個人資料委託處理協議(DPA)

最後更新日期: 2026-05-06
適用對象: 與 HRDA 訂立服務契約並委託 HRDA 處理個人資料之企業客戶。
文件性質: 本個人資料委託處理協議(Data Processing Agreement, DPA)為 HRDA SaaS 服務契約之一部分,用以規範 HRDA 代表企業客戶處理個人資料時之角色、目的、安全措施、子處理者、跨境傳輸、資料外洩通知、稽核與終止後資料處理。

1. 定義

1.1 「Data Controller」或「資料控制者」 指決定個人資料處理目的及方法之一方。就企業客戶上傳、蒐集或透過 HRDA 指示處理之受測者資料,企業客戶通常為資料控制者。
1.2 「Data Processor」或「資料處理者」 指代表資料控制者並依其指示處理個人資料之一方。就企業客戶資料,HRDA 通常為資料處理者。
1.3 「個人資料」 指可直接或間接識別自然人之任何資料,包括姓名、電子郵件、履歷、面試回答、聲音、影像、視訊、系統識別碼、IP 位址、裝置資訊、測評結果及 AI 分析報告。
1.4 「特殊類別或敏感資料」 指依適用法律被視為需加強保護之資料,可能包括生物特徵資料、健康資料、政治或宗教資料、工會身分、種族或其他受保護特徵。
1.5 「子處理者」 指 HRDA 為提供服務而委任處理個人資料之第三方供應商,例如雲端基礎設施、資料庫、郵件、監控、安全、模型服務或客服系統供應商。
1.6 「適用資料保護法律」 指適用於個人資料處理之法律與規範,包括但不限於 GDPR、台灣個人資料保護法及其他企業客戶或受測者所在地適用之資料保護法令。

2. 角色與處理指示

2.1 雙方同意,就企業客戶透過 HRDA 平台蒐集、上傳、儲存、分析或管理之個人資料,企業客戶為資料控制者,HRDA 為資料處理者,除非雙方另以書面明確約定或 HRDA 依法另行作為資料控制者。
2.2 HRDA 僅依企業客戶之書面指示、服務契約、本 DPA、平台設定及企業客戶在管理後台或 API 中之操作處理個人資料。
2.3 如 HRDA 認為企業客戶之指示明顯違反適用資料保護法律,HRDA 得通知企業客戶並暫停執行相關指示,直至企業客戶修正或確認合法依據。

3. 處理目的、資料類型與當事人類別

3.1 HRDA 處理個人資料之目的包括:建立與管理帳號、提供 AI 面試分析、聲音與視訊分析、表情與情緒推估、人格與領導潛力分析、產出報告、提供 API、維護系統安全、客服支援、稽核紀錄、錯誤排除、法令遵循及履行服務契約。
3.2 可能處理之資料類型包括身份資料、聯絡資料、履歷與職涯資料、面試文字與語音、錄音錄影、臉部影像、互動紀錄、測評答案、AI 輸出、管理者操作紀錄、IP 位址、使用者代理字串及技術日誌。
3.3 當事人類別包括求職者、員工、承攬人、派遣人員、企業管理者、經銷商使用者及其他由企業客戶邀請或授權使用平台之自然人。

4. 資料保存期限與刪除機制

4.1 HRDA 將依企業客戶設定、服務方案、主服務契約或法律要求保存個人資料。企業客戶應自行設定符合其告知內容、法律義務及業務目的之保存期間。
4.2 企業客戶可透過管理後台或 API 要求刪除特定資料;HRDA 將於商業上合理可行範圍內執行刪除,並依備份週期完成備份資料之覆寫或隔離。
4.3 如法律、稽核、爭議處理、資安調查或防止詐欺需要保留部分資料,HRDA 得於必要範圍內保留相關紀錄,但應限制用途與存取。
4.4 契約終止後,HRDA 將依本 DPA 第 13 條處理客戶資料。

5. 安全措施

5.1 HRDA 將採取與資料性質及風險相稱之技術與組織安全措施,包括但不限於:

  • 傳輸中加密,例如 TLS。
  • 靜態資料加密或等效安全控制。
  • 權限控管、最小權限、角色管理與管理者存取限制。
  • 操作紀錄、登入紀錄、異常偵測與安全監控。
  • 環境隔離、多租戶資料隔離及存取邏輯控管。
  • 備份、災難復原、漏洞修補、資安事件處理流程。
  • 員工保密義務、安全訓練及受限之內部資料存取程序。
    5.2 企業客戶仍應負責其自身端之安全措施,包括帳號管理、密碼政策、MFA、裝置安全、權限審查、API 金鑰保護及下載後資料管理。

6. 子處理者

6.1 企業客戶授權 HRDA 使用子處理者提供服務。HRDA 應確保子處理者受實質上不低於本 DPA 之資料保護義務拘束。
6.2 HRDA 得於官方網站、客戶後台或合約附件提供子處理者清單,並於新增或重大變更子處理者時以合理方式通知企業客戶。
6.3 如企業客戶對新增子處理者有合理資料保護理由之異議,應於通知期間內提出。雙方應善意協商替代方案;如無可行方案,企業客戶得依服務契約終止受影響服務。
6.4 HRDA 對其子處理者履行本 DPA 義務之行為,仍對企業客戶負契約責任。

7. 跨境資料傳輸

7.1 HRDA 及其子處理者可能於企業客戶所在地以外之國家或地區處理個人資料。企業客戶應於告知文件中揭露可能之跨境傳輸,並確認具有合法傳輸依據。
7.2 如 GDPR 或其他跨境傳輸規範適用,雙方應採取適當保障措施,例如標準契約條款、資料傳輸影響評估、加密、存取限制或其他法律允許之機制。
7.3 HRDA 得因服務可靠性、安全、備援或法令遵循需求,在符合本 DPA 之條件下調整資料處理地點。

8. 資料外洩與安全事件

8.1 HRDA 於確認涉及企業客戶個人資料之個人資料外洩或重大安全事件後,將於無不合理遲延之情況通知企業客戶。
8.2 通知內容將於可得範圍內包括事件性質、受影響資料類型、可能影響、已採取或建議採取之措施及聯絡窗口。初步通知不代表 HRDA 承認責任。
8.3 企業客戶負責判斷是否需通知主管機關、受影響個人或其他第三人。HRDA 將於合理範圍內提供必要協助,但得就超出標準服務之協助收取合理費用。

9. 當事人權利協助

9.1 如受測者向 HRDA 提出與企業客戶資料相關之查詢、閱覽、更正、刪除、限制處理、資料可攜、反對處理或撤回同意請求,HRDA 得將該請求轉交企業客戶處理。
9.2 HRDA 將依企業客戶合理且合法之指示,協助處理當事人權利請求。企業客戶負責決定請求是否成立、回覆內容及期限。

10. 稽核與合規

10.1 HRDA 將保存合理之合規紀錄,以證明其依本 DPA 履行處理者義務。
10.2 企業客戶得於合理通知、保密義務及不干擾 HRDA 營運之前提下,要求取得合規文件、第三方稽核摘要或安全問卷回覆。現場稽核應以必要、合理且不揭露其他客戶資料或 HRDA 營業秘密為限。
10.3 雙方應依適用資料保護法律配合資料保護影響評估、主管機關諮詢或合規調查。

11. GDPR 與台灣個資法概念

11.1 如 GDPR 適用,HRDA 將依 Article 28 處理者義務,包括依指示處理、保密、採取安全措施、管理子處理者、協助當事人權利、協助安全事件通知、終止後刪除或返還資料及提供必要合規資訊。
11.2 如台灣個人資料保護法適用,企業客戶應負責特定目的、告知事項、合法蒐集處理利用、當事人權利、安全維護及委託監督義務;HRDA 將依委託關係於必要範圍內處理資料並採取合理安全措施。
11.3 企業客戶應自行評估其產業特別法、跨境傳輸限制、就業法規及主管機關指引。

12. 保密

12.1 HRDA 僅允許需知悉之員工、承包商或子處理者存取個人資料,並使其受保密義務拘束。
12.2 HRDA 不會出售企業客戶個人資料,亦不會將企業客戶資料用於與提供服務無關之目的,除非取得企業客戶授權或法律另有要求。

13. 契約終止後資料處理

13.1 契約終止或服務到期後,企業客戶應於約定期限內匯出或刪除資料。期限屆滿後,HRDA 得依資料保存政策刪除或匿名化客戶資料。
13.2 備份資料將依 HRDA 備份週期安全刪除或覆寫;在刪除前,HRDA 將限制備份資料之主動存取,除非為災難復原、安全、法律或稽核目的所必要。
13.3 HRDA 得保留必要之帳務、交易、合約、稽核與安全紀錄,以履行法律義務或處理爭議。

14. 責任限制

14.1 雙方就本 DPA 之責任依主服務契約之責任限制條款辦理。除法律強制禁止限制者外,HRDA 對間接、附隨、特殊、衍生性或懲罰性損害不負責任。
14.2 企業客戶應對其未具合法依據、未告知同意、違反勞動法、錯誤指示或超出平台合理用途之資料處理負責。

15. 不可抗力

15.1 任一方因非其合理控制之事件無法履行本 DPA,包括天災、戰爭、政府命令、法令變更、疫情、雲端服務中斷、電力或網路故障、重大資安攻擊或供應鏈事件,於受影響範圍內不負違約責任。

16. 可分割性

16.1 本 DPA 任一條款無效或不可執行,不影響其他條款效力。雙方應以合法且最接近原目的之條款取代。

17. 聯絡我們

資料保護、DPA、子處理者或安全事件聯絡窗口:
HRDA Privacy Office
Email: [email protected]