主许可协议控制器对控制器附录
引言
本《数据保护附录》("DPA")已纳入 STATS Perform(在双方签署的任何工作订单中均有标明)与被许可方(在双方签署的任何工作订单中均有标明)之间的主许可协议("MLA")的条款,并构成其一部分。如果MLA与本DPA或任何工作订单与本DPA之间存在任何冲突,应以本DPA为准。此处未定义的所有大写术语应具有 MLA 中规定的含义。
适用性
本DPA适用于STATS Perform或其任何附属机构在欧洲经济区或英国境内向被许可人传输或提供个人数据,以便在欧洲经济区以外的司法管辖区进行处理,且该司法管辖区未被欧盟委员会作出的 "充分性 "裁定所涵盖,或受制于满足数据保护立法要求的其他合法传输机制的情况(就本DPA而言,"相关数据传输")。本《数据保护法》根据欧盟委员会 2004 年 12 月 27 日关于向无法确保充分数据保护水平的第三国传输个人数据的标准合同条款的决定,规定并纳入了标准合同条款("SCC")。
SCC 不得修改,不可协商,并且是任何相关数据传输的数据保护法律所要求的。
因此,双方签订本《数据保护协议》,以确保相关数据传输符合数据保护立法。
兹协议如下: :
将个人数据从共同体转移到第三国的标准合同条款(控制者对控制者的转移)
数据传输协议
之间
STATS 执行(如工作单所示)
工作订单中列出的 STATS Perform 公司的地址和所在国
下称 "数据输出方"
和
被许可人(如施工单所示)
施工单中列出的被许可人的地址和所在国家
下称 "数据导入者"
各为 "一方";合称 "各方"。
定义
就本条款而言
- 个人数据、特殊类别数据/敏感数据、处理/加工、控制者、处理者、数据主体和监督机构/当局的含义与 1995 年 10 月 24 日第 95/46/EC 号指令或任何适用的数据保护法中的含义相同(其中 "当局 "指数据输出者所在地区的主管数据保护机构);
- 数据输出者是指传输个人数据的控制者;
- 数据输入者是指同意从数据输出者处接收个人数据,以便根据本条款的规定进一 步处理,且不受第三国确保充分保护制度约束的控制者;
- 条款是指这些合同条款,它们是独立的文件,不包含双方在单独的商业安排下制定 的商业业务条款。
附件 2 具体说明了转移的细节(以及所涉及的个人数据),该附件是条款的组成部分。
1 数据输出者的义务
数据输出者保证并承诺:
- 个人数据的收集、处理和传输符合适用于数据输出方的法律。
- 它已尽合理努力确定数据导入者能够履行这些条款规定的法律义务。
- 当数据进口商提出要求时,它将向其提供数据出口商所在国家的相关数据保护法律的副本或参考资料(如相关,不包括法律建议)。
- 資料輸出者會回應資料當事人和有關當局就資料輸 入者處理個人資料的查詢,除非雙方已同意由資料輸入者作出回 應,在此情況下,如資料輸入者不願意或無法作出回應,資料輸 出者仍會在合理可能的範圍內,以合理可得的資訊作出回應。答复将在合理的时间内作出。
- 資料當事人如提出要求,可向根據第3條屬第三者受益人的資料當事人提供該等條款的副本,除非該等條款包含機密資訊,在此情況下,資料當事人可刪除該等資訊。在删除信息的情况下,数据输出方应书面通知数据主体删除信息的原因,以及数据主体提请当局注意删除信息的权利。不过,只要数据主体同意尊重被删除的机密信息的保密性,数据出口方应遵守当局关于数据主体查阅条款全文的决定。如有需要,数据输出者还应向当局提供一份条款副本。
2 数据输入者的义务
数据导入者保证并承诺:
- 它将采取适当的技术和组织措施,保护个人数据免遭意外或非法破坏、意外丢失、篡改、未经授权的披露或访问,并提供与数据处理风险和受保护数据性质相适应的安全级别。
- 它将制定程序,使其授权接触个人数据的任何第三方(包括数据处理者)尊重并维护个人数据的保密性和安全性。任何在数据输入者授权下行事的人,包括数据处理者,均有义务仅根据数据输入者的指示处理个人数据。本provision 不适用于法律法规授权或要求接触个人数据的人员。
- 在订立这些条款时,它没有理由相信存在任何会对这些条款所规定的保证产生重大不利影响的当地法律,如果它意识到存在任何此类法律,它将通知数据出口方(数据出口方将在必要时将此类通知转交给有关当局)。
- 该公司将为附件 2 所述目的处理个人资料,并拥有合法授权以作出保证和履行这些条款中规定的承诺。
- 資料輸出者應在其機構內指定一個聯絡點,授權該聯絡點回應有關個人資料處理的查詢,並在合理時間內就所有該等查詢與資料輸出者、資料當事人及有關當局真誠合作。在数据输出方依法解散的情况下,或在双方同意的情况下,数据输入方将承担遵守第 1(e) 条规定的责任。
- 在数据出口方的要求下,它将向数据出口方提供足以履行第 3 条规定的责任的财务资源证明(可能包括保险)。
- 在数据出口方的合理要求下,数据出口方将提交其数据处理设施、数据文件和处理所需的文件,供数据出口方(或由数据出口方选择且数据进口方未合理反对的任何独立或公正的检查代理或审计员)在合理通知的情况下在正常营业时间内进行审查、审计和/或认证,以确定遵守这些条款中的保证和承诺。该请求须经数据进口方所在国的监管或监督机构的必要同意或批准,数据进口方将努力及时获得同意或批准。
- 它将选择按照附件 1 中规定的数据处理原则处理个人数据。以下各数据输入方以首字母缩写表示同意遵守这些原则:
双方同意,在工作订单上签字并注明日期,即表示双方首肯、同意并接受本第 2(h) 条。
- 它不会向位于欧洲经济区 (EEA) 以外的第三方数据控制者披露或传输个人数据,除非它将传输事宜通知了数据输出方,并且
- 第三方数据控制者根据委员会认定第三国提供充分保护的决定处理个人数据,或
- 第三方数据控制者成为这些条款或欧盟主管当局批准的其他数据传输协议的签署方,或
- 在被告知转让目的、接收者类别以及数据出口国可能有不同的数据保护标准后,数据主体有机会提出反对,或
- 关于敏感数据的继续转移,数据主体已明确同意继续转移
3 责任和第三方权利
-
- 每一方应对其违反这些条款而造成的其他各方的损失负责。双方之间的责任仅限于所遭受的实际损失。惩罚性损害赔偿(即意在惩罚一方暴行的损害赔偿)明确排除在外。每一方应对其违反第三方在本条款下的权利而给数据主体造成的损害负责。这并不影响数据输出方根据其数据保护法应承担的责任。
- 雙方同意,資料當事人有權作為第三方受益人,就資料輸入方或資料輸出 方違反有關其個人資料的合約義務,對資料輸入方或資料輸出方強制執 行本條款及第 1(b)、1(d)、1(e)、2(a)、2(c)、2(d)、2(e)、2(h)、2(i)、3(a)、5、6(d) 及 7 條,並就此接受資料輸出方所在 國的司法管轄權。在涉及数据进口方违约指控的情况下,数据主体必须首先要求数据出口方采取适当行动,对数据进口方强制执行其权利;如果数据出口方在合理期限内(正常情况下为一个月)未采取此类行动,数据主体则可直接对数据进口方强制执行其权利。如果数据出口方未做出合理努力来确定数据进口方能够履行这些条款规定的法律义务,则数据当事人有权直接对数据出口方提起诉讼(数据出口方有责任证明其做出了合理努力)。
4 条款的适用法律
这些条款应受数据输出方所在国家的法律管辖,但与第 2(h)条规定的数据输入方处理个人数据有关的法律法规除外,只有在数据输入方根据该条款选择适用时才适用。
5 解决与资料当事人或当局的争议
-
- 如果数据当事人或当局就个人数据的处理对双方或其中一方提出争议或索赔,双方 将相互通报任何此类争议或索赔,并将进行合作,以便及时友好解决。
- 双方同意对数据主体或当局发起的任何普遍可用的非约束性调解程序作出回应。如果他们确实参与了该程序,双方可选择远程参与(如通过电话或其他电子方式)。双方还同意考虑参与为数据保护争议制定的任何其他仲裁、调解或其他争议解决程序。
- 各缔约方均应遵守数据出口方所在国主管法院或当局的终审判决,且不得对该判 决提出进一步上诉。
6 终止
-
- 如果数据输入方违反了这些条款规定的义务,则数据输出方可暂时中止向数据输入方传输个人数据,直至违约行为得到纠正或合同终止。
- 如果:
- 数据输出方根据第(a)段规定暂时中止向数据输入方传输个人数据超过一个月;
- 数据进口商遵守这些条款会违反其在进口国的法律或监管义务;
- 数据输入方严重或持续违反其根据本条款作出的任何保证或承诺;
- 数据出口方所在国的主管法院或主管当局作出终审判决,认定数据进口方或数据出口方违反了条款规定,且无法对该判决提出进一步上诉;或
- 提出对数据导入者进行管理或清盘的申请,不论是以个人身份还是以企业身份提出,而该申请未在适用法律规定的适用期限内被驳回;发布清盘令;对其任何资产指定接管人;指定破产受托人(如果数据导入者是个人);开始公司自愿安排;或在任何司法管辖区发生任何同等事件
则数据输出方在不损害其对数据输入方可能拥有的任何其它权利的情况下,有权终止本条款,在此情况下,应按要求通知有关当局。在上述第(i)、(ii)或(iv)条所述情况下,数据进口方也可终止本条款。
- 在下列情况下,任何一方均可终止这些条款
- 欧盟委员会根据第 95/46/EC 号指令第 25(6)条(或任何替代文本)就数据输入者传输和处理数据的国家(或其中的一个部门)发布的任何积极充分性决定,或
- 指令 95/46/EC(或任何替代文本)直接适用于这些国家。
- 双方同意,在任何时间、任何情况下,无论出于何种原因终止本条款(第 6(c)条规定的终止除外),都不能免除双方在处理所转让的个人数据方面的义务和/或条件。
7 这些条款的变通
双方不得修改这些条款,除非是为了更新附件 2 中的任何信息,在这种情况下,双方 将根据需要通知主管部门。这并不排除双方在必要时增加额外的商业条款。
8 转让说明
转让和个人资料的详情载于附件 2。双方同意,附件 2 可能包含双方不会向第三方披露的商业机密信息,除非法律要求或为 了回应主管监管机构或政府机构的要求,或根据第 1(e)条的要求。双方可签署附加附件,以涵盖额外的转让,并在需要时提交给主管部门。作为替代方案,可起草附件 2 以涵盖多项转让。
双方同意,通过签署工作订单并注明日期,他们同意并接受 SCC 的约束,包括 附件 1和 附件 2.
- (数据处理原则)
- 目的限制:个人数据的处理和随后的使用或进一步传播只能用于附件 2 所述目的或随后经数据当事人授权的目的。
- 数据质量和相称性:个人数据必须准确,并在必要时保持更新。个人数据必须充分、相关,且不超出其转移和进一步处理的目的。
- 透明度:必须向数据主体提供确保公平处理所需的信息(如关于处理目的和转让的信息),除非数据输出方已经提供了此类信息。
- 安全和保密:数据控制者必须采取与数据处理所带来的风险相适应的技术和组织安全措施,如防止意外或非法损毁或意外丢失、篡改、未经授权的披露或访问。任何在数据控制者授权下行事的人,包括数据处理者,除非得到数据控制者的指示,否则不得处理数据。
- 查阅权、更正权、删除权和反对权:根据第 95/46/EC 号指令第 12 条的规定,无论是直接还是通过第三方,数据主体都必须获 得一个组织所持有的关于他们的个人信息,但明显滥用、基于不合理的时间间隔或其数量或重 复性或系统性的要求,或根据数据输出国的法律无需获准查阅的要求除外。在当局事先批准的情况下,如果查阅数据可能会严重损害数据输入者或与数据输入者有来往的其他组织的利益,而这些利益又不被数据主体的基本权利和自由的利益所压倒,则也不必批准查阅。如果通过合理努力无法确定个人资料的来源,或个人资料以外的其他人的权利会受到侵犯,则无需确定个人资料的来源。如果个人资料不准确或其处理违反了这些原则,资料当事人必须能够要求更正、修改或删除。如果有令人信服的理由怀疑请求的合法性,组织可能会在进行更正、修改或删除之前要求提供进一步的理由。如果纠正、修改或删除涉及不相称的努力,则无需将任何纠正、修改或删除通知数据已披露给的第三方。如果有与其特殊情况有关的令人信服的合法理由,数据当事人还必须能够反对处理与其 有关的个人数据。数据输入者对任何拒绝承担举证责任,数据当事人可随时向当局对拒绝提出质疑。
- 敏感数据:数据输入者应采取必要的额外措施(如与安全有关的措施),以根据第 2 条规定的义务保护此类敏感数据。
- 用于营销目的的数据:在为直接营销目的处理数据时,应制定有效的程序,允许数据当事人随时 "拒 绝 "将其数据用于此类目的。
- 自动决定:就本条款而言,"自动决定 "系指数据输出方或数据输入方做出的、对数据主体产生法律效力或重大影响的决定,该决定完全基于对个人数据的自动处理,旨在评估与数据主体相关的某些个人方面,如其工作表现、信用度、可靠性、行为等。数据导入者不得对数据主体做出任何自动决定,除非: 1:
(a) (i) 該等決定是資料輸入者在與資料當事人訂立或履行合約時作出的, 及
(a) (ii) 数据当事人有机会与作出相关自动决定的当事方代表讨论该决定的结果,或以其他方式向该当事方作出陈述。
或
(b) 数据输出国法律另有规定的。
附件 2(处理信息)
1 数据主体
转让的个人数据涉及以下各类数据主体:
许可资料中包含的个人数据(定义见 MLA),其中包括与体育运动员、运动员和相关体育专业人员有关的信息。
2 转让的目的
转让的目的如下:数据输入方按照工作订单和司法协助中规定的目的使用个人数据。
3 类数据
传输的个人数据涉及以下类别的数据,有时还涉及其他类别的数据:
| 数据类别(所有体育相关数据) |
| 数据(包括比赛成绩和比赛事件数据) |
| 视频和音频内容 |
| 编辑内容 |
4 收件人
转让的个人数据只能向以下接收方或接收方类别披露:
工作订单和/或工作重点中允许的收件人。
5 数据输出者的数据保护注册信息
将根据要求提供。
6 其他有用信息
无。
7 个数据保护查询联络点
联系方式见工作单。
