與 Synology

資料處理合約

立約方客戶

(以下稱為「控管者」)

與 Synology

(以下稱為「處理者」)。

此翻譯僅供參考之用。若與英文版有差異，則以英文版為準。

1. 定義

合約係指此資料處理合約。

資料當事人的同意，係指資料當事人以任何自由傳達、明確、知情以及清楚的方式表達意願，透過聲明或明確的行動，對與其相關之個人資料的處理表示同意。

控管者係指單獨或與他人共同決定個人資料處理之目的與方法的自然人或法人、公務機關、局處或其他機構；依照歐盟法或會員國法決定處理之目的及方法，由歐盟法或會員國法律規定控管者或其認定之具體標準。

跨國處理係指：

1. 在歐盟中控管者或處理者的一個以上會員國中的機構活動範圍內進行的個人資料處理，而該控管者或處理者是在一個以上的會員國中建立的；或者

2. 在歐盟中控管者或處理者的單一機構活動範圍內進行的個人資料處理，但其大幅影響或可能大幅影響一個以上會員國中的資料當事人。

資料保護專員係指獨立作業以確保實體已遵循 GDPR 所列載之政策與程序的資料隱私專家。

資料當事人係指其個人資料交由控管者或處理者處理的自然人。

加密資料係指以技術保護的個人資料，確保唯有具備特定存取權的人士才能存取/讀取這些資料。

GDPR 係指 2016 年 4 月 27 日歐洲議會和理事會的歐盟第 2016/679 號法規，關於自然人個人資料處理以及此類資料自由流通的保護原則，並廢除第 95/46/EC 號指令。

個人資料係指與已識別或可識別自然人 (以下簡稱「資料當事人」) 相關的任何資訊；可識別自然人係指可直接或間接識別的個人，尤指透過參考如姓名、識別碼、位置資 料、線上識別碼，或是一或多個該自然人之身體、生理、基因、心理、經濟、文化或社會認同等具體因素之識別項目。

個人資料洩漏係指安全措施遭破壞，導致所傳輸、儲存或處理的個人資料遭到意外或非法的銷毀、遺失、修改、未授權公開或存取。

隱私設計係指在系統設計之初即融入資料保護、而非隨後才加入的原則。

隱私影響評估係指用於辨識和減少實體隱私風險的工具，透過分析所處理的個人資料以及所實施的政策來保護資料。

處理係指對個人資料或個人資料集進行的任何或系列操作，無論操作方式是否為自動 化，例如收集、記錄、組織、結構化、儲存、改編或變更、檢索、查閱、使用、傳輸揭露、散播或以其他方式供人取得、調整或組合、限制、消除或銷毀。

處理者係指代表控管者處理個人資料的自然人或法人、公務機關、局處或其他機構。剖析係指旨在評估、分析或預測資料當事人行為的任何自動化個人資料處理方式。

假名化係指一種處理個人資料的方式，此方式使得在不使用額外資訊時，個人資料不能

歸屬於特定資料當事人，且此等額外資訊已被分開存放，並透過技術或組織措施確保該個人資料無法歸屬於某個已識別或可辨識的自然人。

接收方代表向其揭露個人資料的自然人或法人、公務機關、局處或其他機構，不論其是否為第三方。然而，可能根據歐盟或會員國法令，在特定查詢範圍內接收個人資料的公務機關不應視為接收方；這些公務機關對這些資料的處理，應根據處理目的遵守相關的資料保護規定。

代表係指在歐盟中建立的一個自然人或法人，受控管者或處理者依據 第 27 條書面指定，做為控管者或處理者 GDPR 相關義務之代表。

經銷商係指訂閱 Synology C2 服務的第三方服務提供者，其代表控管者直接支付處理者此類服務的報酬。

法規係指 GDPR 以及其他與個人資料保護相關、具有一般約束力的法律法規。

第三方係指自然人或法人、公務機關、局處或其他機構，但非資料當事人、控管者、處理者，以及控管者或處理者直接授權下處理個人資料之人士

監管機構係指成員國依據 GDPR 第 51 條所設立的獨立公務機構。

2. 合約主旨與期限

(1) 主旨

x合約主旨衍生自 Synology C2 服務合約，內容可見於 xxxxx://x0.xxxxxxxx.xxx/xx-xxxxxx/xxx al/terms_conditions (以下稱「服務合約」)。

(2) 期限

x合約期限與服務合約期限相對應。

3. 合約性質與目的

(1) 預期資料處理的性質與目的

服務合約中已明確定義處理者代表控管者進行個人資料處理的性質與目的。

(2) 資料類型

個人資料處理的主題包含下列資料類型/類別：

o 個人主要資料：控管者可自行決定在所租賃的伺服器上儲存任何種類的資料。 Syn ology 對此並無任何影響亦無法存取。

o 合約帳單與付款資料：Synology 應在執行 Synology C2 服務合約的範圍內收集個人合約資料，包括聯絡地址、付款方法資訊、聯絡人。

(3) 資料當事人類別

資料當事人類別包含客戶與經銷商聯絡人。

4. 處理者的義務

(1) 處理者需完全遵循法規以及控管者指示，或依本合約其他要求的方式處理個人資料。此義務亦適用於個人資料處理者對第三方國家/地區或國際組織的傳輸，除非處理者受約束之法規或法令要求處理者如此辦理。這種情況下，除非法律基於公共利益之重大理由禁止此類資訊，處理者在進行處理前應告知控管者此等法令要求。

(2) 處理者與控管者同意，此合約與 Synology C2 服務合約代表控管者對處理者最完整且最終之指示。 此合約範圍外之處理 (若有)，將需要雙方事先就處理之額外指示達成書面協議。若處理者拒絕遵循控管者超出本合約範圍之指示，控管者可終止此合約。

(3) 履行本合約時，控管者應立即以書面確認任何口頭指示。

(4) 必須在控管者知情的情況下，才能建立代表控管者處理資料的複本或複件，除外情況為確保適當處理資料所需之備份複本，以及依據法規保留資料以符合法規要求所需的資料。

(5) 除非獲得控管者書面指示，處理者不得自行授權改正、消除或限制代表控管者進行的資料處理，或將任何此等資料移交/傳輸給第三方。當資料當事人直接聯繫處理者有關改正、消

除或限制處理事宜，或欲行使可攜性權利時，處理者將立即將資料當事人的要求轉達給控 管者。在服務範圍內，處理者應遵循控管者書面指示確保消除政策、「被遺忘權」、改正、資料可攜性以及存取之執行，不得藉故拖延。

(6) 若處理者認為控管者的指示違反 GDPR (第 28 條第 3 項第 3 句) 或法規，處理者應立即通知控管者。隨後處理者有權停止執行相關指示，直到控管者確認或變更指示為止。

(7) 除了遵守本合約所列載規定外，處理者亦應遵守 GDPR 第 28 至 33 條中提及的法定要求。因此，處理者尤其應確實遵守以下要求：

a) 本合約中所提及之資料處理工作，處理者僅可將其委託予受保密約束、先前已熟悉其工作相關之資料保護條款的員工。除非法律要求，處理者與任何其授權存取個人資料者，必須獲得控管者指示才可處理該資料，其中包含本合約所授與之權利 (GD PR 第 28 條第 3 項第 2 句 ｂ 點、第 29 及第 32 條第 4 項)。

b) 處理者必須協助控管者遵守個體對行使存取、改正、移交、消除，或反對其個人資料處理權利之要求。

c) 處理者必須協助控管者遵守來自監管機構的要求。控管者與處理者應根據要求與監管機構合作，使監管機構得以執行其任務。

d) 指定資料保護專員/聯絡人/代表

可於 xxxxx://xxx.xxxxxxxx.xxx/xxxx/xxxxxxx_xxxxx 聯繫 Synology 的資料保護團隊。資料保護專員若有變動，應立即通知控管者。

e) 任何由本合約第 9 點所述相關監管機關進行的檢查與措施，若與此合約之處理相關，都應立即通知控管者。

f) 若控管者受到監管機構的檢查、行政或簡易罪或刑事訴訟，遭資料當事人或第三方提出責任索償或任何索償與處理者進行的合約資料處理事宜相關，處理者應盡全力支援控管者。本合約第 8 點說明進一步的協助義務。

g) 處理者應協助控管者確實遵守本合約第 9 點所述第 32 條至第 36 條規定的義務。

h) 如附錄中詳列，依據 GDPR 第 28 條第 3 項第 2 句 c 點、第 32 條規定實施並遵守所有必要的技術與組織措施。

5. 通知義務

(1) 處理者應立即通知任何個人資料洩漏情事。任何有合理理由懷疑的事件也應通報。任何通知必須至少包含符合 GDPR 第 33 條第 3 節要求的資訊。

(2) 執行任務時若出現任何重大中斷，以及處理者或任何其聘僱個體違反法律資料保護條款或本合約中的協定時，亦必須立即通知控管者。

(3) 監管機構或其他第三方執行的任何檢查或措施，若與處理者受委託的資料處理工作相關，處理者應立即通知控管者。

(4) 處理者應確保按照 GDPR 第 33 條和第 34 條規定的義務，在必要範圍內支援控管者。

6. 技術與組織措施以及資料安全性

(1) 在開始處理以及簽訂合約前，處理者應按照 GDPR 第 28 條第 3 項 c 點，以及第 32 條特別是聯同第 5 條第 1 項和第 2 項的部分，實施並遵守技術與組織措施 (以下稱「技術與組織措

施」)。所採取的措施包括資料安全性措施，以及確保技術與組織措施達到適當保護水準的措施。這些措施會將處理的情況與目的，以及由於安全漏洞而違法的可能性與嚴重性納入考量，藉此立即偵測相關的違規事件。所採取措施應確保可針對系統機密性、完整性、可用性以及彈性相關風險，提供適當的保護層級。GDPR 第 32 條第 1 項所指的最新技術、實施成本、處理性質、範圍與用途，以及對於自然人權利與自由的風險發生概率與嚴重性也必須納入考量。

(2) 技術與組織措施取決於技術的進步與進一步的發展。因此，處理者應定期監督內部流程以及技術與組織措施，確保其責任範圍內的處理作業符合法規要求，且保護資料當事人的權利。關於此點，處理者有義務實施當前最新的技術或改採適當措施。重大變更必須予以記錄。

(3) 技術與組織措施詳列於本合約的附錄 1

7. 轉包

(1) 就本合約目的而言，轉包係指與提供主要服務直接相關的服務。此不包含附屬服務，例如電信服務、郵政/運輸服務、維護與用戶支援服務或資料載體處置，以及其他為確保資料處理設備硬體及軟體的機密性、可用性、完整性以及彈性所提供的措施。然而，即使是外包的附屬服務，處理者仍有義務安排適當且具法律效力的合約，並採取適當檢查措施確保控管者資料的保護與安全性。

(2) 處理者必須獲得控管者明確的書面或已記載的同意後，才可授權轉包商。即便於此，若無正當理由，控管者不得保留其同意權。

(3) 在下列情況下，可外包給轉包商或變更現有轉包商：

o 處理者以書面或文字形式提供適當的事前通知，向控管者提出將外包給轉包商之事宜；且

o 將資料交給處理者當日之前，控管者並未以書面或文字形式反對該外包計畫；且

o 本合約所列載之相同資料保護義務，應透過契約/合約方式要求另一處理者(轉包商)遵守，或該轉包係依據 GDPR 第 28 條第 2-4 項規定的合約協議進行。

(4) 處理者應以書面形式，要求轉包商遵守不亞於此合約或 GDPR 所列法令要求保護性的合約義務，包括與機密性、資料保護、資料安全性以及稽核權利相關的合約義務。

(5) 唯有符合所有合規要求後，才可將個人資料從控管者轉移到轉包商，並由轉包商開始進行資料處理。

(6) 處理者將限制轉包商僅可在轉包商服務的必要範圍內存取資料，且將禁止轉包商依任何其他用途存取資料。

(7) 處理者仍需負責遵守本合約的義務，以及為轉包商任何造成處理者違反其本合約下義務的行為或不作為負責。

(8) 若轉包商在 EU/EEA 之外提供約定的服務，處理者必須實施適當措施以確保符合法規。若欲使用 GDPR 第 1 項第 2 句所指的服務供應商則同樣適用。

(9) 轉包商需要獲得處理者明確同意 (至少為文字形式) 方可進一步外包；本合約中所有合約條款應傳達給其他所有轉包商並與其達成約定。

8. 控管者的義務、權利以及監管

(1) 對於評估所要求處理的可採納度以及受影響方的權利，控管者應全權負責。

(2) 控管者有權對處理者進行檢查，或根據每個個別案例指定稽核者進行檢查。控管者有權於處理者營業時間內，透過隨機檢查的方式，檢查處理者是否遵守此合約，此檢查行動通常在合理時間宣布。

(3) 對處理者場所進行的檢查必須避免干擾處理者的業務營運。除非有緊急原因 (且控管者必須記錄該原因)，否則應給予處理者適當的事先通知，並在處理者營業時間內才可進行檢查，且檢查頻率不得超過每 12 個月一次。如果處理者舉證已按照本合約第 8 (5) 章規定正確執行約定的資料保護義務，所有檢查應限於樣本。

(4) 處理者應確保控管者能夠確認，處理者已遵循 GDPR 第 28 條所規定的義務。處理者承諾應控管者要求提供必要資訊，以證明已實施技術與組織措施。

(5) 此等措施之證明不僅涉及本合約，亦可由目前稽核者的認證、報告，或來自獨立個體 (如稽核者、資料保護專員、IT 安全部、資料隱私稽核師、品質稽核師) 的報告摘錄。

(6) 處理者可要求實施控管者檢查而產生的費用。

9. 處理者的協助與資訊義務

(1) 處理者應協助控管者遵守有關個人資料安全性、資料洩漏通報要求、資料保護影響評估以及事先諮詢的義務，如 GDPR 第 32 至 36 條所列示。這些包括：

a. 透過技術與組織措施確保提供適當層級的保護，將處理的情況與目的，以及由於安全漏洞而違法的可能性與嚴重性納入考量，藉此立即偵測相關的違規事件。

b. 立即向控管者通報個人資料洩漏的義務。

c. 有責任協助控管者履行向相關資料當事人提供資訊的義務，並立即提供控管者與此相關的所有資訊。

d. 有責任協助控管者履行向監管機構提供資訊的義務。控管者應根據要求配合監管機構執行其任務。

e. 支援控管者進行資料保護影響評估。

f. 支援控管者事先諮詢監管機構。

(2) 對於監管機構所進行的任何檢查與措施，只要與本合約的資料處理相關，應立即通知控管者。若處理者正接受調查，或參與主管部門調查是否有與本合約處理相關而違反任何法律或行政規定或法規之情事，以上原則亦適用。若控管者受到監管機構的檢查、行政或簡易罪或刑事訴訟，遭資料當事人或第三方提出責任索償或任何其他索償與處理者根據本合約進行之資料處理事宜相關，處理者應盡全力支援控管者，並提供控管者可能需要的所有文件、資源以及支援。與本合約相關的資料在處理者經手期間，若因破產或破產程序必須被沒收，或有第三方採取類似措施時，處理者將立即通知控管者，不得藉故延遲。處理者將立即通知控管者並提供最新狀態，不得延誤此類行動的所有發展與最新情況，並應採取所有措施以回應控管者要求的行動。

(3) 針對不包括在本文中，且不歸因於處理者錯誤而提供的支持服務，處理者可要求補償，但前提是控管者事先已書面核准此等補償。

10. 報酬

服務合約中已明確規範處理者根據本合約所提供服務的報酬。本合約不提供個別的報酬或報銷。

11. 責任與賠償

(1) 根據適用法律，在本合約範圍內，控管者與處理者分別應對任何未授權方所導致的損害或錯誤的資料處理承擔責任。

(2) 只要處理者已根據本合約處理相關資料，對於任何並非處理者所負責情況造成的損害，處理者應負責舉證。若最初獲要求舉證時處理者未能提供此類證明，處理者應解除對控管者所有與根據本合約處理資料的索償責任。

(3) 處理者應對控管者負責，全額賠償控管者遭受的所有直接損失，且針對處理者、處理者員工或指定轉包商造成的所有直接損害，若與處理者根據本合約提供之服務有關，處理者應保護控管者不受傷害。

(4) 在任何情況下，對於與本合約有關或相關的任何間接、懲罰性、特殊、偶發或連帶損害 (包括利潤、使用、資料或其他經濟利益的損失)，不論發生原因為何，是否因違反本合約而起 (包括違反保固或侵權)，任一方皆無需對另一方負責，即使該方已事先告知此等損害之可能性亦然。

(5) 若損害是處理者應控管者要求或指示正確執行服務而造成的結果，則第 11 (2) 節與第 11 (3)節不適用。

12. 特殊終止權

(1) 若處理者存在嚴重違反法規或本合約條款的情況，或處理者無法或不會執行控管者的法律指示，或處理者違反本合約、拒絕接受控管者的監督權，控管者可隨時終止服務合約、此合約，無需另行通知 (稱為「特殊終止」)。

(2) 若處理者未實質履行或無法履行本合約所規範的義務，特別是技術與組織措施方面，則應視為嚴重違約。

(3) 對於輕微違規行為，控管者應給予處理者合理時間改正，但不得超過三十 (30) 天。若在此期間內情況無法改正，控管者有權行使此處規定的特別終止權。

13. 資料之終止、返回與刪除

(1) 在本合約或基礎的服務合約終止後，或應控管者之要求，處理者應將其所持有與此合約或服務合約相關的所有資料、處理及使用結果和資料集移交給控管者，或在控管者事先同意之下，以符合法規的資料保護方式加以銷毀。所有相關的測試、廢品、多餘和廢棄的材料也應如是處理。完成銷毀或刪除後，或隨時應控管者要求，應向控管者提供銷毀或刪除的記錄。

(2) 超出合約期限後，處理者仍應遵循法規所規範之個別保留期，儲存用來證明已根據本合約適當處理資料的文件。處理者可在本合約期間結束時，或隨時應控管者要求，將此等文件移交給控管者。

(3) 處理者有責任立即確保轉包商歸還或刪除資料。

(4) 處理者必須舉證，處理者或轉包商已正確銷毀資料，並立即將此證明交給控管者。

14. 其他事項

(1) 即便此合約已到期，雙方均有義務視在合約關係中自他方獲得的所有商業機密知識以及資 料安全性措施為機密。若不確定資訊是否屬於機密，在收到他方書面核准之前應視為機密。控管者並未根據本合約將任何智慧財產權轉讓給處理者。

(2) 任何對此合約的修改均需採書面形式，且需獲得雙方同意。

(3) 針對所處理資料以及相關資料載體，特此排除適用法律對保留權的豁免。

(4) 若本合約任何部分失效，將不影響本合約其餘部分的有效性。

(5) 本合約應受 [處理者所在國家/地區] 法律管轄並根據其法律解釋，無論管轄法律衝突的法律主體為何。

(6) 所有因本合約而起或與之相關的爭議均屬德國聯邦共和國的管轄範圍，應遵守國際私法義 務 約 束 ， 但 《 聯 合 國 國 際 貨 物 銷 售 合 同 公 約 》 除 外 。 若客戶是德國商業法 (HGB) 第 1 條第 1 項定義之商人、公法之法人實體，或公法特殊基金，則杜塞道夫 (Düsseldorf) 法院對因本合約關係而起或相關的爭議具有管轄權。

附錄：技術與組織措施

1. 機密性 (GDPR 第 32 條第 1 項 b 點)

• 實體門禁

禁止未經授權進出資料處理設施，例如擅自調用磁卡或晶片卡、鑰匙、電子開門器、設施保全服務、入口保全人員、警報系統、影片/閉路電視系統

• 電子門禁

禁止未經授權使用資料處理與資料儲存系統，例如擅自調用 (安全) 密碼、自動封鎖/鎖定機制、雙重驗證、資料載體/儲存媒體的加密

• 內部存取控制 (允許用戶存取與修改資料的權限)

禁止未經授權在系統內讀取、複製、變更或刪除資料，例如基於需求的存取權、記錄系統存取事件

• 隔離控制

資料隔離處理，這些資料各有不同收集目的，例如沙箱安全機制；

• 假名化 (GDPR 第 32 條第 1 項 a 點；GDPR 第 25 條第 1 項)

此處理個人資料的方法/方式，在沒有額外資訊協助的情況下，資料無法與特定資料當事人產生關聯，條件是該額外資料已分開存放，且採取適當的技術與組織措施。

2. 完整性 (GDPR 第 32 條第 1 項 b 點)

• 資料傳輸控制

禁止未經授權透過電子傳輸或運輸方式讀取、複製、變更或刪除資料，例如：加密、虛擬專用網路 (VPN)、電子簽名；

• 資料輸入控制

驗證已變更或刪除，包括個人資料是否或由誰輸入資料處理系統中的驗證，例如：記錄、文件管理

3. 可用性與彈性 (GDPR 第 32 條第 1 項 b 點)

• 可用性控制

防止意外或故意的破壞或遺失，例如：備份策略 (線上/離線、現場/外地)、不斷電設備 (UPS)、病毒防護、防火牆、通報程序以及應變計畫

• 快速復原 (GDPR 第 32 條第 1 項 c 點)

4. 定期測試、評估與檢討的程序 (GDPR 第 32 條第 1 項 d 點；GDPR 第 25 條第 1 項)

• 資料保護管理；

• 事件回應管理；

• 透過設計與預設進行資料保護 (GDPR 第 25 條第 2 項)；

• 訂單或合約控制

按照 GDPR 第 28 條規定進行第三方資料處理需獲得控管者相關指示，包括清晰且明確的合約安排、形式化訂單管理、嚴格控制服務供應商的挑選、預評估義務、監管後續檢查。