ข้อตกลงการประมวลผลข้อมูล

ข้อตกลงการประมวลผลข้อมูลนี้ (“ข้อตกลง”) เป็นส่วนหนึ่งของข้อกำหนดและเงื่อนไข (“ข้อตกลงหลัก”) ระหว่าง:

  • ลูกค้า (“ผู้ควบคุมข้อมูล”)
  • Textintel FZE (“ผู้ประมวลผลข้อมูล”)

(เรียกรวมกันว่า “คู่สัญญา”)

1. ภูมิหลัง

1.1 ลูกค้าดำเนินการในฐานะผู้ควบคุมข้อมูล และต้องการให้ผู้ประมวลผลข้อมูลเป็นผู้รับจ้างย่อยสำหรับบริการบางอย่างที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล

1.2 คู่สัญญามุ่งหมายจะทำข้อตกลงการประมวลผลข้อมูลให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลที่ใช้บังคับ ซึ่งรวมถึง:

  • ข้อบังคับ (EU) 2016/679 ของรัฐสภายุโรปและสภา วันที่ 27 เมษายน 2016 เกี่ยวกับการคุ้มครองบุคคลธรรมดาในการประมวลผลข้อมูลส่วนบุคคล และการไหลเวียนเสรีของข้อมูลดังกล่าว (GDPR)
  • กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือความเป็นส่วนตัวอื่นใดที่ใช้บังคับ

1.3 ข้อตกลงนี้กำหนดสิทธิและหน้าที่ของคู่สัญญาเกี่ยวกับการคุ้มครองข้อมูลและความเป็นส่วนตัว

2. คำจำกัดความและการตีความ

2.1 เว้นแต่จะกำหนดไว้เป็นอย่างอื่น คำที่ขึ้นต้นด้วยตัวพิมพ์ใหญ่ในข้อตกลงนี้มีความหมายดังต่อไปนี้:

  • “ข้อตกลง” – ข้อตกลงการประมวลผลข้อมูลนี้ รวมถึงภาคผนวกและภาคผนวกเวลา
  • “ข้อมูลส่วนบุคคลของลูกค้า” – ข้อมูลส่วนบุคคลใด ๆ ที่ผู้ประมวลผลข้อมูลประมวลผลในนามลูกค้าตามข้อตกลงหลัก
  • “กฎหมายคุ้มครองข้อมูล” – กฎหมายความเป็นส่วนตัวและการคุ้มครองข้อมูลที่ใช้บังคับทั้งหมด รวมถึง GDPR และกฎหมายระดับชาติที่เสริมหรือบังคับใช้ GDPR
  • “การประมวลผล” – การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น การรวบรวม การจัดเก็บ การส่งต่อ หรือการลบ
  • “ผู้รับจ้างย่อย” – บุคคลที่สามใด ๆ ที่ผู้ประมวลผลข้อมูลได้รับอนุญาตให้ประมวลผลข้อมูลส่วนบุคคลในนามลูกค้า

2.2 คำที่ไม่ได้กำหนดไว้ในข้อตกลงนี้ให้มีความหมายตามที่ GDPR กำหนด

3. ขอบเขตการประมวลผลข้อมูล

3.1 ลูกค้าจัดให้ผู้ประมวลผลข้อมูลประมวลผลข้อมูลส่วนบุคคลของลูกค้าอย่างเคร่งครัดตาม:

  • คำสั่งเป็นลายลักษณ์อักษรของลูกค้า
  • ข้อตกลงหลักและข้อตกลงนี้
  • กฎหมายคุ้มครองข้อมูลที่ใช้บังคับ

3.2 ผู้ประมวลผลข้อมูลจะไม่ประมวลผลข้อมูลส่วนบุคคลของลูกค้าเพื่อวัตถุประสงค์อื่นใดนอกเหนือจากที่ระบุในข้อตกลงนี้และข้อตกลงหลัก

4. ความรับผิดชอบของผู้ประมวลผลข้อมูล

4.1 ผู้ประมวลผลข้อมูลต้อง:

  • ทำให้มั่นใจว่าปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่ใช้บังคับ
  • ประมวลผลข้อมูลอย่างปลอดภัยตามแนวปฏิบัติที่ดีที่สุดในอุตสาหกรรม
  • จำกัดการเข้าถึงเฉพาะบุคลากรที่ได้รับอนุญาต
  • รับรองว่าบุคลากรทั้งหมดที่จัดการข้อมูลส่วนบุคคลของลูกค้าต้องปฏิบัติตามข้อผูกพันด้านการรักษาความลับ

5. มาตรการรักษาความปลอดภัย

5.1 ผู้ประมวลผลข้อมูลต้องใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อรับรองความปลอดภัยของข้อมูลส่วนบุคคลของลูกค้า โดยพิจารณาถึง:

  • ระดับเทคโนโลยีความปลอดภัยที่ทันสมัย
  • ลักษณะ ขอบเขต และบริบทของการประมวลผลข้อมูล
  • ความเสี่ยงที่อาจเกิดขึ้น รวมถึงการเข้าถึงโดยไม่ได้รับอนุญาต การรั่วไหล และการสูญหายของข้อมูล

5.2 เมื่อบังคับใช้ มาตรการรักษาความปลอดภัยรวมถึง:

  • การเข้ารหัสข้อมูลขณะส่งและขณะจัดเก็บ
  • การควบคุมการเข้าถึงและกลไกการยืนยันตัวตน
  • การตรวจสอบความปลอดภัยและการประเมินความเสี่ยงเป็นระยะ

6. การจ้างผู้รับจ้างย่อย

6.1 ผู้ประมวลผลข้อมูลจะไม่ว่าจ้างผู้รับจ้างย่อยใด ๆ โดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรก่อนจากลูกค้า

6.2 ลูกค้ายอมรับและอนุญาตให้ผู้ประมวลผลข้อมูลใช้ผู้รับจ้างย่อยที่ได้รับอนุมัติดังนี้:

  • Amazon Web Services
  • Meta
  • Google
  • Amplitude
  • Firebase Analytics
  • Stripe

6.3 ผู้ประมวลผลข้อมูลต้องรับรองว่าผู้รับจ้างย่อยทุกคนปฏิบัติตามข้อผูกพันเดียวกันภายใต้ข้อตกลงนี้

7. สิทธิของเจ้าของข้อมูล

7.1 ผู้ประมวลผลข้อมูลจะช่วยเหลือลูกค้าในการปฏิบัติตามภาระหน้าที่เกี่ยวกับสิทธิของเจ้าของข้อมูล ได้แก่:

  • สิทธิในการเข้าถึงข้อมูลส่วนบุคคล
  • การแก้ไขหรือการลบข้อมูลที่ไม่ถูกต้อง
  • คำขอสิทธิในการโอนย้ายข้อมูล

7.2 หากผู้ประมวลผลข้อมูลได้รับคำขอจากเจ้าของข้อมูล จะต้อง:

  • แจ้งลูกค้าทันที
  • ไม่ตอบกลับโดยไม่ได้รับอนุญาตจากลูกค้า

8. การแจ้งเหตุละเมิดข้อมูล

8.1 ในกรณีเกิดเหตุละเมิดข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลจะต้อง:

  • แจ้งลูกค้าโดยไม่ล่าช้าอย่างไม่สมเหตุสมผล
  • จัดให้มีรายละเอียดทั้งหมดที่จำเป็นเพื่อให้ลูกค้าปฏิบัติตามข้อกำหนดการรายงานทางกฎหมาย
  • ดำเนินมาตรการที่สมเหตุสมผลเพื่อบรรเทาและแก้ไขเหตุละเมิด

9. การโอนข้อมูล

9.1 ผู้ประมวลผลข้อมูลจะไม่โอนข้อมูลส่วนบุคคลของลูกค้าออกนอก EU/EEA เว้นแต่:

  • ลูกค้าให้ความยินยอมเป็นลายลักษณ์อักษรล่วงหน้า
  • มีการใช้มาตรการคุ้มครองที่เหมาะสม เช่น ข้อกำหนดสัญญามาตรฐาน (SCC)

10. การเก็บรักษาและการลบข้อมูล

10.1 หลังจากข้อตกลงหลักสิ้นสุดลง ลูกค้าสามารถขอ:

  • ลบข้อมูลส่วนบุคคลทั้งหมดภายใน 10 วันทำการ
  • หนังสือรับรองการลบเพื่อยืนยันการปฏิบัติตาม

11. สิทธิในการตรวจสอบ

11.1 ลูกค้ามีสิทธิที่จะ:

  • ขอข้อมูลเพื่อยืนยันการปฏิบัติตามข้อกำหนด
  • ดำเนินการตรวจสอบและสำรวจภายในผู้ประมวลผลข้อมูล

12. การเก็บรักษาความลับ

12.1 คู่สัญญาทั้งสองฝ่ายต้องรักษาความลับของข้อมูลทั้งหมดที่แบ่งปันตามข้อตกลงนี้และไม่เปิดเผยโดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรจากอีกฝ่าย ยกเว้นกรณีที่:

  • กฎหมายกำหนดให้เปิดเผย
  • ข้อมูลนั้นเป็นสาธารณะอยู่แล้ว

13. กฎหมายที่ใช้บังคับและเขตอำนาจศาล

13.1 ข้อตกลงนี้อยู่ภายใต้กฎหมายแห่งดูไบ สหรัฐอาหรับเอมิเรตส์

13.2 ข้อพิพาทใด ๆ ที่เกิดจากข้อตกลงนี้จะถูกตัดสินโดยศาลในดูไบ