跳至主要内容

協議及條款

政策及準則

商標和知識產權

採購和供應商

資料保護與隱私權

資料處理協議

本資料處理協議(“DPA”)係由客戶與Zendesk, Inc.(“Zendesk”)共同簽訂,每一方為“當事人”,合稱“當事人”。

客戶與Zendesk已簽訂協議,在訂用期間內,根據該協議,客戶得以存取及使用服務。 本DPA已納入本協議並構成本協議的一部分。 如果你希望以電子方式簽署 DPA,請 按一下此處。

1. 各方的全球私隱權義務

  1. 服務資料所有權。 Zendesk對根據本DPA處理之服務資料,不主張任何所有權或利益,且雙方當事人間所擁有之服務資料仍屬客戶之財產。
  2. 個人資料。 雙方同意,個人資料或資料主體的性質、目的、主題、處理持續時間、類別及適用保留期如附錄一所述。
  3. 適用的資料保護法。 Zendesk與客戶同意遵守其相關資料保護法之義務。
  4. Zendesk之義務。 Zendesk同意:

    1. 除非適用法律允許或要求,否則根據客戶的書面指示處理個人資料。 如果Zendesk的處理指示違反適用的資料保護法,Zendesk 將立即通知客戶;

    2. 不出售或分享個人資料;

    3. 確保所有員工和承包商充分瞭解其根據本DPA保護個人資料的責任,並已承諾履行適當的合約或法定保密義務;

    4. 若客戶無法再履行相關資料保護法所規定之義務,應通知客戶,並允許客戶採取合理且適當之步驟,修復未經授權之個人資料處理;

    5. 實施並維護適當的技術和組織措施,旨在保護個人資料免遭意外或非法破壞、遺失、更改、未經授權的披露或存取,同時考慮資料主體私隱權的風險可能性和嚴重性,包括附錄二中的措施;

    6. 除非法律或政府機關禁止,在無不當延誤的情況下於 48小時內通知客戶已確認的個人資料洩露情況;採取適當措施減輕個人資料洩露的原因;並根據適用資料保護法的規定,向客戶提供所有必要資訊;

    7. 合理協助客戶履行回應資料當事人要求之義務,且Zendesk如直接收到來自客戶資料當事人之要求,除非法律禁止,否則應將資料當事人轉介給客戶;以及

    8. 提供商業上合理的資訊及協助,讓客戶能夠依據相關資料保護法之規定,進行任何資料保護影響評估或監管機關諮詢。

  5. 客戶責任 客戶作為資料控制者,決定服務處理哪些個人資料。 客戶應負責評估Zendesk的技術及組織措施,以適合其希望透過使用服務而處理的個人資料類型。

2. 使用子處理器

  1. 子處理者。 客戶提供其對 Zendesk 使用分包商的一般書面授權,條件是:

    1. Zendesk 對其次級處理者在處理個人資料方面的行為或遺漏仍然向客戶負責;並且

    2. 各次處理者同意依據本 DPA 的要求,保護個人資料。

  2. 子處理器政策更新。 Zendesk 將在變更前至少 30 天,將輔助處理者政策更新為任何新指定的輔助處理者。 客戶可以註冊以接收此類更改的電子郵件通知。
  3. 子處理器政策異議。 客戶可以基於與數據保護相關的合理理由反對任何新任命的分處理器。 若客戶反對,其將在更新輔助處理者政策後30天內,透過電子郵件 privacy@zendesk.com書面通知Zendesk。 在此情況下,雙方將真誠地協商,解決客戶的反對意見。 如果雙方在Zendesk收到客戶的反對後60天內無法達成解決方案,Zendesk將自行決定:

    1. 指示分處理器不要處理客戶的個人資料,而DPA將繼續不受影響,或者

    2. 允許客戶終止服務之任何受影響部分,並按比例退還客戶於終止生效日期當日尚未收到之服務受影響部分已預付之訂閱費用。

3. 稽核

  1. 外部核數師。 Zendesk 使用獨立且合格的外部稽核人員,來驗證其資料保護措施的適當性,以及其在本 DPA 中的義務之遵守情況(例如: SOC 2 Type II 或 ISO 27001)。
  2. 稽核報告。 應客戶的書面要求,Zendesk將向客戶提供審核報告,但須遵守協議的保密條款。
  3. 協助。 若Zendesk向其客戶提供之稽核報告或其他文件未合理履行客戶依適用資料保護法所訂之稽核要求,且客戶無法以其他方式取得相關資訊,Zendesk將合理協助客戶。
  4. 稽核。 如果客戶無法通過 Zendesk 在第 3.3 節所提供的協助,履行其於適用數據保護法下的審核義務,並且客戶有權根據適用數據保護法進行審核,客戶可向 privacy@zendesk.com 提供至少 30 天的書面提前通知,要求進行該審核。 此類稽核每年不得多於一次,必須在正常營業時間及合理期間進行,不得干擾 Zendesk 之營運,且只能在 Zendesk 總部或商定之營業辦公室進行。 此類稽核不會涉及存取與其他 Zendesk 客戶有關的任何資料,或以任何可能違反 Zendesk 安全控制或導致 Zendesk 違反其對任何第三方之保密義務的方式存取安全設施或系統。 任何與該等稽核有關之資訊,均為 Zendesk 之機密資訊,且將立即提供予 Zendesk。 客戶需負責其要求的任何審計報告以外的審計相關費用和開支。

4. 國際資料傳輸

  1. 國際資料傳輸。 客戶承認,為履行服務,Zendesk 得遵守適用資料保護法,在全球範圍內處理服務資料係必要的。 如果 Zendesk 將個人資料從原產國傳輸至尚未收到原產國充分性決定的國家,則該等轉移將遵守以下一項或多項適用於所有個人資料的轉移機制,並按以下順序:

    1. 有效的認證機制;

    2. 具有約束力的公司規則;

    3. SCC。

  2. 傳輸機制。 轉移機制、條款選擇和特定國家要求,如適用,詳述並納入附錄三中作為參考。
  3. 資料傳輸評估。 客戶確認,除了依賴轉移機制外,可能還有義務進行數據轉移評估。 Zendesk 將應要求提供此評估的合理協助。
  4. 約束力簽名。 客戶確認簽署此協議即構成對SCCs及地區特定條款中其他簽署要求的具約束力的簽署。

5. 個人資料的歸還和銷毀

應客戶的書面要求,Zendesk將根據協議向客戶提供服務數據以供匯出或下載。 Zendesk 將根據 Zendesk 的服務資料刪除政策刪除服務資料。

6. 創新服務

除第3節(稽核)、附錄二(Zendesk 技術與組織安全措施 – 企業服務)及附錄三、第1節和第2節(具拘束力之企業規則與資料私隱權框架)外,本DPA之所有條款均適用於創新服務。

7. 衝突

除非另有約定,否則本 DPA 之條款將優先於合約中任何牴觸之條款。

8. 定義

本 DPA 中使用的所有術語均具有以下含義。 本數據保護協議如未定義者,術語“銷售”、“分享”、“處理”、“處理”、“處理者”、“控制者”、“資料匯出者”、“資料匯入者”、“資料主體”、“個人資料洩露”(及類似術語)、及“監管機構”,其含義與適用資料保護法相同。 本 DPA 中未另行定義之任何以大寫字母註明之名詞,均如合約中所定義。

“適用的資料保護法” 指與根據本協議各自處理個人資料相關的所有適用於各方的資料保護法律法規。

“稽核報告” 係指企業服務嘅任何此類認證或稽核報告嘅機密摘要。

「具約束力的企業規則」指 (a) 適用於受一般資料保護規範規管的個人資料轉移的歐盟具約束力的企業規則-處理者,或 (b) 適用於英國個人資料轉移的英國具約束力的企業規則-處理者。

“Bug Bounty Program” 係指位於 https://support.zendesk.com/hc/en-us/articles/115002853607-Zendesk-Bug-Bounty-Program 之條款。

業務恢復網頁 https://support.zendesk.com/hc/en-us/articles/360022191434-Business-Continuity-and-Disaster-recovery

“個人資料”指與服務資料中包含的已識別或可識別的自然人直接或間接相關的任何個人資料。

“狀態網頁” https://status.zendesk.com/

“SCC” 表示由監管機構批准為轉移機制的標準合約條款。

“輔助處理者” 係指 Zendesk 聘用且根據客戶指示(由 Zendesk 傳達)以及其與 Zendesk 的書面分包合約條款接收和處理服務資料的任何第三方資料處理者,如輔助處理者政策所列。

「子處理者政策」指以下網址所載政策:https://support.zendesk.com/hc/en-us/articles/4408883061530-Sub-processor-Policy

「傳輸機制」 指管理附件 III 中所述個人資料國際處理的框架。

附錄一

處理詳情

資料輸出者: 客戶

聯絡詳情: 在 DPA 簽名欄中提供。

資料輸出者角色: 客戶是控制者(就Zendesk而言)

數據匯入工具: Zendesk, Inc.

聯絡詳情: 在 DPA 簽名區塊中提供

資料接收者角色: Zendesk 是處理器

  1. 處理的性質和目的: Zendesk將根據協議中指定的內容及由客戶決定的目的處理個人資料。
  2. 處理活動: 處理活動將包括根據客戶以程式方式或在協議中具體指示的託管和處理個人資料。
  3. 處理和保留期間: Zendesk 將在訂閱期間持續處理和保留個人資料。 Zendesk 根據 Zendesk 服務資料刪除政策刪除個人資料。
  4. 資料當事人: 客戶可全權酌情向服務提交個人資料,這些資料可能包括但不限於:員工(包括承包商和臨時員工)、員工的親屬、客戶、潛在客戶、服務供應商、業務夥伴、供應商、最終用戶、客戶的顧問(所有這些都是自然人)以及任何經客戶授權使用服務的自然人。
  5. 個人資料類別: 客戶可以全權酌情使用服務來處理任何類別的個人資料,這可能包括但不限於以下類別的個人資料:名字和姓氏、電郵地址、職稱、職位、僱主、聯絡資訊(公司、電郵、電話號碼、實體地址)、出生日期、性別、通訊(電話錄音、語音信箱、元數據)及顧客服務資訊。
  6. 特殊資料類別(如適用): 在適用的數據保護法下需要特殊處理的敏感數據類別可能會在客戶的酌情決定下被納入個人數據。

附錄二

Zendesk 技術和組織安全措施 – 企業服務

保護企業服務服務資料的技術及組織措施載於 Zendesk 的企業安全措施中。

Zendesk 保留不時更新其安全性計畫的權利;然而,任何更新將不會大幅降低本附錄 II 的整體保護。

  1. 資訊安全計劃及團隊: Zendesk 安全計畫包括行政、技術、實體和組織保護措施的書面政策和標準,這些政策和標準管轄根據適用法律對服務資料的處理。 安全計畫旨在保護服務資料的機密性和完整性,適合處理資料主體的性質、範圍、背景和目的,以及處理資料時涉及的風險。 Zendesk 擁有一支遍布全球的安全團隊,全天候待命,以回應安全警報和事件。
  2. 安全認證: Zendesk 持有獨立第三方稽核人員的下列安全相關認證: SOC 2 Type II、ISO 27001:2013 或 ISO 27018:2014。
  3. 實體存取控制: Zendesk 採取合理措施,例如保全人員和保全建築物,以防止未經授權的人員取得服務資料的實體存取權,並驗證代表 Zendesk 經營資料中心的第三方是否遵守此類控制措施。
  4. 系統存取控制: Zendesk 採取合理措施,防止未經授權使用服務資料。 這些控制措施會因應所進行處理的性質而有所不同,並可能包括(在其他控制措施中)透過密碼和/或雙重認證進行身份驗證、記錄的授權流程、記錄的變革管理流程和/或多層次的訪問記錄。
  5. 資料存取控制: Zendesk 會採取合理措施,確保服務資料僅可由適當授權的人員存取及管理,直接資料庫查詢存取受到限制,並建立及執行應用程式存取權利,以確保有權使用資料處理系統的人員,只能存取其有權存取的服務資料;以及,在處理過程中,未經授權不得讀取、複製、修改或移除服務資料。
  6. 傳輸控制: Zendesk 採取合理措施,確保能夠透過資料傳輸設施檢查和建立哪些實體傳輸服務資料,因此在電子傳輸或運輸過程中,未經授權,不得讀取、複製、修改或移除服務資料。 Service Data 在透過行業標準 HTTPS/TLS (TLS 1.2 或更高版本) 與 Zendesk 用戶介面 (UIs) 和應用程式介面 (應用程式介面) 通訊時,會在公共網絡上進行加密傳輸。 傳輸中加密的例外情況可能包括不支援加密的任何第三方產品,資料控制者可選擇透過企業服務與之連結。 服務資料在靜止狀態下由 Zendesk 的輔助處理者和管理服務供應商 Amazon Web Services Inc. 透過 AES-256 加密。
  7. 輸入控制: Zendesk 會採取合理措施,以提供檢查及確定服務資料是否已被輸入資料處理系統、修改或移除的能力,以及任何服務資料傳輸給第三方服務供應商是否透過安全傳輸進行。
  8. 邏輯分隔: 來自不同 Zendesk 客戶環境的資料在由 Zendesk 管理的系統上進行邏輯隔離,以確保不同控制器所收集的服務資料彼此隔離。
  9. 無後門: Zendesk 並未在服務中建立任何後門程式或其他方法,以允許政府當局規避其安全措施,以取得服務資料的存取權。
  10. 資料中心架構與安全性: Zendesk 主要將服務資料託管於已通過 ISO 27001、PCI DSS 服務提供者層級 1 以及/或者 SOC2 認證的 AWS 資料中心。 AWS 基建服務包括備用電源、HVAC 系統及滅火設備,以幫助保護伺服器並最終保護客戶的資料。 AWS 現場安全包括多種功能,例如保安、圍欄、安全反饋、入侵偵測技術及其他安全措施。 如需 AWS 控制項的詳細資訊,請參閱: https://aws.amazon.com/security
  11. 網絡架構與安全性: Zendesk 系統根據功能、資訊分類及風險置於與其安全性相當的區域。 Zendesk 的網路安全架構由多個區域組成,在 Zendesk 最信任的區域中,擁有更敏感的系統,例如資料庫伺服器。 根據不同區域,將適用額外的安全監控及門禁。 在互聯網和不同信任區內部之間均使用 DMZ。 Zendesk 的網絡透過使用關鍵的 AWS 安全服務、定期審計,以及監控和/或阻止已知惡意流量和網絡攻擊的網絡情報技術來保護。 除了 Zendesk 廣泛的內部掃描和測試計畫外,Zendesk 還利用網路安全掃描來快速識別潛在易受攻擊的系統。 Zendesk 亦參與了多項威脅情報分享計劃,以監控發佈到這些威脅情報網絡中的威脅,並根據風險來採取行動。 Zendesk 有多層式的 DDoS 緩解方法,利用網路邊緣防禦以及擴展和保護工具。
  12. 測試、監控和記錄: 每年,Zendesk 都會聘請第三方安全專家對 Zendesk 生產和企業網絡進行大範圍的滲透測試。 Zendesk 使用安全事件管理 (SIEM) 系統,從重要的網絡裝置及代管系統收集記錄。 SIEM 根據觸發因素發出警報,根據相關事件通知安全團隊進行調查及響應。 對服務入口和出口點進行測量和監控,以發現異常行為,包括24/7系統監控。
  13. 資料託管位置: Zendesk 提供客戶選擇在客戶購買資料中心位置附加元件時代管服務資料之位置的選項。 有關此優惠的完整說明,請參閱:https://support.zendesk.com/hc/en-us/articles/360053579674
  14. 可用性和連續性: Zendesk 維護一個公開的狀態網頁,其中包括系統可用性詳情、計劃維護、服務事件歷史和相關安全事件。 Zendesk 採用服務叢集及網絡冗余來消除單點故障。 我們嚴格的備份制度及/或Zendesk的增強型災難復原服務令我們能夠提供高水平的服務可用性,因為服務資料在各可用區內複製。 Zendesk 的災害復原計畫透過建立健全的技術環境,確保 Zendesk 服務維持可用狀態,且在發生災害時可輕鬆復原。 其他詳細資訊請見 Zendesk 的業務恢復網頁。
  15. 人員安全: Zendesk 會依據適用的當地法律,對所有員工進行聘僱前背景調查,包括教育和聘僱驗證。 僱員在入職時接受安全培訓,此後每年一次。 員工受到書面保密協議的約束,以維護資料的機密性。
  16. 供應商管理: Zendesk 使用第三方供應商來提供服務的某些方面。 Zendesk 完成潛在供應商的安全風險評估。
  17. Bug Bounty: Zendesk 維護了一個 Bug Bounty 計畫,允許獨立安全研究人員持續報告安全漏洞。

Zendesk 技術和組織安全措施 – 創新服務

保護創新服務服務資料的技術與組織措施包含在 Zendesk 的創新安全措施中。

Zendesk 資訊安全計畫包括規範根據適用法律處理服務資料之書面政策或標準,以及旨在保護服務資料機密性和完整性的行政、技術和實體保護措施。 Zendesk 保留不時更新其安全性計畫的權利;然而,任何更新將不會大幅降低本附錄 II 的整體保護。

  1. 實體存取控制: Zendesk 採取合理措施,防止未經授權的人員取得服務資料的實體存取權。

  2. 系統存取控制: Zendesk 採取合理措施,防止未經授權使用服務資料。

  3. 數據存取控制: Zendesk 採取合理措施,確保服務資料僅可由適當授權的人員存取和管理。

  4. 傳輸控制: Zendesk 採取合理措施,確保能夠檢查並確定哪些實體透過資料傳輸設施傳輸服務資料,因此在電子傳輸或運輸過程中,未經授權,不得讀取、複製、修改或移除服務資料。

  5. 輸入控制項: Zendesk 會採取合理措施,以檢查並確定服務資料是否已輸入資料處理系統、修改或移除,以及是否透過安全傳輸,將服務資料傳輸給第三方服務供應商。

  6. 邏輯分隔: 來自不同 Zendesk 客戶環境的資料在由 Zendesk 管理的系統上進行邏輯隔離,以確保不同控制器所收集的服務資料彼此隔離。

  7. 安全政策與人員: Zendesk 已經且將維護管理的安全計畫,以識別風險並實施預防技術,以及用於常見攻擊緩解的技術和流程。 Zendesk 擁有且將維持一個全職資訊安全團隊,負責保護 Zendesk 的網絡、系統和服務,並依據 Zendesk 的安全政策,為 Zendesk 的員工開發和提供訓練。

附錄三

轉移機制和地區特定條款

Zendesk 利用若干管理個人資料國際傳輸的傳輸機制,具體取決於所處理個人資料的司法管轄區。 地區特定條款中納入其他私隱權特定條款,視情況而定。

1. 具有約束力的公司規則

Zendesk、其關係企業及輔助處理者,應遵守 Zendesk 具拘束力之企業規則之規定,該等規則已獲愛爾蘭資料保護委員會及英國資訊委員會辦公室核准,並可於Zendesk信託中心取得,網址為:https://www.zendesk.com/trust-center/

2. 資料私隱框架

Zendesk已認證參與並遵守《歐盟 ─ 美國 資料私隱框架》(歐盟 ─ 美國 DPF”)、英國延伸版歐盟 ─ 美國 DPF,以及《瑞士─美國 資料私隱框架》(瑞士 ─ 美國 DPF)(請參閱:https://www.dataprivacyframework.gov/s/)。 Zendesk 承諾維護遵守歐盟-美國 DPF,英國延伸版歐盟-美國。 DPF,以及瑞士-美國 本合約及本DPA所提供之服務的DPF或任何替代架構。

3. SCC

  1. Zendesk 亦會採用歐盟委員會於 2021 年 6 月 4 日所頒布的 2021/914 號執行決定附錄中所載的標準合約條款,詳見:https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0914(「EU SCCs」),以及歐盟委員會標準合約條款的英國國際資料傳輸增補協議,詳見:https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf(「UK Addendum」)。 雙方當事人認知 SCC 已併入本 DPA,如同以下完整聲明一般。 這些連結可能會根據主管機關的更新不時更新,且將透過修訂本 DPA 的方式更新。

  2. 在非 EU SCC 的監管機構發佈和要求的範圍內,各方將其解釋為符合第(e)小節中的選擇完成。

  3. 如有衝突或歧義,SCCs 的條款將優先於 DPA 及 Zendesk 和客戶之間的所有其他條款。

  4. 若 EU SCC 被當地監管機關認定為轉移機制,則適用於受該機關約束的所有個人資料,且將按照第 (e) 款規定的方式視為已完成。

  5. EU SCC。 若將 EU SCC 作為轉移機制使用,則視為已完成,如下所示:

    1. 模組 2(控制者到處理器)將適用於客戶為服務資料的控制者,而 Zendesk 為服務資料的處理器;模組 3(處理器到處理器)將適用於客戶為服務資料的處理器,而 Zendesk 為服務資料的處理器;

    2. 在第 7 條中,選擇性停靠條款將不適用;

    3. 在第 9(a) 條中,將適用選項 2 “一般書面授權”,以及本 DPA “使用輔助處理者” 一節中所述之次處理者變更事先通知的期限;

    4. 在第 11 條中,選用語言將不適用;

    5. 在第 17 條中,選項 1 將適用且將受本合約中所提供的法律管轄,或若不適用 EEA 成員國法律,則受愛爾蘭法律管轄,或依進口商法律管轄;

    6. 在第 18(b) 條中,爭議將以下列優先順序在法院前解決: (1) 如協議中所述, (2) 愛爾蘭都柏林, 如果沒有適用的歐洲經濟區成員國, (3) 對客戶總部有司法管轄權的客戶國家, (4) Zendesk 的註冊辦事處地址;

    7. 在 EU SCC 的附錄 I.A 和 I.B 以及附錄 II 中,本 DPA 附錄 I 和 II 所列資訊視為已完成;以及

    8. 在 SCC 的附件 I.C 中,監管機構將是資料匯出者的主管機關。 資料輸出者雖非於當地國家設立,但仍屬適用資料保護法之地域範圍內,資料輸出者所委任代表者,其主管機關即位於該地,但若未委任代表者,則愛爾蘭之主管機關即為主管機關。

  6. 英國附錄。 適用英國附錄時,應視為完成如下:

    1. 表 1,經本 DPA 附錄 I 所載資訊視為已完成,其內容茲此經各當事人同意;

    2. 表 2,各方當事人選取以下核取方塊: “經批准的 EU SCC,包括附錄資訊,並且僅包括本附錄中概述的各方偏好,而使經批准的 EU SCC 的以下模組、條款或可選條款生效”和附表被視為已完成;

    3. 表 3 視為已填妥,並附有附件 I、附件 II 及本 DPA 的“使用輔助處理者”部分所述資訊;及

    4. 表 4,雙方同意任何一方均不得終止第 19 條所述的英國附錄。