EMERGENETICS 数据处理附录

Language:

English | Español | Italiano | Français | Français Canadien | Deutsch | Nederlands | Română | العربية | 繁體中文 | 简体中文

本《EMERGENETICS数据处理附录》(“附录”)由Browning Group International, Inc.(以Emergenetics International公司的名义营业)及其合法关联公司,包括但不限于STEP, LLC、Emergenetics Europe Limited、Emergenetics Caelan & Sage PTE Ltd(统称“Emergenetics”、“我们”、“我们的”)与您(“客户”或“合作伙伴”,视情况而定,各自定义如下)(分别称“一方”,合称“双方”)共同签订。本附录规范您在Emergenetics平台上处理个人数据的行为。如果您代表某个实体接受本附录的条款,则表示您向Emergenetics声明和保证,您有权代表该实体及其关联公司(视情况而定)接受本附录条款和条件的约束。本附录自您接受《Emergenetics用户协议》、从而同意本附录之日(“附录日期”)起生效。

事实陈述

鉴于Emergenetics与您签署了一份服务协议(“服务协议”),涉及双方现在希望如本附录规定进行修改的数据当事人(定义如下)中的个人数据处理(定义如下);

鉴于在根据服务协议提供服务的过程中,您作为数据控制者处理某些数据当事人的个人数据;

鉴于Emergenetics作为数据控制者,要求您和在您与Emergenetics合作过程中可能处理个人数据的任何后续的个人数据接收方,在处理该等信息时采取一切必要措施,以符合欧盟的《一般数据保护条例》(GDPR)和其他适用法律法规的规定;

鉴于每当双方共同确定处理的目的和方式时,双方应成为共同控制者;及

鉴于双方订立本附录旨在希望在根据服务协议处理个人数据方面,遵守GDPR及其他适用法律法规所要求的数据保护原则和标准。

因此,鉴于本附录中规定的相互约定以及其他有效和充分的对价,双方均确认收讫该等该等对价并确认其充分性,现双方达成如下协议:

定义

本附录中使用但未定义的大写术语应具有服务协议中赋予其的含义。

就本附录而言,下列加粗术语无论出现在本附录条款中的何处,应具有以下规定的含义:

条款

双方达成如下协议:

  1. 生效日期。本附录的条款应于附录日期与2018年5月25日中的较迟者(“生效日期”)生效,且在服务协议期限内同时有效。
  2. 范围。本附录为服务协议下的个人数据处理以及数据控制者在双方之间共享个人数据(单独或共同,视情况而定)提供框架,并确定双方应遵守的原则和程序以及双方的各自责任。
  3. 适用性。本附录不适用于不受适用法律管制的个人数据处理。
  4. 控制者一职的陈述和保证。各方作出如下陈述、保证、承诺:
    1. 关于服务协议下的个人数据处理,其是本附录和 GDPR 意义上的数据控制者;
    2. 现在和将来均按照 GDPR 的规定收集、转让和以其他方式处理所有个人数据;
    3. 对于受适用法律规定的强制性要求制约(且不适用合法减免)的个人数据转让,只有遵守适用法律规定的所有适用条件,才会进行转让;
    4. 应各个另一方的请求,向另一方提供所有相关数据保护法律的副本或对其的引用(如适用,不包括法律建议)。
  5. 共同控制者一职的声明和保证。各方在与另一方一同担任共同控制者时,作出如下陈述、保证、承诺:
    1. 将确定其遵守适用法律规定义务的各自责任;
    2. 考虑每次处理的具体情况,确定其对数据当事人的各自责任,并在必要时将该等信息在共同控制者一职范围内,适当地与其他各个数据控制者进行沟通;
    3. 鉴于 GDPR 规定的事实,即无论双方之间达成何种协定条款,数据当事人有权行使 GDPR 规定的、有关和针对每个数据控制者的权利,每个数据控制者在共同控制者一职范围内,将主动、未经要求即在共同控制者一职范围内向其他各个数据控制者提供一切适当的协助和信息,包括但不限于转发数据当事人根据 GDPR 第三章提出行使其权利的要求。如果数据控制者没有履行本条所规定的义务,则控制者应对回应或没有回应数据当事人行使其权利的各个要求承担全部责任;及
    4. 如果在共同控制者一职范围内,某一组特定处理操作发生权限冲突,则每个数据控制者应以诚信的态度行事,以友好的方式与其他各个数据控制者沟通、解决冲突,考虑和尊重:其一,各个数据当事人的利益和权利,其二,双方的共同利益,以避免因权限冲突未解决、导致双方未能尊重数据当事人的权利而承担连带责任。
  6. 处理行为记录。根据GDPR第30条,每个数据控制者同意保存其负责的个人数据处理行为记录。
  7. 个人数据处理。在本附录范围内,双方是数据当事人的个人数据的共同控制者。客户和合作伙伴分别通过Emergenetics平台,与Emergenetics共同管理处理的个人数据。本附录范围内的每个数据控制者进行的个人数据处理须遵循以下规定:
    1. 处理仅限于服务协议以及双方之间签署的任何后补令、工作说明或工作令中列出的服务和任务。
    2. 每个数据控制者应确保为服务协议中规定的目的进行的个人数据处理仅按照 GDPR 第 6 条规定的合法理由进行,且进一步受到 GDPR 第 9 条或任何适用法律的等效条款(视情况而定)的限制。
    3. 各个数据控制者必须确保其授权处理个人数据的人员承诺保密或承担适当的法定保密义务。
  8. 安全措施。按照GDPR第24条的要求,双方将实施适当的技术和组织上的安全措施,以确保并能够证明其按照GDPR的规定处理个人数据。
  9. 数据当事人的要求。对于一方处理的个人数据,该方将负责回应数据当事人根据 GDPR 第三章或其他适用法律的等效条款提出的行使权利的要求。各方都将在其各自组织内,为数据当事人的要求指定一个适当的联络人。各方将保留数据当事人行使其权利的要求、作出的决定以及交换的任何信息的记录。如果双方为共同控制者,则双方将相互通知所收到的所有该等数据当事人的要求。各方须获得另一方的批准,才能为回应数据当事人的要求而删除个人数据或限制处理,另一方不得无理拒绝给予该等批准,以避免一方的行为可能导致另一方违反本附录或任何适用法律。双方同意经要求时互相提供及时、合理的协助,以便其能够满足数据当事人的要求。各方确保已按照 GDPR 和其他适用法律的要求公布其相关隐私声明(如适用),且双方的隐私声明中不存在任何会导致混淆或误导数据当事人的冲突内容。尤其是各方确保其相关隐私声明(如适用)包含准确的联系信息,数据当事人可通过该等联系方式,向各方提交根据GDPR和其他适用法律(视情况而定)行使其权利的要求。
  10. 处理安全和个人数据泄露通知。双方同意实施和维护技术和组织上的安全措施,以确保其处理的个人数据的安全级别与风险相适应,符合 GDPR 第32 至 36 条的规定,且考虑到处理的性质和各方可以获得的信息。根据 GDPR 第 33 和 34 条或其他适用法律的等效条款(视情况而定)的要求,各方应向主管监管部门或受影响的数据当事人提供个人数据泄露通知,且必要时应向其他各方提供一切适当的协助。
  11. 处理者。各方只应委托一名数据处理者代表其处理个人数据,且该名数据处理者必须通过书面合同或欧盟或成员国法律规定的其他法律行为提供充分保证,保证其将实施与本附录和 GDPR 的要求相同的数据保护义务。该等义务尤其应包括要求数据处理者实施适当的技术和组织上的安全措施,以使处理能够符合 GDPR 的要求,包括但不限于 GDPR 第 28、29 和 30 条的适用要求,并确保保护数据当事人的权利。如果数据处理者未能履行其数据保护义务,则各方应对该名数据处理者应对数据当事人履行的义务承担全部责任。
  12. 受限转让。截至附录日期,Emergenetics(作为“数据输出者”)和客户(作为“数据输入者”)特此订立《标准合同条款》(如附件A所示),该等条款通过引用并入本文,构成本附录的组成部分。必要时,双方被视为已经接受、订立、签署《标准合同条款》的全部内容,包括生效日期签订的附录。
  13. 关于本附录范围内从Emergenetics向客户的任何受限转让,应按以下优先顺序适用下列转让机制之一:
    1. 《标准合同条款》;或
    2. 适用法律规定的任何其他合法基础,视情况而定。
    如果适用《标准合同条款》,而本附录的条款与《标准合同条款》的条款有冲突,则以《标准合同条款》的条款为准。
  14. 责任。在不影响一方或数据处理者对数据当事人任何形式的直接责任的情况下,各方应为违约方因任何违反义务的行为而给非违约方造成的损害,如本附录中所述,对其他各个非违约方承担责任。
  15. 争议。如果数据当事人或欧洲经济区或英国数据保护机构就个人数据处理对任何一方或双方提出争议或索赔,双方将相互通知任何该等争议或索赔,并互相配合以便及时、友好地解决问题。
  16. 数据保护问询联络人:

    Emergenetics:
    电邮:privacy@emergenetics.com
    姓名:Brad Hoffman
    职务:总经理

    客户应通过https://plus.emergenetics.com/#/privacyInfo
    https://esp.emergenetics.com/user/profile/privacyInfo(登录后可用)的表格提供其数据保护问询联络人的详细信息。客户保证必要时及时更新所有该等信息,并始终保证所有该等信息是完整的、最新的。

  17. 无进一步修订。除本附录中明确规定的情况外,各方不打算修订或修改服务协议或双方签署或以其他方式订立的任何其他文件。
  18. 主要协议。服务协议的条款以及在本附录之前签署的任何附录或补充协议均保留并保持完全有效。如果本附录的任何条款与服务协议中包含的任何条款发生冲突,则与本文所述主题相关的事项应以本附录的条款为准。
  19. 保密。本附录属机密信息。各方同意:
    1. 除(1)向签署了保密协议或有法定保密义务的法律顾问或隐私顾问披露;(2)本附录允许或合理预期的披露;或(3)根据 GDPR 或其他适用法律的要求进行披露外(单称“许可披露”),不向任何第三方披露本附录;及
    2. 保持至少与各方一般用于保护自己类似性质的信息相同的谨慎级别,保护本附录不遭到许可披露外的任何拥有、使用或披露,但不得低于合理的谨慎程度。

附件 A

委员会决议 C(2004)5721

范本二

从欧共体向第三国转让个人数据的标准合同条款
(从控制者向控制者的转让)

The Browning Group International, Inc.
地址:2 Inverness Dr East
Suite 189
Centennial, CO, 80112
U.S.A.

hereinafter “data exporter”

以下称“数据输出者”



客户,如上述《Emergenetics数据处理附录》(“附录”)中所定义

以下称“数据输入者”
单称“一方”,统称“双方”
签署的
数据转让协议。

定义

在本条款中:

  1. “个人数据”、“特殊类别的数据/敏感数据”、“处理”、“控制者”、“处理者”、“数据当事人”、“监管部门/主管部门”的定义应与 1995 年 10 月 24 日第 95/46/EC 号指令中的定义相同(其中“主管部门”指数据输出者所在地的数据保护主管机构);
  2. “数据输出者”指转让个人数据的控制者;
  3. “数据输入者”指同意根据本条款的条件从数据输出者接收个人数据进行进一步处理,且不受第三国体系约束、保证提供足够保护的控制者;
  4. “条款”指本合同条款,本条款是一个独立文件,不包含双方根据另外的商业协定订立的商业条款。

转让细节(以及所涉及的个人资料)在附件 B 中有详细说明,该附件是本条款的组成部分。

  1. 数据输出者的义务

    数据输出者保证和承诺:

    1. 根据适用于数据输出者的法律收集、处理、转让个人数据。
    2. 已通过合理努力,确定数据输入者能够履行本条款规定的法律义务。
    3. 应数据输入者的请求,向其提供数据输出者所在国家的相关数据保护法律的副本或对其的引用(如适用,不包括法律建议)。
    4. 回应数据当事人和主管部门有关数据输入者处理个人数据的问询,除非双方同意由数据输入者作出该等回应,若是这种情况,如果数据输入者不愿意或无法作出回应,数据输出者仍应尽可能作出回应,提供其合理了解的信息。回应应在合理的时间内完成。
    5. 经要求,向本文第三条规定的属于第三方受益人的数据当事人提供本条款的副本,本条款包含的机密信息除外,若是这种情况,可将该等机密信息删除。如有删除信息,数据输出者应以书面形式告知数据当事人删除理由以及其有权利将该等删除提请主管部门注意。然而,只要数据当事人同意尊重被删除的机密信息的保密性,那么数据输出者应服从主管部门允许数据当事人查阅本条款全文的决定。必要时,数据输出者还应向主管部门提供本条款的副本。

  2. 数据输入者的义务

    数据输入者保证和承诺:

    1. 将采取适当的技术和组织上的措施,以保护个人数据免遭意外或非法破坏或意外丢失、变更、未经授权的披露或访问,该等措施的安全级别与处理所面临的风险和受保护的数据的性质相适应。
    2. 将制定程序,确保获其授权能够访问个人数据的任何第三方,包括处理者,将尊重和保证个人数据的机密和安全。根据数据输入者授权行事的任何人,包括数据处理者,均有义务仅根据数据输入者的指示处理个人数据。本条规定不适用于法律或法规授权或要求访问个人数据的人员。
    3. 在订立本条款时,没有理由相信存在会对本条款规定的保证产生重大不利影响的当地法律,且如果得知任何该等法律,将通知数据输出者(必要时,数据输出者会将该等通知告知主管部门)。
    4. 将出于附件 B 中描述的目的处理个人数据,且有法定权力作出保证和履行本条款中规定的承诺。
    5. 将向数据输出者指定一名其组织内的联络人,负责对个人数据处理的问询作出回应,并将在合理时间内与数据输出者、数据当事人和主管部门就所有该等问询进行真诚合作。如果数据输出者依法解散,或者双方同意,数据输入者将承担遵守本文第 I(e) 条规定的责任。
    6. 应数据输出者的要求,向数据输出者提供足以履行第 III 条规定的责任(可能包括保险范围)的财力资源证据。
    7. 应数据输出者的合理要求,经合理通知,在正常营业时间,提交其处理所需的数据处理设备、数据文件和记录,供数据输出者(或数据输出者选择的任何独立或公正的检查代理人或稽核员,数据输入者不得无理反对)进行审查、稽核和/或证明,以确定数据输入者是否遵守本条款规定的保证和承诺。该等要求须经数据输入者所在国家的监督或监管部门的任何必要同意或批准,数据输入者将及时设法获得该等同意或批准。
    8. 自行选择根据以下要求之一处理个人数据:
      1. 数据输出者所在国家的数据保护法律,或
      2. 根据第 95/46/EC 号指令第 25(6) 条作出的任何欧盟委员会决议的相关规定[1],其中数据输入者符合该等许可或决议的相关规定,且位于与该等许可或决议有关的国家,但就个人数据转让之目的不包括在该等许可或决议中[2],或
      3. 附件 A 中规定的数据处理原则。

      数据输入者指明其选择:第II(h)(iii)节;
    9. 不会向欧洲经济区(EEA)以外的第三方数据控制者披露或转让个人数据,除非其将有关转让告知数据输出者,且
      1. 第三方数据控制者根据认为第三国提供充分保护的委员会决议处理个人数据,或
      2. 第三方数据控制者成为本条款或欧盟主管部门批准的其他数据转让协议的签署方,或
      3. 数据当事人在获悉转让目的后,有机会反对接收方类别和数据出口所至国家可能具有不同的数据保护标准这一事实,或
      4. 对于敏感数据的转让,数据当事人已明确同意继续转让。

  3. 责任和第三方权利


    1. 各方都应对其他方因其违反本条款而造成的损害承担责任。双方之间的责任仅限于遭受的实际损害。明确排除惩罚性损害赔偿(即旨在惩罚一方的粗暴蛮横行为的损害赔偿)。各方都应对任何侵犯本条款规定的第三方权利而造成的损害对数据当事人承担责任。这不会影响数据输出者根据其数据保护法律应承担的责任。
    2. 双方同意,数据当事人有权作为第三方受益人,为其个人数据,针对数据输入者或数据输出者违反其各自合同义务而执行本条款和本文第I(b)、I(d)、I(e)、II(a)、II(c)、II(d)、II(e)、II(h)、II(i)、III(a)、V、VI(d)、VII条,并为此目的接受数据输出者所在国家的管辖权。如果是指控数据输入者违反义务,数据当事人必须首先要求数据输出者采取适当行动来执行其对数据输入者的权利;如果数据输出者没有在合理时间内(通常情况下是一个月)采取该等行动,那么数据当事人便可直接对数据输入者执行其权利。数据当事人有权直接起诉未能通过合理努力、确定数据输入者能够履行本条款规定的法律义务的数据输出者(数据输出者有责任举证其已尽合理努力)。

  4. 适用于本条款的法律

  5. 与数据当事人或主管部门争议的解决


    1. 如果数据当事人或主管部门就个人数据处理、对任何一方或双方提出争议或索赔,双方将相互通知任何该等争议或索赔,并互相配合以便及时、友好地解决问题。
    2. 双方同意对数据当事人或主管部门发起的任何一般可用的不具约束力的调解程序作出回应。如果其确实参加了程序,双方可以选择远程参加(例如通过电话或其他电子方式)。双方还同意考虑参加为数据保护争议发起的任何其他仲裁、调解或其他争议解决程序。
    3. 各方应服从数据输出者所在国家的主管法院或主管部门的裁决,该等裁决是终局性的,不可再上诉。

  6. 终止


    1. 如果数据输入者违反了本条款规定的义务,那么数据输出者可暂时中止向数据输入者转让个人数据,直至违约行为得到补救或合同终止。
    2. 如果:
      1. 数据输出者根据 (a) 段暂时中止向数据输入者转让个人数据时间已超过一个月;
      2. 数据输入者遵守本条款将违反其在进口国的法律或监管义务;
      3. 数据输入者实质性或一再违反其在本条款中作出的任何保证或承诺;
      4. 数据输出者所在国家的主管法院或主管部门作出终局性的、不可再上诉的裁决,裁定数据输入者或数据输出者违反了本条款;或
      5. 数据输入者无论以个人或机构身份提出接管或清盘申请,该等申请在适用法律规定的该等驳回的适用期限内没有被驳回;发出清盘令;为其任何资产指定接管人;如果数据输入者是个人,则指定破产受托人;由其开始公司自愿偿债安排;或在任何司法管辖区发生任何同等事件;

      则数据输出者在不损害其对数据输入者可能拥有的任何其他权利的情况下,有权终止本条款,若是如此行事,必要时应告知主管部门。在上述(i)、(ii)或(iv)所涉及的情况下,数据输入者亦有权终止本条款。
    3. 如果 (i) 委员会根据第 95/46/EC 号指令第 25(6) 条(或任何替代文本)针对数据输入者将数据转让和处理所至的国家(或其部门)发布任何积极的充分决定,或者 (ii) 第95/46/EC 号指令(或任何替代文本)直接适用于该等国家,任何一方均有权终止本条款。
    4. 双方同意,在任何情况下,无论出于何种原因(除根据第VI(c) 条终止本条款外),在任何时候终止本条款并不能免除本条款规定的各方有关处理转让的个人数据的义务和/或条件。

  7. 本条款的变更


    双方不得修改本条款,除非是更新附件B中的任何信息,若是这种情况,必要时应告知主管部门。这并不排除双方在必要时增加额外的商业条款。

  8. 转让说明


    转让和个人数据的细节在附件B中予以详细说明。双方同意附件B可能包含不得向第三方披露的商业机密信息,除非是法律要求或回应有关监管机构或政府机构或根据第I(e) 条的要求进行披露。双方可以签署另外的附件以涵盖另外的转让,必要时将该等附件提交给有关部门。或者可以拟定附件 B 以涵盖多次转让。

附件A

数据处理原则

  1. 目的限制:仅限于出于附件B中描述的目的或数据当事人后续授权的目的,处理和后续使用或进一步传递个人数据。
  2. 数据质量和相称性:个人数据必须准确,必要时保持更新。个人数据必须充分、相关,且对于其转让和进一步处理的目的而言不会过多。
  3. 透明性:除非数据输出者已经提供该等信息,否则数据当事人必须提供必要的信息以确保公平处理(例如关于处理目的和关于转让的信息)。
  4. 安全性和保密性:数据控制者必须采取与处理所面临的风险相适应的技术和组织上的安全措施,例如,免遭意外或非法破坏或意外丢失、变更、未经授权的披露或访问。根据数据控制者授权行事的任何人,包括处理者,均不得根据数据控制者以外的指示处理数据。
  5. 访问权限、更正、删除、异议:根据第 95/46/EC 号指令第 12 条的规定,数据当事人必须直接或通过第三方获得某个组织持有的与其有关的个人信息,除非根据不合理的时间间隔或要求的数量或重复或系统地进行要求判断,数据当事人是在明显滥用要求,或根据数据输出者国家的法律无需授予访问权限。如果主管部门已事先批准,若授予该等访问权限可能严重损害数据输入者或与数据输入者接洽的其他组织的利益,且数据当事人的基本权利和自由之利益并未优先于该等利益,则亦无需授权。如果无法通过合理努力确定个人数据的来源或当事人以外的其他人的权利可能受到侵犯,则无需确定来源。如果与其有关的个人信息不准确或其处理违背本原则,数据当事人必须能够更正、修改或删除相关信息。如果有令人信服的理由怀疑该等要求的合法性,组织有权在进行更正、修改或删除之前要求当事人举出更多正当理由。如果涉及过度的努力,则无需向接收数据披露的第三方通知任何更正、修改或删除。如果有与当事人特定情况有关的令人信服的正当理由,数据当事人必须能够反对与其有关的个人数据处理。任何拒绝的举证责任在于数据输入者,数据当事人始终有权向主管部门提出质疑。
  6. 敏感数据:数据输入者应根据第II条规定的义务,采取必要的额外措施(如安全相关措施)以保护该等敏感数据。
  7. 用于营销目的的数据:如果为直销的目的而处理数据,则应存在有效的程序,允许数据当事人随时“选择不”将其数据用于该等目的。
  8. 自动决定:在本文中,“自动决定”指数据输出者或数据输入者作出的产生有关数据当事人的法律效力或对数据当事人有重大影响的决定,该等决定仅基于自动处理个人数据,该等处理旨在评估某些与当事人有关的个人方面,如当事人在工作中的表现、信誉、可靠性、行为等。数据输入者不得作出有关数据当事人的任何自动决定,除非:
      1. 数据输入者通过与数据当事人签订或履行合同作出该等决定,且
      2. 数据当事人有机会与作出该等该等决定的双方代表讨论相关自动决定的结果,或以其他方式向双方作出声明。

      2. 或者

    2. 数据输出者的法律另有规定。

附件B

转让说明

根据本附录第 12 节,双方订立《标准合同条款》,即被视为已签署本附件 B。

数据主体
转让的个人数据涉及以下几类数据主体:
转让的个人数据通常涉及通过Emergenetics平台进行评估或评定的个人。

转让的目的
转让是为了以下目的:
允许数据输入者代表数据输出者提供Emergenetics服务。

数据类别
传输的个人数据通常涉及以下类别的数据:
个人数据通常包括履历数据、联系数据、学习/管理和个性风格评估结果。

接收方
转让的个人数据可能只向以下接收方或接收方类别披露:
需要该等个人数据以更好提供Emergenetics服务的各方。

如本附录所述,数据保护问询的联络人应由双方提供。

[1]“相关规定”指除许可或决议的执行规定(须受本条款制约)以外的许可或决议的规定。 [2]然而,选择该选项时,必须适用附件 A.5 有关访问权限、更正、删除、异议的规定,并优先于选择的委员会决议的任何类似条款。