Contract

財團法人台灣中小企業聯合輔導基金會委外專案個人資料保護條款

受託單位受本會委託蒐集、處理或利用個人資料及檔案時，雙方同意依個人資料保護法、

個人資料保護法施行細則及財團法人台灣中小企業聯合輔導基金會（以下稱本會）所訂定之規定訂定本條款，共同遵守，其條款如下：

第 1 條 蒐集、處理或利用時之義務

(1) 受託單位受本會委託蒐集、處理或利用個人資料及檔案（指個人資料保護法所規定之自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料）時，應符合個人資料保護法、個人資料保護法施行細則相關規定。

(2) 受託單位僅得於本會指示及履行契約或協議之必要範圍內，蒐集、處理或利用個人資料（受託單位不得利用本會所提供或因執行本契約或協議專案所蒐集個人資料及檔案進行行銷或商業推銷等相關活動，或以任何方式或方法交付予履約無關之第三人，亦不得為本契約或協議專案以外之蒐集、處理或利用，包括但不限於結合受託單位原本所保有之個人資料及檔案，再為處理或利用）。

(3) 本契約或協議專案預定蒐集、處理或利用個人資料之範圍：「110 年員工團體保險」採購案

期間：計畫履約期間

x會保留指示之事項：履約完成或關係終止後，亦不洩漏任何資料予其他人員                                                                                            或單位

其他事項：違反保密承諾，造成安全上之事件發生時，應付實質賠償損害之責                                                                                            任

■上開範圍、類別、特定目的、期間、本會保留指示之事項和其他事項詳計畫、需求書。

第 2 條 安全維護措施

(1) 受託單位在執行本契約或協議專案委託業務所必要之範圍內，應依個人資料保護法施行細則第 12 條之規定採取適當安全維護措施，並指定專人辦理安全維護事項，以防止個人資料被竊取、竄改、毀損、滅失或洩漏。

(2) 前款安全維護措施以與所欲達成之個人資料保護目的間，應符合適當比例，並由受託單位依個人資料保護法施行細則第 12 條第 2 項所列事項，逐一確認並說明，以書面方式呈現前開事項之確認及說明，並提出予本會。

第 3 條 複委託

■雙方約定禁止複委託。

□雙方約定複委託時，受託單位義務如下：

(1) 受託單位執行業務若有複委託之需求，就涉及個人資料之蒐集、處理或利用之行為應事前取得本會之書面同意及該複委託單位對於個人資料保密之書面承諾，並以書面通知本會複委託單位之名稱、地址及個人資料之蒐集、處理、利

用之範圍。

(2) 受託單位應依本條款第 1 條規定限定複委託單位蒐集、處理、利用個人資料之範圍，並對該複委託單位依個人資料保護法、個人資料保護法施行細則等相關規定進行適當之監督。

(3) 受託單位應於複委託合約中載明複委託單位所應遵循之個人資料保護條款，其條款包括但不限於本條款之所有義務。

(4) 受託單位對於複委託單位蒐集、處理、利用個人資料之行為應負完全責任。第 4 條 當事人權利行使時之義務

受託單位執行本契約或協議之業務，接獲個人資料當事人行使權利之通知或申請時，應依相關規定予以回覆，並做成紀錄，供本會備查。

第 5 條 資料提供與受監督之義務

(1) 本會要求受託單位提供所蒐集之個人資料檔案、個人資料檔案保有之依據及特定目的、個人資料之類別等相關資訊及其蒐集、處理、利用之相關資料時，受託單位不得拒絕，並應於本會指定期限內提供。依本條款第 3 條規定經本會事前書面同意之複委託單位亦具有提供前開資料之義務。

(2) 本會定期針對受託單位之個人資料安全維護措施執行狀況進行確認，並將確認結果記錄之；必要時，得派員進行實地訪查或委託專業人員進行查核，受託單位應予配合。查核後，認有缺失，應以書面敘明理由請受託單位限期改善。

第 6 條 通知義務

(1) 受託單位或其受雇人違反個人資料保護法、其他個人資料保護法律或其他法規命令時，應立即通知委託本會，並查明前開事項及採取因應及補救措施。

(2) 受託單位因履行契約或協議，致個人資料被竊取、洩漏、竄改或其他侵害之情形時，應立即通知本會並採取因應及補救措施；若本會認為有必要時，得介入進行調查，受託單位應予配合。受託單位於查明前開情形後，應將其違反情形 (包括個人資料被侵害之事實)、涉及個資範圍、已採取及預定採取之因應及補救措施，經本會同意後，依個人資料保護法之規定以適當方式通知當事人。因調查、採取因應及補救措施、通知當事人而衍生之相關費用，由受託單位支付。

(3) 受託單位未經本會同意，應嚴守保密義務，不得對外發言或透露事故之任何訊息。

(4) 受託單位認本會之指示有違反個人資料保護法、其他個人資料保護法律或其法規命令者，應立即通知本會。

第 7 條 個人資料之刪除或返還義務

(1) 於履約期間，本會得隨時要求受託單位將執行契約或協議業務而蒐集、處理、利用之個人資料返還本會或予以刪除，且不得留存任何備份。

(2) 契約或協議終止或解除時，受託單位應刪除或銷毀因履行契約或協議而保有之個人資料，且應返還個人資料之載體及移除存取資料之權限；並提供刪除、銷毀、返還個人資料之時間、方式、地點等紀錄。

(3) 前款刪除、銷毀作業，本會於必要時，得實地查訪，受託單位應予配合。前款返還，受託單位得以交付本會指定之第三人為之。

(4) 契約或協議終止或解除時，若本會要求受託單位移轉因執行受託業務所保有之

個人資料，應留存移轉之原因、對象、方法、時間、地點及受移轉對象得保有該項個人資料之合法依據等紀錄。

第 8 條 損害賠償責任

(1) 受託單位因履行契約或協議而違反個人資料保護法、個人資料保護法施行細則等規定，致個人資料遭不法蒐集、處理、利用或其他侵害情事，應負損害賠償責任。

(2) 本會如因受託單位履行契約或協議而違反個人資料保護法、個人資料保護法施行細則，而遭受損害時，得向受託單位請求損害賠償。因此遭第三人請求損害賠償時，應由受託單位負責處理並承擔一切法律責任（如於訴訟中，受託單位應協助本會為必要之答辯及提供相關資料，並應負擔因此所生之訴訟費用、律師費用及其他相關費用，並負責清償本會因此對第三人所負之損害賠償責任）。

(3) 受託單位違反本條款第 1 條至第 7 條之規定，本會得依受託單位違反本條款之情節輕重，要求減少部分或全部價金；或以書面通知受託單位終止或解除契約之部分或全部；本會受有損害者，並得請求損害賠償。

第 9 條 違約金

(1) 受託單位違反本條款第 1 條至第 4 條及第 6 條至第 7 條之規定，受託單位除應負損害賠償責任外，需支付本會懲罰性違約金；懲罰性違約金金額，視受託單位違反上開規定之情節輕重，以契約或協議價金總額之 10%為上限。

(2) 受託單位違反本條款第 5 條之規定，逾期未提供資料或未限期改善，受託單位除應負損害賠償責任外，按日處以契約或協議總價千分之一作為逾期違約金，逾期違約金之總額以契約或協議價金總額之 20%為上限。

第 10 條 準據法與管轄法院

x因契約或協議所衍生之爭議與訴訟，雙方均同意以中華民國法律為準據法且以臺灣臺北地方法院為第一審管轄法院。