首頁
信任
資料處理附錄

資料處理附錄

此頁面已透過 AI 進行翻譯。雖然我們致力於提高準確性，但翻譯內容可能無法完美符合原文。如有任何不一致之處，請以英文版為準。若對此翻譯有任何問題或疑慮，請聯絡我們。

請前往我們的政策封存⁠(在新的索引標籤或視窗中開啟)頁面查看本《協議》先前版本和其他政策。

本資料處理附錄（"附錄"）是對 Canva 與客戶之間相關協議的補充，並構成該協議的一部分。本補充協議適用於 Canva 作為客戶個人資料的處理者或服務提供者（視情況而定）根據協議行事的情況和範圍內。如本補充協議與合約內容有任何衝突，以本補充協議為準。

1. 定義與解釋

在本補充協議中，下列術語具有以下含義：

「同意」是指 Canva 的使用條款或 Canva 與客戶之間的其他協議，規範客戶對服務的存取與使用。

適用的隱私法指根據協議適用於個人資料處理的所有法律。

「Canva」指適用於並在相關協議中識別的 Canva 實體

「客戶」是指在適用協議中所識別的實體或個人。

「資料主體」是指其個人資料被處理的已識別或可識別的個人。

「歐洲隱私法」指：(i) 歐洲議會和理事會關於在個人資料處理方面保護自然人以及此類資料自由流動的第2016/679號規範（一般資料保護規範）（「歐盟GDPR 」）；(ii) 根據2018年《歐洲聯盟（退出）法案》第3條納入英國國內法的歐盟GDPR（「英國GDPR 」）； 1992年6月19日瑞士聯邦資料保護法及相關條例（「瑞士資料保護法」）；(iv) 歐盟關於隱私和電子通訊的第2002/58/EC號指令；以及(v) 根據第(i)項至第(iv)項製定的任何國家法律；以上各項均指不時修訂、取代或替換的法律。

個人資料指任何與已識別或可識別個人相關的信息，或根據適用的隱私法律定義為‘個人資料’或‘個人資訊’的其他信息。

「個人資料外洩」是指 Canva 的安全措施遭到破壞，導致資料的意外或非法毀壞、遺失、變更、未經授權的披露或存取。

受限轉移是指 (i) 在適用歐盟GDPR的情況下，將個人資料從歐洲經濟區（EEA）轉移到未經歐洲委員會充分性決定的國家；(ii) 在適用英國GDPR的情況下，將個人資料從英國轉移到任何未依據英國GDPR第17A條規定的充分性規範的國家；以及 (iii) 在適用瑞士DPA的情況下，將個人資料轉移到瑞士境外未列入瑞士聯邦資料保護與資訊委員會公布的充分性管轄區名單的國家。

「SCCs」指的是歐洲委員會決定（EU）2021/914 2021年6月4日的標準合約條款附件⁠(在新的索引標籤或視窗中開啟)，可能會不時修訂、取代或更新。

「英國補充條款」是指根據英國2018年數據保護法第119(A)條由資訊專員辦公室發布的國際數據傳輸補充條款（版本B1.0），並可能不時修訂、取代或更新。

“用戶”，除非在適用的協議中另有定義，指客戶授權使用該服務的任何個人。

術語“控制者”、“處理者”、“資料主體”以及“處理”在適用的隱私法中具有其定義，若未在其中定義，則依據歐盟GDPR和英國GDPR（以及“處理”、“處理中”和“已處理”將相應解釋），而“企業”和“服務提供者”則具有在CCPA中給予的定義。

但未在本補充協議中定義的任何大寫術語，應具有協議中賦予它們的含義。

2. 客戶個人資料的處理

2.1. 當事人關係：客戶是描述為「個人資料類別」的個人資料的控制者或企業（視情況而定），如在附件1.B中所述（「客戶個人資料」），而 Canva 將僅作為處理者或服務提供者（視情況而定）代表客戶處理客戶個人資料。Canva 和客戶應各自遵守適用的隱私法規下的義務。在適用的隱私法未明確規定控制者（Controller）與處理者（Processor）概念的情況下，雙方根據這份附錄的義務，應依照那些適用的隱私法進行解釋，以盡可能貼近這些角色的範圍，同時仍完全遵守那些適用的隱私法。

2.2. 目的限制： Canva 將處理客戶個人資料：(i) 提供並維護服務（包括監控、維護和提升服務的安全性）；(ii) 履行其在協議及本補充協議下的義務；以及 (iii) 根據客戶的書面指示，這些指示載於協議、本補充協議，或通過服務提交的指示（以下稱「允許用途」）。除非適用於 Canva 的法律另有規定，Canva 不得為任何除「允許目的」之外的其他目的（包括其自身的商業目的）保留、使用、披露或以其他方式處理客戶個人資料。Canva 應立即通知客戶，如果其得知客戶的處理指示違反適用的隱私法律，但沒有義務積極監控客戶是否遵守適用的隱私法律。

在 Canva 處理客戶個人資料符合美國州隱私法的範圍內：Canva 不得（i）根據適用的美國州隱私法定義，將客戶個人資料「出售」、「分享」或「為定向廣告目的而處理」；或（ii）將客戶個人資料與 Canva 從其他人或代表他人接收的個人資料，或從與資料主體的互動中收集的資料相結合，除非在協議和適用的隱私法允許的範圍內。客戶有權在通知後採取合理措施：(i) 確保 Canva 以符合適用隱私法的方式處理客戶個人資料；以及 (ii) 停止並修正未經授權使用客戶個人資料的行為，包括任何未在協議或本補充協議中明確授權的使用。各方確認，客戶將客戶個人資料轉移給 Canva 不屬於適用隱私法意義上的「銷售」，且 Canva 不會為換取客戶個人資料向客戶提供任何金錢或其他有價值的對價。Canva 證明其了解本補充協議下的義務（包括但不限於第2.2節中的限制），並將遵守這些義務。

2.3.國際轉帳：在 Canva 將客戶個人資料（或允許將客戶個人資料）轉移到原始收集該資料的國家以外的國家時，必須先採取必要的措施，以確保該轉移符合適用的隱私法律。此類措施可能包括（但不限於）將客戶個人資料轉移給已簽署由歐洲委員會、英國國務大臣或資訊委員會辦公室或巴西資料保護局（視情況而定）採用的標準契約條款的接收方，或將客戶個人資料轉移給與 Canva 簽訂合同，確保客戶個人資料將受到符合適用隱私法律標準的保護的接收方。Canva 也將以整體提供與資料首次收集國家相當的保障方式，來保護客戶個人資料。

2.4.標準合約條款：在客戶向 Canva 轉移客戶個人資料涉及受限制的轉移時，SCC 將被引用並構成本附錄的不可分割部分，客戶為「資料匯出者」，Canva 為「資料匯入者」。就 SCCs 的目的而言：(i) 第二模組（控制者與處理者）條款應適用，第一、三和四模組的條款應被完全刪除；(ii) 在第九條中，應適用選項2；(iii) 在第十一條中，應刪除可選的語言；(iv) 在第十七條中，應適用選項1，並且 SCCs 應受愛爾蘭法律管轄；(v) 在第十八條(b)中，爭議應由愛爾蘭法院解決；(vi) SCCs 的附件應填入本 DPA 附件中列出的資訊；以及 (vii) 如果 SCCs 與協議（包括本 DPA）中的任何條款有衝突，則在此類衝突範圍內，SCCs 應優先適用。

2.4.a. 英國轉讓：關於受英國 GDPR 保護的客戶個人資料，根據第 2.4 節納入的 SCCs 應適用，但需作以下修改：(i) SCCs 應根據英國附錄的規定進行修訂，該附錄將被引用；(ii) 英國附錄第 1 部分的表格 1 至 3 應視為使用本 DPA 附錄中的資訊完成；(iii) 英國附錄第 1 部分的表格 4 應視為選擇“進口商”而完成；(iv) SCCs 與英國附錄之間的任何衝突，應根據英國附錄第 10 和第 11 節的規定解決。

2.4.b. 瑞士轉帳：關於受瑞士資料保護法（DPA）保護的客戶個人資料，根據第2.4節所納入的標準合同條款（SCCs）應適用，但需作以下修改：(i) 對「歐盟第2016/679號規例」的引用應解釋為對瑞士資料保護法的引用；(ii) 對「歐盟」、「聯盟」和「成員國」的引用應改為「瑞士」；(iv) 對「主管監管機關」和「主管法院」的引用應解釋為對「瑞士聯邦資料保護與資訊委員會」和「瑞士主管法院」的引用；(v) SCCs 應受瑞士法律管轄，並由瑞士主管法院解決爭議。

2.5.處理保密性： Canva 應確保其授權處理客戶個人資料的任何人員（包括 Canva 的員工、代理人和分包商）（稱為「授權人員」）都應承擔嚴格的保密義務（無論是契約義務或法定義務）。Canva 應確保所有授權人員僅為了允許的目的而必要地處理資料。

2.6. 安全：Canva 應實施適當的技術和組織措施，以防止意外或非法銷毀、遺失、變更、未經授權披露、存取客戶個人資料，如附件2所述（「技術與組織措施」）。客戶確認 Canva 可能會不時更新或修改技術與組織措施，並會在網址 https://www.canva.com/policies/technical-and-organisational-measures/ 公布。前提是此類更新和修改不會導致整體安全性下降。

2.7.子處理：客戶授權 Canva 聘用第三方處理者（"子處理者"）為了提供的許可目的處理客戶個人資料，前提是：

(a) Canva 至少提前30天提供合理通知，通過在https://www.canva.com/policies/subprocessors/⁠(在新的索引標籤或視窗中開啟)公布詳細資訊，通知任何子處理者的新增或更換。並將向客戶提供一個接收新子處理者通知的機制，以便客戶就資料保護相關的合理異議提出，涉及客戶個人資料的保護。客戶應在通知後十天內，向 Canva 的 privacy@canva.com 提出異議，並描述其反對的理由。在收到此類異議後，如果 Canva 在合理範圍內能夠根據協議向客戶提供服務，且決定自行決定不使用被反對的子處理者，則客戶在本條款下對於該子處理者的擬議使用不再享有任何進一步的權利。如果 Canva 全權酌情決定需要使用子處理者，且無法滿足客戶對於新或替代子處理者的使用提議的異議，則客戶可以終止相關的訂購表格，該終止自 Canva 開始使用該新或替代子處理者之日起生效，僅限於將使用提議的新子處理者來處理客戶個人資料的服務。

(b) Canva 對其聘用任何次處理者所施加的資料保護條款，確保其提供的保護標準大致相同，並且 Canva 對由其次處理者的行為、錯誤或疏忽所造成的違反本附錄的行為，仍然完全負責。

Canva 目前的子處理者已列在 https://www.canva.com/policies/subprocessors/。根據SCC第9(c)條的規定，客戶確認由於保密義務，Canva可能被限制向客戶披露子處理者協議。當 Canva 無法向客戶披露子處理者協議時，Canva 應在合理範圍內提供所有相關資訊（保密的前提下）。

2.8.合作與資料主體權利： Canva應提供所有合理且及時的協助，以使客戶能夠回應：(i) 資料主體根據適用隱私法行使其任何權利的請求（包括存取、更正、反對、刪除和資料可攜帶權，視情況而定）；以及 (ii) 任何其他來自資料主體、監管機構或其他第三方的通信、查詢或投訴，與Canva處理客戶個人資料有關，除非適用隱私法禁止。如果任何此類請求、通信、查詢或投訴直接向 Canva 提出，Canva 應立即通知客戶，並提供完整的相關細節。

2.9.資料保護影響評估： Canva 應向客戶提供所有合理且及時的協助，以協助客戶遵守適用隱私法規下進行資料保護影響評估的義務，並在必要時與相關資料保護機關進行諮詢。

2.10.個人資料外洩：一旦得知個人資料外洩事件，Canva 應立即通知客戶，並提供客戶合理要求的所有及時資訊與合作，以協助客戶履行其根據（並符合適用隱私法規所要求的時間表）所需的資料外洩通報義務。Canva 應進一步採取所有合理必要的措施和行動，以補救或減輕個人資料外洩的影響，並在與個人資料外洩相關的所有重大進展中通知客戶。除非事先獲得 Canva 的批准，否則客戶不得就任何直接或間接識別 Canva 的個人資料洩露（包括在任何法律程序或通知監管機構或受影響的資料主體時）發表任何通知或承認責任，除非根據適用法律被迫如此。無論如何，客戶應提前合理書面通知 Canva 任何此類通訊或發布。

2.11.刪除客戶個人資料：協議終止或到期後， Canva應銷毀其擁有或控制的所有客戶個人數據，但為允許的目的或適用法律要求而必須保留的客戶個人資料除外。無論如何， Canva應按照本附錄規定的相同保護標準控制客戶個人數據，直至可以刪除為止。

2.12.審核：客戶確認 Canva 定期由獨立第三方審核，符合 ISO 27001 標準。應客戶要求，Canva 應提供其審核報告的摘要副本，該報告應受協議的保密條款約束。Canva 也將回應客戶提交的任何書面審核問題，但前提是客戶每年不得行使此權利超過一次。客戶同意，客戶應根據《標準合同條款》第8.9條行使其權利，並指示 Canva 遵守本第 2.12 節所述的審核措施。