แก้ไขล่าสุด: 2 พฤศจิกายน 2020
Jibe และคู่สัญญาที่ยอมรับภาคผนวกนี้ ("บริษัท") ได้ลงนามในข้อตกลงการให้บริการผู้ประมวลผลข้อมูล ("ข้อตกลง") ซึ่งแก้ไขเป็นครั้งคราว
ภาคผนวกเกี่ยวกับการประมวลผลข้อมูลนี้ (รวมถึงภาคผนวก "ภาคผนวกเกี่ยวกับการประมวลผลข้อมูล") มีผลบังคับใช้กับ Jibe และบริษัท และเป็นภาคผนวกเพิ่มเติมของข้อตกลง เอกสารแนบท้ายการประมวลผลข้อมูลนี้จะมีผลบังคับใช้และแทนที่ข้อกำหนดที่เกี่ยวข้องใดๆ ก่อนหน้านี้ที่เกี่ยวกับเรื่องของข้อกำหนดเหล่านั้น (รวมถึงข้อกำหนดด้านการประมวลผลข้อมูลและการรักษาความปลอดภัยที่เกี่ยวข้องกับบริการของผู้ประมวลผลข้อมูล) นับตั้งแต่วันที่มีผลของข้อกำหนด
หากคุณยอมรับภาคผนวกการประมวลผลข้อมูลนี้ในนามของบริษัท แสดงว่าคุณรับประกันว่า (ก) คุณมีอำนาจตามกฎหมายอย่างสมบูรณ์ในการผูกพันบริษัทกับภาคผนวกการประมวลผลข้อมูลนี้ (ข) คุณได้อ่านและทำความเข้าใจภาคผนวกการประมวลผลข้อมูลนี้แล้ว และ (ค) คุณยอมรับภาคผนวกการประมวลผลข้อมูลนี้ในนามของบริษัท หากคุณไม่มีอำนาจตามกฎหมายในการผูกพันบริษัท โปรดอย่ายอมรับภาคผนวกการประมวลผลข้อมูลนี้
1. บทนำ
เอกสารแนบท้ายเกี่ยวกับการประมวลผลข้อมูลนี้แสดงถึงข้อตกลงของคู่สัญญาในข้อกำหนดที่ควบคุมการประมวลผลและการรักษาความปลอดภัยของข้อมูลส่วนตัวของบริษัทซึ่งเกี่ยวข้องกับนิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรปและนิติบัญญัติด้านการคุ้มครองข้อมูลบางฉบับซึ่งไม่ใช่ของยุโรป
2. คำนิยามและการตีความ
2.1 ในเอกสารแนบท้ายการประมวลผลข้อมูลนี้
"ผลิตภัณฑ์เพิ่มเติม" หมายถึงผลิตภัณฑ์ บริการ หรือแอปพลิเคชันที่ให้บริการโดย Jibe หรือบุคคลที่สาม ซึ่ง (ก) ไม่ได้เป็นส่วนหนึ่งของบริการของผู้ประมวลผลข้อมูล และ (ข) สามารถเข้าถึงเพื่อใช้งานภายในอินเทอร์เฟซผู้ใช้ของบริการของผู้ประมวลผลข้อมูล หรือผสานรวมกับบริการของผู้ประมวลผลข้อมูล
"ข้อกำหนดเพิ่มเติมสำหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป" หมายถึงข้อกำหนดเพิ่มเติมที่อ้างถึงในภาคผนวก 3 ซึ่งแสดงถึงข้อตกลงของคู่สัญญาในข้อกำหนดที่ควบคุมการประมวลผลข้อมูลบางอย่างที่เกี่ยวเนื่องกับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป
"บริษัทในเครือ" หมายถึง หน่วยงานที่ควบคุมโดยตรงหรือโดยอ้อม ถูกควบคุมโดย หรืออยู่ภายใต้การควบคุมร่วมกันกับคู่สัญญาฝ่ายหนึ่ง
"ข้อมูลส่วนตัวของบริษัท" หมายถึง ข้อมูลส่วนตัวที่ Jibe ประมวลผลในนามของบริษัทในการให้บริการของผู้ประมวลผลข้อมูลของ Jibe
"เหตุการณ์ที่ส่งผลต่อข้อมูล" หมายถึง การละเมิดความปลอดภัยของ Jibe ซึ่งทำให้ข้อมูลส่วนตัวของบริษัทเกิดการถูกทำลาย การสูญเสีย การดัดแปลง หรือการเปิดเผยหรือการเข้าถึงโดยไม่ได้รับอนุญาตในระบบที่ได้รับการจัดการหรือควบคุมโดย Jibe โดยไม่ว่าจะด้วยอุบัติเหตุหรือด้วยการกระทำที่มิชอบด้วยกฎหมาย "เหตุการณ์ที่ส่งผลต่อข้อมูล" จะไม่ครอบคลุมถึงความพยายามที่ไม่สำเร็จหรือกิจกรรมที่ไม่กระทบต่อความปลอดภัยของข้อมูลส่วนตัวของบริษัท ซึ่งรวมถึงความพยายามเข้าสู่ระบบที่ไม่สำเร็จ, การใช้คำสั่ง ping, การสแกนพอร์ต, การโจมตีแบบปฏิเสธการให้บริการ และการโจมตีเครือข่ายอื่นๆ บนไฟร์วอลล์หรือระบบเครือข่าย
"กฎหมายว่าด้วยการคุ้มครองข้อมูล" (ตามที่ใช้บังคับ) หมายถึง (ก) นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป และ/หรือ (ข) นิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป
"เครื่องมือสำหรับเจ้าของข้อมูล" หมายถึงเครื่องมือ (หากมี) ที่นิติบุคคล Jibe มีให้สำหรับเจ้าของข้อมูล ซึ่งช่วยให้ Jibe ตอบกลับคำขอบางอย่างจากเจ้าของข้อมูลเกี่ยวกับข้อมูลส่วนตัวของบริษัทได้โดยตรงและเป็นมาตรฐาน (เช่น ปลั๊กอินเบราว์เซอร์สำหรับการเลือกไม่ใช้)
"EEA" หมายถึงเขตเศรษฐกิจยุโรป
"GDPR ของสหภาพยุโรป" หมายถึง กฎระเบียบ (สหภาพยุโรป) 2016/679 ของรัฐสภายุโรปและคณะกรรมการยุโรป ลงวันที่ 27 เมษายน 2016 ว่าด้วยการคุ้มครองบุคคลธรรมดาที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนตัวและการเคลี่อนย้ายข้อมูลดังกล่าวโดยเสรี และการยกเลิกคำสั่งที่ 95/46/EC
"นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป" (ตามที่ใช้บังคับ) หมายถึง (ก) GDPR และ/หรือ (ข) กฎหมายคุ้มครองข้อมูลระดับประเทศ (Federal Data Protection Act) ลงวันที่ 19 มิถุนายน 1992 (สวิตเซอร์แลนด์)
"กฎหมายของยุโรปหรือกฎหมายแห่งชาติ" ตามที่ใช้บังคับ หมายถึง (ก) กฎหมายของสหภาพยุโรปหรือของรัฐสมาชิกของสหภาพยุโรป (หาก GDPR ของสหภาพยุโรปมีผลบังคับใช้กับการประมวลผลข้อมูลส่วนตัวของบริษัท) และ/หรือ (ข) กฎหมายของสหราชอาณาจักรหรือรัฐที่เป็นส่วนหนึ่งของสหราชอาณาจักร (หาก GDPR ของสหราชอาณาจักรมีผลบังคับใช้กับการประมวลผลข้อมูลส่วนตัวของบริษัท)
"GDPR" ตามที่ใช้บังคับ หมายถึง (ก) GDPR ของสหภาพยุโรป และ/หรือ (ข) GDPR ของสหราชอาณาจักร
"Jibe" หมายถึงนิติบุคคล Jibe ที่เป็นคู่สัญญาในข้อตกลง
"ผู้ประมวลผลข้อมูลย่อยที่เป็นบริษัทในเครือของ Jibe" มีความหมายตามที่ระบุไว้ในส่วนที่ 11.1 (ความยินยอมต่อการมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อย)
"นิติบุคคล Jibe" หมายถึง Jibe Mobile Inc., Jibe Mobile Limited หรือบริษัทในเครือรายอื่นใดของ Jibe Mobile Inc.
"การรับรอง ISO 27001" หมายถึงการรับรอง ISO/IEC 27001:2013 หรือการรับรองที่เทียบเท่าสำหรับบริการผู้ประมวลผลข้อมูล
"นิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป" หมายถึงกฎหมายว่าด้วยการคุ้มครองข้อมูลและกฎหมายด้านความเป็นส่วนตัวที่มีผลบังคับใช้นอก EEA, สวิตเซอร์แลนด์ และสหราชอาณาจักร
"อีเมลแจ้งเตือน" หมายถึงอีเมล (หากมี) ที่ (1) บริษัทระบุให้ Jibe หรือ (2) บริษัทกำหนดไว้ผ่านอินเทอร์เฟซผู้ใช้ของบริการผู้ประมวลผลหรือวิธีอื่นๆ ที่ Jibe ระบุไว้เพื่อรับการแจ้งเตือนบางอย่างจาก Jibe ที่เกี่ยวข้องกับภาคผนวกการประมวลผลข้อมูลนี้ เพื่อความชัดเจน บริษัทมีหน้าที่รับผิดชอบในการระบุอีเมลสำหรับการแจ้งเตือนให้ Jibe ทราบ และแจ้งให้ Jibe ทราบเกี่ยวกับการอัปเดตอีเมลสำหรับการแจ้งเตือน
"บริการผู้ประมวลผลข้อมูล" หมายถึงบริการการรับส่งข้อความทางธุรกิจ RCS (ตามที่อธิบายไว้ที่ https://developers.google.com/business-communications/rcs-business-messaging)
"เอกสารประกอบด้านความปลอดภัย" หมายถึงการรับรองมาตรฐาน ISO 27001 และการรับรองหรือเอกสารประกอบด้านความปลอดภัยอื่นๆ ที่ Jibe อาจแสดงให้พร้อมใช้งานซึ่งเกี่ยวข้องกับบริการผู้ประมวลผลข้อมูล
"มาตรการรักษาความปลอดภัย" ได้รับการอธิบายความหมายไว้ในมาตราที่ 7.1.1 (มาตรการรักษาความปลอดภัยของ Jibe)
"ข้อสัญญามาตรฐาน" หมายถึงข้อสัญญามาตรฐานของคณะกรรมาธิการยุโรปที่ https://privacy.google.com/businesses/gdprprocessorterms/sccs ซึ่งเป็นข้อกำหนดมาตรฐานด้านการคุ้มครองข้อมูลสำหรับการโอนข้อมูลส่วนตัวไปยังผู้ประมวลผลข้อมูลที่ตั้งอยู่ในต่างประเทศซึ่งไม่ได้รับประกันการคุ้มครองข้อมูลในระดับที่เพียงพอ ตามที่อธิบายไว้ในมาตรา 46 ของ GDPR ของสหภาพยุโรป
"ผู้ประมวลผลข้อมูลย่อย" หมายถึงบุคคลที่สามที่ได้รับอนุญาตภายใต้ภาคผนวกการประมวลผลข้อมูลฉบับนี้ให้มีสิทธิ์เข้าถึงทางตรรกะและสามารถประมวลผลข้อมูลส่วนตัวของบริษัทเพื่อให้บริการที่นับเป็นส่วนหนึ่งของบริการผู้ประมวลผลข้อมูลและการสนับสนุนทางเทคนิคที่เกี่ยวข้อง
"หน่วยงานกำกับดูแล" ตามที่ใช้บังคับ หมายถึง (ก) "หน่วยงานกำกับดูแล" ตามที่ระบุไว้ใน GDPR ของสหภาพยุโรป และ/หรือ (ข) "กรรมาธิการ" ตามที่ระบุไว้ใน GDPR ของสหราชอาณาจักร
"ระยะเวลา" หมายถึง ระยะเวลานับจากวันที่มีผลของข้อกำหนดจนกระทั่งสิ้นสุดการให้บริการประมวลผลข้อมูลของ Jibe ภายใต้ข้อตกลง
"วันที่มีผลของข้อกำหนด" หมายถึงวันที่มีผลของข้อตกลง
"ผู้ประมวลผลข้อมูลย่อยบุคคลที่สาม" ได้รับการอธิบายความหมายไว้ในส่วนที่ 11.1 (ความยินยอมต่อการมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อย)
"GDPR ของสหราชอาณาจักร" หมายถึง GDPR ของสหภาพยุโรป ตามที่ได้มีการแก้ไขและผนวกรวมไว้ในกฎหมายของสหราชอาณาจักร ภายใต้พระราชบัญญัติ (การถอนตัว) ของสหราชอาณาจักรออกจากสหภาพยุโรปในปี 2018 หากมีผลบังคับใช้
2.2 คําว่า "ผู้ควบคุมข้อมูล" "เจ้าของข้อมูล" "ข้อมูลส่วนตัว" "การประมวลผลข้อมูล" และ "ผู้ประมวลผลข้อมูล" ตามภาคผนวกเกี่ยวกับผู้ควบคุมข้อมูลฉบับนี้มีความหมายตามที่ระบุไว้ใน GDPR และคำว่า "ผู้นําเข้าข้อมูล" และ "ผู้ส่งออกข้อมูล" มีความหมายตามที่ระบุไว้ในข้อกําหนดในสัญญามาตรฐาน
2.3 คำว่า "รวมถึง" "รวม" หรือสำนวนใดๆ ที่คล้ายกันจะตีความว่าเป็นการอธิบายและจะไม่จำกัดความหมายของคำที่นำหน้าคำเหล่านั้น ตัวอย่างใดๆ ในภาคผนวกการประมวลผลข้อมูลนี้มีไว้เพื่อการอธิบาย และมิใช่เป็นเพียงตัวอย่างเดียวของแนวคิดหนึ่งๆ
2.4 การอ้างอิงใดๆ ถึงกรอบโครงสร้างทางกฎหมาย บทบัญญัติ หรือการประกาศใช้เป็นกฎหมายอื่นๆ คือการอ้างอิงถึงสิ่งดังกล่าวตามที่ได้มีการแก้ไขหรือประกาศใช้ซ้ำเป็นครั้งคราว
2.5 หากมีการแปลข้อกำหนดการประมวลผลข้อมูลเหล่านี้เป็นภาษาอื่น และข้อความภาษาอังกฤษและข้อความที่แปลเป็นภาษาอื่นนั้นแตกต่างกัน ข้อความภาษาอังกฤษจะมีผลบังคับใช้
3. ระยะเวลาของเอกสารแนบท้ายการประมวลผลข้อมูลนี้
เอกสารแนบท้ายเกี่ยวกับการประมวลผลข้อมูลฉบับนี้จะมีผลในวันที่มีผลของข้อกำหนด และไม่ว่าข้อกำหนดจะหมดอายุแล้วหรือไม่ เอกสารแนบท้ายนี้จะยังคงมีผลบังคับใช้จนกว่าจะหมดอายุโดยอัตโนมัติเมื่อ Jibe ลบข้อมูลส่วนตัวทั้งหมดของบริษัทตามที่อธิบายไว้ในเอกสารแนบท้ายเกี่ยวกับการประมวลผลข้อมูลฉบับนี้
4. การบังคับใช้เอกสารแนบท้ายการประมวลผลข้อมูลนี้
4.1 การใช้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป ส่วนต่างๆ ต่อไปนี้ 5 (การประมวลผลข้อมูล) ถึง 12 (การติดต่อ Jibe การประมวลผลระเบียน) (รวม) จะมีผลบังคับใช้เฉพาะในขอบเขตที่ว่านิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรปมีผลบังคับใช้กับการประมวลผลข้อมูลส่วนตัวของบริษัท ซึ่งรวมถึงในกรณีต่อไปนี้
(ก) การประมวลผลข้อมูลนั้นเกี่ยวข้องกับการดำเนินการของสถานประกอบการของบริษัทในเขตเศรษฐกิจยุโรปหรือสหราชอาณาจักร และ/หรือ
(ข) ข้อมูลส่วนตัวของบริษัทเป็นข้อมูลส่วนตัวที่เกี่ยวข้องกับเจ้าของข้อมูลที่อยู่ในเขตเศรษฐกิจยุโรปหรือสหราชอาณาจักร และการประมวลผลข้อมูลเกี่ยวข้องกับการเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลดังกล่าว หรือเกี่ยวข้องกับการตรวจสอบพฤติกรรมของเจ้าของข้อมูลดังกล่าวในเขตเศรษฐกิจยุโรปหรือสหราชอาณาจักร
4.2 การบังคับใช้กับบริการผู้ประมวลผลข้อมูล เอกสารแนบท้ายการประมวลผลข้อมูลนี้จะมีผลบังคับใช้กับบริการของผู้ประมวลผลข้อมูลเท่านั้นที่คู่สัญญาได้ยอมรับเอกสารแนบท้ายการประมวลผลข้อมูลนี้ (เช่น (ก) บริการของผู้ประมวลผลข้อมูลซึ่งบริษัทคลิกเพื่อยอมรับเอกสารแนบท้ายการประมวลผลข้อมูลนี้ หรือ (ข) หากข้อตกลงรวมเอกสารแนบท้ายการประมวลผลข้อมูลนี้ไว้ด้วยการอ้างอิง บริการของผู้ประมวลผลข้อมูลที่เป็นประเด็นในข้อตกลง)
4.3 การรวมข้อกำหนดเพิ่มเติมสำหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป ข้อกำหนดเพิ่มเติมสำหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรปจะเสริมข้อกำหนดการประมวลผลข้อมูลเหล่านี้
5. การประมวลผลข้อมูล
5.1 การปฏิบัติตามบทบาทและข้อกำหนดในกฎระเบียบ, การให้สิทธิ์
5.1.1 ความรับผิดชอบของผู้ประมวลผลข้อมูลและผู้ควบคุมข้อมูล คู่สัญญาทั้งสองฝ่ายรับทราบและยอมรับว่า
(ก) ภาคผนวก 1 อธิบายเรื่องและรายละเอียดของการประมวลผลข้อมูลส่วนตัวของบริษัท
(ข) Jibe เป็นผู้ประมวลผลข้อมูลส่วนตัวของบริษัทภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป
(ค) บริษัทเป็นผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลส่วนตัวของบริษัทภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป ตามแต่สถานการณ์ และ
(ง) แต่ละฝ่ายจะต้องปฏิบัติตามภาระหน้าที่ตามที่เหมาะสมภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรปในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนตัวของบริษัท
5.1.2 การให้สิทธิ์โดยผู้ควบคุมข้อมูลบุคคลที่สาม หากบริษัทเป็นผู้ประมวลผลข้อมูล บริษัทรับประกันต่อ Jibe ว่าคําสั่งและการดําเนินการของบริษัทเกี่ยวกับข้อมูลส่วนตัวของบริษัท รวมถึงการแต่งตั้งให้ Jibe เป็นผู้ประมวลผลข้อมูลอีกรายหนึ่งได้รับอนุญาตจากผู้ควบคุมข้อมูลที่เกี่ยวข้อง
5.2 คำสั่งของบริษัท การเข้าร่วมในเอกสารแนบท้ายเกี่ยวกับการประมวลผลข้อมูลนี้เป็นการสั่งให้ Jibe ประมวลผลข้อมูลส่วนตัวของบริษัทตามกฎหมายที่เกี่ยวข้องเท่านั้น (ก) เพื่อให้บริการผู้ประมวลผลข้อมูลและการสนับสนุนทางเทคนิคที่เกี่ยวข้อง (ข) ตามที่ระบุเพิ่มเติมผ่านการใช้บริการผู้ประมวลผลข้อมูลของบริษัท (รวมถึงในการตั้งค่าและฟังก์ชันการทำงานอื่นๆ ของบริการผู้ประมวลผลข้อมูล) และการสนับสนุนทางเทคนิคที่เกี่ยวข้อง (ค) ตามที่ระบุไว้ในแบบฟอร์มข้อตกลง รวมถึงเอกสารแนบท้ายเกี่ยวกับการประมวลผลข้อมูลนี้ และ (ง) ตามที่ระบุเพิ่มเติมไว้ในคำสั่งเป็นลายลักษณ์อักษรอื่นๆ ที่บริษัทให้ไว้และ Jibe ยอมรับว่าเป็นคำสั่งสำหรับวัตถุประสงค์ของเอกสารแนบท้ายเกี่ยวกับการประมวลผลข้อมูลนี้
5.3 การปฏิบัติตามคำสั่งของ Jibe Jibe จะปฏิบัติตามคำสั่งที่อธิบายไว้ในส่วนที่ 5.2 (คำสั่งของบริษัท) (รวมถึงการโอนข้อมูล) เว้นแต่กฎหมายของยุโรปหรือกฎหมายระดับชาติที่ Jibe อยู่ภายใต้บังคับจะกำหนดให้ Jibe ประมวลผลข้อมูลส่วนตัวของบริษัทด้วยวิธีอื่น ซึ่งในกรณีนี้ Jibe จะแจ้งให้บริษัททราบ (เว้นแต่กฎหมายดังกล่าวจะห้ามไม่ให้ Jibe ดำเนินการดังกล่าวด้วยเหตุผลสำคัญด้านสาธารณประโยชน์)
5.4 ผลิตภัณฑ์เพิ่มเติม หากบริษัทใช้ผลิตภัณฑ์เพิ่มเติม บริการผู้ประมวลผลข้อมูลอาจอนุญาตให้ผลิตภัณฑ์เพิ่มเติมดังกล่าวเข้าถึงข้อมูลส่วนตัวของบริษัทตามที่จําเป็นต่อการทำงานร่วมกันของผลิตภัณฑ์เพิ่มเติมกับบริการผู้ประมวลผลข้อมูล เอกสารแนบท้ายการประมวลผลข้อมูลนี้ไม่มีผลบังคับใช้กับการประมวลผลข้อมูลส่วนตัวที่เกี่ยวข้องกับข้อกำหนดของผลิตภัณฑ์เพิ่มเติมใดๆ ที่บริษัทใช้ ซึ่งรวมถึงข้อมูลส่วนตัวที่ส่งไปยังหรือส่งจากผลิตภัณฑ์เพิ่มเติมดังกล่าว
6. การลบข้อมูล
6.1 การลบระหว่างระยะเวลา
6.1.1 บริการของผู้ประมวลผลข้อมูลที่มีฟังก์ชันการลบ ในระหว่างที่สัญญามีผลบังคับใช้ ในกรณีต่อไปนี้
(ก) ฟังก์ชันการทํางานของบริการของผู้ประมวลผลข้อมูลมีตัวเลือกให้บริษัทลบข้อมูลส่วนตัวของบริษัท
(ข) บริษัทใช้บริการผู้ประมวลผลเพื่อลบข้อมูลส่วนตัวบางอย่างของบริษัท และ
(ค) บริษัทไม่สามารถกู้คืนข้อมูลส่วนตัวของบริษัทที่ลบไปแล้วได้ (เช่น จาก "ถังขยะ")
ในกรณีดังกล่าว Jibe จะลบข้อมูลส่วนบุคคลของบริษัทดังกล่าวออกจากระบบโดยเร็วเท่าที่จะเป็นไปได้ในทางปฏิบัติ เว้นแต่ว่ากฎหมายของยุโรปหรือกฎหมายแห่งชาติกำหนดให้เก็บข้อมูลไว้
6.1.2 บริการของผู้ประมวลผลข้อมูลที่ไม่มีฟังก์ชันการลบ ในระหว่างที่ข้อกำหนดมีผลบังคับใช้ หากฟังก์ชันการทำงานของบริการของผู้ประมวลผลข้อมูลไม่มีตัวเลือกให้บริษัทลบข้อมูลส่วนตัวของบริษัท Jibe จะปฏิบัติตามคำขอที่สมเหตุสมผลจากบริษัทเพื่ออำนวยความสะดวกในการลบดังกล่าว ตราบใดที่เป็นไปได้โดยคำนึงถึงลักษณะและฟังก์ชันการทำงานของบริการของผู้ประมวลผลข้อมูล Jibe อาจเรียกเก็บค่าธรรมเนียม (ตามราคาที่สมเหตุสมผลของ Jibe) สำหรับการลบข้อมูลภายใต้ส่วนที่ 6.1.2 นี้ (บริการผู้ประมวลผลข้อมูลที่ไม่มีฟังก์ชันการลบ) Jibe จะแจ้งรายละเอียดเพิ่มเติมเกี่ยวกับค่าธรรมเนียมที่เกี่ยวข้องและวิธีในการคำนวณให้บริษัททราบก่อนการลบข้อมูลดังกล่าว
6.2 การลบเมื่อสิ้นสุดข้อกำหนด เมื่อสิ้นสุดข้อกำหนด บริษัทจะสั่งให้ Jibe ลบข้อมูลส่วนตัวทั้งหมดของบริษัท (รวมถึงสำเนาที่มีอยู่) ออกจากระบบของ Jibe ตามกฎหมายที่เกี่ยวข้อง Jibe จะปฏิบัติตามคำสั่งนี้โดยเร็วที่สุดเท่าที่เป็นไปได้ในทางปฏิบัติ เว้นแต่กฎหมายของยุโรปหรือกฎหมายแห่งชาติกำหนดให้เก็บข้อมูลไว้
7. ความปลอดภัยข้อมูล
7.1 มาตรการรักษาความปลอดภัยและความช่วยเหลือของ Jibe
7.1.1 มาตรการรักษาความปลอดภัยของ Jibe Jibe จะใช้และรักษามาตรการทางเทคนิคและทางองค์กรเพื่อปกป้องข้อมูลส่วนบุคคลของบริษัทจากการทำลาย การสูญหาย การเปลี่ยนแปลง การเปิดเผย หรือการเข้าถึงที่ไม่ได้รับอนุญาตหรือผิดกฎหมายโดยไม่ตั้งใจ ตามที่อธิบายไว้ในภาคผนวก 2 ("มาตรการรักษาความปลอดภัย") Jibe อาจอัปเดตหรือแก้ไขมาตรการรักษาความปลอดภัยเป็นครั้งคราว โดยมีเงื่อนไขว่าการอัปเดตและการแก้ไขดังกล่าวจะต้องไม่ส่งผลให้ความปลอดภัยโดยรวมของบริการผู้ประมวลผลข้อมูลลดลง
7.1.2 การปฏิบัติตามข้อกำหนดด้านความปลอดภัยโดยเจ้าหน้าที่ของ Jibe Jibe จะตรวจสอบว่าบุคคลทั้งหมดที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนตัวของบริษัทได้มุ่งมั่นที่จะรักษาข้อมูลที่เป็นความลับหรืออยู่ภายใต้ภาระหน้าที่ที่เหมาะสมตามกฎหมายในการรักษาข้อมูลที่เป็นความลับ
7.1.3 ความช่วยเหลือด้านความปลอดภัยของ Jibe บริษัทตกลงว่า Jibe จะช่วยบริษัทในการรักษาการปฏิบัติตามภาระหน้าที่ของบริษัทเกี่ยวกับความปลอดภัยของข้อมูลส่วนตัวและการละเมิดข้อมูลส่วนตัว (โดยพิจารณาถึงลักษณะของการประมวลผลข้อมูลส่วนตัวของบริษัทและข้อมูลที่ Jibe มี) รวมถึง (หากมี) ภาระหน้าที่ของบริษัทภายใต้มาตราที่ 32 ถึง 34 (รวม) ของ GDPR โดยดำเนินการดังนี้
(ก) ปรับใช้และรักษามาตรการการรักษาความปลอดภัยตามมาตราที่ 7.1.1 (มาตรการการรักษาความปลอดภัยของ Jibe)
(ข) ปฏิบัติตามข้อกำหนดของส่วนที่ 7.2 (เหตุการณ์ที่ส่งผลต่อข้อมูล) และ
(ค) มอบเอกสารประกอบการรักษาความปลอดภัยให้กับบริษัทตามมาตราที่ 7.5.1 (การตรวจสอบเอกสารประกอบการรักษาความปลอดภัย) และข้อมูลที่มีอยู่ในภาคผนวกการประมวลผลข้อมูลฉบับนี้
7.2 เหตุการณ์ที่ส่งผลต่อข้อมูล
7.2.1 การแจ้งเตือนเหตุการณ์ หาก Jibe ทราบถึงเหตุการณ์ที่ส่งผลต่อข้อมูล Jibe จะ (ก) แจ้งให้บริษัททราบถึงเหตุการณ์ที่ส่งผลต่อข้อมูลโดยเร็วและทันที และ (ข) ดำเนินการตามขั้นตอนที่เหมาะสมในทันทีเพื่อลดอันตรายและรักษาความปลอดภัยให้กับข้อมูลส่วนตัวของบริษัท
7.2.2 รายละเอียดของเหตุการณ์ที่ส่งผลต่อข้อมูล การแจ้งเตือนที่ดำเนินการภายใต้ส่วนที่ 7.2.1 (การแจ้งเตือนเหตุการณ์) จะอธิบายรายละเอียดเท่าที่อธิบายได้เกี่ยวกับเหตุการณ์ที่ส่งผลต่อข้อมูล รวมถึงขั้นตอนที่ได้ดำเนินการเพื่อบรรเทาความเสี่ยงที่อาจเกิดขึ้น และขั้นตอนที่ Jibe แนะนำให้บริษัทดำเนินการเพื่อจัดการกับเหตุการณ์ที่ส่งผลต่อข้อมูล
7.2.3 การส่งการแจ้งเตือน Jibe จะส่งการแจ้งเตือนเกี่ยวกับเหตุการณ์ที่ส่งผลต่อข้อมูลไปยังอีเมลสำหรับการแจ้งเตือน หรือจะส่งผ่านการสื่อสารโดยตรงอื่นๆ (เช่น การโทรคุยหรือการประชุมแบบตัวต่อตัว) ตามที่ Jibe เห็นสมควร (รวมถึงในกรณีที่บริษัทไม่ได้ระบุอีเมลสำหรับการแจ้งเตือน) บริษัทเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในการระบุอีเมลแจ้งเตือนและตรวจสอบว่าอีเมลแจ้งเตือนดังกล่าวเป็นปัจจุบันและถูกต้อง
7.2.4 การแจ้งเตือนจากบุคคลที่สาม บริษัทมีหน้าที่รับผิดชอบแต่เพียงผู้เดียวในการปฏิบัติตามกฎหมายว่าด้วยการแจ้งเตือนเหตุการณ์ที่เกี่ยวข้องกับบริษัท และปฏิบัติตามภาระหน้าที่ในการแจ้งเตือนบุคคลที่สามเกี่ยวกับเหตุการณ์ใดๆ ที่ส่งผลต่อข้อมูล
7.2.5 การไม่รับทราบความผิดของ Jibe การแจ้งเตือนหรือการตอบสนองของ Jibe เกี่ยวกับเหตุการณ์ที่ส่งผลต่อข้อมูลภายใต้มาตราที่ 7.2 (เหตุการณ์ที่ส่งผลต่อข้อมูล) นี้จะไม่ถือเป็นการรับทราบของ Jibe ต่อข้อผิดพลาดหรือความรับผิดใดๆ ที่เกี่ยวข้องกับเหตุการณ์ที่ส่งผลต่อข้อมูล
7.3 หน้าที่รับผิดชอบและการประเมินเกี่ยวกับการรักษาความปลอดภัยของบริษัท
7.3.1 หน้าที่รับผิดชอบเกี่ยวกับการรักษาความปลอดภัยของบริษัท บริษัทยอมรับโดยไม่มีผลกระทบต่อภาระหน้าที่ของ Jibe ภายใต้ส่วนที่ 7.1 (มาตรการรักษาความปลอดภัยและความช่วยเหลือด้านความปลอดภัยของ Jibe) และ 7.2 (เหตุการณ์ที่ส่งผลต่อข้อมูล) ว่า
(ก) บริษัทมีหน้าที่รับผิดชอบต่อการใช้บริการผู้ประมวลผล ซึ่งรวมถึง
(1) การใช้บริการของผู้ประมวลผลข้อมูลอย่างเหมาะสมเพื่อให้มั่นใจว่าการรักษาความปลอดภัยอยู่ในระดับที่เหมาะสมกับความเสี่ยงที่มีต่อข้อมูลส่วนตัวของบริษัท และ
(ii) การรักษาความปลอดภัยของข้อมูลเข้าสู่ระบบการตรวจสอบสิทธิ์บัญชี รวมถึงระบบและอุปกรณ์ที่บริษัทใช้เข้าถึงบริการของผู้ประมวลผลข้อมูล และ
(ข) Jibe ไม่มีภาระหน้าที่ในการปกป้องข้อมูลส่วนตัวของบริษัทที่บริษัทเลือกจะจัดเก็บหรือโอนภายนอกระบบของ Jibe และของผู้ประมวลผลข้อมูลระดับล่าง
7.3.2 การประเมินเกี่ยวกับการรักษาความปลอดภัยของบริษัท บริษัทรับทราบและยอมรับว่า (เมื่อพิจารณาถึงเทคโนโลยีล้ำสมัย ค่าใช้จ่ายในการติดตั้งใช้งาน รวมถึงลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการประมวลผลข้อมูลส่วนตัวของบริษัท ตลอดจนความเสี่ยงต่อบุคคลธรรมดา) มาตรการรักษาความปลอดภัยที่ Jibe ติดตั้งใช้งานและดูแลรักษาในส่วนที่ 7.1.1 (มาตรการรักษาความปลอดภัยของ Jibe) ให้ระดับการรักษาความปลอดภัยที่เหมาะสมกับความเสี่ยงต่อข้อมูลส่วนตัวของบริษัท
7.4 การรับรองความปลอดภัย Jibe จะรักษาการรับรองมาตรฐาน ISO 27001 ไว้เพื่อประเมินและช่วยรักษาประสิทธิภาพของมาตรการรักษาความปลอดภัยอย่างต่อเนื่อง
7.5 การตรวจสอบและการประเมินการปฏิบัติตามข้อกำหนด
7.5.1 การตรวจสอบเอกสารประกอบการรักษาความปลอดภัย Jibe จะแสดงเอกสารประกอบการรักษาความปลอดภัยให้ลูกค้าตรวจสอบ เพื่อแสดงถึงการปฏิบัติตามข้อกำหนดของ Jibe ตามภาระหน้าที่ภายใต้เอกสารแนบท้ายการประมวลผลข้อมูลฉบับนี้
7.5.2 สิทธิ์ในการตรวจสอบของบริษัท
(ก) Jibe จะอนุญาตให้บริษัทหรือผู้ตรวจสอบบุคคลที่สามที่บริษัทแต่งตั้งดำเนินการตรวจสอบ (รวมถึงการตรวจสอบ) เพื่อยืนยันว่า Jibe ปฏิบัติตามภาระหน้าที่ภายใต้ภาคผนวกการประมวลผลข้อมูลฉบับนี้ตามมาตรา 7.5.3 (ข้อกำหนดทางธุรกิจเพิ่มเติมสำหรับการตรวจสอบ) โดย Jibe จะมีส่วนร่วมในการตรวจสอบดังกล่าวตามที่อธิบายไว้ในมาตรา 7.4 (การรับรองด้านความปลอดภัย) และมาตรา 7.5 (การตรวจสอบและการปฏิบัติตามข้อกำหนด) นี้
(ข) หากข้อกำหนดในสัญญามาตรฐานมีผลบังคับใช้ภายใต้ส่วนที่ 10.2 (การโอนข้อมูล) Jibe จะอนุญาตให้บริษัทหรือผู้ตรวจสอบบุคคลที่สามที่บริษัทแต่งตั้งดำเนินการตรวจสอบตามที่อธิบายไว้ในข้อกำหนดในสัญญามาตรฐานตามส่วนที่ 7.5.3 (ข้อกำหนดทางธุรกิจเพิ่มเติมสำหรับการตรวจสอบ)
(ค) ดำเนินการตรวจสอบเพื่อยืนยันการปฏิบัติตามภาระหน้าที่ของ Jibe ภายใต้ภาคผนวกเกี่ยวกับการประมวลผลข้อมูลฉบับนี้ด้วยการตรวจสอบใบรับรองที่ออกเพื่อขอรับการรับรอง ISO 27001 (ซึ่งจะตรงกับผลการตรวจสอบที่ดำเนินการโดยผู้ตรวจสอบบุคคลที่สาม)
7.5.3 ข้อกำหนดทางธุรกิจเพิ่มเติมสำหรับการตรวจสอบ
(ก) บริษัทจะส่งคำขอรับการตรวจสอบภายใต้มาตราที่ 7.5.2(ก) หรือ 7.5.2(ข) ไปยัง Jibe ตามที่อธิบายไว้ในส่วนที่ 12.1 (การติดต่อ Jibe)
(ข) หลังจากที่ Jibe ได้รับคำขอภายใต้มาตราที่ 7.5.3(ก) แล้ว Jibe และบริษัทจะปรึกษาหารือและตกลงกันล่วงหน้าเรื่องวันที่เริ่มต้น ขอบเขต และระยะเวลาที่เหมาะสม ตลอดจนเรื่องการควบคุมความปลอดภัยและการรักษาข้อมูลที่เป็นความลับซึ่งเกี่ยวข้องกับการตรวจสอบภายใต้มาตราที่ 7.5.2(ก) หรือ 7.5.2(ข)
(ค) Jibe อาจเรียกเก็บค่าธรรมเนียม (ตามราคาที่สมเหตุสมผลของ Jibe) สำหรับการประเมินภายใต้มาตราที่ 7.5.2(ก) หรือ 7.5.2(ข) โดย Jibe จะแจ้งรายละเอียดเพิ่มเติมเกี่ยวกับค่าธรรมเนียมที่เกี่ยวข้องและวิธีในการคำนวณให้บริษัททราบก่อนการประเมิน บริษัทต้องรับผิดชอบค่าธรรมเนียมใดๆ ที่ผู้ตรวจสอบบุคคลที่สามที่บริษัทแต่งตั้งให้ดําเนินการตรวจสอบเรียกเก็บ
(ง) Jibe อาจคัดค้านผู้ตรวจสอบบุคคลที่สามที่บริษัทแต่งตั้งให้ดำเนินการตรวจสอบภายใต้มาตราที่ 7.5.2(ก) หรือ 7.5.2(ข) หาก Jibe พิจารณาอย่างสมเหตุสมผลแล้วพบว่าผู้ตรวจสอบไม่มีคุณสมบัติเหมาะสมหรือไม่ได้เป็นหน่วยงานเป็นอิสระ เป็นคู่แข่งของ Jibe หรือแสดงให้เห็นอย่างชัดเจนว่าไม่เหมาะสม หาก Jibe ยื่นข้อคัดค้านดังกล่าว บริษัทจะต้องแต่งตั้งผู้ตรวจสอบรายใหม่หรือทำการตรวจสอบด้วยตนเอง
(จ) ไม่มีส่วนใดในภาคผนวกเกี่ยวกับการจัดเก็บข้อมูลฉบับนี้ที่กำหนดให้ Jibe ต้องเปิดเผยต่อบริษัทหรือผู้ตรวจสอบบุคคลที่สาม หรืออนุญาตให้บริษัทหรือผู้ตรวจสอบบุคคลที่สามเข้าถึงข้อมูลต่อไปนี้
(i) ข้อมูลของลูกค้ารายอื่นๆ ของนิติบุคคล Jibe
(ii) ข้อมูลการทําบัญชีหรือข้อมูลทางการเงินภายในของนิติบุคคล Jibe
(iii) ความลับทางการค้าของนิติบุคคล Jibe
(iv) ข้อมูลใดๆ ที่ Jibe พิจารณาอย่างสมเหตุสมผลว่าอาจ (ก) กระทบต่อความปลอดภัยของระบบหรือสถานที่ตั้งของนิติบุคคล Jibe หรือ (ข) ทําให้นิติบุคคล Jibe ละเมิดภาระหน้าที่ภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป หรือภาระหน้าที่ด้านความปลอดภัยและ/หรือความเป็นส่วนตัวต่อบริษัทหรือบุคคลที่สาม หรือ
(v) ข้อมูลใดๆ ที่บริษัทหรือผู้ตรวจสอบบุคคลที่สามต้องการเข้าถึงด้วยเหตุผลอื่นใดนอกเหนือจากการปฏิบัติตามภาระหน้าที่โดยมีเจตนาดีของบริษัทภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป
7.5.4 การไม่แก้ไขข้อสัญญามาตรฐาน หากใช้ข้อบังคับสัญญามาตรฐานภายใต้ส่วนที่ 10.2 (การโอนข้อมูล) จะไม่มีเนื้อหาใดในส่วนที่ 7.5 (การตรวจสอบและการสํารวจการปฏิบัติตามข้อกําหนด) ที่จะเปลี่ยนแปลงหรือแก้ไขสิทธิหรือภาระหน้าที่ของบริษัทหรือ Jibe ภายใต้ข้อบังคับสัญญามาตรฐาน
8. การประเมินและการให้คำปรึกษาเกี่ยวกับผลกระทบ
บริษัทตกลงว่า Jibe จะช่วยบริษัทในการรักษาการปฏิบัติตามภาระหน้าที่ของบริษัทเกี่ยวกับการประเมินผลกระทบด้านการคุ้มครองข้อมูลและการปรึกษาหารือล่วงหน้า (โดยพิจารณาถึงลักษณะของการประมวลผลข้อมูลและข้อมูลที่ Jibe มีอยู่) รวมถึงภาระหน้าที่ของบริษัทภายใต้มาตราที่ 35 และ 36 ของ GDPR (หากมี) โดยดำเนินการดังนี้
(ก) มอบเอกสารประกอบการรักษาความปลอดภัยตามมาตราที่ 7.5.1 (การตรวจสอบเอกสารประกอบการรักษาความปลอดภัย)
(ข) การให้ข้อมูลที่มีอยู่ในเอกสารแนบท้ายการประมวลผลข้อมูลนี้ และ
(ค) จัดหาหรือให้บริการเนื้อหาอื่นๆ ที่เกี่ยวข้องกับลักษณะของบริการผู้ประมวลผลข้อมูลและการประมวลผลข้อมูลส่วนตัวของบริษัท (เช่น เอกสารในศูนย์ช่วยเหลือ) ตามแนวทางปฏิบัติมาตรฐานของ Jibe
9. สิทธิของเจ้าของข้อมูล
9.1 การตอบสนองต่อคำขอของเจ้าของข้อมูล หาก Jibe ได้รับคำขอจากเจ้าของข้อมูลเกี่ยวกับข้อมูลส่วนตัวของบริษัท Jibe จะทำดังนี้
(ก) หากคำขอส่งผ่านเครื่องมือสำหรับเจ้าของข้อมูล ให้ตอบกลับคำขอของเจ้าของข้อมูลโดยตรงตามฟังก์ชันมาตรฐานของเครื่องมือสำหรับเจ้าของข้อมูลนั้น หรือ
(ข) หากคำขอไม่ได้ส่งผ่านเครื่องมือสำหรับเจ้าของข้อมูล แนะนำให้เจ้าของข้อมูลส่งคำขอไปยังบริษัท และบริษัทจะเป็นผู้รับผิดชอบในการตอบกลับคำขอดังกล่าว
9.2 ความช่วยเหลือของ Jibe เกี่ยวกับคำขอของเจ้าของข้อมูล บริษัทตกลงว่า Jibe จะช่วยเหลือบริษัทในการปฏิบัติตามภาระหน้าที่ของบริษัทในการตอบสนองต่อคำขอจากเจ้าของข้อมูล (โดยพิจารณาถึงลักษณะของการประมวลผลข้อมูลส่วนตัวของบริษัทและมาตรา 11 ของ GDPR หากมี) รวมถึง (หากมี) ภาระหน้าที่ของบริษัทในการตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลในบทที่ 3 ของ GDPR โดยดำเนินการดังนี้
(ก) ให้บริการฟังก์ชันของบริการผู้ประมวลผลข้อมูล
(ข) ปฏิบัติตามความมุ่งมั่นในส่วนที่ 9.1 (การตอบสนองต่อคำขอของเจ้าของข้อมูล) และ
(ค) ให้บริการเครื่องมือสำหรับเจ้าของข้อมูล หากมีในบริการของผู้ประมวลผลข้อมูล
10. การโอนข้อมูล
10.1 สถานประกอบการสำหรับการจัดเก็บและการประมวลผลข้อมูล บริษัทตกลงว่า Jibe อาจจัดเก็บและประมวลผลข้อมูลส่วนตัวของบริษัทในประเทศใดก็ได้ที่ Jibe หรือผู้ประมวลผลข้อมูลย่อยของ Jibe มีสถานประกอบการตั้งอยู่ โดยขึ้นอยู่กับส่วนที่ 10.2 (การโอนข้อมูล)
10.2 การโอนข้อมูล
หากการเก็บรักษาและ/หรือการประมวลผลข้อมูลส่วนตัวของบริษัทเกี่ยวข้องกับการโอนข้อมูลส่วนตัวของบริษัทจาก EEA, สวิตเซอร์แลนด์ หรือสหราชอาณาจักรไปยังประเทศที่สามที่ไม่อยู่ภายใต้การตัดสินด้านมาตรฐานการคุ้มครองที่เพียงพอภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป
(ก) บริษัท (ในฐานะผู้ส่งออกข้อมูล) จะถือว่าได้เข้าทำข้อกําหนดในสัญญามาตรฐานกับ Jibe (ในฐานะผู้นําเข้าข้อมูล)
(ข) การโอนจะอยู่ภายใต้ข้อสัญญามาตรฐาน และ
(ค) การอ้างอิงถึง Google LLC และลูกค้าในประโยคสัญญามาตรฐานจะหมายถึง Jibe และบริษัทตามลำดับ
10.3 ข้อมูลศูนย์ข้อมูล ดูข้อมูลเกี่ยวกับสถานที่ตั้งของศูนย์ข้อมูลของ Google ได้ที่ www.google.com/about/datacenters/locations/index.html
11. ผู้ประมวลผลข้อมูลย่อย
11.1 ความยินยอมต่อการมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อย บริษัทให้สิทธิ์โดยเฉพาะในการมีส่วนร่วมของบุคคลที่บริษัทในเครือของ Jibe ในฐานะผู้ประมวลผลข้อมูลย่อย ("ผู้ประมวลผลข้อมูลย่อยของบุคคลที่บริษัทในเครือของ Jibe") นอกจากนี้ บริษัทยังให้สิทธิ์โดยทั่วไปในการมีส่วนร่วมของบุคคลที่สามรายอื่นๆ ในฐานะผู้ประมวลผลข้อมูลย่อย ("ผู้ประมวลผลข้อมูลย่อยบุคคลที่สาม") หากใช้ประโยคสัญญามาตรฐานภายใต้มาตรา 10.2 (การโอนข้อมูล) การให้สิทธิ์ข้างต้นถือเป็นความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าของบริษัทในการว่าจ้าง Jibe ให้ประมวลผลข้อมูลส่วนบุคคลของบริษัท
11.2 ข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลย่อย เมื่อได้รับคำขอเป็นลายลักษณ์อักษรจากบริษัทแล้ว Jibe จะระบุข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลรายย่อยและสถานที่ตั้งของผู้ประมวลผลข้อมูลรายย่อย คุณต้องส่งคำขอดังกล่าวไปยัง Jibe โดยใช้รายละเอียดการติดต่อที่ระบุไว้ในส่วนที่ 12.1 (การติดต่อ Jibe)
11.3 ข้อกำหนดสำหรับการมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อย เมื่อว่าจ้างผู้ประมวลผลข้อมูลย่อยรายใดก็ตาม Jibe จะดำเนินการดังนี้
(ก) ระบุในสัญญาเพื่อให้มั่นใจว่า
(1) ผู้ประมวลผลข้อมูลจะเข้าถึงและใช้ข้อมูลส่วนตัวของบริษัทเฉพาะในกรณีที่จําเป็นต่อการปฏิบัติตามภาระหน้าที่รับการเหมาช่วง และเป็นไปตามข้อตกลง (รวมถึงเอกสารแนบท้ายเกี่ยวกับการประมวลผลข้อมูลฉบับนี้) และหากมีผลบังคับใช้ภายใต้ส่วนที่ 10.2 (การโอนข้อมูล) จะเป็นตามข้อกําหนดในสัญญามาตรฐาน และ
(2) หาก GDPR มีผลบังคับใช้กับการประมวลผลข้อมูลส่วนตัวของบริษัท ภาระหน้าที่ในการคุ้มครองข้อมูลในมาตราที่ 28(3) ของ GDPR จะตกเป็นของผู้ประมวลผลข้อมูลย่อย และ
(ข) ยังคงเป็นผู้รับผิดโดยสมบูรณ์สำหรับภาระหน้าที่ทั้งหมดที่ทำการเหมาช่วง ตลอดจนการกระทำและการละเลยการกระทำทั้งหมดของผู้ประมวลผลข้อมูลย่อย
11.4 โอกาสในการคัดค้านการเปลี่ยนแปลงผู้ประมวลผลข้อมูลย่อย
(ก) เมื่อมีผู้ประมวลผลข้อมูลย่อยบุคคลที่สามรายใหม่เข้ามามีส่วนร่วมในช่วงวาระนี้ Jibe จะแจ้งให้บริษัททราบเกี่ยวกับการมีส่วนร่วมดังกล่าว (รวมถึงชื่อและสถานที่ตั้งของผู้ประมวลผลข้อมูลย่อยที่เกี่ยวข้องและกิจกรรมที่ผู้ประมวลผลข้อมูลย่อยจะดำเนิน) โดยส่งอีเมลไปที่อีเมลสำหรับการแจ้งเตือนอย่างน้อย 30 วันก่อนที่ผู้ประมวลผลข้อมูลย่อยบุคคลที่สามรายใหม่จะเริ่มประมวลผลข้อมูลส่วนบุคคลของบริษัท
(ข) บริษัทอาจคัดค้านผู้ประมวลผลข้อมูลย่อยบุคคลที่สามรายใหม่โดยการสิ้นสุดข้อตกลงทันทีเมื่อแจ้งให้ Jibe ทราบเป็นลายลักษณ์อักษร โดยเงื่อนไขคือบริษัทต้องแจ้งให้ทราบภายใน 90 วันหลังจากที่ได้รับแจ้งเกี่ยวกับการว่าจ้างผู้ประมวลผลข้อมูลย่อยบุคคลที่สามรายใหม่ตามที่อธิบายไว้ในส่วนที่ 11.4(ก) สิทธิ์ในการสิ้นสุดนี้ถือเป็นการชดเชยเฉพาะเพียงวิธีเดียวของบริษัท หากบริษัทคัดค้านผู้ประมวลผลข้อมูลบุคคลที่สามรายใหม่
12. การติดต่อ Jibe; การประมวลผลระเบียน
12.1 การติดต่อ Jibe บริษัทสามารถติดต่อ Jibe เกี่ยวกับภาคผนวกการประมวลผลข้อมูลนี้ผ่านผู้ติดต่อด้านคุ้มครองข้อมูล RCS ของ Jibe ซึ่งติดต่อได้ทาง http://issuetracker.google.com หรือผ่านวิธีอื่นๆ ที่ Jibe มีให้เป็นครั้งคราว
12.2 บันทึกการประมวลผลข้อมูลของ Jibe บริษัทรับทราบว่า GDPR กําหนดให้ Jibe (ก) รวบรวมและเก็บรักษาบันทึกข้อมูลบางอย่าง ซึ่งรวมถึงชื่อและรายละเอียดการติดต่อของผู้ประมวลผลข้อมูลและ/หรือผู้ควบคุมข้อมูลแต่ละรายที่ Jibe ดําเนินการในนาม และ (หากมี) ของตัวแทนในท้องถิ่นและเจ้าหน้าที่คุ้มครองข้อมูลของผู้ประมวลผลข้อมูลหรือผู้ควบคุมข้อมูลดังกล่าว และ (ข) เปิดเผยข้อมูลดังกล่าวต่อหน่วยงานกํากับดูแล ดังนั้น บริษัทจะให้ข้อมูลดังกล่าวแก่ Jibe ผ่านอินเทอร์เฟซผู้ใช้ของบริการผู้ประมวลผลหรือผ่านวิธีการอื่นๆ ที่ Jibe อาจระบุไว้ หากมีการร้องขอและเกี่ยวข้อง บริษัทจะใช้อินเทอร์เฟซผู้ใช้หรือวิธีการอื่นๆ ดังกล่าวเพื่อให้มั่นใจว่าข้อมูลทั้งหมดที่ให้มานั้นถูกต้องและเป็นปัจจุบัน
13. ความรับผิด
13.1 การจำกัดความรับผิด ไม่ว่าข้อตกลงนี้จะระบุไว้อย่างอื่นใดก็ตาม ความรับผิดทั้งหมดของคู่สัญญาฝ่ายใดฝ่ายหนึ่งต่ออีกฝ่ายภายใต้หรือเกี่ยวข้องกับภาคผนวกการประมวลผลข้อมูลนี้จะจำกัดอยู่ที่จำนวนเงินสูงสุดหรือจำนวนเงินตามการชําระเงินที่ความรับผิดของคู่สัญญาฝ่ายนั้นถูกจํากัดไว้ภายใต้ข้อตกลง (ดังนั้น การยกเว้นการกล่าวอ้างเรื่องความลับหรือการชดเชยจากการจํากัดความรับผิดของข้อตกลงจะไม่มีผลกับการกล่าวอ้างภายใต้ข้อตกลงที่เกี่ยวข้องกับนิติบัญญัติการคุ้มครองข้อมูลของยุโรปหรือนิติบัญญัติการคุ้มครองข้อมูลนอกยุโรป) ไม่มีส่วนใดในส่วนที่ 13 นี้ (ความรับผิด) ที่จะยกเว้นหรือจำกัดความรับผิดของคู่สัญญาฝ่ายหนึ่งฝ่ายใดต่อ (ก) การเสียชีวิตหรือการบาดเจ็บของบุคคลที่เกิดจากความประมาทของคู่สัญญาฝ่ายหนึ่งฝ่ายใดหรือความประมาทของพนักงานหรือตัวแทนของคู่สัญญาฝ่ายหนึ่งฝ่ายใด (ข) การประพฤติมิชอบหรือการสื่อให้เข้าใจผิดที่เป็นการฉ้อโกง หรือ (ค) สิ่งที่ไม่สามารถยกเว้นหรือจำกัดความรับผิดได้ภายใต้กฎหมายที่เกี่ยวข้อง
13.2 ความรับผิดในกรณีที่ข้อสัญญามาตรฐานมีผลบังคับใช้ หากข้อบังคับมาตรฐานในสัญญามีผลบังคับใช้ภายใต้ส่วนที่ 10.2 (การโอนข้อมูล) ความรับผิดทั้งหมดรวมกันของคู่สัญญาแต่ละฝ่ายและบริษัทในเครือต่ออีกฝ่ายและบริษัทในเครือภายใต้หรือเกี่ยวข้องกับข้อตกลงและข้อบังคับมาตรฐานในสัญญารวมกันจะอยู่ภายใต้ส่วนที่ 13.1 (เพดานความรับผิด)
14. ผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม
หากบริษัทในเครือของคู่สัญญาเป็นคู่สัญญาในข้อสัญญามาตรฐานที่มีผลบังคับใช้ภายใต้ส่วนที่ 10.2 (การโอนข้อมูล) บริษัทในเครือรายดังกล่าวจะเป็นผู้รับประโยชน์ที่เป็นบุคคลที่สามของส่วนที่ 6.2 (การลบข้อมูลเมื่อสิ้นสุดระยะเวลา) 7.5 (การตรวจสอบและการสอบทานการปฏิบัติตามข้อกำหนด) 9.1 (การตอบสนองต่อคำขอของเจ้าของข้อมูล) 10.2 (การโอนข้อมูล) 11.1 (ความยินยอมในการว่าจ้างผู้ประมวลผลข้อมูลย่อย) และ 13.2 (ความรับผิดในกรณีที่ข้อสัญญามาตรฐานมีผลบังคับใช้) ในกรณีที่ส่วนที่ 14 (ผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม) นี้ขัดแย้งหรือไม่สอดคล้องกับข้อย่อยอื่นๆ ในข้อตกลง ส่วนที่ 14 (ผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม) นี้จะมีผลบังคับใช้
15. ผลของเอกสารแนบท้ายการประมวลผลข้อมูลนี้
หากมีข้อขัดแย้งหรือความไม่สอดคล้องกันระหว่างประโยคสัญญามาตรฐาน ข้อกำหนดเพิ่มเติมสำหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป ภาคผนวกการประมวลผลข้อมูลนี้ และส่วนที่เหลือของข้อตกลง ระบบจะใช้ลําดับความสำคัญต่อไปนี้
(ก) ข้อสัญญามาตรฐาน
(ข) ข้อกําหนดเพิ่มเติมสําหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป
(ค) ข้อกำหนดการประมวลผลข้อมูลที่เหลือเหล่านี้ และ
(ง) ส่วนที่เหลือของข้อตกลง
หากมีการแปลข้อตกลงนี้ (รวมถึงภาคผนวก) เป็นภาษาอื่น และข้อความที่แปลขัดแย้งหรือไม่สอดคล้องกับข้อความภาษาอังกฤษ ข้อความภาษาอังกฤษจะมีผลบังคับใช้
ข้อตกลงจะยังคงมีผลบังคับอย่างสมบูรณ์ภายใต้การแก้ไขเพิ่มเติมเกี่ยวกับการประมวลผลข้อมูลนี้
16. การเปลี่ยนแปลงเอกสารแนบท้ายการประมวลผลข้อมูลนี้
16.1 การเปลี่ยนแปลง URL Jibe อาจเปลี่ยนแปลง URL ที่อ้างอิงอยู่ในภาคผนวกการประมวลผลข้อมูลนี้และเนื้อหาใน URL ดังกล่าวเป็นครั้งคราว ยกเว้นว่า Jibe จะเปลี่ยนแปลงข้อสัญญามาตรฐานได้เฉพาะตามส่วนที่ 16.2(ข) - 16.2(ง) (การเปลี่ยนแปลงข้อกำหนดการประมวลผลข้อมูล) หรือเพื่อรวมข้อสัญญามาตรฐานเวอร์ชันใหม่ซึ่งอาจนำมาใช้ภายใต้นิติบัญญัติการคุ้มครองข้อมูลของยุโรป โดยในแต่ละกรณีจะต้องไม่ส่งผลต่อความถูกต้องของข้อสัญญามาตรฐานภายใต้นิติบัญญัติการคุ้มครองข้อมูลของยุโรป
16.2 การเปลี่ยนแปลงข้อกำหนดการประมวลผลข้อมูล Jibe สามารถเปลี่ยนแปลงภาคผนวกการประมวลผลข้อมูลนี้ได้หากการเปลี่ยนแปลงนั้น
(ก) ได้รับอนุญาตอย่างชัดเจนจากเอกสารแนบท้ายการประมวลผลข้อมูลนี้ รวมถึงตามที่อธิบายไว้ในส่วนที่ 16.1 (การเปลี่ยนแปลง URL)
(ข) เป็นการเปลี่ยนชื่อหรือรูปแบบของนิติบุคคล
(ค) เป็นสิ่งที่จำเป็นเพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้อง กฎระเบียบที่เกี่ยวข้อง คำสั่งศาล หรือคำแนะนำที่มาจากหน่วยงานกำกับดูแลหรือหน่วยงานภาครัฐ หรือ
(ง) ไม่ (1) ทำให้ความปลอดภัยโดยรวมของบริการผู้ประมวลผลข้อมูลลดลง (2) ขยายขอบเขตหรือยกเลิกข้อจำกัดใดๆ ในเรื่อง (x) ในกรณีที่เป็นข้อกำหนดเพิ่มเติมสำหรับนิติบัญญัติด้านการคุ้มครองข้อมูลที่ไม่ใช่ของยุโรป สิทธิของ Jibe ในการใช้หรือประมวลผลข้อมูลในขอบเขตของข้อกำหนดเพิ่มเติมสำหรับนิติบัญญัติด้านการคุ้มครองข้อมูลที่ไม่ใช่ของยุโรป หรือ (y) ในกรณีที่เป็นข้อกำหนดการประมวลผลข้อมูลที่เหลือ การประมวลผลข้อมูลส่วนตัวของบริษัทโดย Jibe ตามที่อธิบายไว้ในส่วนที่ 5.3 (การปฏิบัติตามคำสั่งของ Jibe) และ (3) ไม่ส่งผลกระทบในทางที่ไม่ดีต่อสิทธิของบริษัทภายใต้เอกสารแนบท้ายการประมวลผลข้อมูลนี้ตามที่ Jibe พิจารณาอย่างสมเหตุสมผล
16.3 การแจ้งเตือนการเปลี่ยนแปลง หาก Jibe ต้องการแก้ไขภาคผนวกการประมวลผลข้อมูลนี้ภายใต้ส่วนที่ 16.2(ค) หรือ (ง) Jibe จะแจ้งให้บริษัททราบล่วงหน้าอย่างน้อย 30 วัน (หรือระยะเวลาที่สั้นกว่านั้นตามที่อาจจําเป็นเพื่อปฏิบัติตามกฎหมาย กฎระเบียบ คำสั่งศาล หรือคําแนะนําที่บังคับใช้ ออกโดยหน่วยงานกํากับดูแลของรัฐ) ก่อนที่การเปลี่ยนแปลงจะมีผล โดยส่งอีเมลไปยังอีเมลแจ้งเตือน หรือแจ้งเตือนบริษัทผ่านอินเทอร์เฟซผู้ใช้สําหรับบริการผู้ประมวลผลข้อมูล หากบริษัทคัดค้านการเปลี่ยนแปลงดังกล่าว บริษัทอาจสิ้นสุดข้อตกลงโดยการแจ้งให้ Jibe ทราบเป็นลายลักษณ์อักษรภายใน 90 วันหลังจากที่ Jibe แจ้งให้ทราบถึงการเปลี่ยนแปลง
ภาคผนวก 1: เรื่องและรายละเอียดของการประมวลผลข้อมูล
เรื่อง
การให้บริการของผู้ประมวลผลข้อมูลของ Jibe และการสนับสนุนด้านเทคนิคใดๆ ที่เกี่ยวข้องแก่บริษัท
ระยะเวลาการประมวลผลข้อมูล
ข้อกำหนดบวกระยะเวลาตั้งแต่ที่สิ้นสุดข้อกำหนดจนถึงระยะเวลาที่ Jibe ลบข้อมูลส่วนตัวทั้งหมดของบริษัทตามภาคผนวกการประมวลผลข้อมูลนี้
ลักษณะและวัตถุประสงค์ของการประมวลผลข้อมูล
Jibe จะประมวลผลข้อมูลส่วนตัวของบริษัทเพื่อวัตถุประสงค์ในการให้บริการของผู้ประมวลผลข้อมูลและการสนับสนุนทางเทคนิคที่เกี่ยวข้องแก่บริษัทตามเอกสารแนบท้ายเกี่ยวกับการประมวลผลข้อมูลฉบับนี้ (รวมถึงการเก็บรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การเปลี่ยนแปลง การเรียกข้อมูล การใช้ การเปิดเผย การรวม การลบ และทำลายข้อมูลส่วนตัวของบริษัท) ตามที่สอดคล้องกับบริการของผู้ประมวลผลข้อมูลและวิธีการที่อธิบายไว้ในส่วนที่ 5.2 (วิธีการของบริษัท)
ประเภทของข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับบุคคลแต่ละบุคคลที่มอบไว้ให้กับ Jibe ผ่านทางบริการประมวลผล โดย (หรือที่มาจาก) บริษัทหรือโดยผู้ใช้ปลายทางของบริษัท
หมวดหมู่ของเจ้าของข้อมูล
เจ้าของข้อมูล ได้แก่ บุคคลที่อยู่ในข้อมูลที่มอบไว้ให้กับ Jibe ผ่านทางบริการประมวลผลโดย (หรือที่มาจาก) บริษัทหรือโดยผู้ใช้ปลายทางของบริษัท
ภาคผนวก 2: มาตรการรักษาความปลอดภัย
นับตั้งแต่วันที่ข้อกำหนดมีผล Jibe จะปรับใช้และรักษามาตรการการรักษาความปลอดภัยในภาคผนวก 2 นี้ Jibe สามารถปรับปรุงหรือแก้ไขมาตรการรักษาความปลอดภัยดังกล่าวเป็นครั้งคราว โดยมีเงื่อนไขว่าการปรับปรุงและการแก้ไขดังกล่าวจะต้องไม่ส่งผลให้ความปลอดภัยโดยรวมของบริการผู้ประมวลผลข้อมูลลดลง
1. การรักษาความปลอดภัยของศูนย์ข้อมูลและเครือข่าย
(ก) ศูนย์ข้อมูล
โครงสร้างพื้นฐาน Jibe มีศูนย์ข้อมูลที่กระจายอยู่ตามพื้นที่ทางภูมิศาสตร์ โดย Jibe จะเก็บข้อมูลเวอร์ชันที่ใช้งานจริงทั้งหมดในศูนย์ข้อมูลที่มีความปลอดภัยทางกายภาพ
ข้อมูลซ้ำ โครงสร้างพื้นฐานได้รับการออกแบบให้กำจัดจุดความล้มเหลวแต่ละจุด และลดความเสี่ยงทางสภาพแวดล้อมที่คาดว่าจะเกิดขึ้นให้เหลือน้อยที่สุด วงจรคู่ สวิตช์ เครือข่าย หรืออุปกรณ์อื่นๆ ที่จำเป็นช่วยให้มีการสำรองการทำงานแบบซ้อน บริการผู้ประมวลผลได้รับการออกแบบมาเพื่อให้ Jibe สามารถดำเนินการบำรุงรักษาเชิงป้องกันและเชิงแก้ไขได้โดยปราศจากความขัดข้อง เครื่องมือและสิ่งอำนวยความสะดวกในสภาพแวดล้อมทั้งหมดมีขั้นตอนการบำรุงรักษาเชิงป้องกันและเชิงแก้ไขที่มีเอกสารประกอบซึ่งอธิบายรายละเอียดและกระบวนการและความถี่ในการดำเนินการ โดยเป็นไปตามข้อกำหนดของผู้ผลิตหรือของภายใน มีการจัดตารางการบำรุงรักษาเชิงป้องกันและเชิงแก้ไขสำหรับอุปกรณ์ของศูนย์ข้อมูลให้อยู่ในกระบวนการมาตรฐานตามขั้นตอนที่อยู่ในเอกสารประกอบ
กำลังไฟฟ้า ระบบพลังงานไฟฟ้าของศูนย์ข้อมูลได้รับการออกแบบมาให้มีการสำรองการทำงานแบบซ้อนและสามารถบำรุงรักษาได้โดยไม่มีผลกระทบต่อการทำงานอย่างต่อเนื่องตลอด 24 ชั่วโมงทุกวัน ในกรณีส่วนใหญ่แล้วจะมีการจัดสรรแหล่งพลังงานหลักและพลังงานสำรองที่มีกำลังไฟฟ้าเท่ากันให้กับองค์ประกอบที่เป็นโครงสร้างพื้นฐานของศูนย์ข้อมูล พลังงานสำรองจะได้รับการจัดสรรด้วยกลไกต่างๆ หลายรูปแบบ เช่น แบตเตอรี่แหล่งจ่ายไฟแบบต่อเนื่อง (UPS) ซึ่งจะช่วยให้การสำรองพลังงานที่เชื่อถือได้และมีความเสถียรในระหว่างช่วงไฟตก ไฟดับ แรงดันไฟฟ้าเกิน แรงดันไฟฟ้าต่ำ และเมื่ออยู่ในสภาพความถี่ที่อยู่นอกช่วงที่ยอมรับได้ หากพลังงานสาธารณูปโภคเกิดความขัดข้อง จะมีระบบพลังงานสำรองที่ออกแบบมาเพื่อจ่ายไฟชั่วคราวให้กับศูนย์ข้อมูลด้วยอัตราสูงสุด ซึ่งใช้งานได้นานที่สุดถึง 10 นาทีจนกว่าระบบเครื่องปั่นไฟดีเซลจะเข้ามาทำหน้าที่แทน เครื่องปั่นไฟดีเซลสามารถเริ่มทำงานได้โดยอัตโนมัติภายในระยะเวลาไม่กี่วินาทีเพื่อจ่ายพลังงานไฟฟ้าสำรองฉุกเฉินที่เพียงพอสำหรับการทำงานของศูนย์ข้อมูลในอัตราสูงสุดซึ่งใช้งานได้ทั้งวัน
ระบบปฏิบัติการของเซิร์ฟเวอร์ เซิร์ฟเวอร์ Jibe ใช้ระบบปฏิบัติการที่ปิดช่องโหว่ได้ดีซึ่งปรับแต่งมาเพื่อตอบสนองความต้องการเฉพาะของเซิร์ฟเวอร์ของธุรกิจ ข้อมูลได้รับการจัดเก็บด้วยอัลกอริทึมเฉพาะตัวเพื่อเสริมประสิทธิภาพการรักษาความปลอดภัยและการสำรองการทำงานแบบซ้อน Jibe ใช้กระบวนการตรวจสอบโค้ดเพื่อยกระดับความปลอดภัยของโค้ดที่ใช้ในการให้บริการประมวลผลข้อมูล และเสริมศักยภาพการรักษาความปลอดภัยในสภาพแวดล้อมการทำงานแบบการผลิต
ความต่อเนื่องทางธุรกิจ Jibe จะจำลองข้อมูลในระบบต่างๆ เพื่อช่วยป้องกันความเสียหายหรือการสูญหายโดยไม่ตั้งใจ Jibe มีการออกแบบ วางแผน และทดสอบแผนความต่อเนื่องทางธุรกิจ/โปรแกรมการกู้ข้อมูลคืนหลังจากภัยพิบัติอยู่เป็นประจำ
(ข) เครือข่ายและการถ่ายโอน
การรับส่งข้อมูล โดยปกติแล้วศูนย์ข้อมูลจะเชื่อมต่อกันด้วยลิงก์ส่วนตัวแบบความเร็วสูง เพื่อให้การโอนข้อมูลระหว่างศูนย์ข้อมูลแต่ละแห่งมีความปลอดภัยและรวดเร็ว ทั้งนี้เพื่อป้องกันไม่ให้ข้อมูลถูกเปิดอ่าน คัดลอก ดัดแปลง หรือถูกลบโดยไม่ได้รับอนุญาตในระหว่างการถ่ายโอนผ่านระบบอิเล็กทรอนิกส์หรือการรับส่งข้อมูล หรือระหว่างการบันทึกข้อมูลลงในสื่อการจัดเก็บข้อมูล Jibe จะส่งข้อมูลผ่านโปรโตคอลมาตรฐานสำหรับอินเทอร์เน็ต
ช่องทางการโจมตีจากภายนอก Jibe ใช้อุปกรณ์เครือข่ายและการตรวจจับการบุกรุกแบบหลายชั้นในการป้องกันช่องทางการโจมตีจากภายนอก Jibe จะพิจารณาถึงเวกเตอร์การโจมตีที่เป็นไปได้ และนำเทคโนโลยีที่ได้รับการออกแบบตามวัตถุประสงค์โดยเฉพาะมาใช้ในระบบการป้องกันภายนอก
การตรวจจับการบุกรุก การตรวจจับการบุกรุกมีวัตถุประสงค์ในการให้ข้อมูลเชิงลึกในกิจกรรมการโจมตีที่กำลังเกิดขึ้น และให้ข้อมูลที่เพียงพอสำหรับตอบสนองต่อเหตุการณ์ต่างๆ การตรวจจับการบุกรุกของ Jibe ประกอบไปด้วยปัจจัยเหล่านี้
ควบคุมขนาดและลักษณะของช่องทางการโจมตีของ Jibe อย่างรัดกุมด้วยมาตรการเชิงป้องกัน
ใช้ตัวควบคุมการตรวจจับแบบอัจฉริยะในจุดแรกเข้าของข้อมูล และ
ใช้เทคโนโลยีที่สามารถบรรเทาสถานการณ์อันตรายบางอย่างได้โดยอัตโนมัติ
การตอบสนองต่อเหตุการณ์ Jibe จะตรวจสอบช่องทางการสื่อสารต่างๆ เพื่อค้นหาเหตุการณ์ด้านความปลอดภัย และบุคลากรฝ่ายการรักษาความปลอดภัยของ Jibe จะดำเนินการตอบโต้ต่อเหตุการณ์ที่ทราบอย่างทันท่วงที
เทคโนโลยีการเข้ารหัส Jibe มีการเข้ารหัส HTTPS (หรือเรียกได้อีกอย่างว่าการเชื่อมต่อแบบ SSL หรือ TLS) ให้ใช้งาน โดยเซิร์ฟเวอร์ของ Jibe รองรับการแลกเปลี่ยนคีย์การเข้ารหัส Diffie Hellman แบบ Ephemeral Elliptic Curve ที่มีการลงชื่อด้วย RSA และ ECDSA เมธอด Forward Secrecy แบบสมบูรณ์ (PFS) เหล่านี้จะช่วยปกป้องการรับส่งข้อมูลและลดผลกระทบจากคีย์ที่ถูกขโมยหรือการเจาะระบบแบบวิทยาการเข้ารหัสลับให้น้อยที่สุด
2. การเข้าถึงและการควบคุมพื้นที่
(ก) การควบคุมพื้นที่
การดำเนินการด้านการรักษาความปลอดภัยของศูนย์ข้อมูลในพื้นที่ ศูนย์ข้อมูลของ Jibe มีการรักษาความปลอดภัยในพื้นที่สำหรับศูนย์ข้อมูลทางกายภาพตลอด 24 ชั่วโมง บุคลากรส่วนการรักษาความปลอดภัยในพื้นที่จะตรวจสอบกล้องโทรทัศน์วงจรปิด ("CCTV") และระบบสัญญาณเตือนภัยทั้งหมด บุคลากรส่วนการรักษาความปลอดภัยในพื้นที่จะทำการลาดตระเวนทั้งภายในและภายนอกศูนย์ข้อมูลเป็นประจำ
ขั้นตอนการเข้าถึงศูนย์ข้อมูล Jibe มีขั้นตอนการเข้าถึงอย่างเป็นทางการสำหรับการอนุญาตการเข้าถึงทางกายภาพในศูนย์ข้อมูล ศูนย์ข้อมูลจะอยู่ในสถานประกอบการที่ใช้การเข้าถึงด้วยคีย์การ์ดอิเล็กทรอนิกส์ พร้อมสัญญาณเตือนภัยที่เชื่อมต่อกับส่วนการรักษาความปลอดภัยในพื้นที่ ผู้เข้าใช้งานศูนย์ข้อมูลทุกคนจะต้องพิสูจน์ตัวตนและแสดงหลักฐานยืนยันตัวตนในส่วนการรักษาความปลอดภัยในพื้นที่ โดยจะมีเพียงพนักงานประจำ พนักงานสัญญาจ้าง และผู้เข้าชมเท่านั้นที่ได้รับอนุญาตให้เข้าไปยังศูนย์ข้อมูล และมีเพียงพนักงานประจำและพนักงานสัญญาจ้างที่ได้รับอนุญาตให้ส่งเรื่องขอการเข้าถึงผ่านคีย์การ์ดอิเล็กทรอนิกส์ในสถานประกอบการเหล่านี้ การส่งเรื่องขอการเข้าถึงผ่านคีย์การ์ดอิเล็กทรอนิกส์ในศูนย์ข้อมูลจะต้องดำเนินการล่วงหน้าและต้องทำเป็นลายลักษณ์อักษร และต้องได้รับอนุญาตจากผู้จัดการของผู้ทำเรื่องขอและผู้อำนวยการศูนย์ข้อมูล ผู้เข้าชมคนอื่นๆ ทั้งหมดที่ต้องการการเข้าถึงศูนย์ข้อมูลชั่วคราวต้อง (1) ขออนุมัติล่วงหน้าจากผู้จัดการศูนย์ข้อมูลสำหรับศูนย์ข้อมูลและพื้นที่ภายในที่ต้องการเข้าชม (2) ลงชื่อเข้าใช้ที่จุดรักษาความปลอดภัยในสถานที่ และ (3) อ้างอิงบันทึกการเข้าถึงศูนย์ข้อมูลที่อนุมัติซึ่งระบุบุคคลดังกล่าวว่าได้รับอนุมัติ
อุปกรณ์รักษาความปลอดภัยของศูนย์ข้อมูลในพื้นที่ ศูนย์ข้อมูลของ Jibe ใช้คีย์การ์ดอิเล็กทรอนิกส์และระบบควบคุมการเข้าถึงด้วยข้อมูลไบโอเมตริกที่ลิงก์กับสัญญาณเตือนภัยของระบบ ระบบควบคุมการเข้าถึงจะตรวจสอบและบันทึกคีย์การ์ดอิเล็กทรอนิกส์ของแต่ละบุคคล รวมถึงตรวจสอบและบันทึกข้อมูลเมื่อบุคคลเหล่านี้เข้า-ออกประตูในพื้นที่ ส่วนการรับส่งพัสดุ และพื้นที่สำคัญอื่นๆ ระบบควบคุมการเข้าถึงจะบันทึกกิจกรรมที่ไม่ได้รับอนุญาตและการพยายามเข้าถึงที่ไม่สำเร็จ และจะทำการตรวจสอบตามที่จำเป็น การเข้าถึงที่ได้รับอนุญาตในส่วนการดำเนินธุรกิจและในศูนย์ข้อมูลจะถูกจำกัดตามพื้นที่และหน้าที่รับผิดชอบในงานของแต่ละบุคคล ประตูหนีไฟในศูนย์ข้อมูลมีการติดตั้งสัญญาณเตือนภัย กล้องวงจรปิดจะสอดส่องทั้งภายในและภายนอกศูนย์ข้อมูล ตำแหน่งการติดตั้งกล้องวงจรปิดได้รับการออกแบบมาให้ครอบคลุมพื้นที่ทางยุทธศาสตร์ต่างๆ ซึ่งรวมไปถึงเขตกั้นพื้นที่ ประตูที่นำไปยังอาคารศูนย์ข้อมูล และส่วนการรับส่งพัสดุ บุคลากรส่วนการรักษาความปลอดภัยในพื้นที่จะมีหน้าที่ในการจัดการการตรวจสอบ การบันทึก และอุปกรณ์ควบคุมกล้องวงจรปิด อุปกรณ์เกี่ยวกับกล้องวงจรปิดมีการเชื่อมต่อด้วยสายเคเบิลที่มีความแน่นหนาทั่วทั้งศูนย์ข้อมูล กล้องจะทำการบันทึกภาพในพื้นที่ผ่านอุปกรณ์วิดีโอดิจิทัลตลอด 24 ชั่วโมง ระบบจะเก็บไฟล์บันทึกของกล้องวงจรปิดไว้อย่างน้อย 7 วันโดยขึ้นอยู่กับกิจกรรม
(ข) การควบคุมการเข้าถึง
บุคลากรส่วนการรักษาความปลอดภัยในโครงสร้างพื้นฐาน Jibe มีและใช้นโยบายการรักษาความปลอดภัยสำหรับบุคลากรอย่างต่อเนื่อง และกำหนดให้มีการฝึกอบรมด้านการรักษาความปลอดภัยซึ่งนับเป็นส่วนหนึ่งของแผนการฝึกอบรมบุคลากร บุคลากรด้านการรักษาความปลอดภัยโครงสร้างพื้นฐานของ Jibe มีหน้าที่รับผิดชอบในการตรวจสอบโครงสร้างพื้นฐานด้านการรักษาความปลอดภัยของ Jibe, การตรวจสอบบริการผู้ประมวลผลข้อมูล และการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยอย่างต่อเนื่อง
การควบคุมการเข้าถึงและการจัดการสิทธิ์ ผู้ดูแลระบบและผู้ใช้ของบริษัทจะต้องตรวจสอบสิทธิ์ของตนเองผ่านระบบการตรวจสอบสิทธิ์ส่วนกลางหรือผ่านระบบการลงชื่อเพียงครั้งเดียวจึงจะใช้บริการของผู้ให้บริการประมวลผลข้อมูลได้
กระบวนการและนโยบายการเข้าถึงข้อมูลภายใน - นโยบายการเข้าถึง กระบวนการและนโยบายการเข้าถึงข้อมูลภายในของ Jibe ได้รับการออกแบบมาเพื่อป้องกันไม่ให้บุคคลและ/หรือระบบที่ไม่ได้รับอนุญาตเข้าถึงระบบที่ใช้ในการประมวลผลข้อมูลส่วนตัว Jibe มุ่งมั่นที่จะออกแบบระบบให้เป็นไปตามวัตถุประสงค์ต่อไปนี้ (1) เปิดโอกาสให้เฉพาะบุคคลที่ได้รับอนุญาตเข้าถึงข้อมูลที่บุคคลเหล่านั้นได้รับอนุญาตให้เข้าถึงเท่านั้น และ (2) เพื่อให้มั่นใจว่าจะไม่มีการอ่าน คัดลอก ดัดแปลง หรือลบข้อมูลส่วนตัวโดยไม่ได้รับอนุญาตในระหว่างการประมวลผล ระหว่างการใช้งาน และระหว่างการบันทึกข้อมูล โดยระบบนี้ได้รับการออกแบบมาเพื่อตรวจจับการเข้าถึงที่ไม่เหมาะสม Jibe ใช้ระบบการจัดการการเข้าถึงแบบรวมศูนย์เพื่อควบคุมการเข้าถึงเซิร์ฟเวอร์เวอร์ชันที่ใช้งานจริงของบุคลากร และจะให้สิทธิ์การเข้าถึงเฉพาะบุคคลที่ได้รับอนุญาตในจำนวนจำกัดเท่านั้น LDAP, Kerberos และระบบที่เป็นกรรมสิทธิ์ซึ่งใช้ใบรับรอง SSH ได้รับการออกแบบมาเพื่อสร้างกลไกการเข้าถึงที่ปลอดภัยและยืดหยุ่นสำหรับ Jibe โดยกลไกเหล่านี้ได้รับการออกแบบให้มอบสิทธิ์การเข้าถึงที่ถูกต้องเท่านั้นในการโฮสต์เว็บไซต์ การบันทึก ข้อมูลต่างๆ และข้อมูลการกำหนดค่า Jibe กำหนดให้มีการใช้รหัสผู้ใช้ที่ไม่ซ้ำกัน รหัสผ่านที่รัดกุม การตรวจสอบสิทธิ์แบบ 2 ปัจจัย และรายการเข้าถึงที่มีการตรวจสอบอย่างละเอียดเพื่อลดโอกาสในการใช้บัญชีโดยไม่ได้รับอนุญาต การมอบสิทธิ์และการปรับเปลี่ยนสิทธิ์การเข้าถึงจะเป็นไปตามปัจจัยดังนี้ หน้าที่รับผิดชอบในงานของบุคลากรที่ได้รับอนุญาต เหตุจำเป็นด้านภาระหน้าที่ในการปฏิบัติงานที่ได้รับอนุญาต และหลักการ "เฉพาะข้อมูลที่จําเป็นต้องทราบ" นอกจากนี้การมอบสิทธิ์และการปรับเปลี่ยนสิทธิ์การเข้าถึงจะต้องเป็นไปตามนโยบายและการฝึกอบรมเกี่ยวกับการเข้าถึงข้อมูลภายในของ Jibe ขั้นตอนการอนุมัติจะได้รับการจัดการโดยเครื่องมือเวิร์กโฟลว์ที่จะทำการตรวจสอบบันทึกของทุกการเปลี่ยนแปลง การเข้าถึงระบบจะได้รับการบันทึกไว้เพื่อสร้างบันทึกการตรวจสอบความรับผิดชอบ ในส่วนที่มีการใช้รหัสผ่านในการตรวจสอบสิทธิ์ (เช่น การเข้าสู่ระบบเวิร์กสเตชัน) จะมีการใช้นโยบายรหัสผ่านที่อย่างน้อยที่สุดต้องเป็นไปตามหลักปฏิบัติของมาตรฐานอุตสาหกรรม โดยมาตรฐานเหล่านี้จะรวมไปถึงข้อจำกัดในการใช้รหัสผ่านซ้ำและระดับความปลอดภัยของรหัสผ่านที่เพียงพอ
3. ข้อมูล
(ก) การจัดเก็บ การแยกเก็บ และการรับรองข้อมูล
Jibe จะจัดเก็บข้อมูลในสภาพแวดล้อมแบบผู้ใช้หลายรายในเซิร์ฟเวอร์ที่ Jibe เป็นเจ้าของ ระบบจะจำลองข้อมูล ฐานข้อมูลบริการประมวลผล และสถาปัตยกรรมของระบบไฟล์ระหว่างศูนย์ข้อมูลที่กระจายอยู่หลายแห่ง Jibe จะแยกข้อมูลของลูกค้าแต่ละรายอย่างมีเหตุและผล ระบบการตรวจสอบสิทธิ์ส่วนกลางจะใช้กับบริการทั้งหมดของผู้ประมวลผลเพื่อเพิ่มความปลอดภัยของข้อมูลให้สอดคล้องกัน
(ข) ดิสก์ที่ไม่ใช้งานแล้วและหลักเกณฑ์การทำลายดิสก์
ดิสก์บางรายการที่มีข้อมูลอาจพบปัญหาด้านประสิทธิภาพ ข้อผิดพลาด หรือฮาร์ดแวร์ขัดข้องซึ่งทำให้ต้องเลิกใช้งาน ("ดิสก์ที่เลิกใช้งาน") ดิสก์ที่เลิกใช้งานทุกรายการจะต้องผ่านกระบวนการทำลายข้อมูลหลายขั้นตอน ("หลักเกณฑ์การทำลายข้อมูล") ก่อนที่จะออกจากสถานที่ตั้งของ Jibe เพื่อนำไปใช้ซ้ำหรือทำลาย ดิสก์ที่ไม่ใช้งานแล้วจะถูกล้างข้อมูลในหลายขั้นตอน และจะได้รับการตรวจสอบความสมบูรณ์ในการล้างข้อมูลโดยโปรแกรมตรวจสอบ 2 โปรแกรมแยกกัน ผลการลบข้อมูลจะได้รับการบันทึกไว้ในหมายเลขซีเรียลของดิสก์ที่ไม่ใช้งานแล้วเพื่อใช้ในการติดตาม ในขั้นตอนสุดท้าย ดิสก์ที่ไม่ใช้งานแล้วที่ผ่านการล้างข้อมูลจะถูกส่งออกจากคลังเพื่อนำไปช้ำหรือเพื่อนำไปทำลาย หากไม่สามารถล้างข้อมูลดิสก์ที่ไม่ใช้งานแล้วได้เนื่องจากข้อบกพร่องของฮาร์ดแวร์ ดิสก์จะถูกเก็บไว้อย่างปลอดภัยจนกว่าจะสามารถทำลายได้ สถานประกอบการแต่ละแห่งจะได้รับการประเมินเป็นประจำเพื่อตรวจสอบการปฏิบัติตามข้อกำหนดของหลักเกณฑ์การทำลายข้อมูล
4. ความปลอดภัยของบุคลากร
บุคลากรของ Jibe จะต้องปฏิบัติตนให้สอดคล้องกับแนวทางของบริษัทในเรื่องที่เกี่ยวข้องกับการรักษาความลับ จรรยาบรรณทางธุรกิจ การใช้งานที่เหมาะสม และมาตรฐานทางวิชาชีพ Jibe จะทำการตรวจสอบภูมิหลังอย่างสมเหตุสมผลภายในขอบเขตที่กฎหมายอนุญาตและเป็นไปตามกฎหมายแรงงานของท้องถิ่นและข้อบังคับทางกฎหมายที่มีผลบังคับใช้
บุคลากรจะต้องทำข้อตกลงในการรักษาข้อมูลที่เป็นความลับ และลงนามรับทราบและปฏิบัติตามนโยบายด้านการรักษาความลับและความเป็นส่วนตัวของ Jibe บุคลากรจะได้รับการฝึกอบรมด้านการรักษาความปลอดภัย บุคลากรที่ทำหน้าที่จัดการข้อมูลส่วนบุคคลของบริษัทจะต้องมีคุณสมบัติครบถ้วนตามข้อกำหนดเพิ่มเติมที่เหมาะสมตามบทบาทของตนเอง บุคลากรของ Jibe จะไม่ประมวลผลข้อมูลส่วนตัวของบริษัทโดยที่ไม่ได้รับอนุญาต
5. การรักษาความปลอดภัยของผู้ประมวลผลข้อมูลย่อย
ก่อนรับผู้ประมวลผลข้อมูลย่อยเข้ามาร่วมงาน Jibe จะทำการประเมินหลักปฏิบัติเกี่ยวกับนโยบายการรักษาความปลอดภัยและความเป็นส่วนตัวของผู้ประมวลผลข้อมูลย่อย เพื่อให้มั่นใจว่าการรักษาความปลอดภัยและหลักการความเป็นส่วนตัวของผู้ประมวลผลข้อมูลย่อยอยู่ในระดับที่เหมาะสมกับสิทธิ์การเข้าถึงข้อมูลและขอบเขตของบริการที่ผู้ประมวลผลข้อมูลย่อยจะเข้ามามีส่วนร่วม เมื่อ Jibe ประเมินความเสี่ยงที่นำเสนอโดยผู้ประมวลผลข้อมูลย่อยแล้ว ผู้ประมวลผลข้อมูลย่อยจะต้องทำข้อตกลงสัญญาด้านการรักษาความปลอดภัย การรักษาข้อมูลที่เป็นความลับ และความเป็นส่วนตัวที่เหมาะสม โดยขึ้นอยู่กับข้อกำหนดในส่วนที่ 11.3 (ข้อกำหนดสำหรับการว่าจ้างผู้ประมวลผลข้อมูลย่อย) เสมอ
ภาคผนวก 3: ข้อกําหนดเพิ่มเติมสําหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป
ข้อกําหนดเพิ่มเติมต่อไปนี้สําหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรปจะเสริมข้อกําหนดการประมวลผลข้อมูลเหล่านี้
- ภาคผนวกของ CCPA เกี่ยวกับผู้ให้บริการที่ privacy.google.com/businesses/gdprprocessorterms/ccpa (ลงวันที่ 27 สิงหาคม 2020)
- ภาคผนวกเกี่ยวกับผู้ประมวลผลข้อมูลตาม LGPD ที่ privacy.google.com/businesses/gdprprocessorrterms/lgpd (ลงวันที่ 27 สิงหาคม 2020)
ข้อกำหนดการประมวลผลข้อมูลของ Jibe ฉบับที่ 2.0
27 สิงหาคม 2020