数据处理协议
Last updated: 21 November 2024
此数据处理协议适用于您注册的任何服务(包括通过我们的任何附属公司):
从您注册我们服务的那一天起,如果是在2024年11月21日或之后。
如果您在2024年11月21日之前注册了我们的服务,则从2024年12月22日起适用。
我们存档的数据处理协议可以在此处找到。
本数据处理协议,包括附录(“DPA”)构成我们与客户之间协议的一部分,用于从我们这里采购(在线)通信服务以反映各方就处理客户个人数据达成的协议。在本DPA中,术语“您”、“您的”或“客户”指的是作为我们客户的您(受限于以下第1.2节),而术语“我们”、“我们”或“我们的”指的是作为供应商的我们(定义见下文)。本DPA中使用但未在下文定义的术语在我们的一般条款与条件或其他管理您使用服务的协议中定义。
双方同意,本DPA将取代双方之前可能在服务相关的任何现有数据保护增编或类似协议。
1. 范围、客户附属公司和期限
1.1 范围。本数据处理协议(DPA)规定我们作为处理者处理客户个人数据的范围。
1.2 客户附属公司。客户以自身和在数据保护法律要求的情况下,以其附属公司(根据条款定义)的名义和代表它们的方式进入本数据处理协议(DPA),前提是在您为这些附属公司提供服务访问权限,并且我们处理这些附属公司作为数据控制者的客户个人数据(“客户附属公司”)。仅为本 DPA 的目的,并除非另有说明,“客户”和“您”应包括客户和客户附属公司。
1.3 期限。只要我们根据本 DPA 处理客户个人数据,本 DPA 将继续有效,即使协议已到期或终止。
2. 定义
“Account Data(账户数据)” 是指您向我们提供的或为您提供的与协议的签订和管理以及您的账户相关的任何个人数据,包括但不限于联系信息、账单详细信息以及有关协议签订和管理及相关服务的通信。
“CCPA” 是指 2018 年的加利福尼亚消费者隐私法案及其下颁布的任何法规,每个版本均不时修订。
“Customer Data(客户数据)” 是指您或为您(或您客户应用程序的用户)根据协议提交的数据和其他信息或内容,并由服务处理或存储的数据。
“Customer Personal Data(客户个人数据)” 是指我们作为处理者处理的客户数据中的个人数据,除非本数据处理协议中另有说明。
“Data Protection Laws(数据保护法)” 是指根据协议适用于个人数据机密性、隐私、安全或处理的任何司法管辖区的所有法律法规,包括但不限于 GDPR 或 CCPA(视情况而定)。
“EEA” 在本数据处理协议中是指欧洲经济区和瑞士。
“GDPR” 是指:(i)欧洲议会和理事会关于自然人数据处理的保护以及此类数据自由流动的第 2016/679 号条例(通用数据保护条例);或(ii)仅就英国而言,是指 2018 年数据保护法。
“Personal Data(个人数据)” 是指与直接或间接识别的自然人有关的任何信息,无论单独或与其他信息结合。
“Personal Data Breach(个人数据泄露)” 是指对客户个人数据的任何意外、未经授权或非法的破坏、丢失、修改、披露或访问,以及适用数据保护法下的“安全泄露”等任何类似术语。
“Services(服务)” 是指我们或我们的关联公司提供的所有产品和服务,这些产品和服务是(a)您根据任何订单表订购的;或(b)您使用的。
“Provider(提供方)” 是指本数据处理协议的缔约实体,即一般条款和条件(缔约实体)第 15 条中列出的缔约实体,除非您的订单表中另有说明。在本数据处理协议中,您或提供方也可单独称为“缔约方”,合称为“缔约方”。
“Standard Contractual Clauses(标准合同条款)” 是指根据欧洲议会和理事会(EU)2016/679 条例欧盟委员会实施决定(EU)2021/914 于 2021 年 6 月 4 日批准的适用于个人数据传输至第三国的控制者到处理者(模块二)或处理者到处理者(模块三)的标准合同条款,如当前所示于https://eurlex.europa.eu/eli/dec_impl/2021/914/oj。
“Sub-processor(次处理者)” 是指在提供方作为数据处理者或次处理者的情况下代表提供方处理客户个人数据的第三方实体。
“UK Standard Contractual Clauses(英国标准合同条款)” 是指以下任何或全部:(i) 英国信息专员根据《2018 年数据保护法》第 119A 条发布的国际数据转移协议;(ii) 英国信息专员根据《2018 年数据保护法》第 119A 条发布的欧洲委员会国际数据转移的标准合同条款的国际数据转移附录;或(iii)可能不时替换这些标准条款的英国信息专员或欧洲委员会发布的标准合同条款。
“processing(处理)”、“data controller(数据控制者)”、“data processor(数据处理者)”、“data subject(数据主体)” 等术语应具有 GDPR 所赋予的含义。 “data controller(数据控制者)”的定义包括“business(企业)”、“consumer(消费者)”、“controller(控制者)”和“organization(组织)”;“data processor(数据处理者)”包括“service provider(服务提供者)”、“processor(处理者)”和“data intermediary(数据中介)”;“data subject(数据主体)”包括“consumer(消费者)”和“individual(个人)”;“Personal Data(个人数据)”包括根据 CCPA 和其他适用数据保护法的定义的“personal information(个人信息)”。术语“business purpose(商业目的)”、“commercial purpose(商业目的)”、“sell(出售)”、“share(共享)”应具有适用数据保护法中的相同含义,并且在每种情况下,它们的同类形式应作相应解释。
3. 处理客户个人数据
3.1 目的。 我们将仅在必要的范围内处理客户个人数据 (i) 提供服务,包括通信传输、确保服务安全、提供技术和交付报告、提供支持以及根据您的书面指示,作为数据处理者开发和实施改进和更新,如本 DPA 第 3.2 节中规定的,(ii) 为我们的正当商业目的,如本 DPA 第 3.4 节中规定的,作为数据控制者,和 (iii) 根据适用法律的其他要求。
3.2 客户指示。 协议和本 DPA 构成您在签署本 DPA 时作为数据处理者对我们的完整指示。 我们将遵循其他合理记录的指示,前提是这些指示符合协议条款。
3.3 处理细节。 本 DPA 附录 I 的附件 I,第 B 部分(转让说明)规定了我们作为数据处理者或子处理者的处理性质和目的、处理活动、处理的持续时间、个人数据类型和数据主体类别。
3.4 正当商业目的。 您承认,我们作为独立的数据控制者在必要的范围内为以下正当商业目的处理客户个人数据:计费、账户管理、财务和内部报告、打击和防止影响您、我们或我们的服务的安全威胁、网络攻击和网络犯罪、商业建模(例如预测、容量和收入规划,以及产品策略)、欺诈、垃圾邮件和滥用的预防和检测、您使用的产品和服务的持续改进,以及履行我们的法律义务。
4. 客户义务
4.1 合法性。如果您作为客户个人数据的数据控制者,您保证所有处理活动都是合法的、有具体目的的,并且已到位的任何所需通知和同意或其他适当的法律基础,以便能够合法转移客户个人数据。如果您是数据处理者(在这种情况下,我们将充当次数据处理者),您将确保相关数据控制者保证本第4.1节中列出的条件得到满足。
4.2 合规。 您全权负责(a)确保您遵守适用于您使用服务和您自身处理客户个人数据的数据保护法律,(b) 独立评估服务的技术和组织措施是否符合您的要求,以及 (c) 实施和维护您提供或控制的组件的数据保护和安全措施(包括但不限于服务和客户应用程序中使用的密码、设备)。
5. 安全性
5.1 安全措施。考虑到技术的发展状态、实施成本和处理的性质、范围、背景及目的,以及对自然人权利和自由造成各种可能性和严重性风险,我们将实施和维持适当的技术和组织安全措施,以保护客户个人数据免受个人数据泄露,并保持我们的系统在处理中使用的客户数据的安全性、完整性、可用性、弹性和机密性。我们所采取的安全措施在附件 II中描述。
5.2 安全措施更新。您负责审查我们提供的与客户个人数据安全相关的信息,并独立评估该信息是否满足您的要求和数据保护法律下的法律义务。您承认,安全措施受技术进步和发展影响,我们可能会不时更新或修改我们的安全措施,前提是这些更新和修改不会导致客户个人数据整体安全性的降低。
5.3 访问控制。我们应用“需要知道”和“最低权限”原则,确保对客户个人数据的访问仅限于根据协议(包括本DPA)提供服务所需的人员。
5.4 处理的保密性。我们将确保获得授权处理客户个人数据的任何人员或方(包括我们的员工、代理和次处理者)都被告知此类客户个人数据的机密性质,并将承担适当的保密义务(无论是合同义务还是法定义务),该义务在其聘任终止后仍然有效。
5.5 个人数据泄露的响应和通知。在意识到个人数据泄露后,我们将毫不迟延地(i) 通知您,(ii) 调查个人数据泄露,(iii) 在泄露信息逐步明朗化或您合理要求时,及时提供相关信息,并且 (iv) 采取商业上合理的步骤以减轻影响并防止个人数据泄露的再次发生。
6. 协助
6.1 数据保护援助。我们将为您提供合理请求的援助,以帮助您履行《数据保护法》下的义务,包括通知个人数据泄露、评估处理的适当安全级别,并协助您执行相关的数据保护影响评估。
6.2 协助数据主体的权利。我们将为您提供合理的援助,以帮助您履行对行使其《数据保护法》权利的数据主体的义务,方法是通过您的账户提供技术和组织措施。为避免疑义,作为数据控制者,您负责处理数据主体关于客户个人数据的任何请求或投诉。
7. 信息披露和披露请求
7.1 披露和访问的限制。 我们不会提供访问或披露客户个人数据,除非 (i) 您指示,(ii) 在协议和本《数据处理协议》中规定,或 (iii) 法律要求。
7.2 披露请求。如果我们收到政府或监管机构要求披露客户个人数据的请求,我们将在合理可能的情况下尽快通知您,除非此类通知被法律禁止。我们将根据披露请求政策处理披露请求,该政策可在我们的网站上此处获取。
8. 子处理器
8.1 当前子处理器列表。您同意根据服务的需要聘用子处理器,这些子处理器列在我们子处理器概览中,其中还包含订阅我们更改子处理器使用通知的程序。如果您订阅此类通知,并根据本数据处理协议第8.3节的规定,我们会在合理可行的时间内分享子处理器变更的详细信息。
8.2 子处理器的任命。通过此数据处理协议,您向我们提供一般的书面授权,以聘用子处理器来处理客户个人数据,须遵循本数据处理协议第8.3节及以下要求:
我们将限制子处理器获取客户个人数据的权限,只限于子处理器协议中规定的必要服务;
我们将与子处理器商定的数据保护义务须与本数据处理协议下的义务基本相同;
根据本数据处理协议,对于子处理器的数据保护义务的履行,我们仍对您承担责任。
8.3 子处理器变更通知和反对权。在替换或聘用新的子处理器(“子处理器变更”)之前,我们将给您机会反对子处理器变更。您可以反对子处理器变更,前提是(i)反对必须在我们通知子处理器变更后的十(10)个工作日内以书面形式提出,并且(ii)反对基于并清楚解释与客户个人数据保护相关的合理理由。当您反对拟议的子处理器变更时,我们将与您真诚合作,以商业上合理的方式更改服务的提供,避免使用相关子处理器。如果此类变更在收到您的反对通知后30天内无法合理实现,或者如果变更对我们来说在商业上不可行,则任何一方可终止无法在不使用相关子处理器的情况下提供的相关服务功能。如果您反对子处理器变更,此终止权是您唯一且排他的补救措施。
9. 客户个人数据的跨境传输
9.1 客户个人数据的转移。我们可能会在遵守数据保护法律要求的所有适当保障措施的条件下转移客户个人数据。这可能包括事先的数据转移影响评估,采纳、监控和评估补充的技术、组织和法律措施,可执行的数据主体权利,以及为数据主体提供有效的法律救济手段。
9.2 分处理器标准合同条款。除非有充分性决定或替代转移机制适用,例如欧盟-美国数据隐私框架,我们已经与位于欧洲经济区之外的分处理器(包括我们的关联公司)签订并将保持标准合同条款,符合本DPA第9.1节所列条款。
9.3 客户个人数据转移的转移机制。在您使用服务需要跨境数据转移机制以合法出口客户个人数据(例如:欧盟经济区、加利福尼亚、新加坡、瑞士或英国)到我们位于该辖区之外的情况下,本节将适用。如果在履行服务时,受《通用数据保护条例》或任何其他适用于此DPA的数据保护或隐私法律所约束的客户个人数据被转移到位于不确保数据保护法律意义上足够保护水平的国家的提供商实体,以下所列的转移机制将适用于此类转移,且各方在这些转移受数据保护法律约束的范围内可以直接执行。
9.3.1 各方同意,标准合同条款将适用于通过服务从欧洲经济区或瑞士转移的客户个人数据,无论是直接还是通过后续转移,向位于欧洲经济区或瑞士之外的国家的提供商实体,而该国家未被欧盟委员会(或,对于来自瑞士的转移,瑞士有管辖权的当局)认定为提供足够的个人数据保护水平的国家。
9.3.1.1 当您作为数据控制器而我们是数据处理器时,适用于从欧洲经济区转移的客户个人数据的欧盟控制器到处理器(模块二)标准合同条款将适用。当您作为数据处理器而我们是分处理器时,适用于从欧洲经济区转移的客户个人数据的处理器到处理器(模块三)标准合同条款将适用。
9.3.1.2 我们将被视为数据进口商,您将被视为数据出口商。此DPA的各方签署将被视为对适用于的标准合同条款的签署,这些条款将被视为纳入此DPA。标准合同条款附件1和附件2所要求的细节可在本DPA的附录I和附录II中获得。如果此DPA与标准合同条款之间有任何冲突或不一致,标准合同条款将仅在涉及从欧洲经济区转移客户个人数据时占优。
9.3.1.3 当标准合同条款要求各方在选择可选条款和输入信息时,双方按照以下所述进行了选择:
i. 不采用可选条款7“对接条款” 。
ii. 对于条款9“分处理器的使用”,双方选择以下选项:“选项2 一般书面授权:数据进口商对从同意列表中选择的分处理器有控制器的一般授权。数据进口商须在计划添加或更换分处理器前至少10个工作日以书面形式具体通知控制器,给予控制器足够的时间能够对这种变化表示异议。数据进口商须为数据出口商提供必要的信息,以使数据出口商行使其异议权。数据进口商须通知数据出口商分处理器的接洽。”
iii. 对于条款11 (a)“救济”,双方不采取选项。
iv. 对于条款17“管辖法律”,双方选择以下选项:“选项1。这些条款应受欧盟成员国之一的法律管辖,前提是这些法律允许第三方受益人权利。各方同意这是荷兰的法律。”
v. 对于条款18 (b)“选择的法院和管辖权”:“各方同意这些应为荷兰法院。”
9.3.2 各方同意,英国标准合同条款将适用于通过服务从英国转移的客户个人数据,无论是直接还是通过后续转移,至位于不被英国监管部门或政府机构认定为提供足够个人数据保护水平的国家的提供商实体。
9.3.2.1 我们将被视为数据进口商,您将被视为数据出口商。此DPA的各方签署被视为对英国标准合同条款的签署,这些条款将被视为纳入此DPA。英国标准合同条款所需的详细信息可在本DPA的附录I和附录II中获得。如果此DPA与英国标准合同条款有任何冲突或不一致,英国标准合同条款将仅在涉及从英国转移的客户个人数据时占优。
10. 审计
10.1 审计报告。我们的通信平台将定期按照ISO 27001标准(或同等标准)进行审计。审计可以由我们自行决定,选择内部审计或由第三方进行审计。应书面请求,我们将向您提供审计报告的摘要("Audit Report"),以便您可以验证我们对审计标准和本《数据处理协议》的合规性。该等审计报告以及其中指定的任何结论或发现都是我们的机密信息。
10.2 客户信息请求。我们将向您提供展示遵守本《数据处理协议》义务所需的所有合理必要信息。我们将对您提出的合理的信息请求提供书面回复,包括对信息安全和审计调查问卷的回复,只要其在范围内合理并且确认遵守本《数据处理协议》是必要的,前提是您(i) 首先努力从我们提供或公布的文档、审计报告和其他信息中获取所请求的信息,并且(ii) 除非已经发生个人数据泄露或我们在服务相关处理活动有重大变化,您每年不得行使该等权利超过一次。所有提供的回复都是我们的机密信息。
10.3 客户审计。如果我们提供给您的审计报告给您合理理由相信我们在与您提供的客户个人数据相关的义务方面违反了本《数据处理协议》,我们将允许您任命并由我们批准的独立且合格的第三方审计员对相关的个人数据处理活动进行审计,前提是最大程度符合适用法律的以下要求:
您应在行使审计权之前至少提前六十(60)天给予我们合理的通知;
审计员同意与我们达成市场标准的保密义务;
您和审计员采取措施最大限度地减少对我们业务运营的干扰;
审计将在正常营业时间内进行;
我们不需提供其他客户的客户数据或与服务提供无关的系统的访问权限;
您将承担审计的所有费用。
11. 删除和归还客户个人数据
在终止或到期后的协议,我们将(根据您的选择)删除或归还所有在我们拥有或控制的客户个人数据(包括副本),但法律要求我们保留部分或全部客户个人数据的情况除外。如果您指示我们删除客户个人数据,存档在我们备份系统中的客户个人数据将被保护以防止进一步处理,并在所需的保留期结束后删除。
12. 客户关联公司沟通与权利
根据第1.2节代表客户关联方签署本DPA构成我们与该客户关联方之间单独的DPA,受以下条件约束:
12.1. 通信。作为协议的合同方,客户应负责协调与我们在本DPA下的所有通信,并有权代表其客户关联方进行和接收与本DPA相关的任何通信。
12.2 客户关联方的权利。当客户关联方成为与我们签署DPA的一方时,根据数据保护法的要求,其有权行使并寻求本DPA下的权利和救济,但须遵循以下规定:
(i) 除非数据保护法要求客户关联方直接对我们行使权利或寻求救济,否则双方同意,(i) 作为协议的合同方,仅客户才可代表客户关联方行使任何此类权利或寻求此类救济,且(ii) 作为协议的合同方,客户应在本DPA下以合并方式行使任何此类权利,而不针对每个客户关联方单独行事,而是共同代表其自身及其所有客户关联方。
(ii) 双方同意,当根据本DPA第10.3节规定在其代表下进行的客户个人数据保护相关程序的现场审计时,作为协议的合同方,客户应采取一切合理措施,尽量减少对我们的影响,将其自身及所有客户关联方的多个审计请求合理地合并为一个审计。
为了明确,客户关联方不成为协议的合同方。
13. California Consumer Privacy Act。
在适用的情况下,我们就CCPA范围内的客户个人数据处理向您作出以下附加承诺。
13.1 我们在美国数据保护法下的义务。本节13.1中使用的术语“商业目的”、“商业用途”、“消费者”、“出售”和“分享”具有CCPA中赋予它们的含义。在适用的情况下,我们将遵守CCPA,并根据CCPA和其他适用的美国数据保护法的规定,处理所有受CCPA和其他适用美国数据保护法约束的客户个人数据(“美国个人数据”)。对于美国个人数据,我们是CCPA下的服务提供者,也是其他美国数据保护法下的数据处理者。我们不会出售美国个人数据。我们不会保留、使用或披露任何美国个人数据(i)用于协议中指定的商业目的以外的任何目的(包括将美国个人数据保留、使用或披露用于协议中指定的商业目的以外的商业用途,或根据CCPA或适用法律允许的情况);或(ii)在您与我们直接业务关系以外的情况下。
13.2 客户义务。您表示并保证,已向终端用户通知个人数据的使用或分享符合适用数据保护法的规定。您有责任遵守数据保护法所需的要求,以适用于您作为数据控制者的职责。
14. 管辖法律和争议解决
任何由本DPA引起或与之相关的纠纷、索赔或争议(“Dispute”)应根据荷兰法律进行管理和解释。各方同意,荷兰阿姆斯特丹的有管辖权的法院将对由本DPA引起或与之相关的任何Dispute拥有专属管辖权。
附录 I - 处理详情
如适用,本附录 I 将作为标准合同条款的附件 I 使用。
附件 I,第一部分。各方名单
数据导出者:客户
数据导出者联系方式:客户账户中列出的地址,或客户账户拥有者的电子邮件地址,或客户根据协议选择接收通知的电子邮件地址。
数据导出者角色:数据导出者的角色详见 DPA 的第 4 节。
签名和日期:在适用的情况下,数据导出者被视为已在 DPA 生效之日签署了此处包含的标准合同条款。
数据导入者:提供商
数据导入者联系方式:数据保护官 - privacy@bird.com
数据导入者角色:数据导入者作为数据处理者。
签名和日期:在适用的情况下,数据导入者被视为已在 DPA 生效之日签署了此处包含的标准合同条款。
附件 I,第二部分。传输描述
1. 转移个人数据的数据主体类别。
用户。联系人(自然人)或客户使用服务的员工、承包商或临时工(当前、未来或过去)(“用户”)。
终端用户。任何个人(i)其联系方式包括在客户的通讯录中;(ii)其信息存储在或通过服务收集;或(ii)客户通过服务发送通讯或以其他方式与客户沟通的个人(统称为“终端用户”)。您作为客户单独决定通过我们的通讯平台发送的通讯中包含的数据主体类别。
2. 转移的个人数据类别。
客户个人数据包含在,通讯内容、流量数据、终端用户数据和客户使用数据中。
通讯内容,可能包含个人数据或其他个性化特征,具体取决于您作为客户决定的通讯内容。
流量数据,可能包括关于通讯如语音通话、短信或电子邮件的路由、持续时间或时间安排的客户个人数据,无论其与个人还是公司相关。
终端用户数据,如电话号码、电子邮件地址、名字、姓氏、个人资料名称、国家、渠道标识符。
客户使用数据,可能包含与您作为个人相关的信息,包含在统计数据中,并涉及与您的账户和服务活动相关的服务相关见解和分析报告。
3. 转移的敏感数据(如适用)及适用的限制或保障措施,根据数据的性质和所涉及的风险进行充分考虑,例如严格的目的限制、访问限制(包括仅限接受过专门培训的人员访问)、对数据访问记录、限制后续传输或额外的安全措施。
通讯内容。敏感数据可能会在您或您的终端用户选择将敏感数据包含在通过服务传输的通讯中时被处理。您有责任确保在按照协议第 3.2 节在通过服务传输或处理之前或在允许您的终端用户通过服务传输或处理任何敏感数据之前,已经采取了适当的保障措施。
流量数据、终端用户数据和客户使用数据。流量数据、终端用户数据和客户使用数据不包含敏感数据。
4. 转移的频率(例如,数据是一次性或连续传输的):客户个人数据在协议期间连续传输。
5. 处理的性质:我们将处理客户个人数据到提供服务所需的程度。我们不出售任何个人数据,包括客户个人数据,并且不会为第三方的补偿或其自身业务利益与第三方共享个人数据。
6. 数据传输和进一步处理的目的:我们将根据客户在本 DPA 中设定的指示以数据处理者身份处理客户个人数据,除非处理对于我们所受之法律义务的合规性是必要的,此时我们将归类为数据控制者。
通讯内容、流量数据、终端用户数据和客户使用数据。包含在通讯内容、流量数据、终端用户数据和客户使用数据中的个人数据将受以下基本处理活动的约束:
通讯内容。向客户提供以应用程序编程接口(API)或通过仪表板形式提供的可编程通讯产品和服务,包括从或往我们的通讯平台传输到或从客户的软件应用程序和其他通讯网络。
流量数据。流量数据用于在电子通讯网络上传输通讯或为该通讯的计费而处理。这可能包括关于通讯如语音通话、短信或电子邮件的路由、持续时间或时间安排的客户个人数据,无论其与个人还是公司相关。
终端用户数据。提供服务需要终端用户的个人数据,并且只会为了通讯传输、客户支持和确保我们的法律义务合规而进行处理。
客户使用数据。包含在客户使用数据中的个人数据将受到在协议下提供服务的处理活动的约束,目的是向客户提供与服务相关的见解和分析报告,关于发送的通讯、客户支持和服务的持续改进。
7. 保留个人数据的期限,或者,如果不可能,确定该期限的标准:
通讯内容和流量数据。
对于 SMS 和 Voice 服务中包含的通讯内容和流量数据,适用六个月的保留期;
对于视频服务,通讯内容和流量数据的保留时间为 30 天至与您约定的期限;
对于电子邮件服务,通讯内容和流量数据的保留时间为 72 小时;
对于所有其他服务,通讯内容和流量数据的保留时间为服务持续时间,除非您通过提供给您的技术和组织措施删除通讯内容或流量数据。
终端用户数据。终端用户数据将根据客户确定的期限进行处理,当终端用户数据包含在您的联系资料中时,默认保留期为服务持续时间,根据本附件 I,第二部分第 6(c) 节的规定。
客户使用数据。协议终止后,我们可能会为附件 I,第二部分第 6(d) 节中规定的目的而保留、使用和披露客户使用数据,但须遵守协议中规定的保密义务。在不再需要用于附件 I,第二部分第 6(d) 节规定的目的时,我们将对客户使用数据进行匿名化或删除。
8. 对(子)处理器的转移,还须说明处理的主题、性质和持续时间:对于对子处理器的转移,处理的主题和性质已在我们的子处理器概述中描述,持续时间为协议期内。
附件 I,第三部分。主管监督机构
荷兰数据保护当局(Autoriteit Persoonsgegevens)将是主管监督机构。
附录 II - 技术和组织安全措施
在适用情况下,本附录 II 将作为标准合同条款的附录 II。以下提供了有关我们下文所述技术和组织安全措施的更多信息。
技术和组织安全措施:
伪匿名化和保护存储和传输中的个人数据的措施:所有个人数据在传输和静止时均被加密,并且从安全角度出发,在适用情况下,将其视为敏感数据进行处理。信息始终通过具有最新加密方法的 TLS 传输。
确保处理系统和服务的持续保密性、完整性、可用性和弹性的措施:我们与员工、承包商、供应商和子处理方签订包含保密条款的协议。我们的业务连续性政策是在无法控制的延长期故障情况下,为我们的业务和服务做好准备,并在最短的时间内将服务恢复到最大范围。我们了解我们提供的服务对客户至关重要,因此对服务中断的容忍度非常低。我们的恢复时间框架旨在确保我们能够履行对所有客户的义务。
定期测试、评估和评估技术和组织措施有效性的流程,以确保处理的安全性:信息安全和我们的信息安全管理系统(ISMS)的目标是保护对组织、员工、合作伙伴、客户和(授权的)信息系统的信息的保密性、完整性和可用性,并通过防止安全事件和管理安全威胁和漏洞来尽量减少损害发生的风险。我们的法律团队、数据保护官员和安全团队确保我们的安全框架中考虑了适用的法规和标准。
用户识别和授权的措施:我们遵循“需要知道”和“最小权限”原则。我们推广使用基于角色的访问控制。供应和取消供应由安全团队监督,默认情况下使用单点登录和双因素身份验证。为每个信息资产定义了所有者,他们负责确保其系统的访问是适当的,并定期进行审查。每当处理敏感信息或采取关键行动时,我们使用“四眼原则”。
确保事件记录的措施:审核日志集中存储,并定期监控安全事件,它们被安全保护以避免篡改的风险。事件管理政策强制执行事件响应计划及其程序。如果发生任何类型的安全或技术事件,将遵循这些指南。
确保系统配置(包括默认配置)的措施:我们对通信平台即服务的生产环境的所有更改遵循一致的变更管理流程。进一步说明,所有变更请求(RFC)需要由指定方批准,并根据正式的变更控制流程执行。控制流程确保拟议的更改经过审查、授权、测试、实施和以受控方式发布;并监控每个拟议更改的状态。配置基线按照最佳实践来安全配置系统。此外,在工程部门中,使用技术雷达来定义在开发过程中可以采用或需要避免的技术(语言、平台工具、数据库和数据管理工具)。
物理安全措施:所有 Bird 员工均远程工作。由于 Bird 的远程工作政策,Bird 已实施并执行了保证员工远程安全工作的远程办公政策。该政策强制执行关于物理安全、访问安全、连接和通信安全的最低措施。
确保内部 IT 和 IT 安全治理和管理的措施:我们维护一个基于风险评估的安全计划,包括旨在保护服务及客户数据的保密性、完整性和可用性的管理、组织、技术和物理保障措施。我们的信息安全计划以系统化和有组织的方式建立。此外,适用的法律和法规要求确保对组织、员工、合作伙伴和客户的信息的保密性、完整性和可用性。所有这些都被转化为我们的信息安全政策、程序和指南。我们设有安全指导委员会,负责信息安全的战术层面。这涉及信息安全活动的协调以及战略活动到运营活动的转化,以维护我们的安全,以及我们持续的法规遵从性。所有员工都有责任保护公司资产。所有员工都经过专业知识、经验和诚信的筛查。在入职阶段以及通过定期的团队特定培训和其他全公司范围的全员讲座,员工会被告知关于数据保护和安全合规的重要性。我们已通过 ISO 27001 认证,这是全球公认的信息安全管理系统(ISMS)标准。
我们所有的托管供应商均通过 ISO 27001 认证。
我们还在荷兰消费者和市场管理局注册。这意味着我们始终对客户负责任并完全透明。
我们是 GSM 协会(GSMA)的准会员。GSMA 代表全球移动运营商的利益。
我们始终遵守所有适用的法律法规,包括《通用数据保护条例》和欧盟-美国数据保护框架。
确保流程和产品的认证/保证的措施:我们进行严格的监控以及认证审核,作为我们符合 ISO/IEC 27001 的一部分,并定期执行应用程序漏洞和渗透测试。
确保问责制的措施:我们实施符合适用法律的信息安全和数据保护政策,并发布我们 ISMS 相关信息的概览(链接)。我们任命了一名专职安全总监、信息安全官员、合规官员和数据保护官,并保留我们的处理活动记录,包括在适用情况下记录和报告涉及个人数据的安全事件。
确保数据删除的措施:通过我们的通信和基础设施环境中的自动删除过程来确保数据删除。此数据删除过程确保所有不再需要满足特定目的的数据在处理后从我们的系统中移除。