网站数据处理协议

EarthTV PTY LTD 是 earthTV network GmbH 的子公司,总部位于德国,本网站由 earthTV network GmbH 为 EarthTV PTY LTD 管理和运营。我们在欧洲制作内容和处理数据,因此,我们承诺遵守欧盟关于运营网站的所有法律标准,如您正在浏览的网站和下文所述。

网站数据处理者协议

数据贡献者

– 以下简称”控制者” –

earthTV 网络有限公司

– 以下简称”处理器

1.序言

双方已签订《合作与许可协议》(以下简称 “协议”)。双方签订以下《数据处理协议》(以下简称 “DPA”),以明确根据《欧盟通用数据保护条例》(以下简称 “GDPR”)和《德国联邦数据保护法》(以下简称 “BDSG”)的规定所产生的权利和义务。如果双方以本协议为目的进行的数据处理构成联合控制(《欧盟数据保护条例》第 26 条),则双方应就此类联合控制签订附加协议。

2.范围

2.1 本协议适用于收集、处理和删除(以下简称 “合同处理”)GDPR 规定的所有个人数据(以下简称 “数据 “或 “个人数据”),这些数据是本协议的标的,并且/或者在协议执行过程中分别由处理方代表合同方进行处理。处理的主体和持续时间以及所设想的数据处理的范围、性质和目的应由协议和本 DPA 确定。

加工类型数据的存储、传输和使用
个人数据类型在线使用数据(IP 地址)、联系数据、带有个人数据的图片/视频
数据主体类别在线用户、员工、路过摄像头的人员
数据处理的目的履行本协议规定的义务和服务,进行市场营销和质量保证,或按照控制方的进一步合理指示行事

2.2 处理人应代表签约人处理数据。此类合同处理应包括本协议中详述的所有活动。在本DPA范围内,签约人应全权负责遵守适用的数据保护法定要求规定的义务,包括但不限于签约人向供货商合法披露和转让数据。

2.3 签约人关于个人数据合同处理的个别指示最初应在本协议中详细说明。随后,”订约人 “应有权以书面形式或机器可读格式(文本形式),通过向 “生产商 “指定的联络点发出指示,修改、修正或替换有关个人数据合同处理的个人指示。

3.加工方的义务

3.1 除非 GDPR 第 28 条第 (3) 款 (a) 项明确允许,否则 PROCESSOR 应仅在本协议和合同方发出的指令范围内处理数据主体的数据。如果PROCESSOR认为某项指令违反了适用法律,PROCESSOR应在无不当延迟的情况下通知合同方。PROCESSOR应有权暂停执行此类指示,直至CONTROLLER确认或修改此类指示。

3.2 PROCESSOR 应在 PROCESSOR 的职责范围内组织 PROCESSOR 的内部机构,使其满足数据保护的具体要求。PROCESSOR应采取技术和组织措施,确保充分保护控制方的数据,这些措施应符合GDPR的要求,特别是其第32条。加工方应实施技术和组织措施及保障措施,以确保处理系统和服务的持续保密性、完整性、可用性和弹性,并应实施定期测试、评估和评价技术和组织措施有效性的流程,以确保处理的安全性。控制方熟悉这些技术和组织措施,控制方有责任确保这些措施具有与风险相称的安全级别。加工方应根据控制方的合理要求提供已实施的技术和组织措施的细节。

3.3 PROCESSOR 保留修改所实施的措施和保障的权利,但安全级别不得低于最初商定的保 护级别。

3.4 在双方同意的范围内,以及在可能的情况下,生产商应支持合同商满足数据主体的请求和要求(详见《GDPR》第三章),并履行《GDPR》第 32 至 36 条列举的义务。

3.5 采购商应确保参与对签约人数据进行合同处理的所有雇员以及可能参与采购商职责范围内合同处理的其他人员只能在指示范围内进行处理。此外,PROCESSOR应确保任何有权代表CONTROLLER处理数据的人员已根据与本协议保密条款类似的条款作出保密承诺。所有此类保密义务应在此类合同处理终止或到期后继续有效。

3.6 如果工艺师意识到工艺师责任范围内存在任何数据违规行为,工艺师应立即通知合同商,不得无故拖延。

3.7 处理人应采取必要措施,确保数据的安全并减轻对数据主体可能造成的负面影响;处理人应与控制人协调这些工作,不得无故拖延。

3.8 对于因本协议引起的或与本协议有关的任何与数据保护相关的问题,每一方都应将联络点 通知另一方。

3.9 处理人应根据合同方的指示并在指示允许的范围内更正或删除数据。如果不可能按照数据保护要求进行删除或相应限制处理,除非在本协议中另有约定,否则加工方应根据合同方的指示,按照数据保护要求销毁所有载体媒体和其他材料,或将其退还给合同方。

3.10 在控制方指定的特定情况下,应存储或移交这些数据。除非另有书面约定,否则处理方有权为此在合理范围内收取相关费用并采取保护措施。

3.11 加工方应在合同加工终止时并根据签约方的指示,将所有数据、载体介质和其他材料退还给签约方或予以删除。

3.12 如果数据主体根据《GDPR》第82条向 “合同方 “提出任何索赔要求,”加工方 “应支持 “合同方 “就这些索赔要求进行抗辩。3.12 如果数据主体根据《个人数据保护公约》第 82 条对合同方提出任何索赔要求,加工方应支持合同方就此类索赔要求进行抗辩。

4.控制方的义务

4.1 CONTROLLER在PROCESSOR的工作成果中发现任何与数据保护规定有关的缺陷或不规范时,应立即全面通知PROCESSOR,不得无故拖延。

4.2 上述第 2.12 节应比照适用于数据主体根据《GDPR》第 82 条向加工方提出的索赔。

4.3 对于因本协议引起的或与本协议有关的任何与数据保护相关的问题,签约人应将联络点通知加工人。

5.数据采集对象的查询

5.1 如果数据主体向 PROCESSOR 提出更正、删除或访问的要求,且 PROCESSOR 能够根据数据主体提供的信息将数据主体与 CONTROLLER 联系起来,则 PROCESSOR 应将该数据主体转给 CONTROLLER。PROCESSOR应将数据主体的要求转发给CONTROLLER,不得无故拖延。在可能的情况下,PROCESSOR 应根据 CONTROLLER 的指示,在商定的范围内为 CONTROLLER 提供支持。如果 CONTROLLER 未能完整、正确或及时地回应数据主体的请求,PROCESSOR 不承担任何责任。

6.文件选项

6.1 采购商应采取适当措施记录并向签约人证明采购商遵守了本 DPA 中约定的义务。

6.2 在个别情况下,如果有必要由 CONTROLLER 或 CONTROLLER 指定的审计员进行审计和检查,则应在事先通知的情况下在正常营业时间内进行此类审计和检查,且不得干扰 PROCESSOR 的运营。PROCESSOR 还可决定,此类审计和检查须事先通知并签署保密承诺书,以保护其他客户的数据以及所实施的技术和组织措施及保障措施的机密性。PROCESSOR 有权拒绝 PROCESSOR 竞争对手的审计员。CONTROLLER 特此同意 PROCESSOR 任命一名独立外部审计员,但 PROCESSOR 须向 CONTROLLER 提供一份审计报告副本。

6.3 除非双方另有书面约定,否则采购商应有权要求合同商偿还其支持进行检查的合理费用。除非另有约定,否则程序员应努力将其进行此类检查的时间和精力限制在每个日历年一天。

6.4 在数据保护机构或其他适用的监督机构进行检查时,上述第 5.2 条应比照适用。如果该监管机构受职业或法定保密义务的约束,而违反这些义务将受到适用刑法的制裁,则无需执行保密承诺。

7.子处理器

7.1 签约人特此同意供应商在履行本协议时使用供应商隐私政策中所列的分包商。

7.2 在使用其他分包商之前,生产商应事先获得合同商的批准。PROCESSOR将至少以文本形式(例如通过电子邮件或用户账户)向CONTROLLER提供有关其他分包商的信息。CONTROLLER 可在收到 PROCESSOR 根据前一句所述发出的通知后 2 周内,通过及时书面通知的方式,反对 PROCESSOR 使用新的分包商,但该反对不得对 PROCESSOR 造成不合理的负担(合理的拒绝构成与遵守欧盟通用数据保护法规 (GDPR) 和任何适用的个人数据保护法律和法案相关的重要原因)。

7.3 如果采购商委托分包商,采购商应负责确保采购商根据本协议和本 DPA 承担的数据保护义务对分包商有效并具有约束力。

7.4 只有在 PROCESSOR 已履行适用数据保护法律规定的义务,确保对此类转移采取充分保障措施的情况下,PROCESSOR 才会将个人数据转移到欧洲经济区以外。

8.最后条款

8.1 如果数据在PROCESSOR的控制下受到第三方的搜查和扣押、扣押令、破产或无力偿债程序中的没收或类似事件或措施的影响,PROCESSOR应无不当延迟地将此类行动通知CONTROLLER。PROCESSOR应无不当延迟地通知此类行动的所有相关方,受此影响的任何数据属于CONTROLLER的专有财产和责任范围,数据由CONTROLLER全权处置,并且CONTROLLER是GDPR意义上的责任机构。

8.2 如有任何冲突,本 DPA 的数据保护规定优先于本协议的规定。如果本 DPA 的个别规定无效或无法执行,本 DPA 其他规定的有效性和可执行性不受影响。

8.3 本 DPA 受德国法律管辖,对于因本 DPA 引起的或与之相关的任何争议,双方均服从德国柏林法院的专属管辖。

Comments are closed.