GoDaddy - บทต่อท้ายว่าด้วยการประมวลผลข้อมูล
บทต่อท้ายว่าด้วยการประมวลผลข้อมูลนี้ (“บทต่อท้าย”) จัดทำขึ้นโดยและระหว่างคุณ (“ลูกค้า”) กับหน่วยงาน GoDaddy ซึ่งเป็นฝ่ายหนึ่งในเงื่อนไขการให้บริการสากลและข้อตกลงอื่นใดระหว่างคุณกับ GoDaddy (รวมเรียกว่า “ข้อตกลง”) โดยในที่นี้จะเรียก GoDaddy และลูกค้าแยกกันว่า “ฝ่าย” และเรียกรวมกันว่า “ทั้งสองฝ่าย” และ DPA นี้มีผลบังคับใช้ ณ วันที่ข้อตกลงมีผลบังคับใช้ (“วันที่มีผลบังคับใช้”) รวมถึงกำกับดูแลการประมวลผลข้อมูลส่วนบุคคลของลูกค้าทั้งหมดภายใต้ข้อตกลง
1. คำจำกัดความ เว้นแต่จะนิยามไว้เป็นอย่างอื่นในกฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้ (ดังที่กำหนดด้านล่าง) คำศัพท์เฉพาะที่ระบุไว้ในส่วนนี้มีความหมายดังต่อไปนี้
1.2. “ผู้ควบคุม” หมายถึง บุคคลทั่วไปหรือนิติบุคคล หน่วยงานรัฐ บริษัทตัวแทน หรือหน่วยงานอื่นที่ดำเนินการกำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลของลูกค้าภายใต้ข้อตกลง โดยดำเนินการเพียงลำพังหรือร่วมกับผู้อื่น
1.3 “ข้อมูลส่วนบุคคลของลูกค้า” หมายถึง ข้อมูลส่วนบุคคลใดๆ (ตามที่นิยามไว้ด้านล่าง) ที่ GoDaddy ประมวลผลในนามของลูกค้าซึ่งเกี่ยวข้องกับการที่ลูกค้าใช้บริการ ข้อมูลส่วนบุคคลของลูกค้าไม่ได้รวมถึงข้อมูลของ GoDaddy
1.4 “กฎหมายการคุ้มครองข้อมูล” หมายถึง กฎหมายหรือข้อกำหนดใดๆ ที่มีผลบังคับใช้กับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าภายใต้ข้อตกลง
1.5 “เจ้าของข้อมูล” หมายถึง บุคคลทั่วไปที่ระบุตัวตนหรือสามารถระบุตัวตนได้โดยมีความเกี่ยวข้องกับข้อมูลส่วนบุคคลรายการที่เฉพาะเจาะจง
1.6 “ข้อมูลที่ไม่ระบุตัวตน” หมายถึง ข้อมูลที่ไม่สามารถใช้ระบุตัวตน ข้อมูลที่เกี่ยวพัน ข้อมูลที่อธิบาย ข้อมูลที่สามารถใช้โยงถึง หรือข้อมูลที่เชื่อมโยงกับเจ้าของข้อมูลที่เฉพาะเจาะจงในทางตรงหรือทางอ้อม
1.7 “ข้อมูลของ GoDaddy” หมายถึง (ก) ข้อมูลทั้งหมดที่เกี่ยวข้องกับธุรกิจและการให้บริการของ GoDaddy ซึ่งรวมถึงแต่ไม่จำกัดเพียงข้อมูลส่วนบุคคลที่เกี่ยวกับลูกค้า และพนักงานหรือตัวแทน (ข) ข้อมูลอื่นๆ เกี่ยวกับหรือที่เกี่ยวข้องกับบัญชี ประวัติธุรกรรม การใช้บริการ และการยืนยันตัวตนของลูกค้า และ (ค) ข้อมูลที่ไม่ระบุตัวตน ซึ่งเป็นไปตามข้อจำกัดใดๆ ภายใต้กฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้
1.8 “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลที่เกี่ยวข้องกับบุคคลทั่วไปที่ระบุตัวตนหรือสามารถใช้ระบุตัวตนได้ รวมถึงข้อมูลใดๆ ที่นิยามไว้ว่าเป็นข้อมูลส่วนบุคคล ข้อมูลส่วนตัว หรือข้อมูลที่ระบุตัวตน (“PII”) ในกฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้ ข้อมูลส่วนบุคคลไม่รวมถึงข้อมูลที่ไม่ระบุตัวตน
1.10 “ผู้ประมวลผล” หมายถึง บุคคลทั่วไปหรือนิติบุคคล หน่วยงานรัฐ บริษัทตัวแทน หรือหน่วยงานที่ประมวลผลข้อมูลส่วนบุคคลของลูกค้าในนามของผู้ควบคุมภายใต้ข้อตกลง
1.9 “การประมวลผล” หมายถึง การดำเนินการใดๆ ที่กระทำต่อข้อมูลส่วนบุคคลของลูกค้า เช่น การเก็บ การใช้ การจัดเก็บ การเปิดเผย การวิเคราะห์ การลบ หรือการดัดแปลง ไม่ว่าจะดำเนินการด้วยตนเองหรือด้วยวิธีอัตโนมัติ
1.11 “ข้อมูลส่วนตัวที่ละเอียดอ่อน” หมายถึง (ก) หมายเลขประกันสังคม หมายเลขหนังสือเดินทาง หมายเลขใบอนุญาตขับขี่ หรือตัวระบุที่คล้ายกัน (ข) ข้อมูลบัตรเครดิตหรือบัตรเดบิต ข้อมูลทางการเงิน หมายเลขบัญชีธนาคาร หรือรหัสผ่านบัญชี (ค) ข้อมูลการจ้างงาน การเงิน พันธุกรรม ชีวภาพ หรือสุขภาพ (ง) ความเกี่ยวพันทางเชื้อชาติ ชาติพันธุ์ การเมืองหรือศาสนา การเป็นสมาชิกสหภาพแรงงาน หรือข้อมูลเกี่ยวกับชีวิตทางเพศหรือรสนิยมทางเพศ (จ) รหัสผ่านบัญชี นามสกุลเดิมของมารดา วันเดือนปีเกิด และข้อมูลอื่นที่คล้ายคลึงที่ใช้เพื่อยืนยันตัวตนของผู้ใช้ (ฉ) ประวัติอาชญากรรม (ช) ข้อมูลชีวภาพที่ใช้เพื่อระบุตัวบุคคลแบบเฉพาะ (เช่น ลายนิ้วมือ) หรือ (ซ) ข้อมูลอื่นใดหรือการรวมกันของข้อมูลที่อยู่ในคำจำกัดความของ “หมวดหมู่ข้อมูลพิเศษ” ภายใต้กฎหมายคุ้มครองข้อมูลใดๆ ก็ตามที่เกี่ยวข้อง
1.12 “บริการ” หมายถึง ผลิตภัณฑ์หรือบริการที่ GoDaddy ยินยอมจัดหาให้ตามข้อตกลงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า
1.13 “ผู้ประมวลผลช่วง” หมายถึง บุคคลทั่วไปหรือนิติบุคคล หน่วยงานรัฐบาล บริษัทตัวแทน หรือหน่วยงานที่ GoDaddy ว่าจ้างให้ประมวลผลข้อมูลส่วนบุคคลของลูกค้า
1.14 “การถ่ายโอน” หมายถึง (ก) การถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าจากผู้ควบคุมไปยังผู้ประมวลผล ไม่ว่าจะโดยการถ่ายโอนทางกายภาพหรือโดยการมอบสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลของลูกค้าที่ผู้ควบคุมครอบครองหรือควบคุม หรือ (ข) การถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าจากผู้ประมวลผลต่อไปยังผู้ประมวลผลช่วง (และการถ่ายโอนต่อถัดไปของผู้ประมวลผลช่วงไปยังผู้ประมวลผลช่วงอีกราย)
2.1.2 ในกรณีที่ลูกค้าเป็นผู้ประมวลผล ลูกค้า (ก) มีความรับผิดชอบต่อเพียงผู้เดียวในการปฏิบัติตามข้อตกลงของตนกับผู้ควบคุมข้อมูลที่ลูกค้าประมวลผลข้อมูลส่วนบุคคลของลูกค้าให้ในนาม (ข) ได้รับการอนุญาตที่จำเป็นทุกประการจากผู้ควบคุมในการมอบข้อมูลส่วนบุคคลของลูกค้าให้แก่ GoDaddy และ (ค) จะปฏิบัติตามภาระผูกพันของตนในฐานะผู้ประมวลผลภายใต้กฎหมายการประมวลผลข้อมูลที่มีผลบังคับใช้
2.2.2 GoDaddy จะประมวลผลข้อมูลส่วนบุคคลของลูกค้าตามข้อกำหนดที่ระบุไว้เป็นลายลักษณ์อักษรเพื่อวัตถุประสงค์ที่เฉพาะเจาะจงและจำกัดตามที่อธิบายไว้ในข้อตกลงและ DPA นี้ หรือตามที่กฎหมายกำหนด
2.2.3 GoDaddy จะไม่ขาย เก็บรักษา ใช้งาน หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าเพื่อวัตถุประสงค์เชิงพาณิชย์ที่นอกเหนือจากการให้บริการ
2.2.4 GoDaddy จะไม่ประมวลผลข้อมูลส่วนตัวของลูกค้านอกเหนือขอบเขตความสัมพันธ์ทางธุรกิจโดยตรงของทั้งสองฝ่ายตามที่อธิบายไว้ในข้อตกลงและ DPA นี้
2.2.5 GoDaddy จะไม่รวมข้อมูลส่วนบุคคลของลูกค้ากับข้อมูลอื่นใดที่ GoDaddy เก็บ (โดยตรงหรือผ่านบุคคลที่สาม) นอกเหนือจากที่ได้รับอนุญาตอย่างชัดแจ้งตามข้อตกลง
2.2.6 GoDaddy จะหยุดการประมวลผลทั้งหมดและจะแจ้งให้ลูกค้าทราบภายในสาม (3) วันทำการหาก GoDaddy ดำเนินการดังนี้: (a) เชื่อว่าคำสั่งของลูกค้าขัดต่อกฎหมายการประมวลผลข้อมูลใดๆ ที่มีผลบังคับใช้ หรือ (b) พิจารณาว่า GoDaddy ไม่สามารถปฏิบัติตามกฎหมายการประมวลผลข้อมูลที่มีผลบังคับใช้หรือภาระผูกพันของ GoDaddy ภายใต้ DPA นี้
2.3.2 บริษัทในเครือของ GoDaddy เพื่อวัตถุประสงค์ของ DPA นี้ ข้อมูลส่วนบุคคลของลูกค้าใดๆ ที่บริษัทในเครือของ GoDaddy ได้รับจะถือว่าเป็นการได้รับโดย GoDaddy ซึ่ง GoDaddy รับรองว่าตนจะดำเนินการตามมาตรการที่จำเป็นอย่างสมเหตุสมผลเพื่อให้แน่ใจว่าบริษัทในเครือของตนปฏิบัติตามภาระผูกพันของ GoDaddy ในส่วนที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าภายใต้ DPA นี้ GoDaddy จะเป็นผู้รับผิดชอบต่อการปฏิบัติตามข้อกำหนดทุกข้อใน DPA นี้ของบริษัทในเครือของ GoDaddy
3.2 คุณได้รับเชิญให้สามารถตรวจสอบรายชื่อผู้ประมวลผลช่วงของเราได้
3.3 ก่อนที่จะถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าให้แก่ผู้ประมวลผลช่วง GoDaddy จะดำเนินการดังนี้: (a) เข้าสู่ข้อตกลงแบบลายลักษณ์อักษรร่วมกับผู้ประมวลผลช่วง ซึ่งอย่างน้อยมีการให้การคุ้มครองข้อมูลลูกค้าในระดับเดียวกับ DPA นี้ (b) ดำเนินการตรวจสอบเพื่อยืนยันว่าผู้ประมวลผลช่วงสามารถปฏิบัติตามข้อกำหนดที่มีสาระสำคัญของ DPA นี้และกฎหมายการคุ้มครองข้อมูลที่เกี่ยวข้องกับการประมวลผลข้อมูลลูกค้าของ GoDaddy ได้ รวมถึงข้อกำหนดการรักษาความปลอดภัยของข้อมูลของส่วนที่ 5, 6 และ 8 ในกำหนดรายการที่ 2 ของ DPA นี้
3.4 GoDaddy ต้องรับผิดต่อการกระทำและการละเว้นของผู้ประมวลผลช่วงของตน รวมถึงการกระทำหรือการละเว้นใดๆ ของผู้ประมวลผลช่วงต่อจากผู้ประมวลผลช่วงของตน 3.5 สิทธิในการคัดค้านผู้ประมวลผลช่วงรายใหม่
4.2 เว้นแต่จะมีการห้ามไว้โดยกฎหมาย GoDaddy จะแจ้งให้ลูกค้าทราบทันทีหากได้รับกระบวนการทางกฎหมายที่กำหนดให้ GoDaddy ต้องมอบสิทธิการเข้าถึงข้อมูลส่วนบุคคลของลูกค้าหรือเปิดเผยข้อมูลดังกล่าว
4.3 เว้นแต่กฎหมายจะกำหนดไว้เป็นอย่างอื่น GoDaddy จะให้ความร่วมมือกับลูกค้า (โดยที่ลูกค้าเป็นผู้รับผิดชอบต่อค่าใช้จ่ายตามความเหมาะสม) ในการดำเนินการใดๆ ของลูกค้าเพื่อป้องกันการเปิดเผยข้อมูลส่วนบุคคลของลูกค้าในการดำเนินการตอบสนองต่อกระบวนการทางกฎหมาย
5.2 ลูกค้ายอมรับอย่างชัดแจ้งว่า GoDaddy ให้บริการคุณสมบัติและฟังก์ชันด้านการรักษาความปลอดภัยที่ลูกค้าสามารถใช้เพื่อปกป้องข้อมูลส่วนบุคคลของลูกค้าได้ โดยลูกค้าจะเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในการดำเนินการตามขั้นตอนจัดการความเสี่ยงที่เหมาะสมเพื่อรักษาความปลอดภัยของบัญชีลูกค้าและข้อมูลส่วนบุคคลของลูกค้าที่อยู่ในขอบเขตการควบคุมของลูกค้า ซึ่งรวมถึงการใช้คุณสมบัติและฟังก์ชันด้านการรักษาความปลอดภัยที่จัดหาให้โดย GoDaddy นอกจากนี้ ลูกค้ายังเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในการตรวจสอบให้แน่ใจว่าเนื้อหาทั้งหมดที่ลูกค้าส่งหรือก่อให้เกิดการส่งไปยังบริการนั้นปราศจากช่องโหว่ที่อาจส่งผลให้ข้อมูลส่วนบุคคลของลูกค้าหรือระบบของ GoDaddy ตกอยู่ในความเสี่ยง รวมถึงแต่ไม่จำกัดเพียงซอฟต์แวร์อันตราย โดย GoDaddy จะไม่รับผิดชอบในการสำรองข้อมูลส่วนบุคคลของลูกค้า
5.3 ลูกค้าต้องปฏิบัติตามข้อกำหนดมาตรฐานการรักษาความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (“PCI-DSS”) ทุกประการ และสามารถมอบเฉพาะข้อมูลที่ประกอบด้วยข้อมูลผู้ถือบัตรเครดิต เดบิต หรือการชำระเงินอื่นๆ (“ข้อมูล PCI-DSS”) ให้แก่ GoDaddy หากเกี่ยวข้องกับบริการของ GoDaddy ที่ออกแบบมาเพื่อประมวลผลข้อมูล PCI-DSS ดังกล่าวโดยเฉพาะ ลูกค้าจะเป็นผู้รับผิดชอบแต่เพียงผู้เดียวหากมีการละเมิดข้อกำหนด PCI-DSS ใดๆ หากลูกค้าใช้บริการของ GoDaddy เพื่อประมวลผลข้อมูล PCI-DSS นอกเหนือข้อเสนอบริการที่สอดคล้องตาม PCI-DSS ของ GoDaddy
5.4 GoDaddy จะใช้มาตรการทางเทคนิคและการจัดการที่เฉพาะเจาะจงตามที่ระบุไว้ในกำหนดรายการที่ 2 ของ DPA นี้ นอกเหนือจากมาตรการที่จำเป็นเพื่อให้ GoDaddy ปฏิบัติตามภาระผูกพันของตนภายใต้กฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้และข้อกำหนด PCI-DSS สำหรับบริการที่สอดคล้องตาม PCI-DSS ของ GoDaddy
6.2 GoDaddy จะใช้ความพยายามที่สมเหตุสมผลเชิงพาณิชย์เพื่อแจ้งให้ลูกค้าทราบเกี่ยวกับภัยคุกคามต่อการรักษาความปลอดภัยของระบบของ GoDaddy ซึ่งจะนำไปสู่การทำลาย การสูญหาย การดัดแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงที่ไม่ได้เจตนาหรือที่ผิดกฎหมายต่อข้อมูลส่วนบุคคลของลูกค้า (“เหตุการณ์ด้านการรักษาความปลอดภัย”) ภายในระยะเวลาตามที่กำหนดโดยกฎหมายที่มีผลบังคับใช้
6.3 GoDaddy จะดำเนินการตามขั้นตอนจัดการความเสี่ยงที่เหมาะสมซึ่งจำเป็นอย่างสมเหตุสมผลเพื่อยับยั้ง บรรเทา และแก้ไขเหตุการณ์ด้านการรักษาความปลอดภัยโดยปราศจากความล่าช้าที่ไม่เหมาะสม
6.4 GoDaddy จะแจ้งข้อมูลตามคำขอที่สมเหตุสมผลของลูกค้าเพื่อประเมินผลกระทบจากเหตุการณ์ด้านการรักษาความปลอดภัยเกี่ยวกับข้อมูลส่วนบุคคลของลูกค้า รวมทั้งเพื่อให้ลูกค้าแจ้งเหตุการณ์ด้านการรักษาความปลอดภัยกับหน่วยงานรัฐ เจ้าของข้อมูลที่ได้รับผลกระทบ หรือบุคคลอื่นใด
6.5 การที่ GoDaddy รับทราบเกี่ยวกับเหตุการณ์ด้านการรักษาความปลอดภัยหรือตัดสินใจแจ้งให้ลูกค้าทราบเกี่ยวกับเหตุการณ์การรักษาความปลอดภัย ไม่ใช่การยอมรับถึงความบกพร่องหรือการยอมรับผิด
7.2 GoDaddy จะไม่ตอบสนองต่อคำขอของเจ้าของข้อมูล เว้นแต่จะได้รับคำสั่งที่จัดทำเป็นลายลักษณ์อักษรจากลูกค้าหรือมีการกำหนดไว้เป็นอย่างอื่นตามกฎหมายที่มีผลบังคับใช้
7.3 GoDaddy จะแจ้งให้ลูกค้าทราบเกี่ยวกับคำขอจากเจ้าของข้อมูล ลูกค้าเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในการตอบสนองต่อคำขอใดๆ จากเจ้าของข้อมูล หากลูกค้าได้ใช้ทุกวิถีทางที่สามารถดำเนินการได้เพื่อตอบสนองต่อคำขอจากเจ้าของข้อมูลจนไม่เหลือทางใดแล้ว GoDaddy จะให้ความช่วยเหลือที่จำเป็นอย่างสมเหตุสมผลกับลูกค้าในการเอื้อให้ลูกค้าสามารถตอบสนองต่อคำขอจากเจ้าของข้อมูลได้ โดยเป็นไปตามการที่ลูกค้ายินยอมชำระค่าใช้จ่ายอันสมควรของ GoDaddy ให้ล่วงหน้า
8.2 คำถามเกี่ยวกับการปฏิบัติตามข้อกำหนด ลูกค้าสามารถส่งคำขอข้อมูลที่จำเป็นอย่างสมเหตุสมผลในการยืนยันการปฏิบัติตามภาระผูกพันภายใต้กฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้ของ GoDaddy ได้เป็นระยะ หาก GoDaddy ไม่สามารถตอบสนองต่อคำขอของลูกค้าได้ภายในสี่สิบห้า (45) วัน ลูกค้าสามารถยุติข้อตกลงได้ ทั้งนี้เพื่อไม่ให้เกิดความไม่แน่ใจ ไม่มีข้อใดใน DPA นี้ที่ให้สิทธิแก่ลูกค้าในการดำเนินการตรวจสอบธุรกิจ ระบบ หรือบริการของ GoDaddy โดยจะจำกัดภาระผูกพันของ GoDaddy ภายใต้ส่วนนี้ไว้ที่การแจ้งข้อมูลที่จำเป็นอย่างสมเหตุสมผลแก่ลูกค้าเพื่อยืนยันว่า GoDaddy ปฏิบัติตามภาระผูกพันของตนภายใต้กฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้
9.2 หากต้นทางข้อมูลส่วนบุคคลของลูกค้ามาจากสหรัฐอเมริกา ข้อกำหนดที่เกี่ยวข้องกับกฎหมายการคุ้มครองข้อมูลแห่งสหรัฐฯ ตามที่ระบุไว้ในกำหนดรายการที่ 3 (ส่วนที่ 1) ของ DPA นี้จะมีผลบังคับใช้
9.3 หากข้อมูลส่วนบุคคลของลูกค้ามีต้นทางจากสหภาพยุโรป/เขตเศรษฐกิจยุโรป (“EU/EEA”) สหราชอาณาจักร (“UK”) หรือสวิตเซอร์แลนด์ หรือในกรณีที่ลูกค้าจัดตั้งอยู่ในเขตอำนาจศาลเหล่านี้มากกว่าหนึ่งแห่ง ข้อกำหนดที่เกี่ยวข้องกับกฎหมายการคุ้มครองข้อมูลแห่งสหภาพยุโรป/เขตเศรษฐกิจยุโรป สหราชอาณาจักร และ/หรือสวิตเซอร์แลนด์ที่ระบุไว้ในกำหนดรายการที่ 3 (ส่วนที่ 2) ของ DPA นี้จะมีผลบังคับใช้
9.4 ในกรณีที่จำเป็นต้องมีกลไกในการถ่ายโอนข้อมูลระหว่างประเทศ (“กลไกการถ่ายโอนที่บังคับ”) เพื่อถ่ายโอนข้อมูลส่วนบุคคลในลักษณะที่ถูกต้องตามกฎหมาย ข้อกำหนดที่ระบุไว้ในกำหนดรายการที่ 4 ของ DPA นี้จะมีผลบังคับใช้
10.2 การแก้ไขเพิ่มเติม GoDaddy อาจแก้ไขหรือปรับปรุง DPA นี้ตามดุลยพินิจของตนแต่เพียงผู้เดียว โดยดำเนินการที่สอดคล้องกับขั้นตอนตามที่กำหนดไว้ในข้อตกลง หากลูกค้าไม่เห็นด้วยกับการแก้ไขเพิ่มเติมดังกล่าว ทางแก้กรณีเดียวที่ลูกค้าดำเนินการได้คือการยุติส่วนดังกล่าวในข้อตกลงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า โดยแจ้งล่วงหน้าสามสิบ (30) วัน การแก้ไขเพิ่มเติมใดๆ ของข้อตกลงนี้จะมีผลบังคับใช้เฉพาะในส่วนที่เกี่ยวข้องกับการประมวลผลที่เกิดขึ้นหลังจากวันที่มีการแก้ไขดังกล่าวเท่านั้น เว้นแต่จะได้รับการยินยอมอย่างชัดแจ้งโดยทั้งสองฝ่ายเป็นลายลักษณ์อักษร
10.3 การสละสิทธิ การสละสิทธิในการฝ่าฝืนใดๆ ของ DPA นี้จะมีผลบังคับใช้เฉพาะในกรณีที่ดำเนินการเป็นลายลักษณ์อักษรโดยตัวแทนที่ได้รับอนุญาตของฝ่ายที่สละสิทธิในการฝ่าฝืนดังกล่าวเท่านั้น และจะไม่ถือว่าการสละสิทธิใดเป็นการสละสิทธิในการฝ่าฝืนที่เกิดขึ้นภายหลัง
10.4 การแยกออกจากกัน หากพบว่าไม่สามารถบังคับใช้ข้อกำหนดข้อใดของ DPA นี้ได้ ข้อกำหนดดังกล่าวจะต้องได้รับการแก้ไขภายในขอบเขตที่จำเป็นเพื่อให้บังคับใช้ได้ และส่วนที่เหลือของ DPA จะยังคงมีผลบังคับใช้ตามที่ระบุไว้ อย่างไรก็ตาม หากการแก้ไขข้อกำหนดที่ไม่สามารถบังคับใช้ได้นั้นจะส่งผลให้ไม่สามารถบรรลุผลตามวัตถุประสงค์สำคัญของ DPA นี้ ให้ถือว่า DPA ทั้งหมดไม่มีผลและเป็นโมฆะ เว้นแต่จะแก้ไขตามส่วนที่ 10.2
10.5 การแจ้ง การแจ้งตามที่ DPA นี้กำหนดจะดำเนินการตามข้อกำหนดการแจ้งที่ระบุไว้ในข้อตกลง ยกเว้นในกรณีตามที่ระบุไว้ในที่นี้อย่างชัดแจ้ง
10.6 ความรับผิด DPA นี้ไม่ได้เป็นการมอบมูลฐานให้ฝ่ายใดหรือบุคคลอื่นใดได้รับการชดเชยค่าเสียหายประเภทอื่นๆ นอกเหนือจากที่กำหนดไว้ในข้อตกลง โดยต้องเป็นไปตามข้อจำกัดทุกประการที่ระบุไว้ในข้อตกลงดังกล่าว
10.7 การบังคับใช้ จะมีเพียงทั้งสองฝ่ายเท่านั้นที่สามารถบังคับใช้ข้อกำหนดใน DPA นี้ในนามของตนเองและบริษัทในเครือที่เกี่ยวข้องของตนตามข้อกำหนดว่าด้วยการระงับข้อพิพาทตามที่กำหนดไว้ในข้อตกลง อย่างไรก็ตาม การจำกัดการบังคับใช้นี้ไม่มีผลต่อความสามารถของเจ้าของข้อมูลแต่ละรายในการใช้สิทธิของตนภายใต้กฎหมายการคุ้มครองข้อมูล
10.8 การยุติ DPA นี้จะยุติลงเมื่อดำเนินการประมวลผลเสร็จสิ้นหรือเมื่อข้อตกลงยุติลง แล้วแต่ว่ากรณีใดเกิดขึ้นทีหลัง เว้นแต่จะเกิดการยุติก่อนกำหนดตามข้อตกลง หรือข้อกำหนดอื่นใดที่มีผลบังคับใช้ของ DPA นี้ หรือกฎหมายการคุ้มครองข้อมูลใดๆ ที่มีผลบังคับใช้ โดยหลังจากที่ DPA ยุติลง GoDaddy จะส่งคืน ลบ หรือยกเลิกการระบุตัวตนข้อมูลส่วนบุคคลของลูกค้าตามข้อกำหนดของข้อตกลงและ DPA นี้ เว้นแต่ GoDaddy จะจำเป็นต้องรักษาข้อมูลส่วนบุคคลของลูกค้าไว้ตามกฎหมายที่มีผลบังคับใช้ หาก GoDaddy จำเป็นต้องเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าไว้หลังจากการยุติข้อตกลง GoDaddy จะปฏิบัติตามภาระผูกพันของตนที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าตาม DPA นี้ต่อไป และจะส่งคืนหรือลบข้อมูลส่วนบุคคลของลูกค้าดังกล่าวทันทีหลังจากที่ไม่จำเป็นต้องเก็บรักษาข้อมูลไว้ตามกฎหมายแล้ว
10.9 กฎหมายและเขตอำนาจศาลที่กำกับดูแล กฎหมายที่ระบุไว้ในข้อตกลงเป็นกฎหมายที่กำกับดูแล DPA นี้ ยกเว้นในขอบเขตที่กฎหมายการคุ้มครองข้อมูลกำหนดไว้เป็นอย่างอื่น ซึ่งในกรณีดังกล่าว กฎหมายของเขตอำนาจศาลตามที่ระบุไว้ในกฎหมายการคุ้มครองข้อมูลจะมีผลบังคับใช้ ไม่มีข้อกำหนดข้อใดใน DPA นี้ที่จะถือว่าเป็นการจำกัดสิทธิหรือภาระผูกพันของบุคคลรายใดภายใต้กฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้
กำหนดรายการที่ 1 นี้ประกอบด้วยรายละเอียดการประมวลผลข้อมูลส่วนบุคคลของลูกค้าตามที่กฎหมายการคุ้มครองข้อมูลกำหนด
หัวข้อสำคัญและระยะเวลาในการประมวลผลข้อมูลส่วนบุคคลของลูกค้า
หัวข้อสำคัญและระยะเวลาในการประมวลผลข้อมูลส่วนบุคคลของลูกค้าแจกแจงไว้ในข้อตกลง
ลักษณะและวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลของลูกค้า
การประมวลผลข้อมูลส่วนบุคคลของลูกค้าโดย GoDaddy นั้นมีความจำเป็นอย่างสมเหตุสมผลเพื่อให้บริการตามที่อธิบายไว้ในข้อตกลง
ประเภทของข้อมูลส่วนบุคคลและหมวดหมู่ของเจ้าของข้อมูล
ประเภทข้อมูลส่วนบุคคลของลูกค้าและหมวดหมู่ของเจ้าของข้อมูลจะอยู่ภายใต้การควบคุมของลูกค้าและ/หรือผู้ควบคุมที่มอบข้อมูลส่วนบุคคลของลูกค้าให้แก่ลูกค้าตามดุลยพินิจของตนแต่เพียงผู้เดียว
ข้อมูลที่ละเอียดอ่อนหรือข้อมูลในหมวดหมู่พิเศษ
ข้อมูลที่ละเอียดอ่อนอาจได้รับการประมวลผลเป็นครั้งคราวตามข้อตกลง ประเภทของข้อมูลที่ละเอียดอ่อนซึ่งมีการประมวลผลภายใต้ข้อตกลงจะเป็นไปตามการกำหนดของลูกค้าและ/หรือผู้ควบคุมที่มอบข้อมูลที่ละเอียดอ่อนให้แก่ลูกค้าตามดุลยพินิจของผู้ควบคุมดังกล่าวแต่เพียงผู้เดียว
ภาระผูกพันและสิทธิของผู้ควบคุม
ภาระผูกพันและสิทธิของลูกค้าแจกแจงไว้ในข้อตกลงและ DPA นี้
กำหนดรายการที่ 2: มาตรการรักษาความปลอดภัยทางเทคนิคและการจัดการ1. ความสามารถในการบังคับใช้
2. ความเป็นส่วนตัวของข้อมูลและการจัดการการรักษาความปลอดภัยของข้อมูล
3. การรักษาความปลอดภัยในการบริหารจัดการ
4. การดำเนินการรักษาความปลอดภัย
5. การฝึกอบรม
GoDaddy จะตรวจสอบให้แน่ใจว่าบุคลากรได้รับการฝึกอบรมเป็นประจำเกี่ยวกับภาระผูกพันของตนในการเก็บรักษาความลับและการคุ้มครองข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของลูกค้า
6. การควบคุมการเข้าถึง