JFrog云数据处理附录

最后更新:2022年9月14日

图标下载下载德通社

本数据处理附录("德通社”或“齿顶高)在此通过引用纳入JFrog云服务条款(“云服务”)可用在这里,或客户与JFrog之间就JFrog提供其任何云服务的任何其他现有协议(“协议), JFrog及其附属公司(“JFrog”或“处理器)作为客户个人资料的处理者。双方均被称为“”。本协议中未定义的所有大写术语将具有本协议中规定的含义。

就本DPA而言,“客户”或“控制器应包括使用在适用协议项下提供的云服务的个人,以及该个人代表其行事的任何法律实体。本DPA列出了JFrog在根据本协议向客户提供云服务的过程中代表客户处理个人数据(定义如下)的适用条款。

  1. 定义
    在本附录中,下列术语的含义如下:

    1. 控制器”、“成员国”、“过程/处理”、“处理器”、“个人资料特别类别的含义与《数据保护法》的定义相同;
    2. 数据保护法律系指欧洲议会和理事会2016年4月27日关于个人数据处理方面对自然人的保护和此类数据的自由流动的法规(EU) 2016/679 (GDPR),以及英国数据保护法即《2018年数据保护法》,以及根据《2018年欧盟(退出)法案》第3条构成英格兰、威尔士、苏格兰和北爱尔兰法律的GDPR,并经《2019年数据保护、隐私和电子通信(修正案等)(欧盟退出)条例》(SI 2019/419)修订(英国GDPR),适用于《协议》下的个人资料处理;
    3. 数据主体请求指数据主体要求行使数据保护法所规定的任何权利的请求;
    4. 国际数据传输附录指由英国资讯专员公署(图标)根据《2018年数据保护法案》S119A(1)向scc提交,用于进行限制性转移的当事人(“英国附录”);
    5. 个人资料是指与已辨认或可辨认的自然人(“数据对象),只要该等信息与欧洲经济区的居民有关,或该等信息的披露在其他方面受数据保护法的约束;
    6. 违反个人资料“指安全漏洞导致处理器代表控制者传输、存储或以其他方式处理的个人数据的意外或非法破坏、丢失、更改、未经授权的披露或访问;
    7. 限制转让意指将个人数据从控制者转移到处理者,转移到欧洲经济区以外的司法管辖区(经济区)和/或大不列颠及北爱尔兰联合王国(“英国”);
    8. 标准合同条款指根据欧盟委员会不时更新、修订、取代或取代的法规(EU) 2016/679,于2021年6月4日颁布的欧盟委员会实施决定(EU) 2021/914所规定的向第三国转移个人数据的标准合同条款,这些条款不能确保提供足够的保护水平。鳞状细胞癌”);而且
    9. 监督权力“系指(i)由成员国根据GDPR设立的独立公共机构;以及(ii)英国的ICO。
  2. 披露个人资料
    控制器将:

    1. 处理器只能根据适用的数据保护法的要求处理个人数据;
    2. 只将个人资料披露于一个或多个符合协议条款的明确目的(“允许的目的”);
    3. 对个人数据的准确性、质量和合法性以及控制人获取个人数据的方式全权负责;
    4. 确保已向相关数据主体提供并将继续向其提供通知,通知其其个人数据将被披露给处理程序或描述处理程序的一类第三方;
    5. 确保其已获得任何必要的同意或授权,以允许处理商为许可的目的自由处理个人数据;
    6. 不向处理商披露任何特殊类别的个人资料;而且
    7. 负责从控制器传输到处理器的任何个人数据的安全。
  3. 处理个人资料
    作为一个处理器,JFrog将:

    1. 只代表控制人并按照控制人的合理指示处理个人资料;
    2. 不以与许可目的不兼容的方式处理个人数据(但不符合处理程序所适用的适用法律的要求);
    3. 处理个人数据的时间不得超过实现许可目的所需的时间(但不包括遵守处理程序所受适用法律的要求);
    4. 确保其人员和子处理程序在处理控制人的个人资料方面遵守同等措施;
    5. 将在行业可接受的标准内尽最大努力,制定适当的技术和组织安全措施,以保护个人数据不受未经授权或非法处理,或意外丢失、销毁或损坏的影响;而且
    6. 合理协助控制人,以促进控制人履行其义务,遵守数据主体或监管当局行使适用的数据保护法中规定的任何权利。
  4. 细节的处理
    双方确认,JFrog处理个人数据是为了根据本协议履行云服务。处理的性质和目的,以及处理的期间,个人数据的类型(不包括任何特殊类别的个人数据),以及根据本DPA处理的数据主体的类别,详见附录1这个分区。个人资料是为DPA所载的许可目的而披露和转让的。
  5. 限制转移
    1. 关于从控制者到JFrog的个人数据的限制转移,双方特此进入scc的模块II(控制者到处理器),该模块被纳入本附录,作为附录2;对于来自英国的限制转移,英国附录被合并为附录3
    2. 本公司及其相关附属公司的总监是数据出口国和JFrog及其相关附属公司是数据进口国,且双方均有权为自己及各自相关关联公司订立scc和英国附录。
  6. 个人数据被破坏。
    1. 在涉及由JFrog代表控制者处理的个人数据的任何个人数据泄露后,JFrog将毫不迟延地通知控制者。
    2. JFrog将在合理要求的范围内,就个人数据泄露后需要向监管机构或受影响的数据主体发出的任何通知与本DPA项下JFrog处理个人数据有关的通知,与Controller进行合作。
    3. 在没有JFrog事先书面批准的情况下,控制人不会就直接或间接涉及到JFrog的任何个人数据泄露的发现或承认责任进行沟通。
  7. 安全责任
    JFrog负责实施和维护技术和组织措施(“汤姆s”)用于描述的云服务在这里,旨在协助保障个人资料免受未经授权的处理及意外或非法的遗失、查阅或披露。
  8. Sub-Processors
    1. JFrog可聘用第三方服务供应商代表控制人处理个人资料("Sub-Processors)在云服务期间。Controller为JFrog提供了使用所列子处理器的一般授权在这里.JFrog可能会与一个新的子处理器合作,代表控制器处理个人数据。控制者应订阅云服务新子处理器的通知在这里.当控制器订阅时,JFrog将在允许新的子处理器处理与提供云服务相关的个人数据之前提供关于新的子处理器的通知。所有子处理器都必须遵守与JFrog在本DPA下基本相同的义务,适用于其服务的执行。
    2. Controller可以以合理和解释的理由反对JFrog使用新的子处理器,通过书面通知JFrogprivacy@www.si-fil.com。在JFrog发出通知后的5(5)个工作日内。如果控制器反对新的子处理器,JFrog将尽合理努力向控制器提供云服务的更改,或建议对云服务的配置或使用进行商业上合理的更改,以避免被反对的新子处理器处理个人数据,而不会给控制器造成不合理的负担。如果在控制者提出合理反对后的九十(90)天内,JFrog无法提供商业上合理的替代方案,控制者可以在提前三十(30)天书面通知JFrog的情况下,终止受影响的云服务部分,作为其与此相关的唯一和排他性补救措施。
  9. 删除个人资料
    在本协议终止或到期后,JFrog应在不超过六十(60)天内删除控制人根据本协议提供的所有个人数据。为消除疑问,在本协议终止后,JFrog没有任何义务保留此类数据。本要求不适用(i) JFrog所受适用法律要求JFrog保留部分或全部个人数据的范围;以及(ii)备份系统上的存档数据(例如,审计日志形式)。在这种情况下,除适用法律要求的范围外,相关个人数据应被安全地隔离并免受任何进一步处理。
  10. 审计
    控制人应被允许通过执行年度虚拟隐私和信息安全评估来监督JFrog遵守本DPA的情况,费用由控制人自己承担。JFrog将:(i)向控制人和任何相互授权的第三方代表提供必要的非内部文件,以证明遵守本DPA有关个人数据保护的规定;其中可能包括对隐私和信息安全调查问卷的回答、JFrog平台或过程的相关审计、评审、测试或认证的副本,包括年度SOC2 II型报告、ISO 27001和ISO 27017认证;(ii)将其控制维持在该等评估中向财务主任证明的水平。
  11. 政府请求
    在收到任何政府(包括政府机构和执法机构)要求披露个人数据的任何请求后,JFrog应在法律允许的范围内(i)将收到该请求的消息立即转发并通知控制人;(ii)在可能的情况下作出合理努力反对该项要求;以及(iii)将任何披露的范围限制在为响应请求而严格必要的范围内。
  12. 冲突
    1. 如果本DPA的某些规定与本协议的规定之间存在任何冲突或不一致,则仅在个人数据处理方面,本DPA的规定应优先于本协议的冲突规定;
    2. 如果本DPA的某些规定与其任何附表和scc之间存在任何冲突,应以后者为准。
  13. 适用法律及司法管辖权
    在不损害《增补标准公约》第17和18条及《联合王国附录》的前提下:

    1. 本附录各方在此就本附录项下产生的任何争议或索赔,包括关于本附录的存在、有效性或终止或其无效后果的争议,服从本协议规定的管辖权选择;而且
    2. 本附录以及因本附录而产生的或与本附录有关的所有非合同义务或其他义务,均受本协议为此目的规定的国家或地区的法律管辖。
  14. 责任限制
    JFrog及其关联公司因本附录而产生或与本附录有关的责任,无论在合同、侵权或任何其他责任理论下,均受本协议“责任限制”一节的约束。
附录1:处理细节
个人资料的种类 用户名、邮箱地址和IP地址。
关于这些数据的细节在JFrog中有进一步规定隐私政策
处理时间 在云服务期间,并受当地法律要求的约束。
加工的性质和目的 向客户提供云服务。
数据主题的类别 授权使用云服务的控制器雇员。
敏感数据传输 不适用。
传输频率 本协议期间的连续基础。
用于传输到子处理器 如上所述。
附录2: 标准合同条款

双方同意本合同的条款标准合同条款在此通过参考纳入,并应适用于以下限制转让:

模块II -控制器到处理器
第7条-停靠条款 不适用。
第9(a)条-子处理器的使用 备选办法2:应适用一般书面授权;新的子处理器将提前十(10)天发出通知;指定和反对此种更改的方法应载于8节德通社。
第11条-赔偿 可选语言不适用。
第17条-适用法律 选择1应适用;双方同意,scc应受爱尔兰共和国法律管辖。
第18(b)条-管辖权 争议将在爱尔兰共和国法院解决。
附件一。a -缔约方清单
客户/数据导出器 JFrog /数据导入器
角色 控制器 处理器
相关活动 使用云服务 云服务的提供
姓名、地址和联系方式 详见本协议
签名和日期 通过签订本协议和/或DPA,数据出口商被视为在本协议生效日期签署了本协议中所包含的这些scc,包括其附件
附件I.B -转让说明,详见附录1德通社。
附件I.C -主管监察机关(根据第13条)
数据出口商的主管监管机构将根据GDPR确定。
附件二- JFrog云服务技术和组织措施,如进一步详细在这里

附件三- JFrog子公司和子加工商清单,如8.1节德通社。

附录3:英国国际数据传输附录

    1. 派对。

所列的附件一、

    1. 有效的维吃了。

本《联合王国附录》与《准则》同日起生效。

    1. 背景。

本英国附录是信息专员办公室发布的《国际数据传输附录》的摘要版本,旨在提供对个人数据和数据主体权利的标准保护,这是英国数据保护法在根据英国GDPR第46(2)(d)条进行限制性传输时所要求的标准数据保护条款(“适当的保护措施),以限制转让为目的,当其作为具有法律约束力的合同签订时。

    1. 解释。
      1. 本《联合王国附录》所使用的术语,应与《标准汇编》中定义的术语具有相同的含义。
      2. 如果上文附录1和附录2所载的条文以任何《增补标准集》或《英国增补》不允许的方式修订了《增补标准集》,则该等修订将不纳入本《英国增补》,而由《增补标准集》的同等条文取代。
      3. 如果《英国数据保护法》与本《英国附录》之间有任何不一致或冲突,应适用《英国数据保护法》。
      4. 任何对立法(或立法的具体规定)的提及都意味着随着时间的推移可能发生变化的立法(或具体规定)。这包括该立法(或特定规定)在本联合王国附录签署后被合并、重新颁布和/或替换的情况。
    2. 层次结构。

如果《联合王国附录》与《标准标准汇编》之间有任何不一致或冲突,则《联合王国附录》将覆盖《标准标准汇编》,除非(就目前而言)《标准标准汇编》中不一致或冲突的条款为数据主体提供了更大的保护,在这种情况下,这些条款将覆盖《联合王国附录》。

  1. 条款的合并。
    1. 本英国附录将被视为在必要的程度上进行修订的scc纳入其中,以便在数据出口商向数据进口商进行转移时,在英国数据保护法适用于数据出口商进行该转移时的处理的范围内,它们共同运作;并为这些转让提供适当的保障;
    2. 对《准则》作出以下修订:
    “条款” 英国附录,因为它包含了SCCs。
    “法规(EU) 2016/679”和“该法规” 替换:“英国数据保护法”和对“法规(EU) 2016/679”的特定条款的引用被替换为英国数据保护法的等效条款或章节。
    “监管(欧盟)2018/1725” 移除。
    “联盟”、“欧盟”及“欧盟成员国” 替换:英国。
    第2条-条款的效力和不变性 删除:“以及,关于从控制器到处理器和/或处理器到处理器的数据传输,根据法规(EU) 2016/679第28(7)条的标准合同条款。”
    第6条-转让的描述 替换:“转移的细节,特别是被转移的个人数据的类别和转移的目的是附录A (B)中规定的,其中英国数据保护法适用于数据出口商在进行转移时的处理。”
    第8.8(i)条-转送转让 替换为:“转移转移是向根据英国GDPR第17A节涵盖转移转移的充分性法规受益的国家;”
    第13(a)条-监督 不使用时,“主管监察机关”和“监察机关”均被改为“资讯专员”。
    第16(e)条-不遵守本条款及终止 替换:“国务卿根据《2018年数据保护法》第17A条制定法规,涵盖本条款适用的个人数据转移;”
    第17条-适用法律 替换为:“本条款受英格兰和威尔士法律管辖。”
    第18(b)条-管辖权 替换为:“由本条款引起的任何争议应由英格兰和威尔士的法院解决。数据主体也可以向英国任何国家的法院对数据出口商和/或数据进口商提起法律诉讼。双方同意服从这种法院的管辖。”
    脚注 不构成英国附录的一部分,除了脚注8、9、10和11。
  2. 本英国附录的修正案。
    1. 只要各方保持适当的保障措施,各方可通过书面同意变更的方式对本英国附录进行修改。
    2. ICO可不时发布经修订的《英国附录》,其中将指明对《英国附录》的更改从何时起生效,以及各方是否需要审查该修订,该修订将从指定的开始日期起自动修订。
  3. 执行本英国附录。
    1. 各方可以任何方式加入本英国附录(包括scc),使其对各方具有法律约束力,并允许数据主体执行其在scc中规定的权利。
    2. 加入本英国附录与签署scc和scc的任何部分具有相同的效力。
    3. 通过签订本协议和/或DPA,数据出口商被视为在本协议生效之日签署了本英国附录。