数据处理附录

Exhibitor and Sponsor License

Data Processing Addendum

最新更新日期:2023年7月1日

本份数据处理附录(下称“DPA”)构成励展实体与参展商、赞助商或其他方(其中每一方,下称“一方”)之间协议(下称“本协议”)的组成部分,本协议中提及了本份DPA并且明确规定了协议各方。

1.     定义

1.1  “数据保护法律”是指所有适用的隐私权和数据保护法律、规则、规定、法令、命令以及其他的各项政府要求。

1.2  术语“控制者”,“数据主体”,“个人数据”和“处理”的含义与数据保护法律中规定的含义相同,并且当数据保护法律使用同等或对应术语时,诸如用“个人信息”替代“个人数据”,则该等术语在本协议中的含义不发生变化。

2.     范围

2.1  本份DPA适用于各方从对方所收到信息的处理,并且在本协议下还可适用于各方的附属方。

2.2  处理的标的物是就本协议项下展览和相关服务所提供的个人数据。处理的期限是本协议项下的服务提供期间直至按照本协议处理完毕个人数据。处理的性质和目的均涉及本协议项下的服务提供。处理的个人数据类型是本协议项下所处理的那些类型。数据主体的类别是本协议项下所处理个人数据的那些类别。

3.     职责和限制

3.1  各方独立地确定其处理个人数据的目的和方式,并且因此,各方是个人数据的独立控制者。双方不得也不会作为共同控制者处理个人数据。

3.2  各方将遵守其在数据保护法律项下的各项义务,并且各方将独立负责其遵守义务的情况。本份DPA不得变更各方在本协议项下个人数据使用权或处理权的任何限制性规定。

4.     协助

4.1  在考虑数据处理的性质以及对方可获信息的情况下,各方将与对方合作并合理协助对方遵守其在数据保护法律项下的各项义务。

5.     跨境转移

5.1  各方将确保,在一方将任何个人数据转移到其他国家或地区的情况下,该等转移将采取适当的保护措施,该等措施应当按照数据保护法律的要求提供同等级别的保护。

6.     司法管辖专有条款

6.1  在任何一方处理的任何个人数据系来自于下列任何司法管辖地或者系受制于下列任何司法管辖地的数据保护法律的情况下,涉及该等司法管辖地的特定条款将补充适用于上述条款。

 

欧洲经济区、英国和瑞士

1.     在任何一方将个人数据从欧洲经济区(下称“欧洲经济区”)、英国(下称“英国”)或瑞士转移给位于欧洲经济区、英国或瑞士境外的另一方时,除非双方可以依赖于数据保护法律项下的替代性转移机制或基础,否则将视为双方已就该等转移达成了经2021年6月4日欧盟委员会(欧盟)第2021/914号实施决议批准的标准合同条款,详见http://data.europa.eu/eli/dec_impl/2021/914/oj(下称“本条款”),根据本条款:

a.      接收方是“数据输入方”,对方是“数据输出方”;

b.     模块一适用,模块二、三和四、脚注、第11(a)条选项和第17条选项2删除,同时相关附件分别填写DPA和本协议中所述信息;

c.      “有权监管机关”是数据输出方成立所在地的监管机关;

d.     本条款适用数据输出方成立所在地的法律;

e.      本条款所产生的任何争议将由数据输出方成立所在地的法院解决;以及

f.      如果本协议和本条款之间有任何冲突,将以本条款为准。

2.     关于个人数据转移出英国,本条款在按照上述第1节执行时将适用下列修订内容:

a.      本条款按照《2018年英国数据保护法案》第119A节项下发布的欧盟委员会标准合同条款之国际数据转移附录及其不时修订或替代版(下称“英国附录”)第2部分进行修订;

b.     英国附录第1部分中的表1至表3分别填写DPA和本协议中所述信息;以及

c.      英国附录第1部分中的表4填写内容为勾选“双方均未”。

3.     关于个人数据转移出瑞士,本条款在按照上述第1节执行时将适用下列修订内容:

a.      凡提及“(欧盟)第2016/679号规定”应当解释为是指瑞士《联邦数据保护法案》(下称“FADP”);

b.     凡提及“(欧盟)第2016/679号规定”的具体条款,应当替换为FADP中的同等条款或章节;

c.      凡提及“欧盟”、“联盟”、“成员国”及“成员国法律”应当替换为是指“瑞士”或“瑞士法律”(视具体情况而定);

d.     术语“成员国”的解释方式不得排除在瑞士的数据主体使用其权利的机会;

e.      附件一第13(a)条和C部分不予使用,且“有权监管机关”是指瑞士联邦数据保护和信息委员会;

f.      本条款适用于瑞士法律;以及

g.     本条款所产生的任何争议将由瑞士法院解决。

 

美国

1.     在任何一方向对方出售或与对方共享美国《加州消费者隐私法案》及其实施法规(下称“CCPA”)范围内的任何个人信息时:

a.      将按照本协议所述目的向接收方提供个人信息,并且该目的受制于接收方的隐私权政策;

b.     仅为本协议所述的有限目的及指定目的向接收方提供个人信息,并且须仅用于该等有限目的及指定目的;

c.      接收方须遵守CCPA相关适用章节,包括(关于向接收方提供规定个人信息)提供的隐私权保护程度要与CCPA要求企业的相同;

d.     披露方被授予权利(关于向接收方提供规定个人信息)采取合理适当的措施以确保接收方对个人信息的使用符合其在CCPA项下的各项义务;

e.      披露方被授予权利,经通知后,采取合理适当的措施以阻止和纠正擅自使用提供给接收方的个人信息的行为;以及

f.      接收方决定再也无法履行CCPA项下义务后,须告知对方。

 

巴西

1.     各方应当:

a.      遵行巴西《通用数据保护法》(2018年第13.709号)(Lei Geral de Proteção de Dados Pessoais)(下称“LGPD”)项下各项义务;

b.     记录其对个人数据的处理操作情况;

c.      任命一位数据保护官;以及

d.     采取安保、技术和管理措施,保护个人数据免遭擅自访问、意外或非法的毁损、灭失、改动、传播或任何形式的不当或非法处理,该等措施包括国家机构制定的相关最低技术标准。

 

2.     在任何一方将个人信息从巴西转移给位于巴西境外的另一方时,接收方将遵守LGPD规定的数据主体各项原则和权利以及数据保护的各项机制。