附錄 II:歐盟委員會核准的標準契約條款(模組 4)

這些標準契約條款的目的是確保將個人資料傳輸至第三國時符合 GDPR 的要求。

第 I 節


第 1 條

目的與適用範圍

  1. 本標準契約條款之目的是確保將個人資料移轉至第三國時,符合歐洲議會及理事會 2016 年 4 月 27 日頒布的關於個人資料處理的自然人保護及資料自由流動第 (EU) 2016/679 號規則(《一般資料保護規則》)的要求。
  2. 當事人:
    • 移轉個人資料的自然人或法人、公務機關、機構或其他團體(以下稱「實體」),皆詳如附件 I.A 所列(以下皆稱「資料輸出者」),以及。
    • 在第三國的實體自資料輸出者處接收個人資料,無論是直接接收還是透過其它也是本條款的當事方的實體間接接收,詳情請參見附件I.A。 (以下各稱「資料輸入者」),已同意這些標準契約條款(以下稱「條款」)。
  3. 本條款適用於附件 I.B 規定的的個人資料移轉。
  4. 本條款的附錄(含其中所提及的附件)構成條款內容的一部分。

第 2 條

條款的效力與不可變更性

  1. 本條款依第 (EU) 2016/679 號規則第 46(1) 條及第 46(2)(c) 條訂定適當保障措施,包括可強制執行的資料主體權利及有效法律救濟;關於資料控制者至處理者及/或處理者至處理者的資料移轉,則依第 (EU) 2016/679 號規則第 28(7) 條的標準契約條款,前提是條款未經修改,但為選擇適當模組或在附錄中增補或更新資訊所作的修改除外。 這並不妨礙當事人將本條款所載的標準契約條款納入更廣泛的契約及/或增補其他條款或額外保障措施,前提是該等條款或措施不直接或間接與本條款相牴觸,或損害資料主體的基本權利或自由。
  2. 本條款不影響資料輸出者依第 (EU) 2016/679 號規則所承擔的義務。


第 3 條

第三方受益人

  1. 資料主體可以第三方受益人的身分,對資料輸出者及/或資料輸入者主張並強制執行本條款,但以下條款除外:
    • 第 1、2、3、6、7 條。
    • 第 8 條:第 8.1 條 b) 款、第 8.3 條 b) 款。
    • 第 13 條。
  2. 段落(a) 不妨礙資料主體依歐盟法規 (EU) 2016/679 的權利。

第 4 條

解釋

  1. 本條款使用的術語如於第 (EU) 2016/679 號規則已有定義,則其涵義與該規則相同。
  2. 本條款應依第 (EU) 2016/679 號規則的規定進行解讀與解釋。
  3. 本條款的解釋不得與第 (EU) 2016/679 號規則規定的權利和義務相牴觸。


第 5 條

優先性

若本條款與當事人間於本條款訂立時或其後所簽訂相關協議的規定相牴觸,應以本條款為準。

第 6 條

移轉說明

移轉的詳細內容,特別是移轉的個人資料類別及移轉目的,詳見附件 I.B。

第 7 條

加入條款

  1. 非本條款當事人的實體,經雙方同意,可隨時填寫附錄並簽署附件 I.A,以資料輸出者或資料輸入者身分加入本條款。
  2. 該實體一經完成附錄填寫及附件 I.A 簽署,即成為本條款當事人,並依附件 I.A 所指定的身分,享有資料輸出者或輸入者的權利與義務。
  3. 加入實體就其成為當事人前的期間,不享有本條款所定權利,亦不承擔相關義務。


第 II 節:當事人的義務


第 8 條

資料保護保障措施

資料輸出者保證,其已盡合理努力,確認資料輸入者能透過實施適當技術及組織措施,履行其於本條款下的義務。

8.1. 指示。

  1. 資料輸出者僅應依身為資料控制者的資料輸入者的書面指示處理個人資料。
  2. 資料輸出者如無法遵循該等指示,包括該等指示違反第 (EU) 2016/679 號規則或其他歐盟或成員國的資料保護法,應立即通知資料輸入者。
  3. 資料輸入者不應採取任何致使資料輸出者無法履行第 (EU) 2016/679 號規則下的義務的行動,包括於次級處理情形下或與主管監督機關合作。
  4. 處理服務結束後,資料輸出者應依資料輸入者的選擇,刪除其代為處理的全部個人資料並向資料輸入者證明已完成刪除,或返還全部代處理的個人資料並刪除現有副本。

8.2. 處理的安全性。

  1. 雙方應採取適當技術及組織措施,確保資料安全(含傳輸期間),並防止因安全漏洞導致意外或非法破壞、遺失、變更、未經授權的揭露或存取(以下稱「個人資料外洩」)。 在評估適當的安全等級時,應充分考量現行技術水準、實施成本、個人資料性質、處理的性質、範圍、背景與目的,以及處理對資料主體造成的風險,特別是在可達成處理目的的情形下,應考慮採用加密或假名化處理(含傳輸中)。
  2. 資料輸出者應依第 (a) 款協助資料輸入者確保資料的適當安全性。 如發生資料輸出者依本條款處理的個人資料外洩事件,資料輸出者應於知悉後立即通知資料輸入者,並協助資料輸入者處理該外洩事件。
  3. 資料輸出者應確保經授權處理個人資料的人員已承諾保密,或負有適用法定保密義務。

8.3. 文件記錄與合規性。

  1. 當事人應能證明其符合本條款。
  2. 資料輸出者應向資料輸入者提供證明其履行本條款義務所需的一切資訊,並允許及協助進行稽核。

第 9 條

資料主體權利

當事人應相互協助,以回應資料主體依資料輸入者所在地適用法律、或就資料輸出者於歐盟境內的資料處理行為,依第 (EU) 2016/679 號規則所提出的查詢與請求。

第 10 條

救濟

資料輸入者應以透明且易取得的方式,透過個別通知或在其網站上,告知資料主體經授權處理投訴的聯絡窗口, 並應迅速處理自資料主體收到的任何投訴。

第 11 條

賠償責任

  1. 一方當事人因違反本條款而導致他方當事人遭受損害,應對他方當事人負賠償責任。
  2. 一方當事人因違反本條款下的第三方受益人權利,對資料主體造成任何實質或非實質損害,應對資料主體負賠償責任,且資料主體有權獲得賠償。 本規定不影響第 (EU) 2016/679 號規則對資料輸出者所定責任。
  3. 若因違反本條款導致資料主體受有損害,而有一個以上當事人應負責,則所有應負責當事人應負連帶賠償責任。
  4. 當事人同意,若一方當事人依第 (c) 款被認定負有賠償責任,其有權向其他應負責當事人追償與其對損害所負責任相對應的賠償部分。
  5. 資料輸入者不得主張處理者或次級處理者的行為,以免除自身責任。


第 III 節:當地法律與公務機關存取時的義務


第 12 條

影響條款遵循的當地法律與慣例

  1. 當事人保證,他們並無理由相信目的地第三國適用於資料輸入者處理個人資料的法律與慣例(包括揭露個人資料的要求或授權公務機關存取的措施),會妨礙資料輸入者履行其於本條款下的義務。 這是基於以下認知:凡是尊重基本權利與自由的本質、且未逾越民主社會為保障第 (EU) 2016/679 號規則第 23(1) 條所列目標之一所必要且適當的法律與慣例,均不與本條款相牴觸。
  2. 當事人聲明,在提供第 (a) 款的保證時,其已特別充分考量下列事項:
    • 移轉的具體情況,包括處理鏈長度、參與主體數量、使用的傳輸管道、預期再移轉、接收者類型、處理目的、移轉個人資料的類別與格式、移轉所屬產業部門、所移轉資料的儲存地點;
    • 目的地第三國的相關法律和慣例,包括要求資料公開給公務機關或授權其存取的法律規定,這些是在特定移轉情況下相關的法律,並且需要符合適用的限制以及保障措施。
    • 為補充本條款下的保障措施而實施的相關契約、技術或組織保障措施,包括傳輸期間及目的地國就個人資料處理所採取的措施。
  3. 資料輸出者保證,其於執行第 (b) 款下的評估時,已盡最大努力向資料輸出者提供相關資訊,並同意持續與資料輸出者合作以確保遵循本條款。
  4. 當事人同意將第 (b) 款下的評估作成書面文檔,並應主管監督機關要求提供。
  5. 資料輸入者同意,於同意本條款後及契約存續期間,若有理由認為自身受到或已受到不符合第 (a) 款要求的法律或慣例約束,包括第三國法律變更或相關措施(例如揭露請求)顯示該等法律的適用方式不符合第 (a) 款要求,應立即通知資料輸出者。
  6. 根據第 (e) 款發出通知後,或若資料輸出者另有理由認為資料輸入者已無法履行其於本條款下的義務,資料輸出者應立即確定應由資料輸出者及/或資料輸入者採取的適當措施(例如確保安全性與機密性的技術或組織措施)以應對該情況。 若資料輸出者認為無法確定確保該移轉的適當保障措施,或接獲主管監督機關指示,應暫停資料移轉。 於此情形下,資料輸出者有權終止契約中與本條款下個人資料處理相關部分。 如契約當事人超過兩方,資料輸出者僅可就相關當事人行使此終止權,除非當事人另有約定。 若契約依本條款終止,應適用第 16 條 (d) 及 (e) 款。

第 13 條

公務機關存取時資料輸入者的義務

13.1. 通知。

  1. 資料輸入者同意,若發生以下情況,應通知資料輸出者,並在可能情況下立即通知資料主體(必要時可藉由資料輸出者協助):
    • 接收到來自目的地國的公務機關(包括司法機關)根據該國法律提出的要求披露根據本條款移轉的個人資料的具有法律約束力的請求;該等通知應包含所請求的個人資料、請求的公務機關、該請求的法律依據及提供的回應資訊;或
    • 知悉公務機關依目的地國法律直接存取依本條款移轉的個人資料;該等通知應包含輸入者可取得的所有相關資訊。
  2. 若資料輸入者依目的地國法律被禁止通知資料輸出者及/或資料主體,資料輸入者同意盡最大努力取得該禁止的豁免,以期盡快傳達儘可能多的資訊。 資料輸入者同意將其努力情形作成書面文檔,以便應資料輸出者要求提供證明。
  3. 若目的地國法律允許,資料輸入者同意於契約存續期間定期向資料輸出者提供所收到請求的盡可能多的相關資訊(特別是請求次數、請求資料類型、請求機關、請求是否曾受質疑及質疑結果等)。
  4. 資料輸入者同意依第 (a) 至 (c) 款在契約存續期間保存資訊,並應主管監督機關要求提供。
  5. 第 (a) 至 (c) 款不影響資料輸入者依第 14(e) 條及第 16 條,於其無法遵循本條款時立即通知資料輸出者的義務。

13.2. 合法性審查與資料最小化

  1. 資料輸入者同意審查揭露請求的合法性,特別是該請求是否屬於請求公務機關被授予的權力範圍內,且若經詳細評估後,有合理理由認為該請求依目的地國法律(包括國際法下的適用義務與國際禮讓原則)屬於違法,應對該請求提出質疑。 於相同條件下,資料輸入者應尋求救濟可能性。 對請求提出質疑時,資料輸入者應尋求臨時措施,以期暫停該請求的效力,直至主管司法機關就其案情實體作出裁決為止。 在適用的程序規則要求揭露前,其不得揭露所請求的個人資料。 此等要求不影響資料輸入者依第 14(e) 條所承擔的義務。
  2. 資料輸入者同意將其法律評估及對揭露請求的任何質疑作成書面文檔,並在目的地國法律允許的範圍內,向資料輸出者提供該文件, 亦應應主管監督機關要求提供。
  3. 資料輸入者同意,於回應揭露請求時,基於對請求的合理解釋,提供法律允許的最少資訊量。


第 IV 節:最終條款


第 14 條

未遵循條款與終止

  1. 資料輸入者無論因何原因無法遵循本條款,應立即通知資料輸出者。
  2. 若資料輸入者違反本條款或無法遵循本條款,資料輸出者應暫停向資料輸入者移轉個人資料,直至確保其再次遵循本條款或契約終止為止。 這不影響第 14(f) 條。
  3. 有下列情形之一者,資料輸出者有權終止契約中與本條款下個人資料處理相關部分:
    • 資料輸出者依據第(b)款暫停向資料輸入者傳送個人資料後,未能在合理時間內並在任何情況下都需在一個月內恢復遵循本條款;
    • 資料輸入者實質或持續違反本條款;或
    • 資料輸入者未遵守主管法院或監督機關就其於本條款下義務所作的具有約束力的決定。

    於此類情形下,資料輸出者應將該未遵循情形通知主管監督機關。 如契約當事人超過兩方,除另有約定外,資料輸出者僅可對相關當事人行使終止權。

  4. 資料輸出者在歐盟收集並於依第 (c) 款終止契約前已傳輸的個人資料,應立即完全刪除,包括其任何副本。 資料輸入者應向資料輸出者證明資料已刪除。 在資料刪除或返還前,資料輸入者應繼續確保遵循本條款。 若資料輸入者適用的當地法律禁止返還或刪除該移轉個人資料,資料輸入者保證將繼續確保遵循本條款,且僅於該當地法律要求的範圍及期限內處理該資料。
  5. 任一方當事人可於下列情況下撤銷其受本條款約束的同意:(i) 歐盟委員會依第 (EU) 2016/679 號規則第 45(3) 條作成決定,且該決定涵蓋本條款適用的個人資料移轉;或 (ii) 第 (EU) 2016/679 號規則被納入個人資料移轉目的地國的法律體系。 這不影響第 (EU) 2016/679 號規則下所涉處理適用的其他義務。

第 15 條

準據法

本條款以承認第三方受益人權利的國家法律為準據法。 當事人同意以西班牙法律為準據法。

第 16 條

法院選擇與管轄

因本條款引起的任何爭議,均由西班牙法院管轄。



附件 I

當事人名單

資料輸出者:

  • 名稱:ILOVEPDF, S.L.
  • 地址:Calle Sabino de Arana, 60, 08028 Barcelona
  • 聯絡人姓名、職位及詳細聯絡方式:Juan Oriol,法務總監 (legal@ilovepdf.com)。
  • 與本條款下移轉資料相關的活動:向個人資料輸入者提供服務,且該服務涉及自 ILOVEPDF(資料輸出者)向客戶(資料輸入者)進行個人資料國際移轉。
  • 角色:資料處理者。

資料輸入者: [資料輸入者身分及詳細聯絡方式,含負責資料保護的聯絡人]

  • 名稱:[......](如未填寫,視為適用客戶名稱)。
  • 地址:[......](如未填寫,視為適用客戶地址)。
  • 聯絡人姓名、職位及詳細聯絡方式:[......](如未填寫,視為適用代表客戶簽約或使用服務的人員)。
  • 與本條款下移轉資料相關的活動:向個人資料輸出者提供服務,且該服務涉及自 ILOVEPDF(資料輸出者)向客戶(資料輸入者)進行個人資料國際移轉。
  • 簽名和日期:[......](如未填寫,視為客戶首次使用服務的日期)。
  • 角色:資料控制者。

移轉說明

個人資料被移轉的資料主體的類別

輸入者使用 ILOVEPDF 提供的服務時上傳的文檔內所含資料的資料主體的類別(例如員工、客戶、供應商等)。

移轉的個人資料的類別
輸入者使用 ILOVEPDF 提供的服務時上傳的文檔內所含個人資料的類別。

移轉的敏感性資料(如適用)及充分考量資料性質與所涉風險而採取的限制或保障措施,例如嚴格的目的限制、存取限制(限受專業訓練人員存取)、記錄資料存取情況、再移轉限制或額外安全措施

若輸入者使用 ILOVEPDF 服務時上傳的文檔包含特殊類別個人資料,該特殊類別資料將於該範圍內處理。

移轉頻率(例如一次性或持續移轉)
當使用 ILOVEPDF 提供的服務涉及從 ILOVEPDF 向資料輸入者進行資料的國際移轉時。

處理的性質
在 ILOVEPDF 提供其服務所需的範圍內,將個人資料傳送予輸入者。

資料移轉及進一步處理的目的
代表 ILOVEPDF 提供服務。

個人資料的保存期限或在無法確定保存期限時的判定標準以提供服務所絕對必要的範圍為限;其後則依據適用的法律規定,並以必要的範圍為限來主張或抗辯涉及個人資料處理的請求。

版本控制:2026年2月19日 星期四



哎呀!你的網絡連接有問題。