面向供应商的智能表格

隐私和安全实践是Smartsheet业务模式的核心，对于我们与客户建立的信任至关重要。我们希望我们的服务提供商、供应商、业务合作伙伴以及向我们提供商品、产品或服务的任何其他实体(“供应商”)对隐私和安全做出类似承诺。ob欧宝娱乐app手机下载本“期望”文件的目的是建立我们期望供应商在为Smartsheet提供“服务”(即专业或咨询服务、云软件服务、软件许可或提供其他商品、产品或任何类型的服务)或“处理”Smartsheet信息(根据适用的数据保护法定义)时遵守的最低信息安全和数据隐私标准。ob欧宝娱乐app手机下载

最低的期望

向个人发出通知

供应商应通知个人(即任何已识别或可识别的自然人)其隐私实践，并在适用于其业务实践的情况下，指派一名数据保护官(如GDPR中的定义)。至少，对个人的通知必须包括:

• 所收集的个人资料类别的说明;

• 供应商收集和存储个人数据的目的;

• 供应商使用个人数据的方式说明;

• 与公司共享个人数据的第三方的类型或身份，以及这样做的目的;

• 通知个人对其个人资料拥有合法权利(包括查阅、删除、反对、更正等)，以及他们行使该等权利的选择，包括限制其个人资料的使用和披露;

• 任何查询或投诉的联络资料，包括欧盟内任何可回应个别查询或投诉的有关机构;而且

• 向客户发出通知，告知其可能援引有约束力的仲裁和/或通知主管数据保护机构。

为数据主体提供选择

供应商应让个人有机会选择个人数据是否(i)将被披露给第三方，或(ii)用于最初收集或随后授权的目的以外的目的。

后续数据转移的问责制

供应商应仅向代表供应商执行任务并根据供应商指示执行任务的服务提供商提供Smartsheet信息，且仅当此类服务提供商承担保密、安全和数据隐私义务时，此类义务与供应商对Smartsheet的义务基本类似。其他供应商应在披露任何Smartsheet信息之前通知Smartsheet任何此类服务提供商。

供应商应仅根据其公开发布的隐私通知转移、披露或共享个人数据。

安全

供应商应实施和维护管理、技术和物理安全措施，以保护Smartsheet信息免遭丢失、误用、未经授权的访问、泄露、更改和破坏。适当的管理、技术和物理保障措施必须确保与风险相适应的安全级别。保障措施的例子包括:

• 管理保障:只允许有业务需要的人员访问系统;根据角色评估人员访问级别。

• 技术保障:要求所有员工离开办公桌时将电脑锁上;在安全的网络上存储信息，并有防火墙保护;在允许访问电子信息系统之前，需要通过密码进行用户身份验证。

• 物理防护:将包含数据的文件存储在安全的机柜或房间中;确保包含客户信息的文件不放在桌子上或其他可能被未授权访问数据的个人看到的位置。

数据完整性和目的限制

Smartsheet信息的处理应限于收集信息的目的(例如，履行合同承诺)，这可能包括提供服务或兼容的目的(例如，客户关系、合规和法律考虑、审计、安全和欺诈预防，或维护或捍卫法律权利)。

Smartsheet信息的收集、使用、披露、传输、存储和/或处置应根据数据最小化或最少特权原则，限制在特定商业目的所必需的范围内。供应商应仅在存在有效需求的情况下使用智能表信息，包括个人数据。这意味着限制收集/使用数据的范围以及物理和电子副本的数量;以及数据的保留期。这种目的限制应反映:

• 数据收集:供应商应仅收集适合特定、预期和授权用途的智能纸信息和个人数据。供应商应采用并告知其员工数据收集政策，并考虑到以下规则:

1. 只收集准确的个人资料;

2. 随时更新个人资料;而且

3. 收集个人资料只用于对个人透明的公平和合法目的。

• 授权使用:为了访问、使用、传输、处理或接收个人数据，供应商人员应在法律、法规、客户协议和内部政策的允许下这样做，并且有合法的“需要知道”个人数据。该授权仅扩展到为执行服务的目的而合法地“需要知道”的特定数据。

• 向第三方披露:供应商应仅在法律法规允许的情况下，并根据客户协议与第三方共享个人数据。不允许向任何第三方披露其他信息。

• 下载个人数据:Smartsheet信息不应下载或存储在任何个人设备或不受供应商控制的任何其他设备上。

• 数据存储:供应商应仅根据(i)供应商与Smartsheet之间的合同以及(ii)供应商的内部政策(例如，数据保留和灾难恢复政策)在必要时存储Smartsheet信息。

• 数据传输:供应商不应在没有确保适当的安全控制到位的情况下传输(例如通过邮件、传真、电子邮件、即时消息等)Smartsheet信息。供应商不应该将这些数据传输给任何不需要这些信息的人。应该注意确保电子邮件只发送给预定的收件人。

• 处理:供应商应根据其数据保留政策和Smartsheet与供应商之间的书面合同处理Smartsheet信息。

访问

Smartsheet相信个人有权(i)知道供应商存储和/或使用关于他们的哪些个人数据，以及(ii)在他们认为合适的情况下更正、修改或删除该个人数据，除非:(i)提供访问的负担或费用与个人隐私的风险不成比例，或(ii)个人以外的其他人的权利将受到侵犯。

追索权、强制执行和责任

供应商应负责有关其隐私实践的任何询问或投诉，并应向个人提供提交此类询问和投诉的机制。如果个人无法与供应商解决问题，供应商应提供一种机制，让个人调用有约束力的仲裁和/或通知主管数据保护机构。

如果任何供应商收到代表Smartsheet的询问或投诉，供应商应立即通过privacy@smartsheet.com将该询问或投诉转发给Smartsheet

员工培训及制裁

供应商应仅授权其员工、承包商或代理处理Smartsheet信息，而这些员工、承包商和代理必须保密或有适当的法定保密义务。供应商应对违反这些期望的任何此类员工、承包商和代理商进行纪律处分。

安全事件和Smartsheet信息泄露

发现违约

供应商应立即通知Smartsheet，并且在任何情况下，在二十四(24)小时内，如果他们发现或怀疑存在任何“安全事件”，包括任何(i)丢失、滥用或未经授权的访问、使用、披露、修改、处理、披露或破坏Smartsheet信息，(ii)对访问Smartsheet信息的信息系统(无论是供应商的还是Smartsheet的)的系统操作的干扰，或(iii)损害智能表信息的安全性、保密性或完整性的任何其他作为或不作为。通知应通过电子邮件发送到Smartsheet privacy@smartsheet.com。

违反调查

供应商应管理任何安全事件的调查和缓解，并酌情与Smartsheet协调，以确保安全事件已得到补救，不会再次发生。

对潜在客户开发或行为广告公司和活动协调/策划公司的额外期望

铅生产公司

供应商应确保提供给Smartsheet的任何个人数据都是根据适用的数据保护法合法收集的，并且已获得任何必要的同意并提供通知，包括就进一步向Smartsheet转移个人数据通知个人。此外，供应商应负责确保他们有合法依据将个人资料转移至Smartsheet。

行为广告公司

Smartsheet将只与提供退出基于兴趣的广告的广告网络合作，例如那些遵循以下原则的网络国家广告计划，数字广告联盟和/或欧洲互动数字广告联盟。

活动协调和策划公司

供应商应确保所有活动参与协调和规划、通信、网站、注册网站、邀请函、材料分发、网络研讨会录音、照片和潜在客户产生机制都符合Smartsheet在数据收集、同意和通知方面的法律和隐私要求。任何个人信息的收集必须按照适用的数据保护法合法收集，并且已经获得任何必要的同意并提供通知，包括通知个人进一步将个人数据转移到Smartsheet。供应商还将确保活动后的任何后续沟通和活动材料的分发符合Smartsheet的营销和隐私要求。

定义

“适用的数据保护法律”是指，就适用于一方而言，任何国家关于个人数据处理的数据保护或隐私法律。

“个人数据”指与已识别或可识别自然人有关的任何信息;可识别自然人是指可以直接或间接识别的自然人，特别是通过参考一个标识符，如姓名、识别号码、位置数据、在线标识符，或参考该自然人的身体、生理、遗传、精神、经济、文化或社会身份的一个或多个特定因素。为澄清起见，个人数据包括但不限于个人姓名、电子邮件地址和IP地址等联系信息。

“Smartsheet信息”是由供应商或其代表获取的有关Smartsheet、其业务(包括法律、财务和合规信息)或其员工、客户、最终用户、合作伙伴或供应商的任何和所有数据。

关于这些期望的进一步问题

任何其他问题，应直接向Smartsheet的隐私团队privacy@smartsheet.com．