法律信息

隐私和安全常见问题解答

法律信息
/
隐私和安全常见问题解答

Avetta 尊重客户隐私,并致力于保护客户数据。

本常见问题解答提供了从隐私角度来看 Avetta、Avetta 客户(均称“客户”)和参与 Avetta 网络的供应商(均称“供应商”)之间的关系的信息,并回答了供应商对于 Avetta 如何处理和保护其数据的常见问题。本常见问题解答仅供参考。它不应视为法律建议的替代物,也不会纳入或构成与 Avetta 签订的任何合同的一部分。在本页中使用但并未在此定义的大写术语具有在终端用户服务协定(“EUSA”)中规定的含义。

1.供应商如何加入 Avetta 网络?

供应商加入 Avetta 网络有两种常见方法:

  • 客户通过 Avetta SaaS 平台(“Avetta 平台”)找到要与之合作和管理的供应商。随后,Avetta 协同客户向供应商发出邀请,邀请供应商加入 Avetta 网络。此流程支持客户寻求访问有关供应商的特定文件或其他数据,这些数据随后由供应商提供给 Avetta。然后,Avetta 通过 Avetta 平台向客户提供该等数据。因此,Avetta 收集供应商的数据是为了支持与供应商有业务往来的客户对该等数据的请求。
  • 供应商也可以主动加入 Avetta 网络,然后与 Avetta 网络中的客户建立连接,并根据已连接客户提出的要求提供文件和其他数据。

2.Avetta 通过 Avetta 平台向供应商收集哪些数据?

一般而言,Avetta 会向供应商收集两类数据:一般访问数据和有限访问数据。

“一般访问数据”包括供应商的公司名称、服务描述、公司地址、公司联系信息和其他一般公司信息。

“有限访问数据”包括资格预审文件(PQF)中包含的供应商数据、特定保险信息、安全数据(例如经验修正率(EMR)和 OSHA 数据)、审计期间收集的任何和所有数据(审计是指 Avetta 对供应商的程序和实践的客观评估,以评估供应商对相关监管标准、行业最佳实践或由相关客户决定的其他标准或参数的合规性)以及员工数据(如果供应商使用我们的员工产品)。Avetta 向供应商收集的有限访问数据的具体范围取决于供应商订阅的 Avetta 服务,以及供应商在 Avetta 平台上连接的客户提出的要求。

3.谁可以通过 Avetta 平台访问供应商数据以及为什么?

一般访问数据不是公开可用的数据,而是受密码保护且仅与 Avetta 网络中的客户和供应商共享的数据,在特定情况下也与潜在客户共享。显示供应商的一般访问数据是我们为供应商提供的一项优势/功能,以便其他客户可以在 Avetta 网络中为潜在工作搜索供应商。

有限访问数据仅允许供应商已连接的客户访问(如果供应商是分包商,则还包括主供应商)。维护有限访问数据是为了已连接客户的利益(例如,确认供应商符合与客户合作的要求,或特定员工有资格进入客户的工作站点)。有限访问数据可进一步分为两类:(i)标准合规数据,所有已连接的客户(以及适用的主供应商)均可访问;(ii)客户特定的合规数据,仅允许定义特定要求的客户(以及在适用情况下该客户的任何主供应商)访问。必须指出的是,通过我们的员工产品提交的员工数据属于客户特定的合规数据类别,只有规定站点访问要求的客户才能访问这些数据。

4.Avetta 向供应商收集哪些个人数据?

一般访问数据通常不包括任何个人数据,除非供应商提供的公司联系信息包含个人姓名或电子邮件地址。

有限访问数据可能包含个人数据,但有限访问数据中包含的具体个人数据类型取决于供应商订阅的 Avetta 服务,以及供应商已连接的客户设定的要求。

请参阅我们的数据处理附录(“DPA”)附表 B,了解个人数据的类别、数据主体的类型、处理目的以及 Avetta 根据 EUSA 提供服务时实施的其他处理细节。

5.数据处理的目的是什么?

Avetta 处理数据的目的如下:

  • 为了能够提供 Avetta 服务。
  • 为了已连接客户的利益,维护 Avetta 平台上的员工个人数据(例如,确认特定员工有资格进入客户的工作站点)。
  • Avetta 出于以下目的使用聚合和匿名数据:
    • 产品开发
    • 研究
    • 市场分析
  • Avetta 出于以下目的使用公司联系数据:
    • 直接营销(例如发送新闻简报和促销电子邮件)
    • 业务发展
    • 客户支持
  • 有关 Avetta 的其他合法权益,请参阅 Avetta 隐私政策第 5 条。

6.在处理供应商的个人数据时,Avetta 在 GDPR 下的角色是什么?

如果 Avetta 代表供应商和在供应商的指示下处理个人数据,例如处理 PQF 中包含的供应商个人数据、OSHA 数据集、审计期间收集的数据集、员工产品中包含的员工数据,或根据供应商已连接客户所确定的要求向 Avetta 提交的其他数据,则 Avetta 是处理者。

如果 Avetta 出于与提供服务相关的自身目的或 Avetta 的合法商业利益处理个人数据,例如计费、帐户管理、技术支持、欺诈防范以及销售和营销(例如,向供应商的管理员用户发送新闻简报),则 Avetta 是控制者。

7.Avetta 如何保护供应商的数据?

Avetta 受 EUSA 第 13 条所载保密条款的约束,并承诺按照 DPA 处理和保护供应商的个人数据。

Avetta 在技术、物理、管理和组织方面保持强大的控制能力,旨在维护受委托的机密信息(包括个人数据)的机密性、安全性和完整性,并已实施旨在检测、预防和应对攻击、入侵和系统故障的系统和程序,而且定期测试和监控该等系统和程序的有效性,包括但不限于通过漏洞扫描和渗透测试。Avetta 获得 ISO/IEC 27001:2013(信息安全管理系统(ISMS)标准)和 27701:2019(基于 ISO/IEC 27001 的隐私信息管理系统(PIMS))认证,以及 ISO/IEC 27017:2015(适用于云服务提供和使用的安全控制标准)、ISO/IEC 27018:2019(公共云中个人身份信息保护标准)和 ISO/IEC 22301:2019(业务连续性管理系统标准)认证,并接受年度 SOC 2 Type II 独立审计。

有关 Avetta 保护客户数据的组织和技术措施的更多信息,请参阅 DPA 附件 II。

8.Avetta 可能会向谁披露供应商的数据?

一般而言,Avetta 可能会向以下对象披露供应商的数据:

  • Avetta 集团关联公司和服务提供商/承包商(例如提供云托管服务的 AWS、集成到 Avetta 平台的第三方产品、提供 CRM 的 Salesforce、网络安全服务提供商以及在业务过程中使用的其他工具);
  • 如问题 3 所述,作为产品一部分的 Avetta 服务用户(一般访问数据允许 Avetta 平台上的用户访问,有限访问数据仅与供应商已连接的客户和主供应商(如有)共享);
  • 其他接收者,包括与并购活动有关的第三方和不以“同意”作为法律依据进行披露的各方(例如,Avetta 可能必须向执法机构披露供应商的数据)。

有关更多信息,请参阅我们的隐私政策第 6 条。

9.Avetta 是否出售任何供应商的数据?

Avetta 不会出售供应商在使用 Avetta 平台过程中向我们提交的任何数据。

但是,我们可能会出于广告目的在我们的一般网站(而非 Avetta 平台)上使用 Cookie 和类似技术,根据《2018 年加州消费者隐私法案》,这可能被视为“出售”或“共享”网站访问者的个人数据。尽管如此,我们不会为了金钱利益而“出售”任何个人数据。

10.某些 Avetta 服务会为客户提供 AskAva™ 访问权限,它是一款旨在生成工作站点安全建议的人工智能驱动工具。Avetta 是否会使用客户内容来训练 AskAva,此工具如何处理个人数据?

Avetta 不会使用任何客户内容来训练 AskAva。AskAva 由 OpenAI 提供支持。考虑到建议由人工智能生成,因此可能存在错误或不完整之处。

AskAva 的正确使用无需用户输入任何个人数据。我们不建议用户输入个人数据,因为这对于生成工作站点安全建议来说毫无必要。只有当用户有意提供该等数据时,个人数据才会与 OpenAI 共享以进行处理。

AskAva 的使用完全可选,如果您不希望 OpenAI 处理您的数据,则不应使用 AskAva。有关 OpenAI 如何处理数据的信息,请参阅 OpenAI 的 API 相关文件。

11.Avetta 在何处存储供应商的数据?

下表描述了 Avetta 处理和存储 SaaS 服务数据的服务器位置。一般而言,Avetta 会选择当地法律为个人隐私权提供更高级别保护的国家/地区的服务器。

Avetta 产品 客户位置(托管位置)
供应商合规产品包括但不限于 Avetta Connect® Health & Safety;ESG & Sustainability;Business Risk;以及 Avetta Transportation Safety - Motor Carrier Statistics Enterprise
  • 全球(德国)
  • 灾难恢复(爱尔兰)
Worker Management
  • 亚太地区(澳大利亚)
  • 除亚太地区以外的全球地区(德国)
Pegasus Workforce Management
  • 澳大利亚(澳大利亚)
  • 美国(美国)
  • 除澳大利亚和美国以外的全球地区(英国)

请注意,我们的非生产数据存储在加拿大。

12.个人数据是否会传输到数据主体所在的司法管辖区之外?

Avetta 的总部位于美国,Avetta 会与各种第三方供应商(处理者/子处理者)签订合同以提供服务。个人数据可能会传输到数据主体所在的司法管辖区之外。

13.Avetta 使用哪些跨境传输机制来传输数据?

当将个人数据从欧洲经济区或英国传输到其区域之外的其他国家或地区时,我们:

(i)确保处理个人数据的国家/地区已被欧盟委员会或英国视为“适当”(如适用);

(ii)为了从欧洲经济区或英国传输个人数据,在我们的合同中纳入欧盟委员会批准的标准合同条款(如适用),为了从英国传输个人数据,还纳入欧盟委员会标准合同条款的国际数据传输附录;或

(iii)依赖其他合法的机制或条件进行此类数据传输。

对于向美国传输数据,Avetta 选择自我认证,以遵守美国商务部管理的《欧盟-美国数据隐私框架》(“EU-US DPF”)、《欧盟-美国数据隐私框架英国扩展》(“UK Extension”)以及《瑞士-美国数据隐私框架》(“Swiss-US DPF”以及“EU-US DPF”和“UK Extension”、“DPF”)。欧盟委员会发布了关于 EU-US DPF 的充分性认定,确认美国能够根据该框架为从欧盟传输至美国公司的个人数据提供与欧盟相当的充分保护。同样,英国当局也认定,当英国数据主体的数据传输到美国时,UK Extension 不会削弱数据保护水平,因此通过 UK Extension 与美国建立英美数据桥。作为 DPF 计划的参与者,Avetta 承诺在处理个人数据时遵守 DPF 的通知、选择、再传输责任、安全、数据完整性和目的限制、访问和追索、执行和责任的原则。有关更多信息,请参阅我们的《数据隐私框架声明》(可在此处查阅)。

如果适用的数据保护法律规定了额外的要求或修改了现有的跨境数据传输机制,我们将采取适当措施,包括与我们的客户合作,实施要求或更新传输机制,以使数据主体的个人数据能够合法传输到其所在国境外。

有关更多信息,请参阅 DPA 第 7 条。

14.Avetta 如何遵守 GDPR 和其他适用的数据保护法?

作为在多个司法管辖区开展业务的组织,Avetta 需遵守一系列数据保护法律(如 GDPR、UK GDPR、CCPA、PIPEDA 和《1988 年澳大利亚隐私法》)。我们的隐私计划以 GDPR 要求为基础。为进一步满足全球合规要求,我们采用了以下方法:首先,我们确定适用数据保护法律的共同要求,找出差距并实施解决方案,以满足共同要求。然后,我们分析差异,并评估定制计划以满足当地要求或在所有司法管辖区实施这些要求的必要性。

一般而言,我们遵守的数据隐私原则要求个人数据:

  • 以合法、公平和透明的方式处理(合法性、公平性和透明性);
  • 仅出于特定、明确和合法目的收集(目的限制);
  • 充分、相关且仅限于与处理目的相关的必要信息(数据最小化);
  • 在个人数据的整个生命周期内保持准确并在必要时保持最新(准确性);
  • 以允许识别数据主体的形式保留数据的时间不得超过处理数据的目的所需的时间(存储限制);
  • 处理方式确保个人数据安全性,采用适当的技术和组织措施,以防范未经授权或非法处理,防止意外丢失、毁坏或损坏(安全性、完整性和保密性);
  • 在缺乏适当保护措施的情况下,不得向另一个国家/地区传输(传输限制);
  • 可提供给数据主体,并允许数据主体行使关于个人数据的某些权利(数据主体的权利和要求)。

15.哪些条款管辖 Avetta 与供应商之间的关系?

Avetta 与供应商之间的合同关系受以下条款管辖:

有关 Avetta 隐私和安全计划的更多信息,请访问我们的法律信息页面。Avetta 持续评估其隐私和安全计划的有效性,并致力于监控和实施法律、市场或实践发展引起的适当或必要变更。