ภาคผนวกการประมวลผลข้อมูล

ภาคผนวกนี้เป็นส่วนหนึ่งของสัญญาและเข้าทำโดย:

1. (i) ลูกค้า ("ผู้ส่งออกข้อมูล")
2. (ii) POSTCODEZIP ("ตัวนำเข้าข้อมูล")

แต่ละคนเป็น"Party" และโดยทั่วไป "ปาร์ตี้".

คำนำ

โดยที่ Data Importer ให้บริการซอฟต์แวร์ระดับมืออาชีพ คอมพิวเตอร์ และบริการที่เกี่ยวข้อง

ตามสัญญา ผู้นำเข้าข้อมูลได้ตกลงที่จะให้บริการตามที่ระบุไว้ในสัญญาแก่ผู้ส่งออกข้อมูล ( "บริการ");

โดยการให้บริการ ผู้นำเข้าข้อมูลได้รับหรือได้รับประโยชน์จากการเข้าถึงข้อมูลของผู้ส่งออกข้อมูลหรือข้อมูลของบุคคลอื่นที่มีความสัมพันธ์ (ที่มีศักยภาพ) กับผู้ส่งออกข้อมูล ข้อมูลดังกล่าวอาจเข้าข่ายเป็นข้อมูลส่วนบุคคลตามความหมายของข้อบังคับ (EU) 2016/679 ของรัฐสภายุโรปและคณะมนตรีเมื่อวันที่ 27 เมษายน 2016 ว่าด้วยการคุ้มครองบุคคลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและการเคลื่อนย้ายข้อมูลดังกล่าวโดยเสรี (" GDPR ") และกฎหมายคุ้มครองข้อมูลอื่นๆ ที่เกี่ยวข้อง

ภาคผนวกนี้มีข้อกำหนดและเงื่อนไขที่ใช้บังคับกับการรวบรวม การประมวลผล และการใช้ข้อมูลส่วนบุคคลดังกล่าวโดยผู้นำเข้าข้อมูลในฐานะตัวแทนการประมวลผลข้อมูลที่ได้รับอนุญาตของผู้ส่งออกข้อมูล เพื่อให้แน่ใจว่าคู่สัญญาปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง .

ดังนั้น และเพื่อให้คู่สัญญาสามารถสานต่อความสัมพันธ์ของตนได้ถูกต้องตามกฎหมาย ทั้งสองฝ่ายได้สรุปภาคผนวกนี้ดังนี้:

ส่วนที่ 1

1. โครงสร้างของเอกสารและคำจำกัดความ

1.1 โครงสร้าง

ภาคผนวกนี้ประกอบด้วยส่วนต่างๆ ดังนี้

1.2 คำศัพท์และคำจำกัดความ

สำหรับวัตถุประสงค์ของภาคผนวกนี้ คำศัพท์และคำจำกัดความที่ใช้โดย GDPR มีผลบังคับใช้ (ในเนื้อหาของเอกสารข้อสัญญามาตรฐานในส่วนที่ 2 โดยที่ข้อกำหนดที่กำหนดไว้จะไม่เป็นตัวพิมพ์ใหญ่) 

2. ภาระหน้าที่ของผู้ส่งออกข้อมูล

2.1 ผู้ส่งออกข้อมูลมีภาระหน้าที่ที่จะต้องตรวจสอบให้แน่ใจว่ามีการปฏิบัติตามภาระหน้าที่ที่เกี่ยวข้องทั้งหมดภายใต้ GDPR และกฎหมายคุ้มครองข้อมูลอื่นๆ ที่บังคับใช้ซึ่งมีผลบังคับใช้กับผู้ส่งออกข้อมูล และเพื่อแสดงการปฏิบัติตามข้อกำหนดดังกล่าวตามมาตรา 5 (2) ของ GDPR ผู้ส่งออกข้อมูลรับประกันว่าผู้นำเข้าข้อมูลได้รับความยินยอมล่วงหน้าจากเจ้าของข้อมูลตามมาตรา 6 (a) ของ GDPR และได้ปฏิบัติตามภาระหน้าที่ในการแจ้งเจ้าของข้อมูลตามมาตรา 13 และ 14 ของ GDPR

2.2 ผู้ส่งออกข้อมูลต้องจัดเตรียมไฟล์ที่เกี่ยวข้องของกิจกรรมการประมวลผลให้กับผู้นำเข้าข้อมูลตามมาตรา 30 (1) ของ GDPR ที่เกี่ยวข้องกับบริการภายใต้ภาคผนวกนี้ ในขอบเขตที่จำเป็นสำหรับผู้นำเข้าข้อมูลในการปฏิบัติตามภาระผูกพันภายใต้ มาตรา 30 (2) ของ GDPR

2.3 ผู้ส่งออกข้อมูลต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลหรือตัวแทนในขอบเขตที่กำหนดโดยกฎหมายคุ้มครองข้อมูลที่บังคับใช้ ผู้ส่งออกข้อมูลมีหน้าที่ให้รายละเอียดการติดต่อของตัวแทนหรือตัวแทนในการปกป้องข้อมูล หากมี แก่ผู้นำเข้าข้อมูล

2.4. ผู้ส่งออกข้อมูลยืนยันก่อนที่จะเสร็จสิ้นการประมวลผล โดยการยอมรับภาคผนวกนี้ว่ามาตรการด้านความปลอดภัยทางเทคนิคและองค์กรของผู้นำเข้าข้อมูล ตามที่กำหนดไว้ในภาคผนวก 2 ถึงส่วนที่ 2 มีความเหมาะสมและเพียงพอที่จะปกป้องสิทธิ์ของเจ้าของข้อมูล และยืนยันว่าผู้นำเข้าข้อมูลมีการป้องกันที่เพียงพอในส่วนนี้

3. การปฏิบัติตามกฎหมายท้องถิ่น

เพื่อให้เป็นไปตามข้อกำหนดของการดำเนินการตัวแทนดำเนินการตามมาตรา 28 ของ GDPR การแก้ไขต่อไปนี้จะมีผลบังคับใช้:

3.1 คำแนะนำ

1. (i) ผู้ส่งออกข้อมูลสั่งให้ผู้นำเข้าข้อมูลประมวลผลข้อมูลส่วนบุคคลในนามของผู้ส่งออกข้อมูลเท่านั้น คำแนะนำของผู้ส่งออกข้อมูลมีอยู่ในภาคผนวกนี้และในสัญญา ผู้ส่งออกข้อมูลมีภาระหน้าที่ที่จะต้องตรวจสอบให้แน่ใจว่าคำสั่งทั้งหมดนั้นมอบให้กับผู้นำเข้าข้อมูลนั้นสอดคล้องกับกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง ผู้นำเข้าข้อมูลต้องประมวลผลข้อมูลส่วนบุคคลตามคำแนะนำของผู้ส่งออกข้อมูลเท่านั้น เว้นแต่จะกำหนดเป็นอย่างอื่นโดยสหภาพยุโรปหรือกฎหมายของประเทศสมาชิก (ในกรณีหลัง จะใช้ส่วนที่ 1 ข้อ 3.2 (iv) (c)) .
2. (ii) คำแนะนำอื่น ๆ ทั้งหมดที่นอกเหนือไปจากคำแนะนำในภาคผนวกนี้หรือในสัญญาจะต้องรวมอยู่ในหัวเรื่องของภาคผนวกนี้และสัญญา หากการใช้คำสั่งเพิ่มเติมนี้มีค่าใช้จ่ายสำหรับผู้นำเข้าข้อมูล ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบถึงค่าใช้จ่ายดังกล่าวและให้คำอธิบายก่อนดำเนินการตามคำแนะนำ หลังจากที่ผู้ส่งออกข้อมูลได้ยืนยันการยอมรับค่าใช้จ่ายเหล่านี้สำหรับการดำเนินการตามคำสั่งแล้ว ผู้นำเข้าข้อมูลจะต้องดำเนินการตามคำแนะนำเพิ่มเติมนี้ ผู้ส่งออกข้อมูลต้องให้คำแนะนำเพิ่มเติมเป็นลายลักษณ์อักษร เว้นแต่ความเร่งด่วนหรือสถานการณ์เฉพาะอื่น ๆ จำเป็นต้องมีแบบฟอร์มอื่น (เช่น ทางปาก ทางอิเล็กทรอนิกส์) คำแนะนำในรูปแบบอื่นที่ไม่ใช่ลายลักษณ์อักษรจะต้องได้รับการยืนยันเป็นลายลักษณ์อักษรและโดยผู้ส่งออกข้อมูลโดยไม่ชักช้า
3. 1. เว้นแต่ผู้ส่งออกข้อมูลไม่สามารถดำเนินการแก้ไข ลบ หรือจำกัดข้อมูลส่วนบุคคลด้วยตัวเอง คำแนะนำอาจเกี่ยวข้องกับการแก้ไข ลบ และ/หรือการจำกัดข้อมูลส่วนบุคคลตามที่กำหนดไว้ในส่วนที่ 1 ข้อ 3.3
4. 2. ผู้นำเข้าข้อมูลต้องแจ้งให้ผู้ส่งออกข้อมูลทราบทันที หากเห็นว่าคำสั่งละเมิด GDPR หรือข้อกำหนดการคุ้มครองข้อมูลอื่นๆ ที่เกี่ยวข้องของสหภาพยุโรปหรือประเทศสมาชิก (" คำสั่งโต้แย้ง") หากผู้นำเข้าข้อมูลเชื่อว่าคำสั่งใดละเมิด GDPR หรือข้อกำหนดการคุ้มครองข้อมูลอื่นๆ ที่เกี่ยวข้องของสหภาพยุโรปหรือประเทศสมาชิก ผู้นำเข้าข้อมูลไม่จำเป็นต้องปฏิบัติตามคำแนะนำที่มีข้อโต้แย้ง หากผู้ส่งออกข้อมูลยืนยันคำสั่งที่มีข้อโต้แย้ง การรับข้อมูลจากผู้นำเข้าข้อมูลและรับทราบความรับผิดชอบสำหรับคำสั่งที่มีข้อโต้แย้ง ผู้นำเข้าข้อมูลจะต้องดำเนินการตามคำสั่งที่มีการโต้แย้ง เว้นแต่คำสั่งที่โต้แย้งจะเกี่ยวข้องกับ (i) การดำเนินการตามมาตรการทางเทคนิคและเชิงองค์กร (ii) สิทธิ์ของข้อมูล หัวข้อหรือ (iii) การมีส่วนร่วมของผู้ประมวลผลข้อมูล ในกรณี (i) ถึง (iii) ผู้นำเข้าข้อมูลอาจติดต่อหน่วยงานกำกับดูแลที่มีอำนาจเพื่อให้คำสั่งที่โต้แย้งได้รับการประเมินทางกฎหมายโดยหน่วยงานดังกล่าวหากหน่วยงานกำกับดูแลประกาศว่าคำสั่งที่ถูกท้าทายนั้นถูกกฎหมาย ผู้นำเข้าข้อมูลจะต้องดำเนินการตามคำสั่งที่ท้าทาย ส่วนที่ 1 ข้อ 3.1 (ii) จะยังคงมีผลบังคับใช้

3.2 ภาระหน้าที่ของผู้นำเข้าข้อมูล

1. (i) ผู้นำเข้าข้อมูลต้องตรวจสอบให้แน่ใจว่าบุคคลที่ได้รับอนุญาตจากผู้นำเข้าข้อมูลในการประมวลผลข้อมูลส่วนบุคคลในนามของผู้ส่งออกข้อมูล โดยเฉพาะอย่างยิ่ง พนักงานของผู้นำเข้าข้อมูล และพนักงานของผู้รับเหมาช่วง ได้ดำเนินการรักษาความลับหรืออยู่ภายใต้ หน้าที่ตามกฎหมายที่เหมาะสมในการรักษาความลับ และบุคคลที่สามารถเข้าถึงข้อมูลส่วนบุคคลดังกล่าวจะประมวลผลข้อมูลดังกล่าวตามคำแนะนำของผู้ส่งออกข้อมูล
2. (ii) ผู้นำเข้าข้อมูลต้องใช้มาตรการทางเทคนิคและความปลอดภัยขององค์กรตามที่กำหนดไว้ในภาคผนวก 2 ถึงส่วนที่ 2 ก่อนที่จะประมวลผลข้อมูลส่วนบุคคลในนามของผู้ส่งออกข้อมูล ผู้นำเข้าข้อมูลอาจเปลี่ยนแปลงมาตรการทางเทคนิคและความปลอดภัยขององค์กรเป็นครั้งคราว หากไม่มีการป้องกันน้อยกว่าที่กำหนดไว้ในภาคผนวก 2 ถึงส่วนที่ 2
3. (iii) ผู้นำเข้าข้อมูลจะต้องจัดให้มีข้อมูลสำหรับผู้ส่งออกข้อมูล เมื่อมีการร้องขอโดยผู้ส่งออกข้อมูล ข้อมูลเพื่อแสดงการปฏิบัติตามภาระหน้าที่ของผู้นำเข้าข้อมูลภายใต้ภาคผนวกนี้ คู่สัญญาทั้งสองฝ่ายตกลงว่าข้อผูกมัดด้านข้อมูลนี้จะบรรลุผลโดยการให้รายงานการตรวจสอบแก่ผู้ส่งออกข้อมูล (ครอบคลุมการรักษาความปลอดภัยของหลักการ ความพร้อมใช้งานของระบบ และการรักษาความลับ) ("รายงานการตรวจสอบ") หากกฎหมายกำหนดให้มีกิจกรรมการตรวจสอบเพิ่มเติม ผู้ส่งออกข้อมูลอาจขอให้ผู้ส่งออกข้อมูลเป็นผู้ดำเนินการตรวจสอบหรือผู้ตรวจสอบรายอื่นที่ได้รับการแต่งตั้งโดยผู้ส่งออกข้อมูล ทั้งนี้ขึ้นอยู่กับการปฏิบัติตามข้อตกลงการรักษาความลับกับผู้นำเข้าข้อมูลของผู้นำเข้าข้อมูล ความพอใจตามสมควร ("ตรวจสอบ") การตรวจสอบนี้อยู่ภายใต้เงื่อนไขดังต่อไปนี้:(i) การยอมรับอย่างเป็นลายลักษณ์อักษรล่วงหน้าของผู้นำเข้าข้อมูล และ (ii) ผู้ส่งออกข้อมูลจะต้องรับผิดชอบค่าใช้จ่ายทั้งหมดที่เกี่ยวข้องกับการตรวจสอบในสถานที่สำหรับผู้ส่งออกข้อมูลและผู้นำเข้าข้อมูล ผู้ส่งออกข้อมูลต้องสร้างรายงานการตรวจสอบโดยสรุปผลและข้อสังเกตของการตรวจสอบในสถานที่ ("รายงานการตรวจสอบในสถานที่") รายงานการตรวจสอบในสถานที่และรายงานการตรวจสอบเป็นข้อมูลที่เป็นความลับของผู้นำเข้าข้อมูลและต้องไม่เปิดเผยต่อบุคคลที่สาม เว้นแต่จะกำหนดโดยกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องหรือตามความยินยอมของผู้นำเข้าข้อมูลรายงานการตรวจสอบในสถานที่และรายงานการตรวจสอบเป็นข้อมูลที่เป็นความลับของผู้นำเข้าข้อมูลและต้องไม่เปิดเผยต่อบุคคลที่สาม เว้นแต่จะกำหนดโดยกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องหรือตามความยินยอมของผู้นำเข้าข้อมูลรายงานการตรวจสอบในสถานที่และรายงานการตรวจสอบเป็นข้อมูลที่เป็นความลับของผู้นำเข้าข้อมูลและต้องไม่เปิดเผยต่อบุคคลที่สาม เว้นแต่จะกำหนดโดยกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องหรือตามความยินยอมของผู้นำเข้าข้อมูล
4. (iv) ผู้นำเข้าข้อมูลมีหน้าที่ต้องแจ้งให้ผู้ส่งออกข้อมูลทราบโดยไม่ชักช้า:
   1. NS. เกี่ยวกับคำขอที่มีผลผูกพันทางกฎหมายสำหรับการเปิดเผยข้อมูลส่วนบุคคลโดยหน่วยงานบังคับใช้กฎหมาย เว้นแต่จะห้ามไว้เป็นอย่างอื่น เช่น การห้ามภายใต้กฎหมายอาญาเพื่อปกป้องความลับของการสอบสวนของหน่วยงานบังคับใช้กฎหมาย
   2. NS. เกี่ยวกับการร้องเรียนและคำขอที่ได้รับโดยตรงจากเจ้าของข้อมูล (เช่น เกี่ยวกับการเข้าถึง การแก้ไข การลบ การจำกัดการประมวลผล การเคลื่อนย้ายข้อมูล การคัดค้านการประมวลผลข้อมูล การตัดสินใจโดยอัตโนมัติ) โดยไม่ตอบสนองต่อคำขอนั้น เว้นแต่ผู้นำเข้าข้อมูลจะได้รับอนุญาตให้ ทำอย่างนั้น
   3. ค. หากผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลมีหน้าที่ตามกฎหมายของสหภาพยุโรปหรือประเทศสมาชิกที่ผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลอยู่ภายใต้บังคับ ในการประมวลผลข้อมูลส่วนบุคคลนอกเหนือจากคำแนะนำของผู้ส่งออกข้อมูล ก่อนดำเนินการประมวลผลดังกล่าวเกินกว่า คำแนะนำ เว้นแต่กฎหมายของสหภาพยุโรปหรือประเทศสมาชิกห้ามไม่ให้มีการประมวลผลดังกล่าวโดยมีเหตุผลสำคัญต่อผลประโยชน์สาธารณะ ซึ่งในกรณีนี้ การแจ้งไปยังผู้ส่งออกข้อมูลจะต้องระบุข้อกำหนดทางกฎหมายภายใต้กฎหมายของสหภาพยุโรปหรือประเทศสมาชิกนั้น หรือ
   4. NS. หากผู้นำเข้าข้อมูลพบว่ามีการละเมิดข้อมูลส่วนบุคคลเพียงเพราะตัวมันเองหรือผู้รับเหมาช่วง ซึ่งจะส่งผลต่อข้อมูลส่วนบุคคลของผู้ส่งออกข้อมูลที่อยู่ในสัญญาปัจจุบัน ซึ่งในกรณีนี้ ผู้นำเข้าข้อมูลจะช่วยเหลือผู้ส่งออกข้อมูลตามภาระหน้าที่ของตน vis-Ã -vis กฎหมายคุ้มครองข้อมูลที่บังคับใช้ เพื่อแจ้งให้เจ้าของข้อมูลและหน่วยงานกำกับดูแล (หากมี) โดยการให้ข้อมูล ณ การกำจัดตามมาตรา 33 (3) ของ GDPR
   5. (v) ตามคำร้องขอของผู้ส่งออกข้อมูล ผู้นำเข้าข้อมูลจะถูกบังคับให้ช่วยเหลือผู้ส่งออกข้อมูลตามภาระหน้าที่ในการดำเนินการประเมินผลกระทบด้านการปกป้องข้อมูลที่อาจกำหนดโดยมาตรา 35 ของ GDPR และการปรึกษาหารือล่วงหน้าที่อาจ กำหนดโดยมาตรา 36 ของ GDPR เกี่ยวกับบริการที่ผู้นำเข้าข้อมูลมอบให้ผู้ส่งออกข้อมูลภายใต้ภาคผนวกนี้ โดยให้ข้อมูลที่จำเป็นและข้อมูลแก่ผู้ส่งออกข้อมูล ผู้นำเข้าข้อมูลมีหน้าที่ต้องให้ความช่วยเหลือดังกล่าวก็ต่อเมื่อผู้ส่งออกข้อมูลไม่สามารถปฏิบัติตามภาระหน้าที่ของตนด้วยวิธีอื่นได้ ผู้นำเข้าข้อมูลจะแนะนำผู้ส่งออกข้อมูลถึงค่าใช้จ่ายของความช่วยเหลือดังกล่าว ทันทีที่ผู้ส่งออกข้อมูลยืนยันว่าสามารถแบกรับค่าใช้จ่ายนี้ได้ ผู้นำเข้าข้อมูลจะให้ความช่วยเหลือแก่ผู้ส่งออกข้อมูล
   6. (vi) เมื่อสิ้นสุดการให้บริการ ผู้ส่งออกข้อมูลอาจร้องขอให้ส่งคืนข้อมูลส่วนบุคคลที่ประมวลผลโดยผู้นำเข้าข้อมูลภายใต้ภาคผนวกนี้ภายในหนึ่งเดือนหลังจากบริการ เว้นแต่กฎหมายของประเทศสมาชิกหรือของสหภาพยุโรปกำหนดให้ผู้นำเข้าข้อมูลจัดเก็บหรือเก็บรักษาข้อมูลส่วนบุคคลดังกล่าว ผู้นำเข้าข้อมูลจะลบข้อมูลส่วนบุคคลหรือข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคลดังกล่าวทั้งหมดหลังจากระยะเวลาหนึ่งเดือน ไม่ว่าข้อมูลเหล่านั้นจะถูกส่งกลับไปยัง ผู้ส่งออกข้อมูลตามคำขอหรือไม่

3.3 สิทธิของบุคคลที่เกี่ยวข้อง

1.  
   1. (i) ผู้ส่งออกข้อมูลจัดการและตอบสนองต่อคำขอที่ทำโดยเจ้าของข้อมูล ผู้นำเข้าข้อมูลไม่จำเป็นต้องตอบสนองต่อเจ้าของข้อมูลโดยตรง
   2. (ii) หากผู้ส่งออกข้อมูลต้องการความช่วยเหลือจากผู้นำเข้าข้อมูลในการประมวลผลและตอบสนองต่อคำขอของเจ้าของข้อมูล ผู้ส่งออกข้อมูลจะออกคำสั่งเพิ่มเติมตามข้อ 3.1 (ii) ของส่วนที่ 1 ผู้นำเข้าข้อมูลจะช่วยเหลือผู้ส่งออกข้อมูล ด้วยมาตรการขององค์กรที่เหมาะสมและทางเทคนิคเพื่อตอบสนองต่อการร้องขอการใช้สิทธิ์ของเจ้าของข้อมูลที่กำหนดไว้ในบทที่ 3 ของ GDPR ดังนี้:
   3. NS. เกี่ยวกับการขอข้อมูล ผู้นำเข้าข้อมูลจะให้เฉพาะข้อมูลที่จำเป็นต่อผู้ส่งออกข้อมูลตามมาตรา 13 และ 14 ของ PGRD ที่อาจมีในการกำจัดหากผู้ส่งออกข้อมูลไม่พบข้อมูลดังกล่าวด้วยตนเอง
   4. NS. เกี่ยวกับคำขอเข้าถึง (มาตรา 15 ของ GDPR) ผู้นำเข้าข้อมูลจะให้เฉพาะข้อมูลแก่ผู้ส่งออกข้อมูลที่ควรจะมอบให้กับเจ้าของข้อมูลสำหรับคำขอเข้าถึงดังกล่าว ซึ่งอาจมีไว้ใช้หาก หลังไม่สามารถหามันได้โดยลำพัง
   5. ค. เกี่ยวกับคำขอให้แก้ไข (มาตรา 16 ของ GDPR) คำขอให้ลบออก (มาตรา 17 ของ GDPR) การจำกัดคำขอสำหรับการประมวลผล (มาตรา 18 ของ GDPR) หรือคำขอให้เคลื่อนย้ายได้ (มาตรา 20 ของ GDPR) และเท่านั้น หากผู้ส่งออกข้อมูลไม่สามารถแก้ไขหรือลบ จำกัด หรือส่งข้อมูลส่วนบุคคลไปยังบุคคลที่สามอื่นได้ ผู้นำเข้าข้อมูลจะเสนอความเป็นไปได้แก่ผู้ส่งออกข้อมูลเพื่อแก้ไขหรือลบ จำกัด หรือส่งข้อมูลส่วนบุคคลที่เกี่ยวข้องไปยังบุคคลที่สามอื่น ๆ หรือหากเป็นไปไม่ได้ จะให้ความช่วยเหลือในการแก้ไขหรือลบ จำกัด หรือส่งข้อมูลส่วนบุคคลที่เกี่ยวข้องไปยังบุคคลที่สาม
   6. NS. เกี่ยวกับการแจ้งเตือนเกี่ยวกับการแก้ไข การลบ หรือการจำกัดการประมวลผล (มาตรา 19 ของ GDPR) ผู้นำเข้าข้อมูลจะช่วยเหลือผู้ส่งออกข้อมูลโดยแจ้งผู้รับข้อมูลส่วนบุคคลทั้งหมดที่ผู้นำเข้าข้อมูลมีส่วนร่วมในฐานะผู้ประมวลผล หากผู้ส่งออกข้อมูลร้องขอและ หากผู้ส่งออกข้อมูลไม่สามารถแก้ไขสถานการณ์ได้ด้วยตนเอง
   7. อี เกี่ยวกับสิทธิ์ของการคัดค้านที่ใช้โดยเจ้าของข้อมูล (มาตรา 21 และ 22 ของ GDPR) ผู้ส่งออกข้อมูลจะพิจารณาว่าฝ่ายค้านนั้นถูกต้องตามกฎหมายหรือไม่และจะจัดการกับมันอย่างไร
   8. (iii) ภาระหน้าที่ในความช่วยเหลือของผู้นำเข้าข้อมูลจะจำกัดเฉพาะข้อมูลส่วนบุคคลที่ประมวลผลภายในโครงสร้างพื้นฐานของตน (เช่น ฐานข้อมูล ระบบ แอปพลิเคชันที่ผู้นำเข้าข้อมูลเป็นเจ้าของหรือจัดหาให้)
   9. (iv) ผู้ส่งออกข้อมูลจะต้องพิจารณาว่าเจ้าของข้อมูลอาจใช้สิทธิ์ของเจ้าของข้อมูลที่กำหนดไว้ในข้อ 3.1 ของส่วนที่ 1 นี้หรือไม่ และจะแนะนำให้ผู้นำเข้าข้อมูลทราบถึงขอบเขตความช่วยเหลือที่ระบุไว้ในข้อ 3.3 (ii) ( iii) ของส่วนที่ 1 เป็นสิ่งจำเป็น
   10. (v) หากผู้ส่งออกข้อมูลร้องขอเพิ่มเติมหรือแก้ไขมาตรการทางเทคนิคและองค์กรเพื่อให้เป็นไปตามสิทธิ์ของเจ้าของข้อมูลซึ่งนอกเหนือไปจากความช่วยเหลือที่ได้รับจากผู้นำเข้าข้อมูลภายใต้ข้อย่อย 3.3 (ii), (iii) ของส่วนที่ 1 ข้อมูล ผู้นำเข้าต้องแจ้งให้ผู้ส่งออกข้อมูลทราบถึงค่าใช้จ่ายในการดำเนินมาตรการทางเทคนิคและองค์กรเพิ่มเติมหรือแก้ไขดังกล่าว ทันทีที่ผู้ส่งออกข้อมูลยืนยันว่าสามารถชำระค่าใช้จ่ายเหล่านี้ได้ ผู้นำเข้าข้อมูลจะต้องดำเนินการตามมาตรการทางเทคนิคและองค์กรเพิ่มเติมหรือแก้ไขดังกล่าว เพื่อช่วยผู้ส่งออกข้อมูลในการตอบสนองต่อคำขอของเจ้าของข้อมูล
   11. (vi) โดยไม่จำกัดขอบเขตของข้อ 3.3 (v) ของส่วนที่ 1 ผู้ส่งออกข้อมูลมีหน้าที่ต้องชำระเงินคืนให้กับผู้นำเข้าข้อมูลสำหรับค่าใช้จ่ายที่สมเหตุสมผลที่เกิดขึ้นในการตอบสนองต่อคำขอของเจ้าของข้อมูล

3.4 การประมวลผลย่อย

1.  
   1. (i) ผู้ส่งออกข้อมูลอนุญาตให้ผู้นำเข้าข้อมูลใช้ผู้รับเหมาช่วงเพื่อให้บริการภายใต้ภาคผนวกนี้ ผู้นำเข้าข้อมูลจะต้องเลือกผู้ประมวลผลข้อมูลดังกล่าวอย่างระมัดระวัง ผู้ส่งออกข้อมูลอนุมัติผู้ประมวลผลข้อมูลที่ระบุไว้ในภาคผนวก 1.1 ที่ส่วนท้ายของส่วนที่ 2
   2. (ii) ผู้นำเข้าข้อมูลจะต้องโอนภาระหน้าที่ของตนภายใต้ภาคผนวกนี้ไปยังผู้ประมวลผลข้อมูลในขอบเขตที่บังคับใช้กับบริการที่ทำสัญญาช่วง
   3. (iii) ผู้นำเข้าข้อมูลอาจยกเลิก แทนที่ หรือแต่งตั้งผู้ประมวลผลข้อมูลที่เหมาะสมและเชื่อถือได้ตามดุลยพินิจของตน หากผู้ส่งออกข้อมูลร้องขอเป็นลายลักษณ์อักษร ผู้นำเข้าข้อมูลต้องปฏิบัติตามขั้นตอนที่กำหนดไว้ด้านล่าง:

1. 1. NS. ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบก่อนการเปลี่ยนแปลงใดๆ ในรายการผู้ประมวลผลข้อมูลที่อ้างอิงตามข้อ 3.4 (i) ของส่วนที่ 1 หากผู้ส่งออกข้อมูลไม่คัดค้านภายใต้ข้อ 3.4 (b) ของส่วนที่ 1 สามสิบวันหลังจากได้รับแจ้งจากผู้นำเข้าข้อมูล ให้ถือว่าผู้ประมวลผลข้อมูลเพิ่มเติมได้รับการยอมรับ
   2. NS. หากผู้ส่งออกข้อมูลมีเหตุผลที่ถูกต้องในการคัดค้านผู้ประมวลผลข้อมูลเพิ่มเติม จะมีการแจ้งเป็นลายลักษณ์อักษรล่วงหน้าไปยังผู้นำเข้าข้อมูลภายในสามสิบวันหลังจากได้รับแจ้งจากผู้นำเข้าข้อมูล และก่อนที่จะให้บริการของผู้นำเข้าข้อมูล หากผู้ส่งออกข้อมูลคัดค้านการใช้ตัวประมวลผลข้อมูลเพิ่มเติม ผู้นำเข้าข้อมูลอาจล้างการคัดค้านโดยหนึ่งในตัวเลือกต่อไปนี้ (เลือกตามดุลยพินิจของตน): (A) ผู้นำเข้าข้อมูลจะยกเลิกแผนการที่จะใช้ตัวประมวลผลเพิ่มเติมเกี่ยวกับ ข้อมูลส่วนบุคคลของผู้ส่งออกข้อมูล (B) ผู้นำเข้าข้อมูลจะใช้มาตรการแก้ไขที่ร้องขอโดยผู้ส่งออกข้อมูลในการคัดค้าน (ยกเลิกการคัดค้าน) และใช้ตัวประมวลผลเพิ่มเติมเกี่ยวกับข้อมูลส่วนบุคคลของผู้ส่งออกข้อมูล(C) ผู้นำเข้าข้อมูลอาจหยุดให้บริการหรือผู้ส่งออกข้อมูลอาจตกลงที่จะไม่ใช้ (ชั่วคราวหรือถาวร) แง่มุมเฉพาะของบริการซึ่งจะเกี่ยวข้องกับการใช้ตัวประมวลผลข้อมูลส่วนบุคคลของผู้ส่งออกข้อมูลต่อไปของผู้ส่งออกข้อมูล
2.  
   1. (iv) หากผู้ประมวลผลข้อมูลอยู่นอก EU-EEA ในประเทศที่ไม่ได้รับการยอมรับว่ามีการปกป้องข้อมูลในระดับที่เพียงพอตามการตัดสินใจของคณะกรรมาธิการยุโรป ผู้นำเข้าข้อมูลจะใช้มาตรการเพื่อให้สอดคล้องกับระดับที่เพียงพอ ของการปกป้องข้อมูลตาม GDPR (มาตรการดังกล่าวอาจรวมถึง - ท่ามกลางสิ่งอื่น ๆ และ - การใช้สัญญาการประมวลผลข้อมูลตามวรรคของแบบจำลองสหภาพยุโรป, การถ่ายโอนไปยังผู้ประมวลผลข้อมูลที่รับรองด้วยตนเองในกรอบงานของ EU-US Protection Shield หรือโปรแกรมที่คล้ายกัน)

3.5 หมดอายุ

การหมดอายุของภาคผนวกนี้เหมือนกับวันหมดอายุของสัญญาที่เกี่ยวข้อง ยกเว้นที่ระบุไว้เป็นอย่างอื่นในภาคผนวกนี้ สิทธิ์และหน้าที่ที่เกี่ยวข้องกับการยกเลิกจะเหมือนกับที่มีอยู่ในสัญญา

4. ข้อจำกัดความรับผิด

4.1 แต่ละฝ่ายจัดการภาระผูกพันภายใต้ภาคผนวกนี้และกฎหมายคุ้มครองข้อมูลที่บังคับใช้

4.2 ความรับผิดใด ๆ ที่เกี่ยวข้องกับการฝ่าฝืนภาระผูกพันภายใต้ภาคผนวกนี้หรือกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องจะต้องอยู่ภายใต้และควบคุมโดยบทบัญญัติความรับผิดที่กำหนดไว้ในหรือบังคับใช้กับสัญญา ยกเว้นที่ระบุไว้เป็นอย่างอื่นในภาคผนวกนี้ หากความรับผิดอยู่ภายใต้ข้อกำหนดความรับผิดที่กำหนดไว้ในหรือบังคับใช้กับสัญญา สำหรับการคำนวณขีดจำกัดความรับผิดหรือการกำหนดการใช้ข้อจำกัดความรับผิดอื่นๆ ความรับผิดใดๆ ที่เกิดขึ้นภายใต้ภาคผนวกนี้จะถือว่าเกิดขึ้นภายใต้สัญญา

5. ข้อกำหนดทั่วไป

5.1 หากมีความไม่สอดคล้องหรือความคลาดเคลื่อนระหว่างส่วนที่ 1 และ 2 ของภาคผนวกนี้ ส่วนที่ 2 จะมีผลเหนือกว่า โดยเฉพาะในกรณีดังกล่าว ส่วนที่ 1 ซึ่งมากกว่าส่วนที่ 2 (เช่น ข้อกำหนดของมาตรามาตรฐาน) โดยไม่ขัดแย้งจะยังคงมีผลใช้บังคับ

5.2 หากเกิดความคลาดเคลื่อนระหว่างบทบัญญัติของภาคผนวกนี้กับสัญญาอื่นๆ ที่มีผลผูกพันคู่สัญญา ภาคผนวกนี้จะมีผลเหนือกว่าเกี่ยวกับภาระหน้าที่ในการปกป้องข้อมูลของคู่สัญญา ในกรณีที่มีข้อสงสัยว่าข้อกำหนดในสัญญาอื่นๆ เกี่ยวข้องกับภาระหน้าที่ในการปกป้องข้อมูลของคู่สัญญาหรือไม่ ภาคผนวกนี้จะมีผลเหนือกว่า

5.3 หากบทบัญญัติใดในภาคผนวกนี้ไม่ถูกต้องหรือไม่สามารถบังคับใช้ได้ ส่วนที่เหลือของภาคผนวกนี้จะยังคงมีผลบังคับอย่างสมบูรณ์ บทบัญญัติที่ไม่ถูกต้องหรือไม่สามารถบังคับใช้ได้จะ (i) แก้ไขเพื่อให้มั่นใจถึงความถูกต้องและการบังคับใช้ ในขณะที่รักษาเจตนาของคู่สัญญาให้มากที่สุดเท่าที่จะเป็นไปได้ หรือ - หากเป็นไปไม่ได้ - (ii) ตีความราวกับว่าส่วนที่ไม่ถูกต้องหรือไม่สามารถบังคับใช้ได้มี ไม่เคยเป็นส่วนหนึ่งของสัญญา สิ่งที่กล่าวมานี้จะใช้บังคับด้วยหากมีการละเว้นในภาคผนวกนี้

5.5 ในขอบเขตที่จำเป็น ภาคีอาจขอแก้ไขส่วนที่ 1 ข้อ 3 (การปฏิบัติตามกฎหมายท้องถิ่น) หรือส่วนอื่น ๆ ของภาคผนวก เพื่อให้สอดคล้องกับการตีความ คำสั่ง หรือคำสั่งที่ออกโดยหน่วยงานผู้มีอำนาจของสหภาพหรือ ประเทศสมาชิก บทบัญญัติการบังคับใช้ระดับชาติ หรือการพัฒนาทางกฎหมายอื่นๆ ที่เกี่ยวข้องกับ GDPR หรือเงื่อนไขอื่นๆ ของการมอบหมายให้กับหน่วยงานใดๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูล และโดยเฉพาะเกี่ยวกับการใช้ข้อสัญญามาตรฐานใน GDPR ข้อกำหนดของ Standard Contractual Clauses ไม่สามารถแก้ไขหรือเปลี่ยนได้ เว้นแต่คณะกรรมาธิการยุโรปจะอนุมัติอย่างชัดแจ้ง (เช่น มาตราใหม่ที่เพียงพอและมาตรฐานการปกป้องข้อมูล)

5.6 การอ้างอิงใด ๆ ในภาคผนวกนี้ถึง " ข้อ " จะต้องเข้าใจเพื่ออ้างถึงข้อกำหนดทั้งหมดของภาคผนวกนี้ เว้นแต่จะระบุไว้เป็นอย่างอื่น

5.7 การเลือกกฎหมายในส่วนที่ 2 ข้อ 9 ใช้กับสัญญาทั้งหมด

6.  ข้อมูลส่วนบุคคลที่ส่งและประมวลผลโดยคู่กรณีเพื่อวัตถุประสงค์ส่วนตัว (ถ่ายโอนจากผู้ควบคุมข้อมูลไปยังผู้ควบคุมข้อมูล)

6.1 คู่สัญญาทราบดีว่าข้อมูลส่วนบุคคลบางอย่างจะถูกถ่ายโอนจากผู้ส่งออกข้อมูลไปยังผู้นำเข้าข้อมูล และในทางกลับกัน และข้อมูลดังกล่าวจะได้รับการประมวลผลโดยแต่ละฝ่ายเพื่อวัตถุประสงค์ของตนเอง เกี่ยวกับข้อมูลส่วนบุคคลดังกล่าว จะไม่ส่งผลกระทบต่อข้อกำหนดอื่นๆ ในภาคผนวกนี้ (ยกเว้นข้อ 6)

6.2 ผู้ส่งออกข้อมูลอาจถ่ายโอนข้อมูลส่วนบุคคลที่เกี่ยวข้องกับพนักงานของผู้นำเข้าข้อมูลไปยังผู้นำเข้าข้อมูล รวมถึงข้อมูลเกี่ยวกับเหตุการณ์ด้านความปลอดภัย หรือเอกสารหรือไฟล์อื่นใดที่สร้างหรือสร้างโดยผู้ส่งออกข้อมูลที่เกี่ยวข้องกับบริการที่จัดทำโดยเจ้าหน้าที่ของ ตัวนำเข้าข้อมูล ผู้นำเข้าข้อมูลอาจประมวลผลข้อมูลส่วนบุคคลดังกล่าวเพื่อวัตถุประสงค์ของตนเอง โดยเฉพาะอย่างยิ่งในความสัมพันธ์ทางวิชาชีพกับบุคลากรของผู้นำเข้าข้อมูล เพื่อการควบคุมคุณภาพและการฝึกอบรม หรือเพื่อวัตถุประสงค์ทางธุรกิจ

6.3. ผู้นำเข้าข้อมูลอาจถ่ายโอนข้อมูลส่วนบุคคลไปยังผู้ส่งออกข้อมูล ซึ่งรวมถึงชื่อและรายละเอียดการติดต่อของบุคลากรของผู้นำเข้าข้อมูล ผู้ส่งออกข้อมูลอาจประมวลผลข้อมูลส่วนบุคคลดังกล่าวเพื่อวัตถุประสงค์ของตนเอง

6.4 ทั้งสองฝ่ายจะต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง รวมถึง GDPR ในการรวบรวม ประมวลผล และใช้ข้อมูลส่วนบุคคลที่ได้รับจากอีกฝ่ายหนึ่งภายใต้ข้อ 1 ของส่วนที่ 1 โดยเฉพาะอย่างยิ่ง ทั้งสองฝ่ายต้องใช้มาตรการรักษาความปลอดภัยที่เพียงพอ ระดับการป้องกันที่ใกล้เคียงกันกับมาตรการรักษาความปลอดภัยที่กำหนดไว้ในภาคผนวก 2 ของส่วนที่ 2 การเข้าถึงข้อมูลส่วนบุคคลดังกล่าวจะถูกจำกัดให้จำเป็นต้องทราบ

6.5 ทั้งสองฝ่ายจะต้องลบข้อมูลส่วนบุคคลดังกล่าวโดยเร็วที่สุดหลังจากบรรลุวัตถุประสงค์แล้ว

ตอนที่ 2

การตัดสินใจของคณะกรรมการ

วันที่ 5 กุมภาพันธ์ 2553

ตามข้อสัญญามาตรฐานสำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังผู้ประมวลผลข้อมูลที่จัดตั้งขึ้นในประเทศบุคคลที่สามภายใต้คำสั่ง 95/46 / EC ของรัฐสภายุโรปและสภา

ข้อ 1

คำจำกัดความ

ภายในความหมายของข้อ:

ก) 'ข้อมูลส่วนบุคคล', 'หมวดหมู่พิเศษของข้อมูล', 'การประมวลผล/การประมวลผล', 'ผู้ควบคุม', 'ผู้ประมวลผล', 'เจ้าของข้อมูล' และ 'หน่วยงานกำกับดูแล' จะมีความหมายเช่นเดียวกับใน 95/46/EC คำสั่งของรัฐสภายุโรปและสภาแห่ง 24 ตุลาคม 2538 ว่าด้วยการปกป้องบุคคลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและการเคลื่อนย้ายข้อมูลดังกล่าวโดยเสรี (1);

ข) 'ผู้ส่งออกข้อมูล' คือผู้ควบคุมข้อมูลในการถ่ายโอนข้อมูลส่วนบุคคล

ค) 'ผู้นำเข้าข้อมูล' เป็นผู้ประมวลผลข้อมูลที่ตกลงที่จะได้รับจากข้อมูลส่วนบุคคลของผู้ส่งออกข้อมูลที่ตั้งใจให้ดำเนินการในนามของผู้ส่งออกข้อมูลหลังจากการถ่ายโอนตามคำแนะนำและภายใต้เงื่อนไขของข้อเหล่านี้และผู้ที่ไม่ ภายใต้กลไกของประเทศที่สามเพื่อให้มั่นใจว่าได้รับการคุ้มครองอย่างเพียงพอตามความหมายของมาตรา 25(1) ของ Directive 95/46/EC (d) 'ผู้ประมวลผลข้อมูล' หมายถึงผู้ประมวลผลข้อมูลที่มีส่วนร่วมโดยผู้นำเข้าข้อมูลหรือโดยผู้ประมวลผลข้อมูลอื่น ๆ ของผู้นำเข้าข้อมูลซึ่งตกลงที่จะได้รับจากผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลอื่น ๆ ของข้อมูลส่วนบุคคลของผู้นำเข้าข้อมูลโดยเฉพาะสำหรับกิจกรรมการประมวลผลเพื่อ ดำเนินการในนามของผู้ส่งออกข้อมูลหลังจากโอนตามคำแนะนำของผู้ส่งออกข้อมูลภายใต้เงื่อนไขที่กำหนดไว้ในข้อกำหนดเหล่านี้และภายใต้เงื่อนไขของการทำสัญญาย่อยเป็นลายลักษณ์อักษรในสัญญาการประมวลผลข้อมูล

จ) "กฎหมายคุ้มครองข้อมูลที่บังคับใช้" หมายถึงกฎหมายที่คุ้มครองสิทธิและเสรีภาพขั้นพื้นฐานของบุคคล รวมถึงสิทธิในความเป็นส่วนตัวเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล และนำไปใช้กับผู้ควบคุมในประเทศสมาชิกที่จัดตั้งผู้ส่งออกข้อมูล

f) “มาตรการทางเทคนิคและองค์กรที่เกี่ยวข้องกับการรักษาความปลอดภัย” หมายถึง มาตรการที่มีจุดประสงค์เพื่อปกป้องข้อมูลส่วนบุคคลจากการทำลายโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย หรือการสูญเสียโดยไม่ได้ตั้งใจ การเปลี่ยนแปลง การเปิดเผยหรือการเข้าถึงโดยไม่ได้รับอนุญาต โดยเฉพาะอย่างยิ่งในกรณีที่การประมวลผลเกี่ยวข้องกับการส่งข้อมูลผ่านเครือข่าย และกับการประมวลผลรูปแบบที่ผิดกฎหมายอื่นๆ ทั้งหมด

ข้อ 2

รายละเอียดการโอนเงิน

รายละเอียดของการถ่ายโอน รวมถึงข้อมูลส่วนบุคคลประเภทพิเศษตามความเหมาะสม ระบุไว้ในภาคผนวก 1 ซึ่งเป็นส่วนหนึ่งของข้อกำหนดเหล่านี้

ข้อ 3

มาตราผู้รับผลประโยชน์บุคคลที่สาม

1. เจ้าของข้อมูลอาจบังคับใช้กับผู้ส่งออกข้อมูลในข้อนี้ ข้อ 4(b) ถึง (i) ข้อ 5(a) ถึง (e) และ (g) ถึง (j) ข้อ 6 (1) และ (2 ) ข้อ 7 ข้อ 8(2) และข้อ 9 ถึง 12 ในฐานะผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม

2. เจ้าของข้อมูลอาจบังคับใช้ข้อกำหนดนี้ ข้อ 5 (a) ถึง (e) และ (g) ข้อ 6 ข้อ 7 ข้อ 8 (2) และข้อ 9 ถึง 12 กับผู้นำเข้าข้อมูลซึ่งผู้ส่งออกข้อมูลมีอยู่จริง หายตัวไปหรือไม่มีอยู่ในกฎหมาย เว้นแต่ภาระผูกพันทางกฎหมายทั้งหมดของเขาได้ถูกโอนโดยสัญญาหรือโดยการดำเนินการของกฎหมาย ไปยังนิติบุคคลที่รับช่วงต่อ ซึ่งสิทธิ์และภาระหน้าที่ของผู้ส่งออกข้อมูลจึงเปลี่ยนกลับ และข้อมูลดังกล่าว เรื่องจึงสามารถบังคับใช้ข้อดังกล่าวได้

เจ้าของข้อมูลอาจบังคับใช้ข้อนี้ ข้อ 5 (a) ถึง (e) และ (g) ข้อ 6 ข้อ 7 ข้อ 8 (2) และข้อ 9 ถึง 12 กับผู้ประมวลผลข้อมูล แต่เฉพาะในกรณีที่ข้อมูล ผู้ส่งออกและผู้นำเข้าข้อมูลได้หายตัวไปทางกายภาพ หยุดอยู่ในกฎหมายหรือล้มละลาย เว้นแต่ภาระผูกพันทางกฎหมายทั้งหมดของผู้ส่งออกข้อมูลได้รับการถ่ายโอนโดยสัญญาหรือโดยการดำเนินการตามกฎหมาย ไปยังผู้สืบทอดทางกฎหมายซึ่งได้รับสิทธิ์และ ภาระหน้าที่ของผู้ส่งออกข้อมูลจึงตกเป็นกรรมสิทธิ์ และผู้ที่เจ้าของข้อมูลอาจบังคับใช้ข้อกำหนดดังกล่าวได้ ความรับผิดของผู้ประมวลผลข้อมูลดังกล่าวจะต้องจำกัดเฉพาะกิจกรรมการประมวลผลของตนเองภายใต้ข้อเหล่านี้

4. คู่สัญญาไม่คัดค้านเจ้าของข้อมูลที่แสดงโดยสมาคมหรือหน่วยงานอื่น ๆ หากเขาหรือเธอต้องการและหากกฎหมายภายในประเทศอนุญาต

ข้อ 4

ภาระหน้าที่ของผู้ส่งออกข้อมูล

ผู้ส่งออกข้อมูลยอมรับและรับประกันสิ่งต่อไปนี้:

ก) การประมวลผล รวมถึงการถ่ายโอนข้อมูลส่วนบุคคลที่แท้จริง ได้รับและจะยังคงดำเนินการต่อไปตามบทบัญญัติที่เกี่ยวข้องของกฎหมายคุ้มครองข้อมูลที่บังคับใช้ (และหากมีการแจ้งไปยังหน่วยงานที่มีอำนาจของรัฐสมาชิก ซึ่งผู้ส่งออกข้อมูลตั้งอยู่) และไม่ละเมิดข้อกำหนดที่เกี่ยวข้องของรัฐนั้น

ข) พวกเขาได้แนะนำ และจะสั่งให้ผู้นำเข้าข้อมูลประมวลผลข้อมูลส่วนบุคคลที่ถ่ายโอนในนามของผู้ส่งออกข้อมูลเพียงผู้เดียวตลอดระยะเวลาของบริการประมวลผลข้อมูลส่วนบุคคล และเป็นไปตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้และข้อเหล่านี้

c) ผู้นำเข้าข้อมูลจะจัดให้มีการป้องกันที่เพียงพอเกี่ยวกับมาตรการทางเทคนิคและความปลอดภัยขององค์กรตามที่ระบุไว้ในภาคผนวก 2 ของสัญญาปัจจุบัน

d) หลังจากประเมินข้อกำหนดของกฎหมายคุ้มครองข้อมูลที่บังคับใช้ มาตรการรักษาความปลอดภัยก็เพียงพอที่จะปกป้องข้อมูลส่วนบุคคลจากการทำลายโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย หรือการสูญหายโดยไม่ได้ตั้งใจ การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึง โดยเฉพาะอย่างยิ่งในกรณีที่การประมวลผลเกี่ยวข้องกับการส่งข้อมูล ผ่านเครือข่ายและต่อต้านรูปแบบการประมวลผลที่ผิดกฎหมายอื่น ๆ และรับรองระดับความปลอดภัยที่เหมาะสมกับความเสี่ยงที่แสดงโดยการประมวลผลและลักษณะของข้อมูลที่จะได้รับการป้องกัน โดยคำนึงถึงระดับของเทคโนโลยีและค่าใช้จ่ายในการดำเนินการ

จ) พวกเขาจะรับรองการปฏิบัติตามมาตรการรักษาความปลอดภัย

f) หากการถ่ายโอนเกี่ยวข้องกับข้อมูลประเภทพิเศษ เจ้าของข้อมูลได้รับแจ้งหรือจะได้รับแจ้งก่อนการถ่ายโอนหรือโดยเร็วที่สุดหลังจากการถ่ายโอนข้อมูลของตนอาจถูกถ่ายโอนไปยังประเทศที่สามที่ไม่ได้เสนอ ระดับการป้องกันที่เพียงพอตามความหมายของ Directive 95/46/EC

g) พวกเขาจะส่งต่อการแจ้งเตือนใด ๆ ที่ได้รับจากผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลใด ๆ ภายใต้ข้อ 5 (b) และ 8 (3) ไปยังหน่วยงานกำกับดูแลด้านการปกป้องข้อมูล หากตัดสินใจที่จะถ่ายโอนต่อหรือยกเลิกการระงับ

h) พวกเขาจะต้องจัดให้มีสำเนาของข้อกำหนดเหล่านี้หากพวกเขาร้องขอ ยกเว้นภาคผนวก 2 และคำอธิบายโดยสรุปของมาตรการรักษาความปลอดภัย และสำเนาของข้อตกลงการรับเหมาช่วงเพิ่มเติมใด ๆ ที่สรุปภายใต้ข้อกำหนดเหล่านี้ เว้นแต่ ข้อหรือข้อตกลงมีข้อมูลทางการค้าซึ่งในกรณีนี้เขาอาจถอนข้อมูลดังกล่าว

ฌ) ในกรณีของการจ้างช่วงกระบวนการประมวลผลข้อมูล กิจกรรมการประมวลผลจะดำเนินการตามข้อ 11 โดยผู้ประมวลผลข้อมูลที่ให้การคุ้มครองข้อมูลส่วนบุคคลและสิทธิของเจ้าของข้อมูลอย่างน้อยในระดับเดียวกับผู้นำเข้าข้อมูลภายใต้ข้อกำหนดเหล่านี้ ; และ

j) จะรับรองการปฏิบัติตามข้อ 4 (a) ถึง (i)

ข้อ 5

ภาระหน้าที่ของผู้นำเข้าข้อมูล

ผู้นำเข้าข้อมูลยอมรับและรับประกันสิ่งต่อไปนี้:

ก) พวกเขาจะประมวลผลข้อมูลส่วนบุคคลในนามของผู้ส่งออกข้อมูลเท่านั้นและภายใต้คำแนะนำของผู้ส่งออกข้อมูลและข้อเหล่านี้ หากไม่สามารถปฏิบัติตามได้ไม่ว่าด้วยเหตุผลใดๆ พวกเขาตกลงที่จะแจ้งให้ผู้ส่งออกข้อมูลทราบถึงความไม่สามารถใช้งานได้โดยเร็วที่สุด ซึ่งในกรณีนี้ ผู้ส่งออกข้อมูลอาจระงับการถ่ายโอนข้อมูลและ/หรือสิ้นสุดสัญญา

ข) พวกเขาไม่มีเหตุผลที่จะเชื่อว่ากฎหมายที่ใช้บังคับกับพวกเขาป้องกันไม่ให้เขาปฏิบัติตามคำแนะนำที่ได้รับจากผู้ส่งออกข้อมูลและภาระหน้าที่ที่ตกอยู่ภายใต้สัญญาและหากกฎหมายดังกล่าวอาจมีการเปลี่ยนแปลงซึ่งอาจมีผลเสียอย่างมีนัยสำคัญ ผลกระทบต่อการรับประกันและภาระผูกพันภายใต้เงื่อนไข เขาจะแจ้งให้ผู้ส่งออกข้อมูลทราบถึงการเปลี่ยนแปลงโดยไม่ชักช้าหลังจากทราบถึงการเปลี่ยนแปลง ในกรณีนี้ ผู้ส่งออกข้อมูลอาจระงับการถ่ายโอนข้อมูลและ/หรือสิ้นสุดสัญญา (c) พวกเขาได้ใช้มาตรการทางเทคนิคและความปลอดภัยขององค์กรที่ระบุไว้ในภาคผนวก 2 ก่อนประมวลผลข้อมูลส่วนบุคคลที่ถ่ายโอน

ง) พวกเขาจะแจ้งให้ผู้ส่งออกข้อมูลทราบโดยไม่ชักช้า:

i) คำขอที่มีผลผูกพันใดๆ สำหรับการเปิดเผยข้อมูลส่วนบุคคลจากหน่วยงานบังคับใช้กฎหมาย เว้นแต่จะระบุไว้เป็นอย่างอื่น เช่น การห้ามทางอาญาที่มุ่งรักษาความลับของการสอบสวนของตำรวจ

ii) การเข้าถึงโดยบังเอิญหรือไม่ได้รับอนุญาต; และ

iii) คำขอใด ๆ ที่ได้รับโดยตรงจากบุคคลที่เกี่ยวข้องโดยไม่ตอบกลับเว้นแต่เขาจะได้รับอนุญาตให้ทำเช่นนั้น ผู้ดูแลระบบ

จ) พวกเขาจะจัดการกับคำถามทั้งหมดจากผู้ส่งออกข้อมูลโดยทันทีและถูกต้องเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลที่จะถูกถ่ายโอน และจะดำเนินการภายใต้ความเห็นของหน่วยงานกำกับดูแลเกี่ยวกับการประมวลผลข้อมูลที่ถ่ายโอน

ฉ) ตามคำร้องขอของผู้ส่งออกข้อมูล พวกเขาจะให้สิ่งอำนวยความสะดวกในการประมวลผลข้อมูลตรวจสอบกิจกรรมการประมวลผลที่ครอบคลุมโดยข้อเหล่านี้เพื่อดำเนินการโดยผู้ส่งออกข้อมูลหรือหน่วยงานกำกับดูแลซึ่งประกอบด้วยสมาชิกอิสระที่มีคุณสมบัติทางวิชาชีพที่จำเป็น ภายใต้ภาระหน้าที่ของการรักษาความลับและเลือกโดยผู้ส่งออกข้อมูล ตามความเหมาะสมกับข้อตกลงของหน่วยงานกำกับดูแล

g) ข้อมูลเหล่านี้จะเผยแพร่แก่เจ้าของข้อมูล หากเขาร้องขอ สำเนาของข้อกำหนดเหล่านี้ หรือการทำสัญญาช่วงใดๆ ที่มีอยู่ของสัญญาการประมวลผลข้อมูล เว้นแต่ข้อกำหนดหรือสัญญาจะมีข้อมูลทางการค้า ซึ่งในกรณีนี้อาจลบข้อมูลดังกล่าว ข้อมูล ยกเว้นภาคผนวก 2 ซึ่งจะถูกแทนที่ด้วยคำอธิบายโดยสรุปของมาตรการความปลอดภัย ซึ่งเจ้าของข้อมูลไม่สามารถรับสำเนาจากผู้ส่งออกข้อมูล

h) ในกรณีของการจ้างช่วงการประมวลผลข้อมูลที่เป็นความลับต่อไป เขาจะตรวจสอบให้แน่ใจว่าได้แจ้งให้ผู้ส่งออกข้อมูลทราบล่วงหน้าและได้รับความยินยอมเป็นลายลักษณ์อักษรจากผู้ส่งออกข้อมูล

i) บริการประมวลผลที่จัดเตรียมโดยผู้ประมวลผลข้อมูลจะต้องปฏิบัติตามข้อ 11

ญ) พวกเขาจะส่งสำเนาของการทำสัญญาช่วงใด ๆ ของข้อตกลงการประมวลผลข้อมูลที่ทำขึ้นโดยข้อตกลงภายใต้ข้อกำหนดเหล่านี้ไปยังผู้ส่งออกข้อมูลโดยทันที

ข้อ 6

ความรับผิดชอบ

1. คู่สัญญาตกลงว่าเจ้าของข้อมูลที่ได้รับความเสียหายอันเนื่องมาจากการละเมิดภาระหน้าที่ที่อ้างถึงในข้อ 3 หรือข้อ 11 โดยฝ่ายหนึ่งหรือโดยผู้ประมวลผลข้อมูลอาจได้รับค่าชดเชยจากผู้ส่งออกข้อมูลสำหรับความเสียหายที่ได้รับ

2. หากเจ้าของข้อมูลถูกป้องกันไม่ให้ดำเนินการฟ้องร้องเรียกค่าเสียหายตามที่อ้างถึงในวรรค 1 กับผู้ส่งออกข้อมูลสำหรับความล้มเหลวโดยผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลในการปฏิบัติตามภาระผูกพันใด ๆ ภายใต้ข้อ 3 หรือข้อ 11 เนื่องจากข้อมูล ผู้ส่งออกหายตัวไปทางกายภาพ หยุดอยู่ในกฎหมายหรือล้มละลาย ผู้นำเข้าข้อมูลตกลงว่าเจ้าของข้อมูลอาจยื่นคำร้องเรียนราวกับว่าเป็นผู้ส่งออกข้อมูล เว้นแต่จะมีการโอนภาระผูกพันทางกฎหมายทั้งหมดของผู้ส่งออกข้อมูลตามสัญญา หรือโดยการดำเนินการของกฎหมาย ต่อหน่วยงานที่สืบทอด ซึ่งเจ้าของข้อมูลอาจบังคับใช้สิทธิ์ของเขา ผู้นำเข้าข้อมูลต้องไม่พึ่งพาการละเมิดหน้าที่โดยผู้ประมวลผลข้อมูลเพื่อหลีกเลี่ยงความรับผิดของตนเอง

3. If a data subject is prevented from bringing the action referred to in paragraphs 1 and 2 against the Data Exporter or the Data Importer for breach by the Data processor of its obligations under Clause 3 or Clause 11 because the Data Exporter and the Data Importer have physically disappeared, ceased to exist in law or have become insolvent, the Data processor agrees that the data subject may lodge a complaint against it regarding its own processing activities in accordance with these clauses as if it were the Data Exporter or Data Importer unless all legal obligations of the Data Exporter or Data Importer have been transferred, by contract or by operation of law, to the legal successor, against whom the data subject may then assert his rights. The liability of the Data processor must be limited to its own processing activities in accordance with these clauses.

ข้อ 7

การไกล่เกลี่ยและเขตอำนาจศาล

1. ผู้นำเข้าข้อมูลตกลงว่าหากอยู่ภายใต้ข้อบังคับ เจ้าของข้อมูลเรียกร้องสิทธิ์ของบุคคลที่สามผู้รับผลประโยชน์และ/หรือเรียกร้องค่าชดเชยสำหรับความอยุติธรรมที่ได้รับ เขาจะยอมรับการตัดสินใจของเจ้าของข้อมูล:

ก) ยื่นข้อพิพาทเพื่อไกล่เกลี่ยโดยบุคคลอิสระหรือหน่วยงานกำกับดูแลตามความเหมาะสม

ข) นำข้อพิพาทไปสู่ศาลของประเทศสมาชิกที่ผู้ส่งออกข้อมูลตั้งอยู่

2. คู่สัญญาตกลงว่าการเลือกที่ทำโดยเจ้าของข้อมูลจะไม่ส่งผลกระทบต่อสิทธิ์ในกระบวนการหรือสาระสำคัญของเจ้าของข้อมูลเพื่อขอรับการแก้ไขตามบทบัญญัติอื่น ๆ ของกฎหมายในประเทศหรือกฎหมายระหว่างประเทศ

ข้อ 8

ความร่วมมือกับหน่วยงานกำกับดูแล

1. ผู้ส่งออกข้อมูลตกลงที่จะฝากสำเนาของสัญญาปัจจุบันกับหน่วยงานกำกับดูแลหากต้องการหรือหากการฝากดังกล่าวจัดทำขึ้นโดยกฎหมายคุ้มครองข้อมูลที่บังคับใช้

2. คู่สัญญาตกลงว่าหน่วยงานกำกับดูแลอาจดำเนินการตรวจสอบที่ผู้นำเข้าข้อมูลและผู้ประมวลผลข้อมูลใด ๆ ในขอบเขตเดียวกันและภายใต้เงื่อนไขเดียวกันกับการตรวจสอบที่ดำเนินการที่ผู้ส่งออกข้อมูลตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้

3. ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบโดยเร็วที่สุดว่ามีกฎหมายเกี่ยวกับผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลใด ๆ ที่ขัดขวางการตรวจสอบที่ผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลใด ๆ ตามวรรค 2 ในกรณีดังกล่าว ผู้ส่งออกข้อมูลอาจใช้มาตรการที่กำหนดไว้ในข้อ 5 (ข)

ข้อ 9

กฎหมายที่ใช้บังคับ

ข้อกำหนดนี้มีผลบังคับใช้และอยู่ภายใต้กฎหมายของประเทศสมาชิกที่ผู้ส่งออกข้อมูลตั้งอยู่

ข้อ 10

การแก้ไขสัญญา

คู่สัญญาทั้งสองฝ่ายจะไม่แก้ไขข้อกำหนดปัจจุบัน คู่สัญญายังคงมีอิสระที่จะรวมประโยคทางการค้าอื่น ๆ ที่พวกเขาเห็นว่าจำเป็น โดยมีเงื่อนไขว่าต้องไม่ขัดแย้งกับวรรคปัจจุบัน

ข้อ 11

การรับเหมาช่วงต่อไป

1. ผู้นำเข้าข้อมูลจะไม่จ้างช่วงกิจกรรมการประมวลผลใด ๆ ที่ดำเนินการในนามของผู้ส่งออกข้อมูลภายใต้ข้อเหล่านี้โดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าจากผู้ส่งออกข้อมูล ผู้นำเข้าข้อมูลจะทำสัญญาช่วงภาระผูกพันของตนภายใต้เงื่อนไขเหล่านี้ ด้วยความยินยอมของผู้ส่งออกข้อมูล ผ่านข้อตกลงเป็นลายลักษณ์อักษรกับผู้ประมวลผลข้อมูลที่กำหนดภาระหน้าที่เดียวกันกับผู้ประมวลผลข้อมูลตามที่กำหนดไว้กับผู้นำเข้าข้อมูลภายใต้ข้อกำหนดเหล่านี้ หากผู้ประมวลผลข้อมูลไม่สามารถปฏิบัติตามภาระหน้าที่ในการปกป้องข้อมูลภายใต้ข้อตกลงที่เป็นลายลักษณ์อักษรนั้น ผู้นำเข้าข้อมูลจะยังคงรับผิดชอบอย่างเต็มที่ต่อผู้ส่งออกข้อมูลสำหรับการปฏิบัติตามภาระผูกพันเหล่านั้น

2. ข้อตกลงเป็นลายลักษณ์อักษรล่วงหน้าระหว่างผู้นำเข้าข้อมูลและผู้ประมวลผลข้อมูลจะรวมถึงประโยคผู้รับผลประโยชน์บุคคลที่สามตามที่กำหนดไว้ในข้อ 3 สำหรับกรณีที่เจ้าของข้อมูลไม่สามารถเรียกร้องค่าเสียหายที่อ้างถึงในข้อ 6 (1 ) กับผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลเนื่องจากผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลได้สูญหายไป หยุดอยู่ในกฎหมายหรือล้มละลาย และภาระผูกพันทางกฎหมายทั้งหมดของผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลยังไม่ได้รับการถ่ายโอน โดยสัญญาหรือโดยการดำเนินการ ของกฎหมายไปยังหน่วยงานที่สืบทอดอื่น ความรับผิดของผู้ประมวลผลข้อมูลจะต้องจำกัดเฉพาะกิจกรรมการประมวลผลของตนเองตามข้อกำหนดเหล่านี้

3. ข้อกำหนดเกี่ยวกับด้านการปกป้องข้อมูลของการทำสัญญาช่วงการประมวลผลข้อมูลของสัญญาที่อ้างถึงในวรรค 1 ให้อยู่ภายใต้กฎหมายของประเทศสมาชิกที่จัดตั้งผู้ส่งออกข้อมูล

4. ผู้ส่งออกข้อมูลจะต้องเก็บรายชื่อการทำสัญญาช่วงของข้อตกลงการประมวลผลข้อมูลที่ได้ข้อสรุปภายใต้เงื่อนไขเหล่านี้และแจ้งโดยผู้นำเข้าข้อมูลตามข้อ 5 (j) ซึ่งจะได้รับการปรับปรุงอย่างน้อยปีละครั้ง รายการนี้จะต้องเปิดเผยต่อหน่วยงานกำกับดูแลการปกป้องข้อมูลของผู้ส่งออกข้อมูล

ข้อ 12

ภาระผูกพันหลังจากสิ้นสุดบริการประมวลผลข้อมูลส่วนบุคคล

1. คู่สัญญาตกลงว่าเมื่อเสร็จสิ้นบริการประมวลผลข้อมูล ผู้นำเข้าข้อมูลและผู้ประมวลผลข้อมูลจะส่งคืนข้อมูลส่วนบุคคลทั้งหมดที่ถ่ายโอนและคัดลอกไปยังผู้ส่งออกข้อมูลตามความสะดวกของผู้ส่งออกข้อมูล หรือทำลายข้อมูลดังกล่าวทั้งหมดและแสดงหลักฐาน การทำลายข้อมูลของผู้ส่งออกข้อมูล เว้นแต่กฎหมายกำหนดไว้สำหรับผู้นำเข้าข้อมูลจะป้องกันไม่ให้ส่งคืนหรือทำลายข้อมูลส่วนบุคคลทั้งหมดหรือบางส่วนที่ถ่ายโอน ในกรณีดังกล่าว ผู้นำเข้าข้อมูลรับประกันว่าจะรักษาความลับของข้อมูลส่วนบุคคลที่ถ่ายโอน และจะไม่ประมวลผลข้อมูลอย่างจริงจังอีกต่อไป

2. ผู้นำเข้าข้อมูลและผู้ประมวลผลข้อมูลจะต้องตรวจสอบให้แน่ใจว่าหากได้รับการร้องขอจากผู้ส่งออกข้อมูลและ/หรือหน่วยงานกำกับดูแล พวกเขาจะใช้วิธีการประมวลผลข้อมูลเพื่อตรวจสอบมาตรการที่อ้างถึงในวรรค 1

ภาคผนวก 1.1 ถึงส่วนที่ 2

รายละเอียดการโอนเงิน

ผู้ส่งออกข้อมูล

ผู้ส่งออกข้อมูลคือลูกค้าที่กำหนดไว้ในข้อตกลงตามสัญญา

ตัวนำเข้าข้อมูล

ผู้นำเข้าข้อมูลคือ POSTCODEZIP และได้รับมอบหมายให้ประมวลผลข้อมูล โดยให้บริการแก่ผู้ส่งออกข้อมูล

หัวเรื่องของข้อมูล

ข้อมูลส่วนบุคคลที่ถ่ายโอนเกี่ยวข้องกับหมวดหมู่ต่อไปนี้ของเจ้าของข้อมูล:

NS?? สมาชิกโทรศัพท์ที่ระบุไว้ในไดเร็กทอรีสากล

â˜'อื่น ๆ รวมถึง:

หมวดหมู่ของข้อมูล

ข้อมูลส่วนบุคคลที่ถ่ายโอนเกี่ยวข้องกับข้อมูลประเภทต่อไปนี้:

หมวดหมู่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลของผู้ส่งออกข้อมูลโดยเฉพาะ

NS?? ชื่อเต็ม

˜ที่อยู่ไปรษณีย์

NS?? รายละเอียดการติดต่อ (อีเมล โทรศัพท์ ที่อยู่ IP ฯลฯ)

NS?? รายละเอียดกิจกรรมทางการตลาดเกี่ยวกับผู้ใช้บริการโทรศัพท์

•อื่นๆ รวมทั้งประเภทที่อยู่อาศัย รายได้ และอายุเฉลี่ยตามเมืองที่ทำโดยไม่ระบุชื่อ

หมวดหมู่ข้อมูลพิเศษ (ถ้ามี)

ข้อมูลส่วนบุคคลที่ถ่ายโอนเกี่ยวข้องกับข้อมูลประเภทพิเศษต่อไปนี้:

â˜'การถ่ายโอนข้อมูลประเภทพิเศษไม่ได้คาดการณ์ไว้

NS?? เชื้อชาติหรือชาติพันธุ์

NS?? ความเชื่อทางศาสนาหรือปรัชญา

NS?? สมาชิกสหภาพแรงงาน

NS?? มุมมองทางการเมือง

NS?? ข้อมูลทางพันธุกรรม

NS?? ข้อมูลไบโอเมตริกซ์

NS?? ข้อมูลเกี่ยวกับรสนิยมทางเพศหรือชีวิตทางเพศ

NS?? ข้อมูลสุขภาพ

กิจกรรมแปรรูป

ข้อมูลส่วนบุคคลที่ถ่ายโอนจะอยู่ภายใต้กิจกรรมการประมวลผลพื้นฐานต่อไปนี้:

•  
  • â  วัตถุประสงค์ของการประมวลผล

การประมวลผลที่ดำเนินการในนามของผู้ส่งออกข้อมูลจะขึ้นอยู่กับหัวข้อต่อไปนี้ โดยเฉพาะ:

â˜'รับผิดชอบผลิตภัณฑ์หรือบริการที่นำเสนอโดยผู้ส่งออกข้อมูล

â˜'ข้อเสนอของผลิตภัณฑ์หรือบริการที่ผู้ถูกเรียกสามารถร้องขอได้

â˜'คำสั่งที่นำมาจากบุคคลที่เรียกและดำเนินการต่อไปของคำสั่งเหล่านี้

â˜'ศึกษาแบบสอบถามและการวิเคราะห์

â˜' การตลาดทางโทรศัพท์

NS?? อื่นๆ รวมถึง:

•  
  • •  ลักษณะและวัตถุประสงค์ของการประมวลผล

ผู้นำเข้าข้อมูลจะประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลในนามของผู้ส่งออกข้อมูล เพื่อให้บริการดังต่อไปนี้ และที่สะดุดตาที่สุด:

• â˜' กรอกแบบฟอร์มอัตโนมัติ
• â˜' แบบฟอร์มยืนยันที่อยู่

â˜' การขายและการตลาด

â˜'อื่น ๆ รวมถึงการอัพเดทฐานข้อมูลของศาลากลางและพรรคการเมือง

•  
  • •  การให้บริการและการจ้างงานของผู้ให้บริการ

POSTODEZIP ส่วนใหญ่จะรวม รวบรวม และให้บริการแก่ผู้ส่งออกข้อมูล บริการที่ให้บริการโดยผู้ให้บริการที่ระบุชื่ออาจมีโครงสร้าง (นอกเหนือจากอื่น ๆ ตามความเหมาะสม) รอบ ๆ บริการเสริมต่อไปนี้: (i) การจัดหาแอปพลิเคชัน เครื่องมือ ระบบ และโครงสร้างพื้นฐานด้านไอทีที่เกี่ยวข้องกับศูนย์ประมวลผลข้อมูลที่ใช้เพื่อให้ และสนับสนุนบริการ รวมถึงการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลตามที่อธิบายไว้ข้างต้น ผ่านแอปพลิเคชัน เครื่องมือ และระบบดังกล่าว (ii) การจัดหาการสนับสนุนด้านไอที การบำรุงรักษา และบริการอื่นๆ ที่เกี่ยวข้องกับแอปพลิเคชัน เครื่องมือ ระบบดังกล่าว และโครงสร้างพื้นฐานด้านไอที รวมถึงการเข้าถึงข้อมูลส่วนบุคคลที่เก็บไว้ในแอปพลิเคชัน เครื่องมือ และระบบดังกล่าว และ (iii) การจัดหาบริการปกป้องข้อมูล การตรวจสอบการป้องกัน และบริการตอบสนองต่อเหตุการณ์รวมถึงการเข้าถึงข้อมูลส่วนบุคคลที่อาจเกิดขึ้นเมื่อให้บริการป้องกันดังกล่าว POSTCODEZIP อาจว่าจ้างผู้ประมวลผลข้อมูลตามที่กำหนดไว้ด้านล่างเพื่อให้บริการ ซึ่งรวมถึงบริการเสริม

•  
  • •ผู้ให้บริการภายนอกภายนอกเป็นหน่วยงานย่อยที่กำหนดให้กับการประมวลผลข้อมูล

POSTCODEZIP ว่าจ้างผู้ให้บริการภายนอกและบุคคลที่สาม ซึ่งไม่ใช่บริษัทในเครือของ POSTCODEZIP เพื่อสนับสนุนการให้บริการแก่ผู้ส่งออกข้อมูล ผู้ส่งออกข้อมูลอนุมัติผู้ให้บริการบุคคลที่สามภายนอกดังกล่าวเป็นหน่วยงานย่อยที่กำหนดให้กับการประมวลผลข้อมูล

หากหน่วยงานย่อยที่เกี่ยวข้องกับการประมวลผลข้อมูลตั้งอยู่นอก EU/EEA ในประเทศที่ถือว่าไม่มีระดับการปกป้องข้อมูลที่เพียงพอภายใต้การตัดสินใจของคณะกรรมาธิการยุโรป ผู้นำเข้าข้อมูลจะดำเนินการเพื่อให้ได้ระดับที่เพียงพอ การปกป้องข้อมูลตาม GDPR และมาตรา 3.4 (iv) ของส่วนที่ 1

ภาคผนวก 2 ตอนที่ 2

มาตรการป้องกันทางเทคนิคและองค์กร

ผู้นำเข้าข้อมูลจะใช้มาตรการทางเทคนิคและการป้องกันเชิงองค์กรที่ได้รับการยืนยันโดยผู้ส่งออกข้อมูล เพื่อรับประกันระดับความปลอดภัยที่เหมาะสมสำหรับสิทธิ์และเสรีภาพของบุคคล ทั้งนี้ขึ้นอยู่กับความเสี่ยง ในการประเมินระดับการป้องกันที่เกี่ยวข้อง ผู้ส่งออกข้อมูลได้พิจารณาโดยเฉพาะความเสี่ยงที่เกี่ยวข้องกับการประมวลผล ซึ่งรวมถึงการทำลายโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลส่วนบุคคลที่ส่ง จัดเก็บ หรือประมวลผล โดยการชี้แจง: มาตรการทางเทคนิคและการป้องกันองค์กรเหล่านี้ใช้ไม่ได้กับแอปพลิเคชัน เครื่องมือ ระบบ และ/หรือโครงสร้างพื้นฐานด้านไอทีที่ Data Exporter ให้บริการ

ตอนที่ 3

ลายเซ็นของคู่สัญญาและรายชื่อผู้นำเข้าข้อมูล

เมื่อคุณกรอกแบบฟอร์มสั่งซื้อออนไลน์และตรวจสอบโดยทำเครื่องหมายในช่องยอมรับข้อกำหนดและเงื่อนไขการใช้งานทั่วไป สัญญาที่ควบคุมความสัมพันธ์ระหว่างลูกค้ากับ POSTCODEZIP จะถูกสร้างขึ้น

การส่งการชำระเงินไปยัง POSTCODEZIP จะพิจารณาสัญญาที่ตกลงและจัดตั้งขึ้น

จดบันทึก: ข้อความนี้ได้รับการแปลจากภาษาฝรั่งเศส รุ่นต้นฉบับภาษาฝรั่งเศสซึ่งเป็นที่ถูกต้องและมีข้อ จำกัด ตามกฎหมายที่มีอยู่  ที่นี่