数据处理协议

ANDELA公司
数据处理协议

最后一次更新: 05/25/2018

之间的
总控人,以下简称合伙人
&
Andela公司.
处理器和/或子处理器,以下简称Andela

  1. 本数据处理协议(“DPA”)构成《加拿大pc28官网APP》的附录, 由合作伙伴与Andela签署(包括任何相关的订购表格), 工作说明书, 或签订主服务协议, “协议”), 并适用于Andela在提供服务(定义见本协议)过程中代表合作伙伴处理或子处理个人数据的范围。. 本DPA不适用于Andela为控制器或Andela不作为合作伙伴数据的处理器的情况. 本DPA中未定义的所有大写术语均具有本协议中规定的含义.
  2. 定义 -本DPA中使用的大写术语的定义在本节或协议中首次使用的部分.
    1. “控制人”指决定处理个人数据的目的和方法的实体.
    2. “数据保护法”指适用于本协议项下个人数据处理的任何数据保护和隐私法律,包括欧盟数据保护法.
    3. “EU Data Protection Law” means both (i) Directive 94/46/EC of the European Parliament 和 of the Council on the protection of individuals with regard to the 处理 of Personal Data 和 on the free movement of such data (“Directive”); 和 (ii) Regulation 2016/679 of the European Parliament 和 of the Council on the protection of natural persons with regard to the 处理 of Personal Data 和 on the free movement of such data (General Data Protection Regulation) (“GDPR”).
    4. “欧盟示范条款”是指欧盟委员会根据C(2010)593号决议批准的加工者标准合同条款.
    5. “个人资料”指与已识别或可识别的自然人有关的任何资料.
    6. “个人数据泄露”指违反服务的安全,导致意外或非法的破坏, 损失, 变更, 未经授权的披露, 或查阅个人资料.
    7. “处理器”指代表控制器处理个人数据的实体.
    8. “服务”系指《加拿大28最新官方网下载》中定义的服务.
    9. “子处理器”指Andela或其公司集团的任何成员聘用的根据本协议处理个人数据的任何处理器. 子处理器可能包括第三方或Andela公司集团的任何成员.
    10. “期限”是指自DPA生效日起至Andela在本协议中提供服务结束的期间.
  3. 此DPA的持续时间
    1. 本协议有效期将于协议生效日起生效, 尽管期限届满, 将一直有效到, 并且在, 如本DPA所述,由Andela删除所有合作伙伴数据.
  4. DPA下数据的收集、处理和子处理
    1. 标题
      1. 合作伙伴可以作为控制人或个人数据的处理人. Andela将仅作为代表合作伙伴的处理器或子处理器处理本协议和本DPA项下的个人数据.
    2. 合作伙伴数据收集和处理
      1. 合作伙伴将遵守其在收集和处理个人数据以及其向Andela发出的任何处理指示方面的数据保护法项下的义务. 合伙人声明其拥有所有权利, 同意, 以及根据数据保护法和本协议Andela处理个人数据所需的授权.
      2. 合作伙伴授权Andela, 在提供服务时, 根据适用法律处理个人资料.
      3. 书面通知合伙人, 如果安德拉作出决定,安德拉可以终止本协议, 或者有理由相信, 合作伙伴作为控制器或处理器不遵守任何数据保护法.
    3. Andela数据处理
      1. Andela将遵守数据保护法规定的处理义务,并将按照合作伙伴的指示处理个人数据. 合作伙伴同意,本DPA是其与Andela就个人数据的处理或子处理达成的完整和最终协议.
      2. 除非Andela知道欧盟或欧盟成员国需要对合作伙伴的个人数据进行其他处理,否则Andela将遵守合作伙伴关于任何个人数据处理或子处理的指示, 在这种情况下,它将通知合作伙伴.
      3. 书面通知后, 如果Andela拒绝遵循Partner的超出范围的合理指示,则Partner可以终止本协议, 或改变, 在本DPA中给予或同意的, 在一定程度上,该指示是使Andela遵守数据保护法所必需的.
    4. Andela数据Sub处理
      1. Andela以其子处理器的身份为其提供服务. 合作伙伴同意Andela根据本协议聘请子处理方处理个人数据. 安德拉仍然要对这些行为负责, 与Andela在本DPA下的义务有关的其子处理器的错误或遗漏.
      2. Andela将确保每个子处理器有义务以与本DPA标准一致的方式保护个人数据.
      3. Andela将遵守数据保护法规定的子处理器义务, 这个分区, 并将按照合作伙伴的指示对个人资料进行子处理.
  5. 技术和组织安全措施
    1. 由Andela措施
      1. 在任何处理开始前, Andela应当实现, 建立和维持所有必要的技术和组织安全措施,以防止个人数据泄露,并保护代表合作伙伴处理的个人数据的安全性和保密性. Andela应提交并记录这些技术和组织安全措施,以供合作方检查. 该等技术和组织安全措施应成为服务的基础,并受技术进步和发展的制约. Andela可能, 不时地, 修改此类技术和组织安全措施, 只要这些措施不减少就行, 并且有适当的记录.
    2. 措施的伙伴
      1. 合作伙伴负责使用和配置服务,以使合作伙伴能够遵守数据保护法, 包括执行自己适当和充分的技术和组织措施. 合伙人应向Andela提供该等措施的副本,并书面通知任何修改. 如果Andela开发商使用合作伙伴设备, 笔记本电脑, 或电脑, 合作方应提交并记录所有技术和组织安全措施,以供Andela检查. 该等技术和组织安全措施应成为服务的基础,并受技术进步和发展的制约. 合作伙伴可能, 不时地, 修改此类技术和组织安全措施, 只要这些措施不减少就行, 并且有适当的记录.
    3. 处理个人数据
      1. 未经合伙人书面指示和授权, 如本DPA所述, 安德拉公司限制其员工处理个人数据. 经Andela授权处理个人数据的任何人士均须遵守本协议规定的保密义务.
    4. 禁止数据
      1. 合作伙伴承认并同意,本协议可能禁止提交某些类型的个人数据(如财务或健康信息). 在没有单独的业务伙伴协议的情况下,合作伙伴不得向Andela提交任何健康保险便携性和问责法规定的个人数据. 在这样的事件, Andela将采取合理和适当的步骤通知合作伙伴其收到任何被禁止的数据.
  6. 通知
    1. 在意识到, 且不得晚于清醒后72小时, 个人资料泄露, Andela将立即通知合作伙伴,并按照合作伙伴的合理要求提供与个人数据泄露有关的信息. 安德拉将采取合理的努力和方法协助合作伙伴减轻责任, 在可能的情况下, 任何个人资料泄露的不利影响.
    2. Andela应协助合作伙伴遵守有关个人数据安全的义务, 数据泄露的报告要求, 数据保护影响评估和事先协商. 这些包括:
      1. Ensuring an appropriate level of protection through 技术和组织安全措施 that take into account the circumstances 和 purposes of the 处理 as well as the projected probability 和 severity of a possible infringement of the law as a result of security vulnerabilities 和 that enable an immediate detection of relevant infringement events.
      2. 立即向合作伙伴报告个人数据泄露的义务
      3. 有义务协助合伙人履行其向有关数据主体提供信息的义务,并立即向合伙人提供这方面的所有相关信息.
      4. 支持合作伙伴进行数据保护影响评估.
      5. 支持合作伙伴事先与监管当局协商.
    3. 对于不包括在服务描述中的支持服务,Andela可要求赔偿,该支持服务不是由于Andela的故障造成的.
    4. Andela根据本节对个人数据泄露的通知或回应,将不被解释为Andela承认与该事件有关的任何过错或责任.
  7. 删除和返回数据
    1. 根据协议, 除法律要求Andela保留任何个人数据外,Andela将删除或向合作伙伴归还本协议规定可能持有的所有个人数据. Andela进一步同意:
      1. 未经合作伙伴的知情或指示,不得复制或复制任何个人资料.
      2. 服务完成后, 或应合伙人要求, Andela应将所有文件移交合伙人或销毁, 处理, 和利用的结果, 以及与本协议有关的数据集, 资料保护法认为适当的.
      3. 用于演示根据本协议进行有序数据处理的文件应由合作伙伴按照各自的保留期在合同期限之后进行存储. Andela可以在合同期限结束时将此类文件移交给合作伙伴,以解除Andela的合同义务.
  8. 合作、监督和审计
    1. 要求保护资料
      1. 在收到个人或数据保护机构的通知(包括试图行使欧盟数据保护法规定的权利的个人请求)时,根据本协议处理个人数据, 安德拉将迅速将此类请求转发给合作伙伴. 除非法律要求, 未经合作伙伴授权,Andela将不会回应该等沟通. 如果需要安德拉回应任何请求, Andela将通知合作伙伴并向合作伙伴提供请求的副本, 除非法律禁止这样做.
    2. 合作伙伴要求
      1. Andela将与Partner合作, 他们独自承担费用, 在合作伙伴可能无法访问相关个人数据的情况下,回应个人或数据保护机构关于处理本协议项下个人数据的任何请求.
      2. 如果Andela认为任何指令或请求违反了《加拿大28最新官方网下载》,Andela应立即通知合作伙伴.
      3. 合作方应立即以书面形式确认任何口头指示.
      4. 在欧盟数据保护法要求的范围内, Andela将提供有关服务的合理要求的信息,以使合作伙伴能够进行数据保护影响评估并与数据保护当局进行任何磋商.
    3. 审计要求
      1. 根据数据保护和信息安全标准,Andela定期审计其技术和组织安全措施. 此类审计由安德拉的内部团队或安德拉聘请的指定第三方进行. 应书面要求并遵守本协议的保密规定, Andela将向合伙人提供最近审计报告的摘要和合伙人合理要求的任何其他文件,以验证本DPA的符合性.
      2. Andela可要求对合作伙伴的技术和组织安全方法进行审计,以确保遵守本协议. 合伙人应向安德拉提供最近审计报告的摘要和安德拉合理要求的任何其他文件.
      3. 要求提供此类审计信息的任何一方须自行承担费用和义务, 并同意支付与此类审计请求相关的任何费用.
      4. 合伙人的审计要求不需要Andela向合伙人或其第三方审计师披露, 或允许合作伙伴或其第三方审计师访问:
        1. Andela任何其他客户的任何数据;
        2. 安德拉的内部会计或财务信息;
        3. 安德拉或其客户的任何商业秘密, 在安德拉看来是合理的, could (i) compromise the security of Andela systems or premises; or (ii) cause Andela to breach its obligation under applicable law or its security 和/or privacy obligations to any client or any third party; or
        4. 合伙人或其第三方审计人员出于除善意履行其在任何数据保护法项下的义务以外的任何原因而寻求获取的任何信息.
  9. 数据传输
    1. 根据合作伙伴的要求,Andela可在其及其子处理器维持运营以提供本协议和本DPA项下服务的全球其他地点转移和处理个人数据.
    2. 个人数据从欧洲经济区(“EEA”)和/或瑞士转移到安德拉集团公司所在的国家,该国家未被欧盟委员会或瑞士联邦数据保护局认可为提供足够级别的个人数据保护, 合作方指定Andela代表合作方与欧洲经济区和瑞士以外的Andela实体签订欧盟示范条款,并参与个人数据的处理. 应合作伙伴的书面要求,Andela将向合作伙伴提供这些欧盟示范条款的副本. 如果Andela采用具有约束力的公司规则或其他替代数据导出解决方案(根据欧盟数据保护法认可), 那么,自合作伙伴实施此类新的数据导出解决方案之日起,欧盟示范条款将停止适用.
  10. 的职责Andela
    1. Andela没有义务指定数据保护官员. 安德拉根据本DPA提出请求的主要联系人如下:
      1. 夫人. 柯尔斯顿坎顿在西129. 29th Street, 5th Floor, New York, NY, 10001 USA; Tel +; Email: (电子邮件保护)
    2. 安德拉位于欧盟和欧洲经济区之外, 及其在欧盟内的指定代表如下:
      1. DPR Group, Place de L’Université 16, Louvain-La-Neuve, Waals Brabant, 1348, Belgium; Email: (电子邮件保护)
    3. Andela应确保只有这样的员工, 和分包商, 有关本DPA第3和第4节中概述的数据处理, 谁曾受保密义务约束,并曾熟悉与其工作有关的资料保障规定. 安德拉及在其授权下有权查阅个人资料的任何人士, 除非合伙人指示,否则不得处理该数据, 其中包括本合同授予的权力, 除非法律要求这样做.
  11. 处理记录
    1. 合伙人承认,根据《加拿大28最新官方网下载》,合伙人必须(i)收集和保存某些信息的记录, 包括Andela所代表的每个处理器和/或控制器的名称和联系细节, 和适用的, of such Processor’s or Controller’s local representative 和 data protection officer; 和 (ii) make such information available to the supervising authorities.
    2. 相应的, GDPR是否适用于处理合作伙伴的个人资料, 伴侣会, 在请求, 提供该等资料,以确保所提供的资料是准确和最新的.
  12. 责任的限制
    • 双方同意,对彼此的总联合责任限额(包括任何种类的赔偿)应按照双方签署的协议条款的规定进行设置.
  13. 杂项
    1. Andela可以按照本协议的规定修改本DPA的条款. Andela将根据本DPA或本协议通知合作伙伴任何此类变更及其有效性. 本DPA的更改包括但不限于以下情况:
      1. 如任何监管、司法、政府或监管实体要求或命令这样做.
      2. 按照要求执行或遵守标准合同条款, 各种行为准则, 政策, 规则, 资料保护法规定的程序和其他机制.
    2. 本协议与本DPA之间的任何冲突,均以本DPA条款为准.
    3. Andela和合伙人应遵守, 合作, 和协作, 在履行本DPA或本协议项下的任何义务时具有任何监督权力.
    4. Andela应按照附录的规定实施本DPA所需的所有必要的技术和组织安全措施.
    5. Andela应监测并确保技术和组织安全措施符合适用的数据保护法的要求和数据主体的权利.
    6. Andela应确保只有具备本DPA和本协议中所述数据处理能力的员工必须遵守保密义务,且之前已熟悉与其工作相关的数据保护规定.

技术和组织安全措施

  1. 保密
    1. 物理访问控制
      1. 未经授权不得进入肯尼亚的安德拉设施, 在尼日利亚和乌干达,开发者都在场.g.磁卡或芯片卡, 键, 电子门开器, 设施保安服务和/或入口保安人员, 视频/闭路电视系统
      2. 未经授权不得进入安德拉服务器室. 访问权限仅限于安德拉IT团队和授权人员.
    2. 电子访问控制
      1. 不得未经授权使用数据处理和数据存储系统.g.(安全)的密码, 自动屏蔽/锁定机制, 双因素身份验证, 数据载体/存储介质的加密
    3. 内部访问控制(用户访问和修改数据的权限)
      1. 任何未经授权的阅读, 复制, 作为批准的数据在系统内的更改或删除是集中管理的, e.g. 权限授权概念,基于需求的访问权限,系统访问事件记录
    4. 隔离控制
      1. 数据的独立处理,收集不同的目的,例如.g. 多个合作伙伴支持,沙盒;
    5. 员工的控制
      1. 员工必须遵守书面保密协议
      2. 员工须接受有关资料私隐及资料保安的培训
    6. Pseudonymisation (Article 32 Paragraph 1 Point a GDPR; Article 25 Paragraph 1 GDPR)
      1. 以这种方法处理个人资料, 如果没有附加信息的帮助,数据无法与特定的数据主题关联, 前提是这些附加信息是分开存储的, 并采取相应的技术和组织措施.
  2. 完整性
    1. 数据传输控制
      1. 任何未经授权的阅读, 复制, 用电子传送或传送更改或删除数据, e.g.:加密、虚拟专用网(VPN)、电子签名;
    2. 数据输入控制
      1. 验证, 个人资料是否及由谁输入资料处理系统, 被更改或删除, e.g.:日志、文档管理
    3. 作业控制
      1. Andela的员工和承包商只能严格按照本协议的义务和合作伙伴的指示处理合作伙伴和个人数据.
  3. 可用性和弹性
    1. 可用性控制
      1. 防止意外或故意破坏或损失,例如.g.: Backup Strategy (online/offline; on-site/off-site), 不间断电源(UPS), 病毒防护, 防火墙, 报告程序和应急计划
    2. 快速复苏
  4. 定期检测、评估程序  评价
    1. 数据保护管理
    2. 事件反应管理;
    3. 设计和违约数据保护(GDPR第25条第2款)
    4. 订单或合同控制
    5. 没有合作伙伴的指示,不能按照GDPR第28条进行第三方数据处理, e.g.:明确和明确的合同安排, 正式的订单管理, 严格控制, pre-evaluation义务, 监督跟踪检查.