数据处理协议

 

版本号:V1.0

最新修订日期:202110

生效日期:202110

 

前言

欢迎使用ZKBio Time软件及服务!

熵基科技深知个人数据对您的重要性,并会尽全力保护您的个人数据安全可靠。我们致力于维持您对我们的信任,恪守以下原则,保护您的个人数据:权责一致原则、目的明确原则、选择同意原则、最小必要原则、确保安全原则、主体参与原则、公开透明原则等。同时,熵基科技承诺,我们将按业界成熟的安全标准,采取相应的安全保护措施来保护您的个人数据。

请用户务必审慎阅读、充分理解各条款内容。除非用户已阅读并接受本协议所有条款,否则用户无权下载、安装或使用本软件及相关服务。用户的下载、安装、使用ZKBio Time软件、登录账号等行为即视为用户已阅读并同意本协议的约束。

 

1、协议适用范围

本协议是用户与熵基科技之间关于用户下载、安装、使用本软件,以及使用熵基科技相关服务所订立的协议。“熵基科技”是指厦门熵基科技有限公司及其相关服务可能存在的运营关联单位,在本协议中称为“我们”。“用户”是指注册、登录、使用软件及服务并获得管理权限的个人或组织,在本协议中称为“您”。

 

二、数据处理范围

在我们向您提供相关服务过程中,会涉及个人数据收集,详见下表所列信息。

业务场景

业务活动

数据清单

数据主体类别

涉及的数据处理活动及使用目的

我们提供远程/现场技术支持给用户

我们在软件实施、运维过程中可能会接触用户的个人数据

人事模块:人员编号、 部门(必填)、姓名、性别、职位、入职日期、出生日期、各类证件信息(证件照片、身份证号、护照,驾照等)、地址、办公电话、手机、民族、邮箱、卡号、密码、指纹、掌纹、面部、可见光面部、薪资信息(非必填);

考勤模块:手机APP外勤签到上传位置信息(必填)和考勤照片(非必填);

薪资模块:员工薪资数据(非必填);

访客模块: 访客证件类别、证件号、(必填)、访客编号(系统自动生成)、姓名、性别、卡号、密码、指纹、掌纹,可见光面部(非必填);

防疫模块:体温信息;

系统模块:系统用户名,登录密码(必填)、姓名、邮箱,指纹。

用户

涉及到个人数据的存储、分析、删除用于业务信息展示及分析,包括展示、更新、数据维护、个人标记、安全追溯、业务要求、研究、基本维护、账号管理

客户在线提交问题/需求反馈

客户在使用软件过程中可能会就出现的软件问题,需求主动提交在线反馈

用户名(姓名/昵称/别名/代码)、邮箱、国家。

用户

 

涉及到个人数据的收集

 

三、定义

除非双方另有约定,本协议中使用的术语定义按英文首字母顺序排列如下。

(一)“数据主体”(Data Subject),是指已确认身份或可确定身份的自然人。可确定身份的自然人是指可直接或间接确定身份的个人,特别是通过参考身份标识确定身份,身份标识包括姓名、身份证号、位置数据、在线身份标识或特定于该自然人的身体、生理、基因、精神、经济、文化或社会身份的一个或多个因素等。

(二)“欧盟标准合同条款”(EU Standard Contractual Clauses)是指自欧盟法案2016年第79号第44条起(且根据欧盟指令95/46/EC第26(2)条)规定的,向成立于无法确保充分数据保护的第三方国家/地区的处理方传输个人数据的相关标准合同条款,这些条款已在欧盟委员会相关网站上发布,可能随时修改或更新。

(三)“个人数据”(Personal Data)是指与已确认身份或可确定身份的自然人(“数据主体”)有关的任何信息。

(四)“个人数据泄露”(Personal Data Breach)是指按照本地数据保护法规规定,包括但不限于意外或非法销毁、丢失、更改、未经授权披露或访问传输、存储或其他方式处理的个人数据的安全违规行为。

(五)“数据保护法规”(Privacy Laws)是指与个人数据的安全和保护有关的任何可能适用的法律和/或条例(如GDPR或其他国家可适用的隐私保护法律),根据其实施或制定的任何法律和条例,以及这些法律和条例的修订、更新或重新颁布版本。

(六)“监管机构”(Regulatory Bodies)是指有权根据法令、规则、条例、行为准则或其他文件进行监管、调查或影响与数据安全和个人数据及隐私保护有关事宜的政府部门、监管机构、法定机构和其它机构。

(七)“服务”(Service)是指熵基科技根据与用户订立的具体服务协议及其他合同文本提供的涉及处理个人数据的服务。

“子处理者”(Sub-processor),指熵基科技及相关团体以外的涉及个人信息处理的组织或个人

 

四、数据处理要求

(一)数据处理原则

我们按照“合法、正当、透明、目的限制、数据最小化、准确、存储期限最小化、完整性与保密性、可问责”的通用原则进行个人数据处理,我们将按照您的指示开展数据处理活动,不能超出您的指示以及本协议约定的目的和范围,不得将个人数据用于任何其他目的。我们认为您的指示违反适用的数据保护法规时,我们将立即通知您。我们将全力支持您保护数据主体的权利,如访问、更正、删除。

(二)特殊类别的个人数据处理

我们不会以违反适用的数据保护法规的方式处理可能揭示种族或民族起源、政治观点,或行业工会成员资格的任何个人数据,唯一能识别自然人身份的生物数据。

(三)个人数据跨境转移

默认情况下,我们不会将个人数据进行跨境转移。只有根据您的指示且符合数据保护法规要求的情况下,我们才可以将个人数据进行跨境转移。在适用情况下,根据本地数据保护法规要求,在获得数据主体同意的情况下(如需要),我们将在必要时与您订立数据转移协议或标准合同(合同模板可参考:欧盟标准合同条款),双方同意履行与个人数据有关的跨境转移义务。

(四)数据安全

在处理个人数据期间,我们根据适用的数据保护法规及您的要求采取有效的技术和组织措施,保证在数据处理过程中对可能接触的个人数据采取不低于自身信息保密程度的保密措施进行保密,未经您的书面许可,不得向任何第三方披露,保护个人数据免遭泄露。

(五)数据泄露事故应急机制

1、在发现个人数据泄露事件后,我们会在二十四(24)小时内向您发送书面通知,以履行根据适用的数据保护法规规定通知监管机构和数据主体的义务。此类通知包含如下内容:

(1)概述个人数据泄露的影响,包括但不限于描述个人数据泄露的性质、相关数据主体的类别和数量以及相关个人数据处理记录。

(2)个人数据泄露可能造成的风险和后果。

(3)我们为处理个人数据泄露而采取的措施或提出的建议。

(4)我们的数据保护官联系方式:电子邮箱:product.biotime@zkteco.com

(5)您合理要求的与个人数据泄露相关的任何其他信息。

(6)如果上述信息不能在同一时间提供,则应在三十六(36)小时或者是在您要求的时间内分阶段提供。

2、对于任何发生的个人数据泄露,我们将立即调查,识别、防止并降低影响,并在您事先同意的情况下,采取必要的补救措施。

子处理者引入

1、未经您的允许我们不会将任何个人数据处理业务转包或外包给子处理者

2、根据适用的法律要求,我们应和子处理者签订数据处理协议并做尽职调查。我们子处理者传递您的要求,并对子处理者或其指定的任何第三方的数据处理行为导致的负面影响或不利后果承担责任。

(七)个人数据的删除

除非有相反要求或数据保护法规另有规定,根据您的要求,一旦履行完双方之间适用的协议中约定的我们的义务,我们会立即删除相关个人数据,并向您证明其已经履行该义务。

 

五、责任

您作为数据控制者,必须对遵守适用的数据保护法规承担责任。您有义务评估存储在软件上的个人数据处理的合法性。您应确保向我们披露的任何个人数据披露均合法。

 

六、审计权

您可以每年审核一次我们对协议条款和本数据处理协议的遵守情况。

 

七、适用法律

本协议将受用户所在成员国的法律管辖。