ภาคผนวกการประมวลผลข้อมูล

ภาคผนวกนี้เป็นส่วนหนึ่งของสัญญาและเข้าทำโดย:

1. (i) ลูกค้า (" ผู้ส่งออกข้อมูล ")
2. (ii) IQUALIF (" ผู้นำเข้าข้อมูล ")

แต่ละคนเป็น " ปาร์ตี้ " และโดยทั่วไป " ปาร์ตี้ "

คำนำ

โดยที่ Data Importer ให้บริการซอฟต์แวร์ระดับมืออาชีพ คอมพิวเตอร์ และบริการที่เกี่ยวข้อง (เช่น เบราว์เซอร์ที่มีฟังก์ชันการค้นหาขั้นสูง)

ตามสัญญา ผู้นำเข้าข้อมูลได้ตกลงที่จะให้บริการที่ระบุไว้ในสัญญาแก่ผู้ส่งออกข้อมูล (" บริการ ")

โดยการให้บริการ ผู้นำเข้าข้อมูลได้รับหรือได้รับประโยชน์จากการเข้าถึงข้อมูลของผู้ส่งออกข้อมูลหรือข้อมูลของบุคคลอื่นที่มีความสัมพันธ์ (ที่มีศักยภาพ) กับผู้ส่งออกข้อมูล ข้อมูลดังกล่าวอาจเข้าข่ายเป็นข้อมูลส่วนบุคคลตามความหมายของข้อบังคับ (EU) 2016/679 ของรัฐสภายุโรปและคณะมนตรีเมื่อวันที่ 27 เมษายน 2016 ว่าด้วยการปกป้องบุคคลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและการเคลื่อนย้ายข้อมูลดังกล่าวโดยเสรี (" GDPR ") และกฎหมายคุ้มครองข้อมูลอื่น ๆ ที่เกี่ยวข้อง

ภาคผนวกนี้มีข้อกำหนดและเงื่อนไขที่ใช้บังคับกับการรวบรวม การประมวลผล และการใช้ข้อมูลส่วนบุคคลดังกล่าวโดยผู้นำเข้าข้อมูลในฐานะตัวแทนการประมวลผลข้อมูลที่ได้รับอนุญาตของผู้ส่งออกข้อมูล เพื่อให้แน่ใจว่าคู่สัญญาปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง .

ดังนั้น และเพื่อให้คู่ภาคีสามารถสานต่อความสัมพันธ์ของตนได้ถูกต้องตามกฎหมาย ภาคีได้สรุปภาคผนวกนี้ดังนี้:

ส่วนที่ 1

1. โครงสร้างของเอกสารและคำจำกัดความ

1.1 โครงสร้าง

ภาคผนวกนี้ประกอบด้วยส่วนต่างๆ ดังนี้

1.2 คำศัพท์และคำจำกัดความ

สำหรับวัตถุประสงค์ของภาคผนวกนี้ คำศัพท์และคำจำกัดความที่ใช้โดย GDPR นั้นมีผลบังคับใช้ (ในเนื้อหาของเอกสารข้อสัญญามาตรฐานในส่วนที่ 2 โดยที่ข้อกำหนดจะไม่เป็นตัวพิมพ์ใหญ่) 

2. ภาระหน้าที่ของผู้ส่งออกข้อมูล

2.1 ผู้ส่งออกข้อมูลมีภาระหน้าที่ที่จะต้องตรวจสอบให้แน่ใจว่ามีการปฏิบัติตามภาระหน้าที่ที่เกี่ยวข้องทั้งหมดภายใต้ GDPR และกฎหมายคุ้มครองข้อมูลอื่นๆ ที่บังคับใช้ซึ่งมีผลบังคับใช้กับผู้ส่งออกข้อมูล และเพื่อแสดงการปฏิบัติตามข้อกำหนดดังกล่าวตามที่กำหนดไว้ในมาตรา 5 (2) ของ GDPR ผู้ส่งออกข้อมูลรับประกันว่าผู้นำเข้าข้อมูลได้รับความยินยอมล่วงหน้าจากเจ้าของข้อมูลตามมาตรา 6 (a) ของ GDPR และได้ปฏิบัติตามภาระหน้าที่ในการแจ้งเจ้าของข้อมูลตามมาตรา 13 และ 14 ของ GDPR

2.2 ผู้ส่งออกข้อมูลต้องจัดเตรียมไฟล์กิจกรรมการประมวลผลตามลำดับให้กับผู้นำเข้าข้อมูลตามมาตรา 30 (1) ของ GDPR ที่เกี่ยวข้องกับบริการภายใต้ภาคผนวกนี้ ในขอบเขตที่จำเป็นสำหรับผู้นำเข้าข้อมูลในการปฏิบัติตามภาระผูกพันภายใต้ มาตรา 30 (2) ของ GDPR

2.3 ผู้ส่งออกข้อมูลต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลหรือตัวแทนในขอบเขตที่กำหนดโดยกฎหมายคุ้มครองข้อมูลที่บังคับใช้ ผู้ส่งออกข้อมูลมีหน้าที่ให้รายละเอียดการติดต่อของตัวแทนคุ้มครองข้อมูลหรือตัวแทน (ถ้ามี) แก่ผู้นำเข้าข้อมูล

2.4. ผู้ส่งออกข้อมูลยืนยันก่อนที่จะเสร็จสิ้นการประมวลผล โดยการยอมรับภาคผนวกนี้ มาตรการรักษาความปลอดภัยทางเทคนิคและองค์กรของผู้นำเข้าข้อมูล ตามที่กำหนดไว้ในภาคผนวก 2 ถึงส่วนที่ 2 มีความเหมาะสมและเพียงพอที่จะปกป้องสิทธิ์ของเจ้าของข้อมูล และยืนยันว่าผู้นำเข้าข้อมูลมีการป้องกันที่เพียงพอในส่วนนี้

3. การปฏิบัติตามกฎหมายท้องถิ่น

เพื่อให้เป็นไปตามข้อกำหนดของการดำเนินการตัวแทนดำเนินการตามมาตรา 28 ของ GDPR การแก้ไขต่อไปนี้จะมีผลบังคับใช้:

3.1 คำแนะนำ

1. (i) ผู้ส่งออกข้อมูลสั่งให้ผู้นำเข้าข้อมูลประมวลผลข้อมูลส่วนบุคคลในนามของผู้ส่งออกข้อมูลเท่านั้น คำแนะนำของผู้ส่งออกข้อมูลมีอยู่ในภาคผนวกนี้และในสัญญา ผู้ส่งออกข้อมูลมีภาระหน้าที่ที่จะต้องตรวจสอบให้แน่ใจว่าคำสั่งทั้งหมดนั้นมอบให้กับผู้นำเข้าข้อมูลนั้นสอดคล้องกับกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง ผู้นำเข้าข้อมูลต้องประมวลผลข้อมูลส่วนบุคคลตามคำแนะนำของผู้ส่งออกข้อมูลเท่านั้น เว้นแต่จะกำหนดเป็นอย่างอื่นโดยสหภาพยุโรปหรือกฎหมายของประเทศสมาชิก (ในกรณีหลัง จะใช้ส่วนที่ 1 ข้อ 3.2 (iv) (c)) .
2. (ii) คำแนะนำอื่น ๆ ทั้งหมดที่นอกเหนือไปจากคำแนะนำในภาคผนวกนี้หรือในสัญญาจะต้องรวมอยู่ในหัวเรื่องของภาคผนวกนี้และสัญญา หากการใช้คำสั่งเพิ่มเติมนี้มีค่าใช้จ่ายสำหรับผู้นำเข้าข้อมูล ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบถึงค่าใช้จ่ายดังกล่าวและให้คำอธิบายก่อนดำเนินการตามคำแนะนำ หลังจากที่ผู้ส่งออกข้อมูลได้ยืนยันการยอมรับค่าใช้จ่ายเหล่านี้สำหรับการดำเนินการตามคำสั่งแล้ว ผู้นำเข้าข้อมูลจะต้องดำเนินการตามคำแนะนำเพิ่มเติมนี้ ผู้ส่งออกข้อมูลต้องให้คำแนะนำเพิ่มเติมเป็นลายลักษณ์อักษร เว้นแต่ความเร่งด่วนหรือสถานการณ์เฉพาะอื่น ๆ จำเป็นต้องมีแบบฟอร์มอื่น (เช่น ทางปาก ทางอิเล็กทรอนิกส์) คำแนะนำในรูปแบบอื่นที่ไม่ใช่ลายลักษณ์อักษรจะต้องได้รับการยืนยันเป็นลายลักษณ์อักษรและโดยผู้ส่งออกข้อมูลโดยไม่ชักช้า
3. 1. เว้นแต่ผู้ส่งออกข้อมูลไม่สามารถดำเนินการแก้ไข ลบ หรือจำกัดข้อมูลส่วนบุคคลด้วยตัวเอง คำแนะนำอาจเกี่ยวข้องกับการแก้ไข การลบ และ/หรือการจำกัดข้อมูลส่วนบุคคลตามที่กำหนดไว้ในส่วนที่ 1 ข้อ 3.3
4. 2. ผู้นำเข้าข้อมูลต้องแจ้งให้ผู้ส่งออกข้อมูลทราบทันที หากเห็นว่าคำสั่งละเมิด GDPR หรือข้อกำหนดการคุ้มครองข้อมูลอื่นๆ ที่เกี่ยวข้องของสหภาพยุโรปหรือประเทศสมาชิก (" คำสั่งโต้แย้งหากหน่วยงานกำกับดูแลประกาศว่าคำสั่งที่ถูกท้าทายนั้นถูกกฎหมาย ผู้นำเข้าข้อมูลจะต้องดำเนินการตามคำสั่งที่ท้าทาย ส่วนที่ 1 ข้อ 3.1 (ii) จะยังคงมีผลบังคับใช้

3.2 ภาระหน้าที่ของผู้นำเข้าข้อมูล

1. (i) ผู้นำเข้าข้อมูลต้องตรวจสอบให้แน่ใจว่าบุคคลที่ได้รับอนุญาตจากผู้นำเข้าข้อมูลในการประมวลผลข้อมูลส่วนบุคคลในนามของผู้ส่งออกข้อมูล โดยเฉพาะพนักงานของผู้นำเข้าข้อมูลและพนักงานของผู้รับเหมาช่วง ได้ดำเนินการรักษาความลับหรืออยู่ภายใต้ หน้าที่ตามกฎหมายที่เหมาะสมในการรักษาความลับ และบุคคลที่สามารถเข้าถึงข้อมูลส่วนบุคคลดังกล่าวได้ดำเนินการตามคำแนะนำของผู้ส่งออกข้อมูล
2. (ii) ผู้นำเข้าข้อมูลต้องใช้มาตรการทางเทคนิคและความปลอดภัยขององค์กรตามที่กำหนดไว้ในภาคผนวก 2 ถึงส่วนที่ 2 ก่อนที่จะประมวลผลข้อมูลส่วนบุคคลในนามของผู้ส่งออกข้อมูล ผู้นำเข้าข้อมูลอาจเปลี่ยนแปลงมาตรการทางเทคนิคและความปลอดภัยขององค์กรเป็นครั้งคราว หากไม่มีการป้องกันน้อยกว่าที่กำหนดไว้ในภาคผนวก 2 ถึงส่วนที่ 2
3. (iii) ผู้นำเข้าข้อมูลจะต้องจัดให้มีข้อมูลสำหรับผู้ส่งออกข้อมูล เมื่อมีการร้องขอโดยผู้ส่งออกข้อมูล ข้อมูลเพื่อแสดงการปฏิบัติตามภาระหน้าที่ของผู้นำเข้าข้อมูลภายใต้ภาคผนวกนี้ คู่สัญญาทั้งสองฝ่ายตกลงว่าข้อผูกพันด้านข้อมูลนี้จะบรรลุผลโดยการให้รายงานการตรวจสอบแก่ผู้ส่งออกข้อมูล (ครอบคลุมการรักษาความปลอดภัยของหลักการ ความพร้อมใช้งานของระบบ และการรักษาความลับ) ("รายงานการตรวจสอบ") หากกฎหมายกำหนดให้มีกิจกรรมการตรวจสอบเพิ่มเติม ผู้ส่งออกข้อมูลอาจขอให้ผู้ส่งออกข้อมูลเป็นผู้ดำเนินการตรวจสอบหรือผู้ตรวจสอบรายอื่นที่ได้รับการแต่งตั้งโดยผู้ส่งออกข้อมูล ทั้งนี้ขึ้นอยู่กับการปฏิบัติตามข้อตกลงการรักษาความลับกับผู้นำเข้าข้อมูลของผู้นำเข้าข้อมูล ความพอใจตามสมควร ("ตรวจสอบ") การตรวจสอบนี้อยู่ภายใต้เงื่อนไขดังต่อไปนี้: (i) การยอมรับอย่างเป็นลายลักษณ์อักษรล่วงหน้าของผู้นำเข้าข้อมูล และ (ii) ผู้ส่งออกข้อมูลจะต้องรับผิดชอบค่าใช้จ่ายทั้งหมดที่เกี่ยวข้องกับการตรวจสอบในสถานที่สำหรับผู้ส่งออกข้อมูลและผู้นำเข้าข้อมูล ผู้ส่งออกข้อมูลต้องสร้างรายงานการตรวจสอบที่สรุปผลลัพธ์และการสังเกตของการตรวจสอบในสถานที่ ("รายงานการตรวจสอบในสถานที่") รายงานการตรวจสอบในสถานที่และรายงานการตรวจสอบเป็นข้อมูลที่เป็นความลับของผู้นำเข้าข้อมูลและต้องไม่เปิดเผยต่อบุคคลที่สาม เว้นแต่จะกำหนดโดยกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องหรือตามความยินยอมของผู้นำเข้าข้อมูล
4. (iv) ผู้นำเข้าข้อมูลมีหน้าที่ต้องแจ้งให้ผู้ส่งออกข้อมูลทราบโดยไม่ชักช้า:
   1. ก. เกี่ยวกับคำขอที่มีผลผูกพันทางกฎหมายสำหรับการเปิดเผยข้อมูลส่วนบุคคลโดยหน่วยงานบังคับใช้กฎหมาย เว้นแต่จะห้ามไว้เป็นอย่างอื่น เช่น การห้ามภายใต้กฎหมายอาญาเพื่อปกป้องความลับของการสอบสวนของหน่วยงานบังคับใช้กฎหมาย
   2. ข. เกี่ยวกับการร้องเรียนและคำขอที่ได้รับโดยตรงจากเจ้าของข้อมูล (เช่น เกี่ยวกับการเข้าถึง การแก้ไข การลบ การจำกัดการประมวลผล การเคลื่อนย้ายข้อมูล การคัดค้านการประมวลผลข้อมูล การตัดสินใจโดยอัตโนมัติ) โดยไม่ตอบสนองต่อคำขอนั้น เว้นแต่ผู้นำเข้าข้อมูลจะได้รับอนุญาตให้ ทำอย่างนั้น
   3. ค. หากผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลมีหน้าที่ตามกฎหมายของสหภาพยุโรปหรือประเทศสมาชิกที่ผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลอยู่ภายใต้บังคับ ในการประมวลผลข้อมูลส่วนบุคคลนอกเหนือจากคำแนะนำของผู้ส่งออกข้อมูล ก่อนดำเนินการประมวลผลดังกล่าวเกิน คำแนะนำ เว้นแต่กฎหมายของสหภาพยุโรปหรือประเทศสมาชิกห้ามไม่ให้มีการประมวลผลดังกล่าวโดยมีเหตุผลสำคัญที่เป็นประโยชน์ต่อสาธารณะ ซึ่งในกรณีนี้ การแจ้งไปยังผู้ส่งออกข้อมูลจะต้องระบุข้อกำหนดทางกฎหมายภายใต้กฎหมายของสหภาพยุโรปหรือประเทศสมาชิกนั้น หรือ
   4. ง. หากผู้นำเข้าข้อมูลพบว่ามีการละเมิดข้อมูลส่วนบุคคลเพียงเพราะตัวมันเองหรือผู้รับเหมาช่วง ซึ่งจะส่งผลต่อข้อมูลส่วนบุคคลของผู้ส่งออกข้อมูลที่อยู่ในสัญญาปัจจุบัน ซึ่งในกรณีนี้ ผู้นำเข้าข้อมูลจะช่วยเหลือผู้ส่งออกข้อมูลตามภาระหน้าที่ของตน vis-Ã -vis กฎหมายคุ้มครองข้อมูลที่บังคับใช้ เพื่อแจ้งให้เจ้าของข้อมูลและหน่วยงานกำกับดูแล (หากมี) โดยการให้ข้อมูล ณ การกำจัดตามมาตรา 33 (3) ของ GDPR
   5. (v) ตามคำร้องขอของผู้ส่งออกข้อมูล ผู้นำเข้าข้อมูลจะถูกบังคับให้ช่วยเหลือผู้ส่งออกข้อมูลตามภาระหน้าที่ในการดำเนินการประเมินผลกระทบด้านการปกป้องข้อมูลที่อาจกำหนดโดยมาตรา 35 ของ GDPR และการปรึกษาหารือล่วงหน้าที่อาจ กำหนดโดยมาตรา 36 ของ GDPR เกี่ยวกับบริการที่ผู้นำเข้าข้อมูลมอบให้ผู้ส่งออกข้อมูลภายใต้ภาคผนวกนี้ โดยให้ข้อมูลที่จำเป็นและข้อมูลแก่ผู้ส่งออกข้อมูล ผู้นำเข้าข้อมูลมีหน้าที่ต้องให้ความช่วยเหลือดังกล่าวก็ต่อเมื่อผู้ส่งออกข้อมูลไม่สามารถปฏิบัติตามภาระหน้าที่ของตนด้วยวิธีอื่นได้ ผู้นำเข้าข้อมูลจะแนะนำผู้ส่งออกข้อมูลถึงค่าใช้จ่ายของความช่วยเหลือดังกล่าว ทันทีที่ผู้ส่งออกข้อมูลยืนยันว่าสามารถแบกรับค่าใช้จ่ายนี้ได้ ผู้นำเข้าข้อมูลจะให้ความช่วยเหลือแก่ผู้ส่งออกข้อมูล
   6. (vi) เมื่อสิ้นสุดการให้บริการ ผู้ส่งออกข้อมูลอาจร้องขอให้ส่งคืนข้อมูลส่วนบุคคลที่ประมวลผลโดยผู้นำเข้าข้อมูลภายใต้ภาคผนวกนี้ภายในหนึ่งเดือนหลังจากบริการ เว้นแต่กฎหมายของประเทศสมาชิกหรือของสหภาพยุโรปกำหนดให้ผู้นำเข้าข้อมูลจัดเก็บหรือเก็บรักษาข้อมูลส่วนบุคคลดังกล่าว ผู้นำเข้าข้อมูลจะลบข้อมูลส่วนบุคคลหรือข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคลดังกล่าวทั้งหมดหลังจากช่วงระยะเวลาหนึ่งเดือน ไม่ว่าข้อมูลเหล่านั้นจะถูกส่งกลับไปยัง ผู้ส่งออกข้อมูลตามคำขอหรือไม่

3.3 สิทธิของบุคคลที่เกี่ยวข้อง

1.  
   1. (i) ผู้ส่งออกข้อมูลจัดการและตอบสนองต่อคำขอที่ทำโดยเจ้าของข้อมูล ผู้นำเข้าข้อมูลไม่จำเป็นต้องตอบสนองต่อเจ้าของข้อมูลโดยตรง
   2. (ii) หากผู้ส่งออกข้อมูลต้องการความช่วยเหลือจากผู้นำเข้าข้อมูลในการประมวลผลและตอบสนองต่อคำขอของเจ้าของข้อมูล ผู้ส่งออกข้อมูลจะออกคำสั่งเพิ่มเติมตามข้อ 3.1 (ii) ของส่วนที่ 1 ผู้นำเข้าข้อมูลจะช่วยเหลือผู้ส่งออกข้อมูล ด้วยมาตรการขององค์กรที่เหมาะสมและทางเทคนิคเพื่อตอบสนองต่อการร้องขอการใช้สิทธิ์ของเจ้าของข้อมูลที่กำหนดไว้ในบทที่ 3 ของ GDPR ดังนี้:
   3. ก. เกี่ยวกับการขอข้อมูล ผู้นำเข้าข้อมูลจะให้เฉพาะข้อมูลที่จำเป็นสำหรับผู้ส่งออกข้อมูลตามมาตรา 13 และ 14 ของ PGRD ที่อาจมีในการกำจัดหากผู้ส่งออกข้อมูลไม่พบข้อมูลดังกล่าวด้วยตนเอง
   4. ข. เกี่ยวกับคำขอเข้าถึง (มาตรา 15 ของ GDPR) ผู้นำเข้าข้อมูลจะให้เฉพาะข้อมูลแก่ผู้ส่งออกข้อมูลที่ควรจะมอบให้กับเจ้าของข้อมูลสำหรับคำขอเข้าถึงดังกล่าว ซึ่งอาจมีไว้ใช้หาก หลังไม่สามารถหามันได้โดยลำพัง
   5. ค. เกี่ยวกับคำขอให้แก้ไข (มาตรา 16 ของ GDPR) คำขอให้ลบออก (มาตรา 17 ของ GDPR) การจำกัดคำขอเพื่อดำเนินการ (มาตรา 18 ของ GDPR) หรือคำขอให้เคลื่อนย้ายได้ (มาตรา 20 ของ GDPR) และเท่านั้น หากผู้ส่งออกข้อมูลไม่สามารถแก้ไขหรือลบ จำกัด หรือส่งข้อมูลส่วนบุคคลไปยังบุคคลที่สามอื่นได้ ผู้นำเข้าข้อมูลจะเสนอความเป็นไปได้แก่ผู้ส่งออกข้อมูลเพื่อแก้ไขหรือลบ จำกัด หรือส่งข้อมูลส่วนบุคคลที่เกี่ยวข้องไปยังบุคคลที่สามอื่น ๆ หรือหากเป็นไปไม่ได้ จะให้ความช่วยเหลือในการแก้ไขหรือลบ จำกัด หรือส่งข้อมูลส่วนบุคคลที่เกี่ยวข้องไปยังบุคคลที่สาม
   6. ง. เกี่ยวกับการแจ้งเตือนที่เกี่ยวข้องกับการแก้ไข การลบ หรือการจำกัดการประมวลผล (มาตรา 19 ของ GDPR) ผู้นำเข้าข้อมูลจะช่วยเหลือผู้ส่งออกข้อมูลโดยแจ้งผู้รับข้อมูลส่วนบุคคลทั้งหมดที่ผู้นำเข้าข้อมูลมีส่วนร่วมในฐานะผู้ประมวลผล หากผู้ส่งออกข้อมูลร้องขอและ หากผู้ส่งออกข้อมูลไม่สามารถแก้ไขสถานการณ์ได้ด้วยตนเอง
   7. อี เกี่ยวกับสิทธิ์ของการคัดค้านที่ใช้โดยเจ้าของข้อมูล (มาตรา 21 และ 22 ของ GDPR) ผู้ส่งออกข้อมูลจะพิจารณาว่าฝ่ายค้านนั้นถูกต้องตามกฎหมายหรือไม่และจะจัดการกับมันอย่างไร
   8. (iii) ภาระหน้าที่ในความช่วยเหลือของผู้นำเข้าข้อมูลจำกัดเฉพาะข้อมูลส่วนบุคคลที่ประมวลผลภายในโครงสร้างพื้นฐานของตน (เช่น ฐานข้อมูล ระบบ แอปพลิเคชันที่ผู้นำเข้าข้อมูลเป็นเจ้าของหรือจัดหาให้)
   9. (iv) ผู้ส่งออกข้อมูลจะต้องพิจารณาว่าเจ้าของข้อมูลอาจใช้สิทธิ์ของเจ้าของข้อมูลที่กำหนดไว้ในข้อ 3.1 ของส่วนที่ 1 นี้หรือไม่ และจะแนะนำให้ผู้นำเข้าข้อมูลทราบถึงขอบเขตความช่วยเหลือที่ระบุไว้ในข้อ 3.3 (ii) ( iii) ของส่วนที่ 1 เป็นสิ่งจำเป็น
   10. (v) หากผู้ส่งออกข้อมูลร้องขอเพิ่มเติมหรือแก้ไขมาตรการทางเทคนิคและองค์กรเพื่อให้เป็นไปตามสิทธิ์ของเจ้าของข้อมูลซึ่งนอกเหนือไปจากความช่วยเหลือที่ได้รับจากผู้นำเข้าข้อมูลภายใต้ข้อย่อย 3.3 (ii), (iii) ของส่วนที่ 1 ข้อมูล ผู้นำเข้าต้องแจ้งให้ผู้ส่งออกข้อมูลทราบถึงค่าใช้จ่ายในการดำเนินมาตรการทางเทคนิคและองค์กรเพิ่มเติมหรือแก้ไขดังกล่าว ทันทีที่ผู้ส่งออกข้อมูลยืนยันว่าสามารถชำระค่าใช้จ่ายเหล่านี้ได้ ผู้นำเข้าข้อมูลจะต้องดำเนินการตามมาตรการทางเทคนิคและองค์กรเพิ่มเติมหรือแก้ไขดังกล่าว เพื่อช่วยผู้ส่งออกข้อมูลในการตอบสนองต่อคำขอของเจ้าของข้อมูล
   11. (vi) โดยไม่จำกัดขอบเขตของข้อ 3.3 (v) ของส่วนที่ 1 ผู้ส่งออกข้อมูลมีหน้าที่ต้องชำระเงินคืนให้กับผู้นำเข้าข้อมูลสำหรับค่าใช้จ่ายที่สมเหตุสมผลที่เกิดขึ้นในการตอบสนองต่อคำขอของเจ้าของข้อมูล

3.4 การประมวลผลย่อย

1.  
   1. (i) ผู้ส่งออกข้อมูลอนุญาตให้ผู้นำเข้าข้อมูลใช้ผู้รับเหมาช่วงเพื่อให้บริการภายใต้ภาคผนวกนี้ ผู้นำเข้าข้อมูลจะต้องเลือกผู้ประมวลผลข้อมูลอย่างระมัดระวัง ผู้ส่งออกข้อมูลอนุมัติผู้ประมวลผลข้อมูลที่ระบุไว้ในภาคผนวก 1.1 ที่ส่วนท้ายของส่วนที่ 2
   2. (ii) ผู้นำเข้าข้อมูลจะต้องโอนภาระหน้าที่ของตนภายใต้ภาคผนวกนี้ไปยังผู้ประมวลผลข้อมูลในขอบเขตที่บังคับใช้กับบริการที่ทำสัญญาช่วง
   3. (iii) ผู้นำเข้าข้อมูลอาจยกเลิก แทนที่ หรือแต่งตั้งผู้ประมวลผลข้อมูลที่เหมาะสมและเชื่อถือได้ตามดุลยพินิจของตน หากผู้ส่งออกข้อมูลร้องขอเป็นลายลักษณ์อักษร ผู้นำเข้าข้อมูลต้องปฏิบัติตามขั้นตอนที่กำหนดไว้ด้านล่าง:
2.  
   1. ก. ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบก่อนการเปลี่ยนแปลงใดๆ ในรายการผู้ประมวลผลข้อมูลที่อ้างอิงตามข้อ 3.4 (i) ของส่วนที่ 1 หากผู้ส่งออกข้อมูลไม่คัดค้านภายใต้ข้อ 3.4 (b) ของส่วนที่ 1 สามสิบวันหลังจากได้รับแจ้งจากผู้นำเข้าข้อมูล ให้ถือว่าผู้ประมวลผลข้อมูลเพิ่มเติมได้รับการยอมรับ
   2. ข. หากผู้ส่งออกข้อมูลมีเหตุผลที่ถูกต้องในการคัดค้านผู้ประมวลผลข้อมูลเพิ่มเติม จะมีการแจ้งเป็นลายลักษณ์อักษรล่วงหน้าไปยังผู้นำเข้าข้อมูลภายในสามสิบวันหลังจากได้รับแจ้งจากผู้นำเข้าข้อมูล และก่อนที่จะให้บริการของผู้นำเข้าข้อมูล หากผู้ส่งออกข้อมูลคัดค้านการใช้ตัวประมวลผลข้อมูลเพิ่มเติม ผู้นำเข้าข้อมูลอาจล้างการคัดค้านโดยหนึ่งในตัวเลือกต่อไปนี้ (เลือกตามดุลยพินิจของตน): (A) ผู้นำเข้าข้อมูลจะยกเลิกแผนการที่จะใช้ตัวประมวลผลเพิ่มเติมเกี่ยวกับ ข้อมูลส่วนบุคคลของผู้ส่งออกข้อมูล (B) ผู้นำเข้าข้อมูลจะใช้มาตรการแก้ไขที่ร้องขอโดยผู้ส่งออกข้อมูลในการคัดค้าน (ยกเลิกการคัดค้าน) และใช้ตัวประมวลผลเพิ่มเติมเกี่ยวกับข้อมูลส่วนบุคคลของผู้ส่งออกข้อมูล
3.  
   1. (iv) หากผู้ประมวลผลข้อมูลอยู่นอก EU-EEA ในประเทศที่ไม่ได้รับการยอมรับว่ามีการปกป้องข้อมูลในระดับที่เพียงพอตามการตัดสินใจของคณะกรรมาธิการยุโรป ผู้นำเข้าข้อมูลจะใช้มาตรการเพื่อให้สอดคล้องกับระดับที่เพียงพอ ของการปกป้องข้อมูลตาม GDPR (มาตรการดังกล่าวอาจรวมถึง - ท่ามกลางสิ่งอื่น ๆ และ - การใช้สัญญาการประมวลผลข้อมูลตามวรรคของแบบจำลองสหภาพยุโรป การถ่ายโอนไปยังผู้ประมวลผลข้อมูลที่รับรองด้วยตนเองในกรอบงานของการคุ้มครองข้อมูลระหว่างสหภาพยุโรปและสหรัฐอเมริกา หรือโปรแกรมที่คล้ายกัน)

3.5 หมดอายุ

การหมดอายุของภาคผนวกนี้เหมือนกับวันหมดอายุของสัญญาที่เกี่ยวข้อง ยกเว้นจะระบุไว้เป็นอย่างอื่นในภาคผนวกนี้ สิทธิ์และหน้าที่ที่เกี่ยวข้องกับการยกเลิกจะเหมือนกับที่มีอยู่ในสัญญา

4. ข้อจำกัดความรับผิด

4.1 แต่ละฝ่ายจัดการภาระผูกพันภายใต้ภาคผนวกนี้และกฎหมายคุ้มครองข้อมูลที่บังคับใช้

4.2 ความรับผิดใด ๆ ที่เกี่ยวข้องกับการฝ่าฝืนภาระผูกพันภายใต้ภาคผนวกนี้หรือกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องจะต้องอยู่ภายใต้และควบคุมโดยบทบัญญัติความรับผิดที่กำหนดไว้ในหรือบังคับใช้กับสัญญา ยกเว้นที่ระบุไว้เป็นอย่างอื่นในภาคผนวกนี้ หากความรับผิดอยู่ภายใต้ข้อกำหนดความรับผิดที่กำหนดไว้ในหรือบังคับใช้กับสัญญา สำหรับการคำนวณขีดจำกัดความรับผิดหรือการกำหนดการใช้ข้อจำกัดความรับผิดอื่นๆ ความรับผิดใดๆ ที่เกิดขึ้นภายใต้ภาคผนวกนี้จะถือว่าเกิดขึ้นภายใต้สัญญา

5. ข้อกำหนดทั่วไป

5.1 หากมีความไม่สอดคล้องหรือความคลาดเคลื่อนระหว่างส่วนที่ 1 และ 2 ของภาคผนวกนี้ ส่วนที่ 2 จะมีผลเหนือกว่า โดยเฉพาะในกรณีดังกล่าว ส่วนที่ 1 ซึ่งมากกว่าส่วนที่ 2 (เช่น ข้อกำหนดของมาตรามาตรฐาน) โดยไม่ขัดแย้งจะยังคงมีผลใช้บังคับ

5.2 หากเกิดความคลาดเคลื่อนระหว่างบทบัญญัติของภาคผนวกนี้กับสัญญาอื่นๆ ที่มีผลผูกพันคู่สัญญา ภาคผนวกนี้จะมีผลเหนือกว่าเกี่ยวกับภาระผูกพันในการปกป้องข้อมูลของคู่สัญญา ในกรณีที่มีข้อสงสัยว่าข้อกำหนดในสัญญาอื่น ๆ เกี่ยวข้องกับภาระหน้าที่ในการปกป้องข้อมูลของคู่สัญญาหรือไม่ ภาคผนวกนี้จะมีผลเหนือกว่า

5.3 หากบทบัญญัติใดในภาคผนวกนี้ไม่ถูกต้องหรือไม่สามารถบังคับใช้ได้ ส่วนที่เหลือของภาคผนวกนี้จะยังคงมีผลบังคับอย่างสมบูรณ์ บทบัญญัติที่ไม่ถูกต้องหรือไม่สามารถบังคับใช้ได้จะ (i) แก้ไขเพื่อให้มั่นใจว่าถูกต้องและบังคับใช้ได้ ในขณะที่ยังคงรักษาเจตนาของคู่สัญญาไว้เท่าที่เป็นไปได้ หรือ - หากเป็นไปไม่ได้ - (ii) ตีความราวกับว่าส่วนที่ไม่ถูกต้องหรือไม่สามารถบังคับใช้ได้มี ไม่เคยเป็นส่วนหนึ่งของสัญญา สิ่งที่กล่าวมานี้จะใช้บังคับด้วยหากมีการละเว้นในภาคผนวกนี้

5.5 ในขอบเขตที่จำเป็น ภาคีอาจขอให้แก้ไขส่วนที่ 1 ข้อ 3 (การปฏิบัติตามกฎหมายท้องถิ่น) หรือส่วนอื่น ๆ ของภาคผนวกเพื่อให้สอดคล้องกับการตีความคำสั่งหรือคำสั่งที่ออกโดยหน่วยงานผู้มีอำนาจของสหภาพหรือ ประเทศสมาชิก บทบัญญัติการบังคับใช้ระดับชาติ หรือการพัฒนาทางกฎหมายอื่นๆ ที่เกี่ยวข้องกับ GDPR หรือเงื่อนไขอื่นๆ ของการมอบหมายให้กับหน่วยงานใดๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูล และโดยเฉพาะเกี่ยวกับการใช้ข้อสัญญามาตรฐานใน GDPR ข้อกำหนดของ Standard Contractual Clauses ไม่สามารถแก้ไขหรือเปลี่ยนได้ เว้นแต่คณะกรรมาธิการยุโรปจะอนุมัติอย่างชัดแจ้ง (เช่น มาตราใหม่ที่เพียงพอและมาตรฐานการปกป้องข้อมูล)

5.6 การอ้างอิงใด ๆ ในภาคผนวกนี้ถึง " ข้อ " จะต้องเข้าใจเพื่ออ้างถึงข้อกำหนดทั้งหมดของภาคผนวกนี้ เว้นแต่จะระบุไว้เป็นอย่างอื่น

5.7 การเลือกกฎหมายในส่วนที่ 2 ข้อ 9 ใช้กับสัญญาทั้งหมด

6. ข้อมูลส่วนบุคคลที่ส่งและประมวลผลโดยฝ่ายต่างๆ เพื่อวัตถุประสงค์ส่วนบุคคล (โอนจากผู้ควบคุมข้อมูลไปยังผู้ควบคุมข้อมูล)

6.1 คู่สัญญาทราบโดยสมบูรณ์ว่าข้อมูลส่วนบุคคลบางอย่างจะถูกโอนจากผู้ส่งออกข้อมูลไปยังผู้นำเข้าข้อมูล และในทางกลับกัน และข้อมูลดังกล่าวจะได้รับการประมวลผลโดยแต่ละฝ่ายเพื่อวัตถุประสงค์ของตนเอง เกี่ยวกับข้อมูลส่วนบุคคลดังกล่าว จะไม่ส่งผลต่อข้อกำหนดอื่นๆ ในภาคผนวกนี้ (ยกเว้นข้อ 6)

6.2 ผู้ส่งออกข้อมูลอาจถ่ายโอนข้อมูลส่วนบุคคลที่เกี่ยวข้องกับพนักงานของผู้นำเข้าข้อมูลไปยังผู้นำเข้าข้อมูล รวมถึงข้อมูลเกี่ยวกับเหตุการณ์ด้านความปลอดภัย หรือเอกสารหรือไฟล์อื่นใดที่สร้างหรือสร้างโดยผู้ส่งออกข้อมูลที่เกี่ยวข้องกับบริการที่จัดทำโดยเจ้าหน้าที่ของ ตัวนำเข้าข้อมูล ผู้นำเข้าข้อมูลอาจประมวลผลข้อมูลส่วนบุคคลดังกล่าวเพื่อวัตถุประสงค์ของตนเอง โดยเฉพาะอย่างยิ่งในความสัมพันธ์ทางวิชาชีพกับบุคลากรของผู้นำเข้าข้อมูล เพื่อการควบคุมคุณภาพและการฝึกอบรม หรือเพื่อวัตถุประสงค์ทางธุรกิจ

6.3. ผู้นำเข้าข้อมูลอาจถ่ายโอนข้อมูลส่วนบุคคลไปยังผู้ส่งออกข้อมูล ซึ่งรวมถึงชื่อและรายละเอียดการติดต่อของบุคลากรของผู้นำเข้าข้อมูล ผู้ส่งออกข้อมูลอาจประมวลผลข้อมูลส่วนบุคคลดังกล่าวเพื่อวัตถุประสงค์ของตนเอง

6.4 ทั้งสองฝ่ายจะต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้ รวมถึง GDPR ในการรวบรวม ประมวลผล และใช้ข้อมูลส่วนบุคคลที่ได้รับจากอีกฝ่ายหนึ่งภายใต้ข้อ 1 ของส่วนที่ 1 โดยเฉพาะอย่างยิ่ง ทั้งสองฝ่ายต้องใช้มาตรการรักษาความปลอดภัยที่เพียงพอ ระดับการป้องกันที่ใกล้เคียงกันกับมาตรการรักษาความปลอดภัยที่กำหนดไว้ในภาคผนวก 2 ของส่วนที่ 2 การเข้าถึงข้อมูลส่วนบุคคลดังกล่าวจะถูกจำกัดให้จำเป็นต้องทราบ

6.5 ทั้งสองฝ่ายจะต้องลบข้อมูลส่วนบุคคลดังกล่าวโดยเร็วที่สุดหลังจากบรรลุวัตถุประสงค์แล้ว

ตอนที่ 2

การตัดสินใจของคณะกรรมการ

วันที่ 5 กุมภาพันธ์ 2553

ตามข้อสัญญามาตรฐานสำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังผู้ประมวลผลข้อมูลที่จัดตั้งขึ้นในประเทศบุคคลที่สามภายใต้คำสั่ง 95/46 / EC ของรัฐสภายุโรปและสภา

ข้อ 1

คำจำกัดความ

ภายในความหมายของข้อ:

ก) 'ข้อมูลส่วนบุคคล', 'หมวดหมู่พิเศษของข้อมูล', 'การประมวลผล/การประมวลผล', 'ผู้ควบคุม', 'ผู้ประมวลผล', 'เจ้าของข้อมูล' และ 'หน่วยงานกำกับดูแล' จะมีความหมายเดียวกันกับใน 95/46/EC คำสั่งของรัฐสภายุโรปและสภาแห่ง 24 ตุลาคม 2538 ว่าด้วยการปกป้องบุคคลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและการเคลื่อนย้ายข้อมูลดังกล่าวโดยเสรี (1);

ข) 'ผู้ส่งออกข้อมูล' คือผู้ควบคุมข้อมูลในการถ่ายโอนข้อมูลส่วนบุคคล

ค) 'ผู้นำเข้าข้อมูล' เป็นผู้ประมวลผลข้อมูลที่ตกลงที่จะได้รับจากข้อมูลส่วนบุคคลของผู้ส่งออกข้อมูลที่ตั้งใจให้ดำเนินการในนามของผู้ส่งออกข้อมูลหลังจากการถ่ายโอนตามคำแนะนำและภายใต้เงื่อนไขของข้อเหล่านี้และผู้ที่ไม่ ภายใต้กลไกของประเทศที่สามเพื่อให้มั่นใจว่าได้รับการคุ้มครองที่เพียงพอตามความหมายของมาตรา 25(1) ของ Directive 95/46/EC (d) 'ผู้ประมวลผลข้อมูล' หมายถึงผู้ประมวลผลข้อมูลที่มีส่วนร่วมโดยผู้นำเข้าข้อมูลหรือโดยผู้ประมวลผลข้อมูลอื่น ๆ ของผู้นำเข้าข้อมูลซึ่งตกลงที่จะได้รับจากผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลอื่น ๆ ของข้อมูลส่วนบุคคลของผู้นำเข้าข้อมูลโดยเฉพาะสำหรับกิจกรรมการประมวลผลเพื่อ ดำเนินการในนามของผู้ส่งออกข้อมูลหลังจากโอนตามคำแนะนำของผู้ส่งออกข้อมูล

จ) "กฎหมายคุ้มครองข้อมูลที่บังคับใช้" หมายถึงกฎหมายที่คุ้มครองสิทธิและเสรีภาพขั้นพื้นฐานของบุคคล รวมถึงสิทธิในความเป็นส่วนตัวเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล และนำไปใช้กับผู้ควบคุมในประเทศสมาชิกที่จัดตั้งผู้ส่งออกข้อมูล

ฉ) “มาตรการทางเทคนิคและองค์กรที่เกี่ยวข้องกับความปลอดภัย หมายถึง มาตรการที่มุ่งหมายเพื่อปกป้องข้อมูลส่วนบุคคลจากการทำลายโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย หรือการสูญหายโดยไม่ได้ตั้งใจ การเปลี่ยนแปลง การเปิดเผยหรือการเข้าถึงโดยไม่ได้รับอนุญาต โดยเฉพาะอย่างยิ่ง เมื่อการประมวลผลเกี่ยวข้องกับการส่งข้อมูลผ่านเครือข่าย และต่อต้าน การประมวลผลรูปแบบอื่นๆ ที่ผิดกฎหมายทั้งหมด

ข้อ 2

รายละเอียดการโอนเงิน

รายละเอียดของการถ่ายโอน รวมถึงข้อมูลส่วนบุคคลประเภทพิเศษตามความเหมาะสม ระบุไว้ในภาคผนวก 1 ซึ่งเป็นส่วนสำคัญของข้อเหล่านี้

ข้อ 3

มาตราผู้รับผลประโยชน์บุคคลที่สาม

1. เจ้าของข้อมูลอาจบังคับใช้กับผู้ส่งออกข้อมูลในข้อนี้ ข้อ 4(b) ถึง (i) ข้อ 5(a) ถึง (e) และ (g) ถึง (j) ข้อ 6 (1) และ (2 ) ข้อ 7 ข้อ 8(2) และข้อ 9 ถึง 12 ในฐานะผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม

2. เจ้าของข้อมูลอาจบังคับใช้ข้อกำหนดนี้ ข้อ 5 (a) ถึง (e) และ (g) ข้อ 6 ข้อ 7 ข้อ 8 (2) และข้อ 9 ถึง 12 กับผู้นำเข้าข้อมูลซึ่งผู้ส่งออกข้อมูลมีอยู่จริง หายตัวไปหรือไม่มีอยู่ในกฎหมาย เว้นแต่ภาระผูกพันทางกฎหมายทั้งหมดของเขาจะถูกโอนโดยสัญญาหรือโดยการดำเนินการของกฎหมาย ไปยังหน่วยงานที่รับช่วงต่อ ซึ่งสิทธิ์และภาระหน้าที่ของผู้ส่งออกข้อมูลจึงเปลี่ยนกลับ และขัดต่อข้อมูลที่ข้อมูล เรื่องจึงสามารถบังคับใช้ข้อดังกล่าวได้

เจ้าของข้อมูลอาจบังคับใช้ข้อกำหนดนี้ ข้อ 5 (a) ถึง (e) และ (g) ข้อ 6 ข้อ 7 ข้อ 8 (2) และข้อ 9 ถึง 12 กับผู้ประมวลผลข้อมูล แต่เฉพาะในกรณีที่ข้อมูล ผู้ส่งออกและผู้นำเข้าข้อมูลได้หายตัวไปทางกายภาพ หยุดอยู่ในกฎหมายหรือล้มละลาย เว้นแต่ภาระผูกพันทางกฎหมายทั้งหมดของผู้ส่งออกข้อมูลได้รับการถ่ายโอนโดยสัญญาหรือโดยการดำเนินการตามกฎหมาย ไปยังผู้สืบทอดทางกฎหมายซึ่งได้รับสิทธิ์และ ภาระหน้าที่ของผู้ส่งออกข้อมูลจึงตกเป็นกรรมสิทธิ์ และผู้ที่เป็นเจ้าของข้อมูลอาจบังคับใช้ข้อกำหนดดังกล่าวได้ ความรับผิดของผู้ประมวลผลข้อมูลดังกล่าวจะต้องจำกัดเฉพาะกิจกรรมการประมวลผลของตนเองภายใต้ข้อเหล่านี้

4. คู่สัญญาไม่คัดค้านเจ้าของข้อมูลที่แสดงโดยสมาคมหรือหน่วยงานอื่น ๆ หากเขาหรือเธอต้องการและหากกฎหมายในประเทศอนุญาต

ข้อ 4

ภาระหน้าที่ของผู้ส่งออกข้อมูล

ผู้ส่งออกข้อมูลยอมรับและรับประกันสิ่งต่อไปนี้:

ก) การประมวลผลรวมถึงการถ่ายโอนข้อมูลส่วนบุคคลที่แท้จริงได้รับและจะยังคงดำเนินการตามบทบัญญัติที่เกี่ยวข้องของกฎหมายคุ้มครองข้อมูลที่บังคับใช้ (และหากมีการแจ้งไปยังหน่วยงานที่มีอำนาจของรัฐสมาชิก ซึ่งผู้ส่งออกข้อมูลตั้งอยู่) และไม่ละเมิดข้อกำหนดที่เกี่ยวข้องของรัฐนั้น

ข) พวกเขาได้แนะนำ และจะสั่งให้ผู้นำเข้าข้อมูลประมวลผลข้อมูลส่วนบุคคลที่ถ่ายโอนในนามของผู้ส่งออกข้อมูลเพียงผู้เดียวตลอดระยะเวลาของบริการประมวลผลข้อมูลส่วนบุคคล และเป็นไปตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้และข้อเหล่านี้

c) ผู้นำเข้าข้อมูลจะจัดให้มีการป้องกันที่เพียงพอเกี่ยวกับมาตรการทางเทคนิคและความปลอดภัยขององค์กรที่ระบุไว้ในภาคผนวก 2 ของสัญญาปัจจุบัน

d) หลังจากประเมินข้อกำหนดของกฎหมายคุ้มครองข้อมูลที่บังคับใช้แล้ว มาตรการรักษาความปลอดภัยก็เพียงพอที่จะปกป้องข้อมูลส่วนบุคคลจากการทำลายโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย หรือการสูญเสียโดยไม่ได้ตั้งใจ การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึง โดยเฉพาะอย่างยิ่งในกรณีที่การประมวลผลเกี่ยวข้องกับการส่งข้อมูล ผ่านเครือข่าย และต่อต้านรูปแบบการประมวลผลที่ผิดกฎหมายอื่น ๆ ทั้งหมด และรับรองระดับความปลอดภัยที่เหมาะสมกับความเสี่ยงที่แสดงโดยการประมวลผลและลักษณะของข้อมูลที่จะได้รับการป้องกัน โดยคำนึงถึงระดับของเทคโนโลยีและค่าใช้จ่ายในการดำเนินการ

จ) พวกเขาจะรับรองการปฏิบัติตามมาตรการรักษาความปลอดภัย

ฉ) หากการถ่ายโอนเกี่ยวข้องกับข้อมูลประเภทพิเศษ เจ้าของข้อมูลได้รับแจ้งหรือจะได้รับแจ้งก่อนการถ่ายโอนหรือโดยเร็วที่สุดหลังจากการถ่ายโอนข้อมูลของตนอาจถูกถ่ายโอนไปยังประเทศที่สามที่ไม่ได้เสนอ ระดับการป้องกันที่เพียงพอตามความหมายของ Directive 95/46/EC

g) พวกเขาจะส่งต่อการแจ้งเตือนใด ๆ ที่ได้รับจากผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลใด ๆ ภายใต้ข้อ 5 (b) และ 8 (3) ไปยังหน่วยงานกำกับดูแลด้านการปกป้องข้อมูล หากตัดสินใจที่จะถ่ายโอนต่อหรือยกเลิกการระงับ;

h) พวกเขาจะต้องจัดให้มีสำเนาของข้อกำหนดเหล่านี้หากมีการร้องขอสำหรับเจ้าของข้อมูลยกเว้นภาคผนวก 2 และคำอธิบายโดยสรุปของมาตรการรักษาความปลอดภัยและสำเนาของข้อตกลงการรับเหมาช่วงเพิ่มเติมใด ๆ ที่สรุปภายใต้ข้อกำหนดเหล่านี้เว้นแต่ ข้อหรือข้อตกลงมีข้อมูลทางการค้าซึ่งในกรณีนี้เขาอาจถอนข้อมูลดังกล่าว

i) ในกรณีของการจ้างช่วงกระบวนการประมวลผลข้อมูล กิจกรรมการประมวลผลจะดำเนินการตามข้อ 11 โดยผู้ประมวลผลข้อมูลที่ให้การคุ้มครองข้อมูลส่วนบุคคลและสิทธิของเจ้าของข้อมูลอย่างน้อยในระดับเดียวกับผู้นำเข้าข้อมูลภายใต้ข้อกำหนดเหล่านี้ ; และ

j) จะรับรองการปฏิบัติตามข้อ 4 (a) ถึง (i)

ข้อ 5

ภาระหน้าที่ของผู้นำเข้าข้อมูล

ผู้นำเข้าข้อมูลยอมรับและรับประกันสิ่งต่อไปนี้:

ก) พวกเขาจะประมวลผลข้อมูลส่วนบุคคลในนามของผู้ส่งออกข้อมูลเท่านั้นและภายใต้คำแนะนำของผู้ส่งออกข้อมูลและข้อเหล่านี้ หากไม่สามารถปฏิบัติตามได้ไม่ว่าด้วยเหตุผลใดๆ พวกเขาตกลงที่จะแจ้งให้ผู้ส่งออกข้อมูลทราบถึงความไม่สามารถใช้งานได้โดยเร็วที่สุด ซึ่งในกรณีนี้ ผู้ส่งออกข้อมูลอาจระงับการถ่ายโอนข้อมูลและ/หรือสิ้นสุดสัญญา

ข) พวกเขาไม่มีเหตุผลที่จะเชื่อได้ว่ากฎหมายที่ใช้บังคับกับพวกเขาป้องกันไม่ให้เขาปฏิบัติตามคำแนะนำที่ได้รับจากผู้ส่งออกข้อมูลและภาระหน้าที่ที่อยู่ภายใต้สัญญาและหากกฎหมายดังกล่าวอาจมีการเปลี่ยนแปลงซึ่งอาจมีผลเสียอย่างมีนัยสำคัญ ผลกระทบต่อการรับประกันและภาระผูกพันภายใต้เงื่อนไข เขาต้องแจ้งให้ผู้ส่งออกข้อมูลทราบถึงการเปลี่ยนแปลงโดยไม่ชักช้าหลังจากทราบถึงการเปลี่ยนแปลง ในกรณีนี้ ผู้ส่งออกข้อมูลอาจระงับการถ่ายโอนข้อมูลและ/หรือสิ้นสุดสัญญา (c) พวกเขาได้ใช้มาตรการทางเทคนิคและความปลอดภัยขององค์กรที่ระบุไว้ในภาคผนวก 2 ก่อนประมวลผลข้อมูลส่วนบุคคลที่ถ่ายโอน

ง) พวกเขาจะแจ้งให้ผู้ส่งออกข้อมูลทราบโดยไม่ชักช้า:

i) คำขอที่มีผลผูกพันใด ๆ สำหรับการเปิดเผยข้อมูลส่วนบุคคลจากหน่วยงานบังคับใช้กฎหมาย เว้นแต่จะระบุไว้เป็นอย่างอื่น เช่น การห้ามทางอาญาที่มุ่งรักษาความลับของการสอบสวนของตำรวจ

ii) การเข้าถึงโดยบังเอิญหรือไม่ได้รับอนุญาต; และ

iii) คำขอใด ๆ ที่ได้รับโดยตรงจากบุคคลที่เกี่ยวข้องโดยไม่ตอบกลับเว้นแต่เขาจะได้รับอนุญาตให้ทำเช่นนั้น ผู้ดูแลระบบ

จ) พวกเขาจะจัดการกับคำถามทั้งหมดจากผู้ส่งออกข้อมูลโดยทันทีและถูกต้องเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลที่จะถูกถ่ายโอน และจะดำเนินการภายใต้ความเห็นของหน่วยงานกำกับดูแลเกี่ยวกับการประมวลผลข้อมูลที่ถ่ายโอน

ฉ) ตามคำร้องขอของผู้ส่งออกข้อมูล พวกเขาจะให้สิ่งอำนวยความสะดวกในการประมวลผลข้อมูลตรวจสอบกิจกรรมการประมวลผลที่ครอบคลุมโดยข้อเหล่านี้เพื่อดำเนินการโดยผู้ส่งออกข้อมูลหรือหน่วยงานกำกับดูแลซึ่งประกอบด้วยสมาชิกอิสระที่มีคุณสมบัติทางวิชาชีพที่จำเป็น ภายใต้ภาระหน้าที่ในการรักษาความลับและเลือกโดยผู้ส่งออกข้อมูล ตามความเหมาะสมกับข้อตกลงของหน่วยงานกำกับดูแล

g) ข้อมูลเหล่านี้จะเปิดเผยต่อเจ้าของข้อมูล ถ้าเขาร้องขอ สำเนาของข้อกำหนดเหล่านี้ หรือการทำสัญญาช่วงใดๆ ที่มีอยู่ของสัญญาการประมวลผลข้อมูล เว้นแต่ข้อกำหนดหรือสัญญาจะมีข้อมูลทางการค้า ซึ่งในกรณีนี้อาจลบข้อมูลดังกล่าว ข้อมูล ยกเว้นภาคผนวก 2 ซึ่งจะถูกแทนที่ด้วยคำอธิบายโดยสรุปของมาตรการความปลอดภัย ซึ่งเจ้าของข้อมูลไม่สามารถรับสำเนาจากผู้ส่งออกข้อมูล

h) ในกรณีของการจ้างช่วงการประมวลผลข้อมูลที่เป็นความลับต่อไป เขาจะตรวจสอบให้แน่ใจว่าได้แจ้งให้ผู้ส่งออกข้อมูลทราบล่วงหน้าและได้รับความยินยอมเป็นลายลักษณ์อักษรจากผู้ส่งออกข้อมูล

i) บริการประมวลผลที่จัดเตรียมโดยผู้ประมวลผลข้อมูลจะต้องปฏิบัติตามข้อ 11

ญ) พวกเขาจะส่งสำเนาของการทำสัญญาช่วงใดๆ ของข้อตกลงการประมวลผลข้อมูลที่ทำขึ้นโดยข้อตกลงภายใต้ข้อกำหนดเหล่านี้ไปยังผู้ส่งออกข้อมูลโดยทันที

ข้อ 6

ความรับผิดชอบ

1. คู่สัญญาตกลงว่าเจ้าของข้อมูลที่ได้รับความเสียหายอันเนื่องมาจากการละเมิดภาระหน้าที่ที่อ้างถึงในข้อ 3 หรือข้อ 11 โดยฝ่ายหนึ่งหรือโดยผู้ประมวลผลข้อมูลอาจได้รับค่าชดเชยจากผู้ส่งออกข้อมูลสำหรับความเสียหายที่ได้รับ

2. หากเจ้าของข้อมูลถูกป้องกันไม่ให้ดำเนินการฟ้องร้องเรียกค่าเสียหายตามที่อ้างถึงในวรรค 1 กับผู้ส่งออกข้อมูลสำหรับความล้มเหลวโดยผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลในการปฏิบัติตามภาระผูกพันใด ๆ ภายใต้ข้อ 3 หรือข้อ 11 เนื่องจากข้อมูล ผู้ส่งออกหายตัวไปทางกายภาพ หยุดอยู่ในกฎหมายหรือล้มละลาย ผู้นำเข้าข้อมูลตกลงว่าเจ้าของข้อมูลอาจยื่นเรื่องร้องเรียนราวกับว่าเป็นผู้ส่งออกข้อมูล เว้นแต่จะมีการโอนภาระผูกพันทางกฎหมายทั้งหมดของผู้ส่งออกข้อมูลตามสัญญา หรือโดยการดำเนินการของกฎหมาย ต่อหน่วยงานที่สืบทอด ซึ่งเจ้าของข้อมูลอาจบังคับใช้สิทธิ์ของเขา ผู้นำเข้าข้อมูลต้องไม่พึ่งพาการละเมิดหน้าที่โดยผู้ประมวลผลข้อมูลเพื่อหลีกเลี่ยงความรับผิดของตนเอง

3. หากเจ้าของข้อมูลถูกป้องกันไม่ให้ดำเนินการตามวรรค 1 และ 2 กับผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลสำหรับการละเมิดโดยผู้ประมวลผลข้อมูลของภาระผูกพันตามข้อ 3 หรือข้อ 11 เนื่องจากผู้ส่งออกข้อมูลและผู้นำเข้าข้อมูล หายตัวไปทางกายภาพ หยุดอยู่ในกฎหมายหรือล้มละลาย ผู้ประมวลผลข้อมูลตกลงว่าเจ้าของข้อมูลอาจยื่นคำร้องเกี่ยวกับกิจกรรมการประมวลผลของตนเองตามวรรคเหล่านี้ราวกับว่าเป็นผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูล เว้นแต่ทั้งหมด ภาระผูกพันทางกฎหมายของผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลได้รับการโอนโดยสัญญาหรือโดยการดำเนินการตามกฎหมาย ไปยังผู้สืบทอดทางกฎหมาย ซึ่งเจ้าของข้อมูลอาจยืนยันสิทธิ์ของตนความรับผิดของผู้ประมวลผลข้อมูลจะต้องจำกัดเฉพาะกิจกรรมการประมวลผลของตนเองตามข้อกำหนดเหล่านี้

ข้อ 7

การไกล่เกลี่ยและเขตอำนาจศาล

1. ผู้นำเข้าข้อมูลตกลงว่าหากอยู่ภายใต้ข้อบังคับ เจ้าของข้อมูลเรียกร้องสิทธิ์ของบุคคลที่สามผู้รับผลประโยชน์และ/หรือเรียกร้องค่าชดเชยสำหรับอคติที่ได้รับ เขาจะยอมรับการตัดสินใจของเจ้าของข้อมูล:

ก) ยื่นข้อพิพาทเพื่อไกล่เกลี่ยโดยบุคคลอิสระหรือหน่วยงานกำกับดูแลตามความเหมาะสม

ข) นำข้อพิพาทไปสู่ศาลของประเทศสมาชิกที่ผู้ส่งออกข้อมูลตั้งอยู่

2. คู่สัญญาตกลงว่าการเลือกที่ทำโดยเจ้าของข้อมูลจะไม่ส่งผลกระทบต่อสิทธิ์ในกระบวนการหรือสาระสำคัญของเจ้าของข้อมูลในการได้รับการชดใช้ตามบทบัญญัติอื่น ๆ ของกฎหมายในประเทศหรือกฎหมายระหว่างประเทศ

ข้อ 8

ความร่วมมือกับหน่วยงานกำกับดูแล

1. ผู้ส่งออกข้อมูลตกลงที่จะฝากสำเนาของสัญญาปัจจุบันกับหน่วยงานกำกับดูแลหากต้องการหรือหากการฝากดังกล่าวจัดทำขึ้นโดยกฎหมายคุ้มครองข้อมูลที่บังคับใช้

2. คู่สัญญาตกลงว่าหน่วยงานกำกับดูแลอาจดำเนินการตรวจสอบที่ผู้นำเข้าข้อมูลและผู้ประมวลผลข้อมูลใด ๆ ในขอบเขตเดียวกันและภายใต้เงื่อนไขเดียวกันกับการตรวจสอบที่ดำเนินการที่ผู้ส่งออกข้อมูลตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้

3. ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบโดยเร็วที่สุดว่ามีกฎหมายเกี่ยวกับผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลใด ๆ ที่ขัดขวางการตรวจสอบที่ผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลใด ๆ ตามวรรค 2 ในกรณีดังกล่าว ผู้ส่งออกข้อมูลอาจใช้มาตรการที่กำหนดไว้ในข้อ 5 (ข)

ข้อ 9

กฎหมายที่ใช้บังคับ

ข้อกำหนดนี้มีผลบังคับใช้และอยู่ภายใต้กฎหมายของประเทศสมาชิกที่ผู้ส่งออกข้อมูลตั้งอยู่

ข้อ 10

การแก้ไขสัญญา

คู่สัญญาทั้งสองฝ่ายจะไม่แก้ไขข้อกำหนดปัจจุบัน คู่สัญญายังคงมีอิสระที่จะรวมประโยคทางการค้าอื่น ๆ ที่พวกเขาเห็นว่าจำเป็น โดยมีเงื่อนไขว่าต้องไม่ขัดแย้งกับวรรคปัจจุบัน

ข้อ 11

การรับเหมาช่วงต่อมา

1. ผู้นำเข้าข้อมูลจะไม่ทำสัญญาช่วงกิจกรรมการประมวลผลใด ๆ ที่ดำเนินการในนามของผู้ส่งออกข้อมูลภายใต้ข้อเหล่านี้โดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าจากผู้ส่งออกข้อมูล ผู้นำเข้าข้อมูลจะทำสัญญาช่วงภาระผูกพันของตนภายใต้เงื่อนไขเหล่านี้ ด้วยความยินยอมของผู้ส่งออกข้อมูล ผ่านข้อตกลงเป็นลายลักษณ์อักษรกับผู้ประมวลผลข้อมูลที่กำหนดภาระหน้าที่เดียวกันกับผู้ประมวลผลข้อมูลตามที่กำหนดไว้กับผู้นำเข้าข้อมูลภายใต้ข้อกำหนดเหล่านี้ หากผู้ประมวลผลข้อมูลไม่สามารถปฏิบัติตามภาระหน้าที่ในการปกป้องข้อมูลภายใต้ข้อตกลงที่เป็นลายลักษณ์อักษรนั้น ผู้นำเข้าข้อมูลจะยังคงรับผิดชอบอย่างเต็มที่ต่อผู้ส่งออกข้อมูลสำหรับการปฏิบัติตามภาระผูกพันเหล่านั้น

2. ข้อตกลงเป็นลายลักษณ์อักษรล่วงหน้าระหว่างผู้นำเข้าข้อมูลและผู้ประมวลผลข้อมูลจะรวมถึงประโยคผู้รับผลประโยชน์บุคคลที่สามตามที่กำหนดไว้ในข้อ 3 สำหรับกรณีที่เจ้าของข้อมูลไม่สามารถเรียกร้องค่าเสียหายที่อ้างถึงในข้อ 6 (1 ) ต่อผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลเนื่องจากผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลได้สูญหายไป หยุดอยู่ในกฎหมายหรือล้มละลาย และภาระผูกพันทางกฎหมายทั้งหมดของผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลยังไม่ได้รับการถ่ายโอน โดยสัญญาหรือโดยการดำเนินการ ของกฎหมายไปยังหน่วยงานที่สืบทอดอื่น ความรับผิดของผู้ประมวลผลข้อมูลจะต้องจำกัดเฉพาะกิจกรรมการประมวลผลของตนเองตามข้อกำหนดเหล่านี้

3. ข้อกำหนดเกี่ยวกับด้านการปกป้องข้อมูลของการทำสัญญาช่วงการประมวลผลข้อมูลของสัญญาที่อ้างถึงในวรรค 1 ให้อยู่ภายใต้กฎหมายของประเทศสมาชิกที่ผู้ส่งออกข้อมูลจัดตั้งขึ้น

4. ผู้ส่งออกข้อมูลจะเก็บรายชื่อของการทำสัญญาช่วงของข้อตกลงการประมวลผลข้อมูลที่ได้ข้อสรุปภายใต้เงื่อนไขเหล่านี้และแจ้งโดยผู้นำเข้าข้อมูลตามข้อ 5 (j) ซึ่งจะได้รับการปรับปรุงอย่างน้อยปีละครั้ง รายการนี้จะต้องเปิดเผยต่อหน่วยงานกำกับดูแลการปกป้องข้อมูลของผู้ส่งออกข้อมูล

ข้อ 12

ภาระผูกพันหลังจากสิ้นสุดบริการประมวลผลข้อมูลส่วนบุคคล

1. คู่สัญญาตกลงว่าเมื่อเสร็จสิ้นบริการประมวลผลข้อมูล ผู้นำเข้าข้อมูลและผู้ประมวลผลข้อมูลจะส่งคืนข้อมูลส่วนบุคคลทั้งหมดที่ถ่ายโอนและคัดลอกไปยังผู้ส่งออกข้อมูลตามความสะดวกของผู้ส่งออกข้อมูล หรือทำลายข้อมูลดังกล่าวทั้งหมดและแสดงหลักฐาน การทำลายข้อมูลแก่ผู้ส่งออกข้อมูล เว้นแต่กฎหมายกำหนดไว้สำหรับผู้นำเข้าข้อมูลจะป้องกันไม่ให้ส่งคืนหรือทำลายข้อมูลส่วนบุคคลทั้งหมดหรือบางส่วนที่ถ่ายโอน ในกรณีดังกล่าว ผู้นำเข้าข้อมูลรับประกันว่าจะรักษาความลับของข้อมูลส่วนบุคคลที่ถ่ายโอนและจะไม่ประมวลผลข้อมูลในเชิงรุกอีกต่อไป

2. ผู้นำเข้าข้อมูลและผู้ประมวลผลข้อมูลจะต้องตรวจสอบให้แน่ใจว่าหากมีการร้องขอโดยผู้ส่งออกข้อมูลและ/หรือหน่วยงานกำกับดูแล พวกเขาจะใช้วิธีการประมวลผลข้อมูลเพื่อตรวจสอบมาตรการที่อ้างถึงในวรรค 1

ภาคผนวก 1.1 ถึงส่วนที่ 2

รายละเอียดการโอนเงิน

ผู้ส่งออกข้อมูล

ผู้ส่งออกข้อมูลคือลูกค้าที่กำหนดไว้ในข้อตกลงตามสัญญา

ตัวนำเข้าข้อมูล

ผู้นำเข้าข้อมูลคือ IQUALIF และได้รับมอบหมายให้ประมวลผลข้อมูล โดยให้บริการแก่ผู้ส่งออกข้อมูล

หัวเรื่องของข้อมูล

ข้อมูลส่วนบุคคลที่ถ่ายโอนเกี่ยวข้องกับหมวดหมู่ต่อไปนี้ของเจ้าของข้อมูล:

˜' สมาชิกโทรศัพท์ที่ระบุไว้ในไดเร็กทอรีสากล

˜ อื่น ๆ รวมถึง:

หมวดหมู่ของข้อมูล

ข้อมูลส่วนบุคคลที่ถ่ายโอนเกี่ยวข้องกับข้อมูลประเภทต่อไปนี้:

หมวดหมู่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลของผู้ส่งออกข้อมูลโดยเฉพาะ

˜ชื่อเต็ม

˜ที่อยู่ไปรษณีย์

˜' รายละเอียดการติดต่อ (อีเมล, โทรศัพท์, ที่อยู่ IP, ฯลฯ )

˜' รายละเอียดกิจกรรมทางการตลาดเกี่ยวกับผู้ใช้บริการโทรศัพท์

• อื่นๆ รวมทั้งประเภทที่อยู่อาศัย รายได้ และอายุเฉลี่ยตามเมืองที่ทำโดยไม่ระบุชื่อ

หมวดหมู่ข้อมูลพิเศษ (ถ้ามี)

ข้อมูลส่วนบุคคลที่ถ่ายโอนเกี่ยวข้องกับข้อมูลประเภทพิเศษดังต่อไปนี้:

˜' การถ่ายโอนข้อมูลประเภทพิเศษไม่ได้คาดการณ์ไว้

˜ เชื้อชาติหรือชาติพันธุ์

˜ ความเชื่อทางศาสนาหรือปรัชญา

˜ สมาชิกสหภาพแรงงาน

˜ มุมมองทางการเมือง

˜ ข้อมูลทางพันธุกรรม

˜ข้อมูลไบโอเมตริกซ์

˜ ข้อมูลเกี่ยวกับรสนิยมทางเพศหรือชีวิตทางเพศ

˜ ข้อมูลสุขภาพ

กิจกรรมแปรรูป

ข้อมูลส่วนบุคคลที่ถ่ายโอนจะอยู่ภายใต้กิจกรรมการประมวลผลพื้นฐานต่อไปนี้:

•  
  • วัตถุประสงค์ของการประมวลผล

การประมวลผลที่ดำเนินการในนามของผู้ส่งออกข้อมูลจะขึ้นอยู่กับหัวข้อต่อไปนี้ โดยเฉพาะ:

˜' รับผิดชอบผลิตภัณฑ์หรือบริการที่นำเสนอโดยผู้ส่งออกข้อมูล

˜' ข้อเสนอของผลิตภัณฑ์หรือบริการที่ผู้ถูกเรียกสามารถร้องขอได้

˜' คำสั่งที่นำมาจากบุคคลที่เรียกและดำเนินการต่อไปของคำสั่งเหล่านี้

˜' ศึกษาแบบสอบถามและการวิเคราะห์

˜' การตลาดทางโทรศัพท์

˜ อื่น ๆ รวมถึง:

•  
  • ¢ ลักษณะและวัตถุประสงค์ของการประมวลผล

ผู้นำเข้าข้อมูลจะประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลในนามของผู้ส่งออกข้อมูล เพื่อให้บริการดังต่อไปนี้ และที่สะดุดตาที่สุด:

˜' การขายและการตลาด

˜' อื่น ๆ รวมถึงการอัพเดทฐานข้อมูลของศาลากลางและพรรคการเมือง

•  
  • • การให้บริการและการว่าจ้างผู้ให้บริการ

IQUALIF ส่วนใหญ่จะรวม รวบรวม และให้บริการแก่ผู้ส่งออกข้อมูล บริการที่ให้บริการโดยผู้ให้บริการที่ระบุชื่ออาจมีโครงสร้าง (นอกเหนือจากอื่น ๆ ตามความเหมาะสม) รอบ ๆ บริการเสริมต่อไปนี้: (i) การจัดหาแอปพลิเคชัน เครื่องมือ ระบบ และโครงสร้างพื้นฐานด้านไอทีที่เกี่ยวข้องกับศูนย์ประมวลผลข้อมูลที่ใช้เพื่อให้ และสนับสนุนบริการ รวมถึงการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลตามที่อธิบายไว้ข้างต้น ผ่านแอปพลิเคชัน เครื่องมือ และระบบดังกล่าว (ii) การจัดหาการสนับสนุนด้านไอที การบำรุงรักษา และบริการอื่นๆ ที่เกี่ยวข้องกับแอปพลิเคชัน เครื่องมือ ระบบดังกล่าว และโครงสร้างพื้นฐานด้านไอที รวมถึงการเข้าถึงข้อมูลส่วนบุคคลที่เก็บไว้ในแอปพลิเคชัน เครื่องมือ และระบบดังกล่าว และ (iii) การจัดหาบริการปกป้องข้อมูล การตรวจสอบการป้องกัน และบริการตอบสนองต่อเหตุการณ์ รวมถึงการเข้าถึงข้อมูลส่วนบุคคลที่อาจเกิดขึ้นเมื่อให้บริการป้องกันดังกล่าว IQUALIF อาจว่าจ้างผู้ประมวลผลข้อมูลตามที่กำหนดไว้ด้านล่างเพื่อให้บริการ ซึ่งรวมถึงบริการเสริม

•  
  • ¢ผู้ให้บริการภายนอกภายนอกเป็นหน่วยงานย่อยที่กำหนดให้กับการประมวลผลข้อมูล

IQUALIF ว่าจ้างผู้ให้บริการภายนอกและบุคคลที่สาม ซึ่งไม่ใช่บริษัทในเครือของ IQUALIF เพื่อสนับสนุนการให้บริการแก่ผู้ส่งออกข้อมูล ผู้ส่งออกข้อมูลอนุมัติผู้ให้บริการบุคคลที่สามภายนอกดังกล่าวเป็นหน่วยงานย่อยที่กำหนดให้กับการประมวลผลข้อมูล

หากหน่วยงานย่อยที่เกี่ยวข้องกับการประมวลผลข้อมูลตั้งอยู่นอก EU/EEA ในประเทศที่ถือว่าไม่มีระดับการปกป้องข้อมูลที่เพียงพอภายใต้การตัดสินใจของคณะกรรมาธิการยุโรป ผู้นำเข้าข้อมูลจะดำเนินการเพื่อให้ได้ระดับที่เพียงพอ การปกป้องข้อมูลตาม GDPR และมาตรา 3.4 (iv) ของส่วนที่ 1

ภาคผนวก 2 ตอนที่ 2

มาตรการป้องกันทางเทคนิคและองค์กร

ผู้นำเข้าข้อมูลจะใช้มาตรการทางเทคนิคและการป้องกันเชิงองค์กรที่ได้รับการยืนยันโดยผู้ส่งออกข้อมูล เพื่อรับประกันระดับความปลอดภัยที่เหมาะสมสำหรับสิทธิ์และเสรีภาพของบุคคล ทั้งนี้ขึ้นอยู่กับความเสี่ยง ในการประเมินระดับการป้องกันที่เกี่ยวข้อง ผู้ส่งออกข้อมูลได้พิจารณาโดยเฉพาะความเสี่ยงที่เกี่ยวข้องกับการประมวลผล ซึ่งรวมถึงการทำลายโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลส่วนบุคคลที่ส่ง จัดเก็บ หรือประมวลผล โดยการชี้แจง: มาตรการทางเทคนิคและการป้องกันองค์กรเหล่านี้ใช้ไม่ได้กับแอปพลิเคชัน เครื่องมือ ระบบ และ/หรือโครงสร้างพื้นฐานด้านไอทีที่ Data Exporter จัดหาให้

ตอนที่ 3

ลายเซ็นของคู่สัญญาและรายชื่อผู้นำเข้าข้อมูล

เมื่อคุณกรอกแบบฟอร์มการสั่งซื้อออนไลน์และตรวจสอบโดยทำเครื่องหมายในช่องยอมรับข้อกำหนดและเงื่อนไขการใช้งานทั่วไป สัญญาที่ควบคุมความสัมพันธ์ระหว่างลูกค้าและ IQUALIF จะถูกสร้างขึ้น

การส่งเงินให้ IQUALIF จะพิจารณาสัญญาที่ตกลงและจัดตั้งขึ้น

จดบันทึก: ข้อความนี้ได้รับการแปลจากภาษาฝรั่งเศส เวอร์ชันภาษาฝรั่งเศสดั้งเดิมซึ่งมีผลใช้บังคับและถูกกฎหมาย มีให้ที่นี่