Skip to content

網站條款

資料處理附錄 (DPA)

本《資料處理協議》(以下稱「本協議」)由 Benchmark Email(以下稱「處理者」或「Benchmark Email」)與使用 Benchmark Email 服務的客戶(以下稱「控制者」或「使用者」)雙方所簽訂。

本協議規範 Benchmark Email 代表控制者處理個人資料的行為,並依照 Benchmark Email 使用條款中所列規定進行。使用服務即表示控制者同意本協議的條款,而本協議亦構成雙方整體契約關係之一部分。

處理者僅會為了向控制者提供服務之目的,依照適用的資料保護法律,包括《一般資料保護規定》(GDPR) 及其他相關隱私法律來處理個人資料。

本協議反映雙方對遵守適用資料保護法律、並確保個人資料之安全與保密性的共同承諾。凡本附錄未定義之大寫專有名詞,均應依 Benchmark Email 使用條款中所載之定義為準。

 

1. 定義

就本協議而言,下列術語具有以下含意:

客戶資料:Benchmark Email 作為資料處理者,在提供服務過程中代表客戶(資料控制者)所處理之任何個人資料。

資料控制者:依據《一般資料保護規定》(GDPR) 定義,決定個人資料處理之目的與方式之實體。在本資料處理附錄中,控制者係指 Benchmark Email 的客戶,其進行蒐集、擁有並負責透過服務處理之個人資料。

資料處理者:依據《一般資料保護規範》(GDPR) 定義,代表資料控制者處理個人資料之實體。在本附錄中,Benchmark Email 擔任資料處理者。

資料保護法規:所有適用於個人資料處理之法律與規範,包括《一般資料保護規定》(GDPR)、《加州消費者隱私法》(CCPA) 及其他國家或地區的資料保護法規。

資料主體:在本附錄下,其個人資料受到處理之已識別或可識別之自然人。此處係指其資料被蒐集、儲存與處理之個人。

歐洲/ 歐盟:指歐洲聯盟(EU)或歐洲經濟區(EEA),包括所有受 GDPR 規範之歐盟成員國與 EEA 國家。

GDPR:指《一般資料保護規定》(EU 2016/679)(不時修訂),以及其他規範在歐洲經濟區 (EEA) 內處理個人資料之適用資料保護法律。

個人資料:依據《一般資料保護規範》(GDPR) 定義,任何與已識別或可識別之自然人相關的資訊。包括但不限於姓名、聯絡資訊,及其他可直接或間接識別個人之資料。

個人資料侵害:因安全性破壞而導致之個人資料遭受偶發性或非法的毀損、遺失、變更、未經授權揭露或存取,該資料係於傳輸、儲存或其他處理過程中。

處理:對個人資料進行的任何操作或一套ㄊ操作,無論是否透過自動化方式進行,包括但不限於蒐集、儲存、檢索、使用、揭露、刪除或銷毀個人資料。

服務:由 Benchmark Email 提供的 EDM 行銷及相關服務,如 Benchmark Email 使用條款中所述,控制者訂閱並使用其來處理個人資料。

子處理器:由 Benchmark Email 聘用,代表控制者處理個人資料之任何第三方。子處理器可能包括服務供應商、承包商,或其他提供與個人資料處理相關服務的實體。

標準契約條款 (SCCs):歐洲委員會採納之法律規定,允許將個人資料自歐洲經濟區 (EEA) 合法轉移至 EEA 以外第三國,並符合 GDPR 之規定。

條款:使用條款 (Terms of Use) 及其中所引用之所有相關政策,包括我們的隱私權政策 (Privacy Policy)、反垃圾郵件政策 (Anti-Spam Policy),以及任何其他引用之文件。

英國補充附錄:為了符合英國資料保護法規,在英國脫歐後,針對自英國進行的資料傳輸,依據英國版 GDPR 所設立的合規條款。

美國資料保護法規:指適用於美國的隱私與資料保護法律,包括《加州消費者隱私法》(CCPA) 以及其他聯邦與州層級的資料隱私法律。

 

2. 角色與責任

本節說明客戶與 Benchmark Email 在本協議下處理客戶資料的角色與責任。

2.1 客戶的角色

客戶是決定個人資料處理之目的和方式的實體,因此依據適用的資料保護法律(包括 GDPR),屬於資料控制者。客戶具有以下主要責任:

處理個人資料的合法依據:客戶需確保其個人資料的處理符合適用的資料保護法律,包括取得資料當事人的必要同意,並確保客戶有權將個人資料提供給 Benchmark Email 進行處理。

提供指示:客戶需向 Benchmark Email 提供清楚且合法的指示,以便在提供服務過程中處理客戶資料。Benchmark Email 僅會依照本協議載明的指示處理客戶資料。

資料主體權利:客戶有責任根據適用的資料保護法律,處理資料主體的權利請求,例如存取、更正、刪除和資料可攜性。Benchmark Email 會在需要時協助客戶履行這些請求。

遵循資料保護法律:客戶有責任確保其提供給 Benchmark Email 的個人資料,在蒐集、處理及傳輸過程中,均符合適用的資料保護法律。

資料外洩通知:

若客戶得知涉及其個人資料的個人資料外洩事件,必須立即通知 Benchmark Email。

 

2.2 Benchmark Email 的角色

Benchmark Email 作為資料處理者,根據客戶提供的指示,代表客戶處理客戶資料。處理者負有以下主要責任:

  • 處理指示:Benchmark Email 僅會依據客戶的指示,為提供約定服務之目的而處理客戶資料。除非適用法律另有要求,否則 Benchmark Email 不會為任何其他目的處理個人資料。有關具體資料處理活動的詳細說明,包括資料類型、資料主體和處理操作,請參閱附件 1:資料處理詳細資訊。
  • 子處理器:Benchmark Email 得聘請子處理器來協助處理客戶資料。客戶同意 Benchmark Email 使用子處理器。Benchmark Email 將在附件 3:子處理器名單中提供一份經核准的子處理器名單,並將該名單的任何變更通知客戶。
  • 個人資料的安全性:Benchmark Email 將採取適當的技術性與組織性措施,以確保個人資料的安全性與機密性。
  • 協助資料主題權利:Benchmark Email 將協助客戶回應資料主體的請求,包括存取、更正、刪除及資料可攜性的要求。
  • 資料外洩通知:Benchmark Email 將立即通知客戶任何涉及客戶資料的個人資料外洩事件。該通知不會無故拖延,並在可能的情況下於 72 小時內發出。
  • 遵循資料保護法:Benchmark Email 在處理個人資料時,將遵循所有適用的資料保護律,包括 GDPR。

 

2.3 共同責任

雖然客戶和 Benchmark Email 各自扮演不同的角色,但雙方都負有確保個人資料處理符合適用資料保護法的責任。雙方同意:

合作:客戶和 Benchmark Email 將會合作解決與個人資料處理相關的任何問題,並確保遵守適用法律。

稽核和監控:客戶可以請求提供資訊或進行稽核,以驗證處理過程符合本協議的規定。Benchmark Email 將提供合理的存取權和協助,以利進行此類稽核或監控。

資料傳輸合規:雙方應確保任何跨境的個人資料傳輸均符合相關的資料保護法律,包括使用標準契約條款 (SCCs) 或其他合法機制進行跨境資料傳輸。

 

2.4 資料處理指示

Benchmark Email 僅會依照客戶的指示處理個人資料。若 Benchmark Email 認為客戶的任何指示屬於非法,將立即通知客戶。

3. 安全

Benchmark Email 應實施並維持適當的技術性與組織性措施,以確保符合處理個人資料所涉及風險的安全等級,包括附件 2:「安全措施」所述的措施。這些措施旨在保護個人資料免於未經授權或非法處理、意外遺失、毀損或損壞,並確保資料的機密性、完整性及可用性。

 

3.2 客戶責任

客戶承認其有責任確保提供給 Benchmark Email 的任何個人資料之蒐集、處理及傳輸,均符合適用的資料保護法律。客戶有責任審閱 Benchmark Email 所提供的資料安全相關資訊,並獨立判斷服務是否符合客戶的需求及其在資料保護法下的法律義務。

 

客戶同意:

維持任何登入憑證或存取服務所需的其他驗證資訊的機密性。

在其自己的系統與裝置上實施適當的安全措施,以保護個人資料並防止未經授權的存取。

 

3.3 安全更新

Benchmark Email 將實施程序以更新與改進其安全措施。這些更新可能包括對技術、系統或流程的加強,以提升個人資料的安全性。若有任何可能影響客戶使用服務的重大安全更新或修補,Benchmark Email 將通知客戶。

 

3.4 資料安全事件回應

若發生個人資料外洩事件,Benchmark Email 將立即通知客戶,並與客戶合作處理外洩事件,包括提供相關資訊以協助完成對資料當事人或監管機構的必要通知(如適用)。Benchmark Email 將依其內部事件回應程序行事,以減輕外洩造成的損害並防止未來事件發生。

4. 子處理器

Benchmark Email 得聘用子處理器,代表客戶執行特定的處理活動。子處理器係指協助 Benchmark Email 提供服務並執行與個人資料處理相關特定任務的第三方服務提供者。

 

4.1 子處理器的使用

Benchmark Email 可聘用子處理器協助處理與服務相關的個人資料,前提是 Benchmark Email 必須確保子處理器遵守本協議中規定的相同資料保護義務。

 

4.2 子處理器的核准

客戶同意 Benchmark Email 得聘用子處理器以協助處理與服務相關的個人資料。Benchmark Email 將維護一份最新的子處理器名單,如附件 3:子處理器名單所述,並根據 GDPR 允許的最長時間,通知客戶任何新的子處理器或名單變更。

客戶有權對任何新聘用的子處理器提出異議,前提是有正當的資料保護疑慮。客戶必須以書面形式向 Benchmark Email 提出異議。若客戶提出異議,Benchmark Email 將與客戶協商處理,可能包括尋找替代子處理器或採取其他合理措施以解決問題。

 

4.3 子處理器義務

Benchmark Email 將確保任何受聘的子處理器均受契約條款約束,且其資料保護與安全義務的水準等同於本協議中所規定的要求,包含保密性、安全性以及正確處理個人資料的義務。

 

4.4 子處器的責任

Benchmark Email 對於子處理器在履行本協議過程中的行為與疏失,須承擔與其直接履行服務時相同的責任。若子處理器未遵守資料保護義務,Benchmark Email 將採取合理措施以補救情況,並降低對客戶可能造成的損害。

 

5. 資料主體權利

Benchmark Email 將協助客戶(資料控制者)履行其在 GDPR 下關於資料主體權利的義務。

客戶需要負責回應資料主體的請求,而 Benchmark Email 將透過以下方式協助:

  • 作為服務的一部分,Benchmark Email 為客戶提供多種功能,客戶可以進行檢索、更正、刪除或限制使用個人資料,協助客戶履行其在資料保護法下回應資料主體請求的義務。
  • 存取權:Benchmark Email 將協助客戶依請求向資料主體提供其個人資料的存取權。
  • 更正權:Benchmark Email 將協助客戶更新或更正不正確或不完整的個人資料。
  • 刪除權:在 GDPR 適用情況下,Benchmark Email 將協助客戶履行資料主題刪除其個人資料的請求。
  • 限制處理權:若資料當事人要求限制其個人資料的處理,Benchmark Email 將協助客戶。
  • 資料可攜權:Benchmark Email 將依客戶要求,以結構化、機器可讀格式提供個人資料,以符合資料主體的資料可攜權。
  • '反對權:Benchmark Email 將協助客戶回應任何資料主體對其個人資料處理的反對。

 

除非法律禁止,Benchmark Email 將立即通知客戶任何直接由資料主體提出的請求,並依照客戶指示協助處理該等請求。

Benchmark Email 還將確保在處理和回應資料主體權利請求時,實施合理的安全措施。

 

6. 資料外洩通知

若發生個人資料外洩事件,Benchmark Email 將依 GDPR 要求,立即且不無故拖延地通知客戶,並最遲於知悉外洩後 72 小時內完成通知。通知內容將在可行範圍內包含下列資訊:

  • 個人資料外洩事件的性質描述,包括受影響的個人資料類別,以及涉及的資料主體及個人資料紀錄的概略數量。
  • 個人資料外洩可能導致的後果。
  • Benchmark Email 已採取或擬採取之措施,以因應該資料外洩事件,包括減輕其可能不利影響的措施。

 

若 Benchmark Email 無法於 72 小時內提供所有必要資訊,將說明延遲原因。

Benchmark Email 將與客戶合作處理該外洩事件,包括在必要時合理協助通知資料主體及相關監管機構,並依 GDPR 規定提供協助。此外,Benchmark Email 亦將協助客戶提供任何與外洩事件相關的必要文件。

通知與協助將以允許客戶履行 GDPR 規定的義務進行,包括遵守外洩事件通報的時限要求。

7. 國際傳輸

Benchmark Email 得於全球任何地點處理個人資料,包括歐洲經濟區 (EEA) 以外的國家,而該等國家的資料保護水準可能不等同於 EEA 之水準。在所有情況下,Benchmark Email 均應確保已採取適當的保障措施,以符合 GDPR 及其他適用的資料保護法來保護個人資料。

 

7.1 適足性決定

若 Benchmark Email 將個人資料傳輸至歐盟委員會或其他相關主管機關認可為對個人資料提供適足保護水準之國家,則無需額外的保障措施。該等國家名單可於歐盟委員會網站查詢。

 

7.2 標準契約條款 (SCCs)

在適用情況下,Benchmark Email 將採用歐盟委員會核准的標準契約條款 (SCCs),以促進個人資料傳輸至 EEA 以外國家之合規性。相關細節請參閱附件 4:標準契約條款。

 

7.3 英國資料傳輸

就適用英國資料保護法之傳輸而言,標準契約條款 (SCCs)應於適用時適用,並視為已依英國附錄 (UK Addendum) 修訂。該英國附錄視為雙方已正式簽署,並構成本協議之一部分。此外,英國附錄中之相關表格,視為已依照相關 SCCs 附件 1 與附件 2 中之資訊完成填寫。

 

7.4 瑞士資料傳輸

就適用瑞士資料保護法之傳輸而言,標準契約條款 (SCCs) 在適用的情況下進行以下修正:

  • 對「Regulation (EU) 2016/679」之引用,應解釋為對瑞士《資料保護法》的引用。
  • 對「Regulation (EU) 2016/679」中特定條款的引用,應替換為瑞士《資料保護法》中對應的條款或章節。
  • 對「EU」、「Union」及「Member State law」之引用,應替換為 Switzerland(瑞士)。
  • 其他修正則應依瑞士法律之要求適用。

 

7.5 額外保障措施

若 Benchmark Email 在不屬於適足性決定或標準契約條款 (SCCs) 涵蓋的司法管轄區內處理個人資料,可能需實施額外保障措施,例如具拘束力的公司規 (BCRs)、已核准的行為守則或認證,以確保個人資料持續依照 GDPR 受到保護。

 

7.6 子處理器的資料傳輸

若 Benchmark Email 聘用位於 EEA 以外的子處理器,Benchmark Email 將確保該子處理器遵循相同等級的國際資料傳輸保障措施,包括使用標準契約條款 (SCCs) 或其他公認的傳輸機制。

8. 資料保存與刪除

Benchmark Email 僅會於達成蒐集個人資料目的所需之期間內,依據本協議條款、客戶指示及適用法律保存個人資料。

 

8.1 保留期間

Benchmark Email 將於與客戶合約期間內保存個人資料,除非適用法律要求或允許更長的保存期間。在保存期間屆滿後,Benchmark Email 將依其內部資料保存政策刪除或匿名化個人資料。

 

8.2 終止時之刪除或返還

於服務條款終止或到期後,Benchmark Email 將採取合理措施,依客戶選擇,提供工具以刪除或返還所有由 Benchmark Email 持有或控制的客戶資料。若適用法律或產業規範要求 Benchmark Email 保存部分或全部客戶資料,或資料已封存於備份系統中,則此義務不適用。在此情況下,Benchmark Email 將安全隔離該等客戶資料,防止其再被處理,並最終依 Benchmark Email 刪除政策將其刪除,除非適用法律另有要求。

 

8.3 法律義務的持續保存資料

若適用法律要求 Benchmark Email 在合約期滿後繼續保存特定個人資料,Benchmark Email 僅會在履行法律義務所需的最短期間內保存該等資料。

 

8.4 刪除流程

一旦個人資料被刪除,Benchmark Email 將採取合理措施,確保資料被安全抹除且無法復原,除非法律、監管或商業目的要求其保留。

 

9. 修訂與更新

Benchmark Email 得不時更新或修訂本協議,以反映資料保護法律、監管要求或所提供服務之變更。任何此類變更將通知客戶。

 

9.1 變更通知

若對本協議有重大變更,Benchmark Email 將合理地提前通知客戶。通知方式可能包括電子郵件、透過客戶帳戶或其他合理方式,具體依變更性質而定。客戶於更新生效日後持續使用 Benchmark Email 服務,即視為接受更新後的協議。

 

9.2 修訂

若因法律或監管原因必須變更,Benchmark Email 得在未事先通知客戶的情況下更新本協議,但應於合理可行時儘速通知客戶。

 

9.3 管轄法和管轄權

對本協議所作之任何修訂,均應受相同條款約束,包括 Benchmark Email 與客戶間主要《使用條款》中所規定之管轄法與管轄權條款。

 

10. 責任

10.1 責任

雙方及其所有關係企業基於本協議(包括 SCCs)所產生或與之相關的責任,合併計算後,均應受 Benchmark Email 與客戶間《使用條款》所規定的責任排除與限制之約束。

 

10.2 請求排他性

任何依據或與本協議(包括適用情況下的 SCCs)相關而對 Benchmark Email 或其關係企業提出的主張,除非適用法律另有要求,均僅能由作為協議一方的客戶實體提出。

 

10.3 資料保護權利

在任何情況下,任何一方均不得在 GDPR 或適用數據保護法律所要求的範圍,限制其根據本協議或其他方式對個人數據保護權利的責任。

 

11. 與使用條款的關係

 

11.1 期間與終止

本協議應持續有效,直至 Benchmark Email 代表客戶處理客戶資料之期間,或直至 Benchmark Email 與客戶間《使用條款》終止(且所有客戶資料已依第 8.2 節返還或刪除)為止。

 

11.2 管轄法

本協議應受《使用條款》中規定之管轄法與司法管轄條款的約束並據以解釋,除非適用資料保護法另有要求。

 

11.3 當前版本

雙方同意,本協議應取代先前雙方因服務而簽署的任何現有之資料處理協議或類似文件。

 

12. 其他條款

12.1 不可抗力

若因超出 Benchmark Email 合理控制範圍之情況(包括但不限於自然災害、戰爭、恐怖主義、政府行為、停電或其他不可抗力事件)而導致未能履行或延遲履行本協議,Benchmark Email 對此不承擔責任。更多細節請參閱《使用條款》中的不可抗力條款。

 

12.2 可分割性

倘若本協議之任何條款經具管轄權之法院裁定為無效、非法或不可執行,其餘條款仍應保持完全效力。

 

12.3 完整協議

本協議連同《使用條款》及任何透過引用納入的協議,共同構成雙方就個人資料處理事項的完整協議。任何先前關於本協議主題的協議、諒解或陳述,均由本協議取代。更多細節請參閱《使用條款》中的完整協議條款。

 

12.4 權利放棄

我們未執行本協議的任何權利或規定,不得視為放棄該權利或條款。任何放棄必須以書面形式為之方為有效。

 

12.5 爭議解決

因本協議引起或與之相關的任何爭議,應依《使用條款》中規定的爭議解決條款處理。

 

12.6 權利轉讓

未經 Benchmark Email 事前書面同意,您不得轉讓或移轉本協議或其下權利。我方得不受限制地轉讓或移轉本協議,包括於合併、收購或資產出售之情況下。

 

12.7 語言

本協議以英文撰寫,任何翻譯版本僅供便利之用。若英文版本與翻譯版本有任何差異,均以英文版本為準。

 

12.8 無第三方受益人

本協議旨在使協議各方受益,不意圖賦予任何第三方任何權利或利益,除非本協議另有明確規定。

 

附件 1:資料處理詳細資訊

1. 資料處理目的

處理個人資料的目的在於提供《使用條款》中所述之服務。

 

2. 處理的本質

Benchmark Email 提供 EDM 行銷與自動化軟體即服務 (SaaS),以及其他相關服務,如《使用條款》中所述。本協議下資料處理的標的為「客戶資料」。客戶資料將依《使用條款》(包含本協議)進行處理。

 

3. 資料類別

可能被處理的個人資料類別包括:

  • 聯絡資訊:姓名、電子郵件地址、電話號碼,以及客戶提供給 Benchmark Email 的其他資訊;
  • 客戶帳單資訊:帳單地址、信用卡細節、其他付款資訊;
  • 客戶偏好:電子郵件訂閱狀態、行銷偏好等;
  • 行為資料:IP 位址、瀏覽數據、瀏覽器數據、Cookie 數據、與電子郵件的互動、點擊率等。

 

4. 資料主體

個人資料將被處理的資料主體包括:

  • 使用服務的客戶;
  • 客戶的訂閱用戶、客戶及潛在客戶;
  • 與客戶的電子報互動的個人,包括其網站訪客或行銷郵件的收件人。

 

5. 處理活動

將在個人資料上執行的處理活動包括:

  • 透過表單、電子報及整合工具收集資料;
  • 資料儲存,包括聯絡資訊與互動資訊;
  • 用於報告與電子報最佳化的資料分析;
  • 為行銷目的傳輸客戶資料(例如:寄送電子郵件)。

 

6. 資料保留

Benchmark Email 將依照《使用條款》中所述,於服務期間處理客戶資料。個人資料的保留將依據本協議第 8 條所述之 Benchmark Email 資料保留政策處理。

 

7. 資料傳輸

任何資料傳輸,特別是跨境資料傳輸,將依據第 7 節「國際傳輸」或附件 4:標準契約條款 (SCCs) 的規定處理。

 

8. 子處理器

Benchmark Email 所聘用以執行資料處理活動的子處理器名單,詳列於附件 3:子處理器名單。

 

附件 2:安全措施

適用於本服務的安全措施如下所述。

1. 組織性安全措施

  • 資料保護官 (DPO): Benchmark Email 已指定資料保護官以監督 GDPR 及其他資料保護法規的遵循情況。
  • 員工培訓: 所有參與個人資料處理的員工均須定期接受資料保護原則培訓,包括保密性、完整性與安全性。
  • 存取控制:個人資料的存取權限僅限於依職務授權的人員。所有存取行為皆有記錄並受到監控,以確保問責性。

 

2. 技術性安全措施

  • 加密:個人資料在傳輸與靜態資料時均使用業界標準的加密協定進行保護(例如:傳輸中使用 SSL/TLS,靜態資料時使用 AES)。
  • 資料完整性:我們採取措施確保個人資料的完整性,包括使用校驗碼與雜湊函數來驗證資料在傳輸與儲存過程中的正確性。
  • 變更控制:Benchmark Email 維護服務變更的政策與程序,涵蓋基礎架構及系統組件等層面,以確保達到質量標準。
  • 資料匿名化:在適用情況下,Benchmark Email 使用匿名化技術,以避免敏感個人資料遭到不必要的暴露。

 

3. 事件應對

  • 資安事件管理:Benchmark Email 已建立偵測、回報與管理安全事件的程序。如發生資料外洩事件,我們將依據本協議中的「資料外洩通知」條款及時通知客戶。
  • 事件日誌:所有安全事件都會被記錄,且這些記錄會定期審查,以確保潛在威脅能夠被及時識別與處理。

 

4. 系統可用性

  • 冗餘與備份: Benchmark Email 採用冗餘措施,包括地理分散的資料中心與備份系統,以確保客戶資料在發生故障時仍可用。
  • 災難復原:我們維護一套災難復原計畫並定期測試,以確保在重大故障或災難發生時,對服務及資料處理的干擾降至最小。

 

5. 持續監控與改進

  • 弱點管理:Benchmark Email 定期執行弱點評估與滲透測試,以識別並解決潛在的安全漏洞。
  • 安全稽核:我們定期進行獨立稽核,以檢驗安全措施是否符合產業最佳作法與 GDPR 要求。

 

List附件 3:子處理名單

1. 子處理器名單

Benchmark Email 使用以下子處理器來協助提供其服務:

子處理器 位置 使用
Amazon AWS 美國,日本 主機託管、資料儲存、分析
Auth0 美國 客戶驗證與授權
BenchmarkONE 美國 CRM 與電子郵件的客戶溝通
CD Networks 美國 網路連線服務
Cloudflare 全球 內容發布、安全性、防濫用及 DNS 服務
Command 美國 客戶應用程式內溝通
DNS Made Easy 美國 DNS 服務
FullStory 美國 產品使用分析
Google 美國 資料儲存、網站分析
HelpScout 美國 客戶支援工單及透過聊天與電子郵件進行客戶溝通
Intercom 美國 透過應用程式內、電子郵件進行客戶溝通
Kickbox 美國 郵件驗證
LiveChat 美國 透過聊天進行客戶溝通
OpenAI 美國 AI 驅動功能
Slack 美國 內部溝通與協作
Zendesk 美國 客戶支援工單及電子郵件溝通

 

2. 子處理器更新

Benchmark Email 會在需要時更新此清單。將依據本協議第 4 節「子處理器」中的規定,通知客戶任何新增的子處理器或名單變更。

 

附件 4:標準契約條款 (SCCs)

第一部份

第 1 條 - 目的和範圍

(a) 本標準契約條款之目的在於確保符合歐洲議會與理事會於 2016 年 4 月 27 日通過之第 2016/679 號規則(即《一般資料保護規則》,GDPR)之要求,該規則涉及自然人在個人資料處理方面之保護,以及該等資料之自由流通,並規範將個人資料轉移至第三國之相關要求。

(b) 合約雙方:(i) 在附錄 I.A 所列之自然人或法人、公共機關、代理機構或其他團體(以下稱「實體」),負責移轉個人資料者(以下各稱「資料輸出者」);以及 (ii) 在附錄 I.A 所列之自第三國接受個人資料之實體,不論直接或透過亦為本條款一方之其他實體間接接受(以下各稱「資料輸入者」);雙方均同意遵守本標準合約條款(以下稱「本條款」)。

(c) 本條款適用於附錄 I.B 中所規定之個人資料移轉。

(d) 本條款之附錄,包括其中提及之附件,構成本條款不可分割之一部分。

 

第 2 條 - 條款之效力與不變性

(a) 本條款依據 (EU) 2016/679 號規則第 46 條第 1 項及第 46 條第 2 項 (c) 所定,提供適當之保障措施,包括可強制執行的資料當事人權利與有效的法律救濟;並就控制者與處理者間,以及處理者與處理者間的資料移轉,構成依第 28 條第 7 項規定之標準合約條款,前提是不得修改,除非係為選擇適當模組,或於附錄中新增或更新資訊。本條款並不妨礙雙方將本標準合約條款納入更廣泛的合約,或增列其他條款或額外的保障措施,惟不得直接或間接與本條款牴觸,亦不得損害資料當事人之基本權利或自由。

(b) 本條款不影響資料輸出者依 (EU) 2016/679 號規則所負之義務。

 

第 3 條 - 第三方受益人

(a) 資料當事人得以第三方受益人之身分,對資料輸出者及/或資料輸入者援引並執行本條款,但下列情形除外:

(i) 第 1 條、第 2 條、第 3 條、第 6 條、第 7 條;

(ii) 第 8 條 - 第 8.1(b)、8.9(a)、(c)、(d) 及 (e);

(iii) 第 9 條 - 第 9(a)、(c)、(d) 及 (e);

(iv) 第 12 條 - 第 12(a)、(d) 及 (f);

(v) 第 13 條;

(vi) 第 15.1(c)、(d) 及 (e);

(vii) 第 16(e);

(viii) 第 18 條 - 第 18(a) 與 (b)。

(b) 第 (a) 項之規定,不影響資料資料主體在 (EU) 2016/679 號規則享有之權利。

 

第 4 條 - 解釋

(a) 當本條款中使用的術語已在 (EU) 2016/679 號規則中定義時,該術語應具有與該規則中相同的涵義。

(b) 本條款應依據 (EU) 2016/679 號規則之規定予以解讀與詮釋。

(c) 本條款不得以與 (EU) 2016/679 號規則所定之權利與義務相牴觸之方式進行解釋。

 

第 5 條 - 優先順序

若本條款與雙方間相關協議的條文(無論是於本條款簽署時已存在或其後訂立)有所牴觸時,以本條款為準。

 

第 6 條 - 轉移說明

轉移事項之詳情,尤指所轉移之個人資料類別及轉移目的,載明於附件 I.B。

 

第 7 條 - 對接條款

(a) 非本條款當事人之實體,經雙方同意後,得於任何時間加入本條款,作為資料輸出者或資料輸入者,方法為完成附錄並簽署附件 I.A。

(b) 當該加入實體完成附錄並簽署附件 I.A 後,即成為本條款之當事人,並依其於附件 I.A 中之指定,享有資料輸出者或資料輸入者之權利並承擔相應義務。

(c) 該加入實體不得就成為本條款當事人之前之期間,主張任何權利或承擔任何義務。

 

第二部份 - 雙方義務

第 8 條 - 資料保護措施

資料輸出者保證其已作出合理努力,以確認資料輸入者能夠透過實施適當的技術與組織措施,履行其在本條款下的義務。

 

8.1 指示

(a) 資料輸入者僅能依據資料輸出者之書面指示處理個人資料。資料輸出者得於合約有效期間內隨時提供此類指示。

(b) 若資料輸入者無法遵循該等指示,應立即通知資料輸出者。

 

8.2 目的限制

資料輸入者僅能為附件 I.B 所載之特定轉移目的處理個人資料,除非基於資料輸出者進一步之指示。

 

8.3 透明性

依請求,資料輸出者應免費向資料主體提供本條款之副本,包括各方填寫完成之附錄。於必要時,為保護商業機密或其他機密資訊(包含附件 II 中所述之措施及個人資料),資料輸出者得在分享副本前刪減部分附錄內容,但應提供足以使資料主體理解其內容或行使其權利之有意義摘要。依請求,各方應在不洩漏刪減內容之前提下,向資料主體提供刪減理由。本條款不影響資料輸出者依 (EU) 2016/679 號規則 (GDPR) 第 13 與第 14 條所負之義務。

 

8.4 準確性

若資料輸入者知悉其所接收之個人資料不準確或已過時,應立即通知資料輸出者。在此情況下,資料輸入者應配合資料輸出者刪除或更正該資料。

 

8.5 處理及刪除或返還資料的期限

資料輸入者之處理僅能於附件 I.B 指定之期間內進行。於處理服務結束後,資料輸入者應依資料輸出者之選擇,刪除其代表資料輸出者所處理之所有個人資料,並向資料輸出者出具刪除證明;或將其代表資料輸出者所處理之所有個人資料返還給資料輸出者,並刪除既有副本。在資料刪除或返還完成前,資料輸入者仍應確保遵循本條款。若適用於資料輸入者之當地法律禁止返還或刪除個人資料,資料輸入者保證將持續遵守本條款,並僅於該當地法律要求之範圍與期間內處理資料。本條款不影響第 14 條,特別是第 14 (e) 條下之要求,即資料輸入者若有理由相信其受到不符第 14 (a) 條要求之法律或實務拘束,應於合約期間持續通知資料輸出者。

 

8.6 處理的安全性

(a) 資料輸入者,以及於傳輸過程中之資料輸出者,均應實施適當之技術與組織措施,以確保資料之安全性,包括防止因安全漏洞導致之意外或非法毀損、遺失、變更、未經授權之揭露或存取(以下簡稱「個人資料侵害」)。於評估適當安全水準時,各方應考量技術水準、實施成本、處理之性質、範圍、背景與目的,以及對資料主體之風險。各方特別應考慮於可行時採用加密或假名化處理,包括在傳輸過程中,若處理目的可藉此達成。在假名化情況下,將個人資料連結至特定資料主體之附加資訊,於可能範圍內,應由資料輸出者專有控制。為遵守本段義務,資料輸入者至少應實施附件 II 所列之技術與組織措施並定期檢查,以確保該等措施持續提供適當之安全水準。

(b) 資料輸入者應僅在嚴格必要之範圍內,授權其人員存取個人資料,以執行、管理與監督合約。資料輸入者應確保已被授權處理個人資料之人員,已承諾遵守保密義務,或受適當之法定保密義務拘束。

(c) 若涉及資料輸入者於本條款下所處理之個人資料侵害,資料輸入者應採取適當措施應對,包括減輕其不利影響。資料輸入者並應於知悉侵害後應毫不延遲地通知資料輸出者。該通知應包含可取得進一步資訊之聯絡點、侵害性質之描述(包括可能時,所涉資料主體及個人資料紀錄之類別與大致數量)、其可能後果,以及已採取或擬採取之應對措施,包括於適當情況下,減輕其不利影響之措施。若無法同時提供所有資訊,初次通知應包含當時可得之資訊,後續資訊應於取得後毫不延遲地補充提供。

(d) 資料輸入者應配合並協助資料輸出者,以使其能遵守 (EU) 2016/679 號規則 (GDPR) 之義務,特別是向主管監管機關及受影響資料主體發出通知,並考量處理之性質及資料輸入者可得之資訊。

 

8.7 敏感資料

若傳輸涉及揭露種族或民族出身、政治立場、宗教或哲學信仰、工會會員身分、基因資料、或為唯一識別自然人所使用之生物識別資料,健康資料,或有關個人性生活或性取向之資料,或涉及刑事定罪與犯罪之資料(以下簡稱「敏感資料」),資料輸入者應適用附件 I.B 所述之特定限制和/或附加保障措施。

 

8.8. 轉移機制

資料輸入者僅能依據資料輸出者之書面指示,將個人資料揭露予第三方。此外,資料僅能於下列情形下揭露予位於歐盟以外之第三方(與資料輸入者同國或其他第三國,以下簡稱「轉移條款」):(i) 轉移條款目的地國家係依 (EU) 2016/679 號規則第 45 條獲歐盟委員會認定具備足夠保護水準,且涵蓋該轉移條款;(ii) 該第三方另行依據 (EU) 2016/679 號規則第 46 或第 47 條,確保具備適當之保障措施;(iii) 轉移條款對於特定行政、監管或司法程序中法律主張之建立、行使或防禦為必要;或(iv) 轉移條款對於保護資料主體或其他自然人之重大利益為必要。任何轉移條款均須符合資料輸入者於本條款下之其他保障措施,特別是目的限制原則。

 

8.9 文件及合規性

(a) 資料輸入者應立即且適當地回應資料輸出者就本條款下處理活動所提出之詢問。

(b) 各方應能證明其遵守本條款。特別是,資料輸入者應保存其代表資料輸出者進行處理活動之適當文件紀錄。

(c) 資料輸入者應向資料輸出者提供一切必要資訊,以證明其遵循本條款所載之義務,並依資料輸出者之要求,允許並配合其對本條款涵蓋之處理活動進行稽核,稽核時間應屬合理間隔,或於有不遵循跡象時進行。於決定是否進行檢查或稽核時,資料輸出者得考量資料輸入者持有之相關認證。

(d) 資料輸出者得選擇自行進行稽核,或委託獨立稽核人執行。稽核得包括對資料輸入者場地或實體設施之檢查,並於適當時,提前合理通知。

(e) 各方應依請求,將前述 (b) 與 (c) 所述之資訊(包括任何稽核結果)提供予主管監管機關。

 

第 9 條 - 子處理器的使用

(a) 資料輸入者已獲得資料輸出者對於使用約定名單內之子處理器 (sub-processor) 的概括授權。資料輸入者應於擬新增或替換子處理器前,至少提前 10 日以書面方式明確通知資料輸出者,使其有充分時間於新處理器實際聘用前提出異議。資料輸入者應提供必要資訊,使資料輸出者得以行使其異議權。

(b) 資料輸入者於聘用子處理器以代表資料輸出者執行特定處理活動時,應以書面契約方式進行,且契約應實質上載有與本條款對資料輸入者具拘束力之相同資料保護義務,包括賦予資料主體之第三方受益權利。各方同意,若遵守本條款,資料輸入者即視為已履行第 8.8 條下之義務。資料輸入者應確保子處理器遵守其依本條款所負之義務。

(c) 資料輸入者應依資料輸出者之請求,提供該子處理器協議及其後續修訂之副本予資料輸出者。於必要時,為保護商業機密或其他機密資訊(包含個人資料),資料輸入者得於提供副本前刪減協議內容。

(d) 資料輸入者對於子處理器依契約所負之義務履行情形,應向資料輸出者承擔完全責任。資料輸入者應就子處理器未能履行契約義務之情形通知資料輸出者。

(e) 資料輸入者應與子處理器約定第三方受益條款,使得—若資料輸入者事實上消失、依法不復存在或破產時—資料輸出者有權終止與子處理器之契約,並指示子處理器刪除或返還個人資料。

 

第 10 條 - 資料主體權利

(a) 資料輸入者如收到任何來自資料主體的請求,應立即通知資料輸出者。除非已獲得資料輸出者授權,否則資料輸入者不得自行回覆該請求。

(b) 資料輸入者應協助資料輸出者履行其在 (EU) 2016/679 號規則下回應資料主體行使其權利之義務。在這方面,雙方應於附件 II 中列明提供協助時所應採取的適當技術與組織措施,並考慮處理的性質,規範協助的方式、範圍及程度。

(c) 在履行 (a) 與 (b) 項下之義務時,資料輸入者應遵守資料輸出者的指示。

 

第 11 條 - 救濟

(a) 資料輸入者應以透明且易於取得的形式,透過個別通知或於其網站上,告知資料主體有權處理投訴的聯絡窗口。資料輸入者應及時處理其收到的任何來自資料主體的投訴。

(b) 若資料主體與任一方就本條款之遵循產生爭議,該方應盡最大努力,以友善方式並於合理時間內解決問題。雙方應互相告知此類爭議,並在適當情況下合作解決。

(c) 當資料主體依據第 3 條主張第三方受益權時,資料輸入者應接受資料主體的決定:

(i) 向其經常居住地或工作地之會員國監管機關,或依第 13 條規定之具管轄權監管機關提出申訴;

(ii) 將爭議提交至第 18 條所指的具管轄權法院。

(d) 雙方同意,資料主體可依 (EU) 2016/679 號規則第 80 (1) 條之規定,由非營利性團體、組織或協會代表。

(e) 資料輸入者應遵守依據歐盟或會員國適用法律所作出的具拘束力之決定。

(f) 資料輸入者同意,資料主體的選擇不得損害其依適用法律尋求救濟之實體與程序權利。

 

第 12 條 - 責任

(a) 各方應就其因違反本條款而對其他一方/多方造成的任何損害,對其他一方/多方承擔責任。

(b) 資料輸入者應對資料主體承擔責任,且資料主體有權獲得賠償,針對資料輸入者或其子處理器因違反本條款下的第三方受益人權利而對資料主體造成的任何財產上或非財產上的損害。

(c) 儘管有前款 (b) 之規定,資料輸出者亦應對資料主體承擔責任,且資料主體有權獲得賠償,針對資料輸出者或資料輸入者(或其子處理器)因違反本條款下的第三方受益人權利而對資料主體造成的任何財產上或非財產上的損害。此規定不影響資料輸出者的責任,且在資料輸出者以處理者身分代表控制者行事的情況下,也不影響控制者在 (EU) 2016/679 號規則或 (EU) 2018/1725 號規則下的責任(如適用)。

(d) 各方同意,若資料輸出者依前款 (c) 因資料輸入者(或其子處理器)所造成的損害而被追究責任,資料輸出者有權向資料輸入者追償相應於該損害責任部分的賠償金額。

(e) 若因違反本條款而導致資料主體遭受損害,且有一個以上的當事方需對該損害負責,則所有應負責之當事方應承擔連帶責任,資料主體有權向其中任何一方提起訴訟。

(f) 各方同意,若其中一方依前款 (e) 被追究責任,該方有權向其他應負責之當事方追償相應於其責任部分的賠償金額。

(g) 資料輸入者不得以其子處理器的行為作為免除自身責任的理由。

 

第 13 條 - 監督

(a) 對資料輸出者就資料傳輸遵守 (EU) 2016/679 號規則負有責任的監管機關(如附件 I.C 所示),應作為主管監管機關。

(b) 資料輸入者同意接受主管監管機關的管轄,並在任何旨在確保遵守本條款的程序中與之合作。特別是,資料輸入者同意回覆查詢、接受稽核,並遵守監管機關採取的措施,包括補救措施與賠償措施。資料輸入者應向監管機關提供書面確認,證明已採取必要的行動。

 

第三部份 - 當地法律與公共機關存取時的義務

第 14 條 - 影響遵守本條款的當地法律與做法

(a) 各方保證,他們沒有理由相信,在目的地第三國適用於資料輸入者處理個人資料的法律與做法(包括任何要求揭露個人資料或授權公共機關存取的措施)會阻止資料輸入者履行其在本條款下的義務。這一保證基於以下理解:尊重基本權利與自由核心,並且不超過民主社會為保障 (EU) 2016/679 號規則第 23 (1) 條所列目標所必需且相稱的法律與做法,並不與本條款相矛盾。

(b) 各方聲明,在提供前款 (a) 的保證時,特別考量了以下因素:

(i) 傳輸的具體情況,包括處理鏈的長度、涉及的參與者數量及所使用的傳輸管道;預期的後續傳輸;接收方的類型;處理的目的;所傳輸個人資料的類別與格式;發生傳輸的經濟領域;以及資料傳輸後的儲存地點;

(ii) 目的地第三國的法律與做法 — 包括那些要求向公共機關揭露資料或授權公共機關存取資料的法律與做法 — 在傳輸特定情況下的相關性,以及適用的限制與保障措施;

(iii) 任何補充本條款下保障措施的相關契約性、技術性或組織性保障措施,包括在傳輸過程中以及在目的地國家處理個人資料時所採用的措施。

(c) 資料輸入者保證,在執行前款 (b) 的評估時,已盡最大努力向資料輸出者提供相關資訊,並同意將持續與資料輸出者合作,以確保遵守本條款。

(d) 各方同意,將記錄前款 (b) 的評估,並在主管監管機關要求時提供。

(e) 資料輸入者同意,若在同意本條款後、於契約期間內,有理由相信其已受或將受不符合同款 (a) 要求的法律或做法的約束(包括因第三國法律變更,或因某項措施〔如揭露請求〕表明此類法律在實際應用上不符合同款 (a) 的要求),應立即通知資料輸出者。

(f) 在依前款 (e) 通知後,或若資料輸出者另有理由相信資料輸入者已無法履行本條款下的義務時,資料輸出者應立即確定適當措施(如技術或組織措施,以確保安全與保密)由資料輸出者和/或資料輸入者採取,以解決該情況。若資料輸出者認為無法確保該傳輸具備適當的保障措施,或若主管監管機關要求,資料輸出者應暫停資料傳輸。在此情況下,資料輸出者有權終止契約,僅限於涉及本條款下個人資料處理的部分。若契約涉及超過兩方,除非另有約定,資料輸出者僅能對相關一方行使此終止權。若契約依本條款而終止,第 16 條 (d) 與 (e) 應適用。

 

第 15 條 - 公共機關存取時資料輸入者的義務

15.1 通知

(a) 資料輸入者同意,若發生以下情況,應立即通知資料輸出者,並在可能的情況下(如有需要可由資料輸出者協助)同時通知資料主體:

(i) 根據目的地國家法律,收到公共機關(包括司法機關)提出的具法律約束力的請求,要求揭露依據本條款傳輸的個人資料;此類通知應包含所請求的個人資料資訊、請求機關、該請求的法律依據,以及所提供的回覆;或

(ii) 發現公共機關依目的地國家法律直接存取依據本條款傳輸的個人資料;此類通知應包含輸入者所能取得的所有資訊。

(b) 若依目的地國家法律禁止資料輸入者通知資料輸出者和/或資料主體,資料輸入者同意盡最大努力爭取豁免該禁止,以便能夠盡快提供盡可能多的資訊。資料輸入者同意記錄其盡最大努力的過程,以便在資料輸出者要求時能加以證明。

(c) 在目的地國家法律允許的情況下,資料輸入者同意於契約期間內,定期向資料輸出者提供與所收到請求有關的盡可能多的資訊(特別是請求的數量、所請求的資料類型、請求機關、是否曾對請求提出異議,以及異議結果等)。

(d) 資料輸入者同意在契約期間保存依前款 (a) 至 (c) 所要求的資訊,並於主管監管機關要求時提供。

(e) 前款 (a) 至 (c) 不影響資料輸入者依第 14 (e) 條與第 16 條所負有的義務,即當其無法遵守本條款時,須立即通知資料輸出者。

 

15.2 合法性審查與資料最小化

(a) 資料輸入者同意審查揭露請求的合法性,特別是該請求是否仍在請求公共機關所被授權的範圍內;若經審慎評估後認為該請求在目的地國家法律、適用的國際法義務或國際禮讓原則下屬於不合法,則應對該請求提出異議。在相同條件下,資料輸入者應尋求上訴的可能性。當提出異議時,資料輸入者應尋求暫時措施,以暫停該請求的效力,直到有管轄權的司法機關就實體問題作出裁決。在依據適用的訴訟程序規則被要求之前,不得揭露所請求的個人資料。這些要求不影響資料輸入者在第 14 (e) 條下的義務。

(b) 資料輸入者同意記錄其對揭露請求的法律評估以及所提出的任何異議,並在目的地國家法律允許的範圍內,將該文件提供給資料輸出者。同時,亦應於主管監管機關要求時提供。

(c) 資料輸入者同意在回應揭露請求時,僅提供依據合理解釋所需的最少資訊。

 

第四部份 - 最終條款

第 16 條 - 不遵守本條款與終止

(a) 若資料輸入方因任何原因無法遵守本條款,應立即通知資料輸出方。

(b) 若資料輸入方違反本條款或無法遵守本條款,資料輸出方應暫停將個人資料傳輸給資料輸入方,直到其再次確保遵守本條款或終止合約為止。此規定不影響第 14 條 (f) 之適用。

(c) 資料輸出方有權在涉及本條款下之個人資料處理時終止合約,若發生以下情形:

(i) 資料輸出方依第 (b) 項暫停向資料輸入方傳輸個人資料,且在合理期限內(無論如何不得超過自暫停日起一個月內)未恢復遵守本條款;

(ii) 資料輸入方嚴重或持續違反本條款;或

(iii) 資料輸入方未能遵守具法律約束力之合格法院或監管機關就其本條款義務所作出之裁決。在上述情況下,資料輸出方應通知合格監管機關該不遵守之情形。若合約涉及兩個以上之當事方,資料輸出方僅能就相關當事方行使此終止權,除非當事方另有約定。

(d) 依第 (c) 項終止合約之前已傳輸之個人資料,應由資料輸入方依資料輸出方之選擇立即歸還予資料輸出方,或徹底刪除。任何資料副本亦應比照辦理。資料輸入方應向資料輸出方出具資料刪除之證明。在資料刪除或歸還前,資料輸入方仍應確保遵守本條款。若資料輸入方所適用之當地法律禁止歸還或刪除已傳輸之個人資料,資料輸入方保證將繼續遵守本條款,並僅於當地法律要求之範圍及期間內處理該資料。

(e) 若發生以下情形,任何一方均可撤回其受本條款約束之協議:(i) 歐洲委員會依(Regulation (EU) 2016/679)第 45 (3) 條作出決定,涵蓋本條款適用之個人資料傳輸;或 (ii) (EU) 2016/679 成為個人資料傳輸目的地國之法律框架一部分。此規定不影響 (EU) 2016/679 對相關資料處理之其他適用義務。

 

第 17 條 - 管轄法

本條款應受本協議 (DPA) 第 11.2 節以及 Benchmark Email 使用條款中所指定之司法管轄區的法律管轄,除非適用的資料保護法律另有要求。

 

第 18 條 - 管轄法院與司法管轄權的選擇

(a) 因本條款引起的任何爭議,應由本協議第 11.2 條及 Benchmark Email 使用條款所指定的司法管轄區法院解決。(b) 雙方同意,該等法院應為本協議第 11.2 條及 Benchmark Email 使用條款所指定的司法管轄區法院。(c) 資料當事人亦可向其慣常居住地所在的成員國法院,或向資料輸出者及/或資料輸入者提起法律訴訟。

 

標準契約條款附錄

附件 I

A. 當事人名單

資料輸出者:

 

1. 客戶,指依據附加於資料處理附錄之 Benchmark Email 使用條款中所定義之該等條款。

資料輸入者:

1. 名稱:Polaris Software, Inc.

地址:3636 S. Geyer Road, Suite 100, St Louis, MO 63127 USA.

聯絡人姓名、職位及聯絡資訊:support@benchmarkemail.com

與本條款下資料傳輸相關的活動:EDM 行銷服務

簽署與日期:標準契約條款自客戶同意 Benchmark Email 使用條款及資料處理附錄 (DPA) 之日生效。若客戶於本 DPA 簽署後成為 Benchmark Email 客戶,則 SCCs 自客戶同意使用條款及 DPA 之日視為生效。

角色(控制者/處理者):處理者

 

B. 移轉說明

個人資料被移轉的資料主體類別:客戶決定並控制提交至服務以供處理的客戶個人資料範圍,可能包括以下相關的個人資料:(1) 使用者 (Users) – 透過客戶帳號存取和/或使用服務的任何個人。(2) 訂閱用戶 (Subscribers) – 其電子郵件地址被納入客戶的發送名單、其資訊被儲存在服務上或透過服務收集的任何個人、或接收使用者寄發電子郵件或透過服務進行互動或溝通的對象。

移轉的個人資料類別:所轉移的個人資料涉及以下類別的資料: (1) 使用者:識別與聯絡資料(姓名、聯絡資訊、電子郵件地址、使用者名稱);帳單資訊(帳單地址、付款資訊);組織資訊(名稱、地址、地理位置、職責範圍、VAT 編號)、IT 資訊(IP 位址、使用數據、Cookie 數據、線上瀏覽數據、位置數據、瀏覽器數據、存取裝置資訊) (2) 訂閱用戶:電子郵件地址以及客戶提供給 Benchmark Email 的其他附加資訊。

移轉的敏感資料(若適用)及採取的限制或保障措施:這些措施須充分考量資料的性質及相關風險,例如:嚴格的用途限制、存取限制(包括僅限接受過專門訓練的人員存取)、保留資料存取紀錄、限制後續再移轉或額外的安全措施:不會有任何敏感資料被傳輸至 Benchmark Email。

移轉頻率:資料會在服務持續期間(如使用條款所述)持續移轉。

處理性質:Benchmark Email 提供一項服務,使客戶能夠收集電子郵件地址,並建立、發送及追蹤電子郵件推廣活動(以下稱「服務」),以及任何訂單確認、訂購文件或線上註冊中所述的其他服務,如使用條款中所述。

資料移轉及進一步處理的目的:本協議下資料處理的目的為提供服務。

個人資料的保留期間,或在無法確定保留期間時,所使用的判定標準:資料將在服務期間內保存。若適用法律要求 Benchmark Email 保留部分或全部客戶資料,或若資料已被存檔至備份系統(且已被安全隔離並防止任何進一步處理,除非適用法律要求),則不受此保存期限限制。

向(子)處理器移轉資料時,亦須說明處理之主體、性質及處理持續時間:為向客戶提供服務,個人資料可能移轉至 Benchmark Email 的子處理器。子處理器應於服務提供期間內進行,若法律要求則可延長處理期限。

 

C. 主管監管機關

依據第 13 條規定,須識別主管監管機關:

負責確保資料輸出者遵守 (EU) 2016/679 規則 (GDPR) 之主管監管機關,為客戶所屬司法管轄區的資料保護機構 (DPA)。相關監管機關將由客戶(資料輸出者)所在地決定,可依 EDPB 監管機構目錄查詢(可查訊下列網址: EDPB 監督機關)。

位於歐盟 (EU) 或歐洲經濟區 (EEA) 的客戶:由該國資料保護機關負責。位於英國 (UK) 的客戶:資訊專員辦公室 (ICO) 為主管機關。位於瑞士的客戶:聯邦資料保護與資訊專員 (FDPIC) 為相關機關。

如涉及跨境資料處理,歐洲資料保護委員會 (EDPB) 可依 GDPR 所定義的一站式機制參與解決爭議。

 

附件 II

技術與組織措施,包括確保資料安全的技術與組織措施

請參閱本協議附件 2 – 安全措施。

 

附件 III

子處理器名單

請參閱協議附件 3 – 子處理器名單。

最後更新於 2025 年 10 月 15 日

選擇語言