中文版 一般資料保護條例 - 資料處理附錄

1. 定義
1.1 本附錄中:
(a) “資料控制方”、“資料處理方”、“資料主體”和“個人資料” 應具有資料保護立法對其定義中的含義;
(b) “資料保護立法” 指不時生效的適用於服務和/或您使用“我們門戶網站”的與個人資料使用和電子通信隱私有關的所有立法和監管要求;
(c) “您”指本附錄所屬主協議定義的主體;
(d) “服務”指本附錄所屬主協定定義的服務;和
(e) “我們”、“我們的” 均指 本附錄所屬主協議所定義的主體。
2. 資料處理
2.1 如若在提供服務時,我們需要代表您處理任何個人資料,則雙方茲此同意:我們是資料處理方而您是資料控制方,並且,在任何此類情況下,我們將:
(a) 根據資料保護立法進行適當的通知和保留通知記錄(因應要求);
(b) 僅根據您不時的書面指令處理任何此類個人資料;
(c) 採取和/或實施適當的技術措施和組織措施,防止未經授權或非法處理此類個人資料,防止此類個人資料意外丟失、更改、銷毀或損壞,並確保此類資料的安全;
(d) 及時通知您任何影響個人資料安全的違規行為;
(e) 不修改或更改此類個人資料的內容,除非相關修改或更改乃提供服務之合理必需;
(f) 除非得到您的授權,否則不得向資料主體披露或允許他人披露任何此類個人資料;但根據法律法規要求披露的情況除外。在這種情況下,我們將事先通知您此類披露,除非法律禁止此類通知;
(g) 僅根據本合同條款和資料保護立法的規定使用和處理此類個人資料,並且僅在履行服務絕對必需的範圍內使用和處理此類個人資料。此條規定不得影響第 2.13 條;
(h) 在相關且可適用的情形,僅在有適當保護措施的情況下將此類個人資料轉移到歐洲經濟區以外的國家或地區,例如嵌入執行歐盟委員會批准的標準資料保護條款;
(i) 在本附錄所屬的主協議終止或我們代表您處理個人資料的權利或義務提前終止時,除非可適用的法律、法規或者我們的內部合規要求 對個人資料進行存儲或其他處理,或者您對此類個人資料的處理另有指示,否則我 們將:
(a) 銷毀個人資料及其所有副本;
(b) 將個人資料傳送給您或您可能指示的其他協力廠商;或者
(c) 在收費的前提下根據存檔協定為您保存個人資料。
2.2 如若我們是個人資料的資料控制方,第 2.1 (i )條不得影響我們的權利。
2.3 如果我們收到任何直接或間接與個人資料處理或與我們或您遵守資料保護立法有關的投訴、通 知或通信(包括資料主體行使其法定權利的請求),我們將立即通知您,並就任何此類投訴、通 知或通信向您提供充分合作和協助,期間由此所產生的任何費用需由您承擔。
2.4 考慮到資料處理的性質和我們可獲得的資訊,我們將向您提供所有合理的幫助,以幫助您遵守 資料保護立法規定的義務,期間由此所產生的任何費用需由您承擔。
2.5 我們將保存並應要求向您提供我們使用個人資料和處理活動的記錄以及合理必要的相關資訊 (允許並協助審計或檢查),以證明我們遵守了本附錄規定的資料處理義務。除非監管機構另有 要求,此類審計或檢查僅限一年一次,而且您應承擔我們因協助任何此類審計或檢查所產生的 任何費用
2.6 我們將確保被授權處理個人資料的員工或其他代表已承諾保密或負有適當的法定保密義務
2.7 對於因您提供的任何個人資料或指示不完整、不正確、不準確、難以辨認、混亂或格式錯誤,或不符合任何相關描述或保證,或由於您的任何其他過錯而導致的任何損失、損壞、成本、費 用或其他索賠,我們概不負責。
2.8 對於資料主體因我們的任何作為或不作為而提出的任何索賠,只要這種作為或不作為是由我們 履行您的指示引起的,我們概不負責。
2.9 您特此保證並承諾,您已經獲得了我們處理個人資料的所有必要許可,並且您有權將個人資料 傳輸給我們,以便我們根據本合同提供服務。您進一步保證並承諾,就我們處理個人資料方面, 您已經完全遵守了資料保護立法對於您的義務性規定
2.10 您應賠償我們因您違反第 2.9 條所載保證而遭受或招致的所有相關責任、成本、費用、損害和 損失(包括但不限於任何直接、間接或後續損失、利潤損失、名譽損失和所有利息損失、罰款 和法律費用(按全額賠償計算)以及所有其他合理的專業服務費用)。
2.11 您特別授權 Vistra 集團旗下所有公司和任何協力廠商作為與服務履行相關的分包處理方。
2.12 您在此授權我們聘請協力廠商代表我們處理與履行服務相關的個人資料,前提是我們:
(a) 在授權任何此類新的分包處理方處理個人資料之前,將至少提前三十(30)天通知您 此事。如果您反對我們使用新的分包處理方(基於合理原因),您有權在收到上述通 知後的十四(14)天內向我們發出書面通知終止合同,作為補救;
(b) 與此類協力廠商簽訂書面分包合同,以確保其僅在履行分包合同要求的具體義務時 處理個人資料,並且其中的資料處理條款應有不低於合同條款對我們有的約束力 (特別是提供足夠的保證執行適當的技術措施和組織措施,使資料處理符合資料保 護立法的要求);和
(c) 根據本附錄條款(受本附錄所屬主協議的約束),始終對與個人資料相關的所有義務承擔責任,包括對任何協力廠商 分包處理方的所有作為或不作為負責,但無論如何主協議中規定的責任限制條款均應 適用。
2.13 為免生疑問,我們作為資料控制方,可以為信用控制和市場研究之目的而收集資訊,也可以不 時向您通知您可能感興趣的服務和產品、法律發展和培訓課程或活動;對此,本附錄並沒有對我 們進行約束,我們也沒有給您增加義務。但是,出於上述任何目的,我們可能會與本集團其他 公司分享您的個人資訊。我們也可能與承接了我們某些業務職能的業務合作夥伴和供應商分享 您的資訊。外部組織也可能對我們進行一般性審計和品質檢查,我們可以與這些組織分享您的 資訊,作為配合這種審計或檢查的一部分。
2.14 我們保留不時修改本資料處理附錄的權利。
2.15 關於個人資料處理方面,如果本附錄所屬主協議的條款與合同中的任何條款之間存在任何矛盾或不一致,應以本附錄的條款為准。
2.16 本附錄以中英文形式書就,中英文不一致的,以英文版本為准。

附表 1 – 資料處理

可能處理的資料類型

向我們提供 的與公司或其最終受益人相關的個人資料,包括資料主體或協力廠商直接向我們提供的個 人資料。我們根據合同處理的個人資料可能包括 (取決於所提供 服務的範圍) :

  • 姓名和聯繫資訊,如家庭或營業位址、職位、電子郵寄地址 和電話號碼
  • 個人的生物資訊,包括出生日期、納稅人識別號、護照號 碼、身份證的詳細資訊、居住國和/或國籍;
  • 與財務狀況有關的資訊,如收入、支出、資產和負債,財富 來源以及銀行帳戶詳情;
  • 需要我們提供服務的原因和通過我們的服務想要實現的目 的;
  • 相關的就業、教育、家庭或個人情況以及興趣愛好的資訊;和
  • 可用於評估某人是否屬於或代表政治公眾人物或有洗錢風險 的資訊

可能處理資料的資料主體類型

與公司相關的個人,包括公司的過去、現在和未來股東,最終 受益人(包括有顯著控制權的人),董事、高管、員工、專業顧 問、代理人和承包商。

資料處理的性質和目的

資料處理具有必要性,以:

  • 使我們能夠為您提供服務;
  • 履行我們的合同義務和行使我們的合同權利,包括對資料的 收集、記錄、組織、使用、披露、限制、刪除或銷毀;和
  • 使我們用來提供服務或部分服務的協力廠商承包商能夠履行 其職能

資料處理持續時間

在我們的合同期限,合同條款中規定的關於資料保留的期限,根據合同索賠的任何時效期限,或者其他法律規定遵守的相關 期限中較長的那個期限。