数据处理协议

本数据处理协议（“协议”）签约双方为 Siemens Product Lifecycle Management Software Inc.，也被称为 Si emens Industry Software（以下简称“SISW”），以及签名接受本协议条款及条件的客户（“客户”）。 SISW 保留通过其关联公司行使其在本协议下的任何权利并履行其在本协议下任何义务的权利。因此，本协议下所用“SISW” 一词还可指由 Siemens Product Lifecycle Management Software Inc. 最终母公司直接或间接拥有或控制的关联公司，以及经 Siemens Product Lifecycle Management Software Inc. 授权发行 SISW 云服务（“云服务”）的个体。

客户应全权负责确定受处理影响的数据和个体类型，并应确保此类云服务方式处理的合法性。客户也应负责利用云服务所提供之功能对个人数据进行任何更正、删除或拦截。客户可利用云服务所提供之功能导出并删除其数据，包括个人数据。在本数据处理协议终止后，客户应于 30 日内向 SISW 发送书面请求，要求客户数据可供客户下载。在 SISW 所规定的用于响应此类请求的任何期限期满后，客户的任何剩余数据将可予以删除，将不再提供给客户。 SISW 和客户同意，在云服务范围内，客户发布指令的权利仅可通过利用云服务所提供之功能予以行使。对于客户数据的附加指令，则要求 SISW 和客户签订一份独立的书面协议，包括一份有关客户执行此类指示所需支付任何额外费用的协议。客户承诺，其将不会向云服务上传或于其中存储任何受保护的健康信息 (PHI)，除非 SI SW 和客户已签订一份独立的书面协议，明确允许将 PHI 存储于云服务中。

在提供云服务时，就运行系统而言，SISW 应遵守本数据处理协议附件 A 下附录 2 中所规定的技术和组织措施。与云服务相关的非运行系统可能会或可能不会遵守本数据处理协议附件 A 下附录 2 中所规定的技术和组织措施。此外，SISW 可不时变更运行系统适用的技术和组织措施，前提是此类变更不会以任何重大方式对此类措施的保护级别产生不利影响。 SISW 将限制其人员在未经授权的情况下收集、处理或使用个人数据，并将仅雇用经明确指示遵守数据隐私保护要求的人员处理客户个人数据。

SISW 有权在云服务执行过程中雇佣辅助处理方。如果辅助处理方对客户个人数据的访问无法予以拒绝，经客户要求，SISW 将提供有关此类辅助处理方和其各自所在地的列表，并于任何新辅助处理方获授权访问客户个人数据前，按照规定对此类列表进行更新。如果客户对任何新辅助处理方提出合理异议，客户应将此类异议告知 SISW，且如果 SISW 坚持雇佣新辅助处理方，客户应有权以正当理由终止本数据处理协议。如果任何此类辅助处理方的雇佣涉及个人数据的跨境传输，SISW 将尽力敦促此类辅助处理方就此类个人数据维持适当的数据保护水平。

SISW 将定期核验适用的技术和组织措施是否予以遵守，并在经客户合理要求时，向其确认适用的技术和组织措施已得到遵守。如果客户有理由相信 SISW 所作确认有误，客户应有权经合理的事先通知，与 SISW 协商后安排审核，以确认技术和组织措施是否予以遵守。此类审核的成本和费用应由客户承担。

SISW 和客户同意，针对从欧盟国家至非欧盟国家的客户个人数据的任何数据传输，如果欧盟认为此类非欧盟国家未达到充分的个人数据保护水平，此类传输将按照欧盟标准合约条款执行，相关条款详见附件 A，且已充分纳入本协议下。如果本数据处理协议和标准合约条款存在冲突，则以标准合约条款为准。标准合约条款将受数据输出方（定义见附件 A）所在欧盟成员国法律的支配。

附件 A

欧盟标准合约条款

根据《欧盟数据保护指令》(95/46/EC) 第 26(2) 条，就将个人数据传输至位于未能确保充分数据保护水平的第三方国家/地区的处理方，

以下双方

客户和/或其欧盟境内的关联公司

（以下简称“数据输出方”）

以及

Siemens Product Lifecycle Management Software Inc.，也称为 Siemens Industry Software，包括由 Siemens Product Lifecycle Management Software Inc. 最终母公司直接或间接拥有或控制的任何关联公司，以及经 Siem ens Product Lifecycle Management Software Inc. 授权可以其名义处理数据的个体，

（以下简称“数据输入方”）

单称为“一方”，合称为“双方”，

已达成下述合约条款（“合约条款”），以就附录 1 下所述由数据输出方至数据输入方的个人数据传输，针对个

人隐私和基本权利和自由的保护实施充分保障。

第 1 条定义

根据合约条款规定：

(a)“个人资料”、“特殊的数据类型”、“处理/处理中”、“控制方”、“处理方”、“数据主体”及“监

管当局”应具有欧洲议会和理事会于 1995 年 10 月 24 日颁布的有关个人数据处理相关个体的保护和

此类数据自由传输的《欧盟数据保护指令》(95/46/EC) 下所载列的相同含义；

(b)“数据输出方”指传输个人数据的控制方；

(c)“数据输入方”指同意从数据输出方处接收按照数据输出方指示及本合约条款下规定进行传输后，以数据

输出方的名义予以处理的个人数据的处理方，且其不受制于可确保《欧盟数据保护指令》(95/46/EC)

第 25(1) 条下所定义范围内充分保护的第三方国家/地区系统；

(d)“辅助处理方”指由数据输入方或其任何其他辅助处理方雇佣的任何处理方，其同意从数据输入方或其任

何其他辅助处理方处接收个人数据，此类数据在按照数据输出方指示、本合约条款及书面分包合同条款

进行传输后，仅计划用于以数据输出方的名义执行的处理活动；

(e)“适用的数据保护法”指就适用于数据输出方所在成员国的数据控制方的个人数据的处理而言，旨在保护

个人基本权利和自由（尤其是隐私权）的法律；

(f)“技术和组织安全措施”指旨在保护个人数据以防意外或非法破坏或意外丢失、变更、擅自披露或访问的

措施，尤其适用涉及网络数据传输的处理，以及抵制所有其他非法的处理形式。