附件 1

数据共享、数据转移和共享数据

1 数据共享

1.1 双方承认,每一方将自行确定其处理根据本协议共享的个人数据(“共享数据”)的法律依据和条件,这些法律依据和条件载于不时修订的各自的隐私声明或适用数据保护法律要求的其它通知。

1.2 ComponentSource 的隐私声明可在此处找到

1.3 各方及其员工、工人、代理人或顾问(“人员”)将遵守其各自在适用数据保护法律下处理共享数据的义务,并将根据其各自的隐私声明处理共享数据。

1.4 您将确保您有符合适用数据保护法律的法律依据来处理共享数据,并且您不会向 ComponentSource 提供与共享数据收集时未被提供隐私声明副本的数据主体相关的任何共享数据;

1.5 每一方将:

1.5.1 及时提供另一方可能合理要求的信息、协助和/或访问,以响应数据主体的任何请求,并确保遵守适用数据保护法律规定的有关安全、违规通知、审计、影响评估以及与监督机构和/或监管机构协商的义务;

1.5.2 确保共享数据准确完整;

1.5.3 在二(2)个工作日内以书面形式通知另一方:(i) 如果其未履行本附件第 1 条规定的任何义务;(ii) 如果发现任何共享数据不准确或不完整;(iii) 因行使适用数据保护法律规定的任何权利而提出的任何数据主体请求的详细信息。 在任何情况下,未经 ComponentSource 事先书面同意,您都不得直接回复任何此类请求或通信,除非适用的数据保护法律要求或与 ComponentSource 的处理活动无关;以及 (iv) 涉及其或代表其处理的第三方处理的任何共享数据的任何可疑、潜在、实际或威胁的个人数据泄露;和

1.5.4 赔偿另一方因违反本附表引起或与之相关的所有责任,包括受偿方向第三方(包括其人员)支付或应付的所有款项,该些款项如果没有发生违反本附表的行为则无须支付或应付。 为避免疑问,双方同意本协议中规定的任何责任限制或排除不适用于其在本附表下的赔偿或偿还义务。

1.6 您将:

1.6.1 应 ComponentSource 的书面要求,立即与 ComponentSource 订立任何进一步协议和/或适用数据保护法律要求的用于共享数据国际转移的适当保障措施,例如欧盟委员会或其它主管机构根据适用的数据保护法律发布的标准合同条款;

1.6.2 确保对于您从与您不同的司法管辖区的数据主体收到的任何共享数据,已经根据适用的数据保护法律采取适当的国际转移保障措施;

2 国际数据转移

欧洲经济区向非欧洲经济区转移

2.1 如果源自欧洲经济区的共享数据被转移到欧洲经济区以外的地区(包括英国),而该地区尚未被指定为适当地区,则根据本第2条规定的要求并且除本协议如下条款以外,欧盟 SCC 的相关模块将被视为适用于此类转移:

2.1.1 每一方将被视为已经以其自己的名义并代表其自己就所披露的共享数据订立欧盟 SCC 的模块 1;

2.1.2 附表 1(允许的目的)的规定将被视为载于欧盟 SCC 模块 1 的附件 I;

2.1.3 附表2(安全措施)的规定将被视为载于示范条款模块1的附件 II;

2.1.4 将不选择第7条(对接条款);

2.1.5 将不选择第11(a) 条(补救)的可选元素。

2.1.6 将选择以下可选条款13(a) (监督):

2.1.6.1 爱尔兰作为监督机构,负责确保数据输出者遵守附件I.C中有关数据转移的法规(EU)2016/679,将担任主管监督机构。

2.1.7 应选择第17条(管辖法律)的选项 [1] ,并将适用以下管辖法律:

2.1.7.1 本条款将受欧盟成员国之一的法律管辖,前提是该法律允许第三方受益人权利。 双方同意此法律将是爱尔兰的法律。

2.1.8 以下法院和司法管辖区将在第18(b) 条(法院和管辖权的选择)做出选择:

2.1.8.1 双方同意其将是爱尔兰的法院(指定成员国)。

2.1.9 数据输入者将不得向位于欧洲经济区以外与数据输入者位于同一国家/地区或另一第三国的第三方披露个人数据(“后续转移”),除非该第三方在适当的模块下受或同意受欧盟 SCC 的约束。 否则,只有在第三方根据欧盟 GDPR 第 46 条或第 47 条确保在处理方面采取适当保护措施的情况下,数据输入者才能进行后续转移;

2.1.10 如果本协议与欧盟SCC的适用模块之间存在任何遗漏或冲突,则将以适用模块的规定为准。

英国向非欧洲经济区转移

2.2 如果源自英国的共享数据被转移到英国以外的尚未被指定为适当地区的地区,则除本协议条款并且除本协议如下条款以外,上述第 2 条中阐明的欧盟 SCC 和英国对欧盟 SCC 的国际数据转移附录(英国 SCC 附录)将被视为适用于该转移:

2.1.1 每一方将被视为已经以其自己的名义并代表其自己就所披露的共享数据订立了欧盟 SCC 和英国 SCC 附录;

2.2.2 转移的说明以及技术和组织措施载于本附件附表1和附表2;

2.2.3 附表2(安全措施)的规定将被视为载于旧示范条款的附录2;和

2.2.4 如果本协议与欧盟 SCC 和英国 SCC 附录之间存在任何冲突,则以后者为准。

非欧洲经济区向非欧洲经济区转移

2.3 如果数据输入者处理源自非欧洲经济区地区(“出口地区”)的共享数据,并且处理发生在与出口地区(“进口地区”)不同的地区,则数据输入者将按照符合出口地区适用隐私法律的标准处理共享数据。 特别是,数据输出者将告知数据输入者适用的隐私法律可能向其要求的任何标准,并将与数据输入者充分合作,以确保其对共享数据的处理符合这些标准。

2.4 在任何情况下,如果任何适用的隐私法律与本协议的规定相冲突,则在冲突的范围内:

2.4.1 如果适用隐私法律要求的数据保护标准超过本协议要求的标准,数据输入者将按照符合适用隐私法律的标准处理共享数据;和

2.4.2 如果本协议要求的数据保护标准超过适用隐私法律要求的标准,数据输入者将按照与本协议一致的标准处理共享数据。

附表1

允许的目的如上定义。

处理 - 共享数据

数据主体

所转移的个人数据涉及以下类别过去、现在和未来的数据主体:

  • 员工
  • 最终用户
  • 软件厂家
  • 代理商

数据的类别

所转移的个人数据涉及以下类别的数据:

  • 个人详细资料: 姓名和联系方式
  • 付款详情: 付款方式和详细信息;以及付款历史记录和通信。
  • 个人资料信息: 从与服务相关的数据主体收集的或关于数据主体的帐户信息
  • 设备数据: IP 地址、Cookie 数据、设备标识符和类似的设备相关信息。
  • 使用情况和分析信息: 从客户对服务的使用情况中整理的统计和分析数据。
  • 调查数据: 数据主体在调查中自愿提交的人口统计信息和反馈(包括种族/民族数据)。
  • 通信数据: 为提供客户支持而与数据主体的通信和其它通信(包括合法记录的电话通信数据)。
  • 营销偏好:内部通讯订阅以及与营销或广告相关的其它偏好。
  • 数据输出者被授权转移给数据输入者的其它类别的个人数据。

接收方 所转移的个人数据只能披露给以下接收者或接收者类别:

  • 与数据导入者属于同一组的公司:为该些条款所述目的之需,并在遵守该些条款中规定的保护措施的前提下。
  • 数据导入人员:数据输入者正式授权的销售、营销客户支持、IT 和其他员工、经理和董事将有权在需要了解的基础上访问个人数据,以履行其职责并严格用于上述目的。
  • 第三方服务提供商:会计师、审计师、律师和其他外部专业顾问;呼叫中心服务提供商;IT系统、支持和托管服务提供商;信用卡交易处理器;广告、营销和市场研究与分析服务提供商;银行和金融机构;文档和记录管理提供商;以及协助数据输入者开展业务活动的类似第三方供应商和外包服务提供商。
  • 公共机构和执法部门:根据适用法律查询或要求数据输入者报告信息的公共机构和执法部门的正式授权的工作人员。

附表2

安全措施

技术和组织安全措施

ComponentSource 采用各种安全措施和程序来保护个人数据,包括但不限于:

  1. 指定员工负责实施 ComponentSource 安全程序。
  2. 维护数据保护、保留和安全政策,这些政策定期审查,至少每年审查一次。
  3. 数据和网络安全控制,包括限制访问和部署商业行业标准加密技术。
  4. 密码控制,以确保使用和定期更新强大而唯一的密码。
  5. 访问控制,根据工作职责和管理级别来限制对个人数据和系统功能的电子访问,包括撤销离职员工的访问权限。
  6. 多因素身份验证和使用虚拟专用网络对系统或个人数据进行任何远程访问。
  7. 使用防火墙和安全软件来检测、过滤和击败攻击,并部署与个人数据传输相关的加密软件。
  8. 事件日志记录和相关监视程序,用于主动记录系统活动和用户访问,以便进行调查和例行审查。
  9. 服务器机房和其它包含个人数据的区域的物理和环境安全,以防止未经授权的访问并保护个人数据免受火或水损坏等危害。
  10. 根据行业标准配置、监控和维护技术和信息系统的操作实践和控制,包括在 ComponentSource 最终发布之前安全处置使所有个人数据无法破译或无法恢复的系统和介质。
  11. 网络安全控制,包括企业防火墙和入侵检测系统,以保护系统免受入侵并限制任何成功攻击的范围。
  12. 定期漏洞评估、补丁管理和其它监控程序,以帮助检测、击败或缓解已识别的安全威胁、病毒和其它恶意代码。
  13. 业务连续性程序旨在在紧急情况或灾难情况下维护服务交付和个人数据的安全性。

其它有用信息(储存限制和其它相关信息)

个人数据的保留时间不会超过上述目的所需的时间或适用法律要求所需的时间。 在任何情况下,个人数据的保留时间绝不会超过适用法律允许的时间。

与数据相关的所有查询或请求,请联系:
dpm@componentsource.com 或如果发生紧急情况,
请致电 ComponentSource: (770) 250 6105+44 1189 822108

CSWWLIC 11/2023