1. 定义
2. 客户的义务

3. 费用
   

4. 数据的所有权和使用

5. 知识产权的处理
6. 保密
7. 数据安全
8. 数据隐私

9. GPTW的其他声明和保证

10. 期限与终止
    

11. 赔偿
12. 责任限制
13. 一般

这产品与服务协议(这个“协议”)以参考方式纳入已完全执行的GPTW订购表格或GPTW工作说明书(合称“主协议”)之间:(i) gptw以自己的名义行事，并作为各GPTW关联公司的代理;和(2)客户代表自己行事，并可能作为每个客户关联公司的代理人。GPTW和客户都是聚会，派对”和“方的条款。

而， GPTW提供评估工作场所文化、绩效、认证和认可的产品和服务，以协助公司和组织评估和改善其工作场所;www.vw033.com而且

而客户希望委托GPTW根据本协议条款履行服务(定义如下)。

现在,因此,，鉴于本协议中所包含的承诺和相互承诺，以及其他良好和有价值的对价，双方在此达成如下协议:

一般条款和条件

1.定义

本第1节中未定义的大写术语在本协议中使用时具有与之相同的含义。

1.1“会员”指GPTW全资和多数股权的子公司，以及没有GPTW所有权权益的Great Place To Work Institute, Inc.持牌人。

1.2”聚合数据“指(a) GPTW根据本协议交付给客户的任何报告中所包含的特定于客户的信息、数据和内容;以及(b) GPTW根据本《协议》交付给客户的源自原始数据的任何其他聚合数据。为免生疑问，汇总数据不包括任何原始数据或客户数据。

1.3“评估”指GPTW作为服务的一部分进行的任何评估，根据这些评估，GPTW使用其工具和方法来评估和衡量工作场所文化(包括但不限于使用信任指数调查、文化审计、文化简报、信任模型和方法)。

1.4“www.vw033.com认证”指的是客户可以衡量其员工体验的过程，这些员工的体验可以通过最佳工作场所模型的确认和表现得到“认证”。

1.5”客户联盟”指客户全资及控股子公司。

1.6”客户数据"指客户提供给GPTW以便GPTW作为服务的一部分进行评估的专有数据和信息(例如，向参与者分发调查所需的人口统计和公司信息，如电子邮件地址、员工ID和其他个人身份信息)以及客户为文化审计或文化简介可能提供给GPTW的专有数据)。为免生疑问，客户数据不包括汇总数据或原始数据。

1.7“客户个人资料”指处理者代表客户根据或与主协议有关处理的任何个人数据。

1.8”同意“数据主体的意愿”是指对数据主体的意愿的任何自由给予的、具体的、知情的和明确的指示，他或她通过声明或明确的肯定行动表示同意处理与他或她有关的个人数据。

1.9“控制器”指自然人或法人、公共当局、机构或其他团体，它们单独或与他人共同决定个人资料处理的目的和方式。

1.10“数据”指原始数据和汇总数据。

1.11《保障资料法例》指欧盟(EU) 2016年《通用数据保护条例》(GDPR)、2018年《加州消费者保护法》AB 375 (CCPA)以及所有其他国家、州或监管机构的数据保护法。

1.12“费用”系指本协议(包括适用的主协议)中规定的客户应向GPTW支付的费用。

1.13“GDPR”指2016年4月27日欧洲议会和理事会第(EU) 2016/679号条例(一般数据保护条例)。

1.14“GPTW知识产权”指(a) Great Place To Work拥有的所有版权作品(包括但不限于书籍、文章、小册子、调查、信任指数调查、文化审计、文化简介、信任模型和方法、报告的形式和结构，以及其他材料、工具和方法)，无论该等作品的版权是否已在美国或任何其他司法管辖区注册;(b)属于卓越职场的所有机密信息和材料;(c)所有“理想工作场所”的名称、服务标志、图标和标识;(d)在本协议有效期内由Great Place to Work拥有或授权给Great Place to Work的所有技术、算法和方法或其权利，并由Great Place to Work在向客户提供的GPTW服务中使用;(e)原始数据和GPTW汇总数据;(f) GPTW服务;及(g)申请书。

1.15“GPTW材料”指GPTW在本协议期限内拥有或许可给GPTW的所有技术、算法和方法或其权利，并由GPTW用于向客户提供的服务。

1.16“初始期限”具有9.1节中所述的含义。

1.17“知识产权”指专利权(包括但不限于专利申请和披露)、版权、商业秘密、精神权利、专有技术以及世界上任何国家或司法管辖区承认的任何其他知识产权。

1.18“逾期还款”是否具有第3.2节所述的含义

1.19“个人资料”指与已识别或可识别自然人(“数据主体”)有关的任何信息;可识别自然人是指可以直接或间接识别的自然人，特别是通过参考一个标识符，如姓名、识别号码、位置数据、在线标识符，或参考该自然人的身体、生理、遗传、精神、经济、文化或社会身份的一个或多个特定因素。就本《协议》而言，个人数据不包括个人直接向GPTW提供的信息，只要GPTW不是代表客户或为完成本《协议》要求的交易而收集此类信息。

1.20“个人资料泄露”指违反安全导致意外或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据。

1.21“已存在的知识产权”具有第5.1节所述的含义。

1.22“处理”指对个人数据或对个人数据集执行的任何操作或一组操作，无论是否通过自动方式，例如收集、记录、组织、结构、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供、对齐或组合、限制、删除或销毁。的性质、目的、题材和期限客户个人资料的处理是收集客户员工调查数据用于科学和历史研究的处理和存档，以及用于评估工作场所文化、绩效和认证的统计目的，以协助组织评估和改善其工作场所。

1.23“处理器”指代表控制者处理个人数据的自然人或法人、公共当局、机构或其他机构。

1.24“原始数据”指GPTW从客户和客户员工那里收到的保密和匿名回复，涉及GPTW根据本协议管理的信任指数调查和/或文化审计、文化简报、焦点小组和一对一访谈等。为免生疑问，原始数据不包括任何汇总数据或客户数据。

1．25“软件”系指GPTW拥有或许可并由GPTW用于提供“服务”的任何软件。

1.26“服务”“服务”指GPTW将按照适用的“主协议”中所述为客户提供的服务。

1.27“Subprocessor”系指由GPTW或任何GPTW关联公司或其代表指定，代表客户处理与主协议有关的客户个人数据的任何人(包括任何第三方和任何GPTW关联公司，但不包括GPTW员工或其任何分包商)。

1.28“监管部门”指由成员国根据GDPR第51条设立的独立公共机构。

1.29“调查”指基于网络的客户员工敬业度调查，包括GPTW的标准调查问题和/或客户要求的其他问题。

1.30“术语”具有章节10.1中所述的含义。

2.客户的义务

2.1合作与援助。作为GPTW履行本协议项下义务的条件，客户应始终:(a)向GPTW提供善意合作，并获得GPTW为提供服务而合理要求的信息、设施和设备，包括但不限于提供客户数据;(b)提供GPTW不时合理要求的人员协助;以及(c)遵守其在本协议项下的义务。

2．2电信和互联网服务。"用户"承认并同意，"用户"和"用户"的用户对"服务评估"部分的使用取决于能否获得电信和互联网服务。“客户”和“客户”的用户应自行负责获取和维护访问和使用“服务”评估部分所需的所有电信和互联网服务以及其他硬件和软件，包括但不限于与上述相关的所有成本、费用、开支和任何类型的税收。

3.费用

3.1费用。作为GPTW履行服务的报酬，客户应按照主协议中规定的金额和条款向GPTW支付费用。

3.2发票和付款。

(a)客户将根据主协议中规定的付款条款，以发票形式向GPTW支付全部无争议费用。如果客户未能按时付款，GPTW保留停止向客户提供服务的权利。在恢复服务之前，可能需要支付额外费用。

GPTW将通过电子邮件向主协议中规定的主要客户联系人发送发票。关于付款到期日期的进一步发票要求在主协议中规定。付款汇款选项将在发票中列出，包括支票或电汇支付，或在线支付。

3.3未来服务的学分。如果GPTW在任何时候为客户的未来服务开出信用证，客户必须在信用证开出后的十二(12)个月内使用信用证。

4.数据的所有权和使用

4．1客户数据。

(a)在GPTW与客户之间，客户数据以及其中或与之相关的所有知识产权，是并将继续是客户或其许可人的专属财产。

(b) GPTW将仅为执行服务而使用客户数据，且使用方式与该等客户数据提供给GPTW或随后授权使用该等客户数据的目的相一致，GPTW将确保客户数据中包含的任何个人信息根据本协议得到妥善维护和保护第七节。

4.2聚合数据和原始数据。

(a)在GPTW与客户之间，原始数据和汇总数据，以及其中或与之相关的所有知识产权，是并将继续是GPTW的专有财产。

GPTW不会向客户提供原始数据，以保护客户受访者的机密性。“客户”可仅按第5.3节所述使用“汇总数据”。

(c) GPTW承诺仅为GPTW的目的使用汇总数据，包括但不限于基准测试、创建最佳实践、认证公司为公认工作场所、创建公司名单以供发布、统计分析和其他研发目的。www.vw033.com客户

(d)为保护客户受访者的机密性，GPTW将不会报告客户人口统计群体中少于五(5)人作出回应的评估结果。

5.知识产权的处理

5.1尽管本协议中有任何相反规定，(a)在生效日期之前属于一方、分包商或第三方的所有知识产权，或在与GPTW提供服务无关的情况下创建的所有知识产权(“已存在的知识产权”)将继续属于并归属于该方、分包商或第三方(视情况而定)，且不会在本协议项下转让，且(b)任一方对任何已存在知识产权的所有增强和修改或衍生作品中的所有知识产权将归属于并归属于相关已存在知识产权的所有者。

5.2在GPTW与客户之间，GPTW知识产权以及其中或与之相关的所有知识产权(在本协议中授予客户和客户用户的有限权利除外)是并将继续是GPTW或其许可方的专有财产。客户未获得任何GPTW知识产权的任何权利。除本协议中明确描述的用途外，任何使用GPTW知识产权的行为均需事先获得GPTW的书面批准。

5.3未经GPTW事先书面批准(GPTW可自行决定予以拒绝)，客户不得在协议期限内以除收到服务以外的任何方式使用或重复使用任何GPTW知识产权(包括在本协议范围之外的内部或与其他供应商进行的任何调查中)。GPTW向客户提供的报告可由客户在内部分发，但任何外部分发均需事先获得GPTW的书面批准，GPTW不得无故拒绝批准。

5.4甲乙双方在履行本协议项下义务时，不得侵犯或不当使用另一方或任何第三方的知识产权。

5.5甲乙双方承认并同意，另一方的知识产权是另一方的宝贵财产。各方将维护和保护其收到的知识产权。任何一方未经另一方事先书面批准，不得更改或修改或允许他人更改或修改另一方的知识产权。仅作为示例，不得以任何方式修改任何文本，也不得以任何方式修改、扭曲或修改任何标志或标识。

5.6如果一方获悉该方、其人员或任何第三方对另一方知识产权的任何侵权或未经授权的使用，该方应立即将该侵权或未经授权的使用通知另一方。如果此类侵权或未经授权的使用是该方或其人员所为，该方应立即停止此类侵权或未经授权的使用;如果该等侵权或未经授权的使用是由第三方实施的，则该方应与另一方合作，促使该第三方停止该等侵权或未经授权的使用。

6.保密

6.1 GPTW提供给客户的任何客户数据，或GPTW作为接收方获得的与客户或其客户或与客户有关的任何个人、公司、客户或组织的业务或操作有关的任何客户数据，将被GPTW视为机密，在未经客户事先书面同意的情况下，GPTW不会向第三方披露这些数据。双方承认并同意“客户数据客户”不包括“原始数据”和“汇总数据”，后者是GPTW的知识产权。

6.2如果客户作为接收方访问了属于GPTW的任何机密信息和/或材料(包括GPTW知识产权)，无论该等访问是有意的还是无意的，则客户应将该等信息和/或材料视为机密，并且在未经GPTW事先书面同意的情况下不会向第三方披露该等信息和/或材料。

6.3本协议规定的保密条款不适用于以下保密信息:(a)由于接收方的作为或不作为而进入或进入公共领域，(b)接收方从第三方获得，该第三方在没有保密义务的情况下合法获得，(c)是或已经由接收方独立生成，并有书面文件证明，或(d)接收方根据法定义务、有管辖权的法院或有管辖权的监管机构的命令适当披露属于另一方的机密信息或材料，但接收方应在披露前通知另一方，除非该通知被禁止，以便采取措施试图撤销或限制任何披露。

6.4上述关于保密的义务将追溯适用于客户与GPTW就服务首次接触之时，并在本协议终止后仍然完全有效。

7.数据安全

7.1 GPTW分析调查平台Emprising由云提供商Microsoft Azure托管。GPTW与Azure签订合同，随时保持最高水平的数据安全和数据隐私全球合规性。这一法律保护通过产品和服务协议中的保证传递给所有GPTW客户，具体如下所示。Azure审计报告和其他资源文档，以及GPTW用于遵守GDPR和其他隐私法律的Azure合规管理器工具，可在以下url找到:https://servicetrust.microsoft.com/以及其他合规产品:vwin德赢网官方https://www.microsoft.com/en-us/trustcenter/compliance/compliancevwin德赢网官方offerings。这里有一篇关于Azure遵从性的一般文章:https://www.communicationsquare.com/news/everything-about-gdpr-compliance-in-microsoft-cloud/还有一个博客:https://azure.microsoft.com/en-us/blog/protecting-privacy-in-microsoft-azure-gdpr-azure-policy-updates/还有一些针对特定国家的合规资源。例如，德国的合规地址如下:https://servicetrust.microsoft.com/ViewPage/GermanComplianceResourcesV3。

7.2 GPTW提供最高标准的法律保护，向我们的客户保证，在整个合同期限内，GPTW没有收到不符合以下行业标准的通知:会计师事务所雅培，Stringham & Lynch，国际数据安全标准化组织(ISO) ISO 27001:2013，业务连续性管理ISO 22301:2019，质量管理ISO 9001:2015以及国家标准与技术研究所(NIST 2015)网络安全框架审计的财务报表。如果适用，GPTW还通过第三方提供商遵守支付卡行业数据安全标准(PCI DSS)。GPTW还为GPTW网络提供这些保证和声明，即使它不支持Emprising。令人振奋的调查问题和回答从未触及GPTW网络。Azure上托管的Emprising与GPTW网络之间的任何通信都严格限制于使用IPSec协议的端到端安全VPN连接。因此，GPTW认为GPTW网络的第三方财务和安全审计是“限制性使用”和机密的，不会向任何客户发布。

7.3 GPTW设有一名首席数据保护官(CDPO)和一名ISO 27001:2013认证首席审核员(Auditor)，以确保符合这些行业标准。CDPO和审计员直接向GPTW的首席执行官和总裁报告。

8.数据隐私

8.1GPTW将按照以下URL中的GPTW全球隐私政策中提供的详细信息，采取符合行业标准的商业合理努力，收集、传输、存储、保护和维护通过服务获得的数据和客户数据://www.dragracecity.com/privacy-policy．GPTW声明并保证在期限内遵守欧盟(EU) 2016年通用数据保护条例(GDPR)、2018年加州消费者保护法AB 375 (CCPA)、亚太经济合作组织(APEC)跨境隐私规则以及所有其他国家、州或监管机构的数据保护法。GPTW还通过了美国/欧盟和美国/CH隐私盾认证。如有需要，本协议的附录是欧盟委员会发布的2021年6月4日最终实施决定中引用的已执行的标准合同条款(新SCC)。GPTW收集数据用于科学和历史研究的处理和存档，以及用于评估工作场所文化、绩效和认证的统计目的，以协助组织评估和改善其工作场所。这种确切的语言在GDPR第89条中可以找到。要处理的客户个人资料的类别和类别载于调查的人口统计部分和信任指数问题。GPTW不会向任何第三方出售个人资料。

8.2关于服务，GPTW可能在美国或其他司法管辖区接收、处理和存储个人数据。GPTW收到的个人信息将受到GPTW如上部分所述的保护。如果在向GPTW转移个人信息之前需要获得任何个人的同意，客户有责任获得任何受影响个人的同意。上述同意需要自由、具体、知情、明确，并通过声明或明确的平权行动予以同意。

GPTW设有全职首席数据保护官(CDPO)和员工，以确保遵守所有数据保护法律。CDPO直接向GPTW的首席执行官和总裁报告。GPTW还聘请了一名注册信息隐私从业人员(CIPP)和一名注册信息隐私经理(CIPM)，他们都是由国际隐私专业人员协会在www.iapp.org其证书由美国国家标准协会(ANSI)根据国际标准化组织(ISO)标准17024:2012认证。

8.4数据主体的权利。考虑到处理的性质，GPTW及各GPTW联属机构应协助客户回应请求来exercise数据主体权利下任何资料保护法例．GPTW应及时通知客户任何处理器接收数据主体根据任何数据保护法就客户个人数据提出的要求。GPTW必确保处理方不回应该请求，除非客户有书面指示或处理方所遵守的任何数据保护法要求，在这种情况下，GPTW应在任何数据保护法允许的范围内，在处理方回应该请求之前告知客户该法律要求。本报告处理的性质、目的、主题和期限是收集客户员工调查数据，用于科学和历史研究的处理和存档，以及用于评估工作场所文化、绩效和认证的统计目的，以协助组织评估和改善其工作场所。要处理的客户个人资料的类别和类别载于调查的人口统计部分和信任指数问题。

8.5审计、检查、数据保护影响评估和事先磋商的权利。GPTW和每个GPTW关联公司应应客户要求，向其提供所有有助于审计和检查的必要信息。数据保护影响评估，以及“用户”事先咨询关于处理者处理客户个人数据以满足任何数据保护法的要求．如果GPTW认为根据本节规定的指示违反了任何数据保护法，GPTW应立即通知客户。根据本节规定进行审计、检查、数据保护影响评估或事先咨询的客户应给予GPTW或相关GPTW关联公司的合理通知，并应作出(并确保其每项授权审核员作出合理努力，避免造成任何损害、伤害或干扰处理器的在审计、检查、数据保护影响评估或事先咨询过程中，客户的人员在这些场所、设备、人员和业务。一个处理器(i)任何人不得根据本节的规定进入其处所，除非他或她提供合理的身份和权力证明;(ii)在该等处所的正常营业时间以外;或(iii)为进行一次以上的审计、检查、数据影响评估或事先咨询的目的每个处理器在任何日历年，客户除外是a所要求的吗在任何国家负责执行数据保护法的监管机构或任何类似的监管机构。

8.6报酬和成本。客户应根据GPTW为履行本条项下义务所花费的时间和成本，根据GPTW的CDPO和CIPP每小时650美元的费率，以及其他GPTW人员所需的每小时费率，向GPTW支付报酬。GPTW还有权就用于调整和更改处理活动以遵守客户指示的任何更改的任何时间和材料获得报酬，包括执行成本和因指示更改而交付主协议项下义务所需的额外成本。GPTW应向客户开具发票，要求在执行本条规定的工作之前支付一笔保证金，要求支付报酬和/或费用。

8.7删除公司个人资料。GPTW将在处理中使用的客户个人数据完成后删除和销毁，例如在调查结束时删除客户的员工姓名和电子邮件地址文件。

8.8个子处理器。GPTW可根据本协议中规定的相同条款与一个或多个子处理器签订合同。GPTW应将任何新的分处理商的任命事先书面通知客户，包括分处理商将进行的处理的全部细节。在收到该通知后的五(5)个工作日内，客户可以书面通知GPTW对拟议的任命提出任何异议(基于合理理由)。GPTW将继续对任何子处理器的行为负责。

8.9个人资料泄露。在处理者意识到个人数据泄露后，GPTW应立即通知客户，在任何情况下不得超过72小时影响客户个人资料。应向客户提供足够的资料来允许客户履行任何报告义务或通知资料当事人资料保护法下的个人资料泄露。GPTW应与客户合作，并采取客户指示的合理商业步骤，协助调查、缓解和补救此类个人数据泄露事件．

9.GPTW的其他声明和保证

9.1符合HIPAA, Gramm-Leach-Biley等。在履行其在本协议项下的职责和义务时，GPTW应遵循并遵守所有适用的联邦和州法律，包括但不限于1964年《民权法》、1973年《康复法》、1972年《教育修正案》第九条、1975年《年龄歧视法》、美国残疾人法、社会保障法、1994年《联邦收购精简法》、《联邦收购条例》，健康保险可携带与责任法案和Gramm-Leach-Biley法案。GPTW承认，就本协议项下的服务提供提交虚假索赔和声明是被禁止的，并且此类行为是可制裁的。

9.2遵守联邦医疗保健计划。GPTW声明并保证，本公司、其任何将在本协议项下提供货物或服务的承包商或雇员、董事或管理人员，或在供应商中拥有5%(5%)或以上所有权权益的任何人士，均未或曾经被禁止、暂停或排除参与医疗保险、医疗补助、州儿童健康保险计划(SCHIP)或任何其他联邦医疗保健计划;(ii)因提供医疗保险或医疗补助计划下的物品或服务而被定罪;(iii)对在任何州或美国领土持有的任何专业执照或认证采取过任何纪律处分，包括纪律处分、董事会同意令、暂停、撤销或自愿放弃许可证或认证;www.vw033.com或(iv)禁止或暂停参与任何联邦机构的采购或非采购活动(统称“受制裁人员”)。为确保客户不向受制裁人员付款，GPTW应审查将根据协议提供货物或服务的所有员工和承包商，以确定他们是否被排除在医疗保险、医疗补助、儿童健康保险计划和/或任何联邦医疗保健计划之外。

9.3遵守联邦医疗保健和采购计划。GPTW确认，其或其任何员工、关联公司或代理均不是不合格人士，且据其所知，其不是与任何不合格人士订立合同的一方。无资格人士是指(i)目前被排除、取消资格、暂停或以其他方式丧失参加任何联邦医疗保健和/或采购或非采购计划(如医疗保险和医疗补助)的资格的个人或实体，和/或(ii)已被定罪的刑事犯罪属于42 U.S.C.§1320a-7(a)中描述的活动范围，但尚未被排除、取消资格、暂停或以其他方式宣布丧失资格。这应是协议有效期内的一项持续声明和保证，GPTW应立即通知客户本条所述声明和保证状态的任何变化。任何违反本条款的行为将给予客户立即终止本协议的权利。

9.4遵守移民法。GPTW向客户声明并保证，据其所知，GPTW不会雇用任何未被合法授权在美国以上述身份工作的个人提供服务。GPTW证明，据其所知，根据本协议向客户提供服务的所有员工均已获得法律授权，以其在本协议项下工作的身份在美国工作，并将提供书面文件以支持该证明。www.vw033.com如果员工的法律地位在期限内发生变化，GPTW应通知客户，并立即将该员工从公司和本协议项下的服务中开除。GPTW应赔偿并使客户免受任何索赔和/或针对客户或涉及客户的任何法律诉讼，这些索赔和/或法律诉讼与客户涉嫌未能遵守其在本条项下的义务有关。

9.5遵守美国法典第42篇。在本协议因任何原因终止后四(4)年期满之前，GPTW应根据《美国法典》第42篇第1395x(V)(1)(I)条的规定，应客户、美国卫生与公众服务部部长、美国总会计办公室总审计长或其任何正式授权代表的书面请求，向其提供本协议和此类账簿的副本，上述各方认为必要的文件和记录，以核实GPTW在本协议项下提供的服务和/或用品的成本的性质和程度。如果GPTW通过与相关组织签订价值或成本为10,000美元($10,000)或以上的十二(12)个月的分包合同履行其在本协议项下的任何职责，该协议应要求，在根据该分包合同提供此类服务和/或供应后四(4)年到期之前，相关组织同样应向上述各方提供所有适用的合同和所有书籍。他们认为核实此类费用的性质和范围所必需的文件和记录。

9.6欧盟以外数据传输的GPTW透明度报告。2020年7月16日，欧盟法院发布了一项裁决，宣布使用隐私盾作为将个人数据从欧盟转移到美国的手段无效。该决定并没有使隐私护盾本身无效，GPTW继续遵守其要求。该决定确认，如果客户对GPTW进行了两部分“评估”，则使用2010年标准合同条款(SCC)作为将个人数据从欧盟转移到美国的手段。首先，如果GPTW不能遵守SCC, GPTW必须通知客户。其次，GPTW实施了法院判决中所称的“补充措施”。GPTW实施的其中一项补充措施是保证GPTW会在有需要时发出透明度报告。最初，根据与美国司法部达成的协议，后来又根据2015年《美国自由法案》第604条，多家科技公司在“透明度报告”中公布了从国家安全和执法部门收到的生产订单的统计数据。提供商被允许披露根据各种刑事和国家安全部门收到的请求数量的汇总统计数据，但鉴于FISA和国家安全信函通常附带的保密命令，披露仅限于预设的数据点数量和使用一般范围的数字(“波段”)。自GPTW成立为一家企业以来，截至本协议签订之日，GPTW从未收到或被通知任何国家安全函、根据《外国情报监视法》发出的命令，或根据美国或任何其他国家的国家安全法要求提供用户信息的任何其他机密请求。”因此，GPTW从未发布过一份透明度报告。 Such a declaration further bolsters the proposition that reliance on SCC can ensure adequate protection for EU citizen data, despite the existence of EO 12333, PPD 28 and FISA Section 702.

9.7 GPTW向客户保证，服务将:(i)以专业和熟练的方式提供，并在其他方面按照现行行业标准;(ii)由具备提供此类服务所需的必要技能、专门知识、经验和培训的人员提供;以及(iii)根据主协议的要求以及适用于服务履行的所有适用的现行和未来法律、法规、条例、命令、法令和要求。GPTW保证并声明，它将作出商业上合理的努力，确保任何软件或数据都不包括和/或导致客户的数据和/或计算机系统受到任何病毒或任何其他类型恶意软件的感染。

10.期限与终止

10.1术语。本协议将于生效日期开始，并将持续至主协议中规定的期间(“初始期限”)，除非按照本协议的规定提前终止。主协议控制本协议是否自动续订与初始期长度相等的后续续订期，除非任一方书面通知另一方其打算在初始期或当时的续订期(视情况而定)结束前至少三十(30)个日历日不续订。初始期限和任何续订期限合称(“期限”)。

10.2因原因终止。如果另一方严重违反本协议，且未能在收到明确违约行为的书面通知后三十(30)天内纠正违约行为，任一方均可经书面通知终止本协议;但客户支付费用的任何违约的补救期为发出书面通知后五(5)个工作日。

10.3期满或终止时的权利和义务。本协议期满或终止后，客户及其用户访问和使用服务(以及任何GPTW知识产权)的权利将立即终止，客户及其用户将立即停止对服务(以及任何GPTW知识产权)的所有使用，但在报告中收到的可继续在客户内部使用的聚合数据除外，各方将归还并不再进一步使用任何机密信息、材料。或属于另一方的其他物品(及其所有副本)，不得迟于本协议期满或终止生效之日起十(10)天。

10.4生存。第3条(费用)、第4条(所有权)、第5条(知识产权)、第6条(保密)、第7条(数据保护)、第8条(数据隐私)、第11条(赔偿)、第12条(责任限制)和第13条(一般条款)中包含的GPTW和客户的权利和义务在本协议期满或终止后仍然有效。

11.赔偿

11.1一方将免除对方及其员工、高级管理人员、董事、股东、代理人、代表、继承人和受让人的任何和所有索赔、要求、诉讼原因、损失、损害赔偿、责任、成本和费用，包括合理的律师费和费用，这些索赔、要求、诉讼原因、损失、损害赔偿、费用和费用是由(A)一方或其任何员工的任何疏忽或错误行为或不作为或违反法律引起的，高级职员、董事、代表或关联公司;或(b)违反一方在本协议中作出的任何保证或协议。此外，一方应免除对方及其员工、高级管理人员、董事、股东、代理人、代表、继承人和受让人的任何和所有第三方索赔、要求、诉讼原因、损失、损害赔偿、责任、成本和开支，包括合理的律师费和成本，由:由任何声称侵犯或侵犯任何第三方知识产权的索赔引起或与之相关的索赔。

11.2受补偿方应立即将任何涉及赔偿的索赔通知补偿方，将索赔的抗辩和和解的控制权交给补偿方，并就该等抗辩和和解向补偿方提供合理协助。

12.责任限制

12.1如果一方有权因与本协议有关的任何原因(包括但不限于违约、违反保证、过失或其他侵权索赔)向另一方索赔损害赔偿，另一方仅对另一方实际直接损害赔偿的金额负责，但不超过客户为索赔主题的服务向GPTW支付的金额。在任何情况下，另一方就本协议项下产生的或与本协议有关的所有索赔对该方的总责任均不超过客户根据本协议向GPTW支付的十二(12)个月的费用。这些限额是另一方应负责的最高责任。

12.2在任何情况下，任一方均不对以下情况承担责任:(a)因另一方或其关联公司或人员未能履行其责任而引起的或与之相关的任何损害;和/或(b)任何利润损失、业务损失、数据损失、使用损失、储蓄损失或其他后果性、特殊、附带、间接、惩戒性或惩罚性赔偿，即使任何一方已被告知发生此类损害的可能性。

12.3第12.1条和第12.2条所规定的责任限制不适用于下列情况引起的责任:(a)一方的重大过失、欺诈、违法或虚假陈述;一方的赔偿义务;或(c)一方保险承保的索赔。

13.一般

13.1GPTW订单中未列出的工作补充费用。在GPTW美国网站底部有GPTW外部安全政策的链接，以实现完全透明和以尽可能低的价格与GPTW做生意的便利。在该政策中可以找到填写客户安全调查或将GPTW注册为客户供应商或类似的所有答案。客户同意，如果客户要求GPTW填写客户安全调查、注册或类似内容，则该额外工作将以650美元/小时的价格开具发票。

13.2豁免。双方理解并同意，任何一方不得未能或延迟行使任何权利，权力或特权如下在任何一个或多个实例或坚持严格遵守本协议的性能或利用任何各自的权利将作为弃权或放弃这些权利在其他情况下但同样将继续留在完整的力量和效果也不会任何单独或部分行使排除任何其他或进一步行使或行使任何权利,权力或特权如下。

13.3通知。本协议项下的所有通知均应采用书面形式，并通过可追踪的快递(如UPS)或美国挂号信亲自送达，并要求回执按主协议中规定的地址送达。所有此类通知均在收到或拒绝交付时视为有效。

13.4任务。未经客户事先书面同意，GPTW不得自愿或依照法律规定全部或部分转让或转让本协议，或以任何其他方式转让本协议，但GPTW可使用分包商协助GPTW提供服务;前提是分包商与GPTW签署协议，其条款至少与本协议中的条款一样具有限制性。任何转让或转让本协议的企图，除非符合本节的规定，否则将无效并被视为无效。

13.5独立的承包商。

(一)GPTW是一家独立的承包商，本合同中的任何内容均不得被解释为相反。GPTW不会代表客户或以客户的名义承担或设立任何明示或暗示的义务或责任，或在未经客户书面同意的情况下以任何方式或事项约束客户。GPTW将使用GPTW自己的工具和工具提供服务。GPTW将提供提供本协议项下服务所需的所有劳动力，并可为此使用分包商。GPTW将全权负责指导和控制GPTW的代理、员工、代表和分包商，包括有关雇用、解雇、监督、分配以及工资和工作条件设置的决定。客户不会对GPTW或GPTW的代理、员工、代表或分包商拥有或行使纪律控制或权力。

(b)GPTW的任何代理人、雇员、代表或分包商都不会被视为或被视为客户的雇员、代理人、代表或分包商。客户向其自己的员工提供的雇主支付的福利，包括但不限于工伤补偿保险和失业保险，客户不向GPTW或GPTW的员工、代理、代表或分包商提供。GPTW同意为GPTW受雇提供本协议项下服务的任何人员提供工伤补偿保险，并支付所有适用的社会保障税、失业补偿税、所得税和任何联邦、州或地方法律要求的其他雇主税和缴款，或向GPTW受雇提供本协议项下服务的人员支付。

13.6可分割性。如果本协议的任何条款被具有有效管辖权的法院视为无效或不可执行，则该条款将被视为可与本协议的其余部分分割，双方同意善意地重新谈判该条款，以保持双方所享有的经济地位尽可能接近于不可执行条款下的经济地位。如果双方无法就该等条款达成双方同意且可执行的替代协议，则(i)该等条款将被排除在本协议之外，(ii)本协议其余部分将被解释为该等条款已被排除，以及(iii)本协议其余部分将按照其条款可执行。

13.7修改。一经签署，本协议及本协议的任何附件仅可通过签署双方签署的书面文书进行修改。

13.8名称/标志的使用。客户可请求允许使用GPTW标志，在此过程中，应要求填写并完成“使用卓越工作场所®研究所材料同意协议”(“GPTW材料同意表格”)，可在以下网站下载www.dragracecity.com/images/GPTW-Material-Consent-Form.doc．客户理解其受GPTW材料同意书、GPTW知识产权使用政策中规定的所有规则和指导方针的约束www.dragracecity.com/Intellectual-Property-Usage-Policy，《GPTW品牌识别政策》载于//www.dragracecity.com/gptw-brand-identity-policy以及GPTW品牌使用指南，该指南规范了“理想工作场所”LOGO®的使用。GPTW可将客户的名字列入客户名单，除非客户另有书面通知。

13.9法律费用。如果为执行或解释本协议而采取法律或衡平法上的任何行动是必要的，胜诉方将有权获得合理的律师费、成本和必要的支出，以及该方可能有权获得的任何其他救济。双方同意，GPTW内部律师的收费为每小时650美元。

13.10保险。GPTW将在本协议有效期内为GPTW的活动以及GPTW直接或间接雇佣的任何人提供、支付并保持本协议中概述的保险的完全有效。GPTW将在本协议有效期内投保以下保险:(i)法定金额的工伤赔偿险和雇主责任险，每次事故最低限额为1,000,000美元，每位员工最低限额为1,000,000美元，年累计限额为1,000,000美元;(ii)本协议项下提供的服务的错误和遗漏(专业责任)保险，每次发生的最低金额为200万美元($2,000,000)美元，每年累计;(iii)一般责任保险，按一次事故投保，每次事故最低投保金额为100万($1,000,000)美元，年累计承保金额为200万($2,000,000)美元;以及(iv)网络责任保险，包括网络隐私责任保险，每次事故的最低限额为100万美元(1,000,000美元)，每年累计。

13.11不可抗力。任何一方均不对其合理控制范围之外的情况或原因造成的任何延误承担责任，且其履约不得免除责任，这些情况或原因包括但不限于火灾或其他伤亡、天灾、罢工或劳资纠纷、战争、破坏、恐怖主义、侵略行为或其他暴力行为，但前提是该方已使用其商业上合理的努力减轻其影响并已及时书面通知另一方。由于不可抗力事件导致的延迟或无法履行，履行时间将被延长至三十(30)个工作日，在此期间，未受不可抗力事件影响的一方可以立即终止本协议。

13.12继承人和受让人。本协议及本协议的所有条款和条件均对GPTW和客户及其各自的继承人、受让人、允许受让人或法定代表人具有约束力并符合其利益。本协议中提及GPTW或客户的任何条款均适用于有关方的任何该等继承人、允许受让人、受让人或法定代表人，具有同等效力。

13.13同行。本协议可签署两份或多份副本，每份副本均被视为原件，所有副本共同构成一份文件。

13.14标题和字幕。本协议中使用的标题和副标题仅为方便起见，在解释或解释本协议时不可考虑。

13.15纠纷。如果双方之间就本协议任何条款的解释、任一方在本协议项下的履行或双方之间与本协议有关的任何其他有争议的事项产生任何争议或分歧，则应任一方的书面要求，双方应会面以解决该争议。双方同意真诚地讨论该问题并进行谈判，而不需要任何与此有关的正式程序。如果上述努力未能成功，则双方应将因本协议引起的或与本协议有关的任何争议提交一名仲裁员根据美国马萨诸塞州美国仲裁协会(American arbitration Association)的规则进行有约束力的仲裁。如果有必要执行或解释本协议，胜诉方有权获得合理的律师费、成本和必要的支出，以及该方有权获得的任何其他救济。本协议及其所有附带事项应受美国法律(包括但不限于美国版权和商标法)以及适用于订立并在其中完全履行的合同的特拉华州法律管辖，而不考虑任何法律选择或法律冲突规则。尽管有上述规定，如果一方的知识产权受到另一方或其关联公司的侵犯，任一方均可在任何时候自由寻求禁令救济。对于因本协议而可能产生的任何诉讼，双方不可撤销且无条件地服从(i)美国马萨诸塞州地区法院的专属管辖权和地点(并放弃任何不方便法庭的索赔和关于地点设置的任何异议)，或(ii)如果该法院没有管辖权，则提交给与任何诉讼有关的马萨诸塞州米德尔塞克斯县的适当州法院。因本协议和本协议的标的物引起的或与之有关的诉讼或程序，无论是合同、侵权行为(包括过失)，还是任何其他形式的诉讼。双方在此无条件放弃各自对本协议项下产生的任何索赔或诉讼事由进行陪审团审理的权利。

13.16补救措施。本协议规定的权利和救济将是累积的，其中任何权利和救济都不排斥其他任何权利和救济，并且是对法律或衡平法上可获得的任何其他救济的补充。

13.17无第三方受益人。本协议旨在仅为签署人的利益而制定，不旨在使任何第三方受益(第10条所述的除外)。只有本协议的缔约方才能执行本协议。

13.18整个协议。本协议和主协议构成双方的完整谅解。之前的所有口头或书面声明或承诺均由本协议取代。

13.19数字格式。双方同意，本协议的原件(包括签字页)可以以数字格式成像并存储在一方的计算机系统中，任何打印件或其他能够准确复制本协议原件的可视可读输出均可用于原协议的任何目的，包括对原书面内容的证明。

---

附录

工作的好地方
标准合同条款
2021年9月26日

这数据处理协议(这个“协议)是由以下两部分组成:

客户(“控制器”);而且

GREAT PLACE TO WORK INSTITUTE, INC.，一家根据美国加利福尼亚州法律成立的客户，地址:1999 Harrison Street Suite 2070, CA 94612(“处理器”)。

控制器和处理器在这里也可以统称为“方和每个单独作为一个"聚会，派对”。

1. 背景信息

控制者对处理者和子处理者提供的工作场所认证产品和服务感兴趣。

处理者将根据双方签订的订单和条款条件(“服务协议)，其中包括代表控制者为第1.1节所述的目的以及根据本协议附件1所述的内容处理个人数据。处理器设立在第三国，即欧洲经济区以外的国家(“经济区)，对此，欧盟委员会没有发布所谓的充足性决定，称其确保了条例(EU) 2016/679所要求的足够水平的数据保护。因此，双方同意纳入某些标准合同条款(C(2021) 3972;”癌)，以使符合法规(EU) 2016/679第46(2)(c)条的设想的数据传输合法化。这些scc作为附件1附在本协议中，该附件必须单独签署。各方已确定，这些scc提供了足够的保障，以确保处理者代表控制者处理的个人数据得到足够水平的数据保护，如转让影响评估中所述(“蒂雅)，其结论附于此，作为附件2

作为附录1的补充，以下条款和条件适用。如果本协议正文中规定的条款和条件与附录1所列scc之间存在任何冲突或不一致，则应以附录1为准，并优先考虑与个人数据转移有关的冲突或不一致的程度。

2. 定义

本协议使用法规(EU) 2016/679中定义的术语(“监管”)，该等名词的含义与该规例内所载释义相同。

3. 控制器的义务

控制者保证，根据适用法律，包括本条例，允许向处理者提供个人数据。

控制者保证遵守其在适用法律(包括本条例)下的所有义务。

4. 审核权(含检查)

根据控制者的书面要求，处理者承诺向控制者提供所有必要的信息和协助，以证明遵守本协议中规定的义务，只要控制者在没有处理者参与的情况下无法通过其他方式获得此类信息，并且在商业上合理。此外，处理者应应控制者的书面要求，在合理的时间间隔内提供处理者遵守本协议要求的可用的和最新的第三方审计和/或证明的副本，或其任何摘要。www.vw033.com

如果基于控制者根据本协议第4.1条获得的信息，控制者有合理的理由怀疑数据处理者是否遵守了其在本协议项下的要求，控制者有权在合理的书面通知后，并在合理的时间间隔内，通过要求处理者的授权签字人提供自我证明信，来验证处理者是否遵守了本协议项下的要求，www.vw033.com附带处理者同意为响应自我证明要求而编写的相关报告和详细信息(例如与子处理者签订的处理协议的副本，关于信息安全的详细信息等)(统称为“www.vw033.com自我认证的www.vw033.com信,”)。

如果基于控制者根据本协议第4.1条和4.2条获得的信息，控制者有合理的理由怀疑数据处理者遵守其在本协议下的要求，控制者有权审计，包括(如有必要)在处理者的场所，以合理的时间间隔或如果有迹象表明处理者不遵守本协议，检查处理者在本协议下对个人数据的处理。审计将在正常营业时间内进行，但须提前三十(30)天书面通知处理方，且不中断处理方的正常业务进程。主计长在此选择通过委托一名外部、独立和核证审计员行使其审计权利，该审计员应与处理者协商指定。

双方应尽早就审计结果相互协商。处理者应在其酌情裁量的范围内实施建议的改进措施，同时考虑与处理活动相关的处理风险、技术水平、实施成本和其运营的市场。

处理者应有权向控制者开具发票，以支付其在本协议中本条所发生的任何费用。

5. 协助管制员

处理者应当协助控制者遵守控制者履行其义务，对行使条例第II章规定的数据主体权利的请求作出回应，以及根据条例第32条至第36条履行的义务:(i)如果控制者在没有处理者的协助下无法满足法规规定的这些要求，(ii)在所需协助的范围和程度范围内，提供这种协助在商业上是合理的，以及(iii)考虑到处理的性质和处理者可获得的信息。

处理者应有权就其在本协议第5条范围内发生的任何费用向控制者开具发票。

6. 欧洲经济区以外的转移

如果处理者除了满足附录1第8.8条中规定的要求外，还与子处理者签订有约束力的协议，则处理者可以将个人数据传输给位于EEA之外的附件III中所述的子处理者。本协议应包括本协议产生的义务，包括附录1附件I-II中规定的指示。为免生疑问，财务主任有责任确保遵守条例第五章的转移要求。为确保scc根据适用的数据保护法确实使转移合法化，并提供条例所要求的适当级别的数据保护，处理者已执行了控制者认为足以达到此目的的转移影响评估。如果任何一方在任何时候意识到个人数据的转移可能会导致任何国家的任何公共、私人或政府机构强制或获取在服务协议背景下处理的个人数据的风险增加，双方应共同努力确保本协议附录的执行，以适当保护被转移的个人数据。

控制者在任何时候都有权撤回第6.1节规定的对子处理者的聘用的同意(包括任何相关的第三国转让)。在这种情况下，处理者应立即停止转移，并应控制者的要求，就此提供书面确认。控制者同意，控制者根据本第6.2条撤回同意，不影响控制者根据服务协议履行的任何义务，即使这种撤回，在处理者合理证明的范围内，对处理者履行其在服务协议项下的义务产生不利影响。

7. 赔偿

处理者承诺赔偿控制者因处理者违反本协议对个人数据的处理而造成的任何和所有损害和损失，并使控制者免受损害，前提是上述损害和损失由处理者的保险单覆盖。

8. 保密

处理者同意不向第三方披露或以其他方式披露有关本协议项下个人数据处理的信息，或处理者因本协议而收到的其他信息。该保密义务不适用于处理者被要求向政府机构披露的信息，尽管有附录1第三节的规定。本保密义务在本协议终止或期满后继续有效。

9. 合同期限

本协议自签署之日起生效，只要处理者代表控制者处理个人数据，或直到控制者发出书面通知终止本协议为止。如有终止通知，该通知应在本协议终止前至少三(3)个月发出。

10. 完整的协议等等。

就本协议的标的物而言，本协议将取代任何先前的DPA协议、条款和条件中的DPA规定以及双方之间的谅解。

本协议于下列最后签署日期签署。

客户

客户在GPTW订单上的地址和联系方式。

客户在GPTW订单上的日期和签名。

美国加利福尼亚州奥克兰，2021年9月25日

工作的好地方。

签名:

姓名:Timothy H. Gens

职务:副总裁、首席法务官、CIPP、CDPO

展示1

标准合同条款

节中,我

C掌声1
目的和范围

1. 这些标准合同条款的目的是确保遵守欧洲议会和理事会2016年4月27日关于在个人数据处理方面保护自然人和此类数据自由流动(一般数据保护条例)的条例(EU) 2016/679的要求。^［1］将个人资料转移至第三国。
   
   
2. 当事人:
   
   1. 附件I.A所列转移个人数据的自然人或法人、公共当局、机构或其他机构(以下简称“实体”)(以下简称“数据出口商”)，以及
   2. 在第三国的实体直接或间接地通过附件I.A中所列的另一个也是本条款缔约方的实体从数据出口商处接收个人数据(以下简称“数据进口商”)
已同意这些标准合同条款(以下简称“条款”)。

3. 本条款适用于附件i.b所指明的个人资料转移
   
   
4. 本条款的附录包含其中提及的附件，构成本条款不可分割的一部分。

条款2
条款的效力和不变性

1. 这些条款规定了适当的保障措施，包括根据条例(EU) 2016/679第46(1)条和第46(2)(c)条规定的可强制执行的数据主体权利和有效的法律补救措施，关于从控制者到处理者和/或处理者到处理者的数据传输，根据条例(EU) 2016/679第28(7)条规定的标准合同条款，前提是这些条款未被修改，除非选择适当的模块或在附录中添加或更新信息。这并不妨碍双方在更广泛的合同中包括本条款中规定的标准合同条款和/或添加其他条款或额外保障措施，前提是这些条款不直接或间接与本条款相抵触，也不损害数据主体的基本权利或自由。
   
   
2. 本条款不影响数据出口商根据条例(EU) 2016/679所承担的义务。

条款3
第三方受益人

1. 数据主体可以作为第三方受益人，对数据出口商和/或数据进口商援引和执行本条款，但有以下例外:
   1. 第1条、第2条、第3条、第6条、第7条;
   2. 8 -条款8.1 (b), 8.9 (a), (c), (d)和(e);
   3. 第9条-第9(a)、(c)、(d)和(e)条;
   4. 第12条-第12(a)、(d)和(f)条;
   5. 条款13;
   6. 第15.1(c)、(d)和(e)条;
   7. 条款16 (e);
   8. 第18条-第18(a)和(b)条。
      
      
2. 第(a)段不影响条例(EU) 2016/679规定的数据主体的权利。

条款4
解释

1. 如果本条款使用法规(EU) 2016/679中定义的术语，则这些术语应与该法规中定义的含义相同。
   
   
2. 本条款应根据法规(EU) 2016/679的规定进行阅读和解释。
   
   
3. 本条款的解释不应与法规(EU) 2016/679中规定的权利和义务相冲突。

条款5
层次结构

本条款与双方在订立本条款时或订立本条款后存在的相关协议的规定不一致的，以本条款为准。

条款6
转让的描述

转移的详情，特别是转移的个人资料类别和转移的目的，载于附件i.b

第7条(可选)
对接条款

1. 非本条款缔约方的实体，经双方同意，可随时以数据出口国或数据进口国的身份，通过填写附录并签署附件i.a加入本条款
   
   
2. 一旦其完成附录并签署附件I.A，加入实体将成为本条款的缔约方，并具有附件I.A中指定的数据出口商或数据进口商的权利和义务
   
   
3. 加入实体在成为缔约方之前，不享有本条款项下产生的任何权利或义务。

第二节双方的义务

条款8
数据保护措施

数据导出者保证其已作出合理努力，以确定数据导入者能够通过实施适当的技术和组织措施来履行其在本条款下的义务。

模块二:将控制器传输到处理器

8.1指令

1. 数据输入方仅应根据数据输出方的书面指示处理个人数据。数据出口人可在合同期间内发出此类指示。
   
   
2. 如果数据进口者无法遵守这些指示，则应立即通知数据出口者。

8.2用途限制

除非得到数据出口者的进一步指示，否则数据进口者只能为附件I.B所载的转移的特定目的处理个人数据。

8.3透明度

应要求，数据导出者应向数据主体免费提供一份本条款的副本，包括由双方填写的附录。在保护商业秘密或其他机密信息(包括附件二所述措施和个人数据)所需的范围内，数据出口者可在共享本条款附录的部分文本之前对其进行修订，但在数据主体无法理解其内容或行使其权利的情况下，应提供有意义的摘要。应要求，双方应在尽可能不披露已修订信息的情况下，向数据主体提供进行修订的理由。本条款不影响数据出口商根据法规(EU) 2016/679第13条和第14条承担的义务。

8.4精度

如果数据输入方意识到其收到的个人数据不准确或已过时，则应毫不迟延地通知数据输出方。在这种情况下，数据输入方应与数据输出方合作删除或更正数据。

8.5数据处理和擦除或返回的持续时间

数据进口者的处理应仅在附件i.b规定的期限内进行。在处理服务提供结束后，数据进口者应根据数据出口者的选择，删除代表数据出口者处理的所有个人数据，并向数据出口者证明其已这样做，或将代表其处理的所有个人数据归还给数据出口者并删除现有副本。在数据被删除或返回之前，数据进口商应继续确保遵守这些条款。如果适用于数据进口商的当地法律禁止返回或删除个人数据，则数据进口商保证其将继续确保遵守本条款，并且仅在当地法律要求的范围内和期限内处理该等数据。这并不妨碍第14条，特别是第14(e)条规定的数据进口商在合同期间内通知数据出口商的要求，如果其有理由相信其所遵守的法律或惯例不符合第14(a)条的要求。

8.6处理安全

1. 数据进口商以及在传输过程中，数据出口商应实施适当的技术和组织措施，以确保数据的安全，包括防止违反安全导致意外或非法破坏、丢失、更改、未经授权的披露或访问该数据(以下简称“个人数据泄露”)。在评估适当的安全级别时，缔约方应适当考虑技术水平、实施成本、处理的性质、范围、背景和目的，以及处理数据主体所涉及的风险。双方应特别考虑采用加密或假名化，包括在传输过程中，如果处理目的可以通过这种方式实现的话。在使用假名的情况下，在可能的情况下，将个人数据归因于特定数据主体的额外信息仍应由数据出口商独家控制。为履行其在本段项下的义务，数据进口者至少应实施附件II中规定的技术和组织措施。数据导入者应进行定期检查，以确保这些措施继续提供适当级别的安全。
   
   
2. 数据输入方应仅在为执行、管理和监测合同而严格必要的范围内，向其人员成员授予访问个人数据的权限。它应确保被授权处理个人数据的人已承诺保密或承担适当的法定保密义务。
   
   
3. 如果数据进口商根据本条款处理的个人数据发生个人数据泄露，则数据进口商应采取适当措施解决该泄露，包括减轻其不利影响的措施。数据输入方还应在知道该违约行为后毫不迟延地通知数据输出方。该通知应包含可获得更多信息的联络点的详细信息、对违规行为性质的描述(包括在可能的情况下，涉及的数据主体和个人数据记录的类别和大致数量)、可能的后果以及为解决违规行为而采取或拟议的措施，包括(在适当情况下)减轻其可能的不利影响的措施。在不可能同时提供所有信息的情况下，初始通知应包含当时可获得的信息，而在获得进一步信息时，随后应毫不迟延地提供。
   
   
4. 数据进口商应与数据出口商合作并协助数据出口商履行条例(EU) 2016/679规定的义务，特别是通知主管监管机构和受影响的数据主体，同时考虑到处理的性质和数据进口商可获得的信息。

8.7敏感数据

如果转移涉及揭示种族或民族出身、政治观点、宗教或哲学信仰或工会会员资格的个人数据、基因数据或用于唯一识别自然人的生物特征数据、有关健康或个人性生活或性取向的数据，或与刑事定罪和犯罪有关的数据(以下简称“敏感数据”)，数据进口商应适用附件i.b中所述的特定限制和/或额外保障措施

8.8转程

资料输入者仅可根据资料输出者的书面指示向第三方披露个人资料。此外，数据只能披露给欧盟以外的第三方^[２](在与数据进口商相同的国家或在另一个第三国，以下简称“后续转移”)，如果第三方是或同意在适当的模块下受这些条款的约束，或者如果:

9. 后续转移是向根据涵盖后续转移的法规(EU) 2016/679第45条的充分性决定而受益的国家;
10. 第三方根据(EU) 2016/679条例第46条或第47条就相关处理确保适当的保障措施;
11. 在具体的行政、管制或司法程序中，为建立、行使或辩护法律要求，必须进行转移;或
12. 为了保护数据主体或另一个自然人的重大利益，进一步的转移是必要的。

任何后续转移均须由数据进口商遵守本条款下的所有其他保障措施，特别是目的限制。

8.9文件和合规性

1. 数据进口者应及时、充分地处理数据出口者提出的与根据本条款进行的处理有关的查询。
   
   
2. 双方应能证明遵守了本条款。特别是，数据输入方应保存有关代表数据输出方进行的处理活动的适当文件。
   
   
3. 数据输入方应向数据输出方提供所有必要的信息，以证明遵守本条款中规定的义务，并应数据输出方的要求，允许并协助在合理间隔或有不合规迹象时对本条款所涵盖的处理活动进行审计。在决定是否进行审查或审计时，数据出口者可考虑数据进口者持有的相关证书。www.vw033.com
   
   
4. 数据出口商可选择自行进行审计，或委托一名独立审计员进行审计。审计可包括对数据进口商的场所或实际设施进行检查，并应在适当情况下在合理通知的情况下进行。
   
   
5. 双方应应要求向有权监管机构提供(b)和(c)段所述的信息，包括任何审计的结果。

条款9
子处理器的使用

模块二:将控制器传输到处理器

1. 未经数据出口者事先明确书面授权，数据进口者不得将其根据本条款代表数据出口者执行的任何处理活动分包给分处理者。数据进口者应在分包处理者聘用前至少三十(30)天提交具体授权请求，同时提交必要的信息，使数据出口者能够决定授权。数据出口商已授权的子处理者名单可在附件三中找到。双方应随时更新附件三。
   
   
2. 如果数据进口商聘请分处理者(代表数据出口商)进行特定的处理活动，则其应通过书面合同进行，该书面合同在实质上规定了与本条款下约束数据进口商的义务相同的数据保护义务，包括数据主体的第三方受益人权利。^[3]双方同意，通过遵守本条，数据进口商履行了第8.8条项下的义务。数据进口者应确保分处理者遵守数据进口者根据本条款所承担的义务。
   
   
3. 应数据导出者的要求，数据导入者应提供该分处理者协议的副本以及对数据导出者的任何后续修订。在为保护商业秘密或其他机密信息(包括个人数据)所必需的范围内，数据导入者可在共享协议副本之前对协议文本进行修订。
   
   
4. 数据进口者应继续就分处理者履行其与数据进口者合同项下的义务向数据出口者负全部责任。数据输入方应将分处理方未能履行其在该合同下的义务的任何情况通知数据输出方。
   
   
5. 数据进口商应与分处理方商定一项第三方受益条款，根据该条款，在数据进口商实际上已经消失、在法律上已不复存在或已资不抵债的情况下，数据出口商应有权终止分处理方合同，并指示分处理方删除或返还个人数据。

第10条
数据主体权利

模块二:将控制器传输到处理器

1. 数据输入者须立即将其从数据主体收到的任何要求通知数据输出者。除非数据出口者授权它这样做，否则它本身不应对该请求作出回应。
   
   
2. 数据进口商应协助数据出口商履行其义务，回应数据主体根据条例(EU) 2016/679行使其权利的请求。在这方面，各缔约方应在附件二中规定适当的技术和组织措施，同时考虑到提供援助的处理性质以及所需援助的范围和程度。
   
   
3. 在履行第(a)及(b)段下的义务时，资料输入者须遵守资料输出者的指示。

条款11
纠正

1. 数据进口商应以透明和易于获取的格式，通过个人通知或在其网站上，通知数据主体授权处理投诉的联络点。它应迅速处理从数据主体收到的任何投诉。

模块二:将控制器传输到处理器

2. 如果数据主体与一方就遵守本条款发生争议，该方应尽最大努力及时友好地解决该问题。双方应相互通报该等争议，并在适当情况下合作解决争议。
   
   
3. 如果数据主体根据第3条调用第三方受益权，数据进口商应接受数据主体的以下决定:
   13. 向其经常居住地或工作地点所在成员国的监管机构，或根据第13条规定的主管监管机构提出投诉;
   14. 将争议提交第18条所指的有管辖权的法院。
       
       
4. 双方接受，数据主体可以由非营利性机构、组织或协会根据条例(EU) 2016/679第80(1)条规定的条件代表。
   
   
5. 数据进口商应遵守根据适用的欧盟或成员国法律具有约束力的决定。
   
   
6. 数据进口商同意，数据主体作出的选择不会损害他/她根据适用法律寻求补救的实质性和程序性权利。

条款12
责任

模块二:将控制器传输到处理器

1. 任何一方均应对因违反本条款而给另一方造成的任何损害承担责任。
   
   
2. 数据进口者或其子处理者违反本条款项下的第三方受益权利，对数据主体造成任何实质性或非实质性损害，数据进口者应对数据主体负责，数据主体有权获得赔偿。
   
   
3. 尽管有第(b)段的规定，对于数据出口者或数据进口者(或其分处理者)因违反本条款下的第三方受益人权利而给数据主体造成的任何实质性或非实质性损害，数据出口者应对数据主体负责，数据主体应有权获得赔偿。这并不影响数据出口商的责任，如果数据出口商是代表控制者行事的处理者，则不影响控制者根据条例(EU) 2016/679或条例(EU) 2018/1725(如适用)承担的责任。
   
   
4. 双方同意，如果数据出口者根据第(c)段对数据进口者(或其子处理者)造成的损害承担责任，则其有权向数据进口者追讨与数据进口者对损害的责任相对应的那部分赔偿。
   
   
5. 如果超过一方对因违反本条款而对数据主体造成的任何损害负责，则所有责任方应承担共同和连带责任，数据主体有权向法院起诉其中任何一方。
   
   
6. 双方同意，如果一方根据第(e)款承担责任，则其有权向另一方追讨与其损害责任相对应的那部分赔偿。
   
   
7. 数据导入方不得调用子处理方的行为以逃避其自身的责任。

条款13
监督

模块二:将控制器传输到处理器

1. 如附件I.C所示，负责确保数据出口商遵守关于数据传输的条例(EU) 2016/679的监管机构应作为主管监管机构。
   
   
2. 数据进口商同意在旨在确保遵守本条款的任何程序中服从主管监管机构的管辖并与之合作。特别是，数据进口者同意回应查询、接受审计并遵守监管机构采取的措施，包括补救和补偿措施。它应向监管机构提供书面确认，证明已经采取了必要的行动。

第三节-地方法律和公共当局进入时的义务

条款14
影响遵守本条款的当地法律和惯例

模块二:将控制器传输到处理器

1. 双方保证，他们没有理由相信第三目的地国适用于数据进口商处理个人数据的法律和惯例，包括披露个人数据的任何要求或授权公共当局访问的措施，会阻止数据进口商履行其在本条款下的义务。这是基于这样一种理解，即尊重基本权利和自由的本质，并且不超过民主社会为保障条例(EU) 2016/679第23(1)条所列目标之一所必需和相称的法律和实践与本条款并不矛盾。
   
   
2. 双方声明，在提供(a)款中的保证时，他们特别适当地考虑了以下要素:
   15. 转让的具体情况，包括处理链的长度、涉及的行为者数量和使用的传输渠道;预定转乘;接收者的类型;加工的目的;所转移的个人资料的类别及格式;发生转移的经济部门;传输数据的存储位置;
   16. 第三目的地国的法律和惯例——包括要求向公共当局披露数据或授权公共当局查阅数据的法律和惯例——应根据转移的具体情况以及适用的限制和保障措施而定^[4]；
   17. 为补充本条款下的保障措施而实施的任何相关的合同、技术或组织保障措施，包括在传输过程中应用的措施以及在目的国对个人数据的处理。
       
       
3. 数据输入方保证，在执行第(b)段规定的评估时，已尽最大努力向数据输出方提供相关信息，并同意将继续与数据输出方合作，以确保遵守本条款。
   
   
4. 双方同意将(b)段规定的评估文件化，并应监管机构要求提供。
   
   
5. 数据进口商同意立即通知数据出口国,如果后同意这些条款和合同期间,有理由相信,它已经成为受法律或实践不是(a)款的要求,包括在第三国的法律变化后或测量(如披露请求)指示应用程序这样的法律在实践中不符合(a)款的要求。
   
   
6. 在根据第(e)段发出通知之后，或者如果数据出口商以其他方式有理由相信数据进口商不能再履行其在本条款下的义务，则数据出口商应立即确定数据出口商和/或数据进口商为解决该情况而采取的适当措施(例如确保安全和保密的技术或组织措施)。如果数据出口者认为不能确保这种转移的适当保障措施，或者如果主管监管机构指示这样做，则数据出口者应暂停数据转移。在这种情况下，数据出口商有权终止合同，只要涉及本条款下的个人数据处理。如果合同涉及两个以上当事方，则数据出口人仅可就有关当事方行使这种终止权利，除非当事方另有约定。如果合同根据本条终止，则第16(d)和(e)条适用。
   
   
   

条款15
在公共当局访问数据时，数据进口者的义务

模块二:将控制器传输到处理器

15.1通知

1. 如有下列情况，资料输入人同意立即通知资料输出人及(在可能情况下)资料当事人(如有需要，须在资料输出人的协助下):
   1. 收到公共当局(包括司法当局)根据目的地国法律提出的具有法律约束力的要求，要求披露根据本条款转移的个人数据;该通知应包括有关所请求的个人数据、请求当局、请求的法律依据和所提供的答复的信息;或
   2. 意识到公共当局对根据本条款根据目的国法律转移的个人数据的任何直接访问;此种通知应包括进口商可获得的所有资料。
      
      
2. 如果数据进口商根据目的国的法律被禁止通知数据出口商和/或数据主体，则数据进口商同意尽其最大努力获得豁免禁令，以便尽快传达尽可能多的信息。数据输入方同意记录其所做的最大努力，以便能够在数据输出方要求时展示这些努力。
   
   
3. 在目的地国法律允许的情况下，数据输入方同意在合同期间定期向数据输出方提供尽可能多的有关收到的请求的信息(特别是请求的数量、请求的数据类型、请求的权限、请求是否受到质疑以及质疑的结果等)。
   
4. 数据进口商同意在合同有效期内按照(a)至(c)段保存信息，并应主管监管机构的要求将其提供给监管机构。
   
   
5. (a)至(c)段不影响数据进口商根据第14(e)条和第16条在其无法遵守这些条款时及时通知数据出口商的义务。

15.2合法性审查和数据最小化

1. 数据输入方同意审查披露请求的合法性，特别是该请求是否仍在向提出请求的公共当局授予的权力范围内，并在经过仔细评估后得出结论，认为有合理理由认为根据目的国法律、国际法下的适用义务和国际礼让原则，该请求是非法的，则对该请求提出质疑。资料输入人须在相同条件下，寻求上诉的可能性。在对请求提出质疑时，数据进口商应寻求临时措施，以便在主管司法当局对请求的是非直作出决定之前暂停请求的效力。除非根据适用的程序规则要求，否则不得披露所要求的个人数据。这些要求不影响第14(e)条规定的数据进口商的义务。
   
   
2. 数据进口商同意记录其法律评估和对披露请求的任何质疑，并在目的国法律允许的范围内，向数据出口商提供文件。并应应要求向主管监管机构提供。
   
   
3. 数据进口商同意在回应披露请求时，根据对该请求的合理解释，提供允许的最低数量的信息。

第四节-最后规定

条款16
不遵守本条款及终止

1. 如果数据进口者因任何原因无法遵守本条款，则应立即通知数据出口者。
   
   
2. 如果数据进口商违反了这些条款或无法遵守这些条款，数据出口商应暂停向数据进口商转移个人数据，直到再次确保符合规定或合同终止。这并不影响第14(f)条。
   
   
3. 在以下情况下，数据出口商有权终止合同，只要涉及本条款下的个人数据处理:
   1. 数据出口商已根据(b)段暂停向数据进口商转移个人数据，且未在合理时间内以及在暂停后的一个月内恢复对这些条款的遵守;
   2. 数据进口商严重或持续违反本条款;或
   3. 数据进口商未能遵守主管法院或监管机构就其在本条款下的义务作出的有约束力的决定。
      
      
在这种情况下，应当将不合规情况通知主管监管机构。如果合同涉及两个以上当事方，则数据出口人只能就有关当事方行使这种终止权利，除非当事方另有约定。

4. 根据(c)段在合同终止前已转移的个人数据，应由数据出口商选择立即返还给该数据出口商或全部删除。上述规定亦适用于该等资料的任何副本。资料输入人须向资料输出人证明已删除资料。在数据被删除或返回之前，数据进口商应继续确保遵守这些条款。如果适用于数据进口商的当地法律禁止返回或删除已转移的个人数据，则数据进口商保证其将继续确保遵守本条款，并且仅在当地法律要求的范围内和期限内处理数据。
   
   
5. 在以下情况下，任一方均可撤销其受本条款约束的协议:(i)欧盟委员会根据条例(EU) 2016/679第45(3)条作出了涉及本条款适用的个人数据转移的决定;或(ii)条例(EU) 2016/679成为个人数据被转移到的国家的法律框架的一部分。这并不影响条例(EU) 2016/679中适用于相关加工的其他义务。

条款17
适用法律

模块二:将控制器传输到处理器

本条款应受欧盟成员国之一的法律管辖，前提是该法律允许第三方受益人权利。双方同意，这应是财务主任总部所在的成员国的法律。

条款18
法院和司法管辖区的选择

模块二:将控制器传输到处理器

由本条款引起的任何争议应由欧盟成员国的法院解决。


双方同意，这些法院应为财务总监总部所在的成员国的法院。


数据主体还可以在其经常居住地的成员国法院对数据出口者和/或数据进口者提起法律诉讼。


双方同意接受上述法院的管辖。

__________________

本协议于下列最后签署日期签署。

客户

客户在GPTW订单上的地址和联系方式。

客户在GPTW订单上的日期和签名。

^{［1］如果数据出口商是符合条例(EU) 2016/679的处理者，代表欧盟机构或机构作为控制者，在雇佣不受条例(EU) 2016/679约束的另一个处理者(子处理)时，依赖这些条款还确保遵守欧洲议会和2018年10月23日理事会条例(EU) 2018/1725第29(4)条，关于在欧盟机构、机构、办公室和机构处理个人数据时保护自然人以及此类数据的自由流动，以及废除条例(EC) No 45/2001和第1247/2002/EC号决定(OJ L 295, 2018年11月21日，第39页)，只要这些条款与控制者和处理者之间根据条例(EU) 2018/1725第29(3)条规定的合同或其他法律行为中规定的数据保护义务一致。特别是当控制者和处理者依赖于第2021/915号决定中包含的标准合同条款时。}

^{[２]《欧洲经济区协定》(《欧洲经济区协定》)规定将欧洲联盟的内部市场扩大到三个欧洲经济区国家冰岛、列支敦士登和挪威。因此，数据进口商向位于欧洲经济区的第三方进行的任何披露不符合本条款所指的继续转移。}

^{[3]这一要求可以由子处理器根据第7条在适当的模块下加入这些条款来满足。}

^{[4]关于此类法律和惯例对遵守本条款的影响，可将不同因素视为整体评估的一部分。这些要素可包括在足够具有代表性的时间范围内，有关公共当局要求披露或没有要求披露的相关和有文件记录的实际经验。这尤其指根据尽职调查连续编制并经高级管理层认证的内部记录或其他文件，前提是这些信息可以合法地与第三方共享。如果根据这一实际经验得出数据进口商不会被阻止遵守这些条款的结论，则需要得到其他相关客观因素的支持，并且各方应仔细考虑这些因素加在一起是否具有足够的可靠性和代表性，以支持这一结论。具体而言，缔约方必须考虑到其实际经验是否与公开或以其他方式可获得的关于同一部门内是否存在请求和/或法律在实践中的适用的可靠资料，如判例法和独立监督机构的报告相证实和不相矛盾。}

附录

注释:

必须能够清楚地区分适用于每项转让或转让类别的信息，并在这方面确定缔约方作为数据出口者和/或数据进口者的各自角色。这并不一定需要为每一笔转让/转让类别和/或合同关系填写和签署单独的附录，这种透明度可以通过一个附录实现。但是，如有必要，为确保足够清晰，应使用单独的附录。

附件我

A.当事人名单

模块二:将控制器传输到处理器

数据出口国(s):[数据出口商及(如适用)其数据保护官员及/或欧洲联盟代表的身份及联系详情]

1.	客户名称: 地址:如GPTW订单上所示 联系人姓名、职位及联络详情如GPTW订购表格所载: 与根据本条款传输的数据相关的活动: 客户在GPTW订单上签字并注明日期: 角色(控制器/处理器):控制器

数据进口国(年代)：[资料输入人的身分及联络资料，包括负责资料保护的任何联络人]

1.	公司名称:工作好地方研究所。 地址:1999 Harrison Street Suite 2070 Oakland, CA 94612 姓名:Timothy H. Gens，副首席法律官，tim.gens@greatplacetowork.com 收集来自数据出口商的员工的反馈，通过一个名为“印象”的调查平台。 2021年9月25日 角色:Sub-Processor

B.转让说明

个人资料被转移的资料当事人类别

财务总监的员工。

传送的个人资料类别

受邀参加调查的客户员工的姓名、电子邮件地址。

转移的敏感数据(如适用)和充分考虑数据性质和所涉风险的限制或保障措施，例如严格的用途限制、访问限制(包括仅对经过专门培训的工作人员进行访问)、保留数据访问记录、对后续转移的限制或额外安全措施。

一个也没有。

传输的频率(例如，数据是一次性传输还是连续传输)。

变量。

加工性质

收集，存储，记录，匿名化，删除，

数据传送及进一步处理的目的。

作为产品和服务的一部分，进行并报告评估

个人资料将保留的期限，或在不可能保留的情况下，用于确定该期限的标准

处理应在调查期间继续进行，并在其后的五个工作日内继续进行。GPTW应在调查结束后5个工作日内删除所有个人资料。

对于传输到(子)处理器，还要指定处理的主题、性质和持续时间

处理应在调查期间继续进行，并在其后的五个工作日内继续进行。GPTW应在调查结束后5个工作日内删除所有个人资料。

C.主管监管机构

根据第13条确定主管监管机构

对控制人有管辖权的数据处理当局。

附件二

技术和组织措施，包括确保数据安全的技术和组织措施

模块二:将控制器传输到处理器

注释:

技术和组织措施必须用具体的(而不是通用的)术语描述。另见附录第一页的一般性评论，特别是关于需要明确指出每一转让/一组转让适用哪些措施的评论。

描述数据进口商为确保适当级别的安全而实施的技术和组织措施(包括任何相关证明)，同时考虑到处理的性质、范围、背景和目的，以及自然人权利和自由的风险。www.vw033.com

个人资料的匿名化和加密措施

确保处理系统和服务持续保密、完整性、可用性和弹性的措施

确保在发生物理或技术事件时能够及时恢复个人数据的可用性和访问的措施

定期测试、评估和评价技术和组织措施有效性的过程，以确保处理的安全性

用户识别和授权的措施

数据传输过程中的保护措施

数据存储期间的保护措施

确保处理个人资料地点的物理安全的措施

确保事件记录的措施

确保系统配置的措施，包括默认配置

用于内部IT和IT安全治理和管理的措施

过程和产品的认证/保证措施www.vw033.com

确保数据最小化的措施

保证数据质量的措施

确保有限数据保留的措施

确保问责的措施

允许数据可移植性和确保擦除的措施

1. 处理系统和服务的保密性(GDPR第32 (1)b条)
   1. 只有有合法需要的人士才可查阅客户资料。客户数据仅由基于工作授权的gptw员工访问，调查访问权限受到控制，因此调查受访者无法看到其他人的回复。
      
      
   2. GPTW有文件化的访问控制政策，其中包括正式的用户注册和注销注册流程，以便分配访问权限，所有用户的唯一id，与信息系统或服务所有者定期审查访问权限，管理层对特权访问权限的限制和控制，分配和控制特权访问权限的授权流程，每月审查特权访问权限，正式的密码政策，强制用户在第一次登录时更改密码、密码要求(如最小长度、复杂性、更改周期、密码历史)以及存储和传输的加密密码的策略。
      
      
   3. 服务器在一个上锁的、气候可控的服务器室中，只有授权人员才能进入。
      
      
   4. 所有远程访问(包括VPN、拨号和允许登录内部系统的其他形式的访问)都需要使用多因素身份验证。多因素身份验证用于所有管理访问。对系统的直接管理交互访问(远程或本地)被阻止。相反，管理员最初使用非管理的访问系统
      
      
   5. 对数据进行分区和分离，使“客户”用户不能看到另一个“客户”的数据
      
      
   6. 为了保护客户雇员数据的机密性，GPTW使用了一种抑制算法。如果客户人口统计组中少于五(5)人参与评估，GPTW将不会报告评估结果。客户员工应确保其参与完全保密且自愿。
      
      
   7. GPTW有文件化的风险管理，每季度进行一次风险评估。客户已正式形成文件化的信息安全、数据隐私和保密政策、标准和程序，这些政策、标准和程序已得到高级管理层批准，已传达给员工，至少每年审查一次，并适当公布，以供参考和应用。
      
      
   8. 名为Emprising的gptw分析调查平台由云提供商微软Azure托管。GPTWcontracts with Azure to maintain the highest level of Data Security and Data Privacy global compliance at all times. This legal protection is passed along to all GPTW clients though the warranties in the Products and Services Agreement for the entire term of our engagement as detailed below. The Azure audit reports and other resource documentation as well as the Azure Compliance Manager Tool used by GPTW to comply with the GDPR and other privacy laws are found at the following URLs:https://servicetrust.microsoft.com/以及其他合规产品:vwin德赢网官方https://www.microsoft.com/en-us/trustcenter/compliance/compliancevwin德赢网官方offerings。这里有一篇关于Azure遵从性的一般文章:https://www.communicationsquare.com/news/everything-about-gdpr-compliance-in-微软/还有一个博客:https://azure.microsoft.com/en-us/blog/protecting-privacy-in-microsoft-azure-gdpr-azure-policy-updates /。还有一些针对特定国家的合规资源。例如，德国的合规地址如下:https://servicetrust.microsoft.com/ViewPage/GermanComplianceResourcesV3。
      
      
2. 处理系统和服务的完整性(GDPR第32 (1)b条)
   1. GPTW使用符合行业标准的商业合理努力来收集、传输、存储、保护和维护通过GPTW获得的数据和客户数据。GPTW声明并保证，在处理期间或客户的约定期限内，其遵守欧盟(EU) 2016年《通用数据保护条例》(GDPR)、2018年《加州消费者隐私法》AB 375 (CCPA)以及所有其他国家、州或监管机构的数据保护法。此保证在GPTW美国主页底部的链接中找到的GPTW产品和服务协议的第8条(数据隐私)中有说明://www.dragracecity.com/products-services-agreement
      
      
   2. gptwemprising™调查和分析软件平台通过向Emprising上传员工数据文件(EDF)来操作，该文件包含客户员工进行调查的电子邮件地址列表，以及可选的其他信息，如预先编码的客户员工的人口统计数据等。EDF可以上传到Emprising或由客户直接上传到GPTW。EDF加密存储在客户员工数据的单独分区区域中，其中包含客户员工的调查回复。当调查结束时，EDF为
      
      
   3. Emprising托管在Azure上和GPTW网络之间的任何通信都严格限制为使用IPSec的端到端安全VPN连接
      
      
3. 处理系统和服务的可用性和弹性(GDPR第32 (1)b条)
   1. 审计日志设置将为维护日志信息的每个设备进行验证。验证确保日志包含设备的相关信息，包括atimestamp、源地址、目的地址以及数据包和/或事务的各种其他有用元素。设备以标准化的格式记录日志(如syslog条目或由公共事件表达式倡议概述的条目)。
      
      
   2. 一个完整的灾难恢复计划已经被记录和执行。灾难恢复计划处理业务功能/服务的所有相关方面的恢复，包括应用程序、数据库、实用程序和网络基础设施
      
      
   3. 至少使用两个不同的电信供应商向数据中心提供网络通信。冗余数据中心位置至少相距30英里。可能对数据中心产生负面影响的自然灾害(例如，靠近水体，靠近断层线)已经被排除
      
      
   4. 在这些完全冗余的热站点上，所有数据都在Azure服务器和云提供商之间进行日常备份。包括合同语言，以确保Azure以与gptw自己的内部一致的方式正确控制访问。数据在传输和存储中使用商用双密钥AES 256位加密软件进行加密。
      
      
4. 常规审查、评估和评估程序(GDPR第32(1)条lit. d;25 (1) GDPR)艺术。
   1. 实现了用于数据保护管理的自动化配置监控系统，通过远程测试测量和监控安全配置元素。系统使用符合SCAP (Security Content Automation Protocol)协议的特性收集配置漏洞信息。部署了特定于系统的配置管理工具(例如Microsoft Windows环境的活动目录组策略)，这些工具会定期自动执行配置设置并将其重新部署到系统，自动化工具会持续监控工作站、服务器和移动设备，以提供主动的、最新的反恶意软件保护。
      
      
   2. GPTW建立了书面事件响应计划，其中包括事件管理的角色和责任定义。该计划还定义了事件管理程序。高级管理人员在事件管理过程中有适当的代表(有投入和决策权)。事件响应计划包括事件分析程序和确定事件是否应升级为事件的标准。程序包括人员的角色和职责，以及内部(如合规、沟通、法务、执行团队)和外部(如执法、客户)的要求。
      
      
   3. 所有数据都有密码保护
      
      
   4. 标准安全配置有文件化、批准，并定期进行任何偏离标准配置或标准配置的更新都有文件化并由授权人员批准。在网络互连点(例如，Internet网关、第三方网络连接、具有不同安全控制的内部网段等)，实施入口和出口过滤，以只允许具有明确和记录的业务需求的端口和协议。所有其他端口和协议被阻塞。任何例外情况都要记录在案，得到批准，有时限，并定期审查。
      
      
5. 个人数据的假名化和加密(GDPR第32(1)条lit. a)
   GPTW Emprising™调查和分析软件平台的操作方式是向Emprising上传员工数据文件(EDF)，其中包含参与调查的客户员工的电子邮件地址列表，以及可选的其他信息，如预先编码的客户员工人口统计数据等。EDF是双密钥AES265位，在传输和存储过程中加密，存储在客户员工数据的单独分区区域，其中包含客户员工的调查回复。当客户调查开始运行时，EDF的电子邮件列表用于为每个客户员工生成个性化邀请，这是每个客户员工唯一的登录标识符。员工的响应在传输和存储过程中都是加密的。当客户调查结束时，EDF与包含客户员工调查回复的客户员工数据之间的链接断开，从而将EDF与客户员工数据分离并在物理上分离。调查结束后，客户员工数据不包含客户姓名、客户员工的姓名或电子邮件地址，也不包含任何可用于识别客户员工的个人信息。因此，当调查结束时，客户员工数据将立即去识别并变为匿名。在结束客户调查后的五个工作日内，GPTW确认调查的功能，并删除EDF。

其他详细信息请参见GPTW外部安全政策中GPTW美国主页底部的链接:

//www.dragracecity.com/external-security-policy

对于向(子)处理器的传输，还要描述(子)处理器为能够向控制者提供帮助而采取的具体技术和组织措施，以及对于从处理器到子处理器的传输，向数据导出者提供帮助

同上。

附件3

子处理器列表

模块二:将控制器传输到处理器

注释:

对于模块2和模块3，如果子处理器有特定授权，则必须填写本附件(第9(a)条，选项1)。

控制器已授权使用以下子处理器:

1.名称:Microsoft Azure

地址:101赫伯特路，丹维尔，弗吉尼亚州

联系人:https://azure.microsoft.com

处理描述:托管Emprising应用程序的云提供商。

2.名称:HTEC集团

地址:塞尔维亚贝尔格莱德11B, 11000 Milankovica Bulevar Milutina

联系人:Aleksandar Cabrilo，总裁，aleksandar.cabrilo@htec.rs

处理描述:用于初始应用程序的软件维护。

3.服务协议中包含的处理者的任何相关被许可人和/或关联公司。