GoDaddy

บทต่อท้ายสำหรับการดำเนินการกับข้อมูล (ลูกค้า)

ปรับปรุงล่าสุด: 21/10/2020

บทต่อท้ายการประมวลผลข้อมูล (“บทต่อท้าย” นี้) ได้รับการดำเนินการโดยและระหว่าง GoDaddy.com, LLC, a Delaware limited liability company รวมถึงบริษัทในเครือ (“GoDaddy”) กับคุณ (“ลูกค้า”) และที่ได้เพิ่มไว้ รวมถึงข้อมูลเสริมสำหรับเงื่อนไขการให้บริการสากล นโยบายความเป็นส่วนตัวและข้อตกลงใดๆ และทั้งหมดที่กำกับใช้ในการบริการอันครอบคลุม (รวมเรียกว่า “เงื่อนไขการให้บริการ”)  เว้นแต่ได้ระบุไว้ในบทต่อท้ายนี้ คำที่เน้นสำคัญที่ไม่ได้ระบุไว้ในบทต่อท้ายนี้จะมีความหมายให้ไว้ในเงื่อนไขการใช้บริการ

1. คำจำกัดความ

บริษัท” หมายถึงบุคคลใดๆ ซึ่งได้รับการควบคุม ทำการควบคุม หรืออยู่ในการควบคุมร่วมกันกับ GoDaddy

"CCPA” หมายถึงพระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคประจำรัฐแคลิฟอร์เนีย ของรัฐแคลิฟอร์เนีย ประมวล กฎหมายแพ่ง แคลิฟอร์เนีย 1798.100 และกฎหมายที่ตามมาหลังจากนั้น รวมถึงบทแก้ไขเพิ่มเติมและข้อบังคับที่นำมาใช้ซึ่งจะมีผลในหรือหลังจากวันที่บังคับใช้ของบทเพิ่มเติมเกี่ยวกับการดำเนินการกับข้อมูลฉบับนี้

การบริการที่ครอบคลุม” บริการที่มีการโฮสต์ไว้ใดๆ ที่เราได้นำเสนอให้กับคุณอาจเกี่ยวข้องกับกระบวนการของข้อมูลส่วนตัวของเรา

“ข้อมูลของลูกค้า” หมายถึงข้อมูลส่วนตัวของเจ้าของข้อมูลที่ได้รับการดำเนินการโดย GoDaddy ภายในเครือข่ายของ GoDaddy ในนามของลูกค้าที่อ้างอิงถึง หรือที่มีความเชื่อมโยงกับเงื่อนไขการบริการ

ผู้ควบคุมข้อมูล” หมายถึงลูกค้าในฐานะที่เป็นบุคคลซึ่งกำหนดวัตถุประสงค์และความหมายในการดำเนินการกับข้อมูลส่วนตัว

ผู้ให้บริการข้อมูล” หมายถึง GoDaddy ในฐานะบุคคลที่ดำเนินการกับข้อมูลส่วนตัวในนามของผู้ควบคุมข้อมูล หรือผู้ให้บริการตามคำนิยามของ CCPA

กฎหมายคุ้มครองข้อมูล” หมายถึงกฎหมายและข้อบังคับว่าด้วยความเป็นส่วนตัวหรือการคุ้มครองข้อมูลทั้งหมดที่บังคับใช้ในการดำเนินการกับข้อมูลส่วนตัวภายใต้ข้อตกลงนี้ รวมถึง CCPA, (ii) GDPR, (iii) คำสั่งว่าด้วยความเป็นส่วนตัวทางอิเล็กทรอนิกส์ของสหภาพยุโรป (คำสั่ง 2002/58/EC), (iv) กฎหมายคุ้มครองข้อมูลในประเทศฉบับใดๆ ที่จัดทำขึ้นภายใต้หรือตาม (ii) หรือ (iii), (v) พระราชบัญญัติคุ้มครองข้อมูลแห่งสมาพันธรัฐสวิสฉบับวันที่ 19 มิถุนายน 1992 และบทบัญญัติ และ (vi) ในส่วนของสหราชอาณาจักร พระราชบัญญัติคุ้มครองข้อมูล 2018 และกฎหมายระดับชาติใดๆ ที่มาแทนหรือเปลี่ยนแปลงกฎหมายในประเทศ GDPR หรือกฎหมายอื่นๆ ที่เกี่ยวข้องกับข้อมูลและความเป็นส่วนตัวอันเป็นผลสืบเนื่องจากการที่สหราชอาณาจักรออกจากสหภาพยุโรป ในแต่ละกรณีที่อาจแก้ไขเพิ่มเติม ใช้แทน หรือแทนที่

เจ้าของข้อมูล” หมายถึงบุคคลที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนตัว

EEA” หมายถึงเขตเศรษฐกิจยุโรป

GDPR” หมายถึงข้อบังคับ (EU) 2016/679 ของรัฐสภายุโรปและคณะมนตรีในวันที่ 27 เมษายน 2016 เรื่องการปกป้องบุคคลธรรมดาในส่วนที่เกี่ยวกับการดำเนินการกับข้อมูลส่วนตัวและเรื่องการเคลื่อนไหวโดยเสรีของข้อมูลดังกล่าว รวมถึงยกเลิกคำสั่ง 95/46/EC (ข้อบังคับในการปกป้องข้อมูลทั่วไป)

เครือข่าย GoDaddy” หมายถึง ศูนย์ข้อมูลของ GoDaddy เซิร์ฟเวอร์ อุปกรณ์เครือข่าย และระบบซอฟต์แวร์ที่ใช้โฮสต์ (เช่น ไฟร์วอลล์เสมือนจริง) ที่อยู่ภายใต้การควบคุมดูแลของ GoDaddy และนำมาใช้เพื่อจัดหาการบริการที่ครอบคลุม

ข้อมูลส่วนตัว” หมายถึงข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคลหรือครัวเรือนที่ระบุตัวตนได้หรือสามารถระบุตัวตนได้ตามคำจำกัดความภายใต้กฎหมายคุ้มครองข้อมูล

การดำเนินการ” หมายถึงการปฏิบัติการ หรือชุดการปฏิบัติการซึ่งดำเนินการกับข้อมูลส่วนตัว โดยอาจหมายความรวมถึง การเก็บรวบรวมข้อมูล การบันทึก การจัดการ การจัดโครงสร้าง การจัดเก็บ การปรับเปลี่ยน หรือการเปลี่ยนแปลง การกู้คืน การให้คำปรึกษา การใช้ การเปิดเผยข้อมูลโดยการส่งผ่าน การแพร่กระจาย หรือการทำให้ข้อมูลพร้อมใช้งาน การจัดเรียง หรือการผสานรวม การจำกัด หรือการทำลาย “การดำเนินการ”, “ดำเนินการ” และ “ดำเนินการแล้ว” จะได้รับการตีความตามดังที่กล่าวมา รายละเอียดการดำเนินการได้ระบุไว้ในภาคผนวก 1

เหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบ” ไม่ว่าจะเป็น (ก) การไม่ปฏิบัติตามการรักษาความปลอดภัยตามมาตรฐานการรักษาความปลอดภัยของ GoDaddy อันนำไปสู่อุบัติเหตุ หรือการทำลาย การสูญหาย การแก้ไขข้อมูลอย่างไม่ถูกต้องตามกฎหมายหรือโดยมิได้ตั้งใจ การเปิดเผยหรือการเข้าใช้งานข้อมูลลูกค้าโดยไม่ได้รับอนุญาต หรือ (ข) การเข้าใช้งานอุปกรณ์หรือสถานที่ปฏิบัติงานของ GoDaddy โดยไม่ได้รับอนุญาต ด้วยเหตุดังกล่าวนำมาซึ่งผลของการทำลาย การาย การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต หรือการเปลี่ยนแปลงข้อมูลของลูกค้า

มาตรฐานการรักษาความปลอดภัย” หมายถึงมาตรฐานการรักษาความปลอดภัยตามที่แนบมากับบทต่อท้ายซึ่งเป็นภาคผนวก 2

ข้อกำหนดสัญญามาตรฐาน” หรือ “SCCs” หมายถึงภาคผนวก 3 ที่แนบมาและจัดทำขึ้นไว้ในบทต่อท้ายโดยอ้างถึงการตัดสินใจของคณะกรรมาธิการยุโรป ณ วันที่ 5 กุมภาพันธ์ 2010 ในข้อกำหนดสัญญามาตรฐานสำหรับการถ่ายโอนข้อมูลส่วนตัวไปยังผู้ให้บริการที่ให้บริการอยู่ในประเทศที่สามภายใต้คำสั่งคุ้มครองข้อมูล 

ผู้ให้บริการช่วง” หมายถึงผู้ให้บริการข้อมูลใดๆ ที่มีส่วนเกี่ยวข้องกับผู้ให้บริการไปจนถึงการดำเนินการกับข้อมูลในฐานะของผู้รวบรวมข้อมูล                                                               

2. การประมวลผลข้อมูล

2.1 ขอบเขตและบทบาท บทต่อท้ายนี้จะมีผลในการใช้งาน เมื่อมีการดำเนินการกับข้อมูลของลูกค้าโดย GoDaddy  สำหรับบริบทนี้ GoDaddy จะทำหน้าที่เป็นผู้ประมวลผลข้อมูลในนามของลูกค้าซึ่งอยู่ในฐานะผู้ควบคุมข้อมูลโดยอ้างตามข้อมูลของลูกค้า

2.2 รายละเอียดในการประมวลผลข้อมูล หัวข้อสำคัญของการดำเนินการกับข้อมูลของลูกค้าโดย GoDaddy คือประสิทธิภาพการทำงานของบริการที่ครอบคลุมโดยอ้างอิงตามเงื่อนไขการให้บริการ และข้อตกลงเฉพาะผลิตภัณฑ์ GoDaddy จะดำเนินการกับข้อมูลของลูกค้าในนามของ และภายใต้คำสั่งที่ออกเป็นเอกสารของลูกค้าเพื่อวัตถุประสงค์ต่อไปนี้เท่านั้น: (i) ดำเนินการภายใต้เงื่อนไขการให้บริการ หรือข้อตกลงเฉพาะผลิตภัณฑ์ (ii) การดำเนินการที่เริ่มต้นขึ้นโดยผู้ใช้ขณะใช้บริการที่ครอบคลุมของตน (iii) ดำเนินการให้สอดคล้องกับคำสั่งที่ออกเป็นเอกสารอื่นๆ อันสมควรตามที่ลูกค้าได้ให้ไว้ (เช่น ผ่านทางอีเมล) โดยที่คำแนะนำดังกล่าวจะต้องสอดคล้องกับเงื่อนไขของข้อตกลง GoDaddy จะไม่ (ก) ดำเนินการ เก็บรักษา ใช้ ขาย หรือเปิดเผยข้อมูลของลูกค้าเว้นแต่ว่าจะมีความจำเป็นในการให้บริการที่ครอบคลุม ตามเงื่อนไขการบริการ หรือตามที่กฎหมายกำหนด (ข) ขายข้อมูลของลูกค้าให้แก่บุคคลที่สามใดๆ (ค) เก็บรักษา ใช้ หรือเปิดเผยข้อมูลของลูกค้าดังกล่าวอันไม่เกี่ยวข้องกับความสัมพันธ์ทางธุรกิจโดยตรงระหว่าง GoDaddy กับลูกค้า

เพื่อไม่ให้เกิดความคลางแคลงใจ คำแนะนำของลูกค้าสำหรับการดำเนินการกับข้อมูลส่วนตัวจะต้องเป็นไปตามกฎหมายความเป็นส่วนตัวของข้อมูลที่เกี่ยวข้องทั้งหมด ลูกค้าเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในด้านความถูกต้อง คุณภาพ และความชอบด้วยกฎหมายของข้อมูลส่วนตัวและวิธีการที่ลูกค้าได้มาซึ่งข้อมูลส่วนตัว GoDaddy จะไม่จำเป็นต้องปฏิบัติตามหรือยอมรับคำแนะนำของลูกค้า หากคำแนะนำนั้นละเมิดกฎหมายคุ้มครองข้อมูล ระยะเวลาในการดำเนินการ วิธีการและจุดประสงค์ของการดำเนินการ ประเภทของข้อมูลส่วนตัวและหมวดหมู่ของเจ้าของข้อมูลที่ดำเนินการภายใต้บทต่อท้ายนี้มีการระบุไว้เพิ่มเติมในภาคผนวก 1 (‘รายละเอียดการดำเนินการ’) ในบทต่อท้ายนี้

3. การปกปิดข้อมูลของลูกค้า

GoDaddy จะไม่เปิดเผยข้อมูลของลูกค้าแก่รัฐบาลหรือบุคคลที่สามใดๆ เว้นแต่ตามจำเป็นเนื่องจากเหตุผลทางกฎหมายหรือตามคำสั่งของหน่วยงานบังคับใช้กฎหมายที่มีผลและที่มีภาระผูกพัน (เช่น หมายศาลหรือคำสั่งศาล) ในกรณีที่ GoDaddy ได้รับหมายเรียกคดีแพ่งที่ถูกต้องสมบูรณ์เท่าที่อนุญาตให้กระทำได้ GoDaddy จะพยายามแจ้งข้อเรียกร้องตามความเหมาะสมให้ลูกค้าทราบทางอีเมลหรือไปรษณีย์ เพื่อให้ลูกค้าขอคำสั่งศาลให้คุ้มครองหรือหามาตรการเยียวยาใดๆ ที่เหมาะสม

4. ความปลอดภัย

4.1 GoDaddy ปรับใช้และจะคงไว้ซึ่งมาตรการเชิงเทคนิคและเชิงองค์กรสำหรับเครือข่าย GoDaddy ตามที่ได้อธิบายไว้ในส่วนนี้ และที่ได้อธิบายเพิ่มเติมไว้ในภาคผนวก 2 ในส่วนบทต่อท้ายนี้ว่าด้วยมาตรฐานการรักษาความปลอดภัย โดยเฉพาะอย่างยิ่ง GoDaddy ได้ปรับใช้และคงไว้ซึ่งมาตรการเชิงเทคนิคและเชิงองค์กรที่ระบุถึง (i) การรักษาความปลอดภัยของเครือข่าย GoDaddy (ii) การรักษาความปลอดภัยเชิงกายภาพแก่สถานประกอบการ (iii) การควบคุมดูแลพนักงานและผู้รับเหมาในการเข้าใช้งาน (i) และ/หรือ (ii) และ (iv) กระบวนการทดสอบ ประเมินค่า และประเมินประสิทธิภาพของมาตรการเชิงเทคนิคและเชิงองค์กรที่ GoDaddy นำมาปรับใช้ ในกรณีที่เราไม่สามารถปฏิบัติตามข้อกำหนดที่ระบุไว้ในที่นี้ได้ เราจะแจ้งให้คุณทราบเป็นลายลักษณ์อักษร (ผ่านทางเว็บไซต์และอีเมลของเรา) ทันทีที่สามารถทำได้

4.2 GoDaddy มอบคุณสมบัติและการทำงานเพื่อการรักษาความปลอดภัยข้อมูล ซึ่งลูกค้าอาจเลือกที่จะใช้ในการบริการที่ครอบคลุม ลูกค้ามีหน้าที่รับผิดชอบต่อ (ก) การกำหนดค่าการบริการที่ครอบคลุมอย่างเหมาะสม (ข) ใช้อำนาจการควบคุมดูแลที่มีในการเชื่อมโยงกับการบริการที่ครอบคลุม (รวมถึงการควบคุมดูแลการรักษาความปลอดภัย) เพื่อให้แน่ใจว่าการปกปิดความลับยังคงมีอยู่อย่างต่อเนื่อง ตลอดจนความครบถ้วน ความพร้อมใช้งานและความสามารถในการกลับสู่สภาพเดิมของบริการและระบบการดำเนินการ (ค) ใช้อำนาจควบคุมดูแลที่มีในการเชื่อมโยงกับการบริการที่ครอบคลุม (รวมถึงการควบคุมดูแลการรักษาความปลอดภัย) เพื่ออนุญาตให้ลูกค้าสามารถเรียกคืนข้อมูลที่พร้อมใช้งาน และเข้าถึงข้อมูลของลูกค้าได้ในเวลาที่เหมาะสมในกรณีที่มีเหตุการณ์ที่ถือเป็นภัยคุกคามเชิงกายภาพ หรือเชิงเทคนิค (เช่น การสำรองข้อมูลและการจัดเก็บข้อมูลของลูกค้าอย่างถาวรอยู่เป็นประจำ) และ (ง) ดำเนินการตามขั้นตอนที่ลูกค้าพิจารณาแล้วว่าเพียงพอที่จะคงไว้ซึ่งการรักษาความปลอดภัยอย่างเหมาะสม การคุ้มครอง และการลบข้อมูลของลูกค้า ซึ่งรวมถึงการใช้เทคโนโลยีการเข้ารหัสลับเพื่อคุ้มครองข้อมูลของลูกค้าจากการเข้าใช้งานที่ไม่ได้รับอนุญาต และมาตรการควบคุมสิทธิ์การเข้าใช้งานข้อมูลของลูกค้า

5. สิทธิ์ของเจ้าของข้อมูล

โดยที่ให้ความสำคัญกับลักษณะของการบริการที่ครอบคลุม GoDaddy ช่วยให้ลูกค้าสามารถควบคุมข้อมูลบางอย่างได้ตามที่อธิบายไว้ในส่วน “การรักษาความปลอดภัย” ที่อยู่ในบทต่อท้ายซึ่งลูกค้าอาจเลือกที่จะใช้เพื่อเรียกคืน แก้ไข ลบ หรือจำกัดการใช้ และการแชร์ข้อมูลลูกค้าตามที่ได้อธิบายไว้ในการบริการที่ครอบคลุม ลูกค้าอาจใช้การควบคุมเหล่านี้เป็นเทคนิคและการวัดผลเชิงองค์กรเพื่อช่วยในการเชื่อมโยงกับข้อผูกมัดภายใต้กฎหมายความเป็นส่วนตัวที่บังคับใช้ รวมถึงข้อผูกมัดที่เกี่ยวข้องกับการตอบสนองในคำขอของเจ้าของข้อมูล โดยเป็นไปตามเหตุผลทางการค้า และในขอบเขตที่จำเป็นหรือได้รับอนุญาตตามกฎหมาย GoDaddy จะแจ้งเตือนลูกค้าให้ทราบในทันที หาก GoDaddy ได้รับคำร้องขอจากเจ้าของข้อมูลโดยตรงให้ดำเนินการตามสิทธิ์ภายใต้กฎหมายข้อมูลส่วนตัวที่มีผลบังคับใช้ใดๆ (“คำร้องขอจากเจ้าของข้อมูล”) นอกจากนี้ การใช้งานบริการที่ครอบคลุมของลูกค้าอาจจำกัดความสามารถในการตอบสนองต่อคำร้องขอจากเจ้าของข้อมูล GoDaddy อาจให้ความช่วยเหลือเชิงการค้าอย่างสมเหตุสมผล ตามที่ได้รับอนุญาตและเป็นไปอย่างเหมาะสมตามกฎหมาย และให้ความช่วยเหลือเมื่อมีคำร้องขอที่เฉพาะเจาะจงจากลูกค้า ทั้งนี้เพื่อตอบสนองต่อคำร้องขอดังกล่าว โดยลูกค้าเป็นผู้ออกค่าใช้จ่ายที่เกิดขึ้น (หากมี)

6. การให้บริการช่วง

6.1 ผู้ให้บริการช่วงที่ได้รับอนุญาต ลูกค้ายินยอมว่า GoDaddy อาจใช้ผู้ให้บริการช่วงในการดำเนินการตามข้อผูกมัดสัญญาภายใต้เงื่อนไขการให้บริการและบทต่อท้ายนี้ หรือมอบการบริการบางอย่างในนามของตน เช่น การจัดหาการบริการสนับสนุน ในที่นี้ลูกค้าได้ยินยอมที่จะใช้ผู้ให้บริการช่วงของ GoDaddy ตามที่ได้อธิบายไว้ในส่วนนี้ เว้นแต่ได้ระบุไว้ในส่วนนี้ หรือได้รับอนุญาตจากคุณอย่างชัดแจ้ง GoDaddy จะไม่อนุญาตให้ดำเนินกิจกรรมการให้บริการช่วงอื่นใดๆ

6.2 ข้อผูกมัดของผู้ให้บริการช่วง เมื่อ GoDaddy ใช้ผู้ให้บริการช่วงที่ได้รับอนุญาตใดๆ ตามที่อธิบายไว้ในส่วน 6.1:

(i) GoDaddy จะจำกัดสิทธิ์การเข้าใช้งานของผู้ให้บริการช่วงในการเข้าถึงข้อมูลลูกค้าต่อเมื่อจำเป็นต้องคงไว้ซึ่งการบริการที่ครอบคลุม หรือเพื่อมอบการบริการที่ครอบคลุมแก่ลูกค้าและผู้ใช้ใดๆ โดยเป็นไปตามการบริการที่ครอบคลุม GoDaddy จะห้ามผู้ให้บริการช่วงเข้าถึงข้อมูลของลูกค้าหากมีการใช้งานด้วยวัตถุประสงค์อื่นใดๆ

(ii) GoDaddy จะดำเนินการตามข้อตกลงที่เป็นลายลักษณ์อักษรร่วมกับผู้ให้บริการช่วงและ ตามขอบเขตซึ่งผู้ให้บริการช่วงกำลังดำเนินการในการบริการดำเนินการกับข้อมูลเดียวกัน ซึ่ง GoDaddy เป็นผู้จัดหาให้ภายใต้บทต่อท้ายนี้ GoDaddy จะกำหนดให้ผู้ให้บริการช่วงดำเนินการตามข้อผูกพันสัญญาเดียวกันที่ GoDaddy ได้ดำเนินการภายใต้บทต่อท้ายนี้ และ

(iii) GoDaddy จะคงไว้ซึ่งความรับผิดชอบในการปฏิบัติตามข้อผูกมัดที่อยู่ในบทต่อท้ายนี้ และสำหรับการปฏิบัติใดๆ หรือการละเว้นต่อผู้ให้บริการช่วงที่อาจเป็นเหตุให้ GoDaddy ต้องฝ่าฝืนข้อผูกมัดของ GoDaddy ภายใต้บทต่อท้ายนี้

6.3 ผู้ให้บริการช่วงรายใหม่  ในบางครั้ง เราอาจทำงานร่วมกับผู้ให้บริการช่วงรายใหม่ภายใต้และเป็นไปตามเงื่อนไขที่ระบุไว้ในบทต่อท้ายนี้  ในกรณีดังกล่าว เราจะแจ้งให้คุณทราบล่วงหน้า 60 วัน (ผ่านทางเว็บไซต์และอีเมลของเรา) ก่อนที่ผู้ให้บริการรายใหม่จะนำข้อมูลลูกค้าใดๆ ไปใช้ หากลูกค้าของคุณไม่อนุมัติให้ใช้ผู้ให้บริการช่วงรายใหม่ ลูกค้าอาจบอกเลิกการบริการที่ครอบคลุมโดยไม่ต้องเสียค่าปรับใดๆ หากได้แจ้ง หรือรับการแจ้งเตือนจากเรา 10 วันล่วงหน้า การแจ้งเตือนเป็นลายลักษณ์อักษรจะมีคำอธิบายถึงเหตุผลการไม่อนุมัติของคุณ หากบริการที่ครอบคลุมเป็นส่วนหนึ่งของกลุ่มบริการ หรือการสั่งซื้อแบบกลุ่มบริการ การบอกเลิกใดๆ จะมีผลบังคับใช้กับกลุ่มดังกล่าวทั้งหมด

7. การแจ้งเตือนการละเมิดการรักษาความปลอดภัย

7.1 เหตุการณ์เกี่ยวกับการรักษาความปลอดภัย หาก GoDaddy รับทราบถึงเหตุการณ์ที่ถือเป็นภัยคุกคาม GoDaddy จะเร่งดำเนินการในทันที โดย: (ก) แจ้งเตือนลูกค้าถึงเหตุการณ์ที่ถือเป็นภัยคุกคาม และ (ข) ดำเนินการตามขั้นตอนอันควรเพื่อบรรเทาผลกระทบที่เกิดขึ้น และเพื่อลดความเสียหายใดๆ ที่เกิดจากเหตุการณ์ที่ถือเป็นภัยคุกคามนี้ให้เหลือน้อยที่สุด

7.2 ความช่วยเหลือ GoDaddy  เพื่อช่วยเหลือลูกค้าเกี่ยวกับการแจ้งเตือนถึงการล่วงละเมิดข้อมูลส่วนตัวที่ลูกค้าจำเป็นต้องแจ้งภายใต้กฎหมายความเป็นส่วนตัวใดๆ ที่บังคับใช้ โดยในการแจ้งเตือนนั้น GoDaddy จะรวมเอา ข้อมูลดังกล่าวที่เกี่ยวกับเหตุการณ์ที่ถือเป็นภัยคุกคามต่อความปลอดภัย ตามที่ GoDaddy สามารถเปิดเผยแก่ลูกค้าได้ตามเหตุอันควร ทั้งนี้จะต้องให้ความสำคัญกับวิธีการให้บริการที่ครอบคลุม ข้อมูลที่สามารถแจ้งแก่ GoDaddy ได้ และข้อจำกัดในการเปิดเผยข้อมูลใดๆ เช่น การปกปิดเป็นความลับ  

7.3 ความล้มเหลวในการรับมือกับเหตุการณ์ที่ถือเป็นภัยคุกคามการรักษาความปลอดภัย ลูกค้ายอมรับว่า:

(i) ความล้มเหลวในการรับมือกับเหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบจะไม่อยู่ภายใต้บังคับของเงื่อนไขในบทต่อท้ายนี้ ความล้มเหลวในการรับมือกับเหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบเป็นหนึ่งในผลที่ตามมาจากการให้สิทธิ์เข้าถึงข้อมูลของลูกค้าโดยไม่ได้รับอนุญาต หรือ เข้าถึงเครือข่ายของ GoDaddy อุปกรณ์ หรือพื้นที่จัดเก็บข้อมูลของลูกค้า และอาจรวมถึงแต่ไม่จำกัดเพียง การโจมตีของ Ping และบอร์ดแคสต์อื่นๆ บนไฟร์วอลล์ หรือเซิร์ฟเวอร์เอดจ์ การสแกนพอร์ต ความพยายามในการเข้าสู่ระบบที่ไม่ประสบผล การปฏิเสธของการโจมตีการบริการ โปรแกรมที่เอาไว้ดักจับข้อมูล (หรือการเข้าถึงเส้นทางการรับส่งข้อมูลโดยไม่ได้รับอนุญาตซึ่งอาจไม่ส่งผลต่อการเข้าใช้งานที่นอกเหนือจากส่วนหัว) หรือเหตุการณ์ที่ถือเป็นภัยคุกคามที่คล้ายกัน และ

(ii) ข้อผูกมัดของ GoDaddy ที่ต้องรายงาน หรือตอบสนองกับเหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบภายใต้ส่วนนี้ไม่ใช่ และไม่ได้ตีความว่าเป็นความผิดใดๆ ของ GoDaddy หรือความรับผิดชอบของ GoDaddy อันเนื่องจากเหตุการณ์ที่เป็นภัยคุกคามต่อระบบ

7.4 การติดต่อสื่อสาร การแจ้งเตือนเหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบ หากมี จะส่งการแจ้งเตือนไปยังหนึ่งหรือมากกว่าหนึ่งผู้ดูแลระบบของลูกค้าไม่ว่าด้วยวิธีใดๆ ที่ GoDaddy ได้เลือกไว้ รวมถึงการส่งผ่านทางอีเมล ทั้งนี้ถือเป็นความรับผิดชอบของลูกค้าแต่เพียงผู้เดียวที่จะต้องแน่ใจว่าผู้ดูแลระบบของลูกค้าได้ดูแลรักษาข้อมูลการติดต่อบนแผงควบคุมการจัดการ GoDaddy อยู่เสมอและต้องรักษาความปลอดภัยในขณะส่งผ่านข้อมูลอยู่ตลอดเวลา

8. สิทธิ์ของลูกค้า

8.1 การพิจารณาโดยอิสระ ลูกค้ามีหน้าที่รับผิดชอบในการตรวจทานข้อมูลที่ GoDaddy ให้บริการอันเกี่ยวข้องกับข้อมูลการรักษาความปลอดภัย และมาตรฐานการรักษาความปลอดภัยของข้อมูล รวมถึงสร้างการตัดสินใจอย่างอิสระไม่ว่าการบริการที่ครอบคลุมนั้นจะเป็นไปตามความต้องการของลูกค้าหรือไม่ และข้อผูกมัดทางกฎหมายอันรวมถึงข้อผูกมัดของลูกค้าภายใต้บทต่อท้ายนี้ ข้อมูลที่พร้อมใช้งานนี้มีไว้เพื่อช่วยให้ลูกค้าสามารถปฏิบัติตามข้อผูกมัดของลูกค้าภายใต้กฎหมายความเป็นส่วนตัวที่บังคับใช้ รวมถึง GDPR โดยให้ความเคารพต่อการคุ้มครองข้อมูลที่มีผลกระทบต่อการประเมินและการให้คำปรึกษาก่อนหน้า

8.2 สิทธิ์ในการตรวจสอบลูกค้า ลูกค้ามีสิทธิ์ในการยืนยันการปฏิบัติตามอย่างสอดคล้องของ GoDaddy ที่อยู่ในบทต่อท้ายนี้ ตามที่ระบุไว้ในการบริการที่ครอบคลุม รวมถึงการปฏิบัติตามอย่างสอดคล้องกับ GoDaddy เป็นพิเศษด้วยมาตรฐานการรักษาความปลอดภัย โดยจะใช้สิทธิ์อันควรในการดำเนินการตรวจสอบหรือตรวจหาข้อเท็จจริง รวมถึงปฏิบัติตามภายใต้ข้อสัญญามาตรฐาน หากต้องดำเนินการ โดยการส่งคำร้องขอเป็นพิเศษแก่ GoDaddy เป็นลายลักษณ์อักษรตามที่ได้ระบุไว้ในเงื่อนไขการบริการ หาก GoDaddy ปฏิเสธที่จะปฏิบัติตามคำสั่งที่ร้องขอโดยลูกค้าเพื่อให้ทำการตรวจสอบหรือตรวจหาข้อเท็จจริงตามขอบเขตและที่ร้องขอโดยเฉพาะ ลูกค้ามีสิทธิ์ที่จะยุติการปฏิบัติตามบทต่อท้ายและเงื่อนไขการบริการนี้ หากมีการใช้ข้อสัญญามาตรฐาน ในส่วนของข้อสัญญามาตรฐานดังกล่าวนี้จะไม่มีการเปลี่ยนแปลงหรือแก้ไข รวมถึงไม่ส่งผลกระทบต่อสิทธิ์ของหน่วยงานควบคุมดูแล หรือเจ้าของข้อมูลใดๆ ภายใต้ข้อสัญญามาตรฐาน โดยส่วนนี้จะมีผลใช้งานตราบเท่าที่ GoDaddy ได้มอบการควบคุมให้กับผู้ให้บริการช่วงในนามของลูกค้าได้โดยลุล่วง

9. การส่งผ่านข้อมูลส่วนตัวระหว่างประเทศ

9.1 การดำเนินการ ภายในประเทศสหรัฐอเมริกา เว้นแต่มีการแจ้งไว้เป็นพิเศษในเงื่อนไขการบริการ ข้อมูลของลูกค้าจะได้รับการถ่ายโอนออกนอก EEA และดำเนินกระบวนการในประเทศสหรัฐอเมริกา

9.2 การใช้ข้อสัญญามาตรฐาน โดยจะนำเอาข้อสัญญามาตรฐานมาใช้กับข้อมูลของลูกค้าเมื่อมีการถ่ายโอนข้อมูลออกนอก EEA ไม่ว่าจะเป็นการถ่ายโอนโดยตรงหรือผ่านการถ่ายโอนต่อไปยังประเทศใดๆ ที่คณะกรรมาธิการยุโรปไม่ยอมรับว่ามีการจัดหาระดับการคุ้มครองข้อมูลส่วนตัวอย่างเพียงพอ ทั้งนี้จะไม่มีการนำเอาข้อสัญญามาตรฐานมาใช้กับข้อมูลของลูกค้าที่ไม่ได้มีการถ่ายโอนข้อมูล ไม่ว่าจะเป็นการถ่ายโอนโดยตรงหรือผ่านการถ่ายโอนต่อไปภายนอก EEA จะไม่นำข้อสัญญามาตรฐานมาใช้เมื่อมีการถ่ายโอนข้อมูลภายใต้มาตรฐานการปฏิบัติตามอย่างสอดคล้องที่เป็นที่รู้จักสำหรับการถ่ายโอนข้อมูลส่วนตัวออกนอก EEA อย่างถูกต้องตามกฎหมาย เช่นในกรณีที่จำเป็นสำหรับการให้การบริการที่ครอบคลุุมตามข้อตกลงการบริการหรือตามที่ท่านเห็นชอบ ทั้งนี้โดยไม่คำนึงถึงข้อความข้างต้น

9.3 Application of UK Standard Contractual Clauses. The UK Standard Contractual Clauses will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK Standard Contractual Clauses will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK Standard Contractual Clauses will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

10. การบอกเลิกบทต่อท้าย

บทต่อท้ายนี้จะยังคงมีผลบังคับใช้ต่อไปจนกว่าจะมีการบอกเลิกการดำเนินการของเราอันเป็นไปตามเงื่อนไขการให้บริการ (“วันที่บอกเลิก”)  

11. การส่งคืนหรือลบข้อมูลของลูกค้า

ตามที่ได้อธิบายไว้ในการบริการที่ครอบคลุม ลูกค้าอาจได้รับมอบอำนาจในการควบคุม เพื่อใช้อำนาจดังกล่าวในการเรียกใช้ หรือลบข้อมูลลูกค้า การลบข้อมูลใดๆ ของลูกค้าจะได้รับการกำกับดูแลตามเงื่อนไขของบริการที่ครอบคลุมที่เจาะจงเป็นพิเศษ

12. ข้อจำกัดของความรับผิด

ความรับผิดของแต่ละบุคคลภายใต้บทต่อท้ายนี้จะอยู่ภายใต้การยกเว้นและการจำกัดความรับผิดตามที่ระบุไว้ในเงื่อนไขการให้บริการ ลูกค้ายอมรับว่าการลงโทษตามข้อบังคับซึ่ง GoDaddy เป็นผู้รับผิดต่อผลที่เกิดขึ้นอันเกี่ยวข้องกับข้อมูลของลูกค้า หรือมีความเชื่อมโยงกัน การไม่ปฏิบัติตามข้อผูกมัดของลูกค้าภายใต้บทต่อท้ายนี้ และกฎหมายความเป็นส่วนตัวที่บังคับใช้ใดๆ จะมีผลและลดความรับผิดของ GoDaddy ลงภายใต้เงื่อนไขการให้บริการเสมือนเป็นความรับผิดต่อลูกค้าภายใต้เงื่อนไขการให้บริการ

13. เงื่อนไขการให้บริการทั้งหมด ข้อขัดแย้ง

บทต่อท้ายนี้จะใช้แทนและแทนที่ทุกบทต่อท้ายก่อนหน้านี้ หรือสิ่งแทนความในเวลานั้น ความเข้าใจ ข้อตกลง หรือการสื่อสารระหว่างลูกค้าและ GoDaddy ไม่ว่าจะโดยลายลักษณ์อักษรหรือวาจา โดยอ้างตามเนื้อหาในบทต่อท้ายนี้ รวมถึงภาคผนวกการดำเนินการข้อมูลใดๆ ที่ได้บันทึกไว้ระหว่าง GoDaddy และลูกค้าซึ่งเกี่ยวข้องกับการดำเนินการกับข้อมูลส่วนตัว และการโยกย้ายข้อมูลดังกล่าวได้อย่างอิสระ  เว้นแต่ได้แก้ไขไว้ในบทต่อท้ายนี้ เงื่อนไขการให้บริการจะยังคงมีผลบังคับใช้และมีผลอย่างสมบูรณ์  หากมีข้อขัดแย้งระหว่างข้อตกลงอื่นใดๆ ระหว่างคณะบุคคลรวมถึงเงื่อนไขการให้บริการและบทต่อท้ายนี้ ให้ถือปฏิบัติตามบทต่อท้ายนี้เป็นหลัก

** ************************************************

ภาคผนวก 1

 รายละเอียดในการดำเนินการ

 1. ลักษณะและจุดประสงค์ของกระบวนการ GoDaddy จะดำเนินการกับข้อมูลส่วนตัวตามความจำเป็นเพื่อมอบการบริการที่ครอบคลุมโดยเป็นไปตามที่ได้อ้างอิงในเงื่อนไขการให้บริการ ข้อตกลงพิเศษสำหรับผลิตภัณฑ์ และตามที่ได้มีคำแนะนำเพิ่มเติมจากลูกค้าเมื่อมีการใช้บริการที่ครอบคลุม

 2. ระยะเวลาในการดำเนินการ อ้างอิงตามส่วนที่ 10 ในบทต่อท้ายนี้ GoDaddy จะดำเนินการกับข้อมูลส่วนตัวในระหว่างวันที่มีผลบังคับใช้ของเงื่อนไขการให้บริการ แต่จะปฏิบัติตามเงื่อนไขในบทต่อท้ายนี้สำหรับระยะเวลาในการดำเนินการ หากมีการเขียนเพิ่มเติมไว้ในเงื่อนไข และเว้นแต่ว่าได้มีการตกลงร่วมกันเป็นลายลักษณ์อักษร

3. หมวดหมู่ของเจ้าของข้อมูล ลูกค้าอาจอัปโหลดข้อมูลส่วนตัวเพื่อใช้ในการบริการที่ครอบคลุม ตามขอบเขตการใช้งานจะได้รับการพิจารณาและควบคุมโดยลูกค้าแต่เพียงผู้เดียว และอาจรวมถึงแต่ไม่จำกัดเพียงข้อมูลส่วนตัวที่เกี่ยวข้องกับหมวดหมู่ของเจ้าของข้อมูล ดังต่อไปนี้:

  • ลูกค้าเป้าหมาย ลูกค้า คู่ค้าธุรกิจ และผู้ขายของลูกค้า (ผู้ที่เป็นบุคคลธรรมดา)
  • พนักงานหรือบุคคลติดต่อของลูกค้าเป้าหมาย ลูกค้า คู่ค้าธุรกิจ และผู้ขาย
  • พนักงาน ตัวแทน ที่ปรึกษา ฟรีแลนซ์ของลูกค้า (ผู้ที่เป็นบุคคลธรรมดา)
  • ผู้ใช้ของลูกค้าซึ่งได้รับอนุญาตโดยลูกค้าให้ใช้บริการที่ครอบคลุม

4. ประเภทของข้อมูลส่วนตัว ลูกค้าอาจอัปโหลดข้อมูลส่วนตัวเพื่อใช้ในการบริการที่ครอบคลุม ประเภทและขอบเขตการใช้งานจะได้รับการพิจารณาและควบคุมโดยลูกค้าแต่เพียงผู้เดียว และอาจรวมถึงแต่ไม่จำกัดเพียงหมวดข้อมูลส่วนตัวของเจ้าของข้อมูล ดังต่อไปนี้: 

  • ชื่อ
  • ที่อยู่
  • หมายเลขโทรศัพท์
  • วันเกิด
  • ที่อยู่อีเมล
  • ข้อมูลอื่นๆ ที่เก็บรวบรวมไว้ที่อาจระบุถึงตัวคุณได้โดยตรงหรือโดยอ้อม

** ************************************************

5. Sensitive Data or Special Categories of Data. Customer may upload Sensitive Data in the course of its use of the Covered Services, the type of and extent to which is determined and controlled by Customer in its sole discretion. Customer is responsible for applying restrictions or safeguards that fully take into consideration the nature of the data and the risks involved prior to transmitting or processing any Sensitive Data via the Covered Services.

ภาคผนวก 2

มาตรฐานการรักษาความปลอดภัย

I.  มาตรการเชิงเทคนิคและเชิงองค์กร  

เราให้คำมั่นสัญญาว่าจะคุ้มครองข้อมูลของลูกค้าของเรา  พิจารณาตามหลักการปฏิบัติที่ดี ค่าใช้จ่ายในการนำมาปรับใช้งานและวิธี ขอบเขต สภาพแวดล้อม รวมถึงวัตถุประสงค์ในการดำเนินการ รวมทั้งความเป็นไปได้ที่จะเกิดขึ้นที่แตกต่างกันไปและความร้ายแรงของความเสี่ยงของสิทธิ์และอิสระของบุคคลทั่วไปที่เราได้นำเอาวิธีการเชิงเทคนิคและองค์กรต่อไปนี้มาปฏิบัติใช้  เมื่อมีการพิจารณาถึงการเลือกวิธีการซึ่งปกปิดเป็นความลับ ความสมบูรณ์ของข้อมูล ความพร้อมใช้งานและความยืดหยุ่นของระบบที่นำมาใช้งาน รับประกันการกู้คืนข้อมูลอย่างรวดเร็วภายหลังจากมีเหตุการณ์ที่เป็นภัยคุกคามต่อระบบเชิงกายภาพหรือเทคนิค

II.  โปรแกรมความเป็นส่วนตัวของข้อมูล  

โปรแกรมความเป็นส่วนตัวของข้อมูลของเราได้รับการจัดทำขึ้นมาเพื่อคงไว้ซึ่งโครงสร้างการกำกับดูแลข้อมูลสากล และรักษาความปลอดภัยให้กับข้อมูลตลอดอายุการใช้งาน โปรแกรมนี้ขับเคลื่อนโดยเจ้าหน้าที่คุ้มครองข้อมูล ซึ่งจะคอยตรวจสอบการปฏิบัติใช้นโยบายและวิธีการรักษาความปลอดภัย เราจะทำการตรวจสอบ ประเมินค่า และประเมินประสิทธิภาพของโปรแกรมความเป็นส่วนตัวของข้อมูลและมาตรฐานการรักษาความปลอดภัยอย่างสม่ำเสมอ

1. การรักษาความลับ “การรักษาความลับ หมายถึง ข้อมูลส่วนตัวจะได้รับการคุ้มครองหากมีการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต”  

เราใช้ความหลากหลายของมาตรการเชิงกายภาพและเชิงตรรกะเพื่อคุ้มครองการปกปิดเป็นความลับให้กับข้อมูลส่วนตัวของลูกค้า มาตรการเหล่านั้น รวมถึง:   

  การรักษาความปลอดภัยทางกายภาพ  

  • ระบบการควบคุมการเข้าใช้งานเชิงกายภาพในสถานที่ทำงาน (การควบคุมการเข้าสถานที่ด้วยบัตรพนักงาน การติดตามเหตุการณ์ที่เกี่ยวกับการรักษาความปลอดภัย เป็นต้น) 
  • ระบบการควบคุมดูแล รวมถึงการแจ้งเตือนและการเฝ้าติดตามผ่าน CCTV ตามที่เห็นว่าเหมาะสม  
  • นโยบายจัดเก็บเอกสารและการควบคุมการใช้งาน (การล็อกคอมพิวเตอร์ที่ไม่ใช้งาน ตู้เก็บเอกสารที่ต้องปิดล็อกไว้ ฯลฯ)  
  •  การจัดการการเข้าใช้งานของผู้เข้าชม 
  • การทำลายข้อมูลบนสื่อและเอกสารที่จับต้องได้ (การตัดเป็นชิ้นเล็กๆ การถอดแม่เหล็ก เป็นต้น)

  การควบคุมการเข้าใช้งานและการป้องกันการเข้าใช้งานโดยไม่ได้รับอนุญาต 

  • การจำกัดสิทธิ์เข้าใช้งานของผู้ใช้ และการให้อนุญาตสิทธิ์เข้าใช้งานตามหน้าที่/ทบทวนสิทธิ์ใช้งานโดยแยกตามหลักการทำหน้าที่  
  • วิธีการยืนยันตัวตนและการให้อนุญาตอย่างเข้มงวด (การยืนยันตัวตนโดยใช้หลายปัจจัย การให้อนุญาตตามใบรับรอง การปิดใช้งาน/การออกจากระบบโดยอัตโนมัติ) 
  • การจัดการรหัสผ่านแบบศูนย์รวม และนโยบายการตั้งค่ารหัสผ่านที่เดาได้ยาก/ซับซ้อน (ความยาวขั้นต่ำ ความซับซ้อนของอักขระ การหมดอายุของรหัสผ่าน เป็นต้น)   
  • ควบคุมสิทธิ์ในการส่งอีเมลและใช้งานอินเทอร์เน็ต 
  • การจัดการการป้องกันไวรัส  
  • การบริหารจัดการระบบการป้องกันการรุกล้ำ

การเข้ารหัส   

  • การเข้ารหัสลับการสื่อสารทั้งภายในและภายนอกผ่านทางโปรโตคอลวิทยาการเข้ารหัสลับ  
  • การเข้ารหัสลับข้อมูลด้วย PII/SPII สำหรับข้อมูลอื่นๆ ที่เหลืออยู่ (ฐานข้อมูล ไดเรกทอรีที่ใช้ร่วมกัน เป็นต้น)   
  • การเข้ารหัสลับให้กับดิสก์อย่างเต็มรูปแบบสำหรับเครื่องพีซีของบริษัทและแล็ปท็อป   
  • การเข้ารหัสลับของสื่อจัดเก็บข้อมูล  
  • การเชื่อมต่อระยะไกลไปยังเครือข่ายของบริษัทจะได้รับการเข้ารหัสลับผ่านทาง VPN  
  • การรักษาความปลอดภัยแก่วงจรชีวิตของคีย์การเข้ารหัส

 การปรับลดขนาดข้อมูล    

  • การปรับลดขนาด PII/SPI ในแอปพลิเคชัน การแก้จุดบกพร่องและบันทึกการรักษาความปลอดภัย  
  • การนำข้อมูลระบุตัวตนออกจากข้อมูลส่วนตัวเพื่อป้องกันไม่ให้สามารถระบุตัวตนของบุคคลได้โดยตรง 
  • การแยกข้อมูลที่จัดเก็บตามฟังก์ชัน (ทดสอบจัดเตรียม ใช้งานจริง) 
  • การแยกข้อมูลเชิงตรรกะตามบทบาทโดยอ้างตามสิทธิ์การเข้าใช้งาน 
  • ระยะเวลาในการเก็บรักษาข้อมูลส่วนตัวที่ระบุไว้

การทดสอบการรักษาความปลอดภัย     

  • การทดสอบเจาะระบบสารสนเทศสำหรับเครือข่ายบริษัทที่สำคัญ และแพลตฟอร์มสำหรับการโฮสต์ข้อมูลส่วนตัว 
  • การสแกนช่องโหว่และเครือข่ายอย่างสม่ำเสมอ

2. ความสมบูรณ์ของข้อมูล “ความครบถ้วนอ้างอิงถึงความแน่ใจในความถูกต้อง (ทำงานได้เป็นปกติ) ของข้อมูลและฟังก์ชันการแก้ไขข้อมูลของระบบ เมื่อมีการใช้คำว่า ความครบถ้วน เชื่อมโยงกับคำว่า "ข้อมูล" นั่นแสดงว่าข้อมูลมีความสมบูรณ์และไม่ได้มีการเปลี่ยนแปลง”  

การควบคุมการบริหารการเปลี่ยนแปลงและการบันทึกข้อมูลได้รับการดำเนินการอย่างเหมาะสม นอกเหนือจากการควบคุมการเข้าใช้งานข้อมูลเพื่อคงไว้ซึ่งความถูกต้องของข้อมูลส่วนตัว เช่น:    

การจัดการการเปลี่ยนแปลงและนำข้อมูลออกใช้    

  • กระบวนการเปลี่ยนแปลงและนำข้อมูลออกใช้ รวมถึง (การวิเคราะห์ผลกระทบ การอนุมัติ การทดสอบ การทบทวนการรักษาความปลอดภัย การจัดเตรียมข้อมูล การติดตาม เป็นต้น)  
  • การมอบสิทธิ์เข้าใช้งานตามบทบาทและหน้าที่การทำงาน (การแบ่งแยกหน้าที่) ในสภาพแวดล้อมการทำงานจริง

การบันทึกและการเฝ้าติดตาม

  • การบันทึกการเข้าใช้งานและการเปลี่ยนแปลงข้อมูล  
  • การตรวจสอบส่วนกลางและบันทึกการรักษาความปลอดภัย   
  • การติดตามตรวจสอบความเสร็จสมบูรณ์และความถูกต้องในการถ่ายโอนข้อมูล (ตรวจสอบต้นทางจนถึงปลายทาง)

3. ความพร้อมใช้งาน “ความพร้อมใช้งานของบริการและระบบ IT แอปพลิเคชัน IT การทำงานของเครือข่าย IT หรือข้อมูลที่ได้รับการรับประกัน หากผู้ใช้สามารถใช้งานสิ่งดังกล่าวได้ตลอดเวลาตามที่ตั้งใจไว้”    

เราประยุกต์ใช้มาตรการความต่อเนื่องและการรักษาความปลอดภัยเพื่อคงไว้ซึ่งความพร้อมใช้งานของบริการและข้อมูลที่มีอยู่ในบริการเหล่านั้น:    

  • การทดสอบความล้มเหลวอย่างสม่ำเสมอเพื่อนำมาใช้กับการบริการที่สำคัญ  
  • ประสิทธิภาพการทำงานอันครอบคลุม/การติดตามความพร้อมใช้งานและการรายงานสำหรับระบบวิกฤติ  
  • โปรแกรมการตอบสนองต่อเหตุการณ์ที่ถือเป็นภัยคุกคามต่อระบบ  
  • ข้อมูลสำคัญไม่ว่าจะอยู่ในรูปสำเนาข้อมูลหรือการสำรองข้อมูล(การสำรองข้อมูลบนคลาวด์/ฮาร์ดดิสก์/การคัดลอกข้อมูลบนฐานข้อมูล เป็นต้น) 
  • ซอฟต์แวร์ที่วางแผนการใช้งานไว้ โครงสร้างพื้นฐานและคงไว้ซึ่งการรักษาความปลอดภัย (การอัปเดตซอฟต์แวร์ โปรแกรมแก้ไขปัญหาช่องโหว่ของการรักษาความปลอดภัย ฯลฯ)   
  • ระบบสำรองและกู้คืนข้อมูล (เซิร์ฟเวอร์คลัสเตอร์, การทำมิเรอร์ให้กับฐานข้อมูล การตั้งค่าความพร้อมใช้งานสูง ฯลฯ) ที่ติดตั้งไว้ทั้งในและนอกสถานที่ทำงาน และ/หรือสถานที่ตั้งเชิงภูมิศาสตร์ที่แยกจากกัน    
  • ใช้ตัวสำรองไฟที่ทำงานได้อย่างต่อเนื่อง ฮาร์ดแวร์สำรองเพื่อป้องกันการทำงานล้มเหลว และระบบเครือข่าย  
  • การแจ้งเตือน ระบบการรักษาความปลอดภัยในสถานที่  
  • วิธีการคุ้มครองทางกายภาพในสถานที่สำหรับสถานที่ที่มีความสำคัญสูง (อุปกรณ์ป้องกันแรงดันเกิน พื้นยกสูง ระบบทำความเย็น ไฟไหม้ และ/หรือเครื่องตรวจจับควัน ระบบดับเพลิงอัตโนมัติ ฯลฯ) 
  • การป้องกัน DDOS เพื่อคงไว้ซึ่งความพร้อมใช้งาน   
  • การทดสอบการโหลดปกติและในภาวะวิกฤติ

4คำแนะนำในการดำเนินการกับข้อมูล "คำแนะนำในการดำเนินการกับข้อมูล อ้างอิงถึงการให้ความมั่นใจว่าจะมีเพียงแค่ข้อมูลส่วนตัวเท่านั้นที่จะได้รับการดำเนินการอันสอดคล้องกับคำแนะนำของวิธีวัดผู้รวบรวมข้อมูลและบริษัทที่เกี่ยวข้อง"  

เราได้จัดทำนโยบายความเป็นส่วนตัวสำหรับการใช้งานภายในองค์กร ข้อตกลงและให้การฝึกอบรมแก่พนักงานในหัวข้อเรื่องความเป็นส่วนตัวอย่างสม่ำเสมอ เพื่อให้แน่ใจว่าข้อมูลส่วนตัวจะได้รับการดำเนินการภายใต้คำแนะนำและการกำหนดค่าของลูกค้า   

  • นโยบายและเงื่อนไขในการปกปิดความลับที่ระบุไว้ในสัญญาจ้างพนักงาน 
  • การฝึกอบรมเรื่องข้อมูลส่วนตัวและการรักษาความปลอดภัยของข้อมูลส่วนตัวให้กับพนักงานอย่างสม่ำเสมอ 
  • บทบัญญัติสัญญาที่เหมาะสมกับข้อตกลงที่มีผู้ให้บริการช่วงเพื่อคงไว้ซึ่งสิทธิ์ในการควบคุมดูแล
  • การตรวจสอบความเป็นส่วนตัวสำหรับผู้ให้บริการภายนอกอย่างสม่ำเสมอ 
  • การมอบอำนาจให้กับลูกค้าในการควบคุมดูแลการกำหนดค่าในการดำเนินการกับข้อมูลของตนโดยสมบูรณ์
  • การตรวจสอบการรักษาความปลอดภัยอย่างสม่ำเสมอ 

**********************************************

Appendix 3 - GoDaddy Subprocessors

Company Name
Country of Incorporation
Service Description
Categories of Data
Acronis International GmbH Switzerland Customer back-ups Backup snapshots.
Automattic Inc United States of America WooCommerce plugin and addons within Ecommerce WordPress. Customer WordPress user profiles (including name and email address) and those of any employees/contractors.
Cisco International Limited, Cisco Solutions GmbH, Cisco Systems Inc United Kingdom, Germany, United States of America Provide and manage network solutions as part of our network; including metadata analysis. Processes metadata of IP addresses, timestamps, and network traffic
cPanel Inc United States of America cPanel management software for Hosting and Server products. Any customer data held within cPanel.
DENIC eG Germany Registration of .de domains All account information necessary to provide the domain. Whois information.
Equinix Netherlands BV Netherlands Data center colocation facilities in the Netherlands. No personal data is intentionally processed.
EURid vzw Belgium Registration of .eu domains All account information necessary to provide the domain. Whois information.
Juniper Networks Inc United States of America Provide and manage network solutions as part of our network; including metadata analysis. IP addresses, timestamps, network traffic
LivePerson Inc United States of America Chat tool "LiveEngage" on our website. Chat transcripts, automated information such as IP address, operating system, and type of device.
LvivIT Ukraine Providing operational platform support. All customer account information.
OVH Grouppe SAS France Data center colocation facilities in Germany, resale of server products. Customer hosted data including but not limited to websites, applications, and data from the customer’s customer(s).  This may also include network traffic.
Plesk International GmbH Germany Plesk control panel for VPS and Dedicated Servers and Website Builder Plus. Any customer data held within the Plesk control panel as well as any customer data held on a hosted website.
Datadock SARL France Data center colocation facilities in France. Hardware and network services. No personal data intentionally processed.
GoDaddy Media Temple Inc d/b/a Sucuri United States of America
SAAS Product: Secure customer websites from malware
All account information required for the provision of the website, as well as customer data stored on the hosted website.
GoDaddy Media Temple Inc d/b/a Sucuri United States of America Internal: Web Application Firewall on our brand websites and in customer control panels to protect brand IT and customer data. Website traffic inspection. Metadata of IP addresses, timestamps, and network traffic.
Starfield Technologies LLC United States of America SSL Certificates. All customer account information as needed for an SSL certificate.
DomainsByProxy LLC United States of America Domain privacy services. Domain regsistration and contact details.
GoDaddy Sellbrite, Inc. United States of America Online retailing tool Transaction and product data from online-store.
GoDaddy Payments LLC United States of America Payment processing tools.  

ภาคผนวก 3

ดูส่วนที่ 9.2 ของบทต่อท้ายสำหรับการใช้ประโยชน์จาก SCC เหล่านี้

ข้อสัญญามาตรฐาน (ผู้ให้บริการ)

สำหรับวัตถุประสงค์ของมาตรา 26(2) แห่งคำสั่งคุ้มครองข้อมูล 95/46/EC สำหรับการถ่ายโอนข้อมูลส่วนตัวไปยังผู้ให้บริการที่ดำเนินการในประเทศที่สาม ซึ่งขาดความมั่นใจว่าจะมีการคุ้มครองข้อมูลในระดับที่เพียงพอ

บุคคลที่ได้รับการระบุไว้ในบทต่อท้ายว่าเป็น “ลูกค้า”
(“ผู้ส่งออกข้อมูล”)

และ

GoDaddy.com, LLC

 (“ผู้นำเข้า ข้อมูล”)

หากคนเดียว เรียกว่า “บุคคล” หากมีการรวมกลุ่มกันจะเรียกว่า “คณะบุคคล”

เห็นชอบกับข้อกำหนดสัญญาต่อไปนี้ (ข้อกำหนด) เพื่ออ้างถึงการป้องกันที่เพียงพอต่อการคุ้มครองความเป็นส่วนตัวและสิทธิขั้นพื้นฐานและเสรีภาพของบุคคลในการถ่ายโอนข้อมูลโดยผู้ส่งออกข้อมูลไปยังผู้นำเข้าข้อมูลสำหรับข้อมูลส่วนตัวตามที่ได้ระบุไว้ในภาคผนวก 1

ข้อกำหนด 1

คำจำกัดความ

สำหรับวัตถุประสงค์ของข้อกำหนด:

(ก) ‘ข้อมูลส่วนตัว', 'หมวดข้อมูลพิเศษ', 'ดำเนินการ/กำลังดำเนินการ', 'ผู้ควบคุม', 'ผู้ให้บริการ', 'เจ้าของข้อมูล' และ 'หน่วยงานควบคุมดูแล' จะต้องมีความหมายเดียวกับที่ปรากฏอยู่ในคำสั่งคุ้มครองข้อมูล 95/46/EC ของสหภาพยุโรปและสภาตามประกาศใช้ ณ วันที่ 24 ตุลาคม 1995 ในเรื่องการคุ้มครองบุคคลอันเกี่ยวข้องกับการดำเนินการต่อข้อมูลส่วนตัว และการโยกย้ายข้อมูลดังกล่าวอย่างอิสระ

(ข) 'ผู้ส่งออกข้อมูล' หมายถึงผู้ควบคุมที่ถ่ายโอนข้อมูลส่วนตัว

(ค) 'ผู้นำเข้าข้อมูล' หมายถึงผู้ให้บริการที่ยอมรับว่าจะรับข้อมูลจากผู้ส่งออกข้อมูลโดยส่งออกข้อมูลส่วนตัวเพื่อการดำเนินการในนามของตนภายหลังจากที่ได้ถ่ายโอนข้อมูลตามคำสั่งและเงื่อนไขในข้อกำหนด และผู้ที่ไม่ต้องอยู่ภายใต้ระบบของบุคคลที่สามซึ่งแน่ใจแล้วว่ามีการปกป้องข้อมูลอย่างเพียงพอภายใต้คำนิยามของมาตรา 25(1) แห่งคำสั่งคุ้มครองข้อมูล 95/46/EC

(ง) 'ผู้ให้บริการช่วง' หมายถึงผู้ให้บริการใดๆ ที่มีส่วนเกี่ยวข้องกับผู้นำเข้าข้อมูล หรือโดยผู้ให้บริการช่วงอื่นใดๆ ของผู้นำเข้าข้อมูลผู้ที่ยินยอมในการรับข้อมูลจากผู้นำเข้าข้อมูล หรือจากผู้ให้บริการช่วงอื่นใดๆ ของผู้นำเข้าข้อมูลซึ่งเป็นข้อมูลส่วนตัวแต่เพียงผู้เดียว โดยมีจุดประสงค์เพื่อการดำเนินการกับกิจกรรมที่จะดำเนินการภายในนามของผู้ส่งออกข้อมูล ภายหลังจากมีการโอนย้ายข้อมูลอันสอดคล้องกับคำสั่งของผู้ส่งออก ข้อตกลงของข้อกำหนดและข้อตกลงของสัญญาย่อยที่ได้เขียนขึ้นมา

(จ) 'กฎหมายคุ้มครองข้อมูลที่บังคับใช้' หมายถึงการคุ้มครองสิทธิ์พื้นฐานและเสรีภาพของบุคคลด้วยอำนาจตามกฎหมาย และโดยเฉพาะอย่างยิ่งสิทธิ์ของตนต่อความเป็นส่วนตัว อันเนื่องจากการดำเนินการกับข้อมูลส่วนตัวที่มีต่อผู้ควบคุมข้อมูลในรัฐสมาชิกซึ่งผู้ส่งออกข้อมูลได้จัดทำขึ้น

(ฉ) 'มาตรการรักษาความปลอดภัยเชิงเทคนิคและเชิงองค์กร' หมายถึงมาตรการที่มีจุดมุ่งหมายเพื่อคุ้มครองข้อมูลส่วนตัวจากอุบัติเหตุ หรือการทำลายข้อมูลอย่างไม่ถูกต้องตามกฎหมาย หรือการสูญหายโดยไม่เจตนา การเปลี่ยนแปลง การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต หรือการเข้าใช้งานข้อมูล โดยเฉพาะอย่างยิ่งเมื่อการดำเนินการเกี่ยวข้องกับการส่งผ่านข้อมูลผ่านเครือข่าย และมีลักษณะการดำเนินการที่ไม่เป็นปฏิบัติตามกฎหมายอื่นๆ ทั้งหมด

ข้อกำหนด 2

รายละเอียดในการถ่ายโอนข้อมูล

รายละเอียดของการถ่ายโอนข้อมูล และโดยเฉพาะอย่างยิ่งสำหรับหมวดหมู่พิเศษของข้อมูลส่วนตัวที่ระบุไว้เฉพาะในภาคผนวก 1 ซึ่งรวบรวมไว้ในข้อกำหนดนี้

ข้อกำหนด 3

ข้อกำหนดสำหรับผู้ได้รับผลประโยชน์ที่เป็นบุคคลที่สาม

1.  เจ้าของข้อมูลสามารถบังคับใช้ข้อกำหนดนี้กับผู้ส่งออกข้อมูล ข้อกำหนด 4(ข) ถึง (ฌ), ข้อกำหนด 5(ก) ถึง (จ) และ (ช) ถึง (ญ), ข้อกำหนด 6(1) และ (2), ข้อกำหนด 7, ข้อกำหนด 8(2) และข้อกำหนด 9 ถึง 12 ในฐานะผู้ได้รับผลประโยชน์ที่เป็นบุคคลที่สาม

2.  เจ้าของข้อมูลสามารถบังคับใช้ข้อกำหนดนี้กับผู้นำเข้าข้อมูล โดยอาศัยข้อกำหนด 5(ก) จนถึง (ฉ) และ (ช), ข้อกำหนด 6, ข้อกำหนด 7, ข้อกำหนด 8(2) และข้อกำหนด 9 จนถึง 12 ในกรณีที่ผู้ส่งออกข้อมูลปิดบังข้อเท็จจริง หรือไม่ได้ดำเนินการปฏิบัติตามกฎหมายที่มีอยู่ เว้นแต่บุคคลผู้ให้บริการใดๆ ได้ยอมรับต่อข้อผูกมัดตามกฎหมายทั้งหมดที่มีของผู้ส่งออกข้อมูลตามสัญญาหรือตามการดำเนินการทางกฎหมาย อันเป็นผลจากการอ้างสิทธิ์และข้อผูกมัดของผู้ส่งออกข้อมูล ด้วยเหตุดังกล่าวนี้ เจ้าของข้อมูลสามารถบังคับใช้สิทธิ์ของตนต่อบุคคลดังกล่าวได้

3.  เจ้าของข้อมูลสามารถบังคับใช้ข้อกำหนดนี้กับผู้ให้บริการช่วง โดยอาศัยข้อกำหนด 5(ก) จนถึง (ฉ) และ (ช), ข้อกำหนด 6, ข้อกำหนด 7, ข้อกำหนด 8(2) และข้อกำหนด 9 จนถึง 12 ในกรณีที่ทั้งผู้ส่งออกและนำเข้าข้อมูลปิดบังข้อเท็จจริง หรือไม่ได้ดำเนินการปฏิบัติตามกฎหมายที่มีอยู่ หรือได้กลายเป็นบุคคลล้มละลาย เว้นแต่บุคคลผู้ให้บริการใดๆ ได้ยอมรับต่อข้อผูกมัดตามกฎหมายทั้งหมดที่มีของผู้ส่งออกข้อมูลตามสัญญาหรือตามการดำเนินการทางกฎหมาย อันเป็นผลจากการอ้างสิทธิ์และข้อผูกมัดของผู้ส่งออกข้อมูล ด้วยเหตุดังกล่าวนี้ เจ้าของข้อมูลสามารถบังคับใช้สิทธิ์ของตนต่อบุคคลดังกล่าวได้ ความรับผิดของบุคคลที่สามดังกล่าวต่อผู้ให้บริการช่วงจะถูกจำกัดไว้ตามการปฏิบัติการของกระบวนการของตนภายใต้ข้อกำหนด

4.  คณะบุคคลที่เป็นตัวแทนองค์กร หรือบุคคลใดๆ ไม่ทักท้วงต่อเจ้าของข้อมูล หากเจ้าของข้อมูลมีประสงค์อันชัดแจ้ง และหากได้รับอนุญาตตามกฎหมายในประเทศ

ข้อกำหนด 4

ข้อผูกมัดของผู้ส่งออกข้อมูล

ผู้ส่งออกข้อมูลยอมรับและรับประกันว่า:

(ก) กระบวนการดังกล่าวรวมถึงการถ่ายโอนข้อมูลส่วนตัวด้วยตนเอง และจะยังคงดำเนินการอย่างต่อเนื่องภายใต้บทบัญญัติที่เกี่ยวข้องกับกฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้ (และ หากมีผลบังคับใช้ จะมีการแจ้งเตือนไปยังเจ้าหน้าที่ของรัฐสมาชิกที่เกี่ยวข้องเมื่อมีการจัดตั้งผู้ส่งออกข้อมูลแล้ว) และต้องไม่มีการล่วงละเมิดบทบัญญัติที่เกี่ยวข้องในรัฐนั้นๆ

(ข) คำแนะนำและช่วงระยะเวลาในการรับบริการการดำเนินการกับข้อมูลส่วนตัวจะเป็นเครื่องมือแนะนำให้กับผู้นำเข้าข้อมูลในการดำเนินการกับข้อมูลส่วนตัวที่มีการถ่ายโอนเฉพาะในนามของผู้ส่งออกข้อมูลเท่านั้นและเป็นไปตามกฎหมายคุ้มครองข้อมูลและข้อกำหนดที่บังคับใช้

(ค) ผู้นำเข้าข้อมูลจะต้องให้การรับประกันอย่างพอเพียงจากมาตรการรักษาความปลอดภัยเชิงเทคนิคและเชิงองค์กรตามที่ระบุไว้ในภาคผนวก 2 ในสัญญานี้

(ง) ภายหลังจากการประเมินข้อกำหนดของกฎหมายคุ้มครองข้อมูลที่บังคับใช้ มาตรการรักษาความปลอดภัยเป็นสิ่งเหมาะสมในการคุ้มครองข้อมูลส่วนตัวจากอุบัติเหตุ หรือการทำลายข้อมูลอย่างไม่ถูกต้องตามกฎหมาย การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูล โดยเฉพาะอย่างยิ่งเมื่อการดำเนินการเกี่ยวข้องกับการส่งผ่านข้อมูลผ่านเครือข่าย และมีลักษณะการดำเนินการที่ไม่เป็นปฏิบัติตามกฎหมายอื่นๆ ทั้งหมด มาตรการเหล่านี้เพื่อให้แน่ใจว่ามีการรักษาความปลอดภัยในระดับที่เหมาะสมกับความเสี่ยงที่ปรากฏให้เห็นเมื่อมีการดำเนินการกับข้อมูล และวิธีที่ข้อมูลได้รับการคุ้มครอง โดยพิจารณาตามความทันสมัยและค่าใช้จ่ายในการนำมาปฏิบัติใช้

ข้อกำหนด 51

ข้อผูกมัดของผู้นำเข้าข้อมูล

ผู้นำเข้าข้อมูลยอมรับและรับประกันว่า:

(ก) เพื่อดำเนินการกับข้อมูลส่วนตัวในนามของผู้ส่งออกข้อมูลเท่านั้น และเพื่อปฏิบัติตามอย่างสอดคล้องกับคำสั่งและข้อกำหนด หากไม่อาจปฏิบัติตามได้ไม่ว่าด้วยเหตุผลใดๆ โดยสืบเนื่องจากเป็นการตกลงยอมรับร่วมกันที่จะต้องบอกกล่าวแก่ผู้ส่งออกข้อมูลในทันทีหากไม่สามารถปฏิบัติตามได้ ในกรณีดังกล่าวนี้ผู้ส่งออกข้อมูลสามารถระงับการถ่ายโอนข้อมูล และ/หรือยุติสัญญาได้

(ข) ไม่มีเหตุผลที่เชื่อได้ว่าบทบัญญัติแห่งกฎหมายที่มีผลบังคับใช้เพื่อการคุ้มครองข้อมูลโดยอาศัยคำสั่งที่ได้รับมาจากผู้ส่งออกข้อมูล และข้อผูกมัดภายใต้สัญญาและอันเนื่องจากการเปลี่ยนแปลงในบทบัญญัติแห่งกฎหมายนี้ ซึ่งมีแนวโน้มที่จะส่งผลอันไม่พึงประสงค์อันร้ายแรงต่อการรับประกัน และข้อผูกมัดที่ระบุไว้ในข้อกำหนด โดยจะมีการแจ้งเตือนให้ผู้ส่งออกทราบเมื่อมีการเปลี่ยนแปลงโดยทันที ในกรณีดังกล่าวผู้ส่งออกข้อมูลมีสิทธิ์ที่จะระงับการถ่ายโอนข้อมูล และ/หรือบอกเลิกสัญญาดังกล่าว

(ค) ปรับใช้มาตรการรักษาความปลอดภัยเชิงเทคนิคและเชิงองค์กรตามที่ระบุไว้ในภาคผนวก 2 ก่อนดำเนินการกับข้อมูลส่วนตัวที่มีการโอนย้ายมา

(ง) โดยจะมีการแจ้งให้ผู้ส่งออกข้อมูลทราบโดยทันทีเกี่ยวกับ:

(i) คำร้องขอที่มีภาระผูกพันทางกฎหมายใดๆ สำหรับการเปิดเผยข้อมูลส่วนตัวโดยหน่วยงานที่บังคับใช้กฎหมาย เว้นแต่ห้ามมิให้ดำเนินการดังกล่าว เช่น การห้ามมิให้ดำเนินการภายใต้กฎหมายอาญาเพื่อสงวนไว้ซึ่งการปกปิดเป็นความลับเพื่อการตรวจสอบหาข้อเท็จจริงตามการบังคับใช้กฎหมาย

(ii) การเข้าถึงข้อมูลโดยไม่เจตนาหรือไม่ได้รับอนุญาต และ

(iii) คำร้องขอใดๆ ที่ได้รับโดยตรงจากเจ้าของข้อมูลโดยที่ไม่มีการตอบสนองต่อคำร้องขอนั้น เว้นแต่ได้รับอนุญาตให้ดำเนินการดังกล่าว

ข้อกำหนด 6

ความรับผิด

1.  คณะบุคคลยอมรับว่าเจ้าของข้อมูลซึ่งได้รับผลกระทบจากความเสียหายอันเนื่องมาจากการไม่ปฏิบัติตามข้อผูกมัดที่อ้างอิงอยู่ในข้อกำหนด 3 หรือข้อกำหนด 11 โดยบุคคลใดๆ หรือผู้ให้บริการช่วงที่ผ่านเกณฑ์จะได้รับการชดเชยจากผู้ส่งออกข้อมูลสำหรับความเสียหายที่ได้รับ

2.  หากเจ้าของข้อมูลไม่สามารถร้องเรียนเพื่อขอการชดเชยจากผู้ส่งออกข้อมูลตามย่อหน้า 1 อันเป็นผลมาจากการฝ่าฝืนของผู้นำเข้าข้อมูลหรือผู้ให้บริการช่วงของตนสำหรับข้อผูกมัดที่ตนเองมีหากอ้างอิงตามข้อกำหนด 3 หรือในข้อกำหนด 11 เนื่องจากผู้ส่งออกข้อมูลปิดบังข้อเท็จจริง หรือไม่ได้ดำเนินการปฏิบัติตามกฎหมายที่มีอยู่ หรือได้กลายเป็นบุคคลล้มละลาย ผู้นำเข้าข้อมูลเห็นชอบว่าเจ้าของข้อมูลอาจทำเรื่องร้องเรียนไปยังผู้นำเข้าข้อมูลเสมือนว่าเป็นผู้ส่งออกข้อมูล เว้นแต่บุคคลที่ให้บริการใดๆ ได้ยอมรับต่อข้อผูกมัดตามกฎหมายทั้งหมดของผู้ส่งออกข้อมูลตามสัญญาหรือตามการดำเนินการทางกฎหมาย ด้วยเหตุดังกล่าวนี้เจ้าของข้อมูลสามารถบังคบใช้สิทธิ์ของตนต่อบุคคลดังกล่าวได้ ผู้นำเข้าข้อมูลอาจไม่สามารถวางใจต่อผู้ให้บริการที่ทำการฝ่าฝืนข้อผูกพันเพื่อหลีกเลี่ยงความรับผิดของตน

3.  หากเจ้าของข้อมูลไม่สามารถร้องเรียนต่อผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลตามที่อ้างอิงในย่อหน้าที่ 1 และ 2 ได้ อันเป็นผลมาจากการผิดสัญญาของผู้ให้บริการช่วงต่อข้อผูกมัดที่ตนมีตามอ้างอิงในข้อกำหนด 3 หรือในข้อกำหนด 11 อันเนื่องจากทั้งผู้ส่งออกและนำเข้าข้อมูลปิดบังข้อเท็จจริง หรือไม่ได้ดำเนินการปฏิบัติตามกฎหมายที่มีอยู่ หรือได้กลายเป็นบุคคลล้มละลาย ผู้ให้บริการช่วงยอมรับว่าเจ้าของข้อมูลอาจทำการร้องเรียนต่อผู้ให้บริการช่วงที่เกี่ยวข้องกับการปฏิบัติการของกระบวนการของตนที่มีภายใต้ข้อกำหนดเสมือนเป็นผู้ส่งออกหรือนำเข้าข้อมูล เว้นแต่บุคคลผู้ให้บริการใดๆ ได้ยอมรับต่อข้อผูกมัดตามกฎหมายทั้งหมดที่มีของผู้ส่งออกและนำเข้าข้อมูลตามสัญญาหรือตามการดำเนินการทางกฎหมาย ด้วยเหตุดังกล่าวนี้ เจ้าของข้อมูลสามารถบังคับใช้สิทธิ์ของตนต่อบุคคลดังกล่าวได้ ความรับผิดของผู้ให้บริการช่วงจะมีการจำกัดไว้ตามการปฏิบัติการของกระบวนการของตนภายใต้ข้อกำหนด

ข้อกำหนด 7

การไกล่เกลี่ยและเขตอำนาจตามกฎหมาย

1.  ผู้นำเข้าข้อมูลยินยอมว่า หากเจ้าของข้อมูลอ้างสิทธิ์จากการเป็นผู้ได้รับผลประโยชน์ที่เป็นบุคคลที่สาม/หรือเรียกร้องค่าชดเชยสำหรับความเสียหายภายใต้ข้อกำหนด ผู้นำเข้าข้อมูลจะยอมรับการตัดสินใจของเจ้าของข้อมูล:

(ก) อ้างอิงตามข้อพิพาทเพื่อการไกล่เกลี่ย โดยบุคคลอิสระ หรือหากมีผลบังคับใช้ โดยหน่วยงานควบคุมดูแล

(ข) อ้างอิงตามข้อพิพาทต่อศาลในรัฐสมาชิกซึ่งผู้ส่งออกข้อมูลได้กำหนดไว้

2.  คณะบุคคลเห็นด้วยว่าตัวเลือกที่เจ้าของข้อมูลให้ไว้จะมีความเป็นกลางต่อสิทธิพื้นฐานหรือสิทธิตามกระบวนการยุติธรรมเพื่อใช้อ้างอิงสำหรับการเยียวยาอันเป็นไปตามบทบัญญัติอื่นๆ ของกฎหมายในประเทศหรือระหว่างประเทศ

SECTION II - OBLIGATIONS OF THE PARTIES

ข้อกำหนด 8

การให้ความร่วมมือกับหน่วยงานควบคุมดูแล

1.  ผู้ส่งออกข้อมูลเห็นด้วยที่จะส่งสำเนาของสัญญานี้ให้กับหน่วยงานควบคุมดูแล หากมีการร้องขอ หรือหากจำเป็นต้องส่งสำเนาให้โดยเป็นไปตามกฎหมายการคุ้มครองข้อมูลที่บังคับใช้

2.  คณะบุคคลเห็นชอบว่าหน่วยงานควบคุมดูแลมีสิทธิ์ในการดำเนินการตรวจสอบผู้นำเข้าข้อมูล และผู้ให้บริการช่วงใดๆ โดยอาศัยขอบเขตเดียวกับและอยู่ภายใต้เงื่อนไขเดียวกันตามที่ได้มีการนำมาใช้เพื่อการตรวจสอบผู้ส่งออกข้อมูลภายใต้กฎหมายการคุ้มครองข้อมูลที่บังคับใช้

3.  ผู้นำเข้าข้อมูลจะแจ้งให้ผู้ส่งออกข้อมูลทราบเกี่ยวกับบทบัญญัติแห่งกฎหมายที่มีผลบังคับใช้โดยทันที หรือผู้ให้บริการช่วงใดๆ ที่ป้องกันการดำเนินการตรวจสอบผู้นำเข้าข้อมูล หรือผู้ให้บริการช่วงใดๆ ตามที่อ้างถึงในย่อหน้า 2 ในกรณีดังกล่าว ผู้ส่งออกข้อมูลจะต้องได้รับสิทธิ์ให้สามารถวัดผลได้ตามที่ระบุไว้ในข้อกำหนด 5 (ข)

8.1 Instructions

  1. The data importer shall process the personal data only on documented instructions from the data exporter. The data exporter may give such instructions throughout the duration of the contract.
  2. The data importer shall immediately inform the data exporter if it is unable to follow those instructions.

8.2 Purpose limitation

The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B, unless on further instructions from the data exporter.

8.3 Transparency

On request, the data exporter shall make a copy of these Clauses, including the Appendix as completed by the Parties, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including the measures described in Annex II and personal data, the data exporter may redact part of the text of the Appendix to these Clauses prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand the its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information. This Clause is without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679.

8.4 Accuracy

If the data importer becomes aware that the personal data it has received is inaccurate, or has become outdated, it shall inform the data exporter without undue delay. In this case, the data importer shall cooperate with the data exporter to erase or rectify the data.

8.5 Duration of processing and erasure or return of data

Processing by the data importer shall only take place for the duration specified in Annex I.B. After the end of the provision of the processing services, the data importer shall, at the choice of the data exporter, delete all personal data processed on behalf of the data exporter and certify to the data exporter that it has done so, or return to the data exporter all personal data processed on its behalf and delete existing copies. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit return or deletion of the personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process it to the extent and for as long as required under that local law. This is without prejudice to Clause 14, in particular the requirement for the data importer under Clause 14(e) to notify the data exporter throughout the duration of the contract if it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under Clause 14(a).

8.6 Security of processing

  1. The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access to that data (hereinafter ‘personal data breach’). In assessing the appropriate level of security, the Parties shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subjects. The Parties shall in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner. In case of pseudonymisation, the additional information for attributing the personal data to a specific data subject shall, where possible, remain under the exclusive control of the data exporter. In complying with its obligations under this paragraph, the data importer shall at least implement the technical and organisational measures specified in Annex II. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security.
  2. The data importer shall grant access to the personal data to members of its personnel only to the extent strictly necessary for the implementation, management and monitoring of the contract. It shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.
  3. In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the breach, including measures to mitigate its adverse effects. The data importer shall also notify the data exporter without undue delay after having become aware of the breach. Such notification shall contain the details of a contact point where more information can be obtained, a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), its likely consequences and the measures taken or proposed to address the breach including, where appropriate, measures to mitigate its possible adverse effects. Where, and in so far as, it is not possible to provide all information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.
  4. The data importer shall cooperate with and assist the data exporter to enable the data exporter to comply with its obligations under Regulation (EU) 2016/679, in particular to notify the competent supervisory authority and the affected data subjects, taking into account the nature of processing and the information available to the data importer.

8.7 Sensitive data

Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions and offences (hereinafter ‘sensitive data’), the data importer shall apply the specific restrictions and/or additional safeguards described in Annex I.B.

8.8 Onward transfers

The data importer shall only disclose the personal data to a third party on documented instructions from the data exporter. In addition, the data may only be disclosed to a third party located outside the European Union (in the same country as the data importer or in another third country, hereinafter ‘onward transfer’) if the third party is or agrees to be bound by these Clauses, under the appropriate Module, or if:

  1. the onward transfer is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU) 2016/679 that covers the onward transfer;
  2. the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 Regulation of (EU) 2016/679 with respect to the processing in question;
  3. the onward transfer is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; or (iv) the onward transfer is necessary in order to protect the vital interests of the data subject or of another natural person.
  4. Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.

8.9 Documentation and compliance

  1. The data importer shall promptly and adequately deal with enquiries from the data exporter that relate to the processing under these Clauses.
  2. The Parties shall be able to demonstrate compliance with these Clauses. In particular, the data importer shall keep appropriate documentation on the processing activities carried out on behalf of the data exporter.
  3. The data importer shall make available to the data exporter all information necessary to demonstrate compliance with the obligations set out in these Clauses and at the data exporter’s request, allow for and contribute to audits of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non-compliance. In deciding on a review or audit, the data exporter may take into account relevant certifications held by the data importer.
  4. The data exporter may choose to conduct the audit by itself or mandate an independent auditor. Audits may include inspections at the premises or physical facilities of the data importer and shall, where appropriate, be carried out with reasonable notice.
  5. The Parties shall make the information referred to in paragraphs (b) and (c), including the results of any audits, available to the competent supervisory authority on request.

ข้อกำหนด 9

กฎหมายที่ใช้บังคับแก่สัญญา

ข้อกำหนดจะได้รับการควบคุมโดยกฎหมายของรัฐสมาชิกซึ่งได้มีการก่อตั้งผู้ส่งออกข้อมูลขึ้นมา และหากมีข้อสงสัย หรือต้องการทราบตำแหน่งที่ตั้งของหลายผู้ส่งออกข้อมูล ทั้งนี้จะมีการกำกับดูแลโดยกฎหมายแห่งประเทศอังกฤษและเวลส์

ข้อกำหนด 10

การเปลี่ยนแปลงในสัญญา

คณะบุคคลที่รับผิดชอบในงานดังกล่าวจะต้องไม่เปลี่ยนแปลงหรือแก้ไขข้อกำหนด โดยไม่ได้เป็นการขัดขวางคณะบุคคลไม่ให้เพิ่มเติมข้อกำหนดลงในปัญหาที่เกี่ยวข้องกับธุรกิจ ซึ่งมีความจำเป็นต้องอ้างอึงถึงตราบเท่าที่คณะบุคคลดังกล่าวไม่ได้โต้แย้งกับข้อกำหนด

ข้อกำหนด 11

การให้บริการช่วง

1.  ผู้ส่งออกข้อมูลจะต้องไม่ทำสัญญาย่อยในการปฏิบัติการของกระบวนการของตนใดๆ ที่กระทำขึ้นในนามของผู้ส่งออกข้อมูลภายใต้ข้อกำหนดโดยที่ไม่ได้รับการยินยอมเป็นลายลักษณ์อักษรจากผู้ส่งออกข้อมูล เมื่อผู้นำเข้าข้อมูลทำสัญญาย่อยกับข้อผูกมัดภายใต้ข้อกำหนด ด้วยความยินยอมของผู้ส่งออกข้อมูล การดำเนินการดังกล่าวควรกระทำภายใต้ข้อตกลงที่มีการเขียนเป็นลายลักษณ์อักษรกับผู้ให้บริการช่วงเท่านั้น ซึ่งได้กำหนดให้มีข้อผูกมัดเดียวกันกับผู้ให้บริการช่วงเนื่องจากมีการกำหนดไว้กับผู้นำเข้าข้อมูลภายใต้ข้อกำหนด หากผู้ให้บริการช่วงไม่อาจดำเนินการตามข้อผูกพันการคุ้มครองข้อมูลภายใต้ข้อตกลงที่เป็นลายลักษณ์อักษร ผู้นำเข้าข้อมูลจะต้องคงไว้ซึ่งความรับผิดโดยสมบูรณ์แก่ผู้ส่งออกข้อมูลสำหรับการดำเนินการต่อข้อผูกพันของผู้ให้บริการช่วงภายใต้ข้อตกลงดังกล่าว

2.  สัญญาที่เขียนขึ้นไว้ก่อนหน้าระหว่างผู้นำเข้าข้อมูลและผู้ให้บริการช่วง จะต้องแจ้งข้อกำหนดสำหรับผู้ได้รับผลประโยชน์ที่เป็นบุคคลที่สามตามที่ระบุไว้ในข้อกำหนด 3 หากเกิดกรณีที่เจ้าของข้อมูลไม่อาจทำการร้องเรียนเพื่อขอค่าชดเชยตามอ้างถึงในย่อหน้า 1 ของข้อกำหนด 6 ต่อผู้ส่งออกข้อมูล หรือผู้นำเข้าข้อมูลได้เนื่องจากทั้งสอง ปิดบังข้อเท็จจริง หรือไม่ได้ดำเนินการปฏิบัติตามกฎหมายที่มีอยู่ หรือได้กลายเป็นบุคคลล้มละลาย และผู้รับประโยชน์ต่อไม่ได้อ้างสิทธิ์ตามข้อผูกพันทางกฎหมายทั้งหมดกับผู้ส่งออกหรือผู้นำเข้าข้อมูลตามสัญญาหรือการดำเนินการตามกฎหมาย ความรับผิดของบุคคลที่สามดังกล่าวต่อผู้ให้บริการช่วงจะถูกจำกัดไว้ตามการปฏิบัติการของกระบวนการของตนภายใต้ข้อกำหนด

3.  บทบัญญัติที่เกี่ยวข้องกับการคุ้มครองข้อมูลในแง่ของการให้บริการช่วงของสัญญาตามอ้างอิงในย่อหน้า 1 จะได้รับการกำกับดูแลโดยกฎหมายของรัฐสมาชิกซึ่งผู้ส่งออกข้อมูลได้กำหนดขึ้น

4.  ผู้ส่งออกข้อมูลจะเก็บรายการข้อตกลงของผู้ให้บริการช่วงโดยสรุปภายใต้ข้อกำหนด และผู้นำเข้าข้อมูลจะแจ้งเตือนให้ทราบโดยอ้างตามข้อกำหนด 5 (ญ) ซึ่งจะมีการอัปเดตข้อมูลดังกล่าวอย่างน้อยปีละหนึ่งครั้ง รายชื่อจะต้องมีพร้อมมอบให้กับหน่วยงานควบคุมดูแลคุ้มครองข้อมูลของผู้ส่งออกข้อมูล

ข้อกำหนด 12

ข้อผูกมัดภายหลังจากการบอกเลิกการบริการดำเนินการกับข้อมูลส่วนตัว

1.  คณะบุคคลเห็นชอบว่าการบอกเลิกบทบัญญัติของการบริการดำเนินการกับข้อมูล ผู้นำเข้าข้อมูลและผู้ให้บริการช่วงจะ ตามตัวเลือกของผู้ส่งออกข้อมูล ต้องส่งคืนข้อมูลส่วนตัวที่มีการถ่ายโอนและสำเนาทั้งหมดให้กับผู้ส่งออกข้อมูล หรือจะต้องทำลายข้อมูลส่วนตัวทั้งหมดและต้องผ่านการตรวจสอบโดยผู้ส่งออกข้อมูลว่าได้มีการดำเนินการดังกล่าวแล้ว เว้นแต่ได้มีการบังคับตามกฎหมายให้ผู้นำเข้าข้อมูลต้องคุ้มครองข้อมูลที่ได้จากการส่งคืน หรือทำลายข้อมูลทั้งหมด หรือบางส่วนของข้อมูลส่วนตัวที่มีการถ่ายโอน ในกรณีดังกล่าว ผู้นำเข้าข้อมูลรับประกันว่าจะมีการปกปิดความลับของข้อมูลส่วนตัวที่ได้ถ่ายโอน และจะไม่ดำเนินการใดๆ กับข้อมูลส่วนตัวที่ได้ถ่ายโอนอีกต่อไป

2.  ผู้นำเข้าข้อมูลหรือผู้ให้บริการช่วงให้การรับประกันขณะที่มีการร้องขอผู้ส่งออกข้อมูล และ/หรือหน่วยงานควบคุมดูแล โดยที่จะมีการส่งข้อมูลไปยังสถานประกอบการเพื่อดำเนินการกับข้อมูลสำหรับการตรวจสอบมาตรการที่อ้างอิงไว้ตามย่อหน้า 1

**********************************************

Clause 13

Supervision

  1. The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority.
  2. The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries, submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken.

SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES

Clause 14

Local laws and practices affecting compliance with the Clauses

  1. The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.
  2. The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements:
    1. the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;
    2. the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorising access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards;
    3. any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing of the personal data in the country of destination.
  3. The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses.
  4. The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request.
  5. The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a).
  6. Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organisational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation. The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply.

Clause 15

Obligations of the data importer in case of access by public authorities

15.1 Notification

  1. The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary with the help of the data exporter) if it:
    1. receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or
    2. becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer.
  2. If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter.
  3. Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.).
  4. The data importer agrees to preserve the information pursuant to paragraphs (a) to (c) for the duration of the contract and make it available to the competent supervisory authority on request.
  5. Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses.

15.2 Review of legality and data minimisation

  1. The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e).
  2. The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request.
  3. The data importer agrees to provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request.

SECTION IV – FINAL PROVISIONS

Clause 16

Non-compliance with the Clauses and termination

  1. The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason.
  2. In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f).
  3. The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where:
    1. the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension;
    2. the data importer is in substantial or persistent breach of these Clauses; or
    3. the data importer fails to comply with a binding decision of a competent court or supervisory authority regarding its obligations under these Clauses. In these cases, it shall inform the competent supervisory authority of such non-compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise.
  4. Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data. The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law.
  5. Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679.

Clause 17

Governing law

These Clauses shall be governed by the law of one of the EU Member States, provided such law allows for third-party beneficiary rights. The Parties agree that this shall be the law of Federal Republic of Germany.

Clause 18

Choice of forum and jurisdiction

  1. Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State.
  2. The Parties agree that those shall be the courts of the Federal Republic of Germany.
  3. A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.
  4. The Parties agree to submit themselves to the jurisdiction of such courts.

Annex I to the Standard Contractual Clauses

A. LIST OF PARTIES
Data Exporter(s): The data exporter is the entity identified as “Customer” in the Addendum
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Exporter is deemed to have signed these standard contractual clauses.
Role: Controller

Data importer(s): GoDaddy.com, LLC
Contact details: Office of the Data Protection Officer – privacy@godaddy.com
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Importer is deemed to have signed these standard contractual clauses.
Role: Processor

B. DESCRIPTION OF TRANSFER Categories of data subjects whose personal data is transferred are described in Appendix 1 of the Addendum.

Categories of personal data transferred are described in Appendix 1 of the Addendum.

Sensitive data transferred are described in Appendix 1 of the Addendum.

The frequency of the transfer is a continuous basis for the duration of the Terms of Service.

Nature of the processing is described in Section 2.2 and Appendix 1 of the Addendum.

Purpose(s) of the data transfer and further processing are described in Section 2.2 and Appendix 1 of the Addendum.

The period for which the personal data will be retained described in Appendix 1 of the Addendum.

For transfers to (sub-) processors, the subject matter, nature and duration of the processing is set forth in Annex III to the Standard Contractual Clauses.

C. COMPETENT SUPERVISORY AUTHORITY The North Rhine-Westphalia State Commissioner for Data Protection and Freedom of Information ('LDI NRW') is the competent supervisory authority.

Annex II to the Standard Contractual Clauses

The technical and organizational security measures implemented by the Data Importer are as in Annex 2 of the Addendum.

Annex III to the Standard Contractual Clauses

List of sub-processors are in Appendix 3 of the Addendum.


จัดเตรียมข้อตกลงและนโยบายทางกฎหมายฉบับแปลให้ไว้ เพื่ออำนวยความสะดวกในการอ่านและทำความเข้าใจฉบับภาษาอังกฤษเท่านั้น เป้าหมายที่จัดหาคำแปลข้อตกลงและนโยบายทางกฎหมายไม่ใช่เพื่อสร้างข้อตกลงซึ่งมีภาระผูกมัดทางกฎหมาย และไม่ได้นำมาใช้เพื่อให้มีผลบังคับได้ตามกฎหมายสำหรับฉบับภาษาอังกฤษ ในกรณีที่มีข้อผิดพลาดหรือข้อขัดแย้ง ข้อตกลงและนโยบายทางกฎหมายฉบับภาษาอังกฤษไม่ว่าด้วยกรณีใดๆ ที่ควบคุมความสัมพันธ์ของเรา จะอยู่เหนือเงื่อนไขในภาษาอื่นๆ