QR Code AI資料處理協議

資料處理協議（DPA）

最後更新日期：2026年3月2日

本資料處理協議（「DPA」）構成服務條款（「協議」）的一部分，由註冊於法國 Juvisy-sur-Orge 91260 Rue Wurtz 27號、VAT編號FR67948452891的SuperNovae公司（「處理者」、「我們」、「我方」）與同意本DPA的實體（「控制者」、「您」）共同簽訂，雙方合稱「當事人」。

當您使用QR Code AI服務（包括透過API）時，若我們代表您處理個人資料，本DPA即適用。

1. 定義

• 「個人資料」 指與已識別或可識別之自然人相關的任何資訊，定義依據GDPR第4(1)條。
• 「處理」 指對個人資料執行的任何操作或一組操作，定義依據GDPR第4(2)條。
• 「資料主體」 指個人資料所關聯的已識別或可識別之自然人。
• 「子處理者」 指處理者委任以代表控制者處理個人資料的任何第三方。
• 「GDPR」 指歐洲議會與理事會第(EU) 2016/679號法規。
• 「英國GDPR」 指經2018年《資料保護法》轉化為英國法律的GDPR。
• 「標準合約條款（SCCs）」 指歐盟委員會核准用於向第三國傳輸個人資料的標準合約條款。
• 「資料外洩」 指導致個人資料意外或非法銷毀、遺失、變更、未經授權揭露或存取的安全漏洞。

2. 範圍與角色

2.1 控制者與處理者

就本DPA而言：

• 您（控制者）： 當您使用本服務（特別是透過API為您的客戶生成QR Code，或將本服務整合至您的產品中）時，您決定個人資料處理的目的與方式。
• 我們（處理者）： 我們根據您的指示處理個人資料，詳情如本DPA及協議所述。

2.2 本DPA的適用情形

本DPA適用於以下情況：

• 您使用QR Code AI API生成包含終端使用者資料的QR Code（例如：含個人資料的URL、vCard資料、編碼於QR Code中的聯絡資訊）。
• 您使用QR Code AI的追蹤與分析功能，收集終端使用者的掃描資料。
• 其他我們作為資料處理者代表您處理個人資料的情境。

當您以個人身份為自身目的使用QR Code AI時，我們作為獨立的資料控制者，資料處理受隱私權政策管轄。

3. 資料處理細節

3.1 處理事項與期間

我們在協議有效期間內處理個人資料，以提供QR Code AI服務，包括QR Code生成、追蹤、分析及相關功能。

3.2 處理性質與目的

• 根據控制者提供的輸入資料生成QR Code
• 追蹤QR Code掃描並收集分析資料
• 儲存QR Code設定與相關詮釋資料
• 處理AI生成藝術QR Code的請求
• 提供報告與分析儀表板

3.3 個人資料類型

處理的個人資料類型可能包括：

• 編碼於QR Code中的聯絡資訊（姓名、電子郵件、電話號碼）
• URL與網頁位址
• QR Code掃描取得的位置資料
• QR Code掃描取得的裝置資訊與IP位址
• 提供用於AI QR Code生成的文字提示與圖片
• 控制者選擇編碼於QR Code中的任何其他資料

3.4 資料主體類別

• 掃描控制者所建立QR Code的終端使用者
• 聯絡資訊被編碼於QR Code中的個人
• 使用控制者產品或服務並與QR Code互動的使用者

4. 處理者的義務

4.1 處理指示

我們僅根據您的書面指示處理個人資料，除非我們所屬的歐盟或會員國法律另有要求。在此情況下，除非法律基於重大公共利益理由禁止告知，否則我們將在處理前通知您該法律要求。

4.2 保密性

我們確保獲准處理個人資料的人員承諾保密，或負有適當的法定保密義務。

4.3 安全措施

我們實施適當的技術與組織措施，確保與風險相稱的安全水準，包括：

• 傳輸中（TLS/HTTPS）與靜態儲存的個人資料加密
• 內部系統的存取控制與角色式驗證
• 定期安全評估與弱點掃描
• 基礎設施託管於ISO 27001認證供應商
• DDoS防護與Web應用程式防火牆（Cloudflare）
• 加密儲存的定期備份
• 個人資料存取的日誌記錄與監控

4.4 子處理者

我們使用的子處理者列於子處理者頁面。我們將透過更新該頁面通知您任何子處理者的變更。您可在更新後30天內致信[email protected]提出異議。若您提出異議且我們無法合理配合，任一方均可終止受影響的服務部分。

我們與所有子處理者簽訂書面協議，課予其不低於本DPA所載的資料保護義務。

4.5 資料主體權利

我們將協助您回應資料主體依適用資料保護法行使之權利（存取、更正、刪除、限制、可攜性、反對）。若我們直接收到資料主體的請求，除非另有指示，否則將迅速引導其向您提出。

4.6 合規協助

我們將協助您履行GDPR第32至36條規定的義務，並考量處理性質與我們可取得的資訊。

5. 資料外洩通報

5.1 通報時限

我們將在知悉資料外洩後毫不遲延地通知您，且無論如何不得超過72小時。通知將發送至您帳號關聯的電子郵件地址。

5.2 通報內容

通報內容（在可取得範圍內）包括：

• 資料外洩性質描述，包括受影響資料主體類別與紀錄數量概估值
• 我們資料保護聯絡窗口的姓名與聯絡方式
• 資料外洩可能後果的描述
• 已採取或擬採取的因應措施描述，包括減輕可能不利影響的措施

5.3 持續合作

我們將與您合作，並提供合理協助以調查、減輕與修復任何資料外洩，以及協助您向監管機關或資料主體進行依法所需的通報。

6. 國際資料傳輸

6.1 資料位置

個人資料主要儲存與處理於歐盟境內：

• 法國（歐盟） 透過Scaleway
• 荷蘭（歐盟） 透過DigitalOcean

6.2 歐盟/歐洲經濟區境外傳輸

部分子處理者位於歐盟/歐洲經濟區境外，主要位於美國。針對此類傳輸，我們依賴：

• 歐盟-美國資料隱私架構： 適用時，用於傳輸至依據該架構認證的美國供應商。
• 標準合約條款（SCCs）： 對於不適用資料隱私架構的歐盟/歐洲經濟區境外子處理者，我們將歐盟委員會核准的SCCs（委員會實施決定(EU) 2021/914）納入協議。

6.3 傳輸影響評估

我們對傳輸至第三國進行傳輸影響評估，並在必要時實施補充措施，以確保適當的資料保護水準。

7. 審計與檢查

7.1 審計權利

您有權審計我們對本DPA的合規情況。我們將向您提供所有必要資訊以證明合規，並允許及協助您或您委任的稽核員進行審計（包括檢查）。

7.2 審計程序

審計須符合以下條件：

• 您必須在審計前至少30天提供書面通知
• 審計每年不得超過一次，除非監管機關要求或發生資料外洩
• 審計必須在正常營業時間進行，且不得不合理干擾我們的營運
• 您需承擔審計費用，除非審計發現本DPA的重大違約
• 審計期間不得暴露我們其他客戶的機密資訊

8. 資料保留與刪除

8.1 協議期間

我們在協議期間內保留個人資料，以提供本服務所需。

8.2 協議終止後

協議終止或收到您的書面請求後：

• 我們將在30天內從主動系統中刪除個人資料
• 備份封存中的個人資料將在6個月內清除
• 若適用法律要求（例如稅務、會計義務），我們可能保留個人資料，此時將隔離並保護該資料，且進一步處理僅限於法律要求範圍

8.3 認證

應您的要求，我們將提供書面確認，證明個人資料已依本條款刪除。

9. 責任

各方在本DPA下的責任受協議所載責任限制條款約束。本DPA任何內容均不限制任一方對資料主體或監管機關依適用資料保護法所負的責任。

10. 準據法

本DPA受法國法律管轄。對於歐盟資料主體，GDPR適用。對於英國資料主體，英國GDPR適用。因本DPA產生的任何爭議，將依協議所載爭議解決條款處理。

11. 如何執行本DPA

本DPA已納入並構成服務條款的一部分。使用QR Code AI服務即表示您同意本DPA。

若您需要單獨簽署的DPA副本以供存檔，請致信[email protected]，我們將於10個工作日內提供。

12. 聯絡方式

關於本DPA或我們資料處理實務的疑問：

SuperNovae 27 Rue Wurtz Juvisy-sur-Orge, Ile-de-France 91260 法國 [email protected]