1.前言。
本数据处理附录(“DPA”)构成Hal Leonard LLC代表其自身及其全资子公司Noteflight LLC(统称“许可方”)和客户(定义见协议)之间Noteflight Learn订阅条款(连同本DPA,“协议”)的一部分。此处使用的术语和未另行定义的术语应具有本协议中规定的含义。许可方和客户在本DPA中单独称为“一方”,统称为“双方”。
2.标的、性质、目的和期限。
本DPA第2节至第6节适用于处理与位于欧洲经济区或英国的数据主体相关的个人数据,或者在此类个人数据受GDPR监管的情况下,许可方仅代表客户提供服务(“欧盟个人数据”)。为免生疑问,在不限制上述规定的情况下,欧盟个人数据不包括许可方在向客户提供服务范围之外获得的任何数据,包括但不限于与学生、教师、,或Noteflight Learn管理员。在双方之间,(i)客户是欧盟个人数据的控制人,许可方是代表客户的处理者,或(ii)客户是代表第三方的欧盟个人数据处理者,许可方则是代表客户处理欧盟个人数据。欧盟个人数据处理的主题和目的、欧盟个人数据的类型、数据主体的类别、许可方代表客户执行的欧盟个人数据操作的性质,以及客户对许可方的欧盟个人信息处理说明,在本DPA的附件A中规定,以及客户不时向许可方发出的合理书面指示中规定的其他内容。只要许可方代表客户执行欧盟个人数据处理操作,或直到协议终止(在每种情况下,直到所有欧盟个人数据根据第3(g)节被退回或删除),本DPA应保持有效,且本DPA下的处理持续时间应继续。在本DPA第2节至第6节中,以下术语具有《一般数据保护条例》(EU)2016/679(“GDPR”)中给出的含义:“控制器”、“个人数据”、“处理者”、“数据主体”和“处理”。
3.处理承诺。
在根据本协议处理欧盟个人数据时,许可方应:
a)仅根据客户的书面指示处理欧盟个人数据,除非适用法律另有要求,在这种情况下,许可方将在进行此类处理之前通知客户该法律要求,除非适用法律禁止许可方通知客户。为免生疑问,本DPA应构成客户向许可方发出的书面指示,以处理与许可方向客户提供服务有关的欧盟个人数据;
b)作出商业上合理的努力,确保根据本协议授权处理欧盟个人数据的人员已承诺保密,或承担适当的法定保密义务,或遵守包括保密在内的道德责任规则;
c)考虑到最先进的技术、实施成本、处理的性质、范围、背景和目的,以及自然人权利和自由发生不同可能性和严重性的风险,实施商业上合理的技术和组织措施,以满足GDPR第32条所述的安全要求;
d)考虑到加工的性质,尽可能通过适当的技术和组织措施,尽商业上合理的努力协助客户,费用由客户承担,履行客户的义务,响应根据GDPR和与欧盟个人数据处理相关的任何适用国家实施法律、法规和二级法律(“数据保护法”)行使数据主体对其欧盟个人数据的权利的请求。
e)考虑到处理的性质和许可方可获得的信息,在客户承担费用的情况下,尽商业上合理的努力协助客户确保遵守GDPR第32条至第36条所述的客户义务;
f)如果许可方实际意识到违反安全规定导致意外或非法销毁、丢失、更改、未经授权披露或访问欧盟个人数据(“事件”),应立即通知客户,前提是,许可方发出此类通知不应被解释为承认与任何此类事件有关的过失或责任;
g)根据客户的选择,在向客户提供服务结束后,在许可方收到客户的书面通知后六十(60)天内删除或向客户返回所有欧盟个人数据,并删除现有副本,除非适用法律要求保留欧盟个人数据;为免生疑问,除非客户要求删除或返还欧盟个人数据,否则许可方将在适用软件订阅结束后保留此类欧盟个人数据以恢复提供此类软件(包括向客户提供此类欧盟个人信息和相关分数)如果续订该软件订阅。
h)应客户的合理要求,提供合理必要的信息,以证明材料符合本DPA中规定的义务,并允许和协助审计(每项审计均为“审计”),费用由客户承担,包括检查许可方控制下的加工设施,由客户或客户选择的其他审计师(“审计师”)在正常营业时间内进行,在任何十二(12)个月内不得超过一次,并在合理的事先通知后,前提是审计师不得是许可方的竞争对手,并且进一步规定,在任何情况下,客户都不得接触许可方任何其他客户的信息以及根据第3(h)条进行的披露(“审计信息”)应作为许可方的机密信息保密,并遵守本协议(包括本协议第2节)中的任何保密义务,此外,除非客户要求且许可方已根据第3(h)节提供文件,否则不得进行审计并且客户合理地确定仍有必要进行审计,以证明其实质上遵守了本DPA中规定的义务。在不限制协议中任何条款的一般性的情况下,客户应采取与其保护其机密和专有信息相同的谨慎程度来保护审计信息,并且在任何情况下,都不得低于该情况下的合理谨慎程度,客户应对客户或其代理人不当披露或使用审计信息承担责任。
4.子处理器。
客户特此授予许可方一般授权,让另一个处理者代表许可方(每个“子处理者”)处理欧盟个人数据,以协助许可方处理本DPA中规定的欧盟个人数据。许可方应与此类子处理器签订合同安排,要求与本文规定的数据保护合规性和信息安全水平相同。客户特此同意本DPA附件B所列子处理器处理欧盟个人数据,并向其披露和传输欧盟个人数据。许可方应在新的子处理器处理欧盟个人数据之前至少十(10)个日历日通知客户有关添加或更换子处理器的任何预期变更。客户可以在收到此类通知后的五(5)个日历日内以书面形式反对此类更改,前提是此类反对基于与数据保护相关的合理理由(“反对”)。如果有异议,双方将本着诚意讨论此类问题,以期达成解决方案。如果双方无法达成前一句所述的解决方案,客户可以根据本协议第3.2节终止本协议,作为其唯一的补救措施。根据第4条,客户无权获得在任何终止日期之前支付的任何费用的退款
5.客户义务。
客户声明、保证并承诺:(i)在处理欧盟个人数据方面,以及在第3(a)节中向许可方发出的任何处理指令方面,其应遵守GDPR规定的控制人义务;(ii)其已发出通知,并获得了数据保护法要求的所有同意和权利,以便将欧盟个人数据转移到欧洲经济区或英国以外,以及许可方根据协议处理欧盟个人数据;以及(iii)许可方根据客户在第3(a)节下的书面指示处理欧盟个人数据应具有根据GDPR第6条进行处理的合法基础。如果客户是处理者,则客户向许可方陈述并保证,客户关于欧盟个人数据的指示和行动,包括指定许可方作为另一个处理者,已得到相关控制者的正式授权。客户应保护许可方免受因客户违反本第5条而产生的任何索赔、诉讼、费用、损害和责任(包括但不限于任何政府调查、投诉和行动)以及合理的律师费。尽管本协议中有任何相反规定,客户在第5条下的赔偿义务不受本协议中规定的任何责任限制。
6.数据传输。
客户特此同意将欧盟个人数据转移至美国和/或许可方或其子处理方经营的任何其他管辖区,并在该管辖区处理欧盟个人数据。双方特此签订经欧盟委员会根据第2010/87/EU号决定批准的《加工商标准合同条款》,该条款作为本协议附件C(“SCC”)附于本协议,并作为本协议的一部分。
7.CCPA规定。
在双方之间,许可方是客户在服务提供商信息(定义如下)方面的服务提供商。
a。在第7节中:
i.“CCPA”是指2018年《加利福尼亚消费者隐私法》以及根据该法案颁布的任何法规。
ii、。“医疗信息”是指以电子或物理形式提供的与加利福尼亚居民的病史或医疗保健专业人员的医疗或诊断有关的任何服务提供商信息。
iii.“健康保险信息”是指加利福尼亚州居民的保险单号码或订户识别号,健康保险公司用于识别加利福尼亚州居民身份的任何唯一标识符,或加利福尼亚州居民申请和索赔历史中的任何信息,包括任何上诉记录。
iv.“敏感服务提供商信息”是指构成以下任一项的任何服务提供商信息:(A)加利福尼亚居民的名字或首字母缩写及其姓氏,以及以下任何一个或多个数据元素,当名称或数据元素未加密或编辑时:(I)社会安全号码;(二) 驾驶执照号码、加利福尼亚身份证号码、税务识别号码、护照号码、军事识别号码或政府文件上发布的其他唯一识别号码,通常用于验证特定加利福尼亚居民的身份;(三) 账号、信用卡或借记卡号码,以及任何要求的安全代码、访问代码或密码,以允许访问加州居民的金融账户;(四) 医疗信息;(五) 健康保险信息;或(VI)人体特征测量或技术分析产生的独特生物特征数据,例如指纹、视网膜或虹膜图像,用于验证特定加利福尼亚居民的身份(唯一生物特征数据不包括物理或数字照片,除非用于面部识别目的); 或(B)用户名或电子邮件地址,以及密码或安全问题和答案,允许访问在线帐户。敏感服务提供商信息不包括从联邦、州或地方政府记录中合法向公众提供的公开服务提供商信息。
v.“服务提供商信息”是指在CCPA规定的范围内,许可方仅代表客户处理的任何个人信息。为免生疑问,在不限制上述规定的情况下,服务提供商信息不包括许可方在向客户提供服务范围之外获得的任何数据。
vi.以下术语具有CCPA中给出的含义:“个人信息”、“处理”、“服务提供商”、“出售”、“销售”、“卖出”和“卖出”。
b。除非适用法律另有要求,许可方应:
i.出于提供服务的商业目的或CCPA允许的其他目的处理服务提供商信息;
ii、。实施并维护与敏感服务提供商信息(如有)的性质相适应的商业合理的安全程序和做法,以保护此类敏感服务供应商信息免受未经授权的访问、破坏、使用、修改或披露;
iii.不得出于双方业务关系范围外的任何目的以及提供服务的特定目的之外的任何目的保留、使用或披露服务提供商信息,也不得出于提供服务以外的商业目的保留、利用或披露服务提供方信息,或CCPA允许的适用于服务提供商的其他方式;
iv.不收集或使用服务提供商信息,除非为提供服务而合理需要;
v.不出售服务提供商信息;
vi.在必要的范围内,尽商业上合理的努力协助客户履行客户的义务,费用由客户承担,以响应加利福尼亚州居民行使CCPA项下与其服务提供商信息相关的权利的请求;和
vii、。尽商业上合理的努力协助客户,费用由客户承担,以支持客户遵守CCPA规定的客户义务。
c。许可方理解第7(b)(iii)节和第7(b)(v)节中规定的限制,并将遵守这些限制。
d。客户声明、保证和承诺:(i)在处理服务提供商信息以及向许可方发出的任何处理指令方面,客户应遵守CCPA规定的义务;以及(ii)其已发出通知(包括根据CCPA第1798.135条),并获得CCPA要求许可方根据本协议处理服务提供商信息的所有同意和权利。客户应保护许可方免受因客户违反第7(d)条而产生的任何索赔、诉讼、诉讼、费用、损害和责任(包括但不限于任何政府调查、投诉和诉讼)以及合理的律师费。尽管本协议中有任何相反规定,客户在第7(d)条下的赔偿义务不受本协议中规定的任何责任限制。
e、。本协议中的任何内容均不得阻止许可方聘请其自己的服务提供商处理服务提供商信息,前提是,许可方应与此类服务提供商签订合同安排,要求数据保护合规性和信息安全水平与第7节中关于服务提供商信息的规定大致相同。
附件A
处理的主题、性质、目的和持续时间
1.欧盟个人数据类型:
Noteflight Learn管理员:电子邮件地址、用户名和密码、学校名称和地址、电话、名字和姓氏,以及该Noteflight学习管理员上传到服务中的任何信息。
Noteflight学习学生和教师帐户:名字和姓氏、用户名和密码、乐谱、学生/教师角色、评估数据(例如录制作业的分数)、评论中的内容和其他服务中的消息、语音/乐器录音以及上传到或在中提供的任何其他信息,此类Noteflight Learn学生和教师提供的服务。
2.数据主体类别:
客户的学生、老师和其他员工。客户的一名员工将被指定为“Noteflight学习管理员”。
3.处理欧盟个人数据的目的:
许可方向客户提供服务。
4.处理性质:
欧盟个人数据将进行基本处理,包括但不限于收集、记录、组织、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供的披露、对齐或组合、屏蔽、,许可方为向客户提供服务而进行的删除或销毁。
附件B
子处理器
1.亚马逊网络服务
2.经常性
3.Zoho CRM
4.MailChimp
5.扎比尔
6.脸书
7.谷歌有限责任公司
8.丰富的相关性
9.应用程序提示
10.Accelendo有限责任公司
附件C
标准合同条款(处理器)
就第95/46/EC号指令第26(2)条而言,将个人数据传输给在第三国建立的处理器,而第三国的处理器无法确保足够的数据保护水平,许可方(“数据出口商”)和客户(“数据进口商”)均为“一方”;双方已就以下合同条款达成一致,以便就保护个人隐私、基本权利和自由提出充分保障措施,以便数据出口商向数据进口商转让附录1中规定的个人数据
第1条
定义
就条款而言:
(a)“个人数据”、“特殊数据类别”、“处理/处理”、“控制器”、“处理器”,“数据主体”和“监管机构”的含义应与1995年10月24日欧洲议会和理事会关于在个人数据处理和此类数据自由流动方面保护个人的第95/46/EC号指令中的含义相同;(b)“数据出口商”是指传输个人数据的控制者;
(c)“数据进口商”是指同意按照其指示和条款的条款,从数据出口商处接收个人数据,以便在转让后代表其处理,并且不受第三国系统的约束,确保第25(1)条意义上的充分保护指令95/46/EC;
(d)“子处理者”是指数据进口商或数据进口商的任何其他子处理者雇佣的任何处理者,该处理者同意从数据进口商或数据进口商的任何其他子处理者处接收专门用于处理在根据其指示、条款条款和书面分包合同条款进行转让;
(e)“适用的数据保护法”是指保护个人基本权利和自由的法律,尤其是保护个人在处理个人数据方面的隐私权,适用于数据出口商所在成员国的数据控制者;
(f)“技术和组织安全措施”是指旨在保护个人数据免受意外或非法破坏或意外丢失、更改、未经授权的披露或访问的措施,特别是在处理涉及通过网络传输数据的情况下,以及所有其他非法形式的处理。
第2条
转让的详细信息
附录1规定了转让的详细信息,特别是适用的特殊类别的个人数据,附录1是本条款不可分割的一部分。
第3条
第三方受益人条款
1.数据主体可以作为第三方受益人,对数据出口商强制执行本条款、第4(b)至(i)条、第5(a)至(e)条和(g)至(j)条、条款6(1)和(2)、条款7、条款8(2)和条款9至12。
2.数据主体可以对数据进口商强制执行本条、第5(a)至(e)和(g)条、第6条、第7条、第8(2)条和第9至12条,在数据出口商事实上已经消失或法律上不再存在的情况下,除非任何继承实体通过合同或法律实施承担了数据出口商的全部法律义务,因此承担了数据出口者的权利和义务,在这种情况下,数据主体可以针对此类实体强制执行它们。
3.如果数据输出方和数据输入方实际上已经消失或法律上不再存在,或已经破产,则数据主体可以对子处理方强制执行本条款、第5(a)至(e)和(g)条、第6条、第7条、第8(2)条和第9至12条,除非任何继任实体通过合同或法律的实施承担了数据出口商的全部法律义务,从而承担了数据出口者的权利和义务,在这种情况下,数据主体可以对该实体强制执行这些权利和义务。子处理器的此类第三方责任应限于其在条款下的处理操作。
4.如果数据主体明确希望并在国家法律允许的情况下,双方不反对由协会或其他机构代表数据主体。
第4条
数据出口商的义务
数据出口商同意并保证:
(a)个人数据的处理,包括传输本身,已经并将继续按照适用数据保护法的相关规定进行(并且在适用的情况下,已通知数据出口商所在成员国的相关当局)并且不违反该国的相关规定;
(b)其已指示,并且在个人数据处理服务的整个期间,将指示数据进口商仅代表数据出口商并根据适用的数据保护法和条款处理传输的个人数据;
(c)数据进口商将为本合同附录2中规定的技术和组织安全措施提供充分保证;
(d)在评估了适用数据保护法的要求后,安全措施适合保护个人数据免受意外或非法破坏或意外丢失、更改、未经授权的披露或访问,尤其是在处理涉及通过网络传输数据的情况下,以及防止所有其他非法处理形式,并且这些措施确保了与处理所呈现的风险和要保护的数据的性质相适应的安全级别,同时考虑到最先进的技术及其实施成本;
(e)确保遵守安全措施;
(f)如果转让涉及特殊类别的数据,在转让之前或之后,数据主体已被告知或将被告知其数据可能会被传输到第三国,而第95/46/EC号指令所指的第三国没有提供足够的保护;
(g)如果数据出口方决定继续转让或取消暂停,则根据第5(b)条和第8(3)条将从数据进口方或任何子处理方收到的任何通知转发给数据保护监管机构;
(h)根据要求向数据主体提供条款副本(附录2除外)、安全措施概要描述以及必须根据条款制定的任何子处理服务合同副本,除非条款或合同包含商业信息,在这种情况下,它可以删除此类商业信息;
(i)在进行子处理的情况下,处理活动是由子处理者根据第11条进行的,该子处理者为个人数据和数据主体的权利提供的保护水平至少与第11条规定的数据进口商相同;和
(j)其将确保遵守第4(a)至(i)条。
第5条
数据进口商的义务*
数据进口商同意并保证:
(a)仅代表数据出口商并按照其指示和条款处理个人数据;如果其因任何原因无法提供此类合规性,则其同意立即通知数据出口商其无法遵守,在这种情况下,数据出口商有权暂停数据传输和/或终止合同;
(b)它没有理由相信适用于它的法律阻止它履行从数据出口商处收到的指示及其在合同项下的义务,并且如果该法律发生变化,可能会对第条,其将在得知变更后立即通知数据出口商,在这种情况下,数据出口商有权暂停数据传输和/或终止合同;
(c)在处理传输的个人数据之前,其已实施附录2中规定的技术和组织安全措施;
(d)其将立即通知数据出口商:除非另有禁止,否则执法机构提出的任何具有法律约束力的个人数据披露请求,例如刑法禁止为执法调查保密;任何意外或未经授权的访问;以及直接从数据主体收到的任何请求,而未对该请求作出回应,除非其已被授权这样做;
(e)迅速和适当地处理数据出口商就其处理受转移的个人数据而提出的所有查询,并遵守监管机构关于处理所转移数据的建议;
(f)应数据出口方的要求,提交其数据处理设施,以审计条款所涵盖的处理活动,这些活动应由数据出口方或由独立成员组成的检查机构进行,并拥有受保密义务约束的必要专业资格,由数据出口商选择(如适用),并与监管机构达成协议;
(g)根据要求向数据主体提供条款或任何现有合同的副本,以进行子处理,除非条款或合同包含商业信息,在这种情况下,可能会删除此类商业信息,附录2除外,在数据主体无法从数据出口商处获得副本的情况下,附录2应替换为安全措施的简要说明;
(h)在进行子处理时,其已事先通知数据出口商并获得其事先书面同意;
(i)子处理器的处理服务将按照第11条进行;
(j)及时向数据出口商发送其根据条款签订的任何子处理器协议的副本。
--------------------
*根据指令95/46/EC第13(1)条所列利益之一,适用于数据进口商的国家立法的强制性要求不得超出民主社会的必要要求,即,如果这些要求构成了维护国家安全、国防、公共安全的必要措施,预防、调查、侦查和起诉刑事犯罪或违反受监管职业道德的行为、国家的重要经济或金融利益、保护数据主体或他人的权利和自由,都不违反标准合同条款。除其他外,国际公认的制裁、纳税申报要求或反洗钱报告要求是此类强制性要求的一些例子,这些要求并未超出民主社会的必要范围。
第六条
责任
1.双方同意,由于任何一方或子处理方违反第3条或第11条所述义务而遭受损害的任何数据主体有权就所遭受的损害从数据出口商处获得赔偿。
2.如果数据主体因数据进口商或其子处理商违反第3条或第11条中提及的任何义务而无法根据第1款向数据出口商提出索赔,由于数据出口方事实上已经消失或法律上不再存在,或已经破产,数据进口方同意数据主体可以像数据出口方一样向数据进口方提出索赔,除非任何继承实体通过合同或法律实施承担了数据出口商的全部法律义务,在这种情况下,数据主体可以对该实体强制执行其权利。数据进口商不得依赖子处理者违反其义务来避免其自身的责任。
3.如果数据主体无法对第1段和第2段中提及的数据出口商或数据进口商提起索赔,因子处理方违反第3条或第11条中提及的任何义务而产生,因为数据出口方和数据进口方均已实际消失或不再存在于法律中,或已破产,子处理方同意,数据主体可以就其在条款下的处理操作向数据子处理方提出索赔,如同其是数据出口商或数据进口商一样,除非任何继承实体通过合同或法律实施承担了数据出口商或数据进口商的全部法律义务,在这种情况下,数据主体可以对该实体行使其权利。子处理器的责任应限于其在条款下的处理操作。
第7条
调解和管辖
1.数据进口商同意,如果数据主体援引第三方受益权和/或根据条款要求赔偿损失,数据进口商将接受数据主体的决定:(a)由独立人士或监管机构(如适用)将争议提交调解;(b) 将争议提交给数据出口商所在成员国的法院。
2.双方同意,数据主体的选择不会损害其根据国内法或国际法其他规定寻求补救的实质性或程序性权利。
第八条
与监管机构的合作
1.如果数据出口方提出要求或根据适用的数据保护法律要求,数据出口方同意将本合同副本存放在监管机构。
2.双方同意,监管机构有权对数据进口商和任何子处理器进行审计,审计范围和条件与适用数据保护法下适用于数据出口商审计的条件相同。
3.数据进口商应及时告知数据出口商,是否存在适用于其或任何子处理器的法律,以阻止根据第2款对数据进口商或任何子处理者进行审计。在这种情况下,数据出口商应有权采取第5(b)条规定的措施。
第9条
适用法律
本条款应受数据导出机构所在成员国的法律管辖。
第10条
合同的变更
双方承诺不更改或修改条款。这并不排除双方在必要时添加有关业务相关问题的条款,只要这些条款不与本条款相抵触。
第11条
次加工
1.未经数据出口方事先书面同意,数据进口方不得将其根据条款代表数据出口方执行的任何处理操作分包出去。如果数据输入方在征得数据输出方同意的情况下,将其在条款项下的义务分包出去,则其只能通过与子处理方签订书面协议的方式分包,该协议对子处理方施加的义务与条款项下对数据输入方施加的相同。如果子处理方未能履行其在此类书面协议下的数据保护义务,则数据进口商仍应就子处理方在此类协议下的义务的履行向数据出口商承担全部责任。
2.数据进口商和子处理商之间的事先书面合同还应规定第3条中规定的第三方受益人条款,以应对数据主体无法向数据出口商或数据进口商提出第6条第1款所述赔偿要求的情况,因为他们已经事实上已消失或法律上已不复存在或已资不抵债,且任何继承实体均未通过合同或法律运作承担数据出口商或数据进口商的全部法律义务。子处理器的此类第三方责任应限于其在条款下的处理操作。
3.第1款所述合同子处理数据保护方面的相关规定应受数据出口商所在成员国的法律管辖。
4.数据出口商应保存一份根据条款签订的子处理协议清单,并由数据进口商根据第5(j)条通知,该清单应至少每年更新一次。该清单应提供给数据出口商的数据保护监管机构。
第12条
个人数据处理服务终止后的义务
1.双方同意,在终止提供数据处理服务时,数据输入方和子处理方应根据数据输出方的选择,将所有传输的个人数据及其副本退还给数据出口商,或者应销毁所有个人数据,并向数据出口商证明其已这样做,除非对数据进口商施加的法律禁止其退还或销毁全部或部分传输的个人数据。在这种情况下,数据进口商保证将保证传输的个人数据的机密性,并且不再积极处理传输的个人信息。
数据输入方和子处理方保证,应数据输出方和/或监管机构的要求,其将提交其数据处理设施,以对第1款所述措施进行审计
附录1
标准合同条款
本附录构成条款的一部分,必须由双方填写并签署。成员国可根据其国家程序填写或详细说明本附录中包含的任何其他必要信息。
数据导出器
数据输出方是(请简要说明您与传输相关的活动):数据输入方提供的服务的接收方
数据导入程序
数据导入方是(请简要说明与传输相关的活动):向数据导出方提供服务的提供商
数据主体
所转移的个人数据涉及以下类别的数据主体(请具体说明):本DPA附件A第2节通过引用纳入本文。
数据的类别
传输的个人数据涉及以下类别的数据(请详细说明):
本DPA附件A第1节通过引用纳入本文。
特殊类别的数据(如适用)
传输的个人数据涉及以下特殊类别的数据(请具体说明):本协议目前未考虑任何数据。
处理操作传输的个人数据将进行以下基本处理活动(请详细说明):
本DPA附件A第4节通过引用并入本文。
附件2
标准合同条款
本附录构成条款的一部分,必须由双方填写并签署。
描述数据进口商根据第4(d)条和第5(c)条(或所附文件/法规)实施的技术和组织安全措施:考虑最新技术、实施成本以及性质、范围,处理的背景和目的以及自然人权利和自由的不同可能性和严重性的风险,数据进口商已经实施了适当的技术和组织措施,旨在确保与风险相适应的安全水平。