最后更新2023 年 10 月 

      供应商隐私参与 

      Averna Technologies Inc.及其附属公司和子公司(以下统称为 "Averna")、 "Averna)致力于保护个人数据,遵守适用的法律法规,包括但不限于加拿大的《个人信息保护电子文件法》(PIPEDA)、欧洲的《通用数据保护条例》(GDPR)、《加利福尼亚消费者隐私法》(CCPA) 以及经第 25 号法律修订的《魁北克省私营部门个人信息保护法》(《个人信息保护立法现代化法案》)。

      本供应商隐私约定(本 约定适用于分包商、供应商、第三方服务提供商、供应商及其员工和分包商(统称为 "供应商")、 "供应商供应商"),他们与 Averna 开展业务,并收集、使用、访问、披露或以其他方式处理从 Averna 收到的个人数据(即数据处理者)。

      本约定规定了供应商在与 Averna 签订商业协议过程中如何处理从 Averna 收到的个人数据的预期和最低要求。 约定并非取代,而是补充、 补充义务的补充。 商业协议中规定的义务。

      在本协议中、 "个人数据 "是指关于已识别或可识别个人的任何信息,不包括与特定个人无关的匿名或去标识化数据。

      1. 行为要求 

      供应商有责任确保其参与收集、使用、披露和保留从 Averna 收到的个人数据的所有人员和分包 商均知晓本约定,并受必要的合同协议约束,以遵守其中的规定。供应商有责任确保其所有参与收集、使用、披露和保留从 Averna 收到的个人数据的人员和分包商都了解本约定,并受必要合同协议的约束,以遵守其中的规定。

      供应商应进一步协助 Averna 履行其在数据安全、数据泄露通知要求和数据保护影响评估方面的法律义务,以及处理数据主体就其个人数据处理提出的请求。 

      不遵守本约定可能会对 Averna 造成不利影响。不遵守本约定或不及时报告违反本约定的情况将影响供应商继续与 Averna 开展业务的能力,并可能导致供应商关系终止。  

      2.数据处理原则 

      供应商只能根据 Averna 提供的文件指示处理从 Averna 收到的个人数据,包括个人数据的跨境和国际传输。   

      供应商应确保个人数据的收集、使用、披露和保留仅限于供应商与 Averna 之间的商业协议中确定的目的。供应商应获得适当的同意,以便根据所确定的目的使用和披露个人数据。

      供应商应在 "需要知道 "的基础上,将从 Averna 收到的个人数据的访问权限限制在参与个人数据处理的人员范围内。此外,未经 Averna 事先书面同意,供应商不得使用次级处理商的服务。   

      供应商应立即向 Averna 报告个人数据泄露情况。如果供应商发现从 Averna 收到的个人数据存在不准确或不规范之处,应立即通知 Averna,并协助 Averna 完成必要的更正。 

      供应商应始终采取适当的技术和组织措施,确保数据的完整性和保护、特别是防止意外或非法破坏、丢失、篡改、未经授权披露或访问为 Averna 传输、存储或以其他方式处理的个人数据。此类技术和组织措施应包括全面的数据隐私计划和政策、随时可用的合规证明文件以及必要的隐私影响评估。

      供应商至少应维护和确保以下保障措施: 化名和加密 个人数据的化名化和加密; 保证处理系统和服务的持续保密性、完整性、可用性和复原力; 在发生物理或技术事故时,能够及时恢复个人数据的可用性和访问;以及 定期测试、评估和评价确保处理安全的技术和组织措施有效性的程序。

      Averna 可对供应商遵守本约定的情况进行审计,在此情况下,供应商应向 Averna 提供证明合规所需的所有信息,并允许和协助进行审计,包括由 Averna 或 Averna 授权的第三方进行的检查。  

      与 Averna 签订的商业协议终止后,供应商应确保按照 Averna 在合同终止时的指示,归还或销毁属于 Averna 的所有个人数据。