GDPR合规

概述

欧盟《通用数据保护条例》(GDPR)保护欧盟数据主体的基本隐私权和个人数据保护。它引入了健壮的需求,将提高和协调数据保护、安全和遵从性的标准。

GDPR是什么?

《通用数据保护条例》(GDPR)是一项新的欧洲隐私法,将于2018年5月25日生效。GDPR将取代欧盟数据保护指令,也被称为95/46 / EC号指令,旨在通过适用统一的数据保护法,统一整个欧盟(EU)的数据保护法律,该法律在每个成员国都具有约束力。

所有eclincher服务都是GDPR准备好的

eclincher使用高级加密方法加密数据,包括使用HTTPS。eclincher还在适当的情况下使用高级加密技术对静止数据进行加密,这利用了Amazon AWS的密钥管理服务(KMS),旨在确保数据不能被第三方解密。

eclincher使用OAuth 2.0安全认证协议对支持的平台和第三方应用程序进行授权。

对eclincher信息系统、沙箱环境和生产环境的访问仅限于通过安全控制(包括多因素身份验证、单点登录和OAuth 2.0)进行适当授权的用户。

eclincher维护变更管理控制机制,以确保变更按照eclincher的变更管理政策和相应的变更管理程序执行,其中包括所有变更进入生产的批准。

Eclincher确保开发、测试和生产环境的存在和分离。

eclincher定期测试其信息安全项目的关键控制、系统和程序,以确保它们得到适当和有效的实施,包括由Amazon AWS进行的持续渗透测试受信任的顾问Amazon AWS云路径,Amazon AWS检查员。

Eclincher维护一个灾难恢复、备份和业务连续性计划,旨在确保其服务的持续交付。

eclincher使用业界领先的第三方供应商和托管合作伙伴,如Amazon AWS,提供必要的硬件、软件、网络、存储和运行服务所需的相关技术。阅读更多关于遵从Amazon AWS GDPR,关于AWS的GDPR遵从性pdf

用户可以删除与其连接的第三方账户(如社交媒体账户)关联的个人数据。打开添加和管理帐户弹出和删除您的帐户。用户也可以通过请求我们的客户支持删除他或她的帐户(通过我们的网站实时聊天)来要求删除他或她的所有数据。

在任何时候,用户都可以通过我们网站上的实时聊天联系我们的客户支持来请求他或她的数据。在验证用户身份后,我们将导出数据并通过电子邮件发送给用户。可用于导出的数据:收件箱项和自动发布队列和发布。

如果用户决定离开我们的服务,或仅仅是不使用我们的服务,在72天不登录我们的应用程序或平台后,他或她的数据将被永久删除。

数据处理协议

本数据处理协议(“协议”)是eclincher在欧洲的所有订阅者必须遵守的。我们知道这听起来像法律条文——的确如此;它是由布鲁塞尔的律师撰写和执行的《隐私条例总指令》。本协议构成您作为eclincher服务的订阅者(“订阅者”)与eclincher, Inc.(“数据处理器”)(合称“双方”)之间的服务条款(“TOS”)的一部分。

(A)订阅者充当数据控制器。

(B)订户希望将某些涉及个人数据处理的服务分包给数据处理方。

(C)双方寻求实施一项数据处理协议,该协议应符合与数据处理有关的当前法律框架的要求,并符合欧洲议会和理事会2016年4月27日关于个人数据处理方面对自然人的保护和此类数据的自由流动的法规(EU) 2016/679,以及废除指令95/46/EC(通用数据保护法规)的要求。

(D)双方希望确定自己的权利和义务。

双方商定如下:

1.定义和解释

1.1除非本协议另有定义,本协议中使用的大写术语和表述应具有以下含义:

1.1.1“协议”指本数据处理协议及所有附表;

1.1.2“认购人个人数据”系指合同处理方根据或与《服务条款》有关,代表认购人处理的任何个人数据;

1.1.3“合同处理机”是指子处理机;

1.1.4“数据保护法”系指欧盟数据保护法以及(在适用范围内)任何其他国家的数据保护法或隐私法;

1.1.5“EEA”系指欧洲经济区;

1.1.6“欧盟数据保护法”是指欧盟指令95/46/EC,被转换为每个成员国的国内立法,并被不时修订、取代或取代,包括被GDPR和实施或补充GDPR的法律所取代;

1.1.7“GDPR”指欧盟通用数据保护条例2016/679;

1.1.8“数据传输”指:

1.1.8.1将认购人的个人数据从认购人转交给订约处理商;或

1.1.8.2用户个人数据从合同处理程序转移到分包处理程序,或在合同处理程序的两个机构之间转移,在每一种情况下,数据保护法(或为解决数据保护法的数据转移限制而制定的数据转移协议条款)禁止此类转移;

1.1.9“服务”指订方提供的社交媒体管理服务。

1.1.10“子处理人”指处理人指定或代表处理人处理与本协议有关的个人数据的任何人。

1.2术语“委员会”、“控制者”、“数据主体”、“成员国”、“个人数据”、“个人数据泄露”、“处理”和“监管机构”的含义与GDPR中相同,其相关术语应相应地解释。

2.订户个人资料的处理

2.1处理程序应当:

2.1.1在处理认购人个人数据时遵守所有适用的数据保护法律;而且

2.1.2不处理认购人的个人数据,除非根据相关认购人的书面指示。

2.2订阅者指示处理器处理订阅者个人数据。

3.处理人员
处理方应采取合理措施,确保任何合同处理方的任何员工、代理或承包商能够访问订阅方个人数据的可靠性,确保在任何情况下,访问权限仅限于为本服务条款的目的而需要了解/访问相关订阅方个人数据的个人,并在该个人对合同处理方的职责范围内遵守适用法律。确保所有这些个人都受保密承诺或专业或法定保密义务的约束。

4.安全

4.1考虑到技术水平、实施成本、处理的性质、范围、背景和目的,以及对自然人的权利和自由的不同可能性和严重性的风险,处理方应就订阅人个人数据实施适当的技术和组织措施,以确保与该风险相适应的安全水平,包括在适当情况下,GDPR第32(1)条所述的措施。

4.2在评估适当的安全级别时,处理方应特别考虑处理方带来的风险,特别是来自个人数据泄露的风险。

5.Subprocessing

5.1除非经认购人要求或授权,处理人不得委任(或向任何子处理人披露任何认购人个人数据)。

6.数据对象的权利

6.1考虑到处理的性质,处理方应在可能的情况下,协助认购方实施适当的技术和组织措施,以履行认购方合理理解的认购方义务,响应根据数据保护法行使数据主体权利的请求。

6.2处理程序应当:

6.2.1如果认购方收到数据主体根据任何数据保护法提出的关于认购方个人数据的要求,立即通知认购方;而且

6.2.2确保除根据认购人的书面指示或处理机所属的适用法律的要求外,处理机不得对该要求作出回应。在这种情况下,处理机应在适用法律允许的范围内,在合同处理机对该要求作出回应之前将该法律要求告知认购人。

7.违反个人资料

7.1处理方在意识到影响订阅方个人数据的个人数据泄露时,应毫不迟延地通知订阅方,向订阅方提供足够的信息,使订阅方能够履行根据数据保护法向数据主体报告或通知个人数据泄露的义务。

7.2处理方应与认购方合作,并按照认购方指示采取合理的商业步骤,以协助对每一次此类个人数据泄露的调查、缓解和补救。

8.数据保护影响评估和事先协商处理方应向认购方提供合理的协助,包括认购方合理地认为《GDPR》第35条或第36条或任何其他数据保护法的同等条款所要求的任何数据保护影响评估,以及与监管机构或其他数据隐私主管机构的事先协商,在每一种情况下,处理方应仅通过以下方式向认购方提供,并考虑到加工的性质和合同加工者可获得的信息。

9.删除或归还订户个人资料

9.1在遵守本第9条的前提下,处理方应在涉及处理订阅方个人数据的任何服务停止之日(“停止日期”)起的10个工作日内,立即删除并促使删除该订阅方个人数据的所有副本。

10.审计的权利

10.1根据本第10条的规定,处理方应应订阅者的要求,向订阅者提供证明遵守本协议所需的所有信息,并应允许订阅者或订阅者授权的审计师就合同处理方处理订阅者个人数据一事进行审计,包括检查,并对此作出贡献。

10.2订阅者的信息和审计权仅在本协议未向其提供符合《数据保护法》相关要求的信息和审计权的情况下才根据第10.1条产生。

11.数据传输

11.1未经认购人事先书面同意,处理方不得将数据转移或授权转移到欧盟和/或欧洲经济区(EEA)以外的国家。如果本协议项下处理的个人数据从欧洲经济区内的一个国家转移到欧洲经济区外的一个国家,双方应确保个人数据得到充分保护。为此,除非另有约定,双方应依赖欧盟批准的个人数据转移标准合同条款。

12.一般条款

12.1保密。各方必须对本协议以及其收到的关于另一方及其与本协议有关的业务的信息(“机密信息”)予以保密,且在未经另一方事先书面同意的情况下,不得使用或披露该机密信息,但以下情况除外:
(a)法律要求披露;
(b)有关资料已在公众范围内。

12.2通知。在本协议项下发出的所有通知和通信必须采用书面形式,并将以专人递送、邮寄或通过电子邮件发送到本协议标题中所列的地址或电子邮件地址,该地址为双方不时更改的地址所通知的其他地址。

13.适用法律及司法管辖权

13.1本协议受加利福尼亚州法律管辖。

13.2因本协议而产生的任何争议,如果双方无法友好解决,则应提交位于美国加利福尼亚州圣克拉拉县的州或联邦法院独家管辖。