JFrog云数据处理附录

本资料处理附录("德通社或"齿顶高)特此通过引用纳入JFrog云服务服务条款(以下简称“云服务”)可用在这里，或客户与JFrog之间就JFrog提供其任何云服务(“协议”)，其中JFrog及其关联公司(“JFrog或"处理器)作为客户个人资料的处理者。双方应被称为“方”。本协议中未定义的所有大写术语均具有本协议中规定的含义。

就本DPA而言，“客户或"控制器"应包括使用本适用协议项下提供的云服务的个人，以及该个人代表其行事的任何法律实体。本DPA列出了JFrog在根据本协议向客户提供云服务的过程中代表客户处理个人数据(定义如下)的适用条款。

1. 定义．
   在本增编中，下列用语的含义如下:
   1. ”控制器”、“成员国”、“过程/处理”、“处理器，和特殊类别的个人资料与《数据保护法》中定义的含义相同;
   2. ”资料保护法例指欧洲议会和理事会2016年4月27日关于个人数据处理和此类数据自由流动方面保护自然人的条例(EU) 2016/679 (GDPR)，以及英国数据保护法指的是《2018年数据保护法》，以及根据《2018年欧盟(退出)法案》第3节以及经《2019年数据保护、隐私和电子通信(修正案等)(欧盟退出)条例》(SI 2019/419)修订的构成英格兰、威尔士、苏格兰和北爱尔兰法律一部分的GDPR (英国GDPR)，以适用于根据“协议”处理个人资料;
   3. ”资料当事人要求指数据主体根据数据保护法行使任何权利的请求;
      
   4. ”国际数据传输附录"指由英国资讯专员公署(”图标”)根据《2018年数据保护法》S119A(1)向scc提交，用于进行受限转让的各方(“英国附录”);
   5. ”个人资料"指与已识别或可识别自然人有关的任何资料("数据对象)，控制者在履行处理者在本协议项下的权利或义务时向处理者披露的信息，只要此类信息与EEA居民有关，或者此类信息的披露受数据保护法的其他约束;
   6. ”个人资料泄露“指违反安全导致处理者代表控制者传输、存储或以其他方式处理的个人数据的意外或非法破坏、丢失、更改、未经授权的披露或访问;
   7. ”限制转让"指个人数据从控制者转移到处理者，转移到欧洲经济区以外的司法管辖区("经济区)及/或大不列颠及北爱尔兰联合王国("英国”);
   8. ”标准合约条款“指欧盟委员会根据法规(EU) 2016/679不时更新、修订、取代或取代的2021年6月4日欧盟委员会实施决定(EU) 2021/914所规定的向第三国转移个人数据的标准合同条款，这些条款不能确保充分的保护水平(“鳞状细胞癌”);而且
   9. ”监督权力“指(i)由成员国根据GDPR设立的独立公共机构;以及(ii)英国的ICO。
2. 披露个人资料．
   控制器将:
   1. 仅允许处理者按照适用的数据保护法的要求处理个人数据;
   2. 仅为一项或多项与本协议条款一致的明确目的而披露个人资料(“允许的目的”);
   3. 对个人数据的准确性、质量和合法性以及控制者获取个人数据的方式全权负责;
   4. 确保已向相关数据主体提供并将继续提供通知，通知他们其个人数据将被披露给处理者或描述处理者的第三方类别;
   5. 确保其已获得允许处理者为许可目的自由处理个人数据所需的任何必要的同意或授权;
   6. 不向处理者披露任何特殊类别的个人数据;而且
   7. 对从控制器传输到处理器的任何个人数据的安全性负责。
3. 个人资料的处理．
   作为处理器，JFrog将:
   1. 仅代表控制者的合理指示并按照控制者的合理指示处理个人数据;
   2. 不以与许可目的不兼容的方式处理个人数据(除了遵守处理者所遵守的适用法律的要求);
   3. 不处理个人数据的时间超过实现许可目的所需的时间(除了遵守处理者所遵守的适用法律的要求);
   4. 确保其人员和子处理者遵守处理控制者个人数据的等效措施;
   5. 将在行业可接受的标准范围内尽最大努力采取适当的技术和组织安全措施，以保护个人数据免受未经授权或非法处理，或意外丢失、破坏或损坏;而且
   6. 合理地协助控制者，以促进控制者履行其义务，以遵守数据主体或监管机构在适用的数据保护法中规定的任何权利的行使。
4. 处理详情．
   双方承认，JFrog处理个人数据是为了根据本协议履行云服务。处理的性质和目的，以及处理的持续时间，个人数据的类型(不包括任何特殊类别的个人数据)，以及根据本DPA处理的数据主体的类别，详见附录1到这个DPA。个人资料是为DPA中规定的许可目的而披露和转移的。
5. 限制转移．
   1. 关于从控制者到JFrog的个人数据受限传输，双方在此签订scc的模块II(控制者到处理器)，该模块被纳入本附录作为附录2；对于来自英国的限制转移，英国附录被合并为附录3．
   2. 其本身及其有关附属机构的控制人是数据出口国，而JFrog及其相关关联公司是数据进口国，双方有权为自己和各自的相关关联公司订立scc和英国附录。
6. 个人资料泄露。
   1. 在涉及JFrog代表控制者处理的个人数据的任何个人数据泄露后，JFrog将毫不迟延地通知控制者。
   2. JFrog将在合理要求的范围内，就个人数据泄露后需要向监管机构或受影响的数据主体发出的任何通知进行合作，因为这涉及到本DPA下JFrog对个人数据的处理。
   3. 在没有JFrog事先书面批准的情况下，控制者不会就直接或间接识别JFrog的任何个人数据泄露进行任何发现或承认责任。
7. 安全责任．
   JFrog负责实施和维护技术和组织措施(“汤姆s”)的云服务，如所述在这里，旨在保障个人资料的安全，防止未经授权的处理及意外或非法的遗失、查阅或披露。
8. Sub-Processors．
   1. JFrog可能会聘请第三方服务提供商代表控制器处理个人数据(“Sub-Processors)在云服务有效期内。Controller为JFrog提供了使用列出的子处理器的通用授权在这里．JFrog可能会与一个新的子处理器合作，代表控制器处理个人数据。控制者应订阅关于云服务的新子处理器的通知在这里．当控制者订阅时，JFrog将在允许他们处理与提供云服务相关的个人数据之前，提供新的子处理器的通知。所有子处理器都必须遵守本DPA下与JFrog相当的适用于其服务履行的义务。
   2. 控制器可以以合理和解释的理由反对JFrog使用新的子处理器，通过书面通知JFrogprivacy@www.si-fil.com。在JFrog通知后的5(五)个工作日内。如果控制者反对新的子处理器，JFrog将尽合理努力向控制者提供云服务的更改，或建议对云服务的配置或使用进行商业上合理的更改，以避免被反对的新子处理器处理个人数据，而不会给控制者造成不合理的负担。如果在控制者提出合理反对后的九十(90)天内，JFrog无法提供商业上合理的替代方案，控制者作为其与此相关的唯一和独家补救，可以在提前三十(30)天书面通知JFrog的情况下终止受影响的云服务部分。
9. 删除个人资料．
   协议终止或到期后，JFrog应在最多六十(60)天内删除控制者根据协议提供的所有个人数据。为消除疑问，在本协议终止后，JFrog将没有任何义务保留该等数据。此要求不适用于(i)在JFrog所适用的适用法律要求JFrog保留部分或全部个人数据的范围内;(ii)备份系统上的存档数据(例如，以审计日志的形式)。在这种情况下，应安全隔离相关个人数据，并保护其不受任何进一步处理，适用法律要求的范围除外。
10. 审计．
    应允许控制者自行承担费用和开支，通过执行年度虚拟隐私和信息安全评估来监督JFrog是否遵守本DPA。JFrog将:(i)向控制者和任何相互授权的第三方代表提供必要的非内部文件，以证明遵守与个人数据保护有关的本DPA;这可能包括对隐私和信息安全问卷的回应、JFrog平台或流程的相关审计、审查、测试或认证的副本，包括年度SOC2 Type II报告、ISO 27001和ISO 27017认证;(ii)将其控制维持在此类评估中向控制者证明的水平。
11. 政府请求．
    在收到任何政府(包括政府机构和执法机构)要求披露个人数据的任何请求后，JFrog应在法律允许的范围内，(i)及时将收到的请求转发并通知“控制人”;(ii)在可能的情况下，作出合理努力反对该项要求;以及(iii)将任何披露的范围限制在响应请求所严格必要的范围内。
12. 冲突．
    1. 如果本DPA的某些规定与本协议的规定之间存在任何冲突或不一致，则本DPA的规定应仅在个人数据处理方面优先于本协议的冲突规定;
    2. 如果本DPA的某些规定与其任何附表和scc之间有任何冲突，应以后者为准。
13. 适用法律及司法管辖权．
    在不损害scc第17和18条及联合王国增编的情况下:
    1. 本附录各方在此就本附录项下产生的任何争议或索赔，包括关于本附录的存在、有效性或终止或无效后果的争议，服从本协议规定的司法管辖区的选择;而且
    2. 本附录以及因本附录而产生的或与本附录有关的所有非合同义务或其他义务，均受本协议中为此目的规定的国家或地区的法律管辖。
14. 责任限制．
    JFrog及其关联公司因本附录而产生的或与本附录有关的责任，无论是在合同、侵权或任何其他责任理论下，均受本协议“责任限制”一节的约束。

个人资料类别	用户名、邮箱地址、IP地址。 关于这些数据的细节在JFrog中有进一步的规定隐私政策．
处理时间	在云服务有效期内，并受当地法律要求的约束。
加工的性质和目的	向客户提供云服务。
资料当事人的类别	控制者的雇员被授权使用云服务。
传送的敏感资料	不适用。
转移频率	本协议持续期间的连续基础。
用于传输到子处理器	如上所述。

双方同意本合同的条款标准合约条款特此通过引用合并，并适用于限制转让，如下:

第7条-停靠条款	不适用。
第9(a)条-子处理器的使用	选项2:适用一般书面授权;新的子处理器将提前十(10)天发出通知;指定及反对该等更改的方法，须载于8节DPA的。
第11条-赔偿	可选语言不适用。
第17条-适用法律	方案1适用;双方同意scc应受爱尔兰共和国法律管辖。
第18(b)条-管辖权	争议将在爱尔兰共和国法院解决。

	客户/数据导出者	JFrog /数据导入器
角色	控制器	处理器
相关活动	使用云服务	提供云服务
姓名，地址和联系方式	详见本协议
签字日期	通过签订本协议和/或DPA，数据出口商被视为自本协议生效日期起已签署本协议中纳入的这些scc，包括其附件

附件三-子公司和子加工者的JFrog清单，按8.1节DPA的。

附录3:英国国际数据传输附录

1. 1. 派对。

详见附件一、．

1. 1. 有效的维吃了。

本英国附录与scc同日生效。

1. 1. 背景。

本英国附录是信息专员办公室发布的国际数据转移附录的摘要版本，旨在提供对个人数据和数据主体权利的保护标准，这是英国数据保护法在根据英国GDPR第46(2)(d)条的标准数据保护条款进行限制性转移时所要求的。适当的保护措施)，以限制转让为目的，当其作为具有法律约束力的合同订立时。

1. 1. 解释。
      1. 本英国附录使用scc中定义的术语时，这些术语应与scc中定义的术语具有相同的含义。
      2. 如果英国附录中包含的条款以scc或英国附录所不允许的方式修改scc，则该等修订将不会纳入英国附录，而scc的同等条款将取而代之。
      3. 如果《联合王国数据保护法》与本《联合王国附录》之间有任何不一致或冲突，则适用《联合王国数据保护法》。
      4. 任何对立法(或立法的具体规定)的引用都是指随着时间的推移可能发生变化的立法(或具体规定)。这包括在本联合王国附录签订后，该立法(或特定条款)已被合并、重新颁布和/或取代。
   2. 层次结构。

如果英国附录和scc之间存在任何不一致或冲突，英国附录将凌驾于scc之上，除非scc中不一致或冲突的条款为数据主体提供了更大的保护，在这种情况下，这些条款将凌驾于英国附录。

1. 条款的合并。
   1. 本英国附录包含了被视为在必要程度上进行了修订的scc，以便在英国数据保护法适用于数据出口商在进行转移时的处理的范围内，它们共同适用于数据出口商向数据进口商的转移;并为这些转移提供适当的保障;
   2. 本署对《条例草案》作出以下修订:

   “条款”	英国附录，因为它合并了scc。
   “规例(EU) 2016/679”及“该规例”	替换:“英国数据保护法”和“条例(欧盟)2016/679”的特定条款被替换为英国数据保护法的等效条款或章节。
   法规(EU) 2018/1725	移除。
   “联盟”、“欧盟”及“欧盟成员国”	替换:英国。
   第2条-条款的效力和不变性	删除:“以及，关于从控制者到处理者和/或处理者到处理者的数据传输，根据法规(EU) 2016/679第28(7)条的标准合同条款”
   第6条-转让的描述	替换为:“转移的细节，特别是转移的个人数据类别和转移的目的是附录A (B)中规定的，其中英国数据保护法适用于数据出口商进行转移时的处理。”
   第8.8(i)条-转帐	替换为:“转移到根据英国GDPR第17A条规定的充分性法规受益的国家，该法规涵盖了转移;”
   第13(a)条-监督	不使用时，“主管监管机构”和“监管机构”都被“信息专员”取代。
   第16(e)条-不遵守本条款和终止	替换为:“国务卿根据《2018年数据保护法》第17A条制定法规，涵盖这些条款适用的个人数据转移;”
   第17条-适用法律	替换为:“本条款受英格兰和威尔士法律管辖。”
   第18(b)条-管辖权	替换为:“由本条款引起的任何争议应由英格兰和威尔士法院解决。数据主体也可在英国任何国家的法院对数据出口商和/或数据进口商提起法律诉讼。双方同意接受这类法院的管辖。”
   脚注	除脚注8、9、10和11外，不构成英国附录的一部分。

2. 本英国附录的修订。
   1. 只要双方保持适当的保障措施，双方可以书面同意修改本联合王国附录。
   2. ICO可不时发布经修订的《联合王国附录》，其中将规定对《联合王国附录》的更改生效的起始日期，以及双方是否需要审查该修订，该修订将自指定的起始日期起自动修订。
3. 执行本英国附录。
   1. 双方可以以任何方式签订本英国附录(包括scc)，使其对双方具有法律约束力，并允许数据主体执行scc中规定的权利。
   2. 通过签订本协议和/或DPA，数据出口商被视为自本协议生效日期起已签署本英国附录。