数据保护协议

跳至主要内容
Pangea temporary hotfixes here

罗技数据处理协议

自 2021 年 9 月起生效(第 3 版)

罗技及其附属公司和子公司(统称“罗技”)要求服务提供商、承包商、供应商、分销商和其他业务合作伙伴及其员工(统称“您”)遵守本数据保护协议(“DPA”)中就罗技或其员工、代表、客户、分销商或其他业务合作伙伴在您与罗技或罗技客户的业务关系中向您提供的任何信息(“罗技数据”)的要求。本 DPA 附属于并通过引用并入其中指定的罗技实体与您之间的服务协议(“协议”)。

  1. 使用和转让限制。您不得以任何方式访问、收集、存储、保留、转移、使用或以其他方式处理任何罗技数据,除非:(a) 为了罗技的利益并代表罗技;(b) 按照罗技授权人员的书面指示;(c) 根据适用法律。在不限制上述一般性的情况下,您不得让任何分包商访问罗技数据或将罗技数据重新安置于新位置,除非与罗技达成书面协议或根据书面指示。在与罗技的关系结束后,以及在罗技提出要求时,您必须随时返回或删除任何罗技数据。您必须对所有员工、承包商和后续接收方施加至少与本 DPA 一样保护罗技数据的合同义务。
  2. 遵守批准的政策。您必须尽最大努力并采用最先进的组织和技术保护措施,确保罗技数据免受未经授权的访问和其他数据处理。您必须遵守罗技的供应商信息安全要求,除非罗技以书面形式明确批准您自己的信息安全政策作为替代方案(在此类情况下,您必须遵守您自己政策的批准版本,避免进行任何会降低所提供安全级别的变更,并在您自己的信息安全政策发生任何重大变更时提前三十 (30) 天书面通知罗技)。如果您进行 SSAE 16、SOC 或类似或后续审核,您必须遵守您的 SSAE 16、SOC 或类似或后续标准,并提前三十 (30) 天向罗技提供任何变更通知。
  3. 合作履行合规责任。在罗技的合理要求下,您必须:(a) 根据 1996 年美国健康保险流通与责任法案和相关法规(“HIPAA”)以及其他司法管辖区法律要求的类似协议签署商业伙伴协议,(b) 以合同形式同意遵守旨在保护罗技数据的法律和行业标准,包括但不限于欧盟委员会批准的关于向处理器传输数据的标准合同条款、支付卡行业标准(“PCI”)以及类似和其他框架,前提是此类框架适用于您接触到的任何罗技数据;(c) 允许罗技终止与您的某些或所有合同,前提是 (i) 按比例退还任何预付费用,(ii) 根据合理要求提供过渡或迁移援助,以及 (iii) 不收取任何提前终止费用或其他额外费用。
  4. 提交审核。您必须提供有关您的合规计划的信息,并提交罗技或应罗技要求由独立第三方或罗技客户进行的合理数据安全和隐私合规审核,以验证是否遵守本 DPA、适用法律和任何其他适用的合同承诺。
  5. 通知违规行为。如果您发现对罗技数据未经授权的访问,或根据欧盟通用数据保护条例 (GDPR) 或适用于您或罗技的法律报告的任何安全漏洞,您必须立即通知罗技,咨询并配合调查和可能要求的通知,并提供罗技合理要求的任何信息。您还必须补偿罗技由此产生的任何损害和费用,包括但不限于为数据主体采购的身份保护援助和服务,以及罗技处理事件的合理律师和技术顾问费用。
  6. 不得出于广告目的出售或分享信息。您承认并确认,您不会收到任何罗技数据作为您提供给罗技的任何服务或其他项目的对价。您不得拥有、获得或行使有关罗技数据的任何权利或利益。您不得出售或共享任何罗技数据,“出售”和“共享”这两个术语适用在经修订的 2018 年《加利福尼亚消费者隐私法案》(包括 2020 年《加利福尼亚隐私权法案》(“CCPA”)或任何其他法律)中的定义。您不得收集、保留、使用或披露任何罗技数据 (a) 用于定向或跨上下文行为广告,(b) 用于在与罗技的书面合同中指定的业务目的之外,或 (c) 用于与罗技的直接业务关系之外。如果与 CCPA 或其他法律对服务提供商的限制相抵触,则您不得将罗技数据与其他数据相结合。您保证您了解 CCPA 的规则、要求和定义,以及 DPA 中的所有限制。您同意不采取任何可能导致与您往来传输罗技数据的行为符合 CCPA 或其他法律规定的出于广告目的“共享”或“出售”个人信息的条件。
  7. EA/CH 个人数据:对于作为“个人数据”受 GDPR 和/或瑞士数据保护法案约束的任何罗技数据,您接受由委员会于 2021 年 6 月 4 日执行决定 (EU) 2021/914 颁布的 2021 年标准合同条款及适用模块,并且您应及时提供完整的附件、分处理商列表和转让影响评估(根据第 14 条的要求)。
  8. 合并。本 DPA 适用于与罗技商定的任何其他条款和条件的补充,而不是替代,除非书面明确同意明确参考本 DPA。本 DPA 不应为罗技以外的任何方创造任何权利。