資料處理附錄 （DPA）

最後修訂 2023/8/21

本資料處理附錄 （DPA） 係於其接受之日製作與簽訂，並構成終端使用者授權協議或納入本附錄之其他 Claroty 產品授權協議的一部分（協議）。 使用者承認，您代表您作為協議一方的實體（以下統稱 “您”、   “使用者”或 “資料控制者”）已閱讀並同意遵守本數據保護協議，並且與 Claroty 簽訂了以下定義的具有約束力的法律協議（“Claroty” 或 “資料處理者”），以反映雙方關於GDPR受保護之個人的個人資料處理（此類術語定義如下）的協議。 雙方應稱之為當事人，各自稱之為當事人。

鑒於， Claroty 應提供本協議中規定的產品和/或服務（統稱為“服務”）給使用者，如本協議所述；以及

鑒於， 在根據本協議提供服務的過程中， Claroty 可代表使用者處理個人資料；且各方當事人希望在服務脈絡下提出有關處理個人資料（定義見下文）的安排，並同意遵守以下有關任何個人資料的規定，每個個人資料均以合理和善意行事。

因此， 鑒於本協議所載之相互承諾及其他良好且有價值的對價，雙方特此承認其收受及充分性，雙方有意受法律約束，同意如下：

本 DPA 適用於就提供本軟體及本協議項下與本軟體有關的任何服務而向本公司收集、提供或以其他方式提供的任何個人資料（定義見下文）的處理，惟該等個人資料的處理須受 GDPR 約束，惟客戶為個人資料控制者，且本公司為處理者。 DPA 旨在滿足歐盟資料保護法的要求，包括 GDPR 第 28（3） 條。 本 DPA 於本協議有效期間，或直到依本 DPA 客戶指示刪除個人資料為止，以較早發生者為準。

1. 解釋和定義

1.1 本數據保護協議所載標題僅為方便起見，不得解釋為限制或以其他方式影響本數據保護協議的規定。

1.2 除非另有說明，否則對條款或章節的引用是指本 DPA 的條款或章節。

  單數中使用的 1.3 個字包括複數，反之亦然， 因為 上下文可能需要。

1.4 此處未 定義之以引號註明之名詞 ，其 定義與該名詞於本合約中之定義相同。

1.5 定義：

• “關係企業”是指直接或間接控制、受主體實體控制或與主體實體受共同控制的任何實體。 “控制”，就本定義而言，指直接或間接擁有或控制該實體 50%以上的投票權益。

• “授權關係企業”係指任何使用者之關係企業（a），其係受歐盟、歐洲經濟區及/或其成員國、瑞士及/或英國之資料保護法與法規所規範，以及（b）依使用者與 Claroty間之協議使用服務，但尚未與 Claroty簽署其本身之協議，且非本協議所定義之“使用者”。

• “控制者”或“資料控制者”是指決定個人資料處理目的和方式的實體。 僅就本數據保護協議之目的而言，除另有說明外，“資料控制者”一詞應包括使用者及/或使用者之授權關係企業。

• 資料保護 法律 與 法規係指歐盟、歐洲經濟區及其成員國、以及英國所有適用於依據本協議處理個人資料之法律與法規。

• “資料主體” 是指與個人資料相關的已識別或可識別的個人。

• “Member State” 是指屬於歐盟和/或歐洲經濟區的國家。 “工會”是指歐盟。

• “GDPR” 指歐洲議會和理事會 27 April 2016 關於保護自然人的個人資料處理和自由移動的條例 （EU） 2016/679 ，並廢除指令 95/46/EC（一般資料保護條例）。

• “Claroty”係指本協議所訂相關 Claroty 實體。

• “Claroty Group” 係指 Claroty 及其從事個人資料處理之關係企業。

• “個人資料” 是指與已識別或可識別的自然人有關的任何資訊；可識別的自然人是指可以直接或間接識別的人，特別是透過參考識別符，例如姓名、識別號、位置資料、線上識別符或一個或多個與該自然人之身體、生理、遺傳、心理、經濟、文化或社會身份相關的特定因素。 為避免疑慮，使用者的業務聯絡資訊本身並不被視為受本 DPA 規範的個人資料。

• “流程（ing）”是指對個人資料執行的任何操作或操作集，無論是否透過自動方式，例如收集、記錄、組織、結構、儲存、改編或更改、檢索、諮詢、使用、透過傳輸、傳播或以其他方式提供、對齊或組合、限制、清除或銷毀。

• “處理器”或“資料處理者”是指代表控制者處理個人資料的實體。

• “安全 文件”是指適用於使用者購買的特定服務的安全文件，該文件不定期更新，由 Claroty

• “輔助處理者”係指 Claroty 和/或 Claroty Affiliate 在本 DPA 脈絡下聘用處理個人資料的任何處理者。

• “監督 權”是指歐盟成員國根據 GDPR 或英國 GDPR 的 ICO 建立的獨立公共權威。

2. 個人資料的處理

2.1 各方當事人之角色。 雙方承認並同意，就個人資料之處理而言，（i） 使用者為資料控制者，（ii） Claroty 為資料處理者，且 （iii） Claroty 得根據以下第 5 條“次處理者”所載之要求聘用次處理者。 使用者、使用者之廠商及/或使用者之業務夥伴及資料主體應透過向 Claroty 之服務提供個人資料，向 Claroty 提供個人資料。 為免生疑問， Claroty 平台的登入詳細資料受 Claroty 不時更新的隱私權政策約束，而非本 DPA，因此， Claroty 是本個人資料的資料控制者。

2.2  使用者處理個人資料。 使用者使用服務時，應依據資料保護法與法規之規定處理個人資料，並隨時遵守適用於資料控制者的義務（包括但不限於 GDPR 第 24 條）。  為避免疑慮，使用者的個人資料處理指示應遵守資料保護法律與法規。 使用者應全權負責使用者取得個人資料的方式。 無限制地，使用者應遵守任何及所有與透明度相關的義務（包括但不限於顯示任何及所有相關和必要的隱私權聲明或政策），並且應擁有任何及所有必要的法律依據，以便收集、處理和傳輸個人資料給 Claroty ，並授權 Claroty 處理本 DPA 授權的個人資料。 對於使用者和/或其授權使用者違反、違反或侵犯任何資料保護法律法規和/或本 DPA 和/或本節的任何類型責任，使用者應保護、保護和賠償 Claroty、其關係企業和子公司（包括但不限於其董事、高級職員、代理人、分包商和/或員工）。

2.3 Claroty 處理個人資料。

2.3.1 依本協議， Claroty 應僅根據使用者的書面說明，以及為履行服務以及為履行協議和本 DPA 而必需時，處理受本 DPA 規範的個人資料， 除非工會或會員國法律要求或（在法律允許的最大範圍內） Claroty 遵守的任何其他適用法律， 在這種情況下 Claroty 應在處理之前通知使用者法律要求， 除非該法律基於公共利益的重要理由禁止此類資訊。 本 DPA 的處理持續時間、處理的性質和目的，以及已處理的個人資料類型和資料主體類別，進一步說明於本 DPA 的 附表 1 （處理詳情）中。

2.3.2 當 Claroty 或其關係企業無法遵守要求時（包括： 不受限制 任何指示 方向、 行為準則、 認證、 或任何類型的變更），來自使用者和/或其授權使用者有關個人資料的處理，或當 Claroty 認為此類要求不合法時， Claroty （i） 應通知使用者， 提供問題的相關詳細資料 （但非法律建議）， （ii） Claroty 可能 對使用者不負任何責任， 暫時停止對受影響個人資料的所有處理（安全儲存該等資料除外）； 及 （iii） 如果雙方不同意有關問題及其成本的決議， 各方當事人得： 作為其唯一救濟， 終止與受影響處理有關的協議和本 DPA， 且使用者應向 Claroty 支付在終止日期之前應付 Claroty 或到期應付的所有款項。 使用者將不會因本協議和/或 DPA 在本段所述情況下終止而對 Claroty 提出進一步的索賠（包括但不限於要求服務退款）（不包括與以下 DPA 終止相關的義務）。

2.3.3 Claroty 對於第三方提出的任何索賠不負任何責任，包括但不限於因 Claroty 的任何作為或不作為引起的資料主體，只要此類行為是由於使用者指示所致。

3. 資料主體的權利

如果 Claroty 收到資料主體的要求，以行使其在 GDPR 第 III 章（“資料主體要求”）中的權利， Claroty 應在法律允許的範圍內，及時通知並轉發此類資料主體要求給使用者。 考慮到處理的性質， Claroty 應盡商業上合理的努力，在可能的情況下透過適當的技術和組織措施協助使用者，以履行使用者根據資料保護法律法規回應資料主體請求的義務。 在法律允許的範圍內，使用者應負責因 Claroty 提供此類協助而產生的任何費用。

4. CLAROTY 人員

4.1 機密性。 Claroty 應僅在需要知道的情況下，向其授權下的人士（包括但不限於其人員）授予對個人資料的存取權，並確保參與處理個人資料的該等人士已承諾保密或承擔適當的法定保密義務。

4.2 Claroty 得於下列情況下揭露和處理個人資料：（a） 依本協議所允許者 （b） 在有管轄權之法院或監管機關要求之範圍內，和/或適用法律所要求之其他範圍內（在此情況下， Claroty 在揭露之前，應告知使用者法律要求， 除非該法律禁止基於公共利益的重要理由提供此類資訊）， 或 （c） 依保密義務對法律顧問（們）所為之必要知悉， 資料保護顧問（們）， 或會計師（們）。

5. 有關輔助處理者的授權

5.1 Claroty 目前的次級處理者名單包含在附表 2 （“次級處理者名單”）中，並特此獲得資料控制者批准。 截至本 DPA 執行日期的輔助處理者清單茲此獲得使用者授權。

5.2 Claroty 應在授權該（多個）新輔助處理者處理與服務提供相關的個人資料之前，向任何（多個）新輔助處理者發出通知。

5.3 新輔助處理者反對權。 使用者得基於 GDPR 相關理由，合理反對 Claroty 使用新的輔助處理者，方法是在接獲 Claroty 通知後三 （3） 個工作日內，根據第 5.1 條所述機制 Claroty，立即以書面通知 Claroty，且此類書面反對應包括拒絕 Claroty 使用此類新的輔助處理者之 GDPR 相關原因。 未能在 Claroty 通知後三 （3） 個工作日內以書面形式反對此類新的輔助處理者，應視為接受新的輔助處理者。 若使用者合理反對新的輔助處理者，如前一句所允許， Claroty 將盡合理努力向使用者提供服務變更，或建議在商業上合理改變使用者使用服務，以避免被反對的新輔助處理者處理個人資料，而不會對使用者造成不合理的負擔。 如果 Claroty 無法在合理的時間內提供此類變更， 不得超過三十 （30） 天， 使用者可： 作為唯一補救 僅就 Claroty 在未使用被反對的新輔助處理者的情況下不能提供的服務終止適用的協議和本DPA，向 Claroty 提供書面通知，前提是在協議終止日期之前，與相關處理相關的所有應付金額應適當支付給 Claroty。 在對新的輔助處理者做出決定之前， Claroty 可能會暫停對受影響個人資料的處理。 在本段所述情況下，使用者不會再因本協議終止（包括但不限於要求退款）和/或 DPA 而對 Claroty 提出任何索賠。

5.4 與次級處理者簽訂的協議。 若子處理者由 Claroty 聘用， Claroty 應與子處理者簽訂合約協議，其起草方式應反映本 DPA 規定的資料保護義務。 根據 GDPR 第 28.7 條和第 28.8 條，如果歐盟執行委員會制定了該條中提到的標準合約條款，雙方可真誠修訂本 DPA，以將其調整為該標準合約條款。

6. 安全性

6.1 個人資料保護控制。 考慮到最先進的技術， 實施成本 範圍 背景 處理的目的，以及自然人權利和自由的可能性和嚴重程度各不相同的風險， Claroty 應維持依據 GDPR 第 32 條規定之業界標準技術與組織措施，以保護安全（包括防止未經授權或非法處理，以及防止意外或非法破壞； 遺失或更改或損壞； 未經授權揭露、 或存取 個人資料）、 個人資料的機密性和完整性， 如使用者在此核准之安全文件中所載。 經使用者要求， Claroty 將盡商業上合理之努力，在考量處理作業性質、技術現況及 Claroty 可取得之資訊後，協助使用者遵守 GDPR 第 32 至 36 條所規定之義務，費用由使用者負擔。

6.2 第三方認證與稽核。 經使用者以合理時間間隔提出書面要求後， 並受本協議和本 DPA 中規定的保密義務約束， Claroty 應提供給非 Claroty 競爭對手的使用者（或使用者的獨立、 第三方稽核員非 Claroty 的競爭對手） Claroty 當時最近一次第三方稽核或認證的複本或摘要， 如適用（提供， 然而 此類稽核 認證及其結果 包括反映稽核結果和/或驗證的文件， 僅供使用者用於評估對本 DPA 之遵守情況， 未經 Claroty 事先書面批准，不得用於任何其他目的或向任何第三方披露，且 在 Claroty 提出第一次要求後 使用者應歸還 Claroty 在稽核和/或認證背景下由使用者持有或控制的所有記錄或文件）。 Claroty 應允許並協助稽核，包括由控制者或控制者（非 Claroty 的直接或間接競爭對手）授權的其他稽核者執行的 Claroty 的檢查，前提是各方應同意此類稽核和檢查的範圍、方法、時間和條件。 儘管有任何相反的規定，此類稽核和/或檢查不應包含任何資訊，包括但不限於不屬於使用者的個人資料。

7. 個人資料事件管理與通知

在適用資料保護法律與規範要求的範圍內， Claroty 應在得知 Claroty 或其次處理者所傳輸、儲存或以其他方式處理之個人資料（個人資料 Claroty事件）的意外或非法銷毀、遺失、更改、未經授權揭露或存取後，立即通知使用者。

Claroty 應盡合理努力找出此類個人資料事件的原因，並在 Claroty 合理控制範圍內，採取 Claroty 認為必要、可能且合理的步驟，以補救此類個人資料事件的原因。 本文所載義務不適用於使用者或使用者使用者導致的事件，或與提供服務無關的事件。 在任何情況下，使用者將是負責通知監管機構和/或相關資料主體的一方（如資料保護法律及法規要求）。

8. 個人資料的歸還和刪除

根據本協議， Claroty 應依使用者選擇，在提供與處理相關的服務後刪除或歸還個人資料給使用者，並應刪除現有副本，除非適用法律要求儲存個人資料。 在任何情況下，在適用法律要求或允許的範圍內， Claroty 可保留一份個人資料副本，作為證據和/或建立、行使或辯護法律索賠和/或遵守適用法律法規之用。 如果使用者要求歸還個人資料，應以 Claroty 顧客一般可用的格式歸還個人資料。

9.  授權關係企業

9.1 合約關係。 雙方承認並同意，透過簽署 DPA，使用者可代表自身及在適用情況下代表其授權關係企業簽訂 DPA，從而在 Claroty 之間建立單獨的 DPA。 各授權關係企業同意受本 DPA 所訂義務之拘束。 授權關係企業對本服務之存取與使用必須遵守本協議與本 DPA 之條款與條件，且授權關係企業違反其中條款與條件者，應視為使用者違反。

9.2 溝通。 使用者應負責協調本協議和本 DPA 下與 Claroty 的所有溝通，並有權代表其授權關係企業進行和接收與本 DPA 相關的任何溝通。

10. 資料傳輸

10.1 向提供足夠資料保護等級的國家/地區轉移資料。 個人資料可能從歐盟成員國和三個歐洲經濟區成員國（挪威、列支敦斯登和冰島；統稱為歐洲經濟區）轉移到根據或根據歐洲經濟區、歐盟、成員國或歐盟委員會相關資料保護機構發佈的充分性決策提供足夠資料保護的國家（“充分性決策”），而無需進一步保護。

10.2 轉移至其他國家。 如果個人資料的處理包括從歐洲經濟區傳輸至歐洲經濟區以外不受充分性決定約束的國家（“其他國家”）， 雙方應遵守 GDPR 第五章， 包括 如有必要， 執行 EEA 相關資料保護主管機關採用的標準資料保護條款， 工會、 成員國或歐盟執行委員會，或遵守 GDPR 中為將個人資料傳輸至此類其他國家而提供的任何其他機制。 若使用者和 Claroty 將使用標準合約條款作為傳輸使用者個人資料的機制，雙方的權利和義務應按照標準合約條款和本 DPA 執行。 若標準合約條款與本 DPA 有所牴觸，應以標準合約條款為準。

11. 終止

本 DPA 應在提供服務的協議終止或到期時自動終止。 第 2.2、 2.3.3、 8 和 12 條在 DPA 因任何原因終止或到期後仍然有效。 本 DPA 原則上不得與本協議分開終止，除非在本協議終止前處理終止，在這種情況下，本 DPA 將自動終止。

12. 與協議的關係

若本 DPA 條款與本協議條款間有任何衝突，應以本 DPA 條款為準。 Claroty 應依本協議所訂限制負責。

13. 修訂

本 DPA 得隨時透過各方當事人簽署之書面文件進行修訂。

14. 法律效果

Claroty 可就與本 DPA 或本協議相關的所有或實質上所有股份、資產或業務的合併、合併或收購，將本 DPA 或其在本協議下的權利或義務轉讓給任何附屬公司，或繼任者或其任何附屬公司。 Claroty 於本協議下的任何義務，得由 Claroty 的附屬公司執行（全部或部分），並得行使任何 Claroty 權利（包括發票和付款權利）或救濟（全部或部分）。

排程清單

• 時間表 1 - 處理詳情

• 排程 2 - 輔助處理者清單

• 附錄 3 – 標準合約條款

時間表 1 - 處理詳情

Claroty 將依使用者對服務之使用所進一步指示，按根據本協議履行服務所必要之情況下處理個人資料。

處理的性質和目的

1. 向使用者（們）提供服務

2. 為使用者授權的使用者設定設定檔 （設定檔）

3. 啟用使用者對服務之使用

4. 為使 Claroty 遵守由使用者提供之書面合理指示，且該等指示與本協議條款一致。

5. 履行與本協議、本 DPA 及/或雙方簽署的其他合約有關的義務。

6. 如本協議同意，則提供支援及技術維護。

7. 與上述合理相關的任何其他任務。

處理持續時間

根據 DPA 和/或協議中處理處理期間及其到期或終止的後果的任何章節， Claroty 將在協議期間處理個人資料，除非另有書面約定。

個人資料類型

使用者可向服務提交個人資料，該程度由使用者自行決定及控制，包括但不限於以下類別的個人資料：

• 連接到使用者網路的個人裝置（例如筆記型電腦、平板電腦、智慧型手機）的 IP 位址、MAC 位址、使用者和主機名稱。

• 透過個人裝置連接到使用者網路的使用者存取的 Web 服務的 IP 位址。

• 使用者造影裝置執行掃描的存取號。

• 使用者決定向 Claroty 或服務提供或供應的任何其他個人資料或資訊。

使用者和資料主體應透過向 Claroty 的服務提供個人資料，向 Claroty 提供個人資料。

資料主體類別

使用者可向服務提交個人資料，該程度由使用者自行決定和控制，且可能包括與以下類別資料主體相關的個人資料：

• 使用者的患者、訪客、訪客和/或客戶

• 使用者授權使用服務的使用者。

• 使用者（自然人）的員工、代理人、顧問、自由工作者

• 使用者（自然人）的潛在客戶、客戶、業務合作夥伴和供應商

• 使用者潛在客戶、客戶、業務合作夥伴和供應商的員工或聯絡人

排程 2 - 輔助處理者清單

附錄 3 - 標準合約條款

控制器對處理器

第 I 節

第 1 條 - 目的與範圍

a） 這些標準合約條款旨在確保遵守歐洲議會和理事會的法規 （EU） 2016/679 中有關 27 April 2016 保護自然人的個人資料處理和此類資料的自由移動的要求（一般資料保護法規）（^【i】），以便將資料傳輸到第三國。

b） 雙方：

（i） 自然人或法人、公共機構、代理機構或其他機構（以下簡稱實體）傳輸個人資料，如附件 I.A（以下簡稱各資料匯出者）所列，及

（ii） 直接或間接透過另一實體接收來自資料匯出者之個人資料的第三國實體，亦為本條款之當事人，如附錄 I.A 所列（以下為各資料匯入者

c） 本條款適用於附件 I.B 中指定的個人資料轉移。

d） 包含其中提及之附錄的本條款附錄構成本條款不可或缺的一部分。

第 2 條 - 條款之效力與變異性

a） 本條款根據歐盟（EU） 2016/679 條例第 46（1） 條及第 46（2）（c） 條制定了適當的保障措施，包括可執行的資料主體權利及有效的法律補救措施，並且，對於從控制者向處理者及/或處理者向處理者轉移的資料，根據歐盟 （EU） 2016/679 條例第 28（7） 條的標準合約條款，除非該等條款未經修改，除非選擇適當的模組或在附錄中添加或更新資訊。 這並不妨礙雙方在更廣泛的合約中納入本條款中規定的標準合約條款，和/或添加其他條款或額外保障，前提是他們不會直接或間接與本條款相抵觸或損害資料主體的基本權利或自由。

b） 本條款不影響資料匯出者因法規 （EU） 2016/679 所應盡之義務。

第 3 條 - 第三方受益人

a） 資料當事人得以第三方受益人之身分，針對資料匯出者及/或資料匯入者援引並執行本條款，但下列除外：

（i） 第 1 條、第 2 條、第 3 條、第 6 條、第 7 條；

（ii） 第 8 條 – 模組一：第 8.5 （e） 條和第 8.9（b） 條；模組二：第 8.1（b）、 8.9（a）、（c）、（d） 條和第 （e） 條；模組三：第 8.1（a）、（c） 和 （d） 條和第 8.9（a）、（c）、（d）、（e）、（f） 和 （g） 條；模組四：第 8.1 （b） 條和第 8.3（b） 條；

（iii） 第 9 條 – 模組二：第 9（a）、（c）、（d） 和 （e） 條；模組三：第 9（a）、（c）、（d） 和 （e） 條；

（iv） 第 12 條 – 模組一：第 12（a） 和 （d） 條；模組二和三：第 12（a）、（d） 和 （f） 條；

（v） 第 13 條；

（vi） 第 15.1（c）、（d）及（e）條；

（vii） 第 16（e）條；

（viii） 第 18 條 – 第一、二和三單元：第 18（a） 和 （b） 條；第 4 單元：第 18 條。

b） 第 （a） 段不影響歐盟 （EU） 第 2016/679 條下資料主體的權利。

第 4 條 - 解釋

a） 若本條款使用法規 （EU） 2016/679 中定義的條款，則該等條款應具有與該法規中相同的含義。

b） 本條款應根據法規 （EU） 2016/679 的規定進行閱讀和解釋。

c） 本條款不得以與法規 （EU） 2016/679 中規定的權利和義務衝突的方式解釋。

第 5 條 - 層次結構

如果本條款與雙方之間的相關協議條款之間存在矛盾，則在本條款達成協議或訂立時，以本條款為準。

第 6 條 - 轉讓說明（們）

附件 I.B 中載明了轉移的細節（特別是轉移的個人資料類別及其目的）。

第 7 條（可選）- 停靠條款

a） 非本條款當事人之實體，得於各方當事人同意下，隨時以資料匯出者或資料匯入者之身分，透過完成附錄並簽署附錄 I.A.

b） 一旦完成附錄 I.A 並簽署附錄 I.A，受控實體應成為本條款的一方，並依據附錄 I.A. 中的指定，擁有資料匯出者或資料匯入者的權利和義務。

c） 受查實體自成為當事人前之期間內，不具有因本條款而產生之權利或義務。

第 II 節 - 各方當事人之義務

第 8 條 - 資料保護保障措施

資料匯出者保證已盡合理之努力，判定資料匯入者能夠透過實施適當的技術和組織措施，履行本條款所規定之義務。

8.1 說明

a） 資料匯入者應僅根據資料匯出者的書面指示處理個人資料。 資料匯出者得於合約期間提供此等指示。

b） 若資料匯入者無法遵循這些指示，資料匯入者應立即通知資料匯出者。

8.2 目的限制

除非資料匯出者進一步指示，否則資料匯入者應僅出於傳輸的特定目的（如附件 I.B 所述）處理個人資料。

8.3 透明度

資料匯出者應按要求免費向資料當事人提供本條款的副本，包括各方當事人填寫的附錄。 在保護商業機密或其他機密資訊的必要範圍內，包括附件 II 及個人資料所述之措施，資料匯出者得在分享副本之前，先編輯本條款附錄內文的一部分，但應在資料當事人無法理解其內容或行使其權利時提供有意義的摘要。 各方當事人應依要求提供資料當事人編輯的原因，在可能的範圍內，不會透露所編輯的資訊。 This Clause is without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679.

8.4 準確度

如果資料匯入者發現其收到的個人資料不準確或已過時，應立即通知資料匯出者。 在此情況下，資料匯入者應與資料匯出者合作清除或修正資料。

8.5  資料處理和刪除或歸還的持續時間

資料匯入者之處理應僅在附件 I.B 所指定之期限內進行。在提供處理服務結束後，資料匯入者應依資料匯出者之選擇，刪除代表資料匯出者處理之所有個人資料，並向資料匯出者證明其已完成，或將代表其處理之所有個人資料返還資料匯出者，並刪除現有副本。 在刪除或歸還資料之前，資料匯入者應繼續確保遵守本條款。 若當地法律適用於資料匯入者禁止歸還或刪除個人資料，資料匯入者保證其將繼續確保遵守本條款，且僅在當地法律規定的範圍內和範圍內進行處理。 這不會影響第 14 條，尤其是第 14（e） 條下的資料匯入者，如果其有理由相信資料匯出者正受到或已經受到不符合第 14（a） 條要求之法律或慣例的約束，則應在合約期間通知資料匯出者。

8.6 處理的安全性

a） 資料匯入者以及在傳輸過程中，資料匯出者也應實施適當的技術和組織措施，以確保資料的安全性，包括防止安全受到意外或非法破壞、遺失、更改、未經授權披露或存取該資料（以下簡稱個人資料洩露）的侵害。 在評估適當安全等級時，各方應充分考慮最新技術、實施成本、處理的性質、範圍、背景和目的，以及處理資料主體所涉及的風險。 雙方應特別考慮追索加密或假名化，包括在傳輸期間，以這種方式實現處理的目的。 在擬匿名化的情況下，將個人資料歸屬於特定資料當事人的額外資訊，應盡可能由資料匯出者專屬控制。 為遵守本款規定之義務，資料匯入者應至少執行附件 II 所指定之技術及組織措施。 資料匯入者應進行定期檢查，以確保這些措施能持續提供適當層級的安全性。

b） 資料匯入者僅得於執行、管理及監控合約之嚴格必要範圍內，授與其人員個人資料之存取權。 應確保經授權處理個人資料的人員已承諾保密或承擔適當的法定保密義務。

c） 若發生與資料匯入者依據本條款所處理之個人資料相關之個人資料洩露，資料匯入者應採取適當措施解決該洩露，包括減輕其不良影響之措施。 資料匯入者亦應於知悉違反情事後，立即通知資料匯出者。 此類通知應包含可獲取更多資訊的聯絡點詳情、有關違規的性質說明（包括可能的情況下，包括有關資料主體和個人資料記錄的類別和大致數量）、其可能的後果，以及為解決違規而採取或提議的措施，包括在適當情況下採取的措施減輕其可能的不良影響。 若無法同時提供所有資訊，初始通知應包含當時可取得的資訊，且後續應提供進一步資訊，不得過度延遲。

d） 資料匯入者應配合並協助資料匯出者，使資料匯出者能夠遵守其在法規 （EU） 2016/679 下的義務，特別是在考量處理性質和資料匯入者可取得的資訊的情況下，通知主管機關和受影響的資料主體。

8.7  敏感資料

轉移涉及揭露種族或族裔的個人資料， 政治觀點 宗教或哲學信仰、 或工會會員 基因資料、 或生物識別資料，以唯一識別自然人， 有關健康或個人性生活或性傾向的資料， 或與刑事定罪和犯罪相關的資料（以下簡稱敏感資料）， 資料匯入者應應用附件 I.B 所述的特定限制和/或其他保護措施。

8.8  轉乘

資料匯入者僅得根據資料匯出者的書面指示，向第三方揭露個人資料。 此外，如果第三方正受或同意受本條款的約束，根據適當的模組，資料只能披露給位於歐盟境外的第三方 （^【i】） （與資料匯入者位於同一國家或位於另一個第三國家，以下稱“後續傳輸”），或如果

（i） 轉調至根據法規 （EU）   2016/679 第 45 條，得益於充分性決定的國家，該規定涵蓋轉調；

（ii） 第三方根據第 46 條或第 47 條 （EU） 2016/679 條例，確保就相關處理採取適當保護措施；

（iii） 轉移對於在特定行政、監管或司法程序中建立、行使或辯護法律索賠屬必要；或

（iv）為保護資料當事人或其他自然人之重要利益，有必要進行後續移轉。

任何後續移轉均須受資料匯入者遵守本條款之所有其他保護措施，特別是目的限制。

8.9  文件記錄與合規

a） 資料匯入者應立即且充分處理資料匯出者就本條款處理作業所提出之查詢。

b） 雙方應能夠證明遵守本條款。 特別是，資料匯入者應保留代表資料匯出者所執行之處理活動的適當文件。

c） 資料匯入者應向資料匯出者提供所有必要資訊，以證明其遵守本條款所訂義務，並應資料匯出者之要求，允許並協助稽核本條款所涵蓋之處理活動，並應合理間隔或是否有不遵守之跡象。 在決定審查或稽核時，資料匯出者可以考慮資料匯入者持有的相關認證。

d） 資料匯出者得選擇自行進行稽核或委託獨立稽核人員進行稽核。 稽核可能包括對資料匯入者的場所或實體設施進行檢查，且應在適當情況下以合理通知的方式執行。

e） 各方應按要求向主管機關提供第 （b） 和 （c） 段中提及的資訊，包括任何稽核結果。

第 9 條 - 使用輔助處理者

a） 特定事前授權 資料匯入者不得在未取得資料匯出者事前特定書面授權的情況下，將代表資料匯出者依據本條款所執行之任何處理活動轉包予次處理者。 資料匯入者應於聘用次處理者至少 3 天前提交特定授權之要求，並附上必要資訊，讓資料匯出者得以決定授權。 資料匯出者已授權的輔助處理者清單可見於附件 III。 雙方應保持附件 III 為最新。

b） 若資料匯入者聘用輔助處理者執行特定處理活動 （代表資料匯出者），應透過書面合約執行，該合約實質提供與依本條款約束資料匯入者相同的資料保護義務，包括資料主體的第三方受益人權利。 （^【i】） 各方當事人同意，遵守本條款，即表示資料匯入者履行其依第 8.8 條規定的義務。 資料匯入者應確保次處理者遵守資料匯入者依據本條款所應盡之義務。

c） 資料匯入者應依資料匯出者之要求，提供該次處理者協議之副本，以及對資料匯出者之任何後續修訂內容。 在保護商業機密或其他機密資訊，包括個人資料之必要範圍內，資料匯入者得於分享副本之前，先編輯合約文字。

d） 資料匯入者仍對資料匯出者負完全責任，以履行次處理者與資料匯入者簽訂之合約項下的義務。 資料匯入者應通知資料匯出者，輔助處理者未能履行其在該合約項下之義務。

e） 資料匯入者應與輔助處理者協議第三方受益人條款，若資料匯入者已實際消失、不再存在法律或已喪失清償能力，資料匯出者應有權終止輔助處理者合約，並指示輔助處理者清除或返還個人資料。

第 10 條 - 資料主體權利

a） 資料匯入者應立即通知資料匯出者其從資料當事人收到的任何要求。 除非資料匯出者已授權，否則不應自行回應該要求。

b） 資料匯入者應協助資料匯出者履行其義務，以回應資料主體根據法規 （EU） 2016/679 行使其權利之要求。 就此而言，各方應在附件 II 中說明適當的技術和組織措施，並考慮處理的性質、應提供協助的範圍和所需的協助範圍。

c） 在履行第 （a） 和 （b） 段下的義務時，資料匯入者應遵守資料匯出者的指示。

第 11 條 - 申訴

a） 資料匯入者應透過個別通知或在其網站上，以透明且容易存取之格式，通知資料當事人有權處理申訴之聯絡點。 其應立即處理從資料當事人收到的任何投訴。

b） 若資料當事人與任一當事人間就本條款之遵守發生爭議，該當事人應盡最大努力及時友好解決該問題。 雙方應相互告知該等爭議，並在適當時配合解決。

c） 若資料當事人依據第 3 條援用第三方受益人權利，則資料匯入者應接受資料當事人之決定，以：

（i） 根據第 13 條向他/她慣常居住地或工作地點成員國的監管機構或主管監管機構提出投訴；

（ii） 將爭議轉至第 18 條所指之管轄法院。

d） 各方當事人同意，資料當事人得依據歐盟 （EU） 2016/679 條例第 80（1） 條規定之條件，由非營利組織、組織或協會代表。

e） 資料匯入者應遵守適用之歐盟或會員國法律所約束之決定。

f） 資料匯入者同意，資料當事人所做出之選擇，將不會損害其根據適用法律尋求救濟之實質性和程序性權利。

第 12 條 - 責任

a） 任一方當事人應就其因違反本條款而導致他方當事人之任何損害，對他方當事人負責。

b） 資料匯入者應對資料當事人負責，且資料當事人有權就資料匯入者或其輔助處理者違反本條款所訂第三方受益人權利而導致資料當事人之任何重大或非重大損害，獲得賠償。

c） 儘管有第 （b） 款規定，資料匯出者應對資料主體負責，且資料主體有權就資料匯出者或資料匯入者（或其輔助處理者）因違反本條款所訂第三方受益人權利而導致資料主體的任何重大或非重大損害獲得賠償。 這不會影響資料匯出者的責任，並且如果資料匯出者是代表控制者行事的處理者，根據適用的法規 （EU） 2016/679 或法規 （EU） 2018/1725，控制者的責任。

d） 各方當事人同意，若資料匯出者依第 （c） 款規定，對資料匯入者 （或其輔助處理者） 所造成之損害負有賠償責任，則其有權向資料匯入者向資料匯入者請求賠償，該賠償部分應符合資料匯入者對損害之責任。

e） 若多方當事人對因違反本條款而導致資料當事人之任何損害負責，則所有責任方應負連帶責任，且資料當事人有權向法院針對任何當事人提起訴訟。

f） 各方當事人同意，若一方當事人依第 （e） 段負有賠償責任，則其有權向另一方當事人請求賠償，該賠償部分與其損害責任相對應。

g） 資料匯入者不得援引輔助處理者之行為，以避免其自身之賠償責任。

第 13 條 - 監督

a） 【在歐盟成員國建立資料匯出者的情況下：】 負責確保資料匯出者遵守法規 （EU） 2016/679 中有關資料傳輸的規定的監管機構，如附件 I.C 所述，應作為主管機關。

【若資料匯出者並非在歐盟成員國設立，但屬於根據其第 3（2） 條適用法規 （EU）   2016/679 的地域範圍內，且已根據第  27（1） 條 （EU） 2016/679：】 條指派代表時，根據歐盟 （EU） 2016/679 法規第  27（1） 條所界定之成員國的監督機關應作為主管機關。

[Where the data exporter is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679:] The supervisory authority of one of the Member States in which the data subjects whose personal data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behaviour is monitored, are located, as indicated in Annex I.C, shall act as competent supervisory authority.

b） 資料匯入者同意在確保遵守本條款之任何程序中，向主管機關提交並配合其管轄權。 特別是，資料匯入者同意回應查詢、提交稽核，並遵守監管機關所採取的措施，包括補救和補償措施。 應提供主管機關已採取必要行動之書面確認。

第 III 節 - 地方法律和公共機構存取時之義務

第 14 條 - 影響遵守本條款的當地法律和慣例

a） 雙方保證，他們沒有理由相信，在第三國適用於資料匯入者處理個人資料的法律和慣例，包括披露個人資料的任何要求或公共機構授權存取的措施，阻止資料匯入者履行本條款規定的義務。 這是基於理解，尊重基本權利和自由的本質，並且不超過民主社會保護歐盟法規 （EU） 第 2016/679 條第 23（1） 條所列目標之一所必需和比例，與本條款並無矛盾的法律和慣例。

b） 雙方聲明，在提供第 （a） 段的保證時，已充分考慮以下要素：

（i） 傳輸的特定情況，包括處理鏈的長度、涉及的發動者數量和使用的傳輸管道；預期傳輸；預期的後續傳輸；接收者的類型；處理目的；傳輸的個人資料的類別和格式；傳輸發生的經濟行業；傳輸的資料的儲存位置；

（ii） 有關當局或授權有關當局的訪問 - 與轉移的具體情況相關，以及適用的限制和保障措施 （^【i】）；

（iii） 為補充本條款下之保障而實施之任何相關合約、技術或組織保護措施，包括傳輸期間及在目的地國家處理個人資料時所採取之措施。

c） 資料匯入者保證，在進行第 （b） 段的評估時，已盡最大努力向資料匯出者提供相關資訊，並同意其將繼續與資料匯出者合作，以確保遵守本條款。

d） 各方同意記錄第 （b） 段下的評估，並應要求提供給主管監督機構。

e） 資料匯入者同意，若在同意本條款之後及合約期間內，有理由相信其目前或未來受到與第 （a） 款規定不符之法律或慣例所拘束，包括下列第三國法律變更，或指出實際應用此等法律之措施 （例如揭露要求） 與第 （a） 款規定不符，則立即通知資料匯出者。

f） 根據第 （e） 款發出通知後，或資料匯出者有理由相信資料匯入者無法再履行本條款所規定之義務時，資料匯出者應迅速找出資料匯出者及/或資料匯入者應採取的適當措施 （例如技術或組織措施，以確保安全性及機密性），以解決該情況。 如果資料匯出者認為無法確保此類傳送的適當保護措施，或主管機關指示其這麼做，則資料匯出者應暫停資料傳輸。 在此情況下，資料匯出者有權終止合約，只要合約涉及根據本條款處理個人資料。 如合約涉及兩方以上者，資料匯出者僅得就相關當事人行使本終止權利，但當事人另有約定者，不在此限。 如依本條款終止本合約，應適用第 16（d） 條及第 （e） 條。

第 15 條 - 資訊匯入者在公共機構存取資料時的義務

15.1 通知

a） 資料匯入者同意在下列情況下立即通知資料匯出者，並在可能的情況下，立即通知資料當事人 （如有必要，在資料匯出者的協助下）：

（i） 根據目的地國家法律，收到來自公共機構，包括司法機構，具有法律約束力的要求，以披露根據本條款傳輸的個人資料；該通知應包括有關所請求的個人資料、請求機構、該要求的法律依據以及所提供的回應的資訊；或

（ii） 知悉公共機構根據本條款根據目的地國法律直接存取傳輸的個人資料；該通知應包括進口商可獲得的所有資訊。

b） 若資料匯入者依目的地國家/地區法律禁止通知資料匯出者及/或資料當事人，則資料匯入者同意盡最大努力，盡快取得該禁令之拋棄，並盡可能多地傳達資訊。 資料匯入者同意記錄其最佳努力，以便能應資料匯出者要求加以證明。

c） 在目的地國家/地區的法律允許的情況下，資料匯入者同意在合約期間定期向資料匯出者提供盡可能多的接收請求相關資訊（特別是請求數量、請求的資料類型、請求授權、請求是否受到挑戰以及此類挑戰的結果等）。

d） 資料匯入者同意於合約期間依第 （a） 至 （c） 款保留資訊，並應要求提供給主管機關。

e） 第 （a） 至 （c） 款在資料匯入者無法遵守本條款時，並未損害資料匯入者依據第 14（e） 條和第 16 條所應盡之義務。

15.2 審查合法性與資料最小化

a） 資料匯入者同意審查揭露請求之合法性，特別是是否仍屬於向請求之公共機關授予之權力範圍內，且若經仔細評估後，認定有合理理由認為該請求依據目的地國家法律、國際法之適用義務及國際商業原則為非法，則得質疑該請求。 資料匯入者應在相同條件下尋求上訴的可能性。 在質疑要求時，資料匯入者應尋求臨時措施，以暫停要求的影響，直到主管機關決定其價值為止。 在根據適用程序規則要求之前，不得揭露所要求的個人資料。 這些要件不會影響資料匯入者依第 14（e） 條所規定之義務。

b） 資料匯入者同意記錄其法律評估以及對揭露要求的任何挑戰，並在目的地國家法律許可的範圍內，向資料匯出者提供文件。 並應主管機關要求提供。

c） 資料匯入者同意根據對要求的合理解釋，在回應揭露要求時提供允許的最低限度資訊。

第 IV 節 - 最終條款

第 16 條 - 不遵守條款及終止

a） 若資料匯入者因任何理由無法遵守本條款，資料匯入者應立即通知資料匯出者。

b） 若資料匯入者違反本條款或無法遵守本條款，資料匯出者應暫停將個人資料移轉予資料匯入者，直到再次確認其合規性或合約終止為止。 這不會影響第 14（f） 條。

c） 資料匯出者有權終止合約，只要其涉及根據本條款處理個人資料的情況：

（i） 資料匯出者已依據第 （b） 段暫停向資料匯入者傳輸個人資料，且未能在合理時間內及在任何情況下於暫停後一個月內恢復對本條款之遵守；

（ii） 資料匯入者嚴重或持續違反本條款；或

（iii） 資料匯入者未能遵守管轄法院或監管機關就本條款所訂義務所做出之具約束力之決定。

d） 根據第 （c） 段，在合約終止前已轉移的個人資料，應依資料匯出者之選擇立即歸還資料匯出者，或將其全部刪除。 任何資料副本亦同。 資料匯入者應向資料匯出者證明刪除資料。 在刪除或歸還資料之前，資料匯入者應繼續確保遵守本條款。 若當地法律適用於資料匯入者禁止歸還或刪除所傳輸的個人資料，資料匯入者保證其將繼續確保遵守本條款，並僅在當地法律要求的範圍內和期限內處理資料。

e） 任一方當事人得撤銷其對受本條款拘束之同意，惟 （i） 歐盟執行委員會依據 （EU） 2016/679 條例第 45（3） 條所為之決定，涵蓋適用本條款之個人資料移轉；或 （ii） （EU） 2016/679 條例成為個人資料移轉國家法律架構之一部分。 這不會影響根據法規 （EU） 2016/679 適用於相關處理的其他義務。

第 17 條 - 準據法

本條款應受歐盟成員國之一的法律管轄，前提是該法律允許第三方受益人權利。 雙方同意這是愛爾蘭共和國的法律。

第 18 條 - 法庭及管轄區之選擇

a） 因本條款而產生的任何爭議應由歐盟成員國的法院解決。

b） 雙方同意，這些應為愛爾蘭都柏林的法院。

c） 資料當事人亦得在其慣常居住地所在成員國法院，針對資料匯出者及/或資料匯入者提起法律訴訟。

d） 雙方同意服從該等法院的管轄權。

附錄

說明附註：

必須能夠清楚區分各轉移或轉移類別的適用資訊，並據此確定各方作為資料匯出者（們）和/或資料匯入者（們）的各自角色。 這不一定需要為每個轉移/類別轉移和/或合約關係完成和簽署單獨的附錄，其中可透過一個附錄實現此透明度。 然而，若為了確保充分明確而有必要，應使用單獨的附錄。

附錄 I

A. 當事人清單

資料匯出者（們）：

名稱：適用訂單中規定的實體。

地址：適用訂單中規定的實體地址。

聯絡人姓名、職位和詳細聯絡資料：如適用訂單所述。

與依本條款移轉之資料相關的活動：請參閱附表 1。

資料匯入者 （Data Importer）： 

名稱： Claroty Ltd. 代表其本身及其關係企業

地址： 82 Yigal Alon St， Tel Aviv-Yafo， Israel

聯絡人姓名、職位及聯絡詳情：總法律顧問 Seth Gerson， legal@claroty.com

與根據本條款移轉之資料相關的活動：處理附表 1 中所述之活動。

角色（控制器/處理器）：資料處理者

B. 轉讓說明

個人資料傳輸之資料主體類別

請參閱附表 1

傳輸的個人資料類別

請參閱附表 1

傳輸敏感資料（如適用），以及完全考量資料性質和相關風險的適用限制或保護措施，例如：嚴格目的限制、存取限制（包括僅針對遵循專業訓練的員工存取）、保留資料存取記錄、後續傳輸限制或其他安全措施。

請參閱附表 1

傳輸頻率（例如資料是一次性還是連續傳輸）。

請參閱附表 1

處理性質

請參閱附表 1

資料傳輸和進一步處理的目的（們）

請參閱附表 1

個人資料的保留期，或者，如果無法保留，則用於確定該期的標準

請參閱附表 1

對於傳送至 （子） 處理器，也請指定處理的主題、性質和持續時間

請參閱附表 2 和 DPA。

C. 勝任主管職權
依據第 13 條確定勝任主管職權。

附錄 II

技術和組織措施，包括確保資料安全性的技術和組織措施

說明附註：

技術和組織措施必須以特定 （而非一般） 詞彙描述。 另請參閱附錄第一頁的一般意見，特別是需要明確指出適用於每次轉帳/轉帳組合的措施。

 請參閱安全文件。

附錄 III

次級處理者清單

說明附註：

如子處理者（第 9（a） 條，選項 1）有特定授權，則必須填寫本附錄。

控制器已授權使用下列子處理器： 請參閱排程 2。

【i】 如果資料匯出者是受法規 （EU） 2016/679 規範的處理者，代表工會機構或機構擔任控制者， 在聘用不受歐盟 （EU） 2016/679 條例約束的其他處理者（輔助處理）時，亦確保遵守歐洲議會和歐盟   23 2018年10月 理事會第 2018/1725 條例 （EU） 29（4） 第 105 條規定，保護歐盟機構處理個人資料的自然人， 身體、 辦公室和機構以及此類資料的自由移動， 並廢除條例 （EC） No 45/2001 和決策 No 1247/2002/EC （OJ L 295， 21.11.2018、 第  39 頁）， 本條款及控制者與處理者根據法規 （EU） 第   2018/1725 條第 29（3） 條所訂之合約或其他法律行為所訂之資料保護義務應予一致。 尤其是在控制者和處理者依賴決策 2021/915 中包含的標準合約條款的情況下。

【i】 歐洲經濟區協議（EEA 協議）規定歐盟內部市場擴展至三個 EEA 州：冰島、列支敦斯登和挪威。 包括法規 （EU） 2016/679 在內的歐盟資料保護法規受 EEA 協議規範，並已納入附錄 XI。 因此，資料匯入者向位於歐洲經濟區的第三方揭露的任何資訊，並不符合本條款的後續轉讓資格。

【i】 此要求可由根據第 7 條遵守適當模組下本條款的輔助處理者滿足。

【i】 就該等法律及慣例對遵守本條款的影響而言，在整體評估中，可能會考慮不同的要素。 此類要素可能包括先前向公共機構提出的揭露請求，或沒有此類請求，涵蓋充分代表性時限的相關和有文件記錄的實際經驗。 這尤其指內部記錄或其他文件，根據盡職調查連續編撰，並在高級管理層認證，前提是該資訊可以合法地與第三方分享。 若仰賴此實務經驗得出資料匯入者無法遵守本條款的結論，則需要其他相關、客觀要素的支持，且各方應仔細考量這些要素是否共同具有足夠的權重，在可靠性和代表性方面，以支持此結論。 尤其是，各方必須考慮其實際經驗是否證實，且不得與可公開取得或以其他方式取得、且可靠的資訊相抵觸，即同一行業內是否存在請求和/或法律實務應用，例如個案法和獨立監督機構的報告。