新增功能:智慧動畫 — 為您的原型帶來動態效果。 瞭解詳情

新增功能:智慧動畫 — 為您的原型帶來動態效果。 瞭解詳情
跳過導覽
法律聲明

資料處理增補協議

2023 年 10 月 24 日版本

本資料處理增補協議(以下簡稱「**DPA**」)補充並構成您(以下簡稱「**控制方**」)與 Sketch(以下簡稱「**處理方**」)之間就位於 www.sketch.com 的 Sketch 平台(以下簡稱「**條款**」)所達成的服務條款的組成部分。您與 Sketch 在下文中統稱為「**雙方**」,單獨稱為「**一方**」。

接受本 DPA 條款,即表示您聲明您有權代表控制方受本 DPA 約束。

鑑於

  • 雙方已同意處理方應向控制方提供某些服務(以下簡稱「**服務**」),詳見本 DPA 所屬條款;
  • 作為服務交付的一部分,處理方將代表控制方處理個人資料;以及
  • 雙方希望在本 DPA 中規定其在處理此類個人資料方面的權利和義務。

茲同意如下

定義

  1. 在本 DPA 中,以下術語,無論單數或複數,均應具有本段賦予它們的含義
  • 「**適用法律要求**」— 任何和所有國際、歐盟、國家、省級或地方法律、法規、命令、法令、行政命令或條約、判決、法院命令、行為準則(無論是否具有約束力)、指南或任何相關政府或政府機構或監管機構的任何其他要求,因為它們適用於雙方或其中一方履行條款。
  • 「**控制方個人資料**」— 與已識別或可識別自然人相關的任何信息,這些信息由控制方向處理方提供,或由處理方根據控制方的指示作為服務的一部分收集或生成,在這兩種情況下,處理方均需根據條款提供其服務,並在**附件 1 – 處理細節** 中有更詳細的說明。
  • 「資料外洩」 — 指安全漏洞導致處理器傳輸、儲存或以其他方式處理的控制者個人資料遭到意外或非法毀損、遺失、竄改、未經授權的揭露或存取。
  • 「資料主體請求」 — 資料主體根據 GDPR 並依其行使其權利。
  • 「資料主體」 — 指控制者個人資料所關聯到的已識別或可識別的自然人。
  • 「EEA」 – 歐洲經濟區。
  • 「生效日期」 — 以下較晚者:(i) 雙方締結條款之日期;或 (ii) 您接受本 DPA 之日期。
  • 「歐盟 GDPR」 — 歐洲議會和理事會於 2016 年 4 月 27 日發布關於保護自然人在個人資料處理方面的權利以及此類資料自由流通的法規 (EU) 2016/679,並廢止指令 95/46/EC。
  • 「GDPR」 – 英國 GDPR 及/或歐盟 GDPR(視情況而定),以及 EEA 或英國任何成員國中任何適用的執行或補充立法(包括英國 2018 年資料保護法)。
  • 「相關機構」 – (i) 在英國和英國 GDPR 的脈絡下,指英國資訊專員辦公室及/或英國政府(視情況而定);及/或 (ii) 在 EEA 和歐盟 GDPR 的脈絡下,指歐盟委員會。
  • 「受限國家/地區」 — (i) 在英國的脈絡下,指英國境外的國家或地區;以及 (ii) 在 EEA 的脈絡下,指 EEA 境外的國家或地區,在每種情況下,相關機構均未根據 GDPR 第 45 條的決定,認定其提供「足夠」的個人資料保護級別。
  • 「受限傳輸」 — 指向任何人的控制者個人資料的揭露、授予存取權或其他傳輸,在沒有 GDPR 第五章規定的法律依據的情況下,將被禁止。
  • 「標準合約條款」 — 歐盟委員會為將個人資料從處理器傳輸到位於受限國家/地區的處理器而發布的標準資料保護條款(即應用其模組 3)。
  • 「次級處理器」 — 處理器用於處理控制者個人資料以提供部分服務及/或相關技術支援的第三方。
  • 「監管機構」 – (i) 在英國和英國 GDPR 的脈絡下,指英國資訊專員辦公室;以及 (ii) 在 EEA 和歐盟 GDPR 的脈絡下,應具有歐盟 GDPR 第 4(21) 條賦予該詞彙的含義。
  • 「條款」 — Sketch 平台(包括 Sketch Mac 應用程式、網頁應用程式和 Sketch Mirror)的服務條款,網址為 www.sketch.com。
  • 「英國 GDPR」 – 歐盟 GDPR 作為英國法律的一部分,依據 2018 年歐盟(脫歐)法案第 3 條,經修訂(包括經 2019 年資料保護、隱私和電子通訊(修正等)(歐盟脫歐)法規修訂)(**如果適用**)。

本 DPA 中使用的「個人資料」、「特殊類別個人資料」、「處理」、「控制者」和「處理器」等詞彙,均具有 GDPR 中賦予的含義。

1.2 控制者保證並聲明,根據本 DPA 委託給處理器的處理行為受 GDPR 規定的地域範圍約束(包括根據 GDPR 第 3 條)。控制者進一步同意,如果事實上不受 GDPR 的地域範圍約束,本 DPA 將自生效日期起自動失效,無需另行通知。

處理指示

  1. 本資料處理協議(DPA)係關於處理者代表控制者依據條款履行處理者義務時,處理控制者個人資料之事宜。依據 GDPR 第 28(3) 條規定,此類處理的詳細資訊載於附件一 – 處理明細
  2. 處理者在履行其依據條款之義務時,應僅根據控制者的指示處理控制者個人資料,且不得將控制者個人資料用於任何其他目的,除非適用法律要求其如此做。
  3. 藉由簽訂本 DPA,控制者特此授權並指示處理者處理控制者個人資料:(i) 以提供服務和相關技術支援;(ii) 控制者使用服務和/或其技術支援請求另行允許或要求之事項;(iii) 條款(包括本 DPA)另行允許或要求之事項;以及 (iv) 控制者提供給處理者的任何其他書面指示中另行記載之事項(「允許目的」)。
  4. 若處理者認為控制者給予的指示將導致處理者違反適用法律要求,處理者應立即通知控制者。
  5. 控制者不會與處理者分享任何特殊類別的個人資料。控制者進一步確認,處理者並不要求或需要任何特殊類別的個人資料來提供服務,且不希望接收或儲存任何特殊類別的個人資料。
  6. 控制者持續保證,就 GDPR 第 6 條而言,在條款的整個有效期間內,處理者根據本 DPA 和條款(包括控制者不時就該等處理發出的任何及所有指示)處理控制者個人資料具有有效的法律依據。

控制者個人資料的保密性

  1. 處理者應確保其所有員工、承包商和其他人員均受到關於控制者個人資料的保密承諾或專業或法定保密義務的約束。
  2. 未經控制者事先書面同意,處理者不得以任何方式向任何非經核准的次處理者揭露控制者個人資料,除非處理者必須遵守適用法律要求,且依據該等適用法律要求被禁止取得控制者的事先書面同意。

安全性

  1. 處理者應考量控制者個人資料的性質以及處理控制者個人資料所涉及的風險,實施適當的技術和組織措施,以保護控制者個人資料免受任何意外或非法毀損、遺失、竄改、未經授權的揭露或未經授權的存取(「安全措施」)。安全措施將考量最新技術、實施成本以及處理的性質、範圍、背景和目的,並列於附件二 – 安全措施
  2. 控制者同意,其自行負責使用服務,包括:(i) 適當使用服務,以確保與控制者個人資料相關的風險達到適當的安全等級;(ii) 保護其用於存取服務的任何帳戶驗證憑證、系統和裝置;以及 (iii) 備份所有控制者個人資料。控制者理解並同意,處理者沒有義務保護控制者選擇儲存或傳輸到處理者或任何次處理者系統之外的控制者個人資料(例如離線或內部部署儲存)。控制者自行負責評估服務和處理者在本 DPA 下的承諾是否符合其需求,包括關於控制者遵守 GDPR 和/或適用法律要求下的任何安全義務。

次處理者

  1. 控制者授權處理者根據本節任命次處理者。
  2. 處理者得繼續使用在本DPA生效日期處理者已聘用的次處理者。
  3. 處理者應事先以書面通知控制者任何新次處理者的委任,包括次處理者將進行之處理的合理細節,並透過更新以下網址的次處理者清單:/subprocessors/。如果在收到該通知的十(10)天內,控制者以書面通知處理者任何對擬議委任的異議(基於合理理由)
    1. 處理者應盡合理努力,在提供服務方面做出商業上合理的變更,以避免使用擬議的次處理者;或
    2. 如果無法做出此類變更,任何一方均可立即以書面通知另一方終止條款的全部或與需要使用擬議次處理者的服務相關的部分(始終遵守條款的規定)。
  4. 關於每個次處理者,處理者應確保處理者與次處理者之間的安排受書面合約約束,該合約包含的條款至少提供與本DPA以及標準合約條款(如適用)中規定的條款同等水準的控制者個人資料保護。
  5. 處理者應就每個次處理者關於控制者個人資料的作為和不作為繼續對控制者負責。

資料主體權利

  1. 考慮到處理的性質,處理者應在情況允許下提供控制者合理必要且技術上可行的協助,以協助控制者履行其回應資料主體請求的義務。
  2. 處理者應
    1. 在收到資料主體請求時立即通知控制者;並且
    2. 除非根據控制者的書面指示(且在此情況下,由控制者承擔費用)或適用法律要求,否則不回應任何資料主體請求。

資料外洩通知

  1. 處理者在知悉關於控制者個人資料發生(或可能發生)疑似或實際資料外洩時,應立即通知控制者。此類通知應在偵測到(疑似)資料外洩後立即提供,且不得有不當延遲。
  2. 處理者應在合理能力範圍內向控制者提供以下資訊:
    1. 資料外洩的性質和受影響的資料主體;
    2. 資料外洩的已識別和疑似後果;以及
    3. 處理者為減輕資料外洩的影響已採取或擬採取的措施。
  3. 應控制者的要求,處理者將配合通知主管機關(根據GDPR的規定)和/或資料主體資料外洩的情況。
  4. 控制者應全權負責遵守任何可能適用於控制者的資料外洩通知要求。處理者根據本條款通知或回應資料外洩不構成對資料外洩的過失或責任的承認。

資料保護影響評估、事先諮詢和審計

  1. 處理者應以控制者的費用,就控制者合理認為GDPR第35條或第36條要求其進行的任何資料保護影響評估以及與主管機關的事先諮詢,向控制者提供合理協助,在每一種情況下,僅與處理者處理控制者個人資料有關,並考慮到處理的性質以及處理者可獲得的資訊。
  2. 處理者應依要求向控制者提供處理者(在合理範圍內)認為適當的資訊,以證明其遵守本DPA。根據第8.3條和第8.4條,如果控制者(在合理範圍內)能夠提供文件證據證明處理者根據本段提供之資訊不足以證明處理者遵守本DPA,則處理者應允許並協助控制者或其委任之稽核人員就處理者處理控制者個人資料之相關事項進行稽核,包括現場檢查。
  3. 控制者應就任何擬進行的稽核或檢查給予處理者合理的通知(通知期限不得少於三十 (30) 天),並盡最大努力(並確保其委任之稽核人員盡最大努力)避免對處理者場所、設備、人員、資料和業務造成任何損害、傷害或干擾(包括干擾處理者其他客戶資料的機密性或安全性,或處理者向其他客戶提供服務的可用性)。
  4. 控制者應承擔與任何檢查或稽核相關的任何第三方費用,並償還處理者因任何此類檢查或稽核而產生的所有費用。

個人資料的限制性傳輸

  1. 在適用情況下,任何從英國的控制者向荷蘭的處理者傳輸控制者個人資料均受英國2018年資料保護法附表21第5段下相關機構發布的適足性法規的約束,因此不構成限制性傳輸。

  2. 如果處理者向任何次級處理者進行控制者個人資料的限制性傳輸,處理者將確保此類限制性傳輸依照GDPR第46條及其後續條款所提供的保障措施進行,特別參考2021年6月4日歐盟委員會第2021/914/EU號決議中關於將個人資料傳輸給在第三國設立的處理者的標準合約條款,其中:

    1. 處理者 – 作為「資料輸出者」;以及
    2. 次級處理者 – 作為「資料輸入者」。

刪除控制者個人資料

  1. 在涉及處理控制者個人資料的任何服務終止之日,處理者應立即停止為任何目的(儲存除外)處理控制者個人資料。
  2. 控制者在此確認並同意,由於服務的性質以及處理者處理的控制者個人資料的性質,在這種情況下,返還(相對於刪除)控制者個人資料並非合理可行的選項。考慮到上述情況,控制者同意在此視為已不可撤銷地選擇刪除,而非返還控制者個人資料。
  3. 處理者和任何次級處理者可在適用法律要求的情況下,依據該適用法律要求的期限保留控制者個人資料,但處理者和任何此類次級處理者應確保:
    1. 此類控制者個人資料的機密性;以及
    2. 此類控制者個人資料僅在適用法律要求儲存之目的所需範圍內處理,且不得用於任何其他目的。

期限與終止

  1. 本DPA自生效日起生效。
  2. 本DPA構成條款的組成部分,並在條款到期或終止之前(無論任何原因)持續有效。

其他事項

  1. 如果本DPA的條款與條款之間在關於處理控制者個人資料方面有任何不一致之處,則以本DPA的條款為準。
  2. 若適用法律要求修改本資料處理協議 (DPA),任何一方皆可提出修改建議,雙方將本於誠信原則進行協商,以達成協議,確保 DPA 持續符合適用法律要求。