一般数据保护条例 - 数据处理附录

一般数据保护条例

数据处理附录

1.

定义

1.1

本附录中:

(a)

“数据控制方”、“数据处理方”、“数据主体”和“个人数据” 应具有数据保护立法对其定义中的含义;

(b)

“数据保护立法” 指不时生效的与个人数据使用和电子通信隐私有关的所有立法和监管要求,包括但不限于 (i) 中华人民共和国香港特别行政区不时生效的任何数据保护立法,包括《个人资料(私隐)条例》(第 486 章)或任何后续立法,以及 (ii) 一般数据保护条例和与数据保护和隐私相关的任何其他直接适用的欧盟条例;和

(c)

“我们”、“我们的” 均指 Vistra (Hong Kong) Limited,一家在香港注册成立的公司,公司注册编号:0871344,持有信托或公司服务提供者牌照,牌照编号: TC004146,注册地址为香港铜锣湾希慎道 33 号利园一期 19 楼。

2.

数据处理

2.1

如若在提供服务时,我们需要代表您处理任何个人数据,则双方兹此同意:我们是数据处理方而您是数据控制方,并且,在任何此类情况下,我们将::

(a)

根据数据保护立法进行适当的通知和保留通知记录(因应要求);:

(b)

仅根据您不时的书面指令处理任何此类个人数据;:

(c)

采取和/或实施所有适当的技术措施和组织措施,防止未经授权或非法处理此类个人数据,防止此类个人数据意外丢失、更改、销毁或损坏,并确保此类数据的安全;:

(d)

及时通知您任何影响个人数据安全的违规行为;

(e)

不修改或更改此类个人数据的内容,除非相关修改或更改乃提供服务之必需;

(f)

除非得到您的授权,否则不得向数据主体披露或允许他人披露任何此类个人数据;但根据法律法规要求披露的情况除外。在这种情况下,我们将事先通知您此类披露,除非法律禁止此类通知;

(g)

仅根据本合同条款和数据保护立法的规定使用和处理此类个人数据,并且仅在履行服务绝对必需的范围内使用和处理此类个人数据。此条规定不得影响第 2.13 条;

(h)

仅在有适当保护措施的情况下将此类个人数据转移到欧洲经济区以外的国家或地区,例如嵌入执行欧盟委员会批准的标准数据保护条款

(i)

在本合同终止或我们代表您处理个人数据的权利或义务提前终止时,除非法律要求 对个人数据进行存储或其他处理,或者您对此类个人数据的处理另有指示,否则我 们将:

(a)

销毁个人数据及其所有副本;

(b)

将个人数据传送给您或您可能指示的其他第三方;或者

(c)

在收费的前提下根据存档协议为您保存个人数据

2.2

如若我们是个人数据的数据控制方,第 2.1 (i )条不得影响我们的权利

2.3

如果我们收到任何直接或间接与个人数据处理或与我们或您遵守数据保护立法有关的投诉、通 知或通信(包括数据主体行使其法定权利的请求),我们将立即通知您,并就任何此类投诉、通 知或通信向您提供充分合作和协助,期间由此所产生的任何费用需由您承担

2.4

考虑到数据处理的性质和我们可获得的信息,我们将向您提供所有合理的帮助,以帮助您遵守 数据保护立法规定的义务(包括向信息专员和受影响的数据主体通知个人数据违规行为,并在 适当情况下准备进行数据保护影响评估),期间由此所产生的任何费用需由您承担

2.5

我们将保存并应要求向您提供我们使用个人数据和处理活动的记录以及所有必要的相关信息 (允许并协助审计或检查),以证明我们遵守了本合同规定的数据处理义务。除非监管机构另有 要求,此类审计或检查仅限一年一次,而且您应承担我们因协助任何此类审计或检查所产生的 任何费用

2.6

我们将确保被授权处理个人数据的员工或其他代表已承诺保密或负有适当的法定保密义务

2.7

对于因您提供的任何个人数据或指示不完整、不正确、不准确、难以辨认、混乱或格式错误,或不符合任何相关描述或保证,或由于您的任何其他过错而导致的任何损失、损坏、成本、费 用或其他索赔,我们概不负责

2.8

对于数据主体因我们的任何作为或不作为而提出的任何索赔,只要这种作为或不作为是由我们 履行您的指示引起的,我们概不负责

2.9

您特此保证并承诺,您已经获得了我们处理个人数据的所有必要许可,并且您有权将个人数据 传输给我们,以便我们根据本合同提供服务。您进一步保证并承诺,就我们处理个人数据方面,您已经完全遵守了数据保护立法对于您的义务性规定

2.10

您应赔偿我们因您违反第 2.9 条所载保证而遭受或招致的所有相关责任、成本、费用、损害和 损失(包括但不限于任何直接、间接或后续损失、利润损失、名誉损失和所有利息损失、罚款 和法律费用(按全额赔偿计算)以及所有其他合理的专业服务费用)

2.11

您特别授权 Vistra 集团旗下所有公司和第三方作为与服务履行相关的分包处理方

2.12

您在此授权我们聘请第三方代表我们处理与履行服务相关的个人数据,前提是我们:

(a)

在授权任何此类新的分包处理方处理个人数据之前,将至少提前三十(30)天通知您 此事。如果您反对我们使用新的分包处理方(基于合理原因),您有权在收到上述通 知后的十四(14)天内向我们发出书面通知终止合同,作为补救

(b)

与此类第三方签订书面分包合同,以确保其仅在履行分包合同要求的具体义务时处 理个人数据,并且其中的数据处理条款应有不低于合同条款对我们有的约束力 (特 别是提供足够的保证执行适当的技术措施和组织措施,使数据处理符合数据保护立 法的要求);和

(c)

根据合同条款,始终对与个人数据相关的所有义务承担责任,包括对任何第三方分 包处理方的所有作为或不作为负责,但无论如何合同中规定的责任限制条款均应适 用。

2.13

为免生疑问,我们作为数据控制方,可以为信用控制和市场研究之目的而收集信息,也可以不 时向您通知您可能感兴趣的服务和产品、法律发展和培训课程或活动;对此,合同并没有对我 们进行约束,我们也没有给您增加义务。但是,出于上述任何目的,我们可能会与本集团其他 公司分享您的个人信息。我们也可能与承接了我们某些业务职能的业务合作伙伴和供应商分享 您的信息。外部组织也可能对我们进行一般性审计和质量检查,我们可以与这些组织分享您的 信息,作为配合这种审计或检查的一部分

2.14

我们保留不时修改本数据处理附录的权利

2.15

关于个人数据处理方面,如果本附录的条款与合同中的任何条款之间存在任何矛盾或不一致,应以本附录的条款为准

附表 1 – 数据处
待处理的数据类型
  • 公司或其最终受益人或代表公司或其最终受益人向我们提供 的个人数据,包括数据主体或第三方直接向我们提供的个人 数据。我们根据合同处理的个人数据包括 (取决于所提供服 务的范围) :
  • 姓名和联系信息,如家庭或营业地址、职位、电子邮件地址 和电话号码
  • 个人的生物信息,包括出生日期、纳税人识别号、护照号 码、身份证的详细信息、居住国和/或国籍
  • 与财务状况有关的信息,如收入、支出、资产和负债,财富 来源以及银行账户详情;
  • 需要我们提供服务的原因和通过我们的服务想要实现的目 的;
  • 相关的就业、教育、家庭或个人情况以及兴趣爱好的信息;和
  • 可用于评估某人是否属于或代表政治公众人物或有洗钱风险 的信息
待处理数据的数据主体类型 与公司相关的个人,包括公司的过去、现在和未来股东,最终 受益人(包括有显著控制权的人),董事、高管、员工、专业顾 问、代理人和承包商
数据处理的性质和目的 数据处理具有必要性,以:
  • 使我们能够为您提供服务;
  • 履行我们的合同义务和行使我们的合同权利,包括对数据的 收集、记录、组织、使用、披露、限制、删除或销毁;和
  • 使我们用来提供服务或部分服务的第三方承包商能够履行其 职能
数据处理持续时间 在我们的合同期限,合同条款中规定的关于数据保留的期限,根据合同索赔的任何时效期限,或者其他法律规定遵守的相关 期限中较长的那个期限