1. 适用范围与角色定义
本数据处理协议('DPA')并入并构成 IEC('处理者')与 Institutional 会员('控制者')之间合同的一部分。它适用于控制者使用 IEC 平台处理控制者员工、联系人、交易对手方或其他个人的个人数据,并指示 IEC 代表其处理该数据的情形。本 DPA 旨在满足 GDPR 第 28(3) 条及 152-FZ 同等条款的要求。在所有其他方面,IEC 作为《隐私政策》所述会员数据的独立控制者。
2. 控制者的指示
IEC 应仅依据控制者的书面指示处理个人数据,包括关于向第三国传输个人数据的指示。控制者的指示载于本 DPA 的附件 A(处理指示)。如 IEC 认为某项指示违反适用的数据保护法律,应通知控制者。IEC 无义务遵循将要求 IEC 违反适用法律的指示。
3. 处理者义务
IEC 承诺:
- (a) 仅为附件 A 所述目的处理个人数据,不作他用;
- (b) 确保获授权处理数据的人员受保密义务约束;
- (c) 实施附件 B 所述的技术和组织安全措施;
- (d) 遵守第 5 条所述委托次级处理者的条件;
- (e) 协助控制者在适用时限内满足数据主体权利请求;
- (f) 在需要时协助控制者完成数据保护影响评估(DPIA);
- (g) 提供证明遵守 GDPR 第 28 条所必需的全部信息;
- (h) 允许并协助由控制者或其代表进行的审计和检查。
4. 安全措施
IEC 实施以下技术和组织安全措施(TOM),以保护代表控制者处理的个人数据:
- (a) 加密 — 静态 AES-256;传输中 TLS 1.3;
- (b) 访问控制 — 基于角色的访问控制(RBAC);对所有员工账户强制实施 MFA;最小权限原则;
- (c) 监控 — 具备全天候告警的 SIEM(安全信息和事件管理);
- (d) 事件响应 — 书面事件响应计划;在发现泄露后 24 小时内通知控制者;
- (e) 物理安全 — 数据中心符合 ISO 27001 或同等标准;
- (f) 人员 — 对有权访问个人数据的员工进行背景调查;强制性数据保护培训(每年一次);
- (g) 漏洞管理 — 每年由第三方进行渗透测试;每月进行漏洞扫描。
5. 次级处理者
控制者为 IEC 委托次级处理者提供一般授权,但须满足:
- (a) IEC 对次级处理者施加与 GDPR 同等的义务;
- (b) IEC 在 /legal/subprocessors 维护次级处理者的现行清单;
- (c) IEC 在委托新的次级处理者或对现有次级处理者作出重大变更之前至少 30 天通知控制者;
- (d) 控制者有权在通知后 14 天内对新的次级处理者提出反对。如控制者提出反对而 IEC 无法满足该反对,则任何一方均可提前 30 天书面通知终止本 DPA。IEC 对次级处理者的作为和不作为如同 IEC 自行实施一样向控制者负责。
6. 数据主体权利与泄露通知
如 IEC 就本 DPA 项下处理的数据收到来自数据主体的请求,IEC 将及时通知控制者并配合,以使控制者能够满足该请求。泄露通知:IEC 将在知悉影响本 DPA 项下所处理数据的个人数据泄露后毫不迟延地、且在任何情况下于 24 小时内通知控制者,并提供 GDPR 第 33(3) 条所要求的信息。IEC 将就任何监管调查或执法行动与控制者充分配合。
文件版本管理与重新接受
本文件最近一次更新于 Nov 1, 2025。IEC 维护所有先前版本的版本化存档。若重大变更影响现有会员的权利或义务,受影响会员将在变更生效前至少 14 天通过电子邮件收到通知。在生效日期之后继续使用平台即表示接受更新后的条款。如需获取先前版本,请联系 legal@internationalenergyclub.org.