ข้อตกลงการประมวลผลข้อมูล

คำหลัก

ภาคเรียน ค่า
ข้อตกลง DPA นี้เป็นส่วนเสริมของ Terms of Service
ผู้ประมวลผลย่อยที่ได้รับการอนุมัติ Cloudflare (สหรัฐอเมริกา; ผู้ให้บริการ DNS เครือข่าย และความปลอดภัย), DataPacket (สหรัฐอเมริกา/สหราชอาณาจักร; ผู้ให้บริการโฮสติ้ง), Digital Ocean (สหรัฐอเมริกา; ผู้ให้บริการโฮสติ้ง), Vultr (สหรัฐอเมริกา; ผู้ให้บริการโฮสติ้ง), Stripe (สหรัฐอเมริกา; ผู้ประมวลผลการชำระเงิน), PayPal (สหรัฐอเมริกา; ผู้ประมวลผลการชำระเงิน)
การติดต่อด้านความปลอดภัยของผู้ให้บริการ ความปลอดภัย@forwardemail.net
นโยบายความปลอดภัย ดู our Security Policy on GitHub
รัฐที่ปกครอง รัฐเดลาแวร์ สหรัฐอเมริกา

การเปลี่ยนแปลงข้อตกลง

เอกสารนี้เป็นอนุพันธ์ของ ข้อกำหนดมาตรฐาน DPA ของเอกสารทั่วไป (เวอร์ชัน 1.0) และมีการเปลี่ยนแปลงดังต่อไปนี้:

  1. กฎหมายที่ใช้บังคับและศาลที่ได้รับการเลือก ได้ถูกรวมไว้เป็นส่วนด้านล่าง โดยมี Governing State ระบุไว้ข้างต้น
  2. ความสัมพันธ์ระหว่างผู้ให้บริการ ได้ถูกรวมไว้เป็นส่วนด้านล่าง

1. ความสัมพันธ์ระหว่างโปรเซสเซอร์และโปรเซสเซอร์ย่อย

1. ผู้ให้บริการในฐานะตัวประมวลผล

ในสถานการณ์ที่ ลูกค้า เป็นผู้ควบคุมข้อมูลส่วนบุคคลของลูกค้า ผู้ให้บริการ จะถือเป็นผู้ประมวลผลที่กำลังประมวลผลข้อมูลส่วนบุคคลในนามของ ลูกค้า

2. ผู้ให้บริการในฐานะผู้ประมวลผลย่อย

ในสถานการณ์ที่ ลูกค้า เป็นผู้ประมวลผลข้อมูลส่วนบุคคลของลูกค้า ผู้ให้บริการ จะถือเป็นผู้ประมวลผลย่อยข้อมูลส่วนบุคคลของลูกค้า

2. การประมวลผล

1. รายละเอียดการประมวลผล

ภาคผนวก I(B) บนหน้าปกอธิบายถึงเนื้อหา ลักษณะ วัตถุประสงค์ และระยะเวลาของการประมวลผลนี้ รวมถึงหมวดหมู่ของข้อมูลส่วนบุคคลที่รวบรวมและหมวดหมู่ของเจ้าของข้อมูล

2. คำแนะนำในการประมวลผล

ลูกค้า สั่งให้ ผู้ให้บริการ ประมวลผลข้อมูลส่วนบุคคลของลูกค้า: (ก) เพื่อให้บริการและดูแลรักษาบริการ; (ข) ตามที่อาจกำหนดเพิ่มเติมผ่านการใช้บริการของ ลูกค้า; (ค) ตามที่ระบุไว้ใน ข้อตกลง; และ (ง) ตามที่ระบุไว้ในคำสั่งเป็นลายลักษณ์อักษรอื่นใดที่ ลูกค้า มอบให้และ ผู้ให้บริการ รับทราบเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าภายใต้ DPA นี้ ผู้ให้บริการ จะปฏิบัติตามคำสั่งเหล่านี้ เว้นแต่กฎหมายที่เกี่ยวข้องจะห้ามไม่ให้ทำเช่นนั้น ผู้ให้บริการ จะแจ้ง ลูกค้า ทันทีหากไม่สามารถปฏิบัติตามคำสั่งการประมวลผลได้ ลูกค้า ได้ให้และจะให้เฉพาะคำสั่งที่สอดคล้องกับกฎหมายที่เกี่ยวข้องเท่านั้น

3. การประมวลผลโดยผู้ให้บริการ

ผู้ให้บริการ จะประมวลผลข้อมูลส่วนบุคคลของลูกค้าตาม DPA นี้เท่านั้น ซึ่งรวมถึงรายละเอียดในหน้าปก หาก ผู้ให้บริการ อัปเดตบริการเพื่ออัปเดตข้อมูลที่มีอยู่หรือเพิ่มผลิตภัณฑ์ คุณสมบัติ หรือฟังก์ชันใหม่ ผู้ให้บริการ อาจเปลี่ยนแปลง หมวดหมู่ของเจ้าของข้อมูล หมวดหมู่ของข้อมูลส่วนบุคคล ข้อมูลหมวดหมู่พิเศษ ข้อจำกัดหรือมาตรการป้องกันข้อมูลหมวดหมู่พิเศษ ความถี่ในการถ่ายโอน ลักษณะและวัตถุประสงค์ของการประมวลผล และ ระยะเวลาการประมวลผล ตามความจำเป็นเพื่อให้สอดคล้องกับการอัปเดต โดยแจ้งให้ ลูกค้า ทราบถึงการอัปเดตและการเปลี่ยนแปลงดังกล่าว

4. การประมวลผลลูกค้า

ในกรณีที่ ลูกค้า เป็นผู้ประมวลผลข้อมูล และ ผู้ให้บริการ เป็นผู้ประมวลผลข้อมูลย่อย ลูกค้า จะต้องปฏิบัติตามกฎหมายที่เกี่ยวข้องทั้งหมดที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า ลูกค้า ข้อตกลงของลูกค้า กับผู้ควบคุมข้อมูลจะกำหนดให้ ลูกค้า ปฏิบัติตามกฎหมายที่เกี่ยวข้องทั้งหมดที่เกี่ยวข้องกับ ลูกค้า ในฐานะผู้ประมวลผลข้อมูลเช่นกัน นอกจากนี้ ลูกค้า จะต้องปฏิบัติตามข้อกำหนดของผู้ประมวลผลข้อมูลย่อยในข้อตกลงของลูกค้า กับผู้ควบคุมข้อมูล

ลูกค้า ได้ปฏิบัติตามและจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องทั้งหมดที่เกี่ยวข้องกับการให้ข้อมูลส่วนบุคคลของลูกค้าแก่ ผู้ให้บริการ และ/หรือบริการ รวมถึงการเปิดเผยข้อมูลทั้งหมด การขอความยินยอมทั้งหมด การให้ทางเลือกที่เหมาะสม และการนำมาตรการป้องกันที่เกี่ยวข้องที่จำเป็นภายใต้กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องมาใช้

6. โปรเซสเซอร์ย่อย

ก. ผู้ให้บริการ จะไม่ให้ โอน หรือส่งมอบข้อมูลส่วนบุคคลใดๆ ของลูกค้าให้แก่ผู้ประมวลผลย่อย เว้นแต่ ลูกค้า จะอนุมัติผู้ประมวลผลย่อยนั้น รายชื่อ ผู้ประมวลผลย่อยที่ได้รับอนุมัติ ในปัจจุบันประกอบด้วยข้อมูลประจำตัวของผู้ประมวลผลย่อย ประเทศที่ตั้ง และงานการประมวลผลที่คาดการณ์ไว้ ผู้ให้บริการ จะแจ้งให้ ลูกค้า ทราบล่วงหน้าอย่างน้อย 10 วันทำการเป็นลายลักษณ์อักษรเกี่ยวกับการเปลี่ยนแปลงใดๆ ที่ตั้งใจจะทำกับ ผู้ประมวลผลย่อยที่ได้รับอนุมัติ ไม่ว่าจะเป็นการเพิ่มหรือเปลี่ยนผู้ประมวลผลย่อย ซึ่งจะทำให้ ลูกค้า มีเวลาเพียงพอในการคัดค้านการเปลี่ยนแปลงดังกล่าวก่อนที่ ผู้ให้บริการ จะเริ่มใช้ผู้ประมวลผลย่อยรายใหม่ ผู้ให้บริการ จะให้ข้อมูลที่จำเป็นแก่ ลูกค้า เพื่อให้ ลูกค้า สามารถใช้สิทธิ์ในการคัดค้านการเปลี่ยนแปลงดังกล่าวกับ ผู้ประมวลผลย่อยที่ได้รับอนุมัติ ลูกค้า มีเวลา 30 วันหลังจากได้รับแจ้งการเปลี่ยนแปลง ผู้ประมวลผลย่อยที่ได้รับอนุมัติ ในการคัดค้าน มิฉะนั้น ลูกค้า จะถือว่ายอมรับการเปลี่ยนแปลงดังกล่าว หาก ลูกค้า คัดค้านการเปลี่ยนแปลงภายใน 30 วันหลังจากได้รับแจ้ง ลูกค้า และ ผู้ให้บริการ จะต้องร่วมมือกันโดยสุจริตใจเพื่อแก้ไขข้อคัดค้านหรือข้อกังวลของ ลูกค้า

ข. เมื่อว่าจ้างผู้ประมวลผลย่อย ผู้ให้บริการ จะต้องมีข้อตกลงเป็นลายลักษณ์อักษรกับผู้ประมวลผลย่อย ซึ่งรับรองว่าผู้ประมวลผลย่อยจะเข้าถึงและใช้ข้อมูลส่วนบุคคลของลูกค้าเฉพาะ (i) ในขอบเขตที่จำเป็นต่อการปฏิบัติตามภาระผูกพันที่จ้างช่วงไว้ และ (ii) สอดคล้องกับข้อกำหนดของ ข้อตกลง

ค. หาก GDPR มีผลบังคับใช้กับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า (i) ภาระผูกพันในการคุ้มครองข้อมูลตามที่อธิบายไว้ใน DPA นี้ (ตามที่อ้างถึงในมาตรา 28(3) ของ GDPR หากเกี่ยวข้อง) จะถูกกำหนดให้กับผู้ประมวลผลข้อมูลย่อยด้วย และ (ii) ข้อตกลงของ ผู้ให้บริการ กับผู้ประมวลผลข้อมูลย่อยจะรวมภาระผูกพันเหล่านี้ไว้ ซึ่งรวมถึงรายละเอียดเกี่ยวกับวิธีที่ ผู้ให้บริการ และผู้ประมวลผลข้อมูลย่อยจะประสานงานกันเพื่อตอบสนองต่อข้อซักถามหรือคำขอเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า นอกจากนี้ ผู้ให้บริการ จะแบ่งปันสำเนาข้อตกลง (รวมถึงการแก้ไขใดๆ) ให้กับผู้ประมวลผลข้อมูลย่อยตามคำขอของลูกค้า ในขอบเขตที่จำเป็นต่อการปกป้องความลับทางธุรกิจหรือข้อมูลลับอื่นๆ รวมถึงข้อมูลส่วนบุคคล ผู้ให้บริการ อาจแก้ไขข้อความข้อตกลงกับผู้ประมวลผลข้อมูลย่อยก่อนที่จะแบ่งปันสำเนา

ง. ผู้ให้บริการ ยังคงต้องรับผิดชอบอย่างเต็มที่ต่อภาระผูกพันทั้งหมดที่จ้างช่วงให้กับผู้ประมวลผลข้อมูลย่อยของตน รวมถึงการกระทำและการละเว้นของผู้ประมวลผลข้อมูลย่อยในการประมวลผลข้อมูลส่วนบุคคลของลูกค้า ผู้ให้บริการ จะแจ้งให้ลูกค้าทราบถึงความล้มเหลวใดๆ ของผู้ประมวลผลข้อมูลย่อยของตนในการปฏิบัติตามภาระผูกพันที่สำคัญเกี่ยวกับข้อมูลส่วนบุคคลของลูกค้าภายใต้ข้อตกลงระหว่าง ผู้ให้บริการ และผู้ประมวลผลข้อมูลย่อย

3. การโอนที่จำกัด

1. การอนุญาต

ลูกค้า ตกลงว่า ผู้ให้บริการ อาจถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าออกนอกเขตเศรษฐกิจยุโรป (EEA) สหราชอาณาจักร หรือเขตพื้นที่ทางภูมิศาสตร์อื่นที่เกี่ยวข้องตามความจำเป็นในการให้บริการ หาก ผู้ให้บริการ ถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าไปยังเขตพื้นที่ที่คณะกรรมาธิการยุโรปหรือหน่วยงานกำกับดูแลอื่นที่เกี่ยวข้องยังไม่ได้ออกคำวินิจฉัยเกี่ยวกับความเพียงพอ ผู้ให้บริการ จะดำเนินการตามมาตรการป้องกันที่เหมาะสมสำหรับการถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าไปยังเขตพื้นที่นั้น โดยสอดคล้องกับกฎหมายคุ้มครองข้อมูลที่บังคับใช้

2. การโอนจากเขตเศรษฐกิจยุโรป (EEA)

ลูกค้า และ ผู้ให้บริการ ตกลงกันว่า หาก GDPR คุ้มครองการถ่ายโอนข้อมูลส่วนบุคคลของลูกค้า การถ่ายโอนดังกล่าวจะกระทำจาก ลูกค้า ภายในเขตเศรษฐกิจยุโรป (EEA) ไปยัง ผู้ให้บริการ นอกเขตเศรษฐกิจยุโรป (EEA) และการถ่ายโอนดังกล่าวไม่ได้อยู่ภายใต้การตัดสินใจเกี่ยวกับความเพียงพอของคณะกรรมาธิการยุโรป ดังนั้น การเข้าทำข้อตกลงคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ลูกค้า และ ผู้ให้บริการ ถือว่าได้ลงนามใน SCC ของ EEA และภาคผนวก ซึ่งรวมเข้าไว้โดยการอ้างอิง การถ่ายโอนดังกล่าวจะดำเนินการตาม SCC ของ EEA ซึ่งได้ดำเนินการดังต่อไปนี้:

ก. โมดูลที่สอง (ผู้ควบคุมถึงผู้ประมวลผล) ของ SCC ของ EEA มีผลใช้บังคับเมื่อ ลูกค้า เป็นผู้ควบคุม และ ผู้ให้บริการ กำลังประมวลผลข้อมูลส่วนบุคคลของลูกค้าสำหรับ ลูกค้า ในฐานะผู้ประมวลผล

ข. โมดูลที่สาม (ผู้ประมวลผลถึงผู้ประมวลผลย่อย) ของ EEA SCC มีผลใช้บังคับเมื่อ ลูกค้า เป็นผู้ประมวลผล และ ผู้ให้บริการ ประมวลผลข้อมูลส่วนบุคคลของลูกค้าในนามของ ลูกค้า ในฐานะผู้ประมวลผลย่อย

c. สำหรับแต่ละโมดูล ให้ใช้สิ่งต่อไปนี้ (เมื่อใช้ได้):

  1. ข้อกำหนดการเชื่อมต่อทางเลือกในข้อ 7 ไม่สามารถใช้ได้

  2. ในข้อ 9 ตัวเลือกที่ 2 (การอนุญาตเป็นลายลักษณ์อักษรทั่วไป) ใช้ได้ และระยะเวลาขั้นต่ำสำหรับการแจ้งล่วงหน้าเกี่ยวกับการเปลี่ยนแปลงผู้ประมวลผลย่อยคือ 10 วันทำการ

  3. ในมาตรา 11 ภาษาที่เลือกไม่นำไปใช้

  4. เครื่องหมายวงเล็บเหลี่ยมทั้งหมดในมาตรา 13 จะถูกลบออก

  5. ในข้อ 17 (ตัวเลือกที่ 1) SCC ของ EEA จะอยู่ภายใต้กฎหมายของรัฐสมาชิกที่ควบคุม

  6. ในข้อ 18(b) ข้อพิพาทจะได้รับการแก้ไขในศาลของรัฐสมาชิกที่ควบคุม และ

  7. หน้าปกของ DPA นี้ประกอบด้วยข้อมูลที่จำเป็นในภาคผนวก I ภาคผนวก II และภาคผนวก III ของ EEA SCC

3. การโอนอดีตสหราชอาณาจักร

ลูกค้า และ ผู้ให้บริการ ตกลงกันว่า หาก UK GDPR คุ้มครองการถ่ายโอนข้อมูลส่วนบุคคลของลูกค้า การถ่ายโอนดังกล่าวจะกระทำจาก ลูกค้า ภายในสหราชอาณาจักรไปยัง ผู้ให้บริการ นอกสหราชอาณาจักร และการถ่ายโอนดังกล่าวไม่ได้อยู่ภายใต้การตัดสินใจเกี่ยวกับความเพียงพอของรัฐมนตรีว่าการกระทรวงการต่างประเทศแห่งสหราชอาณาจักร ดังนั้น เมื่อทำข้อตกลง DPA นี้ ลูกค้า และ ผู้ให้บริการ ถือว่าได้ลงนามในภาคผนวกของสหราชอาณาจักรและภาคผนวก ซึ่งรวมเข้าไว้โดยการอ้างอิง การถ่ายโอนดังกล่าวจะดำเนินการตามภาคผนวกของสหราชอาณาจักร ซึ่งได้กรอกรายละเอียดดังต่อไปนี้:

ก. ส่วนที่ 3.2 ของ DPA นี้ประกอบด้วยข้อมูลที่จำเป็นในตารางที่ 2 ของภาคผนวกของสหราชอาณาจักร

ข. ตารางที่ 4 ของภาคผนวกของสหราชอาณาจักรได้รับการแก้ไขดังต่อไปนี้: ฝ่ายใดฝ่ายหนึ่งไม่สามารถยุติภาคผนวกของสหราชอาณาจักรตามที่กำหนดไว้ในมาตรา 19 ของภาคผนวกของสหราชอาณาจักรได้ ในขอบเขตที่ ICO ออกภาคผนวกที่ได้รับอนุมัติฉบับแก้ไขภายใต้มาตรา ‎18 ของภาคผนวกของสหราชอาณาจักร ฝ่ายต่างๆ จะดำเนินการโดยสุจริตใจเพื่อแก้ไข DPA นี้ให้สอดคล้องกัน

c. หน้าปกประกอบด้วยข้อมูลที่จำเป็นตามภาคผนวก 1A ภาคผนวก 1B ภาคผนวก II และภาคผนวก III ของภาคผนวกของสหราชอาณาจักร

4. การโอนเงินระหว่างประเทศอื่นๆ

สำหรับการโอนข้อมูลส่วนบุคคลที่กฎหมายของสวิส (และไม่ใช่กฎหมายในประเทศสมาชิก EEA หรือสหราชอาณาจักร) ใช้กับลักษณะการโอนในระดับนานาชาติ การอ้างอิงถึง GDPR ในข้อ 4 ของ SCC ของ EEA จะได้รับการแก้ไขในขอบเขตที่กฎหมายกำหนด โดยให้อ้างอิงถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของสหพันธรัฐสวิสหรือกฎหมายที่สืบต่อมาแทน และแนวคิดของอำนาจในการกำกับดูแลจะรวมถึงผู้บัญชาการข้อมูลและการคุ้มครองข้อมูลของสหพันธรัฐสวิสด้วย

4. การตอบสนองต่อเหตุการณ์ด้านความปลอดภัย

  1. เมื่อทราบเหตุการณ์ด้านความปลอดภัยใดๆ ผู้ให้บริการจะต้อง: (ก) แจ้งให้ลูกค้าทราบโดยไม่ชักช้าหากทำได้ แต่ไม่เกิน 72 ชั่วโมงหลังจากทราบเหตุการณ์ด้านความปลอดภัย; (ข) แจ้งข้อมูลเกี่ยวกับเหตุการณ์ด้านความปลอดภัยให้ทราบอย่างทันท่วงทีเมื่อทราบหรือตามที่ลูกค้าร้องขออย่างสมเหตุสมผล; และ (ค) ดำเนินการตามขั้นตอนที่เหมาะสมเพื่อควบคุมและสอบสวนเหตุการณ์ด้านความปลอดภัยโดยทันที การแจ้งหรือการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของผู้ให้บริการตามข้อกำหนดของ DPA ฉบับนี้จะไม่ถือเป็นการรับทราบของผู้ให้บริการถึงความผิดพลาดหรือความรับผิดใดๆ ต่อเหตุการณ์ด้านความปลอดภัยดังกล่าว

5. การตรวจสอบและรายงาน

1. สิทธิ์การตรวจสอบ

ผู้ให้บริการ จะให้ข้อมูลทั้งหมดที่จำเป็นอย่างสมเหตุสมผลแก่ลูกค้า เพื่อแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดการคุ้มครองข้อมูลส่วนบุคคล (DPA) ฉบับนี้ และ ผู้ให้บริการ จะอนุญาตและมีส่วนร่วมในการตรวจสอบ รวมถึงการตรวจสอบโดย ลูกค้า เพื่อประเมินการปฏิบัติตามข้อกำหนดการคุ้มครองข้อมูลส่วนบุคคล (DPA) ฉบับนี้ของ ผู้ให้บริการ อย่างไรก็ตาม ผู้ให้บริการ อาจจำกัดการเข้าถึงข้อมูล หากการเข้าถึงข้อมูลของ ลูกค้า จะส่งผลเสียต่อสิทธิ์ในทรัพย์สินทางปัญญา ภาระผูกพันในการรักษาความลับ หรือภาระผูกพันอื่นๆ ตามกฎหมายที่เกี่ยวข้อง ลูกค้า รับทราบและตกลงว่าจะใช้สิทธิ์ในการตรวจสอบภายใต้ข้อกำหนดการคุ้มครองข้อมูลส่วนบุคคล (DPA) ฉบับนี้ และสิทธิ์ในการตรวจสอบใดๆ ที่ได้รับตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง โดยการสั่งให้ ผู้ให้บริการ ปฏิบัติตามข้อกำหนดการรายงานและการตรวจสอบความถูกต้องที่ระบุไว้ด้านล่าง ผู้ให้บริการ จะเก็บรักษาบันทึกการปฏิบัติตามข้อกำหนดการคุ้มครองข้อมูลส่วนบุคคล (DPA) ฉบับนี้ไว้เป็นเวลา 3 ปีหลังจาก DPA สิ้นสุดลง

2. รายงานความปลอดภัย

ลูกค้า รับทราบว่า ผู้ให้บริการ ได้รับการตรวจสอบตามมาตรฐานที่กำหนดไว้ใน นโยบายความปลอดภัย อย่างสม่ำเสมอโดยผู้ตรวจสอบอิสระจากภายนอก เมื่อได้รับคำขอเป็นลายลักษณ์อักษร ผู้ให้บริการ จะมอบสำเนารายงานฉบับย่อฉบับปัจจุบันให้ ลูกค้า เป็นความลับ เพื่อให้ ลูกค้า สามารถตรวจสอบการปฏิบัติตามมาตรฐานของ ผู้ให้บริการ ที่กำหนดไว้ใน นโยบายความปลอดภัย ได้

3. การตรวจสอบความปลอดภัย

นอกเหนือจากรายงานแล้ว ผู้ให้บริการ จะตอบสนองต่อคำขอข้อมูลที่สมเหตุสมผลจาก ลูกค้า เพื่อยืนยันการปฏิบัติตาม DPA ฉบับนี้ของ ผู้ให้บริการ ซึ่งรวมถึงคำตอบสำหรับคำถามด้านความปลอดภัยของข้อมูล การตรวจสอบสถานะ และการตรวจสอบ หรือโดยการให้ข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมรักษาความปลอดภัยของข้อมูล คำขอทั้งหมดจะต้องเป็นลายลักษณ์อักษรและส่งถึง ผู้ติดต่อด้านความปลอดภัยของผู้ให้บริการ และสามารถทำได้เพียงปีละครั้งเท่านั้น

6. การประสานงานและความร่วมมือ

1. การตอบคำถาม

หาก ผู้ให้บริการ ได้รับคำถามหรือคำขอใดๆ จากบุคคลอื่นเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า ผู้ให้บริการ จะแจ้งคำขอดังกล่าวให้ ลูกค้า ทราบ และ ผู้ให้บริการ จะไม่ตอบสนองต่อคำขอดังกล่าวโดยไม่ได้รับความยินยอมจาก ลูกค้า ล่วงหน้า ตัวอย่างของการสอบถามและคำขอประเภทนี้ ได้แก่ คำสั่งของศาล หน่วยงานปกครอง หรือหน่วยงานกำกับดูแลเกี่ยวกับข้อมูลส่วนบุคคลของลูกค้า ซึ่งการแจ้ง ลูกค้า เป็นสิ่งที่กฎหมายที่เกี่ยวข้องไม่ห้าม หรือคำขอจากเจ้าของข้อมูล หากกฎหมายที่เกี่ยวข้องอนุญาต ผู้ให้บริการ จะปฏิบัติตามคำแนะนำที่สมเหตุสมผลของ ลูกค้า เกี่ยวกับคำขอเหล่านี้ รวมถึงการแจ้งข้อมูลอัปเดตสถานะและข้อมูลอื่นๆ ที่ ลูกค้า ร้องขออย่างสมเหตุสมผล หากเจ้าของข้อมูลยื่นคำขอที่ถูกต้องตามกฎหมายคุ้มครองข้อมูลที่ใช้บังคับเพื่อลบหรือยกเลิกสิทธิ์ในการให้ข้อมูลส่วนบุคคลของลูกค้าแก่ผู้ให้บริการ ผู้ให้บริการจะช่วยเหลือลูกค้าในการดำเนินการตามคำขอตามกฎหมายคุ้มครองข้อมูลที่ใช้บังคับ ผู้ให้บริการจะให้ความร่วมมือและให้ความช่วยเหลือที่เหมาะสมแก่ลูกค้า โดย ลูกค้า เป็นผู้รับผิดชอบค่าใช้จ่าย ในการดำเนินการทางกฎหมายหรือการดำเนินการตามขั้นตอนอื่นใดที่ลูกค้าดำเนินการเพื่อตอบสนองต่อคำขอของบุคคลที่สามเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของผู้ให้บริการภายใต้ DPA นี้

2. DPIA และ DTIA

หากกฎหมายคุ้มครองข้อมูลที่บังคับใช้กำหนดไว้ ผู้ให้บริการจะให้ความช่วยเหลือลูกค้าอย่างเหมาะสมในการดำเนินการประเมินผลกระทบต่อการคุ้มครองข้อมูลตามคำสั่งหรือการประเมินผลกระทบต่อการถ่ายโอนข้อมูล และปรึกษาหารือกับหน่วยงานคุ้มครองข้อมูลที่เกี่ยวข้อง โดยคำนึงถึงลักษณะของการประมวลผลและข้อมูลส่วนบุคคลของลูกค้า

7. การลบข้อมูลส่วนบุคคลของลูกค้า

1. การลบโดยลูกค้า

ผู้ให้บริการ จะให้ ลูกค้า ลบข้อมูลส่วนบุคคลของลูกค้าได้ในลักษณะที่สอดคล้องกับฟังก์ชันการทำงานของบริการ ผู้ให้บริการ จะปฏิบัติตามคำแนะนำนี้โดยเร็วที่สุดเท่าที่ทำได้ เว้นแต่ในกรณีที่กฎหมายที่บังคับใช้กำหนดให้ต้องจัดเก็บข้อมูลส่วนบุคคลของลูกค้าเพิ่มเติม

2. การลบเมื่อ DPA หมดอายุ

ก. หลังจาก DPA หมดอายุ ผู้ให้บริการ จะส่งคืนหรือลบข้อมูลส่วนบุคคลของลูกค้าตามคำสั่งของ ลูกค้า เว้นแต่กฎหมายที่เกี่ยวข้องจะกำหนดหรืออนุญาตให้จัดเก็บข้อมูลส่วนบุคคลของลูกค้าเพิ่มเติม หากการส่งคืนหรือทำลายไม่สามารถปฏิบัติได้หรือกฎหมายที่เกี่ยวข้องห้ามไว้ ผู้ให้บริการ จะใช้ความพยายามตามสมควรเพื่อป้องกันการประมวลผลข้อมูลส่วนบุคคลของลูกค้าเพิ่มเติม และจะยังคงปกป้องข้อมูลส่วนบุคคลของลูกค้าที่ยังคงอยู่ในความครอบครอง การดูแล หรือการควบคุมของตนต่อไป ตัวอย่างเช่น กฎหมายที่เกี่ยวข้องอาจกำหนดให้ ผู้ให้บริการ ต้องโฮสต์หรือประมวลผลข้อมูลส่วนบุคคลของลูกค้าต่อไป

ข. หาก ลูกค้า และ ผู้ให้บริการ ได้เข้าร่วม EEA SCCs หรือ UK Addendum เป็นส่วนหนึ่งของ DPA นี้ ผู้ให้บริการ จะให้การรับรองการลบข้อมูลส่วนบุคคลแก่ ลูกค้า ตามที่อธิบายไว้ในข้อ 8.1(d) และข้อ 8.5 ของ EEA SCCs เฉพาะเมื่อ ลูกค้า ร้องขอเท่านั้น

8. ข้อจำกัดความรับผิด

1. ข้อจำกัดความรับผิดและการสละสิทธิ์ค่าเสียหาย

ในขอบเขตสูงสุดที่อนุญาตภายใต้กฎหมายคุ้มครองข้อมูลที่ใช้บังคับ ความรับผิดสะสมทั้งหมดของแต่ละฝ่ายต่ออีกฝ่ายหนึ่งซึ่งเกิดจากหรือเกี่ยวข้องกับ DPA นี้ จะต้องเป็นไปตามการสละสิทธิ์ การยกเว้น และข้อจำกัดความรับผิดที่ระบุไว้ในข้อตกลง

ข้อเรียกร้องใดๆ ที่เกิดขึ้นกับ ผู้ให้บริการ หรือบริษัทในเครือที่เกิดจากหรือเกี่ยวข้องกับ DPA นี้ จะสามารถยื่นได้โดยนิติบุคคล ลูกค้า ที่เป็นฝ่ายใน ข้อตกลง เท่านั้น

3. ข้อยกเว้น

  1. DPA ฉบับนี้ไม่ได้จำกัดความรับผิดใดๆ ต่อบุคคลใดบุคคลหนึ่งเกี่ยวกับสิทธิ์ในการคุ้มครองข้อมูลของบุคคลนั้นภายใต้กฎหมายคุ้มครองข้อมูลที่บังคับใช้ นอกจากนี้ DPA ฉบับนี้ไม่ได้จำกัดความรับผิดใดๆ ระหว่างคู่สัญญาสำหรับการละเมิด EEA SCCs หรือ UK Addendum

9. ความขัดแย้งระหว่างเอกสาร

  1. DPA ฉบับนี้เป็นส่วนหนึ่งของข้อตกลงและเป็นส่วนเสริมของข้อตกลง หากมีข้อขัดแย้งใดๆ ระหว่าง DPA ฉบับนี้ ข้อตกลง หรือส่วนใดๆ ของข้อตกลงดังกล่าว ส่วนที่ระบุไว้ก่อนหน้านี้จะมีผลใช้บังคับเหนือส่วนที่ระบุไว้ในภายหลังสำหรับข้อขัดแย้งดังกล่าว: (1) SCC ของ EEA หรือภาคผนวกของสหราชอาณาจักร (2) DPA ฉบับนี้ และ (3) ข้อตกลง

10. ข้อกำหนดของข้อตกลง

DPA นี้จะเริ่มต้นเมื่อ ผู้ให้บริการ และ ลูกค้า ตกลงที่จะจัดทำหน้าปกสำหรับ DPA และลงนามหรือยอมรับ ข้อตกลง ทางอิเล็กทรอนิกส์ และจะดำเนินต่อไปจนกว่า ข้อตกลง จะหมดอายุหรือถูกยกเลิก อย่างไรก็ตาม ผู้ให้บริการ และ ลูกค้า จะยังคงอยู่ภายใต้ข้อผูกพันใน DPA นี้และกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง จนกว่า ลูกค้า จะหยุดถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าไปยัง ผู้ให้บริการ และ ผู้ให้บริการ หยุดประมวลผลข้อมูลส่วนบุคคลของลูกค้า

11. กฎหมายที่ใช้บังคับและศาลที่ได้รับเลือก

โดยไม่คำนึงถึงกฎหมายที่ใช้บังคับหรือข้อบัญญัติที่คล้ายคลึงกันของข้อตกลง การตีความและข้อพิพาททั้งหมดเกี่ยวกับ DPA ฉบับนี้จะอยู่ภายใต้บังคับของกฎหมายของรัฐที่ควบคุม โดยไม่คำนึงถึงบทบัญญัติว่าด้วยความขัดแย้งของกฎหมาย นอกจากนี้ และโดยไม่คำนึงถึงการเลือกศาล เขตอำนาจศาล หรือข้อบัญญัติที่คล้ายคลึงกันของข้อตกลง คู่สัญญาทั้งสองฝ่ายตกลงที่จะยื่นฟ้อง ดำเนินคดี หรือดำเนินกระบวนการทางกฎหมายใดๆ เกี่ยวกับ DPA ฉบับนี้ และแต่ละคู่สัญญายินยอมอย่างเด็ดขาดต่อเขตอำนาจศาลเฉพาะของศาลของรัฐที่ควบคุม

12. ความสัมพันธ์ผู้ให้บริการ

ภายใต้ขอบเขตที่พระราชบัญญัติคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย (California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq) ("CCPA") มีผลบังคับใช้ คู่สัญญาทั้งสองฝ่ายรับทราบและตกลงว่า ผู้ให้บริการ เป็นผู้ให้บริการและกำลังรับข้อมูลส่วนบุคคลจาก ลูกค้า เพื่อให้บริการตามที่ตกลงไว้ใน ข้อตกลง ซึ่งถือเป็นวัตถุประสงค์ทางธุรกิจ ผู้ให้บริการ จะไม่ขายข้อมูลส่วนบุคคลใดๆ ที่ ลูกค้า ให้ไว้ภายใต้ ข้อตกลง นอกจากนี้ ผู้ให้บริการ จะไม่เก็บรักษา ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใดๆ ที่ ลูกค้า ให้ไว้ภายใต้ ข้อตกลง ยกเว้นในกรณีที่จำเป็นต่อการให้บริการแก่ ลูกค้า ตามที่ระบุไว้ใน ข้อตกลง หรือตามที่กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องอนุญาต ผู้ให้บริการ รับรองว่าเข้าใจข้อจำกัดของวรรคนี้

13. คำจำกัดความ

  1. "กฎหมายที่ใช้บังคับ" หมายถึง กฎหมาย กฎ ระเบียบ คำสั่งศาล และข้อกำหนดผูกพันอื่นๆ ของหน่วยงานรัฐบาลที่เกี่ยวข้องที่ใช้บังคับหรือควบคุมฝ่ายใดฝ่ายหนึ่ง

  2. "กฎหมายคุ้มครองข้อมูลที่บังคับใช้" หมายถึง กฎหมายที่บังคับใช้ซึ่งควบคุมวิธีการที่บริการอาจประมวลผลหรือใช้ข้อมูลส่วนบุคคลของบุคคล ข้อมูลส่วนบุคคล ข้อมูลที่ระบุตัวตนส่วนบุคคล หรือคำศัพท์อื่นที่คล้ายคลึงกัน

  3. "ผู้ควบคุม" จะมีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลที่ใช้บังคับสำหรับบริษัทที่กำหนดจุดประสงค์และขอบเขตของการประมวลผลข้อมูลส่วนบุคคล

  4. "หน้าปก" หมายถึง เอกสารที่ลงนามหรือยอมรับทางอิเล็กทรอนิกส์โดยคู่สัญญาซึ่งรวมเงื่อนไขมาตรฐาน DPA เหล่านี้และระบุ ผู้ให้บริการ ลูกค้า และหัวเรื่องและรายละเอียดของการประมวลผลข้อมูล

  5. "ข้อมูลส่วนบุคคลของลูกค้า" หมายถึง ข้อมูลส่วนบุคคลที่ลูกค้าอัปโหลดหรือให้กับผู้ให้บริการซึ่งเป็นส่วนหนึ่งของบริการและอยู่ภายใต้การควบคุมของ DPA นี้

  6. "DPA" หมายถึงข้อกำหนดมาตรฐาน DPA นี้ หน้าปกระหว่าง ผู้ให้บริการ และ ลูกค้า และนโยบายและเอกสารที่อ้างอิงในหรือแนบมากับหน้าปก

  7. "EEA SCCs" หมายถึงข้อกำหนดในสัญญาแบบมาตรฐานที่แนบมากับการตัดสินใจดำเนินการของคณะกรรมาธิการยุโรป 2021/914 ลงวันที่ 4 มิถุนายน 2021 เกี่ยวกับข้อกำหนดในสัญญาแบบมาตรฐานสำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามตามข้อบังคับ (EU) 2016/679 ของรัฐสภายุโรปและของคณะมนตรียุโรป

  8. "เขตเศรษฐกิจยุโรป" หรือ "EEA" หมายถึงรัฐสมาชิกของสหภาพยุโรป นอร์เวย์ ไอซ์แลนด์ และลิกเตนสไตน์

  9. "GDPR" หมายถึง ข้อบังคับสหภาพยุโรป 2016/679 ตามที่บังคับใช้โดยกฎหมายท้องถิ่นในประเทศสมาชิก EEA ที่เกี่ยวข้อง

  10. "ข้อมูลส่วนบุคคล" จะมีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลที่ใช้บังคับสำหรับข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคล หรือคำศัพท์อื่นที่คล้ายคลึงกัน

  11. "การประมวลผล" หรือ "กระบวนการ" จะมีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลที่ใช้บังคับสำหรับการใช้หรือการดำเนินการคอมพิวเตอร์กับข้อมูลส่วนบุคคล รวมถึงวิธีอัตโนมัติ

  12. "ผู้ประมวลผล" จะมีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลที่บังคับใช้สำหรับบริษัทที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม

  13. "รายงาน" หมายถึงรายงานการตรวจสอบที่จัดทำโดยบริษัทอื่นตามมาตรฐานที่กำหนดไว้ในนโยบายความปลอดภัยในนามของผู้ให้บริการ

  14. "การโอนข้อมูลแบบจำกัด" หมายถึง (ก) ในกรณีที่ GDPR มีผลใช้บังคับ การโอนข้อมูลส่วนบุคคลจาก EEA ไปยังประเทศนอก EEA ซึ่งไม่ได้ขึ้นอยู่กับการพิจารณาความเพียงพอของคณะกรรมาธิการยุโรป และ (ข) ในกรณีที่ GDPR ของสหราชอาณาจักรมีผลใช้บังคับ การโอนข้อมูลส่วนบุคคลจากสหราชอาณาจักรไปยังประเทศอื่นใดที่ไม่ได้ขึ้นอยู่กับกฎระเบียบความเพียงพอที่นำมาใช้ตามมาตรา 17A ของพระราชบัญญัติคุ้มครองข้อมูลของสหราชอาณาจักร พ.ศ. 2561

  15. "เหตุการณ์ด้านความปลอดภัย" หมายถึง การละเมิดข้อมูลส่วนบุคคลตามที่กำหนดไว้ในมาตรา 4 ของ GDPR

  16. "บริการ" หมายถึง ผลิตภัณฑ์และ/หรือบริการตามที่อธิบายไว้ในข้อตกลง

  17. "ข้อมูลหมวดหมู่พิเศษ" จะมีความหมายตามที่กำหนดไว้ในมาตรา 9 ของ GDPR

  18. "ผู้ประมวลผลย่อย" จะมีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลที่ใช้บังคับสำหรับบริษัทที่ให้ความช่วยเหลือผู้ประมวลผลในการประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม โดยได้รับการอนุมัติและยอมรับจากผู้ควบคุม

  19. "UK GDPR" หมายถึง ข้อบังคับสหภาพยุโรป 2016/679 ตามที่นำไปปฏิบัติโดยมาตรา 3 ของพระราชบัญญัติการถอนตัวออกจากสหภาพยุโรปของสหราชอาณาจักร พ.ศ. 2561 ในสหราชอาณาจักร

  20. "ภาคผนวกของสหราชอาณาจักร" หมายถึงภาคผนวกการถ่ายโอนข้อมูลระหว่างประเทศใน EEA SCC ที่ออกโดยคณะกรรมการข้อมูลสำหรับฝ่ายต่างๆ ที่ทำการถ่ายโอนข้อมูลแบบจำกัดภายใต้ S119A(1) พระราชบัญญัติคุ้มครองข้อมูล พ.ศ. 2561

เครดิต

เอกสารนี้เป็นอนุพันธ์ของ ข้อกำหนดมาตรฐาน DPA ของเอกสารทั่วไป (เวอร์ชัน 1.0) และได้รับอนุญาตภายใต้ CC BY 4.0