具有约束力的公司规定 – 控制方政策

前言

本《具有约束力的公司规定控制方政策》及其附录（合称“政策”）规定了 Avature 集团（定义见下文）在保护和管理个人资料方面所采取的方法，Avature 集团成员在为其自身目的或作为代表另一集团成员的处理方处理上述个人资料时遵守本政策。

Avature 集团公司（“Avature 集团”）是一家在多个国家开展业务的公司组织。Avature 集团拥有1400多名专业人员，致力于为客户的挑战带来新技术、新理念和新解决方案。特别是，Avature 集团提供最先进的人才招聘和人才管理软件解决方案，以满足客户的特定需求，适应其特定的转型目标，通过在组织内部署解决方案为其带来竞争优势。

除本《政策》规定的其他定义外，下列术语应具有相应的含义：

“当地适用法律”指适用于相关集团成员的任何国家/当地数据保护法律（视情况包括欧洲数据保护法）。

“控制方”是指单独或与他人共同决定处理个人数据的目的和方式的自然人或法人、公共当局、机构或其他团体；

“欧洲”指欧洲经济区（“EEA”）的国家；

“欧洲数据保护法”是指 GDPR 和欧洲成员国的所有数据保护法，包括执行 GDPR 要求的地方立法，例如附属立法，在各种情况下均可随时修订；

“导出方实体 “指作为控制方或处理方，在欧洲成立，或受欧洲数据保护法管辖，根据本政策向导入方实体传输或以其他方式提供个人数据的集团成员；

“GDPR”指欧盟（EU）第 2016/679 号条例（《通用数据保护条例》）；

“集团成员”指遵守本政策的 Avature 集团成员；

“导入方实体”指集团成员，作为控制方或处理方，设立在欧洲以外，从导出方实体接收个人数据；

“责任 BCR 成员”指 Avature Spain, S.L.U.；

“个人数据”指与已识别或可识别的自然人（在本政策中称为“数据主体”）有关的任何信息。可识别的自然人是指可以直接或间接识别的自然人，尤其是通过姓名、身份证号码、位置数据、在线标识符等标识符，或与该自然人的身体、生理、遗传、精神、经济、文化或社会身份有关的一个或多个特定因素；

“处理”是指集团成员对个人数据或个人数据集进行的任何操作或一系列操作，无论是否采用自动化手段，如收集、记录、组织、构建、存储、改编或更改、检索、咨询、使用、披露、传播或其他方式提供、排列或组合、限制、删除或销毁；

“处理方”指代表控制方处理个人数据的自然人或法人、公共当局、机构或其他团体；

“特征分析”是指对个人数据任何形式的自动处理，包括使用个人数据评估与自然人有关的某些个人方面，特别是分析或预测与该自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为、位置或行动有关的方面；

“特殊类别的个人数据”、“敏感数据”指揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员身份的个人数据、基因数据、为识别唯一自然人而处理的生物特征数据、有关健康的数据或有关自然人的性生活或性取向的数据；以及

“监督机构”或“主管监督机构”是指在欧洲司法管辖区设立的与导出实体相关的独立公共机构，负责监督欧洲数据保护法的适用情况，以保护自然人在数据处理方面的基本权利和自由。

本政策适用于所有受欧洲数据保护法管辖的个人数据，这些数据随后从导出实体转移到导入实体，并从导入实体继续转移到其他导入实体。

因此，本政策对集团成员规定的任何义务和要求均适用于该范围内的个人数据。

本政策适用于“本政策涵盖哪些个人数据？”和“根据本政策转移个人数据的目的是什么？”两节所述集团成员处理的所有此类个人数据。

集团成员及其员工在处理个人数据的过程中，无论是出于自身目的（作为控制方），还是代表作为控制方的其他集团成员处理方，都必须完全遵守并尊重本政策。

本政策是对适用于 Avature 集团内某一业务领域或职能的任何具体要求或保密规定或适用法律要求的补充，并不替代或取代这些要求或规定。

本政策以及当前集团成员名单及其详细联系方式公布在公司网站上，可在此处公开访问。

适用于不受欧洲数据保护法管辖的集团成员进行的传输

如果不受欧洲数据保护法约束的集团成员根据其适用的当地法律也对个人数据的国际转移有限制，并且这些国家的主管当局承认本政策（根据适用的当地法律要求的全部或部分）是个人数据国际转移合法化的有效机制，则本政策也可适用于从这些国家转移到导入实体的个人数据。在此澄清，这并不妨碍欧洲以外的集团成员应用其适用的当地法律。

在这些情况下，上述定义应解释为将传输不受欧洲数据保护法管辖的个人数据的集团成员视为导出实体。

因此，本政策应比照解释和应用（例如，欧洲数据保护法应解释为适用的当地法律，监管机构应解释为相关司法管辖区的当地主管机构，或成员国应解释为相关国家）。

在此情况下，传输不受欧洲数据保护法管辖的个人数据的集团成员将作为与此类国际数据传输有关的负有责任的 BCR 成员。

 第一部分：背景和行动

数据保护法是什么？

欧洲数据保护法赋予人们控制其个人数据处理方式的权利。
根据欧洲数据保护法，当一个组织出于自身目的处理个人数据时，该组织被视为该信息的控制方，因此主要负责满足法律要求。举例来说，如果我们是雇主，我们将是所处理员工个人数据的控制方。
另一方面，当一个组织代表另一个实体处理信息（例如提供服务）时，前者被视为数据的处理方。

欧洲数据保护法如何影响集团成员之间的个人数据传输？

欧洲数据保护法不允许将个人数据传输到欧洲以外不能充分保护个人数据隐私权的国家、地区或国际组织。由于欧盟委员会认为集团成员开展业务的某些国家没有提供足够的保护，因此必须制定符合欧洲数据保护法要求的适当保障措施。

集团成员为此付出了哪些努力？

集团成员必须采取适当措施，确保其在国际基础上对个人数据的处理是安全的，即合法的。因此，本政策的目的是制定一个框架，以满足欧洲数据保护法所载的标准，从而为根据本政策从导出实体向导入实体传输的所有个人数据提供适当水平的保护。
本政策具有法律约束力，适用于以人工或自动方式处理个人数据的所有集团成员及其员工，并要求作为控制方或代表集团成员处理个人数据的集团成员遵守本政策第二部分所列规定（如适用）以及本政策第三部分附录所列政策和程序。本政策所涵盖的传输包括从控制方到控制方；从控制方到处理方；从处理方到控制方；以及从控制方到处理方。

当不受欧洲数据保护法约束的集团成员导出数据时，会发生什么？

如前言所述，为了给 Avature 集团设计一个全球数据保护伞，如果不受欧洲数据保护法约束的集团成员根据其适用的当地法律也对个人数据的国际转移有限制，并且这些国家的主管当局承认本政策（根据适用的当地法律要求的全部或部分）是个人数据国际转移合法化的有效机制，则本政策也可适用于从这些国家转移到导入实体的个人数据。在此澄清，这并不妨碍欧洲以外的集团成员应用其适用的当地法律。

本政策涵盖的个人数据包括哪些？

根据本政策处理的个人数据包括：

• 关于现任和前任员工、合同工和临时员工的个人数据：(a) 个人和联系方式（例如名字、中间名、姓氏、母亲的婚前姓氏、头衔、性别、出生日期、国籍、身份证号码（例如身份证号码、社会安全号码、护照号码、驾驶执照号码和/或政府颁发的其他身份证件号码）、电子邮件地址、 家庭住址、家庭和手机号码、国籍、爱好等）;(b) 就业数据，包括工作经历和联系方式（例如公司提供的电子邮件、办公桌和手机号码、Skype 用户、当前职位描述、职称、薪资计划、薪酬等级或级别、单位/部门、地点、主管和下属、员工身份号码、就业状况和类型、雇佣条款、雇佣合同、工作经历、重新雇用和终止日期、服务年限、 退休资格、绩效评估和评级（包括来自经理、利益相关者和其他与员工合作的人的反馈）、晋升和纪律记录、工作权/移民数据，如许可证或签证等）;(c) 人才、招聘和申请、教育和培训详情（例如，申请信和简历/简历中包含的详细信息、员工直接提供的个人网站或 LinkedIn 个人资料、以前的就业背景和参考资料、教育经历、专业资格、语言和其他相关技能、绩效管理评级详情、发展计划和搬迁意愿、员工参与 Avature Group 的个人数据招聘流程，例如，在个人面试期间获得的招聘流程，以及与申请或对话相关的电子邮件交流等）;(d) 音频和视频信息（例如，在通过电话或视频会议等进行的采访或会议的情况下，照片、视频或音频记录中捕捉的声音和肖像）; (e) 财务信息，包括工资单和薪酬详情（例如银行账户详情、基本工资、奖金、福利、家属的加薪、指定职系内的薪级、股票期权、股票授予和其他奖励的详细信息、货币、支付频率、当前薪酬的生效日期、薪资审查、税号、社会安全号码和税号等）; (f) 工作时间表数据（例如工作时数记录（如法律要求/允许）、假期、事假、病假和其他假期记录，以及原因证明（如适用）、超时工作和轮班工作以及终止日期等）;(g) 旅行相关数据（例如常旅客信息（例如联盟航空公司计划和常旅客编号）、常用的接送地点等）;(h) 安全和 IT 详细信息（例如，通过门禁系统和安全摄像头捕获的信息、通过 IT 使用捕获的信息，包括访问和身份验证信息、互联网浏览历史记录、拨打的电话号码、存储在公司系统或网络（包括计算机桌面）上的文档和文件、从公司电子邮件帐户传输和接收的电子邮件（在法律允许的范围内）， 日志、IP 地址、成功和失败的登录尝试、通过 cookie 或其他类似跟踪技术收集的信息等）;及 (i) 数据主体自愿提供的任何其他资料（例如透过投诉、查询、兴趣等）。
  此外，集团成员可能会在必要时根据适用法律的要求或许可，出于下节所述目的处理特殊类别的个人数据。
• 关于员工亲属的个人数据：(a) 个人和联系方式（例如姓名、紧急联系电话等联系方式）；(b) 法律要求/允许的员工亲属或其家庭的其他信息（例如家庭组别、子女和其他受抚养人的姓名和其他相关信息（包括他们和/或其子女的出生证明）、婚姻状况、合法或事实配偶、结婚证等）。
• 关于现任和前任求职者的个人资料：(a) 个人和联系方式（例如名字、姓氏、居住国、州和城市、电子邮件地址、家庭住址、家庭和移动电话号码、国籍等）；(b) 就业资料，包括工作经历（例如，现任职位、头衔、工作地点和公司以及工作经历、薪资计划、薪资等级或级别、工作权利/移民资料，如许可证或签证等）；(c) 人才、招聘和申请、教育和培训方面的详情（例如，求职信和简历/简历中包含的详细信息、求职者直接提供的个人网站或 LinkedIn 个人资料、以前的就业背景和参考资料、教育经历、专业资格、语言和其他相关技能、绩效管理评级详情、发展计划和搬迁意愿、求职者参与 Avature 时获得的个人数据集团的招聘流程，例如，在个人面试期间获得的招聘流程，以及与申请或对话相关的电子邮件交流等）;以及 （d） 音频和视频信息（例如，在通过电话或视频会议等进行的采访中，照片、视频或音频记录中捕捉的声音和肖像）。
• 关于客户、潜在客户、供应商、提供商、合作伙伴、业务伙伴和顾问（包括他们的员工、代表和/或代理人）的个人数据：（a） 个人和联系方式（例如姓名、电话号码、电子邮件地址、邮政地址等）;（b） 专业详情（例如职位/职衔、公司详情、专业联络资料等）;（c） 合同数据（例如采购订单、发票、合同和其他可能包含有关这些数据主体的个人数据的协议等）;（d） 财务和付款信息（例如银行账户详细信息、信用卡详细信息等）;（e） 音频和视频信息（例如，在通过电话或视频会议进行的会议中，或出于安全目的（包括通过门禁系统和安全摄像头等捕获的信息）中照片、视频或音频中捕获的声音和肖像）;（f） IT 信息（例如
  IP 地址、用户 ID、密码、Avature 集团网站或门户的日志（包括个人资料详情）等）；以及 (g) 有关与 Avature 集团专业关系的其他详情（例如投诉数据、共享通讯等）。
• 关于网站用户的个人数据：（a） 个人和联系方式（例如姓名、电话号码、电子邮件地址、邮政地址等）;（b） 职业详情（例如职位/职衔、公司详情、专业联络资料等）;（c） IT 信息（例如
  IP 地址、用户 ID、密码、有关 Avature 集团网站或门户的使用日志（包括个人资料详细信息）、通过 Avature 应用程序收集的数据，包括因访问用户的相机和/或照片库而产生的数据（前提是他们明确授权此类访问）以及用户可能提供的对应用程序的未来开发和支持目的有用的其他信息等）;（d） 导航和使用数据（例如，从数据主体自动收集的有关其网站使用情况、IP 地址等的信息（即通过 cookie 或其他类似技术））;以及（e）有关他们与 Avature 集团关系的其他详细信息（例如查询、兴趣、共享通讯等）。

根据本政策，个人数据出于何种目的进行传输？

根据本政策，个人数据的转移用于以下目的：

• 无论数据的来源如何，现任和前任员工、合同工和临时员工的个人数据都会在全球集团成员之间进行传输（在此处查看所有此类集团成员的位置），目的是（a）管理一般工作活动和人员（例如招聘、评估、绩效管理、晋升、继任计划和职业发展、工资管理、 管理内部流动、休假/缺勤、调动和借调，编制和管理现有员工名录，规划和监控培训要求和职业发展活动和技能，管理和报告纪律事项和解雇，审查雇佣决定，确定和做出与员工工作适宜和工作场所调整相关的决定，制定商务旅行安排，管理业务费用和报销，促进业务沟通、谈判、交易和会议，监督对内部政策和程序的遵守情况以及适用法律要求/允许的其他监控活动（例如内部报告系统），进行劳动力分析和规划，根据适用法律要求/允许进行背景调查等;（b）对员工活动数据进行汇总细分、统计和分析（例如，用于预测面试流程、候选人来源、绩效等），以提高对员工群体的理解，并在人才招聘、职业规划和继任计划等方面做出决策;（c） 支持对 Avature 集团提供的服务及其业务运营的管理（例如管理和分配公司资产和人力资源，运营、管理和保护 IT 和通讯系统和基础设施、办公设备和其他财产、战略规划、项目管理、业务连续性、审计跟踪和其他报告工具的汇编、维护与制造和其他业务活动相关的记录）， 预算、财务管理和报告、通信、管理合并、收购和重组或处置等）;（d）遵守适用的法律义务和其他要求（例如

  劳动和社会保障义务、记录保存和报告义务、进行审计、确保遵守政府检查和政府或其他公共当局的其他要求、回应传票等法律程序、争取法律权利和补救措施、诉讼辩护和管 理任何内部投诉或索赔等）；以及 (e) 向集团其他成员提供各种服务（例如 IT 技术和系统、薪资、人力资源甄选和管理、内部审计和合规性、文件销毁、文件运输，以及某些领域的法律管理和协调服务，如数据保护等）。
  关于员工的特殊类别个人数据，集团成员可在必要时处理此类数据，以适当实现其目的（例如，在身体受限或有特殊需要的情况下建立适当的条件、缺勤管理和行政管理、办公场所出入控制、提供与就业相关的健康福利等），并且仅在必要时用于履行集团成员或数据主体在就业、社会保障和社会保护法领域的义务和行使特定权利（第 9.2(b)条）。 只有在集团成员或数据主体在就业、社会保障和社会保护法领域履行义务和行使特定权利（第 9.2(b)条）以及预防性或职业性医疗、评估雇员工作能力、医疗诊断、提供医疗或社会保健或治疗或管理医疗或社会保健系统和服务（第 9.2(h)条）所必需时，方可使用）。此外，特殊类别的个人数据可能会被处理，用于向集团其他成员提供各种服务（如法律咨询服务、劳动诉讼服务、举报热线、存档和文件保管服务、保险服务、内部报告管理服务、企业安全和一般服务、财务服务等）。

• 为了管理员工亲属的薪资福利，集团成员之间会在全球范围内传输员工亲属的个人数据（请在此处查看所有此类集团成员的位置），无论数据来源于何处。
• 集团成员（在此处查看所有此类集团成员的所在地）之间在全球范围内（无论数据来源于何处）传输现任和前任求职者的个人数据，目的是：(a) 管理一般招聘活动（例如，评估求职申请和做出聘用决定，就招聘流程和/或求职申请与求职者进行沟通等）；(b) 对候选人的活动数据进行汇总、统计和分析（例如，在准备面试过程、候选人来源等方面）；(c) 管理人才社区的会员资格（例如，提供自愿加入人才社区的可能性）；(d) 对人才社区的活动数据进行汇总、统计和分析（例如，在准备面试过程、候选人来源等方面）；(e) 对人才社区的活动数据进行汇总、统计和分析（例如，在准备面试过程、候选人来源等方面）；(f) 对人才社区的活动数据进行汇总、统计和分析（例如，在准备面试过程、候选人来源等方面）。 (d) 遵守适用的法律义务和其他要求（例如，进行审计，确保遵守政府检查和政府或其他 公共机构的其他要求，回应传票等法律程序，争取法律权利和补救措施，进行诉讼辩护， 管理任何内部投诉或索赔等）；(e) 向其他集团成员提供各种服务（例如， IT 技术和系统、人力资源选择和管理、内部审计和合规、文件销毁、文件运输以及某些领域的法律管理和协调服务，例如数据保护等）。
• 客户、潜在客户、供应商、提供商、合作伙伴、业务伙伴和顾问（包括他们的员工、代表和/或代理人）的个人转移在全球的集团成员之间进行（在此处查看所有此类集团成员的位置），无论数据的来源如何，目的是 （a） 管理与他们的一般合同关系（例如履行现有协议和/或采取措施签订此类协议， 用于商业目的和通信，建立、更新、维护或终止业务关系，提供对基于互联网的活动和我们的场所的访问，维护业务记录，进行审计、会计、财务和经济分析，履行付款和相关会计职能等;（b） 管理和确保安全（例如保护 IT 基础设施、办公室设备和其他财产等）;（c） 管理业务运营（例如运营和管理 IT 和通信系统、管理产品和服务开发、改进产品和服务、管理公司资产、分配公司资产和人力资源、战略规划、项目管理、业务连续性、编制审计跟踪和其他报告工具、维护与制造和其他业务活动相关的记录、预算、财务管理和报告， 通信、管理合并、收购和重组或处置等）;（d） 规划和执行一般营销策略（例如市场研究、规划活动和制定营销策略、监测和报告活动的成功等）;（e） 遵守适用的法律（例如商业、税务、进行审计、遵守政府检查和政府或其他公共机构的其他要求、回应传票等法律程序、寻求合法权利和补救措施、为诉讼辩护以及管理任何内部投诉或索赔等）;及 （f） 向其他集团成员提供多元化的服务（例如，

  IT 技术和系统、内部审计和合规、文件销毁、文件传输、风险管理、产品和/或服务采购、电子发票、营销和宣传活动管理，以及某些领域的法律管理和协调服务，如数据保护等）。

• 无论数据的来源如何，网站用户的个人数据都会在全球集团成员之间传输（在此处查看所有此类集团成员的位置），目的是（a）管理一般服务的提供（例如开发和提供在线功能和内容、管理网站、处理查询和请求、提供支持等）;（b）管理和确保安全（例如保护 IT 基础设施、确保系统、服务器和网站的安全性和完整性等）;（c）进行汇总细分、统计和分析（例如，了解服务的使用情况、改进和开发网站和服务功能、提高性能和可用支持等）;（d） 规划和执行一般营销策略（例如市场研究、规划活动和制定营销策略、监测和报告活动的成功等）;（e） 遵守适用的法律（例如商业、进行审计、遵守政府检查和政府或其他公共机构的其他要求、回应传票等法律程序、寻求合法权利和补救措施、为诉讼辩护以及管理任何内部投诉或索赔等）;及 （f） 向其他集团成员提供多元化的服务（例如， 信息技术和系统、内部审计和合规、营销和宣传活动的管理，以及某些领域的管理和协调服务，如数据保护等）。

更多信息

Avature 集团拥有一个数据保护专家团队（由集团数据保护官[定义见下文] 领导），负责确保所有集团成员严格遵守适用的数据保护法规（“隐私团队”）。如果您对本政策的规定、您在本政策下的权利或任何其他数据保护问题有任何疑问，可按以下地址联系隐私团队。隐私团队将处理该问题，或将其转给 Avature 集团内部的适当人员或部门，或在适当的时候将该问题上报给 Avature 集团的数据保护官（“数据保护官”）。

收件人：隐私团队
在线表格：https://www.avature.net/contact-privacy-officer/

隐私团队负责确保根据附录5通知本政策的变更。
如果您对任何其他集团成员处理您个人资料的方式不满，Avature 集团有单独的投诉处理程序，该程序载于第三部分附录3。

第二部分：集团成员作为控制方或处理方的义务

本政策第二部分分为三节：

• 章节 A 涉及集团成员必须遵守的欧洲数据保护法基本原则。
• 章节 B 涉及集团成员就本政策向主管监督机构做出的实际承诺。
• 章节 C 介绍了集团成员根据本政策第二部分赋予数据主体的第三方受益权。

章节 A：基本原则

规定1 – 合法与公平

规定1A – 集团成员首先要统一遵守本政策和所有适用的数据保护地方法律。

作为组织，集团成员将在遵守以下规定的前提下，遵守任何与个人数据相关的适用法律（例如在欧洲，则为欧洲数据保护法），并确保在处理个人数据时遵守本政策和当地适用法律。

本政策的适用范围以及：

• 当没有适用的当地法律，或法律不符合本政策中的规定所规定的标准，集团成员的立场将是按照本政策中的规定处理个人数据；
• 适用的当地法律要求提供比本政策规定更高水平的保护，则更高水平的保护优先于本政策；或
• 如果适用的当地法律妨碍了集团成员履行本政策规定的义务，或对其履行义务的能力有重大影响，集团成员将遵循第12条规定的程序。

规定1B – 集团成员将确保其对个人数据的处理是公平和合法的，并在必要时确保个人数据的处理有法律依据。

集团成员将确保其对个人数据的处理是公平和合法的，并在必要时确保处理个人数据有法律依据。集团成员只会在以下情况下处理个人数据：

• 数据主体已同意处理其个人数据，且该同意符合欧洲数据保护法规定的标准（即，该同意是自由给予的、具体的、知情的、明确的，且撤回与给予同样容易）；或
• 为履行数据主体作为一方当事人的合同，或为在签订合同前应数据主体的要求采取措施所必需；或
• 为履行集团成员必须遵守的法律义务，且该法律符合公共利益目标，并与所追求的合法目的相称；或
• 有必要保护数据主体或其他自然人的重要利益；或
• 为了公共利益或集团成员行使官方权力而执行任务所必需，处理依据由法律规定，符合公共利益目标，并与所追求的合法目的相称；或
• 为集团成员或第三方的合法利益所必需，除非这些利益优先于数据主体的利益或基本权利和自由。

如果个人数据的处理与刑事定罪和违法行为或相关安全措施有关，集团成员将不会进行此类处理，除非在官方授权的控制下，或在根据上述法律依据为数据主体的权利和自由提供适当保障的适用地方法律授权的情况下。

规定1C – 在不影响上述规定1B的情况下，禁止处理特殊类别的个人数据，除非适用于废止规定，如欧洲数据保护法规定的废止规定。

只有在某些情况下才允许处理特殊类别的个人数据，其中包括：

• 集团成员已获得明确同意，为一个或多个指定目的处理与该数据主体有关的任何特殊类别个人数据，除非适用的本地法律规定数据主体不得解除对处理特殊类别数据的禁令；或
• 为履行集团成员或数据主体在就业、社会保障和社会保护法领域的义务和行使特定权利，经当地适用法律或根据当地适用法律签订的集体协议授权，并为数据主体的基本权利和利益提供适当保障而必须进行的处理；或
• 为保护数据主体或另一自然人的重要利益，而数据主体在身体上或法律上无能力给予同意，则有必要进行处理；或
• 处理是由基金会、协会或任何其他以政治、哲学、宗教或工会为目的的非营利机构在其合法活动过程中，在有适当保障措施的情况下进行的，其条件是处理仅涉及该机构的成员或前成员，或因其目的而与该机构有经常联系的人，而且未经数据主体同意，不得向该机构以外披露个人数据；或
• 处理与数据主体明显公开的个人数据有关；或
• 为确立、行使或捍卫法律主张，或在法院以司法身份行事时，有必要进行处理；或
• 根据适用的地方法律，出于重大公共利益的原因，处理是必要的，但必须与所追求的目标相称，尊重数据保护的本质，并提供适当和具体的措施来保障数据主体的基本权利和利益；或
• 根据当地适用法律，为评估雇员的工作能力、医疗诊断、提供医疗或社会保健或治疗或管理医疗或社会保健系统和服务而进行的预防性或职业性医疗处理所必需，条件是该处理是由根据当地适用法律或国家主管机构制定的规定负有保密义务的专业人员进行或在其负责下进行的；或
• 根据当地适用法律，出于公共卫生领域的公共利益，有必要进行处理，该法律规定了适当的具体措施，以保障数据主体的权利和自由，特别是专业保密义务；或
• 出于公共利益的存档目的、科学或历史研究目的或基于当地适用法律的统计目的而必须进行的处理，这些处理应与所追求的目的相称，尊重数据保护权的本质，并提供适当的具体措施以保障数据主体的基本权利和利益。

规定1D – 集团成员将评估任何会对数据主体的权利和自由造成高风险的个人数据处理的影响。

集团成员在作为控制方时，将评估任何新的个人数据处理的必要性和相称性，如果涉及对数据主体的权利和自由的高风险，将根据欧洲数据保护法进行数据保护影响评估。如果数据保护影响评估表明，数据处理将给数据主体带来高风险，在没有采取任何措施降低风险的情况下，集团成员必须在开始数据处理之前咨询主管监督机构。

代表其他集团成员担任处理方的集团成员须进行适当合作，协助控制方确保遵守本规定1D的义务。

规定2 – 确保仅为已知目的处理个人数据

规定2A – 集团成员应告知数据主体其个人数据的处理方式。

集团成员将确保始终以清晰、全面的方式（通常通过公平处理声明的方式）告知数据主体将如何处理其个人数据。相关集团成员将提供欧洲数据保护法所要求的信息，其中至少包括以下内容：

• 控制方的身份和联系方式，包括数据保护负责人和代表的联系方式（如适用）；
• 处理的目的和法律依据，包括解释任何基于合法利益的处理以及任何新的或不同的兼容目的；
• 可将个人数据传输给的接收方或接收方类别；
• 提供信息，说明在个人数据进行国际传输时采取了哪些保障措施来保护个人数据，以及如何访问或获取此类保障措施的副本。在导出实体和导入实体之间根据本政策进行个人数据传输时，所提供的信息将包括对本政策的引用以及如何访问本政策；
• 个人数据的保存期限或确定保存期限的标准；
• 数据主体权利的详细信息，包括查阅权、更正权、删除权、限制权、反对权、可携带权、撤销同意权（在处理过程基于同意的情况下）以及向监管机构投诉的权利；
• 提供资料是否法定或合约规定，以及在此情况下未能提供个人资料的后果；及
• 提供信息，说明是否存在自动决策，包括定性分析，至少在此类决策会对数据主体产生法律效力或类似的重大影响，或基于特殊类别的个人数据的情况下，提供有意义的信息，说明所涉及的逻辑，以及此类处理对数据主体的意义和预期后果。

收集个人数据的地方适用法律的要求将决定是否需要向数据主体提供额外信息。

当集团成员从数据主体处获得个人数据时，或在欧洲数据保护法允许的其他时限内，将提供这些信息。

如集团成员从数据主体以外的来源获得数据主体的个人数据，相关集团成员将向数据主体提供该信息，以及从第三方获得的个人数据的来源和类别信息，具体如下：

• 在收集个人数据后的合理期限内，但最迟不超过一（1）个月；
• 如果处理个人数据是为了与数据主体通信，最迟在与该数据主体首次通信时；或
• 如果要向第三方披露，则不得晚于首次披露数据的时间。

除非欧洲数据保护法特别允许不提供信息，否则集团成员将遵守本规定2A。

规则2B – 集团成员仅基于数据主体已知晓的或符合其期望且与集团成员相关的目的获取和处理个人数据的。

规定1A规定，集团成员将遵守与处理个人资料有关的所有适用法律。这意味着集团成员将出于上文“根据本政策传输个人数据的目的是什么？”一节所述的具体、明确和合法的目的处理个人数据，并且不会以与这些目的不符的方式处理个人数据。

集团成员将根据规定2A，确定并公布处理个人资料的目的（包括资料的二次使用和披露）。

规定2C – 集团成员只有在个人数据与收集目的相符的情况下，才能为不同的或新的目的处理个人数据。

如果集团成员根据规定2A（通过相关公平处理声明告知数据主体）和规定2B中所述的特定目的收集个人数据，随后集团成员希望为不同或新的目的处理个人数据，则不会以与收集目的不符的方式进一步处理该个人数据，除非这种进一步处理基于数据主体的同意或法律规定。

规定3 – 确保数据质量

规定3A – 集团成员应保持个人资料的准确性和时效性。

为确保集团成员所掌握的个人数据准确无误并及时更新，集团成员积极鼓励数据主体在个人数据发生变化时通知他们。集团成员将采取合理措施，确保在考虑到处理目的的情况下，毫不拖延地删除或更正不准确的个人数据。

规则3B – 集团成员对个人数据的保存期限仅限于处理目的所需的时间。

集团成员将遵守不时修订和更新的 Avature 集团记录保留政策和程序。这意味着，除其他外，集团成员应根据具体情况，删除或屏蔽不再需要用于收集和进一步处理目的的个人数据。

规定3C – 集团成员处理的个人资料必须充分、相关，且仅限于处理目的所需的范围。

集团成员只会处理为合理实现其目的所需的个人数据。

规定4 – 采取适当的安全措施

规定4A – 集团成员将遵守 Avature 集团的 IT 安全政策。

集团成员将采取适当的技术和组织措施，保护个人数据免遭意外或非法破坏或丢失、篡改、未经授权的披露或访问，特别是当处理过程涉及通过网络传输个人数据时，以及防止所有其他非法形式的处理。为此，集团成员将遵守 Avature 集团内部不时修订和更新的安全政策中的要求，以及与业务领域或职能相关的任何其他安全程序。在考虑到技术发展水平和实施成本的情况下，这些措施应确保与数据处理的风险和受保护数据的性质相适应的安全级别。

集团成员将按照适用的地方法律规定，实施并遵守违约通知政策，如下条规定所述。

规定4B – 集团成员已实施数据泄露通知政策。

集团成员已实施个人数据泄露应对政策（不时修订和更新），其中规定了在发生安全漏洞导致意外或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据（“个人数据泄露”）时必须遵循的流程。

特别是在发生个人资料外泄的情况下，相关集团成员内意识到外泄情况的人员将按照 Avature 个人资料外泄应对政策规定的步骤，在没有不当延误的情况下，在任何情况下，在意识到外泄情况后的二十四（24）小时内，将外泄情况通知Avature的数据保护官和安全小组。

一旦 Avature 的数据保护官收到有关个人数据泄露的信息，他/她将与法律团队一起评估是否可将其视为个人数据泄露，或者相反，是否可将其视为未影响个人数据的安全事件。

一旦认定安全事件影响到个人数据，法律团队和/或数据保护官将决定是否应在规定的时限内（根据欧洲数据保护法，不得无故拖延，在可行的情况下，不得迟于知晓后72小时）向主管监督机构通报，除非个人

数据泄露不太可能对数据主体的权利和自由造成风险。在任何情况下，法律团队和/或数据保护官都将确保将个人数据泄露事件同时通知作为控制方的集团成员（如适用）和负有责任的 BCR 成员，不得无故拖延。

在个人数据泄露可能导致数据主体的权利和自由面临高风险的情况下，将毫不拖延地通知数据主体，除非欧洲数据保护法不要求此类通知。

集团成员遭受的个人数据泄露事件，包括事实、事件影响和采取的补救措施，将记录在个人数据泄露报告中，并应要求提供给主管监管机构。

规定 4C – 集团成员应确保服务提供商和其他实体也采取适当和同等的安全措施，代其处理个人数据。

集团成员在使用可接触数据主体个人数据的服务提供商（作为处理方）（例如工资单提供商）或代表其处理个人数据的其他实体时，将遵守各自在选择处理方时的尽职调查程序，以确保处理方具备适当的技术和组织安全措施来保护个人数据。集团成员应以数据处理协议的形式，以书面形式向处理方规定符合欧洲数据保护法要求的合同义务。上述协议至少应规定如下内容：

• 处理的主体和持续时间、处理的性质和目的、个人数据的类型和数据主体的类别；
• 控制方的义务和权利；
• 作为处理方的实体的以下义务：
  • 仅根据控制方的书面指示处理个人数据，包括将个人数据转移到第三国或国际组织的情况，除非处理方所遵守的法律要求这样做（在这种情况下，处理方应在处理前将该法律要求告知控制方，除非该法律以重要的公共利益为由禁止提供此类信息）；
  • 确保受权处理个人数据的人员已承诺保密或负有适当的法定保密义务；
  • 采取适当的技术和组织措施，确保安全水平与处理个人数据所涉及的风险相适应；
  • 未经控制方事先具体或一般书面授权，不得聘用其他处理方处理个人数据，并视情况与其他处理方签署书面协议，履行控制方与处理方之间的合同或其他法律行为中规定的相同数据保护义务（特别是提供充分保证，以符合欧洲数据保护法要求的方式实施适当的技术和组织措施）；
  • 考虑到处理的性质，在可能的情况下，通过适当的技术和组织措施协助控制方履行义务，对数据主体行使权利的请求做出回应（下文规定5有进一步说明）；
  • 协助控制方确保遵守与实施适当安全措施、开展数据保护影响评估和向监管机构进行相关咨询有关的义务；以及向监管机构和数据主体（如适用）通报个人数据泄露情况的义务；
  • 根据控制方的选择，在提供与处理相关的服务结束后，删除所有个人数据或将其归还控制方，并删除现有副本，除非法律要求存储个人数据；
  • 向控制方提供所有必要信息，以证明其遵守了作为处理方的义务，并允许和协助控制方或控制方授权的其他审计方进行审计，包括检查；以及
  • 如果控制方认为某项指令违反了欧洲数据保护法，则立即通知控制方。

当集团成员（实体 A）作为处理方代表作为控制方处理个人数据的集团成员（实体 B）处理个人数据时，实体 A 将仅根据实体 B 的文件指示行事，并遵守相关数据处理协议中规定的义务。

规定5 – 尊重数据主体的权利

规定5 – 集团成员将根据附录1所列的数据主体权利程序，处理数据主体的数据保护权利要求（包括查阅、更正、删除、限制或传输个人数据的权利，或反对处理个人数据的权利，以及撤回同意的权利）。

根据欧洲数据保护法的规定，数据主体在某些情况下有权要求享有以下权利：

• 查阅权，根据该权利，数据主体有权确认与其有关的个人数据是否正在被处理，如果正在被处理，则有权查阅个人数据和有关处理的信息，其中应包括与上述规定2A所列内容相同的内容；
• 更正权，数据主体有权要求更正任何可能不准确或不完整的个人数据；
• 删除权或 “被遗忘权”，根据该权利，数据主体有权在适用下列理由之一的情况下，不无故拖延地删除其个人数据： (i) 就收集或以其他方式处理个人数据的目的而言，这些数据已不再必要； (ii) 数据主体撤销了数据处理所依据的同意，且数据处理没有其他法律依据； (iii) 数据主体反对处理，且在适用情况下，处理没有压倒性的合法理由；(iv) 个人数据被非法处理；(v) 为履行法律义务必须删除个人数据；或 (vi) 个人数据的收集与向儿童提供信息社会服务有关；
• 限制处理的权利，根据该权利，当出现以下情况之一时，数据主体有权要求限制对其个人数据的处理 (i) 数据主体对个人数据的准确性提出质疑，并在所需期限内核实个人数据的准确性；(ii) 处理是非法的，数据主体反对删除个人数据，并要求限制其使用； (iii) 控制方不再需要个人数据用于处理目的，但数据主体需要这些数据用于建立、行使或捍卫法律主张；或 (iv) 数据主体反对处理，以待核实控制方的合法理由是否优先于数据主体的合法理由；
• 有权要求将个人数据的更正、删除或处理限制通知其个人数据的每一个接收方，除非事实证明这样做是不可能的或需要付出不相称的努力。数据主体也可要求获知此类接收方的信息；
• 数据可携带权，根据该权利，数据主体有权以结构化的格式接收其向控制方提供的有关个人数据，并在数据处理基于同意或为履行合同所必需且数据处理是通过自动化手段进行的情况下，将这些数据传输给另一控制方；
• 反对权，根据该权利，数据主体有权在任何时候以与其特殊情况有关的理由反对基于公共利益或合法利益对其个人数据的处理，包括个人资料的收集。控制方不得再处理个人数据，除非控制方证明其处理数据的理由具有令人信服的正当性，且该理由优先于数据主体的利益、权利和自由，或优先于建立、行使或捍卫法律主张。在出于直接营销目的处理个人数据的情况下，数据主体有权随时反对出于此类营销目的处理与其相关的个人数据，其中包括与此类营销相关的特征分析（在此情况下，个人数据将不再出于此类目的被处理）；
• 有权不接受仅基于自动处理（包括特征分析）而对其产生法律效力或重大影响的决定（如适用）。如果该决定 (i) 为签订或履行合同所必需；(ii) 经法律授权；或 (iii) 基于数据主体的明确同意，则不适用上述规定。在(i)或(iii)的情况下，控制方应采取适当措施保障数据主体的权利和自由以及合法利益，至少应保障数据主体有权获得控制方的人为干预、有权表达自己的观点并对决定提出异议；以及
• 有权随时撤销对特定处理的同意。撤回应与同意一样容易。

此外，如果相关数据主体认为处理与其相关的个人数据违反了欧洲数据保护法，则有权向监管机构提出申诉。

集团成员在处理此类请求时，将遵循《数据主体权利程序》（附录1）中规定的步骤。

规定6 – 确保为传输和继续传输提供充分保护

规定6 – 集团成员在未按照本政策规定的标准和欧洲数据保护法确保个人数据得到充分保护的情况下，不会将个人数据传输给欧洲以外的第三方。

在未按照欧洲数据保护法的要求采取适当措施的情况下，不允许将受欧洲数据保护法管辖的集团成员的个人数据传输和转发给欧洲以外的第三方。

这些步骤可能包括：

• 确认第三方所在的国家是欧盟委员会认定可对所传输的个人数据提供充分保护的国家；或
• 签署欧盟委员会通过的适当的标准合同条款或类似于欧洲数据保护法规定的其他机制；或
• 确保传输对于以下情况是必要的： (i) 履行数据主体与传输集团成员之间的合同，或执行应数据主体要求采取的合同前措施；(ii) 传输集团成员与另一方之间为数据主体利益订立或履行合同；(iii) 公共利益的重要原因； (iv) 确立、行使或捍卫法律主张；(v) 保护数据主体或另一自然人的重要利益，且数据主体无能力表示同意；或 (vi) 获得数据主体的明确同意，但已告知这些数据主体由于缺乏适当的决定和适当的保障措施，此类传输可能存在风险。

集团成员作为控制方或处理方时，必须执行这些步骤。不过，除上述情况外，作为处理方的集团成员只会按照相关数据处理协议中规定的控制方指示，将个人数据传输到欧洲以外的地方。

章节 B：切实承诺

规定7 – 合规与问责

规定7 – 集团成员将负责并能够证明已遵守本政策，并将配备适当的员工和支持，以确保和监督整个企业遵守本政策。

Avature 集团任命了一个数据保护专家团队（由集团数据保护官领导），负责确保和监督所有集团成员在日常工作中严格遵守本政策。此外，Avature 集团还设有风险团队和安全团队，协助隐私团队处理隐私合规的技术问题。

数据保护官在履行任务时享有最高管理层的支持（数据保护官应直接向其汇报，如果在履行职责过程中出现任何疑问或问题，也应告知数据保护官，详见下文），并承担以下职责：

1. 领导隐私团队，包括就隐私合规的技术问题与风险团队和安全团队进行协调；
2. 在 Avature 集团内部实施/宣传和监督与隐私相关的做法、政策和问题，包括分配责任、提高认识和培训参与处理业务的员工，以及相关的审计；
3. 按照可接受的标准做法，将问题上报给高级管理层，供其适当考虑；
4. 与主管监督机构合作和协调；以及
5. 就与个人数据处理有关的问题或请求，充当主管监督机构和数据主体的联络点。

数据保护专家团队协助数据保护官履行上述义务，更具体地说，日常控制和管理数据保护的合规性（主要包括处理数据主体的本地投诉、监督企业政策在本地层面的合规性以及向数据保护官报告重大隐私问题）。
集团成员应确保数据保护官（或隐私小组）的联系方式始终与政策一起公布。
当出于具体任务的复杂性和工作量的需要，隐私保护小组将得到外部顾问的支持。

规定7B – 集团成员将在设计和默认情况下实施适当的技术和组织措施，以便在实践中能够并促进遵守本政策。

考虑到技术水平和实施成本以及处理的范围、性质、背景和目的，集团成员将实施适当的技术和组织措施，这些措施将符合欧洲数据保护法要求的通过设计和默认方式保护数据的原则。集团成员在确定处理方式和处理时间时，将把这些措施纳入处理流程，以便于保护被处理的个人数据，并确保默认情况下只处理每个具体处理目的所需的个人数据。

规定7C – 集团成员在处理个人数据时，应保存其处理活动的书面记录（包括电子形式），并应要求向主管监督机构提供该记录。

集团成员作为 Avature 集团内的控制方，其保存的数据处理记录将包含以下内容：

• 集团成员的姓名和联系方式，以及（如适用）联合控制方、控制方代表和数据保护官；
• 处理个人数据的目的；
• 说明个人数据被处理的数据主体类别和处理的个人数据；
• 已经或将要披露个人数据的接收方类别，包括第三国或国际组织；
• 个人数据被传输到的第三国或多个国家的详细信息，包括该第三国或国际组织的标识，以及为使此类传输合法化而实施的适当保障措施的文件（除非该国家已根据欧洲数据保护法被宣布为适当国家）；
• 在可能的情况下，个人资料的保存期限；以及
• 在可能的情况下，对用于保护个人数据的技术和组织安全措施进行一般性描述。

集团成员作为处理方为作为控制方的集团成员保存的数据处理记录将包含以下内容：

• 集团成员的姓名和联系方式，以及处理方所代表的每个控制方的姓名和联系方式，如适用，还包括控制方或处理方的代表以及数据保护负责人的姓名和联系方式；
• 代表每个控制方进行的处理类别；
• 个人数据被传输到的第三国或多个国家的详细信息，包括该第三国或国际组织的标识，以及为使此类传输合法化而实施的适当保障措施的文件（除非该国家已根据欧洲数据保护法被宣布为适当国家）；
• 在可能的情况下，对用于保护个人数据的技术和组织安全措施进行一般性描述。

集团成员保存的数据处理记录应为书面形式，包括电子形式，并应要求提供给主管监督机构。

规定8 – 培训

规定8 – 集团成员将为长期或定期接触个人数据、参与处理个人数据或开发用于处理此类个人数据工具的员工提供适当培训。

集团成员将为所有员工，特别是长期或定期接触个人数据和/或参与处理此类个人数据或开发用于处理此类个人数据工具的员工，提供适当的最新培训。此类培训至少每年一次，培训内容包括管理公共机构查阅个人资料请求的程序等。

规定9 – 审计

规定9 – 集团成员应遵守附录2所载的《审计规程》。

集团成员将遵守《审计规程》，定期进行内部审计，并根据《审计规程》规定的正式评估程序，在必要时进行外部审计。审计结果将根据附录2进行通报。

规定10 – 投诉处理

规定10 – 集团成员应遵守附录3所载的投诉处理程序。

集团成员将遵守附录3所载的投诉处理程序，以处理数据主体的投诉，并保障小组成员对个人资料的处理。集团成员还将允许行使本政策章节 C 规定的第三方受益权。

规定11 – 与监管机构的合作

规定11 – 集团成员应遵守附录4所列的《合作程序》。

集团成员将遵守附录4所载的《合作程序》，并将与监管机构合作，接受其对本政策的审计和检查，包括必要时接受其现场检查；并在与本政策有关的任何问题上考虑监管机构的意见，遵守监管机构的决定。

规定12 – 规定的更新

规定12 – 集团成员应遵守附录5所列的更新程序。

集团成员将遵守附录5所载的更新程序，并在必要时将本政策和集团成员名单的任何更新通知主管监督机构、相关数据主体和集团成员，不得无故拖延。

规定13 – 在国家立法影响政策合规的情况下需采取的行动

规定13A – 集团成员承诺，只有在适当评估了目的地第三国适用于导入实体处理个人数据的法律和惯例（包括任何披露个人数据的要求或授权公共当局查阅的措施）不妨碍其履行本政策规定的义务的情况下，才将本政策用作导入实体的传输工具。

集团成员只有在评估了目的地第三国适用于导入实体处理个人数据的法律和惯例（包括任何披露个人数据的要求或授权公共当局查阅的措施）不妨碍其履行本政策规定的义务时，才会使用本政策作为保障国际转移的工具。这应基于这样一种理解，即尊重基本权利和自由的本质，不超出民主社会必要和适度范围的法律和做法与本政策并不矛盾。

在评估可能影响遵守本政策所载承诺的第三国的法律和惯例时，集团成员应特别适当考虑以下因素：

1. 传输或一系列传输的具体情况，以及计划在同一第三国境内或向另一第三国进行的任何后续传输的具体情况，包括：
   • 传输和处理数据的目的（如营销、人力资源、存储、IT 支持等）；
   • 参与处理的实体类型（导入实体和任何传输的后续接收方）；
   • 发生传输或一系列传输的经济部门；
   • 传输个人数据的类别和格式；
   • 包括储存在内的处理地点；
   • 使用的传输通道；
2. 与传输情况相关的目的地第三国的法律和惯例，包括要求向公共当局披露数据或授权公共当局查阅数据的法律和惯例，以及规定在导出实体所在国和导入实体所在国之间的传输过程中查阅这些数据的法律和惯例，以及适用的限制和保障措施；
3. 为补充本政策规定的保障措施而采取的任何相关合同、技术或组织保障措施，包括在传输过程中以及在目的地国家处理个人数据时采取的措施。
   如果除本政策规定的保障措施外还需采取其他保障措施，则应通知负有责任的 BCR 成员和数据保护官，并让他们参与评估。

集团成员应适当记录此类衡量以及所选择和实施的补充措施。他们应根据要求向主管监督机构提供此类文件。

如果导入实体在使用本政策作为传输工具时，以及在会员资格有效期内，有理由认为其正在或已经受到法律或惯例的约束，包括在相关第三国的法律发生变化或采取了措施（如披露要求）后，会妨碍其履行本政策规定的义务，则应及时通知导出实体。这些信息也应提供给负有责任的 BCR 成员。

在核实此类通知后，相关导出实体与负有责任的 BCR 成员和数据保护官承诺立即确定导出实体和/或导入实体将采取的补充措施（例如确保安全性和保密性的技术或组织措施），以使其能够履行本政策规定的义务。如果导出实体有理由认为导入实体无法继续履行本政策规定的义务，则同样适用。

如果相关导出实体与负有责任的 BCR 成员和数据保护官一起评估认为某项传输或某组传输无法遵守《政策》（即使附有补充措施），或者如果主管监管机构发出指示，则导出实体承诺暂停相关传输或某组传输，以及经相同评估和推理会得出类似结果的所有传输，直至再次确保遵守《政策》或结束传输。

暂停后，如果无法遵守本政策，且在暂停后一个月内仍未恢复遵守本政策，则导出实体必须终止传输或一系列传输。在这种情况下，导出实体应选择将中止前已传输的个人数据及其任何副本归还给导出实体或全部销毁。

负有责任的 BCR 成员和数据保护官将向集团所有其他成员通报所进行的评估及其结果，以便在集团任何其他成员进行同类传输时采取已确定的补充措施，或者在无法采取有效补充措施的情况下，暂停或终止相关传输。

导出实体还应持续监测，并酌情与导入实体合作，监测导出实体向其转移个人数据的第三国的事态发展，这些事态发展可能会影响对保护水平的初步评估以及据此就此类转移作出的决定。

规定13B – 导入实体将确保在收到公共当局根据目的地国法律提出的具有法律约束力的要求，要求披露根据本政策传输的个人数据时，或意识到公共当局根据目的地国法律直接获取根据本政策传输的个人数据时，导入实体将立即通知出口实体，并在可能的情况下通知数据主体（如有必要，在出口实体的帮助下）。

导入实体将及时通知相关导出实体，并在可能的情况下通知数据主体（如有必要，在导出实体的帮助下）：

• 收到目的地国或其他第三国法律规定的公共机构提出的具有法律约束力的要求，要求披露根据本政策转移的个人数据；此类通知应包括有关所要求的个人数据、提出要求的机构、提出要求的法律依据以及所提供的答复的信息；或
• 了解公共机构根据目的地国法律直接获取根据本政策传输的个人数据的情况（此类通知应包括导入实体可获得的所有信息）。

如果被禁止通知导出实体和/或数据主体，导入实体将尽最大努力获得禁令豁免，以期尽快传达尽可能多的信息，并将记录其最大努力，以便能够在导出实体提出要求时予以证明。

导入实体将定期向导出实体提供尽可能多的关于所收到请求的相关信息（特别是请求数量、请求数据类型、请求机构、请求是否受到质疑以及质疑结果等）。如果导入实体部分或完全被禁止向导出实体提供上述信息，则导入实体应毫不拖延地将此情况通知导出实体。

导入实体将在数据受政策规定的保障措施约束的期限内保存上述信息，并应要求提供给主管监督机构。

导入实体将审查披露请求的合法性，特别是该请求是否仍在授予提出请求的公共当局的权力范围内，如果经过仔细评估后得出结论，认为根据目的地国的法律、国际法规定的适用义务和国际礼让原则，有合理的理由认为该请求不合法，则将对该请求提出质疑。导入实体应在相同条件下寻求上诉的可能性。在对请求提出质疑时，进口实体应寻求临时措施，以期在主管司法当局就请求的是非曲直作出裁决之前，暂缓执行请求的效力。在根据适用的程序规定要求披露之前，他们不得披露所要求的个人数据。

导入实体将记录其法律评估和对披露请求的任何质疑，并在目的地国法律允许的范围内，向导出实体提供该文件。还应根据要求向主管监督机构提供。

导入实体在答复披露请求时，将根据对请求的合理解释，提供允许的最低信息量。
在任何情况下，集团成员都将确保其根据本政策向公共当局作出的任何个人资料转移不会超出民主社会所需的大规模、不相称或不加区分的方式。

如果处理是由作为处理方的集团成员根据本政策进行的，则还应通知作为控制方的集团成员，不得无故拖延。

规定14 – 政策不合规与终止

规定14A – 集团成员仅将个人数据传输给受政策有效约束并能遵守政策的其他集团成员。

除非集团成员切实受《政策》约束并能遵守《政策》，否则不得向该集团成员进行传输。当导入实体因任何原因无法遵守本政策时，应立即通知导出实体。如果导入实体违反本政策或无法遵守本政策，则导出实体应暂停或不进行传输。
在以下情况下，导入实体应根据导出实体的选择，立即全部归还或删除已根据本政策传输的个人数据：

• 出口实体已暂停传输，且在合理时间内（无论如何应在暂停后一个月内）未恢复遵守本政策；或
• 导入实体严重或持续违反政策；或
• 导入实体未能遵守主管法院或监管机构就其在本政策下的义务做出的具有约束力的决定。

这同样适用于数据的任何副本。导入实体应向导出实体证明已删除数据。在删除或归还数据之前，导入实体应继续确保遵守本政策。当法律禁止导入实体归还或删除传输的个人数据时，导入实体保证将继续确保遵守本政策，并仅在法律要求的范围和期限内处理数据。

规定14B – 不再受政策约束的导入实体应确保个人数据得到适当保存、归还或删除（如适用）。

不再受本政策约束的导入实体可保留、退还或删除根据本政策收到的个人数据。如果导出实体和导入实体同意数据可由导入实体保存，则必须保持类似于 GDPR 第五章所要求的保护。

章节 C：第三方受益权

C.1 个人数据被传输给导入实体的数据主体必须能够受益于作为第三方受益人的某些权利，以强制遵守以下规定：

• 《政策》规定1B和1C（关于公平性、合法性和处理特殊类别个人数据）；
• 《政策》规定2（关于透明度和目的限制）；
• 《政策》规定3（关于数据最小化和准确性以及有限存储期）；
• 《政策》规定4（关于个人数据安全和数据泄露通知义务）；
• 《政策》规定5（关于数据主体对其个人数据的权利）；
• 《政策》规定6（关于传输和继续传输）；
• 《政策》规定10（关于投诉处理）；
• 《政策》规定11（关于与监管当局合作）；
• 《政策》规定12（关于本政策的更新程序）；
• 《政策》规定13（关于在国家立法影响遵守《政策》的情况下采取的行动）；
• C1至C3中授予第三方受益人权利并规定《规定》下的责任和管辖规则的条款；以及
• 有权通过www.avature.net/legal或此处提供的内部维基网站访问《政策》，或通过Avature集团此处提供的在线表格https://www.avature.net/contact-privacy-officer/获取《政策》的打印文本以及受《政策》约束的集团成员名单。

创建人：

• 提出投诉：数据主体可向集团成员（根据附录3所列的投诉处理程序）和/或被指控侵权行为发生地或数据主体工作或经常居住地所在成员国的主管监管机构提出投诉；和/或
• 提起诉讼：数据主体可在集团成员设有机构的成员国或数据主体拥有惯常居所的成员国的法院提起诉讼。

这些权利不包括《规定》中与集团成员内部机制有关的内容，如培训细节、审计计划、合规网络和更新机制。

此外，集团成员同意，根据《GDPR》第80(1)条规定的条件，数据主体可由非营利机构、组织或协会代表。

C.2 数据主体还可向负有责任的 BCR 成员寻求适当补救，该成员同意采取必要行动，对任何导入实体违反C1小节所列规定的行为进行补救，并根据法院或其他主管当局的裁定，就数据主体因导入实体违反C1小节所列规定而遭受的任何损害（无论是物质损害还是非物质损害）从负有责任的 BCR 成员处获得赔偿。

C.3 为避免疑义，数据主体应受益于本章节 C 所述的第三方受益权，欧洲法院或主管监督机构应拥有管辖权，如同违反本章节 C 所述规定或其中任何规定是由负有责任的 BCR 成员造成的。

C.4 如果数据主体在索赔中遭受损害，而该数据主体能够证明损害很可能是由于违反本《规定》而发生的，则集团成员同意，负有责任的 BCR 成员将承担举证责任，证明导入实体对违反本《规定》不承担责任，或证明没有发生违反本《规定》的情况。

第三部分：附录

附录1

数据主体权利程序

当集团成员作为个人数据控制方时

1. 前言
   1. 当集团成员出于自身目的处理个人数据时，该集团成员被视为该信息的控制方，因此在行使数据主体权利方面，主要负责满足当地适用法律的要求。
   2. 根据《规定》和本政策处理其个人数据的所有数据主体均有权：
      • 被相关集团成员告知该集团成员是否正在处理关于他们的任何个人数据，如果该集团成员确实在处理他们的个人数据，他们有权查阅（这被称为查阅权）；以及
      • 纠正、删除、限制、携带和/或反对处理他们的个人数据。
   3. 此外，当个人数据被传输到欧洲以外的另一个集团成员时，这些个人数据将继续受益于上述1.2所述的权利，这些权利将根据本《数据主体权利程序》（“程序”）和 Avature《数据主体权利答复政策》的条款进行处理。
   4. 本程序说明了集团成员如何处理与上述第1.2和1.3节所述类别的个人资料有关的要求（在本程序中称为“权利要求”）。如果适用的当地法律与本程序不同，要求对个人数据提供更高级别的保护，则以当地数据保护法律为准。
   5. 有关数据主体如何行使上文第1.2节所述权利的信息，也载于集团成员向数据主体提供的公平处理声明中。
   6. 数据主体就上文第1.2节所述权利提出的要求，最好通过此处提供的相关网站表格提出。
2. 数据主体的权利
   1. 当集团成员是所请求个人数据的控制方时，向该集团成员提出权利请求的数据主体有权：
      • 获知集团成员是否正在处理该数据主体的个人数据；
      • 获得以下事项的描述：
        1. 处理个人数据的目的；
        2. 处理的个人数据类别；
        3. 集团成员向其披露或可能披露个人资料的接收方或接收方类别；
        4. 在可能的情况下，个人资料的预计存储期限，或确定存储期限的标准；
        5. 是否享有纠正、删除、限制或反对处理以及撤销同意或向监督机构投诉的权利；
        6. 如果不是从数据主体处收集的，应说明个人数据的来源和相关个人数据的类别；
        7. 将个人数据传输到第三国时采取的保障措施；
        8. 在适用的地方法律要求的范围内）所涉及的逻辑，以及通过自动方式（包括特征分析）进行的任何决策的意义和后果；
      • 获得集团成员持有的个人资料副本。如果通过电子方式提出申请，除非提出申请的数据主体另有说明，否则应通过电子方式提供信息；
      • 要求更正、删除、限制和携带其个人资料；
      • 不接受仅基于自动处理（包括特征分析）做出的、产生法律或类似重大影响的决定；和/或
      • 反对处理其个人数据。
3. 接收请求
   1. 如果集团成员（包括非欧洲集团成员）收到数据主体有关上述第1.2节所述权利的任何请求，必须在收到请求后立即将其转交数据保护官办公室，并注明收到请求的日期以及可能有助于数据保护官处理请求的任何其他信息。数据保护官将根据 Avature 的《数据主体权利答复政策》处理该请求。
   2. 当数据保护官对数据主体的身份有合理怀疑时，可要求其提供合理信息，以确认提出此要求的数据主体身份。
   3. 数据保护官不得无故拖延处理此权利请求，且无论如何必须在收到请求后一 (1) 个自然月内处理。如有必要，数据保护官可根据请求的复杂性和数量，将这一期限再延长最多两 (2) 个自然月。如果期限被延长，数据保护官将在收到数据主体的请求后一个月内将延长期限一事通知数据主体，并说明延迟的原因。
   4. 数据保护官将以书面形式联系数据主体，确认收到权利请求，必要时要求确认身份或提供进一步信息（例如，澄清请求所涉及的处理活动），或根据下文第4节拒绝请求。
4. 拒绝权利申请
   1. 可以基于以下理由拒绝权利申请：
      • 如果申请是向欧洲集团成员提出的，且与该集团成员对个人数据的处理有关，且：
        1. 拒绝行为符合该集团成员所在司法管辖区的数据保护法；或
        2. 集团成员证明该要求明显没有根据或超出合理范围；或
      • 如果权利请求是向非欧洲集团成员提出的，而该集团成员无法按照第3节的规定处理该请求，则相关非欧洲集团成员只有在拒绝该请求的理由符合传输个人数据的欧洲司法管辖区的数据保护法的情况下，才会拒绝该请求。
   2. 数据保护官将在收到请求后一（1）个月内告知数据主体拒绝请求的理由，以及数据主体就拒绝请求向监督机构投诉或寻求司法补救的权利。
5. 集团成员的答复
   1. 数据保护官将按照《Avature 数据主体权利响应政策》中所述的步骤，与 Avature 集团相关业务领域的不同部门一起安排对与该请求有关的所有电子和纸质文件系统进行搜索。
   2. 数据保护官可将任何复杂的案件转给外部顾问征求意见，特别是当请求中包括与第三方有关的信息，或公布个人数据可能会损害商业机密或法律程序时。
   3. 如果权利请求是一项查阅请求，所请求的个人数据将被整理成易于理解的格式。数据保护官将准备一封送文函，其中包括答复权利要求时需要提供的信息。
   4. 如果权利请求是要求删除、更正、限制处理或携带个人数据，或者是反对处理集团成员作为控制方的个人数据，则必须由数据保护官酌情考虑和处理此类请求。特别是：
      • 如果权利请求是告知数据主体的个人数据发生变化或有任何不准确之处，而集团成员是该个人数据的控制方，则在集团成员确信这样做有合法依据的情况下，必须相应地更正或更新这些信息；
      • 当集团成员根据权利要求，以控制方的身份或根据集团成员（以控制方的身份）的指示，对个人数据进行删除、匿名化、更新、更正或限制处理时，集团成员将通知其他集团成员或任何共享个人数据的次级处理方，以便他们也能更新其记录。
   5. 如果向作为控制方的集团成员提出的权利要求是根据当地适用法律的规定删除该数据主体的个人数据，则该事项将由数据保护官进行评估。如果集团成员进行的处理是法律要求或允许的，或者是行使言论和信息自由权所必需的，则会拒绝该请求。
   6. 所有与本程序有关的问题均应向数据保护官提出。

当集团成员担任处理方时

1. 在集团成员是处理方的情况下，向集团成员提出的请求
   1. 当集团成员代表控制方（如向其提供服务的另一集团成员）处理信息时，前一集团成员被视为个人数据的处理方，而后者作为控制方，将主要负责满足当地适用法律的法律要求。这意味着，当集团成员担任处理方时，担任控制方的集团成员仍有责任遵守当地适用法律。
   2. 根据与作为控制方的集团成员签订的合同承诺，某些数据保护义务会转嫁给作为处理方的集团成员。特别是，作为处理方的集团成员必须按照作为控制方的集团成员的指示行事，并采取任何合理的必要措施，使控制方能够履行其尊重数据主体权利的义务。这意味着，如果任何集团成员收到数据主体的请求，要求以处理方的身份代表另一集团成员行使其在当地适用法律下的权利，该集团成员必须立即将该请求传输给作为控制方的相关集团成员，除非得到明确授权，否则不得对该请求做出回应。
   3. 根据上述第5.4节，当集团成员（作为处理方）接到集团成员（作为控制方）的通知，要求删除、更正或限制与该集团成员之前披露的个人数据有关的信息时，集团成员（作为处理方）将相应地更新其记录。

附录2

审计规程

1. 背景
   1. 集团成员必须对其遵守《政策》的情况进行审核，并在审核过程中满足某些条件，本文件介绍了集团成员如何处理这些要求。
   2. Avature 数据保护官和隐私团队的职责是为受政策约束的个人数据处理提供指导，并对集团成员在处理个人数据的日常业务时所潜在的隐私相关风险进行评估。因此，个人数据的处理需要不断进行详细的审查和评估。因此，尽管本《审计规程》描述了集团成员为确保遵守主管监督机构要求的政策而采取的正式评估程序，但这只是集团成员确保政策规定得到遵守并按要求采取纠正措施的一种方式。
2. 方法
   1. 审计概况
      1. 数据保护官和隐私团队负责日常监督政策的遵守情况。
      2. 负责对政策遵守情况进行审计并确保此类审计涉及政策所有方面的实体，可根据相关集团成员的具体情况而有所不同。通常情况下，审计由 Avature 的数据保护官（保证其在履行与这些审计相关的职责时具有独立性）、内部或外部审计员（如适用）执行。相关审计员将负责确保提请数据保护官注意任何不合规的问题或情况，并确保在合理的时间范围内采取任何纠正措施，以确保合规。
   2. 审计的时间和范围
      1. 如上所述，数据保护官将决定审计的时间。对《政策》的审计：
         • 根据 Avature 集团的审计程序，每二十四（24）个月一次；和/或
         • 应数据保护官的要求和/或在数据保护官认为必要的情况下更频繁地进行。
      2. 同样，审计的范围和覆盖面将由数据保护官根据基于风险的分析来确定，该分析将考虑相关标准，例如：已知不合规的领域；当前监管重点领域；业务面临特定风险或新风险的领域；用于保护信息的系统或流程发生变化的领域；以前有审计结果或投诉的领域；自上次审查以来的时期；处理个人数据的性质、方法和地点；相关IT系统、应用程序和数据库；传输；以及法律冲突或供应商管理引起的问题。
   3. 审计员
      1. 数据保护官和隐私团队或外部认可审计员将酌情对落实《规定》中所作承诺的程序和控制方进行审计。由外部审计员进行审计时，至少应满足以下条件：
         • 在选择审计师之前进行适当的尽职调查，以确保相关审计师具备协助开展这项工作的适当资格和地位；以及
         • 与上述机构签订协议，以便根据适用法规规范其服务的提供
   4. 独立性
      1. 负责决定审计计划或进行审计的个人在履行职责时的独立性得到了保证。
   5. 报表
      1. 审计完成后，根据审计的性质，应向数据保护官、Avature 首席执行官、负有责任的 BCR 成员的董事会以及集团各成员提供审计报告和审计结果，如果审计发现数据处理活动必须根据审计结论进行审查。审计报告还将详细说明需要采取的补救行动、建议和采取补救行动的时间表。在适当的情况下，可将结果通报给 Avature 集团的母公司董事会。
      2. 根据要求，集团成员同意向任何主管监督机构提供《规定》的任何审计结果副本，这些监督机构在收到审计结果时将被提醒注意欧洲数据保护法规定的职业保密义务。
      3. 数据保护官应负责与主管监督机构联系，以提供上述信息。

附录3

投诉处理程序

1. 前言
   1. 本投诉处理程序旨在解释当其个人数据由集团成员根据本政策处理时，如何处理该数据主体提出的投诉。
2. 数据主体如何投诉
   1. 数据主体根据《规定》提出的所有投诉，无论集团成员是代表自己还是代表其他集团成员收集和/或使用个人数据，均可以书面形式（包括通过电子邮件）提交给数据保护官。您可以通过 Avature 集团的在线表格与数据保护官联系，请点击https://www.avature.net/contact-privacy-officer/。
3. 由谁处理投诉？
   1. 数据保护官将在隐私团队的支持下，处理所有根据《规定》提出的有关个人数据处理的投诉。数据保护官将与相关业务部门联系，对投诉进行调查，并协调作出回应（其中应包括向投诉人所采取行动的信息）。
   2. 答复时间有多长？
      • 在隐私团队的支持下，数据保护官将在十（10）个工作日内向相关数据主体确认收到投诉，在一（1）个自然月内进行调查并做出实质性答复。如果由于投诉的复杂性或请求的数量，无法在此期限内做出实质性回复，数据保护官将在隐私团队的支持下，在收到投诉后的一（1）个自然月内告知投诉人延迟的原因，并对做出回复的时间范围做出合理估计（自数据主体收到延期通知之日起，不超过两（2）个自然月）。
      • 如果未遵守答复时间，并且在未告知任何理由的情况下延迟对投诉的答复，数据主体可将这一事实通知数据保护官，数据保护官在不无故延迟的情况下，必须在十（10）个工作日内解释延迟的原因，并告知数据主体迄今采取的行动。此事将提交给 Avature 总法律顾问（连同一份确定应采取的措施的合理报告），总法律顾问将对案件进行审查，并就如何尽快解决投诉对象的问题向数据保护官提出建议，必须在十 (10) 个工作日内完成。在任何情况下，数据主体都可以行使下文第4.4节所述的权利。
   3. 当投诉人对调查结果或投诉拒绝受理提出异议时
      • 如果认为投诉有理，数据保护官将采取必要行动解决数据主体提出的问题，并将相应情况告知数据主体。
      • 如果投诉人对数据保护官的答复（包括如果该答复是拒绝受理投诉）或调查结果的任何方面提出异议，并相应通知相关集团成员，该事项将提交给 Avature 总法律顾问，总法律顾问将对案件进行审查，并告知投诉人其决定是接受原调查结果还是替代新的调查结果。Avature 总法律顾问将在转交后一个自然月内答复投诉人。如果由于投诉的复杂性，无法在此期限内做出实质性答复，Avature 总法律顾问将在收到转介后的一（1）个自然月内告知投诉人延迟的原因，并合理估计做出答复的时间范围（不超过另外两（2）个自然月）。如果投诉成立，Avature 总法律顾问将安排采取所有必要措施。
   4. 个人数据根据欧洲数据保护法处理的数据主体还有权 (i) 向被控侵权行为发生地、数据主体工作地或经常居住地所在成员国的主管监督机构投诉；(ii) 和/或向有管辖权的法院提出申诉，即向集团成员所在欧洲国家或个人居住地所在欧洲国家的法院提出申诉。无论他们是否首先向集团成员投诉，这些权利都将适用。

附录4

合作程序

1. 前言
   1. 本《合作程序》规定了集团成员与主管监督机构就本政策进行合作、接受审计和检查（包括必要时接受现场审计和检查）的方式，以及在与本政策有关的任何问题上考虑其建议并遵守其决定的方式。
2. 合作程序
   1. 如有需要，集团成员将安排适当的人员与监管机构就《政策》进行对话。
   2. 集团成员将积极审查和审议：
      1. 主管监督机构就可能影响《规定》的任何数据保护法问题做出的任何决定；以及
      2. 欧洲数据保护委员会及其任何后继机构的意见，如其发布的《欧盟控制者约束性公司规则指南》所述。
   3. 根据要求，数据保护官将根据附录2向任何主管监督机构提供政策审计结果的副本，以及有关政策所涵盖的处理操作的任何信息，并在收到此类信息时提醒监督机构注意欧洲数据保护法规定的职业保密义务。
   4. 集团成员同意，监管机构可根据当地适用法律对该集团成员进行数据保护审计或检查，包括必要时进行现场检查。
   5. 如果任何集团成员位于欧洲监管机构的管辖范围内，集团成员承认，任何监管机构均可根据集团成员所在国的适用法律对该集团成员进行审计，以审查其遵守本政策的情况。
   6. 集团所有成员同意接受监管机构按照该监管机构适用的审计程序进行的审计。
   7. 集团成员同意考虑主管监督机构就本政策的解释和应用提出的建议，并遵守其正式决定，但不妨碍对这些正式决定提出上诉的权利。
   8. 集团成员同意，与主管监督机构对本《规定》行使监督权有关的任何争议，将由该监督机构所在成员国的法院根据该成员国的程序法解决。

附录5

更新程序

1. 前言
   1. 本更新程序规定了负有责任的 BCR 成员向主管监管机构、个人和受政策约束的集团成员传达政策变更的方式。
   2. 政策的重大变化
      1. 负有责任的 BCR 成员将提前向西班牙数据保护机构（“BCR 负责方”）通报政策的任何重大变更（即任何可能有损于政策所提供的保护水平或对政策产生重大影响的修改——例如对其约束性的变更等），不得无故拖延，并通过 BCR 负责方向任何其他相关监管机构通报。此类通知应包括对更新原因的简要解释。相关监管机构还将评估所作更改是否需要新的批准。
   3. 对《政策》的行政修改
      1. 负有责任的 BCR 成员将应要求或至少每年一次向 BCR 负责方通报政策的变更（或无变更），并通过 BCR 负责方向其他有关监督机构通报。年度更新还将包括更新确认书，确认负有责任的 BCR 成员拥有足够的资产，或已做出适当安排，使其能够支付因违反《规定》而造成的损害赔偿。
      2. 上述可能出现的变更包括：行政性质的变更（包括集团成员名单的更新）；因适用的欧洲数据保护法的变更而出现的变更；或因任何立法、法院裁决或监管机构的衡量而出现的变更。负有责任的 BCR 成员还将向 BCR 负责方和任何其他相关监督机构简要解释通知对政策进行任何修改的原因。
   4. 传达和记录对《政策》的修改
      1. 《政策》包含一个变更日志，其中列出了政策的修订日期和任何修订的细节。数据保护官（与隐私团队一起）将维护一份最新的政策变更清单，并根据要求向客户和监管机构系统地提供必要的信息。
      2. 负有责任的 BCR 成员将通报《政策》的所有变更，无论是行政性变更还是实质性变更：
         • 在不无故拖延的情况下，向受《政策》约束的集团成员发布政策的最新版本，并在 Avature 维基网站 https://wiki.xcade.net/wiki/Policies,_Guidelines,_Agreements_%26_Certifications上发布；
         • 通过 Avature 网站www.avature.net/legal系统地向受益于《规定》的数据主体提供信息；以及
         • 应要求向监管机构提供，或通过主管监管机构提供（如适用）。
      3. 数据保护官（连同隐私小组）将保存一份最新的《规定》变更清单（包括所有版本的副本）以及受《规定》约束的集团成员名单。集团成员名单和《规定》的任何更新都将提供给数据主体和主管监督机构，并供其查阅。
   5. 新集团成员
      1. 在向集团成员传输个人数据之前，数据保护官（与隐私团队一起）将确保所有新的集团成员切实受《规定》的约束，并能够遵守《规定》。