数据隐私定位声明 - Metal
本文件的目的
本文件提供有关 Equinix 作为一家全球性组织,如何在 Equinix Metal 的范围内管理其数据隐私法律义务的合规性的信息。
本文件仅供参考,不构成法律建议。
对于本定位声明未涵盖的产品和服务,请访问信任与透明度页面。
Equinix 作为个人数据处理者
在提供Equinix Metal的过程中, Equinix作为客户个人数据处理者的角色有限(“处理者”一词的定义见《通用数据保护条例》(GDPR) 第 4(8) 条)。Equinix 对客户上传到Equinix Metal 的任何数据(包括任何潜在的个人数据)均无逻辑访问权限。但是, Equinix会在Equinix Equinix Metal的生命周期内执行定义的自动化操作; Equinix Metal在设备取消配置时使用行业标准硬盘擦除例程,这是对符合处理者定义的数据的有限操作。
Equinix 作为个人数据的控制者
除了作为 Equinix Metal 处理者对个人数据进行有限的处理外,Equinix 还作为控制者处理某些个人数据。具体而言,Equinix 处理
- 用于管理客户关系(例如电子邮件通信、账单等)的客户代表的姓名和业务联系信息 (BCI);以及
- 这些数据包括姓名和 BCI 以及个人生物识别数据,目的是允许客户代表安全访问其数据中心。
Equinix 遵守适用数据隐私法律规定的与这些处理活动有关的义务,这些活动由 Equinix 的隐私声明及隐私政策涵盖。
Equinix 的数据处理协议 (DPA)
就其作为Equinix Metal处理者的角色而言, Equinix使用数据处理协议 (DPA)。Equinix Equinix Metal DPA 可作为客户与Equinix之间就提供Equinix Metal服务而签订的数字服务协议的一部分。DPA 的副本可在信任与透明度页面上查看。
Equinix 对子处理器的使用
与大多数供应商一样, Equinix也使用某些值得信赖的第三方来帮助其提供Equinix Metal。这些第三方同样可以作为“子处理者”对客户个人数据进行有限的处理。
协助客户履行数据隐私义务
作为控制者,客户可能被要求遵守与通过 Equinix Metal 处理的个人数据有关的某些数据隐私义务。例如,提供对个人数据的访问、修改或删除(无论是应数据主体的要求还是出于其他原因)。
考虑到 Equinix Metal 所执行处理的性质,尤其是其缺乏对客户个人数据的逻辑访问权限,Equinix 所能提供的帮助必然有限。在几乎所有情况下,客户最好使用 Equinix Metal 内置的功能和工具来执行任何所需的操作,如删除 Equinix Metal 服务器上的所有客户数据。
客户与 Equinix 之间受限制的国际转账
在 Equinix 可能作为数据处理者对 Equinix Metal 服务器进行解配的有限方式中,不得以任何形式对删除的任何客户个人数据进行国际转移。
在客户与 Equinix 之间有限制地进行个人数据国际转移的情况下,DPA 纳入了 2021 年欧盟委员会标准合同条款以及英国标准合同条款附录,根据 GDPR 第 46 条规定了适当的保障措施。
Equinix 与第三方之间受限制的国际转账
Equinix 可能会使用次级处理商来帮助其交付 Equinix Metal。在使用此类次级处理商的情况下,这些次级处理商也可能在欧洲经济区、英国或瑞士以外的地区处理数据。
在这些情况下,Equinix 将按照适用的隐私法律的要求,与次级处理者签订适当的保障措施,如标准合同条款 (Standard Contractual Clauses)。对于 Equinix 作为控制方的 Equinix 实体之间的个人数据转移,Equinix 已采用经荷兰和英国监管机构批准的《有约束力的公司规则》(BCRs),如果 BCRs 未涵盖转移,则会签订《标准合约条款》(Standard Contractual Clauses)。