ภาคผนวกนี้เป็นส่วนหนึ่งของสัญญาและเข้าทำโดย:
แต่ละคนเป็น " ปาร์ตี้ " และโดยทั่วไป " ปาร์ตี้ "
คำนำ
โดยที่ Data Importer ให้บริการซอฟต์แวร์ระดับมืออาชีพ คอมพิวเตอร์ และบริการที่เกี่ยวข้อง (เช่น เบราว์เซอร์ที่มีฟังก์ชันการค้นหาขั้นสูง)
ตามสัญญา ผู้นำเข้าข้อมูลได้ตกลงที่จะให้บริการตามที่ระบุไว้ในสัญญาแก่ผู้ส่งออกข้อมูล (" บริการ ")
โดยการให้บริการ ผู้นำเข้าข้อมูลได้รับหรือได้รับประโยชน์จากการเข้าถึงข้อมูลของผู้ส่งออกข้อมูลหรือข้อมูลของบุคคลอื่นที่มีความสัมพันธ์ (ที่มีศักยภาพ) กับผู้ส่งออกข้อมูล ข้อมูลดังกล่าวอาจเข้าข่ายเป็นข้อมูลส่วนบุคคลตามความหมายของข้อบังคับ (EU) 2016/679 ของรัฐสภายุโรปและคณะมนตรีเมื่อวันที่ 27 เมษายน 2016 ว่าด้วยการคุ้มครองบุคคลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและการเคลื่อนย้ายข้อมูลดังกล่าวโดยเสรี (" GDPR ") และกฎหมายคุ้มครองข้อมูลอื่นๆ ที่เกี่ยวข้อง
ภาคผนวกนี้มีข้อกำหนดและเงื่อนไขที่ใช้บังคับกับการรวบรวม การประมวลผล และการใช้ข้อมูลส่วนบุคคลดังกล่าวโดยผู้นำเข้าข้อมูลในฐานะตัวแทนการประมวลผลข้อมูลที่ได้รับอนุญาตของผู้ส่งออกข้อมูล เพื่อให้แน่ใจว่าคู่สัญญาปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง .
ดังนั้น และเพื่อให้คู่สัญญาสามารถสานต่อความสัมพันธ์ของตนได้ถูกต้องตามกฎหมาย ทั้งสองฝ่ายได้สรุปภาคผนวกนี้ดังนี้:
ส่วนที่ 1
1. โครงสร้างของเอกสารและคำจำกัดความ
1.1 โครงสร้าง
ภาคผนวกนี้ประกอบด้วยส่วนต่างๆ ดังนี้
ส่วนที่ 1: | มีข้อกำหนดทั่วไป เช่น เกี่ยวกับคำจำกัดความที่ใช้ในภาคผนวกนี้ การปฏิบัติตามกฎหมายท้องถิ่น ระยะเวลา และการสิ้นสุด
|
ส่วนที่ 2: | มีเนื้อหาของเอกสารข้อสัญญามาตรฐานที่ยังไม่ได้แก้ไข
|
ภาคผนวก 1.1 ของส่วนที่ 2: | มีรายละเอียดของการดำเนินการประมวลผลที่ผู้นำเข้าข้อมูลมอบให้ผู้ส่งออกข้อมูลในฐานะตัวแทนประมวลผลข้อมูลที่ได้รับอนุญาต (รวมถึงการประมวลผล ลักษณะและวัตถุประสงค์ของการประมวลผล ประเภทของข้อมูลส่วนบุคคล และหมวดหมู่ของเจ้าของข้อมูล) ภายใต้นี้ ภาคผนวก
|
ภาคผนวก 2 ของส่วนที่ 2: | มีคำอธิบายเกี่ยวกับมาตรการรักษาความปลอดภัยทางเทคนิคและองค์กรของผู้นำเข้าข้อมูล ซึ่งใช้กับกิจกรรมการประมวลผลทั้งหมดที่อธิบายไว้ในภาคผนวก 1.1 ของส่วนที่ 2
|
ส่วนที่ 3: | มีลายเซ็นของคู่สัญญาที่จะผูกพันตามภาคผนวกนี้และระบุผู้นำเข้าข้อมูลแต่ละราย
|
1.2 คำศัพท์และคำจำกัดความ
สำหรับวัตถุประสงค์ของภาคผนวกนี้ คำศัพท์และคำจำกัดความที่ใช้โดย GDPR มีผลบังคับใช้ (ในเนื้อหาของเอกสารข้อสัญญามาตรฐานในส่วนที่ 2 โดยที่ข้อกำหนดที่กำหนดไว้จะไม่เป็นตัวพิมพ์ใหญ่)
"ประเทศสมาชิก" | หมายความว่า ประเทศที่เป็นของสหภาพยุโรปหรือเขตเศรษฐกิจยุโรป
|
"หมวดหมู่พิเศษของข้อมูล (ส่วนบุคคล)" | หมายถึงข้อมูลส่วนบุคคลที่เปิดเผยเชื้อชาติหรือชาติพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา หรือการเป็นสมาชิกสหภาพแรงงาน และข้อมูลทางพันธุกรรม ข้อมูลไบโอเมตริก หากประมวลผลเพื่อวัตถุประสงค์ในการระบุตัวบุคคล ข้อมูลเกี่ยวกับสุขภาพ ข้อมูลเกี่ยวกับเพศของบุคคล ชีวิตหรือรสนิยมทางเพศ
|
"ข้อสัญญามาตรฐาน" | หมายถึง Standard Contractual Clauses สำหรับการถ่ายโอนข้อมูลส่วนบุคคลของตัวแทนการประมวลผลที่จัดตั้งขึ้นในประเทศที่สาม ภายใต้ Commission Decision 2010/87/EU เมื่อวันที่ 5 กุมภาพันธ์ 2010 ซึ่งได้รับการแก้ไขโดย Commission Implementing Decision (EU) 2016/2297 ในวันที่ 16 ของ ธันวาคม 2559
|
“ตัวประมวลผลข้อมูล” | หมายถึงตัวแทนประมวลผลใดๆ ที่อยู่ภายในหรือนอก EU/EEA ซึ่งตกลงที่จะรับจากผู้นำเข้าข้อมูลหรือผู้ประมวลผลอื่นๆ ของผู้นำเข้าข้อมูล ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เฉพาะในการประมวลผลกิจกรรมที่ดำเนินการโดยผู้ส่งออกข้อมูลหลังจาก โอนตามคำแนะนำของผู้ส่งออกข้อมูล ข้อกำหนดของภาคผนวกนี้ และสัญญากับผู้นำเข้าข้อมูล
|
2. ภาระหน้าที่ของผู้ส่งออกข้อมูล
2.1 ผู้ส่งออกข้อมูลมีภาระหน้าที่ที่จะต้องตรวจสอบให้แน่ใจว่ามีการปฏิบัติตามภาระหน้าที่ที่เกี่ยวข้องทั้งหมดภายใต้ GDPR และกฎหมายคุ้มครองข้อมูลอื่นๆ ที่บังคับใช้ซึ่งมีผลบังคับใช้กับผู้ส่งออกข้อมูล และเพื่อแสดงการปฏิบัติตามข้อกำหนดดังกล่าวตามมาตรา 5 (2) ของ GDPR ผู้ส่งออกข้อมูลรับประกันว่าผู้นำเข้าข้อมูลได้รับความยินยอมล่วงหน้าจากเจ้าของข้อมูลตามมาตรา 6 (a) ของ GDPR และได้ปฏิบัติตามภาระหน้าที่ในการแจ้งเจ้าของข้อมูลตามมาตรา 13 และ 14 ของ GDPR
2.2 ผู้ส่งออกข้อมูลต้องจัดเตรียมไฟล์ที่เกี่ยวข้องของกิจกรรมการประมวลผลให้กับผู้นำเข้าข้อมูลตามมาตรา 30 (1) ของ GDPR ที่เกี่ยวข้องกับบริการภายใต้ภาคผนวกนี้ ในขอบเขตที่จำเป็นสำหรับผู้นำเข้าข้อมูลในการปฏิบัติตามภาระผูกพันภายใต้ มาตรา 30 (2) ของ GDPR
2.3 ผู้ส่งออกข้อมูลต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลหรือตัวแทนในขอบเขตที่กำหนดโดยกฎหมายคุ้มครองข้อมูลที่บังคับใช้ ผู้ส่งออกข้อมูลมีหน้าที่ให้รายละเอียดการติดต่อของตัวแทนหรือตัวแทนในการปกป้องข้อมูล หากมี แก่ผู้นำเข้าข้อมูล
2.4. ผู้ส่งออกข้อมูลยืนยันก่อนที่จะเสร็จสิ้นการประมวลผล โดยการยอมรับภาคผนวกนี้ว่ามาตรการด้านความปลอดภัยทางเทคนิคและองค์กรของผู้นำเข้าข้อมูลตามที่กำหนดไว้ในภาคผนวก 2 ถึงส่วนที่ 2 มีความเหมาะสมและเพียงพอที่จะปกป้องสิทธิ์ของเจ้าของข้อมูล และยืนยันว่าผู้นำเข้าข้อมูลมีการป้องกันที่เพียงพอในส่วนนี้
3. การปฏิบัติตามกฎหมายท้องถิ่น
เพื่อให้เป็นไปตามข้อกำหนดของการดำเนินการตัวแทนดำเนินการตามมาตรา 28 ของ GDPR การแก้ไขต่อไปนี้จะมีผลบังคับใช้:
3.1 คำแนะนำ
3.2 ภาระหน้าที่ของผู้นำเข้าข้อมูล
3.3 สิทธิของบุคคลที่เกี่ยวข้อง
3.4 การประมวลผลย่อย
3.5 หมดอายุ
การหมดอายุของภาคผนวกนี้เหมือนกับวันหมดอายุของสัญญาที่เกี่ยวข้อง ยกเว้นที่ระบุไว้เป็นอย่างอื่นในภาคผนวกนี้ สิทธิ์และหน้าที่ที่เกี่ยวข้องกับการยกเลิกจะเหมือนกับที่มีอยู่ในสัญญา
4. ข้อจำกัดความรับผิด
4.1 แต่ละฝ่ายจัดการภาระผูกพันภายใต้ภาคผนวกนี้และกฎหมายคุ้มครองข้อมูลที่บังคับใช้
4.2 ความรับผิดใด ๆ ที่เกี่ยวข้องกับการฝ่าฝืนภาระผูกพันภายใต้ภาคผนวกนี้หรือกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องจะต้องอยู่ภายใต้และควบคุมโดยบทบัญญัติความรับผิดที่กำหนดไว้ในหรือบังคับใช้กับสัญญา ยกเว้นที่ระบุไว้เป็นอย่างอื่นในภาคผนวกนี้ หากความรับผิดอยู่ภายใต้ข้อกำหนดความรับผิดที่กำหนดไว้ในหรือบังคับใช้กับสัญญา สำหรับการคำนวณขีดจำกัดความรับผิดหรือการกำหนดการใช้ข้อจำกัดความรับผิดอื่นๆ ความรับผิดใดๆ ที่เกิดขึ้นภายใต้ภาคผนวกนี้จะถือว่าเกิดขึ้นภายใต้สัญญา
5. ข้อกำหนดทั่วไป
5.1 หากมีความไม่สอดคล้องหรือความคลาดเคลื่อนระหว่างส่วนที่ 1 และ 2 ของภาคผนวกนี้ ส่วนที่ 2 จะมีผลเหนือกว่า โดยเฉพาะในกรณีดังกล่าว ส่วนที่ 1 ซึ่งมากกว่าส่วนที่ 2 (เช่น เงื่อนไขของ Standard Clause) โดยไม่ขัดแย้งจะยังคงมีผลใช้บังคับ
5.2 หากเกิดความคลาดเคลื่อนระหว่างบทบัญญัติของภาคผนวกนี้กับสัญญาอื่นๆ ที่มีผลผูกพันคู่สัญญา ภาคผนวกนี้จะมีผลเหนือกว่าเกี่ยวกับภาระหน้าที่ในการปกป้องข้อมูลของคู่สัญญา ในกรณีที่มีข้อสงสัยว่าข้อกำหนดในสัญญาอื่นๆ เกี่ยวข้องกับภาระหน้าที่ในการปกป้องข้อมูลของคู่สัญญาหรือไม่ ภาคผนวกนี้จะมีผลเหนือกว่า
5.3 หากบทบัญญัติใดในภาคผนวกนี้ไม่ถูกต้องหรือไม่สามารถบังคับใช้ได้ ส่วนที่เหลือของภาคผนวกนี้จะยังคงมีผลบังคับอย่างสมบูรณ์ บทบัญญัติที่ไม่ถูกต้องหรือไม่สามารถบังคับใช้ได้จะ (i) แก้ไขเพื่อให้มั่นใจถึงความถูกต้องและการบังคับใช้ ในขณะที่รักษาเจตนาของคู่สัญญาให้มากที่สุดเท่าที่จะเป็นไปได้ หรือ - หากเป็นไปไม่ได้ - (ii) ตีความราวกับว่าส่วนที่ไม่ถูกต้องหรือไม่สามารถบังคับใช้ได้มี ไม่เคยเป็นส่วนหนึ่งของสัญญา สิ่งที่กล่าวมานี้จะใช้บังคับด้วยหากมีการละเว้นในภาคผนวกนี้
5.5 ในขอบเขตที่จำเป็น ภาคีอาจขอแก้ไขส่วนที่ 1 ข้อ 3 (การปฏิบัติตามกฎหมายท้องถิ่น) หรือส่วนอื่น ๆ ของภาคผนวก เพื่อให้สอดคล้องกับการตีความ คำสั่ง หรือคำสั่งที่ออกโดยหน่วยงานผู้มีอำนาจของสหภาพหรือ ประเทศสมาชิก บทบัญญัติการบังคับใช้ระดับชาติ หรือการพัฒนาทางกฎหมายอื่นๆ ที่เกี่ยวข้องกับ GDPR หรือเงื่อนไขอื่นๆ ของการมอบหมายให้กับหน่วยงานใดๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูล และโดยเฉพาะเกี่ยวกับการใช้ข้อสัญญามาตรฐานใน GDPR ข้อกำหนดของ Standard Contractual Clauses ไม่สามารถแก้ไขหรือเปลี่ยนได้ เว้นแต่คณะกรรมาธิการยุโรปจะอนุมัติอย่างชัดแจ้ง (เช่น มาตราใหม่ที่เพียงพอและมาตรฐานการปกป้องข้อมูล)
5.6 การอ้างอิงใด ๆ ในภาคผนวกนี้ถึง " ข้อ " จะต้องเข้าใจเพื่ออ้างถึงข้อกำหนดทั้งหมดของภาคผนวกนี้ เว้นแต่จะระบุไว้เป็นอย่างอื่น
5.7 การเลือกกฎหมายในส่วนที่ 2 ข้อ 9 ใช้กับสัญญาทั้งหมด
6. ข้อมูลส่วนบุคคลที่ส่งและประมวลผลโดยคู่กรณีเพื่อวัตถุประสงค์ส่วนตัว (ถ่ายโอนจากผู้ควบคุมข้อมูลไปยังผู้ควบคุมข้อมูล)
6.1 คู่สัญญาทราบดีว่าข้อมูลส่วนบุคคลบางอย่างจะถูกถ่ายโอนจากผู้ส่งออกข้อมูลไปยังผู้นำเข้าข้อมูล และในทางกลับกัน และข้อมูลดังกล่าวจะได้รับการประมวลผลโดยแต่ละฝ่ายเพื่อวัตถุประสงค์ของตนเอง เกี่ยวกับข้อมูลส่วนบุคคลดังกล่าว จะไม่ส่งผลกระทบต่อข้อกำหนดอื่นๆ ในภาคผนวกนี้ (ยกเว้นข้อ 6)
6.2 ผู้ส่งออกข้อมูลอาจถ่ายโอนข้อมูลส่วนบุคคลที่เกี่ยวข้องกับพนักงานของผู้นำเข้าข้อมูลไปยังผู้นำเข้าข้อมูล รวมถึงข้อมูลเกี่ยวกับเหตุการณ์ด้านความปลอดภัย หรือเอกสารหรือไฟล์อื่นใดที่สร้างหรือสร้างโดยผู้ส่งออกข้อมูลที่เกี่ยวข้องกับบริการที่จัดทำโดยเจ้าหน้าที่ของ ตัวนำเข้าข้อมูล ผู้นำเข้าข้อมูลอาจประมวลผลข้อมูลส่วนบุคคลดังกล่าวเพื่อวัตถุประสงค์ของตนเอง โดยเฉพาะอย่างยิ่งในความสัมพันธ์ทางวิชาชีพกับบุคลากรของผู้นำเข้าข้อมูล เพื่อการควบคุมคุณภาพและการฝึกอบรม หรือเพื่อวัตถุประสงค์ทางธุรกิจ
6.3. ผู้นำเข้าข้อมูลอาจถ่ายโอนข้อมูลส่วนบุคคลไปยังผู้ส่งออกข้อมูล ซึ่งรวมถึงชื่อและรายละเอียดการติดต่อของบุคลากรของผู้นำเข้าข้อมูล ผู้ส่งออกข้อมูลอาจประมวลผลข้อมูลส่วนบุคคลดังกล่าวเพื่อวัตถุประสงค์ของตนเอง
6.4 ทั้งสองฝ่ายจะต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง รวมถึง GDPR ในการรวบรวม ประมวลผล และใช้ข้อมูลส่วนบุคคลที่ได้รับจากอีกฝ่ายหนึ่งภายใต้ข้อ 1 ของส่วนที่ 1 โดยเฉพาะอย่างยิ่ง ทั้งสองฝ่ายต้องใช้มาตรการรักษาความปลอดภัยที่เพียงพอ ระดับการป้องกันที่ใกล้เคียงกันกับมาตรการรักษาความปลอดภัยที่กำหนดไว้ในภาคผนวก 2 ของส่วนที่ 2 การเข้าถึงข้อมูลส่วนบุคคลดังกล่าวจะถูกจำกัดให้จำเป็นต้องทราบ
6.5 ทั้งสองฝ่ายจะต้องลบข้อมูลส่วนบุคคลดังกล่าวโดยเร็วที่สุดหลังจากบรรลุวัตถุประสงค์แล้ว
ตอนที่ 2
การตัดสินใจของคณะกรรมการ
วันที่ 5 กุมภาพันธ์ 2553
ตามข้อสัญญามาตรฐานสำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังผู้ประมวลผลข้อมูลที่จัดตั้งขึ้นในประเทศบุคคลที่สามภายใต้คำสั่ง 95/46 / EC ของรัฐสภายุโรปและสภา
ข้อ 1
คำจำกัดความ
ภายในความหมายของข้อ:
ก) 'ข้อมูลส่วนบุคคล', 'หมวดหมู่พิเศษของข้อมูล', 'การประมวลผล/การประมวลผล', 'ผู้ควบคุม', 'ผู้ประมวลผล', 'เจ้าของข้อมูล' และ 'หน่วยงานกำกับดูแล' จะมีความหมายเช่นเดียวกับใน 95/46/EC คำสั่งของรัฐสภายุโรปและสภาแห่ง 24 ตุลาคม 2538 ว่าด้วยการปกป้องบุคคลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและการเคลื่อนย้ายข้อมูลดังกล่าวโดยเสรี (1);
ข) 'ผู้ส่งออกข้อมูล' คือผู้ควบคุมข้อมูลในการถ่ายโอนข้อมูลส่วนบุคคล
ค) 'ผู้นำเข้าข้อมูล' เป็นผู้ประมวลผลข้อมูลที่ตกลงที่จะได้รับจากข้อมูลส่วนบุคคลของผู้ส่งออกข้อมูลที่ตั้งใจให้ดำเนินการในนามของผู้ส่งออกข้อมูลหลังจากการถ่ายโอนตามคำแนะนำและภายใต้เงื่อนไขของข้อเหล่านี้และผู้ที่ไม่ ภายใต้กลไกของประเทศที่สามเพื่อให้มั่นใจว่าได้รับการคุ้มครองอย่างเพียงพอตามความหมายของมาตรา 25(1) ของ Directive 95/46/EC (d) 'ผู้ประมวลผลข้อมูล' หมายถึงผู้ประมวลผลข้อมูลที่มีส่วนร่วมโดยผู้นำเข้าข้อมูลหรือโดยผู้ประมวลผลข้อมูลอื่น ๆ ของผู้นำเข้าข้อมูลซึ่งตกลงที่จะได้รับจากผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลอื่น ๆ ของข้อมูลส่วนบุคคลของผู้นำเข้าข้อมูลโดยเฉพาะสำหรับกิจกรรมการประมวลผลเพื่อ ดำเนินการในนามของผู้ส่งออกข้อมูลหลังจากโอนตามคำแนะนำของผู้ส่งออกข้อมูล
จ) "กฎหมายคุ้มครองข้อมูลที่บังคับใช้" หมายถึงกฎหมายที่คุ้มครองสิทธิและเสรีภาพขั้นพื้นฐานของบุคคล รวมถึงสิทธิในความเป็นส่วนตัวเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล และนำไปใช้กับผู้ควบคุมในประเทศสมาชิกที่จัดตั้งผู้ส่งออกข้อมูล
ฉ) “มาตรการทางเทคนิคและองค์กรที่เกี่ยวข้องกับความปลอดภัย” หมายถึง มาตรการที่มุ่งหมายเพื่อปกป้องข้อมูลส่วนบุคคลจากการทำลายโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย หรือการสูญหายโดยไม่ได้ตั้งใจ การเปลี่ยนแปลง การเปิดเผยหรือการเข้าถึงโดยไม่ได้รับอนุญาต โดยเฉพาะอย่างยิ่งเมื่อการประมวลผลเกี่ยวข้องกับการส่งข้อมูลผ่านเครือข่าย และต่อต้าน การประมวลผลรูปแบบอื่นๆ ที่ผิดกฎหมายทั้งหมด
ข้อ 2
รายละเอียดการโอนเงิน
รายละเอียดของการถ่ายโอน รวมถึงข้อมูลส่วนบุคคลประเภทพิเศษตามความเหมาะสม ระบุไว้ในภาคผนวก 1 ซึ่งเป็นส่วนหนึ่งของข้อกำหนดเหล่านี้
ข้อ 3
มาตราผู้รับผลประโยชน์บุคคลที่สาม
1. เจ้าของข้อมูลอาจบังคับใช้กับผู้ส่งออกข้อมูลในข้อนี้ ข้อ 4(b) ถึง (i) ข้อ 5(a) ถึง (e) และ (g) ถึง (j) ข้อ 6 (1) และ (2 ) ข้อ 7 ข้อ 8(2) และข้อ 9 ถึง 12 ในฐานะผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม
2. เจ้าของข้อมูลอาจบังคับใช้ข้อกำหนดนี้ ข้อ 5 (a) ถึง (e) และ (g) ข้อ 6 ข้อ 7 ข้อ 8 (2) และข้อ 9 ถึง 12 กับผู้นำเข้าข้อมูลซึ่งผู้ส่งออกข้อมูลมีอยู่จริง หายตัวไปหรือไม่มีอยู่ในกฎหมาย เว้นแต่ภาระผูกพันทางกฎหมายทั้งหมดของเขาจะถูกโอนโดยสัญญาหรือโดยการดำเนินการของกฎหมาย ไปยังนิติบุคคลที่รับช่วงต่อ ซึ่งสิทธิ์และภาระหน้าที่ของผู้ส่งออกข้อมูลจึงเปลี่ยนกลับ และขัดต่อข้อมูลดังกล่าว เรื่องจึงสามารถบังคับใช้ข้อดังกล่าวได้
เจ้าของข้อมูลอาจบังคับใช้ข้อนี้ ข้อ 5 (a) ถึง (e) และ (g) ข้อ 6 ข้อ 7 ข้อ 8 (2) และข้อ 9 ถึง 12 กับผู้ประมวลผลข้อมูล แต่เฉพาะในกรณีที่ข้อมูล ผู้ส่งออกและผู้นำเข้าข้อมูลได้หายตัวไปทางกายภาพ หยุดอยู่ในกฎหมายหรือล้มละลาย เว้นแต่ภาระผูกพันทางกฎหมายทั้งหมดของผู้ส่งออกข้อมูลได้รับการถ่ายโอนโดยสัญญาหรือโดยการดำเนินการตามกฎหมาย ไปยังผู้สืบทอดทางกฎหมายซึ่งได้รับสิทธิ์และ ภาระหน้าที่ของผู้ส่งออกข้อมูลจึงตกเป็นกรรมสิทธิ์ และผู้ที่เจ้าของข้อมูลอาจบังคับใช้ข้อกำหนดดังกล่าวได้ ความรับผิดของผู้ประมวลผลข้อมูลดังกล่าวจะต้องจำกัดเฉพาะกิจกรรมการประมวลผลของตนเองภายใต้ข้อเหล่านี้
4. คู่สัญญาไม่คัดค้านเจ้าของข้อมูลที่แสดงโดยสมาคมหรือหน่วยงานอื่น ๆ หากเขาหรือเธอต้องการและหากกฎหมายภายในประเทศอนุญาต
ข้อ 4
ภาระหน้าที่ของผู้ส่งออกข้อมูล
ผู้ส่งออกข้อมูลยอมรับและรับประกันสิ่งต่อไปนี้:
ก) การประมวลผล รวมถึงการถ่ายโอนข้อมูลส่วนบุคคลที่แท้จริง ได้รับและจะยังคงดำเนินการต่อไปตามบทบัญญัติที่เกี่ยวข้องของกฎหมายคุ้มครองข้อมูลที่บังคับใช้ (และหากมีการแจ้งไปยังหน่วยงานที่มีอำนาจของรัฐสมาชิก ซึ่งผู้ส่งออกข้อมูลตั้งอยู่) และไม่ละเมิดข้อกำหนดที่เกี่ยวข้องของรัฐนั้น
ข) พวกเขาได้แนะนำ และจะสั่งให้ผู้นำเข้าข้อมูลประมวลผลข้อมูลส่วนบุคคลที่ถ่ายโอนในนามของผู้ส่งออกข้อมูลเพียงผู้เดียวตลอดระยะเวลาของบริการประมวลผลข้อมูลส่วนบุคคล และเป็นไปตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้และข้อเหล่านี้
c) ผู้นำเข้าข้อมูลจะจัดให้มีการป้องกันที่เพียงพอเกี่ยวกับมาตรการทางเทคนิคและความปลอดภัยขององค์กรตามที่ระบุไว้ในภาคผนวก 2 ของสัญญาปัจจุบัน
d) หลังจากประเมินข้อกำหนดของกฎหมายคุ้มครองข้อมูลที่บังคับใช้ มาตรการรักษาความปลอดภัยก็เพียงพอที่จะปกป้องข้อมูลส่วนบุคคลจากการทำลายโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย หรือการสูญหายโดยไม่ได้ตั้งใจ การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึง โดยเฉพาะอย่างยิ่งในกรณีที่การประมวลผลเกี่ยวข้องกับการส่งข้อมูล ผ่านเครือข่ายและต่อต้านรูปแบบการประมวลผลที่ผิดกฎหมายอื่น ๆ และรับรองระดับความปลอดภัยที่เหมาะสมกับความเสี่ยงที่แสดงโดยการประมวลผลและลักษณะของข้อมูลที่จะได้รับการป้องกัน โดยคำนึงถึงระดับของเทคโนโลยีและค่าใช้จ่ายในการดำเนินการ
จ) พวกเขาจะรับรองการปฏิบัติตามมาตรการรักษาความปลอดภัย
f) หากการถ่ายโอนเกี่ยวข้องกับข้อมูลประเภทพิเศษ เจ้าของข้อมูลได้รับแจ้งหรือจะได้รับแจ้งก่อนการถ่ายโอนหรือโดยเร็วที่สุดหลังจากการถ่ายโอนข้อมูลของตนอาจถูกถ่ายโอนไปยังประเทศที่สามที่ไม่ได้เสนอ ระดับการป้องกันที่เพียงพอตามความหมายของ Directive 95/46/EC
g) พวกเขาจะส่งต่อการแจ้งเตือนใด ๆ ที่ได้รับจากผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลใด ๆ ภายใต้ข้อ 5 (b) และ 8 (3) ไปยังหน่วยงานกำกับดูแลด้านการปกป้องข้อมูล หากตัดสินใจที่จะถ่ายโอนต่อหรือยกเลิกการระงับ
h) พวกเขาจะต้องจัดให้มีสำเนาของข้อกำหนดเหล่านี้หากพวกเขาร้องขอ ยกเว้นภาคผนวก 2 และคำอธิบายโดยสรุปของมาตรการรักษาความปลอดภัย และสำเนาของข้อตกลงการรับเหมาช่วงเพิ่มเติมใด ๆ ที่สรุปภายใต้ข้อกำหนดเหล่านี้ เว้นแต่ ข้อหรือข้อตกลงมีข้อมูลทางการค้าซึ่งในกรณีนี้เขาอาจถอนข้อมูลดังกล่าว
ฌ) ในกรณีของการจ้างช่วงกระบวนการประมวลผลข้อมูล กิจกรรมการประมวลผลจะดำเนินการตามข้อ 11 โดยผู้ประมวลผลข้อมูลที่ให้การคุ้มครองข้อมูลส่วนบุคคลและสิทธิของเจ้าของข้อมูลอย่างน้อยในระดับเดียวกับผู้นำเข้าข้อมูลภายใต้ข้อกำหนดเหล่านี้ ; และ
j) จะรับรองการปฏิบัติตามข้อ 4 (a) ถึง (i)
ข้อ 5
ภาระหน้าที่ของผู้นำเข้าข้อมูล
ผู้นำเข้าข้อมูลยอมรับและรับประกันสิ่งต่อไปนี้:
ก) พวกเขาจะประมวลผลข้อมูลส่วนบุคคลในนามของผู้ส่งออกข้อมูลเท่านั้นและภายใต้คำแนะนำของผู้ส่งออกข้อมูลและข้อเหล่านี้ หากไม่สามารถปฏิบัติตามได้ไม่ว่าด้วยเหตุผลใดๆ พวกเขาตกลงที่จะแจ้งให้ผู้ส่งออกข้อมูลทราบถึงความไม่สามารถใช้งานได้โดยเร็วที่สุด ซึ่งในกรณีนี้ ผู้ส่งออกข้อมูลอาจระงับการถ่ายโอนข้อมูลและ/หรือสิ้นสุดสัญญา
ข) พวกเขาไม่มีเหตุผลที่จะเชื่อว่ากฎหมายที่ใช้บังคับกับพวกเขาป้องกันไม่ให้เขาปฏิบัติตามคำแนะนำที่ได้รับจากผู้ส่งออกข้อมูลและภาระหน้าที่ที่ตกอยู่ภายใต้สัญญาและหากกฎหมายดังกล่าวอาจมีการเปลี่ยนแปลงซึ่งอาจมีผลเสียอย่างมีนัยสำคัญ ผลกระทบต่อการรับประกันและภาระผูกพันภายใต้เงื่อนไข เขาจะแจ้งให้ผู้ส่งออกข้อมูลทราบถึงการเปลี่ยนแปลงโดยไม่ชักช้าหลังจากทราบถึงการเปลี่ยนแปลง ในกรณีนี้ ผู้ส่งออกข้อมูลอาจระงับการถ่ายโอนข้อมูลและ/หรือสิ้นสุดสัญญา (c) พวกเขาได้ใช้มาตรการทางเทคนิคและความปลอดภัยขององค์กรที่ระบุไว้ในภาคผนวก 2 ก่อนประมวลผลข้อมูลส่วนบุคคลที่ถ่ายโอน
ง) พวกเขาจะแจ้งให้ผู้ส่งออกข้อมูลทราบโดยไม่ชักช้า:
i) คำขอที่มีผลผูกพันใดๆ สำหรับการเปิดเผยข้อมูลส่วนบุคคลจากหน่วยงานบังคับใช้กฎหมาย เว้นแต่จะระบุไว้เป็นอย่างอื่น เช่น การห้ามทางอาญาที่มุ่งรักษาความลับของการสอบสวนของตำรวจ
ii) การเข้าถึงโดยบังเอิญหรือไม่ได้รับอนุญาต; และ
iii) คำขอใด ๆ ที่ได้รับโดยตรงจากบุคคลที่เกี่ยวข้องโดยไม่ตอบกลับเว้นแต่เขาจะได้รับอนุญาตให้ทำเช่นนั้น ผู้ดูแลระบบ
จ) พวกเขาจะจัดการกับคำถามทั้งหมดจากผู้ส่งออกข้อมูลโดยทันทีและถูกต้องเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลที่จะถูกถ่ายโอน และจะดำเนินการภายใต้ความเห็นของหน่วยงานกำกับดูแลเกี่ยวกับการประมวลผลข้อมูลที่ถ่ายโอน
ฉ) ตามคำร้องขอของผู้ส่งออกข้อมูล พวกเขาจะให้สิ่งอำนวยความสะดวกในการประมวลผลข้อมูลตรวจสอบกิจกรรมการประมวลผลที่ครอบคลุมโดยข้อเหล่านี้เพื่อดำเนินการโดยผู้ส่งออกข้อมูลหรือหน่วยงานกำกับดูแลซึ่งประกอบด้วยสมาชิกอิสระที่มีคุณสมบัติทางวิชาชีพที่จำเป็น ภายใต้ภาระหน้าที่ของการรักษาความลับและเลือกโดยผู้ส่งออกข้อมูล ตามความเหมาะสมกับข้อตกลงของหน่วยงานกำกับดูแล
g) ข้อมูลเหล่านี้จะเผยแพร่แก่เจ้าของข้อมูล หากเขาร้องขอ สำเนาของข้อกำหนดเหล่านี้ หรือการทำสัญญาช่วงใดๆ ที่มีอยู่ของสัญญาการประมวลผลข้อมูล เว้นแต่ข้อกำหนดหรือสัญญาจะมีข้อมูลทางการค้า ซึ่งในกรณีนี้อาจลบข้อมูลดังกล่าว ข้อมูล ยกเว้นภาคผนวก 2 ซึ่งจะถูกแทนที่ด้วยคำอธิบายโดยสรุปของมาตรการความปลอดภัย ซึ่งเจ้าของข้อมูลไม่สามารถรับสำเนาจากผู้ส่งออกข้อมูล
h) ในกรณีของการจ้างช่วงการประมวลผลข้อมูลที่เป็นความลับต่อไป เขาจะตรวจสอบให้แน่ใจว่าได้แจ้งให้ผู้ส่งออกข้อมูลทราบล่วงหน้าและได้รับความยินยอมเป็นลายลักษณ์อักษรจากผู้ส่งออกข้อมูล
i) บริการประมวลผลที่จัดเตรียมโดยผู้ประมวลผลข้อมูลจะต้องปฏิบัติตามข้อ 11
ญ) พวกเขาจะส่งสำเนาของการทำสัญญาช่วงใด ๆ ของข้อตกลงการประมวลผลข้อมูลที่ทำขึ้นโดยข้อตกลงภายใต้ข้อกำหนดเหล่านี้ไปยังผู้ส่งออกข้อมูลโดยทันที
ข้อ 6
ความรับผิดชอบ
1. คู่สัญญาตกลงว่าเจ้าของข้อมูลที่ได้รับความเสียหายอันเนื่องมาจากการละเมิดภาระหน้าที่ที่อ้างถึงในข้อ 3 หรือข้อ 11 โดยฝ่ายหนึ่งหรือโดยผู้ประมวลผลข้อมูลอาจได้รับค่าชดเชยจากผู้ส่งออกข้อมูลสำหรับความเสียหายที่ได้รับ
2. หากเจ้าของข้อมูลถูกป้องกันไม่ให้ดำเนินการฟ้องร้องเรียกค่าเสียหายตามที่อ้างถึงในวรรค 1 กับผู้ส่งออกข้อมูลสำหรับความล้มเหลวโดยผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลในการปฏิบัติตามภาระผูกพันใด ๆ ภายใต้ข้อ 3 หรือข้อ 11 เนื่องจากข้อมูล ผู้ส่งออกหายตัวไปทางกายภาพ หยุดอยู่ในกฎหมายหรือล้มละลาย ผู้นำเข้าข้อมูลตกลงว่าเจ้าของข้อมูลอาจยื่นคำร้องเรียนราวกับว่าเป็นผู้ส่งออกข้อมูล เว้นแต่จะมีการโอนภาระผูกพันทางกฎหมายทั้งหมดของผู้ส่งออกข้อมูลตามสัญญา หรือโดยการดำเนินการของกฎหมาย ต่อหน่วยงานที่สืบทอด ซึ่งเจ้าของข้อมูลอาจบังคับใช้สิทธิ์ของเขา ผู้นำเข้าข้อมูลต้องไม่พึ่งพาการละเมิดหน้าที่โดยผู้ประมวลผลข้อมูลเพื่อหลีกเลี่ยงความรับผิดของตนเอง
3. หากเจ้าของข้อมูลถูกป้องกันไม่ให้ดำเนินการตามวรรค 1 และ 2 กับผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลสำหรับการละเมิดโดยผู้ประมวลผลข้อมูลของภาระผูกพันตามข้อ 3 หรือข้อ 11 เนื่องจากผู้ส่งออกข้อมูลและผู้นำเข้าข้อมูล หายตัวไปจริง หยุดอยู่ในกฎหมายหรือล้มละลาย ผู้ประมวลผลข้อมูลตกลงว่าเจ้าของข้อมูลอาจยื่นคำร้องเกี่ยวกับกิจกรรมการประมวลผลของตนเองตามวรรคเหล่านี้ราวกับว่าเป็นผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูล เว้นแต่ทั้งหมด ภาระหน้าที่ทางกฎหมายของผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลได้รับการโอนโดยสัญญาหรือโดยการดำเนินการตามกฎหมาย ไปยังผู้สืบทอดทางกฎหมาย ซึ่งเจ้าของข้อมูลอาจยืนยันสิทธิ์ของตนความรับผิดของผู้ประมวลผลข้อมูลจะต้องจำกัดเฉพาะกิจกรรมการประมวลผลของตนเองตามข้อกำหนดเหล่านี้
ข้อ 7
การไกล่เกลี่ยและเขตอำนาจศาล
1. ผู้นำเข้าข้อมูลตกลงว่าหากอยู่ภายใต้ข้อบังคับ เจ้าของข้อมูลเรียกร้องสิทธิ์ของบุคคลที่สามผู้รับผลประโยชน์และ/หรือเรียกร้องค่าชดเชยสำหรับความอยุติธรรมที่ได้รับ เขาจะยอมรับการตัดสินใจของเจ้าของข้อมูล:
ก) ยื่นข้อพิพาทเพื่อไกล่เกลี่ยโดยบุคคลอิสระหรือหน่วยงานกำกับดูแลตามความเหมาะสม
ข) นำข้อพิพาทไปสู่ศาลของประเทศสมาชิกที่ผู้ส่งออกข้อมูลตั้งอยู่
2. คู่สัญญาตกลงว่าการเลือกที่ทำโดยเจ้าของข้อมูลจะไม่ส่งผลกระทบต่อสิทธิ์ในกระบวนการหรือสาระสำคัญของเจ้าของข้อมูลเพื่อขอรับการแก้ไขตามบทบัญญัติอื่น ๆ ของกฎหมายในประเทศหรือกฎหมายระหว่างประเทศ
ข้อ 8
ความร่วมมือกับหน่วยงานกำกับดูแล
1. ผู้ส่งออกข้อมูลตกลงที่จะฝากสำเนาของสัญญาปัจจุบันกับหน่วยงานกำกับดูแลหากต้องการหรือหากการฝากดังกล่าวจัดทำขึ้นโดยกฎหมายคุ้มครองข้อมูลที่บังคับใช้
2. คู่สัญญาตกลงว่าหน่วยงานกำกับดูแลอาจดำเนินการตรวจสอบที่ผู้นำเข้าข้อมูลและผู้ประมวลผลข้อมูลใด ๆ ในขอบเขตเดียวกันและภายใต้เงื่อนไขเดียวกันกับการตรวจสอบที่ดำเนินการที่ผู้ส่งออกข้อมูลตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้
3. ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบโดยเร็วที่สุดว่ามีกฎหมายเกี่ยวกับผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลใด ๆ ที่ขัดขวางการตรวจสอบที่ผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลใด ๆ ตามวรรค 2 ในกรณีดังกล่าว ผู้ส่งออกข้อมูลอาจใช้มาตรการที่กำหนดไว้ในข้อ 5 (ข)
ข้อ 9
กฎหมายที่ใช้บังคับ
ข้อกำหนดนี้มีผลบังคับใช้และอยู่ภายใต้กฎหมายของประเทศสมาชิกที่ผู้ส่งออกข้อมูลตั้งอยู่
ข้อ 10
การแก้ไขสัญญา
คู่สัญญาทั้งสองฝ่ายจะไม่แก้ไขข้อกำหนดปัจจุบัน คู่สัญญายังคงมีอิสระที่จะรวมประโยคทางการค้าอื่น ๆ ที่พวกเขาเห็นว่าจำเป็น โดยต้องไม่ขัดแย้งกับประโยคปัจจุบัน
ข้อ 11
การรับเหมาช่วงต่อไป
1. ผู้นำเข้าข้อมูลจะไม่จ้างช่วงกิจกรรมการประมวลผลใด ๆ ที่ดำเนินการในนามของผู้ส่งออกข้อมูลภายใต้ข้อเหล่านี้โดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าจากผู้ส่งออกข้อมูล ผู้นำเข้าข้อมูลจะทำสัญญาช่วงภาระผูกพันของตนภายใต้เงื่อนไขเหล่านี้ ด้วยความยินยอมของผู้ส่งออกข้อมูล ผ่านข้อตกลงเป็นลายลักษณ์อักษรกับผู้ประมวลผลข้อมูลที่กำหนดภาระหน้าที่เดียวกันกับผู้ประมวลผลข้อมูลตามที่กำหนดไว้กับผู้นำเข้าข้อมูลภายใต้ข้อกำหนดเหล่านี้ หากผู้ประมวลผลข้อมูลไม่สามารถปฏิบัติตามภาระหน้าที่ในการปกป้องข้อมูลภายใต้ข้อตกลงที่เป็นลายลักษณ์อักษรนั้น ผู้นำเข้าข้อมูลจะยังคงรับผิดชอบอย่างเต็มที่ต่อผู้ส่งออกข้อมูลสำหรับการปฏิบัติตามภาระผูกพันเหล่านั้น
2. ข้อตกลงเป็นลายลักษณ์อักษรล่วงหน้าระหว่างผู้นำเข้าข้อมูลและผู้ประมวลผลข้อมูลจะรวมถึงประโยคผู้รับผลประโยชน์บุคคลที่สามตามที่กำหนดไว้ในข้อ 3 สำหรับกรณีที่เจ้าของข้อมูลไม่สามารถเรียกร้องค่าเสียหายที่อ้างถึงในข้อ 6 (1 ) กับผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลเนื่องจากผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลได้สูญหายไป หยุดอยู่ในกฎหมายหรือล้มละลาย และภาระผูกพันทางกฎหมายทั้งหมดของผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลยังไม่ได้รับการถ่ายโอน โดยสัญญาหรือโดยการดำเนินการ ของกฎหมายไปยังหน่วยงานที่สืบทอดอื่น ความรับผิดของผู้ประมวลผลข้อมูลจะต้องจำกัดเฉพาะกิจกรรมการประมวลผลของตนเองตามข้อกำหนดเหล่านี้
3. ข้อกำหนดเกี่ยวกับด้านการปกป้องข้อมูลของการทำสัญญาช่วงการประมวลผลข้อมูลของสัญญาที่อ้างถึงในวรรค 1 ให้อยู่ภายใต้กฎหมายของประเทศสมาชิกที่จัดตั้งผู้ส่งออกข้อมูล
4. ผู้ส่งออกข้อมูลจะต้องเก็บรายชื่อการทำสัญญาช่วงของข้อตกลงการประมวลผลข้อมูลที่ได้ข้อสรุปภายใต้เงื่อนไขเหล่านี้และแจ้งโดยผู้นำเข้าข้อมูลตามข้อ 5 (j) ซึ่งจะได้รับการปรับปรุงอย่างน้อยปีละครั้ง รายการนี้จะต้องเปิดเผยต่อหน่วยงานกำกับดูแลการปกป้องข้อมูลของผู้ส่งออกข้อมูล
ข้อ 12
ภาระผูกพันหลังจากสิ้นสุดบริการประมวลผลข้อมูลส่วนบุคคล
1. คู่สัญญาตกลงว่าเมื่อเสร็จสิ้นบริการประมวลผลข้อมูล ผู้นำเข้าข้อมูลและผู้ประมวลผลข้อมูลจะส่งคืนข้อมูลส่วนบุคคลทั้งหมดที่ถ่ายโอนและคัดลอกไปยังผู้ส่งออกข้อมูลตามความสะดวกของผู้ส่งออกข้อมูล หรือทำลายข้อมูลดังกล่าวทั้งหมดและแสดงหลักฐาน การทำลายข้อมูลของผู้ส่งออกข้อมูล เว้นแต่กฎหมายกำหนดไว้สำหรับผู้นำเข้าข้อมูลจะป้องกันไม่ให้ส่งคืนหรือทำลายข้อมูลส่วนบุคคลทั้งหมดหรือบางส่วนที่ถ่ายโอน ในกรณีดังกล่าว ผู้นำเข้าข้อมูลรับประกันว่าจะรักษาความลับของข้อมูลส่วนบุคคลที่ถ่ายโอน และจะไม่ประมวลผลข้อมูลอย่างจริงจังอีกต่อไป
2. ผู้นำเข้าข้อมูลและผู้ประมวลผลข้อมูลจะต้องตรวจสอบให้แน่ใจว่าหากได้รับการร้องขอจากผู้ส่งออกข้อมูลและ/หรือหน่วยงานกำกับดูแล พวกเขาจะใช้วิธีการประมวลผลข้อมูลเพื่อตรวจสอบมาตรการที่อ้างถึงในวรรค 1
ภาคผนวก 1.1 ถึงส่วนที่ 2
รายละเอียดการโอนเงิน
ผู้ส่งออกข้อมูล
ผู้ส่งออกข้อมูลคือลูกค้าที่กำหนดไว้ในข้อตกลงตามสัญญา
ตัวนำเข้าข้อมูล
ผู้นำเข้าข้อมูลคือ IQUALIF และได้รับมอบหมายให้ประมวลผลข้อมูล โดยให้บริการแก่ผู้ส่งออกข้อมูล
หัวเรื่องของข้อมูล
ข้อมูลส่วนบุคคลที่ถ่ายโอนเกี่ยวข้องกับหมวดหมู่ต่อไปนี้ของเจ้าของข้อมูล:
˜' สมาชิกโทรศัพท์ที่ระบุไว้ในไดเร็กทอรีสากล
˜ อื่น ๆ รวมถึง:
หมวดหมู่ของข้อมูล
ข้อมูลส่วนบุคคลที่ถ่ายโอนเกี่ยวข้องกับข้อมูลประเภทต่อไปนี้:
หมวดหมู่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลของผู้ส่งออกข้อมูลโดยเฉพาะ
˜ชื่อเต็ม
˜ที่อยู่ไปรษณีย์
˜' รายละเอียดการติดต่อ (อีเมล, โทรศัพท์, ที่อยู่ IP, ฯลฯ )
˜' รายละเอียดกิจกรรมทางการตลาดเกี่ยวกับผู้ใช้บริการโทรศัพท์
• อื่นๆ รวมทั้งประเภทที่อยู่อาศัย รายได้ และอายุเฉลี่ยตามเมืองที่ทำโดยไม่ระบุชื่อ
หมวดหมู่ข้อมูลพิเศษ (ถ้ามี)
ข้อมูลส่วนบุคคลที่ถ่ายโอนเกี่ยวข้องกับข้อมูลประเภทพิเศษต่อไปนี้:
˜' การถ่ายโอนข้อมูลประเภทพิเศษไม่ได้คาดการณ์ไว้
˜ เชื้อชาติหรือแหล่งกำเนิดทางชาติพันธุ์
˜ ความเชื่อทางศาสนาหรือปรัชญา
˜ สมาชิกสหภาพแรงงาน
˜ มุมมองทางการเมือง
˜ ข้อมูลทางพันธุกรรม
˜ข้อมูลไบโอเมตริกซ์
˜ ข้อมูลเกี่ยวกับรสนิยมทางเพศหรือชีวิตทางเพศ
˜ ข้อมูลสุขภาพ
กิจกรรมแปรรูป
ข้อมูลส่วนบุคคลที่ถ่ายโอนจะอยู่ภายใต้กิจกรรมการประมวลผลพื้นฐานต่อไปนี้:
การประมวลผลที่ดำเนินการในนามของผู้ส่งออกข้อมูลจะขึ้นอยู่กับหัวข้อต่อไปนี้ โดยเฉพาะ:
˜' รับผิดชอบผลิตภัณฑ์หรือบริการที่นำเสนอโดยผู้ส่งออกข้อมูล
˜' ข้อเสนอของผลิตภัณฑ์หรือบริการที่ผู้ถูกเรียกสามารถร้องขอได้
˜' คำสั่งที่นำมาจากบุคคลที่เรียกและดำเนินการต่อไปของคำสั่งเหล่านี้
˜' ศึกษาแบบสอบถามและการวิเคราะห์
˜' การตลาดทางโทรศัพท์
˜ อื่น ๆ รวมถึง:
ผู้นำเข้าข้อมูลจะประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลในนามของผู้ส่งออกข้อมูล เพื่อให้บริการดังต่อไปนี้ และที่สะดุดตาที่สุด:
˜' การขายและการตลาด
˜' อื่น ๆ รวมถึงการอัพเดทฐานข้อมูลของศาลากลางและพรรคการเมือง
IQUALIF ส่วนใหญ่รวม รวบรวม และให้บริการแก่ผู้ส่งออกข้อมูล บริการที่ให้บริการโดยผู้ให้บริการที่ระบุชื่ออาจมีโครงสร้าง (นอกเหนือจากอื่น ๆ ตามความเหมาะสม) รอบ ๆ บริการเสริมต่อไปนี้: (i) การจัดหาแอปพลิเคชัน เครื่องมือ ระบบ และโครงสร้างพื้นฐานด้านไอทีที่เกี่ยวข้องกับศูนย์ประมวลผลข้อมูลที่ใช้เพื่อให้ และสนับสนุนบริการ รวมถึงการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลตามที่อธิบายไว้ข้างต้น ผ่านแอปพลิเคชัน เครื่องมือ และระบบดังกล่าว (ii) การจัดหาการสนับสนุนด้านไอที การบำรุงรักษา และบริการอื่นๆ ที่เกี่ยวข้องกับแอปพลิเคชัน เครื่องมือ ระบบดังกล่าว และโครงสร้างพื้นฐานด้านไอที รวมถึงการเข้าถึงข้อมูลส่วนบุคคลที่เก็บไว้ในแอปพลิเคชัน เครื่องมือ และระบบดังกล่าว และ (iii) การจัดหาบริการปกป้องข้อมูล การตรวจสอบการป้องกัน และบริการตอบสนองต่อเหตุการณ์ รวมถึงการเข้าถึงข้อมูลส่วนบุคคลที่อาจเกิดขึ้นเมื่อให้บริการป้องกันดังกล่าว IQUALIF อาจว่าจ้างผู้ประมวลผลข้อมูลตามที่กำหนดไว้ด้านล่างเพื่อให้บริการ ซึ่งรวมถึงบริการเสริม
IQUALIF ว่าจ้างผู้ให้บริการภายนอกและบุคคลที่สาม ซึ่งไม่ใช่บริษัทในเครือของ IQUALIF เพื่อสนับสนุนการให้บริการแก่ผู้ส่งออกข้อมูล ผู้ส่งออกข้อมูลอนุมัติผู้ให้บริการบุคคลที่สามภายนอกดังกล่าวเป็นหน่วยงานย่อยที่กำหนดให้กับการประมวลผลข้อมูล
หากหน่วยงานย่อยที่เกี่ยวข้องกับการประมวลผลข้อมูลตั้งอยู่นอก EU/EEA ในประเทศที่ถือว่าไม่มีระดับการปกป้องข้อมูลที่เพียงพอภายใต้การตัดสินใจของคณะกรรมาธิการยุโรป ผู้นำเข้าข้อมูลจะดำเนินการเพื่อให้ได้ระดับที่เพียงพอ การปกป้องข้อมูลตาม GDPR และมาตรา 3.4 (iv) ของส่วนที่ 1
ภาคผนวก 2 ตอนที่ 2
มาตรการป้องกันทางเทคนิคและองค์กร
ผู้นำเข้าข้อมูลจะใช้มาตรการทางเทคนิคและการป้องกันเชิงองค์กรที่ได้รับการยืนยันโดยผู้ส่งออกข้อมูล เพื่อรับประกันระดับความปลอดภัยที่เหมาะสมสำหรับสิทธิ์และเสรีภาพของบุคคล ทั้งนี้ขึ้นอยู่กับความเสี่ยง ในการประเมินระดับการป้องกันที่เกี่ยวข้อง ผู้ส่งออกข้อมูลได้พิจารณาโดยเฉพาะความเสี่ยงที่เกี่ยวข้องกับการประมวลผล ซึ่งรวมถึงการทำลายโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลส่วนบุคคลที่ส่ง จัดเก็บ หรือประมวลผล โดยการชี้แจง: มาตรการทางเทคนิคและการป้องกันองค์กรเหล่านี้ใช้ไม่ได้กับแอปพลิเคชัน เครื่องมือ ระบบ และ/หรือโครงสร้างพื้นฐานด้านไอทีที่ Data Exporter ให้บริการ
1 มาตรการป้องกันทางเทคนิคและองค์กรทั่วไป |
1.1 ข้อมูลทั่วไปและกลยุทธ์การปกป้องข้อมูล |
ควรดำเนินการตามขั้นตอนต่อไปนี้เพื่อปฏิบัติตามข้อมูลทั่วไปและกลยุทธ์การปกป้องข้อมูล: |
|
|
|
|
|
1.2 องค์กรคุ้มครองข้อมูล |
ควรใช้มาตรการต่อไปนี้เพื่อประสานงานข้อมูลและกิจกรรมการปกป้องข้อมูล: |
|
|
|
1.3 การควบคุมการเข้าถึงพื้นที่การประมวลผล |
ต้องใช้มาตรการต่อไปนี้เพื่อป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าถึงระบบประมวลผลข้อมูล (โดยเฉพาะซอฟต์แวร์และฮาร์ดแวร์) เมื่อข้อมูลส่วนบุคคลได้รับการประมวลผล จัดเก็บ หรือส่ง: |
|
|
|
|
1.4 การควบคุมการเข้าถึงระบบประมวลผลข้อมูล |
ต้องใช้มาตรการต่อไปนี้เพื่อป้องกันการเข้าถึงระบบประมวลผลข้อมูลโดยไม่ได้รับอนุญาต: |
|
|
|
|
|
|
1.5 การควบคุมการเข้าถึงพื้นที่เฉพาะของการใช้ระบบประมวลผลข้อมูล |
ต้องใช้มาตรการต่อไปนี้เพื่อให้แน่ใจว่าผู้มีอำนาจที่มีสิทธิ์ใช้ระบบการประมวลผลข้อมูลสามารถเข้าถึงข้อมูลได้เฉพาะภายในความรับผิดชอบและการอนุญาตในการเข้าถึงเท่านั้น และข้อมูลส่วนบุคคลไม่สามารถอ่าน คัดลอก แก้ไข หรือลบโดยไม่ได้รับอนุญาต: |
|
|
|
|
|
|
|
1.6 การควบคุมการส่งกำลัง |
ต้องใช้มาตรการต่อไปนี้เพื่อป้องกันไม่ให้ข้อมูลส่วนบุคคลถูกอ่าน คัดลอก แก้ไข หรือลบโดยบุคคลที่สามที่ไม่ได้รับอนุญาตในระหว่างการส่งหรือขนส่งอุปกรณ์จัดเก็บข้อมูล (ขึ้นอยู่กับการประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการ): |
|
|
|
1.7 การควบคุมการป้อนข้อมูล |
ต้องใช้มาตรการต่อไปนี้เพื่อให้แน่ใจว่าเป็นไปได้ที่จะตรวจสอบและพิจารณาว่าข้อมูลส่วนบุคคลถูกป้อนหรือลบออกจากระบบประมวลผลข้อมูลและโดยใคร: |
|
|
1.8 การควบคุมงาน |
ในกรณีของการประมวลผลข้อมูลส่วนบุคคลที่ได้รับมอบหมาย ต้องใช้มาตรการต่อไปนี้เพื่อให้แน่ใจว่าข้อมูลดังกล่าวได้รับการประมวลผลตามคำแนะนำของหัวหน้างาน: |
|
|
|
|
1.9 การแยกจากการประมวลผลเพื่อวัตถุประสงค์อื่น |
ต้องใช้มาตรการต่อไปนี้เพื่อให้แน่ใจว่าข้อมูลที่รวบรวมเพื่อวัตถุประสงค์อื่นสามารถประมวลผลแยกกันได้: |
|
|
1.10 นามแฝง |
ต้องใช้มาตรการต่อไปนี้เกี่ยวกับการใช้นามแฝงของข้อมูลส่วนบุคคล: |
|
|
1.11 การเข้ารหัส |
ควรทำตามขั้นตอนต่อไปนี้เพื่อเข้ารหัสข้อมูลส่วนบุคคลในแอปพลิเคชันและการส่งสัญญาณที่รองรับการเข้ารหัส:
|
|
|
1.12 ความสมบูรณ์ของระบบและบริการประมวลผลข้อมูล |
ต้องใช้มาตรการต่อไปนี้เพื่อให้แน่ใจว่าระบบและบริการประมวลผลข้อมูลสมบูรณ์: |
|
|
|
1.13 ความพร้อมใช้งานของระบบและบริการประมวลผลข้อมูลและความเป็นไปได้ในการกู้คืนการเข้าถึงและการใช้ข้อมูลส่วนบุคคลในกรณีที่มีเนื้อหาหรือเหตุการณ์ทางเทคนิค |
ต้องใช้มาตรการต่อไปนี้เพื่อให้มั่นใจว่าระบบประมวลผลข้อมูลมีพร้อมใช้ ตลอดจนสามารถกู้คืนความพร้อมใช้งานและการเข้าถึงข้อมูลส่วนบุคคลได้อย่างรวดเร็ว ในกรณีที่มีวัตถุหรือเหตุการณ์ทางเทคนิค (โดยเฉพาะอย่างยิ่งโดยการทำให้มั่นใจว่า ข้อมูลส่วนบุคคลได้รับการคุ้มครองจากการถูกทำลายหรือสูญหายโดยไม่ได้ตั้งใจ): |
|
|
|
|
|
|
|
1.14 ความยืดหยุ่นของระบบและบริการประมวลผลข้อมูล |
ต้องใช้มาตรการต่อไปนี้เพื่อให้แน่ใจว่าระบบและบริการประมวลผลข้อมูลมีความยืดหยุ่น: |
|
|
|
1.15 ขั้นตอนการทดสอบ ประเมิน และประเมินประสิทธิผลของมาตรการทางเทคนิคและองค์กรอย่างสม่ำเสมอ เพื่อความปลอดภัยของการประมวลผลข้อมูล |
ขั้นตอนการทดสอบ ประเมิน และประเมินประสิทธิภาพของมาตรการทางเทคนิคและองค์กรอย่างสม่ำเสมอเพื่อปกป้องการประมวลผลข้อมูล |
|
|
|
ตอนที่ 3
ลายเซ็นของคู่สัญญาและรายชื่อผู้นำเข้าข้อมูล
เมื่อคุณกรอกแบบฟอร์มการสั่งซื้อออนไลน์และยืนยันโดยทำเครื่องหมายในช่องยอมรับข้อกำหนดและเงื่อนไขการใช้งานทั่วไป สัญญาที่ควบคุมความสัมพันธ์ระหว่างลูกค้าและ IQUALIF จะถูกสร้างขึ้น
การส่งเงินให้ IQUALIF จะพิจารณาสัญญาที่ตกลงและจัดตั้งขึ้น
จดบันทึก: ข้อความนี้ได้รับการแปลจากภาษาฝรั่งเศส เวอร์ชันภาษาฝรั่งเศสดั้งเดิมซึ่งมีผลใช้บังคับและถูกกฎหมาย มีให้ที่นี่