GoDaddy

บทต่อท้ายสำหรับการดำเนินการกับข้อมูล (ลูกค้า)

ปรับปรุงล่าสุด: 27/9/2021

บทต่อท้ายการประมวลผลข้อมูล (“บทต่อท้าย” นี้) ได้รับการดำเนินการโดยและระหว่าง GoDaddy.com, LLC, a Delaware limited liability company รวมถึงบริษัทในเครือ (“GoDaddy”) กับคุณ (“ลูกค้า”) และที่ได้เพิ่มไว้ รวมถึงข้อมูลเสริมสำหรับเงื่อนไขการให้บริการสากล นโยบายความเป็นส่วนตัวและข้อตกลงใดๆ และทั้งหมดที่กำกับใช้ในการบริการอันครอบคลุม (รวมเรียกว่า “เงื่อนไขการให้บริการ”)  เว้นแต่ได้ระบุไว้ในบทต่อท้ายนี้ คำที่เน้นสำคัญที่ไม่ได้ระบุไว้ในบทต่อท้ายนี้จะมีความหมายให้ไว้ในเงื่อนไขการใช้บริการ

1. คำจำกัดความ

ผู้แนะนำสมาชิก” หมายถึงบุคคลใดๆ ซึ่งอยู่ในการควบคุม เป็นผู้ควบคุม หรือเป็นผู้ควบคุมร่วมกันกับ GoDaddy

"CCPA” หมายถึงรัฐบัญญัติความเป็นส่วนตัวของผู้บริโภคประจำรัฐแคลิฟอร์เนีย, ประมวล กฎหมายแพ่ง แคลิฟอร์เนีย 1798.100 และกฎหมายที่ตามมาหลังจากนั้น รวมถึงบทแก้ไขเพิ่มเติมและข้อบังคับที่นำมาใช้ซึ่งจะมีผลในหรือหลังจากวันที่บังคับใช้บทเพิ่มเติมว่าด้วยการประมวลผลข้อมูลฉบับนี้

บริการที่ครอบคลุม” หมายถึงบริการที่โฮสต์ไว้ที่อาจเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของเราและอยู่ภายใต้ข้อกำหนดและเงื่อนไขของข้อตกลงต่อไปนี้ (1) บริการการตลาดทางอีเมล, (2) โฮสติ้ง, (3) ร้านค้าออนไลน์/ตะกร้าสินค้าด่วน, (4) บริการเว็บไซต์, (5) บริการพื้นที่ใช้งาน

“ข้อมูลลูกค้า” หมายถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่ได้รับการประมวลผลโดย GoDaddy ภายในเครือข่าย GoDaddy ในนามของลูกค้าโดยเป็นไปตามหรือเชื่อมโยงกับเงื่อนไขการให้บริการ

ผู้ควบคุมข้อมูล” หมายถึงลูกค้าในฐานะที่เป็นบุคคลซึ่งกำหนดวัตถุประสงค์และความหมายในการประมวลผลข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูล” หมายถึง GoDaddy ในฐานะบุคคลที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุมข้อมูล หรือผู้ให้บริการตามคำนิยามของ CCPA

กฎหมายคุ้มครองข้อมูล” หมายถึงกฎหมายและข้อบังคับเกี่ยวกับการคุ้มครองข้อมูลหรือความเป็นส่วนตัวทั้งหมดที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลภายใต้ข้อตกลง รวมถึง (i) หลักการความเป็นส่วนตัวของออสเตรเลียและพระราชบัญญัติความเป็นส่วนตัวของออสเตรเลีย (1988), (ii) Brazil’s Lei Geral de Proteção de Dados (LGPD), (iii) รัฐบัญญัติความเป็นส่วนตัวของผู้บริโภคประจำรัฐแคลิฟอร์เนีย(CCPA), (iv) พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์แห่งสหพันธรัฐของแคนาดา (PIPEDA), (v) ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR), (vi) กฎหมายคุ้มครองข้อมูลระดับประเทศที่ทำขึ้นภายใต้หรือตาม GDPR, (vii) คำสั่งความเป็นส่วนตัวทางอิเล็กทรอนิกส์แห่งสหภาพยุโรป (คำสั่ง 2002/58/EC), (viii) รัฐบัญญัติคุ้มครองข้อมูลส่วนบุคคลของสิงคโปร์ 2012 (PDPA), (ix) รัฐบัญญัติว่าด้วยการคุ้มครองข้อมูลแห่งสหพันธรัฐสวิสลงวันที่ 19 มิถุนายน 1992 และกฤษฎีกา, (x) UK GDPR หรือพระราชบัญญัติคุ้มครองข้อมูล ปี 2018 ในแต่ละกรณีที่อาจแก้ไข แทนที่ หรือเปลี่ยน

เจ้าของข้อมูล” หมายถึงบุคคลที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล

EEA” หมายถึงเขตเศรษฐกิจยุโรป

GDPR” หมายถึงระเบียบ (EU) 2016/679 ของรัฐสภายุโรปและคณะมนตรีในวันที่ 27 เมษายน 2016 เรื่องการปกป้องบุคคลธรรมดาในประเด็นที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและเรื่องการเคลื่อนย้ายโดยเสรีของข้อมูลดังกล่าว รวมถึงยกเลิกคำสั่ง 95/46/EC (กฎระเบียบการคุ้มครองข้อมูลทั่วไป)

เครือข่าย GoDaddy” หมายถึงสิ่งอำนวยความสะดวกของศูนย์ข้อมูล เซิร์ฟเวอร์ อุปกรณ์เครือข่าย และระบบซอฟต์แวร์ที่ใช้โฮสต์ (เช่น ไฟร์วอลล์เสมือนจริง) ของ GoDaddy ที่อยู่ภายใต้การควบคุมดูแลของ GoDaddy และนำมาใช้เพื่อให้บริการที่ครอบคลุม

ข้อมูลส่วนบุคคล” หมายถึงข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคลหรือครัวเรือนที่ระบุตัวตนได้หรือสามารถระบุตัวตนได้ตามคำจำกัดความภายใต้กฎหมายคุ้มครองข้อมูล

การประมวลผล” หมายถึงการปฏิบัติการหรือชุดการปฏิบัติการซึ่งดำเนินการกับข้อมูลส่วนบุคคล โดยอาจหมายความรวมถึงการเก็บรวบรวมข้อมูล การบันทึก การจัดการ การจัดโครงสร้าง การจัดเก็บ การปรับเปลี่ยน หรือการเปลี่ยนแปลง การกู้คืน การให้คำปรึกษา การใช้ การเปิดเผยข้อมูลโดยการส่งผ่าน การแพร่กระจาย หรือการทำให้ข้อมูลพร้อมใช้งาน การจัดเรียง หรือการผสานรวม การจำกัด หรือการทำลาย “การประมวลผล” จะได้รับการตีความตามดังที่กล่าวมา รายละเอียดการประมวลผลได้ระบุไว้ในภาคผนวก 1

เหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบ” คือ (ก) การฝ่าฝืนการรักษาความปลอดภัยตามมาตรฐานการรักษาความปลอดภัยของ GoDaddy อันนำไปสู่การทำลาย การสูญหาย การแก้ไข การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลลูกค้า โดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย หรือ (ข) การเข้าใช้งานอุปกรณ์หรือสถานที่ปฏิบัติงานของ GoDaddy โดยไม่ได้รับอนุญาต โดยที่ไม่ว่าจะในกรณีใดส่งผลให้เกิดการทำลาย การสูญหาย การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต หรือการแก้ไขข้อมูลลูกค้า

มาตรฐานการรักษาความปลอดภัย” หมายถึงมาตรฐานการรักษาความปลอดภัยตามที่แนบมาเป็นภาคผนวก 2 ในบทต่อท้ายนี้

ข้อมูลที่ละเอียดอ่อน” หมายถึง (ก) หมายเลขประกันสังคม หมายเลขหนังสือเดินทาง หมายเลขใบอนุญาตขับขี่ หรือตัวระบุที่คล้ายกัน (หรือส่วนหนึ่งส่วนใดของข้อมูลดังกล่าว) (ข) หมายเลขบัตรเครดิตหรือบัตรเดบิต (นอกเหนือจากที่ตัดทอน (สี่หลักสุดท้าย) ของบัตรเครดิตหรือบัตรเดบิต) ข้อมูลทางการเงิน หมายเลขบัญชีธนาคาร หรือรหัสผ่าน (ค) ข้อมูลการจ้างงาน การเงิน พันธุกรรม ชีวภาพหรือสุขภาพ (ง) ความเกี่ยวพันทางเชื้อชาติ ชาติพันธุ์ การเมืองหรือศาสนา การเป็นสมาชิกสหภาพแรงงาน หรือข้อมูลเกี่ยวกับชีวิตทางเพศหรือรสนิยมทางเพศ (จ) รหัสผ่านบัญชี นามสกุลเดิมของมารดา หรือวันเดือนปีเกิด (ฉ) ประวัติอาชญากรรม หรือ (ช) ข้อมูลอื่นใดหรือการรวมกันของข้อมูลที่อยู่ในคำจำกัดความของ "หมวดหมู่พิเศษของข้อมูล" ภายใต้ GDPR หรือกฎหมายหรือข้อบังคับอื่นใดที่เกี่ยวข้องกับความเป็นส่วนตัวและการปกป้องข้อมูล

ข้อสัญญามาตรฐาน” หรือ “SCC” หมายถึงข้อกำหนดการป้องกันข้อมูลมาตรฐานสำหรับการโอนย้ายข้อมูลส่วนบุคคลจากผู้ควบคุมไปยังผู้ประมวลผลที่จัดตั้งขึ้นในประเทศที่สามซึ่งไม่รับประกันการคุ้มครองข้อมูลในระดับที่เพียงพอตามที่อธิบายไว้ในมาตรา 46 ของ GDPR และได้รับการอนุมัติตามคำตัดสินของคณะกรรมาธิการยุโรป 2021/914 ลงวันที่ 4 มิถุนายน 2021 โมดูลที่สอง (ผู้ควบคุมไปยังผู้ประมวลผล) ข้อสัญญามาตรฐานอยู่ในภาคผนวก 4

ผู้ประมวลผลช่วง” หมายถึงผู้ประมวลผลข้อมูลใดๆ ที่ผู้ประมวลผลมีส่วนเกี่ยวข้องในการประมวลผลข้อมูลในนามของผู้ควบคุมข้อมูล

ข้อสัญญามาตรฐานของสหราชอาณาจักร” หมายถึงข้อกำหนดการป้องกันข้อมูลมาตรฐานสำหรับการโอนย้ายข้อมูลส่วนบุคคลจากผู้ควบคุมไปยังผู้ประมวลผลที่เกิดขึ้นในประเทศที่สามซึ่งไม่รับประกันการคุ้มครองข้อมูลในระดับที่เพียงพอตามที่อธิบายไว้ในมาตรา 46 ของ GDPR สหราชอาณาจักร และได้รับการอนุมัติตามคำตัดสินของคณะกรรมาธิการยุโรป 2010/87/EU ข้อสัญญามาตรฐานของสหราชอาณาจักรอยู่ในภาคผนวก 4                            

2. การประมวลผลข้อมูล

2.1 ขอบเขตและบทบาท บทต่อท้ายนี้จะมีผลบังคับใช้เมื่อมีการประมวลผลข้อมูลลูกค้าโดย GoDaddy โดยมี GoDaddy ทำหน้าที่เป็นผู้ประมวลผลข้อมูลในนามของลูกค้าในฐานะผู้ควบคุมข้อมูลส่วนบุคคลในส่วนที่เกี่ยวกับข้อมูลลูกค้า

2.2 รายละเอียดในการประมวลผลข้อมูล สาระสำคัญของการประมวลผลข้อมูลลูกค้าโดย GoDaddy คือประสิทธิภาพของบริการที่ครอบคลุมตามเงื่อนไขการให้บริการ GoDaddy จะประมวลผลข้อมูลลูกค้าเฉพาะเมื่อดำเนินการในนามของและตามคำแนะนำอย่างเป็นลายลักษณ์อักษรจากลูกค้าเพื่อวัตถุประสงค์ดังต่อไปนี้ (i) การประมวลผลตามเงื่อนไขการให้บริการ (ii) การประมวลผลที่เริ่มต้นโดยผู้ใช้ปลายทางในการใช้บริการที่ครอบคลุม (iii) การประมวลผลเพื่อให้เป็นไปตามคำแนะนำอย่างเป็นลายลักษณ์อักษรที่สมเหตุสมผลจากลูกค้า (เช่น ทางอีเมล) โดยที่คำแนะนำดังกล่าวสอดคล้องกับเงื่อนไขการให้บริการ GoDaddy จะต้องไม่ (ก) ประมวลผล เก็บรักษา ใช้ ขาย หรือเปิดเผยข้อมูลลูกค้า ยกเว้นตามความจำเป็นเพื่อให้บริการที่ครอบคลุมตามเงื่อนไขการให้บริการหรือตามที่กฎหมายกำหนด (ข) ขายข้อมูลลูกค้าดังกล่าวให้กับบุคคลที่สาม (ค) เก็บรักษา ใช้ หรือเปิดเผยข้อมูลลูกค้าดังกล่าวนอกความสัมพันธ์ทางธุรกิจโดยตรงระหว่าง GoDaddy และลูกค้า

เพื่อไม่ให้เกิดความคลางแคลงใจ คำแนะนำของลูกค้าสำหรับการประมวลผลข้อมูลส่วนบุคคลจะต้องเป็นไปตามกฎหมายความเป็นส่วนตัวของข้อมูลที่เกี่ยวข้องทั้งหมด ลูกค้าเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในด้านความถูกต้อง คุณภาพ และความชอบด้วยกฎหมายของข้อมูลส่วนบุคคลและวิธีการที่ลูกค้าได้มาซึ่งข้อมูลส่วนบุคคล GoDaddy ไม่จำเป็นต้องปฏิบัติตามหรือยอมรับคำแนะนำของลูกค้า หากคำแนะนำนั้นละเมิดกฎหมายคุ้มครองข้อมูล ระยะเวลาในการประมวลผล ลักษณะและจุดประสงค์ของการประมวลผล ประเภทของข้อมูลส่วนบุคคลและหมวดหมู่ของเจ้าของข้อมูลที่ประมวลผลภายใต้บทต่อท้ายนี้มีการระบุไว้เพิ่มเติมในภาคผนวก 1 (‘รายละเอียดการประมวลผล’) ในบทต่อท้ายนี้

3. การปกปิดข้อมูลของลูกค้า

GoDaddy จะไม่เปิดเผยข้อมูลของลูกค้าแก่รัฐบาลหรือบุคคลที่สามใดๆ เว้นแต่ตามจำเป็นเนื่องจากเหตุผลทางกฎหมายหรือตามคำสั่งของหน่วยงานบังคับใช้กฎหมายที่มีผลและที่มีภาระผูกพัน (เช่น หมายศาลหรือคำสั่งศาล) ในกรณีที่ GoDaddy ได้รับหมายเรียกคดีแพ่งที่ถูกต้องสมบูรณ์เท่าที่อนุญาตให้กระทำได้ GoDaddy จะพยายามแจ้งข้อเรียกร้องตามความเหมาะสมให้ลูกค้าทราบทางอีเมลหรือไปรษณีย์ เพื่อให้ลูกค้าขอคำสั่งศาลให้คุ้มครองหรือหามาตรการเยียวยาใดๆ ที่เหมาะสม

4. ความปลอดภัย

4.1 GoDaddy ปรับใช้และจะคงไว้ซึ่งมาตรการเชิงเทคนิคและเชิงองค์กรสำหรับเครือข่าย GoDaddy ตามที่ได้อธิบายไว้ในส่วนนี้ และที่ได้อธิบายเพิ่มเติมไว้ในภาคผนวก 2 ในบทต่อท้ายนี้ ว่าด้วยมาตรฐานการรักษาความปลอดภัย โดยเฉพาะอย่างยิ่ง GoDaddy ได้ดำเนินการและจะคงไว้ซึ่งมาตรการเชิงเทคนิคและเชิงองค์กรที่กล่าวถึง (i) ความปลอดภัยของเครือข่าย GoDaddy (ii) ความปลอดภัยทางกายภาพของสิ่งอำนวยความสะดวก (iii) การควบคุมเกี่ยวกับการเข้าถึงของพนักงานและผู้รับเหมาใน (i) และ/หรือ (ii) และ (iv) กระบวนการสำหรับการทดสอบ ประเมิน และประเมินประสิทธิภาพของมาตรการเชิงเทคนิคและเชิงองค์กรที่ดำเนินการโดย GoDaddy ในกรณีที่เราไม่สามารถปฏิบัติตามข้อกำหนดที่ระบุไว้ในที่นี้ได้ เราจะแจ้งให้คุณทราบเป็นลายลักษณ์อักษร (ผ่านทางเว็บไซต์และอีเมลของเรา) ทันทีที่สามารถทำได้

4.2 GoDaddy มอบคุณสมบัติและการทำงานเพื่อการรักษาความปลอดภัยข้อมูล ซึ่งลูกค้าอาจเลือกที่จะใช้ในการบริการที่ครอบคลุม ลูกค้ามีหน้าที่รับผิดชอบต่อ (ก) การกำหนดค่าการบริการที่ครอบคลุมอย่างเหมาะสม (ข) ใช้อำนาจการควบคุมดูแลที่มีในการเชื่อมโยงกับการบริการที่ครอบคลุม (รวมถึงการควบคุมดูแลการรักษาความปลอดภัย) เพื่อให้แน่ใจว่าการปกปิดความลับยังคงมีอยู่อย่างต่อเนื่อง ตลอดจนความครบถ้วน ความพร้อมใช้งานและความสามารถในการกลับสู่สภาพเดิมของบริการและระบบการดำเนินการ (ค) ใช้อำนาจควบคุมดูแลที่มีในการเชื่อมโยงกับการบริการที่ครอบคลุม (รวมถึงการควบคุมดูแลการรักษาความปลอดภัย) เพื่ออนุญาตให้ลูกค้าสามารถเรียกคืนข้อมูลที่พร้อมใช้งาน และเข้าถึงข้อมูลของลูกค้าได้ในเวลาที่เหมาะสมในกรณีที่มีเหตุการณ์ที่ถือเป็นภัยคุกคามเชิงกายภาพ หรือเชิงเทคนิค (เช่น การสำรองข้อมูลและการจัดเก็บข้อมูลของลูกค้าอย่างถาวรอยู่เป็นประจำ) และ (ง) ดำเนินการตามขั้นตอนที่ลูกค้าพิจารณาแล้วว่าเพียงพอที่จะคงไว้ซึ่งการรักษาความปลอดภัยอย่างเหมาะสม การคุ้มครอง และการลบข้อมูลของลูกค้า ซึ่งรวมถึงการใช้เทคโนโลยีการเข้ารหัสลับเพื่อคุ้มครองข้อมูลของลูกค้าจากการเข้าใช้งานที่ไม่ได้รับอนุญาต และมาตรการควบคุมสิทธิ์การเข้าใช้งานข้อมูลของลูกค้า

5. สิทธิ์ของเจ้าของข้อมูล

โดยที่ให้ความสำคัญกับลักษณะของการบริการที่ครอบคลุม GoDaddy ช่วยให้ลูกค้าสามารถควบคุมข้อมูลบางอย่างได้ตามที่อธิบายไว้ในส่วน “การรักษาความปลอดภัย” ที่อยู่ในบทต่อท้ายซึ่งลูกค้าอาจเลือกที่จะใช้เพื่อเรียกคืน แก้ไข ลบ หรือจำกัดการใช้ และการแชร์ข้อมูลลูกค้าตามที่ได้อธิบายไว้ในการบริการที่ครอบคลุม ลูกค้าอาจใช้การควบคุมเหล่านี้เป็นเทคนิคและการวัดผลเชิงองค์กรเพื่อช่วยในการเชื่อมโยงกับข้อผูกมัดภายใต้กฎหมายความเป็นส่วนตัวที่บังคับใช้ รวมถึงข้อผูกมัดที่เกี่ยวข้องกับการตอบสนองในคำขอของเจ้าของข้อมูล โดยเป็นไปตามเหตุผลทางการค้า และในขอบเขตที่จำเป็นหรือได้รับอนุญาตตามกฎหมาย GoDaddy จะแจ้งเตือนลูกค้าให้ทราบในทันที หาก GoDaddy ได้รับคำร้องขอจากเจ้าของข้อมูลโดยตรงให้ดำเนินการตามสิทธิ์ภายใต้กฎหมายข้อมูลส่วนตัวที่มีผลบังคับใช้ใดๆ (“คำร้องขอจากเจ้าของข้อมูล”) นอกจากนี้ การใช้งานบริการที่ครอบคลุมของลูกค้าอาจจำกัดความสามารถในการตอบสนองต่อคำร้องขอจากเจ้าของข้อมูล GoDaddy อาจให้ความช่วยเหลือเชิงการค้าอย่างสมเหตุสมผล ตามที่ได้รับอนุญาตและเป็นไปอย่างเหมาะสมตามกฎหมาย และให้ความช่วยเหลือเมื่อมีคำร้องขอที่เฉพาะเจาะจงจากลูกค้า ทั้งนี้เพื่อตอบสนองต่อคำร้องขอดังกล่าว โดยลูกค้าเป็นผู้ออกค่าใช้จ่ายที่เกิดขึ้น (หากมี)

6. การให้บริการช่วง

6.1 ผู้ให้บริการช่วงที่ได้รับอนุญาต ลูกค้ายินยอมว่า GoDaddy อาจใช้ผู้ให้บริการช่วงในการดำเนินการตามข้อผูกมัดสัญญาภายใต้เงื่อนไขการให้บริการและบทต่อท้ายนี้ หรือมอบการบริการบางอย่างในนามของตน เช่น การจัดหาการบริการสนับสนุน ในที่นี้ลูกค้าได้ยินยอมที่จะใช้ผู้ให้บริการช่วงของ GoDaddy ตามที่ได้อธิบายไว้ในส่วนนี้ เว้นแต่ได้ระบุไว้ในส่วนนี้ หรือได้รับอนุญาตจากคุณอย่างชัดแจ้ง GoDaddy จะไม่อนุญาตให้ดำเนินกิจกรรมการให้บริการช่วงอื่นใดๆ

6.2 ข้อผูกมัดของผู้ให้บริการช่วง เมื่อ GoDaddy ใช้ผู้ให้บริการช่วงที่ได้รับอนุญาตใดๆ ตามที่อธิบายไว้ในส่วน 6.1:

(i) GoDaddy จะจำกัดสิทธิ์การเข้าใช้งานของผู้ให้บริการช่วงในการเข้าถึงข้อมูลลูกค้าต่อเมื่อจำเป็นต้องคงไว้ซึ่งการบริการที่ครอบคลุม หรือเพื่อมอบการบริการที่ครอบคลุมแก่ลูกค้าและผู้ใช้ใดๆ โดยเป็นไปตามการบริการที่ครอบคลุม GoDaddy จะห้ามผู้ให้บริการช่วงเข้าถึงข้อมูลของลูกค้าหากมีการใช้งานด้วยวัตถุประสงค์อื่นใดๆ

(ii) GoDaddy จะดำเนินการตามข้อตกลงที่เป็นลายลักษณ์อักษรร่วมกับผู้ให้บริการช่วงและ ตามขอบเขตซึ่งผู้ให้บริการช่วงกำลังดำเนินการในการบริการดำเนินการกับข้อมูลเดียวกัน ซึ่ง GoDaddy เป็นผู้จัดหาให้ภายใต้บทต่อท้ายนี้ GoDaddy จะกำหนดให้ผู้ให้บริการช่วงดำเนินการตามข้อผูกพันสัญญาเดียวกันที่ GoDaddy ได้ดำเนินการภายใต้บทต่อท้ายนี้ และ

(iii) GoDaddy จะคงไว้ซึ่งความรับผิดชอบในการปฏิบัติตามข้อผูกมัดที่อยู่ในบทต่อท้ายนี้ และสำหรับการปฏิบัติใดๆ หรือการละเว้นต่อผู้ให้บริการช่วงที่อาจเป็นเหตุให้ GoDaddy ต้องฝ่าฝืนข้อผูกมัดของ GoDaddy ภายใต้บทต่อท้ายนี้

6.3 ผู้ประมวลผลช่วงรายใหม่  ในบางครั้ง เราอาจทำงานร่วมกับผู้ประมวลผลช่วงรายใหม่ภายใต้และเป็นไปตามเงื่อนไขที่ระบุไว้ในบทต่อท้ายนี้  ในกรณีดังกล่าว เราจะแจ้งให้คุณทราบล่วงหน้า 30 วัน (ผ่านทางเว็บไซต์และอีเมลของเรา) ก่อนที่ผู้ประมวลผลช่วงรายใหม่จะได้รับข้อมูลลูกค้าใดๆ หากลูกค้าของคุณไม่อนุมัติให้ใช้ผู้ประมวลผลช่วงรายใหม่ ลูกค้าอาจบอกเลิกการบริการที่ครอบคลุมโดยไม่ต้องเสียค่าปรับใดๆ โดยให้หนังสือแจ้งการยกเลิกที่มีคำอธิบายเหตุผลสำหรับการไม่การอนุมัติภายใน 10 วันหรือได้รับแจ้งจากเรา หากบริการที่ครอบคลุมเป็นส่วนหนึ่งของกลุ่มบริการ หรือการสั่งซื้อแบบกลุ่มบริการ การบอกเลิกใดๆ จะมีผลบังคับใช้กับกลุ่มดังกล่าวทั้งหมด

7. เหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบ

7.1 เหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบ หาก GoDaddy รับทราบถึงเหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบ GoDaddy จะเร่งดำเนินการโดยเร็วที่สุด โดย (ก) แจ้งเตือนลูกค้าถึงเหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบ และ (ข) ดำเนินการตามขั้นตอนอันควรเพื่อบรรเทาผลกระทบที่เกิดขึ้น และเพื่อลดความเสียหายใดๆ ที่เกิดจากเหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบนี้ให้เหลือน้อยที่สุด

7.2 ความช่วยเหลือ GoDaddy  เพื่อช่วยเหลือลูกค้าเกี่ยวกับการแจ้งเตือนถึงการล่วงละเมิดข้อมูลส่วนตัวที่ลูกค้าจำเป็นต้องแจ้งภายใต้กฎหมายความเป็นส่วนตัวใดๆ ที่บังคับใช้ โดยในการแจ้งเตือนนั้น GoDaddy จะรวมเอา ข้อมูลดังกล่าวที่เกี่ยวกับเหตุการณ์ที่ถือเป็นภัยคุกคามต่อความปลอดภัย ตามที่ GoDaddy สามารถเปิดเผยแก่ลูกค้าได้ตามเหตุอันควร ทั้งนี้จะต้องให้ความสำคัญกับวิธีการให้บริการที่ครอบคลุม ข้อมูลที่สามารถแจ้งแก่ GoDaddy ได้ และข้อจำกัดในการเปิดเผยข้อมูลใดๆ เช่น การปกปิดเป็นความลับ  

7.3 ความล้มเหลวในการรับมือกับเหตุการณ์ที่ถือเป็นภัยคุกคามการรักษาความปลอดภัย ลูกค้ายอมรับว่า:

(i) ความล้มเหลวในการรับมือกับเหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบจะไม่อยู่ภายใต้บังคับของเงื่อนไขในบทต่อท้ายนี้ ความล้มเหลวในการรับมือกับเหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบเป็นหนึ่งในผลที่ตามมาจากการให้สิทธิ์เข้าถึงข้อมูลของลูกค้าโดยไม่ได้รับอนุญาต หรือ เข้าถึงเครือข่ายของ GoDaddy อุปกรณ์ หรือพื้นที่จัดเก็บข้อมูลของลูกค้า และอาจรวมถึงแต่ไม่จำกัดเพียง การโจมตีของ Ping และบอร์ดแคสต์อื่นๆ บนไฟร์วอลล์ หรือเซิร์ฟเวอร์เอดจ์ การสแกนพอร์ต ความพยายามในการเข้าสู่ระบบที่ไม่ประสบผล การปฏิเสธของการโจมตีการบริการ โปรแกรมที่เอาไว้ดักจับข้อมูล (หรือการเข้าถึงเส้นทางการรับส่งข้อมูลโดยไม่ได้รับอนุญาตซึ่งอาจไม่ส่งผลต่อการเข้าใช้งานที่นอกเหนือจากส่วนหัว) หรือเหตุการณ์ที่ถือเป็นภัยคุกคามที่คล้ายกัน และ

(ii) ข้อผูกมัดของ GoDaddy ที่ต้องรายงาน หรือตอบสนองกับเหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบภายใต้ส่วนนี้ไม่ใช่ และไม่ได้ตีความว่าเป็นความผิดใดๆ ของ GoDaddy หรือความรับผิดชอบของ GoDaddy อันเนื่องจากเหตุการณ์ที่เป็นภัยคุกคามต่อระบบ

7.4 การแจ้งเตือน หากมีการแจ้งเตือนเหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบ จะต้องส่งการแจ้งเตือนไปยังผู้ดูแลระบบของลูกค้าอย่างน้อยหนึ่งรายไม่ว่าด้วยวิธีใดๆ ที่ GoDaddy ได้เลือกไว้ รวมถึงการแจ้งเตือนทางอีเมล ทั้งนี้ถือเป็นความรับผิดชอบของลูกค้าแต่เพียงผู้เดียวที่จะต้องตรวจสอบว่าผู้ดูแลระบบของลูกค้าได้ดูแลรักษาข้อมูลการติดต่อบนแผงควบคุมการจัดการ GoDaddy อยู่เสมอและต้องรักษาความปลอดภัยในขณะส่งผ่านข้อมูลอยู่ตลอดเวลา

8. สิทธิ์ของลูกค้า

8.1 การพิจารณาโดยอิสระ ลูกค้ามีหน้าที่รับผิดชอบในการตรวจทานข้อมูลที่ GoDaddy ให้บริการอันเกี่ยวข้องกับข้อมูลการรักษาความปลอดภัย และมาตรฐานการรักษาความปลอดภัยของข้อมูล รวมถึงสร้างการตัดสินใจอย่างอิสระไม่ว่าการบริการที่ครอบคลุมนั้นจะเป็นไปตามความต้องการของลูกค้าหรือไม่ และข้อผูกมัดทางกฎหมายอันรวมถึงข้อผูกมัดของลูกค้าภายใต้บทต่อท้ายนี้ ข้อมูลที่พร้อมใช้งานนี้มีไว้เพื่อช่วยให้ลูกค้าสามารถปฏิบัติตามข้อผูกมัดของลูกค้าภายใต้กฎหมายความเป็นส่วนตัวที่บังคับใช้ รวมถึง GDPR โดยให้ความเคารพต่อการคุ้มครองข้อมูลที่มีผลกระทบต่อการประเมินและการให้คำปรึกษาก่อนหน้า

8.2 สิทธิ์ในการตรวจสอบลูกค้า ลูกค้ามีสิทธิ์ในการยืนยันการปฏิบัติตามบทต่อท้ายนี้ของ GoDaddy ตามที่ใช้บังคับกับบริการที่ครอบคลุม ผ่านการส่งคำขอเป็นลายลักษณ์อักษรในช่วงเวลาที่เหมาะสมตามที่อยู่ที่ระบุไว้ในเงื่อนไขการให้บริการนี้ หาก GoDaddy ปฏิเสธที่จะปฏิบัติตามคำสั่งที่ร้องขอโดยลูกค้าเพื่อให้ทำการตรวจสอบหรือตรวจหาข้อเท็จจริงตามขอบเขตและที่ร้องขอโดยเฉพาะ ลูกค้ามีสิทธิ์ที่จะยุติการปฏิบัติตามบทต่อท้ายและเงื่อนไขการให้บริการนี้

9. การโอนย้ายข้อมูลลูกค้า

9.1 สหรัฐฯ ภายในประเทศสหรัฐอเมริกา เว้นแต่มีการแจ้งไว้เป็นพิเศษในเงื่อนไขการให้บริการ ข้อมูลลูกค้าจะได้รับการถ่ายโอนออกนอกสหราชอาณาจักรหรือ EEA และประมวลผลในประเทศสหรัฐอเมริกา

9.2 การใช้ข้อสัญญามาตรฐาน โดยจะนำเอาข้อสัญญามาตรฐานมาบังคับใช้กับข้อมูลลูกค้าเมื่อมีการโอนย้ายข้อมูลออกนอก EEA ไม่ว่าจะเป็นการโอนย้ายโดยตรงหรือผ่านการส่งต่อไปยังประเทศใดๆ ที่คณะกรรมาธิการยุโรปไม่ยอมรับว่ามีการคุ้มครองข้อมูลลูกค้าในระดับที่เพียงพอ ทั้งนี้จะไม่มีการนำเอาข้อสัญญามาตรฐานมาบังคับใช้กับข้อมูลลูกค้าที่ไม่ได้มีการโอนย้ายข้อมูล ไม่ว่าจะเป็นการโอนย้ายโดยตรงหรือผ่านการส่งต่อออกนอก EEA จะไม่นำข้อสัญญามาตรฐานมาบังคับใช้เมื่อมีการโอนย้ายข้อมูลภายใต้มาตรฐานการปฏิบัติตามอย่างสอดคล้องที่เป็นที่รู้จักสำหรับการโอนย้ายข้อมูลส่วนบุคคลออกนอก EEA อย่างถูกต้องตามกฎหมาย เช่นในกรณีที่จำเป็นสำหรับการให้การบริการที่ครอบคลุมตามเงื่อนไขการให้บริการหรือตามที่คุณเห็นชอบ ทั้งนี้โดยไม่คำนึงถึงข้อความข้างต้น

9.3 Application of UK Standard Contractual Clauses. The UK Standard Contractual Clauses will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK Standard Contractual Clauses will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK Standard Contractual Clauses will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

10. การบอกเลิกบทต่อท้าย

บทต่อท้ายนี้จะยังคงมีผลบังคับใช้ต่อไปจนกว่าจะมีการบอกเลิกการดำเนินการของเราอันเป็นไปตามเงื่อนไขการให้บริการ (“วันที่บอกเลิก”)  

11. การส่งคืนหรือลบข้อมูลของลูกค้า

ตามที่ได้อธิบายไว้ในการบริการที่ครอบคลุม ลูกค้าอาจได้รับมอบอำนาจในการควบคุม เพื่อใช้อำนาจดังกล่าวในการเรียกใช้หรือลบข้อมูลลูกค้า การลบข้อมูลลูกค้าจะเกิดขึ้นสามสิบ (30) วันหลังจากวันที่สิ้นสุด โดยขึ้นอยู่กับข้อกำหนดของบริการที่ครอบคลุมโดยเฉพาะ

12. ข้อจำกัดของความรับผิด

ความรับผิดของแต่ละบุคคลภายใต้บทต่อท้ายนี้จะอยู่ภายใต้การยกเว้นและการจำกัดความรับผิดตามที่ระบุไว้ในเงื่อนไขการให้บริการ ลูกค้ายอมรับว่าการลงโทษตามข้อบังคับซึ่ง GoDaddy เป็นผู้รับผิดต่อผลที่เกิดขึ้นอันเกี่ยวข้องกับข้อมูลของลูกค้า หรือมีความเชื่อมโยงกัน การไม่ปฏิบัติตามข้อผูกมัดของลูกค้าภายใต้บทต่อท้ายนี้ และกฎหมายความเป็นส่วนตัวที่บังคับใช้ใดๆ จะมีผลและลดความรับผิดของ GoDaddy ลงภายใต้เงื่อนไขการให้บริการเสมือนเป็นความรับผิดต่อลูกค้าภายใต้เงื่อนไขการให้บริการ

13. เงื่อนไขการให้บริการทั้งหมด ข้อขัดแย้ง

บทต่อท้ายนี้มีผลบังคับใช้เหนือและแทนที่การรับรอง ความเข้าใจ ข้อตกลง หรือการสื่อสารที่ทำขึ้นก่อนหน้าหรือพร้อมกันทั้งหมดระหว่างลูกค้าและ GoDaddy ไม่ว่าจะเป็นลายลักษณ์อักษรหรือด้วยวาจาเกี่ยวกับสาระสำคัญของบทต่อท้ายนี้ รวมถึงบทต่อท้ายว่าด้วยการประมวลผลข้อมูลใดๆ ที่ทำขึ้นระหว่าง GoDaddy กับลูกค้าเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและการเคลื่อนย้ายข้อมูลดังกล่าวอย่างอิสระ  เงื่อนไขการให้บริการจะยังคงมีผลบังคับใช้และมีผลอย่างสมบูรณ์ เว้นแต่ได้แก้ไขไว้ในบทต่อท้ายนี้  หากมีข้อขัดแย้งระหว่างเงื่อนไขการให้บริการและบทต่อท้ายนี้ ให้ถือปฏิบัติตามบทต่อท้ายนี้เป็นหลัก

ภาคผนวก 1

 รายละเอียดในการประมวลผล

 1. ลักษณะและจุดประสงค์ของกระบวนการ GoDaddy จะประมวลผลข้อมูลส่วนตัวตามความจำเป็นเพื่อมอบการบริการที่ครอบคลุมโดยเป็นไปตามที่ได้อ้างอิงในเงื่อนไขการให้บริการและตามที่ได้มีคำแนะนำเพิ่มเติมจากลูกค้าเมื่อมีการใช้บริการที่ครอบคลุม

 2. ระยะเวลาในการประมวลผล ภายใต้ส่วนที่ 10 และ 11 ของบทต่อท้ายนี้ GoDaddy จะประมวลผลข้อมูลลูกค้าในช่วงวันที่เงื่อนไขการให้บริการมีผลบังคับใช้ โดยไม่คำนึงถึงข้อกำหนดที่กล่าวมาข้างต้น GoDaddy อาจเก็บรักษาข้อมูลลูกค้าหรือส่วนใดส่วนหนึ่งของข้อมูล หากกฎหมายหรือระเบียบข้อบังคับกำหนดไว้ รวมถึงกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง โดยที่ข้อมูลลูกค้าดังกล่าวยังคงได้รับการคุ้มครองตามข้อกำหนดของบทต่อท้ายนี้และกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง

3. หมวดหมู่ของเจ้าของข้อมูล ลูกค้าอาจอัปโหลดข้อมูลส่วนตัวเพื่อใช้ในการบริการที่ครอบคลุม ตามขอบเขตการใช้งานจะได้รับการพิจารณาและควบคุมโดยลูกค้าแต่เพียงผู้เดียว และอาจรวมถึงแต่ไม่จำกัดเพียงข้อมูลส่วนตัวที่เกี่ยวข้องกับหมวดหมู่ของเจ้าของข้อมูล ดังต่อไปนี้:

  • ลูกค้าเป้าหมาย ลูกค้า คู่ค้าธุรกิจ และผู้ขายของลูกค้า (ผู้ที่เป็นบุคคลธรรมดา)
  • พนักงานหรือบุคคลติดต่อของลูกค้าเป้าหมาย ลูกค้า คู่ค้าธุรกิจ และผู้ขาย
  • พนักงาน ตัวแทน ที่ปรึกษา ฟรีแลนซ์ของลูกค้า (ผู้ที่เป็นบุคคลธรรมดา)
  • ผู้ใช้ของลูกค้าซึ่งได้รับอนุญาตโดยลูกค้าให้ใช้บริการที่ครอบคลุม

4. หมวดหมู่ข้อมูลส่วนบุคคล ลูกค้าอาจอัปโหลดข้อมูลส่วนบุคคลเพื่อใช้ในการบริการที่ครอบคลุม ประเภทและขอบเขตการใช้งานจะได้รับการพิจารณาและควบคุมโดยลูกค้าแต่เพียงผู้เดียว และอาจรวมถึงแต่ไม่จำกัดเพียงหมวดข้อมูลส่วนบุคคลของเจ้าของข้อมูล ดังต่อไปนี้: 

  • ชื่อ
  • ที่อยู่
  • หมายเลขโทรศัพท์
  • วันเกิด
  • ที่อยู่อีเมล
  • ข้อมูลอื่นๆ ที่เก็บรวบรวมไว้ที่อาจระบุถึงตัวคุณได้โดยตรงหรือโดยอ้อม

5. ข้อมูลที่ละเอียดอ่อนหรือข้อมูลในหมวดหมู่พิเศษ ลูกค้าสามารถอัปโหลดข้อมูลที่ละเอียดอ่อนในระหว่างการใช้บริการที่ครอบคลุม ประเภทและขอบเขตที่ลูกค้ากำหนดและควบคุมตามดุลยพินิจของลูกค้าแต่เพียงผู้เดียว ลูกค้ามีหน้าที่รับผิดชอบในการใช้ข้อจำกัดหรือการป้องกันที่คำนึงถึงธรรมชาติของข้อมูลและความเสี่ยงที่เกี่ยวข้องอย่างเต็มที่ก่อนที่จะส่งหรือประมวลผลข้อมูลที่ละเอียดอ่อนผ่านทางบริการที่ครอบคลุม

ภาคผนวก 2

มาตรฐานการรักษาความปลอดภัย

I.  มาตรการเชิงเทคนิคและเชิงองค์กร  

เราให้คำมั่นสัญญาว่าจะคุ้มครองข้อมูลของลูกค้าของเรา  พิจารณาตามหลักการปฏิบัติที่ดี ค่าใช้จ่ายในการนำมาปรับใช้งานและวิธี ขอบเขต สภาพแวดล้อม รวมถึงวัตถุประสงค์ในการดำเนินการ รวมทั้งความเป็นไปได้ที่จะเกิดขึ้นที่แตกต่างกันไปและความร้ายแรงของความเสี่ยงของสิทธิ์และอิสระของบุคคลทั่วไปที่เราได้นำเอาวิธีการเชิงเทคนิคและองค์กรต่อไปนี้มาปฏิบัติใช้  เมื่อมีการพิจารณาถึงการเลือกวิธีการซึ่งปกปิดเป็นความลับ ความสมบูรณ์ของข้อมูล ความพร้อมใช้งานและความยืดหยุ่นของระบบที่นำมาใช้งาน รับประกันการกู้คืนข้อมูลอย่างรวดเร็วภายหลังจากมีเหตุการณ์ที่เป็นภัยคุกคามต่อระบบเชิงกายภาพหรือเทคนิค

II.  โปรแกรมความเป็นส่วนตัวของข้อมูล  

โปรแกรมความเป็นส่วนตัวของข้อมูลของเราได้รับการจัดทำขึ้นมาเพื่อคงไว้ซึ่งโครงสร้างการกำกับดูแลข้อมูลสากล และรักษาความปลอดภัยให้กับข้อมูลตลอดอายุการใช้งาน โปรแกรมนี้ขับเคลื่อนโดยเจ้าหน้าที่คุ้มครองข้อมูล ซึ่งจะคอยตรวจสอบการปฏิบัติใช้นโยบายและวิธีการรักษาความปลอดภัย เราจะทำการตรวจสอบ ประเมินค่า และประเมินประสิทธิภาพของโปรแกรมความเป็นส่วนตัวของข้อมูลและมาตรฐานการรักษาความปลอดภัยอย่างสม่ำเสมอ

1. การรักษาความลับ “การรักษาความลับ หมายถึง ข้อมูลส่วนตัวจะได้รับการคุ้มครองหากมีการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต”  

เราใช้ความหลากหลายของมาตรการเชิงกายภาพและเชิงตรรกะเพื่อคุ้มครองการปกปิดเป็นความลับให้กับข้อมูลส่วนตัวของลูกค้า มาตรการเหล่านั้น รวมถึง:   

  การรักษาความปลอดภัยทางกายภาพ  

  • ระบบการควบคุมการเข้าใช้งานเชิงกายภาพในสถานที่ทำงาน (การควบคุมการเข้าสถานที่ด้วยบัตรพนักงาน การติดตามเหตุการณ์ที่เกี่ยวกับการรักษาความปลอดภัย เป็นต้น) 
  • ระบบการควบคุมดูแล รวมถึงการแจ้งเตือนและการเฝ้าติดตามผ่าน CCTV ตามที่เห็นว่าเหมาะสม  
  • นโยบายจัดเก็บเอกสารและการควบคุมการใช้งาน (การล็อกคอมพิวเตอร์ที่ไม่ใช้งาน ตู้เก็บเอกสารที่ต้องปิดล็อกไว้ ฯลฯ)  
  •  การจัดการการเข้าใช้งานของผู้เข้าชม 
  • การทำลายข้อมูลบนสื่อและเอกสารที่จับต้องได้ (การตัดเป็นชิ้นเล็กๆ การถอดแม่เหล็ก เป็นต้น)

  การควบคุมการเข้าใช้งานและการป้องกันการเข้าใช้งานโดยไม่ได้รับอนุญาต 

  • การจำกัดสิทธิ์เข้าใช้งานของผู้ใช้ และการให้อนุญาตสิทธิ์เข้าใช้งานตามหน้าที่/ทบทวนสิทธิ์ใช้งานโดยแยกตามหลักการทำหน้าที่  
  • วิธีการยืนยันตัวตนและการให้อนุญาตอย่างเข้มงวด (การยืนยันตัวตนโดยใช้หลายปัจจัย การให้อนุญาตตามใบรับรอง การปิดใช้งาน/การออกจากระบบโดยอัตโนมัติ) 
  • การจัดการรหัสผ่านแบบศูนย์รวม และนโยบายการตั้งค่ารหัสผ่านที่เดาได้ยาก/ซับซ้อน (ความยาวขั้นต่ำ ความซับซ้อนของอักขระ การหมดอายุของรหัสผ่าน เป็นต้น)   
  • ควบคุมสิทธิ์ในการส่งอีเมลและใช้งานอินเทอร์เน็ต 
  • การจัดการการป้องกันไวรัส  
  • การบริหารจัดการระบบการป้องกันการรุกล้ำ

การเข้ารหัส   

  • การเข้ารหัสลับการสื่อสารทั้งภายในและภายนอกผ่านทางโปรโตคอลวิทยาการเข้ารหัสลับ  
  • การเข้ารหัสลับข้อมูลด้วย PII/SPII สำหรับข้อมูลอื่นๆ ที่เหลืออยู่ (ฐานข้อมูล ไดเรกทอรีที่ใช้ร่วมกัน เป็นต้น)   
  • การเข้ารหัสลับให้กับดิสก์อย่างเต็มรูปแบบสำหรับเครื่องพีซีของบริษัทและแล็ปท็อป   
  • การเข้ารหัสลับของสื่อจัดเก็บข้อมูล  
  • การเชื่อมต่อระยะไกลไปยังเครือข่ายของบริษัทจะได้รับการเข้ารหัสลับผ่านทาง VPN  
  • การรักษาความปลอดภัยแก่วงจรชีวิตของคีย์การเข้ารหัส

 การปรับลดขนาดข้อมูล    

  • การปรับลดขนาด PII/SPI ในแอปพลิเคชัน การแก้จุดบกพร่องและบันทึกการรักษาความปลอดภัย  
  • การนำข้อมูลระบุตัวตนออกจากข้อมูลส่วนตัวเพื่อป้องกันไม่ให้สามารถระบุตัวตนของบุคคลได้โดยตรง 
  • การแยกข้อมูลที่จัดเก็บตามฟังก์ชัน (ทดสอบจัดเตรียม ใช้งานจริง) 
  • การแยกข้อมูลเชิงตรรกะตามบทบาทโดยอ้างตามสิทธิ์การเข้าใช้งาน 
  • ระยะเวลาในการเก็บรักษาข้อมูลส่วนตัวที่ระบุไว้

การทดสอบการรักษาความปลอดภัย     

  • การทดสอบเจาะระบบสารสนเทศสำหรับเครือข่ายบริษัทที่สำคัญ และแพลตฟอร์มสำหรับการโฮสต์ข้อมูลส่วนตัว 
  • การสแกนช่องโหว่และเครือข่ายอย่างสม่ำเสมอ

2. ความสมบูรณ์ของข้อมูล “ความครบถ้วนอ้างอิงถึงความแน่ใจในความถูกต้อง (ทำงานได้เป็นปกติ) ของข้อมูลและฟังก์ชันการแก้ไขข้อมูลของระบบ เมื่อมีการใช้คำว่า ความครบถ้วน เชื่อมโยงกับคำว่า "ข้อมูล" นั่นแสดงว่าข้อมูลมีความสมบูรณ์และไม่ได้มีการเปลี่ยนแปลง”  

การควบคุมการบริหารการเปลี่ยนแปลงและการบันทึกข้อมูลได้รับการดำเนินการอย่างเหมาะสม นอกเหนือจากการควบคุมการเข้าใช้งานข้อมูลเพื่อคงไว้ซึ่งความถูกต้องของข้อมูลส่วนตัว เช่น:    

การจัดการการเปลี่ยนแปลงและนำข้อมูลออกใช้    

  • กระบวนการเปลี่ยนแปลงและนำข้อมูลออกใช้ รวมถึง (การวิเคราะห์ผลกระทบ การอนุมัติ การทดสอบ การทบทวนการรักษาความปลอดภัย การจัดเตรียมข้อมูล การติดตาม เป็นต้น)  
  • การมอบสิทธิ์เข้าใช้งานตามบทบาทและหน้าที่การทำงาน (การแบ่งแยกหน้าที่) ในสภาพแวดล้อมการทำงานจริง

การบันทึกและการเฝ้าติดตาม

  • การบันทึกการเข้าใช้งานและการเปลี่ยนแปลงข้อมูล  
  • การตรวจสอบส่วนกลางและบันทึกการรักษาความปลอดภัย   
  • การติดตามตรวจสอบความเสร็จสมบูรณ์และความถูกต้องในการถ่ายโอนข้อมูล (ตรวจสอบต้นทางจนถึงปลายทาง)

3. ความพร้อมใช้งาน “ความพร้อมใช้งานของบริการและระบบ IT แอปพลิเคชัน IT การทำงานของเครือข่าย IT หรือข้อมูลที่ได้รับการรับประกัน หากผู้ใช้สามารถใช้งานสิ่งดังกล่าวได้ตลอดเวลาตามที่ตั้งใจไว้”    

เราประยุกต์ใช้มาตรการความต่อเนื่องและการรักษาความปลอดภัยเพื่อคงไว้ซึ่งความพร้อมใช้งานของบริการและข้อมูลที่มีอยู่ในบริการเหล่านั้น:    

  • การทดสอบความล้มเหลวอย่างสม่ำเสมอเพื่อนำมาใช้กับการบริการที่สำคัญ  
  • ประสิทธิภาพการทำงานอันครอบคลุม/การติดตามความพร้อมใช้งานและการรายงานสำหรับระบบวิกฤติ  
  • โปรแกรมการตอบสนองต่อเหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบ  
  • ข้อมูลสำคัญไม่ว่าจะอยู่ในรูปสำเนาข้อมูลหรือการสำรองข้อมูล(การสำรองข้อมูลบนคลาวด์/ฮาร์ดดิสก์/การคัดลอกข้อมูลบนฐานข้อมูล เป็นต้น) 
  • ซอฟต์แวร์ที่วางแผนการใช้งานไว้ โครงสร้างพื้นฐานและคงไว้ซึ่งการรักษาความปลอดภัย (การอัปเดตซอฟต์แวร์ โปรแกรมแก้ไขปัญหาช่องโหว่ของการรักษาความปลอดภัย ฯลฯ)   
  • ระบบสำรองและกู้คืนข้อมูล (เซิร์ฟเวอร์คลัสเตอร์, การทำมิเรอร์ให้กับฐานข้อมูล การตั้งค่าความพร้อมใช้งานสูง ฯลฯ) ที่ติดตั้งไว้ทั้งในและนอกสถานที่ทำงาน และ/หรือสถานที่ตั้งเชิงภูมิศาสตร์ที่แยกจากกัน    
  • ใช้ตัวสำรองไฟที่ทำงานได้อย่างต่อเนื่อง ฮาร์ดแวร์สำรองเพื่อป้องกันการทำงานล้มเหลว และระบบเครือข่าย  
  • การแจ้งเตือน ระบบการรักษาความปลอดภัยในสถานที่  
  • วิธีการคุ้มครองทางกายภาพในสถานที่สำหรับสถานที่ที่มีความสำคัญสูง (อุปกรณ์ป้องกันแรงดันเกิน พื้นยกสูง ระบบทำความเย็น ไฟไหม้ และ/หรือเครื่องตรวจจับควัน ระบบดับเพลิงอัตโนมัติ ฯลฯ) 
  • การป้องกัน DDOS เพื่อคงไว้ซึ่งความพร้อมใช้งาน   
  • การทดสอบการโหลดปกติและในภาวะวิกฤติ

4. คำแนะนำในการประมวลผลข้อมูล “คำแนะนำในการประมวลผลข้อมูลหมายถึงการดูแลให้ข้อมูลส่วนบุคคลได้รับการประมวลผลตามคำแนะนำของผู้ควบคุมข้อมูลและมาตรการของบริษัทที่เกี่ยวข้องเท่านั้น”  

เราได้จัดทำนโยบายความเป็นส่วนตัวภายใน ข้อตกลง และดำเนินการฝึกอบรมเรื่องความเป็นส่วนตัวอย่างสม่ำเสมอสำหรับพนักงานเพื่อให้ข้อมูลส่วนบุคคลได้รับการประมวลผลตามความต้องการและคำแนะนำของลูกค้า   

  • นโยบายและเงื่อนไขในการปกปิดความลับที่ระบุไว้ในสัญญาจ้างพนักงาน 
  • การฝึกอบรมเรื่องข้อมูลส่วนตัวและการรักษาความปลอดภัยของข้อมูลส่วนตัวให้กับพนักงานอย่างสม่ำเสมอ 
  • บทบัญญัติสัญญาที่เหมาะสมกับข้อตกลงที่มีผู้ให้บริการช่วงเพื่อคงไว้ซึ่งสิทธิ์ในการควบคุมดูแล 
  • การตรวจสอบความเป็นส่วนตัวสำหรับผู้ให้บริการภายนอกอย่างสม่ำเสมอ 
  • การมอบอำนาจให้กับลูกค้าในการควบคุมดูแลการกำหนดค่าในการประมวลผลข้อมูลของตนโดยสมบูรณ์ 
  • การตรวจสอบการรักษาความปลอดภัยอย่างสม่ำเสมอ 

ภาคผนวก 3 - ผู้ประมวลผลช่วงของ GoDaddy

ชื่อบริษัท
ประเทศที่ก่อตั้งบริษัท
รายละเอียดบริการ
หมวดข้อมูล
Acronis International GmbH สวิตเซอร์แลนด์ การสำรองข้อมูลลูกค้า สแนปช็อตการสำรองข้อมูล
Automattic Inc สหรัฐอเมริกา ปลั๊กอิน WooCommerce และส่วนเสริมภายในอีคอมเมิร์ซ WordPress โปรไฟล์ผู้ใช้ WordPress ของลูกค้า (รวมถึงชื่อและที่อยู่อีเมล) และโปรไฟล์ของพนักงาน/ผู้รับเหมา
Cisco International Limited, Cisco Solutions GmbH, Cisco Systems Inc สหราชอาณาจักร เยอรมนี สหรัฐอเมริกา จัดหาและจัดการโซลูชันเครือข่ายซึ่งเป็นส่วนหนึ่งของเครือข่ายของเรา รวมถึงการวิเคราะห์เมตาดาต้า ประมวลผลเมตาดาต้าแสดงที่อยู่ IP, การประทับเวลา และการรับส่งข้อมูลเครือข่าย
cPanel Inc สหรัฐอเมริกา ซอฟต์แวร์การจัดการ cPanel สำหรับผลิตภัณฑ์โฮสติ้งและเซิร์ฟเวอร์ ข้อมูลลูกค้าที่เก็บไว้ใน cPanel
DENIC eG เยอรมนี การจดทะเบียนโดเมน .de ข้อมูลบัญชีทั้งหมดที่จำเป็นในการจัดหาโดเมน ข้อมูล WHOIS
Equinix Netherlands BV เนเธอร์แลนด์ ศูนย์ข้อมูล Colocation ในเนเธอร์แลนด์ ไม่มีการประมวลผลข้อมูลส่วนบุคคลโดยเจตนา
EURid vzw เบลเยียม การจดทะเบียนโดเมน .eu ข้อมูลบัญชีทั้งหมดที่จำเป็นในการจัดหาโดเมน ข้อมูล WHOIS
Juniper Networks Inc สหรัฐอเมริกา จัดหาและจัดการโซลูชันเครือข่ายซึ่งเป็นส่วนหนึ่งของเครือข่ายของเรา รวมถึงการวิเคราะห์เมตาดาต้า ที่อยู่ IP, การประทับเวลา การรับส่งข้อมูลเครือข่าย
LivePerson Inc สหรัฐอเมริกา เครื่องมือแชท “LiveEngage” บนเว็บไซต์ของเรา สำเนาแชท ข้อมูลอัตโนมัติ เช่น ที่อยู่ IP, ระบบปฏิบัติการ และประเภทของอุปกรณ์
LvivIT ยูเครน ให้การสนับสนุนแพลตฟอร์มการดำเนินงาน ข้อมูลบัญชีลูกค้าทั้งหมด
OVH Grouppe SAS ฝรั่งเศส ศูนย์ข้อมูล Colocation ในเยอรมนี การขายต่อผลิตภัณฑ์เซิร์ฟเวอร์ ข้อมูลที่โฮสต์โดยลูกค้า ซึ่งรวมถึงแต่ไม่จำกัดเพียงเว็บไซต์ แอปพลิเคชัน และข้อมูลจากลูกค้า ซึ่งอาจรวมถึงการรับส่งข้อมูลเครือข่าย
Plesk International GmbH เยอรมนี แผงควบคุม Plesk สำหรับ VPS และเซิร์ฟเวอร์เฉพาะและโปรแกรมทำเว็บ Plus ข้อมูลลูกค้าใดๆ ที่จัดเก็บไว้ในแผงควบคุม Plesk รวมถึงข้อมูลลูกค้าที่จัดเก็บไว้ในเว็บไซต์ที่โฮสต์
Datadock SARL ฝรั่งเศส ศูนย์ข้อมูล Colocation ในฝรั่งเศส บริการฮาร์ดแวร์และเครือข่าย ไม่มีการประมวลผลข้อมูลส่วนบุคคลโดยเจตนา
GoDaddy Media Temple Inc d/b/a Sucuri สหรัฐอเมริกา
ผลิตภัณฑ์ SAAS: รักษาความปลอดภัยเว็บไซต์ลูกค้าจากมัลแวร์
ข้อมูลบัญชีที่จำเป็นสำหรับการจัดหาเว็บไซต์ ตลอดจนข้อมูลลูกค้าที่จัดเก็บไว้ในเว็บไซต์ที่โฮสต์
GoDaddy Media Temple Inc d/b/a Sucuri สหรัฐอเมริกา ภายใน: Web Application Firewall บนเว็บไซต์แบรนด์ของเราและในแผงควบคุมของลูกค้าเพื่อปกป้องแบรนด์ไอทีและข้อมูลลูกค้า การตรวจสอบจำนวนคนเข้าชมเว็บไซต์ เมตาดาต้าแสดงที่อยู่ IP, การประทับเวลา และการรับส่งข้อมูลเครือข่าย
Starfield Technologies LLC สหรัฐอเมริกา SSL Certificate ข้อมูลบัญชีลูกค้าทั้งหมดที่จำเป็นสำหรับ SSL Certificate
DomainsByProxy LLC สหรัฐอเมริกา บริการความเป็นส่วนตัวของโดเมน การลงทะเบียนโดเมนและรายละเอียดผู้ติดต่อ
GoDaddy Sellbrite, Inc. สหรัฐอเมริกา เครื่องมือการค้าปลีกออนไลน์ ข้อมูลธุรกรรมและสินค้าจากร้านค้าออนไลน์
GoDaddy Payments LLC สหรัฐอเมริกา เครื่องมือการประมวลผลการชำระเงิน  

ภาคผนวก 4

ดูส่วนที่ 9.2 ของบทต่อท้ายสำหรับการใช้ประโยชน์จาก SCC เหล่านี้

ข้อสัญญามาตรฐาน (ผู้ควบคุมไปยังผู้ประมวลผล)

ส่วนที่ 1

ข้อ 1

วัตถุประสงค์และขอบเขต

  1. วัตถุประสงค์ของข้อสัญญามาตรฐานเหล่านี้คือเพื่อรักษาการปฏิบัติตามข้อกำหนดของระเบียบ (EU) 2016/679 ของรัฐสภายุโรปและคณะมนตรีเมื่อวันที่ 27 เมษายน 2016 ว่าด้วยการคุ้มครองบุคคลธรรมดาที่เกี่ยวข้องกับการประมวลผลของข้อมูลส่วนบุคคลและการเคลื่อนย้ายข้อมูลดังกล่าวโดยเสรี (ระเบียบการคุ้มครองข้อมูลทั่วไป หรือ GDPR) สำหรับการถ่ายโอนข้อมูลไปยังประเทศที่สาม
  2. คู่สัญญา:
    1. บุคคลธรรมดาหรือนิติบุคคล หน่วยงานสาธารณะ ตัวแทน หรือหน่วยงานอื่นๆ (ต่อไปนี้เรียกว่า ‘บุคคล’) ที่ถ่ายโอนข้อมูลส่วนบุคคลตามที่ระบุไว้ในภาคผนวก I.A (ต่อไปนี้จะเรียกแต่ละรายว่า ‘ผู้ส่งออกข้อมูล’) และ
    2. บุคคลในประเทศที่สามที่ได้รับข้อมูลส่วนบุคคลจากผู้ส่งออกข้อมูลทั้งทางตรงและทางอ้อมผ่านหน่วยงานอื่นที่เป็นคู่สัญญาของข้อกำหนดเหล่านี้ตามที่ระบุไว้ในภาคผนวก I.A (ต่อไปนี้เรียกว่า ‘ผู้นำเข้าข้อมูล’) ได้ยอมรับข้อสัญญามาตรฐานเหล่านี้ (ต่อไปนี้เรียกว่า “ข้อกำหนด”)
  3. ข้อกำหนดเหล่านี้มีผลบังคับใช้กับการถ่ายโอนข้อมูลส่วนบุคคลตามที่ระบุไว้ในภาคผนวก I.B
  4. ภาคผนวกของข้อกำหนดเหล่านี้ที่มีภาคผนวกที่อ้างถึงในนั้นถือเป็นส่วนสำคัญของข้อกำหนดเหล่านี้

ข้อ 2

ผลกระทบและความไม่แปรผันของข้อกำหนด

  1. ข้อกำหนดเหล่านี้กำหนดมาตรการป้องกันที่เหมาะสม ซึ่งรวมถึงสิทธิ์ของเจ้าของข้อมูลที่บังคับใช้และการเยียวยาทางกฎหมายที่มีประสิทธิภาพ ตามมาตรา 46(1) และมาตรา 46(2)(c) ของระเบียบ (EU) 2016/679 และในส่วนที่เกี่ยวกับการโอนย้ายข้อมูลจากผู้ควบคุมไปยังผู้ประมวลผลและ/หรือจากผู้ประมวลผลไปยังผู้ประมวลผลของข้อสัญญามาตรฐานตามมาตรา 28(7) ของระเบียบ (EU) 2016/679 โดยที่จะไม่มีการแก้ไข ยกเว้นเพื่อเลือกโมดูลที่เหมาะสม หรือเพื่อเพิ่มหรืออัปเดตข้อมูลในภาคผนวก ข้อกำหนดนี้ไม่ได้ห้ามไม่ให้คู่สัญญารวมข้อสัญญามาตรฐานที่กำหนดไว้ในข้อกำหนดเหล่านี้ในสัญญาที่กว้างขึ้นและ/หรือเพื่อเพิ่มข้ออื่นๆ หรือการป้องกันเพิ่มเติมโดยมีเงื่อนไขว่าจะไม่ขัดแย้งโดยตรงหรือโดยอ้อมกับข้อกำหนดเหล่านี้หรือกระทบต่อสิทธิขั้นพื้นฐาน หรือเสรีภาพของเจ้าของข้อมูล
  2. ข้อกำหนดเหล่านี้ไม่กระทบต่อภาระหน้าที่ซึ่งผู้ส่งออกข้อมูลอยู่ภายใต้บังคับของระเบียบ (EU) 2016/679

ข้อ 3

ผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม

  1. เจ้าของข้อมูลอาจเรียกใช้และบังคับใช้ข้อกำหนดเหล่านี้ในฐานะผู้รับผลประโยชน์ที่เป็นบุคคลที่สามกับผู้ส่งออกข้อมูลและ/หรือผู้นำเข้าข้อมูล โดยมีข้อยกเว้นดังต่อไปนี้
    1. ข้อ 1 ข้อ 2 ข้อ 3 ข้อ 6 ข้อ 7
    2. ข้อ 8.1(ข) 8.9(ฟ) (ค) (ง) และ (จ)
    3. ข้อ 9(ก) (ค) (ง) และ (จ)
    4. ข้อ 12(ก) (ง) และ (ฉ)
    5. ข้อ 13
    6. ข้อ 15.1(ค) (ง) และ (จ)
    7. ข้อ 16(จ) (viii) ข้อ 18(ก) และ (ข)
  2. วรรค (ก) ไม่กระทบต่อสิทธิ์ของเจ้าของข้อมูลภายใต้ระเบียบ (EU) 2016/679

ข้อ 4

การตีความ

  1. ในกรณีที่ข้อกำหนดเหล่านี้ใช้ข้อกำหนดที่กำหนดไว้ในระเบียบ (EU) 2016/679 ข้อกำหนดเหล่านั้นจะมีความหมายเช่นเดียวกับในระเบียบนั้น
  2. ข้อกำหนดเหล่านี้จะต้องอ่านและตีความตามบทบัญญัติของระเบียบ (EU) 2016/679
  3. ข้อกำหนดเหล่านี้จะไม่ถูกตีความในลักษณะที่ขัดต่อสิทธิและหน้าที่ที่กำหนดไว้ในระเบียบ (EU) 2016/679

ข้อ 5

ลำดับขั้น

ในกรณีที่มีข้อขัดแย้งระหว่างข้อกำหนดเหล่านี้และข้อกำหนดของข้อตกลงที่เกี่ยวข้องระหว่างคู่สัญญาที่มีอยู่ในขณะที่ข้อกำหนดเหล่านี้ได้รับการตกลงหรือเข้าร่วมในภายหลัง ข้อกำหนดเหล่านี้จะมีผลเหนือกว่า

ข้อ 6

รายละเอียดของการโอนย้าย

รายละเอียดของการโอนย้ายและโดยเฉพาะอย่างยิ่งหมวดหมู่ของข้อมูลส่วนบุคคลที่โอนย้ายและวัตถุประสงค์ในการโอนย้ายนั้นระบุไว้ในภาคผนวก I.B

ข้อ 7 - การตั้งใจละเลย

ส่วนที่ 2 - ภาระผูกพันของคู่สัญญา

ข้อ 8

มาตรการการปกป้องข้อมูล

ผู้ส่งออกข้อมูลรับประกันว่าได้ใช้ความพยายามอย่างสมเหตุสมผลในการพิจารณาว่าผู้นำเข้าข้อมูลสามารถดำเนินการตามมาตรการทางเทคนิคและเชิงองค์กรที่เหมาะสมเพื่อปฏิบัติตามภาระผูกพันภายใต้ข้อกำหนดเหล่านี้

8.1 คำสั่ง

  1. ผู้นำเข้าข้อมูลจะต้องประมวลผลข้อมูลส่วนบุคคลตามคำแนะนำอย่างเป็นลายลักษณ์อักษรจากผู้ส่งออกข้อมูลเท่านั้น ผู้ส่งออกข้อมูลอาจให้คำแนะนำดังกล่าวตลอดระยะเวลาของสัญญา
  2. ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบทันทีหากไม่สามารถปฏิบัติตามคำแนะนำดังกล่าวได้

8.2 ข้อจำกัดวัตถุประสงค์

ผู้นำเข้าข้อมูลจะต้องประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เฉพาะของการถ่ายโอนเท่านั้น ตามที่กำหนดไว้ในภาคผนวก I.B เว้นแต่จะได้รับคำแนะนำเพิ่มเติมจากผู้ส่งออกข้อมูล

8.3 ความโปร่งใส

เมื่อได้รับการร้องขอ ผู้ส่งออกข้อมูลจะต้องทำสำเนาของข้อกำหนดเหล่านี้ รวมถึงภาคผนวกที่คู่สัญญาได้กรอกไว้ ให้กับเจ้าของข้อมูลโดยไม่เสียค่าใช้จ่าย ในขอบเขตที่จำเป็นเพื่อปกป้องความลับทางธุรกิจหรือข้อมูลที่เป็นความลับอื่นๆ ซึ่งรวมถึงมาตรการที่อธิบายไว้ในภาคผนวก II และข้อมูลส่วนบุคคล ผู้ส่งออกข้อมูลสามารถแก้ไขส่วนหนึ่งของข้อความในภาคผนวกของข้อกำหนดเหล่านี้ก่อนที่จะเปิดเผยสำเนา แต่จะต้องจัดทำสรุปที่สื่อความหมายเพียงพอในกรณีที่เจ้าของข้อมูลไม่สามารถเข้าใจเนื้อหาหรือใช้สิทธิ์ของตนได้ เมื่อมีการร้องขอ คู่สัญญาจะต้องให้เหตุผลในการปิดบังส่วนของข้อความแก่เจ้าของข้อมูลในขอบเขตที่เป็นไปได้โดยไม่เปิดเผยข้อมูลที่บิดบัง ข้อนี้ไม่กระทบต่อภาระหน้าที่ของผู้ส่งออกข้อมูลภายใต้มาตรา 13 และ 14 ของระเบียบ (EU) 2016/679

8.4 ความแม่นยำ

หากผู้นำเข้าข้อมูลทราบว่าข้อมูลส่วนบุคคลที่ได้รับไม่ถูกต้องหรือล้าสมัยจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบโดยเร็วที่สุด ในกรณีนี้ ผู้นำเข้าข้อมูลจะต้องร่วมมือกับผู้ส่งออกข้อมูลเพื่อลบหรือแก้ไขข้อมูล

8.5 ระยะเวลาของการประมวลผลและการลบหรือการส่งคืนข้อมูล

การประมวลผลโดยผู้นำเข้าข้อมูลต้องดำเนินการตามระยะเวลาที่ระบุไว้ในภาคผนวก I.B หลังจากสิ้นสุดข้อกำหนดของบริการประมวลผล ผู้นำเข้าข้อมูลต้องลบข้อมูลส่วนบุคคลทั้งหมดที่ประมวลผลในนามของผู้ส่งออกข้อมูลตามความต้องการของผู้ส่งออกข้อมูล และรับรองกับผู้ส่งออกข้อมูลว่าได้ดำเนินการดังกล่าวแล้ว หรือส่งข้อมูลส่วนบุคคลทั้งหมดที่ประมวลผลในนามของผู้ส่งออกข้อมูลกลับไปที่ผู้ส่งออกข้อมูลและลบสำเนาที่มีอยู่ ผู้นำเข้าข้อมูลจะต้องปฏิบัติตามข้อกำหนดเหล่านี้จนกว่าข้อมูลจะถูกลบหรือถูกส่งคืน ในกรณีของกฎหมายท้องถิ่นที่ใช้บังคับกับผู้นำเข้าข้อมูลที่ห้ามไม่ให้ส่งคืนหรือลบข้อมูลส่วนบุคคล ผู้นำเข้าข้อมูลรับประกันว่าจะยังคงปฏิบัติตามข้อกำหนดเหล่านี้และจะประมวลผลตามขอบเขตและตราบเท่าที่จำเป็นภายใต้กฎหมายท้องถิ่นนั้นเท่านั้น โดยไม่กระทบต่อข้อ 14 โดยเฉพาะข้อกำหนดสำหรับผู้นำเข้าข้อมูลตามข้อ 14(จ) ที่ต้องแจ้งให้ผู้ส่งออกข้อมูลทราบตลอดระยะเวลาของสัญญาหากมีเหตุผลที่เชื่อได้ว่าเป็นไปตามกฎหมายหรือแนวปฏิบัติไม่เป็นไปตามข้อกำหนดในข้อ 14(ก)

8.6 ความปลอดภัยของการประมวลผล

  1. ผู้นำเข้าข้อมูลและในระหว่างการส่ง ผู้ส่งออกข้อมูลจะต้องใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อรับรองความปลอดภัยของข้อมูล รวมถึงการป้องกันการละเมิดความปลอดภัยอันนำไปสู่การทำลาย การสูญเสีย การแก้ไข การเปิดเผยโดยไม่ได้รับอนุญาตหรือการเข้าถึงข้อมูลนั้นโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย (ต่อไปนี้เรียกว่า ‘การละเมิดข้อมูลส่วนบุคคล’) ในการประเมินระดับความปลอดภัยที่เหมาะสม คู่สัญญาจะต้องคำนึงถึงความทันสมัย ค่าใช้จ่ายในการดำเนินการ ลักษณะ ขอบเขต บริบทและวัตถุประสงค์ของการประมวลผล และความเสี่ยงที่เกี่ยวข้องกับการประมวลผลสำหรับเจ้าของข้อมูล โดยเฉพาะอย่างยิ่ง คู่สัญญาจะต้องพิจารณาให้มีการเข้ารหัสหรือการแฝงข้อมูล รวมถึงในระหว่างการส่ง ซึ่งวัตถุประสงค์ของการประมวลผลสามารถบรรลุผลได้ในลักษณะนั้น ในกรณีของการแฝงข้อมูล ข้อมูลเพิ่มเติมสำหรับการระบุแหล่งที่มาของข้อมูลส่วนบุคคลกับเจ้าของข้อมูลเฉพาะ หากเป็นไปได้ จะยังคงอยู่ภายใต้การควบคุมของผู้ส่งออกข้อมูลแต่เพียงผู้เดียว ในการปฏิบัติตามภาระหน้าที่ตามวรรคนี้ ผู้นำเข้าข้อมูลต้องดำเนินการตามมาตรการทางเทคนิคและเชิงองค์กรตามที่ระบุไว้ในภาคผนวก II เป็นอย่างน้อย ผู้นำเข้าข้อมูลจะต้องดำเนินการตรวจสอบอย่างสม่ำเสมอเพื่อให้แน่ใจว่ามาตรการเหล่านี้ยังคงให้ระดับความปลอดภัยที่เหมาะสม
  2. ผู้นำเข้าข้อมูลจะต้องให้สิทธิ์การเข้าถึงข้อมูลส่วนบุคคลแก่สมาชิกบุคลากรของตนเท่าที่จำเป็นอย่างเคร่งครัดสำหรับการดำเนินการ การจัดการ และการตรวจสอบสัญญา จะต้องรับประกันว่าบุคคลที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนบุคคลได้ให้คำมั่นว่าจะรักษาความลับหรืออยู่ภายใต้ภาระหน้าที่ตามกฎหมายที่เหมาะสมในการรักษาความลับ
  3. ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคลเกี่ยวกับข้อมูลส่วนบุคคลที่ประมวลผลโดยผู้นำเข้าข้อมูลภายใต้ข้อกำหนดเหล่านี้ ผู้นำเข้าข้อมูลจะใช้มาตรการที่เหมาะสมเพื่อจัดการกับการละเมิด รวมถึงมาตรการเพื่อบรรเทาผลกระทบที่ไม่พึงประสงค์ ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบโดยเร็วที่สุดหลังจากทราบถึงการละเมิด การแจ้งเตือนดังกล่าวจะต้องมีรายละเอียดแสดงจุดติดต่อที่สามารถขอข้อมูลเพิ่มเติม คำอธิบายเกี่ยวกับลักษณะของการละเมิด (รวมถึงหมวดหมู่และจำนวนโดยประมาณของเจ้าของข้อมูลและบันทึกข้อมูลส่วนบุคคลที่เกี่ยวข้อง) ผลที่อาจตามมาและมาตรการที่ดำเนินการหรือเสนอเพื่อแก้ไขการละเมิด รวมถึงมาตรการเพื่อบรรเทาผลกระทบที่อาจเกิดขึ้นตามความเหมาะสม ในกรณีที่ไม่สามารถให้ข้อมูลทั้งหมดพร้อมกันได้ การแจ้งเตือนในเบื้องต้นจะต้องมีข้อมูลที่มีอยู่ในขณะนั้นและข้อมูลอื่นๆ จะต้องจัดให้มีในภายหลังโดยเร็วที่สุด
  4. ผู้นำเข้าข้อมูลจะต้องร่วมมือและช่วยเหลือผู้ส่งออกข้อมูลเพื่อให้ผู้ส่งออกข้อมูลสามารถปฏิบัติตามภาระหน้าที่ของตนภายใต้ระเบียบ (EU) 2016/679 โดยเฉพาะอย่างยิ่งเพื่อแจ้งหน่วยงานกำกับดูแลที่มีอำนาจและเจ้าของข้อมูลที่ได้รับผลกระทบ โดยคำนึงถึงลักษณะของการประมวลผลและข้อมูลที่มีให้สำหรับผู้นำเข้าข้อมูล

8.7 ข้อมูลที่ละเอียดอ่อน

ในกรณีที่การโอนย้ายเกี่ยวข้องกับข้อมูลส่วนบุคคลที่เปิดเผยที่มาทางเชื้อชาติหรือชาติพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา หรือการเป็นสมาชิกสหภาพแรงงาน ข้อมูลทางพันธุกรรม หรือข้อมูลชีวภาพเพื่อวัตถุประสงค์ในการระบุตัวบุคคลโดยเฉพาะ ข้อมูลเกี่ยวกับสุขภาพหรือชีวิตทางเพศของบุคคลหรือรสนิยมทางเพศ หรือข้อมูลที่เกี่ยวข้องกับการตัดสินลงโทษทางอาญาและความผิดทางอาญา (ต่อไปนี้เรียกว่า ‘ข้อมูลที่ละเอียดอ่อน’) ผู้นำเข้าข้อมูลต้องใช้ข้อจำกัดเฉพาะและ/หรือการป้องกันเพิ่มเติมที่อธิบายไว้ในภาคผนวก I.B

8.8 การส่งต่อ

ผู้นำเข้าข้อมูลจะต้องเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลที่สามตามคำแนะนำอย่างเป็นลายลักษณ์อักษรจากผู้ส่งออกข้อมูลเท่านั้น นอกจากนี้ ข้อมูลจะต้องเปิดเผยต่อบุคคลที่สามที่อยู่นอกสหภาพยุโรปเท่านั้น (ในประเทศเดียวกับผู้นำเข้าข้อมูลหรือในประเทศที่สามอื่น ซึ่งต่อไปนี้เรียกว่า ‘การส่งต่อ’) หากบุคคลที่สามเป็นหรือตกลงที่จะผูกพันตามข้อเหล่านี้ภายใต้โมดูลที่เหมาะสม หรือในกรณีต่อไปนี้

  1. การส่งต่อไปยังประเทศที่ได้รับประโยชน์จากการตัดสินใจที่เพียงพอตามมาตรา 45 ของระเบียบ (EU) 2016/679 ที่ครอบคลุมการส่งต่อ
  2. บุคคลที่สามต้องดูแลให้มีการป้องกันที่เหมาะสมตามมาตราที่ 46 หรือ 47 ในระเบียบ (EU) 2016/679 ในส่วนที่เกี่ยวกับการประมวลผลที่เป็นปัญหา
  3. การส่งต่อมีความจำเป็นสำหรับการจัดตั้ง การดำเนินการ หรือการป้องกันข้อเรียกร้องทางกฎหมายในบริบทของการดำเนินการทางปกครอง ระเบียบข้อบังคับ หรือการพิจารณาคดีที่เฉพาะเจาะจง หรือ (iv) การส่งต่อมีความจำเป็นเพื่อปกป้องผลประโยชน์ที่สำคัญของเจ้าของข้อมูลหรือของบุคคลอื่น
  4. การส่งต่อใดๆ จะต้องปฏิบัติตามโดยผู้นำเข้าข้อมูลพร้อมกับการป้องกันอื่นๆ ทั้งหมดภายใต้ข้อกำหนดเหล่านี้ โดยเฉพาะอย่างยิ่งการจำกัดวัตถุประสงค์

8.9 การจัดทำเอกสารและการปฏิบัติตามข้อกำหนด

  1. ผู้นำเข้าข้อมูลต้องจัดการกับคำถามจากผู้ส่งออกข้อมูลที่เกี่ยวข้องกับการประมวลผลภายใต้ข้อกำหนดเหล่านี้โดยทันทีและเพียงพอ
  2. คู่สัญญาจะต้องสามารถแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดเหล่านี้ โดยเฉพาะอย่างยิ่ง ผู้นำเข้าข้อมูลจะต้องจัดทำเอกสารที่เหมาะสมเกี่ยวกับกิจกรรมการประมวลผลที่ดำเนินการในนามของผู้ส่งออกข้อมูล
  3. ผู้นำเข้าข้อมูลจะต้องจัดเตรียมข้อมูลทั้งหมดที่จำเป็นต่อผู้ส่งออกเพื่อแสดงการปฏิบัติตามภาระหน้าที่ที่กำหนดไว้ในข้อกำหนดเหล่านี้และตามคำขอของผู้ส่งออกข้อมูล อนุญาตและสนับสนุนการตรวจสอบกิจกรรมการประมวลผลที่ครอบคลุมโดยข้อกำหนดเหล่านี้ ในช่วงเวลาที่เหมาะสมหรือ หากมีข้อบ่งชี้ของการไม่ปฏิบัติตาม ในการตัดสินใจทบทวนหรือตรวจสอบ ผู้ส่งออกข้อมูลอาจคำนึงถึงการรับรองที่เกี่ยวข้องที่ผู้นำเข้าข้อมูลถืออยู่
  4. ผู้ส่งออกข้อมูลอาจเลือกดำเนินการตรวจสอบด้วยตนเองหรือมอบหมายให้ผู้ตรวจสอบอิสระ การตรวจสอบอาจรวมถึงการตรวจสอบที่สถานที่หรือสิ่งอำนวยความสะดวกทางกายภาพของผู้นำเข้าข้อมูล และต้องดำเนินการด้วยการแจ้งให้ทราบตามสมควร
  5. คู่สัญญาจะต้องให้ข้อมูลที่อ้างถึงในวรรค (ข) และ (ค) รวมถึงผลการตรวจสอบใดๆ ที่มีให้หน่วยงานกำกับดูแลที่มีอำนาจเมื่อมีการร้องขอ

ข้อ 9

การใช้ผู้ประมวลผลช่วง

  1. ผู้นำเข้าข้อมูลได้รับอนุญาตทั่วไปจากผู้ส่งออกข้อมูลสำหรับการมีส่วนร่วมของผู้ประมวลผลช่วงจากรายชื่อที่ตกลงกันไว้ ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบเป็นลายลักษณ์อักษรถึงการเปลี่ยนแปลงใดๆ ในรายชื่อนั้นผ่านการเพิ่มหรือเปลี่ยนผู้ประมวลผลช่วงล่วงหน้าอย่างน้อยสิบห้า (15) วัน ซึ่งจะทำให้ผู้ส่งออกข้อมูลมีเวลาเพียงพอที่จะสามารถคัดค้านการเปลี่ยนแปลงดังกล่าวก่อนการมีส่วนร่วมของผู้ประมวลผลช่วง ผู้นำเข้าข้อมูลจะต้องให้ข้อมูลที่จำเป็นแก่ผู้ส่งออกข้อมูลเพื่อให้ผู้ส่งออกข้อมูลสามารถใช้สิทธิ์ในการคัดค้านได้
  2. ในกรณีที่ผู้นำเข้าข้อมูลใช้ผู้ประมวลผลช่วงเพื่อดำเนินกิจกรรมการประมวลผลเฉพาะ (ในนามของผู้ส่งออกข้อมูล) ผู้นำเข้าข้อมูลจะต้องดำเนินการตามสัญญาเป็นลายลักษณ์อักษรที่ให้ข้อกำหนดในการปกป้องข้อมูลเช่นเดียวกับที่มีผลผูกพันผู้นำเข้าข้อมูลภายใต้เงื่อนไขเหล่านี้ รวมถึงในแง่ของสิทธิ์ผู้รับผลประโยชน์ที่เป็นบุคคลที่สามสำหรับเจ้าของข้อมูล คู่สัญญาตกลงร่วมกันว่าในการปฏิบัติตามข้อกำหนดนี้ ผู้นำเข้าข้อมูลปฏิบัติตามข้อผูกพันตามข้อ 8.8 ผู้นำเข้าข้อมูลจะต้องดูแลให้ผู้ประมวลผลช่วงนั้นปฏิบัติตามภาระผูกพันที่ผู้นำเข้าข้อมูลอยู่ภายใต้ข้อกำหนดเหล่านี้
  3. ผู้นำเข้าข้อมูลจะต้องจัดเตรียมสำเนาของข้อตกลงผู้ประมวลผลช่วงดังกล่าวและการแก้ไขเพิ่มเติมใดๆ ต่อผู้ส่งออกข้อมูลตามคำร้องขอของผู้ส่งออกข้อมูล ผู้นำเข้าข้อมูลสามารถแก้ไขข้อความของข้อตกลงก่อนที่จะเปิดเผยสำเนา โดยอยู่ในขอบเขตที่จำเป็นในการปกป้องความลับทางธุรกิจหรือข้อมูลที่เป็นความลับอื่นๆ รวมถึงข้อมูลส่วนบุคคล
  4. ผู้นำเข้าข้อมูลจะต้องรับผิดชอบต่อผู้ส่งออกข้อมูลอย่างเต็มที่สำหรับการปฏิบัติตามภาระหน้าที่ของผู้ประมวลผลช่วงภายใต้สัญญากับผู้นำเข้าข้อมูล ผู้นำเข้าข้อมูลต้องแจ้งให้ผู้ส่งออกข้อมูลทราบถึงความล้มเหลวของผู้ประมวลผลช่วงในการปฏิบัติตามภาระผูกพันภายใต้สัญญานั้น
  5. ผู้นำเข้าข้อมูลจะต้องยอมรับข้อตกลงผู้รับผลประโยชน์ที่เป็นบุคคลที่สามกับผู้ประมวลผลช่วง โดยหากเกิดกรณีที่ผู้นำเข้าข้อมูลหายไปตามความเป็นจริง หยุดอยู่ในกฎหมาย หรือล้มละลาย ผู้ส่งออกข้อมูลมีสิทธิ์ที่จะยุติสัญญาผู้ประมวลผลช่วงและสั่งให้ผู้ประมวลผลช่วงลบหรือส่งคืนข้อมูลส่วนบุคคล

ข้อ 10

สิทธิ์ของเจ้าของข้อมูล

  1. ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบโดยทันทีถึงคำขอที่ได้รับจากเจ้าของข้อมูล ผู้นำเข้าข้อมูลจะไม่ตอบสนองต่อคำขอนั้นเองเว้นแต่จะได้รับอนุญาตจากผู้ส่งออกข้อมูล
  2. ผู้นำเข้าข้อมูลจะต้องช่วยเหลือผู้ส่งออกข้อมูลในการปฏิบัติตามภาระหน้าที่ในการตอบสนองต่อคำขอของเจ้าของข้อมูลสำหรับการใช้สิทธิ์ของตนภายใต้ระเบียบ (EU) 2016/679 ในการนี้ คู่สัญญาจะต้องกำหนดมาตรการทางเทคนิคและองค์กรที่เหมาะสมในภาคผนวก II โดยคำนึงถึงธรรมชาติของการประมวลผล โดยจะให้ความช่วยเหลือตลอดจนขอบข่ายและขอบเขตของความช่วยเหลือที่จำเป็น
  3. ในการปฏิบัติตามข้อผูกพันตามวรรค (ก) และ (ข) ผู้นำเข้าข้อมูลต้องปฏิบัติตามคำแนะนำของผู้ส่งออกข้อมูล

ข้อ 11

การชดเชย

  1. ผู้นำเข้าข้อมูลจะต้องแจ้งให้เจ้าของข้อมูลทราบในรูปแบบที่โปร่งใสและเข้าถึงง่าย ผ่านการแจ้งส่วนบุคคลหรือผ่านทางเว็บไซต์ของจุดติดต่อที่ได้รับอนุญาตให้จัดการการร้องเรียน ผู้นำเข้าข้อมูลจะต้องจัดการข้อร้องเรียนที่ได้รับจากเจ้าของข้อมูลโดยทันที
  2. ในกรณีที่มีข้อพิพาทระหว่างเจ้าของข้อมูลกับคู่สัญญาฝ่ายใดฝ่ายหนึ่งเกี่ยวกับการปฏิบัติตามข้อกำหนดเหล่านี้ คู่สัญญานั้นจะต้องพยายามอย่างสุดความสามารถเพื่อแก้ไขปัญหาอย่างละมุนละม่อมในเวลาที่เหมาะสม คู่สัญญาจะต้องแจ้งให้อีกฝ่ายทราบเกี่ยวกับข้อพิพาทดังกล่าวและให้ความร่วมมือในการแก้ไขตามสมควร
  3. ในกรณีที่เจ้าของข้อมูลเรียกใช้สิทธิ์ผู้รับผลประโยชน์ที่เป็นบุคคลที่สามตามข้อ 3 ผู้นำเข้าข้อมูลต้องยอมรับการตัดสินใจของเจ้าของข้อมูลในเรื่อง
    1. ยื่นคำร้องต่อหน่วยงานกำกับดูแลในประเทศสมาชิกของที่อยู่อาศัยหรือสถานที่ทำงานของตนหรือหน่วยงานกำกับดูแลที่มีอำนาจตามข้อ 13
    2. ส่งข้อพิพาทไปยังศาลที่มีอำนาจตามความหมายของข้อ 18
  4. คู่สัญญาต่างยอมรับว่าเจ้าของข้อมูลอาจเป็นตัวแทนของหน่วยงานองค์กรหรือสมาคมที่ไม่แสวงหาผลกำไรภายใต้เงื่อนไขที่กำหนดไว้ในมาตรา 80(1) ของระเบียบ (EU) 2016/679
  5. ผู้นำเข้าข้อมูลจะต้องปฏิบัติตามการตัดสินใจที่มีผลผูกพันภายใต้กฎหมายของสหภาพยุโรปหรือประเทศสมาชิกที่บังคับใช้
  6. ผู้นำเข้าข้อมูลตกลงว่าการเลือกที่ทำโดยเจ้าของข้อมูลจะไม่กระทบกระเทือนถึงสิทธิ์ในสาระสำคัญและขั้นตอนของตนในการแสวงหาการเยียวยาตามกฎหมายที่บังคับใช้

ข้อ 12

ความรับผิด

  1. คู่สัญญาต้องรับผิดชอบต่ออีกฝ่ายหนึ่งหากเกิดความเสียหายใดๆ ที่ก่อให้เกิดแก่อีกฝ่ายหนึ่งอันเนื่องมาจากการละเมิดข้อกำหนดเหล่านี้
  2. ผู้นำเข้าข้อมูลจะต้องรับผิดชอบต่อเจ้าของข้อมูล และเจ้าของข้อมูลมีสิทธิ์ได้รับค่าชดเชยสำหรับความเสียหายที่เป็นวัตถุหรือไม่ใช่วัตถุใดๆ ที่ผู้นำเข้าข้อมูลหรือผู้ประมวลผลช่วงกระทำแก่เจ้าของข้อมูลโดยการละเมิดสิทธิ์ของผู้รับผลประโยชน์ที่เป็นบุคคลที่สามภายใต้ข้อกำหนดเหล่านี้
  3. โดยไม่คำนึงถึงวรรค (ข) ผู้ส่งออกข้อมูลจะต้องรับผิดชอบต่อเจ้าของข้อมูล และเจ้าของข้อมูลมีสิทธิ์ได้รับค่าชดเชยสำหรับความเสียหายที่เป็นวัตถุหรือไม่ใช่วัตถุใดๆ ที่ผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูล (หรือผู้ประมวลผลช่วง) กระทำแก่เจ้าของข้อมูลโดยการละเมิดสิทธิ์ของผู้รับผลประโยชน์ที่เป็นบุคคลที่สามภายใต้ข้อกำหนดเหล่านี้ ข้อกำหนดนี้ไม่กระทบกระเทือนต่อความรับผิดของผู้ส่งออกข้อมูล และในกรณีที่ผู้ส่งออกข้อมูลเป็นผู้ประมวลผลที่ทำหน้าที่ในนามของผู้ควบคุมต่อความรับผิดของผู้ควบคุมภายใต้ระเบียบ (EU) 2016/679 หรือระเบียบ (EU) 2018/1725 ตามความเหมาะสม
  4. คู่สัญญาตกลงว่าหากผู้ส่งออกข้อมูลต้องรับผิดตามวรรค (ค) สำหรับความเสียหายที่เกิดจากผู้นำเข้าข้อมูล (หรือผู้ประมวลผลช่วง) ฝ่ายนั้นมีสิทธิที่จะเรียกร้องคืนจากผู้นำเข้าข้อมูลในส่วนของค่าตอบแทนที่สอดคล้องกับความรับผิดชอบของผู้นำเข้าข้อมูลสำหรับความเสียหาย
  5. ในกรณีที่มีคู่สัญญามากกว่าหนึ่งฝ่ายที่รับผิดชอบต่อความเสียหายใดๆ ที่เกิดขึ้นกับเจ้าของข้อมูลอันเป็นผลมาจากการละเมิดข้อกำหนดเหล่านี้ คู่สัญญาที่รับผิดชอบทั้งหมดจะต้องรับผิดร่วมกันและแทนกัน และเจ้าของข้อมูลมีสิทธิ์ที่จะดำเนินคดีกับคู่สัญญาใดๆ เหล่านี้ในศาล
  6. คู่สัญญาตกลงว่าหากคู่สัญญาฝ่ายหนึ่งต้องรับผิดตามวรรค (จ) ฝ่ายนั้นจะมีสิทธิ์เรียกร้องค่าเสียหายคืนจากอีกฝ่ายหนึ่งซึ่งเป็นส่วนหนึ่งของค่าชดเชยที่สอดคล้องกับความรับผิดชอบของตนสำหรับความเสียหาย
  7. ผู้นำเข้าข้อมูลต้องไม่อ้างการดำเนินการของผู้ประมวลผลช่วงเพื่อหลีกเลี่ยงความรับผิดของตนเอง

ข้อ 13

การกำกับดูแล

  1. หน่วยงานกำกับดูแลที่รับผิดชอบในการตรวจสอบว่าผู้ส่งออกข้อมูลปฏิบัติตามระเบียบ (EU) 2016/679 ในส่วนที่เกี่ยวกับการโอนย้ายข้อมูล ตามที่ระบุไว้ในภาคผนวก I.C จะทำหน้าที่เป็นหน่วยงานกำกับดูแลที่มีอำนาจ
  2. ผู้นำเข้าข้อมูลตกลงที่จะส่งตัวเองไปยังเขตอำนาจศาลและร่วมมือกับหน่วยงานกำกับดูแลที่มีอำนาจในขั้นตอนใดๆ ที่มุ่งเป้าไปที่การปฏิบัติตามข้อกำหนดเหล่านี้ โดยเฉพาะอย่างยิ่ง ผู้นำเข้าข้อมูลตกลงที่จะตอบคำถาม ส่งไปยังการตรวจสอบ และปฏิบัติตามมาตรการที่นำมาใช้โดยหน่วยงานกำกับดูแล รวมถึงมาตรการแก้ไขและชดเชย ผู้นำเข้าข้อมูลจะต้องจัดเตรียมการยืนยันเป็นลายลักษณ์อักษรให้หน่วยงานกำกับดูแลว่ามีการดำเนินการที่จำเป็นแล้ว

ส่วนที่ 3 – กฎหมายท้องถิ่นและภาระผูกพันในกรณีที่เข้าถึงโดยหน่วยงานสาธารณะ

ข้อ 14

กฎหมายและแนวปฏิบัติในท้องถิ่นที่ส่งผลต่อการปฏิบัติตามข้อกำหนด

  1. คู่สัญญาทั้งสองฝ่ายรับประกันว่าตนไม่มีเหตุผลที่จะเชื่อได้ว่ากฎหมายและแนวปฏิบัติในประเทศปลายทางที่สามที่ใช้บังคับกับการประมวลผลข้อมูลส่วนบุคคลโดยผู้นำเข้าข้อมูล รวมถึงข้อกำหนดใดๆ ในการเปิดเผยข้อมูลส่วนบุคคลหรือมาตรการที่อนุญาตให้เข้าถึงโดยหน่วยงานของรัฐนั้นขัดขวางผู้นำเข้าข้อมูลให้ไม่สามารถปฏิบัติตามภาระผูกพันภายใต้ข้อกำหนดเหล่านี้ ทั้งนี้ขึ้นอยู่กับความเข้าใจที่ว่ากฎหมายและแนวปฏิบัติที่เคารพสาระสำคัญของสิทธิและเสรีภาพขั้นพื้นฐาน และไม่เกินความจำเป็นและเป็นสัดส่วนในสังคมประชาธิปไตยเพื่อปกป้องหนึ่งในวัตถุประสงค์ที่ระบุไว้ในมาตรา 23(1) ของระเบียบ (EU) 2016/679 ไม่ขัดแย้งกับข้อกำหนดเหล่านี้
  2. คู่สัญญาประกาศว่าในการให้การรับประกันในวรรค (ก) ทั้งสองฝ่ายได้พิจารณาตามสมควรโดยเฉพาะในองค์ประกอบต่อไปนี้:
    1. สถานการณ์เฉพาะของการโอนย้าย รวมถึงความยาวของห่วงโซ่การประมวลผล จำนวนผู้ดำเนินการที่เกี่ยวข้อง และช่องทางการส่งข้อมูลที่ใช้แล้ว การส่งต่อที่เจตนา ประเภทของผู้รับ วัตถุประสงค์ของการประมวลผล ประเภทและรูปแบบของข้อมูลส่วนบุคคลที่โอนย้าย ภาคเศรษฐกิจที่เกิดการโอนย้าย ตำแหน่งที่เก็บข้อมูลของข้อมูลที่โอนย้าย
    2. กฎหมายและแนวปฏิบัติของประเทศปลายทางที่สามที่เกี่ยวข้องกับสถานการณ์เฉพาะของการโอนย้าย ตลอดจนข้อจำกัดและการป้องกันที่เกี่ยวข้อง ประเทศเหล่านี้รวมถึงประเทศที่กำหนดให้เปิดเผยข้อมูลต่อหน่วยงานของรัฐหรืออนุญาตให้เข้าถึงโดยหน่วยงานดังกล่าว
    3. การป้องกันตามสัญญา ทางเทคนิค หรือองค์กรที่เกี่ยวข้องใดๆ ที่จัดทำขึ้นเพื่อเสริมการป้องกันภายใต้ข้อกำหนดเหล่านี้ รวมถึงมาตรการที่ใช้ในระหว่างการส่งและการประมวลผลข้อมูลส่วนบุคคลในประเทศปลายทาง
  3. ผู้นำเข้าข้อมูลรับประกันว่า ในการดำเนินการประเมินตามวรรค (ข) ผู้นำเข้าข้อมูลได้พยายามอย่างสุดความสามารถในการให้ข้อมูลที่เกี่ยวข้องแก่ผู้ส่งออกข้อมูล และตกลงว่าจะให้ความร่วมมือกับผู้ส่งออกข้อมูลต่อไปเพื่อให้เป็นไปตามข้อกำหนดเหล่านี้
  4. คู่สัญญาตกลงที่จะจัดทำเอกสารการประเมินตามวรรค (ข) และจัดให้มีหน่วยงานกำกับดูแลที่มีอำนาจตามคำขอ
  5. ผู้นำเข้าข้อมูลตกลงที่จะแจ้งให้ผู้ส่งออกข้อมูลทราบโดยทันที หากหลังจากได้ตกลงตามข้อกำหนดเหล่านี้และตลอดระยะเวลาของสัญญาแล้ว มีเหตุผลให้เชื่อได้ว่าอยู่ภายใต้หรืออยู่ภายใต้กฎหมายหรือแนวปฏิบัติที่ไม่เป็นไปตามข้อกำหนดในวรรค (ก) รวมถึงหลังจากการเปลี่ยนแปลงกฎหมายของประเทศที่สามหรือมาตรการ (เช่น คำขอเปิดเผยข้อมูล) ที่บ่งชี้ถึงการใช้กฎหมายดังกล่าวในทางปฏิบัติที่ไม่สอดคล้องกับข้อกำหนดในวรรค (ก)
  6. หลังจากการแจ้งเตือนตามวรรค (จ) หรือหากผู้ส่งออกข้อมูลมีเหตุผลอย่างอื่นที่เชื่อได้ว่าผู้นำเข้าข้อมูลไม่สามารถปฏิบัติตามภาระหน้าที่ของตนภายใต้ข้อกำหนดเหล่านี้ได้อีกต่อไป ผู้ส่งออกข้อมูลจะต้องระบุมาตรการที่เหมาะสมโดยทันที (เช่น มาตรการทางเทคนิคหรือองค์กรเพื่อให้แน่ใจในความปลอดภัยและการรักษาความลับ) ที่ผู้ส่งออกข้อมูลและ/หรือผู้นำเข้าข้อมูลนำมาใช้เพื่อจัดการกับสถานการณ์ ผู้ส่งออกข้อมูลต้องระงับการโอนย้ายข้อมูลหากเห็นว่าไม่มีการป้องกันที่เหมาะสมสำหรับการโอนย้ายดังกล่าว หรือหากได้รับคำสั่งจากหน่วยงานกำกับดูแลที่มีอำนาจให้ดำเนินการดังกล่าว ในกรณีนี้ ผู้ส่งออกข้อมูลจะมีสิทธิ์ยุติสัญญา ตราบเท่าที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลภายใต้ข้อกำหนดเหล่านี้ หากสัญญาเกี่ยวข้องกับคู่สัญญามากกว่าสองฝ่าย ผู้ส่งออกข้อมูลอาจใช้สิทธิ์นี้เพื่อยุติเฉพาะในส่วนที่เกี่ยวกับฝ่ายที่เกี่ยวข้อง เว้นแต่คู่สัญญาจะตกลงเป็นอย่างอื่น ในกรณีที่สัญญาสิ้นสุดลงตามข้อนี้ ให้นำข้อ 16(ง) และ (จ) มาใช้บังคับ

ข้อ 15

ภาระหน้าที่ของผู้นำเข้าข้อมูลในกรณีที่มีการเข้าถึงโดยหน่วยงานของรัฐ

15.1 การแจ้งเตือน

  1. ผู้นำเข้าข้อมูลตกลงที่จะแจ้งผู้ส่งออกข้อมูลในทันที โดยแจ้งเจ้าของข้อมูลด้วยหากทำได้ (ด้วยความช่วยเหลือของผู้ส่งออกข้อมูลในกรณีที่จำเป็น) หาก
    1. ได้รับคำขอที่มีผลผูกพันทางกฎหมายจากหน่วยงานของรัฐ รวมถึงหน่วยงานตุลาการตามกฎหมายของประเทศปลายทาง ให้เปิดเผยข้อมูลส่วนบุคคลที่ถ่ายโอนตามข้อกำหนดเหล่านี้ การแจ้งเตือนดังกล่าวต้องระบุข้อมูลเกี่ยวกับข้อมูลส่วนบุคคลที่ร้องขอ หน่วยงานที่ร้องขอ พื้นฐานทางกฎหมายสำหรับคำขอและการตอบสนองที่ให้ไว้ หรือ
    2. รับทราบว่ามีการเข้าถึงโดยตรงโดยหน่วยงานของรัฐไปยังข้อมูลส่วนบุคคลที่ถ่ายโอนตามข้อกำหนดเหล่านี้โดยชอบด้วยกฎหมายของประเทศปลายทาง ทั้งนี้ การแจ้งเตือนดังกล่าวต้องระบุข้อมูลทั้งหมดที่มีให้กับผู้นำเข้า
  2. กฎหมายของประเทศปลายทางห้ามไม่ให้ผู้นำเข้าข้อมูลแจ้งผู้ส่งออกข้อมูลและ/หรือเจ้าของข้อมูล ผู้นำเข้าข้อมูลตกลงที่จะพยายามอย่างสุดความสามารถเพื่อให้ได้มาซึ่งการยกเว้นการห้ามดังกล่าว เพื่อที่จะสื่อสารข้อมูลให้ได้มากที่สุดโดยเร็วที่สุด ผู้นำเข้าข้อมูลตกลงที่จะบันทึกความพยายามอย่างสุดความสามารถไว้เป็นลายลักษณ์อักษรไว้เป็นหลักฐานหากผู้ส่งออกข้อมูลร้องขอ
  3. ในกรณีที่กฎหมายของประเทศปลายทางอนุญาต ผู้นำเข้าข้อมูลตกลงที่จะแจ้งข้อมูลแก่ผู้ส่งออกข้อมูลเป็นระยะๆ ตลอดระยะเวลาของสัญญา โดยมีข้อมูลที่เกี่ยวข้องมากที่สุดเท่าที่จะเป็นไปได้ตามที่ได้รับการร้องขอ (โดยเฉพาะจำนวนคำขอ ประเภทของข้อมูลที่ร้องขอ หน่วยงานใดๆ ที่ร้องขอ คำขอได้รับการคัดค้านหรือไม่และผลเป็นอย่างไร ฯลฯ)
  4. ผู้นำเข้าข้อมูลตกลงที่จะเก็บรักษาข้อมูลตามวรรค (ก) ถึง (ค) ตลอดระยะเวลาของสัญญาและมอบให้แก่หน่วยงานกำกับดูแลที่มีอำนาจเมื่อได้รับการร้องขอ
  5. วรรค (ก) ถึง (ค) ไม่กระทบต่อภาระหน้าที่ของผู้นำเข้าข้อมูลตามข้อ 14(จ) และข้อ 16 ที่จะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบทันทีหากไม่สามารถปฏิบัติตามข้อกำหนดเหล่านี้ได้

15.2 ทบทวนความถูกต้องตามกฎหมายและการลดขนาดข้อมูล

  1. ผู้นำเข้าข้อมูลตกลงที่จะทบทวนความถูกต้องตามกฎหมายของคำขอให้เปิดเผยข้อมูล โดยเฉพาะอย่างยิ่งว่ายังคงอยู่ในอำนาจที่มอบให้แก่หน่วยงานสาธารณะที่ร้องขอหรือไม่ และเพื่อคัดค้านคำขอหากประเมินอย่างรอบคอบแล้วสรุปได้ว่ามีเหตุผลอันควรให้พิจารณาว่าคำขอนั้นไม่ชอบด้วยกฎหมายภายใต้กฎหมายของประเทศปลายทาง ภาระผูกพันที่ใช้บังคับภายใต้กฎหมายระหว่างประเทศ และหลักการของความเป็นสากล ผู้นำเข้าข้อมูลจะต้องดำเนินการตามความเป็นไปได้ของการอุทธรณ์ภายใต้เงื่อนไขเดียวกัน เมื่อคัดค้านคำขอ ผู้นำเข้าข้อมูลจะต้องแสวงหามาตรการชั่วคราวเพื่อระงับผลกระทบของคำขอจนกว่าหน่วยงานตุลาการที่มีอำนาจจะตัดสินเป็นรายกรณีไป ผู้นำเข้าข้อมูลต้องไม่เปิดเผยข้อมูลส่วนบุคคลที่ร้องขอจนกว่าจะจำเป็นต้องทำภายใต้กฎขั้นตอนที่บังคับใช้ ข้อกำหนดเหล่านี้ไม่กระทบต่อภาระหน้าที่ของผู้นำเข้าข้อมูลตามข้อ 14(จ)
  2. ผู้นำเข้าข้อมูลตกลงที่จะจัดทำเอกสารการประเมินทางกฎหมายและการคัดค้านใดๆ ต่อคำขอให้เปิดเผยข้อมูล และจัดทำเอกสารให้กับผู้ส่งออกข้อมูลตามขอบเขตที่อนุญาต นอกจากนี้ยังต้องจัดให้มีหน่วยงานกำกับดูแลที่มีอำนาจตามคำขอ
  3. ผู้นำเข้าข้อมูลตกลงที่จะให้ข้อมูลจำนวนขั้นต่ำที่อนุญาตเมื่อตอบสนองต่อคำขอให้เปิดเผยโดยอิงจากการตีความคำขออย่างสมเหตุสมผล

ส่วนที่ 4 – บทบัญญัติขั้นสุดท้าย

ข้อ 16

การไม่ปฏิบัติตามข้อกำหนดและการสิ้นสุดสัญญา

  1. ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบโดยทันทีหากไม่สามารถปฏิบัติตามข้อกำหนดเหล่านี้ได้ไม่ว่าด้วยเหตุผลใดก็ตาม
  2. ในกรณีที่ผู้นำเข้าข้อมูลละเมิดข้อกำหนดเหล่านี้หรือไม่สามารถปฏิบัติตามข้อกำหนดเหล่านี้ได้ ผู้ส่งออกข้อมูลจะต้องระงับการโอนย้ายข้อมูลส่วนบุคคลไปยังผู้นำเข้าข้อมูลจนกว่าจะมีการปฏิบัติตามข้อกำหนดอีกครั้งหรือสัญญาจะสิ้นสุดลง ข้อกำหนดนี้ไม่กระทบกระเทือนต่อข้อ 14(ฉ)
  3. ผู้ส่งออกข้อมูลมีสิทธิ์ที่จะยุติสัญญา ตราบเท่าที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลภายใต้ข้อกำหนดเหล่านี้ โดยที่:
    1. ผู้ส่งออกข้อมูลได้ระงับการโอนย้ายข้อมูลส่วนบุคคลไปยังผู้นำเข้าข้อมูลตามวรรค (ข) และการปฏิบัติตามข้อกำหนดเหล่านี้จะไม่ได้รับการคืนค่าภายในเวลาที่เหมาะสมและในกรณีใดๆ ภายในหนึ่งเดือนของการระงับ ได้แก่
    2. ผู้นำเข้าข้อมูลละเมิดข้อกำหนดเหล่านี้อย่างร้ายแรงหรือต่อเนื่อง หรือ
    3. ผู้นำเข้าข้อมูลไม่ปฏิบัติตามคำตัดสินที่มีผลผูกพันของศาลที่มีอำนาจหรือหน่วยงานกำกับดูแลเกี่ยวกับภาระหน้าที่ของตนภายใต้ข้อกำหนดเหล่านี้ ในกรณีเหล่านี้ จะต้องแจ้งให้หน่วยงานกำกับดูแลที่มีอำนาจทราบถึงการไม่ปฏิบัติตามดังกล่าว ในกรณีที่สัญญาเกี่ยวข้องกับคู่สัญญามากกว่าสองฝ่าย ผู้ส่งออกข้อมูลอาจใช้สิทธิ์นี้ในการยุติสัญญาเฉพาะในส่วนที่เกี่ยวกับฝ่ายที่เกี่ยวข้อง เว้นแต่คู่สัญญาจะตกลงเป็นอย่างอื่น
  4. ข้อมูลส่วนบุคคลที่ได้รับการโอนย้ายก่อนการสิ้นสุดสัญญาตามวรรค (ค) จะถูกส่งไปยังผู้ส่งออกข้อมูลโดยทันทีตามทางเลือกของผู้ส่งออกข้อมูลหรือถูกลบออกทั้งหมด และจะมีผลบังคับใช้กับสำเนาของข้อมูลด้วยเช่นกัน ผู้นำเข้าข้อมูลจะต้องรับรองการลบข้อมูลให้กับผู้ส่งออกข้อมูล ผู้นำเข้าข้อมูลจะต้องปฏิบัติตามข้อกำหนดเหล่านี้จนกว่าข้อมูลจะถูกลบหรือถูกส่งคืน ในกรณีของกฎหมายท้องถิ่นที่ใช้บังคับกับผู้นำเข้าข้อมูลที่ห้ามการส่งคืนหรือการลบข้อมูลส่วนบุคคลที่โอนย้าย ผู้นำเข้าข้อมูลรับประกันว่าจะยังคงปฏิบัติตามข้อกำหนดเหล่านี้และจะประมวลผลข้อมูลในขอบเขตและตราบเท่าที่บังคับตามกฎหมายท้องถิ่นนั้น
  5. ฝ่ายใดฝ่ายหนึ่งอาจเพิกถอนข้อตกลงที่จะผูกพันตามข้อกำหนดเหล่านี้ โดยที่ (i) คณะกรรมาธิการยุโรปยอมรับการตัดสินใจตามมาตรา 45(3) ของระเบียบ (EU) 2016/679 ที่ครอบคลุมการถ่ายโอนข้อมูลส่วนบุคคลซึ่งเป็นไปตามข้อกำหนดเหล่านี้ หรือ (ii) ระเบียบ (EU) 2016/679 กลายเป็นส่วนหนึ่งของกรอบทางกฎหมายของประเทศที่ถ่ายโอนข้อมูลส่วนบุคคล ข้อกำหนดนี้ไม่กระทบต่อภาระผูกพันอื่นๆ ที่มีผลบังคับใช้กับการประมวลผลที่เป็นปัญหาภายใต้ระเบียบ (EU) 2016/679

ข้อ 17

กฎหมายที่ใช้บังคับแก่สัญญา

ข้อกำหนดเหล่านี้จะอยู่ภายใต้กฎหมายของประเทศสมาชิกสหภาพยุโรป โดยที่กฎหมายดังกล่าวอนุญาตสำหรับสิทธิ์ของผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม คู่สัญญาตกลงว่าข้อกำหนดนี้จะเป็นกฎหมายของสหพันธ์สาธารณรัฐเยอรมนี

ข้อ 18

ตัวเลือกศาลและเขตพื้นที่ดูแล

  1. ข้อพิพาทใดๆ ที่เกิดขึ้นจากข้อกำหนดเหล่านี้จะได้รับการแก้ไขโดยศาลของประเทศสมาชิกสหภาพยุโรป
  2. คู่สัญญาตกลงกันว่าศาลเหล่านั้นจะเป็นศาลของสหพันธ์สาธารณรัฐเยอรมนี
  3. เจ้าของข้อมูลอาจดำเนินคดีกับผู้ส่งออกข้อมูลและ/หรือผู้นำเข้าข้อมูลต่อหน้าศาลของประเทศสมาชิกซึ่งเขา/เธอมีถิ่นที่อยู่ประจำ
  4. คู่สัญญาตกลงที่จะยอมจำนนต่อเขตอำนาจศาลของศาลดังกล่าว

ภาคผนวก I ตามข้อสัญญามาตรฐาน

A. รายชื่อคู่สัญญา
ผู้ส่งออกข้อมูล: ผู้ส่งออกข้อมูลคือบุคคลที่ได้รับการระบุไว้ในบทต่อท้ายว่าเป็น “ลูกค้า”
ลายเซ็นและวันที่ ณ วันที่ผู้ส่งออกข้อมูลยอมรับเงื่อนไขการให้บริการของผู้นำเข้าข้อมูลทางอิเล็กทรอนิกส์ ผู้ส่งออกข้อมูลจะถือว่าได้ลงนามในข้อสัญญามาตรฐานเหล่านี้แล้ว
บทบาท: ผู้ควบคุม

ผู้นำเข้าข้อมูล: GoDaddy.com, LLC
รายละเอียดผู้ติดต่อ สำนักงานเจ้าหน้าที่คุ้มครองข้อมูล – privacy@godaddy.com
ลายเซ็นและวันที่ ณ วันที่ผู้ส่งออกข้อมูลยอมรับเงื่อนไขการให้บริการของผู้นำเข้าข้อมูลทางอิเล็กทรอนิกส์ จะถือว่าผู้นำเข้าข้อมูลได้ลงนามในข้อสัญญามาตรฐานเหล่านี้แล้ว
บทบาท: ผู้ประมวลผล

B. รายละเอียดของการโอนย้าย หมวดหมู่ของเจ้าของข้อมูลที่มีการโอนย้ายข้อมูลส่วนบุคคลนั้นอธิบายไว้ในภาคผนวก 1 ของบทต่อท้าย

หมวดหมู่ของข้อมูลส่วนบุคคลที่โอนย้ายนั้นอธิบายไว้ในภาคผนวก 1 ของบทต่อท้าย

ข้อมูลที่ละเอียดอ่อนที่โอนย้ายนั้นอธิบายไว้ในภาคผนวก 1 ของบทต่อท้าย

ความถี่ของการโอนย้ายจะมีลักษณะต่อเนื่องตลอดระยะเวลาของเงื่อนไขการให้บริการ

ลักษณะของการประมวลผลได้อธิบายไว้ในส่วนที่ 2.2 และภาคผนวก 1 ของบทต่อท้าย

วัตถุประสงค์ของการโอนย้ายข้อมูลและการประมวลผลเพิ่มเติมได้อธิบายไว้ในส่วนที่ 2.2 และภาคผนวก 1 ของบทต่อท้าย

ระยะเวลาที่จะเก็บรักษาข้อมูลส่วนบุคคลได้อธิบายไว้ในภาคผนวก 1 ของบทต่อท้าย

สำหรับการโอนย้ายไปยังผู้ประมวลผล (ช่วง) เนื้อหา ลักษณะและระยะเวลาของการประมวลผลเป็นไปตามที่ระบุไว้ในภาคผนวก III ตามข้อสัญญามาตรฐาน

C. หน่วยงานกำกับดูแลที่มีอำนาจ กรรมาธิการรัฐนอร์ธไรน์-เวสต์ฟาเลินด้านการปกป้องข้อมูลและเสรีภาพของข้อมูล ('LDI NRW') เป็นหน่วยงานกำกับดูแลที่มีอำนาจ

ภาคผนวก II ตามข้อสัญญามาตรฐาน

มาตรการด้านความปลอดภัยเชิงเทคนิคและเชิงองค์กรที่ดำเนินการโดยผู้นำเข้าข้อมูลนั้นเป็นไปตามภาคผนวก 2 ของบทต่อท้าย

ภาคผนวก III ตามข้อสัญญามาตรฐาน

รายชื่อผู้ประมวลผลช่วงอยู่ในภาคผนวก 3 ของบทต่อท้าย

Annex I to the Standard Contractual Clauses

A. LIST OF PARTIES
Data Exporter(s): The data exporter is the entity identified as “Customer” in the Addendum
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Exporter is deemed to have signed these standard contractual clauses.
Role: Controller

Data importer(s): GoDaddy.com, LLC, a Delaware limited liability company
Contact details: Office of the Data Protection Officer – privacy@secureserver.net
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Importer is deemed to have signed these standard contractual clauses.
Role: Processor

B. DESCRIPTION OF TRANSFER Categories of data subjects whose personal data is transferred are described in Appendix 1 of the Addendum.

Categories of personal data transferred are described in Appendix 1 of the Addendum.

Sensitive data transferred are described in Appendix 1 of the Addendum.

The frequency of the transfer is a continuous basis for the duration of the Terms of Service.

Nature of the processing is described in Section 2.2 and Appendix 1 of the Addendum.

Purpose(s) of the data transfer and further processing are described in Section 2.2 and Appendix 1 of the Addendum.

The period for which the personal data will be retained described in Appendix 1 of the Addendum.

For transfers to (sub-) processors, the subject matter, nature and duration of the processing is set forth in Annex III to the Standard Contractual Clauses.

C. COMPETENT SUPERVISORY AUTHORITY The North Rhine-Westphalia State Commissioner for Data Protection and Freedom of Information ('LDI NRW') is the competent supervisory authority.

Annex II to the Standard Contractual Clauses

The technical and organizational security measures implemented by the Data Importer are as in Annex 2 of the Addendum.

Annex III to the Standard Contractual Clauses

List of sub-processors are in Appendix 3 of the Addendum.


จัดเตรียมข้อตกลงและนโยบายทางกฎหมายฉบับแปลให้ไว้ เพื่ออำนวยความสะดวกในการอ่านและทำความเข้าใจฉบับภาษาอังกฤษเท่านั้น เป้าหมายที่จัดหาคำแปลข้อตกลงและนโยบายทางกฎหมายไม่ใช่เพื่อสร้างข้อตกลงซึ่งมีภาระผูกมัดทางกฎหมาย และไม่ได้นำมาใช้เพื่อให้มีผลบังคับได้ตามกฎหมายสำหรับฉบับภาษาอังกฤษ ในกรณีที่มีข้อผิดพลาดหรือข้อขัดแย้ง ข้อตกลงและนโยบายทางกฎหมายฉบับภาษาอังกฤษไม่ว่าด้วยกรณีใดๆ ที่ควบคุมความสัมพันธ์ของเรา จะอยู่เหนือเงื่อนไขในภาษาอื่นๆ