SCC

标准合同条款

 

最后更新日期:2021 年 6 月 11 日

标准合同条款(处理者)

根据指令 95/46/EC 第 26(2) 条的目的,将个人数据传输给在第三国建立的处理者,这些处理者不能确保足够的数据保护水平

数据控制器定义在 数据处理协议 (这 ”数据导出器”),

(a) Zentrio LLC 在 DBA Zentrio 下工作,其地址为 6547 N Academy Blvd #1321 Colorado Springs, CO 80918 United States,如果数据出口商根据 数据处理协议;

(上述相关的 Zentrio LLC 实体被称为“数据导入器”),

每个人都是一个“派对”;一起“各方”,

已就以下合同条款(“条款”)达成一致,以便在数据出口方向数据进口方传输第 1 条规定的个人数据时,就保护个人的隐私和基本权利和自由提出充分的保障措施附录1。

 

第 1 条

定义

就条款而言:

(a) “个人数据”、“特殊数据类别”、“处理/处理”、“控制者”、“处理者”、“数据主体”和“监管机构”的含义与指令 95/46/欧洲议会和理事会 1995 年 10 月 24 日关于在个人数据处理和此类数据自由移动方面保护个人的 EC;

(b) “数据输出者”是指传输个人数据的控制者;

(c) “数据进口方”是指同意从数据出口方接收个人数据的处理方,根据其指示和条款在转移后代表其处理,并且不受第三国的确保 95/46/EC 指令第 25(1)条含义内的充分保护的系统;

(d) “分处理者”是指由数据导入方或数据导入方的任何其他分处理方聘用的、同意仅从数据导入方或数据导入方的任何其他分处理方接收个人数据的任何处理方旨在根据数据出口方的指示、条款的条款和书面分包合同的条款在转移后代表数据出口方进行的处理活动;

(e) “适用的数据保护法”是指保护个人基本权利和自由的立法,特别是他们在处理个人数据方面的隐私权,适用于成员国的数据控制者数据导出器成立;

(f) “技术和组织安全措施”是指旨在保护个人数据免遭意外或非法破坏或意外丢失、更改、未经授权的披露或访问的措施,特别是在处理涉及通过网络传输数据的情况下,以及所有其他非法形式的处理。

第 2 条

转让详情

传输的细节,特别是适用的个人数据的特殊类别,在附录 1 中指定,附录 1 构成了条款的组成部分。

第 3 条

第三方受益人条款

  1. 数据主体可以对数据导出者执行本条、第 4(b) 至 (i) 条、第 5(a) 至 (e) 条和 (g) 至 (j)、第 6(1) 和 (2) 条、第 7 条、第 8(2) 条和第 9 至 12 条作为第三方受益人。
  1. 数据主体可以对数据导入者执行本条、第 5(a) 至 (e) 和 (g) 条、第 6 条、第 7 条、第 8(2) 条和第 9 条至第 12 条,如果数据导出方已经事实上消失或在法律上不复存在,除非任何继承实体通过合同或法律运作承担了数据出口方的全部法律义务,从而承担了数据出口方的权利和义务,在这种情况下,数据主体可以针对此类实体强制执行这些操作。
  1. 在以下情况下,数据主体可以对分处理方执行本条、第 5(a) 至 (e) 和 (g) 条、第 6 条、第 7 条、第 8(2) 条和第 9 条至第 12 条数据出口方和数据进口方在法律上事实上消失或不复存在或破产,除非任何继承实体通过合同或法律实施承担了数据出口方的全部法律义务,从而承担了数据出口方的全部法律义务。数据出口方的权利和义务,在这种情况下,数据主体可以针对此类实体强制执行这些权利和义务。分处理方的此类第三方责任仅限于其根据条款进行的处理操作。
  1. 如果数据主体明确希望并且在国家法律允许的情况下,各方不反对由协会或其他机构代表的数据主体。

 

第 4 条

数据导出者的义务

数据输出方同意并保证:

(a) 个人数据的处理,包括传输本身,已经并将继续根据适用的数据保护法的相关规定进行(并且,在适用的情况下,已通知有关当局数据出口方所在成员国的)并且不违反该国的相关规定;

(b) 它已指示并且在个人数据处理服务的整个持续时间内将指示数据导入者仅代表数据导出者并根据适用的数据保护法和条款处理传输的个人数据;

(c) 数据导入方将对本合同附录 2 中规定的技术和组织安全措施提供足够的保证;

(d) 在评估适用数据保护法的要求后,安全措施适用于保护个人数据免遭意外或非法破坏或意外丢失、更改、未经授权的披露或访问,特别是在处理涉及传输网络上的数据,并防止所有其他非法形式的处理,并且这些措施确保了与处理所带来的风险和要保护的数据的性质相适应的安全级别,同时考虑到最先进的技术和实施成本;

(e) 它将确保遵守安全措施;

(f) 如果传输涉及特殊类别的数据,则在传输之前或之后尽快通知数据主体其数据可能被传输到未提供足够保护的第三国指令 95/46/EC 的含义;

(g) 如果数据出口方决定继续传输或解除暂停,则将根据第 5(b) 条和第 8(3) 条从数据导入方或任何分处理方收到的任何通知转发给数据保护监管机构;

(h) 应要求向数据主体提供条款副本(附录 2 除外)和安全措施的摘要说明,以及任何子处理服务合同的副本根据条款作出,除非条款或合同包含商业信息,在这种情况下,它可能会删除这些商业信息;

(i) 在分处理的情况下,处理活动是根据第 11 条由分处理方进行的,该分处理方为个人数据和数据主体的权利提供至少与数据相同级别的保护条款项下的进口商;和

(j) 它将确保遵守第 4(a) 至 (i) 条。

 

第 5 条

数据导入者的义务

数据导入方同意并保证:

(a) 仅代表数据输出方并按照其指示和条款处理个人数据;如果由于任何原因无法提供此类合规性,则其同意立即通知数据出口方其无法遵守,在这种情况下,数据出口方有权暂停数据传输和/或终止合同;

(b) 它没有理由相信适用于它的立法阻止它履行从数据出口者那里收到的指示及其在合同下的义务,并且如果该立法发生变化,可能会导致对本条款规定的保证和义务产生重大不利影响的,将在知悉后及时通知数据出口方,在这种情况下,数据出口方有权暂停数据传输和/或终止合同;

(c) 在处理传输的个人数据之前,它已经实施了附录 2 中规定的技术和组织安全措施;

(d) 它将立即通知数据出口方:

(i) 执法机关要求披露个人数据的任何具有法律约束力的请求,除非另有禁止,例如刑法禁止保护执法调查的机密性;

(ii) 任何意外或未经授权的访问;和

(iii) 直接从数据主体收到的任何请求,但未对该请求作出回应,除非另有授权;

(e) 迅速、妥善地处理数据输出方关于其处理受传输个人数据的所有询问,并遵守监管机构关于处理传输数据的建议;

(f) 应数据出口商的要求,提交其数据处理设施,以对条款所涵盖的处理活动进行审计,这些活动应由数据出口商或由独立成员组成的检查机构进行,并拥有所需的受保密义务约束的专业资格,由数据输出者选择,如适用,经监管机构同意;

(g) 根据要求向数据主体提供条款或任何现有的子处理合同的副本,除非条款或合同包含商业信息,在这种情况下,它可以删除此类商业信息,但以下情况除外在数据主体无法从数据导出者处获得副本的情况下,附录 2 应由安全措施的简要说明代替;

(h) 在分处理的情况下,它已事先通知数据导出者并获得其事先书面同意;

(i) 分处理方的处理服务将按照第 11 条进行;

(j) 立即将其根据条款达成的任何分处理方协议的副本发送给数据导出方。

 

第 6 条

责任

  1. 双方同意,因任何一方或分处理方违反第 3 条或第 11 条所述义务而遭受损害的任何数据主体均有权就所遭受的损害从数据出口方获得赔偿.
  1. 如果数据主体无法根据第 1 段向数据出口方提出赔偿要求,原因是数据进口方或其分处理方违反了第 3 条或第 3 条中提及的任何义务11、由于数据出口方已在法律上实际消失或不复存在或资不抵债,数据进口方同意数据主体可以像数据出口方一样向数据进口方提出索赔,除非任何继任实体已经承担数据出口方通过合同或法律实施的全部法律义务,在这种情况下,数据主体可以对此类实体执行其权利。数据进口方不得依赖分处理方违反其义务来避免自己的责任。
  1. 如果数据主体因次处理方违反第 3 条或第 2 条中提及的任何义务而无法向第 1 段和第 2 段中提及的数据出口方或数据进口方提出索赔11 由于数据输出方和数据输入方均已事实上消失或在法律上不复存在或已资不抵债,分处理方同意数据主体可以就其自身的处理操作向数据分处理方提出索赔根据条款,如同数据出口方或数据进口方一样,除非任何后继实体通过合同或法律运作承担了数据出口方或数据进口方的全部法律义务,在这种情况下,数据主体可以行使其权利反对这样的实体。子处理者的责任仅限于其在条款下的处理操作。

 

第 7 条

调解和管辖权

  1. 数据导入方同意,如果数据主体根据本条款援引第三方受益权和/或要求损害赔偿,数据导入方将接受数据主体的决定;

(a) 将争议提交调解,由独立人士或,如适用,由监管机构;

(b) 将争议提交数据出口商所在成员国的法院。

  1. 双方同意,数据主体所作的选择不会损害其根据国内法或国际法其他规定寻求救济的实体或程序权利。

 

第 8 条

与监管机构的合作

  1. 如果监管机构提出要求或适用的数据保护法要求此类存款,则数据出口方同意将本合同的副本存入监管机构。
  1. 双方同意,监管机构有权对数据输入方和任何子处理方进行审计,其范围和条件与适用于数据输出方审计的条件相同。适用的数据保护法。
  1. 数据进口方应立即通知数据出口方是否存在适用于其或任何分处理方的法律,禁止根据第 2 段对数据进口方或任何分处理方进行审计。在这种情况下,数据出口商有权采取第 5(b) 条规定的措施。

 

第 9 条

适用法律

这些条款应受数据出口方所在成员国的法律管辖。

第 10 条

合同变更

双方承诺不更改或修改条款。这并不排除双方在需要时添加有关业务相关问题的条款,只要它们不与条款相抵触。

第 11 条

子加工

  1. 未经数据出口方事先书面同意,数据进口方不得将其根据本条款代表数据出口方执行的任何处理操作分包出去。如果数据输入方将其在本条款项下的义务分包,经数据输出方同意,则只能通过与分处理方的书面协议进行分包,该协议对分处理方施加的义务与对分处理方施加的义务相同。条款下的数据进口商。如果分处理方未能履行该书面协议项下的数据保护义务,则数据进口方应就分处理方履行该协议项下的义务对数据出口方承担全部责任。
  1. 数据导入方与分处理方之间的事先书面合同还应规定第 3 条规定的第三方受益人条款,以应对数据主体无法提出第 1 款所述的赔偿要求的情况。第 6 条针对数据导出者或数据导入者的行为,因为它们实际上已经消失或在法律上不复存在或已资不抵债,并且没有继承实体通过合同或法律运作承担数据导出者或数据导入者的全部法律义务.分处理方的此类第三方责任仅限于其根据条款进行的处理操作。
  1. 第 1 段中提及的与合同子处理的数据保护方面相关的规定应受数据出口方所在成员国的法律管辖。
  1. 数据出口方应保留一份根据本条款签订并由数据进口方根据第 5(j) 条通知的子处理协议清单,该清单应至少每年更新一次。该清单应提供给数据出口方的数据保护监督机构。

 

第 12 条

个人数据处理服务终止后的义务

  1. 双方同意,在终止提供数据处理服务时,数据输入方和分处理方应根据数据输出方的选择,将所有传输的个人数据及其副本返还给数据输出方,或者销毁所有个人数据,并向数据出口方证明其已这样做,除非对数据进口方施加的法律禁止其返回或销毁全部或部分传输的个人数据。在这种情况下,数据导入方保证将保证传输的个人数据的机密性,并且不再主动处理传输的个人数据。
  1. 数据进口方和分处理方保证,应数据出口方和/或监管机构的要求,将提交其数据处理设施,以对第 1 段中提到的措施进行审计。

 

Zentrio LLC 标准合同条款的附录 1

本附录构成条款的一部分

数据导出器 数据导出者是非 Zentrio LLC 法律实体,它是条款的一方。

数据导入器 数据导入器是:

Zentrio LLC 如果数据导出者根据以下条款将个人数据传输到 Zentrio LLC 数据处理协议;或者

数据主体 传输的个人数据涉及以下类别的数据主体:数据主体包括数据导出方(或在其指示下)通过商业服务将源自 EEA 的数据提供给 Zentrio LLC 的个人。 

数据类别 传输的个人数据涉及以下类别的数据: 与由数据出口商(或在其指示下)通过商业服务提供给 Zentrio LLC 的个人相关的数据,如附表 1 中所述: 数据处理协议.

特殊类别的数据 (如果适用)传输的个人数据涉及以下特殊类别的数据:无

处理操作 Zentrio LLC 将处理个人数据,以便根据并按照 数据处理协议,以及这些条款。

 

Zentrio LLC 标准合同条款的附录 2

本附录构成条款的一部分。

数据导入方根据第 4(c) 和 5(c) 条实施的技术和组织安全措施的说明。数据导入者目前遵守附表 2 中的安全标准 - Zentrio LLC 安全措施 数据处理协议.数据导入方可能会不时更新或修改这些安全标准。