跳至主要内容
开始旅程
Avaturehcm

本政策前言

本《具有约束力的公司规定处理方政策》及其附录(合称“政策”)规定了 Avature 集团(定义见下文)成员在代表第三方控制方(定义见下文)处理信息时,遵守本政策所采取的个人数据保护和管理办法。

Avature 集团公司(“Avature 集团”)是一家在多个国家开展业务的公司组织,致力于为客户的挑战带来新技术、新理念和新解决方案。特别是,Avature 集团提供最先进的人才招聘和人才管理软件解决方案,以满足客户的特定需求,适应其特定的转型目标,通过在组织内部署解决方案为其带来竞争优势。

除本《政策》规定的其他定义外,下列术语应具有相应的含义:

“当地适用法律”指适用于相关集团成员的任何国家/当地数据保护法律(视情况包括欧洲数据保护法)。

“客户”指由集团成员为其提供服务的第三方控制方;

“客户个人数据”指集团成员在向客户(控制方)提供服务时代表客户(控制方)处理的任何客户员工(及其他人员)的个人数据。客户个人数据不包括用于服务运营的个人数据(即账单数据),这些数据由集团成员以控制方的身份进行处理,因此不包括在本政策范围内;

“控制方”是指单独或与他人共同决定处理个人数据目的和方式的自然人或法人、公共当局、机构或其他团体;

“数据处理协议”指包含数据处理条款和条件的合同或任何其他类型的法律文书;

“处理方”指代表控制方处理个人数据的自然人或法人、公共当局、机构或其他团体;

“欧洲”指欧洲经济区(“EEA”)的国家;

“欧洲数据保护法”是指 GDPR 和欧盟成员国的所有数据保护法,包括执行 GDPR 要求的地方立法,包括附属立法,在各种情况下均可随时修订;

“GDPR”指欧盟(EU)第 2016/679 号条例(《通用数据保护条例》);

“集团成员”指遵守本政策的 Avature 集团成员;

“责任 BCR 成员”指 Avature Spain, S.L.U.;

“个人数据”是指与已识别或可识别的自然人(“数据主体”)有关的任何信息;可识别的自然人是指可以直接或间接识别的自然人,尤其是通过姓名、身份证号码、位置数据、在线识别码等标识符或与该自然人的身体、生理、遗传、精神、经济、文化或社会身份有关的一个或多个特定因素;

“处理”是指集团成员对个人数据或个人数据集进行的任何操作或一系列操作,无论是否采用自动化手段,如收集、记录、组织、构建、存储、改编或更改、检索、咨询、使用、披露、传播或其他方式提供、排列或组合、限制、删除或销毁;

“特征分析”是指任何形式的自动处理,包括使用个人数据评估与自然人有关的某些个人方面,特别是分析或预测与该自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为、位置或行动有关的方面;

“特殊类别的个人数据”、“敏感数据”指揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员身份的个人数据、基因数据、为识别唯一自然人而处理的生物特征数据、有关健康的数据或有关自然人的性生活或性取向的数据;以及

“监督机构”或“主管监督机构”是指在欧洲司法管辖区设立的独立公共机构,负责监督欧洲数据保护法的适用情况,以保护自然人在数据处理方面的基本权利和自由;以及

“第三方”是指非集团成员的任何实体。

本政策适用于集团成员作为处理方和/或次级处理方在向客户提供服务的过程中,作为常规业务活动的一部分所处理的所有客户个人数据。

集团成员及其员工在以服务提供商(处理商或次级处理商)的身份处理客户个人数据时,必须完全遵守并尊重本政策。

本政策是对适用于 Avature 集团内某一业务领域或职能的任何具体数据保护要求或保密规定或适用法律要求的补充,并不替代或取代这些要求或规定。

本政策以及当前集团成员名单及其详细联系方式公布在公司内联网和网站上,可在此处公开访问。

第一部分:背景和行动

数据保护法是什么?

欧洲数据保护法赋予人们控制其个人数据处理方式的权利。根据欧洲数据保护法,当一个组织出于自身目的处理个人数据时,该组织被视为该信息的控制方,因此在满足法律要求时担负主要责任。举例来说,如果我们是雇主,在处理员工个人数据时,我们是该数据的控制方。

另一方面,当一个组织代表另一个实体(控制方)处理信息(例如提供服务)时,前者被视为数据的处理方,并且(i)控制方将对其自身的合规性和其处理方的合规性负主要责任;以及(ii)处理方将对遵守义务等事项负责;(ii)处理方除其他事项外,将负责遵守 GDPR 第 28 和 30 条所载的义务。

欧洲数据保护法在国际上对集团成员有何影响?

欧洲数据保护法不允许将个人数据传输到欧洲以外不能充分保护个人数据隐私权的国家、地区或国际组织。由于欧盟委员会认为集团成员开展业务的某些国家没有提供足够的保护,因此必须制定符合欧洲数据保护法要求的适当保障措施。

集团成员为此付出了哪些努力?

集团成员必须采取适当措施,确保其在国际基础上对个人数据的处理是安全的,即合法的。因此,本政策的目的是制定一个框架,以满足欧洲数据保护法所载的标准, 从而使得作为处理方和/或次级处理方的集团成员为被转移或被处理的所有客户个人数据提供充分的保护。

如上文所述,根据欧洲数据保护法,处理方应与控制方签订数据处理协议,该协议应符合 GDPR 第 28 条等规定的义务。此类协议将与其他协议共同对处理方进行的国际数据传输做出规定。在这方面,如果集团成员的客户认为本政策提供了充分的保障,则与该客户的协议中将包含本政策的链接,并至少包含:

  • 合同条款,使相关客户可以执行本政策;
  • 相关客户承诺告知数据主体:(i)涉及特殊类别个人数据的国际转移;(ii)存在欧洲以外的处理方;(iii)存在本政策(应要求向数据主体提供本政策和相关协议的副本);
  • 清楚说明(i)保密和安全措施的执行情况;(ii)指引和数据处理情况;以及
  • 澄清(i)数据是否可以在 Avature 集团内部或外部进行次级处理;(i)客户的事先授权是一般性的,还是需要对每项新的次级处理活动进行特别授权。

在这种情况下,如果客户证明其遭受了损害,并且损害的发生很可能是由于违反了本政策(根据上述数据处理协议具有约束力),则有义务由负有责任的 BCR 成员证明欧洲以外的集团成员(或在欧洲以外设立的第三方次级处理方)对违反行为不负有责任,或者没有发生违反行为。此外,与集团成员签订了包含本政策的数据处理协议的客户,可在法律允许的情况下,根据数据处理协议的条款,在欧洲法院对以下各方执行本政策:(i)任何代表该客户处理客户个人数据的集团成员,因为该集团成员违反了本政策;此外,(ii)如果欧洲以外的集团成员(或在欧洲以外设立的第三方次级处理方)违反了本政策,则对负有责任的 BCR 成员执行本政策。

本政策具有法律约束力,适用于以人工或自动方式处理客户个人数据的所有集团成员及其员工,并要求作为处理方和/或次级处理方处理客户个人数据的集团成员遵守本政策第二部分所列规定以及本政策第三部分附录所列政策和程序。

本政策涵盖的个人数据包括哪些?

根据本政策处理的个人数据包括客户个人数据;特别是客户通过商定的配置/协议共享的与客户现任、前任和未来雇员或其他人员(如受训人员、借调人员或独立合同工)有关的个人数据,主要包括以下数据(a)个人和联系方式(例如姓名、年龄、出生日期、联系方式、政府颁发的身份号 码(例如社会保险号、驾驶执照号或身份证号));(b)人才、招聘和申请、教育和培训详情(例如教育经历、工作经验、简历、用户对人员素质和资格的说明);以及(c)财务信息(例如客户人员提供的银行账号,其唯一目的是领取工资以及家属和紧急联系人 的详情)。

此外,集团成员可能会在必要时根据当地适用法律的要求或允许,出于下节所述目的处理特殊类别的个人数据。具体而言,健康和医疗信息(包括健康保险识别码),或个人的性取向、种族取向、政治取向、民族取向、意识形态取向或宗教取向(仅限于遵守平等就业机会规定,或在控制方收集数据的司法管辖区适用于控制方的法律要求和允许的情况下)。

根据本政策,个人数据出于何种目的进行传输?

根据本政策,为向客户提供所需的服务(通过协议商定),在全球范围内的集团成员之间进行客户个人数据的传输(在此查看所有此类集团成员的位置),无论数据的来源如何,这需要访问客户的个人数据,以便:(i) 代表客户存储此类数据;(ii) 向客户提供技术支持服务;(iii) 根据客户的指示在相关情况下执行配置或重新配置服务;(iv) 执行以下操作 (i) 代表客户存储此类数据;(ii) 向客户提供技术支持服务;(iii) 根据客户指示在相关情况下执行配置或重新配置服务;(iv) 执行必要的处理操作,以便向客户提供各种功能的服务;以及 (v) 提供服务的安全性和可用性。

更多信息

Avature 集团拥有一个数据保护专家团队(由集团数据保护官[定义见下文] 领导),负责确保所有集团成员严格遵守适用的数据保护法规(“隐私团队”)。如果您对本政策的规定、您在本政策下的权利或任何其他数据保护问题有任何疑问,可按以下地址联系隐私团队。隐私团队将处理该问题,或将其转给 Avature 集团内部的适当人员或部门,或在适当的时候将该问题上报给 Avature 集团的数据保护官(“数据保护官”)。

收件人隐私团队

在线表格https://www.avature.net/contact-privacy-officer/

隐私团队负责确保根据附录5通知本政策的变更。

如果您对任何集团成员处理您个人资料的方式不满,Avature 集团有单独的投诉处理程序,该程序载于第三部分附录3

第二部分:处理方义务

本政策第二部分分为三节:

  • 章节 A 阐述了集团成员作为处理方和/或次级处理方代表控制方第三方处理和传输客户个人数据时必须遵守的欧洲数据保护法规定的基本原则。
  • 章节 B 涉及集团成员作为处理方代表客户处理客户个人数据时向主管监督机构做出的实际承诺。
  • 章节 C 介绍了集团成员根据本政策以处理方身份授予数据主体的第三方受益权。

章节 A:基本原则

规定1 – 透明、公平和合法

规定1A – 集团成员应确保遵守本政策不会与现行数据保护法律相冲突。

本政策的适用范围以及:

  • 适用的当地法律要求提供比本政策规定更高水平的保护,则更高水平的保护优先于本政策;或
  • 如果适用的当地法律妨碍了集团成员履行本政策规定的义务,或对其履行义务的能力有重大影响,集团成员将遵循第12条规定的程序。

规定1B – 集团成员将在合理的时间内并在合理可能的范围内帮助和协助客户遵守欧洲数据保护法规定的义务。

集团成员将根据处理性质和可获得的信息,在合理的时间内,在合理可能的范围内,并按照与客户签订的数据处理协议和/或当地适用法律的要求,应客户要求协助其履行欧洲数据保护法规定的控制方义务。例如,集团成员将对次级处理方的活动保持透明,以便其客户可以正确地通知个人。

规定2 – 确保个人数据仅为已知目的而处理

规定2 – 集团成员只能代表客户并按照客户的指示处理客户个人数据。

集团成员及其员工将遵守《政策》,仅在遵守与客户就数据处理达成的数据处理协议条款的情况下处理客户个人数据。只要涉及到和数据处理方的活动,该协议将包含欧洲数据保护法要求的条款,包括将客户个人数据传输到欧洲以外的目的地,仅限于集团成员受欧洲法律管辖的法律要求这样做时。在这种情况下,集团成员将在进行处理之前告知客户该法律要求,除非该法律以重要的公共利益为由禁止提供此类信息。

如果出于任何原因,集团成员无法遵守本规定或本政策规定的与客户达成的任何数据处理协议的义务,集团成员将立即通知客户。集团成员的客户可根据与集团成员签订的合同条款,暂停向其传输客户个人数据和/或终止合同。

在终止向客户提供与数据处理方相关的服务时,集团成员及其次级处理方将按照客户的指示行事,删除或归还客户个人数据并删除其副本,并向客户证明他们已经这样做,除非强加的法律要求他们保存客户个人数据。在这种情况下,集团成员将通知客户,并确保对这些信息保密,除按照客户的指示或当地适用法律的要求外,不会处理客户的个人数据。

如果集团成员认为某项指令违反了欧洲数据保护法,将立即通知其客户。

规定3 – 确保数据质量

第3条 – 集团成员将在合理的范围内帮助和协助客户保持客户个人资料的准确性和时效性。

集团成员将遵守其客户的任何指示,以协助他们履行保持客户个人资料准确和最新的义务。

集团成员在接到客户要求时,会删除、匿名化、更新或更正客户的个人资料。如果由于技术原因无法删除客户的个人资料,集团成员将向客户提供相应的建议,并采取措施使客户的个人资料不再被处理。

集团成员将通知其他集团成员或任何已向其披露客户个人资料的第三方分处理方,以便其更新记录。

规定4 – 尊重个人权利

规定4 – 集团成员将协助客户遵守个人权利。

集团成员将按照客户的指示行事,并采取任何适当的技术和组织措施,使客户能够履行尊重个人权利的义务。包括如下权利:

  • 查阅权,即数据主体有权要求确认是否正在处理与其有关的个人数据,如果正在处理,则有权查阅个人数据和有关处理的信息;
  • 更正权,数据主体有权要求更正任何可能不准确或不完整的个人数据;
  • 删除权或 “被遗忘权”,根据该权利,数据主体有权在适用下列理由之一的情况下,不无故拖延地删除其个人数据: (i) 就收集或以其他方式处理个人数据的目的而言,这些数据已不再必要; (ii) 数据主体撤销了数据处理所依据的同意,且数据处理没有其他法律依据; (iii) 数据主体反对处理,且在适用情况下,处理没有压倒性的合法理由;(iv) 个人数据被非法处理;(v) 为履行法律义务必须删除个人数据;或 (vi) 个人数据的收集与向儿童提供信息社会服务有关;
  • 限制处理的权利,根据该权利,当出现以下情况之一时,数据主体有权要求限制对其个人数据的处理 (i) 数据主体对个人数据的准确性提出质疑,并在所需期限内核实个人数据的准确性;(ii) 处理是非法的,数据主体反对删除个人数据,并要求限制其使用; (iii) 控制方不再需要个人数据用于处理目的,但数据主体需要这些数据用于建立、行使或捍卫法律主张;或 (iv) 数据主体反对处理,以待核实控制方的合法理由是否优先于数据主体的合法理由;
  • 有权要求将个人数据的更正、删除或处理限制通知其个人数据的每一个接收方,除非事实证明这样做是不可能的或需要付出不相称的努力。数据主体也可要求获知此类接收方的信息;
  • 数据可携带权,根据该权利,数据主体有权以结构化的格式接收其向控制方提供的有关个人数据,并在数据处理基于同意或为履行合同所必需且数据处理是通过自动化手段进行的情况下,将这些数据传输给另一控制方;
  • 反对权,根据该权利,数据主体有权在任何时候以与其特殊情况有关的理由反对基于公共利益或合法利益对其个人数据的处理,包括个人资料的收集。控制方不得再处理个人数据,除非控制方证明其处理数据的理由具有令人信服的正当性,且该理由优先于数据主体的利益、权利和自由,或优先于建立、行使或捍卫法律主张。当出于直接营销目的处理个人数据时,数据主体有权随时反对此类基于营销目的而进行的个人数据处理,包括在与此类营销有关的范围内,按照规定7所述进行特征分析;
  • 有权不接受仅基于自动处理(包括特征分析)而对其产生法律效力或重大影响的决定(如适用,如规定8所述);以及
  • 随时撤销对特定处理的同意。撤回应与同意一样容易。

特别是,如果任何集团成员收到个人行使其权利的请求,集团成员将立即将转发该请求给相关客户,除非得到授权,否则不得对该请求做出回应。集团成员将遵循《数据主体权利程序》中规定的步骤(见附录1)。

规定5 – 安全和保密

规定5A – 集团成员将按照与客户所签订合同中的规定,实施当地适用法律所要求的适当技术和组织安全措施。

如果集团成员向客户提供的服务涉及客户个人数据的处理,则集团成员与其客户之间的合同规定了处理信息安全的明确义务,这些义务至少要符合欧洲数据保护法的要求,以确保集团成员采取适当的技术和组织安全措施,确保客户个人数据的安全级别与处理所带来的风险相适应。

集团成员将遵守与客户签订的合同中所规定的安全和组织措施,并在考虑到技术水平、实施成本、对个人的风险、处理的性质、范围、背景和目的的合理情况下,协助客户实施适当的技术和组织安全措施,以便在实践中遵守本政策(例如通过特定和默认方式保护数据)。

规定5B – 集团成员应将所有个人数据泄露事件通知客户。

如果安全漏洞导致意外或非法破坏、丢失、更改、未经授权披露或访问客户个人数据传输、存储或以其他方式处理(“个人数据泄露”),相关集团成员内意识到个人数据泄露的人员,在没有不当延迟的情况下,在任何情况下,将按照 Avature 的个人数据泄露应对政策规定的步骤,在意识到数据泄露发生的二十四(24)小时内,通知 Avature 的数据保护官和安全团队。

一旦 Avature 的数据保护官收到有关个人数据泄露的信息,他/她将与法律团队一起评估是否可将其视为个人数据泄露,或者相反,是否可将其视为未影响个人数据的安全事件。Avature 的数据保护官将与法律团队一起分析个人数据泄露的细节,并根据与客户签订的合同条款及时通知客户(在任何情况下,不得迟于获悉后72小时)。

如果根据下文的规定5C指定了次级处理方,则次级处理方应在无不当延迟的情况下(在任何情况下,不得迟于知悉后 72 小时)将任何个人数据泄露事件通知客户和处理方集团成员。

集团成员和第三方分处理方发生的个人数据泄露事件,包括事实、事件影响和采取的补救措施,都将记录在个人数据泄露报告中,客户可索取该报告。

规定5C – 集团成员将遵守客户关于指定任何内部和外部分处理方的要求。

集团成员将告知其客户,将由内部和外部的次级处理方代表其进行数据处理,并将遵守客户在与他们签订的合同条款中规定的关于指定次级处理方的特殊要求,特别是集团将事先获取客户关于指定任何次级处理方的特定或一般书面授权。

如果客户已提供一般书面授权,集团成员将确保客户随时可获得有关其指定的次级处理方的最新信息,以便客户有机会在数据传输给新的次级处理方之前提出异议。如果客户在审阅这些信息后,反对委任次级处理方代表其处理客户个人数据,该客户将有权采取符合其与集团成员签订的合同条款以及本政策第二部分规定2所述的措施(即 集团成员的客户届时可根据其与集团成员签订的合同条款,暂停向集团成员转移客户个人数据和/或终止合同)。

规定5D – 集团成员将确保内部和外部分处理方承诺遵守符合 (i) 与客户签订的合同条款和 (ii) 本政策的规定,特别是次级处理方将采取适当和同等的安全措施。

集团成员只能指定内部和外部分处理方,这些次级处理方必须就集团成员在本政策中所做的承诺提供足够的保证。特别是,此类次级处理方必须能够提供适当的技术和组织措施,对其按照集团成员与客户签订的合同条款处理客户个人数据的行为进行规范。

为遵守本规定,如果次级处理方可以访问本政策所涵盖的客户个人数据,集团成员将采取措施,确保采取适当的技术和组织安全措施来保护客户个人数据,并根据欧洲数据保护法,以书面形式对次级处理方规定严格的合同义务。这些要求包括:

  • 次级处理方承诺协助遵守适用法律、数据质量、透明度和目的限制原则、个人权利和信息安全,并与本政策(尤其是但不限于上述规定 1、2、3、4、5A 和 5B)以及集团成员与其客户就有关处理方签订的合同条款保持一致;
  • 次级处理方在处理客户个人数据时,只能按照集团成员的指示行事;
  • 在向设立在欧洲以外国家的第三方次级处理方传输客户个人数据且监管机构认为该国家不能确保对个人数据隐私权提供充分的保护时,采取充分的保障措施(按照欧洲数据保护法的理解);以及
  • 必要的义务,以确保次级处理方的承诺反映集团成员在本政策中做出的适用于次级处理方的承诺。

章节 B:切实承诺

规定6 – 合规与问责

规定 6A – 集团成员将配备适当的员工和支持,以确保和监督整个企业遵守本政策,并向客户提供所有必要信息,以证明遵守了本政策。

Avature 集团任命了一个数据保护专家团队(由集团数据保护官领导),负责确保和监督所有集团成员在日常工作中严格遵守本政策。此外,Avature 集团还设有风险团队和安全团队,协助隐私团队处理隐私合规的技术问题。

数据保护官在履行任务时享有最高管理层的支持(数据保护官应直接向其汇报,如果在履行职责过程中出现任何疑问或问题,也应告知数据保护官,详见下文),并承担以下职责:

  • 领导隐私团队,包括就隐私合规的技术问题与风险团队和安全团队进行协调;
  • 在 Avature 集团内部实施/宣传和监督与隐私相关的做法、政策和问题,包括分配责任、提高认识和培训参与处理业务的员工,以及相关的审计;
  • 按照可接受的标准做法,将问题上报给高级管理层,供其适当考虑;
  • 与主管监督机构合作和协调;以及
  • 就与个人数据处理有关的问题或请求,充当主管监督机构和数据主体的联络点。

数据保护专家团队协助数据保护官履行上述义务,更具体地说,日常控制和管理数据保护的合规性(主要包括处理数据主体的本地投诉、监督企业政策在本地层面的合规性以及向数据保护官报告重大隐私问题)。

集团成员应确保数据保护官(或隐私小组)的联系方式始终与政策一起公布。

当出于具体任务的复杂性和工作量的需要,隐私保护小组将得到外部顾问的支持。

规定6B – 集团成员在处理个人数据时,应保存其处理活动的书面记录(包括电子形式),并应要求向主管监督机构提供该记录。

集团成员作为处理方为作为控制方的客户保存的数据处理记录将包含以下内容:

  • 集团成员的姓名和联系方式,以及(如适用)集团成员代表和数据保护官的姓名和联系方式;
  • 集团成员代表其处理客户个人数据的每位客户的姓名和详细联系信息,以及客户代表和数据保护负责人(如适用)的姓名和详细联系信息;
  • 代表每位客户进行的处理类别;
  • 个人数据被转移到的第三国或多个国家的详细信息,包括该第三国或国际组织的标识以及适当保障措施的文件;
  • 在可能的情况下,对用于保护个人数据的技术和组织安全措施进行一般性描述。

集团成员保存的数据处理记录应为书面形式,包括电子形式,并应要求提供给主管监督机构。

规定7 – 培训

规定 7 – 集团成员将为长期或定期接触客户个人数据、参与处理客户个人数据或开发用于处理此类个人数据工具的员工提供适当培训。

集团成员将为所有员工,特别是长期或定期接触客户个人数据和/或参与处理此类个人数据或开发用于处理此类个人数据的工具的员工,提供适当的最新培训。此类培训至少每年一次,培训内容包括管理公共机构查阅个人资料请求的程序等。

规定8 – 审计

规定8 – 集团成员应遵守附录2所载的《审计规程》。

集团成员将遵守《审计规程》,定期进行内部审计,并根据《审计规程》规定的正式评估程序,在必要时进行外部审计。审计结果将根据附录2进行通报。

规定9 – 投诉处理

规定9 – 集团成员应遵守附录3所载的投诉处理程序。

集团成员将遵守附录3所载的投诉处理程序,以处理数据主体的投诉,并保障小组成员对个人资料的处理。集团成员还允许行使本政策章节 C 规定的第三方受益权。

规定10 – 与监管机构的合作

规定10 – 集团成员应遵守附录4所列的《合作程序》。

集团成员将遵守附录4所载的《合作程序》,就本政策与监管机构合作,接受其审计和检查,并就与本政策有关的任何问题考虑其意见和遵守其决定。

规定11 – 规定的更新

规定11 – 集团成员应遵守附录5所列的更新程序。

集团成员将遵守附录5所列的更新程序,并将本政策和集团成员名单的任何更新及时通知主管监管机构、相关客户和集团成员。

规定12 – 在国家立法影响政策合规的情况下需采取的行动

规定12A – 集团成员承诺,只有在适当评估了目的地第三国适用于导入实体处理个人数据的法律和惯例(包括任何披露个人数据的要求或授权公共当局查阅的措施)不妨碍其履行本政策规定的义务的情况下,才将本政策用作传输工具。

集团成员只有在评估了目的地第三国适用于导入实体处理个人数据的法律和惯例(包括任何披露个人数据的要求或授权公共当局查阅的措施)不妨碍其履行本政策规定的义务时,才会使用本政策作为保障国际转移的工具。这应基于这样一种理解,即尊重基本权利和自由的本质,且不超出民主社会为保障 GDPR 第23(1)条所列目标之一所必需且相称的法律和惯例,与本政策并不矛盾。

在评估可能影响遵守本政策所载承诺的第三国的法律和惯例时,集团成员应特别考虑以下因素:

  • 传输或一系列传输的具体情况,以及计划在同一第三国境内或向另一第三国进行的任何后续传输的具体情况,包括:
  • 传输和处理数据的目的;
  • 参与处理的实体类型(导入实体和任何传输的后续接收方);
  • 发生传输或一系列传输的部门;
  • 传输个人数据的类别和格式;
  • 包括存储在内的处理地点;
  • 使用的传输通道;
  • 与传输情况相关的目的地第三国法律和惯例,包括要求向公共当局披露数据或授权公共当局查阅数据的法律和惯例,包括规定在导出实体所在国和导入实体所在国之间的传输过程中查阅这些数据的法律和惯例,以及适用的限制和保障措施;
  • 为补充本政策规定的保障措施而采取的任何相关合同、技术或组织保障措施,包括在传输过程中以及在目的地国家处理个人数据时采取的措施。

如果除本政策规定的保障措施外还需采取其他保障措施,则应通知负有责任的 BCR 成员和数据保护官,并让他们参与评估。

集团成员应适当记录此类评估以及所选择和实施的补充措施,并应根据要求向主管监督机构提供此类文件。

作为导入实体的集团成员,在使用本政策作为传输工具时,以及在成员资格有效期内,如有下列情况,应立即通知相关导出实体和客户(若非导出实体),他们有理由相信,他们正在或已经受到法律或惯例的约束,这些法律或惯例会妨碍他们履行本政策规定的义务、相关客户收到的指示和/或与相关客户签订的合同规定的义务,包括在相关第三国的法律发生变化或采取了措施(如披露要求)之后。此信息也应提供给负有责任的 BCR 成员和数据保护官。

在核实此类通知后,相关导出实体(在其为集团成员的情况下)与负有责任的 BCR 成员和数据保护官一起,承诺立即确定导出实体和/或导入实体(如适当且与客户协商相关)将采取的补充措施(例如确保安全和保密的技术或组织措施),以使其能够履行本政策规定的义务。如果导出实体有理由认为导入实体无法继续履行本政策规定的义务,则同样适用。

如果相关导出实体与负有责任的 BCR 成员和数据保护官一起评估认为某项传输或某组传输无法遵守《政策》(即使附有补充措施),或者如果客户(如适用)或主管监管机构发出指示,则导出实体承诺暂停相关传输或某组传输,以及经相同评估和推理会得出类似结果的所有传输,直至再次确保遵守《政策》或结束传输。

暂停后,如果无法遵守本政策,且在暂停后一个月内仍未恢复遵守,则导出实体必须终止传输或一系列传输。在这种情况下,导出实体应选择将在中止前已传输的个人数据及其任何副本归还给导出实体或全部销毁。

负有责任的 BCR 成员和数据保护官将向集团所有其他成员通报所进行的评估及其结果,以便在集团任何其他成员进行同类传输时采取已确定的补充措施,或者在无法采取有效补充措施的情况下,暂停或终止相关传输。

导出实体还应持续监测,并酌情与导入实体合作,监测导出实体向其转移个人数据的第三国的事态发展,这些事态发展可能会影响对保护水平的初步评估以及就此类转移作出的决定。

规定12B – 作为导入实体的集团成员将确保,当他们收到目的地国法律规定的公共当局提出的具有法律约束力的要求,要求披露根据本政策转移的个人数据,或知悉公共当局根据目的地国法律直接获取根据本政策转移的个人数据时,他们将立即通知相关导出实体、客户(若非导出实体)、相关监管机构,并在可能的情况下通知数据主体(必要时可获得导出实体的帮助)。

作为导入实体的集团成员将立即通知相关导出实体、客户(若非导出实体)、相关监管机构(即根据要求包括导出实体的监管机构,如果不是同一机构,则包括客户的监管机构),并在有以下情况时,在可能的情况下通知数据主体(必要时可获得导出实体的帮助):

  • 收到目的地国或其他第三国法律规定的公共机构提出的具有法律约束力的要求,要求披露根据本政策转移的个人数据;此类通知应包括所要求的个人数据、提出要求的机构、提出要求的法律依据以及所提供的答复信息;
  • 了解公共机构根据目的地国法律直接获取根据本政策传输的个人数据情况;此类通知应包括导入实体可获得的所有信息。

如果被禁止通知相关导出实体、客户(如果客户不是导出实体)、相关监管机构和/或数据主体(必要时在导出实体的帮助下),作为导入实体的集团成员将尽合理努力争取免除禁令,以便尽快传达尽可能多的信息,并将其合理努力记录在案,以便在接到要求时能够证明。如果在上述情况下,尽管导入实体已做出合理努力,但仍无法通知主管监督机构,则应每年向其提供所收到请求的一般信息。

作为导入实体的集团成员将定期(至少每年一次)向相关导出实体和客户(如果客户不是导出实体)提供尽可能多的相关信息,说明所收到的请求(特别是请求的数量、请求数据的类型、请求机构、请求是否受到质疑以及质疑的结果等)。如果部分或完全被禁止向相关导出实体或客户(在其不是导出实体的情况下)提供上述信息,则应立即通知他们。

作为导入实体的集团成员将在数据受《政策》规定的保障措施约束期间保存上述信息,并应要求提供给主管监督机构。

作为导入实体的集团成员将审查披露请求的合法性,特别是该请求是否仍在授予提出请求的公共当局的权力范围之内,如果经过认真评估后得出结论,认为根据目的地国的法律、国际法规定的适用义务和国际礼让原则,有合理的理由认为该请求是非法的,则将对该请求提出质疑。作为导入实体的集团成员应在同样条件下寻求上诉的可能性。在对请求提出质疑时,作为导入实体的集团成员应寻求临时措施,以期在主管司法当局对请求的是非曲直做出裁决之前,暂缓请求的效力。在根据适用的程序规定要求披露之前,他们不得披露所要求的个人数据。

作为导入实体的集团成员将记录其法律评估和对披露请求的任何质疑,并在目的地国法律允许的范围内,向相关导出实体、客户(若非导出实体)和相关监管机构提供这些文件。

作为导入实体的集团成员在答复披露请求时,将根据对请求的合理解释,提供允许的最低信息量。

在任何情况下,集团成员都将确保其根据本政策向公共当局作出的任何个人资料转移不会超出民主社会所需的大规模、不相称或不加区分的方式。

规定13 – 政策不合规与终止

规定13 – 集团成员应切实受《政策》的约束,并有能力保持合规。

当作为导入实体的集团成员无论出于何种原因无法遵守本政策时,应立即通知相关导出实体和/或客户(若非导出实体)。如果集团成员违反本政策或无法遵守本政策,相关导出实体和/或客户(若非导出实体)应/将有权暂停传输。

集团成员应根据导出实体和/或客户(若非导出实体)的选择,在下列情况下立即全部归还或删除根据本政策转移的个人数据:

  • 导出实体和/或客户(若非导出实体)已暂停转让,且在合理时间内未恢复遵守本政策(暂停一个月内);或
  • 集团成员严重或持续违反《政策》,或未能遵守主管法院或监管机构就其《政策》义务做出的具有约束力的裁决。

这同样适用于数据的任何副本。集团成员应向导出实体和/或客户(如果不是导出实体)证明已删除数据。在数据被删除或归还之前,集团成员应继续确保遵守本政策。如果当地适用法律禁止集团成员归还或删除所转让的个人数据,集团成员保证将继续确保遵守本政策,并仅在法律要求的范围和期限内处理数据。

规定13B – 不再受政策约束的集团成员应确保个人数据得到适当保存、归还或删除(如适用)。

作为导入实体的集团成员,如不再受本政策约束,可保留(在遵守当地适用法律要求的范围内)、退还或删除根据本政策收到的个人数据。如果导出实体或客户(若非导出实体)与作为导入实体的集团成员商定数据可由后者保存,则必须维持此处规定的保护。

章节 C:第三方受益权

  1. 如果客户个人数据是由作为处理方的集团成员根据与客户签订的数据处理协议在本政策下处理的,则客户个人数据根据该数据处理协议的条款被转移到欧洲以外的集团成员的该个人,将有权作为第三方受益人直接对处理方执行以下内容:
    • 《政策》规定1B、2、3、4、5、6B、9、10和12;
    • 有权通过net/legal此处提供的内部维基网站访问《政策》,或通过Avature集团此处提供的在线表格https://www.avature.net/contact-privacy-officer/获取《政策》的打印文本以及受《政策》约束的集团成员名单;以及
    • 有权执行 C 节 (a)、(c)、(d)、(e)、(f) 和 (g) 中赋予第三方受益人权利的条款,并制定《政策》下的责任和管辖规定。
  2. 如果客户个人数据是由作为处理方的集团成员根据与客户签订的数据处理协议在本政策下处理的,且客户个人数据如上文 (a) 所述被转移的个人因以下原因无法向客户提出索赔:(i) 客户已事实上消失或在法律上不复存在或已破产;以及 (ii) 没有任何继承实体通过合同或法律的实施承担客户的全部法律义务,则该个人将有权作为第三方受益人直接向处理方强制执行以下内容:
    • 《政策》规定1B、2、3、4、5、6A、9、10和12;
    • 有权通过net/legal此处提供的内部维基网站访问《政策》,或通过Avature集团此处提供的在线表格https://www.avature.net/contact-privacy-officer/获取《政策》的打印文本以及受《政策》约束的集团成员名单;以及
    • 有权执行章节 C (b)、(c)、(d)、(e)、(f)、(g)和(h)中赋予第三方受益人权利的条款,并制定政策下的责任和管辖规定。
  3. 本政策通过以下方式确保章节 C 上文中 (a) 和 (b) 节所述个人能够行使这两节所述的权利:
    • 提出投诉:数据主体可向集团成员(根据附录3所列的投诉处理程序)和被指控侵权行为发生地或个人工作或经常居住地所在成员国的主管监管机构提出投诉;和/或
    • 提起诉讼:数据主体可在集团成员设有机构的成员国或个人经常居住地所在成员国的法院对集团成员提起诉讼。
  4. 如果集团成员和一同参与处理过程的客户被认定对该处理过程造成的任何损害负有责任,则章节 C 上文(a)和(b)中提及的个人将有权直接从集团成员处获得全部损害赔偿。
  5. 章节 C 上文 (a) 和 (b) 中提及的个人还可向负有责任的 BCR 成员寻求适当补救,包括对违反上述各节规定的任何行为进行补救,并在适当情况下从负有责任的 BCR 成员处获得赔偿,以弥补因下列人员违反上述规定而遭受的任何损害(无论是物质损害还是非物质损害)的全部损失:
    • 在欧洲以外作为处理方的任何集团成员;或
    • 根据法院或其他主管机关的裁定,在欧洲以外设立的、代表集团成员行事的任何第三方次级处理方。
  6. 负有责任的 BCR 成员将确保采取任何必要行动,以纠正欧洲以外的集团成员或在欧洲以外设立的任何第三方次级处理方在代表客户处理客户个人数据时违反本政策的行为。
  7. 为避免疑义,个人应受益于本章节 C 所述的第三方受益权,欧洲法院或主管监督机构应拥有管辖权,如同违反本章节 C 所述规定或其中任何规定是由负有责任的 BCR 成员造成的。负有责任的 BCR 成员不得以次级处理方(内部或外部)违反其义务为由逃避自身的责任。
  8. 如果个人遭受了上述损害并根据本章节 C 提出索赔,并且个人能够证明损害很可能是由于违反本政策而发生的,则集团成员同意,负有责任的 BCR 成员将承担举证责任,证明欧洲以外的集团成员(或在欧洲以外设立并代表集团成员行事的任何第三方次级处理方)不对违反行为负责,或没有发生违反行为。如果负有责任的 BCR 成员能够证明欧洲以外的集团成员对该行为不负有责任,则可以免除自己的任何责任/义务。

 第三部分:附录

附录1

数据主体权利程序

  1. 在集团成员是处理方的情况下,向集团成员提出的请求
    1. 当集团成员代表控制方(如向其提供服务的客户)处理信息时,前集团成员将被视为个人数据的处理方,而客户作为控制方将承担主要责任以满足欧洲数据保护法的法律要求。
    2. 根据与作为控制方的客户签订的合同承诺,某些数据保护义务会转嫁给作为处理方的集团成员。特别是,作为处理方的集团成员必须按照作为控制方的客户的指示行事,并采取任何合理的必要措施,使控制方能够履行其尊重数据主体权利的义务。这意味着,如果任何集团成员代表客户(作为控制方)以处理方的身份收到数据主体行使欧洲数据保护法规定的权利的请求,则必须根据集团成员与客户之间的合同以及 Avature 的《数据主体权利答复政策》,立即将该请求转给作为控制方的相关客户,除非获得明确授权,否则不得对该请求作出答复。
    3. 当客户(作为控制方)通知集团成员(作为处理方),要求删除、更正或限制与该客户之前披露的个人数据有关的信息时,集团成员(作为处理方)将相应更新其记录。

附录2

审计规程

  1. 背景
    1. 集团成员必须对其遵守《政策》的情况进行审核,并在审核过程中满足某些条件,本文件介绍了集团成员如何处理这些要求。
    2. Avature 数据保护官和隐私团队的职责是为受政策约束的个人数据处理提供指导,并对集团成员在处理个人数据的日常业务时所潜在的隐私相关风险进行评估。因此,个人数据的处理需要不断进行详细的审查和评估。因此,尽管本《审计规程》描述了集团成员为确保遵守主管监督机构要求的政策而采取的正式评估程序,但这只是集团成员确保政策规定得到遵守并按要求采取纠正措施的一种方式。
  2. 方法
    1. 审计概况
      1. 数据保护官和隐私团队负责日常监督政策的遵守情况。
      2. 负责对政策遵守情况进行审计并确保此类审计涉及政策所有方面的实体,可根据相关集团成员的具体情况而有所不同。通常情况下,审计由 Avature 的数据保护官(保证其在履行与这些审计相关的职责时具有独立性)、内部或外部审计员(如适用)执行。相关审计员将负责确保提请数据保护官注意任何不合规的问题或情况,并确保在合理的时间范围内采取任何纠正措施,以确保合规。
      3. 在集团成员作为客户处理方的情况下,集团成员的客户或其代表也可根据集团成员与客户就此类处理签订的合同条款,对政策中的承诺遵守情况进行审核,此类审核也可延伸至代表集团成员进行此类处理的任何次级处理方,审核此类次级处理方的能力将根据集团成员与次级处理方签订的合同条款进行。
        如果审计涉及集团成员代表控制方处理的个人数据,集团成员将应要求向控制方提供审计结果中与相关控制方遵守本政策有关的部分。
    2. 审计的时间和范围
      1. 如上所述,数据保护官将决定审计的时间。对《政策》的审计:
        • 根据 Avature 集团的审计程序,每二十四(24)个月一次;和/或
        • 应数据保护官的要求和/或在数据保护官认为必要的情况下更频繁地进行。
      2. 在集团成员代表客户处理个人数据的情况下,将根据该集团成员与客户之间签订的合同要求,对政策进行审核(只要指明的时限与2.2.1. (a)相同或更短)。
      3. 同样,审计的范围和覆盖面将由数据保护官根据基于风险的分析来确定,该分析将考虑相关标准,例如:已知不合规的领域;当前监管重点领域;业务面临特定风险或新风险的领域;用于保护信息的系统或流程发生变化的领域;以前有审计结果或投诉的领域;自上次审查以来的时期;处理个人数据的性质、方法和地点;IT系统、应用程序和数据库;传输;以及法律冲突或供应商管理引起的问题。
      4. 如果集团成员代表其处理个人数据的客户行使权利,对集团成员遵守本政策的情况进行审计,则审计范围应仅限于与该控制方有关的数据处理设施、档案、文件(如适用)和活动。集团成员不会让控制方进入处理其他控制方个人数据的系统。
    3. 审计员
      1. 数据保护官和隐私团队、内部或外部审计员将酌情对落实政策承诺的程序和控制方进行审计。由外部审计员进行审计时,至少应满足以下条件:
        • 在选择审计师之前进行适当的尽职调查,以确保相关审计师具备协助开展这项工作的适当资格和地位;以及
        • 与上述机构签订协议,以便根据适用法规规范其服务的提供。
      2. 如果集团成员代表其处理个人数据的客户行使权利,要求对集团成员遵守政策的情况进行审核,则审核可由该控制方进行,或由该控制方按照集团成员与该控制方之间的合同规定(如适用),经监管机构同意选定的独立、经认可的审核人员进行。
    4. 报表
      1. 审计完成后,应向数据保护官、负有责任的 BCR 成员的董事会提供审计报告和结论,在任何情况下,如果审计发现数据处理活动必须根据审计结论进行审查,则应向集团不同成员提供审计报告和结论。审计报告还将详细说明需要采取的补救行动、建议和采取补救行动的时间表。在适当的情况下,也可将结果通报给 Avature 集团的母公司董事会。
      2. 根据要求,集团成员同意:
        • 向任何主管监督机构提供政策审计结果的副本,在收到审计结果时,应提醒监督机构注意《GDPR》第54(2)条规定的职业保密义务;以及
        • 在审计涉及集团成员代表客户处理的个人数据时,向控制方提供对政策遵守情况的审计结果。
      3. 数据保护官应负责与主管监督机构联系,以提供第4.2节所述信息。

附录3

投诉处理程序

  1. 前言
    1. 本投诉处理程序旨在解释当其个人数据由集团成员根据本政策处理时,如何处理该数据主体提出的投诉。
  2. 数据主体如何投诉
    1. 当集团成员作为处理方代表作为控制方的客户收集和/或使用个人数据时,数据主体根据《政策》提出的所有投诉均可以书面形式(包括电子邮件)提交给数据保护官。您可以通过 Avature 集团的在线表格与数据保护官联系,请点击https://www.avature.net/contact-privacy-officer/
  3. 向控制方传达投诉的义务
    1. 集团成员将及时向控制方通报投诉详情,如果客户要求集团成员按照下述程序处理投诉,集团成员将严格按照客户与集团成员之间的合同条款行事。
    2. 当客户不复存在时
    3. 在客户已经消失、不复存在或破产的情况下,其个人数据根据欧洲数据保护法被收集和/或处理,并根据政策在集团成员之间代表该客户转移的个人有权向集团成员投诉,集团成员将根据本投诉处理程序第4节处理此类投诉。在这种情况下,个人还有权向被控侵权行为发生地、个人工作地或常住地所在司法管辖区的欧洲监管机构投诉;和/或向本政策章节 C 所述的有管辖权的法院提出投诉,无论他们是否先向集团成员投诉,这一点都适用。
  4. 由谁处理投诉
    1. 在不影响上述第3节规定的前提下,数据保护官将在隐私团队的支持下,处理所有根据本政策提出的有关个人数据处理的投诉,如果相关集团成员是该信息的处理方。数据保护官将与相关业务部门联系,对投诉进行调查,并协调作出回应(其中应包括向投诉人所采取行动的信息)。
    2. 答复时间有多长?
      在隐私团队的支持下,数据保护官将在十(10)个工作日内向相关数据主体确认收到投诉,在一(1)个自然月内进行调查并做出实质性答复。如果由于投诉的复杂性或请求的数量,无法在此期限内做出实质性回复,数据保护官将在隐私团队的支持下,在收到投诉后的一(1)个自然月内告知投诉人延迟的原因,并对做出回复的时间范围做出合理估计(自数据主体收到延期通知之日起,不超过两(2)个自然月)。
      如果未遵守答复时间,并且在未告知任何理由的情况下延迟对投诉的答复,数据主体可将这一事实通知数据保护官,数据保护官在不无故延迟的情况下,必须在十(10)个工作日内解释延迟的原因,并告知数据主体迄今采取的行动。此事将提交给 Avature 总法律顾问(连同一份确定应采取的措施的合理报告),总法律顾问将对案件进行审查,并就如何尽快解决投诉对象的问题向数据保护官提出建议,必须在十 (10) 个工作日内完成。在任何情况下,数据主体都可以行使下文第4.4节所述的权利。
    3. 当投诉人对调查结果或投诉拒绝受理提出异议时
      如果认为投诉有理,数据保护官将采取必要行动解决数据主体提出的问题,并将相应情况告知数据主体。
      如果投诉人对数据保护官的答复(包括如果该答复是拒绝受理投诉)或调查结果的任何方面提出异议,并相应通知相关集团成员,该事项将提交给 Avature 总法律顾问,总法律顾问将对案件进行审查,并告知投诉人其决定是接受原调查结果还是替代新的调查结果。Avature 总法律顾问将在转交后一个自然月内答复投诉人。如果由于投诉的复杂性,无法在此期限内做出实质性答复,Avature 总法律顾问将在收到转介后的一(1)个自然月内告知投诉人延迟的原因,并合理估计做出答复的时间范围(不超过另外两(2)个自然月)。如果投诉成立,Avature 总法律顾问将安排采取所有必要措施。
    4. 个人数据根据欧洲数据保护法处理的数据主体还有权 (i) 向被控侵权行为发生地、数据主体工作地或经常居住地所在成员国的主管监督机构投诉;(ii) 和/或向有管辖权的法院提出申诉,即向集团成员所在欧洲国家或个人居住地所在欧洲国家的法院提出申诉。无论他们是否首先向集团成员投诉,这些权利都将适用。
      如果事件涉及的个人数据受欧洲数据保护法管辖或曾经受欧洲数据保护法管辖,且由欧洲境内的集团成员处理并转移至欧洲境外的集团成员,则可向负责转移个人数据的欧洲境内的集团成员提出索赔。

附录4

合作程序

  1. 前言
    1. 本《合作程序》规定了集团成员与主管监督机构就本政策进行合作、接受审计和检查(包括必要时接受现场审计和检查)的方式,以及在与本政策有关的任何问题上考虑其建议并遵守其决定的方式。
  2. 合作程序
    1. 如有需要,集团成员将安排必要的人员与监管机构就《政策》进行对话。
    2. 根据要求,数据保护官将根据附录2向任何主管监督机构提供政策审计结果的副本,以及有关政策所涵盖的处理操作的任何信息,并在收到此类信息时提醒监督机构注意《GDPR》第54(2)条规定的职业保密义务。
    3. 集团成员同意,监管机构可根据数据传输地所在欧洲国家的适用法律,对该集团成员进行数据保护审计或检查,包括必要时进行现场检查。
    4. 如果任何集团成员位于欧洲监管机构的管辖范围内,集团成员承认,任何监管机构均可根据集团成员所在国的适用法律对该集团成员进行审计,以审查其遵守本政策的情况。
    5. 集团所有成员同意接受监管机构按照该监管机构适用的审计程序进行的审计。
    6. 集团成员同意考虑主管监督机构就本政策的解释和应用提出的建议,并遵守其正式决定,但不妨碍对这些正式决定提出上诉的权利。

附录5

更新程序

  1. 前言
    1. 本更新程序规定了负有责任的 BCR 成员向主管监管机构、客户和受政策约束的集团成员传达政策变更的方式。
  2. 政策的重大变化
    1. 负有责任的 BCR 成员将提前向西班牙数据保护机构(“BCR 负责方”)通报政策的任何重大变更(即任何可能有损于政策所提供的保护水平或对政策产生重大影响的修改——例如对其约束性的变更等),不得无故拖延,并通过 BCR 负责方向任何其他相关监管机构通报。此类通知应包括对更新原因的简要解释。相关监管机构还将评估所作更改是否需要新的批准。
    2. 如果政策的变更对集团成员根据双方合同条款代表客户处理个人数据的条件产生实质性影响(例如,关于增加或更换分包商的任何预期变更),集团成员将向任何受影响的控制方传达此类信息。如果此类变更违反集团成员与控制方之间合同的任何条款,集团成员将在实施变更前传达拟议的变更,并给予充分通知,以便受影响的客户能够提出异议。控制方可根据其与集团成员签订的合同条款,暂停向集团成员传输此类个人数据和/或终止相关合同。
  3. 对《政策》的行政修改
    1. 负有责任的 BCR 成员将应要求或至少每年一次向 BCR 负责方通报政策的变更,并通过 BCR 负责方向其他有关监督机构通报。可能出现的此类变更包括:行政性质的变更(包括集团成员名单的变更);因适用的欧洲数据保护法的变更而出现的变更;或因任何立法、法院或监管机构的衡量而出现的变更。负有责任的 BCR 成员还将向 BCR 负责方和任何其他相关监督机构简要解释通知对政策进行任何修改的原因。
  4. 传达和记录对《政策》的修改
    1. 《政策》包含一个变更日志,其中列出了政策的修订日期和任何修订的细节。数据保护官(与隐私团队一起)将维护一份最新的政策变更清单,并根据要求向客户和监管机构系统地提供必要的信息。
    2. 负有责任的 BCR 成员将通报《政策》的所有变更,无论是行政性变更还是实质性变更:
      • 在不无故拖延的情况下,向受《政策》约束的集团成员发布政策的最新版本,并在 Avature 维基网站 https://wiki.xcade.net/wiki/Policies,_Guidelines,_Agreements_%26_Certifications上发布;
      • 通过 Avature 网站avature.net/legal,系统地向集团成员代表其处理个人数据的客户和受益于《政策》的数据主体提供信息;
      • 应要求向监管机构提供,或通过主管监管机构提供(如适用)。
    3. 数据保护官(连同隐私团队)将维护一份最新清单,其中列有对《政策》所做的修改、受《政策》约束的集团成员名单以及由集团成员指定代表其客户处理个人数据的次级处理方名单。集团成员、次级处理方的名单以及对政策的任何更新都将提供给数据主体、客户和主管监督机构,并在集团成员提出要求时供其查阅。
  5. 新集团成员
    1. 数据保护官(与隐私团队一起)将确保所有新的集团成员在向其转移个人数据之前,切实受到《政策》的约束,并能够遵守《政策》。