1. 各方的全球隱私義務

1. 服務資料的所有權。 Zendesk 對根據本 DPA 處理之服務資料不主張任何所有權或利益，且各方當事人間所擁有之服務資料仍為客戶之財產。
2. 個人資料。 雙方同意，處理的性質、目的、標題、持續時間、個人資料或資料標題的類別，以及適用的保留期限如附件一所述。
3. 適用的資料保護法。 Zendesk 和客戶同意遵守各自的適用數據保護法義務。
4. Zendesk 的義務。 Zendesk 同意：

   1. 根據客戶的書面指示處理個人資料，除非適用法律另有允許或要求。 Zendesk將立即通知客戶，如果其處理指示違反適用的數據保護法；

   2. 不 Sell 或分享個人資料;

   3. 確保所有員工和承包商充分了解他們在此 DPA 下保護個人資料的責任，並已承諾遵守適當的合約或法定保密義務；

   4. 通知客戶如果無法再履行其在適用的數據保護法下的義務，並允許客戶採取合理和適當的步驟來補救未經授權的個人數據處理；

   5. 實施並維護適當的技術和組織措施，以保護個人資料免於意外或非法的破壞、遺失、變更、未經授權的披露或存取，同時考慮到對資料標題隱私權的風險可能性和嚴重性，包括附件二中的措施；

   6. 通知客戶已確認的個人資料洩露，應在不當延遲的情況下並在48小時內進行，除非法律或政府機構禁止；採取適當措施以減輕個人資料洩露的原因；並根據適用的資料保護法向客戶提供所有必要的信息；

   7. 合理地協助客戶履行其回應資料標題請求的義務，並且如果Zendesk直接收到來自客戶資料標題的請求，則將資料標題引導至客戶，除非法律禁止；並且

   8. 提供商業上合理的資訊和協助，以啟用客戶進行任何資料保護影響評估或監管機構諮詢，這是適用的資料保護法所要求的。

5. 客戶義務。 客戶作為資料控制者，決定服務處理哪些個人資料。 客戶應負責評估 Zendesk 的技術及組織措施，以適時處理其希望透過使用服務而處理的個人資料類型。

2. 子程序之使用

1. 次處理者。 客戶提供其對 Zendesk 使用次級處理者的一般書面授權，條件是：

   1. Zendesk 對其次級處理者在處理個人資料時的行為或疏忽仍然對客戶負責；並且

   2. each Sub-processor agrees to protect the 個人資料 to standards consistent with the requirements of this DPA.

2. 次處理者政策更新。 Zendesk 將在變更前至少 30 天，將輔助處理者政策更新為任何新指定的輔助處理者。 客戶可以註冊以接收此類變更的電子郵件通知。
3. 次處理者政策物件異議。 客戶可以基於與資料保護相關的合理理由反對任何新任命的次處理者。 如果客戶有異議，應在子處理者政策更新後30天內，以書面形式通過發送電子郵件至 privacy@zendesk.com 通知 Zendesk。 在此情況下，雙方將本著好意協商，解決客戶的異議。 如果雙方在 Zendesk 收到客戶的異議後 60 天內無法達成解決，Zendesk 將自行決定：

   1. 指示次處理者不要處理客戶的個人資料，並且DPA將繼續不受影響，或者

   2. 允許客戶終止服務之任何受影響部分，並按比例退還客戶於終止生效日期當日尚未收到之服務受影響部分已預付之訂閱費用。

3. 稽核

1. 外部稽核員。 Zendesk 使用獨立且合格的外部審計員來驗證其資料保護措施的充分性以及其在本 DPA 中的義務合規性（例如 SOC 2 類型 II 或 ISO 27001）。
2. 稽核報告。 應客戶的書面要求，Zendesk將向客戶提供審核報告，但須遵守協議的保密條款。
3. 協助。 在適用的資料保護法下，若客戶的稽核要求無法透過Zendesk普遍提供給其客戶的稽核報告或其他文件合理滿足，且客戶無法取得相關資訊，Zendesk將合理協助客戶。
4. 審計。 如果客戶無法透過 Zendesk 在第 3.3 節所提供的協助來滿足其在適用資料保護法下的稽核義務，且客戶有權根據適用資料保護法進行稽核，客戶可至少提前 30 天以書面通知 privacy@zendesk.com 來要求進行該稽核。 此類稽核每年不得進行超過一次，必須在正常營業時間內進行，且時間必須合理，不得干擾Zendesk的運作，並且只能在Zendesk總部或雙方同意的辦公地點進行。 此類稽核不會涉及存取與其他 Zendesk 客戶有關的任何資料，或以任何可能違反 Zendesk 安全控制或導致 Zendesk 違反其對任何第三方之保密義務的方式存取安全設施或系統。 任何與此類稽核連線產生的資訊都是 Zendesk 的機密資訊，並將立即提供給 Zendesk。 客戶需負責與其請求的任何審計超出審計報告的相關費用和開支。

4. INTERNATIONAL DATA 轉接

1. 國際資料轉接。 客戶承認，為履行服務，Zendesk 得遵守適用資料保護法，在全球範圍內處理服務資料係必要的。 如果 Zendesk 將個人資料從來源國家轉接到未從來源國家獲得適足性決定的國家，這些轉接將遵循以下一個或多個轉接機制，適用於所有個人資料，並按以下順序：

   1. 有效的認證機制；

   2. 拘束性企業規則；

   3. SCC。

2. 轉接機制。 轉接機制、條款選擇和特定國家要求（如適用）詳述並通過引用納入附件三。
3. 資料轉接評估。 客戶確認，除了依賴轉接機制外，可能還有義務進行數據轉接評估。 Zendesk 將在收到請求後提供合理的協助進行此評估。
4. 具有約束力的簽章。 客戶確認，簽署本協議即構成對SCCs和地區特定條款中其他簽章要求的具有約束力的簽章。

5. 換行與銷毀個人資料

應客戶的書面要求，Zendesk將根據協議向客戶提供服務數據以供匯出或下載。 Zendesk將根據Zendesk的服務資料刪除政策刪除服務資料。

6. 創新服務

本資料處理附錄的所有段落均適用於創新服務，但段落3（審計）、附件II（Zendesk技術和組織安全措施 – 企業服務）以及附件III，段落1和2（約束性企業規則和數據隱私框架）除外。

7. 衝突

除非另有約定，否則本 DPA 之條款將優先於合約中任何牴觸之條款。

8. 定義

本 DPA 中使用的所有術語均具有以下含義。 在本DPA中未定義的情況下，術語“Sell”、“分享”、“處理”、“過程”、“處理者”、“控制者”、“資料匯出者”、“資料匯入工具”、“資料標題”、“個人資料洩露”（及類似術語）和“監管機構”將具有適用的資料保護法中的相同含義。 本 DPA 中未另行定義之任何以大寫字母開頭之名詞，均如合約中所定義。

「適用資料保護法」指在本協議下，各方就其各自處理個人資料所適用的所有資料保護法律與法規。

「稽核報告」 指的是針對企業服務的任何此類認證或稽核報告的機密摘要。

「具約束力的企業規則」指 (a) 歐盟具約束力的企業規則－處理者，用於轉接受一般資料保護規範約束的個人資料，或 (b) 英國具約束力的企業規則－處理者，用於轉接英國個人資料。

「漏洞懸賞計畫」指位於：https://support.zendesk.com/hc/en-us/articles/115002853607-Zendesk-Bug-Bounty-Program的文章條款。

企業韌性網頁 https://support.zendesk.com/hc/en-us/articles/360022191434-Business-Continuity-and-Disaster-recovery.

「個人資料」指包含於服務資料中，與已識別或可識別之自然人直接或間接相關的任何個人資料。

「狀態網頁」 https://status.zendesk.com/.

「SCCs」 指由監管機關核准作為轉接機制的標準合約條款。

“輔助處理者” 係指由 Zendesk 聘用，並根據客戶指示（由 Zendesk 傳達）及其與 Zendesk 的書面分包合約條款，接收並處理服務資料的任何第三方資料處理者，如輔助處理者政策所列。

「次處理者政策」指位於：https://support.zendesk.com/hc/en-us/articles/4408883061530-Sub-processor-Policy的政策。

「轉接機制」指的是附件三中所述，規範國際處理個人資料的架構。

附錄 I

處理的詳細資訊

資料輸出方： 客戶

聯絡詳情： 在DPA簽章封鎖中提供。

資料匯出者角色： 客戶是控制者（關於 Zendesk）

資料匯入工具: Zendesk, Inc.

聯絡詳情： 在DPA簽章封鎖中提供

資料匯入工具角色： Zendesk 是處理器

1. 處理的性質和目的： Zendesk將根據協議處理個人資料，並按照客戶確定的目的進行處理。
2. 處理活動： 處理活動將包括根據客戶以程式方式或在協議中具體指示的方式託管和處理個人資料。
3. 處理和保留期間： Zendesk將在訂閱期限內持續處理和保留個人資料。 Zendesk 根據 Zendesk 服務資料刪除政策刪除個人資料。
4. 資料主體： 客戶可以自行決定向服務提交個人資料，這可能包括但不限於：員工（包括承包商和臨時員工）、員工的親屬、客戶、潛在客戶、服務提供者、業務合作夥伴、供應商、最終用戶、顧問（所有這些都是自然人）以及任何被客戶授權使用服務的自然人。
5. 個人資料類型： 客戶可以自行決定使用服務處理任何類別的個人資料，這可能包括但不限於以下類別的個人資料：名字和姓氏、電子郵件地址、職稱、職位、雇主、聯絡資訊（公司、電子郵件、電話號碼、實體地址）、出生日期、性別、通訊（電話錄音、語音信箱、中繼資料）以及客戶服務資訊。
6. 特殊資料類別（如適用）： 根據適用的數據保護法需要特殊處理的敏感數據類別可能會在客戶的酌情決定下包含在個人數據中。

附錄 II

Zendesk 技術和組織安全措施 – 企業服務

The technical and organizational measures to protect Service Data for 企業 Services are contained in Zendesk’s 企業 Security Measures.

Zendesk 保留不時更新其安全性計畫的權利；然而，任何更新將不會大幅降低本附錄 II 的整體保護。

1. 資訊安全計畫與團隊： Zendesk 安全計畫包括行政、技術、實體和組織保護措施的書面政策和標準，這些政策和標準管轄根據適用法律對服務資料的處理。 The security program is designed to protect the confidentiality and integrity of Service Data, appropriate to the nature, scope, context and purposes of processing and the risks involved in the processing for the data 標題. Zendesk 維持一個分佈於全球的安全團隊 24 小時全年無休通話中，以處理安全提醒和事件。
2. 安全性認證： Zendesk 擁有來自獨立第三方審核員的以下與安全相關的認證： SOC 2 類型 II、ISO 27001:2013 或 ISO 27018:2014。
3. 實體存取控制： Zendesk 採取合理的措施，例如保安人員和安全建築，以防止未經授權的人員實體接觸服務數據，並驗證代表 Zendesk 運營資料中心的第三方是否遵守此類控制措施。
4. 系統存取控制： Zendesk 採取合理措施，防止未經授權使用服務資料。 這些控制措施會根據所進行處理的性質而有所不同，可能包括驗證（透過密碼和/或雙因素驗證）、記錄的授權流程、記錄的變革管理流程和/或多層次的存取記錄等控制措施。
5. 資料存取控制： Zendesk 會採取合理措施，確保服務資料僅可由適當授權的人員存取及管理，直接資料庫查詢存取受到限制，並建立及執行應用程式存取權利，以確保有權使用資料處理系統的人員，只能存取其有權存取的服務資料；以及，在處理過程中，未經授權不得讀取、複製、修改或移除服務資料。
6. 傳輸控制： Zendesk 採取合理措施，確保能夠透過資料傳輸設施檢查和建立哪些實體傳輸服務資料，因此在電子傳輸或運輸期間，未經授權，不得讀取、複製、修改或移除服務資料。 Service Data 在透過業界標準 HTTPS/TLS（TLS 1.2 或更高版本）與 Zendesk 使用者介面（UIs）和應用程式介面（API）進行通訊時，會在公共網路上加密傳輸。 傳輸中加密的例外可能包括任何不支援加密的第三方產品，資料控制者可以選擇通過企業服務連結到這些產品。 Service Data 由 Zendesk 的次處理者和管理服務提供者 Amazon Web Services Inc. 使用 AES-256 進行靜態加密。
7. 輸入控制： Zendesk 會採取合理措施，以提供檢查及確定服務資料是否已由誰輸入資料處理系統、修改或移除，以及是否透過安全傳輸將服務資料傳輸給第三方服務供應商的能力。
8. 邏輯分離： 來自不同 Zendesk 客戶環境的資料在由 Zendesk 管理的系統上進行邏輯隔離，以確保不同控制器所收集的服務資料彼此隔離。
9. 無後門： Zendesk 並未在服務中建立任何後門程式或其他方法，以允許政府當局規避其安全措施，以取得服務資料的存取權。
10. 資料中心架構與安全性： Zendesk 主要將服務資料託管於已通過 ISO 27001、PCI DSS 服務提供者層級 1 以及/或者 SOC2 認證的 AWS 資料中心。 AWS 基礎結構服務包括備用電源、HVAC 系統，以及滅火裝置，有助於保護伺服器，最終保護客戶的資料安全。 AWS 現場安全包括多項成為精選，例如，保全人員、圍欄、保護供應、入侵檢測技術和其他安全措施。 更多有關 AWS 控制項的詳細資訊可參見：https://aws.amazon.com/security。
11. 網路架構與安全性： Zendesk 系統根據其函數、資訊分類和風險，安置在與其安全性相適應的區域中。 Zendesk 的網路安全架構由多個區域組成，在 Zendesk 最信任的區域中具有更敏感的系統，例如資料庫伺服器。 根據區域的不同，將採用額外的安全監控和存取控制措施。 DMZ 用於網際網路和內部不同信任區域之間。 Zendesk 的網路透過使用鍵碼 AWS 安全性服務、定期審核，以及監控並/或封鎖已知惡意流量和網路攻擊的網路智慧功能而受到保護。 Zendesk 除了進行廣泛的內部掃描和測試計劃外，還利用網路安全掃描來快速識別潛在的易受攻擊系統。 Zendesk 也參與多個威脅智慧功能共享計劃，以監控貼文到這些威脅智慧功能網絡的威脅，並根據風險採取行動。 Zendesk 有多層式的 DDoS 緩解方法，利用網路邊緣防禦以及擴展和保護工具。
12. 測試、監控和記錄： 每年，Zendesk 都會聘請第三方安全專家對 Zendesk Production 和公司網路進行廣泛的滲透測試。 Zendesk 使用安全事件事件管理 (SIEM) 系統，該系統從重要的網路設備和主機系統中 Gather 日誌。 SIEM 會根據相關事件通知安全性團隊的觸發程式發出提醒，以便於調查與回應。 服務進出點皆設有檢測程式並受監控，以偵測異常行為，包括全天候系統監控。
13. 資料託管位置： Zendesk 提供客戶選擇服務資料託管位置的選項，如果客戶購買了資料中心位置附加元件。 此項服務的Full描述可在：https://support.zendesk.com/hc/en-us/articles/360053579674找到。
14. 可用性及連續性： Zendesk 維護一個公開的狀態網頁，其中包括系統可用性的詳細資訊、定期維護、服務事件記錄，以及相關的安全事件。 Zendesk 採用服務叢集和網路冗餘來消除單點故障。 我們嚴格的備份制度和/或 Zendesk 的增強版嚴重損壞修復服務使我們得以提供高水準的服務可用性，這是因為服務資料將在可用性區域之間進行複製。 Zendesk 的災難復原計畫確保在發生災難個案時，Zendesk 服務仍然可用且易於恢復，這是通過建立一個強大的技術環境來實現的。 其他詳細資訊請見 Zendesk 的業務恢復網頁。
15. 人員安全： Zendesk 根據適用的地區法律對所有員工進行入職前背景調查，包括教育和就業驗證。 員工在入職時接受安全訓練，爾後每年接受一次。 員工受書面保密協議的約束，以維護資料的機密性。
16. 供應商管理： Zendesk 使用第三方供應商來提供服務的某些方面。 Zendesk 完成了對潛在供應商的安全風險評估。
17. Bug Bounty： Zendesk 維持一個漏洞賞金計劃，以允許獨立的安全研究人員持續地報告安全漏洞。

Zendesk 技術和組織安全措施 – 創新服務

保護創新服務服務資料的技術與組織措施包含在 Zendesk 的創新安全措施中。

Zendesk 資訊安全計畫包括規範根據適用法律處理服務資料之書面政策或標準，以及旨在保護服務資料機密性和完整性的行政、技術和實體保護措施。 Zendesk 保留不時更新其安全性計畫的權利；然而，任何更新將不會大幅降低本附錄 II 的整體保護。

1. 實體存取控制： Zendesk 採取合理措施，防止未經授權的人員取得服務資料的實體存取權。

2. 系統存取控制： Zendesk 採取合理措施，防止未經授權使用服務資料。

3. 資料存取控制： Zendesk 採取合理措施以確保服務數據僅由適當授權的工作人員可存取和管理。

4. 傳輸控制： Zendesk 採取合理措施，確保能夠檢查並確定哪些實體透過資料傳輸設施傳輸服務資料，因此在電子傳輸或運輸過程中，未經授權，不得讀取、複製、修改或移除服務資料。

5. 輸入控制項： Zendesk 會採取合理措施，以檢查並確定服務資料是否已輸入資料處理系統、由誰修改或移除，以及是否透過安全傳輸，將服務資料傳輸給第三方服務供應商。

6. 邏輯分隔： 來自不同 Zendesk 客戶環境的資料在由 Zendesk 管理的系統上進行邏輯隔離，以確保不同控制器所收集的服務資料彼此隔離。

7. 安全政策與人員： Zendesk 已經並將維持一個管理的安全計畫，以識別風險並實施預防性技術，以及用於常見攻擊緩解的技術和流程。 Zendesk 擁有且將維持一個全職資訊安全團隊，負責保護 Zendesk 的網路、系統與服務，並依據 Zendesk 的安全政策，為 Zendesk 的員工開發和提供訓練。

附錄 III

轉接機制和地區特定條款

Zendesk 根據被處理的個人資料的司法管轄區，利用多種轉接機制來管理個人資料的國際轉接。 地區特定條款中納入其他隱私權特定條款，視情況而定。

1. 拘束性企業規則

Zendesk、其關係企業及輔助處理者遵守 Zendesk 具拘束力之企業規則的要求，該規則已獲愛爾蘭資料保護委員會及英國資訊專員辦公室核准，並可於 Zendesk 信託中心取得，網址為：https://www.zendesk.com/trust-center/。

2. 資料隱私權框架

Zendesk 已認證參與並遵守歐盟-美國 資料隱私框架（“歐盟-美國 DPF”） 、歐盟-美國 DPF 的英國延伸 框架，以及瑞士-美國 資料隱私框架（“Swiss-U.S. DPF”）（請參閱：https://www.dataprivacyframework.gov/s/）。 Zendesk 承諾維護遵守歐盟-美國的自我認證。 DPF、歐盟-美國 DPF 的英國延伸 框架，以及瑞士-美國 DPF 或任何替代架構，用於本合約及本 DPA 所提供的服務。

3. SCC

1. Zendesk 也採用歐盟委員會於 2021 年 6 月 4 日在其執行決定 2021/914 附錄中所採納的標準合約條款，詳見：https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0914（「EU SCCs」），以及英國國際資料轉接附錄於歐盟委員會標準合約條款，詳見：https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf（「UK Addendum」）。 雙方當事人認知 SCC 已併入本 DPA，如同以下完整聲明一般。 這些連結可能會根據監管機構的更新不時更新，並將通過對本 DPA 的修訂進行更新。

2. 在監管機構發布並必填的SCCs不是EU SCCs的範圍內，雙方將其解釋為已完成，並與(e)小節中的選擇一致。

3. 如有衝突或歧義，SCCs 的條款將優先於 DPA 及 Zendesk 和客戶之間的所有其他條款。

4. Where the EU SCCs are recognized by a 地區 supervisory authority as a 轉接 Mechanism, they apply to all 個人 Data 標題 to that authority and will be considered 已完成 in the manner specified in subsection (e).

5. EU SCC。 當歐盟 SCCs 被用作轉接機制時，它們被視為已完成，如下所示：

   1. 模組 2（控制者到處理器）將適用於客戶為服務資料的控制者，而 Zendesk 為服務資料的處理器；模組 3（處理器到處理器）將適用於客戶為服務資料的處理器，而 Zendesk 為服務資料的處理器；

   2. 在第7條中，選填對接條款將不適用；

   3. 在第9(a)條中，選項2「一般書面授權」將適用，且在本DPA的「使用次處理者」段落中所述的次處理者變更事先通知的時段；

   4. 在第11條中，選填語言將不適用；

   5. 第 17 條中，選項 1 將適用且將受本合約中所提供之法律管轄，或若不適用 EEA 成員國法律，則受愛爾蘭法律管轄，或依進口商法律管轄；

   6. 在第18(b)條中，異議將按照以下優先順序在法院解決： (1) 如協議中所述, (2) 愛爾蘭都柏林, 如果沒有適用的歐洲經濟區成員國, (3) 客戶總部所在國, (4) Zendesk 的註冊辦公地址;

   7. 在 EU SCCs 的附錄 I.A 和 I.B 以及附錄 II 中，視為已完成本 DPA 附錄 I 和 II 中列出的資訊；並且

   8. 在 SCC 的附件 I.C 中，監管機構將是資料匯出者的主管機關。 在資料匯出者未在地區國家設立但仍在適用資料保護法的領土範圍內的情況下，主管監管機構將位於資料匯出者已指定代表的地方，但如果未指定代表，則愛爾蘭的監管機構將是主管機構。

6. 英國附錄。 在適用英國附錄的情況下，將被視為已完成如下：

   1. 表格1，根據本DPA附件I中所述的資訊被視為已完成，雙方在此同意其內容；

   2. 表格 2，雙方選擇勾選框，其內容為： “已批准的 EU SCCs，包括附錄資訊，並且僅為本附錄的目的而生效的已批准 EU SCCs 的以下模組、條款或選填條款”，以及隨附的表格被視為已根據本附件中列出的各方偏好已完成；

   3. 表格3，已完成的資訊如附件I、附件II中所述，並如本DPA的「使用次處理者」段落中所述；以及

   4. 表格4，雙方同意任何一方均不得根據段落19中所述終止英國附錄。