搜索以了解InterSystems产品和解决方案,职业机会等。搜索结果包括来自我们的开发者社区、产品文档和教育网站的内容以及 InterSystems.com。

最终用户(End User)数据处理协议附录

This web page uses machine translation. The English version of this page shall have priority in the event of any translation conflict.此网页使用机器翻译。如有翻译冲突,以本页面英文版为准。

最终用户(End User)数据处理协议附录("附录")被纳入 信息共享条款,并附在InterSystems("InterSystems")和最终用户("End User")之间的许可协议和简介及订单表(合称 "EULSA")中,如EULSA中所述。 InterSystems和最终用户是本附录的缔约方(各自单独称为 "缔约方",合称 "缔约方")。 考虑到本文所载的相互契约和承诺以及其他良好和有价值的对价,双方在此承认这些对价的收讫和充分性,双方同意如下:

本附录中使用的、在本文其他地方或EULSA中没有定义的所有大写术语应与GDPR中使用或定义的那些术语具有相同的含义,定义见下文。 本附录的条款取代EULSA的任何冲突条款和任何其他关于数据保护或信息处理的条款。

双方承认,InterSystems根据EULSA提供的服务并不打算导致InterSystems创建、接收、维护、传输、使用、披露或以其他方式处理与数据对象有关的个人数据,在操作上构成下文定义的最终用户数据;然而,由于最终用户在某些情况下可能需要遵守下文定义的GDPR,最终用户要求其可能接触到最终用户数据的服务提供商与最终用户签订数据处理协议,并且InterSystems愿意在万一InterSystems确实需要处理最终用户数据时签订此类协议,但不承认InterSystems通常是最终用户的处理者(Processor)。 双方同意,对于InterSystems处理的其他个人数据,如果不是终端用户数据("InterSystems数据"),InterSystems是数据控制者,双方不是InterSystems数据的联合控制者。

  1. 定义。
    1.1. 在本附录中,"个人数据(Personal Data)"、"控制者(Controller)"、"处理者(Processor)"、"处理 "和 "流程 "等表述应具有《一般数据保护条例》(欧盟)2016/679号条例赋予它们的含义。
    1.2. 数据控制者(Data Controller)。 "数据控制者(Data Controller) "在本附录中用于提及时,指的是最终用户,即使最终用户在所处理的个人数据方面是控制者的处理者。
    1.3. 数据所有者(Data Owner)。 "数据所有者(Data Owner)"就最终用户数据中的每项个人数据而言,是指最终用户,或者,如果最终用户就个人数据而言是一个控制者的处理者,则指该控制者。
    1.4. 数据处理者(Data Processor)。
    1.5. "数据处理者(Data Processor) "的含义通常与GDPR规定的处理器相同,并且在以下情况下:(1)InterSystems和最终用户共同商定,InterSystems以具体和单独的 参与规则中定义的最终用户的处理者身份行事;(2)InterSystems不以服务提供商、最终用户的第三方供应商或控制者的身份行事。 数据保护立法。 "数据保护立法 "是指GDPR和国家实施立法;瑞士联邦数据保护法(经不时修订和替换);英国数据保护法(经不时修订和替换);以及欧洲经济区国家的数据保护法(经不时修订和替换,只要适用)。
    1.6. 终端用户数据。 "终端用户数据(End User Data) "是指由终端用户或(如果终端用户是控制者的处理者)控制者单独决定处理此类个人数据的目的和方式的任何个人数据,并由InterSystems或代表终端用户提供;但终端用户数据不应包括上述定义为InterSystems数据的任何个人数据。
    1.7. GDPR。 "GDPR "指《通用数据保护条例》(条例(欧盟)2016/679)。
  2. 数据所有权。
    2.1. 数据处理者(Data Processor)代表数据控制者处理的最终用户数据在任何时候都将是数据所有者的财产。
    2.2. 如果任何一方因任何原因终止EULSA,最终用户将决定每项最终用户数据(在数据处理者仍保留这些项目的情况下)是归还最终用户还是删除。 数据处理者(Data Processor)的所有处理将结束,但法律要求的或为结束EULSA而必须的处理除外。
    2.3. 数据控制者(Data Controller)可在任何时候要求数据处理者停止处理最终用户数据,并删除或向数据控制者归还最终用户数据。
    2.4. 如果数据处理者(Data Processor)确定按本节要求归还或销毁最终用户数据是不可行的,则数据处理者应将本附录的保护范围扩大到此类最终用户数据,并应将此类最终用户数据的进一步处理限制在那些使归还或销毁不可行的目的上,只要数据处理者保留此类最终用户数据。
     
  3. 数据处理者(Data Processor)的义务和活动。
    3.1. 数据处理者(Data Processor)同意在处理终端用户数据时采取技术和组织上的安全措施,如果数据处理者是与这些数据有关的控制者,将满足GDPR第32条 "处理的安全性",即 "考虑到技术水平、实施成本和处理的性质、范围、背景和目的,以及对自然人的权利和自由的不同可能性和严重程度的风险,控制者和处理者应实施适当的技术和组织措施,以确保与风险相适应的安全水平",并采取合理步骤确保遵守这些措施。
    3.2. 数据处理者(Data Processor)同意其仅根据最终用户不时提供的书面指示来处理此类最终用户数据。
    3.3. 数据处理者(Data Processor)同意它将遵守GDPR第32条规定的所有义务,就像数据处理者是有关这些最终用户数据的控制者一样。
    3.4. 数据处理者(Data Processor)同意,它应确保所有工作人员、代理人、承包商和其他能够接触到最终用户数据的人都被告知,这些数据是保密的,不得向任何不受相关可执行保密义务约束的人披露。
    3.5. 只有在业务上需要访问最终用户数据的工作人员等才应得到授权,并且(在逻辑、物理或其他安全措施方面)能够这样做。 如果数据处理者(Data Processor)希望将终端用户数据的处理分包出去,他们必须对任何分包商规定与本附录中规定的数据保护和安全方面相同的合同义务。
    3.6. 数据处理者(Data Processor)同意将其自身或任何分包商组织内与最终用户数据有关的任何安全漏洞及时告知数据控制员。
    3.7. 数据处理者(Data Processor)同意确保所有参与处理最终用户数据的工作人员接受数据保护程序方面的适当培训,确定并保存这些工作人员接受的培训和所有课程内容的记录。 数据处理者(Data Processor)应确保数据处理员的其他代理人或雇员不被允许访问最终用户数据。
    3.8. 数据处理者(Data Processor)同意,未经最终用户书面批准,不得将控制者的数据转移到欧洲经济区以外的国家或地区,除非(1)该国家或地区在处理个人数据方面确保适当的数据保护机构对数据主体的权利和自由有足够的保护;(2)在不违反本规定的情况下,数据处理者(Data Processor)已就此类转移订立了欧盟委员会批准的标准合同条款;或(3)数据处理者(Data Processor)有义务遵守相关数据保护机构批准或接受的有约束力的公司规则;但只要最终用户同意InterSystems不违反其在EULSA下的义务,最终用户可以根据具体和单独的 约定规则限制此类转移,如果InterSystems确定此类转移是提供所需服务和支持的必要条件
  4. 最终用户的义务。
    4.1. 终端用户应仅在EULSA严格要求的情况下向InterSystems提供终端用户数据,并完全遵守数据保护立法,同意仅提供与所提供的服务或支持有关的最低限度的必要的个人数据。
    4.2. 最终用户不得要求或要求数据处理者(Data Processor)以最终用户作为控制者或控制者的处理者无法做到的方式处理最终用户的数据;但如果InterSystems认为最终用户的任何指示违反了数据保护法规,InterSystems应及时以书面形式通知最终用户,提供足够的信息来描述反对意见。 如果终端用户同意InterSystems的决定,即终端用户的指示违反了数据保护法,那么终端用户应将此情况通知InterSystems,InterSystems不需要遵守该指示,也不会因为未能遵守该指示而被认为违反了EULSA。 如果终端用户反对InterSystems关于终端用户的指示违反数据保护法规的决定,那么终端用户应提供书面解释,说明为什么该指示符合数据保护法规,InterSystems可以依靠该解释来执行终端用户的指示。
    4.3. 最终用户声明并保证,它(或在最终用户是数据处理者[Data Processor]的情况下,相关数据所有者)可以按照数据处理器根据本附录被授权处理个人数据的方式处理最终用户数据。
    4.4. 最终用户应负责在任何时候使用行政、物理和技术保障措施,按照数据保护立法的标准和要求,维护和确保传输给数据处理者(Data Processor)的最终用户数据的保密性、隐私和安全性,直到数据处理者(Data Processor)收到这些最终用户数据为止。
    4.5. 最终用户应获得适用法律可能要求的任何同意或授权,以便数据处理者根据EULSA提供其服务。
  5. 杂项。
    5.1. 参考。 本附录中提到的GDPR中的语言是指在其适用的遵守日期有效的或修正的语言。
    5.2. 对本增编的修改。 终端用户同意InterSystems本着善意在必要时修订本附录或EULSA,以符合数据保护立法的任何变化。
    5.3. 生存. 只要数据处理者(Data Processor)或数据控制者根据本附录或EULSA处理最终用户数据,数据处理者(Data Processor)和数据控制者各自的权利和义务在终止后仍然有效。
    5.4。 解释。 本附录中的任何歧义都应得到解决,以允许双方遵守数据保护立法。
  6. 本附录规定的权利和义务是对双方在任何其他合同或普通法下产生的任何权利或义务的补充,而不是替代。
  7. 如果任何人违反或涉嫌违反其对本协议任何一方就该人因本附录而拥有或接触的最终用户数据所承担的保密义务,承担该义务的一方承诺将尽最大努力执行有关义务。