数据处理附录

数据处理附录

在使用网站提供的网站,软件或服务之前,请仔细阅读本欧盟数据处理附录(“附录”) 迈凯轮国际有限公司 LTD。 (“MCLAREN”或“处理器”)。 本附录应在范围内适用MCLAREN是个人数据(以下定义)的处理器,该数据受某些数据保护法(以下定义)的约束。 您或您代表的实体同意已阅读并接受本附录中的条款,该条款可在https://上提供补充的迈凯伦使用条款麦克拉伦特。com /法律/ (“使用条款”)。

如果您以雇主的名义访问服务,则表示并保证您有权就其代表同意这些条款,并有权约束您的雇主。 如果您或您的雇主没有毫无条件地同意本附录的所有条款和条件,则您无权使用迈凯伦的服务,并且必须离开本页面。

每当MCLAREN服务的任何用户向MCLAREN提供受数据保护法律约束或将受数据保护法律约束的个人数据时,本附录都会补充使用条款(就本附录而言,每位用户均称为“控制者” )。 本附录中未定义的任何术语应具有“使用条款”中规定的含义。 如果本附录的条款和条件与使用条款之间发生冲突,则本附录的条款和条件应被取代和控制。

1. 定义

1.1“匿名数据”是指已经以无法再归因于已识别或可识别自然人的方式处理的个人数据。

1.2“授权员工”是指需要知道或以其他方式访问个人数据以使处理器能够履行本附录或使用条款所规定义务的处理器员工。

1.3“授权个人”是指授权员工或授权分包商。

1.4“授权分包商”是指需要了解或以其他方式访问个人数据以使处理器能够履行本附录或使用条款所规定的义务的第三方分包商,代理商,转售商或审计师,并且是( 1)与附件C有关,或(2)根据本附录第4.2节由财务总监授权这样做。

1.5“数据主体”是指与个人数据有关的已识别或可识别的人。

1.6“指令”是指由控制器发布给处理者并指导处理器处理个人数据的书面指示,文本形式(例如,通过电子邮件)或使用软件或在线工具的指示。

1.7“个人数据”指除匿名数据外,处理器代表控制器处理的与数据主体相关的任何信息,包括敏感的个人信息。

1.8“个人数据泄露”是指由于违反安全规定而导致意外或非法销毁,丢失,更改,未经授权披露或访问所传输,存储或以其他方式处理的个人数据。

1.9“隐私保护原则”是指美国商务部发布的《瑞士-美国和欧盟-美国隐私保护框架和原则》,可从以下网站获取: https://www.privacyshield.gov/EU-US-Framework.

1.10“处理”是指对个人数据执行的任何操作或一组操作,无论是否通过自动方式进行,例如收集,记录,组织,存储,改编或更改,检索,咨询,披露传输,传播或以其他方式提供,对齐或组合,阻止,擦除或破坏。

1.11“敏感个人信息”是指数据主体的(i)政府签发的身份证号码(包括社会安全号码,驾照号码或州和/或国家/地区发行的身份证号码); (ii)财务帐号,信用卡号,借记卡号,信用报告信息,带有或不带有允许访问个人财务帐户的任何必需的安全码,访问码,个人识别码或密码; (iii)遗传和生物统计学数据或有关健康的数据; 或(iv)揭露种族或族裔血统,政治见解,宗教或哲学信仰,性取向或性行为,刑事定罪和罪行(包括对已实施或据称已实施的任何犯罪的提起或诉讼)或交易的个人数据工会会员。

1.12“服务”应具有使用条款中规定的含义。

1.13“标准合同条款”是指根据欧洲委员会关于个人数据传输的标准合同条款(C(2010)593)于5年2010月XNUMX日作出的决定,由控制者与处理者之间并在其之间签立的作为附件B的协议。给在第三国建立的加工商,这些加工商不能确保足够的保护水平。

1.14“监督机构”是指由欧盟,冰岛,列支敦士登或挪威的成员国建立的独立公共机构。

2.数据处理

2.1此处描述了财务总监对本处理的权利和义务。 管制员在使用服务时应始终按照EU指令95/46 / EC(以下简称“指令”)以及在生效时的规定处理个人数据,并提供处理个人数据的说明。通用数据保护法规(法规(EU)2016/679)(“ GDPR”以及“数据保护法”)。 管制员应确保其指令符合适用于个人数据的所有法律,法规和规章,并确保按照管制员的指示对个人数据进行处理不会导致处理器违反数据保护法。 对于(i)由控制器或其代表提供给处理器的个人数据,(ii)控制器获取任何此类个人数据的方式以及(iii)指令的准确性,质量和合法性,控制器应全权负责。向处理器提供有关此类个人数据处理的信息。 管制员不得违反使用条款或因其他原因不适合服务性质的任何个人数据提供给处理者,并应赔偿处理者与之有关的所有索赔和损失。 本附录不适用于以处理器为控制者的个人数据。

2.2处理方仅应(i)为使用条款和/或附件A中规定的目的处理个人数据,(ii)根据本附录中规定的条款和条件以及控制方提供的任何其他书面说明处理个人数据,包括有关将个人数据转移到第三国或国际组织的信息,除非处理者所受的监督机构要求这样做; 在这种情况下,除非该法律出于公共利益的重要理由而禁止该信息,并且(iii)遵守该指令以及GDPR生效,否则,处理者应在处理前将该法律要求告知控制者。 控制器在此指示处理器按照前述规定处理个人数据,并作为控制器在使用服务时发起的任何处理的一部分。

2.3本附录的附录A中描述了此处理的主题,性质,目的和持续时间,以及收集的个人数据的类型和数据主体的类别。

2.4服务完成后,除非欧盟或欧盟成员国的法律要求保留,否则财务总监应选择返回或删除个人数据。 如果法律,法规或规例不可行或禁止返还或销毁,处理者应采取措施阻止此类个人数据进行进一步的处理(法律,法规或规例要求继续托管或处理的必要范围除外),并且继续适当保护其拥有,保管或控制中的个人数据。 如果控制者和处理者已按照第6节(个人数据的传输)中所述订立了标准合同条款,则双方同意应提供标准合同条款第12条第(1)款所述的删除个人数据的证明。由处理器到控制器仅在控制器的请求下。

3.授权员工

3.1处理者应采取商业上合理的步骤,以确保任何授权雇员的可靠性和适当的培训。

3.2处理者应确保所有授权员工均已意识到个人数据的机密性,并已签署保密协议,以防止他们在与处理者接触期间或之后披露或以其他方式处理任何个人数据,除非遵守其义务与服务有关。

3.3处理器应采取商业上合理的步骤,将访问个人数据的权限限制为仅授权个人。

4.授权分包商

4.1管制员承认并同意,处理者可以(1)雇用本附录附录C中列出的其分支机构和授权分包商来访问和处理与服务有关的个人数据,以及(2)时不时与其他第三方提供服务的目的,包括但不限于处理个人数据。

4.2处理方在委派授权分包商以外的任何第三方访问或参与处理个人数据之前,应通知控制方。 管制员可以在收到管制员的上述通知后的十(10)天内以书面形式反对这种约定。

4.2.1如果管制员根据第4.2节合理地反对某项约定,则处理员应向管制员提供书面说明,说明该约定在商业上可行的替代方案(如有),包括但不限于对服务的修改。 如果Processor自行决定不能提供任何此类替代方案,或者如果Controller不同意任何此类替代方案(如果提供),则Processor可以终止本附录。 终止不免除管制员根据使用条款欠处理者的任何费用。

4.2.2如果控制者在处理者发出通知后的十(4.2)天内不反对根据第10节约定聘请第三方,则在本附录中,该第三方将被视为授权分包商。

4.3处理者应确保所有授权分包商均已签署保密协议,以防止其在与处理者接触期间和之后披露或以其他方式处理与处理者接触期间或之后的任何个人数据。

4.4处理方应根据欧洲联盟或欧盟成员国法律(包括但不限于批准的行为准则和标准合同条款)通过合同或其他法律行为,确保每个授权分包商均承担处理个人数据的义务保护性不亚于本附录规定的处理方。

4.5处理方应对授权转包商的作为和不作为承担对财务负责人的责任,其程度与处理者根据本附录进行此类作为或不作为本身应承担的责任相同。

4.6如果控制者和处理者已经按照第6节(个人数据的传输)中所述订立了标准合同条款,则(i)上述授权将构成控制者事先书面同意,由处理者将处理个人数据的分包转包给(ii)双方同意,根据标准合同条款第5(j)条,由处理方必须提供给主承销商的与授权分包商的协议副本可能具有商业信息,或与标准合同条款或其等价条款无关,由处理者事先删除,并且此类副本仅在处理者要求时由处理者提供。

5.个人资料的安全

5.1考虑到现有技术水平,实施成本以及加工的性质,范围,背景和目的,以及自然人权利和自由的可能性和严重性变化的风险,加工者应保持适当的技术和组织措施,以确保适合处理个人数据风险的安全级别。

6.个人资料的传输

6.1从欧盟,冰岛,列支敦士登,挪威,瑞士或英国成员国到受本附录约束的个人数据向任何不能确保法律和法规所定义的数据保护水平的国家之间的转移在此类转让受制于此类法律和法规的范围内,这些国家的法规应由处理方通过以下机制之一进行:(a)根据发布的《瑞士-美国和欧盟-美国隐私保护框架和原则》由美国商务部提供,均可在 https://www.privacyshield.gov/EU-US-Framework (“隐私保护原则”),或(b)本附录附录B中列出的标准合同条款。

6.2如果转移是根据6.1(a)进行的,则处理方对由美国商务部管理的《瑞士-美国和欧盟-美国隐私保护框架》进行自我认证,并遵守该认证,并遵守从欧盟,冰岛,利希滕斯坦,挪威或英国(“ EEA”)或瑞士成员国转移到任何不能确保在其内进行充分数据保护的国家的个人数据处理使用条款期间上述国家/地区的法律法规的含义。

 7。 数据主体的权利

7.1处理方应在法律允许的范围内,在收到数据主体要求行使数据主体的以下权利时,立即通知控制方:访问,纠正,处理限制,擦除,数据可移植性,限制或停止处理,撤回对处理的同意,和/或反对接受构成自动决策的处理(此类请求单独或共同称为“数据主体请求”)。 如果处理器收到与控制器数据有关的数据主体请求,则处理器将建议数据主体向控制器提交其请求,并且控制器将负责响应此类请求,包括在必要时使用服务功能。

7.2处理方应应财务总监的要求,并考虑到适用于任何数据主体要求的处理的性质,采取适当的技术和组织措施,以协助财务总监履行财务总监对此类数据主体要求做出回应的义务和/或在可能的情况下证明这种合规性,但前提是(i)未经处理者的协助,控制器本身无法做出响应;以及(ii)处理者能够根据所有适用的法律,规则和规定做出回应。 财务主任应在法律允许的范围内对由财务主任提供的任何此类协助引起的任何费用和支出负责。

8.动作和访问请求

8.1处理方应考虑到处理的性质和提供给处理方的信息,在必要时向控制方提供合理的合作和协助,以使控制方遵守GDPR规定的义务,进行数据保护影响评估和/或证明前提是Controller否则无法访问相关信息。 财务主任应在法律允许的范围内对由财务主任提供的任何此类协助引起的任何费用和支出负责。

8.2在必要和GDPR要求的情况下,处理者应考虑到处理的性质和提供给处理者的信息,向控制者提供合理的合作和协助,以协助控制者进行合作和/或事先与任何监管机构进行磋商。 财务主任应在法律允许的范围内对由财务主任提供的任何此类协助引起的任何费用和支出负责。

8.3处理方应保留足以证明其遵守本附录义务的记录,并在使用条款终止后将其保留三(3)年。 在合理通知加工商的情况下,控制者应有权在正常工作时间内在加工商办公室审查,审核和复制此类记录。

8.4应财务主任的要求,处理器在每个日历年内不得超过一次,或者(i)提供给财务主任审查证明或报告的副本,以证明财务主任遵守了适用于处理财务主任个人数据的现行数据安全标准,或者(ii )如果根据(i)所提供的报告或证明在数据保护法下还不够充分,则允许控制器或其授权代表在合理通知的情况下并在双方同意的日期和时间对处理器的数据进行审核或检查足以证明处理器遵守本附录义务的安全基础结构和程序,只要财务总监应就任何此类审核请求提供合理的事先通知,并且此类检查不得对处理器的业务造成不合理的破坏。 财务主任应负责任何此类审核或检查的费用,包括但不限于在现场审核所花费的任何时间内偿还处理器费用。 如果控制者和处理者已经按照第6节(个人数据的传输)中所述订立了标准合同条款,则双方同意应执行标准合同条款第5(f)条和第12(2)条中所述的审核。根据本8.4节。

8.5如果处理者认为某指令违反了数据保护法或监管机构,则处理者应立即通知控制者。

8.6如果发生个人数据泄露事件,处理方应在不当地拖延的情况下,将个人数据泄露告知财务总监,并采取处理者自行决定认为必要和合理的措施来纠正此类违反行为(在不超出纠正范围的范围内)。处理器的合理控制)。

8.7如果发生个人数据泄露事件,处理方应在考虑处理的性质和提供给处理方的信息的基础上,向财务总监提供合理的合作和协助,以使财务总监遵守GDPR规定的通知义务(i)有关的监督机构,以及(ii)受到此类个人数据泄露影响的数据主体而没有不当地拖延。

8.8如果由于财务总监的作为或不作为而导致个人数据泄露,则第8.5和8.6节所述的义务不适用。 处理器根据第8.5节和第8.6节报告或回应个人数据违约的义务将不解释为处理器对有关个人数据违约的任何过失或责任的承认。

9. 责任限制

9.1由本附录引起或与之相关的控制者和处理者(及其各自的雇员,董事,管理人员,关联企业,继任者和受让人)的全部责任,无论是合同,侵权或其他责任理论,均应承担。如果合计起来不超过使用条款中规定的责任限制。

附件A

加工细节

处理的性质和目的:处理个人数据的目的是根据使用条款执行服务。

处理期限:除非另有书面约定,否则在本使用条款的期限内,将按照本附录中的条款进行处理。

数据主体的类别:控制器可以提交与服务有关的个人数据,其范围由控制器自行决定并控制,并且其范围可以包括但不限于与以下类别的数据主体有关的个人数据:

  • 控制器的准客户,客户,业务合作伙伴和供应商(自然人)
  • 财务总监,潜在客户,业务合作伙伴和供应商的员工或联系人
  • 财务总监(自然人)的雇员,顾问,代理商,顾问,自由职业者
  • 控制器授权的控制器用户可以使用服务
  • 控制器事件的​​参加者

个人数据类型:

管制员可以向服务提交个人数据,其范围由管制员自行决定并控制,其范围包括但不限于以下类别的个人数据:

  • 名字和姓氏
  • 职位名称
  • 职务
  • 雇主
  • 联系信息(公司,电子邮件,电话,实际营业地址)
  • 身份数据
  • 设备数据
  • 专业的生活数据
  • 个人生活数据
  • 连接数据
  • 本地化数据

附件B

标准合同条款

以下是针对26/2 / EC指令第95条第46款的目的的标准合同条款,该条款旨在将个人数据转移到在第三方国家/地区建立的处理者中,而这不能确保足够的数据保护水平。

控制器 (在此称为“数据导出器”)

MCLAREN (在此称为“数据导入器”)

每个“聚会”; 一起“各方”,

已就以下合同条款达成协议(以下称“条款”),以便就数据的隐私权,个人的基本权利和自由的保护提出适当的保障,以供数据导出者将其中指定的个人数据转移到数据导入者附录1。

该条款与附录同时生效。 如果您代表雇主访问服务,则表示并保证您有权代表其同意这些条款,并有权约束您的雇主。 如果您或您的雇主未无条件地同意本条款,则您无权使用MCLAREN的服务,并且必须离开所有MCLAREN网页和应用程序。

条款1

定义

就本条款而言:

(a)“个人数据”,“特殊数据类别”,“过程/处理”,“控制者”,“处理器”,“数据主体”和“监管机构”应具有与第95/46 /号指令相同的含义。 24年1995月XNUMX日欧洲议会和理事会的EC,关于在处理个人数据方面的个人保护以及此类数据的自由流通;

(b)“数据输出者”指控制者;

(c)“数据导入者”是指处理器;

(d)“子处理器”是指数据进口者或数据进口者的任何其他子处理器雇用的,同意从数据进口者或数据进口者的任何其他子处理器接收的,专门用于处理以下活动的个人数据的任何处理器:转让后,按照数据出口商的指示,条款条款和书面分包合同的条款进行;

(e)“适用的数据保护法”是指保护个人的基本权利和自由,尤其是在处理个人数据方面的隐私权,该法律适用于成员国中的数据控制者,数据导出器已建立;

(f)“技术和组织安全措施”是指旨在保护个人数据免遭意外或非法破坏或意外丢失,更改,未经授权的披露或访问的措施,尤其是在处理涉及通过网络传输数据的情况下,以及所有其他非法形式的处理。

条款2

转让详情

附录1中详细说明了传输的详细信息,尤其是个人数据的特殊类别,该附件构成本条款的组成部分。

条款3

第三方受益人条款

  1. 1。 数据主体可以对数据输出者强制执行本条款,条款4(b)至(i),条款5(a)至(e),以及(g)至(j),条款6(1)和(2) ,条款7,条款8(2)和9条款12作为第三方受益人。
  1. 2。 在数据导出器的情况下,数据主体可以对数据导入者强制执行本条款,条款5(a)至(e)和(g),条款6,条款7,条款8(2)和条款9至12事实上已经消失或已经不再存在于法律中,除非任何继承实体通过合同或法律运作承担了数据输出者的全部法律义务,因此它承担了数据输出者的权利和义务,在哪种情况下,数据主体可以针对此类实体强制执行它们。
  1. 3。 在数据导出器的情况下,数据主体可以对子条款,第5条(a)至(e)和(g),条款6,条款7,条款8(2)和条款9至12强制执行子处理器并且数据导入者事实上已经消失或不再存在于法律中或已经破产,除非任何继承实体通过合同或法律的运作承担了数据输出者的全部法律义务,因此它承担了权利和数据输出者的义务,在这种情况下,数据主体可以针对此类实体强制执行。 子处理器的此类第三方责任应限于其在条款下的处理操作。
  1. 4。 如果数据主体明确希望并且如果国家法律允许,则各方不反对由协会或其他机构代表的数据主体。

条款4

数据导出者的义务

数据出口商同意并保证:

(a)个人资料的处理(包括转让本身)已经并将继续按照适用的资料保护法的有关条文进行(并在适用情况下已通知有关当局)成立数据出口国的成员国)并且不违反该国的有关规定;

(b)它已指示并且在整个个人数据处理服务期间将指示数据导入者仅按照数据保护者的法律和条款代表数据导出者处理传输的个人数据;

(c)数据导入者将为本合同附录2中指定的技术和组织安全措施提供足够的保证;

(d)在评估适用的数据保护法的要求后,安全措施适用于保护个人数据免遭意外或非法破坏或意外丢失,更改,未经授权的披露或访问,特别是在处理涉及传输网络上的数据,以及所有其他非法形式的处理,并且这些措施确保了适合于处理所带来的风险的安全级别以及在考虑到现有技术和保护的情况下要保护的数据的性质。实施成本;

(e)确保遵守安全措施;

(f)如果转移涉及特殊类别的数据,则在转移之前或在转移之后尽快通知数据主体,以便将其数据传输至未在其内部提供充分保护的第三国指令95 / 46 / EC的含义;

(g)如果数据输出者决定继续转让或取消暂停,则将根据5(b)和8条款(3)从数据导入者或任何子处理器收到的任何通知转发给数据保护监督机构;

(h)根据要求向数据主体提供条款副本,但附录2除外,以及安全措施的摘要说明,以及必须进行的任何子处理服务合同的副本根据条款,除非条款或合同包含商业信息,在这种情况下,它可以删除此类商业信息;

(i)在子处理的情况下,处理活动是根据条款11由子处理器执行的,该子处理器为条款下的数据导入者提供至少相同级别的个人数据保护和数据主体权利; 和

(j)它将确保遵守第4(a)至(i)条。

条款5

数据导入者的义务

数据导入者同意并保证:

(a)仅代表数据输出者并按照其指示和条款处理个人数据; 如果因任何原因无法提供此类合规,则同意及时通知数据出口商无法遵守,在这种情况下,数据出口商有权暂停数据转移和/或终止合同;

(b)它没有理由相信适用于它的法律妨碍它履行从数据输出者那里收到的指示及其在合同下的义务,并且如果该立法发生变化,可能会有对条款提供的保证和义务产生重大不利影响,一旦知晓,将立即通知数据输出者的变更,在这种情况下,数据输出者有权暂停数据传输和/或终止合同;

(c)在处理转移的个人数据之前,它已实施附录2中规定的技术和组织安全措施;

(d)它会及时通知数据出口商:

(i)执法机关提出的任何具有法律约束力的披露个人数据的请求,除非另有禁止,例如根据刑法禁止为执法调查的机密性保密,

(ii)任何意外或未经授权的访问,以及

(iii)除非另有授权,否则直接从数据主体收到的任何请求,而无需响应该请求;

(e)迅速妥善处理数据出口商有关处理转让个人资料的所有询问,并遵守监管​​机关有关处理所转移数据的意见;

(f)应数据出口者的要求提交其数据处理设施,以审计条款所涵盖的处理活动,该处理活动应由数据出口者或由独立成员组成并拥有所需专业人员的检查机构进行。受保密义务约束的资格,由数据出口者酌情与监管机构协商选定;

(g)根据要求向数据主体提供条款副本或任何现有的子处理合同,除非条款或合同包含商业信息,在这种情况下它可以删除此类商业信息,但附录2除外在数据主体无法从数据出口者处获得副本的情况下,应由安全措施的摘要说明取代;

(h)在进行子处理时,它先前已通知数据出口商并获得其事先书面同意;

(i)子处理器的处理服务将按照第11条的规定进行;

(j)立即将根据本条款达成的任何分处理器协议的副本发送给数据导出者。

条款6

责任

1.双方同意,任何数据主体因任何一方或子处理器违反第3条或第11条中提到的义务而遭受损害的,有权从数据输出者处获得遭受的损害赔偿。

2。 如果数据主体无法根据1段针对数据导出者提出索赔,因为数据导入方或其子处理方违反了3条款或11条款中提到的任何义务,由于数据输出者事实上已经消失或不再存在于法律中或已经破产,数据导入者同意数据主体可以向数据导入者发出索赔,就像它是数据导出者一样,除非任何后继实体承担了整个通过法律运作合同对数据输出者的法律义务,在这种情况下,数据主体可以对该实体强制执行其权利。

数据导入者可能不依赖于子处理器违反其义务以避免其自身的责任。

3。 如果数据主体无法对第1和2段中提到的数据导出者或数据导入者提出索赔,这是由于子处理器违反了3条款或11条款中提到的任何义务,因为数据导出器和数据导入器事实上已经消失或不再存在于法律中或已经破产,子处理器同意数据主体可以根据条款对其自身的处理操作发出针对数据子处理器的声明,就像它一样是数据导出者或数据导入者,除非任何后继实体通过合同或法律的运作承担了数据输出者或数据导入者的全部法律义务,在这种情况下,数据主体可以对该实体强制执行其权利。 子处理器的责任应限于其在条款下的处理操作。

条款7

调解与管辖权

1。 数据导入方同意,如果数据主体根据条款对其提出第三方受益权和/或索赔赔偿,数据导入方将接受数据主体的决定:

(a)将争议提交独立人士或在适当情况下由监察机关调解;

(b)将争议提交给建立数据输出者的成员国的法院。

2。 双方同意,数据主体的选择不会损害其根据国家或国际法的其他规定寻求补救的实质性或程序性权利。

条款8

与监管部门的合作

1。 如果数据出口商提出要求或根据适用的数据保护法要求进行此类存款,则数据出口商同意向监管机构存放本合同的副本。

2。 双方同意监管机构有权对数据导入者和任何子处理器进行审核,这些子处理器具有相同的范围,并且适用于适用数据下对数据导出者进行审计的相同条件。保护法。

3。 数据导入者应立即通知数据输出者是否存在适用于该数据的立法或任何子处理器,以防止根据2段对数据导入者或任何子处理器进行审计。 在这种情况下,数据输出者有权采取第5(b)条规定的措施。

条款9

适用的法律

条款应受数据输出者所在成员国的法律管辖。

条款10

合同变更

双方承诺不改变或修改条款。 这并不排除当事方在必要时在业务相关问题上添加条款,只要它们不与条款相抵触即可。

条款11

子处理

1.未经数据导出者的事先书面同意,数据导入者不得将根据本条款代表数据导出者执行的任何处理操作分包。 如果数据导入者在数据导出者的同意下将其在本条款下的义务分包,则只能与子处理器达成书面协议,该子协议对子处理器施加了与数据导入者根据本协议所承担的相同义务。条款¹。 如果分处理器未能履行该书面协议项下的数据保护义务,则数据导入方应对该协议下的分处理器义务的履行对数据出口方承担全部责任。

2。 数据导入方与子处理方之间的事先书面合同还应规定第3条规定的第三方受益条款,以适用于数据主体无法提出1条款第6段所述的赔偿要求的情况。对数据出口者或数据导入者的反对,因为他们事实上已经消失或已经不再存在于法律中或已经破产,并且没有后继实体通过合同或法律的运作承担数据出口者或数据导入者的全部法律义务。 子处理器的此类第三方责任应限于其在条款下的处理操作。

3。 1段中提到的与合同子处理有关的数据保护方面的规定应受数据出口商所在成员国的法律管辖。

4.数据导出者应保留根据本条款缔结并由数据导入者根据第5(j)条通知的子处理协议的清单,该清单应每年至少更新一次。 该列表应提供给数据导出者的数据保护监督机构。

条款12

个人数据处理服务终止后的义务

1。 双方同意,在终止提供数据处理服务时,数据导入者和子处理者应在数据输出者的选择下,将所有传输的个人数据及其副本返回给数据输出者,或者销毁所有数据。个人数据并向数据出口商证明其已经这样做,除非对数据导入者施加的立法阻止其返回或销毁所传输的全部或部分个人数据。 在这种情况下,数据导入方保证它将保证所传输的个人数据的机密性,并且不会主动处理已传输的个人数据。

2。 数据导入方和分处理方保证,应数据出口者和/或监管机构的要求,它将提交其数据处理设施,以审计第1段所述措施。

标准合同条款附录1

本附录构成本条款的一部分。

数据导出器

数据导出器是控制器。

数据导入器

数据导入器是MCLAREN。

数据科目

传输的个人数据涉及以下类别的数据主体(请指定):

与服务相关的个人数据,其范围由财务总监全权决定和控制,并且可能包括但不限于与以下类别的数据主体相关的个人数据:

  • 控制器的准客户,客户,业务合作伙伴和供应商(自然人)
  • 财务总监,潜在客户,业务合作伙伴和供应商的员工或联系人
  • 财务总监(自然人)的雇员,顾问,代理商,顾问,自由职业者
  • 控制器授权的控制器用户可以使用服务
  • 控制器事件的​​参加者

数据类别

转移的个人数据涉及以下几类数据(请具体说明):

与服务相关的个人数据,其范围由财务总监全权决定和控制,并且可能包括但不限于以下类别的个人数据:

  • 名字和姓氏
  • 职位名称
  • 职务
  • 雇主
  • 联系信息(公司,电子邮件,电话,实际营业地址)
  • 身份数据
  • 设备数据
  • 专业的生活数据
  • 个人生活数据
  • 连接数据
  • 本地化数据

特殊类别的数据(如果适用)

传输的个人数据涉及以下特殊数据类别(请指定):

不适用

加工业务

传输的个人数据将受到以下基本处理活动(请指定):

根据使用条款进行处理以执行服务,即但不限于处理活动以促进事件发生。

标准合同条款附录2

本附录构成本条款的一部分。

说明数据导入者根据第4(d)和5(c)条(或随附的文件/法律)实施的技术和组织安全措施:

数据导入器将维护管理,物理和技术保护措施,以保护客户数据中包含的个人数据的安全性,机密性和完整性。 在订阅期内,数据导入器不会实质性降低服务的整体安全性。

附件C

授权分包商

财务总监承认并同意,数据导入者可以聘请关联公司和第三方作为分包商(也称为分包商)来处理个人数据。 数据导入器应在其网站上提供数据处理器当前保留的用于执行处理活动的子处理器列表。 数据导入器将每月更新一次列表,从而通过其网站将任何更改通知控制器,并为控制器提供机会反对子处理器或更改子处理器列表。 尽管有本节的其他规定,如果必要的业务连续性和/或在紧急情况下需要恢复时,数据导入器可以立即添加或替换子处理器,而无需另行通知,除非必要的法律和法规明确禁止。 子处理器应维护管理,物理和技术保障,以保护个人数据的安全性,机密性和完整性。

1.子处理器可以共同签署根据本决定在数据导出者和数据导入者之间订立的合同,可以满足这一要求。

需要更多信息,请与我们联系 隐私@mclarenint.com.