数据处理附录 | 政策

最后更新日期:2022 年 12 月 21 日

本 极悦娱乐数据处理附录(“ DPA ”)构成 极悦娱乐服务订单和 极悦娱乐标准条款和条件的一部分,或客户 极悦娱乐, Inc. 或其关联公司(统称“ Instructure ”)(各称为“一方”,统称“各方”)之间的其他书面或电子协议(“协议”)。各方特此同意,下述条款和条件应作为协议的附录添加。如果本 DPA 与协议之间存在任何差异或冲突,则以本 DPA 为准。如果本 DPA 与标准合同条款之间存在任何差异,则以标准合同条款为准。本文未定义的任何大写术语应具有协议中规定的含义。

本 DPA 的适用范围: 极悦娱乐向客户提供服务(如协议中所定义),其中可能包括 极悦娱乐在提供服务期间处理个人数据。本 DPA 不会取代客户在协议中先前协商的与处理客户个人数据相关的任何权利。 极悦娱乐同意遵守本 DPA,以遵守适用的数据保护法,处理 极悦娱乐在提供服务过程中处理的任何客户个人数据。

  1. 定义。在本 DPA 中,下列术语应具有以下含义:
    1. 关联公司” 是指受一方控制、控制一方或与一方共同控制的任何实体。
    2. 客户个人数据” 是指由客户或代表客户提供的、由 极悦娱乐在提供服务时处理的个人数据。
    3. 数据控制者” 是指决定处理个人数据的目的和方法的实体。
    4. 数据处理者” 是指代表数据控制者处理个人数据的实体。
    5. 数据保护法” 是指适用于本协议项下个人数据处理的法律和法规。
    6. 数据主体” 是指根据本协议,其个人数据正在由数据处理者处理的个人。
    7. EEA ” 指欧洲经济区,由欧盟成员国及冰岛、列支敦士登和挪威组成。
    8. GDPR ” 指欧洲议会和理事会于 2016 年 4 月 27 日颁布的关于在个人数据处理和此类数据自由流动方面保护自然人以及废除第 95/46/EC 号指令及英国同等指令的 (EU) 2016/679 号条例。
    9. 个人信息”是指与已识别或可合理识别的个人有关的任何信息。
    10. 处理” 指对个人数据执行的任何操作或一组操作,无论是否采用自动方式,例如收集、记录、组织、存储、调整或更改、检索、查阅、使用、通过传输、传播或以其他方式披露、排列或组合、阻止、删除或销毁(“处理”、“过程” 和 “已处理” 含义相同)。
    11. 出售 ”、销售”、“销售” 和“已售” 应具有适用数据保护法规定的含义。
    12. 安全漏洞”是指导致 极悦娱乐传输、存储或以其他方式处理的个人数据被意外或非法破坏、丢失、更改、未经授权披露或访问的安全漏洞。
    13. “标准合同条款”是指根据欧洲议会和理事会第 2016/679 号条例 (EU),英国国际数据传输附录(“英国附录”),欧盟委员会通过实施 2021 年 6 月 4 日第 2021/914 号决定而发布的关于将个人数据传输到第三国的标准合同条款的合同条款,以及根据 GDPR 颁布的任何类似措施,以解决将个人数据传输到第三国的问题以及对其不时颁布的任何修订和替代方案。
    14. 补充措施”是指 2021 年 6 月 18 日通过的 EDPB 指南(“关于补充传输工具以确保符合欧盟个人数据保护水平的措施的建议 01/2020”)中所述的技术、组织和合同措施。
    15. 子处理器” 是指代表 极悦娱乐行事的任何数据处理器。
    16. 第三国” 是指既不属于欧洲经济区,又未被欧盟委员会根据 GDPR 第 45 条规定的机制宣布为适当国家的国家。
    17. 英国” 指联合王国、威尔士和北爱尔兰。
  2. 处理客户个人数据。
    1. 双方同意,就客户个人数据的处理而言,客户是数据控制者,而 极悦娱乐是数据处理者,但对于 极悦娱乐提供的某些服务, 极悦娱乐也是客户个人数据的数据控制者。
    2. 客户在使用或接受服务时应根据数据保护法的要求处理客户个人数据,并确保其处理客户个人数据的指示符合数据保护法。客户应对客户个人数据的准确性、质量和合法性、客户获取客户个人数据的方式以及履行数据保护法规定的所有要求承担全部责任,以便根据本协议和协议的规定向 极悦娱乐提供客户个人数据进行处理。
    3. 在协议期限内, 极悦娱乐仅应代表并按照协议和客户的书面指示处理客户个人数据 除非 极悦娱乐所遵守的法律要求这样做;在这种情况下, 极悦娱乐应在处理之前将该法律要求告知客户,除非该法律基于公共利益的重要原因禁止此类信息。
    4. 客户指示 极悦娱乐出于以下有限和特定目的处理客户个人数据:(i) 根据协议、任何适用的命令和数据保护法进行处理;(ii) 按照客户提供的其他合理指示进行处理,前提是这些指示与协议和数据保护法的条款一致。除非客户明确指示,否则 极悦娱乐不得出售或出于定向广告目的共享客户个人数据。除非数据保护法允许,否则 极悦娱乐不得将客户个人数据与其他个人数据相结合。
    5. 极悦娱乐处理客户个人数据的目的是根据协议提供服务。处理的持续时间、处理的性质和目的、个人数据的类型以及根据本 DPA 处理的数据主体类别在附录 1 附件 I B 中进一步指定。
    6. 如果 极悦娱乐确定其不再遵守数据保护法, 极悦娱乐将在做出该决定后的五 (5) 个工作日内通知客户。
  3. 向客户提供协助和数据主体的权利。
    1. 如果客户在使用或接受服务时没有能力采取遵守数据保护法所需的步骤,包括但不限于更正、修改、限制、阻止或删除客户个人数据,以及实施旨在保护客户个人数据的合理安全程序或做法,则在数据保护法要求的范围内, 极悦娱乐将尽商业上合理的努力遵守客户的合理要求,在法律允许的范围内促进此类行动,同时考虑到处理客户个人数据的性质和 极悦娱乐可获得的信息。
    2. 如果 极悦娱乐收到数据主体的请求,要求访问、更正、修改、删除或反对处理该人的个人数据,则应在法律允许的范围内立即通知客户。未经客户事先书面同意, 极悦娱乐不得回应任何此类数据主体请求,除非确认请求与客户有关或数据保护法另有要求。在法律允许的范围内,并且在客户无法通过使用或接收服务访问此类客户个人数据的范围内, 极悦娱乐应在考虑到客户个人数据处理的性质和 极悦娱乐可获得的信息的情况下,就处理数据主体的请求向客户提供商业上合理的合作和协助。
  4. 处理人员。
    1. 极悦娱乐应尽商业上合理的努力确保其从事处理客户个人数据的人员遵守保密义务。
    2. 极悦娱乐应尽商业上合理的努力确保只有需要访问权限来执行服务的人员才能访问客户个人数据。
  5. 子处理器。
    1. 未经客户事先授权, 极悦娱乐不得将客户个人数据转让或以其他方式提供给任何第三方。
    2. 签署 DPA 后,客户即向 极悦娱乐提供一般授权,允许其使用 极悦娱乐关联公司作为子处理器;并在满足以下条件的情况下,使用与提供服务相关的第三方子处理器:
      1. 极悦娱乐应确保通过书面合同的方式向子处理器施加的义务不比本 DPA 中规定的义务实质性地低;
      2. 极悦娱乐仍对客户就其子处理器的工作承担责任,如同且在该等工作由 极悦娱乐执行的范围内;
      3. 极悦娱乐应通过提供指向网站的链接来提供其子处理器的列表,该网站会保持有关子处理器的最新信息;并且
      4. 极悦娱乐应将任何关于添加或更换子处理器的子处理器变更通知客户。在数据保护法要求的范围内, 极悦娱乐应在收到 极悦娱乐关于变更的通知后 30 天内以书面形式通知 极悦娱乐,从而让客户有机会反对此类变更,并且如果在收到该通知后的 20 天内,客户以书面形式通知 极悦娱乐对拟议聘用子处理器有任何合理异议,则 极悦娱乐不得使用该拟议的子处理器来处理客户个人数据,直到采取合理步骤解决客户提出的异议,并向客户提供已采取措施的合理书面解释。
  6. 国际数据传输
    1. 客户承认并同意 极悦娱乐设立于第三国,提供协议中定义的服务需要将客户个人数据转移到第三国并在第三国处理。所有向第三国的转移均须遵守以下条件:
      1. 客户已通过签署附录 1 所述的协议,对转让给予了事先授权;
      2. 客户个人数据根据协议条款进行处理;
      3. 已根据 GDPR 建立有效的转移机制;并且
      4. 必要时,Instructure应当实施补充措施。
    2. 欧盟/英国标准合同条款:第 6.1(iii) 条中提到的有效转移机制是,当 极悦娱乐充当处理者而客户充当控制者时,标准合同条款,模块二:将控制者转移给处理者;当 极悦娱乐充当控制者而客户充当控制者时,标准合同条款,模块一:将控制者转移给控制者;并且在两种情况下,均附有作为附录 2 附于其上的英国附录,并且所有上述内容均被视为通过引用纳入本文,如下所述。关于标准合同条款,双方同意以下内容:
      1. 在第7条中,双方选择加入“对接条款”;
      2. 当模块二适用时,在第 9 条中,双方选择选项 2:“一般书面授权”;
      3. 适用模块二时,在第 9 条中,双方选择二十 (20) 天作为具体时间段;
      4. 第11条中,双方不选择可选的投诉机制;
      5. 在第17条中,适用法律是欧盟成员国的法律:
        1. 选项 1:如果客户位于欧盟成员国,则适用该欧盟成员国的法律;
        2. 选项 2:如果客户未在欧盟成员国设立公司,但已根据 GDPR 第 27(1) 条指定了代表,则适用客户代表所在的欧盟成员国的法律;
        3. 选项 3:数据输出方未在欧盟成员国设立,且无需根据 GDPR 第 27(2) 条、匈牙利法律或协议中的定义指定代表;以及
      6. 在第 18 条中,因标准合同条款引起的任何争议的适用法院国家为双方已根据上述 6.2(v) 规定表明法律选择的欧盟成员国法院。
    3. 如果 极悦娱乐使用第三国的子处理器来处理客户个人数据,则除上述第 5 条外,还应适用以下规定:
      1. 客户已通过签署 DPA 事先授权转让;
      2. 已根据 GDPR 建立有效的转移机制;并且
      3. 极悦娱乐会毫不拖延地向客户提供有关转移机制以及适用的标准合同条款的信息。
  7. 安全;审计权利;隐私影响评估。
    1. 极悦娱乐应维持旨在保护客户个人数据的安全性、机密性和完整性的技术和组织措施。
    2. 客户每年最多可聘请双方同意的第三方对 极悦娱乐进行一次审计,仅用于满足《数据保护法》规定的审计要求。要申请审计,客户必须在拟议的审计日期前至少四 (4) 周提交一份详细的审计计划,其中应说明拟议的审计范围、持续时间和开始日期。审计请求必须发送至 privacy@Instructure.com。审计必须在正常工作时间内进行,遵守 极悦娱乐的政策,并且不得不合理地干扰 极悦娱乐的业务活动。任何审计费用均由客户承担。
    3. 如果此类审计协助需要使用不同于法律要求的资源或法律要求的额外资源,则任何要求 极悦娱乐协助审计的请求均视为一项单独服务。客户应按照双方商定的费率向 极悦娱乐偿还此类审计所花费的任何时间。在开始任何此类审计之前,客户和 极悦娱乐应就审计的范围、时间和持续时间以及客户应负责的偿还率达成一致。考虑到 极悦娱乐所耗费的资源,所有偿还率均应合理。客户应及时将审计期间发现的任何不合规情况的信息通知 极悦娱乐。
    4. 当客户进行数据保护法所要求的隐私影响评估时, 极悦娱乐将合理地与客户合作,费用由客户承担。
  8. 安全漏洞管理和通知。
    1. 如果发生安全漏洞, 极悦娱乐应:(i) 在发现安全漏洞后立即通知客户安全漏洞。通知应至少包括数据保护法要求的信息;(ii) 调查安全漏洞并向客户提供有关安全漏洞的信息;(iii) 采取合理措施减轻影响并将安全漏洞造成的损害降至最低,并允许客户采取合理且适当的措施,只要这些措施在客户的控制范围内。
    2. 极悦娱乐应与客户以及客户指定的任何第三方合作,应对安全漏洞。
  9. 返回和删除客户数据。
    1. 极悦娱乐应为客户提供从服务中下载客户个人数据的功能(在可能的范围内),和/或根据符合数据保护法要求的 极悦娱乐数据保留政策以符合协议条款的方式删除客户个人数据。
  10. 遣散费。
    1. 如果本 DPA 的任何条款无效或不可执行,则本 DPA 的其余部分仍然有效。无效或不可执行的条款应根据需要进行修改,以确保其有效性和可执行性,同时尽可能保留双方的意图,或者,如果这不可能,则以无效或不可执行部分从未包含在其中的方式进行解释。
  11. 法律效力。
    1. 仅当双方签署服务协议时,本 DPA 才对客户和 极悦娱乐具有法律约束力。
  12. 责任限制。
    1. 在数据保护法允许的范围内,对于 极悦娱乐违反本 DPA 或数据保护法的条款的任何行为,客户所获得的补救措施将受制于根据本协议适用于 极悦娱乐和/或客户的任何总责任限制。

附录 1 - 欧盟标准合同条款

附件一

A. 缔约方名单

数据输出者:如协议所定义

名称:如协议所定义

地址:如协议所定义

联系人姓名、职位及联系方式:如协议所定义

根据本条款传输的数据相关活动:如协议所定义

签名和日期:如协议所定义 

角色:控制器

数据输入者:如协议所定义

名称:如协议所定义

地址:如协议所定义

联系人姓名、职位及联系方式:如协议所定义 

根据本条款传输的数据相关活动

数据导入方提供软件即服务的互联网可访问学习管理软件,供数据导出方按照协议规定使用。

签名和日期:如协议所定义 

角色:处理器

B. 转让描述

被转移个人数据的数据主体类别:

经数据输出方授权的服务用户。

传输的个人数据类别:

Canvas LMS 和 Canvas 企业教育数据(包括移动应用程序):

- 姓名(例如 John Doe)

- 用户名/ID

- 密码

- 简称(例如 John)

- 电子邮件(例如 John.Doe@awesomeu)

- 学校名称(例如,Awesome University)

- 学校职位(例如学生)

- 头像 URL(例如头像图片的 URL)

- 代词(例如,她/她)(可选)

- 区域设置(例如,en-语言选择)

- 浏览器区域设置(例如,浏览器语言设置)

- 国家代码(例如 CAN)

- 提交的内容(例如研究论文、作业)

- 评估结果(例如86%)

- 课程成绩(例如,B+)

- 对话评论(例如讨论)

- 课程内容(例如课程#4)

- IP 地址(例如 127.0.0.1)

- 消息(例如通知和课程对话)

- 用户创建的视频内容(例如图像、录音、评论)

Canvas 公共资源:

  • Canvas 用户 ID
  • Canvas 用户登录名
  • 姓名(例如 John Doe)
  • 电子邮件(例如 John.Doe@awesomeu)
  • Avatar Url(例如,头像图片的 URL)
  • 用户收藏的 Commons 资源 id
  • 用户对任何资源发表的评论
  • IP 地址(例如 127.0.0.1)

画布目录:

  • 通过第三方信用卡处理器的信用卡处理令牌
  • Canvas LMS 用户 ID
  • 订单编号
  • 帐户ID
  • 项目 ID 和项目类型(例如,统计学入门、在线课程)
  • 姓名(例如 John Doe)
  • 电子邮件(例如 John.Doe@awesomeu)
  • 外部 ID(Canvas 注册 ID)
  • Canvas 根帐户 ID(机构 ID)
  • 产品 ID(例如,类别名称/ID)
  • 课程完成日期
  • 入学状况
  • 购买日期

画布工作室:

  • 用户创建的视频内容(例如图像、录音、评论)
  • 姓名(例如 John Doe)
  • 电子邮件(例如John.Doe@awesomeu.com
  • Canvas LMS 用户 ID
  • 用户名/ID
  • 密码
  • 消息

Canvas 凭证:

  • 姓名(例如 John Doe)

- 电子邮件(例如 John.Doe@awesomeu)

- 徽章接收者的实际地址

- 徽章接收者的电话号码

- IP地址

- 徽章信息,如颁发机构或计划

- 用户名和密码

提升数据(提升数据质量、提升 K-12 分析、提升标准一致性、提升数据同步):

  • 来自学生信息系统的所有数据均由适用的客户参与授权。

极悦娱乐数据的影响:

  • 用户身份
  • 密码
  • 学校角色(例如学生、老师)
  • 全名(例如名字、中间名、姓氏)
  • 学生证号码
  • 电子邮件地址(例如 John.Doe@awesomeu)
  • 学校名称(例如,Awesome University)
  • 教育程度
  • 出生日期(可选)
  • 语言(例如英语)
  • 邮政编码
  • 城市(例如伦敦)
  • 国家(例如 CAN)
  • 状态
  • 浏览器区域设置(例如,浏览器语言设置)
  • 个人资料图片(可选)
  • 性别(可选)
  • 学习管理系统用户名
  • Slack 通知(管理员)
  • 应用程序活动(例如,应用程序中的页面点击)

掌握数据(项目库、掌握视图预测评估、掌握视图中期评估、掌握连接):

  • 姓名(例如 John Doe)
  • 学校学生证号码
  • 州学生证号码
  • 用户名/ID
  • 密码
  • 简称(例如 John)
  • 电子邮件(例如 John.Doe@awesomeu)
  • 电话号码(可选)
  • 学校名称(例如,Awesome University)
  • 学校职位(例如学生)
  • 评估结果(例如86%)
  • 出生日期
  • 种族(例如西班牙裔、白种人、亚裔)
  • 种族(例如夏威夷原住民、爱尔兰人、奥地利人)
  • 英语学习者状态(真/假/空)
  • 个性化教育计划状态(真/假/空)
  • 免费或减价午餐状态(真/假/空)

传输的敏感数据:

没有任何

传输的频率(例如,数据是一次性传输还是连续传输):

在协议有效期内持续有效。

处理性质:

履行本协议中描述的服务。

数据传输和进一步处理的目的:

代表客户并根据客户的书面指示处理客户个人数据,用于以下目的:(i) 根据协议进行处理;(ii) 根据欧盟/英国数据保护法的要求由数据主体发起的处理;以及 (iii) 为遵守客户提供的其他书面、合理指示而进行处理,前提是此类指示与协议条款一致。

对于欧盟、欧洲经济区或英国的客户, 极悦娱乐提供的服务的数据中心位于以下地区:爱尔兰和/或德国。

Canvas Commons 仅在美国托管。

极悦娱乐在欧盟以外进行的有限处理与以下活动有关:

  • 合同管理。此处理包括提供合同和客户关系管理服务。
  • 客户支持。此处理包括用户帮助台支持和技术操作支持。 极悦娱乐的用户支持票务系统托管在美国。通过支持票提交的任何客户个人数据均在美国存储和处理。
  • 专业服务。此处理包括客户购买的集成服务、实施服务和配置服务。
  • 工程和安全支持。此处理包括用户问题单、应用程序日志、安全日志、数据库日志、系统日志和安全警报工具,可由位于欧盟、美国和英国的安全和工程人员审查。
  • 用于内部分析的数据匿名化。 极悦娱乐将服务数据库传输到位于美国的数据中心,为期 48 小时,在此期间,客户个人数据在被 极悦娱乐使用之前会被匿名化。

个人数据的保留期限(如果不可能,则确定该期限的标准):

处理方将在协议有效期内处理客户个人数据。协议终止后,将根据本 DPA 或协议删除客户个人数据。

对于向(子)处理器的转移,还需指定处理的主题、性质和持续时间:

期限直至本协议终止。

C. 主管监督机构

根据第 13 条确定主管监督机构:主管监督机构是 DPA 第 6.2 节中所示的监督机构。

附件二

技术和组织措施,包括确保数据安全的技术和组织措施

极悦娱乐的技术和组织措施描述如下:http://www.esuedu.org/products/canvas/security

附件三

子处理器列表

如果有子处理器的特定授权(第 9(a)条,选项 1),则必须填写本附件。

附录 2

英国国际数据传输对欧盟委员会标准合同条款的附录

版本 B1.0,于 2022 年 3 月 21 日生效

本附录由信息专员为进行限制性转让的各方发布。信息专员认为,当其作为具有法律约束力的合同签订时,它为限制性转让提供了适当的保障。

第 1 部分:表格

表 1:缔约方

开始日期

本附录所附的 DPA 的生效日期

那些政党,那些派对

出口商(发送限制性转让的人)

进口商(接收限制转让的人)

各方详情

全称:如协议所述。

商号(若不同):如协议中所述。

主要地址(如果是公司注册地址):如协议中所述。

官方注册号码(如有)(公司编号或类似标识符):如协议中所述。

全称:如协议所述。

商号(若不同):如协议中所述。

主要地址(如果是公司注册地址):如协议中所述。

官方注册号码(如有)(公司编号或类似标识符):如协议中所述。

主要联系人

全名(可选):如协议中所述。

职位名称:如协议所述。

联系方式(包括电子邮件):如协议中所述。

全名(可选):如协议中所述。

职位名称:如协议所述。

联系方式(包括电子邮件):如协议中所述。

签名(如第 2 条要求)

如协议所述。

如协议所述。

表 2:选定的 SCC、模块和选定的条款

附录 EU SCC

X 已批准的欧盟 SCC,包括附录信息,并且仅为本附录的目的而使已批准的欧盟 SCC 的以下模块、条款或可选规定生效:

模块

模块运行中

第 7 条(停泊条款)

第 11 条
(选项)

第 9a 条(事先授权或一般授权)

第 9a 条(期限)

从进口商处收到的个人数据是否与出口商收集的个人数据相结合?

1

是的

是的

2

是的

是的

一般的

20天

不适用

3

不适用

不适用

不适用

不适用

不适用

4

不适用

不适用

不适用

表 3:附录信息

附录信息” 是指经批准的欧盟 SCC(除缔约方外)附录中规定的所选模块必须提供的信息,本附录中规定的信息如下:

附件 1A:缔约方名单:附录 1,附件 IA

附件 1B:转移说明:附录 1,附件 IB

附件二:技术和组织措施,包括确保数据安全的技术和组织措施:附录1,附件二

附件三:子处理器列表(仅限模块 2 和 3):不适用于聘用子处理器的一般授权,但可获得 极悦娱乐子处理器列表,如 DPA 第 5.2(iii) 节所述。

表 4:批准的附录发生变化时终止本附录

当批准的附录发生变化时,本附录终止

哪些缔约方可以按照第 19 条规定终止本附录:

☒ 进口商

☒ 出口商

☐ 任何一方

第二部分:强制性条款

备选第 2 部分强制性条款:

强制性条款

第 2 部分:批准附录的强制性条款,即 ICO 发布并根据 2018 年数据保护法第 119A 条于 2022 年 2 月 2 日提交议会的模板附录 B.1.0,并根据该强制性条款第 18 条进行了修订。

附录 3:特定司法管辖区条款

如果服务涉及来自以下国家的客户个人数据,则将适用下述相关规定。

  1. 与土耳其相关的规定
    1. 当 极悦娱乐处理源自土耳其的客户个人数据时,适用本第 1 段的规定。
    2. 极悦娱乐将遵守 2016 年 4 月 7 日颁布的第 6698 号土耳其数据保护法(“土耳其 DPA ”)及其所有相关法规和土耳其数据保护机构的所有决定。
    3. 极悦娱乐将立即协助客户:
      1. 考虑到处理的性质,在可能的情况下实施适当的技术和组织措施,履行客户的义务,响应个人根据适用于客户的数据保护法行使其权利的请求(例如但不限于纠正、删除或阻止客户个人数据的权利);以及
      2. 确保遵守《土耳其数据保护法》第 12 条规定的客户义务(安全、向当局和个人通知个人数据泄露),同时考虑到处理的性质和 极悦娱乐可获得的信息。
    4. 当 极悦娱乐在土耳其境外处理受源自土耳其的土耳其 DPA 约束的客户个人数据时, 极悦娱乐应配合客户完成土耳其数据保护机构要求的任何手续。
  2. 与瑞士相关的规定
    1. 当 极悦娱乐处理源自瑞士的客户个人数据时,适用本第 2 段的规定。
    2. “适用数据保护法”的定义包括修订后的瑞士联邦数据保护法(“ FADP ”)。
    3. 当 极悦娱乐根据本 DPA 第 7.1 条(后续子处理的授权)聘用子处理器时,它将:
      1. 要求任何指定的子处理者按照适用的数据保护法所要求的标准保护客户个人数据,例如包括 GDPR 第 28(3) 条中提到的相同数据保护义务,特别是提供充分的保证以实施适当的技术和组织措施,使处理符合 GDPR 的要求,以及
      2. 要求任何指定的子处理器 (i) 书面同意仅在瑞士宣布具有“足够”保护级别的国家/地区处理客户个人数据,或 (ii) 仅在相当于欧盟标准合同条款的条款下处理客户个人数据。
    4. 如果从瑞士传输的客户个人数据受欧盟标准合同条款的约束,则以下修订将适用于欧盟标准合同条款:
      1. “欧盟成员国”和“成员国”应解释为包括瑞士,并且
      2. 如果转移或后续转移受 FADP 约束:
        1. 对“法规 (EU) 2016/679”的引用应解释为对 FADP 的引用;
        2. 附件一C部分中的“主管监督机构”为瑞士联邦数据保护和信息专员;
        3. 在第 17 条(选项 1)中,欧盟标准合同条款将受瑞士法律管辖;并且
        4. 根据欧盟标准合同条款第 18(b) 条,争议将在瑞士法院解决。
  3. 与澳大利亚相关的规定
    1. 当 极悦娱乐处理源自澳大利亚的客户个人数据时,本第 3 段的规定适用。
    2. 应用 指《隐私法》中的澳大利亚隐私原则。
    3. 个人信息 具有《隐私法》中赋予该术语的含义。
    4. 隐私法 指 1988 年澳大利亚隐私法案 (Cth)。
    5. 对于根据本协议收到或有权访问的任何客户个人数据, 极悦娱乐应:
      1. 遵守 APP(APP 1 除外),如同其与客户在相同程度上受 APP 约束一样;并且
      2. 在不限制第 (i) 款的情况下,与其向其披露个人信息的任何第三方达成类似的合同安排(第三方同意遵守有关此类信息的 APP(APP 1 除外),就好像该第三方在与客户相同的范围内受 APP 的约束一样)。
  4. 与香港有关的条文
    1. 当 极悦娱乐处理源自香港的客户个人数据时,本第 4 段的规定适用。
    2. 如果 极悦娱乐代表客户进行直接营销, 极悦娱乐应实施有效措施,告知数据主体营销范围,并提供有效手段,允许数据主体根据《个人数据(隐私)条例》(第 486 章)(“ PDPO ”)的要求给予同意。
    3. 极悦娱乐应遵守 PDPO 中包含的数据保留要求 (DDP2) 和数据安全要求 (DPP4)。
  5. 与印度相关的规定
    1. 本第 5 段的规定适用于 极悦娱乐处理源自印度的客户个人数据的情况。在提供服务时, 极悦娱乐应遵守适用于法人的 2000 年《信息技术法》和 2011 年《信息技术(合理的安全实践和程序以及敏感的个人数据或信息)规则》(每项均会不时修订、修改、补充)的要求,以及自协议签署之日起生效的或在协议期限内可能在印度随时生效的任何其他与数据保护或隐私相关的法律、规则、法规、通知、判决。
  6. 与日本相关的规定
    1. 当 极悦娱乐处理源自日本的客户个人数据时,本第 6 段的规定适用。
    2. 极悦娱乐不得通过任何欺骗、欺诈或其他不法手段从日本客户或其他方获取任何客户个人数据。  
    3. 极悦娱乐应尽合理努力确保所转移的客户个人数据准确、最新且在提供服务所需的范围内。
    4. 极悦娱乐将根据相关命令、协议、本 DPA 和《个人信息保护法》(2003 年第 57 号法案,经修订)(“ APPI ”)采取适当的技术和组织安全措施,旨在充分保护日本的所有客户个人数据,不仅免遭滥用和丢失,还免遭泄露和损坏。
    5. 极悦娱乐将实施适当的技术和组织措施,在考虑到处理性质的前提下,尽可能履行客户的义务,响应个人根据适用于客户的数据保护法行使其权利的请求(例如,但不限于,纠正、删除或阻止客户个人数据的权利);
    6. 如果 极悦娱乐直接从日本数据主体获取数据主体的客户个人数据,则在 极悦娱乐向这些数据主体提供服务时, 极悦娱乐将根据 APPI 和所有随附的规定处理这些数据主体的客户个人数据 日本个人信息保护委员会发布的法规和指南,以及 极悦娱乐所遵守的所有其他隐私立法和其他法律,即使它处理日本境外的数据主体的客户个人数据。
    7. 极悦娱乐将把数据主体、任何数据保护或其他政府机构、执法机构、法院命令或法庭的任何通知、请求、命令或查询通知客户,客户或 极悦娱乐有义务根据 APPI 或其他适用法律遵守这些通知、请求、命令或查询,以便及时解决与前述内容或任何相关调查有关的任何事项。
  7. 与马来西亚相关的规定
    1. 当 极悦娱乐处理源自马来西亚的客户个人数据时,本第 7 段的规定适用。
    2. 就本第 6 段的目的而言,“个人数据”、“敏感个人数据”和“数据用户”具有《2010 年个人数据保护法》中赋予这些术语的含义。
    3. 极悦娱乐应遵守《2010 年个人数据保护法》,只要该法案适用于数据处理器和据此处理的客户个人数据。
    4. 任何个人资料不得转移到马来西亚以外的国家,除非转移到部长在宪报刊登的通知(如有)中指定的国家,或经数据主体同意,或在《2010 年个人资料保护法》关于个人资料转移规定的情况下另行允许。
    5. 未经数据主体明确同意或《2010 年个人数据保护法》关于处理敏感个人数据规定的情况下另行允许,不得处理敏感个人数据含义内的特殊类别数据/敏感数据,包括任何此类数据的转移。
    6. 极悦娱乐将及时协助数据用户履行数据用户的义务,在《2010 年个人数据保护法》规定的时间内响应个人根据适用于数据用户的数据保护法行使其权利的请求。
  8. 与新西兰有关的规定
    1. 本第 8 段的规定适用于 极悦娱乐处理源自新西兰的客户个人数据的情况。 极悦娱乐应遵守《1993 年新西兰隐私法》中规定的信息隐私原则(如同 极悦娱乐是客户一样),并应以确保客户能够履行其在该法案下的义务(包括与信息隐私请求和调查有关的义务)的方式与客户合作。
  9. 与菲律宾相关的规定
    1. 本第 9 段的规定适用于:(i) 极悦娱乐处理有关菲律宾公民或居民的客户个人数据的情况;(ii) 极悦娱乐、数据处理者或客户位于或设立在菲律宾的情况;(iii) 客户个人数据的处理是在菲律宾进行的情况;或 (iv) 客户个人数据的处理是由与菲律宾有联系的实体进行或参与的情况。
    2. 极悦娱乐将遵守以下义务:
      1. 遵守适用的当地法律法规和菲律宾国家隐私委员会的发布;
      2. 通过适当的技术和组织措施,在可能的范围内协助客户履行响应数据主体行使其权利的请求的义务;
      3. 协助客户确保遵守适用的当地法律法规和菲律宾国家隐私委员会的发布,同时考虑到处理的性质和 极悦娱乐可获得的客户个人数据;
      4. 向客户提供所有必要信息,以证明遵守适用当地法律法规规定的义务;以及
      5. 如果其认为客户的指示侵犯了任何适用的当地法律、法规或菲律宾国家隐私委员会的发布,则立即通知客户。
    3. 极悦娱乐应在澳大利亚和新加坡处理服务中包含的客户个人数据。
  10. 与新加坡相关的规定
    1. 极悦娱乐应遵守《2012 年个人数据保护法》,只要该法适用于数据处理器和根据本法处理的客户个人数据。 极悦娱乐应在澳大利亚和新加坡托管服务中包含的客户个人数据
  11. 与韩国相关的规定
    1. 本第 11 段的规定适用于:(i) 极悦娱乐处理源自韩国的客户个人数据的情况;或 (ii) 极悦娱乐是位于韩国的实体的情况。
    2. 极悦娱乐将遵守《个人数据保护法》(经修订)以及《促进数据和通信网络利用及数据保护等的法律》(经修订)。
    3. 根据本协议中的责任限制和豁免, 极悦娱乐应对其违反本 DPA 中的任何规定而造成的损失向客户承担责任。
    4. 极悦娱乐在新加坡为位于韩国的客户提供服务。
  12. 与台湾有关的规定
    1. 本第 12 段的规定适用于 极悦娱乐处理源自台湾的客户个人数据或世界任何地方的台湾国家数据主体的客户个人数据的情况。 极悦娱乐在新加坡为位于台湾的客户提供服务。
    2. 极悦娱乐将遵守现行台湾个人信息法(“ PIPA ”)、个人信息保护法施行规则(“ PIPA 施行规则”)以及台湾现行有效的任何其他数据保护法规的规定。
    3. 极悦娱乐将立即协助客户:
      1. 考虑到处理的性质,在可能的情况下,通过实施适当的技术和组织措施,履行客户的义务,响应个人根据 PIPA 行使其权利的请求(例如,但不限于,审查、复制、纠正、停止收集、处理或使用或删除客户个人数据的权利);
      2. 确保遵守客户根据 PIPA 第 12 条(及时调查数据泄露并通知个人)以及根据该法第 27 条发布的任何适用行业特定法规(包括但不限于任何行业特定义务,即通知监管机构数据泄露)所承担的义务,同时考虑到处理的性质和 极悦娱乐可获得的信息;并且
      3. 如果 极悦娱乐认为客户收集、处理或使用客户个人数据的指令违反了 PIPA,则立即通知客户。
    4. 极悦娱乐应采取 PIPA 实施规则第 12(2) 条规定的技术和组织措施,以防止客户个人数据被盗、更改、损坏、销毁或泄露。
    5. 除了告知客户 极悦娱乐处理操作的任何严重中断、任何安全漏洞的怀疑或违反 PIPA、PIPA 执行规则或其他台湾数据保护法规的情况外, 极悦娱乐还应告知客户为补救中断、漏洞或违规而采取的所有补救措施。
    6. 极悦娱乐应遵守客户的任何保留指令,并有义务向客户提供证明遵守任何此类保留指令的信息。
  13. 与中国有关的规定
    1. 本第 13 段的规定适用于 极悦娱乐处理源自中华人民共和国的客户个人数据的情况。
    2. 客户个人信息的定义应包括根据适用当地法律明确认定为“个人信息”的所有信息。
    3. 极悦娱乐应免费协助每位客户从个人处获得关于在中国收集、处理或使用客户个人数据所需的所有必要同意。
    4. 极悦娱乐应始终遵守所有适用的当地法律,包括(如适用)有关个人信息保护的《网络安全法》,就好像 极悦娱乐是所有个人身份信息的用户一样。
    5. 极悦娱乐在新加坡为位于中国的客户提供服务。
    1. 南美: 极悦娱乐在美国为位于南美的客户提供服务。
  14. 与巴西相关的规定
    1. 当 极悦娱乐处理源自巴西的客户个人数据时,本第 14 段的规定适用。
    2. “数据保护法”的定义包括《一般数据保护法》(LGPD)。
    3. “安全漏洞”的定义包括可能对数据主体造成任何相关风险或损害的安全事件。
    4. “处理者”的定义包括 LGPD 定义的“操作者”。
    5. 如果通过互联网处理客户个人数据,则必须遵守巴西互联网法 (法律 12,965/2014) 的规定。 极悦娱乐将在适用范围内遵守所谓的人身保护法 (法律 9,507/1997)。
  15. 与智利相关的规定
    1. 当 极悦娱乐处理源自智利的客户个人数据时,本第 15 段的规定适用。
    2. 极悦娱乐将遵守本附录 3 第 15 段。
    3. 极悦娱乐将遵守经修订的《数据保护法》第 19.628 号。《数据保护法》的实质性条款于 1999 年 10 月 27 日和 2000 年 8 月 22 日生效。
  16. 与哥伦比亚相关的规定
    1. 当 极悦娱乐处理源自哥伦比亚的客户个人数据时,本第 16 段的规定适用。
    2. 极悦娱乐将遵守本附录 3 第 16 段。
    3. 就本第 16 段而言:
      1. 哥伦比亚 GDP ” 是指哥伦比亚通用数据保护法律框架(2012 年第 1581 号法律和 2015 年第 1074 号法令);以及
      2. 根据哥伦比亚 GDP, 极悦娱乐和客户之间的客户个人数据流将被理解为“数据传输”。
    4. 极悦娱乐将遵守以下义务:
      1. 仅为信息主体授权的目的处理客户个人信息;
      2. 根据客户的指示和隐私声明处理客户个人数据;以及
      3. 根据哥伦比亚GDP规定的原则处理客户个人数据。
  17. 与墨西哥相关的规定
    1. 当 极悦娱乐处理源自墨西哥的客户个人数据时,本第 17 段的规定适用。
    2. 极悦娱乐将遵守本附录 3 第 17 段。
    3. 极悦娱乐将遵守墨西哥数据保护条例 (Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares) 第 52 条规定的安全措施(如适用)。
    4. 极悦娱乐将根据客户的隐私声明处理客户个人数据,但客户应确保客户的隐私声明充分描述了 极悦娱乐根据协议以符合墨西哥法律的方式处理客户个人数据的情况。
  18. 与阿根廷共和国有关的规定
    1. 当 极悦娱乐处理源自阿根廷共和国的客户个人数据时,适用本第 18 段的规定。
    2. 极悦娱乐同意遵守阿根廷共和国数据保护局根据第 60-E/2016 号处置规定采用的示范合同《个人国际数据转移示范合同》 (简称“阿根廷 SCC ”)中规定的数据导入者的义务,该合同用于将个人数据传输到在第三国设立的数据处理者。
    3. 极悦娱乐承认阿根廷共和国的每个客户关联公司都是客户。特别是,在不限制上述义务的情况下:
      1. 极悦娱乐同意向数据主体授予第三方受益人权利,如阿根廷 SCC 第 3 条所述,但前提是 极悦娱乐的责任仅限于其自身的处理操作;并且
      2. 极悦娱乐同意其在阿根廷 SCC 下的义务应受作为数据输出者的客户关联公司所在地阿根廷共和国的法律管辖;并且
      3. 适用于阿根廷 SCC 的附录的详细信息载于本 DPA 附录 1。
    4. 就阿根廷 SCC 附件 A 而言,数据输出方是教育机构;数据输入方是国际教育科技公司,有关数据主体、数据类别、处理操作和安全措施的详细信息载于本 DPA 附件 1。
    5. 极悦娱乐不得将客户个人数据用于本 DPA 中指定目的以外的任何目的,也不得将此类客户个人数据传达给其他方(除非本 DPA 和协议允许)。一旦履行了相应的合同义务,处理的客户个人数据必须销毁,除非获得为其提供此类服务的人员的明确授权,因为客户个人数据有可能用于未来的服务,在这种情况下,客户个人数据可以在适当的安全条件下存储最长两 (2) 年。双方同意根据《数据保护法》第 9 条及其条例采取保密措施保护客户个人数据。 极悦娱乐应仅按照客户的指示处理客户个人数据。
    1. 北美
  19. 与加拿大相关的规定
    1. 当 极悦娱乐处理源自加拿大的客户个人数据时,本第 19 段的规定适用。
    2. 极悦娱乐应遵守《个人信息保护和电子文件法》以及根据第 26(2)(b) 条宣布基本相似的任何省级法规,在适用的情况下,如果客户个人数据的存储位置发生变化, 极悦娱乐应及时通知客户。