ภาคผนวกการคุ้มครองข้อมูล

ภาคผนวกการคุ้มครองข้อมูลนี้ ("ภาคผนวก") ร่วมกับเอกสารอื่นๆ รวมถึงแต่ไม่จำกัดเพียง ข้อตกลงผู้ใช้ปลายทางและคำสั่งซื้อเป็นส่วนหนึ่งของ ("ข้อตกลง") ระหว่าง Stellar Cyber ​​Inc. และบริษัทในเครือ ("สเตลลาร์ ไซเบอร์") และลูกค้าและบริษัทในเครือ ("ลูกค้า"). คู่สัญญาตกลงว่าภาคผนวกนี้กำหนดภาระหน้าที่เกี่ยวกับการประมวลผลและความปลอดภัยของข้อมูลลูกค้าที่เกี่ยวข้องกับการใช้สิ่งที่ส่งมอบของลูกค้า ข้อกำหนดที่กำหนดไว้ในภาคผนวกนี้จะมีความหมายที่กำหนดไว้ในภาคผนวก คำที่ใช้อักษรตัวพิมพ์ใหญ่ซึ่งไม่ได้กำหนดไว้เป็นอย่างอื่นในที่นี้จะมีความหมายตามที่กำหนดไว้ในข้อตกลงผู้ใช้ปลายทางและ/หรือคำสั่งซื้อ ยกเว้นที่มีการแก้ไขด้านล่าง ข้อกำหนดของข้อตกลงจะยังคงมีผลบังคับโดยสมบูรณ์ ในการพิจารณาภาระผูกพันร่วมกันที่กำหนดไว้ในที่นี้ คู่สัญญาทั้งสองฝ่ายตกลงที่จะเพิ่มข้อกำหนดและเงื่อนไขด้านล่างเป็นส่วนเพิ่มเติมของข้อตกลง ยกเว้นในกรณีที่บริบทกำหนดให้เป็นอย่างอื่น การอ้างอิงในภาคผนวกของข้อตกลงนี้เป็นข้อตกลงที่แก้ไขโดยและรวมถึงภาคผนวกนี้ ภาคผนวกนี้ รวมถึง Standard Contractual Clauses ที่พบใน Exhibit 3 ได้รับการลงนามล่วงหน้าโดย Stellar Cyber เมื่อ Stellar Cyber ​​ได้รับภาคผนวกที่กรอกอย่างถูกต้องโดยอีเมลที่ส่งไปยัง po@stellarcyber.aiภาคผนวกนี้จะมีผลผูกพันตามกฎหมาย โดยมีเงื่อนไขว่าภาคผนวกที่ลงนามล่วงหน้านี้จะเป็นโมฆะและถือเป็นโมฆะหากมีการเปลี่ยนแปลงใด ๆ นอกเหนือจากที่ลูกค้ากรอกข้อมูลติดต่อพื้นฐานที่จำเป็นในข้อสัญญามาตรฐานและกล่องลายเซ็น

  1. คำจำกัดความ

    1. ในภาคผนวกนี้คำศัพท์ต่อไปนี้จะมีความหมายตามที่ระบุไว้ด้านล่างและคำศัพท์เกี่ยวกับความรู้ความเข้าใจจะต้องตีความตาม:
      1. "กฎหมายที่ใช้บังคับ" หมายถึง (a) กฎหมายคุ้มครองข้อมูลของยุโรป และ (b) กฎหมายคุ้มครองข้อมูลที่ไม่ใช่ของยุโรป
      2. “พันธมิตร" หมายถึง นิติบุคคลที่เป็นเจ้าของหรือควบคุม เป็นเจ้าของหรือควบคุมโดยหรืออยู่ภายใต้การควบคุมหรือความเป็นเจ้าของร่วมกับฝ่ายในที่นี้ โดยที่การควบคุมหมายถึงการครอบครองทั้งทางตรงและทางอ้อมของอำนาจในการสั่งการหรือก่อให้เกิดทิศทางของ การจัดการและนโยบายของกิจการ ไม่ว่าจะผ่านการเป็นเจ้าของหลักทรัพย์ที่มีสิทธิออกเสียง ตามสัญญาหรืออย่างอื่น
      3. "ข้อมูลส่วนบุคคลของลูกค้า" หมายถึงข้อมูลส่วนบุคคลใด ๆ ที่ประมวลผลโดยผู้ประมวลผลตามสัญญาในนามของลูกค้าตามหรือเกี่ยวข้องกับข้อตกลง
      4. "ผู้ประมวลผลตามสัญญา" หมายถึง Stellar Cyber ​​หรือผู้ประมวลผลช่วงของ Stellar Cyber
      5. “สินค้าพร้อมส่ง” หมายถึงบริการและกิจกรรมอื่น ๆ ที่จะจัดหาหรือดำเนินการโดยหรือในนามของ Stellar Cyber ​​สำหรับลูกค้าตามข้อตกลง
      6. "อี" หมายความว่า เขตเศรษฐกิจยุโรป
      7. "กฎหมายคุ้มครองข้อมูลของยุโรป" หมายถึง ตามความเหมาะสม: (i) GDPR (ii) GDPR ของสหราชอาณาจักร และ/หรือ (iii) FDPA ของสวิส
      8. "GDPR" หมายถึง กฎระเบียบคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป 2016/679
      9. "กฎหมายคุ้มครองข้อมูลที่ไม่ใช่ของยุโรป" หมายถึงกฎหมายและข้อบังคับทั้งหมดที่ใช้กับข้อมูลส่วนบุคคลของลูกค้าที่ประมวลผล Stellar Cyber ​​ภายใต้ข้อตกลงที่บังคับใช้นอก EEA สหราชอาณาจักร และสวิตเซอร์แลนด์
      10. "จำกัดการโอน" วิธี:
        1. การถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าจากลูกค้าไปยังผู้ประมวลผลตามสัญญา หรือ
        2. การโอนข้อมูลส่วนบุคคลของลูกค้าจากผู้ประมวลผลตามสัญญาไปยังผู้ประมวลผลตามสัญญา หรือระหว่างสถานประกอบการสองแห่งของผู้ประมวลผลตามสัญญา ในแต่ละกรณี ซึ่งการถ่ายโอนดังกล่าวจะถูกห้ามโดยกฎหมายที่บังคับใช้ (หรือโดยเงื่อนไขของข้อตกลงการถ่ายโอนข้อมูลที่บังคับใช้ เพื่อระบุข้อ จำกัด ในการถ่ายโอนข้อมูลของกฎหมายที่บังคับใช้) ในกรณีที่ไม่มีข้อสัญญามาตรฐานที่จะกำหนดขึ้นภายใต้หัวข้อ 11 ด้านล่าง
      11. “ข้อสัญญามาตรฐาน” หมายถึงข้อสัญญาที่กำหนดไว้ในเอกสารแนบ 3 สำหรับเจ้าของข้อมูลในสหภาพยุโรปที่อยู่ใน EEA และสวิตเซอร์แลนด์ และเอกสารแนบ 4 สำหรับเจ้าของข้อมูลที่อยู่ในสหราชอาณาจักร
      12. "ผู้ประมวลผลข้อมูลย่อย" หมายถึงบุคคลใด ๆ (รวมถึงบุคคลที่สาม แต่ไม่รวมพนักงานของ Stellar Cyber ​​หรือผู้รับเหมาช่วงใด ๆ ) ที่ได้รับการแต่งตั้งโดยหรือในนามของ Stellar Cyber ​​เพื่อประมวลผลข้อมูลส่วนบุคคลในนามของลูกค้าในส่วนที่เกี่ยวข้องกับข้อกำหนดของสิ่งที่ส่งมอบของ Stellar Cyber ​​ภายใต้ ข้อตกลงดังกล่าว; และ
      13. "FDPA ของสวิส" หมายถึงพระราชบัญญัติคุ้มครองข้อมูลของรัฐบาลกลาง ลงวันที่ 19 มิถุนายน พ.ศ. 1992 (สวิตเซอร์แลนด์) และ
      14. " GDPR ของสหราชอาณาจักร" หมายถึง GDPR ของสหภาพยุโรปที่แก้ไขและรวมไว้ในกฎหมายของสหราชอาณาจักรภายใต้พระราชบัญญัติสหภาพยุโรป (การถอนตัว) ของสหราชอาณาจักรในปี 2018 และกฎหมายรองที่บังคับใช้ภายใต้กฎหมายเดียวกัน
    2. เงื่อนไข, "ค่าคอมมิชชั่น", "ผู้ควบคุม", "เจ้าของข้อมูล", "รัฐสมาชิก", "ข้อมูลส่วนบุคคล", "การละเมิดข้อมูลส่วนบุคคล", "การประมวลผล" และ “หน่วยงานกำกับดูแล” จะมีความหมายเช่นเดียวกับใน GDPR และเงื่อนไขการรับรู้ของพวกเขาจะได้รับการตีความตามนั้น

  2. การประมวลผลข้อมูลส่วนบุคคลของลูกค้า

    1. หากกฎหมายคุ้มครองข้อมูลของยุโรปมีผลบังคับใช้กับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า:
      1. หัวข้อเรื่องและรายละเอียดของการประมวลผลได้อธิบายไว้ในเอกสารแนบ 1;
      2. Stellar Cyber ​​เป็นผู้ประมวลผลข้อมูลส่วนบุคคลของลูกค้าภายใต้กฎหมายคุ้มครองข้อมูลของยุโรป
      3. ลูกค้าเป็นผู้ควบคุมหรือประมวลผลข้อมูลส่วนบุคคลของลูกค้าภายใต้กฎหมายคุ้มครองข้อมูลของยุโรป
      4. แต่ละฝ่ายจะปฏิบัติตามภาระผูกพันที่บังคับใช้ภายใต้กฎหมายคุ้มครองข้อมูลของยุโรปในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้ารายนั้น
    2. หากกฎหมายคุ้มครองข้อมูลที่ไม่ใช่ของยุโรปบังคับใช้กับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าฝ่ายใดฝ่ายหนึ่ง ฝ่ายที่เกี่ยวข้องจะปฏิบัติตามภาระหน้าที่ที่บังคับใช้ภายใต้กฎหมายนั้นในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้านั้น
    3. Stellar Cyber ​​จะต้อง:
      1. ไม่ประมวลผลข้อมูลส่วนบุคคลของลูกค้านอกเหนือจากการจัดหาสิ่งที่ส่งมอบตามข้อตกลง (รวมถึงตามที่กำหนดไว้ในภาคผนวกนี้และตามที่อธิบายไว้ในเอกสารแนบที่ 1 ของภาคผนวกนี้) เว้นแต่จะมีการดำเนินการตามกฎหมายที่บังคับใช้ซึ่งผู้ประมวลผลตามสัญญาที่เกี่ยวข้องอยู่ภายใต้บังคับ ("วัตถุประสงค์ที่ได้รับอนุญาต") ซึ่งในกรณีนี้ Stellar Cyber ​​จะต้องแจ้งให้ลูกค้าทราบถึงข้อกำหนดทางกฎหมายนั้นก่อนการประมวลผลที่เกี่ยวข้องของข้อมูลส่วนบุคคลของลูกค้านั้นในขอบเขตที่กฎหมายอนุญาต และ
      2. แจ้งให้ลูกค้าทราบทันทีหากในความเห็นของ Stellar Cyber ​​กฎหมายคุ้มครองข้อมูลของยุโรปห้ามไม่ให้ Stellar Cyber ​​ปฏิบัติตามวัตถุประสงค์ที่ได้รับอนุญาตหรือ Stellar Cyber ​​ไม่สามารถปฏิบัติตามวัตถุประสงค์ที่ได้รับอนุญาตได้ ส่วนนี้ไม่ลดสิทธิ์หรือภาระผูกพันของฝ่ายใดฝ่ายหนึ่งในส่วนอื่นของข้อตกลง
    4. ลูกค้าขอ:
      1. สั่งให้ Stellar Cyber ​​(และอนุญาตให้ Stellar Cyber ​​สั่งให้ผู้ประมวลผลข้อมูลย่อยแต่ละราย) ประมวลผลข้อมูลส่วนบุคคลของลูกค้าตามวัตถุประสงค์ที่ได้รับอนุญาต และ
      2. รับประกันและแสดงว่าเป็นและจะได้รับอนุญาตอย่างถูกต้องและมีประสิทธิภาพตลอดเวลาเพื่อให้คำสั่งที่กำหนดไว้ในที่นี้ในนามของลูกค้าที่เกี่ยวข้องหรือลูกค้าในเครือแต่ละรายที่เกี่ยวข้อง:

  3. บุคลากรไซเบอร์ดาวฤกษ์

    Stellar Cyber ​​จะต้องดำเนินการตามขั้นตอนที่เหมาะสมเพื่อให้มั่นใจในความน่าเชื่อถือของพนักงาน ตัวแทน หรือผู้รับเหมาของผู้ประมวลผลตามสัญญาที่อาจมีสิทธิ์เข้าถึงข้อมูลส่วนบุคคลของลูกค้า เพื่อให้มั่นใจว่าในแต่ละกรณีการเข้าถึงจะถูกจำกัดอย่างเคร่งครัดเฉพาะบุคคลที่จำเป็นต้องรู้/เข้าถึง ข้อมูลส่วนบุคคลของลูกค้าที่เกี่ยวข้อง ตามความจำเป็นอย่างเคร่งครัดสำหรับวัตถุประสงค์ของข้อตกลง และเพื่อให้สอดคล้องกับกฎหมายที่บังคับใช้ในบริบทของหน้าที่ของบุคคลนั้นต่อผู้ดำเนินการตามสัญญา เพื่อให้มั่นใจว่าบุคคลดังกล่าวทั้งหมดอยู่ภายใต้การดำเนินการรักษาความลับหรือภาระหน้าที่ทางวิชาชีพหรือตามกฎหมายของการรักษาความลับ .

  4. ⁠ความปลอดภัย

    1. Stellar Cyber ​​จะใช้และคงไว้ซึ่งมาตรการทางเทคนิคและเชิงองค์กรที่กำหนดไว้ในเอกสารแนบที่ 1 (“มาตรการรักษาความปลอดภัย”) Stellar Cyber ​​อาจอัปเดตมาตรการรักษาความปลอดภัยเป็นครั้งคราวโดยมีเงื่อนไขว่าการอัปเดตดังกล่าวไม่ส่งผลให้ความปลอดภัยของสิ่งที่ส่งมอบลดลง
    2. ในการประเมินระดับความปลอดภัยที่เหมาะสม Stellar Cyber ​​จะต้องคำนึงถึงความเสี่ยงที่การประมวลผลนำเสนอโดยเฉพาะจากการละเมิดข้อมูลส่วนบุคคล

  5. การประมวลผลย่อย

    1. ลูกค้าอนุญาตให้ Stellar Cyber ​​แต่งตั้ง (และอนุญาตให้ผู้ประมวลผลช่วงแต่ละรายที่ได้รับการแต่งตั้งตามส่วนที่ 5 นี้แต่งตั้ง) ผู้ประมวลผลช่วงตามส่วนที่ 5 นี้ และข้อจำกัดใด ๆ ในข้อตกลง Stellar Cyber ​​จะเปิดเผยรายชื่อผู้ประมวลผลช่วงปัจจุบันที่กำลังประมวลผลข้อมูลส่วนบุคคลของลูกค้าให้กับลูกค้า ซึ่งแนบมาในภาคผนวกที่ 3 ของเอกสารแนบ 30 Stellar Cyber ​​จะต้องแจ้งให้ลูกค้าทราบล่วงหน้าเป็นลายลักษณ์อักษรเกี่ยวกับการแต่งตั้งผู้ประมวลผลช่วงรายใหม่ รวมถึงรายละเอียดของการประมวลผลที่จะเป็น ดำเนินการโดยผู้ประมวลผลช่วง หากภายในสามสิบ (30) วันหลังจากได้รับหนังสือแจ้งดังกล่าว ลูกค้าจะแจ้ง Stellar Cyber ​​ทราบเป็นลายลักษณ์อักษรถึงข้อคัดค้านใด ๆ ต่อการนัดหมายที่เสนอ และให้เหตุผลที่สมเหตุสมผลในเชิงพาณิชย์เพิ่มเติมสำหรับการคัดค้านดังกล่าวโดยอิงตามข้อกังวลที่ถูกต้องเกี่ยวกับการดำเนินธุรกิจของผู้ประมวลผลช่วงที่เสนอดังกล่าวที่เกี่ยวข้องกับข้อมูล การป้องกัน ดังนั้น (i) Stellar Cyber ​​จะทำงานร่วมกับลูกค้าโดยสุจริตเพื่อจัดการกับข้อคัดค้านของลูกค้าเกี่ยวกับผู้ประมวลผลช่วงรายใหม่ และ (ii) ในกรณีที่ข้อกังวลของลูกค้าไม่สามารถแก้ไขได้ภายในสามสิบ (XNUMX) วันนับจากที่ Stellar Cyber ​​ได้รับหนังสือแจ้งจากลูกค้า โดยไม่คำนึงถึงสิ่งใดในข้อตกลง ลูกค้าสามารถบอกกล่าวเป็นลายลักษณ์อักษรให้ Stellar Cyber ​​โดยมีผลทันที ยกเลิกข้อตกลงและ Stellar Cyber ​​จะคืนเงินค่าธรรมเนียมที่ชำระล่วงหน้าทั้งหมดให้กับลูกค้าตามระยะเวลาที่ส่งมอบ (ตามที่ระบุไว้ในคำสั่งซื้อที่เกี่ยวข้อง) หลังจากการยุติข้อตกลง
    2. ในส่วนที่เกี่ยวกับผู้ให้บริการช่วงแต่ละราย Stellar Cyber ​​จะต้อง:
      1. ก่อนที่ผู้ประมวลผลข้อมูลช่วงจะประมวลผลข้อมูลส่วนบุคคลของลูกค้าในขั้นแรก ให้ดำเนินการตรวจสอบวิเคราะห์สถานะอย่างเพียงพอเพื่อให้แน่ใจว่าผู้ประมวลผลช่วงสามารถให้ระดับการป้องกันสำหรับข้อมูลส่วนบุคคลของลูกค้าตามที่ข้อตกลงกำหนด
      2. ตรวจสอบให้แน่ใจว่าการจัดเตรียมระหว่าง (a) Stellar Cyber ​​หรือ (b) ตัวประมวลผลย่อยระดับกลางที่เกี่ยวข้อง; และในทางกลับกัน ผู้ประมวลผลช่วงนั้นถูกควบคุมโดยสัญญาที่เป็นลายลักษณ์อักษรรวมถึงข้อกำหนดที่เสนอการปกป้องข้อมูลส่วนบุคคลของลูกค้าในระดับเดียวกับที่กำหนดไว้ในภาคผนวกนี้และเป็นไปตามข้อกำหนดของมาตรา 28(3) ของ GDPR ;
      3. หากข้อตกลงนั้นเกี่ยวข้องกับการโอนแบบจำกัด ตรวจสอบให้แน่ใจว่าข้อกำหนดของสัญญามาตรฐานนั้นรวมอยู่ในข้อตกลงระหว่างฝ่ายหนึ่งฝ่ายใดฝ่ายหนึ่ง (a) Stellar Cyber ​​หรือ (b) ผู้ประมวลผลช่วงกลางที่เกี่ยวข้อง; และในอีกทางหนึ่ง ผู้ประมวลผลข้อมูลช่วง หรือก่อนที่ผู้ประมวลผลข้อมูลช่วงก่อนจะประมวลผลข้อมูลส่วนบุคคลของลูกค้า จัดหามาว่าได้เข้าสู่ข้อตกลงที่รวมเอาข้อสัญญามาตรฐานกับลูกค้าเข้าไว้ด้วยกัน และ
      4. มอบให้กับลูกค้าเพื่อตรวจสอบสำเนาข้อตกลงของผู้ประมวลผลตามสัญญากับผู้ประมวลผลช่วง (ซึ่งอาจได้รับการแก้ไขเพื่อลบข้อมูลทางการค้าที่เป็นความลับซึ่งไม่เกี่ยวข้องกับข้อกำหนดของภาคผนวกนี้) ตามที่ลูกค้าอาจร้องขอเป็นครั้งคราว
    3. Stellar Cyber ​​จะต้องตรวจสอบให้แน่ใจว่าผู้ประมวลผลข้อมูลย่อยแต่ละรายปฏิบัติตามภาระผูกพันภายใต้ข้อ 2.1, 3, 4, 6.1, 7.2, 8 และ 10.1 ตามที่ใช้กับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าที่ดำเนินการโดยผู้ประมวลผลช่วงนั้น ราวกับว่าเป็นภาคีของภาคผนวกนี้ สถานที่ของ Stellar Cyber

  6. สิทธิ์ของเจ้าของข้อมูล

    1. โดยคำนึงถึงลักษณะของการประมวลผล Stellar Cyber ​​จะต้องช่วยเหลือลูกค้าโดยการใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสม ตราบเท่าที่เป็นไปได้ เพื่อปฏิบัติตามภาระผูกพันของลูกค้าตามที่ลูกค้าเข้าใจอย่างสมเหตุสมผล เพื่อตอบสนองต่อคำร้องขอใช้เจ้าของข้อมูล สิทธิภายใต้กฎหมายที่บังคับใช้
    2. Stellar Cyber ​​จะต้อง:
      1. แจ้งให้ลูกค้าทราบโดยทันทีหากผู้ประมวลผลที่ทำสัญญาได้รับคำขอจากเจ้าของข้อมูลภายใต้กฎหมายคุ้มครองข้อมูลใด ๆ ที่เกี่ยวกับข้อมูลส่วนบุคคลของลูกค้า และ
      2. ตรวจสอบให้แน่ใจว่าผู้ประมวลผลตามสัญญาไม่ตอบสนองต่อคำขอนั้น ยกเว้นในคำแนะนำที่เป็นเอกสารของลูกค้าหรือบริษัทในเครือของลูกค้าที่เกี่ยวข้อง หรือตามที่กำหนดโดยกฎหมายที่บังคับใช้ซึ่งผู้ประมวลผลตามสัญญาอยู่ภายใต้บังคับ ซึ่งในกรณีนี้ Stellar Cyber ​​จะต้องอยู่ในขอบเขตที่อนุญาตโดยกฎหมายที่บังคับใช้ แจ้งให้ลูกค้าทราบถึงข้อกำหนดทางกฎหมายนั้นก่อนที่ผู้ประมวลผลตามสัญญาจะตอบสนองต่อคำขอ

  7. การละเมิดข้อมูลส่วนบุคคล

    1. Stellar Cyber ​​จะแจ้งให้ลูกค้าทราบโดยไม่ชักช้าเมื่อ Stellar Cyber ​​หรือผู้ประมวลผลช่วงใด ๆ ตระหนักถึงการละเมิดข้อมูลส่วนบุคคลที่ส่งผลกระทบต่อข้อมูลส่วนบุคคลของลูกค้า โดยให้ข้อมูลที่เพียงพอแก่ลูกค้าเพื่อให้ลูกค้าปฏิบัติตามภาระผูกพันใด ๆ ในการรายงานหรือแจ้งให้เจ้าของข้อมูลของการละเมิดข้อมูลส่วนบุคคลภายใต้ กฎหมายที่ใช้บังคับ การแจ้งเตือนดังกล่าวจะต้องมีข้อมูลอย่างน้อยดังต่อไปนี้: (i) ลักษณะของการละเมิดข้อมูลส่วนบุคคล ประเภทและจำนวนเจ้าของข้อมูลที่เกี่ยวข้อง และหมวดหมู่และจำนวนบันทึกข้อมูลส่วนบุคคลที่เกี่ยวข้อง (ii) ชื่อและรายละเอียดการติดต่อของเจ้าหน้าที่คุ้มครองข้อมูลของ Stellar Cyber ​​หรือผู้ติดต่ออื่น ๆ ที่เกี่ยวข้องซึ่งอาจได้รับข้อมูลเพิ่มเติม (iii) ผลที่ตามมาที่อาจเกิดขึ้นจากการละเมิดข้อมูลส่วนบุคคล; และ (iv) มาตรการที่ใช้หรือเสนอให้ดำเนินการเพื่อแก้ไขการละเมิดข้อมูลส่วนบุคคล
    2. Stellar Cyber ​​จะต้องร่วมมือกับลูกค้าและดำเนินการตามขั้นตอนเชิงพาณิชย์ที่เหมาะสมตามที่ลูกค้ากำหนด เพื่อช่วยในการสอบสวน การบรรเทาผลกระทบ และการแก้ไขการละเมิดข้อมูลส่วนบุคคลแต่ละครั้ง

  8. การประเมินผลกระทบต่อการปกป้องข้อมูลและการปรึกษาหารือล่วงหน้า

    ในการขยายระยะเวลาที่กำหนดโดยกฎหมายที่บังคับใช้ Stellar Cyber ​​จะให้ความช่วยเหลือตามสมควรแก่ลูกค้าในการประเมินผลกระทบต่อการปกป้องข้อมูล และการปรึกษาหารือล่วงหน้ากับหน่วยงานกำกับดูแลหรือหน่วยงานด้านความเป็นส่วนตัวของข้อมูลที่มีอำนาจอื่นๆ แต่ละกรณีที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าโดยพิจารณาถึงลักษณะของการประมวลผลและข้อมูลที่มีให้กับผู้ประมวลผลตามสัญญาเท่านั้น

  9. การลบหรือส่งคืนข้อมูลส่วนบุคคลของลูกค้า

    1. ภายใต้บังคับส่วนที่ 9.2 และ 9.3 หลังจากวันที่ยุติการจัดหาสิ่งที่ส่งมอบที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า ("วันที่สิ้นสุด") Stellar Cyber ​​จะต้องลบและดำเนินการลบสำเนาทั้งหมดของข้อมูลส่วนบุคคลของลูกค้าเหล่านั้นโดยไม่ชักช้าเกินควร
    2. ผู้ประมวลผลตามสัญญาแต่ละรายอาจเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าในขอบเขตที่กำหนดโดยกฎหมายที่บังคับใช้และเฉพาะในขอบเขตและสำหรับระยะเวลาดังกล่าวตามที่กฎหมายที่บังคับใช้กำหนด และกำหนดไว้เสมอว่า Stellar Cyber ​​และบริษัทในเครือ Stellar Cyber ​​แต่ละรายจะรับรองการรักษาความลับของข้อมูลส่วนบุคคลของลูกค้าดังกล่าวทั้งหมด และจะต้องตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลของลูกค้าดังกล่าวได้รับการประมวลผลเท่าที่จำเป็นเพื่อวัตถุประสงค์ที่ระบุไว้ในกฎหมายที่บังคับใช้ซึ่งกำหนดให้มีการจัดเก็บและไม่มีวัตถุประสงค์อื่น
    3. Stellar Cyber ​​จะให้การรับรองเป็นลายลักษณ์อักษรแก่ลูกค้าว่าได้ปฏิบัติตามมาตรา 9 นี้อย่างสมบูรณ์ภายในสิบ (10) วันนับจากที่ได้รับคำขอเป็นลายลักษณ์อักษรจากลูกค้าเพื่อขอรับการรับรองดังกล่าว

  10. การตรวจสอบและบันทึก

    1. ตามกฎหมายที่บังคับใช้ Stellar Cyber ​​จะต้องจัดเตรียมข้อมูลดังกล่าวให้กับลูกค้าในความครอบครองหรือการควบคุมของ Stellar Cyber ​​ตามที่ลูกค้าอาจร้องขออย่างสมเหตุสมผลเพื่อแสดงให้เห็นถึงการปฏิบัติตามกฎหมายที่บังคับใช้ของ Stellar Cyber ​​ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า
    2. ลูกค้าสามารถใช้สิทธิ์ในการตรวจสอบภายใต้กฎหมายคุ้มครองข้อมูลของยุโรปในส่วนที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของลูกค้า ผ่านการจัดเตรียมของ Stellar Cyber:
      1. ข้อมูลที่จำเป็นในการแสดงการปฏิบัติตามกฎหมายคุ้มครองข้อมูลของยุโรป และอนุญาตและสนับสนุนการตรวจสอบ รวมถึงการตรวจสอบที่ดำเนินการโดยผู้ควบคุมหรือผู้ตรวจสอบรายอื่นที่ได้รับคำสั่งจากผู้ควบคุม
      2. ข้อมูลเพิ่มเติมในความครอบครองหรือการควบคุมของ Stellar Cyber ​​ต่อหน่วยงานกำกับดูแลของสหภาพยุโรป เมื่อร้องขอหรือต้องการข้อมูลเพิ่มเติมที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าที่ดำเนินการโดย Stellar Cyber ​​ภายใต้ภาคผนวกนี้

  11. การโอนที่ถูกจำกัด

    1. ภายใต้หัวข้อ 11.2 และ 11.3 ลูกค้า (เช่น "ผู้ส่งออกข้อมูล") และผู้ประมวลผลตามสัญญาแต่ละราย ตามความเหมาะสม (ตามที่ "ผู้นำเข้าข้อมูล") ขอเข้าสู่ข้อสัญญามาตรฐานในส่วนที่เกี่ยวกับการโอนที่จำกัดจากลูกค้ารายนั้นไปยังผู้ประมวลผลตามสัญญานั้น
    2. ข้อสัญญามาตรฐานจะมีผลบังคับใช้ภายใต้มาตรา 11.1 ในภายหลังของ:
      1. ผู้ส่งออกข้อมูลกลายเป็นภาคีกับพวกเขา
      2. ผู้นำเข้าข้อมูลกลายเป็นภาคีกับพวกเขา และ
      3. เริ่มการโอนแบบจำกัดที่เกี่ยวข้อง
    3. ข้อ 11.1 จะไม่นำไปใช้กับการถ่ายโอนแบบจำกัด เว้นแต่ผลของมัน รวมถึงขั้นตอนการปฏิบัติตามที่สมเหตุสมผลอื่นๆ (ซึ่งไม่รวมถึงการได้รับความยินยอมจากเจ้าของข้อมูล เพื่อหลีกเลี่ยงข้อสงสัย) คือการอนุญาตให้การถ่ายโอนแบบจำกัดที่เกี่ยวข้องเกิดขึ้นโดยไม่มี การละเมิดกฎหมายคุ้มครองข้อมูลที่บังคับใช้

  12. เงื่อนไขทั่วไป

    1. โดยปราศจากอคติต่อข้อ 18 ของข้อสัญญามาตรฐาน (i) คู่สัญญาในบทต่อท้ายนี้ขอเสนอทางเลือกของเขตอำนาจศาลที่กำหนดไว้ในข้อตกลงในส่วนที่เกี่ยวกับข้อพิพาทหรือการเรียกร้องใดๆ ที่เกิดขึ้นภายใต้ภาคผนวกนี้ รวมถึงข้อพิพาทเกี่ยวกับการมีอยู่ ความถูกต้อง หรือการยุติหรือผลที่ตามมาของการเป็นโมฆะ และ (ii) ภาคผนวกนี้และภาระผูกพันที่ไม่ใช่สัญญาหรืออื่น ๆ ทั้งหมดที่เกิดขึ้นจากหรือเกี่ยวข้องกับข้อตกลงนี้อยู่ภายใต้กฎหมายของประเทศหรือดินแดนที่กำหนดไว้สำหรับวัตถุประสงค์นี้ในข้อตกลง
    2. ไม่มีสิ่งใดในภาคผนวกนี้ที่ลดภาระผูกพันของ Stellar Cyber ​​ภายใต้ข้อตกลงที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคลหรืออนุญาตให้ Stellar Cyber ​​ประมวลผล (หรืออนุญาตให้ประมวลผล) ข้อมูลส่วนบุคคลในลักษณะที่ต้องห้ามในข้อตกลง ในกรณีที่มีข้อขัดแย้งหรือไม่สอดคล้องกันระหว่างภาคผนวกนี้กับข้อสัญญามาตรฐาน ให้ยึดข้อสัญญามาตรฐานเป็นหลัก
    3. ภายใต้หัวข้อ 12.2 ในส่วนเนื้อหาของภาคผนวกนี้ ในกรณีที่มีความไม่สอดคล้องกันระหว่างบทบัญญัติของภาคผนวกนี้และข้อตกลงอื่นใดระหว่างคู่สัญญา รวมถึงข้อตกลงและรวมถึง (ยกเว้นที่มีการตกลงเป็นอย่างอื่นอย่างชัดแจ้งเป็นลายลักษณ์อักษร ลงนามใน ในนามของคู่สัญญา) ข้อตกลงที่ทำขึ้นหรือตั้งใจจะทำหลังจากวันที่ของภาคผนวกนี้ บทบัญญัติของภาคผนวกนี้จะมีผลบังคับใช้
    4. ความรับผิดใด ๆ ที่เกี่ยวข้องกับการไม่ปฏิบัติตามภาคผนวกนี้จะอยู่ภายใต้ข้อจำกัดของบทบัญญัติความรับผิดที่ระบุไว้ในข้อตกลง
    5. ลูกค้าอาจแจ้งเป็นลายลักษณ์อักษรอย่างน้อยสามสิบ (30) วันตามปฏิทินไปยัง Stellar Cyber ​​ในบางครั้งเพื่อทำการเปลี่ยนแปลงใดๆ กับ Standard Contractual Clauses ที่เข้าไว้ในข้อ 11.1 เนื่องจากรูปแบบดังกล่าวมีผลกับการโอนแบบจำกัดซึ่งขึ้นอยู่กับข้อมูลเฉพาะ กฎหมายคุ้มครอง แต่เฉพาะในกรณีที่การเปลี่ยนแปลงดังกล่าวเป็นผลจากการเปลี่ยนแปลงหรือการตัดสินใจของหน่วยงานที่มีอำนาจภายใต้กฎหมายคุ้มครองข้อมูลนั้น เพื่ออนุญาตให้ทำการโอนแบบจำกัดเหล่านั้น (หรือดำเนินการต่อไป) โดยไม่ละเมิด กฎหมายคุ้มครองข้อมูล
    6. หากลูกค้าแจ้งภายใต้ข้อ 12.5 ดังนั้น (i) Stellar Cyber ​​จะให้ความร่วมมือทันที (และตรวจสอบให้แน่ใจว่าผู้ประมวลผลย่อยที่ได้รับผลกระทบให้ความร่วมมือโดยทันที) เพื่อให้แน่ใจว่ามีการเปลี่ยนแปลงที่เทียบเท่ากับข้อตกลงใด ๆ ที่วางอยู่ภายใต้ข้อ 5.3.3; และ (ii) ลูกค้าจะต้องไม่ระงับหรือชะลอข้อตกลงโดยไม่สมเหตุสมผลต่อการเปลี่ยนแปลงที่ตามมาของภาคผนวกนี้ที่เสนอโดย Stellar Cyber ​​เพื่อปกป้องผู้ประมวลผลตามสัญญาจากความเสี่ยงเพิ่มเติมที่เกี่ยวข้องกับการเปลี่ยนแปลงที่เกิดขึ้นภายใต้หัวข้อ 12.5
    7. หากลูกค้าแจ้งภายใต้ส่วนที่ 12.5 คู่สัญญาทั้งสองฝ่ายจะต้องหารือเกี่ยวกับรูปแบบที่เสนอโดยทันทีและเจรจาโดยสุจริตโดยมีจุดประสงค์เพื่อตกลงและดำเนินการตามรูปแบบเหล่านั้นหรือทางเลือกอื่นที่ออกแบบมาเพื่อตอบสนองความต้องการที่ระบุไว้ในประกาศของลูกค้าโดยเร็วที่สุดเท่าที่เป็นไปได้
    8. ลูกค้าจะต้องได้รับความยินยอมหรือการอนุมัติจากบริษัทในเครือของลูกค้าในการแก้ไขภาคผนวกนี้ตามมาตรา 12.8 นี้หรืออย่างอื่น
    9. หากบทบัญญัติใด ๆ ของภาคผนวกนี้ไม่ถูกต้องหรือไม่สามารถบังคับใช้ได้ส่วนที่เหลือของภาคผนวกนี้จะยังคงมีผลบังคับใช้ บทบัญญัติที่ไม่ถูกต้องหรือไม่สามารถบังคับใช้ได้จะต้องได้รับการแก้ไขอย่างใดอย่างหนึ่ง (i) ตามความจำเป็นเพื่อรับรองความถูกต้องและความสามารถในการบังคับใช้ในขณะที่รักษาเจตนารมณ์ของคู่สัญญาอย่างใกล้ชิดที่สุดเท่าที่จะเป็นไปได้หรือหากเป็นไปไม่ได้ (ii) ตีความในลักษณะที่เป็นโมฆะ หรือส่วนที่ไม่สามารถบังคับใช้ได้ไม่เคยมีอยู่ในนั้น

นิทรรศการที่ 1 ภาคผนวกการปกป้องข้อมูล

รายละเอียดการประมวลผลข้อมูลส่วนบุคคลของลูกค้า

เอกสารแนบ 1 นี้ประกอบด้วยรายละเอียดบางอย่างของการประมวลผลข้อมูลส่วนบุคคลของบริษัทตามที่กำหนดในมาตรา 28(3) ของ GDPR เรื่องและระยะเวลาในการประมวลผลข้อมูลส่วนบุคคลของลูกค้า Stellar Cyber ​​จะประมวลผลข้อมูลส่วนบุคคลของลูกค้าตามความจำเป็นเพื่อดำเนินการส่งมอบตามข้อตกลง ระยะเวลาของการประมวลผลจะเป็น: จนกว่าข้อตกลงจะหมดอายุ/สิ้นสุดเมื่อ Stellar Cyber ​​จะลบหรือทำลายข้อมูลส่วนบุคคลของลูกค้าโดยไม่ชักช้าเกินควร หรือ 30 วันนับจากได้รับคำขอให้ลบข้อมูลส่วนบุคคลบางส่วนหรือทั้งหมด ลักษณะและวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลของลูกค้า Stellar Cyber ​​ว่าจ้างในการจัดหาสิ่งที่ส่งมอบให้กับลูกค้าซึ่งเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ขอบเขตของสิ่งที่ส่งมอบถูกกำหนดไว้ในข้อตกลง และข้อมูลส่วนบุคคลจะได้รับการประมวลผลโดย Stellar Cyber ​​ตามความจำเป็นเพื่อส่งมอบสิ่งที่ส่งมอบเหล่านั้น และเพื่อให้เป็นไปตามข้อกำหนดของข้อตกลงและภาคผนวกนี้ ประเภทของข้อมูลส่วนบุคคลของลูกค้าที่จะประมวลผล ข้อมูลส่วนบุคคลที่รวบรวมโดย Stellar Cyber ​​ประกอบด้วยหมวดหมู่ของข้อมูลที่มีรายละเอียดในภาคผนวก 1 ของภาคผนวกของข้อสัญญามาตรฐาน

นิทรรศการที่ 2 ภาคผนวกการปกป้องข้อมูล

มาตรการทางเทคนิคและการจัดระบบ รวมถึงมาตรการทางเทคนิคและเชิงองค์กรเพื่อประกันความปลอดภัยของข้อมูล

Stellar Cyber ​​ปฏิบัติตามมาตรการทางเทคนิคและองค์กรที่ระบุไว้ด้านล่าง สำหรับคำอธิบายโดยละเอียดของมาตรการรักษาความปลอดภัยที่ Stellar Cyber ​​นำมาใช้ โปรดส่งคำขอไปที่ ความเป็นส่วนตัว@stellarcyber.ai มาตรการทางเทคนิคและเชิงองค์กรรวมถึงแต่ไม่จำกัดเพียงมาตรการต่อไปนี้สำหรับการรักษาความลับ ความสมบูรณ์ และความพร้อมของข้อมูลอย่างต่อเนื่อง เพื่อป้องกันการเข้าถึง การใช้ การแก้ไข หรือการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต:
  • ประสิทธิภาพของการตรวจสอบภูมิหลังของบุคลากรทุกคนที่มีสิทธิ์เข้าถึงการประมวลผลข้อมูล เช่นเดียวกับการลงนามสัญญาไม่เปิดเผยข้อมูลและจริยธรรมทางธุรกิจก่อนการจ้างงาน
  • การฝึกอบรมการตระหนักถึงความปลอดภัยและความเป็นส่วนตัว รวมถึงการรับทราบและข้อตกลงที่จะปฏิบัติตามนโยบายการรักษาความปลอดภัยขององค์กร สำหรับบุคลากรทุกคนที่จ้างงานและทุกปีหลังจากนั้น
  • การบำรุงรักษาชุดนโยบายความปลอดภัยและความเป็นส่วนตัว ขั้นตอนและแผนงานที่ครอบคลุมซึ่งได้รับการตรวจสอบอย่างน้อยปีละครั้ง และให้คำแนะนำแก่องค์กรเกี่ยวกับแนวปฏิบัติด้านความปลอดภัยและความเป็นส่วนตัว กระบวนการสำหรับการประเมินผู้ที่จะประมวลผลช่วงที่คาดหวังและผู้ประมวลผลย่อยที่มีอยู่เพื่อให้แน่ใจว่าพวกเขามีความสามารถและมุ่งมั่นที่จะใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อให้แน่ใจว่าข้อมูลที่เป็นความลับ ความสมบูรณ์ และความพร้อมของข้อมูลอย่างต่อเนื่อง
  • กระบวนการสำหรับการทดสอบ ประเมิน และประเมินประสิทธิผลของการป้องกันการบริหาร ทางเทคนิค และกายภาพอย่างสม่ำเสมอ เพื่อให้มั่นใจในความปลอดภัยของการประมวลผล การส่ง หรือการจัดเก็บข้อมูลผ่านการตรวจสอบภายนอกและภายใน
  • การป้องกันการเข้าถึง ใช้ ดัดแปลง หรือเปิดเผยข้อมูล ยกเว้นโดยเจ้าหน้าที่ Stellar Cyber ​​ที่ได้รับอนุญาต (1) เพื่อจัดหาสิ่งที่ส่งมอบและป้องกันหรือจัดการกับบริการหรือปัญหาทางเทคนิค (2) ตามกฎหมายบังคับ หรือ (3) ตามที่ลูกค้าอนุญาตอย่างชัดแจ้งเป็นลายลักษณ์อักษร .
  • การบันทึกและตรวจสอบบันทึกความปลอดภัยผ่านระบบการจัดการเหตุการณ์ด้านความปลอดภัย (“SIEMระบบ (“ระบบรักษาความปลอดภัย”) และการแจ้งเตือนเมื่อตรวจพบพฤติกรรมของระบบและ/หรือผู้ใช้ที่น่าสงสัย กระบวนการและเครื่องมือสำหรับการระบุ ประเมิน และจัดลำดับความสำคัญของช่องโหว่อย่างสม่ำเสมอตามแนวทางมาตรฐานอุตสาหกรรม
  • การระบุนามแฝงหรือการเข้ารหัสข้อมูลระหว่างทางและส่วนที่เหลือโดยใช้กลไกมาตรฐานอุตสาหกรรมสำหรับสิ่งที่ส่งมอบบางอย่าง
  • MFA และรหัสผ่านที่รัดกุมถูกบังคับใช้อย่างเคร่งครัดในการเข้าถึงหน่วยประมวลผลข้อมูล
  • ความสามารถในการกู้คืนความพร้อมใช้งานและการเข้าถึงข้อมูลลูกค้าในเวลาที่เหมาะสมในกรณีที่เกิดเหตุการณ์ที่ส่งผลกระทบต่อความพร้อมใช้งานของข้อมูลลูกค้าโดยการรักษาโซลูชันสำรองข้อมูลเพื่อการกู้คืนจากความเสียหาย

นิทรรศการที่ 3 ภาคผนวกการปกป้องข้อมูล

ข้อสัญญามาตรฐาน

ส่วน I

ข้อ 1

วัตถุประสงค์และขอบเขต

  1. วัตถุประสงค์ของข้อสัญญามาตรฐานเหล่านี้คือเพื่อให้แน่ใจว่าเป็นไปตามข้อกำหนดของกฎระเบียบ (EU) 2016/679 ของรัฐสภายุโรปและสภาเมื่อวันที่ 27 เมษายน 2016 ว่าด้วยการคุ้มครองบุคคลธรรมดาเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและ การเคลื่อนย้ายข้อมูลดังกล่าวอย่างเสรี (ระเบียบการคุ้มครองข้อมูลทั่วไป) สำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม
  2. ฝ่าย:
    1. บุคคลธรรมดาหรือนิติบุคคล หน่วยงานสาธารณะ หน่วยงานหรือหน่วยงานอื่น ๆ (ต่อไปนี้เรียกว่า "นิติบุคคล") ที่ถ่ายโอนข้อมูลส่วนบุคคลตามที่ระบุไว้ในภาคผนวก IA (ต่อไปนี้จะเรียกว่า "ผู้ส่งออกข้อมูล") และ
    2. นิติบุคคลในประเทศที่สามที่ได้รับข้อมูลส่วนบุคคลจากผู้ส่งออกข้อมูล ทั้งทางตรงและทางอ้อมผ่านหน่วยงานอื่นและภาคีของข้อกำหนดเหล่านี้ตามที่ระบุไว้ในภาคผนวก IA (ต่อไปนี้จะเรียกว่า "ผู้นำเข้าข้อมูล")
    ได้ตกลงตามข้อสัญญามาตรฐานเหล่านี้ (ซึ่งต่อไปนี้จะเรียกว่า “ข้อ”)
  3. ข้อเหล่านี้ใช้กับการถ่ายโอนข้อมูลส่วนบุคคลตามที่ระบุไว้ในภาคผนวก IB
  4. ภาคผนวกของข้อกำหนดเหล่านี้ที่มีภาคผนวกที่อ้างถึงในนั้นถือเป็นส่วนสำคัญของข้อกำหนดเหล่านี้

ข้อ 2

ผลกระทบและความแปรปรวนของข้อ

  1. ข้อกำหนดเหล่านี้กำหนดมาตรการป้องกันที่เหมาะสม ซึ่งรวมถึงสิทธิ์ของเจ้าของข้อมูลที่บังคับใช้และการเยียวยาทางกฎหมายที่มีประสิทธิภาพ ตามมาตรา 46(1) และมาตรา 46 (2)(c) ของระเบียบ (EU) 2016/679 และในส่วนที่เกี่ยวกับการถ่ายโอนข้อมูลจากผู้ควบคุม แก่โปรเซสเซอร์และ/หรือโปรเซสเซอร์ ไปจนถึงโปรเซสเซอร์ ข้อสัญญามาตรฐานตามมาตรา 28(7) ของ Regulation (EU) 2016/679 โดยที่จะไม่แก้ไข ยกเว้นการเลือกโมดูลที่เหมาะสม หรือเพื่อเพิ่มหรืออัปเดตข้อมูลใน ภาคผนวก สิ่งนี้ไม่ได้ขัดขวางคู่สัญญาไม่ให้รวมข้อสัญญามาตรฐานที่กำหนดไว้ในข้อกำหนดเหล่านี้ในสัญญาที่กว้างขึ้นและ/หรือเพื่อเพิ่มข้ออื่น ๆ หรือการป้องกันเพิ่มเติมโดยมีเงื่อนไขว่าจะไม่ขัดแย้งโดยตรงหรือโดยอ้อมข้อกำหนดเหล่านี้หรือกระทบต่อสิทธิขั้นพื้นฐาน หรือเสรีภาพของเจ้าของข้อมูล
  2. ข้อกำหนดเหล่านี้ไม่มีอคติต่อภาระหน้าที่ซึ่งผู้ส่งออกข้อมูลอยู่ภายใต้บังคับของระเบียบ (EU) 2016/679
ในกรณีที่ผู้ส่งออกข้อมูลเป็นผู้ประมวลผลภายใต้ระเบียบ (EU) 2016/679 ที่ดำเนินการในนามของสถาบันหรือหน่วยงานของสหภาพในฐานะผู้ควบคุม ให้ยึดตามข้อกำหนดเหล่านี้เมื่อมีส่วนร่วมกับผู้ประมวลผลรายอื่น (การประมวลผลย่อย) ที่ไม่อยู่ภายใต้ข้อบังคับ (EU) 2016/ 679 ยังรับรองการปฏิบัติตามมาตรา 29(4) ของระเบียบ (EU) 2018/1725 ของรัฐสภายุโรปและคณะมนตรีเมื่อวันที่ 23 ตุลาคม 2018 ว่าด้วยการคุ้มครองบุคคลธรรมดาเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลโดยสถาบันสหภาพแรงงาน , สำนักงานและหน่วยงาน และการเคลื่อนย้ายข้อมูลดังกล่าวโดยเสรี และการยกเลิกระเบียบ (EC) ที่ 45/2001 และการตัดสินใจหมายเลข 1247/2002/EC (OJ L 295 ของ 21.11.2018, หน้า 39) ตามขอบเขตของข้อกำหนดเหล่านี้ และภาระผูกพันในการปกป้องข้อมูลตามที่กำหนดไว้ในสัญญาหรือการดำเนินการทางกฎหมายอื่น ๆ ระหว่างผู้ควบคุมและผู้ประมวลผลตามมาตรา 29(3) ของระเบียบ (EU) 2018/1725 นั้นสอดคล้องกัน โดยเฉพาะอย่างยิ่งจะเป็นกรณีที่ผู้ควบคุมและผู้ประมวลผลใช้ข้อสัญญามาตรฐานที่รวมอยู่ในการตัดสินใจ […]

ข้อ 3

ผู้รับผลประโยชน์บุคคลที่สาม

  1. เจ้าของข้อมูลอาจเรียกใช้และบังคับใช้ข้อกำหนดเหล่านี้ในฐานะผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม กับผู้ส่งออกข้อมูลและ/หรือผู้นำเข้าข้อมูล โดยมีข้อยกเว้นดังต่อไปนี้:
    1. ข้อ 1 ข้อ 2 ข้อ 3 ข้อ 6 ข้อ 7
    2. ข้อ 8 - โมดูลที่หนึ่ง: ข้อ 8.5 (e) และข้อ 8.9(b) โมดูลที่สอง: ข้อ 8.1(b), 8.9(a), (c), (d) และ (e); โมดูลที่สาม: ข้อ 8.1(a), (c) และ (d) และข้อ 8.9(a), (c), (d), (e), (f) และ (g); โมดูลที่สี่: ข้อ 8.1 (b) และข้อ 8.3(b);
    3. ข้อ 9 - โมดูลที่สอง: ข้อ 9(a), (c), (d) และ (e); โมดูลที่สาม: ข้อ 9(a), (c), (d) และ (e);
    4. ข้อ 12 - โมดูลที่หนึ่ง: ข้อ 12(a) และ (d); โมดูลที่สองและสาม: ข้อ 12(a), (d) และ (f);
    5. ข้อ 13;
    6. ข้อ 15.1(c), (d) และ (e);
    7. ข้อ 16(จ);
    8. ข้อ 18 - โมดูลที่หนึ่ง สอง และสาม: ข้อ 18(a) และ (b); โมดูลที่สี่: ข้อ 18
  2. วรรค (ก) ไม่กระทบต่อสิทธิ์ของเจ้าของข้อมูลภายใต้ระเบียบ (EU) 2016/679

ข้อ 4

การตีความ

  1. ในกรณีที่ข้อกำหนดเหล่านี้ใช้ข้อกำหนดที่กำหนดไว้ในระเบียบ (EU) 2016/679 ข้อกำหนดเหล่านั้นจะมีความหมายเดียวกันกับในข้อบังคับนั้น
  2. ข้อเหล่านี้จะต้องอ่านและตีความตามบทบัญญัติของระเบียบ (EU) 2016/679
  3. ข้อกำหนดเหล่านี้จะไม่ถูกตีความในลักษณะที่ขัดต่อสิทธิและภาระผูกพันที่กำหนดไว้ในระเบียบ (EU) 2016/679

ข้อ 5

ลำดับชั้น

ในกรณีที่มีข้อขัดแย้งระหว่างข้อกำหนดเหล่านี้และข้อกำหนดของข้อตกลงที่เกี่ยวข้องระหว่างคู่สัญญาซึ่งมีอยู่ในขณะที่ข้อตกลงเหล่านี้ตกลงหรือเข้าร่วมในภายหลัง ข้อกำหนดเหล่านี้จะมีผลเหนือกว่า

ข้อ 6

คำอธิบายของการโอน

รายละเอียดของการถ่ายโอน และโดยเฉพาะอย่างยิ่ง ประเภทของข้อมูลส่วนบุคคลที่ถ่ายโอนและวัตถุประสงค์ในการถ่ายโอน ระบุไว้ในภาคผนวก IB

ข้อ 7 - ทางเลือก

ข้อเชื่อมต่อ

  1. นิติบุคคลที่ไม่ใช่ภาคีของข้อกำหนดเหล่านี้อาจยอมรับข้อกำหนดเหล่านี้ได้ทุกเมื่อโดยได้รับความยินยอมจากคู่สัญญาไม่ว่าจะเป็นผู้ส่งออกข้อมูลหรือเป็นผู้นำเข้าข้อมูลโดยการกรอกภาคผนวกและลงนามในภาคผนวก IA
  2. เมื่อเสร็จสิ้นภาคผนวกและลงนามภาคผนวก IA แล้ว นิติบุคคลที่เข้าร่วมจะกลายเป็นภาคีของข้อกำหนดเหล่านี้และมีสิทธิและภาระผูกพันของผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลตามการกำหนดในภาคผนวก IA
  3. นิติบุคคลที่เข้าร่วมจะไม่มีสิทธิหรือภาระผูกพันที่เกิดขึ้นภายใต้ข้อกำหนดเหล่านี้จากช่วงเวลาก่อนที่จะกลายเป็นภาคี

ส่วนที่ II – ภาระผูกพันของคู่สัญญา

ข้อ 8

การป้องกันการปกป้องข้อมูล

ผู้ส่งออกข้อมูลรับประกันว่าได้ใช้ความพยายามอย่างสมเหตุสมผลในการพิจารณาว่าผู้นำเข้าข้อมูลสามารถดำเนินการตามมาตรการทางเทคนิคและเชิงองค์กรที่เหมาะสมเพื่อปฏิบัติตามภาระผูกพันภายใต้ข้อกำหนดเหล่านี้

MODULE ONE: ถ่ายโอนคอนโทรลเลอร์ไปยังคอนโทรลเลอร์

  1. ข้อจำกัดวัตถุประสงค์

    ผู้นำเข้าข้อมูลจะต้องประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เฉพาะของการถ่ายโอนเท่านั้น ตามที่กำหนดไว้ในภาคผนวก IB อาจประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นเท่านั้น:
    1. ที่ได้รับความยินยอมล่วงหน้าจากเจ้าของข้อมูล
    2. ในกรณีที่จำเป็นสำหรับการจัดตั้ง การดำเนินการ หรือการป้องกันข้อเรียกร้องทางกฎหมายในบริบทของการดำเนินการทางปกครอง ระเบียบข้อบังคับ หรือการพิจารณาคดีเฉพาะ หรือ
    3. ในกรณีที่จำเป็นเพื่อปกป้องผลประโยชน์ที่สำคัญของเจ้าของข้อมูลหรือของบุคคลธรรมดาอื่น

  2. ความโปร่งใส

    a. เพื่อให้เจ้าของข้อมูลสามารถใช้สิทธิ์ของตนได้อย่างมีประสิทธิภาพตามข้อ 10 ผู้นำเข้าข้อมูลจะต้องแจ้งให้พวกเขาทราบโดยตรงหรือผ่านผู้ส่งออกข้อมูล:
    1. ข้อมูลประจำตัวและรายละเอียดการติดต่อ
    2. ประเภทของข้อมูลส่วนบุคคลที่ประมวลผล
    3. ของสิทธิที่จะได้รับสำเนาของข้อกำหนดเหล่านี้
    4. ในกรณีที่ตั้งใจที่จะถ่ายโอนข้อมูลส่วนบุคคลไปยังบุคคลภายนอก ของผู้รับหรือประเภทของผู้รับ (ตามความเหมาะสมในการให้ข้อมูลที่มีความหมาย) วัตถุประสงค์ของการถ่ายโอนข้อมูลดังกล่าวและเหตุผลตามข้อ 8.7
    1. วรรค (ก) จะไม่นำมาใช้ในกรณีที่เจ้าของข้อมูลมีข้อมูลอยู่แล้ว รวมถึงเมื่อข้อมูลดังกล่าวได้รับการจัดเตรียมโดยผู้ส่งออกข้อมูลแล้ว หรือการให้ข้อมูลที่พิสูจน์ได้ว่าเป็นไปไม่ได้ หรือจะเกี่ยวข้องกับความพยายามที่ไม่เหมาะสมสำหรับผู้นำเข้าข้อมูล ในกรณีหลังนี้ ผู้นำเข้าข้อมูลจะต้องเปิดเผยข้อมูลต่อสาธารณะในขอบเขตที่เป็นไปได้
    2. เมื่อมีการร้องขอ ภาคีจะต้องทำสำเนาของข้อกำหนดเหล่านี้ รวมถึงภาคผนวกที่กรอกโดยพวกเขา ให้กับเจ้าของข้อมูลโดยไม่เสียค่าใช้จ่าย ในขอบเขตที่จำเป็นในการปกป้องความลับทางธุรกิจหรือข้อมูลที่เป็นความลับอื่น ๆ รวมถึงข้อมูลส่วนบุคคล ภาคีอาจแก้ไขบางส่วนของข้อความในภาคผนวกก่อนที่จะแบ่งปันสำเนา แต่จะให้ข้อมูลสรุปที่มีความหมายในกรณีที่เจ้าของข้อมูลไม่สามารถ เข้าใจเนื้อหาหรือใช้สิทธิ์ของตน เมื่อมีการร้องขอ ภาคีจะต้องให้เหตุผลในการแก้ไขแก่เจ้าของข้อมูล ในขอบเขตที่เป็นไปได้โดยไม่เปิดเผยข้อมูลที่แก้ไข
    3. วรรค (ก) ถึง (ค) ไม่กระทบต่อภาระหน้าที่ของผู้ส่งออกข้อมูลภายใต้มาตรา 13 และ 14 ของระเบียบ (EU) 2016/679

  4. ความแม่นยำและการลดขนาดข้อมูล

    1. ภาคีแต่ละฝ่ายจะต้องตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลนั้นถูกต้องและหากจำเป็น ให้ปรับปรุงให้เป็นปัจจุบัน ผู้นำเข้าข้อมูลจะต้องดำเนินการทุกขั้นตอนตามสมควรเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลที่ไม่ถูกต้องตามวัตถุประสงค์ของการประมวลผลถูกลบหรือแก้ไขโดยไม่ชักช้า
    2. หากฝ่ายใดฝ่ายหนึ่งทราบว่าข้อมูลส่วนบุคคลที่ถ่ายโอนหรือได้รับนั้นไม่ถูกต้อง หรือล้าสมัย จะต้องแจ้งให้อีกฝ่ายทราบโดยไม่ชักช้า
    3. ผู้นำเข้าข้อมูลจะต้องตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลเพียงพอ มีความเกี่ยวข้อง และจำกัดเฉพาะสิ่งที่จำเป็นที่เกี่ยวข้องกับวัตถุประสงค์ในการประมวลผล

  5. ข้อจำกัดในการจัดเก็บ

    ผู้นำเข้าข้อมูลจะต้องเก็บรักษาข้อมูลส่วนบุคคลไว้ไม่เกินความจำเป็นสำหรับวัตถุประสงค์ในการประมวลผล จะต้องวางมาตรการทางเทคนิคหรือเชิงองค์กรที่เหมาะสมเพื่อให้แน่ใจว่าสอดคล้องกับภาระผูกพันนี้ รวมถึงการลบหรือทำให้ข้อมูลไม่ระบุชื่อและการสำรองข้อมูลทั้งหมดเมื่อสิ้นสุดระยะเวลาเก็บรักษา

  6. ความปลอดภัยของการประมวลผล

    1. ผู้นำเข้าข้อมูลและในระหว่างการส่ง ผู้ส่งออกข้อมูลจะต้องใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อรับรองความปลอดภัยของข้อมูลส่วนบุคคล รวมถึงการป้องกันการละเมิดความปลอดภัยที่นำไปสู่การทำลายโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย การสูญเสีย การเปลี่ยนแปลง การเปิดเผยหรือการเข้าถึงโดยไม่ได้รับอนุญาต (ต่อไปนี้เรียกว่า “การละเมิดข้อมูลส่วนบุคคล”) ในการประเมินระดับความปลอดภัยที่เหมาะสม พวกเขาจะต้องคำนึงถึงความทันสมัย ​​ค่าใช้จ่ายในการดำเนินการ ธรรมชาติ ขอบเขต บริบทและวัตถุประสงค์ของการประมวลผล และความเสี่ยงที่เกี่ยวข้องกับการประมวลผลสำหรับเจ้าของข้อมูล โดยเฉพาะอย่างยิ่ง ภาคีจะต้องพิจารณาให้มีการเข้ารหัสหรือการใช้นามแฝง รวมถึงในระหว่างการส่ง ซึ่งวัตถุประสงค์ของการประมวลผลสามารถบรรลุผลได้ในลักษณะนั้น
    2. ภาคีได้ตกลงเกี่ยวกับมาตรการทางเทคนิคและองค์กรที่กำหนดไว้ในภาคผนวก II ผู้นำเข้าข้อมูลจะต้องดำเนินการตรวจสอบอย่างสม่ำเสมอเพื่อให้แน่ใจว่ามาตรการเหล่านี้ยังคงให้ระดับความปลอดภัยที่เหมาะสม
    3. ผู้นำเข้าข้อมูลจะต้องตรวจสอบให้แน่ใจว่าบุคคลที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนบุคคลได้ให้คำมั่นว่าจะรักษาความลับหรืออยู่ภายใต้ภาระผูกพันตามกฎหมายที่เหมาะสมในการรักษาความลับ
    4. ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคลเกี่ยวกับข้อมูลส่วนบุคคลที่ประมวลผลโดยผู้นำเข้าข้อมูลภายใต้ข้อกำหนดเหล่านี้ ผู้นำเข้าข้อมูลจะใช้มาตรการที่เหมาะสมเพื่อจัดการกับการละเมิดข้อมูลส่วนบุคคล รวมถึงมาตรการเพื่อบรรเทาผลกระทบที่อาจเกิดขึ้น
    5. ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคลที่อาจส่งผลให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลธรรมดา ผู้นำเข้าข้อมูลจะต้องแจ้งให้ทั้งผู้ส่งออกข้อมูลและหน่วยงานกำกับดูแลที่มีอำนาจตามข้อ 13 ทราบโดยไม่ชักช้า i) คำอธิบายลักษณะของการละเมิด (รวมถึงหมวดหมู่และจำนวนโดยประมาณของเจ้าของข้อมูลและบันทึกข้อมูลส่วนบุคคลที่เกี่ยวข้อง) ii) ผลที่น่าจะเป็นไปได้ iii) มาตรการที่ดำเนินการหรือเสนอเพื่อจัดการกับการละเมิดและ iv ) รายละเอียดของจุดติดต่อที่สามารถขอข้อมูลเพิ่มเติมได้ ในกรณีที่ผู้นำเข้าข้อมูลไม่สามารถให้ข้อมูลทั้งหมดพร้อมกันได้ ผู้นำเข้าข้อมูลอาจดำเนินการเป็นระยะๆ โดยไม่ชักช้าเกินควร
    6. ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคลที่อาจส่งผลให้เกิดความเสี่ยงสูงต่อสิทธิและเสรีภาพของบุคคลธรรมดา ผู้นำเข้าข้อมูลจะต้องแจ้งเจ้าของข้อมูลที่เกี่ยวข้องกับการละเมิดข้อมูลส่วนบุคคลและลักษณะของข้อมูลโดยไม่ชักช้า หากจำเป็น ความร่วมมือกับผู้ส่งออกข้อมูล ร่วมกับข้อมูลที่อ้างถึงในวรรค (e) ประเด็น ii) ถึง iv) เว้นแต่ผู้นำเข้าข้อมูลได้ดำเนินมาตรการเพื่อลดความเสี่ยงต่อสิทธิหรือเสรีภาพของบุคคลธรรมดาอย่างมีนัยสำคัญ หรือการแจ้งจะเกี่ยวข้อง ความพยายามที่ไม่สมส่วน ในกรณีหลัง ผู้นำเข้าข้อมูลจะออกการสื่อสารสาธารณะหรือใช้มาตรการที่คล้ายกันเพื่อแจ้งให้สาธารณชนทราบถึงการละเมิดข้อมูลส่วนบุคคล
    7. ผู้นำเข้าข้อมูลจะต้องบันทึกข้อเท็จจริงที่เกี่ยวข้องทั้งหมดที่เกี่ยวข้องกับการละเมิดข้อมูลส่วนบุคคล รวมถึงผลกระทบและการดำเนินการแก้ไขใดๆ ที่ดำเนินการ และเก็บบันทึกดังกล่าว
    8. สิ่งนี้ต้องการการแสดงข้อมูลแบบไม่เปิดเผยตัวตนในลักษณะที่ไม่มีใครสามารถระบุตัวบุคคลได้อีกต่อไป ตามการบรรยาย 26 ของระเบียบ (EU) 2016/679 และกระบวนการนี้ไม่สามารถย้อนกลับได้

  7. ข้อมูลที่ละเอียดอ่อน

    ในกรณีที่การถ่ายโอนเกี่ยวข้องกับข้อมูลส่วนบุคคลที่เปิดเผยที่มาทางเชื้อชาติหรือชาติพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา หรือการเป็นสมาชิกสหภาพแรงงาน ข้อมูลทางพันธุกรรม หรือข้อมูลไบโอเมตริกซ์เพื่อวัตถุประสงค์ในการระบุตัวบุคคลโดยเฉพาะ ข้อมูลเกี่ยวกับสุขภาพหรือชีวิตทางเพศของบุคคล หรือ รสนิยมทางเพศหรือข้อมูลที่เกี่ยวข้องกับการตัดสินลงโทษทางอาญาหรือความผิด (ต่อไปนี้เรียกว่า "ข้อมูลที่ละเอียดอ่อน") ผู้นำเข้าข้อมูลจะต้องใช้ข้อจำกัดเฉพาะและ/หรือการป้องกันเพิ่มเติมที่ปรับให้เข้ากับลักษณะเฉพาะของข้อมูลและความเสี่ยงที่เกี่ยวข้อง ซึ่งอาจรวมถึงการจำกัดบุคลากรที่ได้รับอนุญาตให้เข้าถึงข้อมูลส่วนบุคคล มาตรการรักษาความปลอดภัยเพิ่มเติม (เช่น นามแฝง) และ/หรือข้อจำกัดเพิ่มเติมเกี่ยวกับการเปิดเผยเพิ่มเติม

  8. โอนต่อ

    ผู้นำเข้าข้อมูลจะต้องไม่เปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สามที่อยู่นอกสหภาพยุโรป (ในประเทศเดียวกับผู้นำเข้าข้อมูลหรือในประเทศที่สามอื่น ซึ่งต่อไปนี้เรียกว่า “การถ่ายโอนต่อไป”) เว้นแต่บุคคลที่สามจะเป็นหรือตกลงที่จะผูกพันตาม ข้อเหล่านี้ภายใต้โมดูลที่เหมาะสม มิฉะนั้น การถ่ายโอนต่อไปโดยผู้นำเข้าข้อมูลจะเกิดขึ้นได้ก็ต่อเมื่อ:
    1. เป็นประเทศที่ได้รับประโยชน์จากการตัดสินใจที่เพียงพอตามมาตรา 45 ของระเบียบ (EU) 2016/679 ที่ครอบคลุมการโอนต่อไป
    2. บุคคลที่สามต้องประกันการป้องกันที่เหมาะสมตามมาตรา 46 หรือ 47 ของระเบียบ (EU) 2016/679 ในส่วนที่เกี่ยวกับการประมวลผลที่เป็นปัญหา
    3. บุคคลที่สามเข้าสู่เครื่องมือผูกมัดกับผู้นำเข้าข้อมูลเพื่อให้แน่ใจว่ามีการปกป้องข้อมูลในระดับเดียวกับภายใต้เงื่อนไขเหล่านี้ และผู้นำเข้าข้อมูลจะจัดเตรียมสำเนาของการป้องกันเหล่านี้ให้กับผู้ส่งออกข้อมูล
    4. จำเป็นสำหรับการจัดตั้ง ใช้ หรือแก้ต่างข้อเรียกร้องทางกฎหมายในบริบทของการดำเนินการทางปกครอง กฎระเบียบ หรือการพิจารณาคดีเฉพาะ
    5. มีความจำเป็นเพื่อปกป้องผลประโยชน์ที่สำคัญของเจ้าของข้อมูลหรือของบุคคลอื่น หรือ
    6. หากไม่มีเงื่อนไขอื่นใดที่ใช้บังคับ ผู้นำเข้าข้อมูลได้รับความยินยอมอย่างชัดแจ้งจากเจ้าของข้อมูลสำหรับการถ่ายโอนต่อไปในสถานการณ์เฉพาะ หลังจากที่ได้แจ้งให้เขา/เธอทราบถึงวัตถุประสงค์แล้ว ตัวตนของผู้รับและข้อมูลที่เป็นไปได้ ความเสี่ยงของการถ่ายโอนดังกล่าวไปยังเขา/เธอเนื่องจากขาดการปกป้องข้อมูลที่เหมาะสม ในกรณีนี้ ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบ และตามคำร้องขอของผู้นำเข้า จะต้องส่งสำเนาของข้อมูลที่ให้ไว้กับเจ้าของข้อมูลไปยังผู้นำเข้าข้อมูล
    การถ่ายโอนข้อมูลใดๆ ต่อไปข้างหน้าจะต้องปฏิบัติตามโดยผู้นำเข้าข้อมูลพร้อมกับการป้องกันอื่นๆ ทั้งหมดภายใต้ข้อกำหนดเหล่านี้ โดยเฉพาะอย่างยิ่งการจำกัดวัตถุประสงค์

  9. การประมวลผลภายใต้อำนาจของผู้นำเข้าข้อมูล

    ผู้นำเข้าข้อมูลจะต้องตรวจสอบให้แน่ใจว่าบุคคลใดก็ตามที่กระทำการภายใต้อำนาจของตน รวมทั้งผู้ประมวลผล ประมวลผลข้อมูลตามคำสั่งของตนเท่านั้น

  10. เอกสารและการปฏิบัติตามข้อกำหนด

    (a) คู่สัญญาแต่ละฝ่ายจะต้องสามารถแสดงให้เห็นถึงการปฏิบัติตามภาระหน้าที่ของตนภายใต้ข้อกำหนดเหล่านี้ โดยเฉพาะอย่างยิ่ง ผู้นำเข้าข้อมูลต้องเก็บรักษาเอกสารที่เหมาะสมของกิจกรรมการประมวลผลที่ดำเนินการภายใต้ความรับผิดชอบของตน (s) ผู้นำเข้าข้อมูลจะต้องจัดเตรียมเอกสารดังกล่าวให้กับหน่วยงานกำกับดูแลที่มีอำนาจตามคำร้องขอ

MODULE TWO: ถ่ายโอนคอนโทรลเลอร์ไปยังโปรเซสเซอร์

  1. คำแนะนำ

    1. ผู้นำเข้าข้อมูลจะต้องประมวลผลข้อมูลส่วนบุคคลตามคำแนะนำที่เป็นเอกสารจากผู้ส่งออกข้อมูลเท่านั้น ผู้ส่งออกข้อมูลอาจให้คำแนะนำดังกล่าวตลอดระยะเวลาของสัญญา
    2. ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบทันทีหากไม่สามารถปฏิบัติตามคำแนะนำดังกล่าวได้

  2. ข้อจำกัดวัตถุประสงค์

    ผู้นำเข้าข้อมูลจะต้องประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เฉพาะของการถ่ายโอนเท่านั้น ตามที่กำหนดไว้ในภาคผนวก IB เว้นแต่จะได้รับคำแนะนำเพิ่มเติมจากผู้ส่งออกข้อมูล

  3. ความโปร่งใส

    เมื่อได้รับการร้องขอ ผู้ส่งออกข้อมูลจะต้องทำสำเนาของข้อกำหนดเหล่านี้ รวมถึงภาคผนวกที่คู่สัญญาได้กรอกไว้ พร้อมให้บริการแก่เจ้าของข้อมูลโดยไม่เสียค่าใช้จ่าย ในขอบเขตที่จำเป็นในการปกป้องความลับทางธุรกิจหรือข้อมูลที่เป็นความลับอื่น ๆ รวมถึงมาตรการที่อธิบายไว้ในภาคผนวก II และข้อมูลส่วนบุคคล ผู้ส่งออกข้อมูลอาจแก้ไขส่วนหนึ่งของข้อความในภาคผนวกของข้อกำหนดเหล่านี้ก่อนที่จะแบ่งปันสำเนา แต่จะให้ข้อมูลที่มีความหมาย สรุปโดยที่เจ้าของข้อมูลไม่สามารถเข้าใจเนื้อหาหรือใช้สิทธิ์ของตนได้ เมื่อมีการร้องขอ ภาคีจะต้องให้เหตุผลในการแก้ไขแก่เจ้าของข้อมูล ในขอบเขตที่เป็นไปได้โดยไม่เปิดเผยข้อมูลที่แก้ไข ข้อนี้ไม่กระทบต่อภาระหน้าที่ของผู้ส่งออกข้อมูลภายใต้มาตรา 13 และ 14 ของระเบียบ (EU) 2016/679

  4. ความถูกต้อง

    หากผู้นำเข้าข้อมูลทราบว่าข้อมูลส่วนบุคคลที่ได้รับไม่ถูกต้อง หรือล้าสมัย จะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบโดยไม่ชักช้า ในกรณีนี้ ผู้นำเข้าข้อมูลจะต้องร่วมมือกับผู้ส่งออกข้อมูลเพื่อลบหรือแก้ไขข้อมูล หากผู้นำเข้าข้อมูลทราบว่าข้อมูลส่วนบุคคลที่ได้รับไม่ถูกต้องหรือล้าสมัย จะต้องแจ้งให้ผู้ส่งออกทราบโดยไม่ชักช้า . ในกรณีนี้ ผู้นำเข้าข้อมูลจะต้องร่วมมือกับผู้ส่งออกข้อมูลเพื่อลบหรือแก้ไขข้อมูล

  5. ระยะเวลาของการประมวลผลและการลบหรือการส่งคืนข้อมูล

    การประมวลผลโดยผู้นำเข้าข้อมูลจะเกิดขึ้นในช่วงเวลาที่ระบุไว้ในภาคผนวก IB เท่านั้น หลังจากสิ้นสุดข้อกำหนดของบริการประมวลผล ผู้นำเข้าข้อมูลจะต้องลบข้อมูลส่วนบุคคลทั้งหมดที่ประมวลผลในนามของข้อมูลตามทางเลือกของผู้ส่งออกข้อมูล ผู้ส่งออกและรับรองกับผู้ส่งออกข้อมูลว่าได้ดำเนินการดังกล่าว หรือส่งข้อมูลส่วนบุคคลทั้งหมดที่ประมวลผลในนามของผู้ส่งออกกลับไปยังผู้ส่งออกข้อมูลและลบสำเนาที่มีอยู่ จนกว่าข้อมูลจะถูกลบหรือส่งคืน ผู้นำเข้าข้อมูลจะต้องดำเนินการเพื่อให้แน่ใจว่าสอดคล้องกับข้อกำหนดเหล่านี้ ในกรณีของกฎหมายท้องถิ่นที่ใช้บังคับกับผู้นำเข้าข้อมูลที่ห้ามไม่ให้ส่งคืนหรือลบข้อมูลส่วนบุคคล ผู้นำเข้าข้อมูลรับประกันว่าจะยังคงปฏิบัติตามข้อกำหนดเหล่านี้และจะดำเนินการตามขอบเขตและตราบเท่าที่จำเป็นเท่านั้น กฎหมายท้องถิ่น โดยไม่กระทบต่อข้อ 14 โดยเฉพาะข้อกำหนดสำหรับผู้นำเข้าข้อมูลตามข้อ 14(e) ที่ต้องแจ้งให้ผู้ส่งออกข้อมูลทราบตลอดระยะเวลาของสัญญาหากมีเหตุผลที่เชื่อได้ว่าเป็นไปตามกฎหมายหรือแนวปฏิบัติ ไม่เป็นไปตามข้อกำหนดในข้อ 14(ก)

  6. ความปลอดภัยของการประมวลผล

    1. ผู้นำเข้าข้อมูลและผู้ส่งออกข้อมูลจะต้องดำเนินการตามมาตรการทางเทคนิคและองค์กรที่เหมาะสมในระหว่างการส่งข้อมูล ซึ่งรวมถึงการป้องกันการละเมิดความปลอดภัยที่นำไปสู่การทำลาย การสูญเสีย การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย ข้อมูลนั้น (ต่อไปนี้จะเรียกว่า "การละเมิดข้อมูลส่วนบุคคล") ในการประเมินระดับความปลอดภัยที่เหมาะสม คู่สัญญาจะต้องคำนึงถึงความทันสมัย ​​ค่าใช้จ่ายในการดำเนินการ ลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการประมวลผล และความเสี่ยงที่เกี่ยวข้องกับการประมวลผลสำหรับเจ้าของข้อมูล . โดยเฉพาะอย่างยิ่ง ภาคีจะต้องพิจารณาให้มีการเข้ารหัสหรือการใช้นามแฝง รวมถึงในระหว่างการส่ง ซึ่งวัตถุประสงค์ของการประมวลผลสามารถบรรลุผลได้ในลักษณะนั้น ในกรณีของการใช้นามแฝง ข้อมูลเพิ่มเติมสำหรับการระบุข้อมูลส่วนบุคคลของเจ้าของข้อมูลเฉพาะ ถ้าเป็นไปได้ จะยังคงอยู่ภายใต้การควบคุมของผู้ส่งออกข้อมูลแต่เพียงผู้เดียว ในการปฏิบัติตามพันธกรณีตามวรรคนี้ ผู้นำเข้าข้อมูลอย่างน้อยต้องดำเนินการตามมาตรการทางเทคนิคและเชิงองค์กรตามที่ระบุไว้ในภาคผนวก II ผู้นำเข้าข้อมูลจะต้องดำเนินการตรวจสอบอย่างสม่ำเสมอเพื่อให้แน่ใจว่ามาตรการเหล่านี้ยังคงให้ระดับความปลอดภัยที่เหมาะสม
    2. ผู้นำเข้าข้อมูลจะต้องให้สิทธิ์การเข้าถึงข้อมูลส่วนบุคคลแก่สมาชิกของบุคลากรของตนเท่าที่จำเป็นอย่างเคร่งครัดสำหรับการดำเนินการ การจัดการ และการตรวจสอบสัญญา จะต้องตรวจสอบให้แน่ใจว่าบุคคลที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนบุคคลได้ให้คำมั่นว่าจะรักษาความลับหรืออยู่ภายใต้ภาระผูกพันตามกฎหมายที่เหมาะสมในการรักษาความลับ
    3. ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคลเกี่ยวกับข้อมูลส่วนบุคคลที่ประมวลผลโดยผู้นำเข้าข้อมูลภายใต้ข้อกำหนดเหล่านี้ ผู้นำเข้าข้อมูลจะใช้มาตรการที่เหมาะสมเพื่อจัดการกับการละเมิด ซึ่งรวมถึงมาตรการเพื่อบรรเทาผลกระทบที่ไม่พึงประสงค์ ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบโดยไม่ชักช้าหลังจากทราบถึงการละเมิด การแจ้งเตือนดังกล่าวจะต้องมีรายละเอียดของจุดติดต่อที่สามารถขอข้อมูลเพิ่มเติม คำอธิบายเกี่ยวกับลักษณะของการละเมิด (รวมถึงหมวดหมู่และจำนวนโดยประมาณของเจ้าของข้อมูลและบันทึกข้อมูลส่วนบุคคลที่เกี่ยวข้อง) ผลที่น่าจะตามมาและ มาตรการที่ดำเนินการหรือเสนอเพื่อแก้ไขการละเมิด ซึ่งรวมถึงมาตรการเพื่อบรรเทาผลกระทบที่อาจเกิดขึ้นตามความเหมาะสม ในกรณีที่ไม่สามารถให้ข้อมูลทั้งหมดพร้อมกันได้ การแจ้งเตือนในเบื้องต้นจะต้องมีข้อมูลที่มีอยู่ในขณะนั้น และข้อมูลเพิ่มเติม หากมีให้ จะจัดเตรียมให้ในภายหลังโดยไม่ชักช้า
    4. ผู้นำเข้าข้อมูลจะต้องร่วมมือและช่วยเหลือผู้ส่งออกข้อมูลเพื่อให้ผู้ส่งออกข้อมูลปฏิบัติตามภาระหน้าที่ภายใต้ระเบียบ (EU) 2016/679 โดยเฉพาะอย่างยิ่งเพื่อแจ้งหน่วยงานกำกับดูแลที่มีอำนาจและเจ้าของข้อมูลที่ได้รับผลกระทบ โดยคำนึงถึงลักษณะของ การประมวลผลและข้อมูลที่มีให้สำหรับผู้นำเข้าข้อมูล

  7. ข้อมูลที่ละเอียดอ่อน

    ในกรณีที่การถ่ายโอนเกี่ยวข้องกับข้อมูลส่วนบุคคลที่เปิดเผยที่มาทางเชื้อชาติหรือชาติพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา หรือการเป็นสมาชิกสหภาพแรงงาน ข้อมูลทางพันธุกรรม หรือข้อมูลไบโอเมตริกซ์เพื่อวัตถุประสงค์ในการระบุตัวบุคคลโดยเฉพาะ ข้อมูลเกี่ยวกับสุขภาพหรือชีวิตทางเพศของบุคคล หรือ รสนิยมทางเพศหรือข้อมูลที่เกี่ยวข้องกับการตัดสินลงโทษทางอาญาและความผิดทางอาญา (ต่อไปนี้เรียกว่า "ข้อมูลที่ละเอียดอ่อน") ผู้นำเข้าข้อมูลจะใช้ข้อจำกัดเฉพาะและ/หรือการป้องกันเพิ่มเติมที่อธิบายไว้ในภาคผนวก IB

  8. โอนต่อ

    ผู้นำเข้าข้อมูลจะต้องเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลที่สามตามคำแนะนำที่เป็นเอกสารจากผู้ส่งออกข้อมูลเท่านั้น นอกจากนี้ ข้อมูลจะต้องเปิดเผยต่อบุคคลที่สามที่อยู่นอกสหภาพยุโรปเท่านั้น (ในประเทศเดียวกับผู้นำเข้าข้อมูลหรือในประเทศที่สามอื่น ซึ่งต่อไปนี้จะ "โอนต่อไป") หากบุคคลที่สามเป็นหรือตกลงที่จะผูกพันตาม ข้อเหล่านี้ ภายใต้โมดูลที่เหมาะสม หรือหาก:
    1. การส่งต่อไปยังประเทศที่ได้รับประโยชน์จากการตัดสินใจที่เพียงพอตามมาตรา 45 ของระเบียบ (EU) 2016/679 ที่ครอบคลุมการโอนต่อไป
    2. บุคคลที่สามต้องประกันให้มีการป้องกันที่เหมาะสมตามมาตรา 46 หรือ 47 ระเบียบของ (EU) 2016/679 ในส่วนที่เกี่ยวกับการประมวลผลที่เป็นปัญหา
    3. การโอนย้ายต่อไปมีความจำเป็นสำหรับการจัดตั้ง การดำเนินการ หรือการป้องกันข้อเรียกร้องทางกฎหมายในบริบทของการดำเนินการทางปกครอง กฎระเบียบ หรือการพิจารณาคดีที่เฉพาะเจาะจง หรือ
    4. การถ่ายโอนข้อมูลต่อไปมีความจำเป็นเพื่อปกป้องผลประโยชน์ที่สำคัญของเจ้าของข้อมูลหรือของบุคคลธรรมดาอื่น
    การถ่ายโอนข้อมูลใดๆ ต่อไปข้างหน้าจะต้องปฏิบัติตามโดยผู้นำเข้าข้อมูลพร้อมกับการป้องกันอื่นๆ ทั้งหมดภายใต้ข้อกำหนดเหล่านี้ โดยเฉพาะอย่างยิ่งการจำกัดวัตถุประสงค์

  9. เอกสารและการปฏิบัติตามข้อกำหนด

    1. ผู้นำเข้าข้อมูลจะต้องจัดการกับคำถามจากผู้ส่งออกข้อมูลที่เกี่ยวข้องกับการประมวลผลภายใต้ข้อกำหนดเหล่านี้โดยทันทีและเพียงพอ
    2. ภาคีจะต้องสามารถแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดเหล่านี้ โดยเฉพาะอย่างยิ่ง ผู้นำเข้าข้อมูลจะต้องเก็บเอกสารที่เหมาะสมเกี่ยวกับกิจกรรมการประมวลผลที่ดำเนินการในนามของผู้ส่งออกข้อมูล
    3. ผู้นำเข้าข้อมูลจะต้องจัดเตรียมข้อมูลทั้งหมดที่จำเป็นต่อผู้ส่งออกข้อมูลที่จำเป็นเพื่อแสดงการปฏิบัติตามภาระหน้าที่ที่กำหนดไว้ในข้อกำหนดเหล่านี้และตามคำขอของผู้ส่งออกข้อมูล อนุญาตและสนับสนุนการตรวจสอบกิจกรรมการประมวลผลที่ครอบคลุมโดยข้อกำหนดเหล่านี้ ในช่วงเวลาที่เหมาะสมหรือ หากมีข้อบ่งชี้ของการไม่ปฏิบัติตาม ในการตัดสินใจทบทวนหรือตรวจสอบ ผู้ส่งออกข้อมูลอาจคำนึงถึงการรับรองที่เกี่ยวข้องที่ผู้นำเข้าข้อมูลถืออยู่
    4. ผู้ส่งออกข้อมูลอาจเลือกดำเนินการตรวจสอบด้วยตนเองหรือมอบหมายให้ผู้ตรวจสอบอิสระ การตรวจสอบอาจรวมถึงการตรวจสอบที่สถานที่หรือสิ่งอำนวยความสะดวกทางกายภาพของผู้นำเข้าข้อมูล และต้องดำเนินการด้วยการแจ้งให้ทราบตามสมควร
    5. ภาคีจะต้องให้ข้อมูลที่อ้างถึงในวรรค (b) และ (c) รวมถึงผลการตรวจสอบใด ๆ ที่มีให้หน่วยงานกำกับดูแลที่มีอำนาจเมื่อมีการร้องขอ
    ข้อตกลงว่าด้วยเขตเศรษฐกิจยุโรป (ข้อตกลง EEA) จัดให้มีการขยายตลาดภายในของสหภาพยุโรปไปยังสามรัฐ EEA ไอซ์แลนด์ ลิกเตนสไตน์ และนอร์เวย์ กฎหมายคุ้มครองข้อมูลของสหภาพ รวมถึงข้อบังคับ (EU) 2016/679 อยู่ภายใต้ข้อตกลง EEA และได้รวมอยู่ในภาคผนวก XI ของกฎหมายดังกล่าว ดังนั้น การเปิดเผยใดๆ โดยผู้นำเข้าข้อมูลไปยังบุคคลที่สามที่อยู่ใน EEA จึงไม่เข้าข่ายเป็นการโอนส่งต่อตามวัตถุประสงค์ของข้อเหล่านี้

MODULE THREE: ถ่ายโอนโปรเซสเซอร์ไปยังโปรเซสเซอร์

  1. คำแนะนำ

    1. ผู้ส่งออกข้อมูลได้แจ้งให้ผู้นำเข้าข้อมูลทราบว่าตนทำหน้าที่เป็นผู้ประมวลผลตามคำแนะนำของผู้ควบคุม ซึ่งผู้ส่งออกข้อมูลจะต้องจัดเตรียมให้ผู้นำเข้าข้อมูลทราบก่อนดำเนินการ
    2. ผู้นำเข้าข้อมูลจะต้องประมวลผลข้อมูลส่วนบุคคลตามคำสั่งที่เป็นเอกสารจากผู้ควบคุมเท่านั้น ตามที่ผู้ส่งออกข้อมูลสื่อสารกับผู้นำเข้าข้อมูล และคำแนะนำที่เป็นเอกสารเพิ่มเติมจากผู้ส่งออกข้อมูล คำแนะนำเพิ่มเติมดังกล่าวจะต้องไม่ขัดแย้งกับคำแนะนำจากผู้ควบคุม ผู้ควบคุมหรือผู้ส่งออกข้อมูลอาจให้คำแนะนำที่เป็นเอกสารเพิ่มเติมเกี่ยวกับการประมวลผลข้อมูลตลอดระยะเวลาของสัญญา
    3. ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบทันทีหากไม่สามารถปฏิบัติตามคำแนะนำดังกล่าวได้ ในกรณีที่ผู้นำเข้าข้อมูลไม่สามารถปฏิบัติตามคำแนะนำจากผู้ควบคุมได้ ผู้ส่งออกข้อมูลจะต้องแจ้งให้ผู้ควบคุมทราบทันที
    4. ผู้ส่งออกข้อมูลรับประกันว่าได้กำหนดภาระหน้าที่ในการปกป้องข้อมูลเดียวกันกับผู้นำเข้าข้อมูลตามที่กำหนดไว้ในสัญญาหรือการดำเนินการทางกฎหมายอื่น ๆ ภายใต้กฎหมายของสหภาพหรือรัฐสมาชิกระหว่างผู้ควบคุมและผู้ส่งออกข้อมูล

  2. ข้อจำกัดวัตถุประสงค์

    ผู้นำเข้าข้อมูลจะต้องประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เฉพาะของการถ่ายโอนเท่านั้น ตามที่กำหนดไว้ในภาคผนวก IB เว้นแต่จะได้รับคำแนะนำเพิ่มเติมจากผู้ควบคุมตามที่ผู้ส่งออกข้อมูลแจ้งไปยังผู้นำเข้าข้อมูลหรือจากข้อมูล ผู้ส่งออก

  3. ความโปร่งใส

    เมื่อได้รับการร้องขอ ผู้ส่งออกข้อมูลจะต้องทำสำเนาของข้อกำหนดเหล่านี้ รวมถึงภาคผนวกที่คู่สัญญาได้กรอกไว้ พร้อมให้บริการแก่เจ้าของข้อมูลโดยไม่เสียค่าใช้จ่าย ในขอบเขตที่จำเป็นในการปกป้องความลับทางธุรกิจหรือข้อมูลที่เป็นความลับอื่น ๆ รวมถึงข้อมูลส่วนบุคคล ผู้ส่งออกข้อมูลอาจแก้ไขส่วนหนึ่งของข้อความในภาคผนวกก่อนที่จะแบ่งปันสำเนา แต่จะให้ข้อมูลสรุปที่มีความหมายในกรณีที่เจ้าของข้อมูลไม่สามารถ เพื่อทำความเข้าใจเนื้อหาหรือใช้สิทธิ์ของตน เมื่อมีการร้องขอ ภาคีจะต้องให้เหตุผลในการแก้ไขแก่เจ้าของข้อมูล ในขอบเขตที่เป็นไปได้โดยไม่เปิดเผยข้อมูลที่แก้ไข

  4. ความถูกต้อง

    หากผู้นำเข้าข้อมูลทราบว่าข้อมูลส่วนบุคคลที่ได้รับไม่ถูกต้อง หรือล้าสมัย จะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบโดยไม่ชักช้า ในกรณีนี้ ผู้นำเข้าข้อมูลจะต้องร่วมมือกับผู้ส่งออกข้อมูลเพื่อแก้ไขหรือลบข้อมูล ดูมาตรา 28(4) ของกฎระเบียบ (EU) 2016/679 และในกรณีที่ผู้ควบคุมเป็นสถาบันหรือหน่วยงานในสหภาพยุโรป มาตรา 29(4) ของระเบียบ (EU) 2018/1725

  5. ระยะเวลาของการประมวลผลและการลบหรือการส่งคืนข้อมูล

    การประมวลผลโดยผู้นำเข้าข้อมูลจะเกิดขึ้นตามระยะเวลาที่ระบุไว้ในภาคผนวก IB หลังจากสิ้นสุดข้อกำหนดของบริการการประมวลผล ผู้นำเข้าข้อมูลจะต้องลบข้อมูลส่วนบุคคลทั้งหมดที่ประมวลผลในนามของผู้ควบคุมตามทางเลือกของผู้ส่งออกข้อมูล และรับรองกับผู้ส่งออกข้อมูลว่าได้ดำเนินการดังกล่าว หรือส่งคืนข้อมูลส่วนบุคคลทั้งหมดที่ประมวลผลในนามของผู้ส่งออกข้อมูลและลบสำเนาที่มีอยู่ จนกว่าข้อมูลจะถูกลบหรือส่งคืน ผู้นำเข้าข้อมูลจะต้องดำเนินการเพื่อให้แน่ใจว่าสอดคล้องกับข้อกำหนดเหล่านี้ ในกรณีของกฎหมายท้องถิ่นที่ใช้บังคับกับผู้นำเข้าข้อมูลที่ห้ามไม่ให้ส่งคืนหรือลบข้อมูลส่วนบุคคล ผู้นำเข้าข้อมูลรับประกันว่าจะยังคงปฏิบัติตามข้อกำหนดเหล่านี้และจะดำเนินการตามขอบเขตและตราบเท่าที่จำเป็นเท่านั้น กฎหมายท้องถิ่น โดยไม่กระทบต่อข้อ 14 โดยเฉพาะข้อกำหนดสำหรับผู้นำเข้าข้อมูลตามข้อ 14(e) ที่ต้องแจ้งให้ผู้ส่งออกข้อมูลทราบตลอดระยะเวลาของสัญญาหากมีเหตุผลที่เชื่อได้ว่าเป็นไปตามกฎหมายหรือแนวปฏิบัติ ไม่เป็นไปตามข้อกำหนดในข้อ 14(ก)

  6. ความปลอดภัยของการประมวลผล

    1. ผู้นำเข้าข้อมูลและผู้ส่งออกข้อมูลจะต้องดำเนินการตามมาตรการทางเทคนิคและองค์กรที่เหมาะสมในระหว่างการส่งข้อมูล ซึ่งรวมถึงการป้องกันการละเมิดความปลอดภัยที่นำไปสู่การทำลาย การสูญเสีย การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย ข้อมูลนั้น (ต่อไปนี้จะเรียกว่า "การละเมิดข้อมูลส่วนบุคคล") ในการประเมินระดับความปลอดภัยที่เหมาะสม พวกเขาจะต้องคำนึงถึงความทันสมัย ​​ค่าใช้จ่ายในการดำเนินการ ธรรมชาติ ขอบเขต บริบทและวัตถุประสงค์ของการประมวลผล และความเสี่ยงที่เกี่ยวข้องกับการประมวลผลสำหรับเจ้าของข้อมูล โดยเฉพาะอย่างยิ่ง ภาคีจะต้องพิจารณาให้มีการเข้ารหัสหรือการใช้นามแฝง รวมถึงในระหว่างการส่ง ซึ่งวัตถุประสงค์ของการประมวลผลสามารถบรรลุผลได้ในลักษณะนั้น ในกรณีของการใช้นามแฝง ข้อมูลเพิ่มเติมสำหรับการระบุข้อมูลส่วนบุคคลของเจ้าของข้อมูลเฉพาะ หากเป็นไปได้ ให้อยู่ภายใต้การควบคุมของผู้ส่งออกข้อมูลหรือผู้ควบคุมแต่เพียงผู้เดียว ในการปฏิบัติตามพันธกรณีตามวรรคนี้ ผู้นำเข้าข้อมูลอย่างน้อยต้องดำเนินการตามมาตรการทางเทคนิคและเชิงองค์กรตามที่ระบุไว้ในภาคผนวก II ผู้นำเข้าข้อมูลจะต้องดำเนินการตรวจสอบอย่างสม่ำเสมอเพื่อให้แน่ใจว่ามาตรการเหล่านี้ยังคงให้ระดับความปลอดภัยที่เหมาะสม
    2. ผู้นำเข้าข้อมูลจะต้องให้สิทธิ์การเข้าถึงข้อมูลแก่สมาชิกของบุคลากรของตนเท่าที่จำเป็นอย่างเคร่งครัดสำหรับการดำเนินการ การจัดการ และการตรวจสอบสัญญา จะต้องตรวจสอบให้แน่ใจว่าบุคคลที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนบุคคลได้ให้คำมั่นว่าจะรักษาความลับหรืออยู่ภายใต้ภาระผูกพันตามกฎหมายที่เหมาะสมในการรักษาความลับ
    3. ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคลเกี่ยวกับข้อมูลส่วนบุคคลที่ประมวลผลโดยผู้นำเข้าข้อมูลภายใต้ข้อกำหนดเหล่านี้ ผู้นำเข้าข้อมูลจะใช้มาตรการที่เหมาะสมเพื่อจัดการกับการละเมิด ซึ่งรวมถึงมาตรการเพื่อบรรเทาผลกระทบที่ไม่พึงประสงค์ ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบโดยไม่ชักช้า และผู้ควบคุมหากเหมาะสมและเป็นไปได้หลังจากที่ทราบถึงการละเมิดแล้ว การแจ้งเตือนดังกล่าวจะต้องมีรายละเอียดของจุดติดต่อที่สามารถขอข้อมูลเพิ่มเติม คำอธิบายเกี่ยวกับลักษณะของการละเมิด (รวมถึงหมวดหมู่และจำนวนโดยประมาณของเจ้าของข้อมูลและบันทึกข้อมูลส่วนบุคคลที่เกี่ยวข้อง) ผลที่น่าจะตามมาและ มาตรการที่ดำเนินการหรือเสนอเพื่อแก้ไขการละเมิดข้อมูล รวมถึงมาตรการเพื่อบรรเทาผลกระทบที่อาจเกิดขึ้น ในกรณีที่ไม่สามารถให้ข้อมูลทั้งหมดพร้อมกันได้ การแจ้งเตือนในเบื้องต้นจะต้องมีข้อมูลที่มีอยู่ในขณะนั้น และข้อมูลเพิ่มเติม หากมีให้ จะจัดเตรียมให้ในภายหลังโดยไม่ชักช้า
    4. ผู้นำเข้าข้อมูลจะต้องร่วมมือและช่วยเหลือผู้ส่งออกข้อมูลเพื่อให้ผู้ส่งออกข้อมูลสามารถปฏิบัติตามภาระผูกพันภายใต้ระเบียบ (EU) 2016/679 โดยเฉพาะอย่างยิ่งเพื่อแจ้งให้ผู้ควบคุมของตนทราบเพื่อที่ผู้ส่งออกข้อมูลอาจแจ้งหน่วยงานกำกับดูแลที่มีอำนาจและ เจ้าของข้อมูลที่ได้รับผลกระทบ โดยคำนึงถึงธรรมชาติของการประมวลผลและข้อมูลที่มีให้สำหรับผู้นำเข้าข้อมูล

  7. ข้อมูลที่ละเอียดอ่อน

    ในกรณีที่การถ่ายโอนเกี่ยวข้องกับข้อมูลส่วนบุคคลที่เปิดเผยแหล่งกำเนิดทางเชื้อชาติหรือชาติพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา หรือการเป็นสมาชิกสหภาพแรงงาน ข้อมูลทางพันธุกรรม หรือข้อมูลไบโอเมตริกซ์เพื่อวัตถุประสงค์ในการระบุตัวบุคคลโดยเฉพาะ ข้อมูลเกี่ยวกับสุขภาพหรือชีวิตทางเพศของบุคคล หรือ รสนิยมทางเพศหรือข้อมูลที่เกี่ยวข้องกับการตัดสินลงโทษและความผิดทางอาญา (ต่อไปนี้เรียกว่า "ข้อมูลที่ละเอียดอ่อน") ผู้นำเข้าข้อมูลจะต้องใช้ข้อจำกัดเฉพาะและ/หรือการป้องกันเพิ่มเติมที่กำหนดไว้ในภาคผนวก IB

  8. โอนต่อ

    ผู้นำเข้าข้อมูลจะต้องเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลที่สามตามคำสั่งที่เป็นเอกสารจากผู้ควบคุมเท่านั้น ตามที่ผู้ส่งออกข้อมูลได้แจ้งไปยังผู้นำเข้าข้อมูล นอกจากนี้ ข้อมูลจะต้องเปิดเผยต่อบุคคลที่สามที่อยู่นอกสหภาพยุโรปเท่านั้น (ในประเทศเดียวกับผู้นำเข้าข้อมูลหรือในประเทศที่สามอื่น ซึ่งต่อไปนี้จะ "โอนต่อไป") หากบุคคลที่สามเป็นหรือตกลงที่จะผูกพันตาม ข้อเหล่านี้ ภายใต้โมดูลที่เหมาะสม หรือหาก:
    1. การส่งต่อไปยังประเทศที่ได้รับประโยชน์จากการตัดสินใจที่เพียงพอตามมาตรา 45 ของระเบียบ (EU) 2016/679 ที่ครอบคลุมการโอนต่อไป
    2. บุคคลที่สามต้องประกันการป้องกันที่เหมาะสมตามมาตรา 46 หรือ 47 ของระเบียบ (EU) 2016/679;
    3. การโอนย้ายต่อไปมีความจำเป็นสำหรับการจัดตั้ง การดำเนินการ หรือการป้องกันข้อเรียกร้องทางกฎหมายในบริบทของการดำเนินการทางปกครอง กฎระเบียบ หรือการพิจารณาคดีที่เฉพาะเจาะจง หรือ
    4. การถ่ายโอนข้อมูลต่อไปมีความจำเป็นเพื่อปกป้องผลประโยชน์ที่สำคัญของเจ้าของข้อมูลหรือของบุคคลธรรมดาอื่น
    การถ่ายโอนข้อมูลใดๆ ต่อไปข้างหน้าจะต้องปฏิบัติตามโดยผู้นำเข้าข้อมูลพร้อมกับการป้องกันอื่นๆ ทั้งหมดภายใต้ข้อกำหนดเหล่านี้ โดยเฉพาะอย่างยิ่งการจำกัดวัตถุประสงค์

  9. เอกสารและการปฏิบัติตามข้อกำหนด

    1. ผู้นำเข้าข้อมูลจะต้องจัดการกับคำถามจากผู้ส่งออกข้อมูลหรือผู้ควบคุมที่เกี่ยวข้องกับการประมวลผลภายใต้ข้อกำหนดเหล่านี้โดยทันทีและเพียงพอ
    2. ภาคีจะต้องสามารถแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดเหล่านี้ โดยเฉพาะอย่างยิ่ง ผู้นำเข้าข้อมูลจะต้องเก็บเอกสารที่เหมาะสมเกี่ยวกับกิจกรรมการประมวลผลที่ดำเนินการในนามของผู้ควบคุม
    3. ผู้นำเข้าข้อมูลจะต้องจัดทำข้อมูลทั้งหมดที่จำเป็นในการแสดงการปฏิบัติตามภาระผูกพันที่กำหนดไว้ในข้อกำหนดเหล่านี้สำหรับผู้ส่งออกข้อมูล ซึ่งจะมอบให้กับผู้ควบคุม
    4. ผู้นำเข้าข้อมูลต้องอนุญาตและสนับสนุนการตรวจสอบโดยผู้ส่งออกข้อมูลของกิจกรรมการประมวลผลที่ครอบคลุมโดยข้อกำหนดเหล่านี้ ในช่วงเวลาที่เหมาะสมหรือหากมีข้อบ่งชี้ของการไม่ปฏิบัติตาม เช่นเดียวกับที่ผู้ส่งออกข้อมูลร้องขอให้มีการตรวจสอบตามคำสั่งของผู้ควบคุม ในการตัดสินใจตรวจสอบ ผู้ส่งออกข้อมูลอาจพิจารณาการรับรองที่เกี่ยวข้องที่ผู้นำเข้าข้อมูลถืออยู่
    5. ในกรณีที่มีการดำเนินการตรวจสอบตามคำแนะนำของผู้ควบคุม ผู้ส่งออกข้อมูลจะต้องแสดงผลลัพธ์ให้ผู้ควบคุมทราบ
    6. ผู้ส่งออกข้อมูลอาจเลือกดำเนินการตรวจสอบด้วยตนเองหรือมอบหมายให้ผู้ตรวจสอบอิสระ การตรวจสอบอาจรวมถึงการตรวจสอบที่สถานที่หรือสิ่งอำนวยความสะดวกทางกายภาพของผู้นำเข้าข้อมูล และต้องดำเนินการด้วยการแจ้งให้ทราบตามสมควร
    7. ภาคีจะต้องให้ข้อมูลที่อ้างถึงในวรรค (b) และ (c) รวมถึงผลการตรวจสอบใด ๆ ที่มีให้หน่วยงานกำกับดูแลที่มีอำนาจเมื่อมีการร้องขอ

MODULE FOUR: ถ่ายโอนโปรเซสเซอร์ไปยังคอนโทรลเลอร์

  1. คำแนะนำ

    1. ผู้ส่งออกข้อมูลจะต้องประมวลผลข้อมูลส่วนบุคคลตามคำสั่งที่เป็นเอกสารจากผู้นำเข้าข้อมูลที่ทำหน้าที่เป็นผู้ควบคุมเท่านั้น
    2. ผู้ส่งออกข้อมูลจะต้องแจ้งให้ผู้นำเข้าข้อมูลทราบทันทีหากไม่สามารถปฏิบัติตามคำแนะนำเหล่านั้นได้ รวมถึงหากคำสั่งดังกล่าวละเมิดระเบียบ (EU) 2016/679 หรือกฎหมายคุ้มครองข้อมูลของสหภาพหรือประเทศสมาชิกอื่นๆ
    3. ผู้นำเข้าข้อมูลจะต้องละเว้นจากการกระทำใดๆ ที่จะขัดขวางผู้ส่งออกข้อมูลจากการปฏิบัติตามภาระหน้าที่ภายใต้ระเบียบ (EU) 2016/679 รวมถึงในบริบทของการประมวลผลย่อยหรือเกี่ยวกับความร่วมมือกับหน่วยงานกำกับดูแลที่มีอำนาจ
    4. หลังจากสิ้นสุดข้อกำหนดของบริการประมวลผล ผู้ส่งออกข้อมูลจะเลือกผู้นำเข้าข้อมูลตามทางเลือกของผู้นำเข้าข้อมูล ลบข้อมูลส่วนบุคคลทั้งหมดที่ประมวลผลในนามของผู้นำเข้าข้อมูล และรับรองกับผู้นำเข้าข้อมูลว่าได้ดำเนินการดังกล่าวแล้ว หรือกลับไปที่ ผู้นำเข้าข้อมูล ข้อมูลส่วนบุคคลทั้งหมดที่ประมวลผลในนามของตนและลบสำเนาที่มีอยู่

  2. ความปลอดภัยของการประมวลผล

    1. คู่สัญญาจะต้องดำเนินการตามมาตรการทางเทคนิคและเชิงองค์กรที่เหมาะสมเพื่อรับรองความปลอดภัยของข้อมูล รวมถึงในระหว่างการส่ง และการป้องกันการละเมิดความปลอดภัยที่นำไปสู่การทำลายโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย การสูญเสีย การเปลี่ยนแปลง การเปิดเผยหรือการเข้าถึงโดยไม่ได้รับอนุญาต (ต่อไปนี้เรียกว่า "การละเมิดข้อมูลส่วนบุคคล" ). ในการประเมินระดับความปลอดภัยที่เหมาะสม พวกเขาจะต้องคำนึงถึงความทันสมัย ​​ค่าใช้จ่ายในการดำเนินการ ธรรมชาติของข้อมูลส่วนบุคคล ลักษณะ ขอบเขต บริบทและวัตถุประสงค์ของการประมวลผลและความเสี่ยงที่เกี่ยวข้อง การประมวลผลสำหรับเจ้าของข้อมูล และโดยเฉพาะอย่างยิ่ง พิจารณาให้มีการเข้ารหัสหรือการใช้นามแฝง รวมถึงในระหว่างการส่ง ซึ่งวัตถุประสงค์ของการประมวลผลสามารถทำได้ในลักษณะนั้น
    2. ผู้ส่งออกข้อมูลจะต้องช่วยเหลือผู้นำเข้าข้อมูลในการรักษาความปลอดภัยที่เหมาะสมของข้อมูลตามวรรค (ก) ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคลเกี่ยวกับข้อมูลส่วนบุคคลที่ประมวลผลโดยผู้ส่งออกข้อมูลภายใต้ข้อกำหนดเหล่านี้ ผู้ส่งออกข้อมูลจะต้องแจ้งให้ผู้นำเข้าข้อมูลทราบโดยไม่ชักช้าหลังจากรับทราบและช่วยเหลือผู้นำเข้าข้อมูลในการจัดการกับการละเมิด
    3. ผู้ส่งออกข้อมูลจะต้องตรวจสอบให้แน่ใจว่าบุคคลที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนบุคคลได้ให้คำมั่นว่าจะรักษาความลับหรืออยู่ภายใต้ภาระผูกพันตามกฎหมายที่เหมาะสมในการรักษาความลับ

  3. เอกสารและการปฏิบัติตามข้อกำหนด

    1. ภาคีจะต้องสามารถแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดเหล่านี้
    2. ผู้ส่งออกข้อมูลจะต้องจัดเตรียมข้อมูลทั้งหมดที่จำเป็นต่อผู้นำเข้าข้อมูลที่จำเป็นเพื่อแสดงการปฏิบัติตามภาระผูกพันภายใต้ข้อกำหนดเหล่านี้ และอนุญาตและสนับสนุนการตรวจสอบ
    ซึ่งรวมถึงการถ่ายโอนและการประมวลผลเพิ่มเติมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่เปิดเผยเชื้อชาติหรือชาติพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา หรือการเป็นสมาชิกสหภาพแรงงาน ข้อมูลทางพันธุกรรมหรือข้อมูลไบโอเมตริกซ์เพื่อจุดประสงค์ในการระบุบุคคลธรรมดาโดยเฉพาะ ข้อมูลเกี่ยวกับสุขภาพ หรือ ชีวิตทางเพศหรือรสนิยมทางเพศของบุคคล หรือข้อมูลที่เกี่ยวข้องกับการกระทำผิดหรือความผิดทางอาญา

ข้อ 9

การใช้โปรเซสเซอร์ย่อย

  1. MODULE TWO: ถ่ายโอนคอนโทรลเลอร์ไปยังโปรเซสเซอร์

    1. ตัวเลือกที่ 1: การอนุญาตเฉพาะก่อน ผู้นำเข้าข้อมูลจะไม่ทำสัญญาช่วงกิจกรรมการประมวลผลใด ๆ ที่ดำเนินการในนามของผู้ส่งออกข้อมูลภายใต้เงื่อนไขเหล่านี้ไปยังผู้ประมวลผลย่อยโดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษรล่วงหน้าของผู้ส่งออกข้อมูล ผู้นำเข้าข้อมูลจะต้องส่งคำขออนุญาตเฉพาะอย่างน้อย [ระบุช่วงเวลา] ก่อนการมีส่วนร่วมของผู้ประมวลผลข้อมูลช่วง ร่วมกับข้อมูลที่จำเป็นเพื่อให้ผู้ส่งออกข้อมูลตัดสินใจเกี่ยวกับการอนุญาต รายชื่อผู้ประมวลผลย่อยที่ได้รับอนุญาตจากผู้ส่งออกข้อมูลแล้ว สามารถดูได้ในภาคผนวก III ภาคีจะต้องปรับปรุงภาคผนวก III ให้เป็นปัจจุบัน ตัวเลือกที่ 2: การอนุญาตเป็นลายลักษณ์อักษรทั่วไป ผู้นำเข้าข้อมูลได้รับอนุญาตทั่วไปของผู้ส่งออกข้อมูลสำหรับการมีส่วนร่วมของผู้ประมวลผลย่อยจากรายการที่ตกลงกันไว้ ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบเป็นลายลักษณ์อักษรถึงการเปลี่ยนแปลงใดๆ ในรายการนั้นผ่านการเพิ่มหรือเปลี่ยนตัวประมวลผลย่อยอย่างน้อย [ระบุช่วงเวลา] ล่วงหน้า ซึ่งจะทำให้ผู้ส่งออกข้อมูลมีเวลาเพียงพอที่จะสามารถคัดค้านได้ การเปลี่ยนแปลงดังกล่าวก่อนการมีส่วนร่วมของผู้ประมวลผลช่วง ผู้นำเข้าข้อมูลจะต้องให้ข้อมูลที่จำเป็นแก่ผู้ส่งออกข้อมูลเพื่อให้ผู้ส่งออกข้อมูลสามารถใช้สิทธิ์ในการคัดค้านได้
    2. ในกรณีที่ผู้นำเข้าข้อมูลว่าจ้างผู้ประมวลผลช่วงเพื่อดำเนินกิจกรรมการประมวลผลเฉพาะ (ในนามของผู้ส่งออกข้อมูล) ผู้นำเข้าข้อมูลจะต้องดำเนินการตามสัญญาเป็นลายลักษณ์อักษรที่ให้ข้อกำหนดในการปกป้องข้อมูลเช่นเดียวกับที่มีผลผูกพัน ผู้นำเข้าข้อมูลภายใต้เงื่อนไขเหล่านี้ รวมถึงในแง่ของสิทธิ์ผู้รับผลประโยชน์ที่เป็นบุคคลที่สามสำหรับเจ้าของข้อมูล คู่สัญญาตกลงว่าโดยการปฏิบัติตามข้อกำหนดนี้ ผู้นำเข้าข้อมูลปฏิบัติตามภาระผูกพันภายใต้ข้อ 8.8 ผู้นำเข้าข้อมูลจะต้องตรวจสอบให้แน่ใจว่าผู้ประมวลผลช่วงนั้นปฏิบัติตามภาระผูกพันที่ผู้นำเข้าข้อมูลอยู่ภายใต้ข้อกำหนดเหล่านี้
    3. ผู้นำเข้าข้อมูลจะต้องจัดเตรียมสำเนาของข้อตกลงผู้ให้บริการช่วงดังกล่าวและการแก้ไขเพิ่มเติมใดๆ ต่อผู้ส่งออกข้อมูลตามคำร้องขอของผู้ส่งออกข้อมูล ในขอบเขตที่จำเป็นในการปกป้องความลับทางธุรกิจหรือข้อมูลที่เป็นความลับอื่น ๆ รวมถึงข้อมูลส่วนบุคคล ผู้นำเข้าข้อมูลอาจแก้ไขข้อความของข้อตกลงก่อนที่จะแบ่งปันสำเนา
    4. ผู้นำเข้าข้อมูลจะต้องรับผิดชอบต่อผู้ส่งออกข้อมูลอย่างเต็มที่สำหรับการปฏิบัติตามภาระหน้าที่ของผู้ประมวลผลช่วงภายใต้สัญญากับผู้นำเข้าข้อมูล ผู้นำเข้าข้อมูลต้องแจ้งให้ผู้ส่งออกข้อมูลทราบถึงความล้มเหลวของผู้ประมวลผลช่วงในการปฏิบัติตามภาระผูกพันภายใต้สัญญานั้น
    5. ผู้นำเข้าข้อมูลจะต้องยอมรับข้อกำหนดผู้รับผลประโยชน์ที่เป็นบุคคลที่สามกับผู้ประมวลผลช่วงโดยที่ - ในกรณีที่ผู้นำเข้าข้อมูลหายไปตามข้อเท็จจริง หยุดการมีอยู่ในกฎหมาย หรือล้มละลาย - ผู้ส่งออกข้อมูลจะมีสิทธิที่จะยุติการย่อย- สัญญาประมวลผลและสั่งให้ผู้ประมวลผลย่อยลบหรือส่งคืนข้อมูลส่วนบุคคล
    ข้อกำหนดนี้อาจได้รับการตอบสนองโดยผู้ให้บริการช่วงที่ปฏิบัติตามข้อกำหนดเหล่านี้ภายใต้โมดูลที่เหมาะสมตามข้อ 7

MODULE THREE: ถ่ายโอนโปรเซสเซอร์ไปยังโปรเซสเซอร์

  1. ตัวเลือกที่ 1: การอนุญาตล่วงหน้าแบบเฉพาะเจาะจง ผู้นำเข้าข้อมูลจะต้องไม่ทำสัญญาย่อยกิจกรรมการประมวลผลใด ๆ ที่ดำเนินการในนามของผู้ส่งออกข้อมูลภายใต้ข้อกำหนดเหล่านี้แก่ผู้ประมวลผลย่อยโดยไม่ได้รับการอนุญาตเป็นลายลักษณ์อักษรจากผู้ควบคุมก่อน ผู้นำเข้าข้อมูลจะต้องส่งคำร้องขอการอนุญาตเฉพาะอย่างน้อย [ระบุช่วงเวลา] ก่อนการมีส่วนร่วมของผู้ประมวลผลย่อย พร้อมด้วยข้อมูลที่จำเป็นเพื่อให้ผู้ควบคุมตัดสินใจเกี่ยวกับการอนุญาต จะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบถึงการมีส่วนร่วมดังกล่าว รายชื่อโปรเซสเซอร์ย่อยที่ได้รับอนุญาตจากคอนโทรลเลอร์แล้วสามารถดูได้ในภาคผนวก III คู่ภาคีจะต้องปรับปรุงภาคผนวก III ให้ทันสมัยอยู่เสมอ ตัวเลือกที่ 2: การอนุญาตเป็นลายลักษณ์อักษรทั่วไป ผู้นำเข้าข้อมูลมีการอนุญาตทั่วไปของผู้ควบคุมสำหรับการว่าจ้างผู้ประมวลผลย่อยจากรายการที่ตกลงไว้ ผู้นำเข้าข้อมูลต้องแจ้งให้ผู้ควบคุมทราบเป็นลายลักษณ์อักษรโดยเฉพาะถึงการเปลี่ยนแปลงที่ตั้งใจไว้ในรายการนั้นผ่านการเพิ่มหรือเปลี่ยนผู้ประมวลผลย่อยล่วงหน้าอย่างน้อย [ระบุช่วงเวลา] เพื่อให้ผู้ควบคุมมีเวลาเพียงพอที่จะสามารถคัดค้านการเปลี่ยนแปลงดังกล่าวได้ ก่อนการมีส่วนร่วมของผู้ประมวลผลย่อย ผู้นำเข้าข้อมูลจะต้องให้ข้อมูลที่จำเป็นแก่ผู้ควบคุมเพื่อให้ผู้ควบคุมสามารถใช้สิทธิในการคัดค้านได้ ผู้นำเข้าข้อมูลต้องแจ้งให้ผู้ส่งออกข้อมูลทราบถึงการมีส่วนร่วมของผู้ประมวลผลย่อย
  2. ในกรณีที่ผู้นำเข้าข้อมูลว่าจ้างผู้ประมวลผลช่วงเพื่อดำเนินกิจกรรมการประมวลผลเฉพาะ (ในนามของผู้ควบคุม) จะต้องดำเนินการตามสัญญาที่เป็นลายลักษณ์อักษรซึ่งให้ภาระผูกพันในการปกป้องข้อมูลเช่นเดียวกับการผูกมัดข้อมูล ผู้นำเข้าภายใต้เงื่อนไขเหล่านี้ รวมถึงในแง่ของสิทธิ์ผู้รับผลประโยชน์ที่เป็นบุคคลที่สามสำหรับเจ้าของข้อมูล คู่สัญญาตกลงว่าโดยการปฏิบัติตามข้อกำหนดนี้ ผู้นำเข้าข้อมูลปฏิบัติตามภาระผูกพันภายใต้ข้อ 8.8 ผู้นำเข้าข้อมูลจะต้องตรวจสอบให้แน่ใจว่าผู้ประมวลผลช่วงนั้นปฏิบัติตามภาระผูกพันที่ผู้นำเข้าข้อมูลอยู่ภายใต้ข้อกำหนดเหล่านี้
  3. ผู้นำเข้าข้อมูลจะต้องจัดเตรียมสำเนาของข้อตกลงผู้ให้บริการช่วงดังกล่าวและการแก้ไขเพิ่มเติมใดๆ ตามคำร้องขอของผู้ส่งออกหรือผู้ควบคุม ในขอบเขตที่จำเป็นในการปกป้องความลับทางธุรกิจหรือข้อมูลที่เป็นความลับอื่น ๆ รวมถึงข้อมูลส่วนบุคคล ผู้นำเข้าข้อมูลอาจแก้ไขข้อความของข้อตกลงก่อนที่จะแบ่งปันสำเนา
  4. ผู้นำเข้าข้อมูลจะต้องรับผิดชอบต่อผู้ส่งออกข้อมูลอย่างเต็มที่สำหรับการปฏิบัติตามภาระหน้าที่ของผู้ประมวลผลช่วงภายใต้สัญญากับผู้นำเข้าข้อมูล ผู้นำเข้าข้อมูลต้องแจ้งให้ผู้ส่งออกข้อมูลทราบถึงความล้มเหลวของผู้ประมวลผลช่วงในการปฏิบัติตามภาระผูกพันภายใต้สัญญานั้น
  5. ผู้นำเข้าข้อมูลจะต้องยอมรับข้อกำหนดผู้รับผลประโยชน์ที่เป็นบุคคลที่สามกับผู้ประมวลผลช่วงโดยที่ - ในกรณีที่ผู้นำเข้าข้อมูลหายไปตามข้อเท็จจริง หยุดการมีอยู่ในกฎหมาย หรือล้มละลาย - ผู้ส่งออกข้อมูลจะมีสิทธิที่จะยุติการย่อย- สัญญาประมวลผลและสั่งให้ผู้ประมวลผลย่อยลบหรือส่งคืนข้อมูลส่วนบุคคล
ข้อกำหนดนี้อาจได้รับการตอบสนองโดยผู้ให้บริการช่วงที่ปฏิบัติตามข้อกำหนดเหล่านี้ภายใต้โมดูลที่เหมาะสมตามข้อ 7

ข้อ 10

สิทธิ์ของเจ้าของข้อมูล

MODULE ONE: ถ่ายโอนคอนโทรลเลอร์ไปยังคอนโทรลเลอร์

  1. ผู้นำเข้าข้อมูล ซึ่งเกี่ยวข้องกับความช่วยเหลือของผู้ส่งออกข้อมูล จะต้องจัดการกับคำถามและคำขอใดๆ ที่ได้รับจากเจ้าของข้อมูลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของเขา/เธอ และการใช้สิทธิ์ของเขา/เธอภายใต้ข้อกำหนดเหล่านี้โดยไม่สมควร ล่าช้าและอย่างช้าที่สุดภายในหนึ่งเดือนนับแต่วันที่ได้รับการสอบถามหรือร้องขอ ผู้นำเข้าข้อมูลต้องใช้มาตรการที่เหมาะสมเพื่ออำนวยความสะดวกในการสอบถาม คำขอ และการใช้สิทธิ์ของเจ้าของข้อมูล ข้อมูลใดๆ ที่มอบให้กับเจ้าของข้อมูลจะต้องอยู่ในรูปแบบที่เข้าใจได้ง่ายและเข้าถึงได้ง่าย โดยใช้ภาษาที่ชัดเจนและเข้าใจง่าย
  2. โดยเฉพาะอย่างยิ่ง เมื่อเจ้าของข้อมูลร้องขอ ผู้นำเข้าข้อมูลจะต้อง:
    1. ให้การยืนยันกับเจ้าของข้อมูลว่าข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเขา/เธอกำลังได้รับการประมวลผลหรือไม่ และในกรณีนี้ สำเนาของข้อมูลที่เกี่ยวข้องกับเขา/เธอและข้อมูลในภาคผนวก 8.7; หากข้อมูลส่วนบุคคลได้รับหรือจะถูกโอนไป ให้ข้อมูลเกี่ยวกับผู้รับหรือประเภทของผู้รับ (ตามความเหมาะสมเพื่อให้ข้อมูลที่มีความหมาย) ที่ข้อมูลส่วนบุคคลได้รับหรือจะโอนต่อไป วัตถุประสงค์ของการโอนต่อไปดังกล่าวและ เหตุผลของพวกเขาตามข้อ 12; และให้ข้อมูลเกี่ยวกับสิทธิในการยื่นคำร้องต่อหน่วยงานกำกับดูแลตามข้อ XNUMX(c)(i)
    2. แก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์เกี่ยวกับเจ้าของข้อมูล
    3. ลบข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเจ้าของข้อมูลหากข้อมูลดังกล่าวกำลังถูกหรือได้รับการประมวลผลโดยละเมิดข้อกำหนดใด ๆ เหล่านี้เพื่อรับรองสิทธิ์ผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม หรือหากเจ้าของข้อมูลเพิกถอนความยินยอมตามการประมวลผล
  3. ในกรณีที่ผู้นำเข้าข้อมูลประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาดแบบตรง จะต้องยุติการประมวลผลเพื่อวัตถุประสงค์ดังกล่าวหากเจ้าของข้อมูลคัดค้าน
  4. ผู้นำเข้าข้อมูลจะต้องไม่ทำการตัดสินใจตามการประมวลผลอัตโนมัติของข้อมูลส่วนบุคคลที่ถ่ายโอนเท่านั้น (ต่อไปนี้เรียกว่า "การตัดสินใจอัตโนมัติ") ซึ่งจะก่อให้เกิดผลกระทบทางกฎหมายเกี่ยวกับเจ้าของข้อมูลหรือส่งผลกระทบอย่างมีนัยสำคัญในทำนองเดียวกันกับเขา / เธอ เว้นแต่จะได้รับความยินยอมอย่างชัดแจ้งจาก เจ้าของข้อมูลหรือหากได้รับอนุญาตให้ทำภายใต้กฎหมายของประเทศปลายทาง โดยมีเงื่อนไขว่ากฎหมายดังกล่าวกำหนดมาตรการที่เหมาะสมเพื่อปกป้องสิทธิ์และผลประโยชน์ที่ชอบด้วยกฎหมายของเจ้าของข้อมูล ในกรณีนี้ ผู้นำเข้าข้อมูลจะต้องดำเนินการตามความจำเป็นโดยร่วมมือกับผู้ส่งออกข้อมูล:
    1. แจ้งให้เจ้าของข้อมูลทราบเกี่ยวกับการตัดสินใจอัตโนมัติที่คาดการณ์ไว้ ผลที่ตามมา และตรรกะที่เกี่ยวข้อง และ
    2. ใช้มาตรการป้องกันที่เหมาะสม อย่างน้อยก็ทำให้เจ้าของข้อมูลสามารถโต้แย้งการตัดสินใจ แสดงมุมมองของเขา/เธอ และรับการตรวจสอบจากมนุษย์
  5. ในกรณีที่คำขอจากเจ้าของข้อมูลมีมากเกินไป โดยเฉพาะอย่างยิ่งเนื่องจากลักษณะที่ซ้ำซาก ผู้นำเข้าข้อมูลอาจเรียกเก็บค่าธรรมเนียมที่สมเหตุสมผล โดยคำนึงถึงค่าใช้จ่ายในการบริหารจัดการในการอนุญาตคำขอหรือปฏิเสธที่จะดำเนินการตามคำขอ
  6. ผู้นำเข้าข้อมูลอาจปฏิเสธคำขอของเจ้าของข้อมูล หากการปฏิเสธดังกล่าวได้รับอนุญาตภายใต้กฎหมายของประเทศปลายทาง และมีความจำเป็นและเป็นสัดส่วนในสังคมประชาธิปไตยในการปกป้องหนึ่งในวัตถุประสงค์ที่ระบุไว้ในมาตรา 23(1) ของระเบียบ (EU) 2016 /679.
  7. หากผู้นำเข้าข้อมูลตั้งใจที่จะปฏิเสธคำขอของเจ้าของข้อมูล จะต้องแจ้งให้เจ้าของข้อมูลทราบถึงเหตุผลในการปฏิเสธและความเป็นไปได้ที่จะยื่นคำร้องต่อหน่วยงานกำกับดูแลที่มีอำนาจและ/หรือขอคำตัดสินจากศาล

MODULE TWO: ถ่ายโอนคอนโทรลเลอร์ไปยังโปรเซสเซอร์

  1. ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบโดยทันทีถึงคำขอที่ได้รับจากเจ้าของข้อมูล จะไม่ตอบสนองต่อคำขอนั้นเองเว้นแต่จะได้รับอนุญาตจากผู้ส่งออกข้อมูล
  2. ผู้นำเข้าข้อมูลจะต้องช่วยเหลือผู้ส่งออกข้อมูลในการปฏิบัติตามภาระหน้าที่ในการตอบสนองต่อคำขอของเจ้าของข้อมูลสำหรับการใช้สิทธิ์ของตนภายใต้ระเบียบ (EU) 2016/679 ในเรื่องนี้ ภาคีจะต้องกำหนดมาตรการทางเทคนิคและองค์กรที่เหมาะสมในภาคผนวก II โดยคำนึงถึงธรรมชาติของการประมวลผล โดยที่ความช่วยเหลือจะได้รับตลอดจนขอบเขตและขอบเขตของความช่วยเหลือที่จำเป็น
  3. ในการปฏิบัติตามข้อผูกพันตามวรรค (ก) และ (ข) ผู้นำเข้าข้อมูลต้องปฏิบัติตามคำแนะนำของผู้ส่งออกข้อมูล

MODULE THREE: ถ่ายโอนโปรเซสเซอร์ไปยังโปรเซสเซอร์

  1. ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบโดยทันที และผู้ควบคุมคำขอที่ได้รับจากเจ้าของข้อมูลตามความเหมาะสม โดยไม่ตอบสนองต่อคำขอนั้น เว้นแต่จะได้รับอนุญาตจากผู้ควบคุม
  2. ผู้นำเข้าข้อมูลจะต้องช่วยเหลือผู้ควบคุมตามความเหมาะสมโดยร่วมมือกับผู้ส่งออกข้อมูลในการปฏิบัติตามภาระหน้าที่ในการตอบสนองต่อคำขอของเจ้าของข้อมูลสำหรับการใช้สิทธิ์ภายใต้ระเบียบ (EU) 2016/679 หรือระเบียบ (EU) 2018/1725 ตามความเหมาะสม ในเรื่องนี้ ภาคีจะต้องกำหนดมาตรการทางเทคนิคและองค์กรที่เหมาะสมในภาคผนวก II โดยคำนึงถึงธรรมชาติของการประมวลผล โดยที่ความช่วยเหลือจะได้รับตลอดจนขอบเขตและขอบเขตของความช่วยเหลือที่จำเป็น
  3. ในการปฏิบัติตามข้อผูกพันตามวรรค (ก) และ (ข) ผู้นำเข้าข้อมูลต้องปฏิบัติตามคำแนะนำจากผู้ควบคุมตามที่ผู้ส่งออกข้อมูลแจ้งไว้

MODULE FOUR: ถ่ายโอนโปรเซสเซอร์ไปยังคอนโทรลเลอร์

ทั้งสองฝ่ายจะต้องช่วยเหลือซึ่งกันและกันในการตอบคำถามและคำขอที่ทำโดยเจ้าของข้อมูลภายใต้กฎหมายท้องถิ่นที่บังคับใช้กับผู้นำเข้าข้อมูลหรือสำหรับการประมวลผลข้อมูลโดยผู้ส่งออกข้อมูลในสหภาพยุโรปภายใต้ระเบียบ (EU) 2016/679

ข้อ 11

แก้ไข

  1. ผู้นำเข้าข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบในรูปแบบที่โปร่งใสและเข้าถึงได้ง่ายผ่านประกาศส่วนตัวหรือในเว็บไซต์ของจุดติดต่อที่ได้รับอนุญาตให้จัดการข้อร้องเรียน จะจัดการกับข้อร้องเรียนใด ๆ ที่ได้รับจากเจ้าของข้อมูลทันที [ตัวเลือก: ผู้นำเข้าข้อมูลตกลงว่าเจ้าของข้อมูลอาจยื่นเรื่องร้องเรียนกับหน่วยงานระงับข้อพิพาทอิสระโดยไม่มีค่าใช้จ่ายกับเจ้าของข้อมูล จะต้องแจ้งให้เจ้าของข้อมูลทราบในลักษณะที่กำหนดไว้ในวรรค (ก) ถึงกลไกการแก้ไขดังกล่าว และพวกเขาไม่จำเป็นต้องใช้กลไกดังกล่าว หรือทำตามลำดับเฉพาะในการแสวงหาการแก้ไข]

MODULE ONE: ถ่ายโอนคอนโทรลเลอร์ไปยังคอนโทรลเลอร์

MODULE TWO: ถ่ายโอนคอนโทรลเลอร์ไปยังโปรเซสเซอร์

MODULE THREE: ถ่ายโอนโปรเซสเซอร์ไปยังโปรเซสเซอร์

  1. ในกรณีที่มีข้อพิพาทระหว่างเจ้าของข้อมูลกับภาคีหนึ่งเกี่ยวกับการปฏิบัติตามข้อกำหนดเหล่านี้ ภาคีนั้นจะใช้ความพยายามอย่างเต็มที่ในการแก้ไขปัญหาอย่างเป็นกันเองในเวลาที่เหมาะสม คู่ภาคีจะต้องแจ้งให้กันทราบเกี่ยวกับข้อพิพาทดังกล่าว และหากเหมาะสม ให้ความร่วมมือในการแก้ไข
  2. ในกรณีที่เจ้าของข้อมูลเรียกใช้สิทธิ์ผู้รับผลประโยชน์ที่เป็นบุคคลที่สามตามข้อ 3 ผู้นำเข้าข้อมูลจะต้องยอมรับการตัดสินใจของข้อมูลภายใต้:
    1. ยื่นคำร้องต่อหน่วยงานกำกับดูแลในประเทศสมาชิกของถิ่นที่อยู่หรือที่ทำงานของเขา/เธอ หรือหน่วยงานกำกับดูแลที่มีอำนาจตามข้อ 13
    2. ส่งข้อพิพาทไปยังศาลที่มีอำนาจตามความหมายของข้อ 18
  3. ทั้งสองฝ่ายยอมรับว่าเจ้าของข้อมูลอาจเป็นตัวแทนขององค์กร องค์กร หรือสมาคมที่ไม่แสวงหาผลกำไรภายใต้เงื่อนไขที่กำหนดไว้ในมาตรา 80(1) ของระเบียบ (EU) 2016/679
  4. ผู้นำเข้าข้อมูลจะต้องปฏิบัติตามการตัดสินใจที่มีผลผูกพันภายใต้กฎหมายของสหภาพยุโรปหรือประเทศสมาชิกที่บังคับใช้
  5. ผู้นำเข้าข้อมูลตกลงว่าการเลือกที่ทำโดยเจ้าของข้อมูลจะไม่กระทบกระเทือนถึงสิทธิ์ในสาระสำคัญและขั้นตอนของตนในการแสวงหาการเยียวยาตามกฎหมายที่บังคับใช้

ข้อ 12

ความรับผิดชอบ

MODULE ONE: ถ่ายโอนคอนโทรลเลอร์ไปยังคอนโทรลเลอร์

MODULE FOUR: ถ่ายโอนโปรเซสเซอร์ไปยังคอนโทรลเลอร์

  1. ภาคีแต่ละฝ่ายจะต้องรับผิดต่อคู่สัญญาอีกฝ่ายหนึ่งสำหรับความเสียหายใด ๆ ที่เป็นสาเหตุให้อีกฝ่ายหนึ่งโดยการละเมิดข้อกำหนดเหล่านี้
  2. ภาคีแต่ละฝ่ายจะต้องรับผิดต่อเจ้าของข้อมูล และเจ้าของข้อมูลจะมีสิทธิได้รับค่าชดเชยสำหรับความเสียหายที่เป็นสาระสำคัญหรือไม่ใช่สาระสำคัญที่ภาคีก่อให้เกิดเรื่องข้อมูลโดยการละเมิดสิทธิ์ของผู้รับผลประโยชน์ที่เป็นบุคคลที่สามภายใต้ข้อกำหนดเหล่านี้ โดยไม่กระทบต่อความรับผิดของผู้ส่งออกข้อมูลภายใต้ระเบียบ (EU) 2016/679
  3. ในกรณีที่มีภาคีมากกว่าหนึ่งฝ่ายรับผิดชอบต่อความเสียหายใด ๆ ที่เกิดขึ้นกับเจ้าของข้อมูลอันเป็นผลมาจากการละเมิดข้อกำหนดเหล่านี้ ภาคีที่รับผิดชอบทั้งหมดจะต้องรับผิดร่วมกันและหลายฝ่าย และเจ้าของข้อมูลมีสิทธิที่จะดำเนินคดีกับสิ่งใด ๆ เหล่านี้ในศาล ปาร์ตี้.
  4. คู่สัญญาตกลงว่าหากคู่สัญญาฝ่ายหนึ่งต้องรับผิดตามวรรค (c) ฝ่ายนั้นจะมีสิทธิเรียกร้องคืนจากอีกฝ่ายหนึ่งซึ่งเป็นส่วนหนึ่งของค่าชดเชยที่สอดคล้องกับความรับผิดชอบของฝ่ายนั้นๆ สำหรับความเสียหาย
  5. ผู้นำเข้าข้อมูลต้องไม่เรียกการดำเนินการของผู้ประมวลผลหรือผู้ประมวลผลช่วงเพื่อหลีกเลี่ยงความรับผิดของตนเอง

MODULE TWO: ถ่ายโอนคอนโทรลเลอร์ไปยังโปรเซสเซอร์

MODULE THREE: ถ่ายโอนโปรเซสเซอร์ไปยังโปรเซสเซอร์

  1. ภาคีแต่ละฝ่ายจะต้องรับผิดต่อคู่สัญญาอีกฝ่ายหนึ่งสำหรับความเสียหายใด ๆ ที่เป็นสาเหตุให้อีกฝ่ายหนึ่งโดยการละเมิดข้อกำหนดเหล่านี้
  2. ผู้นำเข้าข้อมูลจะต้องรับผิดชอบต่อเจ้าของข้อมูล และเจ้าของข้อมูลมีสิทธิได้รับค่าชดเชยสำหรับความเสียหายที่เป็นวัตถุหรือไม่ใช่สาระสำคัญใดๆ ที่ผู้นำเข้าข้อมูลหรือผู้ประมวลผลช่วงทำให้เจ้าของข้อมูลโดยการละเมิดสิทธิ์ของผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม ภายใต้ข้อเหล่านี้
  3. โดยไม่คำนึงถึงวรรค (b) ผู้ส่งออกข้อมูลจะต้องรับผิดชอบต่อเจ้าของข้อมูล และเจ้าของข้อมูลมีสิทธิได้รับค่าชดเชยสำหรับความเสียหายที่เป็นสาระสำคัญหรือไม่ใช่สาระสำคัญต่อผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูล (หรือผู้ประมวลผลช่วง) ทำให้เจ้าของข้อมูลละเมิดสิทธิ์ของผู้รับผลประโยชน์ที่เป็นบุคคลภายนอกภายใต้ข้อกำหนดเหล่านี้ สิ่งนี้ไม่กระทบกระเทือนต่อความรับผิดของผู้ส่งออกข้อมูล และในกรณีที่ผู้ส่งออกข้อมูลเป็นผู้ประมวลผลที่ทำหน้าที่ในนามของผู้ควบคุม ต่อความรับผิดของผู้ควบคุมภายใต้ระเบียบ (EU) 2016/679 หรือระเบียบ (EU) 2018/1725 ตามความเหมาะสม
  4. คู่สัญญาตกลงว่าหากผู้ส่งออกข้อมูลต้องรับผิดตามวรรค (c) สำหรับความเสียหายที่เกิดจากผู้นำเข้าข้อมูล (หรือผู้ประมวลผลช่วง) ฝ่ายนั้นมีสิทธิที่จะเรียกร้องคืนจากผู้นำเข้าข้อมูลในส่วนของค่าตอบแทนที่สอดคล้องกับ ความรับผิดชอบของผู้นำเข้าข้อมูลสำหรับความเสียหาย
  5. ในกรณีที่มีภาคีมากกว่าหนึ่งฝ่ายรับผิดชอบต่อความเสียหายใด ๆ ที่เกิดขึ้นกับเจ้าของข้อมูลอันเป็นผลมาจากการละเมิดข้อกำหนดเหล่านี้ ภาคีที่รับผิดชอบทั้งหมดจะต้องรับผิดร่วมกันและหลายฝ่าย และเจ้าของข้อมูลมีสิทธิที่จะดำเนินคดีกับสิ่งใด ๆ เหล่านี้ในศาล ปาร์ตี้.
  6. คู่สัญญาตกลงว่าหากคู่สัญญาฝ่ายหนึ่งต้องรับผิดตามวรรค (จ) ฝ่ายนั้นจะมีสิทธิเรียกร้องคืนจากอีกฝ่ายหนึ่งซึ่งเป็นส่วนหนึ่งของค่าชดเชยที่สอดคล้องกับความรับผิดชอบของฝ่ายนั้นๆ สำหรับความเสียหาย
  7. ผู้นำเข้าข้อมูลต้องไม่เรียกการดำเนินการของผู้ประมวลผลช่วงเพื่อหลีกเลี่ยงความรับผิดของตนเอง

ข้อ 13

การควบคุมดูแล

MODULE ONE: ถ่ายโอนคอนโทรลเลอร์ไปยังคอนโทรลเลอร์

MODULE TWO: ถ่ายโอนคอนโทรลเลอร์ไปยังโปรเซสเซอร์

MODULE THREE: ถ่ายโอนโปรเซสเซอร์ไปยังโปรเซสเซอร์

  1. [ในกรณีที่ผู้ส่งออกข้อมูลจัดตั้งขึ้นในประเทศสมาชิกสหภาพยุโรป:] หน่วยงานกำกับดูแลที่มีหน้าที่รับผิดชอบในการทำให้มั่นใจว่าผู้ส่งออกข้อมูลปฏิบัติตามกฎระเบียบ (EU) 2016/679 ที่เกี่ยวข้องกับการถ่ายโอนข้อมูล ตามที่ระบุไว้ในภาคผนวก IC จะทำหน้าที่เป็นผู้มีอำนาจ หน่วยงานกำกับดูแล [ในกรณีที่ผู้ส่งออกข้อมูลไม่ได้จัดตั้งขึ้นในประเทศสมาชิกสหภาพยุโรป แต่อยู่ภายใต้ขอบเขตอาณาเขตของการใช้กฎระเบียบ (EU) 2016/679 ตามข้อ 3(2) และได้แต่งตั้งตัวแทนตามมาตรา 27(1) ) ของระเบียบ (EU) 2016/679:] หน่วยงานกำกับดูแลของรัฐสมาชิกที่จัดตั้งตัวแทนตามความหมายของมาตรา 27(1) ของระเบียบ (EU) 2016/679 ตามที่ระบุไว้ในภาคผนวก IC จะต้องทำหน้าที่ ในฐานะหน่วยงานกำกับดูแลที่มีอำนาจ [ในกรณีที่ผู้ส่งออกข้อมูลไม่ได้จัดตั้งขึ้นในประเทศสมาชิกสหภาพยุโรป แต่อยู่ภายใต้ขอบเขตอาณาเขตของการใช้กฎระเบียบ (EU) 2016/679 ตามข้อ 3(2) โดยไม่ต้องแต่งตั้งตัวแทนตามมาตรา 27 (2) ของกฎระเบียบ (EU) 2016/679:] หน่วยงานกำกับดูแลของประเทศสมาชิกประเทศใดประเทศหนึ่งซึ่งเจ้าของข้อมูลซึ่งมีการถ่ายโอนข้อมูลส่วนบุคคลภายใต้ข้อกำหนดเหล่านี้เกี่ยวกับการเสนอสินค้าหรือบริการแก่พวกเขา หรือพฤติกรรมของเจ้าของข้อมูล ถูกติดตาม อยู่ ตามที่ระบุไว้ในภาคผนวก IC จะทำหน้าที่เป็นหน่วยงานกำกับดูแลที่มีอำนาจ
  2. ผู้นำเข้าข้อมูลตกลงที่จะส่งตัวเองไปยังเขตอำนาจศาลและร่วมมือกับหน่วยงานกำกับดูแลที่มีอำนาจในขั้นตอนใด ๆ ที่มุ่งเป้าไปที่การปฏิบัติตามข้อกำหนดเหล่านี้ โดยเฉพาะอย่างยิ่ง ผู้นำเข้าข้อมูลตกลงที่จะตอบคำถาม ส่งไปยังการตรวจสอบ และปฏิบัติตามมาตรการที่นำมาใช้โดยหน่วยงานกำกับดูแล รวมถึงมาตรการแก้ไขและชดเชย จะต้องจัดให้มีการยืนยันเป็นลายลักษณ์อักษรแก่หน่วยงานกำกับดูแลว่ามีการดำเนินการที่จำเป็นแล้ว

ส่วนที่ III – กฎหมายท้องถิ่นและภาระผูกพันในกรณีที่เข้าถึงโดยหน่วยงานสาธารณะ

ข้อ 14

กฎหมายและแนวปฏิบัติในท้องถิ่นที่ส่งผลต่อการปฏิบัติตามข้อกำหนด

MODULE ONE: ถ่ายโอนคอนโทรลเลอร์ไปยังคอนโทรลเลอร์

MODULE TWO: ถ่ายโอนคอนโทรลเลอร์ไปยังโปรเซสเซอร์

MODULE THREE: ถ่ายโอนโปรเซสเซอร์ไปยังโปรเซสเซอร์

MODULE FOUR: ถ่ายโอนโปรเซสเซอร์ไปยังคอนโทรลเลอร์

(โดยที่ผู้ประมวลผลของสหภาพยุโรปรวมข้อมูลส่วนบุคคลที่ได้รับจากผู้ควบคุมประเทศที่สามเข้ากับข้อมูลส่วนบุคคลที่รวบรวมโดยผู้ประมวลผลในสหภาพยุโรป)
  1. คู่สัญญาทั้งสองฝ่ายรับประกันว่าพวกเขาไม่มีเหตุผลที่จะเชื่อได้ว่ากฎหมายและแนวปฏิบัติในประเทศปลายทางที่สามที่ใช้บังคับกับการประมวลผลข้อมูลส่วนบุคคลโดยผู้นำเข้าข้อมูล รวมถึงข้อกำหนดใด ๆ ในการเปิดเผยข้อมูลส่วนบุคคลหรือมาตรการที่อนุญาตให้เข้าถึงโดยหน่วยงานของรัฐ ป้องกัน ผู้นำเข้าข้อมูลไม่ปฏิบัติตามภาระผูกพันภายใต้ข้อกำหนดเหล่านี้ ทั้งนี้ขึ้นอยู่กับความเข้าใจที่ว่ากฎหมายและแนวปฏิบัติที่เคารพในสาระสำคัญของสิทธิและเสรีภาพขั้นพื้นฐาน และไม่เกินความจำเป็นและเป็นสัดส่วนในสังคมประชาธิปไตยเพื่อปกป้องหนึ่งในวัตถุประสงค์ที่ระบุไว้ในมาตรา 23(1) ของระเบียบ (EU) ) 2016/679 ไม่ขัดแย้งกับข้อกำหนดเหล่านี้
  2. คู่สัญญาทั้งสองฝ่ายประกาศว่าในการให้การรับประกันในวรรค (ก) พวกเขาได้คำนึงถึงองค์ประกอบต่อไปนี้โดยเฉพาะ:
    1. สถานการณ์เฉพาะของการถ่ายโอน รวมถึงความยาวของห่วงโซ่การประมวลผล จำนวนนักแสดงที่เกี่ยวข้อง และช่องทางการส่งสัญญาณที่ใช้ ตั้งใจโอนต่อ; ประเภทของผู้รับ วัตถุประสงค์ของการประมวลผล ประเภทและรูปแบบของข้อมูลส่วนบุคคลที่ถ่ายโอน ภาคเศรษฐกิจที่เกิดการถ่ายโอน ตำแหน่งที่จัดเก็บข้อมูลที่ถ่ายโอน
    2. กฎหมายและแนวปฏิบัติของประเทศปลายทางที่สาม – รวมถึงที่กำหนดให้เปิดเผยข้อมูลต่อหน่วยงานของรัฐหรืออนุญาตให้เข้าถึงโดยหน่วยงานดังกล่าว – ที่เกี่ยวข้องตามสถานการณ์เฉพาะของการถ่ายโอน และข้อจำกัดและการป้องกันที่เกี่ยวข้อง
    3. การป้องกันตามสัญญา ทางเทคนิค หรือองค์กรที่เกี่ยวข้องใดๆ ที่จัดทำขึ้นเพื่อเสริมการป้องกันภายใต้ข้อกำหนดเหล่านี้ รวมถึงมาตรการที่ใช้ในระหว่างการส่งและการประมวลผลข้อมูลส่วนบุคคลในประเทศปลายทาง
  3. ผู้นำเข้าข้อมูลรับประกันว่าในการดำเนินการประเมินตามวรรค (b) ได้ใช้ความพยายามอย่างเต็มที่ในการให้ข้อมูลที่เกี่ยวข้องแก่ผู้ส่งออกข้อมูล และตกลงว่าจะให้ความร่วมมือกับผู้ส่งออกข้อมูลต่อไปเพื่อให้แน่ใจว่าสอดคล้องกับข้อกำหนดเหล่านี้
  4. คู่ภาคีตกลงที่จะจัดทำเอกสารการประเมินตามวรรค (b) และจัดให้มีหน่วยงานกำกับดูแลที่มีอำนาจตามคำขอ
  5. ผู้นำเข้าข้อมูลตกลงที่จะแจ้งให้ผู้ส่งออกข้อมูลทราบโดยทันที หากหลังจากได้ตกลงตามข้อกำหนดเหล่านี้และตลอดระยะเวลาของสัญญาแล้ว มีเหตุผลให้เชื่อได้ว่าอยู่ภายใต้กฎหมายหรือแนวปฏิบัติที่ไม่เป็นไปตามข้อกำหนดในวรรค (ก) รวมถึงหลังจากการเปลี่ยนแปลงกฎหมายของประเทศที่สามหรือมาตรการ (เช่น คำขอเปิดเผยข้อมูล) ที่บ่งชี้ถึงการใช้กฎหมายดังกล่าวในทางปฏิบัติที่ไม่สอดคล้องกับข้อกำหนดในวรรค (ก) [สำหรับโมดูลที่สาม: ผู้ส่งออกข้อมูลจะต้องส่งต่อการแจ้งเตือนไปยังผู้ควบคุม]
  6. หลังจากการแจ้งตามวรรค (จ) หรือหากผู้ส่งออกข้อมูลมีเหตุผลอย่างอื่นที่เชื่อได้ว่าผู้นำเข้าข้อมูลไม่สามารถปฏิบัติตามภาระหน้าที่ของตนภายใต้ข้อกำหนดเหล่านี้ได้อีกต่อไป ผู้ส่งออกข้อมูลจะต้องระบุมาตรการที่เหมาะสมโดยทันที (เช่น มาตรการทางเทคนิคหรือองค์กรเพื่อให้แน่ใจว่า ความปลอดภัยและการรักษาความลับ) ที่จะนำมาใช้โดยผู้ส่งออกข้อมูลและ/หรือผู้นำเข้าข้อมูลเพื่อจัดการกับสถานการณ์ [สำหรับโมดูลที่สาม: หากเหมาะสมในการปรึกษาหารือกับผู้ควบคุม] ผู้ส่งออกข้อมูลจะระงับการถ่ายโอนข้อมูลหากเห็นว่าไม่มีการป้องกันที่เหมาะสมสำหรับการถ่ายโอนดังกล่าว หรือหากได้รับคำแนะนำจาก [สำหรับโมดูลที่สาม: ผู้ควบคุมหรือ] หน่วยงานกำกับดูแลที่มีอำนาจให้ทำเช่นนั้น ในกรณีนี้ ผู้ส่งออกข้อมูลจะมีสิทธิ์ยุติสัญญา ตราบเท่าที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลภายใต้ข้อกำหนดเหล่านี้ หากสัญญาเกี่ยวข้องกับคู่สัญญามากกว่าสองฝ่าย ผู้ส่งออกข้อมูลอาจใช้สิทธิ์นี้ในการยกเลิกเฉพาะในส่วนที่เกี่ยวกับฝ่ายที่เกี่ยวข้อง เว้นแต่คู่สัญญาจะตกลงเป็นอย่างอื่น ในกรณีที่สัญญาสิ้นสุดลงตามข้อนี้ ให้นำข้อ 16(d) และ (e) มาใช้บังคับ

ข้อ 15

ภาระหน้าที่ของผู้นำเข้าข้อมูลในกรณีการเข้าถึงโดยหน่วยงานของรัฐ

MODULE ONE: ถ่ายโอนคอนโทรลเลอร์ไปยังคอนโทรลเลอร์

MODULE TWO: ถ่ายโอนคอนโทรลเลอร์ไปยังโปรเซสเซอร์

MODULE THREE: ถ่ายโอนโปรเซสเซอร์ไปยังโปรเซสเซอร์

MODULE FOUR: ถ่ายโอนโปรเซสเซอร์ไปยังคอนโทรลเลอร์

(โดยที่ผู้ประมวลผลของสหภาพยุโรปรวมข้อมูลส่วนบุคคลที่ได้รับจากผู้ควบคุมประเทศที่สามเข้ากับข้อมูลส่วนบุคคลที่รวบรวมโดยผู้ประมวลผลในสหภาพยุโรป)

  1. การประกาศ

      1. ผู้นำเข้าข้อมูลตกลงที่จะแจ้งให้ผู้ส่งออกข้อมูลทราบ และหากเป็นไปได้ เจ้าของข้อมูลโดยทันที (หากจำเป็นด้วยความช่วยเหลือของผู้ส่งออกข้อมูล) หาก:
        1. ได้รับคำขอที่มีผลผูกพันทางกฎหมายจากหน่วยงานสาธารณะ รวมถึงหน่วยงานตุลาการตามกฎหมายของประเทศปลายทางสำหรับการเปิดเผยข้อมูลส่วนบุคคลที่ถ่ายโอนตามข้อกำหนดเหล่านี้ การแจ้งเตือนดังกล่าวจะรวมถึงข้อมูลเกี่ยวกับข้อมูลส่วนบุคคลที่ร้องขอ หน่วยงานที่ร้องขอ พื้นฐานทางกฎหมายสำหรับคำขอและการตอบสนองที่ให้ไว้ หรือ
        2. รับทราบถึงการเข้าถึงโดยตรงโดยหน่วยงานของรัฐในข้อมูลส่วนบุคคลที่ถ่ายโอนตามข้อกำหนดเหล่านี้ตามกฎหมายของประเทศปลายทาง การแจ้งเตือนดังกล่าวจะต้องรวมถึงข้อมูลทั้งหมดที่มีสำหรับผู้นำเข้า
    [สำหรับโมดูลที่สาม: ผู้ส่งออกข้อมูลจะต้องส่งต่อการแจ้งเตือนไปยังผู้ควบคุม]
    1. หากผู้นำเข้าข้อมูลถูกห้ามไม่ให้แจ้งผู้ส่งออกข้อมูลและ/หรือเจ้าของข้อมูลตามกฎหมายของประเทศปลายทาง ผู้นำเข้าข้อมูลตกลงที่จะใช้ความพยายามอย่างเต็มที่ในการได้รับการยกเว้นการห้ามดังกล่าว เพื่อที่จะสื่อสารให้มากที่สุด ข้อมูลโดยเร็วที่สุด ผู้นำเข้าข้อมูลตกลงที่จะบันทึกความพยายามอย่างเต็มที่เพื่อให้สามารถสาธิตได้ตามคำขอของผู้ส่งออกข้อมูล
    2. ในกรณีที่กฎหมายของประเทศปลายทางอนุญาต ผู้นำเข้าข้อมูลตกลงที่จะจัดหาข้อมูลให้กับผู้ส่งออกข้อมูลเป็นระยะๆ ตลอดระยะเวลาของสัญญา โดยมีข้อมูลที่เกี่ยวข้องมากที่สุดเท่าที่จะเป็นไปได้ในคำขอที่ได้รับ (โดยเฉพาะ จำนวนคำขอ ประเภทของข้อมูลที่ร้องขอ การขออำนาจ/ ies คำขอได้รับการท้าทายหรือไม่และผลของความท้าทายดังกล่าว ฯลฯ) [สำหรับโมดูลที่สาม: ผู้ส่งออกข้อมูลจะต้องส่งต่อข้อมูลไปยังผู้ควบคุม]
    3. ผู้นำเข้าข้อมูลตกลงที่จะเก็บรักษาข้อมูลตามวรรค (ก) ถึง (ค) ตลอดระยะเวลาของสัญญาและจัดให้หน่วยงานกำกับดูแลที่มีอำนาจสามารถร้องขอได้
    4. วรรค (ก) ถึง (ค) ไม่กระทบต่อภาระหน้าที่ของผู้นำเข้าข้อมูลตามข้อ 14(จ) และข้อ 16 เพื่อแจ้งให้ผู้ส่งออกข้อมูลทราบทันทีหากไม่สามารถปฏิบัติตามข้อกำหนดเหล่านี้ได้

  2. ทบทวนความถูกต้องตามกฎหมายและการลดขนาดข้อมูล

    1. ผู้นำเข้าข้อมูลตกลงที่จะทบทวนความถูกต้องตามกฎหมายของคำขอให้เปิดเผยข้อมูล โดยเฉพาะอย่างยิ่งว่ายังคงอยู่ในอำนาจที่มอบให้แก่หน่วยงานสาธารณะที่ร้องขอหรือไม่ และเพื่อคัดค้านคำขอหากหลังจากการประเมินอย่างรอบคอบแล้วสรุปได้ว่ามีเหตุผลอันควรให้พิจารณาว่า คำขอนั้นผิดกฎหมายภายใต้กฎหมายของประเทศปลายทาง ภาระผูกพันที่บังคับใช้ภายใต้กฎหมายระหว่างประเทศและหลักการของการค้าระหว่างประเทศ ผู้นำเข้าข้อมูลจะต้องดำเนินการตามความเป็นไปได้ของการอุทธรณ์ภายใต้เงื่อนไขเดียวกัน เมื่อท้าทายคำขอ ผู้นำเข้าข้อมูลจะต้องแสวงหามาตรการชั่วคราวเพื่อระงับผลกระทบของคำขอจนกว่าหน่วยงานตุลาการที่มีอำนาจจะตัดสินถึงคุณธรรม จะไม่เปิดเผยข้อมูลส่วนบุคคลที่ร้องขอจนกว่าจะจำเป็นต้องทำภายใต้กฎขั้นตอนที่บังคับใช้ ข้อกำหนดเหล่านี้ไม่กระทบต่อภาระหน้าที่ของผู้นำเข้าข้อมูลตามข้อ 14(จ)
    2. ผู้นำเข้าข้อมูลตกลงที่จะจัดทำเอกสารการประเมินทางกฎหมายและการท้าทายใดๆ ต่อคำขอให้เปิดเผยข้อมูล และจัดทำเอกสารให้กับผู้ส่งออกข้อมูลตามขอบเขตที่อนุญาต นอกจากนี้ยังต้องจัดให้มีหน่วยงานกำกับดูแลที่มีอำนาจเมื่อมีการร้องขอ [สำหรับโมดูลที่สาม: ผู้ส่งออกข้อมูลจะต้องจัดให้มีการประเมินสำหรับผู้ควบคุม]
    3. ผู้นำเข้าข้อมูลตกลงที่จะให้ข้อมูลจำนวนขั้นต่ำที่อนุญาตเมื่อตอบสนองต่อคำขอให้เปิดเผยโดยอิงจากการตีความคำขออย่างสมเหตุสมผล

ส่วนที่ 4 - บทบัญญัติสุดท้าย

ข้อ 16

การไม่ปฏิบัติตามข้อกำหนดและการยกเลิก

  1. ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบโดยทันทีหากไม่สามารถปฏิบัติตามข้อกำหนดเหล่านี้ได้ไม่ว่าด้วยเหตุผลใดก็ตาม
  2. ในกรณีที่ผู้นำเข้าข้อมูลละเมิดข้อกำหนดเหล่านี้หรือไม่สามารถปฏิบัติตามข้อกำหนดเหล่านี้ได้ ผู้ส่งออกข้อมูลจะต้องระงับการถ่ายโอนข้อมูลส่วนบุคคลไปยังผู้นำเข้าข้อมูลจนกว่าจะมีการปฏิบัติตามข้อกำหนดอีกครั้งหรือสัญญาจะสิ้นสุดลง สิ่งนี้ไม่กระทบกระเทือนต่อข้อ 14(f)
  3. ผู้ส่งออกข้อมูลมีสิทธิที่จะยุติสัญญา ตราบเท่าที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลภายใต้ข้อกำหนดเหล่านี้ โดยที่:
    1. ผู้ส่งออกข้อมูลได้ระงับการถ่ายโอนข้อมูลส่วนบุคคลไปยังผู้นำเข้าข้อมูลตามวรรค (b) และการปฏิบัติตามข้อกำหนดเหล่านี้จะไม่ได้รับการกู้คืนภายในเวลาที่เหมาะสมและในกรณีใด ๆ ภายในหนึ่งเดือนของการระงับ
    2. ผู้นำเข้าข้อมูลละเมิดข้อกำหนดเหล่านี้อย่างร้ายแรงหรือต่อเนื่อง หรือ
    3. ผู้นำเข้าข้อมูลไม่ปฏิบัติตามคำตัดสินที่มีผลผูกพันของศาลที่มีอำนาจหรือหน่วยงานกำกับดูแลเกี่ยวกับภาระหน้าที่ของตนภายใต้ข้อกำหนดเหล่านี้
    ในกรณีเหล่านี้ จะต้องแจ้งหน่วยงานกำกับดูแลที่มีอำนาจ [สำหรับโมดูลที่สาม: และผู้ควบคุม] เกี่ยวกับการไม่ปฏิบัติตามข้อกำหนดดังกล่าว ในกรณีที่สัญญาเกี่ยวข้องกับคู่สัญญามากกว่าสองฝ่าย ผู้ส่งออกข้อมูลอาจใช้สิทธิ์นี้เพื่อยุติเฉพาะในส่วนที่เกี่ยวกับฝ่ายที่เกี่ยวข้อง เว้นแต่คู่สัญญาจะตกลงเป็นอย่างอื่น
  4. [สำหรับโมดูลที่หนึ่ง สอง และสาม: ข้อมูลส่วนบุคคลที่ได้รับการถ่ายโอนก่อนสิ้นสุดสัญญาตามวรรค (c) จะถูกส่งคืนไปยังผู้ส่งออกข้อมูลโดยทันทีหรือถูกลบอย่างครบถ้วนตามทางเลือกของผู้ส่งออกข้อมูล เช่นเดียวกันจะใช้กับสำเนาของข้อมูลใด ๆ ] [สำหรับโมดูลที่สี่: ข้อมูลส่วนบุคคลที่รวบรวมโดยผู้ส่งออกข้อมูลในสหภาพยุโรปที่ได้รับการถ่ายโอนก่อนสิ้นสุดสัญญาตามวรรค (c) จะถูกลบทันทีใน ครบถ้วนรวมทั้งสำเนาใด ๆ ของข้อมูลดังกล่าว] ผู้นำเข้าข้อมูลจะต้องรับรองการลบข้อมูลไปยังผู้ส่งออกข้อมูล จนกว่าข้อมูลจะถูกลบหรือส่งคืน ผู้นำเข้าข้อมูลจะต้องดำเนินการเพื่อให้แน่ใจว่าสอดคล้องกับข้อกำหนดเหล่านี้ ในกรณีของกฎหมายท้องถิ่นที่ใช้บังคับกับผู้นำเข้าข้อมูลที่ห้ามการส่งคืนหรือการลบข้อมูลส่วนบุคคลที่ถ่ายโอน ผู้นำเข้าข้อมูลรับประกันว่าจะยังคงปฏิบัติตามข้อกำหนดเหล่านี้และจะประมวลผลข้อมูลในขอบเขตและตราบเท่าที่ บังคับตามกฎหมายท้องถิ่นนั้น
  5. ฝ่ายใดฝ่ายหนึ่งอาจเพิกถอนข้อตกลงที่จะผูกพันตามข้อกำหนดเหล่านี้ โดยที่ (i) คณะกรรมาธิการยุโรปยอมรับการตัดสินใจตามมาตรา 45(3) ของระเบียบ (EU) 2016/679 ที่ครอบคลุมการถ่ายโอนข้อมูลส่วนบุคคลที่บังคับใช้ในข้อกำหนดเหล่านี้ หรือ (ii) กฎระเบียบ (EU) 2016/679 กลายเป็นส่วนหนึ่งของกรอบทางกฎหมายของประเทศที่ข้อมูลส่วนบุคคลถูกโอนไป โดยไม่กระทบต่อภาระหน้าที่อื่นๆ ที่บังคับใช้กับการประมวลผลที่เป็นปัญหาภายใต้ระเบียบ (EU) 2016/679

ข้อ 17

กฎหมายที่บังคับใช้

MODULE ONE: ถ่ายโอนคอนโทรลเลอร์ไปยังคอนโทรลเลอร์

MODULE TWO: ถ่ายโอนคอนโทรลเลอร์ไปยังโปรเซสเซอร์

MODULE THREE: ถ่ายโอนโปรเซสเซอร์ไปยังโปรเซสเซอร์

[ตัวเลือกที่ 1: ข้อกำหนดเหล่านี้จะอยู่ภายใต้กฎหมายของประเทศสมาชิกสหภาพยุโรป โดยที่กฎหมายดังกล่าวอนุญาตสำหรับสิทธิ์ของผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม คู่สัญญาตกลงว่าสิ่งนี้จะเป็นกฎหมายของประเทศเนเธอร์แลนด์ [ตัวเลือกที่ 2 (สำหรับโมดูลที่สองและสาม): ข้อกำหนดเหล่านี้จะอยู่ภายใต้กฎหมายของประเทศสมาชิกสหภาพยุโรปซึ่งมีการจัดตั้งผู้ส่งออกข้อมูล ในกรณีที่กฎหมายดังกล่าวไม่อนุญาตให้บุคคลภายนอกมีสิทธิได้รับผลประโยชน์ พวกเขาจะถูกควบคุมโดยกฎหมายของประเทศสมาชิกสหภาพยุโรปอื่นที่อนุญาตสำหรับสิทธิของผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม คู่สัญญาตกลงว่าสิ่งนี้จะเป็นกฎหมายของประเทศเนเธอร์แลนด์

MODULE FOUR: ถ่ายโอนโปรเซสเซอร์ไปยังคอนโทรลเลอร์

ข้อเหล่านี้จะถูกควบคุมโดยกฎหมายของประเทศที่อนุญาตให้บุคคลภายนอกมีสิทธิได้รับผลประโยชน์ คู่สัญญาตกลงว่าสิ่งนี้จะเป็นกฎหมายของประเทศเนเธอร์แลนด์

ข้อ 18

ทางเลือกของฟอรัมและเขตอำนาจศาล

MODULE ONE: ถ่ายโอนคอนโทรลเลอร์ไปยังคอนโทรลเลอร์

MODULE TWO: ถ่ายโอนคอนโทรลเลอร์ไปยังโปรเซสเซอร์

MODULE THREE: ถ่ายโอนโปรเซสเซอร์ไปยังโปรเซสเซอร์

  1. ข้อพิพาทใดๆ ที่เกิดขึ้นจากข้อกำหนดเหล่านี้จะได้รับการแก้ไขโดยศาลของประเทศสมาชิกสหภาพยุโรป
  2. คู่สัญญาทั้งสองฝ่ายตกลงกันว่าศาลเหล่านั้นจะเป็นศาลของประเทศเนเธอร์แลนด์
  3. เจ้าของข้อมูลอาจดำเนินคดีกับผู้ส่งออกข้อมูลและ/หรือผู้นำเข้าข้อมูลต่อหน้าศาลของประเทศสมาชิกซึ่งเขา/เธอมีถิ่นที่อยู่ประจำ
  4. คู่สัญญาทั้งสองฝ่ายตกลงที่จะยอมจำนนต่อเขตอำนาจศาลของศาลดังกล่าว

MODULE FOUR: ถ่ายโอนโปรเซสเซอร์ไปยังคอนโทรลเลอร์

ข้อพิพาทใดๆ ที่เกิดขึ้นจากข้อกำหนดเหล่านี้จะได้รับการแก้ไขโดยศาลของเนเธอร์แลนด์

ภาคผนวกของข้อสัญญามาตรฐาน

ภาคผนวก XNUMX ถึงข้อสัญญามาตรฐาน

ก. คำอธิบายของการโอน

MODULE ONE: ถ่ายโอนคอนโทรลเลอร์ไปยังคอนโทรลเลอร์

MODULE TWO: ถ่ายโอนคอนโทรลเลอร์ไปยังโปรเซสเซอร์

MODULE THREE: ถ่ายโอนโปรเซสเซอร์ไปยังโปรเซสเซอร์

MODULE FOUR: ถ่ายโอนโปรเซสเซอร์ไปยังคอนโทรลเลอร์

หมวดหมู่ของเจ้าของข้อมูลที่มีการถ่ายโอนข้อมูลส่วนบุคคล พนักงาน ตัวแทน ที่ปรึกษา ผู้รับจ้างช่วง หรือบุคคลที่ติดต่อของผู้ส่งออกข้อมูลทั้งหมด คู่ค้า ลูกค้า ผู้มีแนวโน้มจะเป็นลูกค้า คู่ค้าทางธุรกิจและผู้ขาย และผู้ใช้ปลายทางของลูกค้ารายอื่นซึ่งมีการติดตั้งสิ่งที่ส่งมอบ หรือผู้ใช้ที่ได้รับอนุญาตอื่นๆ ของสิ่งที่ส่งมอบ หมวดหมู่ของข้อมูลส่วนบุคคลที่ถ่ายโอน ข้อมูลส่วนบุคคลที่ถ่ายโอนเกี่ยวข้องกับข้อมูลประเภทต่อไปนี้
  1. รายละเอียดบริษัทลูกค้า; ชื่อเรื่อง อีเมล หมายเลขโทรศัพท์ และชื่อของตัวแทนลูกค้า ข้อมูลการเรียกเก็บเงิน; ข้อมูลทางธุรกิจ และข้อมูลอื่น ๆ ที่ลูกค้าตัดสินใจที่จะมอบให้กับ Stellar Cyber ​​โดยหรือผ่านสิ่งที่ส่งมอบหรือวิธีการหรือกลไกอื่นใด
  2. ข้อมูลผู้ใช้และข้อมูลปลายทาง: ID เอเจนต์, ชื่อปลายทาง, ID ผู้ใช้ไดเร็กทอรีที่ใช้งานของลูกค้า, ชื่อผู้ใช้, แอปพลิเคชันที่ติดตั้ง - เวลาการติดตั้ง, ขนาด, ผู้เผยแพร่และเวอร์ชัน, ชื่อผู้ใช้ SMTP, ข้อมูลการกำหนดค่าที่เกี่ยวข้องกับการรวมไดเร็กทอรีที่ใช้งานอยู่
  3. เส้นทางแบบเต็มของไฟล์: จะรวมข้อมูลส่วนบุคคลก็ต่อเมื่อชื่อไฟล์ที่ลูกค้าตั้งชื่อตามชื่อนั้นรวม Data ไว้ด้วย
  4. ข้อมูลเครือข่าย (ที่อยู่ IP เครือข่ายภายใน, ที่อยู่ IP สาธารณะ, ที่อยู่ MAC)
  5. ไฟล์ที่สร้างใหม่: ไฟล์ที่สร้างใหม่ผ่านเครือข่าย
  6. ได้รับการตั้งค่าระบบจากคอนโซลการจัดการ (ชื่อผู้ใช้ อีเมล และหมายเลขโทรศัพท์)
  7. ข้อมูลภัยคุกคาม (เส้นทางไฟล์ ลายเซ็นการตรวจจับการบุกรุก (ซึ่งอาจรวมถึงชื่อผู้ใช้ ที่อยู่ IP ชื่อไฟล์)
  8. การตรวจสอบเครือข่ายแบบสด (URL, ส่วนหัวของ URL, การประทับเวลา)
  9. ตำแหน่งที่ไคลเอนต์เรียกใช้คุณสมบัติการดึงไฟล์ของ Stellar Cyber: ข้อมูลใด ๆ ที่มีอยู่ในไฟล์ที่ผู้ดูแลระบบของลูกค้าดึงมา
ข้อมูลที่ละเอียดอ่อนที่ถ่ายโอน (ถ้ามี) และการใช้ข้อจำกัดหรือการป้องกันที่คำนึงถึงธรรมชาติของข้อมูลและความเสี่ยงที่เกี่ยวข้องอย่างเต็มที่ เช่น การจำกัดวัตถุประสงค์ที่เข้มงวด การจำกัดการเข้าถึง (รวมถึงการเข้าถึงเฉพาะพนักงานที่ปฏิบัติตามการฝึกอบรมเฉพาะทาง) การรักษา บันทึกการเข้าถึงข้อมูล ข้อจำกัดสำหรับการถ่ายโอนข้อมูลหรือมาตรการรักษาความปลอดภัยเพิ่มเติม ไม่สามารถใช้ได้. ความถี่ของการถ่ายโอน (เช่น ข้อมูลถูกถ่ายโอนแบบครั้งเดียวหรือต่อเนื่อง) การถ่ายโอนข้อมูลจะดำเนินต่อไปตลอดระยะเวลาของข้อตกลง วัตถุประสงค์ของการถ่ายโอนข้อมูลและการประมวลผลเพิ่มเติม Stellar Cyber ​​ว่าจ้างในการจัดหาสิ่งที่ส่งมอบให้กับลูกค้าซึ่งเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ขอบเขตของสิ่งที่ส่งมอบถูกกำหนดไว้ในข้อตกลง และข้อมูลส่วนบุคคลจะได้รับการประมวลผลโดย Stellar Cyber ​​ตามความจำเป็นเพื่อส่งมอบสิ่งที่ส่งมอบเหล่านั้น และเพื่อให้เป็นไปตามข้อกำหนดของข้อตกลงและภาคผนวกนี้ ช่วงเวลาที่ข้อมูลส่วนบุคคลจะถูกเก็บไว้ หรือถ้าเป็นไปไม่ได้ เกณฑ์ที่ใช้ในการกำหนดช่วงเวลานั้น ระยะเวลาของการประมวลผลจะเป็น: จนกว่าข้อตกลงจะหมดอายุ/สิ้นสุด หรือ (ii) 30 วันนับจากที่ได้รับคำขอให้ลบข้อมูลส่วนบุคคลบางส่วนหรือทั้งหมดโดยลูกค้า สำหรับการถ่ายโอนไปยังโปรเซสเซอร์ (ย่อย) ให้ระบุเรื่อง ลักษณะและระยะเวลาของการประมวลผลด้วย Stellar Cyber ​​ใช้โปรเซสเซอร์ย่อยเพื่อสนับสนุนสภาพแวดล้อมโครงสร้างพื้นฐาน ผู้ให้บริการโทรคมนาคมและเครือข่ายในและต่างประเทศ หน่วยงานที่เกี่ยวข้องกับการจัดเก็บข้อมูลและเนื้อหาในการจัดส่ง ข้อมูลส่วนบุคคลที่ประมวลผลโดยผู้ประมวลผลช่วงจะได้รับการประมวลผลตามวัตถุประสงค์และระยะเวลาของข้อตกลงบริการ Stellar Cyber ​​ที่เกี่ยวข้องหรือเอกสารการสั่งซื้อ สำหรับข้อมูลเพิ่มเติม โปรดดูรายชื่อผู้ประมวลผลข้อมูลย่อยของ Stellar Cyber ​​ในภาคผนวก III ของ SCC

ข. หน่วยงานกำกับดูแลที่มีอำนาจ

MODULE ONE: ถ่ายโอนคอนโทรลเลอร์ไปยังคอนโทรลเลอร์

MODULE TWO: ถ่ายโอนคอนโทรลเลอร์ไปยังโปรเซสเซอร์

MODULE THREE: ถ่ายโอนโปรเซสเซอร์ไปยังโปรเซสเซอร์

ระบุหน่วยงานกำกับดูแลที่มีอำนาจตามข้อ 13 สำหรับเรื่องที่เกี่ยวข้องกับการถ่ายโอนข้อมูลตามระเบียบ (EU) 2016/679: Autoriteit Persoongegevens of the Netherlands: https://www.autoriteitpersoonsgegevens.nl/en

ภาคผนวก II ของข้อสัญญามาตรฐาน - มาตรการทางเทคนิคและองค์กรรวมถึงมาตรการทางเทคนิคและองค์กรเพื่อรับรองความปลอดภัยของข้อมูลไปยัง

MODULE ONE: ถ่ายโอนคอนโทรลเลอร์ไปยังคอนโทรลเลอร์

MODULE TWO: ถ่ายโอนคอนโทรลเลอร์ไปยังโปรเซสเซอร์

MODULE THREE: ถ่ายโอนโปรเซสเซอร์ไปยังโปรเซสเซอร์

คำอธิบายของมาตรการทางเทคนิคและองค์กรที่ผู้นำเข้าข้อมูลนำมาใช้ (รวมถึงใบรับรองที่เกี่ยวข้องใดๆ) เพื่อให้มั่นใจถึงระดับความปลอดภัยที่เหมาะสม โดยคำนึงถึงลักษณะ ขอบเขต บริบทและวัตถุประสงค์ของการประมวลผล และความเสี่ยงสำหรับสิทธิ์ และเสรีภาพของบุคคลธรรมดา.
มาตรการทางเทคนิคและเชิงองค์กรรวมถึงแต่ไม่จำกัดเพียงมาตรการต่อไปนี้สำหรับการรักษาความลับ ความสมบูรณ์ และความพร้อมของข้อมูลอย่างต่อเนื่อง เพื่อป้องกันการเข้าถึง การใช้ การแก้ไข หรือการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต:
  • ประสิทธิภาพของการตรวจสอบภูมิหลังของบุคลากรทุกคนที่มีสิทธิ์เข้าถึงการประมวลผลข้อมูล เช่นเดียวกับการลงนามสัญญาไม่เปิดเผยข้อมูลและจริยธรรมทางธุรกิจก่อนการจ้างงาน
  • การฝึกอบรมการตระหนักถึงความปลอดภัยและความเป็นส่วนตัว รวมถึงการรับทราบและข้อตกลงที่จะปฏิบัติตามนโยบายการรักษาความปลอดภัยขององค์กร สำหรับบุคลากรทุกคนที่จ้างงานและทุกปีหลังจากนั้น
  • การบำรุงรักษาชุดนโยบายความปลอดภัยและความเป็นส่วนตัว ขั้นตอนและแผนงานที่ครอบคลุมซึ่งได้รับการตรวจสอบอย่างน้อยปีละครั้ง และให้คำแนะนำแก่องค์กรเกี่ยวกับแนวปฏิบัติด้านความปลอดภัยและความเป็นส่วนตัว กระบวนการสำหรับการประเมินผู้ที่จะประมวลผลช่วงที่คาดหวังและผู้ประมวลผลย่อยที่มีอยู่เพื่อให้แน่ใจว่าพวกเขามีความสามารถและมุ่งมั่นที่จะใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อให้แน่ใจว่าข้อมูลที่เป็นความลับ ความสมบูรณ์ และความพร้อมของข้อมูลอย่างต่อเนื่อง
  • กระบวนการสำหรับการทดสอบ ประเมิน และประเมินประสิทธิผลของการป้องกันการบริหาร ทางเทคนิค และกายภาพอย่างสม่ำเสมอ เพื่อให้มั่นใจในความปลอดภัยของการประมวลผล การส่ง หรือการจัดเก็บข้อมูลผ่านการตรวจสอบภายนอกและภายใน
  • การป้องกันการเข้าถึง ใช้ ดัดแปลง หรือเปิดเผยข้อมูล ยกเว้นโดยเจ้าหน้าที่ Stellar Cyber ​​ที่ได้รับอนุญาต (1) เพื่อจัดหาสิ่งที่ส่งมอบและป้องกันหรือจัดการกับบริการหรือปัญหาทางเทคนิค (2) ตามกฎหมายบังคับ หรือ (3) ตามที่ลูกค้าอนุญาตอย่างชัดแจ้งเป็นลายลักษณ์อักษร .
  • การบันทึกและตรวจสอบบันทึกความปลอดภัยผ่านระบบการจัดการเหตุการณ์ด้านความปลอดภัย (“SIEMระบบ (“ระบบรักษาความปลอดภัย”) และการแจ้งเตือนเมื่อตรวจพบพฤติกรรมของระบบและ/หรือผู้ใช้ที่น่าสงสัย กระบวนการและเครื่องมือสำหรับการระบุ ประเมิน และจัดลำดับความสำคัญของช่องโหว่อย่างสม่ำเสมอตามแนวทางมาตรฐานอุตสาหกรรม
  • การระบุนามแฝงหรือการเข้ารหัสข้อมูลระหว่างทางและส่วนที่เหลือโดยใช้กลไกมาตรฐานอุตสาหกรรมสำหรับสิ่งที่ส่งมอบบางอย่าง
  • MFA และรหัสผ่านที่รัดกุมถูกบังคับใช้อย่างเคร่งครัดในการเข้าถึงหน่วยประมวลผลข้อมูล
  • ความสามารถในการกู้คืนความพร้อมใช้งานและการเข้าถึงข้อมูลลูกค้าในเวลาที่เหมาะสมในกรณีที่เกิดเหตุการณ์ที่ส่งผลกระทบต่อความพร้อมใช้งานของข้อมูลลูกค้าโดยการรักษาโซลูชันสำรองเพื่อวัตถุประสงค์ในการกู้คืนจากความเสียหาย
สำหรับการถ่ายโอนไปยังโปรเซสเซอร์ (ย่อย) ให้อธิบายมาตรการทางเทคนิคและองค์กรเฉพาะที่ต้องใช้โดยโปรเซสเซอร์ (ย่อย) เพื่อให้สามารถให้ความช่วยเหลือแก่ผู้ควบคุมและสำหรับการถ่ายโอนจากโปรเซสเซอร์ไปยังโปรเซสเซอร์ย่อยไปยัง ผู้ส่งออกข้อมูล
Stellar Cyber ​​กำหนดให้ผู้ประมวลผลช่วงของตนปฏิบัติตามมาตรการทางเทคนิคและองค์กรที่เทียบเท่าในสาระสำคัญตามที่ Stellar Cyber ​​นำมาใช้

ภาคผนวก III ถึงข้อสัญญามาตรฐาน – รายชื่อผู้ประมวลผลย่อย

MODULE TWO: ถ่ายโอนคอนโทรลเลอร์ไปยังโปรเซสเซอร์

MODULE THREE: ถ่ายโอนโปรเซสเซอร์ไปยังโปรเซสเซอร์

ผู้ควบคุมอนุญาตให้ใช้โปรเซสเซอร์ย่อยต่อไปนี้:
เอกลักษณ์ ประเภทบริการ ประเทศของเอนทิตี
ออราเคิล อิงค์ โครงสร้างพื้นฐาน-A-Service สหรัฐ. ภูมิภาคศูนย์ข้อมูลตั้งอยู่ในภูมิภาคที่ลูกค้าเลือก
เซนเดสก์ อิงค์ Customer Support ประเทศสหรัฐอเมริกา
สแล็ค เทคโนโลยีส์ อิงค์ Customer Support ประเทศสหรัฐอเมริกา
Atlassian Customer Support ประเทศสหรัฐอเมริกา
เทคโนโลยีเฮ็กซ์ ระบบธุรกิจอัจฉริยะ ประเทศสหรัฐอเมริกา
กำไร Customer Support ประเทศสหรัฐอเมริกา
Mixpanel การวิเคราะห์ผลิตภัณฑ์ ประเทศสหรัฐอเมริกา

ผู้ควบคุมอนุญาตให้ใช้โปรเซสเซอร์ย่อยต่อไปนี้:

ข้อกำหนดต่อไปนี้เป็นส่วนเสริมของ Standard Contractual Clauses เฉพาะในกรณีที่และในขอบเขตของ Standard Contractual Clauses ที่บังคับใช้เกี่ยวกับการถ่ายโอนข้อมูลภายใต้กฎหมาย Federal Data Protection Act ลงวันที่ 19 มิถุนายน 1992 (สวิตเซอร์แลนด์):
  1. คำว่า 'รัฐสมาชิก' จะได้รับการตีความในลักษณะที่อนุญาตให้เจ้าของข้อมูลในสวิตเซอร์แลนด์ใช้สิทธิ์ของตนภายใต้ข้อกำหนดในถิ่นที่อยู่ของตน (สวิตเซอร์แลนด์) ตามข้อ 18(c) ของข้อกำหนดเหล่านี้

นิทรรศการที่ 4 ภาคผนวกการผลิตข้อมูล

ภาคผนวกของการถ่ายโอนข้อมูลระหว่างประเทศไปยังข้อสัญญามาตรฐานคอมมิชชั่นของสหภาพยุโรป

ภาคผนวกนี้ออกโดยกรรมาธิการข้อมูลสำหรับภาคีที่ทำการโอนแบบจำกัด กรรมาธิการข้อมูลพิจารณาว่าได้จัดให้มีการป้องกันที่เหมาะสมสำหรับการโอนที่ถูกจำกัด เมื่อได้เข้าทำเป็นสัญญาที่มีผลผูกพันทางกฎหมาย

ส่วนที่ 1: ตาราง

ตารางที่ 1: ภาคี

เริ่มวันที่
ฝ่าย ผู้ส่งออก (ผู้ส่งการโอนแบบจำกัด) ผู้นำเข้า (ผู้ที่ได้รับการจำกัดการโอน)
รายละเอียดฝ่ายต่างๆ ตามที่ระบุไว้ในข้อตกลง ตามที่ระบุไว้ในข้อตกลง

ตารางที่ 2: SCC ที่เลือก โมดูล และข้อที่เลือก

ภาคผนวก EU SCCs เวอร์ชันของ EU SCC ที่ได้รับอนุมัติซึ่งแนบมากับเอกสารแนบ 4 นี้ โดยมีรายละเอียดด้านล่าง รวมถึงข้อมูลภาคผนวก:

ตารางที่ 3: ข้อมูลภาคผนวก

“ข้อมูลภาคผนวก” หมายถึงข้อมูลที่ต้องจัดเตรียมสำหรับโมดูลที่เลือกตามที่กำหนดไว้ในภาคผนวกของ EU SCC ที่ได้รับอนุมัติ (นอกเหนือจากภาคี) และสำหรับภาคผนวกนี้มีระบุไว้ใน: sentinelone.com/legal/sccs/eu-c2p .

ตารางที่ 4: การสิ้นสุดภาคผนวกนี้เมื่อการเปลี่ยนแปลงภาคผนวกที่ได้รับอนุมัติ

การสิ้นสุดภาคผนวกนี้เมื่อภาคผนวกที่ได้รับอนุมัติมีการเปลี่ยนแปลง ภาคีใดอาจยุติภาคผนวกนี้ตามที่กำหนดไว้ในมาตรา 19:
  • นำเข้า
  • ผู้ส่งออก

ส่วนที่ 2: ข้อบังคับ

  1. คู่สัญญาแต่ละฝ่ายตกลงที่จะผูกพันตามข้อกำหนดและเงื่อนไขที่กำหนดไว้ในบทต่อท้ายนี้ เพื่อแลกกับคู่สัญญาอีกฝ่ายหนึ่งตกลงที่จะผูกพันตามบทต่อท้ายนี้ด้วย
  2. แม้ว่าภาคผนวก 1A และข้อ 7 ของ SCCs ของสหภาพยุโรปที่ได้รับอนุมัติจะต้องลงนามโดยคู่สัญญาทั้งสองฝ่าย เพื่อวัตถุประสงค์ในการถ่ายโอนแบบจำกัด คู่สัญญาอาจเข้าสู่ภาคผนวกนี้ด้วยวิธีใดก็ตามที่ทำให้มีผลผูกพันทางกฎหมายกับคู่สัญญาและอนุญาตให้เจ้าของข้อมูลบังคับใช้ สิทธิตามที่กำหนดไว้ในภาคผนวกนี้ การเข้าสู่ภาคผนวกนี้จะมีผลเช่นเดียวกับการลงนามใน EU SCC ที่ได้รับอนุมัติและส่วนใดๆ ของ EU SCC ที่ได้รับอนุมัติ

การตีความภาคผนวกนี้

เมื่อภาคผนวกนี้ใช้ข้อกำหนดที่กำหนดไว้ใน EU SCC ที่ได้รับอนุมัติ ข้อกำหนดเหล่านั้นจะมีความหมายเดียวกันกับใน EU SCC ที่ได้รับอนุมัติ นอกจากนี้ คำศัพท์ต่อไปนี้มีความหมายดังต่อไปนี้: ภาคผนวก: ภาคผนวกการถ่ายโอนข้อมูลระหว่างประเทศนี้ซึ่งประกอบด้วยภาคผนวกนี้ที่รวมภาคผนวก EU SCC ภาคผนวก SCC ของสหภาพยุโรป: เวอร์ชันของ SCC ของสหภาพยุโรปที่ได้รับอนุมัติซึ่งผนวกภาคผนวกนี้ตามที่กำหนดไว้ในตารางที่ 2 รวมถึงข้อมูลภาคผนวก ข้อมูลภาคผนวก: ตามที่กำหนดไว้ในตารางที่ 3 การป้องกันที่เหมาะสม: มาตรฐานการปกป้องข้อมูลส่วนบุคคลและสิทธิ์ของเจ้าของข้อมูล ซึ่งกำหนดโดยกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักร เมื่อคุณทำการโอนแบบจำกัดตามมาตราการป้องกันข้อมูลมาตรฐานภายใต้มาตรา 46(2)(d) GDPR ของสหราชอาณาจักร ภาคผนวกที่ได้รับอนุมัติ: เทมเพลตเพิ่มเติมที่ออกโดย ICO และวางไว้ต่อหน้ารัฐสภาตามมาตรา 119A ของพระราชบัญญัติคุ้มครองข้อมูล 2018 เมื่อวันที่ 2 กุมภาพันธ์ พ.ศ. 2022 ซึ่งได้รับการแก้ไขภายใต้มาตรา 18 EU SCC ที่ได้รับอนุมัติ: ข้อสัญญามาตรฐานกำหนดไว้ในภาคผนวกของ Commission Implementing Decision (EU) 2021/914 ลงวันที่ 4 มิถุนายน 2021 ไอซีโอ:กรรมาธิการสารสนเทศ. การโอนแบบจำกัด: การโอนซึ่งครอบคลุมอยู่ในบทที่ XNUMX ของ GDPR ของสหราชอาณาจักร UK: สหราชอาณาจักรบริเตนใหญ่และไอร์แลนด์เหนือ กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักร:กฎหมายทั้งหมดที่เกี่ยวข้องกับการปกป้องข้อมูล การประมวลผลข้อมูลส่วนบุคคล ความเป็นส่วนตัวและ/หรือการสื่อสารทางอิเล็กทรอนิกส์ที่มีผลบังคับใช้เป็นครั้งคราวในสหราชอาณาจักร รวมถึง GDPR ของสหราชอาณาจักรและกฎหมายคุ้มครองข้อมูล 2018 GDPR ของสหราชอาณาจักร: ตามที่กำหนดไว้ในมาตรา 3 ของพระราชบัญญัติคุ้มครองข้อมูล พ.ศ. 2018
  • ภาคผนวกนี้ต้องได้รับการตีความในลักษณะที่สอดคล้องกับกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรเสมอ และเพื่อให้เป็นไปตามภาระหน้าที่ของคู่ภาคีในการจัดให้มีการป้องกันที่เหมาะสม
  • หากข้อกำหนดที่รวมอยู่ในภาคผนวก EU SCC แก้ไข SCC ที่อนุมัติด้วยวิธีใดๆ ที่ไม่ได้รับอนุญาตภายใต้ SCC ของสหภาพยุโรปที่อนุมัติหรือภาคผนวกที่อนุมัติ การแก้ไขดังกล่าวจะไม่รวมอยู่ในภาคผนวกนี้และบทบัญญัติเทียบเท่าของ EU ที่อนุมัติ SCCs จะเข้ามาแทนที่
  • หากมีความไม่สอดคล้องหรือข้อขัดแย้งระหว่างกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรและภาคผนวกนี้ กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรจะมีผลบังคับใช้
  • หากความหมายของภาคผนวกนี้ไม่ชัดเจนหรือมีมากกว่าหนึ่งความหมาย ความหมายที่สอดคล้องกับกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรมากที่สุดจะมีผลบังคับใช้
  • การอ้างอิงถึงกฎหมายใด ๆ (หรือบทบัญญัติเฉพาะของกฎหมาย) หมายถึงกฎหมายนั้น (หรือข้อกำหนดเฉพาะ) ที่อาจเปลี่ยนแปลงได้ตลอดเวลา ซึ่งรวมถึงเมื่อมีการรวมกฎหมาย (หรือข้อกำหนดเฉพาะ) เข้าด้วยกัน บังคับใช้ซ้ำ และ/หรือแทนที่หลังจากที่มีการเข้าสู่ภาคผนวกนี้

การตีความภาคผนวกนี้

  • แม้ว่าข้อ 5 ของ SCC ของสหภาพยุโรปที่ได้รับอนุมัติจะระบุว่า SCC ของสหภาพยุโรปที่ได้รับอนุมัติมีผลเหนือกว่าข้อตกลงที่เกี่ยวข้องทั้งหมดระหว่างคู่สัญญา แต่คู่สัญญาตกลงว่าสำหรับการโอนแบบจำกัด ลำดับชั้นในส่วนที่ 10 จะมีผลเหนือกว่า
  • ในกรณีที่มีความไม่สอดคล้องกันหรือความขัดแย้งใดๆ ระหว่างภาคผนวกที่อนุมัติและภาคผนวก EU SCC (ตามความเหมาะสม) ภาคผนวกที่อนุมัติจะแทนที่ภาคผนวก EU SCCs ยกเว้นในกรณีที่ (และตราบเท่าที่) ข้อกำหนดที่ไม่สอดคล้องหรือขัดแย้งกันของภาคผนวก EU SCC ระบุไว้ การปกป้องที่มากขึ้นสำหรับเจ้าของข้อมูล ซึ่งในกรณีนี้ข้อกำหนดเหล่านั้นจะแทนที่ภาคผนวกที่อนุมัติ
  • ในกรณีที่ภาคผนวกนี้รวมภาคผนวก SCC ของสหภาพยุโรปซึ่งได้เข้าร่วมเพื่อปกป้องการถ่ายโอนภายใต้ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป (EU) 2016/679 ภาคียอมรับว่าไม่มีส่วนใดในภาคผนวกนี้ส่งผลกระทบต่อภาคผนวก EU SCC เหล่านั้น

การรวมตัวกันและการเปลี่ยนแปลง EU SCCs

ภาคผนวกนี้รวมภาคผนวก EU SCCs ซึ่งได้รับการแก้ไขในขอบเขตที่จำเป็นเพื่อให้:
  • พวกเขาร่วมกันดำเนินการสำหรับการถ่ายโอนข้อมูลที่ทำโดยผู้ส่งออกข้อมูลไปยังผู้นำเข้าข้อมูล ในขอบเขตที่กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรบังคับใช้กับการประมวลผลของผู้ส่งออกข้อมูลเมื่อทำการถ่ายโอนข้อมูลนั้น และกฎหมายเหล่านี้มีมาตรการป้องกันที่เหมาะสมสำหรับการถ่ายโอนข้อมูลเหล่านั้น
  • มาตรา 9 ถึง 11 แทนที่ข้อ 5 (ลำดับชั้น) ของภาคผนวก EU SCC; และ
  • ภาคผนวกนี้ (รวมถึงภาคผนวก EU SCC ที่รวมอยู่ในภาคผนวกนี้) คือ (1) อยู่ภายใต้กฎหมายของอังกฤษและเวลส์ และ (2) ข้อพิพาทใดๆ ที่เกิดขึ้นจากข้อตกลงดังกล่าวจะได้รับการแก้ไขโดยศาลของอังกฤษและเวลส์ ในแต่ละกรณี เว้นแต่กฎหมายและ /หรือศาลของสกอตแลนด์หรือไอร์แลนด์เหนือได้รับการคัดเลือกโดยชัดแจ้งโดยภาคี
เว้นแต่คู่ภาคีจะตกลงร่วมกันในการแก้ไขเพิ่มเติมซึ่งเป็นไปตามข้อกำหนดของมาตรา 12 บทบัญญัติของมาตรา 15 จะมีผลบังคับใช้ ไม่มีการแก้ไข SCC ของสหภาพยุโรปที่ได้รับอนุมัตินอกเหนือจากเพื่อให้เป็นไปตามข้อกำหนดของมาตรา 12 มีการแก้ไขเพิ่มเติมในภาคผนวก EU SCC (เพื่อวัตถุประสงค์ของมาตรา 12) ต่อไปนี้:
  • การอ้างอิงถึง “ข้อ” หมายถึงภาคผนวกนี้ ซึ่งรวมภาคผนวก SCC ของสหภาพยุโรป
ในข้อ 2 ให้ลบคำว่า
  • “และในส่วนที่เกี่ยวกับการถ่ายโอนข้อมูลจากผู้ควบคุมไปยังผู้ประมวลผล และ/หรือผู้ประมวลผลไปยังผู้ประมวลผล ข้อสัญญามาตรฐานตามมาตรา 28(7) ของระเบียบ (EU) 2016/679”;
ข้อ 6 (คำอธิบายการโอน) ถูกแทนที่ด้วย:
  • “รายละเอียดของการถ่ายโอนและโดยเฉพาะอย่างยิ่งหมวดหมู่ของข้อมูลส่วนบุคคลที่ถ่ายโอนและวัตถุประสงค์ในการถ่ายโอนข้อมูลนั้นระบุไว้ในภาคผนวก IB ซึ่งกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรบังคับใช้กับการประมวลผลของผู้ส่งออกข้อมูลเมื่อ ทำให้การถ่ายโอนนั้น”;
ข้อ 8.7 (i) ของโมดูล 1 ถูกแทนที่ด้วย:
  • “เป็นประเทศที่ได้รับประโยชน์จากกฎระเบียบที่เพียงพอตามมาตรา 17A ของ GDPR ของสหราชอาณาจักรซึ่งครอบคลุมการโอนต่อไป”;
ข้อ 8.8(i) ของโมดูล 2 และ 3 ถูกแทนที่ด้วย:
  • “การส่งต่อไปยังประเทศที่ได้รับประโยชน์จากกฎระเบียบที่เพียงพอตามมาตรา 17A ของ GDPR ของสหราชอาณาจักรซึ่งครอบคลุมการโอนต่อไป”
การอ้างอิงถึง “กฎระเบียบ (EU) 2016/679”, “กฎระเบียบ (EU) 2016/679 ของรัฐสภายุโรปและคณะมนตรีเมื่อวันที่ 27 เมษายน 2016 ว่าด้วยการคุ้มครองบุคคลธรรมดาเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและการเคลื่อนย้ายอย่างเสรี ของข้อมูลดังกล่าว (กฎการคุ้มครองข้อมูลทั่วไป)” และ “ระเบียบนั้น” ทั้งหมดจะถูกแทนที่ด้วย “กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักร” การอ้างอิงถึงบทความเฉพาะของ “กฎระเบียบ (EU) 2016/679” จะถูกแทนที่ด้วยบทความที่เทียบเท่าหรือมาตราของกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักร การอ้างอิงถึงกฎระเบียบ (EU) 2018/1725 จะถูกลบออก; การอ้างอิงถึง “สหภาพยุโรป”, “สหภาพ”, “สหภาพยุโรป”, “ประเทศสมาชิกสหภาพยุโรป”, “รัฐสมาชิก” และ “สหภาพยุโรปหรือรัฐสมาชิก” ทั้งหมดจะถูกแทนที่ด้วย “สหราชอาณาจักร”; การอ้างอิงถึง “ข้อ 12(c)(i)” ที่ข้อ 10(b)(i) ของโมดูลที่หนึ่ง จะถูกแทนที่ด้วย “ข้อ 11(c)(i)”; ไม่ใช้ข้อ 13 (a) และส่วน C ของภาคผนวก 16 "หน่วยงานกำกับดูแลที่มีอำนาจ" และ "หน่วยงานกำกับดูแล" จะถูกแทนที่ด้วย "ผู้บัญชาการข้อมูล" CIn ข้อ XNUMX € ส่วนย่อย (i) ถูกแทนที่ด้วย:
  • “เลขาธิการแห่งรัฐกำหนดระเบียบตามมาตรา 17A ของพระราชบัญญัติคุ้มครองข้อมูล 2018 ที่ครอบคลุมการถ่ายโอนข้อมูลส่วนบุคคลซึ่งเป็นไปตามข้อกำหนดเหล่านี้”
ข้อ 17 ถูกแทนที่ด้วย:
  • “ข้อกำหนดเหล่านี้อยู่ภายใต้กฎหมายของอังกฤษและเวลส์”;
ข้อ 18 ถูกแทนที่ด้วย:
  • “ข้อพิพาทใดๆ ที่เกิดขึ้นจากข้อกำหนดเหล่านี้จะได้รับการแก้ไขโดยศาลแห่งอังกฤษและเวลส์ เจ้าของข้อมูลอาจดำเนินคดีกับผู้ส่งออกข้อมูลและ/หรือผู้นำเข้าข้อมูลต่อศาลของประเทศใดๆ ในสหราชอาณาจักร ทั้งสองฝ่ายตกลงที่จะยอมจำนนต่อเขตอำนาจศาลดังกล่าว”; และ
เชิงอรรถของ SCC ของสหภาพยุโรปที่ได้รับอนุมัติไม่ได้เป็นส่วนหนึ่งของภาคผนวก ยกเว้นเชิงอรรถ 8, 9, 10 และ 11

การแก้ไขภาคผนวกนี้

  • คู่สัญญาอาจตกลงที่จะเปลี่ยนแปลงข้อ 17 และ/หรือ 18 ของภาคผนวก EU SCC เพื่ออ้างถึงกฎหมายและ/หรือศาลของสกอตแลนด์หรือไอร์แลนด์เหนือ
  • หากคู่สัญญาต้องการเปลี่ยนรูปแบบของข้อมูลที่รวมอยู่ในส่วนที่ 1: ตารางของภาคผนวกที่ได้รับอนุมัติ พวกเขาอาจทำได้โดยยอมรับการเปลี่ยนแปลงเป็นลายลักษณ์อักษร โดยมีเงื่อนไขว่าการเปลี่ยนแปลงจะไม่ลดการป้องกันที่เหมาะสม
ในบางครั้ง ICO อาจออกภาคผนวกที่ได้รับอนุมัติฉบับแก้ไขซึ่ง:
  • ทำการเปลี่ยนแปลงภาคผนวกที่ได้รับอนุมัติอย่างสมเหตุสมผลและตามสัดส่วน รวมถึงการแก้ไขข้อผิดพลาดในภาคผนวกที่ได้รับอนุมัติ และ/หรือ
  • สะท้อนถึงการเปลี่ยนแปลงกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักร
ภาคผนวกที่ได้รับอนุมัติที่แก้ไขแล้วจะระบุวันที่เริ่มต้นซึ่งการเปลี่ยนแปลงในภาคผนวกที่ได้รับอนุมัติจะมีผลบังคับใช้ และคู่สัญญาจำเป็นต้องตรวจสอบภาคผนวกนี้รวมถึงข้อมูลภาคผนวกหรือไม่ ภาคผนวกนี้ได้รับการแก้ไขโดยอัตโนมัติตามที่กำหนดไว้ในภาคผนวกที่ได้รับอนุมัติที่แก้ไขแล้วนับจากวันที่เริ่มต้นที่ระบุ หาก ICO ออกภาคผนวกที่ได้รับอนุมัติฉบับแก้ไขภายใต้มาตรา 18 หากฝ่ายใดฝ่ายหนึ่งได้รับเลือกในตารางที่ 4 “การสิ้นสุดภาคผนวกเมื่อภาคผนวกที่อนุมัติเปลี่ยนแปลง” เป็นผลโดยตรงจากการเปลี่ยนแปลงในภาคผนวกที่ได้รับอนุมัติจะมีจำนวนเพิ่มขึ้นอย่างไม่สมส่วนและแสดงให้เห็นได้ ใน:
  • ค่าใช้จ่ายโดยตรงในการปฏิบัติตามภาระผูกพันภายใต้ภาคผนวก; และ/หรือ
  • ความเสี่ยงของตนภายใต้ภาคผนวก และไม่ว่าในกรณีใดก็ตาม ภาคีได้ดำเนินการตามขั้นตอนที่สมเหตุสมผลในขั้นแรกเพื่อลดต้นทุนหรือความเสี่ยงเหล่านั้น เพื่อไม่ให้มีนัยสำคัญและไม่สมส่วน จากนั้นฝ่ายนั้นอาจยุติภาคผนวกนี้เมื่อสิ้นสุดระยะเวลาการแจ้งให้ทราบที่สมเหตุสมผล โดยจัดทำเป็นลายลักษณ์อักษร แจ้งให้คู่สัญญาอีกฝ่ายหนึ่งทราบในช่วงเวลานั้นก่อนวันที่เริ่มต้นของภาคผนวกที่ได้รับอนุมัติฉบับแก้ไข
คู่สัญญาไม่จำเป็นต้องได้รับความยินยอมจากบุคคลที่สามในการเปลี่ยนแปลงภาคผนวกนี้ แต่การเปลี่ยนแปลงใด ๆ ต้องทำตามเงื่อนไข
เลื่อนไปที่ด้านบน
ลงทะเบียนเพื่อรับจดหมายข่าว