主许可协议——控制者与处理者数据处理补充条款
STATS PERFORM – 《团队绩效主许可协议》之控制器至处理器数据处理补充条款
本《控制者与处理者数据处理补充协议》(以下简称“DPA”),包括其附带的任何附录、附件和附表(如适用),构成《Team Performance 主许可协议》(以下简称“MLA”) 工作单及/或(如适用)任何其他协议(统称“协议”)的组成部分,并被纳入其中,该等协议涉及向您(称为“被许可方”,“您”或“您的”),其中您作为数据控制者,而Perform Content Limited或作为协议当事方的相关关联公司(该相关方称为“Stats Perform”或“我们”、“本公司”或“我们的”)则作为数据处理者。
若《数据共享协议》(MLA)与本《数据处理协议》(DPA)的条款之间存在冲突,应以本《数据处理协议》(DPA)的条款为准。在此前提下,《数据共享协议》(MLA)的其余条款仍继续完全有效。
现特此约定如下:
1. 定义
1.1. 在本数据处理协议中,大写术语应具有下文所载的含义,或视具体情况而定,具有《协议》其他部分所载的含义:
| 联盟 | 指在合同期限内,任何直接或间接控制某一方、受某一方控制,或与某一方受共同控制的实体。 |
| 《数据保护法》 | 指适用于双方的所有与隐私和/或个人数据保护有关的成文法、法律、次级立法及法规,包括(如适用):(i) 就欧盟而言,《通用数据保护条例》(EU)2016/679(“欧盟GDPR”)以及所有旨在实施、取代或补充该条例的相关成员国法律或法规; (ii) 就英国而言,《2018年数据保护法》(“英国DPA”)、英国《通用数据保护条例》(“英国GDPR”)(该术语具有英国DPA中赋予的含义)以及《2003年隐私与电子通信(欧盟指令)条例》(SI 2003/2426); 以及 (iii) 不时实施、修订、扩展、重新颁布、取代、合并或补充上述法律的任何适用法律法规。 |
| 欧盟标准合同条款 | 指欧盟委员会根据《欧盟通用数据保护条例》(GDPR)制定的、用于向第三国转移个人数据的标准合同条款,该条款载于2021年6月4日欧盟委员会实施决定(EU)2021/914的附件中(可通过此处链接查阅), 其相关附件载于本数据处理协议中,或任何经欧盟委员会批准、对上述条款进行修订、替代或取代的条款集。 |
| ICO英国补充条款 | 指英国信息专员根据《英国数据保护法》第119A条发布的《欧盟标准合同条款国际数据传输补充条款》,该条款已于2022年3月21日生效(可通过此链接查阅)。 |
| 国际转会 | 指受欧盟《通用数据保护条例》(GDPR)或英国《通用数据保护条例》(GDPR)(以适用者为准)第五章规管的数据转移。 |
| 国际转会条款 | 指欧盟标准合同条款(SCCs),以及在适用情况下,英国信息专员办公室(ICO)的补充条款。 |
| 被许可方的个人数据 | 指《许可协议》(以下简称“MLA”)中定义的“被许可方数据”中包含的、由我们与服务相关而处理的、且在本《数据处理协议》(以下简称“DPA”)附件中列明的任何个人数据。根据本《数据处理协议》第2.2条的规定,这可能包括被许可方关联方的个人数据。 |
| 服务 | 指根据本协议提供的平台访问服务。 |
1.2.“数据主体”、“个人数据”、“处理”及其变体,以及“控制者”和“处理者”等术语,其含义应依照《数据保护法》中的规定。
2. 预约
2. 1. 在 Stats Perform 向被许可方提供服务的过程中,被许可方可能会向服务提供或输入被许可方个人数据以供处理。 就此而言,被许可方为数据控制者,Stats Perform 为数据处理者,本《数据处理协议》(DPA)适用于此类情形。Stats Perform 代表被许可方对被许可方个人数据进行处理的事项(包括性质、目的、期限及其他方面)详见本《数据处理协议》的附件。
2.2. 被许可方的个人数据可能包含由被许可方关联公司作为数据控制者的个人数据。被许可方确认,其有权代表被许可方关联公司向 Stats Perform 传达任何指示或其他要求,涉及 Stats Perform 在提供服务过程中对被许可方个人数据的处理。
2.3. Stats Perform 受许可方委任,代表许可方和/或许可方关联公司(视具体情况而定)处理许可方个人数据,该处理系为提供服务所必需,或经双方书面另行约定。
2.4. 被许可方确认,其及其任何关联公司应独自负责确保,且被许可方保证并声明,根据《数据保护法》, 对被许可方个人数据的任何处理均基于适当的合法依据进行,已向相关数据主体提供了关于该数据处理的适当通知,被许可方个人数据准确且最新,并且已针对该数据确定并实施了适当的数据保留期限。
3. 期限
本数据处理协议自生效日起适用,并将在协议或服务终止或到期前一直完全有效(“期限”)。
4. 数据保护合规
4.1. 关于 Stats Perform 在合同期内作为数据处理方处理被许可方个人数据的事宜,除法律另有规定外,Stats Perform 同意:
4.1.1. 在处理被许可方个人数据时,遵守适用的数据保护法律;
4.1.2. 仅在提供服务所必需的范围内处理被许可方的个人数据,并应遵循被许可方不时在服务背景下合理提供的书面合法指示,以及用于其对匿名化数据的内部业务分析。 此外,Stats Perform可能需根据其适用的法律处理被许可方的个人数据;在此情况下,除非该法律基于重要的公共利益理由禁止披露此类信息,否则Stats Perform应在处理前将该法律要求告知被许可方。被许可方持续保证并声明,其指示不会导致Stats Perform违反法律;
4.1.3. 若其认为某项指示违反了《数据保护法》,应通知被许可方,且Stats Perform有权不予采纳该指示;
4.1.4. 确保所有经 Stats Perform 授权处理被许可方个人数据的人员均已承诺遵守保密义务,或受适当的法定保密义务约束;
4.1.5. 采取适当的技术和组织措施(依据本《数据处理协议》附件中规定的措施),在考虑到待保护的被许可方个人数据的性质以及任何安全漏洞(定义见下文)可能造成的危害风险的基础上,妥善保护被许可方个人数据;
4.1.6. 如收到任何依据《数据保护法》提出的数据主体请求,或与被许可方个人数据相关的监管或执法请求,应在不造成不当延误的情况下通知被许可方。Stats Perform 可对每项数据主体请求予以确认。 经与被许可方协商一致,Stats Perform可在被许可方承担费用的前提下,通过采取适当的技术和组织措施,在力所能及的范围内协助被许可方履行其根据《数据保护法》回应数据主体请求的义务;
4.1.7. 由被许可方承担费用,提供被许可方为确保其遵守数据保护法(涉及数据安全、数据泄露通知、数据保护影响评估以及与负责隐私和数据保护事务的主管监管机构进行事先磋商等方面)而可能合理要求的协助;
4.1.8. 在服务提供结束后,由被许可方自行选择并承担费用,删除被许可方个人数据或将被许可方所有个人数据返还给被许可方,并删除所有被许可方个人数据的现有副本,但为合法商业目的而保留的匿名化被许可方数据,或根据适用法律要求需继续存储的被许可方个人数据除外;以及
4.1.9. 由被许可方承担费用,向被许可方提供合理必要的信息,以证明 Stats Perform 遵守本数据处理协议,并允许由独立第三方在双方商定的合理通知期限内进行审计和检查。 被许可方在根据本条款行使审计权时,应确保(且应确保执行审计的一方确保)在遵守第5条的前提下:(a) 仅在Stats Perform或其关联方进行审计的办公地点的一般营业时间内进行审计; (b) 在进行审计时尽一切合理注意义务,确保业务运营不受干扰,特别是确保避免或减轻对其他客户环境的风险(例如对服务水平、数据可用性及保密性的影响);(c) 遵守数据保护法的任何适用规定及 Stats Perform 的合理要求; (d) 以相称的方式行使审计权,同时考虑服务的复杂性、服务产生的风险、服务的关键性或重要性,以及服务对被许可方业务连续性的潜在影响; (e) 遵守相关、公认的国家及国际审计标准;(f) 确保其员工或任何第三方审计师具备执行审计所需的适当且相关的技能和知识;以及 (g) 将根据本条款共享的所有信息视为保密信息。
5. 审计
关于上文第4.1.9条,就其次级处理者而言,Stats Perform将根据其与次级处理者达成的协议,行使其审计权(以符合欧盟《通用数据保护条例》(GDPR)或英国《通用数据保护条例》(GDPR)(视情况而定)第28条第3款第(h)项的要求)。 Stats Perform 有权自行决定(但须充分考虑被许可方的法律义务),若某项信息对 Stats Perform 的业务具有敏感性,或披露该信息将导致 Stats Perform 违反法定或合同义务,则 Stats Perform 有权不予披露该信息。 特别是,Stats Perform 不得允许被许可方访问任何关于 Stats Perform 被许可方的数据或信息、关于 Stats Perform 成本的数据或信息、关于质量和合同管理报告的数据或信息,或任何其他对商定的检查目的并非绝对必要的信息。
6. 次级处理者
6.1. Stats Perform 将根据本第 6 条的规定,聘请任何参与根据本《数据处理协议》处理被许可方个人数据的分包商(以下简称“分处理者”)。
6.2. 目前参与处理被许可方个人数据、以履行本《数据处理协议》项下特定数据处理活动的次级处理者名单,详见附件(该附件将不时更新)。自生效之日起,被许可方特此同意使用这些次级处理者处理其个人数据。
6.3. 若新增或更换的任何次级处理者与附件中所列次级处理者不同,且影响被许可方个人数据的处理,Stats Perform 应及时通知被许可方。若被许可方有合理理由反对此类变更,必须在收到 Stats Perform 根据本条款发出的通知后 14 天内通知 Stats Perform,否则该变更将被视为已接受。 若根据本条款合理提出异议,双方应本着诚意进行协商,以达成替代方案。然而,若 Stats Perform 合理认为未能就替代方案达成一致,Stats Perform 有权终止与次级处理者变更相关的服务。
6.4. 在聘用次级处理者时,Stats Perform 将:
6.4.1. 进行合理的尽职调查;
6.4.2. 在可行范围内,以与本《数据处理协议》条款实质上等同的条款订立合同,必要时可包含《国际数据转移条款》(或类似条款),以确保对被许可方个人数据的处理提供充分的保障;以及
6.4.3. 对于次级处理者履行本数据处理附录项下的数据处理义务,我方仍应对被许可方承担全部责任。
7. 安全事件
7.1.“安全漏洞”是指导致被许可方个人数据发生意外或非法销毁、丢失、篡改、未经授权披露或被访问的安全事件,该等数据由Stats Perform传输、存储或以其他方式处理。
7.2. 若 Stats Perform 获悉任何安全漏洞,将立即通知被许可方。在可行的情况下,Stats Perform 将分阶段发出通知。
7.3. Stats Perform 将对数据泄露事件展开调查,并采取合理措施以查明、预防及减轻数据泄露的影响。在由被许可方承担费用的前提下,Stats Perform 将根据被许可方的合理要求采取进一步措施,以符合数据保护法律的规定。
7.4. 在遵守数据保护法要求的前提下,未经Stats Perform事先书面批准,被许可方不得发布或公布任何关于数据泄露的文件、通讯、通知、新闻稿或报告;Stats Perform不得无理拒绝此类批准。
8. 国际数据传输
8.1. 被许可方确认,Stats Perform 可能会对被许可方的个人数据进行跨境传输。Stats Perform 将确保任何跨境传输(如发生)均符合适用数据保护法律规定的适当保障措施,包括在必要时与相关接收方签订适当的跨境传输条款(或替代性标准合同条款)。
8.2. 倘若被许可方受欧盟《通用数据保护条例》(GDPR)约束,并将被许可方的个人数据传输给Stats Perform以供在欧洲经济区以外进行处理,且该传输属于国际数据传输,且并非基于欧盟《通用数据保护条例》第45条所述的充分性决定,则双方应遵守欧盟标准合同条款(SCCs)的模块2(或如适用, 第3模块)版本的欧盟标准合同条款,该等条款被视为已纳入本数据处理协议并构成其组成部分,且应按以下方式填写:
8.2.1. 《欧盟标准合同条款》(SCCs)第7条(即“对接条款”)不适用;
8.2.2. 若“约定清单”载于附表且期限为14天,则就《欧盟标准合同条款》第9(a)条而言,应适用选项2;
8.2.3. 《欧盟标准合同条款》第11(a)条下的可选救济条款不适用;
8.2.4. 如适用,根据《欧盟标准合同条款》第13条,主管监督机构为爱尔兰数据保护委员会;
8.2.5. 对于《欧盟标准合同条款》第17条,将适用选项2,且适用法律为爱尔兰共和国法律;
8.2.6. 根据《欧盟标准合同条款》第18(b)条,管辖法院及司法管辖地为爱尔兰共和国法院;且
8.2.7. 欧盟标准合同条款(SCCs)的附件一和附件二应视为已填入下表所列信息。
8.3. 倘若被许可方受《英国通用数据保护条例》(UK GDPR)约束,且将被许可方的个人数据转移至Stats Perform以便在英国境外进行处理,且该转移属于国际数据转移,且并非基于《英国通用数据保护条例》第45条所述的充分性决定, 则应根据上述第8.2条适用欧盟标准合同条款(EU SCCs),并应视为已按英国信息专员办公室(ICO)附录的规定予以修订,该附录应被视为由各方签署,并纳入本数据处理协议(DPA)且构成其组成部分。若根据本第8.3条适用英国信息专员办公室(ICO)附录:
8.3.1. 《ICO英国附录》第一部分中的表1和表3应视为已根据欧盟标准合同条款(SCCs)附录中载列的相关信息以及(因此)下文附表中的信息予以填妥;
8.3.2. 在第1部分的表2中,“欧盟标准合同条款附录”被视为已纳入本数据处理协议的欧盟标准合同条款(根据上文第8.2条),其中包括附录信息(定义见英国信息专员办公室附录);
8.3.3. 第一部分中的表4在选择“双方均非”后即视为已填写;以及
8.3.4. 若欧盟标准合同条款(EU SCCs)与英国信息专员办公室(ICO)补充条款之间存在任何冲突,应按照《英国信息专员办公室补充条款》第9、10和11条的规定予以解决。
8.4. 如适用《国际数据传输条款》,其相关规定应取代本《数据处理协议》中Stats Perform的数据处理义务(包括第4至7条所载内容)。若《国际数据传输条款》的规定与本《数据处理协议》或《协议》存在任何冲突,则以《国际数据传输条款》为准。 《协议》的条款及本《数据处理协议》的条款均不得且无意以任何方式变更《国际数据传输条款》。
9. 赔偿责任
9.1. 无论本协议中是否有任何免责或责任限制条款,或是否有任何相反规定,被许可方均应且特此同意赔偿 Stats Perform 及其关联公司及其管理人员、雇员、代理人和分包商(以下统称“被赔偿方”)因任何第三方索赔、执法行动或其他程序而产生的任何索赔、损失、要求、诉讼、责任、罚款、处罚、合理费用、损害赔偿及和解金额(包括合理的律师费和诉讼费用),该等索赔、损失、要求、诉讼、责任、罚款、处罚、合理费用、损害赔偿及和解金额系因根据本协议及本数据处理附录(DPA)处理被许可方个人数据而引起或与之相关。
9.2. 在遵守第9.1条和第10.2条的前提下,任何一方根据本数据处理附录(DPA)承担的责任均应受《协议》中任何责任限制条款的约束。
10. 其他
10.1. 本《数据处理协议》中的条款标题及其他标题仅为便于参考而设,不构成本《数据处理协议》的组成部分,亦不影响本《数据处理协议》的含义或解释。
10.2. 本数据处理协议中的任何内容均不得排除或限制任何一方根据适用法律不可被限制或排除的责任。在遵守前款规定的前提下,(i) 本数据处理协议(包括任何附表、附件及附录)构成双方就本协议标的达成的完整协议,并取代双方此前就该标的达成的所有协议、谅解、谈判及讨论; 且 (ii) 双方在订立本数据处理协议时,均未依赖任何陈述、声明或保证(无论该等陈述、声明或保证系因过失或无过失而作出),且双方均无权基于该等陈述、声明或保证主张任何权利或救济,但本数据处理协议中明确载明的除外。
10.3. 被许可方应在发票日期后30天内向Stats Perform支付任何费用及开支,包括但不限于Stats Perform和/或其关联方因根据本数据处理协议(DPA)履行被许可方承担费用的义务而产生的合理律师费以及准备和发送信函的费用。
10.4. 所有关于终止或违约的通知均须以英文书面形式发出,并送达对方的主要联系人及法律部门。通知自对方收到时起视为已送达,以有效的收据或电子日志为凭。邮寄通知自通过挂号信寄出之日起48小时后视为已收到。
10.5. 本数据处理协议的各项条款具有可分割性。若任何短语、条款或规定全部或部分无效或不可执行,该无效或不可执行性仅限于该短语、条款或规定,本数据处理协议的其余部分仍具有完全效力。
10.6. 本数据处理协议受英国法律管辖,双方同意就本数据处理协议产生的任何争议(无论是否基于合同)接受英国法院的专属管辖,但第8条规定了替代救济途径而产生的争议除外;惟任何一方均可向任何法院申请禁令或其他救济,以保护其财产、知识产权或机密信息。
日程安排
数据处理细则
| A部分:当事人简介 | |
|---|---|
| 控制器 | 处理器 |
| 被许可方,其地址、联系方式、业务范围及签名(如适用)详见本协议。 | Stats Perform,其地址、联系方式、业务范围及签名(如适用)均按协议规定。 |
| 就本数据处理协议而言,Stats Perform 的联系邮箱地址为 privacy@statsperform.com。 | |
| B部分:服务说明及被许可方个人数据 | |
|---|---|
| 服务说明: | 本协议中所述的“平台访问服务”。 |
| 处理对象: | 被许可方在许可期限内为由 Stats Perform 提供的托管及相关服务,而上传、输入或提供给 Stats Perform 平台的被许可方个人数据。 |
| 处理的频率和持续时间 | 在协议终止或到期之前,或被许可方删除其个人数据之时(以较早者为准),将持续进行。 |
| 处理的性质和目的: | 作为服务的一部分,Stats Perform 对被许可方的个人数据进行以下处理活动,包括:托管、服务支持;以及内部软件和运营流程支持,包括存储、备份和数据库监控。 |
| 个人数据类型: | 被许可方的个人数据将根据输入、上传或提供给本服务的被许可方数据类型而有所不同,但可能包括但不限于: 联系方式——电子邮件、姓名、地址、出生日期、职位、个人履历(例如以往的球队信息和表现记录)、体育参与的统计详情、特殊类别数据(例如与球员伤病相关的健康数据)、评估/意见和建议、检测结果、图像和/或个人照片及视频片段 |
| 数据主体的类别: | 被许可方的人员、运动员及相关体育专业人士、承包商(及其人员)、供应商(及其人员)。 |
| 任何个人数据的保存期限: | 在履行本协议项下各方义务所需的期间内。 |
| C部分:列出次级处理者 | ||
|---|---|---|
| 姓名 | 处理类型 | 处理地点 |
| 第三方 | ||
| Google Cloud | 数据托管 | 比利时 |
| 亚马逊网络服务(AWS) | 数据托管 | 英国、澳大利亚或爱尔兰地区。 |
| K-Sport Universal S.R.L | 数据托管(关于Dynamix) | 英国、澳大利亚或爱尔兰地区。 |
| Stats Perform 合作伙伴 | ||
| Stats LLC | 数据托管 | 美国 |
| Perform Content Services 有限公司 | 数据托管 | 英国 |
| RunningBall 有限公司 | 数据托管 | 瑞士 |
| RunningBall 体育资讯个人有限公司 | 数据托管 | 葡萄牙 |
| RunningBall 私人有限公司 | 数据托管 | 马来西亚 |
| RunningBall 服务与咨询有限公司 | 数据托管 | 塞浦路斯 |
| RunningBall 体育信息有限公司 | 数据托管 | 奥地利 |
| Opta Sports Data Inc. | 数据托管 | 美国 |
| Opta Sports Data Limited | 数据托管 | 英国 |
| Opta Sports Data Srl | 数据托管 | 意大利 |
| OptaSports SA | 数据托管 | 西班牙 |
| D部分:技术与组织措施 | |
|---|---|
| 安全措施 | 练习 |
| 加密 | 相关服务采用了业界公认的加密措施,以保护数据和通信安全;数据在传输过程中和静止状态下均经过加密。 |
| 确保在发生物理或技术事故时,能够及时恢复个人数据的可用性和访问权限 | Stats Perform 应尽合理努力确保:(a) 被许可方的用户可在正常工作时间内使用服务;(b) 任何缺陷均按照《许可协议》(MLA)予以修复;以及 (c) 上传至服务中的被许可方数据得到定期备份。 已制定适当的安全事件管理政策和程序,以应对可能发生的事件。 被许可方可在正常工作时间内的任何时候联系 Stats Perform 报告缺陷。Stats Perform 应尽合理努力,根据《主许可协议》的条款提供相关缺陷的修复方案或临时解决方案。 Stats Perform 已制定并维护书面业务连续性及灾难恢复计划。 |
| 持续的保密性、完整性、可用性和弹性 | 本服务托管于安全数据中心,主要使用亚马逊网络服务(AWS)和谷歌云平台。 我们采用商业上合理且适当的方法和保障措施,以保护被许可方数据(包括被许可方个人数据)的机密性、可用性和完整性。 Stats Perform 确保获授权访问被许可方数据(包括被许可方个人数据)的人员已承诺遵守保密义务,或受适当的法定保密义务约束。 所有 Stats Perform 员工均接受过数据安全方面的适当培训,并必须遵守相关的安全规范和政策。系统管理员、开发人员及其他拥有特权访问权限的用户将接受专门且持续的培训。 维持反恶意软件和反病毒控制措施,以帮助防止恶意软件导致被许可方数据(包括被许可方个人数据)发生意外或非法的破坏、丢失、更改、未经授权的披露或访问。 对我们办公场所的物理访问通过门禁卡、电子钥匙和/或生物识别技术(指纹或面部识别)进行管控。 我们的技术系统已配置并针对个人提出的任何数据权利请求进行了优化,以便更便捷地履行我们及被许可方在适用数据隐私法律下的相应义务。我们能够应被许可方的请求,检索并删除个人的个人数据。 |
| 定期测试、评估和检验各项措施的有效性 | Stats Perform 每季度对 2 个并发端点进行持续测试,这些端点每季度轮换一次。 Stats Perform 的人力资源入职和离职流程负责账户及访问权限的授予和撤销。 在选择任何可能参与个人数据处理的供应商时,我们会对这些供应商进行适当的尽职调查,以确保这些第三方处理的任何个人数据均符合适用的数据保护法律。 我们内部制定并维护了适当的 IT、安全和数据保护政策,以明确在提供服务过程中接触被许可方数据(包括被许可方个人数据)的员工(包括技术及非技术人员)的角色与职责。这些政策包括我们的《集团数据保护政策》和《信息安全手册》。 当有必要将个人数据转移至位于英国和/或欧洲经济区(EEA)以外、且未获得欧盟或英国充分性决定的国家/地区的服务提供商时,我们会采取适当的保障措施,以确保该个人数据得到保护并遵守数据隐私法律。 此外,我们已建立完善的流程,用于审查员工对系统的访问权限,并及时应对安全威胁。 Stats Perform 就与服务相关的信息治理和数据管理,维持商业上合理的控制措施。 Stats Perform 将尽合理努力,仅使用提供服务所必需的最低限度个人数据。 |
