此店匠合作伙伴数据处理协议(“数据处理协议”)由您(合作伙伴)和店匠签订。为了避免疑问,店匠合作伙伴协议、店匠隐私政策和店匠使用协议是本协议的一部分,并通过引用纳入本协议。在本协议中,店匠和合作伙伴可能被统称为“双方”,或单独称为“一方”。
本数据处理协议旨在建立一个框架解决以下个人数据处理的场景:与店匠和合作伙伴之间的服务协议相关,除非双方另有规定或约定,关于消费者的个人数据,商家是控制者,店匠是处理者,合作伙伴是子处理者;关于商家的个人数据,店匠是控制者,合作伙伴是处理者。合作伙伴应根据数据处理协议处理个人数据。
1. 定义
“适用的数据保护法律”指任何由公认的政府或政府或行政实体颁布的旨在保护自然人及其家庭成员隐私权的立法或监管体系,特别是通用数据保护条例2016/679(“GDPR”),以及补充欧盟成员国数据保护法律的法律,英国的数据保护法案2018和由于英国的欧洲联盟(退出)法案2018第3节而纳入英国法律的GDPR(“UK GDPR”),加拿大的个人信息保护和电子文件法S.C. 2000, c. 5(“PIPEDA”),以及任何根据其中规定的程序被认为与PIPEDA实质相似的省级立法,加利福尼亚民法典第1798.100节及以下,也称为2018年加利福尼亚消费者隐私法案,经2020年加利福尼亚隐私权利法案修订,以及任何据此颁布的法规(“CCPA”),以及其他适用的美国联邦和州隐私法律,香港的个人资料(隐私)条例Cap. 486(“PDPO”),中国的个人信息保护法(“PIPL”)。
“授权区域”指处理者/子处理者被允许处理个人数据的国家/地区/领土。
“控制者”指单独或与他人共同确定个人数据处理目的和方式的实体。
“消费者个人数据”指每个商家的消费者个人数据。
“数据安全泄露”指导致个人数据意外或非法被破坏、丢失、更改、未经授权的披露或访问的安全漏洞。
“数据主体”指与个人数据相关的已识别或可识别的个人。
“商家”指通过平台开展业务的商家。
“商家个人数据”指商家的个人数据。
“个人数据”指与数据主体相关的任何信息;可识别的自然人是指可以直接或间接通过姓名、身份证号码、位置数据、在线标识符或与该自然人的物理、生理、遗传、心理、经济、文化或社会身份相关的一个或多个因素来识别的个人。
“平台”指由店匠及其关联公司拥有和运营的shoplazza.com以及任何相关的软件、程序、应用程序和网站。
“处理”指对个人数据或个人数据集进行的任何操作或一系列操作,无论是否通过自动化手段,例如收集、记录、组织、存储、适应或更改、检索、咨询、通过传输披露、传播或以其他方式提供、对齐或组合、限制、擦除或销毁。为免疑义,包括处理个人数据以披露、聚合、匿名化、去标识化或匿名化个人数据,以及将个人数据与其他个人数据结合,或从这些个人数据中衍生任何数据或信息。
“处理者”指代表控制者按照控制者指示处理个人数据的实体。
“服务协议”指规范合作伙伴通过平台提供服务的协议,包括但不限于店匠合作伙伴协议。
“敏感个人数据”指被定义为“敏感个人数据”、“特殊类别个人数据”或任何在适用数据保护法律下具有实质相似或类似概念或定义的个人数据,因此可能受到额外的保护或处理限制。
“子处理者”指被处理者聘请或指定代表处理者按照处理者从控制者接收的指示处理个人数据的实体。
“监管机构”指负责监督适用数据保护法律应用情况的独立公共机构,包括本数据处理协议所涵盖的个人数据处理。
2. 个人数据的处理
2.1 双方将遵守适用的数据保护法律,合作伙伴将仅根据适用的数据保护法律处理个人数据,并且不会与服务协议和本数据处理协议规定之外的任何第三方分享、出售、披露或以其他方式提供这些信息。此条款是对适用数据保护法律下一方的义务或权利的补充,并不减轻、消除或取代任何一方在适用数据保护法律下的义务或权利。
2.2 除非双方另有约定,店匠在执行本数据处理协议过程中不会产生任何费用、开支、成本或报酬。
2.3 个人数据的处理将在提供服务协议期间进行,前提是,一旦本数据处理协议终止或到期,处理应立即停止。
2.4 在合作伙伴根据本数据处理协议代表店匠处理个人数据的程度上,合作伙伴应:
2.4.1 仅出于履行服务协议下的义务以及遵守本数据处理协议中列出的店匠书面指示的目的处理个人数据,并根据店匠不时以书面形式指定的指示;
2.4.2 如果店匠关于处理个人数据的任何指示非法,立即通知店匠;
2.4.3 根据适用的数据保护法律,保留其处理活动的记录;
2.4.4 协助店匠确保遵守适用的数据保护法律,考虑到合作伙伴承担的数据处理性质以及其可获取的信息,包括(但不限于):
A. 子处理者
(1)未经店匠事先书面同意,不得与任何子处理者合作进行任何个人数据的处理,尽管有此类同意,合作伙伴仍需对遵守本数据处理协议的所有要求承担责任,包括与个人数据处理相关的要求;
(2)店匠给予合作伙伴一般授权,以替换其任何子处理者或增加新的子处理者。然而,合作伙伴应提前通知店匠关于增加或替换子处理者的任何预期变更,从而使店匠有机会对此类变更提出异议。如果在三十(30)天内没有提出异议,所提议的替换或增加将被视为已接受。如果提出异议,且双方在提出异议之日起三十(30)天内未达成协议,合作伙伴有权继续进行所提议的增加或替换,店匠有权立即终止本数据处理协议和服务协议,无需成本且无需提供通知;以及
(3)关于每个子处理者,合作伙伴应:
向Shoplazza提供每个子处理者将进行的个人数据处理的完整细节;
对每个子处理者进行充分的尽职调查,以确保其能够提供本协议要求的个人数据保护水平,包括但不限于提供足够的保证,实施适当的技术和组织措施,以确保数据处理符合适用的数据保护法律和本处理协议的要求;
在合作伙伴与每个子处理者之间的合同中包含与本伙伴数据处理协议中相同的义务,并监督其合规性。根据要求,合作伙伴应向店匠提供与子处理者的协议副本,以供店匠审查;
如果该合同涉及将欧洲数据主体的个人数据传输到欧洲经济区(EEA)之外,应将标准合同条款或店匠指示的其他机制纳入合作伙伴与每个子处理者之间的合同中,以确保转移的个人数据得到充分保护,或者根据店匠批准的其他安排,在该第三国处理个人数据时提供足够的保护;
对每个子处理者未履行其在个人数据处理方面的义务,合作伙伴应对店匠承担完全责任;
B. 数据传输
(1)合作伙伴只能在授权区域内处理个人数据,未经店匠事先书面同意,不得将个人数据转移到授权区域以外的任何国家/地区;
(2)除非满足以下条件,否则不得进行任何个人数据的跨境传输:
提供了与传输相关的适当保障措施;
数据主体拥有可执行的权利和有效的法律救济;
合作伙伴遵守其在适用数据保护法律下的义务,包括但不限于为任何传输的个人数据提供适当保护水平;以及
合作伙伴遵守店匠事先给出的关于处理个人数据的合理指示。
C. 内部治理
合作伙伴应确保所有参与处理个人数据的人员都受到与个人数据相关的法律约束保密义务,并且应确保所有提供合作伙伴服务的人员都接受过数据保护以及个人数据的处理方面的专业培训。
D. 安全措施
(1) 合作伙伴应采取适当的技术和组织措施,以防止对个人数据的未经授权或非法处理,以及防止个人数据的意外丢失、破坏或损坏,考虑到此类未经授权或非法处理、丢失、破坏或损坏可能造成的损害,以及需要保护的个人数据的性质,包括但不限于确保遵守适用数据保护法律所需的所有措施。
(2) 安全措施包括但不限于:
在可能或适当的情况下,对个人数据进行假名化和/或加密;
确保处理系统和服务的持续保密性、完整性、可用性和韧性;
确保在发生物理或技术事件时,及时恢复对个人数据的可用性和访问;
建立定期测试、评估和评估技术和组织措施有效性的流程;
识别与所使用系统中个人数据处理相关的漏洞的措施;
其他店匠要求的合理安全措施。
E. 数据主体权利
(1)合作伙伴在收到数据主体根据任何适用数据保护法律提出的任何请求时,应立即通知店匠;
(2)合作伙伴仅根据店匠的书面指示或在通知店匠后根据合作伙伴受约束的适用数据保护法律的要求响应该请求;
(3)考虑到合作伙伴承担的处理性质,提供所有可能的协助和合作(包括但不限于采取适当的技术和组织措施),以使店匠能够履行其义务,响应数据主体行使其在适用数据保护法律下的权利的请求;
(4)如果店匠/控制者被请求删除来自数据主体的某些个人数据,或者根据适用数据保护法律的要求,在店匠的请求下,合作伙伴应立即停止处理此类个人数据,并安排在三十(30)天内立即安全删除或归还此类个人数据给店匠,同时一并归还其拥有或控制的所有个人数据副本,包括其关联公司、代表、代理人或承包商手中的个人数据,并且按照店匠指定的方式(如有)进行删除或销毁,合作伙伴需要提供文件证据以支持删除或销毁的操作。
F. 数据安全泄露
(1)合作伙伴应根据店匠的要求及时提供信息和协助,以便店匠/控制者能够根据适用数据保护法律向监管机构和数据主体通知数据安全泄露;
(2)合作伙伴在意识到发生数据安全泄露时,应立即(并且在任何情况下不超过24小时)通过电子邮件通知店匠合作伙伴支持:privacy@shoplazza.com,包括但不限于以下情况:
合作伙伴或其任何子处理者遭受数据安全泄露;或
合作伙伴或其任何子处理者收到与处理个人数据直接或间接相关的数据安全泄露通知、投诉、通知或通信,这涉及到任一方遵守适用数据保护法律的情况。
(3)在每种情况下,合作伙伴应向店匠/控制者提供全面的合作、信息和协助,以应对任何此类数据安全泄露、合规通知或通信。合作伙伴应自费:(A) 及时补救数据安全泄露以防止进一步丢失个人数据;(B) 调查事件;(C) 采取合理措施减轻对店匠、店匠相关实体、商家或消费者未来预期的损害;以及(D) 定期向店匠通报其调查进展,并及时合作提供店匠可能需要的任何额外信息。
(4)双方同意就制定任何相关的公开声明或向受影响人员发出的任何必要通知内容进行良好的协调与合作。合作伙伴不得在未事先获得店匠书面同意的情况下,通知任何第三方,除非根据适用的数据保护法律要求通知,在这种情况下,合作伙伴应在该法律允许的范围内通知店匠该法律要求,提供拟通知的副本,并在通知数据泄露之前考虑店匠的意见。
G. 数据保护影响评估
合作伙伴应提供并执行与其处理个人数据相关的数据保护影响评估,或协助店匠/控制者进行数据保护影响评估,以符合适用数据保护法律的要求。
H. 审计
(1)合作伙伴应向店匠提供所有必要的信息,以证明其遵守本数据处理协议中规定的义务以及其他指示,并允许并协助店匠/控制者或监管机构根据适用数据保护法律进行的审计,包括检查;
(2)应要求,合作伙伴应允许店匠/控制者或监管机构访问合作伙伴的场所、记录和人员,以评估其遵守本数据处理协议和适用数据保护法律下的义务。
I. 法律请求
如果合作伙伴根据合作伙伴适用的法律收到来自公共(包括司法)机关的依法要求,合作伙伴应通知店匠。如果合作伙伴意识到公共机关直接访问个人数据,应根据合作伙伴适用的法律通知店匠。合作伙伴应向店匠提供尽可能多的关于依法要求的相关信息。合作伙伴还应记录任何收到的披露请求及其回应,并将该信息提供给店匠。如果合作伙伴在根据适用法律审查此类请求的合法性后认为应对该请求提出申诉,合作伙伴应采取适当措施,包括在必要时通过尽可能的申诉途径进行。
3. 赔偿
3.1 合作伙伴应赔偿店匠因合作伙伴或其任何子处理者的任何违反行为而产生或与之相关的所有费用、开支(包括法律及其他专业费用和开支)、损失、损害和其他任何性质的负债(无论是合同责任、侵权责任还是其他)。
3.2 合作伙伴在本第3条中的赔偿责任不受限制或排除,包括但不限于本数据处理协议中的任何条款。
4. 保密
4.1 每一方必须对其在本数据处理协议下接收到关于另一方及其业务的信息(“保密信息”)予以保密,并且在没有另一方的事先书面同意的情况下,不得使用或披露保密信息。
4.2 本数据处理协议的终止或到期不会解除合作伙伴在本第4节下的保密义务。
5. 生效和终止
5.1 除非根据本第5节规定终止或到期,否则本数据处理协议应立即生效并持续有效。
5.2 在服务协议终止或到期时,本数据处理协议将自动到期。
5.3 如果合作伙伴违反了本数据处理协议的任何重大条款,店匠有权终止本数据处理协议以及服务协议,部分或全部生效于店匠的书面通知。
5.4 在本数据处理协议因任何原因终止或到期时,合作伙伴应立即停止处理个人数据并访问保密信息,并应在三十(30)天内按照店匠指定的方式(如果有)及时且安全地删除或退还所有已处理的个人数据和已接收的保密信息。
5.4.1 在本数据处理协议终止或到期后,如果店匠要求合作伙伴删除或销毁其仍持有的个人数据和/或保密信息,则合作伙伴必须在三十(30)天内提供书面证据以证明删除或销毁。
5.4.2 不受任何相反条款的影响,合作伙伴应对其(或其分转机构)违反本第5节规定的任何违规、违反和疏忽行为负完全责任。
5.4.3 本数据处理协议的终止不应影响任何一方在终止日期之前确立的权利或义务,并且所有通过暗示或明示表达的条款仍然具有完全的效力和效果。
6. 其他
6.1 本数据处理协议是服务协议的一部分,如果本数据处理协议与服务协议之间存在冲突,则在涉及个人数据处理的事项上,应以本数据处理协议为准。
6.2 本数据处理协议的签约方应由店匠隐私政策第6条规定管辖。
6.2.1 如果店匠的签约方是Shoplazza Corp.,则本数据处理协议应适用加拿大安大略省的法律,并按其解释,不考虑冲突法原则。联合国国际货物销售合同公约不适用于本数据处理协议,并特此排除。
双方不可撤销且无条件地同意,任何因本数据处理协议引起或与之相关的争议或索赔,应提交加拿大安大略省的法院专属管辖。
6.2.2 如果店匠的签约方是Shoplazza Hongkong Limited,则本数据处理协议应适用中华人民共和国香港特别行政区的法律,并按其解释,不考虑冲突法原则。联合国国际货物销售合同公约不适用于本数据处理协议,并特此排除。
双方不可撤销且无条件地同意,任何因本数据处理协议引起或与之相关的争议或索赔,应提交中华人民共和国香港特别行政区的法院专属管辖。
6.3 如果本数据处理协议的个别条款无效或无法执行,其他条款的有效性和可执行性不受影响。
6.4 本数据处理协议包含双方就本协议事项达成的完整理解,并取代双方之前就该事项所达成的所有口头和书面协议。
6.5 本数据处理协议中使用的章节标题仅为方便参考之用,不应单独决定本协议任何条款的构建或解释。
