本数据保护附录(“DPA”) 构成经销商协议的一部分 Aryaka 和经销商(“协议”) 经销商根据该规则进行营销和转售 Aryaka 为他们的客户和潜在客户提供服务。 本 DPA 中使用但未定义的大写术语应具有协议中规定的含义。
- 1. 释义
- 1.1 “数据控制者” 指单独、与他人共同或作为共同数据控制者确定个人信息处理的目的和方式的实体。
- 1.2 “数据处理器” 指代表数据控制者处理个人信息的实体。
- 1.3 《数据保护法》 指适用于个人信息处理的所有法律。
- 1.4 “数据主体” 指可能根据本 DPA 处理其个人信息的任何个人。
- 1.5 “个人信息” or “个人资料” 指根据本协议向一方提供的与已识别或可识别的自然人相关的个人数据。
- 1.6 “过程” or “处理” 指对个人信息或个人信息集执行的任何操作或一组操作,无论是否通过自动方式进行,例如收集、记录、组织、构建、存储、改编或更改、检索、咨询、使用、通过传输披露、传播或以其他方式提供、调整或组合、限制、删除或销毁个人信息。
- 1.7 “安全事件” 指违反服务安全性,导致意外或非法破坏、丢失、更改、未经授权披露或未经授权访问根据本 DPA 传输、存储或以其他方式处理的个人信息。
- 2. 双方关系。 双方承认经销商和 Aryaka 就本协议而言,每个人都是控制者。 为了履行本协议,双方必须相互提供有限的个人信息,例如业务联系信息。 双方将根据协议和本 DPA 或适用数据保护法的其他要求处理此类个人信息。 根据协议的规定,经销商可能会不时提供 Aryaka 有关其客户的信息,以便于经销商向这些客户提供服务。 在这些情况下, Aryaka 仅根据经销商的书面指示处理有关经销商客户的个人信息。 各方将全权负责遵守适用的数据保护法规定的与个人信息处理相关的义务,包括向数据主体或其他个人提供与处理有关的任何必要的通知并获得其任何必要的同意个人信息。 为了清楚起见, Aryaka 除根据本协议向经销商提供服务外,不会出于任何目的保留、使用或披露个人信息,包括但不限于向经销商提供此类服务以外的任何商业目的,或根据适用的数据保护法的要求。 在不限制上述规定的情况下,在任何情况下都不会 Aryaka 向任何第三方出售或分享此类个人信息。 Aryaka 证明其理解并将遵守上述限制。 应该 Aryaka 如果确定无法再履行适用数据保护法规定的义务,它将立即通知经销商。
- 3. 共同控制者。 当双方担任共同数据控制者时,每一方都是独立的数据控制者,并应单独负责遵守数据保护法规定的数据控制者的义务。 作为共同控制者时,各方将单独确定其个人数据处理的目的和方式。
- 4. 保密性。 双方将要求其人员保护个人信息的机密性。
- 5. 安全。 双方将维持合理的管理、物理和技术保障措施,旨在保护数据中或数据上的个人数据的安全性、机密性和完整性。 Aryaka 网络防止未经授权的丢失、破坏、更改、访问或披露,包括附录 2 中列出的措施。
- 6. 安全事件。 如果任何一方遇到损害个人信息的安全事件,发生安全事件的一方将立即通知另一方,并且无论如何都会在四十八 (48) 小时内通知另一方,除非法律另有禁止或另有指示由执法或监管机构。 考虑到处理的性质和有关安全事件的可用信息,经历安全事件的一方将根据另一方的合理请求,就法律要求一方发出的任何通知向另一方提供合理的协助和合作。向受影响的数据主体或监管机构提供有关此类安全事件的信息。 在适用法律允许的范围内,双方保留就此类请求的协助向另一方收取合理费用的权利。
- 7. 数据主体请求。 鉴于本协议的性质,双方同意经销商是响应数据主体请求的适当方。 Aryaka 除非适用法律禁止,否则将立即通知经销商,如果 Aryaka 接收:(i) 数据主体提出的有关其处理的个人信息的任何请求 Aryaka,包括但不限于选择退出请求、访问和/或纠正请求、阻止、删除、数据可移植性请求以及所有类似请求,并且不会响应任何此类请求,除非明确说明ssly 经经销商授权这样做; 或 (ii) 与处理有关的任何投诉 Aryaka 个人信息,包括此类处理侵犯数据主体权利的指控。 经销商负责响应数据主体的请求。 应经销商的要求并考虑到处理的性质, Aryaka 将在可能的情况下通过适当的技术和组织措施协助经销商履行经销商根据适用的数据保护法可能承担的义务,以响应此类数据主体的请求。 Aryaka 保留在适用法律允许的范围内就此类请求的协助向经销商收取合理费用的权利。
- 8. 子处理者。 双方同意,另一方可以向其处理者和分包商披露个人信息,以便根据本协议提供服务 (“子处理者”),但前提是双方将对其分处理者施加与本 DPA 中规定的基本相似的个人信息安全和保密义务。 根据要求,双方将 (a) 提供其子处理者列表,并提供一种机制来接收此列表的任何更改的通知。 双方将对任何分处理者的行为或不作为承担责任,其程度与雇用分处理者的实体所实施的行为或不作为相同。
- 9. 数据位置。 为履行本协议,任何一方均可将个人信息转移至不同地点,其中可能包括公司内部和外部的位置。 United Kingdom (“英国”),欧洲经济区 (“欧洲经济区”) 或瑞士。 如果此类传输涉及将源自英国、欧洲经济区或瑞士的个人信息传输至英国、欧洲经济区或瑞士以外尚未收到具有约束力的充分性决定的国家/地区,则双方同意,当双方作为共同控制者,欧盟标准合同条款(控制者到控制者),附在附录 1 中,将适用于此类转让,并且此类转让在附件 1 中进行了描述。如果双方之间的关系是控制者到处理者的关系附录 2 中所附的欧盟标准合同条款(控制者到处理者)将适用于此类传输,并且此类传输在附件 1 中进行了描述。
- 10. 审计。 根据任何一方的要求,另一方将每年最多提供一次 (a) 第三方评估的副本,例如服务组织控制 1、类型 2 报告或类似报告 (“第三方报告”) ,如果已获得此类第三方报告,或 (b) 如果该方尚未获得第三方报告,则其将对出于验证遵守本协议的情况而合理提交的任何书面问题提供答复 (“书面答复”) 。 任何此类第三方报告和书面答复将成为提交方的机密信息,未经该方事先书面同意不得披露,法律要求的除外。 如果一方通过提供书面答复而不是第三方报告来回应另一方的请求,并且请求方在收到书面答复后合理地确定法律需要进一步评估,则请求方可以提前 30 天提出请求通知自费在双方同意的范围内对服务的相关政策、程序和相关文档进行审查,但此类审查不会损害对任何一方的保密义务 Aryaka的其他经销商。 经销商有权停止并采取合理措施来纠正任何未经授权的个人信息使用。
- 11. 返回或Disp奥萨尔。 在协议签订时,任何一方均应根据要求立即从其系统中删除个人数据,除非适用法律要求存储个人数据。
附录1。
标准合同条款 (2021)
控制器到控制器
通过引用纳入本 DPA 并在此处访问:
aryaka.com/SCC2021-控制器到控制器/
附件I
A. 缔约方名单
数据导出者: 数据导出者是:经销商,如协议中所定义
[数据导出者及其在欧盟的数据保护官员和/或代表(如适用)的身份和联系方式]
名称:请参阅经销商与经销商之间的订单表 Aryaka
地址:请参阅经销商与经销商之间的订单表 Aryaka
联系人姓名、职位和联系方式:请参阅经销商与经销商之间的订单 Aryaka
与根据这些条款传输的数据相关的活动:请参阅经销商与经销商之间的协议 Aryaka
角色(控制器/处理器):控制器
数据导入者: 数据导入者是: Aryaka.
数据导入者的身份和联系方式,包括负责数据保护的任何联系人
名称: Aryaka Networks, Inc.
地址:1850 Gateway Drive, Suite 500, San Mateo, CA 94404 美国
联系人姓名、职务、联系方式: Edward Frye, CISCO/它, [电子邮件保护]
与根据这些条款传输的数据相关的活动:请参阅经销商与经销商之间的协议 Aryaka
角色(控制器/处理器):控制器
B. 转让说明
个人数据被转移的数据主体类别
经销商的业务联系方式以及 Aryaka.
传输的个人数据类别
业务联系信息,例如姓名、职务、电子邮件地址、电话号码、实际地址。
传输的敏感数据(如果适用)和应用的限制或保障措施充分考虑到数据的性质和所涉及的风险,例如严格的目的限制、访问限制(包括仅接受过专门培训的工作人员的访问)、保留数据访问记录、继续传输限制或其他安全措施。
不包含
传输频率(例如,数据是一次性传输还是连续传输)。
根据需要履行协议项下的服务并维持商业关系。
处理的性质
Aryaka 将根据协议处理必要的个人信息以履行服务。
数据传输和进一步处理的目的
转移到 Aryaka的业务办事处位于英国、欧洲经济区或瑞士境外。 Aryaka 将根据协议处理必要的个人信息以履行服务。
个人数据将被保留的期限,或者,如果不可能,用于确定该期限的标准
| Type | 保留年数 |
|---|---|
| 销售记录 | 5 年 |
| 费用单据 | 7 年 |
| 总帐 | 常驻 |
对于传输至(子)处理者,还需指定主题 matt呃,处理的性质和持续时间
可以为以下服务/在以下处理地点部署以下子处理者:
Salesforce的:
使用方法: 客户关系管理
实例驻留位置: 美国
访问者 Aryaka 人员来自:
美国, India, Germany, United Kingdom, Canada, Australia, Japan, 荷兰南部 Korea、和瑞士
NetSuite:
使用方法: 基本会计和财务报表
实例驻留位置: 美国
访问者 Aryaka 人员来自:
美国和 India
祖拉:
使用方法: 开票
实例驻留位置: 美国
访问者 Aryaka 人员来自:
美国和 India
Marketo:
使用方法: 营销和消息传递
实例驻留位置: 美国
访问者 Aryaka 人员来自:
美国, United Kingdom 和 India
C. 主管监督机构
根据第 13 条确定主管监管机构
英国信息专员办公室。
附录2。
标准合同条款 (2021)
控制器到控制器
通过引用纳入本 DPA 并在此处访问:
aryaka.com/SCC2021-控制器到控制器/
附件I
A. 缔约方名单
数据导出者: 数据导出者是:经销商,如协议中所定义
[数据导出者及其在欧盟的数据保护官员和/或代表(如适用)的身份和联系方式]
名称:请参阅经销商与经销商之间的订单表 Aryaka
地址:请参阅经销商与经销商之间的订单表 Aryaka
联系人姓名、职位和联系方式:请参阅经销商与经销商之间的订单 Aryaka
与根据这些条款传输的数据相关的活动:请参阅经销商与经销商之间的协议 Aryaka
角色(控制器/处理器):处理器
数据导入者: 数据导入者是: Aryaka.
数据导入者的身份和联系方式,包括负责数据保护的任何联系人
名称: Aryaka Networks, Inc.
地址:1850 Gateway Drive, Suite 500, San Mateo, CA 94404 美国
联系人姓名、职务及联系方式: Edward Frye, CISCO/它, [电子邮件保护]
与根据这些条款传输的数据相关的活动:……请参阅经销商与经销商之间的协议 Aryaka
角色(控制器/处理器):处理器
B. 转让说明
个人数据被转移的数据主体类别
经销商提供服务所需的客户信息,包括提供客户支持。
传输的个人数据类别
业务联系信息,例如姓名、职务、电子邮件地址、电话号码、实际地址。
传输的敏感数据(如果适用)和应用的限制或保障措施充分考虑到数据的性质和所涉及的风险,例如严格的目的限制、访问限制(包括仅接受过专门培训的工作人员的访问)、保留数据访问记录、继续传输限制或其他安全措施。
不包含
传输频率(例如,数据是一次性传输还是连续传输)。
根据需要履行协议项下的服务并维持商业关系。
处理的性质
Aryaka 将根据协议处理必要的个人信息以履行服务。
数据传输和进一步处理的目的
转移到 Aryaka的业务办事处位于英国、欧洲经济区或瑞士境外。 Aryaka 将根据协议处理必要的个人信息以履行服务。
个人数据将被保留的期限,或者,如果不可能,用于确定该期限的标准
| Type | 保留年数 |
|---|---|
| 销售记录 | 5 年 |
| 费用单据 | 7 年 |
| 总帐 | 常驻 |
对于传输至(子)处理者,还需指定主题 matt呃,处理的性质和持续时间
可以为以下服务/在以下处理地点部署以下子处理者:
Salesforce的:
使用方法: 客户关系管理
实例驻留位置: 美国
访问者 Aryaka 人员来自:
美国, India, Germany, United Kingdom, Canada, Australia, Japan, 荷兰南部 Korea、和瑞士
NetSuite:
使用方法: 基本会计和财务报表
实例驻留位置: 美国
访问者 Aryaka 人员来自:
美国和 India
祖拉:
使用方法: 开票
实例驻留位置: 美国
访问者 Aryaka 人员来自:
美国和 India
Marketo:
使用方法: 营销和消息传递
实例驻留位置: 美国
访问者 Aryaka 人员来自:
美国, United Kingdom 和 India
C. 主管监督机构
根据第 13 条确定主管监管机构
英国信息专员办公室。
安全标准
数据导入方根据第 4(d) 条和第 5(c) 条(或文件/法律)实施的技术和组织安全措施的描述sla化附):
双方维护旨在保护个人信息和其他个人数据的各种政策、标准和流程。 以下是双方实施的一些核心技术和组织安全措施的描述。
物理访问控制
旨在防止未经授权的人员物理访问存放用于处理个人数据的数据处理设备的物理位置的措施。
技术访问控制
旨在防止未经授权的人员访问该方的数据处理系统的措施,包括:
- 集成检测和缓解的混合 DDoS 防护(本地或在本地) cloud)与 cloud基于容量的 DDoS 攻击防御,以及 24×7 应急响应团队 (ERT) 支持; 和
- 网络边缘安全提供内置于经销商的高级周边安全解决方案 SD-WAN 家电。
数据访问控制
采取措施,将需要访问其数据处理系统的个人的访问限制在其各自访问许可(授权)所涵盖的范围和范围内,并采取措施防止个人数据在未经授权的情况下被读取、复制或修改或删除。
输入控件
旨在防止个人数据在传输过程中被未经授权方读取、复制、更改或删除的措施。
作业控制
旨在确保所处理的个人数据仅根据本协议进行处理的措施。
可用性控制
旨在保护个人数据免遭泄露、意外或未经授权的破坏或丢失的措施。