数据处理附录
本数据处理附录(“DPA”)修正和形成主订购协议或管理Absolute向客户提供产品和服务的Absolute和客户之间的其他协议(“协议”)的部分。在本DPA的条款与协议的条款有冲突时,以本DPA的条款为准。
1. 定义. 在本DPA中使用但是没有定义的大写的术语有在协议中给予其的意思。
1.1. “商业”、“商业目的”、“收集(动词)”、“被收集的”、“收集(名词)”、“消费者”、“已去识别化的信息”、“个人信息”、“销售(名词)”、“销售(动名词)”和“服务提供商”有在CCPA中给予它们的意思;“销售(动词)” 将被相应解释;
1.2. “控制者”、“数据主体”、“个人数据”、“处理(动名词)”、“处理者”和“主管机构”有在GDPR中给予它们的意思,“处理”, “处理(第三人称单数形式动词)” 和 “被处理的” 将被相应解释;
1.3. “客户个人数据” 指构成Absolute作为服务提供商和处理者(按照适用的情况)代表客户提供产品和服务收集与处理的个人信息或个人数据的任何客户数据,在 本DPA的附件1中有进一步描述;
1.4. “数据保护法律” 指California Consumer Privacy Act, Cal. Civ. Code§ 1798.100等及其实施细则(“CCPA”)、 General Data Protection Regulation (EU) 2016/679(“GDPR”)、 e-Privacy Directive 2002/58/EC (如被Directive 2009/136/EC所修正的)、)及其在欧洲经济区(“EEA”)各国的实施细则、Swiss Federal Data Protection Act、UK General Data Protection Regulation和UK Data Protection Act 2018,每个根据适用的情况,并且可能不时被修正和替代;
1.5. “数据主体权利” 指对信息的消费者的或数据主体的权利,访问、修正、删除、抹去、限制、可移植性、反对、退出销售,不为行使某些权利被歧视,不受自动的个人决策,根据数据保护法律并且每个权利的程度为数据保护法律所要求的;
1.6. “欧洲” 指EEA和瑞士;
1.7. “国际数据传输” 指从欧洲或英国到欧洲或英国以外的国家的客户个人数据的任何传输;
1.8. “个人数据违反” 指导致Absolute或其子处理者传输、存储或处理的客户个人数据的意外或非法毁坏、丢失、更改、未经授权的披露或访问的Absolute的安全的任何违反;
1.9. “子处理者” 指Absolute聘用的处理客户个人数据的处理者;以及
1.10. “标准合同条款” 指按照适用情况并且可能被不时修正和替代的为根据欧洲议会和理事会的Regulation (EU) 2016/679(OJ L 199, 7.6.2021, 31-61页)向第三国的个人数据传输附到关于标准合同条款的2021年6月4日EU Commission Decision 2021/914的条款。
2. 当事人的角色和处理范围
2.1. 范围. 本DPA及里面的每条规定和义务适用的程度是Absolute作为服务提供商或处理者(按照适用的情况)处理客户个人数据。
2.2. 当事人的角色. 客户是一家公司或控制者,指定Absolute作为服务提供商代表客户。每个当事人将根据适用的数据保护法律收集、保留、使用、披露和处理在产品和服务下或与之相关的客户个人数据。
2.3. 客户责任. 客户负责符合适用要求以向数据主体提供将Absolute用作处理者的通知。处理的标的、性质和目的、客户个人数据的类型和数据主体的类别在附件1中陈述。
2.4. Absolute责任. Absolute将根据客户的记录的合法说明处理客户个人数据以提供产品和服务,该说明被认为为以下目的给出:(1)根据本DPA、协议和任何适用的工作说明书处理;(2)授权用户在其对于产品和服务的使用中发起的处理;以及(3)处理以符合客户提供的其他记录的合理说明(例如通过电子邮件),该说明与本DPA、协议以及任何适用的工作说明书的条款一致。除非被适用法律禁止,如果Absolute意识到或认为客户的说明违反数据保护法律,Absolute将通知客户。例如,如果Absolute从执法机关那里收到传票或法院指令,它将通知客户该请求,除非是法律上被禁止这么做。
2.5. 配合客户请求. Absolute将考虑处理的性质和对于Absolute可用的信息,合理协助客户 (a) 回应请求以行使数据主体权利; (b) 进行数据保护影响评估并事先咨询主管机构;并且 (c) 当被法律要求时通知个人数据违反的受影响的数据主体。客户将负责Absolute的协助产生的任何合理的费用。
3. 安全和审计
3.1. 安全措施. Absolute将执行技术和组织措施,适合于风险,以保护客户个人数据免于未经授权的访问、毁坏、使用、修改或披露,如在附件2中所附的Absolute安全标准中所述的。Absolute可能不时修改Absolute安全标准,但是将继续提供至少Absolute安全标准中所描述的安全级别。Absolute将确保被授权处理客户个人数据的所有人员都受保密义务的约束。
3.2. 个人数据违反回应. 在意识到个人数据违反后,Absolute将没有不适当的延迟地通知客户,Absolute将做出商业合理的努力以找出个人数据违反的原因并采取其认为必需和合理的步骤以纠正个人数据违反的原因,程度为纠正在Absolute的合理控制内。 本规定将不适用于客户或客户的用户导致的个人数据违反。
3.3. 审计. 如数据保护法律所要求的,Absolute将向客户提供Absolute的审计报告的总结,包括证明Absolute符合本DPA的义务合理必需的任何信息;假如Absolute可能在该报告中编写任何保密或商业敏感的信息。
4. 子处理者
4.1. 授权的子处理. 客户确认和同意,Absolute可以聘用子处理者。Absolute当前子处理者的清单在www.absolute.com/company/legal/absolute-sub-processors可用。Absolute将与子处理者签订书面协议,对子处理者施加实质上与根据本DPA对Absolute施加的相同的义务。
4.2. 子处理者的改变. 客户确认和同意,Absolute将通过更新在4.1节中提到的子处理者的清单通知客户子处理者的预期增加或替换。客户可以在Absolute更新子处理者清单后三十(30)天内反对子处理者的增加或替换。如果客户的反对基于关于对于数据保护法律的潜在或实际违反的合理根据,那么客户和Absolute将真诚合作解决客户的反对。
5. 数据传输
5.1. 国际数据传输. 客户同意,Absolute可以进行国际数据传输: (a) 到被欧盟委员会或英国政府认为适当的任何国家,根据适用的情况,包括加拿大;(b) 基于根据数据保护法律的适当保护;或 (c) 依照在5.2节或5.3节中提到的标准合同条款。如果Absolute对于适用于国际数据传输的数据保护法律的符合受其控制之外的情况的影响,包括如果国际数据传输的法律契约被作废、修正或替换,那么客户和Absolute将真诚合作以合理解决该不符合。
5.2. 从欧洲的数据传输. 通过签署本DPA,客户和Absolute同意标准合同条款的第二单元的条款,通过引用将其包含在本DPA内。当事人在此同意,在标准合同条款适用的情况下,它们应被如下完成: (a) 保留可选的第7条;(b) 在第9条中,取消选项1,保留选项2; (c) 在第11条中,取消可选语言; (d) 在第17和18条中,管辖法律和有资格的法院是爱尔兰的;以及 (e) 标准合同条款的附件1和2各自是本DPA的附件1和2。如果Absolute将客户个人数据从欧洲传输到在向客户提供产品时不提供欧盟委员会确定的适当水平的保护的国家,那么标准合同条款将适用。
5.3. 从英国的数据传输. 通过签署本DPA。客户和Absolute同意标准合同条款的第二单元和标准合同条款的国际数据传输附录的第2部分(强制性条款)的条款,该附录在https://ico.org.uk/media/for-organisations/documents/4019483/international-data-transfer-addendum.pdf 可用(“英国附录”),通过引用将其包含在此。如果Absolute将客户个人数据从英国传输到不提供英国确定的适当保护水平的国家,英国附录将使用。
6. California Consumer Privacy Act
6.1. 约因. Absolute确认,客户和Absolute之间的客户个人数据的交换不构成关于协议或本DPA的客户和Absolute交换的任何金钱或有价约因的部分。
6.2. 客户个人数据的使用. 除非另外被适用法律允许,Absolute将不:(a) 为非是履行协议中注明的服务和提供协议中注明的产品的任何目的保留、使用或披露客户个人数据;以及 (b) 销售客户个人数据。尽管在协议或本DPA中可能有相反的内容,本DPA的条款将不适用于被数据保护法律排除的Absolute对于客户个人数据的处理,包括根据Cal Civ. Code § 1798.145(a)。
7. 客户个人数据的终止、返还或删除
7.1. 在协议终止后,本DPA也被终止。客户可以使用为适用产品的客户账户中可访问的特色或功能获得客户个人数据的返还,或者如果该特色或功能不可用,客户可以请求返还客户个人数据,时间最长为协议终止后九十(90)天。除非被适用法律要求或允许,Absolute将在协议终止后删除或匿名化客户个人数据的剩余副本。
8. 责任的限制
8.1. 本DPA,包括标准合同条款产生或相关的每个当事人的责任,如果适用,无论是在合同中,侵权行为中,还是在任何其他责任理论下,受协议的责任限制节的制约。
9. 无效性和可分割性
9.1. 如果法院或有适当管辖权的管理机构发现本DPA的任何规定无效或不可执行,那么该规定的无效性或不可执行性不影响本DPA的其他规定,不被该无效性或不可执行性影响的所有规定将保持完全效力。
附件1
- 当事人清单(第二单元;传输控制者和处理者)
数据输出者:客户
客户,作为控制者,可以选择关于适用订货单中说明的产品和服务的接收向Absolute传输数据。客户的名称、联系信息和签名在适用订货单或客户为产品和服务的账户中列出。
数据引入者:Absolute
Absolute,作为处理者,关于提供在适用订货单中说明的产品和服务处理从客户那里收到的数据。
地址:Suite 1400, Four Bentall Centre, 1055 Dunsmuir Street, Vancouver, B.C. Canada, V7X 1K8
- 传输的描述(第二单元:传输控制者和处理者)
关于产品和服务其个人数据被传输的数据主体的类别:
| # | 类别 |
| 1 | 终点设备的客户的用户 |
| 2 | 负责通过托管服务维护客户账户的客户的管理人员 |
关于Absolute服务传输的个人数据的类别:
| # | 类别 |
| 1 | 按照适用的情况,终点设备信息,包括电脑品牌和型号、电脑序列号、系统bios版本、电脑名称、OS信息、HDD序列号、HDD型号、HDD固件修正、电池设备ID、电脑UUID、网关字符串、RAM序列号、MAC地址、NIC适配器名称、IP地址、设备位置和设备使用信息。 |
| 托管服务账户信息,包括名称、联系信息和登录凭据。 |
关于产品和服务传输的敏感信息的类别:
| # | 类别 |
| 1 | 无。 |
处理的频率和性质:
数据是持续传输的。传输的个人数据将受到以下处理操作。
- 提供产品和服务,包括为产品和服务存储数据;
- 解决技术和管理问题,开账单和发票,以及符合其自身法定义务的其他;以及
- 优化和改进产品和服务以及DPA中描述的其他商业目的。
数据传输和进一步处理的目的
数据传输的目的是提供产品和服务。
保留期.
根据适用服务,不同的数据保留期适用。当确定具体的保留期时,Absolute考虑不同的因素,比如向客户提供的服务的类型、我们与客户的关系的性质和时间长度、法律和限制法令提供的强制保留期。
向(子)处理者的传输
本B节中的上述描述适用于向子处理者传输的数据。
- 有资格的主管机构(第二单元:传输控制者到处理者)
有资格的主管机构由客户定义。
附件2
技术和组织措施,包括确保数据安全的技术和组织措施
| 领域
|
做法 |
| 信息安全的组织 | · Absolute有一个致力于信息安全的团队
· 信息安全计划被Absolute管理团队支持 · Absolute发布一个管理层批准的信息安全政策 |
| 人力资源安全 | · 对人员进行聘用前背景调查
· 进行定期的信息安全培训 |
| 物理和环境安全 | · 只有授权用户被允许物理访问客户数据处理中心
· 使用有物理和环境控制的数据中心和托管提供商 |
| 通信和运作管理 | · 加密传输中和休息中的客户数据
· 执行网络保护,包括防火墙、VPN、IDS和可能时的IPS |
| 访问控制 | · 对网络和系统的最小主要访问
· 远程访问需要MFA |
| 信息安全事件管理 | · 执行正式化的安全和隐私事件回应计划 |
| 安全操作 | · 年度渗透控制
· 持续的脆弱性管理 · 检测和防止恶意软件的控制 · 生成和监控事件日志信息 |
| 商业持续性管理 | · 维持BCP和DR计划以支持持续的运营
· 至少每年一次的检测计划 |
| 第三方供应商管理 | · 维持一个第三方供应商计划以审查、评估和监控第三方供应商的安全和隐私控制 |
| 系统开发 | · 向开发者提供安全的编码培训
· 作为SDLC的部分执行安全检测 · 隔离的开发、检测和生产环境 |