1. 定义
就本数据处理协议而言:
- "个人数据"指与已识别或可识别的自然人相关的任何信息,定义见 GDPR 第 4(1) 条
- "处理"指对个人数据执行的任何操作,包括收集、存储、使用、披露或删除,定义见 GDPR 第 4(2) 条
- "控制者"指决定个人数据处理目的和方式的客户
- "处理者"指代表控制者处理个人数据的 Morlivo
- "子处理者"指处理者委托代表控制者处理个人数据的任何第三方
- "数据主体"指其个人数据被处理的已识别或可识别的自然人
2. 处理详情
处理者应仅根据控制者的书面指示处理个人数据,包括有关将个人数据传输至第三国的指示,除非处理者所受的欧盟或成员国法律要求其这样做。
处理详情如下:
- 主题:提供翻译、转录和语言处理服务
- 期限:与基础服务协议的期限一致
- 性质和目的:处理客户内容以提供翻译、转录及相关语言服务
- 数据主体类别:最终用户及其数据包含在客户内容中的个人
- 个人数据类型:姓名、联系信息以及提交处理的材料中包含的任何其他个人数据
3. 安全措施
处理者应根据 GDPR 第 32 条实施适当的技术和组织措施,以确保与风险相适应的安全水平。这些措施包括:
- 个人数据的静态加密 (AES-256) 和传输加密 (TLS 1.2+)
- 确保处理系统和服务的持续机密性、完整性、可用性和弹性的能力
- 在发生物理或技术事故时及时恢复个人数据的可用性和访问能力
- 定期测试、评估技术和组织措施的有效性
- 在技术可行且适当的情况下对个人数据进行假名化处理
- 基于最小权限原则的严格访问控制
- 全面的数据访问审计日志记录和监控
处理者应确保获授权处理个人数据的人员已承诺保密或受到适当的法定保密义务约束。
4. 子处理者
控制者向处理者提供聘用子处理者的一般授权。处理者应维护最新的子处理者列表,并在控制者请求时提供。当前的子处理者列表已发布在我们的隐私政策页面上。
处理者应将有关添加或更换子处理者的任何预期变更通知控制者,并给予控制者合理的机会对此类变更提出异议。当处理者聘用子处理者时,处理者应通过合同方式对该子处理者施加与本 DPA 中规定的相同的数据保护义务。
处理者应对任何子处理者根据本 DPA 承担的义务的履行向控制者承担全部责任。
5. 数据主体权利
处理者应协助控制者履行其义务,回应数据主体根据 GDPR 第三章行使其权利的请求,包括:
- 访问权(第 15 条)
- 更正权(第 16 条)
- 删除权(第 17 条)
- 限制处理权(第 18 条)
- 数据可携带权(第 20 条)
- 反对权(第 21 条)
如果处理者直接收到数据主体的请求,处理者应立即将请求转发给控制者,未经控制者授权不得直接回复数据主体。
6. 国际传输
处理者不得将个人数据传输至第三国或国际组织,除非已按照 GDPR 第五章的要求采取了适当的保障措施。经批准的传输机制包括:
- 欧盟委员会通过的标准合同条款 (SCC)(委员会实施决定 (EU) 2021/914)
- 根据 GDPR 第 45 条做出的充分性决定
- 经主管监管机构批准的具有约束力的公司规则
企业客户可以配置数据驻留设置,将个人数据的处理和存储限制在特定地理区域(欧盟、美国或亚太地区),从而最大限度地减少跨境传输的需要。
7. 违规通知
处理者应在不合理延迟的情况下,且在任何情况下不迟于发现 GDPR 第 4(12) 条定义的个人数据违规后四十八 (48) 小时内通知控制者。
通知应包括:
- 个人数据违规性质的描述,包括所涉数据主体和记录的类别及大致数量
- 处理者数据保护联系人的姓名和联系方式
- 违规可能导致的后果描述
- 已采取或拟采取的应对违规措施的描述,包括减轻其不利影响的措施
8. 审计与检查
处理者应向控制者提供证明遵守 GDPR 第 28 条规定义务所需的所有信息。处理者应允许并配合控制者或控制者委托的审计师进行审计(包括检查),但须提前合理通知并遵守保密义务。
9. 期限与数据删除
本 DPA 在基础服务协议期间持续有效。服务协议终止后,处理者应根据控制者的选择,删除或返还所有个人数据并删除现有副本,除非欧盟或成员国法律要求存储该个人数据。处理者应在控制者要求时书面证明其已遵守此义务。