取ISO 9001课程考试,拿到
ISO 14001, ISO 13485,或ISO 45001课程考试免费
ISO 14001, ISO 13485,或ISO 45001课程考试免费
限时优惠-结束2022年9月29日,
Advisera Expert Solutions Ltd(“处理器”或“Advisera”)已同意根据Advisera的条款,向同意本条款的客户(“控制器”或“客户”)提供Conformio软件即服务(见//www.cgv87.com/conformio)一般使用条款和条件及隐私政策.
本合格数据处理和安全条款(“条款”)是通用使用条款和条件的补充。
本条款中使用的术语应具有本文件中规定的含义。本协议中未另有定义的术语,其含义与一般使用条款和条件及隐私政策中规定的相同。除下文修改外,一般使用条款和条件及隐私政策的条款应保持完全有效。
双方在此同意,以下条款和条件应作为通用使用条款和条件及隐私政策的附录添加。
本条款中使用的所有大写术语应具有下列含义:
1.1适用的数据保护法:系指适用于作为本条款主题事项的个人数据处理的所有适用的国际、联邦、国家和州隐私和数据保护法(如适用,包括欧洲数据保护法)。
1.2控制器:系指确定个人数据处理目的和方法的实体,就本条款而言,系指客户。
1.3欧洲数据保护法:(i)在2018年5月25日之前,欧盟数据保护指令95/46/EC,以及任何适用的国家对该指令的实施;以及(ii) 2018年5月25日及之后的《欧盟通用数据保护条例2016/679》(“GDPR”)以及根据GDPR制定的任何适用国家法律。
1.4个人资料(“资料”):指与已识别或可识别的自然人有关的任何信息;可识别的自然人是指可以直接或间接地被识别的人,特别是通过引用一个标识符,如姓名、识别号码、位置数据、在线标识符,或引用该自然人的身体、生理、遗传、心理、经济、文化或社会身份的一个或多个特定因素。
1.5处理程序:系指代表控制人处理个人数据的实体,就本条款而言,系指Advisera。
2.1双方关系:在双方之间,客户是控制者,并指定Advisera作为处理者处理第1.4节所述的个人数据。
2.2目的限制:处理方应作为处理方,仅为附件1所述的目的,并严格按照客户的书面指示(“许可目的”)处理数据。在任何情况下,处理方不得为其自身或任何第三方的目的处理数据。
2.3数据的国际转移:处理方应始终按照适用的数据保护法的要求,包括但不限于欧盟要求的标准合同条款,为数据(无论在何处处理)提供适当级别的保护。
2.4保密的处理:处理方应严格保密其代表客户处理的所有个人数据。处理方应确保其授权处理数据的任何人(包括处理方的员工、代理和分包商)(均为“被授权人”)均负有严格的保密义务(无论是合同义务还是法定义务),且不得允许任何不负有此类保密义务的人处理数据。处理方应确保只有授权人士有权访问和处理数据,且此类访问和处理应限制在为实现许可目的而严格必要的范围内。
2.5安全:处理方应实施适当的技术和组织措施,以保护数据不受(i)意外或非法破坏,以及(ii)丢失、未经授权的更改、未经授权的披露或未经授权的访问。此类措施至少应包括本条款附件2中确定的安全措施。
2.6分包:控制器同意处理器委托第三方子处理器(包括处理器的认证合作伙伴)处理数据,前提是处理器应客户要求向其提供当前子处理器的最新列表。
处理器应将数据保护条款强加于其指定的至少满足本条款规定要求的任何子处理器。
2.7合作与个人权利:在适用法律允许的范围内,处理方应向客户提供合理和及时的协助,使客户能够响应:(i)个人行使其在适用数据保护法项下的任何权利的任何请求;以及(ii)从个人、监管机构、法院或其他第三方收到的与数据处理有关的任何其他通信、查询或投诉。如果直接与处理机构进行任何此类沟通,处理机构应指示该人员直接与客户联系。
2.8数据保护影响评估:如果处理方认为或意识到其对数据的处理可能对个人的数据保护权利和自由造成高风险,则处理方应立即将此情况通知客户。处理方应向客户提供客户可能需要的所有合理和及时的协助,以便进行数据保护影响评估,并在必要时与相关的数据保护主管部门协商。
2.9安全事故:在得知安全事件后,处理方应毫不迟延地通知客户(无论如何,应在72小时内),并应提供客户可能要求的及时信息和合作,以便客户履行适用数据保护法规定的(并根据其要求的及时性)数据泄露报告义务和客户对其订阅方的相关合同义务。处理方应配合客户采取一切必要的适当措施和行动,以补救或减轻安全事件的影响,管理和修改其系统,以补救或减轻该等安全事件以及未来发生类似安全事件的可能性,并应将与该等安全事件有关的所有进展通知客户。处理方不得将影响数据的安全事件通知任何第三方,除非(a)客户已同意该等通知,和/或(b)根据适用的数据保护法,处理方必须发出该等通知。为免生疑问,处理方有权就其数据遵守其与其他客户的合同条款。
2.10删除或返回数据:在本条款终止或到期后,处理方应(应客户要求)销毁其拥有或控制的所有数据(包括数据的所有副本)(包括分包给第三方处理的任何数据),但出于法律和合规目的,客户数据(包括数据)可作为备份保存至多两(2)年。尽管有上述规定,处理器不得在任何时候减少安全措施,直到该等数据被永久删除。
2.11补救的一般合作:如果适用的数据保护法或数据保护机构或监管机构规定,本条款项下的个人数据的转让或处理不再合法或在其他方面不被允许,则双方应同意在实际情况下对处理进行补救(通过修改本条款或其他方式),以满足必要的标准或要求。如果处理方无法补救处理,则客户有权终止对Conformio服务的使用(以及双方之间有关处理方向客户提供服务的任何其他协议)而不受处罚。
3.1只要处理方和/或其子处理方代表客户处理个人数据,处理方在本条款项下承担的义务将继续有效。
本附件1包括GDPR第28(3)条所要求的控制人个人数据处理的某些细节。
控制人个人资料的处理事项和持续时间。
控制人个人资料处理的主题和期限载于一般使用条款和条件&隐私政策和本附录。
处理控制者个人数据的性质和目的:托管虚拟服务器,以提供“软件即服务”。
要处理的控制者个人数据的类型:控制者或控制者的最终用户提供给处理者的电子邮件、姓名和其他个人数据。
控制者的个人数据所涉及的数据主体类别:Conformio Software-as-a-Service的注册用户。
处理器实施的技术和组织安全措施的描述:
1.物理访问控制:处理方应采取合理措施防止物理访问,以防止未经授权的人获取个人数据。
2.系统访问控制:处理方应采取合理措施防止个人数据被未经授权使用。这些控制应根据所进行处理的性质而有所不同,在其他控制中可包括通过密码进行的身份验证、授权过程和访问控制。
3.数据访问控制:处理方应采取合理措施,确保只有适当授权的人员才能访问和管理个人数据,任何直接的数据库查询访问仅限于授权人员,应用程序访问权的建立和实施,以确保有权使用数据处理系统的人只有权访问他们有权访问的个人数据;并且,在处理过程中,个人数据被禁止在未经授权的情况下被读取、复制、修改或删除。
4.传输控制:处理方应采取合理措施,确保在电子传输或运输过程中,个人数据不能未经授权被读取、复制、修改或删除。
5.输入控件:处理方应采取合理措施,确保能够检查和确定个人数据是否已被输入数据处理系统、修改或删除,以及被谁删除。处理方还应采取合理措施,以确保(i)个人数据源处于数据出口商的控制之下;以及(ii)集成到处理机系统中的个人数据通过处理机和数据主体的安全文件传输进行管理。
6.数据备份:处理程序应确保定期进行备份,并在存储个人数据时进行安全保护和加密,以防止在处理程序托管时意外破坏或丢失。
