功能
价格
登录 开始使用

托管服务条款

最后更新时间:2022年7月22日(见 旧版本)。

在访问或使用以下订阅服务(下定义)之前,请仔细阅读以下条款和条件。

本协议(下定义)的条款和条件 govern use of the Subscription Services 除非您和 Metabase, Inc.(“Metabase”)签署了另行定义的订阅服务使用协议。

Metabase 只在您接受本协议中包含的所有条款的条件下才愿意向您提供订阅服务。通过在注册页面点击标有“订阅”的复选框或访问或使用订阅服务,您表明您理解本协议并接受其所有条款。如果您代表公司或其他法律实体接受本协议的条款,您代表并保证您有权将该公司或其他法律实体绑定到本协议的条款,在这种情况下,“您”和“您的”将指该公司或其他法律实体。如果您不接受本协议的所有条款,则您不得接受本协议,并且您不得使用订阅服务。

1. 定义。

“客户应用程序数据” 指您和您的授权用户输入订阅服务中的数据。客户应用程序数据包括每个授权用户的登录凭证和您授权用户提交的查询。

“客户业务数据” 指您在使用订阅服务过程中检索或访问的外部数据库中的数据。

“客户数据” 指客户应用程序数据、客户业务数据和客户元数据。

“客户元数据” 指描述客户数据的资料。客户元数据可能包括如数据库中的数据集数量、数据集的平均大小、用户连接的数据库软件或Metabase生成的特定数据集描述等数据。

2. 订阅服务。

2.1 订阅服务。在您遵守本协议的条款和条件的情况下,自服务开始日期起,并在订阅期限(如下定义)内:(i)Metabase 将向您提供订阅服务,并且您可以在订单中指定的使用限制内仅用于您的内部商业目的访问和使用订阅服务;(ii)Metabase 将根据Metabase不时制定的政策,提供适用于您已订阅的服务级别的支持服务。

2.2 授权用户。订阅服务只能由您的雇员和独立承包商访问和使用,他们只能出于为您执行工作职能或服务的唯一目的(适用)访问和使用订阅服务(“授权用户”),并且只能达到订单中指定的授权用户数量。每个授权用户的登录凭证仅适用于单个个人,并且不能共享或由超过1人使用。您对授权用户账户下采取的所有行为负责,无论该行为是否由授权用户采取或授权。

2.3 第三方利益。如果订单授权“客户使用”,则在本协议的条款和条件(包括根据第4节支付适用费用)下,Metabase 向公司授予非独占的、不可转让的、不可再许可的、全球范围的有限许可,在公司的应用程序(在订单表中识别)内运营服务,并允许公司的客户(“客户”)作为公司应用程序的一部分访问服务。客户的任何使用都必须遵守一项最终用户许可协议,该协议保护Metabase的程度与该协议保护Metabase的程度相同(“许可协议”)。

2.4 分发许可。如果订单授权“分发权”,则在本协议的条款和条件(包括根据第3节支付适用费用)下,Metabase 向您授予非独占的、不可转让的、不可再许可的、全球范围的有限许可,将软件仅分发至客户(a)作为公司应用程序中嵌入(如果客户与公司签订协议以保护Metabase和软件,保护程度与该协议相同),(b)供客户使用和操作公司应用程序,不得进一步分发,以及(c)供公司应用程序的最终用户(“最终用户”)使用,前提是最终用户执行许可协议。

2.5 限制。您代表自己及您的授权用户同意不得:(1)复制、修改、篡改、反编译或逆向工程订阅服务(包括其源代码、目标代码、底层结构和算法);(2)转售或以其他方式将订阅服务提供给任何第三方;(3)直接或间接使用订阅服务支持任何非法活动或侵犯他人专有权利的活动;(4)干扰或破坏订阅服务或试图访问连接到订阅服务的任何系统或网络(除非为访问和使用订阅服务所必需);(5)使订阅服务的任何安全或身份验证措施失效、受损或绕过;(6)使用订阅服务或其输出,全部或部分地培训、校准或验证其他系统、程序或平台,或用于基准测试、软件开发或其他竞争目的;或者(7)允许任何第三方进行上述任何行为。您对授权用户使用订阅服务及其遵守本协议负责。

3. 客户数据。

3.1 客户数据。在您与Metabase之间,您拥有所有客户数据的全球权利、所有权和利益。您授予Metabase非独家许可,以访问和使用客户数据为您提供和您的授权用户订阅服务。此外,您还授予Metabase非独家许可,以访问和使用客户应用程序数据(但不包括客户业务数据)和客户元数据,以开发和完善Metabase的产品和服务(包括订阅服务),具体细节请参考Metabase隐私政策,网址为:metabase.com/hosting/privacy_policy。您承认并同意您使用订阅服务受Metabase隐私政策的约束。您对所有客户数据的内容负全责。您声明并保证:(1)您在本协议有效期内拥有并持续拥有访问和使用客户数据以及本协议所涉及软件和系统所需的所有必要权利、权限和许可;(2)Metabase根据本协议使用客户数据不会违反任何适用的法律或法规,也不会导致您与任何第三方之间的协议或义务的违反。本协议附件B中规定的数据处理附加协议现予以纳入。

3.2 安全;备份。Metabase将维护(并将要求其第三方服务提供商维护)旨在保护客户数据免受意外丢失和未经授权的访问或泄露的合理管理、物理和技术安全措施,符合适用的行业标准。Metabase将遵循其标准的存档程序处理客户数据。在客户数据丢失或损坏的情况下,Metabase将尽其商业上合理的努力,从Metabase维护的最新备份中恢复丢失或损坏的客户数据。Metabase不对因您或任何授权用户或第三方导致的客户数据丢失、损坏、变更、未经授权的披露或损坏承担责任。根据本条第3.2款恢复丢失或损坏的客户数据,将构成Metabase在订阅服务中因客户数据丢失或损坏而产生的唯一责任和您唯一的和排他的救济措施。

4. 订阅费及支付。

4.1 订阅费。您将支付订单中规定的费用和收费(“订阅费”)以使用订阅服务。每个订阅期限的基线订阅费将在订单中指定(“基线订阅费”)并在每个订阅期限开始时支付和收费。

4.2 验证;调整。如果订单中指定,则订阅费用将根据订阅服务的使用单位(如用户数量或处理的数据量)计算(每个,称为“单位”)。在适用的情况下,基本订阅费用包括订单中为每个订阅期限指定的单位数量。Metabase可能会创建和维护反映您的账户下订阅服务使用情况的日志。Metabase可能会不时地访问和审查此类日志,以验证您是否符合适用的使用限制和其他本协议条款,并可能使用此类日志来防止或限制对订阅服务的未经授权使用。在不限制Metabase其他权利或救济措施的情况下,如果您的实际订阅服务使用量超过了您为订阅期限预付的基本订阅费用所覆盖的单位数量,Metabase将向您收取基本订阅费用所覆盖的单位数量与您在该订阅期限实际使用的单位数量之间的差额(称为“额外单位费用”)。

4.3 付款条款。如果您已向我们提供信用卡详情,我们将对您的信用卡进行以下收费:(i)每个订阅期限开始时,收取基本订阅费用;(ii)在我们的发票发出后三十(30)天内,收取您应付的任何额外单位费用(如果有)。我们将就我们对您的信用卡所收取的任何费用向您发出付款确认。如果我们向您发出发票,所有发票均按订单中付款条款部分的规定支付(或如果没有规定,则在收到发票后三十(30)天内支付)。所有金额均以美元表示,不包括税费、关税、摊派、关税和其他政府费用(统称为“税费”)。您负责支付所有税费以及因向Metabase付款而产生的任何相关利息和/或罚款,但基于Metabase净收入的税费除外。所有逾期金额将按每月1%的利率收取利息,或按法律规定允许的最高利率,以较低者为准。除非本协议明确规定,否则所有付款一旦支付即不可退还。

5. 期限和终止

5.1 订阅期限。本协议自生效日起开始,除非任何一方根据本协议条款提前终止,否则将根据订单中指定的初始订阅期限继续有效。在每个初始订阅期限结束后以及随后的每个续订订阅期限,只要及时支付订阅费用,本协议将自动续订为额外的续订订阅期限,其期限由订单指定(或如果订单未指定续订期限长度,则与初始订阅期限相同),除非任何一方提前15天发出书面非续订通知。本协议中,此类初始订阅期限以及每个续订订阅期限分别称为“订阅期限”。

5.2 违约终止。如果一方违约并在此后的10天内未书面通知对方并纠正违约,另一方有权终止本协议。如果您因违约终止本协议,Metabase将退还您为剩余订阅期限内已支付的订阅服务的未使用部分的订阅费用(如果有的话)。

5.3 额外救济措施 在不限制其他可用的救济措施的情况下,Metabase保留在以下情况下暂停或禁用您及您的授权用户访问订阅服务的权利,即根据本协议应付的任何未争议金额超过30天未偿还。如果Metabase(在其自行决定的情况下)确定: (1) 您或任何授权用户使用订阅服务会干扰、损害或构成安全风险,或者可能对Metabase、订阅服务或任何第三方造成损害;或 (2) 您或任何授权用户违反本协议使用或正在使用订阅服务,Metabase也保留暂停或禁用访问订阅服务的权利。

5.4 终止的影响 在本协议到期或终止的情况下,您(及您的授权用户)访问和使用订阅服务的权利将自动终止,但授权用户在终止后30天内仍可访问订阅服务以下载存储在其上的任何客户数据。Metabase对其根据本协议行使其终止权利而产生的任何成本、损失、损害或责任不承担任何责任。到期或终止时的任何付款义务仍将有效。第2.3条、第3条、第4条、第5.4条以及第6条至第12条(含)的义务和条款将在本协议到期或终止后继续有效。

6. 保密。

各方均理解,一方可能需要披露与披露方业务相关的某些非公开信息,这些信息在披露时被标记或识别为“机密”,或者在本协议中被描述为任何性质的“机密信息”(“机密信息”),与订阅服务的使用和/或性能有关。Metabase的机密信息包括订阅服务的非公开部分以及任何相关文档和定价信息。在本协议有效期内以及之后的三年内,各方同意采取合理预防措施,以防止未经授权披露披露方的机密信息,不得使用此类机密信息,除非经授权或根据本协议履行其义务所必需,不得向任何第三方披露此类机密信息(除非基于知悉必要性的原则,向受保密义务约束的接收方员工、顾问和服务提供商披露,其保密义务至少与本协议对披露方机密信息的保密义务相当)或根据本协议特别允许的情况进行披露。机密信息不包括接收方能够证明以下信息:(1)非因接收方过错,成为公众一般可获得的,或(2)在收到披露方之前就已拥有或知晓,或(3)未经限制地由第三方正当披露,或(4)独立开发,未使用披露方的任何机密信息。如果披露是遵守有效法院命令或传票(在这种情况下,除非法律或法律程序禁止,接收方将及时通知披露方,并在披露方选择质疑披露要求、寻求对要披露的信息进行保密处理或限制要披露的信息的性质或范围时与披露方合作)所必需的,则接收方可以披露机密信息。在本协议终止后,接收方将立即将其拥有的或控制的披露方所有机密信息的副本退还披露方或销毁,但接收方可以保留一份披露方机密信息的副本,仅供监控其根据本协议的合规性之用。尽管有上述规定,但在终止后,Metabase不会保留客户数据,除非根据第5.4条遵守所必需。

7. 所有权。

7.1 Metabase知识产权。在Metabase和您之间,Metabase拥有对订阅服务和使用数据的全球权利、所有权和利益,包括其中的所有知识产权。本协议的目的在于,“知识产权”是指专利权(包括专利申请和披露)、著作权、商业秘密、专有技术以及在任何国家或司法管辖区中承认的任何其他知识产权。

7.2 反馈。如果您提供有关订阅服务的任何想法、建议或建议(“反馈”),Metabase将自由使用、披露、复制、许可或以其他方式分发和利用此类反馈,完全无任何形式的义务或限制。通过提供反馈,您授予Metabase一项全球性、永久性、不可撤销的、有偿的、免版税的、非独占性的许可,允许其在任何方式上使用和利用此类反馈。

7.3 使用数据。您承认并同意,Metabase可能会生成有关订阅服务使用和性能的去标识化数据,并可能保留和使用此类去标识化的使用和性能数据用于其内部商业目的,例如开发和改进Metabase的产品和服务(包括订阅服务)。

8. 无保证。

订阅服务按“现状”提供,不提供任何类型的保证。Metabase放弃所有明示或暗示的保证,包括但不限于任何暗示的适销性、特定用途适用性和非侵权的保证,以及任何基于交易过程或商业习惯而产生的保证。无论获得Metabase还是其他方面的建议或信息,无论是口头还是书面,都不会创建这些条款中未明确陈述的任何保证。Metabase[放弃任何有关订阅服务将无错误或中断或所有错误都将被纠正的保证。您对使用订阅服务获得的结果和从此类使用中得出的结论承担唯一责任和责任。Metabase不会对任何因客户数据中的错误或遗漏或基于客户数据的订阅服务产生的任何结果造成的索赔、损失或损害承担责任。

9. 责任限制。

在任何情况下,Metabase都不会对任何特殊、偶然、示范、惩罚性或后果性损害,或对使用、数据丢失、利润或商誉损失,或获得替代产品的成本承担责任,无论这种责任是否可预见,是否与本协议或订阅服务的使用或性能有关,无论这种责任是基于合同、保证、侵权(包括疏忽)、产品责任或其他,无论Metabase是否已被告知此类损失或损害的可能性。根据本协议,Metabase的总累计责任,无论基于何种诉讼原因和责任理论,均不超过您在本协议下第一次提出责任索赔之前12个月内向Metabase支付的订阅服务费用。双方同意,本节第9条和其他地方本协议中包含的限制和排除内容将在任何情况下继续有效并适用,即使本协议中指定的任何独家补救措施被发现未能实现其基本目的。

10美国政府最终用户。

订阅服务分别作为“商业计算机软件”和“商业计算机软件文档”,如FAR 12.212和DFARS 227.7202中所定义的,如果美国政府或代表美国政府获取对订阅服务的访问权限,则根据FAR 12.212和DFARS 227.7202-1至227.7202-4的规定(适用),美国政府对订阅服务的权利仅限于本协议中规定的权利。

11. 不可抗力。

如果Metabase的履行因超出其合理控制的情况而受阻或延迟,包括但不限于自然灾害、恶劣天气、洪水、闪电或火灾、罢工或其他劳工争议或工业行动、政府或其他有权机关的行为或疏忽、恐怖主义、战争、骚乱或民变、供应不可用或停电、黑客、病毒、传输中断或电信服务中断,Metabase不会违反本协议。

12. 一般。

本协议将受加利福尼亚州法律管辖并据此解释,不考虑或不适用冲突法规则或原则。联合国国际货物销售合同公约不适用。根据本协议产生的任何法律行动或程序,应仅在美国加利福尼亚州北部地区联邦或州法院提起,并且各方不可撤销地同意该法院的个人管辖权及在该法院提起诉讼。您不得在Metabase事先书面同意的情况下,通过法律或任何其他方式转让本协议或根据本协议授予的任何权利,未经此类同意的任何此类尝试均属无效。Metabase可自由转让本协议。除非本协议明确规定,否则任何一方根据本协议行使的任何救济措施,不会损害其在本协议或任何其他方面的其他救济措施。根据本协议要求或允许的任何通知或批准均应以书面形式发出,并通过已确认的电子邮件传输、快递服务或认证邮件送达,并且在每种情况下,均应在收到时视为已发出。所有通知或批准均应发送至订单中列出的地址或根据本节规定,任何一方指定的其他地址。任何一方未能执行本协议的任何条款,不构成对今后执行该条款或任何其他条款的放弃。任何对本协议任何条款的放弃、修改或修正仅当以书面形式并由双方授权代表签署时才有效。如果本协议的任何条款被认定为不可执行或无效,则该条款应在可能的最大范围内执行,而其他条款仍将完全有效。本协议是双方关于其主题内容的完整和排他的理解与协议,取代了双方就其主题事项的所有提案、理解或口头或书面沟通。本协议的各方是独立承包商,本协议不会在双方之间建立合伙关系、合资企业、雇佣关系、特许经营或代理关系。任何一方均无权在没有另一方事先书面同意的情况下约束另一方或代表另一方承担义务。本协议可分批签署,每份均为原件,但所有分批签署的协议共同构成一个单一文件。

附件A

数据处理附录

本数据处理附录(以下简称“DPA”)是您(以下简称“客户”)与Metabase之间附带的订阅服务协议(以下简称“协议”)的一部分。

1. 主题和期限。

1.1 主题。本DPA反映了双方遵守关于处理客户个人数据的数据保护法律,与Metabase根据协议履行其义务相关的承诺。所有在本DPA中未明确定义的首字母大写的术语,其含义与协议中的含义相同。如果本DPA中的语言与协议冲突,则本DPA为准。

1.2 期限和效力。本DPA将在协议生效日期成为具有法律约束力的文件。Metabase将处理客户个人数据,直至协议中规定的终止关系。只要Metabase处理客户个人数据,本DPA下Metabase的义务和客户的权利将有效。

2. 定义。

2.1 “客户个人数据”是指在Metabase代表客户处理客户业务数据中包含的个人数据。

2.2 “数据保护法”指所有适用于客户个人数据的所有适用的数据隐私、数据保护以及网络安全法律、规则和条例。 “数据保护法”应包括但不限于2018年《加利福尼亚消费者隐私法案》(“CCPA”)和2016/679号《欧盟通用数据保护条例》(“GDPR”);在适用范围内。

2.3 “个人数据”指在数据保护法下“个人数据”和/或“个人信息”的定义。

2.4 “处理”或“处理操作”指对个人数据或个人数据集进行的任何操作或一系列操作,无论是否通过自动化手段,如收集、记录、组织、结构化、存储、适应性或修改、检索、查询、使用、通过传输、传播或以其他方式使数据可供使用、对齐或组合、限制、删除或销毁。

2.5 “安全事件”指由Metabase引起的导致客户个人数据意外或非法破坏、丢失、更改、未经授权披露或访问的安全漏洞。

2.6 “服务”指Metabase根据协议执行的任何和所有服务。

2.7 “第三方”指处理客户个人数据的Metabase的授权承包商、代理人、供应商和第三方服务提供商(即分包商)。

3. 数据使用和处理。

3.1 书面指示。Metabase及其第三方仅根据客户的书面指示或根据本DPA、协议或任何适用订单的特定授权处理客户个人数据。除非法律禁止,否则Metabase将书面通知客户,如果它合理地认为客户的指示与适用法律之间存在冲突或寻求以与客户的指示不一致的方式处理客户个人数据。

3.2 使用第三方的授权。在履行协议项下Metabase的合同义务的范围内,客户特此授权(i)Metabase聘请第三方,(ii)第三方聘请分包商。

3.3 Metabase和第三方合规。Metabase同意(i)与第三方签订书面协议,就此类第三方处理客户个人数据的操作,对这类第三方施加符合数据保护法要求的数据保护和安全要求;以及(ii)对Metabase的第三方未能履行其处理客户个人数据义务的行为向客户承担责任。

3.4 对第三方提出异议的权利。如果数据保护法要求,Metabase将在其子处理器列表中更新之前通知客户,以聘请处理客户个人数据的新第三方,并允许客户在10天内提出异议。如果客户对任何新的第三方的隐私或数据保护任命有正当的异议,双方将本着诚意共同努力,至少在30天内解决异议的理由。

3.5 保密性。任何有权处理客户个人数据的个人或第三方必须以合同方式同意维护此类信息的保密性,或者处于适当的法定保密义务之下。

3.6 个人数据查询和要求。如果数据保护法要求,Metabase同意在客户个人数据受数据保护法赋予的个人权利(例如,访问、更正、删除、数据可移植性等)的任何请求中,提供合理的协助并遵守客户的合理指示。如果请求直接发送给Metabase,Metabase应立即通知客户。

3.7 禁止销售客户个人数据。Metabase不应将客户个人数据作为“销售”一词根据CCPA定义的方式出售。Metabase不应披露或转让客户个人数据给第三方或其他构成CCPA定义的“销售”的其他方。

3.8 数据保护影响评估和事先咨询。在数据保护法要求的情况下,Metabase同意在客户承担费用的前提下,向客户提供合理协助,如果客户认为Metabase执行的加工活动需要数据保护影响评估和/或与相关数据保护当局的先前咨询。

3.9 可证明的合规性。Metabase同意在合理请求下提供信息,以证明符合本DPA。

4. 信息安全计划。

Metabase同意实施符合数据保护法的技术和组织措施,以保护客户个人数据。

5. 安全事件。

在意识到安全事件后,Metabase同意在数据保护法要求的时限内,通过电子邮件向与您的账户关联的电子邮件地址通知客户,不要延误。如果可能,此类通知将包括根据数据保护法要求提供给客户的所有必要细节,以便客户遵守其向监管机构或受安全事件影响的人的通知义务。

6. 审计。

如果数据保护法赋予客户审计权,客户(或其指定的代表)可以每年最多一次,通过让Metabase完成合理长度的数据保护问卷,对Metabase处理客户个人数据进行审计。任何此类审计均应受Metabase的安全和保密条款和指南的约束。

7. 数据删除。

在协议到期或终止时,Metabase将在客户的选择下,删除或返还所有客户个人数据(不包括任何备份或存档副本,这些副本将根据Metabase的数据保留计划进行删除),除非Metabase根据适用法律需要保留副本,在这种情况下,Metabase将隔离并保护该客户个人数据,以防止进一步的加工,但不超过适用法律的要求。

8. 处理细节。

主题内容]:处理的主题内容是协议项下的服务。

期限:处理将持续到协议到期或终止。

数据主体类别:根据协议将处理其个人数据的个人数据主体。

处理的性质和目的:Metabase处理客户个人数据的目的履行服务。

客户个人数据的类型:根据协议处理的客户个人数据。

数据处理补充协议附录I

数据传输影响评估问卷

本附录I是DPA的一部分。本附录I中未定义的首字母大写的术语具有DPA或协议中规定的含义。

1. 将客户个人数据传输到欧洲经济区、瑞士和/或英国外存储或访问的国家是哪些?如果按地区不同,请为每个地区指定每个国家。

a. 答案:客户个人数据可能存储在美国或从美国访问。

2. 将客户个人数据传输到欧洲经济区、瑞士和/或英国外的数据主体类别是什么?

答案: 根据协议处理的客户个人信息主体,包括但不限于客户的员工、承包商、临时工和最终用户。

3. 客户个人信息被转移至欧洲经济区、瑞士和/或英国的哪些类别?

答案: 根据协议处理的客户个人信息类别,包括但不限于姓名、地址、电子邮件地址、IP地址等。

4. 是否会转移揭示种族或民族起源、政治观点、宗教或哲学信仰、工会成员资格、遗传数据或用于唯一识别自然人的生物识别数据,或涉及健康、个人性生活或性取向的数据,或涉及犯罪记录和罪行的数据?如果会,是否有任何限制或保障措施,全面考虑数据的性质和风险,例如严格的用途限制、访问限制(包括仅限于接受过专业培训的员工访问)、记录数据的访问情况、对进一步转移的限制或额外的安全措施?

5. Metabase从事哪个商业领域?

a. 答案

6. 广义上讲,提供的服务及其目的为何?客户个人信息为何会被转移至欧洲经济区、瑞士和/或英国?

答案: Metabase提供开源的商业智能工具。为了提供服务,个人信息会被转移至欧洲经济区、瑞士和/或英国。

7. 客户个人信息将保留多长时间,或者如果不能保留,将使用什么标准来确定保留期限?

答案: Metabase将按照协议保留客户个人信息。

8. 客户个人信息转移至欧洲经济区、瑞士和/或英国的外部频率是多少?例如,是一次性转移还是持续转移?

答案: 客户个人信息通过客户上传到服务来实现转移。

9. 当客户个人信息转移至欧洲经济区、瑞士和/或英国的外部至Metabase时,如何传输到Metabase?客户个人信息是明文、匿名化、加密还是其他形式?

答案: 所有传输到Metabase的客户个人信息都按照DPA进行保护。

10. 请列出将有权访问转移至欧洲经济区、瑞士和/或英国的外部客户个人信息的分包商。

答案: Metabase的分包商名单包括所有Metabase的关联公司和以下URL中列出的那些当事人:metabase.com/hosting/subprocessors

11. Metabase是否受制于任何在客户个人信息存储或访问的国家/地区的法律,该法律可能会妨碍Metabase履行其根据欧盟标准合同条款的义务?例如,FISA 702或美国行政命令12333。如果是,请列出这些法律。

答案: 根据DPA生效日期,没有法院裁定Metabase有资格接受根据问题11中设想的法律发出的程序,包括FISA第702条,也没有此类法院诉讼正在进行。

12. Metabase是否曾根据上述问题11中设想的法律(如果有)收到公共当局请求信息的要求?如果是,请解释。

答案: 没有。

13. Metabase 是否曾收到来自欧洲经济区、瑞士和/或英国公共当局对位于这些地区个人数据的请求?如果是,请解释。

答案: 没有。

14. 在欧洲经济区、瑞士、和/或英国之外的国家,这些国家尚未被认定为在适用的数据保护法下提供充分保护水平,Metabase 在数据传输和客户个人数据处理过程中将采取哪些保障措施?

a. 答案:那些在DPA中规定的保障措施。

数据处理协议附录II

本附录II是数据处理协议的一部分。

标准合同条款

第一部分

条款1

目的和范围

(a) 本标准合同条款的目的是确保遵守欧洲议会和理事会2016年4月27日关于个人数据处理以及此类数据自由流动的2016/679号条例(通用数据保护条例)的要求,以便将个人数据传输到第三国。

(b) 当事人

(i) 列在附录I.A中的自然人、法人、公共当局/机构或其他实体(以下称为“实体”),作为转移个人数据的主体,

(ii) 接收来自数据出口方的个人数据,直接或通过参与这些条款的另一个实体间接接收,列在附录I.A中(以下称为“数据进口方”)

已同意这些标准合同条款(以下称为:“条款”)。

(c)这些条款适用于附录I.B中指定的个人数据传输。

(d)本条款的附录包含其中所提及的附件,构成本条款的组成部分。

(e)在适用范围内,本条款也适用于当事人处理受瑞士联邦数据保护法监管的个人数据。适用时,对欧盟成员国法律或欧盟监管机构的引用应修改为包括瑞士法律的相关引用,该法律与受瑞士联邦数据保护法监管的个人数据传输相关。

(f)在适用范围内,本条款,经附件III补充,也适用于当事人处理受英国通用数据保护条例监管的个人数据,该条例经2018年数据保护法中的条款补充。

条款2

条款的效果和不可变性

(a)这些条款规定了适当的保障措施,包括可执行的数据主体权利和有效的法律救济,根据条例(EU)2016/679第46(1)条和第46(2)(c)条,以及关于控制者向处理者以及/或处理者向处理者的数据传输的标准合同条款,根据条例(EU)2016/679第28(7)条,前提是它们没有被修改,除非选择适当的模块或添加或更新附录中的信息。这并不阻止当事人将这些条款中规定的标准合同条款纳入更广泛的合同中,并/或添加其他条款或额外的保障措施,只要它们不直接或间接违反这些条款,也不损害数据主体的基本权利或自由。

(b)这些条款不损害数据出口方根据条例(EU)2016/679承担的义务。

条款3

第三方受益人

(a)数据主体可以作为第三方受益人,针对数据出口方和/或数据进口方行使这些条款,但有以下例外

(i)条款1、条款2、条款3、条款6、条款7;

(ii)条款8.1(b)、8.9(a)、(c)、(d)和(e);

(iii)条款9(a)、(c)、(d)和(e);

(iv)条款12(a)、(d)和(f);

(v)条款13;

(vi) 第15.1款(c)、(d)和(e);

(vii) 第16款(e);

(viii) 第18款(a)和(b)。

(b) 第(a)款的规定不影响数据主体根据《欧盟条例》2016/679的规定享有的权利。

第4款

解释

(a) 当这些条款使用《欧盟条例》2016/679中定义的术语时,这些术语应具有该条例中的相同含义。

(b) 应根据《欧盟条例》2016/679的规定阅读和解释这些条款。

(c) 不应将这些条款解释为与《欧盟条例》2016/679中规定的权利和义务相冲突。

第5款

层级

如果在这些条款与双方在签署或执行这些条款时存在的相关协议的规定之间发生矛盾,这些条款应优先适用。

第6款

转移描述

转移的详细情况,特别是转移的个人数据类别及其转移的目的,在附件I.B中规定。

第7款 – 可选

对接条款 – 省略

第二部分 – 当事人的义务

第8款

数据保护保障

数据出口商保证已尽合理努力确定数据进口商能够通过实施适当的技术和组织措施,满足这些条款下的义务。

模块二:控制器到处理器的转移

8.1 指示

(a) 数据进口商只能根据数据出口商的书面指示处理个人数据。数据出口商可以在合同期间任何时候给出此类指示。

(b) 如果数据进口商无法遵守这些指示,应立即通知数据出口商。

8.2 目的限定

数据进口商只能根据附件I.B中规定的转移的具体目的处理个人数据,除非根据数据出口商的进一步指示。

8.3 透明度

应要求,数据出口商应免费向数据主体提供这些条款的副本,包括由当事人完成的附录。为了保护商业机密或其他保密信息,包括附件II中描述的措施和个人数据,数据出口商可以在分享副本之前删除附录中的一部分文本,但应在数据主体无法理解其内容或行使其权利的情况下提供有意义的摘要。应要求,当事人应向数据主体提供删除原因,在可能的情况下,不透露被删除的信息。本条款不影响数据出口商根据《欧盟条例》2016/679的第13条和第14条规定的义务。

8.4 准确性

如果数据进口商得知其收到的个人数据不准确或已过时,应立即通知数据出口商。在这种情况下,数据进口商应与数据出口商合作删除或更正数据。

8.5 处理数据的期限和数据的删除或返回

数据导入方的处理操作仅限于附件I.B中规定的期限。在处理服务提供结束后,数据导入方应根据数据出口方的选择,删除代表数据出口方处理的全部个人数据,并向数据出口方证明已删除,或者将代表数据出口方处理的全部个人数据返还给数据出口方并删除现有副本。在数据被删除或返还之前,数据导入方应继续确保遵守本条款。如果适用数据导入方的本地法律禁止返还或删除个人数据,数据导入方保证将继续确保遵守本条款,并且仅在该本地法律要求的范围和期限内处理数据。这不妨碍第14条,特别是第14(e)款要求数据导入方在整个合同期间,如果其有理由相信其受或不受到不符合第14(a)款要求的法律或做法的约束,应通知数据出口方。

8.6 处理安全

(a) 数据导入方和,在传输过程中,数据出口方也应实施适当的技术和组织措施,以确保数据的安全,包括防止导致数据意外或非法破坏、丢失、变更、未经授权披露或访问(以下称为“个人数据泄露”)。在评估适当的保护水平时,各方应充分考虑到技术现状、实施成本、处理性质、范围、上下文和目的以及处理中涉及的风险。特别是,各方应考虑在传输过程中使用加密或匿名化,包括在传输过程中,如果以这种方式可以实现处理目的。在匿名化的情况下,如果可能,将个人数据归因于特定数据主体的附加信息应始终处于数据出口方的独家控制之下。在履行本段下的义务时,数据导入方至少应实施附件II中指定的技术和组织措施。数据导入方应定期检查以确保这些措施继续提供适当的保护水平。

(b) 数据导入方应仅将个人数据提供给其员工,这些员工必须严格必要以实施、管理和监控合同。它应确保有权处理个人数据的个人已作出保密承诺或处于适当的法定保密义务之下。

(c) 如果发生涉及根据本条款由数据导入方处理的个人数据的个人数据泄露,数据导入方应采取适当措施解决泄露,包括减轻其不利影响的措施。数据导入方应在意识到泄露后立即通知数据出口方。此类通知应包含可以获得更多信息的联系点的详细信息、泄露性质的描述(包括,如果可能,涉及的类别和受影响的个人数据记录的大致数量)、其可能后果以及为解决泄露而采取或建议的措施,包括,如果适当,减轻其可能不利影响的措施。如果无法一次提供所有信息,则初始通知应包含当时可用的信息,并且应随后在可提供更多信息时,无不当延迟地提供更多信息。

(d) 数据导入方应与数据导出方合作并协助,以便数据导出方能够遵守《欧盟条例》(EU)2016/679下的义务,特别是通知有权监督的机构以及受影响的数据主体,考虑到处理性质和数据导入方可获得的信息。

8.7 灵敏数据

如果转移涉及揭示种族或民族起源、政治观点、宗教或哲学信仰、或工会成员资格的个人数据,或用于唯一识别自然人的基因数据、生物识别数据,或涉及健康、个人的性生活或性取向的数据,或涉及犯罪定罪和罪行的数据(以下简称“灵敏数据”),则数据导入方应适用附件I.B中描述的具体限制和/或附加保障措施。

8.8 后续转移

数据导入方仅应按照数据导出方的书面指示向第三方披露个人数据。此外,只有在第三方受这些条款的约束,在适当的模块下或如果第三方否则确保根据《欧盟条例》(EU)2016/679第46条或第47条对相关处理采取适当的保障措施的情况下,数据才可披露给位于欧盟之外(与数据导入方在同一国家或另一个第三方国家,以下称“后续转移”)的第三方。

(i) 后续转移是转移到根据《欧盟条例》(EU)2016/679第45条受益于充分性决定的国家的;

(ii) 第三方否则确保根据《欧盟条例》(EU)2016/679第46条或第47条就相关处理采取适当的保障措施;

(iii) 后续转移对于在特定行政、监管或司法程序中建立、行使或辩护法律主张是必要的;或

(iv) 后续转移对于保护数据主体或另一自然人的重大利益是必要的。

任何后续转移均需数据导入方遵守本条款下的所有其他保障措施,特别是目的限制。

8.9 文档化和合规性

(a) 数据导入方应迅速并充分处理与这些条款下处理相关的数据导出方的询问。

(b) 双方应能够证明遵守这些条款。特别是,数据导入方应保留关于代表数据导出方进行的处理活动的适当文档。

(c) 数据导入方应向数据导出方提供所有必要信息,以证明遵守这些条款中规定的义务,并应数据导出方的请求,在合理间隔或如有不合规的迹象时,允许并协助对这些条款涵盖的处理活动进行审计。在决定审查或审计时,数据导出方可考虑数据导入方持有的相关认证。

(d) 数据导出方可选择自行进行审计或委托独立审计师。审计可能包括对数据导入方场所或实物设施的检查,并应适当情况下,以合理通知进行。

(e) 双方应根据第(b)和(c)段的要求,包括任何审计的结果,向有权监督的机构提供信息。

第9条

子处理程序的使用

模块二:控制器到处理器的转移

(a) 数据导入方已获得数据出口方的一般授权,可从约定的子处理器清单中聘请子处理器。数据导入方应至少提前十(10)天,以书面形式具体通知数据出口方任何对该清单的变更(通过添加或替换子处理器),从而给予数据出口方足够的时间在聘请子处理器之前对此类变更提出异议。数据导入方应提供数据出口方所需的信息,以便其行使其反对此类变更的权利。

(b) 数据导入方如聘请子处理器执行特定的处理活动(代表数据出口方),应通过一份书面合同进行,该合同实质上规定了与数据导入方在这些条款下所受约束相同的数据保护义务,包括数据主体的第三方受益人权利。双方同意,通过遵守本条款,数据导入方履行了第8.8款下的义务。数据导入方应确保子处理器遵守其根据这些条款所承担的义务。

(c) 数据导入方应根据数据出口方的请求,向其提供此类子处理器协议的副本以及任何后续修订。在必要时,为了保护商业机密或其他保密信息,包括个人数据,数据导入方在共享副本之前可以对协议的文本进行删节。

(d) 数据导入方对其与数据导入方签订的合同下子处理器义务的履行应承担全部责任。数据导入方应通知数据出口方子处理器未履行该合同义务的任何情况。

(e) 数据导入方应与子处理器协商第三方受益人条款,即——在数据导入方事实上消失、依法不存在或已破产的情况下——数据出口方有权终止子处理器合同并指示子处理器删除或归还个人数据。

第10条

数据主体权利

模块二:控制器到处理器的转移

(a) 数据导入方应立即通知数据出口方其收到的任何来自数据主体的请求。除非数据出口方授权其这样做,否则它不得自行回应该请求。

(b) 数据导入方应协助数据出口方履行其根据欧盟条例(EU)2016/679对数据主体请求行使权利的义务。在这方面,双方应在附件II中规定适当的技

(c) 在履行第(a)款和第(b)款下的义务时,数据导入方应遵守数据出口方的指示。

第11条

救济

(a) 数据导入方应以透明和易于获取的方式,通过个别通知或在其网站上,告知数据主体有权处理投诉的联系点。它应迅速处理其收到的来自数据主体的任何投诉。

模块二:控制器到处理器的转移

(b) 当数据主体与一方在遵守这些条款方面发生争议时,该方应尽最大努力及时友好地解决该问题。各方应相互告知此类争议,并在适当的情况下合作解决。

(c) 如果数据主体根据第3款行使第三方受益人权利,数据导入方应接受数据主体作出的以下决定:

(i) 向其经常居住地或工作地的成员国监督机构或根据第13款指定的有权监督机构提出投诉;

(ii) 将争议提交根据第18款定义的有权法院。

(d) 各方接受,数据主体可以在《欧盟条例》(EU)2016/679第80条第1款规定的条件下由非营利性机构、组织或协会代表。

(e) 数据导入方应遵守根据适用欧盟或成员国法律具有约束力的决定。

(f) 数据导入方同意,数据主体的选择不会损害其根据适用法律寻求救济的实质性和程序性权利。

第12款

责任

模块二:控制器到处理器的转移

(a) 每一方应对其违反这些条款给另一方/方造成的任何损害负责。

(b) 数据导入方应对数据主体负责,数据主体有权获得赔偿,对于数据导入方或其分包商因违反这些条款下的第三方受益人权利而给数据主体造成的任何物质或非物质损害。

(c) 尽管有第(b)款,数据出口方应对数据主体负责,数据主体有权获得赔偿,对于数据出口方或数据导入方(或其分包商)因违反这些条款下的第三方受益人权利而给数据主体造成的任何物质或非物质损害。这不妨碍数据出口方的责任,以及当数据出口方是代表控制者的处理者时,根据《欧盟条例》(EU)2016/679或《欧盟条例》(EU)2018/1725的规定,控制者的责任。

(d) 各方同意,如果数据出口方因数据导入方(或其分包商)造成的损害而承担责任,它有权从数据导入方追回相当于数据导入方对损害责任的赔偿部分。

(e) 如果由于违反这些条款,一方造成数据主体损害,则所有责任方应共同和分别负责,数据主体有权向这些方中的任何一方提起诉讼。

(f) 各方同意,如果一方根据第(e)款承担责任,它有权从另一方/方追回相当于其/他们损害责任的赔偿部分。

(g) 数据导入方不得以分包商的行为来规避其自身的责任。

第13款

监督

模块二:控制器到处理器的转移

(a) 如果数据出口商在欧盟成员国设立,则以下部分适用:负责确保数据出口商遵守《欧盟条例》(EU)2016/679关于数据转移规定的监管机构,如附录I.C所示,应作为有权监管机构。如果数据出口商不在欧盟成员国设立,但根据《欧盟条例》(EU)2016/679的第3条第2款属于该条例的适用范围,并且已根据该条例第27条第1款指定了代表,则以下部分适用:在《欧盟条例》(EU)2016/679第27条第1款意义上的代表设立的成员国监管机构,如附录I.C所示,应作为有权监管机构。如果数据出口商不在欧盟成员国设立,但根据《欧盟条例》(EU)2016/679的第3条第2款属于该条例的适用范围,但不需要根据该条例第27条第2款指定代表,则以下部分适用:在附录I.C中指出的,位于数据主体个人数据被转移的成员国之一,或其行为被监控的监管机构应作为有权监管机构。

(b) 数据进口商同意服从有权监管机构的司法管辖,并在此类程序中与有权监管机构合作,以确保遵守这些条款。特别是,数据进口商同意回答询问、接受审计并遵守监管机构采取的措施,包括补救和补偿措施。它应向监管机构提供书面确认,表明已采取必要行动。

第三部分 – 公共机构访问时的当地法律和义务

第14条

影响遵守条款的当地法律和实践

模块二:控制器到处理器的转移

(a) 双方保证,他们没有理由相信第三国法律和实践,适用于数据进口商处理个人数据的,包括任何要求披露个人数据或允许公共机构访问的措施,会阻止数据进口商履行这些条款下的义务。这是基于以下理解,即尊重基本权利和自由本质、不超过在民主社会中保护《欧盟条例》(EU)2016/679第23条第1款列出的目标之一所必需和成比例的法律和实践,与这些条款不相矛盾。

(b) 双方声明,在提供第(a)段中的保证时,他们特别考虑了以下要素

(i) 转移的具体情况,包括处理链的长度、涉及的行为者数量和使用的传输渠道;预期的后续转移;接收者的类型;处理的目的;转移的个人数据的类别和格式;转移发生的经济部门;转移数据的存储位置;

(ii) 第三国法律和实践,包括要求向公共机构披露数据或允许此类机构访问的法律,根据转移的具体情况,以及适用的限制和保障措施;

(iii) 任何相关的合同、技术或组织保障措施,作为这些条款下保障措施的补充,包括在传输过程中以及在国内目的地处理个人数据时采取的措施。

(c)数据导入方保证,在根据第(b)款进行评估时,已尽最大努力向数据导出方提供相关信息,并同意将继续与数据导出方合作,确保遵守本条款。

(d)各方同意记录第(b)款下的评估,并在要求时将其提供给有权监督的当局。

(e)数据导入方同意,如果在同意这些条款以及合同期间,有理由相信其或已受到不符合第(a)款要求的法律或实践的影响,包括第三国法律的变化或措施(如披露请求)表明实际应用这些法律不符合第(a)款要求,则立即通知数据导出方。在上述情况下,数据导入方同意采取适当的措施(例如,为确保安全和机密性采取的技术或组织措施)以解决情况。如果数据导出方认为无法确保此类转让的适当保障,或根据有权监督的当局的指示暂停数据转让,则数据导出方应立即采取这些措施。在这种情况下,数据导出方有权终止合同,只要合同涉及的个人数据处理是根据本条款进行的。如果合同涉及两个以上的当事人,数据导出方只有在各方另有约定的情况下,才有权仅针对相关当事人行使终止权。根据本条款终止合同时,应适用第16条第(d)款和(e)款。

(f)根据第(e)款通知之后,或者如果数据导出方有理由相信数据导入方无法履行本条款下的义务,数据导出方应立即确定应采取的适当措施(例如,为确保安全和机密性采取的技术或组织措施)以解决情况。如果数据导出方认为无法确保此类转让的适当保障,或根据有权监督的当局的指示暂停数据转让,则数据导出方应暂停数据转让。在这种情况下,数据导出方有权终止合同,只要合同涉及的个人数据处理是根据本条款进行的。如果合同涉及两个以上的当事人,数据导出方只有在各方另有约定的情况下,才有权仅针对相关当事人行使终止权。根据本条款终止合同时,应适用第16条第(d)款和(e)款。

第15条

公共当局访问时的数据导入方义务

模块二:控制器到处理器的转移

15.1 通知

(a)数据导入方同意,如果其

(i)根据目的国法律,包括司法当局,收到要求披露根据本条款转让的个人数据的具有法律约束力的请求;此类通知应包括所请求的个人数据信息、请求当局、请求的法律依据和提供的答复;或

(ii)根据目的国法律,得知公共当局直接访问根据本条款转让的个人数据;此类通知应包括所有可用的信息。

(b)如果数据导入方根据目的国法律被禁止通知数据导出方和/或数据主体,数据导入方同意尽最大努力获得解除禁止的通知,以便尽可能快地传达尽可能多的信息。数据导入方同意记录其最大努力,以便在数据导出方请求时证明这些努力。

(c)如果目的国法律允许,数据导入方同意在合同期间定期向数据导出方提供尽可能多的有关收到的请求的相关信息(特别是,请求数量、所请求的数据类型、请求当局、是否对请求提出异议及其结果等)。

(d) 数据导入方同意根据第(a)至(c)段的规定,在合同期间保留信息,并在请求的情况下,将其提供给有权监督的当局。

(e) 第(a)至(c)段不影响数据导入方根据第14条(e)款和第16条义务,在无法遵守这些条款时,应立即通知数据出口方。

15.2 合法性审查和数据最小化

(a) 数据导入方同意审查披露请求的合法性,特别是该请求是否仍在请求的公共当局授予的权力范围内,并在经过仔细评估后,如果认为有合理的理由认为该请求违反了目的地国家的法律、国际法下的适用义务和国际礼让原则,则对请求提出质疑。数据导入方应在相同条件下寻求上诉的可能性。在质疑请求时,数据导入方应寻求临时措施,以暂停请求的影响,直到有权司法当局对其实质作出决定。它应在适用程序规则要求之前不披露所请求的个人数据。这些要求不影响数据导入方根据第14条(e)款的义务。

(b) 数据导入方同意记录其法律评估和任何对披露请求的质疑,并在目的地国家的法律允许的范围内,将这些文件提供给数据出口方。它还应应请求提供给有权监督的当局。

(c) 数据导入方同意根据对请求的合理解释,在回应披露请求时提供允许的最小信息量。

第四章 – 最后条款

第16条

不遵守条款和终止

(a) 如果数据导入方无法遵守这些条款,无论什么原因,它应立即通知数据出口方。

(b) 如果数据导入方违反这些条款或无法遵守这些条款,数据出口方应暂停向数据导入方转移个人数据,直到再次确保遵守或终止合同。这不妨碍第14条(f)款。

(c) 在以下情况下,数据出口方有权终止合同,只要它涉及根据这些条款处理个人数据:

(i) 数据出口方根据第(b)段暂停向数据导入方转移个人数据,并在合理时间内、在任何情况下在暂停后的一个月内没有恢复遵守这些条款;

(ii) 数据导入方重大或持续违反这些条款;或

(iii) 数据导入方未能遵守有权法院或监督当局关于其根据这些条款的义务的具有约束力的决定。

在这些情况下,它应通知有权监督的当局此类不遵守行为。如果合同涉及两个以上当事人,数据出口方仅在有关当事人方面行使此终止权,除非当事人另有约定。

(d) 根据第(c)款终止合同前已转移的个人数据,数据出口商可根据其选择立即将数据退还给数据出口商或全部删除。对于数据的任何副本也应适用同样的规定。数据进口商应向数据出口商证明已删除数据。在数据被删除或退还之前,数据进口商应继续确保符合本条款。如果适用数据进口商所在地的当地法律禁止返回或删除转移的个人数据,数据进口商保证将继续确保符合本条款,并且仅按照该当地法律所要求的范围和时间处理数据。

(e) 如果以下任一情况发生,任何一方均可撤销其同意受本条款约束的协议:(i) 欧洲委员会根据《欧盟条例》2016/679的第45(3)条作出决定,该决定涵盖了适用于本条款的个人数据转移;或(ii) 《欧盟条例》2016/679成为个人数据转移目的国法律框架的一部分。这不影响根据《欧盟条例》2016/679在处理方面适用的其他义务。

第17条

管辖法

模块二:控制器到处理器的转移

本条款受欧盟成员国之一的法律管辖,前提是此类法律允许第三方受益人权利。双方同意爱尔兰法律应适用。

第18条

选择法庭和管辖权

模块二:控制器到处理器的转移

(a) 由此条款产生的任何争议应由欧盟成员国的法院解决。

(b) 双方同意爱尔兰的法院应负责。

(c) 数据主体还可以在其习惯居住国的成员国法院对数据出口商和/或数据进口商提起法律诉讼。

(d) 双方同意服从此类法院的管辖权。

附件I

A. 当事人列表

模块二:控制器到处理器的转移

数据出口商

1. 名称:客户。

地址:如适用订单中所述。

联系人姓名、职位和联系方式:如适用订单中所述。

与根据本条款转移的数据相关的活动:如DPA附录I中所述。

角色(控制者/处理器):控制者。

数据进口商

1. 名称:Metabase。

地址:如适用订单中所述。

联系人姓名、职位和联系方式:如适用订单中所述。

与根据本条款转移的数据相关的活动:如DPA附录I中所述。

角色(控制者/处理器):处理器。

B. 转移描述

模块二:控制器到处理器的转移

数据主体类别,其个人数据被转移

如DPA附录I中所述。

转移的个人数据类别

如DPA附录I中所述。

转移的敏感数据(如适用)以及考虑数据的性质和涉及的风险而采取的限制或保障措施,例如严格的用途限制、访问限制(包括仅限于接受过专门培训的员工访问)、记录数据访问情况、后续转移限制或附加安全措施。

如DPA附录I中所述。

转移的频率(例如,数据是否一次性或连续转移)。

如DPA附录I中所述。

处理性质

如DPA附录I中所述。

数据转移和进一步处理的目的

如DPA附录I中所述。

个人数据将被保留的期限,或者如果不可能,用于确定该期限的标准

如DPA附录I中所述。

对于向(子)处理者的转移,还指定主题、性质和处理的期限

如DPA附录I中所述。

C. 职责监督机构

模块二:控制器到处理器的转移

第13条规定的监管机构。如果第13条没有规定监管机构,则由爱尔兰数据保护委员会(DPC)担任,如果这不可能,则按第13条设定的条件由双方另行协商。

附件II

包括确保数据安全的技术和组织措施

模块二:控制器到处理器的转移

数据导入方实施的技术和组织措施描述(包括任何相关认证),以确保适当的安全水平,考虑到处理活动的性质、范围、环境和目的,以及自然人的权利和自由风险。

数据导入方应根据DPA实施和维持适当的技术和组织措施,以保护个人信息。

根据第10(b)款,数据导入方将根据DPA协助数据出口方处理数据主体请求。

附件III

根据2018年数据保护法第119A(1)条,专员应发布的标准数据保护条款

英国补充欧盟委员会标准合同条款

本附件的日期

1. 条款日期与DPA相同。

背景

2. 信息专员认为,本附件为根据英国GDPR第46条将个人数据转移到第三国或国际组织提供了适当的安全保障,并且对于控制者到处理器和/或处理器到处理器的数据传输。如果客户在英国起源的个人数据由客户转移到Metabase在未被发现提供适当保护水平的国家,则双方同意,该转让应受条款和本附件补充的条款的管辖。

本附件的解释

3. 在本附件中使用在附件中定义的术语时,这些术语应具有与附件中相同的意义。此外,以下术语具有以下含义

本附件 本附件条款
附件 欧盟实施决定(EU)2021/914号附件中规定的标准合同条款
英国数据保护法 当时在英国生效的所有与数据保护、个人数据处理、隐私和/或电子通信相关的法律,包括英国GDPR和数据保护法2018年。
英国GDPR 英国通用数据保护条例,根据2018年欧盟(退出)法第3条,作为英格兰、威尔士、苏格兰和北爱尔兰法律的一部分。
英国 大不列颠及北爱尔兰联合王国

4. 本附件应根据英国数据保护法的规定进行阅读和解释,以便它满足根据英国GDPR第46条提供适当保障的要求。

5. 本附件不应以与英国数据保护法规定的权利和义务相冲突的方式解释。

6. 任何对立法(或立法的具体规定)的提及意味着立法(或具体规定)随时间可能发生变化。这包括在此附件签订后,该立法(或具体规定)已经合并、重新颁布和/或取代的情况。

层级

7. 在本补充协议与条款或双方之间在签署或此后生效的任何其他相关协议之间存在冲突或不一致时,应优先适用为数据主体提供最大保护的规定。

条款的纳入

8. 本补充协议纳入了条款,在必要时对其进行修改,以便其能够

(a) 在数据出口商向数据进口商进行转移时生效,在转移过程中,英国数据保护法适用于数据出口商的处理;

(b) 根据英国 GDPR 法的第四十六条为转移提供适当的保障。

9. 上文第8条所要求的修改包括(但不限于)

(a) “条款”的提及意味着纳入本补充协议的条款

(b) 将第6条“转移描述”替换为

“转移的详细信息以及特别是转移的个人数据类别及其转移的目的,在转移过程中,英国数据保护法适用于数据出口商的处理时,在附件I.B中指定。”

(c) “法规(欧盟)2016/679”或“该法规”的提及被“英国数据保护法”所替代,以及具体提及“法规(欧盟)2016/679”的条款被英国数据保护法的等效条款或节所替代。

(d) 删除对法规(欧盟)2018/1725的提及。

(e) “联盟”、“欧盟”和“欧盟成员国”的所有提及均被“英国”所替代。

(f) 第13(a)款和附件II的C部分未被使用;“有权监管的监管机构”是信息专员;

(g) 第17款被替换为声明“这些条款受英格兰和威尔士法律管辖”。

(h) 第18款被替换为声明

“因这些条款产生的任何争议应通过英格兰和威尔士的法院解决。数据主体还可以在英国任何国家的法院对数据出口商和/或数据进口商提起法律诉讼。各方同意接受此类法院的管辖权。”