爱思唯尔数据处理附录
上次更新时间:2023 年 1 月 1 日
本爱思唯尔数据处理附录(“DPA”)构成爱思唯尔实体(“爱思唯尔”)与订户、客户或其他合作伙伴以及任何适用的关联公司(“订户”)之间的协议(“协议”)的一部分,爱思唯尔根据该协议提供某些服务,并在其中引用了本DPA。
1. 定义
1.1. “数据保护法”是指适用于根据本协议处理个人数据的所有隐私和数据保护法律、规则、法规、法令、命令和其他政府要求。
1.2. 术语“控制者”、“数据主体”、“个人数据”、“个人数据泄露”、“处理”和“处理者”将具有数据保护法中赋予它们的含义,如果数据保护法使用等效或相应的术语,例如“个人信息”而不是“个人数据”,则它们应在本文中阅读为相同。
2. 范围
2.1. 处理的主题是就本协议项下的服务提供的个人数据。处理期限是根据协议提供服务的持续时间,直到根据协议处置个人数据为止。处理的性质和目的与根据本协议提供服务有关。处理的个人数据类型是由用户提交或根据用户指示提交的,作为协议下服务的一部分。数据主体的类别是指其个人数据由用户提交或按照用户指示作为协议下服务的一部分提交的人。
2.2 本协议(包括本 DPA)以及用户对服务的使用和/或配置,是用户就处理个人数据向爱思唯尔发出的完整和最终书面指示。附加或替代指示必须由双方单独商定。
3. 处理
3.1. 爱思唯尔将实施适当的技术和组织措施,使处理符合数据保护法的要求,确保保护数据主体的权利,并提供至少与数据保护法所要求的保护水平相同的保护标准。
3.2. 如果爱思唯尔代表订户处理个人数据,爱思唯尔应: 3.2.1. 仅根据订户的书面指示处理个人数据,包括将个人数据传输到第三国或国际组织,除非爱思唯尔所遵守的适用法律要求这样做;在这种情况下,爱思唯尔应在处理之前告知订户该法律要求,除非该法律出于公共利益的重要理由禁止此类信息; 3.2.2. 确保获授权处理个人资料的人员已承诺保密或负有适当的法定保密义务; 3.2.3. 采取数据保护法要求的所有安全措施; 3.2.4. 遵守第 4 段中提到的雇用其他处理者的条件; 3.2.5. 考虑到处理的性质,在可能的情况下,通过适当的技术和组织措施协助订户履行订户的义务,以回应行使数据保护法中规定的数据主体权利的请求; 3.2.6. 协助订户确保遵守数据保护法规定的义务,同时考虑到处理的性质和爱思唯尔可获得的信息; 3.2.7. 根据订户的选择,在提供与处理有关的服务结束后删除或返还所有个人数据给订户,并删除现有副本,除非适用法律要求存储个人数据; 3.2.8. 向用户提供证明遵守数据保护法中规定的义务所需的所有信息,并允许并有助于由用户或用户授权的其他审计师进行的审计,包括检查;如果用户认为用户对爱思唯尔的指示违反了数据保护法,请立即通知用户。
4. 子处理者
4.1. 如果爱思唯尔代表订户处理个人数据,爱思唯尔拥有订户的一般授权,可以根据爱思唯尔此类处理者列表中的本DPA聘请其他处理者根据爱思唯尔此类处理者名单中的个人数据,爱 思唯尔可能会不时更新 https://www.elsevier.com/legal/subprocessors。爱思唯尔应至少提前十四(14)天更新其网站上的列表,将任何预期的变更通知订户。订户可在列表更新后十四(14)天内通知爱思唯尔并说明其反对理由,以反对更改,而不会受到处罚。爱思唯尔应尽合理努力避免用户合理反对的新处理者处理个人数据。
4.2. 如果爱思唯尔聘请另一处理者代表订户执行特定处理活动,则本 DPA 中规定的相同数据保护义务应通过合同或适用法律规定的其他法律行为对该处理者施加,特别是提供足够的保证以实施适当的技术和组织措施,以使处理符合数据要求保护法。如果该其他处理者未能履行这些数据保护义务,爱思唯尔应(根据本协议的条款)对订户承担全部责任,以履行该其他处理者的义务。
5. 数据主体权利
5.1. 如果爱思唯尔代表订户处理个人数据,爱思唯尔应在法律允许的范围内,及时通知订户爱思唯尔收到的任何数据主体请求,订户授权爱思唯尔将此类请求重定向给订户以直接回复。
5.2. 在法律允许的范围内,订户应负责因爱思唯尔协助订户响应此类请求而产生的任何合理费用。
6. 转让
爱思唯尔应确保,如果爱思唯尔将源自订户所在国家/地区的任何个人数据传输到另一个国家/地区,则此类传输应受到数据保护法规定的适当保障措施的约束。
7. 安全
7.1. 考虑到现有技术水平、实施成本和处理的性质、范围、背景和目的,以及自然人权利和自由的不同可能性和严重程度的风险,各方应采取适当的技术和组织措施,以确保与风险相适应的安全水平, 除其他外,酌情包括: 7.1.1. 个人数据的假名化和加密; 7.1.2. 确保处理系统和服务的持续机密性、完整性、可用性和弹性的能力; 7.1.3. 在发生物理或技术事件时及时恢复个人数据的可用性和访问的能力; 以及 7.1.4. 定期测试的过程, 评估和评估确保处理安全的技术和组织措施的有效性。
7.2. 在评估适当的安全级别时,应特别考虑处理带来的风险,特别是意外或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据。
7.3. 如果爱思唯尔代表订户处理个人数据,爱思唯尔应采取措施确保在爱思唯尔授权下有权访问此类个人数据的任何自然人除非根据订户的指示处理个人数据,否则不会处理该等个人数据,除非适用法律要求他或她这样做。
8. 个人资料泄露
如果爱思唯尔代表订户处理个人数据,爱思唯尔应在意识到个人数据泄露后立即通知订户,并应合理回应订户对更多信息的请求,以协助订户履行数据保护法规定的义务。
9. 处理活动记录
爱思唯尔应保留数据保护法要求的所有记录,并在适用于代表订户处理个人数据的范围内,根据需要将其提供给订户。
10. 审计
第3.2.8段规定的审计应(i)以执行适当的保密承诺为前提;(ii) 每年不超过一次,除非已证明有理由相信不遵守《协定》,但须经三十(30)天书面通知并提供审查计划;以及 (iii) 在双方商定的时间和商定的方式进行。
11. 冲突
如果本 DPA 的条款与本协议的其余部分之间存在任何冲突或不一致,则在法律要求的范围内应以本 DPA 的条款为准。否则,在发生此类冲突或不一致的情况下,应以本协议为准。
12. 司法管辖区特定条款
如果爱思唯尔处理源自本文附件所列任何司法管辖区的数据保护法或受其约束的任何个人数据,则除上述条款外,其中规定的有关适用司法管辖区的条款还适用。
附件
欧洲经济区、英国和瑞士
1. 如果用户将个人数据从欧洲经济区(“EEA”)、英国(“UK”)或瑞士传输到位于欧洲经济区、英国或瑞士以外的爱思唯尔,除非双方可能依赖数据保护法下的替代传输机制或依据,否则双方将被视为已签订欧盟委员会 2021 年 6 月 4 日第 2021/914 号实施决定批准的标准合同条款有关此类转让的 https://data.europa.eu/eli/dec_impl/2021/914/oj(opens in new tab/window)(“条款”),其中 1.1. 订户是“数据输出者”,爱思唯尔是“数据导入者”; 1.2. 脚注、第 11(a) 条选项和第 17 条选项 1 被省略,适用的附件与协议的相应内容一起完成,包括 DPA; 1.3. 如果每一方都充当控制者,则模块一适用,模块二、模块三和四被省略; 1.4. 如果订户充当控制者,爱思唯尔充当处理者,则模块二适用,模块一、模块三和模块四被省略,第9(a)条选项1被省略,选项2中的时间段为14天; 1.5. 如果每一方都充当处理方,则模块三适用,模块一、模块二和模块四被省略,第9(a)条选项1被省略,选项2中的时间段为14天; 1.6. “主管监管机构”是荷兰的监管机构; 1.7. 本条款受荷兰法律管辖; 1.8. 由本条款引起的任何争议应由荷兰法院解决;和 1.9. 如果本协议的条款与条款之间存在任何冲突,则以条款为准。
2. 关于从英国传输个人数据,上文第 1 节实施的条款将适用,但须作以下修改: 2.1. 本条款根据欧盟委员会根据《2018 年英国数据保护法》第 119A 条发布的标准合同条款的国际数据传输附录第 2 部分的规定进行修订,可能会不时修订或取代(“英国附录”); 2.2. 英国附录第 1 部分中的表 1 至 3 包含协议的相应内容,包括 DPA;和 2.3. 联合王国附录第1部分中的表4通过选择“任何一方”来完成。
3. 关于从瑞士传输个人数据,上文第 1 节实施的条款将适用,但须作以下修改: 3.1. 对“法规(EU)2016/679”的引用应解释为对瑞士联邦数据保护法(“FADP”)的引用; 3.2. 对“法规(EU)2016/679”特定条款的引用应替换为FADP的同等条款或部分; 3.3. 提及的“欧盟”、“联盟”、“成员国”和“成员国法律”应替换为“瑞士”或“瑞士法律”(如适用); 3.4. 对“成员国”一词的解释不得排除瑞士数据主体访问其权利的可能性; 3.5. 不使用附件 I 第 13(a) 条和 C 部分,“主管监管机构”是瑞士联邦数据保护信息专员; 3.6. 本条款受瑞士法律管辖;和3.7.由本条款引起的任何争议将由瑞士法院解决。
南非
如果爱思唯尔作为运营商为作为责任方为订户处理《南非个人信息保护法》(2013年第4号)(POPIA)范围内的任何个人信息,爱思唯尔将进一步建立和维护POPIA第19条所述的安全措施,并在有合理理由相信数据主体的个人信息已被访问时立即通知订户或被任何未经授权的人获得。
美国
U.S. Privacy Laws Addendum to Elsevier Data Processing Addendum