ESET 線上說明

搜尋 繁體字
選取主題

資料處理合約

2023 年 9 月 29 日生效 | 查看資料處理合約的先前版本 | 比較變更

根據歐洲議會以及理事會於 2016 年 4 月 27 日針對保護自然人對於個人資料之處理與自由移動此類資料之歐盟法規 (EU) 2016/679 的要求,並廢除了指令 95/46/EC (以下稱為「GDPR」),提供者 (以下稱為「處理方」) 與您 (以下稱為「控制方」) 在此訂立資料處理契約關係,以定義個人資料之處理的條款及條件、其保護方式,以及定義其他雙方當事人在根據主要契約執行這些條款中主要事務期間代表控制方就資料主體之個人資料處理的權利與義務。

1.個人資料處理。遵循這些條款所提供的服務包含隱私權政策中與已識別或可識別自然人相關的處理資訊 (以下稱為「個人資料」)。

2.授權。控制方授權處理方處理個人資料,包括以下說明:

(i)「處理目的」應表示遵循這些條款提供服務,處理方僅被允許代表控制方處理關於提供控制方所要求服務的個人資料。為額外目的收集的所有資訊均在控制方-處理方合約關係之外進行處理。

(ii) 處理期間應表示根據這些條款開始共同協作直到服務終止的這段期間,

(iii) 個人資料的範圍與類別。服務僅旨在處理一般個人資料。但是,控制方全權負責個人資料範圍確定。

(iv)「資料主體」應表示作為控制方裝置之授權使用者的自然人,

(v) 處理活動應表示處理所需的所有作業,

(vi)「記載指示」應表示這些條款、其附件、隱私權政策以及服務文件中所述的指示。控制方應就資料保護法的相應適用條款對處理方處理個人資料的法律可採納性負責。

3.處理方的義務。處理方具有以下義務:

(i) 僅根據書面說明並出於條款、其附件、隱私權政策和服務文件中定義的用途處理個人資料,

(ii) 指示已獲授權處理個人資料的人員 (以下簡稱「獲授權人員」) 根據 GDPR 規定的權利和義務,以及在違約情况下的責任,並確保獲授權人員已承諾保密並遵守書面説明,

(iii) 實施並遵守條款、其附件、隱私權政策和服務文件中描述的措施,

(iv) 協助控制方回應資料主體與其權利相關的要求。未經控制方的指示,處理方不得修正、刪除或限制個人資料的處理。資料主體與代表控制方處理的個人資料相關的所有要求均應立即轉送給控制方。

(v) 協助控制方將個人資料洩露通知給予監管授權單位和資料主體,處理方應在發現任何違反個人資料處理或個人資料安全性的行為後立即通知控制方。處理方應在合理範圍內配合對此類違約行為的調查和修復,並採取合理措施限制進一步的負面影響。

(vi) 在處理期結束後,由控制方選擇删除或將所有個人資料傳回給控制方。控制方承諾在處理期結束後十 (10) 天內將其决定告知處理方。本規定不影響處理方為公共利益、科學研究目的、統計目的或為建立、行使或辯護法律索賠目的,在必要程度上保留個人資料的權利。

(vii) 隨時更新代表控制方所執行所有類別之處理活動的登錄,

(viii) 向控制方提供證明規範的所有必要資訊,作為條款、其附件、隱私權政策和服務文件的一部分。如果控制方對個人資料處理進行審核或控制,則控制方有義務在計畫稽核或控制前至少三十 (30) 天以書面形式通知處理方。

4.讓其他處理方參與。處理方有權讓其他處理方參與執行特定處理活動,例如根據條款、其附件、隱私權政策以及服務文件提供服務的雲端儲存與基礎結構。目前,Microsoft 提供雲端儲存和基礎結構作為 Azure 雲端服務的一部分。即便在此情況下,處理方仍應維持唯一的接觸點與負責合規的當事人身分。處理方特此承諾,爲了反對此類變更的可能性,將另一個處理方的任何新增或取代通知控制方。

5.處理的範圍。處理方確保處理發生在歐洲經濟區或歐盟執行委員會根據控制方決定所指定的安全國家/地區。即便移轉與處理發生在歐洲經濟區或根據歐盟執行委員會依控制方的要求決定所指定的安全國家/地區之外,仍應適用「標準合約條款」。

6.安全性。處理方經 ISO 27001:2013 認證並在將安全性控制項用於網路、作業系統、資料庫、應用程式、人員與作業流程的階層時使用 ISO 27001 架構來實作階層式防護安全性策略。類似於其他處理方的基礎結構與流程,將會定期評估並審查法規與合約要求遵循情況,且會採取必要步驟來持續滿足法規與合約要求。處理方已使用根據 ISO 27001 的 ISMS 來組織資料安全性。安全性文件包含主要原則文件,適用於資訊安全性、實體安全性與設備安全性、事件管理、資料外洩處理以及安全性事件等。

7.技術和組織措施。處理方應保護個人資料免遭偶然和非法破壞和毀損、偶然丟失、變更、未經授權的存取和洩漏。為此,處理方應根據 GDPR 的需求,針對資料主體權利的處理模式和處理帶來的風險,採取適當的技術和組織措施。安全性原則中詳細描述了技術和組織措施。

8.處理方的連絡資訊。所有關於個人資料保護的通知、要求、需要與其他通訊,皆應寄給 ESET, spol. s.r.o.,收件人為:Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk。