.svg)
Brisk 数据处理附录
生效日期:2024 年 8 月 22 日
简而言之:“个人数据” 是指识别您的身份或与您有关或以其他方式符合以下定义的数据或信息。DPA“) 补充并构成 Brisk Labs Corp. 之间协议的一部分(”Brisk“) 与教育机构或(如适用)教师就与提供服务相关的承保数据的传输和处理事宜。
除非本 DPA 中另有定义,否则本 DPA 中使用但未定义的大写术语将具有协议中规定的含义。本 DPA 中使用的以下大写术语将定义如下:
“协议“指Brisk与客户之间签订的协议,其中包含以下条款 https://www.briskteaching.com/terms 或双方另有约定。
“适用的数据保护法“指与个人数据的隐私、机密性或安全性有关的所有适用法律、法规、规章和政府要求,这些要求可能会不时修改或以其他方式更新,包括(但不限于)GDPR。
“授权子处理器“指附表4中列出的分处理者,以及根据第7.4段指定的任何其他分处理者。
“控制器用途“指:(a)进行内部研究和开发,以开发、测试、改进和更改Brisk产品和服务的功能;(b)创建匿名数据集用于培训或评估Brisk的产品和服务;以及(c)根据协议管理客户账户并管理Brisk与客户的关系,每种情况均如附表1所述。
“涵盖的数据“指以下个人数据:(a)由客户或代表客户向Brisk提供的与提供服务有关的个人数据;或(b)由Brisk或其代理人或分包商为提供服务而获取、开发、生产或以其他方式处理的个人数据,在每种情况下均如附表1所述。
“顾客“指与Brisk签订有关服务协议的教育机构或教师。
“数据主体“具有GDPR中赋予的含义。
“生效日期“指Brisk和客户签订协议的日期。
“GDPR“是指(欧盟)第 2016/679 号法规(该”欧盟 GDPR“) 或者,如果适用,”英国通用数据保护条例“,定义见2018年《数据保护法》第3(10)条。
“个人数据“具有GDPR中赋予的含义。
“处理中“具有 GDPR 中赋予的含义,而且”流程“,”进程“和”已处理“将作相应的解释。
“安全事件“指安全漏洞,导致意外或非法破坏、丢失、更改、未经授权披露或未经授权访问(包括未经授权的内部访问)涵盖的数据。
“标准合同条款“或”SCC“指委员会2021/914年执行决定(欧盟)所附的标准合同条款,可在以下网址查阅 https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en。
“子处理器“是指由另一处理器使用来执行控制器指令的处理器。
“瑞士数据保护法“指 2020 年 9 月 25 日的《瑞士联邦数据保护法》(”FADP“) 和 2022 年 8 月 31 日的《瑞士数据保护条例》(”条例“),以及这些法律可能不时生效的任何新版本或修订版本。
条款”控制器“和”处理器“具有GDPR中赋予他们的含义。
本 DPA 已纳入本协议并构成本协议的组成部分。本 DPA 补充并取代了有关所涵盖数据的任何处理的协议(如果存在矛盾)。
双方承认并同意:
- 除第 3.1 段所述外,Brisk 以处理者身份处理涵盖的数据,以履行协议规定的义务,本 DPA 和客户充当控制者;以及
- 如附表1所述,Brisk在为控制器目的处理涵盖数据方面充当控制器。
协议和本 DPA 附表 1 中描述了根据协议和本 DPA 处理个人数据的详细信息(包括处理的主题、处理的性质和目的、个人数据类别和数据主体)。
除了为控制者目的处理涵盖的数据外:
- Brisk将仅根据客户提供的指示并根据适用的数据保护法处理涵盖的数据;以及
- 本协议和本 DPA 构成 Brisk 处理涵盖数据的指令,客户可以根据本 DPA 发布进一步的书面指示。
Brisk 将:
- 向客户提供信息,使客户能够进行和记录任何数据保护影响评估,以及根据适用数据保护法的要求与监管机构进行事先协商;以及
- 如果客户认为客户的指示违反了适用的数据保护法,请立即通知客户。
客户应遵守适用的数据保护法规定的义务,并应确保:
- 向Brisk发出的有关处理所涵盖数据的任何指示均符合适用的数据保护法;
- 它根据适用的数据保护法的要求向数据主体提供有关Brisk处理所涵盖数据的信息;
- 它会立即通知Brisk从数据主体收到的任何请求,要求其根据适用的数据保护法行使其权利。
Brisk 将:
- 将对涵盖数据的访问权限限制为有业务需求的人员访问此类受保数据;以及
- 确保此类人员至少承担与本 DPA 和协议条款一样保护涵盖数据的义务,包括对他们有权访问的任何涵盖数据的保密责任。
Brisk可以在Brisk或其分处理者拥有设施的任何地方处理涵盖的数据,但须遵守本第7段的其余部分以及SCC中包含的对向前传输的任何限制。
客户授予Brisk一般授权,允许其聘请任何授权分处理者来处理涵盖的数据。
Brisk 将:
- 与每个授权分处理者签订书面协议,规定数据保护义务,实质上,这些义务对涵盖数据的保护不亚于Brisk在本DPA下的义务;以及
- 仍对每个授权分处理者遵守本 DPA 规定的义务负责。
对于授权子处理方的任何拟议变更,Brisk将至少提前十四 (14) 天向客户发出通知。如果客户对授权分处理者的拟议变更提出异议(包括在适用的情况下,在行使SCC第9(a)条规定的反对权时),则应在Brisk向客户发出此类拟议变更通知后的七(7)天内向Brisk提供书面异议通知,通知Brisk(和”异议“)。
如果客户提出异议,Brisk和客户应真诚合作,找到双方都能接受的解决方案来解决此类异议。如果Brisk和客户无法在合理的时间内(不超过三十(30)天)达成双方均可接受的解决方案,则Brisk可以通过向客户提供书面通知来终止协议中与受此类变更影响的服务相关的部分。
对于Brisk或任何授权分处理者从数据主体收到的任何请求,Brisk将毫不拖延地通知客户,要求根据适用的数据保护法维护其对Brisk作为处理者或次处理者处理的涵盖数据的权利(a”数据主体请求“)。
除了Brisk为控制者目的处理涵盖的数据外,在Brisk与客户之间,客户将拥有回应数据主体请求的全权酌处权。未经客户事先同意,Brisk不得回应数据主体请求,除非Brisk可以告知数据主体其请求已转发给客户。
Brisk将在必要时向客户提供合理的协助,以使客户履行适用的数据保护法规定的义务,回应数据主体有关涵盖数据的请求。
Brisk将实施和维护适当的技术和组织数据保护和安全措施,旨在确保涵盖数据的安全,包括但不限于防止未经授权或非法的处理,以及保护数据免受意外丢失、破坏或损坏。
在评估适当的安全级别时,Brisk应考虑处理的性质、范围、背景和目的,以及处理带来的风险,尤其是意外或非法破坏、丢失、更改、未经授权披露或访问涵盖数据的风险。
Brisk将实施和维持附表2中规定的措施的最低标准。
客户可以审计 Brisk 在处理涵盖数据方面遵守本 DPA 的情况。双方同意,所有此类审计将在:
- 每年不超过一次,除非根据适用的数据保护法,对所涵盖数据处理具有管辖权的监管机构要求进行更频繁的审计;
- 在向Brisk发出合理的书面通知后;
- 仅在 Brisk 的正常工作时间内;以及
- 以不会对Brisk的业务或运营造成重大干扰的方式。
关于根据第10.3段进行的任何审计:一些案文
- 客户可以聘请第三方审计师代表其进行审计,但如果第三方审计师是Brisk的竞争对手,则Brisk可以合理地反对聘请该第三方审计师;以及
- 除非双方书面同意此类审计的范围和时间,否则不得要求Brisk为任何此类审计提供便利。
客户应立即将审计期间发现的任何违规行为通知Brisk。
审计结果应为Brisk的机密信息。
Brisk应根据要求向客户提供以下任何一项,或者可以根据客户向Brisk提交的任何审计请求向客户提供以下任何一项:
- 由公认的认证颁发机构颁发的数据保护合规性认证,该认证机构已经过数据安全专家或公开认证的审计公司审计;或
- 此类其他文件合理地证明根据行业标准实施了技术和组织数据安全措施。
如果客户要求的审计已在Brisk根据第10.7段提供的文件或证明中述及:
- 认证或文件的日期在客户提出审计请求后的十二 (12) 个月内;以及
- Brisk证实,所审计的控制措施没有已知的重大变化,
客户同意接受该认证或文件,以代替对相关认证或文件所涵盖的控制措施进行实地审计。
在得知任何安全事件后,Brisk应毫不拖延地以书面形式通知客户。
Brisk应采取合理措施控制、调查和缓解任何安全事件,并应在Brisk所知或Brisk获得信息时及时向客户发送有关安全事件的信息,包括但不限于安全事件的性质、为缓解或遏制安全事件而采取的措施以及调查状态。
Brisk应为客户(或其客户,在适用的情况下,客户)对任何安全事件的调查以及客户(或在适用的情况下,客户)根据适用的数据保护法承担的任何与安全事件相关的任何义务提供合理的协助,包括向数据主体或监管机构发出的任何通知。
Brisk根据本第11款对安全事件的通知或回应不应解释为Brisk承认与安全事件有关的任何过失或责任。
本 DPA 应自生效之日起生效,无论协议是否终止,都将一直有效,直到 Brisk 按照本 DPA 的规定删除所有涵盖数据,并在其后自动到期。
Brisk 将:
- 如果客户(酌情代表其客户)在协议到期后的三十 (30) 天内提出要求(”保留期“),按客户要求以常用格式提供所有涵盖数据的副本,或提供允许客户下载此类涵盖数据的自助服务功能;以及
- 保留期到期时,删除由Brisk或任何授权分处理者处理的涵盖数据的所有副本,但Brisk为遵守适用法律、提起或捍卫法律索赔或为控制者目的而必须保留的任何涵盖数据除外。
如附表3所进一步规定,标准合同条款适用于从客户向Brisk传输涵盖的数据,并构成本DPA的一部分。
双方同意,本协议的执行应与签署SCC具有同等效力。
根据账户管理员的偏好发送促销电子邮件。
确定 Brisk 可以改进服务和修复服务错误的方法。
根据数据主体的偏好提供与服务相关的通信。
提供与服务有关的技术支持。
直到早些时候:
- 协议的终止;以及
- 应控制者的要求或在不活动18个月后,关闭数据主体持有的服务相关账户。
账户等级,即独立教师在该服务上使用的是高级账户还是免费账户。
问题、评论和其他信函 提交的与服务有关的。
所教科目 和 学生年级组或成绩。
内容和材料 通过服务创建,包括对通过服务自动生成的内容所做的修改。
网站 已访问并激活了服务。
反馈 与通过服务生成的内容有关。
这个 特征和功能 在服务上使用。
为产品开发和改进提供信息。
处理订阅付款。
根据数据主体的偏好提供与服务相关的通信。
提供与服务有关的技术支持。
根据数据主体的偏好分发促销电子邮件。
为产品开发和改进提供信息。
直到早些时候:
- 协议的终止;以及
- 应控制者的要求或在不活动18个月后,关闭数据主体持有的服务相关账户。
与通过服务生成的材料进行互动。
工作反馈已上传并审核 通过该服务。
与教育聊天机器人的互动 在服务上。
主管监管机构是爱尔兰数据保护专员。
导言
Brisk采用一系列政策、程序、指导方针以及技术和物理控制措施来保护其处理的个人数据免遭意外丢失和未经授权的访问、披露或破坏。
治理和政策
Brisk 指派人员负责确定、审查和实施安全政策和措施。
Brisk:
- 已在安全政策和(或)其他相关准则和文件中记录了其实施的安全措施;
- 定期审查其安全措施和政策,以确保它们继续适用于受保护的数据。
Brisk 建立并遵循系统和软件的安全配置,并确保在项目启动和新 IT 系统的开发过程中考虑安全措施。
违规响应
Brisk制定了数据泄露应对计划,旨在应对数据泄露事件。该计划定期进行测试和更新。
入侵、防病毒和反恶意软件防御
用于处理个人数据的Brisk的IT系统上安装了相应的数据安全软件,包括行业标准的防火墙、防病毒、反恶意软件和入侵检测系统。
Brisk 收集、维护和审查事件日志以识别可疑活动。
访问控制
Brisk 通过实施适当的访问控制来限制对个人数据的访问,包括:
- 限制管理员访问权限和管理帐户的使用;
- 在部署操作系统、资产或应用程序之前更改所有默认密码;
- 需要进行身份验证和授权才能访问信息技术系统(即要求用户在获准访问IT系统之前输入用户名和密码);
- 确保最低权限访问信息技术系统的措施;
- 控制分配和撤销个人数据访问权的适当程序。例如,制定适当的程序,在员工离职或变更职位时撤销其对IT系统的访问权限;
- 使用多因素身份验证来访问Brisk系统上的数据;
- 如果处于空闲状态,则自动超时并锁定用户终端;
- 在多次尝试输入正确的身份验证和/或授权详细信息失败后,对IT系统的访问被阻止;
- 监控和记录对IT系统的访问;
- 监控和记录对IT系统上数据或文件的修改。
可用性和备份个人数据
Brisk 有记录在案的灾难恢复计划,确保在发生物理或技术事故时可以及时恢复关键系统和数据。该计划定期进行测试和更新。
Brisk 定期备份 IT 系统上的信息,并将备份保存在不同的位置。定期测试信息备份。
个人数据分割
Brisk:
- 分离和限制网络组件之间的访问,并在适当时采取措施,对收集和用于不同目的的个人数据进行单独处理(存储、修改、删除、传输);
- 不使用实时数据来测试其系统。
处置信息技术设备
Brisk:
- 在处置IT系统之前,已制定了安全删除所有个人数据的程序;
- 使用适当的技术清除设备中的数据。
加密
Brisk 使用 AES-256 加密静态数据,使用 TLS 1.2 或更高版本对传输中的数据进行加密。
加密密钥与加密信息分开存储。
个人数据的传输或传输
Brisk 实施了适当的控制措施,以保护传输或传输期间的个人数据,包括:
- 传输中的加密;
- 以电子方式传输时记录个人数据。
设备强化
Brisk 确保根据互联网安全中心 (CIS) 基准测试对所有虚拟机进行强化。
资产和软件管理
Brisk维护IT资产清单及其上存储的数据,以及相关IT资产的所有者名单。
Brisk:
- 记录并实施可接受的 IT 资产使用规则。
- 需要网络级身份验证并使用客户端证书来验证和验证系统;
- 为操作系统和软件部署自动补丁管理工具和软件更新工具;
- 主动监控软件漏洞,及时实施任何周期外补丁;
- 仅允许使用完全支持的最新版本的 Web 浏览器和电子邮件客户端。
Brisk 安全地存储所有 API 密钥,包括以下内容:
- Brisk 将 API 密钥直接存储在其环境变量中;
- Brisk 不在客户端存储 API 密钥;
- Brisk 不会在在线代码存储库(无论是否私有)中发布 API 密钥凭证;以及
- Brisk 使用 API 密钥管理工具检索和管理大型开发项目的证书。
员工培训和认识
Brisk与员工和承包商的协议以及员工手册规定了其人员在信息安全方面的责任。
Brisk 执行:
- 定期对员工进行与其工作角色相关的数据安全和隐私问题培训,并确保新员工在开始工作之前接受适当的培训(作为入职程序的一部分);
- 对有权访问敏感个人数据的个人进行适当的筛选和背景调查。
Brisk确保传达和实施在解雇或变更雇用前适用的信息安全责任以及在解雇/变更工作之后适用的信息安全责任。
员工因违反Brisk与数据隐私和安全相关的政策和程序而受到纪律处分。
服务提供商的选择和服务委员会
Brisk 会先评估服务提供商满足其安全要求的能力,然后再与他们合作。
Brisk已与服务提供商签订了书面合同,要求他们采取适当的安全措施,保护他们可以访问的个人数据,并按照Brisk的指示限制个人数据的使用。
第 2 部分
协助处理数据主体权利请求
Brisk 已实施适当的政策和措施来识别和处理数据主体权利请求,包括:
- Brisk 保留准确的记录,使其能够快速识别代表客户处理的所有个人数据;以及
- Brisk代表客户处理的个人数据备份会定期被覆盖,无论如何每隔三十 (30) 天重写一次,以确保删除和更正请求得到充分执行。
对于第 13 条中提及的任何转让,标准合同条款应按以下方式填写:
模块二 (控制器到处理器),或视情况而定,模块三 (处理器到处理器)的SCC将适用于Brisk对涵盖数据的处理。
标准合同条款(停靠条款)的第 7 条不适用。
第 9 (a) 条的备选案文2 (一般书面授权)应适用,具体期限在 DPA 第 7.4 条中确定。
标准合同条款第 11 (a) 条中的选项 (独立争议解决机构) 不适用。
关于《标准合同条款》的第 17 条 (管辖法律),双方同意将适用备选案文1,适用法律将是爱尔兰法律。
在《标准合同条款》第 18 条中 (法庭和司法管辖权的选择),双方服从爱尔兰法院的管辖。
就标准合同条款附件一而言,DPA附表1包含有关各方的规格、转让说明和主管监管机构。
就标准合同条款附件二而言,《达尔富尔和平协议》附表2包含技术和组织措施。
本第 2 款 (英国附录)应适用于从客户(作为数据出口者)向Brisk(作为数据进口商)传输涵盖范围内的数据,但前提是:
- 进行转移时,英国数据保护法适用于客户;或
- 该转让是《批准附录》中定义的 “继续转让”。
如本段第2段所用:
“批准的附录“指英国信息专员根据2018年 S119A(1)数据保护法案发布并于2022年2月2日提交英国议会的模板附录,版本B.1.0,可能会根据批准的附录第18条进行修订。
“英国数据保护法“指英国不时生效的与数据保护、个人数据处理、隐私和/或电子通信有关的所有法律,包括英国GDPR和2018年《数据保护法》。
对于第 2.1 款中提及的任何转让,批准的附录将构成 DPA 的一部分,本 DPA 的执行应与签署批准的附录具有同等效力。
批准的附录应视为已完成,如下所示:一些文本
- “附录欧盟 SCC” 应指根据第 13 条和本附表 3 纳入本协议的 SCC;
- 经批准的增编的表1应在附表1的A段中填写详细资料;
- “附录信息” 是指附表 1 和附表 2 中列出的信息
- 就批准附录表 4 而言,根据批准附录第19 节,在批准的附录适用的范围内,Brisk(作为数据进口商)可以终止本 DPA;以及
- 批准的附录第 16 节不适用。
本瑞士附录将适用于受瑞士数据保护法约束的任何涵盖数据的处理。
对本附录的解释
- 如果本附录使用标准合同条款中定义的术语,则这些条款的含义将与标准合同条款中的含义相同。此外,以下术语具有以下含义:
“补遗“指本条款附录;
“条款“指根据第13段纳入本DPA以及本附表3中进一步规定的标准合同条款;以及
“FDPIC“指联邦数据保护和信息专员。
- 本附录的阅读和解释应符合瑞士数据保护法,以履行双方在 FADP 第 16 (2) (d) 条下的义务。
- 本附录的解释不得与瑞士数据保护法规定的权利和义务相冲突。
- 任何提及立法(或立法的具体条款)的内容均指该立法(或特定条款),因为该立法(或特定条款)可能会随时间而变化。这包括在本瑞士附录生效后合并、重新颁布和/或取代该立法(或具体条款)的情况。
- 关于受瑞士数据保护法约束的任何个人数据处理,本附录在必要范围内对条款进行了修订和补充,使条款得以运作:一些文本
- 对于数据出口者向数据进口者进行的传输,在瑞士数据保护法适用于数据输出者进行传输时的处理的范围内;以及
- 作为FDPIC批准、发布或认可的标准数据保护条款,用于FADP第16(2)(d)条的目的。
等级制度
如果本附录与双方之间达成或签订本附录时存在的条款或其他相关协议的规定发生冲突或不一致,则以为数据主体提供最大保护的条款为准。
对条款的修改
- 如果数据出口者对个人数据的处理完全受瑞士数据保护法的约束,或者根据条款从数据出口者向数据进口商转移个人数据是 “向前传输”(定义见条款中的定义,经本3.3(a)段其余部分修订),则对条款进行了以下修订:
- 提及 “条款” 或 “SCC” 是指本瑞士附录,因为它对 SCC 进行了修订。
- 第 6 条转让描述替换为:
- “传输的详细信息,尤其是传输的个人数据的类别和传输的目的,均为本 DPA 附表 1 中规定的内容,其中瑞士数据保护法适用于数据输出方在进行传输时的处理。”
- 提及 “(欧盟)2016/679号法规” 或 “该法规” 或 “GDPR” 的内容被 “瑞士数据保护法” 所取代,提及 “(欧盟)2016/679号法规” 或 “GDPR” 的特定条款将被瑞士数据保护法的相应条款或部分所取代(如果适用)。
- 对(欧盟)2018/1725号法规的引用已删除。
- 对 “欧盟”、“联盟”、“欧盟” 和 “欧盟成员国” 的提法全部改为 “瑞士”。
- 未使用附件一第13 (a) 条和C部分;“主管监管机构” 是FDPIC;
- 第 17 条改为:“这些条款受瑞士法律管辖”。
- 第 18 条改为:“与瑞士数据保护法相关的本条款引起的任何争议将由瑞士法院解决。数据主体还可以向其惯常居住地的瑞士法院对数据出口者和/或数据进口者提起法律诉讼。双方同意接受此类法院的管辖。”
This paragraph 4 (Australian Addendum) shall apply to any Processing of Covered Data from the Customer (as data exporter) to Brisk (as data importer), to the extent that Australia Data Protection Law applies.
- Where this Addendum applies, the following terms shall have the following meanings:
- “APP Entity” means an APP Entity as defined in the Privacy Act 1988 (Cth);
- “Australian Data Protection Law” means: (a) the Privacy Act 1988 (Cth) (including the Australian Privacy Principles); (b) any binding code or determination made under or pursuant to that Act; or (c) any other Australian law relating to privacy or data protection that applies to the Processing of the Covered Data in each case, as amended or superseded from time to time; and
- “Australian Privacy Principles” or “APPs” means the Australian Privacy Principles set out in the clauses of Schedule 1 of the Privacy Act 1988 (Cth).
- In connection with this DPA, this Australian Addendum will not be interpreted in a way that conflicts with rights and obligations provided for in the Australian Data Protection Laws.
- Any references to legislation (or specific provisions of legislation) means that legislation (or specific provision) as it may change over time.
- Brisk must comply with the Australian Privacy Principles (other than APP 1) in its Processing of Covered Data, whether or not it is an organisation bound by the Australian Data Protection Laws.
- In addition to the Controller Purpose and any rights under the DPA, the Processor may use or disclose Personal Data as permitted by Australian Data Protection Law.
- For the purposes of clause 11, if Brisk has reasonable grounds to suspect there may have been a Security Incident, it shall inform the Customer and carry out a reasonable and expeditious assessment of whether there are reasonable grounds to believe that the relevant circumstances amount to a Security Incident. Brisk will take all reasonable steps to ensure that the assessment is completed within 30 days after they becomes aware of the suspected or actual Security Incident. If Brisk determines through that assessment of the suspected Security Incident that there is a likelihood of serious harm to an individual whose Personal Data is involved, then the incident will be treated as a Security Incident for the purposes of clause 11. Nothing in clause 11 prohibits Brisk from making its own notification to relevant authorities or affected individuals if required by Australian Data Protection Law.
- For the purposes of clause 13, the Standard Contractual Clauses do not apply, and instead, Brisk will ensure that any overseas recipients of Personal Data will handle that data in accordance with the Australian Privacy Principles (other than APP 1). Brisk is responsible for the acts and omissions of any overseas recipients of Personal Data as if they were its own acts and omissions.
- Where the Personal Data includes Australian government-related identifiers. Brisk will not:
- adopt the Australian government-related identifier as its own identifier for the Data Subject; or
- use or disclose the Australian government-related identifier except where it is reasonably necessary to verify the Data Subject’s identity (or otherwise where directed to do so by the Customer).