資料處理附錄(客戶)
最後更新:2023 年 12 月 20 日
概述
本資料處理附錄,包括其附錄(“DPA”),應適用於向訂單中列出的客戶(“客戶”)提供的任何服務,由以下機構提供 OPSWAT Inc. 及其關聯公司 (”OPSWAT“) 作為處理者或子處理者,在處理個人資料的範圍內。
客戶和 OPSWAT 本協定中應分別稱為「一方」,並統稱為「雙方」。
本 DPA 是對雙方之間任何協議的補充並納入其中,包括但不限於 OPSWAT的標準條款和條件,OPSWAT的專業服務條款和條件,OPSWAT的網路安全評估服務條款或其他銷售、許可或類似協定(如適用)(以下簡稱“協定”),並將在該期限內保持有效。
在不限制前述一般性的情況下,本 DPA 項下的處理主題、性質和目的是為了提供本協定項下的服務,個人資料的類別和資料主體的類別是根據本協定提供服務所必需的。
本 DPA 將自 DPA 生效之日起生效,並取代任何先前適用的資料處理和安全條款。
1. 定義
就本 DPA 而言,以下術語應具有以下含義。本 DPA 中使用但未另行定義的大寫術語應具有本協議中規定的含義。
“關聯公司”是指,就每一方而言,控制、受該方控制或與該方處於共同控制之下的實體。
“匯總資料”是指透過刪除個人資訊或其他資訊進行匿名化的統計資料、基準、措施和其他資訊或資料,因此資料不能歸因於特定個人或客戶(使用商業上合理的努力或適用法律的要求)。
“適用法律”是指適用的國家、聯邦、州和地方法律、規則、指南、法院或政府機構的命令和法規。
“審核報告”是指由合格的第三方審核員執行的 ISO 27001、SSAE 16 SOC II 或類似審核報告。
“控制權”是指實體中超過百分之五十(50%)的投票權或股權的實益擁有權。
“客戶個人資料”是指與受資料保護法保護的已識別或可識別的自然人有關的資訊,客戶向其提供或提供 OPSWAT,或者 OPSWAT 否則,在本協議終止之前的任何時候,代表客戶根據協定提供或作為服務的一部分進行處理。
“資料控制者關聯公司”是指尚未簽署自己的訂單或協定的客戶關聯公司 OPSWAT,這些實體是:(a) 受資料保護立法約束;以及 (b) 根據本協定獲准使用服務。
“資料保護立法”是指適用於本協定項下客戶個人資料處理的適用法律,包括但不限於歐洲經濟區和/或成員國(如GDPR)、英國和瑞士的法律(在所有情況下,經修訂、取代或替換)。
“資料主體”是指與客戶個人資料相關的個人。
“歐洲經濟區”是指歐洲經濟區。
“GDPR”是指歐盟通用資料保護條例 2016/679。
“資訊安全事件” 是指違反安全規定,導致意外或非法破壞或意外丟失、更改、未經授權的披露或存取客戶個人資料。 OPSWAT的佔有、保管或控制。“資訊安全事件”不包括不損害客戶個人資料安全的不成功嘗試或活動,包括不成功的登錄嘗試、ping、埠掃描、拒絕服務攻擊以及對防火牆或網路系統的其他網路攻擊。
“訂購單” 是指註冊或訂購檔。
“處理”是指對客戶個人資料執行的任何操作或一組操作,包括蒐集、記錄、組織、建構、儲存、改編或更改、搜尋、諮詢、使用、透過傳輸、傳播或以其他方式提供、對齊或組合、限制或刪除客戶個人資料。術語“流程”、“流程”和“已處理”將據此解釋。
“SCC”是指歐盟委員會 2021 年 6 月 4 日關於根據歐洲議會和理事會條例 (EU) 2016/679 向第三國傳輸個人資料的標準合約條款的歐盟委員會決定 (EU) 2021/914,該決定可能會不時修訂、重述或取代。
“安全措施”是指 OPSWAT 保護客戶個人資料,如第 5.1 節 (OPSWAT的安全措施)。
“服務”在協定中定義,還指由 OPSWAT 根據訂單中詳述的協議向客戶披露。
“次級處理者”是指除以下第三方 OPSWAT,受聘和授權 OPSWAT,根據本 DPA 處理與服務相關的客戶個人資料。
“術語”應具有第 2 節中規定的含義。
2. DPA 的期限
本 DPA 將在本協定生效時生效,並在本協定終止時自動失效。
3. 資料處理
3.1 處理範圍;客戶須知; OPSWAT 遵守客戶指示。 透過簽訂本 DPA,客戶指示 OPSWAT 僅根據資料保護法規處理客戶個人資料。 OPSWAT 將僅根據客戶的指示處理客戶個人資料:(a) 提供服務;(b) 經本協議授權,包括本 DPA;以及 (c) 在客戶提供的其他書面說明中記錄的,並由 OPSWAT 構成本 DPA 的指示,除非適用法律另有要求。處理的主題和細節在附錄 1(處理細節)中描述。
3.2 客戶的責任。 客戶聲明並保證 (a) 客戶已根據資料保護法規獲得任何必要的授權、同意和許可,用於 OPSWAT對客戶個人資料的處理(包括將客戶個人資料轉移或提供存取權限) OPSWAT) 根據本 DPA 的條款;(b) 客戶關於處理客戶個人資料的指示、決定和行動應遵守適用法律,包括資料保護立法。客戶將通知 OPSWAT 如果客戶無法遵守第 3.2 條(客戶的責任),則不得無故拖延。
3.3 分析。 OPSWAT 可能出於各種目的蒐集、開發、創建、提取、編譯、合成、分析、使用、商業化或與第三方共用匯總資料,包括:(i) 維護、改進、行銷和推廣我們的服務;(ii) 識別、理解和預測性能和安全問題以及影響這些問題的因素;(iii) 為我們的客戶提供更新、增強和個人化體驗;及(iv)研究及開發新產品及服務。為避免疑義,匯總資料應排除客戶個人資料或任何可識別客戶身份的資訊。
4. 刪除或歸還資料。
在本 DPA 的生效終止日期,或應客戶的書面要求, OPSWAT 應從 OPSWAT除非適用法律要求或允許,否則在合理可行的情況下儘快根據適用法律的系統 OPSWAT 保留客戶個人資料(例如,適用法律可能允許 OPSWAT 保留以電子方式儲存在資料存檔或備份系統上的客戶個人資料的副本)。
5. 資料安全。
5.1 OPSWAT的安全措施。 OPSWAT 應實施和維護合理適當的安全措施,以保護客戶個人資料,如附錄 2(安全措施)所述。 OPSWAT 可以不時更新或修改安全措施,前提是此類更新和修改不會實質性降低服務的整體安全性。
5.2 安全合規性 OPSWAT 員工。 OPSWAT 將僅向員工、獨立承包商、 OPSWAT 關聯公司和次級處理者,他們需要在其履行範圍內進行此類存取,並且其保密義務的限制性不低於 OPSWAT本協定中的保密義務。
5.3 資訊安全事件
5.3.1 資訊安全事件通知。 如果 OPSWAT 意識到資訊安全事件, OPSWAT 將:(a) 根據第 13 條(通知),在獲悉資訊安全事件後,立即通知客戶資訊安全事件;以及 (b) 採取合理措施確定此類資訊安全事件的原因,將傷害降至最低,並防止再次發生。除適用法律要求的範圍外, OPSWAT 未經客戶事先書面同意,不得向第三方發出任何明確點名的資訊安全事件通知,但經批准的分包處理者、執法部門、保險理算員和 OPSWAT的資訊安全事件回應服務提供者。
5.3.2 通知。 客戶全權負責遵守適用於客戶的事件通知法律,並履行與任何資訊安全事件相關的第三方通知義務(例如,GDPR 第 33 條和第 34 條)。在本例中, OPSWAT 將向客戶提供合理的協助。
5.3.3 不承認過錯 OPSWAT。 OPSWAT根據本第 5.3 條(資訊安全事件)對資訊安全事件的通知或回應不會被解釋為以下機構的確認 OPSWAT 與資訊安全事件有關的任何過失或責任。
5.4 客戶的安全責任和評估。
5.4.1 客戶的安全責任。 客戶同意,在不影響 OPSWAT第 5.1 節規定的義務 (OPSWAT的安全措施)和第 5.3 節(資訊安全事件):
(a) 客戶對其使用服務負全部責任,包括:
(i) 適當使用服務,以確保與客戶個人資料風險相適應的安全級別;
(ii) 保護客戶用於存取服務的帳戶身份驗證憑據、系統和設備;
(iii) 保護客戶的系統和設備 OPSWAT 用於提供服務;和
(iv) 備份其客戶個人資料。
(二)OPSWAT 沒有義務保護客戶選擇在外部儲存或傳輸的客戶個人資料 OPSWAT及其子處理者的系統(例如,離線或本地儲存)。
5.4.2 客戶的安全評估。
(a) 客戶全權負責自行審查和評估服務、安全措施和 OPSWAT根據本第 5 條(資料安全)做出的承諾滿足客戶的需求,包括客戶根據資料保護法規承擔的任何安全義務。
(b) 客戶承認並同意(考慮到行業標準、實施成本以及處理客戶個人資料的性質、範圍、背景和目的以及資料主體的風險)實施和維護的安全措施由 OPSWAT 如附錄 2 (OPSWAT的安全措施)提供與客戶個人資料風險相適應的安全級別。
5.5 合規性審查。 審計報告可根據客戶的書面要求提供給客戶,並遵守協定中規定的保密義務。
6. 資料主體權利
6.1 客戶對資料主體請求的責任。 如果 OPSWAT 在適用法律允許的範圍內,接收資料主體關於客戶個人資料的任何請求, OPSWAT 將及時通知客戶任何此類請求。客戶將負責回應任何此類請求。
6.2 OPSWAT的資料主體請求説明。 OPSWAT 將(考慮到客戶個人資料處理的性質)在必要時向客戶提供合理的協助,以便客戶履行其在資料保護立法下的義務,以回應資料主體的請求。客戶應報銷 OPSWAT 與此類協助有關的任何費用或成本,請 OPSWAT當時的專業服務費率。
7. 資料傳輸
OPSWAT 可以在任何地方儲存和處理客戶個人資料 OPSWAT、其關聯公司或其分處理方維持營運,如下文第 8 節所述。對於受歐洲經濟區、瑞士和英國資料保護法規約束的客戶個人資料的國際傳輸,應適用附錄 3 第 1.10 節和/或第 1.11 節的條款。
8. 次級處理者
客戶授權 OPSWAT 聘請其關聯公司和其他第三方作為次級處理者。清單 OPSWAT的分包商可在以下網址獲得 https://www。opswat.com/法律/子處理商 和客戶可以透過 RSS 源訂閱此列表的更新。如果客戶簽訂了 SCC 或其他類似協定,則客戶簽署這些協定即構成客戶對分包的事先書面授權 OPSWAT 如果根據 SCC 或其他類似協定需要此類授權,則處理客戶個人資料。 OPSWAT 應對分包給其分包商的所有義務以及其分包商的所有作為和不作為負責。
9. 資料控制者關聯公司
9.1 關係和溝通。 透過簽署本 DPA,客戶承認並同意其代表自己簽訂本 DPA,並在適用的資料保護法規要求的範圍內,以其資料控制關聯公司的名義並代表其資料控制關聯公司簽訂本 DPA,在 OPSWAT 處理此類資料控制者關聯公司有資格作為控制者的客戶個人資料,從而在 OPSWAT 以及每個資料控制關聯公司,但須遵守本協定和本 DPA 的規定。客戶同意確保每個資料控制者關聯公司同意受本 DPA 義務的約束。但是,資料控制關聯公司不是也不會成為本協定的一方,而只是本 DPA 的一方。資料控制關聯公司對服務的所有存取和使用都必須遵守本協定,資料控制關聯公司違反本協議的行為均應被視為客戶違約。作為本協定締約方的客戶仍應負責協調與 OPSWAT 根據本 DPA,並有權代表其資料控制者關聯公司進行和接收與本 DPA 有關的任何通訊。
9.2 資料控制者關聯公司的權利。 如果資料控制者關聯公司成為 DPA 的一方,則 OPSWAT,則只能在資料保護立法要求的範圍內這樣做。除非資料保護法明確要求資料控制者關聯公司根據本 DPA 行使權利或尋求補救措施 OPSWAT 雙方直接同意:(a) 作為本協定締約方的客戶應有權代表資料控制者關聯公司行使任何此類權利或尋求任何此類補救措施;(b) 作為本協定締約方的客戶應在資料保護立法未禁止的範圍內,以合併方式為其所有資料控制方關聯公司行使本 DPA 項下的任何此類權利。
10. 審計權
根據客戶的書面要求, OPSWAT 應向客戶提供其最新審計報告的副本,該報告應遵守協定的保密條款,即 OPSWAT的機密資訊。 OPSWAT 還應回答客戶提交給其的任何書面審計問題,但客戶每年行使此權利的次數不得超過一次。
11. 特定司法管轄區的規定
如果 OPSWAT 從附錄 3 中列出的司法管轄區處理個人資料,相應規定將適用於此類處理。
12. 責任上限
除適用法律禁止的範圍外,任何一方及其關聯公司(包括資料控制者關聯公司)對另一方及其關聯公司的總綜合責任,無論是在合約、侵權行為還是任何其他責任理論方面,根據本協定、本 DPA 和 SCC(如果簽訂)將僅限於雙方在本協定中約定的責任限制或其他責任上限。 OPSWAT 和 OPSWAT 關聯公司對客戶及其所有資料控制者關聯公司因本協定或任何 DPA 引起的所有索賠的全部責任應合計適用於本協定和所有 DPA 項下的所有索賠,不應被理解為單獨和單獨適用於客戶或作為任何此類 DPA 合約方的任何資料控制關聯公司。
13. 通知
一締約方要求或允許發出的通知可以(a)根據本協定的通知規定發出;(二)一締約方與另一締約方的主要聯絡點;和/或 (c) 客戶為向客戶提供與服務相關的通訊或警報而提供的任何電子郵件。客戶全權負責確保其電子郵件是最新和有效的。所有通知的副本應透過電子郵件發送至:法律聲明@opswat.com。
14. 本條款的效力
除本 DPA 所做的更改外,本協定和/或與服務相關的任何其他協定保持不變且完全有效。如果本協定與本 DPA 之間存在衝突,則本 DPA 的規定應以標的物為準。如果本 DPA 與 SCC 之間存在衝突,則 SCC 的規定應以 SCC 的主題為準。
15. 適用法律
本 DPA 應受與本協定相同的司法管轄區的法律管轄,除非資料保護立法要求本 DPA 受其他司法管轄區的法律管轄。
處理細節
主題 |
OPSWAT向客戶提供的服務詳見協定。
|
處理的持續時間 |
期限加上從 DPA 的生效終止日期到刪除所有客戶個人資料的期限 OPSWAT 根據 DPA。
|
個人資料的種類 | 客戶員工、獨立承包商或服務授權使用者的身份和聯繫資訊(例如姓名、職務、公司位址、公司電話號碼、公司電子郵件); 服務的客戶購買和使用歷史資料; 資訊技術 (“IT”) 相關資料(例如存取者的IP位址 OPSWAT的網站、在線導航資料、瀏覽器類型、語言偏好、像素資料、Cookie 資料、網路信標資料、日誌檔);和 提交以供掃描或提供給 OPSWAT 在提供服務期間 |
處理的性質和目的 |
OPSWAT 將處理客戶個人資料,以便根據協定和 DPA 向客戶提供服務。
|
特殊類別的個人資料 |
雙方之間不會交換任何特殊類別的個人資料。
|
資料主體 |
客戶及其關聯公司的員工或獨立承包商,有權使用服務。
|
請參閱我們的隱私政策,網址為 https://www。opswat.com/legal/privacy-policy 以獲取有關如何操作的更多詳細資訊 OPSWAT 處理客戶個人資料。
安全措施
OPSWAT 在處理客戶個人資料方面實施了以下安全措施:
1.實體存取控制。
OPSWAT 採取旨在防止未經授權的人員存取處理客戶個人資料的資料處理系統,例如使用安保人員、安全建築物和資料中心場所。
2.系統存取控制。
除其他控制措施外,根據訂購的特定服務,可以應用以下內容:透過密碼和/或雙因素身份驗證進行身份驗證、記錄在案的授權過程、記錄在案的變更管理過程以及在多個級別上記錄存取。對於託管的服務環境 OPSWAT: (i) 透過以下方式登錄服務環境 OPSWAT 記錄員工和子處理者;(ii) 對資料中心的邏輯存取受到防火牆/VLAN 和路由規則的限制和保護;及(iii)使用入侵檢測系統、集中式日誌記錄和警報以及防火牆。 OPSWAT 使用每個系統的安全策略管理作為服務軟體開發一部分的每個系統。這些政策由 OPSWAT 風險擁有者並由資產擁有者管理。例如,任何獨立承包商都無權存取建構系統。
3.傳動控制。
除非服務另有規定(包括訂單、工作說明書或協定中引用的適用服務規範),否則服務環境外的資料傳輸是加密的。 OPSWAT 維護適當的網路安全計劃,包括對客戶個人資料進行加密。某些服務可由客戶配置,以允許存取需要未加密通訊的第三方網站。透過某些電子郵件或消息服務發送的通訊內容(包括寄件人和收件者位址)可能未加密。客戶對其決定使用此類未加密通訊或傳輸的結果負全部責任。
4.輸入控制。
客戶個人資料的來源由客戶控制,並且客戶個人資料整合到 OPSWAT 系統透過安全檔案傳輸(即透過Web服務或輸入到應用程式中)進行管理 OPSWAT.某些服務允許客戶使用未加密的檔案傳輸協定。在這種情況下,客戶對其使用此類未加密欄位傳輸協議的決定負全部責任。
5.資料備份。
對於託管的服務 OPSWAT:定期進行備份;備份使用技術和實體控制的組合進行保護,具體取決於訂單中詳述的服務。
6. 業務連續性;災難恢復。
OPSWAT 已實施業務連續性和災難恢復計劃。
7.供應鏈安全。
服務的子處理者或第三方元件由 OPSWAT 官員和 OPSWAT 在將其用作服務的一部分之前,是合法的。
8. 漏洞掃描。
每周執行一次漏洞掃描,以持續確定針對此環境進行修正的風險威脅。
9.OPSWAT 次級處理者。
OPSWAT 用於 OPSWAT 產品經過安全風險評估,需要簽署資料處理附錄 (DPA) 和/或標準合約條款,並附上 OPSWAT 以確保遵守GDPR下的最低安全要求和服務級別。
10.Software 開發。
服務軟體開發遵循嚴格的系統開發生命週期 (“SDLC”) 程式,包括 OPSWAT 產品經理 (“PM”) 設置和執行需求、設計、實施、單元測試、代碼審查、自動化測試、手動品質保證 (“QA”) 測試和驗收測試。
11.保護 SDLC 的。
OPSWAT 採用 OWSAP SAMMSoftware 保證成熟度模型) 和 OWASP ASVS (應用程式安全驗證標準) 作為安全 SDLC。
12.IT 安全。
OPSWAT 使用多重身份驗證 (“MFA”) 進行安全身份驗證,並遵循 NIST 800-63B 標準: https://pages.nist.gov/800-63-3/sp800-63b.html#memsecretver。
管轄權特定條款
1. 歐洲經濟區、瑞士和英國
1.1 範圍。 以下規定僅適用於 OPSWAT根據歐洲經濟區、瑞士和英國的資料保護法規對客戶個人資料的處理。
1.2 定義。
(a) 術語“控制者”、“處理者”和“監管機構”應具有GDPR中給出的含義。
(b) “英國附錄”是指由英國資訊委員會辦公室發佈的 SCC 國際資料傳輸附錄 B1.0 版。
1.3 處理者和控制者的責任。 雙方承認並同意:
(一)OPSWAT 根據資料保護法,是客戶個人資料的處理者或子處理者(如適用);
(b) 根據資料保護法,客戶是客戶個人資料的控制者或處理者(如適用);
(c) 客戶應對客戶個人資料的準確性、品質和合法性以及客戶獲取客戶個人資料的方式承擔全部責任;和
(d) 各方將遵守資料保護法中適用於其處理客戶個人資料的義務。
1.4 第三方控制者的授權。 如果客戶是處理者,則客戶聲明並保證 OPSWAT 客戶對客戶個人資料的指示和行動,包括其對 OPSWAT 作為處理者,已獲得相關控制者的授權。客戶承認 OPSWAT 不負責蒐集處理客戶個人資料的同意或授權。
1.5 處理方式 OPSWAT 遵守適用法律。 如果 OPSWAT 必須違反客戶的指示或本協定(包括本 DPA)授權處理客戶個人資料,以遵守適用法律, OPSWAT 應在處理之前告知客戶適用法律,除非適用法律出於公共利益的重要理由禁止此類通知。
1.6 安全措施。 OPSWAT 應(考慮到技術水平、實施成本和處理的性質、範圍、背景和目的,以及資料主體權利和自由的不同可能性和嚴重程度的風險)實施適當的安全措施,以確保與風險相適應的安全級別,包括附錄 2 中詳述的安全措施, 並酌情:
(a) 客戶個人資料的假名化和加密;
(b) 確保處理系統和服務的持續機密性、完整性、可用性和彈性的能力,包括以下具體措施和做法;
(c) 在發生實體或技術事件時及時恢復客戶個人資料的可用性和存取的能力;和
(d) 定期測試、評估和評估技術和組織措施的有效性以確保客戶個人資料處理安全性的過程。
1.7 合理協助。 OPSWAT 將根據適用法律的要求向客戶提供合理的協助 OPSWAT作為處理者的角色,客戶應遵守客戶根據GDPR第35條執行資料保護影響評估的義務。在客戶處理客戶個人資料對資料主體的權利和自由造成高風險的情況下, OPSWAT 根據GDPR第36條,當客戶尋求監管機構的事先諮詢時,將向客戶提供合理的協助。
1.8 資訊安全事件詳情。 根據 DPA(資訊安全事件)第 5.3 節發出的通知將:
(a) 描述資訊安全事件的性質,包括(如可能)有關資料主體的類別和大致數量,以及有關個人資料記錄的類別和大致數量;
(b) 傳達資料保護官或其他可以獲得更多資訊的聯絡點的姓名和聯繫方式;
(c) 描述資訊安全事件的可能後果;和
(d) 說明已採取或擬採取的措施 OPSWAT 處理資訊安全事件,包括在適當情況下採取措施減輕其可能的不利影響。
在不可能同時提供資訊的情況下,可以分階段提供資訊,不得再無故拖延。
1.9 合規審計。
1.9.1 客戶可以根據合理的事先書面要求,至少提前四十五 (45) 天發出書面通知,進行審計 OPSWAT在協定期限內,每十二 (12) 個月履行一次本 DPA 規定的義務,以滿足資料保護立法的要求。客戶必須在定期審核期間執行所有審核 OPSWAT 上班時間,不得無理干擾 OPSWAT 商務工作。在資料保護法規要求的範圍內,包括客戶監管機構要求的情況下,客戶或客戶的監管機構可能會進行頻繁的審計。
1.9.2 如果由第三方進行審核, OPSWAT 可以反對審計師,如果審計師在 OPSWAT的合理意見,不具備適當的資格或獨立性,或 OPSWAT 競爭者。此類異議 OPSWAT 將要求客戶指定另一名審計師或自行進行審計。
1.9.3 要請求審核,客戶必須向以下機構提交詳細的建議審核計劃: OPSWAT 至少在建議的審計日期前兩 (2) 周。擬議的審計計劃必須描述擬議的審計範圍、持續時間和開始日期。 OPSWAT 將審查擬議的審計計劃,並向客戶提供疑慮或問題(例如,任何可能損害的資訊請求 OPSWAT 安全、隱私、就業或其他相關政策)。 OPSWAT 將與客戶合作,就最終審計計劃達成一致。本第 1.9 條(合規審計)中的任何內容均不要求 OPSWAT 違反保密義務。
1.9.4 如果在客戶提出審計請求後十二 (12) 個月內,審計報告中涉及所請求的審計範圍,並且 OPSWAT 確認所審計的控制措施沒有已知的重大變化,客戶同意接受審計報告,而不是要求對審計報告所涵蓋的控制措施進行審計。
1.9.5 審計費用由客戶承擔。客戶應報銷 OPSWAT 花費的任何時間 OPSWAT 或其子處理者,與本第 1.9 條(合規審計)下的任何審計有關,在 OPSWAT當時的專業服務費率。客戶將支付客戶為執行任何此類審計而任命的任何審計師收取的所有費用。
1.9.6 雙方同意,本第 1.9 條(合規審計)應滿足 OPSWAT根據 SCC 審計要求承擔的義務適用於第 5(f) 條下的資料輸入者以及第 11 條和第 12(2) 條下的任何子處理者。
1.10 將資料傳輸出歐洲經濟區或瑞士。 如果客戶個人資料的儲存和/或處理涉及將客戶個人資料傳輸到歐洲經濟區或瑞士之外,並且資料保護法規適用於此類客戶個人資料的傳輸,則除非將資料傳輸到存在歐盟委員會充分性決定的歐洲經濟區國家/地區,否則應適用以下內容:
1.10.1 附錄 4 應適用,並且 OPSWAT 在以下情況下,將根據其中提及的控制器到處理者的 SCC 進行此類傳輸 OPSWAT 是資料保護法規定的處理者和客戶,是客戶個人資料的控制者。
1.10.2 附錄 5 應適用,並且 OPSWAT 如果出現以下情況,將根據其中提及的處理者到處理者 SCC 進行此類傳輸 OPSWAT 是資料保護法規規定的次級處理者,客戶是客戶個人資料的處理者。
1.11 將資料傳輸到英國境外。 如果客戶個人資料的儲存和/或處理涉及將客戶個人資料傳輸到英國以外,並且資料保護法規適用於此類客戶個人資料的傳輸,則附錄 6 應適用,並且 OPSWAT 將根據其中提及的 SCC 進行此類轉移,除非轉移到歐洲經濟區國家或存在歐盟委員會認可的充分性決定的國家/地區。
1.12 次級處理者協定。 OPSWAT 在根據 SCC 第 9(c) 條回應客戶要求提供分包商協定副本的請求之前,可以編輯其與分包商協定中的所有機密業務或法律條款。
1.13 反對子處理者變更的機會。 當新的分包商在期限內聘用時, OPSWAT 將在新的分包商處理任何客戶個人資料前至少十五 (15) 天,透過更新其位於 https://www。opswat.com/法律/子處理器。客戶可以透過向以下機構提供書面通知來反對新的分包商 OPSWAT 自之日起五 (5) 個工作日內 OPSWAT的通知。如果客戶反對新的分包商,則客戶和 OPSWAT 將真誠地共同努力,找到一個雙方都能接受的解決方案來解決這種異議。如果雙方無法在合理的時間範圍內達成雙方都能接受的解決方案,作為其唯一和排他性的補救措施,客戶可以透過向以下機構提供書面通知來終止使用相關分包商的適用服務訂單: OPSWAT.
1.14 處理記錄。 客戶承認 OPSWAT GDPR 要求:(a) 根據 GDPR 第 30 條第 2 款蒐集和維護某些資訊的記錄,包括代表其的每個處理者和/或控制者的姓名和聯繫方式 OPSWAT 在適用的情況下,該處理者或控制者的當地代表和資料保護官的行為;以及 (b) 根據 GDPR 第 30 條第 4 款向監管機構提供此類資訊。如果 GDPR 適用於客戶個人資料的處理,客戶應根據要求將此類資訊提供給 OPSWAT,並將確保所提供的所有資訊保持準確和最新。
2. 加利福尼亞州
2.1 範圍。 以下規定僅適用於 OPSWAT根據2018年《加州消費者隱私法》、《加州民法典》第1798.100條及以下條款(經《加州隱私權法》修訂)以及可能不時進一步修訂的相關法規(統稱為 “CCPA”)對客戶個人資料的處理。
2.2 定義。術語“出售”、“共用”和“服務提供者”的含義應與CCPA中定義的含義相同。
2.3 服務提供者。 OPSWAT 是客戶的服務提供者。 OPSWAT 僅出於提供服務的目的處理客戶個人資料。除非本協定或CCPA另有允許:
(一) OPSWAT 不得出於商業目的或執行本協定預期目的以外的任何目的進一步蒐集、保留、使用或披露客戶個人資料;
(二) OPSWAT 不得在雙方之間的直接業務關係之外保留、使用或披露客戶個人資料;和
(三) OPSWAT 不得將從客戶或代表客戶收到的客戶個人資料與從其他人處蒐集的個人資料或從客戶與客戶的互動中蒐集的個人資料相結合,除非根據本協定提供服務所必需。
2.4 不得出售或分享。 OPSWAT 不得出售或共用客戶個人資料。
2.5 遵守CCPA。 OPSWAT 應遵守CCPA的所有適用部分,包括對根據本協定處理的客戶個人資料提供與CCPA要求相同級別的隱私保護。
2.6 CCPA 審核。
2.6.1 客戶可以根據合理的事先書面要求,至少提前四十五 (45) 天發出書面通知,進行審計 OPSWAT在協定期限內,每十二 (12) 個月履行一次本 DPA 規定的義務。客戶必須在定期審核期間執行所有審核 OPSWAT 上班時間,不得無理干擾 OPSWAT 商務工作。在 CCPA 要求的範圍內,包括加州隱私保護局要求的情況下,客戶可以經常進行審計。
2.6.2 如果由第三方進行審計, OPSWAT 可以反對審計師,如果審計師在 OPSWAT的合理意見,不具備適當的資格或獨立性,或 OPSWAT 競爭者。此類異議 OPSWAT 將要求客戶指定另一名審計師或自行進行審計。
2.6.3 要申請審核,客戶必須將詳細的建議審核計劃提交給 OPSWAT 至少在建議的審計日期前兩 (2) 周。擬議的審計計劃必須描述擬議的審計範圍、持續時間和開始日期。 OPSWAT 將審查擬議的審計計劃,並向客戶提供疑慮或問題(例如,任何可能損害的資訊請求 OPSWAT 安全、隱私、就業或其他相關政策)。 OPSWAT 將與客戶合作,就最終審計計劃達成一致。本第 2.6 條(CCPA 審核)中的任何內容均不要求 OPSWAT 違反保密義務。
2.6.4 如果在客戶提出審核請求後的十二 (12) 個月內,審核報告中涉及請求的審核範圍,並且 OPSWAT 確認所審計的控制措施沒有已知的重大變化,客戶同意接受審計報告,而不是要求對審計報告所涵蓋的控制措施進行審計。
2.6.5 審計費用由客戶承擔。客戶應報銷 OPSWAT 花費的任何時間 OPSWAT 或其與本第 2.6 條(CCPA 審計)項下的任何審計相關的分包商,在 OPSWAT當時的專業服務費率。客戶將支付客戶為執行任何此類審計而任命的任何審計師收取的所有費用。
2.6.6 雙方同意,本第 2.6 條(CCPA 審核)應滿足 OPSWAT根據 CCPA 的義務,即向客戶提供採取合理和適當措施的權利,以確保 OPSWAT根據本協議對客戶個人資料的處理符合 OPSWAT在CCPA下的義務。
2.7 通知n. OPSWAT 在以下情況下應通知客戶 OPSWAT 確定其無法再履行 CCPA 規定的義務。後 OPSWAT根據本第 2.7 條發出通知,雙方應真誠協商對本協定或服務的更改,以允許 OPSWAT 履行 CCPA 規定的義務。如果此類協商超過三十 (30) 天,客戶可以終止適用的訂單,要求 OPSWAT個人資料的處理。
2.8 對未經授權使用個人資料的補救措施。 應客戶的書面要求, OPSWAT 應根據 DPA 第 4 條(刪除或返回資料)停止處理並刪除或歸還客戶個人資料。 OPSWAT 應向客戶提供證明 OPSWAT遵守客戶的書面要求。雙方同意,本第 2.8 條應滿足 OPSWAT向客戶提供採取合理和適當措施停止和補救的權利的義務 OPSWAT未經授權使用客戶個人資料。
2.9 合理的安全性。 雙方同意,第 5 條(資料安全)應滿足 OPSWAT根據CCPA對資料安全承擔的義務。
2.10 CCPA 資料主體請求。 雙方同意 DPA 第 6 條(資料主體權利)應滿足 OPSWAT根據CCPA對資料主體請求的義務。
2.11 次級處理者。 雙方同意 DPA 第 8 條(分處理者)應滿足 OPSWAT根據CCPA對分包處理者的義務。
SCC - 控制器到處理器
雙方特此同意,他們將遵守 SCC 的第 2 單元,該模組透過引用併入本文,其副本可在 https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en 上找到。客戶還可以向 Privacy 索取相關條款的副本@opswat.com
雙方同意適用以下條款:
1. 第 7 條:雙方選擇納入第 7 條。
2. 第 9(a) 條: 雙方選擇將選項 2(一般書面授權)納入 15 天期限。
3. 第 11(a) 條: 雙方未納入允許資料主體向獨立爭議解決機構提出投訴的可選語言,資料主體無需支付任何費用。
4. 第 17 條: 本條款應受歐盟成員國之一的法律管轄,前提是該法律允許第三方受益人權利。雙方同意,這應是資料輸出者所在成員國的法律。如果資料輸出者不在歐盟,則雙方同意這應為愛爾蘭法律。
5. 第 18(b) 條: 雙方同意,這些法院應為資料輸出者所在歐盟成員國的法院。如果資料輸出者不在歐盟,則雙方同意這些法院應為愛爾蘭法院。
雙方同意,SCC 的第 2 單元優先於雙方之間的任何其他協定,無論是在這些條款簽訂之日之前還是之後簽訂的。如果任何司法管轄區的法律或監管程式要求,雙方應將 SCC 的第 2 單元作為單獨的檔執行或重新執行。
附錄4附件1
A. 當事方名單
資料輸出者:客戶
角色(控制器/處理器):控制器
資料輸入者: OPSWAT
角色(控制器/處理器):處理器
B. 轉讓說明
資料主體的類別:見DPA附錄1
傳輸的個人資料類別:參見 DPA 附錄 1
敏感/特殊類別資料:無
傳輸頻率:根據提供服務的需要連續傳輸
資料傳輸的性質或處理和目的:參見 DPA 附錄 1
個人資料的保留期限:參見 DPA 附錄 1
C. 主管監督機構
資料輸出者所在的歐盟成員國。如果資料輸出者不在歐盟,則應為愛爾蘭。
附錄4附件2
技術和組織措施,包括確保資料安全的技術組織措施
見DPA附錄2。對於向分包處理方的傳輸, OPSWAT 應確保此類分處理者實質上遵守 DPA 附錄 2 中列出的安全措施。
SCC - 處理器到處理器
雙方特此同意,他們將遵守 SCC 的第 3 單元,該模組透過引用併入本文,其副本可在 https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en 中找到。客戶還可以向 Privacy 索取相關條款的副本@opswat.com。
雙方同意適用以下條款:
1. 第 7 條:雙方選擇納入第 7 條。
2. 第 9(a) 條: 雙方選擇將選項 2(一般書面授權)納入 15 天期限。
3. 第 11(a) 條: 雙方未納入允許資料主體向獨立爭議解決機構提出投訴的可選語言,資料主體無需支付任何費用。
4. 第 17 條: 本條款應受歐盟成員國之一的法律管轄,前提是該法律允許第三方受益人權利。雙方同意,這應是資料輸出者所在成員國的法律。如果資料輸出者不在歐盟,則雙方同意這應為愛爾蘭法律。
5. 第 18(b) 條: 雙方同意,這些法院應為資料輸出者所在歐盟成員國的法院。如果資料輸出者不在歐盟,則雙方同意這些法院應為愛爾蘭法院。
6. 附件一 A. 請參閱DPA附錄4的附件1,與客戶和 OPSWAT 兩者兼作處理器。
7. 附件一 B 和 C: 見 DPA 附錄 4 附件 1。
8. 附件二: 見《和平協定》附錄4附件2。
雙方同意,SCC 的第 3 單元優先於雙方之間的任何其他協定,無論是在這些條款簽訂之日之前還是之後簽訂的。如果任何司法管轄區的法律或監管程式要求,雙方應將 SCC 的第 2 單元作為單獨的檔執行或重新執行。
將客戶個人資料轉移到英國境外
雙方特此同意,他們將遵守 SCC 的模組 2 或模組 3(如適用),該模組分別由附錄 4 或附錄 5 完成,並由英國附錄修訂,該附錄透過引用併入,其副本可在資訊專員辦公室的網站 (https://ico.org.uk/多媒體/for-organisations/documents/4019535/addendum-international-data-transfer.docx) 上找到。客戶還可以向 Privacy 索取相關條款的副本@opswat.com。
1. 表1:締約方
資料輸出者:客戶
資料匯入器: OPSWAT
2. 表 2:選定的 SCC、模組和選定的條款
SCC 的模組 2 或模組 3,由附錄 4 或附錄 5 完成
3. 表3:附錄資訊
附件 1A:見 DPA 附錄 4 附件 1
附件1B:見《和平協定》附錄4附件1
附件二:見《和平協定》附錄4附件2
附件三:清單 OPSWAT的分包商可在以下網址獲得 https://www。opswat.com/法律/子處理器
4. 表 4:當批准的附錄發生變化時結束本附錄
進口商或出口商
雙方同意,經英國附錄修訂的 SCC 模組 2 或模組 3(如適用)優先於雙方之間的任何其他協定,無論這些協定是在這些條款簽訂之日之前還是之後簽訂的。如果任何司法管轄區的法律或監管程式要求,雙方應作為單獨的檔執行或重新執行經英國附錄修訂的 SCC 模組 2 或模組 3(如適用)。
