快速的未来即将在您所在的城市举办的活动中到来。
加入我们参加 Redis 发布会
上次更新:2022 年 12 月 23 日
请 点击这里 查看此数据处理附录最近更改的列表。
本数据处理附录 (“DPA”) 是适用的主服务或订阅协议的一部分,包括 Redis 云服务条款 (“协议”),由 Redis Ltd.、Redis EMEA Ltd. 或 Redis Inc.(视情况而定)(以下简称“Redis”)与在注册过程中提供其详细信息的实体或组织之间签订(以下简称“客户”)(Redis 和客户统称为“各方”)。所有在此未定义的大写字母术语均具有协议中规定的含义。
为了根据协议向客户提供服务 (“服务”),Redis 可能需要代表客户存储、检索或执行与客户个人数据相关的其他操作,或对客户个人数据执行其他操作(见下文“处理”的定义),基于客户的指示。本 DPA 旨在反映各方在适用隐私法律和法规(见下文定义)下处理个人数据的协议。
1.1 “关联公司“是指直接或间接控制、受控制于或与协议一方具有共同控制的任何法律实体,其中“控制”是指拥有该实体多数投票股权、股权或投票权。1.2.
1.2 “CPRA” 是指 2018 年加利福尼亚州消费者隐私法案 (“CCPA”) 及其实施条例,以及 2020 年加利福尼亚州隐私权法案 (CPRA)(因为它修改了 CCPA)。1.3.
1.3 “控制者”是指单独或与其他人共同确定个人数据处理目的和方式的自然人或法人、公共当局、机构或其他机构。1.4.
1.4 “客户”是指使用服务的实体,该实体已签署协议或适用的订单表格,其中引用了本 DPA。1.5.
1.5 “GDPR” 总称为 2016 年 4 月 27 日欧洲议会和理事会条例 (EU) 2016/679 和 2016 年 4 月 27 日欧洲议会和理事会条例 (EU) 2016/679,它根据 2018 年《欧洲联盟 (退出) 法》成为英国 (UK) 法律的一部分。1.6.
1.6 “个人”是指个人数据所涉及的自然人,也称为“数据主体”根据 GDPR 和类似的隐私法律和法规。1.7.
1.7 “个人数据“是指与已识别或可识别的个人有关的信息,也称为“个人信息,” (或其他实质上相似的术语) 根据适用的隐私法律和法规,Redis 根据协议处理。1.8.
1.8 “人员“是指客户及其关联公司的员工、代理商、顾问和承包商。1.9.
1.9 “隐私法律和法规“是指适用于协议下个人数据处理的所有法律、法规、条例和具有约束力的义务,包括在适用的情况下,GDPR、CPRA 和 2018 年英国数据保护法。1.10.
1.10 “处理”, “已处理” 或 “处理“是指对个人数据执行的任何操作或一组操作,无论是否通过自动方式,例如收集、整理、存储、调整或修改、检索、咨询、使用、通过传输披露、传播或以其他方式提供、对齐或组合、阻止、删除或销毁。1.11.
1.11 “标准合同条款” 或 “SCCs”是指根据 2021 年 6 月 4 日委员会执行决定 (EU) 2021/914 将个人数据转移到第三国的标准合同条款,可在以下网站获得: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en(如果该链接随后更新,则可以在欧洲委员会网站 commission.europa.eu 上找到 SCC)。1.12.
1.12 “分包商(s)” 是指可能需要在代表客户执行服务时处理个人信息的第三方服务提供商(s)。适用分包商的列表可在 此链接处获得,或访问 /legal(“Redis 分包商列表”)。客户也可以通过提交支持票获取 Redis 分包商列表的副本。1.13.
1.13 “英国附录” 是指由专员根据 2018 年《数据保护法》第 119A(1) 条发布的《欧盟委员会标准合同条款国际数据传输附录》,可在以下网站获得: https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf(如果该链接随后更新,则可以在信息专员办公室的网站 ico.org.uk 上找到英国附录)。
2.1. 范围和角色。本 DPA 适用于 Redis 在提供服务过程中处理个人数据的情况,如协议和适用的订单表格中所述。在此背景下
(i) 在 GDPR 或其他具有类似条款的隐私法律和法规适用于 Redis 代表客户根据协议处理个人数据的范围内,Redis 和适用的关联公司是客户的处理者,客户可以作为个人数据的控制者或处理者,如适用的隐私法律和法规中定义的这些或类似的术语;以及
(ii) 在 CPRA 适用于 Redis 代表客户根据协议处理个人数据的范围内,(a) 客户是“企业”,Redis 和适用的关联公司是“服务提供者”,如 CPRA 中定义的这些术语;(b) Redis 将仅代表客户并出于协议中规定的特定商业目的处理个人数据;以及 (c) Redis 不会出于任何目的保留、使用、披露或以其他方式处理此类个人数据,除了用于执行协议中规定的服务的特定目的。
2.2 Redis 处理个人数据的指令。Redis 仅会代表客户并根据客户的书面指令处理个人数据,包括关于将个人数据传输到第三国的指令,除非 Redis 被适用的隐私法律和法规要求以其他方式处理个人数据;在这种情况下,Redis 应在处理之前告知客户该法律要求,除非该法律要求出于重要的公共利益理由禁止提供此类信息。如果 Redis 认为任何指令违反适用的隐私法律和法规,将立即告知客户。
客户特此指示 Redis 为以下商业目的处理个人数据
(i) 根据协议和适用的订单表格进行处理,包括但不限于提供服务,以及用于支持、备份和灾难恢复、网络安全、服务运营和控制、欺诈和服务滥用预防以及法律和行政诉讼;以及
(ii) 处理以符合客户提供的其他合理指令,其中此类指令与协议条款一致并符合适用的隐私法律和法规;以及
(iii) 本 DPA 范围之外的处理(如果有)将需要 Redis 和客户之间关于处理额外指令的书面协议,包括关于客户将支付给 Redis 用于执行此类指令的任何额外费用的协议。
2.3 主题和期限。本 DPA 下处理的主题和期限是为了协议的目的和期限。处理的性质和目的以及要处理的个人数据类型和数据主体类别由客户确定,基于客户对服务的使用以及客户选择上传到服务或以其他方式提供给 Redis 以便处理的个人数据。数据主体类别可能包括客户的员工、工作人员、供应商、最终用户,或客户选择根据协议提供给 Redis 的任何其他个人个人的个人数据。
3.1 客户承诺提供所有必要的通知给个人并获得所有必要的许可和同意,以及根据适用的隐私法律和法规,以其他方式解决与处理的合法依据相关的任何义务,以便 Redis 代表客户根据协议条款和本 DPA 处理个人数据。
3.2 在适用的隐私法律和法规要求的范围内,客户将适当地记录个人个人的通知和同意或处理此类个人数据的其他合法依据。
4.1 请求。Redis 将在法律允许的范围内,立即通知客户,如果 Redis 收到来自个人(其个人数据包含在客户的个人数据中)或个人法定监护人的请求,要求行使访问、更正、修改或删除与个人相关的个人数据,或行使个人根据适用的隐私法律和法规享有的其他个人权利。
4.2 协助。考虑到 Redis 处理的性质,在可能的情况下,Redis 将在处理个人个人的请求方面为客户提供合作和协助,根据适用的隐私法律和法规,通过为客户提供访问其数据的权限,以便行使适用的个人权利。除非适用的隐私法律和法规不允许,否则客户将报销 Redis 与 Redis 提供此类协助相关的任何成本和费用,但不包括微不足道的成本。
4.3 个人数据准确性。由于处理的性质,客户承认并同意,Redis 不太可能意识到处理的个人数据不准确。如果 Redis 意识到客户数据不准确,将告知客户。Redis 将与客户合作擦除或纠正不准确的个人数据。
5.1 根据客户的书面请求,Redis 将协助客户履行其根据 GDPR 第 32 条至第 36 条(或适用于隐私法律和法规的其他实质上类似的义务)的义务,涉及 Redis 处理客户的个人数据,考虑到处理的性质以及 Redis 可获得的信息。
6.1 访问限制。Redis 将确保 Redis 访问个人数据的权限仅限于需要此类访问权限才能执行协议的人员。
6.2 机密性。Redis 将对其参与处理个人数据的人员施加适当的合同义务,包括与机密性、数据保护和数据安全相关的相关义务。Redis 将确保其参与处理个人数据的人员了解个人数据的机密性,并已接受其职责的适当培训,并受适当的机密义务约束。
7.1 关联公司. Redis 在协议下的一些或所有义务可能由 Redis 关联公司履行。
7.2 子处理者.客户承认并同意,Redis 和 Redis 的关联公司分别可以聘用子处理者代表客户执行服务。所有将个人数据传输给 Redis 以代表客户提供服务的关联公司和子处理者都与 Redis 签订了书面协议,或者其他使他们承担本 DPA 下的实质上相同的重大义务的约束性文书。
7.3 责任.Redis 将对其实关联公司和子处理者的行为和疏忽承担与 Redis 直接执行每个关联公司或子处理者的服务时相同的责任,根据协议的条款。
7.4 反对。为了确保遵守适用的隐私法律和法规,客户可以在 Redis 更新子处理者在线列表或以其他方式通知客户其与新子处理者合作后的十 (10) 个工作日内,反对 Redis 与任何新子处理者合作以代表客户处理客户的个人数据。客户同意,任何反对都将基于合理且详细的原因。如果客户根据本节规定向 Redis 发送书面反对新子处理者的意见,Redis 将尽商业上合理的努力,在不使用新子处理者处理客户的个人数据的情况下,为客户提供相同水平的服务。本节中的任何内容都不会损害双方在协议下的权利和义务。
8.1 转移到子处理者。所有 Redis 的子处理者:(i) 受适当的合同保障措施(如标准合同条款或英国附录)约束;(ii) 已执行或承诺遵守此类其他约束性文书、认证或自我认证,以便根据 GDPR 或其他适用的隐私法律和法规的要求和可用性,将客户的个人数据合法转移到欧洲经济区、英国或瑞士的其他地区;或 (iii) 位于欧盟委员会或适用的主管部门承认对个人数据提供充分保护的国家。
8.2 数据位置。客户可以在配置服务时选择将数据托管在不同的地理位置。如果客户以这样一种方式配置服务,即需要将个人数据从一个地理区域转移到另一个地理区域,则以下内容将适用(适用时)
8.2.1 一般情况。当 (i) 客户将个人数据从欧洲经济区、英国或瑞士转移到 Redis(其中此类转移包括受 GDPR 约束的个人数据),以及 (ii) Redis 将在 (a) 不受欧盟委员会充分性决定约束的国家处理此类个人数据,以及 (b) 在适用的隐私法律和法规的意义上不提供充分的保护级别时,本 DPA 的附件 1将适用。
8.2.2 英国;瑞士。本 DPA 的附件 2适用于客户在英国或瑞士适用的隐私法律和法规的领土范围内的情况。
8.2.3 以色列。在欧盟范围内将个人数据转移到以色列(在适用范围内)应符合 2011 年 1 月 31 日欧盟委员会关于以色列国对个人数据进行自动处理的充分保护个人数据的 2011/61/EU 决定。
8.2.4 充分性决定。如果欧盟委员会根据 GDPR 第 45 条通过一项新的充分性决定,确定欧盟以外的司法管辖区提供充分的保护级别,并且此类决定发布在欧盟委员会的此链接处的网站上,Redis 和客户同意可以将此决定用作适用司法管辖区的转移机制。
9.1 控制措施。Redis 将根据行业标准信息安全措施(“TOMs”)维护行政、物理和技术保障措施,以保护客户个人数据的安全、机密性和完整性。Redis 将定期审查和监控对这些 TOMs 的遵守情况。TOMs 将考虑到处理活动的性质、范围、背景和目的,旨在防止未经授权或非法处理、更改、意外销毁或未经授权访问或披露个人数据。在协议期限内,TOMs 的总体安全性不会出现重大下降。可以通过遵循适用的支持流程或从/legal/redis-technical-and-organizational-security-measures/获取 TOMs。
9.2 政策和审计。Redis 使用外部审计师验证其安全措施的充分性。服务的内部控制受此类审计师的定期测试。在客户合理间隔的书面要求下,并受保密限制的约束,Redis 将向客户(或代表客户的第三方审计师,其不是 Redis 的竞争对手,并受审计师执行 Redis 的保密协议的约束)提供当时最新的 Redis 对第三方审计或认证报告的摘要。客户可以每年最多进行一次(1)次对 Redis 遵守其在本 DPA 下的义务的审计(“数据保护和安全审计”),但须遵守以下累积条件
(i) 数据保护和安全审计将提前至少六十 (60) 天以书面形式与 Redis 预先安排;
(ii) 所有执行数据保护和安全审计的客户人员,无论是由客户雇用还是委托,都将在数据保护和安全审计开始之前执行 Redis 的保密协议,第三方审计师也将执行非竞争承诺;
(iii) 客户将采取所有必要的措施并验证审计师不会访问、披露或损害 Redis 信息和网络系统上的非客户数据的机密性和安全性;
(iv) 客户将采取一切措施,防止对 Redis 及其关联公司的信息和网络系统造成任何损坏或干扰,并防止对 Redis 的日常业务运营造成任何不合理的干扰;
(v) 客户将承担数据保护和安全审计的所有费用,并承担其责任和责任,以及由此造成的任何故障或损坏;
(vi) 客户将对数据保护和安全审计结果严格保密,将仅将结果用于本节数据保护和安全审计的特定目的,不会将结果用于任何其他目的,或在未经 Redis 事先明确书面确认的情况下与任何第三方共享;以及
(vii) 如果客户需要向主管部门披露数据保护和安全审计结果,客户将首先向 Redis 提供事先书面通知,说明披露的详细信息和必要性,并将向 Redis 提供所有必要的协助,以防止披露。
9.3 客户配置。Redis 云服务和 Redis 企业软件具有可配置的安全选项和设置,客户应根据 Redis 企业安全最佳实践文档(“Redis 安全配置最佳实践”)进行配置。Redis 云服务的 Redis 安全配置最佳实践可在该链接找到,而 Redis 企业软件的 Redis 安全最佳实践可在该链接找到。客户同意并理解,已向其提供了 Redis 安全配置最佳实践,并已知悉这些最佳实践。
10.1 漏洞预防和管理。Redis 将维护安全事件管理政策和程序,并将根据适用法律的要求,立即通知客户任何 Redis、其关联公司或人员未经授权访问、获取或披露客户个人数据,而 Redis 已知悉(“安全事件”)。
10.2 补救。Redis 将立即尽合理努力识别和解决此类安全事件的原因。
11.1 数据删除。Redis 将在协议期限内或协议终止时或之后,为客户提供删除客户个人数据及其任何副本的能力。通过提供此类能力,客户承认 Redis 满足了适用隐私法律和法规下的数据删除要求。
11.2 数据保留。尽管有上述规定,但客户承认并同意,Redis 可能会保留某些记录、日志文件和交易详细信息的副本,这些副本是其日常备份和归档程序所必需的,以及确保遵守其法律义务及其在适用法律下的持续义务,包括根据法律要求保留数据并使用此类数据来保护 Redis、其关联公司、人员及其代表的任何人参与法院和行政诉讼。
12.1 如果法律或传票或其他司法或行政命令要求,或者 Redis 认为披露对于保护任何人的安全和权利或公众利益是必要的,Redis 可能会披露个人数据。
12.2 Redis 承诺根据适用隐私法律和法规的要求,采取补充措施来保护数据出口方(“SCC 个人数据”)根据 SCC(无论来自欧盟、英国、瑞士或其他要求此类补充措施的司法管辖区)转移的个人数据,包括实施适当的技术和组织保障措施,例如加密或类似技术、访问控制或其他补偿性控制,以保护 SCC 个人数据免受超出民主社会为维护国家安全、国防和公共安全所必需的任何干扰。
12.3 如果 Redis 收到公共机构的关于访问个人数据的具有法律约束力的请求,Redis 将
(i) 立即通知客户此类请求,以使客户能够进行干预并寻求对此类披露的救济,除非 Redis 另有禁止提供此类通知的规定。如果 Redis 被禁止
a. 它将尽其合理努力获得放弃此项禁令的权利,尽可能多地传达信息,并能够证明它确实做到了。
b. 如果尽管已尽其合理努力,Redis 仍不允许通知客户,它将在每年,并在法律允许的情况下(例如转移影响评估或其他透明度报告),提供关于它收到的客户和/或客户主管监管机构的请求的一般信息。
(ii) 遵守 Redis 针对公共机构请求披露个人数据的内部政策,这些政策符合本 DPA;
(iii) 不向任何公共机构披露任何个人数据,这些披露被确定为大量、不成比例且无差别的方式,超出民主社会所必需的范围;以及
(iv) 应客户要求,提供有关其在过去十二 (12) 个月内收到的与个人数据相关的公共机构请求的一般信息。
13.1 本 DPA 将在协议生效之日起生效,并将持续到协议根据协议条款到期或终止为止。
14.1 Redis 的数据保护官和 Redis 的合规团队负责确保所有相关的 Redis 人员遵守本 DPA。可以联系以下地址联系 Redis 的数据保护官:privacy@redis.com.
15.1 各方将创建一个升级流程,并在任何因本 DPA 产生或与本 DPA 相关的争议发生后五个 (5) 个工作日内向对方提供书面副本。升级流程将用于解决与本 DPA 的履行相关的争议问题,包括但不限于技术问题。各方同意定期就任何需要及时准确解决的未决问题或流程问题进行沟通,如各自升级流程文档中所述。各方将真诚地尝试解决因本 DPA 产生或与本 DPA 相关的任何争议,在采取任何形式的法律诉讼之前和作为先决条件,首先按照上述升级流程进行,然后由具有解决争议的权力且管理层级别高于直接负责本 DPA 管理的人员进行协商。任何一方都可以向对方发出书面通知,告知任何未在正常业务过程中解决的争议。在收到通知后两个 (2) 个工作日内,收件方应向对方提交书面回复。通知和回复将包括 (a) 各方立场的陈述以及支持该立场的论点摘要,以及 (b) 将代表该方和将陪同该主管的任何其他人的主管姓名和职位。在收到争议方通知后五个 (5) 个工作日内,双方主管将在双方接受的时间和地点(包括电话或视频方式)会面,此后,只要他们认为合理必要,就会经常会面,以尝试解决争议。一方对另一方提出的所有合理信息请求都将得到满足。根据本条款进行的所有协商都是保密的,并将被视为妥协和和解协商,以用于适用证据规则的目的。
16.1 本 DPA 中一项或多项条款的无效性或法院审查不会影响其余条款。无效条款将在可能的范围内被替换为基本上实现相同目标的有效条款。
16.2 协议中的所有条款都适用于本 DPA,但本 DPA 的条款将优先于协议中任何冲突的条款。如果 SCC 和协议(包括本 DPA)之间存在任何冲突,则 SCC 应优先适用,只要冲突与处理客户个人数据有关。根据本 DPA 对 Redis 的任何索赔只能由作为协议一方的客户实体对作为协议一方的 Redis 实体提出。本 DPA 或任何一方在任何情况下都不会限制或限制任何数据主体的权利或任何主管监管机构的权利。协议中任何关于责任限制的条款都将在法律允许的最大范围内适用于本 DPA。
本 DPA 的内容
1.1 一般而言。在本数据处理补充协议附件 1 中的这些数据传输条款的范围内,以下定义适用
1.2 “数据出口方” 指客户及其任何将客户个人数据传输至数据进口方以用于协议中规定的目的的关联公司和子公司。
1.3 “数据导入者” 指 Redis 及其任何附属机构、人员和子处理器,在以下情况下将访问或以其他方式处理客户个人数据:个人数据源自位于相关国家/地区的个人数据主体,且由 Redis、其附属机构、人员或子处理器在该国境外进行处理。
1.4 “标准合同条款” 包括本附件 1 的目的,包括模块二:数据控制方到数据处理方(“模块 2”)以及如果适用,模块三:数据处理方到数据处理方(“模块 3”)(统称为“模块”)的标准合同条款,经欧洲委员会批准,并时不时更新。
2.1 一般情况。 以下条款适用于根据本协议从数据出口方到数据导入方,对位于欧洲经济区的数据主体的所有个人数据传输。
2.2 模块。 如果客户是正在处理的个人数据的控制方,则模块 2 将适用。如果 Redis 是客户作为处理方代理的子处理器,则模块 3 将适用。
2.3 本附件 1 部分描述了模块中包含的“根据这些条款传输的数据的相关活动”。
2.3.1 正在处理或传输的个人数据的主题、性质、类别和类型在上面 DPA 的第 2.3 节中描述。此外,上面 DPA 的第 2 节中描述的范围和传输描述,应构成标准合同条款附录附件 I.B 的传输描述。
2.3.2 处理活动的持续时间从协议失效或终止之日起持续。
2.3.3 处理的目的是向客户提供服务。
2.4 双方同意,Redis 子处理器列表中包含的详细信息构成对适用子处理器的传输描述。Redis 可以随时自行决定通过提供更新以修改本支持策略来将子处理器添加到此列表中。Redis 将在 Redis 网站上发布修改后的条款。
3.1 模块 2 和模块 3 在此经修改如下,在适用法律允许的范围内。
3.1.1 任何旨在允许未经双方签署书面文件承认缔约方的条款不适用(包括但不限于任何可选对接条款);以及
3.1.2 双方同意,本协议和 DPA 基于与子处理器相关的通用书面授权概念,为数据控制方通知任何子处理器列表拟议变更的指定时间段为提前五 (5) 天,任何要求事先特定书面授权的可选语言不适用,除非数据控制方和数据处理方之间达成共同签署的修订;以及
3.1.3 模块 2 或模块 3 中描述的任何审计权利应由 DPA 中明确描述的审计程序来满足,除非隐私法律和法规正式授权;以及
3.1.4 条款 11 的可选语言不适用;以及
3.1.5 条款 17 的第一个选项适用,除非本附件 1 或附件 2 中另有描述,并且标准合同条款受爱尔兰共和国法律管辖;以及
3.1.6 在附录附件 I(A) 中,数据导入方的“名称”;“地址”;“联系人姓名、职位和联系方式”应为本协议中定义的 Redis 的详细信息;以及
3.1.7 在附录附件 I (C) 中:(i) 应将主管监管机构起草为有权监督数据出口方活动的主管监管机构,或 (ii) 如果数据出口方未在欧洲经济区设立,则适用数据出口方欧盟代表根据 GDPR 第 27 条第 (1) 款在欧洲经济区国家/地区任命的监管机构,或 (iii) 如果数据出口方没有义务任命代表,则适用数据主体与传输相关的欧洲经济区国家/地区的监管机构。
1.1 关于本 DPA 中规定的英国(“英国”)以外的个人数据传输,应根据以下条款应用英国附件。
1.1.1 根据本 DPA 的附件 1提供的所有相关信息应填写英国附件的表格 1 到 3。
1.1.2 如果信息专员办公室发布了经过修订的已批准的附件,或对英国附件做出了任何实质性或重大修改,Redis 和客户应尽力就英国附件的所有更改达成真诚一致意见。如果双方无法达成协议,双方均可根据英国附件第 19 节终止协议。
2.1 关于本 DPA 中规定的瑞士以外的个人数据传输,应适用以下条款。
2.1.1 对标准合同条款或欧盟法律的引用,应具有瑞士等效隐私法律和法规赋予的含义。
2.1.2 关于处理适用瑞士数据保护法的个人数据,主管监管机构为瑞士联邦数据保护与信息专员。
2.1.3 如果并且在适用范围内,个人数据的定义在瑞士隐私法律和法规下更为广泛,并且应将这些额外数据作为来自个人的个人数据进行保护,那么个人数据的定义将扩展到包括这些数据。
2.1.4 如果根据本 DPA 的条款正在处理其个人数据的个人是瑞士的永久居民,那么瑞士法院将可用作解决因标准合同条款产生的争议的场所,并且拥有管辖权。
