STATS PERFORM - TEAM PERFORMANCE 主许可协议控制器对处理器数据处理附录
本控制方对处理方数据处理附录,包括附录中的任何附录、附件和附表(合称 "DPA")(如适用),构成 Team Performance 主许可协议("MLA")的一部分,并纳入其中、工作订单和/或(如适用)任何其他协议(统称 "协议"),涉及根据协议向您(称为 "被许可人"、"您"或 "您的")提供的平台获取服务的某些服务(如工作订单和 MLA 中所述),您是数据控制方,Perform Content Limited 或作为协议一方的相关关联公司(相关方称为 "Stats Perform "或 "Stats Perform")是数据控制方。Stats Perform"或 "我们"或 "我们的")作为数据处理者。
当 MLA 条款与本 DPA 条款发生冲突时,应以本 DPA 条款为准。除此以外,MLA 将继续完全有效。
1.定义
1.1.在本 DPA 中,以大写字母标示的词语具有下文或本协议其他地方(视情况而定)所载的含义:
| 附属机构 | 指在本协议有效期内不时直接或间接控制一方、受一方控制或与一方受共同控制的任何实体。 |
| 数据保护法 | 指适用于各方的与隐私和/或个人数据保护相关的所有法规、法律、辅助立法和规章,包括(如适用(i) 就欧盟而言,《一般数据保护条例》(欧盟)2016/679("欧盟 GDPR")及所有相关成员国法律或法规,使其生效、替代或补充;(ii) 就英国而言,《2018 年数据保护法》("UK DPA")、《英国 GDPR》(具有《英国数据保护法》赋予的含义)("UK GDPR")和《2003 年隐私和电子通信(欧共体指令)条例》(SI 2003/2426);以及 (iii) 不时实施、修订、扩展、重新制定、替换、合并或补充上述内容的任何适用法律和法规。 |
| 欧盟 SCC | 是指 2021 年 6 月 4 日欧盟委员会实施决定 (EU) 2021/914 附件(可在此通过链接获取)中规定的欧盟委员会根据欧盟 GDPR 向第三国传输个人数据的标准合同条款,其相关附件载于本 DPA 中,或经欧盟委员会批准的任何一套修正、替代或取代这些条款的条款。 |
| ICO 英国增编 | 是指英国信息专员根据英国《数据保护法》第 119A 条发布的欧盟《特别控制协定》国际数据传输附录,该附录于 2022 年 3 月 21 日生效(可通过链接在此查阅)。 |
| 国际转学 | 指欧盟 GDPR 或英国 GDPR(以适用者为准)第五章所涵盖的转移。 |
| 国际转让条款 | 指欧盟 SCC 以及(如适用)ICO 英国附录。 |
| 被许可人个人资料 | 指我们处理的与服务相关的许可方数据(定义见 MLA)中所包含的任何个人数据,如本 DPA 附表中所列。根据本 DPA 第 2.2 条,这可能包括被许可人关联公司的个人数据。 |
| 服务 | 指根据本协议提供的平台获取服务。 |
1.2.术语 "数据主体"、"个人数据"、"处理"及变体、"控制者"和 "处理者"应具有数据保护法赋予它们的含义。
2.任命
2.1.在Stats Perform 向被许可人提供服务的过程中,被许可人可能会提供或输入被许可人的个人数据以供处理。为此,被许可人是控制者,Stats Perform 是处理者,本DPA适用于此类情况。Stats Perform 代表被许可人处理被许可人个人数据的主题(包括性质、目的、期限和其他方面)在本DPA的附表中列出。
2.2.被许可人个人数据可能包含被许可人关联公司作为控制人的个人数据。被许可人确认,其有权代表被许可人关联公司向Stats Perform 传达与Stats Perform 处理与服务相关的被许可人个人数据有关的任何指示或其他要求。
2.3.Stats Perform 受被许可人委托,代表被许可人和/或被许可人关联公司(视情况而定)处理被许可人个人数据,这是提供服务所必需的,或双方另有书面约定的。
2.4.被许可人承认,其及其任何附属机构完全有责任确保,并且被许可人保证并表示,根据数据保护法,对被许可人个人数据的任何处理均根据适当的合法理由进行,向相关数据主体提供了处理该数据的适当通知,被许可人个人数据是准确和最新的,并就该数据定义和实施了适当的数据保留期。
3.持续时间
本 DPA 自生效日起适用,并在协议或服务终止或期满("期限")前继续完全有效。
4.遵守数据保护规定
4.1.在本协议期内,除法律另有规定外,Stats Perform 作为处理方处理被许可人个人资料时,同意: 1:
4.1.1. 在处理被许可人个人数据时遵守适用的数据保护法;
4.1.2 仅在与provision 服务有关的情况下,根据被许可人在服务范围内不时合理给出的合法指示文件,处理被许可人的个人数据,并对匿名数据进行内部业务分析。Stats Perform 可能会被要求根据其所遵守的适用法律处理被许可人的个人数据,在这种情况下,Stats Perform 应在处理前告知被许可人该法律要求,除非该法律以重要的公共利益为由禁止此类信息。被许可人保证并持续声明其指示不会使Stats Perform 违反法律;
4.1.3 告知被许可人其认为违反数据保护法的指令,且Stats Perform 有权不理会该指令;
4.1.4. 确保所有经Stats Perform 授权处理被许可人个人资料的人员均承诺保密或承担适当的法定保密义务;
4.1.5. 实施适当的技术和组织措施(根据本 DPA 附表中规定的措施),在考虑到需要保护的被许可人个人资料的性质以及任何安全漏洞(定义见下文)可能造成的损害风险的情况下,适当保护被许可人个人资料;
4.1.6 根据数据保护法或与被许可人个人数据相关的监管或执法要求,将其收到的任何数据主体要求通知被许可人,不得无故拖延。Stats Perform 可确认每项数据主体请求。在与被许可人达成一致的情况下,Stats Perform 可通过适当的技术和组织措施协助被许可人履行根据数据保护法回应数据主体请求的义务,费用由被许可人承担;
4.1.7. 在被许可人承担费用的情况下,提供被许可人可能合理要求的协助,以确保被许可人遵守与数据安全、数据泄露通知、数据保护影响评估以及与负责隐私和数据保护事务的主管监督机构的事先协商有关的数据保护法;
4.1.8 由被许可人选择并承担费用,删除被许可人个人数据,或在服务provision 结束后将所有被许可人个人数据归还给被许可人,并删除所有被许可人个人数据的现有副本,但为合法商业目的保留的匿名被许可人数据或根据适用法律需要持续存储的被许可人个人数据除外;以及
4.1.9. 在被许可人承担费用的情况下,向被许可人提供合理必要的信息,以证明Stats Perform遵守本DPA,并允许独立第三方在双方同意的合理通知下进行审计和检查。在根据本条款行使审计权时,被许可人应,并应确保执行审计的一方应,在遵守第5条的前提下:(a)仅在Stats Perform或其关联公司执行审计的地点的一般营业时间内执行审计;(b)在执行审计时,使用所有合理的谨慎措施,确保业务运营不受干扰,特别是确保对另一客户环境的风险(例如,对服务水平的影响,数据的可用性)。(c) 遵守数据保护法的任何适用规定和Stats Perform 的合理要求;(d) 考虑到服务的复杂性、服务产生的风险、服务的关键性或重要性以及服务对被许可方活动连续性的潜在影响,以相称的方式行使审计权;(e) 遵守相关的、普遍接受的国家和国际审计标准; (f) 确保其雇员或任何第三方审计师具备进行审计所需的适当和相关的技能和知识;以及 (g) 将根据本分条款共享的所有信息视为机密信息。
5.审计
关于上述第4.1.9条,对于其次级处理商,Stats Perform 将根据其与次级处理商的协议,行使其审计权(根据欧盟GDPR或英国GDPR(如适用)第28(3)(h)条的要求)。如果信息对Stats Perform 的业务敏感,或如果Stats Perform披露此类信息将违反法定或合同义务,Stats Perform Stats Perform 有权自行决定但适当考虑被许可人的法律义务,不披露此类信息。尤其是,Stats Perform 公司不得允许被许可人获取任何有关Stats Perform公司被许可人、Stats Perform公司成本、质量和合同管理报告的数据或信息,或任何其他非严格必要的、用于约定检查目的的信息。
6.分处理器
6.1.Stats Perform 将根据本第 6 条的规定,聘用任何分包商(以下称 "分包商")参与处理本 DPA 下的被许可人个人数据。
6.2.为执行本 DPA 规定的某些数据处理活动而参与处理被许可人个人数据的子处理方的当前名单列于附表(不时更新)。自生效日起,被许可人特此同意使用这些子处理方处理被许可人的被许可人个人数据。
6.3.Stats Perform 应及时通知被许可人任何新的或替换的次级处理商,这些次级处理商与附表中的次级处理商列表不同,并影响被许可人个人数据的处理。如果被许可人基于合理的理由反对任何此类变更,则必须在Stats Perform 根据本条款通知被许可人的14天内通知Stats Perform ,否则变更将被视为被接受。如果出现根据本条款合理提出的任何异议,双方应进行真诚的讨论,以达成变通办法。但是,如果在Stats Perform的合理意见下,双方没有达成一致的解决方案,则Stats Perform 有权终止与子处理程序变更相关的服务。
6.4.在聘用次级处理人时,Stats Perform 将:
6.4.1. 进行合理的尽职调查;
6.4.2 在实际可行的情况下,根据与本 DPA 中的条款基本等同的条款签订合同,其中可包括国际转让条款(或类似条款)(如有需要),以便为被许可人个人数据的处理提供充分的保障;以及
6.4.3 对于子处理方履行本 DPA 规定的数据处理义务,继续对被许可人承担全部责任。
7.安全事件
7.1."安全漏洞"指安全漏洞导致意外或非法破坏、丢失、更改、未经授权披露或访问由Stats Perform传输、存储或以其他方式处理的被许可人个人资料。
7.2.如果Stats Perform 发现任何安全漏洞,将立即通知被许可人。在可行的情况下,Stats Perform 将提供分阶段通知。
7.3.Stats Perform 将对安全漏洞进行调查,并采取合理的行动来识别、预防和减轻安全漏洞的影响。在被许可人承担费用的情况下,Stats Perform 将采取被许可人合理要求的进一步行动,以遵守数据保护法。
7.4.根据数据保护法的要求,未经Stats Perform事先书面批准,被许可方不得发布或出版任何有关安全漏洞的文件、通信、通知、新闻稿或报告;Stats Perform不得无理拒绝此类批准。
8.国际数据传输
8.1.被许可人承认,Stats Perform 可能会对被许可人个人数据进行国际转移。Stats Perform 将确保任何国际转移(只要发生)均基于适用数据保护法规定的适当保障措施,包括必要时与相关进口商签订适当的国际转移条款(或替代标准合同条款)。
8.2.如果被许可人受欧盟 GDPR 的约束,并将被许可人个人数据传输至欧洲经济区以外的Stats Perform 处理,且该传输属于国际传输,并非基于欧盟 GDPR 第 45 条所述的充分性决定,则双方将遵守欧盟 SCC 的模块 2(或模块 3,如适用)版本,该版本被视为纳入本 DPA 并构成其一部分,并按如下方式填写:
8.2.1.欧盟标准合同条款》第 7 条(对接条款)将不适用;
8.2.2 方案 2 适用于欧盟标准合同条款第 9(a)条,"商定清单 "列于附表中,期限为 14 天;
8.2.3. 欧盟标准合同委员会第 11(a)条规定的可选补救语言将不适用;
8.2.4. 在适用情况下,根据欧盟 SCC 第 13 条,主管监督机构为爱尔兰数据保护委员会;
8.2.5 选项 2 将适用于欧盟 SCC 第 17 条,适用的管辖法律为爱尔兰共和国;
8.2.6. 欧盟《标准合同》第 18(b)条规定的诉讼地和管辖权选择为爱尔兰共和国法院;以及
8.2.7.欧盟标准集装箱货运公约》附件一和附件二被视为已填入下表所列信息。
8.3.如果被许可人受英国 GDPR 的约束,并将被许可人个人数据传输至Stats Perform 在英国境外进行处理,且该传输属于国际传输,并非基于英国 GDPR 第 45 条所述的适当性决定,则欧盟 SCC 应根据上述第 8.2 条适用,并应被视为根据 ICO 英国附录的规定进行了修订,该附录应被视为由双方执行,并纳入本 DPA,成为本 DPA 的一部分。如果 ICO 英国附录根据本第 8.3 条适用:
8.3.1.ICO 英国附录第 1 部分中的表 1 和表 3 应视为已填写欧盟标准集装箱货运公约附录中的相关信息以及(因此)以下附表;
8.3.2 在第 1 部分表 2 中,"附录欧盟 SCC "被视为(根据上述第 8.2 条)纳入本 DPA 的欧盟 SCC,包括附录信息(定义见 ICO 英国附录);
8.3.3.第 1 部分表 4 选择 "双方均非 "即视为填写完毕;以及
8.3.4 欧盟标准合同条款与 ICO 英国附录之间的任何冲突将根据 ICO 英国附录第 9、10 和 11 节解决。
8.4.在国际转移条款适用的情况下,其各自的规定应取代Stats Perform在本 DPA 中的数据处理义务(包括第 4 至 7 条中规定的义务)。如果国际转移条款的规定与本DPA或协议有任何冲突,则以国际转移条款为准。协议条款和本 DPA 条款不得也不寻求以任何方式更改国际转移条款。
9.赔偿
9.1.尽管有任何责任免除或责任限制或本协议中的任何相反provision ,被许可方仍应并特此同意赔偿Stats Perform 及其关联公司及其高级职员、雇员、代理和分包商(各称为 "受赔偿方")因任何第三方索赔、损失、要求、诉讼、责任、罚款、处罚、合理开支、损害赔偿和和解金额(包括合理的法律费用和成本)而遭受的损失、罚款、处罚、合理开支、损害赔偿和和解金额(包括合理的法律费用和成本)。
9.2.在不违反第 9.1 和 10.2 条规定的情况下,任何一方在本 DPA 下的责任均受协议中任何责任限制条款的约束。
10.杂项
10.1.本 DPA 中的条款标题和其他标题仅为方便参考而设,不构成本 DPA 的一部分,也不影响本 DPA 的含义或解释。
10.2.本 DPA 的任何条款均不排除或限制适用法律无法限制或排除的任何一方的责任。在遵守前句规定的前提下,(i) 本 DPA(包括任何附表、附件和附录)构成双方就本协议标的物达成的完整协议,并取代双方此前就本协议标的物达成的所有协议、谅解、谈判和讨论;且 (ii) 在签订本 DPA 时,除本 DPA 明确规定的内容外,任何一方均不依赖于任何声明、陈述或保证(无论是否因疏忽而作出),且任何一方均不享有基于这些声明、陈述或保证的任何权利或补救措施。
10.3.被许可方应在发票日期后 30 天内向Stats Perform 支付任何成本和费用,包括但不限于合理的律师费,以及Stats Perform 和/或其附属机构在履行本 DPA 规定的职责时产生的准备和发送信函的费用,费用由被许可方承担。
10.4.所有终止或违约通知必须使用英文,以书面形式发给对方的主要联系人和法律部门。经有效收据或电子日志核实,通知一经收到即视为已发出。邮寄通知将被视为在以挂号信记录投递的方式邮寄之日起 48 小时后收到。
10.5.本 DPA 的条款可分割。如果任何短语、条款或provision 全部或部分无效或不可执行,则此类无效性或不可执行性仅影响此类短语、条款或provision,本 DPA 的其余部分仍应完全有效。
10.6.本 DPA 受英国法律管辖,对于与本 DPA 有关的任何争议(合同或非合同争议),双方均服从英国法院的专属管辖,但因第 8 条规定的其他救济途径而产生的争议除外,但任何一方均可向任何法院申请禁令或其他救济,以保护其财产、知识产权或机密信息。
时间表
数据处理详情
| A 部分:缔约方介绍 | |
|---|---|
| 控制器 | 处理器 |
| 被许可人,其地址、联系方式、活动和签名(如适用)如本协议所述。 | Stats Perform,其地址、联系方式、活动和签名(如适用)如本协议所述。 |
| 在本 DPA 中,Stats Perform的联系电子邮件地址为 privacy@statsperform.com。 | |
| B 部分:服务说明和被许可人个人资料 | |
|---|---|
| 服务说明: | 协议中规定的平台获取的服务。 |
| 处理对象: | 被许可人的个人数据,由被许可人上传、输入或提供给Stats Perform平台,由Stats Perform 在期限内提供托管和相关服务。 |
| 处理频率和持续时间 | 持续到协议终止或期满为止,或者,如果在协议终止或期满之前,当被许可人删除被许可人个人数据时为止。 |
| 处理的性质和目的: | 作为服务的一部分,Stats Perform 对被许可人个人数据进行以下处理活动,包括托管、服务支持;以及内部软件和操作流程支持,包括存储、备份和数据库监控。 |
| 个人数据类型: | 被许可人个人数据将根据被许可人输入、上传或提供给服务的数据类型而有所不同,但可能包括但不限于以下内容:联系方式--电子邮件、姓名、地址、出生日期、角色、个人履历(例如以前的球队信息和表现履历)、参加体育运动的统计详情、特殊类别数据(例如与球员伤势有关的健康数据)、评价/意见和建议、测试结果、图像和/或传记图片视频录像 |
| 数据主体类别: | 被许可人的人员、运动员/运动员和相关体育专业人员、承包商(和人员)、供应商(和人员)。 |
| 任何个人数据的保留期限: | 履行协议规定的各方义务所需的时间。 |
| C 部分:子处理程序列表 | ||
|---|---|---|
| 名称 | 加工类型 | 加工地点 |
| 第三方 | ||
| 谷歌云 | 数据托管 | 比利时 |
| 亚马逊网络服务(AWS) | 数据托管 | 英国、澳大利亚或爱尔兰地区均可。 |
| K-Sport Universal S.R.L | 数据托管(与Dynamix 有关) | 英国、澳大利亚或爱尔兰地区均可。 |
| 附属机构Stats Perform | ||
| 统计有限责任公司 | 数据托管 | 美国 |
| Perform 内容服务有限公司 | 数据托管 | 英国 |
| RunningBall GmbH | 数据托管 | 瑞士 |
| RunningBall Informacao Desportiva Unipessoal, Lda. | 数据托管 | 葡萄牙 |
| RunningBall SDN BHD | 数据托管 | 马来西亚 |
| RunningBall 服务咨询有限公司 | 数据托管 | 塞浦路斯 |
| RunningBall 体育信息有限公司 | 数据托管 | 奥地利 |
| Opta Sports Data Inc. | 数据托管 | 美国 |
| Opta 体育数据有限公司 | 数据托管 | 英国 |
| Opta Sports Data Srl | 数据托管 | 意大利 |
| OptaSports SA | 数据托管 | 西班牙 |
| D 部分:技术和组织措施 | |
|---|---|
| 安全措施 | 实践 |
| 加密 | 相关服务采用业界认可的加密做法,以保护数据和通信;数据在传输过程中和静态时都经过加密。 |
| 确保在发生物理或技术事故时能够及时恢复个人数据的可用性和访问权限 | Stats Perform 应尽合理的努力,确保在正常工作时间内向被许可人的用户提供服务;根据工作重点对任何缺陷进行补救;以及 (c) 定期备份上传到服务中的被许可人数据。 在发生事故时,有适当的安全事故管理政策和程序。 被许可人可在正常工作时间内随时联系Stats Perform ,报告缺陷。 Stats Perform 应根据MLA条款,尽合理努力提供相关缺陷的修复或解决方法。 Stats Perform 已制定并维护书面的业务连续性和灾难恢复计划。 |
| 持续的保密性、完整性、可用性和复原力 | 服务托管在安全的数据中心,主要是亚马逊网络服务(AWS)和谷歌云。 使用商业上合理和适当的方法和保障措施来保护被许可人数据(包括被许可人个人数据)的保密性、可用性和完整性。 Stats Perform 确保被授权访问被许可人数据(包括被许可人个人数据)的人员承诺保密或承担适当的法定保密义务。 所有Stats Perform 员工均接受过数据安全方面的适当培训,并必须遵守相关的安全惯例和政策。系统管理员、开发人员和其他有访问权限的用户会接受特殊和持续的培训。 反恶意软件和防病毒控制得到维护,以帮助防止恶意软件造成意外或非法破坏、丢失、更改、未经授权披露或访问被许可人数据(包括被许可人个人数据)。 我们通过门禁卡、钥匙扣和/或生物识别技术(手指或面部识别)对办公室的实际访问进行控制。 我们的技术可满足个人提出的任何数据权利要求,以便更简便地履行被许可人和我们各自在适用数据隐私法律下的义务。我们能够根据被许可人的要求检索和删除个人数据。 |
| 定期测试、评估和评价措施的有效性 | Stats Perform 每季度在 2 个并发端点上进行连续测试,测试按季度在各端点之间轮流进行。 Stats Perform的人力资源入职和离职流程处理账户和访问的供应和取消供应。 在选择任何参与处理个人数据的潜在供应商时,我们会对这些供应商进行适当的尽职调查,以确保这些第三方处理的个人数据(如有)符合适用的数据保护法律。 我们在内部保存和维护适当的 IT、安全和数据保护政策,这些政策涉及在提供服务过程中有权访问被许可人数据(包括被许可人个人数据)的人员(包括技术人员和非技术人员)的角色和责任。其中包括我们的《集团数据保护政策》和《信息安全手册》。 如果有必要将个人数据传输给英国和/或欧洲经济区以外的供应商,以及没有欧盟或英国充分性决定的国家,我们会采取适当的保障措施,确保个人数据得到保护,并遵守数据隐私法。 此外,我们还制定了健全的流程,审查员工对系统的访问权限,并及时应对安全威胁。 Stats Perform 对与服务相关的信息治理和数据管理进行商业上合理的控制。 Stats Perform 应做出合理努力,使用最低限度的必要个人数据来提供服务。 |
