ภาคผนวกการประมวลผลข้อมูล
(แก้ไขเดือนตุลาคม 2024)
ภาคผนวกการประมวลผลข้อมูลนี้ รวมถึงกำหนดการ (“DPA”) เป็นส่วนหนึ่งของข้อตกลงบริการหลักหรือข้อตกลงที่เป็นลายลักษณ์อักษรหรืออิเล็กทรอนิกส์อื่น ๆ ระหว่าง Extu และผู้สนับสนุนสำหรับการซื้อ “บริการ” ของเราเพื่อสะท้อนถึงข้อตกลงของคู่สัญญาเกี่ยวกับการประมวลผลของข้อมูลส่วนบุคคล
ผู้สนับสนุนเข้าสู่ DPA นี้ในนามของตนเองและตามขอบเขตที่จำเป็นภายใต้กฎหมายและข้อบังคับการคุ้มครองข้อมูลที่เกี่ยวข้อง ในชื่อของและในนามของบริษัทในเครือที่ได้รับอนุญาต เพื่อวัตถุประสงค์ของ DPA นี้เท่านั้น และเว้นแต่จะระบุไว้เป็นอย่างอื่น คำว่า “ผู้สนับสนุน” จะรวมถึงผู้สนับสนุนและบริษัทในเครือที่ได้รับอนุญาตด้วยเช่นกัน คำที่เป็นตัวเอียงหนาที่ขีดเส้นใต้ทั้งหมดที่ไม่ได้กำหนดไว้ในที่นี้จะมีความหมายตามที่กำหนดไว้ในข้อตกลง
ในการให้บริการแก่ผู้สนับสนุนตามข้อตกลง Extu อาจประมวลผลข้อมูลส่วนบุคคลในนามของผู้สนับสนุน และคู่สัญญาตกลงที่จะปฏิบัติตามข้อกำหนดต่อไปนี้เกี่ยวกับข้อมูลส่วนบุคคลใด ๆ โดยแต่ละฝ่ายทำหน้าที่อย่างสมเหตุสมผลและสุจริต
วิธีดำเนินการ DPA นี้:
- DPA นี้ประกอบด้วยสองส่วน: ส่วนหลักของ DPA และตารางที่ 1 และ 2
- DPA นี้ได้รับการลงนามล่วงหน้าในนามของ SFDC ตารางที่ 2 ส่วนที่ 1 ได้รับการลงนามล่วงหน้าโดย Salesforce, Inc. ในฐานะผู้นำเข้าข้อมูล โปรดทราบว่าผู้ทำสัญญาภายใต้ข้อตกลงอาจเป็นนิติบุคคลที่แตกต่างกับ Salesforce, Inc.
- เพื่อให้ DPA นี้สมบูรณ์ ผู้สนับสนุนจะต้อง:
- กรอกข้อมูลในช่องลายเซ็นและลงนามในหน้า 6
- ส่ง DPA ที่ลงนามแล้วไปที่ kwampensuantua@extu.com
เว้นแต่จะระบุไว้เป็นอย่างอื่นอย่างชัดแจ้งในข้อตกลง โดย DPA นี้จะมีผลผูกพันทางกฎหมายเมื่อ Extu ได้รับ DPA ที่กรอกอย่างถูกต้องตามที่อยู่อีเมลนี้โดย
เพื่อหลีกเลี่ยงข้อสงสัย การลงนามใน DPA ในหน้า 6 จะถือเป็นการลงนามและการยอมรับข้อสัญญามาตรฐาน (Standard Contractual Clauses) รวมถึงตารางที่ 2 ในกรณีที่ผู้สนับสนุนประสงค์ที่จะปฏิบัติตามข้อสัญญามาตรฐานและภาคผนวกแยกกัน ผู้สนับสนุนควรกรอก ข้อมูลในฐานะผู้ส่งออกข้อมูลและลงนามในหน้า 8 (ตาราง ก)
ข้อกำหนดการประมวลผลข้อมูล
- คำจำกัดความ ข้อกำหนดที่เป็นตัวเอียงหนาที่ขีดเส้นใต้ทั้งหมด ที่ใช้แต่ไม่ได้กำหนดไว้เป็นอย่างอื่นในที่นี้จะมีความหมายที่กำหนดไว้ในข้อที่ 1 (คำจำกัดความ) นี้หรือในข้อตกลง
(ก) “กฎหมายคุ้มครองข้อมูล” ตามที่เกี่ยวข้อง หมายถึง (i) ข้อบังคับ (EU) 2016/679 ลงวันที่ 27 เมษายน 2559 ว่าด้วยการคุ้มครองบุคคลธรรมดาที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลและการเคลื่อนย้ายข้อมูลดังกล่าวอย่างเสรี(“EU GDPR”); (ii) EU GDPR ซึ่งรวมอยู่ในกฎหมายของสหราชอาณาจักรภายใต้พระราชบัญญัติสหภาพยุโรป (การถอนตัว) ของสหราชอาณาจักรปี 2018 และกฎหมายที่บังคับใช้ภายใต้พระราชบัญญัติดังกล่าว (“UK GDPR”); (iii) พระราชบัญญัติรัฐบาลกลางว่าด้วยการคุ้มครองข้อมูลลงวันที่ 19 มิถุนายน 1992 (สวิตเซอร์แลนด์) (“Swiss FADP”); และ/หรือ (iv) กฎหมายประจำรัฐของสหรัฐอเมริกาที่ควบคุมการประมวลผลข้อมูลส่วนบุคคล รวมถึงกฎหมายความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนียปี 2018 (“CCPA”) ซึ่งแก้ไขเพิ่มเติมโดยกฎหมายสิทธิความเป็นส่วนตัวของรัฐแคลิฟอร์เนียปี 2020 (“CPRA”), and/or (v) Canadian Law 25.
(ข) “EEA” หมายถึง เขตเศรษฐกิจยุโรป
(ค) “EU” หมายถึง สหภาพยุโรป
(ง) “ข้อสัญญามาตรฐาน” หรือ “Standard Contractual Clauses: SCCs” หมายถึง ข้อที่แนบท้ายการตัดสินใจดำเนินการของคณะกรรมาธิการ (EU) 2021/914 ลงวันที่ 4 มิถุนายน 2021 เกี่ยวกับข้อสัญญามาตรฐานสำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามตามข้อบังคับ (EU) 2016/679 ของรัฐสภายุโรปและสภา ซึ่งมีอยู่ทางออนไลน์ที่ https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN.
(จ) “การถ่ายโอน” หมายถึง การเปิดเผย จัดเตรียม หรือทำให้ข้อมูลส่วนบุคคลพร้อมใช้งานแก่บุคคลที่สาม รวมถึงแต่ไม่จำกัดเพียง การเปิดเผยโดยการเคลื่อนย้ายทางกายภาพของข้อมูลส่วนบุคคลไปยังบุคคลที่สามดังกล่าว หรือโดยการทำให้สามารถเข้าถึงข้อมูลส่วนบุคคลโดยวิธีอื่น
(ฉ) “UK” หมายถึง สหราชอาณาจักร
(ช) คำว่า “ผู้ควบคุม” “เจ้าของข้อมูล” “ข้อมูลส่วนบุคคล” “สาระสนเทศส่วนบุคคล” “การละเมิดข้อมูลส่วนบุคคล” “กระบวนการ” หรือ “การประมวลผล” และ “ผู้ประมวลผล” ต่างมีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลที่บังคับใช้
- บทบาทของคู่สัญญา คู่สัญญาตกลงว่า ตามวัตถุประสงค์ของกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง ผู้สนับสนุนคือผู้ควบคุม (หรือผู้ประมวลผลตามความเหมาะสม) ข้อมูลส่วนบุคคล ในขณะที่ Extu เป็นผู้ประมวลผลข้อมูลส่วนบุคคล คู่สัญญาแต่ละฝ่ายจะต้องปฏิบัติตามภาระหน้าที่ของกฎหมายคุ้มครองข้อมูลที่บังคับใช้ในส่วนที่เกี่ยวข้องกับ DPA นี้และการประมวลผลข้อมูลส่วนบุคคล
- การประมวลผลข้อมูลส่วนบุคคล Extu จะประมวลผลข้อมูลส่วนบุคคลเฉพาะ: (ก) ตามที่จำเป็นเพื่อปฏิบัติตามภาระผูกพันภายใต้ข้อตกลง; (ข) ตามข้อตกลง รวมถึง DPA นี้ และคำแนะนำที่เป็นเอกสารอื่น ๆ ที่ได้รับจากผู้สนับสนุนตามที่กำหนดไว้เพิ่มเติมในข้อที่ 4 (คำแนะนำ) ด้านล่าง และ (ค) ตามความจำเป็นเพื่อปฏิบัติตามกฎหมายที่บังคับใช้ รายละเอียดของการประมวลผลข้อมูลส่วนบุคคล (รวมถึงหัวข้อและระยะเวลาของการประมวลผล ลักษณะและวัตถุประสงค์ของการประมวลผล ประเภทของข้อมูลส่วนบุคคล และประเภทของเจ้าของข้อมูล) มีระบุไว้ในเอกสารแนบ A ที่แนบมาพร้อมนี้
- คำแนะนำ Extu จะประมวลผลข้อมูลส่วนบุคคลตามคำแนะนำทางกฎหมายและเอกสารของผู้สนับสนุนตามที่ระบุไว้ในข้อตกลงและ DPA นี้ รวมถึงคำแนะนำใด ๆ ที่เกี่ยวกับการถ่ายโอนข้อมูล ผู้สนับสนุนรับทราบว่า Extu รวบรวมเฉพาะข้อมูลส่วนบุคคลที่ได้รับการร้องขอและอนุมัติโดยผู้สนับสนุนเท่านั้น ผู้สนับสนุนอาจให้คำแนะนำเพิ่มเติมเป็นลายลักษณ์อักษรถึง Extu เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูล Extu จะปฏิบัติตามคำแนะนำเพิ่มเติมที่สมเหตุสมผล ถูกกฎหมาย และมีเอกสารจากผู้สนับสนุน ยกเว้นในกรณีที่คำแนะนำดังกล่าวขยายขอบเขตการปฏิบัติงานของ Extu ตามข้อตกลง ซึ่งในกรณีนี้ Extu ขอสงวนสิทธิ์ในการเรียกเก็บค่าธรรมเนียมเพิ่มเติมจากผู้สนับสนุน เว้นแต่กฎหมายที่บังคับใช้จะห้ามไว้ หากตามความเห็นที่สมเหตุสมผลของ Extu คำสั่งจากผู้สนับสนุนละเมิดกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง Extu จะแจ้งให้ผู้สนับสนุนทราบ
- คำขอของเจ้าของข้อมูล หาก Extu ได้รับคำขอจากเจ้าของข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของผู้สนับสนุนและระบุตัวผู้สนับสนุน Extu จะแนะนำให้เจ้าของข้อมูลส่งคำขอดังกล่าวไปยังผู้สนับสนุนทันที Extu จะช่วยเหลือผู้สนับสนุนตามสมควรด้วยมาตรการทางเทคนิคและองค์กรที่เหมาะสม และคำนึงถึงลักษณะของการประมวลผล ในการปฏิบัติตามภาระผูกพันของผู้สนับสนุนในการตอบสนองต่อคำขอของเจ้าของข้อมูลเพื่อใช้สิทธิ์ของตนภายใต้กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง รวมถึงสิทธิ์ในการเข้าถึง การแก้ไข การคัดค้าน การลบ และการเคลื่อนย้ายข้อมูล
- ความช่วยเหลือเพิ่มเติม เมื่อคำนึงถึงลักษณะของการประมวลผลและข้อมูลที่มีให้กับ Extu แล้ว Extu จะช่วยเหลือผู้สนับสนุนตามสมควรในการปฏิบัติตามภาระผูกพันในการปฏิบัติตามที่เกี่ยวข้องกับ: (ก) การรับรองความปลอดภัยของข้อมูลส่วนบุคคล; (ข) การตอบสนองต่อการละเมิดข้อมูลส่วนบุคคล ดังที่กำหนดไว้เพิ่มเติมด้านล่างในข้อ 11 (การละเมิดข้อมูลส่วนบุคคล) และ (ค) ดำเนินการประเมินผลกระทบด้านความเป็นส่วนตัวและการปกป้องข้อมูล และการให้คำปรึกษาที่เกี่ยวข้องของหน่วยงานคุ้มครองข้อมูล
- การใช้ผู้ประมวลผลช่วง ผู้สนับสนุนมอบอำนาจเป็นลายลักษณ์อักษรโดยทั่วไปแก่ Extu ในที่นี้เพื่อแต่งตั้งผู้ประมวลผลช่วงที่เป็นบุคคลที่สามสำหรับประมวลผลข้อมูลส่วนบุคคลของผู้สนับสนุนที่เกี่ยวข้องกับการปฏิบัติงานของ Extu ตามข้อตกลง (แต่ละรายเรียกว่า “ผู้ประมวลผลช่วง“) โดย Extu อาจใช้ผู้ประมวลผลช่วงที่มีส่วนร่วมอยู่แล้ว ณ วันที่มีผลบังคับใช้ของ DPA ซึ่งมีรายการระบุอยู่ที่ https://extu.com/legal/subprocessors/ (“เว็บไซต์ของผู้ประมวลผลช่วง“) Extu ต้องแจ้งให้ผู้สนับสนุนทราบล่วงหน้าอย่างน้อยสามสิบ (30) วันก่อนการแต่งตั้งผู้ประมวลผลช่วงรายใหม่เพื่อประมวลผลข้อมูลส่วนบุคคลของผู้สนับสนุนที่เกี่ยวข้องกับการปฏิบัติงานของ Extu ตามข้อตกลง Extu จะแจ้งให้ผู้สนับสนุนทราบถึงความตั้งใจที่จะแต่งตั้งผู้ประมวลผลช่วงรายใหม่โดยการอัปเดตรายการที่มีอยู่ในเว็บไซต์ผู้ประมวลผลช่วง หากผู้สนับสนุนไม่คัดค้านภายในระยะเวลาสิบ (10) วันทำการดังกล่าว จะถือว่าผู้ประมวลผลช่วงรายใหม่ได้รับการอนุมัติ หากผู้สนับสนุนคัดค้านภายในระยะเวลาสิบ (10) วันดังกล่าว คู่สัญญาทั้งสองฝ่ายจะใช้ความพยายามโดยสุจริตในการแก้ไขข้อโต้แย้งดังกล่าวภายในระยะเวลาที่เหมาะสม หากคู่สัญญาไม่สามารถแก้ไขข้อโต้แย้งดังกล่าวได้ภายในระยะเวลาอันสมควร ผู้สนับสนุนอาจยกเลิกข้อตกลงและ DPA นี้ โดยแจ้งให้ Extu ทราบ ก่อนที่จะอนุญาตให้ผู้ประมวลผลช่วงประมวลผลข้อมูลส่วนบุคคลของผู้สนับสนุน Extu จะทำข้อตกลงเป็นลายลักษณ์อักษรกับผู้ประมวลผลช่วงดังกล่าวซึ่งมีข้อจำกัดไม่น้อยไปกว่า DPA นี้ในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล Extu จะยังคงรับผิดชอบและรับผิดต่อการกระทำหรือการละเว้นใด ๆ โดยผู้ประมวลผลช่วงดังกล่าวในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคล เสมือนว่าการกระทำหรือการละเว้นดังกล่าวกระทำโดย Extu
- การถ่ายโอน
(ก) ภายในขอบเขตที่การประมวลผลข้อมูลส่วนบุคคลโดย Extu กำหนดให้มีการถ่ายโอนโดยผู้สนับสนุนข้อมูลส่วนบุคคลที่มีต้นกำเนิดภายใน EEA, สหราชอาณาจักร หรือสวิตเซอร์แลนด์ ไปยัง Extu ประเทศที่ตั้งอยู่นอก EEA, สหราชอาณาจักร หรือสวิตเซอร์แลนด์ ซึ่งไม่มีคำตัดสินที่เพียงพอที่มีผลผูกพันจากคณะกรรมาธิการยุโรปหรือโดยหน่วยงานคุ้มครองข้อมูลที่มีอำนาจที่คล้ายกัน การถ่ายโอนดังกล่าวจะดำเนินการตาม SCCs ซึ่งรวมอยู่ในข้อตกลงในที่นี้โดยการอ้างอิง ภายใต้หัวข้อต่อไปนี้:(i) โดยที่ผู้สนับสนุนเป็นผู้ควบคุมและ Extu เป็นผู้ประมวลผล การถ่ายโอนดังกล่าวจะดำเนินการตามโมดูลที่สองของ SCCs
(ii) ในกรณีที่ทั้งผู้สนับสนุนและ Extu เป็นผู้ประมวลผล การถ่ายโอนดังกล่าวจะดำเนินการตามโมดูลที่สามของ SCCs
(iii) ในกรณีที่การถ่ายโอนเกี่ยวข้องกับข้อมูลส่วนบุคคลที่มีต้นกำเนิดภายในสหราชอาณาจักร SCCs จะถูกแก้ไขตามที่กำหนดไว้ใน “ภาคผนวกการถ่ายโอนของสหราชอาณาจักร” ซึ่งพัฒนาโดยสำนักงานกรรมาธิการข้อมูลแห่งสหราชอาณาจักร (“UKICO”) และมีผลตั้งแต่วันที่ 21 มีนาคม ซึ่งมีระบุอยู่ทางออนไลน์ที่ https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf และรวมอยู่ในที่นี้โดยการอ้างอิงนี้
(iv) ทางเลือกของคู่สัญญา ในส่วนที่เกี่ยวกับองค์ประกอบเหล่านั้นของ SCCs ที่ให้ทางเลือกนั้น ได้รับการกำหนดไว้ให้สอดคล้องกับเขตอำนาจศาลในแต่ละเขตอำนาจศาลในเอกสารแนบ B ที่แนบมานี้ และ
(v) ข้อมูลที่กำหนดโดย: (A) ภาคผนวก I และภาคผนวก III ของ SCCs ปรากฏอยู่ในเอกสารแนบ A ที่แนบมานี้ และ (B) ภาคผนวก II ของ SCCs ปรากฏอยู่ในเอกสารแนบ C ที่แนบมานี้(ข) การถ่ายโอนใด ๆ ต่อไปโดย Extu ของข้อมูลส่วนบุคคลที่เกิดขึ้นภายใน EEA สหราชอาณาจักร หรือสวิตเซอร์แลนด์ ไปยังผู้รับในประเทศที่ตั้งอยู่นอก EEA สหราชอาณาจักร หรือสวิตเซอร์แลนด์ ซึ่งไม่มีคำตัดสินที่เพียงพอที่มีผลผูกพันโดยคณะกรรมาธิการยุโรป หรือโดยหน่วยงานคุ้มครองข้อมูลที่มีอำนาจที่คล้ายกันจะต้องอยู่ภายใต้กลไกการถ่ายโอนที่มีผลผูกพันและเหมาะสมซึ่งให้ระดับการป้องกันที่เพียงพอตามกฎหมายคุ้มครองข้อมูล เช่น ข้อสัญญามาตรฐานหรือกฎเกณฑ์ขององค์กรที่มีผลผูกพันที่ได้รับอนุมัติ
- การรักษาความลับ Extu จะตรวจสอบให้แน่ใจว่าบุคคลทุกคนที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนบุคคลอยู่ภายใต้ภาระผูกพันในการรักษาความลับเป็นลายลักษณ์อักษรหรืออยู่ภายใต้ภาระผูกพันตามกฎหมายที่เหมาะสมในการรักษาความลับซึ่งมีข้อจำกัดไม่น้อยไปกว่าที่กำหนดไว้ในที่นี้หรือในข้อตกลง
- ความปลอดภัย เมื่อคำนึงถึงความทันสมัย ค่าใช้จ่ายในการดำเนินการ และลักษณะ ขอบเขต บริบทและวัตถุประสงค์ของการประมวลผล Extu จะใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อให้แน่ใจว่าระดับความปลอดภัยเหมาะสมกับความเสี่ยงที่เกิดจากการประมวลผลข้อมูลส่วนบุคคล
- การละเมิดข้อมูลส่วนบุคคล หาก Extu ทราบว่ามีการละเมิดข้อมูลส่วนบุคคล (ตามที่กำหนดโดยกฎหมายคุ้มครองข้อมูล) Extu จะแจ้งให้ผู้สนับสนุนทราบเป็นลายลักษณ์อักษรเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลดังกล่าวโดยไม่ล่าช้าเกินควร เมื่อคำนึงถึงลักษณะของการประมวลผลและข้อมูลที่มีให้กับ Extu นั้น Extu จะต้องให้ความช่วยเหลือแก่ผู้สนับสนุนตามสมควรในการปฏิบัติตามภาระผูกพันเกี่ยวกับการละเมิดข้อมูลส่วนบุคคล
- การส่งคืนหรือการทำลาย Extu จะส่งคืนหรือทำลายข้อมูลส่วนบุคคลทั้งหมดให้แก่ผู้สนับสนุนเมื่อข้อตกลงหรือ DPA นี้สิ้นสุดลง และทำลายสำเนาข้อมูลส่วนบุคคลที่มีอยู่ เว้นแต่: (ก) กฎหมายที่บังคับใช้หรือนโยบายการเก็บรักษาข้อมูลที่สมเหตุสมผลของ Extu กำหนดให้ต้องจัดเก็บข้อมูลส่วนบุคคล หรือ (ข) ข้อมูลส่วนบุคคลดังกล่าวจะถูกจัดเก็บไว้ในระบบเก็บถาวรหรือสำรองข้อมูลของ Extu ข้อมูลส่วนบุคคลใด ๆ ที่ Extu เก็บไว้ตามข้อ 12 นี้ (การส่งคืนหรือการทำลาย) จะถูกเก็บรักษาไว้ตามข้อกำหนดของ DPA นี้
- การตรวจสอบ; การสอบถาม Extu จะเปิดเผยข้อมูลที่จำเป็นตามสมควรแก่ผู้สนับสนุนเพื่อแสดงให้เห็นถึงการปฏิบัติตามกฎหมายคุ้มครองข้อมูลและ DPA นี้ของ Extu และตามค่าใช้จ่ายของผู้สนับสนุน โดยอนุญาตและมีส่วนร่วมในการตรวจสอบ รวมถึงการตรวจสอบที่ดำเนินการโดยผู้ตรวจสอบภายในและภายนอก ตลอดจนบุคลากรของผู้สนับสนุนและหน่วยงานคุ้มครองข้อมูลที่เกี่ยวข้อง ในส่วนที่เกี่ยวข้องกับสิ่งที่กล่าวมาข้างต้น ซึ่งผู้สนับสนุนจะแจ้งให้ Extu ทราบตามสมควรเกี่ยวกับการตรวจสอบดังกล่าว (และในกรณีใด ๆ ก็ตามจะต้องแจ้งให้ทราบล่วงหน้าไม่น้อยกว่าสามสิบ (30) วัน) และการตรวจสอบดังกล่าวจะเกิดขึ้นตามวันและเวลาที่คู่สัญญาตกลงร่วมกัน ในระหว่างช่วงเวลาทำการปกติ และจะไม่รบกวนการดำเนินธุรกิจของ Extu อย่างไม่มีเหตุผล และก่อนที่จะดำเนินการตรวจสอบหรือตรวจสอบตามข้อ 13 นี้ (การตรวจสอบ การสอบถาม) ผู้สนับสนุนตกลงจะผูกพันตามสัญญากับผู้ตรวจสอบภายในและภายนอกและบุคลากรของตนในการตกลงที่จะปฏิบัติต่อข้อมูลใด ๆ ที่ได้รับการตรวจสอบ ได้รับ หรือจัดให้มีโดย Extu ในระหว่างการตรวจสอบใด ๆ หรือการตรวจสอบรวมทั้งผลการตรวจสอบดังกล่าวเป็นข้อมูลที่เป็นความลับของ Extu
- คำร้องขอเปิดเผยข้อมูล หาก Extu ได้รับหมายเรียก คำสั่งศาล คำสั่งทางปกครอง หรืออนุญาโตตุลาการของผู้บริหารหรือหน่วยงานธุรการ หน่วยงานกำกับดูแล หรือหน่วยงานของรัฐอื่น ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของผู้สนับสนุน (“คำร้องขอเปิดเผยข้อมูล”) Extu จะส่งคำขอเปิดเผยข้อมูลดังกล่าวไปยังผู้สนับสนุนทันที โดยไม่ต้องตอบกลับ เว้นแต่กฎหมายที่บังคับใช้จะกำหนดไว้เป็นอย่างอื่น Extu จะให้ข้อมูลที่เกี่ยวข้องแก่ผู้สนับสนุน ซึ่งอาจตอบสนองต่อคำขอเปิดเผยข้อมูลและให้ความช่วยเหลือตามสมควรใด ๆ ที่จำเป็นสำหรับผู้สนับสนุนเพื่อตอบสนองต่อคำขอเปิดเผยข้อมูลดังกล่าวโดยทันที
- การปฏิบัติตาม CCPA คู่สัญญารับทราบและตกลงว่า Extu ทำหน้าที่เป็นผู้ให้บริการ (ตามข้อกำหนดดังกล่าวกำหนดโดย CCPA) แก่ผู้สนับสนุนที่เกี่ยวข้องกับการปฏิบัติงานของ Extu ตามข้อตกลง Extu รับทราบและยืนยันว่าไม่ได้ให้ค่าตอบแทนทางการเงินหรือสิ่งมีค่าอื่น ๆ แก่ผู้สนับสนุนเพื่อแลกกับการรับข้อมูลส่วนบุคคล (ตามที่กำหนดโดย CCPA) และรับรองว่าเข้าใจและจะปฏิบัติตามข้อจำกัดที่กำหนดไว้ตามข้อ 15 นี้ ( การปฏิบัติตาม CCPA) ยกเว้นตามที่กฎหมายที่ใช้บังคับกำหนดไว้ Extu จะไม่รวบรวม เข้าถึง ใช้ เปิดเผย ประมวลผล หรือเก็บรักษาข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ใด ๆ นอกเหนือจากการปฏิบัติงานของ Extu ตามข้อตกลงหรือวัตถุประสงค์ทางธุรกิจอื่นที่ได้รับอนุญาตจาก CCPA, DPA นี้ หรือข้อตกลง โดยเฉพาะอย่างยิ่ง Extu จะไม่ขาย (ตามที่กำหนดโดย CCPA) หรือแบ่งปัน (ตามที่กำหนดโดย CPRA) ข้อมูลส่วนบุคคลใด ๆ
- การดำรงอยู่ ภาระผูกพันของ Extu ภายใต้ DPA นี้จะดำเนินต่อไปตราบใดที่ Extu สามารถเข้าถึง ครอบครอง หรือได้รับข้อมูลส่วนบุคคล แม้ว่าข้อตกลงจะหมดอายุหรือถูกยกเลิกก็ตาม
- ข้อจำกัดความรับผิด เพื่อหลีกเลี่ยงข้อสงสัย DPA นี้และความรับผิดหรือการเยียวยาใด ๆ ที่เกิดขึ้นจาก DPA จะอยู่ภายใต้ข้อจำกัดใด ๆ และทั้งหมดเกี่ยวกับข้อกำหนดความรับผิดและการปฏิเสธความรับผิดชอบประเภทข้อกำหนดเกี่ยวกับความเสียหายที่กำหนดไว้ในข้อตกลง ในขอบเขตสูงสุดที่กฎหมายที่บังคับใช้อนุญาต
- การตีความ เว้นแต่จะระบุไว้โดยเฉพาะในที่นี้ ข้อตกลงจะยังคงมีผลใช้บังคับอย่างสมบูรณ์ สิทธิ์ที่มอบให้แก่ฝ่ายใดฝ่ายหนึ่งภายใต้ข้อตกลงนี้เป็นส่วนเพิ่มเติมและไม่ใช่การแทนที่สิทธิ์อื่นที่ฝ่ายดังกล่าวอาจมีภายใต้ข้อตกลง ในกรณีที่มีข้อขัดแย้งหรือไม่สอดคล้องกันระหว่างข้อกำหนดของ DPA นี้และข้อกำหนดของข้อตกลงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ให้ยึดข้อกำหนดของ DPA นี้เป็นหลัก ในกรณีที่มีข้อขัดแย้งหรือไม่สอดคล้องกันระหว่างข้อกำหนดของโมดูลที่เกี่ยวข้องของ SCCs และข้อกำหนดของ DPA นี้ที่เกี่ยวข้องกับการถ่ายโอนใด ๆ เงื่อนไขของ SCCs จะมีผลเหนือกว่า
เพื่อเป็นพยานในการนี้ คู่สัญญาทั้งสองฝ่ายได้ลงนามอย่างเป็นทางการ โดยตัวแทนที่ได้รับอนุญาตอย่างถูกต้อง เพื่อตกลงอย่างเป็นทางการใน DPA นี้ โดยมีผลตั้งแต่วันที่ DPA มีผลบังคับใช้
EXTU
โดย: ______________________________
ชื่อ: ______________________________
ตำแหน่ง: ______________________________
วันที่: ______________________________
ผู้สนับสนุน
โดย: ______________________________
ชื่อ: ______________________________
ตำแหน่ง: ______________________________
วันที่: ______________________________
เอกสารแนบ A
รายละเอียดการประมวลผล
ก. รายชื่อคู่สัญญา:
ผู้ส่งออกข้อมูล:
ชื่อ: | ผู้สนับสนุน |
ที่อยู่: | |
ผู้ติดต่อ: | โทรศัพท์: [แจ้งภายหลัง] อีเมล: [แจ้งภายหลัง] |
กิจกรรมที่เกี่ยวข้องกับข้อมูลที่ถ่ายโอน: | การรับบริการตามข้อตกลง |
ลายเซ็นและวันที่: | ดูลายเซ็นและวันที่ใน DPA |
บทบาท: | ผู้ควบคุมหรือผู้ประมวลผลตามความเหมาะสม |
ผู้นำเข้าข้อมูล:
ชื่อ: | Extu |
ที่อยู่: | 4170 Ashford Dunwoody Rd NE, Suite 250, Atlanta, GA 30319 |
ผู้ติดต่อ: | Kelly Held ประธานเจ้าหน้าที่ฝ่ายสารสนเทศ โทรศัพท์: 678-514-0218 อีเมล: Kelly.held@extu.co |
กิจกรรมที่เกี่ยวข้องกับข้อมูลที่ถ่ายโอน: | การให้บริการตามข้อตกลง |
ลายเซ็นและวันที่: | ดูลายเซ็นและวันที่ใน DPA |
บทบาท: | ผู้ประมวลผล |
ข. คำอธิบายของการถ่ายโอน:
สาระสำคัญของการประมวลผล: | การประมวลผลข้อมูลส่วนบุคคลจะอยู่ในบริบทของ Extu ที่ให้บริการแก่ผู้สนับสนุน ตามที่กำหนดไว้ในข้อตกลง |
ลักษณะและวัตถุประสงค์ของการประมวลผล: | Extu เสนอโปรแกรมสิ่งจูงใจบนเว็บ โดยผู้เข้าร่วมจะได้รับคะแนนและอาจแลกคะแนนจากแค็ตตาล็อกสินค้าและบริการต่าง ๆ แบบโต้ตอบตามเวลาจริงและออนไลน์ การประมวลผลข้อมูลส่วนบุคคลจะเชื่อมโยงกับสิ่งที่กล่าวมาข้างต้นและเกี่ยวข้องกับการให้บริการของ Extu แก่ผู้สนับสนุน ตามที่กำหนดไว้ในข้อตกลง |
ระยะเวลาการประมวลผล: | สำหรับระยะเวลาที่กำหนดไว้ในข้อตกลง |
หมวดหมู่ของเจ้าของข้อมูล: | [แจ้งภายหลัง] |
หมวดหมู่ของข้อมูลส่วนบุคคล: | ข้อมูลส่วนบุคคลที่ถ่ายโอนจะรวมถึงข้อมูลส่วนบุคคลประเภทต่อไปนี้: [แจ้งภายหลัง]; [แจ้งภายหลัง]; และ [แจ้งภายหลัง] |
ข้อมูลส่วนบุคคลประเภทพิเศษ / ข้อมูลที่ละเอียดอ่อนที่ถ่ายโอน: | ไม่มี – ผู้สนับสนุนจะไม่เปิดเผยข้อมูลส่วนบุคคลประเภทพิเศษหรือข้อมูลที่ละเอียดอ่อนแก่ Extu โดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าจาก Extu |
ความถี่ในการถ่ายโอน: | ต่อเนื่อง |
ระยะเวลาการเก็บรักษา / เกณฑ์การเก็บรักษา: | Extu จะส่งคืนหรือลบข้อมูลส่วนบุคคลที่ถ่ายโอนทั้งหมดตามข้อ 12 (การส่งคืนหรือการทำลาย) ของ DPA |
สาระสำคัญ ลักษณะ และระยะเวลาของการประมวลผลของผู้ประมวลผลช่วง: | ภายในขอบเขตที่ Extu ใช้ผู้ประมวลผลช่วงเพื่อทำหน้าที่ใด ๆ ที่ระบุไว้ในที่นี้ เนื้อหาสาระ ลักษณะ และระยะเวลาจะเหมือนกันอย่างมากกับสิ่งที่กำหนดไว้ในที่นี้ |
ค. หน่วยงานกำกับดูแลที่มีอำนาจ:
หน่วยงานกำกับดูแลที่มีอำนาจที่เกี่ยวข้องได้ระบุไว้ในเอกสารแนบ B
ง. ผู้ประมวลผลช่วงที่มีอยู่:
ผู้ประมวลผลช่วงที่มีอยู่ของ Extu ได้รับการระบุไว้ที่หน้าผู้ประมวลผลช่วงบนเว็บไซต์ Extu ที่ URL: https://extu.com/legal/subprocessors/
เอกสารแนบ B
ข้อสัญญามาตรฐาน – ทางเลือกในการดำเนินการ
ข้อ SCC | ข้อมูลเขตเศรษฐกิจยุโรป | ข้อมูลสหราชอาณาจักร | ข้อมูลสวิส |
ข้อ 7 | คู่สัญญาทั้งสองฝ่ายเลือกที่จะไม่รวมส่วนคำสั่งเชื่อมต่อที่เป็นทางเลือก | ||
ข้อ 9 | คู่สัญญาเลือกตัวเลือกที่ 2 “การอนุญาตเป็นลายลักษณ์อักษรทั่วไป” และระยะเวลาการแจ้งเตือนสามสิบ (30) วัน | ||
ข้อ 11 | คู่สัญญาทั้งสองฝ่ายเลือกที่จะไม่รวมภาษาทางเลือกที่ให้สิทธิ์แก่เจ้าของข้อมูลในการยื่นเรื่องร้องเรียนกับหน่วยงานระงับข้อพิพาทที่เป็นอิสระ | ||
ข้อ 13 | คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์จะเป็นหน่วยงานกำกับดูแลที่มีอำนาจ | UKICO จะเป็นหน่วยงานกำกับดูแลที่มีอำนาจ | คณะกรรมการคุ้มครองข้อมูลและข้อมูลของรัฐบาลกลางสวิส (“Federal Data Protection and Information Commissioner :FDPIC”) จะเป็นหน่วยงานกำกับดูแลที่มีอำนาจ |
ข้อ 17 | SCCs จะถูกควบคุมโดยกฎหมายของสาธารณรัฐไอร์แลนด์ | SCCs รวมถึงภาคผนวกเรื่องการถ่ายโอนในสหราชอาณาจักรที่รวมไว้จะอยู่ภายใต้กฎหมายของอังกฤษและเวลส์ | SCCs จะถูกควบคุมโดยกฎหมายของสาธารณรัฐไอร์แลนด์ |
ข้อ 18 | คู่สัญญาทั้งสองฝ่ายตกลงว่าข้อพิพาทใด ๆ ที่เกิดขึ้นจาก SCCs จะต้องได้รับการแก้ไขโดยศาลแห่งสาธารณรัฐไอร์แลนด์ | คู่สัญญาทั้งสองฝ่ายตกลงว่าข้อพิพาทใด ๆ ที่เกิดขึ้นจาก SCCs หรือภาคผนวกเกี่ยวกับการถ่ายโอนในสหราชอาณาจักรที่รวมไว้จะได้รับการแก้ไขโดยศาลแห่งอังกฤษและเวลส์ เจ้าของข้อมูลอาจดำเนินคดีทางกฎหมายกับผู้ส่งออกข้อมูลและ/หรือผู้นำเข้าข้อมูลต่อหน้าศาลของประเทศใด ๆ ในสหราชอาณาจักร คู่สัญญาตกลงที่จะยอมจำนนต่อเขตอำนาจศาลของศาลดังกล่าว | คู่สัญญาทั้งสองฝ่ายตกลงว่าข้อพิพาทใด ๆ ที่เกิดขึ้นจาก SCCs จะต้องได้รับการแก้ไขโดยศาลของสาธารณรัฐไอร์แลนด์ แต่การเลือกฟอรัมของคู่สัญญาทั้งสองฝ่ายอาจไม่ถูกตีความว่าเป็นการห้ามเจ้าของข้อมูลในสวิตเซอร์แลนด์จากการฟ้องร้องเพื่อสิทธิของตนในสวิตเซอร์แลนด์ |
เอกสารแนบ C
มาตรการทางเทคนิคและองค์กร
มาตรการรักษาความปลอดภัยที่ใช้กับบริการมีการอธิบายไว้ในเว็บไซต์ Extu ที่ URL: https://extu.com/legal/dpa/security/