本数据保护附录(以下简称 "附录")纳入以下各方之间的主要协议(及其中包含的条款)(以下简称 "协 Stats Perform ")的条款中,并构成其一部分Stats Perform")和(2)Stats Perform 根据本协议提供的材料的被许可人("被许可人")。出于数据保护立法的目的,本附录的规定适用于Stats Perform 根据协议与被许可方共享个人数据的情况,且协议中的每一方均作为控制方行事。
当协议条款与本附录条款发生冲突时,以本附录条款为准。除此以外,本协议将继续完全有效。
1.定义
在本附录中,术语 "控制者"、"个人数据"和 "处理"应具有英国 GDPR 赋予它们的含义:
数据保护立法
指适用于各方的与隐私和/或个人数据保护相关的所有法规、法律、辅助立法和条例,在适用情况下包括(i) 就欧盟而言,《一般数据保护条例》(欧盟)2016/679("欧盟 GDPR")及所有相关成员国法律或法规,使其生效、替代或补充;(ii) 就英国而言,《2018 年数据保护法》("UK DPA")、《英国 GDPR》(具有《英国数据保护法》赋予的含义)("UK GDPR")和《2003 年隐私和电子通信(欧共体指令)条例》(SI 2003/2426);以及 (iii) 不时实施、修订、扩展、重新制定、替换、合并或补充上述内容的任何适用法律和法规。
欧盟 SCC
指 2021 年 6 月 4 日欧盟委员会实施决定 (EU) 2021/914 附件(可通过链接在此获取)中规定的欧盟委员会根据欧盟 GDPR 向第三国传输个人数据的标准合同条款,其相关附件载于本附录,或欧盟委员会批准的任何一套条款,对其进行修订、替代或取而代之。
ICO 英国增编
指英国信息专员根据英国《数据保护法》第 119A 条发布的欧盟《特别控制协定》国际数据传输附录,该附录于 2022 年 3 月 21 日生效(可在此处通过链接查阅)。
国际转学
指欧盟 GDPR 或英国 GDPR(以适用者为准)第五章所涵盖的转移。
国际转让条款
指欧盟 SCC(以及 ICO 英国附录(如适用))。
2.遵守数据保护立法
各方同意应遵守数据保护法规定的各自作为控制者的义务,并应确保其雇员、代理和承包商遵守数据保护法规定的所有适用义务。
3.国际转让条款
a)如果Stats Perform或其公司集团内的任何关联公司受欧盟GDPR管辖,并将个人数据传输至欧洲经济区以外的被许可方进行处理,且该传输为国际传输,且并非基于欧盟GDPR第45条所述的充分性决定,则双方将遵守欧盟SCC的模块1版本,该版本被视为纳入本附录并构成本附录的一部分,并按以下方式完成:(a) 《欧盟跨国合同公约》第 11(a)条规定的可选补救语言将不适用;(b) 《欧盟跨国合同公约》第 17 条适用选项 1,管辖法律为爱尔兰共和国;(c) 《欧盟标准合同》第 18(b)条规定的诉讼地选择和管辖权为爱尔兰共和国法院; (d) 《欧盟标准合同》附件一和附件二被视为已填入下文《欧盟标准合同》附录中的信息;以及 (e) 《欧盟标准合同》附件三将不适用。
b) 如果Stats Perform或其公司集团内的任何关联公司受英国GDPR管辖,并将个人数据传输给被许可人在英国境外进行处理,且该传输属于国际传输,并非基于英国GDPR第45条所述的适当性决定,则欧盟SCC应根据上述(a)分段适用,并应视为根据ICO英国附录的规定进行了修订,该附录应视为由双方执行,并纳入本附录,构成本附录的一部分。如果 ICO 英国附录根据本分段适用,则(i) ICO 英国附录第 1 部分中的表 1 和表 3 应被视为填写了 EU SCC 附录和(因此)下文 EU SCC 附录中列出的相关信息;(ii) 第 1 部分表 2 中的 "附录 EU SCC "应被视为(根据上述段落)纳入本附录的 EU SCC,包括附录信息(定义见 ICO 英国附录);(iii) 第 1 部分表 4 选择 "双方均不 "即视为填写完毕;以及 (iv) EU SCC 条款与 ICO 英国附录之间的任何冲突将根据 ICO 英国附录第 9、10 和 11 条解决。
c) 如果国际转移条款(全部或部分)被修订、废止、替换或取代,或不再提供根据数据保护法向被许可人转移个人数据的合规方式,双方应共同努力,制定必要的保障措施,以确保继续遵守适用的数据保护法。
d) 如果国际转让条款与本附录或《协议》的规定发生冲突,则以国际转让条款为准。协议条款和本附录条款不得也不得试图以任何方式更改国际转让条款。
欧盟 SCC 附录
附 件 I
A.当事方
数据输出方(控制方):Stats Perform,其地址、联系方式、活动和签名(如适用)与协议中规定的一致(但用于欧盟 SCC 的联系电子邮件地址为privacy@statsperform.com)。
数据导入者(控制者):被许可人,其地址、联系方式、活动和签名(如适用)在协议中列明。
同意协议条款即表示双方同意并接受本附录条款以及适用的国际转让条款的约束。
B.转让说明
个人数据被转移的数据主体类别:(i) 运动员、职业运动员和相关体育专业人士,以及 (ii)Stats Perform 和/或其附属机构的工作人员。
转让的个人资料类别:关于运动员/体育人士的资料:这可能是允许数据输出者汇编统计数据和一般信息,或向被许可人提供协议中详述的其他相关商业服务的信息。这包括:姓名、身体信息、国籍和参加体育运动的统计详情。人员方面:姓名和联系方式(如电子邮件地址)。
所转让的敏感数据(如适用)和应用的限制或保障措施,充分考虑到数据的性质和所涉及的风 险,例如严格的目的限制、访问限制(包括只有经过专门培训的工作人员才能访问)、保存数据 访问记录、对继续转让的限制或额外的安全措施:数据输出方一般不寻求收集敏感(或特殊类别) 数据,但可能会收集可能影响运动员参加体育运动的运动损伤数据。任何此类特殊类别的个人数据均须遵守下文附件 II 所列的技术和组织措施。
传输频率(例如,数据是一次性传输还是持续传输):在协议有效期内持续传输。
转让和处理的性质和目的:数据输出者向其客户(包括数据输入者)提供与体育内容相关的服务,以从这些服务中获益。转让的目的是provision 此类体育内容相关服务(可能涉及共享个人数据)。
个人数据的保留期限,或者,如果无法保留,用于确定该期限的标准:数据输出方和数据输入方应适用各自的个人数据保留政策。
C.主管监督机构
在不违反 ICO 英国附录(如适用)的前提下,根据欧盟标准合同条款第 13 条,主管监督机构为爱尔兰数据保护委员会。
附件 II-- 技术和组织措施,包括确保数据安全的技术和组织措施
在不影响协议中规定的其他安全义务的情况下,数据输入者应
(i) 采取适当的技术和组织措施,保护根据本协议处理的任何个人数据;
(ii) 有经过适当培训和许可的授权人员可以查阅个人资料;
(iii) 确保有安全和既定的控制措施,以确保处理系统和服务的持续安全性、 完整性、可用性和复原力;
(iv) 建立有组织的事件应对程序,确保及时通知和应对信息安全和/或个人数据事件;
(v) 维护内部政策、程序和评估,这些政策、程序和评估旨在遵守数据保护法,并在其他方面确保个人数据安全,防止意外或非法丢失、访问或披露;以及
(vi) 建立定期检测、评估和评价其技术和组织措施有效性的程序,包括对人员的培 训和宣传,以确保本附件 II 规定的措施落实到位。
附件 III- 不适用
代表统计局签署
Stats Perform 实体名称:Perform 内容有限公司
签名:____________________________________
签字人姓名:____________________________________
日期:____________________________________
许可证实体名称:____________________________________
签名:____________________________________
签字人姓名:____________________________________
日期:____________________________________