中文版 一般数据保护条例 - 数据处理附录

1. 定义
1.1 本附录中:
(a) “数据控制方”、“数据处理方”、“数据主体”和“个人资料” 应具有数据保护立法对其定义中的含义;
(b) “数据保护立法” 指不时生效的适用于服务和/或您使用“我们门户网站”的与个人资料使用和电子通信隐私有关的所有立法和监管要求;
(c) “您”指本附录所属主协议定义的主体;
(d) “服务”指本附录所属主协议定义的服务;和
(e) “我们”、“我们的” 均指 本附录所属主协议所定义的主体。
2. 数据处理
2.1 如若在提供服务时,我们需要代表您处理任何个人资料,则双方兹此同意:我们是数据处理方而您是数据控制方,并且,在任何此类情况下,我们将:
(a) 根据数据保护立法进行适当的通知和保留通知记录(因应要求);
(b) 仅根据您不时的书面指令处理任何此类个人资料;
(c) 采取和/或实施适当的技术措施和组织措施,防止未经授权或非法处理此类个人资料,防止此类个人资料意外丢失、更改、销毁或损坏,并确保此类数据的安全;
(d) 及时通知您任何影响个人资料安全的违规行为;
(e) 不修改或更改此类个人资料的内容,除非相关修改或更改乃提供服务之合理必需;
(f) 除非得到您的授权,否则不得向数据主体披露或允许他人披露任何此类个人资料;但根据法律法规要求披露的情况除外。在这种情况下,我们将事先通知您此类披露,除非法律禁止此类通知;
(g) 仅根据本合同条款和数据保护立法的规定使用和处理此类个人资料,并且仅在履行服务绝对必需的范围内使用和处理此类个人资料。此条规定不得影响第 2.13 条;
(h) 在相关且可适用的情形,仅在有适当保护措施的情况下将此类个人资料转移到欧洲经济区以外的国家或地区,例如嵌入执行欧盟委员会批准的标准数据保护条款;
(i) 在本附录所属的主协议终止或我们代表您处理个人资料的权利或义务提前终止时,除非可适用的法律、法规或者我们的内部合规要求 对个人资料进行存储或其他处理,或者您对此类个人资料的处理另有指示,否则我 们将:
(a) 销毁个人资料及其所有副本;
(b) 将个人资料传送给您或您可能指示的其他第三方;或者
(c) 在收费的前提下根据存盘协议为您保存个人资料。
2.2 如若我们是个人资料的数据控制方,第 2.1 (i )条不得影响我们的权利。
2.3 如果我们收到任何直接或间接与个人资料处理或与我们或您遵守数据保护立法有关的投诉、通 知或通信(包括数据主体行使其法定权利的请求),我们将立即通知您,并就任何此类投诉、通 知或通信向您提供充分合作和协助,期间由此所产生的任何费用需由您承担。
2.4 考虑到数据处理的性质和我们可获得的信息,我们将向您提供所有合理的帮助,以帮助您遵守 数据保护立法规定的义务,期间由此所产生的任何费用需由您承担。
2.5 我们将保存并应要求向您提供我们使用个人资料和处理活动的记录以及合理必要的相关信息 (允许并协助审计或检查),以证明我们遵守了本附录规定的数据处理义务。除非监管机构另有 要求,此类审计或检查仅限一年一次,而且您应承担我们因协助任何此类审计或检查所产生的 任何费用
2.6 我们将确保被授权处理个人资料的员工或其他代表已承诺保密或负有适当的法定保密义务
2.7 对于因您提供的任何个人资料或指示不完整、不正确、不准确、难以辨认、混乱或格式错误,或不符合任何相关描述或保证,或由于您的任何其他过错而导致的任何损失、损坏、成本、费 用或其他索赔,我们概不负责。
2.8 对于数据主体因我们的任何作为或不作为而提出的任何索赔,只要这种作为或不作为是由我们 履行您的指示引起的,我们概不负责。
2.9 您特此保证并承诺,您已经获得了我们处理个人资料的所有必要许可,并且您有权将个人资料 传输给我们,以便我们根据本合同提供服务。您进一步保证并承诺,就我们处理个人资料方面, 您已经完全遵守了数据保护立法对于您的义务性规定
2.10 您应赔偿我们因您违反第 2.9 条所载保证而遭受或招致的所有相关责任、成本、费用、损害和 损失(包括但不限于任何直接、间接或后续损失、利润损失、名誉损失和所有利息损失、罚款 和法律费用(按全额赔偿计算)以及所有其他合理的专业服务费用)。
2.11 您特别授权 Vistra 集团旗下所有公司和任何第三方作为与服务履行相关的分包处理方。
2.12 您在此授权我们聘请第三方代表我们处理与履行服务相关的个人资料,前提是我们:
(a) 在授权任何此类新的分包处理方处理个人资料之前,将至少提前三十(30)天通知您 此事。如果您反对我们使用新的分包处理方(基于合理原因),您有权在收到上述通 知后的十四(14)天内向我们发出书面通知终止合同,作为补救;
(b) 与此类第三方签订书面分包合同,以确保其仅在履行分包合同要求的具体义务时 处理个人资料,并且其中的数据处理条款应有不低于合同条款对我们有的约束力 (特别是提供足够的保证执行适当的技术措施和组织措施,使数据处理符合数据保 护立法的要求);和
(c) 根据本附录条款(受本附录所属主协议的约束),始终对与个人资料相关的所有义务承担责任,包括对任何第三方 分包处理方的所有作为或不作为负责,但无论如何主协议中规定的责任限制条款均应 适用。
2.13 为免生疑问,我们作为数据控制方,可以为信用控制和市场研究之目的而收集信息,也可以不 时向您通知您可能感兴趣的服务和产品、法律发展和培训课程或活动;对此,本附录并没有对我 们进行约束,我们也没有给您增加义务。但是,出于上述任何目的,我们可能会与本集团其他 公司分享您的个人信息。我们也可能与承接了我们某些业务职能的业务合作伙伴和供货商分享 您的信息。外部组织也可能对我们进行一般性审计和质量检查,我们可以与这些组织分享您的 信息,作为配合这种审计或检查的一部分。
2.14 我们保留不时修改本数据处理附录的权利。
2.15 关于个人资料处理方面,如果本附录所属主协议的条款与合同中的任何条款之间存在任何矛盾或不一致,应以本附录的条款为准。
2.16 本附录以中英文形式书就,中英文不一致的,以英文版本为准。

附表 1 – 数据处理​​​​​​​

可能处理的数据类型

向我们提供 的与公司或其最终受益人相关的个人资料,包括数据主体或第三方直接向我们提供的个 人数据。我们根据合同处理的个人资料可能包括 (取决于所提供 服务的范围) :

  • 姓名和联系信息,如家庭或营业地址、职位、电子邮件地址 和电话号码
  • 个人的生物信息,包括出生日期、纳税人识别号、护照号 码、身份证的详细信息、居住国和/或国籍;
  • 与财务状况有关的信息,如收入、支出、资产和负债,财富 来源以及银行账户详情;
  • 需要我们提供服务的原因和通过我们的服务想要实现的目 的;
  • 相关的就业、教育、家庭或个人情况以及兴趣爱好的信息;和
  • 可用于评估某人是否属于或代表政治公众人物或有洗钱风险 的信息

可能处理数据的数据主体类型

与公司相关的个人,包括公司的过去、现在和未来股东,最终 受益人(包括有显著控制权的人),董事、高管、员工、专业顾 问、代理人和承包商。

数据处理的性质和目的

数据处理具有必要性,以:

  • 使我们能够为您提供服务;
  • 履行我们的合同义务和行使我们的合同权利,包括对数据的 收集、记录、组织、使用、披露、限制、删除或销毁;和
  • 使我们用来提供服务或部分服务的第三方承包商能够履行 其职能

数据处理持续时间

在我们的合同期限,合同条款中规定的关于资料保留的期限,根据合同索赔的任何时效期限,或者其他法律规定遵守的相关 期限中较长的那个期限。