此竹子数据处理协议(“DPA”)在竹子客户之间以及位于335南560 West Lindon UT 84042(“Bamboohr”)的竹子客户(“客户”)和Bamboo HR LLC之间。竹子和客户统称为“缔约方”和每个“派对”。

如果您代表客户接受本DPA,您代表并保证:(a)您获得正式授权代表客户;(b)您代表客户接受本DPA的条款。如果客户此前与BambooHR签订了数据处理协议,以遵守欧盟数据保护法(定义如下),则该数据处理协议将适用于双方关系,而不是本DPA,除非客户接受该DPA。

A.客户受《欧盟数据保护法》的约束,并已签署BambooHR的服务条款//www.vietgest.com/terms-of-service.(“合同”)接收本合同(“服务”)中所述的BambooHR的某些服务。在提供本合同项下的服务时,BambooHR可以处理客户控制的个人数据。

B.为了遵守欧盟数据保护法,客户必须确保所有数据的适当保护,包括个人数据,包括个人数据,当客户从事第三方供应商时。因此,客户对竹子的协议对此DPA的条款和条件的协议,将竹子的参与作用。

1.1“适用隐私法”系指客户须遵守的相关数据保护和隐私法律法规,如适用,包括欧盟数据保护法。

1.2“授权人”是指任何在竹子代表上处理个人数据的人,包括竹子的员工,官员,伙伴,校长,承包商和分包商。

1.3“欧盟数据保护法”是指2016/679的欧洲议会和理事会关于保护个人数据的自由人员和此类数据的自由流动(“一般数据保护条例”或“gdpr“)。

1.4“示范条款”系指经欧洲委员会批准并可在以下网站获得的针对加工商的标准合同条款https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.(不时修改或更新)。

1.5“个人数据”是指与服务有关的竹子,代表客户提供或代表客户提供的任何信息,并涉及所识别或可识别的自然人(“数据主题”)。可识别的自然人是可以直接或间接地识别的人,特别是通过引用诸如名称,识别号,位置数据,在线标识符或其物理,生理,生理学的一个或多个因素的标识符来识别的人遗传,心理,经济,文化或社会形式。为了避免怀疑,个人数据包括个人身份信息。

1.6“安全事件”是指意外、未经授权或非法破坏、丢失、更改、披露或访问个人数据。

1.7“分包商”是指由BamboohR订婚的任何第三方来处理与此DPA和/或合同有关的任何个人数据。

1.8术语“控制器”,“处理器”和“处理”,在适用的隐私法中具有给予它们的含义。如果在适用的隐私法没有定义这些条款的范围内,那么欧盟数据保护法中给出的定义将适用。

2.1Bambooohr应仅作为代表客户行事的处理器处理合同项下的个人数据。Bambooohr同意,它将按照附件A中的说明处理个人数据。

2.2Bamboohr始终将仅处理个人数据,仅用于为客户提供服务,并根据客户的记录说明,除非欧盟数据保护法要求竹子以其他目的进行其他目的。如果在竹子上放置了这样的要求,除非有关法律禁止提供此类通知,否则应当向客户提供先前通知。

2.3各方应遵守其根据适用隐私法对其根据本DPA处理的任何个人数据承担的义务。

2.4如果BambooHR确定其不能履行本DPA项下的义务,应立即通知客户,在此情况下,BambooHR应与客户合作,采取一切合理和适当的步骤停止和补救(如可补救)任何处理,直至该处理符合本DPA的要求。如果客户认为BambooHR没有或不能在合理的时间内按照本第2.4条的规定纠正任何不合规行为,BambooHR应立即停止(并要求所有分包商立即停止)处理个人数据。

3.1未经客户的事先书面同意,竹子不得将个人数据的任何处理个人数据加工到分包商中。尽管上述情况,但客户特此表示同意竹子接合分包商来处理个人数据:

  • a)Bamboohr为客户提供聘请的所有分包商的列表,以便代表竹子处理个人数据(目前提供的最新列表www.vietgest.com/subcontractors.,并应在BambooHR增加或替换任何分包商时,及时向客户提供分包商列表的更新副本或链接;
  • b) BambooHR至少提前30天书面通知客户聘用任何新的分包商(包括处理和地点的详细信息);
  • c) BambooHR对其所从事的任何分包商施加与本DPA中包含的相同的数据保护条款(包括示范条款和/或其他数据传输条款,如适用);和
  • d)竹子对任何违反此DPA或由此类分包商的行为,错误或遗漏造成的合同仍然完全责任。

3.2如果客户在收到根据上文第3.1(b)条聘用新分包商的通知后,以数据保护为由反对聘用该分包商,那么,要么BambooHR将不聘请分包商处理个人数据,要么客户可以选择根据本合同条款暂停或终止本合同和DPA。

4.1竹子应确保任何授权人员受到严格的保密义务(无论是合同还是法定义务),并且他们仅为个人数据处理个人数据,以便为客户提供合同下的服务。

4.2竹子将实施并保持所有合理和适当的技术和组织安全措施,以满足欧盟数据保护法的要求,特别是防止安全事件的发生,并保留个人数据的安全,诚信和机密性(“安防措施”)。此类安全措施应考虑行业标准,实施成本以及加工的性质,范围,背景和目的,以及安全事件的风险以及对自然人的权利和自由的潜在影响。最低限度,竹子同意附件B中确定的安全措施。

5.1在发生安全事件时,BambooHR应及时(且在不迟于BambooHR得知该安全事件后的48小时内)通知客户并提供安全事件的书面通知。该等通知须包括(a)有关保安事件的详细说明,(b)作为保安事件主题的个人资料类别,以及(c)每个受影响人士的身分(或在不可能的情况下,有关资料当事人及个人资料纪录的大致数目),(d)对该安全事件可能产生的后果的描述,以及(e)对BambooHR为处理该安全事件而采取或拟采取的措施的描述,包括在适当情况下减轻其可能产生的不利影响的措施。如果在首次通知时无法获得该等信息,竹hr应在获得该等信息后及时提供更新。

5.2此外,如果安全事件,竹子应:

  • a)及时提供客户可能要求的信息和合作,以履行客户在适用隐私法下的数据违约报告和通知义务;和
  • b) 采取适当措施和行动,补救或减轻安全事件的影响,并应随时向客户通报与安全事件有关的所有重大事态发展。

5.3关于安全事件的任何通知、公开/监管通信或新闻稿(“通信”)的内容和提供应完全由客户自行决定,适用法律另有要求的除外。如果在任何该等通信中引用了BambooHR的名称,则应向BambooHR提供审查和批准该等通信的准确性的机会,该等批准不得被无理拒绝。

6.1Bambooohr应根据ISO 27001、SOC II或其他类似信息安全管理系统(“ISMS”)标准保存记录,并应向客户提供相关ISMS认证、审计报告摘要和/或客户合理要求的其他文件副本,以验证Bambohr是否符合本DPA,应客户要求。

7.1Bambooohr应与客户合理合作,使客户能够响应数据主体和监管或司法机构关于处理合同项下个人数据的任何请求、投诉或其他通信,包括寻求根据适用隐私法行使其权利的数据主体的请求。如果任何此类请求、投诉或通信直接提交给Bambooohr,除非适用法律禁止,否则Bambooohr应立即将此信息传递给客户,且未经客户明确授权,不得对此类通信作出回应。

7.2如果Bamboohr从第三方(包括执法或其他公共或司法当局)接受帆船,法院命令,保证或其他法律要求寻求披露个人数据,除非适用法律另有要求或由律师建议否则,否则竹子不得适用法律要求,披露任何信息,但应立即向客户以书面形式通知客户,除非适用的法律另有规定,如果需要限制,挑战或防范此类披露,则合理地合作。适用法律允许的范围。

7.3Bamboohr应协助客户进行任何隐私度影响评估服务,这是合理的,因为鉴于正在处理的个人数据。竹子应合理地与客户合作,实施此类缓解行动,合理要求解决任何此类隐私影响评估所确定的隐私风险。如果客户对竹子的缓解行动不满意,客户可以选择根据合同条款暂停或终止合同和此DPA。

7.4Bambooohr应在收到客户的书面请求后,向客户提供合理必要的信息,以证明Bambohr遵守适用隐私法,并允许客户和/或其授权代理人在合理要求的范围内审计其记录,以确认Bambohr遵守了本DPA或任何适用的义务隐私法,前提是任何此类审计不涉及对任何第三方数据的审查,并且与此类审计相关的记录和信息被客户视为机密信息。客户应自行承担进行此类审计的费用。除非客户要求进行此类审计是在安全事件之后,或适用隐私法另有要求,否则客户不得在任何12个月内提出任何此类要求。

8.1竹子始终将为个人数据提供足够的保护水平,无论是加工,按照适用的隐私法的要求。

8.2除非:(i)本公司事先获得客户的书面同意,否则本公司不得在客户最初接收个人资料的地区以外的地区处理或转让任何个人资料(也不允许对个人资料进行处理或转让);并(ii)采取一切必要措施以确保该等处理或转移符合适用隐私法(包括客户可能不时告知BambooHR的措施)。为上述目的,欧洲经济区(包括英国和瑞士)是领土。

8.3客户承认并同意:只要BambooHR已存在一个有效的隐私保护认证或其他后续或额外的认证或充分性找到适当的欧盟当局签发的允许个人数据的转移到美国(和隐私保护或其他后续或额外的认证仍然是一个有效的手段在符合第3条的前提下,BambooHR可在无需客户事先书面同意的情况下将个人数据转移到美国。

8.4如果适用隐私法不允许根据第8.3条转移个人数据,双方同意,该等转移应受模式条款的约束,前提是BambooHR遵守(并要求任何分包商遵守)示范条款,它们通过参考被合并,并构成DPA的一个组成部分。出于模型条款中描述的目的,且仅在BambooHR和客户之间,BambooHR同意其是模型条款下的“数据导入者”,客户是“数据导出者”(尽管客户位于EEA之外)。此外,本DPA的附件A和附件B将分别取代示范条款的附件1和2。

8.5任何一方均无意违反或限制示范条款中所述的任何规定,本DPA的效力也不例外。因此,如果示范条款与本DPA的任何规定相冲突,并在一定程度上以示范条款为准。本DPA在任何情况下都不限制或限制任何数据主体或任何主管监管机构的权利。

9.1根据客户的请求,或在此DPA的终止或到期时,竹子将在其拥有或控制中销毁或返回客户所有个人数据(包括副本)(包括其分包商处理的任何个人数据)。此要求不得适用于任何适用法保留某些或全部个人数据所要求的竹子,其中竹子应从任何进一步处理中隔离和保护个人数据,除非此类法律要求的范围。

10.1该DPA应根据客户在欧洲联盟,瑞士,瑞士或英国主要成立的国家的法律管辖,除非适用的隐私法另有要求。

10.2此DPA的所有条款都纳入合同。如果合同中的术语与此DPA中的术语之间发生冲突,则以本DPA所载的术语为准

10.3只要BambooHR和/或其分包商代表客户处理个人数据,本DPA赋予BambooHR的义务将继续存在。

10.4除了由双方签名的后续书面仪器之外,此DPA可能无法修改。

10.5如果本DPA的任何部分被认定为不可强制执行,所有其他部分的有效性将不受影响。

客户对本协议相关的活动描述:

客户为提供本合同所述服务而向竹hr提供的个人资料的控制人。

Bambooohr提供的服务性质:

本合同项下BambooHR向客户提供的服务是作为服务提供和维护人力资源信息系统软件,包括数据的收集、托管和处理。

处理的个人数据类型:

员工和候选人

  • 个人信息(包括但不限于姓名、身份证号码、照片、地址、出生日期、性别、婚姻状况、子女数量、紧急联系方式、电话号码、学历和专业资格、简历/简历、工作经历、语言能力等);
  • Information in connection with the employee’s job (including, but not limited to, title, grade, location, reporting lines, team affiliation, hire date, working hours, contract details, performance and evaluation data, employee discipline information, work history, benefits and insurance, assets assigned, training, time-off documentation, etc.);
  • 工资相关信息(包括但不限于工资薪酬信息、税务社保信息、银行信息、养老金、股票期权、奖金、其他福利等)。

裁判/参考文件

  • 联系方式:地址,电话号码(固定和移动),电子邮件地址,传真号码,紧急联系信息。

健康状况,残疾信息。

数据主题类别:

  • 员工 - 包括客户的过去,潜在,现任和未来的工作人员(包括客户的志愿者,代理商,独立承包商,实习生,临时和休闲工人)。
  • 候选人-客户的过去、潜在、现在和未来的候选人,正在考虑或已经被客户选中担任某个职位(包括来自公开渠道的候选人信息)。
  • 推荐人/推荐人-过去、现在、潜在和未来的客户候选人的推荐人。

处理操作的性质:

处理个人数据的目的是根据合同进行服务,详见的是。处理的持续时间将是竹子根据合同向客户提供服务的时期。

Bambooohr根据DPA第4.2节实施的技术和组织安全措施说明:

1.处理区域的访问控制

竹子实现了合适的措施,以防止未经授权的人获得处理或使用个人数据的数据处理设备(即数据库和应用程序服务器和相关硬件)。这是通过的:

  • 建立安全领域;
  • 保护和限制访问路径;
  • 数据处理设备和个人计算机将在具有受限访问的封闭区域
  • 建立员工和第三方的访问授权,包括各自的文件;
  • 发布和使用卡钥匙的法规和限制;
  • 对托管个人数据的数据中心的所有访问都进行了记录、监控和跟踪;和
  • 托管个人数据的数据中心是通过安全警报系统保护的,以及其他适当的安全措施。

2.访问数据处理系统

Bamboohr实现适当的措施(包括行业标准加密),以防止其数据处理系统由未经授权的人员使用。这是通过的:

  • 识别终端和/或终端用户到竹子系统;
  • 用户终端自动超时如果闲置,标识和密码需要重新打开;
  • 发布和保护识别码;
  • 终端用户的奉献,识别特性专用于特定功能;和
  • 密码要求(最小长度,特殊字符的使用等);和
  • 所有对数据的访问都被记录、监控和跟踪。

3.使用数据处理系统的特定领域的存取控制

Bamboohr确保有权使用其数据处理系统的人只能访问范围内的数据以及其各自的访问权限(授权)所涵盖的范围,并且在不授权的情况下无法读取,复制或修改或删除个人数据。这是通过的:

  • 员工对个人数据访问权的政策和培训;
  • 通过加密或化名(视情况而定)保护数据不被未经授权访问;
  • 针对未经授权访问个人数据的个人有效和测量纪律处分;
  • 将数据释放到仅授权人员;和
  • 控制备份副本保留的策略。

4.传输控制

Bamboohr实现了适当的措施,以防止在其传输过程中或在数据媒体运输期间被未经授权的各方读取,复制,改变或删除个人数据。这是通过的:

  • 使用防火墙和加密技术来保护数据行进的网关和管道;
  • 不在流动储存媒体、手提电脑或其他流动装置上储存资料,除非在静止时受到强加密保护;和
  • 通过SFTP或SSL(端到端检查)监控数据传输的完整性和正确性。

5.输入控制

Bamboohr实现了适当的措施,以确保可以检查并确定个人数据是否已被输入到数据处理系统中或删除。这是通过的:

  • 用于将数据输入存储器以及读取、修改和删除所存储数据的授权策略;
  • 授权人的认证;
  • 授权系统的认证;
  • 将数据输入到内存中的保护措施,以及存储数据的读数,更改和删除;
  • 利用用户代码(行业标准密码);
  • 提供数据处理设施(电脑硬件和相关设备的房间)的条目能够被锁定;
  • 长时间未使用的用户ID自动登出;
  • 在竹子的输入授权组织内建立的证据;和
  • 电子录制条目。

6.工作控制

竹子实施了适当的措施,以确保在委托个人数据的处理的情况下,按照本金的指示严格处理数据。这是通过的:

  • 允许数据出口商在合理的通知和竹子通常的营业时间内审核,审核和检查竹子的设施,实践和程序在委托个人数据的委托处理时。

7.可用性控制

Bambooohr实施适当措施,确保个人数据免受意外破坏或丢失的保护,并且Bambooohr能够在发生安全事件时及时恢复个人数据的可用性和访问权限。这是通过以下方式实现的:

  • 基础设施冗余;
  • 禁止在本地(工作站)永久存储数据的政策;
  • 备份储存在异地,并可在数据库服务器的局域网基础设施发生故障时进行恢复;和
  • 灾难恢复和业务连续性计划。

8.不同目的的加工分离

竹子实现了合适的措施,以确保可以单独处理收集的数据。这是通过的:

  • 对数据的访问通过应用程序安全隔离给适当的用户;
  • BambooHR数据库中的模块区分了哪些数据用于哪些目的,即根据功能和功能;
  • 在数据库级别,数据被存储在不同的规范化表中,每个模块或函数被分离;和
  • 接口、批处理流程和报告仅为特定目的和功能设计,因此为特定目的收集的数据将单独处理。

9.测试

Bamboohr经常测试,评估和评估其在确保其处理个人数据的安全性的技术和组织措施的有效性。