GoDaddy - บทต่อท้ายว่าด้วยการประมวลผลข้อมูล
ปรับปรุงล่าสุด: 13/9/2024
บทต่อท้ายว่าด้วยการประมวลผลข้อมูลนี้ (“บทต่อท้าย”) จัดทำขึ้นโดยและระหว่างคุณ (“ลูกค้า”) กับหน่วยงาน GoDaddy ซึ่งเป็นฝ่ายหนึ่งในเงื่อนไขการให้บริการสากลและข้อตกลงอื่นใดระหว่างคุณกับ GoDaddy (รวมเรียกว่า “ข้อตกลง”) โดยในที่นี้จะเรียก GoDaddy และลูกค้าแยกกันว่า “ฝ่าย” และเรียกรวมกันว่า “ทั้งสองฝ่าย” และ DPA นี้มีผลบังคับใช้ ณ วันที่ข้อตกลงมีผลบังคับใช้ (“วันที่มีผลบังคับใช้”) รวมถึงกำกับดูแลการประมวลผลข้อมูลส่วนบุคคลของลูกค้าทั้งหมดภายใต้ข้อตกลง
1. คำจำกัดความ เว้นแต่จะนิยามไว้เป็นอย่างอื่นในกฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้ (ดังที่กำหนดด้านล่าง) คำศัพท์เฉพาะที่ระบุไว้ในส่วนนี้มีความหมายดังต่อไปนี้
1.1 “บริษัทในเครือ” หมายถึง องค์กรใดๆ ที่ควบคุมหรืออยู่ภายใต้การควบคุมร่วมกันของฝ่ายหนึ่งๆ โดยที่ “การควบคุม” หมายถึง กรรมสิทธิ์ทางตรงหรือทางอ้อม หรือสิทธิการควบคุมส่วนได้เสียในการออกเสียงขององค์กรตั้งแต่ห้าสิบเปอร์เซ็นต์ (50%) ขึ้นไป
2. ขอบเขตของการประมวลผลข้อมูลและความสัมพันธ์ของคู่สัญญา
1.2. “ผู้ควบคุม” หมายถึง บุคคลทั่วไปหรือนิติบุคคล หน่วยงานรัฐ บริษัทตัวแทน หรือหน่วยงานอื่นที่ดำเนินการกำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลของลูกค้าภายใต้ข้อตกลง โดยดำเนินการเพียงลำพังหรือร่วมกับผู้อื่น
1.3 “ข้อมูลส่วนบุคคลของลูกค้า” หมายถึง ข้อมูลส่วนบุคคลใดๆ (ตามที่นิยามไว้ด้านล่าง) ที่ GoDaddy ประมวลผลในนามของลูกค้าซึ่งเกี่ยวข้องกับการที่ลูกค้าใช้บริการ ข้อมูลส่วนบุคคลของลูกค้าไม่ได้รวมถึงข้อมูลของ GoDaddy
1.4 “กฎหมายการคุ้มครองข้อมูล” หมายถึง กฎหมายหรือข้อกำหนดใดๆ ที่มีผลบังคับใช้กับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าภายใต้ข้อตกลง
1.5 “เจ้าของข้อมูล” หมายถึง บุคคลทั่วไปที่ระบุตัวตนหรือสามารถระบุตัวตนได้โดยมีความเกี่ยวข้องกับข้อมูลส่วนบุคคลรายการที่เฉพาะเจาะจง
1.6 “ข้อมูลที่ไม่ระบุตัวตน” หมายถึง ข้อมูลที่ไม่สามารถใช้ระบุตัวตน ข้อมูลที่เกี่ยวพัน ข้อมูลที่อธิบาย ข้อมูลที่สามารถใช้โยงถึง หรือข้อมูลที่เชื่อมโยงกับเจ้าของข้อมูลที่เฉพาะเจาะจงในทางตรงหรือทางอ้อม
1.7 “ข้อมูลของ GoDaddy” หมายถึง (ก) ข้อมูลทั้งหมดที่เกี่ยวข้องกับธุรกิจและการให้บริการของ GoDaddy ซึ่งรวมถึงแต่ไม่จำกัดเพียงข้อมูลส่วนบุคคลที่เกี่ยวกับลูกค้า และพนักงานหรือตัวแทน (ข) ข้อมูลอื่นๆ เกี่ยวกับหรือที่เกี่ยวข้องกับบัญชี ประวัติธุรกรรม การใช้บริการ และการยืนยันตัวตนของลูกค้า และ (ค) ข้อมูลที่ไม่ระบุตัวตน ซึ่งเป็นไปตามข้อจำกัดใดๆ ภายใต้กฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้
1.8 “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลที่เกี่ยวข้องกับบุคคลทั่วไปที่ระบุตัวตนหรือสามารถใช้ระบุตัวตนได้ รวมถึงข้อมูลใดๆ ที่นิยามไว้ว่าเป็นข้อมูลส่วนบุคคล ข้อมูลส่วนตัว หรือข้อมูลที่ระบุตัวตน (“PII”) ในกฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้ ข้อมูลส่วนบุคคลไม่รวมถึงข้อมูลที่ไม่ระบุตัวตน
1.10 “ผู้ประมวลผล” หมายถึง บุคคลทั่วไปหรือนิติบุคคล หน่วยงานรัฐ บริษัทตัวแทน หรือหน่วยงานที่ประมวลผลข้อมูลส่วนบุคคลของลูกค้าในนามของผู้ควบคุมภายใต้ข้อตกลง
1.9 “การประมวลผล” หมายถึง การดำเนินการใดๆ ที่กระทำต่อข้อมูลส่วนบุคคลของลูกค้า เช่น การเก็บ การใช้ การจัดเก็บ การเปิดเผย การวิเคราะห์ การลบ หรือการดัดแปลง ไม่ว่าจะดำเนินการด้วยตนเองหรือด้วยวิธีอัตโนมัติ
1.11 “ข้อมูลส่วนตัวที่ละเอียดอ่อน” หมายถึง (ก) หมายเลขประกันสังคม หมายเลขหนังสือเดินทาง หมายเลขใบอนุญาตขับขี่ หรือตัวระบุที่คล้ายกัน (ข) ข้อมูลบัตรเครดิตหรือบัตรเดบิต ข้อมูลทางการเงิน หมายเลขบัญชีธนาคาร หรือรหัสผ่านบัญชี (ค) ข้อมูลการจ้างงาน การเงิน พันธุกรรม ชีวภาพ หรือสุขภาพ (ง) ความเกี่ยวพันทางเชื้อชาติ ชาติพันธุ์ การเมืองหรือศาสนา การเป็นสมาชิกสหภาพแรงงาน หรือข้อมูลเกี่ยวกับชีวิตทางเพศหรือรสนิยมทางเพศ (จ) รหัสผ่านบัญชี นามสกุลเดิมของมารดา วันเดือนปีเกิด และข้อมูลอื่นที่คล้ายคลึงที่ใช้เพื่อยืนยันตัวตนของผู้ใช้ (ฉ) ประวัติอาชญากรรม (ช) ข้อมูลชีวภาพที่ใช้เพื่อระบุตัวบุคคลแบบเฉพาะ (เช่น ลายนิ้วมือ) หรือ (ซ) ข้อมูลอื่นใดหรือการรวมกันของข้อมูลที่อยู่ในคำจำกัดความของ “หมวดหมู่ข้อมูลพิเศษ” ภายใต้กฎหมายคุ้มครองข้อมูลใดๆ ก็ตามที่เกี่ยวข้อง
1.12 “บริการ” หมายถึง ผลิตภัณฑ์หรือบริการที่ GoDaddy ยินยอมจัดหาให้ตามข้อตกลงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า
1.13 “ผู้ประมวลผลช่วง” หมายถึง บุคคลทั่วไปหรือนิติบุคคล หน่วยงานรัฐบาล บริษัทตัวแทน หรือหน่วยงานที่ GoDaddy ว่าจ้างให้ประมวลผลข้อมูลส่วนบุคคลของลูกค้า
1.14 “การถ่ายโอน” หมายถึง (ก) การถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าจากผู้ควบคุมไปยังผู้ประมวลผล ไม่ว่าจะโดยการถ่ายโอนทางกายภาพหรือโดยการมอบสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลของลูกค้าที่ผู้ควบคุมครอบครองหรือควบคุม หรือ (ข) การถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าจากผู้ประมวลผลต่อไปยังผู้ประมวลผลช่วง (และการถ่ายโอนต่อถัดไปของผู้ประมวลผลช่วงไปยังผู้ประมวลผลช่วงอีกราย)
2.1 ลูกค้าในฐานะผู้ควบคุมหรือผู้ประมวลผล
2.1.1 ในกรณีที่ลูกค้าเป็นผู้ควบคุม ลูกค้า (ก) มีความรับผิดชอบแต่เพียงผู้เดียวต่อการกำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลของลูกค้า (ข) มีอำนาจ มูลเหตุ สิทธิ และการอนุญาตที่จำเป็นทุกประการในการมอบข้อมูลส่วนบุคคลของลูกค้าให้แก่ GoDaddy และ (ค) จะปฏิบัติตามภาระผูกพันของตนในฐานะผู้ควบคุมภายใต้กฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้
2.1.2 ในกรณีที่ลูกค้าเป็นผู้ประมวลผล ลูกค้า (ก) มีความรับผิดชอบต่อเพียงผู้เดียวในการปฏิบัติตามข้อตกลงของตนกับผู้ควบคุมข้อมูลที่ลูกค้าประมวลผลข้อมูลส่วนบุคคลของลูกค้าให้ในนาม (ข) ได้รับการอนุญาตที่จำเป็นทุกประการจากผู้ควบคุมในการมอบข้อมูลส่วนบุคคลของลูกค้าให้แก่ GoDaddy และ (ค) จะปฏิบัติตามภาระผูกพันของตนในฐานะผู้ประมวลผลภายใต้กฎหมายการประมวลผลข้อมูลที่มีผลบังคับใช้
2.1.2 ในกรณีที่ลูกค้าเป็นผู้ประมวลผล ลูกค้า (ก) มีความรับผิดชอบต่อเพียงผู้เดียวในการปฏิบัติตามข้อตกลงของตนกับผู้ควบคุมข้อมูลที่ลูกค้าประมวลผลข้อมูลส่วนบุคคลของลูกค้าให้ในนาม (ข) ได้รับการอนุญาตที่จำเป็นทุกประการจากผู้ควบคุมในการมอบข้อมูลส่วนบุคคลของลูกค้าให้แก่ GoDaddy และ (ค) จะปฏิบัติตามภาระผูกพันของตนในฐานะผู้ประมวลผลภายใต้กฎหมายการประมวลผลข้อมูลที่มีผลบังคับใช้
2.2 GoDaddy เป็นผู้ประมวลผลหรือผู้ประมวลผลช่วง
2.2.1 GoDaddy จะดำเนินการตามขั้นตอนทั้งหมดที่จำเป็นอย่างสมเหตุสมผลเพื่อช่วยให้ลูกค้าสามารถปฏิบัติตามภาระผูกพันของลูกค้าในฐานะผู้ควบคุมและ/หรือผู้ประมวลผลภายใต้กฎหมายการคุ้มครองข้อมูลในลักษณะที่สอดคล้องกับลักษณะ สภาพ ขอบเขต และวัตถุประสงค์ของบริการที่ GoDaddy ให้บริการ ทั้งนี้เพื่อไม่ให้เกิดความไม่แน่ใจ GoDaddy ไม่จำเป็นต้องดำเนินการตามขั้นตอนใดๆ เพื่อแก้ไขหรือปรับบริการของ GoDaddy ให้สอดคล้องกับการใช้งานเฉพาะของลูกค้า ทางแก้เพียงอย่างเดียวของลูกค้าในกรณีที่พิจารณาแล้วว่าบริการไม่สอดคล้องตามการใช้งานเฉพาะของลูกค้าคือการยุติส่วนใดๆ ก็ตามในข้อตกลงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า
2.2.2 GoDaddy จะประมวลผลข้อมูลส่วนบุคคลของลูกค้าตามข้อกำหนดที่ระบุไว้เป็นลายลักษณ์อักษรเพื่อวัตถุประสงค์ที่เฉพาะเจาะจงและจำกัดตามที่อธิบายไว้ในข้อตกลงและ DPA นี้ หรือตามที่กฎหมายกำหนด
2.2.3 GoDaddy จะไม่ขาย เก็บรักษา ใช้งาน หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าเพื่อวัตถุประสงค์เชิงพาณิชย์ที่นอกเหนือจากการให้บริการ
2.2.4 GoDaddy จะไม่ประมวลผลข้อมูลส่วนตัวของลูกค้านอกเหนือขอบเขตความสัมพันธ์ทางธุรกิจโดยตรงของทั้งสองฝ่ายตามที่อธิบายไว้ในข้อตกลงและ DPA นี้
2.2.5 GoDaddy จะไม่รวมข้อมูลส่วนบุคคลของลูกค้ากับข้อมูลอื่นใดที่ GoDaddy เก็บ (โดยตรงหรือผ่านบุคคลที่สาม) นอกเหนือจากที่ได้รับอนุญาตอย่างชัดแจ้งตามข้อตกลง
2.2.6 GoDaddy จะหยุดการประมวลผลทั้งหมดและจะแจ้งให้ลูกค้าทราบภายในสาม (3) วันทำการหาก GoDaddy ดำเนินการดังนี้: (a) เชื่อว่าคำสั่งของลูกค้าขัดต่อกฎหมายการประมวลผลข้อมูลใดๆ ที่มีผลบังคับใช้ หรือ (b) พิจารณาว่า GoDaddy ไม่สามารถปฏิบัติตามกฎหมายการประมวลผลข้อมูลที่มีผลบังคับใช้หรือภาระผูกพันของ GoDaddy ภายใต้ DPA นี้
2.2.2 GoDaddy จะประมวลผลข้อมูลส่วนบุคคลของลูกค้าตามข้อกำหนดที่ระบุไว้เป็นลายลักษณ์อักษรเพื่อวัตถุประสงค์ที่เฉพาะเจาะจงและจำกัดตามที่อธิบายไว้ในข้อตกลงและ DPA นี้ หรือตามที่กฎหมายกำหนด
2.2.3 GoDaddy จะไม่ขาย เก็บรักษา ใช้งาน หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าเพื่อวัตถุประสงค์เชิงพาณิชย์ที่นอกเหนือจากการให้บริการ
2.2.4 GoDaddy จะไม่ประมวลผลข้อมูลส่วนตัวของลูกค้านอกเหนือขอบเขตความสัมพันธ์ทางธุรกิจโดยตรงของทั้งสองฝ่ายตามที่อธิบายไว้ในข้อตกลงและ DPA นี้
2.2.5 GoDaddy จะไม่รวมข้อมูลส่วนบุคคลของลูกค้ากับข้อมูลอื่นใดที่ GoDaddy เก็บ (โดยตรงหรือผ่านบุคคลที่สาม) นอกเหนือจากที่ได้รับอนุญาตอย่างชัดแจ้งตามข้อตกลง
2.2.6 GoDaddy จะหยุดการประมวลผลทั้งหมดและจะแจ้งให้ลูกค้าทราบภายในสาม (3) วันทำการหาก GoDaddy ดำเนินการดังนี้: (a) เชื่อว่าคำสั่งของลูกค้าขัดต่อกฎหมายการประมวลผลข้อมูลใดๆ ที่มีผลบังคับใช้ หรือ (b) พิจารณาว่า GoDaddy ไม่สามารถปฏิบัติตามกฎหมายการประมวลผลข้อมูลที่มีผลบังคับใช้หรือภาระผูกพันของ GoDaddy ภายใต้ DPA นี้
2.3 บริษัทในเครือ
3. การประมวลผลช่วง
2.3.1 บริษัทในเครือของลูกค้า เพื่อวัตถุประสงค์ของ DPA นี้ ข้อมูลส่วนบุคคลใดๆ ที่บริษัทในเครือของลูกค้ามอบให้แก่ GoDaddy หรือบริษัทในเครือของ GoDaddy เพื่อการประมวลผลในนามของลูกค้าและ/หรือบริษัทในเครือของลูกค้าจะถือว่าเป็นข้อมูลส่วนบุคคลของลูกค้า โดยมีลูกค้าเป็นผู้จัดหาให้ ลูกค้ารับรองว่าตนจะดำเนินการตามมาตรการที่จำเป็นอย่างสมเหตุสมผลทุกประการเพื่อให้แน่ใจว่าบริษัทในเครือของตนปฏิบัติตามภาระผูกพันทั้งหมดของลูกค้าที่เกี่ยวข้องกับ DPA นี้ โดยลูกค้าเป็นผู้รับผิดชอบต่อการปฏิบัติตามข้อกำหนดทุกข้อใน DPA นี้ของบริษัทในเครือ
2.3.2 บริษัทในเครือของ GoDaddy เพื่อวัตถุประสงค์ของ DPA นี้ ข้อมูลส่วนบุคคลของลูกค้าใดๆ ที่บริษัทในเครือของ GoDaddy ได้รับจะถือว่าเป็นการได้รับโดย GoDaddy ซึ่ง GoDaddy รับรองว่าตนจะดำเนินการตามมาตรการที่จำเป็นอย่างสมเหตุสมผลเพื่อให้แน่ใจว่าบริษัทในเครือของตนปฏิบัติตามภาระผูกพันของ GoDaddy ในส่วนที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าภายใต้ DPA นี้ GoDaddy จะเป็นผู้รับผิดชอบต่อการปฏิบัติตามข้อกำหนดทุกข้อใน DPA นี้ของบริษัทในเครือของ GoDaddy
2.3.2 บริษัทในเครือของ GoDaddy เพื่อวัตถุประสงค์ของ DPA นี้ ข้อมูลส่วนบุคคลของลูกค้าใดๆ ที่บริษัทในเครือของ GoDaddy ได้รับจะถือว่าเป็นการได้รับโดย GoDaddy ซึ่ง GoDaddy รับรองว่าตนจะดำเนินการตามมาตรการที่จำเป็นอย่างสมเหตุสมผลเพื่อให้แน่ใจว่าบริษัทในเครือของตนปฏิบัติตามภาระผูกพันของ GoDaddy ในส่วนที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าภายใต้ DPA นี้ GoDaddy จะเป็นผู้รับผิดชอบต่อการปฏิบัติตามข้อกำหนดทุกข้อใน DPA นี้ของบริษัทในเครือของ GoDaddy
3.1 ลูกค้าให้การอนุญาตโดยทั่วไปแก่ GoDaddy ในการว่าจ้างผู้ประมวลผลช่วง
3.2 คุณได้รับเชิญให้สามารถตรวจสอบรายชื่อผู้ประมวลผลช่วงของเราได้
3.3 ก่อนที่จะถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าให้แก่ผู้ประมวลผลช่วง GoDaddy จะดำเนินการดังนี้: (a) เข้าสู่ข้อตกลงแบบลายลักษณ์อักษรร่วมกับผู้ประมวลผลช่วง ซึ่งอย่างน้อยมีการให้การคุ้มครองข้อมูลลูกค้าในระดับเดียวกับ DPA นี้ (b) ดำเนินการตรวจสอบเพื่อยืนยันว่าผู้ประมวลผลช่วงสามารถปฏิบัติตามข้อกำหนดที่มีสาระสำคัญของ DPA นี้และกฎหมายการคุ้มครองข้อมูลที่เกี่ยวข้องกับการประมวลผลข้อมูลลูกค้าของ GoDaddy ได้ รวมถึงข้อกำหนดการรักษาความปลอดภัยของข้อมูลของส่วนที่ 5, 6 และ 8 ในกำหนดรายการที่ 2 ของ DPA นี้
3.4 GoDaddy ต้องรับผิดต่อการกระทำและการละเว้นของผู้ประมวลผลช่วงของตน รวมถึงการกระทำหรือการละเว้นใดๆ ของผู้ประมวลผลช่วงต่อจากผู้ประมวลผลช่วงของตน 3.5 สิทธิในการคัดค้านผู้ประมวลผลช่วงรายใหม่
4. กระบวนการทางกฎหมายและคำขออื่นๆ ของบุคคลที่สามสำหรับข้อมูลส่วนบุคคลของลูกค้า
3.2 คุณได้รับเชิญให้สามารถตรวจสอบรายชื่อผู้ประมวลผลช่วงของเราได้
3.3 ก่อนที่จะถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าให้แก่ผู้ประมวลผลช่วง GoDaddy จะดำเนินการดังนี้: (a) เข้าสู่ข้อตกลงแบบลายลักษณ์อักษรร่วมกับผู้ประมวลผลช่วง ซึ่งอย่างน้อยมีการให้การคุ้มครองข้อมูลลูกค้าในระดับเดียวกับ DPA นี้ (b) ดำเนินการตรวจสอบเพื่อยืนยันว่าผู้ประมวลผลช่วงสามารถปฏิบัติตามข้อกำหนดที่มีสาระสำคัญของ DPA นี้และกฎหมายการคุ้มครองข้อมูลที่เกี่ยวข้องกับการประมวลผลข้อมูลลูกค้าของ GoDaddy ได้ รวมถึงข้อกำหนดการรักษาความปลอดภัยของข้อมูลของส่วนที่ 5, 6 และ 8 ในกำหนดรายการที่ 2 ของ DPA นี้
3.4 GoDaddy ต้องรับผิดต่อการกระทำและการละเว้นของผู้ประมวลผลช่วงของตน รวมถึงการกระทำหรือการละเว้นใดๆ ของผู้ประมวลผลช่วงต่อจากผู้ประมวลผลช่วงของตน 3.5 สิทธิในการคัดค้านผู้ประมวลผลช่วงรายใหม่
3.5.1 GoDaddy จะใช้ความพยายามอย่างสมเหตุสมผลในการแจ้งให้ลูกค้าทราบเป็นลายลักษณ์อักษรล่วงหน้าอย่างน้อยหกสิบ (60) วันหาก GoDaddy ตั้งใจที่จะแต่งตั้งผู้ประมวลผลช่วงรายใหม่ อย่างไรก็ตาม การแจ้งล่วงหน้าหกสิบ (60) วันไม่ใช่ข้อบังคับ และ GoDaddy จะแจ้งให้ลูกค้าทราบทันทีหลังจากแต่งตั้งผู้ประมวลผลช่วงรายใหม่ในกรณีที่จำเป็นต้องแต่งตั้งโดยทันทีเพื่อรักษาความปลอดภัยของข้อมูลส่วนบุคคลของลูกค้า หรือเพื่อปฏิบัติตามกฎหมายที่มีผลบังคับใช้
3.5.2 หากลูกค้าคัดค้านต่อผู้ประมวลผลช่วงรายใหม่อย่างสมเหตุสมผล ลูกค้าต้องแจ้งให้ GoDaddy ทราบเป็นลายลักษณ์อักษรภายในสามสิบ (30) วันหลังจากที่มีการแต่งตั้งผู้ประมวลผลช่วงรายใหม่ GoDaddy อาจใช้ความพยายามเชิงพาณิชย์ในการจัดการกับการคัดค้านของลูกค้า ทั้งนี้ขึ้นอยู่กับดุลยพินิจของ GoDaddy แต่เพียงผู้เดียว หากทั้งสองฝ่ายไม่สามารถระงับข้อคัดค้านของลูกค้าได้ภายในสามสิบ (30) วัน ลูกค้าสามารถยุติ DPA นี้และส่วนใดๆ ก็ตามในข้อตกลงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า
3.5.3 หากลูกค้าไม่คัดค้านผู้ประมวลผลช่วงรายใหม่ภายในสามสิบ (30) วันจากการแจ้งให้ทราบเกี่ยวกับการแต่งตั้งผู้ประมวลผลช่วง จะถือว่าลูกค้ายอมรับผู้ประมวลผลช่วงรายใหม่
3.5.4 การแจ้งให้ทราบเกี่ยวกับผู้ประมวลผลช่วงรายใหม่อาจแจ้งผ่านการอัพเดตรายชื่อผู้ประมวลผลช่วงตามที่อธิบายไว้ในส่วนที่ 3.2
4.1 GoDaddy จะไม่ตอบสนองต่อคำขอที่ไม่เป็นทางการเกี่ยวกับข้อมูลส่วนบุคคลของลูกค้าจากหน่วยงานรัฐบาล หน่วยงานบังคับใช้กฎหมาย หรือบุคคลอื่นใด ยกเว้นเมื่อเป็นการตอบสนองต่อหมายเรียกพยาน หมายค้น คำสั่งศาล หรือกระบวนการทางกฎหมายอื่นๆ ที่คล้ายกัน (โดยรวมเรียกว่า “กระบวนการทางกฎหมาย”) เว้นแต่ GoDaddy จะพิจารณาตามดุลยพินิจอย่างสมเหตุสมผลว่าการเปิดเผยข้อมูลดังกล่าว (ก) จำเป็นเนื่องด้วยกฎหมาย (ข) จำเป็นเพื่อปกป้องระบบหรือข้อมูลของ GoDaddy จากภัยอันตรายหรือการใช้งานที่ไม่เหมาะสม หรือ (ค) จำเป็นเพื่อปกป้อง GoDaddy หรือบุคคลอื่นใดจากความเสียหายหรืออันตรายต่อร่างกาย
5. การรักษาความปลอดภัยของข้อมูล
4.2 เว้นแต่จะมีการห้ามไว้โดยกฎหมาย GoDaddy จะแจ้งให้ลูกค้าทราบทันทีหากได้รับกระบวนการทางกฎหมายที่กำหนดให้ GoDaddy ต้องมอบสิทธิการเข้าถึงข้อมูลส่วนบุคคลของลูกค้าหรือเปิดเผยข้อมูลดังกล่าว
4.3 เว้นแต่กฎหมายจะกำหนดไว้เป็นอย่างอื่น GoDaddy จะให้ความร่วมมือกับลูกค้า (โดยที่ลูกค้าเป็นผู้รับผิดชอบต่อค่าใช้จ่ายตามความเหมาะสม) ในการดำเนินการใดๆ ของลูกค้าเพื่อป้องกันการเปิดเผยข้อมูลส่วนบุคคลของลูกค้าในการดำเนินการตอบสนองต่อกระบวนการทางกฎหมาย
5.1 GoDaddy รักษาไว้ซึ่งโปรแกรมการรักษาความปลอดภัยของข้อมูลที่ประกอบด้วยมาตรการทางเทคนิคและการจัดการที่จดบันทึกเป็นลายลักษณ์อักษร เพื่อรับรองระดับการรักษาความปลอดภัยที่เหมาะสมกับความเสี่ยงในการประมวลผลข้อมูลส่วนบุคคลของลูกค้าตามข้อตกลง รวมถึงมาตรการเฉพาะใดๆ ที่กฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้กำหนด
6. เหตุการณ์ด้านการรักษาความปลอดภัยของข้อมูล
5.2 ลูกค้ายอมรับอย่างชัดแจ้งว่า GoDaddy ให้บริการคุณสมบัติและฟังก์ชันด้านการรักษาความปลอดภัยที่ลูกค้าสามารถใช้เพื่อปกป้องข้อมูลส่วนบุคคลของลูกค้าได้ โดยลูกค้าจะเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในการดำเนินการตามขั้นตอนจัดการความเสี่ยงที่เหมาะสมเพื่อรักษาความปลอดภัยของบัญชีลูกค้าและข้อมูลส่วนบุคคลของลูกค้าที่อยู่ในขอบเขตการควบคุมของลูกค้า ซึ่งรวมถึงการใช้คุณสมบัติและฟังก์ชันด้านการรักษาความปลอดภัยที่จัดหาให้โดย GoDaddy นอกจากนี้ ลูกค้ายังเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในการตรวจสอบให้แน่ใจว่าเนื้อหาทั้งหมดที่ลูกค้าส่งหรือก่อให้เกิดการส่งไปยังบริการนั้นปราศจากช่องโหว่ที่อาจส่งผลให้ข้อมูลส่วนบุคคลของลูกค้าหรือระบบของ GoDaddy ตกอยู่ในความเสี่ยง รวมถึงแต่ไม่จำกัดเพียงซอฟต์แวร์อันตราย โดย GoDaddy จะไม่รับผิดชอบในการสำรองข้อมูลส่วนบุคคลของลูกค้า
5.3 ลูกค้าต้องปฏิบัติตามข้อกำหนดมาตรฐานการรักษาความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (“PCI-DSS”) ทุกประการ และสามารถมอบเฉพาะข้อมูลที่ประกอบด้วยข้อมูลผู้ถือบัตรเครดิต เดบิต หรือการชำระเงินอื่นๆ (“ข้อมูล PCI-DSS”) ให้แก่ GoDaddy หากเกี่ยวข้องกับบริการของ GoDaddy ที่ออกแบบมาเพื่อประมวลผลข้อมูล PCI-DSS ดังกล่าวโดยเฉพาะ ลูกค้าจะเป็นผู้รับผิดชอบแต่เพียงผู้เดียวหากมีการละเมิดข้อกำหนด PCI-DSS ใดๆ หากลูกค้าใช้บริการของ GoDaddy เพื่อประมวลผลข้อมูล PCI-DSS นอกเหนือข้อเสนอบริการที่สอดคล้องตาม PCI-DSS ของ GoDaddy
5.4 GoDaddy จะใช้มาตรการทางเทคนิคและการจัดการที่เฉพาะเจาะจงตามที่ระบุไว้ในกำหนดรายการที่ 2 ของ DPA นี้ นอกเหนือจากมาตรการที่จำเป็นเพื่อให้ GoDaddy ปฏิบัติตามภาระผูกพันของตนภายใต้กฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้และข้อกำหนด PCI-DSS สำหรับบริการที่สอดคล้องตาม PCI-DSS ของ GoDaddy
6.1 GoDaddy เปิดโอกาสให้ลูกค้าสามารถเข้าถึงและควบคุมข้อมูลส่วนบุคคลของลูกค้าที่มีการประมวลผลในนามของลูกค้าได้อย่างครอบคลุม โดย GoDaddy ไม่รับผิดชอบต่อการทำลาย การสูญหาย การดัดแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงที่ไม่ได้เจตนาหรือที่ผิดกฎหมายต่อข้อมูลส่วนบุคคลของลูกค้าอันไม่ได้เป็นผลมาจากช่องโหว่ในระบบของ GoDaddy ตัวอย่างเหตุการณ์ด้านการรักษาความปลอดภัยที่ GoDaddy ไม่รับผิดชอบรวมถึงกรณีที่ลูกค้าไม่สามารถเก็บรักษารหัสผ่านของตนเป็นความลับ การดาวน์โหลดเนื้อหาอันตราย หรือช่องโหว่ด้านการรักษาความปลอดภัยอื่นใดที่เกิดขึ้นอันเนื่องมาจากลูกค้าหรือที่ลูกค้านำเข้าสู่บริการหรือสภาพแวดล้อมที่โฮสต์ของลูกค้า
7. สิทธิของเจ้าของข้อมูล
6.2 GoDaddy จะใช้ความพยายามที่สมเหตุสมผลเชิงพาณิชย์เพื่อแจ้งให้ลูกค้าทราบเกี่ยวกับภัยคุกคามต่อการรักษาความปลอดภัยของระบบของ GoDaddy ซึ่งจะนำไปสู่การทำลาย การสูญหาย การดัดแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงที่ไม่ได้เจตนาหรือที่ผิดกฎหมายต่อข้อมูลส่วนบุคคลของลูกค้า (“เหตุการณ์ด้านการรักษาความปลอดภัย”) ภายในระยะเวลาตามที่กำหนดโดยกฎหมายที่มีผลบังคับใช้
6.3 GoDaddy จะดำเนินการตามขั้นตอนจัดการความเสี่ยงที่เหมาะสมซึ่งจำเป็นอย่างสมเหตุสมผลเพื่อยับยั้ง บรรเทา และแก้ไขเหตุการณ์ด้านการรักษาความปลอดภัยโดยปราศจากความล่าช้าที่ไม่เหมาะสม
6.4 GoDaddy จะแจ้งข้อมูลตามคำขอที่สมเหตุสมผลของลูกค้าเพื่อประเมินผลกระทบจากเหตุการณ์ด้านการรักษาความปลอดภัยเกี่ยวกับข้อมูลส่วนบุคคลของลูกค้า รวมทั้งเพื่อให้ลูกค้าแจ้งเหตุการณ์ด้านการรักษาความปลอดภัยกับหน่วยงานรัฐ เจ้าของข้อมูลที่ได้รับผลกระทบ หรือบุคคลอื่นใด
6.5 การที่ GoDaddy รับทราบเกี่ยวกับเหตุการณ์ด้านการรักษาความปลอดภัยหรือตัดสินใจแจ้งให้ลูกค้าทราบเกี่ยวกับเหตุการณ์การรักษาความปลอดภัย ไม่ใช่การยอมรับถึงความบกพร่องหรือการยอมรับผิด
7.1 ลูกค้าเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในการตอบสนองต่อคำขอใดๆ เพื่อใช้สิทธิของเจ้าของข้อมูลภายใต้กฎหมายการคุ้มครองข้อมูล นโยบายความเป็นส่วนตัวของลูกค้า หรือเงื่อนไขการให้บริการของลูกค้า ซึ่งรวมถึงแต่ไม่จำกัดเพียงคำขอเพื่อที่จะทราบ เข้าถึง แก้ไข หรือลบข้อมูลส่วนบุคคลของลูกค้า (“คำขอจากเจ้าของข้อมูล”)
8. การประเมินผลกระทบในการคุ้มครองข้อมูล การปรึกษาหารือล่วงหน้า และคำถามเกี่ยวกับการปฏิบัติตามข้อกำหนด
7.2 GoDaddy จะไม่ตอบสนองต่อคำขอของเจ้าของข้อมูล เว้นแต่จะได้รับคำสั่งที่จัดทำเป็นลายลักษณ์อักษรจากลูกค้าหรือมีการกำหนดไว้เป็นอย่างอื่นตามกฎหมายที่มีผลบังคับใช้
7.3 GoDaddy จะแจ้งให้ลูกค้าทราบเกี่ยวกับคำขอจากเจ้าของข้อมูล ลูกค้าเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในการตอบสนองต่อคำขอใดๆ จากเจ้าของข้อมูล หากลูกค้าได้ใช้ทุกวิถีทางที่สามารถดำเนินการได้เพื่อตอบสนองต่อคำขอจากเจ้าของข้อมูลจนไม่เหลือทางใดแล้ว GoDaddy จะให้ความช่วยเหลือที่จำเป็นอย่างสมเหตุสมผลกับลูกค้าในการเอื้อให้ลูกค้าสามารถตอบสนองต่อคำขอจากเจ้าของข้อมูลได้ โดยเป็นไปตามการที่ลูกค้ายินยอมชำระค่าใช้จ่ายอันสมควรของ GoDaddy ให้ล่วงหน้า
8.1 การปรึกษาหารือล่วงหน้าถึงการประเมินผลกระทบในการคุ้มครองข้อมูล GoDaddy จะให้ความช่วยเชื่อตามความสมควรแก่ลูกค้า โดยที่ลูกค้าเป็นผู้รับผิดชอบค่าใช้จ่ายในการดำเนินการปรึกษาหารือและประเมินผลกระทบในการคุ้มครองข้อมูลใดๆ กับหน่วยงานรัฐหรือหน่วยงานกำกับดูแลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า
9. ข้อกำหนดเฉพาะตามเขตอำนาจศาลและการถ่ายโอนข้อมูลส่วนบุคคลระหว่างประเทศ
8.2 คำถามเกี่ยวกับการปฏิบัติตามข้อกำหนด ลูกค้าสามารถส่งคำขอข้อมูลที่จำเป็นอย่างสมเหตุสมผลในการยืนยันการปฏิบัติตามภาระผูกพันภายใต้กฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้ของ GoDaddy ได้เป็นระยะ หาก GoDaddy ไม่สามารถตอบสนองต่อคำขอของลูกค้าได้ภายในสี่สิบห้า (45) วัน ลูกค้าสามารถยุติข้อตกลงได้ ทั้งนี้เพื่อไม่ให้เกิดความไม่แน่ใจ ไม่มีข้อใดใน DPA นี้ที่ให้สิทธิแก่ลูกค้าในการดำเนินการตรวจสอบธุรกิจ ระบบ หรือบริการของ GoDaddy โดยจะจำกัดภาระผูกพันของ GoDaddy ภายใต้ส่วนนี้ไว้ที่การแจ้งข้อมูลที่จำเป็นอย่างสมเหตุสมผลแก่ลูกค้าเพื่อยืนยันว่า GoDaddy ปฏิบัติตามภาระผูกพันของตนภายใต้กฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้
9.1 การประมวลผลข้อมูลส่วนบุคคลของลูกค้าภายใต้ DPA นี้อาจรวมถึงการประมวลผลที่อยู่ภายใต้การควบคุมของกฎหมายการคุ้มครองข้อมูลมากกว่าหนึ่งกฎหมาย และ/หรืออาจรวมถึงการถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าระหว่างประเทศ
10. ทั่วไป
9.2 หากต้นทางข้อมูลส่วนบุคคลของลูกค้ามาจากสหรัฐอเมริกา ข้อกำหนดที่เกี่ยวข้องกับกฎหมายการคุ้มครองข้อมูลแห่งสหรัฐฯ ตามที่ระบุไว้ในกำหนดรายการที่ 3 (ส่วนที่ 1) ของ DPA นี้จะมีผลบังคับใช้
9.3 หากข้อมูลส่วนบุคคลของลูกค้ามีต้นทางจากสหภาพยุโรป/เขตเศรษฐกิจยุโรป (“EU/EEA”) สหราชอาณาจักร (“UK”) หรือสวิตเซอร์แลนด์ หรือในกรณีที่ลูกค้าจัดตั้งอยู่ในเขตอำนาจศาลเหล่านี้มากกว่าหนึ่งแห่ง ข้อกำหนดที่เกี่ยวข้องกับกฎหมายการคุ้มครองข้อมูลแห่งสหภาพยุโรป/เขตเศรษฐกิจยุโรป สหราชอาณาจักร และ/หรือสวิตเซอร์แลนด์ที่ระบุไว้ในกำหนดรายการที่ 3 (ส่วนที่ 2) ของ DPA นี้จะมีผลบังคับใช้
9.4 ในกรณีที่จำเป็นต้องมีกลไกในการถ่ายโอนข้อมูลระหว่างประเทศ (“กลไกการถ่ายโอนที่บังคับ”) เพื่อถ่ายโอนข้อมูลส่วนบุคคลในลักษณะที่ถูกต้องตามกฎหมาย ข้อกำหนดที่ระบุไว้ในกำหนดรายการที่ 4 ของ DPA นี้จะมีผลบังคับใช้
10.1 การตีความของข้อตกลงฉบับสมบูรณ์ DPA นี้ประกอบเป็นส่วนหนึ่งของข้อตกลงฉบับสมบูรณ์ระหว่างทั้งสองฝ่ายโดยเกี่ยวข้องกับหัวข้อสำคัญของ DPA นี้ รวมทั้งใช้แทนที่การชี้แจงข้อเท็จจริง ความเข้าใจ ข้อตกลง และการสื่อสารก่อนหน้าหรือที่มีอยู่ในขณะเดียวกันทั้งหมดระหว่างทั้งสองฝ่าย ไม่ว่าโดยเป็นลายลักษณ์อักษรหรือทางวาจาเกี่ยวกับหัวข้อสำคัญของ DPA นี้ ในกรณีที่เกิดข้อขัดแย้งระหว่าง DPA นี้กับข้อตกลงนี้ (หรือข้อตกลงอื่นใดระหว่างทั้งสองฝ่าย) DPA จะกำกับดูแลและควบคุมส่วนที่เกี่ยวข้องกับหัวข้อสำคัญของ DPA นี้ หากเกิดข้อขัดแย้งระหว่างข้อกำหนดใดๆ ใน DPA นี้กับข้อกำหนดการถ่ายโอนที่บังคับตามที่อธิบายไว้ในกำหนดรายการที่ 4 ข้อกำหนดการถ่ายโอนที่บังคับจะมีอำนาจเหนือกว่า
กำหนดรายการที่ 1: รายละเอียดการประมวลผลข้อมูลส่วนบุคคลของลูกค้า
10.2 การแก้ไขเพิ่มเติม GoDaddy อาจแก้ไขหรือปรับปรุง DPA นี้ตามดุลยพินิจของตนแต่เพียงผู้เดียว โดยดำเนินการที่สอดคล้องกับขั้นตอนตามที่กำหนดไว้ในข้อตกลง หากลูกค้าไม่เห็นด้วยกับการแก้ไขเพิ่มเติมดังกล่าว ทางแก้กรณีเดียวที่ลูกค้าดำเนินการได้คือการยุติส่วนดังกล่าวในข้อตกลงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า โดยแจ้งล่วงหน้าสามสิบ (30) วัน การแก้ไขเพิ่มเติมใดๆ ของข้อตกลงนี้จะมีผลบังคับใช้เฉพาะในส่วนที่เกี่ยวข้องกับการประมวลผลที่เกิดขึ้นหลังจากวันที่มีการแก้ไขดังกล่าวเท่านั้น เว้นแต่จะได้รับการยินยอมอย่างชัดแจ้งโดยทั้งสองฝ่ายเป็นลายลักษณ์อักษร
10.3 การสละสิทธิ การสละสิทธิในการฝ่าฝืนใดๆ ของ DPA นี้จะมีผลบังคับใช้เฉพาะในกรณีที่ดำเนินการเป็นลายลักษณ์อักษรโดยตัวแทนที่ได้รับอนุญาตของฝ่ายที่สละสิทธิในการฝ่าฝืนดังกล่าวเท่านั้น และจะไม่ถือว่าการสละสิทธิใดเป็นการสละสิทธิในการฝ่าฝืนที่เกิดขึ้นภายหลัง
10.4 การแยกออกจากกัน หากพบว่าไม่สามารถบังคับใช้ข้อกำหนดข้อใดของ DPA นี้ได้ ข้อกำหนดดังกล่าวจะต้องได้รับการแก้ไขภายในขอบเขตที่จำเป็นเพื่อให้บังคับใช้ได้ และส่วนที่เหลือของ DPA จะยังคงมีผลบังคับใช้ตามที่ระบุไว้ อย่างไรก็ตาม หากการแก้ไขข้อกำหนดที่ไม่สามารถบังคับใช้ได้นั้นจะส่งผลให้ไม่สามารถบรรลุผลตามวัตถุประสงค์สำคัญของ DPA นี้ ให้ถือว่า DPA ทั้งหมดไม่มีผลและเป็นโมฆะ เว้นแต่จะแก้ไขตามส่วนที่ 10.2
10.5 การแจ้ง การแจ้งตามที่ DPA นี้กำหนดจะดำเนินการตามข้อกำหนดการแจ้งที่ระบุไว้ในข้อตกลง ยกเว้นในกรณีตามที่ระบุไว้ในที่นี้อย่างชัดแจ้ง
10.6 ความรับผิด DPA นี้ไม่ได้เป็นการมอบมูลฐานให้ฝ่ายใดหรือบุคคลอื่นใดได้รับการชดเชยค่าเสียหายประเภทอื่นๆ นอกเหนือจากที่กำหนดไว้ในข้อตกลง โดยต้องเป็นไปตามข้อจำกัดทุกประการที่ระบุไว้ในข้อตกลงดังกล่าว
10.7 การบังคับใช้ จะมีเพียงทั้งสองฝ่ายเท่านั้นที่สามารถบังคับใช้ข้อกำหนดใน DPA นี้ในนามของตนเองและบริษัทในเครือที่เกี่ยวข้องของตนตามข้อกำหนดว่าด้วยการระงับข้อพิพาทตามที่กำหนดไว้ในข้อตกลง อย่างไรก็ตาม การจำกัดการบังคับใช้นี้ไม่มีผลต่อความสามารถของเจ้าของข้อมูลแต่ละรายในการใช้สิทธิของตนภายใต้กฎหมายการคุ้มครองข้อมูล
10.8 การยุติ DPA นี้จะยุติลงเมื่อดำเนินการประมวลผลเสร็จสิ้นหรือเมื่อข้อตกลงยุติลง แล้วแต่ว่ากรณีใดเกิดขึ้นทีหลัง เว้นแต่จะเกิดการยุติก่อนกำหนดตามข้อตกลง หรือข้อกำหนดอื่นใดที่มีผลบังคับใช้ของ DPA นี้ หรือกฎหมายการคุ้มครองข้อมูลใดๆ ที่มีผลบังคับใช้ โดยหลังจากที่ DPA ยุติลง GoDaddy จะส่งคืน ลบ หรือยกเลิกการระบุตัวตนข้อมูลส่วนบุคคลของลูกค้าตามข้อกำหนดของข้อตกลงและ DPA นี้ เว้นแต่ GoDaddy จะจำเป็นต้องรักษาข้อมูลส่วนบุคคลของลูกค้าไว้ตามกฎหมายที่มีผลบังคับใช้ หาก GoDaddy จำเป็นต้องเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าไว้หลังจากการยุติข้อตกลง GoDaddy จะปฏิบัติตามภาระผูกพันของตนที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าตาม DPA นี้ต่อไป และจะส่งคืนหรือลบข้อมูลส่วนบุคคลของลูกค้าดังกล่าวทันทีหลังจากที่ไม่จำเป็นต้องเก็บรักษาข้อมูลไว้ตามกฎหมายแล้ว
10.9 กฎหมายและเขตอำนาจศาลที่กำกับดูแล กฎหมายที่ระบุไว้ในข้อตกลงเป็นกฎหมายที่กำกับดูแล DPA นี้ ยกเว้นในขอบเขตที่กฎหมายการคุ้มครองข้อมูลกำหนดไว้เป็นอย่างอื่น ซึ่งในกรณีดังกล่าว กฎหมายของเขตอำนาจศาลตามที่ระบุไว้ในกฎหมายการคุ้มครองข้อมูลจะมีผลบังคับใช้ ไม่มีข้อกำหนดข้อใดใน DPA นี้ที่จะถือว่าเป็นการจำกัดสิทธิหรือภาระผูกพันของบุคคลรายใดภายใต้กฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้
กำหนดรายการที่ 1 นี้ประกอบด้วยรายละเอียดการประมวลผลข้อมูลส่วนบุคคลของลูกค้าตามที่กฎหมายการคุ้มครองข้อมูลกำหนด
หัวข้อสำคัญและระยะเวลาในการประมวลผลข้อมูลส่วนบุคคลของลูกค้า
หัวข้อสำคัญและระยะเวลาในการประมวลผลข้อมูลส่วนบุคคลของลูกค้าแจกแจงไว้ในข้อตกลง
ลักษณะและวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลของลูกค้า
การประมวลผลข้อมูลส่วนบุคคลของลูกค้าโดย GoDaddy นั้นมีความจำเป็นอย่างสมเหตุสมผลเพื่อให้บริการตามที่อธิบายไว้ในข้อตกลง
ประเภทของข้อมูลส่วนบุคคลและหมวดหมู่ของเจ้าของข้อมูล
ประเภทข้อมูลส่วนบุคคลของลูกค้าและหมวดหมู่ของเจ้าของข้อมูลจะอยู่ภายใต้การควบคุมของลูกค้าและ/หรือผู้ควบคุมที่มอบข้อมูลส่วนบุคคลของลูกค้าให้แก่ลูกค้าตามดุลยพินิจของตนแต่เพียงผู้เดียว
ข้อมูลที่ละเอียดอ่อนหรือข้อมูลในหมวดหมู่พิเศษ
ข้อมูลที่ละเอียดอ่อนอาจได้รับการประมวลผลเป็นครั้งคราวตามข้อตกลง ประเภทของข้อมูลที่ละเอียดอ่อนซึ่งมีการประมวลผลภายใต้ข้อตกลงจะเป็นไปตามการกำหนดของลูกค้าและ/หรือผู้ควบคุมที่มอบข้อมูลที่ละเอียดอ่อนให้แก่ลูกค้าตามดุลยพินิจของผู้ควบคุมดังกล่าวแต่เพียงผู้เดียว
ภาระผูกพันและสิทธิของผู้ควบคุม
ภาระผูกพันและสิทธิของลูกค้าแจกแจงไว้ในข้อตกลงและ DPA นี้
กำหนดรายการที่ 2: มาตรการรักษาความปลอดภัยทางเทคนิคและการจัดการ1. ความสามารถในการบังคับใช้
1.1 ข้อกำหนดของกำหนดรายการที่ 2 นี้มีผลบังคับใช้กับ GoDaddy และผู้ประมวลผลช่วง (รวมถึงแต่ไม่จำกัดเพียงผู้ให้บริการระบบคลาวด์ใดๆ) ที่ GoDaddy ใช้บริการเพื่อให้บริการและ/หรือประมวลผลข้อมูลส่วนบุคคลของลูกค้า
1.2 หาก GoDaddy ใช้ผู้ประมวลผลช่วงในการให้บริการและ/หรือประมวลผลข้อมูลส่วนบุคคลของลูกค้า ทาง GoDaddy ต้องตรวจสอบให้แน่ใจว่าผู้ประมวลผลช่วงรายดังกล่าวนั้นปฏิบัติตามข้อกำหนดแต่ละข้อของกำหนดรายการนี้
2. ความเป็นส่วนตัวของข้อมูลและการจัดการการรักษาความปลอดภัยของข้อมูล
2.1 กระบวนการจัดการความเสี่ยง GoDaddy จะดำเนินการตามกระบวนการจัดการความเสี่ยงที่เหมาะสมอย่างต่อเนื่องเพื่อกำหนดกรอบ ประเมิน ตอบสนอง และติดตามตรวจสอบความเสี่ยงที่มีต่อข้อมูลส่วนบุคคลของลูกค้าอย่างสอดคล้องกับภาระผูกพันของ GoDaddy ภายใต้ข้อตกลง, DPA และกฎหมายที่มีผลบังคับใช้
2.2 ขอบเขตโปรแกรมการรักษาความปลอดภัยของข้อมูล โปรแกรมการรักษาความปลอดภัยของข้อมูลของ GoDaddy ซึ่งรวมถึงนโยบายความเป็นส่วนตัวและการคุ้มครองข้อมูลทั้งหมดที่เกี่ยวข้องต้องได้รับการออกแบบเพื่อดำเนินการดังต่อไปนี้เป็นอย่างน้อย
2.2.1 ปกป้องการเก็บรักษาความลับ ความถูกต้องสมบูรณ์ และความพร้อมใช้งานของข้อมูลส่วนบุคคลของลูกค้าที่ GoDaddy ครอบครองและควบคุม หรือที่ GoDaddy มีสิทธิในการเข้าถึง และ
2.2.2 ป้องกันภัยคุกคามหรืออันตรายตามที่คาดการณ์อย่างสมเหตุสมผลต่อการเก็บรักษาความลับ ความถูกต้องสมบูรณ์ และความพร้อมใช้งานของข้อมูลส่วนบุคคลของลูกค้า
2.3 การอัพเดตโปรแกรมการรักษาความปลอดภัยของข้อมูล GoDaddy จะตรวจสอบและอัพเดตโปรแกรมการรักษาความปลอดภัยของข้อมูลเป็นประจำตามแนวปฏิบัติมาตรฐานของอุตสาหกรรมและกรอบโครงสร้างที่เหมาะสมกับประเภท ปริมาณ และความละเอียดอ่อนของข้อมูลส่วนบุคคลของลูกค้าที่ GoDaddy ประมวลผล
2.4 การประเมินความเสี่ยงและการทดสอบ GoDaddy จะดำเนินการประเมินความเสี่ยงระบบที่ประมวลผลข้อมูลส่วนบุคคลของลูกค้าเป็นประจำ รวมทั้งจะดำเนินการทดสอบเจาะระบบแอปพลิเคชันและโครงสร้างพื้นฐานของบุคคลที่สามที่ใช้ในการให้บริการตามที่ GoDaddy พิจารณาอย่างสมเหตุสมผลว่าจำเป็น
2.5 ความต่อเนื่องและความสามารถในการฟื้นตัว GoDaddy จะใช้มาตรการที่เหมาะสมเพื่อปกป้องความถูกต้องสมบูรณ์และความพร้อมใช้งานของระบบของตนที่ประมวลผลข้อมูลส่วนบุคคลของลูกค้า รวมถึงมาตรการต่างๆ เช่น การติดตามตรวจสอบประสิทธิภาพและความพร้อมใช้งาน การออกแบบระบบส่วนซ้ำสำรองและการฟื้นตัว การใช้เครื่องสำรองไฟฟ้า การป้องกันการโจมตีโดยปฏิเสธการให้บริการ (DDoS) การทดสอบโหลดและภาวะวิกฤติ ตลอดจนมาตรการอื่นๆ ที่คล้ายกัน3. การรักษาความปลอดภัยในการบริหารจัดการ
3.1 ภาระความรับผิด GoDaddy จะพัฒนาและบังคับใช้นโยบายและขั้นตอนที่จัดทำเป็นลายลักษณ์อักษรในการรักษาความปลอดภัยของข้อมูลที่กำหนดความรับผิดชอบด้านการปกป้องข้อมูลส่วนบุคคลของลูกค้าภายใน GoDaddy ไว้อย่างชัดเจน รวมถึงการกำหนดบุคคลที่รับผิดชอบในการบริหารจัดการโปรแกรมการรักษาความปลอดภัยของข้อมูลของ GoDaddy และการปกป้องข้อมูลส่วนบุคคลของลูกค้าโดยเฉพาะไว้อย่างน้อยหนึ่งคน
3.2 การจัดการและการควบคุมสินทรัพย์ GoDaddy จะรักษาไว้ซึ่งนโยบายการจัดการสินทรัพย์และการควบคุมสินทรัพย์ รวมถึงการจัดประเภทสินทรัพย์ และการทำบัญชีทรัพย์สินอุปกรณ์และระบบต่างๆ ที่ใช้ในการให้บริการและ/หรือประมวลผลข้อมูลส่วนบุคคลของลูกค้า
3.3 การรักษาความปลอดภัยทางกายภาพ GoDaddy ยังต้องใช้การควบคุมความเสี่ยงเพื่อรักษาความปลอดภัยทางกายภาพของอาคารสถานที่ของตน รวมถึงการใช้มาตรการที่เหมาะสมเพื่อรับรองว่ามีเพียงผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงอุปกรณ์อิเล็กทรอนิกส์ เครือข่าย ระบบสำคัญ แอปพลิเคชัน ห้องเซิร์ฟเวอร์ ห้องการสื่อสาร และสภาพแวดล้อมในการทำงานของ GoDaddy ได้ มาตรการที่ GoDaddy อาจใช้ตามความเหมาะสมรวมถึงแต่ไม่จำกัดเพียงสัญญาณเตือน, การติดตามตรวจสอบกล้องวงจรปิด (CCTV), การจัดการสิทธิการเข้าถึงของผู้เยี่ยมชม และการทำลายข้อมูลส่วนบุคคลบนอุปกรณ์ทางกายภาพก่อนนำไปกำจัด/รีไซเคิล
4. การดำเนินการรักษาความปลอดภัย
4.1 การกำหนดค่าระบบที่ปลอดภัย GoDaddy จะกำหนดวิธีการควบคุมเพื่อให้แน่ใจว่าระบบที่ใช้เพื่อให้บริการและ/หรือประมวลผลข้อมูลส่วนบุคคลของลูกค้านั้นมีการกำหนดค่าอย่างปลอดภัย
4.2 การจัดการช่องโหว่และแพตช์ GoDaddy จะสร้างและรักษาระบบจัดการช่องโหว่และแพตช์ที่จะรับรองว่าระบบทั้งหมดที่ใช้เพื่อให้บริการและ/หรือประมวลผลข้อมูลส่วนบุคคลของลูกค้านั้นได้รับการแพตช์เพื่อป้องกันช่องโหว่ด้านการรักษาความปลอดภัยที่รับทราบภายในระยะเวลาที่สมเหตุสมผลตามความสำคัญของแพตช์และความละเอียดอ่อนของข้อมูลส่วนบุคคลของลูกค้า
4.3 การป้องกันมัลแวร์ GoDaddy จะใช้วิธีการควบคุมโดยการตรวจจับ การป้องกัน และการแก้ไข เพื่อป้องกันซอฟต์แวร์อันตราย (รวมถึงนำเสนอโปรแกรมเพื่อความตระหนักรู้ที่เหมาะสมสำหรับผู้ใช้)
4.4 การบันทึกและการตรวจสอบ GoDaddy จะใช้โปรแกรมการจัดการบันทึกที่กำหนดขอบเขต การสร้าง การจัดเก็บ การวิเคราะห์ และการกำจัดบันทึกโดยใช้มาตรฐานของอุตสาหกรรมในการจัดการความเสี่ยง
4.5 การตรวจจับและการตอบสนองต่อเหตุการณ์ด้านการรักษาความปลอดภัย GoDaddy จะรักษาไว้ซึ่งระบบจัดการความเสี่ยงสำหรับการตรวจจับเหตุการณ์ด้านการรักษาความปลอดภัยตามส่วนที่ 6 ของข้อตกลงกำหนดไว้ รวมถึงการใช้ระบบการตรวจจับการบุกรุกและการป้องกันการบุกรุก
5. การฝึกอบรม
GoDaddy จะตรวจสอบให้แน่ใจว่าบุคลากรได้รับการฝึกอบรมเป็นประจำเกี่ยวกับภาระผูกพันของตนในการเก็บรักษาความลับและการคุ้มครองข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของลูกค้า
6. การควบคุมการเข้าถึง
6.1 ข้อมูลระบุตัวตนที่ไม่ซ้ำกัน GoDaddy จะกำหนดข้อมูลประจำตัวผู้ใช้ที่ไม่ซ้ำกันของผู้ใช้แต่ละรายให้แก่บุคลากรที่มีสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลของลูกค้า รวมถึงแต่ไม่จำกัดเพียงบุคลากรที่มีสิทธิ์การเข้าถึงด้านการบริหารจัดการ
6.2 การจัดการรหัสผ่าน GoDaddy จะใช้นโยบายและขั้นตอนสำหรับการจัดการรหัสผ่าน รวมถึงการจัดการรหัสส่วนกลางและนโยบายว่าด้วยรหัสผ่าน
6.3 การรับรองความถูกต้องแบบหลายปัจจัย GoDaddy จะใช้การรับรองความถูกต้องแบบหลายปัจจัยสำหรับการเข้าถึงเครือข่าย ระบบ หรือแอปพลิเคชันที่ใช้ประมวลผลและ/หรือจัดเก็บข้อมูลส่วนบุคคลของลูกค้าจากระยะไกล
6.4 การให้สิทธิตามความจำเป็น GoDaddy จะจำกัดสิทธิการเข้าถึงต่อข้อมูลส่วนบุคคลของลูกค้าให้เฉพาะบุคลากรที่มีผลผูกพันตามภาระผูกพันด้านการเก็บรักษาความลับที่เหมาะสม รวมถึงใช้แนวทาง “ตามความจำเป็นที่ต้องทราบ” หรือ “ตามความจำเป็นที่ต้องเข้าถึง” เพื่อวัตถุประสงค์ในการให้บริการ
7. การควบคุมการรักษาความปลอดภัยของข้อมูล
7.1 การแยกข้อมูล GoDaddy จะเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าให้อยู่ในสภาพแวดล้อมที่แยกกันและปลอดภัยตามความสมควร
7.2 การเข้ารหัสและมาตรการอื่นๆ GoDaddy จะใช้มาตรการจัดการความเสี่ยงที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลของลูกค้า รวมถึงการเข้ารหัส การนำข้อมูลระบุตัวตนออก และมาตรการที่เหมาะสมอื่นๆ เช่น การใช้อัลกอริทึมสำหรับการแฮชข้อมูลลับ ซึ่งรวมถึงรหัสผ่านและโทเค็น API ที่ใช้ในการเข้าถึงระบบที่มีข้อมูลส่วนบุคคลของลูกค้า
กำหนดรายการที่ 3: ข้อกำหนดเฉพาะของเขตอำนาจศาล
1. สหรัฐอเมริกา
1.1 แคลิฟอร์เนีย
1.1.1 คำจำกัดความ
1.1.1.1 คำศัพท์ต่อไปนี้มีการนิยามไว้โดยเฉพาะตามคำจำกัดความที่กำหนดไว้ในกฎหมายการคุ้มครองข้อมูลของแคลิฟอร์เนีย ซึ่งได้แก่ “ธุรกิจ”, “วัตถุประสงค์เชิงพาณิชย์”, “ผู้ให้บริการ”, “การขาย”, “การแบ่งปัน” และ “บุคคลที่สาม”
1.1.1.2 คำว่า “ข้อมูลส่วนบุคคลของลูกค้า” รวมถึงข้อมูลส่วนบุคคลของบุคคลหรือครัวเรือนที่ระบุตัวตนหรือสามารถใช้ระบุตัวตนได้
1.1.2 บทบาทของบุคคลที่สาม
1.1.2.1 หากกฎหมายการคุ้มครองข้อมูลแห่งแคลิฟอร์เนียที่มีผลบังคับใช้พิจารณาว่าลูกค้าเป็นธุรกิจ การกล่าวถึงสิทธิและภาระผูกพันของลูกค้าทั้งหมดในฐานะผู้ควบคุมตาม DPA นี้จะถือว่าเป็นการกล่าวถึงสิทธิและภาระผูกพันของลูกค้าในฐานะธุรกิจด้วย หากกฎหมายการคุ้มครองข้อมูลแห่งแคลิฟอร์เนียที่มีผลบังคับใช้พิจารณาว่าลูกค้าเป็นผู้ให้บริการ การกล่าวถึงสิทธิและภาระผูกพันของลูกค้าทั้งหมดในฐานะผู้ประมวลผลตาม DPA นี้จะถือว่าเป็นการกล่าวถึงสิทธิและภาระผูกพันของลูกค้าในฐานะผู้ให้บริการด้วย
1.1.2.2 หากกฎหมายการคุ้มครองข้อมูลแห่งแคลิฟอร์เนียที่มีผลบังคับใช้พิจารณาว่า GoDaddy เป็นผู้ให้บริการหรือบุคคลที่สาม การกล่าวถึงสิทธิและภาระผูกพันของ GoDaddy ทั้งหมดในฐานะผู้ประมวลผลหรือผู้ประมวลผลช่วงตาม DPA นี้จะถือว่าเป็นการกล่าวถึงสิทธิและภาระผูกพันของ GoDaddy ในฐานะผู้ให้บริการหรือบุคคลที่สามด้วยตามความเหมาะสม
1.2 สหรัฐฯ ทั้งหมด รัฐ (รวมถึงแคลิฟอร์เนีย)
1.2.1 GoDaddy ไม่สามารถ (ก) ขายหรือแบ่งปันข้อมูลส่วนบุคคลของลูกค้า (ข) เก็บรักษา ใช้งาน หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าเพื่อวัตถุประสงค์ใดๆ นอกเหนือจากวัตถุประสงค์ทางธุรกิจที่ระบุไว้ในข้อตกลง หรือ (ค) เก็บรักษา ใช้งาน หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้านอกขอบเขตความสัมพันธ์ทางธุรกิจโดยตรงระหว่าง GoDaddy กับบริษัท
1.2.2 สิทธิ์ของ GoDaddy ในการเข้าถึงข้อมูลส่วนบุคคลของลูกค้าไม่ใช่ส่วนหนึ่งของค่าตอบแทนที่ทั้งสองฝ่ายแลกเปลี่ยนกันตามข้อตกลง
1.2.3 ลูกค้ามีสิทธิที่จะดำเนินการตามขั้นตอนที่สมควรเพื่อ (ก) ตรวจสอบยืนยันว่า GoDaddy ประมวลผลข้อมูลส่วนบุคคลของลูกค้าในลักษณะที่สอดคล้องกับ DPA นี้ รวมถึงการใช้สิทธิตามที่กำหนดไว้ในส่วนที่ 8 ของ DPA นี้ (ข) กำหนดให้หยุดหรือแก้ไขกิจกรรมการประมวลผลของ GoDaddy ที่ดำเนินการโดยฝ่าฝืนข้อกำหนดของ DPA และ (ค) ดำเนินการตามขั้นตอนที่สมควร (ตามดุลยพินิจของลูกค้าแต่เพียงผู้เดียว) เพื่อให้แน่ใจว่า GoDaddy ปฏิบัติตาม DPA นี้ หาก GoDaddy ไม่สามารถหรือไม่ยินยอมที่จะปฏิบัติตามคำขอที่สมเหตุสมผลของลูกค้าตามส่วนที่ 1.2.3 นี้ ทางแก้เพียงอย่างเดียวของลูกค้าคือการยุติ DPA และส่วนดังกล่าวในข้อตกลงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า
1.2.4 GoDaddy รับรองว่าตนเข้าใจและจะปฏิบัติตามภาระผูกพันภายใต้กฎหมายการคุ้มครองข้อมูลและ DPA นี้ รวมถึงข้อจำกัดทุกประการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า
2. สหภาพยุโรป/เขตเศรษฐกิจยุโรป
2.1 ผู้ประมวลผลช่วง
2.1.1 GoDaddy จะดำเนินการดังต่อไปนี้เมื่อว่าจ้างผู้ประมวลผลช่วง
2.2 ความรับผิดต่อค่าปรับตามกฎหมาย ไม่ว่าข้อกำหนดอื่นใดใน DPA นี้หรือข้อตกลงจะระบุไว้อย่างไร (รวมถึงภาระผูกพันด้านการชดใช้ค่าสินไหมทดแทนของทั้งสองฝ่าย) ทั้งสองฝ่ายจะไม่รับผิดชอบต่อค่าปรับใดๆ ที่หน่วยงานกำกับดูแลหรือหน่วยงานรัฐเรียกหรือเก็บจากอีกฝ่าย รวมถึงค่าปรับตามมาตราที่ 83 ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล (GDPR) แห่งสหภาพยุโรป2.1.1.1 กำหนดให้ผู้ประมวลผลช่วงต้องปฏิบัติตามมาตรการทางเทคนิคและการจัดการตามที่ระบุไว้ในส่วนที่ 5, 6 และ 8 ของ DPA รวมถึงปฏิบัติตามกำหนดรายการที่ 2 ของ DPA ตามความเหมาะสมกับลักษณะการประมวลผลของผู้ประมวลผลช่วง รวมถึงแต่ไม่จำกัดเพียงมาตรการทางเทคนิคและการจัดการทั้งหมดตามที่กำหนดไว้โดยมาตราที่ 28 ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล (“GDPR”) แห่งสหภาพยุโรป และ
2.1.1.2 กำหนดให้ผู้ประมวลผลช่วงแสดงความยินยอมเป็นลายลักษณ์อักษรที่จะประมวลผลข้อมูลส่วนบุคคลของลูกค้า (ก) ในสหภาพยุโรป/เขตเศรษฐกิจยุโรป (ข) ในประเทศที่คณะกรรมาธิการยุโรปประกาศว่ามีการคุ้มครองข้อมูลในระดับที่ “เพียงพอ” หรือ (ค) ตามข้อกำหนดที่ระบุไว้ในกำหนดรายการที่ 4 เกี่ยวกับการถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าระหว่างประเทศ
3. สวิตเซอร์แลนด์
3.1 GoDaddy จะดำเนินการดังต่อไปนี้เมื่อว่าจ้างผู้ประมวลผลช่วง
3.1.1 กำหนดให้ผู้ประมวลผลช่วงต้องปฏิบัติตามมาตรการทางเทคนิคและการจัดการตามที่ระบุไว้ในส่วนที่ 5, 6 และ 8 รวมถึงกำหนดรายการที่ 2 ของ DPA ตามความเหมาะสมกับลักษณะการประมวลผลของผู้ประมวลผลช่วง รวมถึงแต่ไม่จำกัดเพียงมาตรการทางเทคนิคและการจัดการทั้งหมดตามที่กำหนดไว้โดยมาตราที่ 28 ของ GDPR และ
3.1.2 กำหนดให้ผู้ประมวลผลช่วงแสดงความยินยอมเป็นลายลักษณ์อักษรที่จะประมวลผลข้อมูลส่วนบุคคลของลูกค้า (ก) ในสวิตเซอร์แลนด์ (ข) ในสหภาพยุโรป/เขตเศรษฐกิจยุโรป (ค) ในประเทศอื่นที่คณะกรรมาธิการยุโรปประกาศว่ามีการคุ้มครองข้อมูลในระดับที่ “เพียงพอ” หรือ (ง) ตามข้อกำหนดที่ระบุไว้ในกำหนดรายการที่ 4 เกี่ยวกับการถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าระหว่างประเทศ
3.2 ในขอบเขตที่มีการดำเนินการถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าจากสวิตเซอร์แลนด์ตามข้อสัญญามาตรฐานแห่งสหภาพยุโรป (ดังที่กำหนดไว้ในกำหนดรายการที่ 4) การแก้ไขเพิ่มเติมต่อไปนี้จะมีผลบังคับใช้
3.2.1 การกล่าวถึง “รัฐสมาชิก” จะถือได้ว่ารวมถึงสวิตเซอร์แลนด์ด้วย และ
3.2.2 ในกรณีที่การถ่ายโอนต้องเป็นไปตามกฎหมายรัฐบาลกลางว่าด้วยการคุ้มครองข้อมูล (“FADP”) การอ้างอิงถึง “ข้อบังคับ (สหภาพยุโรป) 2016/679” จะถือว่าเป็นการอ้างอิงถึง FADP
3.3 ตามขอบเขตที่ FADP กำหนด ข้อสัญญามาตรฐานแห่งสหภาพยุโรปจะถือว่ารวมข้อมูลที่เกี่ยวข้องกับนิติบุคคลเป็นข้อมูลส่วนบุคคลของลูกค้าด้วย4. สหราชอาณาจักร
4.1 การอ้างอิงถึง “GDPR” จะถือว่าเป็นการอ้างอิงถึงกฎหมายและข้อบังคับที่สอดคล้องกันแห่งสหราชอาณาจักร รวมถึงแต่ไม่จำกัดเพียง GDPR แห่งสหราชอาณาจักรและกฎหมายการคุ้มครองข้อมูลแห่งสหราชอาณาจักร ปี 2018
4.2 เมื่อบริษัทว่าจ้างผู้ประมวลผลช่วง บริษัทจะดำเนินการดังต่อไปนี้
กำหนดรายการที่ 4: กลไกการถ่ายโอนข้ามประเทศที่บังคับสำหรับการดำเนินการระหว่างประเทศ
4.2.1 กำหนดให้ผู้ประมวลผลช่วงต้องปฏิบัติตามมาตรการทางเทคนิคและการจัดการตามที่ระบุไว้ในส่วนที่ 5, 6 และ 8 รวมถึงกำหนดรายการที่ 2 ของ DPA ตามความเหมาะสมกับลักษณะการประมวลผลของผู้ประมวลผลช่วง รวมถึงแต่ไม่จำกัดเพียงมาตรการทางเทคนิคและการจัดการทั้งหมดตามที่กำหนดไว้โดยมาตราที่ 28 ของ GDPR แห่งสหราชอาณาจักร และ
4.2.2 กำหนดให้ผู้ประมวลผลช่วงแสดงความยินยอมเป็นลายลักษณ์อักษรที่จะประมวลผลข้อมูลส่วนบุคคลของลูกค้าใน (ก) สหราชอาณาจักร (ข) สหภาพยุโรป/เขตเศรษฐกิจยุโรป (ค) ประเทศอื่นที่สหราชอาณาจักรประกาศว่ามีการคุ้มครองข้อมูลในระดับที่ “เพียงพอ” หรือ (ง) ตามข้อกำหนดที่ระบุไว้ในกำหนดรายการที่ 4 เกี่ยวกับการถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าระหว่างประเทศ
1. คำจำกัดความ
1.1 “กรอบโครงสร้างความเป็นส่วนตัวของข้อมูล (‘DPF’)” หมายถึง โปรแกรมการรับรองกรอบโครงสร้างความเป็นส่วนตัวของข้อมูลระหว่างสหภาพยุโรปกับสหรัฐฯ, ระหว่างสวิตเซอร์แลนด์กับสหรัฐฯ หรือระหว่างสหราชอาณาจักรกับสหรัฐฯ ซึ่งดำเนินการโดยสหรัฐฯ กระทรวงพาณิชย์แห่งสหรัฐฯ [www.dataprivacyframework.gov](www.dataprivacyframework.gov)
1.2 “Data Bridge ระหว่างสหราชอาณาจักรกับสหรัฐฯ” หมายถึง ส่วนต่อขยายว่าด้วยสหราชอาณาจักรต่อกรอบโครงสร้างความเป็นส่วนตัวของข้อมูลระหว่างสหภาพยุโรปกับสหรัฐฯ
1.3 “ข้อสัญญามาตรฐานแห่งสหภาพยุโรป” หมายถึง ข้อสัญญามาตรฐานที่ได้รับการอนุมัติโดยคณะกรรมาธิการยุโรป และแนบลงในภาคผนวกของคำตัดสินที่ 2021/914 เมื่อเดือนกรกฎาคม 2021
1.4 ข้อตกลงการถ่ายโอนข้อมูลระหว่างประเทศแห่งสหราชอาณาจักร (“UK IDTA”) ที่ออกโดยคณะกรรมการข้อมูลข่าวสารแห่งสหราชอาณาจักรในเวอร์ชัน B1.0 ถือว่ามีผลบังคับใช้โดยทั้งสองฝ่าย ณ วันที่ข้อตกลงมีผลบังคับใช้ และให้ถือว่ามีการแก้ไขปรับปรุงข้อสัญญามาตรฐานแห่งสหภาพยุโรปตามที่ระบุใน IDTA แห่งสหราชอาณาจักรในส่วนที่เกี่ยวข้องกับการถ่ายโอนข้อมูลจากสหราชอาณาจักร
2. ลำดับอำนาจที่เหนือกว่า
2.1 จะไม่มีการใช้กลไกการถ่ายโอนที่บังคับในกรณีที่ดำเนินการถ่ายโอนไปยังประเทศที่ได้รับการพิจารณาว่ามีการคุ้มครองข้อมูลในระดับที่เพียงพอตามกฎหมายการคุ้มครองข้อมูลของประเทศต้นทางที่ถ่ายโอนข้อมูลส่วนบุคคลของลูกค้า
2.2 หากจำเป็นต้องดำเนินการถ่ายโอนและการถ่ายโอนนั้นอยู่ภายใต้ขอบเขตของกลไกการถ่ายโอนที่บังคับมากกว่าหนึ่งกลไก การถ่ายโอนดังกล่าวจะต้องเป็นไปตามกลไกการถ่ายโอนที่บังคับกลไกเดียวตามลำดับอำนาจที่เหนือกว่าต่อไปนี้ ได้แก่ (ก) DPF แห่งสหภาพยุโรปหรือสวิตเซอร์แลนด์ที่มีผลบังคับใช้ (ข) Data Bridge ระหว่างสหราชอาณาจักรกับสหรัฐฯ (ค) ข้อสัญญามาตรฐานแห่งสหภาพยุโรป (ง) IDTA แห่งสหราชอาณาจักร หรือ (จ) กลไกการถ่ายโอนอื่นใดที่เกี่ยวข้องโดยได้รับอนุญาตตามกฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้
2.3 หากพิจารณาแล้วว่าใช้กลไกการถ่ายโอนที่บังคับไม่ได้หลังจากที่ข้อตกลงนี้มีผล จะถือให้การถ่ายโอนในอนาคตทั้งหมดดำเนินการตามกลไกการถ่ายโอนที่บังคับที่ใช้ได้ซึ่งเป็นกลไกถัดไป
3. กรอบโครงสร้างความเป็นส่วนตัวของข้อมูล
3.1 การรับรองตนเอง
3.1.1 การรับรองของ GoDaddy GoDaddy รับรองว่าตนได้รับรองตนเองตาม DPF โดย GoDaddy ยินยอมว่า (ก) จะให้การคุ้มครองข้อมูลส่วนบุคคลในระดับเดียวกันเป็นอย่างน้อยตามที่หลักการว่าด้วยความเป็นส่วนตัวของข้อมูลของ DPF กำหนด (ข) จะแจ้งให้ลูกค้าทราบเป็นลายลักษณ์อักษรโดยปราศจากความล่าช้าเกินควรในกรณีที่มีการเพิกถอน ยุติ ยกเลิก หรือทำให้การยืนยันตาม DPF ของ GoDaddy เป็นโมฆะในลักษณะอื่นใด และ (ค) จะดำเนินการตามขั้นตอนที่สมควรและเหมาะสมเพื่อหยุดและแก้ไขการประมวลผลข้อมูลส่วนบุคคลของลูกค้าอย่างไม่ได้รับอนุญาตเมื่อได้รับแจ้งเป็นลายลักษณ์อักษรจากลูกค้า
3.1.2 การรับรองของบริษัท ตามขอบเขตที่บริษัทได้รับการรับรองภายใต้ DPF บริษัทยินยอมว่า (ก) จะให้การคุ้มครองข้อมูลส่วนบุคคลในระดับเดียวกันเป็นอย่างน้อยตามที่หลักการว่าด้วยความเป็นส่วนตัวของข้อมูลของ DPF กำหนด (ข) จะแจ้งให้ GoDaddy ทราบเป็นลายลักษณ์อักษรโดยปราศจากความล่าช้าเกินควรในกรณีที่มีการเพิกถอน ยุติ ยกเลิก หรือทำให้การยืนยันตาม DPF ของบริษัทเป็นโมฆะในลักษณะอื่นใด และ (ค) จะดำเนินการตามขั้นตอนที่สมควรและเหมาะสมเพื่อหยุดและแก้ไขการประมวลผลข้อมูลส่วนบุคคลของลูกค้าอย่างไม่ได้รับอนุญาตเมื่อได้รับแจ้งเป็นลายลักษณ์อักษรถึง GoDaddy
3.2 สถานะ
3.2.1 DPF ระหว่างสหภาพยุโรปกับสหรัฐฯ คณะกรรมาธิการยุโรปได้พิจารณาแล้วว่า DPF ระหว่างสหภาพยุโรปกับสหรัฐฯ นั้นมีการคุ้มครองข้อมูลในระดับที่เพียงพอตามคำตัดสินว่าด้วยความเพียงพอเมื่อวันที่ 10 กรกฎาคม 2023 ซึ่งมีผลบังคับใช้ในวันที่ 10 ตุลาคม 2023
3.2.2 Data Bridge ระหว่างสหราชอาณาจักรกับสหรัฐฯ รัฐมนตรีว่าด้วยวิทยาศาสตร์ นวัตกรรม และเทคโนโลยีแห่งสหราชอาณาจักรได้พิจารณาแล้วว่า Data Bridge ระหว่างสหราชอาณาจักรกับสหรัฐฯ นั้นมีการคุ้มครองข้อมูลในระดับที่เพียงพอ ซึ่งได้กำหนดข้อบังคับว่าด้วยความเพียงพอในรัฐสภา ณ วันที่ 21 กันยายน 2023 โดยข้อบังคับ Data Bridge ระหว่างสหราชอาณาจักรกับสหรัฐฯ เริ่มมีผลบังคับใช้ในวันที่ 12 ตุลาคม 2023 และการถ่ายโอนที่เกี่ยวข้องจะต้องดำเนินการตาม Data Bridge ระหว่างสหราชอาณาจักรกับสหรัฐฯ ตั้งแต่วันที่ดังกล่าว
3.2.3 DPF ระหว่างสวิตเซอร์แลนด์กับสหรัฐฯ DPF ระหว่างสวิตเซอร์แลนด์กับสหรัฐฯ ยังไม่มีผลบังคับใช้
3.3 บริษัทและผู้ประมวลผลช่วงของบริษัทจะดำเนินการตามขั้นตอนที่จำเป็นทั้งหมดเพื่อเอื้อให้ GoDaddy สามารถปฏิบัติตามภาระผูกพันของตนในฐานะผู้ควบคุมและ/หรือผู้ประมวลผลตาม DPF รวมถึงแต่ไม่จำกัดเพียงการช่วยเหลือ GoDaddy และ/หรือผู้ควบคุมในการตอบสนองต่อคำขอจากบุคคลที่ต้องการใช้สิทธิตามการเป็นเจ้าของข้อมูลของตน3.2.3.1 ทั้งสองฝ่ายยินยอมว่าในขอบเขตที่ข้อกำหนดของ DPA นี้สอดคล้องกับ DPF แห่งสวิตเซอร์แลนด์หรือข้อกำหนดของ DPF แห่งสวิตเซอร์แลนด์ที่คล้ายกันตามความเหมาะสมเมื่อมีผลบังคับใช้ การถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าที่เกี่ยวข้องจากสวิตเซอร์แลนด์จะดำเนินการราวกับเป็นดำเนินการภายใต้ DPF แห่งสวิตเซอร์แลนด์
3.2.3.2 ในขอบเขตที่ DPF แห่งสวิตเซอร์แลนด์กำหนดให้ต้องเพิ่มข้อกำหนดอื่นใดใน DPA นี้ ทั้งสองฝ่ายยินยอมว่าข้อกำหนดดังกล่าวจะรวมเข้าโดยอัตโนมัติ โดยที่ทั้งสองฝ่ายไม่ต้องดำเนินการเพิ่ม รวมทั้งยินยอมว่าข้อกำหนดเพิ่มเติมนั้นไม่ได้เป็นการกำหนดภาระผูกพันที่มีสาระสำคัญเพิ่มเติมใดๆ ต่อทั้งสองฝ่าย หรือบั่นทอนข้อกำหนดและเงื่อนไขเดิมของข้อตกลงในลักษณะที่มีนัยสำคัญ
3.2.3.3 ในกรณีที่ไม่สามารถเพิ่มข้อกำหนดเพิ่มเติมใน DPF นี้ได้โดยอัตโนมัติ ให้สามารถแก้ไข DPA นี้ได้เพื่ออนุญาตให้มีการถ่ายโอนตาม DPF แห่งสวิตเซอร์แลนด์
3.2.3.4 ไม่ว่าข้อกำหนดอื่นใดใน DPA นี้จะระบุไว้ว่าอย่างไร ไม่มีข้อใดใน DPA นี้ที่จำกัด ยับยั้ง หรือส่งผลกระทบในลักษณะอื่นต่อความสามารถของทั้งสองฝ่ายในการถ่ายโอนข้อมูลส่วนบุคคลตามกลไกการถ่ายโอนข้อมูลอันชอบด้วยกฎหมายกลไกอื่น
4. ข้อสัญญามาตรฐานแห่งสหภาพยุโรป
4.1 สำหรับการถ่ายโอนข้อมูลส่วนบุคคลจากสหภาพยุโรป/เขตเศรษฐกิจยุโรปและสวิตเซอร์แลนด์ที่ต้องปฏิบัติตามข้อสัญญามาตรฐานแห่งสหภาพยุโรป โมดูลที่สอง (ผู้ควบคุมไปยังผู้ประมวลผล) หรือโมดูลที่สาม (ผู้ประมวลผลไปยังผู้ประมวลผล) จะมีผลบังคับใช้โดยขึ้นอยู่กับว่า GoDaddy เป็นผู้ควบคุมหรือผู้ประมวลผลในส่วนที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของลูกค้าที่จะถ่ายโอน
4.2 ส่วนที่เกี่ยวกับโมดูลที่สองและสามของ SCC แห่งสหภาพยุโรป
4.2.1 ในข้อกำหนดที่ 7 ข้อเพิ่มเติมที่เลือกได้จะไม่มีผลบังคับใช้
4.2.2 ในข้อกำหนดข้อ 9 ตัวเลือกที่ 2 จะมีผลบังคับใช้ และกระบวนการในการแจ้งและระยะเวลาสำหรับการคัดค้านต่อการเปลี่ยนแปลงผู้ประมวลผลช่วงจะเป็นไปตามที่กำหนดไว้ในส่วนที่ 3 ของ DPA
4.2.3 ในข้อกำหนดที่ 11 ภาษาที่เลือกได้จะไม่มีผลบังคับใช้
4.2.4 ในข้อกำหนดที่ 17 (ตัวเลือกที่ 1) ข้อสัญญามาตรฐานแห่งสหภาพยุโรปจะอยู่ภายใต้การกำกับดูแลของกฎหมายภายในแห่งเยอรมนี
4.2.5 ในข้อกำหนดที่ 18(ข) ข้อพิพาทที่เกี่ยวข้องกับ DPA จะต้องได้รับการแก้ไขในสหพันธ์สาธารณรัฐเยอรมนี
4.3 เพื่อวัตถุประสงค์ของภาคผนวก I ส่วน A
4.3.1 ผู้ส่งออกข้อมูล
4.3.1.1 บริษัทจะเป็นผู้ส่งออกข้อมูล
4.3.1.2 สามารถติดต่อบริษัทได้ตามที่อยู่ที่ระบุไว้ในส่วนการแจ้งประกาศของข้อตกลง
4.3.1.3 การยอมรับ DPA นี้จะถือว่าบริษัทได้ลงนามในข้อสัญญามาตรฐานแห่งสหภาพยุโรปเหล่านี้แล้ว รวมถึงภาคผนวกของสัญญา ณ วันที่มีผลบังคับใช้ของข้อตกลง
4.3.2 ผู้นำเข้าข้อมูล
4.3.2.1 GoDaddy และ/หรือบริษัทในเครือที่ได้รับอนุญาตของ GoDaddy จะเป็นผู้นำเข้าข้อมูล
4.3.2.2 สามารถติดต่อ GoDaddy ได้ตามที่อยู่ที่ระบุไว้ในส่วนการแจ้งประกาศของข้อตกลง หรือติดต่อที่ privacy@GoDaddy.com
4.3.2.3 เมื่อยอมรับ DPA นี้จะถือว่า GoDaddy ได้ลงนามในข้อสัญญามาตรฐานแห่งสหภาพยุโรปเหล่านี้แล้ว รวมถึงภาคผนวกของสัญญา ณ วันที่มีผลบังคับใช้ของข้อตกลง
4.4 เพื่อวัตถุประสงค์ของภาคผนวก I ส่วน B
4.4.1 มีการแจกแจงหมวดหมู่เจ้าของข้อมูลไว้ในกำหนดรายการที่ 1
4.4.2 มีการแจกแจงข้อมูลที่ละเอียดอ่อน (หากมี) อันมีการถ่ายโอนไว้ในกำหนดรายการที่ 1
4.4.3 ความถี่ของการถ่ายโอนจะเท่ากับระยะเวลาของข้อตกลงและ DPA
4.4.4 มีการแจกแจงลักษณะการประมวลผลไว้ในกำหนดรายการที่ 1
4.4.5 มีการแจกแจงวัตถุประสงค์ในการประมวลผลไว้ในกำหนดรายการที่ 1
4.4.6 มีการแจกแจงระยะเวลาในการประมวลไว้ในกำหนดรายการที่ 1
4.5 เพื่อวัตถุประสงค์ของภาคผนวก I ส่วน C ตามข้อกำหนดที่ 13 จึงมีการกำหนดหน่วยงานกำกับดูแลที่มีอำนาจไว้ดังนี้
4.5.1 สำหรับการถ่ายโอนข้อมูลส่วนบุคคลจากสหภาพยุโรป/เขตเศรษฐกิจยุโรป หน่วยงานกำกับดูแลที่มีอำนาจคือกรรมาธิการด้านการปกป้องข้อมูลและเสรีภาพของข้อมูลแห่งรัฐนอร์ธไรน์-เวสต์ฟาเลิน
4.5.2 คณะกรรมการด้านการคุ้มครองข้อมูลและข้อมูลข่าวสารระดับรัฐบาลกลางแห่งสวิตเซอร์แลนด์จะดำเนินการในฐานะหน่วยงานกำกับดูแลที่มีอำนาจในขอบเขตที่การถ่ายโอนหรือการถ่ายโอนต่อที่เกี่ยวข้องอยู่ภายใต้การกำกับดูแลของกฎหมายและข้อบังคับว่าด้วยการคุ้มครองข้อมูลแห่งสวิตเซอร์แลนด์
4.6 ในภาคผนวก II ของข้อสัญญามาตรฐานแห่งสหภาพยุโรป กำหนดรายการที่ 2 ประกอบด้วยมาตรการทางเทคนิคและการจัดการที่บริษัทใช้ในฐานะผู้นำเข้าข้อมูลภายใต้ DPA นี้
4.7 โปรดดูรายชื่อผู้ประมวลผลช่วงของบริษัทในภาคผนวก III ของข้อสัญญามาตรฐานแห่งสหภาพยุโรป5. ข้อตกลงการถ่ายโอนข้อมูลระหว่างประเทศของสหราชอาณาจักร
5.1 IDTA แห่งสหราชอาณาจักรมีผลบังคับใช้กับการถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าที่ถ่ายโอนจากสหราชอาณาจักรไปยังประเทศใดก็ตามนอกสหราชอาณาจักร ซึ่งเป็นประเทศที่ไม่ได้รับการยอมรับโดยหน่วยงานกำกับดูแลหรือหน่วยงานรัฐที่มีอำนาจของสหราชอาณาจักรว่าให้การคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอ
5.2 สำหรับการถ่ายโอนที่ต้องปฏิบัติตาม IDTA แห่งสหราชอาณาจักร ให้ถือว่าทั้งสองฝ่ายเข้าสู่ IDTA แห่งสหราชอาณาจักรและได้กรอกข้อมูลดังต่อไปนี้
5.2.1 ในตารางที่ 1 ของ IDTA รายละเอียดและข้อมูลผู้ติดต่อรายสำคัญของทั้งสองฝ่ายระบุอยู่ในส่วนที่ 4.3 ของกำหนดรายการที่ 4 นี้
5.2.2 ในตารางที่ 2 ของ IDTA มีการระบุข้อมูลเกี่ยวกับเวอร์ชันของข้อสัญญามาตรฐานแห่งสหภาพยุโรป โมดูล และข้อกำหนดที่เลือกซึ่งมีการผนวก IDTA แห่งสหราชอาณาจักรไว้ในส่วนที่ 4 ของกำหนดรายการนี้
5.2.3 ในตารางที่ 3 ของ IDTA แห่งสหราชอาณาจักร
5.2.3.1 รายชื่อทั้งสองฝ่ายระบุอยู่ในส่วนที่ 4.3 ของกำหนดรายการที่ 4 นี้
5.2.3.2 คำอธิบายการถ่ายโอนแจกแจงไว้ในกำหนดรายการที่ 1
5.2.3.3 ภาคผนวก II ระบุอยู่ในกำหนดรายการที่ 2
5.2.3.4 รายชื่อผู้ประมวลผลช่วงของบริษัทระบุอยู่ในกำหนดรายการที่ 5
5.2.3.5 ในตารางที่ 4 ของ IDTA แห่งสหราชอาณาจักร ทั้ง GoDaddy และบริษัทสามารถยุติ IDTA แห่งสหราชอาณาจักรได้ตามข้อกำหนดของ IDTA ดังกล่าว
5.3 คณะกรรมการข้อมูลข่าวสารแห่งสหราชอาณาจักรจะดำเนินการในฐานะหน่วยงานกำกับดูแลที่มีอำนาจในขอบเขตที่การถ่ายโอนที่เกี่ยวข้องอยู่ภายใต้การกำกับดูแลของกฎหมายและข้อบังคับว่าด้วยการคุ้มครองข้อมูลแห่งสหราชอาณาจักร
5.4 ข้อขัดแย้ง ภายใต้ขอบเขตที่เกิดข้อขัดแย้งหรือความไม่สอดคล้องกันระหว่างข้อสัญญามาตรฐานแห่งสหภาพยุโรป หรือ IDTA แห่งสหราชอาณาจักร และข้อกำหนดอื่นใดในบทต่อท้ายว่าด้วยการประมวลผลข้อมูลนี้ บทข้อกำหนดของข้อสัญญามาตรฐานแห่งสหภาพยุโรปหรือ IDTA แห่งสหราชอาณาจักรตามที่มีการบังคับใช้จะมีอำนาจเหนือกว่า
จัดเตรียมข้อตกลงและนโยบายทางกฎหมายฉบับแปลให้ไว้ เพื่ออำนวยความสะดวกในการอ่านและทำความเข้าใจฉบับภาษาอังกฤษเท่านั้น เป้าหมายที่จัดหาคำแปลข้อตกลงและนโยบายทางกฎหมายไม่ใช่เพื่อสร้างข้อตกลงซึ่งมีภาระผูกมัดทางกฎหมาย และไม่ได้นำมาใช้เพื่อให้มีผลบังคับได้ตามกฎหมายสำหรับฉบับภาษาอังกฤษ ในกรณีที่มีข้อผิดพลาดหรือข้อขัดแย้ง ข้อตกลงและนโยบายทางกฎหมายฉบับภาษาอังกฤษไม่ว่าด้วยกรณีใดๆ ที่ควบคุมความสัมพันธ์ของเรา จะอยู่เหนือเงื่อนไขในภาษาอื่นๆ