国际数据处理补充条款

本数据处理补充协议连同所有附件(“附录”)日期为2023年1月1日(“附录生效日期”)构成现有或同期货物与服务合同的一部分(“协议”)之间:Sycomp A Technology Company, Inc. (赛克谱) 以及客户公司(“公司”)代表其自身及/或作为其关联公司的代理人接受本补充协议。.

公司与Sycomp已签署协议,根据该协议,Sycomp向公司提供特定软件及SaaS许可、专业服务及硬件(在本补充协议中统称为“解决方案”由第三方原始设备制造商、软件及SaaS许可方和服务提供商提供的(“转售合作伙伴”Sycomp在提供解决方案时,仅依据适用法律(定义如下)收集和处理最低限度的公司个人数据(定义如下)。 当仅转售合作伙伴可访问与公司个人数据相关信息(包括但不限于公司客户、雇员、管理人员、承包商及代理人的信息,且不限于适用法律定义的个人信息/个人数据)时,Sycomp既无权访问亦不参与公司个人数据的处理。在此情况下,公司确认其与转售合作伙伴的关系将依据适用法律规范公司个人数据的处理,本补充条款不适用。.

本补充协议所用术语应具有本补充协议所载定义。本补充协议中未另行定义的大写术语应具有协议中赋予的含义。除下文另有修改外,协议条款仍具有完全效力。.

双方在此同意,下列条款和条件应作为本协议的附件予以补充。.

1.              全球条款

1.1 定义。.

1.1.1 “附属机构”指拥有或控制、被拥有或控制、或与任一公司或Sycomp处于共同控制或共同所有权下的实体,其中控制权定义为通过直接或间接持有表决权证券、合同或其他方式,拥有指导或促使指导实体管理层及政策制定的权力。".

1.1.2 “适用法律”指适用于公司个人数据的任何隐私或安全法律。 包括(不限于)《通用数据保护条例》(欧盟2016/679)(“GDPR”)、《隐私与电子通信指令》(2002/58/EC)、英国《数据保护法》(DPA)及英国GDPR、《瑞士联邦数据保护法》、2018年《加州消费者隐私法案》 (《加州民法典》第1798.100条及后续条款)、《2020年加州隐私权法案》、《弗吉尼亚州消费者数据保护法》(《弗吉尼亚法典》第59.1编第53章及后续条款)、《科罗拉多州隐私法》(《科罗拉多修订法规》第6-1-1302条及后续条款)、 犹他州消费者隐私法案(犹他州法典第13-61-101条及以下条款),以及任何与上述法规范围相似的美国各州隐私立法,及其下属实施条例(所有条款均可能不时修订)。.

1.1.3 “公司个人数据” 指由Sycomp代表公司处理或收集的信息,该信息能够识别、关联、描述特定已识别或可识别的个人或家庭,或能够直接或间接地与之建立合理联系。.

1.1.4                “数据主体” 指任何可识别身份的个人或家庭,其信息目前包含或曾包含于公司个人数据中。.

1.1.5                “个人数据泄露” 指对传输、存储或以其他方式处理的公司个人数据发生的意外、未经授权或非法的破坏、丢失、篡改、泄露或访问行为。若任何适用法律中出现的“泄露”、“数据泄露”或“个人数据泄露”定义范围较本处定义更为广泛,则以该法律中的定义为准。.

1.1.6                “过程” 指对公司个人数据执行的任何操作或操作组合。.

1.1.7                “处理记录” 指代表公司进行的所有处理活动完整、准确且最新的书面记录。.

1.1.8                “处理器” 指任何执行公司个人数据处理的实体。就本协议及附件而言,Sycomp及其任何授权分包商均为处理者。.

1.1.9                “监管机构” 指任何负责执行适用法律的政府机构。.

1.1.10              “出售”/”销售” 具有适用法律(例如《2018年加州消费者隐私法案》)所规定的含义。例如(但不限于),“出售”可能指企业为获取金钱或其他有价对价,向其他企业或第三方出售、出租、发布、披露、传播、提供或转让消费者的个人信息。.

1.1.11              “分享” 具有适用法律(例如《2020年加州隐私权法案》)所载的含义。例如(但不限于)“共享”可能指为跨场景行为广告目的向第三方披露公司个人数据(包括出租、发布、披露、传播、提供、转移或通过口头、书面、电子或其他方式进行的任何形式的传达)。.

1.1.12 “次级处理者”处理者”指由Sycomp指定处理公司个人数据的任何处理方(包括任何第三方及Sycomp关联公司)。此定义涵盖(但不限于)根据《2018年加州消费者隐私法案》被界定为服务提供商的实体。.

1.2            数据处理授权。.

1.2.1 双方无意让Sycomp在履行本协议的常规过程中处理公司个人数据。但若Sycomp处理公司个人数据,则须遵守本补充条款的规定。.

1.2.2 Sycomp不得为本协议、本附件或公司书面指示所规定目的之外的任何目的处理公司个人数据。若Sycomp认为任何处理指令违反适用法律,应立即通知公司。除为提供解决方案及履行协议项下服务所需外,Sycomp不得出于商业目的访问、保留、使用或披露公司个人数据。.

1.2.3                附件1 本附录载明Sycomp处理公司个人数据的若干信息。公司可对本附录作出合理修订。 附件1 通过书面通知不时向Sycomp发出。.

1.3            遵守适用法律。. Sycomp与公司各自声明并保证,将遵守适用法律,包括所有已颁布或后续颁布的相关法规及其他类似法律法规。公司声明其拥有向Sycomp提供公司个人数据所需的一切必要权利,以配合解决方案的提供。.

1.4            保密性与安全性.

1.4.1 Sycomp应在处理公司个人数据时,依据适用法律实施并维持适当的技术和组织措施。具体而言,Sycomp将在协议有效期内保持ISO/IEC 27001:2013标准的合规性,并应公司要求提供证明文件。  Sycomp应确保其代理机构及代表在处理公司个人数据时已签署保密协议,并采取一切合理措施确保处理公司个人数据的Sycomp代表接受关于遵守本附件及相关法律的充分培训。.

1.5            数据主体权利.

1.5.1 Sycomp应协助公司回应数据主体就其持有的公司个人数据(或其分包处理者持有的数据)依据适用法律行使权利所提出的投诉、沟通或请求。 这至少包括:Sycomp及其子处理者须保持以下能力:访问、修改、停止处理、不可撤销地删除或销毁、更正、传输(即数据可携权)、 限制或限制敏感个人信息(该术语定义以适用法律为准)的使用,或在公司提出要求时(“数据主体请求”)不销售或共享(该术语定义以适用法律为准)个人数据主体的数据。.

1.5.2 若Sycomp或任何分包处理者或其他分包商根据公司的指示直接向数据主体收集数据,Sycomp应确保在收集数据主体信息之时或之前,向数据主体提供公司的隐私政策。.

1.5.3 Sycomp在收到数据主体请求时应立即通知公司。若适用法律有要求,Sycomp将告知数据主体其作为服务提供商或处理者(依据适用法律)的身份,并说明数据主体应联系公司或相应分销合作伙伴。  否则,Sycomp应等待公司指示是否及如何回应此类请求。公司应向Sycomp提供最新联络信息,以便Sycomp转交数据主体请求。.

1.6            个人数据泄露.

1.6.1 若发生任何未经授权的第三方实际或疑似访问或获取公司个人数据的情况, Sycomp应立即(但不得迟于知悉潜在个人数据泄露后48个工作小时)向公司通报潜在个人数据泄露事件,并通过书面或电子邮件形式(在可行的情况下,于知悉潜在个人数据泄露后10个工作日内)及时向公司提供其合理要求的详细信息,同时承认这些信息可能随着后续发现的补充细节而更新。  此外,Sycomp应调查并修复潜在个人数据泄露事件。若该事件导致公司或Sycomp负有向相关监管机构或受影响数据主体通报的法定义务,或可能使受影响数据主体面临风险,Sycomp应向公司提供令其满意的保证,确保个人数据泄露事件不再发生。  Sycomp保证,若发生涉及公司个人数据的泄露事件,所有应对措施均将形成书面记录,并对事件经过及采取的补救措施(如有)进行事后审查,以防止事件重演。  Sycomp同意在处理该事项时与公司全面合作,包括但不限于履行适用法律法规要求的任何调查、报告或其他义务(包括回应监管机构的询问或调查),或根据公司其他要求采取行动,并将协同公司应对并减轻个人数据泄露造成的损害。未经公司事先书面授权,Sycomp不得向任何第三方披露个人数据泄露事件。.

1.6.2 Sycomp应与公司及其各关联公司合作,并应要求任何分包商采取合理商业措施,协助调查、减轻及补救任何此类个人数据泄露事件。.

1.7            删除或返还公司个人数据. Sycomp应在收到公司书面要求后,立即安全删除或以纸质或电子形式将公司个人数据归还公司。 在完成协议预期的服务后,Sycomp应在合理可行范围内尽快安全删除所有现有公司个人数据副本(包括电子版和纸质版),除非适用法律或其他相关法规要求保留数据。若公司个人数据存储于备份介质中,仅当该备份介质用于恢复Sycomp系统时,才需删除公司个人数据。.

1.8            数据隐私影响评估与事前咨询。. Sycomp应就适用法律要求针对Sycomp处理公司个人数据所进行的任何数据保护影响评估,向公司提供合理协助。.

1.9            赔偿。.  Sycomp同意,对于因违反本补充协议而产生的损害所引发的响应及/或损害减缓所产生的所有费用,包括涉及Sycomp或其分包商保管的公司个人数据的安全漏洞,或Sycomp对本补充协议项下数据保护及隐私义务的任何重大违约行为,Sycomp应向公司进行赔偿并承担赔偿责任。.

1.10         由Sycomp独自承担费用的演出。. Sycomp遵守本补充协议以及为遵守与协议相关的适用法律而需采取的任何行动,均应由Sycomp独自承担全部费用,且不会导致解决方案产生额外费用(协议中已明确规定的情况除外)。 公司为遵守与本协议相关的适用法律而需采取的任何行动,均应由公司独自承担全部费用(除非本协议已有明确规定)。.

1.11         本附录的变更。. Sycomp可不时更新本补充条款的条款;但前提是,除非Sycomp至少提前30天向公司发出书面通知,且在收到该通知后7天内给予公司取消协议的机会(若公司不同意重大变更),否则Sycomp不得实质削弱本补充条款中的保护措施。.

1.12 适用法律变更。若任何适用法律在任何方面发生重大变更,以致本补充协议无法符合任何新增或修订的适用法律(「“新法规”公司可就本补充协议提出修订建议,若公司合理认为该等修订对于满足任何新法规的要求确有必要(“拟议修正案”Sycomp与公司双方应本着诚意协商任何拟议修订条款,Sycomp不得无理拒绝书面同意。.

1.13         一般条款 本补充协议中关于个人数据处理所施加于Sycomp的任何义务,在个人数据持续被处理期间,应在本补充协议终止或到期后继续有效。若本补充协议的任何条款无效或不可执行,其余条款仍应保持有效并继续执行。  无效或不可执行的条款应:(a) 在尽可能保留条款原意的前提下进行必要修订以确保其有效性与可执行性;若无法实现,则(b) 视同该无效或不可执行部分从未包含于本条款中。公司与Sycomp明确承认并同意,本补充协议包含协议其他部分涉及的条款。  公司与Sycomp特此同意,本文件所述条款及条件应作为协议的附件予以补充。  本附件与协议其他部分应共同解读,并在可行范围内相互协调解释。若协议与本附件存在冲突,应以提供最大程度保护公司个人数据的条款为准;但无论如何,本附件均不得被视为消除、限制或削弱Sycomp根据协议条款对公司承担的义务或承诺。.

2.              国际术语。. 若公司通知Sycomp,根据本协议可能处理欧洲经济区、瑞士、英国、巴西或其他美国境外适用司法管辖区居民的个人信息,则本第2条规定应适用于所有各方,并适用于与提供解决方案相关的公司个人数据处理活动。.

2.1            子处理.

2.1.1 公司授权Sycomp从下文附件1 C节所列清单中聘用次级处理商。Sycomp将以书面形式通知公司任何新增至该清单的次级处理商。收到通知后,公司有权在30天内基于合理理由对新增次级处理商提出异议,前提是适用法律有此要求。 若Sycomp在公司提出合理异议后仍决定聘用次级处理商,公司有权依据协议中的终止条款终止本协议。.

2.1.2 对于每个次级处理者,Sycomp应:

2.1.2.1 对每位次级处理者进行充分的尽职调查,以确保其能够为公司个人数据提供本附件所要求的保护级别,并在监管机构要求时提供此类尽职调查的证明;;

2.1.2.2 与Sycomp及每位次级处理者签订具有约束力的书面合同,并在合同中纳入与本附录所列条款实质相似的条款;;

2.1.2.3 确保经批准的次级处理者已同意仅将信息用于公司的业务目的,并遵守所有适用法律、法规和规章以及公司的指示;以及

2.1.2.4 对分包商就公司个人数据所采取的行动,仍须向公司承担全部责任。.

2.2            国际数据传输。.  

2.2.1 Sycomp 必须事先获得公司的书面同意或指示,才能将任何公司个人数据进行国际转移,或者,对于从公司收到的欧洲经济区(“EEA”)、瑞士或英国(“UK”)境内的公司个人数据,才能将此类数据转移到 EEA 境外或任何国际组织(“国际转移”)。  若公司同意此类国际转移,Sycomp应确保该转移(及后续任何转接转移):(i) 依据书面合同进行,且合同包含关于公司个人数据安全与保密性的充分条款;(ii) 遵循相关法律规定的、具有法律约束力的跨境数据转移机制(其形式和内容须经公司书面批准); (iii) 符合本补充协议规定;(iv) 遵守相关隐私法律。除非各方能依据经欧洲经济区、瑞士及英国认可的充分性机制(“充分性机制”)采用替代传输机制(例如基于第14086号行政令建立的促进美欧数据隐私框架的传输机制),各方应签署经批准的充分性机制协议并作为本补充协议附件。 例如基于第14086号行政令的转移机制,该机制旨在促进美国与欧盟之间的欧盟-美国数据隐私框架),各方应签署经批准的标准合同条款(“SCCs”)或其他法律认可的合同条款,并视需要将其作为本附件的附件,以促进公司个人数据的转移。.

2.2.2                领土。.

2.2.2.1            欧洲经济区。. 关于促进欧洲经济区居民公司个人数据的国际转移,各方应被视为已签署欧洲经济区标准合同条款(SCCs),该条款作为附件二纳入本补充协议。.

2.2.2.2            欧洲经济区 以及 英国。. 关于促进欧洲经济区居民及英国居民的公司个人数据的国际转移,各方应被视为已签署欧洲经济区标准合同条款(SCCs)及英国国际数据转移补充协议,该等文件作为附件2及附件3纳入本补充协议。.

2.2.2.3            仅限英国。. 关于促进英国居民的公司个人数据的国际转移(不包括欧洲经济区居民的公司个人数据),各方应被视为已签署《英国国际数据转移协议》,该协议作为附件4纳入本补充协议。.

2.2.2.4            巴西。. 关于促进巴西居民公司个人数据的国际转移,各方应被视为已签署巴西标准合同条款(SCCs)并将其作为本协议附件,前提是该条款可供使用时。.

2.2.2.5 如有冲突,此类附件中的标准合同条款、英国国际数据传输协议/附录或其他具体规定在适用时优先于本附录条款。.

2.2.2.6 就任何同时受1992年6月19日《瑞士联邦数据保护法》(“FADP”)约束的个人数据转移而言: (i) “成员国”一词的解释不得排除瑞士境内数据主体依据第18(c)条规定,在其惯常居住地提起诉讼以行使权利的可能性;(ii) 相关条款同样保护法人实体的数据,直至修订版《联邦数据保护法》生效。.

2.2.2.7 若各方可依赖充分性机制促进国际数据转移,各方同意应采用该充分性机制作为适当的转移机制,而非标准合同条款或英国国际数据转移协议/附录。.

2.3            相关记录与审计权限。.

2.3.1 Sycomp应保存处理记录,并应公司要求及时提供公司为证明Sycomp遵守适用法律及本附录项下义务而合理所需的信息(包括处理记录),公司可将该等信息披露给监管机构。  处理记录至少应包含以下内容:Sycomp代表公司处理的所有公司个人数据的描述、处理类型、处理目的、同意记录(如有)以及公司合理要求的任何其他信息。.

2.3.2 Sycomp应向公司提供合理的额外协助、信息及合作(费用由公司承担),以协助公司履行适用法律规定的以下义务:(i) 数据安全;(ii) 数据泄露通知;(iii) 回应监管机构或个人关于公司个人数据及/或公司数据隐私或安全实践的请求;以及(iv) 开展数据隐私影响评估。  Sycomp应实施并维持适当的技术和组织措施,协助公司履行其响应数据主体关于公司个人数据请求的义务。这包括确保所有涉及公司个人数据的请求均被记录,并在收到请求后三(3)日内转交公司处理。Sycomp还应配合公司对其合规性的监督工作。.

3.              美国条款。. 若公司通知Sycomp,根据协议可能处理美国居民的个人信息,则本第3条规定应适用于所有各方,并适用于与提供解决方案相关的公司个人数据处理。.

3.1             各方关系。. 在Sycomp根据数据保护法处理公司个人数据的范围内,Sycomp构成《2018年加州消费者隐私法案》及《2020年加州隐私权法案》所定义的“服务提供商”、《弗吉尼亚州消费者数据保护法案》及《科罗拉多州隐私法案》所定义的“处理者”,以及适用法律所理解的任何其他含义相近的术语。.

3.2            处理公司个人数据的目的。. Sycomp在提供解决方案过程中接收、访问、传输或收集的任何公司个人数据,均仅用于Sycomp交付解决方案之目的(详见下文附件5),此类行为不构成数据出售,亦不涉及任何金钱或其他对价。此外,公司个人数据不会用于定向或跨场景广告目的。.

3.3            Sycomp对公司个人数据的处理。. 在向公司提供解决方案的过程中,以及在与公司用户信息相关联的解决方案中接收、访问、传输或收集信息时,Sycomp将:

3.3.1 不得采取任何可能导致公司违反适用法律或其他隐私法律的行为;;

3.3.2 除为向公司提供解决方案所严格必要的情况外,不得向任何数据主体收集任何额外的公司个人数据;;

3.3.3 根据协议中的保密条款,将所有公司个人数据视为“保密信息”;;

3.3.4 不得试图识别或重新识别任何数据主体,且不得将任何个人信息与任何数据主体或数据主体的在线活动相关联,除非为向公司提供解决方案而严格必要;;

3.3.5 除为向公司提供解决方案所必需的情况外,不得将公司个人数据与任何第三方数据混合使用;;

3.3.6 在任何情况下均不得向任何第三方出售、分享或授权使用任何公司个人数据,亦不得为任何第三方谋取利益;

3.3.7 如其认定无法继续履行适用法律项下的义务,应立即通知公司。.

3.4            分包商。. 若Sycomp聘请任何分包商处理公司个人数据,Sycomp应在与各分包商签订的合同中纳入条款,该等条款应与本附录所载条款在实质上保持一致。.

3.5            相关记录与审计权限。. 在适用法律要求且应公司要求时,Sycomp应向公司提供合理必要的个人数据,以证明其符合本补充协议和/或适用法律的要求。.

3.6            认证。. Sycomp确认其理解并承诺遵守在提供解决方案过程中对公司个人数据使用所设定的限制。.

本补充协议自上述首次载明的补充协议生效日起生效,并成为与公司签订的每份协议的具有约束力的组成部分。. 

附件1:数据处理

A.             公司数据处理详情

1.     个人数据被转移的数据主体类别

公司雇员和分包商

2.     转移的个人数据类别

联系方式包括姓名、公司地址和/或家庭住址、公司邮箱及电话号码。.

3.     敏感数据传输及适用限制与保障措施

公司不得传输任何敏感个人数据。

4.     转移频率

在解决方案交付过程中持续进行

5.     处理的性质

公司个人数据应按照协议规定的方式进行处理,并可由双方在工作说明书或其他书面文件中进行修改。具体而言,公司个人数据将用于以下目的并据此进行披露:

关于向公司销售和交付解决方案(包括向远程员工交付硬件和软件)的联系与沟通事宜

6.     转移及后续处理的目的

公司个人数据应根据协议规定的目的进行处理,并可由双方在工作说明书或其他书面文件中进行修改。.

向公司销售并交付解决方案,包括向远程员工交付硬件和软件

7.     个人数据的保留期限

在解决方案的销售、交付及支持过程中,以及在法律允许范围内为证实其历史沿革

B.              技术和组织措施

Sycomp的信息安全管理体系(ISMS)包含商业合理且技术适宜的政策,旨在保护公司及第三方信息免遭未经授权的访问、获取、使用或滥用、披露、破坏及篡改。信息将根据其敏感程度和丢失风险进行保护。尽管并非所有措施都适用于各类信息,但该安全体系包含以下基础政策与实践:

本《信息安全政策》文件向外部利益相关方概述了Sycomp信息安全管理体系(ISMS)的政策、实践及流程。安全是任何组织成功的关键,Sycomp持续与合作伙伴及客户协作,以优化并提升其运营的完整性。.

  • 最低技术和组织措施
    Sycomp的信息安全管理体系(ISMS)包含商业合理且技术适宜的政策,旨在保护公司及第三方信息免遭未经授权的访问、获取、使用或滥用、披露、破坏及篡改。信息将根据其敏感程度和丢失风险进行保护。尽管并非所有措施都适用于各类信息,但该安全体系包含以下基础政策与实践:

  • 可接受使用
    可接受使用政策规定了所有获准使用人员在信息安全管理体系注册范围内使用数据、资产和资源的最低可接受要求,包括:

    • 年度员工安全意识培训与信息安全管理体系政策审查

    • 系统监控控制

    • 在本地和远程环境中均需妥善处理和保护资源

  • 访问控制
    访问控制策略应包含适当措施,以防止未经授权访问处理或存储“信息”的系统,包括:

    • 用户账户审批、创建及终止的正式访问控制流程

    • 密码管理与多因素身份验证

    • 设立设有物理控制措施和持续监控的安全区域

    • 对员工及经批准的第三方实施访问权限的保护与限制

    • 用户及特权访问账户年度审查

  • 终端用户设备
    桌面与移动设备安全策略为终端用户计算设备的管理建立了框架。这些策略适用于所有工作站及移动设备(如笔记本电脑、平板电脑和智能手机),包括:

    • 正式的硬件和软件审批及注册流程

    • 一致且有据可查的配置标准

    • 实时恶意软件防护与电子邮件过滤机制的实施

    • 采用行业标准加密技术,包括静态数据和传输中数据的加密

    • 用户设备闲置时自动临时锁定,需通过身份验证和密码才能重新解锁

    • 当多次输入错误密码时自动临时锁定用户ID,事件日志记录及入侵尝试监控

  • 人力资源
    人力资源政策确保员工及第三方分包商理解其职责,并适合所考虑的岗位,包括:

    • 入职流程包括雇佣协议、分包商协议、保密协议,以及适用的背景调查和犯罪记录核查。

    • 信息安全违规或泄露的纪律处分程序

    • 离职流程包括终止访问权限及归还资产

  • 网络与系统安全
    网络与安全策略通过强制执行以下措施,确保网络和系统的安全运行与保护:

    • 正式的硬件和软件审批及注册流程

    • 基于角色的授权,通过多因素认证实现安全访问

    • 端口锁定与密码保护

    • 远程访问限制与控制

    • 监控与日志记录用于威胁与异常检测

    • 变更管理的职责分离

    • 遵守可接受的加密标准

  • 风险、事件与漏洞管理
    风险、事件与漏洞管理政策确立了报告、响应及管理信息安全风险、事件以及已知或发现漏洞的工作流程、任务、职责与职能:

    • 年度风险评估旨在识别信息安全管理体系资产所面临的威胁、可能被这些威胁利用的漏洞,指定风险负责人,并在必要时制定风险应对方案。

    • 年度漏洞扫描及关键与高危漏洞的及时修复

    • 安全事件的正式报告、记录和处理流程,包括经验教训总结

    • 根据需要与外部方进行沟通的流程

  • 连续性与可用性
    Sycomp已实施并将持续维护合理且适当的措施,以确保关键系统和数据免遭意外破坏或丢失,包括:

    • 基础设施冗余

    • 业务连续性与恢复程序的维护,包括数据复制和磁带备份流程

    • 根据隐私政策处置包含个人信息的记录,且当不再存在任何合法处理依据时

  • 隐私政策
    Sycomp隐私政策阐述了我们收集、使用及共享用户信息的实践方式。本隐私政策适用于您与我们互动时(包括通过我们的网站、电子邮件通信、产品或其他功能或服务(“服务”))所收集的信息,除非您与我们或您所代表的公司之间另有书面协议或合同约定。更多详情请访问 https://sycomp.com/privacy-policy/

C.             授权的次级处理者

赛康普科技有限公司

次级处理者清单

A. 第三方雇员联系次级处理者
次级处理者名称联系方式与地址处理说明
销售力量点康姆股份有限公司.Salesforce大厦
415 Mission Street, 3rd FloorSan Francisco, CA 94105USA贸易伙伴账户记录
ABSYZ公司.印度泰伦加纳邦加奇博利DLF网络城尚塔斯里拉姆科技园6楼,邮编500032SFDC 管理
微软公司东北贝尔维尤路700号 - 22层
贝尔维尤,华盛顿州,98004 美国MS 365 – 电子邮件、SharePoint 及其他商务应用程序
B. 托管服务提供商(MSP)的次级处理者
国家快递服务白手套
澳新银行DHL
澳大利亚邮政
日本佐川EDCOM
台湾零点
新加坡TCK(本地运输)
Adcom(国际)
DHL(小箱子)
Mamgistics PTE有限公司(罕见)
泰国DHL
印度蓝达特NA
伊杰茨
JS Cargo(班加罗尔市内本地运输)
DTDC
欧洲、中东和非洲地区DHL(所有欧盟国家及英国)ACS法国
DPD(英国)CCS德国
UPS(比利时)莱茵河
Tiger AG(瑞士)ASL货运
翡翠货运快运(CZ)快运货运
博洛雷物流(捷克)翡翠货运
奥普蒂斯(捷克)从家到家
BDA物流(荷兰)迈克尔·林奇物流
翡翠货运(IR)
以色列ONE的司机们(第一季)NA
出租车(手递服务)
UPS
虚拟涂鸦
美国联邦快递
Adcom(罕见)
阿拉伯联合酋长国DXB
加拿大联邦快递
普罗拉托
UPS
南非环球快递快递员。.

附件二:欧盟标准合同条款

  1. 欧洲经济区标准合同条款完成如下:
    1.  若公司作为数据控制者,则适用模块2(控制者至处理者)。.
    2. 若公司属于处理者,则适用模块3(处理者与处理者之间)。.
    3. 在第7条中,将适用可选对接。.
    4. 在第9条中,将适用选项2,且对次级处理者的事前通知期限为30天。.
    5. 在第11(a)款中,该可选条款不适用。
    6. 在第13条中,若公司于欧盟境内设有机构,则适用选项1;若公司未于欧盟境内设立机构但已指定代表人,则适用选项2;若公司既未于欧盟境内设立机构亦未指定代表人,则适用选项3。.
    7. 在第17条(选项2)中,将适用爱尔兰共和国的法律。.
    8. 第18(b)条规定,争议将在爱尔兰共和国法院解决。.
  2. 欧洲经济区标准合同条款附件I A部分的填写如下:
    1. 数据导出方:公司
    2. 联系方式:公司地址、公司联系人及电子邮箱地址,具体以协议各组成部分所载内容为准。
    3. 数据导出者角色:控制者
    4. 签名与日期:签名于相关协议签署之日存档
    5. 根据标准合同条款转移的数据相关活动:提供协议中所述的服务。.
    6. 数据导入方:Sycomp, Inc.
    7. 联系方式:加利福尼亚州福斯特城塔楼巷950号1785室,邮编94404,邮箱:[email protected]
    8. 数据导入者角色:处理者
    9. 签名及日期:签名存于相关协议签署之日档案中
    10. 根据标准合同条款转移的数据相关活动:提供协议中所述的服务。.
  3. 欧洲经济区标准合同条款附件一B部分内容如下:
    1. 个人数据被转移的数据主体类别:详见附件1。.
    2. 转移的个人数据类别:详见附件1。.
    3. 敏感数据传输:详见附表1。安全保障措施按附件II所列。.
    4. 传输频率:数据以连续方式传输。.
    5. 处理性质:处理性质如附表1所述。.
    6. 数据传输及后续处理的目的:数据传输与处理的目的详见附件1。.
    7. 个人数据的保留期限,或在无法确定具体期限时,用于确定该期限的标准:处理期限详见附件1。.
    8. 向(次级)处理者转移时,还需明确处理事项、性质及持续时间:次级处理者所实施处理事项的性质、持续时间,将与本附件1.B中针对Sycomp所规定的内容保持一致。.
  4. 欧洲经济区标准合同条款附件I C部分内容如下:主管监管机构为爱尔兰共和国。
  5. 欧洲经济区标准合同条款,附件二。技术和组织措施详见附表1 B部分。.

附件3:英国国际数据传输补充条款

  1. 英国附录完成如下:
    1. 第一部分
      1. 表1:生效日期即本协议的生效日期。附件2第2节所列明的各方。
      2. 表2:选定标准合同条款、模块及选定条款:详见附表2第1节
      3. 表3:附录信息:指根据SCCs附录规定(除各方外)必须为所选模块提供的信息,该信息详见附表2的第2、3和5节。.
      4. 表4:进口商可根据《英国补充条款》第19条终止该补充条款。
    2. 第二部分
      1. 第二部分:经批准的附录强制性条款,即ICO根据《2018年数据保护法》第119A条于2022年1月28日向议会提交的模板附录B.1.0,并依据该强制性条款第18条进行修订。.

附件4:英国国际数据传输协议

  1. 英国附录完成如下:
    1. 表1
      1. 生效日期:本协议生效之日。.
      2. 参与方详情:<>
      3. 表2:选定的SCCs、模块及条款:详见本附录2第1节
    2. 表2
      1. 管辖法律:英格兰及威尔士
      2. 法律索赔的主要地点:英格兰和威尔士
      3. 出口商状态:控制者
      4. 进口商身份:出口商的加工商或分包加工商
      5. 英国《通用数据保护条例》是否适用:适用
      6. 关联协议:本附录载有出口商向进口商发出的指示
      7. 期限:关联协议(本补充协议)的有效期
      8. 在期限届满前终止IDTA:进口商可依据英国IDTA第29条终止英国附录。
      9. 哪些方可在期限届满前终止IDTA:出口方和进口方
      10. 进口方能否进行进一步转移:进口方可根据第16.1条(转移已转移数据)的规定,将已转移数据转移给另一组织或个人(该组织或个人须为不同的法律实体)。.
      11. 进一步转账的具体要求:转账对象须为《补充条款》第2.1节所列明的授权接收方(或授权接收方类别)。
      12. 审查日期:应出口商要求,各方每年最多审查一次安全要求。
    3. 表3
      1. 转移数据:若所引述的关联协议(即附录)中的信息发生更新,转移数据的类别将自动更新。.
      2. 特殊类别数据:以上皆非。若所指关联协议(附录)中的信息发生更新,特殊类别数据及犯罪记录数据的分类将自动更新。.
      3. 相关数据主体:若所指关联协议(即附件)中的信息发生更新,数据主体的类别将自动更新。.
      4. 目的:进口商可为下列目的处理所转移数据:附件、协议或受协议及附件约束的工作说明书中规定的目的。若所引述的关联协议(即附件)中的信息发生更新,相关处理目的将自动更新。.
    4. 表4
      1. 安全要求:安全要求详见附件1的B部分。.
      2. 安全要求的更新:若所引用的关联协议(即附件)中的信息发生变更,安全要求将自动更新。.
    5. 第二部分
      1. 额外保护条款:不存在额外保护条款
    6. 第三部分
      1. 商业条款:除协议及附录条款外,不存在其他商业条款。.

    附件5:商业用途

    Sycomp可代表公司出于以下业务目的处理公司个人数据(可多选):

    • 代表公司提供解决方案,包括维护或服务账户、提供客户服务、处理或履行订单及交易、核实客户信息、处理支付、提供融资、提供分析服务、提供存储服务,或代表公司提供类似服务。.
    • 在使用公司个人数据时,在合理必要且与该目的相称的范围内,协助确保数据的安全性与完整性。.
    • 调试以识别并修复影响解决方案现有预期功能的错误。.
    • 开展技术开发与示范的内部研究。.