数据处理协议 2024年2月
本数据处理协议适用于您,如果您在2024年2月1日下午1点CET之前、期间或之后注册了我们的服务(包括通过我们任何关联公司)。我们的归档数据处理协议可在此处获得。
本数据处理协议,包括附录(“DPA”),构成我们与客户之间购买(在线)通信服务协议的一部分,以反映双方就处理客户个人数据的协议。在本DPA中,“你”,“您的”,或“客户”的术语指的是作为我们的客户的你(受限于下面的第1.2节),而“我们”,“我们的”,或“我们的”术语指的是我们作为供应商(定义见下文)。本DPA中使用但未在下文定义的术语在我们的通用条款和条件或其他协议中定义,该协议管理您使用服务的约定。
1.1 范围
本数据处理协议 (DPA) 管理我们作为处理者处理客户个人数据的操作。
1.2 Customer Affiliates 客户分公司
客户代表其自身,以及在数据保护法律要求的范围内,以其附属公司的名义和代表(如条款中定义),如果且在您为这些附属公司提供对服务的访问权限,并且我们处理这些附属公司作为数据控制者资格的客户个人数据(“客户附属公司”)。仅就本数据处理协议而言,且除非另有说明,“客户”和“您”一词应包括客户和客户附属公司。
1.3 条款
在本数据处理协议(DPA)所涉的客户个人数据处理过程中,本DPA将继续有效,尽管协议已到期或终止。
2. Definitions
Account Data
“Account Data” 是指为您或您提供给我们的任何个人数据,以便签订和管理协议以及您的帐户,包括但不限于联系信息、账单详情和关于签订和管理协议及相关服务的通信。
CCPA
"CCPA" 是指2018年《加州消费者隐私法案》及其下发布的任何法规,在每种情况下,均可能随时修订。
Customer Data
“Customer Data” 是指在协议下您或为您(或您的客户应用程序用户)提交的任何数据和其他信息或内容,并由服务处理或存储。
Customer Personal Data
“Customer Personal Data” 是指我们作为处理者处理的客户数据中包含的个人数据,除非在此DPA中另有说明。
Data Protection Laws
“Data Protection Laws” 是指根据协议适用于个人数据的保密、隐私、安全或处理的任何司法管辖区的所有法律和法规,例如在适用的情况下,包括GDPR或CCPA。
EEA
“EEA” 就本DPA而言,是指欧洲经济区和瑞士。
GDPR
“GDPR” 是指 (i) 对自然人保护的第2016/679号欧洲议会和理事会条例以及与该数据的自由流动有关;或(ii) 仅针对英国的数据保护法2018。
Personal Data
“Personal Data” 是指与已识别或可识别的自然人直接或间接相关的任何信息,无论是单独使用还是与其他信息结合使用。
Personal Data Breach
“Personal Data Breach” 是指对客户个人数据和适用数据保护法律下的任何类似术语如“Security Breach”的任何意外、未经授权或违法的破坏、丢失、更改、披露或访问。
Services
“Services” 是指我们或我们的关联公司提供的所有产品和服务,这些服务是(a)根据任何订单表单由您订购的;或(b)您使用的。
Provider
“Provider” 是指与此DPA签约的实体,即在一般条款和条件(合同实体)第15节中列出的实体,除非在您的订单表单中另有说明。在本DPA中,您或Provider也可能分别称为“Party”或合称为“Parties”。
Standard Contractual Clauses
“Standard Contractual Clauses” 是指控制者到处理器(模块二)或处理器到处理器(模块三),根据2016/679号欧洲议会和理事会条例关于向第三国转移个人数据的标准合同条款规定,由欧洲委员会执行决定(EU)2021/914于2021年6月4日批准,目前在 https://eurlex.europa.eu/eli/dec_impl/2021/914/oj 中列出的内容。
Sub-processor
“Sub-processor” 是指作为数据处理者或子处理者的提供者的一个第三方实体,该实体代表提供者处理客户个人数据。
UK Standard Contractual Clauses
“UK Standard Contractual Clauses” 是指以下任意或所有内容:(i) 英国信息专员依据2018年数据保护法第119A节发布的国际数据转移协议;(ii) 英国信息专员依据2018年数据保护法第119A节发布的欧洲委员会国际数据转移的标准合同条款附录;或(iii) UK信息专员或欧洲委员会不时取代这些条款发布的标准合同条款。术语如“processing”、“data controller”、“data processor”、“data subject”等在GDPR下具有分配的意义。“data controller”包括“business”、“consumer”、“controller”和“organization”;“data processor”包括“service provider”、“processor”和“data intermediary”;“data subject”包括“consumer”和“individual”;“Personal Data”包括“personal information”,在每种情况下根据CCPA和其他适用数据保护法律定义。术语“business purpose”、“commercial purpose”、“sell” 和 “share” 应具有适用数据保护法律中的相同含义,并在每种情况下,其认知术语应相应解读。
3. Processing of Customer Personal Data
3.1 目的
我们将仅在必要的范围内处理客户个人数据 (i) 提供服务,包括传输通信、确保服务的安全性、提供技术和交付报告、提供支持以及根据您的书面指示,作为数据处理者,开发和实施改进和更新,如本 DPA 第 3.2 节中所规定的,(ii) 为我们的合法商业目的,作为数据控制者,如本 DPA 第 3.4 节中所规定的,以及 (iii) 根据适用法律的其他要求。
3.2 客户指示
本协议和本 DPA 构成您在签署本 DPA 时给予我们的完整指示,作为数据处理者。我们将遵循其他合理记录的指示,前提是这些指示与协议的条款一致。
3.3 处理详情
本 DPA 附件 I 的附录 I, 部分 B (传输描述)中规定了作为数据处理者或子处理者,我们处理的性质和目的,处理活动,处理的持续时间,个人数据的类型和数据主体的类别。
3.4 合法商业目的
您承认我们作为独立的数据控制者在必要的范围内处理客户个人数据以实现以下合法商业目的:财务、账户管理、财务和内部报告,打击和预防可能影响您、我们或我们的服务的安全威胁、网络攻击和网络犯罪,商业建模(例如预测、容量和收入计划以及产品策略)、欺诈、垃圾邮件和滥用预防和检测,改进我们的产品和服务套件,以及履行我们的法律义务。
4. Customer Obligations
4.1 合法性
当您作为客户个人数据的数据控制者时,您保证所有处理活动都是合法的,具有特定目的,并且具备必要的通知、同意或其他适当的法律依据,以实现客户个人数据的合法转移。如果您是数据处理者(在这种情况下,我们将作为分处理者),您需要确保相关数据控制者保证满足本第4.1节中列出的条件。
4.2 合规性
您全权负责(a) 确保您遵守适用于您使用服务和您自己处理客户个人数据的数据保护法,(b) 独立评估服务的技术和组织措施是否符合您的要求,以及 (c) 为您提供或控制的组件(包括但不限于服务使用的密码、设备和客户应用程序)实施和维护隐私及安全措施。
5. Security
5.1 安全措施
考虑到技术的最新状态、实施成本以及处理的性质、范围、背景和目的,以及对自然人权利和自由的风险,我们将实施并维持适当的技术和组织安全措施,以保护客户个人数据免受个人数据泄露,并维护我们的系统用于处理客户个人数据的客户数据的安全性、完整性、可用性、弹性和保密性。我们采取的安全措施在附录二中描述。
5.2 安全措施的更新
您有责任审查我们提供的有关客户个人数据安全的信息,并进行独立评估,以确定此类信息是否符合您的要求和依据数据保护法的法律义务。您承认安全措施会随着技术进步和发展而变化,我们可能会不时更新或修改我们的安全措施,前提是此类更新和修改不会导致客户个人数据总体安全性的降低。
5.3 访问控制
我们运用“知情原则”和“最低权限原则”,确保对客户个人数据的访问仅限于提供服务所需的人员,并符合协议,包括本数据处理协议(DPA)。
5.4 处理的保密性
我们将确保任何被我们授权处理客户个人数据的个人或方(包括我们的人员、代理和分处理者)已知悉此类客户个人数据的保密性质,并将承担适当的保密义务(无论是合同义务或法定义务),此义务在他们的任期终止后仍然有效。
5.5 个人数据泄露响应和通知
在意识到个人数据泄露后,我们会毫不迟延地:
(i) 通知您,
(ii) 调查个人数据泄露,
(iii) 在相关信息被知悉或您合理请求时,及时提供有关个人数据泄露的信息,以及 (iv) 采取经济上合理的步骤以减轻影响并防止个人数据泄露的再次发生。
6. Assistance
6.1 数据保护协助
我们将为您提供合理的协助,以使您能够履行您在数据保护法下的义务,包括通知个人数据泄露、评估处理的适当安全级别,以及协助您进行相关的数据保护影响评估。
6.2 协助数据主体权利
我们将为您提供合理的协助,以使您能够履行对行使其在数据保护法下权利的数据主体的义务,通过您的账户提供技术和组织措施。为了避免疑问,作为数据控制者,您负责处理与数据主体的客户个人数据有关的任何请求或投诉。
7. Disclosure and Disclosure Requests
7.1 披露和访问的限制
我们不会提供访问或披露客户个人数据,除非 (i) 按您的指示;(ii) 如协议和本数据保护协议中所述;或 (iii) 法律要求。
7.2 披露请求
如果我们收到政府或监管机构要求披露客户个人数据的请求,我们将在合理可能的情况下尽快通知您,除非法律禁止此类通知。我们将根据我们网站上提供的披露请求政策处理披露请求。
8. 次处理者
8.1 当前子处理者列表
您同意与“服务”相关的子处理者的参与,列在我们的子处理者概览,其中还包含您订阅更改通知的程序,以了解我们子处理者的使用情况变化。如果您订阅了此类通知,并考虑到本数据处理附件 (DPA) 的第 8.3 节,我们将尽快共享子处理者变化的细节。
8.2 子处理者的委任
通过本数据处理附件 (DPA),您为我们提供了一般书面授权,以雇用子处理者来处理客户个人数据,但需符合本数据处理附件 (DPA) 的第 8.3 节和以下要求:
我们将限制子处理者对客户个人数据的访问,仅限于子处理者协议中指定的服务所必需的范围;
我们将与子处理者商定的数据保护义务与本数据处理附件 (DPA) 下的义务基本相同;
我们仍对您承担本数据处理附件 (DPA) 下的责任,以履行子处理者的数据保护义务。
8.3 子处理者更改的通知及反对权
在替换或雇用新的子处理者(“子处理者更改”)之前,我们将为您提供反对该子处理者更改的选项。您可以反对子处理者更改,但必须 (i) 在我们通知子处理者更改后的十 (10) 个工作日内书面提出异议,并且 (ii) 异议基于并明确说明与客户个人数据保护相关的合理理由。当您反对拟议的子处理者更改时,我们将与您真诚合作,以在不使用相关子处理者的情况下,合理地变更“服务”的提供方式。如果在接到您的异议信后三十 (30) 个工作日内无法合理地做出此类更改,或者对于我们来说是商业上不合理的,任何一方均可以终止无法在不使用相关子处理者的情况下提供的服务功能。如果您反对子处理者更改,此终止权是您唯一且排他的补救措施。
9. Cross Border Transfers of Customer Personal Data
9.1 客户个人数据的转移
我们可能会在符合数据保护法律要求的所有适当保障措施的前提下转移客户个人数据。这可能包括事先进行数据转移影响评估,采用、监测和评估补充的技术、组织和法律措施,可执行的数据主体权利,以及为数据主体提供有效法律救济的保障。
9.2 子处理者标准合同条款
除非适用充分性决定或替代转移机制,例如EU-US数据隐私框架,我们已与位于EEA之外的子处理者(包括我们的附属公司)签订并将保持标准合同条款,受本DPA第9.1节规定的条款约束。
9.3 客户个人数据转移的转移机制
如果您使用服务需要跨境数据转移机制以合法地将客户个人数据从某一司法管辖区(例如EEA、加州、新加坡、瑞士或英国)出口到我们位于该司法管辖区外的场所,则本节适用。如果在服务执行过程中,根据适用的GDPR或其他个人隐私保护法律,客户个人数据被转移到位于无法确保足够数据保护水平的国家的服务提供者实体,则以下转移机制适用于此类转移,并可以由当事方直接执行,前提是这些转移受数据保护法律的约束。
9.3.1
当事双方同意,标准合同条款将适用于通过服务从EEA或瑞士转移的客户个人数据,无论是直接转移还是再次转移到位于EEA或瑞士之外且未被欧盟委员会(或在从瑞士转移的情况下,瑞士主管当局)认定为提供足够个人数据保护水平的国家的服务提供者实体。
9.3.1.1
当您作为数据控制者而我们是数据处理者时,欧盟控制者-处理者(模块二)的标准合同条款将适用于从EEA转移的任何客户个人数据。当您作为数据处理者而我们是子处理者时,处理者-处理者(模块三)的标准合同条款将适用于从EEA转移的任何客户个人数据。
9.3.1.2
根据标准合同条款,我们将被视为数据进口商,而您将被视为数据出口商。各方签署本DPA将视为对此适用标准合同条款的签署,该条款将被视为纳入本DPA。标准合同条款附件1和附件2所需的详细信息在本DPA的附录I和附录II中提供。如本DPA与标准合同条款之间存在任何冲突或不一致,则仅在涉及从EEA转移客户个人数据的情况下,标准合同条款将优先。
9.3.1.3
当标准合同条款要求当事方在可选条款中选择时以及输入信息时,双方如下所述进行了选择:
i. 可选条款7“停泊条款”不采用。
ii. 对于条款9“使用子处理者”,双方选择以下选项:“选项2 一般书面授权:数据进口商拥有控制者的对批准的子处理者列表的一般授权。数据进口商必须提前至少10个工作日以书面形式具体通知控制者任何计划对该列表的变更,允许控制者在与子处理者建立业务关系之前有充足的时间反对此类变更。数据进口商应向数据出口商提供必要的信息以使数据出口商有能力行使其反对权。数据进口商应通知数据出口商子处理者的参与情况。”
iii. 对于条款11 (a) “补救”,双方不采用选项。
iv. 对于条款17 “适用法律”,双方选择以下选项:“选项1. 这些条款应受某个欧盟成员国法律的管辖,前提是该法律允许第三方权利。双方同意选用荷兰法律。”
v. 对于条款18 (b) “论坛和管辖权的选择”:“双方同意这些应为荷兰法院。”
9.3.2
双方同意,英国标准合同条款将适用于通过服务从英国转移的客户个人数据,无论是直接转移还是再次转移到位于未被英国主管监管机构或政府机构认可为提供足够个人数据保护水平的国家的服务提供者实体。
9.3.2.1
根据英国标准合同条款,我们将被视为数据进口商,而您将被视为数据出口商。各方签署本DPA将视为对英国标准合同条款的签署,该条款将被视为纳入本DPA。英国标准合同条款中所需的详细信息在本DPA的附录I和附录II中提供。如本DPA与英国标准合同条款之间存在任何冲突或不一致,则仅在涉及从英国转移客户个人数据的情况下,英国标准合同条款将优先。
10. Audit
10.1 审计报告
我们的通信平台将定期根据ISO 27001标准(或同等标准)进行审计。审计可以是我们自行决定的内部审计,或由第三方进行的审计。在书面请求下,我们将为您提供审计报告摘要(“审计报告”),以便您核实我们是否遵循审计标准和此DPA。此类审计报告以及其中指定的任何结论或发现均为我们的机密信息。
10.2 客户信息请求
我们将向您提供为证明遵守DPA中规定的义务合理必要的所有信息。我们将书面回复您提出的合理信息请求,包括回复信息安全和审计问卷,前提是这些问卷在范围上是合理的并确保遵循此DPA,且您(i)已合理尝试从我们提供或公开的信息、审计报告中获取所请求的信息,并且(ii)除非数据泄露或我们的处理活动在服务相关方面发生重大变化需要另外填写问卷外,您一年不超过一次行使此权利。所有提供的回复均为我们的机密信息。
10.3 客户审计
如果我们提供给您的审计报告让您有充分理由相信我们在此DPA下履行与您提供的客户个人数据相关的义务时存在违约行为,我们将允许您指定并经我们批准的独立且合格的第三方审计员对相关的个人数据处理活动进行审计,前提是适用法律允许的最大范围内,满足以下要求:
a) 您应在行使审计权前至少提前六十(60)天给予我们合理的通知;
b) 审计员同意与我们签署市场标准的保密协议;
c) 您和审计员应采取措施将对我们业务运营的干扰降到最低;
d) 审计应在正常营业时间进行;
e) 我们无义务提供对其他客户的数据或与提供服务无关的系统的访问权限;
f) 并且您应支付审计的所有费用。
11. 删除和返还客户个人数据
Upon termination or expiration of the Agreement, we will (at your election) delete or return to you all Customer Personal Data (including copies) in our possession or control, save that this requirement will not apply to the extent we are required by law to retain some or all of the Customer Personal Data. If you instruct us to delete Customer Personal Data, Customer Personal Data archived on our back up systems will be protected from further processing, and deleted when the required retention period has passed.
12. Customer Affiliate Communication and Rights(客户附属沟通和权利)
根据第1.2节代表客户关联方签署本DPA构成我们与该客户关联方之间的单独DPA,受以下条款约束:
12.1. 沟通
作为协议缔约方的客户应继续负责协调根据本DPA与我们的所有沟通,并有权代表其客户关联方进行和接收与本DPA相关的任何沟通。
12.2 客户关联方的权利
当客户关联方与我们成为DPA的一方时,在数据保护法的要求下,该客户关联方应有权在本DPA下行使权利并寻求补救措施,但须遵循以下条件:(i) 除非数据保护法要求客户关联方直接自行行使本DPA下的权利或寻求补救措施,双方同意
(i) 仅作为协议缔约方的客户应代表客户关联方行使任何此类权利或寻求任何此类补救措施,并且
(ii) 作为协议缔约方的客户应在本DPA下行使任何此类权利时,不单独为每个客户关联方行事,而是以结合的方式代表自己及其所有客户关联方一起行使此类权利。(ii) 双方同意,作为协议缔约方的客户在根据本DPA第10.3节代表其进行的客户个人数据保护相关程序的现场审计进行时,应采取一切合理措施,通过在合理可能的程度上结合多个代表其自己及其所有客户关联方进行的审计请求,以减少对我们的任何影响。
为明确起见,客户关联方不会成为协议的一方。
13. California Consumer Privacy Act
在适用范围内,关于在CCPA范畴内处理客户个人数据,我们向您做出以下附加承诺。
13.1 我们在美国数据保护法律下的义务
本节13.1中使用的术语“商业目的”、“商业用途”、“消费者”、“出售”和“共享”在CCPA中具有相应的含义。在适用情况下,我们将遵守CCPA,并根据CCPA和其他适用的美国数据保护法律的规定处理所有受CCPA和其他适用美国数据保护法律约束的客户个人数据(“美国个人数据”)。对于美国个人数据,我们是CCPA下的服务提供者和其他美国数据保护法律下的数据处理者。我们不会出售美国个人数据。我们不会保留、使用或披露任何美国个人数据,(i) 除了协议中规定的商业目的(包括为商业目的以外的商业用途保留、使用或披露美国个人数据,或者依照CCPA或适用法律的允许);或 (ii) 超出您与我们的直接业务关系。
13.2 客户义务
您声明并保证您已通知终端用户个人数据正在根据适用的数据保护法律被使用或共享。您负责遵守适用于您作为数据控制者的数据保护法律的要求。
14. 管辖法律和争议解决
任何由本数据处理附录(“DPA”)引起或与之相关的争议、索赔或纠纷(“争议”)将由荷兰法律管辖并依据该法律进行解释。每个缔约方同意,阿姆斯特丹有管辖权的法院将对引起或与本DPA相关的任何争议具有专属管辖权。
13.1 我们在美国数据保护法律下的义务
本节13.1中使用的术语“业务目的”、“商业目的”、“消费者”、“出售”和“共享”具有CCPA赋予它们的含义。在适用的情况下,我们应遵守CCPA,并根据CCPA和其他适用的美国数据保护法律的规定,处理所有受CCPA和其他适用美国数据保护法律约束的客户个人数据(“美国个人数据”)。对于美国个人数据,我们是CCPA下的服务提供商以及其他美国数据保护法律下的数据处理者。我们不会出售美国个人数据。我们不会保留、使用或披露任何美国个人数据(i)用于除协议中指定的业务目的之外的任何目的(包括根据CCPA或适用法律允许的用于商业目的的保留、使用或披露美国个人数据);或(ii)在您与我们之间的直接业务关系之外。
附录 I - 处理详情
如适用,本附录 I 将作为 EEA 标准合同条款的附件 I。
附件 I,A 部分。双方名单
本第 13.1 节中使用的术语“商业目的”、“商业用途”、“消费者”、“出售”和“共享”具有 CCPA 中赋予的含义。 在适用的情况下,我们应遵守 CCPA 并按照 CCPA 和其他适用的美国数据保护法律的规定对待所有受 CCPA 和其他适用美国数据保护法律(“美国个人数据”)约束的客户个人数据。关于美国个人数据,我们是 CCPA 下的服务提供商和其他美国数据保护法下的数据处理者。 我们不得出售美国个人数据。 我们不得保留、使用或披露任何美国个人数据:(i) 用于协议中规定的商业目的(包括为协议中规定的商业目的以外的商业目的保留、使用或披露美国个人数据,或根据 CCPA 或适用法律的其他情况下);或 (ii) 在您和我们之间的直接业务关系之外。
数据出口方
客户
数据出口方联络详情
客户帐户中列出的地址,或客户帐户所有者的电子邮件地址,或客户选择在协议下接收通知的电子邮件地址。
数据出口方角色
数据出口方的角色在 DPA 的第 4 节中概述。
签名和日期
如果并在适用时,数据出口方被视为已在 DPA 的生效日期签署此处纳入的标准合同条款。
数据进口方
供应商
数据进口方联络详情
数据保护官 - privacy@bird.com
数据进口方角色
数据进口方作为数据处理者。
签名和日期
如果并在适用时,数据进口方被视为已在 DPA 的生效日期签署此处纳入的标准合同条款。
附件 I,B 部分。传输描述
1. 传输的个人数据主体类别。
用户。 使用服务的客户的联络人(自然人)或雇员、承包商或临时工(现任、前任)的员工(统称“用户”);
终端用户。 任何个人 (i) 其联络信息包含在客户的联络列表中;(ii) 其信息存储在服务上或通过服务收集,或 (ii) 客户通过服务向其发送通信或以其他方式与之互动或通讯(统称为“终端用户”)。 您作为客户,将自行决定包括在通过我们的通信平台发送的通信中的数据主体类别。
2. 传输的个人数据类别
客户的个人数据,包括通信内容、流量数据、终端用户数据和客户使用数据。
通信内容,可能包括个人数据或其他个性化特征,具体取决于您作为客户所确定的通信内容。
流量数据,可能包括有关通信路由、持续时间或时间的客户个人数据,例如语音通话、短信或电子邮件,无论其是否与个人或公司相关。
终端用户数据,例如电话号码、电子邮件地址、名字、姓氏、个人资料名称、国家、渠道标识符。
客户使用数据,可能包含可链接至您的统计数据和信息、与您的帐户和服务活动相关的服务相关洞察和分析报告,关于发送的通信及客户支持的信息。
3. 传输的敏感数据
传输的敏感数据(如果适用)以及充分考虑数据的性质和所涉及风险的适用限制或保护措施,例如严格的目的限制、访问限制(包括仅限于接受过专业培训的人员访问)、保持对数据的访问记录、转发限制或其他安全措施。
a) 通信内容。 在用户或终端用户选择在使用服务传输的通信中包含敏感数据的情况下,可能会随时通过服务处理敏感数据。用户有责任确保在传输或处理,或在允许终端用户通过服务传输或处理任何敏感数据之前,确保已实施合适的保护措施,符合协议第 3.2 节的规定。
b) 流量数据、终端用户数据和客户使用数据。流量数据、终端用户数据或客户使用数据中不包含敏感数据。
4. 传输频率
传输频率(例如,数据是一次性传输还是持续传输):客户的个人数据在协议期间持续传输。
5. 处理性质
根据协议的服务提供需求,我们将处理客户个人数据。我们不会出售任何个人数据,包括客户个人数据,并且不会与第三方分享个人数据以获取报酬或第三方的商业利益。
6. 数据传输和进一步处理的目的
我们将根据客户在此 DPA 中规定的指示,作为数据处理者处理客户个人数据,除非处理对我们依法履行义务是必要的,在这种情况下,我们将作为数据控制者。
通信内容、流量数据、终端用户数据和客户使用数据。通信内容、流量数据、终端用户数据和客户使用数据中包含的个人数据将进行以下基本处理活动:
a) 通信内容。提供可编程通信产品和服务,以应用程序编程接口 (API) 的形式或通过仪表板提供给客户,包括从客户的软件应用程序传输到或从我们通信平台及其他通信网络的传输。
b) 流量数据。处理流量数据是为了在电子通信网上传输通信或为其通信收费。 这可能包括关于通信路由、时间或持续时间的客户个人数据,例如语音通话、短信或电子邮件,无论其是否与个人或公司相关。
c) 终端用户数据。终端用户的个人数据对于执行服务是必需的,并且仅用于通信传输、客户支持和确保遵守我们的法律义务的目的。
d) 客户使用数据。客户使用数据中包含的个人数据将进行根据协议提供服务的处理活动,目的是为客户提供与服务相关的洞察和分析报告,关于发送的通信、客户支持和服务的持续改进。
7. 个人数据保存期限
个人数据的保存期限,如果不可能,确定该期限的标准:
通信内容和流量数据;
对于短信和语音服务中的通信内容和流量数据,适用六个月的保留期;
对于视频服务的通信内容和流量数据,保留时间最少为 30 天,最长为与您约定的期限;
对于电子邮件服务的通信内容和流量数据,保留时间为 72 小时;
对于所有其他服务,通信内容和流量数据保留时间为服务的持续时间,除非您通过服务提供的技术和组织措施删除通信内容或流量数据。
终端用户数据将在由客户确定的期限内处理,当终端用户数据包含在您的联系人资料中时,默认保留期为服务的持续时间,符合本附件 I,B 部分第 6(c) 节的规定。
客户使用数据:在协议终止时,我们可能会保留、使用和披露客户使用数据,以执行本附件 I,B 部分第 6(d) 节所述的目的,并遵守协议中规定的保密义务。当我们不再需要客户使用数据用于本附件 I,B 部分第 6(d) 节所述的目的时,我们将匿名化或删除这些数据。
8. 向(子)处理者的传输
向(子)处理者的传输,还需具体说明处理的主题、性质和持续时间:向子处理者的传输,主题和性质在我们的子处理者概览中概述,持续时间为协议的持续时间。
附件 I,C 部分。主管监督机构
荷兰数据保护局 (Autoriteit Persoonsgegevens) 将是主管监督机构。
附录 II - Technical and Organisational Security Measures
在适用的情况下,本附录 II 将作为标准合同条款的附件 II。以下提供了有关我们技术和组织安全措施的更多信息。
技术和组织安全措施
存储和传输中个人数据的假名化和保护措施:
所有个人数据在传输和静止时均加密,从安全角度来看,处理时视为敏感数据。信息总是通过最新的加密方法以 TLS 传输。
确保处理系统和服务的持续机密性、完整性、可用性和弹性的方法:
我们与员工、承包商、供应商和子处理器签订包含保密条款的协议。我们的业务连续性政策是准备我们在超出我们控制范围因素导致的长时间停电情况下建立业务和服务,并在最短时间内恢复最大的服务范围。我们理解我们提供的服务对客户至关重要,因此对服务中断非常不容忍。我们的恢复时间设计旨在确保我们能够履行对所有客户的义务。
定期测试、评估和评估技术和组织措施有效性的过程,以确保处理的安全性:
信息安全和我们的信息安全管理系统(ISMS)的目标是保护信息机密性、完整性和可用性,以便组织、员工、合作伙伴、客户和(授权)信息系统之用,并通过防止安全事件和管理安全威胁和漏洞,将损害风险降到最低。我们的法律团队、数据保护官和安全团队确保将适用的法规和标准纳入我们的安全框架。
用户识别和授权的措施:
我们遵循“需要了解”和“最小特权”的原则。我们推行基于角色的访问控制。由安全团队监督配置和取消配置,默认使用单点登录和双因素身份验证。已为每个信息资产定义了所有者,他们负责确保其系统的访问是适当的,并定期进行审查。每当处理敏感信息或采取关键行动时,我们使用四眼原则。
事件记录措施:
审计日志定期集中存储和监控以查找安全事件并妥善保管以避免篡改风险。事件管理政策强制执行事件响应计划及其程序。如果发生任何类型的安全或技术事件,则遵循这些指南。
确保系统配置的方法,包括默认配置:
我们对通信平台即服务的生产环境的变更遵循一致的变更管理流程。更具体地说,所有变更请求(RFC)都需要由指定方批准,并根据正式的变更控制流程执行。控制流程确保拟议的变更经过审查、授权、测试、实施和发布,并且以受控的方式;并且监控每个拟议变更的状态。遵循配置基线,以遵循最佳实践安全地配置系统。此外,在工程部门内,使用技术雷达来定义在开发过程中可以采用或需要避免的技术(语言、平台工具、数据库和数据管理工具)。
物理安全措施
我们积极推行“随处工作”政策,因此我们的员工可以自由选择工作地点。然而,我们仍然有办公场所。我们在场所内没有安全区域/数据中心,因为我们是完全基于云的公司。我们的办公室楼层由物理访问控制、闭路电视和人员安保保护。
内部 IT 和 IT 安全管理和治理措施:
我们维持基于风险评估的安全计划,其中包括旨在保护服务和客户数据的机密性、完整性和可用性的管理、组织、技术和物理保障措施。我们的信息安全计划是系统且组织良好的。此外,适用的法律和法规要求确保信息对组织、员工、合作伙伴和客户的机密性、完整性和可用性。所有这些内容都被翻译成我们的信息安全政策、程序和指南。我们拥有一个负责信息安全战术层面的安全指导委员会。这包括协调信息安全活动,并将战略活动转化为我们的安全运营活动,以及我们对法规遵从性的持续维护。所有员工都有责任保护公司资产。我们所有的员工都经过专业、经验和诚信方面的筛选。在入职阶段,以及通过定期的团队专属培训和全公司范围内的关于数据保护和安全合规重要性的讲座,员工将被告知安全和数据保护事宜。我们通过 ISO 27001 认证,这是全球公认的信息安全管理系统(ISMS)标准。
我们所有的托管提供商均通过 ISO 27001 认证。
我们还在荷兰消费者和市场管理局注册。这意味着我们始终对客户负责并保持完全透明。
我们是 Groupe Speciale Mobile Association (GSMA) 的合伙会员。GSMA 代表全球移动运营商的利益。
我们始终遵循所有适用的法律和法规,包括《通用数据保护条例》和 EU-US 数据保护框架。
认证/过程和产品保障措施:
作为我们 ISO/IEC 27001 合规性的一部分,我们会接受严格的监控以及认证审核,并定期进行应用漏洞和渗透测试。
确保问责制的措施:
我们根据适用法律实施信息安全和数据保护政策,并发布我们 ISMS 相关信息(链接)概述。我们任命了一位专职安全主管、信息安全官、合规官和数据保护官,并保持我们处理活动的记录,包括必要时记录和报告涉及个人数据的安全事件。
确保数据删除的措施:
我们通过通信和基础设施环境中的自动删除流程来确保数据删除。此数据删除过程可确保所有不再需要满足特定目的的数据在处理后从我们的系统中删除。