本資料處理協議(「DPA」)作為 https://senecaesg.com/(「Seneca ESG 平台」)上發佈的服務條款的補充,當您或代表您組織行事的使用者使用 Seneca ESG 平台服務時,即自動與本協議生效。此時,您/您的組織/公司視為以「控制者」身份行事,Seneca ESG 則以「處理者」身份行事,雙方各為「一方」,合稱為「雙方」。
本協議所用術語應以本協議中的定義為準。
若雙方未簽署由控制者提交的 DPA,則本協議適用。
控制者承諾,根據適用法律,對將輸入至 Seneca ESG 平台的個人資料擁有合法依據。
1. 定義
1.1 在本協議中,下列術語應具有以下含義,相關詞語應作相應解釋:
1.1.1 「適用法律」係指 (a) 英國及歐盟或成員國有關個人資料的法律;以及 (b) 與全球各地個人資料保護及當事人權益相關的任何其他適用法律,適用於 Seneca ESG 平台服務之處理行為;
1.1.2 「控制者個人資料」指 Seneca ESG 或其平台所涉及的控制者員工或顧問的個人資料;
1.1.3 「EEA」指歐洲經濟區;
1.1.4 「歐盟資料保護法」指 EU 指令 95/46/EC 及其本地化立法與隨時修訂、取代之規範,包括 2016/679 號法規(GDPR),以及相關的數據隱私立法如 E-privacy 指令;
1.1.5 「GDPR」指歐洲議會及理事會於 2016 年 4 月 27 日通過的 2016/679 號法規(通用資料保護規則);
1.1.6 「個人資料」係指 (i) EU 指令 95/46/EC 及各會員國本地法規定義的個人資料;(ii) GDPR 定義的個人資料;(iii) 當地資料保護法(含瑞士)定義的個人資料(如適用)。
1.1.7 「國際傳輸」指在歐盟和英國語境下並不適用,因所有此類個人資料皆為公開且僅限於控制者公司相關資訊,自然人僅作為員工識別;
1.1.8 「服務」指根據服務條款,處理者為控制者或其用戶所提供的服務及相關活動;
1.1.9 「次處理者」指由處理者或處理者關聯公司指定的任何第三方(不含其員工或分包商)負責代表控制者處理個人資料;
1.1.10 「處理者關聯公司」指擁有、控制或被同一母公司控制之實體,本協議所指為 Seneca ESG 新加坡與荷蘭;
dpa.sections.definitions.terms.title
dpa.sections.definitions.include.title
2. 授權
2.1 處理者保證,在任何次處理者開始處理控制者個人資料之前,處理者將與該次處理者簽署至少具備等同本協議承諾與法律要求的 DPA,保障相關自然人的權利與自由。
3. 控制者個人資料的處理
3.1 處理者及其關聯公司應:
3.1.1 遵守所有適用法律處理控制者個人資料;
3.1.2 未經控制者明確指示,不得處理控制者個人資料,除非法律另有要求,處理者應在法律允許範圍內通知控制者該法律義務。
3.2 控制者應確保自己或代表自身行事時:
3.2.1 指示處理者及其關聯公司(並授權他們指示次處理者)執行:
3.2.1.1 處理控制者個人資料;
3.2.1.2 如有必要,將控制者個人資料轉移至其他國家或地區,作為服務提供所需,並符合同意條款。
3.3 附件 1 列明根據 GDPR 第 28 條第 3 款要求的處理相關資訊。控制者可隨時書面通知處理者合理修訂附件 1,惟附件本身不賦予任一方任何權利或義務。
4. 處理者與關聯公司人員
處理者及其關聯公司應合理確保所有接觸控制者個人資料的員工、代理人或分包商之可靠性,並將存取權限嚴格限制於履行本協議所需之人員,確保其受保密義務或法律保密責任約束。
5. 資料安全
5.1 處理者及其關聯公司應根據現有技術、實施成本、資料性質、處理範圍、目的及風險,採取合適之技術及組織措施,確保資料安全,參照 GDPR 第 32 條第 1 款。
5.2 在評估適當安全水準時,處理者應特別考量因處理帶來之個人資料外洩風險。
5.3 處理者及關聯公司實施的技術與組織措施詳見附件 2。
6. 次處理
6.1 控制者授權處理者及其關聯公司可依本協議及服務條款的限制委任(或允許次處理者再委任)次處理者。
6.2 處理者及其關聯公司可繼續使用已在本協議生效日前聘用的次處理者,惟須於合理時間內遵守第 6.4 條之義務。
6.3 控制者授權處理者為提供主合約服務而分包次處理者。如控制者要求,處理者將提供所有次處理者類別清單。
次處理者視為本協議中的處理者,處理者將與其簽訂資料處理協議,要求其遵守本協議規定。
任何情況下,分包商須受與處理者相同的資料保護義務約束,以確保合規(目前 GDPR 為最嚴格資料保護法)。
6.4 處理者及其關聯公司對每位次處理者應:
6.4.1 首次處理前(或按 6.2 條規定)完成盡職調查,確保次處理者有能力達成本協議要求的資料保護水準;
6.4.2 確保雙方之間有書面協議,內容不少於本協議要求,並符合 GDPR 第 28 條第 3 款。
6.5 處理者應確保每位次處理者履行與本協議(尤其是 3.1、4、5、7.1、8.2、9 及 11.1 條)等同的義務,視同本協議方。
7. 資料主體權利
7.1 處理者及其關聯公司應依據處理性質,盡力落實技術與組織措施,以履行相關法律下資料主體權利。
7.2 處理者應:
7.2.1 如接獲資料主體請求,立即通知控制者;
7.2.2 非經控制者書面指示,不得回應該請求,除非法律要求,則應於回應前通知控制者。
8. 個人資料外洩
8.1 處理者發現其自身或次處理者發生涉及控制者個人資料之外洩時,應無不當遲延地通知控制者,並提供下列資訊以協助其依法履行通知義務:
8.1.1 描述資料外洩的性質、受影響資料主體及資料紀錄類別與數量;
8.1.2 提供處理者資料保護官或相關聯絡人資訊;
8.1.3 說明外洩可能造成的後果;
8.1.4 說明已採取或擬採取的補救措施。
8.2 處理者應配合控制者調查、減輕與修復每起資料外洩事件。
9. 資料保護影響評估與事前諮詢
處理者及其關聯公司應就控制者進行的影響評估與監管機構事前諮詢,合理提供協助,僅限於其資料處理範圍與掌握的資訊。
10. 控制者個人資料的刪除或返還
10.1 控制者可書面通知處理者,要求在終止日 30 天內返還完整資料並刪除其他副本。處理者及其關聯公司應於 30 天內完成。
10.2 次處理者得於法律要求下保留資料,僅限於符合法律及法定期間,並確保其保密性,僅用於法定目的。
10.3 處理者須於終止日 30 天內向控制者出具完成刪除之證明文件。
10.4 「刪除」指資料無法恢復或重建;「終止日」指停止任何涉及該資料之服務之日。
11. 審計權
11.1 處理者及其關聯公司應應控制者要求,提供所有證明遵守本協議之必要資訊。
12. 一般條款
法律適用與管轄
12.1 無損第 7 條(調解與管轄):
12.1.1 雙方就本協議提交至服務條款所規定之管轄法院,解決因本協議產生之爭議,包括效力或終止等爭議;
12.1.2 本協議及其相關非合約義務,適用服務條款中規定的法律。
優先順序
12.2 本協議不得減損處理者於服務條款下的任何資料保護義務,也不得允許處理者以違反服務條款的方式處理個人資料。
12.3 就本協議主題,若與雙方其他協議(含服務條款)有抵觸,除非另有書面明確約定,以本協議為準。
法律變更等
12.4 控制者可:
12.4.1 書面通知處理者,建議因應資料保護法要求而需對本協議作出調整。
12.5 若控制者依 12.4.1 條通知:
12.5.1 處理者及關聯公司應積極配合,確保次處理者也完成相應調整;
12.5.2 控制者不得無理拒絕處理者所提之合理風險調整建議。
12.6 雙方應善意協商,儘快落實控制者所需之調整。
12.7 任何調整均無需控制者或處理者關聯公司同意。
可分割性
12.8 本協議如有條款無效或不可執行,其他條款仍有效。無效條款應作適度修改或視同不存在。
12.9 聯絡資訊
雙方代表及員工聯絡資訊將用於執行、管理、履行協議,資料於商業協議存續及法定時效內保存。雙方有義務將資訊披露給其人員。
必要時,資料可提供銀行、金融機構進行款項結算,以及稅務機關等法定要求。
雙方可要求存取、更正、刪除、攜帶、限制或拒絕處理本條所涉之個人資料,聯絡資訊詳見附件 3。
12.10 責任
處理者應對未遵守本協議義務所致之罰款與責任負責。
附件 1:個人資料處理說明
本附件根據 GDPR 第 28 條第 3 款,詳列個人資料處理細節。
資料處理主題及期間
主題及期間請參閱服務條款及隱私政策。
資料處理性質及目的
性質及目的請參閱服務條款及隱私政策。
資料主體類別
受處理資料之主體為控制者所屬員工(B2B 角度)。
處理的個人資料類型
聯絡資料(姓名、郵箱等)
任職資料(公司、職位等)
操作資料(平台用戶行為)
處理者及其關聯公司之義務與權利
處理者應遵守適用法律(特別是 GDPR),此規範於歐盟成員國具有優先性。