top of page

個人資料處理標準合約

緣,歐洲資料隱私及保護法令要求位於歐盟/歐洲經濟區(EU/EEA)之資料輸出者將資料移轉至非歐盟/歐洲經濟區國家時,須確保具備適足程度之保護,前述保護可藉由簽署於2010年2月5日之歐盟執委會決議(EC Commission Decision)第2010/87/EU號對資料從EU/EEA境內資料控管者移轉至非EU/EEA資料處理者之資料移轉訂定之契約範本(下稱契約範本)而達成;

 

緣,本合約係作為既有及未來處理受保護資料之框架,資料輸入者及資料輸出者得針對本合約訂定、簽署及增加其他附錄(如適用),以規範受保護資料之進一步處理;

 

緣,本合約係針對任何資料輸入者(不論自身或透過次級處理者)所蒐集或由資料輸入者提供予資料輸出者之個人資料的保護(下稱受保護資料),釐清其各自之權利與義務。資料輸出者同意,資料輸入者(不論自身或透過次級處理者)以資料處理者身分代資料輸出者處理受保護資料,惟資料輸出者依然為資料控管者。資料輸出者有資格行使資料輸出者及身為資料控管者身份時因本合約而產生之合約權利與權限,為避免疑義,資料輸出者仍隨時有資格以其自身名義行使該等權利與權限。

 

為使資料輸出者及資料輸入者能在遵循相關法律以及基於其他有效暨有價值之原因下交換受保護資料,並處理受保護資料,雙方約定同意以下條款,以資共同遵循(為避免疑義,本合約之任何條款如未牴觸契約範本,應繼續有效):

第一條 詞彙定義

本合約針對特定詞彙所使用之定義如本合約或原合約所定義:

  1. 次級處理者係指受資料輸入者委託或受資料輸入者委託其他任何次級處理者複委託之任何處理者,其同意自資料輸入者或自資料輸入者委託之其他任何次級處理者收受個人資料,於資料移轉後,僅得依資料輸出者之指示及此等條款之條款及書面轉承包合約之條款,代資料輸出者為執行處理活動;

  2. 受保護資料係指與已識別或可識別之自然人有關之任何資訊。可識別之自然人是指尤其透過參照某種識別符號,例如姓名、身分證號碼、位址資料、線上識別碼,或該自然人之身體、生理、基因、心理、經濟、文化或社會身分所特有之一種或數種因素,而可直接或間接予以識別之自然人;

  3. 受保護資料違規情事係指可能對資料輸入者所處理受保護資料之可用性、完整性及/或機密性產生影響之任何資安事件,包括但不限於:發現意外刪除受保護資料、發現未經授權或已終止授權之資源竟可存取該資料、發現資料被意外揭露或因駭客攻擊或其他外部資安威脅而可能危及資料;

  4. 服務係指資料輸入者之處理服務;

  5. 相關資料隱私法令係指與提供服務有關之任何資料保護及隱私權法律。

  6. 相關資料保護法係指保護個人基本權利與自由之立法,尤其是關於資料輸出者設立所在地之會員國規範資料控管者處理個人資料時對個人穩私權之保護;

  7. 契約範本係指依據2010年2月5日歐盟執委會決議第2010/87/EU號有關移轉個人資料至設立於第三國之處理者之標準契約條款;

  8. 個人資料、特殊資料類別、控管者、處理者及監理機關等詞彙,與1995年10月24日歐洲議會及理事會保護個人有關個人資料處理及該等資料自由流通之第95/46/EC號指令定義相同;

  9. 處理係指針對受保護資料或受保護資料組合所進行之任何作業或作業組合,不論是否透過自動化方式,例如蒐集、記錄、組織、結構化、儲存、改編或修改、擷取、諮詢、使用、透過傳輸而揭露、散布或以其他方式提供、調整或整合、限制、刪除或銷毀,與1995年10月24日歐洲議會及理事會保護個人有關個人資料處理及該等資料自由流通之第95/46/EC號指令定義相同;

  10. 條款係指本合約之所有條款,除非文義另有規定;

  11. 會員國係指EU/EEA境內任何國家,以及就本合約之目的而言,指資料輸出者設立所在之每一國家;

  12. 資料輸出者係指騰學廣告科技股份有限公司之客戶及其關連企業,不論其所在地是否為EU/EEA境內或境外,資料輸出者為移轉個人資料之控管者;

  13. 資料輸入者係指騰學廣告科技股份有限公司、其關連企業及其次級處理者,不論其所在地是否為EU/EEA境內或境外,資料輸入者同意自資料輸出者收受個人資料之處理者,目的在代資料輸出者於移轉後依照指示及此條款之規定處理資料,且其非受第三國制度之約束,確保符合第95/46/EC號指令第25(1)條所規定之適足保護程度;

  14. 資料主體係指藉由其受保護資料而識別或可識別之任何自然人,與1995年10月24日歐洲議會及理事會保護個人有關個人資料處理及該等資料自由流通之第95/46/EC號指令定義相同。

  15. 資料主體權利係指資料主體依相關資料隱私法令而得主張之任何權利,包括但不限於以下權利:(i)存取、更正及刪除受保護資料,(ii)反對或限制受保護資料之處理,(iii)撤回同意,(iv)資料可攜權,及(v)提出申訴,依其適用情形。

  16. 資料隱私影響評估係指針對受保護資料之處置進行結構性與反覆性分析,從而提供資訊以便發 現、評估及減輕資料隱私與保護風險,並說明為降低資料隱私與保護風險之影響與可能性而設計之因應措施適當且合乎比例,包括技術與組織措施。

 

第二條 合約生效日

本合約自2018年5月25日起生效。

 

第三條 資料處理之移轉;範圍與存續期限

  1. 資料輸出者以資料控管者身分,茲依據本合約將受保護資料之處理移轉予資料輸入者作為資料處理者(下稱移轉)。

  2. 移轉之範圍與目的:移轉之範圍僅限於為提供服務而處理受保護資料,尤其是資料輸出者之雇員、客戶或承包商之資料。資料輸入者與次級處理者處理受保護資料之唯一目的是提供服務。移轉有效期限為原合約有效期限。

第四條 第三方受益人條款

  1. 資料主體可能以第三方受益人身分,就本條、第五條第2項至第9項、第六條第1項至第5項及第7項至第9項、第七條第1項與第2項、第八條、第九條第2項以及第十條至第十三條,向資料輸出者採取行動。

  2. 若資料輸出者已實質消失或停止法律之存續,則資料主體可能就本條、第六條第1項至第5項及第7項、第七條、第八條、第九條第2項以及第十條至第十三條,向資料輸入者採取行動,除非有任何繼任實體因取得資料輸出者之權利義務,因而依契約或藉由法律之施行而承擔資料輸出者之全部法律義務;該情況下,資料主體可能向該實體執行權利。

  3. 若資料輸出者與資料輸入者均已實質消失或停止法律之存續或失去償債能力,則資料主體可能就本條、第六條第1項至第5項及第7項、第七條、第八條、第九條第2項以及第十條至第十三條,向次級處理者採取行動,除非有任何繼任實體因取得資料輸出者之權利義務,因而依契約或藉由法律之施行而承擔資料輸出者之全部法律義務;該情況下,資料主體可能向該實體執行權利。次級處理者之前揭第三人賠償責任應僅限於其自身依此等條款所為之處理作業。

  4. 資料主體如明確表態且經國內法許可,則資料輸出者與資料輸入者不反對資料主體由某團體或其他組織作為其代表。

第五條 資料輸出者之義務

資料輸出者同意及保證:

  1. 個人資料之處理,包括移轉本身,向來且將繼續依據相關資料保護法之相關規定執行(如適用,並已通知資料輸出者設立所在地之會員國主管機關),且不會違反該國之相關規定;

  2. 其已指示且於個人資料處理服務存續期間內將指示資料輸入者僅能代表資料輸出者及依據相關資料保護法和此等條款,處理移轉之個人資料;

  3. 資料輸入者應明定個人資料保護之技術與組織安全措施並提供充分保證;

  4. 於評估相關資料保護法規定後,安全措施將妥善保護個人資料免於遭意外或非法毀損或意外遺失、竄改、未經授權揭露或存取(尤其當資料處理涉及網絡中之資料傳輸時),以及免於其他所有非法形式之處理,且考量到當前技術水準與執行成本後,前揭措施對於資料之處理與性質所呈現之風險能確保提供適當對應之安全水準;

  5. 其將確保遵循該等安全措施;

  6. 若移轉涉及特殊資料類別,則已告知資料主體或將於移轉前或盡速於移轉後告知資料主體有關其資料可能傳輸至未提供符合第95/46/EC號指令所規定之適足保護之第三國;

  7. 若資料輸出者決定繼續移轉或解除暫停,則其依第5(b)條與第8(3)條自資料輸入者或任何次級處理者收取之任何通知將轉交資料保護監理機關;

  8. 於資料主體請求時,將此等條款之副本及安全措施摘要說明以及須依此等條款訂立之任何次級處理服務契約副本,提供予資料主體;若此等條款或契約含商業資訊,得移除該等商業資訊;

  9. 如係使用次級處理之情形,將由提供與資料輸入者依此等條款所負之個人資料與資料主體權利保障至少同等保障程度之次級處理者,依據第11條執行處理活動;及

  10. 其將確保遵循第五條第1項至第9項之規定。

 

第六條 資料輸入者之義務

資料輸入者同意及保證:

  1. 僅代表資料輸出者及在遵循其指示與此等條款之下處理個人資料;若其因任何原因而無法提供前揭遵循,其同意即刻告知資料輸出者其無法遵循,此情況下,資料輸出者有權暫停移轉資料及/或終止契約;

  2. 其無理由認為其所適用之法規禁止其履行自資料輸出者收受之指示及契約義務,且倘若前揭法規變更以致可能對此等條款規定之保證與義務造成實質不利影響,其將盡速於獲悉後即刻告知資料輸出者該項變更,此情況下,資料輸出者有權暫停移轉資料及/或終止契約;

  3. 其處理移轉之個人資料前已實施技術與組織安全措施;

  4. 其將即刻通知資料輸出者有關以下情事:

  5. 執法機關依法要求揭露個人資料時,但如另有禁止規定,例如刑法規定須對執法調查予以保密時,不在此限,

  6. 任何意外或未經授權存取情事,及

  7. 直接接獲資料主體之任何請求且尚未回應該請求時,但若另經授權可逕行回應者,不在此限;

  8. 即刻及妥善處理所有來自資料輸出者有關所欲移轉之個人資料處理之詢問,並遵守監理機關有關處理移轉資料之建議;

  9. 於資料輸出者請求時,呈交其資料處理設施以供稽核此等條款所規範之處理活動,前揭稽核將由資料輸出者執行,或由資料輸出者選出且如適用時經監理機關同意並具有必要專業資格及負保密義務之獨立成員組成之調查單位執行;

  10. 倘若資料主體無法自資料輸出者取得此等條款之副本或任何既有之次級處理契約,則於資料主體請求時,將前述文件提供予資料主體,若此等條款或契約含商業資訊,得移除該等商業資訊;

  11. 若為次級處理之情形,其已事先告知資料輸出者並取得其事前書面同意;

  12. 次級處理者之處理服務將依第11條執行;

  13. 將依此等條款訂定之任何次級處理者合約副本即刻送交至資料輸出者。

第七條 賠償責任

  1. 資料輸出者與資料輸入者同意,任何資料主體如因任一方或次級處理者違反第四條或第十二條所述義務以致發生損害,則有資格就其發生之損害向資料輸出者收取賠償金。

  2. 若因資料輸出者已實質消失或停止法律之存續或失去償債能力,以致資料主體無法因資料輸入者或其次級處理者違反第四條或第十二條義務而依本條第1項向資料輸出者提出索賠,則資料輸入者同意資料主體得向資料輸入者提出索賠,猶如其為資料輸出者一般,除非有任何繼任實體依契約或藉由法律之施行而承擔資料輸出者之全部法律義務;此情況下,資料主體可向該實體執行其權利。資料輸入者不得藉由次級處理者違反義務而規避其自身之賠償責任。

  3. 若因資料輸出者與資料輸入者皆已實質消失或停止法律之存續或失去償債能力,以致資料主體無法因次級處理者違反第四條或第十二條規定之義務而依本條第1項及第2項向資料輸出者或資料輸入者提出索賠,則次級處理者就其自身之處理作業同意資料主體得依此等條款向該次級處理者提出索賠,猶如其為資料輸出者或資料輸入者一般,除非有任何繼任實體依契約或藉由法律之施行而承擔資料輸出者或資料輸入者之全部法律義務;此情況下,資料主體可向該實體執行其權利。次級處理者之賠償責任應僅限於其自身依此等條款所為之處理作業。

第八條 調解及管轄權

  1. 資料輸入者同意,若資料主體援引其第三方受益人權利及/或依此等條款請求損害賠償,則資料輸入者將接受該資料主體之以下決定:

  2. 將爭議交由獨立人士或(如適用)監理機關進行調解;

  3. 將爭議交付資料輸出者設立所在之會員國法院。

  4. 資料輸出者與資料輸入者同意資料主體所為之選擇將不影響其依據其他國內或國際法條款尋求救濟之實質或程序權利。

第九條 與監理機關合作

  1. 資料輸出者同意於監理機關要求時或如依相關資料保護法須為後述留存時,向監理機關留存本契約副本乙份。

  2. 資料輸出者與資料輸入者同意監理機關有權針對資料輸入者及任何次級處理者進行稽核,稽核範圍和條件與依相關資料保護法對資料輸出者之稽核相同。

  3. 如有相關適用法律可免除依第2項對資料輸入者或其任何次級處理者執行稽核,資料輸入者應即刻告知資料輸出者。此情況下,資料輸出者有權採取第六條第2項之措施。

 

第十條 準據法

本合約以資料輸出者設立所在會員國之法律為準據法。
 
第十一條 契約之變更

資料輸出者與資料輸入者承諾不變更或修改此等條款,但此規定不妨礙資料輸出者與資料輸入者於必要時針對業務相關議題新增條款,惟前提是不牴觸此等條款。
 

第十二條 次級處理

資料輸入者未經資料輸出者事前書面同意,不得將其依此等條款代表資料輸出者執行之任何處理作業轉包予他人。倘若資料輸入者在資料輸出者同意下將其此等條款之義務轉包,應僅限透過與該次級處理者簽訂書面合約之方式始能為之,且前述合約對該次級處理者加諸之義務應與此等條款對資料輸入者加諸之義務相同。倘若次級處理者未能依照前揭書面合約履行其資料保護義務,則資料輸入者就次級處理者對前揭合約義務之履行,仍應對資料輸出者負起全責。

  1. 資料輸入者與次級處理者間之事前書面契約亦應依第3條所載明定第三方受益人條款,以因應資料主體因資料輸出者或資料輸入者已實質消失或停止法律之存續或失去償債能力,且無任何繼任實體依契約或藉由法律之施行而承擔資料輸出者或資料輸入者之全部法律義務,以致資料主體無法向資料輸出者或資料輸入者請求第6條第1項所載賠償金之情形。次級處理者之前揭第三方賠償責任應僅限於其自身依此等條款所為之處理作業。

  2. 本條第1項所載關於契約中有關次級處理之資料保護條款,應以資料輸出者設立所在之會員國法律為準據法。資料輸出者與資料輸入者並同意以瑞士法律規定對契約範本進行增補(但非變更),並基於契約範本條文未涵蓋之準據法法規,針對控管者對處理者之移轉行為進行增補。

  3. 資料輸出者應將由資料輸入者依第六條第10項所通知依照此等條款簽訂之次級處理合約建立一列表,並應至少每年更新一次。此列表應可供資料輸出者之資料保護監理機關取得。

 

第十三條 個人資料處理服務終止後之義務

  1. 資料輸出者與資料輸入者同意資料處理服務之提供一經終止,資料輸入者及次級處理者應依資料輸出者之選擇,歸還經移轉之所有個人資料及其拷貝予資料輸出者或銷毀全部個人資料,並向資料輸出者聲明其已完成前述行為,但若法令禁止資料輸入者歸還或銷毀所移轉之全部或部分個人資料者,不在此限。此情況下,資料輸入者保證將擔保經移轉之個人資料之機密性,且將不再積極處理經移轉之個人資料。

  2. 資料輸入者及次級處理者保證一經資料輸出者及/或監理機關請求,將呈交其資料處理設施以供稽核前述本條第1項所述之措施。

bottom of page