低角度影像:一位男性商务人士和一位女性商务人士面对面站着

隐私和数据保护

了解 SAP 如何保护和尊重个人隐私权。

隐私和数据保护

SAP 尊重个人隐私。我们制定相关政策并签订数据处理协议,确保遵守全球各地的相关法律。

placeholder

十月是网络安全月份

了解您的企业如何受 SAP Global Security 的保护

访问更多支持文档

供具有有效 SAP 用户 ID 的 SAP 客户和合作伙伴查阅。

placeholder
SAP Trust Center

作为客户支持门户,SAP Trust Center 扩充了公共资源,支持用户访问原本只对拥有有效 SAP 用户 ID 的 SAP 客户和合作伙伴开放的其他文档。

  • 查看 SAP 的分处理方名单
  • 了解针对 SAP 产品、云服务、专业服务和支持的隐私和数据保护

placeholder
数据保护协议修订版自助签名服务

SAP 客户可以选择签署数据保护协议修订版,该版本新增了标准合同条款。这项自助签名服务支持多种语言,供具有有效 SAP 用户 ID 的 SAP 客户使用。如需了解有关该服务的更多信息,请参阅常见问题解答文档

免责声明:请注意,仅欧盟客户可以使用预先签署的数据保护协议修订版。所提供的数据保护协议修订版必须由获得相关授权的人员签署。

隐私和数据保护常见问题解答

常见问题解答

作为 B2B 企业应用提供商,SAP 很少收到政府机构或类似单位(以下简称“请求方”)提出的相关请求,要求 SAP 生成或披露包含客户数据的信息(以下简称“请求”)。如果收到此类请求,SAP 会无一例外地告知请求方:SAP 客户云系统中存储的所有客户数据均为客户而非 SAP 所有,并且此类数据属于机密信息,按照合同规定的义务,SAP 必须事先将请求告知客户,让客户能够自行决定同意或提出反对并寻求相应的保护令,在此之前 SAP 不能亦不会为请求方生成或披露任何此类信息。

 

如果请求方禁止 SAP 将该请求告知客户,SAP 将对请求的有效性和合法性提出质疑。如果管辖法院作出裁决,强制 SAP 在不事先通知客户的情况下执行请求,则 SAP 将在一切可行的法律范围内,依据现行适用的法律并基于良好的诚信基础,对该裁决提出质疑。如果没有可行的法律措施,或者 SAP 未能成功对裁决提起上诉,SAP 将尽一切合理努力,将请求内容缩减到适用法律允许的范围,然后再执行请求。

SAP 会仔细评估分处理方的安全、隐私以及保密工作方面的表现,再决定是否继续与其合作。SAP 的所有分处理方都需要与 SAP 签订包含数据隐私和安全条款的书面协议。此外,SAP 还会提供按 SAP 产品或服务分类的分处理方名单,客户可以随时在 SAP Trust Center 网站上自助访问名单。这些名单按照 SAP 产品和服务分类,详细列出了每家分处理方所在的国家或地区以及具体位置。客户可以订阅分处理方名单,这样就可以在名单变更时收到电子邮件通知。

至于是否进行数据保护影响评估 (DPIA) 或数据传输影响评估 (TIA),由个人数据的控制方自行决定。SAP 仅出于为客户提供产品和服务的需要,充当数据处理方的角色。但是,SAP 将在必要时与客户合作,为客户提供所需信息,协助客户完成 DPIA 和 TIA。

欧洲数据保护委员会 (EDPB) 发布的最终建议在数据传输工具之外提出了一系列补充措施,旨在确保企业遵守欧盟级个人数据保护要求。这些补充措施的宗旨是确保数据传输保护机制(如标准合同条款)能够提供基本等效的数据保护。

 

在欧洲数据保护委员会提出的建议中,他们将补充措施分成三组,分别是技术性措施、组织性措施和合约性措施。SAP 实施了适当的技术性措施和组织性措施来保护个人数据,防范未经授权的数据处理以及意外的数据泄露、访问、丢失、损毁或篡改。

 

SAP 实施了相关的管控措施、保护政策以及各项程序(详细内容请访问 SAP Trust Center 网站,查看数据保护协议中的技术性措施和组织性措施)。此外,SAP 还按照数据保护协议中的规定,持有多个符合行业标准的第三方认证和审计报告,客户可以随时登录 SAP Trust Center 网站,自助请求访问这些内容。

 

欧洲数据保护委员会指南还指出,企业需要在合同中承诺提供相关明确信息,比如数据处理地点、适用的法律、政府的数据需求等。针对这些要求,SAP 在现有数据保护协议中作出了相关规定,新版协议则将要求进一步提高。

如果 SAP 在向客户提供产品和服务时,需要将欧盟/欧洲经济区的个人数据跨境传输至“第三国/地区”(例如,根据《通用数据保护条例》(GDPR) 第 45 条规定,未得到欧盟/欧洲经济区认可、数据保护能力不足的特定国家、地区或组织),SAP 将按照欧盟委员会发布的标准合同条款,依法传输这些数据。

常见问题解答

作为 B2B 企业应用提供商,SAP 很少收到政府机构或类似单位(以下简称“请求方”)提出的相关请求,要求 SAP 生成或披露包含客户数据的信息(以下简称“请求”)。如果收到此类请求,SAP 会无一例外地告知请求方:SAP 客户云系统中存储的所有客户数据均为客户而非 SAP 所有,并且此类数据属于机密信息,按照合同规定的义务,SAP 必须事先将请求告知客户,让客户能够自行决定同意或提出反对并寻求相应的保护令,在此之前 SAP 不能亦不会为请求方生成或披露任何此类信息。

 

如果请求方禁止 SAP 将该请求告知客户,SAP 将对请求的有效性和合法性提出质疑。如果管辖法院作出裁决,强制 SAP 在不事先通知客户的情况下执行请求,则 SAP 将在一切可行的法律范围内,依据现行适用的法律并基于良好的诚信基础,对该裁决提出质疑。如果没有可行的法律措施,或者 SAP 未能成功对裁决提起上诉,SAP 将尽一切合理努力,将请求内容缩减到适用法律允许的范围,然后再执行请求。

SAP 会仔细评估分处理方的安全、隐私以及保密工作方面的表现,再决定是否继续与其合作。SAP 的所有分处理方都需要与 SAP 签订包含数据隐私和安全条款的书面协议。此外,SAP 还会提供按 SAP 产品或服务分类的分处理方名单,客户可以随时在 SAP Trust Center 网站上自助访问名单。这些名单按照 SAP 产品和服务分类,详细列出了每家分处理方所在的国家或地区以及具体位置。客户可以订阅分处理方名单,这样就可以在名单变更时收到电子邮件通知。

至于是否进行数据保护影响评估 (DPIA) 或数据传输影响评估 (TIA),由个人数据的控制方自行决定。SAP 仅出于为客户提供产品和服务的需要,充当数据处理方的角色。但是,SAP 将在必要时与客户合作,为客户提供所需信息,协助客户完成 DPIA 和 TIA。

欧洲数据保护委员会 (EDPB) 发布的最终建议在数据传输工具之外提出了一系列补充措施,旨在确保企业遵守欧盟级个人数据保护要求。这些补充措施的宗旨是确保数据传输保护机制(如标准合同条款)能够提供基本等效的数据保护。

 

在欧洲数据保护委员会提出的建议中,他们将补充措施分成三组,分别是技术性措施、组织性措施和合约性措施。SAP 实施了适当的技术性措施和组织性措施来保护个人数据,防范未经授权的数据处理以及意外的数据泄露、访问、丢失、损毁或篡改。

 

SAP 实施了相关的管控措施、保护政策以及各项程序(详细内容请访问 SAP Trust Center 网站,查看数据保护协议中的技术性措施和组织性措施)。此外,SAP 还按照数据保护协议中的规定,持有多个符合行业标准的第三方认证和审计报告,客户可以随时登录 SAP Trust Center 网站,自助请求访问这些内容。

 

欧洲数据保护委员会指南还指出,企业需要在合同中承诺提供相关明确信息,比如数据处理地点、适用的法律、政府的数据需求等。针对这些要求,SAP 在现有数据保护协议中作出了相关规定,新版协议则将要求进一步提高。

如果 SAP 在向客户提供产品和服务时,需要将欧盟/欧洲经济区的个人数据跨境传输至“第三国/地区”(例如,根据《通用数据保护条例》(GDPR) 第 45 条规定,未得到欧盟/欧洲经济区认可、数据保护能力不足的特定国家、地区或组织),SAP 将按照欧盟委员会发布的标准合同条款,依法传输这些数据。