QR Code AI資料處理協議

資料處理協議（DPA）

最後更新日期：2026年3月2日

本資料處理協議（「DPA」）構成服務條款（「協議」）的一部分，由註冊於法國Juvisy-sur-Orge（地址：27 Rue Wurtz, 91260）、增值稅號碼FR67948452891的SuperNovae公司（「處理者」、「我們」、「我方」）與同意本DPA的實體（「控制者」、「你方」）共同簽訂，雙方統稱為「各方」。

當我們代表你方處理個人資料（包括透過API）以提供QR Code AI服務時，本DPA即適用。

1. 定義

• 「個人資料」 指與已識別或可識別之自然人相關的任何資訊，定義見GDPR第4(1)條。
• 「處理」 指對個人資料執行的任何操作或一組操作，定義見GDPR第4(2)條。
• 「資料主體」 指個人資料所關聯的已識別或可識別之自然人。
• 「子處理者」 指由處理者委任、代表控制者處理個人資料的任何第三方。
• 「GDPR」 指歐洲議會及理事會第(EU) 2016/679號法規。
• 「英國GDPR」 指根據2018年《資料保護法》轉化為英國法律的GDPR。
• 「標準合約條款（SCCs）」 指歐盟委員會批准用於向第三國傳輸個人資料的標準合約條款。
• 「資料違規」 指導致個人資料意外或非法銷毀、遺失、篡改、未經授權披露或存取的安全漏洞。

2. 適用範圍與角色

2.1 控制者與處理者

就本DPA而言：

• 你方（控制者）： 當你使用本服務（特別是透過API為你方客戶生成QR Code或將本服務整合至你方產品）時，你決定個人資料處理的目的與方式。
• 我方（處理者）： 我們根據你方指示處理個人資料，詳情見本DPA及協議。

2.2 本DPA的適用情形

本DPA適用於以下情況：

• 你使用QR Code AI API生成包含終端使用者資料的QR Code（例如含個人資料的URL、vCard資料、編碼於QR Code中的聯絡資訊）。
• 你使用QR Code AI追蹤及分析功能收集終端使用者的掃描資料。
• 其他我方作為資料處理者代表你方處理個人資料的情境。

若你以個人身份使用QR Code AI服務，則我方為獨立資料控制者，資料處理受私隱政策管轄。

3. 資料處理細節

3.1 處理事項與期限

我們在協議有效期間處理個人資料，以提供QR Code AI服務，包括QR Code生成、追蹤、分析及相關功能。

3.2 處理性質與目的

• 根據控制者提供的輸入資料生成QR Code
• 追蹤QR Code掃描並收集分析資料
• 儲存QR Code設定及相關詮釋資料
• 處理AI生成藝術QR Code請求
• 提供報告及分析儀表板

3.3 個人資料類型

處理的個人資料類型可能包括：

• 編碼於QR Code中的聯絡資訊（姓名、電郵地址、電話號碼）
• URL及網頁地址
• QR Code掃描所得的位置資料
• QR Code掃描所得的裝置資訊及IP地址
• 提供用於AI QR Code生成的文字提示及圖片
• 控制者選擇編碼於QR Code中的任何其他資料

3.4 資料主體類別

• 掃描控制者所建立QR Code的終端使用者
• 聯絡資訊被編碼於QR Code中的個人
• 使用控制者產品或服務並與QR Code互動的使用者

4. 處理者的義務

4.1 處理指示

除非歐盟或成員國法律另有要求，否則我們僅根據你方書面指示處理個人資料。若法律要求我方處理資料，我們將在處理前通知你方，除非基於重大公共利益理由禁止此類通知。

4.2 保密性

我們確保獲授權處理個人資料的人員承諾保密，或受適當法定保密義務約束。

4.3 安全措施

我們實施適當的技術及組織措施，確保與風險相稱的安全水平，包括：

• 傳輸中（TLS/HTTPS）及靜態儲存的個人資料加密
• 內部系統的存取控制及基於角色的驗證
• 定期安全評估及弱點掃描
• 基礎設施託管於ISO 27001認證供應商
• DDoS防護及網站應用程式防火牆（Cloudflare）
• 加密儲存的定期備份
• 個人資料存取的日誌記錄及監控

4.4 子處理者

我們使用的子處理者列於子處理者頁面。我們將透過更新該頁面通知你方任何擬議變更。你可在更新後30天內致信[email protected]反對新增子處理者。若你提出異議且我方無法合理配合，任一方均可終止相關服務部分。

我們與所有子處理者簽訂書面協議，施加不少於本DPA保護程度的資料保護義務。

4.5 資料主體權利

我們將協助你回應資料主體行使適用資料保護法賦予之權利（查閱、更正、刪除、限制、可攜性、反對）的請求。若我們直接收到資料主體請求，除非另有指示，否則將迅速引導其聯絡你方。

4.6 合規協助

我們將協助你履行GDPR第32至36條規定的義務，並考量處理性質及我方可取得的資訊。

5. 資料違規通報

5.1 通報時限

我們將在知悉資料違規後毫不遲延地通知你方，且無論如何不超過72小時。通知將發送至你方帳戶關聯的電郵地址。

5.2 通報內容

通知將包含（如可取得）：

• 資料違規性質描述，包括受影響資料主體類別及紀錄大致數量
• 我方資料保護聯絡人的姓名及聯絡詳情
• 資料違規可能後果的描述
• 已採取或擬採取的補救措施描述，包括減輕潛在不利影響的措施

5.3 持續合作

我們將與你方合作，並提供合理協助以調查、減輕及修復任何資料違規，並協助你方向監管機構或資料主體作出必要通報。

6. 國際資料傳輸

6.1 資料位置

個人資料主要儲存及處理於歐盟：

• 法國（歐盟） 透過Scaleway
• 荷蘭（歐盟） 透過DigitalOcean

6.2 歐盟/歐洲經濟區以外傳輸

部分子處理者位於歐盟/歐洲經濟區以外，主要在美國。針對此類傳輸，我們依賴：

• 歐盟-美國資料私隱框架： 適用時，用於向框架認證的美國供應商傳輸
• 標準合約條款（SCCs）： 對於不適用資料私隱框架的歐盟/歐洲經濟區以外子處理者，我們將歐盟委員會批准的SCCs（委員會實施決定(EU) 2021/914）納入協議

6.3 傳輸影響評估

我們對向第三國傳輸進行傳輸影響評估，並在必要時實施補充措施，確保適當的資料保護水平。

7. 審計與檢查

7.1 審計權利

你方有權審計我方對本DPA的合規情況。我們將向你方提供所有必要資訊以證明合規，並允許及協助你方或你方委任的審計員進行審計（包括檢查）。

7.2 審計程序

審計須符合以下條件：

• 你方須至少提前30天書面通知任何審計
• 審計每年不得超過一次，除非監管機構要求或發生資料違規
• 審計須於正常營業時間進行，且不得不合理干擾我方運作
• 你方承擔審計費用，除非審計發現本DPA的重大違規
• 審計期間不得洩露我方其他客戶的機密資訊

8. 資料保留與刪除

8.1 協議期間

我們在協議有效期間保留個人資料，以提供本服務。

8.2 協議終止後

協議終止或收到你方書面請求後：

• 我們將在30天內從活躍系統刪除個人資料
• 備份封存中的個人資料將在6個月內清除
• 若適用法律要求（例如稅務、會計義務），我們可保留個人資料，但將隔離並保護該等資料，且進一步處理僅限法律要求範圍

8.3 證明

應你方要求，我們將提供書面確認，證明個人資料已按本條款刪除。

9. 責任

各方在本DPA下的責任受協議中責任限制條款約束。本DPA任何內容均不限制任一方對資料主體或監管機構在適用資料保護法下的責任。

10. 管轄法律

本DPA受法國法律管轄。對於歐盟資料主體，GDPR適用；對於英國資料主體，英國GDPR適用。因本DPA引起的任何爭議將按協議的爭議解決條款處理。

11. 如何執行本DPA

本DPA已納入並構成服務條款的一部分。使用QR Code AI服務即表示你方同意本DPA。

若你需要單獨簽署的DPA副本存檔，請致信[email protected]，我們將於10個工作日內提供。

12. 聯絡方式

關於本DPA或我方資料處理實務的查詢：

SuperNovae 27 Rue Wurtz Juvisy-sur-Orge, Ile-de-France 91260 法國 [email protected]