ข้อตกลงการประมวลผลข้อมูลนี้ (“ข้อตกลง") เป็นส่วนหนึ่งของสัญญาการให้บริการ (“สัญญาหลัก") ระหว่าง TeleRetro (ซึ่งต่อไปจะเรียกว่า "บริษัท") และลูกค้า TeleRetro ที่ระบุไว้ในเอกสารการสั่งซื้อของ TeleRetro สำหรับบริการของ TeleRetro (ต่อไปนี้จะเรียกว่า “ผู้ประมวลผลข้อมูล") (ซึ่งต่อไปจะเรียกรวมกันว่า "ฝ่ายต่าง ๆ")
ปรารถนาที่จะ:
(A) บริษัทดำเนินการในฐานะที่เป็นผู้ควบคุมข้อมูล
(B) บริษัทต้องการที่จะจ้างบางบริการที่รวมถึงการประมวลผลข้อมูลส่วนบุคคลให้กับผู้ประมวลผลข้อมูล
(C) ฝ่ายต่าง ๆ ต้องการที่จะบังคับใช้ข้อตกลงการประมวลผลข้อมูลที่เป็นไปตามข้อกำหนดทางกฎหมายปัจจุบันที่เกี่ยวข้องกับการประมวลผลข้อมูลและข้อบังคับ (EU) 2016/679 ของรัฐสภายุโรปและสภาเมื่อวันที่ 27 เมษายน 2016 ว่าด้วยการคุ้มครองบุคคลธรรมดาเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและเกี่ยวกับการเคลื่อนย้ายข้อมูลอย่างเสรี และยกเลิกคำสั่ง 95/46/EC (กฎระเบียบทั่วไปว่าด้วยการคุ้มครองข้อมูล)
(D) ฝ่ายต่าง ๆ ต้องการกำหนดสิทธิและหน้าที่ของตน
ได้ตกลงกันดังนี้:
1. คำนิยามและการตีความ
1.1 เว้นแต่กำหนดไว้อย่างอื่นในที่นี้ คำศัพท์ที่ใช้ในข้อตกลงนี้มีความหมายดังต่อไปนี้:
1.1.1 “ข้อตกลง” หมายถึง ข้อตกลงการประมวลผลข้อมูลนี้และตารางแนบท้ายทั้งหมด;
1.1.2 “ข้อมูลส่วนบุคคลของบริษัท” หมายถึง ข้อมูลส่วนบุคคลใด ๆ ที่ประมวลผลโดยผู้ประมวลผลสัญญาว่าจ้างในนามของบริษัทตามหรือเกี่ยวกับสัญญาหลัก;
1.1.3 “ผู้ประมวลผลสัญญาว่าจ้าง” หมายถึง ผู้ประมวลผลย่อย;
1.1.4 “กฎหมายคุ้มครองข้อมูล” หมายถึง กฎหมายคุ้มครองข้อมูลของสหภาพยุโรป และในกรณีที่เกี่ยวข้องกฎหมายการคุ้มครองข้อมูลหรือความเป็นส่วนตัวของประเทศอื่น ๆ;
1.1.5 “EEA” หมายถึง พื้นที่เศรษฐกิจยุโรป;
1.1.6 “กฎหมายคุ้มครองข้อมูลของสหภาพยุโรป” หมายถึง คำสั่งของสหภาพยุโรป 95/46/EC ตามที่นำไปใช้ในกฎหมายภายในของแต่ละรัฐสมาชิกและแก้ไข เปลี่ยนแปลง หรือแทนที่จากเวลาถึงเวลา รวมถึง GDPR และกฎหมายที่นำไปปฏิบัติตามหรือเสริมต่อ GDPR;
1.1.7 “GDPR” หมายถึง กฎระเบียบทั่วไปว่าด้วยการคุ้มครองข้อมูลของสหภาพยุโรป 2016/679;
1.1.8 “การโอนข้อมูล” หมายถึง:
1.1.8.1 การโอนข้อมูลส่วนบุคคลของบริษัทจากบริษัทไปยังผู้ประมวลผลสัญญาว่าจ้าง; หรือ
1.1.8.2 การโอนข้อมูลส่วนบุคคลของบริษัทต่อไปจากผู้ประมวลผลสัญญาว่าจ้างไปยังผู้ประมวลผลย่อย หรือระหว่างสาขาสองแห่งของผู้ประมวลผลสัญญาว่าจ้าง จากกรณีนั้นซึ่งการโอนดังกล่าวจะถูกห้ามตามกฎหมายคุ้มครองข้อมูล (หรือตามเงื่อนไขของข้อตกลงการโอนข้อมูลที่นำไปปฏิบัติเพื่อแก้ไขข้อจำกัดในการโอนข้อมูลของกฎหมายคุ้มครองข้อมูล);
1.1.9 “บริการ” หมายถึง บริการทบทวนหลังเสร็จสิ้นขั้นตอนวิธีแบบ agile ออนไลน์ที่บริษัทให้บริการ
1.1.10 “ผู้ประมวลผลย่อย” หมายถึง บุคคลใดที่ได้รับการแต่งตั้งโดยหรือในนามของผู้ประมวลผลข้อมูลเพื่อประมวลผลข้อมูลส่วนบุคคลในนามของบริษัทร่วมกับข้อตกลงนี้
1.2 ข้อกำหนด “คณะกรรมการ”, “ผู้ควบคุมข้อมูล”, “เจ้าของข้อมูล”, “รัฐสมาชิก”, “ข้อมูลส่วนบุคคล”, “การละเมิดข้อมูลส่วนบุคคล”, “การประมวลผล” และ “หน่วยงานกำกับดูแล” ควรมีความหมายเช่นเดียวกับใน GDPR และข้อสันนิษฐานที่คล้ายคลึงกันจะถูกตีความตามนั้น
2. การประมวลผลข้อมูลส่วนบุคคลของบริษัท
2.1 ผู้ประมวลผลข้อมูลต้อง:
2.1.1 ปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องทั้งหมดในการประมวลผลข้อมูลส่วนบุคคลของบริษัท; และ
2.1.2 ไม่ประมวลผลข้อมูลส่วนบุคคลของบริษัทนอกเหนือจากคำสั่งที่ถูกบันทึกของบริษัทที่เกี่ยวข้อง
2.2 บริษัทสั่งให้ผู้ประมวลผลข้อมูลประมวลผลข้อมูลส่วนบุคคลของบริษัท
3. บุคลากรของผู้ประมวลผลข้อมูล
ผู้ประมวลผลข้อมูลต้องใช้มาตรการที่สมเหตุสมผลเพื่อรับรองความน่าเชื่อถือของพนักงาน ตัวแทน หรือผู้รับจ้างของผู้ประมวลผลสัญญาว่าจ้างที่อาจเข้าถึงข้อมูลส่วนบุคคลของบริษัท โดยในแต่ละกรณีจะต้องรับรองว่าการเข้าถึงได้รับการจำกัดไว้ที่บุคคลที่ต้องการทราบ / เข้าถึงข้อมูลส่วนบุคคลของบริษัทที่เกี่ยวข้อง ที่จำเป็นอย่างยิ่งสำหรับวัตถุประสงค์ของสัญญาหลัก และปฏิบัติตามกฎหมายที่เกี่ยวข้องในบริบทของหน้าที่ของบุคคลนั้น ๆ ต่อผู้ประมวลผลสัญญาว่าจ้าง โดยรับรองว่าบุคคลทั้งหมดเหล่านี้อยู่ภายใต้สัญญาหรือข้อผูกมัดทางวิชาชีพหรือข้อผูกมัดทางกฎหมายในการรักษาความลับ
4. ความปลอดภัย
4.1 เมื่อพิจารณาถึงภาวะวิทยาการ ค่าใช้จ่ายในการดำเนินการ และลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการประมวลผล รวมทั้งความเสี่ยงที่แตกต่างกันไปในโอกาสและความรุนแรงต่อสิทธิและเสรีภาพของบุคคลธรรมดา ผู้ประมวลผลข้อมูลต้องใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมในเรื่องของข้อมูลส่วนบุคคลของบริษัท เพื่อรับรองระดับความปลอดภัยที่เหมาะสมกับความเสี่ยง รวมถึงเมื่อเหมาะสม มาตรการที่ได้ระบุไว้ในข้อ 32(1) ของ GDPR
4.2 ในการประเมินระดับความปลอดภัยที่เหมาะสม ผู้ประมวลผลข้อมูลต้องรับรองว่าตนพิจารณาความเสี่ยงที่เกิดจากการประมวลผล โดยเฉพาะจากการละเมิดข้อมูลส่วนบุคคล
5. การประมวลผลย่อย
5.1 ผู้ประมวลผลข้อมูลต้องไม่แต่งตั้ง (หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทใด ๆ ให้กับ) ผู้ประมวลผลย่อย เว้นแต่จะได้รับการอนุญาตหรืออนุมัติจากบริษัท
6. สิทธิของเจ้าของข้อมูล
6.1 โดยพิจารณาจากลักษณะของการประมวลผล ผู้ประมวลผลข้อมูลต้องช่วยเหลือบริษัทโดยนำมาตรการทางเทคนิคและองค์กรที่เหมาะสมมาใช้ เท่าที่จะสามารถทำได้ เพื่อการปฏิบัติหน้าที่ของบริษัทตามที่เข้าใจอย่างสมเหตุสมผล โดยการตอบสนองต่อคำขอในการใช้สิทธิ์ของเจ้าของข้อมูลภายใต้กฎหมายคุ้มครองข้อมูล
6.2 ผู้ประมวลผลข้อมูลต้อง:
6.2.1 แจ้งบริษัทอย่างรวดเร็วหากได้รับการร้องขอจากเจ้าของข้อมูลภายใต้กฎหมายคุ้มครองข้อมูลใด ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของบริษัท; และ
6.2.2 รับรองว่าจะไม่ตอบสนองต่อคำขอนั้น เว้นแต่จะเป็นไปตามคำสั่งที่บันทึกของบริษัทหรือจำเป็นตามกฎหมายที่เกี่ยวข้องที่ผู้ประมวลผลข้อมูลต้องปฏิบัติ โดยในกรณีที่ไม่ได้รับอนุญาตจากกฎหมายที่เกี่ยวข้อง ผู้ประมวลผลข้อมูลจะต้องแจ้งบริษัทถึงข้อกำหนดทางกฎหมายนั้นก่อนที่ผู้ประมวลผลสัญญาว่าจ้างจะตอบสนองต่อคำขอนั้น
7. การละเมิดข้อมูลส่วนบุคคล
7.1 ผู้ประมวลผลข้อมูลต้องแจ้งบริษัทโดยไม่ชักช้าหลังจากที่ทราบถึงการละเมิดข้อมูลส่วนบุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของบริษัท โดยให้ข้อมูลเพียงพอแก่บริษัทเพื่อให้บริษัทรู้หน้าที่ในการรายงานหรือแจ้งเจ้าของข้อมูลของการละเมิดข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูล
7.2 ผู้ประมวลผลข้อมูลต้องร่วมมือกับบริษัทและดำเนินขั้นตอนทางการค้าอย่างสมเหตุสมผลตามที่บริษัทกำหนดเพื่อช่วยในการสืบสวน ลดความเสี่ยง และการแก้ไขการละเมิดข้อมูลส่วนบุคคลดังกล่าว
8. การประเมินผลกระทบต่อการคุ้มครองข้อมูลและการปรึกษาเบื้องต้น
8.1 ผู้ประมวลผลข้อมูลต้องให้ความช่วยเหลือที่สมเหตุสมผลแก่บริษัทในการประเมินผลกระทบต่อการคุ้มครองข้อมูล และการปรึกษาเบื้องต้นกับหน่วยงานกำกับดูแลหรือหน่วยงานคุ้มครองข้อมูลที่มีอำนาจอื่น ๆ ซึ่งบริษัทพิจารณาเห็นว่าเป็นไปตามมาตรา 35 หรือ 36 ของ GDPR หรือข้อกำหนดที่เทียบเท่าของกฎหมายคุ้มครองข้อมูลใด ๆ โดยในแต่ละกรณีต้องเป็นเพียงการประมวลผลข้อมูลส่วนบุคคลของบริษัท และต้องพิจารณาถึงลักษณะของการประมวลผลและข้อมูลที่ใช้ได้แก่ผู้ประมวลผลสัญญาว่าจ้าง
9. การลบหรือคืนข้อมูลส่วนบุคคลของบริษัท
9.1 ภายใต้ส่วนนี้ ผู้ประมวลผลข้อมูลต้องลบข้อมูลส่วนบุคคลของบริษัททั้งหมดภายใน 10 วันทำการนับจากวันที่หยุดให้บริการที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของบริษัท (ซึ่งต่อไปจะเรียกว่า “วันที่หยุด")
10. สิทธิการตรวจสอบ
10.1 ภายใต้ส่วนนี้ ผู้ประมวลผลข้อมูลต้องทำข้อมูลที่จำเป็นเพื่อรับรองว่าปฏิบัติตามข้อตกลงนี้ให้ใช้ได้สำหรับบริษัทตามคำขอ และอนุญาตให้ดำเนินการตรวจสอบ รวมถึงการตรวจสอบโดยบริษัทหรือผู้ตรวจสอบที่ได้รับมอบหมายจากบริษัท เพื่อประเมินการประมวลผลข้อมูลส่วนบุคคลของบริษัทโดยผู้ประมวลผลสัญญาว่าจ้าง
10.2 ข้อมูลและสิทธิการตรวจสอบของบริษัทเกิดขึ้นภายใต้ส่วนนี้เท่านั้นตามที่ข้อตกลงไม่ได้ให้สิทธิข้อมูลและสิทธิการตรวจสอบที่สอดคล้องกับข้อกำหนดที่เกี่ยวข้องของกฎหมายคุ้มครองข้อมูล
11. การโอนข้อมูล
11.1 ผู้ประมวลผลข้อมูลต้องไม่โอนหรืออนุญาตให้มีการโอนข้อมูลไปยังประเทศใด ๆ นอกสหภาพยุโรปและ/หรือเขตเศรษฐกิจยุโรป (EEA) โดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าจากบริษัท หากข้อมูลส่วนบุคคลที่ประมวลผลภายใต้ข้อตกลงนี้ถูกโอนจากประเทศในเขตเศรษฐกิจยุโรปไปยังประเทศนอกเขตเศรษฐกิจยุโรป ฝ่ายต่าง ๆ ต้องมั่นใจว่าข้อมูลส่วนบุคคลได้รับการคุ้มครองอย่างเหมาะสม เพื่อที่จะบรรลุสิ่งนี้ ฝ่ายต่าง ๆ ต้องพึ่งพาข้อสัญญามาตรฐานที่ได้รับอนุมัติจากสหภาพยุโรปสำหรับการโอนข้อมูลส่วนบุคคล เว้นแต่จะตกลงเป็นอย่างอื่น
12. ข้อกำหนดทั่วไป
12.1 การรักษาความลับ ฝ่ายแต่ละฝ่ายต้องเก็บรักษาข้อตกลงนี้และข้อมูลที่ได้รับเกี่ยวกับฝ่ายอื่น ๆ และธุรกิจของฝ่ายอื่น ๆ ภายใต้ข้อตกลงนี้ ("ข้อมูลลับ") และต้องไม่ใช้หรือเปิดเผยข้อมูลลับนั้นโดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรจากฝ่ายอื่น ยกเว้นในขอบเขตที่: (a) การเปิดเผยเป็นไปตามกฎหมาย; (b) ข้อมูลที่เกี่ยวข้องอยู่ในที่สาธารณะแล้ว
12.2 การแจ้งเตือน การแจ้งเตือนและการสื่อสารทั้งหมดที่ให้ภายใต้ข้อตกลงนี้ต้องทำเป็นลายลักษณ์อักษร และจะจัดส่งโดยส่งด้วยตนเอง ส่งทางไปรษณีย์หรือส่งทางอีเมลไปยังที่อยู่หรือที่อยู่อีเมลตามที่ระบุไว้ในหัวของข้อตกลงนี้หรือที่อยู่อื่นใดที่แจ้งให้ทราบเป็นอย่างอื่นโดยฝ่ายต่าง ๆ ที่เปลี่ยนแปลงที่อยู่
13. กฎหมายและเขตอำนาจที่ใช้บังคับ
13.1 ข้อตกลงการประมวลผลข้อมูลนี้อยู่ภายใต้และตีความตามกฎหมายและเขตอำนาจที่ระบุไว้ดังต่อไปนี้:
| ประเทศหรือภูมิภาค | กฎหมายที่เลือกใช้ | เขตอำนาจ |
|---|---|---|
| ประเทศหรือภูมิภาคอื่น ๆ ทั้งหมดที่บริการ TeleRetro สามารถใช้ได้ | กฎหมายของอังกฤษและเวลส์ | เฉพาะที่ |
| สหรัฐอเมริกา | รัฐแคลิฟอร์เนีย สหรัฐอเมริกา | เฉพาะที่; ศาลรัฐและศาลรัฐบาลกลางของทางตอนเหนือของแคลิฟอร์เนีย แคลิฟอร์เนีย |
13.2 ข้อพิพาทใด ๆ ที่เกิดขึ้นในการเชื่อมโยงกับข้อตกลงการประมวลผลข้อมูลนี้ ที่ฝ่ายต่าง ๆ ไม่สามารถแก้ไขได้ด้วยความปรองดอง จะถูกส่งไปยังเขตอำนาจพิเศษของศาลตามที่ระบุไว้ในตารางข้างต้นขึ้นอยู่กับประเทศหรือภูมิภาคของลูกค้า
สัมผัสประสบการณ์การย้อนมองที่ดีกว่า
สร้างการย้อนมองในไม่กี่วินาที & ลองด้วยตัวคุณเอง