法律声明
数据处理协议
本数据处理协议(“DPA”)规定了Marken处理个人数据以履行Marken与客户之间商定的服务(“服务”)的条款和条件。
1. Marken和客户将按照适用的当地法律、法规、规定、命令、标准和其他类似文书处理个人数据,其中可能包括《通用数据保护条例》2016/679(“GDPR”)、英国GDPR、1996年《健康保险流通与责任法案》(“HIPAA”)和任何其他适用法律(统称为“数据保护法”)。
2. 在本协议中,术语“数据主体”、“个人数据”、“处理”、“处理者”、“控制者”、“健康相关数据”、“敏感数据”或“受保护的健康信息(PHI)”的定义见《数据保护法》,“服务数据”是指Marken代表客户处理的任何患者个人数据。
3. Marken和客户约定:
- 客户是控制者,或代表控制者行事,Marken是服务数据的处理者;
- 客户将全权负责确定服务数据的处理用途和方式,并且客户仅要求Marken处理必要、准确、充分、相关且不过度的服务数据,用于提供服务;
- 如果Marken或客户收到数据主体或当局/监管机构根据《数据保护法》提出的与服务数据有关的请求或投诉,禁止Marken处理服务数据或提供服务,则Marken遵守有效请求、指令或命令的行为不应被视为违反本协议。
4. Marken将:
- 仅根据客户的书面指示且仅在履行服务合理必要的范围内,处理服务数据;
- 除非为履行服务、遵守适用法律或客户事先同意所必需,否则不得向任何第三方披露服务数据;
- 在适用且合理必要的范围内与客户合作,使客户能够充分履行《数据保护法》规定的客户作为数据控制者的责任。
- 实施适当的技术和组织措施,以:
- 保护服务数据免遭意外或非法破坏或意外丢失、更改,以及未经授权的披露、访问或处理;且
- 仅限需要访问服务以便帮助Marken向客户提供服务的人员有权访问服务数据。Marken将确保任何处理服务数据的人员都受到合理适当的数据保护义务的约束,并承担保密义务。
- 及时以书面形式通知客户:
- 数据主体或当局/监管机构根据《数据保护法》就Marken代表客户处理的服务数据提出的任何请求或投诉。Marken将就根据任何《数据保护法》收到的任何请求或投诉与客户合作,并为客户提供合理的协助。
- 任何实际丢失、意外或非法破坏、损坏和/或未经授权披露、访问或处理服务数据,包括其合理细节。
- 删除或返还Marken代表客户处理的与本DPA有关的所有服务数据,除非法律、法规或客户的书面指示另有规定。
5. 客户声明并保证:
- 根据《数据保护法》处理服务数据所依据的法律依据,允许Marken(及其分包商)合法地(i)根据Marken向客户提供的服务处理服务数据;并(ii)在为提供服务或作为Marken内部数据存储程序的一部分而收集服务数据的司法管辖区之外传输和存储服务数据(此类个人数据将存储在位于西欧的服务器上)。客户承认,如果客户依赖同意意见作为处理服务数据的适用法律依据,则客户已获得有效、明确、自由的同意意见,许可Marken处理数据主体的个人数据,并且数据主体将获得所有必要的信息,使他们能够做出知情、客观的决定,确定是否允许Marken处理其个人数据,包括获知其个人数据可能会被转移到可能没有像服务数据来源国那样严格的当地数据保护义务的国家/地区。
- 如果服务数据包含(或以其他方式包含)PHI,则每位患者都提供了有效的HIPAA授权,允许处理其受保护的健康信息以便提供服务。
6. 除非Marken为执行服务所必需,否则客户不会向Marken传输或以其他方式披露任何服务数据。
7. Marken依靠客户指示Marken有权使用和处理个人数据的程度。因此,对于数据主体因Marken的任何作为或不作为而提出的任何索赔,只要此类作为或不作为直接由客户的指示引起,Marken将概不负责。
8. 如果客户要求Marken提供任何包含个人数据(Marken员工或承包商数据除外)的与服务相关的报告、记录、列表或大纲,客户需确保编制和交付此类报告具备有效的法律依据,并且客户对此类报告的使用将符合适用法律。
9. 如果客户代表Marken处理个人数据,包括但不限于员工、人员、分包商个人数据(“Marken数据”),客户应确保(a)其具备足够的安全措施用于保护Marken数据,并且(b)未经Marken同意,不得将Marken数据传输到收集数据的司法管辖区之外。客户应在发现或怀疑Marken数据发生任何事实或疑似数据泄露时立即通知Marken。
2024年5月更新
了解我们为什么必须适应,不断问自己应该如何改变,重要的是我们如何持续提供具有重要意义的产品。
登录和快速链接