当且仅当Stack Exchange, Inc.(“Stack”)为履行其在相关协议(定义见下文)项下的义务而代表客户收集或以其他方式处理个人数据时,本数据处理附录及其附录(“DPA”)才适用。江南电子竞技平台双方同意,本DPA是本协议的附录,并构成本协议的一部分,各方均应遵守其中的规定,包括责任限制。
与Stack签署此DPA将使Stack在执行和提供所请求的服务时遵守适用的数据保护和处理法律法规。
如何执行这个dpa
此DPA已代表Stack Exchange, Inc.作为数据导入方进行了预签名。江南电子竞技平台
为完成此DPA,客户必须:
填写签名框中的信息并签字;和
作为附录2中的数据导出者完成信息。
将完成并签署的DPA通过电子邮件发送给Stack,并在电子邮件的主题标题中注明客户的完整实体名称和产品legal@stackoverflow.com.当Stack在此电子邮件地址收到有效填写的DPA后,此DPA将具有法律约束力。
数据处理附录
本资料处理附录("德通社")由Stack Exchange, Inc. ("江南电子竞技平台堆栈”)及下述签署人(“客户”)。双方同意,尽管本协议(定义见下文)中有任何相反规定,本DPA仍被纳入本协议,并成为本协议的重要组成部分。本协议中未另行定义的大写术语具有本协议中赋予其的含义。
定义
在本DPA中,以下术语具有如下含义,相关术语将据此解释:
”充足的国家指根据下述(如适用)不时作出的适当决定而被认可为个人数据提供适当保护的国家或地区:(i)信息专员办公室和/或根据适用的英国(“英国”)法律(包括英国GDPR),或(ii)欧盟委员会根据欧盟GDPR作出的适当决定。
”下属指直接或间接受另一实体控制、控制或与另一实体共同控制的任何实体。就本定义而言,“控制”是指直接或间接拥有或控制主体实体50%以上的投票权益。
”协议"系指Stack许可或提供对服务的访问的书面协议的统称。
”客户集团指客户和/或直接或间接控制、受客户控制或与客户共同控制的任何实体,且该实体是本DPA的一方,其中“控制”指(直接或间接)任命或罢免该实体多数董事的权力,包括关联公司。
”资料保护法例“指与隐私、数据安全和个人数据保护以及任何个人数据处理相关的所有适用法律、法规或其他法律要求,包括但不限于:
在欧盟(“欧盟”),通用数据保护条例2016/679(“欧盟GDPR”);
在英国,由《2019年数据保护、隐私和电子通信(修订等)(欧盟退出)条例》、《2020年数据保护、隐私和电子通信(修订等)(欧盟退出)条例》和《2018年数据保护法》(“英国GDPR”);
在瑞士,《瑞士数据保护法》("瑞士德通社”);和
州隐私法。
”资料当事人要求指数据主体或代表数据主体根据《数据保护法》就其个人数据行使任何权利的请求(也可称为“客户请求”)。
”欧盟的条款指欧盟委员会2021年6月4日第2021/914号决议(网址:http://data.europa.eu/eli/dec_impl/2021/914/oj)中规定的个人数据向第三国国际转移的标准合同条款,该条款包含“控制者到处理者”转移的模块2,并根据附录1的附表1构成本DPA的一部分。
”个人资料指Stack根据本DPA代表客户收集、访问、使用、披露或以其他方式处理的与客户已识别或可识别的自然人直接或间接相关的任何个人信息。根据本DPA第2.2条,这可能包括客户集团公司的个人数据。
”个人资料外泄“指任何违反安全的行为或其他行为或不作为,导致Stack的任何员工或子处理器或任何其他已识别或未识别的第三方意外或非法销毁、丢失、更改、未经授权披露或访问个人数据。”个人数据泄露不包括任何不危及个人数据安全性的不成功尝试或活动,包括常规的、不成功的登录尝试、ping、端口扫描、拒绝服务攻击或对防火墙或网络系统的其他网络攻击。
”限制转让"意指:(i)将个人资料从任何客户集团公司转移至Stack;或(ii)继续将个人数据从Stack转移到Stack的子处理器,在每种情况下,如果所转移的个人数据受欧洲数据保护法(包括欧盟GDPR或英国GDPR,如适用)的约束,并且接收个人数据的一方未提供欧洲数据保护法意义上的个人数据保护水平。
”敏感数据“指受特殊法律保护并需要独特处理的个人数据,例如“特殊类别的数据”、“敏感数据”或《数据保护法》规定的其他实质性类似术语,其中可能包括以下任何一项:(a)社会安全号码、税号、护照号码、驾驶执照号码或类似标识符(或其任何部分);(b)财务或信用信息、信用卡或借记卡号码;(c)揭示种族或族裔出身、政治观点、宗教或哲学信仰、工会会员资格、用于唯一识别自然人的遗传数据或生物特征数据、有关个人健康、性生活或性取向的数据,或与刑事定罪和犯罪有关的数据;(d)有关儿童的个人资料;和/或(e)非散列形式的帐户密码。
”州隐私法指美国(“美国”)各州隐私法,可能包括但不限于:
《加州消费者隐私法》(CCPA)代码1798.100等序列。(经修订),包括《2020年加州隐私权法案》(“CPRA”)及其实施条例;
《弗吉尼亚消费者数据保护法》,弗吉尼亚法典第52章第59.1卷(“VCDPA”)及其实施条例;
《科罗拉多州隐私法》,《科罗拉多州第1-1301号修订版》等。(以下简称“注册会计师”)及其实施条例;
犹他州消费者隐私法,犹他州法典13-61-101等。(“UCPA”)及其实施条例;和
《康涅狄格州个人数据保护和在线监控法案》,康涅狄格州PA 22-15§1等。(“PDPOM”)及其实施法规,或据此发布的任何法规或指南。
”英国批准附录“指英国信息专员办公室根据英国《2018年数据保护法》s119A于2022年2月2日发布并提交议会的模板附录B.1.0,自2022年3月21日起生效。”
”英国强制性条款指不时更新和/或被信息专员办公室发布的任何最终版本所取代的英国批准附录的强制性条款。
术语“业务”、“业务目的”、“商业目的”、“消费者”、“控制者”、“数据主体”、“个人数据”、“个人信息”、“处理者”、“处理/处理”、“销售”、“服务提供商”、“共享”、“分包商”、“子处理者”和“监管机构”具有数据保护法中赋予它们的含义。
角色
客户是一家企业,被视为个人数据的控制者和数据输出者,Stack是一家服务提供商,被视为个人数据的数据输入者或处理者,这些术语可以在数据保护法中定义。
为免生疑问,客户以外的客户集团公司不是、也不会成为本协议的一方,并且在遵守以下规定的前提下,仅是本DPA的一方。如果客户集团公司希望成为本DPA的一方,并且适用欧盟GDPR或英国GDPR,则适用欧盟条款第7条中的流程。
每一方都将遵守(并将促使其人员遵守,并尽商业上合理的努力促使其子处理者遵守)在处理个人数据时适用于该方的数据保护法。在双方之间,客户应对个人数据的准确性、质量和合法性以及获取个人数据的方式承担全部责任。
客户在使用服务时,以及客户对处理者的指示,应遵守数据保护法、本协议和本数据保护协议。客户应建立并拥有任何和所有必要的法律依据,以便收集、处理和向Stack传输个人数据,并授权Stack根据本协议和本DPA代表客户进行处理活动,包括追求商业目的。
任何一方在确定其无法再遵守(i)《数据保护法》、(ii)《协议》或(iii)本DPA项下的义务时,均应及时通知另一方。
处理需求
Stack承认,客户仅为接收服务的有限和指定目的而披露与本协议有关的个人数据。按照规定,Stack不得出于除仅代表客户提供服务的特定目的或法律另有要求外的任何目的而出售或共享个人数据,或收集、保留、使用、披露或以其他方式处理个人数据。Stack对个人数据的处理将根据Stack与客户之间的直接业务关系进行,并始终遵守数据保护法、本协议和本DPA。
作为处理方,Stack只会在以下情况下处理个人数据:(i)按照本协议约定向客户提供服务;或(ii)根据客户的书面指示。如果适用法律要求Stack处理客户指示以外的个人数据,Stack将通知客户(除非适用法律禁止)。在合理可行的情况下,如果Stack认为客户提供的任何指示违反了《数据保护法》,Stack将尽快通知客户。为澄清起见,Stack没有义务评估客户的指示是否违反任何数据保护法。
双方承认,本服务并非用于处理敏感数据。因此,“用户”不得向“服务”提交任何敏感数据。
Stack不会将从客户处收到的个人数据与Stack从他人处或代表他人处收到的个人数据或从其与消费者的互动中收集的个人数据相结合,前提是如果客户指示Stack或在数据保护法明确允许的情况下,Stack可以出于商业目的将个人数据相结合。
在本协议终止后,经客户书面请求,Stack将返回或删除个人数据,除非适用法律另有要求或许可,且本协议另有许可。
客户可在向Stack提供合理通知后,采取一切合理及适当的措施,以防止、停止或纠正任何未经授权处理客户个人资料的行为。
在适用的情况下,如果Stack以限制性转让方式处理欧盟数据主体的个人数据,则Stack对个人数据的处理也将受欧盟条款的约束。在这种情况下,相关的客户集团公司为“数据出口商”,Stack为“数据进口商”,欧盟条款中的“转移”一词也包括任何“处理”。然而,英国批准附录仅适用于英国GDPR中存在限制性转让的情况。
技术及组织保安措施
Stack将实施适当的技术和组织安全措施,以适应处理个人数据所带来的风险,特别是防止意外或非法破坏、丢失、更改、未经授权披露或访问附录4所述的个人数据。
Stack将采取合理措施确保只有授权人员才能访问个人数据,并确保其授权访问个人数据的任何人员都负有保密义务。
Stack可安排合格的独立评估人员对Stack的政策、技术和组织措施进行评估,使用适当且可接受的控制标准或框架以及评估程序进行评估。应客户的书面要求,Stack应向客户提供评估报告。
Sub-processors
客户授予Stack一般授权,以指定第三方作为支持服务性能的子处理器,包括数据中心运营商、基于云的软件提供商和其他外包支持和服务提供商。Stack将维护一个子处理器列表(可在https://stackoverflow.com/legal/gdpr/subprocessors,可不时更新,并载于附录3)。
Stack应在客户开始对个人数据进行分处理前三十(30)天通过其网站通知客户其指定的新的分处理者。客户可基于合理理由,在发送后十五(15)天内以书面形式通知Stack,反对Stack对子处理器的任命。如果用户在此期间不提出异议,则视为接受新的子处理器。如果客户提出异议,双方应真诚地讨论客户所关心的问题,以期达成商业上合理的解决方案。如果双方不能达成协议,客户可以终止DPA,而无需对Stack承担进一步的责任。Stack可以在此异议过程中使用新的或替换的子处理器。
Stack不会将客户个人数据的任何处理分包给任何子处理器,除非首先确保该委托是根据一份书面合同进行的,该合同约束子处理器遵守不低于本DPA中对Stack施加的个人数据保护条款(“有关条款”)。对于该分处理器在数据保护法要求的范围内违反任何相关条款,Stack应向客户承担责任。
个人资料外泄、资料当事人要求及进一步协助
Stack将及时通知客户任何个人数据泄露事件,无论如何不得迟于知晓个人数据泄露事件后的四十八(48)小时。
在法律允许的范围内,如果Stack收到数据主体请求,将在不无故延迟的情况下,在任何情况下都将在七十二(72)小时内通知客户。Stack将不回应数据主体的请求,前提是客户同意Stack可以自行决定回应以确认该请求与客户有关。"用户"承认并同意,"服务"可能包含允许"用户"直接通过"服务"管理数据主体请求的功能,而无需Stack提供额外帮助。如果客户没有能力处理数据主体请求,Stack将根据客户的书面请求,在符合适用法律的范围内,提供合理的协助,以促进客户对数据主体请求的回应。
考虑到处理的性质和Stack可获得的信息,Stack将根据客户在数据保护法下的义务提供客户合理要求的协助,涉及以下方面:(i)数据保护影响评估;(ii)针对个人数据泄露,客户根据数据保护法向监管机构发出的通知和/或向数据主体发出的通信;或(iii)客户遵守数据保护法规定的有关处理安全的义务。
Stack应至少每年对Stack的政策以及技术和组织措施进行一次审计,以支持数据保护法项下的义务,审计费用由Stack承担。
Stack同意配合任何合理且适当的审计或审查(仅限于每年一次),或客户认为合理必要的其他步骤,以确认Stack以符合客户在数据保护法项下义务的方式处理个人数据,包括安全和隐私调查问卷。顾客只能将这些信息,包括反映审核和/或认证结果的文件,用于评估本DPA的合规性,而不得用于任何其他目的。客户应对该等信息保密,未经Stack事先书面批准,不得向任何第三方披露该等信息。
国际转账
客户同意,其对服务的使用可能涉及将个人数据转移到Stack所在国家,并在其境内处理个人数据。除第7.2-7.4条规定的情况外,未经客户事先书面同意,Stack不会在欧洲经济区(“EEA”)、英国或瑞士以外的其他国家处理或允许处理个人数据。
英国转移
如果个人数据被转移到Stack,并由Stack或代表Stack在英国境外(除非是在适当的国家)进行处理,而在没有转移机制的情况下,此类转移将被英国GDPR禁止,则双方同意适用受英国批准附录约束的欧盟条款。联合王国批准的附录已纳入本DPA。
附录1的附表2参考了表1至表4所要求的信息,包括英国批准的附录。
经济区转移
如果个人数据被转移到欧洲经济区以外的Stack并由Stack或代表Stack进行处理(除非是在适当的国家),而在没有转移机制的情况下,此类转移将被欧盟GDPR禁止,则双方同意欧盟条款将适用于该处理,并根据附录1的附表1纳入本DPA。
附录1的附表1包含欧盟条款所要求的信息。
瑞士转移
如果个人数据被转移到Stack,并由Stack或代表Stack在瑞士境外(除非在适当的国家)进行处理,而在没有转移机制的情况下,此类转移将被禁止,则双方同意,标准合同条款在必要时也适用于双方对受瑞士DPA约束的个人数据的处理。在适用的情况下,对欧盟成员国法律或欧盟监管机构的引用应进行修改,以包括瑞士法律下的适当引用,因为它涉及受瑞士DPA约束的个人数据传输。
Stack可以(i)使用符合数据保护法的任何替代或替代转移机制,普遍地或就欧洲经济区和/或英国(视情况而定)替换欧盟条款和/或英国批准附录;包括不时批准的任何进一步或替代标准合同条款,以及(ii)通过通知客户新的转让机制或新标准合同条款的内容(前提是其内容符合相关决定或批准),对本DPA进行合理必要的更改(如适用)。
客户收到的数据主体请求
客户同意将消费者行使《数据保护法》规定的权利的请求(包括删除个人数据)通知Stack, Stack同意根据《数据保护法》,并考虑到处理的性质和Stack可获得的信息,通过适当的技术和组织措施,只要没有确定适用的例外情况,就会遵守此类请求。向客户提供合理的协助,使客户能够遵从该等有效的要求。当客户根据本款通知Stack此类请求时,客户应:(a)在数据保护法要求的范围内验证消费者的身份,(b)协助查找与Stack共享的个人数据,以及(c)真诚地与Stack合作,以确定是否应遵守请求或是否适用遵守请求的例外情况。
去除了识别信息的数据
未经客户授权,Stack不得处理客户的个人数据以创建去识别数据。如果Stack获得适当授权,Stack应:
采取合理措施,防止未识别数据被用于推断有关特定自然人或家庭的信息,或以其他方式与之联系;
以去识别的形式维护和使用去识别的数据,并且不试图重新识别去识别的数据,除非Stack可能试图重新识别信息,仅为了确定其去识别过程是否符合数据保护法的要求;和
根据合同规定,未识别数据的任何接收方(包括子处理方、承包商和其他第三方)有义务遵守《数据保护法》。
一般
本DPA不影响双方在本协议项下的权利和义务,并将继续具有充分的效力。如果本DPA的条款与《协议》的条款之间存在任何冲突,则以本DPA的条款(包括定义)为准,因为主题事项涉及个人数据的处理。本DPA列出了双方就其所涵盖的主题已达成协议的所有条款。除欺诈性陈述外,其他陈述或条款不得适用于本DPA或构成本DPA的一部分。
Stack在本DPA项下或与本DPA相关的对客户的最大总责任在任何情况下不得超过协议中规定的Stack对客户的最大总责任。
除非数据保护法另有要求,否则本DPA将受本协议管辖地区的法律管辖并按照其进行解释,在这种情况下,本DPA将受爱尔兰共和国法律管辖。但是,如果根据本DPA对英国个人数据的处理产生争议,则该争议应受英格兰和威尔士法律管辖,并应在英格兰伦敦提起诉讼。
本DPA构成双方就本DPA的标的达成的完整的、排他性的理解和协议。对本DPA任何条款的任何放弃、修改或修订,只有在以书面形式并经本协议双方签字后才有效。
如果本DPA的任何条款在任何司法管辖区被认定为非法、无效或不可执行,则该条款在该司法管辖区不具有效力,但不会使本DPA的任何其余条款无效。
以资证明,各方已使本DPA由其正式授权的代表签署,并于下述签署日期生效。
代表…签署 江南电子竞技平台Stack exchange公司 |
代表…签署 客户/控制器 |
||
| 签名 |  |
签名 | |
| 名字 | 马特·加勒廷 | 名字 | |
| 日期 | |||
附录1 -具体管辖权规定
附表1 -欧盟条款
如适用,就本附表1而言,欧盟条款(模块II)可于https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN,应通过参考本附表和DPA纳入其中,并应被视为其不可分割的一部分,双方在DPA中的签字应被解释为双方在EU条款中的签字。如果DPA与EU条款不一致,则以后者为准。
就欧盟条款而言,以下条款应适用:
客户为数据输出方,Stack为数据输入方。各方同意分别受欧盟条款中规定的作为出口商和进口商的义务的约束和遵守。
第7条(对接条款)应视为包含在内。
第9条(子处理器的使用):选项2 -应适用一般书面授权。数据进口商应至少提前三十(30)天以书面形式明确通知数据出口商任何拟通过增加或更换子处理器对该清单进行的更改。
第11条(补救):可选条款(在独立争议解决机构面前的可选补救机制)应视为不包括在内。
第13 (a)条(监督):
如果客户在欧盟成员国设立:如附件I.C所示,负责确保数据出口商遵守关于数据传输的法规(EU) 2016/679的监管机构应作为主管监管机构。
如果客户不在欧盟成员国设立,但根据法规(EU) 2016/679第3(2)条属于其适用的领土范围,并且根据法规(EU) 2016/679第27(1)条指定了一名代表:如附件I.C所示,在欧盟法规2016/679第27(1)条意义上设立代表的成员国监管机构应作为主管监管机构。
如果客户不在欧盟成员国设立,但根据法规(EU) 2016/679第3(2)条属于其适用的领土范围,但无需根据法规(EU) 2016/679第27(2)条指定代表:如附录I.C所示,数据主体的个人数据在本条款下因向其提供商品或服务而被转移,或者其行为被监控,其所在地的一个成员国的监管机构应当作为有权的监管机构。
第17条(适用法律):
这些条款应受数据出口商所在的欧盟成员国的法律管辖。如果此类法律不允许第三方受益权,则应由允许第三方受益权的另一个欧盟成员国的法律管辖。双方同意,本协议适用爱尔兰共和国法律。
第18 (b)条(法院和管辖权的选择):双方同意,双方之间因欧盟条款引起的任何争议应由爱尔兰共和国法院解决。
欧盟条款中有关双方相互责任的任何规定应受本协议的限制和免责条款的约束。
欧盟条款中有关审计权的任何规定应根据DPA第6.4条和协议进行解释。
附表2 -英国数据传输
就联合王国核准增编而言,
表1所要求的资料载于本DPA附录2,而开始日期应视为与欧盟条款日期相同;
就表2而言,英国批准附录适用的欧盟条款版本是模块2,即控制者到处理者;
就表3而言,各方名单和转让描述载于本DPA附录2,Stack的技术和组织措施载于本DPA附录4,Stack的子处理器名单应根据本DPA附录3提供;和
对于表4,任何一方均无权根据英国强制性条款第19条终止英国批准附录,英国附录第一部分中的表4选择“数据出口商”即视为完成。
附表3 -各州隐私法的生效日期
双方同意,各自国家隐私法的规定将于以下日期生效,在该日期之前无效:
2023年1月1日生效
VCDPA于2023年1月1日生效
2023年7月1日注册会计师
2023年7月1日
2023年12月31日
附录2
数据处理细节
A.当事人名单
数据出口国(s):
名称:(_________)
地址:(_________)
联系人姓名、职务及联系方式:(_________)
与根据本条款传输的数据有关的活动:
数据出口者已要求数据进口者在必要时处理个人数据,以提供数据进口者在双方协议项下同意的服务和产品。
签字及日期:请参考DPA中的签名和日期。
角色(控制器/处理器):控制器
数据进口国(s):
名称:江南电子竞技平台Stack Exchange公司
地址:纽约威廉街110号28楼邮编10038
联系人姓名、职务及联系方式:
私隐律师privacy@stackoverflow.com
与根据本条款传输的数据有关的活动:
数据进口商将在必要时处理个人数据,以提供双方协议项下同意的适用订购文件中详细说明的服务和产品。
角色(控制器/处理器):处理器
B.转让描述
| 处理的主题 | Stack根据本协议向客户提供的服务。 |
|---|---|
| 加工的性质和目的 | Stack根据本协议向客户提供服务,包括安全性和完整性、维修功能以及代表客户执行服务。 |
| 个人资料的种类/类别 |
|
| 敏感个人资料及适用限制 | 没有一个 |
| 资料当事人或消费者的类别 | 由客户自行决定的授权用户,可包括:
|
| 转移频率 | 持续提供服务的基础 |
| 处理时间 | 在协议有效期内,或直到该处理不再需要用于该目的为止。 |
| 传输到(子)处理器 | 见附录3 |
C.主管监管机构
根据第13条确定主管监管机构
爱尔兰数据保护局
附录3
经批准的分加工者名单
根据本DPA的适用部分,数据进口商可以使用目前列于以下的子处理器https://stackoverflow.com/legal/gdpr/subprocessors,并可根据本DPA的适用条款不时更新。
附录4
确保数据安全的技术和组织措施
范围
本附录4适用于Stack在提供其服务过程中收集、生成或以其他方式处理的所有个人数据。
人员和业务
所有可以访问其数据处理系统或客户集团公司数据处理系统的Stack员工,包括分包商,都使用唯一的用户名和强密码进行身份验证。
Stack应对所有参与个人数据处理的员工进行适当的数据保护和数据安全培训,并以合理的时间间隔进行此类培训。
Stack应要求其员工在合同中承担保密义务,或承担相应的法定保密义务。
Stack应监控其员工对个人数据的访问。监控至少应包括并捕获成功和不成功的登录尝试、时间、日期和用户名。这些日志应保留至少3个月。
政策及程序
Stack应制定全公司范围的安全政策,并由Stack高级管理团队中的一名高管批准和支持,该政策基于或与国际信息安全管理标准(ISO27001)保持一致。
认证评估
如果Stack处理属于支付卡行业数据安全标准(PCI DSS)范围内的个人数据,Stack应确保所有处理符合最新版本标准的PCI DSS要求。这只适用于通过Stack的自助服务渠道购买的服务。
物理安全
Stack应设置适当的系统来限制对其安全场所和场所的访问。进入安全区域应由Stack监控和记录。
应用程序开发
Stack提供软件作为解决方案。在开发作为服务提供的软件时,Stack应采用安全编码实践,至少解决开放Web应用程序安全项目(OWASP)的十大漏洞。
Stack将具有文档化的策略和/或过程,以确定在整个开发生命周期中应用安全检查和相关方法的位置。
Stack将确保客户界面上的活动日志(例如但不限于web服务器和数据库日志)以及服务器和GUI级别的IT管理活动日志从服务器本身远程记录(如果服务托管在Stack的第三方提供商系统上)。日志将按照Stack的保留策略进行保留。
Stack应至少每年自费对提供给客户集团公司的服务使用国际公认的方法(如OWASP)进行独立的应用程序和/或基础设施渗透测试。如果书面要求,可以提供独立测试的证据。
漏洞扫描应至少每季度进行一次。Stack应在供应商发布日期后三十(30)天内安装(a)关键安全补丁;以及(b)在供应商发布日期后九十(90)天内提供非关键安全补丁。
基础设施
Stack应对根据本协议提供的服务的变更进行管理,且不得降低安全控制的整体有效性。
用于提供服务和/或托管个人数据的所有基础设施都将接受频繁的漏洞评估和修复周期。
数据处理
Stack应将个人数据与Stack的任何其他客户数据隔离。在无法实现专用物理隔离的情况下,可以使用单独的逻辑数据库或存储实例。在不可能单独的逻辑实例并且隔离依赖于访问控制权限或视图的情况下,Stack将对这些参数的更改进行实时监视并向系统管理员发出警报。
Stack将在以下过程中使用广泛认可的加密协议和技术来保护个人数据:(i)传输(数据输入);(ii)与合同第三方交换(数据输出);(iii)用于存储(如果服务托管在Stack的第三方提供商系统上)。在适当情况下,Stack将尽快对个人数据进行假名化处理。为清楚起见,假名化是指在不使用其他信息的情况下,以一种不能再将个人数据归因于特定数据主体的方式处理个人数据。
Stack应采取适当措施,禁止将个人数据传输或复制到未加密的便携式设备上,如USB棒或闪存驱动器。
数据删除
Stack在删除个人数据时应遵循标准的行业惯例。为澄清起见,删除是指物理删除或逻辑删除,使数据无法恢复。如果逻辑删除方法是多遍覆盖方法,则认为它们是合适的。在收到删除个人资料的书面请求后,Stack将提供已完成删除的书面确认,包括实际删除和使用的方法(如适用)。