本數據處理附錄(「DPA」)構成 YAS 數碼有限公司(「YAS」、「我們」、「吾等」或「吾我」)與客戶、車隊營運方或合作夥伴機構(「客戶」)之間,就提供 YAS 平台及相關服務(「服務」)之協議的一部分。凡 YAS 就服務代表客戶處理個人資料,本附錄即適用。
本附錄與適用之數據保護法律一併運作,包括香港《個人資料(私隱)條例》(第486章),以及(如適用)管轄客戶營運之其他數據保護制度。凡客戶之監管義務要求額外或特定條款,該等條款於已簽署之訂單或主協議中議定;本附錄為在其缺席時適用之基準。
AURA 提供支援核保之風險評分。凡持牌保險公司使用 AURA 輸出,該保險公司就其自身之核保及定價決定作為獨立控制者,並由具資格的人員保留該等決定之權限。YAS 不代表保險公司作出核保或定價決定。
本附錄為提供透明度之範本。具效力之版本為雙方簽署之版本;如有衝突,以已簽署協議為準。
1. 定義
「個人資料」、「處理」、「控制者」、「處理者」及「資料當事人」等詞,具適用數據保護法律所賦予之涵義。「客戶個人資料」指 YAS 於服務下代表客戶處理之個人資料。「次處理者」指 YAS 委聘以處理客戶個人資料之第三方。
2. 雙方角色
就服務下處理之客戶個人資料,客戶為控制者(或於客戶本身為處理者時,為相關控制者之處理者),而 YAS 作為處理者。各方遵守其於適用數據保護法律下之各自義務。
凡持牌保險公司接收數據以進行核保,該保險公司就其自身目的為獨立及分離之控制者,如 YAS 私隱政策所述。
3. 處理之範圍及目的
YAS 僅為提供及支援服務而處理客戶個人資料,且僅依客戶之書面指示處理,惟法律要求者除外。處理之主題、期間、性質及目的、個人資料類型及資料當事人類別,於協議及服務文件中描述。
處理之客戶個人資料典型類別包括:
- 客戶授權用戶之帳戶及聯絡詳情;
- 車輛、裝置及行程遙測,包括位置、速度、運動及時間數據;
- 由 AURA 產生之衍生風險評分及解釋。
4. YAS 作為處理者之義務
YAS 承諾:
- 僅依客戶之書面指示處理客戶個人資料;
- 確保獲授權處理客戶個人資料之人員受保密約束;
- 實施適當之技術及組織保安措施(見第 5 節);
- 考慮處理之性質,協助客戶回應資料當事人請求,並協助客戶履行其保安、洩漏通報及影響評估義務;
- 提供合理必要之資訊,以證明遵守本附錄。
5. 保安措施
YAS 維持旨在保護客戶個人資料免受未經授權或不合法處理,以及免受意外丟失、毀壞或損害之技術及組織措施。該等措施包括傳輸中及靜態數據之加密、角色範圍存取控制、請求層級之車隊範圍限定、評分輸入及輸出之審計記錄,以及對系統及次處理者之定期審查。措施會隨服務演進而檢討及更新。
6. 次處理者
客戶授權 YAS 委聘次處理者以支援服務。YAS 對每位次處理者施加不低於本附錄保護程度之數據保護義務,並就每位次處理者履行該等義務負責。
現時之次處理者類別包括基礎設施及托管供應商、付款處理商(Stripe)及應用程式監控(Firebase Crashlytics),如 YAS 私隱政策所述。YAS 提供機制,就次處理者之擬議變更通知客戶,並讓客戶可基於合理數據保護理由提出反對。
7. 跨境數據轉移
有關帳戶之客戶個人資料儲存於位於新加坡及香港之伺服器。凡客戶個人資料跨境轉移,YAS 採用適合相關司法管轄區之合法轉移機制,並應用與適用數據保護法律一致之保障措施。
8. 資料當事人權利
考慮處理之性質,YAS 在可能範圍內以適當之技術及組織措施協助客戶,以履行客戶回應資料當事人行使其權利(包括存取、修正及刪除權)之義務。凡 YAS 直接收到資料當事人就客戶個人資料提出之請求,除法律另有要求外,YAS 將把該資料當事人轉介至客戶。
9. 個人資料洩漏
YAS 於知悉影響客戶個人資料之個人資料洩漏後,毫不延遲地通知客戶,並提供 YAS 合理可得之資訊,以協助客戶履行其於適用法律下可能負有之洩漏通報義務。
10. 審計及合規
YAS 向客戶提供合理必要之資訊,以證明遵守本附錄,並在合理事先通知及受保密約束下,容許並配合由客戶或客戶委任之審計師進行之審計(包括檢查),且以不損害其他客戶數據之保安或保密之方式進行。
11. 數據之退還及刪除
於服務終止時,並按客戶選擇,YAS 刪除或退還客戶個人資料並刪除現有副本,惟適用法律要求保留者除外。保留期限以處理數據目的所必需者為限。
12. 責任及適用法律
各方於本附錄下之責任,受雙方協議所載之限制及除外條款規限。本附錄受香港法律管轄,雙方服從香港法院之非專屬管轄權。
如就本附錄有任何疑問或欲行使數據保護請求,請聯絡 rylie@hk.yas.io。
如英文及中文版本有任何不符,以英文版本為準。