隐私中心

几个MongoDB Atlas特性支持遵守全球数据保护法，例如

• 强大的技术和组织措施来保护个人数据，默认启用并定期进行外部测试和验证；
• 在必要时，可以轻松检索或删除上传到Atlas的数据，以响应数据主体请求（DSR），而无需依赖MongoDB的帮助；
• 控制哪些云服务提供商（AWS、Microsoft Azure或Google Cloud）将托管Atlas中存储的敏感数据，并能够选择云服务提供商的部署区域。

MongoDB设有数据保护官（DPO）、首席信息安全官（CISO）以及专门的隐私和安全团队，负责监督MongoDB在代表客户处理个人数据时遵守GDPR和其他适用的隐私法律。

有关我们如何通过强大的技术控制、合规性、组织标准和流程来保护您的数据并确保安全的更多信息，请访问MongoDB信任中心.

我们的 DPA 覆盖了我们作为“数据处理者”处理的任何客户个人数据，正如 GDPR 下的定义。我们作为数据处理者处理客户上传到我们云服务（如 MongoDB Atlas 数据库中存储的个人数据）的任何个人数据。默认情况下，MongoDB 无法查看客户上传到我们云服务的个人数据的性质或类别。因此，我们的 DPA 包含了处理详细信息的广泛描述，以涵盖任何客户用例。

MongoDB 的 DPA 不涵盖我们作为数据控制器处理的个人数据。根据 GDPR，我们在以下情况下作为数据控制器处理个人数据：（i）创建和管理账户（例如，客户用户名、联系信息或账单信息）；以及（ii）提供任何其他客户服务功能或支持。MongoDB 的 隐私政策 覆盖了我们作为数据控制器处理的任何客户个人数据。

客户可以检索、更正或删除他们上传到 MongoDB 云服务（如 MongoDB Atlas）的任何个人数据。除非客户需要技术支持，否则无需 MongoDB 的协助即可遵守 DSRs。

请参阅第 5 节。MongoDB 数据处理协议 了解我们如何帮助客户遵守DSR的更多信息。

如果您希望MongoDB删除我们持有的任何关于您的个人信息，请在此提交请求。

为了行使您作为数据主体可能享有的其他权利，请向[email protected]提交您的请求。

作为数据处理器，MongoDB不选择客户个人数据存储的物理地理位置。相反，使用MongoDB云服务（如MongoDB Atlas）的客户必须选择他们偏好的数据托管区域，以及他们偏好的云服务提供商（亚马逊网络服务、微软Azure或谷歌云）。MongoDB Atlas文档中提供了更多关于云提供商和区域.

有关MongoDB作为数据处理器时的更多信息，请参见上述第2.2节。

如第4.1节所述，客户选择将任何上传到MongoDB云服务的个人数据托管的地域。客户同样控制任何在更改指定托管位置时发生的数据传输。

使用某些云服务的可选功能可能会导致客户查询日志中捕获的个人数据片段在客户指定的托管区域之外传输。例如，MongoDB 24小时“随太阳而行”的支持团队的参与可能导致数据被传输到以下一个或多个地区的MongoDB关联公司：美国、爱尔兰、加拿大、澳大利亚、以色列、法国、印度、意大利、西班牙、波兰、德国、英国、新加坡或巴西。MongoDB Atlas中的其他可选工具需要客户查询日志数据通过我们位于美国的服务器传输。由于我们的云服务和功能不断演变，客户应联系MongoDB的销售代表以获取数据传输发生的最新信息。

MongoDB Atlas客户根据欧洲数据保护委员会2020年1月建议（于2021年6月18日通过）采取以下补充措施：

• 技术措施，使客户能够
  • 防止所有MongoDB人员（包括特权用户）访问客户的Atlas集群（有关更多信息，请参阅我们技术及组织安全措施的第4.2.2节）；
  • 使用可查询加密（可查询加密）或客户端字段级加密（客户端字段级加密），在Atlas集群中加密敏感数据，确保没有MongoDB员工（或第三方）能够以未加密的形式访问这些数据字段（有关更多信息，请参阅我们《技术及组织安全措施》的第3.2.3节）。
• 合同措施，要求MongoDB在收到政府要求获取客户个人数据的通知时通知客户，除非客户通知被禁止（有关更多信息，请参阅我们《数据加工协议》的第6节）；以及
• 组织措施，例如：（i）MongoDB的数据保护官（DPO）和隐私团队参与所有国际数据传输事项，包括任何政府获取客户个人数据的要求；（ii）根据严格的需要知道原则，配置我们的内部系统；以及（iii）遵守我们SOC 2 Type II、ISO 27001、PCI-DSS和HIPAA认证所要求的最先进的数据安全政策（有关我们认证和评估的完整列表，请参阅此处）。