许第三方受益人的权利。双方同意,本协议适用爱尔兰共和国法律。

条款18选择法庭和管辖权

(一)

由这些条款引起的任何争议应由欧盟成员国的法院解决。

(b)

双方同意,这些法院应为爱尔兰共和国的法院。

(c)

数据主体也可以向他/她经常居住地的成员国的法院对数据出口者和/或数据进口者提起法律诉讼。

(d)

双方同意接受该等法院的管辖。

脚注:

(1)

如果数据出口商是受法规(EU) 2016/679约束的处理者,代表欧盟机构或团体作为控制人行事,在雇用不受条例(EU) 2016/679约束的另一个处理者(子处理)时,依赖这些条款也确保遵守欧洲议会和理事会2018年10月23日条例(EU) 2018/1725第29(4)条,该条例涉及欧盟机构、实体、办公室和机构处理个人数据时保护自然人以及此类数据的自由流动。并废除第(EC) 45/2001号法规和第1247/2002/EC号决定(OJ L 295, 2018年11月21日,第39页),只要这些条款和控制者和处理者之间的合同或其他法律行为中规定的数据保护义务符合第(EU) 2018/1725号法规第29(3)条。特别是在控制者和处理者依赖于第2021/915号决议中包含的标准合同条款的情况下。

(2)

这需要以一种匿名的方式呈现数据,使个人不再被任何人识别,符合法规(EU) 2016/679的序言26,并且这个过程是不可逆转的。

(3)

《欧洲经济区协定》(EEA协定)规定将欧洲联盟的内部市场扩展到三个EEA国家:冰岛、列支敦士登和挪威。欧盟数据保护立法,包括法规(EU) 2016/679,由欧洲经济区协议涵盖,并已纳入其附件十一。因此,就本条款而言,数据进口商向位于欧洲经济区的第三方披露的任何信息都不构成继续转让。

(4)

考虑到请求的复杂性和数量,在必要的情况下,该期限最多可再延长两个月。数据进口方应当及时及时地将任何此类延期通知数据主体。

(5)

只有在已批准《纽约执行仲裁裁决公约》的国家设立了仲裁机构,数据进口商才能通过仲裁机构提供独立的争议解决。

(6)

关于这些法律和惯例对遵守这些条款的影响,可以考虑将不同的因素作为全面评估的一部分。这些要素可包括以往要求公共当局披露或未要求披露的相关记录的实际经验,涵盖足够具有代表性的时间框架。这特别指内部记录或其他文件,根据尽职调查在持续的基础上制定并经高级管理层认证,只要这些信息可以合法地与第三方共享。如果根据这一实际经验得出数据进口商不会被阻止遵守这些条款的结论,则需要得到其他相关的客观因素的支持,缔约方应仔细考虑这些因素在可靠性和代表性方面是否具有足够的分量来支持这一结论。特别是,缔约方必须考虑到它们的实际经验是否与公开可得或可以其他方式获得的关于同一部门内是否存在请求和/或在实践中适用法律的可靠信息(例如判例法和独立监督机构的报告)相证实而不相矛盾。

附录

注释:

必须能够清楚区分适用于每次转让或转让类别的信息,并在这方面确定缔约方作为数据出口国和/或数据进口国的各自角色。这并不一定需要为每个转让/转让类别和/或合同关系填写和签署单独的附录,其中通过一个附录可以实现这种透明度。但是,如果需要确保足够清晰,则应使用单独的附录。

附件我

一个。

当事人名单

数据出口国(s):[资料出口者的身分及联络资料,以及(如适用)其在欧盟的资料保护主任及/或代表的联络资料]

1.

名称:Sta江南电子竞技平台ck Exchange, Inc。

地址:威廉街110号th纽约10038楼

联系人姓名、职务及联系方式:见第2项。

与本条款下数据传输相关的活动:集体——为开发者提供问答平台。

签字及日期:[.......................................................................................................

角色(控制器/处理器):控制器

2.

欧盟代表Denis Nikolaev,医学博士

江南足球鞋

阿姆斯特丹弗里斯兰德大街63号

1082 tl,荷兰

数据进口国(s):[资料输入者的身分及联络资料,包括任何负责保障资料的联络人]

1.

名称:在适用的MSA中列出的客户

地址:在适用的MSA中列出

联系人姓名、职务及联系方式:如MSA的通知条款所列

与本条款下传输的数据相关的活动:放置标签,邀请用户进入开发者问答平台的集体页面。

签字及日期:[.......................................................................................................

角色(控制器/处理器):控制器

2.

[.......................................................................................................]

B。

转移描述

被转移个人资料的资料当事人类别

集体服务的用户

传送的个人资料类别

用户ID

传输的敏感数据(如适用)和充分考虑到数据性质和所涉及风险的适用限制或保障措施,例如严格的目的限制、访问限制(包括仅对接受过专门培训的工作人员进行访问)、保存访问数据的记录、对后续传输的限制或额外的安全措施。

(没有)

传输的频率(例如,数据是一次性传输还是连续传输)。

持续的基础

加工性质

邀请用户到collective,分配标签和识别用户。

数据传输和进一步处理的目的

客户可以决定邀请哪些Stack Overflow用户江南足球鞋到集体成为认可成员,并可以邀请他们加入集体。它们还可以将标签分配给特定的用户/用户id。

个人资料将被保留的期间,或在不可能保留的情况下,用于确定该期间的准则

只要需要,数据将保留多久,如果用户关系结束,数据将保留多久,但不受任何法律限制期的限制,或者是为了建立或辩护索赔而需要保留的数据。

对于向(子)处理器的转移,还应指定处理的主题、性质和持续时间

没有一个

C。

主管监管机构

根据第13条确定主管监管机构

爱尔兰共和国

附件二
技术和组织措施包括确保数据安全的技术和组织措施

注释:

必须用特定的(而不是通用的)术语来描述技术和组织度量。另见附录第一页的一般性意见,特别是关于需要明确指出对每一/一组转让适用哪些措施的一般性意见。

[描述数据进口商实施的技术和组织措施(包括任何相关认证),以确保适当的安全级别,同时考虑到处理的性质、范围、背景和目的,以及自然人权利和自由的风险。]

由于处理的性质和双方之间共同控制的性质,客户不太可能以进口商的身份转移任何个人数据。但是,如果发生此类转让,应适用下列措施:

  • 个人资料的假名化和加密措施
  • 确保处理系统和服务的持续机密性、完整性、可用性和弹性的措施
  • 确保在发生物理或技术事故时能够及时恢复可用性和访问个人数据的措施
  • 定期测试、评估和评价技术和组织措施有效性的过程,以确保加工的安全性
  • 用户识别和授权的措施——内部和第三方服务提供商都用于验证和验证用户id,例如在登录阶段。
  • 在传输过程中保护数据的措施——加密
  • 数据在存储过程中的保护措施——加密
  • 确保处理个人资料地点的物理安全的措施-内部流程和外部第三方地点,合同保障措施,以确保地点的物理安全
  • 确保事件记录的措施——IT系统和内部策略。
  • 确保系统配置的措施,包括默认配置-内部IT系统
  • 内部信息技术和信息技术安全治理和管理措施——内部治理和管理制度;
  • 过程和产品的认证/保证措施。适用的认证过程
  • 确保数据最小化的措施——内部遵从性策略(设计和默认的数据保护),以确保只使用最小数量的数据。
  • 保证数据质量的措施保证数据质量的内部措施
  • 确保有限数据保留的措施——数据保留政策——数据只保留必要的时间;
  • 确保问责的措施- dpia,必要的审计。
  • 允许数据可携性和确保数据可擦除的措施[-纳入DSAR过程的措施
Baidu
map