JFrog云数据处理附录

最后更新日期:2023年1月1日

图标下载下载德通社

2021年6月4日,欧盟委员会发布了一套新的标准合同条款(“SCCs”)。如果您和JFrog签订的协议引用了以前的标准规范,则这些标准规范将被下文附录2中提供的新标准规范所取代。所有其他商业和隐私条款将保持不变。如果您有进一步的问题,请联系compliance@www.si-fil.com。

JFrog云数据处理附录(“德通社)是…的一部分JFrog Cloud条款和条件可以在//www.si-fil.com/cloud-terms-and-conditions/或由JFrog与客户签订的协议(“协议”)。双方简称为“”。本协议中未定义的任何大写术语应具有本协议中赋予其的含义。在某种程度上,JFrog ()JFrog”、“处理器"或"服务提供者代表客户处理任何个人资料("客户”、“控制器"或"业务“)就JFrog平台而言,应适用本DPA的规定。

  1. 定义
  2. 处理详情
  3. 披露个人资料
  4. 个人资料的处理
  5. 与加州相关的个人数据处理
  6. 限制转移
  7. 安全责任
  8. 安全漏洞
  9. SUB-PROCESSORS
  10. 资料保护影响评估
  11. 政府请求
  12. 删除个人资料
  13. 审计报告
  14. 冲突
  15. 适用法律和管辖权

附录1:加工细节

附录2:标准合同条款

附录3:英国国际数据传输附录

  1. 定义
    在本DPA中,以下术语具有如下含义:

    1. 控制器”、“成员国”、“过程/处理”、“处理器”、“个人资料的特殊类别”、“业务”、“消费者”、“个人信息”、“出售”、“分享"和"服务提供者的含义与资料保护法例的定义相同;
    2. 资料保护法例“指的是(i) 2016年4月27日欧洲议会和理事会关于个人数据处理和此类数据自由流动方面保护自然人的第(EU) 2016/679号条例(”GDPR”);(2)英国数据保护法也就是说根据《2018年欧盟(退出)法》第3条并经《2019年数据保护、隐私和电子通信(修正案等)(欧盟退出)条例》(SI 2019/419)修订,构成英格兰和威尔士、苏格兰和北爱尔兰法律的一部分的《通用数据保护条例》(“英国GDPR”);(3)加州数据保护法指《2018年加州消费者隐私法》、《加州民法典》第1798.100条及以下。(“CCPA“)包括经《2020年加州隐私权法》及其实施条例修订的内容(“CPRA“),不时修订或取代,并适用于本DPA项下的个人数据处理;
    3. 资料当事人要求“指数据主体根据数据保护法行使适用权利的请求;
    4. 国际数据传输附录"指英国信息专员办公室("图标“)根据《2018年数据保护法》第119a(1)条,向SCCs提交进行限制性转让的各方(”英国附录”);
    5. 个人资料指与已识别或可识别的自然人有关的任何信息(数据对象“),如果此类信息与欧洲经济区居民有关,或者此类信息的披露受数据保护法的约束;
    6. 限制转让“指将个人数据从控制者转移到处理者,转移到欧洲经济区以外的司法管辖区(”经济区”)及/或大不列颠及北爱尔兰联合王国("英国”);
    7. 安全漏洞“指违反安全规定,导致未经授权、意外或非法销毁、丢失、更改、披露或访问经JFrog验证的个人数据;
    8. 标准合同条款“指的是将个人数据转移到第三国的标准合同条款,这些条款不能确保欧盟委员会2021年6月4日实施决定(EU) 2021/914所规定的足够的保护水平,并由欧盟委员会不时更新、修订、取代或取代(”鳞状细胞癌”);和
    9. 监督权力“在适用情况下,指有权执行数据保护法的指定政府实体,包括但不限于(i)成员国根据GDPR设立的独立公共机构;以及(ii)英国的ICO。
  2. 处理详情
    双方承认,JFrog对个人数据的处理是为了根据本协议提供JFrog平台。处理的性质和目的、处理的持续时间、个人数据的类型以及根据本数据保护条例处理个人数据的数据主体的类别,详见附录1.个人资料的披露和转移是出于本保密协议所载的许可目的。
  3. 披露个人资料
    控制器将:

    1. 处理者只能按照适用的数据保护法的要求处理个人数据;
    2. 仅为符合本协议条款的一个或多个明确目的向处理者披露个人数据(“允许的目的”);
    3. 对个人数据的准确性、质量和合法性以及控制者获取个人数据的方式负全部责任;
    4. 在数据保护法要求的情况下,确保相关数据主体可以获得并将继续访问通知,告知他们的个人数据将被披露给处理者或描述处理者的一类第三方;和
    5. 不向处理者披露任何特殊类别的个人资料。
  4. 个人资料的处理

    作为处理器,JFrog将:

    1. 仅代表控制者并按照本DPA中详细说明的合理指示处理个人数据;
    2. 不以与许可目的不相容的方式处理个人数据,或不以超过执行许可目的所需的时间处理个人数据(除遵守处理者所受适用法律的要求外);
    3. 确保其负责处理个人资料的人员知悉个人资料的机密性,并已就其职责接受适当培训,并已签署书面保密协议;
    4. 会实施适当的技术及组织措施(“汤姆斯“)保护个人资料免遭下文第7节(安全责任)所述的安全漏洞;和
    5. 合理地协助控制者促进控制者履行其义务,以遵守数据主体或监管机构在适用的数据保护法中规定的任何数据主体请求的行使,在控制者没有能力履行此类请求的情况下。
  5. 限制转移

    关于个人数据从控制者向JFrog的受限转移,双方特此签订scc模块II(控制者到处理者),该模块II并入本DPA如下附录2;对于来自英国的限制性转让,英国附录被合并为附录3.双方有权为自己及其各自的相关关联公司签订scc和英国附录。如果欧洲经济区和/或英国以外的限制性个人数据转移机制发生变化或需要更新,JFrog将根据适用的数据保护法的要求,为此类限制性转移提供替代安排。

  6. 安全责任
    在实施和维护中所述的TOMs时,JFrog应考虑到技术状况、实施成本、性质、范围、背景和允许的处理目的,以及风险的严重程度,以及行业最佳实践,确保适当的安全级别附件二,旨在帮助保护个人资料免遭安全漏洞。JFrog应定期监测TOMs的遵守情况,且在本协议有效期内不得实质性降低JFrog平台的整体安全性。
  7. 安全漏洞
    1. 如果发生涉及由JFrog代表控制者处理的个人数据的安全漏洞,JFrog将在确认后的72小时内及时通知控制者,除非监管机构的行为或命令延迟或禁止该通知。JFrog将向控制人提供以下描述:(i)安全漏洞的性质;(ii)安全漏洞可能造成的后果;(iii)为解决安全漏洞而采取的缓解措施。
    2. 考虑到风险的严重程度,JFrog应采取符合行业最佳做法的一切必要措施,尽快解决该等安全漏洞并防止其再次发生。JFrog将合理地协助控制人就安全漏洞进行调查和分析。
    3. 就安全漏洞发生后要求向监管机构或受影响的数据主体发出的任何通知,只要涉及JFrog根据本DPA处理个人数据,JFrog将在合理要求的范围内与控制者合作。
    4. 未经JFrog事先书面批准,控制人不得就直接或间接识别JFrog的任何安全漏洞的任何发现或承认责任进行沟通。
  8. SUB-PROCESSORS
    1. JFrog可聘请第三方服务提供商代表控制者处理个人数据(“Sub-Processors“),在本协议有效期内。控制器向JFrog提供了一种通用授权,可以使用列于附件3在下面。JFrog可与新的子处理器签约,代表控制者处理个人数据。JFrog应保持在线提供的子处理器列表,控制器应在以下地址订阅新子处理器的通知//www.si-fil.com/trust/privacy/sub-processors/.当控制者订阅时,JFrog将在允许其处理与提供JFrog平台相关的个人数据之前三十(30)天通知新的子处理器。所有子处理器都必须遵守本DPA项下适用于其履行相关服务的与JFrog同等的义务。JFrog应对其子处理器遵守本DPA的义务负责。
    2. 控制者可以书面通知JFrog,以合理且已解释的理由反对JFrog使用新的子处理器,该子处理器与拟由该子处理器处理的个人数据的保护有关privacy@www.si-fil.com在JFrog发出通知后的十(10)天内。如果未收到反对意见,则视为控制人已授权进行预期变更。如果控制者反对该新的子处理器,则JFrog将尽合理努力提供和/或建议控制者对JFrog平台的配置或使用进行商业上合理的更改,以避免被反对的新子处理器处理个人数据,而不会给控制者带来不合理的负担。如果在控制者提出合理反对后的九十(90)天内,JFrog无法提供商业上合理的替代方案,则控制者可以在提前三十(30)天向JFrog发出书面通知后,终止受影响的个人数据处理,作为其与此相关的唯一和排他性补救措施。
  9. 资料保护影响评估
    考虑到处理的性质和JFrog可获得的信息,当数据保护法要求时,JFrog将协助控制者履行其与数据保护影响评估相关的义务,并事先与监管机构进行磋商,只有在控制者无法以其他方式访问相关信息的情况下,包括提供下文第13条(审计报告)中概述的信息。
  10. 政府请求
    在收到任何政府(包括政府机构和执法机构)要求披露个人数据的任何请求后,JFrog应在法律允许的范围内(i)迅速转发并通知控制者收到该等请求;(ii)在可能的情况下作出合理努力反对该请求;以及(iii)将任何披露的范围限制在响应请求所绝对必要的范围内。
  11. 删除个人资料
    本协议终止或期满后,JFrog应在六十(60)天内删除控制者根据本协议提供的个人数据。本协议终止后,JFrog将无义务保留该等个人资料。此要求不适用于(i) JFrog须遵守的适用法律要求保留部分或全部个人资料的范围;及(ii)作为JFrog标准存档或备份系统的一部分,前提是该等个人资料将继续受本数据保护条例的规定约束。在这种情况下,除适用法律要求的范围外,相关的个人数据应被安全隔离,并免受任何进一步处理。
  12. 审计报告
    控制者可根据以下条件评估JFrog对本DPA的遵守情况:(i)至少提前三十(30)天提出书面请求;(ii)每年一次,以及(iii)根据本协议的保密规定。JFrog将以(a)数据保护和信息安全问卷的形式,向控制者和任何相互授权的第三方代表提供与个人数据保护相关的适用文件;(b) JFrog相关审核、评审、测试或认证的副本或摘录,包括年度SOC2 II型报告、ISO 27001、ISO 27701和ISO 27017认证。不得要求JFrog提供可能导致JFrog损害其内部、法律或监管合规义务或商业敏感的信息。
  13. 冲突

    如果本DPA的某些条款与本协议的条款之间存在任何冲突或不一致,则仅就个人数据的处理而言,本DPA的条款应优先于本协议的冲突条款。如果本DPA的某些条款与其任何附表和scc之间存在任何冲突,则以后者为准。

  14. 适用法律和管辖权

    在不影响scc第17条和第18条以及英国附录的情况下,本DPA以及由此产生的或与之相关的所有非契约性或其他义务均受法律管辖,并受协议中规定的法院的专属管辖权管辖。



    附录1:加工细节

    处理的性质和目的 向客户提供JFrog平台。
    资料当事人的类别 经授权使用JFrog平台的控制人员工。
    个人资料的种类 用户名、电子邮件地址和IP地址。
    转移的个人资料的特殊类别 不适用。
    处理时间 在本协议有效期内,并受当地法律要求的约束。
    转移频率 本协议有效期内的连续基础。
    用于传输到子处理器 如上所述。



    附录2:标准合同条款

    双方同意本协议的条款标准合同条款在此通过引用合并,并适用于限制性转让,具体如下:


    模块II -控制器到处理器

    第7条-对接条款

    		 不适用。

    第9(a)条-子处理器的使用

    		 方案2:适用一般书面授权;在事先通知的情况下,指定和反对此类变更的方法应按本DPA第9条规定。

    第11条-赔偿

    		 可选语言不适用。

    第17条-适用法律

    		 应适用方案1;双方同意,scc应受爱尔兰共和国法律管辖。

    第18(b)条-管辖权

    		 争议将在爱尔兰共和国法院解决。


    附件I.A -缔约方名单

    客户/数据导出者 JFrog /数据导入器
    角色 控制器 处理器
    相关活动 使用JFrog平台 提供JFrog平台
    姓名、地址和联系方式 如本协议所述。
    签字及日期 通过签署本协议和/或DPA,数据出口商被视为已在本协议生效日期签署了本协议所包含的这些scc,包括其附件。


    附件一b -转让说明    ,详情见附录1这个DPA。

    附录I.C -主管监管机构(根据第13条):

    数据出口商的主管监管机构将根据GDPR确定。

附件二- JFrog云服务技术和组织措施,详情如下在这里

附件三- JFrog子公司和分处理器清单,如9.1节DPA的。



附录3:英国国际数据传输附录

  1. 派对。
    附件一、
  2. 有效日期。
    本英国附录与《标准说明》同日生效。
  3. 背景。
    本英国附录是信息专员办公室发布的国际数据传输附录的摘要版本,旨在提供个人数据和数据主体权利的保护标准,这是英国数据保护法在根据英国GDPR第46(2)(d)条进行限制性传输时所要求的标准数据保护条款(“适当的保护措施”),作为具有法律约束力的合同订立时,用于限制性转让。
  4. 解释。
    1. 如果本联合王国附录使用了标准规范中定义的术语,这些术语应与标准规范中定义的术语具有相同的含义。
    2. 如果上述附录1和附录2中的条款以《标准规范规范》或《联合王国附录》所不允许的任何方式修改了《标准规范规范》,则该等修订将不会被纳入本《联合王国附录》,并将以《标准规范规范》的同等条款取而代之。
    3. 如果英国数据保护法与本附录之间存在任何不一致或冲突,则以英国数据保护法为准。
    4. 任何提及立法(或立法的具体条款)意味着立法(或具体条款)可能会随着时间的推移而改变。这包括该立法(或具体规定)在本联合王国附录生效后被合并、重新制定和/或取代的地方。
  5. 层次结构。
    如果英国附录与标准规范之间存在任何不一致或冲突,则英国附录优先于标准规范,除非标准规范中不一致或冲突的条款为数据主体提供了更大的保护,在这种情况下,这些条款将优先于英国附录。
  6. 条款的合并。
    1. 本英国附录包含了被认为在必要的程度上进行了修改的scc,以便在英国数据保护法适用于数据出口商进行该转移时的处理的情况下,它们一起适用于数据出口商向数据进口商进行的转移;并为这些转移提供适当的保障;
    2. 对《标准及服务规范》作出以下修订:
    “条款” 英国附录,因为它包含了标准规范。
    “法规(EU) 2016/679”和“该法规” 替换:“英国数据保护法”和对“法规(EU) 2016/679”特定条款的引用被替换为英国数据保护法的同等条款或章节。
    法规(EU) 2018/1725 移除。
    “联盟”、“欧盟”和“欧盟成员国” 替换:英国。
    第2条-条款的效力和不变性 删除:“并且,关于从控制者到处理者和/或处理者到处理者的数据传输,根据法规(EU) 2016/679第28(7)条的标准合同条款。”
    第6条-转让的描述 替换为:“传输的详细信息,特别是传输的个人数据的类别和传输的目的,在附录A (B)中指定,其中英国数据保护法适用于数据出口商在进行传输时的处理。”
    第8.8(i)条-继续转移 替换为:“根据涵盖后续转移的英国GDPR第17A条,转移到受益于充分性法规的国家;”
    第13(a)条-监督 未使用时,“主管监管机构”和“监管机构”都被“信息专员”取代。
    第16(e)条-不遵守条款和终止 替换为:“国务卿根据《2018年数据保护法》第17A条制定法规,涵盖这些条款适用的个人数据转移;”
    第17条-适用法律 改为:“本条款受英格兰和威尔士法律管辖。”
    第18(b)条-管辖权 改为:“由本条款引起的任何争议应由英格兰和威尔士法院解决。数据主体也可以向联合王国任何国家的法院对数据出口者和/或数据进口者提起法律诉讼。双方同意接受这些法院的管辖。”
    脚注 除脚注8、9、10和11外,不构成英国附录的一部分。
  7. 本联合王国附录的修订。
    1. 双方可在保留适当保障措施的前提下,通过书面同意修改本联合王国附录。
    2. ICO可能会不时发布修订后的英国附录,其中将指定对英国附录的更改生效的开始日期,以及双方是否需要对其进行审查,该修订将从指定的开始日期自动进行修订。
  8. 执行本联合王国附录。
    1. 双方可以以任何方式加入本英国附录(包含标准约定条款),使其对双方具有法律约束力,并允许数据主体行使标准约定条款中规定的权利。
    2. 签署本英国附录与签署协议及协议的任何部分具有相同的效力。
    3. 通过签订本协议和/或本DPA,数据出口商被视为已在本协议生效日期签署了本英国附录。