GoDaddy - บทต่อท้ายว่าด้วยการประมวลผลข้อมูล
บทต่อท้ายว่าด้วยการประมวลผลข้อมูลนี้ (“บทต่อท้าย”) จัดทำขึ้นโดยและระหว่างคุณ (“ลูกค้า”) กับหน่วยงาน GoDaddy ซึ่งเป็นฝ่ายหนึ่งในเงื่อนไขการให้บริการสากลและข้อตกลงอื่นใดระหว่างคุณกับ GoDaddy (รวมเรียกว่า “ข้อตกลง”) โดยในที่นี้จะเรียก GoDaddy และลูกค้าแยกกันว่า “ฝ่าย” และเรียกรวมกันว่า “ทั้งสองฝ่าย” และ DPA นี้มีผลบังคับใช้ ณ วันที่ข้อตกลงมีผลบังคับใช้ (“วันที่มีผลบังคับใช้”) รวมถึงกำกับดูแลการประมวลผลข้อมูลส่วนบุคคลของลูกค้าทั้งหมดภายใต้ข้อตกลง
1. คำจำกัดความ เว้นแต่จะนิยามไว้เป็นอย่างอื่นในกฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้ (ดังที่กำหนดด้านล่าง) คำศัพท์เฉพาะที่ระบุไว้ในส่วนนี้มีความหมายดังต่อไปนี้
1.2. “ผู้ควบคุม” หมายถึง บุคคลทั่วไปหรือนิติบุคคล หน่วยงานรัฐ บริษัทตัวแทน หรือหน่วยงานอื่นที่ดำเนินการกำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลของลูกค้าภายใต้ข้อตกลง โดยดำเนินการเพียงลำพังหรือร่วมกับผู้อื่น
1.3 “ข้อมูลส่วนบุคคลของลูกค้า” หมายถึง ข้อมูลส่วนบุคคลใดๆ (ตามที่นิยามไว้ด้านล่าง) ที่ GoDaddy ประมวลผลในนามของลูกค้าซึ่งเกี่ยวข้องกับการที่ลูกค้าใช้บริการ ข้อมูลส่วนบุคคลของลูกค้าไม่ได้รวมถึงข้อมูลของ GoDaddy
1.4 “กฎหมายการคุ้มครองข้อมูล” หมายถึง กฎหมายหรือข้อกำหนดใดๆ ที่มีผลบังคับใช้กับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าภายใต้ข้อตกลง
1.5 “เจ้าของข้อมูล” หมายถึง บุคคลทั่วไปที่ระบุตัวตนหรือสามารถระบุตัวตนได้โดยมีความเกี่ยวข้องกับข้อมูลส่วนบุคคลรายการที่เฉพาะเจาะจง
1.6 “ข้อมูลที่ไม่ระบุตัวตน” หมายถึง ข้อมูลที่ไม่สามารถใช้ระบุตัวตน ข้อมูลที่เกี่ยวพัน ข้อมูลที่อธิบาย ข้อมูลที่สามารถใช้โยงถึง หรือข้อมูลที่เชื่อมโยงกับเจ้าของข้อมูลที่เฉพาะเจาะจงในทางตรงหรือทางอ้อม
1.7 “ข้อมูลของ GoDaddy” หมายถึง (ก) ข้อมูลทั้งหมดที่เกี่ยวข้องกับธุรกิจและการให้บริการของ GoDaddy ซึ่งรวมถึงแต่ไม่จำกัดเพียงข้อมูลส่วนบุคคลที่เกี่ยวกับลูกค้า และพนักงานหรือตัวแทน (ข) ข้อมูลอื่นๆ เกี่ยวกับหรือที่เกี่ยวข้องกับบัญชี ประวัติธุรกรรม การใช้บริการ และการยืนยันตัวตนของลูกค้า และ (ค) ข้อมูลที่ไม่ระบุตัวตน ซึ่งเป็นไปตามข้อจำกัดใดๆ ภายใต้กฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้
1.8 “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลที่เกี่ยวข้องกับบุคคลทั่วไปที่ระบุตัวตนหรือสามารถใช้ระบุตัวตนได้ รวมถึงข้อมูลใดๆ ที่นิยามไว้ว่าเป็นข้อมูลส่วนบุคคล ข้อมูลส่วนตัว หรือข้อมูลที่ระบุตัวตน (“PII”) ในกฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้ ข้อมูลส่วนบุคคลไม่รวมถึงข้อมูลที่ไม่ระบุตัวตน
1.10 “ผู้ประมวลผล” หมายถึง บุคคลทั่วไปหรือนิติบุคคล หน่วยงานรัฐ บริษัทตัวแทน หรือหน่วยงานที่ประมวลผลข้อมูลส่วนบุคคลของลูกค้าในนามของผู้ควบคุมภายใต้ข้อตกลง
1.9 “การประมวลผล” หมายถึง การดำเนินการใดๆ ที่กระทำต่อข้อมูลส่วนบุคคลของลูกค้า เช่น การเก็บ การใช้ การจัดเก็บ การเปิดเผย การวิเคราะห์ การลบ หรือการดัดแปลง ไม่ว่าจะดำเนินการด้วยตนเองหรือด้วยวิธีอัตโนมัติ
1.11 “ข้อมูลส่วนตัวที่ละเอียดอ่อน” หมายถึง (ก) หมายเลขประกันสังคม หมายเลขหนังสือเดินทาง หมายเลขใบอนุญาตขับขี่ หรือตัวระบุที่คล้ายกัน (ข) ข้อมูลบัตรเครดิตหรือบัตรเดบิต ข้อมูลทางการเงิน หมายเลขบัญชีธนาคาร หรือรหัสผ่านบัญชี (ค) ข้อมูลการจ้างงาน การเงิน พันธุกรรม ชีวภาพ หรือสุขภาพ (ง) ความเกี่ยวพันทางเชื้อชาติ ชาติพันธุ์ การเมืองหรือศาสนา การเป็นสมาชิกสหภาพแรงงาน หรือข้อมูลเกี่ยวกับชีวิตทางเพศหรือรสนิยมทางเพศ (จ) รหัสผ่านบัญชี นามสกุลเดิมของมารดา วันเดือนปีเกิด และข้อมูลอื่นที่คล้ายคลึงที่ใช้เพื่อยืนยันตัวตนของผู้ใช้ (ฉ) ประวัติอาชญากรรม (ช) ข้อมูลชีวภาพที่ใช้เพื่อระบุตัวบุคคลแบบเฉพาะ (เช่น ลายนิ้วมือ) หรือ (ซ) ข้อมูลอื่นใดหรือการรวมกันของข้อมูลที่อยู่ในคำจำกัดความของ “หมวดหมู่ข้อมูลพิเศษ” ภายใต้กฎหมายคุ้มครองข้อมูลใดๆ ก็ตามที่เกี่ยวข้อง
1.12 “บริการ” หมายถึง ผลิตภัณฑ์หรือบริการที่ GoDaddy ยินยอมจัดหาให้ตามข้อตกลงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้า
1.13 “ผู้ประมวลผลช่วง” หมายถึง บุคคลทั่วไปหรือนิติบุคคล หน่วยงานรัฐบาล บริษัทตัวแทน หรือหน่วยงานที่ GoDaddy ว่าจ้างให้ประมวลผลข้อมูลส่วนบุคคลของลูกค้า
1.14 “การถ่ายโอน” หมายถึง (ก) การถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าจากผู้ควบคุมไปยังผู้ประมวลผล ไม่ว่าจะโดยการถ่ายโอนทางกายภาพหรือโดยการมอบสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลของลูกค้าที่ผู้ควบคุมครอบครองหรือควบคุม หรือ (ข) การถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าจากผู้ประมวลผลต่อไปยังผู้ประมวลผลช่วง (และการถ่ายโอนต่อถัดไปของผู้ประมวลผลช่วงไปยังผู้ประมวลผลช่วงอีกราย)
2.1.2 ในกรณีที่ลูกค้าเป็นผู้ประมวลผล ลูกค้า (ก) มีความรับผิดชอบต่อเพียงผู้เดียวในการปฏิบัติตามข้อตกลงของตนกับผู้ควบคุมข้อมูลที่ลูกค้าประมวลผลข้อมูลส่วนบุคคลของลูกค้าให้ในนาม (ข) ได้รับการอนุญาตที่จำเป็นทุกประการจากผู้ควบคุมในการมอบข้อมูลส่วนบุคคลของลูกค้าให้แก่ GoDaddy และ (ค) จะปฏิบัติตามภาระผูกพันของตนในฐานะผู้ประมวลผลภายใต้กฎหมายการประมวลผลข้อมูลที่มีผลบังคับใช้
2.2.2 GoDaddy จะประมวลผลข้อมูลส่วนบุคคลของลูกค้าตามข้อกำหนดที่ระบุไว้เป็นลายลักษณ์อักษรเพื่อวัตถุประสงค์ที่เฉพาะเจาะจงและจำกัดตามที่อธิบายไว้ในข้อตกลงและ DPA นี้ หรือตามที่กฎหมายกำหนด
2.2.3 GoDaddy จะไม่ขาย เก็บรักษา ใช้งาน หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าเพื่อวัตถุประสงค์เชิงพาณิชย์ที่นอกเหนือจากการให้บริการ
2.2.4 GoDaddy จะไม่ประมวลผลข้อมูลส่วนตัวของลูกค้านอกเหนือขอบเขตความสัมพันธ์ทางธุรกิจโดยตรงของทั้งสองฝ่ายตามที่อธิบายไว้ในข้อตกลงและ DPA นี้
2.2.5 GoDaddy จะไม่รวมข้อมูลส่วนบุคคลของลูกค้ากับข้อมูลอื่นใดที่ GoDaddy เก็บ (โดยตรงหรือผ่านบุคคลที่สาม) นอกเหนือจากที่ได้รับอนุญาตอย่างชัดแจ้งตามข้อตกลง
2.2.6 GoDaddy จะหยุดการประมวลผลทั้งหมดและจะแจ้งให้ลูกค้าทราบภายในสาม (3) วันทำการหาก GoDaddy ดำเนินการดังนี้: (a) เชื่อว่าคำสั่งของลูกค้าขัดต่อกฎหมายการประมวลผลข้อมูลใดๆ ที่มีผลบังคับใช้ หรือ (b) พิจารณาว่า GoDaddy ไม่สามารถปฏิบัติตามกฎหมายการประมวลผลข้อมูลที่มีผลบังคับใช้หรือภาระผูกพันของ GoDaddy ภายใต้ DPA นี้
2.3.2 บริษัทในเครือของ GoDaddy เพื่อวัตถุประสงค์ของ DPA นี้ ข้อมูลส่วนบุคคลของลูกค้าใดๆ ที่บริษัทในเครือของ GoDaddy ได้รับจะถือว่าเป็นการได้รับโดย GoDaddy ซึ่ง GoDaddy รับรองว่าตนจะดำเนินการตามมาตรการที่จำเป็นอย่างสมเหตุสมผลเพื่อให้แน่ใจว่าบริษัทในเครือของตนปฏิบัติตามภาระผูกพันของ GoDaddy ในส่วนที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าภายใต้ DPA นี้ GoDaddy จะเป็นผู้รับผิดชอบต่อการปฏิบัติตามข้อกำหนดทุกข้อใน DPA นี้ของบริษัทในเครือของ GoDaddy
3.2 คุณได้รับเชิญให้สามารถตรวจสอบรายชื่อผู้ประมวลผลช่วงของเราได้
3.3 ก่อนที่จะถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าให้แก่ผู้ประมวลผลช่วง GoDaddy จะดำเนินการดังนี้: (a) เข้าสู่ข้อตกลงแบบลายลักษณ์อักษรร่วมกับผู้ประมวลผลช่วง ซึ่งอย่างน้อยมีการให้การคุ้มครองข้อมูลลูกค้าในระดับเดียวกับ DPA นี้ (b) ดำเนินการตรวจสอบเพื่อยืนยันว่าผู้ประมวลผลช่วงสามารถปฏิบัติตามข้อกำหนดที่มีสาระสำคัญของ DPA นี้และกฎหมายการคุ้มครองข้อมูลที่เกี่ยวข้องกับการประมวลผลข้อมูลลูกค้าของ GoDaddy ได้ รวมถึงข้อกำหนดการรักษาความปลอดภัยของข้อมูลของส่วนที่ 5, 6 และ 8 ในกำหนดรายการที่ 2 ของ DPA นี้
3.4 GoDaddy ต้องรับผิดต่อการกระทำและการละเว้นของผู้ประมวลผลช่วงของตน รวมถึงการกระทำหรือการละเว้นใดๆ ของผู้ประมวลผลช่วงต่อจากผู้ประมวลผลช่วงของตน 3.5 สิทธิในการคัดค้านผู้ประมวลผลช่วงรายใหม่
4.2 เว้นแต่จะมีการห้ามไว้โดยกฎหมาย GoDaddy จะแจ้งให้ลูกค้าทราบทันทีหากได้รับกระบวนการทางกฎหมายที่กำหนดให้ GoDaddy ต้องมอบสิทธิการเข้าถึงข้อมูลส่วนบุคคลของลูกค้าหรือเปิดเผยข้อมูลดังกล่าว
4.3 เว้นแต่กฎหมายจะกำหนดไว้เป็นอย่างอื่น GoDaddy จะให้ความร่วมมือกับลูกค้า (โดยที่ลูกค้าเป็นผู้รับผิดชอบต่อค่าใช้จ่ายตามความเหมาะสม) ในการดำเนินการใดๆ ของลูกค้าเพื่อป้องกันการเปิดเผยข้อมูลส่วนบุคคลของลูกค้าในการดำเนินการตอบสนองต่อกระบวนการทางกฎหมาย
5.2 ลูกค้ายอมรับอย่างชัดแจ้งว่า GoDaddy ให้บริการคุณสมบัติและฟังก์ชันด้านการรักษาความปลอดภัยที่ลูกค้าสามารถใช้เพื่อปกป้องข้อมูลส่วนบุคคลของลูกค้าได้ โดยลูกค้าจะเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในการดำเนินการตามขั้นตอนจัดการความเสี่ยงที่เหมาะสมเพื่อรักษาความปลอดภัยของบัญชีลูกค้าและข้อมูลส่วนบุคคลของลูกค้าที่อยู่ในขอบเขตการควบคุมของลูกค้า ซึ่งรวมถึงการใช้คุณสมบัติและฟังก์ชันด้านการรักษาความปลอดภัยที่จัดหาให้โดย GoDaddy นอกจากนี้ ลูกค้ายังเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในการตรวจสอบให้แน่ใจว่าเนื้อหาทั้งหมดที่ลูกค้าส่งหรือก่อให้เกิดการส่งไปยังบริการนั้นปราศจากช่องโหว่ที่อาจส่งผลให้ข้อมูลส่วนบุคคลของลูกค้าหรือระบบของ GoDaddy ตกอยู่ในความเสี่ยง รวมถึงแต่ไม่จำกัดเพียงซอฟต์แวร์อันตราย โดย GoDaddy จะไม่รับผิดชอบในการสำรองข้อมูลส่วนบุคคลของลูกค้า
5.3 ลูกค้าต้องปฏิบัติตามข้อกำหนดมาตรฐานการรักษาความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (“PCI-DSS”) ทุกประการ และสามารถมอบเฉพาะข้อมูลที่ประกอบด้วยข้อมูลผู้ถือบัตรเครดิต เดบิต หรือการชำระเงินอื่นๆ (“ข้อมูล PCI-DSS”) ให้แก่ GoDaddy หากเกี่ยวข้องกับบริการของ GoDaddy ที่ออกแบบมาเพื่อประมวลผลข้อมูล PCI-DSS ดังกล่าวโดยเฉพาะ ลูกค้าจะเป็นผู้รับผิดชอบแต่เพียงผู้เดียวหากมีการละเมิดข้อกำหนด PCI-DSS ใดๆ หากลูกค้าใช้บริการของ GoDaddy เพื่อประมวลผลข้อมูล PCI-DSS นอกเหนือข้อเสนอบริการที่สอดคล้องตาม PCI-DSS ของ GoDaddy
5.4 GoDaddy จะใช้มาตรการทางเทคนิคและการจัดการที่เฉพาะเจาะจงตามที่ระบุไว้ในกำหนดรายการที่ 2 ของ DPA นี้ นอกเหนือจากมาตรการที่จำเป็นเพื่อให้ GoDaddy ปฏิบัติตามภาระผูกพันของตนภายใต้กฎหมายการคุ้มครองข้อมูลที่มีผลบังคับใช้และข้อกำหนด PCI-DSS สำหรับบริการที่สอดคล้องตาม PCI-DSS ของ GoDaddy
6.2 GoDaddy จะใช้ความพยายามที่สมเหตุสมผลเชิงพาณิชย์เพื่อแจ้งให้ลูกค้าทราบเกี่ยวกับภัยคุกคามต่อการรักษาความปลอดภัยของระบบของ GoDaddy ซึ่งจะนำไปสู่การทำลาย การสูญหาย การดัดแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงที่ไม่ได้เจตนาหรือที่ผิดกฎหมายต่อข้อมูลส่วนบุคคลของลูกค้า (“เหตุการณ์ด้านการรักษาความปลอดภัย”) ภายในระยะเวลาตามที่กำหนดโดยกฎหมายที่มีผลบังคับใช้
6.3 GoDaddy จะดำเนินการตามขั้นตอนจัดการความเสี่ยงที่เหมาะสมซึ่งจำเป็นอย่างสมเหตุสมผลเพื่อยับยั้ง บรรเทา และแก้ไขเหตุการณ์ด้านการรักษาความปลอดภัยโดยปราศจากความล่าช้าที่ไม่เหมาะสม
6.4 GoDaddy จะแจ้งข้อมูลตามคำขอที่สมเหตุสมผลของลูกค้าเพื่อประเมินผลกระทบจากเหตุการณ์ด้านการรักษาความปลอดภัยเกี่ยวกับข้อมูลส่วนบุคคลของลูกค้า รวมทั้งเพื่อให้ลูกค้าแจ้งเหตุการณ์ด้านการรักษาความปลอดภัยกับหน่วยงานรัฐ เจ้าของข้อมูลที่ได้รับผลกระทบ หรือบุคคลอื่นใด
6.5 การที่ GoDaddy รับทราบเกี่ยวกับเหตุการณ์ด้านการรักษาความปลอดภัยหรือตัดสินใจแจ้งให้ลูกค้าทราบเกี่ยวกับเหตุการณ์การรักษาความปลอดภัย ไม่ใช่การยอมรับถึงความบกพร่องหรือการยอมรับผิด
7.2 GoDaddy จะไม่ตอบสนองต่อคำขอของเจ้าของข้อมูล เว้นแต่จะได้รับคำสั่งที่จัดทำเป็นลายลักษณ์อักษรจากลูกค้าหรือมีการกำหนดไว้เป็นอย่างอื่นตามกฎหมายที่มีผลบังคับใช้
7.3 GoDaddy จะแจ้