跳到主要内容

当前版本: 1.1
Linode欧盟示范合同

最后更新2019年6月11日

 

欧盟合同范本的最新版本可在此处找到。

Linode 数据处理协议 

本文件為歐盟合約範本,參考並納入 Linode 主服務協議,經 Linode 不時修訂或修改。歐盟合約范本僅適用於以下 Linode 客戶:(i) 位於歐盟 ("EU")或歐洲經濟區 ("EEA");(ii) 獲准在歐盟或歐洲經濟區存取、傳輸或傳送資料;(iii) 確認同意 Linode 客戶協議和隱私權政策,且僅對上述客戶有效。

处理器标准合同条款

为第 95/46/EC 号指令第 26(2)条(经第 2016/679 号条例修订)之目的,将个人数据传输给在第三国设立的处理者,而这些国家不能确保足够的数据保护水平:

您,账户持有人,Linode 客户的授权代表("数据输出者)

我们 Linode, LLC,就本欧盟示范合同而言,地址为 249 Arch Street, Philadelphia, Pennsylvania 08090, United States of America("数据导入方")。

每一方都是"当事方",合在一起就是"当事方",...

同意以下合同条款(以下简称 "条款"),以便在数据输出方向数据输入方转移附录 1 所述个人数据时,在保护个人隐私及基本权利和自由方面采取充分的保障措施。

第 1 條

定义

就本条款而言

  1. 个人数据"、"特殊类别数据"、"处理/处理"、"控制者"、"处理者"、"数据主体 "和 "监督机构 "的含义与 1995 年 10 月 24 日欧洲议会和欧洲理事会关于在处理个人数据时保护个人以及关于此类数据自由流动的第 95/46/EC 号指令中的含义相同;
  2. 数据输出方 "指传输个人数据的控制方;
  3. 数据进口方 "是指同意从数据出口方处接收个人数据,以便在根据其指示和条款规定进行传输后代表其进行处理的处理方,且该处理方不受经第 2016/679 号法规修订的第 95/46/EC 号指令第 25(1)条所指的确保充分保护的第三国系统的约束;
  4. 次级处理者 "是指数据输入者或数据输入者的任何其他次级处理者聘用的任何处理者,该处理者同意从数据输入者或数据输入者的任何其他次级处理者那里接收个人数据,专门用于按照数据输出者的指示、本条款的规定和书面分包合同的规定进行转移后代表数据输出者开展的处理活动;
  5. 适用的数据保护法 "是指保护个人基本权利和自由的法律,特别是在处理个人数据方面保护其隐私权的法律,适用于数据输出者所在成员国的数据控制者;
  6. 技术和组织安全措施 "是指旨在保护个人数据免遭意外或非法破坏或意外丢失、篡改、未经授权的披露或访问(尤其是在数据处理涉及网络传输的情况下)以及所有其他非法形式的处理的措施。

第 2 條

转让详情

附录 1 具体说明了传输的详情,特别是适用的特殊类别个人数据,该附录是本条款的组成部分。

第 3 條

第三方受益人条款

  1. 資料當事人可作為第三方受益人對資料出口者執行本條、第 4(b)至(i)條、第 5(a)至(e)及(g)至(j)條、第 6(1)及(2)條、第 7 條、第 8(2)條,以及第 9 至 12 條。
  2. 如資料輸出者已在事實上消失或在法律上已不存在,資料當事人可對資料輸入者執行本條、第 5(a)至(e)及(g)條、第 6 條、第 7 條、第 8(2)條及第 9 至 12 條,除非任何繼承實體已透過合約或法律的實施承擔資料輸出者的全部法律義務,因而承擔資料輸出者的權利和義務,在此情況下,資料當事人可對該實體執行該等權利和義務。
  3. 在数据输出方和数据输入方均已事实上消失或在法律上不复存在或已资不抵债的情况下,数据主体可对次级处理方执行本条款、第5(a)至(e)和(g)条、第6条、第7条、第8(2)条以及第9至12条、除非任何继承实体已通过合同或法律的实施承担了数据输出方的全部法律义务,并因此承担了数据输出方的权利和义务,在这种情况下,数据主体可对该实体强制执行这些权利和义务。子处理方的第三方责任仅限于其根据本条款进行的处理操作。
  4. 如果数据当事人明确表示希望并在国家法律允许的情况下,双方不反对由协会或其他机构代表数据当事人。

第 4 條

数据输出者的义务

数据输出者同意并保证:

  1. 个人数据的处理,包括转移本身,一直并将继续按照适用的数据保护法的相关规定进行(并在适用的情况下,已通知数据输出方所在成员国的相关当局),且不违反该国的相关规定;
  2. 它已指示并将在整个个人数据处理服务期间指示数据输入方仅代表数据输出方并根据适用的数据保护法和条款处理所传输的个人数据;
  3. 数据导入者将就本合同附录 2 规定的技术和组织安全措施提供充分保证;
  4. 在对适用的数据保护法的要求进行评估后,安全措施适合于保护个人数据免遭意外或非法破坏或意外丢失、篡改、未经授权的披露或访问,特别是在处理过程涉及通过网络传输数据的情况下,并适合于保护个人数据免遭所有其他非法形式的处理,而且这些措施确保了与处理过程带来的风险和受保护数据的性质相适应的安全级别,同时考虑到了技术水平和实施成本;
  5. 确保遵守安全措施;
  6. 如果传输涉及特殊类别的数据,则在传输之前或之后尽快告知或将告知数据主体,其数据可能被传输到不提供第 95/46/EC 号指令所指的充分保护的第三国;
  7. 如果数据输出方决定继续传输或取消暂停,将根据第 5(b)条和第 8(3)条从数据输入方或任何次级处理方收到的任何通知转发给数据保护监督机构;
  8. 在数据当事人提出要求时,向其提供本条款(附录 2 除外)的副本、安全措施的简要说明以及根据本条款必须签订的任何子处理服务合同的副本,除非本条款或合同包含商业信息,在这种情况下,可以删除此类商业信息;
  9. 在分处理的情况下,处理活动是由一个分处理者根据第 11 条进行的,该分处理者对个人数据和数据主体权利提供的保护水平至少与数据进口者根据本条款提供的保护水平相同;以及
  10. 确保遵守第 4(a)至(i)条的规定。

第 5 條

数据导入者的义务

数据导入者同意并保证

  1. 仅代表数据输出方处理个人数据,并遵守其指示和本条款;如果因任何原因无法遵守本条款,则同意立即通知数据输出方其无法遵守本条款,在此情况下,数据输出方有权暂停数据传输和/或终止合同;
  2. 它没有理由认为适用于它的法律妨碍它履行从数据输出方收到的指示和合同规定的义务,如果该法律发生变化,可能对条款规定的保证和义务产生重大不利影响,它将在获悉变化后立即通知数据输出方,在这种情况下,数据输出方有权暂停数据传输和/或终止合同;
  3. 在处理转让的个人资料之前,已实施附录 2 规定的技术和组织安全措施;
  4. 它将立即通知数据输出者:
    1. 执法机构提出的任何具有法律约束力的披露个人数据的要求,除非另有禁止,如刑法禁止为执法调查保密、
    2. 任何意外或未经授权的访问,以及
    3. 直接从数据当事人处收到的任何请求,除非另有授权,否则不对该请求作出回应;
  5. 迅速妥善地处理数据输出方就其对转让所涉个人数据的处理提出的所有询问,并遵守监管机构就转让数据的处理提出的建议;
  6. 应数据输出者的要求,提交其数据处理设施,以便对条款所涵盖的处理活动进行审计,审计工作应由数据输出者或由数据输出者(如适用)经与监管机构协商选定的、由独立成员组成的检查机构进行,该检查机构应具备必要的专业资格,并受保密义务的约束;
  7. 应要求向数据当事人提供条款副本或任何现有的分处理合同副本,除非条款或合同包含商业信息,在这种情况下,它可以删除此类商业信息,但附录 2 除外,在数据当事人无法从数据出口方获得副本的情况下,附录 2 应由安全措施的简要说明取代;
  8. 在进行分处理时,已事先通知数据输出方并获得其书面同意;
  9. 分包商将按照第 11 条的规定提供处理服务;
  10. 将其根据本条款签订的任何子处理程序协议的副本立即发送给数据输出方。

第 6 條

责任

  1. 双方同意,因任何一方或次级处理方违反第 3 条或第 11 条所述义务而遭受损害的任何数据当事人有权从数据输出方处获得损害赔偿。
  2. 如資料當事人因資料輸入者或其次級處理者違反第 3 條或第 11 條所述的任何義 務,而無法根據第 1 款向資料輸出者提出索償,原因是資料輸出者在法律上已 事實上消失或不存在,或已無力償債、数据导入方同意,数据主体可向数据导入方提出索赔,如同其为数据导出方,除非任何继承实体已通过合同或法律的实施承担了数据导出方的全部法律义务,在此情况下,数据主体可向该实体行使其权利。数据输入方不得以次级处理方违反其义务为由规避自身责任。
  3. 如果由于数据出口方和数据进口方均已事实上消失或在法律上不复存在或已资不抵债,数据主体无法因数据次级处理方违反第3条或第11条所述的任何义务而向第1款和第2款所述的数据出口方或数据进口方提出索赔、数据子处理方同意,数据主体可就数据子处理方根据本条款进行的处理操作向数据子处理方提出索赔,如同其为数据输出方或数据输入方,除非任何继承实体已通过合同或法律的实施承担了数据输出方或数据输入方的全部法律义务,在此情况下,数据主体可对该实体行使其权利。子处理方的责任仅限于其根据本条款进行的处理操作。

第 7 條

调解和管辖权

  1. 数据导入者同意,如果数据主体根据本条款向其援引第三方受益权和/或要求损害赔偿,数据导入者将接受数据主体的决定:
    1. 将争议提交独立人士调解,或酌情提交监管机构调解;
    2. 将争议提交数据输出国所在成员国的法院。
  2. 双方同意,数据主体做出的选择不会损害其根据国内法或国际法的其他规定寻求补救的实体权利或程序权利。

條例草案第8條

与监管机构合作

  1. 如果监管机构提出要求或适用的数据保护法要求交存本合同,数据输出方同意向监管机构交存本合同副本。
  2. 双方同意,监管机构有权对数据输入方和任何次级处理方进行审计,审计范围和条件与根据适用的数据保护法对数据输出方进行的审计相同。
  3. 如果适用于数据输入方或任何次级处理方的法律妨碍根据第 2 款对数据输入方或任何次级处理方进行审计,数据输入方应及时通知数据输出方。在此情况下,数据出口方有权采取第 5(b)条规定的措施。

第 9 條

适用法律

本条款受数据输出方所在成员国法律管辖。

條例草案第10條

合同的变更

双方承诺不变更或修改条款。这并不妨碍双方在必要时增加与业务相关的条款,只要这些条款不与本条款相抵触。

條例草案第11條

子处理

  1. 未经数据出口方事先书面同意,数据进口方不得将其根据本条款代表数据出口方执行的任何处理操作分包出去。如果数据输入方在数据输出方的同意下分包其在本条款下的义务,则只能通过与次级处理方签订书面协议的方式进行,该协议对次级处理方规定的义务与本条款对数据输入方规定的义务相同。如果次级处理者未能履行书面协议规定的数据保护义务,数据输入者仍应对数据输出者履行次级处理者在该协议下的义务负全部责任。
  2. 数据进口商和次级处理商之间的事先书面合同还应规定第 3 条中规定的第三方受益人条款,以应对以下情况:数据主体因数据出口商或数据进口商事实上已消失或在法律上已不复存在或已资不抵债而无法向其提出第 6 条第 1 款所述的赔偿要求,且没有任何继承实体根据合同或法律规定承担数据出口商或数据进口商的全部法律义务。子处理方的第三方责任仅限于其根据本条款进行的处理操作。
  3. 与第 1 款所述合同的子处理有关的数据保护条款应受数据输出方所在成员国的法律管辖。
  4. 数据输出方应保存一份根据本条款缔结并由数据输入方根据第 5(j)条通知的子处理协议清单,该清单应至少每年更新一次。该清单应提供给数据输出方的数据保护监管机构。

條例草案第12條

个人数据处理服务终止后的义务

  1. 双方同意,在终止提供数据处理服务时,数据输入方和子处理方应根据数据输出方的选择,将所有转让的个人数据及其副本归还给数据输出方,或销毁所有个人数据,并向数据输出方证明其已这样做,除非对数据输入方施加的法律阻止其归还或销毁所有或部分转让的个人数据。在这种情况下,数据导入方保证其将保证所传输个人数据的保密性,并不再主动处理所传输的个人数据。
  2. 数据输入者和次级处理者保证,在数据输出者和/或监督机构提出要求时,将提交其数据处理设施,以便对第 1 款所述措施进行审计。

本条款已由账户持有人代表数据输出方于账户持有人在客户门户网站上表示接受的日期无条件审查和同意,并由 Linode 数据隐私官代表数据输入方于该日期接受。

欧盟合同范本附录 1

本条款已由账户持有人代表数据输出方于账户持有人在客户门户网站上表示接受的日期无条件审查和同意,并由 Linode 数据隐私官代表数据输入方于该日期接受。

  1. 生效日期。本欧盟合同范本及其所有附录(根据法律要求或允许不时进行修订或修改)自数据处理和客户协议生效之日起生效。
  2. 分包商。数据输出方同意并承认,数据输入方可自行决定雇用个人或实体代表数据输入方提供有限服务("分包商")。应允许所有分包商出于数据处理和客户协议允许的任何目的,访问、维护和/或传输数据处理和客户协议中定义的客户数据。
  3. 資料輸出方。数据输出方是数据处理和客户协议的非 Linode 方,本欧盟示范合同是该协议的附件。数据输出方是数据处理和客户协议中定义的 Linode 服务用户。
  4. 数据导入器。数据导入器是全球数据服务提供商 Linode, LLC。
  5. 数据主体。数据主体包括经数据导入方或数据导出方授权访问、维护和/或传输数据导出方数据的所有各方,包括但不限于数据导出方的代表、最终用户、员工、承包商、附属机构、联营公司、代理以及数据处理和客户协议中所述的所有其他各方。
  6. 資料類別。轉移的個人資料包括所有客戶資料(該詞彙在資料處理和客戶協議中有所定義),由資料出口方或資料出口方授權的資料當事人存取、維護和/或傳輸,與 Linode 服務相關。
  7. 处理操作。所传输的个人数据将遵守数据处理和客户协议规定的处理能力和政策。

欧盟合同范本附录 2

本条款已由账户持有人代表数据输出方于账户持有人在客户门户网站上表示接受的日期无条件审查和同意,并由 Linode 数据隐私官代表数据输入方于该日期接受。

資料輸入者根據第 4(d)及 5(c)條所實施的技術及組織保安措施的說明(或所附文件/法例):

    1. 1.一般控制。如数据处理和客户协议所述,数据导入方将维护合理适当的管理、物理和技术安全政策,以降低未经授权访问、传输或披露客户数据的风险(该术语在数据处理和客户协议中进行了定义)。可通过以下地址联系数据导入者的数据隐私官:

Linode, LLC
Attention:数据隐私官 James Ackley
费城
宾夕法尼亚州费城 19106

2.人员。如《数据处理和客户协议》所述,未经数据输出方授权,数据输入方人员不得处理个人数据。数据导入方将采取合理适当的措施,在本协议终止后的法定期限内保持个人数据的机密性。

数据输出者可通过电子邮件 privacy@linode.com(或通过数据输入者提供的其他方式)联系数据输入者的数据隐私官。