Loading…
本数据处理附录("DPA")由 RegulatoryBridge Global Ltd.("处理方"或"RegulatoryBridge")与接受服务条款或签署订购单的客户("控制方"或"客户")之间订立。
本 DPA 适用于 RegulatoryBridge 就服务代表客户处理个人数据的行为。客户为控制方(或在适用情况下,为代表其自身客户控制方行事的处理方)。RegulatoryBridge 为处理方(或在适用情况下,为次级处理方)。当双方为共同目的处理个人数据时,双方将根据 GDPR 第 26 条签署单独的共同控制方安排。
"适用数据保护法"是指 GDPR;UK GDPR + 2018 年《数据保护法》;加利福尼亚州 CCPA/CPRA;巴西 LGPD;印度 DPDPA;新加坡 PDPA;日本 APPI;瑞士 FADP;以及适用于本 DPA 项下处理的任何其他隐私法律。
使用但未在此定义的大写术语,具有服务条款或适用数据保护法(以适用于该特定术语者为准)中规定的含义。
处理的主题、性质、目的、期限、数据主体类别以及个人数据类别载于附件 A。
RegulatoryBridge 将仅根据客户的书面指示处理个人数据,如 (a) 订购单、(b) 本 DPA 以及 (c) RegulatoryBridge 接受的任何其他书面指示中所规定。如果我们认为某项指示违反适用数据保护法,我们将通知客户,并可在客户作出决定之前暂停处理。
所有有权访问个人数据的 RegulatoryBridge 人员和承包商均受书面保密义务约束,或负有适当的法定保密义务,并定期接受数据保护和安全培训。
我们将实施并维护适当的技术和组织措施,以确保与风险相适应的安全级别,同时考虑到现有技术水平、实施成本以及处理的性质、范围、背景和目的。当前措施在附件 B中描述,并与 ISO/IEC 27001:2022 和 SOC 2 Type II 控制族保持一致。
考虑到处理的性质,RegulatoryBridge 将通过适当的技术和组织措施提供合理协助,使客户能够履行其响应数据主体行使权利请求的义务。如果数据主体就与客户数据相关的请求直接联系 RegulatoryBridge,我们将及时将该请求转发给客户。
RegulatoryBridge 将在不无故拖延的情况下——并在任何情况下于获知后 48 小时内——就任何影响客户个人数据的个人数据泄露通知客户。在当时已知的范围内,通知将包含 GDPR 第 33(3) 条(或其他适用数据保护法中的等同条款)规定的信息。我们将向客户提供合理协助,以履行其向监管机构和数据主体作出通知的义务。
当个人数据从 EEA / 英国 / 瑞士传输至未受益于充分性决定的第三国时,双方通过引用纳入欧盟标准合同条款(委员会实施决定 (EU) 2021/914),视适用情况采用模块 2(控制方 → 处理方)或模块 3(处理方 → 处理方),并就英国传输纳入英国国际数据传输附录,就瑞士传输纳入瑞士 FDPIC 认可的调整条款。
对于来自印度(DPDPA)、巴西(LGPD)、日本(APPI)和新加坡(PDPA)的传输,双方将依赖相关法律所认可的机制(同意、充分性、合同保障),以及可应要求提供的特定国家附录。
RegulatoryBridge 将向客户提供为证明遵守本 DPA 而合理必要的所有信息,并允许并协助客户或客户委托的审计员进行审计,包括检查。为尽量减少重复和运营中断:
由客户选择,在服务终止时,RegulatoryBridge 将在 90 天内向客户返还所有个人数据或将其删除(包括从备份中删除),除非适用数据保护法要求保留。客户可在订阅期内使用文档中描述的标准导出工具导出客户内容。
各方在本 DPA 项下的责任受服务条款中规定的责任限制约束,但适用数据保护法要求不设上限者除外。
本 DPA 自上述生效日期起生效,并在 RegulatoryBridge 代表客户处理个人数据期间持续有效。按其性质应在终止后继续有效的条款(安全、保密、审计、对终止前事件的违规通知)将继续有效。
本 DPA 受 Ireland 法律管辖,但不影响数据主体惯常居住地的强制性法律。争议根据服务条款解决。
主题:提供订购单中描述的服务,包括监管代理、DPO 服务、违规响应以及相关软件。
期限:订阅期加上本 DPA 第 12 节规定的保留期。
处理的性质与目的:存储、访问、组织、构建、传输以及以其他方式处理个人数据,以提供服务。
数据主体类别:客户的最终用户、员工、承包商、潜在客户、供应商,以及个人数据包含在客户内容中的任何其他自然人。
个人数据类别:联系标识符(姓名、工作电子邮件、职务);行为数据(与服务的交互);合规工件(DSAR 记录、违规事件、同意记录);客户上传的内容(视客户配置而定,可能包含其他类别)。
特殊类别数据:通常没有。如果客户选择上传特殊类别或敏感个人数据,客户负责确保符合 GDPR 第 9 条或等同条款规定的适当合法条件。
处理频率:在订阅期内持续进行。
经授权的次级处理方的当前列表在 /sub-processors 发布并维护。订购单接受时的列表通过引用纳入本文。更新按照第 7 节的规定进行告知。
src/lib/legal-entity.ts。