跳过内容

供应商数据处理术语

  1. 定义和解释
    • 以下条款应具有以下含义:

公司:意味着追逐塑Yabovip1988料有限公司。

公司数据:是指通过公司或代表公司向供应商披露的个人数据“透露”包括直接或间接地给供应商,或安排供应商以任何方式和任何形式或格式访问个人数据,包括指示供应商直接从数据主题中收集个人数据(或任何人提供的数据主题)。个人数据的类别在时间表中更特别描述。

控制器:在数据保护立法中具有该术语的含义。

数据保护立法:是指英国的GDPR和任何国家实施法律,法规和次要立法,与个人数据的处理以及电子通信的处理以及不时修订,更换或更新的电子通信的隐私。

数据主题:是指是公司数据的主题的个人。数据主体的类别在时间表中更特别描述。

GDPR:指2016/679的一般数据保护法规。

主要协议:是指公司与供应商之间购买商品和/或服务的任何合同。

处理器:在数据保护立法中具有该术语的含义。

监督权:是指数据保护立法下的任何相关监督权。

供应商:是指根据主要协议从公司收到采购订单的任何个人,公司,合伙公司,公司或组织或任何其他承诺。

1.2对特定法律的提法是指它,因为它暂时考虑了任何修正,扩展,应用或重新制定,并包括暂时生效的任何下属立法。

1.3单数中的单词包括复数和复数中的单词包括单数。

1.4任何引用派对应参考公司和供应商和派对应相应地解释。

1.5术语引入的任何短语,包括,特别是或任何类似表达式,都应解释为说明性,并且不得限制前面或遵循这些术语的单词的意义。

2.初步信息

2.1公司和供应商承认,就数据保护立法而言,公司是控制器,供应商是任何公司数据的处理器。

2.2GDPR要求在控制器和处理器之间签订书面协议,以允许处理器代表控制器处理个人数据。因此,双方已同意根据这些数据处理条款签订对主要协议的补充协议(这处理协议)。为了避免疑问,该处理协议已明确纳入主要协议中。

2.3该处理协议的时间表阐明了供应商处理的范围,性质和目的,处理的持续时间以及公司数据的类型和类别数据主题

2.4双方将遵守数据保护立法的所有适用要求。本第2.4条是根据数据保护立法的当事方义务的补充,也不解除,删除或替换。

3.供应商的义务

3.1供应商应根据公司的明确书面说明处理公司数据。

3.2如果供应商认为公司的任何指示都违反了数据保护立法,则应立即通知公司,并提供合理的详细信息。

3.3根据其数据保护立法的义务,供应商应采取适当的技术和组织措施,以防止未经授权或非法处理公司数据,以及对公司数据的意外损失或破坏或损害的意外损失或损害,以确保遵守数据保护立法。For the avoidance of doubt, said measures shall include, at a minimum and where appropriate, pseudonymising and encrypting the Company Data, ensuring confidentiality, integrity, availability and resilience of the Supplier’s systems and services, ensuring that availability of and access to the Company Data can be restored in a timely manner after an incident, and regularly assessing and evaluating the effectiveness of the technical and organisational measures adopted by the Supplier.

3.4供应商应:

(a)根据数据保护立法在本处理协议下对个人数据处理的义务;

(b)保留必要的记录和信息,以证明符合供应商和公司在本处理协议下处理的数据保护立法(尽可能及时),并迅速将其提供给根据要求

(c)允许公司,公司任命的任何审计师或监管机构都可以访问供应商的房屋,人员和记录,恕不另行通知,以验证核实遵守数据保护立法的要求及其要求该处理协议;

(d)立即采取公司要求采取的步骤,以确保上面第3.3条所实施的措施足以确保公司遵守数据保护立法;和

(e)通常协助公司确保根据该处理协议根据公司数据处理的数据保护立法遵守公司的义务。

3.5供应商应迅速遵守公司的任何请求,要求供应商返回,更新或以其他方式修改,转让,删除或破坏公司数据。

3.6供应商不得在欧洲经济领域以外的任何公司数据转移,除非和按照公司书面书面的明确指示或协议。如果供应商已通过公司明确的书面指示将公司数据转移到欧洲经济领域以外的任何数据,则公司可能会要求供应商在任何时候随时将公司数据转移回欧洲经济区域内部。法律的变化使公司数据在正在处理的欧洲经济区以外的管辖区进行处理是违法的。

3.7如果供应商收到直接或间接与公司数据处理或任何一方遵守数据保护立法有关的任何投诉,通知或通讯,它将立即通知公司并为公司提供全面的合作和援助。

3.8供应商同意立即协助公司回应公司或供应商收到的任何数据主题的任何请求。

3.9供应商将确保对公司数据的访问仅限于:

(a)需要访问公司数据以履行供应商根据本处理协议的义务的供应商及其公司批准的子处理器的人员(供应商人员);和

(b)对于任何供应商人员的任何访问权,即严格来说是履行该供应商人员职责所必需的公司数据的部分或部分数据。

3.10供应商将确保所有供应商人员:

(a)受公司数据的适当保密义务的约束;

(b)已经在与个人数据处理有关的法律方面进行了培训;和

(c)经过了适当的审查和其他适当的安全检查,以确保其可靠性。

3.11尽管本处理协议有其他任何规定,供应商不得未经公司的事先书面同意:

(a)与公司数据处理有关的任何义务,或以其他方式代表任何第三方处理公司数据(除非在特定的第三方批准了此目的的范围内,以书面形式批准公司并受到与第三方处理器签订书面协议的供应商的约束,该协议包含了与本处理协议中规定的条款基本相似的条款。或者

(b)根据本处理协议分配或以其他方式转让其权利和义务。

3.12供应商应立即以书面形式通知公司:

(a)根据3.3至3.6至3.6和3.9至3.10的任何违反或怀疑违反任何供应商的义务;和

(b)任何其他未经授权或非法处理的公司数据;和

(c)对任何公司数据的任何其他损失或破坏或损害;和

(c)上述第3.12条所述的通知应包含公司在数据保护立法下履行其责任所要求的所有此类信息,以涉及此类违约或涉嫌违规。

3.13根据第3.12条所述的通知,供应商应及时以供应商的唯一费用和费用:

(a)为公司提供与调查此类违规或涉嫌违规有关的所有此类信息和合作;和

(b)采取该公司要求采取的步骤来减轻任何此类违规或怀疑违规的不利影响。

3.14供应商应赔偿并使公司无害,以违反供应商未能履行本处理协议下供应商的任何义务以及上述失败的后果。

4.修正案

4.1该处理协议的任何提议的修正案均应在双方以书面形式真诚地达成一致。

4.2第4.1条的规定应不限于申请,是否需要修改以遵守数据保护立法,适用法律或公司规定的任何要求。

5.其他

5.1任何一方在行使法律或本处理协议下提供的任何权利,权力或补救措施的失败,延误或遗漏均不得作为放弃该权利,权力或补救措施的行使,也不应排除或限制任何以后的行使任何其他权利或补救措施。法律或根据本处理协议提供的任何权利,权力或补救措施的任何权利,权力或补救措施均不得避免任何其他行动或行使任何​​其他权利,权力或补救措施。

5.2如果发生任何冲突,则本处理协议的条款应在主要协议的条款上占上风。

5.3该处理协议以及与之有关的任何争议或索赔,其主题或编队(包括非合同纠纷或索赔)应受到英格兰和威尔士法律的管辖,并根据英格兰法律管辖。

5.4双方不可撤销地同意,英格兰和威尔士的法院应具有独家管辖权,以解决因本处理协议,其主题或编队(包括非合同纠纷或索赔)而引起的任何争议或索赔,或与之相关的任何争议或索赔

时间表 - 处理,公司数据和数据主体

A1。供应商处理

A1.1处理的范围,性质和目的

根据主要协议,供应商向公司提供商品和/或服务所需的处理活动的范围,性质和目的。

A1.2处理持续时间

处理的持续时间对应于主要协议的持续时间。

A2。公司数据类型

  • 身份数据包括名字,姓氏,用户名或类似标识符。
  • 联系数据包括计费地址,送货地址,电子邮件地址和电话号码。
  • 财务数据包括银行帐户和付款卡详细信息。
  • 交易数据包括有关数据主题付款的详细信息。
  • 技术数据包括Internet协议(IP)地址,数据主体的登录数据,浏览器类型和版本,时区设置和位置,浏览器插件类型和版本,操作系统和平台。
  • 配置文件数据包括数据主体的用户名和密码,或数据主题要求的订单。
  • 使用数据包括有关数据主体如何使用供应商网站的信息。
  • 通信数据包括数据主体的通信偏好。

A3。数据主体类别

  • 该公司的员工(包括临时或休闲工人)。
  • 该公司的集团公司员工(包括临时或临时工)。
  • 公司的客户和潜在客户。
  • 公司的业务合作伙伴。
  • 公司的供应商(供应商除外)和分包商。
  • 公司的代理商。
  • 公司在公司处理的文件中确定的个人为其提供商品。