แก้ไขล่าสุด: 2 พฤศจิกายน 2020
Jibe และบริษัทในเครือยอมรับภาคผนวกนี้ ("บริษัท") ได้ทําข้อตกลงสําหรับการให้บริการของผู้ประมวลผลข้อมูล ("การแก้ไข "ข้อตกลง") เป็นครั้งคราว
เอกสารแนบท้ายการประมวลผลข้อมูลฉบับนี้ (รวมถึงภาคผนวก "เอกสารแนบท้ายการประมวลผลข้อมูล") จัดทําขึ้นโดย Jibe และบริษัท และเป็นส่วนเสริมของข้อตกลง ภาคผนวกการประมวลผลข้อมูลฉบับนี้จะมีผลบังคับใช้และจะแทนที่ข้อกําหนดที่เกี่ยวข้องใดๆ ก่อนหน้านี้ที่เกี่ยวกับสาระสําคัญ (รวมถึงข้อกําหนดด้านการประมวลผลข้อมูลและด้านการรักษาความปลอดภัยที่เกี่ยวข้องกับบริการของผู้ประมวลผลข้อมูล) นับตั้งแต่วันที่มีผลของข้อกําหนด
หากคุณยอมรับภาคผนวกว่าด้วยการประมวลผลข้อมูลนี้ในนามของบริษัท คุณรับรองว่า (ก) คุณมีอํานาจตามกฎหมายโดยสมบูรณ์ในการผูกพันบริษัทกับเอกสารแนบท้ายการประมวลผลข้อมูลนี้ (ข) คุณอ่านและทําความเข้าใจเอกสารแนบท้ายการประมวลผลข้อมูลนี้ และ (ค) คุณยอมรับเอกสารแนบท้ายการประมวลผลข้อมูลในนามของบริษัท หากคุณไม่มีอํานาจตามกฎหมายที่จะผูกพันบริษัทกับข้อกําหนด โปรดอย่ายอมรับเอกสารแนบท้ายการประมวลผลข้อมูล
1. บทนำ
เอกสารแนบท้ายการประมวลผลข้อมูลนี้แสดงถึงข้อตกลงของคู่สัญญาเกี่ยวกับข้อกําหนดที่ครอบคลุมในการประมวลผลและการรักษาความปลอดภัยของข้อมูลส่วนตัวของบริษัทโดยเกี่ยวข้องกับนิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรปและนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป
2. คำนิยามและการตีความ
2.1 ในเอกสารแนบท้ายการประมวลผลข้อมูลนี้
"ผลิตภัณฑ์เพิ่มเติม" หมายถึง ผลิตภัณฑ์ บริการ หรือแอปพลิเคชันที่ให้บริการโดย Jibe หรือบุคคลที่สามที่ (ก) ไม่ได้เป็นส่วนหนึ่งของบริการของผู้ประมวลผลข้อมูล และ (ข) สามารถเข้าถึงได้ภายในอินเทอร์เฟซผู้ใช้ของบริการของผู้ประมวลผลข้อมูลหรือ ผสานรวมกับบริการของผู้ประมวลผลข้อมูล
"ข้อกําหนดเพิ่มเติมสําหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป" หมายถึงข้อกําหนดเพิ่มเติมที่อ้างถึงในภาคผนวก 3 ซึ่งแสดงถึงข้อตกลงของคู่สัญญาในข้อกําหนดที่ควบคุมการประมวลผลข้อมูลบางอย่างที่เกี่ยวเนื่องกับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป
"บริษัทในเครือ" หมายถึง หน่วยงานที่ควบคุมโดยตรงหรือโดยอ้อม ถูกควบคุมโดย หรืออยู่ภายใต้การควบคุมร่วมกันกับคู่สัญญาฝ่ายหนึ่ง
"ข้อมูลส่วนตัวของบริษัท" หมายถึง ข้อมูลส่วนตัวที่ประมวลผลโดย Jibe ในนามของบริษัทในการจัดหาบริการของผู้ประมวลผลข้อมูลของ Jibe
"เหตุการณ์ที่ส่งผลต่อข้อมูล" หมายถึง การละเมิดด้านความปลอดภัยของ Jibe ที่นําไปสู่การทําลาย การสูญเสีย การดัดแปลง การเปลี่ยนแปลงที่ไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลส่วนตัวของบริษัทในระบบที่จัดการโดย หรือควบคุมโดย Jibe "เหตุการณ์ที่ส่งผลต่อข้อมูล" จะไม่รวมความพยายามที่ไม่สําเร็จหรือกิจกรรมที่ไม่ละเมิดความปลอดภัยของข้อมูลส่วนตัวของบริษัท ซึ่งรวมถึงการลงชื่อเข้าสู่ระบบที่ไม่สําเร็จ คําสั่ง ping การสแกนพอร์ต การปฏิเสธการโจมตีบริการ และการโจมตีเครือข่ายอื่นๆ ในไฟร์วอลล์หรือระบบเครือข่าย
"นิติบัญญัติด้านการคุ้มครองข้อมูล" ตามที่ใช้บังคับ หมายถึง (ก) นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป และ/หรือ (ข) นิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป
"เครื่องมือของเจ้าของข้อมูล" หมายถึงเครื่องมือ (หากมี) ที่เอนทิตี้ Jibe ใช้กับเจ้าของข้อมูลที่ช่วยให้ Jibe ตอบกลับได้โดยตรงและเป็นไปตามคําขอมาตรฐานจากเจ้าของข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนตัวของบริษัท (เช่น ปลั๊กอินเบราว์เซอร์สําหรับเลือกไม่ใช้)
"EEA หมายถึงเขตเศรษฐกิจยุโรป
"GDPR ของสหภาพยุโรป" หมายถึง กฎระเบียบ (สหภาพยุโรป) 2016/679 ของสภายุโรปและคณะกรรมการยุโรป ลงวันที่ 27 เมษายน 2016 ว่าด้วยการคุ้มครองบุคคลธรรมดาที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนตัวและการเคลี่อนย้ายข้อมูลดังกล่าวโดยเสรี และการยกเลิกคําสั่งที่ 95/46/EC
"นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป" ตามที่ใช้บังคับ หมายถึง (ก) GDPR และ/หรือ (ข) กฎหมายคุ้มครองข้อมูลของรัฐบาลกลางวันที่ 19 มิถุนายน 1992 (สวิตเซอร์แลนด์)
"กฎหมายของสหภาพยุโรปหรือกฎหมายแห่งชาติ" ตามที่ใช้บังคับ หมายถึง (ก) กฎหมายของสหภาพยุโรปหรือรัฐสมาชิกสหภาพยุโรป (หาก GDPR ของสหภาพยุโรปมีผลบังคับใช้กับการประมวลผลข้อมูลส่วนตัวของบริษัท) และ/หรือ (ข) กฎหมายของสหราชอาณาจักรหรือส่วนหนึ่งของสหราชอาณาจักร (หากกฎหมาย GDPR ของสหราชอาณาจักรมีผลบังคับใช้กับการประมวลผลข้อมูลส่วนตัวของบริษัท)
"GDPR" ตามที่ใช้บังคับ หมายถึง (ก) GDPR ของสหภาพยุโรป และ/หรือ (ข) GDPR ของสหราชอาณาจักร
"Jibe" หมายถึงนิติบุคคล Jibe ที่เป็นคู่สัญญาในข้อตกลง
"ผู้ประมวลผลข้อมูลย่อยของ Jibe" มีความหมายตามที่ระบุไว้ในส่วนที่ 11.1 (การให้คํายินยอมต่อการมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อย)
"บริษัท Jibe" หมายถึง Jibe Mobile Inc, Jibe Mobile Limited หรือบริษัทในเครืออื่นๆ ของ Jibe Mobile Inc.
"การรับรอง ISO 27001" หมายถึงการรับรอง ISO/IEC 27001:2013 หรือการรับรองเปรียบเทียบสําหรับบริการของผู้ประมวลผลข้อมูล
"นิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป" หมายถึงกฎหมายว่าด้วยการคุ้มครองข้อมูลและกฎหมายด้านความเป็นส่วนตัวที่บังคับใช้นอก EEA, สวิตเซอร์แลนด์ และสหราชอาณาจักร
"อีเมลสําหรับการแจ้งเตือน" หมายถึงอีเมล (หากมี) (1) ที่บริษัทให้ไว้กับ Jibe หรือ (2) ที่กําหนดโดยบริษัทผ่านอินเทอร์เฟซผู้ใช้บริการของผู้ประมวลผลข้อมูลหรือวิธีการอื่นๆ ที่ Jibe มีให้ เพื่อรับการแจ้งเตือนบางรายการจาก Jibe ที่เกี่ยวข้องกับเอกสารแนบท้ายการประมวลผลข้อมูลนี้ เพื่อความชัดเจน บริษัทมีหน้าที่แจ้งอีเมลการแจ้งเตือนให้กับ Jibe และแจ้งให้ Jibe ทราบการอัปเดตอีเมลสําหรับการแจ้งเตือน
"บริการสําหรับผู้ประมวลผลข้อมูล" หมายถึง บริการรับส่งข้อความทางธุรกิจ RCS (ตามที่อธิบายไว้ที่ https://developers.google.com/business-communications/rcs-business-messging)
"เอกสารประกอบด้านความปลอดภัย" หมายถึง การรับรอง ISO 27001 และการรับรองหรือเอกสารด้านความปลอดภัยอื่นๆ ที่ Jibe อาจเกี่ยวข้องกับบริการของผู้ประมวลผลข้อมูล
"มาตรการการรักษาความปลอดภัย" มีความหมายตามที่ระบุไว้ในมาตราที่ 7.1.1 (มาตรการการรักษาความปลอดภัยของ Jibe)
"ข้อสัญญามาตรฐาน" หมายถึงข้อสัญญามาตรฐานในคณะกรรมาธิการของยุโรปที่ https://privacy.google.com/businesses/gdprprocessorterms/sccs ซึ่งเป็นข้อกําหนดการคุ้มครองข้อมูลมาตรฐานสําหรับการโอนข้อมูลส่วนตัวไปยังผู้ประมวลผลข้อมูลที่เผยแพร่ในประเทศที่สามซึ่งไม่สามารถปกป้องข้อมูลได้ในระดับที่เพียงพอตามที่อธิบายไว้ในมาตราที่ 46 ของ GDPR ของสหภาพยุโรป
"ผู้ประมวลผลข้อมูลย่อย" หมายถึง บุคคลที่สามที่ได้รับมอบอํานาจภายใต้ภาคผนวกของการประมวลผลข้อมูลฉบับนี้ เพื่อเข้าถึงและประมวลผลข้อมูลส่วนตัวของบริษัทได้อย่างสมเหตุสมผล เพื่อให้บริการส่วนหนึ่งของผู้ประมวลผลข้อมูลและการสนับสนุนทางเทคนิคที่เกี่ยวข้อง
"หน่วยงานกํากับดูแล" ตามที่ใช้บังคับ หมายถึง (ก) "หน่วยงานกํากับดูแล" ตามที่กําหนดไว้ใน GDPR ของสหภาพยุโรป และ/หรือ (ข) "ค่าคอมมิชชัน" ตามที่กําหนดไว้ใน GDPR ของสหราชอาณาจักร
"ระยะเวลา" หมายถึง ระยะเวลานับจากวันที่มีผลของข้อตกลงจนกว่าจะสิ้นสุดการให้บริการผู้ประมวลผลข้อมูลของ Jibe ภายใต้ข้อตกลง
"วันที่มีผลของข้อกําหนด" หมายถึง วันที่มีผลของข้อตกลง
"ผู้ประมวลผลข้อมูลย่อยบุคคลที่สาม" มีความหมายตามที่ระบุไว้ในมาตราที่ 11.1 (ความยินยอมต่อการมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อย)
"GDPR ของสหราชอาณาจักร" หมายถึง GDPR ของสหภาพยุโรป ตามที่ได้มีการแก้ไขและผนวกรวมไว้ในกฎหมายของสหราชอาณาจักร ภายใต้พระราชบัญญัติ (การถอนตัว) ของสหราชอาณาจักรออกจากสหภาพยุโรปในปี 2018 หากมีผลบังคับใช้
2.2 คําว่า "ผู้ควบคุมข้อมูล" "เจ้าของข้อมูล" "ข้อมูลส่วนตัว" ""การประมวลผล" และ "ผู้ประมวลผลข้อมูล" ที่ใช้ในเอกสารแนบท้ายการประมวลผลข้อมูลนี้มีความหมายตามที่ระบุไว้ใน GDPR และคําว่า "ผู้นําเข้าข้อมูล" และ "ผู้ส่งออกข้อมูล" มีความหมายตามที่ระบุไว้ในข้อสัญญามาตรฐาน
2.3 คํา "รวมถึง" "รวมถึง" หรือนิพจน์ที่คล้ายกันจะได้รับการตีความว่าเป็นการอธิบายและไม่จํากัดข้อกําหนดของคําก่อนหน้า ตัวอย่างใดๆ ในเอกสารแนบท้ายการประมวลผลข้อมูลนี้มีไว้เพื่อการอธิบาย และมิใช่เป็นเพียงตัวอย่างเดียวของแนวคิดหนึ่งๆ
2.4 การอ้างอิงใดๆ ถึงกรอบโครงสร้างทางกฎหมาย บทบัญญัติ หรือการประกาศใช้เป็นกฎหมายอื่นๆ คือการอ้างอิงถึงสิ่งดังกล่าวตามที่ได้มีการแก้ไขหรือประกาศใช้ซ้ําเป็นครั้งคราว
2.5 หากมีการแปลข้อกําหนดการประมวลผลข้อมูลเป็นภาษาอื่นๆ และข้อความภาษาอังกฤษและข้อความที่แปลเป็นภาษาอื่นนั้นแตกต่างกัน ข้อความภาษาอังกฤษจะมีผลบังคับใช้
3. ระยะเวลาของเอกสารแนบท้ายการประมวลผลข้อมูลนี้
เอกสารแนบท้ายการประมวลผลข้อมูลฉบับนี้จะมีผลบังคับใช้ในวันที่ข้อกําหนดมีผล ไม่ว่าข้อกําหนดจะหมดอายุไปแล้วหรือไม่ก็ตาม โดยจะยังคงมีผลบังคับใช้จนกว่าจะหมดอายุโดยอัตโนมัติ การลบข้อมูลส่วนตัวทั้งหมดของบริษัทโดย Jibe ตามที่อธิบายไว้ในเอกสารแนบท้ายการประมวลผลข้อมูลฉบับนี้
4. การใช้เอกสารแนบท้ายการประมวลผลข้อมูลนี้
4.1 การใช้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป ส่วนที่ 5 (การประมวลผลข้อมูล) ถึง 12 (การติดต่อ Jibe, การประมวลผลข้อมูล) (รวม) จะมีผลบังคับใช้ในขอบเขตที่นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรปมีผลบังคับใช้กับการประมวลผลข้อมูลส่วนตัวของบริษัท ซึ่งรวมถึงในกรณีต่อไปนี้
(ก) การประมวลผลข้อมูลในบริบทของกิจกรรมในสถานประกอบการของบริษัทในเขตเศรษฐกิจยุโรปหรือสหราชอาณาจักร และ/หรือ
(ข) ข้อมูลส่วนตัวของบริษัทเป็นข้อมูลส่วนตัวที่เกี่ยวข้องกับเจ้าของข้อมูลที่อยู่ในเขตเศรษฐกิจยุโรปหรือสหราชอาณาจักร และการประมวลผลข้อมูลเกี่ยวข้องกับการนําเสนอสินค้าหรือบริการหรือบริการหรือการตรวจสอบพฤติกรรมของบุคคลเหล่านี้ในเขตเศรษฐกิจยุโรปหรือสหราชอาณาจักร
4.2 แอปพลิเคชันสําหรับบริการของผู้ประมวลผลข้อมูล ภาคผนวกการประมวลผลข้อมูลนี้จะมีผลบังคับใช้กับบริการของผู้ประมวลผลข้อมูลที่คู่สัญญายอมรับภาคผนวกว่าด้วยการประมวลผลข้อมูลนี้เท่านั้น (เช่น (ก) บริการของผู้ประมวลผลข้อมูลที่บริษัทคลิกเพื่อยอมรับเอกสารแนบท้ายการประมวลผลข้อมูลนี้ หรือ (ข) หากข้อตกลงให้เอกสารแนบท้ายการประมวลผลข้อมูลฉบับนี้พร้อมกับข้อมูลอ้างอิง ซึ่งเป็นบริการของผู้ประมวลผลข้อมูลที่อยู่ภายใต้ข้อตกลง)
4.3 การรวมข้อกําหนดเพิ่มเติมสําหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป ข้อกําหนดเพิ่มเติมสําหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรปเป็นไปตามข้อกําหนดการประมวลผลข้อมูลเหล่านี้
5. การประมวลผลข้อมูล
5.1 บทบาทและการปฏิบัติตามข้อกําหนด การให้สิทธิ์
5.1.1 หน้าที่รับผิดชอบของผู้ประมวลผลข้อมูลและผู้ควบคุมข้อมูล คู่สัญญารับทราบและตกลงว่า:
(ก) ภาคผนวก 1 อธิบายถึงเรื่องและรายละเอียดของการประมวลผลข้อมูลส่วนตัวของบริษัท
(ข) Jibe เป็นผู้ประมวลผลข้อมูลส่วนตัวของบริษัทภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป
(ค) บริษัทเป็นผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลส่วนตัวของบริษัทภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป และ
(ง) แต่ละฝ่ายจะต้องปฏิบัติตามภาระหน้าที่ตามที่เหมาะสมภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรปเกี่ยวกับการประมวลผลข้อมูลส่วนตัวของบริษัท
5.1.2 การให้สิทธิ์โดยผู้ควบคุมข้อมูลบุคคลที่สาม หากบริษัทเป็นผู้ประมวลผลข้อมูล บริษัทรับประกันต่อ Jibe ว่าผู้ควบคุมข้อมูลของบริษัทจะดําเนินการต่างๆ ที่เกี่ยวข้องกับข้อมูลส่วนตัวของบริษัท ซึ่งรวมถึงการแต่งตั้ง Jibe ในฐานะผู้ประมวลผลข้อมูลอีกรายหนึ่งได้รับอนุญาตโดยผู้ควบคุมข้อมูลที่เกี่ยวข้อง
5.2 วิธีการของบริษัท ในการเข้าร่วมเอกสารแนบท้ายการประมวลผลข้อมูลนี้ บริษัทสั่งให้ Jibe ประมวลผลข้อมูลส่วนตัวของบริษัทตามกฎหมายที่เกี่ยวข้องเท่านั้น: (ก) เพื่อให้บริการของผู้ประมวลผลข้อมูลและฝ่ายสนับสนุนด้านเทคนิคที่เกี่ยวข้อง (ข) ตามที่กําหนดไว้เพิ่มเติมผ่านการใช้บริการของผู้ประมวลผลข้อมูล (รวมถึงในการตั้งค่าและฟังก์ชันอื่นๆ ของผู้ประมวลผลข้อมูล) และการสนับสนุนทางเทคนิคใดๆ ที่เกี่ยวข้องตามที่ให้ไว้ในหลักเกณฑ์ตามข้อตกลงนี้ โดยอธิบายไว้โดยอธิบายไว้โดยอธิบายข้อมูลนี้โดยอธิบายอธิบายโดยลักษณะเพิ่มเติมจากข้อกําหนดที่บัญชีนี้อธิบายไว้
5.3 การปฏิบัติตามคําสั่งของ Jibe Jibe จะทําตามวิธีการที่อธิบายไว้ในมาตราที่ 5.2 (วิธีการของบริษัท) (รวมถึงเกี่ยวกับการโอนข้อมูล) เว้นแต่กฎหมายของยุโรปหรือกฎหมายในประเทศที่ Jibe กําหนดให้ประมวลผลข้อมูลส่วนตัวอื่นๆ ของ Jibe ในกรณีนี้ YouTubebe จะแจ้งให้บริษัท (เว้นแต่กฎหมายดังกล่าวห้ามไม่ให้ Jibe ดําเนินการด้วยเหตุผลสําคัญต่อสาธารณะ)
5.4 ผลิตภัณฑ์เพิ่มเติม หากบริษัทใช้ผลิตภัณฑ์เพิ่มเติม บริการของผู้ประมวลผลข้อมูลอาจอนุญาตให้ผลิตภัณฑ์เพิ่มเติมนั้นเข้าถึงข้อมูลส่วนตัวของบริษัทตามที่จําเป็นสําหรับความสามารถในการทํางานร่วมกันของผลิตภัณฑ์เพิ่มเติมในบริการของผู้ประมวลผลข้อมูล ภาคผนวกการประมวลผลข้อมูลฉบับนี้ไม่มีผลกับการประมวลผลข้อมูลส่วนตัวที่เกี่ยวข้องกับการให้บริการผลิตภัณฑ์เพิ่มเติมใดๆ ที่บริษัทใช้ รวมถึงข้อมูลส่วนตัวที่ส่งจากหรือส่งถึงผลิตภัณฑ์เพิ่มเติมนั้น
6. การลบข้อมูล
6.1 การลบระหว่างระยะเวลา
6.1.1 บริการของผู้ประมวลผลข้อมูลพร้อมฟังก์ชันการลบ ในระหว่างระยะเวลาของข้อกําหนด ในกรณีต่อไปนี้
(ก) ฟังก์ชันของบริการของผู้ประมวลผลข้อมูลมีตัวเลือกสําหรับบริษัทให้ลบข้อมูลส่วนตัวของบริษัท
(ข) บริษัทใช้บริการของผู้ประมวลผลข้อมูลเพื่อลบข้อมูลส่วนตัวบางอย่างของบริษัท และ
(ค) บริษัทไม่สามารถกู้คืนข้อมูลส่วนตัวของบริษัทที่ลบไปแล้ว (เช่น จาก "ถังขยะ")
Jibe จะลบข้อมูลส่วนตัวดังกล่าวออกจากระบบทันทีที่ทําได้โดยสมเหตุสมผล เว้นแต่ว่ากฎหมายของยุโรปหรือกฎหมายแห่งชาติกําหนดให้เก็บข้อมูลไว้
6.1.2 บริการของผู้ประมวลผลข้อมูลที่ไม่มีฟังก์ชันการลบ ในช่วงวาระนี้ หากฟังก์ชันของบริการของผู้ประมวลผลข้อมูลไม่มีตัวเลือกให้บริษัทลบข้อมูลส่วนตัวของบริษัท ทาง Jibe จะปฏิบัติตามคําขอที่สมเหตุสมผลจากบริษัทเพื่ออํานวยความสะดวกให้สามารถกู้คืนได้ เนื่องจากอาจคํานึงถึงลักษณะและฟังก์ชันของบริการผู้ประมวลผลข้อมูล Jibe อาจเรียกเก็บค่าธรรมเนียม (ตามราคาที่สมเหตุสมผลของ Jibe) สําหรับการลบข้อมูลภายใต้มาตราที่ 6.1.2 (บริการของผู้ประมวลผลข้อมูลที่ไม่มีฟังก์ชันการลบ) Jibe จะแจ้งรายละเอียดเพิ่มเติมเกี่ยวกับค่าธรรมเนียมที่เกี่ยวข้องและหลักในการคํานวณราคาของบริษัทให้ทราบล่วงหน้า ก่อนที่จะลบเนื้อหาดังกล่าว
6.2 การลบวันหมดอายุของข้อกําหนด เมื่อบริษัทหมดอายุ บริษัทก็สั่งให้ Jibe ลบข้อมูลส่วนตัวทั้งหมดของบริษัท (รวมถึงสําเนาที่มีอยู่) ออกจากระบบของ Jibe ตามกฎหมายที่เกี่ยวข้อง Jibe จะปฏิบัติตามคําสั่งนี้ในทันทีที่ทําได้อย่างสมเหตุสมผล เว้นแต่ว่ากฎหมายของยุโรปหรือกฎหมายแห่งชาติกําหนดว่าต้องมีพื้นที่เก็บข้อมูล
7. ความปลอดภัยข้อมูล
7.1 มาตรการรักษาความปลอดภัยและความช่วยเหลือของ Jibe
7.1.1 มาตรการรักษาความปลอดภัยของ Jibe Jibe จะใช้และคงไว้ซึ่งมาตรการทางเทคนิคและการจัดระเบียบเพื่อปกป้องข้อมูลส่วนตัวของบริษัทจากอุบัติเหตุ การทําลาย การสูญเสีย การดัดแปลง การเปิดเผย หรือการเข้าถึงโดยไม่ได้รับอนุญาตหรือผิดกฎหมาย ตามที่อธิบายไว้ในภาคผนวก 2 ("มาตรการการรักษาความปลอดภัย") Jibe อาจอัปเดตหรือแก้ไขมาตรการการรักษาความปลอดภัยเป็นระยะๆ โดยที่การอัปเดตและการแก้ไขดังกล่าวจะไม่ส่งผลให้เกิดการลดประสิทธิภาพ
7.1.2 การปฏิบัติตามข้อกําหนดด้านความปลอดภัยโดย Jibe Office.Jibe ดูแลให้ทุกคนที่ได้รับสิทธิ์ในการประมวลผลข้อมูลส่วนตัวของบริษัทได้ยอมรับตนเองในความลับหรืออยู่ภายใต้ภาระหน้าที่ตามกฎหมายที่เหมาะสม
7.1.3 การช่วยเหลือด้านความปลอดภัยของ Jibe บริษัทตกลงว่า Jibe จะช่วยเหลือบริษัทในการปฏิบัติตามภาระหน้าที่ของบริษัทในเรื่องความปลอดภัยของข้อมูลส่วนบุคคลและการละเมิดข้อมูลส่วนบุคคล (โดยพิจารณาถึงลักษณะของการประมวลผลข้อมูลส่วนตัวของบริษัทและข้อมูลที่ Jibe นําไปใช้) รวมถึงภาระหน้าที่ของบริษัท (หากมี) ภายใต้มาตราที่ 32 ถึง 34 (รวม) ของ GDPR โดยดําเนินการดังนี้
(ก) ปรับใช้และรักษามาตรการการรักษาความปลอดภัยตามมาตราที่ 7.1.1 (มาตรการรักษาความปลอดภัยของ Jibe)
(ข) ปฏิบัติตามข้อกําหนดของมาตราที่ 7.2 (เหตุการณ์ที่ส่งผลต่อข้อมูล) และ
(ค) มอบเอกสารประกอบการรักษาความปลอดภัยให้บริษัทตามมาตราที่ 7.5.1 (การตรวจสอบเอกสารประกอบการรักษาความปลอดภัย) และข้อมูลที่มีอยู่ในเอกสารแนบท้ายการประมวลผลข้อมูลนี้
7.2 เหตุการณ์ที่ส่งผลต่อข้อมูล
7.2.1 การแจ้งเตือนเหตุการณ์ หาก Jibe รู้ถึงเหตุการณ์ที่ส่งผลต่อข้อมูล จิบเบแล้วจะ (ก) แจ้งเตือนบริษัทเกี่ยวกับเหตุการณ์ที่เกิดขึ้นอย่างทันท่วงทีและไม่ล่าช้าจนเกินไป และ (ข) ดําเนินขั้นตอนที่สมเหตุสมผลทันทีเพื่อลดอันตรายและรักษาความปลอดภัยให้ข้อมูลส่วนตัวของบริษัท
7.2.2 รายละเอียดของเหตุการณ์ที่ส่งผลต่อข้อมูล การแจ้งเตือนที่ดําเนินการภายใต้มาตราที่ 7.2.1 (การแจ้งเตือนเหตุการณ์) จะอธิบายรายละเอียดเกี่ยวกับเหตุการณ์ที่ส่งผลต่อข้อมูล รวมถึงขั้นตอนที่ดําเนินการเพื่อลดความเสี่ยงและขั้นตอนที่อาจดําเนินการ Jebe แนะนําให้บริษัทดําเนินการเพื่อจัดการกับเหตุการณ์ที่ส่งผลต่อข้อมูล
7.2.3 การส่งการแจ้งเตือน Jibe จะส่งหนังสือแจ้งเกี่ยวกับเหตุการณ์ใดๆ ไปยังอีเมลสําหรับการแจ้งเตือน หรือตามการพิจารณาที่ Google เห็นสมควร (รวมถึง หากบริษัทไม่ได้ระบุอีเมลการแจ้งเตือนไว้) โดยการสื่อสารโดยตรงอื่นๆ (เช่น ทางโทรศัพท์หรือการประชุมแบบเข้าร่วมด้วยตนเอง) บริษัทเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในการให้ที่อยู่อีเมลสําหรับการแจ้งเตือน และตรวจสอบว่าอีเมลสําหรับการแจ้งเตือนเป็นข้อมูลล่าสุดและถูกต้อง
7.2.4 การแจ้งเตือนของบุคคลที่สาม บริษัทมีหน้าที่รับผิดชอบแต่เพียงผู้เดียวในการปฏิบัติตามกฎหมายการแจ้งเตือนเหตุการณ์ที่เกี่ยวข้องกับบริษัท และปฏิบัติภาระหน้าที่ในการแจ้งเตือนโดยบุคคลที่สามที่เกี่ยวข้องกับเหตุการณ์ที่ส่งผลต่อข้อมูล
7.2.5 ไม่มีการรับทราบข้อผิดพลาดโดย Jibe.Jibe ที่ตอบสนองต่อหรือตอบสนองต่อเหตุการณ์ที่ส่งผลต่อข้อมูลภายใต้มาตราที่ 7.2 (เหตุการณ์ที่ส่งผลต่อข้อมูล) นี้จะไม่ได้รับการตีความว่าเป็นการรับทราบถึงความผิดหรือความรับผิดของ Jibe ที่เกี่ยวข้องกับเหตุการณ์ข้อมูล
7.3 หน้าที่รับผิดชอบและการประเมินเกี่ยวกับการรักษาความปลอดภัยของบริษัท
7.3.1 หน้าที่รับผิดชอบด้านความปลอดภัยของบริษัท บริษัทยอมรับว่าโดยไม่มีผลกระทบต่อภาระหน้าที่ของ Jibe ภายใต้มาตราที่ 7.1 (มาตรการรักษาความปลอดภัยและการช่วยเหลือของ Jibe) และ 7.2 (เหตุการณ์ที่ส่งผลต่อข้อมูล)
(ก) บริษัทมีหน้าที่รับผิดชอบต่อการใช้บริการของผู้ประมวลผลข้อมูล ซึ่งรวมถึง:
(i) การใช้บริการที่เหมาะสมของผู้ประมวลผลข้อมูลเพื่อให้แน่ใจว่าการรักษาความปลอดภัยอยู่ในระดับที่เหมาะสมกับความเสี่ยงต่อข้อมูลส่วนตัวของบริษัท และ
(2) การรักษาความปลอดภัยของข้อมูลเข้าสู่ระบบการตรวจสอบสิทธิ์บัญชี ระบบและอุปกรณ์ที่บริษัทใช้เข้าถึงบริการของผู้ประมวลผลข้อมูล และ
(ข) Jibe ไม่มีภาระหน้าที่ในการปกป้องข้อมูลส่วนตัวของบริษัทซึ่งบริษัทเลือกจัดเก็บหรือโอนนอกระบบของ Jibe และผู้ประมวลผลข้อมูลย่อย
7.3.2 การประเมินความปลอดภัยของบริษัท บริษัทรับทราบและยอมรับว่า (โดยคํานึงถึงสถานะของศิลปะ ต้นทุนในการใช้งาน และลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการประมวลผลข้อมูลส่วนตัวของบริษัท รวมถึงความเสี่ยงต่อบุคคล) มาตรการการรักษาความปลอดภัยที่ใช้และคงไว้ซึ่ง Jibe ในมาตราที่ 7.1.1 (มาตรการรักษาความปลอดภัยของ Jibe) มอบระดับความปลอดภัยที่เหมาะสมกับความเสี่ยงต่อข้อมูลส่วนตัวของบริษัท
7.4 การรับรองความปลอดภัย Jibe จะใช้การรับรอง ISO 27001 เพื่อประเมินและปรับปรุงมาตรการการรักษาความปลอดภัยต่อไป
7.5 การตรวจสอบและการประเมินการปฏิบัติตามข้อกําหนด
7.5.1 การตรวจสอบเอกสารประกอบการรักษาความปลอดภัย เพื่อแสดงให้เห็นถึงการปฏิบัติตามข้อกําหนดภายใต้ Jibe พร้อมด้วยภาระหน้าที่ภายใต้เอกสารแนบท้ายการประมวลผลข้อมูล Jibe จะจัดเตรียมเอกสารประกอบการรักษาความปลอดภัยให้ลูกค้าตรวจสอบ
7.5.2 สิทธิ์การตรวจสอบของบริษัท
(ก) Jibe จะอนุญาตให้บริษัทหรือผู้ตรวจสอบบุคคลที่สามที่ได้รับการแต่งตั้งจากบริษัทดําเนินการตรวจสอบ (รวมถึงการตรวจสอบ) เพื่อยืนยันการปฏิบัติตามข้อกําหนดของ Jibe ตามภาระหน้าที่ในการประมวลผลข้อมูลนี้ตามมาตราที่ 7.5.3 (ข้อกําหนดทางธุรกิจเพิ่มเติมสําหรับการตรวจสอบ) Jibe จะมีส่วนร่วมในการตรวจสอบดังกล่าวตามที่อธิบายไว้ในมาตราที่ 7.4 (การรับรองด้านความปลอดภัย) และนี้
(ข) หากข้อสัญญามาตรฐานมีผลภายใต้ส่วนที่ 10.2 (การโอนข้อมูล) Jibe จะอนุญาตให้บริษัทหรือผู้ตรวจสอบบุคคลที่สามที่ได้รับการแต่งตั้งจากบริษัทดําเนินการตรวจสอบตามที่อธิบายไว้ในข้อสัญญามาตรฐานตามมาตราที่ 7.5.3 (ข้อกําหนดธุรกิจเพิ่มเติมสําหรับการตรวจสอบ)
(ค) อาจทําการตรวจสอบเพื่อยืนยันว่า Jibe ปฏิบัติตามภาระหน้าที่ภายใต้ภาคผนวกของการประมวลผลข้อมูลฉบับนี้ด้วยการตรวจสอบใบรับรองที่ออกโดยการรับรอง ISO 27001 (ซึ่งจะตรงกับผลลัพธ์การประเมินของผู้ตรวจสอบบุคคลที่สาม)
7.5.3 ข้อกําหนดเพิ่มเติมทางธุรกิจสําหรับการตรวจสอบ
(ก) บริษัทจะส่งคําขอการตรวจสอบภายใต้มาตราที่ 7.5.2(ก) หรือ 7.5.2(ข) ไปยัง Jibe ตามที่อธิบายไว้ในส่วนที่ 12.1 (การติดต่อ Jibe)
(ข) หลังจากที่ Jibe ได้รับคําขอภายใต้มาตราที่ 7.5.3(ก) Jibe และบริษัทจะหารือและตกลงกันล่วงหน้าเรื่องวันที่เริ่มต้น ขอบเขต และระยะเวลาที่เหมาะสม ตลอดจนเรื่องการควบคุมความปลอดภัยและการรักษาข้อมูลที่เป็นความลับซึ่งเกี่ยวข้องกับ การตรวจสอบภายใต้มาตราที่ 7.5.2(ก) หรือ 7.5.2(ข)
(ค) Jibe อาจเรียกเก็บค่าธรรมเนียม (ตามราคาที่สมเหตุสมผลของ Jibe) สําหรับการตรวจสอบภายใต้มาตราที่ 7.5.2(ก) หรือ 7.5.2(ข) Jibe จะแจ้งรายละเอียดเพิ่มเติมของค่าธรรมเนียมที่เกี่ยวข้องและหลักในการคํานวณของบริษัทให้ทราบล่วงหน้าก่อนการตรวจสอบ บริษัทจะต้องรับผิดชอบค่าธรรมเนียมที่เรียกเก็บจากผู้ตรวจสอบซึ่งเป็นบุคคลที่สามที่บริษัทแต่งตั้งให้ทําการตรวจสอบ
(ง) Jibe สามารถคัดค้านผู้ตรวจสอบบุคคลที่สามที่บริษัทแต่งตั้งให้ทําการตรวจสอบภายใต้มาตราที่ 7.5.2(ก) หรือ 7.5.2(ข) หากผู้ตรวจสอบมีความเห็นที่ไม่สมเหตุสมผลหรือไม่ได้เป็นอิสระต่อคู่แข่งของ Jibe หรืออาจไม่เหมาะสม หาก Jibe ยื่นข้อคัดค้านดังกล่าว บริษัทจะต้องแต่งตั้งผู้ตรวจสอบรายใหม่หรือทําการประเมินด้วยตนเอง
(จ) ไม่มีส่วนใดในเอกสารแนบท้ายการประมวลผลข้อมูลฉบับนี้ที่ Jibe จะเปิดเผยให้กับบริษัทหรือผู้ตรวจสอบบุคคลที่สาม หรืออนุญาตให้บริษัทหรือผู้ตรวจสอบบุคคลที่สามเข้าถึง
(1) ข้อมูลของลูกค้ารายอื่นๆ ของนิติบุคคล Jibe
(2) การทําบัญชีหรือข้อมูลทางการเงินภายในของ Jibe Entity
(3) ความลับทางการค้าของ Jibe Entity
(4) ข้อมูลที่สามารถดําเนินการได้อย่างสมเหตุสมผลตามความคิดเห็นที่สมเหตุสมผลของ Jibe
(v) ข้อมูลที่บริษัทหรือผู้ตรวจสอบซึ่งเป็นบุคคลที่สามต้องการเข้าถึงด้วยเหตุผลอื่นใดนอกเหนือจากการปฏิบัติตามภาระหน้าที่ของบริษัทโดยมีเจตนาดีภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป
7.5.4 ไม่มีการแก้ไขข้อสัญญามาตรฐาน หากข้อสัญญามาตรฐานมีผลภายใต้ส่วนที่ 10.2 (การโอนข้อมูล) ส่วนใดๆ ในข้อ 7.5 (การตรวจสอบและการประเมินการปฏิบัติตามข้อกําหนด) นี้จะเปลี่ยนแปลงหรือแก้ไขสิทธิหรือภาระหน้าที่ของบริษัทหรือ Jibe ภายใต้ข้อสัญญามาตรฐาน
8. การประเมินและการให้คําปรึกษาเกี่ยวกับผลกระทบ
บริษัทตกลงว่า Jibe จะช่วยเหลือบริษัทในการปฏิบัติตามการปฏิบัติตามภาระหน้าที่ใดๆ ของบริษัทเกี่ยวกับการประเมินผลกระทบด้านข้อมูลและการคุ้มครองข้อมูลล่วงหน้า (พิจารณาลักษณะของการประมวลผลข้อมูลและข้อมูลที่ Jibe สามารถทําได้) รวมถึงภาระหน้าที่ของบริษัท (หากมี) ภายใต้มาตราที่ 35 และ 36 ของ GDPR โดยดําเนินการดังนี้
(ก) มอบเอกสารประกอบการรักษาความปลอดภัยตามมาตราที่ 7.5.1 (การตรวจสอบเอกสารประกอบการรักษาความปลอดภัย)
(ข) ระบุข้อมูลที่มีอยู่ในเอกสารแนบท้ายการประมวลผลข้อมูล และ
(ค) จัดหาหรือเผยแพร่เพื่อให้สอดคล้องกับแนวทางปฏิบัติมาตรฐานของ Jibe เนื้อหาอื่นๆ ที่เกี่ยวข้องกับลักษณะของบริการของผู้ประมวลผลข้อมูลและการประมวลผลข้อมูลส่วนตัวของบริษัท (เช่น เนื้อหาในศูนย์ช่วยเหลือ)
9. สิทธิ์ของเจ้าของข้อมูล
9.1 การตอบกลับคําขอของเจ้าของข้อมูล หาก Jibe ได้รับคําขอจากหัวข้อที่เกี่ยวข้องกับข้อมูลส่วนตัวของบริษัท Jibe จะดําเนินการดังนี้
(ก) หากเป็นคําขอผ่านเครื่องมือของเจ้าของข้อมูล ให้ตอบกลับคําขอของเจ้าของข้อมูลโดยตรงตามฟังก์ชันมาตรฐานของเครื่องมือข้อมูลนั้นๆ หรือ
(ข) หากคําขอไม่ได้ดําเนินการผ่านเครื่องมือของเจ้าของข้อมูล โปรดแจ้งให้ผู้ใช้ทราบว่าข้อมูลของลูกค้าต้องส่งคําขอไปยังบริษัท และบริษัทจะเป็นผู้รับผิดชอบในการตอบกลับคําขอดังกล่าว
9.2 ความช่วยเหลือของ Google เกี่ยวกับคําขอของเจ้าของข้อมูล บริษัทตกลงว่า Jibe จะช่วยเหลือบริษัทในการปฏิบัติตามภาระหน้าที่ของบริษัทในการตอบกลับคําขอจากเจ้าของข้อมูล (โดยพิจารณาลักษณะของการประมวลผลข้อมูลส่วนตัวของบริษัท และตามมาตราที่ 11 ของ GDPR ตามระเบียบข้อบังคับที่เกี่ยวข้อง) รวมถึงภาระหน้าที่ของบริษัทในการตอบสนองต่อคําขอสําหรับการใช้สิทธิ์ของเจ้าของข้อมูลในบทบัญญัติที่ 3 ของ GDPR
(ก) มอบฟังก์ชันของบริการของผู้ประมวลผลข้อมูล
(ข) ปฏิบัติตามความมุ่งมั่นในหัวข้อที่ 9.1 (การตอบสนองต่อคําขอของเจ้าของข้อมูล) และ
(ค) หากเกี่ยวข้องกับบริการของผู้ประมวลผลข้อมูล การทําให้เครื่องมือของเจ้าของข้อมูลพร้อมใช้งาน
10. การโอนข้อมูล
10.1 สถานประกอบการสําหรับการจัดเก็บและการประมวลผลข้อมูล บริษัทยอมรับว่า Jibe อาจปฏิบัติตามส่วนที่ 10.2 (การโอนข้อมูล) จัดเก็บและประมวลผลข้อมูลส่วนตัวของบริษัทในประเทศที่ Jibe หรือผู้ประมวลผลข้อมูลย่อยเป็นผู้ดูแล
10.2 การโอนข้อมูล
หากพื้นที่เก็บข้อมูลและ/หรือการประมวลผลข้อมูลส่วนตัวของบริษัทเกี่ยวข้องกับการโอนข้อมูลส่วนตัวจาก EEA, สวิตเซอร์แลนด์ หรือสหราชอาณาจักรไปยังประเทศที่สามซึ่งไม่อยู่ภายใต้การพิจารณามาตรฐานคุ้มครองที่เพียงพอภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป ให้ทําดังนี้
(ก) จะถือว่าบริษัท (เป็นผู้ส่งออกข้อมูล) ได้เข้าร่วมข้อสัญญามาตรฐานกับ Jibe (ในฐานะผู้นําเข้าข้อมูล)
(ข) การโอนจะอยู่ภายใต้ข้อสัญญามาตรฐาน และ
(ค) การอ้างอิงถึง Google LLC และลูกค้าในข้อสัญญามาตรฐานจะเป็นของ Jibe และบริษัทตามลําดับ
10.3 ข้อมูลเกี่ยวกับศูนย์ข้อมูล ข้อมูลเกี่ยวกับตําแหน่งของศูนย์ข้อมูล Google มีอยู่ที่ www.google.com/about/datacenters/locations/index.html
11. ผู้ประมวลผลข้อมูลย่อย
11.1 ความยินยอมในการมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อย บริษัทอนุญาตการมีส่วนร่วมในแอฟฟิลิเอตของ Jibe ในฐานะผู้ประมวลผลข้อมูลย่อย ("ผู้ประมวลผลข้อมูลย่อยของ Jibe") นอกจากนี้ บริษัทยังอนุญาตการมีส่วนร่วมของบุคคลที่สามรายอื่นๆ ในฐานะผู้ประมวลผลข้อมูลย่อย ("ผู้ประมวลผลข้อมูลย่อยบุคคลที่สาม") หากข้อสัญญามาตรฐานมีผลภายใต้ส่วนที่ 10.2 (การโอนข้อมูล) การให้สิทธิ์ข้างต้นประกอบขึ้นเป็นการประมวลผลข้อมูลของบริษัท
11.2 ข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลย่อย Jibe จะให้ข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลย่อยและสถานที่ตั้งของตนตามคําขอเป็นลายลักษณ์อักษรของบริษัท คําขอดังกล่าวต้องส่งไปยัง Jibe โดยใช้รายละเอียดการติดต่อที่กําหนดไว้ในส่วนที่ 12.1 (การติดต่อ Jibe)
11.3 ข้อกําหนดสําหรับการมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อย เมื่อติดต่อผู้ประมวลผลข้อมูลย่อย Jibe จะดําเนินการดังนี้
(ก) ระบุในสัญญาเพื่อให้มั่นใจว่า
(1) ผู้ประมวลผลจะเข้าถึงและใช้ข้อมูลส่วนตัวของบริษัทเฉพาะในกรณีที่จําเป็นสําหรับการปฏิบัติตามภาระหน้าที่รับการเหมาช่วง และเป็นไปตามข้อตกลง (รวมถึงภาคผนวกว่าด้วยการประมวลผลข้อมูลฉบับนี้) และในกรณีที่มีการบังคับใช้ภายใต้ส่วนที่ 10.2 (การโอนข้อมูล) ข้อสัญญามาตรฐาน และ
(2) หาก GDPR มีผลกับการประมวลผลข้อมูลส่วนตัวของบริษัท ภาระหน้าที่ในการคุ้มครองข้อมูลในมาตราที่ 28(3) ของ GDPR จะบังคับใช้กับผู้ประมวลผลข้อมูลย่อย และ
(ข) ยอมรับความรับผิดทุกประการสําหรับภาระหน้าที่ทั้งหมดที่ผู้ประมวลผลข้อมูลย่อยได้รับการเหมาช่วง รวมถึงการกระทําหรือการละเลยทั้งหมดของผู้ประมวลผลข้อมูลย่อย
11.4 โอกาสในการคัดค้านการเปลี่ยนแปลงผู้ประมวลผลข้อมูลย่อย
(ก) เมื่อผู้ประมวลผลข้อมูลบุคคลที่สามรายใหม่เข้ามามีส่วนร่วมในช่วงวาระนี้ Jibe จะแจ้งให้บริษัทมีส่วนร่วมในการมีส่วนร่วม (รวมถึงชื่อและสถานที่ตั้งของผู้ประมวลผลข้อมูลย่อยและกิจกรรมที่จะดําเนินการ) ด้วยการส่งอีเมลไปยังอีเมลสําหรับการแจ้งเตือนอย่างน้อย 30 วันก่อนที่ผู้ประมวลผลข้อมูลบุคคลที่สามรายใหม่จะประมวลผลข้อมูลส่วนตัวของบริษัท
(ข) บริษัทอาจคัดค้านผู้ประมวลผลข้อมูลบุคคลที่สามรายใหม่โดยสิ้นสุดข้อตกลงทันทีด้วยการแจ้งให้ Jibe ทราบเงื่อนไขที่บริษัทแจ้งให้ทราบล่วงหน้าภายใน 90 วันหลังจากได้รับแจ้งเกี่ยวกับการมีส่วนร่วมของผู้ประมวลผลข้อมูลบุคคลที่สามรายใหม่ตามที่อธิบายไว้ในส่วนที่ 11.4(ก) การสิ้นสุดดังกล่าวจะเป็นการเยียวยาเพียงวิธีเดียวสําหรับบริษัท หากบริษัทคัดค้านผู้ประมวลผลข้อมูลย่อยรายใหม่ซึ่งเป็นบุคคลที่สาม
12. การติดต่อ Jibe; กําลังบันทึกระเบียน
12.1 การติดต่อ Jibe บริษัทอาจติดต่อ Jibe เกี่ยวกับเอกสารแนบท้ายการประมวลผลข้อมูลฉบับนี้ผ่านผู้ติดต่อด้านการคุ้มครองข้อมูล JiS ของ Jibe ซึ่งติดต่อได้ผ่าน http://issuestracker.google.com หรือผ่านวิธีอื่นๆ ที่ Jibe อาจระบุไว้เป็นครั้งคราว
12.2 ระเบียนการประมวลผลของ Jibe บริษัทรับทราบว่า Jibe จําเป็นต้องอยู่ภายใต้ GDPR เพื่อดําเนินการต่อไปนี้ (ก) รวบรวมและเก็บบันทึกข้อมูลบางอย่าง รวมถึงชื่อและข้อมูลติดต่อของผู้ประมวลผลข้อมูลและ/หรือผู้ควบคุมข้อมูลแต่ละรายในนามของ Jibe ที่กําลังดําเนินการ และ (หากเกี่ยวข้อง) ของตัวแทนท้องถิ่นและเจ้าหน้าที่คุ้มครองข้อมูลของผู้ประมวลผลข้อมูลหรือผู้ควบคุมข้อมูล และ (ข) เปิดเผยข้อมูลดังกล่าวต่อหน่วยงานกํากับดูแล ดังนั้น บริษัทได้ให้ข้อมูลดังกล่าวแก่อินเทอร์เฟซผู้ใช้ของบริการของผู้ประมวลผลข้อมูลแก่ Jibe หรือผ่านวิธีการอื่นๆ ที่ Jibe อาจกําหนดไว้ และจะใช้อินเทอร์เฟซผู้ใช้ดังกล่าวหรือวิธีการอื่นๆ เพื่อดูแลให้ข้อมูลทั้งหมดที่ให้ไว้มีความถูกต้องและเป็นปัจจุบันอยู่เสมอ
13. ความรับผิด
13.1 ความรับผิดสูงสุด ไม่ว่าสิ่งอื่นใดในข้อตกลงนี้ ความรับผิดทั้งหมดของคู่สัญญาฝ่ายหนึ่งฝ่ายใดภายใต้หรือที่เกี่ยวข้องกับภาคผนวกของการประมวลผลข้อมูลนี้จะถูกจํากัดไม่ให้มีมูลค่าสูงสุดเป็นเงินหรือการชําระเงินตามข้อตกลงของฝ่ายนั้น (ดังนั้นจึงยกเว้นความรับผิดต่อการรักษาข้อมูลที่เป็นความลับหรือการอ้างสิทธิ์ที่ชดใช้ค่าเสียหายจากข้อจํากัดข้อผูกมัดตามข้อตกลงนี้ กับข้อจํากัดความรับผิดเรื่องการละเมิดข้อผูกมัดตามข้อตกลงนี้ ไม่มีข้อกําหนดใดในส่วนที่ 13 นี้ (ความรับผิด) จะยกเว้นหรือจํากัดความรับผิดของคู่สัญญาฝ่ายใดฝ่ายหนึ่งสําหรับ: (ก) การเสียชีวิตหรือการบาดเจ็บที่เกิดจากความประมาทของตนหรือความประมาทของพนักงานหรือตัวแทน (ข) การประพฤติมิชอบหรือการสื่อให้เข้าใจผิดอันเป็นการฉ้อโกง หรือ (ค) กรณีที่ไม่สามารถละเว้นหรือจํากัดความรับผิดได้ภายใต้กฎหมายที่เกี่ยวข้อง
13.2 ความรับผิดในกรณีที่ข้อสัญญามาตรฐานมีผล หากข้อสัญญามาตรฐานมีผลภายใต้ส่วนที่ 10.2 (การโอนข้อมูล) ความรับผิดรวมทั้งหมดของคู่สัญญาแต่ละฝ่ายและบริษัทในเครือต่อคู่สัญญาอีกฝ่ายและบริษัทในเครือภายใต้หรือที่เกี่ยวข้องกับข้อตกลง และข้อสัญญามาตรฐานที่รวมจะอยู่ภายใต้ส่วนที่ 13.1 (ความรับผิดสูงสุด)
14. ผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม
หากบริษัทในเครือของคู่สัญญาเป็นคู่สัญญาในข้อสัญญามาตรฐานที่มีผลบังคับใช้ภายใต้ส่วนที่ 10.2 (การโอนข้อมูล) แอฟฟิลิเอตดังกล่าวจะเป็นผู้รับผลประโยชน์ที่เป็นบุคคลที่สามตามมาตราที่ 6.2 (วันหมดอายุของข้อกําหนด), 7.5 (การตรวจสอบและการประเมินการปฏิบัติตามข้อกําหนด), 9.1 (การตอบกลับข้อ 1. การใช้ข้อ 1. การมีส่วนร่วม 1. ในกรณีที่ส่วนที่ 14 (ผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม) นี้ขัดแย้งหรือไม่สอดคล้องกับข้อย่อยอื่นๆ ในข้อตกลง ส่วนที่ 14 (ผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม) นี้จะมีผลบังคับใช้
15. ผลกระทบของเอกสารแนบท้ายการประมวลผลข้อมูลนี้
หากมีข้อขัดแย้งหรือความไม่สอดคล้องกันระหว่างข้อสัญญามาตรฐาน ข้อกําหนดเพิ่มเติมสําหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป เอกสารแนบท้ายการประมวลผลข้อมูลฉบับนี้ และส่วนที่เหลือของข้อตกลงจะมีผลบังคับใช้ตามลําดับความสําคัญต่อไปนี้
(ก) ข้อสัญญามาตรฐาน
(ข) ข้อกําหนดเพิ่มเติมสําหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป
(ค) ส่วนที่เหลือของข้อกําหนดการประมวลผลข้อมูลเหล่านี้ และ
(ง) ส่วนที่เหลือของข้อตกลง
หากมีการแปลข้อตกลงนี้ (รวมถึงภาคผนวก) เป็นภาษาอื่น และข้อความที่แปลแล้วขัดแย้งกับหรือไม่สอดคล้องกับข้อความภาษาอังกฤษ ข้อความภาษาอังกฤษจะมีผลบังคับใช้
ข้อตกลงจะยังคงมีผลบังคับอย่างสมบูรณ์ภายใต้การแก้ไขเอกสารแนบท้ายการประมวลผลข้อมูลฉบับนี้
16. การเปลี่ยนแปลงเอกสารแนบท้ายการประมวลผลข้อมูลนี้
16.1 การเปลี่ยนแปลง URL บางครั้ง Jibe อาจเปลี่ยนแปลง URL ที่อ้างอิงในเอกสารแนบท้ายการประมวลผลข้อมูลนี้และเนื้อหาใน URL ใดๆ ดังกล่าว ยกเว้นเพราะ Jibe สามารถเปลี่ยนแปลงข้อสัญญามาตรฐานเท่านั้นตามมาตราที่ 16.2(b) - 16.2(d) (การเปลี่ยนแปลงข้อกําหนดการประมวลผลข้อมูล) ข้อกําหนดฉบับใหม่ๆ ของข้อกําหนดนี้
16.2 การเปลี่ยนแปลงข้อกําหนดการประมวลผลข้อมูล Jibe อาจเปลี่ยนแปลงภาคผนวกการประมวลผลข้อมูล นี้หากการเปลี่ยนแปลง
(ก) ได้รับอนุญาตอย่างชัดเจนโดยเอกสารแนบท้ายการประมวลผลข้อมูลฉบับนี้ ซึ่งรวมถึงอธิบายไว้ในส่วนที่ 16.1 (การเปลี่ยนแปลง URL)
(ข) แสดงถึงการเปลี่ยนแปลงชื่อหรือรูปแบบของนิติบุคคล
(ค) เป็นสิ่งที่จําเป็นเพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้อง กฎข้อบังคับที่เกี่ยวข้อง คําสั่งศาล หรือคําแนะนําที่มาจากหน่วยงานกํากับดูแลหรือหน่วยงานภาครัฐ หรือ
(ง) ไม่ (1) ส่งผลให้เกิดการลดทอนความปลอดภัยโดยรวมของบริการของผู้ประมวลผลข้อมูล (2) ขยายขอบเขตหรือนําข้อจํากัดใดๆ ออกใน (2) ในกรณีของข้อกําหนดเพิ่มเติมสําหรับการคุ้มครองข้อมูลที่ไม่ใช่ของยุโรป นิติบัญญัติ สิทธิของ Jibe ในการใช้หรือประมวลผลข้อมูลในขอบเขตเพิ่มเติมของข้อกําหนดการประมวลผลข้อมูล โดยกฎเหล่านี้
16.3 การแจ้งเตือนการเปลี่ยนแปลง หาก Jibe ต้องการเปลี่ยนภาคผนวกของการประมวลผลข้อมูลภายใต้ส่วนที่ 16.2(ค) หรือ (ง) นั้น Jibe จะแจ้งให้บริษัททราบอย่างน้อย 30 วัน (หรือระยะเวลาสั้นๆ ดังกล่าวตามที่จําเป็นต่อการปฏิบัติตามกฎหมายที่เกี่ยวข้อง กฎระเบียบที่เกี่ยวข้อง คําสั่งศาลหรือคําแนะนําที่ออกโดยหน่วยงานภาครัฐหรือหน่วยงาน) ก่อนที่การเปลี่ยนแปลงจะมีผลโดยทางอีเมล หรือเพื่อ หากบริษัทปฏิเสธการเปลี่ยนแปลงใดๆ ดังกล่าว บริษัทสามารถบอกเลิกข้อตกลงได้โดยแจ้งเป็นลายลักษณ์อักษรแก่ Jibe ภายใน 90 วันนับจากที่ Jibe ทราบเกี่ยวกับการเปลี่ยนแปลง
ภาคผนวก 1: เรื่องและรายละเอียดของการประมวลผลข้อมูล
เรื่อง
Jibe ที่มอบบริการสําหรับผู้ประมวลผลข้อมูลและฝ่ายสนับสนุนด้านเทคนิคที่เกี่ยวข้องแก่บริษัท
ระยะเวลาการประมวลผลข้อมูล
ข้อกําหนดบวกกับระยะเวลาจากวันหมดอายุของข้อกําหนดจนกว่าจะลบข้อมูลส่วนตัวทั้งหมดของบริษัทโดย Jibe ตามเอกสารแนบท้ายการประมวลผลข้อมูลนี้
ลักษณะและวัตถุประสงค์ของการประมวลผลข้อมูล
Jibe จะประมวลผลข้อมูลส่วนตัวของบริษัทเพื่อวัตถุประสงค์ในการมอบบริการ/การสนับสนุนทางเทคนิคที่เกี่ยวข้องแก่บริษัทตามเอกสารแนบท้ายการประมวลผลข้อมูล (รวมถึงที่เกี่ยวข้องกับบริการของผู้ประมวลผลข้อมูลและวิธีการที่อธิบายไว้ในข้อ 5.2 (วิธีการของบริษัท)
ประเภทของข้อมูลส่วนตัว
ข้อมูลส่วนตัวที่เกี่ยวข้องกับบุคคลให้ Jibe ผ่านบริการประมวลผล โดย (หรือที่มาจาก) บริษัทหรือโดยผู้ใช้ปลายทางของบริษัท
หมวดหมู่ของเจ้าของข้อมูล
เจ้าของข้อมูล ได้แก่ บุคคลที่อยู่ในข้อมูลที่ให้ Jibe ผ่านบริการประมวลผลโดย (หรือที่มาจาก) บริษัทหรือโดยผู้ใช้ปลายทางของบริษัท
ภาคผนวก 2: มาตรการการรักษาความปลอดภัย
นับตั้งแต่วันที่มีผลของข้อกําหนด Jibe จะใช้และรักษามาตรการการรักษาความปลอดภัยในภาคผนวก 2 นี้ Jibe อาจอัปเดตหรือแก้ไขมาตรการการรักษาความปลอดภัยดังกล่าวเป็นระยะๆ โดยที่การอัปเดตและการปรับเปลี่ยนดังกล่าวจะไม่ส่งผลให้เกิดความปลอดภัยโดยรวมของบริการของผู้ประมวลผลข้อมูล
1. ศูนย์ข้อมูลและความปลอดภัยเครือข่าย
(ก) ศูนย์ข้อมูล
โครงสร้างพื้นฐาน Jibe มีศูนย์ข้อมูลที่กระจายอยู่ตามพื้นที่ทางภูมิศาสตร์ Jibe เก็บข้อมูลการผลิตทั้งหมดไว้ในศูนย์ข้อมูลที่มีความปลอดภัยทางกายภาพ
การสํารอง โครงสร้างพื้นฐานได้รับการออกแบบให้กําจัดจุดความล้มเหลวแต่ละจุด และลดความเสี่ยงทางสภาพแวดล้อมที่คาดว่าจะเกิดขึ้นให้เหลือน้อยที่สุด วงจรคู่ สวิตช์ เครือข่าย หรืออุปกรณ์อื่นๆ ที่จําเป็นช่วยให้มีการสํารองการทํางานแบบซ้อน บริการสําหรับผู้ประมวลผลข้อมูลได้รับการออกแบบมาเพื่อช่วยให้ Jibe สามารถดําเนินการบํารุงรักษาเชิงป้องกันและเชิงแก้ไขได้โดยปราศจากความขัดข้อง เครื่องมือและสิ่งอํานวยความสะดวกในสภาพแวดล้อมทั้งหมดมีขั้นตอนการบํารุงรักษาเชิงป้องกันและเชิงแก้ไขที่มีเอกสารประกอบซึ่งอธิบายรายละเอียดและกระบวนการและความถี่ในการดําเนินการ โดยเป็นไปตามข้อกําหนดของผู้ผลิตหรือของภายใน มีการจัดตารางการบํารุงรักษาเชิงป้องกันและเชิงแก้ไขสําหรับอุปกรณ์ของศูนย์ข้อมูลให้อยู่ในกระบวนการมาตรฐานตามขั้นตอนที่อยู่ในเอกสารประกอบ
พลังงาน ระบบพลังงานไฟฟ้าของศูนย์ข้อมูลได้รับการออกแบบมาให้มีการสํารองการทํางานแบบซ้อนและสามารถบํารุงรักษาได้โดยไม่มีผลกระทบต่อการทํางานอย่างต่อเนื่องตลอด 24 ชั่วโมงทุกวัน ในกรณีส่วนใหญ่แล้วจะมีการจัดสรรแหล่งพลังงานหลักและพลังงานสํารองที่มีกําลังไฟฟ้าเท่ากันให้กับองค์ประกอบที่เป็นโครงสร้างพื้นฐานของศูนย์ข้อมูล กลไกการสํารองต่างๆ มีกระแสไฟสํารอง เช่น แบตเตอรี่สํารอง (UPS) ซึ่งสามารถจ่ายไฟได้อย่างมีประสิทธิภาพอย่างสม่ําเสมอในขณะที่ยังอยู่ในโหมดขาดแคลนไฟฟ้า ช่วงหยุดทํางาน แรงดันไฟฟ้า แรงดันไฟฟ้าต่ํา และสภาวะความไม่ทนทาน หากพลังงานสาธารณูปโภคเกิดความขัดข้อง จะมีระบบพลังงานสํารองที่ออกแบบมาเพื่อจ่ายไฟชั่วคราวให้กับศูนย์ข้อมูลด้วยอัตราสูงสุด ซึ่งใช้งานได้นานที่สุดถึง 10 นาทีจนกว่าระบบดีเซลจะเข้ามาแทนที่ เครื่องยนต์ดีเซลจะเริ่มทํางานโดยอัตโนมัติได้ภายในไม่กี่วินาทีเพื่อจ่ายพลังงานไฟฟ้าสํารองฉุกเฉินที่เพียงพอสําหรับการเรียกใช้หน่วยกําลังการผลิตเต็มความจุโดยเฉลี่ย 1 วัน
ระบบปฏิบัติการของเซิร์ฟเวอร์ เซิร์ฟเวอร์ Jibe ใช้ระบบปฏิบัติการที่ปิดช่องโหว่แล้วซึ่งปรับแต่งมาให้เหมาะกับความต้องการด้านเซิร์ฟเวอร์ที่ไม่ซ้ํากันของธุรกิจ ข้อมูลได้รับการจัดเก็บด้วยอัลกอริทึมเป็นกรรมสิทธิ์เพื่อเสริมประสิทธิภาพการรักษาความปลอดภัยและการสํารองการทํางานแบบซ้อน Jibe ใช้กระบวนการตรวจสอบโค้ดเพื่อยกระดับความปลอดภัยของโค้ดที่ใช้ในการให้บริการผู้ประมวลผลข้อมูล และเพิ่มประสิทธิภาพผลิตภัณฑ์ด้านความปลอดภัยในสภาพแวดล้อมการใช้งานจริง
ความต่อเนื่องของธุรกิจ Jibe จําลองข้อมูลในหลายระบบเพื่อช่วยป้องกันการทําลายหรือสูญเสียโดยไม่ได้ตั้งใจ Jibe ได้ออกแบบและวางแผน และทดสอบแผนความต่อเนื่องทางธุรกิจ/โปรแกรมการกู้ข้อมูลคืนหลังจากภัยพิบัติอยู่เป็นประจํา
(ข) เครือข่ายและการถ่ายโอน
การส่งข้อมูล โดยปกติแล้วศูนย์ข้อมูลจะเชื่อมต่อกันด้วยลิงก์ส่วนตัวแบบความเร็วสูง เพื่อให้การโอนข้อมูลระหว่างศูนย์ข้อมูลแต่ละแห่งมีความปลอดภัยและรวดเร็ว ทั้งนี้เพื่อป้องกันไม่ให้ข้อมูลถูกเปิดอ่าน คัดลอก ดัดแปลง หรือถูกลบโดยไม่ได้รับอนุญาตในระหว่างการถ่ายโอนผ่านระบบอิเล็กทรอนิกส์หรือการรับส่งข้อมูล หรือระหว่างการบันทึกข้อมูลลงในสื่อการจัดเก็บข้อมูล Jibe โอนข้อมูลผ่านโปรโตคอลมาตรฐานสําหรับอินเทอร์เน็ต
ช่องทางการโจมตีจากภายนอก Jibe ใช้อุปกรณ์เครือข่ายและการตรวจจับการบุกรุกแบบหลายชั้นในการป้องกันช่องทางการโจมตีจากภายนอก Jibe จะพิจารณาถึงเวกเตอร์การโจมตีที่เป็นไปได้ และนําเทคโนโลยีที่ได้รับการออกแบบตามวัตถุประสงค์โดยเฉพาะมาใช้ในระบบการป้องกันภายนอก
การตรวจจับการบุกรุก การตรวจจับการบุกรุกมีวัตถุประสงค์ในการให้ข้อมูลเชิงลึกในกิจกรรมการโจมตีที่กําลังเกิดขึ้น และให้ข้อมูลที่เพียงพอสําหรับตอบสนองต่อเหตุการณ์ การตรวจจับการบุกรุกของ Jibe ประกอบไปด้วยการดําเนินการต่อไปนี้
การควบคุมขนาดและลักษณะของช่องทางการโจมตีของ Jibe อย่างรัดกุมด้วยมาตรการเชิงป้องกัน
ใช้ตัวควบคุมการตรวจจับแบบอัจฉริยะในจุดแรกเข้าของข้อมูล และ
ใช้เทคโนโลยีที่สามารถบรรเทาสถานการณ์อันตรายบางอย่างได้โดยอัตโนมัติ
การตอบสนองต่อเหตุการณ์ Jibe ตรวจสอบช่องทางการสื่อสารต่างๆ เพื่อค้นหาเหตุการณ์ด้านความปลอดภัย และบุคลากรด้านความปลอดภัยของ Jibe จะตอบสนองต่อเหตุการณ์ที่ทราบทันที
เทคโนโลยีการเข้ารหัส Jibe มีการเข้ารหัส HTTPS (หรือเรียกได้อีกอย่างว่าการเชื่อมต่อแบบ SSL หรือ TLS) ให้ใช้งาน เซิร์ฟเวอร์ Jibe รองรับเส้นโค้งการเข้ารหัสแบบ Ephemeral Elliptic Curve ซึ่งรับรองการแลกเปลี่ยนคีย์การเข้ารหัส Diffie Hellman ที่ลงนามด้วย RSA และ ECDSA เมธอด Forward Secrecy แบบสมบูรณ์ (PFS) เหล่านี้จะช่วยปกป้องการรับส่งข้อมูลและลดผลกระทบจากคีย์ที่ถูกขโมยหรือการเจาะระบบแบบวิทยาการเข้ารหัสลับให้น้อยที่สุด
2. การเข้าถึงและการควบคุมพื้นที่
(ก) การควบคุมพื้นที่
การดําเนินการรักษาความปลอดภัยของศูนย์ข้อมูลในพื้นที่ ศูนย์ข้อมูลของ Jibe มีการรักษาความปลอดภัยในพื้นที่สําหรับศูนย์ข้อมูลทางกายภาพตลอด 24 ชั่วโมง บุคลากรส่วนการรักษาความปลอดภัยในพื้นที่จะตรวจสอบกล้องโทรทัศน์วงจรปิด ("CCTV") และระบบสัญญาณเตือนภัยทั้งหมด บุคลากรส่วนการรักษาความปลอดภัยในพื้นที่จะทําการลาดตระเวนทั้งภายในและภายนอกศูนย์ข้อมูลเป็นประจํา
กระบวนการเข้าถึงศูนย์ข้อมูล Jibe ยังคงกระบวนการเข้าถึงอย่างเป็นทางการในการให้สิทธิ์เข้าถึงศูนย์ข้อมูลที่จับต้องได้ ศูนย์ข้อมูลจะอยู่ในสถานประกอบการที่ใช้การเข้าถึงด้วยคีย์การ์ดอิเล็กทรอนิกส์ พร้อมสัญญาณเตือนภัยที่เชื่อมต่อกับส่วนการรักษาความปลอดภัยในพื้นที่ ผู้เข้าใช้งานศูนย์ข้อมูลทุกคนจะต้องพิสูจน์ตัวตนและแสดงหลักฐานยืนยันตัวตนในส่วนการรักษาความปลอดภัยในพื้นที่ โดยจะมีเพียงพนักงานประจํา พนักงานสัญญาจ้าง และผู้เยี่ยมชมเท่านั้นที่ได้รับอนุญาตให้เข้าไปยังศูนย์ข้อมูล เฉพาะพนักงานประจําและพนักงานสัญญาจ้างที่ได้รับอนุญาตให้ส่งเรื่องขอการเข้าถึงผ่านคีย์การ์ดอิเล็กทรอนิกส์ในสถานประกอบการเหล่านี้ การส่งเรื่องขอการเข้าถึงผ่านคีย์การ์ดอิเล็กทรอนิกส์ในศูนย์ข้อมูลต้องมีการดําเนินการล่วงหน้าเป็นลายลักษณ์อักษร และต้องได้รับการอนุมัติจากผู้จัดการของผู้ขอและผู้อํานวยการศูนย์ข้อมูล ผู้เข้าประกวดคนอื่นๆ ทั้งหมดที่ต้องการสิทธิ์เข้าถึงศูนย์ข้อมูลชั่วคราวจะต้อง (1) ขอรับการอนุมัติล่วงหน้าจากผู้จัดการศูนย์ข้อมูลสําหรับศูนย์ข้อมูลและพื้นที่ภายในที่ตนต้องการไป (2) ลงชื่อเข้าใช้งานการรักษาความปลอดภัยในพื้นที่ และ (3) อ้างอิงบันทึกการเข้าถึงศูนย์ข้อมูลที่ได้รับอนุมัติ
อุปกรณ์การรักษาความปลอดภัยของศูนย์ข้อมูลในพื้นที่ ศูนย์ข้อมูลของ Jibe ใช้คีย์การ์ดอิเล็กทรอนิกส์และระบบควบคุมการเข้าถึงแบบไบโอเมตริกที่ลิงก์กับระบบสัญญาณเตือนภัย ระบบควบคุมการเข้าถึงจะตรวจสอบและบันทึกคีย์การ์ดอิเล็กทรอนิกส์ของแต่ละบุคคล รวมถึงตรวจสอบและบันทึกข้อมูลเมื่อบุคคลเหล่านี้เข้า-ออกประตูในพื้นที่ ส่วนการรับส่งพัสดุ และพื้นที่สําคัญอื่นๆ ระบบควบคุมการเข้าถึงจะบันทึกกิจกรรมที่ไม่ได้รับอนุญาตและการพยายามเข้าถึงที่ไม่สําเร็จ และจะทําการตรวจสอบตามที่จําเป็น การเข้าถึงที่ได้รับอนุญาตในส่วนการดําเนินธุรกิจและในศูนย์ข้อมูลจะถูกจํากัดตามพื้นที่และหน้าที่รับผิดชอบในงานของแต่ละบุคคล ประตูหนีไฟในศูนย์ข้อมูลมีการติดตั้งสัญญาณเตือนภัย กล้องวงจรปิดจะสอดส่องทั้งภายในและภายนอกศูนย์ข้อมูล ตําแหน่งการติดตั้งกล้องวงจรปิดได้รับการออกแบบมาให้ครอบคลุมพื้นที่ทางยุทธศาสตร์ต่างๆ ซึ่งรวมไปถึงเขตกั้นพื้นที่ ประตูที่นําไปยังอาคารศูนย์ข้อมูล และส่วนการรับส่งพัสดุ บุคลากรส่วนการรักษาความปลอดภัยในพื้นที่จะมีหน้าที่ในการจัดการการตรวจสอบ การบันทึก และอุปกรณ์ควบคุมกล้องวงจรปิด อุปกรณ์เกี่ยวกับกล้องวงจรปิดมีการเชื่อมต่อด้วยสายเคเบิลที่มีความแน่นหนาทั่วทั้งศูนย์ข้อมูล กล้องจะทําการบันทึกภาพในพื้นที่ผ่านอุปกรณ์วิดีโอดิจิทัลตลอด 24 ชั่วโมง ระบบจะเก็บบันทึกการเฝ้าระวังไว้อย่างน้อย 7 วันโดยอิงตามกิจกรรม
(ข) การควบคุมการเข้าถึง
บุคลากรส่วนการรักษาความปลอดภัยในโครงสร้างพื้นฐาน Jibe มีนโยบายการรักษาความปลอดภัยสําหรับบุคลากรอย่างต่อเนื่อง และกําหนดให้มีการฝึกอบรมด้านการรักษาความปลอดภัยซึ่งนับเป็นส่วนหนึ่งของแผนการฝึกอบรมบุคลากร บุคลากรส่วนการรักษาความปลอดภัยใน Jibe มีหน้าที่ตรวจสอบโครงสร้างพื้นฐานด้านความปลอดภัยของ Jibe อย่างต่อเนื่อง ตรวจสอบบริการผู้ประมวลผลข้อมูล และตอบสนองต่อเหตุการณ์ด้านความปลอดภัย
การควบคุมการเข้าถึงและการจัดการสิทธิ์ ผู้ดูแลระบบและผู้ใช้ของบริษัทต้องตรวจสอบสิทธิ์ของตนเองผ่านระบบการตรวจสอบสิทธิ์ส่วนกลางหรือผ่านระบบการลงชื่อเพียงครั้งเดียวจึงจะใช้บริการสําหรับผู้ประมวลผลข้อมูลได้
กระบวนการและนโยบายการเข้าถึงข้อมูลภายในของ - นโยบายการเข้าถึง กระบวนการและนโยบายการเข้าถึงข้อมูลภายในของ Jibe ได้รับการออกแบบมาเพื่อป้องกันไม่ให้บุคคลและ/หรือระบบที่ไม่ได้รับอนุญาตเข้าถึงระบบที่ใช้ในการประมวลผลข้อมูลส่วนตัว Jibe มุ่งออกแบบระบบเพื่อ (1) เปิดโอกาสให้เฉพาะบุคคลที่ได้รับอนุญาตเข้าถึงข้อมูลที่บุคคลเหล่านั้นได้รับอนุญาตให้เข้าถึงเท่านั้น และ (2) เพื่อให้มั่นใจว่าจะไม่มีการอ่าน คัดลอก ดัดแปลง หรือลบข้อมูลส่วนตัวโดยไม่ได้รับอนุญาตในระหว่างการประมวลผล ระหว่างการใช้งาน และระหว่างการบันทึกข้อมูล โดยระบบนี้ได้รับการออกแบบมาเพื่อตรวจจับการเข้าถึงที่ไม่เหมาะสม Jibe ใช้ระบบการจัดการการเข้าถึงแบบรวมศูนย์เพื่อควบคุมการเข้าถึงเซิร์ฟเวอร์การผลิตของบุคลากร และจะให้สิทธิ์การเข้าถึงเฉพาะบุคคลที่ได้รับอนุญาตในจํานวนจํากัดเท่านั้น LDAP, Kerberos และระบบที่เป็นกรรมสิทธิ์ซึ่งใช้ใบรับรอง SSH ได้รับการออกแบบมาเพื่อมอบกลไกการเข้าถึงที่ปลอดภัยและยืดหยุ่นให้กับ Jibe โดยกลไกเหล่านี้ได้รับการออกแบบให้มอบสิทธิ์การเข้าถึงที่ถูกต้องเท่านั้นในการโฮสต์เว็บไซต์ การบันทึก ข้อมูลต่างๆ และข้อมูลการกําหนดค่า Jibe กําหนดให้มีการใช้รหัสผู้ใช้ที่ไม่ซ้ํากัน รหัสผ่านที่รัดกุม การตรวจสอบสิทธิ์แบบ 2 ปัจจัย และรายการเข้าถึงที่มีการตรวจสอบอย่างละเอียดเพื่อลดโอกาสในการใช้บัญชีโดยไม่ได้รับอนุญาต การมอบสิทธิ์และการปรับเปลี่ยนสิทธิ์การเข้าถึงจะเป็นไปตามปัจจัยดังนี้: หน้าที่รับผิดชอบในงานของบุคลากรที่ได้รับอนุญาต, เหตุจําเป็นด้านภาระหน้าที่ในการปฏิบัติงานที่ได้รับอนุญาต และหลักการ "เฉพาะข้อมูลที่จําเป็นต้องทราบ" นอกจากนี้การมอบสิทธิ์และการปรับเปลี่ยนสิทธิ์การเข้าถึงจะต้องเป็นไปตามนโยบายและการฝึกอบรมเกี่ยวกับการเข้าถึงข้อมูลภายในของ Jibe ด้วย ขั้นตอนการอนุมัติจะได้รับการจัดการโดยเครื่องมือเวิร์กโฟลว์ที่จะทําการตรวจสอบบันทึกของทุกการเปลี่ยนแปลง การเข้าถึงระบบจะได้รับการบันทึกไว้เพื่อสร้างบันทึกการตรวจสอบความรับผิดชอบ ในส่วนที่มีการใช้รหัสผ่านในการตรวจสอบสิทธิ์ (เช่น การเข้าสู่ระบบเวิร์กสเตชัน) จะมีการใช้นโยบายรหัสผ่านที่อย่างน้อยที่สุดต้องเป็นไปตามหลักปฏิบัติของมาตรฐานอุตสาหกรรม โดยมาตรฐานเหล่านี้จะรวมไปถึงข้อจํากัดในการใช้รหัสผ่านซ้ําและระดับความปลอดภัยของรหัสผ่านที่เพียงพอ
3. ข้อมูล
(ก) การจัดเก็บ การแยกเก็บ และการตรวจสอบสิทธิ์ข้อมูล
Jibe จัดเก็บข้อมูลในสภาพแวดล้อมแบบผู้ใช้หลายรายในเซิร์ฟเวอร์ที่ Jibe เป็นเจ้าของ ข้อมูล ฐานข้อมูลและตัวประมวลผลระบบไฟล์ของตัวประมวลผลจะจําลองมาจากศูนย์ข้อมูลที่กระจายอยู่ตามพื้นที่ต่างๆ Jibe แยกข้อมูลของลูกค้าแต่ละรายตามหลักตรรกะ มีการใช้ระบบการตรวจสอบสิทธิ์ส่วนกลางกับทุกบริการของผู้ประมวลผลข้อมูลเพื่อเพิ่มความปลอดภัยแบบเดียวกัน
(ข) ดิสก์ที่ไม่ใช้งานแล้วและหลักเกณฑ์การทําลายดิสก์
ดิสก์บางรายการที่มีข้อมูลอาจประสบปัญหาด้านประสิทธิภาพ ข้อผิดพลาด หรือฮาร์ดแวร์ที่หยุดชะงักซึ่งทําให้ถูกปลดประจําการ ("ดิสก์ที่ไม่ใช้งานแล้ว") ดิสก์ที่ไม่ใช้งานทั้งหมดจะอยู่ภายใต้กระบวนการทําลายข้อมูล ("หลักเกณฑ์การทําลายข้อมูล") ก่อนที่จะออกจากสถานที่ของ Jibe เพื่อนํามาใช้ซ้ําหรือทําลาย ดิสก์ที่ไม่ใช้งานแล้วจะถูกล้างข้อมูลในหลายขั้นตอน และจะได้รับการตรวจสอบความสมบูรณ์ในการล้างข้อมูลโดยโปรแกรมตรวจสอบ 2 โปรแกรมแยกกัน ผลการล้างข้อมูลจะได้รับการบันทึกไว้ในหมายเลขซีเรียลของดิสก์ที่ไม่ใช้งานแล้วเพื่อใช้ในการติดตาม ในขั้นตอนสุดท้าย ดิสก์ที่ไม่ใช้งานแล้วที่ผ่านการล้างข้อมูลจะถูกส่งออกจากคลังเพื่อนําไปช้ําหรือเพื่อนําไปทําลาย หากไม่สามารถล้างข้อมูลดิสก์ที่ไม่ใช้งานแล้วได้เนื่องจากข้อบกพร่องของฮาร์ดแวร์ ดิสก์จะถูกเก็บไว้อย่างปลอดภัยจนกว่าจะสามารถทําลายได้ สถานประกอบการแต่ละแห่งจะได้รับการประเมินเป็นประจําเพื่อตรวจสอบการปฏิบัติตามหลักเกณฑ์การทําลายข้อมูล
4. ความปลอดภัยของบุคลากร
บุคลากรของ Jibe จะต้องปฏิบัติตนให้สอดคล้องกับแนวทางของบริษัทในเรื่องที่เกี่ยวข้องกับการรักษาความลับ จรรยาบรรณทางธุรกิจ การใช้งานที่เหมาะสม และมาตรฐานทางวิชาชีพ Jibe ดําเนินการตรวจสอบภูมิหลังอย่างสมเหตุสมผลภายในขอบเขตที่กฎหมายอนุญาตและเป็นไปตามกฎหมายแรงงานของท้องถิ่นและข้อบังคับทางกฎหมายที่มีผลบังคับใช้
บุคลากรจะต้องทําข้อตกลงในการรักษาข้อมูลที่เป็นความลับ และลงนามรับทราบและปฏิบัติตามนโยบายด้านการรักษาความลับและความเป็นส่วนตัวของ Jibe บุคลากรจะได้รับการฝึกอบรมด้านการรักษาความปลอดภัย บุคลากรที่ได้รับการจัดการ จะต้องกรอกข้อมูลส่วนบุคคลของบริษัทเพื่อให้เป็นไปตามข้อกําหนดเพิ่มเติมที่เหมาะสมตามบทบาทของตนเอง บุคลากรของ Jibe จะไม่ประมวลผลข้อมูลส่วนตัวของบริษัทโดยไม่ได้รับอนุญาต
5. การรักษาความปลอดภัยของผู้ประมวลผลข้อมูลย่อย
ก่อนที่จะเริ่มต้นผู้ประมวลผลข้อมูลย่อย Jibe จะทําการตรวจสอบแนวทางปฏิบัติด้านความปลอดภัยและความเป็นส่วนตัวของผู้ประมวลผลข้อมูลย่อย เพื่อให้มั่นใจว่าผู้ประมวลผลข้อมูลย่อยจะมีระดับความปลอดภัยและความเป็นส่วนตัวที่เหมาะสมสําหรับการเข้าถึงข้อมูลและขอบเขตของบริการที่ตนมีส่วนร่วม เมื่อ Jibe ประเมินความเสี่ยงของผู้ประมวลผลข้อมูลย่อยแล้ว ผู้ประมวลผลข้อมูลย่อยจะต้องลงนามในข้อกําหนดด้านการรักษาความปลอดภัย ด้านการรักษาข้อมูลที่เป็นความลับ และด้านความเป็นส่วนตัวที่เหมาะสม โดยจะเป็นไปตามข้อกําหนดในส่วนที่ 11.3 (ข้อกําหนดสําหรับการมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อยเสมอ)
ภาคผนวก 3: ข้อกําหนดเพิ่มเติมสําหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป
ข้อกําหนดเพิ่มเติมต่อไปนี้สําหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรปจะเสริมข้อกําหนดการประมวลผลข้อมูลเหล่านี้
- ภาคผนวกเกี่ยวกับผู้ให้บริการ CCPA ที่ privacy.google.com/businesses/gdprprocessorterms/ccpa (วันที่ 27 สิงหาคม 2020)
- ภาคผนวกเกี่ยวกับผู้ประมวลผลข้อมูล LGPD ที่ privacy.google.com/businesses/gdprprocessorrterms/lgpd (วันที่ 27 สิงหาคม 2020)
ข้อกําหนดการประมวลผลข้อมูลของ Jibe เวอร์ชัน 2.0
27 สิงหาคม 2020