《Microsoft专业服务数据保护补充协议2019年1月1日.docx》由会员分享,可在线阅读,更多相关《Microsoft专业服务数据保护补充协议2019年1月1日.docx(19页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Microsoft专业服务 数据保护补充协议 2019年1月1日(j)立即向数据导出者发送根据条款达成的任何子处理方协议的副本。条款6:责任1 .双方同意因任何一方或子处理方违反条款3或条款11中所提及的义务而遭受损失的任何数据主体均有权针对所遭受的损失从数据导 出者那里得到相应补偿。2 .如果由于数据导出者事实上已消失、在法律上已不复存在或者已经破产,数据主体无法根据第1段的内容对数据导出者提出索赔(由 数据导入者或其子处理方违反任何条款3或条款11中所提及的义务而产生),数据导入者同意数据主体可以对数据导入者提出索赔, 如同其就是数据导出者,除非任何后续实体已根据协议或依照现行法律承担数据
2、导出者的全部法定义务,在此情况下,数据主体可针对此 类实体行使其权利。数据导入者不得依赖于子处理方违反其义务的行为,来逃避其自身的责任。3 .如果由于数据导出者和数据导入者事实上已消失、在法律上已不复存在或者已经破产,数据主体无法对第1段和第2段中所提及的 数据导出者或数据导入者提出索赔(由子处理方违反条款3或条款11中所提及的任何义务而产生),子处理方同意数据主体可以根据 条款对数据子处理方就其自身的处理操作提出索赔,如同其就是数据导出者或数据导入者,除非任何后续实体已根据协议或依照现行法律 承担数据导出者或数据导入者的全部法定义务,在此情况下,数据主体可针对此类实体行使其权利。子处理方的责
3、任应限于其自身根据条 款所作的处理操作。条款7:仲裁和管辖权1 .数据导入者同意,如果数据主体根据条款对其提出第三方受益人权利和/或损失索赔,数据导入者将接受数据主体的决定:(a)将争议提交独立人士或监督机构(如果适用)进行调解;(b)将争议提交在其中建立数据导出者的成员国中的法院。2 .双方同意数据主体作出的选择不会影响其依照其他国家/地区或国际法规定寻求补救措施的实体和程序权利。条款8:与监督机构协作1 .数据导出者同意备案与监督机构签署的协议的副本(如果其要求备案,或者适用的数据保护法要求备案)。2 .双方同意,监督机构有权对数据导入者和任何子处理方进行审查,审查范围和所依据的条件与根据
4、适用的数据保护法审查数据导出者 相同。3 .如果任何适用于数据导入者和子处理方的法律妨碍了第2段中所述的对数据导入者或任何子处理方进行的审查,则数据导入者应该立 即将这一情况通知数据导出者。在此情况下,数据导出者应有权采取条款5(b)中预见的措施。条款9:管辖法律这些条款应受在其中建立数据导出者的成员国的法律的约束。条款10:合同的变动双方保证不改变或修改条款。但这并不排除双方还会在需要时就业务相关的问题添加条款的可能(只要不与条款相矛盾)。条款11:子处理1 .在未事先获得数据导出者的书面同意时,数据导入者不应分包任何其代表数据导出者、根据条款执行的处理操作。当数据导入者征得 数据导出者的同
5、意并根据条款分包其义务时,其只应通过与子处理方签署书面协议的方式进行分包,该协议将向子处理方施加与根据条款 向数据导入者施加的义务相同的义务。当子处理方无法根据此类书面协议履行其数据保护义务时,数据导入者应就数据导出者根据此类协 议履行子处理方的义务完全负责。2 .数据导入者和子处理方事先签署的书面协议还应提供条款3中规定的第三方受益人条款,该条款适用于由于数据导出者或数据导入者 事实上己消失或者在法律上已不复存在,或者已经破产且无后续实体根据协议或依照现行法律承担数据导出者或数据导入者的全部法定义 务,数据主体无法对他们提出条款6的第1段中所提及的索赔的情况。子处理方的此类第三方责任应限于其
6、根据条款的自有的处理操 作。4.数据导出者应保留根据条款签署、由数据导入者依照条款5 (j)通知的子处理协议的列表(应至少每年更新一次)。该列表应提供给 数据导出者的数据保护监督机构。条款12:个人数据处理服务终止之后的义务1 .双方同意,在数据处理服务终止之后,数据导入者和子处理方应根据数据导出者的选择,向数据导出者退回所有传输的个人数据和副 本,或者应销毁所有个人数据并向数据导出者证明其已销毁,除非施加给数据导入者的法律使其可以免于退回或销毁传输的全部或部分个 人数据。在此情况下,数据导入者保证其将保证传输的个人数据的机密性并且将不会再主动处理传输的个人数据。2 .数据导入者和子处理方保证
7、,其将按照数据导出者和/或监督机构的请求,提交其数据处理设备以进行第1段中所提及的措施的审 查。支持和咨询服务标准合同条款附录1数据导出者:客户是数据导出者。数据导出者是指购买专业IT支持和咨询服务(如适用的企业服务工作订单所述)的一方。数据导入者:数据导入者是微软公司(全球软件和服务的生产商)。数据主体:数据主体包括数据导出者的代表和最终用户,包括数据导出者的员工、承包商、合作者和客户。数据主体还可以包括尝试与 数据导入者提供的服务的用户进行通信或向其传输个人信息的个人。数据类别:传输的个人数据包括电子邮件、文档和其他提供专业服务所需的电子形式的数据。处理操作:传输的个人数据将受以下基本处理
8、活动的约束:a. 数据处理的持续时间和对象。数据处理的持续期间应为数据导出者和向其附加这些标准合同条款的Microsoft实体(以下简称“Microsoft )之间签订的适用的批量许可协议中指定的期限。进行数据处理的目的是提供专业服务。b. 数据处理的范围和目的。个人数据处理的范围和目的已在补充协议和协议中进行说明。c. 访问支持和咨询数据。在协议中指定的期限内,Microsoft将自己选择,并在必要时根据执行欧盟数据保护指令第12(b)条的适用法律:(1)为客户提供纠正、删除或封锁支持和咨询数据的能力,或(2)代表客户进行纠正、删除或封锁。d. 数据导出者的指示。对于专业服务,数据导入者将仅
9、遵照数据导出者的指示(如Microsoft所转达)行事。e. 删除或返还支持和咨询数据。在实现收集或传输支持和咨询数据的商业目的之后,或在这之前但客户以书面形式提出请求后,Microsoft将删除或返还支持和咨询数据的所有副本。分包商:数据导入者可以聘请其他公司代表其提供有限服务。所有此类分包商均仅被允许通过获取支持和咨询数据来交付数据导入者委 托其提供的服务,而不得将支持和咨询数据用于任何其他目的。支持和咨询服务标准合同条款附录2数据导入者依照条款4(d)和5(c)实施的技术和组织安全措施说明:1 .人员。在未获得授权的情况下,数据导入者的人员将不会处理支持和咨询数据。这些人员有义务保持任何
10、支持和咨询数据的机密性; 即使在离职之后,其仍须继续履行此项义务。2 .数据隐私联系人。可以通过以下地址联系数据导入者的数据隐私专员:Microsoft Corporation收信人:首席隐私专员1 Microsoft WayRedmond, WA 98052 USA3.技术和组织措施。数据导入者已经实施并将继续维护适当的技术和组织措施、内部控制措施和信息安全例程,以保护支持和咨询数据 (如Microsoft专业服务数据保护补充协议中所定义)免遭意外丢失、破坏或更改、未经授权的披露或访问,或者非法破坏,详见下 文:在此,通过提及将附录1中规定的技术和组织措施、内部控制措施和信息安全例程纳入本附
11、录2,并且数据导入者受其约束,如同 已在本附录2中将其全部列出一样。微软公司的签名出现在以下页面。代表数据导入者签订专业服务标准合同条款、附录1和附录2:签名:DocuSigned by:Anand Eswaran- 20E295A8C4E2403.Anand Eswaran,公司副总裁Microsoft Corporation One Microsoft Way Redmond, WA 98052 USA附件2 -由印度全球交付中心交付的咨询服务的标准合同条款(处理方)客户签署一份服务声明包括签署本附件2,并且该附件2将由Microsoft印度全球交付中心会签。如要退出“标准合同条款”,客户
12、必 须向Microsoft发送包含以下信息的书面通知(依据Microsoft客户协议中的条款): 要退出条款的客户及任何关联公司的法定全称; 退出条款适用的协议(如果客户拥有多个协议);以及 客户(或关联公司)仅退出标准合同条款的声明。根据欧盟委员会2010/87/EU (2010年2月)的规定,在使用标准合同条款需要监管机构批准的国家/地区,标准合同条款无法用于从该 国家/地区合法出口数据,除非客户获得了监管机构的批准。自2018年5月25日起,在下面的标准合同条款中引用指令95/46/EC中的各条款将被视为是引用GDPR中的相关和适当条款。依据有关将个人数据传输至位于第三方国家/地区(并不
13、确保充分的数据保护)的处理方事宜的95/46/EC指令第26(2)条,客户(数据 导出者)和Microsoft Global Services Center (India) Private Limited (作为签名出现在下方的数据导入者)(以下均简称“方”,合称“双方”)均同意以下合同条款(以下简称“条款”或“标准合同条款”),以便针对数据导出者将本附录1中指定的个 人数据传输给数据导入者事宜,给予隐私保护以及个人的基本权利和自由方面的充分保护。条款1:定义(a) “个人数据”、“特殊类别的数据”、“处理”、“控制方”、“处理方”、“数据主体”和“监督机构”沿用欧洲议会和欧盟理事 会1995
14、年10月24日关于涉及个人数据处理的个人保护以及此类数据自由流动的95/46/EC指令中的定义;(b) ”数据导出者”指传输个人数据的控制方;(c) “数据导入者”指同意从数据导出者接收个人数据,以依照其指示和标准合同条款中的条款,在传输之后代表其自身对数据进行处理 的处理方。该处理方不受95/46/EC指令第25(1)条所定义的确保充分保护的第三方国家/地区系统的约束;(d) “子处理方”指由数据导入者或数据导入者的任何其他子处理方雇用的处理方,其同意从数据导入者或数据导入者的任何其他子处理 方接收个人数据(专门用于处理数据传输之后、代表数据导出者进行的活动,并且依照其指示、条文中的条款和书
15、面子合同中的条款);(e) “适用的数据保护法”指保护个人的基本权利和自由(特别是其关于处理个人数据的隐私权)的法律,适用于在其中建立数据导出者 的成员国中的数据控制方;(F) “技术和组织安全措施”指旨在保护个人数据免受意外或非法破坏,或者避免意外丢失、更改、未经授权的披露或访问(特别是数据 处理涉及通过网络进行数据传输),以及所有其他非法形式的数据处理的措施。条款2:传输详细信息有关转让的详细信息,特别是特殊类别的个人数据(如果适用),将在下面构成条款的组成部分的附录1中指定。条款3:第三方受益人条款1 .数据主体可以作为第三方受益人,对数据导出者实施本条款、条款4(b)至(i)、条款5(
16、a)至(e),以及(g)至(j)、条款6(1) 和、条款7、条款8(2)和条款9至12o2 .如果数据导出者事实上已消失或者在法律上已不复存在,数据主体可以对数据导入者实施本条款、条款5(a)至(e)和(g)、条款 6、条款7、条款8(2)和条款9至12,除非任何后续实体己根据协议或依照现行法律承担数据导出者的全部法定义务,从而享有数据 导出者的权利并承担其义务,在此情况下,数据主体可以对此类实体实施这些条款。3 .如果数据导出者和数据导入者事实上已消失、在法律上已不复存在或者已经破产,数据主体可以对子处理方实施本条款、条款5(a) 至(e)和(g)、条款6、条款7、条款8(2)和条款9至12
17、,除非任何后续实体已根据协议或依照现行法律承担数据导出者的全部法 定义务,从而享有数据导出者的权利并承担其义务,在此情况下,数据主体可以对此类实体实施这些条款。子处理方的此类第三方责任应 限于其根据条款的自有的处理操作。4 .如果数据主体明确表明此类意愿且国家/地区法律允许,双方不反对数据主体由关联公司或其他机构进行代表。条款4:数据导出者的义务数据导出者同意并保证:(a)个人数据的处理(包括传输本身)已经并将继续根据适用的数据保护法的相关规定(在适用时已通知在其中建立数据导出者的成员国 中的有关当局)执行,并且不违反与该成员国的相关规定;(b)其已指示并将在整个个人数据处理服务期间指示数据导
18、入者仅代表数据导出者,且根据适用的数据保护法和条款来处理传输的个人数 据;(c)数据导入者将提供关于下面的附录2中指定的技术和组织安全措施的充分保证;(d)在评估适用的数据保护法要求之后,安全措施是适当的,可以保护个人数据免受意外或非法破坏,或者避免意外丢失、更改、未经授 权的披露或访问(特别是数据处理涉及通过网络进行数据传输),以及所有其他非法形式的数据处理,并且这些措施可以确保适当的安全 级别来应对要保护的数据的处理及其性质所带来的风险,同时还考虑到技术现状以及实施这些措施的成本;(e)其将确保遵守这些安全措施;(f)如果传输涉及特殊类别的数据,数据主体已被通知,或者在传输之前(或在之后尽
19、快)被通知其数据可传输至未根据95/46/EC指令 中的定义提供充分保护的第三方国家/地区;(g)在数据导出者决定继续传输或取消暂停的情况下,将从数据导入者或任何子处理方接收到的通知转发给数据保护监督机构(依照条款 5(b)和条款8(3);(h)根据请求向数据主体提供条款的副本(附录2除外)、安全措施的概述,以及须根据条款签订的任何子处理服务协议的副本,除非 条款或合同包含商业信息,在此情况下,其可以删除此类商业信息;(i)在进行子处理时,处理活动须由子处理方根据条款11执行,并且应根据条款,至少提供与个人数据保护相同的保护级别,以及与数 据主体相同的权利;以及(j)其将确保遵守条款4(a)至
20、(i)o条款5:数据导入者的义务数据导入者同意并保证:(a)仅代表数据导出者处理个人数据,并且遵守其指示和条款;如果出于任何原因,无法遵守此类指示和条款,其同意立即通知数据导出 者,此时数据导出者有权暂停数据传输并且/或者终止协议;(b)其没有任何理由相信,对其适用的法律可使其免于遵守从数据导出者获得的说明、免于根据协议履行义务,并且在该法律发生变更, 且可能会对条款提供的保证和义务产生重大不利影响时,其一旦知道,会立即就这一变更通知数据导出者,此时数据导出者有权暂停数据 传输并且/或者终止协议;(c)在处理传输的个人数据之前,其已实施附录2中指定的技术和组织安全措施;(d)其将立即通知数据导
21、出者关于:(i)由执法机构提出、要求披露个人数据的任何具有法律约束力的请求,除非另有规定禁止,例如根据刑法保持执法调查的机密性而 禁止披露的情况,(ii)任何意外或未授权的访问,以及(iii)直接从数据主体收到且未进行回应的请求,除非其已被授权这样做;(e)及时妥善处理数据导出者提出的关于其处理传输的个人数据的所有查询,以及遵守监督机构关于处理传输数据的建议;(f)在数据导出者提出请求后,提交其数据处理设施以进行条款规定的处理活动审查,这项审查工作应由数据导出者或由数据导出者选定 且由独立成员构成的受保密义务约束并具备所需专业资格的检查机构执行,在适用的情况下,确定检查机构时,还需征得监管机关
22、的同 意;(g)根据请求向数据主体提供条款或任何现有子处理协议的副本,除非条款或协议包含商业信息,在此情况下,其可以删除此类商业信息 (应由安全措施概述替换的附录2除外,此时数据主体无法从数据导出者获得副本);(h)如果进行了处理,其之前已通知数据导出者,并已事先获得数据导出者的书面同意;(i)子处理方提供的处理服务将依照条款11执行;以及(j)立即向数据导出者发送根据条款达成的任何子处理方协议的副本。条款6:责任1 .双方同意因任何一方或子处理方违反条款3或条款11中所提及的义务而遭受损失的任何数据主体均有权针对所遭受的损失从数据导 出者那里得到相应补偿。2 .如果由于数据导出者事实上已消失
23、、在法律上已不复存在或者已经破产,数据主体无法根据第1段的内容对数据导出者提出索赔(由 数据导入者或其子处理方违反任何条款3或条款11中所提及的义务而产生),数据导入者同意数据主体可以对数据导入者提出索赔, 如同其就是数据导出者,除非任何后续实体已根据协议或依照现行法律承担数据导出者的全部法定义务,在此情况下,数据主体可针对此 类实体行使其权利。数据导入者不得依赖于子处理方违反其义务的行为,来逃避其自身的责任。3 .如果由于数据导出者和数据导入者事实上已消失、在法律上已不复存在或者已经破产,数据主体无法对第1段和第2段中所提及的 数据导出者或数据导入者提出索赔(由子处理方违反条款3或条款11中
24、所提及的任何义务而产生),子处理方同意数据主体可以根据 条款对数据子处理方就其自身的处理操作提出索赔,如同其就是数据导出者或数据导入者,除非任何后续实体已根据协议或依照现行法律 承担数据导出者或数据导入者的全部法定义务,在此情况下,数据主体可针对此类实体行使其权利。子处理方的责任应限于其自身根据条 款所作的处理操作。条款7:仲裁和管辖权1 .数据导入者同意,如果数据主体根据条款对其提出第三方受益人权利和/或损失索赔,数据导入者将接受数据主体的决定: (a)将争议提交独立人士或监督机构(如果适用)进行调解;(b)将争议提交在其中建立数据导出者的成员国中的法院。2 .双方同意数据主体作出的选择不会
25、影响其依照其他国家/地区或国际法规定寻求补救措施的实体和程序权利。条款8:与监督机构协作1 .数据导出者同意备案与监督机构签署的协议的副本(如果其要求备案,或者适用的数据保护法要求备案)。2 .双方同意,监督机构有权对数据导入者和任何子处理方进行审查,审查范围和所依据的条件与根据适用的数据保护法审查数据导出者 相同。3 .如果任何适用于数据导入者和子处理方的法律妨碍了第2段中所述的对数据导入者或任何子处理方进行的审查,则数据导入者应该立 即将这一情况通知数据导出者。在此情况下,数据导出者应有权采取条款5(b)中预见的措施。条款9:管辖法律这些条款应受在其中建立数据导出者的成员国的法律的约束。条
26、款10:合同的变动双方保证不改变或修改条款。但这并不排除双方还会在需要时就业务相关的问题添加条款的可能(只要不与条款相矛盾)。条款11:子处理1 .在未事先获得数据导出者的书面同意时,数据导入者不应分包任何其代表数据导出者、根据条款执行的处理操作。当数据导入者征得 数据导出者的同意并根据条款分包其义务时,其只应通过与子处理方签署书面协议的方式进行分包,该协议将向子处理方施加与根据条款 向数据导入者施加的义务相同的义务。当子处理方无法根据此类书面协议履行其数据保护义务时,数据导入者应就数据导出者根据此类协 议履行子处理方的义务完全负责。2 .数据导入者和子处理方事先签署的书面协议还应提供条款3中
27、规定的第三方受益人条款,该条款适用于由于数据导出者或数据导入者 事实上已消失或者在法律上已不复存在,或者已经破产且无后续实体根据协议或依照现行法律承担数据导出者或数据导入者的全部法定义 务,数据主体无法对他们提出条款6的第1段中所提及的索赔的情况。子处理方的此类第三方责任应限于其根据条款的自有的处理操 作。4.数据导出者应保留根据条款签署、由数据导入者依照条款5 (j)通知的子处理协议的列表(应至少每年更新一次)。该列表应提供给 数据导出者的数据保护监督机构。条款12:个人数据处理服务终止之后的义务1 .双方同意,在数据处理服务终止之后,数据导入者和子处理方应根据数据导出者的选择,向数据导出者
28、退回所有传输的个人数据和副 本,或者应销毁所有个人数据并向数据导出者证明其已销毁,除非施加给数据导入者的法律使其可以免于退回或销毁传输的全部或部分个 人数据。在此情况下,数据导入者保证其将保证传输的个人数据的机密性并且将不会再主动处理传输的个人数据。2 .数据导入者和子处理方保证,其将按照数据导出者和/或监督机构的请求,提交其数据处理设备以进行第1段中所提及的措施的审 查。由印度全球交付中心交付的咨询服务的标准合同条款附录1数据导出者:客户是数据导出者。数据导出者是指购买专业IT支持和咨询服务(如适用的企业服务工作订单所述)的一方。数据导入者:数据导入者是Microsoft Global Se
29、rvices Center (India) Private Limited (微软公司的关联公司,其提供全球IT咨 询服务)。数据主体:数据主体包括数据导出者的客户的代表和最终用户,包括数据导出者的员工、承包人、合作者和客户。数据主体还可以包括 尝试与数据导入者提供的服务的用户进行通信或向其传输个人信息的个人。数据类别:传输的个人数据包括电子邮件、文档和其他提供专业服务所需的电子形式的数据。处理操作:传输的个人数据将受以下基本处理活动的约束:a.数据处理的持续时间和对象。数据处理的持续期间应为数据导出者和向其附加这些标准合同条款的Microsoft实体(以下简称“Microsoft )之间签订
30、的适用的批量许可协议中指定的期限。进行数据处理的目的是提供专业服务。 b.数据处理的范围和目的。个人数据处理的范围和目的已在补充协议和协议中进行说明。c.访问支持和咨询数据。在协议中指定的期限内,Microsoft将自己选择,并在必要时根据执行欧盟数据保护指令第12(b)条的适用法律:(1)为客户提供纠正、删除或封锁支持和咨询数据的能力,或(2)代表客户进行纠正、删除或封锁。 d.数据导出者的指示。对于专业服务,数据导入者将仅遵照数据导出者的指示(如Microsoft所转达)行事。e.删除或返还支持和咨询数据。在实现收集或传输支持和咨询数据的商业目的之后,或在这之前但客户以书面形式提出请求后,
31、Microsoft将删除或返还支持和咨询数据的所有副本。 分包商:数据导入者可以聘请其他公司代表其提供有限服务。所有此类分包商均仅被允许通过获取支持和咨询数据来交付数据导入者委 托其提供的服务,而不得将支持和咨询数据用于任何其他目的。 由印度全球交付中心交付的咨询服务的标准合同条款附录2 数据导入者依照条款4(d)和5(c)实施的技术和组织安全措施说明:1 .人员。在未获得授权的情况下,数据导入者的人员将不会处理支持和咨询数据。这些人员有义务保持任何支持和咨询数据的机密性; 即使在离职之后,其仍须继续履行此项义务。2 .数据隐私联系人。可以通过以下地址联系数据导入者的数据隐私专员: Micro
32、soft Global Services Center (India) Private Limited 收信人:Ravi Piduri 1 Microsoft Way Redmond, WA 98052 USA3 .技术和组织措施。数据导入者已经实施并将继续维护适当的技术和组织措施、内部控制措施和信息安全例程,以保护支持和咨询数据 (如Microsoft专业服务数据保护补充协议中所定义)免遭意外丢失、破坏或更改、未经授权的披露或访问,或者非法破坏,详见下 文:在此,通过提及将附录1中规定的技术和组织措施、内部控制措施和信息安全例程纳入本附录2,并且数据导入者受其约束,如同 已在本附录2中将其全
33、部列出一样。微软公司的签名出现在以下页面。代表数据导入者签订印度全球交付中心交付的咨询服务标准合同条款、附录1和附录2:签名/DocuSigned by:/M SirtAZD1E1C7EB94CE4CB .Amit Sircar,副总裁Microsoft Global Services Center (India) Private Limited Building 1, Microsoft Campus, Gachibowli,Hyderabad - 500032, India附件3 -欧盟一般数据保护条例条款在本GDPR条款中,客户和Microsoft同意,客户是客户个人数据的控制方,而Mi
34、crosoft是此类数据的处理方,但客户作为个人数据 处理方的情况除外,此时Microsoft是子处理方。本GDPR条款适用于Microsoft代表客户在GDPR的范围内处理个人数据。本GDPR条款并不会限制或减少Microsoft在与客户签署的支持和咨询数据保护补充协议或其他协议中向客户所作出的任何数据保护承 诺。本GDPR条款不适用于Microsoft作为个人数据控制方的情况。相关GDPR义务:第28、32和33条1 .在未事先获得客户的特定或一般书面授权的情况下,Microsoft不得雇用其他处理方。如果获得的是一般书面授权,则Microsoft 应将有关增加或更换其他处理方的任何拟议变
35、更通知客户,以便客户有机会就此类变更提出反对意见。(第28(2)条)。2 .依照欧洲联盟(以下简称“欧盟”)法律或欧盟成员国法律的规定,Microsoft对个人数据的处理应受本GDPR条款的约束,这些 条款对Microsoft和客户均具有约束力。客户的批量许可协议(包括本GDPR条款)规定了处理的内容和持续期间、处理的性质和目 的、个人数据的类型、数据主体的类别以及客户的义务和权利。特别是,Microsoft应满足以下要求:(a) 只能依照客户已成文的指令处理个人数据,包括有关将个人数据传输到第三方国家/地区或国际组织,但对Microsoft有约束力的欧盟法律或欧盟成员国法律要求这样做的情况除
36、外;在此类情况下,Microsoft应在处理个人数据之前通知 客户收到该法律要求,除非该法律以保护公共利益为由禁止发出此类通知;(b) 确保授权处理个人数据的人员承诺对个人数据进行保密或承诺履行相应的法定保密义务;(c) 采取GDPR第32条所要求的所有措施;(d) 遵守第1段和第3段中所述的有关雇用其他处理方的条件;(e) 根据处理性质,通过采取适当的技术和组织措施,竭尽所能协助客户履行其义务,以满足GDPR第HI章中规定的行使数据主体权利的要求;(f) 根据处理性质并结合Microsoft所掌握的信息,协助并确保客户履行GDPR第32至36条所规定的义务;(g) 在停止提供与处理相关的服务
37、时,根据用户所做出的选择,删除所有个人数据或将所有个人数据返还给客户,并删除现有副本,但欧盟法律或欧盟成员国法律要求存储个人数据的情况除外;(h) 为客户提供所有必要信息,以证明已履行GDPR第28条所规定的义务,并允许客户或受客户委托的其他审查师进行审查(包括检查)并积极配合审查工作。如果Microsoft认为某条指令违反了 GDPR或其他欧盟数据保护条例或欧盟成员国数据保护条例,Microsoft应立即通知客户。(第 28条)3 .如何Microsoft雇用其他处理方来代表客户执行特定的处理活动,则本GDPR条款中规定的相同数据保护义务将以合同或欧盟法律 或欧盟成员国法律所规定的其他法定形
38、式强制施加给该其他处理方,特别是,应提供充分的保障,以实施适当的技术和组织措施,确保 个人数据处理符合GDPR的相关要求。如果该其他处理方未能履行其数据保护义务,则Microsoft应继续对客户负责,并全面履行该 其他处理方的义务。(第28(4)条)4 .考虑到技术现状、实施成本、数据处理的性质、范围、上下文环境和目的,以及自然人的权利和自由发生变化的可能性和严重性风 险,客户和Microsoft应采取适当的技术和组织措施,以确保实施与相关风险相应的安全级别,尤其是酌情包括:(a) 个人数据假名化和加密;(b) 确保处理系统和服务具有持续的保密性、完整性、可用性和故障恢复能力;(c) 当发生物
39、理或技术事件时,及时恢复个人数据的可用性和可访问性的能力;以及(d) 对技术和组织措施的有效性进行定期测试、考核和评估的流程,以确保数据处理的安全性。(第32(1)条)5 .在评估是否具备适当的安全级别时,应考虑数据处理所带来的风险,特别是因传输、存储或以其他方式处理的个人数据遭到意外或 非法破坏、丢失、更改、未经授权的披露或访问所带来的风险。(第32(2)条)简介这份Microsoft专业服务数据保护补充协议(下称“本补充协议”)仅适用于根据本协议提供的Microsoft专业服务(定义如下),不 包括被指定为试点或有限的服务或应用场景。除另有书面约定外,本补充协议不取代双方签署的任何其他数据
40、保护协议;但是,如果不存在其他商定的GDPR条款,则将适用附件3 - 欧盟一般数据保护条例的条款。一般条款定义本补充协议中使用但未定义的术语应沿用其在协议中的含义。在本补充协议中会使用以下术语(定义如下):“协议”是指(适用时)服务说明和任何附录、工作说明、企业服务工作订单和上述Microsoft主协议。“咨询服务”是指Microsoft Consulting Services根据企业服务工作订单提供的专业计划、建议、指导、数据迁移、部署和解决方案/ 软件开发服务。“一般数据保护条例”或“GDPR”指欧洲议会和欧盟理事会2016年4月27日关于涉及个人数据处理的自然人保护以及此类数据自由 流动
41、的(EU) 2016/679条例,以及已废除的95/46/EC指令。“GDPR条款”指附件3中的条款,其中Microsoft根据欧盟“一般数据保护条例”第28条的要求对其处理个人数据作出了有约束力 的承诺。“个人数据”指与已确定身份或可确定身份的自然人相关的任何信息。可确定身份的自然人指能够直接或间接地通过身份标识(例如,姓 名、身份证号、位置数据、在线身份标识)或特定于该自然人身体、生理、基因、心理、经济、文化或社会身份的一个或多个因素确定其 身份的人。“专业服务”指支持服务和咨询服务。“专业服务”不包括Microsoft的在线服务。“标准合同条款”指如GDPR第46条所述,有关将个人数据传
42、输至位于第三方国家/地区(并不确保充分的数据保护)的处理方的标准 数据保护条款。标准合同条款位于附件1和2中。“支持与咨询数据”指客户为获取本补充协议所涵盖的专业服务,由客户或客户代表通过与Microsoft签订的合约向Microsoft提供 (或客户授权Microsoft通过在线服务获取)的所有数据,包括所有文本、声音、视频、图像文件或软件。“支持服务”指服务说明或服务支持和咨询说明中规定的Microsoft统一支持或高级支持服务,包括Microsoft为帮助客户发现和解决 其信息技术环境中存在的问题而提供的专业技术软件支持服务。本文使用的术语“数据主体”、“处理”、“处理方”和“监督机构”
43、的含义与GDPR中规定的含义相同,术语“数据导入者”和“数据 导出者”的含义与标准合同条款中规定的含义相同。遵守法律Microsoft将遵守通常适用于专业服务的提供的所有法律和法规,包括安全违规行为通知法。但是,Microsoft不负责遵守适用于客户或 客户行业的但通常不适用于信息技术服务提供商的任何法律或法规。Microsoft不会判断客户支持与咨询数据是否包含受任何特定法律或 法规约束的信息。所有安全事件均受下面的安全事件通知条款约束。客户必须遵守与其购买和使用专业服务和向Microsoft传输支持和咨询数据以及个人数据的行为相关所有适用法律和法规,包括有关隐 私、个人数据、生物统计数据、
44、数据保护及通讯保密性的法律。隐私条款支持和咨询数据的处理;所有权6 .客户和Microsoft应采取措施,以确保在未获得客户指令的情况下,经客户或Microsoft授权访问个人数据的任何自然人不得处 理个人数据,除非欧盟法律或欧盟成员国法律要求其这样做。(第32(4)条)7 .在发现个人数据违规情况时,Microsoft应立即通知客户,不得出现不当延误。(第33(2)条)。此类通知包括根据第33(3)条 处理方必须向控制方提供的、Microsoft可合理获得的信息。支持和咨询数据将仅为了向客户提供专业服务而使用或以其他方式处理。Microsoft不会出于任何广告或类似商业目的使用或以其他方式
45、处理支持和咨询数据或从其中获取信息。在双方之间,客户保有对支持和咨询数据的所有权利、所有权和权益。除了客户授予Microsoft 以向客户提供专业服务的权利之外,Microsoft未获得有关支持和咨询数据的任何权利。个人数据处理;GDPR包含在支持和咨询数据中的、并为了获得专业服务而由客户或代表客户通过与微软的合作向微软提供的个人数据,也是支持和咨询数据。 通过专业服务IT系统还可能生成假名化识别符,这些也是个人数据。如果Microsoft是受GDPR约束的个人数据的处理方和子处理 方,则附件3的GDPR条款约束此类处理,双方还同意本小节中的以下条款(“个人数据处理;GDPR ):处理方与控制
46、方的角色与职责客户和Microsoft同意,客户是个人数据的控制方,而Microsoft是此类数据的处理方,但客户作为个人数据处理方的情况除外,此 时Microsoft是子处理方。Microsoft将仅处理客户成文指示中说明的个人数据。客户同意,其协议(包括本补充协议)是客户为处 理个人数据向Microsoft提交的完整且最终的成文指示。任何附加或替代的说明必须依照修订客户协议的流程得到认可。在适用GDPR 且客户是处理方的任何情况下,客户向Microsoft保证,客户的指示(包括任命Microsoft作为处理方或子处理方)已获得相关控制 方的授权。处理详细信息双方确认并同意: 处理的内容仅限
47、于GDPR范围内的个人数据; 处理持续时间应当是客户聘用微软的持续时间,并且直至所有个人数据被删除或返还为止; 处理的性质和目的应为依照客户协议提供专业服务; 为提供专业服务而处理的个人数据的类型包括GDPR第4条中明确标明的类型;及 数据主体的类别为客户的代表和最终用户,例如,客户的员工、承包商、合作方和客户。数据主体权利;请求协助Microsoft将通过与Microsoft所担任的处理方角色相一致的方式,向客户提供数据主体的个人数据以及通过满足数据主体的请求行 使GDPR赋予客户权利的能力。Microsoft应满足客户的合理请求,协助客户响应此类数据主体请求。如果Microsoft接收到客
48、户数 据主体发出的要求行使GDPR赋予的一项或多项权利的请求,该请求涉及Microsoft是数据处理方或子处理方的专业服务,则 Microsoft应让数据主体直接向客户提出请求。客户将负责响应任何此类请求。Microsoft应满足客户的合理请求,协助客户响应此 类数据主体请求。处理活动的记录Microsoft应保留GDPR第30(2)条所要求的所有记录,并在其代表客户处理个人数据所允许的范围内,在客户提出请求时将此类记 录提供给客户。支持和咨询数据的披露Microsoft不会向Microsoft及其控制的子公司和关联公司之外的任何一方披露支持和咨询数据,但(1)经客户指示,(2)依照本补充 协议规定,或(3)根据法律要求进行披露的情况除外。除非法律要求,否则Microsoft不会向执法部门披露支持和咨询数据。如果执法部门要求Microsoft提供支持和咨询数据,Microsoft 会建议执法部门直接与客户联系,由客