ภาคผนวกการประมวลผลข้อมูล

ข้อกำหนดการประมวลผลข้อมูล

1. คำจำกัดความ ข้อกำหนดที่เป็นตัวเอียงหนาที่ขีดเส้นใต้ทั้งหมด ที่ใช้แต่ไม่ได้กำหนดไว้เป็นอย่างอื่นในที่นี้จะมีความหมายที่กำหนดไว้ในข้อที่ 1 (คำจำกัดความ) นี้หรือในข้อตกลง

   
   (ก) “กฎหมายคุ้มครองข้อมูล” ตามที่เกี่ยวข้อง หมายถึง (i) ข้อบังคับ (EU) 2016/679 ลงวันที่ 27 เมษายน 2559 ว่าด้วยการคุ้มครองบุคคลธรรมดาที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลและการเคลื่อนย้ายข้อมูลดังกล่าวอย่างเสรี(“EU GDPR”); (ii) EU GDPR ซึ่งรวมอยู่ในกฎหมายของสหราชอาณาจักรภายใต้พระราชบัญญัติสหภาพยุโรป (การถอนตัว) ของสหราชอาณาจักรปี 2018 และกฎหมายที่บังคับใช้ภายใต้พระราชบัญญัติดังกล่าว (“UK GDPR”); (iii) พระราชบัญญัติรัฐบาลกลางว่าด้วยการคุ้มครองข้อมูลลงวันที่ 19 มิถุนายน 1992 (สวิตเซอร์แลนด์) (“Swiss FADP”); และ/หรือ (iv) กฎหมายประจำรัฐของสหรัฐอเมริกาที่ควบคุมการประมวลผลข้อมูลส่วนบุคคล รวมถึงกฎหมายความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนียปี 2018 (“CCPA”) ซึ่งแก้ไขเพิ่มเติมโดยกฎหมายสิทธิความเป็นส่วนตัวของรัฐแคลิฟอร์เนียปี 2020 (“CPRA”), and/or (v) Canadian Law 25.
   
   (ข) “EEA” หมายถึง เขตเศรษฐกิจยุโรป
   
   (ค) “EU” หมายถึง สหภาพยุโรป
   
   (ง) “ข้อสัญญามาตรฐาน” หรือ “Standard Contractual Clauses: SCCs” หมายถึง ข้อที่แนบท้ายการตัดสินใจดำเนินการของคณะกรรมาธิการ (EU) 2021/914 ลงวันที่ 4 มิถุนายน 2021 เกี่ยวกับข้อสัญญามาตรฐานสำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามตามข้อบังคับ (EU) 2016/679 ของรัฐสภายุโรปและสภา ซึ่งมีอยู่ทางออนไลน์ที่ https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN.
   
   (จ) “การถ่ายโอน” หมายถึง การเปิดเผย จัดเตรียม หรือทำให้ข้อมูลส่วนบุคคลพร้อมใช้งานแก่บุคคลที่สาม รวมถึงแต่ไม่จำกัดเพียง การเปิดเผยโดยการเคลื่อนย้ายทางกายภาพของข้อมูลส่วนบุคคลไปยังบุคคลที่สามดังกล่าว หรือโดยการทำให้สามารถเข้าถึงข้อมูลส่วนบุคคลโดยวิธีอื่น
   
   (ฉ) “UK” หมายถึง สหราชอาณาจักร
   
   (ช) คำว่า “ผู้ควบคุม” “เจ้าของข้อมูล” “ข้อมูลส่วนบุคคล” “สาระสนเทศส่วนบุคคล” “การละเมิดข้อมูลส่วนบุคคล” “กระบวนการ” หรือ “การประมวลผล” และ “ผู้ประมวลผล” ต่างมีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลที่บังคับใช้

2. บทบาทของคู่สัญญา คู่สัญญาตกลงว่า ตามวัตถุประสงค์ของกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง ผู้สนับสนุนคือผู้ควบคุม (หรือผู้ประมวลผลตามความเหมาะสม) ข้อมูลส่วนบุคคล ในขณะที่ Extu เป็นผู้ประมวลผลข้อมูลส่วนบุคคล คู่สัญญาแต่ละฝ่ายจะต้องปฏิบัติตามภาระหน้าที่ของกฎหมายคุ้มครองข้อมูลที่บังคับใช้ในส่วนที่เกี่ยวข้องกับ DPA นี้และการประมวลผลข้อมูลส่วนบุคคล

3. การประมวลผลข้อมูลส่วนบุคคล Extu จะประมวลผลข้อมูลส่วนบุคคลเฉพาะ: (ก) ตามที่จำเป็นเพื่อปฏิบัติตามภาระผูกพันภายใต้ข้อตกลง; (ข) ตามข้อตกลง รวมถึง DPA นี้ และคำแนะนำที่เป็นเอกสารอื่น ๆ ที่ได้รับจากผู้สนับสนุนตามที่กำหนดไว้เพิ่มเติมในข้อที่ 4 (คำแนะนำ) ด้านล่าง และ (ค) ตามความจำเป็นเพื่อปฏิบัติตามกฎหมายที่บังคับใช้ รายละเอียดของการประมวลผลข้อมูลส่วนบุคคล (รวมถึงหัวข้อและระยะเวลาของการประมวลผล ลักษณะและวัตถุประสงค์ของการประมวลผล ประเภทของข้อมูลส่วนบุคคล และประเภทของเจ้าของข้อมูล) มีระบุไว้ในเอกสารแนบ A ที่แนบมาพร้อมนี้

4. คำแนะนำ Extu จะประมวลผลข้อมูลส่วนบุคคลตามคำแนะนำทางกฎหมายและเอกสารของผู้สนับสนุนตามที่ระบุไว้ในข้อตกลงและ DPA นี้ รวมถึงคำแนะนำใด ๆ ที่เกี่ยวกับการถ่ายโอนข้อมูล ผู้สนับสนุนรับทราบว่า Extu รวบรวมเฉพาะข้อมูลส่วนบุคคลที่ได้รับการร้องขอและอนุมัติโดยผู้สนับสนุนเท่านั้น ผู้สนับสนุนอาจให้คำแนะนำเพิ่มเติมเป็นลายลักษณ์อักษรถึง Extu เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูล Extu จะปฏิบัติตามคำแนะนำเพิ่มเติมที่สมเหตุสมผล ถูกกฎหมาย และมีเอกสารจากผู้สนับสนุน ยกเว้นในกรณีที่คำแนะนำดังกล่าวขยายขอบเขตการปฏิบัติงานของ Extu ตามข้อตกลง ซึ่งในกรณีนี้ Extu ขอสงวนสิทธิ์ในการเรียกเก็บค่าธรรมเนียมเพิ่มเติมจากผู้สนับสนุน เว้นแต่กฎหมายที่บังคับใช้จะห้ามไว้ หากตามความเห็นที่สมเหตุสมผลของ Extu คำสั่งจากผู้สนับสนุนละเมิดกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง Extu จะแจ้งให้ผู้สนับสนุนทราบ

5. คำขอของเจ้าของข้อมูล หาก Extu ได้รับคำขอจากเจ้าของข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของผู้สนับสนุนและระบุตัวผู้สนับสนุน Extu จะแนะนำให้เจ้าของข้อมูลส่งคำขอดังกล่าวไปยังผู้สนับสนุนทันที Extu จะช่วยเหลือผู้สนับสนุนตามสมควรด้วยมาตรการทางเทคนิคและองค์กรที่เหมาะสม และคำนึงถึงลักษณะของการประมวลผล ในการปฏิบัติตามภาระผูกพันของผู้สนับสนุนในการตอบสนองต่อคำขอของเจ้าของข้อมูลเพื่อใช้สิทธิ์ของตนภายใต้กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง รวมถึงสิทธิ์ในการเข้าถึง การแก้ไข การคัดค้าน การลบ และการเคลื่อนย้ายข้อมูล

6. ความช่วยเหลือเพิ่มเติม เมื่อคำนึงถึงลักษณะของการประมวลผลและข้อมูลที่มีให้กับ Extu แล้ว Extu จะช่วยเหลือผู้สนับสนุนตามสมควรในการปฏิบัติตามภาระผูกพันในการปฏิบัติตามที่เกี่ยวข้องกับ: (ก) การรับรองความปลอดภัยของข้อมูลส่วนบุคคล; (ข) การตอบสนองต่อการละเมิดข้อมูลส่วนบุคคล ดังที่กำหนดไว้เพิ่มเติมด้านล่างในข้อ 11 (การละเมิดข้อมูลส่วนบุคคล) และ (ค) ดำเนินการประเมินผลกระทบด้านความเป็นส่วนตัวและการปกป้องข้อมูล และการให้คำปรึกษาที่เกี่ยวข้องของหน่วยงานคุ้มครองข้อมูล

7. การใช้ผู้ประมวลผลช่วง ผู้สนับสนุนมอบอำนาจเป็นลายลักษณ์อักษรโดยทั่วไปแก่ Extu ในที่นี้เพื่อแต่งตั้งผู้ประมวลผลช่วงที่เป็นบุคคลที่สามสำหรับประมวลผลข้อมูลส่วนบุคคลของผู้สนับสนุนที่เกี่ยวข้องกับการปฏิบัติงานของ Extu ตามข้อตกลง (แต่ละรายเรียกว่า “ผู้ประมวลผลช่วง“) โดย Extu อาจใช้ผู้ประมวลผลช่วงที่มีส่วนร่วมอยู่แล้ว ณ วันที่มีผลบังคับใช้ของ DPA ซึ่งมีรายการระบุอยู่ที่ https://extu.com/legal/subprocessors/ (“เว็บไซต์ของผู้ประมวลผลช่วง“) Extu ต้องแจ้งให้ผู้สนับสนุนทราบล่วงหน้าอย่างน้อยสามสิบ (30) วันก่อนการแต่งตั้งผู้ประมวลผลช่วงรายใหม่เพื่อประมวลผลข้อมูลส่วนบุคคลของผู้สนับสนุนที่เกี่ยวข้องกับการปฏิบัติงานของ Extu ตามข้อตกลง Extu จะแจ้งให้ผู้สนับสนุนทราบถึงความตั้งใจที่จะแต่งตั้งผู้ประมวลผลช่วงรายใหม่โดยการอัปเดตรายการที่มีอยู่ในเว็บไซต์ผู้ประมวลผลช่วง หากผู้สนับสนุนไม่คัดค้านภายในระยะเวลาสิบ (10) วันทำการดังกล่าว จะถือว่าผู้ประมวลผลช่วงรายใหม่ได้รับการอนุมัติ หากผู้สนับสนุนคัดค้านภายในระยะเวลาสิบ (10) วันดังกล่าว คู่สัญญาทั้งสองฝ่ายจะใช้ความพยายามโดยสุจริตในการแก้ไขข้อโต้แย้งดังกล่าวภายในระยะเวลาที่เหมาะสม หากคู่สัญญาไม่สามารถแก้ไขข้อโต้แย้งดังกล่าวได้ภายในระยะเวลาอันสมควร ผู้สนับสนุนอาจยกเลิกข้อตกลงและ DPA นี้ โดยแจ้งให้ Extu ทราบ ก่อนที่จะอนุญาตให้ผู้ประมวลผลช่วงประมวลผลข้อมูลส่วนบุคคลของผู้สนับสนุน Extu จะทำข้อตกลงเป็นลายลักษณ์อักษรกับผู้ประมวลผลช่วงดังกล่าวซึ่งมีข้อจำกัดไม่น้อยไปกว่า DPA นี้ในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล Extu จะยังคงรับผิดชอบและรับผิดต่อการกระทำหรือการละเว้นใด ๆ โดยผู้ประมวลผลช่วงดังกล่าวในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคล เสมือนว่าการกระทำหรือการละเว้นดังกล่าวกระทำโดย Extu

8. การถ่ายโอน

   
   (ก) ภายในขอบเขตที่การประมวลผลข้อมูลส่วนบุคคลโดย Extu กำหนดให้มีการถ่ายโอนโดยผู้สนับสนุนข้อมูลส่วนบุคคลที่มีต้นกำเนิดภายใน EEA, สหราชอาณาจักร หรือสวิตเซอร์แลนด์ ไปยัง Extu ประเทศที่ตั้งอยู่นอก EEA, สหราชอาณาจักร หรือสวิตเซอร์แลนด์ ซึ่งไม่มีคำตัดสินที่เพียงพอที่มีผลผูกพันจากคณะกรรมาธิการยุโรปหรือโดยหน่วยงานคุ้มครองข้อมูลที่มีอำนาจที่คล้ายกัน การถ่ายโอนดังกล่าวจะดำเนินการตาม SCCs ซึ่งรวมอยู่ในข้อตกลงในที่นี้โดยการอ้างอิง ภายใต้หัวข้อต่อไปนี้:

   (i) โดยที่ผู้สนับสนุนเป็นผู้ควบคุมและ Extu เป็นผู้ประมวลผล การถ่ายโอนดังกล่าวจะดำเนินการตามโมดูลที่สองของ SCCs
   
   (ii) ในกรณีที่ทั้งผู้สนับสนุนและ Extu เป็นผู้ประมวลผล การถ่ายโอนดังกล่าวจะดำเนินการตามโมดูลที่สามของ SCCs
   
   (iii) ในกรณีที่การถ่ายโอนเกี่ยวข้องกับข้อมูลส่วนบุคคลที่มีต้นกำเนิดภายในสหราชอาณาจักร SCCs จะถูกแก้ไขตามที่กำหนดไว้ใน “ภาคผนวกการถ่ายโอนของสหราชอาณาจักร” ซึ่งพัฒนาโดยสำนักงานกรรมาธิการข้อมูลแห่งสหราชอาณาจักร (“UKICO”) และมีผลตั้งแต่วันที่ 21 มีนาคม ซึ่งมีระบุอยู่ทางออนไลน์ที่ https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf และรวมอยู่ในที่นี้โดยการอ้างอิงนี้
   
   (iv) ทางเลือกของคู่สัญญา ในส่วนที่เกี่ยวกับองค์ประกอบเหล่านั้นของ SCCs ที่ให้ทางเลือกนั้น ได้รับการกำหนดไว้ให้สอดคล้องกับเขตอำนาจศาลในแต่ละเขตอำนาจศาลในเอกสารแนบ B ที่แนบมานี้ และ
   
   (v) ข้อมูลที่กำหนดโดย: (A) ภาคผนวก I และภาคผนวก III ของ SCCs ปรากฏอยู่ในเอกสารแนบ A ที่แนบมานี้ และ (B) ภาคผนวก II ของ SCCs ปรากฏอยู่ในเอกสารแนบ C ที่แนบมานี้

   (ข) การถ่ายโอนใด ๆ ต่อไปโดย Extu ของข้อมูลส่วนบุคคลที่เกิดขึ้นภายใน EEA สหราชอาณาจักร หรือสวิตเซอร์แลนด์ ไปยังผู้รับในประเทศที่ตั้งอยู่นอก EEA สหราชอาณาจักร หรือสวิตเซอร์แลนด์ ซึ่งไม่มีคำตัดสินที่เพียงพอที่มีผลผูกพันโดยคณะกรรมาธิการยุโรป หรือโดยหน่วยงานคุ้มครองข้อมูลที่มีอำนาจที่คล้ายกันจะต้องอยู่ภายใต้กลไกการถ่ายโอนที่มีผลผูกพันและเหมาะสมซึ่งให้ระดับการป้องกันที่เพียงพอตามกฎหมายคุ้มครองข้อมูล เช่น ข้อสัญญามาตรฐานหรือกฎเกณฑ์ขององค์กรที่มีผลผูกพันที่ได้รับอนุมัติ

9. การรักษาความลับ Extu จะตรวจสอบให้แน่ใจว่าบุคคลทุกคนที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนบุคคลอยู่ภายใต้ภาระผูกพันในการรักษาความลับเป็นลายลักษณ์อักษรหรืออยู่ภายใต้ภาระผูกพันตามกฎหมายที่เหมาะสมในการรักษาความลับซึ่งมีข้อจำกัดไม่น้อยไปกว่าที่กำหนดไว้ในที่นี้หรือในข้อตกลง

10. ความปลอดภัย เมื่อคำนึงถึงความทันสมัย ค่าใช้จ่ายในการดำเนินการ และลักษณะ ขอบเขต บริบทและวัตถุประสงค์ของการประมวลผล Extu จะใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อให้แน่ใจว่าระดับความปลอดภัยเหมาะสมกับความเสี่ยงที่เกิดจากการประมวลผลข้อมูลส่วนบุคคล

11. การละเมิดข้อมูลส่วนบุคคล หาก Extu ทราบว่ามีการละเมิดข้อมูลส่วนบุคคล (ตามที่กำหนดโดยกฎหมายคุ้มครองข้อมูล) Extu จะแจ้งให้ผู้สนับสนุนทราบเป็นลายลักษณ์อักษรเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลดังกล่าวโดยไม่ล่าช้าเกินควร เมื่อคำนึงถึงลักษณะของการประมวลผลและข้อมูลที่มีให้กับ Extu นั้น Extu จะต้องให้ความช่วยเหลือแก่ผู้สนับสนุนตามสมควรในการปฏิบัติตามภาระผูกพันเกี่ยวกับการละเมิดข้อมูลส่วนบุคคล

12. การส่งคืนหรือการทำลาย Extu จะส่งคืนหรือทำลายข้อมูลส่วนบุคคลทั้งหมดให้แก่ผู้สนับสนุนเมื่อข้อตกลงหรือ DPA นี้สิ้นสุดลง และทำลายสำเนาข้อมูลส่วนบุคคลที่มีอยู่ เว้นแต่: (ก) กฎหมายที่บังคับใช้หรือนโยบายการเก็บรักษาข้อมูลที่สมเหตุสมผลของ Extu กำหนดให้ต้องจัดเก็บข้อมูลส่วนบุคคล หรือ (ข) ข้อมูลส่วนบุคคลดังกล่าวจะถูกจัดเก็บไว้ในระบบเก็บถาวรหรือสำรองข้อมูลของ Extu ข้อมูลส่วนบุคคลใด ๆ ที่ Extu เก็บไว้ตามข้อ 12 นี้ (การส่งคืนหรือการทำลาย) จะถูกเก็บรักษาไว้ตามข้อกำหนดของ DPA นี้

13. การตรวจสอบ; การสอบถาม Extu จะเปิดเผยข้อมูลที่จำเป็นตามสมควรแก่ผู้สนับสนุนเพื่อแสดงให้เห็นถึงการปฏิบัติตามกฎหมายคุ้มครองข้อมูลและ DPA นี้ของ Extu และตามค่าใช้จ่ายของผู้สนับสนุน โดยอนุญาตและมีส่วนร่วมในการตรวจสอบ รวมถึงการตรวจสอบที่ดำเนินการโดยผู้ตรวจสอบภายในและภายนอก ตลอดจนบุคลากรของผู้สนับสนุนและหน่วยงานคุ้มครองข้อมูลที่เกี่ยวข้อง ในส่วนที่เกี่ยวข้องกับสิ่งที่กล่าวมาข้างต้น ซึ่งผู้สนับสนุนจะแจ้งให้ Extu ทราบตามสมควรเกี่ยวกับการตรวจสอบดังกล่าว (และในกรณีใด ๆ ก็ตามจะต้องแจ้งให้ทราบล่วงหน้าไม่น้อยกว่าสามสิบ (30) วัน) และการตรวจสอบดังกล่าวจะเกิดขึ้นตามวันและเวลาที่คู่สัญญาตกลงร่วมกัน ในระหว่างช่วงเวลาทำการปกติ และจะไม่รบกวนการดำเนินธุรกิจของ Extu อย่างไม่มีเหตุผล และก่อนที่จะดำเนินการตรวจสอบหรือตรวจสอบตามข้อ 13 นี้ (การตรวจสอบ การสอบถาม) ผู้สนับสนุนตกลงจะผูกพันตามสัญญากับผู้ตรวจสอบภายในและภายนอกและบุคลากรของตนในการตกลงที่จะปฏิบัติต่อข้อมูลใด ๆ ที่ได้รับการตรวจสอบ ได้รับ หรือจัดให้มีโดย Extu ในระหว่างการตรวจสอบใด ๆ หรือการตรวจสอบรวมทั้งผลการตรวจสอบดังกล่าวเป็นข้อมูลที่เป็นความลับของ Extu

14. คำร้องขอเปิดเผยข้อมูล หาก Extu ได้รับหมายเรียก คำสั่งศาล คำสั่งทางปกครอง หรืออนุญาโตตุลาการของผู้บริหารหรือหน่วยงานธุรการ หน่วยงานกำกับดูแล หรือหน่วยงานของรัฐอื่น ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของผู้สนับสนุน (“คำร้องขอเปิดเผยข้อมูล”) Extu จะส่งคำขอเปิดเผยข้อมูลดังกล่าวไปยังผู้สนับสนุนทันที โดยไม่ต้องตอบกลับ เว้นแต่กฎหมายที่บังคับใช้จะกำหนดไว้เป็นอย่างอื่น Extu จะให้ข้อมูลที่เกี่ยวข้องแก่ผู้สนับสนุน ซึ่งอาจตอบสนองต่อคำขอเปิดเผยข้อมูลและให้ความช่วยเหลือตามสมควรใด ๆ ที่จำเป็นสำหรับผู้สนับสนุนเพื่อตอบสนองต่อคำขอเปิดเผยข้อมูลดังกล่าวโดยทันที

15. การปฏิบัติตาม CCPA คู่สัญญารับทราบและตกลงว่า Extu ทำหน้าที่เป็นผู้ให้บริการ (ตามข้อกำหนดดังกล่าวกำหนดโดย CCPA) แก่ผู้สนับสนุนที่เกี่ยวข้องกับการปฏิบัติงานของ Extu ตามข้อตกลง Extu รับทราบและยืนยันว่าไม่ได้ให้ค่าตอบแทนทางการเงินหรือสิ่งมีค่าอื่น ๆ แก่ผู้สนับสนุนเพื่อแลกกับการรับข้อมูลส่วนบุคคล (ตามที่กำหนดโดย CCPA) และรับรองว่าเข้าใจและจะปฏิบัติตามข้อจำกัดที่กำหนดไว้ตามข้อ 15 นี้ ( การปฏิบัติตาม CCPA) ยกเว้นตามที่กฎหมายที่ใช้บังคับกำหนดไว้ Extu จะไม่รวบรวม เข้าถึง ใช้ เปิดเผย ประมวลผล หรือเก็บรักษาข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ใด ๆ นอกเหนือจากการปฏิบัติงานของ Extu ตามข้อตกลงหรือวัตถุประสงค์ทางธุรกิจอื่นที่ได้รับอนุญาตจาก CCPA, DPA นี้ หรือข้อตกลง โดยเฉพาะอย่างยิ่ง Extu จะไม่ขาย (ตามที่กำหนดโดย CCPA) หรือแบ่งปัน (ตามที่กำหนดโดย CPRA) ข้อมูลส่วนบุคคลใด ๆ

16. การดำรงอยู่ ภาระผูกพันของ Extu ภายใต้ DPA นี้จะดำเนินต่อไปตราบใดที่ Extu สามารถเข้าถึง ครอบครอง หรือได้รับข้อมูลส่วนบุคคล แม้ว่าข้อตกลงจะหมดอายุหรือถูกยกเลิกก็ตาม

17. ข้อจำกัดความรับผิด เพื่อหลีกเลี่ยงข้อสงสัย DPA นี้และความรับผิดหรือการเยียวยาใด ๆ ที่เกิดขึ้นจาก DPA จะอยู่ภายใต้ข้อจำกัดใด ๆ และทั้งหมดเกี่ยวกับข้อกำหนดความรับผิดและการปฏิเสธความรับผิดชอบประเภทข้อกำหนดเกี่ยวกับความเสียหายที่กำหนดไว้ในข้อตกลง ในขอบเขตสูงสุดที่กฎหมายที่บังคับใช้อนุญาต

18. การตีความ เว้นแต่จะระบุไว้โดยเฉพาะในที่นี้ ข้อตกลงจะยังคงมีผลใช้บังคับอย่างสมบูรณ์ สิทธิ์ที่มอบให้แก่ฝ่ายใดฝ่ายหนึ่งภายใต้ข้อตกลงนี้เป็นส่วนเพิ่มเติมและไม่ใช่การแทนที่สิทธิ์อื่นที่ฝ่ายดังกล่าวอาจมีภายใต้ข้อตกลง ในกรณีที่มีข้อขัดแย้งหรือไม่สอดคล้องกันระหว่างข้อกำหนดของ DPA นี้และข้อกำหนดของข้อตกลงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ให้ยึดข้อกำหนดของ DPA นี้เป็นหลัก ในกรณีที่มีข้อขัดแย้งหรือไม่สอดคล้องกันระหว่างข้อกำหนดของโมดูลที่เกี่ยวข้องของ SCCs และข้อกำหนดของ DPA นี้ที่เกี่ยวข้องกับการถ่ายโอนใด ๆ เงื่อนไขของ SCCs จะมีผลเหนือกว่า

เพื่อเป็นพยานในการนี้ คู่สัญญาทั้งสองฝ่ายได้ลงนามอย่างเป็นทางการ โดยตัวแทนที่ได้รับอนุญาตอย่างถูกต้อง เพื่อตกลงอย่างเป็นทางการใน DPA นี้ โดยมีผลตั้งแต่วันที่ DPA มีผลบังคับใช้