GDPR合规

概述

欧盟的《一般数据保护条例》(GDPR)保护欧盟数据主体的基本隐私权和个人数据保护。它引入了强有力的要求,将提高和协调数据保护、安全性和合规性标准。

什么是GDPR?

《通用数据保护条例》(GDPR)是一项新的欧洲隐私法,将于2018年5月25日生效。GDPR将取代欧盟数据保护指令,也被称为95/46 / EC号指令,旨在通过适用在每个成员国都具有约束力的单一数据保护法来协调整个欧盟(EU)的数据保护法。

所有eclincher服务都已为GDPR做好准备

eclincher使用高级加密方法加密数据,包括使用HTTPS。eclincher还使用高级加密技术对静止数据进行加密,在适当的情况下,利用Amazon AWS的密钥管理服务(KMS),旨在确保数据不能被第三方解密。

eclincher使用OAuth 2.0安全认证协议对支持的平台和第三方应用进行授权。

对eclincher信息系统、沙盒环境和生产环境的访问仅限于具有安全控制的适当授权用户,这些安全控制包括多因素身份验证、单点登录和OAuth 2.0。

eclincher维护变更管理控制机制,以确保变更按照eclincher的变更管理政策和相应的变更管理程序执行,其中包括批准所有变更进入生产。

Eclincher确保开发、测试和生产环境的存在和分离。

eclincher定期测试其信息安全计划的关键控制、系统和程序,以确保其正确实施和有效,包括由Amazon AWS进行的持续渗透测试受信任的顾问亚马逊AWS云跟踪,亚马逊AWS检查器。

Eclincher维护了一个灾难恢复、备份和业务连续性计划,旨在确保其服务的持续交付。

eclincher使用行业领先的第三方供应商和托管合作伙伴(如Amazon AWS)提供运行服务所需的必要硬件、软件、网络、存储和相关技术。阅读更多亚马逊AWS GDPR合规,AWS pdf上的GDPR合规性

用户可以删除与他或她连接的第三方帐户(如社交媒体帐户)关联的个人数据。打开添加和管理帐户弹出并删除您的帐户。用户也可以通过要求我们的客户支持删除他或她的帐户(通过我们网站上的实时聊天)来要求删除他或她的所有数据。

在任何时候,用户可以通过我们网站上的实时聊天联系我们的客户支持来要求他或她的数据。在验证用户身份之后,我们将导出数据并通过电子邮件发送给用户。可用于导出的数据:收件箱项和自动发送队列和邮件。

如果用户决定离开我们的服务,或者干脆不使用我们的服务,在不登录我们的应用程序或平台的72天后,他或她的数据将被永久删除。

数据处理协议

本数据处理协议(“协议”)适用于eclincher在欧洲的所有订户。我们知道这听起来很法理——的确如此;它是由布鲁塞尔的律师撰写和执行《隐私条例总则》的。本协议构成您作为eclincher服务订阅者(“订阅者”)与eclincher, Inc.(“数据处理者”)(合称“双方”)之间的服务条款(“TOS”)的一部分。

(A)订阅者充当数据控制器。

(B)用户希望将包含个人数据处理的某些服务分包给数据处理者。

(C)双方寻求实施一项数据处理协议,该协议符合当前数据处理法律框架的要求,以及欧洲议会和理事会2016年4月27日关于在个人数据处理方面保护自然人和此类数据自由流动的条例(EU) 2016/679,并废除指令95/46/EC(通用数据保护条例)。

(D)双方希望确定各自的权利和义务。

协议如下:

1.定义和解释

1.1除非本协议另有规定,本协议中使用的大写术语和表述应具有以下含义:

1.1.1“协议”指本《数据处理协议》及所有附表;

1.1.2“订户个人数据”系指合同处理方代表订户根据本服务条款或与本服务条款有关处理的任何个人数据;

1.1.3“签约处理器”指子处理器;

1.1.4“数据保护法”是指欧盟数据保护法以及(在适用的范围内)任何其他国家的数据保护或隐私法;

1.1.5“EEA”系指欧洲经济区;

1.1.6“欧盟数据保护法”指欧盟指令95/46/EC,该指令已转换为每个成员国的国内立法,并不时被修订、取代或取代,包括由GDPR和实施或补充GDPR的法律所取代;

1.1.7“GDPR”指欧盟通用数据保护条例2016/679;

1.1.8“数据传输”指:

1.1.8.1将用户个人数据从用户转移到订约处理者;或

1.1.8.2用户个人数据从订约处理方转移到分包处理方,或在订约处理方的两个机构之间转移,在每种情况下,数据保护法(或为解决数据保护法数据转移限制而制定的数据转移协议条款)将禁止此类转移;

1.1.9“服务”指订户提供的社交媒体管理服务。

1.1.10“子处理器”系指处理方或其代表处理方指定的、代表订阅方处理与本协议有关的个人数据的任何人。

1.2术语“委员会”、“控制者”、“数据主体”、“成员国”、“个人数据”、“个人数据泄露”、“处理”和“监管机构”与GDPR中的含义相同,其同源术语应作相应解释。

2.订户个人资料的处理

2.1处理者应:

2.1.1在处理用户个人数据时遵守所有适用的数据保护法律;而且

2.1.2除相关订户书面指示外,不得处理订户个人数据。

2.2订阅者指示处理者处理订阅者个人数据。

3.处理人员
处理者应采取合理步骤,确保可能访问用户个人数据的任何订约处理者的任何员工、代理或承包商的可靠性,确保在每种情况下,访问严格限于为本服务条款目的严格必要而需要了解/访问相关用户个人数据的个人,并在个人对订约处理者的责任范围内遵守适用法律。确保所有此类个人都受到保密承诺或专业或法定保密义务的约束。

4.安全

考虑到技术水平、实施成本、处理的性质、范围、背景和目的,以及自然人权利和自由的不同可能性和严重程度的风险,处理者应就用户个人数据实施适当的技术和组织措施,以确保与该风险相适应的安全级别,包括在适当情况下GDPR第32(1)条中提到的措施。

在评估适当的安全级别时,处理者应特别考虑处理所带来的风险,特别是来自个人数据泄露的风险。

5.Subprocessing

5.1处理方不得指定(或向任何子处理方披露任何用户个人数据),除非用户要求或授权。

6.数据主体权利

6.1考虑到处理的性质,处理者应在可能的情况下,通过实施适当的技术和组织措施协助订阅者履行订阅者合理理解的义务,以响应行使数据保护法规定的数据主体权利的请求。

6.2处理器应:

6.2.1如果收到数据主体根据任何数据保护法提出的关于认购人个人数据的请求,则立即通知认购人;而且

6.2.2确保除按照用户的书面指示或处理者所遵守的适用法律的要求外,处理者不响应该请求,在这种情况下,处理者应在适用法律允许的范围内,在合同处理者响应该请求之前,将该法律要求告知用户。

7.个人资料泄露

7.1在处理方意识到影响用户个人数据的个人数据泄露后,处理方应毫不迟延地通知订阅方,并向订阅方提供足够的信息,使订阅方能够履行根据数据保护法报告或通知数据主体个人数据泄露的任何义务。

7.2处理者应与用户合作,并按照用户的指示采取合理的商业步骤,以协助调查、缓解和补救每次此类个人数据泄露。

8.数据保护影响评估和事先磋商处理者应向订户提供合理的协助,协助订户进行任何数据保护影响评估,并与监管机构或其他主管数据隐私机构进行事先磋商,订户合理地认为GDPR第35或36条或任何其他数据保护法的同等规定要求进行这些评估,在每一种情况下,仅涉及以下方面对订户个人数据的处理:并考虑到处理的性质和订约处理者可获得的信息。

9.删除或归还订户个人资料

9.1根据本第9条的规定,处理者应立即并在任何情况下在涉及处理用户个人数据的任何服务停止之日起10个工作日内(“停止日期”)删除并促使删除该用户个人数据的所有副本。

10.审计的权利

10.1根据第10条的规定,处理者应应用户要求向用户提供所有必要的信息,以证明遵守本协议,并应允许用户或用户授权的审计人员就订约处理者处理用户个人数据进行审计,包括检查。

10.2订阅者的信息和审计权利仅在第10.1条项下产生,但本协议未给予订阅者符合《数据保护法》相关要求的信息和审计权利。

11.数据传输

11.1未经用户事先书面同意,处理方不得将数据转移或授权转移至欧盟和/或欧洲经济区(EEA)以外的国家。如果根据本协议处理的个人数据从欧洲经济区内的国家转移到欧洲经济区以外的国家,双方应确保个人数据得到充分保护。为此,除非另有约定,双方应依据欧盟批准的转移个人数据的标准合同条款。

12.一般条款

12.1保密。各方均须对本协议及其收到的关于另一方及其与本协议有关的业务的信息(“保密信息”)予以保密,且未经另一方事先书面同意,不得使用或披露该保密信息,但在以下情况下除外:
(a)法律要求披露;
(b)有关资料已属于公众领域。

12.2通知。在本协议项下发出的所有通知和通信均必须采用书面形式,并将亲自递送、邮寄或通过电子邮件发送到本协议标题中所列的地址或电子邮件地址,该地址或电子邮件地址为双方不时变更的地址所通知的其他地址。

13.适用法律及司法管辖权

13.1本协议受加利福尼亚州法律管辖。

13.2因本协议引起的任何争议,如双方无法友好解决,均应提交美国加利福尼亚州圣克拉拉县的州或联邦法院进行专属管辖。