JFrog云数据处理附录

最后更新日期:2022年9月14日

图标下载下载德通社

本资料处理附录("德通社"或"齿顶高)在此通过引用并入JFrog云服务(以下简称“JFrog云服务”)服务条款,并成为其具有约束力的部分。云服务”)可用在这里或客户与“JFrog”之间就“JFrog”提供其任何云服务(“协议),其中JFrog及其联属公司(“JFrog"或"处理器)作为客户个人资料的处理者。双方应统称为“”。本协议中未定义的所有大写术语具有本协议中规定的含义。

就本DPA而言,“客户"或"控制器应包括使用适用协议项下提供的云服务的个人以及该个人代表其行事的任何法人实体。本DPA规定了在根据本协议向客户提供云服务的过程中,JFrog代表客户处理个人数据(定义见下文)的适用条款。

  1. 定义
    在本附录中,下列术语具有如下含义:

    1. 控制器”、“成员国”、“过程/处理”、“处理器,和个人资料的特殊类别的含义与数据保护法中定义的含义相同;
    2. 资料保护法例指欧洲议会和理事会2016年4月27日第(EU) 2016/679号关于在个人数据处理和此类数据自由流动方面保护自然人的条例(GDPR),以及英国数据保护法这是指《2018年数据保护法》和GDPR,因为它根据《2018年欧盟(退出)法》第3条并经《2019年数据保护、隐私和电子通信(修订等)(欧盟退出)条例》(SI 2019/419)修订,构成了英格兰和威尔士、苏格兰和北爱尔兰法律的一部分(英国GDPR),如适用于本协议项下的个人资料处理;
    3. 资料当事人要求指数据主体要求行使数据保护法规定的任何权利;
    4. 国际数据传输附录"指英国信息专员办公室(图标)根据《2018年数据保护法》第119a(1)条,向SCCs提交进行限制性转让的各方(“英国附录”);
    5. 个人资料指与已识别或可识别的自然人有关的任何信息(数据对象“),如果此类信息与欧洲经济区居民有关,或者此类信息的披露受数据保护法的约束;
    6. 个人资料外泄“指违反安全规定,导致处理者代表控制者传输、存储或以其他方式处理的个人数据的意外或非法破坏、丢失、更改、未经授权的披露或访问;
    7. 限制转让“指将个人数据从控制者转移到处理者,转移到欧洲经济区以外的司法管辖区(”经济区)及/或大不列颠及北爱尔兰联合王国(“英国”);
    8. 标准合同条款“指欧盟委员会根据法规(EU) 2016/679于2021年6月4日发布的实施决定(EU) 2021/914所规定的、由欧盟委员会不时更新、修订、取代或取代的个人数据转移到第三国的标准合同条款(”鳞状细胞癌”);和
    9. 监督权力“指的是(i)由成员国根据GDPR设立的独立公共机构;以及(ii)英国的ICO。
  2. 个人资料的披露
    控制器将:

    1. 处理者只能按照适用的数据保护法的要求处理个人数据;
    2. 仅为一个或多个与本协议条款一致的明确目的披露个人资料(“允许的目的”);
    3. 对个人数据的准确性、质量和合法性以及控制者获取个人数据的方式负全部责任;
    4. 确保相关数据主体已获得并将继续获得通知,告知其个人数据将被披露给处理者或描述处理者的一类第三方;
    5. 确保其已获得任何必要的同意或授权,以允许处理者为允许的目的自由地处理个人数据;
    6. 不向处理者披露任何特殊类别的个人资料;和
    7. 负责从控制者传输到处理者的任何个人数据的安全。
  3. 个人资料的处理
    作为处理器,JFrog将:

    1. 仅代表控制者并按照其合理指示处理个人数据;
    2. 不以与允许的目的不相容的方式处理个人数据(除遵守处理者所受适用法律的要求外);
    3. 处理个人数据的时间不超过为实现许可目的所需的时间(除遵守处理者所受适用法律的要求外);
    4. 确保其人员和分处理者遵守处理控制者个人数据的同等措施;
    5. 将在行业可接受的标准范围内尽最大努力,并采取适当的技术和组织安全措施,以保护个人数据免受未经授权或非法处理,或意外丢失、毁坏或损坏;和
    6. 合理地协助控制者促进控制者履行其义务,以遵守数据主体或监管机构在适用的数据保护法中规定的任何权利的行使。
  4. 处理详情
    双方承认,JFrog对个人数据的处理是为了履行本协议项下的云服务。处理的性质和目的以及处理的持续时间、个人数据的类型(不包括任何特殊类别的个人数据)以及根据本《个人数据保护条例》处理的数据主体的类别详见附录1到这个DPA。个人资料的披露和转移是为了《个人资料保护条例》所载的许可用途。
  5. 限制转移
    1. 关于个人数据从控制者到JFrog的受限转移,双方特此签订scc模块II(控制者到处理者),该模块II并入本附录如下附录2;对于来自英国的限制性转让,英国附录被合并为附录3
    2. 控制人本身及其相关关联方为“数据出口国及JFrog及其相关联属公司为数据进口国”,双方有权为自己及其各自的相关关联公司订立《标准协议》和《英国附录》。
  6. 个人资料外泄。
    1. 在涉及JFrog代表控制者处理的个人数据的任何个人数据泄露事件发生后,JFrog将毫不拖延地通知控制者。
    2. 在个人数据泄露事件发生后,就与本DPA项下JFrog的个人数据处理相关的、需要向监管机构或受影响的数据主体发出的任何通知而言,JFrog将在合理要求的范围内与控制者合作。
    3. 未经JFrog事先书面批准,控制者不会就任何直接或间接识别JFrog的个人数据泄露的发现或承认责任进行沟通。
  7. 安全责任
    JFrog负责实施和维护技术和组织措施(“汤姆s”),用于云服务,如所述在这里,以确保个人资料不受未经授权的处理及意外或非法的遗失、查阅或披露。
  8. Sub-Processors
    1. JFrog可聘请第三方服务提供商代表控制者处理个人数据(“Sub-Processors”),在“云服务”持续期间内。控制器为JFrog提供了使用所列子处理器的一般授权在这里。JFrog可与新的子处理器签约,代表控制者处理个人数据。控制器应订阅云服务新子处理器的通知在这里。当控制人订阅时,JFrog将在允许其处理与提供云服务相关的个人数据之前,通知新的子处理器。所有子处理器都必须遵守本DPA项下适用于其服务履行的与JFrog基本相同的义务。
    2. 控制器可以书面通知JFrog,以合理且已解释的理由反对JFrog使用新的子处理器privacy@www.si-fil.com。在JFrog发出通知后的5(5)个工作日内。如果控制者反对新的子处理器,JFrog将尽合理努力向控制者提供云服务的变更,或建议对云服务的配置或使用进行商业上合理的变更,以避免被反对的新子处理器处理个人数据,而不会给控制者带来不合理的负担。如果在控制人提出合理反对后的九十(90)天内,JFrog无法提供商业上合理的替代方案,则控制人可在提前三十(30)天向JFrog发出书面通知后,作为其就此提供的唯一和排他性救济,终止云服务受影响的部分。
  9. 删除个人资料
    本协议终止或期满后,JFrog应在最多六十(60)天内删除控制人根据本协议提供的所有个人数据。为消除疑问,JFrog在本协议终止后没有义务保留此类数据。此要求不适用于(i)本公司所受适用法律要求本公司保留部分或全部个人资料;(ii)备份系统上的存档数据(例如,审计日志的形式)。在这种情况下,除适用法律要求的范围外,相关的个人数据应被安全隔离,并免受任何进一步处理。
  10. 审计
    应允许控制人通过执行年度虚拟隐私和信息安全评估,自费监督JFrog对本DPA的遵守情况。JFrog将:(i)向控制者和任何相互授权的第三方代表提供必要的非内部文件,以证明遵守了与个人数据保护有关的本数据保护条例;可能包括对隐私和信息安全调查问卷的回复,JFrog平台或流程的相关审核、评审、测试或认证的副本,包括年度SOC2 II类报告、ISO 27001和ISO 27017认证;将其控制维持在此种评估中向财务主任证明的水平。
  11. 政府请求
    在收到任何政府(包括政府机构和执法机构)要求披露个人数据的任何请求后,JFrog应在法律允许的范围内(i)迅速转发并通知控制者收到该等请求;(ii)在可能的情况下作出合理努力反对该请求;以及(iii)将任何披露的范围限制在响应请求所绝对必要的范围内。
  12. 冲突
    1. 如果本DPA的某些条款与本协议的条款之间存在任何冲突或不一致,则仅在个人数据处理方面,本DPA的条款应优于本协议的冲突条款;
    2. 如果本DPA的某些条款与其任何附表和scc之间存在任何冲突,则以后者为准。
  13. 适用法律及司法管辖权
    在不影响《规则》第17和18条及联合王国增编的情况下:

    1. 对于因本增编而产生的任何争议或索赔,包括关于本增编的存在、有效性或终止或其无效后果的争议,本增编各方在此服从本协议规定的管辖权选择;和
    2. 本附录以及由此产生或与之相关的所有非契约性或其他义务,均受本协议为此目的所规定的国家或地区法律管辖。
  14. 责任限制
    JFrog及其关联公司因本附录而产生的或与之相关的责任,无论是合同责任、侵权责任还是任何其他责任理论,均受本协议“责任限制”部分的约束。
附录1:加工细节
个人资料的种类 用户名、电子邮件地址和IP地址。
有关这些数据的详细信息将在JFrog中进一步规定隐私政策
处理时间 在云服务存续期间,并根据当地法律要求。
处理的性质和目的 向客户提供云服务。
资料当事人的类别 被授权使用云服务的控制方员工。
传输的敏感数据 不适用。
转移频率 本协议有效期内的连续基础。
用于传输到子处理器 如上所述。
附录2: 标准合同条款

双方同意本协议的条款标准合同条款在此通过引用合并,并适用于限制性转让,具体如下:

模块II -控制器到处理器
第7条-对接条款 不适用。
第9(a)条-子处理器的使用 方案2:适用一般书面授权;新的分处理器将提前十(10)天发出事先通知;指定和反对变更的方法见8节DPA的。
第11条-赔偿 可选语言不适用。
第17条-适用法律 应适用方案1;双方同意,scc应受爱尔兰共和国法律管辖。
第18(b)条-管辖权 争议将在爱尔兰共和国法院解决。
附件I.A -缔约方名单
客户/数据导出者 JFrog /数据导入器
角色 控制器 处理器
相关活动 云服务的使用 提供云服务
姓名、地址和联系方式 如本协议所述
签字及日期 通过签署本协议和/或DPA,数据出口商被视为已在本协议生效日期签署了本协议所包含的这些scc,包括其附件
附件一b -转让说明,详情见附录1DPA的。
附录I.C -主管监管机构(根据第13条)
数据出口商的主管监管机构将根据GDPR确定。
附件二- JFrog云服务技术和组织措施,详情如下在这里

附件三- JFrog子公司和分处理器清单,如8.1节DPA的。

附录3:英国国际数据传输附录

    1. 派对。

附件一、

    1. 有效的维吃了。

本英国附录与《标准说明》同日生效。

    1. 背景。

本英国附录是信息专员办公室发布的国际数据传输附录的摘要版本,旨在提供个人数据和数据主体权利的保护标准,这是英国数据保护法在根据英国GDPR第46(2)(d)条进行限制性传输时所要求的标准数据保护条款(“适当的保护措施”),作为具有法律约束力的合同订立时,用于限制性转让。

    1. 解释。
      1. 如果本联合王国附录使用了标准规范中定义的术语,这些术语应与标准规范中定义的术语具有相同的含义。
      2. 如果上述附录1和附录2中的条款以《标准规范规范》或《联合王国附录》所不允许的任何方式修改了《标准规范规范》,则该等修订将不会被纳入本《联合王国附录》,并将以《标准规范规范》的同等条款取而代之。
      3. 如果英国数据保护法与本附录之间存在任何不一致或冲突,则以英国数据保护法为准。
      4. 任何提及立法(或立法的具体条款)意味着立法(或具体条款)可能会随着时间的推移而改变。这包括该立法(或具体规定)在本联合王国附录生效后被合并、重新制定和/或取代的地方。
    2. 层次结构。

如果英国附录与标准规范之间存在任何不一致或冲突,则英国附录优先于标准规范,除非标准规范中不一致或冲突的条款为数据主体提供了更大的保护,在这种情况下,这些条款将优先于英国附录。

  1. 条款的合并。
    1. 本英国附录包含了被认为在必要的程度上进行了修改的scc,以便在英国数据保护法适用于数据出口商进行该转移时的处理的情况下,它们一起适用于数据出口商向数据进口商进行的转移;并为这些转移提供适当的保障;
    2. 对《标准及服务规范》作出以下修订:
    “条款” 英国附录,因为它包含了标准规范。
    “法规(EU) 2016/679”和“该法规” 替换:“英国数据保护法”和对“法规(EU) 2016/679”特定条款的引用被替换为英国数据保护法的同等条款或章节。
    法规(EU) 2018/1725 移除。
    “联盟”、“欧盟”和“欧盟成员国” 替换:英国。
    第2条-条款的效力和不变性 删除:“并且,关于从控制者到处理者和/或处理者到处理者的数据传输,根据法规(EU) 2016/679第28(7)条的标准合同条款。”
    第6条-转让的描述 替换为:“传输的详细信息,特别是传输的个人数据的类别和传输的目的,在附录A (B)中指定,其中英国数据保护法适用于数据出口商在进行传输时的处理。”
    第8.8(i)条-继续转移 替换为:“根据涵盖后续转移的英国GDPR第17A条,转移到受益于充分性法规的国家;”
    第13(a)条-监督 未使用时,“主管监管机构”和“监管机构”都被“信息专员”取代。
    第16(e)条-不遵守条款和终止 替换为:“国务卿根据《2018年数据保护法》第17A条制定法规,涵盖这些条款适用的个人数据转移;”
    第17条-适用法律 改为:“本条款受英格兰和威尔士法律管辖。”
    第18(b)条-管辖权 改为:“由本条款引起的任何争议应由英格兰和威尔士法院解决。数据主体也可以向联合王国任何国家的法院对数据出口者和/或数据进口者提起法律诉讼。双方同意接受这些法院的管辖。”
    脚注 除脚注8、9、10和11外,不构成英国附录的一部分。
  2. 本联合王国附录的修订。
    1. 双方可在保留适当保障措施的前提下,通过书面同意修改本联合王国附录。
    2. ICO可能会不时发布修订后的英国附录,其中将指定对英国附录的更改生效的开始日期,以及双方是否需要对其进行审查,该修订将从指定的开始日期自动进行修订。
  3. 执行本联合王国附录。
    1. 双方可以以任何方式加入本英国附录(包含标准约定条款),使其对双方具有法律约束力,并允许数据主体行使标准约定条款中规定的权利。
    2. 签署本英国附录与签署协议及协议的任何部分具有相同的效力。
    3. 通过签订本协议和/或DPA,数据出口商被视为已在本协议生效日期签署了本英国附录。