ข้อตกลงการประมวลผลข้อมูล

ภาคเรียนค่า
ข้อตกลงDPA นี้เป็นส่วนเสริมของ เงื่อนไขการให้บริการ
ผู้ประมวลผลช่วงที่ได้รับอนุมัติคลาวด์แฟลร์ (สหรัฐอเมริกา; DNS, เครือข่ายและผู้ให้บริการความปลอดภัย) วัลเตอร์ (สหรัฐอเมริกา; ผู้ให้บริการโฮสติ้ง) มหาสมุทรดิจิตอล (สหรัฐอเมริกา; ผู้ให้บริการโฮสติ้ง) ลาย (สหรัฐอเมริกา; ผู้ประมวลผลการชำระเงิน) เพย์พาล (สหรัฐอเมริกา; ผู้ประมวลผลการชำระเงิน)
ข้อมูลติดต่อด้านความปลอดภัยของผู้ให้บริการsecurity@forwardemail.net
นโยบายความปลอดภัยดู นโยบายความปลอดภัยของเราบน GitHub
รัฐที่ปกครองรัฐเดลาแวร์ สหรัฐอเมริกา

เอกสารนี้เป็นอนุพันธ์ของ Common Paper DPA Standard Terms (เวอร์ชัน 1.0) และได้ทำการเปลี่ยนแปลงดังต่อไปนี้:

  1. กฎหมายที่ใช้บังคับและศาลที่ได้รับเลือก ได้รวมไว้เป็นส่วนด้านล่างนี้ด้วย Governing State ระบุไว้ข้างต้น
  2. ความสัมพันธ์ของผู้ให้บริการ ได้รวมไว้เป็นส่วนด้านล่างแล้ว

1. ผู้ให้บริการในฐานะผู้ประมวลผล

ในสถานการณ์ที่ ลูกค้า เป็นผู้ควบคุมข้อมูลส่วนบุคคลของลูกค้า ผู้ให้บริการ จะถือว่าเป็นผู้ประมวลผลที่กำลังประมวลผลข้อมูลส่วนบุคคลในนามของ ลูกค้า.

2. ผู้ให้บริการในฐานะผู้ประมวลผลข้อมูลย่อย

ในสถานการณ์ที่ ลูกค้า เป็นผู้ประมวลผลข้อมูลส่วนบุคคลของลูกค้า ผู้ให้บริการ จะถือเป็นผู้ประมวลผลช่วงข้อมูลส่วนบุคคลของลูกค้า

1. รายละเอียดการประมวลผล

ภาคผนวก I(B) บนใบปะหน้าอธิบายถึงเนื้อหา ลักษณะ วัตถุประสงค์ และระยะเวลาของการประมวลผลนี้ เช่นเดียวกับ ประเภทของข้อมูลส่วนบุคคล รวบรวมและ หมวดหมู่ของเจ้าของข้อมูล.

2. คำแนะนำในการประมวลผล

ลูกค้า สั่งสอน ผู้ให้บริการ เพื่อประมวลผลข้อมูลส่วนบุคคลของลูกค้า: (a) เพื่อให้บริการและบำรุงรักษาบริการ; (ข) ตามที่อาจระบุเพิ่มเติมผ่าน ของลูกค้า การใช้บริการ (c) ตามที่ระบุไว้ใน ข้อตกลง- และ (d) ตามที่ระบุไว้ในคำแนะนำที่เป็นลายลักษณ์อักษรอื่น ๆ ที่กำหนดโดย ลูกค้า และรับทราบโดย ผู้ให้บริการ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าภายใต้ DPA นี้ ผู้ให้บริการ จะปฏิบัติตามคำแนะนำเหล่านี้ เว้นแต่กฎหมายที่บังคับใช้จะห้ามไม่ให้ทำเช่นนั้น ผู้ให้บริการ จะแจ้งให้ทราบทันที ลูกค้า หากไม่สามารถปฏิบัติตามคำแนะนำในการประมวลผลได้ ลูกค้า ได้ให้และจะให้คำแนะนำที่สอดคล้องกับกฎหมายที่บังคับใช้เท่านั้น

3. การประมวลผลโดยผู้ให้บริการ

ผู้ให้บริการ จะประมวลผลข้อมูลส่วนบุคคลของลูกค้าตาม DPA นี้เท่านั้น รวมถึงรายละเอียดในหน้าปก ถ้า ผู้ให้บริการ อัปเดตบริการเพื่ออัปเดตผลิตภัณฑ์ คุณสมบัติ หรือฟังก์ชันการทำงานที่มีอยู่หรือใหม่ ผู้ให้บริการ อาจจะเปลี่ยน หมวดหมู่ของเจ้าของข้อมูล, ประเภทของข้อมูลส่วนบุคคล, ข้อมูลหมวดหมู่พิเศษ, ข้อจำกัดหรือการป้องกันข้อมูลหมวดหมู่พิเศษ, ความถี่ของการโอน, ลักษณะและวัตถุประสงค์ของการประมวลผล, และ ระยะเวลาของการประมวลผล ตามความจำเป็นเพื่อสะท้อนถึงการปรับปรุงโดยการแจ้งเตือน ลูกค้า ของการอัพเดตและการเปลี่ยนแปลง

4. การประมวลผลลูกค้า

ที่ไหน ลูกค้า เป็นผู้ประมวลผลและ ผู้ให้บริการ เป็นผู้ประมวลผลย่อย ลูกค้า จะปฏิบัติตามกฎหมายที่บังคับใช้ทั้งหมดที่ใช้บังคับกับ ของลูกค้า การประมวลผลข้อมูลส่วนบุคคลของลูกค้า ของลูกค้า ข้อตกลงกับผู้ควบคุมจะต้องใช้เช่นเดียวกัน ลูกค้า เพื่อปฏิบัติตามกฎหมายที่บังคับใช้ทั้งหมดที่ใช้บังคับกับ ลูกค้า ในฐานะโปรเซสเซอร์ นอกจากนี้, ลูกค้า จะปฏิบัติตามข้อกำหนดของผู้ประมวลผลย่อยใน ของลูกค้า ข้อตกลงกับผู้ควบคุม

ลูกค้า ได้ปฏิบัติตามและจะยังคงปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้ทั้งหมดที่เกี่ยวข้องกับการให้ข้อมูลส่วนบุคคลของลูกค้าแก่ ผู้ให้บริการ และ/หรือบริการ รวมถึงการเปิดเผยข้อมูลทั้งหมด การได้รับความยินยอมทั้งหมด การให้ทางเลือกที่เพียงพอ และการดำเนินการป้องกันที่เกี่ยวข้องตามที่กำหนดภายใต้กฎหมายคุ้มครองข้อมูลที่บังคับใช้

6. ผู้ประมวลผลช่วง

ก. ผู้ให้บริการ จะไม่ให้ ถ่ายโอน หรือส่งมอบข้อมูลส่วนบุคคลของลูกค้าใดๆ ให้กับผู้ประมวลผลช่วง เว้นแต่ ลูกค้า ได้อนุมัติผู้ประมวลผลช่วงแล้ว รายการปัจจุบันของ ผู้ประมวลผลช่วงที่ได้รับอนุมัติ รวมถึงข้อมูลประจำตัวของผู้ประมวลผลย่อย ประเทศที่ตั้ง และงานการประมวลผลที่คาดการณ์ไว้ ผู้ให้บริการ จะแจ้งให้ทราบ ลูกค้า ล่วงหน้าอย่างน้อย 10 วันทำการและเป็นลายลักษณ์อักษรเกี่ยวกับการเปลี่ยนแปลงที่ตั้งใจไว้ ผู้ประมวลผลช่วงที่ได้รับอนุมัติ ไม่ว่าจะโดยการเพิ่มหรือเปลี่ยนผู้ประมวลผลย่อยซึ่งจะช่วยให้ ลูกค้า เพื่อให้มีเวลามากพอที่จะคัดค้านการเปลี่ยนแปลงก่อน ผู้ให้บริการ เริ่มใช้ตัวประมวลผลย่อยใหม่ ผู้ให้บริการ จะให้ ลูกค้า ข้อมูลที่จำเป็นในการอนุญาต ลูกค้า เพื่อใช้สิทธิคัดค้านการเปลี่ยนแปลง ผู้ประมวลผลช่วงที่ได้รับอนุมัติ. ลูกค้า มีเวลา 30 วันหลังจากแจ้งให้ทราบถึงการเปลี่ยนแปลง ผู้ประมวลผลช่วงที่ได้รับอนุมัติ คัดค้านเป็นอย่างอื่น ลูกค้า จะถือว่ายอมรับการเปลี่ยนแปลง ถ้า ลูกค้า คัดค้านการเปลี่ยนแปลงภายใน 30 วันนับจากวันที่แจ้งให้ทราบ ลูกค้า และ ผู้ให้บริการ จะร่วมมือกันแก้ไขโดยสุจริต ของลูกค้า การคัดค้านหรือข้อกังวล

ข. เมื่อติดต่อกับผู้ประมวลผลย่อย ผู้ให้บริการ จะมีข้อตกลงเป็นลายลักษณ์อักษรกับผู้ประมวลผลช่วงเพื่อให้แน่ใจว่าผู้ประมวลผลช่วงเข้าถึงและใช้ข้อมูลส่วนบุคคลของลูกค้าเท่านั้น (i) ในขอบเขตที่จำเป็นในการปฏิบัติตามภาระผูกพันที่รับเหมาช่วง และ (ii) สอดคล้องกับข้อกำหนดของ ข้อตกลง.

ค. หาก GDPR ใช้กับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า (i) ภาระหน้าที่ในการปกป้องข้อมูลที่อธิบายไว้ใน DPA นี้ (ดังที่อ้างถึงในมาตรา 28(3) ของ GDPR หากมี) จะบังคับใช้กับผู้ประมวลผลช่วงด้วย และ (ii ) ของผู้ให้บริการ ข้อตกลงกับผู้ประมวลผลช่วงจะรวมภาระผูกพันเหล่านี้ รวมถึงรายละเอียดเกี่ยวกับวิธีการ ผู้ให้บริการ และผู้ประมวลผลช่วงจะประสานงานเพื่อตอบคำถามหรือคำขอเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า นอกจากนี้, ผู้ให้บริการ จะแบ่งปันที่ ของลูกค้า ขอสำเนาข้อตกลง (รวมถึงการแก้ไขใด ๆ ) กับผู้ประมวลผลช่วง เท่าที่จำเป็นในการปกป้องความลับทางธุรกิจหรือข้อมูลที่เป็นความลับอื่น ๆ รวมถึงข้อมูลส่วนบุคคล ผู้ให้บริการ อาจแก้ไขข้อความข้อตกลงกับผู้ประมวลผลช่วงก่อนที่จะแบ่งปันสำเนา

ง. ผู้ให้บริการ ยังคงรับผิดชอบอย่างเต็มที่ต่อภาระผูกพันทั้งหมดที่รับเหมาช่วงต่อผู้ประมวลผลช่วง รวมถึงการกระทำและการละเว้นของผู้ประมวลผลช่วงในการประมวลผลข้อมูลส่วนบุคคลของลูกค้า ผู้ให้บริการ จะแจ้งให้ลูกค้าทราบถึงความล้มเหลวใดๆ โดยผู้ประมวลผลช่วงในการปฏิบัติตามภาระผูกพันที่สำคัญเกี่ยวกับข้อมูลส่วนบุคคลของลูกค้าภายใต้ข้อตกลงระหว่าง ผู้ให้บริการ และผู้ประมวลผลย่อย

1. การอนุญาต

ลูกค้า เห็นด้วยว่า ผู้ให้บริการ อาจถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าไปนอก EEA สหราชอาณาจักร หรือดินแดนทางภูมิศาสตร์อื่น ๆ ที่เกี่ยวข้องตามความจำเป็นในการให้บริการ ถ้า ผู้ให้บริการ ถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าไปยังดินแดนที่คณะกรรมาธิการยุโรปหรือหน่วยงานกำกับดูแลอื่น ๆ ที่เกี่ยวข้องไม่ได้ออกการตัดสินใจที่เพียงพอ ผู้ให้บริการ จะใช้มาตรการป้องกันที่เหมาะสมสำหรับการถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าไปยังอาณาเขตนั้นโดยสอดคล้องกับกฎหมายคุ้มครองข้อมูลที่บังคับใช้

2. การโอน Ex-EEA

ลูกค้า และ ผู้ให้บริการ ตกลงว่าหาก GDPR ปกป้องการถ่ายโอนข้อมูลส่วนบุคคลของลูกค้า การถ่ายโอนจะมาจาก ลูกค้า จากภายใน EEA ถึง ผู้ให้บริการ ภายนอก EEA และการโอนไม่อยู่ภายใต้การตัดสินใจที่เพียงพอของคณะกรรมาธิการยุโรป จากนั้นโดยการลงนามใน DPA นี้ ลูกค้า และ ผู้ให้บริการ จะถือว่าได้ลงนามใน EEA SCC และภาคผนวก ซึ่งรวมเข้าไว้โดยการอ้างอิง การโอนใดๆ ดังกล่าวจะดำเนินการตาม EEA SCCs ซึ่งเสร็จสิ้นดังต่อไปนี้:

ก. โมดูลที่สอง (ตัวควบคุมถึงตัวประมวลผล) ของ EEA SCC จะมีผลเมื่อใด ลูกค้า เป็นผู้ควบคุมและ ผู้ให้บริการ กำลังประมวลผลข้อมูลส่วนบุคคลของลูกค้าเพื่อ ลูกค้า ในฐานะโปรเซสเซอร์

ข. โมดูลที่สาม (ตัวประมวลผลถึงตัวประมวลผลย่อย) ของ EEA SCC จะมีผลเมื่อใด ลูกค้า เป็นผู้ประมวลผลและ ผู้ให้บริการ กำลังประมวลผลข้อมูลส่วนบุคคลของลูกค้าในนามของ ลูกค้า ในฐานะผู้ประมวลผลย่อย

ค. สำหรับแต่ละโมดูล จะมีการใช้สิ่งต่อไปนี้ (เมื่อมี):

  1. ส่วนคำสั่งเชื่อมต่อเสริมในข้อ 7 ใช้ไม่ได้

  2. ในข้อ 9 จะใช้ตัวเลือก 2 (การอนุญาตเป็นลายลักษณ์อักษรทั่วไป) และระยะเวลาขั้นต่ำสำหรับการแจ้งล่วงหน้าเกี่ยวกับการเปลี่ยนแปลงผู้ประมวลผลช่วงคือ 10 วันทำการ

  3. ในข้อ 11 ภาษาที่เป็นทางเลือกจะไม่ใช้บังคับ

  4. วงเล็บเหลี่ยมทั้งหมดในข้อ 13 จะถูกลบออก

  5. ในข้อ 17 (ตัวเลือกที่ 1) EEA SCC จะถูกควบคุมโดยกฎหมายของ รัฐสมาชิกที่ปกครอง;

  6. ในข้อ 18(b) ข้อพิพาทจะได้รับการแก้ไขในศาลของ รัฐสมาชิกที่ปกครอง- และ

  7. หน้าปกของ DPA นี้ประกอบด้วยข้อมูลที่จำเป็นในภาคผนวก I, ภาคผนวก II และภาคผนวก III ของ EEA SCC

3. การโอนย้ายจากสหราชอาณาจักร

ลูกค้า และ ผู้ให้บริการ ยอมรับว่าหาก GDPR ของสหราชอาณาจักรปกป้องการถ่ายโอนข้อมูลส่วนบุคคลของลูกค้า การถ่ายโอนจะมาจาก ลูกค้า จากภายในสหราชอาณาจักรถึง ผู้ให้บริการ ภายนอกสหราชอาณาจักร และการโอนไม่อยู่ภายใต้การตัดสินใจที่เพียงพอของเลขาธิการแห่งรัฐของสหราชอาณาจักร จากนั้นโดยการลงนามใน DPA นี้ ลูกค้า และ ผู้ให้บริการ จะถือว่าได้ลงนามในภาคผนวกของสหราชอาณาจักรและภาคผนวกซึ่งรวมเข้าไว้โดยการอ้างอิง การโอนใดๆ ดังกล่าวเป็นไปตามภาคผนวกของสหราชอาณาจักร ซึ่งมีรายละเอียดครบถ้วนดังต่อไปนี้:

ก. ส่วนที่ 3.2 ของ DPA นี้มีข้อมูลที่จำเป็นในตารางที่ 2 ของภาคผนวกของสหราชอาณาจักร

ข. ตารางที่ 4 ของภาคผนวกของสหราชอาณาจักรได้รับการแก้ไขดังต่อไปนี้: ทั้งสองฝ่ายไม่สามารถยุติภาคผนวกของสหราชอาณาจักรตามที่กำหนดไว้ในมาตรา 19 ของภาคผนวกของสหราชอาณาจักร; ในขอบเขตที่ ICO ออกภาคผนวกที่ได้รับอนุมัติที่แก้ไขแล้วภายใต้มาตรา 18 ของภาคผนวกของสหราชอาณาจักร คู่สัญญาทั้งสองฝ่ายจะทำงานโดยสุจริตเพื่อแก้ไข DPA นี้ตามนั้น

ค. หน้าปกประกอบด้วยข้อมูลที่กำหนดโดยภาคผนวก 1A, ภาคผนวก 1B, ภาคผนวก II และภาคผนวก III ของภาคผนวกของสหราชอาณาจักร

4. การโอนระหว่างประเทศอื่น ๆ

สำหรับการถ่ายโอนข้อมูลส่วนบุคคลที่กฎหมายสวิส (และไม่ใช่กฎหมายในประเทศสมาชิก EEA หรือสหราชอาณาจักร) นำไปใช้กับลักษณะการถ่ายโอนระหว่างประเทศ การอ้างอิงถึง GDPR ในข้อ 4 ของ EEA SCCs นั้นเป็นไปตามขอบเขตที่กฎหมายกำหนด แก้ไขเพื่ออ้างถึงพระราชบัญญัติคุ้มครองข้อมูลของรัฐบาลกลางสวิสหรือผู้สืบทอดแทน และแนวคิดของหน่วยงานกำกับดูแลจะรวมถึงคณะกรรมาธิการการคุ้มครองข้อมูลและข้อมูลของรัฐบาลกลางสวิส

  1. เมื่อทราบถึงเหตุการณ์ด้านความปลอดภัยใดๆ ผู้ให้บริการ จะ: (ก) แจ้งให้ทราบ ลูกค้า โดยไม่ล่าช้าเกินควรเมื่อเป็นไปได้ แต่ไม่เกิน 72 ชั่วโมงหลังจากทราบเหตุการณ์ด้านความปลอดภัย (b) ให้ข้อมูลทันเวลาเกี่ยวกับเหตุการณ์ด้านความปลอดภัยตามที่ทราบหรือได้รับการร้องขอตามสมควร ลูกค้า- และ (c) ดำเนินการตามขั้นตอนที่เหมาะสมทันทีเพื่อกักกันและตรวจสอบเหตุการณ์ด้านความปลอดภัย ของผู้ให้บริการ การแจ้งหรือการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยตามที่กำหนดโดย DPA นี้จะไม่ถูกตีความว่าเป็นการรับทราบโดย ผู้ให้บริการ ของความผิดหรือความรับผิดใด ๆ สำหรับเหตุการณ์การรักษาความปลอดภัย

1. สิทธิในการตรวจสอบ

ผู้ให้บริการ จะให้ ลูกค้า ข้อมูลทั้งหมดที่จำเป็นตามสมควรเพื่อแสดงให้เห็นถึงการปฏิบัติตาม DPA นี้และ ผู้ให้บริการ จะอนุญาตและมีส่วนร่วมในการตรวจสอบรวมถึงการตรวจสอบโดย ลูกค้า, ในการประเมิน ของผู้ให้บริการ การปฏิบัติตาม DPA นี้ อย่างไรก็ตาม, ผู้ให้บริการ อาจจำกัดการเข้าถึงข้อมูลหรือข่าวสารหาก ของลูกค้า การเข้าถึงข้อมูลจะส่งผลเสีย ของผู้ให้บริการ สิทธิ์ในทรัพย์สินทางปัญญา ภาระผูกพันในการรักษาความลับ หรือภาระผูกพันอื่น ๆ ภายใต้กฎหมายที่บังคับใช้ ลูกค้า รับทราบและตกลงว่าจะใช้สิทธิ์การตรวจสอบภายใต้ DPA นี้และสิทธิ์การตรวจสอบใด ๆ ที่ได้รับจากกฎหมายคุ้มครองข้อมูลที่บังคับใช้โดยคำสั่ง ผู้ให้บริการ เพื่อปฏิบัติตามข้อกำหนดการรายงานและการตรวจสอบสถานะด้านล่าง ผู้ให้บริการ จะเก็บรักษาบันทึกการปฏิบัติตาม DPA นี้เป็นเวลา 3 ปีหลังจาก DPA สิ้นสุดลง

2. รายงานความปลอดภัย

ลูกค้า ยอมรับว่า ผู้ให้บริการ มีการตรวจสอบอย่างสม่ำเสมอตามมาตรฐานที่กำหนดไว้ใน นโยบายความปลอดภัย โดยผู้ตรวจสอบอิสระบุคคลที่สาม เมื่อมีการร้องขอเป็นลายลักษณ์อักษร ผู้ให้บริการ จะให้ ลูกค้าบนพื้นฐานของความลับ สำเนาสรุปของรายงานปัจจุบันในขณะนั้น ลูกค้า สามารถตรวจสอบได้ ของผู้ให้บริการ การปฏิบัติตามมาตรฐานที่กำหนดไว้ใน นโยบายความปลอดภัย.

3. การตรวจสอบสถานะด้านความปลอดภัย

นอกเหนือจากรายงานแล้ว ผู้ให้บริการ จะตอบสนองต่อคำขอที่สมเหตุสมผลสำหรับข้อมูลที่จัดทำโดย ลูกค้า เพื่อยืนยัน ของผู้ให้บริการ การปฏิบัติตาม DPA นี้ รวมถึงการตอบสนองต่อความปลอดภัยของข้อมูล การตรวจสอบสถานะ และแบบสอบถามการตรวจสอบ หรือโดยการให้ข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมความปลอดภัยของข้อมูล คำขอดังกล่าวทั้งหมดจะต้องทำเป็นลายลักษณ์อักษรและยื่นต่อ ข้อมูลติดต่อด้านความปลอดภัยของผู้ให้บริการ และสามารถทำได้เพียงปีละครั้งเท่านั้น

1. การตอบคำถาม

ถ้า ผู้ให้บริการ ได้รับการสอบถามหรือร้องขอจากบุคคลอื่นเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า ผู้ให้บริการ จะแจ้งให้ทราบ ลูกค้า เกี่ยวกับการร้องขอและ ผู้ให้บริการ จะไม่ตอบสนองต่อการร้องขอโดยไม่ต้อง ของลูกค้า ได้รับความยินยอม. ตัวอย่างของการสอบถามและการร้องขอประเภทนี้ ได้แก่ คำสั่งของหน่วยงานตุลาการหรือฝ่ายบริหารหรือหน่วยงานกำกับดูแลเกี่ยวกับข้อมูลส่วนบุคคลของลูกค้าโดยแจ้งให้ทราบ ลูกค้า ไม่ถูกห้ามโดยกฎหมายที่บังคับใช้หรือคำขอจากเจ้าของข้อมูล หากได้รับอนุญาตตามกฎหมายที่ใช้บังคับ ผู้ให้บริการ จะตาม ของลูกค้า คำแนะนำที่สมเหตุสมผลเกี่ยวกับคำขอเหล่านี้ รวมถึงการให้ข้อมูลอัปเดตสถานะและข้อมูลอื่น ๆ ที่ร้องขอตามสมควร ลูกค้า- หากเจ้าของข้อมูลส่งคำขอที่ถูกต้องภายใต้กฎหมายคุ้มครองข้อมูลที่บังคับใช้ให้ลบหรือยกเลิก ของลูกค้า การให้ข้อมูลส่วนบุคคลของลูกค้าแก่ ผู้ให้บริการ, ผู้ให้บริการ จะช่วย ลูกค้า ในการดำเนินการตามคำขอตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้ ผู้ให้บริการ จะให้ความร่วมมือและให้ความช่วยเหลือตามสมควรแก่ ลูกค้า, ที่ ของลูกค้า ค่าใช้จ่ายในการตอบกลับทางกฎหมายหรือการดำเนินการตามขั้นตอนอื่น ๆ ที่ดำเนินการโดย ลูกค้า เพื่อตอบสนองต่อคำขอของบุคคลที่สามเกี่ยวกับ ของผู้ให้บริการ การประมวลผลข้อมูลส่วนบุคคลของลูกค้าภายใต้ DPA นี้

2. DPIA และ DTIA

หากกฎหมายคุ้มครองข้อมูลที่บังคับใช้กำหนดไว้ ผู้ให้บริการ จะช่วยตามสมควร ลูกค้า ในการดำเนินการประเมินผลกระทบการปกป้องข้อมูลที่ได้รับคำสั่งหรือการประเมินผลกระทบการถ่ายโอนข้อมูลและการปรึกษาหารือกับหน่วยงานคุ้มครองข้อมูลที่เกี่ยวข้อง โดยคำนึงถึงลักษณะของการประมวลผลและข้อมูลส่วนบุคคลของลูกค้า

1. การลบโดยลูกค้า

ผู้ให้บริการ จะเปิดใช้งาน ลูกค้า เพื่อลบข้อมูลส่วนบุคคลของลูกค้าในลักษณะที่สอดคล้องกับการทำงานของบริการ ผู้ให้บริการ จะปฏิบัติตามคำแนะนำนี้โดยเร็วที่สุดเท่าที่เป็นไปได้ เว้นแต่ในกรณีที่กฎหมายที่บังคับใช้กำหนดให้ต้องจัดเก็บข้อมูลส่วนบุคคลเพิ่มเติมเพิ่มเติม

2. การลบเมื่อ DPA หมดอายุ

ก. หลังจาก DPA หมดอายุ ผู้ให้บริการ จะกลับมาหรือลบข้อมูลส่วนบุคคลของลูกค้าที่ ของลูกค้า คำแนะนำ เว้นแต่จำเป็นต้องมีการจัดเก็บข้อมูลส่วนบุคคลของลูกค้าเพิ่มเติมหรือได้รับอนุญาตจากกฎหมายที่บังคับใช้ หากการส่งคืนหรือการทำลายเป็นไปไม่ได้หรือถูกห้ามตามกฎหมายที่บังคับใช้ ผู้ให้บริการ จะใช้ความพยายามตามสมควรเพื่อป้องกันการประมวลผลข้อมูลส่วนบุคคลของลูกค้าเพิ่มเติม และจะยังคงปกป้องข้อมูลส่วนบุคคลของลูกค้าที่เหลืออยู่ในการครอบครอง การดูแล หรือการควบคุม ตัวอย่างเช่น กฎหมายที่ใช้บังคับอาจกำหนดให้ ผู้ให้บริการ เพื่อโฮสต์หรือประมวลผลข้อมูลส่วนบุคคลของลูกค้าต่อไป

ข. ถ้า ลูกค้า และ ผู้ให้บริการ ได้เข้าสู่ EEA SCC หรือภาคผนวกของสหราชอาณาจักรโดยเป็นส่วนหนึ่งของ DPA นี้ ผู้ให้บริการ จะให้เท่านั้น ลูกค้า การรับรองการลบข้อมูลส่วนบุคคลที่อธิบายไว้ในข้อ 8.1(d) และข้อ 8.5 ของ EEA SCC หาก ลูกค้า ขออันหนึ่ง

1. การจำกัดความรับผิดและการสละสิทธิ์ค่าเสียหาย

ตามขอบเขตสูงสุดที่อนุญาตภายใต้กฎหมายคุ้มครองข้อมูลที่บังคับใช้ ความรับผิดสะสมรวมของแต่ละฝ่ายต่ออีกฝ่ายที่เกิดขึ้นจากหรือเกี่ยวข้องกับ DPA นี้จะต้องอยู่ภายใต้การสละสิทธิ์ การยกเว้น และข้อจำกัดความรับผิดที่ระบุไว้ใน ข้อตกลง.

การเรียกร้องใด ๆ ที่เกิดขึ้นกับ ผู้ให้บริการ หรือบริษัทในเครือที่เกิดจากหรือเกี่ยวข้องกับ DPA นี้สามารถนำมาได้โดยเท่านั้น ลูกค้า นิติบุคคลที่เป็นภาคีของ ข้อตกลง.

3. ข้อยกเว้น

  1. DPA นี้ไม่ได้จำกัดความรับผิดต่อบุคคลเกี่ยวกับสิทธิ์ในการปกป้องข้อมูลของแต่ละบุคคลภายใต้กฎหมายคุ้มครองข้อมูลที่บังคับใช้ นอกจากนี้ DPA นี้ยังไม่จำกัดความรับผิดใดๆ ระหว่างทั้งสองฝ่ายสำหรับการละเมิด EEA SCC หรือภาคผนวกของสหราชอาณาจักร

  1. DPA นี้เป็นส่วนหนึ่งของและเป็นส่วนเสริมของข้อตกลง หากมีความไม่สอดคล้องกันระหว่าง DPA นี้ ข้อตกลงหรือชิ้นส่วนใดๆ ของชิ้นส่วนดังกล่าว ชิ้นส่วนที่ระบุไว้ก่อนหน้านี้จะควบคุมชิ้นส่วนที่ระบุไว้ในภายหลังสำหรับความไม่สอดคล้องกันนั้น: (1) EEA SCC หรือภาคผนวกของสหราชอาณาจักร (2) DPA นี้ และ (3) ข้อตกลง.

DPA นี้จะเริ่มเมื่อใด ผู้ให้บริการ และ ลูกค้า ยอมรับใบปะหน้าสำหรับ DPA และลงนามหรือยอมรับทางอิเล็กทรอนิกส์ ข้อตกลง และจะดำเนินต่อไปจนถึง ข้อตกลง หมดอายุหรือถูกยกเลิก อย่างไรก็ตาม, ผู้ให้บริการ และ ลูกค้า แต่ละฝ่ายจะยังคงอยู่ภายใต้ภาระผูกพันใน DPA นี้และกฎหมายคุ้มครองข้อมูลที่บังคับใช้จนถึง ลูกค้า หยุดการถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าไปที่ ผู้ให้บริการ และ ผู้ให้บริการ หยุดการประมวลผลข้อมูลส่วนบุคคลของลูกค้า

แม้ว่าจะมีกฎหมายที่ใช้บังคับหรือข้อกำหนดที่คล้ายกันของ ข้อตกลงการตีความและข้อพิพาททั้งหมดเกี่ยวกับ DPA นี้จะถูกควบคุมโดยกฎหมายของ รัฐที่ปกครอง โดยไม่คำนึงถึงความขัดแย้งของบทบัญญัติกฎหมาย นอกจากนี้ และแม้ว่าจะมีการเลือกฟอรัม เขตอำนาจศาล หรือข้อกำหนดที่คล้ายกันของ ข้อตกลงคู่สัญญาตกลงที่จะฟ้องร้องดำเนินคดี ดำเนินการ หรือดำเนินการใดๆ เกี่ยวกับ DPA นี้ และแต่ละฝ่ายยอมจำนนต่อเขตอำนาจศาลแต่เพียงผู้เดียวของศาลของ รัฐที่ปกครอง.

ภายในขอบเขตของกฎหมายความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย รัฐแคลิฟอร์เนีย พลเมือง ใช้รหัส § 1798.100 et seq ("CCPA") คู่สัญญารับทราบและตกลงว่า ผู้ให้บริการ เป็นผู้ให้บริการและได้รับข้อมูลส่วนบุคคลจาก ลูกค้า เพื่อให้บริการตามที่ตกลงไว้ใน ข้อตกลงซึ่งถือเป็นวัตถุประสงค์ทางธุรกิจ ผู้ให้บริการ จะไม่ขายข้อมูลส่วนบุคคลใด ๆ ที่ได้รับจาก ลูกค้า ภายใต้ ข้อตกลง- นอกจากนี้, ผู้ให้บริการ จะไม่เก็บรักษา ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด ๆ ที่ได้รับจาก ลูกค้า ภายใต้ ข้อตกลง ยกเว้นเท่าที่จำเป็นสำหรับการให้บริการสำหรับ ลูกค้าดังที่ระบุไว้ใน ข้อตกลงหรือตามที่ได้รับอนุญาตโดยกฎหมายคุ้มครองข้อมูลที่บังคับใช้ ผู้ให้บริการ รับรองว่าเข้าใจข้อจำกัดของย่อหน้านี้

  1. “กฎหมายที่ใช้บังคับ” หมายถึงกฎหมาย กฎ ข้อบังคับ คำสั่งศาล และข้อกำหนดที่มีผลผูกพันอื่น ๆ ของหน่วยงานของรัฐที่เกี่ยวข้องซึ่งใช้กับหรือควบคุมฝ่ายใดฝ่ายหนึ่ง

  2. “กฎหมายคุ้มครองข้อมูลที่บังคับใช้” หมายถึงกฎหมายที่บังคับใช้ซึ่งควบคุมวิธีที่บริการอาจประมวลผลหรือใช้ข้อมูลส่วนบุคคลของแต่ละบุคคล ข้อมูลส่วนบุคคล ข้อมูลที่สามารถระบุตัวบุคคลได้ หรือข้อกำหนดอื่น ๆ ที่คล้ายกัน

  3. “ผู้ควบคุม” จะมีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลที่บังคับใช้สำหรับบริษัทที่กำหนดวัตถุประสงค์และขอบเขตของการประมวลผลข้อมูลส่วนบุคคล

  4. "หน้าปก" หมายถึงเอกสารที่ลงนามหรือยอมรับทางอิเล็กทรอนิกส์โดยฝ่ายที่รวมข้อกำหนดมาตรฐาน DPA เหล่านี้และระบุตัวตน ผู้ให้บริการ, ลูกค้าและเรื่องและรายละเอียดของการประมวลผลข้อมูล

  5. “ข้อมูลส่วนบุคคลของลูกค้า” หมายถึงข้อมูลส่วนบุคคลนั้น ลูกค้า อัพโหลดหรือมอบให้กับ ผู้ให้บริการ ซึ่งเป็นส่วนหนึ่งของบริการและอยู่ภายใต้การควบคุมของ DPA นี้

  6. "DPA" หมายถึงข้อกำหนดมาตรฐาน DPA เหล่านี้ ซึ่งเป็นใบปะหน้าระหว่าง ผู้ให้บริการ และ ลูกค้าและนโยบายและเอกสารอ้างอิงในหรือแนบท้ายใบปะหน้า

  7. “EEA SCC” หมายถึงข้อสัญญามาตรฐานที่แนบท้ายมติการดำเนินการของคณะกรรมาธิการยุโรป 2021/914 เมื่อวันที่ 4 มิถุนายน 2021 เกี่ยวกับข้อสัญญามาตรฐานสำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามตามข้อบังคับ (EU) 2016/679 ของรัฐสภายุโรปและคณะมนตรียุโรป .

  8. “เขตเศรษฐกิจยุโรป” หรือ "EEA" หมายถึง ประเทศสมาชิกของสหภาพยุโรป นอร์เวย์ ไอซ์แลนด์ และลิกเตนสไตน์

  9. "GDPR" หมายถึงระเบียบสหภาพยุโรป 2016/679 ตามที่บังคับใช้โดยกฎหมายท้องถิ่นในประเทศสมาชิก EEA ที่เกี่ยวข้อง

  10. "ข้อมูลส่วนบุคคล" จะมีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลที่บังคับใช้สำหรับข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคล หรือคำอื่นที่คล้ายคลึงกัน

  11. "กำลังประมวลผล" หรือ "กระบวนการ" จะมีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลที่บังคับใช้สำหรับการใช้งานหรือประสิทธิภาพการทำงานของคอมพิวเตอร์กับข้อมูลส่วนบุคคล รวมถึงโดยวิธีการอัตโนมัติ

  12. "โปรเซสเซอร์" จะมีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลที่บังคับใช้สำหรับบริษัทที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม

  13. "รายงาน" หมายถึง รายงานการตรวจสอบที่จัดทำโดยบริษัทอื่นตามมาตรฐานที่กำหนดไว้ในนโยบายความปลอดภัยในนามของผู้ให้บริการ

  14. “จำกัดการโอน” หมายถึง (ก) ในกรณีที่ GDPR มีผลบังคับใช้ การถ่ายโอนข้อมูลส่วนบุคคลจาก EEA ไปยังประเทศนอก EEA ซึ่งไม่อยู่ภายใต้การพิจารณาความเพียงพอของคณะกรรมาธิการยุโรป และ (b) ในกรณีที่ GDPR ของสหราชอาณาจักรมีผลบังคับใช้ การถ่ายโอนข้อมูลส่วนบุคคลจากสหราชอาณาจักรไปยังประเทศอื่นใดที่ไม่อยู่ภายใต้กฎระเบียบที่เพียงพอซึ่งนำมาใช้ตามมาตรา 17A ของพระราชบัญญัติคุ้มครองข้อมูลของสหราชอาณาจักรปี 2018

  15. "เหตุการณ์ความมั่นคง" หมายถึงการละเมิดข้อมูลส่วนบุคคลตามที่กำหนดไว้ในมาตรา 4 ของ GDPR

  16. "บริการ" หมายถึงผลิตภัณฑ์และ/หรือบริการที่อธิบายไว้ใน ข้อตกลง.

  17. "ข้อมูลหมวดหมู่พิเศษ" จะมีความหมายตามที่กำหนดไว้ในมาตรา 9 ของ GDPR

  18. "ผู้ประมวลผลข้อมูลย่อย" จะมีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลที่บังคับใช้สำหรับบริษัทที่ได้รับการอนุมัติและการยอมรับจากผู้ควบคุม ช่วยเหลือผู้ประมวลผลในการประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม

  19. "UK GDPR" หมายถึงระเบียบสหภาพยุโรป 2016/679 ตามที่บังคับใช้ตามมาตรา 3 ของพระราชบัญญัติสหภาพยุโรป (ถอนตัว) ของสหราชอาณาจักรปี 2018 ในสหราชอาณาจักร

  20. "ภาคผนวกของสหราชอาณาจักร" หมายถึงภาคผนวกการถ่ายโอนข้อมูลระหว่างประเทศไปยัง EEA SCC ที่ออกโดยกรรมาธิการข้อมูลสำหรับฝ่ายที่ทำการโอนแบบจำกัดภายใต้ S119A(1) Data Protection Act 2018

เอกสารนี้เป็นอนุพันธ์ของ Common Paper DPA Standard Terms (เวอร์ชัน 1.0) และได้รับอนุญาตภายใต้ CC BY 4.0.