บทต่อท้ายสำหรับการดำเนินการกับข้อมูลตัวแทนจำหน่ายนี้ (“DPA”) ถือเป็นส่วนหนึ่งของข้อตกลงที่กระทำขึ้นระหว่าง GoDaddy.com, LLC (รวมเรียกว่าหน่วยงานในสังกัดหากพิจารณาตามข้อตกลง) (“GoDaddy”) กับคุณ (“ตัวแทนจำหน่าย”) เพื่อวัตถุประสงค์ในการขายผลิตภัณฑ์และการบริการของ GoDaddy (“Services”) ผ่านโปรแกรมตัวแทนจำหน่ายของ GoDaddy และจะกำกับดูแลตามการดำเนินการของข้อมูลส่วนตัวโดยตัวแทนจำหน่ายในนามของ GoDaddy ตัวแทนจำหน่ายซึ่งดำเนินการในนามของตนภายใต้ DPA และภายใต้กฎหมายการคุ้มครองข้อมูลและข้อกำหนดที่บังคับใช้ ในนามและในฐานะของหน่วยงานที่ได้รับอนุญาต ทุกคำที่เป็นอักษรตัวหนาซึ่งไม่ได้อธิบายไว้ในที่นี้ จะต้องมีคำนิยามให้ไว้ในข้อตกลง คำว่า “เรา”, “ตัวเรา” หรือ “ของเรา” นั้น หมายถึง GoDaddy คำว่า “คุณ”, “ของคุณ”, “ผู้ใช้” หรือ “ตัวแทนจำหน่าย” จะหมายถึงบุคคลหรือหน่วยงานใดๆ ที่ยอมรับต่อข้อตกลงนี้ ไม่มีสิ่งใดในข้อตกลงนี้ที่ถือเป็นการพูดถึงสิทธิ์หรือผลประโยชน์ของบุคคลที่สาม DPA นี้จะมีผลบังคับใช้และผูกพันในวันที่คุณได้ให้ความยินยอมผ่านระบบอิเล็กทรอนิกส์
DPA ประกอบด้วยสอง (2) ส่วนที่เด่นชัด ซึ่งมีผลบังคับใช้ตามที่ได้อธิบายไว้ด้านล่าง:
- มาตรฐานและข้อกำหนดความเป็นส่วนตัวและการรักษาความปลอดภัยของข้อมูล: การใช้มาตรฐานและข้อกำหนดความเป็นส่วนตัวและการรักษาความปลอดภัยของข้อมูล ใช้ได้กับตัวแทนจำหน่ายทุกรายที่มีสิทธิ์เข้าใช้และดำเนินการกับ PII (ตามที่ “นิยามไว้ในที่นี้”) ด้วยวิธีการและขอบเขตของการมีส่วนร่วมในโครงการตัวแทนจำหน่ายของตน
- ข้อสัญญามาตรฐาน (และภาคผนวก 1 และ 2): การใช้ข้อสัญญามาตรฐาน จะนำเอาข้อสัญญามาตรฐานมาใช้กับข้อมูลของลูกค้าเมื่อมีการถ่ายโอนข้อมูลภายนอก EEA ไม่ว่าจะเป็นการถ่ายโอนโดยตรงหรือผ่านการถ่ายโอนต่อไปยังประเทศใดๆ ที่คณะกรรมาธิการยุโรปไม่ยอมรับ โดยมีการให้การป้องกันข้อมูลส่วนตัวในระดับที่เพียงพอ (ตามที่ได้อธิบายไว้ใน GDPR) ทั้งนี้จะไม่มีการนำเอาข้อสัญญามาตรฐานมาใช้กับข้อมูลของลูกค้าที่ไม่ได้มีการถ่ายโอนข้อมูล ไม่ว่าจะเป็นการถ่ายโอนโดยตรงหรือผ่านการถ่ายโอนต่อไปภายนอก EEA จะไม่นำเอาข้อสัญญามาตรฐานมาใช้กับข้อมูลที่มีการถ่ายโอนภายใต้มาตรฐานการปฏิบัติตามอย่างสอดคล้องที่เป็นที่รู้จักสำหรับการถ่ายโอนข้อมูลส่วนตัว (ตามที่ได้อธิบายไว้ใน GDPR) ภายนอก EEA อย่างถูกต้องตามกฎหมาย เช่น กรอบโครงสร้างการคุ้มครองความเป็นส่วนตัวในการโอนข้อมูลระหว่างสหภาพยุโรปและสหรัฐอเมริกา และสวิตเซอร์แลนด์กับสหรัฐอเมริกา โดยไม่คำนึงถึงข้อความที่ได้กล่าวมาแล้วก่อนหน้านี้
ความเป็นส่วนตัวของข้อมูลและการรักษาความปลอดภัยตามข้อกำหนดของข้อตกลงระดับการให้บริการ (SLA)
1. หัวข้อสำคัญและขอบเขต
ความเป็นส่วนตัวของข้อมูลและการรักษาความปลอดภัยตามข้อกำหนดของข้อตกลงระดับการให้บริการ (“การรักษาความปลอดภัยตามข้อกำหนดของข้อตกลงระดับการให้บริการ (SLA)”) ตามที่แนบและระบุอยู่ในข้อตกลงเพื่อวัตถุประสงค์ที่จะสร้างความแน่ใจว่า PII ใดๆ (ตามที่อธิบายด้านล่าง) ที่รวบรวมและนำมาใช้งานซึ่งคุณเป็นผู้จัดการในลักษณะที่ปลอดภัย หรืออยู่ภายใต้เงื่อนไขของข้อตกลง การรักษาความปลอดภัยตามข้อกำหนดของข้อตกลงระดับการให้บริการ (SLA) และกฎหมายรวมถึงข้อบังคับที่มีอยู่
2. ลำดับของข้อตกลงที่มีอำนาจเหนือกว่า
การรักษาความปลอดภัยตามข้อกำหนดของข้อตกลงระดับการให้บริการ (SLA) นี้รวมอยู่ และเป็นส่วนหนึ่งในข้อตกลง สำหรับเหตุการณ์ใดที่ไม่ได้ระบุไว้ภายใต้การรักษาความปลอดภัยตามข้อกำหนดของข้อตกลงระดับการให้บริการ (SLA) นี้ จะอาศัยเงื่อนไขของข้อตกลงมาบังคับใช้ เนื่องจากสิทธิ์และข้อผูกมัดของบุคคลซึ่งมีต่อกัน ในกรณีที่มีข้อขัดแย้งระหว่างเงื่อนไขของข้อตกลง และการรักษาความปลอดภัยตามข้อกำหนดของข้อตกลงระดับการให้บริการ (SLA) นี้ ให้ยึดถือตามการรักษาความปลอดภัยตามข้อกำหนดของข้อตกลงระดับการให้บริการ (SLA) ในกรณีที่มีข้อขัดแย้งระหว่างเงื่อนไขของการรักษาความปลอดภัยตามข้อกำหนดของข้อตกลงระดับการให้บริการ (SLA) กับข้อสัญญามาตรฐาน ให้ยึดปฏิบัติตามข้อสัญญามาตรฐาน
3. ข้อมูลส่วนตัว
- “PII” หรือ “ข้อมูลส่วนตัว” หมายถึงข้อมูลในสภาพแวดล้อมใดๆ หรือรูปแบบข้อมูลใดๆ ที่เกี่ยวกับบุคคลธรรมดาหรือครอบครัวที่มีการระบุตัวตนหรือสามารถระบุตัวตนได้ บุคคลธรรมดาที่ระบุตัวตนได้หมายถึงบุคคลที่สามารถระบุตัวตนได้ทั้งทางตรง หรือทางอ้อม โดยเฉพาะอย่างยิ่งโดยอ้างอิงตามข้อมูลระบุตัวตน เช่น ชื่อ ที่อยู่ หมายเลขประกันสังคมหรือหมายเลขประจำตัวอื่นๆ ที่อยู่อีเมล หมายเลขโทรศัพท์ โปรไฟล์ทางการเงิน ข้อมูลบัตรเครดิต หมายเลขใบอนุญาตผู้ขับขี่ หรือข้อมูลอื่นๆ ที่สามารถเชื่อมโยงถึงบุคคลที่เจาะจง คอมพิวเตอร์ อุปกรณ์ได้ตามเหตุอันควร (เช่น ข้อมูลที่เก็บรวบรวมผ่านเทคโนโลยีการติดตาม อาทิ ที่อยู่ IP) หรือเชื่อมโยงกับหนึ่งตัวแปรขึ้นไปที่เจาะจงในด้านกายภาพ สรีรวิทยา พันธุกรรม จิตใจ เศรษฐกิจ วัฒนธรรม หรืออัตลักษณ์ทางสังคมของบุคคลนั้น
- การดำเนินการเพื่อจุดประสงค์ใน DPA นี้จะรวมถึงการรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การปรับใช้หรือการเปลี่ยนแปลง การเรียกข้อมูล การให้คำปรึกษา การใช้งาน การเปิดเผย การแพร่กระจายหรือทำให้พร้อมใช้งาน การนำมาประกอบกัน การจำกัด การลบ หรือการทำลาย PII
- GoDaddy จะเปิดเผยข้อมูล PII แก่คุณแต่เพียงผู้เดียวและเพื่อประสิทธิภาพการใช้บริการของคุณในนามของ GoDaddy เท่านั้น และคุณอาจดำเนินการกับข้อมูล PII ด้วยจุดประสงค์เฉพาะและจำกัดตามที่อธิบายไว้ในข้อตกลงและตามคำแนะนำอันเป็นลายลักษณ์อักษรของเรา โดยไม่ใช้เพื่อจุดประสงค์อื่นรวมถึงเกี่ยวกับการโอนข้อมูล PII ของแต่ละบุคคลใน EU นอกสหภาพยุโรป เว้นแต่ว่ากฎหมายสหภาพยุโรปหรือกฎหมายรัฐสมาชิกในสหภาพยุโรปจะกำหนดให้กระทำ (ซึ่งคุณจะต้องแจ้งเราทันทีก่อนดำเนินการ เว้นแต่กฎหมายจะสั่งห้ามแจ้งต่อเรา)
- คุณถูกห้ามกระทำการต่อไปนี้: (i) ขายข้อมูล PII (ii) เก็บ ใช้งาน หรือเปิดเผยข้อมูล PII เพื่อจุดประสงค์ทางการค้าที่นอกเหนือจากการให้บริการ และ (iii) เก็บ ใช้งาน หรือเปิดเผยข้อมูล PII นอกข้อตกลงระหว่างคุณกับ GoDaddy
- คุณรับทราบและยืนยันว่าจะไม่เปิดเผย PII เพื่อประโยชน์ในบริการใดๆ ที่จัดให้แก่ GoDaddy ภายใต้ข้อตกลงนี้ คุณต้องไม่ขาย PII ใดๆ ในความหมายของคำว่า “ขาย” ตามที่นิยามภายใต้พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแห่งมลรัฐแคลิฟอร์เนีย 2018 ดังที่แก้ไข (“CCPA”) และคุณจะรับรองในที่นี้ว่าคุณเข้าใจกฎ ข้อกำหนด และนิยามของ CCPA รวมถึงข้อจำกัดทั้งหมดใน DPA นี้ คุณยอมรับที่จะไม่กระทำการใดๆ อันเป็นเหตุให้เกิดการโอนย้าย PII ไปให้หรือจากคุณซึ่งมีลักษณะเข้าข่าย “การขายข้อมูลส่วนตัว” ภายใต้ CCPA และกฎหมายอื่นใดที่เกี่ยวข้อง
- คุณอาจทำได้เพียงโอนย้าย PII ที่เกี่ยวกับบุคคลใน EU ออกไปนอก EU (หรือโอนไปให้บุคคลที่สามที่อยู่นอก EU เช่นกัน หาก PII ดังกล่าวอยู่ภายนอก EU อยู่แล้ว) โดยปฏิบัติตามเงื่อนไขใน DPA นี้และข้อกำหนดของมาตรา 44 ถึง 49 ของ GDPR (ดังที่นิยามไว้ข้างล่างนี้)
- คุณต้องแจ้งเราทันทีหากคุณเห็นว่าคำแนะนำของเราละเมิดกฎหมายและระเบียบการคุ้มครองข้อมูลใดๆ ที่เกี่ยวข้อง รวมถึงกฎหมายคุ้มครองข้อมูลของ EU (ดังที่นิยามไว้ข้างล่างนี้) ที่privacy@godaddy.com
- คุณต้องดำเนินการกับ PII โดยรักษาความลับอย่างเคร่งครัดและจะต้องแจ้งต่อพนักงานทุกคนหรือตัวแทนที่ได้รับอนุญาตทั้งหมดซึ่งเกี่ยวข้องในการดำเนินการกับ PII ให้ทราบเกี่ยวกับการรักษาความลับของ PII และรับรองว่าบุคคลหรือคณะบุคคลดังกล่าวทั้งหมดได้ลงชื่อในข้อตกลงรักษาความลับอย่างเหมาะสมเพื่อดูแลให้ PII เป็นความลับอยู่เสมอ
- ภายใต้ขอบเขตที่คุณได้รับ ดูแลรักษา ดำเนินการ หรือเข้าถึง PII อันเกี่ยวข้องกับโครงการตัวแทนจำหน่ายภายใต้ข้อตกลง คุณรับทราบและยินยอมตกลงว่าคุณจะเป็นผู้รับผิดชอบต่อการดูแลรักษามาตรการรักษาความปลอดภัยและการจัดระเบียบอย่างเหมาะสมเพื่อคุ้มครอง PII ดังกล่าว คุณต้องคุ้มครองและรักษาความปลอดภัยของ PII ดังกล่าวตามกฎหมายความเป็นส่วนตัวและการคุ้มครองข้อมูลที่เกี่ยวข้องทั้งหมด รวมถึงแต่ไม่จำกัดเพียงข้อบังคับ (EU) 2016/679 ของรัฐสภายุโรปและของคณะมนตรีในวันที่ 27 เมษายน 2016 ว่าด้วยการคุ้มครองบุคคลธรรมดาในส่วนที่เกี่ยวกับการดำเนินการกับข้อมูลส่วนตัวและการเคลื่อนไหวโดยเสรีของข้อมูลดังกล่าว (“ระเบียบการคุ้มครองข้อมูลทั่วไป” หรือ “GDPR”) และกฎหมายหรือข้อบังคับของรัฐสมาชิกของสหภาพยุโรปที่เกี่ยวข้อง (รวมเรียกว่า “กฏหมายคุ้มครองข้อมูลของ EU”) และ CCPA
- มาตรการรักษาความปลอดภัยและการจัดระเบียบที่เหมาะสมที่อ้างถึงในข้อ 3.7 จะรวมรายการต่อไปนี้ตามที่สมควร (แต่ไม่จำกัดเพียง):
- มาตรการทั้งหลายที่ระบุไว้ข้างล่างนี้ในข้อที่ 3 และ 4
- มาตรการที่จะรับรองว่ามีเพียงบุคคลที่ได้รับอนุญาตสำหรับจุดประสงค์ที่ระบุไว้ในข้อตกลงเท่านั้นที่จะเข้าถึงข้อมูล PII ได้
- การนำข้อมูลระบุตัวตนออกจากข้อมูลและการเข้ารหัสลับ PII
- ความสามารถในการรับรองว่ามีการรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความยืดหยุ่นของระบบดำเนินการและบริการของคุณอย่างต่อเนื่อง
- ความสามารถในการคืนความพร้อมใช้งานและการเข้าถึง PII ตามเวลาอันสมควร
- กระบวนการสำหรับทดสอบ การกำหนดค่า และการประเมินประสิทธิผลของมาตรการทางเทคนิคและการจัดการอย่างสม่ำเสมอเพื่อรับรองว่ามีการรักษาความปลอดภัยในการดำเนินการกับ PII และ
- มาตรการเพื่อระบุช่องโหว่อันเกี่ยวข้องกับการดำเนินการกับ PII ในระบบของคุณ
- ภายใต้ขอบเขตที่คุณทำสัญญากับผู้รับจ้างช่วง ผู้ขายหรือบุคคลที่สามใดๆ ในการอำนวยความสะดวกให้เกิดประสิทธิภาพในการทำงานภายใต้ข้อตกลง คุณต้อง (i) ได้รับความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าจากเรา และ (ii) จัดทำข้อตกลงเป็นลายลักษณ์อักษรกับบุคคลที่สามดังกล่าวเพื่อรับรองว่าฝ่ายนั้นจะปฏิบัติตามเงื่อนไขของ DPA นี้และข้อตกลง
- อย่างไรก็ตาม สำหรับการอนุญาตใดๆ ที่เราให้ไว้ซึ่งเป็นไปตามข้อ 1.11 คุณจะต้องคงไว้ซึ่งความรับผิดทั้งหมดต่อผู้รับจ้างช่วงใดๆ ผู้ขาย หรือการดำเนินงานของบุคคลที่สามอื่นๆ หากบุคคลดังกล่าวไม่อาจปฏิบัติตามข้อผูกพันภายใต้ DPA นี้ (หรือข้อสัญญาที่คล้ายกันเพื่อกำหนดข้อผูกพันที่เทียบเท่าให้แก่บุคคลซึ่งปฏิบัติหน้าที่ให้กับคุณภายใต้ DPA นี้) หรือภายใต้กฎหมายความเป็นส่วนตัวที่บังคับใช้
- คุณจะปกป้อง จ่ายค่าชดเชย และรับรองว่าจะไม่มีอันตรายจากและต่อความรับผิด และความสูญเสียทั้งหมดในส่วนที่เกี่ยวกับความไม่พร้อมชั่วคราวหรือถาวร โดยไม่ได้ตั้งใจหรือโดยไม่ชอบด้วยกฎหมาย รวมถึงความสูญเสีย ความเสียหาย การเปิดเผยหรือเข้าถึงโดยไม่ได้รับอนุญาต การลักขโมย หรือการสร้างความเสียหายต่อ PII และการละเมิดอื่นใดในข้อกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องอื่นใด และการละเมิดต่อ DPA นี้
- ในกรณีที่คุณทราบว่าคุณได้รับข้อมูลอันเป็นความลับของเราหรือ PII ที่ไม่ได้เจตนาให้คุณได้รับหรืออนุญาตให้คุณได้รับภายใต้ข้อตลกลงนี้ คุณต้องแจ้งเราทันทีที่ privacy@godaddy.com และ (ii) หากมิได้แนะนำเป็นลายลักษณ์อักษรไว้เป็นอย่างอื่น ให้เก็บข้อมูลไว้จนกว่าคุณจะได้รับการติดต่อจาก privacy@godaddy.com พร้อมคำแนะนำว่าจะให้ทำอย่างไรกับข้อมูลดังกล่าว
4. การประเมินผลกระทบและการตรวจสอบการรักษาความปลอดภัย
- การประเมินผลกระทบต่อการคุ้มครองข้อมูล คุณต้องช่วยเราทำการประเมินผลกระทบต่อการคุ้มครองข้อมูลเพื่อระบุ และลดความเสี่ยงด้านความเป็นส่วนตัวหรือความปลอดภัยของข้อมูลที่เกี่ยวข้องกับโครงการตัวแทนจำหน่ายภายใต้ข้อตกลง
- การตรวจสอบตามรอบ เราขอสงวนสิทธิ์ในการตรวจสอบตามรอบ (หรือโดยอาศัยผู้ตรวจสอบภายนอกภายใต้แนวทางการดำเนินการของเรา) สำหรับการปฏิบัติตาม DPA นี้
- การตรวจสอบภายหลังจากเกิดเหตุการณ์ ในกรณีที่มีการฝ่าฝืนการรักษาความปลอดภัยของตัวแทนจำหน่าย เราอาจต้องดำเนินการตรวจสอบการรักษาความปลอดภัยเพื่อให้มั่นใจว่าไม่มี PII ที่ได้รับผลกระทบ คุณจะมีเวลา 90 วันในการจัดการกับปัญหาใดๆ ที่ระบุุได้จากการตรวจสอบ เมื่อปัญหาที่ระบุได้รับการแก้ไขแล้ว เราอาจต้องตรวจสอบการรักษาความปลอดภัยเพื่อให้แน่ใจว่ามีการแก้ไขปัญหาโดยสมบูรณ์อย่างแท้จริง
- การแจ้งเตือนการไม่ปฏิบัติตาม หากคุณไม่สามารถดำเนินการตามคำมั่นสัญญาที่ได้ให้ไว้ใน DPA นี้ไม่ว่าด้วยเหตุผลใดๆ คุณต้องแจ้งให้เราทราบโดยทันที หากเกิดกรณีดังกล่าว คุณต้องแนะนำว่าจะสามารถเยียวยาปัญหาดังกล่าวได้โดยเร็ว และโดยที่ไม่ก่อให้เกิดความเสี่ยงต่อความปลอดภัยของ PII ได้หรือไม่ หากไม่สามารถทำได้ เราอาจเลือกที่จะต้องยุติข้อตกลงโดยไม่รอช้าหรือคิดค่าปรับ หรือความรับผิดชอบอื่นๆ ที่อาจตามมากับคุณ
5. การตอบสนองต่อเหตุการณ์ด้านความปลอดภัย
- เวลาที่เหมาะสมในการแจ้ง คุณจะแจ้งเหตุการณ์ที่อาจส่งผลกระทบต่อการรักษาความปลอดภัยซึ่งเกี่ยวข้องกับบริการของคุณ และ/หรือ PII ให้เราทราบโดยทันทีหลังจากที่พบเห็น และจะให้ข้อคิดเห็นเกี่ยวกับผลกระทบใดๆ ต่อเหตุการณ์ดังกล่าวซึ่งอาจมี/จะมีต่อเรา หรือ PII โดยทันที คุณจะพยายามอย่างเต็มที่เพื่อแจ้งให้เราทราบถึงเหตุการณ์ที่อาจส่งผลต่อการรักษาความปลอดภัย ภายหลังจากที่พบเห็นเหตุการณ์ดังกล่าวโดยทันที โดยต้องไม่ควรเกินกว่า 1 ชั่วโมงหลังจากที่พบเห็นเหตุการณ์ดังกล่าว เหตุการณ์ตามจุดประสงค์ของ DPA ยังรวมถึง:
- การร้องเรียนหรือการร้องขออันเกี่ยวข้องกับการใช้สิทธิ์ของบุคคลภายใต้กฎหมายที่เกี่ยวข้อง รวมถึงกฎหมายคุ้มครองข้อมูลของ EU
- การตรวจสอบหรือการเข้าควบคุม PII โดยเจ้าหน้าที่ของรัฐ หน่วยงานบังคับใช้ข้อกำหนดหรือกฎหมาย หรือมีข้อระบุว่ามีการไตร่ตรองเพื่อตรวจสอบหรือเข้าควบคุมดังกล่าว
- ความไม่พร้อมชั่วคราวหรือถาวร โดยไม่ได้ตั้งใจหรือโดยไม่ชอบด้วยกฎหมาย รวมถึงความสูญเสีย ความเสียหาย การเปิดเผยหรือเข้าถึงโดยไม่ได้รับอนุญาต การลักขโมย หรือการสร้างความเสียหายต่อ PII และ
- การละเมิดอื่นใดในภาระผูกพันเกี่ยวกับการรักษาความปลอดภัยและ/หรือการรักษาความลับที่กำหนดไว้ใน DPA นี้
- รูปแบบและเนื้อหาในการแจ้ง การแจ้งเตือนถึงการละเมิดการรักษาความปลอดภัยอาจทำได้ในรูปแบบของการโทรศัพท์ไปยังศูนย์ดำเนินการเครือข่าย (NOC) ของเราที่หมายเลข (480) 505-8809 ตามด้วยการแจ้งเตือนเป็นลายลักษณ์อักษรโดยส่งไปยัง securitybreach@godaddy.com คุณต้องให้ข้อมูลต่อไปนี้ในระหว่างที่โทรศัพท์แจ้งและในการแจ้งเป็นลายลักษณ์อักษรอย่างครบถ้วนที่สุดเท่าที่จะเป็นไปได้ พร้อมการแจ้งข่าวสารเมื่อทราบข้อมูลเพิ่มเติมดังนี้:
- การบรรยายถึงลักษณะเหตุการณ์และผลสืบเนื่องที่น่าจะเกิดจากเหตุการณ์นั้น
- เวลาแก้ไขปัญหาโดยประมาณ (หากทราบ)
- การอธิบายมาตรการที่ใช้หรือเสนอเพื่อระบุเหตุการณ์รวมถึงมาตรการบรรเทาผลในทางลบที่อาจเกิดขึ้นกับเรา หรือ PII หรือบุคคลที่เกี่ยวข้อง
- หากไม่ทราบวิธีการแก้ไขขณะที่โทรศัพท์แจ้ง คุณต้องบอกให้ชัดเจนว่ายังไม่ระบุ
- หมวดหมู่และปริมาณโดยประมาณของ PII และบุคคลที่อาจจะได้รับผลจากเหตุการณ์ และผลสืบเนื่องที่น่าจะเกิดขึ้นกับ PII และบุคคลที่เกี่ยวข้องจากเหตุการณ์นี้ และ
- ชื่อและหมายเลขโทรศัพท์ของตัวแทนของตัวแทนจำหน่ายที่เราสามารถติดต่อขอข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์ได้
- ทรัพยากรที่ใช้ในการรักษาความปลอดภัย ตามที่ตกลงกับคุณไว้ เราอาจจัดหาวิธีการรักษาความปลอดภัยจากกลุ่มการรักษาความปลอดภัยของเราเพื่อช่วยเหลือเกี่ยวกับการละเมิดด้านการรักษาความปลอดภัยที่ระบุ คุณยินยอมที่จะช่วยเราในการปฏิบัติตามข้อผูกพันที่เกี่ยวข้องกับการแจ้งเตือนถึงการละเมิดด้านการรักษาความปลอดภัยภายใต้กฎหมายการคุ้มครองข้อมูลของ EU หรือตามกฎหมาย ข้อกำหนด การดูแลจัดการ หรือข้อผูกพันการแจ้งเตือนถึงการละเมิดสัญญาอื่นใด
6. การเข้ารหัส
- การเข้ารหัสลับกรรมสิทธิ์ การทำธุรกรรมระหว่างคุณและผู้รับจ้างช่วง ผู้ขาย หรือบุคคลที่สามอย่างปลอดภัย รวมถึงการจัดเก็บข้อมูลที่ปิดบังเป็นความลับหรือ PII อาจไม่ได้ใช้ประโยชน์อัลกอริทึมการเข้ารหัสลับใดๆ ที่คุณได้พัฒนาไว้เป็นการภายใน โครงสร้างพื้นฐานของโปรแกรมประยุกต์ที่ใช้ประโยชน์จากอัลกอริทึมแบบสมมาตร แบบไม่สมมาตรหรือแบบแฮชใดๆ จะใช้อัลกอริทึมที่ได้เผยแพร่และประเมินแล้วโดยกลุ่มการเข้ารหัสลับทั่วไป
- ความปลอดภัยของการเข้ารหัสลับ อัลกอริทึมของการเข้ารหัสลับต้องเป็นเทคโนโลยีมาตรฐานระดับอุตสาหกรรมในขณะนั้นและต้องมีความปลอดภัยมากพอ เช่น AES การเข้ารหัสลับคีย์สาธารณะ SHA-256 หรือ RSA
- ฟังก์ชันแฮช ฟังก์ชันแฮชคือการรวม SHA-256 กับรหัสอย่างใดอย่างหนึ่งใน MD-5, SHA-2, SHA-3 หรือที่คล้ายกันเป็นอย่างน้อย โดยไม่รวม SHA-1 หากมีการนำเอาฟังก์ชันแฮชอื่นมาใช้ ฟังก์ชันเหล่านี้จะต้องได้รับการอนุมัติอย่างชัดเจนจากทีมการรักษาความปลอดภัยข้อมูลของเรา และจะต้องใช้งานร่วมกันกับอย่างน้อยหนึ่งอัลกอริทึมที่ได้รับอนุมัติ
7. การดำเนินการกับ PII
- การปฏิบัติตามกฎหมาย ภายใต้ขอบเขตที่บังคับใช้ คุณจะช่วยเหลือเราตามข้อผูกพันที่เราจะต้องดำเนินการตามคำขอของบุคคลที่ PII ของตนกำลังได้รับการดำเนินการภายใต้ข้อตกลง และบุคคลที่ประสงค์จะใช้สิทธิ์ของตนภายใต้กฎหมายคุ้มครองข้อมูลส่วนตัวของ EU รวมถึง (แต่ไม่จำกัดเพียง): (i) สิทธิ์ในการเข้าถึง (ii) สิทธิ์ในการโอนย้ายข้อมูล (iii) สิทธิ์ในการลบ (iv) สิทธิ์ในการแก้ไข (v) สิทธิ์ในการคัดค้านการตัดสินใจอัตโนมัติ หรือ (vi) สิทธิ์ในการคัดค้านการดำเนินการกับข้อมูล
- ลบ/ทำลาย คุณต้องลบ/ทำลาย PII อย่างปลอดภัยหรือส่งคืน PII ทั้งหมด และเขียนทับไดรฟ์ที่จับต้องได้ที่ใช้จัดเก็บข้อมูลนี้โดยใช้การลบการเข้ารหัสลับ (NIST SP-800-88r1) หรือวิธีการที่เทียบเท่าเมื่อมีการร้องขอให้ดำเนินการจากเรา หรือปราศจากคำขอจากเรา ภายหล