独立控制器数据处理附录
2021年7月生效
- 接受。本独立控制器数据处理附录(“DPA”)由Sovrn和客户签订。本DPA规定了客户和sovn之间具有法律约束力的条款,这些条款管辖本协议项下个人数据(定义见下文)的处理。
- 定义。为了本DPA的目的,以下定义适用。本协议中使用但未另行定义的大写术语应具有本协议中规定的含义。
- “关联公司”系指分别拥有或控制、被客户或Sovrn拥有或控制或与客户或Sovrn共同控制或拥有的实体,其中控制的定义为直接或间接拥有指导或导致指导实体的管理和政策的权力,无论是通过对有表决权证券的所有权,还是通过合同或其他方式。
- “控制者”是指确定个人数据处理的目的和方法的实体。为免生疑问,控制者在适用的情况下也是“数据控制者”(根据欧洲数据保护法的定义)和“企业”(根据CCPA的定义)。
- “资料当事人”指与个人资料有关的个人。
- “数据保护法律法规”就一方而言,指适用于该方处理个人数据的所有隐私和数据保护法律,包括(如适用)欧洲数据保护法;(ii)《2018年加州消费者隐私法》及根据该法案颁布的任何法规(不时修订的“CCPA”);以及(iii)任何其他适用地区的任何其他类似的数据保护法律,每一项均经修订、取代、补充或取代。
- “EEA”系指欧洲经济区以及欧盟委员会发布充足决定认定该国家根据GDPR第45条确保了充分保护水平的任何国家。
- “欧洲数据保护法”系指2016年4月27日欧洲议会和理事会的第(EU) 2016/679号条例(“GDPR”)以及欧盟、其成员国、瑞士、冰岛、列支敦士登、挪威和英国的任何其他数据保护法,在每一种情况下,以其适用于本协议项下的相关个人数据或处理为限。
- “个人数据”是指根据本协议处理的构成“个人数据”、“个人信息”、“个人身份信息”或适用数据保护法律法规定义的类似信息的任何信息。
- “处理”或“处理”是指对个人数据或对个人数据集进行的任何操作或一组操作,无论是否通过自动化手段,例如收集、记录、组织、构建、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供的披露、对齐或组合、限制、删除或销毁。
- “处理者”指代表控制者处理个人数据的实体。
- “服务”系指双方根据本协议有义务提供或被允许接收的服务,各方确定处理个人数据的目的和方式。
- "敏感数据"是指揭示种族或民族出身、政治观点、宗教或哲学信仰或工会会员资格的任何个人数据、遗传数据、生物特征数据、有关健康的数据或有关自然人性生活或性取向的数据,以及根据数据保护法律和条例被视为敏感的任何其他类型的数据。
- “控制者对控制者的标准合同条款”或“标准合同条款”系指欧盟委员会批准的关于将个人数据转移给在第三国设立的控制者的标准合同条款(不包括任何可选条款),并由欧盟委员会不时修订或替换,并在http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32004D0915上提供。
- “转移”指访问、转移、交付或披露个人数据的个人、实体或系统,而该个人、实体或系统位于个人数据来源国家或司法管辖区以外的国家或司法管辖区。
- 各方的作用。在履行各自在本协议项下的义务时,各方可能会收到可能受数据保护法律法规约束的个人数据。双方承认并同意,每一方都是该等个人数据的独立控制方,并应单独确定其处理该等个人数据的目的和方式。双方进一步承认,任何一方均不负责确定适用于另一方的数据保护法律法规的要求。
- 处理描述;敏感数据限制。就公约附件1附件B而言,
- 传输的个人数据涉及以下类别的数据主体:“客户”数字财产的最终用户。
- 所传输的个人数据类别包括:(i) cookie(会话、持久、LSO、其他);(ii)兴趣活动、行为定位或其他分析数据;购买历史;(iv) IP地址;(v)用户代理字符串/操作系统/芯片组/屏幕。为免生疑问,双方承认并同意,任何一方均不得向另一方提供或提供与服务有关的敏感数据。本DPA中的任何内容均不得被解释为限制本协议下关于客户可能提供的个人数据类型的任何限制。
- 转让的目的是履行本协议中规定的义务。
- 根据服务的不同,个人数据可能仅向以下接收方或接收方类别披露:本协议各方及其关联公司、分处理方、承包商、管理人员和代理。
- 数据出口商的数据保护注册信息(如适用)应记录在代表数据出口商隐私政策的一方。
- 其他有用信息(存储限制和其他相关信息):双方之间传输的个人数据仅可在本DPA和本协议允许的时间内保留。
- 双方的义务。
- 处理的合法性。各方承认并确认:(a)其将遵守与其个人数据处理相关的适用数据保护法律法规以及本数据保护协议;(b)仅向任何处理者和/或分处理者发出合法指示;(c)它将负责确定其自身处理活动的法律依据;及(d)该方将向另一方提供其合理要求的合理协助、信息和合作,以确保遵守双方在数据保护法律法规项下的各自义务。
- 处理同意。在适用的情况下,各方同意,其已根据数据保护法律法规的要求,就与服务相关的所有个人数据的每个处理目的,获得或已采取商业上合理的努力促使获得有效的数据主体同意(包括同意的续期),并且,在双方之间,仍全权负责获得该等有效同意,并将所有相关撤销或撤销同意的通知另一方。每一方应(a)通知另一方其根据本协议向该方(“数据接收方”)提供的允许使用、披露或以其他方式处理个人数据的任何变更或撤销,这些变更或撤销将影响数据接收方遵守本协议、本数据保护协议或适用的数据保护法律法规的能力;以及(b)在适用的情况下,接受并遵守另一方传送的指示和/或任何同意信号,以符合OpenRTB指南、IAB欧洲的GDPR透明度和同意框架和/或IAB的CCPA框架的格式处理个人数据。为免生疑问,本第5(b)条的任何规定均不限制客户在本协议或本DPA第9条项下的通知和/或同意义务。
- 隐私声明。除本协议项下的任何隐私政策或通知要求外,各方同意向数据主体提供根据数据保护法律法规要求其提供的有关本DPA和本协议项下个人数据处理的所有通知和披露,包括(在适用情况下)有关数据主体选择退出个人数据销售的权利的所有披露(该术语在CCPA下定义)。用户承认,Sovrn是在加利福尼亚州注册的数据经纪人(根据加州民法典§1798.99.80定义)。
- 没有所有权或许可证。本DPA中的任何内容均不得被解释为传达与本协议中规定的所有权利益和许可相反的个人数据的任何所有权利益或许可。
- 数据主体的权利。每一方特此授权另一方向数据主体或其授权代表发布其所拥有的与经核实的数据主体的数据可移植性请求直接相关的所有个人数据,而不论该等个人数据是否由客户或Sovrn拥有/许可。
- 监管机构。各方同意:(a)将任何公共、政府和/或司法机构或部门提出或提起的任何问题、投诉、调查、询问、手令、传票或诉讼(以下简称“监管请求”)及时书面通知另一方(i)与服务相关的个人数据处理,或(ii)可能未能遵守数据保护法律法规;(b)。遵守另一方就任何监管请求、诉讼或其他索赔要求的任何书面诉讼保留、文件保存通知或类似法律保留,但适用法律要求的范围除外。
- 数据传输。
- 转授权。在遵守本第9条的前提下,双方承认并同意,每一方均有权根据数据保护法律法规转移与服务相关的处理的个人数据。各方应确保其发起的任何转移(如适用)将受合法数据转移机制和/或适当的后续转移协议的约束,该协议要求在合法数据转移机制下进行任何进一步转移。
- Sovrn的后续转移。客户承认并同意,Sovrn可以(i)在美国或Sovrn或其处理者拥有设施的任何地方存储和处理个人数据,以及(ii)根据本协议的规定,向位于美国和其他国家的第三方控制人披露和/或传输个人数据。
- 从欧洲经济区和英国转移。如果任何一方位于欧洲经济区或英国,并将个人数据转移给欧洲经济区以外的另一方,且不适用此类转移的合法替代依据,则此类转移应受标准合同条款的约束,该标准合同条款的条款在此纳入本DPA。为促进上述规定,双方同意:(i)标准合同条款将在(aa)数据出口商成为其一方,(bb)数据进口商成为其一方,以及(cc)相关转让开始后生效;(ii)在客户作为数据出口商的情况下,(xx)客户承认并同意,本第9条应构成sovn向客户发出的关于为标准合同条款第ii (i)条的目的将数据转移到欧洲经济区以外的第三方控制人的通知,并且(yy)客户声明并保证,客户已将该等进一步转移(包括转移的目的)告知数据主体;接收方的类别以及数据输出的国家可能有不同的数据保护标准这一事实),并给予数据主体反对此类后续转移的机会;(iii)如果标准合同条款有效,则一旦受其管辖的个人数据转移在欧洲数据保护法下合法,且在任何其他基础上没有此类标准合同条款的情况下,标准合同条款将自动终止。如果标准合同条款不再被认为是将数据转移出欧洲经济区或英国的合法依据,双方应在欧洲数据保护法要求的范围内合作确定并实施替代的合法依据。
- 机密性。双方同意采取措施,确保在其授权下有权查阅个人资料的任何人士均须履行适当的保密义务。
- 责任限制。各方因本DPA产生的或与之相关的责任,无论是在合同、侵权或任何其他责任理论下,均受本协议中规定的任何责任限制的约束,任何提及该方责任限制的内容均指该方在本协议和本DPA项下的总责任。此外,如果个人数据的处理不符合数据保护法律法规,则各方应对其个人数据的处理承担独立责任。
- 适用法律和管辖权。本DPA受本协议中指定的适用法律管辖,并应根据该法律进行解释。
- 优先顺序。除本DPA中明确规定外,基础协议的条款和规定应保持不变,并完全有效。如果本协议的条款与本DPA的条款之间存在冲突,则在数据保护事项方面应以本DPA的条款和规定为准。
- 修改。本DPA仅可通过各方签署的书面修正案进行修改。如果为了遵守适用的数据保护法律法规需要进行修改,则双方将善意合作,迅速执行双方同意的对本DPA的修改,以反映适用的数据保护法律法规所规定的要求。
- 终止和生存。双方同意,本DPA在本协议终止时终止。
- 无效和可分割性。如果本DPA的任何条款被任何有管辖权的法院或行政机构认定为无效或不可执行,则该条款的无效或不可执行性不影响本DPA的任何其他条款,并且未受该无效或不可执行性影响的所有条款将保持完全有效。