แก้ไขล่าสุด: 8 สิงหาคม 2023 | เวอร์ชันก่อนหน้า
Jibe และผู้ที่เกี่ยวข้องซึ่งยอมรับภาคผนวกนี้ ("พาร์ทเนอร์") ได้จัดทำข้อตกลงในการให้บริการผู้ประมวลผลข้อมูล ("ข้อตกลง") ซึ่งแก้ไขเป็นครั้งคราว
ภาคผนวกเกี่ยวกับการประมวลผลข้อมูลนี้ (รวมถึงภาคผนวก "ภาคผนวกเกี่ยวกับการประมวลผลข้อมูล") จัดทำขึ้นโดย Jibe และพาร์ทเนอร์ และเป็นส่วนเพิ่มเติมของข้อตกลง เอกสารแนบท้ายการประมวลผลข้อมูลนี้จะมีผลบังคับใช้และแทนที่ข้อกำหนดที่เกี่ยวข้องใดๆ ก่อนหน้านี้ที่เกี่ยวกับเรื่องของข้อกำหนดเหล่านั้น (รวมถึงข้อกำหนดด้านการประมวลผลข้อมูลและการรักษาความปลอดภัยที่เกี่ยวข้องกับบริการของผู้ประมวลผลข้อมูล) นับตั้งแต่วันที่มีผลของข้อกำหนด
หากคุณยอมรับภาคผนวกการประมวลผลข้อมูลนี้ในนามของพาร์ทเนอร์ แสดงว่าคุณรับประกันว่า (ก) คุณมีอำนาจตามกฎหมายอย่างสมบูรณ์ในการผูกพันพาร์ทเนอร์กับภาคผนวกการประมวลผลข้อมูลนี้ (ข) คุณได้อ่านและทำความเข้าใจภาคผนวกการประมวลผลข้อมูลนี้ และ (ค) คุณยอมรับภาคผนวกการประมวลผลข้อมูลนี้ในนามของพาร์ทเนอร์ หากคุณไม่มีอำนาจตามกฎหมายที่จะผูกพันพาร์ทเนอร์ โปรดอย่ายอมรับภาคผนวกการประมวลผลข้อมูลนี้
1. บทนำ
เอกสารแนบท้ายเกี่ยวกับการประมวลผลข้อมูลนี้แสดงถึงข้อตกลงของคู่สัญญาในข้อกำหนดที่ควบคุมการประมวลผลและการรักษาความปลอดภัยของข้อมูลบางอย่างที่เกี่ยวข้องกับนิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรปและนิติบัญญัติด้านการคุ้มครองข้อมูลที่ไม่ใช่ของยุโรป
2. คำนิยามและการตีความ
2.1 ในเอกสารแนบท้ายการประมวลผลข้อมูลนี้
"ผลิตภัณฑ์เพิ่มเติม" หมายถึงผลิตภัณฑ์ บริการ หรือแอปพลิเคชันที่ให้บริการโดย Jibe หรือบุคคลที่สาม ซึ่ง (ก) ไม่ได้เป็นส่วนหนึ่งของบริการของผู้ประมวลผลข้อมูล และ (ข) สามารถเข้าถึงเพื่อใช้งานภายในอินเทอร์เฟซผู้ใช้ของบริการของผู้ประมวลผลข้อมูล หรือผสานรวมกับบริการของผู้ประมวลผลข้อมูล
"ข้อกำหนดเพิ่มเติมสำหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป" หมายถึงข้อกำหนดเพิ่มเติมที่อ้างถึงในภาคผนวก 3 ซึ่งแสดงถึงข้อตกลงของคู่สัญญาในข้อกำหนดที่ควบคุมการประมวลผลข้อมูลบางอย่างที่เกี่ยวเนื่องกับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป
"ประเทศที่มีระดับการคุ้มครองที่เพียงพอ" หมายถึง
(ก) สําหรับข้อมูลที่ประมวลผลภายใต้ GDPR ของสหภาพยุโรป: EEA หรือประเทศหรือเขตแดนที่รับรองว่ามีการคุ้มครองข้อมูลที่เพียงพอภายใต้ GDPR ของสหภาพยุโรป
(ข) สําหรับข้อมูลที่ประมวลผลภายใต้ GDPR ของสหราชอาณาจักร: สหราชอาณาจักรหรือประเทศหรือเขตแดนที่รับรองว่ามีการคุ้มครองข้อมูลที่เพียงพอภายใต้ GDPR ของสหราชอาณาจักรและกฎหมายคุ้มครองข้อมูลปี 2018 และ/หรือ
(ค) สําหรับข้อมูลที่ประมวลผลภายใต้ FDPA ของสวิตเซอร์แลนด์: สวิตเซอร์แลนด์ หรือประเทศหรือเขตแดนที่ (1) รวมอยู่ในรายชื่อรัฐที่มีกฎหมายรับรองระดับการคุ้มครองที่เพียงพอตามที่คณะกรรมาธิการด้านข้อมูลข่าวสารและการคุ้มครองข้อมูลระดับประเทศ (Federal Data Protection and Information Commissioner) ของสวิตเซอร์แลนด์เผยแพร่ หรือ (2) ได้รับการรับรองว่ามีการคุ้มครองข้อมูลที่เพียงพอโดยสภาแห่งชาติของสวิตเซอร์แลนด์ภายใต้ FDPA ของสวิตเซอร์แลนด์ ในแต่ละกรณี นอกเหนือจากการอิงตามกรอบการคุ้มครองข้อมูลที่ไม่บังคับ
"โซลูชันการโอนทางเลือกอื่น" หมายถึงโซลูชันที่ไม่ใช่ SCC ซึ่งใช้ในการถ่ายโอนข้อมูลส่วนบุคคลอย่างถูกกฎหมายไปยังประเทศที่ 3 ตามกฎหมายคุ้มครองข้อมูลของยุโรป เช่น กรอบการคุ้มครองข้อมูลที่ได้รับการยอมรับว่าช่วยให้มั่นใจว่านิติบุคคลในท้องถิ่นที่เข้าร่วมให้การคุ้มครองที่เพียงพอ
"เหตุการณ์ที่ส่งผลต่อข้อมูล" หมายถึง การละเมิดความปลอดภัยของ Jibe ซึ่งทำให้ข้อมูลส่วนตัวของพาร์ทเนอร์เกิดการถูกทำลาย การสูญเสีย การดัดแปลง การเปิดเผยหรือการเข้าถึงโดยไม่ได้รับอนุญาตในระบบที่ได้รับการจัดการหรือควบคุมโดย Jibe โดยไม่ว่าจะด้วยอุบัติเหตุหรือด้วยการกระทำที่มิชอบด้วยกฎหมาย "เหตุการณ์ที่ส่งผลต่อข้อมูล" จะไม่ครอบคลุมถึงความพยายามที่ไม่สำเร็จหรือกิจกรรมที่ไม่กระทบต่อความปลอดภัยของข้อมูลส่วนตัวของพาร์ทเนอร์ ซึ่งรวมถึงความพยายามเข้าสู่ระบบที่ไม่สำเร็จ, การใช้คำสั่ง ping, การสแกนพอร์ต, การโจมตีแบบปฏิเสธการให้บริการ และการโจมตีเครือข่ายอื่นๆ บนไฟร์วอลล์หรือระบบเครือข่าย
"เครื่องมือสำหรับเจ้าของข้อมูล" หมายถึงเครื่องมือ (หากมี) ที่นิติบุคคล Jibe ให้บริการแก่เจ้าของข้อมูล ซึ่งช่วยให้ Jibe ตอบกลับคำขอบางอย่างจากเจ้าของข้อมูลเกี่ยวกับข้อมูลส่วนตัวของพาร์ทเนอร์ได้โดยตรงและเป็นมาตรฐาน (เช่น การตั้งค่าการโฆษณาออนไลน์หรือปลั๊กอินเบราว์เซอร์สำหรับการเลือกไม่ใช้)
"EEA" หมายถึงเขตเศรษฐกิจยุโรป
"GDPR ของสหภาพยุโรป" หมายถึง กฎระเบียบ (สหภาพยุโรป) 2016/679 ของรัฐสภายุโรปและคณะกรรมการยุโรป ลงวันที่ 27 เมษายน 2016 ว่าด้วยการคุ้มครองบุคคลธรรมดาที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนตัวและการเคลี่อนย้ายข้อมูลดังกล่าวโดยเสรี และการยกเลิกคำสั่งที่ 95/46/EC
"นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป" (ตามที่ใช้บังคับ) หมายถึง (ก) GDPR และ/หรือ (ข) FDPA ของสวิตเซอร์แลนด์
"กฎหมายของยุโรป" ตามที่ใช้บังคับหมายถึง (ก) กฎหมายของสหภาพยุโรปหรือประเทศที่เป็นสมาชิกสหภาพยุโรป (หากกฎหมาย GDPR ของสหภาพยุโรปมีผลบังคับใช้กับการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์) และ/หรือ (ข) กฎหมายของสหราชอาณาจักรหรือรัฐที่เป็นส่วนหนึ่งของสหราชอาณาจักร (หากกฎหมาย GDPR ของสหราชอาณาจักรมีผลบังคับใช้กับการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์)
"GDPR" ตามที่ใช้บังคับ หมายถึง (ก) GDPR ของสหภาพยุโรป และ/หรือ (ข) GDPR ของสหราชอาณาจักร
"Jibe" หมายถึงนิติบุคคล Jibe ที่เป็นคู่สัญญาในข้อตกลง
"นิติบุคคลของ Jibe" หมายถึง Jibe Mobile, Inc., Jibe Mobile Limited หรือนิติบุคคลอื่นๆ ที่ควบคุมโดยตรงหรือโดยอ้อม ถูกควบคุมโดย หรืออยู่ภายใต้การควบคุมร่วมกันกับ Jibe Mobile, Inc.
"การรับรองมาตรฐาน ISO 27001" หมายถึงการรับรอง ISO/IEC 27001:2013 หรือการรับรองที่เทียบเท่าสำหรับบริการผู้ประมวลผลข้อมูล
"ผู้ประมวลผลข้อมูลย่อยรายใหม่" มีความหมายตามที่ระบุไว้ในส่วนที่ 11.1 (ความยินยอมต่อการมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อย)
"นิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป" หมายถึงกฎหมายว่าด้วยการคุ้มครองข้อมูลและกฎหมายด้านความเป็นส่วนตัวที่บังคับใช้นอก EEA, สวิตเซอร์แลนด์ และสหราชอาณาจักร
"อีเมลสำหรับการแจ้งเตือน" หมายถึงอีเมล (หากมี) ที่ (1) พาร์ทเนอร์ให้ไว้กับ Jibe หรือ (2) พาร์ทเนอร์กำหนดไว้ผ่านอินเทอร์เฟซผู้ใช้ของบริการผู้ประมวลผลข้อมูลหรือวิธีอื่นๆ ที่ Jibe ระบุไว้เพื่อรับการแจ้งเตือนบางอย่างจาก Jibe ที่เกี่ยวข้องกับเอกสารแนบท้ายเกี่ยวกับการประมวลผลข้อมูลนี้ เพื่อความชัดเจน พาร์ทเนอร์มีหน้าที่รับผิดชอบในการระบุอีเมลสำหรับการแจ้งเตือนให้ Jibe ทราบและแจ้งให้ Jibe ทราบเกี่ยวกับการอัปเดตอีเมลสำหรับการแจ้งเตือน
"ข้อมูลส่วนตัวของพาร์ทเนอร์" หมายถึง ข้อมูลส่วนตัวที่ Jibe ประมวลผลในนามของพาร์ทเนอร์ในการให้บริการของผู้ประมวลผลข้อมูลของ Jibe
"SCC ของพาร์ทเนอร์" หมายถึง SCC (ผู้ควบคุมข้อมูลถึงผู้ประมวลผลข้อมูล), SCC (ผู้ประมวลผลข้อมูลถึงผู้ควบคุมข้อมูล) และ/หรือ SCC (ผู้ประมวลผลข้อมูลถึงผู้ประมวลผลข้อมูล) ตามแต่สถานการณ์
"บริการผู้ประมวลผลข้อมูล" หมายถึงบริการการรับส่งข้อความทางธุรกิจ RCS (ตามที่อธิบายไว้ใน developers.google.com/business-communications/rcs-business-messaging
"SCC" หมายถึง SCC ของพาร์ทเนอร์และ/หรือ SCC (ผู้ประมวลผลข้อมูลถึงผู้ประมวลผลข้อมูล, ผู้ส่งออกข้อมูลของ Jibe) ตามแต่สถานการณ์
"SCC (ผู้ควบคุมข้อมูลถึงผู้ประมวลผลข้อมูล)" หมายถึงข้อกําหนดใน business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa
"SCC (ผู้ประมวลผลข้อมูลถึงผู้ควบคุมข้อมูล)" หมายถึงข้อกำหนดใน business.safety.google/gdprprocessorterms/sccs/p2c
"SCC (ผู้ประมวลผลข้อมูลถึงผู้ประมวลผลข้อมูล)" หมายถึงข้อกําหนดใน business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa
"SCC (ผู้ประมวลผลข้อมูลถึงผู้ประมวลผลข้อมูล, ผู้ส่งออกข้อมูลของ Jibe)" หมายถึงข้อกําหนดใน business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group
"เอกสารประกอบด้านความปลอดภัย" หมายถึงการรับรอง ISO 27001 และการรับรองหรือเอกสารประกอบด้านความปลอดภัยอื่นๆ ที่ Jibe อาจแสดงให้ดูซึ่งเกี่ยวข้องกับบริการผู้ประมวลผลข้อมูล
"มาตรการรักษาความปลอดภัย" ได้รับการอธิบายความหมายไว้ในมาตราที่ 7.1.1 (มาตรการรักษาความปลอดภัยของ Jibe)
"ผู้ประมวลผลข้อมูลย่อย" หมายถึงบุคคลที่สามที่ได้รับอนุญาตภายใต้ภาคผนวกการประมวลผลข้อมูลฉบับนี้ให้มีสิทธิ์เข้าถึงทางตรรกะและสามารถประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์เพื่อให้บริการที่นับเป็นส่วนหนึ่งของบริการผู้ประมวลผลข้อมูลและการสนับสนุนทางเทคนิคที่เกี่ยวข้อง
"หน่วยงานกำกับดูแล" ตามที่ใช้บังคับ หมายถึง (ก) "หน่วยงานกำกับดูแล" ตามที่ระบุไว้ใน GDPR ของสหภาพยุโรป และ/หรือ (ข) "กรรมาธิการ" ตามที่ระบุไว้ใน GDPR ของสหราชอาณาจักร และ/หรือ FDPA ของสวิตเซอร์แลนด์
"FDPA ของสวิตเซอร์แลนด์" หมายถึง กฎหมายว่าด้วยการคุ้มครองข้อมูลระดับประเทศ (Federal Data Protection Act) ลงวันที่ 19 มิถุนายน 1992 (สวิตเซอร์แลนด์)
"ระยะเวลา" หมายถึง ระยะเวลานับจากวันที่มีผลของข้อกำหนดจนกระทั่งสิ้นสุดการให้บริการประมวลผลข้อมูลของ Jibe ภายใต้ข้อตกลง
"วันที่มีผลของข้อกำหนด" หมายถึงวันที่มีผลของข้อตกลง
"GDPR ของสหราชอาณาจักร" หมายถึง GDPR ของสหภาพยุโรป ตามที่ได้มีการแก้ไขและผนวกรวมไว้ในกฎหมายของสหราชอาณาจักร ภายใต้พระราชบัญญัติ (การถอนตัว) ของสหราชอาณาจักรออกจากสหภาพยุโรปในปี 2018 และนิติบัญญัติลำดับรองภายใต้พระราชบัญญัติดังกล่าว
2.2 คำว่า "ผู้ควบคุมข้อมูล" "เจ้าของข้อมูล" "ข้อมูลส่วนตัว" "การประมวลผลข้อมูล" และ "ผู้ประมวลผลข้อมูล" ตามที่ใช้ในเอกสารแนบท้ายเกี่ยวกับการประมวลผลข้อมูลนี้จะมีความหมายตามที่ระบุไว้ใน GDPR และคำว่า "ผู้นําเข้าข้อมูล" และ "ผู้ส่งออกข้อมูล" จะมีความหมายตามที่ระบุไว้ใน SCC ที่เกี่ยวข้อง
2.3 คำว่า "รวม" และ "ซึ่งรวมถึง" หมายถึง "รวมถึงแต่ไม่จำกัดเพียง" ตัวอย่างใดๆ ในภาคผนวกการประมวลผลข้อมูลนี้มีไว้เพื่อการอธิบาย และมิใช่เป็นเพียงตัวอย่างเดียวของแนวคิดหนึ่งๆ
2.4 การอ้างอิงใดๆ ถึงกรอบโครงสร้างทางกฎหมาย บทบัญญัติ หรือการประกาศใช้เป็นกฎหมายอื่นๆ คือการอ้างอิงถึงสิ่งดังกล่าวตามที่ได้มีการแก้ไขหรือประกาศใช้ซ้ำเป็นครั้งคราว
2.5 ในกรณีที่เอกสารแนบท้ายการประมวลผลข้อมูลฉบับแปลนี้ไม่สอดคล้องกับฉบับภาษาอังกฤษ ฉบับภาษาอังกฤษจะมีผลบังคับใช้
3. ระยะเวลาของเอกสารแนบท้ายการประมวลผลข้อมูลนี้
เอกสารแนบท้ายเกี่ยวกับการประมวลผลข้อมูลนี้จะมีผลในวันที่มีผลของข้อกำหนด และไม่ว่าข้อกำหนดจะหมดอายุแล้วหรือไม่ เอกสารแนบท้ายนี้จะยังคงมีผลบังคับใช้จนกว่าจะหมดอายุโดยอัตโนมัติเมื่อ Jibe ลบข้อมูลส่วนตัวของพาร์ทเนอร์ทั้งหมดตามที่อธิบายไว้ในเอกสารแนบท้ายเกี่ยวกับการประมวลผลข้อมูลนี้
4. การบังคับใช้เอกสารแนบท้ายการประมวลผลข้อมูลนี้
4.1 การใช้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป ส่วนที่ 5 (การประมวลผลข้อมูล) ถึงส่วนที่ 12 (การติดต่อ Jibe การประมวลผลระเบียน) (รวม) จะมีผลบังคับใช้เฉพาะในขอบเขตที่ว่านิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรปมีผลบังคับใช้กับการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์ ซึ่งรวมถึงในกรณีต่อไปนี้
(ก) การประมวลผลข้อมูลนั้นเกี่ยวข้องกับการดำเนินการของสถานประกอบการของพาร์ทเนอร์ในอีอีเอหรือสหราชอาณาจักร และ/หรือ
(ข) ข้อมูลส่วนตัวของพาร์ทเนอร์เป็นข้อมูลส่วนตัวที่เกี่ยวข้องกับเจ้าของข้อมูลที่อยู่ในเขตเศรษฐกิจยุโรปหรือสหราชอาณาจักร และการประมวลผลข้อมูลเกี่ยวข้องกับการเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลดังกล่าว หรือเกี่ยวข้องกับการตรวจสอบพฤติกรรมของเจ้าของข้อมูลดังกล่าวในเขตเศรษฐกิจยุโรปหรือสหราชอาณาจักร
4.2 การบังคับใช้กับบริการผู้ประมวลผลข้อมูล เอกสารแนบท้ายการประมวลผลข้อมูลนี้จะมีผลกับบริการของผู้ประมวลผลข้อมูลซึ่งคู่สัญญาได้ยอมรับเอกสารแนบท้ายการประมวลผลข้อมูลนี้เท่านั้น (เช่น (ก) บริการของผู้ประมวลผลข้อมูลซึ่งพาร์ทเนอร์คลิกเพื่อยอมรับเอกสารแนบท้ายการประมวลผลข้อมูลนี้ หรือ (ข) หากข้อตกลงรวมเอกสารแนบท้ายการประมวลผลข้อมูลนี้ไว้ด้วยการอ้างอิง บริการของผู้ประมวลผลข้อมูลที่เป็นประเด็นในข้อตกลง)
4.3 การรวมข้อกำหนดเพิ่มเติมสำหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป ข้อกําหนดเพิ่มเติมสําหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรปจะเสริมภาคผนวกการประมวลผลข้อมูลนี้
5. การประมวลผลข้อมูล
5.1 การปฏิบัติตามบทบาทและข้อกำหนดในกฎระเบียบ, การให้สิทธิ์
5.1.1 หน้าที่รับผิดชอบของผู้ประมวลผลข้อมูลและผู้ควบคุมข้อมูล คู่สัญญาทั้งสองฝ่ายรับทราบ และยอมรับว่า
(ก) ภาคผนวก 1 อธิบายถึงเรื่องและรายละเอียดของการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์
(ข) Jibe เป็นผู้ประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์ภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป
(ค) พาร์ทเนอร์เป็นผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์ภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป ตามแต่สถานการณ์ และ
(ง) แต่ละฝ่ายจะต้องปฏิบัติตามภาระหน้าที่ตามที่เหมาะสมภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรปในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์
5.1.2 พาร์ทเนอร์ผู้ประมวลผลข้อมูล ในกรณีที่พาร์ทเนอร์เป็นผู้ประมวลผลข้อมูล
(ก) พาร์ทเนอร์ให้การรับประกันอย่างต่อเนื่องว่าผู้ควบคุมข้อมูลที่เกี่ยวข้องได้อนุญาตในสิ่งเหล่านี้ (1) คำสั่ง (2) การที่พาร์ทเนอร์แต่งตั้งให้ Jibe เป็นผู้ประมวลผลข้อมูลอีกรายหนึ่ง และ (3) การมีส่วนร่วมของ Jibe ตามที่อธิบายไว้ในมาตราที่ 11 (ผู้ประมวลผลข้อมูลย่อย)
(ข) พาร์ทเนอร์จะส่งต่อประกาศจาก Jibe ไปยังผู้ควบคุมข้อมูลที่เกี่ยวข้องในทันทีที่ได้รับ ตามมาตราที่ 5.4 (การแจ้งคำสั่ง), มาตราที่ 7.2.1 (การแจ้งเตือนเหตุการณ์), มาตราที่ 11.4 (โอกาสในการคัดค้านการเปลี่ยนแปลงผู้ประมวลผลข้อมูลย่อย) หรือการแจ้งเตือนที่อ้างถึง SCC ใดก็ตาม และ
(ค) พาร์ทเนอร์อาจเปิดเผยข้อมูลใดๆ ที่ได้รับจาก Jibe ต่อผู้ควบคุมข้อมูลที่เกี่ยวข้อง ภายใต้มาตราที่ 7.4 (การรับรองด้านความปลอดภัย), มาตราที่ 10.5 (ข้อมูลเกี่ยวกับศูนย์ข้อมูล) และมาตราที่ 11.2 (ข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลย่อย)
5.2 วิธีการของพาร์ทเนอร์ การเข้าร่วมในเอกสารแนบท้ายเกี่ยวกับการประมวลผลข้อมูลนี้เป็นการสั่งให้ Jibe ประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์ตามหลักกฎหมายที่เกี่ยวข้องเท่านั้น (ก) เพื่อให้บริการผู้ประมวลผลข้อมูลและการสนับสนุนทางเทคนิคที่เกี่ยวข้อง (ข) ตามรายละเอียดเพิ่มเติมจากการใช้บริการผู้ประมวลผลข้อมูลของพาร์ทเนอร์ (รวมถึงในการตั้งค่าและฟังก์ชันอื่นๆ ของบริการผู้ประมวลผลข้อมูล) และการสนับสนุนทางเทคนิคที่เกี่ยวข้อง (ค) ตามเอกสารประกอบในรูปแบบของข้อตกลง ซึ่งรวมถึงเอกสารแนบท้ายเกี่ยวกับการประมวลผลข้อมูลนี้ และ (ง) ตามเอกสารประกอบเพิ่มเติมในคำสั่งเป็นลายลักษณ์อักษรอื่นๆ ที่ระบุโดยพาร์ทเนอร์และ Jibe ยอมรับว่าเป็นคำสั่งสำหรับวัตถุประสงค์ของเอกสารแนบท้ายเกี่ยวกับการประมวลผลข้อมูลนี้ (เรียกรวมกันว่า "คำสั่ง")
5.3 การปฏิบัติตามคำสั่งของ Jibe Jibe จะปฏิบัติตามคำสั่งดังกล่าว เว้นแต่จะเป็นสิ่งที่ขัดต่อกฎหมายของยุโรป
5.4 การแจ้งคำสั่ง Jibe จะแจ้งให้พาร์ทเนอร์ทราบทันทีหากเห็นว่า (ก) กฎหมายของยุโรปห้ามไม่ให้ Jibe ปฏิบัติตามคำสั่ง (ข) คำสั่งไม่เป็นไปตามนิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป หรือ (ค) Jibe ไม่สามารถปฏิบัติตามคำสั่งได้ ในกรณีแต่ละกรณี เว้นแต่กฎหมายของยุโรปจะห้ามการแจ้งเตือนดังกล่าว ส่วน 5.4 นี้ (การแจ้งคำสั่ง) ไม่ได้ลดสิทธิและภาระหน้าที่ของคู่สัญญาฝ่ายใดฝ่ายหนึ่งในส่วนอื่นของข้อตกลง
5.5 ผลิตภัณฑ์เพิ่มเติม หากพาร์ทเนอร์ใช้ผลิตภัณฑ์เพิ่มเติม บริการผู้ประมวลผลข้อมูลอาจอนุญาตให้ผลิตภัณฑ์เพิ่มเติมดังกล่าวเข้าถึงข้อมูลส่วนตัวของพาร์ทเนอร์ตามที่จําเป็นต่อการทำงานร่วมกันของผลิตภัณฑ์เพิ่มเติมกับบริการผู้ประมวลผลข้อมูล คู่สัญญาจะลงนามในข้อกำหนดการประมวลผลข้อมูลแยกต่างหากเพื่อกำหนดวิธีประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์ในผลิตภัณฑ์เพิ่มเติม หากจำเป็น
6. การลบข้อมูล
6.1 การลบระหว่างระยะเวลา
6.1.1 บริการของผู้ประมวลผลข้อมูลที่มีฟังก์ชันการลบ ในระหว่างที่สัญญามีผลบังคับใช้ ในกรณีต่อไปนี้
(ก) ฟังก์ชันการทํางานของบริการของผู้ประมวลผลข้อมูลมีตัวเลือกให้พาร์ทเนอร์ลบข้อมูลส่วนบุคคลของตน
(ข) พาร์ทเนอร์ใช้บริการผู้ประมวลผลเพื่อลบข้อมูลส่วนตัวบางอย่างของพาร์ทเนอร์ และ
(ค) พาร์ทเนอร์กู้คืนข้อมูลส่วนบุคคลที่ลบไปแล้วไม่ได้ (เช่น จาก "ถังขยะ") ในกรณีนี้ Jibe จะลบข้อมูลส่วนบุคคลดังกล่าวออกจากระบบโดยเร็วที่สุดเท่าที่จะทำได้ เว้นแต่ว่ากฎหมายของยุโรปกำหนดให้เก็บข้อมูลไว้
6.1.2 บริการของผู้ประมวลผลข้อมูลที่ไม่มีฟังก์ชันการลบ ในระหว่างที่ข้อกำหนดมีผลบังคับใช้ หากฟังก์ชันการทำงานของบริการผู้ประมวลผลข้อมูลไม่มีตัวเลือกให้พาร์ทเนอร์ลบข้อมูลส่วนตัวของพาร์ทเนอร์ Jibe จะปฏิบัติตามคำขอที่สมเหตุสมผลจากพาร์ทเนอร์เพื่ออำนวยความสะดวกในการลบดังกล่าว ตราบใดที่เป็นไปได้โดยคำนึงถึงลักษณะและฟังก์ชันการทำงานของบริการผู้ประมวลผลข้อมูล และเว้นแต่กฎหมายของยุโรปจะกำหนดให้เก็บข้อมูลไว้ Jibe อาจเรียกเก็บค่าธรรมเนียม (ตามราคาที่สมเหตุสมผลของ Jibe) สําหรับการลบข้อมูลภายใต้ส่วนที่ 6.1.2 นี้ (บริการผู้ประมวลผลที่ไม่มีฟังก์ชันการลบ) Jibe จะแจ้งรายละเอียดเพิ่มเติมเกี่ยวกับค่าธรรมเนียมที่เกี่ยวข้องและวิธีในการคำนวณให้พาร์ทเนอร์ทราบก่อนการลบข้อมูลดังกล่าว
6.2 การลบเมื่อข้อกำหนดสิ้นสุดลง เมื่อข้อกำหนดสิ้นสุดลง พาร์ทเนอร์จะสั่งให้ Jibe ลบข้อมูลส่วนตัวทั้งหมดของพาร์ทเนอร์ (รวมถึงสำเนาที่มีอยู่) ออกจากระบบของ Jibe ตามกฎหมายที่เกี่ยวข้อง Jibe จะปฏิบัติตามคำสั่งนี้โดยเร็วที่สุดเท่าที่เป็นไปได้ในทางปฏิบัติ เว้นแต่กฎหมายของยุโรปจะกำหนดให้เก็บข้อมูลไว้
7. ความปลอดภัยข้อมูล
7.1 มาตรการรักษาความปลอดภัยและความช่วยเหลือของ Jibe
7.1.1 มาตรการรักษาความปลอดภัยของ Jibe Jibe จะใช้และรักษามาตรการทางเทคนิคและทางองค์กรเพื่อปกป้องข้อมูลส่วนตัวของพาร์ทเนอร์จากการทำลาย การสูญหาย การเปลี่ยนแปลง การเปิดเผย หรือการเข้าถึงโดยไม่ได้รับอนุญาตหรือผิดกฎหมายโดยไม่ได้ตั้งใจ ตามที่อธิบายไว้ในภาคผนวก 2 ("มาตรการรักษาความปลอดภัย") ตามที่อธิบายไว้ในภาคผนวก 2 มาตรการด้านความปลอดภัยประกอบด้วยมาตรการต่อไปนี้ (ก) เพื่อเข้ารหัสข้อมูลส่วนตัว (ข) เพื่อช่วยรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความสามารถในการรับมืออย่างต่อเนื่องของระบบและบริการของ Jibe (ค) เพื่อช่วยคืนค่าการเข้าถึงข้อมูลส่วนตัวอย่างทันท่วงทีหลังจากเกิดเหตุการณ์ และ (ง) เพื่อทดสอบประสิทธิภาพเป็นประจำ Jibe สามารถปรับปรุงหรือแก้ไขมาตรการรักษาความปลอดภัยเป็นครั้งคราว โดยมีเงื่อนไขว่าการปรับปรุงและการแก้ไขดังกล่าวจะต้องไม่ส่งผลให้ความปลอดภัยโดยรวมของบริการผู้ประมวลผลข้อมูลลดลง
7.1.2 การเข้าถึงและการปฏิบัติตามข้อกำหนด Jibe จะ (ก) ให้สิทธิ์พนักงาน ผู้รับเหมา และผู้ประมวลผลข้อมูลบุคคลที่สามในการเข้าถึงข้อมูลส่วนตัวของพาร์ทเนอร์เฉพาะในกรณีที่จําเป็นอย่างยิ่งเพื่อปฏิบัติตามวิธีการ (ข) ดําเนินการที่เหมาะสมเพื่อให้มั่นใจว่าพนักงาน ผู้รับเหมา และผู้ประมวลผลข้อมูลบุคคลที่สามปฏิบัติตามมาตรการรักษาความปลอดภัยตามขอบเขตของหน้าที่ และ (ค) ตรวจสอบว่าบุคคลทั้งหมดที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์ได้มุ่งมั่นที่จะรักษาข้อมูลที่เป็นความลับหรืออยู่ภายใต้ภาระหน้าที่ที่เหมาะสมตามกฎหมายในการรักษาข้อมูลที่เป็นความลับ
7.1.3 การช่วยเหลือด้านความปลอดภัยของ Jibe โดยพิจารณาถึงลักษณะของการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์และข้อมูลที่ Jibe มี ทาง Jibe จะช่วยเหลือพาร์ทเนอร์ในการรักษาการปฏิบัติตามภาระหน้าที่ของพาร์ทเนอร์ (หรือภาระหน้าที่ของผู้ควบคุมข้อมูล ในกรณีที่พาร์ทเนอร์เป็นผู้ประมวลผลข้อมูล) เกี่ยวกับความปลอดภัยของข้อมูลส่วนตัวและการละเมิดข้อมูลส่วนตัว รวมถึงภาระหน้าที่ของพาร์ทเนอร์ (หรือภาระหน้าที่ของผู้ควบคุมข้อมูล ในกรณีที่พาร์ทเนอร์เป็นผู้ประมวลผลข้อมูล) ภายใต้มาตราที่ 32 ถึง 34 (รวม) ของ GDPR โดยดำเนินการดังนี้
(ก) ปรับใช้และรักษามาตรการการรักษาความปลอดภัยตามมาตราที่ 7.1.1 (มาตรการการรักษาความปลอดภัยของ Jibe)
(ข) ปฏิบัติตามข้อกำหนดของส่วนที่ 7.2 (เหตุการณ์ที่ส่งผลต่อข้อมูล) และ
(ค) มอบเอกสารประกอบการรักษาความปลอดภัยให้กับพาร์ทเนอร์ตามมาตราที่ 7.5.1 (การตรวจสอบเอกสารประกอบการรักษาความปลอดภัย) และข้อมูลที่มีอยู่ในภาคผนวกเกี่ยวกับการประมวลผลข้อมูลฉบับนี้
7.2 เหตุการณ์ที่ส่งผลต่อข้อมูล
7.2.1 การแจ้งเตือนเหตุการณ์ หาก Jibe ทราบถึงเหตุการณ์ที่ส่งผลต่อข้อมูล Jibe จะ (ก) แจ้งให้พาร์ทเนอร์ทราบถึงเหตุการณ์ที่ส่งผลต่อข้อมูลโดยเร็วโดยไม่มีการล่าช้าเกินควร และ (ข) ดำเนินการตามขั้นตอนที่เหมาะสมในทันทีเพื่อลดอันตรายและรักษาความปลอดภัยให้กับข้อมูลส่วนตัวของพาร์ทเนอร์
7.2.2 รายละเอียดของเหตุการณ์ที่ส่งผลต่อข้อมูล การแจ้งเตือนภายใต้ส่วนที่ 7.2.1 (การแจ้งเตือนเหตุการณ์) จะอธิบายลักษณะของเหตุการณ์ที่ส่งผลต่อข้อมูล รวมถึงทรัพยากรของพาร์ทเนอร์ที่ได้รับผลกระทบ มาตรการที่ Jibe ดำเนินการหรือวางแผนที่จะดำเนินการเพื่อจัดการกับเหตุการณ์ที่ส่งผลต่อข้อมูลและลดความเสี่ยงที่อาจเกิดขึ้น มาตรการที่ Jibe แนะนําให้พาร์ทเนอร์ดําเนินการเพื่อจัดการกับเหตุการณ์ที่ส่งผลต่อข้อมูล (หากมี) และรายละเอียดของจุดติดต่อที่ขอข้อมูลเพิ่มเติมได้ หาก Jibe ไม่สามารถให้ข้อมูลดังกล่าวได้ครบทั้งหมดพร้อมๆ กัน การแจ้งเตือนในขั้นแรกของ Jibe จะให้ข้อมูลเท่าที่มีอยู่ในขณะนั้น และจะให้ข้อมูลเพิ่มเติมโดยเร็วที่สุดเมื่อมีข้อมูลพร้อมที่จะให้แล้ว
7.2.3 การส่งการแจ้งเตือน Jibe จะส่งการแจ้งเตือนเกี่ยวกับเหตุการณ์ที่ส่งผลต่อข้อมูลไปยังอีเมลสำหรับการแจ้งเตือน หรือจะสื่อสารโดยตรงด้วยวิธีอื่น (เช่น การโทรคุยหรือการประชุมแบบตัวต่อตัว) ก็ได้ โดยขึ้นอยู่กับดุลยพินิจของ Jibe (รวมถึงในกรณีที่พาร์ทเนอร์ไม่ได้ระบุอีเมลสำหรับการแจ้งเตือน) พาร์ทเนอร์เป็นผู้รับผิดชอบแต่เพียงผู้เดียวในการระบุอีเมลแจ้งเตือนและตรวจสอบว่าอีเมลแจ้งเตือนดังกล่าวเป็นปัจจุบันและถูกต้อง
7.2.4 การแจ้งเตือนของบุคคลที่สาม พาร์ทเนอร์เป็นผู้รับผิดชอบแต่เพียงผู้เดียวในการปฏิบัติตามกฎหมายว่าด้วยการแจ้งเตือนเหตุการณ์ที่เกี่ยวข้องกับพาร์ทเนอร์ และปฏิบัติตามภาระหน้าที่ในการแจ้งเตือนบุคคลที่สามเกี่ยวกับเหตุการณ์ใดๆ ที่ส่งผลต่อข้อมูล
7.2.5 ไม่มีการยอมรับข้อผิดพลาดโดย Jibe การแจ้งเตือนหรือการตอบสนองของ Jibe เกี่ยวกับเหตุการณ์ที่ส่งผลต่อข้อมูลภายใต้มาตราที่ 7.2 (เหตุการณ์ที่ส่งผลต่อข้อมูล) นี้จะไม่ถือเป็นการรับทราบของ Jibe ต่อข้อผิดพลาดหรือความรับผิดใดๆ ที่เกี่ยวข้องกับเหตุการณ์ที่ส่งผลต่อข้อมูล
7.3 หน้าที่รับผิดชอบและการประเมินเกี่ยวกับการรักษาความปลอดภัยของพาร์ทเนอร์
7.3.1 หน้าที่รับผิดชอบเกี่ยวกับการรักษาความปลอดภัยของพาร์ทเนอร์ พาร์ทเนอร์ยอมรับโดยไม่มีผลกระทบต่อภาระหน้าที่ของ Jibe ภายใต้ส่วนที่ 7.1 (มาตรการรักษาความปลอดภัยและความช่วยเหลือด้านความปลอดภัยของ Jibe) และ 7.2 (เหตุการณ์ที่ส่งผลต่อข้อมูล) ว่า
(ก) พาร์ทเนอร์มีหน้าที่รับผิดชอบต่อการใช้บริการผู้ประมวลผลข้อมูล ซึ่งรวมถึง
(1) การใช้บริการของผู้ประมวลผลข้อมูลอย่างเหมาะสมเพื่อให้มั่นใจว่าการรักษาความปลอดภัยอยู่ในระดับที่เหมาะสมกับความเสี่ยงที่มีต่อข้อมูลส่วนตัวของพาร์ทเนอร์ และ
(ii) การรักษาความปลอดภัยของข้อมูลเข้าสู่ระบบการตรวจสอบสิทธิ์บัญชี รวมถึงระบบและอุปกรณ์ที่พาร์ทเนอร์ใช้เข้าถึงบริการผู้ประมวลผลข้อมูล และ
(ข) Jibe ไม่มีภาระหน้าที่ในการปกป้องข้อมูลส่วนตัวของพาร์ทเนอร์ที่พาร์ทเนอร์เลือกจะจัดเก็บหรือโอนภายนอกระบบของ Jibe และระบบของผู้ประมวลผลข้อมูลระดับล่าง
7.3.2 การประเมินความปลอดภัยของพาร์ทเนอร์ พาร์ทเนอร์รับทราบว่ามาตรการรักษาความปลอดภัยที่ Jibe นำมาใช้และดูแลรักษาตามที่อธิบายไว้ในส่วนที่ 7.1.1 (มาตรการรักษาความปลอดภัยของ Jibe) มีระดับการรักษาความปลอดภัยที่เหมาะสมกับความเสี่ยงต่อข้อมูลส่วนตัวของพาร์ทเนอร์ โดยพิจารณาจากลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์ เทคโนโลยีล้ำสมัย ค่าใช้จ่ายในการใช้งาน และความเสี่ยงต่อบุคคล
7.4 การรับรองความปลอดภัย Jibe จะรักษาการรับรองมาตรฐาน ISO 27001 หรือมาตรการอื่นๆ ที่เหมาะสมเพื่อแสดงให้เห็นถึงประสิทธิภาพของมาตรการรักษาความปลอดภัย เพื่อประเมินและช่วยรักษาประสิทธิภาพของมาตรการรักษาความปลอดภัยอย่างต่อเนื่อง
7.5 การตรวจสอบและการประเมินการปฏิบัติตามข้อกำหนด
7.5.1 การตรวจสอบเอกสารประกอบการรักษาความปลอดภัย Jibe จะแสดงเอกสารประกอบการรักษาความปลอดภัยให้พาร์ทเนอร์ตรวจสอบเพื่อแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดของ Jibe ตามภาระหน้าที่ภายใต้เอกสารแนบท้ายการประมวลผลข้อมูลฉบับนี้
7.5.2 สิทธิ์ในการตรวจสอบของพาร์ทเนอร์
(ก) Jibe จะอนุญาตให้พาร์ทเนอร์หรือผู้ตรวจสอบบุคคลที่สามที่พาร์ทเนอร์แต่งตั้งเพื่อทำการตรวจสอบ (รวมถึงการตรวจสอบ) เพื่อยืนยันว่า Jibe ปฏิบัติตามภาระหน้าที่ภายใต้ภาคผนวกการประมวลผลข้อมูลฉบับนี้ตามส่วนที่ 7.5.3 (ข้อกำหนดทางธุรกิจเพิ่มเติมสำหรับการตรวจสอบ) ในระหว่างการตรวจสอบ Jibe จะเปิดเผยข้อมูลที่จำเป็นทั้งหมดเพื่อแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดและการมีส่วนร่วมในการตรวจสอบตามที่อธิบายไว้ในมาตราที่ 7.4 (การรับรองด้านความปลอดภัย) และมาตราที่ 7.5 (การตรวจสอบและการประเมินการปฏิบัติตามข้อกำหนด) นี้
(ข) หาก SCC มีผลบังคับใช้ภายใต้ส่วนที่ 10.2 (การโอนข้อมูลในยุโรปแบบจำกัด) Jibe จะอนุญาตให้พาร์ทเนอร์ (หรือผู้ตรวจสอบบุคคลที่สามที่พาร์ทเนอร์แต่งตั้ง) ดำเนินการตรวจสอบตามที่อธิบายไว้ใน SCC ที่เกี่ยวข้อง และในระหว่างการตรวจสอบดังกล่าว จะเปิดเผยข้อมูลทั้งหมดที่ SCC เหล่านั้นกำหนด โดยแต่ละรายการต้องเป็นไปตามส่วนที่ 7.5.3 (ข้อกำหนดทางธุรกิจเพิ่มเติมสำหรับการตรวจสอบ)
(ค) พาร์ทเนอร์อาจดำเนินการตรวจสอบเพื่อยืนยันการปฏิบัติตามภาระหน้าที่ของ Jibe ภายใต้ภาคผนวกเกี่ยวกับการประมวลผลข้อมูลฉบับนี้ด้วยการตรวจสอบใบรับรองที่ออกให้ Jibe โดยผู้ตรวจสอบบุคคลที่สาม (เช่น การรับรอง ISO 27001 หากมี)
7.5.3 ข้อกำหนดทางธุรกิจเพิ่มเติมสำหรับการตรวจสอบ
(ก) พาร์ทเนอร์จะส่งคำขอรับการตรวจสอบภายใต้ส่วนที่ 7.5.2(ก) หรือ 7.5.2(ข) ไปยัง Jibe ตามที่อธิบายไว้ในส่วนที่ 12.1 (การติดต่อ Jibe)
(ข) หลังจากที่ Jibe ได้รับคำขอภายใต้มาตราที่ 7.5.3(ก) แล้ว Jibe และพาร์ทเนอร์จะปรึกษาหารือและตกลงกันล่วงหน้าเรื่องวันที่เริ่มต้น ขอบเขต และระยะเวลาที่เหมาะสม ตลอดจนเรื่องการควบคุมความปลอดภัยและการรักษาข้อมูลที่เป็นความลับซึ่งเกี่ยวข้องกับการตรวจสอบภายใต้มาตราที่ 7.5.2(ก) หรือ 7.5.2(ข)
(ค) Jibe อาจเรียกเก็บค่าธรรมเนียม (ตามราคาที่สมเหตุสมผลของ Jibe) สำหรับการประเมินภายใต้มาตราที่ 7.5.2(ก) หรือ 7.5.2(ข) Jibe จะแจ้งรายละเอียดเพิ่มเติมเกี่ยวกับค่าธรรมเนียมที่เกี่ยวข้องและวิธีในการคำนวณให้พาร์ทเนอร์ทราบก่อนการประเมิน พาร์ทเนอร์ต้องรับผิดชอบค่าธรรมเนียมใดๆ ที่ผู้ตรวจสอบบุคคลที่สามเรียกเก็บจากพาร์ทเนอร์สำหรับการดำเนินการตรวจสอบดังกล่าว
(ง) Jibe อาจคัดค้านผู้ตรวจสอบบุคคลที่สามที่พาร์ทเนอร์แต่งตั้งให้ดําเนินการตรวจสอบภายใต้มาตราที่ 7.5.2(ก) หรือ 7.5.2(ข) หาก Jibe พิจารณาอย่างสมเหตุสมผลแล้วพบว่าผู้ตรวจสอบไม่มีคุณสมบัติเหมาะสมหรือไม่ได้เป็นหน่วยงานเป็นอิสระ เป็นคู่แข่งของ Jibe หรือแสดงให้เห็นอย่างชัดเจนว่าไม่เหมาะสม หาก Jibe ยื่นข้อคัดค้านดังกล่าว พาร์ทเนอร์จะต้องแต่งตั้งผู้ตรวจสอบรายใหม่หรือทำการตรวจสอบด้วยตนเอง
(จ) ไม่มีส่วนใดในภาคผนวกเกี่ยวกับการจัดเก็บข้อมูลฉบับนี้ที่กำหนดให้ Jibe ต้องเปิดเผยต่อพาร์ทเนอร์หรือผู้ตรวจสอบบุคคลที่สาม หรืออนุญาตให้พาร์ทเนอร์หรือผู้ตรวจสอบบุคคลที่สามเข้าถึงข้อมูลต่อไปนี้
(1) ข้อมูลของพาร์ทเนอร์หรือลูกค้ารายอื่นๆ ของนิติบุคคล Jibe
(ii) ข้อมูลการทําบัญชีหรือข้อมูลทางการเงินภายในของนิติบุคคล Jibe
(iii) ความลับทางการค้าของนิติบุคคล Jibe
(iv) ข้อมูลใดๆ ที่ Jibe พิจารณาอย่างสมเหตุสมผลว่าอาจ (ก) กระทบต่อความปลอดภัยของระบบหรือสถานที่ตั้งของนิติบุคคล Jibe หรือ (ข) ทําให้นิติบุคคล Jibe ละเมิดภาระหน้าที่ภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป หรือภาระหน้าที่ด้านความปลอดภัยและ/หรือความเป็นส่วนตัวต่อพาร์ทเนอร์หรือบุคคลที่สาม หรือ
(v) ข้อมูลใดๆ ที่พาร์ทเนอร์หรือผู้ตรวจสอบบุคคลที่สามต้องการเข้าถึงด้วยเหตุผลอื่นใดนอกเหนือจากการปฏิบัติตามภาระหน้าที่โดยมีเจตนาดีภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป
8. การประเมินและการให้คำปรึกษาเกี่ยวกับผลกระทบ
โดยพิจารณาถึงลักษณะของการประมวลผลข้อมูลและข้อมูลที่ Jibe มีอยู่ Jibe จะช่วยเหลือพาร์ทเนอร์ในการรักษาการปฏิบัติตามภาระหน้าที่ของพาร์ทเนอร์ (หรือภาระหน้าที่ของผู้ควบคุมข้อมูลที่เกี่ยวข้องในกรณีที่พาร์ทเนอร์เป็นผู้ประมวลผลข้อมูล) เกี่ยวกับการประเมินผลกระทบด้านความเป็นส่วนตัวและการปรึกษาล่วงหน้า รวมถึงภาระหน้าที่ของพาร์ทเนอร์หรือผู้ควบคุมข้อมูลที่เกี่ยวข้อง (หากมี) ภายใต้มาตราที่ 35 และ 36 ของ GDPR โดยดำเนินการดังนี้
(ก) มอบเอกสารประกอบการรักษาความปลอดภัยตามมาตราที่ 7.5.1 (การตรวจสอบเอกสารประกอบการรักษาความปลอดภัย)
(ข) การให้ข้อมูลที่มีอยู่ในเอกสารแนบท้ายการประมวลผลข้อมูลนี้ และ
(ค) จัดหาหรือให้บริการเนื้อหาอื่นๆ ที่เกี่ยวข้องกับลักษณะของบริการผู้ประมวลผลข้อมูล และการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์ (เช่น เอกสารในศูนย์ช่วยเหลือ) ตามแนวทางปฏิบัติมาตรฐานของ Jibe
9. สิทธิของเจ้าของข้อมูล
9.1 การตอบสนองต่อคำขอของเจ้าของข้อมูล ในกรณีที่ Jibe ได้รับคำขอจากเจ้าของข้อมูลเกี่ยวกับข้อมูลส่วนตัวของพาร์ทเนอร์ พาร์ทเนอร์จะให้สิทธิแก่ Jibe ในการดำเนินการต่อไปนี้ และ Jibe ขอแจ้งให้พาร์ทเนอร์ทราบในที่นี้ว่าจะ
(ก) ตอบสนองต่อคำขอของเจ้าของข้อมูลโดยตรงตามฟังก์ชันการทำงานมาตรฐานของเครื่องมือสำหรับเจ้าของข้อมูล (หากคำขอส่งผ่านเครื่องมือสำหรับเจ้าของข้อมูล) หรือ
(ข) แนะนำให้เจ้าของข้อมูลส่งคำขอไปยังพาร์ทเนอร์ และพาร์ทเนอร์จะเป็นผู้รับผิดชอบในการตอบกลับคำขอดังกล่าว (ในกรณีที่คำขอไม่ได้ดำเนินการผ่านเครื่องมือสำหรับเจ้าของข้อมูล)
9.2 ความช่วยเหลือของ Jibe เกี่ยวกับคำขอของเจ้าของข้อมูล Jibe จะช่วยเหลือพาร์ทเนอร์ (หรือผู้ควบคุมข้อมูลที่เกี่ยวข้องในกรณีที่พาร์ทเนอร์เป็นผู้ประมวลผลข้อมูล) ในการปฏิบัติตามภาระหน้าที่ภายใต้ GDPR เพื่อตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูล โดยในทุกกรณีจะพิจารณาถึงลักษณะของการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์และมาตรา 11 ของ GDPR (หากมี) ซึ่งรวมถึงการดำเนินการต่อไปนี้ (หากมี)
(ก) ให้บริการฟังก์ชันของบริการผู้ประมวลผลข้อมูล
(ข) ปฏิบัติตามความมุ่งมั่นในส่วนที่ 9.1 (การตอบสนองต่อคำขอของเจ้าของข้อมูล) และ
(ค) ให้บริการเครื่องมือสำหรับเจ้าของข้อมูล หากมีในบริการของผู้ประมวลผลข้อมูล
9.3 การแก้ไข หากพาร์ทเนอร์ทราบว่าข้อมูลส่วนตัวใดๆ ของตนไม่ถูกต้องหรือไม่เป็นปัจจุบัน พาร์ทเนอร์มีหน้าที่รับผิดชอบในการแก้ไขหรือลบข้อมูลดังกล่าวในกรณีที่กฎหมายคุ้มครองข้อมูลของยุโรปกำหนดไว้ รวมถึงใช้ฟังก์ชันการทำงานของบริการผู้ประมวลผลข้อมูล (หากมี)
10. การโอนข้อมูล
10.1 สถานประกอบการสำหรับการจัดเก็บและการประมวลผลข้อมูล Jibe อาจประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์ในประเทศใดก็ได้ที่ Jibe หรือผู้ประมวลผลข้อมูลย่อยของ Jibe มีสถานประกอบการอยู่ โดยขึ้นอยู่กับส่วนที่เหลือของมาตราที่ 10 (การโอนข้อมูล) นี้
10.2 การโอนข้อมูลในยุโรปแบบจํากัด คู่สัญญารับทราบว่านิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรปไม่ได้กำหนดให้ต้องมี SCC หรือโซลูชันการโอนทางเลือกอื่นในการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์ในประเทศที่มีระดับการคุ้มครองที่เพียงพอหรือโอนข้อมูลดังกล่าวไปยังประเทศดังกล่าว
หากมีการโอนข้อมูลส่วนตัวของพาร์ทเนอร์ไปยังประเทศอื่น และนิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรปมีผลบังคับใช้กับการโอนเหล่านั้น ("การโอนในยุโรปแบบจำกัด") ในกรณีนี้
(ก) หาก Jibe ใช้โซลูชันการโอนทางเลือกอื่นสำหรับการโอนข้อมูลในยุโรปแบบจำกัด Jibe จะแจ้งให้พาร์ทเนอร์ทราบถึงโซลูชันที่เกี่ยวข้องและตรวจสอบว่าการโอนข้อมูลในยุโรปแบบจำกัดดังกล่าวเป็นไปตามโซลูชันดังกล่าว และ/หรือ
(ข) ในกรณีที่ Jibe ไม่ได้ใช้หรือแจ้งพาร์ทเนอร์ว่า Jibe ได้เลิกใช้โซลูชันทางเลือกในการโอนข้อมูลสำหรับการโอนข้อมูลในยุโรปแบบจำกัดแล้ว ในกรณีนี้
(1) หากที่อยู่ของ Jibe อยู่ในประเทศที่มีระดับการคุ้มครองที่เพียงพอ
(ก) SCC (ผู้ประมวลผลข้อมูลถึงผู้ประมวลผลข้อมูล, ผู้ส่งออกข้อมูลของ Jibe) จะมีผลบังคับใช้กับการโอนข้อมูลในยุโรปแบบจำกัดจาก Jibe ไปยังผู้ประมวลผลข้อมูลย่อย และ
(ข) นอกจากนี้ หากที่อยู่ของพาร์ทเนอร์ไม่ได้อยู่ในประเทศที่มีระดับการคุ้มครองที่เพียงพอ ในกรณีนี้ SCC (ผู้ประมวลผลข้อมูลถึงผู้ควบคุมข้อมูล) จะมีผลบังคับใช้กับการโอนที่ถูกจำกัดในยุโรประหว่าง Jibe กับพาร์ทเนอร์ (โดยไม่ว่าพาร์ทเนอร์จะเป็นผู้ควบคุมข้อมูลและ/หรือผู้ประมวลผลข้อมูลก็ตาม) หรือ
(2) หากที่อยู่ของ Jibe ไม่ได้เป็นประเทศที่มีระดับการคุ้มครองที่เพียงพอ
SCC (ผู้ควบคุมข้อมูลถึงผู้ประมวลผลข้อมูล) และ/หรือ SCC (ผู้ประมวลผลข้อมูลถึงผู้ประมวลผลข้อมูล) จะมีผลบังคับใช้ (ขึ้นอยู่กับว่าพาร์ทเนอร์เป็นผู้ควบคุมข้อมูลและ/หรือผู้ประมวลผลข้อมูล) กับการโอนข้อมูลในยุโรปแบบจำกัดระหว่างพาร์ทเนอร์กับ Jibe และ
(ค) การอ้างอิงถึง Google LLC หรือ Google และคุณใน SCC ใดๆ หมายถึงการอ้างอิงถึง Jibe และพาร์ทเนอร์ตามลำดับ
10.3 มาตรการและข้อมูลเสริม Jibe จะให้ข้อมูลแก่พาร์ทเนอร์เกี่ยวกับเรื่องที่เกี่ยวข้องกับการโอนข้อมูลในยุโรปแบบจำกัด รวมถึงข้อมูลเกี่ยวกับมาตรการเสริมเพื่อปกป้องข้อมูลส่วนตัวของพาร์ทเนอร์ ตามที่อธิบายไว้ในมาตราที่ 7.5.1 (การตรวจสอบเอกสารประกอบการรักษาความปลอดภัย) ภาคผนวก 2 (มาตรการรักษาความปลอดภัย) และเอกสารอื่นๆ ที่เกี่ยวข้องกับลักษณะของบริการผู้ประมวลผลข้อมูลและการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์ (เช่น บทความในศูนย์ช่วยเหลือ)
10.4 การสิ้นสุด หากพาร์ทเนอร์พิจารณาจากการใช้บริการผู้ประมวลผลข้อมูลในปัจจุบันหรือที่ตั้งใจจะใช้ว่าโซลูชันการโอนแบบอื่นและ/หรือ SCC (หากมี) ไม่ได้ให้การป้องกันที่เหมาะสมสำหรับข้อมูลส่วนตัวของพาร์ทเนอร์ พาร์ทเนอร์สามารถสิ้นสุดข้อตกลงทันทีเพื่อประโยชน์ของตนเองได้โดยแจ้งให้ Jibe ทราบเป็นลายลักษณ์อักษร
10.5 ข้อมูลศูนย์ข้อมูล ดูข้อมูลเกี่ยวกับสถานที่ตั้งของศูนย์ข้อมูล Google LLC ได้ที่ www.google.com/about/datacenters/locations/index.html
11. ผู้ประมวลผลข้อมูลย่อย
11.1 ความยินยอมต่อการมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อย พาร์ทเนอร์จะต้องให้การอนุมัติการมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อยที่ระบุไว้ในส่วนที่ 11.2 (ข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลย่อย) ตั้งแต่วันที่มีผลของข้อกำหนด นอกจากนี้ พาร์ทเนอร์จะต้องให้การอนุมัติการมีส่วนร่วมของบุคคลที่สามรายอื่นๆ ส่วนใหญ่ในฐานะผู้ประมวลผลข้อมูลย่อย ("ผู้ประมวลผลข้อมูลย่อยรายใหม่") โดยขึ้นอยู่กับส่วนที่ 11.4 (โอกาสในการคัดค้านการเปลี่ยนแปลงผู้ประมวลผลข้อมูลย่อย)
11.2 ข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลย่อย เมื่อได้รับคำขอเป็นลายลักษณ์อักษรจากพาร์ทเนอร์แล้ว Jibe จะระบุข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลรายย่อยและสถานที่ตั้ง คุณต้องส่งคำขอดังกล่าวไปยัง Jibe โดยใช้รายละเอียดการติดต่อที่ระบุไว้ในส่วนที่ 12.1 (การติดต่อ Jibe)
11.3 ข้อกำหนดสำหรับการมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อย เมื่อว่าจ้างผู้ประมวลผลข้อมูลย่อยรายใดก็ตาม Jibe จะดำเนินการดังนี้
(ก) ระบุในสัญญาเพื่อให้มั่นใจว่า
(1) ผู้ประมวลผลข้อมูลจะเข้าถึงและใช้ข้อมูลส่วนตัวของพาร์ทเนอร์เฉพาะในกรณีที่จําเป็นสำหรับการปฏิบัติตามภาระหน้าที่รับการเหมาช่วง และเป็นไปตามข้อตกลง (รวมถึงเอกสารแนบท้ายเกี่ยวกับการประมวลผลข้อมูลฉบับนี้) และ
(2) หากการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์อยู่ภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป ภาระหน้าที่ในการคุ้มครองข้อมูลในการแก้ไขเพิ่มเติมเกี่ยวกับการประมวลผลข้อมูลฉบับนี้ (ตามที่มีการอ้างอิงในมาตราที่ 28(3) ของ GDPR ตามที่ใช้บังคับ) จะตกเป็นของผู้ประมวลผลข้อมูลย่อย และ
(ข) ยังคงเป็นผู้รับผิดโดยสมบูรณ์สำหรับภาระหน้าที่ทั้งหมดที่ทำการเหมาช่วง ตลอดจนการกระทำและการละเลยการกระทำทั้งหมดของผู้ประมวลผลข้อมูลย่อย
11.4 โอกาสในการคัดค้านการเปลี่ยนแปลงผู้ประมวลผลข้อมูลย่อย
(ก) หากมีผู้ประมวลผลข้อมูลย่อยรายใหม่เข้ามามีส่วนร่วมในช่วงวาระนี้ Jibe จะแจ้งให้พาร์ทเนอร์ทราบเกี่ยวกับการมีส่วนร่วมดังกล่าวอย่างน้อย 30 วันก่อนที่ผู้ประมวลผลข้อมูลย่อยรายใหม่จะเริ่มการประมวลผลข้อมูลส่วนบุคคลของพาร์ทเนอร์ (รวมถึงชื่อและสถานที่ตั้งของผู้ประมวลผลข้อมูลย่อย และกิจกรรมที่ผู้ประมวลผลข้อมูลย่อยจะดำเนิน) โดยส่งอีเมลไปที่อีเมลสำหรับการแจ้งเตือน
(ข) พาร์ทเนอร์สามารถคัดค้านผู้ประมวลผลข้อมูลย่อยรายใหม่ได้โดยสิ้นสุดข้อตกลงได้หากต้องการทันทีเมื่อแจ้งให้ Jibe ทราบเป็นลายลักษณ์อักษร โดยเงื่อนไขคือพาร์ทเนอร์ต้องแจ้งให้ทราบภายใน 90 วันหลังจากที่ได้รับการแจ้งเกี่ยวกับการมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อยรายใหม่ตามที่อธิบายไว้ในส่วนที่ 11.4(ก)
12. การติดต่อ Jibe; การประมวลผลระเบียน
12.1 การติดต่อ Jibe เมื่อใช้สิทธิของตนภายใต้เอกสารแนบท้ายการประมวลผลข้อมูลนี้ พาร์ทเนอร์สามารถติดต่อ Jibe ผ่านผู้ติดต่อด้านการคุ้มครองข้อมูล RCS ของ Jibe ซึ่งติดต่อได้ผ่าน issuetracker.google.com หรือผ่านช่องทางอื่นๆ ที่ Jibe มีให้
12.2 บันทึกการประมวลผลข้อมูลของ Jibe Jibe จะเก็บเอกสารประกอบที่เหมาะสมของกิจกรรมการประมวลผลข้อมูลไว้ตามที่กฎหมาย GDPR กำหนด พาร์ทเนอร์รับทราบว่าภายใต้ GDPR นั้น Jibe มีหน้าที่ (ก) รวบรวมและเก็บรักษาบันทึกข้อมูลบางอย่าง ซึ่งรวมถึง (1) ชื่อและรายละเอียดการติดต่อของผู้ประมวลผลข้อมูลและ/หรือผู้ควบคุมข้อมูลแต่ละรายที่ Jibe ดําเนินการในนาม และ (หากมี) ของตัวแทนในพื้นที่และผู้ควบคุมข้อมูลของผู้ประมวลผลข้อมูลหรือผู้ควบคุมข้อมูลดังกล่าว และ (2) หน่วยงานกำกับดูแลของพาร์ทเนอร์ (หากมี) ภายใต้ SCC ที่เกี่ยวข้อง และ (ข) เปิดเผยข้อมูลดังกล่าวต่อหน่วยงานกำกับดูแล ดังนั้น พาร์ทเนอร์จะต้องให้ข้อมูลดังกล่าวแก่ Jibe ผ่านอินเทอร์เฟซผู้ใช้ของบริการผู้ประมวลผลข้อมูลหรือด้วยวิธีอื่นๆ ที่ Jibe กำหนดไว้ หากมีการร้องขอและเมื่อเกี่ยวข้องกับพาร์ทเนอร์
12.3 คำขอของผู้ควบคุมข้อมูล หาก Jibe ได้รับคำขอหรือคำสั่งจากบุคคลที่สามที่อ้างว่าเป็นผู้ควบคุมข้อมูลส่วนตัวของพาร์ทเนอร์ Jibe จะแจ้งให้บุคคลที่สามรายนั้นติดต่อกับพาร์ทเนอร์
13. ความรับผิด
หากข้อตกลงอยู่ในบังคับของกฎหมายของ
(ก) รัฐของสหรัฐอเมริกา ไม่ว่าข้อตกลงจะระบุไว้อย่างไร ความรับผิดทั้งหมดของคู่สัญญาฝ่ายใดฝ่ายหนึ่งต่อคู่สัญญาอีกฝ่ายภายใต้หรือเกี่ยวข้องกับภาคผนวกการประมวลผลข้อมูลนี้จะจำกัดอยู่ที่จำนวนเงินสูงสุดหรือจำนวนเงินตามการชำระเงินที่ความรับผิดของคู่สัญญาฝ่ายนั้นถูกจำกัดไว้ภายใต้ข้อตกลง (ดังนั้น การยกเว้นการอ้างสิทธิ์ด้านความลับหรือการชดใช้ค่าเสียหายจากการจำกัดความรับผิดของข้อตกลงจะไม่มีผลกับการอ้างสิทธิ์ภายใต้ข้อตกลงที่เกี่ยวข้องกับนิติบัญญัติว่าด้วยความเป็นส่วนตัวของข้อมูลในยุโรปหรือนิติบัญญัติว่าด้วยความเป็นส่วนตัวของข้อมูลนอกยุโรป) หรือ
(ข) เขตอำนาจศาลที่ไม่ใช่รัฐของสหรัฐอเมริกา ความรับผิดทั้งหมดของคู่สัญญาและบริษัทในเครือที่อยู่ภายใต้หรือเกี่ยวข้องกับภาคผนวกการประมวลผลข้อมูลนี้จะขึ้นอยู่กับข้อตกลง
14. ผลของเอกสารแนบท้ายการประมวลผลข้อมูลนี้
14.1 ลําดับความสําคัญ หากมีข้อขัดแย้งหรือความไม่สอดคล้องกันระหว่าง SCC, ข้อกำหนดเพิ่มเติมสำหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป, ภาคผนวกการประมวลผลข้อมูลนี้ และส่วนที่เหลือของข้อตกลง ระบบจะใช้ลําดับความสำคัญต่อไปนี้
(ก) SCC
(ข) ข้อกําหนดเพิ่มเติมสําหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป
(ค) ส่วนที่เหลือของเอกสารแนบท้ายการประมวลผลข้อมูลนี้ และ
(ง) ส่วนที่เหลือของข้อตกลง
ข้อตกลงจะยังคงมีผลบังคับอย่างสมบูรณ์ภายใต้การแก้ไขเพิ่มเติมเกี่ยวกับการประมวลผลข้อมูลนี้
14.2 ไม่มีการแก้ไข SCC ไม่มีส่วนใดในข้อตกลงนี้ (รวมถึงเอกสารแนบท้ายการประมวลผลข้อมูลฉบับนี้) มีเจตนาที่จะแก้ไขหรือขัดแย้งกับ SCC หรือลดสิทธิหรือเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป
14.3 ไม่ส่งผลกระทบต่อข้อกำหนดของผู้ควบคุมข้อมูล ภาคผนวกการประมวลผลข้อมูลนี้จะไม่ส่งผลต่อข้อกำหนดแยกต่างหากระหว่าง Jibe กับพาร์ทเนอร์ที่แสดงถึงความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลกับผู้ควบคุมข้อมูลสำหรับบริการอื่นนอกเหนือจากบริการของผู้ประมวลผลข้อมูล
14.4 SCC เดิมของสหราชอาณาจักร ตั้งแต่วันที่ 21 กันยายน 2022 หรือวันที่ที่ข้อตกลงมีผลบังคับใช้ (แล้วแต่ว่าวันที่ใดจะมาถึงก่อน) ข้อกำหนดเพิ่มเติมของ SCC สำหรับการโอนภายใต้ GDPR ของสหราชอาณาจักรจะมีผลบังคับใช้ และจะลบล้างและสิ้นสุดความมีผลบังคับใช้ของข้อสัญญามาตรฐานที่อนุมัติภายใต้ GDPR ของสหราชอาณาจักรและกฎหมายคุ้มครองข้อมูลปี 2018 รวมถึงข้อสัญญามาตรฐานที่พาร์ทเนอร์และ Jibe ได้ทำไว้ก่อนหน้านี้ ("SCC เดิมของสหราชอาณาจักร") ส่วนที่ 14.4 (SCC เดิมของสหราชอาณาจักร) นี้จะไม่ส่งผลต่อสิทธิของคู่สัญญาฝ่ายใดฝ่ายหนึ่งหรือสิทธิของเจ้าของข้อมูลซึ่งอาจเกิดขึ้นภายใต้ SCC เดิมของสหราชอาณาจักรขณะที่มีผลบังคับใช้
15. การเปลี่ยนแปลงเอกสารแนบท้ายการประมวลผลข้อมูลนี้
15.1 การเปลี่ยนแปลง URL Jibe อาจเปลี่ยนแปลง URL ที่อ้างอิงในเอกสารแนบท้ายการประมวลผลข้อมูลฉบับนี้และเนื้อหาใน URL ดังกล่าวเป็นครั้งคราว ยกเว้นว่า Jibe จะเปลี่ยนแปลง SCC ได้เฉพาะตามส่วนที่ 15.2(ข) - 15.2(ง) (การเปลี่ยนแปลงเอกสารแนบท้ายการประมวลผลข้อมูล) หรือเพื่อรวม SCC เวอร์ชันใหม่ซึ่งอาจนำมาใช้ภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป โดยในแต่ละกรณีจะต้องทำในลักษณะที่ไม่ส่งผลต่อความถูกต้องของ SCC ภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป
15.2 การเปลี่ยนแปลงเอกสารแนบท้ายการประมวลผลข้อมูล Jibe สามารถเปลี่ยนแปลงเอกสารแนบท้ายการประมวลผลข้อมูลนี้ได้หากการเปลี่ยนแปลงนั้นมีลักษณะดังนี้
(ก) ได้รับอนุญาตอย่างชัดเจนจากเอกสารแนบท้ายการประมวลผลข้อมูลนี้ รวมถึงตามที่อธิบายไว้ในส่วนที่ 15.1 (การเปลี่ยนแปลง URL)
(ข) เป็นการเปลี่ยนชื่อหรือรูปแบบของนิติบุคคล
(ค) เป็นสิ่งที่จำเป็นเพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้อง กฎระเบียบที่เกี่ยวข้อง คำสั่งศาล หรือคำแนะนำที่มาจากหน่วยงานกำกับดูแลหรือหน่วยงานภาครัฐ หรือแสดงให้เห็นการที่ Jibe นำโซลูชันทางเลือกในการโอนข้อมูลมาใช้ หรือ
(ง) ไม่ (1) ทำให้ความปลอดภัยโดยรวมของบริการผู้ประมวลผลข้อมูลลดลง (2) ขยายขอบเขตหรือยกเลิกข้อจำกัดใดๆ เกี่ยวกับ (x) ในกรณีที่เป็นข้อกำหนดเพิ่มเติมสำหรับนิติบัญญัติด้านการคุ้มครองข้อมูลที่ไม่ใช่ของยุโรป สิทธิของ Jibe ในการใช้หรือประมวลผลข้อมูลในขอบเขตของข้อกำหนดเพิ่มเติมสำหรับนิติบัญญัติด้านการคุ้มครองข้อมูลที่ไม่ใช่ของยุโรป หรือ (y) ในกรณีที่เป็นข้อกำหนดอื่นๆ ที่เหลือของเอกสารแนบท้ายการประมวลผลข้อมูลนี้ การประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์โดย Jibe ตามที่อธิบายไว้ในส่วนที่ 5.3 (การปฏิบัติตามข้อกำหนดของ Jibe) และ (3) ไม่ก่อให้เกิดผลกระทบเชิงลบที่สำคัญต่อสิทธิของพาร์ทเนอร์ภายใต้เอกสารแนบท้ายการประมวลผลข้อมูลนี้ตามที่ Jibe พิจารณาอย่างสมเหตุสมผล
15.3 การแจ้งเตือนการเปลี่ยนแปลง หาก Jibe ต้องการเปลี่ยนแปลงภาคผนวกเกี่ยวกับการจัดการข้อมูลนี้ภายใต้ส่วนที่ 15.2(ค) หรือ (ง) Jibe จะแจ้งให้พาร์ทเนอร์ทราบล่วงหน้าอย่างน้อย 30 วัน (หรือระยะเวลาที่สั้นกว่านั้นตามที่อาจจําเป็นเพื่อปฏิบัติตามกฎหมาย กฎระเบียบ คำสั่งศาล หรือคําแนะนําที่ออกโดยหน่วยงานกํากับดูแลของรัฐ) ก่อนที่การเปลี่ยนแปลงจะมีผล โดยส่งอีเมลไปยังอีเมลแจ้งเตือน หรือแจ้งเตือนพาร์ทเนอร์ผ่านอินเทอร์เฟซผู้ใช้สําหรับบริการผู้ประมวลผล หากพาร์ทเนอร์คัดค้านการเปลี่ยนแปลงดังกล่าว พาร์ทเนอร์สามารถสิ้นสุดข้อตกลงได้หากต้องการโดยแจ้งให้ Jibe ทราบเป็นลายลักษณ์อักษรภายใน 90 วันหลังจากที่ Jibe แจ้งให้ทราบถึงการเปลี่ยนแปลง
ภาคผนวก 1: เรื่องและรายละเอียดของการประมวลผลข้อมูล
เรื่อง
การให้บริการของผู้ประมวลผลข้อมูลและการสนับสนุนด้านเทคนิคที่เกี่ยวข้องของ Jibe แก่พาร์ทเนอร์
ระยะเวลาการประมวลผลข้อมูล
ข้อกำหนดบวกระยะเวลาตั้งแต่ที่สิ้นสุดข้อกำหนดจนถึงระยะเวลาที่ Jibe ลบข้อมูลส่วนตัวทั้งหมดของพาร์ทเนอร์ตามภาคผนวกการประมวลผลข้อมูลนี้
ลักษณะและวัตถุประสงค์ของการประมวลผลข้อมูล
Jibe จะประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์ ซึ่งรวมถึง (ตามที่สอดคล้องกับลักษณะของบริการของผู้ประมวลผลข้อมูลและวิธีการ) การเก็บรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การเปลี่ยนแปลง การเรียกข้อมูล การใช้ การเปิดเผย การรวม การลบ และทำลายข้อมูลส่วนตัวของพาร์ทเนอร์เพื่อวัตถุประสงค์ในการมอบบริการของผู้ประมวลผลข้อมูลและการสนับสนุนทางเทคนิคที่เกี่ยวข้องให้แก่พาร์ทเนอร์ตามเอกสารแนบท้ายเกี่ยวกับการประมวลผลข้อมูลนี้
ประเภทของข้อมูลส่วนตัว
ข้อมูลส่วนตัวที่เกี่ยวข้องกับบุคคลแต่ละบุคคลที่มอบไว้ให้กับ Jibe ผ่านทางบริการประมวลผล โดย (หรือที่มาจาก) พาร์ทเนอร์หรือผู้ใช้ปลายทางของพาร์ทเนอร์
หมวดหมู่ของเจ้าของข้อมูล
เจ้าของข้อมูล ได้แก่ บุคคลที่อยู่ในข้อมูลที่มอบไว้ให้กับ Jibe ผ่านทางบริการของผู้ประมวลผลข้อมูลโดย (หรือที่มาจาก) หรือโดยพาร์ทเนอร์
ภาคผนวก 2: มาตรการรักษาความปลอดภัย
นับตั้งแต่วันที่ข้อกำหนดมีผล Jibe จะปรับใช้และรักษามาตรการการรักษาความปลอดภัยในภาคผนวก 2 นี้ Jibe สามารถปรับปรุงหรือแก้ไขมาตรการรักษาความปลอดภัยดังกล่าวเป็นครั้งคราว โดยมีเงื่อนไขว่าการปรับปรุงและการแก้ไขดังกล่าวจะต้องไม่ส่งผลให้ความปลอดภัยโดยรวมของบริการผู้ประมวลผลข้อมูลลดลง
1. การรักษาความปลอดภัยของศูนย์ข้อมูลและเครือข่าย
(ก) ศูนย์ข้อมูล
โครงสร้างพื้นฐาน Jibe มีศูนย์ข้อมูลที่กระจายอยู่ตามพื้นที่ทางภูมิศาสตร์ โดย Jibe จะเก็บข้อมูลเวอร์ชันที่ใช้งานจริงทั้งหมดในศูนย์ข้อมูลที่มีความปลอดภัยทางกายภาพ
ข้อมูลซ้ำ โครงสร้างพื้นฐานได้รับการออกแบบให้กำจัดจุดความล้มเหลวแต่ละจุด และลดความเสี่ยงทางสภาพแวดล้อมที่คาดว่าจะเกิดขึ้นให้เหลือน้อยที่สุด วงจรคู่ สวิตช์ เครือข่าย หรืออุปกรณ์อื่นๆ ที่จำเป็นช่วยให้มีการสำรองการทำงานแบบซ้อน บริการผู้ประมวลผลได้รับการออกแบบมาเพื่อให้ Jibe สามารถดำเนินการบำรุงรักษาเชิงป้องกันและเชิงแก้ไขได้โดยปราศจากความขัดข้อง เครื่องมือและสิ่งอำนวยความสะดวกในสภาพแวดล้อมทั้งหมดมีขั้นตอนการบำรุงรักษาเชิงป้องกันและเชิงแก้ไขที่มีเอกสารประกอบซึ่งอธิบายรายละเอียดและกระบวนการและความถี่ในการดำเนินการ โดยเป็นไปตามข้อกำหนดของผู้ผลิตหรือของภายใน มีการจัดตารางการบำรุงรักษาเชิงป้องกันและเชิงแก้ไขสำหรับอุปกรณ์ของศูนย์ข้อมูลให้อยู่ในกระบวนการมาตรฐานตามขั้นตอนที่อยู่ในเอกสารประกอบ
กำลังไฟฟ้า ระบบพลังงานไฟฟ้าของศูนย์ข้อมูลได้รับการออกแบบมาให้มีการสำรองการทำงานแบบซ้อนและสามารถบำรุงรักษาได้โดยไม่มีผลกระทบต่อการทำงานอย่างต่อเนื่องตลอด 24 ชั่วโมงทุกวัน ในกรณีส่วนใหญ่แล้วจะมีการจัดสรรแหล่งพลังงานหลักและพลังงานสำรองที่มีกำลังไฟฟ้าเท่ากันให้กับองค์ประกอบที่เป็นโครงสร้างพื้นฐานของศูนย์ข้อมูล พลังงานสำรองจะได้รับการจัดสรรด้วยกลไกต่างๆ หลายรูปแบบ เช่น แบตเตอรี่แหล่งจ่ายไฟแบบต่อเนื่อง (UPS) ซึ่งจะช่วยให้การสำรองพลังงานที่เชื่อถือได้และมีความเสถียรในระหว่างช่วงไฟตก ไฟดับ แรงดันไฟฟ้าเกิน แรงดันไฟฟ้าต่ำ และเมื่ออยู่ในสภาพความถี่ที่อยู่นอกช่วงที่ยอมรับได้ หากพลังงานสาธารณูปโภคเกิดความขัดข้อง ระบบพลังงานสำรองที่ออกแบบมาเพื่อจ่ายไฟชั่วคราวให้กับศูนย์ข้อมูลด้วยอัตราสูงสุด ซึ่งใช้งานได้นานที่สุดถึง 10 นาทีจนกว่าระบบปั่นไฟสำรองจะเข้ามาทำหน้าที่แทน เครื่องปั่นไฟจะมีความสามารถในการเริ่มทำงานได้โดยอัตโนมัติภายในระยะเวลาไม่กี่วินาทีเพื่อจ่ายพลังงานไฟฟ้าสำรองฉุกเฉินที่เพียงพอสำหรับการทำงานของศูนย์ข้อมูลในอัตราสูงสุดซึ่งใช้งานได้ทั้งวัน
ระบบปฏิบัติการของเซิร์ฟเวอร์ เซิร์ฟเวอร์ Jibe ใช้ระบบปฏิบัติการที่ปิดช่องโหว่ได้ดีซึ่งปรับแต่งมาเพื่อตอบสนองความต้องการเฉพาะของเซิร์ฟเวอร์ของธุรกิจ ข้อมูลได้รับการจัดเก็บด้วยอัลกอริทึมเฉพาะตัวเพื่อเสริมประสิทธิภาพการรักษาความปลอดภัยและการสำรองการทำงานแบบซ้อน Jibe ใช้กระบวนการตรวจสอบโค้ดเพื่อยกระดับความปลอดภัยของโค้ดที่ใช้ในการให้บริการประมวลผลข้อมูล และเสริมศักยภาพการรักษาความปลอดภัยในสภาพแวดล้อมการทำงานแบบการผลิต
ความต่อเนื่องทางธุรกิจ Jibe จะจำลองข้อมูลในระบบต่างๆ เพื่อช่วยป้องกันความเสียหายหรือการสูญหายโดยไม่ตั้งใจ Jibe มีการออกแบบ วางแผน และทดสอบแผนความต่อเนื่องทางธุรกิจ/โปรแกรมการกู้ข้อมูลคืนหลังจากภัยพิบัติอยู่เป็นประจำ
เทคโนโลยีการเข้ารหัส นโยบายด้านความปลอดภัยของ Jibe กำหนดให้ต้องมีการเข้ารหัสข้อมูลผู้ใช้ทั้งหมด ซึ่งรวมถึงข้อมูลส่วนบุคคล ข้อมูลมักได้รับการเข้ารหัสหลายระดับในแพ็กเกจพื้นที่เก็บข้อมูลเวอร์ชันที่ใช้งานจริงของ Jibe ในศูนย์ข้อมูล รวมถึงในระดับฮาร์ดแวร์ โดยที่ลูกค้าหรือพาร์ทเนอร์ไม่จําเป็นต้องดําเนินการใดๆ การใช้การเข้ารหัสหลายชั้นจะเพิ่มการปกป้องข้อมูลที่ซ้ำซ้อนและช่วยให้ Jibe เลือกแนวทางที่เหมาะสมที่สุดตามข้อกำหนดของแอปพลิเคชันได้ ข้อมูลส่วนตัวทั้งหมดได้รับการเข้ารหัสที่ระดับพื้นที่เก็บข้อมูล โดยปกติจะใช้ AES256 Jibe ใช้ไลบรารีการเข้ารหัสลับทั่วไปซึ่งรวมโมดูลที่ผ่านการตรวจสอบ FIPS 140-2 ของ Jibe เพื่อใช้การเข้ารหัสอย่างสอดคล้องกันในบริการผู้ประมวลผล
(ข) เครือข่ายและการถ่ายโอน
การส่งข้อมูล โดยปกติแล้วศูนย์ข้อมูลจะเชื่อมต่อกันด้วยลิงก์ส่วนตัวแบบความเร็วสูง เพื่อให้การโอนข้อมูลระหว่างศูนย์ข้อมูลแต่ละแห่งมีความปลอดภัยและรวดเร็ว ทั้งนี้เพื่อป้องกันไม่ให้ข้อมูลถูกเปิดอ่าน คัดลอก ดัดแปลง หรือถูกลบโดยไม่ได้รับอนุญาตในระหว่างการรับส่งข้อมูลทางอิเล็กทรอนิกส์ Jibe จะส่งข้อมูลผ่านโปรโตคอลมาตรฐานสำหรับอินเทอร์เน็ต
ช่องทางการโจมตีจากภายนอก Jibe ใช้อุปกรณ์เครือข่ายและการตรวจจับการบุกรุกแบบหลายชั้นในการป้องกันช่องทางการโจมตีจากภายนอก Jibe จะพิจารณาถึงเวกเตอร์การโจมตีที่เป็นไปได้ และนำเทคโนโลยีที่ได้รับการออกแบบตามวัตถุประสงค์โดยเฉพาะมาใช้ในระบบการป้องกันภายนอก
การตรวจจับการบุกรุก การตรวจจับการบุกรุกมีวัตถุประสงค์ในการให้ข้อมูลเชิงลึกในกิจกรรมการโจมตีที่กำลังเกิดขึ้น และให้ข้อมูลที่เพียงพอสำหรับตอบสนองต่อเหตุการณ์ต่างๆ การตรวจจับการบุกรุกของ Jibe ประกอบไปด้วยปัจจัยเหล่านี้
ควบคุมขนาดและลักษณะของช่องทางการโจมตีของ Jibe อย่างรัดกุมด้วยมาตรการเชิงป้องกัน
ใช้ตัวควบคุมการตรวจจับแบบอัจฉริยะในจุดแรกเข้าของข้อมูล และ
ใช้เทคโนโลยีที่สามารถบรรเทาสถานการณ์อันตรายบางอย่างได้โดยอัตโนมัติ
การตอบสนองต่อเหตุการณ์ Jibe จะตรวจสอบช่องทางการสื่อสารต่างๆ เพื่อค้นหาเหตุการณ์ด้านความปลอดภัย และบุคลากรฝ่ายการรักษาความปลอดภัยของ Jibe จะดำเนินการตอบโต้ต่อเหตุการณ์ที่ทราบอย่างทันท่วงที
เทคโนโลยีการเข้ารหัส Jibe มีการเข้ารหัส HTTPS (หรือเรียกอีกอย่างว่าการเชื่อมต่อแบบ TLS) ให้ใช้งาน โดยเซิร์ฟเวอร์ของ Jibe รองรับการแลกเปลี่ยนคีย์การเข้ารหัส Diffie-Hellman แบบ Ephemeral Elliptic Curve ที่มีการลงชื่อด้วย RSA และ ECDSA เมธอด Forward Secrecy แบบสมบูรณ์ (PFS) เหล่านี้จะช่วยปกป้องการรับส่งข้อมูลและลดผลกระทบจากคีย์ที่ถูกขโมยหรือการเจาะระบบแบบวิทยาการเข้ารหัสลับให้น้อยที่สุด
2. การเข้าถึงและการควบคุมพื้นที่
(ก) การควบคุมพื้นที่
ส่วนการรักษาความปลอดภัยของศูนย์ข้อมูลในพื้นที่ ศูนย์ข้อมูลของ Jibe มีการรักษาความปลอดภัยในพื้นที่สำหรับศูนย์ข้อมูลทางกายภาพตลอด 24 ชั่วโมง บุคลากรส่วนการรักษาความปลอดภัยในพื้นที่จะตรวจสอบกล้องโทรทัศน์วงจรปิด ("CCTV") และระบบสัญญาณเตือนภัยทั้งหมด บุคลากรส่วนการรักษาความปลอดภัยในพื้นที่จะทำการลาดตระเวนทั้งภายในและภายนอกศูนย์ข้อมูลเป็นประจำ
ขั้นตอนการเข้าถึงศูนย์ข้อมูล Jibe มีขั้นตอนการเข้าถึงอย่างเป็นทางการสำหรับการอนุญาตการเข้าถึงทางกายภาพในศูนย์ข้อมูล ศูนย์ข้อมูลจะอยู่ในสถานประกอบการที่ใช้การเข้าถึงด้วยคีย์การ์ดอิเล็กทรอนิกส์ พร้อมสัญญาณเตือนภัยที่เชื่อมต่อกับส่วนการรักษาความปลอดภัยในพื้นที่ ผู้เข้าใช้งานศูนย์ข้อมูลทุกคนจะต้องพิสูจน์ตัวตนและแสดงหลักฐานยืนยันตัวตนในส่วนการรักษาความปลอดภัยในพื้นที่ โดยจะมีเพียงพนักงานประจำ พนักงานสัญญาจ้าง และผู้เข้าชมที่ได้รับอนุญาตเท่านั้นที่ได้รับอนุญาตให้เข้าไปยังศูนย์ข้อมูล และมีเพียงพนักงานประจำและพนักงานสัญญาจ้างที่ได้รับอนุญาตให้ส่งเรื่องขอการเข้าถึงผ่านคีย์การ์ดอิเล็กทรอนิกส์ในสถานประกอบการเหล่านี้ การส่งเรื่องขอการเข้าถึงผ่านคีย์การ์ดอิเล็กทรอนิกส์ในศูนย์ข้อมูลจะต้องดำเนินการล่วงหน้าและต้องทำเป็นลายลักษณ์อักษร และต้องได้รับอนุญาตจากเจ้าหน้าที่ศูนย์ข้อมูลที่ได้รับอนุญาต ผู้เข้าชมคนอื่นๆ ทั้งหมดที่ต้องการการเข้าถึงศูนย์ข้อมูลชั่วคราวต้อง (1) ขออนุมัติล่วงหน้าจากผู้จัดการศูนย์ข้อมูลสำหรับศูนย์ข้อมูลและพื้นที่ภายในที่ต้องการเข้าชม (2) ลงชื่อเข้าใช้ที่จุดตรวจรักษาความปลอดภัยในสถานที่ และ (3) อ้างอิงบันทึกการเข้าถึงศูนย์ข้อมูลที่อนุมัติซึ่งระบุบุคคลที่อนุมัติ
อุปกรณ์รักษาความปลอดภัยของศูนย์ข้อมูลในพื้นที่ ศูนย์ข้อมูลของ Jibe ใช้ระบบควบคุมการเข้าถึงด้วยคีย์การ์ดอิเล็กทรอนิกส์และระบบควบคุมการเข้าถึงด้วยข้อมูลไบโอเมตริกที่ลิงก์กับสัญญาณเตือนภัยของระบบ ระบบควบคุมการเข้าถึงจะตรวจสอบและบันทึกคีย์การ์ดอิเล็กทรอนิกส์ของแต่ละบุคคล รวมถึงตรวจสอบและบันทึกข้อมูลเมื่อบุคคลเหล่านี้เข้า-ออกประตูในพื้นที่ ส่วนการรับส่งพัสดุ และพื้นที่สำคัญอื่นๆ ระบบควบคุมการเข้าถึงจะบันทึกกิจกรรมที่ไม่ได้รับอนุญาตและการพยายามเข้าถึงที่ไม่สำเร็จ และจะทำการตรวจสอบตามที่จำเป็น การเข้าถึงที่ได้รับอนุญาตในส่วนการดำเนินธุรกิจและในศูนย์ข้อมูลจะถูกจำกัดตามพื้นที่และหน้าที่รับผิดชอบในงานของแต่ละบุคคล ประตูหนีไฟในศูนย์ข้อมูลมีการติดตั้งสัญญาณเตือนภัย กล้องวงจรปิดจะสอดส่องทั้งภายในและภายนอกศูนย์ข้อมูล ตำแหน่งการติดตั้งกล้องวงจรปิดได้รับการออกแบบมาให้ครอบคลุมพื้นที่ทางยุทธศาสตร์ต่างๆ ซึ่งรวมไปถึงเขตกั้นพื้นที่ ประตูที่นำไปยังอาคารศูนย์ข้อมูล และส่วนการรับส่งพัสดุ บุคลากรส่วนการรักษาความปลอดภัยในพื้นที่จะมีหน้าที่ในการจัดการการตรวจสอบ การบันทึก และอุปกรณ์ควบคุมกล้องวงจรปิด อุปกรณ์เกี่ยวกับกล้องวงจรปิดมีการเชื่อมต่อด้วยสายเคเบิลที่มีความแน่นหนาทั่วทั้งศูนย์ข้อมูล กล้องจะทำการบันทึกภาพในพื้นที่ผ่านอุปกรณ์วิดีโอดิจิทัลตลอด 24 ชั่วโมง ระบบจะเก็บไฟล์บันทึกของกล้องวงจรปิดไว้อย่างน้อย 7 วันโดยขึ้นอยู่กับกิจกรรม
(ข) การควบคุมการเข้าถึง
บุคลากรส่วนการรักษาความปลอดภัยในโครงสร้างพื้นฐาน Jibe มีและใช้นโยบายการรักษาความปลอดภัยสำหรับบุคลากรอย่างต่อเนื่อง และกำหนดให้มีการฝึกอบรมด้านการรักษาความปลอดภัยซึ่งนับเป็นส่วนหนึ่งของแผนการฝึกอบรมบุคลากร บุคลากรด้านการรักษาความปลอดภัยโครงสร้างพื้นฐานของ Jibe มีหน้าที่รับผิดชอบในการตรวจสอบโครงสร้างพื้นฐานด้านการรักษาความปลอดภัยของ Jibe, การตรวจสอบบริการผู้ประมวลผลข้อมูล และการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยอย่างต่อเนื่อง
การควบคุมการเข้าถึงและการจัดการสิทธิ์ ผู้ดูแลระบบและผู้ใช้ของพาร์ทเนอร์จะต้องตรวจสอบสิทธิ์ของตนเองโดยใช้ระบบการตรวจสอบสิทธิ์ส่วนกลางหรือระบบการลงชื่อเพียงครั้งเดียวจึงจะใช้บริการของผู้ให้บริการประมวลผลข้อมูลได้
กระบวนการและนโยบายการเข้าถึงข้อมูลภายใน - นโยบายการเข้าถึง กระบวนการและนโยบายการเข้าถึงข้อมูลภายในของ Jibe ได้รับการออกแบบมาเพื่อป้องกันไม่ให้บุคคลและ/หรือระบบที่ไม่ได้รับอนุญาตเข้าถึงระบบที่ใช้ในการประมวลผลข้อมูลส่วนตัว Jibe มุ่งมั่นที่จะออกแบบระบบให้ (1) เปิดโอกาสให้เฉพาะบุคคลที่ได้รับอนุญาตเข้าถึงข้อมูลที่บุคคลเหล่านั้นได้รับอนุญาตให้เข้าถึงเท่านั้น และ (2) เพื่อให้มั่นใจว่าจะไม่มีการอ่าน คัดลอก ดัดแปลง หรือลบข้อมูลส่วนตัวโดยไม่ได้รับอนุญาตในระหว่างการประมวลผล ระหว่างการใช้งาน และระหว่างการบันทึกข้อมูล โดยระบบนี้ได้รับการออกแบบมาเพื่อตรวจจับการเข้าถึงที่ไม่เหมาะสม Jibe ใช้ระบบการจัดการการเข้าถึงแบบรวมศูนย์เพื่อควบคุมการเข้าถึงเซิร์ฟเวอร์เวอร์ชันที่ใช้งานจริงของบุคลากร และจะให้สิทธิ์การเข้าถึงเฉพาะบุคคลที่ได้รับอนุญาตในจำนวนจำกัดเท่านั้น LDAP, Kerberos และระบบที่เป็นกรรมสิทธิ์ซึ่งใช้ใบรับรองดิจิทัลได้รับการออกแบบมาเพื่อสร้างกลไกการเข้าถึงที่ปลอดภัยและยืดหยุ่นสำหรับ Jibe โดยกลไกเหล่านี้ได้รับการออกแบบให้มอบสิทธิ์การเข้าถึงที่ถูกต้องเท่านั้นในการโฮสต์เว็บไซต์ การบันทึก ข้อมูลต่างๆ และข้อมูลการกำหนดค่า Jibe กำหนดให้มีการใช้รหัสผู้ใช้ที่ไม่ซ้ำกัน รหัสผ่านที่รัดกุม การตรวจสอบสิทธิ์แบบ 2 ปัจจัย และรายการเข้าถึงที่มีการตรวจสอบอย่างละเอียดเพื่อลดโอกาสในการใช้บัญชีโดยไม่ได้รับอนุญาต การมอบสิทธิ์หรือการปรับเปลี่ยนสิทธิ์การเข้าถึงจะเป็นไปตามปัจจัยดังนี้: หน้าที่รับผิดชอบในงานของบุคลากรที่ได้รับอนุญาต, เหตุจำเป็นด้านภาระหน้าที่ในการปฏิบัติงานที่ได้รับอนุญาต และหลักการ "เฉพาะข้อมูลที่จำเป็นต้องทราบ" นอกจากนี้การมอบสิทธิ์และการปรับเปลี่ยนสิทธิ์การเข้าถึงจะต้องเป็นไปตามนโยบายและการฝึกอบรมเกี่ยวกับการเข้าถึงข้อมูลภายในของ Jibe ขั้นตอนการอนุมัติจะได้รับการจัดการโดยเครื่องมือเวิร์กโฟลว์ที่จะทำการตรวจสอบบันทึกของทุกการเปลี่ยนแปลง การเข้าถึงระบบจะได้รับการบันทึกไว้เพื่อสร้างบันทึกการตรวจสอบความรับผิดชอบ ในส่วนที่มีการใช้รหัสผ่านในการตรวจสอบสิทธิ์ (เช่น การเข้าสู่ระบบเวิร์กสเตชัน) จะมีการใช้นโยบายรหัสผ่านที่อย่างน้อยที่สุดต้องเป็นไปตามหลักปฏิบัติของมาตรฐานอุตสาหกรรม โดยมาตรฐานเหล่านี้จะรวมไปถึงข้อจำกัดในการใช้รหัสผ่านซ้ำและระดับความปลอดภัยของรหัสผ่านที่เพียงพอ
3. ข้อมูล
(ก) การจัดเก็บ การแยกเก็บ และการตรวจสอบสิทธิ์ข้อมูล
Jibe จะจัดเก็บข้อมูลในสภาพแวดล้อมแบบผู้ใช้หลายรายในเซิร์ฟเวอร์ที่ Google LLC เป็นเจ้าของ ข้อมูล ฐานข้อมูลบริการประมวลผล และสถาปัตยกรรมของระบบไฟล์จะมีการจำลองข้อมูลระหว่างศูนย์ข้อมูลที่กระจายอยู่หลายแห่ง Jibe จะแยกข้อมูลของพาร์ทเนอร์หรือลูกค้าแต่ละรายออกจากกันอย่างมีเหตุผล ระบบการตรวจสอบสิทธิ์ส่วนกลางมีการใช้งานในบริการผู้ประมวลผลข้อมูลทั้งหมดเพื่อเพิ่มความปลอดภัยที่สอดคล้องกันของข้อมูล
(ข) หลักเกณฑ์เกี่ยวกับดิสก์ที่ไม่ใช้งานแล้วและการทำลายดิสก์
ดิสก์บางรายการที่มีข้อมูลอาจพบปัญหาด้านประสิทธิภาพ ข้อผิดพลาด หรือฮาร์ดแวร์ขัดข้อง ซึ่งทำให้ต้องเลิกใช้งาน ("ดิสก์ที่เลิกใช้งาน") ดิสก์ที่เลิกใช้งานทุกแผ่นจะต้องผ่านกระบวนการทำลายข้อมูล (หลักเกณฑ์การทำลายข้อมูล) ก่อนออกจากสถานที่ตั้งของ Jibe เพื่อนำไปใช้ซ้ำหรือทำลาย ดิสก์ที่ไม่ใช้งานแล้วจะถูกล้างข้อมูลในหลายขั้นตอน และจะได้รับการตรวจสอบความสมบูรณ์ในการล้างข้อมูลโดยโปรแกรมตรวจสอบ 2 โปรแกรมแยกกัน ผลการลบข้อมูลจะได้รับการบันทึกไว้ในหมายเลขซีเรียลของดิสก์ที่ไม่ใช้งานแล้วเพื่อใช้ในการติดตาม ในขั้นตอนสุดท้าย ดิสก์ที่ไม่ใช้งานแล้วที่ผ่านการล้างข้อมูลจะถูกส่งออกจากคลังเพื่อนำไปช้ำหรือเพื่อนำไปทำลาย หากไม่สามารถล้างข้อมูลดิสก์ที่ไม่ใช้งานแล้วได้เนื่องจากข้อบกพร่องของฮาร์ดแวร์ ดิสก์จะถูกเก็บไว้อย่างปลอดภัยจนกว่าจะสามารถทำลายได้ สถานประกอบการแต่ละแห่งจะได้รับการประเมินเป็นประจำเพื่อตรวจสอบการปฏิบัติตามหลักเกณฑ์การทำลายข้อมูล
(ค) ข้อมูลที่ระบุตัวบุคคลไม่ได้
โดยทั่วไปแล้ว ข้อมูลการโฆษณาออนไลน์จะเชื่อมโยงกับตัวระบุออนไลน์ซึ่งถือว่าเป็น "ข้อมูลที่ไม่ระบุตัวบุคคล" (กล่าวคือ ไม่สามารถระบุแหล่งที่มาว่าเป็นบุคคลใดบุคคลหนึ่งได้หากไม่มีการใช้ข้อมูลเพิ่มเติม) Jibe มีชุดนโยบายและการควบคุมทางเทคนิคและองค์กรที่มีประสิทธิภาพเพื่อแยกข้อมูลที่ไม่ระบุตัวบุคคลออกจากข้อมูลผู้ใช้ที่ระบุตัวบุคคลนั้นได้ (นั่นคือข้อมูลที่นำไปใช้ในการระบุตัวตน ติดต่อ หรือหาตำแหน่งของบุคคลที่แน่นอนโดยไม่ต้องใช้ร่วมกับข้อมูลอื่น) เช่น ข้อมูลบัญชี Jibe ของผู้ใช้ นโยบายของ Jibe อนุญาตให้มีการส่งข้อมูลระหว่างข้อมูลที่ไม่ระบุตัวบุคคลและข้อมูลส่วนบุคคลในสถานการณ์ที่จำกัดอย่างเคร่งครัดเท่านั้น
(ง) เปิดตัวรีวิว
Jibe จะตรวจสอบการเปิดตัวผลิตภัณฑ์และฟีเจอร์ใหม่ก่อนเปิดตัว ซึ่งรวมถึงการตรวจสอบความเป็นส่วนตัวที่ดำเนินการโดยวิศวกรด้านความเป็นส่วนตัวที่ผ่านการฝึกอบรมมาเป็นพิเศษ ในการตรวจสอบความเป็นส่วนตัว วิศวกรด้านความเป็นส่วนตัวจะตรวจสอบว่ามีการปฏิบัติตามนโยบายและหลักเกณฑ์ทั้งหมดที่เกี่ยวข้องของ Jibe ซึ่งรวมถึงแต่ไม่จำกัดเพียงนโยบายที่เกี่ยวข้องกับการลบข้อมูลระบุตัวบุคคลออก การคงข้อมูลไว้ และการลบข้อมูล
4. ความปลอดภัยของบุคลากร
บุคลากรของ Jibe จะต้องปฏิบัติตนให้สอดคล้องกับแนวทางของบริษัทในเรื่องที่เกี่ยวข้องกับการรักษาความลับ จรรยาบรรณทางธุรกิจ การใช้งานที่เหมาะสม และมาตรฐานทางวิชาชีพ Jibe จะทำการตรวจสอบภูมิหลังอย่างสมเหตุสมผลภายในขอบเขตที่กฎหมายอนุญาตและเป็นไปตามกฎหมายแรงงานของท้องถิ่นและข้อบังคับทางกฎหมายที่มีผลบังคับใช้
บุคลากรจะต้องทำข้อตกลงในการรักษาข้อมูลที่เป็นความลับ และลงนามรับทราบและปฏิบัติตามนโยบายด้านการรักษาความลับและความเป็นส่วนตัวของ Jibe บุคลากรจะได้รับการฝึกอบรมด้านการรักษาความปลอดภัย บุคลากรที่ทำหน้าที่จัดการข้อมูลส่วนบุคคลของพาร์ทเนอร์จะต้องมีคุณสมบัติครบถ้วนตามข้อกำหนดเพิ่มเติมที่เหมาะสมตามบทบาทของตนเอง บุคลากรของ Jibe จะไม่ประมวลผลข้อมูลส่วนบุคคลของพาร์ทเนอร์โดยที่ไม่ได้รับอนุญาต
5. การรักษาความปลอดภัยของผู้ประมวลผลข้อมูลย่อย
ก่อนรับผู้ประมวลผลข้อมูลย่อยเข้ามาร่วมงาน Jibe จะทำการประเมินหลักปฏิบัติเกี่ยวกับนโยบายการรักษาความปลอดภัยและความเป็นส่วนตัวของผู้ประมวลผลข้อมูลย่อย เพื่อให้มั่นใจว่าการรักษาความปลอดภัยและหลักการความเป็นส่วนตัวของผู้ประมวลผลข้อมูลย่อยอยู่ในระดับที่เหมาะสมกับสิทธิ์การเข้าถึงข้อมูลและขอบเขตของบริการที่ผู้ประมวลผลข้อมูลย่อยจะเข้ามามีส่วนร่วม เมื่อ Jibe ประเมินความเสี่ยงที่เกิดจากบุคคลที่สามแล้ว ผู้ประมวลผลข้อมูลย่อยจะต้องทำสัญญาเกี่ยวกับการรักษาความปลอดภัย การรักษาข้อมูลที่เป็นความลับ และความเป็นส่วนตัวที่เหมาะสม โดยเป็นไปตามข้อกำหนดในส่วนที่ 11.3 (ข้อกำหนดสำหรับการว่าจ้างผู้ประมวลผลข้อมูลย่อย)
ภาคผนวก 3: ข้อกําหนดเพิ่มเติมสําหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป
ข้อกําหนดเพิ่มเติมต่อไปนี้สําหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรปจะเสริมเอกสารแนบท้ายเกี่ยวกับการประมวลผลข้อมูลนี้
- ภาคผนวกเกี่ยวกับผู้ประมวลผลข้อมูลตาม LGPD ที่ business.safety.google/processorterms/lgpd (ลงวันที่ 27 สิงหาคม 2020)
- เอกสารแนบท้ายเกี่ยวกับกฎหมายของรัฐในสหรัฐอเมริกาที่ business.safety.google/processorterms/us-state-laws (ลงวันที่ 12 ธันวาคม 2022)
การอ้างอิงถึง Google LLC หรือ Google ในภาคผนวกเกี่ยวกับผู้ประมวลผลข้อมูลภายใต้ LGPD และภาคผนวกเกี่ยวกับกฎหมายของรัฐในสหรัฐอเมริกาจะหมายถึง Jibe
เอกสารแนบท้ายการประมวลผลข้อมูลของ Jibe ฉบับที่ 4.0