เอกสารแนบท้ายการประมวลผลข้อมูล

แก้ไขล่าสุด: 8 สิงหาคม 2023 | เวอร์ชันก่อนหน้า

Jibe และคู่สัญญาที่ยอมรับภาคผนวกนี้ ("พาร์ทเนอร์") ได้เข้าร่วมในข้อตกลงในการให้บริการของผู้ประมวลผลข้อมูล (ตามที่แก้ไขเป็นครั้งคราว หรือ "ข้อตกลง")

Jibe และพันธมิตร ได้ลงนามในภาคผนวกของการประมวลผลข้อมูลนี้ (รวมถึงภาคผนวก "เอกสารแนบท้ายการประมวลผลข้อมูล") เอกสารแนบท้ายการประมวลผลข้อมูลฉบับนี้จะมีผลบังคับใช้ และแทนที่ข้อกําหนดที่เกี่ยวข้องใดๆ ก่อนหน้านี้ที่เกี่ยวกับหัวเรื่อง (รวมถึงการประมวลผลข้อมูลและข้อกําหนดด้านการรักษาความปลอดภัยที่เกี่ยวข้องกับบริการของผู้ประมวลผลข้อมูล) จากวันที่ข้อกําหนดมีผล

หากคุณยอมรับข้อกําหนดแนบการประมวลผลข้อมูลนี้ในนามของพาร์ทเนอร์ ถือว่าคุณรับรองว่า (ก) คุณมีอํานาจทางกฎหมายอย่างเต็มที่ในการผูกพันพาร์ทเนอร์กับเอกสารแนบท้ายการประมวลผลข้อมูลนี้ (ข) คุณได้อ่านและทําความเข้าใจภาคผนวกเกี่ยวกับการประมวลผลข้อมูลนี้ และ (ค) คุณยอมรับภาคผนวกของการประมวลผลข้อมูลนี้ในนามของพาร์ทเนอร์ หากคุณไม่มีอํานาจตามกฎหมายที่จะลงนามผูกพันพาร์ทเนอร์ โปรดอย่ายอมรับข้อตกลงแนบท้ายการประมวลผลข้อมูลนี้

1. ข้อมูลเบื้องต้น

เอกสารแนบท้ายการประมวลผลข้อมูลนี้แสดงถึงข้อตกลงของคู่สัญญาเกี่ยวกับข้อกําหนดที่ครอบคลุมการประมวลผลและการรักษาความปลอดภัยของข้อมูลบางอย่างในส่วนที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลของยุโรปและนิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป

2. คำนิยามและการตีความ

2.1 ในเอกสารแนบท้ายการประมวลผลข้อมูลนี้

"ผลิตภัณฑ์เพิ่มเติม" หมายถึงผลิตภัณฑ์ บริการ หรือแอปพลิเคชันที่มีให้โดย Jibe หรือบุคคลที่สามซึ่ง (ก) ไม่ใช่ส่วนหนึ่งของบริการของผู้ประมวลผลข้อมูล และ (ข) เข้าถึงได้เพื่อใช้ในอินเทอร์เฟซผู้ใช้ของบริการผู้ประมวลผลข้อมูลหรือผสานรวมกับบริการของผู้ประมวลผลข้อมูล

"ข้อกําหนดเพิ่มเติมสําหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป" หมายถึง ข้อกําหนดเพิ่มเติมที่อ้างถึงในภาคผนวก 3 ซึ่งแสดงถึงข้อตกลงของคู่สัญญาที่มีต่อการควบคุมการประมวลผลข้อมูลบางอย่างที่เกี่ยวเนื่องกับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป

"ประเทศที่มีระดับการคุ้มครองที่เพียงพอ" หมายถึง

(ก) สําหรับข้อมูลที่ประมวลผลภายใต้ GDPR ของสหภาพยุโรป: EEA หรือประเทศหรือเขตแดนที่รับรองว่ามีการคุ้มครองข้อมูลที่เพียงพอภายใต้ GDPR ของสหภาพยุโรป

(ข) สําหรับข้อมูลที่ประมวลผลภายใต้ GDPR ของสหราชอาณาจักร: สหราชอาณาจักร หรือประเทศหรือเขตแดนที่รับรองว่ามีการคุ้มครองข้อมูลที่เพียงพอภายใต้ GDPR ของสหราชอาณาจักรและกฎหมายคุ้มครองข้อมูลปี 2018 และ/หรือ

(ค) สําหรับข้อมูลที่ประมวลผลภายใต้ FDPA ของสวิตเซอร์แลนด์: สวิตเซอร์แลนด์ หรือประเทศหรือเขตแดนที่ (1) รวมอยู่ในรายชื่อรัฐที่นิติบัญญัติให้การคุ้มครองในระดับที่เพียงพอตามที่สํานักพิมพ์และการคุ้มครองข้อมูลแห่งสวิตเซอร์แลนด์ หรือ (ii) รับทราบว่ามีการคุ้มครองข้อมูลอย่างเพียงพอโดย Swiss Federal Council ภายใต้ FDPA ของสวิตเซอร์แลนด์ ในแต่ละกรณี (ไม่บังคับ) ยกเว้นในกรณีอื่นๆ

"โซลูชันทางเลือกในการโอนข้อมูล" หมายถึงโซลูชันที่ไม่ใช่ SCC ที่ช่วยให้การโอนข้อมูลส่วนตัวที่ถูกต้องตามกฎหมายไปยังประเทศที่สามสอดคล้องกับนิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป เช่น กรอบการคุ้มครองข้อมูลที่รับรองว่าหน่วยงานในพื้นที่ที่เข้าร่วมจะให้บริการการคุ้มครองที่เพียงพอ

"เหตุการณ์ข้อมูล" หมายถึงการละเมิดความปลอดภัยของ Jibe ซึ่งทําให้เกิดการทําลาย การสูญเสีย การเปลี่ยนแปลงโดยบังเอิญ การเปิดเผยที่ไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลส่วนตัวของพาร์ทเนอร์ในระบบที่จัดการโดย Jibe หรือควบคุมโดย "เหตุการณ์ข้อมูล" ไม่รวมความพยายามที่ไม่สําเร็จหรือกิจกรรมที่ไม่ส่งผลต่อความปลอดภัยของข้อมูลส่วนตัวของพาร์ทเนอร์ ซึ่งรวมถึงความพยายามในการลงชื่อเข้าใช้ที่ไม่สําเร็จ คําสั่ง ping การสแกนพอร์ต การปฏิเสธการโจมตีบริการ และการโจมตีเครือข่ายอื่นๆ ในไฟร์วอลล์หรือระบบเครือข่าย

"เครื่องมือหัวเรื่องข้อมูล" หมายถึงเครื่องมือ (หากมี) ที่เอนทิตี Jibe ส่งไปยังหัวข้อข้อมูลที่ช่วยให้ Jibe สามารถตอบกลับได้โดยตรงและในคําสั่งมาตรฐานสําหรับคําขอบางหัวข้อที่เกี่ยวข้องกับข้อมูลส่วนตัวของพาร์ทเนอร์ (เช่น การตั้งค่าการโฆษณาออนไลน์หรือปลั๊กอินสําหรับเลือกไม่ใช้บนเบราว์เซอร์)

"EEA" หมายถึงเขตเศรษฐกิจยุโรป

"GDPR ของสหภาพยุโรป" หมายถึง กฎระเบียบ (สหภาพยุโรป) 2016/679 ของสภายุโรปและคณะกรรมการยุโรป ลงวันที่ 27 เมษายน 2016 ว่าด้วยการคุ้มครองบุคคลธรรมดาที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนตัวและการเคลี่อนย้ายข้อมูลดังกล่าวโดยเสรี และการยกเลิกคําสั่งที่ 95/46/EC

"กฎหมายคุ้มครองข้อมูลของยุโรป" หมายถึง (ก) GDPR และ/หรือ (ข) FDPA ของสวิตเซอร์แลนด์ ตามแต่สถานการณ์

"กฎหมายยุโรป" ตามที่ใช้บังคับ หมายถึง (ก) กฎหมายของสหภาพยุโรปหรือรัฐสมาชิกของสหภาพยุโรป (หาก GDPR ของสหภาพยุโรปมีผลบังคับใช้ในการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์) และ/หรือ (ข) กฎหมายของสหราชอาณาจักรหรือส่วนหนึ่งของสหราชอาณาจักร (หาก GDPR ของสหราชอาณาจักรมีผลบังคับใช้กับการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์)

"GDPR" ตามที่ใช้บังคับ หมายถึง (ก) GDPR ของสหภาพยุโรป และ/หรือ (ข) GDPR ของสหราชอาณาจักร

"Jibe" หมายถึงเอนทิตี Jibe ที่เป็นคู่สัญญาในข้อตกลง

"Jibe Entity" หมายถึง Jibe Mobile, Inc, Jibe Mobile Limited หรือนิติบุคคลอื่นๆ ที่ควบคุม ถูกควบคุม หรืออยู่ภายใต้การควบคุมเดียวกันกับ Jibe Mobile, Inc.

"การรับรองมาตรฐาน ISO 27001" หมายถึงการรับรอง ISO/IEC 27001:2013 หรือการรับรองมาตรฐานสําหรับบริการของผู้ประมวลผลข้อมูล

"ผู้ประมวลผลข้อมูลย่อยรายใหม่" มีความหมายตามที่ระบุไว้ในข้อ 11.1 (คํายินยอมต่อการมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อย)

"นิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป" หมายถึง กฎหมายว่าด้วยการคุ้มครองข้อมูลหรือความเป็นส่วนตัวที่มีผลบังคับใช้นอกเขตเศรษฐกิจยุโรป สวิตเซอร์แลนด์ และสหราชอาณาจักร

"ที่อยู่อีเมลสําหรับการแจ้งเตือน" หมายถึงที่อยู่อีเมล (ถ้ามี) (i) ที่พาร์ทเนอร์ระบุให้ Jibe หรือ (ii) ที่กําหนดโดยพาร์ทเนอร์ผ่านอินเทอร์เฟซผู้ใช้ของบริการผู้ประมวลผล หรือวิธีการอื่นๆ ที่ Jibe มีให้ เพื่อรับการแจ้งเตือนบางอย่างจาก Jibe เกี่ยวกับเอกสารแนบท้ายการประมวลผลข้อมูลนี้ เพื่อความชัดเจน หน้าที่ของพาร์ทเนอร์ต้องให้ที่อยู่อีเมลสําหรับการแจ้งเตือนแก่ Jibe และแจ้งให้ Jibe ทราบการอัปเดตที่อยู่อีเมลสําหรับการแจ้งเตือน

"ข้อมูลส่วนตัวของพาร์ทเนอร์" หมายถึง ข้อมูลส่วนตัวที่ประมวลผลโดย Jibe ในนามของพาร์ทเนอร์ในการให้บริการของผู้ประมวลผลข้อมูลของ Jibe

"SCC ของพาร์ทเนอร์" หมายถึง SCC (ผู้ควบคุมข้อมูลถึงผู้ประมวลผลข้อมูล) SCC (ผู้ประมวลผลข้อมูลถึงผู้ควบคุม) และ/หรือ SCC (ผู้ประมวลผลข้อมูลไปยังผู้ประมวลผลข้อมูล) ที่เกี่ยวข้อง

"บริการสําหรับผู้ประมวลผลข้อมูล" หมายถึง บริการรับส่งข้อความทางธุรกิจ RCS (ตามที่อธิบายไว้ที่ developers.google.com/business-communications/rcs-business-messaging

"SCC" หมายถึง SCC ของพาร์ทเนอร์และ/หรือ SCC (ผู้ประมวลผลข้อมูลถึงผู้ประมวลผลข้อมูล, Jibe Exporter) ตามที่เกี่ยวข้อง

"SCC (ผู้ควบคุมข้อมูลถึงผู้ประมวลผลข้อมูล)" หมายถึงข้อกําหนดที่ business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa

"SCC (ผู้ประมวลผลข้อมูลต่อผู้ควบคุมข้อมูล)" หมายถึงข้อกําหนดที่ business.safety.google/gdprprocessorterms/sccs/p2c

"SCC (ผู้ประมวลผลข้อมูลถึงผู้ประมวลผลข้อมูล)" หมายถึง ข้อกําหนดที่ business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa

"SCC (ผู้ประมวลผลข้อมูลถึงผู้ประมวลผลข้อมูล, Jibe Exporter)" หมายถึง ข้อกําหนดที่business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group

"เอกสารประกอบการรักษาความปลอดภัย" หมายถึง การรับรองมาตรฐาน ISO 27001 และใบรับรองหรือเอกสารการรักษาความปลอดภัยอื่นๆ ที่จิเบะอาจมีไว้สําหรับเชื่อมต่อกับบริการของผู้ประมวลผลข้อมูล

"มาตรการรักษาความปลอดภัย" มีความหมายตามที่ระบุไว้ในข้อ 7.1.1 (มาตรการความปลอดภัยของ Jibe)

"ผู้ประมวลผลข้อมูลย่อย" หมายถึง บุคคลที่สามที่ได้รับอนุญาตภายใต้เอกสารแนบท้ายการประมวลผลข้อมูลนี้เพื่อให้สามารถเข้าถึงและประมวลผลข้อมูลส่วนบุคคลของพาร์ทเนอร์ได้อย่างสมเหตุสมผล เพื่อให้บริการบางส่วนของผู้ประมวลผลข้อมูลและการสนับสนุนด้านเทคนิคที่เกี่ยวข้อง

"หน่วยงานกํากับดูแล" ตามที่ใช้บังคับ หมายถึง (ก) "หน่วยงานกํากับดูแล" ตามที่ระบุไว้ใน GDPR ของสหภาพยุโรป และ/หรือ (ข) "กรรมาธิการ" ตามที่ระบุไว้ใน GDPR ของสหราชอาณาจักร และ/หรือ FDPA ของสวิตเซอร์แลนด์

"FDPA ของสวิตเซอร์แลนด์" หมายถึง กฎหมายว่าด้วยการคุ้มครองข้อมูลระดับประเทศ (Federal Data Protection Act) ลงวันที่ 19 มิถุนายน 1992 (สวิตเซอร์แลนด์)

"ระยะเวลา" หมายถึงระยะเวลานับจากวันที่มีผลของข้อกําหนดจนกระทั่งสิ้นสุดระยะเวลาของบริการ Jibe ที่อยู่ภายใต้ข้อตกลง

"วันที่มีผลของข้อกําหนด" หมายถึง วันที่มีผลของข้อตกลง

"GDPR ของสหราชอาณาจักร" หมายถึง GDPR ของสหภาพยุโรป ตามที่ได้มีการแก้ไขและผนวกรวมไว้ในกฎหมายของสหราชอาณาจักร ภายใต้พระราชบัญญัติ (การถอนตัว) ของสหราชอาณาจักรออกจากสหภาพยุโรปในปี 2018 และกฎหมายรองที่มีผลบังคับใช้ภายใต้พระราชบัญญัติดังกล่าว

2.2 คําว่า "ผู้ควบคุมข้อมูล" "เจ้าของข้อมูล" "ข้อมูลส่วนตัว" ""การประมวลผล" และ "ผู้ประมวลผลข้อมูล" ที่ใช้ในเอกสารแนบท้ายการประมวลผลข้อมูลนี้ มีความหมายตามที่กําหนดไว้ใน GDPR และคําว่า "ผู้นําเข้าข้อมูล" และ "ผู้ส่งออกข้อมูล" มีความหมายตามที่ระบุไว้ใน SCC ที่เกี่ยวข้อง

2.3 คําว่า "รวม" และ "รวมถึง" หมายถึง "ซึ่งรวมถึงแต่ไม่จํากัดเพียง" ตัวอย่างใดๆ ในเอกสารแนบท้ายการประมวลผลข้อมูลนี้มีไว้เพื่อการอธิบายเท่านั้น ไม่ใช่ตัวอย่างเฉพาะของแนวคิดหนึ่งๆ

2.4 การอ้างอิงใดๆ ถึงกรอบโครงสร้างทางกฎหมาย บทบัญญัติ หรือการประกาศใช้เป็นกฎหมายอื่นๆ คือการอ้างอิงถึงสิ่งดังกล่าวตามที่ได้มีการแก้ไขหรือประกาศใช้ซ้ําเป็นครั้งคราว

2.5 ในกรณีที่ฉบับแปลของการประมวลผลข้อมูลฉบับแปลนี้ไม่สอดคล้องกับฉบับภาษาอังกฤษ ให้ถือว่าฉบับภาษาอังกฤษมีผลบังคับ

3. ระยะเวลาของเอกสารแนบท้ายการประมวลผลข้อมูลนี้

เอกสารแนบท้ายการประมวลผลข้อมูลนี้จะมีผลบังคับใช้ในวันที่มีผลของข้อกําหนด และไม่ว่าระยะเวลาดังกล่าวจะหมดอายุลงหรือไม่ก็ตาม จะยังคงมีผลบังคับใช้จนกว่าจะหมดอายุโดยอัตโนมัติเมื่อ Jibe ลบข้อมูลส่วนบุคคลของพาร์ทเนอร์ทั้งหมดตามที่อธิบายในเอกสารแนบท้ายการประมวลผลข้อมูลนี้

4. การใช้เอกสารแนบท้ายการประมวลผลข้อมูลนี้

4.1 การใช้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป ส่วนที่ 5 (การประมวลผลข้อมูล) ถึง 12 (การติดต่อ Jibe; การประมวลผลข้อมูล) (รวม) จะมีผลภายในขอบเขตที่นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรปมีผลบังคับใช้กับการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์ ซึ่งรวมถึงในกรณีต่อไปนี้

(ก) การประมวลผลในบริบทของกิจกรรมในการจัดตั้ง พาร์ทเนอร์ในเขตเศรษฐกิจยุโรปหรือสหราชอาณาจักร และ/หรือ

(ข) ข้อมูลส่วนตัวของพาร์ทเนอร์เป็นข้อมูลส่วนตัวที่เกี่ยวข้องกับเจ้าของข้อมูลที่อยู่ในเขตเศรษฐกิจยุโรปหรือสหราชอาณาจักร และการประมวลผลข้อมูลเกี่ยวข้องกับข้อเสนอสินค้าหรือบริการของผู้ใช้ หรือการตรวจสอบพฤติกรรมของผู้ใช้ในเขตเศรษฐกิจยุโรปหรือสหราชอาณาจักร

4.2 การสมัครบริการของผู้ประมวลผลข้อมูล ภาคผนวกของการประมวลผลข้อมูลฉบับนี้จะมีผลกับบริการของผู้ประมวลผลข้อมูลที่คู่สัญญายอมรับในภาคผนวกเกี่ยวกับการประมวลผลข้อมูลนี้เท่านั้น (เช่น (ก) บริการของผู้ประมวลผลข้อมูลที่พาร์ทเนอร์คลิกเพื่อยอมรับข้อกําหนดการประมวลผลการประมวลผลนี้ หรือ (ข) หากข้อตกลงมีการแนบเอกสารแนบท้ายการประมวลผลข้อมูลนี้มาด้วยการอ้างอิงบริการของผู้ประมวลผลข้อมูลที่อยู่ในข้อตกลง)

4.3 การรวมข้อกําหนดเพิ่มเติมสําหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป ข้อกําหนดเพิ่มเติมสําหรับการคุ้มครองข้อมูลนอกยุโรป เป็นส่วนเสริมของเอกสารแนบท้ายการประมวลผลข้อมูลนี้

5. การประมวลผลข้อมูล

5.1 บทบาทและการปฏิบัติตามข้อกําหนด การให้สิทธิ์

5.1.1 หน้าที่รับผิดชอบของผู้ประมวลผลข้อมูลและผู้ควบคุมข้อมูล คู่สัญญายอมรับและตกลงว่า:

(ก) ภาคผนวก 1 อธิบายหัวเรื่องและรายละเอียดของการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์

(ข) Jibe เป็นผู้ประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์ภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป

(ค) พาร์ทเนอร์เป็นผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลที่เกี่ยวข้องของ ข้อมูลส่วนตัวของพาร์ทเนอร์ภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป และ

(ง) คู่สัญญาแต่ละฝ่ายจะปฏิบัติตามภาระหน้าที่ที่เกี่ยวข้องภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรปที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์

5.1.2 พาร์ทเนอร์ผู้ประมวลผลข้อมูล หากพาร์ทเนอร์เป็นผู้ประมวลผลข้อมูล ให้ทําดังนี้

(ก) พาร์ทเนอร์รับประกันอย่างต่อเนื่องว่าผู้ควบคุมข้อมูลที่เกี่ยวข้องได้อนุญาต (i) วิธีการให้ (ii) การที่พาร์ทเนอร์นัดให้ Jibe เป็นผู้ประมวลผลข้อมูลอีกรายหนึ่ง และ (iii) การมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อยของ Jibe ตามที่อธิบายไว้ในข้อ 11 (ผู้ประมวลผลข้อมูลย่อย)

(ข) พาร์ทเนอร์จะส่งต่อการแจ้งใดๆ ที่เกี่ยวข้องให้แก่ผู้ควบคุมข้อมูลที่เกี่ยวข้องไปยัง Jibe ภายใต้หัวข้อที่ 5.4 (การแจ้งเตือนวิธีการ), 7.2.1 (การแจ้งเตือนเหตุการณ์), 11.4 (โอกาสในการคัดค้านการเปลี่ยนแปลงผู้ประมวลผลข้อมูลย่อย) หรือที่อ้างถึง SCC ใดๆ ก็ตามไปยังผู้ควบคุมข้อมูลที่เกี่ยวข้องโดยทันที

(ค) พาร์ทเนอร์อาจจัดเตรียมข้อมูลที่เกี่ยวข้องให้ไว้กับ Jibe ภายใต้หัวข้อ 7.4 (ใบรับรองความปลอดภัย), 10.5 (ข้อมูลศูนย์ข้อมูล) และ 11.2 (ข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลย่อย) ของผู้ควบคุมข้อมูลที่เกี่ยวข้อง

5.2 วิธีการของพาร์ทเนอร์ การกรอกข้อมูลในเอกสารแนบท้ายการประมวลผลข้อมูลฉบับนี้ พาร์ทเนอร์สั่งให้ Jibe ประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์เฉพาะตามกฎหมายที่เกี่ยวข้องดังนี้ (ก) ให้บริการผู้ประมวลผลข้อมูลและการสนับสนุนทางเทคนิคที่เกี่ยวข้อง (ข) ตามที่ระบุไว้เพิ่มเติมผ่านการใช้บริการบริการของผู้ประมวลผลข้อมูล (รวมถึงในการตั้งค่าและฟังก์ชันอื่นๆ ของบริการของผู้ประมวลผลข้อมูล) และการสนับสนุนด้านเทคนิคที่เกี่ยวข้อง (ค) ตามรายละเอียดที่ให้ไว้ในข้อตกลงซึ่งเกี่ยวข้องกับองค์ประกอบเหล่านี้ โดยองค์ประกอบที่เกี่ยวข้องจะสอดคล้องกับข้อกฎหมายดังกล่าว (ตามข้อบัญญัติที่ให้ไว้ในข้อกฎหมายดังกล่าวซึ่งอธิบายไว้ในข้อแนะนําที่ให้ไว้ในข้อแนะนําซึ่งอธิบายเป็นข้อๆ คือ อธิบายข้อมูลที่เกี่ยวข้องทั้ง 2 ด้านตามข้อกฎหมายที่ให้ไว้ในข้อกฎหมายนี้ซึ่งกําหนดขึ้นตามกฎหมายข้างต้น (โดยอธิบายไว้ทั้งข้อ) ทั้ง 2 ด้านตามข้อกฎหมายที่แสดงไว้ในข้อกฎหมายนี้ซึ่งกําหนดตามหลักกฎหมายที่แสดงไว้เป็นข้อบังคับดังต่อไปนี้

5.3 การปฏิบัติตามข้อกําหนดของ Jibe Jibe จะปฏิบัติตามคําสั่งดังกล่าว เว้นแต่จะขัดต่อกฎหมายของยุโรป

5.4 การแจ้งเตือนวิธีการ Jibe จะแจ้งให้พาร์ทเนอร์ทราบทันทีหาก (หากทราบ) จีเบ: (ก) กฎหมายของยุโรปห้ามให้ Jibe ปฏิบัติตามคําสั่ง (ข) คําสั่งไม่เป็นไปตามข้อบังคับด้านการคุ้มครองข้อมูลของยุโรป หรือ (ค) จิเบะไม่สามารถปฏิบัติตามคําสั่งได้ในแต่ละกรณี เว้นแต่กฎหมายดังกล่าวจะไม่อนุญาตตามกฎหมายของยุโรป ส่วนที่ 5.4 (การแจ้งเตือนคําสั่ง) ไม่ลดทอนสิทธิ์และภาระหน้าที่ของคู่สัญญาอีกฝ่ายในข้อตกลงนี้

5.5 ผลิตภัณฑ์เพิ่มเติม หากพาร์ทเนอร์ใช้ผลิตภัณฑ์เพิ่มเติมใดๆ บริการของผู้ประมวลผลข้อมูลอาจอนุญาตให้ผลิตภัณฑ์เพิ่มเติมดังกล่าวเข้าถึงข้อมูลส่วนตัวของพาร์ทเนอร์ได้ตามที่จําเป็นเพื่อการทํางานร่วมกันของผลิตภัณฑ์เพิ่มเติมกับบริการของผู้ประมวลผลข้อมูล ในกรณีต่างๆ แต่ละฝ่าย จะเข้าสู่ ข้อกําหนดการประมวลผลข้อมูลแยกต่างหาก เพื่อระบุวิธีการที่ผลิตภัณฑ์เพิ่มเติมจะได้รับการประมวลผล ข้อมูลส่วนตัวของพาร์ทเนอร์

6. การลบข้อมูล

6.1 การลบระหว่างระยะเวลา

6.1.1 บริการสําหรับผู้ประมวลผลข้อมูลที่มีฟังก์ชันการลบ ระหว่างระยะเวลาของข้อกําหนด:

(ก) ฟังก์ชันของบริการของผู้ประมวลผลข้อมูลจะมีตัวเลือกให้พาร์ทเนอร์ลบข้อมูลส่วนตัวของพาร์ทเนอร์ได้

(ข) พาร์ทเนอร์ใช้บริการของผู้ประมวลผลข้อมูลเพื่อลบข้อมูลส่วนตัวบางอย่างของพาร์ทเนอร์ และ

(ค) พาร์ทเนอร์ที่กู้คืนจะกู้คืนพาร์ทเนอร์ไม่ได้ (เช่น จาก "ถังขยะ") และ Jibe จะลบข้อมูลส่วนตัวของพาร์ทเนอร์ดังกล่าวออกจากระบบทันทีที่ทําได้อย่างสมเหตุสมผล เว้นแต่ว่ากฎหมายของยุโรปต้องการพื้นที่เก็บข้อมูล

6.1.2 บริการของผู้ประมวลผลข้อมูลที่ไม่มีฟังก์ชันการลบ ระหว่างระยะเวลาดังกล่าว หากฟังก์ชันของบริการของผู้ประมวลผลข้อมูลไม่มีตัวเลือกให้พาร์ทเนอร์ลบข้อมูลส่วนตัวของพาร์ทเนอร์ Jibe จะปฏิบัติตามคําขออันสมเหตุสมผลจากพันธมิตรเพื่ออํานวยความสะดวกในการนําออกดังกล่าว ตราบใดที่ข้อมูลดังกล่าวมีลักษณะและฟังก์ชันการทํางานของผู้ประมวลผลข้อมูล และเว้นแต่กฎหมายของยุโรปต้องการพื้นที่เก็บข้อมูล Jibe อาจเรียกเก็บค่าธรรมเนียม (ตามราคาที่สมเหตุสมผลของ Jibe) สําหรับการลบข้อมูลภายใต้ส่วนที่ 6.1.2 นี้ (บริการของผู้ประมวลผลข้อมูลที่ไม่มีฟังก์ชันการลบ) Jibe จะแจ้งรายละเอียดเพิ่มเติมของค่าธรรมเนียมที่เกี่ยวข้องและหลักการคํานวณให้แก่พาร์ทเนอร์ ก่อนที่จะลบข้อมูลดังกล่าว

6.2 การลบเมื่อระยะเวลาหมดอายุ เมื่อระยะเวลาหมดอายุ พาร์ทเนอร์จะสั่งให้ Jibe ลบข้อมูลส่วนบุคคลของพาร์ทเนอร์ทั้งหมด (รวมถึงสําเนาที่มีอยู่) ออกจากระบบของ Jibe ตามกฎหมายที่เกี่ยวข้อง Jibe จะปฏิบัติตามคําสั่งนี้โดยเร็วที่สุดเท่าที่เป็นไปได้ในทางปฏิบัติ เว้นแต่ว่ากฎหมายของยุโรปต้องการพื้นที่เก็บข้อมูล

7. ความปลอดภัยข้อมูล

7.1 มาตรการและความช่วยเหลือด้านความปลอดภัยของ Jibe

7.1.1 มาตรการรักษาความปลอดภัยของ Jibe Jibe จะปรับใช้และดูแลรักษามาตรการด้านเทคนิคและระดับองค์กรเพื่อปกป้องข้อมูลส่วนบุคคลของพาร์ทเนอร์จากการทําลายโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย การสูญหาย การเปลี่ยนแปลง การเปิดเผยที่ไม่ได้รับอนุญาต หรือการเข้าถึงตามที่อธิบายไว้ในภาคผนวก 2 ("มาตรการด้านความปลอดภัย") ตามที่อธิบายในภาคผนวก 2 มาตรการรักษาความปลอดภัยประกอบด้วยมาตรการ (ก) เพื่อเข้ารหัสข้อมูลส่วนบุคคล (ข) เพื่อช่วยคงรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความยืดหยุ่นของระบบและบริการของ Jibe (ค) เพื่อช่วยกู้คืนการเข้าถึงข้อมูลส่วนตัวอย่างรวดเร็วหลังเกิดเหตุการณ์ และ (ง) เพื่อการทดสอบประสิทธิภาพอย่างสม่ําเสมอ Jibe อาจอัปเดตหรือแก้ไขมาตรการการรักษาความปลอดภัยเป็นระยะๆ โดยที่การอัปเดตและการแก้ไขดังกล่าวจะไม่ทําให้ความปลอดภัยโดยรวมของบริการของผู้ประมวลผลข้อมูลลดลง

7.1.2 การเข้าถึงและการปฏิบัติตามข้อกําหนด Jibe จะ (ก) ให้สิทธิ์พนักงาน ผู้รับเหมา และผู้ประมวลผลข้อมูลย่อยของตนในการเข้าถึงข้อมูลส่วนตัวของพาร์ทเนอร์เท่าที่จําเป็นเพื่อปฏิบัติตามวิธีการเท่านั้น (ข) ดําเนินการตามขั้นตอนที่เหมาะสมเพื่อให้พนักงาน ผู้รับจ้าง และผู้ประมวลผลข้อมูลย่อยปฏิบัติตามมาตรการความปลอดภัยตามขอบเขตที่บังคับใช้ และ (ค) ช่วยให้บุคคลที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนตัวนั้นกระทําการอย่างเคร่งครัดในการรักษาข้อมูลส่วนบุคคลของพาร์ทเนอร์

7.1.3 การช่วยเหลือด้านความปลอดภัยของ Jibe ในการพิจารณาลักษณะการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์และข้อมูลที่ Jibe ทําให้ Jibe สามารถช่วยพาร์ทเนอร์ในการปฏิบัติตามภาระหน้าที่ของพาร์ทเนอร์ (หรือที่พาร์ทเนอร์เป็นผู้ประมวลผลข้อมูลและภาระหน้าที่ของผู้ควบคุมข้อมูลที่เกี่ยวข้อง) เกี่ยวกับความปลอดภัยของข้อมูลส่วนตัวและการละเมิดข้อมูลส่วนตัว ซึ่งรวมถึงภาระหน้าที่ของพาร์ทเนอร์ (หรือผู้ประมวลผลข้อมูลในฐานะผู้ควบคุมข้อมูลที่เกี่ยวข้อง) ภายใต้ข้อบังคับ (มาตรา 32 ถึง 34) ของ GDPR (มาตรา 32 ถึง 34)

(ก) ปรับใช้และรักษามาตรการการรักษาความปลอดภัยตามมาตราที่ 7.1.1 (มาตรการการรักษาความปลอดภัยของจิเบ)

(ข) ปฏิบัติตามข้อกําหนดของมาตราที่ 7.2 (เหตุการณ์ข้อมูล) และ

(ค) มอบเอกสารประกอบการรักษาความปลอดภัยให้แก่พาร์ทเนอร์ตามส่วนที่ 7.5.1 (การตรวจสอบเอกสารประกอบการรักษาความปลอดภัย) และข้อมูลที่มีอยู่ในเอกสารแนบท้ายการประมวลผลข้อมูลนี้

7.2 เหตุการณ์ข้อมูล

7.2.1 การแจ้งเตือนเหตุการณ์ หาก Jibe ได้รับแจ้งเกี่ยวกับเหตุขัดข้องข้อมูล Jibe จะดําเนินการต่อไปนี้ (ก) แจ้งให้พาร์ทเนอร์เหตุการณ์ทราบโดยทันทีโดยไม่ล่าช้า และ (ข) ดําเนินการตามความเหมาะสมเพื่อลดอันตรายและข้อมูลส่วนตัว ของพาร์ทเนอร์ให้ทันท่วงที

7.2.2 รายละเอียดของเหตุการณ์ การแจ้งเตือนที่ทําในส่วนที่ 7.2.1 (การแจ้งเตือนเหตุการณ์) จะอธิบายว่าลักษณะของข้อมูลรวมถึงทรัพยากรของพาร์ทเนอร์ที่ได้รับผลกระทบ มาตรการที่ Jibe ดําเนินการหรือแผนการที่จะดําเนินการเพื่อแก้ไขปัญหาข้อมูลและลดความเสี่ยงที่อาจเกิดขึ้น มาตรการนี้ Jibe แนะนําให้พันธมิตรใช้เพื่อจัดการกับกรณีข้อมูล และรายละเอียดการติดต่อที่มีข้อมูลเพิ่มเติม ถ้าไม่สามารถให้ข้อมูลดังกล่าวทั้งหมดพร้อมกันได้ การแจ้งเตือนเริ่มแรกของ Jibe จะมีข้อมูลที่สามารถใช้ได้ จากนั้นจะให้ข้อมูลเพิ่มเติมโดยไม่มีความล่าช้าอย่างทันท่วงทีเมื่อพร้อมให้บริการ

7.2.3 การส่งการแจ้งเตือน Jibe จะส่งการแจ้งเตือนเกี่ยวกับเหตุการณ์ที่ส่งผลต่อที่อยู่อีเมลสําหรับการแจ้งเตือนหรือการพิจารณาตามที่เห็นสมควรของ Jibe (รวมถึงในกรณีที่พาร์ทเนอร์ไม่ได้ให้ที่อยู่อีเมลสําหรับการแจ้งเตือน) โดยการสื่อสารโดยตรงอื่นๆ (เช่น ทางโทรศัพท์ หรือการประชุมแบบตัวต่อตัว) พาร์ทเนอร์มีหน้าที่รับผิดชอบแต่เพียงผู้เดียวในการระบุที่อยู่อีเมลในการแจ้งเตือนและการตรวจสอบให้แน่ใจว่าที่อยู่อีเมลสําหรับการแจ้งเตือนเป็นปัจจุบันและถูกต้อง

7.2.4 การแจ้งเตือนของบุคคลที่สาม พาร์ทเนอร์มีหน้าที่รับผิดชอบแต่เพียงผู้เดียวในการปฏิบัติตามกฎหมายการแจ้งเตือนเหตุการณ์ที่เกี่ยวข้องกับพาร์ทเนอร์ และปฏิบัติตามภาระหน้าที่การแจ้งเตือนของบุคคลที่สามที่เกี่ยวข้องกับเหตุการณ์ที่ส่งผลต่อข้อมูล

7.2.5 การยอมรับข้อผิดพลาดโดย Jibe Jibe จะแจ้งเตือนหรือตอบสนองต่อเหตุการณ์ที่ส่งผลต่อข้อมูลในส่วนที่ 7.2 (เหตุการณ์ข้อมูล) นี้ไม่ได้รับการตีความโดย Jibe ว่าเกิดจากการกระทําผิดหรือความรับผิดใดๆ ที่เกี่ยวข้องกับเหตุการณ์นั้น

7.3 ความรับผิดชอบและการประเมินด้านความปลอดภัยของพาร์ทเนอร์

7.3.1 หน้าที่รับผิดชอบด้านความปลอดภัยของพาร์ทเนอร์ พาร์ทเนอร์ตกลงว่า โดยไม่มีผลกระทบต่อภาระหน้าที่ของ Jibe ภายใต้หัวข้อ 7.1 (มาตรการและความช่วยเหลือด้านความปลอดภัยของ Jibe) และ 7.2 (เหตุการณ์ที่ส่งผลต่อข้อมูล)

(ก) พาร์ทเนอร์เป็นผู้รับผิดชอบในการใช้บริการของผู้ประมวลผลข้อมูล รวมถึง:

(i) การใช้บริการของผู้ประมวลผลข้อมูลอย่างเหมาะสมเพื่อรับรองระดับความปลอดภัยที่เหมาะสมว่ามีความเสี่ยงต่อข้อมูลส่วนตัวของพาร์ทเนอร์ และ

(ii) การรักษาความปลอดภัยของข้อมูลเข้าสู่ระบบ บัญชี และอุปกรณ์ที่พาร์ทเนอร์ใช้เพื่อเข้าถึงบริการของผู้ประมวลผลข้อมูล และ

(ข) Jibe ไม่มีภาระหน้าที่ในการปกป้องข้อมูลส่วนตัวของพาร์ทเนอร์ที่พาร์ทเนอร์เลือกจัดเก็บหรือโอนออกนอกระบบของ Jibe และผู้รับช่วงย่อย

7.3.2 การประเมินความปลอดภัยของพาร์ทเนอร์ พาร์ทเนอร์รับทราบถึงมาตรการรักษาความปลอดภัยที่ Jibe ติดตั้งใช้งานและดูแลตามที่อธิบายไว้ในข้อ 7.1.1 (มาตรการด้านความปลอดภัยของ Jibe) มีระดับความปลอดภัยที่เหมาะสมกับความเสี่ยงต่อข้อมูลส่วนตัวของพาร์ทเนอร์ โดยพิจารณาจากลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์ สถานะของศิลปะ ค่าใช้จ่ายในการนําไปใช้ และความเสี่ยงต่อบุคคล

7.4 ใบรับรองความปลอดภัย ในการประเมินและรับรองประสิทธิผลของมาตรการด้านความปลอดภัย Jibe จะยังคงรักษาการรับรอง ISO 27001 หรือมาตรการอื่นๆ ที่เหมาะสมไว้เพื่อแสดงประสิทธิภาพของมาตรการความปลอดภัย

7.5 การตรวจสอบและการประเมินการปฏิบัติตามข้อกําหนด

7.5.1 การตรวจสอบเอกสารประกอบการรักษาความปลอดภัย เพื่อแสดงให้เห็นว่า Jibe ได้ปฏิบัติตามภาระหน้าที่ภายใต้เอกสารแนบท้ายการประมวลผลข้อมูล Jibe จะทําให้เอกสารความปลอดภัยสามารถตรวจสอบได้โดยพาร์ทเนอร์

7.5.2 สิทธิ์ในการตรวจสอบของพาร์ทเนอร์

ก. ในระหว่างการตรวจสอบ Jibe จะเผยแพร่ข้อมูลทั้งหมดที่จําเป็นเพื่อแสดงถึงการปฏิบัติตามข้อกําหนดและมีส่วนสนับสนุนการตรวจสอบดังที่อธิบายไว้ในส่วน 7.4 (การรับรองความปลอดภัย) และส่วนที่ 7.5 (การตรวจสอบและการประเมินการปฏิบัติตามข้อกําหนด)

(ข) หาก SCC มีผลบังคับใช้ภายใต้ข้อ 10.2 (การโอนข้อมูลในยุโรปแบบจํากัด) Jibe จะอนุญาตให้พาร์ทเนอร์ (หรือผู้ตรวจสอบบุคคลที่สามที่พาร์ทเนอร์แต่งตั้ง) ดําเนินการตรวจสอบตามที่อธิบายใน SCC ที่เกี่ยวข้อง และในระหว่างการตรวจสอบดังกล่าว ข้อมูลทั้งหมดที่จําเป็นสําหรับ SCC เหล่านั้นจะเป็นไปตามข้อกําหนดข้อ 7.5.3 (ข้อกําหนดทางธุรกิจเพิ่มเติมสําหรับการตรวจสอบ)

(ค) พาร์ทเนอร์อาจทําการตรวจสอบเพื่อยืนยันว่า Jibe ปฏิบัติตามภาระหน้าที่ภายใต้เอกสารแนบท้ายการประมวลผลข้อมูลฉบับนี้ด้วยการตรวจสอบใบรับรองใดๆ ที่ออกให้ Jibe โดยผู้ตรวจสอบบุคคลที่สาม (เช่น การรับรอง ISO 27001) หากมี

7.5.3 ข้อกําหนดทางธุรกิจเพิ่มเติมสําหรับการตรวจสอบ

(ก) พาร์ทเนอร์จะส่งคําขอตรวจสอบภายใต้หัวข้อ 7.5.2(ก) หรือ 7.5.2(ข) ไปยัง Jibe ตามที่อธิบายไว้ในข้อ 12.1 (การติดต่อ Jibe)

(ข) หลังจากที่ Jibe ได้รับคําขอภายใต้ส่วน 7.5.3(a), Jibe และ พาร์ทเนอร์จะพูดคุยและตกลงกันล่วงหน้าเกี่ยวกับวันที่เริ่มต้น ขอบเขต และระยะเวลาที่เหมาะสม และการควบคุมความปลอดภัยและการรักษาข้อมูลที่เป็นความลับที่เกี่ยวข้องกับ การตรวจสอบภายใต้ส่วนที่ 7.5.2(ก) หรือ 7.5.2(ข)

(ค) Jibe อาจเรียกเก็บค่าธรรมเนียม (ตามราคาที่สมเหตุสมผลของ Jibe) สําหรับการตรวจสอบใดๆ ภายใต้หัวข้อ 7.5.2(a) หรือ 7.5.2(b) Jibe จะส่งรายละเอียดเพิ่มเติมเกี่ยวกับค่าธรรมเนียมที่เกี่ยวข้องและเกณฑ์ในการคํานวณให้กับพาร์ทเนอร์ก่อนการตรวจสอบใดๆ พาร์ทเนอร์จะต้องรับผิดชอบค่าธรรมเนียมใดๆ ที่ผู้ตรวจสอบบุคคลที่สามที่พาร์ทเนอร์กําหนดให้ซึ่งมีหน้าที่ตรวจสอบดังกล่าว

(ง) Jibe อาจคัดค้านการตรวจสอบบัญชีของบุคคลที่สามที่พาร์ทเนอร์ได้แต่งตั้งเพื่อทําการตรวจสอบใดๆ ภายใต้มาตราที่ 7.5.2(ก) หรือ 7.5.2(ข) หากผู้ตรวจสอบมีความเหมาะสมที่ไม่สมควรหรือไม่ได้เป็นอิสระ เป็นคู่แข่งของ Jibe หรือดูเหมือนว่าไม่เหมาะสม การคัดค้านดังกล่าวจาก Jibe จะกําหนดให้พาร์ทเนอร์แต่งตั้งผู้ตรวจสอบรายอื่นหรือดําเนินการตรวจสอบด้วยตนเอง

(จ) ไม่มีข้อความใดในภาคผนวกของการประมวลผลข้อมูลนี้ที่กําหนดให้ Jibe ต้องเปิดเผยแก่พาร์ทเนอร์หรือผู้ตรวจสอบบุคคลที่สาม หรืออนุญาตให้พาร์ทเนอร์หรือผู้ตรวจสอบบุคคลที่สามเข้าถึง

(i) ข้อมูลของพาร์ทเนอร์หรือลูกค้ารายใดของนิติบุคคล Jibe

(ii) ข้อมูลการทําบัญชีหรือข้อมูลทางการเงินภายในของ Jibe Entity

(iii) ความลับทางการค้าของนิติบุคคล Jibe

(iv) ข้อมูลใดๆ ที่ (ก) คุกคามความปลอดภัยของระบบหรือสถานที่ของ Jibe หรือ (ข) ทําให้เอนทิตีของ Jibe ละเมิดภาระหน้าที่ภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป หรือภาระหน้าที่ด้านการรักษาความปลอดภัยและ/หรือความเป็นส่วนตัวแก่พาร์ทเนอร์หรือบุคคลที่สาม หรือ

(v) ข้อมูลที่พาร์ทเนอร์หรือผู้ตรวจสอบบุคคลที่สามต้องการเข้าถึงด้วยเหตุผลอื่นใดนอกเหนือจากการปฏิบัติตามภาระหน้าที่โดยมีเจตนาดีภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป

8. การประเมินและการให้คําปรึกษาเกี่ยวกับผลกระทบ

Jibe ช่วยให้ลักษณะของการประมวลผลและข้อมูลที่มีอยู่สําหรับ Jibe ช่วยให้พาร์ทเนอร์ปฏิบัติตามภาระหน้าที่ของพาร์ทเนอร์ (หรือที่พาร์ทเนอร์เป็นผู้ประมวลผลข้อมูล) เกี่ยวกับการประเมินผลกระทบจากการคุ้มครองข้อมูล และการให้คําปรึกษาก่อนหน้านี้ รวมถึงภาระหน้าที่ของพาร์ทเนอร์ที่เกี่ยวข้องหรือผู้ควบคุมข้อมูลที่เกี่ยวข้องภายใต้มาตราที่ 35 และ 36 ของ GDPR ดังนี้

(ก) มอบเอกสารประกอบการรักษาความปลอดภัยตามมาตราที่ 7.5.1 (การตรวจสอบเอกสารประกอบการรักษาความปลอดภัย)

(ข) ให้ข้อมูลที่อยู่ในเอกสารแนบท้ายการประมวลผลข้อมูล และ

(ค) จัดหาหรือเผยแพร่ข้อมูลดังกล่าวตามแนวทางปฏิบัติมาตรฐานของ Jibe เนื้อหาอื่นๆ ที่เกี่ยวข้องกับลักษณะของบริการของผู้ประมวลผลข้อมูล และการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์ (เช่น เนื้อหาในศูนย์ช่วยเหลือ)

9. สิทธิ์ของเจ้าของข้อมูล

9.1 การตอบกลับคําขอของเจ้าของข้อมูล หาก Jibe ได้รับคําขอจากเรื่องข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนตัวของพาร์ทเนอร์ พาร์ทเนอร์จะให้สิทธิ์ Jibe และ Jibe จะแจ้งเตือนพาร์ทเนอร์ว่าจะดําเนินการต่อไปนี้

(ก) ตอบสนองคําขอของเจ้าของข้อมูลโดยตรงตามฟังก์ชันมาตรฐานของเครื่องมือข้อมูล (หากคําขอทําผ่านเครื่องมือเครื่องมือข้อมูล) หรือ

(ข) แนะนําข้อมูลที่จะส่งคําขอไปยังพาร์ทเนอร์ และพาร์ทเนอร์จะมีหน้าที่ตอบสนองคําขอดังกล่าว (หากคําขอไม่ได้สร้างขึ้นผ่านเครื่องมือหัวเรื่องข้อมูล)

9.2 การช่วยเหลือคําขอเรื่องข้อมูลของ Jibe Jibe จะช่วยเหลือพาร์ทเนอร์ (หรือในกรณีที่พาร์ทเนอร์เป็นผู้ประมวลผลข้อมูล) ในการดําเนินการตามภาระหน้าที่ภายใต้ GDPR เพื่อตอบสนองคําขอในการใช้สิทธิ์ของเจ้าของข้อมูลในทุกกรณี โดยคํานึงถึงลักษณะของการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์ และมาตราที่ 11 ของ GDPR รวมถึง (หากมี)

(ก) มอบฟังก์ชันของบริการของผู้ประมวลผลข้อมูล

(ข) ปฏิบัติตามข้อผูกพันในข้อ 9.1 (การตอบสนองต่อคําขอของเจ้าของข้อมูล) และ

(ค) หากเกี่ยวข้องกับบริการของผู้ประมวลผลข้อมูล การทําให้เครื่องมือเชื่อมต่อข้อมูล พร้อมใช้งาน

9.3 การโต้ตอบ หากพาร์ทเนอร์ทราบว่าข้อมูลส่วนตัวของพาร์ทเนอร์ไม่ถูกต้องหรือล้าสมัย พาร์ทเนอร์จะมีหน้าที่แก้ไขหรือลบข้อมูลนั้น หากกฎหมายของยุโรปกําหนดให้ต้องระบุ (รวมถึง (ถ้ามี)) โดยใช้ฟังก์ชันของบริการของผู้ประมวลผลข้อมูล

10. การโอนข้อมูล

10.1 หน่วยงานจัดเก็บข้อมูลและประมวลผลข้อมูล โดยขึ้นอยู่กับส่วนที่เหลือของข้อ 10 (การโอนข้อมูล) Jibe อาจประมวลผลข้อมูลส่วนบุคคลของพาร์ทเนอร์ในประเทศที่ Jibe หรือผู้ประมวลผลข้อมูลย่อยรายใดก็ตามมีสถานประกอบการตั้งอยู่

10.2 การโอนในยุโรปที่ถูกจํากัด ทุกฝ่ายรับทราบว่ากฎหมายคุ้มครองข้อมูลของยุโรปไม่จําเป็นต้องใช้ SCC หรือโซลูชันการโอนทางเลือกอื่นเพื่อประมวลผลข้อมูลส่วนบุคคลของพาร์ทเนอร์ หรือโอนข้อมูลนั้นไปยังประเทศที่มีความเพียงพอ

หากมีการโอนข้อมูลส่วนตัวไปยังประเทศอื่นๆ และนิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรปมีผลกับการโอนข้อมูลเหล่านั้น ("การโอนในยุโรปแบบจํากัด") จะมีผลดังนี้

(ก) หาก Jibe ปรับใช้โซลูชันการโอนทางเลือกอื่นสําหรับการโอนข้อมูลในยุโรปแบบจํากัดแล้ว Jibe จะแจ้งให้พาร์ทเนอร์ทราบถึงโซลูชันที่เกี่ยวข้อง และจะดําเนินการเพื่อให้แน่ใจว่าการโอนในยุโรปแบบจํากัดดังกล่าวเป็นไปตามโซลูชันดังกล่าว และ/หรือ

(ข) หาก Jibe ไม่ได้นําไปใช้หรือแจ้งให้พาร์ทเนอร์ทราบว่า Jibe ไม่ได้ปรับใช้โซลูชันการโอนทางเลือกอื่นสําหรับการโอนข้อมูลในยุโรปแบบจํากัดแล้ว ให้ทําดังนี้

(ฌ) ถ้าที่อยู่ของจิเบอยู่ในประเทศที่มีระดับการคุ้มครองที่เพียงพอ:

(ก) SCC (ผู้ประมวลผลข้อมูลต่อผู้ประมวลผลข้อมูล, Jibe Exporter) จะมีผลบังคับใช้กับการโอนในยุโรปแบบจํากัดจาก Jibe ไปยังผู้ประมวลผลข้อมูลย่อย และ

(ข) นอกจากนี้ หากที่อยู่ของพาร์ทเนอร์ไม่ได้อยู่ในประเทศที่มีระดับการคุ้มครองที่เพียงพอ SCC (ผู้ประมวลผลข้อมูลต่อผู้ควบคุมข้อมูล) จะใช้กับการโอนในยุโรปแบบจํากัดระหว่าง Jibe และ Partner (ไม่ว่าพาร์ทเนอร์จะเป็นผู้ควบคุมข้อมูลและ/หรือผู้ประมวลผลข้อมูลหรือไม่ก็ตาม) หรือ

(ii) ถ้าที่อยู่ของ Jibe ไม่ได้อยู่ในประเทศที่มีระดับการคุ้มครองที่เพียงพอ:

SCC (ผู้ควบคุมข้อมูลระหว่างผู้ประมวลผลข้อมูล) และ/หรือ SCC (ผู้ประมวลผลข้อมูลจนถึงผู้ประมวลผลข้อมูล) จะมีผลบังคับใช้ (ขึ้นอยู่กับว่าพาร์ทเนอร์เป็นผู้ควบคุมข้อมูลและ/หรือผู้ประมวลผลข้อมูลหรือไม่) ในส่วนที่เกี่ยวข้องกับการโอนในยุโรปแบบจํากัดระหว่างพาร์ทเนอร์และ Jibe และ

(ค) การอ้างอิงถึง Google LLC หรือ Google และต่อตัวคุณใน SCC ใดๆ ก็ตาม จะเป็นของ Jibe และ Partner ตามลําดับ

10.3 มาตรการและข้อมูลเสริม Jibe จะให้ข้อมูลที่เกี่ยวข้องกับการโอนในยุโรปแบบจํากัดแก่พาร์ทเนอร์ ซึ่งรวมถึงข้อมูลเกี่ยวกับมาตรการเพิ่มเติมเพื่อปกป้องข้อมูลส่วนตัวของพาร์ทเนอร์ตามที่อธิบายในข้อ 7.5.1 (การตรวจสอบเอกสารการรักษาความปลอดภัย) ภาคผนวก 2 (มาตรการการรักษาความปลอดภัย) และเอกสารอื่นๆ ที่เกี่ยวข้องกับลักษณะของบริการของผู้ประมวลผลข้อมูลและการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์ (เช่น บทความในศูนย์ช่วยเหลือ)

10.4 การยุติ หากพาร์ทเนอร์สรุปตามโซลูชันบริการของผู้ประมวลผลข้อมูลปัจจุบันหรือโดยตั้งใจว่าโซลูชันการโอนทางเลือกอื่นและ/หรือ SCC (ตามที่เกี่ยวข้อง) ไม่มีการป้องกันที่เหมาะสมสําหรับข้อมูลส่วนบุคคลของพาร์ทเนอร์ พาร์ทเนอร์อาจยกเลิกข้อตกลงทันทีโดยแจ้งให้ Jibe ทราบเป็นลายลักษณ์อักษร

10.5 ข้อมูลศูนย์ข้อมูล ข้อมูลเกี่ยวกับสถานที่ตั้งของศูนย์ข้อมูล GoogleLL อยู่ที่ www.google.com/about/datacenters/locations/index.html

11. ผู้ประมวลผลข้อมูลย่อย

11.1 ความยินยอมต่อการมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อย พาร์ทเนอร์ให้สิทธิ์การมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อยที่ระบุไว้ในหัวข้อ 11.2 (ข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลย่อย) ณ วันที่ข้อกําหนดมีผล นอกจากนี้ พาร์ทเนอร์ยังให้สิทธิ์การมีส่วนร่วมของบุคคลที่สามรายอื่นในฐานะผู้ประมวลผลข้อมูลย่อย ("ผู้ประมวลผลข้อมูลย่อยรายใหม่") ตามข้อ 11.4 (โอกาสในการคัดค้านการเปลี่ยนแปลงผู้ประมวลผลข้อมูลย่อย)

11.2 ข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลย่อย Jibe จะให้ข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลย่อยและตําแหน่งของพวกเขาตามคําขอของพาร์ทเนอร์ คําขอดังกล่าวต้องส่งถึง Jibe โดยใช้รายละเอียดการติดต่อที่ระบุไว้ในส่วน 12.1 (การติดต่อ Jibe)

11.3 ข้อกําหนดสําหรับการมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อย เมื่อติดต่อผู้ประมวลผลข้อมูลย่อย Jibe จะ

(ก) รับประกันผ่านสัญญาที่เป็นลายลักษณ์อักษรว่า

(i) ผู้ประมวลผลข้อมูลย่อยเข้าถึงและใช้งานเฉพาะข้อมูลส่วนตัวของพาร์ทเนอร์ในขอบเขตที่จําเป็นต้องใช้ในการดําเนินการตามสัญญาที่ทําสัญญาดังกล่าว และจะดําเนินการดังกล่าวตามข้อตกลง (รวมถึงเอกสารแนบท้ายการประมวลผลข้อมูลนี้) และ

(2) หากการประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์อยู่ภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป ภาระหน้าที่ในการปกป้องข้อมูลในเอกสารแนบท้ายการประมวลผลข้อมูลนี้ (ตามมาตราที่ 28(3) ของ GDPR ถ้ามี) จะมีผลบังคับใช้กับผู้ประมวลผลข้อมูลย่อย และ

(ข) ยังคงรับผิดโดยสมบูรณ์สําหรับภาระหน้าที่ทั้งหมดที่เหมาช่วง รวมทั้งการกระทําและการละเลยทั้งหมดของผู้ประมวลผลข้อมูลย่อย

11.4 โอกาสในการคัดค้านการเปลี่ยนแปลงผู้ประมวลผลข้อมูลย่อย

(ก) หากผู้ประมวลผลข้อมูลย่อยรายใหม่มีส่วนร่วมในช่วงวาระนี้ อย่างน้อย 30 วันก่อนที่ผู้ประมวลผลข้อมูลย่อยรายใหม่จะประมวลผลข้อมูลส่วนตัวของพาร์ทเนอร์ Jibe จะแจ้งให้พาร์ทเนอร์มีส่วนร่วมในการมีส่วนร่วม (รวมถึงชื่อและสถานที่ตั้งของผู้ประมวลผลข้อมูลย่อยที่เกี่ยวข้อง และกิจกรรมที่ผู้ประมวลผลข้อมูลย่อยจะดําเนิน) โดยส่งอีเมลไปยังที่อยู่การแจ้งเตือน

(ข) พาร์ทเนอร์อาจคัดค้านผู้ประมวลผลข้อมูลย่อยรายใหม่ได้โดยการสิ้นสุดข้อตกลงสําหรับความสะดวกสบายโดยทันทีเมื่อแจ้งให้ YouTube ทราบเป็นลายลักษณ์อักษรตามเงื่อนไขที่พาร์ทเนอร์แจ้งล่วงหน้าภายใน 90 วันหลังจากได้รับแจ้งเกี่ยวกับการมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อยรายใหม่ตามที่อธิบายไว้ในข้อ 11.4(ก)

12. การติดต่อ Jibe การประมวลผลข้อมูล

12.1 การติดต่อ Jibe เมื่อใช้สิทธิ์ภายใต้เอกสารแนบท้ายการประมวลผลข้อมูลฉบับนี้ พาร์ทเนอร์อาจติดต่อ Jibe ผ่านการคุ้มครองข้อมูล RCS ของ Jibe ติดต่อผ่าน issuetracker.google.com หรือผ่านวิธีอื่นๆ ที่ Jibe อาจระบุไว้

12.2 ระเบียนการประมวลผลของ Jibe Jibe จะเก็บเอกสารประกอบที่เหมาะสมของกิจกรรมการประมวลผลข้อมูลไว้ตามที่ GDPR กําหนด พาร์ทเนอร์รับทราบว่า Jibe ต้องอยู่ภายใต้ GDPR เพื่อ (ก) รวบรวมและเก็บรักษาบันทึกข้อมูลบางอย่าง รวมถึง (1) ชื่อและรายละเอียดของผู้ติดต่อของผู้ประมวลผลข้อมูลแต่ละคน และ/หรือผู้ควบคุมข้อมูลในนามของจิเบะ รวมถึง (ตัวแทน) ตัวแทนและเจ้าหน้าที่คุ้มครองข้อมูลในท้องถิ่นของผู้ประมวลผลข้อมูลหรือผู้ควบคุม (2) (หากมี) ภายใต้ SCC ที่เกี่ยวข้อง โดยหน่วยงานกํากับดูแลข้างต้น (หน่วยงานควบคุมและเอกชน) หน่วยงานกํากับดูแลของพาร์ทเนอร์ ในกรณีที่มีการร้องขอและในฐานะพาร์ทเนอร์ที่เกี่ยวข้องจะให้ข้อมูลดังกล่าวแก่ Jibe ผ่านอินเทอร์เฟซผู้ใช้ของบริการผู้ประมวลผลข้อมูล หรือด้วยวิธีการอื่นๆ ที่ Jibe อาจระบุไว้ และจะใช้อินเทอร์เฟซผู้ใช้ดังกล่าวหรือวิธีอื่น เพื่อให้มั่นใจว่าข้อมูลทั้งหมดที่ให้ไว้นั้นถูกต้องและเป็นปัจจุบัน

12.3 คําขอของผู้ควบคุมข้อมูล หาก Jibe ได้รับคําขอหรือคําแนะนําจากบุคคลที่สามที่อ้างว่าเป็นผู้ควบคุมข้อมูลส่วนตัวของพาร์ทเนอร์ Jibe จะแนะนําให้บุคคลที่สามดังกล่าวติดต่อพาร์ทเนอร์

13. ความรับผิด

หากข้อตกลงอยู่ในบังคับของกฎหมายของ:

(ก) รัฐของสหรัฐอเมริกา (ไม่ว่ากรณีใดๆ ที่มีขึ้น) ตามข้อตกลงนี้ ความรับผิดทั้งหมดของคู่สัญญาฝ่ายหนึ่งต่อคู่สัญญาอีกฝ่ายภายใต้หรือที่เกี่ยวข้องกับภาคผนวกของการประมวลผลข้อมูลนี้จะจํากัดเฉพาะจํานวนเงินที่ชําระสูงสุดหรือจํานวนเงินที่ฝ่ายนั้นๆ จํากัดภายใต้ข้อตกลงนี้ (ดังนั้น การยกเว้นใดๆ เกี่ยวกับการรักษาข้อมูลที่เป็นความลับหรือการอ้างสิทธิ์เกี่ยวกับการให้ความคุ้มครองของ Google จะไม่กระทบต่อข้อผูกมัดเกี่ยวกับข้อผูกมัดของข้อผูกมัดตามกฎระเบียบของยุโรปว่าด้วยข้อผูกมัดเกี่ยวกับข้อผูกมัดอื่นๆ ที่เกี่ยวข้องตามข้อบังคับของกฎหมายว่าด้วยข้อบังคับของกฎหมายอาณานิคมยุโรปและกฎหมายระหว่างประเทศว่าด้วยข้อผูกมัดใดๆ ที่เกี่ยวข้องกับการคุ้มครองเนื่องจากการละเมิดข้อกฎหมายคือ

(ข) เขตอํานาจศาลที่ไม่ใช่รัฐของสหรัฐอเมริกา ความรับผิดโดยรวมทั้งหมดของคู่สัญญาและบริษัทในเครือภายใต้หรือที่เกี่ยวข้องกับภาคผนวกของการประมวลผลข้อมูลฉบับนี้จะอยู่ภายใต้ข้อตกลงนี้

14. ผลของเอกสารแนบท้ายการประมวลผลข้อมูลนี้

14.1 ลําดับลําดับความสําคัญ หากมีข้อขัดแย้งหรือความไม่สอดคล้องกันใดๆ ระหว่าง SCC, ข้อกําหนดเพิ่มเติมสําหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป, เอกสารแนบท้ายการประมวลผลข้อมูลนี้ และส่วนที่เหลือของข้อตกลง ลําดับที่เหลือจะมีผลบังคับดังต่อไปนี้

(ก) SCC

(ข) ข้อกําหนดเพิ่มเติมสําหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป

(ค) ส่วนที่เหลือของเอกสารแนบท้ายการประมวลผลข้อมูลนี้ และ

(ง) ส่วนที่เหลือของข้อตกลง

ข้อตกลงนี้จะยังคงมีผลบังคับอย่างสมบูรณ์ภายใต้การแก้ไขเพิ่มเติมในการประมวลผลข้อมูลนี้

14.2 ไม่มีการแก้ไข SCC ไม่มีส่วนใดในข้อตกลงนี้ (รวมถึงภาคผนวกว่าด้วยการประมวลผลข้อมูลนี้) ที่มีเจตนาแก้ไขหรือขัดแย้งกับ SCC หรือลดสิทธิ์หรือเสรีภาพพื้นฐานของเจ้าของข้อมูลภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป

14.3 ไม่ส่งผลกระทบต่อข้อกําหนดของผู้ควบคุมข้อมูล เอกสารแนบท้ายการประมวลผลข้อมูลนี้จะไม่ส่งผลกระทบต่อข้อกําหนดแยกต่างหากระหว่าง Jibe และ Partner ที่แสดงให้เห็นถึงความสัมพันธ์ระหว่างผู้ควบคุมบริการวัดผลกับบริการอื่นๆ นอกเหนือจากบริการของผู้ประมวลผลข้อมูล

14.4 SCC เดิมของสหราชอาณาจักร ตั้งแต่วันที่ 21 กันยายน 2022 หรือวันที่ข้อตกลงนี้มีผลบังคับใช้ ข้อกําหนดเพิ่มเติมของ SCC สําหรับการโอน GDPR ของสหราชอาณาจักรจะมีผลบังคับใช้และมีผลแทนข้อสัญญามาตรฐานที่ผ่านการอนุมัติภายใต้ GDPR ของสหราชอาณาจักรและพระราชบัญญัติคุ้มครองข้อมูลปี 2018 รวมถึงก่อนหน้านี้จะเข้าทําข้อตกลงและ Jibe ("SCC เดิมของสหราชอาณาจักร") ส่วนที่ 14.4 (SCC ของสหราชอาณาจักรแบบเดิม) จะไม่ส่งผลต่อสิทธิ์ของฝ่ายหนึ่งฝ่ายใดหรือสิทธิ์ของเจ้าของข้อมูลที่อาจอยู่ภายใต้ SCC ของสหราชอาณาจักรเดิมในขณะที่บังคับใช้

15. การเปลี่ยนแปลงเอกสารแนบท้ายการประมวลผลข้อมูล

15.1 การเปลี่ยนแปลง URL ในบางครั้ง Jibe อาจเปลี่ยน URL ใดๆ ที่อ้างถึงในเอกสารแนบท้ายการประมวลผลข้อมูลนี้ และเนื้อหาต่างๆ ที่ URL ดังกล่าว ยกเว้น Jibe อาจเปลี่ยน SCC เท่านั้นตามข้อ 15.2(b) - การเปลี่ยนแปลงเหล่านี้มีกฎหมายและกฎหมายที่ไม่มีผลบังคับใช้

15.2 การเปลี่ยนแปลงภาคผนวกว่าด้วยการประมวลผลข้อมูล Jibe อาจแก้ไขเอกสารแนบท้ายการประมวลผลข้อมูลนี้ หากการเปลี่ยนแปลง

(ก) ได้รับอนุญาตอย่างชัดเจนจากเอกสารแนบท้ายการประมวลผลข้อมูลนี้ ซึ่งรวมถึงตามที่อธิบายไว้ในข้อ 15.1 (การเปลี่ยนแปลง URL)

(ข) แสดงถึงชื่อหรือรูปแบบของนิติบุคคลตามกฎหมาย

(ค) เป็นสิ่งที่จําเป็นเพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้อง กฎระเบียบที่เกี่ยวข้อง คําสั่งศาล หรือคําแนะนําที่มาจากหน่วยงานกํากับดูแลหรือหน่วยงานภาครัฐ หรือแสดงให้เห็นการที่จิบูนําไปใช้ในโซลูชันการโอนทางเลือกอื่น หรือ

(ง) ไม่ (1) ทําให้ความปลอดภัยโดยรวมของบริการของผู้ประมวลผลข้อมูลเสื่อมถอย (ii) ขยายขอบเขตหรือหักล้างข้อจํากัดใดๆ (ก) ในกรณีของข้อกําหนดเพิ่มเติมเพื่อการคุ้มครองข้อมูลที่ไม่ใช่ของยุโรป สิทธิของ Jibe ในการใช้หรือประมวลผลข้อมูลภายในขอบเขตเพิ่มเติมของข้อกําหนดนี้

15.3 การแจ้งเตือนการเปลี่ยนแปลง หาก Jibe ต้องการเปลี่ยนแปลงภาคผนวกว่าด้วยการประมวลผลข้อมูลภายใต้ข้อ 15.2(ค) หรือ (ง) Jibe จะแจ้งให้พาร์ทเนอร์ทราบอย่างน้อย 30 วัน (หรือในช่วงเวลาสั้นๆ ที่อาจต้องดําเนินการเพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้อง ข้อบังคับที่เกี่ยวข้อง คําสั่งศาล หรือคําแนะนําที่ออกโดยหน่วยงานกํากับดูแลหรือหน่วยงานของรัฐ ก่อนที่การเปลี่ยนแปลงจะมีผลโดย (โดยใช้การแจ้งเตือน B) B หากพาร์ทเนอร์ปฏิเสธการเปลี่ยนแปลงดังกล่าว พาร์ทเนอร์สามารถยกเลิกข้อตกลงตามความสะดวกได้โดยส่งหนังสือแจ้งเป็นลายลักษณ์อักษรไปยัง Jibe ภายใน 90 วันนับจากที่ Jibe ทราบเกี่ยวกับการเปลี่ยนแปลง

ภาคผนวก 1: เรื่องและรายละเอียดของการประมวลผลข้อมูล

เรื่อง

Jibe ใช้บริการของผู้ประมวลผลข้อมูลและการสนับสนุนด้านเทคนิคที่เกี่ยวข้องกับพาร์ทเนอร์

ระยะเวลาการประมวลผล

ระยะเวลาบวกกับระยะเวลาตั้งแต่สิ้นสุดช่วงวาระจนถึงการลบข้อมูลส่วนบุคคลของพาร์ทเนอร์ทั้งหมดโดย Jibe โดยเป็นไปตามเอกสารแนบท้ายการประมวลผลข้อมูลนี้

ลักษณะและวัตถุประสงค์ของการประมวลผล

Jibe จะประมวลผลข้อมูลส่วนบุคคลของพาร์ทเนอร์ (รวมถึงตามลักษณะ ของบริการของผู้ประมวลผลข้อมูลและคําแนะนํา) การรวบรวม บันทึก จัดระเบียบ จัดเก็บ เปลี่ยนแปลง ดึงข้อมูล ใช้งาน เปิดเผย รวม ลบ และทําลายข้อมูลส่วนตัวของพาร์ทเนอร์เพื่อวัตถุประสงค์ในการให้บริการบริการของผู้ประมวลผลข้อมูลและการสนับสนุนด้านเทคนิคที่เกี่ยวข้องเพื่อให้สอดคล้องกับการปฏิบัติตามการประมวลผลข้อมูลนี้

ประเภทของข้อมูลส่วนบุคคล

ข้อมูลส่วนตัวเกี่ยวกับบุคคลที่ให้ Jibe ผ่านบริการการประมวลผลข้อมูล โดย (หรือที่มาจาก) พาร์ทเนอร์หรือโดยพันธมิตรของพาร์ทเนอร์

หมวดหมู่ของเจ้าของข้อมูล

เจ้าของข้อมูลจะรวมถึงบุคคลที่จะส่งข้อมูลให้แก่ Jibe ผ่านทางบริการของผู้ประมวลผลข้อมูลโดย (หรือในทิศทางของ) หรือโดยพาร์ทเนอร์

ภาคผนวก 2: มาตรการความปลอดภัย

นับตั้งแต่วันที่มีผลของข้อกําหนด Jibe จะปรับใช้และรักษามาตรการการรักษาความปลอดภัยในภาคผนวก 2 นี้ Jibe อาจอัปเดตหรือแก้ไขมาตรการการรักษาความปลอดภัยดังกล่าวเป็นระยะๆ โดยที่การอัปเดตและการแก้ไขจะไม่ทําให้ความปลอดภัยโดยรวมของบริการของผู้ประมวลผลข้อมูลลดลง

1. ศูนย์ข้อมูลและความปลอดภัยเครือข่าย

(ก) ศูนย์ข้อมูล

โครงสร้างพื้นฐาน Jibe มีศูนย์ข้อมูลที่กระจายอยู่ตามพื้นที่ทางภูมิศาสตร์ Jibe เก็บข้อมูลการผลิตทั้งหมดในศูนย์ข้อมูลที่มีความปลอดภัยทางกายภาพ

การทําซ้ํา โครงสร้างพื้นฐานได้รับการออกแบบให้กําจัดจุดล้มเหลวแต่ละจุดและลดความเสี่ยงทางสภาพแวดล้อมที่คาดว่าจะเกิดขึ้นให้เหลือน้อยที่สุด วงจรคู่ สวิตช์ เครือข่าย หรืออุปกรณ์อื่นๆ ที่จําเป็นช่วยให้มีการสํารองการทํางานแบบซ้อน บริการของผู้ประมวลผลข้อมูลได้รับการออกแบบมาเพื่อช่วยให้ Jibe ดําเนินการบํารุงรักษาเชิงป้องกันและเชิงแก้ไขได้โดยปราศจากการหยุดชะงัก เครื่องมือและสิ่งอํานวยความสะดวกในสิ่งแวดล้อมทั้งหมดมีขั้นตอนการบํารุงรักษาเชิงป้องกันและเชิงแก้ไขที่มีเอกสารประกอบซึ่งอธิบายรายละเอียดและกระบวนการและความถี่ในการดําเนินการ โดยเป็นไปตามข้อกําหนดของผู้ผลิตหรือของภายใน มีการจัดตารางการบํารุงรักษาเชิงป้องกันและเชิงแก้ไขสําหรับอุปกรณ์ของศูนย์ข้อมูลโดยใช้กระบวนการมาตรฐานตามขั้นตอนที่ระบุไว้

ปุ่มเปิด/ปิด ระบบพลังงานไฟฟ้าของศูนย์ข้อมูลได้รับการออกแบบมาให้มีการสํารองการทํางานแบบซ้อนและสามารถบํารุงรักษาได้โดยไม่มีผลกระทบต่อการทํางานอย่างต่อเนื่องตลอด 24 ชั่วโมงและ 7 วันต่อสัปดาห์ ในกรณีส่วนใหญ่แล้วจะมีการจัดสรรแหล่งพลังงานหลักและพลังงานสํารองที่มีกําลังไฟฟ้าเท่ากันให้กับองค์ประกอบที่เป็นโครงสร้างพื้นฐานของศูนย์ข้อมูล พลังงานสํารองมาจากกลไกต่างๆ เช่น แบตเตอรี่แหล่งจ่ายไฟสํารอง (UPS) ซึ่งให้การป้องกันไฟฟ้าที่เสถียรอย่างสม่ําเสมอในช่วงที่ไฟฟ้าดับ ไฟดับ ไฟดับแรงดันไฟฟ้า แรงดันไฟฟ้าต่ํา หากพลังงานสาธารณูปโภคเกิดขัดข้อง จะมีระบบพลังงานสํารองที่ออกแบบมาเพื่อจ่ายไฟชั่วคราวให้กับศูนย์ข้อมูลด้วยความจุสูงสุด 10 นาที จนกว่าระบบปั่นไฟสํารองจะเข้ามาทําหน้าที่แทน เครื่องกําเนิดไฟฟ้าสามารถเริ่มทํางานโดยอัตโนมัติได้ในไม่กี่วินาทีเพื่อจ่ายพลังงานไฟฟ้าฉุกเฉินที่เพียงพอในการเรียกใช้ความจุเต็มความจุตามปกติเป็นเวลาหลายวัน

ระบบปฏิบัติการของเซิร์ฟเวอร์ เซิร์ฟเวอร์ของ Jibe ใช้ระบบปฏิบัติการที่ปิดช่องโหว่แล้วซึ่งปรับแต่งให้เหมาะกับความต้องการเฉพาะของเซิร์ฟเวอร์สําหรับธุรกิจ ข้อมูลถูกจัดเก็บโดยใช้อัลกอริทึมที่เป็นกรรมสิทธิ์เพื่อช่วยเพิ่มความปลอดภัยของข้อมูลและความซ้ําซ้อน Jibe ใช้กระบวนการตรวจสอบโค้ดเพื่อเพิ่มความปลอดภัยให้กับรหัสที่ใช้เพื่อให้บริการผู้ประมวลผลข้อมูลและเพิ่มประสิทธิภาพผลิตภัณฑ์ด้านความปลอดภัยในสภาพแวดล้อมการใช้งานจริง

ความต่อเนื่องทางธุรกิจ Jibe จะจําลองข้อมูลในหลายระบบ เพื่อช่วยป้องกันการทําลายหรือการสูญเสียโดยไม่ได้ตั้งใจ Jibe ได้ออกแบบและวางแผน และทดสอบโปรแกรมความต่อเนื่องทางธุรกิจ/แผนการกู้ข้อมูลคืนหลังจากภัยพิบัติเป็นประจํา

เทคโนโลยีการเข้ารหัส นโยบายความปลอดภัยของ Jibe กําหนดการเข้ารหัสสําหรับดูข้อมูลผู้ใช้ทั้งหมด รวมถึงข้อมูลส่วนบุคคลทั้งหมด ข้อมูลมักจะได้รับการเข้ารหัสในหลายๆ ระดับในสแต็กที่เก็บข้อมูลที่ใช้งานจริงของ Jibe ในศูนย์ข้อมูล ซึ่งรวมถึงที่ระดับฮาร์ดแวร์ โดยที่คุณไม่ต้องดําเนินการใดๆ กับพาร์ทเนอร์หรือลูกค้า การใช้การเข้ารหัสหลายระดับจะเพิ่มการคุ้มครองข้อมูลที่ซ้ําซ้อนและช่วยให้ Jibe เลือกแนวทางที่เหมาะสมตามข้อกําหนดของแอปพลิเคชันได้ ข้อมูลส่วนตัวทั้งหมดจะได้รับการเข้ารหัสที่ระดับพื้นที่เก็บข้อมูล โดยทั่วไปแล้วจะใช้ AES256 Jibe ใช้ไลบรารีการเข้ารหัสลับที่พบทั่วไปซึ่งนําโมดูล FIPS 140-2 ที่ตรวจสอบแล้วของ Jibe มาใช้ในการเข้ารหัสอย่างสอดคล้องกันในทุกบริการของผู้ประมวลผลข้อมูล

(ข) เครือข่ายและการถ่ายโอน

การส่งข้อมูล โดยปกติแล้วศูนย์ข้อมูลจะเชื่อมต่อกันผ่านลิงก์ส่วนตัวแบบความเร็วสูง เพื่อให้การโอนข้อมูลระหว่างศูนย์ข้อมูลแต่ละแห่งมีความปลอดภัยและรวดเร็ว ทั้งนี้เพื่อป้องกันไม่ให้ข้อมูลถูกเปิดอ่าน คัดลอก ดัดแปลง หรือถูกลบโดยไม่ได้รับอนุญาตในระหว่างการส่งทางอิเล็กทรอนิกส์ Jibe โอนข้อมูลผ่านโปรโตคอล อินเทอร์เน็ตมาตรฐาน

พื้นผิวการโจมตีภายนอก Jibe ใช้อุปกรณ์เครือข่ายหลายชั้นและตรวจจับการบุกรุกเพื่อปกป้องพื้นที่การโจมตีจากภายนอก Jibe จะพิจารณาเวกเตอร์การโจมตีที่อาจเกิดขึ้นและได้นําเทคโนโลยีที่สร้างขึ้นมาโดยเฉพาะมาใช้ในระบบภายนอก

การตรวจจับการบุกรุก การตรวจจับการบุกรุกมีวัตถุประสงค์ในการให้ข้อมูลเชิงลึก เกี่ยวกับกิจกรรมการโจมตีที่กําลังเกิดขึ้น และให้ข้อมูลที่เพียงพอ สําหรับเหตุการณ์ต่างๆ การตรวจจับการบุกรุกของ Jibe ประกอบด้วย

  1. การควบคุมขนาดและลักษณะของพื้นผิวการโจมตีของ Jibe อย่างแน่นหนาผ่านมาตรการป้องกัน

  2. ใช้การควบคุมการตรวจหาแบบอัจฉริยะที่จุดแรกเข้าของข้อมูล และ

  3. การใช้เทคโนโลยีที่แก้ไขสถานการณ์อันตรายบางอย่างโดยอัตโนมัติ

การตอบสนองต่อเหตุการณ์ Jibe ติดตามดูช่องทางการสื่อสารต่างๆ สําหรับ เหตุการณ์ด้านความปลอดภัย และบุคลากรฝ่ายรักษาความปลอดภัยของ Jibe จะตอบสนองเหตุการณ์ที่ทราบทันที

เทคโนโลยีการเข้ารหัส Jibe ทําให้การเข้ารหัส HTTPS (เรียกอีกอย่างว่าการเชื่อมต่อ TLS) สามารถใช้งานได้ เซิร์ฟเวอร์ Jibe รองรับการแลกเปลี่ยนคีย์การเข้ารหัส Diffie Hellman แบบ Ephemeral Elliptic Curve ที่มีการลงชื่อด้วย RSA และ ECDSA เมธอด Forward Secrecy แบบสมบูรณ์ (PFS) เหล่านี้จะช่วยปกป้องการรับส่งข้อมูลและลดผลกระทบจากคีย์ที่ถูกขโมยหรือการเจาะระบบแบบวิทยาการเข้ารหัสลับให้น้อยที่สุด

2. การเข้าถึงและการควบคุมไซต์

(ก) การควบคุมเว็บไซต์

การดําเนินการด้านการรักษาความปลอดภัยของศูนย์ข้อมูลในพื้นที่ ศูนย์ข้อมูลของ Jibe ดําเนินงานด้านความปลอดภัยในพื้นที่ของศูนย์ข้อมูลทางกายภาพทั้งหมดตลอด 24 ชั่วโมงทุกวัน บุคลากรส่วนการรักษาความปลอดภัยในพื้นที่จะตรวจสอบกล้องวงจรปิด ("CCTV") และระบบสัญญาณเตือนทั้งหมด บุคลากรส่วนการรักษาความปลอดภัยในพื้นที่จะทําการลาดตระเวนทั้งภายในและภายนอกศูนย์ข้อมูลเป็นประจํา

ขั้นตอนการเข้าถึงศูนย์ข้อมูล Jibe ยังคงดําเนินขั้นตอนอย่างเป็นทางการในการเข้าถึง ซึ่งจะทําให้ศูนย์ข้อมูลเข้าถึงทางกายภาพได้ ศูนย์ข้อมูลจะอยู่ในสถานประกอบการที่ใช้การเข้าถึงด้วยคีย์การ์ดอิเล็กทรอนิกส์ พร้อมสัญญาณเตือนที่ลิงก์กับการดําเนินการด้านความปลอดภัยในพื้นที่ ผู้เข้าใช้งานศูนย์ข้อมูลทุกคนจะต้องพิสูจน์ตัวตนและแสดงหลักฐานยืนยันตัวตนให้เห็นถึงการดําเนินการด้านความปลอดภัยในพื้นที่ เฉพาะพนักงาน ผู้รับเหมา และผู้เข้าชมที่ได้รับอนุญาตเท่านั้น ที่ได้รับอนุญาตให้เข้าสู่ศูนย์ข้อมูล เฉพาะพนักงานประจําและพนักงานสัญญาจ้างที่ได้รับอนุญาตให้ ขอกุญแจอิเล็กทรอนิกส์ในการเข้าถึงสถานประกอบการเหล่านี้ คําขอการเข้าถึงคีย์การ์ดอิเล็กทรอนิกส์แบบศูนย์ข้อมูลต้องมีการแจ้งล่วงหน้าเป็นลายลักษณ์อักษร และต้องได้รับอนุมัติจากบุคลากรของศูนย์ข้อมูลที่ได้รับอนุญาต ผู้เข้าประกวดคนอื่นๆ ทั้งหมดที่ต้องการสิทธิ์เข้าถึงศูนย์ข้อมูลชั่วคราวจะต้อง (i) ขอรับการอนุมัติล่วงหน้าจากผู้จัดการศูนย์ข้อมูลของศูนย์ข้อมูลนั้นๆ และพื้นที่ภายในที่ตนต้องการไป (ii) ลงชื่อเข้าใช้ในการปฏิบัติการด้านการรักษาความปลอดภัยภายในสถานที่ และ (iii) อ้างอิงบันทึกการเข้าถึงศูนย์ข้อมูลที่ได้รับอนุมัติโดยระบุว่าบุคคลนั้นๆ ได้รับการอนุมัติ

อุปกรณ์รักษาความปลอดภัยของศูนย์ข้อมูลในพื้นที่ ศูนย์ข้อมูลของ Jibe ใช้กุญแจการ์ดอิเล็กทรอนิกส์และระบบควบคุมการเข้าถึงข้อมูลไบโอเมตริกที่ลิงก์กับสัญญาณเตือนของระบบ ระบบควบคุมการเข้าถึงจะตรวจสอบและบันทึกคีย์การ์ด แบบอิเล็กทรอนิกส์ของแต่ละคน รวมถึงเมื่อพวกเขาเข้าถึงประตูโดยรอบ การจัดส่งและการรับสัญญาณ รวมถึงพื้นที่สําคัญอื่นๆ ระบบการควบคุมการเข้าถึงจะเข้าถึงข้อมูลกิจกรรมที่ไม่ได้รับอนุญาตและการเข้าถึงที่ไม่สําเร็จและจะทําการตรวจสอบตามความเหมาะสม การเข้าถึงที่ได้รับอนุญาตในการดําเนินธุรกิจและศูนย์ข้อมูล จะถูกจํากัดตามโซนและหน้าที่รับผิดชอบในงานของแต่ละบุคคล ประตูไฟที่ศูนย์ข้อมูลมีการติดตั้งสัญญาณเตือนภัย กล้องวงจรปิดกําลังทํางาน ทั้งภายในและภายนอกศูนย์ข้อมูล ตําแหน่งการติดตั้งกล้องได้รับการออกแบบให้ครอบคลุมพื้นที่เชิงกลยุทธ์ รวมถึงพื้นที่อื่นๆ เขตศูนย์กลาง อาคารของศูนย์ข้อมูล และการจัดส่ง/รับสัญญาณ บุคลากรส่วนการรักษาความปลอดภัยในพื้นที่จะมีหน้าที่ในการจัดการการตรวจสอบ การบันทึก และการควบคุมกล้องวงจรปิด สายเคเบิลที่ปลอดภัยทั่วทั้งศูนย์ข้อมูลจะเชื่อมต่ออุปกรณ์ CCTV กล้องจะบันทึกวิดีโอในสถานที่ผ่านเครื่องบันทึกวิดีโอดิจิทัล ตลอด 24 ชั่วโมงทุกวัน เราจะเก็บรักษาบันทึกการเฝ้าระวังไว้อย่างน้อย 7 วันโดยอิงตามกิจกรรมต่างๆ

(ข) การควบคุมการเข้าถึง

บุคลากรส่วนการรักษาความปลอดภัยในโครงสร้างพื้นฐาน Jibe มีและรักษานโยบายด้านความปลอดภัยสําหรับบุคลากรไว้ และกําหนดให้การฝึกอบรมด้านความปลอดภัยเป็นส่วนหนึ่งของแพ็กเกจการฝึกอบรมสําหรับบุคลากร บุคลากรด้านโครงสร้างพื้นฐานของ Jibe จะเป็นผู้รับผิดชอบในการตรวจสอบโครงสร้างพื้นฐานด้านความปลอดภัยของ Jibe อย่างต่อเนื่อง, การตรวจสอบบริการของผู้ประมวลผลข้อมูล และการตอบสนองต่อเหตุการณ์ด้านความปลอดภัย

การควบคุมการเข้าถึงและการจัดการสิทธิ์ ผู้ดูแลระบบและผู้ใช้ของพาร์ทเนอร์ต้องตรวจสอบสิทธิ์ด้วยตนเองโดยใช้ระบบการตรวจสอบสิทธิ์ส่วนกลางหรือระบบการลงชื่อเพียงครั้งเดียวจึงจะใช้บริการของผู้ประมวลผลข้อมูลได้

กระบวนการเข้าถึงข้อมูลและนโยบายภายใน – นโยบายการเข้าถึง กระบวนการและนโยบายการเข้าถึงข้อมูลภายในของ Jibe ได้รับการออกแบบมาเพื่อป้องกันไม่ให้บุคคลและ/หรือระบบที่ไม่ได้รับอนุญาตเข้าถึงระบบที่ใช้ในการประมวลผลข้อมูลส่วนตัว Jibe มุ่งออกแบบระบบเพื่อ (i) อนุญาตเฉพาะผู้ที่ได้รับอนุญาตให้เข้าถึงข้อมูลที่ได้รับอนุญาตให้เข้าถึง และ (ii) ตรวจสอบว่าอ่าน คัดลอก ปรับเปลี่ยน หรือนําข้อมูลส่วนบุคคลออกไม่ได้โดยไม่ได้รับอนุญาตระหว่างประมวลผล ใช้ และหลังจากบันทึก ระบบเหล่านี้ออกแบบมาเพื่อตรวจจับ การเข้าถึงที่ไม่เหมาะสม Jibe ใช้ระบบการจัดการการเข้าถึงแบบรวมศูนย์เพื่อควบคุมการเข้าถึงเซิร์ฟเวอร์การผลิตของบุคลากร และจะให้การเข้าถึงบุคลากรที่ได้รับอนุญาตในจํานวนจํากัดเท่านั้น LDAP, Kerberos และระบบที่เป็นกรรมสิทธิ์ที่ใช้ใบรับรองดิจิทัลได้รับการออกแบบมาเพื่อช่วยให้ Jibe สามารถใช้กลไกการเข้าถึงที่ปลอดภัยและยืดหยุ่นได้ กลไกเหล่านี้ออกแบบมาเพื่อให้สิทธิ์การเข้าถึงที่ได้รับอนุมัติแก่โฮสต์เว็บไซต์ บันทึก ข้อมูล และข้อมูลการกําหนดค่าเท่านั้น Jibe กําหนดให้มีการใช้รหัสผู้ใช้ที่ไม่ซ้ํากัน รหัสผ่านที่รัดกุม การตรวจสอบสิทธิ์แบบ 2 ปัจจัย และรายการเข้าถึงที่มีการตรวจสอบอย่างละเอียดเพื่อลดโอกาสในการใช้บัญชีโดยไม่ได้รับอนุญาต การมอบสิทธิ์และการปรับเปลี่ยนสิทธิ์การเข้าถึงจะเป็นไปตามหน้าที่ของบุคลากรที่ได้รับอนุญาต ความจําเป็นในการปฏิบัติหน้าที่ที่จําเป็นต่อการทํางาน ที่ได้รับอนุญาตและจําเป็นต้องทราบ การให้หรือการดัดแปลงสิทธิ์การเข้าถึงต้องสอดคล้องกับนโยบายและการฝึกอบรมเกี่ยวกับการเข้าถึงข้อมูลภายในของ Jibe ด้วย เครื่องมือการจัดการจะจัดการการอนุมัติและเก็บรักษาบันทึก การตรวจสอบการเปลี่ยนแปลงทั้งหมด ระบบจะบันทึกการเข้าถึงระบบเพื่อสร้างบันทึกการตรวจสอบ เพื่อความรับผิดชอบ เมื่อมีการใช้รหัสผ่านในการตรวจสอบสิทธิ์ (เช่น การเข้าสู่ระบบเวิร์กสเตชัน) จะมีการใช้นโยบายรหัสผ่านที่เป็นไปตามหลักปฏิบัติมาตรฐานอุตสาหกรรมเป็นอย่างน้อย มาตรฐานเหล่านี้รวมถึงข้อจํากัดในการใช้รหัสผ่านซ้ําและความรัดกุมของรหัสผ่านที่เพียงพอ

3. ข้อมูล

(ก) การจัดเก็บ การแยก และการตรวจสอบสิทธิ์ข้อมูล

Jibe เก็บข้อมูลในสภาพแวดล้อมแบบผู้ใช้หลายรายในเซิร์ฟเวอร์ที่ Google LLC เป็นเจ้าของ ข้อมูล ฐานข้อมูลบริการของผู้ประมวลผลข้อมูล และสถาปัตยกรรมของระบบไฟล์ ถูกทําซ้ําระหว่างศูนย์ข้อมูลที่กระจายอยู่หลายแห่ง Jibe แยกข้อมูลของพาร์ทเนอร์หรือลูกค้าแต่ละรายได้อย่างสมเหตุสมผล ระบบการตรวจสอบสิทธิ์ส่วนกลาง จะใช้ในบริการต่างๆ ของผู้ประมวลผลข้อมูลทั้งหมดเพื่อเพิ่มความปลอดภัยให้ข้อมูลที่เป็นเอกภาพ

(ข) หลักเกณฑ์เกี่ยวกับการรื้อดิสก์และทําลายดิสก์

ดิสก์บางตัวมีข้อมูลอาจเกิดปัญหาด้านประสิทธิภาพ ข้อผิดพลาด หรือฮาร์ดแวร์ไม่ทํางานซึ่งทําให้ถูกเลิกใช้งาน ("ดิสก์ที่ไม่ใช้งานแล้ว") ดิสก์ที่ไม่ใช้งานทั้งหมดจะอยู่ภายใต้กระบวนการทําลายข้อมูลชุดหนึ่ง ("หลักเกณฑ์การทําลายข้อมูล") ก่อนที่จะออกจากสถานที่ของ Jibe เพื่อนํามาใช้ซ้ําหรือทําลาย ดิสก์ที่ไม่ใช้งานแล้วจะถูกล้างข้อมูลในหลายขั้นตอน และจะได้รับการยืนยันโดยโปรแกรมตรวจสอบอิสระ 2 เครื่อง ผลลัพธ์การลบข้อมูลจะถูกบันทึกโดยหมายเลขซีเรียลของ ดิสก์ที่ไม่ใช้งานเพื่อติดตาม ในขั้นตอนสุดท้าย ดิสก์ที่ไม่ใช้งานแล้วจะถูกลบไปในคลังเพื่อนําไปใช้ซ้ําและทําให้ใช้งานได้อีกครั้ง หากดิสก์ล้มเหลว ดิสก์ที่ไม่ใช้งานแล้วจะถูกลบไม่ได้ จะถูกจัดเก็บไว้อย่างปลอดภัยจนกว่าจะทําลายได้ สถานประกอบการแต่ละแห่งจะมีการตรวจสอบเป็นประจําเพื่อตรวจสอบการปฏิบัติตามหลักเกณฑ์การทําลายข้อมูล

(ค) ข้อมูลที่ระบุตัวบุคคลไม่ได้

ข้อมูลการโฆษณาออนไลน์มักจะเชื่อมโยงกับตัวระบุออนไลน์ ซึ่งในตัวเองจะถือว่าเป็น "การประมวลผลข้อมูลเพื่อไม่ให้ระบุตัวบุคคลนั้นได้" (นั่นคือ จะไม่สามารถระบุแหล่งที่มาเป็นบุคคลที่เจาะจงได้โดยไม่ต้องใช้ข้อมูลเพิ่มเติม) Jibe มีชุดนโยบายที่แข็งแกร่งและการควบคุมด้านเทคนิคและองค์กรเพื่อให้มั่นใจว่าจะไม่มีการแยกระหว่างข้อมูลที่ระบุตัวบุคคลได้และข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (นั่นคือ ข้อมูลที่นําไปใช้เพื่อระบุตัวตน ติดต่อ หรือหาตําแหน่งของบุคคลได้อย่างแม่นยํา) เช่น ข้อมูลบัญชี Jibe ของผู้ใช้ นโยบายของ Jibe จะอนุญาตเฉพาะการรับส่งข้อมูลระหว่างข้อมูลที่ระบุตัวบุคคลและข้อมูลส่วนบุคคลที่ระบุตัวบุคคลนั้นได้ในสถานการณ์ที่จํากัด

(ง) เปิดตัวรีวิว

Jibe ดําเนินการตรวจสอบผลิตภัณฑ์และคุณลักษณะใหม่ๆ ก่อนการเปิดตัว ซึ่งรวมถึงการตรวจสอบความเป็นส่วนตัวที่ดําเนินการโดย วิศวกรความเป็นส่วนตัวที่ได้รับการฝึกอบรมมาเป็นพิเศษ ในการตรวจสอบความเป็นส่วนตัว วิศวกรด้านความเป็นส่วนตัวจะตรวจสอบว่านโยบายและหลักเกณฑ์ทั้งหมดของ Jibe เป็นไปตามข้อกําหนด ซึ่งรวมถึงแต่ไม่จํากัดเพียงนโยบายที่เกี่ยวข้องกับการประมวลผลข้อมูลเพื่อไม่ให้ระบุตัวบุคคลนั้นได้ รวมถึงการเก็บรักษาและการลบข้อมูล

4. ความปลอดภัยของบุคลากร

บุคลากรของ Jibe ต้องปฏิบัติตนให้สอดคล้องกับหลักเกณฑ์ของบริษัทในเรื่องการรักษาความลับ จริยธรรมทางธุรกิจ การใช้งานที่เหมาะสม และมาตรฐานความเป็นมืออาชีพ Jibe ดําเนินการตรวจสอบภูมิหลังอย่างสมเหตุสมผลภายในขอบเขตที่กฎหมายอนุญาตและเป็นไปตามกฎหมายแรงงานของท้องถิ่นและข้อบังคับทางกฎหมายที่มีผลบังคับใช้

บุคลากรจะต้องลงนามในข้อตกลงการรักษาข้อมูลที่เป็นความลับ และต้องรับทราบและรับการปฏิบัติตามนโยบายส่วนบุคคลและความปลอดภัยของ Jibe บุคลากรจะได้รับการฝึกอบรมด้านการรักษาความปลอดภัย บุคลากรที่ทําหน้าที่จัดการข้อมูลส่วนบุคคลของพาร์ทเนอร์จะต้องทําตามข้อกําหนดเพิ่มเติมที่เหมาะสมกับบทบาทของตนเอง บุคลากรของ Jibe จะไม่ประมวลผล ข้อมูลส่วนบุคคลของพาร์ทเนอร์โดยไม่ได้รับอนุญาต

5. การรักษาความปลอดภัยของผู้ประมวลผลข้อมูลย่อย

ก่อนที่จะเริ่มต้นใช้งานผู้ประมวลผลข้อมูลย่อย Jibe จะดําเนินการตรวจสอบแนวทางปฏิบัติด้านความปลอดภัยและความเป็นส่วนตัวของผู้ประมวลผลข้อมูลย่อย เพื่อให้มั่นใจว่าผู้ประมวลผลข้อมูลย่อยมอบระดับความปลอดภัยและความเป็นส่วนตัวที่เหมาะสมสําหรับการเข้าถึงข้อมูลและขอบเขตของบริการที่ตนมีส่วนร่วม เมื่อ Jibe ประเมินความเสี่ยงของผู้ประมวลผลข้อมูลย่อยแล้ว ผู้ประมวลผลข้อมูลย่อยจะต้องเข้าร่วมในข้อกําหนดด้านความปลอดภัย การรักษาข้อมูลที่เป็นความลับ และสัญญาด้านความเป็นส่วนตัวที่เหมาะสม โดยจะเป็นไปตามข้อกําหนดในข้อ 11.3 (ข้อกําหนดสําหรับการมีส่วนร่วมของผู้ประมวลผลข้อมูลย่อย)

ภาคผนวก 3: ข้อกําหนดเพิ่มเติมสําหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรป

ข้อกําหนดเพิ่มเติมต่อไปนี้สําหรับนิติบัญญัติด้านการคุ้มครองข้อมูลซึ่งไม่ใช่ของยุโรปจะเสริมเอกสารแนบท้ายการประมวลผลข้อมูลนี้

การอ้างอิงถึง Google LLC หรือ Google ในเอกสารแนบท้ายผู้ประมวลผลข้อมูล LGPD และเอกสารแนบท้ายกฎหมายของรัฐในสหรัฐอเมริกาจะเป็น Jibe

เอกสารแนบท้ายการประมวลผลข้อมูล Jibe เวอร์ชัน 4.0

ฉบับก่อนหน้า