ภาษาความเป็นส่วนตัวของ MSA

 ภาคผนวกการคุ้มครองข้อมูล

ลูกค้าได้เข้าทำข้อตกลงหลักหรือข้อตกลงที่มีลักษณะและวัตถุประสงค์คล้ายคลึงกัน (ต่อไปนี้เรียกว่า “ข้อตกลงหลัก”) กับ G-P การลงนามในข้อตกลงหลักดังกล่าวอาจเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ลูกค้าและ G-P (รวมเรียกว่า “คู่สัญญา”) ตกลงว่าข้อตกลงเพิ่มเติมว่าด้วยการคุ้มครองข้อมูล (“DPA”) ฉบับนี้กำหนดภาระผูกพันของทั้งสองฝ่ายเกี่ยวกับการประมวลผลและการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับบริการที่ G-P ให้แก่ลูกค้าภายใต้ข้อตกลงหลัก และคู่สัญญาทั้งสองฝ่ายตกลงที่จะผูกพันตาม DPA ฉบับนี้DPA ฉบับนี้เป็นส่วนเสริมของข้อกำหนดและเงื่อนไขในข้อตกลงหลักและรวมอยู่ในนั้น ในกรณีที่มีข้อขัดแย้งระหว่าง DPA ฉบับนี้กับข้อตกลงอื่นใดระหว่างคู่สัญญาในประเด็นที่ระบุไว้ในที่นี้ DPA ฉบับนี้จะมีผลบังคับใช้เหนือกว่า หากลูกค้ามีข้อตกลงเพิ่มเติมว่าด้วยการคุ้มครองข้อมูลที่ได้ลงนามและมีผลบังคับใช้กับ G-P แล้ว ข้อตกลงนั้นจะมีผลเหนือกว่า DPA ฉบับนี้ และ DPA ฉบับนี้จะไม่มีผลบังคับใช้ เว้นแต่จะตกลงเป็นอย่างอื่นเป็นลายลักษณ์อักษรโดยลูกค้าและ G-P

 

ในทางตรงกันข้าม:

1. เมื่อ G-P ให้บริการแก่ลูกค้าด้วยบริการ Employer of Records (“บริการตัวแทนนายจ้าง”) G-P รับบทบาทเป็นนายจ้างตามกฎหมายสำหรับบุคคลใดๆ ที่ลูกค้าเลือก (“ผู้เชี่ยวชาญ”) เพื่อว่าจ้าง.
2. ในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคลของผู้เชี่ยวชาญดังกล่าว G-P เป็นผู้ควบคุมข้อมูลในระหว่างความสัมพันธ์การจ้างงาน
3. ในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคลของผู้เชี่ยวชาญที่ลูกค้ารวบรวมและนำไปใช้เพื่อวัตถุประสงค์ของตนเอง ลูกค้าก็เป็นผู้ควบคุมข้อมูลที่มีภาระผูกพันด้านความเป็นส่วนตัวอย่างอิสระเช่นกัน
4. เมื่อให้บริการตัวแทนนายจ้าง การแลกเปลี่ยนข้อมูลส่วนบุคคลของผู้เชี่ยวชาญระหว่าง G-P และลูกค้าอยู่ภายใต้ความสัมพันธ์ระหว่างผู้ควบคุมกับผู้ควบคุมที่เป็นอิสระ และ เงื่อนไขระหว่างคอนโทรลเลอร์ที่กำหนดไว้ในส่วน 2 ด้านล่าง จะมีผลบังคับใช้
5. นอกจากนี้ G-P ยังนำเสนอผลิตภัณฑ์ซอฟต์แวร์แบบบริการ (SaaS) หลากหลายรูปแบบผ่านแพลตฟอร์มของ G-P(“GPP”) ซึ่งช่วยให้ G-P สามารถบริหารจัดการความสัมพันธ์กับผู้เชี่ยวชาญเหล่านั้นได้
6. เมื่อลูกค้าได้รับสิทธิ์เข้าถึง GPP แล้ว G-P จะทำหน้าที่เป็นผู้ประมวลผลข้อมูลที่เกี่ยวข้องกับบัญชีซึ่งถูกอัปโหลดไปยัง GPP โดยผู้ใช้ที่ได้รับอนุญาตจากลูกค้า และ เงื่อนไข Controller-to-Processor ที่กำหนดไว้ในส่วน 3 ด้านล่าง จะมีผลบังคับใช้

 

G-P และลูกค้าได้ตกลงกันดังต่อไปนี้:

 

1. DEFINITIONS

1.1. คำศัพท์ที่ไม่ได้นิยามไว้ในที่นี้ ให้มีความหมายตามที่ระบุไว้ในข้อตกลงหลัก คำต่อไปนี้ในข้อตกลงคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ มีความหมายดังต่อไปนี้:

1.2. “ผู้ใช้งานที่ได้รับอนุญาต” หมายถึง บุคคลที่ได้รับอนุญาตจากลูกค้า ซึ่งอาจรวมถึงพนักงานและ/หรือพนักงานที่ปรึกษาของลูกค้า เพื่อเข้าถึงและใช้ งาน GPP ในนามของลูกค้า ตามข้อตกลงหลัก

1.3. “ข้อมูลลูกค้า” หมายถึง ข้อมูลส่วนบุคคลใดๆ ที่เกี่ยวข้องกับผู้ใช้งานที่ได้รับอนุญาต หรือบุคคลธรรมดาที่สามารถระบุตัวตนได้ ซึ่ง G-P ถ่ายโอน ประมวลผล หรือจัดเก็บในนามของลูกค้า เพื่อให้ลูกค้าสามารถใช้ GPP ได้

1.4.“ กฎหมาย คุ้มครองข้อมูล ” หมายถึงกฎหมายข้อมูลและความเป็นส่วนตัวใดๆ ที่คู่สัญญาในข้อตกลงนี้อยู่ภายใต้และที่บังคับใช้กับบริการที่มีให้ รวมถึงในกรณีที่เกี่ยวข้อง แต่ไม่จำกัดเพียง โครงสร้างว่าด้วยรายงานข้อมูลทั่วไป, สหราชอาณาจักร รายงานว่าด้วยข้อมูลทั่วไป, กฎหมายคุ้มครองข้อมูลของสวิส, กฎหมายความเป็นส่วนตัวของสหรัฐอเมริกา (รวมถึงกฎหมายของรัฐและรัฐบาลกลาง) และ LGPD ของ บราซิล

1.5. “ระเบียบว่าด้วยข้อมูลทั่วไป” หมายถึง ระเบียบว่าด้วยข้อมูลทั่วไป (EU) 2016/679

1.6. “GPP” หมายถึง ซอฟต์แวร์ที่เป็นกรรมสิทธิ์ของ G-P รวมถึงแต่ไม่จำกัดเพียง ซอฟต์แวร์ เวอร์ชันมือถือ ซอฟต์แวร์ใดๆ ที่บรรจุอยู่ภายใน และข้อมูลใดๆ ที่สามารถเข้าถึงได้ผ่านการใช้ซอฟต์แวร์ที่เป็นกรรมสิทธิ์ของ G-P หรือบริการของบุคคลที่สาม รวมถึงการอัปเดต การอัปเกรด แพลตฟอร์มเป็นบริการ และเอกสารประกอบต่างๆ

1.7. “EEA” หมายถึง เขตเศรษฐกิจยุโรป

1.8. “LGPD” หมายถึง กฎหมายบราซิลฉบับที่ 13.709 กฎหมายทั่วไปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ตามที่อาจมีการแก้ไข เปลี่ยนแปลง หรือแทนที่

1.9.“ ข้อตกลง หลัก ” หมายถึง ข้อตกลงที่ทำขึ้นระหว่างลูกค้าและ G-P สำหรับการให้บริการ

1.10. “นโยบายความเป็นส่วนตัว” หมายถึง นโยบายความเป็นส่วนตัวของG-Pตามที่ปรับปรุงเป็นระยะๆ ซึ่งสามารถดูได้ที่ https://www.globalization-partners.com/privacy-policy/

1.11. “ข้อมูลของผู้เชี่ยวชาญ” หมายถึง ข้อมูลส่วนบุคคลของผู้เชี่ยวชาญที่ประมวลผลโดย G-P ในการให้บริการของนายจ้างตัวแทนที่ให้บริการแก่ลูกค้า

1.12. "การโอนที่ถูกจำกัด" หมายถึงการโอนข้อมูลส่วนบุคคลไปยังประเทศนอกเขตเศรษฐกิจยุโรป สหราชอาณาจักร สวิตเซอร์แลนด์ หรือบราซิล ซึ่ง ไม่ได้อยู่ภายใต้การตัดสินใจที่เหมาะสม ตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง และดังนั้นจึง ต้องมีมาตรการคุ้มครองที่เหมาะสม ภายใต้กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง

1.13. “บริการ” หมายถึงบริการที่ G-P มอบให้กับลูกค้าภายใต้ข้อตกลงหลัก ซึ่งอาจรวมถึงบริการตัวแทนนายจ้าง และการเข้าถึงและการใช้งาน GPP

1.14. "Standard Contractual Clauses" หรือ "SCCs" หมายถึง (i) ในกรณีที่ระเบียบว่าด้วยข้อมูลทั่วไปมีผลใช้, Standard Contractual clauses ผนวกกับ European Commission's Implementing Decision (EU) 2021/914 ของ 4 มิถุนายน 2021 Standard Contractual clauses สำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามตามระเบียบ (EU) 2016/679 ของรัฐสภายุโรปและสภา มีอยู่ที่ https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN ("EU SCC"); (ii) ในกรณีที่สหราชอาณาจักรจัดว่าด้วยข้อมูลทั่วไปใช้บังคับ ส่วนคำสั่งข้อมูลมาตรฐานที่เกี่ยวข้องที่นำมาใช้ตามมาตรา 46(2)(c) หรือ (d) โดยที่สหราชอาณาจักรกล่าวว่าด้วยข้อมูลทั่วไปหมายถึงภาคผนวกการถ่ายโอนข้อมูลระหว่างประเทศ (“ภาคผนวกของสหราชอาณาจักร”) ของข้อสัญญามาตรฐานของสหภาพยุโรปที่ออกโดยสำนักงานกรรมาธิการข้อมูลภายใต้มาตรา 119A(1) ของพระราชบัญญัติคุ้มครองข้อมูล 2018 ตามที่ส่วนเพิ่มเติมของสหราชอาณาจักรดังกล่าวอาจได้รับการแก้ไขภายใต้มาตรา 18 ในนั้น ("UK SCCs"); (iii) ในกรณีที่ กฎหมายคุ้มครองข้อมูลของสวิตเซอร์แลนด์ มีผลบังคับใช้ ให้ใช้ข้อกำหนดมาตรฐานข้อมูลที่เกี่ยวข้องที่ออก อนุมัติ หรือรับรองโดยหน่วยงานคุ้มครองข้อมูลของรัฐบาลกลางสวิตเซอร์แลนด์และสำนักงานคณะกรรมการข้อมูล ("Swiss SCCs"); ในกรณีที่กฎหมายคุ้มครองข้อมูลของบราซิลมีผลบังคับใช้ ให้ใช้ ข้อกำหนดสัญญามาตรฐานที่เกี่ยวข้องที่แนบมากับมติ CD/ANPD หมายเลข 19/2024 ที่ประกาศใช้โดยหน่วยงานคุ้มครองข้อมูลแห่งชาติของบราซิล ("ANPD") ตามที่อาจมีการแก้ไขเป็นครั้งคราว ("Brazil SCCs")

1.15. “กฎหมายคุ้มครองข้อมูลของสวิตเซอร์แลนด์” หรือ “FADP” หมายถึง (i) พระราชบัญญัติคุ้มครองข้อมูลของรัฐบาลกลางสวิตเซอร์แลนด์ (ลงวันที่ 19 มิถุนายน , 1992 มีนาคม , 1 มีนาคม , 2019) (“FDPA”); (ii) พระราชบัญญัติว่าด้วยการคุ้มครองข้อมูลของรัฐบาลกลาง (“FODP”); และ (iii) กฎหมายคุ้มครองข้อมูลระดับชาติใดๆ ที่ตราขึ้นภายใต้ ตาม แทนที่ หรือสืบเนื่อง และกฎหมายใดๆ ที่แทนที่หรือปรับปรุงกฎหมายข้างต้น

1.16. “ภาคผนวกสหราชอาณาจักร” หมายถึง ภาคผนวกการถ่ายโอนข้อมูลระหว่างประเทศของสหราชอาณาจักร ซึ่งเป็นส่วนเพิ่มเติมของข้อกำหนดสัญญามาตรฐานของสหภาพยุโรป ที่ออกโดยสำนักงานคณะกรรมการข้อมูลข่าวสารแห่งสหราชอาณาจักร

1.17. “กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักร” หมายถึง ระเบียบว่าด้วยกิจกรรมข้อมูลทั่วไปตามที่บันทึกไว้ในกฎหมายสหราชอาณาจักรโดยอาศัยมาตรา 3 ของพระราชบัญญัติสหภาพยุโรป (ถอนตัว) ของสหราชอาณาจักร 2019 ("UK องค์กรว่าด้วยข้อมูลทั่วไป") และพระราชบัญญัติคุ้มครองข้อมูล 2018 (รวมเรียกว่า "กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักร")

1.18. “กฎหมายคุ้มครองความเป็นส่วนตัวของสหรัฐอเมริกา” หมายถึง กฎหมาย คำสั่ง ข้อบังคับ และแนวทางกำกับดูแลของรัฐต่างๆ ในสหรัฐอเมริกาที่บังคับใช้เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงแต่ไม่จำกัดเพียง: (ก) CCPA; (ข) กฎหมายคุ้มครองข้อมูลผู้บริโภคของรัฐเวอร์จิเนีย; (ค) กฎหมายคุ้มครองความเป็นส่วนตัวของรัฐโคโลราโด; (ง) กฎหมายว่าด้วยความเป็นส่วนตัวของข้อมูลและการตรวจสอบออนไลน์ของรัฐคอนเนตทิคัต; (จ) กฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคของรัฐยูทาห์; และ (ฉ) กฎหมายของรัฐอื่นๆ ที่คล้ายคลึงกันทั้งหมด

1.19. คำว่า"ผู้ควบคุมข้อมูล" "เจ้าของข้อมูล" "ข้อมูลส่วนบุคคล" "ข้อมูลรั่วไหล" "ผู้ประมวลผลข้อมูล" "กระบวนการ/การประมวลผล" "การโอนข้อมูลที่ถูกจำกัด" "ผู้ให้บริการ" และ/หรือคำและแนวคิดอื่นใดที่คล้ายคลึงกัน จะมีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล

 

 

2. CONTROL OF PERSONAL DATA

2.1. บทบาทของฝ่ายต่างๆ ในกรณีที่ G-P ดำเนินการในฐานะผู้ควบคุมข้อมูลอิสระ G-P จะปฏิบัติตามภาระผูกพันของผู้ควบคุมข้อมูลภายใต้กฎหมายคุ้มครองข้อมูลเมื่อประมวลผลข้อมูลส่วนบุคคล และจะประมวลผลข้อมูลส่วนบุคคลตามที่อธิบายไว้ในนโยบายความเป็นส่วนตัวของ G-Pซึ่งมีอยู่ที่ https://www.globalization-partners.com/privacy-policy/ลูกค้าจะปฏิบัติตามภาระผูกพันของตนภายใต้กฎหมายคุ้มครองข้อมูลเมื่อประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ควบคุมข้อมูล ไม่ว่าในกรณีใดๆ ฝ่ายต่างๆ จะไม่ประมวลผลข้อมูลส่วนบุคคลภายใต้ DPA นี้ในฐานะผู้ควบคุมข้อมูลร่วมกัน

2.2. ความรับผิดชอบและการรับทราบแต่ละฝ่ายอาจประมวลผลข้อมูลส่วนบุคคลภายใต้ DPA นี้เกี่ยวกับ ข้อมูลของผู้เชี่ยวชาญ ในฐานะผู้ควบคุมข้อมูลอิสระ คู่สัญญาทั้งสองฝ่ายตกลงที่จะปฏิบัติตามภาระผูกพันของตนและประมวลผลข้อมูลส่วนบุคคลอย่างเป็นธรรมและชอบด้วยกฎหมาย ภายใต้ DPA นี้และกฎหมายคุ้มครองข้อมูลทั้งหมดที่ใช้บังคับกับการดำเนินการประมวลผลข้อมูลส่วนบุคคลของฝ่ายนั้นๆ แต่ละฝ่ายจะต้องตรวจสอบให้แน่ใจว่าการประมวลผลข้อมูลส่วนบุคคลของตนจำกัดอยู่เฉพาะวัตถุประสงค์ของ GPP ที่ G-P กำหนดไว้และอยู่บนพื้นฐานทางกฎหมายสำหรับการประมวลผลที่ชอบด้วยกฎหมาย คู่สัญญาทั้งสองฝ่ายจะช่วยเหลือซึ่งกันและกันในการปฏิบัติตามภาระผูกพันของตนภายใต้กฎหมายคุ้มครองข้อมูล รวมถึงแต่ไม่จำกัดเพียงการช่วยเหลือซึ่งกันและกันหากเกิดการละเมิดข้อมูล การตอบสนองต่อคำขอของเจ้าของข้อมูลและ/หรือหน่วยงานกำกับดูแล

 

3. PROCESSING OF PERSONAL DATA

 

3.1. ขอบเขต การใช้งาน GPP อาจเกี่ยวข้องกับการประมวลผลข้อมูลลูกค้าโดย G-P ในฐานะผู้ประมวลผลหรือผู้ให้บริการในนามของลูกค้า

3.2. คำแนะนำ: G-P จะประมวลผลข้อมูลลูกค้าตามคำแนะนำที่ลูกค้าได้บันทึกไว้ ลูกค้ายินยอมว่า DPA ฉบับนี้ ข้อตกลงหลัก และ เอกสารแนบ I ที่แนบมาด้านล่างนี้ ประกอบด้วยคำแนะนำทั้งหมดของลูกค้าถึง G-P เกี่ยวกับการประมวลผลข้อมูลลูกค้า คำสั่งเพิ่มเติมหรือคำสั่งอื่นใดจะต้องได้รับการตกลงเป็นลายลักษณ์อักษรระหว่างคู่สัญญา รวมถึงค่าใช้จ่าย (ถ้ามี) ที่เกี่ยวข้องกับการปฏิบัติตามคำสั่งดังกล่าวด้วย ลูกค้าจะรับประกันว่าคำสั่งของตนเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง ลูกค้ารับทราบว่า G-P ไม่มีหน้าที่ในการพิจารณาว่ากฎหมายใดใช้บังคับกับธุรกิจของลูกค้า ลูกค้าจะรับประกันว่าการประมวลผลข้อมูลของลูกค้า G-Pเมื่อดำเนินการตามคำสั่งของลูกค้า จะไม่ทำให้ G-P ละเมิดกฎหมายใดๆ ที่เกี่ยวข้อง รวมถึงกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้องด้วย อย่างไรก็ตาม หากG-P เห็นว่าคำสั่งของลูกค้าละเมิดกฎหมายคุ้มครองข้อมูลส่วน G-P ที่เกี่ยวข้อง G-P จะแจ้งให้ลูกค้าทราบโดยเร็วที่สุดเท่าที่จะเป็นไปได้ และจะไม่ต้องปฏิบัติตามคำสั่งที่ละเมิดดังกล่าว

3.3. รายละเอียดการประมวลผลรายละเอียดเกี่ยวกับเรื่องที่ประมวลผล ระยะเวลา ลักษณะ และวัตถุประสงค์ ตลอดจนประเภทของข้อมูลลูกค้าและเจ้าของข้อมูล เป็นไปตามที่ระบุไว้ในภาคผนวกที่ 1 ที่แนบมาด้วยนี้ 

3.4. การปฏิบัติตามกฎหมายลูกค้า และ G-P ตกลงที่จะปฏิบัติตามข้อผูกพันของตนภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับกับข้อมูลลูกค้าที่ได้รับการประมวลผลตามที่ระบุไว้ในภาคผนวกที่ 1 ลูกค้ามีหน้าที่รับผิดชอบแต่เพียงผู้เดียวในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลเกี่ยวกับความชอบด้วยกฎหมายของการประมวลผลข้อมูลลูกค้าก่อนที่จะเปิดเผย โอน หรือทำให้ข้อมูลลูกค้าใดๆ แก่ G-P สามารถเข้าถึงได้ เพื่อความชัดเจน ในทุกกรณี ลูกค้าจะต้องขอความยินยอมจากเจ้าของข้อมูลตามที่จำเป็น ก่อนที่ G-P จะประมวลผลข้อมูลลูกค้าตามคำสั่งของลูกค้า

3.5. ผู้ประมวลผลย่อยลูกค้าอนุญาตให้ G-P แต่งตั้งและใช้ผู้ประมวลผล (“ผู้ประมวลผลย่อย”) เพื่อประมวลผลข้อมูลของลูกค้าที่เกี่ยวข้องกับบริการ ผู้ประมวลผลย่อยอาจรวมถึงบุคคลที่สามหรือสมาชิกใดๆ ของกลุ่มบริษัท G-P G-P อาจใช้ผู้ประมวลผลย่อยที่ G-P ได้ว่าจ้างไว้แล้ว ณ วันที่ของ DPA นี้ต่อไป และรายชื่อผู้ประมวลผลย่อยดังกล่าวมีอยู่ในภาคผนวก III ที่แนบมาด้านล่างนี้ หากผู้ประมวลผลย่อยไม่ปฏิบัติตามภาระผูกพันด้านข้อมูลตามที่ระบุไว้ข้างต้น G-P จะต้องรับผิดชอบต่อลูกค้าสำหรับการปฏิบัติตามภาระผูกพันของผู้ประมวลผลย่อย G-P จะแจ้งให้ลูกค้าทราบถึงการเปลี่ยนแปลงใดๆ ในรายชื่อผู้ประมวลผลย่อยผ่าน GPP หากภายใน 10 (สิบ) วันนับจากวันที่ได้รับแจ้งนั้น ลูกค้าคัดค้านการเพิ่มหรือการลบผู้ประมวลผลย่อยโดยชอบด้วยกฎหมายด้วยเหตุผลด้านข้อมูล และ G-P ไม่สามารถตอบสนองข้อคัดค้านของลูกค้าได้อย่างสมเหตุสมผล คู่สัญญาจะหารือเกี่ยวกับข้อกังวลของลูกค้าด้วยความสุจริตใจเพื่อหาทางแก้ไขปัญหา

3.6. มาตรการรักษาความปลอดภัยทางเทคนิคและองค์กรโดยคำนึงถึงมาตรฐานอุตสาหกรรม ต้นทุนในการดำเนินการ ลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการประมวลผล และสถานการณ์อื่นๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลลูกค้า G-P จะดำเนินการมาตรการรักษาความปลอดภัยทางเทคนิคและองค์กรที่เหมาะสม เพื่อให้มั่นใจได้ว่าความปลอดภัย การรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความยืดหยุ่นของระบบและบริการประมวลผลที่เกี่ยวข้องกับการประมวลผลข้อมูลลูกค้า สอดคล้องกับความเสี่ยงที่เกี่ยวข้องกับข้อมูลลูกค้าดังกล่าว ดังรายละเอียดในภาคผนวก II ที่แนบมาด้วยนี้ G-P จะดำเนินการเป็นระยะ (i) ทดสอบและตรวจสอบประสิทธิภาพของมาตรการป้องกัน การควบคุม ระบบ และขั้นตอนต่างๆ และ (ii) ระบุความเสี่ยงภายในและภายนอกที่คาดการณ์ได้อย่างสมเหตุสมผลต่อความปลอดภัย ความลับ และความสมบูรณ์ของข้อมูลลูกค้า และตรวจสอบให้แน่ใจว่าได้มีการจัดการกับความเสี่ยงเหล่านี้แล้ว

3.7. การรักษาความลับG-P จะต้องตรวจสอบให้แน่ใจว่าบุคคลที่ได้รับอนุญาตให้เข้าถึงข้อมูลลูกค้า (i) ได้ให้คำมั่นว่าจะรักษาความลับหรืออยู่ภายใต้ข้อผูกพันตามกฎหมายที่เหมาะสมในการรักษาความลับ และ (ii) เข้าถึงข้อมูลลูกค้าได้เฉพาะเมื่อได้รับคำสั่งเป็นลายลักษณ์อักษรจาก G-P เท่านั้น เว้นแต่กฎหมายที่เกี่ยวข้องจะกำหนดให้ต้องกระทำเช่นนั้น

3.8. การละเมิดข้อมูลส่วนบุคคลG-P จะแจ้งให้ลูกค้าทราบโดยไม่ชักช้าหลังจากทราบถึงการละเมิดข้อมูลที่เกี่ยวข้องกับการประมวลผลข้อมูลลูกค้า และจะใช้ความพยายามอย่างสมเหตุสมผลเพื่อช่วยเหลือลูกค้าในการบรรเทาผลกระทบเชิงลบจากการละเมิดข้อมูลดังกล่าวเท่าที่จะเป็นไปได้

3.9. การลบข้อมูลส่วนบุคคล เมื่อการยกเลิกการให้บริการ (ไม่ว่าด้วยเหตุผลใดก็ตาม) G-P จะดำเนินการคืนหรือลบข้อมูลลูกค้าที่จัดเก็บไว้ใน GPP โดยเร็วที่สุดเท่าที่จะเป็นไปได้ เว้นแต่กฎหมายที่เกี่ยวข้องจะกำหนดให้ต้องเก็บรักษาข้อมูลลูกค้าไว้เป็นระยะเวลานานกว่านั้น สำหรับการเก็บรักษาข้อมูลดังกล่าว ข้อกำหนดของ DPA นี้จะยังคงมีผลบังคับใช้กับข้อมูลลูกค้าดังกล่าวต่อไป

3.10. คำขอข้อมูลส่วนบุคคล G-P จะแจ้งให้ลูกค้าทราบโดยทันทีเกี่ยวกับคำขอใดๆ จากเจ้าของข้อมูลเกี่ยวกับข้อมูลลูกค้า ลูกค้ามีหน้าที่รับผิดชอบในการตอบสนองต่อคำขอเหล่านั้น G-P จะให้ความช่วยเหลือลูกค้าอย่างเหมาะสมในการตอบสนองต่อคำขอของเจ้าของข้อมูลดังกล่าว ในกรณีที่ลูกค้าไม่สามารถเข้าถึงข้อมูลลูกค้าที่เกี่ยวข้องได้ในการใช้งาน GPP

3.11. คำขอจากบุคคลที่สามหาก G-P ได้รับคำขอใดๆ จากบุคคลที่สาม หรือคำสั่งจากศาล ศาลยุติธรรม หน่วยงานกำกับดูแล หรือหน่วยงานราชการที่มีอำนาจหน้าที่ซึ่ง G-P ต้องปฏิบัติตาม เกี่ยวกับการประมวลผลข้อมูลลูกค้าภายใต้ข้อตกลงนี้ G-P จะส่งต่อคำขอดังกล่าวไปยังลูกค้าโดยทันที G-P จะไม่ตอบสนองต่อคำขอเหล่านั้นโดยไม่ได้รับอนุญาตจากลูกค้าก่อน เว้นแต่จะถูกบังคับตามกฎหมาย G-P จะแจ้งให้ลูกค้าทราบล่วงหน้าก่อนการเปิดเผยข้อมูลลูกค้า เว้นแต่จะถูกห้ามตามกฎหมาย และจะให้ความร่วมมือกับลูกค้าอย่างสมเหตุสมผลเพื่อจำกัดขอบเขตของการเปิดเผยดังกล่าวให้เป็นไปตามที่กฎหมายกำหนด 

3.12. การประเมินผลกระทบด้านการคุ้มครองข้อมูลและการปรึกษาหารือล่วงหน้าตามขอบเขตที่กฎหมายคุ้มครองข้อมูลกำหนด G-P จะให้ความช่วยเหลือที่เหมาะสมแก่ลูกค้าในการดำเนินการประเมินผลกระทบด้านการคุ้มครองข้อมูลที่เกี่ยวข้องกับการประมวลผลข้อมูลลูกค้าที่ดำเนินการโดย G-P และ/หรือการปรึกษาหารือล่วงหน้าใดๆ ที่จำเป็นกับหน่วยงานกำกับดูแล G-P ขอสงวนสิทธิ์ในการเรียกเก็บค่าธรรมเนียมที่เหมาะสมจากลูกค้าสำหรับการให้ความช่วยเหลือดังกล่าว

3.13. การตรวจสอบบัญชี ลูกค้าอาจตรวจสอบ G-P ความปลอดภัยตาม DPA นี้และกฎหมายคุ้มครองข้อมูลโดยการขอใบรับรองที่ออกให้เพื่อการตรวจสอบความปลอดภัยซึ่งสะท้อนผลการตรวจสอบที่ดำเนินการโดยผู้ตรวจสอบบุคคลที่สาม (เช่น ใบรับรอง ISO27001 ใบรับรอง SOC2 ) ภายในสิบสอง (12) เดือนนับจากวันที่ลูกค้าร้องขอ หรือในกรณีที่เอกสารที่ให้ไว้ตามมาตรา 3.13 นี้ไม่เพียงพอสำหรับวัตถุประสงค์ในการแสดงให้เห็น ความปลอดภัยลูกค้าอาจดำเนินการตรวจสอบของตนเองเพิ่มเติมจากใบรับรองหรือรายงานของบุคคลที่สามที่ให้ไว้ โดยการตรวจสอบดังกล่าวจะต้องดำเนินการ: i) ไม่เกินหนึ่งครั้งต่อช่วงเวลา 12 (สิบสอง) เดือน ii) ในช่วงเวลาทำการปกติและโดยไม่รบกวนการดำเนินธุรกิจประจำวันของ G-Piii) โดยแจ้งเป็นลายลักษณ์อักษรล่วงหน้าสามสิบ (30) วัน iv) โดยลูกค้าเป็นผู้รับผิดชอบค่าใช้จ่ายทั้งหมด v) โดยอิงตามพารามิเตอร์และขอบเขตที่ตกลงร่วมกัน โดยจำกัดเฉพาะขอบเขตของบริการ ระบบที่ใช้ และ/หรือกิจกรรมการประมวลผลที่กำหนดไว้ในที่นี้ vi) โดยอิงตามวันที่ตกลงกันล่วงหน้า โดยสามารถเลื่อนออกไปได้ตามสมควรโดยลูกค้าตามคำขอที่สมเหตุสมผลของ G-Pและ vii) ตามข้อผูกพันและข้อจำกัดด้านการรักษาความลับทั้งหมด อย่างไรก็ตาม ไม่มีสิทธิ์ในการตรวจสอบใดๆ หลังจากสิ้นสุดข้อตกลงหลัก ยกเว้นข้อผูกพันทางกฎหมายที่ลูกค้าจะต้องพิสูจน์ได้ บุคคลที่สามที่ได้รับเลือกให้ทำการตรวจสอบในนามของลูกค้าจะต้องไม่มีผลประโยชน์หรือความเกี่ยวข้องกับบริษัทบริการ หน่วยงาน องค์กรที่เกี่ยวข้อง หรือบริษัท ใดๆ ไม่มีข้อใดใน DPA นี้ที่จะกำหนดให้ G-P ต้องเปิดเผยต่อลูกค้าหรือผู้ตรวจสอบบัญชีบุคคลที่สามของลูกค้า หรืออนุญาตให้ลูกค้าหรือผู้ตรวจสอบบัญชีบุคคลที่สามของลูกค้าเข้าถึง: (i) ข้อมูลใดๆ ของ G-Pอื่นๆ (ii) ข้อมูลทางการบัญชีหรือการเงินภายในของ G-P(iii) ความลับทางการค้าใดๆ ของ G-P หรือบริษัทในเครือ (iv) ข้อมูลใดๆ ที่ G-Pมีความเห็นที่สมเหตุสมผลว่าอาจกระทบต่อความปลอดภัยของระบบใดๆ ของ G-Pหรือทำให้เกิดการละเมิดข้อผูกพันภายใต้กฎหมายที่เกี่ยวข้อง หรือข้อผูกพันด้านความปลอดภัยหรือความเป็นส่วนตัวต่อบุคคลที่สาม หรือ (v) ข้อมูลใดๆ ที่ลูกค้าหรือผู้ตรวจสอบบัญชีบุคคลที่สามของลูกค้าต้องการเข้าถึงด้วยเหตุผลอื่นใดนอกเหนือจากการปฏิบัติตามภาระผูกพันของลูกค้าโดยสุจริตภายใต้กฎหมายคุ้มครองข้อมูล

3.14. กฎหมายคุ้มครองความเป็นส่วนตัวของสหรัฐอเมริกาภายใต้หัวข้อ 3 (“การประมวลผลข้อมูลส่วนบุคคล”) คู่สัญญาทั้งสองฝ่ายตกลงว่า G-P เป็น “ผู้ให้บริการ” หรือ “ผู้ประมวลผล” ตามคำจำกัดความภายใต้กฎหมายคุ้มครองความเป็นส่วนตัวของสหรัฐอเมริกาที่บังคับใช้ ดังนั้น ในขอบเขตที่กฎหมายคุ้มครองความเป็นส่วนตัวของสหรัฐอเมริกาบังคับใช้กับการประมวลผลข้อมูลลูกค้าโดย G-P นั้น G-P จะไม่ (ก) เก็บรักษา ใช้ หรือเปิดเผยข้อมูลลูกค้าใดๆ นอกเหนือจากความสัมพันธ์ทางธุรกิจโดยตรงระหว่าง G-P และลูกค้า หรือเพื่อวัตถุประสงค์อื่นใดนอกเหนือจากวัตถุประสงค์ที่ระบุไว้ในภาคผนวก I ที่แนบมาด้วย และ G-P จะประมวลผลข้อมูลลูกค้าเฉพาะในขณะที่ให้บริการแก่ลูกค้าเท่านั้น (ข) ขายข้อมูลลูกค้าใดๆ (ค) แบ่งปันข้อมูลลูกค้าใดๆ หรือ (ง) รวมข้อมูลลูกค้าที่ G-P ได้รับจาก หรือในนามของลูกค้า กับ “ข้อมูลส่วนบุคคล” (ตามคำจำกัดความหรือคำที่เทียบเท่าภายใต้กฎหมายคุ้มครองข้อมูลที่บังคับใช้) ที่ได้รับจาก หรือในนามของบุคคลอื่น หรือรวบรวมจากการปฏิสัมพันธ์ของตนเองกับผู้บริโภค โดยที่ G-P อาจรวมข้อมูลลูกค้าได้หากอยู่ในขอบเขตของการให้บริการแก่ลูกค้า ในกรณีที่เกี่ยวข้อง แต่ละฝ่ายจะต้องแจ้งให้อีกฝ่ายทราบหากพบว่าตนไม่สามารถปฏิบัติตามพันธะผูกพันภายใต้กฎหมายคุ้มครองความเป็นส่วนตัวของสหรัฐอเมริกาได้อีกต่อไป

 

 

4. International Data Transfers

4.1. การคุ้มครองที่เหมาะสมG-P ได้รับอนุญาตให้ทำการโอนย้ายข้อมูลลูกค้าไปทั่วโลกให้กับบริษัทในเครือและ/หรือผู้รับช่วงต่อ ในการดำเนินธุรกิจตามปกติ เมื่อทำการโอนย้ายดังกล่าวไปยังดินแดนที่หน่วยงานที่เกี่ยวข้องไม่ได้ให้การรับรองว่ามีระดับการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอตามกฎหมายคุ้มครองข้อมูล G-P จะต้องตรวจสอบให้แน่ใจว่ามีการคุ้มครองที่เหมาะสมเพื่อปกป้องข้อมูลลูกค้าที่โอนย้ายภายใต้หรือเกี่ยวข้องกับข้อตกลงหลัก

4.2. กรอบการคุ้มครองข้อมูลส่วนบุคคลข้อมูลของผู้เชี่ยวชาญและลูกค้าจะถูกจัดเก็บไว้ใน GPP ซึ่งตั้งอยู่ในสหรัฐอเมริกา G-P ได้รับการรับรองภายใต้กรอบการคุ้มครองข้อมูลส่วนบุคคลระหว่างสหภาพยุโรปและสหรัฐอเมริกา (EU-US DPF) และตามความเหมาะสม ส่วนขยายของสหราชอาณาจักรสำหรับ EU-US DPF และกรอบการคุ้มครองข้อมูลส่วนบุคคลระหว่างสวิตเซอร์แลนด์และสหรัฐอเมริกา (Swiss-US DPF) G-Pสามารถตรวจสอบใบรับรองของ ได้จากเว็บไซต์ DPF ที่ https://www.dataprivacyframework.gov/list กรอบการทำงานความเป็นส่วนตัวของข้อมูลในสหภาพยุโรป-สหรัฐอเมริกาได้รับการพิจารณาว่าเพียงพอแล้วโดยคณะกรรมาธิการยุโรป โดยเป็น กลไกการถ่ายโอนข้อมูลที่ถูกต้องตามกฎหมายตามมาตรา 45 ของระเบียบว่าด้วยคำสั่งต่างๆ ด้วยข้อมูลทั่วไป, ระเบียบการของสหราชอาณาจักรว่าด้วยการเปิดเผยข้อมูลทั่วไป และ FADP ตามลำดับ หากกรอบการทำงาน DPF ไม่ถูกต้อง ถูกระงับ หรือไม่ได้รับการยอมรับอีกต่อไปว่ามีการป้องกันที่เพียงพอสำหรับการถ่ายโอนข้อมูล ผู้ประมวลผลตกลงที่จะเข้าและปฏิบัติตาม SCC ที่ออกหรืออนุมัติโดยคณะกรรมาธิการยุโรป สำนักงานกรรมาธิการข้อมูลแห่งสหราชอาณาจักร (ICO) หรือคณะกรรมการคุ้มครองข้อมูลและสารสนเทศแห่งสหพันธรัฐสวิส (FDPIC) ตามความเหมาะสม คู่สัญญาทั้งสองฝ่ายจะต้องร่วมมือโดยสุจริตใจในการใช้มาตรการเสริมใดๆ ที่จำเป็นเพื่อให้แน่ใจว่ามีระดับการป้องกันที่เท่าเทียมกันสำหรับข้อมูลที่ถ่ายโอน

4.3. ข้อกำหนดสัญญามาตรฐาน คู่สัญญาทั้งสองฝ่ายตกลงว่า เมื่อการโอนข้อมูลส่วนบุคคลจากลูกค้า (ในฐานะ "ผู้ส่งออกข้อมูล") ไปยัง G-P (ในฐานะ "ผู้รับนำเข้าข้อมูล") เป็นการโอนข้อมูลที่ถูกจำกัด และกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องกำหนดให้ต้องมีมาตรการคุ้มครองที่เหมาะสม การโอนข้อมูลดังกล่าวจะต้องอยู่ภายใต้ข้อกำหนดสัญญามาตรฐานที่เหมาะสม ซึ่งจะถือว่ารวมอยู่ในและเป็นส่วนหนึ่งของข้อตกลงการคุ้มครองข้อมูลนี้ ดังต่อไปนี้:

1. ในส่วนที่เกี่ยวข้องกับการโอนข้อมูลส่วนบุคคล ที่ได้รับการคุ้มครองโดยระเบียบว่าด้วยข้อมูลทั่วไปนี้ EU SCCs จะใช้บังคับ โดยกรอกดังนี้

1. จะต้องใช้โมดูลที่หนึ่งและโมดูลที่สอง
2. ในข้อ 7 จะใช้ข้อกำหนดการเชื่อมต่อแบบเลือกได้
3. ในข้อ 9 ของโมดูลที่สอง ตัวเลือก 2 จะมีผลบังคับใช้ และระยะเวลาสำหรับการแจ้งล่วงหน้าเกี่ยวกับการเปลี่ยนแปลงผู้ประมวลผลย่อยจะเป็นไปตามที่กำหนดไว้ในส่วน 3.5 ของ DPA นี้
4. ในข้อ 11 ภาษาที่เป็นตัวเลือกจะไม่ถูกนำมาใช้
5. ในข้อ 12 การเรียกร้องใดๆ ที่ยื่นภายใต้ EU SCCs จะต้องเป็นไปตามข้อกำหนดและเงื่อนไขที่กำหนดไว้ในข้อตกลงหลัก
6. ในข้อ 17 ตัวเลือก 1 จะมีผลบังคับใช้ และ SCC ของสหภาพยุโรปจะอยู่ภายใต้กฎหมายของไอร์แลนด์
7. ในข้อ 18(b) ข้อพิพาทจะต้องได้รับการแก้ไขโดยศาลของไอร์แลนด์
8. ภาคผนวก I ของ EU SCCs จะถือว่าเสร็จสมบูรณ์ด้วยข้อมูลที่ระบุไว้ในภาคผนวก 1 ของ DPA นี้ และ
9. ภาคผนวก II ของ EU SCCs จะถือว่าเสร็จสมบูรณ์ด้วยข้อมูลที่ระบุไว้ในภาคผนวก 2 ของ DPA นี้
10. ภาคผนวก III ของโมดูลที่สองของ EU SCCs จะถือว่าเสร็จสมบูรณ์ด้วยข้อมูลที่ระบุไว้ในภาคผนวก 3 ของ DPA นี้

ข. ในส่วนที่เกี่ยวข้องกับการโอนข้อมูลส่วนบุคคลที่ได้รับการคุ้มครองโดยกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรหรือกฎหมายคุ้มครองข้อมูลของสวิตเซอร์แลนด์ ให้ใช้มาตรฐานการคุ้มครองข้อมูลของสหภาพยุโรป (EU SCCs) ตามที่ได้ดำเนินการภายใต้วรรคย่อย (a) ข้างต้น โดยมีการแก้ไขดังต่อไปนี้:

1. การอ้างอิงถึง "ระเบียบ (EU) 2016/679" จะต้องตีความว่าเป็นการอ้างอิงถึงกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรหรือกฎหมายคุ้มครองข้อมูลของสวิตเซอร์แลนด์ (แล้วแต่กรณี)
2. การอ้างอิงถึงบทความเฉพาะของ "ระเบียบ (EU) 2016/679" จะถูกแทนที่ด้วยบทความหรือมาตราที่เทียบเท่าของกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรหรือกฎหมายคุ้มครองข้อมูลของสวิตเซอร์แลนด์ (แล้วแต่กรณี)
3. การอ้างอิงถึง "สหภาพยุโรป" "สหภาพ" "รัฐสมาชิก" และ "กฎหมายของรัฐสมาชิก" จะถูกแทนที่ด้วยการอ้างอิงถึง "สหราชอาณาจักร" หรือ "สวิตเซอร์แลนด์" หรือ "กฎหมายของสหราชอาณาจักร" หรือ "กฎหมายของสวิตเซอร์แลนด์" (แล้วแต่กรณี)
4. คำว่า "รัฐสมาชิก" จะต้องไม่ถูกตีความในลักษณะที่จะกีดกันเจ้าของข้อมูลในสหราชอาณาจักรหรือสวิตเซอร์แลนด์จากความเป็นไปได้ในการฟ้องร้องเพื่อเรียกร้องสิทธิ์ของตนในสถานที่พำนักถาวร (เช่น สหราชอาณาจักรหรือสวิตเซอร์แลนด์)
5. มาตรา 13(ก) และส่วน C ของภาคผนวก I ไม่ได้ถูกนำมาใช้ และ "หน่วยงานกำกับดูแลที่มีอำนาจ" คือ คณะกรรมาธิการข้อมูลแห่งสหราชอาณาจักร หรือคณะกรรมาธิการข้อมูลคุ้มครองข้อมูลแห่งสหพันธรัฐสวิส (แล้วแต่กรณี)
6. การอ้างอิงถึง "หน่วยงานกำกับดูแลที่มีอำนาจ" และ "ศาลที่มีอำนาจ" จะถูกแทนที่ด้วยการอ้างอิงถึง "คณะกรรมการข้อมูลข่าวสาร" และ "ศาลแห่งประเทศอังกฤษและเวลส์" หรือ "คณะกรรมการข้อมูลข่าวสารด้านการคุ้มครองข้อมูลของรัฐบาลกลางสวิตเซอร์แลนด์" และ "ศาลที่เกี่ยวข้องของสวิตเซอร์แลนด์" (แล้วแต่กรณี)
7. ในข้อ 17 ข้อกำหนดสัญญามาตรฐานจะอยู่ภายใต้กฎหมายของประเทศอังกฤษและเวลส์หรือสวิตเซอร์แลนด์ (แล้วแต่กรณี) และ
8. ในส่วนที่เกี่ยวกับการโอนข้อมูลที่อยู่ภายใต้กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักร ข้อ 18 จะได้รับการแก้ไขให้ระบุว่า "ข้อพิพาทใดๆ ที่เกิดขึ้นจากข้อเหล่านี้จะต้องได้รับการตัดสินโดยศาลของประเทศอังกฤษและเวลส์" เจ้าของข้อมูลสามารถดำเนินคดีทางกฎหมายต่อผู้ส่งออกข้อมูลและ/หรือผู้นำเข้าข้อมูลต่อศาลในประเทศใดก็ได้ในสหราชอาณาจักร คู่สัญญาทั้งสองฝ่ายตกลงที่จะยอมอยู่ภายใต้เขตอำนาจศาลดังกล่าว และในส่วนที่เกี่ยวกับการโอนย้ายซึ่งกฎหมายคุ้มครองข้อมูลของสวิตเซอร์แลนด์ใช้บังคับ ข้อ 18(b) จะระบุว่าข้อพิพาทจะต้องได้รับการแก้ไขโดยศาลที่เกี่ยวข้องของสวิตเซอร์แลนด์
9. ในส่วนที่สัมพันธ์กับข้อมูลที่ได้รับการคุ้มครองโดยระเบียบการของสหราชอาณาจักรว่าด้วยข้อมูลทั่วไปนั้น EU SCC จะใช้ดังต่อไปนี้: (i) นำไปใช้ตามที่กรอกแล้วตามย่อหน้า (i) ถึง (viii) ข้างต้น; และ (ii) ถือว่ามีการแก้ไขตามที่ระบุไว้ในส่วน 2 ของภาคผนวกของสหราชอาณาจักร ซึ่งจะถือว่ารวมเข้าและเป็นส่วนหนึ่งของ DPA นี้ นอกจากนี้ ตาราง 1 ถึง 3 ในส่วน 1 ของภาคผนวกสหราชอาณาจักรจะต้องกรอกข้อมูลตามที่ระบุไว้ในภาคผนวก I และภาคผนวก II ของ DPA นี้ตามลำดับ และตาราง 4 ในส่วน 1 ของภาคผนวกสหราชอาณาจักรจะถือว่าเสร็จสมบูรณ์โดยการเลือก "ไม่มีฝ่ายใด"

ค. ในส่วนที่เกี่ยวกับการถ่ายโอนข้อมูลส่วนบุคคลที่ได้รับการคุ้มครองโดยกฎหมายคุ้มครองข้อมูลส่วนบุคคลของบราซิล (Global Civil Protection Act - LGPD)ไม่ว่าจะโดยตรงหรือผ่านการถ่ายโอนต่อไปยังประเทศนอกบราซิลที่ไม่ได้รับคำตัดสินว่ามีความเหมาะสมโดยสำนักงานคุ้มครองข้อมูลส่วนบุคคลแห่งชาติ (National National Department of Information Act - ANPD) จะถือว่าได้มีการลงนามในข้อตกลงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของบราซิล (Brazil SCCs) และรวมเข้าไว้ในข้อตกลงการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ (DPA) โดยการอ้างอิง และดำเนินการให้เสร็จสมบูรณ์ดังต่อ ไปนี้:

1. ข้อ 2 ของ SCCs ของบราซิลเป็นไปตามข้อมูลที่ระบุไว้ในภาคผนวก I ซึ่งอธิบายการถ่ายโอนข้อมูล
2. ฉันตามข้อ 3 ของ SCCs ของบราซิล ตัวเลือก B จะมีผลบังคับใช้ โดยอนุญาตให้โอนต่อไปตามมาตรา 3.5 (“ผู้ประมวลผลย่อย”) ของ DPA นี้ เนื้อหา ลักษณะ และระยะเวลาในการประมวลผลได้ระบุไว้ในภาคผนวกที่ 1 ของข้อตกลงการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้
3. ข้อ 4 ของ SCCs ของบราซิลได้รับการปฏิบัติตามโดยข้อมูลที่ระบุไว้ในภาคผนวก I ของ DPA นี้ ในกรณีที่ G-P เป็นผู้ควบคุมข้อมูล GP จะเป็น “ฝ่ายที่ได้รับการกำหนด” ตามที่กำหนดไว้ใน SCC ของบราซิล และเพื่อวัตถุประสงค์ของข้อ 14 (ความโปร่งใส) ข้อ 15 (สิทธิของเจ้าของข้อมูล) และข้อ 16 (การรายงานเหตุการณ์) ของ SCC ของบราซิล ลูกค้ายังคงรับผิดชอบต่อกฎระเบียบตามข้อกำหนด 14 (ความโปร่งใส) ข้อ 15 (สิทธิ์ของเจ้าของข้อมูล) และข้อ 16 การรายงานเหตุการณ์) ของ SCC ของบราซิล สำหรับข้อมูลส่วนบุคคลใด ๆ ที่อาจเป็นผู้ควบคุมข้อมูล
4. ในข้อ 9 ของ SCCs ของบราซิล ข้อกำหนดการเชื่อมต่อแบบเลือกได้จะไม่นำมาใช้ และ
5. ส่วนที่ III (มาตรการรักษาความปลอดภัย) ของมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของบราซิล จะถือว่าเสร็จสมบูรณ์ด้วยข้อมูลที่ระบุไว้ในภาคผนวก II ของข้อตกลงการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้

 

ภาคผนวก 1

คำอธิบายการประมวลผลข้อมูล

 

ฝ่ายต่างๆ	ผู้ส่งออกข้อมูล: หน่วยงานลูกค้าที่ลงนามในข้อตกลงหลัก ผู้นำเข้าข้อมูล: หน่วยงาน G-P ที่ดำเนินการตามข้อตกลงหลัก
รายละเอียดการติดต่อของคู่กรณี	รายละเอียดการติดต่อตามที่ระบุไว้ในข้อตกลงหลัก
กิจกรรมที่เกี่ยวข้องกับข้อมูลที่ถ่ายโอน	กิจกรรมที่เกี่ยวข้องกับการให้บริการตัวแทนนายจ้าง และการใช้ GPP ที่มอบให้กับลูกค้าเป็นบริการ
กิจกรรมการประมวลผล	ข้อมูลส่วนบุคคลที่ได้รับการประมวลผล/ถ่ายโอนอาจอยู่ภายใต้กิจกรรมการประมวลผลดังต่อไปนี้: การดำเนินการใดๆ เกี่ยวกับข้อมูลส่วนบุคคลโดยไม่คำนึงถึงวิธีการและขั้นตอนที่ใช้ โดยเฉพาะอย่างยิ่งการรวบรวม จัดระเบียบ จัดเก็บ ถือครอง ใช้ เรียกค้น ปรึกษา เก็บถาวร ส่งต่อ บล็อก ลบ หรือทำลายข้อมูล การดำเนินงานและการบำรุงรักษาระบบ การประมวลผลข้อมูล การดำเนินการทางกฎหมายและการตรวจสอบ
ระยะเวลาในการประมวลผล	G-P จะประมวลผลข้อมูลลูกค้าตลอดระยะเวลาของข้อตกลงหลักและอย่างต่อเนื่อง
ลักษณะและวัตถุประสงค์ของการประมวลผล	ลูกค้าอาจโอนข้อมูลลูกค้าไปยัง G-P โดยขอบเขตของการโอนนั้นขึ้นอยู่กับการกำหนดและควบคุมของลูกค้าแต่เพียงผู้เดียว วัตถุประสงค์ของการประมวลผลคือเพื่อให้บริการ ตามข้อตกลงหลัก
ประเภท ของเจ้าของข้อมูล	ก) ข้อมูลส่วนบุคคลที่แลกเปลี่ยนกันระหว่างคู่สัญญาในฐานะผู้ควบคุมข้อมูลอิสระนั้น เกี่ยวกับข้อมูลส่วนบุคคลของผู้ประกอบวิชาชีพ ข) ข้อมูลลูกค้าที่ G-P ประมวลผลในฐานะผู้ประมวลผลข้อมูลนั้นเกี่ยวข้องกับ ผู้ใช้งานที่ได้รับอนุญาตของบริษัท GPP ซึ่งอาจรวมถึงพนักงานและ/หรือผู้รับเหมาของลูกค้า
ประเภทของ ข้อมูล ส่วนบุคคล	· ข้อมูลติดต่อ (เช่น หมายเลขโทรศัพท์และอีเมล) · ข้อมูลพนักงาน/ผู้รับเหมา (เช่น ตำแหน่งงานและชื่อบริษัท) · ข้อมูลการใช้งาน (เช่น ข้อมูลเกี่ยวกับอุปกรณ์ของผู้ใช้งานที่ได้รับอนุญาต และวิธีการที่อุปกรณ์ดังกล่าวโต้ตอบกับ GPP) · ข้อมูลตำแหน่งที่ตั้ง (เช่น ตำแหน่งที่ตั้งที่ได้จากที่อยู่ IP) · ข้อมูลเนื้อหา (เช่น เนื้อหาในไฟล์ของลูกค้าที่เกี่ยวข้องกับผู้เชี่ยวชาญและการสื่อสารที่เกี่ยวข้อง) · ข้อมูลประจำตัว (เช่น รหัสผ่าน คำแนะนำเกี่ยวกับรหัสผ่าน และข้อมูลความปลอดภัยที่คล้ายกันซึ่งใช้สำหรับการตรวจสอบสิทธิ์และการเข้าถึงบัญชีใน GPP) · ข้อมูลส่วนบุคคลใดๆ ที่ผู้ใช้งานที่ได้รับอนุญาตได้ให้ไว้
ประเภทข้อมูลพิเศษ (ถ้ามี)	ไม่มีข้อมูล
การเก็บรักษา	ข้อมูลส่วนบุคคลจะถูกเก็บรักษาไว้อย่างน้อยที่สุดเท่ากับระยะเวลาการเก็บรักษาขั้นต่ำที่กฎหมายกำหนด ซึ่งสอดคล้องกับข้อจำกัดความรับผิดตามกฎหมาย และเป็นไปตามหลักปฏิบัติทางธุรกิจที่ดี
หน่วยงานกำกับดูแลที่มีอำนาจ	คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์
การโอนไปยังผู้ประมวลผลย่อย	สำหรับการส่งข้อมูลไปยังผู้ประมวลผล เนื้อหา ลักษณะ และระยะเวลาของการประมวลผลจะเหมือนกับที่ได้กำหนดไว้ข้างต้น
รายละเอียดการติดต่อฝ่ายความเป็นส่วนตัว G-P	privacy@G-P.com เรียน: สำนักงานคุ้มครองข้อมูลส่วนบุคคลระดับโลก

 

 

ภาคผนวก II

มาตรการทางเทคนิคและองค์กร

 

G-P ได้รับการรับรองและรับรองเพื่อยืนยันกฎข้อบังคับด้วยมาตรฐาน SOC 2 และ ISO 27001 โดยผู้ตรวจสอบอิสระ การรับรองดังกล่าว แสดงให้เห็นถึงความมุ่งมั่นของเราในการรักษาความปลอดภัยข้อมูลลูกค้า โปรแกรมความปลอดภัย G-P' ได้รับการออกแบบมาเพื่อ:

• รักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลลูกค้าที่อยู่ในความครอบครองของ G-P หรือที่ G-P สามารถเข้าถึงได้
• ป้องกันภัยคุกคามหรืออันตรายที่อาจเกิดขึ้นต่อความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลลูกค้า
• ป้องกันการเข้าถึง การใช้งาน การเปิดเผย การเปลี่ยนแปลง หรือการทำลายข้อมูลลูกค้าโดยไม่ได้รับอนุญาตหรือผิดกฎหมาย
• ป้องกันข้อมูลลูกค้าจากการสูญหาย ถูกทำลาย หรือเสียหายโดยไม่ตั้งใจ และ
• รักษาความปลอดภัยของข้อมูลตามที่กำหนดไว้ในข้อบังคับใดๆ ที่อาจใช้ในการกำกับ G-P

 

ต่อไปนี้เป็นคำอธิบายเกี่ยวกับหน้าที่ กระบวนการ การควบคุม ระบบ ขั้นตอน และมาตรการต่างๆ ที่ G-P ได้ดำเนินการเพื่อรับรองความปลอดภัยของการประมวลผลข้อมูลลูกค้า:

1) มาตรการทางเทคนิคเพื่อรับรองความเป็นส่วนตัวและการคุ้มครองข้อมูล 

1. ความเป็นส่วนตัวตามการออกแบบและค่าเริ่มต้น: G-P จะนำข้อกำหนดของ Article 25 ระเบียบว่าด้วยข้อมูลทั่วไปมาพิจารณาในขั้นตอนแนวคิดและการพัฒนาของการพัฒนาผลิตภัณฑ์ กระบวนการและฟังก์ชันการทำงานต่างๆ ถูกจัดตั้งขึ้นในลักษณะที่คำนึงถึงหลักการคุ้มครองข้อมูล เช่น ความชอบด้วยกฎหมาย ความโปร่งใส การจำกัดวัตถุประสงค์ การลดปริมาณข้อมูล ฯลฯ ตลอดจนความปลอดภัยในการประมวลผลตั้งแต่เริ่มต้น

2. การเข้ารหัสข้อมูลส่วนบุคคล: การรับรองว่าข้อมูลส่วนบุคคลจะถูกจัดเก็บในระบบในลักษณะที่ไม่ทำให้บุคคลที่สามสามารถระบุตัวตนของเจ้าของข้อมูลได้

   1. การเข้ารหัสฐานข้อมูลและการจัดเก็บข้อมูล: ฐานข้อมูลทั้งหมดที่ G-P ใช้จะมีการเข้ารหัส "ขณะจัดเก็บ" ตามมาตรฐานที่ทันสมัยที่สุด เพื่อให้ข้อมูลจากฐานข้อมูลสามารถอ่านได้ก็ต่อเมื่อมีการตรวจสอบสิทธิ์อย่างถูกต้องบนระบบฐานข้อมูลนั้นๆ แล้วเท่านั้น

   2. การเข้ารหัสข้อมูลในสื่อบันทึกข้อมูลมือถือ: ไม่อนุญาตให้ใช้ผู้ให้บริการข้อมูลมือถือในการจัดเก็บข้อมูลลูกค้า

   3. การเข้ารหัสข้อมูลในอุปกรณ์จัดเก็บข้อมูลบนแล็ปท็อป: มีการติดตั้งระบบเข้ารหัสฮาร์ดดิสก์ที่ทันสมัยและเหมาะสมบนแล็ปท็อปของพนักงานทุกคน

   4. การแลกเปลี่ยนข้อมูลและไฟล์ที่เข้ารหัส: โดยหลักการแล้ว การแลกเปลี่ยนข้อมูลและไฟล์จะถูกเข้ารหัสโดยตรงผ่านการเข้ารหัสแบบพิเศษ หากจำเป็นต้องถ่ายโอนข้อมูลส่วนบุคคลหรือข้อมูลที่เป็นความลับไปยังเซิร์ฟเวอร์ที่ไม่สามารถส่งผ่านการอัปโหลด HTTPS ที่เข้ารหัส TLS ได้ ข้อมูลเหล่านั้นจะถูกถ่ายโอนโดยใช้โปรโตคอลการถ่ายโอนไฟล์ที่ปลอดภัย (SFTP) บริการซองจดหมายที่เข้ารหัส หรือกลไกการเข้ารหัสอื่น ๆ ตามเทคโนโลยีที่ทันสมัยที่สุด

   5. การเข้ารหัสอีเมล: โดยหลักการแล้ว อีเมลทั้งหมดที่ส่งโดยพนักงานของ G-P จะถูกเข้ารหัสด้วย TLS ข้อยกเว้นอาจเกิดขึ้นได้หากเซิร์ฟเวอร์รับอีเมลไม่รองรับ TLS ลูกค้าต้องตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์อีเมลที่ใช้ภายในขอบเขตของคำสั่งซื้อนั้นรองรับการเข้ารหัส TLS

3. การควบคุมการรับเข้า: การควบคุมการรับเข้ามีจุดมุ่งหมายและบังคับใช้เพื่อป้องกันการใช้และการประมวลผลข้อมูลที่ได้รับการคุ้มครองโดยกฎหมายในส่วนข้อมูลของบุคคลที่ไม่ได้รับอนุญาต

   1. การใช้มาตรการยืนยันตัวตน: การเข้าถึงข้อมูลส่วนบุคคลจะดำเนินการผ่านโปรโตคอลการเข้ารหัสเสมอ เช่น SSH, SSL/TLS, HTTPS หรือโปรโตคอลที่เทียบเคียงได้ ขั้นตอนการตรวจสอบสิทธิ์สำหรับระบบไอที: การเข้าสู่ระบบไอทีด้วยการตรวจสอบสิทธิ์แบบหลายปัจจัย

   2. ระบบจะล็อกอัตโนมัติเมื่อไม่มีการใช้งาน: แล็ปท็อปที่พนักงาน G-P ใช้จะถูกล็อกด้วยรหัสผ่านหรือ PIN เมื่อผู้ใช้ไม่ได้ใช้งาน นอกจากนี้ ระบบจะตั้งค่าการล็อกหน้าจออัตโนมัติพร้อมการป้องกันด้วยรหัสผ่านหลังจากไม่มีการใช้งานเป็นเวลา 15 นาที

   3. การใช้ซอฟต์แวร์ป้องกันไวรัส: แล็ปท็อปที่พนักงานของ G-P ใช้ติดตั้งซอฟต์แวร์ป้องกันไวรัสที่ทันสมัย ซึ่งได้รับการอัปเดตอย่างสม่ำเสมอในระบบไอทีสำหรับการดำเนินงานหรือธุรกิจทั้งหมด โดยหลักการแล้ว ห้ามใช้งานคอมพิวเตอร์โดยปราศจากโปรแกรมป้องกันไวรัสในตัว เว้นแต่จะมีการใช้มาตรการรักษาความปลอดภัยที่ทันสมัยและเทียบเท่ากัน หรือไม่มีความเสี่ยงใดๆ ห้ามปิดใช้งานหรือหลีกเลี่ยงการตั้งค่าความปลอดภัยตามค่าเริ่มต้น

   4. นโยบาย "โต๊ะทำงานสะอาด": พนักงานของ G-P ได้รับคำสั่งห้ามพิมพ์หรือจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลไว้ในเครื่องคอมพิวเตอร์ ห้ามวางเอกสารงานไว้ในที่ที่บุคคลภายนอกอาจมองเห็นได้ และต้องจัดเก็บเอกสารงานทั้งหมดอย่างเป็นระเบียบ เอกสารที่ G-P ต้องเก็บรักษาเป็นฉบับจริงตามกฎหมาย จะถูกเก็บไว้ในตู้เก็บเอกสารที่มีกุญแจล็อก

4. การควบคุมการเข้าถึงภายในแพลตฟอร์ม: การควบคุมการเข้าถึงช่วยให้มั่นใจได้ว่าบุคคลที่ได้รับอนุญาตให้ใช้ระบบประมวลผลจะสามารถเข้าถึงได้เฉพาะข้อมูลส่วนบุคคลที่ครอบคลุมโดยสิทธิ์การเข้าถึงของตนเท่านั้น

   1. บทบาทและการอนุญาต

      1. แพลตฟอร์มบทบาทและการอนุญาต – การเข้าถึงของลูกค้า: ผู้ใช้ที่เป็นลูกค้าสามารถดูและแก้ไขข้อมูลบัญชีลูกค้าได้

      2. แพลตฟอร์มบทบาทและการอนุญาต – การเข้าถึงระดับมืออาชีพ: ผู้ใช้ระดับมืออาชีพสามารถดูและแก้ไขข้อมูลระดับมืออาชีพของตนเองได้ ผู้เชี่ยวชาญสามารถขอรับสิทธิ์การเข้าถึงข้อมูลลูกค้าได้เมื่อจำเป็นและได้รับการอนุมัติ

      3. แพลตฟอร์มบทบาทและการอนุญาต – การเข้าถึงภายใน: ผู้ใช้ที่เข้าถึงภายในมีบทบาทที่หลากหลาย พวกเขามีสิทธิ์เข้าถึงในการสร้าง ดู แก้ไข และอนุมัติสิ่งต่อไปนี้ในระดับที่แตกต่างกัน:

         • ข้อมูลลูกค้า

         • ข้อมูลการเรียกเก็บเงิน

         • ข้อมูลพันธมิตร

         • ข้อมูลบันทึกบุคลากรระดับมืออาชีพ

      4. โดยทั่วไปแล้ว การเข้าถึงระบบบริหารจัดการจะจำกัดเฉพาะพนักงานที่ได้รับการฝึกอบรมในด้านการสนับสนุนลูกค้าและการพัฒนาผลิตภัณฑ์เท่านั้น

5. ไฟร์วอลล์ในรูปแบบบริการ (Firewall as a Service): G-P ใช้ไฟร์วอลล์ภายนอกในรูปแบบบริการ ซึ่งช่วยให้สามารถอนุญาตหรือบล็อกการเข้าถึงเว็บไซต์ เพื่อให้แน่ใจว่าระบบไม่สามารถเข้าถึงเนื้อหาที่เป็นอันตราย และเพื่อจำกัดการเข้าถึงเนื้อหาที่ไม่เหมาะสม

6. บันทึกการเข้าสู่ระบบแพลตฟอร์ม: G-P จะเก็บบันทึกกิจกรรมการเข้าสู่ระบบทั้งหมด

7. ความสามารถในการแยกส่วน: การรับรองว่าข้อมูลส่วนบุคคลที่รวบรวมไว้สำหรับวัตถุประสงค์ที่แตกต่างกันสามารถประมวลผลแยกจากกันได้ และแยกออกจากข้อมูลและระบบอื่นๆ ในลักษณะที่ป้องกันการนำข้อมูลเหล่านี้ไปใช้ในวัตถุประสงค์อื่นโดยไม่วางแผนไว้ล่วงหน้า

   1. การแยกสภาพแวดล้อมการพัฒนา การทดสอบ และการใช้งาน: ข้อมูลจากสภาพแวดล้อมการใช้งานจะสามารถถ่ายโอนไปยังสภาพแวดล้อมการทดสอบหรือการพัฒนาได้ก็ต่อเมื่อข้อมูลนั้นได้รับการปกปิดตัวตนอย่างสมบูรณ์ก่อนการถ่ายโอนแล้วเท่านั้น การส่งต่อข้อมูลที่ไม่ระบุตัวตนจะต้องเข้ารหัสหรือผ่านเครือข่ายที่เชื่อถือได้ ซอฟต์แวร์ที่จะถ่ายโอนไปยังสภาพแวดล้อมการทำงานจะต้องได้รับการทดสอบในสภาพแวดล้อมการทดสอบที่เหมือนกันทุกประการก่อน ("สภาพแวดล้อมเตรียมการ") โปรแกรมสำหรับการวิเคราะห์ข้อผิดพลาด หรือการสร้าง/คอมไพล์ซอฟต์แวร์ อาจใช้งานในสภาพแวดล้อมการทำงานได้ก็ต่อเมื่อไม่สามารถหลีกเลี่ยงได้เท่านั้น กรณีนี้เกิดขึ้นโดยเฉพาะอย่างยิ่งหากสถานการณ์ข้อผิดพลาดขึ้นอยู่กับข้อมูลที่อาจถูกบิดเบือนเนื่องจากข้อกำหนดในการปกปิดข้อมูลส่วนบุคคลเมื่อถ่ายโอนไปยังสภาพแวดล้อมการทดสอบ

   2. การแบ่งแยกในเครือข่าย: G-P แบ่งเครือข่ายตามภารกิจต่างๆ เครือข่ายต่อไปนี้ถูกใช้งานอย่างถาวร: สภาพแวดล้อมการทำงาน ("Production"), สภาพแวดล้อมการทดสอบ ("Staging", "Sandbox"), สภาพแวดล้อมการพัฒนา ("Dev") และเจ้าหน้าที่ฝ่ายไอทีของสำนักงาน นอกจากเครือข่ายเหล่านี้แล้ว ยังมีการสร้างเครือข่ายแยกต่างหากเพิ่มเติมตามความจำเป็น เช่น สำหรับการทดสอบการกู้คืนและการทดสอบการเจาะระบบ ขึ้นอยู่กับความเป็นไปได้ทางเทคนิค เครือข่ายต่างๆ อาจถูกแยกออกจากกันทั้งทางกายภาพหรือโดยใช้เครือข่ายเสมือน

8. ความพร้อมใช้งาน การควบคุม: G-P ดำเนินการดังต่อไปนี้เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลได้รับการปกป้องจากการถูกทำลายหรือสูญหายโดยไม่ตั้งใจ

   1. ขั้นตอนการปกป้องข้อมูล/การสำรองข้อมูล: เพื่อให้มั่นใจได้ถึงความพร้อมใช้งานที่เพียงพอ G-P จะทำการสร้างสแนปช็อตของฐานข้อมูลทุกวัน พร้อมทั้งจำลองข้อมูลไปยังภูมิภาคอื่นด้วย นอกจากนี้ ยังมีการดำเนินการเพื่อให้มั่นใจว่าพนักงานที่จำเป็นต้องตรวจสอบข้อมูลตามหน้าที่การงานจะได้รับอนุญาตให้เข้าถึงเฉพาะชุดข้อมูลจำลองเท่านั้น

   2. การสำรองข้อมูลตามภูมิศาสตร์ในส่วนของโครงสร้างพื้นฐานเซิร์ฟเวอร์สำหรับข้อมูลใช้งานและข้อมูลสำรอง

   3. การจัดการเหตุการณ์ด้านไอที ("การจัดการการตอบสนองต่อเหตุการณ์"): มีแนวคิดและขั้นตอนที่จัดทำเป็นเอกสารไว้สำหรับการจัดการเหตุการณ์และเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย ซึ่งรวมถึงการวางแผนและเตรียมการตอบสนองต่อเหตุการณ์ต่างๆ ขั้นตอนการตรวจสอบ ตรวจจับ และวิเคราะห์เหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย และการกำหนดความรับผิดชอบและช่องทางการรายงานที่เกี่ยวข้องในกรณีที่มีการละเมิดการคุ้มครองข้อมูลส่วนบุคคลภายในกรอบข้อกำหนดทางกฎหมาย

2) มาตรการขององค์กรเพื่อรับรองความเป็นส่วนตัวและการคุ้มครองข้อมูล

G-P ได้วางมาตรการขององค์กรต่อไปนี้เพื่อให้แน่ใจว่าองค์กรดำเนินงานในลักษณะที่ตรงตามข้อกำหนดด้านความเป็นส่วนตัวของข้อมูลและการป้องกัน

1. คำแนะนำสำหรับองค์กร: G-P ได้พัฒนาและกำลังพัฒนาระบบการกำกับดูแลข้อมูล ซึ่งรวมถึงนโยบาย ขั้นตอน และแนวทางปฏิบัติสำหรับพนักงาน เอกสารประกอบด้วยวิธีการระบุและจัดการความเป็นส่วนตัวของปัญหาข้อมูล แนวปฏิบัติที่ดีที่สุดในการรับรองความเป็นส่วนตัวตามกฎหมาย และนโยบายสำหรับการจัดการเหตุการณ์ความเป็นส่วนตัว
2. ความมุ่งมั่นในการรักษาความลับและข้อมูลประจำวัน: G-P ได้พัฒนาและพัฒนาโปรแกรมการกำกับดูแลข้อมูล รวมถึงนโยบาย ขั้นตอน และแนวปฏิบัติเพื่อให้พนักงานปฏิบัติตาม พนักงานและผู้รับเหมาทุกคนต้องปฏิบัติตามข้อตกลงเป็นลายลักษณ์อักษรเกี่ยวกับการรักษาความลับและการคุ้มครองข้อมูล รวมถึงกฎหมายอื่นๆ ที่เกี่ยวข้อง พนักงานทุกคนได้รับการฝึกอบรมด้านความเป็นส่วนตัวและความปลอดภัย มีการตรวจสอบภายในเกี่ยวกับการคุ้มครองข้อมูลและความปลอดภัยของข้อมูลเป็นประจำ การตรวจสอบจะดำเนินการโดยใช้เกณฑ์/แผนการทดสอบทั่วไปเป็นเกณฑ์ พนักงานและผู้รับเหมาของ G-P ได้รับคำสั่งให้ประมวลผลข้อมูลส่วนบุคคลด้วยเหตุผลที่ชอบด้วยกฎหมายเท่านั้น โดยเป็นไปตามสัญญาที่เกี่ยวข้องกับบริษัทและผู้ประกอบวิชาชีพ โดยคำนึงถึงความยินยอมโดยชัดแจ้งที่ผู้เป็นเจ้าของข้อมูลได้ให้ไว้หรือปฏิเสธ และเป็นไปตามหน้าที่ตามกฎหมายขององค์กร
3. การฝึกอบรมด้านการคุ้มครองข้อมูล: พนักงานทุกคนได้รับการฝึกอบรมด้านความเป็นส่วนตัวและความปลอดภัย ซึ่งสามารถทบทวนได้ตลอดเวลาในแพลตฟอร์มการฝึกอบรม G-P
4. การควบคุมการเข้าถึงทางกายภาพ: G-P มีการควบคุมทางกายภาพดังต่อไปนี้เพื่อป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าถึงระบบอุปกรณ์ไอทีที่ใช้ในการประมวลผล
   1. ระบบรักษาความปลอดภัยประตูแบบอิเล็กทรอนิกส์: ประตูทางเข้าของคลินิก G-P ทั่วไปจะถูกล็อคและรักษาความปลอดภัยด้วยระบบอิเล็กทรอนิกส์เสมอ ประตูจะเปิดโดยใช้เครื่องส่งสัญญาณอิเล็กทรอนิกส์ส่วนบุคคล
   2. การแจกจ่ายกุญแจอย่างเป็นระบบ: มีการจัดสรรกุญแจให้กับพนักงานของ G-P อย่างเป็นระบบและมีเอกสารบันทึกไว้ อุปกรณ์ส่งสัญญาณ/กุญแจอิเล็กทรอนิกส์เหล่านี้สามารถปิดใช้งานจากส่วนกลางได้โดยผู้จัดการแต่ละสำนักงานหรือฝ่ายทรัพยากรบุคคล
   3. การกำกับดูแลและการนำบุคคลภายนอกเข้ามา: ผู้ให้บริการภายนอกและบุคคลที่สามอื่นๆ จะได้รับอนุญาตให้เข้าสถานที่ได้ก็ต่อเมื่อได้รับอนุญาตล่วงหน้าหรือเมื่อมีผู้แทนของ G-P มาด้วยเท่านั้น G-P จะปฏิบัติตามนโยบายผู้เยี่ยมชมที่เป็นลายลักษณ์อักษรเมื่อมีการเชิญผู้เยี่ยมชมเข้ามาในสถานที่
   4. การรักษาความปลอดภัยของสถานที่ที่มีความต้องการการป้องกันสูง: สถานที่หรือตู้ที่มีความต้องการการป้องกันสูง เช่น สำนักงานกฎหมายและสถานที่ปฏิบัติงานบางแห่ง จะติดตั้งตู้และลิ้นชักที่มีระบบล็อค ตู้และลิ้นชักที่เก็บเอกสารทางกฎหมาย สัญญา และเอกสารลับ จะต้องล็อกตลอดเวลา ยกเว้นเวลาใช้งาน
   5. ปิดประตูและหน้าต่าง: พนักงานได้รับคำสั่งจากองค์กรให้ปิดหรือล็อกหน้าต่างและประตูเมื่ออยู่นอกเวลาทำการ
5. ความสามารถในการกู้คืน: G-P รับประกันว่าระบบที่ใช้งานอยู่สามารถกู้คืนได้ในกรณีที่เกิดความล้มเหลวทางกายภาพหรือทางเทคนิค

   1. การทดสอบการกู้คืนข้อมูลเป็นประจำ ("การทดสอบการกู้คืน"): มีการดำเนินการทดสอบการกู้คืนแบบเต็มรูปแบบเป็นประจำเพื่อให้มั่นใจได้ว่าสามารถกู้คืนข้อมูลได้ในกรณีฉุกเฉิน/ภัยพิบัติ

   2. แผนฉุกเฉิน ("แนวคิดการฟื้นฟูหลังภัยพิบัติ"): มีแนวคิดสำหรับการรับมือกับเหตุฉุกเฉิน/ภัยพิบัติ และมีแผนฉุกเฉินที่เกี่ยวข้อง G-P รับประกันการกู้คืนระบบทั้งหมดโดยอาศัยข้อมูลสำรอง/ไฟล์สำรองข้อมูล ซึ่งโดยปกติจะใช้เวลาเพียง 48 ชั่วโมง

   3. มาตรการทบทวนและประเมินผล: การนำเสนอขั้นตอนการทบทวน ประเมินผล และตรวจสอบประสิทธิผลของมาตรการทางเทคนิคและองค์กรอย่างสม่ำเสมอ

6. Privacy Team: องค์กรมีสำนักงานความเป็นส่วนตัวของข้อมูลทั่วโลก ซึ่งมีหน้าที่วางแผน ดำเนินการ ประเมิน และปรับใช้มาตรการในด้านข้อมูลในส่วนนี้

7. การจัดการความเสี่ยง: มีกระบวนการในการวิเคราะห์ ประเมิน และจัดสรรความเสี่ยง รวมถึงการกำหนดมาตรการบนพื้นฐานของความเสี่ยงเหล่านั้น

3) การตรวจสอบความปลอดภัยของข้อมูลอย่างอิสระ

1. การดำเนินการตรวจสอบ: การตรวจสอบภายในด้านการคุ้มครองข้อมูลและความปลอดภัยของข้อมูลจะดำเนินการเป็นประจำ การตรวจสอบจะดำเนินการโดยใช้เกณฑ์/แผนการทดสอบทั่วไปเป็นเกณฑ์
2. การทบทวนกฎระเบียบด้วยนโยบายและมาตรฐานความปลอดภัย: มีการตรวจสอบการปฏิบัติตามแนวทาง มาตรฐาน และข้อกำหนดด้านความปลอดภัยอื่น ๆ ที่บังคับใช้สำหรับการประมวลผลข้อมูลส่วนบุคคลอย่างสม่ำเสมอ เท่าที่เป็นไปได้ การตรวจสอบเหล่านี้จะดำเนินการแบบสุ่มและไม่แจ้งล่วงหน้า
3. การตรวจสอบของ ความปลอดภัยตามข้อกำหนดทางเทคนิค: ฝ่ายไอทีหรือบุคลากรที่มีคุณสมบัติเหมาะสมจะทำการสแกนช่องโหว่โดยอัตโนมัติและด้วยตนเองเป็นประจำ เพื่อตรวจสอบความปลอดภัยของแอปพลิเคชันและโครงสร้างพื้นฐาน รวมถึงการพัฒนาผลิตภัณฑ์อย่างสม่ำเสมอ การทดสอบเจาะระบบอย่างละเอียดจะดำเนินการโดยผู้ให้บริการภายนอก เพื่อตรวจสอบแอปพลิเคชันและโครงสร้างพื้นฐานอย่างเฉพาะเจาะจงเพื่อหาช่องโหว่
4. การประมวลผลตามคำสั่ง: พนักงานของ G-P ได้รับคำสั่งให้ประมวลผลข้อมูลส่วนบุคคลด้วยเหตุผลที่ชอบด้วยกฎหมายเท่านั้น โดยเป็นไปตามสัญญาที่เกี่ยวข้องกับบริษัทและผู้ประกอบวิชาชีพ โดยคำนึงถึงความยินยอมโดยชัดแจ้งที่ผู้เป็นเจ้าของข้อมูลได้ให้ไว้หรือปฏิเสธ และเป็นไปตามหน้าที่ตามกฎหมายขององค์กร
5. การคัดเลือกซัพพลายเออร์อย่างรอบคอบ: G-P ปฏิบัติตามกระบวนการตรวจสอบคุณสมบัติผู้จำหน่ายล่วงหน้าเมื่อเลือกผู้ขายและซัพพลายเออร์ที่อาจเกี่ยวข้องกับข้อมูลที่ได้รับการคุ้มครอง กระบวนการนี้รวมถึงการรับฟังความคิดเห็นจากฝ่ายการเงินและฝ่ายกฎหมาย/ความเป็นส่วนตัว และประกอบด้วยขั้นตอนการประเมินความเสี่ยง การตรวจสอบคุณสมบัติเบื้องต้นด้านความปลอดภัย และการรับรองเอกสาร ซัพพลายเออร์ที่จะประมวลผลข้อมูลที่ได้รับการคุ้มครองจะต้องแสดงให้เห็นถึงการปฏิบัติตามกฎหมายความเป็นส่วนตัวของข้อมูลที่เกี่ยวข้อง รวมถึงมาตรา 28 ระเบียบว่าด้วยข้อมูลทั่วไปสำหรับข้อมูลที่ครอบคลุม

 

ภาคผนวก III 

รายชื่อตัวประมวลผลย่อย

 

ซับโปรเซสเซอร์	ข้อมูลสถานที่ตั้งและข้อมูลการติดต่อ	คำอธิบายกระบวนการ
บริษัทในเครือ G-P	https://www.globalization- partners.com/contact-us/	การให้บริการแพลตฟอร์มและการบริหารจัดการความสัมพันธ์กับลูกค้า
อะคูมาติกา	3933 Lake Washington Blvd NE #350, เคิร์กแลนด์, WA 98033, สหรัฐอเมริกา	บริการทางการเงิน
บริการ เว็บอเมซอน	พีโอ กล่อง 81226 ซีแอตเทิล วอชิงตัน 98108-1226, สหรัฐอเมริกา	บริการโฮสติ้ง – ผู้ให้บริการคลาวด์
ไมโครซอฟต์	บริษัท ไมโครซอฟต์ คอร์ปอเรชั่น วิถีแห่งไมโครซอฟต์ เรดมอนด์ วอชิงตัน 98052 สหรัฐอเมริกา โทรศัพท์: (+1) 425-882-8080	การสนับสนุนกระบวนการทางธุรกิจสำหรับการสื่อสาร (อีเมล) และการจัดการบริการ
แอตลาสเซียน	350 ถนนบุช ชั้น 13 ซานฟรานซิสโก, แคลิฟอร์เนีย 94104, สหรัฐอเมริกา +1 415 701 1110	การสนับสนุนกระบวนการทางธุรกิจสำหรับการจัดการบริการ
โดคูซิกน์	DocuSign International (EMEA) Ltd, เรียน: ทีมงานด้านความเป็นส่วนตัว, 5 Hanover Quay, ชั้นล่าง, ดับลิน 2 สาธารณรัฐไอร์แลนด์	การจัดการเอกสาร
Salesforce.com	อาคาร Salesforce Tower, 415 Mission Street, ชั้น 3 , ซานฟรานซิสโก, CA 94105, สหรัฐอเมริกา 1-800-387-3285	การสนับสนุนกระบวนการทางธุรกิจสำหรับการจัดการความสัมพันธ์กับลูกค้า (CRM)
เซนเดสก์	989 ถนนมาร์เก็ต ซานฟรานซิสโก แคลิฟอร์เนีย 94103 สหรัฐอเมริกา zendesk.com 888-670-4887	สอบถามข้อมูลฝ่ายบริการลูกค้า (Helpdesk)
Workday	6110 ถนนสโตนริดจ์มอลล์ เพลแซนตัน รัฐแคลิฟอร์เนีย 94588 สหรัฐอเมริกา	สนับสนุนกระบวนการทางธุรกิจสำหรับการจัดการเงินเดือน สวัสดิการ ทรัพยากรบุคคล และข้อมูลพนักงาน
บริการตอนนี้	2225 ถนนลอว์สัน ซานตาคลารา รัฐแคลิฟอร์เนีย 95054 สหรัฐอเมริกา	การสนับสนุนกระบวนการทางธุรกิจสำหรับการจัดการบริการและปฏิบัติการด้านไอที ประสบการณ์ของพนักงานและลูกค้าผ่าน (เวิร์กโฟลว์อัตโนมัติบนระบบคลาวด์)
ดาต้าบริคส์	160 ถนนสเปียร์ ชั้น 15 ซานฟรานซิสโก รัฐแคลิฟอร์เนีย 94105 1-866-330-0121 สหรัฐอเมริกา	โครงสร้างพื้นฐานคลังข้อมูลบนคลาวด์
ดาต้าด็อก	ถนนหมายเลข 620 ชั้น 8ชั้น 45 นิวยอร์ก, นิวยอร์ก 10018 สหรัฐอเมริกา	เครื่องมือตรวจสอบและแก้ไขข้อผิดพลาดของบริการ
Wise	ถนนอเวนิวหลุยส์ 54, ห้อง s52, 1050 บรัสเซลส์ เบลเยียม	ระบบประมวลผลการชำระเงินออนไลน์
Google	1600 ถนนแอมฟิเธียเตอร์พาร์คเวย์, เมาน์เทนวิว, แคลิฟอร์เนีย 94043	การสนับสนุนกระบวนการทางธุรกิจด้านการสื่อสาร (อีเมล) และการจัดเก็บเอกสารภายใน