JFrog云数据处理附录

最后更新:2023年1月1日

图标下载下载德通社

2021年6月4日,欧盟委员会发布了一套新的标准合同条款(“SCCs”)。如果您和JFrog已经签订了引用以前scc的协议,它们将被下面附录2中可用的新scc所取代。所有其他商业和隐私条款将保持不变。如果您有进一步的问题,请联系compliance@www.si-fil.com。

JFrog云数据处理附录(“德通社)构成JFrog云条款和条件可以在//www.si-fil.com/cloud-terms-and-conditions/或由JFrog与客户(“协议”)。双方应被称为“”。本协议中未定义的任何大写术语的含义与本协议中赋予其的含义相同。到了JFrog ("JFrog”、“处理器或"服务提供者")代表客户处理任何个人资料("客户”、“控制器或"业务”)就JFrog平台而言,本DPA的规定应适用。

  1. 定义
  2. 处理详情
  3. 披露个人资料
  4. 个人资料的处理
  5. 与加州相关的个人数据处理
  6. 限制转移
  7. 安全责任
  8. 安全漏洞
  9. SUB-PROCESSORS
  10. 数据保护影响评估
  11. 政府请求
  12. 删除个人资料
  13. 审计报告
  14. 冲突
  15. 适用法律及司法管辖权

附件一:处理细节

附录2:标准合同条款

附录3:英国国际数据传输附录

  1. 定义
    在本协议中,下列术语的含义如下:

    1. 控制器”、“成员国”、“过程/处理”、“处理器”、“特殊类别的个人资料”、“业务”、“消费者”、“个人信息”、“出售”、“分享"和"服务提供者“与数据保护法中定义的含义相同;
    2. 资料保护法例(i)欧洲议会和理事会2016年4月27日关于个人数据处理和此类数据自由流动方面保护自然人的条例(EU) 2016/679(“GDPR”);(2)英国数据保护法这意味着根据《2018年欧盟(退出)法案》第3节以及经《2019年数据保护、隐私和电子通信(修正案等)(欧盟退出)条例》(SI 2019/419)修订的《2018年数据保护法案》,GDPR作为英格兰和威尔士、苏格兰和北爱尔兰法律的一部分(“英国GDPR”);(3)加州数据保护法即《2018年加州消费者隐私法》、《加州民法典》第1798.100条等。(“CCPA”),包括经《2020年加州隐私权法案》及其实施条例修订的(“CPRA),如不时修订或取代,并适用于本DPA项下的个人数据处理;
    3. 资料当事人要求“指数据主体根据数据保护法行使适用权利的请求;
    4. 国际数据传输附录"是指由英国资讯专员办公室("图标”)根据《2018年数据保护法》S119A(1),向scc提交进行受限转让的各方(“英国附录”);
    5. 个人资料"指与已识别或可识别自然人有关的任何资料("数据对象),如果该等信息与欧洲经济区居民有关,或该等信息的披露受数据保护法的其他约束;
    6. 限制转让"指个人数据从控制者转移到处理者,转移到欧洲经济区以外的司法管辖区("经济区)和/或大不列颠及北爱尔兰联合王国("英国”);
    7. 安全漏洞“指违反安全导致任何未经授权的、意外的或非法的破坏、丢失、更改、披露或访问已由JFrog验证的个人数据;
    8. 标准合约条款“指欧盟委员会根据GDPR于2021年6月4日发布的实施决定(EU) 2021/914所规定的、由欧盟委员会不时更新、修订、取代或取代的、将个人数据转移到第三国的标准合同条款(“鳞状细胞癌”);而且
    9. 监督权力“适用时,指有权执行数据保护法的指定政府实体,包括但不限于(i)由成员国根据GDPR设立的独立公共机构;以及(ii)英国的ICO。
  2. 处理详情
    双方承认,JFrog处理个人数据是为了根据本协议提供JFrog平台。处理的性质和目的,以及处理的持续时间,个人数据的类型,以及根据本DPA处理其个人数据的数据主体的类别,将在附录1.个人资料是为本DPA中规定的许可目的而披露和转移的。
  3. 披露个人资料
    控制器将:

    1. 仅允许处理者按照适用的数据保护法的要求处理个人数据;
    2. 仅为一个或多个与本协议条款一致的明确目的而向处理者披露个人数据("允许的目的”);
    3. 对个人数据的准确性、质量和合法性以及控制者获取个人数据的方式全权负责;
    4. 在数据保护法要求的情况下,确保已向相关数据主体提供并将继续提供通知,通知他们其个人数据将被披露给处理者或描述处理者的第三方类别;而且
    5. 不向处理者披露任何特殊类别的个人资料。
  4. 个人资料的处理

    作为处理器,JFrog将:

    1. 仅代表并按照控制者在本DPA中详细说明的合理指示处理个人数据;
    2. 不以与“许可目的”不兼容的方式处理个人数据,或处理时间超过实现“许可目的”所需的时间(除了为了遵守处理者所遵守的适用法律的要求);
    3. 确保其从事个人数据处理的人员被告知个人数据的保密性质,接受了有关其职责的适当培训,并签署了书面保密协议;
    4. 将实施适当的技术和组织措施(“汤姆斯),以保障个人资料免受下文第7节(保安责任)所述的保安漏洞;而且
    5. (b)合理地协助控制者促进控制者履行其义务,以遵守数据主体或监管机构在适用的数据保护法中规定的数据主体请求的任何行使,只要控制者没有能力履行此类请求。
  5. 限制转移

    关于从控制者到JFrog的个人数据受限传输,双方在此签订scc的模块II(控制者到处理器),该模块被纳入本DPA作为附录2;对于来自英国的限制转移,英国附录被合并为附录3.双方有权为自己和各自的相关关联公司订立scc和英国附录。如果欧洲经济区和/或英国以外的个人数据受限转移机制发生变化或需要更新,JFrog将根据适用的数据保护法的要求,为此类受限转移制定替代安排。

  6. 安全责任
    在实施和维护中所描述的TOMs时,JFrog应确保适当的安全级别,考虑到技术水平、实现成本、性质、范围、上下文和处理的允许目的,以及风险的严重性和行业最佳实践附件二,旨在协助保障个人资料免受保安漏洞之害。JFrog应定期监测TOMs的遵守情况,在协议有效期内,JFrog平台的整体安全性不得大幅降低。
  7. 安全漏洞
    1. JFrog将在JFrog验证后72小时内,立即通知控制者涉及JFrog代表控制者处理的个人数据的安全漏洞,除非该通知被监管机构的法案或命令延迟或禁止。JFrog将向控制者提供以下描述:(i)安全漏洞的性质;(ii)安全漏洞的可能后果;以及(iii)为解决安全漏洞而采取的缓解措施。
    2. JFrog应根据风险的严重程度,采取一切符合行业最佳实践的必要措施,尽快解决此类安全漏洞,并防止其再次发生。JFrog将合理地协助财务总监进行有关安全漏洞的调查和分析。
    3. JFrog将在合理要求的范围内与控制者合作,就安全漏洞后需要向监管机构或受影响的数据主体发出的任何通知,只要涉及本DPA下的JFrog个人数据处理。
    4. 在没有JFrog事先书面批准的情况下,控制者不会就直接或间接识别JFrog的任何安全漏洞通报任何发现或承认责任。
  8. SUB-PROCESSORS
    1. JFrog可能会聘请第三方服务提供商代表控制器处理个人数据(“Sub-Processors)在本协议有效期内。Controller为JFrog提供了一个通用授权,以使用列在附件3在下面。JFrog可能会与一个新的子处理器合作,代表控制器处理个人数据。JFrog应保持一份在线可用的子处理器列表,控制器应订阅新子处理器的通知//www.si-fil.com/trust/privacy/sub-processors/.当控制者订阅时,JFrog将在允许其处理与JFrog平台提供相关的个人数据的三十(30)天前提供新的子处理器的通知。所有子处理器都必须遵守本DPA下与JFrog相当的适用于其履行相关服务的义务。JFrog应负责其子处理者遵守本DPA的义务。
    2. 控制者可以以合理和解释的理由反对JFrog使用新的子处理器,涉及保护打算由该子处理器处理的个人数据,通过书面通知JFrogprivacy@www.si-fil.com在JFrog通知后的十(10)天内。如果没有收到反对意见,则认为财务主任已授权进行预期的更改。如果控制者反对这种新的子处理器,JFrog将尽合理努力使控制者可以使用和/或建议对JFrog平台的配置或使用进行商业上合理的更改,以避免被反对的新子处理器处理个人数据,而不会给控制者造成不合理的负担。如果在控制者提出合理反对后的九十(90)天内,JFrog无法提供商业上合理的替代方案,控制者作为其与此相关的唯一和唯一补救措施,可以在提前三十(30)天书面通知JFrog的情况下终止受影响的个人数据处理。
  9. 数据保护影响评估
    考虑到处理的性质和JFrog可获得的信息,在数据保护法要求时,JFrog将协助控制者履行其与数据保护影响评估相关的义务,并与监管机构进行事先协商,但前提是控制者无法通过其他方式访问相关信息,包括提供下文第13节(审计报告)中概述的信息。
  10. 政府请求
    在收到任何政府(包括政府机构和执法机构)要求披露个人数据的任何请求后,JFrog应在法律允许的范围内,(i)及时将收到的请求转发并通知“控制人”;(ii)在可能的情况下,作出合理努力反对该项要求;以及(iii)将任何披露的范围限制在响应请求所严格必要的范围内。
  11. 删除个人资料
    本协议终止或到期后,JFrog应在六十(60)天内删除控制者根据本协议提供的个人数据。本协议终止后,JFrog没有任何义务保留该等个人资料。此要求不适用于(i)在JFrog受制于的适用法律要求JFrog保留部分或全部个人数据的范围内;和(ii)作为JFrog标准档案或备份系统的一部分,前提是该等个人数据应继续受本DPA规定的约束。在这种情况下,应安全隔离相关个人数据,并保护其不受任何进一步处理,适用法律要求的范围除外。
  12. 审计报告
    控制者可以根据以下条件评估JFrog对本DPA的合规性:(i)至少三十(30)天的事先书面请求;(ii)每年一次,以及(iii)受本协议保密条款的约束。JFrog将以(a)数据保护和信息安全问卷的形式,向控制者和任何相互授权的第三方代表提供与个人数据保护相关的适用文件;以及(b) JFrog相关审核、评审、测试或认证的副本或摘录,包括年度SOC2 Type II报告、ISO 27001、ISO 27701和ISO 27017认证。JFrog不应被要求提供可能导致JFrog损害其内部、法律或监管合规义务的信息或商业敏感信息。
  13. 冲突

    如果本DPA的某些规定与本协议的规定之间存在任何冲突或不一致,本DPA的规定应仅在个人数据处理方面优先于本协议的冲突规定。如果本DPA的某些规定与其任何附表和scc之间有任何冲突,应以后者为准。

  14. 适用法律及司法管辖权

    在不损害scc第17和18条以及英国附录的情况下,本DPA以及因其产生或与之相关的所有非契约性或其他义务,均受法律管辖,并受协议中规定的法院的专属管辖权管辖。



    附件一:处理细节

    加工的性质和目的 向客户提供JFrog平台。
    资料当事人的类别 控制员的员工被授权使用JFrog平台。
    个人资料类别 用户名、邮箱地址、IP地址。
    传送的个人资料的特殊类别 不适用。
    处理时间 在本协议有效期内,并受当地法律要求的约束。
    转移频率 本协议持续期间的连续基础。
    用于传输到子处理器 如上所述。



    附录2:标准合同条款

    双方同意本合同的条款标准合约条款特此通过引用合并,并适用于限制转让,如下:


    模块二-控制器到处理器

    第7条-停靠条款

    		 不适用。

    第9(a)条-子处理器的使用

    		 选项2:适用一般书面授权;如果事先通知,则指定和反对此类变更的方法应如本DPA第9条所述。

    第11条-赔偿

    		 可选语言不适用。

    第17条-适用法律

    		 方案1适用;双方同意scc应受爱尔兰共和国法律管辖。

    第18(b)条-管辖权

    		 争议将在爱尔兰共和国法院解决。


    附件一。a -当事方名单

    客户/数据导出者 JFrog /数据导入器
    角色 控制器 处理器
    相关活动 使用JFrog平台 提供JFrog平台
    姓名,地址和联系方式 详见本协议。
    签字日期 通过签订本协议和/或DPA,数据出口商被视为自本协议生效日期起已签署本协议中纳入的这些scc,包括其附件。


    附件I.B -转让说明    ,详情见附录1这个DPA。

    附件I.C -主管监管机构(根据第13条):

    数据出口商的主管监管机构将根据GDPR确定。

附件二- JFrog云服务技术和组织措施,详见在这里

附件三- JFrog子公司和子加工者清单,按9.1节DPA的。



附录3:英国国际数据传输附录

  1. 派对。
    详见附件一、
  2. 有效日期。
    本英国附录与scc同日生效。
  3. 背景。
    本英国附录是信息专员办公室发布的国际数据转移附录的摘要版本,旨在提供对个人数据和数据主体权利的保护标准,这是英国数据保护法在根据英国GDPR第46(2)(d)条的标准数据保护条款进行限制性转移时所要求的。适当的保护措施),以限制转让为目的,当其作为具有法律约束力的合同订立时。
  4. 解释。
    1. 本英国附录使用scc中定义的术语时,这些术语应与scc中定义的术语具有相同的含义。
    2. 如上述附录1及附录2所载的条文以《条例汇编》或《联合王国附录》所不允许的方式修订《条例汇编》,该等修订将不会纳入本《联合王国附录》,而由《条例汇编》的同等条文取而代之。
    3. 如果《联合王国数据保护法》与本《联合王国附录》之间有任何不一致或冲突,则适用《联合王国数据保护法》。
    4. 任何对立法(或立法的具体规定)的引用都是指随着时间的推移可能发生变化的立法(或具体规定)。这包括在本联合王国附录签订后,该立法(或特定条款)已被合并、重新颁布和/或取代。
  5. 层次结构。
    如果英国附录和scc之间存在任何不一致或冲突,英国附录将凌驾于scc之上,除非scc中不一致或冲突的条款为数据主体提供了更大的保护,在这种情况下,这些条款将凌驾于英国附录。
  6. 条款的合并。
    1. 本英国附录包含了被视为在必要程度上进行了修订的scc,以便在英国数据保护法适用于数据出口商在进行转移时的处理的范围内,它们共同适用于数据出口商向数据进口商的转移;并为这些转移提供适当的保障;
    2. 本署对《条例草案》作出以下修订:
    “条款” 英国附录,因为它合并了scc。
    “规例(EU) 2016/679”及“该规例” 替换:“英国数据保护法”和“条例(欧盟)2016/679”的特定条款被替换为英国数据保护法的等效条款或章节。
    法规(EU) 2018/1725 移除。
    “联盟”、“欧盟”及“欧盟成员国” 替换:英国。
    第2条-条款的效力和不变性 删除:“以及,关于从控制者到处理者和/或处理者到处理者的数据传输,根据法规(EU) 2016/679第28(7)条的标准合同条款”
    第6条-转让的描述 替换为:“转移的细节,特别是转移的个人数据类别和转移的目的是附录A (B)中规定的,其中英国数据保护法适用于数据出口商在进行转移时的处理。”
    第8.8(i)条-转帐 替换为:“转移到根据英国GDPR第17A条规定的充分性法规受益的国家,该法规涵盖了转移;”
    第13(a)条-监督 不使用时,“主管监管机构”和“监管机构”都被“信息专员”取代。
    第16(e)条-不遵守本条款和终止 替换为:“国务卿根据《2018年数据保护法》第17A条制定法规,涵盖这些条款适用的个人数据转移;”
    第17条-适用法律 替换为:“本条款受英格兰和威尔士法律管辖。”
    第18(b)条-管辖权 替换为:“由本条款引起的任何争议应由英格兰和威尔士法院解决。数据主体也可在英国任何国家的法院对数据出口商和/或数据进口商提起法律诉讼。双方同意接受这类法院的管辖。”
    脚注 除脚注8、9、10和11外,不构成英国附录的一部分。
  7. 本英国附录的修订。
    1. 只要双方保持适当的保障措施,双方可以书面同意修改本联合王国附录。
    2. ICO可不时发布经修订的《联合王国附录》,其中将规定对《联合王国附录》的更改生效的起始日期,以及双方是否需要审查该修订,该修订将自指定的起始日期起自动修订。
  8. 执行本英国附录。
    1. 双方可以以任何方式签订本英国附录(包括scc),使其对双方具有法律约束力,并允许数据主体执行scc中规定的权利。
    2. 加入本英国附录与签署scc及其任何部分具有相同的效力。
    3. 通过签订本协议和/或本DPA,数据出口商被视为自本协议生效日期起已签署本英国附录。