資料處理規範條款

安布思沛行銷股份有限公司 資料處理規範條款

本資料處理規範,適用於客戶與安布思沛行銷股份有限公司(以下稱代理商)間,有關個人資料處理之必要時,雙方應遵守之約定條款,並自該服務起始日起生效。

壹、 前言

1.1 倘代理商所提供的服務包含處理客戶個資時,本資料處理規範中的條款及規定應予以適用。
1.2 如在原合約或原委刊單/原估價單期間,代理商提供之服務內容有變更而致代理商須處理客戶個資,或使原本處理客戶個資之程序有變更者,雙方應在該服務提供前,修正或更新本資料處理規範之附錄1。
1.3 如本資料處理規範與原合約或原委刊單/原估價單有任何衝突之處者,應以本資料處理規範之內容為準。
1.4 依據原合約或原委刊單/原估價單規定之客戶個資處理,雙方同意代理商是個資處理人,而客戶是個資控管人。
1.5 雙方在處理客戶個資時,皆應遵守個人資料保護法之相關法律。

貳、 定義

2.1 本資料處理規範內所使用之名詞定義如下:
【代理商】係指意義如原合約或原委刊單/原估價單所載。
【原合約或原委刊單/原估價單】係指本資料處理規範所依附於代理商與客戶簽訂的原合約或原委刊單/原估價單。
【相關法律】係指:(i)適用客戶個資處理或服務的法律、法規、規定、細則、命令、法令與法院命令,及(ii)對客戶個資處理具有管轄權的有關政府部門、權力體或機關所准許或發出的批准、核准、豁免、建檔、執照、權力、許可、登記或免除所適用的條款與條件,或具有約束力的要求、指示、指令或命令。
【客戶】係指原合約或原委刊單/原估價單所定義的客戶
【客戶個資】係指依照原合約或原委刊單/原估價單提供給代理商的個資,或依照指原合約或原委刊單/原估價單為客戶所收集或產生的個資,進一步細節如附錄 1 所載。
【資料保護法規】係指適用個資處理的有關法律與實務守則,包括 GDPR。
【個資損害】係指一切的責任,包括下列:
(a) 成本與費用(包括法律費用)、求償、要求、訴訟、和解、優惠津貼、規費、程序、支出、損失與損害(包括實質及非實質的損害);及
(b) 在相關法律允許的範圍與限度:
(i) 法院或行政機關所決定的行政罰款、罰鍰、處罰、法律責任或其他救濟;
(ii) 法院或行政機關裁處應賠償予資料當事人的賠償金;
(iii) 為了遵守行政機關的調查所發生的成本與費用。
【GDPR】General Data Protection Regulation,係指歐盟議會與歐盟理事會在個資處理上為保護自然人所頒布的 2016 年 4 月 27 日的 2016/679 號規定(歐盟),以及將於 2018 年 5 月 25 日生效適用個資自由移轉的規定。
【處理指示】意義如本資料處理規範第 3.2.1 條所載。
【安全事件】係指客戶個資在代理商或複受託處理人保管期間內遭到意外或違法的銷毀、毀損、丟失、塗改或未經授權的揭露或擷取。
【服務】係指代理商依據原合約或原委刊單/原估價單為客戶所提供的服務。
【複受託處理人】係指依照代理商的委託而在客戶個資上代表客戶執行個資處理活動的另一位處理人。
【控管人】、【資料當事人】、【個資】、【處理】及【處理人】等詞的意義如 GDPR 所載(相關詞語,例如動詞的「處理」,具有對應的意義)

參、 處理

3.1 本資料處理規範之附錄1:
3.1.1 說明原合約或原委刊單/原估價單所允許的客戶個資處理;
3.1.2 列出取得客戶同意可處理客戶個資的複受託處理人(如有);及
3.1.3 明訂客戶同意在哪些情況(如有)下可向歐洲經濟區以外的國家揭露客戶個資。
3.2 代理商應遵守下面規定:
3.2.1 除非相關法律另有明訂,代理商在處理客戶個資時,必須遵守本資料處理規範中的客戶指示,或客戶另以書面做成之指示(以下簡稱「處理指示」);
3.2.2 除非相關法律禁止通知客戶,否則,倘相關法律要求代理商在客戶個資的處理上不得遵守客戶的處理指示時,代理商必須在處理該個資前,先行通知客戶;及
3.2.3 代理商如認為依照客戶的處理指示將違反資料保護法規時,代理商必須通知客戶。
3.3 除非符合下列要件,代理商不得允許任何複受託處理人處理客戶個資:
3.3.1 已經取得客戶的事先書面同意(客戶不得無故拒絕或拖延同意,亦不得附加不合理之條件)(附錄1列出的複受託處理人為已取得客戶之同意);及
3.3.2 已經簽署對複受託處理人具有約束力的契約,而使複受託處理人在客戶個資的處理上所承擔的義務與代理商在本資料處理規範中的義務程度相同,及
      代理商同意若複受託處理人未依照第 3.3.2 履行契約義務,代理商仍必須為複受託處 理人的義務履行,向客戶承擔完整的責任。
3.4 處理客戶個資之業務目的實現後,或當客戶提前提出書面要求時,代理商應依照客戶指示而刪除或歸還所有的客戶個資,並應刪除所有客戶個資的副本、影本或拷貝等(除非相關法律要求保存這類副本、影本或拷貝等)

肆、 客戶的保證

4.1 客戶表示及保證:
4.1.1 在客戶個資處理的執行上,客戶將遵守資料保護法規;
4.1.2 代理商有權為提供服務而依照原合約或原委刊單/原估價單處理客戶個資,且不會違反資料保護法規;
4.1.3 客戶提供給代理商的客戶個資是必要的、正確的,也是最新的;
4.1.4 所有的處理指示在任何時候都將符合資料保護法規;及
4.1.5 客戶明知並同意:
4.1.5.1 代理商的處理作業適合客戶的服務使用目的,亦符合客戶委託代理商處理客戶個資之目的;及
4.1.5.2 代理商有充分的專業、可靠性及資源可實施技術與組織措施並符合資料保護法規的要求。

伍、 安全及人員管理

5.1 代理商應:
5.1.1 於原合約或原委刊單/原估價單期間內,實施及維護適當的技術與組織措施,以保護客戶個資免遭到意外、未經授權或違法的擷取、揭露、塗改、丟失、損害或毀損;
5.1.2 採取合理的步驟,確保其人員在客戶個資的處理上,不會違反或不遵守客戶的處理指示(除非相關法律要求不遵守客戶的處理指示)且其人員有義務維護他們所接觸或取得之客戶個資的安全及機密性。

陸、 通知

6.1 在下列情況下,代理商應儘速通知客戶:
6.1.1 代理商獲悉安全事件發生;或
6.1.2 代理商接獲客戶個資的當事人或其代表人要求行使他們在資料保護法規下的權利。
6.2 代理商應依客戶之合理要求,進一步提供使客戶得依照其在資料保護法規下的義務處理,及對前項通知採取應對動作之資訊與協助,且因此產生之相關費用由客戶承擔。

柒、 檢查及協助檢查

7.1 在客戶合理事先書面通知後,代理商應:
允許並配合協助客戶稽查及檢查代理商處理客戶個資的系統與流程,但客戶必須確保:
7.1.1.1 前述稽查或檢查在正常營業時間內進行、且對代理商與代理商其他客戶的營業僅造成最低程度的干擾;及
7.1.1.2 客戶或其稽查人因為前述稽查及檢查所獲悉或產生的資訊悉數應嚴格保密(除非法律另有規定或依法必須向行政機關揭露);
7.1.2 提供合理必要的資訊給客戶,俾確認代理商是否遵守其在資料保護法規下的義務,
7.1.3 配合及協助客戶進行資料保護安全評估,以及就客戶個資相關事項諮詢行政機關關於資料保護法規之規定。
7.2 前述稽查、檢查、資訊提供或資料保護安全評估的費用應由客戶承擔。
7.3 客戶得要求代理商對複受託處理人的客戶個資系統及流程進行稽查或檢查。該稽查或檢查的費用由客戶承擔。

捌、 賠償及責任上限

8.1 在遵守第 8.3 條責任上限規定下,對代理商及複受託處理人因為下列原因所遭受的個資損害或跟下列原因有關的個資損害,或代理商及複受託處理人對該個資損害所同意給付的賠償金,或代理商及複受託處理人因為該個資損害而被法院判決的賠償,客戶應予賠償及致使代理商及複受託處理人獲得賠償:
允許並配合協助客戶稽查及檢查代理商處理客戶個資的系統與流程,但客戶必須確保:
8.1.1 客戶未遵守資料保護法規;
8.1.2 代理商或複受託處理人依照客戶的處理指示所執行的處理違反資料保護法規;或
8.1.3 客戶違反其在本資料處理規範中的義務,
但如依照第 8.2 條應由代理商承擔責任,則客戶無需賠償代理商。
8.2 在遵守第 8.3 條責任上限規定下,本資料處理規範內,或跟本資料處理規範有關的個資損害如因為下列原因所致,無論是契約下的責任、民事侵權責任或其他責任,代理商應賠償客戶:
8.2.1 在本資料處理規範內的客戶個資處理上,因為代理商違反本資料處理規範而直接產生個資損害;及
8.2.2 肇因(或導致情況)不是客戶違反本資料處理規範或跟客戶違反本資料處理規範完全無關的個資損害。
8.3 簽約一方對另一方的賠償責任,無論是契約責任、民事侵權責任、表示錯誤責任(無論是無意或過失下的表示錯誤)、恢復原狀的責任或跟本資料處理規範/附帶契約的履行或預期履行等有關的其他責任,賠償總金額不超過第 8.1 條或第 8.2 條中賠償事件發生當時之原合約或原委刊單/原估價單所載總價之 10%。

玖、 其他約定

9.1 如本資料處理規範之任何條款經判定無效或無法執行,則該無效或無法執行將不影響本資料處理規範其他條款,且其他條款將仍完全有效。
9.2 本資料處理規範構成原合約或原委刊單/原估價單之一部分,具同一效力。

 

  • 附錄1
主旨,個資處理的性質與目的 客戶同意代理商依據原合約或原委刊單/原估價單提供服務目(包含但不限於廣告服務、行銷活動服務、技術服務 (例如網站建置、網路虛擬空間服務、軟體程式設計規劃服務))的必要範圍內,將由代理商就個人資料進行之特定處理,包含但不限於資料之蒐集、記錄、組織、建構、儲存、調整、更改、檢索、使用、揭露、結合資料、資料之諮詢、資料之散佈或者將資料提供予第三人、清除、銷毀。
有效期
依據原合約或原委刊單/原估價單之有效期間
客戶個資
能直接或間接確認某一個人資訊,例如,包含但不限於電子郵件地址、姓名、頭銜、職業、所處行業、電話號碼、雇主、家庭、郵政信箱或其他實際位址、其他聯繫資訊、出生日期或性別等。個人資訊亦包括行為資料、獨特識別資料和個人敏感資料。

行為資料:指追蹤或以其他方式監控資訊主體的線上活動和/或資訊主體的產品與服務使用的資料。

獨特識別資料:指與個人或網路設備相關的獨特永久識別資訊,包括cookie中保留的客戶號、使用者ID、處理器序號或設備序號。

個人敏感資訊:指確定種族或民族的個人資訊;宗教、哲學或其他信仰;政治主張;參加的宗教、哲學、政治或貿易聯盟性質的黨派、貿易聯盟、協會或組織;刑事犯罪記錄;財務資訊;政府制定的身份識別資訊(例如稅務識別號);以及健康狀況及性行為。
個資當事人
其個人資訊和/或行為資料和/或獨特識別資料被蒐集或保留的任何個人(包含但不限於客戶的員工、客戶的顧客),包括未成年兒童及代表其行使權利的家長或法定監護人。
具體限制
客戶個人資料之處理應受原合約或原委刊單/原估價單與本資料處理規範所述限制規定之拘束。如原合約或原委刊單/原估價單與本資料處理規範有任何抵觸或不一致,應適用本資料處理規範第1.3款之規定。
處理資料保護人員

 

已經獲得同意的複受託處理人與個資移轉
[注意事項:資料保護法規要求清楚知道個資移轉給誰及移轉到什麼地方,尤其是個資是否從一個轄區移轉到另一個轄區。本表載明客戶在簽名當時所同意的事。代理商應一開始就填寫本表,以告知哪些複受託處理人將處理客戶個資以及是否有任何客戶個資將被移轉到歐洲經濟區以外的地方。

「機制」欄載明合意的措施,以讓客戶個資依照相關法律移轉至海外。例如,個資如要移轉到歐洲經濟區以外的地方,可能需要符合歐盟模式條款、具有約束力的企業規定或「隱私屏蔽認證」(Privacy Shield certification)。除非有關機制已經實施,否則不可讓海外移轉發生,且對於這類機制需要客戶的法律顧問提供意見與建議。]

 

名稱
(在這裡填寫複受託處理人的名稱與營業登記地址)
服務
(在這裡填寫獲准執行的服務)
地點/移轉
(在這裡填寫複受託處理人將在哪個地點處理客戶個資,並且,填寫個資從哪個地方及哪個人移轉給複受託處理人)
機制
(在這裡填寫為了確保移轉符合本資料處理資料處理規範及資料保護法規,簽約方所合意的機制)
雅虎數位行銷有限公司
Yahoo關鍵字,原生廣告 台灣
美商科高國際有限公司台灣分公司
Google相關廣告、Google Analytics、Google Search Console、Google My Business、Google Drive、客戶 YouTube 後台 (薇姿、理膚寶水)
台灣
Facebook, Inc.
Facebook
台灣
台灣連線股份有限公司
LINE 台灣
台灣萊雅股份有限公司 - 薇姿
客戶網站後台
台灣
台灣萊雅股份有限公司 - 理膚寶水
客戶網站後台
台灣
聯合利華股份有限公司
客戶網站後台
台灣
台灣萊雅股份有限公司 萊雅採購系統 My Market
台灣
意藍資訊股份有限公司 Opview 台灣
AC尼爾森市場研究公司 Nielsen 台灣
SimilarWeb LTD SimilarWeb
台灣
 
Moz, Inc
Moz 台灣
 
Ahrefs Pte. Ltd.
Ahrefs
台灣
 
Brightedge Technologies, inc.
BrightEdge
台灣
 
Screaming Frog Ltd
Screaming Frog
台灣   
域動行銷股份有限公司
Banner 廣告、再行銷
台灣
 
艾普特媒體有限公司
原生廣告、APP 廣告、再行銷
台灣
 
沛星互動科技股份有限公司
動態廣告
台灣
 
塔圖科技股份有限公司
動態廣告 台灣
 
CRITEO SINGAPORE PTE LTD
動態廣告
台灣
 
宇匯知識科技股份有限公司
動態廣告
台灣
 
亞迪瑞特科技有限公司
  台灣