附錄 I:資料處理協議
本《資料處理協議》規定了 ILOVEPDF 依據歐盟規章 (EU) 2016/679 (GDPR) 代表資料控制者處理個人資料的方式。
本資料處理協議(以下稱「資料處理協議」)構成適用於 ILOVEPDF(以下稱「ILOVEPDF」),稅號 CIF B66921552,註冊地址為 Calle Sabino de Arana, 60, 08028 Barcelona,就個人資料依下述規定代表您進行處理的處理協議。
就此,ILOVEPDF 將透過 ILOVEPDF 自有軟體或電腦程式向您提供特定服務。 使用該等服務時,ILOVEPDF 將以資料處理者(以下稱「處理者」)身分存取並處理特定個人資料,而您為該等資料的資料控制者(以下稱「控制者」)。
本處理協議構成 ILOVEPDF 條款與條件的一部分,並於您接受條款與條件時生效。 若條款與條件與本處理協議之間存在任何衝突、抵觸或矛盾,應以本處理協議為準。
為符合歐洲議會及理事會 2016 年 4 月 27 日第 (EU) 2016/679 號《一般資料保護規則》(以下稱「GDPR」)有關個人資料處理的自然人保護及資料自由流動的規定,控制者與處理者依以下
條款簽訂本處理協議
第 1 條
目的與適用範圍
- 本處理協議的目的為確保符合 GDPR 第 28(3) 條及第 28(4) 條的規定。
- 控制者與處理者同意受本協議約束,以確保符合 GDPR 第 28(3) 條及第 28(4) 條的規定。
- 本處理協議適用於附件 I 規定的個人資料處理。
- 附件 I 與附件 II 構成本處理協議的一部分。
- 這些條款與條件不影響控制者依 GDPR 所承擔的義務。
- 這些條款與條件本身並不保證當事人已符合 GDPR 第 V 章所規定的國際移轉相關義務。
第 2 條
解釋
- 本處理協議中使用的術語如於 GDPR 已有定義,則其涵義與 GDPR 相同。
- 本處理協議應依 GDPR 的規定進行解讀與解釋。
- 本資料處理協議的解釋不得與 GDPR 所規定的權利和義務相牴觸,及/或不得損害資料主體的基本權利或自由。
第 3 條
優先性
若本處理協議與當事人間於本條款與條件訂立時或其後所簽訂相關協議的規定相牴觸,應以本處理協議為準。
第 4 條
處理的說明
附件 I 規定了處理操作的詳細內容,特別是個人資料的類別,以及處理者代控制者處理個人資料的處理目的。
第 5 條
當事人的義務
5.1. 指示
- 處理者僅應依控制者的書面指示處理個人資料,除非處理者所應遵守的歐盟或成員國法律要求其處理。 在此情形下,處理者應於處理前將該法律要求通知控制者,除非該法律基於重大公共利益理由禁止此種告知。 控制者於個人資料處理期間亦可發出後續指示。 該等指示均應以書面記錄。
- 若處理者認為控制者給出的指示違反 GDPR 或適用的歐盟或成員國資料保護規定,應立即通知控制者。
5.2. 目的限制
處理者僅應為附件 I 所規定的特定處理目的處理個人資料,除非其從控制者處收到進一步指示。
5.3. 個人資料處理的期限
處理者僅應在附件 I 中指定的期限內進行處理。
5.4. 處理的安全性
- 處理者應至少實施附件 II 規定的技術及組織措施,以確保個人資料安全。 這包括防止因安全漏洞導致意外或非法破壞、遺失、變更、未經授權的揭露或資料存取(個人資料外洩)。 在評估適當的安全等級時,當事人應充分考量現行技術水準、實施成本、處理之性質、範圍、背景與目的,以及對資料主體造成的風險。
- 處理者僅應於履行、管理及監督本契約所絕對必要的範圍內,准許其內部人員存取正處於處理狀態的個人資料。 處理者應確保經授權處理所接收個人資料的人員已承諾保密,或負有適用法定保密義務。
5.5. 敏感性資料
若處理涉及揭露種族或族裔出身、政治意見、宗教或哲學信仰、工會會籍、為識別特定自然人的目的而處理的基因資料或生物特徵資料、健康資料、有關自然人的性生活或性取向資料,或關於犯罪前科與刑罰的資料(以下稱「敏感性資料」),處理者應採取特別限制及/或額外保障措施。
5.6. 文件記錄與合規性
- 當事人應能證明其符合本資料處理協議。
- 處理者應迅速且妥當處理控制者依本處理協議提出的有關資料處理的詢問。
- 處理者應向控制者或獨立第三方提供證明其已履行本處理協議規定且直接源於 GDPR 的義務所需的一切資訊。 應控制者要求,處理者亦應允許並協助對本資料處理協議所涵蓋處理活動進行稽核。 稽核的範圍與期間限於絕對必要的程度,以使控制者能於合理懷疑(事先以書面正當證明)資料處理者違反本資料處理協議任一條款時,進行必要的檢查。 無論如何,稽核的唯一目的為查證違規情況,每年以最多一 (1) 次為限,且須至少提前一 (1) 個月通知。 無論如何,稽核費用應由資料控制者承擔。
- 當事人應應主管監督機關的要求,提供本條款所述的資訊,特別是稽核結果。
5.7. 次級處理者的使用
- 處理者取得控制者概括授權後可委託次級處理者。 處理者應向控制者提供使控制者能行使異議權所需的資訊。
- 當處理者委託次級處理者代控制者執行特定處理活動時,應以契約約定次級處理者承擔與本條款對處理者所訂實質相同的資料保護義務。 處理者應確保次級處理者遵守處理者依本處理協議及 GDPR 所承擔的義務。
- 處理者就次級處理者依據其與處理者的契約履行義務,對控制者仍負完全責任。 處理者應將次級處理者未履行契約義務的任何情況通知控制者。
5.8. 國際移轉
- 處理者將資料移轉至第三國或國際組織,應依 GDPR 第 V 章的規定執行。
- 控制者同意,若處理者依第 5.7 條委託次級處理者代控制者執行特定處理活動,且該處理活動涉及 GDPR 第 V 章所稱的個人資料移轉,處理者與次級處理者可透過下列方式確保符合 GDPR 第 V 章的規定:(i) 將個人資料移轉至歐盟委員會已依 GDPR 第 45 條作出適足性認定的國家;或 (ii) 使用歐盟委員會依 GDPR 第 46(2) 條訂定的標準契約條款,前提是滿足該等標準契約條款的適用條件。 一般規則是,除控制者另有選擇外,處理者於歐洲經濟區境內處理您的個人資料。 儘管有上述規定,為優化服務效能與效率,來自歐洲經濟區以外的控制者,處理者可能於距離您所在地更近的地理區域處理您的個人資料,前提是已實施前述保障措施。
- 此外,若處理者向控制者傳輸個人資料的行為構成 GDPR 第 V 章意義下的個人資料移轉,處理者與控制者應簽訂列為附件 II 的標準契約條款(模組 4)。
第 6 條
對控制者的協助
- 處理者應將其自資料主體收到的任何請求立即通知控制者 非經控制者授權,不得自行回應該請求。
- 處理者應將其收到的資料主體權利行使請求轉交給控制者,因為該等請求所涉及的個人資料是由控制者擔任資料控制者,應由控制者回應。
- 除依第 6(b) 條對控制者負有協助義務外,處理者另應考量資料處理的性質及其可取得的資訊,協助控制者履行以下義務:
- 當某類處理可能對自然人的權利和自由造成高風險時,便有進行預期處理對個人資料保護影響的評估(「資料保護影響評估」)的義務;
- 若資料保護影響評估顯示,控制者未採取降低風險措施時會存在高風險,則事前必須諮詢相關主管監督機關的義務;
- 確保個人資料的準確性及時效性的義務,當處理者察覺其所處理的個人資料不準確或已過時時,應立即通知控制者;
- GDPR 第 32 條規定的義務。
- 當事人應於附件 II 規定處理者依本條款協助控制者所應實施的適當技術與組織措施,以及所需協助的範圍與程度。
第 7 條
個人資料外洩通知
- 若發生個人資料外洩,處理者應考量處理性質及其可取得的資訊,配合並協助控制者履行 GDPR 第 33 條與第 34 條下的義務。
- 處理者代控制者處理的個人資料發生安全外洩事件,處理者於知悉後應立即通知控制者。 該通知至少應包含:
- 外洩性質的說明(包括,如可能,所涉資料主體及資料記錄的類別與大致數量);
- 可進一步取得個人資料外洩相關資訊的聯絡窗口詳細資料;
- 可能造成的影響,以及已採取或擬採取以處理外洩的措施,包括減輕可能不利影響的方式。
- 若無法一次提供全部資訊,應於首次通知時提供當時可取得的資訊,並在其他資訊收集後立即提供。
附件 I:處理的說明
所處理個人資料的資料主體的類別
控制者使用 ILOVEPDF 提供的服務時上傳的文檔內所含資料的資料主體的類別(例如員工、客戶、供應商等)。
處理的個人資料的類別
控制者使用 ILOVEPDF 提供的服務時上傳的文檔內所含個人資料的類別。
處理的敏感性資料(如適用)及充分考量資料性質與所涉風險而採取的限制或保障措施,例如嚴格的目的限制、存取限制(限受專業訓練人員存取)、記錄資料存取情況、再移轉限制或額外安全措施。
若控制者使用 ILOVEPDF 服務時上傳的文檔包含特殊類別個人資料,該特殊類別個人資料將於該範圍內處理。
處理的性質
處理者將執行提供服務所需的一切作業(例如對含有個人資料的文檔進行轉換、編輯與壓縮)。
代表控制者處理個人資料的目的
代表 ILOVEPDF 提供服務。
處理的期限
以提供服務所絕對必要的範圍為限。
次級處理者及所提供服務的類型
ILOVEPDF 於提供服務過程中使用作為個人資料次級處理者的第三方服務提供者。 其中,ILOVEPDF 採用 Cloudscale、Digital Ocean、Hetzner、OVHcloud、Vultr 作為網頁託管與雲端運算解決方案供應商,這些供應商提供技術基礎設施服務,以確保資料安全處理、臨時儲存及平台營運持續性。
次級處理者依 ILOVEPDF 的指示行事,並採取適當的技術與組織措施,以確保依第 (EU) 2016/679 號規則 (GDPR) 及其他適用的資料保護法規保護個人資料。
若要獲取更多關於 iLovePDF 子處理者的資訊,您可以點擊此處。
附件 II:技術與組織措施,包括確保資料安全的技術與組織措施
處理者應對依本處理協議進行的處理活動採取下列技術與組織安全措施:
- 防止傳輸資訊遭攔截、複製、修改、路由錯誤與毀損的技術措施。
- 偵測、保護和緩解可能透過電子通訊傳播的惡意應用程式(惡意軟體)的技術程序與內部政策。
- 敏感性資料以附件形式傳輸時的技術保護措施。
- 通訊資源合理使用的內部政策。
- 確保所有經授權存取處理者資源的使用者(員工及第三方)就其自身資訊負起責任的組織措施。
- 使用加密技術保護資訊的機密性、完整性與真實性。
- 依相關國家及地方法律法規,保留及處置所有業務通訊(包括訊息)的組織方針。
- 就不得揭露機密資訊定期向員工宣導並制訂內部政策,例如要求:不得在答錄機中留下敏感性訊息、不得在公共場所進行機密談話、不得使用不安全的通訊管道、不得在開放空間辦公室進行機密談話等。
版本控制:2026年2月19日 星期四