A. 資料處理協議 (Data Processing Agreement, DPA)
本協議是 [2025/09/29] 簽署的《主服務協議》(MSA)的附件,於 [2025/09/29] 生效。
當事方:
資料控制者 (Controller): [貴寶號],地址:[企業客戶地址]。
資料處理者 (Processor): [Saome.org],地址:[我的公司地址]。
B. 處理的範圍與細節 (GDPR 第 28(3) 條)
| 項目 | 描述 |
|---|---|
| 處理的目的 | 處理者將依據控制者指示,透過 本 平台提供忠誠計畫服務,包括建立、發放、管理和儲存會員卡、點數、消費紀錄,並生成相關報告。 |
| 資料主體類別 | 控制者的終端客戶(即忠誠計畫的會員/參與者)。 |
| 個人資料類別 | 姓名、電子郵件地址、電話號碼、會員 ID、消費紀錄、點數歷史、購買習慣,以及裝置 ID 或 IP 地址等線上識別資訊。 |
| 資料的敏感性 | 非特殊類別個人資料。 |
| 處理的性質 | 收集、記錄、儲存、組織、分析、檢索、傳輸和刪除。 |
| 處理期間 | 在主服務協議生效期間,以及協議終止後30天 的資料移轉或刪除寬限期內。 |
C. 處理者的義務與保證
處理者應遵守以下所有義務:
僅依指示處理: 處理者僅依據控制者的書面指示處理個人資料。若處理者認為任何指示違反 GDPR,應立即通知控制者。
保密承諾: 處理者應確保所有接觸個人資料的人員都已簽署保密協議或受到適當的法定義務約束。
資訊安全措施 (TOMS): 處理者應實施符合 GDPR 第 32 條要求的適當技術與組織措施 (TOMS),以確保對個人資料的風險程度採取對應的安全等級。措施應包括(但不限於):
資料傳輸與靜態的加密和假名化。
確保系統服務的持續機密性、完整性、可用性與彈性。
定期測試、評估並改善 TOMS 的有效性。
分包處理者(次級處理者):
現有次級處理者: 控制者於此授權處理者使用以下主要次級處理者:Cloudway (託管服務) 和 DigitalOcean (雲端基礎設施)。
新增次級處理者: 處理者承諾向控制者提供一個機制(例如:在我們的網站上發布清單)來通知任何新增或替換次級處理者,並給予控制者合理的反對期(例如:30 天)。
責任: 處理者保證次級處理者承擔與本 DPA 相同的資料保護義務。處理者對次級處理者的作為或不作為負完全責任。
協助義務: 處理者應透過可用的技術和組織措施,協助控制者履行其 GDPR 義務,包括:
資料主體權利 (DSR): 協助控制者回應終端客戶行使存取、更正、刪除、限制處理和資料可攜權等 DSR 請求。
影響評估: 協助控制者進行資料保護影響評估 (DPIA) 及事先諮詢。
資料外洩通報: 一旦發現任何資料安全事件或外洩,處理者應立即(不得無故拖延)通知控制者,並提供所有必要資訊(包括資料主體類別、受影響的紀錄數量、可能的後果和補救措施)。
D. 服務終止與審計
服務終止處理: 於服務終止後,處理者應根據控制者的指示,安全刪除或歸還所有個人資料副本。
審計與證據: 處理者應向控制者提供所有必要資訊,以證明遵守本 DPA,並在合理的範圍內,允許控制者或其指定的獨立審計員進行審計。