上次更新:2024 年 11 月 26 日(請參閱先前版本)。
請在存取或使用訂閱服務(定義如下)之前,仔細閱讀以下條款和條件。
除非您與 METABASE, INC.(「METABASE」)已簽署一份關於訂閱服務使用的獨立協議,否則本協議(定義如下)的條款和條件將管轄訂閱服務的使用。
Metabase 僅在您接受以附件 A 形式附上的託管服務條款(「條款」)以及以附件 B 形式附上的資料處理附錄(統稱為「協議」)中包含的所有條款的條件下,才願意向您提供訂閱服務。透過點擊註冊頁面上標記為「訂閱」的核取方塊,或透過存取或使用訂閱服務,您已表示您理解本協議並接受其所有條款。如果您代表公司或其他法律實體接受本協議條款,您聲明並保證您有權約束該公司或其他法律實體遵守本協議條款,在這種情況下,「您」和「您的」將指代該公司或其他法律實體。如果您不接受本協議的所有條款,則您不得接受本協議,並且您不得使用訂閱服務。
1. 訂閱服務。
1.1. 訂閱服務。 在您遵守本協議的條款和條件的前提下,自服務開始日(Services Start Date)起以及在訂閱期間(Subscription Term,定義如下)內,Metabase 將向您提供訂閱服務,並且 Metabase 授予您有限的、不可轉讓的、不可再授權的許可,僅在訂單中規定的使用限制內,為您的內部業務目的使用訂閱服務。
1.2. 授權使用者。 客戶僅可允許其員工和獨立承包商(各自稱為「授權使用者」)存取和使用訂閱服務,這些授權使用者僅可根據第 1.1 條授予的許可,且僅限於訂單中指定的授權使用者數量(以及在其他方面符合訂單中規定的任何其他用量限制或對訂閱服務使用的限制),為客戶的內部業務目的存取和使用訂閱服務。客戶將確保每個帳戶(以及相關的登入憑證)僅由為其建立該帳戶的特定授權使用者存取(為明確起見,每個帳戶僅供單一個人使用,不得由一人以上共用或使用)。您將對授權使用者帳戶下採取的任何行為(無論該行為是否由授權使用者採取或授權)以及每個授權使用者的作為和不作為(包括但不限於遵守本協議)承擔全部責任。
1.3. 第三方受益人。 如果您的方案包含在您的軟體應用程式(在訂單中指定為客戶應用程式「Customer Application」)中嵌入訂閱服務的權利(即訂單中聲明的「嵌入權利Right to Embed」),並且您已支付訂單中描述或我們目前位於 https://metabase.dev.org.tw/pricing 的定價頁面中另行說明的嵌入權利相關費用,則在您遵守本協議的條款和條件(包括根據第 4 條支付適用費用)的前提下,Metabase 授予客戶非獨佔的、不可轉讓的、不可再授權的、全球性的有限許可,以在客戶應用程式(在訂單中識別)內操作訂閱服務並將其嵌入其中,並允許您的終端客戶(「終端客戶End Customer」)僅作為嵌入在客戶應用程式中並作為其一部分來存取訂閱服務,包括向終端客戶展示此類客戶應用程式(其中嵌入了訂閱服務)。您將促使每位終端客戶簽訂終端使用者許可協議,該協議在與本協議保護 Metabase 的程度相同的範圍內保護 Metabase,並指定 Metabase 為其第三方受益人。您可以進行的確切嵌入類型取決於您的訂閱級別,詳情請參閱我們的定價頁面和我們的文件中。如果您的方案要求您顯示「Powered by Metabase」標誌,您不得移除或遮蓋它。
1.4. 有意省略。
1.5. 限制。 您代表您自己和您的授權使用者,同意不:(1) 複製、修改、更改、反編譯或逆向工程訂閱服務(包括其原始碼、目標碼以及底層結構和演算法);(2) 轉售或以其他方式向任何第三方提供訂閱服務;(3) 直接或間接地使用訂閱服務來支援任何非法活動或侵犯他人專有權的活動;(4) 干擾或中斷訂閱服務,或嘗試未經授權存取連接到訂閱服務的任何系統或網路(除非是存取和使用訂閱服務所必需的);(5) 停用、損害或規避訂閱服務的任何安全或身份驗證措施;(6) 使用訂閱服務或其輸出結果來訓練、校準或驗證任何其他系統、程式或平台(無論是全部還是部分),或用於基準測試、軟體開發或其他競爭目的;或 (7) 允許任何第三方進行上述任何行為。您負責您的授權使用者對訂閱服務的使用及其對本協議的遵守情況。
1.6. 有意省略。
1.7. 附加資料倉儲。 如果您已購買許可證,或以其他方式從 Metabase 獲得存取附加資料倉儲(Attached Data Warehouse,如附件 C 中定義,隨附於此)的權利,該資料倉儲是在與訂閱服務相關聯的情況下存取的資料儲存,則附件 C 將適用,並且您同意完全受附件 C 的約束。
2. 所有權。
2.1. Metabase 智慧財產權。 在 Metabase 和您之間,Metabase 擁有訂閱服務和使用資料的所有全球權利、所有權和利益,包括其中的所有智慧財產權。就本協議而言,「智慧財產權Intellectual Property Rights」是指專利權(包括專利申請和揭露)、著作權、商業秘密、專有技術以及世界任何國家或司法管轄區認可的任何其他智慧財產權。
2.2. 意見回饋。 如果您提供任何關於訂閱服務的想法、建議或推薦(「意見回饋Feedback」),Metabase 將可以自由地使用、揭露、複製、授權或以其他方式分發和利用此類意見回饋,完全沒有任何種類的義務或限制。透過提供意見回饋,您授予 Metabase 全球性的、永久的、不可撤銷的、全額付清的、免版稅的、非獨佔許可,以任何方式使用和利用此類意見回饋。
3. 客戶支援。
3.1. Metabase 提供的客戶支援。 在您遵守本協議的條款和條件的前提下,自服務開始日起以及在訂閱期間(定義如下)內,Metabase 將根據您訂閱的服務等級提供適用的支援服務,如訂單的「支援條款」部分所述,並符合 Metabase 當時的政策,位於 https://metabase.dev.org.tw/enterprise/support。
4. 訂閱費用與付款。
4.1. 訂閱費用。 您將支付訂單中規定的費用和收費(「訂閱費用Subscription Fees」),以使用訂閱服務。每個訂閱期間的基本訂閱費用將在訂單中指定(「基本訂閱費用Base Subscription Fee」),並在每個訂閱期間開始時支付和收取。
4.2. 驗證;調整。 如果訂單中指定,訂閱費用將根據訂閱服務的使用單位(例如使用者數量或處理的資料量)(各自稱為「單位Unit」)計算。在適用的情況下,基本訂閱費用包括訂單中為每個訂閱期間指定的單位數量。Metabase 可能會建立和維護日誌,反映您帳戶下訂閱服務的使用情況。Metabase 可能會不時存取和審查此類日誌,以驗證您是否遵守適用的使用限制和本協議的其他條款,並且 Metabase 可能會使用此類日誌來防止或限制未經授權使用訂閱服務。在不限制 Metabase 的任何其他權利或補救措施的情況下,如果您對訂閱服務的實際使用量超過您為訂閱期間預付的基本訂閱費用所涵蓋的單位,Metabase 將向您收取基本訂閱費用所涵蓋的單位與您在該訂閱期間實際使用的單位數量之間的差額(「額外單位費用Additional Units Fee」)。
4.3. 付款條款。 如果您向我們提供了信用卡詳細資訊,我們將向該信用卡收取:(i) 在每個訂閱期間開始時收取基本訂閱費用;以及 (ii) 在我們開具發票後三十 (30) 天內收取您應支付的任何額外單位費用(如有)。我們將向您發出付款確認,確認我們已向您的信用卡收取的任何費用。如果我們向您開具發票,則所有發票均應按照訂單的付款條款部分中指定的期限支付(如果未指定,則在收到後三十 (30) 天內支付)。所有金額均以美元表示和支付,且不包括稅金、關稅、徵收款、關稅和其他政府收費(統稱為「稅金Taxes」)。您負責支付所有稅金以及因向我們支付的任何款項而產生的任何相關利息和/或罰款,但不包括基於 Metabase 淨收入的任何稅金。所有逾期未付款項將按每月 1% 或法律允許的最高利率(以較低者為準)計息。除非本協議中明確規定,否則所有付款一旦支付,均不可退款。
5. 期間與終止。
5.1. 訂閱期間。 本協議將於生效日開始生效,除非任何一方根據本協議條款提前終止,否則將在本協議中指定的初始訂閱期間(Initial Subscription Term)內持續有效。在初始訂閱期間結束時,始終以準時支付訂閱費用為前提,本協議將自動續訂額外的後續續訂期間(Renewal Subscription Term),其持續時間與訂單中指定的持續時間相同(或者,如果訂單中未說明續訂期間長度,則與初始訂閱期間的持續時間相同)(每個期間均稱為「續訂訂閱期間Renewal Subscription Term」),除非任何一方提前 15 天發出不續訂的書面通知。此類初始訂閱期間和每個續訂訂閱期間在本協議中均單獨稱為「訂閱期間Subscription Term」。
5.2. 因違約而終止。 如果一方違反本協議,並且未能在收到書面通知後 10 天內糾正此類違約行為,則另一方有權終止本協議。如果您因違約而終止本協議,Metabase 將退還您為剩餘當前訂閱期間的訂閱服務已支付但未使用的訂閱費用(如有)。
5.3. 其他補救措施。 在不限制其他可用補救措施的情況下,如果本協議項下任何無爭議的應付款項逾期超過 30 天,Metabase 保留暫停或停用您和您的授權使用者存取訂閱服務的權利。如果 Metabase 認定(自行決定):(1) 您或任何授權使用者對訂閱服務的使用會中斷、損害或構成安全風險,或可能對 Metabase、訂閱服務或任何第三方造成損害;或 (2) 您或任何授權使用者已使用或正在使用訂閱服務,違反本協議,Metabase 也保留暫停或停用對訂閱服務的存取權限的權利。
5.4. 終止的效力。 在本協議期滿或終止時,您(和您的授權使用者)存取和使用訂閱服務的權利將自動終止,但授權使用者將被允許在終止後的 30 天內存取訂閱服務,僅用於下載儲存在其中的任何客戶資料。對於因 Metabase 行使其在本協議項下的終止權利而引起或與之相關的任何成本、損失、損害或責任,Metabase 概不負責。截至期滿或終止時的任何付款義務將繼續有效。第 2、4、5.4、7、8、9、10、11、12 和 13 條在本協議期滿或終止後仍然有效。
6. 客戶資料。
6.1. 定義。 就本協議而言,(i) 「客戶應用程式資料Customer Application Data」是指您和您的授權使用者輸入訂閱服務的資料(包括但不限於每個授權使用者的登入憑證以及您的授權使用者提交的查詢);(ii) 「客戶業務資料Customer Business Data」是指您和您的授權使用者在使用訂閱服務過程中檢索或存取的外部資料庫中的資料;(iii) 「客戶資料Customer Data」是指客戶應用程式資料、客戶業務資料和客戶元資料的統稱;以及 (iv) 「客戶元資料Customer Metadata」是指描述客戶資料的資料(可能包括資料庫中資料集的數量、資料集的平均資料大小、使用者連接的資料庫軟體,和/或 Metabase 產生的給定資料集的描述等資料)。
6.2. 客戶資料。 在您和 Metabase 之間,您擁有所有客戶資料的所有全球權利、所有權和利益。您授予 Metabase 非獨佔許可,以存取和使用客戶資料,以便向您和您的授權使用者提供訂閱服務。此外,您授予 Metabase 非獨佔許可,以存取和使用客戶應用程式資料和客戶元資料(但不包括客戶業務資料),以開發和改進 Metabase 的產品和服務(包括訂閱服務),詳情請參閱 Metabase 隱私權政策:metabase.com/hosting/privacy_policy。您承認並同意您對訂閱服務的使用受 Metabase 隱私權政策的約束。您對所有客戶資料的內容負全部責任。您聲明並保證 (1) 在本協議期間,您擁有並且將繼續擁有所有必要的權利、授權和許可,以便按照本協議以及您已要求我們在其上或通過其提供服務的軟體和系統來存取和使用客戶資料;以及 (2) Metabase 根據本協議使用客戶資料不會違反任何適用法律或法規,也不會導致您與任何第三方之間的任何協議或義務的違約。附件 B 中規定的資料處理附錄在此透過引用併入本文。
6.3. 安全性;備份。 Metabase 將維護(並將要求其第三方服務提供商維護)合理的管理、物理和技術保護措施,旨在根據適用的行業標準保護客戶資料免遭意外遺失和未經授權的存取或揭露。Metabase 將遵循其針對客戶資料的標準歸檔程序。如果客戶資料遺失或損壞,Metabase 將盡商業上合理的努力從 Metabase 維護的此類客戶資料的最新備份中恢復遺失或損壞的客戶資料。Metabase 不對因您或任何授權使用者或第三方造成的任何客戶資料的遺失、破壞、變更、未經授權的揭露或損壞負責。儘管本協議中有任何相反規定,但根據本第 6.3 條,Metabase 為恢復遺失或損壞的客戶資料所做的努力,將構成 Metabase 在與訂閱服務或本協議相關的任何客戶資料遺失或損壞事件中的唯一責任,以及您唯一且獨有的補救措施。
6.4. Usage Data. 您認知並同意 Metabase 可能會產生關於訂閱服務之使用及效能的去識別化資料 (「使用資料」),並可能為其內部業務目的 (例如開發及改善 Metabase 的產品及服務,包括訂閱服務) 保留及使用此類去識別化使用及效能資料。
7. 保密條款。
7.1. 雙方皆理解,他方可能需要揭露與揭露方業務相關的特定非公開資訊,該資訊在揭露時標示或識別為「機密」,或在本協議中描述為機密的任何性質的資訊 (「機密資訊」),以用於與訂閱服務之使用及/或效能相關之目的。Metabase 機密資訊包括訂閱服務的非公開部分以及任何相關文件及定價資訊。在本協議期間以及其後三 (3) 年內,雙方同意採取合理預防措施以保護揭露方的機密資訊免於未經授權的揭露,除非獲得授權或為履行其在本協議下的義務所必要,否則不得使用此類機密資訊,且不得向任何第三人揭露 (未經揭露方事先授權,包括本協議下給予的任何此類授權) 任何此類機密資訊 (除非在需要知情的基礎上向接收方之員工、顧問及服務提供者揭露,且該等人員須受保密義務約束,而該義務至少與本協議對揭露方機密資訊的保護程度相同),或本協議明確允許的情況除外。機密資訊不包括接收方可以證明屬於以下情況的任何資訊:(1) 非因接收方之過失,現已或將普遍為公眾所知悉者,或 (2) 在自揭露方收到之前,接收方已擁有或已知悉者,或 (3) 由第三方合法地且無限制地揭露給接收方者,或 (4) 在未使用揭露方任何機密資訊的情況下獨立開發者。若揭露機密資訊是為了遵守有效的法院命令或傳票所必要時,接收方可以揭露機密資訊 (在這種情況下,除非法律或法律程序禁止,否則接收方將立即通知揭露方,並在揭露方選擇對揭露要求提出異議、尋求對待揭露資訊的機密處理或限制待揭露資訊的性質或範圍時,與揭露方合作)。在本協議終止時,將立即歸還給揭露方或銷毀其擁有或控制的所有揭露方機密資訊副本,但接收方可以保留一份 (1) 揭露方機密資訊的副本,僅用於監控其在本協議下的合規性。儘管有前述規定,在終止時,Metabase 將不會保留客戶資料,除非為了遵守第 5.4 條之規定而有必要。
8. 無擔保。 訂閱服務係依「現狀」提供,不提供任何形式的擔保。METABASE 不提供任何明示或默示的擔保,包括但不限於任何適銷性、特定用途適用性及未侵權之默示擔保,以及任何因交易過程或行業慣例而產生之擔保。從 METABASE 或其他地方獲得的任何口頭或書面建議或資訊,均不構成未在本條款中明確聲明的任何擔保。METABASE 不擔保訂閱服務將無錯誤或不中斷,或所有錯誤都將被更正。您對從訂閱服務之使用獲得的結果以及從此類使用中得出的結論承擔全部責任及義務。對於因任何客戶資料中的錯誤或遺漏,或訂閱服務基於客戶資料而產生的任何結果所引起的任何索賠、損失或損害,Metabase 概不負責。
9. 賠償.
9.1. Metabase 賠償。 若第三方提出索賠,主張 Metabase 向您提供的訂閱服務侵犯任何第三方的任何專利、著作權或不當使用任何商業秘密,Metabase 將為您辯護、賠償並使您免於承擔任何損害賠償、成本及費用 (包括合理的律師費及其他專業費用),且此等損害賠償、成本及費用係在最終不可上訴的判決中判給您,或在和解中同意支付者;但前提是您:(a) 立即以書面形式通知 Metabase 任何此類索賠;(b) 授予 Metabase 對該索賠之辯護及和解的獨有控制權;以及 (c) 以 Metabase 的費用,向 Metabase 提供辯護及和解該索賠所需之所有合理協助、資訊及權力。您有權自費聘請律師參與任何索賠的辯護或和解。對於您在未經 Metabase 事先書面同意的情況下達成的任何和解或妥協,Metabase 概不負責。
9.2. 除外責任。 若任何索賠係因以下原因導致或基於以下原因,則 Metabase 依第 9.1 條賠償您的義務將不適用:(i) 將訂閱服務與非 Metabase 提供的任何產品、系統、裝置、方法或資料進行組合、操作或使用,且若非此類組合、操作或使用,則可避免該索賠;(ii) 由 Metabase 以外的任何人修改訂閱服務,且若非此類修改,則可避免該索賠;(iii) 您未能安裝及使用 Metabase 提供的訂閱服務之任何升級,且若安裝及使用此類升級,則可避免該索賠;或 (iv) 未依照本協議使用訂閱服務。對於因本第 9.2 條前述任何活動而引起的任何第三方索賠,您將賠償、辯護並使 Metabase 免於損害,並支付任何成本、損害賠償及合理的律師費,但前提是 Metabase (a) 立即以書面形式通知您任何此類索賠;(b) 授予您對該索賠之辯護及和解的獨有控制權;以及 (c) 以您的費用,向您提供辯護及和解該索賠所需之所有合理協助、資訊及權力。
9.3. 禁令。 若因第 9.1 條中指定的索賠類型,導致或 Metabase 認為可能導致您的訂閱服務使用被禁止,則 Metabase 將自行選擇並承擔費用:(i) 為您取得在本協議條款下繼續使用訂閱服務的權利;(ii) 更換或修改訂閱服務,使其不具侵權性且功能相當;或 (iii) 若 Metabase 無法完成 (i) 或儘管已盡合理努力仍無法完成,則 Metabase 可終止您在本協議下關於此類訂閱服務的權利及 Metabase 的義務,並按比例退還您為此類訂閱服務支付的預付授權費。
9.4. 客戶賠償。 客戶同意為 Metabase 辯護並賠償 Metabase,費用由客戶承擔,以使其免於因第三方針對 Metabase 提起法律訴訟而遭受損害,且此損害係基於以下索賠:客戶資料或客戶應用程式,或訂閱服務與客戶使用的任何其他軟體、硬體、材料或技術之組合,侵犯了該第三方的專利、著作權或商標,或非法使用該方的商業秘密,且客戶應支付任何此類索賠的和解金或在此類訴訟中針對 Metabase 的最終判決,前提是此等索賠可歸因於任何此類索賠。然而,此類辯護及付款須符合以下條件:Metabase 必須:(i) 立即以書面形式將此類索賠通知客戶,(ii) 允許客戶獨有地控制此類索賠的辯護、妥協或和解,包括任何上訴,以及 (iii) 在客戶的費用下,充分配合客戶進行此類索賠的辯護或和解。
9.5. 唯一救濟。 本第 9 條規定了 METABASE 關於任何種類之智慧財產權的侵權或不當使用之唯一且排他性的義務,以及您的唯一且排他性的救濟措施。
10. 責任限制。 在任何情況下,對於因本協議或訂閱服務之使用或效能而產生或與之相關的任何特殊、附帶、懲戒性、懲罰性或衍生性損害,或任何使用損失、資料損失、利潤損失或商譽損失,或採購替代產品之成本,無論是否可預見,METABASE 概不負責,無論此類責任是否因基於契約、擔保、侵權行為 (包括過失)、產品責任或其他原因的任何索賠而產生,以及無論 Metabase 是否已被告知可能發生此類損失或損害。METABASE 在本協議下產生的總體累計責任,無論是因所有訴訟原因及所有責任理論而產生,均不得超過您在首次責任索賠發生之日前 12 個月期間內為訂閱服務支付給 METABASE 的金額。雙方同意,本第 10 條及本協議其他條款中包含的限制及排除條款 (a) 不適用於任何賠償請求,且 (b) 即使本協議中指定的任何排他性救濟措施被認定未能達到其基本目的,仍將繼續有效並適用。
11. 美國政府最終客戶。 訂閱服務分別為「商業電腦軟體」及「商業電腦軟體文件」,如同 FAR 12.212 及 DFARS 227.7202 中使用的此類術語。若美國政府正在取得或代表美國政府取得訂閱服務之存取權,則根據 FAR 12.212 及 DFARS 227.7202-1 至 227.7202-4 (如適用) 之規定,美國政府在訂閱服務中的權利將僅限於本協議中規定的權利。
12. 出口法規。 您同意完全遵守所有適用的出口法律及法規,以確保訂閱服務及任何相關技術資料或其任何直接產品均未直接或間接違反此類法律及法規出口或再出口,或用於此類法律及法規禁止的任何目的。
13. 一般條款。
13.1. 本協議將受加利福尼亞州法律管轄並依其解釋,不考慮或適用法律衝突規則或原則。《聯合國國際貨物銷售合同公約》將不適用。因本協議引起的任何法律訴訟或程序將僅在位於加利福尼亞州北區的聯邦或州法院提起,且雙方不可撤銷地同意接受該法院的屬人管轄權及審判地點。
13.2. 未經 Metabase 事先書面同意,您不得透過法律或其他方式讓與或轉讓本協議或根據本協議授予的任何權利,且您在未經此類同意的情況下嘗試讓與或轉讓將屬無效。Metabase 可以自由讓與本協議。
13.3. 除非本協議另有明確規定,否則任何一方行使本協議下的任何救濟措施均不妨礙其在本協議下或其他方面的其他救濟措施。
13.4. 本協議要求或允許的所有通知或批准均應以書面形式進行,並透過確認的電子郵件傳輸、隔夜送達服務或掛號郵件送達,且在每種情況下,均應於收到時視為已送達。所有通知或批准均應發送至訂單中規定的地址,或根據本第 13.4 條由一方指定給另一方的其他地址。
13.5. 任何一方未能執行本協議的任何條款均不構成對未來執行該條款或任何其他條款的棄權。對本協議任何條款的任何棄權、修改或修訂,僅在以書面形式並經雙方授權代表簽署後方為有效。
13.6. 若本協議的任何條款被認定為不可執行或無效,則該條款應在最大可能範圍內執行,且其他條款應保持完全效力及作用。
13.7. 本協議是雙方之間關於其標的事項的完整且排他性的理解及協議,並取代雙方之間就其標的事項的所有口頭或書面提案、諒解或溝通。
13.8. 本協議的雙方為獨立承包商,且本協議不應在雙方之間建立任何合夥、合資、僱傭、特許經營或代理關係。未經他方事先書面同意,任何一方均無權約束他方或代表他方承擔義務。
13.9. 本協議可以副本形式簽署,每一副本均應視為正本,但所有副本合在一起應構成同一份文件。
13.10. 若 Metabase 的履約因超出其合理控制範圍的情況而受阻或延遲,包括但不限於天災、惡劣天氣、洪水、閃電或火災、罷工或其他勞資糾紛或工業行動、政府或其他主管機關的作為或不作為、恐怖主義、戰爭、暴動或內亂、供應短缺或停電、駭客、病毒、傳輸中斷或電信服務中斷,Metabase 不會構成違反本協議。
13.11. 故意省略。
13.12. 您提供的與本協議項下任何產品或軟體相關的任何收縮膜包裝條款、點擊包裝條款、點擊瀏覽條款、點擊接受條款、線上條款或網站條款,或您在單獨的報價單或訂購文件中提供的其他條款 (訂單或經雙方正式授權代表簽署的本協議之共同執行修訂除外) (「附加條款」) 對 Metabase 不具約束力,即使使用此類產品及軟體需要肯定地「接受」該等附加條款。所有此類附加條款均應不具效力及作用,並應視為 Metabase 完全拒絕。
本資料處理附錄 (「DPA」) 構成您 (「客戶」) 與 Metabase 之間所附訂閱服務協議 (「協議」) 的一部分。
1. 標的事項及期間。
1.1 標的事項。 本 DPA 反映雙方承諾遵守關於處理客戶個人資料的資料保護法,以用於與 Metabase 履行其在本協議下的義務相關之目的。所有在本 DPA 中未明確定義之大寫術語,均應具有協議中賦予它們的含義。若本 DPA 中的語言與協議衝突,則應以本 DPA 為準。
1.2 期間及存續。 本 DPA 將於協議生效日具有法律約束力。Metabase 將處理客戶個人資料,直到關係依協議中規定終止。只要 Metabase 處理客戶個人資料,Metabase 在本 DPA 下的義務及客戶的權利將持續有效。
2. 定義。
2.1 「客戶個人資料」指 Metabase 代表客戶處理之客戶業務資料 (及上傳客戶資料,如適用) 內的個人資料。
2.2 「資料保護法」指客戶個人資料所受約束的所有適用資料隱私、資料保護及網路安全法律、規則及法規。「資料保護法」應包括但不限於 2018 年加州消費者隱私法 (「CCPA」) 及歐盟一般資料保護規範 2016/679 (「GDPR」);在每種情況下,均以適用範圍為限。
2.3 「個人資料」應具有資料保護法下「個人資料」及/或「個人資訊」等術語所賦予的含義。
2.4 「處理」或「正在處理」指對個人資料或個人資料集執行的任何操作或一組操作,無論是否透過自動化方式進行,例如收集、記錄、組織、結構化、儲存、調整或變更、檢索、諮詢、使用、透過傳輸揭露、傳播或以其他方式提供、對齊或組合、限制、刪除或銷毀。
2.5 「安全事件」指歸因於 Metabase 的安全漏洞,導致客戶個人資料的意外或非法銷毀、遺失、變更、未經授權揭露或存取。
2.6 「服務」指 Metabase 根據協議執行的任何及所有服務。
2.7 「第三方」指 Metabase 授權的承包商、代理商、供應商及第三方服務提供者 (即次級處理者),其處理客戶個人資料。
3. 資料使用及處理。
3.1 書面指示。 Metabase 及其第三方應僅依照客戶的書面指示或本 DPA、協議或任何適用訂單明確授權之方式處理客戶個人資料。若 Metabase 合理認為客戶的指示與適用法律之間存在衝突,或以與客戶指示不符的方式尋求處理客戶個人資料,則 Metabase 將以書面形式通知客戶,除非法律禁止其如此行事。
3.2 授權使用第三方。 在履行 Metabase 在協議下的合約義務所必要的範圍內,客戶特此授權 (i) Metabase 聘請第三方,以及 (ii) 第三方聘請次級處理者。
3.3 Metabase 及第三方合規性。 Metabase 同意 (i) 與第三方簽訂關於該第三方處理客戶個人資料的書面協議,該協議對客戶個人資料施加符合資料保護法的資料保護及安全要求;以及 (ii) 對 Metabase 的第三方未能履行其關於處理客戶個人資料的義務,Metabase 仍對客戶負責。
3.4 反對第三方的權利。 在資料保護法要求的情況下,Metabase 將在聘請任何處理客戶個人資料的新第三方之前通知客戶,方式為更新其於 metabase.com/hosting/subprocessors 的次級處理者列表,並允許客戶有十 (10) 天的時間提出異議。若客戶對聘請任何與隱私或資料保護相關的新第三方有合法異議,則雙方將誠實信用地合作,以解決異議理由,時間不少於三十 (30) 天。
3.5 保密。 任何獲授權處理客戶個人資料的個人或第三方,必須以合約方式同意維護此類資訊的機密性,或受適當的法定保密義務約束。
3.6 個人資料詢問及請求。 在資料保護法要求的情況下,Metabase 同意提供合理協助,並遵守客戶關於個人根據資料保護法授予的客戶個人資料權利 (例如,存取、更正、刪除、資料可攜性等) 行使任何請求之合理指示。若請求直接發送給 Metabase,Metabase 應立即通知客戶。
3.7 禁止出售客戶個人資料。 Metabase 不得出售客戶個人資料,如同「出售」一詞在 CCPA 中的定義。Metabase 不得向第三方或其他方揭露或轉移客戶個人資料,而此舉將構成 CCPA 中定義的「出售」。
3.8 資料保護影響評估及事先諮詢。 在資料保護法要求的情況下,Metabase 同意在客戶判斷 Metabase 執行的處理類型需要進行資料保護影響評估及/或與相關資料保護主管機關事先諮詢時,以客戶的費用向客戶提供合理協助。
3.9 可證明的合規性。 Metabase 同意應合理要求提供合理必要的資訊,以證明符合本 DPA。
4. 資訊安全計畫。 Metabase 同意實施商業上合理的技術及組織措施,旨在保護客戶個人資料,使其符合資料保護法。
5. 安全事件。 在得知安全事件後,Metabase 同意在合理期間內且在資料保護法要求的時限內,透過電子郵件以書面形式通知客戶,電子郵件地址為與您的帳戶關聯的電子郵件地址。在可能的情況下,此類通知將包括資料保護法要求的所有可用詳細資訊,以供客戶遵守其自身對監管機構或受安全事件影響之個人的通知義務。
6. 稽核。 若資料保護法賦予客戶稽核權,客戶 (或其指定的代表) 可每年不超過一次,透過讓 Metabase 完成合理長度的資料保護問卷,對 Metabase 處理客戶個人資料的情況進行稽核。任何此類稽核均應受 Metabase 的安全及保密條款及準則約束。
7. 資料刪除。 在協議到期或終止時,Metabase 將在客戶選擇下,刪除或歸還所有客戶個人資料 (不包括任何備份或存檔副本,該等副本應依 Metabase 的資料保留排程刪除),除非 Metabase 依適用法律要求保留副本,在這種情況下,Metabase 將隔離並保護該客戶個人資料,使其免於任何進一步處理,但適用法律要求的範圍除外。
8. 處理詳細資訊。
標的事項: 處理的標的事項為依協議提供的服務。
期間: 處理將持續至協議到期或終止。
資料主體類別: 其個人資料將依協議處理的資料主體。
處理的性質及目的: Metabase 處理客戶個人資料的目的為履行服務。
客戶個人資料類型: 依協議處理的客戶個人資料。
本附錄 I 構成 DPA 的一部分。本附錄 I 中未定義之大寫術語,應具有 DPA 或協議中規定的含義。
本附錄 II 構成 DPA 的一部分。
第一節
第 1 條
(a) 這些標準契約條款之目的,在於確保符合歐洲議會及理事會 2016 年 4 月 27 日關於在個人資料處理方面保護自然人以及關於此類資料自由流動之規範 (EU) 2016/679 (一般資料保護規範) 的要求,以用於將個人資料傳輸至第三國。
(b) 締約方
(i) 傳輸個人資料的自然人或法人、公共主管機關/機構、代理機構/機構或其他團體/團體 (以下簡稱「實體」),如附件 I.A 中所列 (以下簡稱各「資料出口商」),以及
(ii) 從資料出口商直接或間接透過亦為這些條款締約方的另一實體接收個人資料之第三國的實體,如附件 I.A 中所列 (以下簡稱各「資料進口商」)
已同意這些標準契約條款 (以下簡稱「條款」)。
(c) 這些條款適用於附件 I.B 中規定的個人資料傳輸。
(d) 這些條款之附錄 (其中包含提及的附件) 構成這些條款之完整部分。
(e) 在此處適用的範圍內,這些條款亦經必要修改後適用於締約方處理受瑞士聯邦資料保護法約束的個人資料。在適用的情況下,提及歐盟會員國法律或歐盟監管機關之處應修改為包括瑞士法律下的適當提及,因其與受瑞士聯邦資料保護法約束之個人資料傳輸相關。
(f) 在此處適用的範圍內,經附件 III 補充之這些條款亦經必要修改後適用於締約方處理受英國一般資料保護規範約束的個人資料,該規範經 2018 年資料保護法中的條款補充。
第 2 條
(a) 本條款依據歐盟一般資料保護規範 (Regulation (EU) 2016/679) 第 46 條第 1 項和第 46 條第 2 項第 (c) 款,以及關於控制者傳輸資料給處理者及/或處理者傳輸資料給處理者的部分,依據歐盟一般資料保護規範 (Regulation (EU) 2016/679) 第 28 條第 7 項,制定適當的保障措施,包括可執行的資料主體權利和有效的法律救濟,前提是這些條款未經修改,但選擇適當的模組或在附錄中新增或更新資訊的情況除外。這並不妨礙締約方將本條款中規定的標準契約條款納入更廣泛的契約中,及/或新增其他條款或額外保障,前提是這些條款或保障不得直接或間接地與本條款相矛盾,或損害資料主體的基本權利或自由。
(b) 本條款不影響資料匯出者依據歐盟一般資料保護規範 (Regulation (EU) 2016/679) 所承擔的義務。
第 3 條
(a) 資料主體可以作為第三人受益者,對資料匯出者及/或資料匯入者援引和執行本條款,但以下情況除外:
(i) 第 1 條、第 2 條、第 3 條、第 6 條、第 7 條;
(ii) 第 8.1(b) 條、第 8.9(a) 條、(c) 條、(d) 條和 (e) 條;
(iii) 第 9(a) 條、(c) 條、(d) 條和 (e) 條;
(iv) 第 12(a) 條、(d) 條和 (f) 條;
(v) 第 13 條;
(vi) 第 15.1(c) 條、(d) 條和 (e) 條;
(vii) 第 16(e) 條;
(viii) 第 18(a) 條和 (b) 條。
(b) 第 (a) 項不影響資料主體在歐盟一般資料保護規範 (Regulation (EU) 2016/679) 下的權利。
第 4 條
(a) 若本條款使用歐盟一般資料保護規範 (Regulation (EU) 2016/679) 中定義的術語,則這些術語應具有與該規範中相同的含義。
(b) 本條款應參照歐盟一般資料保護規範 (Regulation (EU) 2016/679) 的規定進行閱讀和解釋。
(c) 對本條款的解釋不得與歐盟一般資料保護規範 (Regulation (EU) 2016/679) 規定的權利和義務相衝突。
第 5 條
如果本條款與締約方之間在同意本條款時已存在或之後簽訂的相關協議條款之間存在矛盾,則應以本條款為準。
第 6 條
傳輸的詳細資訊,特別是傳輸的個人資料類別及其傳輸目的,詳見附件 I.B。
第 7 條 – 選擇性條款
第二節 – 締約方的義務
第 8 條
資料匯出者保證,其已盡合理努力確定資料匯入者能夠透過實施適當的技術和組織措施,履行其在本條款下的義務。
模組二:控制者傳輸給處理者
8.1 指示
(a) 資料匯入者應僅根據資料匯出者的書面指示處理個人資料。資料匯出者可以在契約期間內發出此類指示。
(b) 如果資料匯入者無法遵循這些指示,應立即通知資料匯出者。
8.2 目的限制
資料匯入者應僅為附件 I.B 中規定的特定傳輸目的處理個人資料,除非收到資料匯出者的進一步指示。
8.3 透明化
經要求,資料匯出者應免費向資料主體提供本條款的副本,包括締約方填寫的附錄。在保護商業機密或其他機密資訊(包括附件二中描述的措施和個人資料)所需的範圍內,資料匯出者可以在共享副本之前,編輯本條款附錄的部分文字,但應提供有意義的摘要,以便資料主體在其他情況下無法理解其內容或行使其權利。經要求,締約方應向資料主體提供編輯理由,並在不洩露編輯資訊的情況下盡可能詳細說明。本條款不影響資料匯出者在歐盟一般資料保護規範 (Regulation (EU) 2016/679) 第 13 條和第 14 條下的義務。
8.4 準確性
如果資料匯入者意識到其收到的個人資料不準確或已過時,應立即通知資料匯出者。在這種情況下,資料匯入者應與資料匯出者合作,以刪除或更正資料。
8.5 處理期間以及資料的刪除或返還
資料匯入者的處理應僅在附件 I.B 中規定的期間內進行。在處理服務提供結束後,資料匯入者應根據資料匯出者的選擇,刪除代表資料匯出者處理的所有個人資料,並向資料匯出者證明已完成刪除,或將代表其處理的所有個人資料返還給資料匯出者,並刪除現有副本。在資料被刪除或返還之前,資料匯入者應繼續確保遵守本條款。如果適用於資料匯入者的當地法律禁止返還或刪除個人資料,資料匯入者保證將繼續確保遵守本條款,並且僅在當地法律要求的範圍和期限內處理資料。這不影響第 14 條,特別是第 14(e) 條資料匯入者在契約期間,如有理由相信其已受或將受不符合第 14(a) 條要求的法律或慣例約束時,通知資料匯出者的義務。
8.6 處理的安全性
(a) 資料匯入者以及在傳輸期間的資料匯出者應實施適當的技術和組織措施,以確保資料的安全性,包括防止因安全漏洞導致的意外或非法銷毀、遺失、變更、未經授權的洩露或訪問該資料(以下簡稱「個人資料外洩」)。在評估適當的安全級別時,締約方應適當考慮技術發展現狀、實施成本、處理的性質、範圍、背景和目的,以及處理對資料主體造成的風險。締約方應特別考慮採用加密或假名化,包括在傳輸過程中,如果處理目的可以透過這種方式實現。在假名化的情況下,將個人資料歸屬於特定資料主體的額外資訊,應盡可能保留在資料匯出者的獨家控制之下。為履行本款項下的義務,資料匯入者應至少實施附件二中規定的技術和組織措施。資料匯入者應定期檢查,以確保這些措施繼續提供適當的安全級別。
(b) 資料匯入者應僅在為履行、管理和監控契約絕對必要的範圍內,授權其人員訪問個人資料。資料匯入者應確保被授權處理個人資料的人員已承諾保密或受適當的法定保密義務約束。
(c) 如果發生與資料匯入者根據本條款處理的個人資料有關的個人資料外洩事件,資料匯入者應採取適當措施處理外洩事件,包括減輕其不利影響的措施。資料匯入者也應在得知外洩事件後,立即通知資料匯出者,不得無故拖延。此類通知應包含可獲取更多資訊的聯絡點詳細資訊、外洩事件性質的描述(包括在可能的情況下,相關資料主體和個人資料記錄的類別和約略數量)、其可能造成的後果,以及為解決外洩事件已採取或擬採取的措施,包括在適當情況下,減輕其可能不利影響的措施。如果無法同時提供所有資訊,初始通知應包含當時可用的資訊,並且後續資訊應在可用時立即提供,不得無故拖延。
(d) 資料匯入者應與資料匯出者合作並協助資料匯出者,使其能夠履行其在歐盟一般資料保護規範 (Regulation (EU) 2016/679) 下的義務,特別是通知主管監督機關和受影響的資料主體,同時考慮到處理的性質和資料匯入者可獲得的資訊。
8.7 敏感資料
如果傳輸涉及揭露種族或民族血統、政治觀點、宗教或哲學信仰或工會會員資格的個人資料、基因資料、或為唯一識別自然人身分的生物識別資料、有關健康或個人性生活或性取向的資料,或與刑事定罪和犯罪有關的資料(以下簡稱「敏感資料」),資料匯入者應適用附件 I.B 中描述的特定限制及/或額外保障措施。
8.8 後續傳輸
資料匯入者應僅根據資料匯出者的書面指示向第三方揭露個人資料。此外,僅在第三方同意受本條款(在適當的模組下)約束或符合以下情況時,才可以向位於歐盟境外(與資料匯入者位於同一國家或另一個第三國,以下簡稱「後續傳輸」)的第三方揭露資料:
(i) 後續傳輸是傳輸到依據歐盟一般資料保護規範 (Regulation (EU) 2016/679) 第 45 條受益於充分性決定的國家,且該決定涵蓋後續傳輸;
(ii) 第三方以其他方式確保依據歐盟一般資料保護規範 (Regulation (EU) 2016/679) 第 46 條或第 47 條,針對相關處理提供適當的保障措施;
(iii) 後續傳輸對於在特定的行政、監管或司法程序中確立、行使或辯護法律主張是必要的;或
(iv) 後續傳輸為了保護資料主體或另一自然人的重大利益是必要的。
任何後續傳輸均應符合資料匯入者在本條款下的所有其他保障措施,特別是目的限制。
8.9 文件記錄與合規
(a) 資料匯入者應及時且充分地處理資料匯出者提出的與本條款下處理相關的詢問。
(b) 締約方應能夠證明符合本條款。特別是,資料匯入者應保存代表資料匯出者執行的處理活動的適當文件記錄。
(c) 資料匯入者應向資料匯出者提供所有必要資訊,以證明符合本條款中規定的義務,並應資料匯出者的要求,允許並協助對本條款涵蓋的處理活動進行稽核,稽核應在合理的時間間隔內進行,或在有不合規跡象時進行。在決定進行審查或稽核時,資料匯出者可以考慮資料匯入者持有的相關認證。
(d) 資料匯出者可以選擇自行進行稽核,或委託獨立稽核員進行稽核。稽核可以包括在資料匯入者的場所或實體設施進行檢查,並應在適當情況下提前合理通知。
(e) 締約方應應主管監督機關的要求,向其提供第 (b) 項和第 (c) 項中提及的資訊,包括任何稽核結果。
第 9 條
模組二:控制者傳輸給處理者
(a) 資料匯入者已獲得資料匯出者的一般授權,可以從約定的清單中聘用次級處理者。資料匯入者應至少提前十 (10) 天以書面形式將對該清單的任何擬議變更(透過新增或更換次級處理者)具體告知資料匯出者,從而使資料匯出者有足夠的時間在聘用次級處理者之前反對此類變更。資料匯入者應向資料匯出者提供必要的資訊,以使資料匯出者能夠行使其反對權。
(b) 如果資料匯入者聘用次級處理者執行特定的處理活動(代表資料匯出者),則應透過書面契約進行,該契約應實質上規定與本條款下約束資料匯入者的資料保護義務相同的義務,包括資料主體的第三人受益權。締約方同意,透過遵守本條款,資料匯入者即履行了其在第 8.8 條下的義務。資料匯入者應確保次級處理者遵守資料匯入者依據本條款承擔的義務。
(c) 資料匯入者應應資料匯出者的要求,向資料匯出者提供此類次級處理者協議的副本以及任何後續修訂。在保護商業機密或其他機密資訊(包括個人資料)所需的範圍內,資料匯入者可以在共享副本之前編輯協議的文字。
(d) 資料匯入者應繼續對次級處理者在其與資料匯入者的契約下的義務履行情況,向資料匯出者承擔全部責任。資料匯入者應將次級處理者未能履行其在該契約下的義務的情況通知資料匯出者。
(e) 資料匯入者應與次級處理者約定第三人受益條款,據此條款 – 如果資料匯入者實際上已消失、在法律上已不復存在或已資不抵債 – 資料匯出者應有權終止次級處理者契約,並指示次級處理者刪除或返還個人資料。
第 10 條
模組二:控制者傳輸給處理者
(a) 資料匯入者應立即將其收到的任何資料主體請求通知資料匯出者。除非獲得資料匯出者的授權,否則不得自行回應該請求。
(b) 資料匯入者應協助資料匯出者履行其義務,以回應資料主體根據歐盟一般資料保護規範 (Regulation (EU) 2016/679) 行使其權利的請求。在這方面,締約方應在附件二中規定適當的技術和組織措施(考慮到處理的性質),透過這些措施提供協助,以及所需協助的範圍和程度。
(c) 在履行其在第 (a) 項和第 (b) 項下的義務時,資料匯入者應遵守資料匯出者的指示。
第 11 條
(a) 資料匯入者應以透明且易於訪問的形式,透過個別通知或在其網站上,告知資料主體獲授權處理投訴的聯絡點。資料匯入者應及時處理其收到的任何資料主體投訴。
模組二:控制者傳輸給處理者
(b) 如果資料主體與締約方之一之間就遵守本條款發生爭議,該締約方應盡最大努力及時友好地解決問題。締約方應相互通報此類爭議,並在適當情況下合作解決爭議。
(c) 如果資料主體依據第 3 條援引第三人受益權,資料匯入者應接受資料主體的以下決定:
(i) 向資料主體慣常居所或工作地點所在會員國的監督機關,或依據第 13 條的主管監督機關提出申訴;
(ii) 將爭議提交給第 18 條含義範圍內的有管轄權的法院。
(d) 締約方接受,資料主體可以由非營利機構、組織或協會根據歐盟一般資料保護規範 (Regulation (EU) 2016/679) 第 80 條第 1 項規定的條件代表。
(e) 資料匯入者應遵守根據適用的歐盟或會員國法律具有約束力的決定。
(f) 資料匯入者同意,資料主體做出的選擇不應損害其根據適用法律尋求補救的實質和程序權利。
第 12 條
模組二:控制者傳輸給處理者
(a) 每一方均應對因違反本條款而對其他締約方造成的任何損害,向其他締約方承擔責任。
(b) 資料匯入者應對資料主體負責,並且資料主體有權就資料匯入者或其次級處理者因違反本條款下的第三人受益權而對資料主體造成的任何物質或非物質損害,獲得賠償。
(c) 儘管有第 (b) 項規定,資料匯出者仍應對資料主體負責,並且資料主體有權就資料匯出者或資料匯入者(或其次級處理者)因違反本條款下的第三人受益權而對資料主體造成的任何物質或非物質損害,獲得賠償。這不影響資料匯出者的責任,以及在資料匯出者是以控制者名義行事的處理者的情況下,不影響控制者根據歐盟一般資料保護規範 (Regulation (EU) 2016/679) 或歐盟法規 (Regulation (EU) 2018/1725)(以適用者為準)所承擔的責任。
(d) 締約方同意,如果資料匯出者根據第 (c) 項對資料匯入者(或其次級處理者)造成的損害承擔責任,則應有權向資料匯入者索回與資料匯入者對損害應負責任部分相對應的賠償金。
(e) 如果有多個締約方對因違反本條款而對資料主體造成的任何損害負責,則所有負責的締約方應承擔連帶責任,並且資料主體有權對任何這些締約方提起訴訟。
(f) 締約方同意,如果一方根據第 (e) 項承擔責任,則應有權向其他締約方索回與其/他們的損害責任相對應的賠償金。
(g) 資料匯入者不得援引次級處理者的行為來規避自身責任。
第 13 條
模組二:控制者傳輸給處理者
(a) 如果資料匯出者在歐盟會員國成立,則適用以下章節:附件 I.C 中指出的負責確保資料匯出者在資料傳輸方面遵守歐盟一般資料保護規範 (Regulation (EU) 2016/679) 的監督機關,應作為主管監督機關。如果資料匯出者未在歐盟會員國成立,但依據歐盟一般資料保護規範 (Regulation (EU) 2016/679) 第 3 條第 2 項的規定屬於該規範的地域管轄範圍,並已依據歐盟一般資料保護規範 (Regulation (EU) 2016/679) 第 27 條第 1 項指定代表,則適用以下章節:附件 I.C 中指出的第 27 條第 1 項含義範圍內的代表成立所在會員國的監督機關,應作為主管監督機關。如果資料匯出者未在歐盟會員國成立,但依據歐盟一般資料保護規範 (Regulation (EU) 2016/679) 第 3 條第 2 項的規定屬於該規範的地域管轄範圍,但依據歐盟一般資料保護規範 (Regulation (EU) 2016/679) 第 27 條第 2 項無需指定代表,則適用以下章節:附件 I.C 中指出的與提供商品或服務給資料主體相關,或與監控資料主體行為相關,且其個人資料在本條款下傳輸的資料主體所在的其中一個會員國的監督機關,應作為主管監督機關。
(b) 資料匯入者同意服從主管監督機關的管轄,並在旨在確保遵守本條款的任何程序中與其合作。特別是,資料匯入者同意回覆詢問、接受稽核,並遵守監督機關採取的措施,包括補救和賠償措施。資料匯入者應向監督機關提供已採取必要行動的書面確認。
第三節 – 公共機關訪問情況下的當地法律和義務
第 14 條
模組二:控制者傳輸給處理者
(a) 締約方保證,他們沒有理由相信目的地第三國適用於資料匯入者處理個人資料的法律和慣例,包括任何揭露個人資料的要求或授權公共機關訪問的措施,會阻止資料匯入者履行其在本條款下的義務。這是基於以下理解:尊重基本權利和自由的本質,且在民主社會中不超過為保障歐盟一般資料保護規範 (Regulation (EU) 2016/679) 第 23 條第 1 項中列出的目標之一所必需且相稱的法律和慣例,與本條款並不矛盾。
(b) 締約方聲明,在提供第 (a) 項中的保證時,他們已特別考慮到以下要素:
(i) 傳輸的具體情況,包括處理鏈的長度、涉及的參與者數量和使用的傳輸管道;預期的後續傳輸;接收者的類型;處理的目的;傳輸的個人資料的類別和格式;發生傳輸的經濟部門;傳輸資料的儲存位置;
(ii) 目的地第三國的法律和慣例 – 包括那些要求向公共機關揭露資料或授權此類機關訪問資料的法律和慣例 – 這些法律和慣例與傳輸的具體情況以及適用的限制和保障措施相關;
(iii) 為補充本條款下的保障措施而制定的任何相關契約、技術或組織保障措施,包括在傳輸過程中和在目的地國處理個人資料時採取的措施。
(c) 資料匯入者保證,在進行第 (b) 項下的評估時,其已盡最大努力向資料匯出者提供相關資訊,並同意將繼續與資料匯出者合作,以確保遵守本條款。
(d) 締約方同意記錄第 (b) 項下的評估,並應主管監督機關的要求,向其提供該評估。
(e) 資料匯入者同意,如果在同意本條款之後以及在契約期間,其有理由相信其已受或將受不符合第 (a) 項要求的法律或慣例約束,包括在第三國法律變更或措施(例如揭露請求)表明此類法律在實踐中的應用不符合第 (a) 項要求之後,應立即通知資料匯出者。
(f) 在根據第 (e) 項發出通知後,或如果資料匯出者以其他方式有理由相信資料匯入者無法再履行其在本條款下的義務,資料匯出者應立即確定由資料匯出者及/或資料匯入者採取的適當措施(例如確保安全性和機密性的技術或組織措施),以解決該情況。如果資料匯出者認為無法確保此類傳輸的適當保障措施,或受到主管監督機關的指示,應暫停資料傳輸。在這種情況下,資料匯出者應有權終止契約,但以契約與本條款下個人資料的處理相關的部分為限。如果契約涉及兩個以上的締約方,資料匯出者僅可針對相關締約方行使此終止權,除非締約方另有約定。如果契約依據本條款終止,則應適用第 16(d) 條和第 (e) 條。
第 15 條
模組二:控制者傳輸給處理者
15.1 通知
(a) 資料匯入者同意,如果其發生以下情況,應立即通知資料匯出者,並在可能的情況下立即通知資料主體(必要時在資料匯出者的協助下):
(i) 收到目的地國法律下的公共機關(包括司法機關)提出的具有法律約束力的請求,要求揭露依據本條款傳輸的個人資料;此類通知應包括有關請求的個人資料、請求機關、請求的法律依據以及提供的回覆的資訊;或
(ii) 意識到公共機關依據目的地國法律直接訪問依據本條款傳輸的個人資料;此類通知應包括匯入者可獲得的所有資訊。
(b) 如果目的地國法律禁止資料匯入者通知資料匯出者及/或資料主體,資料匯入者同意盡最大努力爭取豁免該禁令,以期盡快傳達盡可能多的資訊。資料匯入者同意記錄其盡最大努力的過程,以便能夠應資料匯出者的要求證明其已盡力。
(c) 在目的地國法律允許的情況下,資料匯入者同意在契約期間定期向資料匯出者提供盡可能多的有關收到的請求的相關資訊(特別是,請求數量、請求的資料類型、請求機關、請求是否受到質疑以及此類質疑的結果等)。
(d) 資料匯入者同意在契約期間保存第 (a) 項至第 (c) 項規定的資訊,並應主管監督機關的要求,向其提供這些資訊。
(e) 第 (a) 項至第 (c) 項不影響資料匯入者依據第 14(e) 條和第 16 條,在其無法遵守本條款時立即通知資料匯出者的義務。
15.2 合法性審查和資料最小化
(a) 資料匯入者同意審查揭露請求的合法性,特別是其是否仍在請求公共機關被授予的權力範圍內,並且如果經過仔細評估後,得出有合理理由認為該請求在目的地國法律、國際法下的適用義務和國際禮讓原則下是非法的,則應質疑該請求。資料匯入者應在相同條件下,尋求上訴的可能性。在質疑請求時,資料匯入者應尋求臨時措施,以期暫停請求的效力,直到主管司法機關對其案情作出裁決。在適用程序規則要求之前,資料匯入者不得揭露請求的個人資料。這些要求不影響資料匯入者在第 14(e) 條下的義務。
(b) 資料匯入者同意記錄其法律評估以及對揭露請求的任何質疑,並在目的地國法律允許的範圍內,向資料匯出者提供文件記錄。資料匯入者也應應主管監督機關的要求,向其提供文件記錄。
(c) 資料匯入者同意在回覆揭露請求時,根據對請求的合理解釋,提供允許範圍內的最少資訊量。
第四節 – 最後條款
第 16 條
(a) 如果資料匯入者因任何原因無法遵守本條款,應立即通知資料匯出者。
(b) 如果資料匯入者違反本條款或無法遵守本條款,資料匯出者應暫停向資料匯入者傳輸個人資料,直到再次確保合規或契約終止。這不影響第 14(f) 條。
(c) 在以下情況下,資料匯出者應有權終止契約,但以契約與本條款下個人資料的處理相關的部分為限:
(i) 資料匯出者已依據第 (b) 項暫停向資料匯入者傳輸個人資料,且在本條款的合規性在合理時間內(在任何情況下均不得超過暫停後一個月)未恢復;
(ii) 資料匯入者嚴重或持續違反本條款;或
(iii) 資料匯入者未能遵守有管轄權的法院或監督機關就其在本條款下的義務作出的具有約束力的決定。
在這些情況下,應將此類不合規情況通知主管監督機關。如果契約涉及兩個以上的締約方,資料匯出者僅可針對相關締約方行使此終止權,除非締約方另有約定。
(d) 依據第 (c) 項在契約終止之前已傳輸的個人資料,應根據資料匯出者的選擇,立即返還給資料匯出者或全部刪除。這同樣適用於資料的任何副本。資料匯入者應向資料匯出者證明資料已刪除。在資料被刪除或返還之前,資料匯入者應繼續確保遵守本條款。如果適用於資料匯入者的當地法律禁止返還或刪除已傳輸的個人資料,資料匯入者保證將繼續確保遵守本條款,並且僅在當地法律要求的範圍和期限內處理資料。
(e) 如果發生以下情況,任何一方均可撤銷其受本條款約束的協議:(i) 歐盟委員會依據歐盟一般資料保護規範 (Regulation (EU) 2016/679) 第 45 條第 3 項通過一項決定,該決定涵蓋本條款適用的個人資料傳輸;或 (ii) 歐盟一般資料保護規範 (Regulation (EU) 2016/679) 成為個人資料傳輸目的國法律框架的一部分。這不影響適用於歐盟一般資料保護規範 (Regulation (EU) 2016/679) 下相關處理的其他義務。
第 17 條
模組二:控制者傳輸給處理者
本條款應受歐盟會員國之一的法律管轄,前提是該法律允許第三人受益權。締約方同意準據法應為愛爾蘭法律。
第 18 條
模組二:控制者傳輸給處理者
(a) 因本條款引起的任何爭議應由歐盟會員國的法院解決。
(b) 締約方同意法院應為愛爾蘭法院。
(c) 資料主體也可以在其慣常居所所在會員國的法院對資料匯出者及/或資料匯入者提起法律訴訟。
(d) 締約方同意服從此類法院的司法管轄權。
附件 I
A. 締約方清單
模組二:控制者傳輸給處理者
資料匯出者
地址:如適用訂單中規定。
聯絡人姓名、職位和聯絡方式:如適用訂單中規定。
與本條款下傳輸資料相關的活動:如 DPA 附錄 I 所述。
角色 (控制者/處理者):控制者。
資料匯入者
地址:如適用訂單中規定。
聯絡人姓名、職位和聯絡方式:如適用訂單中規定。
與本條款下傳輸資料相關的活動:如 DPA 附錄 I 所述。
角色 (控制者/處理者):處理者。
B. 傳輸說明
模組二:控制者傳輸給處理者
個人資料被傳輸之資料主體類別
如 DPA 附錄 I 所述。
被傳輸之個人資料類別
如 DPA 附錄 I 所述。
被傳輸之敏感性資料 (如適用) 以及充分考量資料性質和相關風險的適用限制或保護措施,例如嚴格的目的限制、存取限制 (包括僅限接受過專門培訓的人員存取)、保留資料存取記錄、限制後續傳輸或額外的安全措施。
如 DPA 附錄 I 所述。
傳輸頻率 (例如,資料是以一次性或持續性方式傳輸)。
如 DPA 附錄 I 所述。
處理性質
如 DPA 附錄 I 所述。
資料傳輸和進一步處理之目的
如 DPA 附錄 I 所述。
*個人資料將被保留的期間,或者,如果不可能,則用於確定該期間的標準
如 DPA 附錄 I 所述。
對於傳輸至 (次) 處理者的資料,亦請指明處理的標的、性質和持續時間
如 DPA 附錄 I 所述。
C. 主管監督機關
模組二:控制者傳輸給處理者
第 13 條授權的監督機關。如果第 13 條未授權任何監督機關,則為愛爾蘭資料保護委員會 (DPC),如果這不可能,則為雙方根據第 13 條規定的條件另行約定者。
附件二
技術和組織措施,包括確保資料安全的技術和組織措施
模組二:控制者傳輸給處理者
資料匯入者實施的技術和組織措施說明 (包括任何相關認證),以確保適當的安全等級,並考量處理的性質、範圍、背景和目的,以及自然人權利和自由的風險。
資料匯入者應實施並維持適當的技術和組織措施,旨在依照 DPA 保護個人資料。
根據第 10(b) 條,資料匯入者將依照 DPA 向資料匯出者提供資料主體請求方面的協助。
附件三
專員依據 2018 年資料保護法 S119A(1) 發布的標準資料保護條款
歐盟委員會標準契約條款之英國附錄
本附錄的日期
1. 條款的日期與 DPA 的日期相同。
背景
2. 資訊專員認為,本附錄為依賴英國 GDPR 第 46 條將個人資料傳輸至第三國或國際組織,以及就控制者至處理者和/或處理者至處理者的資料傳輸而言,提供了適當的保障。本附錄構成其所附加條款的一部分並對其進行補充。如果客戶將源自英國的客戶個人資料傳輸至 Metabase,而該國家/地區尚未被認定根據英國資料保護法提供足夠的保護等級,則雙方同意該傳輸應受經本附錄補充的條款管轄。
本附錄的解釋
3. 如果本附錄使用附件中定義的術語,則這些術語應具有與附件中相同的含義。此外,以下術語具有以下含義
| 本附錄 | 本條款附錄 |
| 附件 | 委員會執行決定 (EU) 2021/914 附件中規定的標準契約條款,日期為 2021 年 6 月 4 日 |
| 英國資料保護法 | 不時在英國生效的所有與資料保護、個人資料處理、隱私和/或電子通訊相關的法律,包括英國 GDPR 和 2018 年資料保護法。 |
| 英國 GDPR | 英國通用資料保護規範,依據 2018 年歐洲聯盟 (退出) 法案第 3 條,構成英格蘭、威爾斯、蘇格蘭和北愛爾蘭法律的一部分。 |
| 英國 | 大不列顛及北愛爾蘭聯合王國 |
4. 本附錄應根據英國資料保護法的規定進行閱讀和解釋,以便其實現提供英國 GDPR 第 46 條要求的適當保障的意圖。
5. 不應以與英國資料保護法規定的權利和義務相衝突的方式解釋本附錄。
6. 任何對法規 (或法規的特定條款) 的引用均指該法規 (或特定條款) 隨時間可能發生的變更。這包括在簽訂本附錄後,該法規 (或特定條款) 已被合併、重新制定和/或取代的情況。
優先順序
7. 如果本附錄與條款或雙方之間在本附錄達成協議時或之後存在的其他相關協議的條款之間存在衝突或不一致,則應以提供資料主體最大保護的條款為準。
條款的納入
8. 本附錄納入條款,這些條款被視為在必要範圍內進行了修訂,以便它們可以運作
(a) 對於資料匯出者向資料匯入者進行的傳輸,在英國資料保護法適用於資料匯出者進行該傳輸時的處理的範圍內;以及
(b) 根據英國 GDPR 法律第 46 條,為傳輸提供適當的保障。
9. 上文第 8 節要求的修訂包括 (但不限於)
(a) 提及「條款」係指本附錄及其納入的條款
(b) 第 6 條傳輸說明替換為
「傳輸的詳細資訊,特別是被傳輸的個人資料類別以及傳輸目的,是附件 I.B 中規定的內容,其中英國資料保護法適用於資料匯出者進行該傳輸時的處理。」
(c) 提及「(EU) 2016/679 號條例」或「該條例」替換為「英國資料保護法」,並且提及「(EU) 2016/679 號條例」的特定條款替換為英國資料保護法中對等的條款或章節。
(d) 刪除提及 (EU) 2018/1725 號條例的內容。
(e) 提及「聯盟」、「歐盟」和「歐盟會員國」均替換為「英國」
(f) 不使用第 13(a) 條和附件二 C 部分;「主管監督機關」是資訊專員;
(g) 第 17 條替換為聲明「這些條款受英格蘭和威爾斯法律管轄」。
(h) 第 18 條替換為聲明
「因這些條款引起的任何爭議應由英格蘭和威爾斯法院解決。資料主體亦可向英國任何國家的法院對資料匯出者和/或資料匯入者提起法律訴訟。雙方同意接受此類法院的管轄。
如果您已購買存取或使用附加資料倉儲 (定義如下) 的授權,如以下本附件 C 第 1 節所述,則這些附加資料倉儲條款 (「本附件 C」) 將適用。在本附件 C 中使用但未另行定義的大寫術語應具有協議中賦予它們的含義。
1. 附加資料倉儲;授權。 您可以購買授權以透過訂閱服務存取資料儲存空間,或透過 Metabase 線上網路商店的結帳流程或其他區域,或如訂單中註明 (「附加資料倉儲」)。附加資料倉儲由 Metabase (或其第三方資料儲存或資料庫管理系統提供者) 託管,旨在使您能夠將上傳至附加資料倉儲的資料連接至訂閱服務。在您支付附加資料倉儲費用後,Metabase 在訂閱期間授予您有限、非獨占、不可轉讓、不可再授權的授權,以存取附加資料倉儲,僅為了與訂閱服務相關的用途將資料上傳至附加資料倉儲,在這種情況下,附加資料倉儲將被視為訂閱服務的一部分,並且協議中所有提及訂閱服務之處均應包括提及附加資料倉儲 (如適用)。
2. 上傳的客戶資料 為協議 (包括本附件 C) 之目的,「上傳的客戶資料」是指您上傳或傳輸至附加資料倉儲,或以其他方式儲存在附加資料倉儲中的任何及所有資料、資訊和材料。儘管協議中有任何相反規定,客戶資料將包括上傳的客戶資料。為了清楚起見,Metabase 將僅為了提供附加資料倉儲和服務的目的使用上傳的客戶資料,而不會用於開發或改進服務。
3. 上傳的客戶資料之授權。 除了協議中其他地方授予的授權外,您特此授予 Metabase (及其第三方資料儲存或資料庫管理系統提供者) 非獨占、全球授權,以存取、儲存和託管附加資料倉儲中的上傳的客戶資料,以用於協議和提供訂閱服務之目的。
4. 費用。 您將支付適用於您存取和使用附加資料倉儲的所有費用,這些費用將透過訂閱服務或透過 Metabase 線上網路商店的結帳流程或其他區域傳達給您 (「附加資料倉儲費用」)。如果您未能及時支付到期的附加資料倉儲費用,Metabase 可能會立即暫停或終止您對附加資料倉儲的存取權限。
5. 無 PHI 或 NPI;聲明與保證;賠償。 您聲明並保證 (i) 您不會傳輸、上傳或以其他方式提供任何受保護的健康資訊 (PHI) (由 1996 年健康保險流通與責任法案定義) 或非公開個人資訊 (NPI) (由格蘭姆-里奇-比利雷法案定義) 至附加資料倉儲;並且 (ii) 您擁有所有必要的權利、許可、同意和授權來傳輸、上傳和提供上傳的客戶資料至附加資料倉儲,並且此類傳輸、上傳和提供不會侵犯任何第三方的智慧財產權或違反適用法律。您同意就第三方針對 Metabase 提起的任何法律訴訟,在您的費用下為 Metabase 辯護並使其免受損害,只要該訴訟是基於與您以不符合本協議的方式使用附加資料倉儲或違反適用法律的行為相關的索賠。
6. 資料保留。 儘管協議中有任何相反規定,在本協議終止或到期後,Metabase 可以根據其備份和歸檔政策,將上傳的客戶資料保留最多一百八十 (180) 天。
