Data Processing Agreement
根據歐洲議會以及理事會於 2016 年 4 月 27 日針對保護自然人對於個人資料之處理與自由移動此類資料之歐盟法規 (EU) 2016/679 的要求,並廢除了指令 95/46/EC (以下稱為「GDPR」),提供者 (以下稱為「處理方」) 與您 (以下稱為「控制方」) 在此訂立資料處理契約關係,以定義個人資料之處理的條款及條件、其保護方式,以及定義其他雙方當事人在根據主要契約執行這些條款中主要事務期間代表控制方就資料主體之個人資料處理的權利與義務。
1.個人資料處理。遵循這些條款所提供的服務包含隱私權政策中與已識別或可識別自然人相關的處理資訊 (以下稱為「個人資料」)。
2.授權。控制方授權處理方處理個人資料,包括以下說明:
(i)「處理目的」應表示遵循這些條款提供服務,處理方僅被允許代表控制方處理關於提供控制方所要求服務的個人資料。為額外目的收集的所有資訊均在控制方-處理方合約關係之外進行處理。
(ii) 處理期間應表示根據這些條款開始共同協作直到服務終止的這段期間,
(iii) 個人資料的範圍與類別應包含一般個人資料,並排除任何和所有特殊類別的個人資料,
(iv)「資料主體」應表示作為控制方裝置之授權使用者的自然人,
(v) 處理作業應表示基於處理目的之所有必要作業,
(vi)「記載指示」應表示這些條款、其附件、隱私權政策以及服務文件中所述的指示。控制方應就資料保護法的相應適用條款對處理方處理個人資料的法律可採納性負責。
3.處理方的義務。處理方具有以下義務:
(i) 僅根據書面說明並出於條款、其附件、隱私權政策和服務文件中定義的用途處理個人資料,
(ii) 確保獲授權處理個人資料的人員致力於維護機密性並遵守文件說明,
(iii) 實施並遵守條款、其附件、隱私權政策和服務文件中描述的措施,
(iv) 協助控制方回應資料主體與其權利相關的要求。未經控制方的指示,處理方不得修正、刪除或限制個人資料的處理。資料主體與代表控制方處理的個人資料相關的所有要求均應立即轉送給控制方。
(v) 協助控制方將個人資料洩露通知給予監管授權單位和資料主體,
(vi) 在處理期間結束之後刪除或將所有個人資料返還給控制方,
(vii) 隨時更新代表控制方所執行所有類別之處理活動的登錄,
(viii) 向控制方提供證明規範的所有必要資訊,作為條款、其附件、隱私權政策和服務文件的一部分。
4.讓其他處理方參與。處理方有權讓其他處理方參與執行特定處理活動,例如根據條款、其附件、隱私權政策以及服務文件提供服務的雲端儲存與基礎結構。目前,Microsoft 提供雲端儲存和基礎結構作為 Azure 雲端服務的一部分。即便在此情況下,處理方仍應維持唯一的接觸點與負責合規的當事人身分。
5.處理的範圍。處理方確保處理發生在歐洲經濟區或歐盟執行委員會根據控制方決定所指定的安全國家/地區。即便移轉與處理發生在歐洲經濟區或根據歐盟執行委員會依控制方的要求決定所指定的安全國家/地區之外,仍應適用「標準合約條款」。
6.安全性。處理方經 ISO 27001:2013 認證並在將安全性控制項用於網路、作業系統、資料庫、應用程式、人員與作業流程的階層時使用 ISO 27001 架構來實作階層式防護安全性策略。類似於其他處理方的基礎結構與流程,將會定期評估並審查法規與合約要求遵循情況,且會採取必要步驟來持續滿足法規與合約要求。處理方已使用根據 ISO 27001 的 ISMS 來組織資料安全性。安全性文件包含主要原則文件,適用於資訊安全性、實體安全性與設備安全性、事件管理、資料外洩處理以及安全性事件等。
7.處理方的連絡資訊。所有關於個人資料保護的通知、要求、需要與其他通訊,皆應寄給 ESET, spol. s.r.o.,收件人為:Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk。