上次更新:2024 年 8 月 14 日(請參閱先前版本)。
請在存取或使用訂閱服務(定義如下)之前,仔細閱讀以下條款和條件。
除非您與 METABASE, INC.(「METABASE」)已簽署一份關於訂閱服務使用的獨立協議,否則本協議(定義如下)的條款和條件將規範訂閱服務的使用。
Metabase 僅在您接受作為附件 A 的託管服務條款(「條款」)和作為附件 B 的資料處理附錄(統稱「協議」)中包含的所有條款的條件下,才願意向您提供訂閱服務。透過點擊註冊頁面上標記為「訂閱」的核取方塊,或透過存取或使用訂閱服務,您已表示您理解本協議並接受其所有條款。如果您代表公司或其他法律實體接受本協議條款,您聲明並保證您有權約束該公司或其他法律實體遵守本協議條款,在這種情況下,「您」和「您的」將指該公司或其他法律實體。如果您不接受本協議的所有條款,則您不得接受本協議,且您不得使用訂閱服務。
1. 定義。
「客戶應用程式資料」指您和您的授權使用者輸入訂閱服務的資料。客戶應用程式資料包括每個授權使用者的登入憑證以及您的授權使用者提交的查詢。
「客戶業務資料」指您和您的授權使用者在使用訂閱服務過程中檢索或存取之外部資料庫中的資料。
「客戶資料」統指客戶應用程式資料、客戶業務資料和客戶中繼資料。
「客戶中繼資料」指描述客戶資料的資料。客戶中繼資料可能包括資料,例如資料庫中的資料集數量、資料集的平均資料大小、使用者連接的資料庫軟體,或 Metabase 產生的給定資料集描述。
2. 訂閱服務。
2.1 訂閱服務。在您遵守本協議條款和條件的前提下,自服務開始日起生效,並在訂閱期限(如下定義)內持續有效:(i)Metabase 將:向您提供訂閱服務,且您可以僅在訂單中規定的使用限制內,為了您的內部業務目的而存取和使用訂閱服務;以及(ii)Metabase 將依照 Metabase 不時發布的政策,提供適用於您已訂閱之服務層級的支援服務。
2.2 授權使用者。訂閱服務僅可由您的員工和獨立承包商存取和使用,且僅可為了為您執行其工作職能或服務(如適用)的唯一目的(「授權使用者」)存取和使用訂閱服務,且僅限於訂單中規定的授權使用者人數。每個授權使用者的登入憑證僅供單一個人使用,不得由超過 1 人共享或使用。您對在授權使用者帳戶下採取的全部行動負責,無論該行動是否由授權使用者採取或授權。
2.3 第三方受益人。如果您的方案包含訂單或我們的定價頁面中註明的嵌入功能,則在您遵守本協議的條款和條件(包括依照第 4 條支付適用費用)的前提下,Metabase 授予公司一項非獨占、不可轉讓、不可再授權、全球性的有限授權,以在公司應用程式(在訂購單上標識)內操作服務,並允許公司的終端客戶將服務作為公司應用程式的一部分進行存取。公司終端客戶的任何使用均須遵守最終使用者許可協議,該協議對 Metabase 的保護程度應與本協議對 Metabase 的保護程度相同(「許可協議」)。您可以進行的確切嵌入類型取決於您的訂閱層級,詳情請參閱我們的定價頁面和我們的文件。如果您的方案要求您顯示「Powered by Metabase」標誌,您不得移除或遮蓋它。
2.4 發行授權。如果訂單授權「發行權」,則在您遵守本協議條款和條件(包括依照第 3 條支付適用費用)的前提下,Metabase 授予您一項非獨占、不可轉讓、不可再授權、全球性的有限授權,以僅將軟體發行給您的終端客戶,(a) 以嵌入在公司應用程式中的形式(前提是您的終端客戶與公司簽訂協議,以保護 Metabase 和軟體,保護程度與本協議相同),(b) 供您的終端客戶使用和操作公司應用程式,而非用於進一步發行,以及 (c) 供公司應用程式的最終使用者(「終端使用者」)使用,前提是終端使用者簽訂許可協議。
2.5 限制。您代表您自己和您的授權使用者,同意不:(1)複製、修改、更改、反編譯或反向工程訂閱服務(包括其原始碼、目標碼以及底層結構和演算法);(2)轉售或以其他方式向任何第三方提供訂閱服務;(3)直接或間接使用訂閱服務來支援任何非法活動或違反他人專有權利的活動;(4)干擾或中斷訂閱服務,或嘗試未經授權存取與其連接的任何系統或網路(存取和使用訂閱服務所需的除外);(5)停用、損害或規避訂閱服務的任何安全或驗證措施;(6)使用訂閱服務或其輸出,全部或部分地訓練、校準或驗證任何其他系統、程式或平台,或用於基準測試、軟體開發或其他競爭性目的;或(7)允許任何第三方執行上述任何操作。您對您的授權使用者使用訂閱服務以及他們遵守本協議負責。
2.6 附加資料倉儲。如果您已購買授權,或以其他方式從 Metabase 獲得權利,以存取附加資料倉儲(定義於此處所附的附件 C),即與訂閱服務連接存取的資料儲存,則附件 C 將適用,且您同意完全受附件 C 的約束。
3. 客戶資料。
3.1 客戶資料。在您與 Metabase 之間,您擁有所有客戶資料的所有全球權利、所有權和權益。您授予 Metabase 一項非獨占授權,以存取和使用客戶資料,以便向您和您的授權使用者提供訂閱服務。此外,您授予 Metabase 一項非獨占授權,以存取和使用客戶應用程式資料和客戶中繼資料(但不包括客戶業務資料),以開發和改進 Metabase 的產品和服務(包括訂閱服務),詳情請參閱 Metabase 隱私權政策:metabase.com/hosting/privacy_policy。您認知並同意您對訂閱服務的使用受 Metabase 隱私權政策的約束。您對所有客戶資料的內容負全部責任。您聲明並保證(1)在本協議期限內,您擁有並將繼續擁有所有必要的權利、權限和許可,以按照本協議以及您已要求我們在其上或透過其提供服務的軟體和系統,存取和使用客戶資料;以及(2)Metabase 依照本協議使用客戶資料不會違反任何適用法律或法規,或導致違反您與任何第三方之間的任何協議或義務。附件 B 中規定的資料處理附錄特此以引用方式併入本文。
3.2 安全性;備份。Metabase 將維護(並將要求其第三方服務提供者維護)合理的管理、實體和技術安全措施,旨在依照適用的行業標準保護客戶資料免於意外遺失和未經授權的存取或揭露。Metabase 將遵循其標準的客戶資料封存程序。如果客戶資料發生任何遺失或損壞,Metabase 將盡其商業上合理的努力,從 Metabase 維護的此類客戶資料的最新備份中還原遺失或損壞的客戶資料。Metabase 對於因您或任何授權使用者或第三方造成的任何客戶資料遺失、破壞、更改、未經授權的揭露或損壞概不負責。METABASE 依照本第 3.2 條還原遺失或損壞的客戶資料的努力,將構成 METABASE 在訂閱服務相關的任何客戶資料遺失或損壞事件中的唯一責任,以及您唯一且獨有的補救措施。
4. 訂閱費用與付款。
4.1 訂閱費用。您將為訂閱服務的使用支付訂單中規定的費用和收費(「訂閱費用」)。每個訂閱期限的基本訂閱費用將在訂單中指定(「基本訂閱費用」),並在每個訂閱期限開始時支付和收取。
4.2 驗證;結算。如果訂單中指定,訂閱費用將根據訂閱服務的使用單位(例如使用者人數或資料處理量)(各自為「單位」)計算。在適用的情況下,基本訂閱費用包括訂單中為每個訂閱期限指定的單位數量。Metabase 可能會建立和維護日誌,以反映您的帳戶下訂閱服務的使用情況。Metabase 可能會不時存取和審查此類日誌,以驗證您是否遵守適用的使用限制和本協議的其他條款,且 Metabase 可能會使用此類日誌來阻止或限制未經授權使用訂閱服務。在不限制 Metabase 的任何其他權利或補救措施的前提下,如果您的訂閱服務實際使用量超過您為訂閱期限預付的基本訂閱費用所涵蓋的單位,Metabase 將向您收取基本訂閱費用所涵蓋的單位與您在該訂閱期限內實際使用的單位數量之間的差額(「額外單位費用」)。
4.3 付款條件。 若您已向我們提供信用卡詳細資訊,我們將向該信用卡收取款項:(i) 於每個訂閱期的開始,收取基本訂閱費用;以及 (ii) 在我們開立發票後的三十 (30) 天內,收取您應支付的任何額外單位費用(如有)。對於我們向您的信用卡收取的任何費用,我們將向您發出付款確認。若我們向您開立發票,則所有發票均應按照訂單的「付款條件」章節中指定的期限支付(若未指定,則在收到發票後三十 (30) 天內支付)。所有金額均以美元計價和支付,且不包含稅款、關稅、徵收、關稅和其他政府收費(統稱為「稅款」)。您應負責支付所有稅款以及因向我們付款而產生的任何相關利息和/或罰款,但 Metabase 淨收入的相關稅款除外。所有逾期未付款項將按每月 1% 的利率或法律允許的最高利率(以較低者為準)計息。除非本協議另有明確規定,否則所有款項一經支付,概不退還。
5. 期間與終止
5.1 訂閱期。 本協議將於生效日起生效,除非任何一方根據本協議條款提前終止,否則將持續至訂單中指定的初始訂閱期。在該初始訂閱期以及之後的每個續訂期結束時,在始終按時支付訂閱費用的前提下,本協議將自動續訂額外的續訂期,續訂期的長度與訂單中指定的長度相同(若訂單中未註明續訂期長度,則與初始訂閱期長度相同),除非任何一方提前 15 天發出不續訂的書面通知。此類初始訂閱期和每個續訂期在本文中均個別稱為「訂閱期」。
5.2 因違約而終止。 若一方違反本協議且未能在收到書面通知後 10 天內改正此類違約行為,則另一方有權終止本協議。若您因違約而終止本協議,Metabase 將退還您已支付的剩餘當前訂閱期(如有)訂閱服務的未使用部分的訂閱費用。
5.3 額外補救措施。 在不限制其他可用補救措施的情況下,若您有任何無爭議的款項逾期超過 30 天未支付,Metabase 保留暫停或停用您和您的授權使用者存取訂閱服務的權利。若 Metabase 認定(自行判斷)以下情況,Metabase 也保留暫停或停用存取訂閱服務的權利:(1) 您或任何授權使用者對訂閱服務的使用干擾、損害或構成安全風險,或可能對 Metabase、訂閱服務或任何第三方造成損害;或 (2) 您或任何授權使用者已使用或正在使用訂閱服務,違反本協議。
5.4 終止的效力。 於本協議的任何到期或終止時,您(以及您的授權使用者)存取和使用訂閱服務的權利將自動終止,但授權使用者在終止後的 30 天內仍可存取訂閱服務,僅限於下載儲存在其上的任何客戶資料。Metabase 對於因 Metabase 行使其在本協議項下的終止權利而產生或與之相關的任何成本、損失、損害或責任概不負責。截至到期或終止日期的任何付款義務將仍然有效。第 2.3 條、第 3 條、第 4 條、第 5.4 條以及第 6 條至第 13 條(含)的義務和條款在本協議到期或終止後仍然有效。
6. 保密義務。
雙方理解,另一方可能需要揭露與揭露方業務相關的某些非公開資訊,這些資訊在揭露時被標記或識別為「機密」,或屬於本協議中描述為機密的任何性質(「機密資訊」),以用於與訂閱服務的使用和/或履行相關事宜。Metabase 機密資訊包括訂閱服務的非公開部分以及任何相關文件和定價資訊。在本協議期限內以及之後三 (3) 年內,各方同意採取合理的預防措施來保護揭露方的機密資訊免遭未經授權的揭露,除非獲得授權或履行其在本協議項下的義務所必需,否則不得使用此類機密資訊,且不得向任何第三人揭露任何此類機密資訊(除非獲得揭露方的事先授權,包括本協議項下給予的任何此類授權),但基於「需要知道」原則向接收方的員工、顧問和服務提供者揭露則不在此限,前提是這些員工、顧問和服務提供者受到至少與本協議對揭露方的機密資訊提供的保護程度相同的保密義務約束,或本協議另有明確允許的情況除外。機密資訊不包括接收方可以證明的任何資訊:(1) 非因接收方的過失,已成為或將成為公眾普遍可取得的資訊,或 (2) 在從揭露方收到之前,接收方已擁有或已知的資訊,或 (3) 由第三方合法地向接收方揭露且不受限制的資訊,或 (4) 在未使用揭露方的任何機密資訊的情況下獨立開發的資訊。若揭露機密資訊是為了遵守有效的法院命令或傳票所必需的,則接收方可以揭露機密資訊(在這種情況下,接收方將立即通知揭露方,除非法律或法律程序禁止,並在揭露方選擇對揭露要求提出異議、尋求對待揭露資訊的保密處理或限制待揭露資訊的性質或範圍時與揭露方合作)。在本協議終止後,應立即將揭露方擁有的或控制的所有揭露方機密資訊副本歸還給揭露方或銷毀,但接收方可以保留一份 (1) 揭露方的機密資訊副本,僅用於監控其在本協議下的合規性。儘管有前述規定,Metabase 在終止後將不會保留客戶資料,除非為了遵守第 5.4 條的規定而必須保留。
7. 所有權。
7.1 Metabase 智慧財產權。 在 Metabase 與您之間,Metabase 擁有訂閱服務和使用資料的所有全球權利、所有權和權益,包括其中的所有智慧財產權。就本協議而言,「智慧財產權」是指專利權(包括專利申請和揭露)、著作權、商業秘密、技術訣竅以及世界任何國家或司法管轄區認可的任何其他智慧財產權。
7.2 回饋意見。 若您提供任何關於訂閱服務的想法、建議或推薦(「回饋意見」),Metabase 將可以自由地使用、揭露、複製、授權或以其他方式分發和利用此類回饋意見,完全沒有任何義務或任何形式的限制。透過提供回饋意見,您授予 Metabase 在全球範圍內、永久、不可撤銷、已全額付清、免版稅、非獨佔的許可,以任何方式使用和利用此類回饋意見。
7.3 使用資料。 您承認並同意 Metabase 可以產生關於訂閱服務的使用和效能的去識別化資料,並且可以保留和使用此類去識別化的使用和效能資料,用於其內部業務目的,例如開發和改進 Metabase 的產品和服務(包括訂閱服務)。
8. 無擔保。
訂閱服務按「現狀」提供,不提供任何形式的擔保。METABASE 不保證任何明示或暗示的擔保,包括但不限於任何適銷性、特定用途適用性和未侵權的暗示擔保,以及任何因交易過程或行業慣例而產生的擔保。從 METABASE 或其他地方獲得的任何建議或資訊,無論是口頭或書面形式,均不構成本條款中未明確聲明的任何擔保。METABASE 不保證訂閱服務將無錯誤或不中斷,或所有錯誤都將得到糾正。您對從使用訂閱服務獲得的結果以及從此類使用中得出的結論承擔全部責任和義務。對於因任何客戶資料中的錯誤或遺漏,或訂閱服務根據客戶資料產生的任何結果而引起的任何索賠、損失或損害,Metabase 概不負責。
9. 賠償.
9.1 Metabase 賠償。 Metabase 將為您辯護、賠償並使您免受因第三方索賠而針對您判決的任何損害、成本和費用(包括合理的律師費和其他專業費用),或在和解中同意的損害、成本和費用,且以第三方索賠為基礎,主張 Metabase 向您提供的訂閱服務侵犯了任何第三方的任何專利、著作權或盜用任何第三方的商業秘密;但前提是您:(a) 立即以書面形式將任何此類索賠通知 Metabase;(b) 授予 Metabase 對索賠的辯護和和解的獨家控制權;以及 (c) 以 Metabase 的費用向 Metabase 提供辯護和和解索賠合理需要的所有協助、資訊和授權。您有權自費聘請律師參與任何索賠的辯護或和解。對於您在未經 Metabase 事先書面同意的情況下達成的任何和解或妥協,Metabase 概不負責。
9.2 除外責任。 若任何索賠是由以下原因造成或基於以下原因,則 Metabase 根據第 9.1 條向您承擔賠償義務將不適用:(i) 將訂閱服務與非 Metabase 提供的任何產品、系統、裝置、方法或資料結合、操作或使用,若非此類結合、操作或使用,則可以避免該索賠;(ii) 由 Metabase 以外的任何人修改訂閱服務,若非此類修改,則可以避免索賠;(iii) 您未能安裝和使用 Metabase 提供的訂閱服務的任何升級,若透過安裝和使用此類升級可以避免此類索賠;或 (iv) 以不符合本協議的方式使用訂閱服務。對於任何第三方索賠,若該索賠是由本第 9.2 條中的任何前述活動引起,您將賠償 Metabase、為其辯護並使其免受損害,並支付任何費用、損害賠償和合理的律師費,但前提是 Metabase (a) 立即以書面形式將任何此類索賠通知您;(b) 授予您對索賠的辯護和和解的獨家控制權;以及 (c) 以您的費用向您提供辯護和和解索賠合理需要的所有協助、資訊和授權。
9.3 禁令救濟。 若您的訂閱服務使用因第 9.1 條中規定的索賠類型而被禁止或 Metabase 認為可能被禁止,則 Metabase 將自行選擇並承擔費用:(i) 為您取得在本協議條款下繼續使用訂閱服務的權利;(ii) 更換或修改訂閱服務,使其不侵權且功能相當;或 (iii) 若 Metabase 無法完成 (i) 或儘管已盡合理努力仍無法完成 (ii),則 Metabase 可以終止您在本協議項下的權利和 Metabase 的義務,並就此類訂閱服務按比例退還您為此類訂閱服務預付的授權費用。
9.4 客戶賠償。 客戶同意為 Metabase 辯護並賠償 Metabase 的損失,費用由客戶承擔,以應對第三方對 Metabase 提起的任何法律訴訟,且該訴訟的基礎是聲稱客戶資料或客戶應用程式,或訂閱服務與客戶使用的任何其他軟體、硬體、材料或技術的結合,侵犯了該第三方的專利、著作權或商標,或非法使用了該第三方的商業秘密,且客戶應支付任何此類索賠的和解金或任何此類訴訟中對 Metabase 的最終判決,若可歸因於任何此類索賠。然而,此類辯護和付款須符合以下條件:Metabase 必須:(i) 立即以書面形式將此類索賠通知客戶,(ii) 允許客戶對此類索賠的辯護、妥協或和解(包括任何上訴)擁有獨家控制權,以及 (iii) 在辯護或和解此類索賠中與客戶充分合作,費用由客戶承擔。
9.5 唯一救濟。 本第 9 條規定了 METABASE 對於任何形式的智慧財產權的侵權或盜用的唯一且獨有的義務,以及您的唯一且獨有的補救措施。
10. 責任限制。
在任何情況下,METABASE 均不對任何特殊、附帶、懲戒性、懲罰性或衍生性損害,或任何使用損失、資料遺失、利潤損失或商譽損失,或採購替代產品的成本承擔責任,無論是否可預見,且無論此類責任是否因基於契約、擔保、侵權行為(包括過失)、產品責任或其他原因的任何索賠而產生,也無論 METABASE 是否已被告知發生此類損失或損害的可能性。METABASE 在本協議項下產生的所有責任總額,來自所有訴訟原因和所有責任理論,將不超過您在首次提出責任索賠之前的 12 個月期間為訂閱服務向 METABASE 支付的金額。雙方同意,本第 10 條和本協議其他部分包含的限制和排除條款 (a) 不適用於任何賠償項下的索賠,且 (b) 即使本協議中規定的任何獨有補救措施被發現未能達到其基本目的,仍將繼續有效並適用。
11. 美國政府最終使用者。
訂閱服務分別是「商業電腦軟體」和「商業電腦軟體文件」,這些術語在 FAR 12.212 和 DFARS 227.7202 中使用。若訂閱服務是由美國政府或代表美國政府取得,則根據 FAR 12.212 和 DFARS 227.7202-1 至 227.7202-4(如適用)的規定,美國政府在訂閱服務中的權利將僅限於本協議中規定的權利。
12. 不可抗力。
若 Metabase 的履行因超出其合理控制範圍的情況而受阻或延遲,Metabase 將不構成違反本協議,這些情況包括但不限於天災、惡劣天氣、洪水、閃電或火災、罷工或其他勞資糾紛或工業行動、政府或其他主管機關的作為或不作為、恐怖主義、戰爭、暴動或內亂、供應不足或停電、駭客、病毒、傳輸中斷或電信服務中斷。
13. 通則。
本協議將受加利福尼亞州法律管轄並依其解釋,不考慮或適用法律衝突規則或原則。《聯合國國際貨物銷售合同公約》不適用。因本協議引起的任何法律訴訟或程序將完全在位於加利福尼亞州北區的聯邦或州法院提起,且各方不可撤銷地同意該法院的個人管轄權和審判地點。未經 Metabase 事先書面同意,您不得透過法律或其他方式轉讓或讓與本協議或根據本協議授予的任何權利,且您在未經此類同意的情況下進行的任何嘗試均屬無效。Metabase 可以自由轉讓本協議。除非本協議另有明確規定,否則任何一方行使其在本協議項下的任何補救措施均不妨礙其在本協議或其他方面享有的其他補救措施。本協議項下要求或允許的所有通知或批准均應以書面形式進行,並透過已確認的電子郵件傳輸、隔夜遞送服務或掛號信遞送,且在每種情況下,均應在收到時視為已送達。所有通知或批准均應發送至訂單中列出的地址或一方根據本條向另一方指定的其他地址。任何一方未能執行本協議的任何條款,均不構成對未來執行該條款或任何其他條款的放棄。對本協議任何條款的任何放棄、修改或修訂,僅在以書面形式並經雙方授權代表簽署後方才有效。若本協議的任何條款被認定為不可執行或無效,則該條款應在最大程度上強制執行,且其他條款應保持完全效力。本協議是雙方之間關於其標的物的完整且獨有的理解和協議,並取代雙方之間關於其標的物的所有提議、理解或溝通,無論是口頭或書面形式。本協議的雙方是獨立承包商,且本協議不應在雙方之間建立任何合夥、合資、僱傭、特許經營或代理關係。未經另一方的事先書面同意,任何一方均無權約束另一方或代表另一方承擔義務。本協議可以多份副本簽署,每份副本均應視為正本,但所有副本合在一起應構成同一份文件。
本資料處理附錄(「DPA」)構成您(「客戶」)與 Metabase 之間所附訂閱服務協議(「協議」)的一部分。
1. 標的物和期限。
1.1 標的物。 本 DPA 反映了雙方承諾遵守資料保護法律,以處理與 Metabase 履行其在本協議項下的義務相關的客戶個人資料。所有在本 DPA 中未明確定義的首字母大寫術語均應具有協議中賦予它們的含義。若本 DPA 中的語言與協議相衝突,則以本 DPA 為準。
1.2 期限和存續。 本 DPA 將於協議生效日具有法律約束力。Metabase 將處理客戶個人資料,直到關係如協議中指定終止。只要 Metabase 處理客戶個人資料,Metabase 在本 DPA 項下的義務和客戶的權利將持續有效。
2. 定義。
2.1 「客戶個人資料」是指 Metabase 代表客戶處理的客戶業務資料(以及適用的上傳客戶資料)中的個人資料。
2.2 「資料保護法律」是指客戶個人資料受制的所有適用的資料隱私、資料保護和網路安全法律、規則和法規。「資料保護法律」應包括但不限於《2018 年加州消費者隱私法案》(「CCPA」)和《歐盟一般資料保護規範 2016/679》(「GDPR」);在每種情況下,均以適用範圍為限。
2.3 「個人資料」應具有資料保護法律中「個人資料」和/或「個人資訊」術語的含義。
2.4 「處理」或「</ins>處理中</ins>」是指對個人資料或個人資料集執行的任何操作或一組操作,無論是否透過自動化方式進行,例如收集、記錄、組織、結構化、儲存、調整或變更、檢索、諮詢、使用、透過傳輸、散播或以其他方式提供、對齊或組合、限制、刪除或銷毀。
2.5 「安全事件」是指歸因於 Metabase 的安全漏洞,導致客戶個人資料的意外或非法銷毀、遺失、變更、未經授權揭露或存取。
2.6 「服務」是指 Metabase 根據協議執行的任何及所有服務。
2.7 「第三方」是指 Metabase 授權的承包商、代理商、供應商和第三方服務提供者(即,次級處理者),其處理客戶個人資料。
3. 資料使用和處理。
3.1 書面指示。 Metabase 及其第三方應僅根據客戶的書面指示或本 DPA、協議或任何適用訂單明確授權的方式處理客戶個人資料。Metabase 將以書面形式通知客戶,除非法律禁止,若其合理認為客戶的指示與適用法律之間存在衝突,或以與客戶指示不一致的方式尋求處理客戶個人資料。
3.2 授權使用第三方。 在履行 Metabase 在協議項下的合約義務所需的範圍內,客戶特此授權 (i) Metabase 聘請第三方,以及 (ii) 第三方聘請次級處理者。
3.3 Metabase 和第三方合規性。 Metabase 同意 (i) 與第三方簽訂關於此類第三方處理客戶個人資料的書面協議,該協議對此類第三方施加客戶個人資料的資料保護和安全要求,這些要求符合資料保護法律;以及 (ii) 對於 Metabase 的第三方未能履行其在處理客戶個人資料方面的義務,Metabase 仍對客戶負責。
3.4 反對第三方的權利。 若資料保護法律要求,Metabase 將在聘請任何處理客戶個人資料的新第三方之前通知客戶,方法是更新其次級處理者列表,網址為:metabase.com/hosting/subprocessors,並允許客戶在十 (10) 天內提出異議。若客戶對聘任與隱私或資料保護相關的任何新第三方有合理的異議,則雙方將真誠合作,在不少於三十 (30) 天的時間內解決異議理由。
3.5 保密義務。 任何被授權處理客戶個人資料的人員或第三方必須以合約方式同意對此類資訊保密,或承擔適當的法定保密義務。
3.6 個人資料查詢和請求。 若資料保護法律要求,Metabase 同意提供合理的協助並遵守客戶的合理指示,這些指示與個人根據資料保護法律授予他們的客戶個人資料權利(例如,存取、更正、刪除、資料可攜性等)的個人提出的任何請求相關。若請求直接發送給 Metabase,Metabase 應立即通知客戶。
3.7 禁止出售客戶個人資料。 Metabase 不得出售客戶個人資料,如同 CCPA 對「出售」一詞的定義。Metabase 不得向第三方或其他方揭露或傳輸客戶個人資料,這將構成 CCPA 定義的「出售」。
3.8 資料保護影響評估和事先諮詢。 若資料保護法律要求,Metabase 同意在客戶的判斷下,Metabase 執行的處理類型需要進行資料保護影響評估和/或與相關資料保護主管機關進行事先諮詢時,以客戶的費用向客戶提供合理的協助。
3.9 可證明的合規性。 Metabase 同意在合理要求下提供合理必要的資訊,以證明符合本 DPA。
4. 資訊安全計畫。 Metabase 同意實施商業上合理的技術和組織措施,旨在根據資料保護法律保護客戶個人資料。
5. 安全事件。 在得知安全事件後,Metabase 同意在沒有不當延遲的情況下,並在資料保護法律要求的時限內,透過電子郵件將書面通知發送至與您的帳戶關聯的電子郵件地址。在可能的情況下,此類通知將包括資料保護法律要求的所有可用詳細資訊,以供客戶遵守其自身對監管機構或受安全事件影響的個人的通知義務。
6. 稽核。 若資料保護法律賦予客戶稽核權,客戶(或其指定的代表)可以每年不超過一次,透過讓 Metabase 完成合理長度的資料保護問卷調查來對 Metabase 處理客戶個人資料的情況進行稽核。任何此類稽核均應受 Metabase 的安全和保密條款和指南的約束。
7. 資料刪除。 在協議到期或終止時,Metabase 將根據客戶的選擇,刪除或歸還所有客戶個人資料(不包括任何備份或存檔副本,這些副本應根據 Metabase 的資料保留時間表刪除),除非 Metabase 根據適用法律要求保留副本,在這種情況下,Metabase 將隔離並保護該客戶個人資料,使其免受任何進一步處理,除非適用法律要求。
8. 處理詳情。
標的物: 處理的標的物是根據協議提供的服務。
期限: 處理將持續到協議到期或終止。
資料主體類別: 其個人資料將根據協議處理的資料主體。
處理的性質和目的: Metabase 處理客戶個人資料的目的是為了履行服務。
客戶個人資料類型: 根據協議處理的客戶個人資料。
本附錄 I 構成 DPA 的一部分。本附錄 I 中未定義的首字母大寫術語具有 DPA 或協議中規定的含義。
1. 傳輸到歐洲經濟區、瑞士和/或英國境外之客戶個人資料將儲存或存取的國家/地區為何?若依地區而異,請指定每個地區的每個國家/地區。
a. 回答: 客戶個人資料可能會儲存於美國或從美國存取。
2. 其客戶個人資料將傳輸到歐洲經濟區、瑞士和/或英國境外的資料主體類別為何?
a. 回答: 根據協議處理其客戶個人資料的資料主體,包括但不限於客戶的員工、承包商、約聘人員和最終使用者。
3. 傳輸到歐洲經濟區、瑞士和/或英國境外的客戶個人資料類別為何?
a. 回答: 根據協議處理的客戶個人資料類別,包括但不限於姓名、地址、電子郵件地址、IP 位址等。
4. 是否有任何客戶個人資料揭露種族或族裔、政治觀點、宗教或哲學信仰、或工會會員資格、基因數據、或為唯一識別自然人身分之生物特徵數據、有關健康或個人性生活或性取向之數據、或與刑事定罪及犯罪相關之數據,將被傳輸至歐洲經濟區、瑞士和/或英國境外? 若是,是否有任何充分考量數據性質和所涉風險之限制或保障措施,例如嚴格的目的限制、存取限制(包括僅限接受過專門培訓之員工存取)、保留數據存取記錄、限制後續傳輸或額外安全措施?
5. Metabase 參與的業務部門為何?
a. 答案
6. 廣義而言,將在歐洲經濟區、瑞士和/或英國境外提供的服務以及客戶個人資料傳輸的相應目的為何?
a. 答案: Metabase 提供開源商業智慧工具。個人資料傳輸至歐洲經濟區、瑞士和/或英國境外,以提供服務。
7. 客戶個人資料將被保留的期間為何?或若無法確定期間,則用於確定該期間的標準為何?
a. 答案: Metabase 將依據協議保留客戶個人資料。
8. 客戶個人資料傳輸至歐洲經濟區、瑞士和/或英國境外的頻率為何? 例如,客戶個人資料是一次性傳輸還是持續性傳輸?
a. 答案: 客戶個人資料是透過客戶將客戶個人資料上傳至服務而傳輸的。
9. 當客戶個人資料傳輸至歐洲經濟區、瑞士和/或英國境外的 Metabase 時,資料如何傳輸至 Metabase? 客戶個人資料是以純文字、假名化和/或加密方式呈現?
a. 答案: 所有傳輸至 Metabase 的客戶個人資料均依照 DPA 受到保護。
10. 請列出將有權存取傳輸至歐洲經濟區、瑞士和/或英國境外之客戶個人資料的次處理器。
a. 答案: Metabase 的次處理器列表包含所有 Metabase 的關係企業以及在以下網址列出的各方:metabase.com/hosting/subprocessors
11. Metabase 是否受到歐洲經濟區、瑞士和/或英國境外國家的任何法律約束,而該等法律可能會干擾 Metabase 履行其在歐盟標準契約條款下的義務? 例如,FISA 702 或美國行政命令 12333。若是,請列出這些法律。
a. 答案: 截至 DPA 生效日,尚無法院認定 Metabase 符合資格接收根據問題 11 所考量之法律(包括 FISA 第 702 條)發布的程序,且目前亦無此類法院訴訟正在進行中。
12. Metabase 是否曾依據上述問題 11 所考量之法律(若有)收到公共主管機關要求提供資訊之請求? 若是,請說明。
a. 答案: 沒有。
13. Metabase 是否曾收到公共主管機關要求提供位於歐洲經濟區、瑞士和/或英國之個人的個人資料之請求? 若是,請說明。
a. 答案: 沒有。
14. Metabase 將在傳輸期間以及在未被認定能根據適用之資料保護法提供足夠保護水準之歐洲經濟區、瑞士和/或英國境外國家處理客戶個人資料時,適用哪些保障措施?
a. 答案: DPA 中所列出的保障措施。
本附錄 II 構成 DPA 的一部分。
第一節
第 1 條
(a) 這些標準契約條款之目的,在於確保符合歐洲議會和理事會 2016 年 4 月 27 日關於個人資料處理及此類資料自由流動之自然人保護條例 (EU) 2016/679(一般資料保護規範)之要求,以將個人資料傳輸至第三國。
(b) 締約方
(i) 傳輸個人資料之自然人或法人、公共主管機關/機構、代理機構/單位或其他機構/單位(以下簡稱「實體/單位」),如附件 I.A 所列(以下各稱「資料匯出者」),以及
(ii) 從資料匯出者直接或間接透過同樣為本條款締約方之另一實體接收個人資料之第三國實體/單位,如附件 I.A 所列(以下各稱「資料匯入者」)
已同意這些標準契約條款(以下簡稱「條款」)。
(c) 這些條款適用於附件 I.B 中指定的個人資料傳輸。
(d) 包含其中提及之附件的條款附錄構成這些條款之完整部分。
(e) 在此處適用之範圍內,這些條款亦經必要修改後適用於締約方對受瑞士聯邦資料保護法約束之個人資料之處理。 在適用情況下,提及歐盟會員國法律或歐盟監管機構之處,應修改為包括瑞士法律下與受瑞士聯邦資料保護法約束之個人資料傳輸相關之適當引用。
(f) 在此處適用之範圍內,這些條款,經附件 III 補充後,亦經必要修改後適用於締約方對受英國一般資料保護規範(經 2018 年資料保護法條款補充)約束之個人資料之處理。
第 2 條
(a) 這些條款依據條例 (EU) 2016/679 第 46 條第 1 項和第 46 條第 2 項 (c) 以及關於從控制者到處理者和/或處理者到處理者之資料傳輸,制定適當之保障措施,包括可強制執行之資料主體權利和有效之法律救濟,依據條例 (EU) 2016/679 第 28 條第 7 項之標準契約條款,前提是這些條款未經修改,但選取適當模組或在附錄中新增或更新資訊之情況除外。 這並不妨礙締約方將這些條款中規定之標準契約條款納入更廣泛之契約中,及/或新增其他條款或額外保障措施,前提是這些條款不直接或間接與這些條款衝突,或損害資料主體之基本權利或自由。
(b) 這些條款不妨礙資料匯出者因條例 (EU) 2016/679 而受約束之義務。
第 3 條
(a) 資料主體可作為第三人受益人,針對資料匯出者和/或資料匯入者援引並執行這些條款,但下列情況除外:
(i) 第 1 條、第 2 條、第 3 條、第 6 條、第 7 條;
(ii) 第 8.1(b) 條、8.9(a) 條、(c) 條、(d) 條和 (e) 條;
(iii) 第 9(a) 條、(c) 條、(d) 條和 (e) 條;
(iv) 第 12(a) 條、(d) 條和 (f) 條;
(v) 第 13 條;
(vi) 第 15.1(c) 條、(d) 條和 (e) 條;
(vii) 第 16(e) 條;
(viii) 第 18(a) 條和 (b) 條。
(b) 第 (a) 項不妨礙資料主體在條例 (EU) 2016/679 下之權利。
第 4 條
(a) 若這些條款使用條例 (EU) 2016/679 中定義之術語,則這些術語應具有與該條例中相同之涵義。
(b) 應根據條例 (EU) 2016/679 之條款閱讀和解釋這些條款。
(c) 不得以與條例 (EU) 2016/679 中規定之權利和義務相衝突之方式解釋這些條款。
第 5 條
若這些條款與締約方之間相關協議之條款(於同意這些條款時已存在或之後簽訂)之間存在矛盾,則以這些條款為準。
第 6 條
傳輸之詳細資訊,尤其是有關傳輸之個人資料類別及其傳輸目的,皆於附件 I.B 中指定。
第 7 條 – 選擇性
第二節 – 締約方之義務
第 8 條
資料匯出者保證,其已盡合理努力確定資料匯入者能夠透過實施適當之技術和組織措施,履行其在這些條款下之義務。
模組二:控制者到處理者之傳輸
8.1 指示
(a) 資料匯入者應僅依據資料匯出者之書面指示處理個人資料。 資料匯出者可在合約期間內發出此類指示。
(b) 若資料匯入者無法遵循這些指示,應立即通知資料匯出者。
8.2 目的限制
資料匯入者應僅為附件 I. B 中規定之特定傳輸目的處理個人資料,除非另有資料匯出者之指示。
8.3 透明度
經請求,資料匯出者應免費向資料主體提供這些條款之副本,包括締約方完成之附錄。 在保護商業機密或其他機密資訊(包括附件 II 中描述之措施和個人資料)之必要範圍內,資料匯出者可在分享副本之前編輯這些條款附錄之部分文字,但若資料主體因此無法理解其內容或行使其權利,則應提供有意義之摘要。 經請求,締約方應向資料主體提供編輯之理由,並在盡可能不洩露經編輯之資訊之情況下提供理由。 本條款不妨礙資料匯出者在條例 (EU) 2016/679 第 13 條和第 14 條下之義務。
8.4 準確性
若資料匯入者知悉其收到之個人資料不準確或已過時,應立即通知資料匯出者。 在此情況下,資料匯入者應與資料匯出者合作以刪除或更正資料。
8.5 處理期間以及資料之刪除或歸還
資料匯入者之處理應僅在附件 I.B 中規定之期間內進行。 在提供處理服務結束後,資料匯入者應依資料匯出者之選擇,刪除代表資料匯出者處理之所有個人資料,並向資料匯出者證明其已完成刪除,或將代表其處理之所有個人資料歸還資料匯出者,並刪除現有副本。 在資料刪除或歸還之前,資料匯入者應繼續確保符合這些條款。 若資料匯入者所在地法律禁止歸還或刪除個人資料,資料匯入者保證其將繼續確保符合這些條款,並僅在當地法律要求之範圍內和期限內處理資料。 這不妨礙第 14 條,尤其是第 14(e) 條中資料匯入者在合約期間內,若其有理由相信其已受或將受不符合第 14(a) 條要求之法律或慣例約束時,通知資料匯出者之義務。
8.6 處理之安全性
(a) 資料匯入者,以及在傳輸期間,資料匯出者亦應實施適當之技術和組織措施,以確保資料之安全性,包括防止導致意外或非法破壞、遺失、變更、未經授權揭露或存取該資料之安全漏洞(以下簡稱「個人資料外洩」)。 在評估適當之安全等級時,締約方應適當考量技術水準、實施成本、處理之性質、範圍、背景和目的,以及處理對資料主體造成之風險。 締約方尤其應考慮採用加密或假名化,包括在傳輸期間,若能以此方式達成處理目的。 在假名化之情況下,將個人資料歸屬於特定資料主體之額外資訊應盡可能維持在資料匯出者之獨有控制之下。 在履行其在本段下之義務時,資料匯入者應至少實施附件 II 中指定之技術和組織措施。 資料匯入者應定期檢查以確保這些措施繼續提供適當之安全等級。
(b) 資料匯入者應僅在實施、管理和監控合約絕對必要之範圍內,授權其人員存取個人資料。 其應確保獲授權處理個人資料之人員已承諾保密或受適當之法定保密義務約束。
(c) 若發生與根據這些條款由資料匯入者處理之個人資料相關之個人資料外洩事件,資料匯入者應採取適當措施以處理外洩事件,包括減輕其不利影響之措施。 資料匯入者亦應在知悉外洩事件後立即通知資料匯出者。 此類通知應包含可取得更多資訊之聯絡點詳細資訊、外洩事件性質之描述(包括在可能情況下,受影響之資料主體類別和概略人數以及個人資料記錄)、其可能之後果以及為解決外洩事件所採取或擬議之措施,包括在適當情況下,減輕其可能不利影響之措施。 若且在無法同時提供所有資訊之情況下,初始通知應包含當時可用之資訊,且後續資訊應在可用時隨後立即提供。
(d) 資料匯入者應與資料匯出者合作並協助資料匯出者,使其能夠遵守其在條例 (EU) 2016/679 下之義務,尤其是在考量處理性質和資料匯入者可取得之資訊之情況下,通知主管監管機構和受影響之資料主體。
8.7 敏感資料
若傳輸涉及揭露種族或族裔、政治觀點、宗教或哲學信仰、或工會會員資格、基因數據、或為唯一識別自然人身分之生物特徵數據、有關健康或個人性生活或性取向之數據、或與刑事定罪及犯罪相關之數據(以下簡稱「敏感資料」),資料匯入者應適用附件 I.B 中描述之特定限制及/或額外保障措施。
8.8 後續傳輸
資料匯入者應僅依據資料匯出者之書面指示向第三人揭露個人資料。 此外,僅在符合下列情況下,才可向位於歐盟境外之第三人(與資料匯入者位於同一國家或另一第三國,以下簡稱「後續傳輸」)揭露資料:若該第三人受或同意受這些條款約束,根據適當之模組,或若
(i) 後續傳輸至受益於條例 (EU) 2016/679 第 45 條之適足性決定且涵蓋後續傳輸之國家;
(ii) 該第三人以其他方式確保依據條例 (EU) 2016/679 第 46 條或第 47 條就相關處理提供適當之保障措施;
(iii) 後續傳輸對於在特定行政、監管或司法程序之背景下確立、行使或辯護法律主張而言屬必要;或
(iv) 後續傳輸對於保護資料主體或另一自然人之重大利益而言屬必要。
任何後續傳輸均受資料匯入者遵守這些條款下之所有其他保障措施約束,尤其是目的限制。
8.9 文件和合規性
(a) 資料匯入者應迅速且適當地處理資料匯出者針對根據這些條款進行之處理所提出之詢問。
(b) 締約方應能夠證明符合這些條款。 尤其,資料匯入者應保存適當之文件,記錄代表資料匯出者進行之處理活動。
(c) 資料匯入者應向資料匯出者提供所有必要資訊,以證明符合這些條款中規定之義務,並應依資料匯出者之請求,允許並協助對這些條款涵蓋之處理活動進行稽核,稽核應以合理間隔進行或於有不合規跡象時進行。 在決定審查或稽核時,資料匯出者可考量資料匯入者持有之相關認證。
(d) 資料匯出者可選擇自行進行稽核或委託獨立稽核員。 稽核可包括在資料匯入者之場所或實體設施進行檢查,且應在適當情況下,於合理通知後進行。
(e) 締約方應依請求向主管監管機構提供第 (b) 項和第 (c) 項中提及之資訊,包括任何稽核之結果。
第 9 條
模組二:控制者到處理者之傳輸
(a) 資料匯入者已獲得資料匯出者之一般授權,可從約定之列表中聘用次處理器。 資料匯入者應以書面方式將對該列表之任何擬議變更(透過新增或更換次處理器)具體告知資料匯出者,至少提前十 (10) 天告知,從而使資料匯出者有足夠時間在聘用次處理器之前反對此類變更。 資料匯入者應向資料匯出者提供必要之資訊,使其能夠行使其反對權。
(b) 若資料匯入者聘用次處理器執行特定處理活動(代表資料匯出者),應透過書面合約進行,該合約應實質規定與約束資料匯入者在這些條款下之資料保護義務相同之義務,包括就資料主體之第三人受益人權利而言。 締約方同意,透過遵守本條款,資料匯入者履行其在第 8.8 條下之義務。 資料匯入者應確保次處理器遵守資料匯入者依據這些條款受約束之義務。
(c) 資料匯入者應依資料匯出者之請求,向資料匯出者提供此類次處理器協議之副本以及任何後續修訂。 在保護商業機密或其他機密資訊(包括個人資料)之必要範圍內,資料匯入者可在分享副本之前編輯協議之文字。
(d) 資料匯入者應對次處理器在其與資料匯入者之合約下之義務履行情況,對資料匯出者承擔全部責任。 資料匯入者應將次處理器未能履行其在該合約下之義務之任何情況通知資料匯出者。
(e) 資料匯入者應與次處理器約定第三人受益人條款,據此 – 若資料匯入者事實上已消失、在法律上已不復存在或已資不抵債 – 資料匯出者應有權終止次處理器合約,並指示次處理器刪除或歸還個人資料。
第 10 條
模組二:控制者到處理者之傳輸
(a) 資料匯入者應立即將其收到之任何資料主體請求通知資料匯出者。 未經資料匯出者授權,不得自行回應該請求。
(b) 資料匯入者應協助資料匯出者履行其回應該資料主體行使其在條例 (EU) 2016/679 下權利之請求之義務。 在此方面,締約方應在附件 II 中規定適當之技術和組織措施,考量處理之性質,藉此提供協助,以及所需協助之範圍和程度。
(c) 在履行其在第 (a) 項和第 (b) 項下之義務時,資料匯入者應遵守資料匯出者之指示。
第 11 條
(a) 資料匯入者應以透明且易於存取之格式,透過個別通知或在其網站上,告知經授權處理申訴之聯絡點。 應迅速處理其收到之任何資料主體申訴。
模組二:控制者到處理者之傳輸
(b) 若資料主體與締約方之一方之間就遵守這些條款發生爭議,該締約方應盡最大努力及時友好地解決問題。 締約方應相互告知此類爭議,並在適當情況下合作解決爭議。
(c) 若資料主體依據第 3 條援引第三人受益人權利,資料匯入者應接受資料主體之下列決定:
(i) 向其慣常居所或工作地點之會員國之監管機構,或依據第 13 條之主管監管機構提出申訴;
(ii) 將爭議提交至第 18 條涵義範圍內之主管法院。
(d) 締約方接受資料主體可由條例 (EU) 2016/679 第 80 條第 1 項規定之條件下之非營利機構、組織或協會代表。
(e) 資料匯入者應遵守根據適用之歐盟或會員國法律具有約束力之決定。
(f) 資料匯入者同意,資料主體所做之選擇不會損害其依據適用法律尋求救濟之實質和程序權利。
第 12 條
模組二:控制者到處理者之傳輸
(a) 各締約方應對其因違反這些條款而對其他締約方造成之任何損害,對其他締約方負責。
(b) 資料匯入者應對資料主體負責,且資料主體應有權就資料匯入者或其次處理器因違反這些條款下之第三人受益人權利而對資料主體造成之任何物質或非物質損害,獲得賠償。
(c) 儘管有第 (b) 項之規定,資料匯出者應對資料主體負責,且資料主體應有權就資料匯出者或資料匯入者(或其次處理器)因違反這些條款下之第三人受益人權利而對資料主體造成之任何物質或非物質損害,獲得賠償。 這不妨礙資料匯出者之責任,以及在資料匯出者為代表控制者行事之處理者之情況下,控制者在條例 (EU) 2016/679 或條例 (EU) 2018/1725(如適用)下之責任。
(d) 締約方同意,若資料匯出者因資料匯入者(或其次處理器)造成之損害而在第 (c) 項下承擔責任,應有權向資料匯入者索回與資料匯入者對損害應負之責任相對應之部分賠償。
(e) 若多方對因違反這些條款而對資料主體造成之任何損害負責,所有負責方應承擔連帶責任,且資料主體有權對任何一方提起訴訟。
(f) 締約方同意,若一方在第 (e) 項下承擔責任,應有權向其他締約方索回與其/其等對損害應負之責任相對應之部分賠償。
(g) 資料匯入者不得援引次處理器之行為以規避自身責任。
第 13 條
模組二:控制者到處理者之傳輸
(a) 若資料匯出者在歐盟會員國成立,則適用以下章節: 負責確保資料匯出者遵守條例 (EU) 2016/679(關於資料傳輸)之監管機構,如附件 I.C 所示,應擔任主管監管機構。 若資料匯出者未在歐盟會員國成立,但根據條例 (EU) 2016/679 第 3 條第 2 項之規定屬於條例之地域適用範圍內,且已依據條例 (EU) 2016/679 第 27 條第 1 項指定代表,則適用以下章節: 條例 (EU) 2016/679 第 27 條第 1 項涵義範圍內之代表成立所在地之會員國之監管機構,如附件 I.C 所示,應擔任主管監管機構。 若資料匯出者未在歐盟會員國成立,但根據條例 (EU) 2016/679 第 3 條第 2 項之規定屬於條例之地域適用範圍內,但無需依據條例 (EU) 2016/679 第 27 條第 2 項指定代表,則適用以下章節: 資料主體之個人資料根據這些條款傳輸之會員國之一之監管機構(與向其提供商品或服務相關,或其行為受到監控),如附件 I.C 所示,應擔任主管監管機構。
(b) 資料匯入者同意服從主管監管機構之管轄權,並在旨在確保遵守這些條款之任何程序中與其合作。 尤其,資料匯入者同意回覆詢問、接受稽核並遵守監管機構採取之措施,包括補救和補償措施。 應向監管機構提供已採取必要行動之書面確認。
**第三節 – 公共主管機關存取情況下之當地法律和義務**
第 14 條
模組二:控制者到處理者之傳輸
(a) 締約方保證其沒有理由相信適用於資料匯入者處理個人資料之目的地第三國之法律和慣例,包括揭露個人資料之任何要求或授權公共主管機關存取之措施,會妨礙資料匯入者履行其在這些條款下之義務。 這是基於以下理解:尊重基本權利和自由之本質,且在民主社會中為保障條例 (EU) 2016/679 第 23 條第 1 項中列出之目標之一而未超出必要和相稱範圍之法律和慣例,與這些條款並不矛盾。
(b) 締約方聲明,在提供第 (a) 款中的保證時,他們已特別考量下列要素:
(i) 移轉的具體情況,包括處理鏈的長度、涉及的行為者數量和使用的傳輸管道;預期的後續移轉;接收者的類型;處理的目的;移轉個人資料的類別和格式;發生移轉的經濟部門;移轉資料的儲存地點;
(ii) 目的地第三國的法律和實務——包括那些要求向公共主管機關揭露資料或授權此類主管機關存取資料的法律和實務——在考量移轉的具體情況、以及適用的限制和保障措施時的相關性;
(iii) 為補充本條款下的保障措施而制定的任何相關合約、技術或組織保障措施,包括在傳輸期間和在目的地國處理個人資料時採取的措施。
(c) 資料匯入者保證,在進行第 (b) 款下的評估時,已盡最大努力向資料匯出者提供相關資訊,並同意將繼續與資料匯出者合作,以確保遵守本條款。
(d) 締約方同意記錄第 (b) 款下的評估,並應主管監督機關的要求提供查閱。
(e) 資料匯入者同意,如果在同意本條款後且在合約期間,其有理由相信其現在或已經受到不符合第 (a) 款要求的法律或實務的約束,包括在第三國法律變更後,或在措施(例如揭露請求)表明該等法律的實務應用不符合第 (a) 款要求的情況下,資料匯入者同意立即通知資料匯出者。
(f) 在根據第 (e) 款發出通知後,或如果資料匯出者另有理由相信資料匯入者無法再履行其在本條款下的義務,資料匯出者應立即確定由資料匯出者和/或資料匯入者採取的適當措施(例如,確保安全性和機密性的技術或組織措施),以解決該情況。如果資料匯出者認為無法確保此類移轉的適當保障措施,或主管監督機關指示其這樣做,則資料匯出者應暫停資料移轉。在這種情況下,資料匯出者應有權終止合約,以合約與本條款下個人資料的處理有關的範圍為限。如果合約涉及兩個以上的締約方,資料匯出者僅可針對相關締約方行使此終止權,除非締約方另有協議。如果合約依據本條款終止,則第 16(d) 和 (e) 條款應適用。
第 15 條
模組二:控制者到處理者之傳輸
15.1 通知
(a) 資料匯入者同意,如果發生以下情況,應立即通知資料匯出者,並在可能的情況下,立即通知資料主體(如有必要,在資料匯出者的協助下):
(i) 收到公共主管機關(包括司法機關)根據目的地國法律提出的具有法律約束力的請求,要求揭露依據本條款移轉的個人資料;此類通知應包括有關請求的個人資料、請求的主管機關、請求的法律依據以及提供的回覆的資訊;或
(ii) 獲悉公共主管機關依據目的地國法律直接存取依據本條款移轉的個人資料;此類通知應包括匯入者可獲得的所有資訊。
(b) 如果目的地國法律禁止資料匯入者通知資料匯出者和/或資料主體,則資料匯入者同意盡最大努力爭取豁免該禁令,以期盡快傳達盡可能多的資訊。資料匯入者同意記錄其最大努力,以便能夠應資料匯出者的要求證明之。
(c) 在目的地國法律允許的情況下,資料匯入者同意在合約期間定期向資料匯出者提供盡可能多的關於收到的請求的相關資訊(特別是,請求的數量、請求的資料類型、請求的主管機關、請求是否受到質疑以及此類質疑的結果等)。
(d) 資料匯入者同意在合約期間保存依據第 (a) 至 (c) 款的資訊,並應主管監督機關的要求提供查閱。
(e) 第 (a) 至 (c) 款不影響資料匯入者依據第 14(e) 條款和第 16 條款,在其無法遵守本條款時立即通知資料匯出者的義務。
15.2 合法性審查和資料最小化
(a) 資料匯入者同意審查揭露請求的合法性,特別是其是否仍在請求的公共主管機關被授予的權力範圍內,並且如果經過仔細評估後,其得出合理理由認為該請求根據目的地國法律、國際法下的適用義務和國際禮讓原則是非法的,則應對該請求提出質疑。在相同條件下,資料匯入者應尋求上訴的可能性。在質疑請求時,資料匯入者應尋求暫時措施,以暫停請求的效力,直到主管司法機關就其案情作出裁決。在適用程序規則要求之前,資料匯入者不得揭露請求的個人資料。這些要求不影響資料匯入者在第 14(e) 條款下的義務。
(b) 資料匯入者同意記錄其法律評估以及對揭露請求的任何質疑,並在目的地國法律允許的範圍內,向資料匯出者提供該文件。其也應應主管監督機關的要求提供查閱。
(c) 資料匯入者同意在回覆揭露請求時,根據對請求的合理解釋,提供允許的最小量資訊。
第四節 – 最終條款
第 16 條
(a) 如果資料匯入者因任何原因無法遵守本條款,應立即通知資料匯出者。
(b) 如果資料匯入者違反本條款或無法遵守本條款,資料匯出者應暫停向資料匯入者移轉個人資料,直到再次確保合規或合約終止。這不影響第 14(f) 條款。
(c) 在以下情況下,資料匯出者應有權終止合約,以合約與本條款下個人資料的處理有關的範圍為限:
(i) 資料匯出者已依據第 (b) 款暫停向資料匯入者移轉個人資料,且在本條款的合規性未在合理時間內且在任何情況下未在暫停後一個月內恢復;
(ii) 資料匯入者實質或持續違反本條款;或
(iii) 資料匯入者未遵守主管法院或監督機關關於其在本條款下的義務的具約束力決定。
在這些情況下,應將此類不合規情況通知主管監督機關。如果合約涉及兩個以上的締約方,資料匯出者僅可針對相關締約方行使此終止權,除非締約方另有協議。
(d) 依據第 (c) 款在合約終止前已移轉的個人資料,應由資料匯出者選擇立即退還給資料匯出者或完全刪除。同樣的規定應適用於資料的任何副本。資料匯入者應向資料匯出者證明資料的刪除。在資料被刪除或退還之前,資料匯入者應繼續確保遵守本條款。如果適用於資料匯入者的當地法律禁止退還或刪除已移轉的個人資料,則資料匯入者保證其將繼續確保遵守本條款,並且僅在當地法律要求的範圍內和期限內處理資料。
(e) 在以下情況下,任何一方均可撤銷其受本條款約束的協議:(i) 歐盟委員會根據《一般資料保護規範》(EU) 2016/679 第 45(3) 條通過一項決定,涵蓋本條款適用的個人資料移轉;或 (ii) 《一般資料保護規範》(EU) 2016/679 成為個人資料移轉目的國法律框架的一部分。這不影響《一般資料保護規範》(EU) 2016/679 下適用於相關處理的其他義務。
第 17 條
模組二:控制者到處理者之傳輸
本條款應受歐盟成員國之一的法律管轄,前提是該法律允許第三方受益權。締約方同意應為愛爾蘭法律。
第 18 條
模組二:控制者到處理者之傳輸
(a) 因本條款引起的任何爭議應由歐盟成員國的法院解決。
(b) 締約方同意應為愛爾蘭法院。
(c) 資料主體也可以在其慣常居所所在成員國的法院對資料匯出者和/或資料匯入者提起法律訴訟。
(d) 締約方同意服從此類法院的管轄。
附件一
A. 締約方列表
模組二:控制者到處理者之傳輸
資料匯出者
1. 名稱:客戶。
地址:如適用訂單中所述。
聯絡人姓名、職位和聯絡方式:如適用訂單中所述。
與本條款下移轉的資料相關的活動:如 DPA 附錄 I 中所述。
角色(控制者/處理者):控制者。
資料匯入者
1. 名稱:Metabase。
地址:如適用訂單中所述。
聯絡人姓名、職位和聯絡方式:如適用訂單中所述。
與本條款下移轉的資料相關的活動:如 DPA 附錄 I 中所述。
角色(控制者/處理者):處理者。
B. 移轉說明
模組二:控制者到處理者之傳輸
個人資料被移轉的資料主體類別
如 DPA 附錄 I 中所述。
被移轉的個人資料類別
如 DPA 附錄 I 中所述。
被移轉的敏感資料(如適用)以及充分考量資料性質和所涉風險的適用限制或保障措施,例如嚴格的目的限制、存取限制(包括僅限接受過專門培訓的人員存取)、保留資料存取記錄、後續移轉限制或額外的安全措施。
如 DPA 附錄 I 中所述。
移轉的頻率(例如,資料是以一次性還是持續性的基礎移轉)。
如 DPA 附錄 I 中所述。
處理的性質
如 DPA 附錄 I 中所述。
資料移轉和進一步處理的目的
如 DPA 附錄 I 中所述。
個人資料將被保留的期間,或者,如果不可能,則用於確定該期間的標準
如 DPA 附錄 I 中所述。
對於移轉到(子)處理者的情況,也請具體說明處理的主題、性質和期限
如 DPA 附錄 I 中所述。
C. 主管監督機關
模組二:控制者到處理者之傳輸
第 13 條款授權的監督機關。如果第 13 條款未授權任何監督機關,則為愛爾蘭資料保護委員會 (DPC),如果這不可能,則為締約方根據第 13 條款中規定的條件另行協定的機關。
附件二
技術和組織措施,包括確保資料安全性的技術和組織措施
模組二:控制者到處理者之傳輸
資料匯入者實施的技術和組織措施的說明(包括任何相關認證),以確保適當的安全級別,同時考量處理的性質、範圍、背景和目的,以及對自然人權利和自由的風險。
資料匯入者應實施和維護適當的技術和組織措施,旨在根據 DPA 保護個人資料。
根據第 10(b) 條款,資料匯入者將根據 DPA 向資料匯出者提供資料主體請求方面的協助。
附件三
專員根據 2018 年《資料保護法》第 119A(1) 條頒布的標準資料保護條款
歐盟委員會標準契約條款的英國附錄
本附錄的日期
1. 條款的日期與 DPA 的日期相同。
背景
2. 資訊專員認為本附錄為依賴英國 GDPR 第 46 條將個人資料移轉到第三國或國際組織提供了適當的保障措施,並且關於控制者到處理者和/或處理者到處理者的資料移轉。本附錄構成其所附條款的一部分並對其進行補充。如果源自英國的客戶個人資料由客戶移轉到尚未被認定根據英國資料保護法提供足夠保護級別的國家,則締約方同意該移轉應受條款的管轄,並以本附錄作為補充。
本附錄的解釋
3. 如果本附錄使用的術語在附件中定義,則這些術語應具有與附件中相同的含義。此外,以下術語具有以下含義
| 本附錄 | 條款的本附錄 |
| 附件 | 委員會執行決定 (EU) 2021/914(2021 年 6 月 4 日)附件中規定的標準契約條款 |
| 英國資料保護法 | 不時在英國生效的所有與資料保護、個人資料處理、隱私和/或電子通訊有關的法律,包括英國 GDPR 和 2018 年《資料保護法》。 |
| 英國 GDPR | 英國一般資料保護規範,根據 2018 年《歐洲聯盟(退出)法案》第 3 條,其構成英格蘭和威爾斯、蘇格蘭和北愛爾蘭法律的一部分。 |
| 英國 | 大不列顛及北愛爾蘭聯合王國 |
4. 本附錄應根據英國資料保護法的規定進行閱讀和解釋,以便使其實現提供英國 GDPR 第 46 條要求的適當保障措施的意圖。
5. 本附錄的解釋不得與英國資料保護法中規定的權利和義務相衝突。
6. 任何對法律(或法律的具體條款)的引用均指該法律(或具體條款)可能隨時間變化。這包括該法律(或具體條款)在本附錄簽訂後已被合併、重新制定和/或取代的情況。
優先順序
7. 如果本附錄與條款或締約方之間在本附錄協議或簽訂時存在或之後簽訂的其他相關協議的條款之間存在衝突或不一致,則應以最能保護資料主體的條款為準。
條款的併入
8. 本附錄併入了條款,這些條款被視為已在必要的範圍內進行修訂,以便其運作
(a) 用於資料匯出者向資料匯入者進行的移轉,在英國資料保護法適用於資料匯出者在進行該移轉時的處理的範圍內;以及
(b) 為符合英國 GDPR 法第 46 條的移轉提供適當的保障措施。
9. 上文第 8 節要求的修訂包括(但不限於)
(a) 提及「條款」是指本附錄(因為其併入了條款)
(b) 第 6 條 移轉說明被替換為
「移轉的詳細資訊(尤其是被移轉的個人資料類別以及移轉的目的)是在附件 I.B 中指定的資訊,如果英國資料保護法適用於資料匯出者在進行該移轉時的處理。」
(c) 提及「規範 (EU) 2016/679」或「該規範」被替換為「英國資料保護法」,並且提及「規範 (EU) 2016/679」的具體條款被替換為英國資料保護法中對等的條款或章節。
(d) 提及規範 (EU) 2018/1725 的內容被刪除。
(e) 提及「聯盟」、「歐盟」和「歐盟成員國」全部被替換為「英國」
(f) 不使用第 13(a) 條款和附件二 C 部分;「主管監督機關」是資訊專員;
(g) 第 17 條款被替換為聲明「本條款受英格蘭和威爾斯法律管轄」。
(h) 第 18 條款被替換為聲明
「因本條款引起的任何爭議應由英格蘭和威爾斯法院解決。資料主體也可以在英國任何國家的法院對資料匯出者和/或資料匯入者提起法律訴訟。締約方同意服從此類法院的管轄。
如果您已購買存取或使用附加資料倉儲(定義如下)的許可,如以下附件 C 第 1 節所述,則這些附加資料倉儲條款(「附件 C」)將適用。在本附件 C 中使用但未另行定義的大寫術語應具有協議中賦予它們的含義。
1. 附加資料倉儲;許可。 您可以購買許可,以透過訂閱服務或以其他方式透過結帳流程或 Metabase 線上網路商店的其他區域或如訂單中所述存取資料儲存(「附加資料倉儲」)。附加資料倉儲由 Metabase(或其第三方資料儲存或資料庫管理系統提供者)託管,旨在使您能夠將上傳到附加資料倉儲的資料連接到訂閱服務。在您支付附加資料倉儲費用後,Metabase 在訂閱期限內授予您有限的、非獨佔的、不可轉讓的、不可再授權的許可,以存取附加資料倉儲,將資料上傳到附加資料倉儲,僅用於與訂閱服務相關的用途,並且在這種情況下,附加資料倉儲將被視為訂閱服務的一部分,並且協議中對訂閱服務的所有引用將包括對附加資料倉儲的引用(如適用)。
2. 上傳的客戶資料 就協議(包括本附件 C)而言,「上傳的客戶資料」是指您上傳或傳輸到附加資料倉儲或以其他方式儲存在附加資料倉儲中的任何和所有資料、資訊和材料。儘管協議中有任何相反規定,客戶資料將包括上傳的客戶資料。為清楚起見,Metabase 將僅將上傳的客戶資料用於提供附加資料倉儲和服務,而不會用於開發或改進服務。
3. 上傳的客戶資料的許可。 除了協議中其他地方授予的許可外,您在此授予 Metabase(及其第三方資料儲存或資料庫管理系統提供者)非獨佔的、全球性的許可,以存取、儲存和託管附加資料倉儲中的上傳的客戶資料,以用於協議和提供訂閱服務的目的。
4. 費用。 您將支付適用於您存取和使用附加資料倉儲的所有費用,這些費用將透過訂閱服務或以其他方式透過結帳流程或 Metabase 線上網路商店的其他區域傳達給您(「附加資料倉儲費用」)。如果您未能及時支付到期的附加資料倉儲費用,Metabase 可能會立即暫停或終止您對附加資料倉儲的存取。
5. 無 PHI 或 NPI;聲明和保證;賠償。 您聲明並保證 (i) 您不會傳輸、上傳或以其他方式提供任何受保護的健康資訊 (PHI)(由 1996 年《健康保險流通與責任法案》定義)或非公開個人資訊 (NPI)(由《格蘭姆-里奇-比利雷法案》定義)到附加資料倉儲;並且 (ii) 您擁有所有必要的權利、許可、同意和授權來傳輸、上傳和提供上傳的客戶資料到附加資料倉儲,並且此類傳輸、上傳和提供不會侵犯任何第三方的智慧財產權或違反適用法律。您同意為 Metabase 辯護並使其免受損害,費用由您承擔,以應對第三方針對 Metabase 提起的任何法律訴訟,只要該訴訟是基於與您以不符合本協議的方式使用附加資料倉儲或違反適用法律的方式使用附加資料倉儲相關的索賠。
6. 資料保留。 儘管協議中有任何相反規定,在本協議終止或到期後,Metabase 可以根據其備份和歸檔政策,保留上傳的客戶資料最多一百八十 (180) 天。
