ข้อตกลงการประมวลผลข้อมูล

Forward Email data processing agreement

คำสำคัญ

คำศัพท์ ความหมาย
ข้อตกลง DPA นี้เป็นส่วนเสริมของ ข้อกำหนดการให้บริการ
ผู้ประมวลผลรองที่ได้รับอนุมัติ Cloudflare (สหรัฐอเมริกา; ผู้ให้บริการ DNS, เครือข่าย และความปลอดภัย), DataPacket (สหรัฐอเมริกา/สหราชอาณาจักร; ผู้ให้บริการโฮสติ้ง), Digital Ocean (สหรัฐอเมริกา; ผู้ให้บริการโฮสติ้ง), GitHub (สหรัฐอเมริกา; โฮสติ้งซอร์สโค้ด, CI/CD และการจัดการโครงการ), Vultr (สหรัฐอเมริกา; ผู้ให้บริการโฮสติ้ง), Stripe (สหรัฐอเมริกา; ผู้ประมวลผลการชำระเงิน), PayPal (สหรัฐอเมริกา; ผู้ประมวลผลการชำระเงิน)
ผู้ติดต่อด้านความปลอดภัยของผู้ให้บริการ security@forwardemail.net
นโยบายความปลอดภัย ดู นโยบายความปลอดภัยของเราใน GitHub
รัฐที่ใช้บังคับ รัฐเดลาแวร์ สหรัฐอเมริกา

การเปลี่ยนแปลงในข้อตกลง

เอกสารนี้เป็นอนุพันธ์ของ Common Paper DPA Standard Terms (Version 1.0) และได้มีการเปลี่ยนแปลงดังต่อไปนี้:

  1. กฎหมายที่ใช้บังคับและศาลที่เลือก ได้ถูกรวมเป็นส่วนด้านล่างโดยมี รัฐที่ใช้บังคับ ระบุไว้ข้างต้น
  2. ความสัมพันธ์ของผู้ให้บริการ ได้ถูกรวมเป็นส่วนด้านล่าง

1. ความสัมพันธ์ระหว่างผู้ประมวลผลและผู้ประมวลผลรอง

1. ผู้ให้บริการในฐานะผู้ประมวลผล

ในสถานการณ์ที่ ลูกค้า เป็นผู้ควบคุมข้อมูลส่วนบุคคลของลูกค้า ผู้ให้บริการ จะถือเป็นผู้ประมวลผลที่ประมวลผลข้อมูลส่วนบุคคลในนามของ ลูกค้า

2. ผู้ให้บริการในฐานะผู้ประมวลผลรอง

ในสถานการณ์ที่ ลูกค้า เป็นผู้ประมวลผลข้อมูลส่วนบุคคลของลูกค้า ผู้ให้บริการ จะถือเป็นผู้ประมวลผลรองของข้อมูลส่วนบุคคลของลูกค้า

2. การประมวลผล

1. รายละเอียดการประมวลผล

ภาคผนวก I(B) บนหน้าปกอธิบายเรื่องที่เกี่ยวข้อง ลักษณะ วัตถุประสงค์ และระยะเวลาของการประมวลผลนี้ รวมถึง ประเภทของข้อมูลส่วนบุคคล ที่เก็บรวบรวมและ ประเภทของเจ้าของข้อมูล

2. คำสั่งการประมวลผล

ลูกค้า สั่งให้ ผู้ให้บริการ ประมวลผลข้อมูลส่วนบุคคลของลูกค้า: (ก) เพื่อให้บริการและบำรุงรักษาบริการ; (ข) ตามที่อาจระบุเพิ่มเติมผ่านการใช้บริการของ ลูกค้า; (ค) ตามที่ระบุไว้ใน ข้อตกลง; และ (ง) ตามที่ระบุไว้ในคำสั่งเป็นลายลักษณ์อักษรอื่นใดที่ ลูกค้า ให้และ ผู้ให้บริการ รับทราบเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าภายใต้ DPA นี้ ผู้ให้บริการ จะปฏิบัติตามคำสั่งเหล่านี้ เว้นแต่จะถูกกฎหมายที่ใช้บังคับห้ามไว้ ผู้ให้บริการ จะต้องแจ้ง ลูกค้า ทันทีหากไม่สามารถปฏิบัติตามคำสั่งการประมวลผลได้ ลูกค้า ได้ให้และจะให้คำสั่งที่สอดคล้องกับกฎหมายที่ใช้บังคับเท่านั้น

3. การประมวลผลโดยผู้ให้บริการ

ผู้ให้บริการ จะประมวลผลข้อมูลส่วนบุคคลของลูกค้าเท่านั้นตาม DPA นี้ รวมถึงรายละเอียดในหน้าปก หาก ผู้ให้บริการ ปรับปรุงบริการเพื่ออัปเดตผลิตภัณฑ์ ฟีเจอร์ หรือฟังก์ชันการทำงานที่มีอยู่หรือเพิ่มใหม่ ผู้ให้บริการ อาจเปลี่ยนแปลง ประเภทของเจ้าของข้อมูล, ประเภทของข้อมูลส่วนบุคคล, ข้อมูลประเภทพิเศษ, ข้อจำกัดหรือมาตรการป้องกันข้อมูลประเภทพิเศษ, ความถี่ในการโอนข้อมูล, ลักษณะและวัตถุประสงค์ของการประมวลผล และ ระยะเวลาการประมวลผล ตามความจำเป็นเพื่อสะท้อนการอัปเดตโดยแจ้งให้ ลูกค้า ทราบถึงการอัปเดตและการเปลี่ยนแปลง

4. การประมวลผลโดยลูกค้า

ในกรณีที่ ลูกค้า เป็นผู้ประมวลผลและ ผู้ให้บริการ เป็นผู้ประมวลผลรอง ลูกค้า จะปฏิบัติตามกฎหมายที่ใช้บังคับทั้งหมดที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าโดย ลูกค้า ข้อตกลงของ ลูกค้า กับผู้ควบคุมข้อมูลของตนจะกำหนดให้ ลูกค้า ปฏิบัติตามกฎหมายที่ใช้บังคับทั้งหมดที่เกี่ยวข้องกับ ลูกค้า ในฐานะผู้ประมวลผล นอกจากนี้ ลูกค้า จะปฏิบัติตามข้อกำหนดเกี่ยวกับผู้ประมวลผลรองในข้อตกลงของ ลูกค้า กับผู้ควบคุมข้อมูลของตน

ลูกค้า ได้ปฏิบัติตามและจะยังคงปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับทั้งหมดเกี่ยวกับการให้ข้อมูลส่วนบุคคลของลูกค้าแก่ ผู้ให้บริการ และ/หรือบริการ รวมถึงการเปิดเผยข้อมูลทั้งหมด การขอความยินยอมทั้งหมด การให้ทางเลือกที่เพียงพอ และการดำเนินมาตรการป้องกันที่เกี่ยวข้องตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับกำหนดไว้

6. Subprocessors

a. ผู้ให้บริการ จะไม่จัดหา โอน หรือส่งมอบข้อมูลส่วนบุคคลของลูกค้าให้กับผู้ประมวลผลข้อมูลย่อย เว้นแต่ ลูกค้า จะได้อนุมัติผู้ประมวลผลข้อมูลย่อยนั้น รายชื่อปัจจุบันของ ผู้ประมวลผลข้อมูลย่อยที่ได้รับอนุมัติ รวมถึงตัวตนของผู้ประมวลผลข้อมูลย่อย ประเทศที่ตั้ง และงานประมวลผลที่คาดว่าจะดำเนินการ ผู้ให้บริการ จะต้องแจ้งให้ ลูกค้า ทราบล่วงหน้าเป็นลายลักษณ์อักษรอย่างน้อย 10 วันทำการเกี่ยวกับการเปลี่ยนแปลงที่ตั้งใจจะทำกับ ผู้ประมวลผลข้อมูลย่อยที่ได้รับอนุมัติ ไม่ว่าจะเป็นการเพิ่มหรือเปลี่ยนแปลงผู้ประมวลผลข้อมูลย่อย ซึ่งจะช่วยให้ ลูกค้า มีเวลาพอเพียงในการคัดค้านการเปลี่ยนแปลงก่อนที่ ผู้ให้บริการ จะเริ่มใช้ผู้ประมวลผลข้อมูลย่อยใหม่ ผู้ให้บริการ จะให้ข้อมูลที่จำเป็นแก่ ลูกค้า เพื่อให้ ลูกค้า สามารถใช้สิทธิ์ในการคัดค้านการเปลี่ยนแปลงผู้ประมวลผลข้อมูลย่อยที่ได้รับอนุมัติได้ ลูกค้า มีเวลา 30 วันหลังจากได้รับแจ้งการเปลี่ยนแปลงผู้ประมวลผลข้อมูลย่อยที่ได้รับอนุมัติในการคัดค้าน มิฉะนั้นจะถือว่า ลูกค้า ยอมรับการเปลี่ยนแปลงนั้น หาก ลูกค้า คัดค้านการเปลี่ยนแปลงภายใน 30 วันหลังได้รับแจ้ง ลูกค้า และ ผู้ให้บริการ จะร่วมมือกันอย่างสุจริตเพื่อแก้ไขข้อคัดค้านหรือข้อกังวลของ ลูกค้า

b. เมื่อว่าจ้างผู้ประมวลผลข้อมูลย่อย ผู้ให้บริการ จะต้องมีข้อตกลงเป็นลายลักษณ์อักษรกับผู้ประมวลผลข้อมูลย่อยนั้น ซึ่งรับประกันว่าผู้ประมวลผลข้อมูลย่อยจะเข้าถึงและใช้ข้อมูลส่วนบุคคลของลูกค้า (i) เฉพาะในขอบเขตที่จำเป็นสำหรับการปฏิบัติตามภาระผูกพันที่ได้รับมอบหมาย และ (ii) สอดคล้องกับข้อกำหนดของ ข้อตกลง

c. หาก GDPR มีผลบังคับใช้กับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า (i) ภาระผูกพันด้านการคุ้มครองข้อมูลที่ระบุไว้ใน DPA นี้ (ตามที่กล่าวถึงในมาตรา 28(3) ของ GDPR หากใช้บังคับ) จะถูกบังคับใช้กับผู้ประมวลผลข้อมูลย่อยด้วย และ (ii) ข้อตกลงของ ผู้ให้บริการ กับผู้ประมวลผลข้อมูลย่อยจะรวมภาระผูกพันเหล่านี้ไว้ด้วย รวมถึงรายละเอียดเกี่ยวกับวิธีที่ ผู้ให้บริการ และผู้ประมวลผลข้อมูลย่อยจะประสานงานเพื่อตอบคำถามหรือคำขอเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า นอกจากนี้ ผู้ให้บริการ จะส่งสำเนาข้อตกลง (รวมถึงการแก้ไขใด ๆ) กับผู้ประมวลผลข้อมูลย่อยให้ ลูกค้า ตามคำขอ ในขอบเขตที่จำเป็นเพื่อปกป้องความลับทางธุรกิจหรือข้อมูลลับอื่น ๆ รวมถึงข้อมูลส่วนบุคคล ผู้ให้บริการ อาจทำการลบข้อความบางส่วนของข้อตกลงกับผู้ประมวลผลข้อมูลย่อยก่อนส่งสำเนา

d. ผู้ให้บริการ ยังคงรับผิดชอบเต็มที่ต่อภาระผูกพันทั้งหมดที่มอบหมายให้ผู้ประมวลผลข้อมูลย่อย รวมถึงการกระทำและการละเลยของผู้ประมวลผลข้อมูลย่อยในการประมวลผลข้อมูลส่วนบุคคลของลูกค้า ผู้ให้บริการ จะต้องแจ้งให้ลูกค้าทราบหากผู้ประมวลผลข้อมูลย่อยของตนล้มเหลวในการปฏิบัติตามภาระผูกพันที่สำคัญเกี่ยวกับข้อมูลส่วนบุคคลของลูกค้าภายใต้ข้อตกลงระหว่าง ผู้ให้บริการ กับผู้ประมวลผลข้อมูลย่อย

3. การโอนข้อมูลที่ถูกจำกัด

1. การอนุญาต

ลูกค้า ตกลงว่า ผู้ให้บริการ อาจโอนข้อมูลส่วนบุคคลของลูกค้าออกนอก EEA สหราชอาณาจักร หรือเขตภูมิศาสตร์ที่เกี่ยวข้องอื่น ๆ ตามความจำเป็นเพื่อให้บริการ หาก ผู้ให้บริการ โอนข้อมูลส่วนบุคคลของลูกค้าไปยังเขตที่คณะกรรมาธิการยุโรปหรือหน่วยงานกำกับดูแลที่เกี่ยวข้องอื่น ๆ ยังไม่ได้ออกคำตัดสินว่ามีความเพียงพอ ผู้ให้บริการ จะดำเนินมาตรการคุ้มครองที่เหมาะสมสำหรับการโอนข้อมูลส่วนบุคคลของลูกค้าไปยังเขตนั้นให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลที่ใช้บังคับ

2. การโอนข้อมูลนอก EEA

ลูกค้า และ ผู้ให้บริการ ตกลงว่าหาก GDPR คุ้มครองการโอนข้อมูลส่วนบุคคลของลูกค้า การโอนนั้นเป็นการโอนจาก ลูกค้า ภายใน EEA ไปยัง ผู้ให้บริการ นอก EEA และการโอนนั้นไม่ได้อยู่ภายใต้คำตัดสินว่ามีความเพียงพอที่ออกโดยคณะกรรมาธิการยุโรป โดยการทำ DPA นี้ ลูกค้า และ ผู้ให้บริการ ถือว่าได้ลงนามใน EEA SCCs และภาคผนวกของพวกเขา ซึ่งถูกรวมโดยการอ้างอิง การโอนดังกล่าวทั้งหมดจะดำเนินการตาม EEA SCCs ซึ่งจะถูกกรอกข้อมูลดังนี้: a. โมดูลที่สอง (ผู้ควบคุมไปยังผู้ประมวลผล) ของ EEA SCCs จะใช้เมื่อ ลูกค้า เป็นผู้ควบคุมและ ผู้ให้บริการ กำลังประมวลผลข้อมูลส่วนบุคคลของลูกค้าในฐานะผู้ประมวลผลสำหรับ ลูกค้า

b. โมดูลที่สาม (ผู้ประมวลผลไปยังผู้ประมวลผลย่อย) ของ EEA SCCs จะใช้เมื่อ ลูกค้า เป็นผู้ประมวลผลและ ผู้ให้บริการ กำลังประมวลผลข้อมูลส่วนบุคคลของลูกค้าในนามของ ลูกค้า ในฐานะผู้ประมวลผลย่อย

c. สำหรับแต่ละโมดูล จะใช้ข้อกำหนดดังต่อไปนี้ (เมื่อมีผลบังคับใช้):

  1. ข้อยกเว้นการเชื่อมต่อในข้อ 7 จะไม่ใช้;

  2. ในข้อ 9 ตัวเลือกที่ 2 (การอนุญาตเป็นลายลักษณ์อักษรทั่วไป) จะใช้ และระยะเวลาขั้นต่ำสำหรับการแจ้งล่วงหน้าการเปลี่ยนแปลงผู้ประมวลผลย่อยคือ 10 วันทำการ;

  3. ในข้อ 11 ข้อความที่เป็นทางเลือกจะไม่ใช้;

  4. เครื่องหมายวงเล็บสี่เหลี่ยมทั้งหมดในข้อ 13 จะถูกลบออก;

  5. ในข้อ 17 (ตัวเลือกที่ 1) EEA SCCs จะถูกควบคุมโดยกฎหมายของ รัฐสมาชิกผู้ควบคุม;

  6. ในข้อ 18(ข) ข้อพิพาทจะถูกแก้ไขในศาลของ รัฐสมาชิกผู้ควบคุม; และ

  7. หน้าปกของ DPA นี้มีข้อมูลที่จำเป็นตามภาคผนวก I, ภาคผนวก II และภาคผนวก III ของ EEA SCCs

3. การโอนข้อมูลนอกสหราชอาณาจักร

ลูกค้า และ ผู้ให้บริการ ตกลงว่าหาก UK GDPR คุ้มครองการโอนข้อมูลส่วนบุคคลของลูกค้า การโอนนั้นเป็นการโอนจาก ลูกค้า ภายในสหราชอาณาจักรไปยัง ผู้ให้บริการ ภายนอกสหราชอาณาจักร และการโอนไม่ได้รับการควบคุมโดยคำตัดสินความเพียงพอที่ออกโดยรัฐมนตรีว่าการกระทรวงของสหราชอาณาจักร จากนั้นโดยการทำข้อตกลงนี้ ลูกค้า และ ผู้ให้บริการ ถือว่ามีการลงนามในภาคผนวก UK Addendum และภาคผนวกของพวกเขา ซึ่งถูกรวมโดยการอ้างอิง การโอนดังกล่าวใด ๆ จะดำเนินการตาม UK Addendum ซึ่งจะดำเนินการดังนี้:

a. ส่วนที่ 3.2 ของ DPA นี้มีข้อมูลที่จำเป็นตามตารางที่ 2 ของ UK Addendum

b. ตารางที่ 4 ของ UK Addendum ถูกแก้ไขดังนี้: ไม่มีฝ่ายใดฝ่ายหนึ่งสามารถยกเลิก UK Addendum ตามที่ระบุในส่วนที่ 19 ของ UK Addendum; ในกรณีที่ ICO ออกภาคผนวกที่ได้รับการอนุมัติฉบับแก้ไขภายใต้ส่วนที่ 18 ของ UK Addendum ฝ่ายต่าง ๆ จะทำงานด้วยความสุจริตใจเพื่อแก้ไข DPA นี้ตามนั้น

c. หน้าปกมีข้อมูลที่จำเป็นตามภาคผนวก 1A, ภาคผนวก 1B, ภาคผนวก II และภาคผนวก III ของ UK Addendum

4. การโอนข้อมูลระหว่างประเทศอื่น ๆ

สำหรับการโอนข้อมูลส่วนบุคคลที่กฎหมายสวิส (ไม่ใช่กฎหมายของรัฐสมาชิก EEA หรือสหราชอาณาจักร) ใช้บังคับกับลักษณะระหว่างประเทศของการโอน การอ้างอิงถึง GDPR ในข้อ 4 ของ EEA SCCs จะถูกแก้ไขตามที่กฎหมายกำหนดให้ใช้แทนด้วยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของสหพันธรัฐสวิสหรือกฎหมายทดแทน และแนวคิดของหน่วยงานกำกับดูแลจะรวมถึงผู้ตรวจสอบข้อมูลส่วนบุคคลและข้อมูลของสหพันธรัฐสวิสด้วย

4. การตอบสนองต่อเหตุการณ์ด้านความปลอดภัย

  1. เมื่อทราบเหตุการณ์ด้านความปลอดภัยใด ๆ ผู้ให้บริการ จะ: (ก) แจ้ง ลูกค้า โดยไม่ล่าช้าเกินควรเมื่อเป็นไปได้ แต่ไม่เกิน 72 ชั่วโมงหลังจากทราบเหตุการณ์ด้านความปลอดภัย; (ข) ให้ข้อมูลเกี่ยวกับเหตุการณ์ด้านความปลอดภัยอย่างทันท่วงทีเมื่อทราบหรือเมื่อได้รับคำขออย่างสมเหตุสมผลจาก ลูกค้า; และ (ค) ดำเนินการอย่างรวดเร็วเพื่อดำเนินการขั้นตอนที่สมเหตุสมผลในการควบคุมและสอบสวนเหตุการณ์ด้านความปลอดภัย การแจ้งหรือการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของ ผู้ให้บริการ ตามที่กำหนดใน DPA นี้จะไม่ถูกตีความว่าเป็นการยอมรับความผิดหรือความรับผิดชอบใด ๆ ของ ผู้ให้บริการ ต่อเหตุการณ์ด้านความปลอดภัย

5. การตรวจสอบและรายงาน

1. สิทธิ์ในการตรวจสอบ

ผู้ให้บริการ จะให้ข้อมูลทั้งหมดที่จำเป็นอย่างสมเหตุสมผลแก่ ลูกค้า เพื่อแสดงให้เห็นถึงการปฏิบัติตาม DPA นี้ และ ผู้ให้บริการ จะอนุญาตและสนับสนุนการตรวจสอบ รวมถึงการตรวจสอบโดย ลูกค้า เพื่อประเมินการปฏิบัติตาม DPA นี้ของ ผู้ให้บริการ อย่างไรก็ตาม ผู้ให้บริการ อาจจำกัดการเข้าถึงข้อมูลหรือข้อมูลหากการเข้าถึงข้อมูลของ ลูกค้า จะส่งผลกระทบในทางลบต่อสิทธิ์ในทรัพย์สินทางปัญญา ข้อผูกพันด้านความลับ หรือข้อผูกพันอื่น ๆ ภายใต้กฎหมายที่ใช้บังคับ ลูกค้า รับทราบและตกลงว่าจะใช้สิทธิ์ในการตรวจสอบภายใต้ DPA นี้และสิทธิ์ในการตรวจสอบใด ๆ ที่ได้รับตามกฎหมายคุ้มครองข้อมูลที่ใช้บังคับโดยการสั่งให้ ผู้ให้บริการ ปฏิบัติตามข้อกำหนดการรายงานและการตรวจสอบที่เหมาะสมด้านล่าง ผู้ให้บริการ จะเก็บบันทึกการปฏิบัติตาม DPA นี้เป็นเวลา 3 ปีหลังจาก DPA สิ้นสุดลง

2. รายงานความปลอดภัย

ลูกค้า รับทราบว่า ผู้ให้บริการ ได้รับการตรวจสอบอย่างสม่ำเสมอตามมาตรฐานที่กำหนดไว้ใน นโยบายความปลอดภัย โดยผู้ตรวจสอบอิสระจากภายนอก เมื่อมีคำขอเป็นลายลักษณ์อักษร ผู้ให้บริการ จะมอบสำเนาสรุปของรายงานปัจจุบันให้กับ ลูกค้า ในลักษณะที่เป็นความลับ เพื่อให้ ลูกค้า สามารถตรวจสอบการปฏิบัติตามมาตรฐานที่กำหนดไว้ใน นโยบายความปลอดภัย ของ ผู้ให้บริการ ได้

3. การตรวจสอบความปลอดภัยอย่างรอบคอบ

นอกเหนือจากรายงานแล้ว ผู้ให้บริการ จะตอบสนองต่อคำขอข้อมูลที่สมเหตุสมผลซึ่งทำโดย ลูกค้า เพื่อยืนยันการปฏิบัติตาม DPA ของ ผู้ให้บริการ รวมถึงการตอบแบบสอบถามเกี่ยวกับความปลอดภัยของข้อมูล การตรวจสอบอย่างรอบคอบ และการตรวจสอบ หรือโดยการให้ข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมความปลอดภัยของข้อมูลของตน คำขอทั้งหมดดังกล่าวต้องเป็นลายลักษณ์อักษรและส่งไปยัง ผู้ติดต่อด้านความปลอดภัยของผู้ให้บริการ และสามารถทำได้เพียงปีละครั้งเท่านั้น

6. การประสานงานและความร่วมมือ

1. การตอบสนองต่อคำถาม

หาก ผู้ให้บริการ ได้รับคำถามหรือคำขอใด ๆ จากบุคคลอื่นเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า ผู้ให้บริการ จะต้องแจ้งให้ ลูกค้า ทราบเกี่ยวกับคำขอดังกล่าว และ ผู้ให้บริการ จะไม่ตอบสนองต่อคำขอนั้นโดยไม่ได้รับความยินยอมล่วงหน้าจาก ลูกค้า ตัวอย่างของคำถามและคำขอดังกล่าว ได้แก่ คำสั่งจากศาล หน่วยงานบริหาร หรือหน่วยงานกำกับดูแลเกี่ยวกับข้อมูลส่วนบุคคลของลูกค้า ซึ่งการแจ้งให้ ลูกค้า ทราบไม่ถูกห้ามโดยกฎหมายที่ใช้บังคับ หรือคำขอจากเจ้าของข้อมูล หากกฎหมายที่ใช้บังคับอนุญาต ผู้ให้บริการ จะปฏิบัติตามคำแนะนำที่สมเหตุสมผลของ ลูกค้า เกี่ยวกับคำขอเหล่านี้ รวมถึงการให้ข้อมูลสถานะและข้อมูลอื่น ๆ ที่ ลูกค้า ขออย่างสมเหตุสมผล หากเจ้าของข้อมูลทำคำขอที่ถูกต้องตามกฎหมายคุ้มครองข้อมูลที่ใช้บังคับเพื่อขอลบหรือเลือกไม่รับการให้ข้อมูลส่วนบุคคลของลูกค้าแก่ ผู้ให้บริการ ผู้ให้บริการ จะช่วยเหลือ ลูกค้า ในการดำเนินการตามคำขอดังกล่าวตามกฎหมายคุ้มครองข้อมูลที่ใช้บังคับ ผู้ให้บริการ จะให้ความร่วมมือและให้ความช่วยเหลืออย่างสมเหตุสมผลแก่ ลูกค้า โดยค่าใช้จ่ายของ ลูกค้า ในการตอบสนองทางกฎหมายหรือการดำเนินการตามกระบวนการอื่นใดที่ ลูกค้า ดำเนินการเพื่อตอบสนองต่อคำขอจากบุคคลที่สามเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าโดย ผู้ให้บริการ ภายใต้ DPA นี้

2. DPIAs และ DTIAs

หากกฎหมายคุ้มครองข้อมูลที่ใช้บังคับกำหนด ผู้ให้บริการ จะช่วยเหลือ ลูกค้า อย่างสมเหตุสมผลในการดำเนินการประเมินผลกระทบด้านการคุ้มครองข้อมูลหรือการประเมินผลกระทบด้านการโอนข้อมูลที่ได้รับมอบหมายและการปรึกษาหารือกับหน่วยงานคุ้มครองข้อมูลที่เกี่ยวข้อง โดยพิจารณาถึงลักษณะของการประมวลผลและข้อมูลส่วนบุคคลของลูกค้า

7. การลบข้อมูลส่วนบุคคลของลูกค้า

1. การลบโดยลูกค้า

ผู้ให้บริการ จะเปิดโอกาสให้ ลูกค้า ลบข้อมูลส่วนบุคคลของลูกค้าในลักษณะที่สอดคล้องกับฟังก์ชันของบริการ ผู้ให้บริการ จะปฏิบัติตามคำสั่งนี้โดยเร็วที่สุดเท่าที่จะทำได้ ยกเว้นในกรณีที่กฎหมายที่ใช้บังคับกำหนดให้ต้องเก็บข้อมูลส่วนบุคคลของลูกค้าต่อไป

2. การลบเมื่อ DPA หมดอายุ

a. หลังจาก DPA หมดอายุ ผู้ให้บริการ จะคืนหรือทำลายข้อมูลส่วนบุคคลของลูกค้าตามคำสั่งของ ลูกค้า เว้นแต่กฎหมายที่ใช้บังคับจะกำหนดหรืออนุญาตให้เก็บข้อมูลส่วนบุคคลของลูกค้าต่อไป หากการคืนหรือทำลายเป็นไปไม่ได้หรือถูกห้ามโดยกฎหมายที่ใช้บังคับ ผู้ให้บริการ จะพยายามอย่างสมเหตุสมผลเพื่อป้องกันการประมวลผลข้อมูลส่วนบุคคลของลูกค้าเพิ่มเติม และจะยังคงปกป้องข้อมูลส่วนบุคคลของลูกค้าที่ยังคงอยู่ในความครอบครอง การดูแล หรือการควบคุมของตน ตัวอย่างเช่น กฎหมายที่ใช้บังคับอาจกำหนดให้ ผู้ให้บริการ ต้องดำเนินการโฮสต์หรือประมวลผลข้อมูลส่วนบุคคลของลูกค้าต่อไปได้ b. หาก ลูกค้า และ ผู้ให้บริการ ได้รวม EEA SCCs หรือ UK Addendum เป็นส่วนหนึ่งของ DPA นี้ ผู้ให้บริการ จะให้ใบรับรองการลบข้อมูลส่วนบุคคลตามที่ระบุในข้อ 8.1(d) และข้อ 8.5 ของ EEA SCCs แก่ ลูกค้า ก็ต่อเมื่อ ลูกค้า ขอเท่านั้น

8. ข้อจำกัดความรับผิด

1. ขีดจำกัดความรับผิดและการสละสิทธิ์ค่าเสียหาย

ในขอบเขตสูงสุดที่กฎหมายคุ้มครองข้อมูลที่ใช้บังคับอนุญาต แต่ละฝ่ายจะมีความรับผิดสะสมรวมทั้งหมดต่ออีกฝ่ายหนึ่งที่เกิดขึ้นจากหรือเกี่ยวข้องกับ DPA นี้ ภายใต้การสละสิทธิ์ การยกเว้น และข้อจำกัดความรับผิดที่ระบุไว้ใน ข้อตกลง

การเรียกร้องใด ๆ ที่ทำต่อ ผู้ให้บริการ หรือบริษัทในเครือที่เกี่ยวข้องซึ่งเกิดขึ้นจากหรือเกี่ยวข้องกับ DPA นี้ สามารถดำเนินการได้โดยเฉพาะกับนิติบุคคล ลูกค้า ที่เป็นคู่สัญญาของ ข้อตกลง เท่านั้น

3. ข้อยกเว้น

  1. DPA นี้ไม่จำกัดความรับผิดใด ๆ ต่อบุคคลเกี่ยวกับสิทธิ์การคุ้มครองข้อมูลของบุคคลนั้นภายใต้กฎหมายคุ้มครองข้อมูลที่ใช้บังคับ นอกจากนี้ DPA นี้ไม่จำกัดความรับผิดใด ๆ ระหว่างคู่สัญญาสำหรับการละเมิด EEA SCCs หรือ UK Addendum

9. ความขัดแย้งระหว่างเอกสาร

  1. DPA นี้เป็นส่วนหนึ่งและเสริมของข้อตกลง หากมีความไม่สอดคล้องกันระหว่าง DPA นี้, ข้อตกลง หรือส่วนใดส่วนหนึ่งของพวกเขา ส่วนที่ระบุไว้ก่อนจะมีอำนาจเหนือส่วนที่ระบุไว้หลังสำหรับความไม่สอดคล้องนั้น: (1) EEA SCCs หรือ UK Addendum, (2) DPA นี้, และ (3) ข้อตกลง

10. ระยะเวลาของข้อตกลง

DPA นี้จะเริ่มต้นเมื่อ ผู้ให้บริการ และ ลูกค้า ตกลงในหน้าปกของ DPA และลงนามหรือยอมรับ ข้อตกลง ทางอิเล็กทรอนิกส์ และจะดำเนินต่อไปจนกว่า ข้อตกลง จะหมดอายุหรือถูกยกเลิก อย่างไรก็ตาม ผู้ให้บริการ และ ลูกค้า จะยังคงอยู่ภายใต้ข้อผูกพันใน DPA นี้และกฎหมายคุ้มครองข้อมูลที่ใช้บังคับจนกว่า ลูกค้า จะหยุดโอนข้อมูลส่วนบุคคลของลูกค้าไปยัง ผู้ให้บริการ และ ผู้ให้บริการ หยุดการประมวลผลข้อมูลส่วนบุคคลของลูกค้า

11. กฎหมายที่ใช้บังคับและศาลที่เลือก

ไม่ว่าข้อกำหนดเกี่ยวกับกฎหมายที่ใช้บังคับหรือข้อกำหนดที่คล้ายกันใน ข้อตกลง จะเป็นอย่างไร การตีความและข้อพิพาททั้งหมดเกี่ยวกับ DPA นี้จะอยู่ภายใต้กฎหมายของ รัฐที่ใช้บังคับ โดยไม่คำนึงถึงบทบัญญัติความขัดแย้งของกฎหมาย นอกจากนี้ และไม่ว่าข้อกำหนดเกี่ยวกับการเลือกสถานที่พิจารณาคดี อำนาจศาล หรือข้อกำหนดที่คล้ายกันใน ข้อตกลง จะเป็นอย่างไร คู่สัญญาตกลงที่จะนำคดี ฟ้องร้อง หรือกระบวนการทางกฎหมายใด ๆ เกี่ยวกับ DPA นี้ไปยัง และแต่ละฝ่ายยอมรับอำนาจศาลเฉพาะของศาลใน รัฐที่ใช้บังคับ อย่างไม่อาจเพิกถอนได้

12. ความสัมพันธ์ระหว่างผู้ให้บริการ

ในขอบเขตที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคแคลิฟอร์เนีย, Cal. Civ. Code § 1798.100 et seq ("CCPA") ใช้บังคับ คู่สัญญาตระหนักและตกลงว่า ผู้ให้บริการ เป็นผู้ให้บริการและได้รับข้อมูลส่วนบุคคลจาก ลูกค้า เพื่อให้บริการตามที่ตกลงใน ข้อตกลง ซึ่งถือเป็นวัตถุประสงค์ทางธุรกิจ ผู้ให้บริการ จะไม่ขายข้อมูลส่วนบุคคลใด ๆ ที่ได้รับจาก ลูกค้า ภายใต้ ข้อตกลง นอกจากนี้ ผู้ให้บริการ จะไม่เก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด ๆ ที่ได้รับจาก ลูกค้า ภายใต้ ข้อตกลง นอกจากจะจำเป็นสำหรับการให้บริการแก่ ลูกค้า ตามที่ระบุใน ข้อตกลง หรือได้รับอนุญาตตามกฎหมายคุ้มครองข้อมูลที่ใช้บังคับ ผู้ให้บริการ รับรองว่าเข้าใจข้อจำกัดของย่อหน้านี้แล้ว

13. คำจำกัดความ

  1. "กฎหมายที่ใช้บังคับ" หมายถึง กฎหมาย กฎ ระเบียบ คำสั่งศาล และข้อกำหนดที่มีผลผูกพันอื่น ๆ ของหน่วยงานรัฐบาลที่เกี่ยวข้องซึ่งใช้บังคับหรือควบคุมฝ่ายใดฝ่ายหนึ่ง

  2. "กฎหมายคุ้มครองข้อมูลที่ใช้บังคับ" หมายถึง กฎหมายที่ใช้บังคับซึ่งควบคุมวิธีที่บริการอาจประมวลผลหรือใช้ข้อมูลส่วนบุคคล ข้อมูลส่วนตัว ข้อมูลที่ระบุตัวบุคคลได้ หรือคำที่มีความหมายคล้ายกัน

  3. "ผู้ควบคุม" จะมีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลที่ใช้บังคับสำหรับบริษัทที่กำหนดวัตถุประสงค์และขอบเขตของการประมวลผลข้อมูลส่วนบุคคล

  4. "หน้าปก" หมายถึง เอกสารที่ลงนามหรือยอมรับทางอิเล็กทรอนิกส์โดยฝ่ายต่าง ๆ ซึ่งรวมข้อกำหนดมาตรฐาน DPA เหล่านี้และระบุ ผู้ให้บริการ, ลูกค้า และหัวข้อรวมถึงรายละเอียดของการประมวลผลข้อมูล

  5. "ข้อมูลส่วนบุคคลของลูกค้า" หมายถึง ข้อมูลส่วนบุคคลที่ ลูกค้า อัปโหลดหรือให้แก่ ผู้ให้บริการ เป็นส่วนหนึ่งของบริการและอยู่ภายใต้การควบคุมของ DPA นี้

  6. "DPA" หมายถึง ข้อกำหนดมาตรฐาน DPA เหล่านี้ หน้าปกระหว่าง ผู้ให้บริการ และ ลูกค้า และนโยบายและเอกสารที่อ้างอิงหรือแนบมากับหน้าปก

  7. "EEA SCCs" หมายถึง ข้อกำหนดสัญญามาตรฐานที่แนบท้ายคำสั่งดำเนินการของคณะกรรมาธิการยุโรป 2021/914 ลงวันที่ 4 มิถุนายน 2021 เกี่ยวกับข้อกำหนดสัญญามาตรฐานสำหรับการโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามตามระเบียบ (EU) 2016/679 ของรัฐสภายุโรปและสภายุโรป

  8. "เขตเศรษฐกิจยุโรป" หรือ "EEA" หมายถึง รัฐสมาชิกของสหภาพยุโรป นอร์เวย์ ไอซ์แลนด์ และลิกเตนสไตน์

  9. "GDPR" หมายถึง ระเบียบสหภาพยุโรป 2016/679 ที่ดำเนินการโดยกฎหมายท้องถิ่นในประเทศสมาชิก EEA ที่เกี่ยวข้อง

  10. "ข้อมูลส่วนบุคคล" จะมีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลที่ใช้บังคับสำหรับข้อมูลส่วนบุคคล ข้อมูลส่วนตัว หรือคำที่มีความหมายคล้ายกัน

  11. "การประมวลผล" หรือ "ประมวลผล" จะมีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลที่ใช้บังคับสำหรับการใช้หรือการดำเนินการคอมพิวเตอร์ใด ๆ กับข้อมูลส่วนบุคคล รวมถึงโดยวิธีอัตโนมัติ

  12. "ผู้ประมวลผล" จะมีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลที่ใช้บังคับสำหรับบริษัทที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม

  13. "รายงาน" หมายถึง รายงานการตรวจสอบที่จัดทำโดยบริษัทอื่นตามมาตรฐานที่กำหนดในนโยบายความปลอดภัยในนามของผู้ให้บริการ

  14. "การโอนข้อมูลที่จำกัด" หมายถึง (a) เมื่อ GDPR ใช้บังคับ การโอนข้อมูลส่วนบุคคลจาก EEA ไปยังประเทศนอก EEA ที่ไม่ได้อยู่ภายใต้การประเมินความเพียงพอโดยคณะกรรมาธิการยุโรป; และ (b) เมื่อ UK GDPR ใช้บังคับ การโอนข้อมูลส่วนบุคคลจากสหราชอาณาจักรไปยังประเทศอื่นใดที่ไม่ได้อยู่ภายใต้ข้อบังคับความเพียงพอที่นำมาใช้ตามมาตรา 17A ของพระราชบัญญัติคุ้มครองข้อมูลของสหราชอาณาจักรปี 2018

  15. "เหตุการณ์ด้านความปลอดภัย" หมายถึง การละเมิดข้อมูลส่วนบุคคลตามที่กำหนดไว้ในมาตรา 4 ของ GDPR

  16. "บริการ" หมายถึง ผลิตภัณฑ์และ/หรือบริการที่อธิบายไว้ใน ข้อตกลง

  17. "ข้อมูลประเภทพิเศษ" จะมีความหมายตามที่กำหนดไว้ในมาตรา 9 ของ GDPR

  18. "ผู้ประมวลผลรอง" จะมีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลที่ใช้บังคับสำหรับบริษัทที่ได้รับการอนุมัติและยอมรับจากผู้ควบคุม เพื่อช่วยเหลือผู้ประมวลผลในการประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม

  19. "UK GDPR" หมายถึง ระเบียบสหภาพยุโรป 2016/679 ที่ดำเนินการโดยมาตรา 3 ของพระราชบัญญัติถอนตัวจากสหภาพยุโรปของสหราชอาณาจักรปี 2018 ในสหราชอาณาจักร

  20. "ภาคผนวก UK" หมายถึง ภาคผนวกการโอนข้อมูลระหว่างประเทศต่อ EEA SCCs ที่ออกโดยผู้ควบคุมข้อมูลสำหรับฝ่ายที่ทำการโอนข้อมูลที่จำกัดภายใต้ S119A(1) ของพระราชบัญญัติคุ้มครองข้อมูลปี 2018

เครดิต

เอกสารนี้เป็นเอกสารที่ดัดแปลงมาจาก Common Paper DPA Standard Terms (Version 1.0) และได้รับอนุญาตภายใต้ CC BY 4.0.