控制器-控制器 DPA
《主许可协议》的控制方与控制方之间的补充协议
引言
本《数据保护补充协议》(以下简称“DPA”)已纳入STATS Perform(以双方签署的任何工作订单中载明的名称为准)与被许可方(以双方签署的任何工作订单中载明的名称为准)之间的《主许可协议》(以下简称“MLA”)条款之中,并构成该协议的一部分。若《主许可协议》与本《数据保护补充协议》之间,或任何工作订单与本《数据保护补充协议》之间存在任何冲突,应以本《数据保护补充协议》为准。 本补充协议中未定义的所有大写术语均具有《主许可协议》中规定的含义。
适用范围
本数据处理协议适用于以下情形:STATS Perform 或其任何关联公司从欧洲经济区(EEA)或英国境内向被许可方转移或提供个人数据,以便在欧洲经济区以外的司法管辖区进行处理, 且该管辖区未被欧盟委员会认定为“充分性”管辖区,亦未受其他符合数据保护法规要求的合法转移机制约束(就本DPA而言,称为“相关数据转移”)。 本数据处理协议依据欧盟委员会2004年12月27日关于向无法确保充分数据保护水平的第三国转移个人数据的标准合同条款的决定,制定并纳入了标准合同条款(“SCCs”)。
标准合同条款(SCCs)不可修改,不可协商,且根据数据保护法规,任何相关数据传输均须遵守这些条款。
因此,双方签订本数据处理协议,以确保相关数据传输符合数据保护法规。
现特此约定如下:
- 数据控制者之间的标准合同条款
从欧盟向第三国转移个人数据的标准合同条款(控制者间转移)
数据传输协议
在……之间
STATS Perform(如工作单所示)
STATS Perform 的地址及注册地,详见工作单
下文简称“数据出口方”
以及
被许可方(如工作单所示)
工作单中载明的被许可方的地址及注册地
下文简称“数据接收方”
各自称为“一方”;合称“双方”。
定义
就本条款而言:
- “个人数据”、“特殊类别数据/敏感数据”、“处理/处理活动”、“控制者”、“处理者”、“数据主体”及“监管机构/主管机构”的含义,应与1995年10月24日第95/46/EC号指令或任何适用的数据保护法中的含义相同(其中“主管机构”指数据出口方所在辖区的负责数据保护的主管机构);
- “数据出口方”是指转移个人数据的控制者;
- “数据接收方”是指同意从数据发送方接收个人数据,并根据本条款的规定对其进行进一步处理的数据控制者,且该数据控制者不受确保充分保护的第三国制度约束;
- “条款”是指本合同条款,该条款是一份独立文件,不包含双方根据单独的商业安排所确定的商业条款。
数据转移的具体细节(以及涉及的个人数据)详见附件2,该附件是本条款不可分割的组成部分。
1 数据出口方的义务
数据出口方保证并承诺:
- 个人数据的收集、处理和传输均符合数据出口方适用的法律规定。
- 它已尽合理努力确认数据接收方能够履行本条款规定的法律义务。
- 数据出口方应根据数据进口方的要求,向其提供数据出口方所在国家相关数据保护法律的副本或相关参考资料(如适用,且不包括法律建议)。
- 数据出口方将回应数据主体和主管机关就数据进口方处理个人数据所提出的询问,除非双方已约定由数据进口方负责回应;在此情况下,若数据进口方不愿或无法回应,数据出口方仍将在合理可能的范围内,并基于其合理可获得的信息予以回应。回应应在合理时间内作出。
- 数据出口方应根据请求,向作为第3条所指第三方受益人的数据主体提供条款副本,除非该条款包含机密信息;若包含机密信息,数据出口方可删除此类信息。如删除信息,数据出口方应以书面形式告知数据主体删除原因,并告知其有权将删除事宜提请主管机关注意。 但只要数据主体已同意尊重被删除的机密信息的保密性,数据出口方应遵守主管机关关于数据主体查阅条款全文的决定。数据出口方还应在主管机关要求时向其提供条款副本。
2 数据接收方的义务
数据导入方保证并承诺:
- 该机构将采取适当的技术和组织措施,以保护个人数据免遭意外或非法销毁、意外丢失、篡改、未经授权的披露或访问,并确保其安全级别与数据处理所带来的风险以及待保护数据的性质相适应。
- 数据进口方应制定相关程序,确保其授权访问个人数据的任何第三方(包括数据处理者)均能尊重并维护个人数据的机密性和安全性。任何受数据进口方授权行事的人员(包括数据处理者)均有义务仅根据数据进口方的指示处理个人数据。本规定不适用于依法或依规获准或被要求访问个人数据的人员。
- 在签订本条款时,其没有理由相信存在任何可能对本条款所规定的担保产生重大不利影响的当地法律;若其获悉任何此类法律,将通知数据出口方(数据出口方将在必要时将该通知转达给主管当局)。
- 其将根据附件2所述目的处理个人数据,并具有法律授权,可提供本条款中规定的保证并履行相关承诺。
- 数据接收方应向数据出口方指定其组织内一名经授权的联系人,负责处理有关个人数据处理的查询,并将在合理时间内就所有此类查询与数据出口方、数据主体及相关主管机构真诚合作。若数据出口方依法解散,或经双方协议约定,数据接收方应承担遵守第1(e)条规定的责任。
- 应数据出口方的请求,数据出口方将向其提供证明,证明其拥有足够的财务资源以履行第3条规定的责任(其中可能包括保险保障)。
- 在数据出口方提出合理要求时,数据进口方应在合理通知后,于正常营业时间内,将其数据处理设施、数据文件及处理所需的文件提交给数据出口方(或由数据出口方选定且未遭数据进口方合理反对的任何独立或公正的检查机构或审计机构)进行审查、审计和/或认证,以确认其是否符合本条款中的保证和承诺。 该请求须获得数据进口国监管或监督机构的必要同意或批准,数据进口方将及时争取获得该同意或批准。
- 其将根据自身选择,按照附件1所载的数据处理原则处理个人数据。下列各数据接收方均通过在下文签字缩写的方式,表明同意遵守上述原则:
双方同意,通过签署并注明日期的工作单,即表示双方已签署、同意并接受本第2(h)条。
- 除非已就该转移事宜通知数据出口方,否则不会向位于欧洲经济区(EEA)以外的第三方数据控制者披露或转移个人数据,并且
- 该第三方数据控制者根据欧盟委员会的决定处理个人数据,该决定认定某第三国提供了充分的保护,或者
- 第三方数据控制者成为本条款或欧盟主管当局批准的另一份数据转移协议的签署方,或者
- 数据主体在获悉数据转移的目的、接收方的类别以及数据出口国可能适用不同的数据保护标准后,已获得提出异议的机会,或者
- 关于敏感数据的后续转移,数据主体已对此明确表示同意
3 责任与第三方权利
-
- 各缔约方应对因违反本条款而给其他缔约方造成的损害承担责任。缔约方之间的责任仅限于实际遭受的损害。惩罚性赔偿(即旨在惩罚缔约方严重不当行为的赔偿)在此明确排除。 各缔约方应对因违反本条款中关于第三方权利的规定而给数据主体造成的损害承担责任。这不影响数据出口方根据其数据保护法所承担的责任。
- 双方同意,数据主体有权作为第三方受益人,针对数据进口方或数据出口方,就本条款以及第1(b)、1(d)、1(e)、2(a)、2(c)、 2(d)、2(e)、2(h)、2(i)、3(a)、5、6(d)及7条,针对数据进口方或数据出口方就其个人数据所违反的合同义务,并为此接受数据出口方设立地的管辖。 在涉及数据进口方被指控违约的情况下,数据主体必须首先要求数据出口方采取适当行动,以对其行使针对数据进口方的权利;如果数据出口方未在合理期限内(通常为一个月)采取此类行动,数据主体方可直接对其行使针对数据进口方的权利。 数据主体有权直接针对未尽合理努力确定数据进口方能否履行本条款项下法律义务的数据出口方采取行动(数据出口方负有证明其已尽合理努力的举证责任)。
4 适用于本条款的法律
本条款应受数据出口方所在国法律的管辖,但第2(h)条所述数据进口方处理个人数据的相关法律法规除外,该等法律法规仅在数据进口方根据该条作出选择时方适用。
5 与数据主体或监管机构的争议解决
-
- 若数据主体或主管机关就个人数据的处理向任一方或双方提出争议或索赔,双方应就该等争议或索赔相互通知,并予以配合,以期及时通过友好协商予以解决。
- 双方同意响应由数据主体或主管机关发起的任何公开的非约束性调解程序。若双方参与该程序,可选择以远程方式(例如通过电话或其他电子方式)进行。双方还同意考虑参与为数据保护争议设立的任何其他仲裁、调解或其他争议解决程序。
- 各缔约方应遵守数据出口方所在国主管法院或主管机关作出的具有终局效力且不得再上诉的裁决。
6 终止
-
- 如果数据接收方违反了本条款规定的义务,数据发送方可暂时中止向数据接收方传输个人数据,直至违约行为得到纠正或合同终止。
- 如果发生以下情况:
- 数据出口方已根据(a)款的规定,将向数据进口方的个人数据传输暂时暂停,且暂停时间已超过一个月;
- 数据接收方遵守这些条款将导致其违反在接收国所承担的法律或监管义务;
- 数据接收方严重或持续违反其根据本条款作出的任何保证或承诺;
- 数据出口方所在国的主管法院作出终局裁决,且该裁决不可再上诉;或主管机关裁定数据进口方或数据出口方违反了本条款;或
- 针对数据进口方(无论是以个人还是企业身份)提出管理或清算申请,且该申请未在适用法律规定的驳回期限内被驳回;已作出清算令;已对其任何资产指定接管人;若数据进口方为个人,已指定破产受托人;其已启动公司自愿安排;或任何司法管辖区内发生任何同等情形
在此情况下,数据出口方在不影响其对数据进口方可能享有的任何其他权利的前提下,有权终止本条款;如遇此种情况,应在必要时通知主管机关。在上述第(i)、(ii)或(iv)项所述情况下,数据进口方亦有权终止本条款。
- 在以下情况下,任何一方均可终止本条款:
- 欧盟委员会根据《95/46/EC号指令》(或任何取代该指令的文本)第25(6)条,就数据被转移至且由数据接收方进行处理的国家(或该国的特定行业)作出了任何积极的充分性决定,或者
- 第95/46/EC号指令(或任何取代该指令的文本)在该国直接适用。
- 双方同意,无论何时、在何种情况下或出于何种原因终止本条款(根据第6(c)条终止的情况除外),均不免除双方就所转移个人数据的处理所承担的义务和/或条件。
7. 这些条款的变更
除更新附件2中的任何信息外,各方不得修改本条款;如需更新,应按要求通知主管部门。这并不妨碍各方在必要时增补其他商业条款。
8 转让说明
数据转移及个人数据的详细信息载于附件2。双方同意,附件2可能包含商业机密信息,除法律要求、应主管监管机构或政府机构的要求,或根据第1(e)条的规定外,双方均不得向第三方披露。 双方可签署补充附件以涵盖其他数据转移,并在必要时将该等附件提交给主管机关。此外,附件2亦可拟定为涵盖多项数据转移。
双方同意,通过签署并注明日期的工作订单,双方同意并接受受《标准合同条款》(SCCs)的约束,包括 附件1 及 附件2。
- (数据处理原则)
- 用途限制:个人数据的处理、后续使用或进一步披露,仅限于附件2所述的目的,或经数据主体后续授权的目的。
- 数据质量与相称性:个人数据必须准确,并在必要时保持更新。个人数据必须与数据转移及后续处理的目的相适应、相关且不过度。
- 透明度:必须向数据主体提供确保公平处理所需的信息(例如关于处理目的和数据转移的信息),除非数据出口方已提供此类信息。
- 安全与保密:数据控制者必须采取与风险相适应的技术和组织安全措施,例如防范因数据处理而导致的意外或非法销毁、意外丢失、篡改、未经授权的披露或访问。任何受数据控制者授权行事的人员(包括数据处理者)不得在未获得数据控制者指示的情况下处理数据。
- 查阅、更正、删除和反对的权利:根据《95/46/EC号指令》第12条的规定,必须向数据主体提供组织所持有的与其相关的个人信息,无论是直接提供还是通过第三方提供,但以下情况除外:请求明显具有滥用性质,基于不合理的间隔、数量、重复性或系统性;或者根据数据出口国法律,无需授予查阅权限的情况。 在主管当局事先批准的情况下,若提供访问可能严重损害数据进口方或与其有业务往来的其他组织的利益,且数据主体的基本权利和自由所涉及的利益未凌驾于上述利益之上,则亦无需提供访问。若经合理努力仍无法确定个人数据的来源,或确定来源将侵犯个人以外他人的权利,则无需披露该来源。 若个人数据不准确或其处理违反本原则,数据主体必须能够要求更正、修改或删除与其相关的个人信息。如有充分理由怀疑该请求的合法性,组织可在进行更正、修改或删除前要求提供进一步的理由说明。若通知已披露数据的第三方关于任何更正、修改或删除将涉及不成比例的努力,则无需进行通知。 若存在与数据主体特定情况相关的充分合法理由,数据主体亦有权反对对其个人数据的处理。任何拒绝的举证责任由数据接收方承担,且数据主体可随时向主管机构对拒绝决定提出异议。
- 敏感数据:数据接收方应采取必要的额外措施(例如与安全相关的措施),以根据第2条规定的义务保护此类敏感数据。
- 用于营销目的的数据:当数据处理旨在进行直接营销时,应建立有效的程序,允许数据主体随时“选择退出”,不再允许将其数据用于此类目的。
- 自动化决策:就本协议而言,“自动化决策”是指数据出口方或数据进口方作出的、对数据主体产生法律效力或对其产生重大影响的决策,且该决策完全基于对个人数据的自动化处理,旨在评估与数据主体相关的某些个人方面,例如其工作表现、信用状况、可靠性、行为表现等。数据进口方不得对数据主体作出任何自动化决策,但下列情况除外:
(a) (i) 此类决定是由数据接收方在与数据主体订立或履行合同时作出的,且
(a) (ii) 数据主体有机会就相关自动化决策的结果与作出该决策的当事方代表进行讨论,或以其他方式向该当事方提出申诉。
或
(b) 数据出口方所在地的法律另有规定时。
附件2(处理信息)
1 数据主体
所转移的个人数据涉及以下类别的数据主体:
许可材料(定义见《许可协议》)中所包含的个人数据,其中包括与体育运动员、竞技运动员及相关体育专业人士有关的信息。
2 转让的目的
进行数据转移的目的是:由数据接收方根据工作单和MLA中规定的目的使用个人数据。
3 类数据
所转移的个人数据涉及以下类别的数据以及不时涉及的其他类别:
| 数据类别(均与体育相关) |
| 数据(包括比赛表现和比赛事件数据) |
| 视频和音频内容 |
| 编辑内容 |
4 名收件人
所转移的个人数据仅可披露给以下接收方或接收方类别:
工作单和/或MLA中允许的收件人。
5 数据保护 数据出口方的注册信息
可应要求提供。
6 其他有用信息
无。
7 个数据保护咨询联系点
联系方式详见工作单。
