数据处理协议
本数据处理协议(“DPA”)由以下双方签订:
(1)MEFERI Technologies Co., Ltd.,一家根据中国法律注册成立的公司,其注册办事处位于中国四川省成都市高新区世纪城路1129号天府软件园A5栋5楼,邮编610000(“MEFERI”、“处理者”、“我们”或“我们的”);以及
(2) 客户(“客户”、“控制者”或“您”),即已订阅或使用下文定义的MEFERI服务并已同意MEFERI的主要服务条款或其他主协议(“主要协议”)的法人实体。
本 DPA 构成主协议不可分割的一部分,并反映了双方关于 MEFERI 代表客户处理与服务相关的个人数据的协议。
通过接受主协议,或在本 DPA 公布后访问或使用服务,客户代表其自身并在适用数据保护法要求的范围内以其授权用户的名义和代表其授权用户签订本 DPA。
如果本 DPA 与主协议之间存在任何冲突,则在与个人数据处理相关的冲突范围内,应以本 DPA 为准。
1.定义
1.1. “主协议”指客户与 MEFERI(或根据第 18.4 条的签约 MEFERI 关联公司)之间就提供服务而达成的主要书面协议(可能名为“服务条款”、“一般服务条款”、“主服务协议”、“服务合同”、“订购协议”或类似名称),包括任何特定服务计划条款(例如“MeCare(计划名称):一般服务条款”)以及据此执行的任何订单或工作说明书。本数据处理协议 (DPA) 构成该主协议不可分割的一部分。
1.2. “适用数据保护法”是指适用于本 DPA 项下个人数据处理的所有法律和法规,包括但不限于 GDPR 以及任何国家实施法律、法规和二级立法(不时修订或更新)。
1.3. “控制者”的含义见《GDPR》第4(7)条。就本DPA而言,客户即为控制者。
1.4.“数据主体”具有 GDPR 第 4(1) 条规定的含义。
1.5. “GDPR” 是指欧洲议会和理事会于 2016 年 4 月 27 日颁布的关于在个人数据处理和此类数据自由流动方面保护自然人并废除 95/46/EC 指令的 (EU) 2016/679 号条例(通用数据保护条例)。
1.6.“个人数据”具有 GDPR 第 4(1) 条中规定的含义,且仅限于 MEFERI 代表客户在提供服务时处理的个人数据,如附录 1 中进一步所述。
1.7.“个人数据泄露”具有 GDPR 第 4(12) 条中规定的含义,具体是指安全漏洞,导致 MEFERI 传输、存储或以其他方式处理的客户个人数据被意外或非法破坏、丢失、更改、未经授权披露或访问。
1.8. “处理”的含义见 GDPR 第 4 条第 2 款。“处理”和“已处理”应作相应解释。
1.9. “处理方”是指 MEFERI Technologies Co., Ltd.(MEFERI),或根据本 DPA 第 18.4 条适用的情况,指与客户签订的主协议的签约 MEFERI 关联方。
1.10. “服务”指 MEFERI 根据主协议向客户提供的产品和服务,具体包括但不限于 MEFERI 的 Shadowalk MDM/EMM 云解决方案、CIAO 智能购物助手 (ISA) 解决方案的云托管组件(MEFERI 作为处理方),以及任何相关的支持服务(包括但不限于根据 MEFERI MeCare 服务合同提供的服务),MEFERI 负责处理客户个人数据。为明确起见,服务不包括 MEFERI 软件的本地部署,此类部署仅在客户环境中持续处理个人数据,除非 MEFERI 根据客户指示访问此类系统以获取支持。
1.11. “子处理者”是指 MEFERI 聘请的任何第三方,代表客户处理与服务相关的个人数据。
1.12. “技术和组织措施”或“TOM”是指 MEFERI 为保护个人数据而实施的安全措施,详见附录 2。
1.13. “第三方合作伙伴解决方案”是指由第三方提供的可与 MEFERI 的硬件或服务集成或结合使用的软件或服务,例如支付解决方案(例如 WorldLine“Tap on Mobile”)或零售自助扫描软件(例如 4MAX“Scan & Go”),其中客户可能与此类第三方存在直接合同关系。
2. 角色和职责
2.1. 双方角色:客户为客户个人数据的控制方,MEFERI为处理方。各方应遵守适用数据保护法规定的各自义务。
2.2. 客户作为控制者的义务:客户声明并保证:
a. 其已遵守并将继续遵守适用数据保护法中有关其处理个人数据以及向 MEFERI 发出的任何处理指令的所有适用规定;
b. 其对个人数据的准确性、质量和合法性以及获取个人数据的方式负全部责任,包括获得所有必要的同意、提供所有必要的通知,并为 MEFERI 根据本 DPA 和主协议处理个人数据提供有效的法律依据;以及
c. 其对 MEFERI 处理个人数据的指示应符合适用的数据保护法。
2.3. MEFERI 作为处理者的义务:MEFERI 应:
a. 仅根据客户的书面指示处理个人数据,包括将个人数据转移到第三国或国际组织,除非 MEFERI 所遵守的联盟或成员国法律要求这样做;在这种情况下,MEFERI 应在处理前告知客户该法律要求,除非该法律基于重要的公共利益理由禁止此类信息(GDPR 第 28(3)(a) 条)。主协议和本数据处理协议 (DPA) 构成客户向 MEFERI 发出的关于处理个人数据的书面指示。
b. 如果 MEFERI 认为某项指令违反了适用的数据保护法(GDPR 第 28(3) 条),则立即通知客户。
3. 处理细节
3.1. 处理的主题、处理的持续时间、处理的性质和目的、个人数据的类型以及数据主体的类别均在本 DPA 的附录 1(处理详情)中列出。
4. 保密性
4.1. MEFERI 应确保其授权处理个人数据的人员已承诺保密或承担适当的法定保密义务(GDPR 第 28(3)(b) 条)。
5. 处理安全性
5.1. 考虑到现有技术水平、实施成本和处理的性质、范围、背景和目的,以及对自然人权利和自由的不同可能性和严重程度的风险,MEFERI 应实施并维持适当的技术和组织措施,以确保与风险相适应的安全级别,如附录 2(技术和组织措施)中所述(GDPR 第 28(3)(c) 条和第 32 条)。
5.2. MEFERI 可能会不时更新或修改 TOM,前提是此类更新和修改不会导致服务整体安全性的重大下降。
6. 子处理
6.1. 一般授权:客户授予 MEFERI 一般书面授权,授权其聘请子处理者代表客户处理与提供服务有关的个人数据(GDPR 第 28(2) 条)。
6.2. 现有子处理商及新子处理商通知:MEFERI 应维护其现有子处理商列表,并应客户要求或通过指定网页(参见附录 3)提供。MEFERI 应至少提前三十 (30) 个日历日将任何涉及新增或替换其他子处理商的变更告知客户,以便客户有机会对此类变更提出异议。
6.3. 反对新的子处理者:如果客户有合理依据反对 MEFERI 使用新的子处理者,客户应在收到 MEFERI 通知后十 (10) 个工作日内立即以书面形式通知 MEFERI。如果客户反对,MEFERI 将尽合理努力向客户提供服务变更,或建议对客户的服务配置或使用进行商业上合理的变更,以避免被反对的新子处理者处理个人数据,且不会给客户带来不合理的负担。如果 MEFERI 无法在合理的时间内(不超过三十 (30) 个日历日)提供此类变更,客户可以通过向 MEFERI 提供书面通知来终止 MEFERI 在不使用被反对的新子处理者的情况下无法提供的相应服务部分。
6.4. 子处理者义务:MEFERI 应确保其聘用的任何子处理者均受联盟或成员国法律规定的书面合同或其他法律行为的约束,这些法律规定数据保护义务至少与本 DPA 对 MEFERI 规定的义务相同,特别是提供足够的保证以实施适当的技术和组织措施,使处理符合适用数据保护法的要求(GDPR 第 28(4) 条)。
6.5. 责任:MEFERI 应对其子处理器履行数据保护义务向客户承担全部责任。
7. 数据主体权利
7.1. 考虑到处理的性质,MEFERI 应在可能的范围内通过实施适当的技术和组织措施协助客户履行其义务,以响应行使 GDPR 第三章规定的数据主体权利的请求(例如,访问、更正、删除等权利)(GDPR 第 28(3)(e) 条)。
7.2. 如果 MEFERI 收到数据主体直接提出的与客户个人数据相关的请求,MEFERI 应立即通知客户该请求,且除确认该请求与客户相关外,不得再向数据主体做出任何回应。客户应负责回应所有此类数据主体的请求。
8. 协助控制者
8.1. 考虑到处理的性质和 MEFERI 可获得的信息,MEFERI 应向客户提供合理的协助,以确保其遵守 GDPR 第 32 至 36 条规定的义务(处理安全、向监管机构通知个人数据泄露、向数据主体通报个人数据泄露、数据保护影响评估以及与监管机构的事先协商)(GDPR 第 28(3)(f) 条)。
9. 个人数据泄露通知
9.1. 通知客户:
MEFERI 在发现影响客户个人数据的个人数据泄露后,应立即通知客户,无论如何应在四十八 (48) 小时内通知客户(GDPR 第 28(3)(f) 条和第 33(2) 条)。
9.2. 该通知应尽可能描述:
a. 个人资料泄露的性质,包括在可能的情况下,涉及的数据主体的类别和大约数量,以及涉及的个人资料记录的类别和大约数量;
b. MEFERI 数据保护官或可以获得更多信息的其他联系点的姓名和联系方式;
c. 个人数据泄露可能造成的后果;以及
d. MEFERI 为解决个人数据泄露问题而采取或拟采取的措施,包括在适当情况下减轻其可能产生的不利影响的措施。
9.3. 如果无法同时提供所有信息,则可分阶段提供信息,而不会出现不必要的拖延。
9.4. 客户应全权负责遵守适用数据保护法规定的自身数据泄露通知义务。MEFERI 根据本第 9 条对个人数据泄露的通知或回应不应被视为 MEFERI 承认与个人数据泄露相关的任何过错或责任。
10. 删除或返回数据
10.1. 根据客户的选择,MEFERI 应在处理相关服务结束后删除或将所有个人数据返还给客户,并删除现有副本,除非欧盟或成员国法律要求存储个人数据(GDPR 第 28(3)(g) 条)。具体的保留和删除时间表将按照主协议中的规定或另行约定。
11. 审计和检查
11.1. MEFERI 应向客户提供所有必要信息,以证明其遵守了 GDPR 第 28 条规定的义务,并允许和协助客户或客户委托的其他审计员进行的审计(包括检查)(GDPR 第 28(3)(h) 条)。
11.2. 此类审计应在MEFERI的正常营业时间内进行,并须提前至少三十 (30) 个日历日以合理的书面形式通知,且不得对MEFERI的业务活动造成不合理的干扰。客户和MEFERI应就审计的范围、时间和持续时间达成一致。
11.3. 客户应确保任何审计师均遵守书面保密协议。客户应承担其自身费用及其委托的审计师的任何费用。如果审计发现 MEFERI 严重违反本 DPA,则 MEFERI 应承担合理的审计费用,最高限额为双方商定的上限。
11.4. 在法律允许的范围内,MEFERI 可以通过向客户提供独立第三方审计机构的相关认证(例如 ISO 27001、SOC 2 Type II)或其摘要来履行其审计义务,但须遵守适当的保密义务。
12. 国际数据传输
12.1. MEFERI 不得将个人数据传输到欧洲经济区 (EEA) 以外的任何国家或欧盟委员会根据 GDPR 第 45 条认为适当的国家,除非确保已按照 GDPR 第 V 章的要求采取适当的保障措施(例如,通过签订欧盟委员会批准的标准合同条款)。
12.2. 本服务的主要数据处理地点(具体而言,客户个人数据由 MEFERI 在其主要云基础设施上托管)位于欧洲经济区 (EEA) 内,使用亚马逊网络服务 (AWS) eu-west-3 区域(法国巴黎)。有关分包商的更多详细信息,包括云基础设施提供商及其位置,请参阅附录 3。
12.3. 如果 MEFERI 将个人数据传输至位于第三国(即欧洲经济区以外或欧盟委员会认为不充分的国家/地区)的子处理者,且该第三国/地区无法确保提供足够的保护,则 MEFERI 应确保此类传输符合 GDPR 第五章规定的适当传输机制,例如标准合同条款。这包括 MEFERI 使用其基础设施或支持人员位于此类第三国/地区的子处理者的服务时可能发生的传输,即使 12.2 中指定的主要处理地点位于欧洲经济区内。
13. MEFERI 对第三方合作伙伴解决方案的使用
13.1. 客户承认,MEFERI 的硬件或服务可与第三方合作伙伴解决方案(例如,CIAO 设备上的支付处理解决方案、特定的零售管理软件)结合使用。
13.2. 如果客户选择使用此类第三方合作伙伴解决方案,客户可与此类解决方案的提供商建立直接合同关系。在这种情况下,第三方提供商可作为其服务中处理的个人数据的控制者或处理者,具体由客户与该第三方的协议决定。
13.3. 本数据处理协议 (DPA) 仅适用于 MEFERI 作为客户处理者对个人数据的处理。本协议不适用于由第三方合作伙伴解决方案提供商开展的处理活动,如果客户与此类提供商存在直接关系,除非此类提供商根据本数据处理协议 (DPA) 第 6 条作为 MEFERI 的子处理者。
14. 责任和赔偿
14.1. 本 DPA 项下各方的责任应遵守主协议中规定的责任限制和排除。
14.2. 客户应赔偿并使 MEFERI 免受因客户违反本 DPA 或适用数据保护法规定的义务而导致 MEFERI 产生的所有索赔、诉讼、第三方索赔、损失、损害和费用(包括合理的法律费用)。
15. 期限和终止
15.1. 本 DPA 自主协议生效之日起生效,并持续有效,直至主协议终止或到期,或直至 MEFERI 停止代表客户处理个人数据(以较晚者为准)。
15.2. 保密义务、数据删除/返还义务以及任何本质上应在终止后继续有效的规定,应在本 DPA 终止或到期后继续有效。
16. 本数据保护协议的变更
16.1. MEFERI 可能会不时通过在其网站上发布修订版本或以其他方式通知客户来修订本 DPA。
16.2. 如果 MEFERI 对本 DPA 做出重大变更,MEFERI 将向客户提供合理的变更通知(例如,通过电子邮件发送给客户指定的联系人或在服务中发布通知)。客户在该通知期后继续使用服务,即表示接受修订后的 DPA。如果客户反对重大变更,客户可以根据主协议的条款终止主协议。
17. 适用法律和争议解决
17.1. 适用法律:本 DPA 应受客户与该主协议的 MEFERI 实体方(“签约 MEFERI 实体”)之间签订的主协议中规定的适用法律的管辖并依其解释。
17.2. 争议解决:
a. 双方应尽力通过其授权代表之间的善意谈判,友好解决因本 DPA 及其解释、有效性、违反或终止而引起的或与之相关的任何争议、纠纷或索赔(“争议”)。b. 如果争议无法在一方发出启动谈判的书面通知后三十 (30) 个日历日内通过谈判解决,则该争议应根据主协议中规定的争议解决机制(例如仲裁或法院程序)和地点解决。c. 如果主协议规定了仲裁:
i. 此类仲裁应为本 DPA 项下解决争议的主要机制。ii. 除非主协议另有规定,或主协议未对与本 DPA 相关的事项的仲裁细节作出规定,否则双方同意,任何此类争议均可提交双方同意的国际公认仲裁机构(例如深圳国际仲裁院 (SCIA)、新加坡国际仲裁中心 (SIAC) 或香港国际仲裁中心 (HKIAC),或如果缔约 MEFERI 实体是欧盟的关联公司,则提交欧盟内的适当机构)管理的仲裁。iii. 仲裁应以英语进行。仲裁地点或法定地点应按照主协议中的规定进行,如果没有规定,或者双方就特定争议同意不同的地点,则由双方共同协商确定地点,如果未能在合理期限内达成此类协议,则由缔约 MEFERI 实体选择地点。iv.仲裁裁决应为终局裁决,对双方均具有约束力,但双方均有权根据仲裁地法律对程序不公平或缺乏管辖权提出上诉。
d. 如果主协议规定了法院诉讼,则主协议中指定的法院具有管辖权,但须遵守下文第 17.3 条的规定。
17.3. 强制性数据保护法考虑:a. 尽管本 DPA 或主协议中有任何其他规定,但如果适用数据保护法(包括但不限于 GDPR)赋予数据主体在其惯常居住地或工作地或涉嫌侵权行为发生地的法院提起诉讼或向监管机构提出投诉的强制性权利,则此类权利不得因本 DPA 的条款而受到损害。b. 如果 GDPR 适用,MEFERI 和客户将确保任何管辖法律或司法管辖区的选择不会阻止数据主体受益于其居住的欧盟成员国法律的任何强制性规定。
17.4. 继续履行:在争议解决之前,双方应在切实可行的范围内继续履行本 DPA 项下的各自义务,除非 DPA 或主协议终止。
18. 联系信息/数据保护
18.1. 处理方:MEFERI Technologies Co., Ltd. 地址:中国四川省成都市高新区世纪城路1129号天府软件园A5栋5楼 邮编:610000
– 数据保护咨询邮箱: legal@meferi.com
18.2. 数据保护查询和 DPO(针对 MEFERI Technologies Co., Ltd.):所有与本 DPA 下的数据保护相关的查询都应发送至上述第 18.1 节中为 MEFERI Technologies Co., Ltd. 指定的电子邮件地址。
18.3. MEFERI Technologies Co., Ltd. 的欧盟代表(根据 GDPR 第 27 条): 欧盟代表姓名:MEFERI Poland Sp. z oo 地址:Ul. Modelarska 18/2, 40-142 Katowice, Poland 欧盟数据保护咨询电子邮件(针对欧盟境内与 MEFERI Technologies Co., Ltd. 的数据处理相关的数据主体和监管机构): poland@meferi.com
18.4. MEFERI 关联公司的处理:当客户与 MEFERI Technologies Co., Ltd. 的关联公司(例如 MEFERI Poland Sp. z oo)(“签约 MEFERI 关联公司”)签订主协议时,该签约 MEFERI 关联公司将作为该主协议项下的个人数据处理者:
a) 本 DPA 适用于缔约 MEFERI 关联公司执行的处理活动,并且本文件中所有提及“MEFERI”或“处理者”均应视为指该缔约 MEFERI 关联公司。
b) 与该签约MEFERI关联公司处理数据相关的数据保护咨询联系信息,应以主协议中规定的信息或签约MEFERI关联公司另行告知客户的方式提供。MEFERI Poland Sp. z oo的联系方式如下:地址:Ul. Modelarska 18/2, 40-142 Katowice, Poland
电子邮件: poland@meferi.com
电话:+48 734-143-579
c) 在此情况下,本 DPA 的适用法律和争议解决应由与签约 MEFERI 关联公司签订的主协议决定。
19. 全部同意MENT
19.1. 本 DPA(包括其附录)构成双方就本协议标的达成的完整协议,并取代所有先前和同期的、关于本协议标的的书面或口头协议、提议或陈述。
兹证明,双方确认自主协议生效之日起或客户使用服务之日起同意本数据处理协议。
—
附录 1
处理细节
本附录 1 构成 DPA 的一部分,描述了 MEFERI 代表客户对个人数据的处理。
A. 缔约方名单
控制者/客户:
与 MEFERI 签订主协议以提供服务的法人实体。客户决定处理个人数据的目的和方式。
处理器/MEFERI:
MEFERI Technologies Co., Ltd.,或根据本 DPA 第 18.4 条适用的情况,与客户签订主协议的签约 MEFERI 关联方,向客户提供服务。
B. 处理描述
1. 处理的主题:
在提供、维护、支持和改进客户根据主协议订阅的 MEFERI 服务的背景下处理个人数据,包括但不限于 MEFERI Shadowalk MDM/EMM 云解决方案和 CIAO 智能购物助手 (ISA) 解决方案的云托管组件。
2. 处理时长:
在 MEFERI 与客户之间的主要协议期限内,直至所有个人数据根据 DPA 第 10 条被删除或归还。
3. 处理的性质和目的:
– 对于 MEFERI Shadowalk MDM/EMM 云解决方案:使客户能够远程管理、保护、监控和支持其移动设备群。这包括设备配置、配置管理、应用程序管理、安全策略实施、设备追踪(如果客户已启用)、远程诊断以及为客户生成设备状态和使用情况报告。
– 对于 MEFERI CIAO ISA 云组件(其中 MEFERI 为处理者):为客户(零售商)运行智能购物助手解决方案提供便利。这可能包括用户身份验证、购物清单管理、产品信息处理、客户交互数据(用于向零售商提供分析数据),以及根据客户指示实现与第三方服务的集成。
– MeCare 服务合同:对于 MEFERI MeCare 服务(其中 MEFERI 充当处理者):提供适用的“MeCare(计划名称):一般服务条款”和 MeCare 支持服务指南中所述的合同支持、维护、维修、监控和设备管理服务,其中可能涉及访问、收集或以其他方式处理存储在客户设备上或由客户设备传输的个人数据,或由客户在服务交付过程中提供的个人数据。
– 对于支持服务:为服务提供技术支持、故障排除、维护和更新,这可能涉及根据客户的要求和指示访问服务内或客户系统上处理的个人数据。
– 遵守本 DPA 和主协议中规定的客户书面指示。
– 遵守适用的法律义务。
4. 数据主体类别:
– 客户的员工、承包商和授权用户:代表客户管理或使用服务的个人(例如,使用 Shadowalk 的 IT 管理员、管理或使用 CIAO 的零售员工)。
– 客户管理设备的最终用户(针对 Shadowalk):使用客户通过 Shadowalk 解决方案管理的移动计算机或其他设备的个人(例如,客户的员工)。
– 客户的客户(购物者)(对于 CIAO,如果 MEFERI 代表零售商客户在云后端处理他们的个人数据):在零售商商店中使用 CIAO ISA 设备的个人。
5. 处理的个人数据类型:
所处理的个人数据的具体类型取决于客户使用的服务以及客户如何配置和使用这些服务。个人数据可能包括:
– 用户帐户和联系信息:姓名、电子邮件地址、用户名、密码、电话号码、职位、部门、员工 ID、服务内的角色/权限(如果适用于客户的服务管理)。
– 设备信息(针对 Shadowalk):设备标识符(例如,序列号、IMEI、MAC 地址、UDID)、设备型号、操作系统版本、IP 地址、网络信息、设备配置设置、已安装的应用程序、设备位置数据(如果客户启用)。
– 使用情况和日志数据(针对 Shadowalk 和 CIAO 云):与使用服务相关的系统日志、审计跟踪、活动日志、性能数据、诊断数据。
– 购物者数据(适用于 CIAO,如适用):购物者帐户详细信息(例如,忠诚度 ID、购物者通过 CIAO 上的零售商应用程序注册时提供的电子邮件)、购物清单、产品扫描历史记录、与 CIAO 设备的交互数据。
– 支持数据:客户在支持互动期间提供的信息,包括联系方式、问题描述、系统配置详细信息以及与 MEFERI 共享的用于故障排除的日志或文件中包含的任何个人数据。
– 客户(或其授权用户或数据主体)选择提交给服务的任何其他个人数据。
6. 特殊类别的个人资料(如有):
MEFERI 无意代表客户处理任何特殊类别的个人数据(定义见 GDPR 第 9 条)。除非与 MEFERI 明确达成书面协议并遵守适当的安全措施,否则客户不得上传、提供或指示 MEFERI 处理任何特殊类别的个人数据。如果客户在未经事先同意的情况下提供此类数据,则客户应全权负责确保此类处理具有有效的法律依据。
—
附录 2
技术和组织安全 MEASURES (TOMS)
本附录 2 描述了 MEFERI 为确保个人数据处理达到适当的安全级别而实施的技术和组织措施。MEFERI 可能会不时更新这些措施,但前提是此类更新不会实质性地降低服务的整体安全性。
1. 信息安全政策和治理:
a. MEFERI 维护旨在保护个人数据的内部政策和程序。
b. 明确并分配信息安全职责。
c. 定期进行风险评估,以识别和减轻对个人数据的威胁。
2.人员安全:
a. 有权访问个人数据的员工和承包商须承担保密义务。
b. 为相关人员提供有关其数据保护和安全职责的安全意识培训。
c. 在适用法律允许的情况下,可能会对担任敏感职务的人员进行背景调查。
3.物理访问控制:
a. 已采取措施防止未经授权的物理访问 MEFERI 可能处理个人数据的场所和设施(例如办公室)。
b. 这包括安全边界、访问控制系统、监视和适当情况下的物理访问记录。
c. 对于 MEFERI 用于服务的数据中心(即其主要云服务提供商 Amazon Web Services – AWS 的数据中心),MEFERI 依赖于 AWS 实施的强大的物理安全措施。
4.系统访问控制(逻辑访问):
a. 只有授权人员才能访问处理个人数据的 IT 系统。
b. 使用唯一的用户 ID 和强大的身份验证机制(例如,复杂密码、适当且可行的多因素身份验证)。
c. 根据最小特权原则(基于角色的访问控制)授予访问权限。
d. 定期审查访问权限。
e. 远程访问采用安全协议。
5.数据访问控制:
a. 已采取措施确保获得授权使用数据处理系统的人员只能根据其分配的角色和职责访问其访问权限所涉及的个人数据。
b. 个人数据在处理、使用和存储后不得未经授权被读取、复制、修改或删除,除非提供服务所必需或客户指示。
c. 在适当的情况下实施职责和数据的分离。
6.传输控制:
a. 个人信息在电子传输或运输过程中受到保护,以防止未经授权的阅读、复制、修改或删除。
b. 使用加密技术(例如,传输层安全性 - TLS /安全套接字层 - SSL)来保护通过公共网络传输的个人数据。
c. 如果发生任何包含个人数据的物理介质的传输,则使用安全方法进行传输。
7.输入控制:
a. 采取措施确保随后可以检查并确定个人数据是否以及由谁输入、修改或从数据处理系统中删除(例如通过审计日志)。
b. 对与个人数据处理相关的关键系统活动实施日志记录和审计功能。
8.数据备份和恢复:
a. 定期备份服务中处理的个人数据,以确保数据的可用性和完整性。
b. 定义并定期测试备份和恢复程序。
c. 备份被安全存储。
9.可用性控制和弹性:
a. 系统的设计和配置旨在确保个人数据的可用性以及处理系统和服务的弹性。
b. 这包括冗余、容错和灾难恢复功能等措施,主要利用 MEFERI 的主要云服务提供商(Amazon Web Services – AWS)的基础设施。
10.数据隔离:
a. 客户个人数据与服务内其他 MEFERI 客户的数据在逻辑上是分开的。
11. 安全软件开发(针对MEFERI的云平台):
a. 安全编码实践和原则被纳入MEFERI云平台的软件开发生命周期。
b. 对服务进行适当的安全测试(例如漏洞扫描、渗透测试)。
c. 已制定识别、评估和修复 MEFERI 软件中漏洞的程序。
12. 事件管理:
a. MEFERI 维护事件响应计划和程序,用于检测、响应和恢复安全事件,包括个人数据泄露。
b. 对事件进行调查、记录并采取适当的补救措施。
c. 根据适用数据保护法和本 DPA 的要求,制定内部和外部通知的沟通计划。
13. 子处理器管理:
a. 在聘用子处理器之前进行尽职调查,以确保他们能够提供足够级别的数据保护。
b. 与子处理者签订了合同协议,规定数据保护义务至少与本 DPA 对 MEFERI 规定的义务相同。
14.监控和日志记录:
a. 在适当且可行的情况下,监控处理个人数据的系统是否存在安全事件和异常。
b. 根据需要收集和审查相关日志,以检测、调查和应对安全事件。
15.加密:
a. 在适当且技术可行的情况下实施静态个人数据加密(例如,用于包含敏感个人数据的数据库存储)。
b. 通过公共网络传输的个人数据加密采用行业标准协议(例如 TLS)。
*(客户承认安全措施会随着技术进步和发展而变化,并且 MEFERI 可能会不时更新或修改安全措施,但前提是此类更新和修改不会导致客户购买的服务的整体安全性下降。)*
—
附录 3
子处理器
客户向 MEFERI 提供一般授权,允许其使用下列类别的子处理器。MEFERI 将维护其特定子处理器的最新列表,并通过在 MEFERI 网站的指定网页上发布的方式提供给客户。 https://meferi.com/en/us/legal/subprocessors ),并将根据客户向 MEFERI 数据保护联系人提出的书面请求,向客户提供此列表(例如, legal@meferi.com ).
子处理器的类别和目的:
1. 云基础设施提供商:- 根据主协议向客户提供的子处理器和主托管服务的具体内容:
– 实体:Amazon Web Services EMEA SARL(或在 EEA 提供服务的相关 AWS 签约实体)。
– 目的:提供底层云计算基础设施(服务器、存储、网络、数据库),用于托管根据主协议向客户提供的 MEFERI 服务(例如,Shadowalk Cloud、CIAO Cloud 后端)。
– 客户个人数据处理地点(主要托管):根据本 DPA 处理客户个人数据的主要 AWS 区域是欧洲经济区 (EEA) 内的 eu-west-3(法国巴黎)。
– 数据传输保障措施:AWS 提供包含标准合同条款 (SCC) 的数据处理附录 (DPA),用于规范个人数据传输。如果 AWS 在欧洲经济区 (EEA) 以外且未受充分性决定覆盖的地区处理任何数据,或将任何数据传输至这些地区,则适用该附录。客户可以访问以下链接查看 AWS 的数据处理附录: https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf 以及有关 AWS GDPR 合规性的信息,请访问 https://aws.amazon.com/compliance/gdpr-center/
– 关于 CDN 的说明(如适用):如果 MEFERI 使用 AWS CloudFront 或类似的内容分发网络 (CDN) 服务来提升服务性能,某些数据(通常是静态资产或缓存内容,根据配置可能包含或不包含个人数据)的副本可能会被临时缓存在全球的 AWS 边缘站点。但是,服务的客户个人数据的权威存储和主要处理仍将保留在上述指定的 AWS 区域 (eu-west-3)。MEFERI 将确保通过 CDN 分发的任何客户个人数据均按照 GDPR 要求进行处理。
– 根据主协议向客户提供服务的其他云基础设施提供商:
– 目前,除上述内容外,MEFERI 不利用其他第三方云基础设施提供商来主要托管或直接提供主协议中定义的服务。
2. 通讯服务提供商:
– 目的:为了方便与客户或其授权用户进行与服务提供和使用相关的必要通信(例如,通过电子邮件发送服务通知、密码重置、安全警报,以及发送关键警报或双因素身份验证码的短信)。
– 使用的特定子处理器:
– 对于电子邮件通讯:
– 实体:Amazon Web Services EMEA SARL(利用 Amazon Simple Email Service – SES)。
– MEFERI 的特定用途:向客户授权用户发送与服务相关的交易和服务相关的电子邮件通知(例如,帐户警报、密码重置、服务更新、关键安全信息)。
– 处理地点:电子邮件发送基础设施主要位于 MEFERI 用于其服务的 AWS 区域内(例如,在可行的情况下,配置为从欧洲经济区 (EEA) 区域发送,例如 eu-west-1 爱尔兰或 eu-west-3 巴黎)。通过 SES 处理任何个人数据(例如电子邮件地址和电子邮件内容)均受 AWS 数据处理附录的约束。
– 数据传输保障措施:受亚马逊网络服务数据处理附录(包含标准合同条款)的保护。可用
在: https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf.
– 对于短信通信:
– 实体:Twilio Inc.
– MEFERI 的特定用途:作为服务的一部分,向客户的授权用户发送短信通知,例如关键警报或双因素身份验证 (2FA) 代码的传递(如果客户启用并使用此类功能)。
– 处理的数据性质:通常包括客户授权用户的电话号码和短信内容(例如,身份验证码、警报文本)。
– 处理地点:主要是美国。
– 数据传输保障措施:个人数据的传输受 Twilio 的数据处理附录管辖,该附录包含标准合同条款 (SCC)。客户可访问以下网址查看 Twilio 的 DPA: https://www.twilio.com/legal/data-protection-addendum.
– 其他通信服务提供商:
– 目前,除上述电子邮件和短信服务外,MEFERI 不利用其他第三方通信服务提供商根据本数据保护协议 (DPA) 处理客户个人数据。如果客户引入并启用了需要其他类型通信服务的特定功能,MEFERI 将更新此列表并根据本数据保护协议 (DPA) 第 6.2 条的规定通知客户。
3.分析和服务性能监控提供商:
– 目的:监控 MEFERI 服务(例如 Shadowalk Cloud、CIAO Cloud 后端)的性能、识别错误并分析其使用模式,以维护和提升服务稳定性、功能性和用户体验。这些提供商为 MEFERI 服务处理的数据通常为假名数据、汇总数据或包含技术/运营数据。除非出于支持或故障排除目的明确指示或与客户达成一致,否则 MEFERI 不会使用这些提供商来分析服务中客户个人数据的具体内容。
– 使用的特定子处理器:
– 实体:Functional Software, Inc.(以 Sentry 的名义开展业务)。
– MEFERI 的特定用途:用于 MEFERI 基于云的服务(Shadowalk Cloud、CIAO Cloud 后端)中的实时错误跟踪、诊断和性能监控,以帮助识别和解决技术问题。
– 处理数据的性质:通常包括错误消息、堆栈跟踪、设备/浏览器信息、IP 地址(MEFERI 可在 Sentry 功能范围内将其配置为匿名或不存储),以及与服务事件相关的其他操作元数据。MEFERI 配置其与 Sentry 的集成,以最大限度地减少对客户个人数据的捕获。
– 处理地点:主要是美国。
– 数据传输保障措施:数据传输受 Sentry 的数据处理附录管辖,该附录包含标准合同条款。获取方式: https://sentry.io/legal/dpa/
– 网站和门户分析(MEFERI 作为控制者):
– 对于与 MEFERI 公司网站(例如 meferi.com)以及其他 MEFERI 拥有的公共门户网站(MEFERI 作为数据控制者)相关的分析,分析提供商(例如 Google Analytics)和数据处理的详细信息已在 MEFERI 的通用隐私政策中描述。除非这些提供商在向客户提供服务的过程中也代表 MEFERI 处理客户个人数据,否则它们不在本数据保护协议 (DPA) 的子处理者名单中。
4.支持和客户服务工具:
– 目的:管理客户支持查询、提供帮助台服务并促进与 MEFERI 服务支持相关的沟通。
– 使用的具体工具:
– MEFERI 使用其专有的客户支持门户和工单系统,可通过 support.meferi.com 访问。该系统由 MEFERI 开发和维护,并托管于由亚马逊网络服务 (AWS) 提供的 MEFERI 云基础设施上,详情请参阅本附录第 1 节(“云基础设施提供商”)。
– 客户授权用户通过此支持门户提交的个人数据(例如联系方式、查询内容)在此 MEFERI 运营的系统内进行处理。
– MEFERI 目前未在其客户支持平台上使用第三方软件即服务 (SaaS) 提供商,而本 DPA 下的客户个人数据在该平台上进行处理。– 支持门户上的数据处理和用户同意:
– 访问 support.meferi.com 的用户须遵守 MEFERI 隐私政策和支持门户的任何适用用户协议的条款,这些条款规定了 MEFERI 对用户直接提交给门户的个人数据的收集和使用。
– 未来第三方供应商的参与:
– 如果 MEFERI 将来选择聘请第三方支持或客户服务工具提供商来处理客户个人数据,则此列表将会更新,并且将根据本 DPA 第 6.2 节通知客户。
5. 技术分包商(例如,专门开发、维护或安全测试):
– 目前,MEFERI 主要利用内部人员为其服务(例如 MEFERI Shadowalk MDM/EMM 云解决方案和 CIAO 智能购物助手 (ISA) 解决方案的云托管组件)提供专门的技术服务、软件开发、系统维护和安全测试。
– MEFERI 目前不聘请第三方技术分包商,因此不会要求他们根据本 DPA 代表 MEFERI 处理客户个人数据。
– 如果 MEFERI 将来决定聘请此类技术分包商来处理客户个人数据,MEFERI 将更新此分包商列表并根据本 DPA 第 6.2 节通知客户,确保任何此类聘用均符合本 DPA 中规定的分包处理要求,包括在必要时实施适当的数据传输保障措施。
6. 授权维修服务中心及物流供应商:
– 目的:根据适用的服务合同(例如 MeCare 服务计划)或保修条款为 MEFERI 产品提供设备维修、诊断、翻新和相关物流服务。
– 实体/类别:MEFERI 或其关联公司签约的授权第三方服务中心或物流合作伙伴,负责执行 MEFERI 设备的维修和处理。(MEFERI 维护着此类授权提供商的网络;特定维修的具体提供商详细信息可能取决于客户的位置和服务请求的性质)。
– 处理的数据性质:可能包括:
– 协调维修的客户代表的联系信息(姓名、电子邮件、电话号码、送货地址)。
– 设备标识符(序列号、型号)。
– 客户提供的问题描述。
如果客户在发货前未删除或保护好送修设备上的任何个人数据,则可能存在遗留的情况。MEFERI 指示客户在送修设备前备份和/或删除设备上的个人数据,并且 MEFERI 对此类数据丢失的责任将根据主协议或适用的服务条款进行限制。但是,如果维修中心在诊断或维修过程中访问了此类数据,则这些数据将被视为客户个人数据。
– 处理人员所在地:维修服务中心可能位于全球不同地区,包括欧洲经济区 (EEA)、中国大陆或其他国家/地区,具体取决于客户所在地和 MEFERI 的服务网络。MEFERI 将根据客户要求或在可行的情况下作为 RMA 流程的一部分提供具体维修中心的位置信息。
– 数据保护保障措施:所有可能访问客户个人数据的授权维修服务中心和物流提供商均须遵守与 MEFERI(或签约的 MEFERI 关联公司)签订的书面协议,该协议包含保密义务和数据处理条款,其中规定了至少与本数据保护协议 (DPA) 中规定的数据保护要求相当的要求。对于将客户个人数据转移至位于欧洲经济区 (EEA) 以外且欧盟委员会认为不具备相应条件的国家/地区的此类提供商,MEFERI 确保已根据《通用数据保护条例》(GDPR) 第五章建立了适当的转移机制,例如标准合同条款 (SCC)。对设备上个人数据的访问仅限于诊断和维修所需的范围。
