CLARIS CONNECT 服务条款

CLARIS CONNECT 服务条款

x法律协议(以下简称“本协议”)是由贵公司或组织(以下简称“公司”、“贵方”或“您”，作为本协议的一方)与 CLARIS INTERNATIONAL INC.和或 CLARIS INTERNATIONAL(统称为“CLARIS”，作为本协议的另一方)

签订，旨在用于管理贵方对 CLARIS CONNECT 产品、软件、服务和网站(统 称为“服务”)的使用。贵方须 阅读和理解下述条款，这十分重要。通过点击“同意”，即表示贵方同意您的服务访问或使用受本协议约束。同时，贵方进一步同意，您拥有充分的法律权力，可使贵公司或 组织受本协议约束。如果您没有法律权力 使贵公司或组织受约束，或者不同意本协议的条款，请勿点 击“同意”并联系 CLARIS。

Claris 是服务以及与服务连接的兼容 Claris 产品（“服务”）的提供商。服务允许贵方仅根据本协议中规定的条款和条件使用特定互联网服务在贵方的单个第三方应用程序用户帐户之间创建联系并建立流程(以下简称 “许可使用”)。

试用版。如果您已注册使用有限制的试用版(以下简称“试用版”)，则您被允许根据本协议中规定的条款和条件在 15 天或更长期限(如果 Claris 自行决定延长期限)(以下简称“试用期”)内使用服务，从而评估服务，以考虑是否购买年度订阅。您的试用将在试用期结束后立即到期，之后，除非您订阅服务，否则您无法继续使用服务。Claris 可自行决定，在试用期内任何时间因任何原因或无故终止您的试用，恕不另行通知。如果您选择不转换为完整的年度订阅，您的团队经理将可在试用期到期后 30 天内访问服务，但仅限于下载您在服务中存储的内容（定义见下文）或数据的副本。在 30 天期限到期后， Xxxxxx 将自动删除您在服务中存储的所有内容或数据，您将无法再访问此类内容或数据。针对任何试 用而言，下述第 8 条规定将予以修改，从而确保“按原样”提供服务的试用版，“没有任何形式的保证”。本协议中的所有其他条件均适用于服务的试用版和订阅版(其中第 7(A)和 7(B)条除外)。

1. 服务使用要求

A. 用户。贵方需对您和您的用户(定义见下文)的服务使用全权负责，同时贵方需确保每位用户均 完全遵守本协议、Claris 隐私政策(查找地址: xxxxx://xxx.xxxxxx.xxx/xx/xxxxxxx/xxxxx/xxxxxxx 和任何适用的最终用户许可协议或其他涉及任何第三方应用程序（定义见下文）的条款或协议(统称为“适用政策和协议”)。为此，贵方将需 (i) 负责使每位用户遵守所有适用政策和协议，同时需 (ii) 执行本协议中规定的所有限制和义务。贵方需确定，所有用户均为其所在司法管辖区的法定成年人。贵方需防止贵方用户对服务进行未授权使用，同时需终止任何未授权服务使用或访问。贵方需及时通知 Xxxxxx 任何服务的未授权使用或访问。

贵方将有能力通过服务网站門户和/或管理员工具监控、访问或披露每位贵方用户的帐户相关特定用户数据。贵方声明并保证，在贵公司部署服务之前，贵方将从每位用户获得和保留所有必要的权利和许可，旨在:(1) 根据本协议中的规定提供和使用服务;以及 (2) 访问、接收和使用由于服务提供所产生的用户数据。

B. 使用限制。贵方同意仅将服务用于本协议允许的目的，同时仅在适用司法管辖区的任何适用法律、法规、适用政策和协议或公认准则允许的范围内予以使用。如果贵方对服务的使用或其他行为有意或无意威胁到 Claris 提供服务或其他系统的能力，则 Claris 应有权采取一切合理措施以保护服务和 Claris 的系统，此类措 施可能包括中止贵方的服务访问。多次违反限制可能导致您的订阅被终止。

在服务使用、失效、延迟、错误、不准确或故障可能导致人员受伤或死亡，或者可能导致物理或环境 损害的任何情况或环境下，贵方不得使用服务。例如，贵方不得使用，或允许任何其他人员使用，与 飞机或其他人类大众运输工具、通信系统、核或化学设施、武器系统或《联邦食品药品和化妆品法 案》中规定的 III类医疗设备相关的服务。

贵方不得使用或访问服务或软件以监控可用性、性能或功能，亦不得用于任何其他基准测试或竞争目 的。

052020

如果贵方为被涵盖实体，商业伙伴，或者被涵盖实体或商业伙伴的代表(如 45 C.F.R § 160.103 中所定义)，则贵方同意不会使用 Claris Connect 的任何组件、功能或其他工具来创建、接收、维护或传输任何“受保护的健康信息”(如 45 C.F.R § 160.103 中所定义)，亦不会以任何方式使用 Claris Connect 以使 Claris(或任何 Claris 子公司)成为贵方或任何第三方的（包括任何连接器应用程序）商业伙伴。

C. 服务可用性。 Claris 不就下述内容做任何xx:(i) 服务，或其任何功能或部分，将提供特定语言 版本或将在任何特定国家可用，或者 (ii) 服务，或其任何功能或部分，符合任何其他特定地区的适用法律的规定。如果贵方选择访问和使用服务，则贵方将主动访问和使用服务并且将负责自行遵守任何 适用法律。

D. 服务变更。Claris 可不时或者在发布服务更新版本时修订本协议。如果贵方不同意相关更新条款，则请勿点击“同意”，同时您将不会更新至最新服务版本;相反，您将继续保留您正在使用的当前版本。然而，在下列情况下，Claris 保留随时修订本协议并强制要求贵方根据最新或附加条款或条件使用服务的权利:(i) 由于法律、监管或政府行为引起的情况要求时;(ii) 解决用户安全，用户隐私或技术完整性问题时;(iii) 避免对其他用户造成服务中断时;或 (iv) 由于超出 Claris 合理控制范围的自然灾害、灾难性事件、战争或其他类似事件要求时。xx在本协议任何变更之后使用服务将视为贵方接受本协议的相应变更(若适用)。Claris 无需就根据本第 1(E)条服务或服务条款的任何修改向贵方负责。

E. 可访问性。Claris 应尽一切合理努力，以使服务可供贵方和贵方用户每周 7 天，每天 24 小时使用，但 Claris 无需，并且 Claris 明确声明不对服务出于任何原因，包括但不限于任何系统备份或其他例行维护(无论计划还是计划外)、通信网络故障或不可抗力事件，而不可用的情况承担任何责任。

F. 支持。 Claris 应尽合理努力以向贵方提供服务使用相关支持，如 xxxxx://xxx.xxxxxx.xxx/xxxxxxx/xxxxxxx 网站中 Claris 支持政策所述。

G. 遵守法律。贵方同意，贵方全权负责确保贵方及每位贵方用户的服务使用完全符合所有适用法律的规定，

包括所有隐私和数据保护法。

2. 功能和服务

A. Claris Connect 订阅。服务将通过购买年度 Claris Connect 订阅（“订阅”）获得。多种订阅产品可用，且此类订阅可能会受到工作流数量、在工作流中使用的第三方应用程序数量和每月对 Claris Connect 服务器进行 API 调用的总次数的限制。贵方负责为您对服务的预期使用选择和购买适当的订阅。

在付费订阅期限内的任何时间，贵方的团队经理都可以通过进入团队经理的 Claris Customer Console 订阅选项卡并选择升级适用的订阅，以升级数据 API 调用和/或工作流的数量。购买后，贵方订阅中增加的数量可在 24 小时内生效，或者贵方可以在团队经理 Claris Customer Console 中点击“同步订阅”按钮，更改将即刻生

效。购买后，贵方的订阅不可退款，但是贵方可以在当前付费订阅期间结束时将订阅降级作为续订过程的一部分。

B．团队经理。贵方团队经理有权访问 Claris Connect 团队经理帐户(以下简称“Claris Customer Console”)，贵方可以通过该控制台建立用户帐户。贵方和团队经理应全权负责贵方 Claris ID 管理员帐户的管理。贵方单独负责任命一位合格的团队经理以管理您的服务订阅，并单独负责在内部管理贵方用户的服务使用。贵方理解，Claris 不负责贵方或贵方用户的服务管理。

C. 用户帐户。购买订阅后，贵方必须通过建立用户帐户或授权如下所述其他可用的登录方法，将访问权分配给贵公司或组织中需要访问订阅的每一唯一个人(每位此类个人称为一位“用户”)。每位用户将必须使用他们的凭据才能登录以使用服务。用户不得向其他任何人透露其帐户信息。贵方和贵方用户全权负责维护 Claris ID 和所有用户帐户的机密性和安全性，并且全权负责在贵方或通过贵方 Claris ID 和用户帐户发生的所有活动，同时贵方同意立即通知 Claris 您的 Claris ID 和用户帐户的任何安全漏洞或未经授权访问的情况。贵

方进一步确认并同意，贵方和贵方用户不会与其他人共享您的帐户和/或密码详细信息。在适用法律允许的

最大范围内，Claris 无需对由于贵方帐户或任何贵方用户帐户的未授权使用所造成的任何损失负责。

如果某些第三方支持的单点登录（“SSO”）身份验证提供程序得到服务的支持并由负责该用户帐户的团队经理启用，则该服务可允许用户登录。SSO 功能的使用是可选的，仅为您和您的用户提供方便。通过使用第三方 SSO 服务进行的身份验证应遵守与第三方 SSO 提供者相关的任何适用的使用条款。对于与此类第三方 SSO 使用相关的任何安全漏洞，数据丢失，其他损失或任何其他法律问题或索赔，Claris 概不负责，您同意自己承担该等使用风险。

贵方和贵方用户同意在贵方创设用户帐户、使用 SSO 服务和使用服务时提供准确和完整的信息(以下简称 “服务注册数据”)，同时贵方同意始终保持 您的服务注册数据准确和完整。未能提供准确、最新和完整的服务注册数据可能会导致贵方帐户被中止和/或终止使用。贵方同意，Claris 可存储和使用贵方提供的服务注册数据，以用xxx帐户的维护和计费。

D. 工作流。服务促使用户能够在某些应用程序之间创建和执行工作流（“工作流”），包括 Claris 应用程序和第三方应用程序、订阅或工具（“第三方应用程序”）。服务中第三方应用程序可用工作流并不表示或表明 Claris 对第三方应用程序的任何认可或推荐。

E. 保留。Claris 支持保留贵方的工作流历史记录和工作流：

1. 工作流历史记录。订阅开始后，您可以选择选择或者不让服务保留通过您的工作流数据（“工作流历史记录”）。此类工作流历史记录将连续保留 30 天。如果您不选择启用工作流历史记录，将不会创建任何日志。如果您终止订阅，您的工作流历史记录将继续连续保留 30 天且最多保留 30 天，并且在您的订阅终止后的 30 天内，所有工作流历史记录将被删除。

2. 工作流保留。您在服务中创建的工作流将自动保留并一直持续整个订阅期。如果您删除一项工作流，服务将不再保留该工作流；仅您当前的工作流将被保留。此工作流保留将在订阅期间和您的订阅终止后 30 天自动生成保留。

Claris 不保证工作流备份或工作流日志备份的可用性，建议您使用其他方法来备份您的工作流和工作流日志，参考本文第 1（F）和 4（E）节内容。在您的订阅终止后三十（30）天后，Xxxxxx 所做的任何备份将被删除。 Claris 在提供服务时应使用合理的技能和应有的谨慎态度，但是，在适用法律允许的最大范围内，CLARIS 不保证或担保贵方根据本协议条款通过服务可能存储或访问的任何内容不会受到无意损害、损毁、丢失或

删除，同时在发生此类损害、损毁、丢失或删除情况下，或者出于任何原因，CLARIS 未能备份或维护贵方内容的任何备份情况下，XXXXXX 无需承担任何责任。贵方有责任始终维护贵方内容和数据的适当备用备份。

F. 两步验证和短信。每位用户都可以选择为其用户帐户启用两步验证。如果用户选择为其 用户帐户启用两步验证，则用户同意 (i) 向 Claris 提供至少一个电话号码;并且 (ii) 以提供的 任何电话号码接收 Claris 的短信。我方可将此类文本用于 (a) 在登录时帮助确保贵方用户帐户安全;或 (b) 视为服务贵方用户帐户，或者执行或遵守本协议、我方政策、适用法律或我方可能与贵方达成的任何其他协议所必需的条件。当用户首次启用两步验证时，用户将收到一条包含六位数代码的短信。用户将使用此六位数代码验证其 Claris ID。如果用户在首次注册用户帐户时选择跳过启用两步验证，则用户可随时返回至其用户帐户配置文件以启用此功能。

G. Claris ID 丢失凭据。 贵方团队经理负责确保团队经理保持对贵方 Claris Customer Console 和 Claris ID 的访问权限。因此，如果团队经理忘记或丢失其密码，并且无法通过“忘记密码?”功能重置其密 码，则 Claris 将无法向贵方提供其中存储的贵方团队帐户或任何内容或数据的访问权限。

H. Claris Connect 开发者定价计划。如您通过 Claris Connect 开发者定价计划获得了服务授权，则您对服务的使用仅限于开发、测试和评估，而不得将服务（包括您创建的任何流）用于生产环境。

3. 贵方服务使用

A. 其他 Claris 产品和服务或第三方应用程序的使用。Claris 和/或其许可方提供的服务特定组件或功能，包括但不限于，对 Claris FileMaker Cloud、 Claris FileMaker Pro、Claris FileMaker Go 及第三方应用程序的使用需要单独的软件或其他许可协议或使用条款。贵方必须阅读、接受并同意受任何此类单独协议约束，以作为使用服务的此类特定组件或功能的条件。

B. 无传递。本协议中的任何内容均不得解释为向贵方传递贵方使用的服务相关的 Claris ID、域名、子域名或类似资源方面的任何权益、所有权或许可。对于贵方和 Claris 而言，Claris 拥有贵方使用的服务相关的任何 Claris ID、域名、子域名或类似资源方面的所有知识产权。

C. 无服务转售。贵方同意，除非 Xxxxxx 授权，否则贵方不得出于任何目的复制、再现、出售、转售、 转授权、出租或交易服务(或其任何部分)。

D. 第三方分处理者。贵方同意，Xxxxxx 可引入其他处理者，为 Claris 提供服务相关的服务，例如信息处 理、完成客户订单、向贵方提供产品、管理和增强客户数据，以及提供客户服务(以下简称“分处理者”)。贵方授权使用 Apple Inc.(作为分处理者)以及 Claris 可能使用的任何其他分处理者，前提条 件是他们受合同约束，需以与 Xxxxxx 根据本协议承诺处理相关个人数据的保护方式相当的方式处理个人数据，不允许将此类个人数据用于本协议中规定以外的任何目的。相关服务提供商名单可根据需要提供。如果分处理者未能履行其数据保护义务，则 Claris 应就相应分处理者的义务履行向贵方负全部责任。

E. 第三方材料。服务可以显示，包含或提供对来自第三方的内容，数据，信息，应用程序，服务或材料

（“第三方材料”）的访问，或提供指向某些第三方网站的链接。通过使用服务，您承认并同意 Claris 不负责检查或评估该等第三方材料或网站的内容，准确性，完整性，及时性，有效性，版权合规性，合法性，得体，质量或任何其他方面。对于任何第三方服务，第三方资料或网站，或任何其他第三方资料、产品或服务，Claris 不对您或任何其他人提供任何保证或认可，也不推定承担或将承担任何责任。

4. 内容和贵方行为

A. 内容。“内容”指通过使用服务可能存储、生成、访问或遇到的任何信息，例如数据文件、书面文本、图形、照片、图像、声音、视频、消息和任何其他类似材料。贵方理解，所有服务相关内容均由 此类内容来源于的用户全权负责。这意味着贵方而非 Claris，需对贵方通过使用服务上传、下载、发 布、发送、传输、存储或以其他方式提供的任何内容全权负责。贵方理解，通过使用服务，贵方可能会遇到令人反感、不雅或冒犯性的内容，同时贵方可能会使他人接触到其认为反感的内容。Claris 无法控制通过服务发布的内容，也不保证此类内容的准确性、完整性或质量。贵方理解并同意，贵方使 用服务和任何内容的风险由贵方自行承担。

B. 贵方行为。贵方同意，贵方和贵方用户不会使用服务做出下列行为:

a. 上传、下载、发布、发送、传输、存储或以其他方式提供任何非法、骚扰、威胁、有害、侵权、诽谤、中伤、辱骂、暴力、淫秽、粗俗、侵犯他人隐私、仇恨、种族或民族攻击性，或其他令人反感的 内容;

b. 跟踪、骚扰、威胁或伤害他人;

c. 伪装成任何人或任何实体(实际上并不是) — 您不可假冒或伪装自己成为另一个人、实体、另一个 Claris Connect 用户、Claris 员工、公民或政府领导，亦不得以其他方式歪曲您与某人或实体的关系(同时，Xxxxxx

保留拒绝或阻止任何被视为冒充或歪曲贵方身份，或盗用他人的姓名或身份的 Claris ID 或电子邮件地址的权

利);

d. 从事任何侵犯版权或其他侵犯知识产权的行为(包括上传贵方无权上传的任何内容)，或披露任何违反保密、

雇用或非公开协议的商业秘密或机密信息;

e. 发布、发送、传输或以其他方式提供任何未经请求或未经授权的电子邮件、广告、宣传资料、垃圾邮件、

滥发邮件或连锁信，包括但不限于批量商业广告和信息公告;

f. 在电子邮件或新闻群组发布中伪造任何 TCP-IP 数据包标题或标题信息的任何部分，或以其他方式将 信息

放入标题中，以就通过服务传输的任何内容的来源误导收件人(以下简称“电子欺骗”);

g. 上传、发布、发送、传输、存储或以其他方式提供任何包含病毒或任何其他计算机代码、文件或程 序(设计用于或可能危害、干扰或限制服务(或其相关任何部分)正常运行)的材料，或任何其他计 算机软件或硬件;

h. 干扰或破坏服务(包括通过任何自动化方式访问服务，如脚本或网络爬虫)，或干扰或破坏连接到 服务的任何服务器或网络，或违反连接到服务的网络的任何政策、要求或规定(包括相关数据或流量 的任何未经授权的访问、使用或监控);

i. 计划或从事任何非法活动;和/或

j. 收集和存储服务的任何其他用户的个人信息，以用于任何上述禁止活动的相关活动。

C. 内容的删除。贵方确认，Xxxxxx 无需以任何方式对其他人提供的任何内容承担任何责任或义务，同时没有义务预先筛选此类内容。

D. 内容的存储。Claris 可能将贵方内容(以及存储在贵方用户帐户内或通过贵方订阅存储的所有其他内容)存储在位于美国或贵方所在地理区域(根据贵方在购买服务订阅时所提供的位置))的数据中心内，具体由 Claris自行决定。无论各个此类用户的地理位置如何，每位贵方用户的内容都将存储在您的数据中心。贵方负责向每位用户提供本规定的通知，并确保每个此类用户完全遵守与每位用户发布到贵方订阅的任何内容有关的适用法律。如果存在可用的新数据中心或出于任何其他原因需要这样做，则 Xxxxxx 可将贵方内容移至新数据中心。通过服务从第三方应用程序传输的内容根据此类第三方应用程序的条款进行存储。

E. 备份您的内容。贵方负责将通过服务存储或访问的任何重要内容备份到贵方所有的计算机或其他设备中。 Claris 应使用合理的技能和应有的谨慎态度提供服务，但 Xxxxxx 不保证或担保贵方可通过服务存储或访问的 任何内容不会受到无意损坏、损毁或丢失。

F. 访问贵方帐户和内容。Claris 保留采取 Claris 认为合理必要或适当的措施以强制执行和/或验证符合 x协议任何条款的权利。贵方确认并同意，Claris 可以，在法律要求时或在 Claris 负责地认为相关访问、使用、披露或保存对于 (i) 遵守法律程序或要求;(ii) 执行本协议，包括任何潜在违反规定的调查 研究;(iii) 发现、预防或以其他方式处理安全、欺诈或技术问题;或 (d) 根据法律要求或许可保护 Claris 及其用户、第三方或公众的权利、财产或安全而言合理必要时，访问、使用、保存和/或向您执 法机构、政府官员和/或第三方披露贵方帐户信息和内容，无需对贵方负有任何责任。

G. 版权通知 — DMCA 。如果贵方认为使用服务的任何人侵犯了贵方声明版权的任何内容，请按照 xxxxx://xxx.xxxxxx.xxx/xxxxxxx/xxxxx/xxxx/xxxx_xxxxxxx.xxx 中的我方版权政策所述规定联系 Claris 版权代理。 Claris 可经自行决定中止和/或终止屡次侵权的帐户。

H. 违反本协议规定。如果在使用服务时，贵方遇到您认为不适当或认为违反本协议规定的内容，则贵方可通过向 xxxxx@xxxxxx.xxx 发送电子邮件的方式进行报告。

I. 贵方在服务中提交或提供的内容

1. 贵方内容。除我方可能向贵方许可的材料之外，Claris 不会根据贵方在服务中提交或提供材料和/或内容而宣称拥有贵方在服务中所提交或提供材料和/或内容的所有权（包括通过第三方应用程序提供的内容），且贵方保留您的所有权利、所有权和利益。

2. 内容变更或传输。贵方理解，为了提供服务并使贵方内容可用，Claris 可以通过各种公共网络和 各种媒体传输贵方的内容，同时可修改或变更贵方内容以符合连接网络或设备或计算机的技术要求。贵方同意 Xxxxxx 可采取任何此类行动。

3. 商标信息。Claris、Claris 标志、FileMaker、文件夹标志、Claris Connect、Claris Connect 标志以及服务相关的其他 Claris 商标、服务标志、图形和徽标均为 Claris International Inc.在美国和/或其他国家的商标或注册商标。Claris 商标清单可通过 xxxxx://xxx.xxxxxx.xxx/xxxxxxx/xxxxx/xxxxxxxxx- guidelines.html.网址查找。服务相关的其他商标、服务标志、图形和徽标可能是其相应所有者的商标。贵方未被授予任何上述商标相关的任何权利或许可，同时贵方进一步同意，贵方不得删除、隐藏或更改可能附加或包含在服务或软件中的任何所有权声明(包括商标和版权通知)。与服务相关的第三方应用程序商标、服务标志、图形和徽标保留其原始所有权，不受其在服务中使用的影响。

J. 反馈。贵方向 Xxxxxx 及其各个关联公司授予使用贵方或贵方用户向 Claris 提供的任何反馈、意见或建 议的永久、不可撤销、免版税、全额付款、可自由转让且完全可再授权(通过多层级再授权)的全球许可。贵方声明并保证，贵方拥有向 Xxxxxx 及其各个关联公司授予上述许可所需的所有权利。

5. 数据隐私和安全

A. 个人数据和客户指示。根据本协议，Xxxxxx 作为贵方的数据处理者，可接收贵方或贵方用户提供的个人数据。通过签订本协议，贵方指示 Xxxxxx 根据适用法律处理贵方和贵方用户的个人数据:(i) 提供服务;(ii) 遵守贵方通过使用服务给出的指示;(iii) 符合本协议的规定;(iv) 在贵方提供的任何其他书 面指示中进一步记录，并由 Claris 确认为本协议项下的指示。

Claris 应遵守本第 5(A)条中所述的指示，除非适用法律要求禁止这样做，在这种情况下，Xxxxxx 将在处理个

人数据之前通知贵方相关法律要求(除非相应法律出于重要的公共利益理由禁止这样做)。

B. 遵守法律。贵方同意，贵方全权负责确保自身遵守所有适用法律，包括有关通过服务使用或收集数据和信息的隐私和数据保护法。此外，贵方也负责与个人数据相关的所有活动，包括但不限于监控此类个人数据和活动，以及防止和处理不适当的数据和活动，包括删除数据和终止提供此类数据的用户访问。贵方负责保护和限制贵方用户对用户数据的访问以及允许访问使用服务的贵方用户的操作。

C. 个人数据的使用。为了提供服务，贵方指示 Claris 使用贵方和贵方用户通过使用服务向 Claris 提供的 个

人数据，仅在必要时提供和改进服务，但需遵守第 5 条的规定。此外，Claris 应:

1. 根据本协议中所述的贵方指示和权限，以及所有适用的法律、法规、协议或条约，使用和处理相关个人数据。

2. 在 Claris 收到任何访问贵方或贵方用户的服务相关个人数据的请求时，通知贵方，同时 Claris 将合理 地:(i) 与贵方合作以处理此类请求，前提条件是此类请求涉及 Xxxxxx 访问的个人数据;(ii) 以其他方 式为贵方提供适当的方法以直接管理此类请求。如果贵方关于个人数据受到数据保护监管机构或

类似 机构的调查，Claris 应向贵方提供协助和支持以响应相关调查，前提条件是调查涉及 Xxxxxx 访问的服务相关个人数据。

D. 数据事件。如果 Claris 发现贵方的个人数据因服务的任何未授权访问而被更改、删除或丢失(以下 简称“数据事件”)，Claris 将 (i) 按照法律规定不加延误地通知贵方;(ii) 采取合理措施，以尽量减少伤害并确保数据安全。贵方有责任向 Xxxxxx 提供您的最新联系信息，以便接收相关通知。Claris 协助贵方处理与服务相关的个人数据，以确保贵方履行根据 GDPR 第 33 和 34 条(若适用)的规定向监管机构或数据主体提供数据事件通知的义务，或者确保贵方履行适用法律规定的任何其他等同义务。 Claris 将不会访问贵方个人数据的内容，以识别符合任何特定法律规定的资料。贵方负责遵守适用x

xx事件通知法律并履行与数据事件相关的任何第三方义务。Claris 根据本第 5(D)条对数据事件的通知或响

应不得被解释为 Xxxxxx 承认对数据事件的任何责任或义务。

E. 贵方审计/检验权利。如果 GDPR 适用xxx个人数据的处理，Claris 将向贵方提供证明符合 GDPR 第 28条所需的信息。如果贵方根据其他适用法律拥有审计权，Claris 将向贵方提供证明贵方履行此类 法律义务所必需的信息。

F. 安全程序。Claris 应使用行业标准措施在个人数据的传输、处理和存储过程中保护个人数据。经加密的个人资料可能会根据 Claris 的地理位置而储存。作为相关措施的一部分，Xxxxxx 也将采取商业合理 努力以:(a)在闲置和传输过程中加密个人数据;(b) 确保处理系统和服务的持续机密性、完整性、可 用性和适应性;(c) 在发生物理或技术问题时及时恢复个人数据的可用性;(d) 定期测试、评估和评价技术和组织措施的有效性，以确保处理的安全性。只要更新不会导致服务的整体安全性降低，Claris 可不时更新安全功能。

G. 安全控制。Claris 将通过执行本协议第 5(F)条中规定的安全程序协助贵方及贵方履行个人数据安全相关的义务，包括(若适用)贵方机构根据 GDPR 第 32 条需履行的义务。

H. 安全合规性。Claris 将采取适当措施以确保其员工、承包商和分处理者遵守安全程序，同时 Claris 应确保任何有权处理个人数据的人员遵守服务相关个人数据机密性和安全性的适用法律。

I. 数据影响评估和事先协商。Claris 将经自行决定并在涉及 Claris 能够访问的与服务相关的个人数据情况下 协助贵方，以帮助贵方履行要求贵方执行数据保护影响评估的任何适用义务，或依法律要求在处理（数据）之前需与监督机构协商的任何适用义务。

J. 违规通知与合作。贵方应在了解或有理由相信任何人员或实体违反贵方安全条例或出现未授权访问 (1) 个人数据;(2) 任何服务限制区域;或 (3) Claris 的保密信息(统称为“信息安全违规”)情况下，立 即通知 Claris。在出现信息安全违规时，贵方应向 Xxxxxx 提供合理的协助和支持，以最大程度降低数据损害并保障数据安全。

K. 数据传输。Claris 将确保来自欧洲经济区和瑞士的任何个人数据仅传输至确保适当保护水平或符合 GDPR第 46 和 47 条中规定的适当保障措施要求或企业约束规则的第三国，除非第 49 条规定的减损适用。该等保障措施包括适用的标准契约条款/瑞士跨境数据流动协议(“SCC”)，合并为附录 A。 Claris International Inc.位于 5201 Xxxxxxx Xxxxx Drive, Santa Clara, California，是 SCC 下的数据导入商，作为子处理方。如果英国退出欧盟，在本协议有效期内将被视为不适合从 EEA 或瑞士传输个人 数据的国家，SCC 中的数据导入商将是位于 2 Furzeground Way, Stockley Xxxx, Uxbridge, Greater London, UB11 1BB, United Kingdom 的 Claris International。如果必须签订 SCC 才可在欧洲经济区或瑞士以外传输数据，则您同意签订 SCC。

L. 数据访问和检索。Claris 应根据贵方的隐私和/或数据保护义务(如适用)，在必要时，向贵方提供访问、检 索或删除贵方和贵方用户个人数据的能力或协助。Claris 不对贵方在 Claris 系统之外存储或传输的数据负责。发送给 Xxxxxx 的删除请求将在 30 天内完成。

M. 数据破坏。在本协议出于任何原因终止时，Xxxxxx 应在合理的时间期限内(在任何情况下，均不得 超过 45

天)安全销毁 Claris 针对服务存储的贵方和贵方用户个人数据。

N. 第三方请求。如果 Claris 收到有关贵方或贵方用户内容或个人数据第三方请求(以下简称“第三方 请求”)，则 Claris 将 (i) 在法律允许的范围内通知贵方收到第三方请求;并且 (ii) 通知请求者向贵方发 送此类第三方请求。除非法律或第三方请求另有要求，否则贵方将负责回应请求。

O. 访问第三方产品和服务。如果贵方选择访问、使用、下载、安装或启用与服务一并运行但不属于服务一部分的第三方产品或服务，则服务可允许此类产品根据需要访问个人数据，以使用相关附加服务。贵方无需使用与服务相关的其他产品，同时贵方管理员可根据本协议限制使用此类其他产品。在 访问或下载第三方产品或服务之前，贵方应查看第三方产品和服务的条款、政策和惯例，以了解他们可能从贵方用户收集哪些数据，如何使用、共享和存储这些数据，以及(如适用)此类实践是否与贵 方获得的任何许可一致。

6. 所有权;软件

A. Claris 的所有权。贵方确认并同意，Claris 和/或其许可方拥有服务，以及作为服务一部分向贵方提供和/或与服务相关的任何软件(以下简称“软件”)方面的所有合法权利、所有权和利益，包括其中存在的任何和所有知识产权，无论是否注册且无论在世界何地存在亦是如此。贵方进一步同意，服务 (包括软件或相关任何其他部分)包含受适用知识产权和其他法律(包括但不限于版权)保护的专有和机密信息。贵方同意，除了根据本协议使用服务之外，贵方将不会以任何方式使用此类专有信息或材料。除非本协议中明确允许，否则不得以任何形式或任何方式复制服务的任何部分内容。除非本协议中明确规定，否则 Claris 不会授予贵方或贵方用户有关服务、软件或其中存在或相关的任何知识产 权的任何其他许可、权利或权益。

B. 来自 Claris 的许可。 在贵方遵守本协议规定的前提下，Xxxxxx 在本协议期限内仅针对软件的使用授予贵方非独占、不可转让的有限许可，(i) 这由 Claris 作为服务的一部分向贵方提供，同时 (ii) 需符合本协议的规定;然而，前提条件为:贵方不会(且不会允许任何其他人)针对软件进行复制、修改、创建衍生作品、逆向工程、反编译或以其他方式尝试发现源代码(除非适用法律明确允许或要求)，或者不会针对软件进行出售、租赁、再许可、转让、授予担保权益或以其他方式转让软件中的任何权利。

软件或服务任何部分的使用(除本协议允许使用服务外)严禁侵犯 CLARIS 或其他人的知识产权;版权侵犯可

能会使贵方受到民事和刑事处罚，包括可能的金钱损失。

C. 第三方确认。软件的某些组件，以及软件随附的第三方开源程序，已经或可能由 Claris 在其网站 (xxxx://xxx.xxxxxx.xxx/xx/xxxxxxxxx/xxxxxxxxx/)xxx。此类材料的确认、许可条款和免责声明包含在软件的“在线”电子文档中，或者可能以其他方式随附此类材料;贵方对此类材料的使用受其相应的条款约束。对于任何第三方的任何行为或疏忽，Claris 概不负责，同时 Xxxxxx 也不对软件随附或 Claris 在其网站上已经提供或可能提供的任何第三方组件或程序提供任何形式的保证。

D. 出口管制。服务和软件的使用，包括通过服务传输、发布或上传数据、软件或其他内容，可能受美国和 其他国家的进出口法律约束。贵方同意遵守所有适用的进出口法律、法规和政府命令。尤其是，但不限于，软件不得出口或再出口给 (i) 任何美国禁运国家或 (ii) 美国财政部特别指定国民名单或美国商务 部拒绝人员名 单或实体名单上的任何人员或实体。使用软件或服务时，贵方需声明并保证您不位于任何此类国家或任何 此类名单上。此外，贵方还需同意，您将不会把软件或服务用于任何美国法律所禁止的目的，包括但不限 于导弹、核武器、化学武器或生物武器的开发、设计、制造或生产。贵方进一步同意不上传任何下述数据 或软件到贵方帐户:(a) 受《国际武器贸易条例》约束;或 (b) 未事先获得政府书面授权，不得出口，包括但不 限于未事先获得此类授权的某些类型的加密软件和源代码。此类保证和承诺应在本协议终止后继续有效。

7. 期限和终止

A. 协议期限。本协议自贵方首次接受日期起开始生效，直至贵方在本协议项下的所有订阅已过期或已终止时失效。

B. 付费订阅的期限。对于服务的付费订阅，贵方订阅期限将从贵方购买订阅日期开始生效，之后将 在贵方已购买的年度期限或多年期限结束时(“到期日”)终止(以下简称“初始期限”)。在当前订阅期限到期之前的任何时间，贵方可以选择通过您的团队经理的 Claris Customer Console 支付相应的续订费用续订一年(以下简称 “续订期限”)。如果贵方在到期日之前未续订您的当前付款订阅，则 贵方服务订阅将在初始期限的到期日或当前续订期限的最后一天(如适用)自动失效。

C. 贵方或贵方用户自愿终止。

1. 贵方自愿终止服务。贵方可选择让贵组织或公司随时停止使用服务。若要在当前期限到期之前终止贵方服务的订阅，您方必须联系客户支持。贵方团队经理将收到一封电子邮件，其中包含有关如何取消贵方订阅的进一步说明。贵 方在终止前支付的任何费用均不予退还(除非本协议中另有明确规定)，包括针对贵方终止的计费年 度预先支付的任何费用。终止贵方账户并不免除贵方支付任何应计费用的义务。

2. 用户帐户的自愿终止。贵方可以选择通过让贵方团队经理将被授权用户删除来删除贵方的一个用户账户。如果贵方或某个贵方用户根据上述条款终止特定用户帐户，则相关用户将无法再访问与其帐户关联的任何内容或数据。

D. 由 Xxxxxx 终止。Xxxxxx 可在任何时候，在特定情况下，立即终止或中止所有或部分贵方帐户、贵方用户的 帐户和/或贵方或贵方用户的服务访问，无需提供事先通知。此类终止或中止的原因包括(但 不限于):(i) 违反 x条款，或服务中引用和/或发布的任何其他政策或指南;(ii) 贵方取消或终止服务的申请;(iii) 执法部門、司法 机构或其他政府机构的要求和/或命令;(iv) 向贵方提供服务的行为是或 可能是违法行为;(v) 意外的技术或安全 问题;(vi) 贵方参与欺诈或非法活动;或 (vii) 未能支付贵方 所欠的与服务有关的任何费用，但前提是，仅在非 实质性违反本条款的情况下，Claris 才会尽合理努 力提前 30 天向您发出终止或暂停服务的书面通知。任何 此类终止或暂停均应由 Xxxxxx 自行决定，同时 Claris 无需对贵方、贵方任何用户或任何第三方由于贵方帐 户、贵方用户帐户和/或贵方或贵方用户对服务的访问权限终止或中止可能引起或产生的任何损害赔偿负责。 Claris 无需就根据本协议第 7(D)条 对服务或服务条款进行的任何修改对贵方负责。

E. 终止的影响。在贵方订阅出于任何原因到期或终止时，贵方的服务使用许可也将立即终止。贵方团队经理可在到期或终止之后 30 天内访问服务，但仅限于下载贵方存储在服务中的内容或数据副本。根据您内容的数量，下载可能会花费大量时间，如果遇到任何困难，请与客户支持联系。在 30 天之后，贵方将无法再访问服务，同时 Claris 将删除所有存储在贵方实例中或作为贵方服务一部分的内容和数据。

F. 存续。依据其性质的存续性，本协议中的所有条款和规定，包括本协议的任何和所有附录和修正案，应在本协议终止或期满后继续有效。

8. 免责声明

某些司法管辖区不允许排除某些担保。因此，在所适用法律明确禁止此类排除的情况下，下文规定的某些

排除条款可能不适用xxx。

XXXXXX 将使用合理的技能和应有的谨慎态度提供服务。下列免责声明受本明示保证约束。

CLARIS 不担保、声明或保证 (A) 贵方在使用服务时不会中断、出现错误;(B)不保证服务将 7×24 小时提供，同时贵方同意，CLARIS 可能会不定期无限期删除服务，或根据本协议条款取消服务。CLARIS 不保证网络的可用性，同时也不对贵方或贵方用户因网络连接或其他原因而导致的任何宕机事故负责。

贵方明确理解并同意，服务基于“原样”和“可用”基础进行提供。XXXXXX 及其关联公司、子公司、高 级职 员、董事、员工、代理商、合作伙伴和许可方不提供任何明示或暗示的保证，包括但不限于适销 性保证、 特定用途适用性保证和非侵权的暗示保证。尤其注意，XXXXXX 及其关联公司、子公司、高 级职员、董事、员工、代理商、合作伙伴和许可方不会做出任何下述保证:(i) 提供的服务将满足贵 方的要求;(ii) 贵方对于服 务的使用将及时、不间断、安全或无错误;(iii) 贵方因服务而获得的任何 信息将准确或可靠;(iv) 作为服务的 一部分提供给贵方的软件中的任何缺陷或错误将被修正;或 (v) 服务符合所有适用法律之规定。

CLARIS 不声明或保证服务不会遭受数据丢失、损坏、攻击、病毒、干扰、黑客攻击或其他安全入侵问题，同时 CLARIS 对此造成的损失概不负责。

任何通过使用本服务下载或以其他方式获取的材料均在贵方自行决定和承担风险的情况下予以访问，同时贵方将自行对因任何此类材料的下载而导致的贵方设备和计算机损坏或数据丢失承担全部责任。贵方进一步确认，本服务不适用于服务所提供内容、数据或信息失效、时间延迟、错误、不准确、可 能导致死亡、人身伤害、严重物理或环境损坏的情形。

9. 责任限制

某些司法管辖区不允许排除或限制服务提供商的责任。如果所适用法律明确禁止此类排除或限制条款，则下文规定的某些排除或限制条款可能不适用贵方。

XXXXXX 将使用合理的技能和应有的谨慎态度提供服务。因 (a) CLARIS 未能使用合理的技能和应有的谨慎态度;(b) XXXXXX 的故意、重大过失、欺诈行为;或 (c) 死亡或人身伤害原因造成的损失，下列 限制不适用。

贵方明确理解并同意，CLARIS 及其关联公司、子公司、高级职员、董事、员工、代理商、合作伙伴和许可方无需就 (i) 使用或无法使用本服务;(ii) 服务的任何更改，或者任何临时或永久停止服务或其 任何部分;(iii)对贵方的数据及数据的传输的任何未授权访问或修改;(iv) 在服务中或通过服务删除、损坏、未能存储和/或发送或接收贵方的传输或数据;(v) 任何第三方对于本服务的声明或行为; 或 (vi) 服务相关的任何其他事宜，所产生或引起的任何直接、间接、偶然、特殊、后果性或惩罚性损失向贵方承担任何责任，包括但不限于:利润、商誉、使用、数据、替代商品或服务采购成本损失，或其他无形损失(即使已经通知 CLARIS 可能存在此类损失)。

在任何情况下，XXXXXX 的最大赔偿责任均不得超过贵方在前十二个月内订阅服务所支付的金额。

10. 赔偿和豁免

A. 贵方赔偿。对于与以下各项相关或因以下各项引起的第三方提出的任何索赔或请求，包括合理的 律师费用，贵方同意为Claris 及其关联公司、子公司、董事、管理人员、员工、代理人、合作伙伴和 许可人辩护，向其作出赔偿并使其免受损害: (i) 贵方或贵方用户通过服务提交、发布、传输或以其他方式提供的任何内容;(ii) 贵方或贵方用户使用服务;(iii) 贵方或贵方用户实际或涉嫌违反本协议 的规定;(iv) Claris 作为涉嫌违反本协议调查的一部分或由于其发现或确定违反本协议而采取的任何行动;或 (v) 贵方或贵方用户违反其他人员或实体的任何权利或违反任何法律、法规或规范。贵方确认，服务不适用于服务所提供内容、功能、服务、数据或信息中的错误或不准确，或者服务失效，可能导致死亡、人身伤害或严重物理或环境损害情况，并且在法律允许的范围内，贵方特此同意赔偿、保护并使各 Claris 受赔偿方免于承担因贵方或贵方用户的任何此类使用而提出的任何索赔相关责任。贵方不可因为 Claris 及其关联公司、子公司、董事、高级职员、员工、代理商、合作伙伴、承包商和 许可方决定删除或拒绝处理任何信息或内容，对贵方予以警告、中止或终止贵方的服务访问，对涉嫌违反行为进行调查的过程中或由于 Claris 认定已发生违反本协议的行为而采取任何其他行动，而向 Xxxxxx 及其关联公司、子公司、董事、高级职员、员工、代理商、合作伙伴、承包商和许可方提起诉讼。本豁免和赔偿条款适用于本协议中描述或规定的所有违规行为。本条款应在本协议和/或贵方服 务使用的终止或到期后继续有效。贵方确认，贵方对通过贵方的账户使用服务负责，而且本协议适

用 于对贵方账户的所有使用。贵方同意遵守本协议，并就因贵方账户的使用而产生的任何及所有索赔和 要求为 Claris 辩护，向 Xxxxxx 作出赔偿并使 Xxxxxx 免受伤害，而无论此类使用是否得到贵方的明确授 权。

B. 赔偿程序。对于上述第 10(A)条所述的任何索赔，Xxxxxx 将合理及时地向贵方提供书面通知，并将在贵方同意的情况下与贵方合作，为该等索赔进行辩护。贵方将拥有对适用索赔辩护的完全控制权和权限，但下列情况除外:(i) 除非 Claris 有机会审查相关提议解决条款并提供此类提议解决的事先书面许可，否则贵方不得解决索赔;(ii) Claris 可自费与其律师一起参与辩护。

11. 可能侵权

如果 Claris 认为服务或软件侵犯或可能被指控侵犯第三方的知识产权，则 Claris 可:(a) 在自行承担费用的情况下，获得继续使用服务或软件的权利;(b) 提供非侵权功能相当的替代品;或 (c) 修改服务或软件，使其不再侵权。如果 Xxxxxx 认为本条中所描述的选项在商业上不合理，则 Claris 可以中止或终止 Claris 对受影响服务或软件的使用，并按比例退还服务或软件的预付费用。

12. 一般条款

A. 通知。Claris 可通过向贵方电子邮件地址发送电子邮件或通过我方网站和/或服务发布从而向贵方服务相关通知。贵方同意通过电子邮件接收通知，并且同意 Claris 以电子方式向贵方发送的任何此类通知将满足任何法律通信要求。发送给 Claris 的任何通知必须 (a) 由美国邮政服务公司发送，或 (b) 通过隔夜航空快递发送，在各情况下都预付邮资并正确邮寄至:Legal Department, Claris International Inc., 5201 Xxxxxxx Xxxxx Drive, MS C-51, Santa Clara, California 95054 U.S.A.，同时通过电子邮件发送副本至 xxxxx@xxxxxx.xxx。

B. 适用法律。 除下述条款明确规定的情况之外，本协议以及贵方与 Claris 之间的关系应受加利福尼亚州法律管辖，但不包括存在法律冲突的规定。贵方和 Claris 同意服从加利福尼亚州圣xxx县法院的属人和专属管辖权，旨在解决本协议所引起的任何争议或索赔。

如果贵方在美国境外，则管辖法律和法院应为向贵方提供服务的 Claris 实体所在国家相应地区的法律和法

院。

特别排除在本协议适用范围之外的是《联合国国际货物销售合同公约》。

C. 完整协议。本协议，以及所有其他适用政策和协议构成贵方与 Claris 之间的完整协议，管理贵方的服务使用，并且完全取代贵方与 Claris 之间就服务和软件达成的任何先前协议。

D. 附加条款和条件。当贵方使用相关服务、第三方内容或第三方软件时，贵方可能还需受附加条款和条件约束。

E. 可分割性。如果本协议的任何部分被视为无效或不可执行，则该部分应以与适用法律一致的方式解释，以尽可能地反映协议双方的原始意图，其余部分应继续具有完全的法律效力。

F. 不弃权。不行使或不执行本协议项下的任何权利或本协议的任何条款，并不构成对该等权利或条款的放

弃。

G. 无第三方受益人。贵方同意，除非本协议中另有明确规定，否则本协议无第三方受益人。

H. 转让。未经 Claris 事先书面许可，贵方不得通过法律或其他方式，全部或部分转让或转移本协议。对于本协议而言，任何控制权的变更，包括但不限于任何合并、收购、公司重组或贵方全部或几乎所有资产的

出售，均应被视为转让或转让，但这需获得 Claris 的事先书面许可。任何违反上述规定的转让均应无效。在符合上述规定的前提下，本协议将对协议双方具有约束力并保障协议双方及其相应继承人和许可受让人的利益。

I. 联邦政府最终用户。服务、软件和相关文档属于“商业项目”(如 48 C.F.R.§2.101 中所定义)，由“商 业计算机软件”和“商业计算机软件文档”组成(如 48 C.F.R.§12.212 或 48 C.F.R.§227.7202(若适用)中所使用)。根据 48 C.F.R.§12.212 或 48 C.F.R.§227.7202-1 至 227.7202-4(若适用)的规定，商业计算机 软件和商业计算机软件文档 (a) 仅作为商业项目被许可给美国政府最终用户，同时 (b) 仅具有根据本 协议条款和条件授予所有其他最终用户的相关权利。根据美国版权法保留未公开的权利。

J. 律师x。在适用法律未禁止的范围内，如果任何诉讼或程序(无论监管、行政、普通法或衡平法相 关)为执行或解释本协议任何条款或规定已开始或提起，则在任何此类诉讼或程序中，胜诉方有权收 回其合理的律师费、专家证人费、诉讼费和开支(除胜诉方可能享有的任何其他救济之外)。如本协议中所述，“胜诉方”包括但不限于放弃本协议项下的追偿诉讼以换取所称应付或所称违约或违反承 诺应付款项，或者换取与诉讼寻求救济基本等同对价的一方。

K. 不可抗力。任一方均无需对由于战争、敌对、恐怖主义、公民不服从、火灾、地震、天灾、自然 灾害、事故、流行病、劳资纠纷、政府限制(包括拒绝或取消任何出口/进口或其他许可)或超出责任方合理控制范围的其他事件所导致或引起的履约失败或延迟承担任何责任，前提条件是:在发现不可抗力事件之后五(5)个工作日内，该方需向另一方提供书面通知。协议双方将通过合理努力以降低不可抗力事件的影响。在发生

此类不可抗力事件时，履约和补救的时间将根据不可抗力事件的持续时间相应地延长，但在任何情况下均不得超过三十(30)天。本条不能免除任一方执行和遵守合理灾难恢复程序的义务。

在本协议中，“Claris”指:

Claris International Inc.，公司地址为:5201 Xxxxxxx Xxxxx Drive, Santa Clara, California，或

Claris International，公司地址为:2 Furzeground Way, Stockley Xxxx, Uxbridge, Greater London, UB11 1BB, United Kingdom。

电子订约

贵方的服务使用包含以电子方式签订协议和/或进行交易的能力。贵方确认，贵方电子提交资料构成贵方同意受相关协议和交易约束并支付相关费用的约定。贵方同意受电子提交资料约束的情况适用xxx在此类服务中输入的所有交易相关的所有记录，包括取消通知、政策、合同和申请。若要访问和保留贵方电子记录，贵方可能需要使用某些硬件和软件，这需由贵方全权负责获取。

052020

附件 A

Standard Contractual Clauses (processors)

For the purposes of Article 26(2) of Directive 95/46/EC for the transfer of personal data to processors established in third countries which do not ensure an adequate level of data protection

Name of the data exporting organisation: Company

Address:

And

Name of the data importing organisation: Claris International Inc.

Address: 5201 Xxxxxxx Xxxxx Drive, Santa Clara, CA 95054, United States of America

Or, as appropriate, as per the Terms of Service

Name of the data importing organisation: Claris International

Address: 2 Furzeground Way, Stockley Xxxx, Uxbridge, Greater London, UB11 1BB, United Kingdom

Each a “party”; together “the parties”,

HAVE AGREED on the following Contractual Clauses (the Clauses) in order to adduce adequate safeguards with respect to the protection of privacy and fundamental rights and freedoms of individuals for the transfer by the data exporter to the data importer of the personal data specified in Appendix 1.

052020

For the purposes of the Clauses:

Clause 1

Definitions

(a) 'personal data', 'special categories of data', 'process/processing', 'controller', 'processor', 'data subject' and 'supervisory authority' shall have the same meaning as in Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data;

(b) 'the data exporter' means the controller who transfers the personal data;

(c) the data importer' means the processor who agrees to receive from the data exporter personal data intended for processing on his behalf after the transfer in accordance with his instructions and the terms of the Clauses and who is not subject to a third country's system ensuring adequate protection within the meaning of Article 25(1) of Directive 95/46/EC;

(d) 'the subprocessor' means any processor engaged by the data importer or by any other subprocessor of the data importer who agrees to receive from the data importer or from any other subprocessor of the data importer personal data exclusively intended for processing activities to be carried out on behalf of the data exporter after the transfer in accordance with his instructions, the terms of the Clauses and the terms of the written subcontract;

(e) 'the applicable data protection law' means the legislation protecting the fundamental rights and freedoms of individuals and, åin particular, their right to privacy with respect to the processing of personal data applicable to a data controller in the Member State in which the data exporter is established;

(f) 'technical and organisational security measures' means those measures aimed at protecting personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing.

Clause 2

Details of the transfer

The details of the transfer and in particular the special categories of personal data where applicable are specified in Appendix 1 which forms an integral part of the Clauses.

Clause 3

Third-party beneficiary clause

1. The data subject can enforce against the data exporter this Clause, Clause 4(b) to (i), Clause 5(a) to (e), and (g) to (j), Clause 6(1) and (2), Clause 7, Clause 8(2), and Clauses 9 to 12 as third-party beneficiary.

2. The data subject can enforce against the data importer this Clause, Clause 5(a) to (e) and (g), Clause 6, Clause 7, Clause 8(2), and Clauses 9 to 12, in cases where the data exporter has factually disappeared or has ceased to exist in law unless any successor entity has assumed the entire legal obligations of the data exporter by contract

052020

or by operation of law, as a result of which it takes on the rights and obligations of the data exporter, in which case the data subject can enforce them against such entity.

3. The data subject can enforce against the subprocessor this Clause, Clause 5(a) to (e) and (g), Clause 6, Clause 7, Clause 8(2), and Clauses 9 to 12, in cases where both the data exporter and the data importer have

factually disappeared or ceased to exist in law or have become insolvent, unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law as a result of which it takes on the rights and obligations of the data exporter, in which case the data subject can enforce them against such entity. Such third-party liability of the subprocessor shall be limited to its own processing operations under the Clauses.

4. The parties do not object to a data subject being represented by an association or other body if the data subject so expressly wishes and if permitted by national law.

Clause 4

Obligations of the data exporter

The data exporter agrees and warrants:

(a) that the processing, including the transfer itself, of the personal data has been and will continue to be carried out in accordance with the relevant provisions of the applicable data protection law (and, where applicable, has been notified to the relevant authorities of the Member State where the data exporter is established) and does not violate the relevant provisions of that State;

(b) that it has instructed and throughout the duration of the personal data processing services will instruct the data importer to process the personal data transferred only on the data exporter's behalf and in accordance with the applicable data protection law and the Clauses;

(c) that the data importer will provide sufficient guarantees in respect of the technical and organisational security measures specified in Appendix 2 to this contract;

(d) that after assessment of the requirements of the applicable data protection law, the security measures are appropriate to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing, and that these measures ensure a level of security appropriate to the risks presented by the processing and the nature of the data to be protected having regard to the state of the art and the cost of their implementation;

(e) that it will ensure compliance with the security measures;

(f) that, if the transfer involves special categories of data, the data subject has been informed or will be informed before, or as soon as possible after, the transfer that its data could be transmitted to a third country not providing adequate protection within the meaning of Directive 95/46/EC;

(g) to forward any notification received from the data importer or any subprocessor pursuant to Clause 5(b) and Clause 8(3) to the data protection supervisory authority if the data exporter decides to continue the transfer or to lift the suspension;

(h) to make available to the data subjects upon request a copy of the Clauses, with the exception of Appendix 2, and a summary description of the security measures, as well as a copy of any contract for subprocessing services

which has to be made in accordance with the Clauses, unless the Clauses or the contract contain commercial information, in which case it may remove such commercial information;

(i) that, in the event of subprocessing, the processing activity is carried out in accordance with Clause 11 by a subprocessor providing at least the same level of protection for the personal data and the rights of data subject as the data importer under the Clauses; and

(j) that it will ensure compliance with Clause 4(a) to (i).

Clause 5

Obligations of the data importer

The data importer agrees and warrants:

(a) to process the personal data only on behalf of the data exporter and in compliance with its instructions and the Clauses; if it cannot provide such compliance for whatever reasons, it agrees to inform promptly the data exporter of its inability to comply, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract;

(b) that it has no reason to believe that the legislation applicable to it prevents it from fulfilling the instructions received from the data exporter and its obligations under the contract and that in the event of a change in this legislation which is likely to have a substantial adverse effect on the warranties and obligations provided by the Clauses, it will promptly notify the change to the data exporter as soon as it is aware, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract;

(c) that it has implemented the technical and organisational security measures specified in Appendix 2 before processing the personal data transferred;

(d) that it will promptly notify the data exporter about:

(i) any legally binding request for disclosure of the personal data by a law enforcement authority unless otherwise prohibited, such as a prohibition under criminal law to preserve the confidentiality of a law enforcement investigation,

(ii) any accidental or unauthorised access, and

(iii) any request received directly from the data subjects without responding to that request, unless it has been otherwise authorised to do so;

(e) to deal promptly and properly with all inquiries from the data exporter relating to its processing of the personal data subject to the transfer and to abide by the advice of the supervisory authority with regard to the processing of the data transferred;

(f) at the request of the data exporter to submit its data processing facilities for audit of the processing activities covered by the Clauses which shall be carried out by the data exporter or an inspection body composed of independent members and in possession of the required professional qualifications bound by a duty of confidentiality, selected by the data exporter, where applicable, in agreement with the supervisory authority;

(g) to make available to the data subject upon request a copy of the Clauses, or any existing contract for subprocessing, unless the Clauses or contract contain commercial information, in which case it may remove such

commercial information, with the exception of Appendix 2 which shall be replaced by a summary description of the security measures in those cases where the data subject is unable to obtain a copy from the data exporter;

(h) that, in the event of subprocessing, it has previously informed the data exporter and obtained its prior written consent;

(i) that the processing services by the subprocessor will be carried out in accordance with Clause 11;

(j) to send promptly a copy of any subprocessor agreement it concludes under the Clauses to the data exporter.

Clause 6

Liability

1. The parties agree that any data subject, who has suffered damage as a result of any breach of the obligations referred to in Clause 3 or in Clause 11 by any party or subprocessor is entitled to receive compensation from the data exporter for the damage suffered.

2. If a data subject is not able to bring a claim for compensation in accordance with paragraph 1 against the data exporter, arising out of a breach by the data importer or his subprocessor of any of their obligations referred to in Clause 3 or in Clause 11, because the data exporter has factually disappeared or ceased to exist in law or has become insolvent, the data importer agrees that the data subject may issue a claim against the data importer as if it were the data exporter, unless any successor entity has assumed the entire legal obligations of the data exporter by contract of by operation of law, in which case the data subject can enforce its rights against such entity.

The data importer may not rely on a breach by a subprocessor of its obligations in order to avoid its own liabilities.

3. If a data subject is not able to bring a claim against the data exporter or the data importer referred to in paragraphs 1 and 2, arising out of a breach by the subprocessor of any of their obligations referred to in Clause 3 or in Clause 11 because both the data exporter and the data importer have factually disappeared or ceased to exist in law or have become insolvent, the subprocessor agrees that the data subject may issue a claim against the data subprocessor with regard to its own processing operations under the Clauses as if it were the data exporter or the data importer, unless any successor entity has assumed the entire legal obligations of the data exporter or data importer by contract or by operation of law, in which case the data subject can enforce its rights against such entity. The liability of the subprocessor shall be limited to its own processing operations under the Clauses.

Clause 7

Mediation and jurisdiction

1. The data importer agrees that if the data subject invokes against it third-party beneficiary rights and/or claims compensation for damages under the Clauses, the data importer will accept the decision of the data subject:

(a) to refer the dispute to mediation, by an independent person or, where applicable, by the supervisory authority;

(b) to refer the dispute to the courts in the Member State in which the data exporter is established.

2. The parties agree that the choice made by the data subject will not prejudice its substantive or procedural rights to seek remedies in accordance with other provisions of national or international law.

Clause 8

Cooperation with supervisory authorities

1. The data exporter agrees to deposit a copy of this contract with the supervisory authority if it so requests or if such deposit is required under the applicable data protection law.

2. The parties agree that the supervisory authority has the right to conduct an audit of the data importer, and of any subprocessor, which has the same scope and is subject to the same conditions as would apply to an audit of the data exporter under the applicable data protection law.

3. The data importer shall promptly inform the data exporter about the existence of legislation applicable to it or any subprocessor preventing the conduct of an audit of the data importer, or any subprocessor, pursuant to paragraph 2. In such a case the data exporter shall be entitled to take the measures foreseen in Clause 5 (b).

Clause 9

Governing Law

The Clauses shall be governed by the law of the Member State in which the data exporter is established.

Clause 10

Variation of the contract

The parties undertake not to vary or modify the Clauses. This does not preclude the parties from adding clauses on business related issues where required as long as they do not contradict the Clause.

Clause 11

Subprocessing

1. The data importer shall not subcontract any of its processing operations performed on behalf of the data exporter under the Clauses without the prior written consent of the data exporter. Where the data importer subcontracts its obligations under the Clauses, with the consent of the data exporter, it shall do so only by way of a written agreement with the subprocessor which imposes the same obligations on the subprocessor as are imposed on the data importer under the Clauses. Where the subprocessor fails to fulfil its data protection obligations under such written agreement the data importer shall remain fully liable to the data exporter for the performance of the subprocessor's obligations under such agreement.

2. The prior written contract between the data importer and the subprocessor shall also provide for a third- party beneficiary clause as laid down in Clause 3 for cases where the data subject is not able to bring the claim for compensation referred to in paragraph 1 of Clause 6 against the data exporter or the data importer because they have factually disappeared or have ceased to exist in law or have become insolvent and no successor entity has assumed the entire legal obligations of the data exporter or data importer by contract or by operation of law. Such third-party liability of the subprocessor shall be limited to its own processing operations under the Clauses.

3. The provisions relating to data protection aspects for subprocessing of the contract referred to in paragraph 1 shall be governed by the law of the Member State in which the data exporter is established.

4. The data exporter shall keep a list of subprocessing agreements concluded under the Clauses and notified by the data importer pursuant to Clause 5 (j), which shall be updated at least once a year. The list shall be available to the data exporter's data protection supervisory authority.

Clause 12

Obligation after the termination of personal data processing services

1. The parties agree that on the termination of the provision of data processing services, the data importer and the subprocessor shall, at the choice of the data exporter, return all the personal data transferred and the copies thereof to the data exporter or shall destroy all the personal data and certify to the data exporter that it has done so, unless legislation imposed upon the data importer prevents it from returning or destroying all or

part of the personal data transferred. In that case, the data importer warrants that it will guarantee the confidentiality of the personal data transferred and will not actively process the personal data transferred anymore.

2. The data importer and the subprocessor warrant that upon request of the data exporter and/or of the supervisory authority, it will submit its data processing facilities for an audit of the measures referred to in paragraph 1.

On behalf of the data exporter:

Name: Position:

On behalf of the data exporter: Name: Xxxxxx Xxxxxx

Position: Secretary

Signature:

052020

Appendix 1 to the Standard Contractual Clauses Data exporter

The data exporter is (please specify briefly your activities relevant to the transfer): The data exporter is the legal entity that has entered into the Claris Connect Terms of Service.

Data importer

The data importer is (please specify briefly your activities relevant to the transfer): The data importer provides information system and technology services.

Data subjects

The personal data transferred concern the following categories of data subjects: Data exporter may submit personal data to the Service as determined and controlled by the data exporter in its sole discretion, and which may include, but is not limited to personal data relating to the following categories of data subjects: -Employees or Users of data exporter

-Customers, Vendors or Suppliers of data exporter

Categories of data

The personal data transferred concern the following categories of data:

Data exporter may submit personal data to the Service as determined and controlled by the data exporter in its sole discretion, and which may include, but is not limited to the following categories of personal data: First and Last Name

Email Address

Phone Number Physical Address

Special categories of data

The personal data transferred concern the following special categories of data: Data exporter may submit special categories of data to the Service as determined and controlled by the data exporter in its sole discretion.

Processing operations

The personal data transferred will be subject to the following basic processing activities: Personal data shall be processed in the context of the provision of information system and technology services pursuant to the Claris Connect Terms of Service.

052020

DATA EXPORTER

Name:

Date:

Authorised Signature:

DATA IMPORTER

Name: Claris International Inc. or Claris International By: Xxxxxx Xxxxxx, Secretary

Date: September 10, 2019

Authorised Signature:

052020

Appendix 2 to the Standard Contractual Clauses

Description of the technical and organisational security measures implemented by the data importer in accordance with Clauses 4(d) and 5(c):

Data importer shall implement a comprehensive and current Personal Data protection and security program to ensure appropriate protection of the Personal Data against accidental or unlawful destruction or accidental loss, alteration, unauthorized disclosure or access, particularly where the processing involves the transmission of the Personal Data over a network, and against all other unlawful forms of processing.

Data importer hereby undertakes to use commercially reasonable efforts to:

- prevent any unauthorised person from accessing the facilities used for data processing (monitoring of entry to facilities);

- prevent data media from being read, copied, amended or moved by any unauthorised persons (monitoring of media);

- prevent the unauthorised introduction of any data into the information system, as well as any unauthorized knowledge, amendment or deletion of the recorded data (monitoring of memory);

- prevent data processing systems from being used by unauthorised persons using data transmission facilities (monitoring of usage);

- ensure that authorised persons, when using an automated data processing system, may access only those data that are within their competence (monitoring of access);

- ensure the checking and recording of the identity of third parties to whom the data can be transmitted by transmission facilities (monitoring of transmission);

- ensure that the identity of all persons who have or have had access to the information system and the data introduced into the system can be checked and recorded ex post facto, at any time and by relevant persons (monitoring of introduction);

- prevent data from being read, copied, amended or deleted in an unauthorised manner when data are disclosed and data media transported (monitoring of transport); and

- safeguard data by creating backup copies (monitoring of availability).

It is acknowledged that the foregoing technical and organisational measures are subject to technical progress, organisational changes, and other developments, and the Data Importer may implement adequate alternative measures if these measures do not derogate from the level of protection contractually agreed upon.

DATA EXPORTER

Name:

Date:

Authorised Signature:

DATA IMPORTER

Name: Claris International Inc. or Claris International By: Xxxxxx Xxxxxx, Secretary

Date: September 10, 2019

Authorised Signature:

052020