《数据控制者间数据保护补充协议》(适用于被许可方)
本《数据保护补充条款》(以下简称“补充条款”)已纳入以下主协议(及其中所包含的条款)(以下简称“协议”)的条款之中,并构成该协议的一部分:该协议由(1)作为协议一方的Stats Perform实体(以下简称“Stats Perform”)与(2)根据协议使用Stats Perform提供的材料且作为协议一方的被许可方(以下简称“被许可方”)。本附录的条款适用于以下情形:为遵守数据保护法规之目的,Stats Perform 根据本协议向被许可方共享个人数据,且本协议中的各方均作为数据控制者行事。
如果《协议》条款与本《补充协议》存在冲突,应以本《补充协议》的条款为准。在此前提下,《协议》的其余部分仍继续完全有效。
1. 定义
就本附录而言,“控制者”、“个人数据”和“处理”等术语的含义应与《英国通用数据保护条例》(UK GDPR)中赋予的含义相同,且:
数据保护法规
指适用于双方的所有与隐私和/或个人数据保护有关的成文法、法律、次级立法及法规,包括(如适用):(i) 就欧盟而言,《通用数据保护条例》(EU)2016/679(“欧盟GDPR”)以及所有旨在实施、取代或补充该条例的相关成员国法律或法规; (ii) 就英国而言,《2018年数据保护法》(“英国DPA”)、英国《通用数据保护条例》(“英国GDPR”)(该术语具有英国DPA中赋予的含义)以及《2003年隐私与电子通信(欧盟指令)条例》(SI 2003/2426); 以及 (iii) 不时实施、修订、扩展、重新颁布、取代、合并或补充上述法律的任何适用法律法规。
欧盟标准合同条款
指欧盟委员会根据《欧盟通用数据保护条例》(GDPR)制定的关于向第三国转移个人数据的标准合同条款,该条款载于2021年6月4日欧盟委员会实施决定(EU)2021/914的附件中(可通过此链接查阅), 其相关附件载于本附录中,或任何经欧盟委员会批准、对上述条款进行修订、替代或取代的条款集。
ICO英国补充条款
指英国信息专员根据《英国数据保护法》第119A条发布的《欧盟标准合同条款国际数据传输补充条款》,该条款已于2022年3月21日生效(可通过此链接查阅)。
国际转会
指受欧盟《通用数据保护条例》(GDPR)或英国《通用数据保护条例》(GDPR)(以适用者为准)第五章规管的数据转移。
国际转会条款
指欧盟标准合同条款(以及适用的英国信息专员办公室补充条款)。
2. 遵守数据保护法规
各方同意,其应履行数据保护法规规定的作为数据控制者的相应义务,并应确保其员工、代理人和承包商遵守数据保护法规下的所有适用义务。
3. 国际转会条款
a)倘若 Stats Perform 或其集团内的任何关联公司受欧盟《通用数据保护条例》(GDPR)约束,并将个人数据传输给被许可方以在欧洲经济区以外进行处理,且该传输属于国际数据传输,且并非基于欧盟《通用数据保护条例》第 45 条所述的充分性决定,则双方应遵守欧盟标准合同条款(SCCs)的模块 1 版本,该版本被视为已纳入本 本附录,并按以下方式填写:(a) 《欧盟标准合同条款》第11(a)条下的可选救济条款不适用;(b) 针对《欧盟标准合同条款》第17条,适用选项1,且准据法为爱尔兰共和国; (c) 欧盟标准合同条款第18(b)条规定的管辖地及司法管辖权为爱尔兰共和国法院;(d) 欧盟标准合同条款的附件I和附件II视为已填入下文欧盟标准合同条款附录中列明的信息;以及(e) 欧盟标准合同条款的附件III不适用。
b) 倘若Stats Perform 或其集团内的任何关联公司受《英国通用数据保护条例》(UK GDPR)约束,并将个人数据传输给被许可方以便在英国境外进行处理, 且该转移属于国际转移,且并非基于《英国GDPR》第45条所述的充分性决定,则应根据上文(a)款适用《欧盟标准合同条款》(EU SCCs),并应视为已按《ICO英国附录》的规定予以修订,该附录应视为由各方签署,并纳入本附录且构成其组成部分。 若根据本款适用《ICO英国补充条款》:(i) 《ICO英国补充条款》第一部分中的表1和表3应被视为已填入欧盟标准合同条款附录中载明的相关信息(因此)及下文的欧盟标准合同条款附录; (ii) 在第一部分的表2中,“欧盟标准合同条款附录”应被视为已纳入本附录(根据前述段落)的欧盟标准合同条款,包括附录信息(定义见《英国信息专员办公室(ICO)附录》); (iii) 第1部分中的表4应通过选择“双方均非”视为已填写;以及(iv) 欧盟标准合同条款与ICO英国附录条款之间的任何冲突,将根据ICO英国附录第9、10和11条予以解决。
c) 倘若《国际数据转移条款》被(全部或部分)修订、废止、替换或取代,或不再能根据《数据保护法规》为向被许可方转移个人数据提供合规途径,双方应通力合作,制定必要的保障措施,以确保继续遵守适用的《数据保护法规》。
d) 倘若《国际数据传输条款》的规定与本附录或《协议》存在任何冲突,则以《国际数据传输条款》为准。《协议》的条款及本附录的条款均不得且无意以任何方式变更《国际数据传输条款》。
欧盟标准合同条款附录
附件一
A. 各方
数据出口方(数据控制者):Stats Perform,其地址、联系方式、业务活动及签名(如适用)均按协议规定(但就欧盟标准合同条款而言,联系邮箱地址为privacy@statsperform.com)。
数据导入方(控制者):指被许可方,其地址、联系方式、业务活动及签名(如适用)均按协议规定。
双方同意本协议条款,即表示双方同意并接受受本补充协议条款以及适用的《国际数据传输条款》的约束。
B. 转让说明
个人数据被转移的数据主体类别:(i) 运动员、职业运动员及相关体育专业人士,以及 (ii) Stats Perform 及/或其关联公司的工作人员。
所转移的个人数据类别:关于运动员:此类信息通常用于使数据出口方能够编制统计数据和一般信息,或根据协议规定向被许可方提供其他相关商业服务。其中包括:姓名、身体特征、国籍以及体育赛事参与情况的统计详情。关于工作人员:姓名及联系方式(例如电子邮件地址)。
已转移的敏感数据(如适用)以及所采取的限制或保障措施,这些措施充分考虑了数据的性质及相关风险,例如严格的目的限制、访问限制(包括仅限接受过专项培训的员工访问)、记录数据访问情况、对后续转移的限制或额外的安全措施: 数据出口方通常不寻求收集敏感(或特殊类别)数据,但可能针对可能影响运动员参与体育活动的运动损伤收集此类数据。任何此类特殊类别的个人数据均须遵守下文附件II中规定的技术和组织措施。
数据传输的频率(例如,数据是单次传输还是持续传输):在协议有效期内持续传输。
数据转移和处理的性质及目的:数据出口方向其客户(包括数据进口方)提供体育内容相关服务,以便客户享受这些服务。数据转移的目的是提供此类体育内容相关服务(这可能涉及个人数据的共享)。
个人数据的保留期限;若无法确定该期限,则应说明用于确定该期限的标准:数据出口方和数据进口方应各自适用其个人数据保留政策。
C. 有管辖权的监管机构
在遵守《英国信息专员办公室(ICO)补充条款》(如适用)的前提下,根据《欧盟标准合同条款》第13条,主管监督机构为爱尔兰数据保护委员会。
附件二——技术和组织措施,包括为确保数据安全而采取的技术和组织措施
在不影响《协议》中规定的其他安全义务的前提下,数据接收方应当:
(i) 采取适当的技术和组织措施,保护根据本协议处理的任何个人数据;
(ii) 确保只有经过适当培训并获得授权的人员才能访问个人数据;
(iii) 确保建立安全可靠的管控措施,以保障处理系统和服务的持续安全性、完整性、可用性和弹性;
(iv) 建立一套完善且有组织的事件响应流程,以确保对信息安全和/或个人数据事件进行及时通报和响应;
(v) 制定并维护内部政策、程序和评估机制,旨在遵守数据保护法规,并确保个人数据免遭意外或非法的丢失、访问或披露;以及
(vi) 建立一套流程,定期测试、评估和审查其技术和组织措施的有效性,包括对人员的培训和沟通,以确保本附件二规定的措施得到落实。
附件三——不适用
代表 STATS PERFORM 签署
Stats Perform 旗下公司的名称:Perform Content Limited
签名:____________________________________
签署人姓名:____________________________________
日期:____________________________________
被许可方名称:____________________________________
签名:____________________________________
签署人姓名:____________________________________
日期:____________________________________
