ข้อตกลงการประมวลผลข้อมูล
มีผลบังคับใช้ ณ วันที่ 29 กันยายน 2023 | ดูข้อตกลงการประมวลผลข้อมูลเวอร์ชันก่อนหน้า | เปรียบเทียบการเปลี่ยนแปลง
ตามข้อกำหนดในกฎระเบียบ (สหภาพยุโรป) 2016/679 ของรัฐสภายุโรปและคณะกรรมการยุโรป ลงวันที่ 27 เมษายน 2016 เกี่ยวกับการคุ้มครองบุคคลธรรมดาว่าด้วยการประมวลผลข้อมูลส่วนตัวและการเคลี่อนย้ายข้อมูลดังกล่าวโดยเสรี และการยกเลิกคำสั่งที่ 95/46/EC (ต่อไปนี้เรียกว่า “GDPR”) ผู้ให้บริการ (ต่อไปนี้เรียกว่า “ผู้ดำเนินการ”) และคุณ (ต่อไปนี้เรียกว่า “ผู้ควบคุมข้อมูล”) จะตกลงมีนิติสัมพันธ์ตามสัญญาการประมวลผลข้อมูล เพื่อให้คำนิยามแก่ข้อกำหนดและเงื่อนไขสำหรับการประมวลผลข้อมูลส่วนบุคคล ลักษณะในการคุ้มครองข้อมูลส่วนบุคคล รวมถึงกำหนดสิทธิและภาระผูกพันอื่นๆ ของทั้ง 2 ฝ่ายในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลในนามของผู้ควบคุมข้อมูลระหว่างปฏิบัติตามเนื้อหาข้อกำหนดเหล่านี้เป็นสัญญาหลัก
1. การประมวลผลข้อมูลส่วนบุคคล บริการต่างๆ ที่มอบให้ตามข้อกำหนดเหล่านี้ รวมถึงการประมวลผลข้อมูลที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุตัวตนไว้หรือระบุตัวตนได้ในนโยบายความเป็นส่วนตัว (ต่อไปนี้เรียกว่า “ข้อมูลส่วนบุคคล”)
2. การให้สิทธิ์ ผู้ควบคุมข้อมูลให้สิทธิ์ผู้ดำเนินในการประมวลผลข้อมูลส่วนบุคคล โดยใช้คำแนะนำต่อไปนี้
(1) วัตถุประสงค์ของการประมวลผลจะหมายถึงการให้บริการตามข้อกำหนดเหล่านี้ ผู้ดำเนินการจะได้รับอนุญาตให้ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุมข้อมูลที่เกี่ยวข้องกับการให้บริการที่ผู้ควบคุมข้อมูลร้องขอเท่านั้น ข้อมูลทั้งหมดที่เก็บรวบรวมไว้เพื่อวัตถุประสงค์เพิ่มเติมจะได้รับการประมวลผลนอกนิติสัมพันธ์ตามสัญญาระหว่างผู้ควบคุมข้อมูลกับผู้ดำเนินการ
(2) ระยะเวลาการประมวลผลจะหมายถึงระยะเวลาตั้งแต่การเข้าร่วมความร่วมมือภายใต้ข้อกำหนดเหล่านี้จนถึงการสิ้นสุดการบริการ
(3) ขอบเขตและประเภทของข้อมูลส่วนบุคคล บริการต่างๆ มีไว้เพื่อการประมวลผลข้อมูลส่วนบุคคลทั่วไปเท่านั้น อย่างไรก็ตาม ผู้ควบคุมข้อมูลจะมีหน้าที่รับผิดชอบในการกำหนดขอบเขตของข้อมูลส่วนบุคคลแต่เพียงผู้เดียว
(4) เจ้าของข้อมูลจะหมายถึงบุคคลธรรมดาซึ่งเป็นผู้ใช้ที่ได้รับสิทธิ์เข้าถึงอุปกรณ์ของผู้ควบคุมข้อมูล
(5) กิจกรรมการประมวลผลจะหมายถึงการดำเนินการทั้งหมดที่จำเป็นสำหรับการประมวลผล
(6) คำแนะนำที่ระบุในเอกสารจะหมายถึงคำแนะนำที่อธิบายไว้ในข้อกำหนดเหล่านี้ รวมถึงภาคผนวกของข้อกำหนด นโยบายความเป็นส่วนตัว และเอกสารประกอบการให้บริการ ผู้ควบคุมข้อมูลจะต้องรับผิดชอบในการทำให้ผู้ดำเนินการยอมรับการประมวลผลข้อมูลส่วนบุคคลตามกฎหมาย กล่าวคือปฏิบัติตามตามข้อบัญญัติที่เกี่ยวข้องแต่ละข้อที่ระบุไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล
3. ภาระผูกพันของผู้ดำเนินการ ผู้ดำเนินการจะมีภาระผูกพันดังต่อไปนี้
(1) ประมวลผลข้อมูลส่วนบุคคลตามคำแนะนำที่ระบุในเอกสารและเพื่อวัตถุประสงค์ที่กำหนดไว้ในข้อกำหนด รวมถึงภาคผนวกของข้อกำหนด นโยบายความเป็นส่วนตัว และเอกสารประกอบการให้บริการเท่านั้น
(2) ให้คำแนะนำแก่บุคคลที่ได้รับสิทธิ์ให้ประมวลผลข้อมูลส่วนบุคคล (ต่อไปนี้เรียกว่า “ผู้ที่ได้รับสิทธิ์”) เกี่ยวกับสิทธิและหน้าที่ของตนตาม GDPR เกี่ยวกับความรับผิดของพวกเขาในกรณีที่เกิดการละเมิด และตรวจสอบให้แน่ใจว่าผู้ที่ได้รับสิทธิ์มุ่งมั่นที่จะรักษาข้อมูลที่เป็นความลับและปฏิบัติตามคำแนะนำที่ระบุในเอกสาร
(3) ปรับใช้และปฏิบัติตามมาตรการที่อธิบายไว้ในข้อตกลง ภาคผนวกของข้อกำหนด นโยบายความเป็นส่วนตัว และเอกสารประกอบการให้บริการ
(4) ช่วยผู้ควบคุมข้อมูลในการตอบกลับ เมื่อเจ้าของข้อมูลส่งคำขอที่เกี่ยวข้องกับสิทธิของตน ผู้ดำเนินการจะต้องไม่แก้ไข ลบ หรือจำกัดการประมวลผลข้อมูลส่วนบุคคลโดยเด็ดขาด หากไม่ได้รับคำสั่งจากผู้ควบคุมข้อมูล คำขอทั้งหมดจากเจ้าของข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่ประมวลผลในนามของผู้ควบคุมข้อมูลจะต้องส่งต่อไปยังผู้ควบคุมข้อมูลตามเวลาที่กำหนด
(5) ช่วยผู้ควบคุมข้อมูลในการแจ้งหน่วยงานกำกับดูแลและเจ้าของข้อมูลให้ทราบถึงการละเมิดข้อมูลส่วนบุคคล ผู้ดำเนินการจะต้องแจ้งผู้ควบคุมข้อมูลให้ทราบถึงการละเมิดอันเนื่องมาจากการประมวลผลข้อมูลส่วนบุคคลหรือการรักษาความปลอดภัยของข้อมูลส่วนบุคคลทันทีหลังจากทราบเรื่อง ผู้ดำเนินการจะต้องให้ความร่วมมือในระดับที่สมเหตุสมผลในการตรวจสอบและปรับปรุงแก้ไขการละเมิดดังกล่าว ตลอดจนใช้มาตรการที่เหมาะสมเพื่อจำกัดผลกระทบเชิงลบเพิ่มเติม
(6) ลบหรือส่งคืนข้อมูลส่วนบุคคลทั้งหมดไปให้ผู้ควบคุมข้อมูลหลังจากสิ้นสุดระยะเวลาการประมวลผล ทั้งนี้ ขึ้นอยู่กับการตัดสินใจของผู้ควบคุมข้อมูล ผู้ควบคุมต้องข้อมูลรับผิดชอบในการแจ้งให้ผู้ดำเนินการทราบเกี่ยวกับการตัดสินใจของตนภายในสิบ (10) วันหลังจากสิ้นสุดระยะเวลาการประมวลผล บทบัญญัตินี้จะไม่ส่งผลกระทบต่อสิทธิของผู้ดำเนินการในการเก็บรักษาข้อมูลส่วนบุคคลในขอบเขตที่จำเป็นเพื่อวัตถุประสงค์ในการเก็บถาวรเพื่อสาธารณประโยชน์ วัตถุประสงค์ในการวิจัยทางวิทยาศาสตร์ วัตถุประสงค์ทางสถิติ หรือเพื่อวัตถุประสงค์ในการจัดตั้ง ใช้ หรือป้องกันการเรียกร้องสิทธิตามกฎหมาย
(7) เก็บบันทึกข้อมูลล่าสุดเกี่ยวกับกิจกรรมการประมวลผลทุกหมวดหมู่ที่ดำเนินการในนามของผู้ควบคุมข้อมูล
(8) ให้ผู้ควบคุมข้อมูลสามารถเข้าถึงทั้งหมดที่จำเป็นเพื่อแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนด ภาคผนวกของข้อกำหนด นโยบายความเป็นส่วนตัว และเอกสารประกอบการให้บริการ ในกรณีที่มีการตรวจสอบหรือควบคุมการประมวลผลข้อมูลส่วนบุคคลจากฝ่ายผู้ควบคุมข้อมูล ผู้ควบคุมข้อมูลจะต้องแจ้งผู้ดำเนินการเป็นลายลักษณ์อักษรอย่างน้อยสามสิบ (30) วันก่อนการตรวจสอบหรือควบคุมที่วางแผนไว้
4. การมีส่วนร่วมกับผู้ดำเนินการรายอื่น ผู้ดำเนินการมีสิทธิ์ที่จะมีส่วนร่วมกับผู้ดำเนินการรายอื่นในการดำเนินกิจกรรมการประมวลผลที่เฉพาะเจาะจง เช่น การจัดหาพื้นที่จัดเก็บข้อมูลและโครงสร้างพื้นฐานบนคลาวด์สำหรับบริการ โดยสอดคล้องกับข้อกำหนด ภาคผนวกของข้อกำหนด นโยบายความเป็นส่วนตัว และเอกสารประกอบการให้บริการ ปัจจุบัน Microsoft ให้พื้นที่จัดเก็บข้อมูลและโครงสร้างพื้นฐานบนคลาวด์เป็นส่วนหนึ่งของบริการคลาวด์ Azure ในกรณีดังกล่าว ผู้ดำเนินการจะยังคงเป็นผู้ติดต่อและเป็นฝ่ายที่รับผิดชอบในการปฏิบัติตามข้อกำหนดแต่เพียงผู้เดียว ผู้ดำเนินการรายดังกล่าวต้องรับผิดชอบในการแจ้งผู้ควบคุมข้อมูลให้ทราบถึงการเพิ่มหรือเปลี่ยนผู้ดำเนินการอื่นใดๆ เนื่องจากอาจมีการคัดค้านการเปลี่ยนแปลงดังกล่าว
5. อาณาเขตของการประมวลผล ผู้ดำเนินการต้องตรวจสอบให้แน่ใจว่าการประมวลผลจะเกิดขึ้นในเขตเศรษฐกิจยุโรป หรือประเทศที่คำตัดสินของคณะกรรมาธิการยุโรปกำหนดไว้ว่าปลอดภัยซึ่งอิงตามการตัดสินใจของผู้ควบคุมข้อมูล ข้อสัญญามาตรฐานจะมีผลบังคับใช้ในกรณีที่การโอนและการประมวลผลอยู่นอกเขตเศรษฐกิจยุโรป หรือประเทศที่คำตัดสินของคณะกรรมาธิการยุโรปกำหนดไว้ว่าปลอดภัยซึ่งอิงตามการตัดสินใจของผู้ควบคุมข้อมูล
6. การรักษาความปลอดภัย ผู้ดำเนินการได้รับการรับรองตามมาตรฐาน ISO 27001:2013 และใช้เฟรมเวิร์กมาตรฐาน ISO 27001 เพื่อปรับใช้กลยุทธ์ความปลอดภัยในการป้องกันแบบเป็นชั้นเมื่อใช้การควบคุมความปลอดภัยที่ระดับชั้นของเครือข่าย ระบบปฏิบัติการ ฐานข้อมูล แอพพลิเคชัน บุคลากร และขั้นตอนการดำเนินงาน ต้องมีการประเมินและตรวจสอบการปฏิบัติตามข้อกำหนดด้านกฎระเบียบและสัญญาอย่างสม่ำเสมอ เช่นเดียวกับโครงสร้างพื้นฐานและการดำเนินงานอื่นๆ ของผู้ดำเนินการ รวมถึงต้องดำเนินการตามขั้นตอนที่จำเป็นเพื่อให้ยังคงเป็นไปตามข้อกำหนดอย่างต่อเนื่อง ผู้ดำเนินการได้บริหารจัดการการรักษาความปลอดภัยของข้อมูลโดยใช้ ISMS ตามมาตรฐาน ISO 27001 เอกสารด้านการรักษาความปลอดภัยส่วนใหญ่ประกอบด้วยเอกสารนโยบายว่าด้วยความปลอดภัยข้อมูล ความปลอดภัยทางกายภาพ ความปลอดภัยของอุปกรณ์ การจัดการเหตุการณ์ การรับมือการรั่วไหลของข้อมูลและเหตุการณ์ด้านความปลอดภัย ฯลฯ
7. มาตรการทางเทคนิคและการบริหารจัดการ ผู้ดำเนินการจะต้องปกป้องข้อมูลส่วนบุคคลจากความเสียหายและการทำลายโดยบังเอิญและมิชอบด้วยผิดกฎหมาย การสูญเสียโดยบังเอิญ การเปลี่ยนแปลง การเข้าถึงและการเปิดเผยโดยไม่ได้รับอนุญาต เพื่อให้เป็นไปตามวัตถุประสงค์นี้ ผู้ดำเนินการจะต้องใช้มาตรการทางเทคนิคและการบริหารจัดการที่เพียงพอและสอดคล้องกับรูปแบบการประมวลผลและความเสี่ยงที่เกิดขึ้นจากการประมวลผล ซึ่งส่งผลต่อสิทธิของเจ้าของข้อมูลตามข้อกำหนดของ GDPR คำอธิบายโดยละเอียดของมาตรการทางเทคนิคและการบริหารจัดการจะระบุไว้ในนโยบายความปลอดภัย
8. ข้อมูลติดต่อของผู้ดำเนินการ การแจ้งเตือน คำขอ ข้อเรียกร้อง และการสื่อสารอื่นๆ ทั้งหมดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลจะต้องส่งไปให้ ESET, spol. s.r.o. ที่ Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk