数据处理协议

数据处理协议 - 担任处理器的Rods&Cones

本数据处理协议("DPA"),标志着以下签署人。

Rods&Cones BV是一家根据比利时法律成立的公司,其注册地址为Oudebaan 2, 2350 Vosselaar, Belgium,并在商会的贸易登记册上注册,编号为BE0741.795.919;Rods&Cones Sales B.V.是一家根据荷兰法律成立的公司,其注册地址为Apollolaan 69-3; 1077AH Amsterdam; The Netherlands,并在商会的贸易登记册上注册,编号为80331947(以下简称 "Rods&Cones")。棒子和骨头/处理器"),

下文中也共同称之为""。党派",并分别作为一个"派对";

宣告同意如下:

Rods&Cones将在基础协议规定的范围内提供远程协助解决方案,以反映各方在处理个人数据方面的协议。

在根据DPA向客户提供服务的过程中,Rods&Cones可以代表客户处理个人数据,双方同意在任何个人数据方面遵守以下规定,各自合理和真诚地行事。

自2018年5月25日起生效。 棍子和骨头 将根据《一般数据保护条例》,或2016年4月27日欧洲议会和理事会的《条例》(EU)2016/679处理个人数据,该条例废除了第95/46/EC号指令(以下表示为:'。'GDPR'。)的要求直接适用于 棒子和骨头的 提供其服务。

  1. 定义
"联营公司"是指属于Rods&Cones公司集团的任何实体。
"个人数据应指与已识别或可识别的自然人(数据对象)有关的任何信息。
"数据主体"应指可识别的人是指可以直接或间接识别的人,特别是通过参考诸如姓名、识别号码、位置数据、在线标识符等标识符或与该自然人的身体、生理、遗传、精神、经济、文化或社会身份有关的一个或多个因素。
"个人数据泄露"指违反安全规定,导致意外或非法破坏、损失、改变、未经授权的披露或访问传输、存储或以其他方式处理的个人资料。
"过程/处理"指对个人数据或个人数据集进行的任何操作或一组操作,无论是否通过自动化手段,如收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供披露、调整或组合、限制、删除或销毁。
"解决方案"指客户根据基础协议订购的Rods&Cones远程协助,以及相关文件。
"特殊类别的数据"指揭示种族或民族血统、政治观点、宗教或哲学信仰、工会会员身份的数据;基因数据、为唯一识别自然人而处理的生物识别数据;有关健康的数据或有关自然人性生活或性取向的数据。
"子处理器"是指处理器聘用的任何数据处理者,他们同意从处理器接收专门用于处理活动的个人资料,并根据控制器的指示、本DPA的条款和书面分包合同的条款代表控制器进行处理。
"监督机构"应指由成员国根据GDPR第51条建立的独立公共机构;以及
"技术和组织安全措施"是指那些旨在保护个人数据免遭意外破坏或意外损失、更改、未经授权的披露或访问的措施,特别是在处理涉及通过网络传输数据的情况下,以及防止所有其他非法形式的处理。
"第三国"是指欧盟委员会没有决定该国、某一地区或该国的一个或多个特定部门确保适当的保护水平的国家。
"基础协议"应指Rods&Cones向客户提供解决方案的SaaS订阅协议。
  1. 处理的细节

根据本DPA处理的个人数据涉及以下类别的数据主体。

  • 客户雇员和承包商
  • 卫生保健专业人员
  • 病人

Rods&Cones包括一个基于网络的在线后端,用于存储和管理客户数据(包括个人数据),以及允许查看音频和视频(包括可识别的个人数据)并生成使用分析的互动前端客户端("服务")。

处理的性质和目的。处理器代表控制器收集、处理和使用数据对象的个人数据,以便使远程专家能够在不需要现场的情况下远程支持医疗保健专业人员。

在手术室使用的耳机可以看到以下与隐私有关的图像。

  • 职员
  • 不明身份病人的图像
  • 手术室内的显示器和屏幕

音频和视频只以1对1的模式传输给经过认证的远程助手。在特定的例外情况下,会议可以被广播给更多的观众(用于培训和教育的使用案例)。默认情况下,视频和图像在传输过程中或之后都不会被存储。通过特殊设置,可以允许远程助手在他们的个人电脑硬盘上记录会话。

远程助理同意接受严格的专业行为指示,就像他们在手术室里一样(https://rods-cones.com/re_terms/)。

Rods&Cones存储了远程助理的以下个人数据。电子邮件地址; 姓氏,名字。

  1. 控制器的权利和义务

控制器仍然是负责处理个人数据的数据控制器,根据本DPA向处理器发出的指示和其他指示。控制器已经指示并将在整个委托数据处理期间指示Rods&Cones仅代表控制器并根据适用数据保护法、本DPA和控制器的指示处理个人资料。控制人有权利和义务就个人数据的处理对Rods&Cones进行指示,包括一般情况和个别情况。指示也可能涉及到个人数据的更正、删除和封锁。指示一般应以书面形式发出,除非紧急情况或其他特定情况需要其他形式(例如,口头,电子)。以其他形式而非书面形式发出的指示,应由控制人毫不迟疑地以书面形式确认。如果执行一项指示会导致Rods&Cones的费用,它将首先通知控制器这些费用。只有在控制器确认为执行一项指示而承担这些费用后,处理器才需要执行该指示。

  1. 处理器的义务

Rods&Cones应。

  1. 仅按照控制人的指示并代表控制人处理个人数据;此类指示在本DPA中提供,并以上述第3条规定的文件形式提供。这种遵循控制人指示的义务也适用于将个人资料转移到第三国的情况。
  2. 如果Rods&Cones公司由于任何原因不能遵守控制器的任何指示,请及时通知控制器。
  3. 对个人数据严格保密,并
  4. 并应仅为执行服务而处理个人数据,不得用于其他目的,除非事先得到客户的书面授权。
  5. 确保经Rods&Cones授权代表控制人处理个人数据的人员承诺保密或承担适当的保密义务,并且这些能够接触到个人数据的人员按照控制人的指示处理这些个人数据。
  6. 在处理个人数据之前,实施符合GDPR要求的技术和组织安全措施,并确保就这些技术和组织安全措施向控制器提供足够的保证。
  7. 在可行的情况下,通过适当的技术和组织措施协助控制器履行义务,以回应数据主体行使有关信息、访问、纠正和删除、限制处理、通知、数据可移植性、反对和自动决策等权利的请求;如果这些可行的技术和组织措施需要改变或修正技术和组织措施,处理器将告知控制器实施这些额外或修正技术和组织措施的费用。一旦控制人确认承担这些费用,处理器将实施这些额外或修正的技术和组织措施,以协助控制人回应数据主体的要求。
  8. 向控制器提供所有必要的信息,以证明遵守本DPA和第28条规定的义务。28 GDPR,允许并协助审计,包括由控制器或由控制器授权的另一个审计师进行的检查。控制器意识到,任何亲自到现场的审计可能会严重干扰Rods&Cones的业务运作,并可能在成本和时间方面带来高额支出。因此,只有在控制人向处理人偿还控制人因业务运作受到干扰而产生的任何成本和支出的情况下,控制人才可以进行现场审计。
  9. 通知财务主任,不得无故拖延。
    • 关于执法机构提出的任何具有法律约束力的披露个人数据的要求,除非另有禁止,例如刑法规定的为执法调查保密的禁令。
    • 对于直接从数据当事人那里收到的任何投诉和要求(例如,关于访问、纠正、删除、限制处理、数据可移植性、反对数据处理、自动决策),不对该要求作出回应,除非它已被授权这样做。
    • 如果根据欧盟或成员国的法律,处理器必须在控制器的指示之外处理个人资料,则在进行这种指示之外的处理之前,除非欧盟或成员国的法律以重要的公共利益为由禁止这种信息;这种通知应具体说明这种欧盟或成员国法律的法律要求。
    • 如果处理器认为一项指令违反了GDPR;在提供这种通知后,处理器没有义务遵循该指令,除非并直到控制器确认或改变该指令;以及
    • 在处理器意识到Rods&Cones的个人数据泄露后。在这种情况下,处理器将根据控制器的书面要求,协助控制器履行其在适用数据保护法下的义务,通知数据主体和监督机构(如适用),并记录个人数据泄露的情况。
  10. 协助控制人进行GDPR第35条规定的任何数据保护影响评估。在涉及到处理器向控制器提供的服务以及处理器代表控制器处理的个人数据时,GDPR第35条要求进行数据保护影响评估。
  11. 处理控制人就其对受处理的个人资料的处理提出的所有询问(例如,使控制人能够及时回应资料当事人的投诉或要求),并遵守监督机构关于处理所转移资料的建议。
  12. 如果处理器被要求纠正、删除和/或阻止根据本DPA处理的个人资料,处理器将在没有不当延迟的情况下这样做。如果由于法定的保留要求,个人资料不能被删除,那么处理器将有义务限制对个人资料的进一步处理和/或使用,或从个人资料中删除相关身份(以下简称 "封锁"),以代替删除相关个人资料。如果处理器有这样的封锁义务,处理器应在保留期限结束的日历年之前或最后一天删除相关的个人数据。
  1. 次级处理
  1. 控制器授权使用处理器为提供服务而聘用的子处理人。控制器批准使用以下子处理人。
    命名地址使用目的
    微软爱尔兰有限公司One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland托管申请
    Xirsys LLC25061 Avenue Stanford, Suite 10; Santa Clarita, California 91355, US转向服务器供应商
    淘宝网7901 Stoneridge Drive, Suite 240, Pleasanton, California 94588, USVPN客户端
  2. 如果处理器打算雇用新的或额外的子处理人,处理器应将有关增加或替换任何子处理人的任何预期变化通知控制器("子处理者通知").如果控制器有合理的理由反对使用任何此类新的或额外的子处理器,则控制器应在收到子处理器通知后14天内及时以书面形式通知处理器。如果控制人反对新的或额外的子处理人,并且这种反对不是不合理的,那么处理器将尽合理的努力向控制人提供服务的改变,或建议对控制人的配置或服务的使用进行商业上合理的改变,以避免被反对的新的或额外的子处理人处理个人资料,而不给控制人带来不合理的负担。如果处理器无法在合理的时间内(不超过六十(60)天)做出此类改变,则控制器可通过向处理器提供书面通知,终止DPA的生效部分,仅涉及处理器在不使用被反对的新的或额外的子处理器的情况下无法提供的那些服务。
  3. 处理人应通过合同对任何子处理人规定与本《DPA》中规定的相同的数据保护义务。处理人与子处理人之间的合同应特别提供足够的保证,以实施技术和组织安全措施,只要这些技术和组织安全措施与子处理人提供的服务有关。
  4. 处理人应勤奋地选择子处理人。
  5. 如果任何此类子处理者位于第三国,根据2010/87/EU号决定,处理器将根据控制器的书面请求,代表控制器(以控制器的名义)与相关子处理者签订欧盟示范合同(控制器对处理者)。在这种情况下,控制器指示并授权处理器以控制器的名义指示子处理人,并根据欧盟示范合同利用控制器对子处理人的所有权利。
  6. 如果子处理人未能履行其义务,处理人仍应就子处理人的义务的履行对控制器负责。但是,对于因控制器对子处理人的指示而产生的损害和索赔,处理器不承担任何责任。
  1. 赔偿责任的限制

由本《协议》引起的或与之相关的任何责任应遵循并完全受本《协议》中规定的或以其他方式适用的责任条款管辖,而非其他地方。因此,为了计算责任上限和/或确定其他责任限制的适用性,根据本DPA发生的任何责任都应被视为根据本DPA的规定发生。

  1. 期限和终止
  1. 本《协议》的期限与基础协议的期限相同。除本协议另有约定外,终止权利和要求应与基础协议中规定的相同。
  2. 处理器应根据控制器的选择,在服务提供结束后删除所有个人资料或将其归还控制器,并删除任何现有的副本,除非欧盟或成员国法律要求处理器保留这些个人资料。
  1. 杂项
  1. 如果本DPA的规定与双方之间的任何其他现有协议不一致,在双方的数据保护义务方面,应以本DPA的规定为准。如果对此类其他协议中的条款是否与双方的数据保护义务有关存在疑问,应以本《协议》为准。
  2. 如果本《协议》的任何条款无效或不可执行,那么本《协议》的其余部分应继续有效并具有效力。无效或不可执行的条款应(i)进行必要的修订,以确保其有效性和可执行性,同时尽可能保持双方的意图,或者--如果不可能--(ii)以一种仿佛无效或不可执行的部分从未包含在其中的方式进行解释。如果本《协议》包含任何遗漏,上述规定也应适用。
  3. 在不影响GDPR对本DPA及其处理的适用性的情况下,他的DPA应受比利时的同一法律管辖。
  1. 安全措施

Rods&Cones应至少保持技术和组织安全措施和程序,以保护创建、收集、接收或以其他方式获得的个人数据的安全。

技术和组织安全措施可以被认为是最先进的。Rods&Cones将随着时间的推移评估技术和组织安全措施,考虑实施成本,处理的性质、范围、背景和目的,以及对自然人的权利和自由的不同可能性和严重程度的风险。

Rods&Cones应确保:

  1. 适当配置员工的访问权限,包括明确界定的入职和离职程序,以确保访问权限得到适当管理。
  2. 它有适当的控制措施,以确保访问个人数据时需要复杂的字母数字密码,并提供有关需要保持这些密码安全的培训。
  3. 它已制定程序,以确定对个人数据的错误使用,包括监测对个人数据的错误访问。
  4. 它已制定程序,以确定对个人数据的错误使用,包括监测对个人数据的错误访问。
  5. 建立并使用适当和有效的认证程序来保护个人数据。
  6. 储存在笔记本电脑或其他便携式媒体上的个人资料是经过加密的。
  7. 个人数据不能通过互联网看到。如果允许通过网络访问个人数据,这种访问应只涉及相关数据。
  8. 任何以硬拷贝形式保存的个人资料都应储存在上锁的办公室内的柜子里,只有被授权的人才能进入。
  9. 保持一个准确的、最新的资产登记册,包括用于处理的所有此类便携式媒体。
  10. 除通过安全的电子网络外,员工不能从家里或通过自己的电子设备访问个人数据,并且个人数据可能不会存储在此类设备上。
  11. 建立与非法披露个人数据可能造成的伤害相称的适当的物理安全措施。 这种物理安全措施应在Rods&Cones的数据安全政策中确定。
  12. Rods&Cones建立和维护适当的数据安全合规政策,并定期审计其对个人数据的使用是否符合其数据安全政策,在任何情况下都是如此;以及
  13. 它以书面形式提名一个人负责遵守DPA并对其负责。