本数据保护附件 (“ DPA ”) 已纳入ZaapIT 的 T&C并成为其一部分，用于管理 ZaapIT 作为处理者代表客户或客户关联方（如适用）对个人数据的处理。除非本 DPA 另有定义，否则大写术语将具有协议中赋予它们的含义。

1. 定义

一般规定。术语“个人数据”、“个人数据泄露”、“流程/处理”、“控制者”、“处理者”、“子处理者”和“数据主体”具有《通用数据保护条例》赋予它们的含义；但此处使用的术语“个人数据”仅适用于 ZaapIT 作为处理者的个人数据。

“ EEA ” 指欧洲经济区。

“通用数据保护条例”或“ GDPR ”是指欧洲议会和理事会于 2016 年 4 月 27 日颁布的关于在个人数据处理和此类数据自由流动方面保护自然人的条例 2016/679。

“处理器隐私代码” 或 “处理器代码” 是指 ZaapIT 的处理器针对处理个人数据的约束性公司规则，其最新版本可在 ZaapIT 的网站上找到，网址为https://www.brosh.io/pagex/zh-cn/Terms-and-Conditions.html 。

2. 数据处理和个人数据保护

2.1数据处理的范围。除非双方另有书面约定，否则个人数据处理的期限与协议期限相同。个人数据处理的主题在协议和本 DPA 中规定。个人数据处理的性质和目的涉及向客户提供服务，如协议和本 DPA 中所述。

2.2 数据处理限制。对于 ZaapIT 或 ZaapIT 关联公司作为代表客户或客户关联公司的处理者或作为客户代表其客户处理此类个人数据的子处理者（或两者兼有）处理的个人数据，ZaapIT 将：(a) 仅在根据协议条款或客户书面指示（包括电子形式）提供服务所需的情况下处理个人数据，并符合协议条款；(b) 不向第三方披露个人数据，但以下情况除外：(i) 向需要了解个人数据且承担的保密义务至少与本 DPA 中规定的保密义务一样严格的员工、服务提供商或顾问披露个人数据，或 (ii) 根据协议条款遵守有效法律程序所需的情况。如果 ZaapIT 有理由相信客户的指示侵犯了 GDPR 或其他 EEA 数据保护条款，则 ZaapIT 将立即通知客户。

2.3 协助客户和监管调查。收到书面请求后，ZaapIT 将向客户提供合理的协助和信息，以履行客户根据 GDPR 可能承担的任何法律义务，包括数据保护影响评估、数据和系统清单以及数据保护机构的相关咨询，或者在任何政府机构进行调查的情况下，如果此类调查涉及 ZaapIT 根据协议处理的个人数据。此类协助费用由客户自行承担，除非由于 ZaapIT 未能按照协议行事而需要进行此类调查。

2.4 从 EEA 传输个人数据。在提供服务时，ZaapIT 可能会将个人数据传输到 ZaapIT 有业务或子处理器的其他国家/地区，或根据适用法律另有要求，从这些国家/地区传输和访问个人数据。ZaapIT 的处理器隐私代码和本第 2.4 节中的附加条款将适用于 ZaapIT 作为数据处理器代表客户处理个人数据以提供服务，其中此类个人数据：(i) 受 GDPR 或其他适用的 EEA 数据保护法关于个人数据出站传输的任何限制，以及 (ii) 由 ZaapIT 在欧洲经济区以外的国家/地区处理。处理器代码的最新版本可在 ZaapIT 的网站上找到，目前位于https://www.brosh.io/pagex/zh-cn/Terms-and-Conditions.html ，处理器代码的条款通过引用纳入本 DPA。本第 2.4 节中使用但未定义的大写术语具有处理器代码中规定的含义。

ZaapIT 将在商业上做出合理的努力，在协议有效期内维持其处理器代码的欧盟授权，并将及时通知客户其处理器代码的欧盟授权的任何后续重大变化。

3. 客户责任。客户承认其有责任正确实施访问和使用控制并配置客户可能选择使用的服务的某些特性和功能，并且其将以客户认为足以维护个人数据的适当安全、保护、删除和备份的方式进行。ZaapIT 有权完全依赖客户或客户关联方有关 ZaapIT 处理的个人数据的指示。客户负责根据本 DPA 协调与 ZaapIT 的所有沟通，包括但不限于代表其关联方进行的与本 DPA 相关的任何沟通。

4. 信息安全。ZaapIT 将采用适当的技术、物理和组织措施保护个人数据，如处理器代码和 ZaapIT 服务提供协议中更详细描述的那样。双方同意，处理器代码和协议规定的审计权利将用于满足客户或代表客户的任何审计或检查请求，并证明 ZaapIT 遵守本 DPA 规定的适用义务。

5. 个人数据泄露。如果 ZaapIT 发现影响个人数据的个人数据泄露，ZaapIT 将立即通知客户。考虑到处理的性质和 ZaapIT 可获得的信息，ZaapIT 将根据客户的要求并由客户承担费用协助客户履行 GDPR 要求的客户关于个人数据泄露的通知义务。

6. 数据隐私联系人。ZaapIT 的数据隐私官可以通过以下电子邮件地址联系：support at BROSH.io

7. 数据主体权利 - 访问、更正、限制和删除。考虑到处理的性质，ZaapIT 的服务提供功能，通过适当的技术和组织措施，在可能的情况下协助客户访问、更正、修改、限制或删除 ZaapIT 应用中包含的个人数据，以处理 GDPR 下数据主体的请求。如果客户在使用服务时不熟悉可用于这些目的的 ZaapIT 功能，ZaapIT 将向客户提供额外的文档或客户支持协助，以教育客户如何以与服务功能一致的方式并根据协议条款采取此类行动。如果 ZaapIT 收到任何数据主体访问、更正、限制或删除个人数据的请求，ZaapIT 将建议该数据主体向客户提交其请求，并且客户将负责使用服务提供的功能响应任何此类请求。

8. 子处理商。ZaapIT 可聘请子处理商提供部分服务，但须遵守协议和本 DPA 的限制。ZaapIT 将确保子处理商仅根据本 DPA 的条款处理个人数据，并确保子处理商受书面协议约束，这些协议要求他们至少提供本 DPA 所要求的数据保护级别。在任命任何新的子处理商之前，ZaapIT 将通过电子邮件或在任何任命之前提供给客户的 ZaapIT 网站 ( https://www.brosh.io/pagex/zh-cn/Security-Policy.html ) 发布通知客户任命情况（包括此类子处理商的名称和位置以及其将执行的活动）。客户可以在 ZaapIT 告知其任命后三十 (30) 天内以书面形式通知 ZaapIT，以反对 ZaapIT 的任命，并且如果在 ZaapIT 收到客户反对意见后三十 (30) 天内，ZaapIT 未能提供商业上合理的替代方案以避免指定的子处理器处理个人数据，则客户可以终止本 DPA 适用的任何 ZaapIT 服务，作为其唯一补救措施。

9. 退回或处置。在本协议因任何原因终止或到期之前，客户可以根据本协议条款检索 ZaapIT 处理的个人数据，并且根据客户向 ZaapIT 提供的书面请求，ZaapIT 将立即退回或删除 ZaapIT 的个人数据，除非适用法律要求存储个人数据。

10.同意适用法律和管辖权：本协议受以色列法律管辖。本协议不受《联合国国际货物销售公约》管辖。因本协议引起的所有争议的专属审判地应为以色列特拉维夫，我们双方均同意不在任何其他审判地提起诉讼。您放弃对该审判地的所有异议，并同意不对这些法院的个人管辖权或审判地提出异议。您同意您不会对 ZaapIT, Inc 或其任何员工或附属公司提起或参与任何集体诉讼。我们双方均同意，我们不会在索赔发生两年后根据本协议提出索赔。