อัปเดตล่าสุด: พฤษภาคม 14, 2025
เอกสารเพิ่มเติมการคุ้มครองข้อมูลฉบับนี้ (“เอกสารเพิ่มเติม”) เป็นส่วนเสริมของข้อกําหนดและเงื่อนไขในข้อตกลงหลักและรวมอยู่ในข้อตกลงหลัก ในกรณีที่มีข้อขัดแย้งระหว่างภาคผนวกนี้และข้อตกลงอื่นใดระหว่างคู่สัญญาในประเด็นที่ระบุไว้ในที่นี้ ภาคผนวกนี้จะมีผลบังคับ
1.1. คําศัพท์ที่ไม่ได้ให้คําจํากัดความไว้ในที่นี้มีความหมายตามที่กําหนดไว้ในข้อตกลงการให้บริการหลัก คําต่อไปนี้ในภาคผนวกนี้มีความหมายดังต่อไปนี้:
1.2. “ผู้ใช้ที่ได้รับอนุญาต” หมายถึง บุคคลที่ได้รับอนุญาตจากลูกค้าซึ่งอาจรวมถึงพนักงานและ/หรือผู้รับจ้างของลูกค้าในการเข้าถึงและใช้แพลตฟอร์มในนามของลูกค้า ตามการปฏิบัติตามข้อตกลงหลัก
1.3. “CCPA” หมายถึงกฎหมายความเป็นส่วนตัวของผู้บริโภคในรัฐแคลิฟอร์เนีย
1.4. “ข้อมูลลูกค้า” หมายถึงข้อมูลส่วนบุคคลหรือข้อมูลส่วนบุคคลใด ๆ ที่เกี่ยวข้องกับผู้ใช้ที่ได้รับอนุญาตหรือบุคคลธรรมดาที่สามารถระบุตัวตนได้ซึ่งถูกถ่ายโอน ประมวลผล หรือจัดเก็บโดยGlobalization Partnersภิวัตน์ในนามของลูกค้าสําหรับการใช้งานแพลตฟอร์มโดยลูกค้า
1.5. “กฎหมายคุ้มครองข้อมูล” หมายถึง กฎหมายคุ้มครองข้อมูลและความเป็นส่วนตัวใด ๆ ที่คู่สัญญาในข้อตกลงนี้อยู่ภายใต้กฎหมายและที่มีผลบังคับใช้กับบริการที่จัดหาให้ ซึ่งรวมถึงแต่ไม่จํากัดเพียง GDPR, UK GDPR, กฎหมายความเป็นส่วนตัวของสหรัฐอเมริกา (รวมถึงกฎหมายของรัฐและรัฐบาลกลาง) และกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสิงคโปร์
1.6. “GDPR” หมายถึงกฎระเบียบการคุ้มครองข้อมูลทั่วไป (EU) 2016/679 และ/หรือ GDPR ของสหราชอาณาจักร
1.7. “EEA” หมายถึงเขตเศรษฐกิจยุโรป
1.8. “EU SCC” หมายถึง Standard Contractual Clauses สําหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามตามระเบียบข้อบังคับ (EU) 2016/679 ของรัฐสภายุโรปและสภาที่ได้รับอนุมัติจากคณะกรรมาธิการยุโรปการดําเนินการตัดสินใจ (EU) 2021/914ของ 4 มิถุนายน 2021
1.9. “EOR Services” หมายถึง นายจ้างของบริการบันทึกข้อมูลที่Globalization Partnersมอบให้แก่ลูกค้าตามข้อตกลงหลัก
1.10. “ข้อตกลงหลัก” หมายถึงข้อตกลงที่ดําเนินการระหว่างลูกค้าGlobalization Partnersิวัตน์สําหรับการให้บริการ EOR
1.11. “แพลตฟอร์ม” หมายถึง ซอฟต์แวร์ที่เป็นกรรมสิทธิ์ของ Globalization Partners ซึ่งรวมถึงแต่ไม่จํากัดเพียงซอฟต์แวร์ เวอร์ชันมือถือ ซอฟต์แวร์ใด ๆ ที่มีอยู่ในนั้น และข้อมูลใด ๆ ที่มีอยู่ผ่านการใช้ซอฟต์แวร์ที่เป็นกรรมสิทธิ์ของ Globalization Partners https://www.globalization-partners.com/employer-of-record-solutions/ หรือบริการของบุคคลที่สาม รวมถึงการอัปเดต การอัปเกรด แพลตฟอร์มเป็นบริการ เอกสาร คําอธิบายซึ่งระบุไว้ใน
1.12. “ภาคผนวกของสหราชอาณาจักร” หมายถึงภาคผนวกการถ่ายโอนข้อมูลระหว่างประเทศของสหราชอาณาจักรของข้อสัญญามาตรฐานของสหภาพยุโรปที่ออกโดยคณะกรรมาธิการด้านข้อมูลแห่งสหราชอาณาจักร และแนบมาในภาคผนวก 4
1.13. “ผู้ควบคุม” “เจ้าของข้อมูล” “ข้อมูลส่วนบุคคล” “ข้อมูลส่วนบุคคล” “การละเมิดข้อมูล” “ผู้ประมวลผล” “การประมวลผล/การประมวลผล” “การถ่ายโอนที่จํากัด” “ผู้ให้บริการ” และ/หรือข้อกําหนดและแนวคิดอื่นใดที่คล้ายคลึงกันจะมีความหมายตามที่กําหนดไว้ในกฎหมายคุ้มครองข้อมูล
2.1. บทบาทของคู่สัญญาและรายละเอียดของการประมวลผล Globalization Partnersจะต้องประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ควบคุมอิสระ เมื่อGlobalization Partnersิวัตน์ให้บริการ EOR ไม่ว่ากรณีใดก็ตาม คู่สัญญาทั้งสองฝ่ายจะไม่ประมวลผลข้อมูลส่วนบุคคลภายใต้ภาคผนวกนี้ในฐานะผู้ควบคุมร่วม ในกรณีที่ Globalization Partners ดําเนินการเป็นผู้ควบคุมอิสระ Globalization Partners จะต้องปฏิบัติตามข้อผูกพันของผู้ควบคุมภายใต้กฎหมายคุ้มครองข้อมูลเมื่อประมวลผลข้อมูลส่วนบุคคลและจะต้องประมวลผลข้อมูลส่วนบุคคลตามที่อธิบายไว้ในนโยบายความเป็นส่วนตัวของ Globalization Partners https://www.globalization-partners.com/privacy-policy/ ซึ่งมีอยู่ที่ ลูกค้าจะต้องปฏิบัติตามข้อผูกพันของตนภายใต้กฎหมายคุ้มครองข้อมูลเมื่อประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ควบคุม ในขอบเขตที่Globalization Partnersิวัตน์ทําหน้าที่เป็นผู้ประมวลผลในขณะที่ประมวลผลข้อมูลลูกค้า การประมวลผลดังกล่าวจะต้องดําเนินการตามส่วน 3 (“การประมวลผลข้อมูลส่วนบุคคล”) ด้านล่าง
2.2. ความรับผิดชอบและการรับทราบ คู่สัญญาแต่ละฝ่ายอาจประมวลผลข้อมูลส่วนบุคคลภายใต้ภาคผนวกนี้เกี่ยวกับข้อมูลส่วนบุคคลในฐานะผู้ควบคุมข้อมูลอิสระ คู่สัญญาทั้งสองฝ่ายตกลงที่จะปฏิบัติตามข้อผูกพันของตนและตกลงที่จะประมวลผลข้อมูลส่วนบุคคลใด ๆ อย่างเป็นธรรมและถูกต้องตามกฎหมายตามภาคผนวกนี้และกฎหมายคุ้มครองข้อมูลทั้งหมดที่บังคับใช้กับการดําเนินการประมวลผลข้อมูลส่วนบุคคลของคู่สัญญาดังกล่าว คู่สัญญาแต่ละฝ่ายจะต้องตรวจสอบให้แน่ใจว่าการประมวลผลข้อมูลส่วนบุคคลนั้นจํากัดเฉพาะวัตถุประสงค์ของบริการ EOR ที่จัดหาโดยGlobalization Partnersภิวัตน์ และอยู่บนพื้นฐานของมูลเหตุทางกฎหมายสําหรับการประมวลผลที่ชอบด้วยกฎหมาย คู่สัญญาทุกฝ่ายจะช่วยเหลือซึ่งกันและกันในการปฏิบัติตามข้อผูกพันของตนภายใต้กฎหมายคุ้มครองข้อมูล ซึ่งรวมถึงแต่ไม่จํากัดเพียงการช่วยเหลือซึ่งกันและกันหากมีการละเมิดข้อมูลเกิดขึ้น เพื่อตอบสนองต่อคําร้องขอของเจ้าของข้อมูลและ/หรือผู้กํากับดูแล
3.1. ขอบเขต การใช้แพลตฟอร์มโดยลูกค้าและความสัมพันธ์ด้านการจัดการลูกค้าอาจเกี่ยวข้องกับการประมวลผลข้อมูลลูกค้าโดยGlobalization Partnersิวัตน์ในฐานะผู้ประมวลผลข้อมูลหรือผู้ให้บริการในนามของลูกค้า
3.2. คําแนะนํา Globalization Partnersิวัฒน์จะประมวลผลข้อมูลลูกค้าตามคําแนะนําที่บันทึกไว้ของลูกค้า ลูกค้าตกลงว่าเอกสารแนบท้ายนี้ ข้อตกลงหลัก และภาคผนวก 1 ที่แนบมาในที่นี้ จะประกอบด้วยคําแนะนําที่สมบูรณ์ของลูกค้าที่มีต่อGlobalization Partnersิวัตน์เกี่ยวกับการประมวลผลข้อมูลลูกค้า คําแนะนําเพิ่มเติมหรือทางเลือกใด ๆ จะต้องตกลงกันระหว่างคู่สัญญาทั้งสองฝ่ายเป็นลายลักษณ์อักษร รวมถึงค่าใช้จ่าย (ถ้ามี) ที่เกี่ยวข้องกับการปฏิบัติตามคําแนะนําดังกล่าว Globalization Partnersิวัฒน์จะไม่รับผิดชอบต่อการพิจารณาว่าคําแนะนําของลูกค้าเป็นไปตามกฎหมายที่บังคับใช้หรือไม่ อย่างไรก็ตาม หากGlobalization Partnersิวัฒน์มีความเห็นว่าคําสั่งของลูกค้าละเมิดกฎหมายคุ้มครองข้อมูลที่บังคับใช้ Globalization Partnersน์จะแจ้งให้ลูกค้าทราบโดยเร็วที่สุดเท่าที่จะทําได้อย่างสมเหตุสมผลและไม่จําเป็นต้องปฏิบัติตามคําสั่งที่ละเมิดดังกล่าว
3.3. รายละเอียดของการประมวลผล รายละเอียดของสาระสําคัญของการประมวลผล ระยะเวลา ลักษณะและวัตถุประสงค์ และประเภทของข้อมูลลูกค้าและเจ้าของข้อมูลจะระบุไว้ในภาคผนวก 1 ที่แนบมานี้
3.4. การปฏิบัติตามกฎระเบียบ ลูกค้าGlobalization Partnersิวัตน์ตกลงที่จะปฏิบัติตามภาระหน้าที่ของตนภายใต้กฎหมายคุ้มครองข้อมูลที่ใช้บังคับกับข้อมูลลูกค้าที่ประมวลผลตามที่ระบุไว้ในภาคผนวก 1 ลูกค้ามีความรับผิดชอบแต่เพียงผู้เดียวในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลเกี่ยวกับความชอบด้วยกฎหมายในการประมวลผลข้อมูลลูกค้าก่อนที่จะเปิดเผย ถ่ายโอน หรือจัดให้มีข้อมูลลูกค้าใด ๆ Globalization Partnersิวัตน์ เพื่อหลีกเลี่ยงข้อสงสัย ในทุกกรณี ลูกค้าจะต้องได้รับความยินยอมใด ๆ จากเจ้าของข้อมูลสําหรับGlobalization Partnersิวัตน์เพื่อประมวลผลข้อมูลลูกค้าตามที่ลูกค้าสั่ง
3.5. ผู้ประมวลผลช่วง ลูกค้าอนุญาตให้Globalization Partnersิวัตน์แต่งตั้งและใช้ผู้ประมวลผล (“ผู้ประมวลผลช่วง”) เพื่อประมวลผลข้อมูลลูกค้าที่เกี่ยวข้องกับบริการ ผู้ประมวลผลช่วงอาจรวมถึงบุคคลภายนอกหรือสมาชิกใดๆ ของกลุ่มบริษัทGlobalization Partnersภิวัตน์ Globalization Partnersิวัฒน์อาจใช้ผู้ประมวลผลช่วงเหล่านั้นที่Globalization Partnersว่าจ้างแล้ว ณ วันที่ในภาคผนวกนี้ และรายชื่อผู้ประมวลผลช่วงดังกล่าวมีอยู่ในภาคผนวก III ที่แนบมาในที่นี้ ในกรณีที่ผู้ประมวลผลช่วงไม่สามารถปฏิบัติตามภาระหน้าที่ในการคุ้มครองข้อมูลของตนตามที่ระบุไว้ข้างต้น Globalization Partnersจะต้องรับผิดชอบต่อลูกค้าในการปฏิบัติตามภาระหน้าที่ของผู้ประมวลผลช่วง Globalization Partnersิวัฒน์จะแจ้งให้ลูกค้าทราบถึงการเปลี่ยนแปลงใด ๆ ในรายการผู้ประมวลผลช่วงของตน หากภายใน 10 (สิบ) วันหลังจากได้รับคําบอกกล่าวดังกล่าว ลูกค้าคัดค้านโดยชอบด้วยกฎหมายในการเพิ่มหรือลบผู้ประมวลผลช่วงด้วยเหตุผลในการคุ้มครองข้อมูล Globalization Partnersภิวัตน์ไม่สามารถสนับสนุนการปฏิเสธของลูกค้าได้อย่างสมเหตุสมผล คู่สัญญาจะหารือข้อกังวลของลูกค้าโดยสุจริตกับมุมมองในการแก้ไขปัญหา
3.6. มาตรการรักษาความปลอดภัยทางเทคนิคและองค์กร เมื่อพิจารณามาตรฐานอุตสาหกรรม ค่าใช้จ่ายในการดําเนินการ ธรรมชาติ ขอบเขต บริบทและวัตถุประสงค์ของการประมวลผล และสถานการณ์ที่เกี่ยวข้องอื่นใดเกี่ยวกับการประมวลผลข้อมูลลูกค้าภายในแพลตฟอร์ม Globalization Partnersิวัฒน์จะต้องใช้มาตรการรักษาความปลอดภัยทางเทคนิคและองค์กรที่เหมาะสมเพื่อรับรองความปลอดภัย การรักษาความลับ ความซื่อสัตย์ ความพร้อมใช้งานและความยืดหยุ่นของระบบการประมวลผลและบริการที่เกี่ยวข้องกับการประมวลผลข้อมูลลูกค้านั้นเทียบเท่ากับความเสี่ยงที่เกี่ยวข้องกับข้อมูลลูกค้าดังกล่าว Globalization Partnersิวัฒน์จะ (i) ทดสอบและติดตามประสิทธิภาพของการป้องกัน การควบคุม ระบบ และระเบียบวิธีปฏิบัติของตนเป็นระยะ ๆ และ (ii) ระบุความเสี่ยงภายในและภายนอกที่สามารถคาดการณ์ได้อย่างสมเหตุสมผลต่อความปลอดภัย การรักษาความลับ และความสมบูรณ์ของข้อมูลลูกค้า และตรวจสอบให้แน่ใจว่ามีการจัดการกับความเสี่ยงเหล่านี้
3.7. การรักษาความลับ Globalization Partnersิวัฒน์จะต้องตรวจสอบให้แน่ใจว่าบุคคลที่ได้รับอนุญาตให้เข้าถึงข้อมูลลูกค้า (i) ได้ให้คํามั่นว่าจะรักษาความลับหรืออยู่ภายใต้ข้อผูกพันตามกฎหมายที่เหมาะสมในการรักษาความลับ และ (ii) เข้าถึงข้อมูลลูกค้าเฉพาะเมื่อได้รับคําแนะนําที่บันทึกไว้จากGlobalization Partnersิวัตน์เท่านั้น เว้นแต่กฎหมายที่ใช้บังคับกําหนดให้ทําเช่นนั้น
3.8. การละเมิดข้อมูลส่วนบุคคล Globalization Partnersิวัฒน์จะแจ้งให้ลูกค้าทราบโดยไม่ชักช้าหลังจากทราบถึงการละเมิดข้อมูลที่เกี่ยวข้องกับการประมวลผลข้อมูลลูกค้า และจะใช้ความพยายามตามสมควรเพื่อช่วยเหลือลูกค้าในการบรรเทาผลกระทบอันไม่พึงประสงค์จากการละเมิดข้อมูล หากเป็นไปได้
3.9. การโอนระหว่างประเทศ ในการดําเนินธุรกิจตามปกติ Globalization Partnersน์จะได้รับอนุญาตให้ถ่ายโอนข้อมูลลูกค้าไปยังบริษัทในเครือและ/หรือผู้ประมวลผลช่วงทั่วโลก เมื่อทําการถ่ายโอนดังกล่าว Globalization Partnersฒน์จะต้องตรวจสอบให้แน่ใจว่ามีการคุ้มครองข้อมูลลูกค้าที่ถูกถ่ายโอนภายใต้หรือเกี่ยวข้องกับข้อตกลงหลักอย่างเหมาะสม ดังต่อไปนี้:
3.9.1. ในกรณีที่ Globalization ถ่ายโอนข้อมูลลูกค้าไปยังประเทศนอก EEA (ซึ่งไม่ได้อยู่ภายใต้การตัดสินใจที่เพียงพอภายใต้กฎหมายความเป็นส่วนตัว) Globalization Partners จะต้องดําเนินการและปฏิบัติตามข้อผูกพันของตนภายใต้ EU SCC ซึ่งรวมอยู่ในเอกสารแนบท้ายนี้โดยการอ้างอิงนี้และกรอกข้อมูลดังต่อไปนี้:
โมดูล 2 (ผู้ควบคุมผู้ประมวลผล) จะมีผลบังคับใช้เมื่อลูกค้าเป็นผู้ควบคุมข้อมูลส่วนบุคคล Globalization Partnersิวัตน์เป็นผู้ประมวลผลข้อมูลส่วนบุคคล
ในข้อ 7นั้น ให้ใช้ข้อกําหนดการต่อเครื่องที่เป็นทางเลือก
ในข้อ 9ทางเลือก2จะนํามาใช้กับ 10 วัน
ในข้อ ข้อความ11ทางเลือกจะไม่นํามาใช้
ในข้อ 12ข้อเรียกร้องใด ๆ ภายใต้ EU SCC จะอยู่ภายใต้ข้อกําหนดและเงื่อนไขที่กําหนดไว้ในข้อตกลง
ในข้อ 17, ตัวเลือกที่ 1 จะมีผลบังคับใช้, EU SCC จะอยู่ภายใต้การกํากับควบคุมของกฎหมายไอร์แลนด์
ในข้อ 18(ข) ข้อพิพาทจะได้รับการแก้ไขต่อหน้าศาลไอร์แลนด์
ภาคผนวก 1 ของ EU SCC จะถือว่าสมบูรณ์ด้วยข้อมูลที่ระบุไว้ในภาคผนวก 1 ของภาคผนวกนี้
ภาคผนวก 2 ของ EU SCC จะถือว่าเสร็จสมบูรณ์ด้วยข้อมูลที่ระบุไว้ในภาคผนวก 2 ของภาคผนวกนี้ และ
ภาคผนวก III ของ EU SCC จะถือว่าเสร็จสมบูรณ์ด้วยข้อมูลที่ระบุไว้ในภาคผนวก III ของภาคผนวกนี้
3.9.2. ในส่วนที่เกี่ยวข้องกับข้อมูลลูกค้าที่ได้รับการคุ้มครองโดย GDPR ของสหราชอาณาจักร คู่สัญญาได้รับอนุญาตตามกฎหมายให้พึ่งพา EU SCC สําหรับการถ่ายโอนที่ถูกจํากัดจากสหราชอาณาจักรภายใต้ภาคผนวกของสหราชอาณาจักร ซึ่งรวมอยู่ในภาคผนวกนี้โดยการอ้างอิงนี้และกรอกตามที่ระบุไว้ในภาคผนวก IV ที่แนบมานี้ หากหัวข้อนี้3.9.2ไม่มีผลบังคับใช้ บริษัท Globalization Partners Exporting และลูกค้าจะต้องให้ความร่วมมือโดยสุจริตในการใช้มาตรการป้องกันที่เหมาะสมสําหรับการถ่ายโอนข้อมูลส่วนบุคคลดังกล่าวตามที่กําหนดไว้หรืออนุญาตโดย GDPR ของสหราชอาณาจักรโดยไม่ชักช้า
3.9.3. ไม่มีข้อความใดในการตีความในส่วนนี้3.9ที่มีเจตนาที่จะขัดแย้งกับสิทธิหรือความรับผิดชอบของผู้ทําข้อตกลงฝ่ายใดภายใต้ SCC ของสหภาพยุโรปและ/หรือภาคผนวกของสหราชอาณาจักร และในกรณีที่เกิดข้อขัดแย้งดังกล่าว ให้ถือว่า SCC ของสหภาพยุโรปและ/หรือภาคผนวกของสหราชอาณาจักรมีผลบังคับใช้เหนือกว่า
3.10. การลบข้อมูลส่วนบุคคล เมื่อมีการบอกเลิกบริการ (ไม่ว่าด้วยเหตุผลใดก็ตาม) และหากลูกค้าร้องขอเป็นลายลักษณ์อักษร Globalization Partners จะต้องส่งคืนหรือลบข้อมูลลูกค้าที่จัดเก็บไว้ในแพลตฟอร์มโดยเร็วที่สุดเท่าที่จะทําได้ เว้นแต่กฎหมายที่ใช้บังคับกําหนดให้มีการจัดเก็บข้อมูลลูกค้าเป็นระยะเวลานานขึ้น สําหรับการเก็บรักษาดังกล่าว ข้อกําหนดของเอกสารแนบท้ายนี้จะยังคงมีผลบังคับใช้กับข้อมูลลูกค้าดังกล่าวต่อไป
3.11. คําขอของเจ้าของข้อมูล Globalization Partnersัฒน์จะแจ้งให้ลูกค้าทราบทันทีถึงคําขอใด ๆ ของเจ้าของข้อมูลเกี่ยวกับข้อมูลลูกค้า ลูกค้ามีหน้าที่รับผิดชอบในการตอบสนองต่อคําขอดังกล่าว Globalization Partnersิวัฒน์จะช่วยเหลือลูกค้าอย่างสมเหตุสมผลในการตอบสนองต่อคําขอของเจ้าของข้อมูลดังกล่าว ภายใต้ขอบเขตที่ลูกค้าไม่สามารถเข้าถึงข้อมูลลูกค้าที่เกี่ยวข้องได้ในการใช้แพลตฟอร์ม
3.12. คําขอของบุคคลที่สาม หากGlobalization Partnersิวัฒน์ได้รับคําขอจากบุคคลภายนอกหรือคําสั่งศาล ศาล หน่วยงานกํากับดูแล หรือหน่วยงานของรัฐที่มีเขตอํานาจศาลที่มีอํานาจซึ่งGlobalization Partnersิวัตน์อยู่ภายใต้การประมวลผลข้อมูลลูกค้าภายใต้ข้อตกลงนี้ Globalization Partnersภิวัตน์จะส่งคําขอไปยังลูกค้าทันที Globalization Partnersิวัฒน์จะไม่ตอบสนองต่อคําขอดังกล่าวโดยไม่ได้รับการอนุญาตจากลูกค้าก่อน เว้นแต่กฎหมายจะบังคับให้ทําเช่นนั้น Globalization Partnersิวัฒน์จะแจ้งให้ลูกค้าทราบล่วงหน้าก่อนการเปิดเผยข้อมูลลูกค้า เว้นแต่กฎหมายจะห้ามมิให้ทําเช่นนั้น และจะร่วมมือกับลูกค้าตามสมควรเพื่อจํากัดขอบเขตของการเปิดเผยข้อมูลดังกล่าวให้อยู่ในขอบเขตที่กฎหมายกําหนด
3.13. การประเมินผลกระทบต่อการปกป้องข้อมูลและการปรึกษาหารือล่วงหน้า ในขอบเขตที่กําหนดโดยกฎหมายคุ้มครองข้อมูล Globalization Partnersิวัฒน์จะต้องให้ความช่วยเหลือตามสมควรแก่ลูกค้าในการดําเนินการประเมินผลกระทบต่อการคุ้มครองข้อมูลที่เกี่ยวข้องกับการประมวลผลข้อมูลลูกค้าที่ดําเนินการโดยGlobalization Partnersิวัตน์และ/หรือการให้คําปรึกษาที่จําเป็นล่วงหน้ากับหน่วยงานกํากับดูแล Globalization Partnersภิวัฒน์ขอสงวนสิทธิ์ในการเรียกเก็บค่าธรรมเนียมที่สมเหตุสมผลจากลูกค้าสําหรับการให้ความช่วยเหลือดังกล่าว
3.14. การแสดงให้เห็นถึงการปฏิบัติตามกฎระเบียบ Globalization Partnersิวัฒน์จะดําเนินการตรวจสอบภายนอกอย่างสม่ําเสมอเกี่ยวกับความปลอดภัย ความพร้อมใช้งาน ความสมบูรณ์ของการประมวลผล การรักษาความลับ และการควบคุมความเป็นส่วนตัวขององค์กร และจะมอบสําเนารายงานการตรวจสอบหรือการรับรองสรุปล่าสุดให้กับลูกค้าเมื่อมีการร้องขอเป็นลายลักษณ์อักษร หากลูกค้าต้องการตรวจสอบด้วยตนเองนอกเหนือจากการรับรองหรือรายงานของบุคคลที่สามที่ให้ไว้ การตรวจสอบดังกล่าวจะต้องดําเนินการ: 1) ไม่เกินหนึ่งครั้งต่อแต่ละช่วงเวลา 12 (สิบสอง) เดือน ii) ในช่วงเวลาทําการปกติและโดยไม่รบกวนการทํางานของGlobalization Partnersิวัฒน์ในแต่ละวัน 3) โดยแจ้งล่วงหน้าเป็นลายลักษณ์อักษรเป็นเวลาสามสิบ (30) วัน 4) ด้วยค่าใช้จ่ายของลูกค้าแต่เพียงผู้เดียว (รวมถึงเวลาที่ใช้ไปเพื่อช่วยเหลือลูกค้าในระหว่างการตรวจสอบของ Globalization Partner ตามอัตรารายวันของผู้จัดการด้านความปลอดภัย) v) ตามพารามิเตอร์และขอบเขตที่ตกลงร่วมกัน จํากัดเฉพาะขอบเขตของบริการที่เฉพาะเจาะจง ระบบที่ใช้งานและ/หรือการประมวลผลกิจกรรมที่มีการพิจารณาและเฉพาะเจาะจงกับข้อกําหนดที่แท้จริง 6) ขึ้นอยู่กับวันที่ตกลงร่วมกันล่วงหน้า อยู่ภายใต้การเลื่อนตามสมควรโดยลูกค้าตามคําขอที่สมเหตุสมผลของGlobalization Partners และ 7) เป็นไปตามข้อผูกพันและข้อจํากัดในการรักษาความลับทั้งหมด ถึงแม้จะมีการบังคับใช้ต่อไป แต่จะไม่มีสิทธิในการตรวจสอบหลังจากการบอกเลิกข้อตกลงหลัก ยกเว้นภาระหน้าที่ทางกฎหมายที่ลูกค้าจะต้องแสดงให้เห็น ตัวแทนบุคคลที่สามที่ได้รับเลือกให้ดําเนินการตรวจสอบในนามของลูกค้าจะต้องไม่มีผลประโยชน์ในความเป็นเจ้าของหรือมีส่วนเกี่ยวข้องกับหน่วยงานบริการ EOR องค์กรหรือที่ปรึกษาที่เกี่ยวข้อง
3.15. ไม่มีการขายข้อมูล Globalization Partnersฒน์จะต้องไม่ได้มาหรือใช้สิทธิ์หรือผลประโยชน์ใด ๆ เกี่ยวกับข้อมูลส่วนบุคคล ยกเว้นตามที่ระบุไว้ในภาคผนวกนี้ เพื่อหลีกเลี่ยงข้อสงสัย Globalization Partnersิวัฒน์จะไม่เก็บรักษา ใช้ แบ่งปัน หรือเปิดเผยข้อมูลลูกค้าเพื่อวัตถุประสงค์อื่นใดนอกเหนือจากวัตถุประสงค์เฉพาะในการจัดหาแพลตฟอร์มให้กับลูกค้าตามข้อตกลงหลัก Globalization Partnersฒน์จะไม่ขายข้อมูลส่วนบุคคลใด ๆ เนื่องจากคําว่า “ขาย” ระบุไว้ใน CCPA Globalization Partnersิวัฒน์รับรองและรับประกันว่าตนเข้าใจกฎระเบียบ ข้อกําหนด และคําจํากัดความของ CCPA และตกลงที่จะละเว้นจากการดําเนินการใด ๆ ที่จะทําให้การถ่ายโอนข้อมูลส่วนบุคคลไปยังหรือจากGlobalization Partnersิวัตน์มีคุณสมบัติเป็น “การขายข้อมูลส่วนบุคคล” ภายใต้ CCPA
|
ฝ่ายต่าง ๆ |
ผู้ควบคุม / ผู้ส่งออกข้อมูล: หน่วยงานของลูกค้าที่ดําเนินการผู้ |
|
รายละเอียดการติดต่อคู่สัญญา |
รายละเอียดการติดต่อลูกค้าตามที่ระบุไว้ในข้อตกลงหลัก รายละเอียดการติดต่อGlobalization Partnersิวัฒน์ตามที่กําหนดไว้ในข้อตกลงหลัก |
|
กิจกรรมที่เกี่ยวข้องกับข้อมูลที่ถ่ายโอน |
กิจกรรมที่เกี่ยวข้องกับแพลตฟอร์มที่ให้บริการ |
|
กิจกรรมการประมวลผล |
Globalization Partnersิวัฒน์จะประมวลผลข้อมูลลูกค้าในการจัดหาแพลตฟอร์มเพื่อให้บริการแก่ลูกค้า |
|
ระยะเวลาของการประมวลผล |
Globalization Partnersิวัฒน์จะประมวลผลข้อมูลลูกค้าในช่วงระยะเวลาของข้อตกลงหลักและต่อเนื่อง |
|
ลักษณะและวัตถุประสงค์ในการประมวลผล |
ลูกค้าสามารถถ่ายโอนข้อมูลลูกค้าไปยังGlobalization Partnersิวัฒน์ได้ ตามขอบเขตที่ลูกค้ากําหนดและควบคุมตามดุลยพินิจของตนแต่เพียงผู้เดียว Globalization Partnersิวัฒน์จะประมวลผลข้อมูลลูกค้าตามความจําเป็นเพื่อวัตถุประสงค์ในการให้บริการแพลตฟอร์มแก่ลูกค้าตามข้อตกลงหลัก |
|
ประเภทของเจ้าของข้อมูล |
ข้อมูลลูกค้าเกี่ยวข้องกับผู้ใช้งานที่ได้รับอนุญาตของแพลตฟอร์ม ซึ่งอาจรวมถึงพนักงานและ/หรือผู้รับจ้างของลูกค้า นอกเหนือจากบุคคลที่มีข้อมูลส่วนบุคคลเป็นผู้ใช้งานที่ได้รับอนุญาตของแพลตฟอร์ม |
|
ประเภทของข้อมูลส่วนบุคคล |
ข้อมูลลูกค้าที่ถ่ายโอนอาจรวมถึงข้อมูลประเภทต่อไปนี้: รายละเอียดการติดต่อ (เช่น ที่อยู่ทางไปรษณีย์ หมายเลขโทรศัพท์ และอีเมล) ข้อมูลพนักงาน/ผู้รับเหมา (เช่น ตําแหน่งงานและชื่อบริษัท) รายละเอียดลูกค้า (เช่น การออกใบแจ้งหนี้และข้อมูลที่เกี่ยวข้องกับเครดิต) ข้อมูลการใช้งาน (เช่น ข้อมูลเกี่ยวกับอุปกรณ์ของผู้ใช้ที่ได้รับอนุญาตและวิธีการที่อุปกรณ์ดังกล่าวมีปฏิสัมพันธ์กับแพลตฟอร์ม) ข้อมูลตําแหน่งที่ตั้ง (เช่น ตําแหน่งที่ตั้งที่ได้มาจากที่อยู่ IP) ข้อมูลเนื้อหา (เช่น เนื้อหาของไฟล์ของลูกค้าเกี่ยวกับผู้เชี่ยวชาญและการสื่อสาร) ข้อมูลประจําตัว (เช่น รหัสผ่าน คําแนะนํารหัสผ่าน และข้อมูลความปลอดภัยที่คล้ายกันที่ใช้สําหรับการตรวจสอบสิทธิ์และการเข้าถึงบัญชีบนแพลตฟอร์ม) ข้อมูลส่วนบุคคลใด ๆ ที่ได้รับจากผู้ใช้งานที่ได้รับอนุญาต |
|
ข้อมูลประเภทพิเศษ (หากเหมาะสม) |
ไม่มี |
|
การเก็บรักษา |
ข้อมูลลูกค้าจะได้รับการเก็บรักษาไว้อย่างน้อยตราบเท่าที่ระยะเวลาการเก็บรักษาขั้นต่ําที่บังคับใช้ตามกฎหมาย ซึ่งสอดคล้องกับอายุความที่บังคับใช้และเป็นไปตามหลักปฏิบัติทางธุรกิจที่ดี |
|
หน่วยงานกํากับดูแลที่มีอํานาจ |
คณะกรรมการคุ้มครองข้อมูลแห่งไอร์แลนด์ |
|
การโอนไปยังผู้ประมวลผลช่วง |
สําหรับการถ่ายโอนไปยังเครื่องแปลงสัญญาณ สาระสําคัญ ลักษณะ และระยะเวลาในการประมวลผลจะเหมือนกับที่ระบุไว้ข้างต้น |
|
รายละเอียดการติดต่อด้านความเป็นส่วนตัวGlobalization Partners |
privacy@globalization-partners.com
|
Globalization Partnersิวัฒน์ได้รับการรับรองและรับรองเพื่อยืนยันการปฏิบัติตาม2มาตรฐาน SOC โดยผู้ตรวจสอบอิสระ รายงานการควบคุมองค์กรบริการ (SOC) แสดงให้เห็นถึงความมุ่งมั่นของเราในการรักษาความปลอดภัยข้อมูลลูกค้า โปรแกรมรักษาความปลอดภัยของพันธมิตรGlobalization Partnersได้รับการออกแบบมาเพื่อ:
ปกป้องความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลลูกค้าที่อยู่ในความครอบครองของพันธมิตรGlobalization Partnersบาลหรือที่Globalization Partnersลสามารถเข้าถึงได้
ปกป้องจากภัยคุกคามหรืออันตรายที่คาดการณ์ไว้ใด ๆ ต่อการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลลูกค้า
ป้องกันการเข้าถึง การใช้งาน การเปิดเผย การเปลี่ยนแปลง หรือการทําลายข้อมูลลูกค้าโดยไม่ได้รับอนุญาตหรือผิดกฎหมาย
ป้องกันการสูญเสียหรือการทําลายหรือความเสียหายข้อมูลลูกค้าโดยไม่ได้ตั้งใจ และ
ปกป้องข้อมูลตามที่ระบุไว้ในระเบียบข้อบังคับใด ๆ ที่Globalization Partnersิวัตน์อาจได้รับการควบคุม
ต่อไปนี้เป็นคําอธิบายเกี่ยวกับหน้าที่ กระบวนการ การควบคุม ระบบ ขั้นตอน และมาตรการที่Globalization Partnersิวัตน์ได้ดําเนินการเพื่อให้มั่นใจถึงความปลอดภัยของการประมวลผลข้อมูลลูกค้า:
ก) ความเป็นส่วนตัวตั้งแต่ขั้นตอนการออกแบบและเริ่มต้น:Globalization Partners น์คํานึงถึงข้อกําหนดของมาตรา 25 GDPR ในขั้นแนวคิดและการพัฒนาของการพัฒนาผลิตภัณฑ์ กระบวนการและฟังก์ชันการทํางานถูกกําหนดขึ้นในลักษณะที่หลักการคุ้มครองข้อมูล เช่น ความถูกต้องตามกฎหมาย ความโปร่งใส การจํากัดวัตถุประสงค์ การลดปริมาณข้อมูล ฯลฯ ตลอดจนความปลอดภัยของการประมวลผลได้รับการพิจารณาตั้งแต่ระยะแรก
ข) การเข้ารหัสข้อมูลส่วนบุคคล:การตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลจะถูกเก็บไว้ในระบบในลักษณะที่ไม่อนุญาตให้บุคคลที่สามระบุเจ้าของข้อมูลเท่านั้น
การเข้ารหัสฐานข้อมูลและการจัดเก็บข้อมูล:
ในฐานข้อมูลทั้งหมดที่ใช้โดย Globalization Partners จะใช้การเข้ารหัส “ขณะพัก” ตามความทันสมัย เพื่อให้สามารถอ่านข้อมูลจากฐานข้อมูลได้หลังจากการตรวจสอบความถูกต้องที่เหมาะสมในระบบฐานข้อมูลที่เกี่ยวข้องแล้วเท่านั้น
การเข้ารหัสสื่อข้อมูลมือถือ:
ไม่อนุญาตให้ใช้ผู้ให้บริการข้อมูลมือถือสําหรับการจัดเก็บข้อมูลของลูกค้า
การเข้ารหัสผู้ให้บริการข้อมูลบนแล็ปท็อป:
การเข้ารหัสฮาร์ดดิสก์ที่ล้ําสมัยอย่างเหมาะสมติดตั้งอยู่บนแล็ปท็อปของพนักงานทุกคน
การแลกเปลี่ยนข้อมูลและไฟล์ที่เข้ารหัส:
โดยหลักการแล้ว การแลกเปลี่ยนข้อมูลและไฟล์จะถูกเข้ารหัสโดยตรงผ่านแอปพลิเคชันพิเศษ หากข้อมูลส่วนบุคคลหรือข้อมูลที่เป็นความลับต้องถูกถ่ายโอนไปยังเซิร์ฟเวอร์ที่ไม่สามารถส่งผ่านการอัพโหลด HTTPS ที่เข้ารหัส TLS ข้อมูลเหล่านี้จะถูกถ่ายโอนโดยใช้โปรโตคอลการถ่ายโอนไฟล์ที่ปลอดภัย (SFTP) บริการซองจดหมายที่เข้ารหัส หรือกลไกที่เข้ารหัสอื่น ๆ ตามสถานะของศิลปะ
การเข้ารหัสอีเมล:
โดยหลักการแล้ว อีเมลทั้งหมดที่ถูกส่งโดยพนักงานของ Globalization Partners จะถูกเข้ารหัสด้วย TLS อาจมีข้อยกเว้นหากเซิร์ฟเวอร์อีเมลที่ได้รับไม่รองรับ TLS ลูกค้าจะต้องตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์อีเมลที่เกี่ยวข้องที่ใช้ภายในขอบเขตของคําสั่งสนับสนุนการเข้ารหัส TLS
ค) การควบคุมการรับเข้ารักษาตัวในโรงพยาบาลมีวัตถุประสงค์และนํามาใช้เพื่อป้องกันการใช้และการประมวลผลข้อมูลที่ได้รับการคุ้มครองโดยกฎหมายคุ้มครองข้อมูลโดยบุคคลที่ไม่ได้รับการอนุญาต
การใช้วิธีการพิสูจน์ตัวตน
การเข้าถึงข้อมูลส่วนบุคคลมักจะผ่านโปรโตคอลที่เข้ารหัสไว้: SSH, SSL/ TLS, HTTPS หรือโปรโตคอลที่เทียบเท่ากัน ขั้นตอนการพิสูจน์ตัวตนสําหรับระบบไอที: เข้าสู่ระบบ IT สําหรับการพิสูจน์ตัวตนแบบหลายปัจจัย
การบล็อกอัตโนมัติในกรณีที่ไม่มีการใช้งาน
แล็ปท็อปที่ใช้โดยพนักงาน Globalization Partners ที่ถูกล็อกด้วยรหัสผ่านหรือการปกป้องด้วยรหัส PIN เมื่อผู้ใช้ไม่ได้ใช้งาน นอกจากนี้ จะมีการตั้งค่าการล็อกหน้าจออัตโนมัติพร้อมการป้องกันด้วยรหัสผ่านหลังจากไม่มีการใช้งานเป็นเวลา 15 นาที
การใช้ซอฟต์แวร์ป้องกันไวรัส
แล็ปท็อปที่ใช้โดยพนักงาน Globalization Partners มาพร้อมกับซอฟต์แวร์ป้องกันไวรัสที่ทันสมัยซึ่งได้รับการปรับปรุงให้ทันสมัยอยู่เสมอในระบบ IT ด้านการปฏิบัติการหรือธุรกิจทั้งหมด ตามหลักการแล้ว ห้ามใช้งานคอมพิวเตอร์ใดๆ โดยไม่มีเครื่องป้องกันไวรัสถิ่นที่อยู่ เว้นแต่จะมีมาตรการรักษาความปลอดภัยที่ทันสมัยเทียบเท่าอื่นๆ หรือไม่มีความเสี่ยงใดๆ ต้องไม่ปิดใช้งานหรือหลีกเลี่ยงการตั้งค่าความปลอดภัยเริ่มต้น
“นโยบายการทําความสะอาดโต๊ะ”
พนักงานที่เป็น Globalization Partners วัตน์ได้รับคําแนะนําไม่ให้พิมพ์หรือจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลในท้องถิ่น ไม่วางเอกสารงานในสถานที่ที่บุคคลที่สามอาจดู และเก็บเอกสารงานทั้งหมดอย่างเหมาะสม เอกสารที่กฎหมายกําหนดให้Globalization Partnersิวัฒน์เก็บในสําเนาเอกสารถาวรจะถูกเก็บไว้ในตู้ที่ล็อกไว้
ง) การควบคุมการเข้าถึงภายในการควบคุมการเข้าถึงแพลตฟอร์มช่วยให้มั่นใจได้ว่าบุคคลที่ได้รับอนุญาตให้ใช้ระบบประมวลผลจะสามารถเข้าถึงข้อมูลส่วนบุคคลที่อยู่ภายใต้การอนุญาตการเข้าถึงของตนเท่านั้น
บทบาทและการอนุญาต
บทบาทและแพลตฟอร์มการอนุญาต – ผู้ใช้ของลูกค้าที่เข้าถึงลูกค้าสามารถดูและแก้ไขข้อมูลบัญชีลูกค้าได้
บทบาทและแพลตฟอร์มการอนุญาต – ผู้ใช้มืออาชีพด้านการเข้าถึงสามารถดูและแก้ไขข้อมูลทางวิชาชีพของตนเอง
ได้มืออาชีพยังสามารถรับบทบาทการเข้าถึงของลูกค้าได้เมื่อจําเป็น + การอนุมัติ
บทบาทและแพลตฟอร์มการอนุญาต – ผู้ใช้การเข้าถึง
ภายในมีบทบาทที่แตกต่างกัน พวกเขามีการเข้าถึงที่หลากหลายเพื่อสร้าง ดู แก้ไข และอนุมัติสิ่งต่อไปนี้:
ข้อมูลลูกค้า
ข้อมูลการเรียกเก็บเงิน
ข้อมูลพันธมิตร
บุคลากรวิชาชีพบันทึกข้อมูล
การเข้าถึงระบบผู้ดูแลระบบโดยทั่วไปจะจํากัดไว้เฉพาะพนักงานที่ได้รับการฝึกอบรมในด้านการสนับสนุนลูกค้าและการพัฒนาผลิตภัณฑ์
จ) Firewall as a ServiceGlobalizationGlobalization Partners ใช้ไฟร์วอลล์ภายนอกเป็นบริการที่อนุญาตให้หรือบล็อกการเข้าถึงเว็บไซต์เพื่อให้แน่ใจว่าระบบไม่สามารถเข้าถึงเนื้อหาที่เป็นอันตรายและจํากัดการเข้าถึงเนื้อหาที่ไม่เหมาะสม
ฉ) บันทึกการเข้าสู่ระบบแพลตฟอร์มGlobalization Partners จะเก็บรักษาบันทึกกิจกรรมการเข้าสู่ระบบทั้งหมด
ช) การพ้นจากงาน การตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลที่เก็บรวบรวมเพื่อวัตถุประสงค์ที่แตกต่างกันสามารถประมวลผลแยกต่างหากและแยกออกจากข้อมูลและระบบอื่น ๆ ในลักษณะที่ไม่สามารถใช้ข้อมูลเหล่านี้เพื่อวัตถุประสงค์อื่น ๆ ได้โดยไม่ได้วางแผนไว้
การแยกสภาพแวดล้อมการพัฒนา การทดสอบ และการปฏิบัติงาน
ข้อมูลจากสภาพแวดล้อมการทํางานอาจถูกถ่ายโอนไปยังสภาพแวดล้อมการทดสอบหรือการพัฒนาได้ ก็ต่อเมื่อไม่มีการระบุชื่ออย่างสมบูรณ์ก่อนการถ่ายโอน การถ่ายโอนข้อมูลที่ไม่ระบุตัวตนจะต้องได้รับการเข้ารหัสหรือผ่านเครือข่ายที่เชื่อถือได้
การแยกเครือข่าย
Globalization Partners แยกเครือข่ายตามงาน เครือข่ายต่อไปนี้ถูกใช้อย่างถาวร: สภาพแวดล้อมการดําเนินงาน (“การผลิต”) สภาพแวดล้อมการทดสอบ (“การแท็ก” “แซนบ็อกซ์”) สภาพแวดล้อมการพัฒนา (“Dev”) เจ้าหน้าที่ IT ของสํานักงาน นอกเหนือจากเครือข่ายเหล่านี้แล้ว เครือข่ายที่แยกต่างหากเพิ่มเติมจะถูกสร้างขึ้นตามความจําเป็น เช่น สําหรับการกู้คืนการทดสอบและการทดสอบการเจาะระบบ ขึ้นอยู่กับความเป็นไปได้ทางเทคนิค เครือข่ายจะถูกแยกออกทั้งทางกายภาพหรือทางเครือข่ายเสมือน
ซ) การควบคุมความพร้อมGlobalization Partners จะดําเนินการตามขั้นตอนดังต่อไปนี้เพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลได้รับการปกป้องจากการทําลายหรือการสูญหายโดยไม่ได้ตั้งใจ
ขั้นตอนการปกป้องข้อมูล/การสํารองข้อมูล
เพื่อให้แน่ใจว่ามีความพร้อมใช้งานที่เพียงพอ Globalization Partners ิวัฒน์จะใช้สแนปช็อตประจําวันของฐานข้อมูลที่มีการทําซ้ําไปยังภูมิภาคอื่น นอกจากนี้ ยังมีมาตรการเพื่อให้แน่ใจว่าพนักงานที่มีความจําเป็นต้องตรวจสอบข้อมูลจะได้รับสิทธิ์การเข้าถึงชุดข้อมูลแบบจําลองเท่านั้น
การทําซ้ําทางภูมิศาสตร์เกี่ยวกับโครงสร้างพื้นฐานของเซิร์ฟเวอร์ของข้อมูลและการสํารองข้อมูลที่มีประสิทธิภาพ
การจัดการเหตุการณ์ด้าน IT (“การจัดการการตอบสนองต่อเหตุการณ์”)
มีแนวคิดและระเบียบวิธีปฏิบัติที่จัดทําเป็นเอกสารไว้สําหรับการจัดการเหตุการณ์และเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย ซึ่งรวมถึงการวางแผนและการเตรียมการตอบสนองต่อเหตุการณ์ ขั้นตอนในการตรวจสอบ ตรวจหาและวิเคราะห์เหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย และคําจํากัดความของความรับผิดชอบที่เกี่ยวข้องและช่องทางการรายงานในกรณีที่มีการละเมิดการคุ้มครองข้อมูลส่วนบุคคลภายในกรอบข้อกําหนดทางกฎหมาย
Globalization Partnersิวัฒน์ได้วางมาตรการขององค์กรดังต่อไปนี้ เพื่อให้แน่ใจว่าองค์กรดําเนินงานในลักษณะที่สอดคล้องกับข้อกําหนดด้านความเป็นส่วนตัวและการคุ้มครองข้อมูล
ก) คําแนะนําขององค์กร Globalization Partners ได้พัฒนาและกําลังพัฒนาโปรแกรมการกํากับดูแลข้อมูล รวมถึงนโยบาย ขั้นตอน และแนวทางสําหรับพนักงานที่ต้องปฏิบัติตาม การจัดทําเอกสารรวมถึงวิธีการระบุและจัดการปัญหาด้านความเป็นส่วนตัวของข้อมูล แนวทางปฏิบัติที่ดีที่สุดเพื่อให้มั่นใจว่ามีการปฏิบัติตามกฎระเบียบด้านความเป็นส่วนตัว และนโยบายในการจัดการกับเหตุการณ์ด้านความเป็นส่วนตัว
ข) ความมุ่งมั่นในการรักษาความลับและการปกป้องข้อมูลGlobalization Partners น์ได้พัฒนาและกําลังพัฒนาโปรแกรมการกํากับดูแลข้อมูล รวมถึงนโยบาย ขั้นตอน และแนวทางสําหรับพนักงานที่ต้องปฏิบัติตาม พนักงานและผู้รับจ้างทุกคนมีข้อผูกพันเป็นลายลักษณ์อักษรในการรักษาความลับและการคุ้มครองข้อมูล ตลอดจนกฎหมายอื่น ๆ ที่เกี่ยวข้อง พนักงานทุกคนได้รับการฝึกอบรมด้านความเป็นส่วนตัวและความปลอดภัย การตรวจสอบภายในเกี่ยวกับการคุ้มครองข้อมูลและการรักษาความปลอดภัยของข้อมูลจะดําเนินการเป็นประจํา การตรวจสอบจะดําเนินการตามเกณฑ์/แบบแผนการทดสอบทั่วไป พนักงานและผู้รับจ้างของ Globalization Partners จะได้รับคําแนะนําให้ประมวลผลข้อมูลส่วนบุคคลด้วยเหตุผลที่ชอบด้วยกฎหมายเท่านั้น ตามสัญญาที่มีกับลูกค้าและผู้เชี่ยวชาญ โดยพิจารณาตามความยินยอมโดยชัดแจ้งใด ๆ ที่ให้หรือระงับโดยเจ้าของข้อมูล และสอดคล้องกับหน้าที่ตามกฎหมายใด ๆ ขององค์กร
ค) การฝึกอบรมด้านการคุ้มครองข้อมูล พนักงานทุกคนจะได้รับการฝึกอบรมด้านความเป็นส่วนตัวและความปลอดภัย ซึ่งยังคงพร้อมสําหรับการทบทวนได้ทุกเมื่อบนแพลตฟอร์มการฝึกอบรม Globalization Partners
ง) การควบคุมการเข้าถึงทางกายภาพGlobalization Partners มีการควบคุมทางกายภาพต่อไปนี้เพื่อปฏิเสธการเข้าถึงอุปกรณ์ระบบไอทีที่ไม่ได้รับอนุญาตที่ใช้สําหรับการประมวลผล
การป้องกันประตูแบบอิเล็กทรอนิกส์
ประตูทางเข้าสถานประกอบการของสํานักงาน Globalization Partners จะถูกล็อคและรักษาความปลอดภัยทางอิเล็กทรอนิกส์เสมอ ประตูเปิดผ่านเครื่องส่งสัญญาณอิเล็กทรอนิกส์ส่วนตัว
การแจกจ่ายกุญแจที่มีการควบคุม
การจัดสรรกุญแจให้กับพนักงานของ Globalization Partners ที่จัดทําเป็นเอกสารไว้จากส่วนกลางจะเกิดขึ้น ผู้จัดการสํานักงานหรือฝ่ายทรัพยากรบุคคลแต่ละคนสามารถปิดใช้งานเครื่องส่งสัญญาณอิเล็กทรอนิกส์/กุญแจเหล่านี้ได้จากส่วนกลาง
การกํากับดูแลและช่วยเหลือบุคคลภายนอก
ผู้ให้บริการภายนอกและบุคคลที่สามอื่น ๆ อาจได้รับอนุญาตให้เข้าถึงสถานที่ผ่านการอนุญาตล่วงหน้าหรือเมื่อมาพร้อมกับพนักงานของ Globalization Partners เท่านั้น Globalization Partnersิวัฒน์ใช้นโยบายของผู้มาติดต่อที่เป็นลายลักษณ์อักษรเมื่อผู้มาติดต่อได้รับเชิญให้เข้ามายังสถานที่
การรักษาความปลอดภัยของสถานที่ที่มีความต้องการการปกป้องเพิ่มขึ้น
สถานที่หรือตู้ที่มีข้อกําหนดการป้องกันเพิ่มขึ้น เช่น สํานักงานกฎหมายและสถานที่ปฏิบัติงานบางแห่ง มีตู้และลิ้นชักล็อก ตู้และลิ้นชักที่มีเอกสารทางกฎหมาย สัญญา และเอกสารที่เป็นความลับต้องล็อกไว้ตลอดเวลา ยกเว้นเมื่อมีการใช้งาน
ประตูและหน้าต่างที่ปิดอยู่
พนักงานได้รับคําสั่งในองค์กรให้ปิดหรือล็อคหน้าต่างและประตูนอกเวลาทําการ
จ) การกู้คืนGlobalization Partners จะช่วยให้มั่นใจว่าระบบที่ใช้งานจะสามารถกู้คืนได้ในกรณีที่ระบบล้มเหลวทางกายภาพหรือทางเทคนิค
การทดสอบการกู้คืนข้อมูลเป็นประจํา (“Restore-Tests”)
ดําเนินการทดสอบการกู้คืนเต็มรูปแบบเป็นประจําเพื่อให้แน่ใจว่าสามารถกู้คืนได้ในกรณีที่เกิดเหตุฉุกเฉิน/ภัยพิบัติ
แผนฉุกเฉิน (“แนวคิดการกู้คืนจากความเสียหาย”)
มีแนวคิดสําหรับการรักษาเหตุฉุกเฉิน/ภัยพิบัติและแผนฉุกเฉินที่เกี่ยวข้อง Globalization Partnersิวัฒน์รับรองการกู้คืนระบบทั้งหมดบนพื้นฐานของการสํารองข้อมูล / การสํารองข้อมูล โดยปกติภายใน 48 ชั่วโมง
มาตรการตรวจสอบและประเมินผล
การนําเสนอขั้นตอนวิธีการสําหรับการทบทวน การประเมิน และการประเมินประสิทธิภาพของมาตรการทางเทคนิคและองค์กรอย่างสม่ําเสมอ
ฉ) ทีมความเป็นส่วนตัว องค์กรมีสํานักงานความเป็นส่วนตัวของข้อมูลทั่วโลกที่มีหน้าที่วางแผน ดําเนินการ ประเมิน และปรับใช้มาตรการในด้านการปกป้องข้อมูล
ช) การจัดการความเสี่ยง มีกระบวนการสําหรับการวิเคราะห์ การประเมิน และการจัดสรรความเสี่ยง และสําหรับการได้มาซึ่งมาตรการบนพื้นฐานของความเสี่ยงเหล่านี้
ก) มีการดําเนินการตรวจสอบภายในเกี่ยวกับการคุ้มครองข้อมูลและการรักษาความปลอดภัยของข้อมูลอย่างสม่ําเสมอ การตรวจสอบจะดําเนินการตามเกณฑ์/แบบแผนการทดสอบทั่วไป
ข) การตรวจสอบการปฏิบัติตามนโยบายและมาตรฐานด้านความปลอดภัย การปฏิบัติตามแนวทางปฏิบัติ มาตรฐานและข้อกําหนดด้านความปลอดภัยอื่น ๆ ที่เกี่ยวข้องสําหรับการประมวลผลข้อมูลส่วนบุคคลได้รับการตรวจสอบอย่างสม่ําเสมอ หากเป็นไปได้ การตรวจสอบเหล่านี้จะดําเนินการแบบสุ่มและไม่คาดคิด
ค) การตรวจสอบการปฏิบัติตามข้อกําหนดทางเทคนิค การสแกนช่องโหว่แบบอัตโนมัติและแบบแมนนวลเป็นประจําจะดําเนินการโดยแผนกไอทีหรือบุคลากรที่มีคุณสมบัติเหมาะสมอื่น ๆ เพื่อตรวจสอบความปลอดภัยของแอปพลิเคชันและโครงสร้างพื้นฐาน ตลอดจนการพัฒนาผลิตภัณฑ์อย่างสม่ําเสมอ การทดสอบการเจาะระบบอย่างละเอียดจะดําเนินการโดยผู้ให้บริการภายนอกเพื่อตรวจสอบแอปพลิเคชันและโครงสร้างพื้นฐานโดยเฉพาะสําหรับช่องโหว่
ง) การประมวลผลตามคําสั่ง พนักงานของ Globalization Partners ได้รับคําแนะนําให้ประมวลผลข้อมูลส่วนบุคคลด้วยเหตุผลที่ชอบด้วยกฎหมายเท่านั้น ตามสัญญาที่มีกับลูกค้าและผู้เชี่ยวชาญ โดยพิจารณาถึงความยินยอมโดยชัดแจ้งใด ๆ ที่ให้หรือระงับโดยเจ้าของข้อมูล และสอดคล้องกับหน้าที่ตามกฎหมายขององค์กร
จ) การเลือกซัพพลายเออร์อย่างระมัดระวังGlobalization Partners ปฏิบัติตามกระบวนการพิจารณาคุณสมบัติเบื้องต้นของซัพพลายเออร์เมื่อเลือกผู้ขายและซัพพลายเออร์ที่อาจเผชิญกับข้อมูลที่ได้รับการคุ้มครอง กระบวนการนี้ประกอบด้วยข้อเสนอแนะจากฝ่ายการเงินและฝ่ายกฎหมาย/ความเป็นส่วนตัว และรวมการประเมินความเสี่ยง การตรวจสอบคุณสมบัติเบื้องต้นด้านการรักษาความปลอดภัย และขั้นตอนการรับรองเอกสาร ซัพพลายเออร์ที่จะประมวลผลข้อมูลที่ได้รับการคุ้มครองจะต้องแสดงให้เห็นถึงการปฏิบัติตามกฎหมายความเป็นส่วนตัวของข้อมูลที่บังคับใช้ รวมถึงข้อบังคับ 28 GDPR สําหรับข้อมูลที่ครอบคลุม
|
ผู้ประมวลผลย่อย |
ข้อมูลติดต่อ |
คําอธิบายการประมวลผล |
ที่ตั้ง |
|---|---|---|---|
|
|
|
การให้บริการแพลตฟอร์มและการจัดการความสัมพันธ์กับลูกค้า |
US |
|
|
3933 ทะเลสาบวอชิงตัน บูเลอวาร์ด นอร์ทแคโรไล350นา เคิร์กแลนด์ วอชิงตัน 98033สหรัฐอเมริกา |
บริการทางการเงิน |
US |
|
|
พีโอ. บ็อกซ์ 81226ซีแอตเทิล, วอชิงตัน98108-1226, สหรัฐอเมริกา |
การโฮสต์ – ผู้ให้บริการระบบคลาวด์ |
US |
|
|
One Microsoft Way Redmond, Washington 98052 USA |
การสื่อสารเพื่อสนับสนุนกระบวนการทางธุรกิจ (อีเมล) การจัดการบริการ |
US |
|
|
350 ชั้นถนนบุช 13ซานฟรานซิสโก แคลิฟอร์เนีย 94104สหรัฐอเมริกา |
การสนับสนุนกระบวนการทางธุรกิจสําหรับการจัดการบริการ |
US |
|
|
|
การจัดการสัญญา |
สหราชอาณาจักร |
|
|
DocuSign International (EMEA) Ltd, เรียน: ทีมความเป็นส่วนตัว, 5 Hanover Quay, ชั้นล่าง, ดับลิน 2, สาธารณรัฐไอร์แลนด์ |
การจัดการเอกสาร |
ไอร์แลนด์ |
|
|
265 เคมบริดจ์ อเวนิว สวีท 60717 พาโล อัลโต แคลิฟอร์เนีย 94306สหรัฐอเมริกา |
บริการโทรคมนาคม |
US |
|
|
2 Kingdom Street Paddington London W2 6BD สหราชอาณาจักร |
การจัดการสัญญา |
สหราชอาณาจักร |
|
|
Salesforce Tower, 415 Mission Street, ชั้น 3, ซานฟรานซิสโก, แคลิฟอร์เนีย 94105, สหรัฐอเมริกา |
การสนับสนุนกระบวนการทางธุรกิจสําหรับการจัดการลูกค้าสัมพันธ์ (CRM) |
US |
|
|
989 Market St San Francisco, CA 94103, USA |
|
|
ตารางที่ 1: ฝ่ายต่าง ๆ
|
วันที่เริ่มต้น |
วันที่มีผลบังคับใช้ของเอกสารต่อท้ายนี้ |
|
|
คู่สัญญา |
ผู้ส่งออก (ที่ส่งการถ่ายโอนที่จํากัด) |
ผู้นําเข้า (ผู้ที่ได้รับการโอนที่จํากัด) |
|
รายละเอียดของคู่สัญญา |
รายละเอียดนิติบุคคลของลูกค้าตามที่ระบุไว้ในข้อตกลงหลัก |
รายละเอียดนิติบุคคลGlobalization Partnersตามที่กําหนดไว้ในข้อตกลงหลัก |
|
ผู้ติดต่อหลัก |
รายละเอียดการติดต่อลูกค้าตามที่ระบุไว้ในข้อตกลงหลัก |
รายละเอียดการติดต่อGlobalization Partnersิวัฒน์ตามที่กําหนดไว้ในข้อตกลงหลักและรายละเอียดการติดต่อความเป็นส่วนตัวGlobalization Partnersิบาลตามที่กําหนดไว้ในภาคผนวก I ข้างต้น |
ตาราง 2: SCC โมดูลและข้อสัญญาที่เลือก
|
ภาคผนวก EU SCC |
เวอร์ชั่นของ EU SCC ที่ได้รับอนุมัติซึ่งรวมอยู่ในหัวข้อ 3.9ของภาคผนวก รวมถึงข้อมูลภาคผนวกที่แนบมากับภาคผนวกนี้ |
ตารางที่ 3: ข้อมูลภาคผนวก“ข้อมูลภาคผนวก” หมายถึงข้อมูลที่ต้องให้สําหรับโมดูลที่เลือกตามที่ระบุไว้ในภาคผนวกของ SCC ที่ได้รับอนุมัติในสหภาพยุโรป (นอกเหนือจากคู่สัญญา) และสําหรับภาคผนวกนี้ระบุไว้ใน:
ภาคผนวก 1A: รายชื่อคู่สัญญา: ภาคผนวก I
ภาคผนวก 1B : คําอธิบายการโอน: ภาคผนวก I
ภาคผนวก 2: มาตรการทางเทคนิคและองค์กร รวมถึงมาตรการทางเทคนิคและองค์กรเพื่อรับรองความปลอดภัยของข้อมูล: ภาคผนวก 2
ภาคผนวก III: รายการผู้ประมวลผลช่วง: ภาคผนวก III
ตารางที่ 4: การสิ้นสุดภาคผนวกนี้เมื่อมีการเปลี่ยนแปลงภาคผนวกที่ได้รับอนุมัติ
|
การสิ้นสุดภาคผนวกนี้เมื่อภาคผนวกที่ได้รับอนุมัติมีการเปลี่ยนแปลง |
ฝ่ายใดอาจยุติภาคผนวกนี้ตามที่กําหนดไว้ในมาตรา 19: |
|
ข้อกําหนดบังคับ |
ส่วนที่ 2: ข้อกําหนดบังคับของภาคผนวกที่ได้รับอนุมัติ เป็นแม่แบบภาคผนวก ข.1.0 ที่ออกโดย ICO และวางต่อหน้ารัฐสภาตามพระราชบัญญัติการคุ้มครองs119Aข้อมูล 2018 พ.ศ. 2 กุมภาพันธ์ 2022เนื่องจากมีการแก้ไขภายใต้หมวด18ของข้อกําหนดบังคับเหล่านั้น |
