应急数据处理补遗

语:

英语|Español.|意大利语|法语|法语法裔加拿大人|德意志|荷兰语|română.|العربية|繁體中文|简体中文

本EMERGENETICS数据处理附录(以下简称“附录”)由以EMERGENETICS International名义经营的勃朗宁集团国际有限公司及其法律附属公司(包括但不限于STEP, LLC, EMERGENETICS Europe Limited和EMERGENETICS Caelan & Sage PTE Ltd)(以下统称为:“新兴”、“我们”、“我们”、“我们的”)和您(“客户”或“合作伙伴”,具体定义如下)(各自为“一方”,统称为“双方”)。本附录适用于您在新兴平台上处理个人资料的规定。如果您代表某一实体接受本附录的条款,则您向Emergenetics声明并保证,您有权约束该实体及其关联公司(如适用)遵守本附录的条款和条件。本附录自您在适用的网上表格或网页中点击“是,我同意”按钮表示同意之日起生效。

演出

鉴于,Emergenetics与您已签署一项涉及数据主体(定义见下文)个人数据(定义见下文)处理的服务协议(“服务协议”),双方现希望按本协议规定进行修改;

虽然,在提供服务协议下提供其服务的过程中,作为数据控制器,处理数据主体的某些个人数据;

鉴于,Emergenetics作为数据控制器,要求您和在您与Emergenetics合作过程中可能处理个人数据的任何后续个人数据接收者,根据《欧盟一般数据保护条例》(GDPR)和其他适用法律法规,采取一切必要措施处理该等信息;

鉴于,当双方共同确定加工目的和方式时,双方应作为共同控制人;和

鉴于,双方签订本附录是希望遵守GDPR和其他适用法律法规要求的关于服务协议下的个人数据处理的数据保护原则和标准。

因此,现考虑到本附录中规定的相互协议,以及双方都承认已收到且充分的其他有益且有价值的对价,双方同意如下:

定义

使用但未在本附录中定义的大写术语应具有《服务协议》中赋予它们的含义。

就本增编而言,下列大写术语在本增编规定中出现时应具有下述含义:

条款

双方约定如下:

  1. 有效日期。本附录项的条款应在附录日期的后期生效,或者2018年5月25日(“生效日期”),并同时继续进行服务协议。
  2. 范围。该附录作为服务协议下的个人数据处理的框架,仅适用,单独或共同,以及各方之间的个人数据共享,以及界定各方应遵守和各自的原则和程序缔约方的责任。
  3. 适用性。如果个人资料的处理不受适用法律的监管,则本附录不适用于个人资料的处理。
  4. 控制权声明与保证。各方声明、保证并承诺:
    1. 关于服务协议下的个人数据处理,其为本附录和GDPR所指的数据控制人;
    2. 所有个人数据已经并将按照GDPR进行收集、转移和其他处理;
    3. 其只会在符合适用法律规定的强制性要求(且不存在合法的豁免或减损)的情况下,按照适用法律规定的所有适用条件,进行个人数据的转移;
    4. 应各自的另一方要求,其将向另一方提供所有相关数据保护法律的副本或对这些法律的引用(如相关,不包括法律意见)。
  5. 联合控制人声明和保证。各方在与另一方共同担任联合控制人时,保证并承诺:
    1. 它将确定其在遵守适用法律下的义务方面的各自责任;
    2. 它将决定其各自的责任达到数据主体,在考虑到每个具体处理情况的情况下,并在必要时适当地将该等信息传达给联合控制人关系中相应的其他数据控制人;
    3. 考虑到这样一个事实,在GDPR出发,,不管当事人之间的协议的条款,数据对象可能GDPR下行使权利的尊重,对每个数据控制器,每个数据控制器在联合管理员职位背景下会主动,在未被要求的情况下,向联合控制器关系下的其他数据控制器提供所有适当的协助和信息,包括但不限于转发数据主体根据《GDPR》第三章行使其权利的请求。如数据控制人未履行其在本条款下的义务,则该数据控制人应就对数据当事人行使其权利的相应要求作出的回应(或未作出回应)承担全部责任;和
    4. 发生冲突的能力对一组特定的处理操作在联合管理员职位背景下,每个数据控制器应该真诚的沟通和解决冲突说其他各自数据控制器以一种友好的方式,通过考虑和尊重,首先,如果双方因权限冲突未解决而未能尊重数据主体的权利,则双方应确保各自数据主体的利益和权利,其次,应确保双方的共同利益,以避免连带责任。
  6. 加工活动记录。每个数据控制器同意按照GDPR第30条的规定,维护其负责的个人数据处理活动的记录。
  7. 处理个人数据。就本附录而言,各方为资料当事人的个人资料的联合控权人。客户和合作伙伴共同控制通过Emergenetics平台处理的个人数据。各资料管制员在本附录范围内处理个人资料,须遵守以下规定:
    1. 处理仅限于服务协议中为服务和任何后续订单、工作说明或双方之间执行的工作订单所概述的服务和任务。
    2. 每个数据控制器应确保个人数据的处理为目的的服务协议,只执行合法的理由,由GDPR 6条,以及进一步GDPR第九条限制,或相当于任何适用法律的规定,视情况而定。
    3. 各个数据控制器必须确保他们授权处理个人数据的人致力于保密或处于适当的保密义务。
  8. 安全措施。双方将实施适当的技术和组织安全措施,以确保并能够证明处理是按照《GDPR》和《GDPR》第二十四条的要求进行的。
  9. 数据请求。Each Party will be responsible for responding to requests for the exercise of a Data Subject’s rights under Chapter III of the GDPR or the equivalent provisions of other Applicable Laws, with regard to the Personal Data Processed by that Each Party will designate an appropriate point of contact for Data Subject requests within its respective organization. Each Party will maintain a record of Data Subjects’ requests to exercise their rights, the decisions made, and any information that was exchanged. In situations where the Parties are Joint Controllers, the Parties will provide notice to each other of all such Data Subject requests they receive. Before deleting Personal Data or restricting Processing in response to a Data Subject request, each Party will obtain the approval of the other Party, which shall not be unreasonably withheld by that other Party, so as to avoid the possibility of one Party’s actions causing the other Party to be in breach of this Addendum or any applicable laws. The Parties agree to provide prompt and reasonable assistance to each other, if required, to enable them to comply with Data Subject requests. Each Party will ensure that its relevant privacy notices, where applicable, are published in accordance with the requirements of the GDPR and other Applicable Laws and that no conflicts exist among the Parties’ privacy notices that would create confusion or mislead Data Subjects. In particular, each Party will ensure that its relevant privacy notices, where applicable, contain accurate contact information to which Data Subjects can submit requests to the respective Party to exercise their rights under the GDPR and other Applicable Laws, as the case may be.
  10. 处理资料的保安及个人资料泄露通知。双方同意实现和维护的技术和组织的安全措施,以确保个人数据的安全级别的处理是适当的风险,根据文章GDPR 32到36,考虑加工的本质和每一方所能获得的信息。每一方应提供个人资料的通知违反监督主管部门或受影响的数据主题(s),根据文章33和34 GDPR,或相当于其他适用法律的规定,视情况而定,以及所有其他各自的政党,由于援助是必要的。
  11. 处理器。每一方只参与一个数据处理器来处理个人数据在其代表如果数据处理机提供足够的担保,通过书面合同或其他法律行为根据欧盟和成员国的法律,它将实现相同的数据保护义务这个附录和GDPR的要求。该等义务尤其应包括,要求数据处理器以满足GDPR要求的方式实施适当的技术和组织安全措施,包括但不限于GDPR第28、29和30条的适用要求。并确保资料当事人的权利得到保障。如果该数据处理器未能履行其数据保护义务,则相关方应继续对数据主体履行该数据处理器的义务负全部责任。
  12. 受限制的转移。Emergenetics(“数据出口商”)和客户(“数据进口商”)特此在附录日签订标准合同条款(如附录A所示),这些条款被纳入本引用并构成本附录的组成部分。如有必要,双方应完整接受、签署并签署标准合同条款,包括生效日期的附件。
  13. 对于在本附录范围内从应急项目向客户进行的任何限制性转让,应按下列优先顺序适用下列转让机制之一:
    1. 格式合同条款;或
    2. 适用法律(视具体情况而定)所规定的任何其他合法依据。
    如果适用标准合同条款,且附录的条款与标准合同条款的条款之间存在冲突,应以标准合同条款的条款为准。
  14. 责任。如果在数据科目之前,不妨碍党或数据处理器的任何形式的直接责任,每个方就赔偿违约方对违约方对非违约方造成的其他违约方责任义务,如本附录所载。
  15. 纠纷。在发生争议或索赔带来的数据对象或一个经济区或英国有关个人资料的处理与数据保护机构或当事人,当事人会通知对方任何此类争端或索赔,并将合作以解决他们及时友好。
  16. 保障资料查询联络点:

    Emergenetics:

    电子邮件:privacy@emergenetics.com

    名称:布莱德·霍夫曼

    标题:总经理

    客户应提供其联络点的详细资料,以供查询https://plus.emergenetics.com/#/privacyInfo.https://esp.emergenetics.com/user/profile/privacyInfo(在登录时可用)。客户保证在必要时及时更新所有此类信息,并保持所有此类信息的完整和最新。
  17. 没有进一步的修改。除本附录中明确规定外,各方亦不得修订或修改服务协议或缔约方签署或以其他方式签订的任何其他文件。
  18. 主协议。服务协议条款与本附录前执行的任何附录或补充协议一起保留,并保持全力和效果。在此附录与服务协议中所载的任何条例的任何条款相冲突的程度上,本附录项的条款应当对本文所述的主题进行控制。
  19. 机密性。此附录是机密信息。每一方都同意:
    1. 不得向任何第三方披露本附录,除非(1)向已签署保密协议或负有法定保密义务的法律顾问或隐私顾问披露;(2)本附录允许或合理预期的;或(3)GDPR或其他适用法律要求的(均为“许可披露”);和
    2. 每一方通常使用相同程度的谨慎来保护其自身性质相似的信息,以保护本附录不受任何持有、使用或披露(非许可披露)的影响,但在任何情况下都不低于合理程度的谨慎。

表现出一种

委员会决定C (2004) 5721

设置II

个人资料从共同体转移至第三国的标准合约条款(管制员对管制员的转移)

数据传输协议
之间

布朗宁集团国际公司
2 Inverness Dr East
189套房
Centennial,Co,80112
美国。

以下简称“数据出口国”



客户,定义见上述应急数据处理附录(“附录”)

以下简称“数据进口国”
每一个“党”;“当事人”。

定义

就本条款而言:

  1. “个人数据”,“数据/敏感数据的特殊类别”,“进程/处理”,“控制器”,“处理器”,“数据主题”和“监督权限/权限”应具有与指令95中相同的含义/1995年10月24日的46 / EC(其中“管理局”是指建立数据出口商的境内的主管数据保护机构);
  2. “数据出口商”表示转移个人数据的控制器;
  3. “数据导入者”是指同意根据这些条款条款的数据出口商个人数据接收的控制器,并不受第三国制度确保充足保护的条款的进一步处理;
  4. “条款”意味着这些合同条款,这是一个独自一份单一的文件,该文件不纳入各方根据单独的商业安排所设定的商业业务条款。

转让的细节(以及个人数据涵盖)在附件B中规定,其形成条款的一个组成部分。

  1. 数据出口商的义务

    数据出口商保证并承诺:

    1. 个人资料已按照适用于数据出口商的法律收集、处理和转移。
    2. 它使用合理的努力来确定数据进口商能够满足这些条款下的法律义务。
    3. 它将在数据进口商提出要求时,向其提供相关数据保护法律的副本或数据出口商所在国的相关资料(如相关,不包括法律意见)。
    4. 本局会回应资料当事人及当局有关资料输入者处理个人资料的查询,除非有关各方同意资料输入者会这样回应,在这种情况下,如果数据输入者不愿或无法作出反应,数据输出者仍将对合理可能的范围作出反应,并利用其合理可得的信息作出反应。我们将在合理的时间内作出答复。
    5. 它将根据要求申请提供条款副本,根据条款III的第三方受益人,除非条款包含机密信息,在这种情况下,否则它可以提供第三方受益人,在这种情况下,它可能会删除此类信息。在删除信息的情况下,数据出口商应以书面形式通知数据主题,以便删除和他们的权利,以吸引删除权威的注意。但是,数据出口商应遵守有关数据主体对条款全文的权限的决定,只要数据受试者同意尊重被删除的机密信息的机密性。数据出口商还应向所需权威提供条款副本。

  2. 数据导入器的义务

    数据导入者保证并承诺:

    1. 它将有适当的技术和组织措施来保护个人数据免受意外或非法破坏或意外的损失,变更、未经授权的披露或访问,并提供适当的安全级别为代表的风险处理和数据保护的本质。
    2. 它将有适当的程序,使其授权访问个人数据的任何第三方,包括处理者,将尊重和维护个人数据的机密性和安全性。任何根据数据输入者的授权行事的人,包括数据处理者,均有义务只根据该数据输入者的指示处理个人资料。本条文不适用于获法律或规例授权或规定有权查阅该等个人资料的人士。
    3. 它没有理由相信,在进入这些条款,在任何当地法律的存在会有实质性的不利影响这些条款下提供的担保,并将通知数据出口国(通过这样通知所需的权威)如果意识到任何这样的法律。
    4. 它会为附件B所述的目的处理个人资料,并有法律权力作出这些条款所载的保证和履行这些承诺。
    5. 它将识别数据出口商在其组织内的联络点授权响应有关处理个人数据的询问,并将诚信地与数据出口国,数据主体和有关所有此类查询的权力合作合理。如果数据出口商的法律解散,或者当事人如此商定,数据进口商将承担遵守第I(e)条款的规定责任。
    6. 应数据出口商的要求,它将向数据出口商提供足以履行第3条规定的责任(可能包括保险责任)的财政资源证明。
    7. 应数据出口方的合理要求,将其数据处理设施、数据文件和文件提交数据出口方(或任何独立或公正的检查代理人或审计员)审查、审计和/或证明。由数据输出方选择,且数据输入方没有合理地反对)在合理通知的情况下,并在正常的营业时间内,确定这些条款中的保证和承诺是否得到遵守。该请求必须得到数据输入者所在国监管或监督机构的任何必要同意或批准,数据输入者将试图及时获得这些同意或批准。
    8. 本局会根据下列规定处理该等个人资料:
      1. 数据出口商所在国的数据保护法律,或
      2. 有关规定[1]根据指令95/46/EC第25(6)条的任何欧盟委员会决定,如果数据进口商符合该授权或决定的相关规定,并且基于该授权或决定相关的国家,但该等授权或决定并不适用于个人资料的转移[2], 或者
      3. 附件A所列的数据处理原则。

      数据导入器:第II(h)(iii)节;
    9. 它不会向位于欧洲经济区(EEA)之外的第三方数据控制器(EEA)披露或将个人数据透露或转移到第三方数据控制器,除非它通知数据出口商转移和
      1. 第三方数据控制人根据委员会认定第三国提供足够保护的决定处理个人数据,或
      2. 第三方数据控制器成为这些条款或由欧盟主管当局批准的其他数据传输协议的签署人,或
      3. 数据主体在被告知转移的目的、接收方的类别以及向其输出数据的国家可能有不同的数据保护标准后,有机会提出反对,或者
      4. 关于敏感数据的向前转移,数据科目已经给出了向内转移的明确同意

  3. 责任和第三方权利


    1. 任何一方违反本条款而给对方造成损害的,均应向对方承担赔偿责任。当事人之间的责任仅限于所遭受的实际损害。惩罚性损害赔偿(即旨在惩罚当事人的残暴行为的损害赔偿)被明确排除在外。各方均应对因违反本条款下的第三方权利而对数据主体造成的损害承担责任。这并不影响数据出口商根据其数据保护法承担的责任。
    2. 双方同意一个数据主体有权执行作为第三方受益人这一条款和条款(b),我(d),我(e),二(一),二世(c),二世(d),二世(e),二(h)、二(I), 3 (a), V, VI (d)和七对进口商的数据或数据出口国,各自违反合同义务,关于他的个人资料,并为此接受数据出口商所在国的管辖权。在涉及数据输入者违反规定的指控的个案中,数据当事人必须首先要求数据输出者采取适当行动,以行使其对该数据输入者的权利;如数据出口商没有在合理期间(一般情况下为一个月)内采取该等行动,则数据当事人可直接向数据进口商行使其权利。数据主体有权直接起诉未能通过合理努力确定数据输入者能够履行其在这些条款下的法律义务的数据输出者(数据输出者应有责任证明其付出了合理努力)。
  4. 适用于条款的法律


    这些条款适用的法律的国家数据建立出口国,除相关法律法规处理个人数据的数据下进口国条款二世(h),这只适用如果被进口国条款下的数据。

  5. 与资料当事人或当局的争议的解决


    1. 在发生纠纷或索赔带来的数据主题或权威有关个人数据的处理对或当事人,当事人会通知对方任何此类争端或索赔,并将合作,及时友好地解决它们。
    2. 当事人同意对资料当事人或主管当局发起的任何一般可用的不具约束力的调解程序作出回应。如果当事各方确实参加诉讼程序,他们可以选择远程参加(例如通过电话或其他电子方式)。双方还同意考虑参与为数据保护争议制定的任何其他仲裁、调解或其他争议解决程序。
    3. 各方应遵守数据出口商所在国的主管法院或当局的最终决定,对该决定不能再提出上诉。
  6. 终止


    1. 如果数据进口商违反了其在这些条款下的义务,那么数据出口商可以暂停向数据进口商传输个人数据,直到违约被修复或合同被终止。
    2. 如果是:
      1. 数据出口商根据(a)段,数据出口商暂时暂停了数据进口商的个人数据超过一个月;
      2. 数据进口商与这些条款的遵守情况将违反进口国的法律或监管义务。
      3. 数据进口商严重或持续违反其根据本条款作出的任何保证或承诺;
      4. 最终决定没有进一步上诉的国家出口商设立的国家/地区的职务法院或者有权规则,即数据进口商或数据出口国违反了条款;或
      5. 呈请提交给数据输入者的管理或清盘,无论其以个人或业务身份,该呈请在适用法律规定的该等撤销的适用期间内未被驳回;发出清盘令;其任何资产已委任接管人;如数据输入人是个人,则委任一名破产受托人;公司自愿安排由其开始;或任何司法管辖区发生的任何同等事件

      然后,数据出口商毫无损害其可能对数据导入者可能有的任何其他权利,有权终止这些条款,在这种情况下,应当在必要时通知权限。在数据进口商上方的(i),(ii),或(iv)涵盖的情况下,也可以终止这些条款。
    3. 如果(i)任何委员会根据指令95/46/EC第25(6)条(或任何替代文本)发布了与数据进口商传输和处理数据的国家(或其一个部门)有关的积极适当性决定,则任何一方都可以终止这些条款,或(ii)指令95/46/EC(或任何替代文本)直接适用于该国家。
    4. 双方同意在任何情况下随时终止这些条款,任何情况下都是何种原因(除六六(c)下的终止)不豁免他们根据条款下的义务和/或条件。转移的个人数据。
  7. 这些条款的变更


    各方不得修改这些条款,除非更新附件B中的任何信息,在这种情况下,他们将在需要时通知当局。这并不妨碍双方在需要时增加额外的商业条款。
  8. 转移描述


    转让和个人数据的细节在附件B中规定。双方同意附录B可能包含保密业务信息,除非法律要求或应对主管监管或政府之外,他们不会向第三方披露。机构,或根据第(e)条款的要求。双方可以执行其他附件,以涵盖额外的转移,将提交给必要时的权力。附件B可以在替代方案中起草以涵盖多次转移。

附件一个

数据处理原则

  1. 目的限制:个人资料只能用于附件B所述的目的或随后经资料当事人授权的目的而处理、随后使用或进一步传播。
  2. 资料质素及相称性:个人资料必须准确,并在必要时及时更新。个人资料就其转移及进一步处理的目的而言,必须足够、有关,而不超过该等目的。
  3. 透明度:必须向数据主体提供确保公平处理所需的信息(例如关于处理目的和关于转移的信息),除非数据出口商已经提供了这些信息。
  4. 安全性和保密性:数据控制器必须采取适合于风险的技术和组织安全性措施,例如防止处理过程中出现的意外或非法破坏或意外丢失、更改、未经授权的披露或访问。任何在数据控制器授权下行事的人,包括处理机,除非收到数据控制器的指示,否则不得处理该数据。
  5. 访问、更正、删除和反对的权利:根据指令95/46/EC第12条的规定,数据主体必须直接或通过第三方获得机构持有的有关其个人信息,除非请求明显是滥用的,基于不合理的间隔或其数量,或重复或系统性质,或者数据输出方所在国的法律不允许访问的。提供授权给它的事先批准,访问时也不应授予这样做可能会严重损害数据进口国的利益或其他组织处理数据进口国利益等利益不覆盖的基本权利和自由的数据主题。如果通过合理努力无法查明个人资料的来源,或如果个人以外的人的权利受到侵犯,则无须查明个人资料的来源。如资料当事人的个人资料不准确或根据这些原则处理,则资料当事人必须能要求改正、修订或删除有关他们的个人资料。如有令人信服的理由怀疑该项要求的合法性,该机构可在进行更正、修改或删除前,要求提供进一步的理由。如涉及不成比例的工作,则无须向资料已披露的第三方通知任何更正、修订或删除。如资料当事人的特定情况有令人信服的合法理由,他也必须能够反对处理与他有关的个人资料。有关拒绝的举证责任由资料输入人承担,而资料当事人可随时向主管当局提出质疑。
  6. 敏感数据:数据进口商应采取此类额外措施(例如,与安全有关),因为符合第II项下的义务保护此类敏感数据是必要的。
  7. 用于促销目的的数据:如数据是为直接促销目的而处理的,则应存在有效的程序,允许数据当事人随时“选择退出”将其数据用于该等目的。
  8. 自动化决策:为了本“自动决定”指决定数据出口国或进口国产生法律效应有关数据主题或显著影响数据主题和完全基于个人数据的自动化处理旨在评估有关的某些个人方面,如工作表现、信誉度、可靠性、品行等。数据输入方不得就数据主体作出任何自动决定,但以下情况除外:
      1. 这些决定是由数据导入者在与数据主体签订或执行合同时做出的
      2. 数据主题有机会与缔约方的代表讨论有关自动决定的结果,这些决定或以其他方式向该缔约方发出代表性。
    1. 如数据出口人的法律另有规定。

附件B

转让说明

通过根据附录第12条订立标准合同条款,各方被视为签署了本附件B.

数据对象
转移的个人资料涉及下列类别的资料当事人:
转移的个人数据通常涉及通过Emergenetics平台评估或评估的个人。

转让的目的
转移是为了以下目的而制定:
使数据导入器能够代表数据导出器提供和/或提供Emergenetics服务。

类别的数据
所转移的个人资料通常涉及下列类别的资料:
个人数据通常包括履历数据、联系数据、学习/管理和个性风格评估结果。

收件人
所转移的个人资料只会披露给下列收件人或类别的收件人:
需要此类个人数据的缔约方,以促进提供突出事务服务。

数据保护咨询的联络点应由双方提供,如附录所述。


脚注位置项目:

[1]“有关规定”意味着除了任何授权或决定的执法条款外的任何授权或决定的规定(这是由这些条款管辖)。

[2]但是,当选择这种办法时,必须适用附件A.5中关于进入、更正、删除和反对的权利的规定,并优先于所选择的委员会决定的任何可比规定。