จัดเตรียมข้อตกลงและนโยบายทางกฎหมายฉบับแปลให้ไว้ เพื่ออำนวยความสะดวกในการอ่านและทำความเข้าใจฉบับภาษาอังกฤษเท่านั้น เป้าหมายที่จัดหาคำแปลข้อตกลงและนโยบายทางกฎหมายไม่ใช่เพื่อสร้างข้อตกลงซึ่งมีภาระผูกมัดทางกฎหมาย และไม่ได้นำมาใช้เพื่อให้มีผลบังคับได้ตามกฎหมายสำหรับฉบับภาษาอังกฤษ ในกรณีที่มีข้อผิดพลาดหรือข้อขัดแย้ง ข้อตกลงและนโยบายทางกฎหมายฉบับภาษาอังกฤษไม่ว่าด้วยกรณีใดๆ ที่ควบคุมความสัมพันธ์ของเรา จะอยู่เหนือเงื่อนไขในภาษาอื่นๆ
บทต่อท้ายสำหรับการดำเนินการกับข้อมูล (ลูกค้า)
บทต่อท้ายการประมวลผลข้อมูล (“บทต่อท้าย” นี้) ได้รับการดำเนินการโดยและระหว่าง GoDaddy.com, LLC, a Delaware limited liability company รวมถึงบริษัทในเครือ (“GoDaddy”) กับคุณ (“ลูกค้า”) และที่ได้เพิ่มไว้ รวมถึงข้อมูลเสริมสำหรับเงื่อนไขการให้บริการสากล นโยบายความเป็นส่วนตัวและข้อตกลงใดๆ และทั้งหมดที่กำกับใช้ในการบริการอันครอบคลุม (รวมเรียกว่า “เงื่อนไขการให้บริการ”) เว้นแต่ได้ระบุไว้ในบทต่อท้ายนี้ คำที่เน้นสำคัญที่ไม่ได้ระบุไว้ในบทต่อท้ายนี้จะมีความหมายให้ไว้ในเงื่อนไขการใช้บริการ
1. คำจำกัดความ“บริษัท” หมายถึงบุคคลใดๆ ซึ่งได้รับการควบคุม ทำการควบคุม หรืออยู่ในการควบคุมร่วมกันกับ GoDaddy
"CCPA” หมายถึงพระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคประจำรัฐแคลิฟอร์เนีย ของรัฐแคลิฟอร์เนีย ประมวล กฎหมายแพ่ง แคลิฟอร์เนีย 1798.100 และกฎหมายที่ตามมาหลังจากนั้น รวมถึงบทแก้ไขเพิ่มเติมและข้อบังคับที่นำมาใช้ซึ่งจะมีผลในหรือหลังจากวันที่บังคับใช้ของบทเพิ่มเติมเกี่ยวกับการดำเนินการกับข้อมูลฉบับนี้
“การบริการที่ครอบคลุม” บริการที่มีการโฮสต์ไว้ใดๆ ที่เราได้นำเสนอให้กับคุณอาจเกี่ยวข้องกับกระบวนการของข้อมูลส่วนตัวของเรา
“ข้อมูลของลูกค้า” หมายถึงข้อมูลส่วนตัวของเจ้าของข้อมูลที่ได้รับการดำเนินการโดย GoDaddy ภายในเครือข่ายของ GoDaddy ในนามของลูกค้าที่อ้างอิงถึง หรือที่มีความเชื่อมโยงกับเงื่อนไขการบริการ
“ผู้ควบคุมข้อมูล” หมายถึงลูกค้าในฐานะที่เป็นบุคคลซึ่งกำหนดวัตถุประสงค์และความหมายในการดำเนินการกับข้อมูลส่วนตัว
“ผู้ให้บริการข้อมูล” หมายถึง GoDaddy ในฐานะบุคคลที่ดำเนินการกับข้อมูลส่วนตัวในนามของผู้ควบคุมข้อมูล หรือผู้ให้บริการตามคำนิยามของ CCPA
“กฎหมายคุ้มครองข้อมูล” หมายถึงกฎหมายและข้อบังคับว่าด้วยความเป็นส่วนตัวหรือการคุ้มครองข้อมูลทั้งหมดที่บังคับใช้ในการดำเนินการกับข้อมูลส่วนตัวภายใต้ข้อตกลงนี้ รวมถึง CCPA, (ii) GDPR, (iii) คำสั่งว่าด้วยความเป็นส่วนตัวทางอิเล็กทรอนิกส์ของสหภาพยุโรป (คำสั่ง 2002/58/EC), (iv) กฎหมายคุ้มครองข้อมูลในประเทศฉบับใดๆ ที่จัดทำขึ้นภายใต้หรือตาม (ii) หรือ (iii), (v) พระราชบัญญัติคุ้มครองข้อมูลแห่งสมาพันธรัฐสวิสฉบับวันที่ 19 มิถุนายน 1992 และบทบัญญัติ และ (vi) ในส่วนของสหราชอาณาจักร พระราชบัญญัติคุ้มครองข้อมูล 2018 และกฎหมายระดับชาติใดๆ ที่มาแทนหรือเปลี่ยนแปลงกฎหมายในประเทศ GDPR หรือกฎหมายอื่นๆ ที่เกี่ยวข้องกับข้อมูลและความเป็นส่วนตัวอันเป็นผลสืบเนื่องจากการที่สหราชอาณาจักรออกจากสหภาพยุโรป ในแต่ละกรณีที่อาจแก้ไขเพิ่มเติม ใช้แทน หรือแทนที่
“เจ้าของข้อมูล” หมายถึงบุคคลที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนตัว
“EEA” หมายถึงเขตเศรษฐกิจยุโรป
“GDPR” หมายถึงข้อบังคับ (EU) 2016/679 ของรัฐสภายุโรปและคณะมนตรีในวันที่ 27 เมษายน 2016 เรื่องการปกป้องบุคคลธรรมดาในส่วนที่เกี่ยวกับการดำเนินการกับข้อมูลส่วนตัวและเรื่องการเคลื่อนไหวโดยเสรีของข้อมูลดังกล่าว รวมถึงยกเลิกคำสั่ง 95/46/EC (ข้อบังคับในการปกป้องข้อมูลทั่วไป)
“เครือข่าย GoDaddy” หมายถึง ศูนย์ข้อมูลของ GoDaddy เซิร์ฟเวอร์ อุปกรณ์เครือข่าย และระบบซอฟต์แวร์ที่ใช้โฮสต์ (เช่น ไฟร์วอลล์เสมือนจริง) ที่อยู่ภายใต้การควบคุมดูแลของ GoDaddy และนำมาใช้เพื่อจัดหาการบริการที่ครอบคลุม
“ข้อมูลส่วนตัว” หมายถึงข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคลหรือครัวเรือนที่ระบุตัวตนได้หรือสามารถระบุตัวตนได้ตามคำจำกัดความภายใต้กฎหมายคุ้มครองข้อมูล
“การดำเนินการ” หมายถึงการปฏิบัติการ หรือชุดการปฏิบัติการซึ่งดำเนินการกับข้อมูลส่วนตัว โดยอาจหมายความรวมถึง การเก็บรวบรวมข้อมูล การบันทึก การจัดการ การจัดโครงสร้าง การจัดเก็บ การปรับเปลี่ยน หรือการเปลี่ยนแปลง การกู้คืน การให้คำปรึกษา การใช้ การเปิดเผยข้อมูลโดยการส่งผ่าน การแพร่กระจาย หรือการทำให้ข้อมูลพร้อมใช้งาน การจัดเรียง หรือการผสานรวม การจำกัด หรือการทำลาย “การดำเนินการ”, “ดำเนินการ” และ “ดำเนินการแล้ว” จะได้รับการตีความตามดังที่กล่าวมา รายละเอียดการดำเนินการได้ระบุไว้ในภาคผนวก 1
“เหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบ” ไม่ว่าจะเป็น (ก) การไม่ปฏิบัติตามการรักษาความปลอดภัยตามมาตรฐานการรักษาความปลอดภัยของ GoDaddy อันนำไปสู่อุบัติเหตุ หรือการทำลาย การสูญหาย การแก้ไขข้อมูลอย่างไม่ถูกต้องตามกฎหมายหรือโดยมิได้ตั้งใจ การเปิดเผยหรือการเข้าใช้งานข้อมูลลูกค้าโดยไม่ได้รับอนุญาต หรือ (ข) การเข้าใช้งานอุปกรณ์หรือสถานที่ปฏิบัติงานของ GoDaddy โดยไม่ได้รับอนุญาต ด้วยเหตุดังกล่าวนำมาซึ่งผลของการทำลาย การาย การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต หรือการเปลี่ยนแปลงข้อมูลของลูกค้า
“มาตรฐานการรักษาความปลอดภัย” หมายถึงมาตรฐานการรักษาความปลอดภัยตามที่แนบมากับบทต่อท้ายซึ่งเป็นภาคผนวก 2
“ข้อกำหนดสัญญามาตรฐาน” หรือ “SCCs” หมายถึงภาคผนวก 3 ที่แนบมาและจัดทำขึ้นไว้ในบทต่อท้ายโดยอ้างถึงการตัดสินใจของคณะกรรมาธิการยุโรป ณ วันที่ 5 กุมภาพันธ์ 2010 ในข้อกำหนดสัญญามาตรฐานสำหรับการถ่ายโอนข้อมูลส่วนตัวไปยังผู้ให้บริการที่ให้บริการอยู่ในประเทศที่สามภายใต้คำสั่งคุ้มครองข้อมูล
“ผู้ให้บริการช่วง” หมายถึงผู้ให้บริการข้อมูลใดๆ ที่มีส่วนเกี่ยวข้องกับผู้ให้บริการไปจนถึงการดำเนินการกับข้อมูลในฐานะของผู้รวบรวมข้อมูล
2. การประมวลผลข้อมูล2.1 ขอบเขตและบทบาท บทต่อท้ายนี้จะมีผลในการใช้งาน เมื่อมีการดำเนินการกับข้อมูลของลูกค้าโดย GoDaddy สำหรับบริบทนี้ GoDaddy จะทำหน้าที่เป็นผู้ประมวลผลข้อมูลในนามของลูกค้าซึ่งอยู่ในฐานะผู้ควบคุมข้อมูลโดยอ้างตามข้อมูลของลูกค้า
2.2 รายละเอียดในการประมวลผลข้อมูล หัวข้อสำคัญของการดำเนินการกับข้อมูลของลูกค้าโดย GoDaddy คือประสิทธิภาพการทำงานของบริการที่ครอบคลุมโดยอ้างอิงตามเงื่อนไขการให้บริการ และข้อตกลงเฉพาะผลิตภัณฑ์ GoDaddy จะดำเนินการกับข้อมูลของลูกค้าในนามของ และภายใต้คำสั่งที่ออกเป็นเอกสารของลูกค้าเพื่อวัตถุประสงค์ต่อไปนี้เท่านั้น: (i) ดำเนินการภายใต้เงื่อนไขการให้บริการ หรือข้อตกลงเฉพาะผลิตภัณฑ์ (ii) การดำเนินการที่เริ่มต้นขึ้นโดยผู้ใช้ขณะใช้บริการที่ครอบคลุมของตน (iii) ดำเนินการให้สอดคล้องกับคำสั่งที่ออกเป็นเอกสารอื่นๆ อันสมควรตามที่ลูกค้าได้ให้ไว้ (เช่น ผ่านทางอีเมล) โดยที่คำแนะนำดังกล่าวจะต้องสอดคล้องกับเงื่อนไขของข้อตกลง GoDaddy จะไม่ (ก) ดำเนินการ เก็บรักษา ใช้ ขาย หรือเปิดเผยข้อมูลของลูกค้าเว้นแต่ว่าจะมีความจำเป็นในการให้บริการที่ครอบคลุม ตามเงื่อนไขการบริการ หรือตามที่กฎหมายกำหนด (ข) ขายข้อมูลของลูกค้าให้แก่บุคคลที่สามใดๆ (ค) เก็บรักษา ใช้ หรือเปิดเผยข้อมูลของลูกค้าดังกล่าวอันไม่เกี่ยวข้องกับความสัมพันธ์ทางธุรกิจโดยตรงระหว่าง GoDaddy กับลูกค้า
เพื่อไม่ให้เกิดความคลางแคลงใจ คำแนะนำของลูกค้าสำหรับการดำเนินการกับข้อมูลส่วนตัวจะต้องเป็นไปตามกฎหมายความเป็นส่วนตัวของข้อมูลที่เกี่ยวข้องทั้งหมด ลูกค้าเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในด้านความถูกต้อง คุณภาพ และความชอบด้วยกฎหมายของข้อมูลส่วนตัวและวิธีการที่ลูกค้าได้มาซึ่งข้อมูลส่วนตัว GoDaddy จะไม่จำเป็นต้องปฏิบัติตามหรือยอมรับคำแนะนำของลูกค้า หากคำแนะนำนั้นละเมิดกฎหมายคุ้มครองข้อมูล ระยะเวลาในการดำเนินการ วิธีการและจุดประสงค์ของการดำเนินการ ประเภทของข้อมูลส่วนตัวและหมวดหมู่ของเจ้าของข้อมูลที่ดำเนินการภายใต้บทต่อท้ายนี้มีการระบุไว้เพิ่มเติมในภาคผนวก 1 (‘รายละเอียดการดำเนินการ’) ในบทต่อท้ายนี้
3. การปกปิดข้อมูลของลูกค้าGoDaddy จะไม่เปิดเผยข้อมูลของลูกค้าแก่รัฐบาลหรือบุคคลที่สามใดๆ เว้นแต่ตามจำเป็นเนื่องจากเหตุผลทางกฎหมายหรือตามคำสั่งของหน่วยงานบังคับใช้กฎหมายที่มีผลและที่มีภาระผูกพัน (เช่น หมายศาลหรือคำสั่งศาล) ในกรณีที่ GoDaddy ได้รับหมายเรียกคดีแพ่งที่ถูกต้องสมบูรณ์เท่าที่อนุญาตให้กระทำได้ GoDaddy จะพยายามแจ้งข้อเรียกร้องตามความเหมาะสมให้ลูกค้าทราบทางอีเมลหรือไปรษณีย์ เพื่อให้ลูกค้าขอคำสั่งศาลให้คุ้มครองหรือหามาตรการเยียวยาใดๆ ที่เหมาะสม
4. ความปลอดภัย4.1 GoDaddy ปรับใช้และจะคงไว้ซึ่งมาตรการเชิงเทคนิคและเชิงองค์กรสำหรับเครือข่าย GoDaddy ตามที่ได้อธิบายไว้ในส่วนนี้ และที่ได้อธิบายเพิ่มเติมไว้ในภาคผนวก 2 ในส่วนบทต่อท้ายนี้ว่าด้วยมาตรฐานการรักษาความปลอดภัย โดยเฉพาะอย่างยิ่ง GoDaddy ได้ปรับใช้และคงไว้ซึ่งมาตรการเชิงเทคนิคและเชิงองค์กรที่ระบุถึง (i) การรักษาความปลอดภัยของเครือข่าย GoDaddy (ii) การรักษาความปลอดภัยเชิงกายภาพแก่สถานประกอบการ (iii) การควบคุมดูแลพนักงานและผู้รับเหมาในการเข้าใช้งาน (i) และ/หรือ (ii) และ (iv) กระบวนการทดสอบ ประเมินค่า และประเมินประสิทธิภาพของมาตรการเชิงเทคนิคและเชิงองค์กรที่ GoDaddy นำมาปรับใช้ ในกรณีที่เราไม่สามารถปฏิบัติตามข้อกำหนดที่ระบุไว้ในที่นี้ได้ เราจะแจ้งให้คุณทราบเป็นลายลักษณ์อักษร (ผ่านทางเว็บไซต์และอีเมลของเรา) ทันทีที่สามารถทำได้
4.2 GoDaddy มอบคุณสมบัติและการทำงานเพื่อการรักษาความปลอดภัยข้อมูล ซึ่งลูกค้าอาจเลือกที่จะใช้ในการบริการที่ครอบคลุม ลูกค้ามีหน้าที่รับผิดชอบต่อ (ก) การกำหนดค่าการบริการที่ครอบคลุมอย่างเหมาะสม (ข) ใช้อำนาจการควบคุมดูแลที่มีในการเชื่อมโยงกับการบริการที่ครอบคลุม (รวมถึงการควบคุมดูแลการรักษาความปลอดภัย) เพื่อให้แน่ใจว่าการปกปิดความลับยังคงมีอยู่อย่างต่อเนื่อง ตลอดจนความครบถ้วน ความพร้อมใช้งานและความสามารถในการกลับสู่สภาพเดิมของบริการและระบบการดำเนินการ (ค) ใช้อำนาจควบคุมดูแลที่มีในการเชื่อมโยงกับการบริการที่ครอบคลุม (รวมถึงการควบคุมดูแลการรักษาความปลอดภัย) เพื่ออนุญาตให้ลูกค้าสามารถเรียกคืนข้อมูลที่พร้อมใช้งาน และเข้าถึงข้อมูลของลูกค้าได้ในเวลาที่เหมาะสมในกรณีที่มีเหตุการณ์ที่ถือเป็นภัยคุกคามเชิงกายภาพ หรือเชิงเทคนิค (เช่น การสำรองข้อมูลและการจัดเก็บข้อมูลของลูกค้าอย่างถาวรอยู่เป็นประจำ) และ (ง) ดำเนินการตามขั้นตอนที่ลูกค้าพิจารณาแล้วว่าเพียงพอที่จะคงไว้ซึ่งการรักษาความปลอดภัยอย่างเหมาะสม การคุ้มครอง และการลบข้อมูลของลูกค้า ซึ่งรวมถึงการใช้เทคโนโลยีการเข้ารหัสลับเพื่อคุ้มครองข้อมูลของลูกค้าจากการเข้าใช้งานที่ไม่ได้รับอนุญาต และมาตรการควบคุมสิทธิ์การเข้าใช้งานข้อมูลของลูกค้า
5. สิทธิ์ของเจ้าของข้อมูลโดยที่ให้ความสำคัญกับลักษณะของการบริการที่ครอบคลุม GoDaddy ช่วยให้ลูกค้าสามารถควบคุมข้อมูลบางอย่างได้ตามที่อธิบายไว้ในส่วน “การรักษาความปลอดภัย” ที่อยู่ในบทต่อท้ายซึ่งลูกค้าอาจเลือกที่จะใช้เพื่อเรียกคืน แก้ไข ลบ หรือจำกัดการใช้ และการแชร์ข้อมูลลูกค้าตามที่ได้อธิบายไว้ในการบริการที่ครอบคลุม ลูกค้าอาจใช้การควบคุมเหล่านี้เป็นเทคนิคและการวัดผลเชิงองค์กรเพื่อช่วยในการเชื่อมโยงกับข้อผูกมัดภายใต้กฎหมายความเป็นส่วนตัวที่บังคับใช้ รวมถึงข้อผูกมัดที่เกี่ยวข้องกับการตอบสนองในคำขอของเจ้าของข้อมูล โดยเป็นไปตามเหตุผลทางการค้า และในขอบเขตที่จำเป็นหรือได้รับอนุญาตตามกฎหมาย GoDaddy จะแจ้งเตือนลูกค้าให้ทราบในทันที หาก GoDaddy ได้รับคำร้องขอจากเจ้าของข้อมูลโดยตรงให้ดำเนินการตามสิทธิ์ภายใต้กฎหมายข้อมูลส่วนตัวที่มีผลบังคับใช้ใดๆ (“คำร้องขอจากเจ้าของข้อมูล”) นอกจากนี้ การใช้งานบริการที่ครอบคลุมของลูกค้าอาจจำกัดความสามารถในการตอบสนองต่อคำร้องขอจากเจ้าของข้อมูล GoDaddy อาจให้ความช่วยเหลือเชิงการค้าอย่างสมเหตุสมผล ตามที่ได้รับอนุญาตและเป็นไปอย่างเหมาะสมตามกฎหมาย และให้ความช่วยเหลือเมื่อมีคำร้องขอที่เฉพาะเจาะจงจากลูกค้า ทั้งนี้เพื่อตอบสนองต่อคำร้องขอดังกล่าว โดยลูกค้าเป็นผู้ออกค่าใช้จ่ายที่เกิดขึ้น (หากมี)
6. การให้บริการช่วง6.1 ผู้ให้บริการช่วงที่ได้รับอนุญาต ลูกค้ายินยอมว่า GoDaddy อาจใช้ผู้ให้บริการช่วงในการดำเนินการตามข้อผูกมัดสัญญาภายใต้เงื่อนไขการให้บริการและบทต่อท้ายนี้ หรือมอบการบริการบางอย่างในนามของตน เช่น การจัดหาการบริการสนับสนุน ในที่นี้ลูกค้าได้ยินยอมที่จะใช้ผู้ให้บริการช่วงของ GoDaddy ตามที่ได้อธิบายไว้ในส่วนนี้ เว้นแต่ได้ระบุไว้ในส่วนนี้ หรือได้รับอนุญาตจากคุณอย่างชัดแจ้ง GoDaddy จะไม่อนุญาตให้ดำเนินกิจกรรมการให้บริการช่วงอื่นใดๆ
6.2 ข้อผูกมัดของผู้ให้บริการช่วง เมื่อ GoDaddy ใช้ผู้ให้บริการช่วงที่ได้รับอนุญาตใดๆ ตามที่อธิบายไว้ในส่วน 6.1:
(i) GoDaddy จะจำกัดสิทธิ์การเข้าใช้งานของผู้ให้บริการช่วงในการเข้าถึงข้อมูลลูกค้าต่อเมื่อจำเป็นต้องคงไว้ซึ่งการบริการที่ครอบคลุม หรือเพื่อมอบการบริการที่ครอบคลุมแก่ลูกค้าและผู้ใช้ใดๆ โดยเป็นไปตามการบริการที่ครอบคลุม GoDaddy จะห้ามผู้ให้บริการช่วงเข้าถึงข้อมูลของลูกค้าหากมีการใช้งานด้วยวัตถุประสงค์อื่นใดๆ
(ii) GoDaddy จะดำเนินการตามข้อตกลงที่เป็นลายลักษณ์อักษรร่วมกับผู้ให้บริการช่วงและ ตามขอบเขตซึ่งผู้ให้บริการช่วงกำลังดำเนินการในการบริการดำเนินการกับข้อมูลเดียวกัน ซึ่ง GoDaddy เป็นผู้จัดหาให้ภายใต้บทต่อท้ายนี้ GoDaddy จะกำหนดให้ผู้ให้บริการช่วงดำเนินการตามข้อผูกพันสัญญาเดียวกันที่ GoDaddy ได้ดำเนินการภายใต้บทต่อท้ายนี้ และ
(iii) GoDaddy จะคงไว้ซึ่งความรับผิดชอบในการปฏิบัติตามข้อผูกมัดที่อยู่ในบทต่อท้ายนี้ และสำหรับการปฏิบัติใดๆ หรือการละเว้นต่อผู้ให้บริการช่วงที่อาจเป็นเหตุให้ GoDaddy ต้องฝ่าฝืนข้อผูกมัดของ GoDaddy ภายใต้บทต่อท้ายนี้
6.3 ผู้ให้บริการช่วงรายใหม่ ในบางครั้ง เราอาจทำงานร่วมกับผู้ให้บริการช่วงรายใหม่ภายใต้และเป็นไปตามเงื่อนไขที่ระบุไว้ในบทต่อท้ายนี้ ในกรณีดังกล่าว เราจะแจ้งให้คุณทราบล่วงหน้า 60 วัน (ผ่านทางเว็บไซต์และอีเมลของเรา) ก่อนที่ผู้ให้บริการรายใหม่จะนำข้อมูลลูกค้าใดๆ ไปใช้ หากลูกค้าของคุณไม่อนุมัติให้ใช้ผู้ให้บริการช่วงรายใหม่ ลูกค้าอาจบอกเลิกการบริการที่ครอบคลุมโดยไม่ต้องเสียค่าปรับใดๆ หากได้แจ้ง หรือรับการแจ้งเตือนจากเรา 10 วันล่วงหน้า การแจ้งเตือนเป็นลายลักษณ์อักษรจะมีคำอธิบายถึงเหตุผลการไม่อนุมัติของคุณ หากบริการที่ครอบคลุมเป็นส่วนหนึ่งของกลุ่มบริการ หรือการสั่งซื้อแบบกลุ่มบริการ การบอกเลิกใดๆ จะมีผลบังคับใช้กับกลุ่มดังกล่าวทั้งหมด
7. การแจ้งเตือนการละเมิดการรักษาความปลอดภัย7.1 เหตุการณ์เกี่ยวกับการรักษาความปลอดภัย หาก GoDaddy รับทราบถึงเหตุการณ์ที่ถือเป็นภัยคุกคาม GoDaddy จะเร่งดำเนินการในทันที โดย: (ก) แจ้งเตือนลูกค้าถึงเหตุการณ์ที่ถือเป็นภัยคุกคาม และ (ข) ดำเนินการตามขั้นตอนอันควรเพื่อบรรเทาผลกระทบที่เกิดขึ้น และเพื่อลดความเสียหายใดๆ ที่เกิดจากเหตุการณ์ที่ถือเป็นภัยคุกคามนี้ให้เหลือน้อยที่สุด
7.2 ความช่วยเหลือ GoDaddy เพื่อช่วยเหลือลูกค้าเกี่ยวกับการแจ้งเตือนถึงการล่วงละเมิดข้อมูลส่วนตัวที่ลูกค้าจำเป็นต้องแจ้งภายใต้กฎหมายความเป็นส่วนตัวใดๆ ที่บังคับใช้ โดยในการแจ้งเตือนนั้น GoDaddy จะรวมเอา ข้อมูลดังกล่าวที่เกี่ยวกับเหตุการณ์ที่ถือเป็นภัยคุกคามต่อความปลอดภัย ตามที่ GoDaddy สามารถเปิดเผยแก่ลูกค้าได้ตามเหตุอันควร ทั้งนี้จะต้องให้ความสำคัญกับวิธีการให้บริการที่ครอบคลุม ข้อมูลที่สามารถแจ้งแก่ GoDaddy ได้ และข้อจำกัดในการเปิดเผยข้อมูลใดๆ เช่น การปกปิดเป็นความลับ
7.3 ความล้มเหลวในการรับมือกับเหตุการณ์ที่ถือเป็นภัยคุกคามการรักษาความปลอดภัย ลูกค้ายอมรับว่า:
(i) ความล้มเหลวในการรับมือกับเหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบจะไม่อยู่ภายใต้บังคับของเงื่อนไขในบทต่อท้ายนี้ ความล้มเหลวในการรับมือกับเหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบเป็นหนึ่งในผลที่ตามมาจากการให้สิทธิ์เข้าถึงข้อมูลของลูกค้าโดยไม่ได้รับอนุญาต หรือ เข้าถึงเครือข่ายของ GoDaddy อุปกรณ์ หรือพื้นที่จัดเก็บข้อมูลของลูกค้า และอาจรวมถึงแต่ไม่จำกัดเพียง การโจมตีของ Ping และบอร์ดแคสต์อื่นๆ บนไฟร์วอลล์ หรือเซิร์ฟเวอร์เอดจ์ การสแกนพอร์ต ความพยายามในการเข้าสู่ระบบที่ไม่ประสบผล การปฏิเสธของการโจมตีการบริการ โปรแกรมที่เอาไว้ดักจับข้อมูล (หรือการเข้าถึงเส้นทางการรับส่งข้อมูลโดยไม่ได้รับอนุญาตซึ่งอาจไม่ส่งผลต่อการเข้าใช้งานที่นอกเหนือจากส่วนหัว) หรือเหตุการณ์ที่ถือเป็นภัยคุกคามที่คล้ายกัน และ
(ii) ข้อผูกมัดของ GoDaddy ที่ต้องรายงาน หรือตอบสนองกับเหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบภายใต้ส่วนนี้ไม่ใช่ และไม่ได้ตีความว่าเป็นความผิดใดๆ ของ GoDaddy หรือความรับผิดชอบของ GoDaddy อันเนื่องจากเหตุการณ์ที่เป็นภัยคุกคามต่อระบบ
7.4 การติดต่อสื่อสาร การแจ้งเตือนเหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบ หากมี จะส่งการแจ้งเตือนไปยังหนึ่งหรือมากกว่าหนึ่งผู้ดูแลระบบของลูกค้าไม่ว่าด้วยวิธีใดๆ ที่ GoDaddy ได้เลือกไว้ รวมถึงการส่งผ่านทางอีเมล ทั้งนี้ถือเป็นความรับผิดชอบของลูกค้าแต่เพียงผู้เดียวที่จะต้องแน่ใจว่าผู้ดูแลระบบของลูกค้าได้ดูแลรักษาข้อมูลการติดต่อบนแผงควบคุมการจัดการ GoDaddy อยู่เสมอและต้องรักษาความปลอดภัยในขณะส่งผ่านข้อมูลอยู่ตลอดเวลา
8. สิทธิ์ของลูกค้า8.1 การพิจารณาโดยอิสระ ลูกค้ามีหน้าที่รับผิดชอบในการตรวจทานข้อมูลที่ GoDaddy ให้บริการอันเกี่ยวข้องกับข้อมูลการรักษาความปลอดภัย และมาตรฐานการรักษาความปลอดภัยของข้อมูล รวมถึงสร้างการตัดสินใจอย่างอิสระไม่ว่าการบริการที่ครอบคลุมนั้นจะเป็นไปตามความต้องการของลูกค้าหรือไม่ และข้อผูกมัดทางกฎหมายอันรวมถึงข้อผูกมัดของลูกค้าภายใต้บทต่อท้ายนี้ ข้อมูลที่พร้อมใช้งานนี้มีไว้เพื่อช่วยให้ลูกค้าสามารถปฏิบัติตามข้อผูกมัดของลูกค้าภายใต้กฎหมายความเป็นส่วนตัวที่บังคับใช้ รวมถึง GDPR โดยให้ความเคารพต่อการคุ้มครองข้อมูลที่มีผลกระทบต่อการประเมินและการให้คำปรึกษาก่อนหน้า
8.2 สิทธิ์ในการตรวจสอบลูกค้า ลูกค้ามีสิทธิ์ในการยืนยันการปฏิบัติตามอย่างสอดคล้องของ GoDaddy ที่อยู่ในบทต่อท้ายนี้ ตามที่ระบุไว้ในการบริการที่ครอบคลุม รวมถึงการปฏิบัติตามอย่างสอดคล้องกับ GoDaddy เป็นพิเศษด้วยมาตรฐานการรักษาความปลอดภัย โดยจะใช้สิทธิ์อันควรในการดำเนินการตรวจสอบหรือตรวจหาข้อเท็จจริง รวมถึงปฏิบัติตามภายใต้ข้อสัญญามาตรฐาน หากต้องดำเนินการ โดยการส่งคำร้องขอเป็นพิเศษแก่ GoDaddy เป็นลายลักษณ์อักษรตามที่ได้ระบุไว้ในเงื่อนไขการบริการ หาก GoDaddy ปฏิเสธที่จะปฏิบัติตามคำสั่งที่ร้องขอโดยลูกค้าเพื่อให้ทำการตรวจสอบหรือตรวจหาข้อเท็จจริงตามขอบเขตและที่ร้องขอโดยเฉพาะ ลูกค้ามีสิทธิ์ที่จะยุติการปฏิบัติตามบทต่อท้ายและเงื่อนไขการบริการนี้ หากมีการใช้ข้อสัญญามาตรฐาน ในส่วนของข้อสัญญามาตรฐานดังกล่าวนี้จะไม่มีการเปลี่ยนแปลงหรือแก้ไข รวมถึงไม่ส่งผลกระทบต่อสิทธิ์ของหน่วยงานควบคุมดูแล หรือเจ้าของข้อมูลใดๆ ภายใต้ข้อสัญญามาตรฐาน โดยส่วนนี้จะมีผลใช้งานตราบเท่าที่ GoDaddy ได้มอบการควบคุมให้กับผู้ให้บริการช่วงในนามของลูกค้าได้โดยลุล่วง
9. การส่งผ่านข้อมูลส่วนตัวระหว่างประเทศ9.1 การดำเนินการ ภายในประเทศสหรัฐอเมริกา เว้นแต่มีการแจ้งไว้เป็นพิเศษในเงื่อนไขการบริการ ข้อมูลของลูกค้าจะได้รับการถ่ายโอนออกนอก EEA และดำเนินกระบวนการในประเทศสหรัฐอเมริกา
9.2 การใช้ข้อสัญญามาตรฐาน โดยจะนำเอาข้อสัญญามาตรฐานมาใช้กับข้อมูลของลูกค้าเมื่อมีการถ่ายโอนข้อมูลออกนอก EEA ไม่ว่าจะเป็นการถ่ายโอนโดยตรงหรือผ่านการถ่ายโอนต่อไปยังประเทศใดๆ ที่คณะกรรมาธิการยุโรปไม่ยอมรับว่ามีการจัดหาระดับการคุ้มครองข้อมูลส่วนตัวอย่างเพียงพอ ทั้งนี้จะไม่มีการนำเอาข้อสัญญามาตรฐานมาใช้กับข้อมูลของลูกค้าที่ไม่ได้มีการถ่ายโอนข้อมูล ไม่ว่าจะเป็นการถ่ายโอนโดยตรงหรือผ่านการถ่ายโอนต่อไปภายนอก EEA จะไม่นำข้อสัญญามาตรฐานมาใช้เมื่อมีการถ่ายโอนข้อมูลภายใต้มาตรฐานการปฏิบัติตามอย่างสอดคล้องที่เป็นที่รู้จักสำหรับการถ่ายโอนข้อมูลส่วนตัวออกนอก EEA อย่างถูกต้องตามกฎหมาย เช่นในกรณีที่จำเป็นสำหรับการให้การบริการที่ครอบคลุุมตามข้อตกลงการบริการหรือตามที่ท่านเห็นชอบ ทั้งนี้โดยไม่คำนึงถึงข้อความข้างต้น
10. การบอกเลิกบทต่อท้ายบทต่อท้ายนี้จะยังคงมีผลบังคับใช้ต่อไปจนกว่าจะมีการบอกเลิกการดำเนินการของเราอันเป็นไปตามเงื่อนไขการให้บริการ (“วันที่บอกเลิก”)
11. การส่งคืนหรือลบข้อมูลของลูกค้าตามที่ได้อธิบายไว้ในการบริการที่ครอบคลุม ลูกค้าอาจได้รับมอบอำนาจในการควบคุม เพื่อใช้อำนาจดังกล่าวในการเรียกใช้ หรือลบข้อมูลลูกค้า การลบข้อมูลใดๆ ของลูกค้าจะได้รับการกำกับดูแลตามเงื่อนไขของบริการที่ครอบคลุมที่เจาะจงเป็นพิเศษ
12. ข้อจำกัดของความรับผิดความรับผิดของแต่ละบุคคลภายใต้บทต่อท้ายนี้จะอยู่ภายใต้การยกเว้นและการจำกัดความรับผิดตามที่ระบุไว้ในเงื่อนไขการให้บริการ ลูกค้ายอมรับว่าการลงโทษตามข้อบังคับซึ่ง GoDaddy เป็นผู้รับผิดต่อผลที่เกิดขึ้นอันเกี่ยวข้องกับข้อมูลของลูกค้า หรือมีความเชื่อมโยงกัน การไม่ปฏิบัติตามข้อผูกมัดของลูกค้าภายใต้บทต่อท้ายนี้ และกฎหมายความเป็นส่วนตัวที่บังคับใช้ใดๆ จะมีผลและลดความรับผิดของ GoDaddy ลงภายใต้เงื่อนไขการให้บริการเสมือนเป็นความรับผิดต่อลูกค้าภายใต้เงื่อนไขการให้บริการ
13. เงื่อนไขการให้บริการทั้งหมด ข้อขัดแย้งบทต่อท้ายนี้จะใช้แทนและแทนที่ทุกบทต่อท้ายก่อนหน้านี้ หรือสิ่งแทนความในเวลานั้น ความเข้าใจ ข้อตกลง หรือการสื่อสารระหว่างลูกค้าและ GoDaddy ไม่ว่าจะโดยลายลักษณ์อักษรหรือวาจา โดยอ้างตามเนื้อหาในบทต่อท้ายนี้ รวมถึงภาคผนวกการดำเนินการข้อมูลใดๆ ที่ได้บันทึกไว้ระหว่าง GoDaddy และลูกค้าซึ่งเกี่ยวข้องกับการดำเนินการกับข้อมูลส่วนตัว และการโยกย้ายข้อมูลดังกล่าวได้อย่างอิสระ เว้นแต่ได้แก้ไขไว้ในบทต่อท้ายนี้ เงื่อนไขการให้บริการจะยังคงมีผลบังคับใช้และมีผลอย่างสมบูรณ์ หากมีข้อขัดแย้งระหว่างข้อตกลงอื่นใดๆ ระหว่างคณะบุคคลรวมถึงเงื่อนไขการให้บริการและบทต่อท้ายนี้ ให้ถือปฏิบัติตามบทต่อท้ายนี้เป็นหลัก
** ************************************************
ภาคผนวก 1รายละเอียดในการดำเนินการ
1. ลักษณะและจุดประสงค์ของกระบวนการ GoDaddy จะดำเนินการกับข้อมูลส่วนตัวตามความจำเป็นเพื่อมอบการบริการที่ครอบคลุมโดยเป็นไปตามที่ได้อ้างอิงในเงื่อนไขการให้บริการ ข้อตกลงพิเศษสำหรับผลิตภัณฑ์ และตามที่ได้มีคำแนะนำเพิ่มเติมจากลูกค้าเมื่อมีการใช้บริการที่ครอบคลุม
2. ระยะเวลาในการดำเนินการ อ้างอิงตามส่วนที่ 10 ในบทต่อท้ายนี้ GoDaddy จะดำเนินการกับข้อมูลส่วนตัวในระหว่างวันที่มีผลบังคับใช้ของเงื่อนไขการให้บริการ แต่จะปฏิบัติตามเงื่อนไขในบทต่อท้ายนี้สำหรับระยะเวลาในการดำเนินการ หากมีการเขียนเพิ่มเติมไว้ในเงื่อนไข และเว้นแต่ว่าได้มีการตกลงร่วมกันเป็นลายลักษณ์อักษร
3. หมวดหมู่ของเจ้าของข้อมูล ลูกค้าอาจอัปโหลดข้อมูลส่วนตัวเพื่อใช้ในการบริการที่ครอบคลุม ตามขอบเขตการใช้งานจะได้รับการพิจารณาและควบคุมโดยลูกค้าแต่เพียงผู้เดียว และอาจรวมถึงแต่ไม่จำกัดเพียงข้อมูลส่วนตัวที่เกี่ยวข้องกับหมวดหมู่ของเจ้าของข้อมูล ดังต่อไปนี้:
- ลูกค้าเป้าหมาย ลูกค้า คู่ค้าธุรกิจ และผู้ขายของลูกค้า (ผู้ที่เป็นบุคคลธรรมดา)
- พนักงานหรือบุคคลติดต่อของลูกค้าเป้าหมาย ลูกค้า คู่ค้าธุรกิจ และผู้ขาย
- พนักงาน ตัวแทน ที่ปรึกษา ฟรีแลนซ์ของลูกค้า (ผู้ที่เป็นบุคคลธรรมดา)
- ผู้ใช้ของลูกค้าซึ่งได้รับอนุญาตโดยลูกค้าให้ใช้บริการที่ครอบคลุม
4. ประเภทของข้อมูลส่วนตัว ลูกค้าอาจอัปโหลดข้อมูลส่วนตัวเพื่อใช้ในการบริการที่ครอบคลุม ประเภทและขอบเขตการใช้งานจะได้รับการพิจารณาและควบคุมโดยลูกค้าแต่เพียงผู้เดียว และอาจรวมถึงแต่ไม่จำกัดเพียงหมวดข้อมูลส่วนตัวของเจ้าของข้อมูล ดังต่อไปนี้:
- ชื่อ
- ที่อยู่
- หมายเลขโทรศัพท์
- วันเกิด
- ที่อยู่อีเมล
- ข้อมูลอื่นๆ ที่เก็บรวบรวมไว้ที่อาจระบุถึงตัวคุณได้โดยตรงหรือโดยอ้อม
** ************************************************
ภาคผนวก 2มาตรฐานการรักษาความปลอดภัย
I. การวัดผลเชิงเทคนิคและเชิงองค์กร
เราให้คำมั่นสัญญาว่าจะคุ้มครองข้อมูลของลูกค้าของเรา พิจารณาตามหลักการปฏิบัติที่ดี ค่าใช้จ่ายในการนำมาปรับใช้งานและวิธี ขอบเขต สภาพแวดล้อม รวมถึงวัตถุประสงค์ในการดำเนินการ รวมทั้งความเป็นไปได้ที่จะเกิดขึ้นที่แตกต่างกันไปและความร้ายแรงของความเสี่ยงของสิทธิ์และอิสระของบุคคลทั่วไปที่เราได้นำเอาวิธีการเชิงเทคนิคและองค์กรต่อไปนี้มาปฏิบัติใช้ เมื่อมีการพิจารณาถึงการเลือกวิธีการซึ่งปกปิดเป็นความลับ ความสมบูรณ์ของข้อมูล ความพร้อมใช้งานและความยืดหยุ่นของระบบที่นำมาใช้งาน รับประกันการกู้คืนข้อมูลอย่างรวดเร็วภายหลังจากมีเหตุการณ์ที่เป็นภัยคุกคามต่อระบบเชิงกายภาพหรือเทคนิค
II. โปรแกรมความเป็นส่วนตัวของข้อมูล
โปรแกรมความเป็นส่วนตัวของข้อมูลของเราได้รับการจัดทำขึ้นมาเพื่อคงไว้ซึ่งโครงสร้างการกำกับดูแลข้อมูลสากล และรักษาความปลอดภัยให้กับข้อมูลตลอดอายุการใช้งาน โปรแกรมนี้ขับเคลื่อนโดยเจ้าหน้าที่คุ้มครองข้อมูล ซึ่งจะคอยตรวจสอบการปฏิบัติใช้นโยบายและวิธีการรักษาความปลอดภัย เราจะทำการตรวจสอบ ประเมินค่า และประเมินประสิทธิภาพของโปรแกรมความเป็นส่วนตัวของข้อมูลและมาตรฐานการรักษาความปลอดภัยอย่างสม่ำเสมอ
1. การรักษาความลับ “การรักษาความลับ หมายถึง ข้อมูลส่วนตัวจะได้รับการคุ้มครองหากมีการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต”
เราใช้ความหลากหลายของการวัดผลเชิงกายภาพและเชิงตรรกะเพื่อคุ้มครองการปกปิดเป็นความลับให้กับข้อมูลส่วนตัวของลูกค้า การวัดผลเหล่านั้น รวมถึง:
การรักษาความปลอดภัยทางกายภาพ
- ระบบการควบคุมการเข้าใช้งานเชิงกายภาพในสถานที่ทำงาน (การควบคุมการเข้าสถานที่ด้วยบัตรพนักงาน การติดตามเหตุการณ์ที่เกี่ยวกับการรักษาความปลอดภัย เป็นต้น)
- ระบบการควบคุมดูแล รวมถึงการแจ้งเตือนและการเฝ้าติดตามผ่าน CCTV ตามที่เห็นว่าเหมาะสม
- นโยบายจัดเก็บเอกสารและการควบคุมการใช้งาน (การล็อกคอมพิวเตอร์ที่ไม่ใช้งาน ตู้เก็บเอกสารที่ต้องปิดล็อกไว้ ฯลฯ)
- การจัดการการเข้าใช้งานของผู้เข้าชม
- การทำลายข้อมูลบนสื่อและเอกสารที่จับต้องได้ (การตัดเป็นชิ้นเล็กๆ การถอดแม่เหล็ก เป็นต้น)
การควบคุมการเข้าใช้งานและการป้องกันการเข้าใช้งานโดยไม่ได้รับอนุญาต
- การจำกัดสิทธิ์เข้าใช้งานของผู้ใช้ และการให้อนุญาตสิทธิ์เข้าใช้งานตามหน้าที่/ทบทวนสิทธิ์ใช้งานโดยแยกตามหลักการทำหน้าที่
- วิธีการยืนยันตัวตนและการให้อนุญาตอย่างเข้มงวด (การยืนยันตัวตนโดยใช้หลายปัจจัย การให้อนุญาตตามใบรับรอง การปิดใช้งาน/การออกจากระบบโดยอัตโนมัติ)
- การจัดการรหัสผ่านแบบศูนย์รวม และนโยบายการตั้งค่ารหัสผ่านที่เดาได้ยาก/ซับซ้อน (ความยาวขั้นต่ำ ความซับซ้อนของอักขระ การหมดอายุของรหัสผ่าน เป็นต้น)
- ควบคุมสิทธิ์ในการส่งอีเมลและใช้งานอินเทอร์เน็ต
- การจัดการการป้องกันไวรัส
- การบริหารจัดการระบบการป้องกันการรุก
การเข้ารหัส
- การเข้ารหัสลับการสื่อสารทั้งภายในและภายนอกผ่านทางโปรโตคอลวิทยาการเข้ารหัสลับ
- การเข้ารหัสลับข้อมูลด้วย PII/SPII สำหรับข้อมูลอื่นๆ ที่เหลืออยู่ (ฐานข้อมูล ไดเรกทอรีที่ใช้ร่วมกัน เป็นต้น)
- การเข้ารหัสลับให้กับดิสก์อย่างเต็มรูปแบบสำหรับเครื่องพีซีของบริษัทและแล็ปท็อป
- การเข้ารหัสลับของสื่อจัดเก็บข้อมูล
- การเชื่อมต่อระยะไกลไปยังเครือข่ายของบริษัทจะได้รับการเข้ารหัสลับผ่านทาง VPN
- การรักษาความปลอดภัยแก่วัฏจักรของการเข้ารหัสลับข้อมูลสำคัญ
การปรับลดขนาดข้อมูล
- การปรับลดขนาด PII/SPI ในแอปพลิเคชัน การแก้จุดบกพร่องและบันทึกการรักษาความปลอดภัย
- การนำข้อมูลระบุตัวตนออกจากข้อมูลส่วนตัวเพื่อป้องกันไม่ให้สามารถระบุตัวตนของบุคคลได้โดยตรง
- การแยกข้อมูลที่จัดเก็บตามฟังก์ชัน (ทดสอบจัดเตรียม ใช้งานจริง)
- การแยกข้อมูลเชิงตรรกะตามบทบาทโดยอ้างตามสิทธิ์การเข้าใช้งาน
- ระบุระยะเวลาในการเก็บรักษาข้อมูลส่วนตัว
การทดสอบการรักษาความปลอดภัย
- การทดสอบเจาะระบบสารสนเทศสำหรับเครือข่ายบริษัทที่สำคัญ และแพลตฟอร์มสำหรับการโฮสต์ข้อมูลส่วนตัว
- การสแกนช่องโหว่และเครือข่ายอย่างสม่ำเสมอ
2. ความสมบูรณ์ของข้อมูล “ความครบถ้วนอ้างอิงถึงความแน่ใจในความถูกต้อง (ทำงานได้เป็นปกติ) ของข้อมูลและฟังก์ชันการแก้ไขข้อมูลของระบบ เมื่อมีการใช้คำว่า ความครบถ้วน เชื่อมโยงกับคำว่า "ข้อมูล" นั่นแสดงว่าข้อมูลมีความสมบูรณ์และไม่ได้มีการเปลี่ยนแปลง”
การควบคุมการบริหารการเปลี่ยนแปลงและการบันทึกข้อมูลได้รับการดำเนินการอย่างเหมาะสม นอกเหนือจากการควบคุมการเข้าใช้งานข้อมูลเพื่อคงไว้ซึ่งความถูกต้องของข้อมูลส่วนตัว เช่น:
การจัดการการเปลี่ยนแปลงและนำข้อมูลออกใช้
- กระบวนการเปลี่ยนแปลงและนำข้อมูลออกใช้ รวมถึง (การวิเคราะห์ผลกระทบ การอนุมัติ การทดสอบ การทบทวนการรักษาความปลอดภัย การจัดเตรียมข้อมูล การติดตาม เป็นต้น)
- บทบาทและหน้าที่การทำงานอ้างอิงตาม (การแย่งแยกหน้าที่) การเข้าใช้งานสิ่งที่จัดเตรียมไว้สำหรับสภาพแวดล้อมในการทำงานจริง
การบันทึกและการเฝ้าติดตาม
- การบันทึกการเข้าใช้งานและการเปลี่ยนแปลงข้อมูล
- การตรวจสอบส่วนกลางและบันทึกการรักษาความปลอดภัย
- การติดตามความเสร็จสมบูรณ์และความถูกต้องในการถ่ายโอนข้อมูล (ตรวจสอบต้นทางจนถึงปลายทาง)
3. ความพร้อมใช้งาน “ความพร้อมใช้งานของบริการและระบบ IT แอปพลิเคชัน IT การทำงานของเครือข่าย IT หรือข้อมูลที่ได้รับการรับประกัน หากผู้ใช้สามารถใช้งานสิ่งดังกล่าวได้ตลอดเวลาตามที่ตั้งใจไว้”
เราประยุกต์ใช้การวัดผลความต่อเนื่องและการรักษาความปลอดภัยเพื่อคงไว้ซึ่งความพร้อมใช้งานของบริการและข้อมูลที่มีอยู่ในบริการเหล่านั้น:
- การทดสอบความล้มเหลวอย่างสม่ำเสมอเพื่อนำมาใช้กับการบริการที่สำคัญ
- ประสิทธิภาพการทำงานอันครอบคลุม/การติดตามความพร้อมใช้งานและการรายงานสำหรับระบบวิกฤติ
- โปรแกรมการตอบสนองต่อเหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบ
- ข้อมูลสำคัญไม่ว่าจะอยู่ในรูปสำเนาข้อมูลหรือการสำรองข้อมูล(การสำรองข้อมูลบนคลาวด์/ฮาร์ดดิสก์/การคัดลอกข้อมูลบนฐานข้อมูล เป็นต้น)
- ซอฟต์แวร์ที่วางแผนการใช้งานไว้ โครงสร้างพื้นฐานและคงไว้ซึ่งการรักษาความปลอดภัย (การอัปเดตซอฟต์แวร์ โปรแกรมแก้ไขปัญหาช่องโหว่ของการรักษาความปลอดภัย ฯลฯ)
- ระบบสำรองและกู้คืนข้อมูล (เซิร์ฟเวอร์คลัสเตอร์, การทำมิเรอร์ให้กับฐานข้อมูล การตั้งค่าความพร้อมใช้งานสูง ฯลฯ) ที่ติดตั้งไว้ทั้งในและนอกสถานที่ทำงาน และ/หรือสถานที่ตั้งเชิงภูมิศาสตร์ที่แยกจากกัน
- ใช้ตัวสำรองไฟที่ทำงานได้อย่างต่อเนื่อง ฮาร์ดแวร์สำรองเพื่อป้องกันการทำงานล้มเหลว และระบบเครือข่าย
- การแจ้งเตือน ระบบการรักษาความปลอดภัยในสถานที่
- วิธีการคุ้มครองทางกายภาพในสถานที่สำหรับสถานที่ที่มีความสำคัญสูง (อุปกรณ์ป้องกันแรงดันเกิน พื้นยกสูง ระบบทำความเย็น ไฟไหม้ และ/หรือเครื่องตรวจจับควัน ระบบดับเพลิงอัตโนมัติ ฯลฯ)
- การป้องกัน DDOS เพื่อคงไว้ซึ่งความพร้อมใช้งาน
- การทดสอบความเร็วในการโหลดและภาวะวิกฤติ
4. คำแนะนำในการดำเนินการกับข้อมูล "คำแนะนำในการดำเนินการกับข้อมูล อ้างอิงถึงการให้ความมั่นใจว่าจะมีเพียงแค่ข้อมูลส่วนตัวเท่านั้นที่จะได้รับการดำเนินการอันสอดคล้องกับคำแนะนำของวิธีวัดผู้รวบรวมข้อมูลและบริษัทที่เกี่ยวข้อง"
เราได้จัดทำนโยบายความเป็นส่วนตัวสำหรับการใช้งานภายในองค์กร ข้อตกลงและให้การฝึกอบรมแก่พนักงานในหัวข้อเรื่องความเป็นส่วนตัวอย่างสม่ำเสมอ เพื่อให้แน่ใจว่าข้อมูลส่วนตัวจะได้รับการดำเนินการภายใต้คำแนะนำและการกำหนดค่าของลูกค้า
- นโยบายและเงื่อนไขในการปกปิดความลับที่ระบุไว้ในสัญญาจ้างพนักงาน
- การฝึกอบรมเรื่องข้อมูลส่วนตัวและการรักษาความปลอดภัยของข้อมูลส่วนตัวให้กับพนักงานอย่างสม่ำเสมอ
- บทบัญญัติสัญญาที่เหมาะสมกับข้อตกลงที่มีผู้ให้บริการช่วงเพื่อคงไว้ซึ่งสิทธิ์ในการควบคุมดูแล
- การตรวจสอบความเป็นส่วนตัวสำหรับผู้ให้บริการภายนอกอย่างสม่ำเสมอ
- การมอบอำนาจให้กับลูกค้าในการควบคุมดูแลการกำหนดค่าในการดำเนินการกับข้อมูลของตนโดยสมบูรณ์
- การตรวจสอบการรักษาความปลอดภัยอย่างสม่ำเสมอ
**********************************************
ภาคผนวก 3ดูส่วนที่ 9.2 ของบทต่อท้ายสำหรับ การใช้ประโยชน์จาก SCC เหล่านี้
ข้อสัญญามาตรฐาน (ผู้ให้บริการ)
สำหรับวัตถุประสงค์ของมาตรา 26(2) แห่งคำสั่งคุ้มครองข้อมูล 95/46/EC สำหรับการถ่ายโอนข้อมูลส่วนตัวไปยังผู้ให้บริการที่ดำเนินการในประเทศที่สาม ซึ่งขาดความมั่นใจว่าจะมีการคุ้มครองข้อมูลในระดับที่เพียงพอ
บุคคลที่ได้รับการระบุไว้ในบทต่อท้ายว่าเป็น “ลูกค้า”
(“ผู้ส่งออกข้อมูล”)
และ
GoDaddy.com, LLC
(“ผู้นำเข้า ข้อมูล”)
หากคนเดียว เรียกว่า “บุคคล” หากมีการรวมกลุ่มกันจะเรียกว่า “คณะบุคคล”
เห็นชอบกับข้อกำหนดสัญญาต่อไปนี้ (ข้อกำหนด) เพื่ออ้างถึงการป้องกันที่เพียงพอต่อการคุ้มครองความเป็นส่วนตัวและสิทธิขั้นพื้นฐานและเสรีภาพของบุคคลในการถ่ายโอนข้อมูลโดยผู้ส่งออกข้อมูลไปยังผู้นำเข้าข้อมูลสำหรับข้อมูลส่วนตัวตามที่ได้ระบุไว้ในภาคผนวก 1
ข้อกำหนด 1
คำจำกัดความ
สำหรับวัตถุประสงค์ของข้อกำหนด:
(ก) ‘ข้อมูลส่วนตัว', 'หมวดข้อมูลพิเศษ', 'ดำเนินการ/กำลังดำเนินการ', 'ผู้ควบคุม', 'ผู้ให้บริการ', 'เจ้าของข้อมูล' และ 'หน่วยงานควบคุมดูแล' จะต้องมีความหมายเดียวกับที่ปรากฏอยู่ในคำสั่งคุ้มครองข้อมูล 95/46/EC ของสหภาพยุโรปและสภาตามประกาศใช้ ณ วันที่ 24 ตุลาคม 1995 ในเรื่องการคุ้มครองบุคคลอันเกี่ยวข้องกับการดำเนินการต่อข้อมูลส่วนตัว และการโยกย้ายข้อมูลดังกล่าวอย่างอิสระ
(ข) 'ผู้ส่งออกข้อมูล' หมายถึงผู้ควบคุมที่ถ่ายโอนข้อมูลส่วนตัว
(ค) 'ผู้นำเข้าข้อมูล' หมายถึงผู้ให้บริการที่ยอมรับว่าจะรับข้อมูลจากผู้ส่งออกข้อมูลโดยส่งออกข้อมูลส่วนตัวเพื่อการดำเนินการในนามของตนภายหลังจากที่ได้ถ่ายโอนข้อมูลตามคำสั่งและเงื่อนไขในข้อกำหนด และผู้ที่ไม่ต้องอยู่ภายใต้ระบบของบุคคลที่สามซึ่งแน่ใจแล้วว่ามีการปกป้องข้อมูลอย่างเพียงพอภายใต้คำนิยามของมาตรา 25(1) แห่งคำสั่งคุ้มครองข้อมูล 95/46/EC
(ง) 'ผู้ให้บริการช่วง' หมายถึงผู้ให้บริการใดๆ ที่มีส่วนเกี่ยวข้องกับผู้นำเข้าข้อมูล หรือโดยผู้ให้บริการช่วงอื่นใดๆ ของผู้นำเข้าข้อมูลผู้ที่ยินยอมในการรับข้อมูลจากผู้นำเข้าข้อมูล หรือจากผู้ให้บริการช่วงอื่นใดๆ ของผู้นำเข้าข้อมูลซึ่งเป็นข้อมูลส่วนตัวแต่เพียงผู้เดียว โดยมีจุดประสงค์เพื่อการดำเนินการกับกิจกรรมที่จะดำเนินการภายในนามของผู้ส่งออกข้อมูล ภายหลังจากมีการโอนย้ายข้อมูลอันสอดคล้องกับคำสั่งของผู้ส่งออก ข้อตกลงของข้อกำหนดและข้อตกลงของสัญญาย่อยที่ได้เขียนขึ้นมา
(จ) 'กฎหมายคุ้มครองข้อมูลที่บังคับใช้' หมายถึงการคุ้มครองสิทธิ์พื้นฐานตามอำนาจทางกฎหมายและเสรีภาพของบุคคล และโดยเฉพาะอย่างยิ่งสิทธิ์ของตนต่อความเป็นส่วนตัว อันเนื่องจากการดำเนินการกับข้อมูลส่วนตัวที่มีต่อผู้ควบคุมข้อมูลในรัฐสมาชิกซึ่งผู้ส่งออกข้อมูลได้จัดทำขึ้น
(ฉ) 'การวัดผลการรักษาความปลอดภัยเชิงเทคนิคและเชิงองค์กร' หมายถึงการวัดผลที่มีจุดมุ่งหมายเพื่อคุ้มครองข้อมูลส่วนตัวจากอุบัติเหตุ หรือการทำลายข้อมูลอย่างไม่ถูกต้องตามกฎหมาย หรือการสูญหายโดยไม่เจตนา การเปลี่ยนแปลง การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต หรือการเข้าใช้งานข้อมูล โดยเฉพาะอย่างยิ่งเมื่อการดำเนินการเกี่ยวข้องกับการส่งผ่านข้อมูลผ่านเครือข่าย และมีลักษณะการดำเนินการที่ไม่เป็นปฏิบัติตามกฎหมายอื่นๆ ทั้งหมด
ข้อกำหนด 2
รายละเอียดในการถ่ายโอนข้อมูล
รายละเอียดของการถ่ายโอนข้อมูล และโดยเฉพาะอย่างยิ่งสำหรับหมวดหมู่พิเศษของข้อมูลส่วนตัวที่ระบุไว้เฉพาะในภาคผนวก 1 ซึ่งรวบรวมไว้ในข้อกำหนดนี้
ข้อกำหนด 3
ข้อกำหนดสำหรับผู้ได้รับผลประโยชน์ที่เป็นบุคคลที่สาม
1. เจ้าของข้อมูลสามารถบังคับใช้ข้อกำหนดนี้กับผู้ส่งออกข้อมูล ข้อกำหนด 4(ข) ถึง (ฌ), ข้อกำหนด 5(ก) ถึง (จ) และ (ช) ถึง (ญ), ข้อกำหนด 6(1) และ (2), ข้อกำหนด 7, ข้อกำหนด 8(2) และข้อกำหนด 9 ถึง 12 ในฐานะผู้ได้รับผลประโยชน์ที่เป็นบุคคลที่สาม
2. เจ้าของข้อมูลสามารถบังคับใช้ข้อกำหนดนี้กับผู้นำเข้าข้อมูล โดยอาศัยข้อกำหนด 5(ก) จนถึง (ฉ) และ (ช), ข้อกำหนด 6, ข้อกำหนด 7, ข้อกำหนด 8(2) และข้อกำหนด 9 จนถึง 12 ในกรณีที่ผู้ส่งออกข้อมูลปิดบังข้อเท็จจริง หรือไม่ได้ดำเนินการปฏิบัติตามกฎหมายที่มีอยู่ เว้นแต่บุคคลผู้ให้บริการใดๆ ได้ยอมรับต่อข้อผูกมัดตามกฎหมายทั้งหมดที่มีของผู้ส่งออกข้อมูลตามสัญญาหรือตามการดำเนินการทางกฎหมาย อันเป็นผลจากการอ้างสิทธิ์และข้อผูกมัดของผู้ส่งออกข้อมูล ด้วยเหตุดังกล่าวนี้ เจ้าของข้อมูลสามารถบังคับใช้สิทธิ์ของตนต่อบุคคลดังกล่าวได้
3. เจ้าของข้อมูลสามารถบังคับใช้ข้อกำหนดนี้กับผู้ให้บริการช่วง โดยอาศัยข้อกำหนด 5(ก) จนถึง (ฉ) และ (ช), ข้อกำหนด 6, ข้อกำหนด 7, ข้อกำหนด 8(2) และข้อกำหนด 9 จนถึง 12 ในกรณีที่ทั้งผู้ส่งออกและนำเข้าข้อมูลปิดบังข้อเท็จจริง หรือไม่ได้ดำเนินการปฏิบัติตามกฎหมายที่มีอยู่ หรือได้กลายเป็นบุคคลล้มละลาย เว้นแต่บุคคลผู้ให้บริการใดๆ ได้ยอมรับต่อข้อผูกมัดตามกฎหมายทั้งหมดที่มีของผู้ส่งออกข้อมูลตามสัญญาหรือตามการดำเนินการทางกฎหมาย อันเป็นผลจากการอ้างสิทธิ์และข้อผูกมัดของผู้ส่งออกข้อมูล ด้วยเหตุดังกล่าวนี้ เจ้าของข้อมูลสามารถบังคับใช้สิทธิ์ของตนต่อบุคคลดังกล่าวได้ ความรับผิดของบุคคลที่สามดังกล่าวต่อผู้ให้บริการช่วงจะถูกจำกัดไว้ตามการปฏิบัติการของกระบวนการของตนภายใต้ข้อกำหนด
4. คณะบุคคลที่เป็นตัวแทนองค์กร หรือบุคคลใดๆ ไม่ทักท้วงต่อเจ้าของข้อมูล หากเจ้าของข้อมูลมีประสงค์อันชัดแจ้ง และหากได้รับอนุญาตตามกฎหมายในประเทศ
ข้อกำหนด 4
ข้อผูกมัดของผู้ส่งออกข้อมูล
ผู้ส่งออกข้อมูลยอมรับและรับประกันว่า:
(ก) กระบวนการดังกล่าวรวมถึงการถ่ายโอนข้อมูลส่วนตัวด้วยตนเอง และจะยังคงดำเนินการอย่างต่อเนื่องภายใต้บทบัญญัติที่เกี่ยวข้องกับกฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้ (และ หากมีผลบังคับใช้ จะมีการแจ้งเตือนไปยังเจ้าหน้าที่ของรัฐสมาชิกที่เกี่ยวข้องเมื่อมีการจัดตั้งผู้ส่งออกข้อมูลแล้ว) และต้องไม่มีการล่วงละเมิดบทบัญญัติที่เกี่ยวข้องในรัฐนั้นๆ
(ข) คำแนะนำและช่วงระยะเวลาในการรับบริการการดำเนินการกับข้อมูลส่วนตัวจะเป็นเครื่องมือแนะนำให้กับผู้นำเข้าข้อมูลในการดำเนินการกับข้อมูลส่วนตัวที่มีการถ่ายโอนเฉพาะในนามของผู้ส่งออกข้อมูลเท่านั้นและเป็นไปตามกฎหมายคุ้มครองข้อมูลและข้อกำหนดที่บังคับใช้
(ค) ผู้นำเข้าข้อมูลจะต้องให้การรับประกันอย่างพอเพียงจากการวัดผลการรักษาความปลอดภัยเชิงเทคนิคและเชิงองค์กรตามที่ระบุไว้ในภาคผนวก 2 ในสัญญานี้
(ง) ภายหลังจากการประเมินข้อกำหนดของกฎหมายคุ้มครองข้อมูลที่บังคับใช้ การวัดผลการรักษาความปลอดภัยเป็นสิ่งเหมาะสมในการคุ้มครองข้อมูลส่วนตัวจากอุบัติเหตุ หรือการทำลายข้อมูลอย่างไม่ถูกต้องตามกฎหมาย การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูล โดยเฉพาะอย่างยิ่งเมื่อการดำเนินการเกี่ยวข้องกับการส่งผ่านข้อมูลผ่านเครือข่าย และมีลักษณะการดำเนินการที่ไม่เป็นปฏิบัติตามกฎหมายอื่นๆ ทั้งหมด การวัดผลเหล่านี้เพื่อให้แน่ใจว่ามีการรักษาความปลอดภัยในระดับที่เหมาะสมกับความเสี่ยงที่ปรากฏให้เห็นเมื่อมีการดำเนินการกับข้อมูล และวิธีที่ข้อมูลได้รับการคุ้มครอง โดยพิจารณาตามความทันสมัยและค่าใช้จ่ายในการนำมาปฏิบัติใช้
(จ) เพื่อให้แน่ใจว่ามีการปฏิบัติตามการวัดผลการรักษาความปลอดภัย
(ฉ) หากการถ่ายโอนข้อมูลเกี่ยวข้องกับหมวดหมู่ข้อมูลพิเศษ จำเป็นต้องแจ้งให้ทราบถึงข้อมูลดังกล่าว หรือจะต้องแจ้งให้ทราบล่วงหน้า หรือในทันทีเท่าที่ทำได้หลังจากดำเนินการแล้ว อาจสามารถถ่ายโอนข้อมูลไปยังประเทศที่สามที่ไม่ได้มีการคุ้มครองข้อมูลอย่างเพียงพอได้ซึ่งอยู่ภายใต้คำนิยามของคำสั่งคุ้มครองข้อมูล 95/46/EC
(ช) ส่งต่อการแจ้งเตือนที่ได้รับจากผู้นำเข้าข้อมูล หรือผู้ให้บริการช่วงโดยอ้างตามข้อกำหนด 5(ข) และข้อกำหนด 8(3) ไปยังหน่วยงานควบคุมดูแลคุ้มครองข้อมูล หากผู้ส่งออกข้อมูลตัดสินใจที่จะถ่ายโอนข้อมูลต่อไป หรือยกเลิกการระงับใช้ชั่วคราว
(ซ) เพื่อมอบความพร้อมใช้งานให้แก่เจ้าของข้อมูลในขณะที่ทำการร้องขอสำเนาข้อกำหนด พร้อมด้วยข้อยกเว้นในภาคผนวก 2 และคำจำกัดความโดยสรุปของการวัดผลการรักษาความปลอดภัย รวมถึงสำเนาของสัญญาสำหรับการให้บริการช่วงซึ่งจะต้องดำเนินการตามภายใต้ข้อกำหนด เว้นแต่ข้อกำหนดหรือสัญญามีข้อมูลทางการค้า ในกรณีดังกล่าวอาจจำเป็นต้องลบข้อมูลทางการค้าออก
(ฌ) สำหรับในกรณีที่ผู้ให้บริการช่วง การดำเนินการกับกิจกรรมได้ดำเนินไปภายใต้ข้อกำหนด 11 ซึ่งผู้ให้บริการช่วงได้จัดเตรียมไว้ให้อย่างน้อยในระดับการคุ้มครองข้อมูลส่วนตัวเดียวกันและสิทธิ์ของเจ้าของข้อมูลในฐานะของผู้นำเข้าข้อมูลภายใต้ข้อกำหนด และ
(ญ) เพื่อให้แน่ใจว่ามีการปฏิบัติตามข้อกำหนด 4(ก) ถึง (ฌ)
ข้อกำหนด 51
ข้อผูกมัดของผู้นำเข้าข้อมูล
ผู้นำเข้าข้อมูลยอมรับและรับประกันว่า:
(ก) เพื่อดำเนินการกับข้อมูลส่วนตัวในนามของผู้ส่งออกข้อมูลเท่านั้น และเพื่อปฏิบัติตามอย่างสอดคล้องกับคำสั่งและข้อกำหนด หากไม่อาจปฏิบัติตามได้ไม่ว่าด้วยเหตุผลใดๆ โดยสืบเนื่องจากเป็นการตกลงยอมรับร่วมกันที่จะต้องบอกกล่าวแก่ผู้ส่งออกข้อมูลในทันทีหากไม่สามารถปฏิบัติตามได้ ในกรณีดังกล่าวนี้ผู้ส่งออกข้อมูลสามารถระงับการถ่ายโอนข้อมูล และ/หรือยุติสัญญาได้
(ข) ไม่มีเหตุผลที่เชื่อได้ว่าบทบัญญัติแห่งกฎหมายที่มีผลบังคับใช้เพื่อการคุ้มครองข้อมูลโดยอาศัยคำสั่งที่ได้รับมาจากผู้ส่งออกข้อมูล และข้อผูกมัดภายใต้สัญญาและอันเนื่องจากการเปลี่ยนแปลงในบทบัญญัติแห่งกฎหมายนี้ ซึ่งมีแนวโน้มที่จะส่งผลอันไม่พึงประสงค์อันร้ายแรงต่อการรับประกัน และข้อผูกมัดที่ระบุไว้ในข้อกำหนด โดยจะมีการแจ้งเตือนให้ผู้ส่งออกทราบเมื่อมีการเปลี่ยนแปลงโดยทันที ในกรณีดังกล่าวผู้ส่งออกข้อมูลมีสิทธิ์ที่จะระงับการถ่ายโอนข้อมูล และ/หรือบอกเลิกสัญญาดังกล่าว
(ค) ปรับใช้การวัดผลการรักษาความปลอดภัยเชิงเทคนิคและเชิงองค์กรตามที่ระบุไว้ในภาคผนวก 2 ก่อนดำเนินการกับข้อมูลส่วนตัวที่มีการโอนย้ายมา
(ง) โดยจะมีการแจ้งให้ผู้ส่งออกข้อมูลทราบโดยทันทีเกี่ยวกับ:
(i) คำร้องขอที่มีภาระผูกพันทางกฎหมายใดๆ สำหรับการเปิดเผยข้อมูลส่วนตัวโดยหน่วยงานที่บังคับใช้กฎหมาย เว้นแต่ห้ามมิให้ดำเนินการดังกล่าว เช่น การห้ามมิให้ดำเนินการภายใต้กฎหมายอาญาเพื่อสงวนไว้ซึ่งการปกปิดเป็นความลับเพื่อการตรวจสอบหาข้อเท็จจริงตามการบังคับใช้กฎหมาย
(ii) การเข้าถึงข้อมูลโดยไม่เจตนาหรือไม่ได้รับอนุญาต และ
(iii) คำร้องขอใดๆ ที่ได้รับโดยตรงจากเจ้าของข้อมูลโดยที่ไม่มีการตอบสนองต่อคำร้องขอนั้น เว้นแต่ได้รับอนุญาตให้ดำเนินการดังกล่าว
(จ) จัดการกับทุกข้อซักถามจากผู้ส่งออกข้อมูลอันเกี่ยวข้องกับการดำเนินการกับข้อมูลส่วนตัวเพื่อถ่ายโอนหรือปฏิบัติตามคำแนะนำของหน่วยงานควบคุมดูแลซึ่งเกี่ยวข้องกับการดำเนินการกับข้อมูลที่มีการถ่ายโอนโดยทันทีและอย่างเหมาะสม
(ฉ) ตามที่ร้องขอให้ผู้ส่งออกข้อมูลส่งการดำเนินการกับข้อมูลเพื่อการตรวจสอบกิจกรรมการดำเนินการตามที่ระบุไว้ในข้อกำหนด ซึ่งจะได้รับการดำเนินการโดยผู้ส่งออกข้อมูล หรือดำเนินการตรวจหาข้อเท็จจริงจากสมาชิกอิสระ และภายใต้คุณสมบัติของความเป็นมืออาชีพที่จำเป็นอันผูกพันกับหน้าที่ในการปกปิดความลับ ที่ผู้ส่งออกข้อมูลได้เลือกไว้ตามจำเป็น ในข้อตกลงที่ทำขึ้นกับหน่วยงานควบคุมดูแล
(ช) เพื่อมอบความพร้อมใช้งานให้แก่เจ้าของข้อมูลในขณะที่ทำการร้องขอสำเนาข้อกำหนด หรือสัญญาที่มีอยู่ใดๆ สำหรับการให้บริการช่วง เว้นแต่ข้อกำหนดหรือสัญญามีข้อมูลทางการค้า ในกรณีดังกล่าวอาจจำเป็นต้องลบข้อมูลทางการค้าออก ข้อยกเว้นในภาคผนวก 2 ซึ่งจะถูกแทนที่โดยคำจัดความโดสรุปของการวัดผลการรักษาความปลอดภัยในกรณีดังกล่าวเหล่านั้น ซึ่งเจ้าของข้อมูลจะไม่สามารถรับสำเนาข้อมูลจากผู้ส่งออกข้อมูลได้
(ซ) การให้บริการช่วง ผู้ส่งออกข้อมูลจะต้องได้รับการแจ้งให้ทราบล่วงหน้าและต้องมีการให้ความยินยอมเป็นลายลักษณ์อักษรก่อน
(ฌ) การดำเนินการโดยผู้ให้บริการช่วงจะเป็นไปตามข้อกำหนด 11
(ญ) ส่งสำเนาของข้อตกลงที่ทำกับผู้ให้บริการช่วงซึ่งได้รวมอยู่ในข้อกำหนดให้กับผู้ส่งออกข้อมูลในทันที
ข้อกำหนด 6
ความรับผิด
1. คณะบุคคลยอมรับว่าเจ้าของข้อมูลซึ่งได้รับผลกระทบจากความเสียหายอันเนื่องมาจากการไม่ปฏิบัติตามข้อผูกมัดที่อ้างอิงอยู่ในข้อกำหนด 3 หรือข้อกำหนด 11 โดยบุคคลใดๆ หรือผู้ให้บริการช่วงที่ผ่านเกณฑ์จะได้รับการชดเชยจากผู้ส่งออกข้อมูลสำหรับความเสียหายที่ได้รับ
2. หากเจ้าของข้อมูลไม่สามารถร้องเรียนเพื่อขอการชดเชยจากผู้ส่งออกข้อมูลตามย่อหน้า 1 อันเป็นผลมาจากการฝ่าฝืนของผู้นำเข้าข้อมูลหรือผู้ให้บริการช่วงของตนสำหรับข้อผูกมัดที่ตนเองมีหากอ้างอิงตามข้อกำหนด 3 หรือในข้อกำหนด 11 เนื่องจากผู้ส่งออกข้อมูลปิดบังข้อเท็จจริง หรือไม่ได้ดำเนินการปฏิบัติตามกฎหมายที่มีอยู่ หรือได้กลายเป็นบุคคลล้มละลาย ผู้นำเข้าข้อมูลเห็นชอบว่าเจ้าของข้อมูลอาจทำเรื่องร้องเรียนไปยังผู้นำเข้าข้อมูลเสมือนว่าเป็นผู้ส่งออกข้อมูล เว้นแต่บุคคลที่ให้บริการใดๆ ได้ยอมรับต่อข้อผูกมัดตามกฎหมายทั้งหมดของผู้ส่งออกข้อมูลตามสัญญาหรือตามการดำเนินการทางกฎหมาย ด้วยเหตุดังกล่าวนี้เจ้าของข้อมูลสามารถบังคบใช้สิทธิ์ของตนต่อบุคคลดังกล่าวได้ ผู้นำเข้าข้อมูลอาจไม่สามารถวางใจต่อผู้ให้บริการที่ทำการฝ่าฝืนข้อผูกพันเพื่อหลีกเลี่ยงความรับผิดของตน
3. หากเจ้าของข้อมูลไม่สามารถร้องเรียนต่อผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลตามที่อ้างอิงในย่อหน้าที่ 1 และ 2 ได้ อันเป็นผลมาจากการผิดสัญญาของผู้ให้บริการช่วงต่อข้อผูกมัดที่ตนมีตามอ้างอิงในข้อกำหนด 3 หรือในข้อกำหนด 11 อันเนื่องจากทั้งผู้ส่งออกและนำเข้าข้อมูลปิดบังข้อเท็จจริง หรือไม่ได้ดำเนินการปฏิบัติตามกฎหมายที่มีอยู่ หรือได้กลายเป็นบุคคลล้มละลาย ผู้ให้บริการช่วงยอมรับว่าเจ้าของข้อมูลอาจทำการร้องเรียนต่อผู้ให้บริการช่วงที่เกี่ยวข้องกับการปฏิบัติการของกระบวนการของตนที่มีภายใต้ข้อกำหนดเสมือนเป็นผู้ส่งออกหรือนำเข้าข้อมูล เว้นแต่บุคคลผู้ให้บริการใดๆ ได้ยอมรับต่อข้อผูกมัดตามกฎหมายทั้งหมดที่มีของผู้ส่งออกและนำเข้าข้อมูลตามสัญญาหรือตามการดำเนินการทางกฎหมาย ด้วยเหตุดังกล่าวนี้ เจ้าของข้อมูลสามารถบังคับใช้สิทธิ์ของตนต่อบุคคลดังกล่าวได้ ความรับผิดของผู้ให้บริการช่วงจะมีการจำกัดไว้ตามการปฏิบัติการของกระบวนการของตนภายใต้ข้อกำหนด
ข้อกำหนด 7
การไกล่เกลี่ยและเขตอำนาจตามกฎหมาย
1. ผู้นำเข้าข้อมูลยินยอมว่า หากเจ้าของข้อมูลอ้างสิทธิ์จากการเป็นผู้ได้รับผลประโยชน์ที่เป็นบุคคลที่สาม/หรือเรียกร้องค่าชดเชยสำหรับความเสียหายภายใต้ข้อกำหนด ผู้นำเข้าข้อมูลจะยอมรับการตัดสินใจของเจ้าของข้อมูล:
(ก) อ้างอิงตามข้อพิพาทเพื่อการไกล่เกลี่ย โดยบุคคลอิสระ หรือหากมีผลบังคับใช้ โดยหน่วยงานควบคุมดูแล
(ข) อ้างอิงตามข้อพิพาทต่อศาลในรัฐสมาชิกซึ่งผู้ส่งออกข้อมูลได้กำหนดไว้
2. คณะบุคคลเห็นด้วยว่าตัวเลือกที่เจ้าของข้อมูลให้ไว้จะมีความเป็นกลางต่อสิทธิพื้นฐานหรือสิทธิตามกระบวนการยุติธรรมเพื่อใช้อ้างอิงสำหรับการเยียวยาอันเป็นไปตามบทบัญญัติอื่นๆ ของกฎหมายในประเทศหรือระหว่างประเทศ
ข้อกำหนด 8
การให้ความร่วมมือกับหน่วยงานควบคุมดูแล
1. ผู้ส่งออกข้อมูลเห็นด้วยที่จะส่งสำเนาของสัญญานี้ให้กับหน่วยงานควบคุมดูแล หากมีการร้องขอ หรือหากจำเป็นต้องส่งสำเนาให้โดยเป็นไปตามกฎหมายการคุ้มครองข้อมูลที่บังคับใช้
2. คณะบุคคลเห็นชอบว่าหน่วยงานควบคุมดูแลมีสิทธิ์ในการดำเนินการตรวจสอบผู้นำเข้าข้อมูล และผู้ให้บริการช่วงใดๆ โดยอาศัยขอบเขตเดียวกับและอยู่ภายใต้เงื่อนไขเดียวกันตามที่ได้มีการนำมาใช้เพื่อการตรวจสอบผู้ส่งออกข้อมูลภายใต้กฎหมายการคุ้มครองข้อมูลที่บังคับใช้
3. ผู้นำเข้าข้อมูลจะแจ้งให้ผู้ส่งออกข้อมูลทราบเกี่ยวกับบทบัญญัติแห่งกฎหมายที่มีผลบังคับใช้โดยทันที หรือผู้ให้บริการช่วงใดๆ ที่ป้องกันการดำเนินการตรวจสอบผู้นำเข้าข้อมูล หรือผู้ให้บริการช่วงใดๆ ตามที่อ้างถึงในย่อหน้า 2 ในกรณีดังกล่าว ผู้ส่งออกข้อมูลจะต้องได้รับสิทธิ์ให้สามารถวัดผลได้ตามที่ระบุไว้ในข้อกำหนด 5 (ข)
ข้อกำหนด 9
กฎหมายที่ใช้บังคับแก่สัญญา
ข้อกำหนดจะได้รับการควบคุมโดยกฎหมายของรัฐสมาชิกซึ่งได้มีการก่อตั้งผู้ส่งออกข้อมูลขึ้นมา และหากมีข้อสงสัย หรือต้องการทราบตำแหน่งที่ตั้งของหลายผู้ส่งออกข้อมูล ทั้งนี้จะมีการกำกับดูแลโดยกฎหมายแห่งประเทศอังกฤษและเวลส์
ข้อกำหนด 10
การเปลี่ยนแปลงในสัญญา
คณะบุคคลที่รับผิดชอบในงานดังกล่าวจะต้องไม่เปลี่ยนแปลงหรือแก้ไขข้อกำหนด โดยไม่ได้เป็นการขัดขวางคณะบุคคลไม่ให้เพิ่มเติมข้อกำหนดลงในปัญหาที่เกี่ยวข้องกับธุรกิจ ซึ่งมีความจำเป็นต้องอ้างอึงถึงตราบเท่าที่คณะบุคคลดังกล่าวไม่ได้โต้แย้งกับข้อกำหนด
ข้อกำหนด 11
การให้บริการช่วง
1. ผู้ส่งออกข้อมูลจะต้องไม่ทำสัญญาย่อยในการปฏิบัติการของกระบวนการของตนใดๆ ที่กระทำขึ้นในนามของผู้ส่งออกข้อมูลภายใต้ข้อกำหนดโดยที่ไม่ได้รับการยินยอมเป็นลายลักษณ์อักษรจากผู้ส่งออกข้อมูล เมื่อผู้นำเข้าข้อมูลทำสัญญาย่อยกับข้อผูกมัดภายใต้ข้อกำหนด ด้วยความยินยอมของผู้ส่งออกข้อมูล การดำเนินการดังกล่าวควรกระทำภายใต้ข้อตกลงที่มีการเขียนเป็นลายลักษณ์อักษรกับผู้ให้บริการช่วงเท่านั้น ซึ่งได้กำหนดให้มีข้อผูกมัดเดียวกันกับผู้ให้บริการช่วงเนื่องจากมีการกำหนดไว้กับผู้นำเข้าข้อมูลภายใต้ข้อกำหนด หากผู้ให้บริการช่วงไม่อาจดำเนินการตามข้อผูกพันการคุ้มครองข้อมูลภายใต้ข้อตกลงที่เป็นลายลักษณ์อักษร ผู้นำเข้าข้อมูลจะต้องคงไว้ซึ่งความรับผิดโดยสมบูรณ์แก่ผู้ส่งออกข้อมูลสำหรับการดำเนินการต่อข้อผูกพันของผู้ให้บริการช่วงภายใต้ข้อตกลงดังกล่าว
2. สัญญาที่เขียนขึ้นไว้ก่อนหน้าระหว่างผู้นำเข้าข้อมูลและผู้ให้บริการช่วง จะต้องแจ้งข้อกำหนดสำหรับผู้ได้รับผลประโยชน์ที่เป็นบุคคลที่สามตามที่ระบุไว้ในข้อกำหนด 3 หากเกิดกรณีที่เจ้าของข้อมูลไม่อาจทำการร้องเรียนเพื่อขอค่าชดเชยตามอ้างถึงในย่อหน้า 1 ของข้อกำหนด 6 ต่อผู้ส่งออกข้อมูล หรือผู้นำเข้าข้อมูลได้เนื่องจากทั้งสอง ปิดบังข้อเท็จจริง หรือไม่ได้ดำเนินการปฏิบัติตามกฎหมายที่มีอยู่ หรือได้กลายเป็นบุคคลล้มละลาย และผู้รับประโยชน์ต่อไม่ได้อ้างสิทธิ์ตามข้อผูกพันทางกฎหมายทั้งหมดกับผู้ส่งออกหรือผู้นำเข้าข้อมูลตามสัญญาหรือการดำเนินการตามกฎหมาย ความรับผิดของบุคคลที่สามดังกล่าวต่อผู้ให้บริการช่วงจะถูกจำกัดไว้ตามการปฏิบัติการของกระบวนการของตนภายใต้ข้อกำหนด
3. บทบัญญัติที่เกี่ยวข้องกับการคุ้มครองข้อมูลในแง่ของการให้บริการช่วงของสัญญาตามอ้างอิงในย่อหน้า 1 จะได้รับการกำกับดูแลโดยกฎหมายของรัฐสมาชิกซึ่งผู้ส่งออกข้อมูลได้กำหนดขึ้น
4. ผู้ส่งออกข้อมูลจะเก็บรายการข้อตกลงของผู้ให้บริการช่วงโดยสรุปภายใต้ข้อกำหนด และผู้นำเข้าข้อมูลจะแจ้งเตือนให้ทราบโดยอ้างตามข้อกำหนด 5 (ญ) ซึ่งจะมีการอัปเดตข้อมูลดังกล่าวอย่างน้อยปีละหนึ่งครั้ง รายชื่อจะต้องมีพร้อมมอบให้กับหน่วยงานควบคุมดูแลคุ้มครองข้อมูลของผู้ส่งออกข้อมูล
ข้อกำหนด 12
ข้อผูกมัดภายหลังจากการบอกเลิกการบริการดำเนินการกับข้อมูลส่วนตัว
1. คณะบุคคลเห็นชอบว่าการบอกเลิกบทบัญญัติของการบริการดำเนินการกับข้อมูล ผู้นำเข้าข้อมูลและผู้ให้บริการช่วงจะ ตามตัวเลือกของผู้ส่งออกข้อมูล ต้องส่งคืนข้อมูลส่วนตัวที่มีการถ่ายโอนและสำเนาทั้งหมดให้กับผู้ส่งออกข้อมูล หรือจะต้องทำลายข้อมูลส่วนตัวทั้งหมดและต้องผ่านการตรวจสอบโดยผู้ส่งออกข้อมูลว่าได้มีการดำเนินการดังกล่าวแล้ว เว้นแต่ได้มีการบังคับตามกฎหมายให้ผู้นำเข้าข้อมูลต้องคุ้มครองข้อมูลที่ได้จากการส่งคืน หรือทำลายข้อมูลทั้งหมด หรือบางส่วนของข้อมูลส่วนตัวที่มีการถ่ายโอน ในกรณีดังกล่าว ผู้นำเข้าข้อมูลรับประกันว่าจะมีการปกปิดความลับของข้อมูลส่วนตัวที่ได้ถ่ายโอน และจะไม่ดำเนินการใดๆ กับข้อมูลส่วนตัวที่ได้ถ่ายโอนอีกต่อไป
2. ผู้นำเข้าข้อมูลหรือผู้ให้บริการช่วงให้การรับประกันขณะที่มีการร้องขอผู้ส่งออกข้อมูล และ/หรือหน่วยงานควบคุมดูแล โดยที่จะมีการส่งข้อมูลไปยังสถานประกอบการเพื่อดำเนินการกับข้อมูลสำหรับการตรวจสอบการวัดผลที่อ้างอิงไว้ตามย่อหน้า 1
**********************************************
ภาคผนวก 1 สำหรับข้อสัญญามาตรฐาน
ผู้ส่งออกข้อมูล
ผู้ส่งออกข้อมูลคือบุคคลที่ได้รับการระบุไว้ในบทต่อท้ายว่าเป็น “ลูกค้า”
ผู้นำเข้าข้อมูล
ผู้นำเข้าข้อมูลคือ GoDaddy.com, LLC ผู้ให้บริการของบริการที่โฮสต์ไว้
เจ้าของข้อมูล
การปฏิบัติการของกระบวนการได้รับการระบุไว้ในส่วน 1.3 และภาคผนวก 1 ในบทต่อท้าย
หมวดข้อมูล
การปฏิบัติการของกระบวนการได้รับการระบุไว้ในส่วน 1.3 และภาคผนวก 1 ในบทต่อท้าย
ระบบปฏิบัติการ
การปฏิบัติการของกระบวนการได้รับการระบุไว้ในส่วน 1.3 และภาคผนวก 1 ในบทต่อท้าย
ภาคผนวก 2 สำหรับข้อสัญญามาตรฐาน
ภาคผนวกนี้เป็นส่วนหนึ่งในข้อกำหนด การสั่งซื้อการบริการที่ครอบคลุมจาก GoDaddy บทต่อท้ายและภาคผนวก 2 นี้ถือว่าได้ยอมรับและดำเนินการแล้วโดยและระหว่างคณะบุคคล
คำจำกัดความของการวัดผลเชิงเทคนิคและเชิงองค์กรที่นำมาปรับใช้โดยผู้นำเข้าข้อมูลอันเป็นไปตามข้อกำหนด 4(ง) และ 5(ค) (หรือเอกสาร/บทบัญญัติแห่งกฎหมายตามที่แนบมา):
การวัดผลการรักษาความปลอดภัยเชิงเทคนิคและเชิงองค์กรที่ผู้นำเข้าข้อมูลได้นำมาปรับใช้ถูกอธิบายไว้ในบทต่อท้าย โดยระบุไว้เป็นพิเศษในภาคผนวก 2 ซึ่งรวมเข้าไว้และแนบมากับบทต่อท้ายนี้
1 ข้อกำหนดที่บังคับใช้กับบทบัญญัติแห่งกฎหมายของประเทศต่อผู้นำเข้าข้อมูลซึ่งไม่ได้เกินกว่าขอบเขตที่จำเป็นในสังคมประชาธิปไตยโดยอ้างตามหนึ่งในรายการที่เป็นที่สนใจในมาตรา 13(1) ของคำสั่งคุ้มครองข้อมูล 95/46/EC อันประกอบด้วยการวัดผลที่จำเป็นเพื่อคุ้มครองความปลอดภัยให้กับประเทศ การปกป้อง การรักษาความปลอดภัยแก่สาธารณชน การป้องกัน การตรวจหาข้อเท็จจริง การตรวจจับและการดำเนินคดีตามกฎหมายอาญา หรือการฝ่าฝืนจรรยาบรรณในการประกอบอาชีพตามที่ได้บัญญัติไว้ ความสำคัญในด้านเศรษฐกิจหรือผลประโยชน์ทางการเงินของรัฐ หรือการคุ้มครองเจ้าของข้อมูล หรือสิทธิ และเสรีภาพของบุคคลอื่น ซึ่งไม่ได้อยู่ในความขัดแย้งของข้อสัญญามาตรฐาน ตัวอย่างของข้อกำหนดที่บังคับใช้บางข้อ ซึ่งไม่ได้มีขอบเขตเกินจำเป็นในสังคมประชาธิปไตย อาทิ ในระหว่างหลายๆ สิ่ง มีการอนุมัติอย่างเป็นทางการที่เป็นที่จดจำได้ในระดับสากล ข้อกำหนดในการรายงานภาษี หรือข้อกำหนดในการรายงานการป้องกันการฟอกเงิน