資料處理協議
本合約是由您 (根據 Synology C2 服務通用服務協議之定義,下稱「控管者」) 和 Synology Inc. 所簽訂,Synology Inc. 是一間台灣企業,登記辦公室地址為:台灣 220632 新北市板橋區遠東路 1 號 9 樓 (下稱「處理者」)。
本合約在此併入 Synology C2 服務通用服務協議 (下稱「服務協議」),並構成服務協議之一部分。
I. 定義
合約係指本資料處理協議。
資料當事人的同意,係指資料當事人以任何自由傳達、明確、知情以及清楚的方式表達意願,透過聲明或明確的行動,對與其相關之個人資料的處理表示同意。
控管者係指單獨或與他人共同決定個人資料處理之目的與方法的自然人或法人、公務機關、局處或其他機構;依照歐盟法或會員國法決定處理之目的及方法,由歐盟法或會員國法律規定控管者或其認定之具體標準。
跨國處理係指:
- 在歐盟中控管者或處理者的一個以上會員國中的機構活動範圍內進行的個人資料處理,而該控管者或處理者是在一個以上的會員國中建立的;或者
- 在歐盟中控管者或處理者的單一機構活動範圍內進行的個人資料處理,但其大幅影響或可能大幅影響一個以上會員國中的資料當事人。
資料保護專員係指獨立作業以確保實體已遵循 GDPR 所列載之政策與程序的資料隱私專家。
資料當事人係指其個人資料交由控管者或處理者處理的自然人。
GDPR 係指 2016 年 4 月 27 日歐洲議會和理事會的歐盟第 2016/679 號法規,關於自然人個人資料處理以及此類資料自由流通的保護原則,並廢除第 95/46/EC 號指令。
個人資料係指與已識別或可識別自然人 (下稱「資料當事人」) 相關的任何資訊;可識別自然人係指可直接或間接識別的個人,尤指透過參考如姓名、識別碼、位置資料、線上識別碼,或是一或多個該自然人之身體、生理、基因、心理、經濟、文化或社會認同等具體因素之識別項目。
個人資料洩漏係指安全措施遭破壞,導致所傳輸、儲存或處理的個人資料遭到意外或非法的銷毀、遺失、修改、未授權公開或存取。
處理係指對個人資料或個人資料集進行的任何或系列操作,無論操作方式是否為自動化,例如收集、記錄、組織、結構化、儲存、改編或變更、檢索、查閱、使用、傳輸揭露、散播或以其他方式供人取得、調整或組合、限制、消除或銷毀。
處理者係指代表控管者處理個人資料的自然人或法人、公務機關、局處或其他機構。
假名化係指一種處理個人資料的方式,此方式使得在不使用額外資訊時,個人資料不能歸屬於特定資料當事人,且此等額外資訊已被分開存放,並透過技術或組織措施確保該個人資料無法歸屬於某個已識別或可辨識的自然人。
接收方代表向其揭露個人資料的自然人或法人、公務機關、局處或其他機構,不論其是否為第三方。然而,可能根據歐盟或會員國法令,在特定查詢範圍內接收個人資料的公務機關不應視為接收方;這些公務機關對這些資料的處理,應根據處理目的遵守相關的資料保護規定。
代表係指在歐盟中建立的一個自然人或法人,受控管者或處理者依據 第 27 條書面指定,做為控管者或處理者 GDPR 相關義務之代表。
經銷商係指訂閱 Synology C2 服務的第三方服務提供者,其代表控管者直接支付處理者此類服務的報酬。
法規係指 GDPR 以及其他與個人資料保護相關、具有一般約束力的法律法規。
第三方係指自然人或法人、公務機關、局處或其他機構,但非資料當事人、控管者、處理者,以及控管者或處理者直接授權下處理個人資料之人士。
標準合約條款係指依附件 1 所列,關於歐洲經濟區的資料控管者,轉移個人資料至 2021 年 6 月 4 日歐盟施行決議案 (EU) 第 2021/914 號表單所列第三國境內處理者的標準合約條款,並進行修正以併入附錄規定中,攸關個資轉移說明及施行技術和組織措施的內容。
監管機構係指負責主管本合約所涉相關問題的政府機構。
II. 合約存續期間
本合約之存續期間應與服務協議相同。
III. 合約性質與目的
- 預期資料處理的性質與目的
服務協議中已明確定義處理者代表控管者進行個人資料處理的性質與目的。 - 資料類型
個人資料處理的主題包含下列資料類型/類別:- 個人主要資料:控管者可自行決定在所租賃的伺服器上儲存任何種類的資料。Synology 對此等資料並無任何影響亦無法存取。
- 合約帳單與付款資料:Synology 應在執行服務協議的範圍內收集個人合約資料,包括聯絡地址、付款方法資訊,以及相關服務協議之聯絡人資訊。
- 資料當事人類別
資料當事人類別包含客戶與經銷商聯絡人。
IV. 處理者的義務
- 處理者需完全遵循法規以及控管者指示,或依本合約其他要求的方式處理個人資料。此義務亦適用於個人資料處理者對第三方國家/地區或國際組織的傳輸,除非處理者受約束之法規或法令要求處理者如此辦理。這種情況下,除非法律基於公共利益之重大理由禁止此類資訊,處理者在進行處理前應告知控管者此等法令要求。
- 處理者與控管者同意,本合約與服務協議代表控管者對處理者最完整且最終之指示。此合約範圍外之處理 (若有),將需要雙方事先就處理之額外指示達成書面協議。若處理者拒絕遵循控管者超出本合約範圍之指示,控管者可終止此合約。
- 履行本合約時,控管者應立即以書面確認任何口頭指示。
- 必須在控管者知情的情況下,才能建立代表控管者處理資料的複本或複件,除外情況為確保適當處理資料所需之備份複本,以及依據法規保留資料以符合法規要求所需的資料。
- 除非獲得控管者書面指示,處理者不得自行授權改正、消除或限制代表控管者進行的資料處理,或將任何此等資料移交/傳輸給第三方。當資料當事人直接聯繫處理者有關改正、消除或限制處理事宜,或欲行使可攜性權利時,處理者將立即將資料當事人的要求轉達給控管者。在服務範圍內,處理者應遵循控管者書面指示確保消除政策、「被遺忘權」、改正、資料可攜性以及存取之執行,不得藉故拖延。
- 若處理者認為控管者的指示違反法規,處理者應立即通知控管者。隨後處理者有權停止執行相關指示,直到控管者確認或變更指示為止。
- 除了遵守本合約所列載規定外,處理者亦應遵守法規中提及的法定要求。因此,處理者尤其應確實遵守以下要求:
- 本合約中所提及之資料處理工作,處理者僅可將其委託予受保密約束、先前已熟悉其工作相關之資料保護條款的員工。除非法規有所要求,否則處理者與任何其授權存取個人資料者,必須獲得控管者指示才可處理該資料,其中包含本合約所授予之權利。
- 處理者必須協助控管者遵守個體對行使存取、改正、移交、消除,或反對其個人資料處理權利之要求。
- 處理者必須協助控管者遵守來自監管機構的要求。控管者與處理者應根據要求與監管機構合作,使監管機構得以執行其任務。
- 指定資料保護專員、聯絡人、代表
如需聯絡 Synology 的資料保護團隊,可至 https://www.synology.com/form/privacy_issue。資料保護專員若有變動,應立即通知控管者。 - 任何由本合約第 IX 點所述相關監管機關進行的檢查與措施,若與此合約之處理相關,都應立即通知控管者。
- 若控管者受到監管機構的檢查、行政或簡易罪或刑事訴訟,遭資料當事人或第三方提出責任索償或任何索償與處理者進行的合約資料處理事宜相關,處理者應盡全力支援控管者。本合約第 X 點說明進一步的協助義務。
- 處理者應協助控管者確實遵守本合約第 IX 點所述義務。
- 按附錄所詳述,實施並遵守本合約必要之一切技術與組織措施。
V. 通知義務
- 處理者應立即通知任何個人資料洩漏情事。任何有合理理由懷疑的事件也應通報。任何通知必須至少包含符合法規要求的資訊。
- 執行任務時若出現任何重大中斷,以及處理者或任何其聘僱個體違反法律資料保護條款或本合約中的協定時,亦必須立即通知控管者。
- 監管機構或其他第三方執行的任何檢查或措施,若與處理者受委託的資料處理工作相關,處理者應立即通知控管者。
- 處理者應確保按照法規規定的義務,在必要範圍內支援控管者。
VI.跨境資料傳輸
- Synology 以處理者身分代表客戶處理的資料,依客戶選用的資料中心所在地,可能儲存於歐盟 (EU) 境內或境外。
- 個人資料若跨境傳輸至他國處理者,而該國缺乏適當資料保護措施時,則適用以下條款:
- 雙方當事人同意,標準合約條款 (附件 1) 有可能助長個人資料轉移至未能妥善保護資料的國家、地區。採用本條款的用意,在於確保隱私權獲得適度保障,其中包括個人的基本權利和自由。本條款所稱的「控管者」係為「資料匯出者」,「處理者」係為「資料匯入者」。標準合約條款與本資料處理協議有所牴觸時,應以標準合約條款為準。
- 雙方當事人於控管者要求下,應按照 GDPR 第 46 (2) (c) 或 (d) 條採納要求,針對傳輸至第三國處理者的資料,另行簽署新約以取代標準合約條款。
- 個人資料只要是傳輸至取得 GDPR 第 45 條第(3) 項所述適足性認定的國家,則無須標準合約條款。該適足性認定遭到廢除或暫時中止時,將自動適用第 (a) 和 (b) 條。
VII.技術與組織措施以及資料安全性
技術與組織措施詳述於附錄 ─ 補充文件 II。
VIII. 轉包
- 就本合約目的而言,轉包係指與提供主要服務直接相關的服務。此不包含附屬服務,例如電信服務、郵政/運輸服務、維護與用戶支援服務或資料載體處置,以及其他為確保資料處理設備硬體及軟體的機密性、可用性、完整性以及彈性所提供的措施。然而,即使是外包的附屬服務,處理者仍有義務安排適當且具法律效力的合約,並採取適當檢查措施確保控管者資料的保護與安全性。
- 處理者必須獲得控管者明確的書面或已記載的同意後,才可授權轉包商。即便於此,若無正當理由,控管者不得保留其同意權。控管者若不同意委任或更換任何轉包商,處理者不可委任或更換轉包商,或是在認定不可行之時,控管者可暫停或終止服務,此舉概不影響控管者在暫停或終止服務前引發之任何費用。
- 在下列情況下,可外包給轉包商或變更現有轉包商:
- 處理者以書面或文字形式提供適當的事前通知,向控管者提出將外包給轉包商之事宜;且
- 將資料交給處理者當日之前,控管者並未以書面或文字形式反對該外包計畫;且
- 本合約所列載之相同資料保護義務,應透過契約/合約方式要求另一處理者 (轉包商) 遵守,或該轉包係依據法規規定的合約協議進行。
- 處理者應以書面形式,要求轉包商遵守不亞於此合約或法規所列法令要求保護性的合約義務,包括與機密性、資料保護、資料安全性以及稽核權利相關的合約義務。
- 唯有符合所有合規要求後,才可將個人資料從控管者轉移到轉包商,並由轉包商開始進行資料處理。
- 處理者將限制轉包商僅可在轉包商服務的必要範圍內存取資料,且將禁止轉包商依任何其他用途存取資料。
- 處理者仍需負責遵守本合約的義務,以及為轉包商任何造成處理者違反其本合約下義務的行為或不作為負責。
- 若轉包商在 EU/EEA 之外提供約定的服務,處理者必須實施適當措施以確保符合法規。
- 轉包商需要獲得處理者明確同意 (至少為文字形式) 方可進一步外包;本合約中所有合約條款應傳達給其他所有轉包商並與其達成約定。
IX. 控管者的義務、權利以及監管
- 對於評估所要求處理的可採納度以及受影響方的權利,控管者應全權負責。
- 控管者有權對處理者進行檢查,或是在雙方同意下,根據各個別案例,由控管者自費指定稽核者進行檢查。控管者有權於處理者營業時間內,透過隨機檢查的方式,檢查處理者是否遵守此合約,此檢查行動通常在合理時間宣布。
- 對處理者場所進行的檢查必須避免干擾處理者的業務營運。除非有緊急原因 (且控管者必須記錄該原因),否則應給予處理者適當的事先通知,並在處理者營業時間內才可進行檢查,且檢查頻率不得超過每 12 個月一次。如果處理者舉證已按照本合約第 IX -5 章規定正確執行約定的資料保護義務,所有檢查應限於樣本。
- 處理者應確保控管者能夠確認,處理者已遵循法規所規定的義務。處理者承諾應控管者要求提供必要資訊,以證明已實施技術與組織措施。
- 此等措施之證明不僅涉及本合約,亦可由目前稽核者的認證、報告,或來自獨立個體 (如稽核者、資料保護專員、IT 安全部、資料隱私稽核師、品質稽核師) 的報告摘錄。
- 處理者可要求實施控管者檢查而產生的費用。
X. 處理者的協助與資訊義務
- 處理者應協助控管者遵守有關個人資料安全性、資料洩漏通報要求、資料保護影響評估以及事先諮詢的義務。這些包括:
- 透過技術與組織措施確保提供適當層級的保護,將處理的情況與目的,以及由於安全漏洞而違法的可能性與嚴重性納入考量,藉此立即偵測相關的違規事件。
- 立即向控管者通報個人資料洩漏的義務。
- 有責任協助控管者履行向相關資料當事人提供資訊的義務,並立即提供控管者與此相關的所有資訊。
- 有責任協助控管者履行向監管機構提供資訊的義務。控管者應根據要求配合監管機構執行其任務。
- 支援控管者進行資料保護影響評估。
- 支援控管者事先諮詢監管機構。
- 對於監管機構所進行的任何檢查與措施,只要與本合約的資料處理相關,應立即通知控管者。若處理者正接受調查,或參與主管部門調查是否有與本合約處理相關而違反任何法律或行政規定或法規之情事,以上原則亦適用。若控管者受到監管機構的檢查、行政或簡易罪或刑事訴訟,遭資料當事人或第三方提出責任索償或任何其他索償與處理者根據本合約進行之資料處理事宜相關,處理者應盡全力支援控管者,並提供控管者可能需要的所有文件、資源以及支援。與本合約相關的資料在處理者經手期間,若因破產或破產程序必須被沒收,或有第三方採取類似措施時,處理者將立即通知控管者,不得藉故延遲。處理者將立即通知控管者並提供最新狀態,不得延誤此類行動的所有發展與最新情況,並應採取所有措施以回應控管者要求的行動。
- 針對不包括在本文中,且不歸因於處理者錯誤而提供的支持服務,處理者可要求補償,但前提是控管者事先已書面核准此等補償。
XI. 報酬
服務協議中已明確規範處理者根據本合約所提供服務的報酬。本合約不提供個別的報酬或報銷。
XII. 責任與賠償
- 根據適用法律,在本合約範圍內,控管者與處理者分別應對任何未授權方所導致的損害或錯誤的資料處理承擔責任。
- 在任何情況下,對於與本合約有關或相關的任何間接、懲罰性、特殊、偶發或連帶損害 (包括利潤、使用、資料或其他經濟利益的損失),不論發生原因為何,是否因違反本合約而起 (包括違反保固或侵權),任一方皆無需對另一方負責,即使該方已事先告知此等損害之可能性亦然。
XIII. 資料之終止、歸還與刪除
- 在本合約或基礎的服務協議終止後,或應控管者之要求,處理者應將其所持有與此合約或服務協議相關的所有資料、處理及使用結果和資料集移交給控管者,或在控管者事先同意之下,以符合法規的資料保護方式加以銷毀。所有相關的測試、廢品、多餘和廢棄的材料也應如是處理。完成銷毀或刪除後,或隨時應控管者要求,應向控管者提供銷毀或刪除的記錄。
- 超出合約期限後,處理者仍應遵循法規所規範之個別保留期,儲存用來證明已根據本合約適當處理資料的文件。處理者可在本合約期間結束時,或隨時應控管者要求,將此等文件移交給控管者。
- 處理者有責任立即確保轉包商歸還或刪除資料。
- 處理者必須舉證,處理者或轉包商已正確銷毀資料,並立即將此證明交給控管者。
XIV. 其他事項
- 即便此合約已到期,雙方均有義務視在合約關係中自他方獲得的所有商業機密知識以及資料安全性措施為機密。若不確定資訊是否屬於機密,在收到他方書面核准之前應視為機密。控管者並未根據本合約將任何智慧財產權轉讓給處理者。
- 任何對此合約的修改均需採書面形式,且需獲得雙方同意。
- 針對所處理資料以及相關資料載體,特此排除適用法律對保留權的豁免。
- 若本合約任何部分失效,將不影響本合約其餘部分的有效性。
- 本合約應以德國法律為準據法,並依德國法律解釋,且無須適用任何法律衝突原則。
- 本合約所引起或與之相關的所有爭議皆應交由德國北萊茵-西伐利亞州杜塞道夫市具合法管轄權的法院終局解決之,並排除適用《聯合國國際貨物銷售合同公約》。若客戶是德國商業法 (HGB) 第 1 條第 1 項定義之商人、公法之法律實體,或公法特殊基金,則杜塞道夫 (Düsseldorf) 法院有權管轄由本合約關係引起或與本合約關係相關的任何爭議。
下載
訂閱 C2 電子報
立即訂閱以獲取有關 C2 服務、技術洞察、活動等的最新消息。
為確保您能收到我們的電子報,我們將以此電子郵件地址幫您建立 Synology 帳戶。