GDPR合规性

概述

欧盟的一般数据保护法规(GDPR)保护欧盟数据主体隐私和保护个人数据的基本权利。它引入了强大的要求,将提高和协调数据保护,安全性和合规性的标准。

什么是GDPR?

一般数据保护法规(GDPR)是一项新的欧洲隐私法,该法将于2018年5月25日强制执行。GDPR将取代欧盟数据保护指令,也称为指令95/46/EC,旨在通过应用在每个成员国具有约束力的单个数据保护法来协调整个欧盟(EU)的数据保护法。

所有Eclincher服务都准备好了

Eclincher使用高级加密方法来加密数据,包括使用HTTPS。Eclincher还使用高级加密来在适当的情况下在REST上加密数据,以利用Amazon AWS的密钥管理服务(KMS),并旨在确保第三方不能解密数据。

Eclincher使用OAuth 2.0安全身份验证协议来授权支持的平台和第三方应用程序。

访问Eclincher信息系统,沙盒环境和生产环境仅限于具有安全控件的适当授权用户,其中包括多因素身份验证,单登录和OAUTH 2.0。

Eclincher维持变更管理控制机制,以确保根据Eclincher的变更管理政策和相应的变更管理程序进行更改,其中包括所有更改中的所有变更。

Eclincher确保存在并隔离开发,测试和生产环境。

Eclincher定期测试其信息安全计划的关键控件,系统和程序,以确保它们正确实施和有效,包括亚马逊AWS进行的持续渗透测试值得信赖的顾问,,,,亚马逊AWS云步道, 和亚马逊AWS检查员。

Eclincher保持了灾难恢复,备份和业务连续性计划,旨在确保其服务不断提供。

Eclincher使用行业领先的第三方供应商和托管合作伙伴(例如Amazon AWS)来提供运行服务所需的必要硬件,软件,网络,存储和相关技术。阅读更多有关Amazon AWS GDPR合规性, 和GDPR遵守AWS PDF

用户可以删除与他或她连接的第三方帐户相关的个人数据(例如社交媒体帐户)。打开添加和管理帐户弹出窗口并删除您的帐户。用户还可以请求他或她的所有数据通过请求我们的客户支持删除其帐户(通过我们网站的实时聊天)来删除。

在任何时候,用户可以通过我们网站上的实时聊天与我们的客户支持联系,请求他或她的数据。验证用户身份后,我们将导出并将数据发送给用户。用于导出的可用数据:收件箱项目和自动发布队列和帖子。

如果用户决定离开我们的服务,或者根本不使用我们的服务,则在没有登录我们的应用程序或平台的72天之后,他或她的数据可以永久删除。

数据处理协议

欧洲所有Eclincher的订户都需要该数据处理协议(“协议”)。我们知道这听起来是合法的 - 是;它是由布鲁塞尔的律师撰写的,他们撰写并执行了有关隐私法规的一般指令。本协议构成了您之间的服务条款(“ TOS”)的一部分,作为Eclincher服务(“订户”)的订户,以及Eclincher,Inc。(“数据处理器”)(作为“当事人”)。

然而

(a)用户充当数据控制器。

(b)订户希望将某些服务(暗示个人数据处理)分包给数据处理器。

(c)各方试图实施一项数据处理协议,该协议符合当前法律框架与数据处理以及欧洲议会2016/679的法规(EU)和2016年4月27日理事会的要求(EU)自然人在处理个人数据和此类数据的自由移动方面的保护,并废除指令95/46/EC(一般数据保护法规)。

(d)当事方希望制定其权利和义务。

同意如下:

1.定义和解释

1.1除非此处另有定义,否则本协议中使用的大写条款和表达式应具有以下含义:

1.1.1“协议”是指本数据处理协议和所有时间表;

1.1.2“订户个人数据”是指根据TOS或与TOS有关的订户处理合同处理器处理的任何个人数据;

1.1.3“合同处理器”是指子处理器;

1.1.4“数据保护法”是指欧盟数据保护法,并且在适用的范围内,是任何其他国家的数据保护或隐私法律;

1.1.5“ EEA”是指欧洲经济区;

1.1.6“欧盟数据保护法”是指欧盟指令95/46/EC,将其转移到每个成员国的国内立法中,并不时修改,更换或取代,包括GDPR和实施或补充GDPR的法律;

1.1.7“ GDPR”是指2016/679欧盟一般数据保护条例;

1.1.8“数据传输”的意思是:

1.1.8.1订户个人数据从订户转移到合同处理器;或者

1.1.8.2订户个人数据从合同处理器向外转移到分包处理器,或在合同处理器的两个机构之间,在每种情况下,数据保护法(或通过数据传输条款)禁止此类转让达成了解决数据保护法的数据传输限制的协议;

1.1.9“服务”是指订户提供的社交媒体管理服务。

1.1.10“子处理器”是指由与协议有关的订户代表订户处理个人数据的任何人。

1.2术语,“委员会”,“控制者”,“数据主题”,“成员国”,“个人数据”,“个人数据泄露”,“处理”和“监督管理局”应具有与GDPR中相同的含义,以及他们的同源术语应相应地解释。

2.处理订户个人数据的处理

2.1处理器应:

2.1.1在处理订户个人数据的处理中符合所有适用的数据保护法;和

2.1.2除了相关订户的记录说明外,没有处理订户个人数据。

2.2用户指示处理器处理订户个人数据。

3.处理器人员
处理器应采取合理的步骤,以确保任何合同处理器的任何雇员,代理商或承包商的可靠性,这些处理器可能可以访问订户个人数据,以确保在每种情况下都严格限于那些需要了解 /访问相关订户的个人Personal Data, as strictly necessary for the purposes of the TOS, and to comply with Applicable Laws in the context of that individual’s duties to the Contracted Processor, ensuring that all such individuals are subject to confidentiality undertakings or professional or statutory obligations of confidentiality.

4.安全性

4.1考虑到艺术的状态,实施成本以及性质,范围,背景和处理的目的以及对自然人的权利和自由的可能性和严重性的风险,处理者应与订户有关个人数据实施适当的技术和组织措施,以确保适合该风险的安全级别,包括适当的GDPR第32(1)条所指的措施。

4.2在评估适当的安全级别时,处理器应特别考虑通过处理所带来的风险,特别是个人数据泄露。

5.子处理

5.1处理器不得任命(或披露任何订户个人数据),除非订户要求或授权。

6.数据主题权利

6.1考虑到处理的性质,处理器应通过实施适当的技术和组织措施来协助订阅者,但这是可能的,因为订阅者履行了订户义务,订户义务是订户合理理解的,以应对行使数据主题权利的请求根据数据保护法。

6.2处理器应:

6.2.1立即通知订户是否根据任何数据保护法收到有关订户个人数据的数据主题的请求;和

6.2.2确保除了根据订户的记录说明或处理器所遵循的适用法律所要求的指示,在这种情况下应在适用的法律允许的范围内告知订户,在此案例处理器中,该请求不回应该请求。在合同处理器响应请求之前。

7.个人数据泄露

7.1处理器应在处理器意识到影响订阅者个人数据的个人数据泄露事件后不延迟的情况下通知订户,从。

7.2处理器应与订户合作,并按照用户指示的合理商业步骤来协助调查,缓解和修复每个此类个人数据泄露。

8.数据保护影响评估和事先咨询处理器应通过任何数据保护影响评估为订户提供合理的援助,并与监督当局或其他主管数据隐私部门进行事先磋商,这些订阅者合理考虑了第35条或第36条的要求任何其他数据保护法的GDPR或同等规定,在每种情况下,仅与订户个人数据处理并考虑到合同处理器可用的处理和信息的性质。

9.删除或订阅者个人数据的返回

9.1根据本第9节的约束,应及时并在任何情况下在戒烟之日起10个工作日内,涉及处理订户个人数据(“停止日期”)的10个工作日期,删除并获取所有这些副本的删除订户个人数据。

10.审计权利

10.1根据本第10条,处理器应根据要求提供给订户提供的所有信息,以证明符合本协议,并应允许并为审计,包括检查,由订户或订户规定的审计师在处理方面与处理有关合同处理器的订户个人数据。

10.2订户的信息和审计权仅根据第10.1条出现,以至于该协议否则不给予他们符合数据保护法相关要求的信息和审计权利。

11.数据传输

11.1未经用户事先书面同意,处理器不得将数据转移或授权将数据转移给欧盟和/或欧洲经济区(EEA)以外的国家。如果根据本协议处理的个人数据从欧洲经济区域内的一个国家转移到欧洲经济区以外的一个国家,则当事方应确保个人数据得到充分保护。为了实现这一目标,当事各方应依靠欧盟批准的标准合同条款来传输个人数据。

12.一般条款

12.1机密性。双方必须遵守与本协议(“机密信息”)机密的有关另一方及其业务的信息,并且不得在未经另一方事先书面同意的情况下使用或披露该机密信息或披露该机密信息范围:
(a)法律要求披露;
(b)相关信息已经在公共领域中。

12.2通知。本协议下给出的所有通知和通讯必须以书面形式,并将通过邮寄发送或通过电子邮件发送到本协议标题中列出的地址或电子邮件地址,该地址不时通知各方更改地址。

13.法律和管辖权

13.1本协议受加利福尼亚州法律管辖。

13.2与本协议有关的任何争议,当事方将无法友好地解决,将提交美国加利福尼亚州圣塔克拉拉县的州或联邦法院的专属管辖权。