合作夥伴資料保護附錄

此合作夥伴資料保護附錄（」DPA」) 是合作夥伴計劃協議的一部分（」協議」）並列出有關處理個人數據的附加條款。大寫字詞具有本文件下一節或協議其他地方所定義的含義。如果本 DPA 的條款與本協議的任何其他條款之間存在衝突，則本 DPA 將以本 DPA 為準。在本 DPA 的目的下，「提供者」指合作夥伴。

• (a)「適用的資料保護法」 指有關根據協議處理個人數據的所有適用法律，包括但不限於 (i) 對源自位於歐洲經濟區內的授權實體的個人數據，《一般資料保護規例》（EU）2016/679（」GDPR」），以及 (ii) 對於源自英國境內的授權實體的個人資料，適用於英國 GDPR 和 2018 年英國資料保護法。
• (b)「授權實體」 指任何實體（包括西門子及其集團公司）擔任 Controller，並根據本協議有權直接或間接訪問或使用服務。
• (c)「控制器」 指單獨或與他人共同決定處理個人數據的目的和方法的自然或法人。
• (d)「具備足夠性決定的國家」 指任何歐盟委員會決定該國家確保該國家確保足夠水平的數據保護，而對源自英國的個人數據，即任何根據《2018 年資料保護法》第 17A 或 74A 條訂立了英國充足法規的任何國家/地區。
• (e)「資料外洩」指任何違反安全性 (i) 導致意外或非法破壞、丟失、更改、未經授權披露或訪問傳送、儲存或以其他方式處理的個人資料，或 (ii) 要求根據適用法律向任何第三方通知此類事件。
• (f)「歐洲經濟區」 意味著歐洲經濟區。
• (g)「歐盟標準合約條款」 指標準合約條款（歐盟）2021/914。
• (h)「原產地」 指歐洲經濟區、英國、瑞士和每個國家具有與第 45 條及以下條所載相似的足夠性要求。GDPR。
• (i)「個人資料」 指與已識別或可識別的自然人有關的任何資料；可識別的自然人是可直接或間接識別的人，特別是參考識別碼，例如姓名、識別號碼、位置資料、網上識別碼或該自然人的身體、生理、遺傳、心理、經濟、文化或社會身份的一個或多個因素。
• (j)「處理」 （及其他形式，例如處理、處理、處理）是指針對個人資料或一組個人資料執行的任何操作或一組作業，無論是否以自動方式進行，例如收集、記錄、組織、構建、儲存、調整或修改、擷取、諮詢、使用、透過傳輸、發佈或其他方式提供、調整或組合、限制、刪除或銷毀。
• (k)「處理器」 指代 Controller 處理個人資料的自然或法人、公共機構、機構或任何其他機構。
• (l)「處理器具約束力的公司規則」 指已獲有關監管機關批准的處理商的具約束力的公司規則。
• (m)「受限的個人資料」 指源自位於原始區域內的授權實體的任何個人資料。
• (n)「限制轉移」 指供應商或其任何子處理商在相關產地以外的受限個人資料處理（包括轉移、國際訪問和繼續轉移）的任何處理（包括轉移、國際訪問和繼續轉移）。
• (o)「服務」 指由供應商在本 DPA 的意義下擔任處理者的角色提供的本協議下提供的服務。
• (p)「標準合約條款」 指歐盟標準合約條款和英國標準合同條款。
• (q)「子處理器」 指任何進一步從事本服務執行的處理器。
• (r)「轉讓保障措施」 指適用資料保護法規要求適當的保護措施，包括但不限於 GDPR 第 46 條所要求的適當保護措施。
• (s)「英國 GDPR」 指根據英國《2018 年歐洲聯盟（退出）法案》第 3 條，整合到英國法律中的 GDPR。
• (t)「英國標準合約條款」 指英國資訊專員辦公室 (ICO) 根據英國 GDPR 第 46 (2) 條不時採用的標準資料保護條款，包括但不限於國際數據傳輸協議（英國 IDTA），以及由 ICO 歐盟委員會標準合約條款的國際數據傳輸附錄修訂的歐盟標準合同條款（」英國附錄」)。[1]

1 請參閱 https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/。

當事人須遵守適用的資料保護法，適用於其適用的資料保護法，並按照本文規定。在提供服務時，提供商特別應遵守適用資料保護法的有關處理者身分處理個人資料的規定。

供應商只得 (a) 按照本 DPA 和協議的條款處理個人資料；或 (b) 根據西門子提供的其他文件指示處理個人資料。除非本 DPA 允許，否則供應商不得為其自己的目的處理個人資料或將其轉移給第三方。如果供應商認為，西門子的指示違反適用資料保護法，應立即通知西門子。

提供者提供的處理作業的詳細資料-特別是處理的主體、處理的性質和目的、處理的個人資料類別以及受影響的資料主體類別-載於 附件一 到此 DPA。

考慮到最新技術、執行成本以及處理的性質、範圍、背景和目的，以及對自然人的權利和自由的可能性和嚴重程度不同的風險，供應商應採取適當的技術和組織措施，以確保符合風險的安全程度，包括但不限於適當的情況：(a) 個人資料的偽名和加密；(b) 確保能力持續的保密性，完整性，可用性和彈性處理系統和服務；(c) 能夠在發生實體或技術事件時及時恢復個人資料的可用性和存取；(d) 定期測試、評估和評估技術和組織措施的有效性，以確保處理的安全性。在不影響上一句的一般性的情況下，供應商必須始終至少執行以下所述的技術和組織措施。 附件二到此 DPA。

1 請參閱 https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/。

供應商應根據需要知道的基礎限制其人員訪問個人資料。供應商應向其人員提供有關資料保護的適用法定和合約條款的詳細通知。供應商應負責其人員遵守該等條款，特別是保密個人資料，並且不會根據西門子的指示以外處理個人資料。保密義務將繼續在本協議屆滿以及人員與提供商的合約關係後繼續適用。供應商將根據要求提供該義務的證明。

• (一) 供應商擁有西門子委託子處理器的一般授權。目前由供應商委託的子處理器清單包含在 附件三 到此 DPA。
• (b) 提供商須於至少 30 天前以書面形式通過新增或更換子處理器進行該清單的任何預期變更，明確地通知西門子。供應商須提供西門子所需的資料，以使西門子行使反對權利。如果西門子在此 30 天內沒有反對，則這將視為新的子處理器的批准。如果西門子提出反對，供應商在授權分處理器訪問個人資料之前，將採取合理的努力解決西門子表示的疑慮和保留，並 (i) 不使用子處理器；或 (ii) 向西門子建議西門子對服務或西門子的配置或使用服務進行合理更改，以避免受反對的新子處理器處理個人資料。如供應商無法消除西門子反對的理由，西門子有權終止受影響的服務，而不受任何損害或罰款。如果西門子終止，供應商將按比例退還適用服務的任何預付款項。
• (c) 如果供應商聘請分處理器進行特定處理器（代表西門子和/或授權實體）進行特定的處理活動，該處理商應通過書面合同，其實上規定與本 DPA 約束供應商的資料保護義務相同的資料保護義務。
• (d) 供應商應根據西門子的要求，向西門子提供該等分處理商合約的副本及任何後續修訂。在保護商業秘密或其他機密信息（包括個人資料）必要的範圍內，供應商可在共享副本之前編輯合約的文本。
• (e) 供應商應充分及定期審核子處理商是否符合這些要求，並記錄該等稽核結果。
• (f) 供應商應對西門子對於履行其與供應商的合約下的責任，承擔全部責任。提供商應通知西門子如有任何子處理器未履行該合約所承擔的義務。

如有限制轉移給供應商，供應商應確保該等受限制轉移受本文所述的適當轉移保障範圍 第九節 和 附件三 到此 DPA。

• (一) 標準合約條款。如果轉移保障基於標準合約條款，則適用以下條款：
  • 歐洲經濟區-提供者。如果供應商位於歐洲經濟區內，則供應商應與其分處理商簽訂標準合約條款（單元 3）。 第 9 (a) (vii) 條 （「適用法」）， 九 (a) (八) （「論壇和管轄權的選擇」）， 九 (a) (九) (b) (「英國附錄第 1 部分」)，以及 第 9 (a) (x) 條第二句 如果提供商位於歐洲經濟區，本 DPA 的（「其他國家的授權實體」）不適用。
  • 非歐洲經濟區提供商。如果供應商位於歐洲經濟區以外，限制轉讓應受標準合約條款的單元 2 和 3 管轄。標準合約條款中包含的相關條文以參考方式整合，是本 DPA 的不可或缺的一部分。標準合約條款附件所需的資料載於 附件一至三到此 DPA。
  • 對接條款。標準合約條款第 7 條所提出的選項不適用。
  • 進一步轉移。任何進一步轉讓必須遵守標準合約條款適用單元第 8 及 9 條。如果西門子位於歐洲經濟區以外，並根據與授權實體的標準合同條款作為數據進口商，則標準合約條款第 9 (e) 條規定的第三方受益條款將有利於該授權實體。
  • 子處理器的使用. 標準合約條款第 9 條下的選項 2 適用。就標準合約條款第 9 (a) 條而言，供應商獲西門子的一般授權，根據以下條款聘用分處理器 第八節 此 DPA 的。
  • 補償。如提供者提供資料當事人選擇向獨立爭議解決機構提出投訴（請參閱標準合約條款第 11 條中的選項），供應商應以書面通知 Siemens 負責仲裁機構的情況，並遵守標準合約條款第 11 條所載的適用要求和適用仲裁規則。
  • 適用法。針對標準合約條款第 17 條的適用法律，應該是本協議的適用法律部分中指定的法律。如果協議不受歐盟成員國法律管轄，歐盟標準合同條款將受德國法律管轄。
  • 論壇及司法管轄權的選擇。根據標準合約條款第 18 條所指定的法院，應是本協議會場地部分指定的法院。如果協議未指定歐盟成員國法院具有獨家司法管轄權解決因協議或與協議有關的任何爭議或訴訟，當事人同意德國法院將具有解決歐盟標準合約條款引起的任何爭議的專屬管轄權。
  • 英國授權實體。如果受限制轉移來自位於英國的授權實體，則適用以下條件：
    • 英國附錄。除非西門子另有書面同意，否則應使用英國附錄。
    • 英國附錄第 1 部。英國附錄第 1 部適用如下：
      1. 表一：各方的詳細信息和主要聯繫信息包含在 附件一 到此 DPA。
      2. 表二：英國附錄附加的已獲批准的歐盟 SCC 版本（由英國附錄定義）是歐盟標準合同條款，其中包括上面選擇的模塊和條款。 第 9 (a) 條 此 DPA 的。從進口商收到的任何個人數據不會與出口商收集的個人數據結合。
      3. 表三: 英國附錄表 3 所要求的附錄資料載於 附件一至三 到此 DPA。
      4. 表四：當核准附錄（如英國附錄中定義）更改時，任何一方都不得終止英國附錄。
  • 其他國家/地區的授權實體。如果標準合約條款保護位於歐洲經濟區和英國以外的授權實體（例如瑞士）的限制轉移，(1) 標準合約條款中對 GDPR 或歐盟或成員國法律的一般和具體參考，應與授權實體所在國家的適用資料保護法中的相同參考文獻相同的含義；（2）對「主管主管機關」的引用將被解釋為引用的相同意義資料保護這個國家的權威。適用法律、論壇的選擇和司法管轄權須受以下規管 第 9 (a) (vii) 條 和 (八) 本 DPA 的情況下，除非適用於相關授權實體的法律另有規定，否則標準合同條款應受授權實體所在國家的法律管轄，任何對有關「法院」的提述均應解釋為該國家的有關法院的提述。
• 處理器綁定企業規則。如果轉移保障基於處理器具有約束力的企業規則，則適用以下條件：供應商應以合約約束該子處理器，以遵守《處理商約束力的企業規則》，就根據本 DPA 處理的個人資料而遵守《處理商約束力的企業規則》。
• 其他轉移保護措施。如果轉移保障措施不是基於標準合約條款，則標準合約條款第 14 和 15 條將 mutatis-mutandis 適用於該等其他轉移保障下的限制轉移，除非相關的轉移保障內容內含有相同的權利和義務，以及 (ii) 標準合約條款第 14 和 15 條所載的公共機關訪問義務相同的權利和義務。
• 其他。供應商同意並明白當地的適用資料保護法可能包含與本文所載的類似或額外的傳輸限制 第九節。在這種情況下，供應商同意採取合理的努力，並誠意與西門子合作以滿足這些要求。

供應商應合理協助西門子確保遵守適用資料保護法，特別是協助西門子如下：

• (一) 更正、刪除或限制處理。 供應商應 (i) 提供通過服務的功能更正、刪除或限制個人資料的處理能力，或 (ii) 根據西門子指示修正、刪除或限制個人資料的處理。
• (b) 查閱個人資料。在無法透過本服務取得與資料當事人相關的資訊的範圍內，供應商將根據需要使西門子和授權實體履行其適用資料保護法規下的義務，提供協助將該等資訊提供給西門子及/或授權實體。
• (c) 資料主體和機關要求。供應商應立即通知西門子：(i) 執法機構、政府或監管機構或機構所收到的任何要求或投訴，或任何調查通知；以及 (ii) 從任何資料當事人直接收到有關其個人資料的任何要求。就上述 (i) 及 (ii) 項而言，供應商不得在沒有西門子的指示下作出回應。如有指示，供應商應合理支持西門子回應該等要求。
• (d) 資料可攜性。根據西門子的要求，並根據適用資料保護法規要求，供應商將 (i) 根據服務的功能提取特定數據主體提取個人資料的能力，或 (ii) 將相關數據集合提供給西門子和/或相應的授權實體，在每個情況下以結構化、常用和機器可讀的格式。
• (e) 資料保護影響評估。 如果西門子要求，供應商應提供所有信息和合理支持，以根據適用數據保護法進行數據保護影響評估。

在資料處理關係終止後，除非西門子另有指示或本文規定，否則供應商須將所有提供給供應商提供或與合同協議的服務有關提供者提供或產生的所有個人資料予西門子，並且必須不可撤銷刪除或銷毀任何剩餘的數據。該刪除或銷毀應在要求時由供應商以書面確認。

• (一) 如供應商發現或合理懷疑任何資料外洩，供應商應立即通知西門子，但在任何情況下，請於 48 小時內通知西門子。
• (b) 在向西門子的通知中，供應商應向西門子提供以下資料：(i) 可以獲得更多信息的聯絡點的詳細資料，(ii) 違規性質的描述（包括在可能的情況下，有關的數據主體和個人資料記錄的名稱、類別和大致數目）、(iii) 可能的後果以及緩解違規的措施，包括適當的措施它可能的不良影響。如果無法同時提供所有資料的範圍內，初步通知須包含當時可用的資料，並在有關資料獲得之後，隨後不會延遲提供其他資料。
• (c) 此項下的任何通知 第十二節 須向 (i) 聯絡本協議中指定的相應聯絡點，以及 (ii) dataprotection@siemens.com。
• (d) 供應商須負擔供應商的費用，(i) 與西門子完全合作調查資料外洩；(ii) 協助並與西門子協助和合作向受影響人士（個人通訊、媒體通訊或類似措施）、執法機構、監管機構和/或其他第三方的任何法律要求的通知或披露；以及西門子 (iii) 就該等資料外洩及任何爭議採取任何其他行動有關數據洩露的查詢或聲明。
• (e) 除非適用法律或有關監管機構的命令另有規定，否則西門子應自行決定（i）資料洩露是否需要通知，以及 (ii) 通知方式的最終決定。如供應商提供有關數據洩露的通知，則任何該等通知都必須事先得到西門子批准。
• (f) 供應商須承擔其代價採取適當措施來處理資料外洩，包括減輕其不利影響的措施（包括保護營運環境的措施）。供應商亦應立即採取措施，以防止任何資料外洩重複發生，包括適用資料保護法規所要求的任何行動。
• (g) 供應商應向西門子賠償因供應商造成此類資料外洩所產生的所有費用和開支，包括但不限於向受資料外洩影響的個人提供信用監控的費用。根據本協議對供應商的責任限制不適用於這方面。

• (一) 供應商應 (i) 以適當的方式監控其自身遵守本 DPA 和適用資料保護法規下的資料保護義務；(ii) 制定相關的定期（至少年度）和以機會為基礎的報告（每份報告 a」報告」)；及 (iii) 根據要求，將報告提供給西門子及授權機構。如供應商實施的控制標準和框架規定了控制，則該等控制將根據監管機構或認可機構針對每個適用的控制標準或框架進行該等控制。
• (b) 如果需要充分履行其根據適用資料保護法、適用的轉移保護措施下的審計權利和義務，或者如有關資料保護機構或其他主管的政府機構要求，供應商應向西門子和授權機構（除報告外）提供所有合理要求的其他資料，並為西門子或授權機構或其他授權機構進行的審計，包括檢查提供予西門子或其他授權機構進行的審核，並作出貢獻。為此目的，西門子、授權實體或其他由西門子或授權實體委託的核數師亦有權在正常營業時間內進行現場檢查，而不會中斷供應商的業務運作，並在合理事先通知後進行現場檢查。

如果服務使用 cookies 或類似技術，則適用以下條件：除非西門子特別同意，否則供應商應該採用，除非西門子有關此事項的特別同意 第十四節僅儲存資訊（例如，通過編寫 cookie），或存取已儲存在服務用戶終端設備中的資訊（例如，通過 cookie），僅僅僅用於透過電子通訊網路傳輸通訊，或是為了提供者提供服務的核心功能而絕對必要的目的。

供應商了解並同意本 DPA 中的要求是本協議的不可或缺的一部分，如果嚴重違反任何這些要求，將被視為「協議供應商」的重大違反，使西門子獲得本協議中包含的重大違規相關補救措施。

如果及在提供者存取從美國設立的西門子集團公司收到的個人資料（」西門子美國公司」）或是美國居民的資料當事人，此外，提供商除上述以外：(i) 應遵守美國聯邦、州和地方法律，該等個人資料適用於提供商、該等個人資料，以及該等個人資料的擁有者或控制者；在上述條款適用時，本文所使用的「適用資料保護法」一詞應包括上述法律；(ii) 除非本文明確規定本協議，不得出售、分享、租賃、公開、披露、散布或提供個人資料予第三方；並不得將個人資料與其他資料結合；(iii) 如果供應商決定提供商無法再履行本條款下的義務，應通知西門子；(iv) 應確保每個處理個人資料的人對個人資料有保密責任；(v) 將視為「服務提供商」根據適用資料保護法（包括加州消費者隱私法）、其執行規例及其任何修訂）；及 (vii)特此證明了解本文所包含的限制，並將遵守這些限制。

DPA 附件 I（以及標準合約條款）

A. 各方名單

服務收件者/數據輸出器：

提供者/數據導入器：

B. 移轉/加工操作的描述

C. 主管主管機關

如果西門子在歐盟成員國設立，負責確保西門子在數據傳輸方面遵守 GDPR 的監管機關，則負責確保西門子在數據傳輸方面遵守 GDPR 的監管機構。對於德國西門子股份有限公司，監管機構是：

巴伊利斯國家資料保護區 (BayLDA)

18 號海濱長廊

91522 安斯巴赫

德國

如果西門子並非在歐盟成員國設立，但根據 GDPR 第 3 (2) 條屬於 GDPR 的地區適用範圍，則在 GDPR 第 27 (1) 條所指的代表成立的成員國的監管機關應擔當主管機關的主管機關；即：

巴伊利斯國家資料保護區 (BayLDA)

18 號海濱長廊

91522 安斯巴赫

德國

DPA 附件 II（以及標準合同條款（如適用）

技術和組織措施（包括確保數據安全的技術和組織措施）

以下措施只適用於供應商，在基礎資訊科技系統、網路和應用程式均由供應商負責及/或在其託管或控制下。供應商及其子處理器實施的技術和組織安全措施的描述：

DPA 附件 III（以及標準合同條款（如適用）

子處理器和資料中心位置清單

「合作夥伴授權表」列出了

從事個人數據存儲/託管的實體（包括合作夥伴和子處理器），

適用的數據中心位置，

為非存儲/託管目的而處理個人數據的子處理器，

這些由此參考文獻納入此處。

未經西門子同意，供應商不得從相應的資料中心地點傳輸個人資料。所包含的通知和反對機制 第八節 不適用於這方面。