โลโก้ G-P​​ 
ขอข้อเสนอ​​ 

ภาษาความเป็นส่วนตัวของ MSA​​ 

อัปเดตล่าสุด: มิถุนายน 26, 2026​​ 

ภาคผนวกการคุ้มครองข้อมูล​​ 

ลูกค้าและ G-P เป็นคู่สัญญาในข้อตกลงหลัก หรือข้อตกลงที่มีลักษณะและวัตถุประสงค์คล้ายคลึงกัน (ต่อไปนี้เรียกว่า “ข้อตกลงหลัก”) DPA นี้เสริมข้อกำหนดและเงื่อนไขในข้อตกลงหลักและถูกรวมไว้ในนั้น ในกรณีที่เกิดความขัดแย้งระหว่าง DPA ฉบับนี้และข้อตกลงอื่น ๆ ระหว่างคู่สัญญาในประเด็นที่ระบุไว้ในที่นี้ DPA นี้จะถือผลบังคับใช้ หากลูกค้ามีข้อตกลงเพิ่มเติมเกี่ยวกับข้อมูลซึ่งได้ลงนามและมีผลบังคับใช้กับ G-P อยู่แล้ว ข้อตกลงดังกล่าวจะมีผลเหนือกว่า DPA ฉบับนี้ และ DPA ฉบับนี้จะไม่มีผลบังคับใช้ เว้นแต่จะมีการตกลงเป็นอย่างอื่นเป็นลายลักษณ์อักษรระหว่างลูกค้าและ G-P​​ 
 

1. คําจํากัดความ​​  

คำศัพท์ที่ไม่ได้นิยามไว้ในที่นี้ ให้มีความหมายตามที่ระบุไว้ในข้อตกลงหลัก คำต่อไปนี้ใน DPA นี้มีความหมายดังต่อไปนี้:​​ 
1.1 "​​ ผู้ใช้ที่ได้รับอนุญาต​​ “หมายถึงบุคคลที่ได้รับอนุญาตจากลูกค้า ซึ่งอาจรวมถึงพนักงานของลูกค้า และ/หรือ ผู้จัดการของลูกค้า ให้เข้าถึงและใช้งาน GPP ในนามของลูกค้า ตามการลงนามในข้อตกลงหลัก”​​ 
1.2 "​​ ข้อมูลลูกค้า​​ “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลส่วนบุคคลใดๆ ที่เกี่ยวข้องกับผู้ใช้ที่ได้รับอนุญาต หรือบุคคลธรรมดาที่สามารถระบุตัวตนได้ ซึ่ง G-P ถ่ายโอน ประมวลผล หรือจัดเก็บในนามของลูกค้าที่เกี่ยวข้องกับบริการสำหรับการใช้งาน GPP โดยลูกค้า​​ 
1.3 "​​ การคุ้มครองข้อมูล​​  กฎหมาย​​ " หมายถึง การคุ้มครองข้อมูลและกฎหมายความเป็นส่วนตัวใดๆ ที่คู่สัญญาในข้อตกลงนี้อยู่ภายใต้บังคับ และมีผลบังคับใช้กับบริการที่มีให้ รวมถึง (หากมี) แต่ไม่จํากัดเพียง ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป, สหราชอาณาจักร ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป, กฎหมายคุ้มครองข้อมูลของสวิส, กฎหมายความเป็นส่วนตัวของสหรัฐอเมริกา (รวมถึงกฎหมายของรัฐและรัฐบาลกลาง) และ LGPD ของบราซิล​​ 
1.4 "​​ บริการตัวแทนนายจ้าง​​ ” หมายถึงการให้บริการตัวแทนนายจ้าง​​ 
1.5 "​​ ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป​​ ” หมายถึง ระเบียบว่าด้วยข้อมูลทั่วไป (EU) 2016/679​​ 
1.6 "​​ จีพีพี​​ " หมายถึง ซอฟต์แวร์ที่เป็นกรรมสิทธิ์ของ G-P ซึ่งรวมถึงแต่ไม่จํากัดเพียง ซอฟต์แวร์ เวอร์ชันมือถือ ซอฟต์แวร์ใดๆ ที่มีอยู่ในนั้น และข้อมูลใดๆ ที่มีให้ผ่านการใช้ซอฟต์แวร์ที่เป็นกรรมสิทธิ์ของ G-P หรือบริการของบุคคลที่สาม รวมถึงการอัปเดต การอัปเกรด แพลตฟอร์มเป็นบริการ และเอกสารประกอบ​​ 
1.7 "​​ EEA​​ ” หมายถึงพื้นที่เศรษฐกิจยุโรป​​ 
1.8 "​​ แอลจีพีดี​​ “หมายถึงกฎหมายบราซิลฉบับที่ 13.709 กฎหมายทั่วไปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ตามที่อาจมีการแก้ไข เปลี่ยนแปลง หรือแทนที่​​ 
1.9 "​​ นโยบายความเป็นส่วนตัว​​ “หมายถึงนโยบายความเป็นส่วนตัวของ G-Pซึ่งมีการปรับปรุงเป็นระยะ และสามารถดูได้ที่”​​   
1.10 "​​ ข้อมูลของผู้เชี่ยวชาญ​​ " หมายถึง ข้อมูลส่วนบุคคลของผู้ประกอบวิชาชีพที่ประมวลผลโดย G-P ในระหว่างการให้บริการตัวแทนนายจ้างแก่ลูกค้า​​ 
1.11 "​​ บริการรับส่งแบบจํากัด"​​  หมายถึงการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศนอกเขตเศรษฐกิจยุโรป สหราชอาณาจักร สวิตเซอร์แลนด์ หรือบราซิลที่ไม่อยู่ภายใต้การตัดสินใจที่เพียงพอภายใต้กฎหมายคุ้มครองข้อมูลที่บังคับใช้ ดังนั้นจึงต้องมีมาตรการคุ้มครองที่เหมาะสมภายใต้กฎหมายการคุ้มครองข้อมูลที่บังคับใช้​​ 
1.12 "​​ บริการ”​​  หมายความ​​  บริการ​​  ที่จะจัดหาโดย G-P ให้กับลูกค้าภายใต้ข้อตกลงหลัก ซึ่งอาจรวมถึงการให้บริการตัวแทนนายจ้าง และการเข้าถึงและการใช้งาน GPP​​ 
1.13 "​​ ข้อสัญญามาตรฐาน"​​  หรือ​​  " ไทยพาณิชย์ "​​  หมายถึง (i) ในกรณีที่ระเบียบว่าด้วยข้อมูลทั่วไปใช้บังคับ, ข้อสัญญามาตรฐานที่แนบท้ายการตัดสินใจดำเนินการของคณะกรรมาธิการยุโรป (EU) 2021/914 ของ 4 มิถุนายน 2021 ข้อสัญญามาตรฐานสำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามตามข้อบังคับ (EU) 2016/679 ของรัฐสภายุโรปและคณะมนตรี ดูได้ที่​​   ("SCC ของสหภาพยุโรป"); (ii) ในกรณีที่สหราชอาณาจักรจัดว่าด้วยข้อมูลทั่วไปใช้บังคับ ส่วนคำสั่งข้อมูลมาตรฐานที่เกี่ยวข้องที่นำมาใช้ตามมาตรา 46(2)(c) หรือ (d) โดยที่สหราชอาณาจักรกีฬาว่าด้วยรายงานทั่วไปข้อมูลหมายถึงภาคผนวกการถ่ายโอนข้อมูลระหว่างประเทศ (“ภาคผนวกของสหราชอาณาจักร”) ของข้อสัญญามาตรฐานของสหภาพยุโรปที่ออกโดยสำนักงานกรรมาธิการข้อมูลภายใต้ s.119A(1) ของกฎหมายคุ้มครองข้อมูล 2018 เนื่องจากภาคผนวกของสหราชอาณาจักรดังกล่าวอาจมีการแก้ไขภายใต้มาตรา 18 ในนั้น ("UK SCCs"); (iii) ในกรณีที่กฎหมายคุ้มครองข้อมูลของสวิตเซอร์แลนด์มีผลบังคับใช้ ให้ใช้ข้อกำหนดมาตรฐานข้อมูลที่เกี่ยวข้องซึ่งออก อนุมัติ หรือรับรองโดยสำนักงานคณะกรรมการคุ้มครองข้อมูลและสารสนเทศแห่งสหพันธรัฐสวิตเซอร์แลนด์ (“Swiss SCCs”) ในกรณีที่กฎหมายคุ้มครองข้อมูลของบราซิลมีผลบังคับใช้ ให้ใช้ข้อกำหนดสัญญามาตรฐานที่เกี่ยวข้องซึ่งแนบมากับมติ CD/ANPD เลขที่ 19/2024 ที่ประกาศใช้โดยหน่วยงานคุ้มครองข้อมูลแห่งชาติของบราซิล (“ANPD”) ตามที่อาจมีการแก้ไขเพิ่มเติมเป็นครั้งคราว (“Brazil SCCs”)​​ 
1.14 "​​ กฎหมายคุ้มครองข้อมูลของสวิส​​ " หรือ​​  "เอฟดีพี"​​  หมายถึง (i) พระราชบัญญัติคุ้มครองข้อมูลของรัฐบาลกลางสวิส ("​​ FDPA​​ ”); (ii) พระราชบัญญัติว่าด้วยการคุ้มครองข้อมูลของรัฐบาลกลาง ("​​ FODP​​ “); และ (iii) กฎหมายการคุ้มครองข้อมูลระดับชาติใด ๆ ที่จัดทําขึ้นภายใต้ ตาม แทนที่ หรือสืบทอดต่อมา และกฎหมายใด ๆ ที่แทนที่หรือปรับปรุงกฎหมายใด ๆ ที่กล่าวมาข้างต้น​​ 
1.15 "​​ ภาคผนวกสหราชอาณาจักร​​ " หมายถึงภาคผนวกการถ่ายโอนข้อมูลระหว่างประเทศของสหราชอาณาจักรในข้อสัญญามาตรฐานของสหภาพยุโรปที่ออกโดยคณะกรรมาธิการข้อมูลข่าวสารของสหราชอาณาจักร​​ 
1.16 "​​ กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักร"​​  หมายถึง ระเบียบว่าด้วยข้อมูลทั่วไปตามที่บันทึกไว้ในกฎหมายสหราชอาณาจักรโดยอาศัยมาตรา 3 ของพระราชบัญญัติสหภาพยุโรป (ถอนตัว) ของสหราชอาณาจักร 2019 ("ระเบียบสหราชอาณาจักรว่าด้วยข้อมูลทั่วไป") และพระราชบัญญัติคุ้มครองข้อมูล 2018 (รวมกันเรียกว่า "กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักร")​​ 
1.17 "​​ กฎหมายความเป็นส่วนตัวของสหรัฐอเมริกา​​ " หมายถึง กฎหมาย คําสั่ง ข้อบังคับ และคําแนะนําด้านกฎระเบียบของรัฐที่บังคับใช้ของสหรัฐอเมริกา (US) ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงแต่ไม่จํากัดเพียง: (ก) CCPA; (ข) พระราชบัญญัติคุ้มครองข้อมูลผู้บริโภคของเวอร์จิเนีย (ค) พระราชบัญญัติความเป็นส่วนตัวของโคโลราโด (ง) พระราชบัญญัติของคอนเนตทิคัตเกี่ยวกับความเป็นส่วนตัวของข้อมูลและการตรวจสอบออนไลน์ (จ) พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคของยูทาห์ และ (ฉ) กฎหมายของรัฐที่คล้ายคลึงกันทั้งหมด​​ 
1.18 "​​ ผู้ควบคุม" "เจ้าของข้อมูล" "ข้อมูลส่วนบุคคล" "ข้อมูลส่วนบุคคล" "การละเมิดข้อมูล" "ผู้ประมวลผล" "การประมวลผล/การประมวลผล" "การถ่ายโอนแบบจํากัด" "ผู้ให้บริการ"​​  และ/หรือคำและแนวคิดอื่นใดที่คล้ายคลึงกัน ให้มีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล​​ 
 
 

2. ความสัมพันธ์ของตัวควบคุมอิสระ - ตัวควบคุม​​  

2.1​​  บทบาทของฝ่ายต่างๆ​​  เมื่อ G-P ให้บริการตัวแทนนายจ้างแก่ลูกค้า G-P จะถือว่ามีบทบาทเป็นนายจ้างตามกฎหมายสําหรับบุคคลใด ๆ ที่ลูกค้าเลือก ("ผู้เชี่ยวชาญ") ให้ได้รับการว่าจ้าง ในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคลของผู้ประกอบวิชาชีพดังกล่าว G-P เป็นผู้ควบคุมอิสระในระหว่างความสัมพันธ์การจ้างงาน เกี่ยวกับข้อมูลส่วนบุคคลของ Professional ที่ลูกค้าเก็บรวบรวมและใช้เพื่อวัตถุประสงค์ของตนเอง ลูกค้ายังเป็นผู้ควบคุมอิสระที่มีภาระผูกพันด้านความเป็นส่วนตัวที่เป็นอิสระ การแลกเปลี่ยนข้อมูลส่วนบุคคลของผู้เชี่ยวชาญระหว่าง G-P และลูกค้าอยู่ภายใต้ความสัมพันธ์อิสระระหว่างผู้ควบคุมกับผู้ควบคุม และบทบัญญัติของส่วนที่ 2 นี้ ("ความสัมพันธ์ระหว่างผู้ควบคุมอิสระและผู้ควบคุม") จะมีผลบังคับใช้ ไม่ว่าในกรณีใดคู่สัญญาจะไม่ประมวลผลข้อมูลส่วนบุคคลภายใต้ DPA นี้ในฐานะผู้ควบคุมร่วม​​ 
2.2​​  ความรับผิดชอบและการแสดงความขอบคุณ​​ .คู่สัญญาในฐานะผู้ควบคุม จะ:​​ 
2.2.1 ปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของผู้เชี่ยวชาญ​​ 
2.2.2 ประมวลผลและแบ่งปันข้อมูลส่วนบุคคลของผู้เชี่ยวชาญอย่างยุติธรรมและถูกกฎหมายเพื่อวัตถุประสงค์ (แล้วแต่กรณี) ดำเนินการหรือรับบริการตัวแทนนายจ้างเพื่อผลประโยชน์ที่ชอบด้วยกฎหมายของตนเอง​​ 
2.2.3 ตรวจสอบให้แน่ใจว่าหลักฐานการประมวลผลที่ถูกกฎหมายมีผลบังคับใช้กับการแบ่งปันข้อมูลส่วนบุคคลของมืออาชีพระหว่างคู่สัญญา​​ 
2.2.4 ช่วยเหลือซึ่งกันและกันในการปฏิบัติตามภาระผูกพันของตนภายใต้กฎหมายคุ้มครองข้อมูล ซึ่งรวมถึงแต่ไม่จํากัดเพียง การช่วยเหลือซึ่งกันและกันหากเกิดการละเมิดข้อมูล​​  
 

3. ความสัมพันธ์ของตัวควบคุม - โปรเซสเซ​​ 

3.1​​  บทบาทของคู่สัญญา​​ . นอกจากนี้ G-P ยังนําเสนอซอฟต์แวร์ต่างๆ เป็นผลิตภัณฑ์บริการผ่าน GPP ซึ่ง G-P ช่วยให้ลูกค้าสามารถจัดการความสัมพันธ์กับผู้เชี่ยวชาญเหล่านั้นได้ เมื่อ G-P ให้ลูกค้าเข้าถึง GPP แล้ว G-P จะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับบัญชีที่อัปโหลดไปยัง GPP โดยผู้ใช้ที่ได้รับอนุญาตที่ได้รับการแต่งตั้งของลูกค้าของ GPP และลูกค้าเป็นผู้ควบคุมข้อมูลดังกล่าว และบทบัญญัติของส่วนนี้ 3 ("ความสัมพันธ์ระหว่างผู้ควบคุมและผู้ประมวลผล") จะมีผลบังคับใช้​​ 
3.2​​  คําแนะนํา​​  G-P จะประมวลผลข้อมูลลูกค้าตามคําแนะนําที่เป็นเอกสารของลูกค้า  ลูกค้าตกลงว่า DPA ข้อตกลงหลัก และภาคผนวก I ที่แนบมาด้านล่างนี้ประกอบด้วยคําแนะนําที่สมบูรณ์ของลูกค้าต่อ G-P เกี่ยวกับการประมวลผลข้อมูลลูกค้า  คําแนะนําเพิ่มเติมหรือทางเลือกใด ๆ จะต้องตกลงกันเป็นลายลักษณ์อักษรระหว่างคู่สัญญา รวมถึงค่าใช้จ่าย (ถ้ามี) ที่เกี่ยวข้องกับการปฏิบัติตามคําแนะนําดังกล่าว  ลูกค้าจะต้องตรวจสอบให้แน่ใจว่าคําแนะนําของตนเป็นไปตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้ ลูกค้ารับทราบว่า G-P ไม่มีหน้าที่รับผิดชอบในการพิจารณาว่ากฎหมายใดมีผลบังคับใช้กับธุรกิจของลูกค้า ลูกค้าจะต้องตรวจสอบให้แน่ใจว่าการประมวลผลข้อมูลลูกค้าของ G-P เมื่อดําเนินการตามคําแนะนําของลูกค้าจะไม่ทําให้ G-P ละเมิดกฎหมายที่บังคับใช้ รวมถึงกฎหมายคุ้มครองข้อมูลที่บังคับใช้ อย่างไรก็ตาม หาก G-P มีความเห็นว่าคําสั่งของลูกค้าละเมิดกฎหมายคุ้มครองข้อมูลที่บังคับใช้ G-P จะแจ้งให้ลูกค้าทราบโดยเร็วที่สุดเท่าที่จะทําได้ตามสมควร และไม่จําเป็นต้องปฏิบัติตามคําสั่งที่ละเมิดดังกล่าว​​  
3.3​​  รายละเอียดการประมวลผล​​ รายละเอียดเกี่ยวกับเรื่องที่ดำเนินการประมวลผล ระยะเวลา ลักษณะ และวัตถุประสงค์ ตลอดจนประเภทของข้อมูลลูกค้าและเจ้าของข้อมูล เป็นไปตามที่ระบุไว้ในภาคผนวกที่ 1 ที่แนบมาด้วยนี้​​   
3.4​​  การปฏิบัติตามกฎระเบียบ​​  ลูกค้าและ G-P ตกลงที่จะปฏิบัติตามภาระผูกพันของตนภายใต้กฎหมายคุ้มครองข้อมูลที่บังคับใช้กับข้อมูลลูกค้าที่ได้รับการประมวลผลตามที่ระบุไว้ในภาคผนวก 1 ลูกค้ามีหน้าที่รับผิดชอบแต่เพียงผู้เดียวในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลเกี่ยวกับความชอบด้วยกฎหมายของการประมวลผลข้อมูลลูกค้าก่อนที่จะเปิดเผย ถ่ายโอน หรือเปิดเผยข้อมูลลูกค้าใด ๆ ให้แก่ G-P  เพื่อหลีกเลี่ยงข้อสงสัย ในทุกกรณี ลูกค้าจะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเพื่อให้ G-P ประมวลผลข้อมูลลูกค้าตามที่ลูกค้ากําหนด​​ 
3.5​​  โปรเซสเซอร์ย่อย​​ . ลูกค้าอนุญาตให้ G-P แต่งตั้งและใช้ผู้ประมวลผล ("ผู้ประมวลผลช่วง") เพื่อประมวลผลข้อมูลลูกค้าที่เกี่ยวข้องกับบริการ  ผู้ประมวลผลช่วงอาจรวมถึงบุคคลที่สามหรือสมาชิกในกลุ่มบริษัท G-P G-P อาจใช้ผู้ประมวลผลช่วงที่ G-P ว่าจ้างไว้แล้วต่อไป ณ วันที่ของ DPA นี้ และรายชื่อผู้ประมวลผลช่วงดังกล่าวมีอยู่ในภาคผนวก III ที่แนบมาด้านล่างนี้ ในกรณีที่ผู้ประมวลผลช่วงไม่ปฏิบัติตามภาระผูกพันด้านการคุ้มครองข้อมูลตามที่ระบุไว้ข้างต้น G-P จะต้องรับผิดชอบต่อลูกค้าสําหรับการปฏิบัติตามภาระผูกพันของผู้ประมวลผลช่วง G-P จะแจ้งให้ลูกค้าทราบถึงการเปลี่ยนแปลงรายชื่อผู้ประมวลผลช่วงผ่าน GPP หากภายใน 10 (สิบ) วันนับจากวันที่ได้รับหนังสือแจ้งนั้น ลูกค้าคัดค้านการเพิ่มหรือลบผู้ประมวลผลช่วงด้วยกฎหมายด้วยเหตุผลในการคุ้มครองข้อมูล และ G-P ไม่สามารถรองรับการคัดค้านของลูกค้าได้อย่างสมเหตุสมผล คู่สัญญาทั้งสองฝ่ายจะหารือเกี่ยวกับข้อกังวลของลูกค้าโดยสุจริตใจเพื่อแก้ไขปัญหา​​ 
3.6​​  มาตรการรักษาความปลอดภัยทางเทคนิคและองค์กร​​ . โดยคํานึงถึงมาตรฐานอุตสาหกรรม ค่าใช้จ่ายในการดําเนินการ ลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการประมวลผล และสถานการณ์ที่เกี่ยวข้องอื่น ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลลูกค้า G-P จะใช้มาตรการรักษาความปลอดภัยทางเทคนิคและองค์กรที่เหมาะสมเพื่อให้มั่นใจถึงความปลอดภัย การรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความยืดหยุ่นของระบบการประมวลผลและบริการที่เกี่ยวข้องกับการประมวลผลข้อมูลลูกค้านั้นสอดคล้องกับความเสี่ยงในส่วนที่เกี่ยวกับ ข้อมูลลูกค้าดังกล่าว ตามรายละเอียดในภาคผนวก II ที่แนบมาด้วย  G-P จะ (i) ทดสอบและตรวจสอบประสิทธิภาพของการป้องกัน การควบคุม ระบบ และขั้นตอนเป็นระยะ และ (ii) ระบุความเสี่ยงภายในและภายนอกที่คาดการณ์ได้อย่างสมเหตุสมผลต่อความปลอดภัย การรักษาความลับ และความสมบูรณ์ของข้อมูลลูกค้า และตรวจสอบให้แน่ใจว่าความเสี่ยงเหล่านี้ได้รับการแก้ไข​​  
3.7​​  การรักษาความลับ​​ G-P จะต้องตรวจสอบให้แน่ใจว่าบุคคลที่ได้รับอนุญาตให้เข้าถึงข้อมูลลูกค้า (i) ได้ให้คำมั่นสัญญาว่าจะรักษาความลับ หรืออยู่ภายใต้ข้อผูกพันตามกฎหมายที่เหมาะสมในการรักษาความลับ และ (ii) เข้าถึงข้อมูลลูกค้าได้เฉพาะเมื่อได้รับคำสั่งเป็นลายลักษณ์อักษรจาก G-P เท่านั้น เว้นแต่กฎหมายที่เกี่ยวข้องจะกำหนดให้ต้องกระทำเช่นนั้น​​ 
3.8​​  การละเมิดข้อมูลส่วนบุคคล​​  G-P จะแจ้งให้ลูกค้าทราบโดยไม่ชักช้าหลังจากทราบถึงการละเมิดข้อมูลที่เกี่ยวข้องกับการประมวลผลข้อมูลของลูกค้า และจะใช้ความพยายามตามสมควรเพื่อช่วยเหลือลูกค้าในการบรรเทาผลกระทบจากการละเมิดข้อมูลหากเป็นไปได้​​ .​​ 
3.9​​  การลบข้อมูลส่วนบุคคล​​   เมื่อบริการถูกยกเลิก (ไม่ว่าด้วยเหตุผลใดก็ตาม) G-P จะดำเนินการคืนหรือลบข้อมูลลูกค้าที่จัดเก็บไว้ใน GPP โดยเร็วที่สุดเท่าที่จะเป็นไปได้ เว้นแต่กฎหมายที่เกี่ยวข้องจะกำหนดให้ต้องเก็บรักษาข้อมูลลูกค้าไว้เป็นระยะเวลานานกว่านั้น สำหรับการเก็บรักษาข้อมูลดังกล่าว บทบัญญัติของข้อตกลงคุ้มครองข้อมูลส่วนบุคคลฉบับนี้จะยังคงมีผลบังคับใช้กับข้อมูลลูกค้าดังกล่าวต่อไป​​ 
3.10​​  คำขอข้อมูลส่วนบุคคล​​ G-P จะแจ้งให้ลูกค้าทราบโดยทันทีเกี่ยวกับคำขอใดๆ จากเจ้าของข้อมูลเกี่ยวกับข้อมูลลูกค้า ลูกค้าเป็นผู้รับผิดชอบในการตอบสนองต่อคำขอดังกล่าว G-P จะให้ความช่วยเหลือแก่ลูกค้าอย่างเหมาะสมในการตอบสนองต่อคำขอของเจ้าของข้อมูลดังกล่าว ในกรณีที่ลูกค้าไม่สามารถเข้าถึงข้อมูลลูกค้าที่เกี่ยวข้องในการใช้งาน GPP ได้​​  
3.11​​  คำขอจากบุคคลที่สาม​​ หาก G-P ได้รับคำร้องขอจากบุคคลที่สาม หรือคำสั่งจากศาล ศาลปกครอง หน่วยงานกำกับดูแล หรือหน่วยงานราชการที่มี G-P หน้าที่เกี่ยวกับการประมวลผลข้อมูลลูกค้าภายใต้ข้อตกลงนี้ G-P จะส่งต่อคำร้องขอดังกล่าวไปยังลูกค้าโดยทันที G-P จะไม่ตอบสนองต่อคำขอเหล่านั้นหากไม่ได้รับการอนุญาตจากลูกค้าก่อน เว้นแต่จะถูกบังคับตามกฎหมายให้กระทำเช่นนั้น เว้นแต่จะถูกห้ามโดยกฎหมาย G-P จะแจ้งให้ลูกค้าทราบล่วงหน้าก่อนเปิดเผยข้อมูลลูกค้า และจะให้ความร่วมมือกับลูกค้าอย่างเหมาะสมเพื่อจำกัดขอบเขตการเปิดเผยข้อมูลดังกล่าวให้เป็นไปตามที่กฎหมายกำหนด​​   
3.12​​  การประเมินผลกระทบด้านการคุ้มครองข้อมูลและการปรึกษาหารือล่วงหน้า​​ ตามขอบเขตที่กฎหมายคุ้มครองข้อมูลกำหนด G-P จะให้ความช่วยเหลือที่เหมาะสมแก่ลูกค้าในการดำเนินการประเมินผลกระทบข้อมูลที่เกี่ยวข้องกับการประมวลผลข้อมูลลูกค้าที่ดำเนินการโดย G-P และ/หรือการปรึกษาหารือกับหน่วยงานกำกับดูแลที่จำเป็นก่อนดำเนินการ G-P ขอสงวนสิทธิ์ในการเรียกเก็บค่าธรรมเนียมที่เหมาะสมจากลูกค้าสำหรับการให้ความช่วยเหลือดังกล่าว​​ 
3.13​​  การตรวจสอบบัญชี​​   Customer may audit G-P compliance with this DPA and Data Protection Laws by requesting a certificate issued for security verification reflecting the outcome of an audit conducted by a third party auditor (e.g., ISO27001 certification, SOC2 certificate), within twelve (12) months as of the date of Customer’s request. Alternatively, in the event the documentation provided subject to this Section 3.13 is not sufficient for the purpose of demonstrating compliance, the Customer may conduct its own audit in addition to the provided third party certifications or reports, provided that such audit shall be conducted: i) no more than once per each 12 (twelve) months period; ii) during normal business hours and without disrupting G-P’s day-to-day business; iii) with thirty (30) days prior written notice; iv) at the Customer’s sole expense; v) based upon mutually agreed parameters and scope, limited to the specific scope of services, systems in use and/or Processing activities contemplated hereunder; vi) based upon mutually agreed in advance date, subject to reasonable postponement by Customer upon G-P’s reasonable request; and vii) in accordance with all confidentiality obligations and restrictions. Notwithstanding the forgoing, no audit right is granted after termination of the Master Agreement, except for legal obligations that will have to be demonstrated by the Customer. Any third-party representative selected to perform an audit on behalf of Customer must not have an ownership interest in or affiliation with an EOR services company, agency, a related organization or consultant. Nothing in this DPA will require G-P to either disclose to Customer or its third-party auditor, or to allow Customer or its third-party auditor to access: (i) any data of any other G-P’s customer; (ii) G-P’ internal accounting or financial information; (iii) any trade secret of G-P or its affiliates; (iv) any information that, in G-P’ reasonable opinion, could compromise the security of any G-P’s systems or cause any breach of its obligations under applicable law or its security or privacy obligations to any third party; or (v) any information that Customer or its third-party auditor seeks to access for any reason other than the good faith fulfillment of Customer’s obligations under the Data Protection Laws.​​ 
3.14​​  กฎหมายคุ้มครองความเป็นส่วนตัวของสหรัฐอเมริกา​​  ภายใต้ส่วนนี้ 3คู่สัญญาตกลงว่า G-P เป็น "ผู้ให้บริการ" หรือ "ผู้ประมวลผล" ตามที่กําหนดไว้ภายใต้กฎหมายความเป็นส่วนตัวของสหรัฐอเมริกาที่บังคับใช้ ดังนั้น ในขอบเขตที่กฎหมายคุ้มครองความเป็นส่วนตัวของสหรัฐอเมริกาใช้บังคับกับการประมวลผลข้อมูลลูกค้าโดย G-P นั้น G-P จะไม่ (ก) เก็บรักษา ใช้ หรือเปิดเผยข้อมูลลูกค้าใดๆ นอกเหนือจากความสัมพันธ์ทางธุรกิจโดยตรงระหว่าง G-P กับลูกค้า หรือเพื่อวัตถุประสงค์อื่นใดนอกเหนือจากวัตถุประสงค์ที่ระบุไว้ในภาคผนวกที่ 1 ที่แนบมานี้ และ G-P จะประมวลผลข้อมูลลูกค้าเฉพาะตราบเท่าที่ยังให้บริการแก่ลูกค้าเท่านั้น (ข) ขายข้อมูลลูกค้าใดๆ (ค) แบ่งปันข้อมูลลูกค้าใดๆ หรือ (ง) รวมข้อมูลลูกค้าที่ G-P ได้รับจาก หรือในนามของลูกค้า กับ “ข้อมูลส่วนบุคคล” (ตามที่คำดังกล่าวหรือคำที่เทียบเท่ากันได้รับการนิยามไว้ภายใต้กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง) ที่ GP ได้รับจาก หรือในนามของบุคคลอื่น หรือรวบรวมจากการปฏิสัมพันธ์ของตนเองกับผู้บริโภค ทั้งนี้ G-P อาจรวมข้อมูลลูกค้าได้หากอยู่ในขอบเขตของการให้บริการแก่ลูกค้า คู่สัญญาแต่ละฝ่ายจะต้องแจ้งให้อีกฝ่ายทราบหากมีการพิจารณาแล้วว่าไม่สามารถปฏิบัติตามภาระผูกพันของตนภายใต้กฎหมายความเป็นส่วนตัวของสหรัฐอเมริกาได้อีกต่อไป​​ 
 

4. การถ่ายโอนข้อมูลระหว่างประเทศ​​ 

4.1​​  การป้องกันที่เหมาะสม​​ . G-P ได้รับอนุญาตให้ถ่ายโอนข้อมูลลูกค้าทั่วโลกไปยังบริษัทในเครือและ/หรือผู้ประมวลผลช่วงตามปกติ  เมื่อทําการถ่ายโอนดังกล่าวไปยังอาณาเขตที่ไม่ได้รับการยอมรับจากหน่วยงานคุ้มครองข้อมูลที่เกี่ยวข้องว่าให้การคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอตามกฎหมายคุ้มครองข้อมูล G-P จะต้องตรวจสอบให้แน่ใจว่ามีการคุ้มครองที่เหมาะสมเพื่อปกป้องข้อมูลลูกค้าที่ถ่ายโอนภายใต้หรือเกี่ยวข้องกับข้อตกลงหลัก​​ 
4.2​​  กรอบความเป็นส่วนตัวของข้อมูล​​  มืออาชีพ​​  และข้อมูลลูกค้าจะถูกจัดเก็บไว้ใน GPP ซึ่งโฮสต์ในสหรัฐอเมริกา G-P ได้รับการรับรองภายใต้กรอบความเป็นส่วนตัวของข้อมูลระหว่างสหภาพยุโรปและสหรัฐอเมริกา (EU-U.S. DPF) และส่วนขยายของสหราชอาณาจักรไปยัง DPF ของสหภาพยุโรป-สหรัฐอเมริกา และสวิตเซอร์แลนด์-สหรัฐอเมริกา ตามความเหมาะสม กรอบความเป็นส่วนตัวของข้อมูล (สวิตเซอร์แลนด์-สหรัฐอเมริกา ดีพีเอฟ) การรับรองของ G-P สามารถยืนยันต่อสาธารณะได้ที่เว็บไซต์ DPF​​   . กรอบการทำงานความเป็นส่วนตัวของข้อมูลในสหภาพยุโรป-สหรัฐอเมริกาได้รับการพิจารณาว่าเพียงพอแล้วโดยคณะกรรมาธิการยุโรป ซึ่งเป็นกลไกการถ่ายโอนข้อมูลที่ถูกต้องตามกฎหมายตามมาตรา 45 ของระเบียบว่าด้วยส่วนข้อมูลทั่วไป, ระเบียบการของสหราชอาณาจักรว่าด้วยข้อมูลทั่วไป และ FADP ตามลำดับ หากกรอบงาน DPF เป็นโมฆะ ถูกระงับ หรือไม่ได้รับการยอมรับอีกต่อไปว่าให้ความคุ้มครองที่เพียงพอสําหรับการถ่ายโอนข้อมูลระหว่างประเทศ ผู้ประมวลผลตกลงที่จะเข้าทําและปฏิบัติตาม SCC ที่ออกหรืออนุมัติโดยคณะกรรมาธิการยุโรป สํานักงานคณะกรรมาธิการข้อมูลข่าวสารของสหราชอาณาจักร (ICO) หรือคณะกรรมาธิการการคุ้มครองข้อมูลและข้อมูลของรัฐบาลกลางสวิส (FDPIC) ตามความเหมาะสม คู่สัญญาจะต้องร่วมมือกันโดยสุจริตในการดําเนินการตามมาตรการเพิ่มเติมที่จําเป็นเพื่อให้แน่ใจว่ามีการคุ้มครองข้อมูลที่ถ่ายโอนในระดับที่เท่าเทียมกัน​​ 
4.3​​  ข้อกำหนดสัญญามาตรฐาน​​  คู่สัญญาตกลงว่าเมื่อการถ่ายโอนข้อมูลส่วนบุคคลจากลูกค้า (ในฐานะ "ผู้ส่งออกข้อมูล") ไปยัง G-P (ในฐานะ "ผู้นําเข้าข้อมูล") เป็นการถ่ายโอนแบบจํากัด และกฎหมายคุ้มครองข้อมูลที่บังคับใช้กําหนดให้มีมาตรการป้องกันที่เหมาะสม ดังนี้:​​ 
a. ในส่วนที่เกี่ยวข้องกับการถ่ายโอนข้อมูลส่วนบุคคลที่ได้รับการคุ้มครองโดยระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป ให้นํา SCC ของสหภาพยุโรปมาใช้ โดยกรอกข้อมูลดังนี้:​​ 
i. โมดูลที่หนึ่งและสองจะนําไปใช้​​ 
ii. ในข้อ 7 จะมีบทบัญญัติการเชื่อมต่ออุปกรณ์เสริม​​ 
iii. ในข้อ 9 ของโมดูลที่สอง ตัวเลือกที่ 2 จะมีผลบังคับใช้ และระยะเวลาสําหรับการแจ้งล่วงหน้าเกี่ยวกับการเปลี่ยนแปลงของผู้ประมวลผลช่วงจะเป็นไปตามที่กําหนดไว้ในส่วนที่ 35 ของ DPA นี้​​ 
iv. ในข้อ 11 ภาษากำหนดจะไม่มีผลบังคับใช้​​ 
v. ในข้อ 12 การเรียกร้องใด ๆ ที่นำมาภายใต้ SCCs ของสหภาพยุโรปจะต้องอยู่ภายใต้ข้อกำหนดและเงื่อนไขที่กำหนดไว้ในข้อตกลงหลัก​​ 
vi. ในข้อ 17ตัวเลือก 1 จะมีผลบังคับใช้ และ SCC ของสหภาพยุโรปจะอยู่ภายใต้กฎหมายของไอร์แลนด์​​ 
VII. ในข้อ 18(b) ข้อพิพาทจะได้รับการแก้ไขต่อหน้าศาลของไอร์แลนด์​​ 
แปด. ภาคผนวก I ของ EU SCC จะถือว่าเสร็จสมบูรณ์ด้วยข้อมูลที่กําหนดไว้ในภาคผนวก 1 ของ DPA นี้ และ​​ 
ix. ภาคผนวก II ของ EU SCC จะถือว่าเสร็จสมบูรณ์ด้วยข้อมูลที่กําหนดไว้ในภาคผนวก 2 ของ DPA นี้​​ 
x. ภาคผนวก III ของโมดูล SCC ของสหภาพยุโรปสองจะถือว่าเสร็จสมบูรณ์ด้วยข้อมูลที่กําหนดไว้ในภาคผนวก 3 ของ DPA นี้​​ 
ข. ในส่วนที่เกี่ยวข้องกับการถ่ายโอนข้อมูลส่วนบุคคลที่ได้รับการคุ้มครองโดยกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรหรือกฎหมายคุ้มครองข้อมูลของสวิส SCC ของสหภาพยุโรปตามที่ดำเนินการตามวรรคย่อย (ก) ข้างต้นจะใช้กับการแก้ไขดังต่อไปนี้:​​ 
i. การอ้างอิงถึงระเบียบ " (EU) 2016/679" จะถูกตีความว่าเป็นการอ้างอิงถึงกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรหรือกฎหมายคุ้มครองข้อมูลของสวิส (ตามที่เกี่ยวข้อง)​​ 
ii. การอ้างอิงถึงบทความเฉพาะของ "กฎระเบียบ (EU) 2016/679" จะถูกแทนที่ด้วยบทความหรือส่วนที่เทียบเท่าของกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรหรือกฎหมายคุ้มครองข้อมูลของสวิส (ตามความเหมาะสม)​​ 
iii. การอ้างอิงถึง " EU ", " Union ", " รัฐสมาชิก " และ " กฎหมายของรัฐสมาชิก " จะถูกแทนที่ด้วยการอ้างอิงถึง " สหราชอาณาจักร " หรือ " สวิตเซอร์แลนด์ "หรือ " กฎหมายสหราชอาณาจักร " หรือ " กฎหมายสวิส " (ตามที่เกี่ยวข้อง);​​ 
iv. คำว่า " รัฐสมาชิก " จะไม่ถูกตีความในลักษณะที่จะยกเว้นเจ้าของข้อมูลในสหราชอาณาจักรหรือสวิตเซอร์แลนด์จากความเป็นไปได้ที่จะฟ้องสิทธิในสถานที่พำนักตามปกติ (เช่น สหราชอาณาจักรหรือสวิตเซอร์แลนด์)​​ 
v. ข้อ 13(a) และส่วน C ของภาคผนวก I ไม่ได้ใช้ และ "หน่วยงานกํากับดูแลที่มีอํานาจ" คือคณะกรรมาธิการข้อมูลข่าวสารของสหราชอาณาจักรหรือคณะกรรมาธิการข้อมูลการคุ้มครองข้อมูลของรัฐบาลกลางสวิส (ตามความเหมาะสม)​​ 
vi. การอ้างอิงถึง "หน่วยงานกํากับดูแลที่มีอํานาจ" และ "ศาลที่มีอํานาจ" จะถูกแทนที่ด้วยการอ้างอิงถึง "คณะกรรมาธิการข้อมูลข่าวสาร" และ "ศาลของอังกฤษและเวลส์" หรือ "คณะกรรมาธิการข้อมูลการคุ้มครองข้อมูลของรัฐบาลกลางสวิตเซอร์แลนด์" และ "ศาลที่เกี่ยวข้องของสวิตเซอร์แลนด์" (ตามความเหมาะสม)​​ 
vii. ในข้อ 17ข้อสัญญามาตรฐานจะอยู่ภายใต้กฎหมายของอังกฤษและเวลส์หรือสวิตเซอร์แลนด์ (ตามความเหมาะสม) และ​​ 
viii. ในส่วนที่เกี่ยวกับการถ่ายโอนที่กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรมีผลบังคับใช้ ข้อ 18 จะได้รับการแก้ไขเพื่อระบุว่า "ข้อพิพาทใด ๆ ที่เกิดขึ้นจากข้อเหล่านี้จะได้รับการแก้ไขโดยศาลของอังกฤษและเวลส์ เจ้าของข้อมูลอาจดําเนินคดีทางกฎหมายกับผู้ส่งออกข้อมูลและ/หรือผู้นําเข้าข้อมูลต่อศาลของประเทศใดก็ได้ในสหราชอาณาจักร คู่สัญญาตกลงที่จะยอมจํานนต่อเขตอํานาจศาลของศาลดังกล่าว" และในส่วนที่เกี่ยวกับการถ่ายโอนที่กฎหมายคุ้มครองข้อมูลของสวิตเซอร์แลนด์มีผลบังคับใช้ ข้อ 18(ข) จะระบุว่าข้อพิพาทจะได้รับการแก้ไขต่อศาลที่เกี่ยวข้องของสวิตเซอร์แลนด์​​ 
เก้า. ในส่วนที่เกี่ยวข้องกับข้อมูลที่ได้รับการคุ้มครองโดยสหราชอาณาจักรระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป SCC ของสหภาพยุโรปจะมีผลบังคับใช้ดังนี้: (i) และ (ii) ถือว่าได้รับการแก้ไขตามที่ระบุไว้ในส่วนที่ 2 ของภาคผนวกของสหราชอาณาจักร ซึ่งจะถือว่ารวมอยู่ในและเป็นส่วนสําคัญของ DPA นี้ นอกจากนี้ ตาราง 1 ถึง 3 ในส่วนที่ 1 ของภาคผนวกของสหราชอาณาจักรจะต้องกรอกตามลําดับด้วยข้อมูลที่กําหนดไว้ในภาคผนวก I และภาคผนวก II ของ DPA นี้ และตารางที่ 4 ในส่วนที่ 1 ของภาคผนวกของสหราชอาณาจักรจะถือว่าเสร็จสมบูรณ์โดยเลือก "ไม่มีฝ่ายใดฝ่ายหนึ่ง"​​ 
ค. ในส่วนที่เกี่ยวข้องกับการถ่ายโอนข้อมูลส่วนบุคคลที่ได้รับการคุ้มครองโดย LGPD ของบราซิล ไม่ว่าจะโดยตรงหรือผ่านการถ่ายโอนต่อไป ไปยังประเทศนอกบราซิลที่ไม่ขึ้นอยู่ภายใต้การตัดสินใจเพียงพอที่ออกโดย ANPD SCCs ของบราซิลจะถือว่าได้เข้าร่วมและรวมเข้ากับ DPA นี้โดยการอ้างอิงนี้ และเสร็จสมบูรณ์ดังนี้​​ 
i. ข้อ 2 ของ SCC ของบราซิลเป็นไปตามข้อมูลที่กําหนดไว้ในภาคผนวก I ซึ่งอธิบายถึงการถ่ายโอนข้อมูล​​ 
ii. ในข้อ 3 ของ SCCs ของบราซิล ตัวเลือกB จะมีผลบังคับใช้ โดยอนุญาตให้มีการโอนเงินต่อไปตามมาตรา 35 (“ตัวประมวลผลย่อย”) ของ DPA นี้ หัวข้อ ลักษณะ และระยะเวลาของการประมวลผลระบุไว้ในภาคผนวก I ของ DPA นี้​​ 
สาม. ข้อ 4 ของ SCCs ของบราซิลได้รับความพึงพอใจจากข้อมูลที่ระบุไว้ในภาคผนวก I ของ DPA นี้ ในกรณีที่ G-P เป็นผู้ควบคุมข้อมูล GP จะเป็น “ฝ่ายที่ได้รับการกำหนด” ตามที่กำหนดไว้ใน SCC ของบราซิล และเพื่อวัตถุประสงค์ของข้อ 14 (ความโปร่งใส) ข้อ 15 (สิทธิของเจ้าของข้อมูล) และข้อ 16 (การรายงานเหตุการณ์) ของ SCC ของบราซิล ลูกค้ายังคงรับผิดชอบต่อกฎระเบียบตามข้อกำหนด 14 (ความโปร่งใส) ข้อ 15 (สิทธิ์ของเจ้าของข้อมูล) และข้อ 16 การรายงานเหตุการณ์) ของ SCC ของบราซิล สำหรับข้อมูลส่วนบุคคลใด ๆ ที่อาจเป็นผู้ควบคุมข้อมูล​​ 
iv. ในข้อ 9 ของ SCCs ของบราซิล ข้อการเชื่อมต่อทางเลือกจะไม่มีผลบังคับใช้ และ​​ 
v. ส่วนที่ III (มาตรการความปลอดภัย) ของ SCC ของบราซิลจะถือว่าเสร็จสมบูรณ์ด้วยข้อมูลที่ระบุไว้ในภาคผนวก II ของ DPA นี้​​ 
4.4​​  การถ่ายโอนข้อมูลที่ไม่คาดฝัน​​ .หากในระหว่างการให้บริการ ฝ่ายใดฝ่ายหนึ่งระบุว่าการถ่ายโอนข้อมูลส่วนบุคคลเกิดขึ้นหรือมีแนวโน้มที่จะเกิดขึ้นซึ่งไม่ได้กล่าวถึงโดยกลไกที่ระบุไว้ในหมวดหมู่ 41 ถึง 43 ของ DPA ฉบับนี้ คู่สัญญาจะแจ้งซึ่งกันและกันโดยทันที และจะร่วมมือกันอย่างสุจริตในการนำกลไกการถ่ายโอนเพิ่มเติมหรือมาตรการเพิ่มเติมตามที่จำเป็นภายใต้กฎหมายคุ้มครองข้อมูลที่บังคับใช้ เพื่อรับประกันความถูกกฎหมายของการถ่ายโอนดังกล่าว ทั้งสองฝ่ายจะต้องดำเนินการโอนที่ไม่คาดคิดดังกล่าว จนกว่าจะมีการตกลงและนำกลไกที่เหมาะสมมาใช้​​ 
 

ภาคผนวก 1​​  

คำอธิบายการประมวลผลข้อมูล​​ 
ตัวควบคุมอิสระ - รายละเอียดความสัมพันธ์ของตัวควบคุม​​ 
(ส่วนนี้เกี่ยวข้องกับรายละเอียดของข้อมูลส่วนบุคคลที่กำลังแบ่งปันระหว่างคู่สัญญาในฐานะผู้ควบคุม)​​ 
ฝ่ายต่างๆ​​ 
ผู้ส่งออกข้อมูล: หน่วยงานลูกค้าที่ลงนามในข้อตกลงหลัก​​ 
ผู้นำเข้าข้อมูล: Globalization Partners LLC.​​ 
รายละเอียดการติดต่อของคู่กรณี​​ 
รายละเอียดการติดต่อตามที่ระบุไว้ในข้อตกลงหลัก​​ 
กิจกรรมที่เกี่ยวข้องกับข้อมูลที่ถ่ายโอน​​ 
กิจกรรมที่เกี่ยวข้องกับการให้บริการตัวแทนนายจ้างบริการ​​ 
บทบาท​​ 
ผู้ส่งออกข้อมูล: ผู้ควบคุม​​ 
ผู้นำเข้าข้อมูล: ผู้ควบคุม​​ 
กิจกรรมการประมวลผล​​ 
ข้อมูลส่วนบุคคลที่ได้รับการประมวลผล/ถ่ายโอนอาจอยู่ภายใต้กิจกรรมการประมวลผลดังต่อไปนี้: การดำเนินการใดๆ เกี่ยวกับข้อมูลส่วนบุคคลโดยไม่คำนึงถึงวิธีการและขั้นตอนที่ใช้ โดยเฉพาะอย่างยิ่งการรวบรวม จัดระเบียบ จัดเก็บ ถือครอง ใช้ เรียกค้น ปรึกษา เก็บถาวร ส่งต่อ บล็อก ลบ หรือทำลายข้อมูล การดำเนินงานและการบำรุงรักษาระบบ การประมวลผลข้อมูล หน้าที่ทางกฎหมายและการตรวจสอบ​​ 
ระยะเวลาในการประมวลผล​​ 
เงื่อนไขของข้อตกลงหลักและเป็นไปอย่างต่อเนื่อง​​ 
ลักษณะและวัตถุประสงค์ของการประมวลผล​​ 
ลูกค้าสามารถถ่ายโอนข้อมูลลูกค้าไปยัง G-P ซึ่งขอบเขตนั้นถูกกําหนดและควบคุมโดยลูกค้าตามดุลยพินิจของลูกค้าแต่เพียงผู้เดียว วัตถุประสงค์ของการประมวลผลคือเพื่อให้บริการตัวแทนนายจ้างตามข้อตกลงหลัก​​ 
หมวดหมู่ของเจ้าของข้อมูล​​ 
มืออาชีพ​​ 
ประเภทของข้อมูลส่วนบุคคล​​ 
รายละเอียดการติดต่อ (ซึ่งอาจรวมถึงชื่อ ที่อยู่ ที่อยู่อีเมล โทรศัพท์ แฟกซ์ รายละเอียดการติดต่อฉุกเฉิน และข้อมูลเขตเวลาท้องถิ่นที่เกี่ยวข้อง)​​ 
รายละเอียดการจ้างงาน (ซึ่งอาจรวมถึงการศึกษา ประวัติย่อ ตําแหน่งงาน เกรด ข้อมูลประชากร ข้อมูลตําแหน่ง สัญชาติและการส่งออก สถานะการปฏิบัติตามกฎระเบียบ เงินเดือน โบนัส)​​ 
เนื้อหาอีเมลของเจ้าของข้อมูล​​ 
รายละเอียดการให้บริการแก่หรือเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล​​ 
ประเภทข้อมูลพิเศษ (ถ้ามี)​​  
ไม่มีข้อมูล​​ 
การเก็บรักษา​​ 
ข้อมูลส่วนบุคคลจะถูกเก็บรักษาไว้อย่างน้อยที่สุดเท่ากับระยะเวลาการเก็บรักษาขั้นต่ำที่กฎหมายกำหนด ซึ่งสอดคล้องกับข้อจำกัดความรับผิดตามกฎหมาย และเป็นไปตามหลักปฏิบัติทางธุรกิจที่ดี​​ 
หน่วยงานกำกับดูแลที่มีอำนาจ​​ 
หน่วยงานกำกับดูแลที่มีอำนาจจะถูกกำหนดตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้ และจะรวมถึง: คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ (สำหรับสหภาพยุโรปว่าด้วยข้อมูลทั่วไป); กรรมาธิการการคุ้มครองข้อมูลและข้อมูลของรัฐบาลกลางสวิส / FDPIC (สำหรับ FADP ของสวิส) the UK Information Commissioner's Office / ICO (สำหรับ UK ระเบียบว่าด้วยข้อมูลทั่วไป); และ Autoridade Nacional de Proteção de Dados / ANPD (สำหรับ LGPD ของบราซิล)​​ 
การโอนไปยังผู้ประมวลผลย่อย​​  
สำหรับการส่งข้อมูลไปยังผู้ประมวลผล เนื้อหา ลักษณะ และระยะเวลาของการประมวลผลจะเหมือนกับที่ได้กำหนดไว้ข้างต้น​​ 
รายละเอียดการติดต่อฝ่ายความเป็นส่วนตัว G-P​​  
 
เรียน: สำนักงานคุ้มครองข้อมูลส่วนบุคคลระดับโลก​​  
 
 
 
คอนโทรลเลอร์ - รายละเอียดความสัมพันธ์ของโปรเซสเซอร์​​ 
(ส่วนนี้เกี่ยวกับรายละเอียดของข้อมูลส่วนบุคคลที่ G-P กําลังประมวลผลในนามของลูกค้า)​​ 
ฝ่ายต่างๆ​​ 
ผู้ส่งออกข้อมูล: หน่วยงานลูกค้าที่ลงนามในข้อตกลงหลัก​​ 
ผู้นำเข้าข้อมูล: Globalization Partners LLC.​​ 
รายละเอียดการติดต่อของคู่กรณี​​ 
รายละเอียดการติดต่อตามที่ระบุไว้ในข้อตกลงหลัก​​ 
กิจกรรมที่เกี่ยวข้องกับข้อมูลที่ถ่ายโอน​​ 
กิจกรรมที่เกี่ยวข้องกับการให้บริการตัวแทนนายจ้าง และการใช้ GPP ที่มอบให้กับลูกค้าเป็นบริการ​​ 
บทบาท​​ 
ผู้ส่งออกข้อมูล: ผู้ควบคุม​​ 
ผู้นําเข้าข้อมูล: ผู้ประมวลผล​​ 
กิจกรรมการประมวลผล​​ 
ข้อมูลส่วนบุคคลที่ได้รับการประมวลผล/ถ่ายโอนอาจอยู่ภายใต้กิจกรรมการประมวลผลดังต่อไปนี้: การดำเนินการใดๆ เกี่ยวกับข้อมูลส่วนบุคคลโดยไม่คำนึงถึงวิธีการและขั้นตอนที่ใช้ โดยเฉพาะอย่างยิ่งการรวบรวม จัดระเบียบ จัดเก็บ ถือครอง ใช้ เรียกค้น ปรึกษา เก็บถาวร ส่งต่อ บล็อก ลบ หรือทำลายข้อมูล การดำเนินงานและการบำรุงรักษาระบบ การประมวลผลข้อมูล การดำเนินการทางกฎหมายและการตรวจสอบ​​ 
ระยะเวลาในการประมวลผล​​ 
เงื่อนไขของข้อตกลงหลักและเป็นไปอย่างต่อเนื่อง​​ 
ลักษณะและวัตถุประสงค์ของการประมวลผล​​ 
ลูกค้าสามารถถ่ายโอนข้อมูลลูกค้าไปยัง G-P ซึ่งขอบเขตนั้นถูกกําหนดและควบคุมโดยลูกค้าตามดุลยพินิจของลูกค้าแต่เพียงผู้เดียว วัตถุประสงค์ของการประมวลผลคือการให้ GPP เป็นบริการแก่ลูกค้าตามข้อตกลงหลัก​​ 
หมวดหมู่ของเจ้าของข้อมูล​​ 
ผู้ใช้ที่ได้รับอนุญาตของ GPP ซึ่งอาจรวมถึงพนักงานและ/หรือผู้รับเหมาของลูกค้า​​ 
ประเภทของข้อมูลส่วนบุคคล​​ 
ข้อมูลติดต่อ (เช่น หมายเลขโทรศัพท์และอีเมล)​​ 
ข้อมูลพนักงาน/ผู้รับเหมา (เช่น ตำแหน่งงานและชื่อบริษัท)​​ 
ข้อมูลการใช้งาน (เช่น ข้อมูลเกี่ยวกับอุปกรณ์ของผู้ใช้งานที่ได้รับอนุญาต และวิธีการที่อุปกรณ์ดังกล่าวโต้ตอบกับ GPP)​​ 
ข้อมูลตำแหน่งที่ตั้ง (เช่น ตำแหน่งที่ตั้งที่ได้จากที่อยู่ IP)​​ 
ข้อมูลเนื้อหา (เช่น เนื้อหาในไฟล์ของลูกค้าที่เกี่ยวข้องกับผู้เชี่ยวชาญและการสื่อสารที่เกี่ยวข้อง)​​ 
ข้อมูลประจำตัว (เช่น รหัสผ่าน คำแนะนำเกี่ยวกับรหัสผ่าน และข้อมูลความปลอดภัยที่คล้ายกันซึ่งใช้สำหรับการตรวจสอบสิทธิ์และการเข้าถึงบัญชีใน GPP)​​ 
ข้อมูลส่วนบุคคลใด ๆ ที่ให้โดยผู้ใช้ที่ได้รับอนุญาต​​ 
ประเภทข้อมูลพิเศษ (ถ้ามี)​​  
ไม่มีข้อมูล​​ 
การเก็บรักษา​​ 
ข้อมูลส่วนบุคคลจะถูกเก็บรักษาไว้อย่างน้อยที่สุดเท่ากับระยะเวลาการเก็บรักษาขั้นต่ำที่กฎหมายกำหนด ซึ่งสอดคล้องกับข้อจำกัดความรับผิดตามกฎหมาย และเป็นไปตามหลักปฏิบัติทางธุรกิจที่ดี​​ 
หน่วยงานกำกับดูแลที่มีอำนาจ​​ 
หน่วยงานกำกับดูแลที่มีอำนาจจะถูกกำหนดตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้ และจะรวมถึง: คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ (สำหรับสหภาพยุโรปว่าด้วยข้อมูลทั่วไป); กรรมาธิการการคุ้มครองข้อมูลและข้อมูลของรัฐบาลกลางสวิส / FDPIC (สำหรับ FADP ของสวิส) the UK Information Commissioner's Office / ICO (สำหรับ UK ระเบียบว่าด้วยข้อมูลทั่วไป); และ Autoridade Nacional de Proteção de Dados / ANPD (สำหรับ LGPD ของบราซิล)​​ 
การโอนไปยังผู้ประมวลผลย่อย​​  
สำหรับการส่งข้อมูลไปยังผู้ประมวลผล เนื้อหา ลักษณะ และระยะเวลาของการประมวลผลจะเหมือนกับที่ได้กำหนดไว้ข้างต้น​​ 
รายละเอียดการติดต่อฝ่ายความเป็นส่วนตัว G-P​​  
 
เรียน: สำนักงานคุ้มครองข้อมูลส่วนบุคคลระดับโลก​​  
 

ภาคผนวก II​​ 

มาตรการทางเทคนิคและองค์กร​​ 

G-P ได้รับการรับรองและรับรองเพื่อยืนยันกฎข้อบังคับด้วยมาตรฐาน SOC 2 และ ISO 27001 โดยผู้ตรวจสอบอิสระ การรับรองดังกล่าวแสดงให้เห็นถึงความมุ่งมั่นของเราในการรักษาความปลอดภัยของข้อมูลลูกค้า โปรแกรมรักษาความปลอดภัยของ G-P ออกแบบมาเพื่อ:​​ 

รักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลลูกค้าที่อยู่ในความครอบครองของ G-P หรือที่ G-P สามารถเข้าถึงได้​​ 

ป้องกันภัยคุกคามหรืออันตรายที่อาจเกิดขึ้นต่อความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลลูกค้า​​ 

ป้องกันการเข้าถึง การใช้งาน การเปิดเผย การเปลี่ยนแปลง หรือการทำลายข้อมูลลูกค้าโดยไม่ได้รับอนุญาตหรือผิดกฎหมาย​​ 

ป้องกันข้อมูลลูกค้าจากการสูญหาย ถูกทำลาย หรือเสียหายโดยไม่ตั้งใจ และ​​ 

รักษาความปลอดภัยของข้อมูลตามที่กำหนดไว้ในข้อบังคับใดๆ ที่อาจใช้ในการกำกับ G-P​​ 

ต่อไปนี้เป็นคำอธิบายเกี่ยวกับหน้าที่ กระบวนการ การควบคุม ระบบ ขั้นตอน และมาตรการต่างๆ ที่ G-P ได้ดำเนินการเพื่อรับรองความปลอดภัยของการประมวลผลข้อมูลลูกค้า:​​ 

1) มาตรการ ทางเทคนิคเพื่อรับประกันความเป็นส่วนตัวและการคุ้มครองข้อมูล​​ 

ความเป็นส่วนตัวตามการออกแบบและค่าเริ่มต้น:​​ 

G-P นำข้อกำหนดของ Article 25 โครงสร้างว่าด้วยข้อมูลทั่วไปมาพิจารณาในขั้นตอนความคิดและการพัฒนาของการพัฒนาผลิตภัณฑ์ กระบวนการและฟังก์ชันการทำงานต่างๆ ถูกจัดตั้งขึ้นในลักษณะที่คำนึงถึงหลักการคุ้มครองข้อมูล เช่น ความชอบด้วยกฎหมาย ความโปร่งใส การจำกัดวัตถุประสงค์ การลดปริมาณข้อมูล ฯลฯ ตลอดจนความปลอดภัยในการประมวลผลตั้งแต่เริ่มต้น​​ 

b) การ เข้ารหัสข้อมูลส่วนบุคคล:​​ 

ตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลจะถูกจัดเก็บไว้ในระบบในลักษณะที่ไม่อนุญาตให้บุคคลที่สามระบุตัวตนของเจ้าของข้อมูลเท่านั้น​​ 

การเข้ารหัสฐานข้อมูลและการจัดเก็บ:​​ 

ในฐานข้อมูลทั้งหมดที่ G-P ใช้ การเข้ารหัส "ที่ไม่ได้ใช้งาน" ตามความทันสมัยจะถูกใช้เพื่อให้ข้อมูลจากฐานข้อมูลสามารถอ่านได้หลังจากการรับรองความถูกต้องที่เหมาะสมในระบบฐานข้อมูลที่เกี่ยวข้องเท่านั้น​​ 

การเข้ารหัสสื่อข้อมูลมือถือ:​​ 

ไม่อนุญาตให้ใช้บริการเครือข่ายมือถือในการจัดเก็บข้อมูลลูกค้า​​ 

การเข้ารหัสผู้ให้บริการข้อมูลบนแล็ปท็อป:​​ 

มีการติดตั้งการเข้ารหัสฮาร์ดดิสก์ที่ทันสมัยที่เหมาะสมบนแล็ปท็อปของพนักงานทุกคน​​ 

การแลกเปลี่ยนข้อมูลและไฟล์ที่เข้ารหัส:​​ 

โดยหลักการแล้ว การแลกเปลี่ยนข้อมูลและไฟล์จะถูกเข้ารหัสโดยตรงผ่านการเข้ารหัสพิเศษ หากต้องถ่ายโอนข้อมูลส่วนบุคคลหรือข้อมูลที่เป็นความลับไปยังเซิร์ฟเวอร์ที่ไม่สามารถส่งผ่านการอัปโหลด HTTPS ที่เข้ารหัส TLS สิ่งเหล่านี้จะถูกถ่ายโอนโดยใช้ Secure File Transfer Protocol (SFTP) บริการซองจดหมายที่เข้ารหัส หรือกลไกการเข้ารหัสอื่นตามที่ทันสมัย​​ 

การเข้ารหัสอีเมล:​​ 

โดยหลักการแล้ว อีเมลทั้งหมดที่ส่งโดยพนักงานของ G-P จะถูกเข้ารหัสด้วย TLS ข้อยกเว้นอาจเป็นหากเซิร์ฟเวอร์อีเมลที่รับไม่รองรับ TLS ลูกค้าจะต้องตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์อีเมลที่เกี่ยวข้องที่ใช้ภายในขอบเขตของการสั่งซื้อรองรับการเข้ารหัส TLS​​ 

c) การควบคุมการรับเข้าเรียน​​ 

การควบคุมการรับเข้ามีจุดประสงค์และบังคับใช้เพื่อป้องกันการใช้และการประมวลผลข้อมูลซึ่งได้รับการคุ้มครองโดยกฎหมายว่าขณะนี้ข้อมูลโดยบุคคลที่ไม่ได้รับอนุญาต​​ 

การใช้วิธีการรับรองความถูกต้อง​​ 

การเข้าถึงข้อมูลส่วนบุคคลนั้นผ่านโปรโตคอลที่เข้ารหัสเสมอ: SSH, SSL/TLS, HTTPS หรือโปรโตคอลที่เทียบเท่า ขั้นตอนการรับรองความถูกต้องสำหรับระบบไอที: การเข้าสู่ระบบไอทีการรับรองความถูกต้องหลายปัจจัย​​ 

การปิดกั้นอัตโนมัติในกรณีที่ไม่มีการใช้งาน​​ 

แล็ปท็อปที่พนักงานของ G-P ใช้ จะถูกล็อกด้วยรหัสผ่านหรือรหัส PIN เมื่อไม่ได้ใช้งานโดยผู้ใช้ นอกจากนี้การล็อคหน้าจออัตโนมัติพร้อมการป้องกันรหัสผ่านจะถูกตั้งค่าหลังจากไม่มีการใช้งาน 15 นาที​​ 

การใช้ซอฟต์แวร์ป้องกันไวรัส​​ 

แล็ปท็อปที่ใช้โดยพนักงาน G-P ติดตั้งซอฟต์แวร์ป้องกันไวรัสที่ล้ําสมัยซึ่งได้รับการอัปเดตอยู่เสมอในระบบไอทีปฏิบัติการหรือธุรกิจทั้งหมด ตามหลักการแล้ว คอมพิวเตอร์จะไม่สามารถใช้งานได้โดยปราศจากการป้องกันไวรัสที่อยู่อาศัย เว้นแต่จะมีการใช้มาตรการรักษาความปลอดภัยที่ทันสมัยเทียบเท่าหรือไม่มีความเสี่ยง ต้องไม่ปิดใช้งานหรือหลีกเลี่ยงการตั้งค่าความปลอดภัยเริ่มต้น​​ 

"นโยบายโต๊ะทํางานสะอาด"​​ 

พนักงานของ G-P ได้รับคําสั่งไม่ให้พิมพ์หรือจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลไว้ในเครื่อง ไม่ให้ทิ้งวัสดุงานไว้ในตําแหน่งที่บุคคลที่สามอาจดูได้ และจัดเก็บวัสดุงานทั้งหมดอย่างเหมาะสม เอกสารที่กฎหมายกําหนดให้ G-P ต้องเก็บไว้ในเอกสารจะถูกเก็บไว้ในตู้ล็อค​​ 

d) การควบคุมการเข้าถึงภายในแพลตฟอร์ม​​ 

การควบคุมการเข้าถึงช่วยให้มั่นใจได้ว่าบุคคลที่ได้รับอนุญาตให้ใช้ระบบประมวลผลสามารถเข้าถึงข้อมูลส่วนบุคคลที่ครอบคลุมโดยการอนุญาตการเข้าถึงของพวกเขาเท่านั้น​​ 

บทบาทและการอนุญาต​​ 

แพลตฟอร์มบทบาทและการอนุญาต – การเข้าถึงของลูกค้า ผู้ใช้ที่เป็นลูกค้าสามารถดูและแก้ไขข้อมูลบัญชีลูกค้าได้​​ 

แพลตฟอร์มบทบาทและการอนุญาต – การเข้าถึงระดับมืออาชีพ ผู้ใช้ระดับมืออาชีพสามารถดูและแก้ไขข้อมูลระดับมืออาชีพของตนเองได้​​ 

ผู้เชี่ยวชาญยังสามารถรับบทบาทการเข้าถึงลูกค้าได้เมื่อต้องได้รับการอนุมัติ +​​ 

บทบาทและแพลตฟอร์มการอนุญาต – การเข้าถึงภายใน​​ 

ผู้ใช้การเข้าถึงภายในมีบทบาทที่หลากหลาย มีการเข้าถึงที่หลากหลายเพื่อสร้าง ดู แก้ไข และอนุมัติสิ่งต่อไปนี้:​​ 

ข้อมูลลูกค้า​​ 

ข้อมูลการเรียกเก็บเงิน​​ 

ข้อมูลพันธมิตร​​ 

ข้อมูลบันทึกบุคลากรระดับมืออาชีพ​​ 

โดยทั่วไปแล้ว การเข้าถึงระบบบริหารจัดการจะจำกัดเฉพาะพนักงานที่ได้รับการฝึกอบรมในด้านการสนับสนุนลูกค้าและการพัฒนาผลิตภัณฑ์เท่านั้น​​ 

e) ไฟร์วอลล์เป็นบริการ​​ 

G-P ใช้ไฟร์วอลล์ภายนอกเป็นบริการที่อนุญาตให้ให้หรือบล็อกการเข้าถึงเว็บไซต์เพื่อให้แน่ใจว่าระบบไม่สามารถเข้าถึงเนื้อหาที่เป็นอันตรายและเพื่อจํากัดการเข้าถึงเนื้อหาที่ไม่เหมาะสม​​ 

f) บันทึกการเข้าสู่ระบบแพลตฟอร์ม​​ 

G-P จะบันทึกข้อมูลการเข้าสู่ระบบทั้งหมดไว้​​ 

g) ความสามารถในการ แยก​​ 

ตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลที่รวบรวมเพื่อวัตถุประสงค์ต่าง ๆ สามารถประมวลผลแยกต่างหากและแยกออกจากข้อมูลและระบบอื่น ๆ ในลักษณะที่ไม่ได้วางแผนการใช้ข้อมูลเหล่านี้เพื่อวัตถุประสงค์อื่น ๆ จะไม่รวม​​ 

การแยกสภาพแวดล้อมการพัฒนาการทดสอบและการดำเนินงาน​​ 

ข้อมูลจากสภาพแวดล้อมการทำงานอาจถูกถ่ายโอนไปยังสภาพแวดล้อมการทดสอบหรือการพัฒนาก็ต่อเมื่อมีการเปิดตัวไม่ระบุตัวตนอย่างสมบูรณ์ก่อนถ่ายโอน การถ่ายโอนข้อมูลที่ไม่ระบุตัวตนจะต้องเข้ารหัสหรือผ่านเครือข่ายที่น่าเชื่อถือ​​ 

ซอฟต์แวร์ที่จะถ่ายโอนไปยังสภาพแวดล้อมการทำงานจะต้องได้รับการทดสอบในสภาพแวดล้อมการทดสอบที่เหมือนกันก่อน (" staging ") โปรแกรมสำหรับการวิเคราะห์ข้อผิดพลาดหรือการสร้าง/รวบรวมซอฟต์แวร์อาจใช้ในสภาพแวดล้อมการทำงานหากไม่สามารถหลีกเลี่ยงได้ โดยเฉพาะอย่างยิ่งในกรณีที่สถานการณ์ข้อผิดพลาดขึ้นอยู่กับข้อมูลที่จะปลอมแปลงเนื่องจากข้อกำหนดสำหรับการเปิดเผยตัวตนเมื่อถ่ายโอนไปยังสภาพแวดล้อมทดสอบ​​ 

การแยกในเครือข่าย​​ 

G-P แยกเครือข่ายตามงาน เครือข่ายต่อไปนี้ถูกใช้อย่างถาวร: สภาพแวดล้อมการทํางาน ("การผลิต"), สภาพแวดล้อมการทดสอบ ("Staging", "Sandbox"), สภาพแวดล้อมการพัฒนา ("Dev") เจ้าหน้าที่ไอทีของสํานักงาน นอกจากเครือข่ายเหล่านี้แล้ว ยังมีการสร้างเครือข่ายแยกต่างหากเพิ่มเติมตามความจําเป็น เช่น สําหรับการทดสอบการกู้คืนและการทดสอบการเจาะระบบ ทั้งนี้ขึ้นอยู่กับความเป็นไปได้ทางเทคนิคเครือข่ายจะถูกแยกออกจากกันทั้งทางกายภาพหรือโดยใช้เครือข่ายเสมือน​​ 

h) การ ควบคุมความพร้อมใช้งาน​​ 

G-P ดำเนินการดังต่อไปนี้เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลได้รับการปกป้องจากการถูกทำลายหรือสูญหายโดยไม่ตั้งใจ​​ 

ขั้นตอนการปกป้องข้อมูล / การสํารองข้อมูล​​ 

เพื่อให้มั่นใจได้ว่าฐานข้อมูลมีความพร้อมใช้งานอย่างเพียงพอ G-P จึงทำการสร้างสแนปช็อตของฐานข้อมูลทุกวัน พร้อมทั้งจำลองข้อมูลไปยังภูมิภาคอื่นด้วย นอกจากนี้ยังมีการใช้มาตรการเพื่อให้แน่ใจว่าพนักงานที่มีความจำเป็นในการตรวจสอบข้อมูลตามงานจะได้รับอนุญาตให้เข้าถึงชุดข้อมูลจำลองเท่านั้น​​ 

การสำรองข้อมูลตามภูมิศาสตร์ในส่วนของโครงสร้างพื้นฐานเซิร์ฟเวอร์สำหรับข้อมูลใช้งานและข้อมูลสำรอง​​ 

การจัดการเหตุการณ์ไอที (" การจัดการการตอบสนองเหตุการณ์ ")​​ 

มีแนวคิดและขั้นตอนที่บันทึกไว้สำหรับการจัดการเหตุการณ์และเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย ซึ่งรวมถึงการวางแผนและการเตรียมการตอบสนองต่อเหตุการณ์ขั้นตอนการตรวจสอบตรวจจับและวิเคราะห์เหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยและการกำหนดความรับผิดชอบที่เกี่ยวข้องและช่องทางการรายงานในกรณีที่มีการละเมิดการคุ้มครองข้อมูลส่วนบุคคลภายในกรอบของข้อกำหนดทางกฎหมาย​​ 

2) มาตรการ ขององค์กรเพื่อรับประกันความเป็นส่วนตัวและการคุ้มครองข้อมูล​​ 

G-P ได้วางมาตรการขององค์กรต่อไปนี้เพื่อให้แน่ใจว่าองค์กรดำเนินงานในลักษณะที่ตรงตามข้อกำหนดด้านความเป็นส่วนตัวของข้อมูลและการป้องกัน​​ 

ก) คําแนะนําขององค์กร​​ 

G-P ได้พัฒนาและกําลังพัฒนาโปรแกรมการกํากับดูแลข้อมูล รวมถึงนโยบาย ขั้นตอน และแนวทางปฏิบัติสําหรับพนักงานที่ต้องปฏิบัติตาม เอกสารประกอบประกอบด้วยวิธีการระบุและจัดการความเป็นส่วนตัวของปัญหาข้อมูล แนวทางปฏิบัติที่ดีที่สุดในการรับรองความเป็นส่วนตัวตามกฎหมาย และนโยบายสำหรับการจัดการเหตุการณ์ความเป็นส่วนตัว​​ 

ข) ความมุ่งมั่นในการรักษาความลับและการคุ้มครองข้อมูล​​ 

G-P ได้พัฒนาและกําลังพัฒนาโปรแกรมการกํากับดูแลข้อมูล รวมถึงนโยบาย ขั้นตอน และแนวทางปฏิบัติสําหรับพนักงานที่ต้องปฏิบัติตาม พนักงานและผู้รับเหมาทุกคนมีข้อผูกพันเป็นลายลักษณ์อักษรในการรักษาความลับและการคุ้มครองข้อมูล ตลอดจนกฎหมายอื่นๆ ที่เกี่ยวข้อง พนักงานทุกคนได้รับการฝึกอบรมด้านความเป็นส่วนตัวและความปลอดภัย มีการตรวจสอบภายในเกี่ยวกับการคุ้มครองข้อมูลและความปลอดภัยของข้อมูลอย่างสม่ําเสมอ การตรวจสอบจะดําเนินการบนพื้นฐานของเกณฑ์ / รูปแบบการทดสอบทั่วไป พนักงานและผู้รับเหมาของ G-P ได้รับคําสั่งให้ประมวลผลข้อมูลส่วนบุคคลด้วยเหตุผลที่ชอบด้วยกฎหมายเท่านั้น ตามสัญญาที่บังคับใช้กับลูกค้าและผู้ประกอบวิชาชีพ โดยคํานึงถึงความยินยอมอย่างชัดแจ้งที่ให้ไว้หรือระงับโดยเจ้าของข้อมูล และเพื่อให้สอดคล้องกับหน้าที่ตามกฎหมายขององค์กร​​ 

c) การฝึกอบ รมการคุ้มครองข้อมูล​​ 

พนักงานทุกคนได้รับการฝึกอบรมด้านความเป็นส่วนตัวและความปลอดภัย ซึ่งยังคงพร้อมให้ตรวจสอบได้ตลอดเวลาในแพลตฟอร์มการฝึกอบรม G-P​​ 

d) การ ควบคุมการเข้าถึงทางกายภาพ​​ 

G-P มีมาตรการควบคุมทางกายภาพดังต่อไปนี้ เพื่อป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าถึงระบบอุปกรณ์ไอทีที่ใช้ในการประมวลผล​​ 

การป้องกันประตูอิเล็กทรอนิกส์​​ 

ประตูทางเข้าสํานักงาน G-P จะถูกล็อคและรักษาความปลอดภัยทางอิเล็กทรอนิกส์เสมอ ประตูเปิดผ่านช่องสัญญาณอิเล็กทรอนิกส์ส่วนบุคคล​​ 

ควบคุมการกระจายคีย์​​ 

การจัดสรรกุญแจส่วนกลางที่เป็นเอกสารให้กับพนักงานของ G-P เกิดขึ้น ช่องสัญญาณ/กุญแจอิเล็กทรอนิกส์เหล่านี้สามารถปิดใช้งานได้จากส่วนกลางโดยผู้จัดการสํานักงานแต่ละคนหรือแผนกทรัพยากรบุคคล​​ 

การกํากับดูแลและการติดตามบุคคลภายนอก​​ 

ผู้ให้บริการภายนอกและบุคคลที่สามอื่นๆ จะได้รับอนุญาตให้เข้าสถานที่ได้ก็ต่อเมื่อได้รับอนุญาตล่วงหน้า หรือเมื่อมีผู้แทนของ G-P ร่วมด้วยเท่านั้น G-P จะปฏิบัติตามนโยบายผู้เยี่ยมชมที่เป็นลายลักษณ์อักษรเมื่อมีการเชิญผู้เยี่ยมชมเข้ามาในสถานที่​​ 

การรักษาความปลอดภัยของสถานที่ที่มีความต้องการการป้องกัน เพิ่มขึ้น​​ 

สถานที่หรือตู้ที่มีข้อกำหนดการป้องกันที่เพิ่มขึ้น เช่น สำนักงานกฎหมายและสถานที่ปฏิบัติการบางแห่ง ติดตั้งตู้ล็อคและลิ้นชัก ตู้และลิ้นชักที่เก็บเอกสารทางกฎหมาย สัญญา และเอกสารที่เป็นความลับจะต้องถูกล็อคตลอดเวลา ยกเว้นเมื่อมีการใช้งาน​​ 

ประตูและหน้าต่างที่ปิดสนิท​​ 

พนักงานได้รับคําแนะนําจากองค์กรให้ปิดหรือล็อคหน้าต่างและประตูนอกเวลาทําการ​​ 

e) ความสามารถในการกู้ค ืน​​ 

G-P รับประกันว่าระบบที่ใช้งานอยู่สามารถกู้คืนได้ในกรณีที่เกิดความล้มเหลวทางกายภาพหรือทางเทคนิค​​ 

การทดสอบการกู้คืนข้อมูลเป็นประจำ (" การทดสอบการกู้คืน ")​​ 

การทดสอบการกู้คืนเต็มรูปแบบเป็นประจำจะดำเนินการเพื่อให้แน่ใจว่าสามารถกู้คืนได้ในกรณีฉุกเฉิน/ภัยพิบัติ​​ 

แผนฉุกเฉิน ("แนวคิดการกู้คืนจากภัยพิบัติ")​​ 

มีแนวคิดในการรักษาเหตุฉุกเฉิน/ภัยพิบัติและแผนฉุกเฉินที่เกี่ยวข้อง G-P รับประกันการกู้คืนระบบทั้งหมดบนพื้นฐานของการสํารองข้อมูล / สํารองข้อมูล โดยปกติภายใน 48 ชั่วโมง​​ 

มาตรการทบทวนและประเมินผล​​ 

การนําเสนอขั้นตอนการทบทวนการประเมินและการประเมินประสิทธิผลของมาตรการทางเทคนิคและองค์กรอย่างสม่ําเสมอ​​ 

f) ทีมความเป็นส่วนตัว​​ 

องค์กรมีสำนักงานความเป็นส่วนตัวของข้อมูลทั่วโลกซึ่งทำหน้าที่วางแผน ดำเนินการ ประเมินและปรับใช้มาตรการในด้านข้อมูลสารสนเทศ​​ 

g) การบริ หารความเสี่ยง​​ 

มีกระบวนการวิเคราะห์ ประเมิน และจัดสรรความเสี่ยง และหามาตรการบนพื้นฐานของความเสี่ยงเหล่านี้​​ 

3) การท บทวนความปลอดภัยของข้อมูลอิสระ​​ 

ประสิทธิภาพของการตรวจสอบ​​ 

มีการตรวจสอบภายในเกี่ยวกับการคุ้มครองข้อมูลและความปลอดภัยของข้อมูลอย่างสม่ําเสมอ การตรวจสอบจะดําเนินการบนพื้นฐานของเกณฑ์ / รูปแบบการทดสอบทั่วไป​​ 

b) การทบทวนกฎระเบียบเกี่ยวกับนโยบายและมาตรฐานด้านความปลอดภัย​​ 

มีการตรวจสอบการปฏิบัติตามแนวทาง มาตรฐาน และข้อกําหนดด้านความปลอดภัยอื่นๆ ที่เกี่ยวข้องสําหรับการประมวลผลข้อมูลส่วนบุคคลอย่างสม่ําเสมอ หากเป็นไปได้ การตรวจสอบเหล่านี้จะดําเนินการแบบสุ่มและไม่คาดคิด​​ 

c) การตรวจสอบการปฏิบัติตามกฎระเบียบด้วยข้อกําหนดทางเทคนิค​​ 

การสแกนช่องโหว่อัตโนมัติและด้วยตนเองเป็นประจำจะดำเนินการโดยแผนกไอทีหรือบุคลากรที่มีคุณสมบัติอื่น ๆ เพื่อตรวจสอบความปลอดภัยของแอปพลิเคชันและโครงสร้างพื้นฐานรวมถึงการพัฒนาผลิตภัณฑ์เป็นประจำ การทดสอบการเจาะอย่างละเอียดดำเนินการโดยผู้ให้บริการภายนอกเพื่อตรวจสอบแอปพลิเคชันและโครงสร้างพื้นฐานเพื่อหาช่องโหว่โดยเฉพาะ​​ 

d) การประม วลผลตามคำแนะนำ​​ 

พนักงานของ G-P ได้รับคําสั่งให้ประมวลผลข้อมูลส่วนบุคคลด้วยเหตุผลที่ชอบด้วยกฎหมายเท่านั้น ตามสัญญาที่บังคับใช้กับลูกค้าและผู้ประกอบวิชาชีพ โดยคํานึงถึงความยินยอมอย่างชัดแจ้งที่เจ้าของข้อมูลให้หรือระงับไว้ และเพื่อให้สอดคล้องกับหน้าที่ตามกฎหมายขององค์กร​​ 

จ) การเลือกซัพพลายเออร์อย่างระมัดระวัง​​ 

G-P ปฏิบัติตามกระบวนการคัดเลือกซัพพลายเออร์เบื้องต้นเมื่อเลือกผู้ขายและซัพพลายเออร์ที่อาจพบข้อมูลที่ได้รับการคุ้มครอง กระบวนการนี้รวมถึงข้อเสนอแนะจากแผนกการเงินและกฎหมาย/ความเป็นส่วนตัว และรวมการประเมินความเสี่ยง การรับรองความปลอดภัยเบื้องต้น และขั้นตอนการรับรองเอกสาร ซัพพลายเออร์ที่จะประมวลผลข้อมูลที่ได้รับการคุ้มครองจะต้องแสดงให้เห็นถึงการปฏิบัติตามกฎหมายความเป็นส่วนตัวของข้อมูลที่บังคับใช้ รวมถึงมาตรา 28 ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไปสําหรับข้อมูลที่ครอบคลุม​​ 

ภาคผนวก III​​ 

รายชื่อตัวประมวลผลย่อย​​ 
ซับโปรเซสเซอร์​​ 
ข้อมูลสถานที่ตั้งและข้อมูลการติดต่อ​​ 
คำอธิบายกระบวนการ​​ 
3933 Lake Washington Blvd NE #350, เคิร์กแลนด์, WA 98033, สหรัฐอเมริกา​​ 
บริการทางการเงิน​​ 
พีโอ กล่อง 81226​​ 
ซีแอตเทิล วอชิงตัน 98108-1226, สหรัฐอเมริกา​​ 
บริการโฮสติ้ง – ผู้ให้บริการคลาวด์​​ 
บริษัท ไมโครซอฟต์ คอร์ปอเรชั่น วิถีแห่งไมโครซอฟต์​​ 
เรดมอนด์ วอชิงตัน 98052 สหรัฐอเมริกา โทรศัพท์: (+1) 425-882-8080​​ 
การสนับสนุนกระบวนการทางธุรกิจสำหรับการสื่อสาร (อีเมล) และการจัดการบริการ​​ 
350 ถนนบุช ชั้น 13​​ 
ซานฟรานซิสโก, แคลิฟอร์เนีย 94104, สหรัฐอเมริกา​​ 
+1 415 701 1110​​ 
การสนับสนุนกระบวนการทางธุรกิจสำหรับการจัดการบริการ​​ 
DocuSign International (EMEA) Ltd, เรียน: ทีมงานด้านความเป็นส่วนตัว, 5 Hanover Quay, ชั้นล่าง, ดับลิน 2 สาธารณรัฐไอร์แลนด์​​ 
การจัดการเอกสาร​​ 
อาคาร Salesforce Tower, 415 Mission Street, ชั้น 3 , ซานฟรานซิสโก, CA 94105, สหรัฐอเมริกา​​ 
1-800-387-3285​​ 
การสนับสนุนกระบวนการทางธุรกิจสำหรับการจัดการความสัมพันธ์กับลูกค้า (CRM)​​ 
989 ถนนมาร์เก็ต​​ 
ซานฟรานซิสโก, แคลิฟอร์เนีย 94103, สหรัฐอเมริกา​​ 
888-670-4887​​ 
สอบถามข้อมูลฝ่ายบริการลูกค้า (Helpdesk)​​ 
2225 Lawson Lane ซานตาคลารา, CA , 95054​​ 
สหรัฐอเมริกา​​ 
การสนับสนุนกระบวนการทางธุรกิจสำหรับการจัดการบริการและปฏิบัติการด้านไอที ประสบการณ์ของพนักงานและลูกค้าผ่านทาง (​​ เวิร์กโฟลว์บนคลาวด์อัตโนมัติ)​​ 
160 สเปียร์สตรีท ชั้น 15ซานฟรานซิสโก แคลิฟอร์เนีย 94105 1-866-330-0121​​ 
สหรัฐอเมริกา​​ 
โครงสร้างพื้นฐานคลังข้อมูลบนคลาวด์​​ 
620 8th​​  อเวนิว 45​​ th​​  ชั้น​​ 
นิวยอร์ก, นิวยอร์ก 10018​​ 
สหรัฐอเมริกา​​ 
เครื่องมือตรวจสอบและแก้ไขข้อผิดพลาดของบริการ​​ 
ถนนอเวนิวหลุยส์ 54, ห้อง s52,​​ 
1050 บรัสเซลส์​​ 
เบลเยียม​​ 
ระบบประมวลผลการชำระเงินออนไลน์​​ 
1600 ถนนแอมฟิเธียเตอร์พาร์คเวย์, เมาน์เทนวิว, แคลิฟอร์เนีย 94043​​ 
การสนับสนุนกระบวนการทางธุรกิจด้านการสื่อสาร (อีเมล) และการจัดเก็บเอกสารภายใน​​