数据保护计划

以下条款适用于 Epiq eDiscovery Solutions, Inc 及其关联公司（统称为"Epiq"）和根据由 Epiq 和客户签署的 Epiq 法律解决方案主服务协议中确定的客户。

除非本文另有明确规定，否则在本计划中将适用 Epiq 法律解决方案主服务协议中列出的定义术语。

以下定义的术语适用于此数据保护计划：

"客户数据" 指交付给 Epiq 用于提供服务的原始数据的副本。

"数据控制者" 指确定个人数据的处理目的和方式的人（无论是单独还是与其他人共同或共同）。

"数据处理者"，在个人数据方面，指代表数据控制者处理数据的任何人（除了数据控制者的员工）。

"数据保护法" 指（i）欧洲数据保护法律；（ii）英国数据保护法律；（iii）CCPA；（iii）在适用范围内，包含有关个人数据处理的任何其他国家的法律、法规和行业建议的规定，包括但不限于个人数据的安全要求和自由流动；以及（iv）在上述（i）、（ii）或（iii）部分下颁布的任何法律、法规和规则。

"数据主体同意" 指根据适用法律要求，每个必要人员（无论是个人还是实体）的书面授权，批准 Epiq 收集或使用其控制下所有数据或信息，仅在 Epiq 提供服务所必需的范围内。

"欧洲数据保护法" 指欧洲议会和理事会的《欧盟一般数据保护条例》2016/679（“GDPR”）及其实施或补充 GDPR 的法律，连同关于隐私和电子通信的指令 2002/58 和其他适用于欧洲经济区的时间内的数据保护或隐私立法；

"原始数据" 指客户所有数据和材料的原始版本。

"处理" 和 “处理” 分别指与信息或数据相关的任何操作或一系列操作，包括：（a）对信息或数据的组织、调整或更改；（b）检索、查阅或使用信息或数据；（c）通过传输、传播或以其他方式提供信息或数据的披露；或（d）对信息或数据的对齐、组合、阻止、删除或销毁。

"SCCs" 的意思是：

1. 个人数据转移至第三方国家设立的处理器的标准合同条款（处理器），这些国家未提供与欧盟委员会2010/87/EC决定中规定的充分保护水平相符的条款，这些条款将由欧洲委员会不时修订、更新或替换；
2. 与英国相关的标准合同条款，具体包括：
   1. 根据英国 GDPR 第 46(2)(c) 条款规定的法规；或
   2. 根据英国 GDPR 第 46(2)(d) 条款颁发的文件（未撤回）；或
3. 根据监管机构不时要求的任何转移使用的其他一套合同条款或其他类似机制，该类机制经监管机构或数据保护法批准用于转移，该机制将不时由各监管机构或数据保护法更新、替换或取代。

"Supervisory Authority" 的意思是：

1. 由成员国根据 GDPR/英国 GDPR 第 51 条成立的独立公共机构；以及
2. 负责执行数据保护法规的任何类似监管机构。

"UK 数据保护法" 指英国 GDPR，以及2018年数据保护法、《隐私和电子通信（欧盟指令）条例》2003年（经修订）、2019年《数据保护、隐私和电子通信（修订等）（欧盟退出）法规》和英国不时生效的其他数据保护或隐私立法；

"UK GDPR" 指根据2018年欧盟（退出）法第3条的规定转换为英国国家法律的 GDPR，并随后由2019年《数据保护、隐私和电子通信（修订等）（欧盟退出）法规》修订的 GDPR。

除本文另有明确规定外，"Controller"、"Processor"、"Personal Data"、"Data Subject"、"Personal Data Breach" 和 "Processing" 与数据保护法规中的含义相同，"Processed" 和 "Process" 将根据 "Processing" 的定义进行解释。

1. 双方同意，Epiq作为数据处理器代表客户（作为数据控制器）处理个人数据。
2. 在服务涉及任何个人数据处理的范围内，Epiq应始终按照数据保护法律处理个人数据，并遵守适用于处理器的所有义务，根据这些法律，并应：
   1. 除非Epiq受到适用法律的规定，否则不得处理客户个人数据，此种情况下，Epiq应在处理前告知客户有关法律要求，除非法律禁止在重要的公共利益方面提供此类信息；
   2. 维护为客户开展的所有处理活动的记录。此类记录应包括：
      1. Epiq的名称和联系方式，以及客户的名称和联系方式；
      2. 代表客户开展的处理类别；
      3. 如适用，客户个人数据转移至第三国的详细信息，包括该第三国或国际组织的身份识别和Epiq已采取的保障措施记录，以确保转移符合数据保护法律的规定；
      4. Epiq已实施的技术、组织和安全措施的详细信息，以确保客户个人数据的安全。
   3. 在客户要求时，Epiq应在收到此类请求后的四十八（48）小时内向客户提供上述处理记录；
   4. 仅在与服务相关的合理范围内处理此类个人数据；
   5. 实施并维护适当的技术和组织措施，以防止未经授权或非法处理此类个人数据，包括聘用可靠员工和实施适当的安全措施，以确保与风险相适应的安全水平，根据GDPR/UKGDPR的第32条或其他任何数据保护法律中的类似规定；
   6. 在收到请求后，合理迅速地将有关个人数据的详细信息请求或访问请求转交给客户，并不会自行回答此类请求；
   7. 在收到客户的书面请求后，合理迅速地为客户提供合理的协助，以允许客户就相关请求作出响应，每次仅与Epiq对客户个人数据的处理有关，并考虑到处理的性质和Epiq可获取的信息；
   8. 采取合理步骤确保其员工、代理人和/或承包商的可靠性，这些员工、代理人和/或承包商将能够访问个人数据，并确保任何此类员工、代理人和/或承包商在合同上被要求保持个人数据的保密性；
   9. 如果Epiq发现任何个人数据的意外或非法销毁、丢失、更改、未经授权的披露或访问，并在调查和减轻任何此类数据泄露影响方面为客户提供所有合理的协助。Epiq还将在关于向相关数据保护当局和受影响数据主体提供充分通知的义务方面为客户提供所有合理的协助；不超过一年一次，提前至少三十（30）天书面通知Epiq并在正常工作时间内，允许客户的代表进入Epiq拥有或控制的提供服务的任何相关场所，检查按照本协议执行和符合的措施、程序和程序。Epiq还将根据客户的合理请求提供所有必要的信息，以证明符合本协议的规定；
   10. 在协议终止后，无论因何种原因，根据客户的指示和费用，立即将所有个人数据及其所有副本归还给客户，将个人数据转移给客户指定的第三方，保留个人数据以换取费用，或者如果客户未在此提供任何指示，则按照第4节（终止的影响；继续提供服务）中规定的方式销毁所有副本，并向客户证明已执行，除非Epiq根据其国家法律、内部政策或地方监管机构的要求而无法销毁或归还全部或部分数据，在这种情况下，数据将被保密，并且不会被用于任何目的；并
3. 不得外包任何个人数据的处理，或以其他方式将个人数据透露给任何第三方，除非本协议明确允许或客户书面许可。

Epiq仅会为客户提供或允许个人信息访问的服务而收集、使用、保留或披露个人信息。Epiq不会以不符合CCPA或数据保护法律的方式，为自身的商业目的收集、使用、保留、披露、出售、共享或以其他方式提供个人信息。如果法律要求Epiq出于与合同服务无关的目的披露个人信息，则Epiq必须首先通知客户该法律要求，并给予客户反对或挑战要求的机会，除非法律禁止提供通知。Epiq不会将客户数据中的任何个人信息与Epiq从任何其他人或实体（非客户或其员工（或代表客户或其员工行事的第三方）或Epiq与数据主体的互动中收集的任何个人信息）收到的任何个人信息结合，也不会与其自身收集的任何个人信息相结合。Epiq将遵守适用的数据保护法律，并为个人信息提供与适用数据保护法律所要求的相同保护水平。如果Epiq确定无法再满足其遵守适用数据保护法律的义务，则应立即通知客户。Epiq承认客户有权采取合理和适当的措施，以确保Epiq按照适用的数据保护法律以一致的方式处理个人信息，包括但不限于，收到通知后停止和纠正任何未经授权的处理。

客户应确保其在所有个人数据方面完全遵守适用的数据保护法律，并向Epiq陈述并保证，在将任何个人数据转移或提供给Epiq时，（a）其有合法能力转移或提供此类个人数据，和（b）其已经从相关数据主体（包括数据主体同意）那里获得了所有必要的同意。

客户陈述并保证：（a）根据本协议的条款向服务提供商提供客户数据，以及根据本协议的条款由服务提供商处理客户数据，不会导致服务提供商违反适用于客户数据的任何数据保护法律；（b）将根据所有相关的数据保护法律积累和收集所有客户数据；和（c）将为服务提供商收集任何数据（如相关），并与所有其他客户数据、相关硬件和软件一起使用提供服务获得数据主体同意。双方同意，如果客户数据可能在欧洲经济区和美国以外的地方进行处理，则相关方可以就从客户向承包处理器（或进一步转移）的任何此类转移签订SCCs。SCCs生效的时间为（i）数据出口方成为其一方；（ii）数据进口方成为其一方；和（iii）SCCs所涉及的相关转移的开始时间中的较晚者。如果在任何时候，监管当局或有管辖权的法院要求从欧洲经济区或英国的控制者向位于欧洲经济区或英国以外的处理者的转移必须受到额外保障（包括但不限于技术和组织措施），则双方将诚信合作，共同实施这些保障，并确保对客户个人数据的任何转移都是在享有这些额外保障的情况下进行的。