資料處理協議

前言

本資料處理協議（以下簡稱「DPA」）作為 To Goal Ai 服務條款之附件，適用於所有以機構（包括學校、補習社、教育機構）名義使用本平台服務之客戶（以下簡稱「資料控制者」）。本 DPA 旨在確保雙方於處理個人資料時符合香港《個人資料（私隱）條例》（PDPO）及其他適用之資料保護法規。

如資料控制者有特定 DPA 簽署需求，請聯絡 support@togoalai.com 索取可簽署版本。

一、定義

• ·「資料控制者」：決定個人資料處理目的及方式之機構（即客戶）。
• ·「資料處理者」：依資料控制者指示處理個人資料之一方（即 To Goal Ai）。
• ·「個人資料」：任何可直接或間接識別在世自然人之資料，包括但不限於姓名、電郵、學號、學習紀錄。
• ·「處理」：對個人資料之任何操作，包括收集、儲存、使用、傳輸、修改及刪除。
• ·「資料當事人」：個人資料所屬之在世自然人（如學生、教職人員）。

二、處理範圍與目的

資料處理者僅依資料控制者之書面或系統指示，為以下目的處理個人資料：

• ·提供平台 AI 工具服務（包括試卷生成、評語生成、口說練習等）；
• ·維護帳號安全及防止未經授權存取；
• ·提供客戶支援及服務優化；
• ·遵從適用法律及監管要求。

三、資料處理者之義務

• ·僅依資料控制者之指示處理個人資料，除非法律另有規定；
• ·確保獲授權處理個人資料之人員已承擔適當保密義務；
• ·採取合理商業上可行之技術及組織安全措施保護個人資料；
• ·資料處理者得新增或替換子處理者，惟應至少提前 14 日書面通知資料控制者，資料控制者得於合理期間內以書面提出反對；如資料控制者未於期間內反對，則視為同意；
• ·在合理可行範圍內，協助資料控制者履行其對資料當事人之義務（包括查閱、更正及刪除請求）；
• ·如發現資料安全事故，於知悉後合理時間內（最遲 72 小時）通知資料控制者；
• ·於服務終止後，依資料控制者選擇刪除或歸還個人資料。

四、資料控制者之義務

• ·確保所有個人資料之收集、使用及傳輸符合 PDPO 及其他適用法律；
• ·確保已就涉及未成年人之個人資料取得家長或監護人之適當同意；
• ·不上傳任何不必要之敏感個人資料（如醫療紀錄、特殊教育需要詳情）；
• ·如個人資料涉及未成年人（18 歲以下），確保相關處理具有充分之合法基礎；
• ·向資料當事人提供關於本平台作為資料處理者之適當通知。

五、現有子處理者

資料控制者同意資料處理者委任以下現有子處理者：

六、資料保留與刪除

• ·AI 生成內容（包括口說練習記錄）：14 日自動刪除；
• ·用戶帳號資料：帳號刪除後 30 日內清除；
• ·付款紀錄：依法律規定保留至少 7 年；
• ·如資料控制者需要更短或更長之保留期限，可另行書面協議。

七、處理活動記錄（RoPA）及審計權

（甲）處理活動記錄：資料處理者依 PDPO 第 4 原則及良好資料管理實務，就其作為資料處理者所進行之處理活動維護內部記錄，內容包括：(i) 資料處理者及任何聯絡人之名稱及聯絡詳情；(ii) 代表各資料控制者進行處理之類別；(iii) 適用之跨境傳輸情況；(iv) 技術及組織安全措施之一般說明。資料控制者可於合理書面要求後 30 個工作日內，取得與其帳號相關之記錄摘要。

（乙）審計權：資料控制者得就資料處理者履行本 DPA 之情況提出合理查詢。資料控制者之審計權應受以下限制：(a) 須至少提前 30 日書面通知；(b) 每 12 個月不超過一次，除非因資料安全事故另行協議；(c) 不得影響資料處理者之正常營運或其他客戶之資料安全；(d) 審計費用由資料控制者承擔；(e) 審計人員須就取得之資料承擔嚴格保密義務。資料處理者得提供獨立第三方審計報告以代替直接審計，資料控制者不得無理拒絕。

八、責任限制

資料處理者因違反本 DPA 所承擔之責任，受服務條款第十二條（責任限制）之約束。資料處理者對因資料控制者未履行本 DPA 之義務所導致之損失，概不承擔責任。

九、適用法律

本 DPA 受香港特別行政區法律管轄，任何爭議提交香港特別行政區法院處理。

十、機構客戶合規確認

以機構名義使用本平台，即視為資料控制者確認：其就透過本平台處理之所有個人資料（包括學生資料），已符合香港《個人資料（私隱）條例》（PDPO）之相關要求，包括已取得合法處理基礎、已向資料當事人提供適當通知，以及已履行任何適用之跨境傳輸合規義務。

十一、聯絡方式

如需索取可簽署之 DPA 正式文件、提出資料保護查詢，或就本協議條款進行協商，請聯絡：

support@togoalai.com