法律

数据处理附录

以下数据处理附录(DPA)由两个部分组成:(I)主要机构;和(II)附表1,2,和3。

在客户按照下面的说明完成本文档后,此文档将成为由签署了适用订单的客户实体和Cheetah数字实体组成的主服务协议的一部分。

如果完成本DPA的客户实体不是签署适用订单形式的客户实体,则该DPA将没有强制或作用,也不会在双方之间绑定。相反,按照下面的说明,签署了适用的订单表格的客户实体应填写此DPA。

填写此DPA的说明:

  1. DPA 已预先代表猎豹数字签名。

  2. 为了使该DPA具有法律约束力,客户必须:(A)使用位于此页面底部的按钮下载预先签名的DPA,(B)在第9页上代表客户签名。作为第12页上的数据导出器的信息,以及(D)代表第19、21和22页上的数据导出器的签名。

  3. 通过电子邮件将完整的文档发送给Cheetah数字 PRIVACY@CHEETAHDIGITAL.COM。

客户应保留其记录的DPA完全执行版本的副本。

 

CHEETAH数字数据处理附录

 

本数据处理附录(“ DPA ”)构成了“猎豹”与“客户”之间就从“猎豹”购买在线服务(包括相关的离线或移动组件)(在“服务”中或在适用协议中以其他方式标识的)总服务协议的一部分,以下简称“ 服务 ”)(“ 协议 ”)以反映双方在处理个人数据方面的协议。

签署协议后,如果Cheetah处理个人数据,并且在此范围内,客户代表其本人,并在适用的数据保护法律和法规要求的范围内,以其授权关联公司的名义并代表其签署本DPA。此类授权会员有资格担任控制人。仅出于本DPA的目的,除非另有说明,否则“客户”一词应包括客户和授权关联公司。本文中未定义的所有大写术语均应具有协议中规定的含义。

在根据协议向客户提供服务的过程中,猎豹可以代表客户处理个人数据,并且各方同意就任何个人数据遵守以下规定,每个规定均合理且真诚地行事。

 

1.定义

 

会员关系 ”是指直接或间接控制主题实体,由其控制或受其共同控制的任何实体。就此定义而言,“控制”是指直接或间接拥有或控制对象实体50%以上的投票权。

授权会员”指(a)受欧盟,欧洲经济区和/或其成员国和/或英国的数据保护法律和法规约束的客户的任何关联公司,并且(b)为允许根据客户与猎豹之间的协议使用服务,但尚未与猎豹签署自己的订单和/或SOW,并且不是协议中定义的“客户”。

猎豹 ”包括在特拉华州注册成立的公司Cheetah Digital,Inc.,在英格兰和威尔士注册的公司Marketing Technology 伙伴 UK Limited,在德国注册的公司Cheetah Digital Germany GmbH,在法国注册的CM Marketing Technology 伙伴 France Sarl。法国以及在日本注册的猎豹数码有限公司(如适用)。

猎豹集团 ”是指从事个人数据处理的猎豹及其附属公司。

控制者 ”是指确定处理个人数据的目的和方式的实体。

客户资料 ”是指协议中定义为“客户数据”的内容。

数据保护法律法规”是指适用于根据协议处理个人数据的所有法律法规,包括欧盟,欧洲经济区及其成员国和英国的法律法规。

数据主体 ”是指与个人数据有关的已识别或可识别的人。

GDPR ”指2016年4月27日欧洲议会和理事会(EU)2016/679条例,关于在处理个人数据和此类数据自由流动方面保护自然人,并废除第95 / 46 / EC(通用数据保护法规)。

个人资料 ”是指与(i)已识别或可识别的自然人以及(ii)已识别或可识别的法人(其中这些信息与适用的《数据保护法律和法规》所保护的个人数据或个人可识别信息类似地受到保护)有关的任何信息,其中对于每个(i)或(ii),此类数据均为客户数据。

处理中 ”是指对个人数据执行的任何操作或一组操作,无论是否通过自动方式进行,例如收集,记录,组织,结构,存储,改编或更改,检索,咨询,使用,通过传输,散布或披露的方式否则会提供,对齐或组合,限制,擦除或破坏。

处理器 ”是指代表控制者处理个人数据的实体。

标准合同条款”是指客户与猎豹之间达成的协议,并根据欧洲委员会2010年2月5日关于标准合同条款的决定(C(2010)593)将其作为附件2附于附表2,以将个人数据转移给在第三国建立的处理者不能确保足够水平的数据保护。

副处理器 ”是指由猎豹或猎豹集团成员聘用的任何处理者。

监督机关”是指欧盟成员国根据GDPR建立的独立公共机构。

 

2.个人数据处理

 

2.1缔约方的作用。双方承认并同意,在处理个人数据方面,客户是控制者,猎豹是处理者,并且猎豹或猎豹集团的成员将根据以下第5节中的要求聘用分处理器。

2.2客户对个人数据的处理。客户在使用服务时,应按照数据保护法律和法规的要求处理个人数据。为避免疑问,客户对个人数据的处理说明应符合数据保护法律和法规。客户不得无故地扣留,延迟或限制其对Cheetah要求对此DPA进行任何更改的协议,以确保服务和Cheetah(以及每个子处理器)可以遵守数据保护法律和法规。客户应对个人数据的准确性,质量和合法性以及客户获取个人数据的方式承担全部责任。

2.3猎豹对个人数据的处理。猎豹应仅出于以下目的代表并根据客户的书面说明处理个人数据:(i)根据协议和适用的订购单和/或SOW进行处理; (ii)授权用户在使用服务时发起的处理; (iii)处理与客户提供的其他书面合理指示(例如通过电子邮件)相一致的情况,前提是这些指示与协议的条款一致; (iv)遵守适用于印度豹的法律。

2.4处理细节。 猎豹处理个人数据的主题是根据协议履行服务。处理的性质和目的,处理的持续时间,根据本DPA处理的数据主体的类别和个人数据的类型在本DPA的附表1中进一步指定。

 

3.数据主体的权利

 

如果Cheetah收到数据主体的请求,应在法律允许的范围内立即通知客户,以行使数据主体的访问权,更正权,处理限制,删除权(“被遗忘权”),数据可移植性,反对该处理程序,或反对该程序不受自动的个人决策约束的权利(“ 数据主体请求”)。考虑到处理的性质,猎豹应在可能的范围内通过适当的技术和组织措施协助客户,以履行客户根据数据保护法律和法规对数据主体请求做出回应的义务。此外,根据客户的要求,Cheetah应在商业上做出合理的努力,以协助客户在法律允许的范围内协助客户响应此类数据主题请求,并且根据《数据保护法》和规定。在法律允许的范围内,客户应对因猎豹提供此类协助而引起的任何费用负责。

 

4.猎豹人

 

4.1机密性。 猎豹应确保其从事个人数据处理的人员被告知个人数据的机密性质,已接受有关其职责的适当培训并签署了书面机密协议。

4.2可靠性。 猎豹应采取商业上合理的措施,以确保从事个人数据处理的任何猎豹人员的可靠性。

4.3访问限制。 猎豹应确保猎豹对个人数据的访问仅限于根据该协议执行服务的人员。

4.4数据保护官。 猎豹集团的成员已任命一名数据保护官。可以通过DPO@cheetahdigital.com与指定人员联系。

 

5.子处理器

 

5.1任命副处理器。客户承认并同意(a)猎豹的关联公司可以保留为子处理器; (b)猎豹和猎豹的关联公司分别可以与提供服务的第三方分包商合作。 猎豹 或Cheetah关联公司已与每个分处理器签订了书面协议,其中包含的数据保护义务在适用于该Sub所提供服务的性质的范围内,在保护客户数据方面的保护能力不低于本协议。 -处理器。

5.2当前子处理器列表和新子处理器通知。附于附表3的是该服务的子处理器的当前列表。根据客户的要求,猎豹应在授权任何新的子处理器处理与提供适用服务有关的个人数据之前,提供新的子处理器的通知。

5.3新子处理器的异议权。 客户可以根据第5.2节在收到猎豹通知后十(10)个工作日内以书面形式立即通知猎豹,以反对猎豹使用新的子处理器。如果客户按照上一句的规定反对新的子处理器,则猎豹将尽合理的努力向客户提供服务变更,或建议对客户的配置或服务进行商业上合理的变更,以避免反对新的子处理器处理个人数据而不会给客户造成不合理的负担。如果Cheetah在合理的时间内(不超过三十(30)天)无法提供此类更改,则客户只能针对以下服务终止适用的订购单和/或SOW:如果不使用针对异议的新分处理器的书面通知,Cheetah将无法提供。对于终止的服务,Cheetah会在终止生效之日后退还客户在该订购单或SOW剩余期限内的所有预付费用,而不会因终止合同而对客户施加罚款。

5.4责任。 除非协议另有规定,否则,如果直接根据本DPA条款提供每个子处理器的服务,则豹豹应对其子处理器的行为和不作为承担同样的责任。

 

6.安全性

 

6.1保护客户数据的控件。猎豹应保持适当的技术和组织措施以保护安全(包括防止未经授权或非法处理以及防止意外或非法销毁,丢失或更改或损坏,未经授权披露或访问客户数据),机密性和完整性客户数据。

6.2第三方认证和审核。 根据客户在合理间隔内的书面请求,并遵守协议中规定的保密义务,Cheetah应向客户提供(如果客户不是Cheetah的竞争对手)Cheetah的最新第三方审核或证明(如适用)。

 

7.客户数据事件管理和通知

猎豹在得知由猎豹或其子处理器传输,存储或以其他方式处理的客户数据(包括个人数据)的意外或非法销毁,丢失,更改,未经授权的披露或访问后,应立即无故延迟通知客户“客户数据事件”)。猎豹应做出合理的努力来确定此类客户数据事件的起因,并采取猎豹认为必要且合理的措施,以便在补救措施处于猎豹合理控制范围内的情况下补救此类客户数据事件的原因。本义务不适用于由客户或客户的授权用户引起的事件。

 

8.返回和删除客户数据

 

猎豹应将客户数据退还给客户,并在适用法律允许的范围内,根据本协议的条款以及猎豹的政策和程序删除客户数据。

 

9.授权会员

 

9.1合同关系。双方确认并同意,通过执行协议,客户代表其本身并(如适用)以其授权关联公司的名义并代表其签署了DPA,从而在猎豹与每个此类授权关联公司之间建立了单独的DPA在遵守本协议以及本第9条和第10条的规定的前提下。每个授权关联公司均同意接受本DPA和本协议(在适用范围内)下的义务约束。为避免疑问,授权关联公司不是且不会成为该协议的当事方,而仅是DPA的当事方。授权会员对服务的所有访问和使用都必须遵守协议的条款和条件,授权会员对协议的条款和条件的任何违反均应视为客户的违反。

9.2通讯。作为本协议的签约方的客户应负责协调根据本DPA与猎豹进行的所有通信,并有权代表其授权关联方进行与本DPA有关的任何通信。

9.3授权会员的权利。除非适用的《数据保护法律和法规》要求被授权关联公司直接直接针对Cheetah行使根据本DPA的权利或寻求任何补救,否则各方同意(i)仅作为协议缔约方的客户应行使任何权利该权利或代表授权关联公司寻求任何此类救济,并且(ii)作为协议的签约方的客户应分别针对每个授权关联公司而不是分别针对每个授权关联公司行使本DPA中的任何此类权利。的授权会员。

 

10.责任范围

 

由本DPA以及授权关联公司和猎豹之间的所有DPA(无论是基于合同,侵权还是其他任何责任理论)或与之相关的各方和其所有关联公司的责任合计协议的“责任限制”部分,以及该部分中对当事方的责任的任何提及,均指该当事方及其所有关联公司在该协议下的总责任以及所有DPA。

为免生疑问,猎豹及其关联公司对客户因本协议和与之相关的所有索赔及其所有授权关联公司和每个DPA的全部赔偿责任,应合计适用于本协议和所有根据本协议建立的DPA,包括由客户和所有授权关联公司建立的DPA,尤其不应理解为分别和个别地应用于客户和/或作为任何此类DPA的合同方的任何授权关联公司。

 

11.欧洲的特殊规定

 

11.1 GDPR 。 从2018年5月25日起,猎豹将根据直接适用于猎豹提供服务的GDPR要求处理个人数据。

11.2数据保护影响评估。 从2018年5月25日起,猎豹应客户的要求为客户提供合理的合作和协助,以履行客户在GDPR下履行与客户使用服务有关的数据保护影响评估的义务否则无权访问相关信息,并且在猎豹可获得的范围内。猎豹应在GDPR要求的范围内,向客户提供合理的协助,以便其与监管机构进行合作或事先咨询,以执行其与本11.2节有关的任务。

11.3数据传输的传输机制。 根据本DPA从欧洲联盟,欧洲经济区和/或其成员国和英国向不确保数据保护法律和法规所定义的适当数据保护水平的国家/地区转移个人数据在上述转让受适用的数据保护法律和法规约束的范围内,上述领土应根据本DPA附表2中列出的标准合同条款进行。

11.4记录,信息和审核。 从2018年5月25日起,猎豹应(i)根据GDPR第30条,保留代表客户进行的所有加工活动的书面记录; (ii)在GDPR第28条所要求的范围内,向客户提供合理必要的信息,以证明猎豹遵守了GDPR规定的处理方的义务,并允许并协助该部门进行审核和检查。为此目的的客户,但前提是客户:

(a)就客户要求进行的此类信息请求,审核和/或检查向猎豹提供合理的事先通知;

(b)确保由客户或其审核员获得或生成的与此类信息请求,检查和审核相关的所有信息均严格保密(保存给监管机构或根据适用法律的其他要求予以披露);

(c)确保在正常的工作时间内进行审核或检查,而对猎豹的业务,分处理商的业务以及猎豹其他客户的业务造成的干扰最小;

(d)向猎豹补偿猎豹为协助提供信息以及允许和促进检查和审计而承担的合理费用;和

(e)在任何十二(12)个月内最多进行一次此类审核或检查。

 

12.本DPA的当事人

 

协议的参与方猎豹实体是本DPA的一方。此外,Cheetah Digital,Inc.是附表2中的标准合同条款的当事方。尽管以下任何其他Cheetah实体已在以下签名,但此类其他Cheetah实体不是本DPA或标准合同条款的当事方。如果Cheetah是与Cheetah Digital,Inc.不同的法人实体,则Cheetah代表Cheetah Digital,Inc.履行附表2所列的数据导入者的义务。

 

13.法律效力

 

该DPA仅在客户执行本DPA后在客户与猎豹之间具有法律约束力。

 

时间表清单

 

附表1:处理细节

附表2:标准合同条款

附表3子处理器列表

双方的授权签字人已正确签署本协议:

 

顾客

 

签名:________________________________

客户法定名称:______________________

列印名称:______________________________

标题:____________________________________

日期:____________________________________

 

CHEETAH DIGITAL,INC。

 

签名:  布伦特·D·莫斯比

布伦特·D·莫斯比,总法律顾问

 

营销技术合作伙伴英国有限公司

 

签名:  布伦特·D·莫斯比

布伦特·D·莫斯比,导演

 

CM市场技术合作伙伴法国SARL

 

签名:  布伦特·D·莫斯比

布伦特·D·莫斯比,董事总经理

 

CHEETAH DIGITAL GERMANY GMBH

 

签名: 布伦特·D·莫斯比

布伦特·D·莫斯比,董事总经理

 

CHEETAH DIGITAL CO,LTD

 

签名: 布伦特·D·莫斯比

布伦特·D·莫斯比,导演

 

附表1 –处理细节

 

加工的性质和目的

 

猎豹将根据协议处理必要的个人数据,以执行服务,并应客户的指示进一步使用其服务。

 

处理时间

 

根据DPA第8条的规定,除非另有书面约定,否则猎豹将在协议期限内处理个人数据。

 

数据主体的类别

 

客户可以向服务提交个人数据,其范围由客户自行决定并控制,并且可能包括但不限于与以下类别的数据主体有关的个人数据:

  • 客户(自然人)的潜在客户,客户,业务合作伙伴和供应商

  • 客户准客户,客户,业务合作伙伴和供应商的员工或联系人

  • 客户(自然人)的员工,代理商,顾问,自由职业者

  • 经客户授权可以使用服务的客户授权用户

 

个人资料类型

 

客户可以向服务提交个人数据,其范围由客户自行决定和控制,并且可能包括但不限于以下类别的个人数据:

  • 名字和姓氏

  • 标题

  • 位置

  • 雇主

  • 联系信息(公司,电子邮件,电话,实际营业地址)

  • 身份证数据

  • 职业生涯数据

  • 个人生活数据

  • 连接数据

  • 本地化数据

 

附表2-标准合同条款标准合同条款(处理方)

 

就指令95/46 / EC第26(2)条的目的而言,有关将个人数据转移到在第三国建立的处理器的要求,这些处理器不能确保足够的数据保护水平。

数据输出组织的名称:

地址:
电话:
传真:

电子邮件:
识别组织所需的其他信息:

................................................... ..........

(数据 出口商 )

数据导入组织的名称:Cheetah Digital,Inc.

地址:伊利诺伊州60603,芝加哥W.亚当斯街72号8楼
电话:+1 866-499-1007;电子邮件:privacy@cheetahdigital.com
识别组织所需的其他信息:不适用

(数据 进口商 )
每个“聚会”;一起“各方”,

已就以下合同条款达成协议,以就保护隐私和个人的基本权利和自由提供充分的保障,以供数据导出者将附录1中指定的个人数据转移给数据导入者。

 

第1条

定义

就本条款而言:

(一种) “个人数据”,“特殊数据类别”,“过程/处理”,“控制器”,“处理器”,“数据主体”和“监督权限”的含义应与1995年10月24日欧洲议会和理事会关于在处理个人数据方面保护个人以及此类数据自由流动的第95/46 / EC号指令中的含义相同;

(b) “数据导出器” 指传输个人数据的控制者;

(C) ' 数据导入器“”是指处理器,同意在数据传输后按照其指示和条款的规定从数据出口商那里接收代表其处理的个人数据,并且不受第三国系统的保护,以确保其含义内的充分保护95/46 / EC指令第25(1)条的规定;

(d) “子处理器” 指由数据导入者或数据导入者的任何其他子处理器雇用的,同意从数据导入者或数据进口者的任何其他子处理器接收的,专门用于处理代表该数据的活动的个人数据的任何处理器出口商按照其指示,条款和书面分包合同的条款转让后;

(e) 《适用的数据保护法》 指保护个人基本权利和自由,尤其是在处理个人数据的隐私权的法律,该个人隐私适用于建立数据出口者的成员国中的数据控制者;

(F) “技术和组织安全措施” 指旨在保护个人数据免遭意外或非法破坏或意外丢失,更改,未经授权的披露或访问的措施,尤其是在处理涉及通过网络传输数据以及所有其他非法处理形式的情况下。

 

第2条

转让详情

附录1中详细说明了传输的详细信息,尤其是个人数据的特殊类别,该附件构成本条款的组成部分。

 

第3条

第三方受益人条款

1.数据主体可以对本条款,第4(b)至(i)条,第5(a)至(e)条以及(g)至(j),第6(1)条和( 2),第7条,第8(2)条和第9至12条作为第三方受益人。

2.在以下情况下,数据主体可以对数据导入者强制执行本条,第5(a)至(e)和(g)条,第6条,第7条,第8(2)条以及第9至12条。数据出口商实际上已经消失或在法律上不复存在,除非任何后续实体通过合同或法律实施承担了数据出口商的全部法律义务,从而承担了数据出口商的权利和义务,在这种情况下,数据主体可以对此类实体强制执行。

3.在以下两种情况下,数据主体都可以对子处理器执行本条,第5(a)至(e)和(g)条,第6条,第7条,第8(2)条和第9至12条。数据出口者和数据进口者实际上已经消失或不再存在于法律中或已破产,除非任何继承实体通过合同或法律执行承担了数据出口者的全部法律义务,从而承担了该义务。数据导出者的权利和义务,在这种情况下,数据主体可以对此类实体强制执行。子处理器的此类第三方责任应仅限于其在本条款下的处理操作。

4.当事人不反对由协会或其他机构代表的数据主体,只要该数据主体明确表示希望并得到本国法律的允许。

 

第4条

数据导出者的义务

数据出口商同意并保证:

(a)已经并且将继续根据适用的数据保护法的有关规定进行个人数据的处理(包括传输本身)(并且在适用的情况下已通知相关当局)数据出口商所在的成员国)并且不违反该国的有关规定;

(b)它已指示并且在整个个人数据处理服务期间将指示数据导入者仅根据数据保护者的法律和条款,代表数据导出者处理传输的个人数据;

(c)数据导入者将就本合同附录2中指定的技术和组织安全措施提供足够的保证;

(d)在评估了适用的数据保护法的要求之后,采取了安全措施以保护个人数据免遭意外或非法破坏或意外丢失,更改,未经授权的披露或访问,尤其是在处理涉及传输网络上的数据,并针对所有其他非法处理方式,并且这些措施应确保安全水平适合于处理所带来的风险以及要考虑到现有技术水平和实施费用;

(e)将确保遵守安全措施;

(f)如果转让涉及特殊类别的数据,则在转让之前或之后尽快通知或通知了有关数据主体,其数据可能会被转移到第三国,而第三国在该国未提供足够的保护指令95/46 / EC的含义;

(g)如果数据出口商决定继续转让或取消中止,则将根据第5(b)条和第8(3)条从数据进口商或任何子处理器收到的任何通知转发给数据保护监管机构。 ;

(h)应要求向数据主体提供条款的副本(附录2除外),安全措施的简要说明以及必须签订的任何子处理服务合同的副本根据条款,除非条款或合同包含商业信息,否则在这种情况下,它可能会删除此类商业信息;

(i)在进行子处理的情况下,处理活动是由子处理器根据第11条进行的,该子处理器至少对个人数据和数据主体的权利提供与本条所述的数据导入者相同程度的保护;和

(j)将确保遵守第4(a)至(i)条。

 

第5条

数据导入者的义务

数据导入者同意并保证:

(a)仅代表数据出口商并按照其指示和条款处理个人数据;如果由于任何原因不能提供这种合规性,它同意立即通知数据出口商其无法合规,在这种情况下,数据出口商有权中止数据传输和/或终止合同;

(b)没有理由认为适用于它的法律阻止其履行从数据出口商处收到的指示以及其在合同下的义务,并且如果该法律发生变更,很可能会对于本条款所提供的保证和义务有重大不利影响,它将在知道后立即将更改通知数据出口商,在这种情况下,数据出口商有权中止数据传输和/或终止合同;

(c)在处理所转移的个人数据之前,它已经执行了附录2中指定的技术和组织安全措施;

(d)它将立即通知数据出口商有关:

(i)执法机关提出的任何具有法律约束力的披露个人数据的请求,除非另有禁止,例如根据刑法禁止为执法调查的机密性保密,
(ii)任何意外或未经授权的访问,以及

(iii)除非另有授权,否则直接从数据主体收到的任何请求,而无需响应该请求;

(e)及时适当地处理数据出口商有关其处理将要转移的个人数据的所有询问,并遵守监管​​当局关于处理所转移的数据的建议;

(f)应数据出口者的要求,将其数据处理设施提交给本条款所涵盖的处理活动的审核,该审核活动应由数据出口者或由独立成员组成并拥有所需专业人员的检查机构进行数据导出者在适用的情况下,经监管机构同意,选择由保密义务约束的资格;

(g)根据要求向数据主体提供条款的副本或任何现有的子处理合同,除非条款或合同包含商业信息,在这种情况下,可以删除此类商业信息,但附录2除外在数据主体无法从数据导出器获得副本的情况下,应以安全措施的简要描述代替;

(h)在进行子处理时,它先前已通知数据导出者并获得其事先书面同意;

(i)子处理器的处理服务将按照第11条的规定进行;

(j)及时将其根据本条款缔结的任何子处理协议的副本发送给数据导出者。

 

第6条

责任

1.双方同意,任何数据主体因任何一方或子处理器违反第3条或第11条所述的义务而遭受损害的,有权从数据输出者处获得遭受的损害赔偿。

2.如果数据主体由于数据进口商或其子处理器违反了第3条或第3条中提及的任何义务而未能按照第1款向数据出口商提出索赔要求,参见图11,因为数据导出者实际上已经消失或不再存在法律或已破产,所以数据导入者同意数据主体可以向数据导入者提出索赔,就好像它是数据导出者一样,除非假定任何后续实体依法律规定,通过合同订立数据出口商的全部法律义务,在这种情况下,数据主体可以对此类实体执行其权利。数据导入者可能不依靠子处理器违反其义务来避免其自身的责任。

3.如果由于子处理器违反了第3条或第3条中提到的任何义务而导致数据主体无法对第1和第2款中提到的数据导出器或数据导入器提出索赔11由于数据导出者和数据导入者实际上已经消失或不再存在法律或已破产,因此子处理器同意数据主体可以针对数据子处理器针对其自身在本条款下的处理操作提出索赔。如果是数据导出方或数据导入方,除非任何后续实体已通过合同或法律规定承担了数据导出方或数据导入方的全部法律义务,在这种情况下,数据主体可以对该实体执行其权利。子处理器的责任应仅限于其在本条款下的处理操作。

 

第7条

调解与管辖权

1.数据导入者同意,如果数据当事人根据条款对第三方受益人权利和/或要求赔偿损害赔偿,则数据导入者将接受数据当事人的决定:

(a)由独立人士或(如适用)监督机构将争议提交调解;
(b)将争议提交建立数据出口商所在成员国的法院处理。

2.双方同意,数据主体的选择不会损害其根据国内法或国际法其他规定寻求补救的实质性或程序性权利。

 

第8条

与监管部门的合作

1.如果数据出口商有此要求,或者根据适用的数据保护法要求将其存放,则数据出口商同意将其副本存放于监管机构。

2.双方同意,监管机构有权对数据进口商和任何子处理器进行审核,该子程序的范围和条件应与根据本协议对数据出口商进行审核的条件相同。适用的数据保护法。

3.数据进口者应按照第2款的规定,立即将其适用的立法或任何妨碍对数据进口者或任何子处理器进行审计的分处理器的适用情况告知数据出口者。在这种情况下,数据输出者应有权采取第5(b)条中规定的措施。

 

第9条

准据法

本条款应受数据出口商所在成员国的法律管辖。

 

第10条

合同变更

双方承诺不更改或修改条款。这并不排除当事方在与业务相关的问题上添加必要的条款,只要它们与该条款不矛盾即可。

 

第11条

子处理

1.未经数据导出者的事先书面同意,数据导入者不得将根据本条款代表数据导出者执行的任何处理操作分包。如果数据导入者在数据导出者的同意下将其在本条款下的义务分包,则只能与子处理器达成书面协议,该子协议对子处理器施加与数据处理者对数据处理器施加的相同义务。条款。如果分处理器未能履行该书面协议项下的数据保护义务,则数据导入方应对该分协议项下的分处理器义务的履行对数据出口方承担全部责任。

2.数据进口者与分处理者之间的事先书面合同还应规定第3条中规定的第三方受益人条款,以供数据主体无法提出第1款中提及的赔偿要求的情况针对数据导出者或数据导入者的第6条,因为它们实际上已经消失或不再存在于法律中或已经破产,并且没有继任实体通过合同或法律实施承担了数据导出者或数据进口商的全部法律义务。子处理器的此类第三方责任应仅限于其在本条款下的处理操作。

3.与第1款所指的合同的子处理有关的数据保护方面的规定应受建立数据出口者的成员国的法律管辖。

4.数据出口商应保留根据本条款缔结并由数据进口商根据第5(j)条通知的子处理协议清单,该清单应每年至少更新一次。该列表应提供给数据导出者的数据保护监督机构。

 

第12条

个人数据处理服务终止后的义务

1.双方同意,在终止数据处理服务时,数据导入者和子处理器应根据数据导出者的选择,将所有转移的个人数据及其副本退还给数据导出者,或销毁所有个人数据并向数据出口商证明已这样做,除非对数据进口者施加的法律阻止其返回或销毁全部或部分已转移的个人数据。在这种情况下,数据导入者保证将保证所传输的个人数据的机密性,并且将不再主动处理所传输的个人数据。

2.数据进口者和分处理者保证,应数据出口者和/或监管机构的要求,它将提交其数据处理工具,以对第1款所述措施进行审核。

 

代表数据导出者:

 

名称(全写):
位置:
地址:
为了使合同具有约束力的其他必要信息(如果有):

签名__________________________

(组织印章,如果适用)

 

代表数据导入者:

 

姓名(全写):Brent D. Mosby
职位:总法律顾问
地址:伊利诺伊州60603,芝加哥W.亚当斯街72号8楼
为了使合同具有约束力的其他必要信息(如果有):N / A

签名:  布伦特·D·莫斯比

 

标准合同条款附录1

 

本附录是本条款的一部分,必须由当事各方完成并签署。成员国可以根据其国家程序完成或指定本附录中包含的任何其他必要信息。

数据导出器

数据导出器为(请简要说明您与传输相关的活动):

数据导出者是(i)作为数据导出者执行了标准合同条款的法人,并且(ii)在欧洲经济区(EEA)和英国范围内建立的客户的所有关联公司(定义见协议)已根据一份或多份订购单和/或SOW购买了服务。

 

数据导入器

数据导入者为(请简要说明与转移相关的活动):

猎豹数码,Inc.是企业云计算解决方案的提供商,该解决方案根据协议的条款在数据导出者的指示下处理个人数据。

 

数据主体

传输的个人数据涉及以下类别的数据主体(请指定):
数据导出方可以向服务提交个人数据,其范围由数据导出方全权决定和控制,并且可能包括但不限于与以下类别的数据主体有关的个人数据:

  • 数据导出者的准客户,客户,业务合作伙伴和供应商(自然人)

  • 数据导出者的潜在客户,客户,业务合作伙伴和供应商的员工或联系人

  • 数据出口商的雇员,代理商,顾问,自由职业者(自然人)

  • 数据导出者授权数据导出者的授权用户使用服务

 

数据类别

转移的个人数据涉及以下几类数据(请具体说明):

数据导出者可以向服务提交个人数据,其范围由数据导出者自行决定并控制,其范围包括但不限于以下几类个人数据:

  • 名字和姓氏

  • 标题

  • 位置

  • 雇主

  • 联系信息(公司,电子邮件,电话,实际营业地址)

  • 身份证数据

  • 职业生涯数据

  • 个人生活数据

  • 连接数据

  • 本地化数据

 

特殊类别的数据(如果适用)

传输的个人数据涉及以下特殊数据类别(请指定):   不适用

 

加工作业

传输的个人数据将受到以下基本处理活动(请指定):

数据导入者处理个人数据的目的是根据协议履行服务。

 

数据导出器
名称: ______________________________________

授权签名 ___________________________

 

数据输入
姓名:布伦特·D·莫斯比
授权签名: 布伦特·D·莫斯比

 

标准合同条款附录2

 

本附录构成本条款的一部分,必须由当事各方填写并签署

说明数据导入者根据第4(d)和5(c)条(或随附的文件/法律)实施的技术和组织安全措施:

数据导入者将按照协议中的规定,维护行政,物理和技术保护措施,以保护上传到服务的个人数据的安全性,机密性和完整性。

数据导出器
名称: ______________________________________

授权签名 ___________________________

数据输入
姓名:布伦特·D·莫斯比
授权签名: 布伦特·D·莫斯比

 

附表3 –分处理器清单

 

子处理器 注册业务地址 处理的实际位置

Tavant Technologies,Inc.

3965 Freedom Circle,Suite 750,圣克拉拉,CA 95054

印度

猎豹技术营销服务哥斯达黎加公司

哥斯达黎加圣何塞Edificio El Portico 3楼Whilaza Roble

哥斯达黎加

猎豹 Marketing Technology Malaysia Sdn Bhd

雪兰莪州达鲁尔·埃桑(Petaling Jaya),八打灵再也(Palating Jaya),Jalan PJU 1A / 46、47301、8号楼,交响音乐厅

吉隆坡

P.I. Softek Ltd.

C-56A / 28,Sector-62 Noida 201301印度

印度

亚马逊网络服务

西华盛顿州西雅图市,Terry Avenue North 410号,98109

多个地点(美国,欧盟)

iScale 解决方案 ,Inc.

1200菲律宾马卡蒂市Paseo De Roxas 104 Salustiana D.Ty塔7楼

菲律宾