ภาคผนวกการประมวลผลข้อมูล

 

ภาคผนวกนี้เป็นส่วนหนึ่งของสัญญาและเข้าทำโดย:

 

  1. (i) ลูกค้า (" ผู้ส่งออกข้อมูล ")
  2. (ii) IQUALIF (" ผู้นำเข้าข้อมูล ")

 

แต่ละคนเป็น " ปาร์ตี้ " และโดยทั่วไป " ปาร์ตี้ "

 

คำนำ

โดยที่ Data Importer ให้บริการซอฟต์แวร์ระดับมืออาชีพ คอมพิวเตอร์ และบริการที่เกี่ยวข้อง (เช่น เบราว์เซอร์ที่มีฟังก์ชันการค้นหาขั้นสูง)

ตามสัญญา ผู้นำเข้าข้อมูลได้ตกลงที่จะให้บริการตามที่ระบุไว้ในสัญญาแก่ผู้ส่งออกข้อมูล (" บริการ ")

โดยการให้บริการ ผู้นำเข้าข้อมูลได้รับหรือได้รับประโยชน์จากการเข้าถึงข้อมูลของผู้ส่งออกข้อมูลหรือข้อมูลของบุคคลอื่นที่มีความสัมพันธ์ (ที่มีศักยภาพ) กับผู้ส่งออกข้อมูล ข้อมูลดังกล่าวอาจเข้าข่ายเป็นข้อมูลส่วนบุคคลตามความหมายของข้อบังคับ (EU) 2016/679 ของรัฐสภายุโรปและคณะมนตรีเมื่อวันที่ 27 เมษายน 2016 ว่าด้วยการปกป้องบุคคลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและการเคลื่อนย้ายข้อมูลดังกล่าวโดยเสรี (" GDPR ") และกฎหมายคุ้มครองข้อมูลอื่นๆ ที่เกี่ยวข้อง

ภาคผนวกนี้มีข้อกำหนดและเงื่อนไขที่ใช้บังคับกับการรวบรวม การประมวลผล และการใช้ข้อมูลส่วนบุคคลดังกล่าวโดยผู้นำเข้าข้อมูลในฐานะตัวแทนการประมวลผลข้อมูลที่ได้รับอนุญาตของผู้ส่งออกข้อมูล เพื่อให้แน่ใจว่าคู่สัญญาปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง .

 

ดังนั้น และเพื่อให้คู่สัญญาสามารถสานต่อความสัมพันธ์ของตนได้ถูกต้องตามกฎหมาย ทั้งสองฝ่ายได้สรุปภาคผนวกนี้ดังนี้:

ส่วนที่ 1

 

1. โครงสร้างของเอกสารและคำจำกัดความ

1.1 โครงสร้าง

ภาคผนวกนี้ประกอบด้วยส่วนต่างๆ ดังนี้

 

ส่วนที่ 1: 

มีข้อกำหนดทั่วไป เช่น เกี่ยวกับคำจำกัดความที่ใช้ในภาคผนวกนี้ การปฏิบัติตามกฎหมายท้องถิ่น ระยะเวลา และการสิ้นสุด

 

ส่วนที่ 2:

มีเนื้อหาของเอกสารข้อสัญญามาตรฐานที่ยังไม่ได้แก้ไข

 

ภาคผนวก 1.1 ของส่วนที่ 2:

มีรายละเอียดของการดำเนินการประมวลผลที่ผู้นำเข้าข้อมูลมอบให้ผู้ส่งออกข้อมูลในฐานะตัวแทนประมวลผลข้อมูลที่ได้รับอนุญาต (รวมถึงการประมวลผล ลักษณะและวัตถุประสงค์ของการประมวลผล ประเภทของข้อมูลส่วนบุคคล และหมวดหมู่ของเจ้าของข้อมูล) ภายใต้นี้ ภาคผนวก

 

ภาคผนวก 2 ของส่วนที่ 2:

มีคำอธิบายเกี่ยวกับมาตรการรักษาความปลอดภัยทางเทคนิคและองค์กรของผู้นำเข้าข้อมูล ซึ่งใช้กับกิจกรรมการประมวลผลทั้งหมดที่อธิบายไว้ในภาคผนวก 1.1 ของส่วนที่ 2

 

ส่วนที่ 3:

มีลายเซ็นของคู่สัญญาที่จะผูกพันตามภาคผนวกนี้และระบุผู้นำเข้าข้อมูลแต่ละราย

 

 

1.2 คำศัพท์และคำจำกัดความ

สำหรับวัตถุประสงค์ของภาคผนวกนี้ คำศัพท์และคำจำกัดความที่ใช้โดย GDPR มีผลบังคับใช้ (ในเนื้อหาของเอกสารข้อสัญญามาตรฐานในส่วนที่ 2 โดยที่ข้อกำหนดที่กำหนดไว้จะไม่เป็นตัวพิมพ์ใหญ่) 

 

"ประเทศสมาชิก"

หมายความว่า ประเทศที่เป็นของสหภาพยุโรปหรือเขตเศรษฐกิจยุโรป

 

"หมวดหมู่พิเศษของข้อมูล (ส่วนบุคคล)"

หมายถึงข้อมูลส่วนบุคคลที่เปิดเผยเชื้อชาติหรือชาติพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา หรือการเป็นสมาชิกสหภาพแรงงาน และข้อมูลทางพันธุกรรม ข้อมูลไบโอเมตริก หากประมวลผลเพื่อวัตถุประสงค์ในการระบุตัวบุคคล ข้อมูลเกี่ยวกับสุขภาพ ข้อมูลเกี่ยวกับเพศของบุคคล ชีวิตหรือรสนิยมทางเพศ

 

"ข้อสัญญามาตรฐาน"

หมายถึง Standard Contractual Clauses สำหรับการถ่ายโอนข้อมูลส่วนบุคคลของตัวแทนการประมวลผลที่จัดตั้งขึ้นในประเทศที่สาม ภายใต้ Commission Decision 2010/87/EU เมื่อวันที่ 5 กุมภาพันธ์ 2010 ซึ่งได้รับการแก้ไขโดย Commission Implementing Decision (EU) 2016/2297 ในวันที่ 16 ของ ธันวาคม 2559

 

“ตัวประมวลผลข้อมูล”

หมายถึงตัวแทนประมวลผลใดๆ ที่อยู่ภายในหรือนอก EU/EEA ซึ่งตกลงที่จะรับจากผู้นำเข้าข้อมูลหรือผู้ประมวลผลอื่นๆ ของผู้นำเข้าข้อมูล ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เฉพาะในการประมวลผลกิจกรรมที่ดำเนินการโดยผู้ส่งออกข้อมูลหลังจาก โอนตามคำแนะนำของผู้ส่งออกข้อมูล ข้อกำหนดของภาคผนวกนี้ และสัญญากับผู้นำเข้าข้อมูล

 

 

 

2. ภาระหน้าที่ของผู้ส่งออกข้อมูล

2.1 ผู้ส่งออกข้อมูลมีภาระหน้าที่ที่จะต้องตรวจสอบให้แน่ใจว่ามีการปฏิบัติตามภาระหน้าที่ที่เกี่ยวข้องทั้งหมดภายใต้ GDPR และกฎหมายคุ้มครองข้อมูลอื่นๆ ที่บังคับใช้ซึ่งมีผลบังคับใช้กับผู้ส่งออกข้อมูล และเพื่อแสดงการปฏิบัติตามข้อกำหนดดังกล่าวตามมาตรา 5 (2) ของ GDPR ผู้ส่งออกข้อมูลรับประกันว่าผู้นำเข้าข้อมูลได้รับความยินยอมล่วงหน้าจากเจ้าของข้อมูลตามมาตรา 6 (a) ของ GDPR และได้ปฏิบัติตามภาระหน้าที่ในการแจ้งเจ้าของข้อมูลตามมาตรา 13 และ 14 ของ GDPR

2.2 ผู้ส่งออกข้อมูลต้องจัดเตรียมไฟล์ที่เกี่ยวข้องของกิจกรรมการประมวลผลให้กับผู้นำเข้าข้อมูลตามมาตรา 30 (1) ของ GDPR ที่เกี่ยวข้องกับบริการภายใต้ภาคผนวกนี้ ในขอบเขตที่จำเป็นสำหรับผู้นำเข้าข้อมูลในการปฏิบัติตามภาระผูกพันภายใต้ มาตรา 30 (2) ของ GDPR

2.3 ผู้ส่งออกข้อมูลต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลหรือตัวแทนในขอบเขตที่กำหนดโดยกฎหมายคุ้มครองข้อมูลที่บังคับใช้ ผู้ส่งออกข้อมูลมีหน้าที่ให้รายละเอียดการติดต่อของตัวแทนหรือตัวแทนในการปกป้องข้อมูล หากมี แก่ผู้นำเข้าข้อมูล

2.4. ผู้ส่งออกข้อมูลยืนยันก่อนที่จะเสร็จสิ้นการประมวลผล โดยการยอมรับภาคผนวกนี้ว่ามาตรการด้านความปลอดภัยทางเทคนิคและองค์กรของผู้นำเข้าข้อมูลตามที่กำหนดไว้ในภาคผนวก 2 ถึงส่วนที่ 2 มีความเหมาะสมและเพียงพอที่จะปกป้องสิทธิ์ของเจ้าของข้อมูล และยืนยันว่าผู้นำเข้าข้อมูลมีการป้องกันที่เพียงพอในส่วนนี้

 

3. การปฏิบัติตามกฎหมายท้องถิ่น

เพื่อให้เป็นไปตามข้อกำหนดของการดำเนินการตัวแทนดำเนินการตามมาตรา 28 ของ GDPR การแก้ไขต่อไปนี้จะมีผลบังคับใช้:

 

3.1 คำแนะนำ

  1. (i) ผู้ส่งออกข้อมูลสั่งให้ผู้นำเข้าข้อมูลประมวลผลข้อมูลส่วนบุคคลในนามของผู้ส่งออกข้อมูลเท่านั้น คำแนะนำของผู้ส่งออกข้อมูลมีอยู่ในภาคผนวกนี้และในสัญญา ผู้ส่งออกข้อมูลมีภาระหน้าที่ที่จะต้องตรวจสอบให้แน่ใจว่าคำสั่งทั้งหมดนั้นมอบให้กับผู้นำเข้าข้อมูลนั้นสอดคล้องกับกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง ผู้นำเข้าข้อมูลต้องประมวลผลข้อมูลส่วนบุคคลตามคำแนะนำของผู้ส่งออกข้อมูลเท่านั้น เว้นแต่จะกำหนดเป็นอย่างอื่นโดยสหภาพยุโรปหรือกฎหมายของประเทศสมาชิก (ในกรณีหลัง จะใช้ส่วนที่ 1 ข้อ 3.2 (iv) (c)) .
  2. (ii) คำแนะนำอื่น ๆ ทั้งหมดที่นอกเหนือไปจากคำแนะนำในภาคผนวกนี้หรือในสัญญาจะต้องรวมอยู่ในหัวเรื่องของภาคผนวกนี้และสัญญา หากการใช้คำสั่งเพิ่มเติมนี้มีค่าใช้จ่ายสำหรับผู้นำเข้าข้อมูล ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบถึงค่าใช้จ่ายดังกล่าวและให้คำอธิบายก่อนดำเนินการตามคำแนะนำ หลังจากที่ผู้ส่งออกข้อมูลได้ยืนยันการยอมรับค่าใช้จ่ายเหล่านี้สำหรับการดำเนินการตามคำสั่งแล้ว ผู้นำเข้าข้อมูลจะต้องดำเนินการตามคำแนะนำเพิ่มเติมนี้ ผู้ส่งออกข้อมูลต้องให้คำแนะนำเพิ่มเติมเป็นลายลักษณ์อักษร เว้นแต่ความเร่งด่วนหรือสถานการณ์เฉพาะอื่น ๆ จำเป็นต้องมีแบบฟอร์มอื่น (เช่น ทางปาก ทางอิเล็กทรอนิกส์) คำแนะนำในรูปแบบอื่นที่ไม่ใช่ลายลักษณ์อักษรจะต้องได้รับการยืนยันเป็นลายลักษณ์อักษรและโดยผู้ส่งออกข้อมูลโดยไม่ชักช้า
  3. 1. เว้นแต่ผู้ส่งออกข้อมูลไม่สามารถดำเนินการแก้ไข ลบ หรือจำกัดข้อมูลส่วนบุคคลด้วยตัวเอง คำแนะนำอาจเกี่ยวข้องกับการแก้ไข ลบ และ/หรือการจำกัดข้อมูลส่วนบุคคลตามที่กำหนดไว้ในส่วนที่ 1 ข้อ 3.3
  4. 2. ผู้นำเข้าข้อมูลต้องแจ้งให้ผู้ส่งออกข้อมูลทราบทันที หากเห็นว่าคำสั่งละเมิด GDPR หรือข้อกำหนดการคุ้มครองข้อมูลอื่นๆ ที่เกี่ยวข้องของสหภาพยุโรปหรือประเทศสมาชิก (" คำสั่งโต้แย้งหากหน่วยงานกำกับดูแลประกาศว่าคำสั่งที่ถูกท้าทายนั้นถูกกฎหมาย ผู้นำเข้าข้อมูลจะต้องดำเนินการตามคำสั่งที่ท้าทาย ส่วนที่ 1 ข้อ 3.1 (ii) จะยังคงมีผลบังคับใช้

 

3.2 ภาระหน้าที่ของผู้นำเข้าข้อมูล

  1. (i) ผู้นำเข้าข้อมูลต้องตรวจสอบให้แน่ใจว่าบุคคลที่ได้รับอนุญาตจากผู้นำเข้าข้อมูลในการประมวลผลข้อมูลส่วนบุคคลในนามของผู้ส่งออกข้อมูล โดยเฉพาะอย่างยิ่ง พนักงานของผู้นำเข้าข้อมูล และพนักงานของผู้รับเหมาช่วง ได้ดำเนินการรักษาความลับหรืออยู่ภายใต้ หน้าที่ตามกฎหมายที่เหมาะสมในการรักษาความลับ และบุคคลที่สามารถเข้าถึงข้อมูลส่วนบุคคลดังกล่าวจะประมวลผลข้อมูลดังกล่าวตามคำแนะนำของผู้ส่งออกข้อมูล
  2. (ii) ผู้นำเข้าข้อมูลต้องใช้มาตรการทางเทคนิคและความปลอดภัยขององค์กรตามที่กำหนดไว้ในภาคผนวก 2 ถึงส่วนที่ 2 ก่อนที่จะประมวลผลข้อมูลส่วนบุคคลในนามของผู้ส่งออกข้อมูล ผู้นำเข้าข้อมูลอาจเปลี่ยนแปลงมาตรการทางเทคนิคและความปลอดภัยขององค์กรเป็นครั้งคราว หากไม่มีการป้องกันน้อยกว่าที่กำหนดไว้ในภาคผนวก 2 ถึงส่วนที่ 2
  3. (iii) ผู้นำเข้าข้อมูลจะต้องจัดให้มีข้อมูลสำหรับผู้ส่งออกข้อมูล เมื่อมีการร้องขอโดยผู้ส่งออกข้อมูล ข้อมูลเพื่อแสดงการปฏิบัติตามภาระหน้าที่ของผู้นำเข้าข้อมูลภายใต้ภาคผนวกนี้ คู่สัญญาทั้งสองฝ่ายตกลงว่าข้อผูกมัดด้านข้อมูลนี้จะบรรลุผลโดยการให้รายงานการตรวจสอบแก่ผู้ส่งออกข้อมูล (ครอบคลุมการรักษาความปลอดภัยของหลักการ ความพร้อมใช้งานของระบบ และการรักษาความลับ) ("รายงานการตรวจสอบ") หากกฎหมายกำหนดให้มีกิจกรรมการตรวจสอบเพิ่มเติม ผู้ส่งออกข้อมูลอาจขอให้ผู้ส่งออกข้อมูลเป็นผู้ดำเนินการตรวจสอบหรือผู้ตรวจสอบรายอื่นที่ได้รับการแต่งตั้งโดยผู้ส่งออกข้อมูล ทั้งนี้ขึ้นอยู่กับการปฏิบัติตามข้อตกลงการรักษาความลับกับผู้นำเข้าข้อมูลของผู้นำเข้าข้อมูล ความพอใจตามสมควร ("ตรวจสอบ") การตรวจสอบนี้อยู่ภายใต้เงื่อนไขดังต่อไปนี้: (i) การยอมรับอย่างเป็นลายลักษณ์อักษรล่วงหน้าของผู้นำเข้าข้อมูล และ (ii) ผู้ส่งออกข้อมูลจะต้องรับผิดชอบค่าใช้จ่ายทั้งหมดที่เกี่ยวข้องกับการตรวจสอบในสถานที่สำหรับผู้ส่งออกข้อมูลและผู้นำเข้าข้อมูล ผู้ส่งออกข้อมูลต้องสร้างรายงานการตรวจสอบโดยสรุปผลและข้อสังเกตของการตรวจสอบในสถานที่ ("รายงานการตรวจสอบในสถานที่") รายงานการตรวจสอบในสถานที่และรายงานการตรวจสอบเป็นข้อมูลที่เป็นความลับของผู้นำเข้าข้อมูลและต้องไม่เปิดเผยต่อบุคคลที่สาม เว้นแต่จะกำหนดโดยกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องหรือตามความยินยอมของผู้นำเข้าข้อมูล
  4. (iv) ผู้นำเข้าข้อมูลมีหน้าที่ต้องแจ้งให้ผู้ส่งออกข้อมูลทราบโดยไม่ชักช้า:
    1. ก. เกี่ยวกับคำขอที่มีผลผูกพันทางกฎหมายสำหรับการเปิดเผยข้อมูลส่วนบุคคลโดยหน่วยงานบังคับใช้กฎหมาย เว้นแต่จะห้ามไว้เป็นอย่างอื่น เช่น การห้ามภายใต้กฎหมายอาญาเพื่อปกป้องความลับของการสอบสวนของหน่วยงานบังคับใช้กฎหมาย
    2. ข. เกี่ยวกับการร้องเรียนและคำขอที่ได้รับโดยตรงจากเจ้าของข้อมูล (เช่น เกี่ยวกับการเข้าถึง การแก้ไข การลบ การจำกัดการประมวลผล การเคลื่อนย้ายข้อมูล การคัดค้านการประมวลผลข้อมูล การตัดสินใจโดยอัตโนมัติ) โดยไม่ตอบสนองต่อคำขอนั้น เว้นแต่ผู้นำเข้าข้อมูลจะได้รับอนุญาตให้ ทำอย่างนั้น
    3. ค. หากผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลมีหน้าที่ตามกฎหมายของสหภาพยุโรปหรือประเทศสมาชิกที่ผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลอยู่ภายใต้บังคับ ในการประมวลผลข้อมูลส่วนบุคคลนอกเหนือจากคำแนะนำของผู้ส่งออกข้อมูล ก่อนดำเนินการประมวลผลดังกล่าวเกินกว่า คำแนะนำ เว้นแต่กฎหมายของสหภาพยุโรปหรือประเทศสมาชิกห้ามไม่ให้มีการประมวลผลดังกล่าวโดยมีเหตุผลสำคัญต่อผลประโยชน์สาธารณะ ซึ่งในกรณีนี้ การแจ้งไปยังผู้ส่งออกข้อมูลจะต้องระบุข้อกำหนดทางกฎหมายภายใต้กฎหมายของสหภาพยุโรปหรือประเทศสมาชิกนั้น หรือ
    4. ง. หากผู้นำเข้าข้อมูลพบว่ามีการละเมิดข้อมูลส่วนบุคคลเพียงเพราะตัวมันเองหรือผู้รับเหมาช่วง ซึ่งจะส่งผลต่อข้อมูลส่วนบุคคลของผู้ส่งออกข้อมูลที่อยู่ในสัญญาปัจจุบัน ซึ่งในกรณีนี้ ผู้นำเข้าข้อมูลจะช่วยเหลือผู้ส่งออกข้อมูลตามภาระหน้าที่ของตน vis-Ã -vis กฎหมายคุ้มครองข้อมูลที่บังคับใช้ เพื่อแจ้งให้เจ้าของข้อมูลและหน่วยงานกำกับดูแล (หากมี) โดยการให้ข้อมูล ณ การกำจัดตามมาตรา 33 (3) ของ GDPR
    5. (v) ตามคำร้องขอของผู้ส่งออกข้อมูล ผู้นำเข้าข้อมูลจะถูกบังคับให้ช่วยเหลือผู้ส่งออกข้อมูลตามภาระหน้าที่ในการดำเนินการประเมินผลกระทบด้านการปกป้องข้อมูลที่อาจกำหนดโดยมาตรา 35 ของ GDPR และการปรึกษาหารือล่วงหน้าที่อาจ กำหนดโดยมาตรา 36 ของ GDPR เกี่ยวกับบริการที่ผู้นำเข้าข้อมูลมอบให้ผู้ส่งออกข้อมูลภายใต้ภาคผนวกนี้ โดยให้ข้อมูลที่จำเป็นและข้อมูลแก่ผู้ส่งออกข้อมูล ผู้นำเข้าข้อมูลมีหน้าที่ต้องให้ความช่วยเหลือดังกล่าวก็ต่อเมื่อผู้ส่งออกข้อมูลไม่สามารถปฏิบัติตามภาระหน้าที่ของตนด้วยวิธีอื่นได้ ผู้นำเข้าข้อมูลจะแนะนำผู้ส่งออกข้อมูลถึงค่าใช้จ่ายของความช่วยเหลือดังกล่าว ทันทีที่ผู้ส่งออกข้อมูลยืนยันว่าสามารถแบกรับค่าใช้จ่ายนี้ได้ ผู้นำเข้าข้อมูลจะให้ความช่วยเหลือแก่ผู้ส่งออกข้อมูล
    6. (vi) เมื่อสิ้นสุดการให้บริการ ผู้ส่งออกข้อมูลอาจร้องขอให้ส่งคืนข้อมูลส่วนบุคคลที่ประมวลผลโดยผู้นำเข้าข้อมูลภายใต้ภาคผนวกนี้ภายในหนึ่งเดือนหลังจากบริการ เว้นแต่กฎหมายของประเทศสมาชิกหรือสหภาพยุโรปกำหนดให้ผู้นำเข้าข้อมูลจัดเก็บหรือเก็บรักษาข้อมูลส่วนบุคคลดังกล่าว ผู้นำเข้าข้อมูลจะลบข้อมูลส่วนบุคคลหรือข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคลดังกล่าวทั้งหมดหลังจากระยะเวลาหนึ่งเดือน ไม่ว่าข้อมูลเหล่านั้นจะถูกส่งคืนไปยัง ผู้ส่งออกข้อมูลตามคำขอหรือไม่

 

3.3 สิทธิของบุคคลที่เกี่ยวข้อง

  1.  
    1. (i) ผู้ส่งออกข้อมูลจัดการและตอบสนองต่อคำขอที่ทำโดยเจ้าของข้อมูล ผู้นำเข้าข้อมูลไม่จำเป็นต้องตอบสนองต่อเจ้าของข้อมูลโดยตรง
    2. (ii) หากผู้ส่งออกข้อมูลต้องการความช่วยเหลือจากผู้นำเข้าข้อมูลในการประมวลผลและตอบสนองต่อคำขอของเจ้าของข้อมูล ผู้ส่งออกข้อมูลจะออกคำสั่งเพิ่มเติมตามข้อ 3.1 (ii) ของส่วนที่ 1 ผู้นำเข้าข้อมูลจะช่วยเหลือผู้ส่งออกข้อมูล ด้วยมาตรการขององค์กรที่เหมาะสมและทางเทคนิคเพื่อตอบสนองต่อการร้องขอการใช้สิทธิ์ของเจ้าของข้อมูลที่กำหนดไว้ในบทที่ 3 ของ GDPR ดังนี้:
    3. ก. เกี่ยวกับการขอข้อมูล ผู้นำเข้าข้อมูลจะให้เฉพาะข้อมูลที่จำเป็นต่อผู้ส่งออกข้อมูลตามมาตรา 13 และ 14 ของ PGRD ที่อาจมีในการกำจัดหากผู้ส่งออกข้อมูลไม่พบข้อมูลดังกล่าวด้วยตนเอง
    4. ข. เกี่ยวกับคำขอเข้าถึง (มาตรา 15 ของ GDPR) ผู้นำเข้าข้อมูลจะให้เฉพาะข้อมูลแก่ผู้ส่งออกข้อมูลที่ควรจะมอบให้กับเจ้าของข้อมูลสำหรับคำขอเข้าถึงดังกล่าว ซึ่งอาจมีไว้ใช้หาก หลังไม่สามารถหามันได้โดยลำพัง
    5. ค. เกี่ยวกับคำขอให้แก้ไข (มาตรา 16 ของ GDPR) คำขอให้ลบออก (มาตรา 17 ของ GDPR) การจำกัดคำขอสำหรับการประมวลผล (มาตรา 18 ของ GDPR) หรือคำขอให้เคลื่อนย้ายได้ (มาตรา 20 ของ GDPR) และเท่านั้น หากผู้ส่งออกข้อมูลไม่สามารถแก้ไขหรือลบ จำกัด หรือส่งข้อมูลส่วนบุคคลไปยังบุคคลที่สามอื่นได้ ผู้นำเข้าข้อมูลจะเสนอความเป็นไปได้แก่ผู้ส่งออกข้อมูลเพื่อแก้ไขหรือลบ จำกัด หรือส่งข้อมูลส่วนบุคคลที่เกี่ยวข้องไปยังบุคคลที่สามอื่น ๆ หรือหากเป็นไปไม่ได้ จะให้ความช่วยเหลือในการแก้ไขหรือลบ จำกัด หรือส่งข้อมูลส่วนบุคคลที่เกี่ยวข้องไปยังบุคคลที่สาม
    6. ง. เกี่ยวกับการแจ้งเตือนเกี่ยวกับการแก้ไข การลบ หรือการจำกัดการประมวลผล (มาตรา 19 ของ GDPR) ผู้นำเข้าข้อมูลจะช่วยเหลือผู้ส่งออกข้อมูลโดยแจ้งผู้รับข้อมูลส่วนบุคคลทั้งหมดที่ผู้นำเข้าข้อมูลมีส่วนร่วมในฐานะผู้ประมวลผล หากผู้ส่งออกข้อมูลร้องขอและ หากผู้ส่งออกข้อมูลไม่สามารถแก้ไขสถานการณ์ได้ด้วยตนเอง
    7. อี เกี่ยวกับสิทธิ์ของการคัดค้านที่ใช้โดยเจ้าของข้อมูล (มาตรา 21 และ 22 ของ GDPR) ผู้ส่งออกข้อมูลจะพิจารณาว่าฝ่ายค้านนั้นถูกต้องตามกฎหมายหรือไม่และจะจัดการกับมันอย่างไร
    8. (iii) ภาระหน้าที่ในความช่วยเหลือของผู้นำเข้าข้อมูลจะจำกัดเฉพาะข้อมูลส่วนบุคคลที่ประมวลผลภายในโครงสร้างพื้นฐานของตน (เช่น ฐานข้อมูล ระบบ แอปพลิเคชันที่ผู้นำเข้าข้อมูลเป็นเจ้าของหรือจัดหาให้)
    9. (iv) ผู้ส่งออกข้อมูลจะต้องพิจารณาว่าเจ้าของข้อมูลอาจใช้สิทธิ์ของเจ้าของข้อมูลที่กำหนดไว้ในข้อ 3.1 ของส่วนที่ 1 นี้หรือไม่ และจะแนะนำให้ผู้นำเข้าข้อมูลทราบถึงขอบเขตความช่วยเหลือที่ระบุไว้ในข้อ 3.3 (ii) ( iii) ของส่วนที่ 1 เป็นสิ่งจำเป็น
    10. (v) หากผู้ส่งออกข้อมูลร้องขอเพิ่มเติมหรือแก้ไขมาตรการทางเทคนิคและองค์กรเพื่อให้เป็นไปตามสิทธิ์ของเจ้าของข้อมูลซึ่งนอกเหนือไปจากความช่วยเหลือที่ได้รับจากผู้นำเข้าข้อมูลภายใต้ข้อย่อย 3.3 (ii), (iii) ของส่วนที่ 1 ข้อมูล ผู้นำเข้าต้องแจ้งให้ผู้ส่งออกข้อมูลทราบถึงค่าใช้จ่ายในการดำเนินมาตรการทางเทคนิคและองค์กรเพิ่มเติมหรือแก้ไขดังกล่าว ทันทีที่ผู้ส่งออกข้อมูลยืนยันว่าสามารถชำระค่าใช้จ่ายเหล่านี้ได้ ผู้นำเข้าข้อมูลจะต้องใช้มาตรการทางเทคนิคและองค์กรเพิ่มเติมหรือแก้ไขดังกล่าวเพื่อช่วยผู้ส่งออกข้อมูลในการตอบสนองต่อคำขอของเจ้าของข้อมูล
    11. (vi) โดยไม่จำกัดขอบเขตของข้อ 3.3 (v) ของส่วนที่ 1 ผู้ส่งออกข้อมูลมีหน้าที่ต้องชำระเงินคืนให้กับผู้นำเข้าข้อมูลสำหรับค่าใช้จ่ายที่สมเหตุสมผลที่เกิดขึ้นในการตอบสนองต่อคำขอของเจ้าของข้อมูล

 

3.4 การประมวลผลย่อย

  1.  
    1. (i) ผู้ส่งออกข้อมูลอนุญาตให้ผู้นำเข้าข้อมูลใช้ผู้รับเหมาช่วงเพื่อให้บริการภายใต้ภาคผนวกนี้ ผู้นำเข้าข้อมูลจะต้องเลือกผู้ประมวลผลข้อมูลดังกล่าวอย่างระมัดระวัง ผู้ส่งออกข้อมูลอนุมัติผู้ประมวลผลข้อมูลที่ระบุไว้ในภาคผนวก 1.1 ที่ส่วนท้ายของส่วนที่ 2
    2. (ii) ผู้นำเข้าข้อมูลจะต้องโอนภาระหน้าที่ของตนภายใต้ภาคผนวกนี้ไปยังผู้ประมวลผลข้อมูลในขอบเขตที่บังคับใช้กับบริการที่ทำสัญญาช่วง
    3. (iii) ผู้นำเข้าข้อมูลอาจยกเลิก แทนที่ หรือแต่งตั้งผู้ประมวลผลข้อมูลที่เหมาะสมและเชื่อถือได้ตามดุลยพินิจของตน หากผู้ส่งออกข้อมูลร้องขอเป็นลายลักษณ์อักษร ผู้นำเข้าข้อมูลต้องปฏิบัติตามขั้นตอนที่กำหนดไว้ด้านล่าง:
  2.  
    1. ก. ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบก่อนการเปลี่ยนแปลงใดๆ ในรายการผู้ประมวลผลข้อมูลที่อ้างอิงตามข้อ 3.4 (i) ของส่วนที่ 1 หากผู้ส่งออกข้อมูลไม่คัดค้านภายใต้ข้อ 3.4 (b) ของส่วนที่ 1 สามสิบวันหลังจากได้รับแจ้งจากผู้นำเข้าข้อมูล ให้ถือว่าผู้ประมวลผลข้อมูลเพิ่มเติมได้รับการยอมรับ
    2. ข. หากผู้ส่งออกข้อมูลมีเหตุผลที่ถูกต้องในการคัดค้านผู้ประมวลผลข้อมูลเพิ่มเติม จะมีการแจ้งเป็นลายลักษณ์อักษรล่วงหน้าไปยังผู้นำเข้าข้อมูลภายในสามสิบวันหลังจากได้รับแจ้งจากผู้นำเข้าข้อมูล และก่อนที่จะให้บริการของผู้นำเข้าข้อมูล หากผู้ส่งออกข้อมูลคัดค้านการใช้ตัวประมวลผลข้อมูลเพิ่มเติม ผู้นำเข้าข้อมูลอาจล้างการคัดค้านโดยหนึ่งในตัวเลือกต่อไปนี้ (เลือกตามดุลยพินิจของตน): (A) ผู้นำเข้าข้อมูลจะยกเลิกแผนการที่จะใช้ตัวประมวลผลเพิ่มเติมเกี่ยวกับ ข้อมูลส่วนบุคคลของผู้ส่งออกข้อมูล (B) ผู้นำเข้าข้อมูลจะใช้มาตรการแก้ไขที่ร้องขอโดยผู้ส่งออกข้อมูลในการคัดค้าน (ยกเลิกการคัดค้าน) และใช้ตัวประมวลผลเพิ่มเติมเกี่ยวกับข้อมูลส่วนบุคคลของผู้ส่งออกข้อมูล
  3.  
    1. (iv) หากผู้ประมวลผลข้อมูลอยู่นอก EU-EEA ในประเทศที่ไม่ได้รับการยอมรับว่ามีการปกป้องข้อมูลในระดับที่เพียงพอตามการตัดสินใจของคณะกรรมาธิการยุโรป ผู้นำเข้าข้อมูลจะใช้มาตรการเพื่อให้สอดคล้องกับระดับที่เพียงพอ ของการปกป้องข้อมูลตาม GDPR (มาตรการดังกล่าวอาจรวมถึง - ท่ามกลางสิ่งอื่น ๆ และ - การใช้สัญญาการประมวลผลข้อมูลตามวรรคของแบบจำลองสหภาพยุโรป การถ่ายโอนไปยังผู้ประมวลผลข้อมูลที่รับรองด้วยตนเองในกรอบงานของ EU-US Protection Shield หรือโปรแกรมที่คล้ายกัน)

 

3.5 หมดอายุ

การหมดอายุของภาคผนวกนี้เหมือนกับวันหมดอายุของสัญญาที่เกี่ยวข้อง ยกเว้นที่ระบุไว้เป็นอย่างอื่นในภาคผนวกนี้ สิทธิ์และหน้าที่ที่เกี่ยวข้องกับการยกเลิกจะเหมือนกับที่มีอยู่ในสัญญา

 

4. ข้อจำกัดความรับผิด

4.1 แต่ละฝ่ายจัดการภาระผูกพันภายใต้ภาคผนวกนี้และกฎหมายคุ้มครองข้อมูลที่บังคับใช้

4.2 ความรับผิดใด ๆ ที่เกี่ยวข้องกับการฝ่าฝืนภาระผูกพันภายใต้ภาคผนวกนี้หรือกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องจะต้องอยู่ภายใต้และควบคุมโดยบทบัญญัติความรับผิดที่กำหนดไว้ในหรือบังคับใช้กับสัญญา ยกเว้นที่ระบุไว้เป็นอย่างอื่นในภาคผนวกนี้ หากความรับผิดอยู่ภายใต้ข้อกำหนดความรับผิดที่กำหนดไว้ในหรือบังคับใช้กับสัญญา สำหรับการคำนวณขีดจำกัดความรับผิดหรือการกำหนดการใช้ข้อจำกัดความรับผิดอื่นๆ ความรับผิดใดๆ ที่เกิดขึ้นภายใต้ภาคผนวกนี้จะถือว่าเกิดขึ้นภายใต้สัญญา

 

5. ข้อกำหนดทั่วไป

5.1 หากมีความไม่สอดคล้องหรือความคลาดเคลื่อนระหว่างส่วนที่ 1 และ 2 ของภาคผนวกนี้ ส่วนที่ 2 จะมีผลเหนือกว่า โดยเฉพาะในกรณีดังกล่าว ส่วนที่ 1 ซึ่งมากกว่าส่วนที่ 2 (เช่น เงื่อนไขของ Standard Clause) โดยไม่ขัดแย้งจะยังคงมีผลใช้บังคับ

5.2 หากเกิดความคลาดเคลื่อนระหว่างบทบัญญัติของภาคผนวกนี้กับสัญญาอื่นๆ ที่มีผลผูกพันคู่สัญญา ภาคผนวกนี้จะมีผลเหนือกว่าเกี่ยวกับภาระหน้าที่ในการปกป้องข้อมูลของคู่สัญญา ในกรณีที่มีข้อสงสัยว่าข้อกำหนดในสัญญาอื่นๆ เกี่ยวข้องกับภาระหน้าที่ในการปกป้องข้อมูลของคู่สัญญาหรือไม่ ภาคผนวกนี้จะมีผลเหนือกว่า

5.3 หากบทบัญญัติใดในภาคผนวกนี้ไม่ถูกต้องหรือไม่สามารถบังคับใช้ได้ ส่วนที่เหลือของภาคผนวกนี้จะยังคงมีผลบังคับอย่างสมบูรณ์ บทบัญญัติที่ไม่ถูกต้องหรือไม่สามารถบังคับใช้ได้จะ (i) แก้ไขเพื่อให้มั่นใจถึงความถูกต้องและการบังคับใช้ ในขณะที่รักษาเจตนาของคู่สัญญาให้มากที่สุดเท่าที่จะเป็นไปได้ หรือ - หากเป็นไปไม่ได้ - (ii) ตีความราวกับว่าส่วนที่ไม่ถูกต้องหรือไม่สามารถบังคับใช้ได้มี ไม่เคยเป็นส่วนหนึ่งของสัญญา สิ่งที่กล่าวมานี้จะใช้บังคับด้วยหากมีการละเว้นในภาคผนวกนี้

5.5 ในขอบเขตที่จำเป็น ภาคีอาจขอแก้ไขส่วนที่ 1 ข้อ 3 (การปฏิบัติตามกฎหมายท้องถิ่น) หรือส่วนอื่น ๆ ของภาคผนวก เพื่อให้สอดคล้องกับการตีความ คำสั่ง หรือคำสั่งที่ออกโดยหน่วยงานผู้มีอำนาจของสหภาพหรือ ประเทศสมาชิก บทบัญญัติการบังคับใช้ระดับชาติ หรือการพัฒนาทางกฎหมายอื่นๆ ที่เกี่ยวข้องกับ GDPR หรือเงื่อนไขอื่นๆ ของการมอบหมายให้กับหน่วยงานใดๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูล และโดยเฉพาะเกี่ยวกับการใช้ข้อสัญญามาตรฐานใน GDPR ข้อกำหนดของ Standard Contractual Clauses ไม่สามารถแก้ไขหรือเปลี่ยนได้ เว้นแต่คณะกรรมาธิการยุโรปจะอนุมัติอย่างชัดแจ้ง (เช่น มาตราใหม่ที่เพียงพอและมาตรฐานการปกป้องข้อมูล)

5.6 การอ้างอิงใด ๆ ในภาคผนวกนี้ถึง " ข้อ " จะต้องเข้าใจเพื่ออ้างถึงข้อกำหนดทั้งหมดของภาคผนวกนี้ เว้นแต่จะระบุไว้เป็นอย่างอื่น

5.7 การเลือกกฎหมายในส่วนที่ 2 ข้อ 9 ใช้กับสัญญาทั้งหมด

 

6. ข้อมูลส่วนบุคคลที่ส่งและประมวลผลโดยคู่กรณีเพื่อวัตถุประสงค์ส่วนตัว (ถ่ายโอนจากผู้ควบคุมข้อมูลไปยังผู้ควบคุมข้อมูล)

6.1 คู่สัญญาทราบดีว่าข้อมูลส่วนบุคคลบางอย่างจะถูกถ่ายโอนจากผู้ส่งออกข้อมูลไปยังผู้นำเข้าข้อมูล และในทางกลับกัน และข้อมูลดังกล่าวจะได้รับการประมวลผลโดยแต่ละฝ่ายเพื่อวัตถุประสงค์ของตนเอง เกี่ยวกับข้อมูลส่วนบุคคลดังกล่าว จะไม่ส่งผลกระทบต่อข้อกำหนดอื่นๆ ในภาคผนวกนี้ (ยกเว้นข้อ 6)

6.2 ผู้ส่งออกข้อมูลอาจถ่ายโอนข้อมูลส่วนบุคคลที่เกี่ยวข้องกับพนักงานของผู้นำเข้าข้อมูลไปยังผู้นำเข้าข้อมูล รวมถึงข้อมูลเกี่ยวกับเหตุการณ์ด้านความปลอดภัย หรือเอกสารหรือไฟล์อื่นใดที่สร้างหรือสร้างโดยผู้ส่งออกข้อมูลที่เกี่ยวข้องกับบริการที่จัดทำโดยเจ้าหน้าที่ของ ตัวนำเข้าข้อมูล ผู้นำเข้าข้อมูลอาจประมวลผลข้อมูลส่วนบุคคลดังกล่าวเพื่อวัตถุประสงค์ของตนเอง โดยเฉพาะอย่างยิ่งในความสัมพันธ์ทางวิชาชีพกับบุคลากรของผู้นำเข้าข้อมูล เพื่อการควบคุมคุณภาพและการฝึกอบรม หรือเพื่อวัตถุประสงค์ทางธุรกิจ

6.3. ผู้นำเข้าข้อมูลอาจถ่ายโอนข้อมูลส่วนบุคคลไปยังผู้ส่งออกข้อมูล ซึ่งรวมถึงชื่อและรายละเอียดการติดต่อของบุคลากรของผู้นำเข้าข้อมูล ผู้ส่งออกข้อมูลอาจประมวลผลข้อมูลส่วนบุคคลดังกล่าวเพื่อวัตถุประสงค์ของตนเอง

6.4 ทั้งสองฝ่ายจะต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง รวมถึง GDPR ในการรวบรวม ประมวลผล และใช้ข้อมูลส่วนบุคคลที่ได้รับจากอีกฝ่ายหนึ่งภายใต้ข้อ 1 ของส่วนที่ 1 โดยเฉพาะอย่างยิ่ง ทั้งสองฝ่ายต้องใช้มาตรการรักษาความปลอดภัยที่เพียงพอ ระดับการป้องกันที่ใกล้เคียงกันกับมาตรการรักษาความปลอดภัยที่กำหนดไว้ในภาคผนวก 2 ของส่วนที่ 2 การเข้าถึงข้อมูลส่วนบุคคลดังกล่าวจะถูกจำกัดให้จำเป็นต้องทราบ

6.5 ทั้งสองฝ่ายจะต้องลบข้อมูลส่วนบุคคลดังกล่าวโดยเร็วที่สุดหลังจากบรรลุวัตถุประสงค์แล้ว

ตอนที่ 2

 

การตัดสินใจของคณะกรรมการ

วันที่ 5 กุมภาพันธ์ 2553

ตามข้อสัญญามาตรฐานสำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังผู้ประมวลผลข้อมูลที่จัดตั้งขึ้นในประเทศบุคคลที่สามภายใต้คำสั่ง 95/46 / EC ของรัฐสภายุโรปและสภา

 

 

 

ข้อ 1

คำจำกัดความ

ภายในความหมายของข้อ:

ก) 'ข้อมูลส่วนบุคคล', 'หมวดหมู่พิเศษของข้อมูล', 'การประมวลผล/การประมวลผล', 'ผู้ควบคุม', 'ผู้ประมวลผล', 'เจ้าของข้อมูล' และ 'หน่วยงานกำกับดูแล' จะมีความหมายเช่นเดียวกับใน 95/46/EC คำสั่งของรัฐสภายุโรปและสภาแห่ง 24 ตุลาคม 2538 ว่าด้วยการปกป้องบุคคลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและการเคลื่อนย้ายข้อมูลดังกล่าวโดยเสรี (1);

ข) 'ผู้ส่งออกข้อมูล' คือผู้ควบคุมข้อมูลในการถ่ายโอนข้อมูลส่วนบุคคล

ค) 'ผู้นำเข้าข้อมูล' เป็นผู้ประมวลผลข้อมูลที่ตกลงที่จะได้รับจากข้อมูลส่วนบุคคลของผู้ส่งออกข้อมูลที่ตั้งใจให้ดำเนินการในนามของผู้ส่งออกข้อมูลหลังจากการถ่ายโอนตามคำแนะนำและภายใต้เงื่อนไขของข้อเหล่านี้และผู้ที่ไม่ ภายใต้กลไกของประเทศที่สามเพื่อให้มั่นใจว่าได้รับการคุ้มครองอย่างเพียงพอตามความหมายของมาตรา 25(1) ของ Directive 95/46/EC (d) 'ผู้ประมวลผลข้อมูล' หมายถึงผู้ประมวลผลข้อมูลที่มีส่วนร่วมโดยผู้นำเข้าข้อมูลหรือโดยผู้ประมวลผลข้อมูลอื่น ๆ ของผู้นำเข้าข้อมูลซึ่งตกลงที่จะได้รับจากผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลอื่น ๆ ของข้อมูลส่วนบุคคลของผู้นำเข้าข้อมูลโดยเฉพาะสำหรับกิจกรรมการประมวลผลเพื่อ ดำเนินการในนามของผู้ส่งออกข้อมูลหลังจากโอนตามคำแนะนำของผู้ส่งออกข้อมูล

จ) "กฎหมายคุ้มครองข้อมูลที่บังคับใช้" หมายถึงกฎหมายที่คุ้มครองสิทธิและเสรีภาพขั้นพื้นฐานของบุคคล รวมถึงสิทธิในความเป็นส่วนตัวเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล และนำไปใช้กับผู้ควบคุมในประเทศสมาชิกที่จัดตั้งผู้ส่งออกข้อมูล

ฉ) “มาตรการทางเทคนิคและองค์กรที่เกี่ยวข้องกับความปลอดภัย” หมายถึง มาตรการที่มุ่งหมายเพื่อปกป้องข้อมูลส่วนบุคคลจากการทำลายโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย หรือการสูญหายโดยไม่ได้ตั้งใจ การเปลี่ยนแปลง การเปิดเผยหรือการเข้าถึงโดยไม่ได้รับอนุญาต โดยเฉพาะอย่างยิ่งเมื่อการประมวลผลเกี่ยวข้องกับการส่งข้อมูลผ่านเครือข่าย และต่อต้าน การประมวลผลรูปแบบอื่นๆ ที่ผิดกฎหมายทั้งหมด

ข้อ 2

รายละเอียดการโอนเงิน

รายละเอียดของการถ่ายโอน รวมถึงข้อมูลส่วนบุคคลประเภทพิเศษตามความเหมาะสม ระบุไว้ในภาคผนวก 1 ซึ่งเป็นส่วนหนึ่งของข้อกำหนดเหล่านี้

ข้อ 3

มาตราผู้รับผลประโยชน์บุคคลที่สาม

1. เจ้าของข้อมูลอาจบังคับใช้กับผู้ส่งออกข้อมูลในข้อนี้ ข้อ 4(b) ถึง (i) ข้อ 5(a) ถึง (e) และ (g) ถึง (j) ข้อ 6 (1) และ (2 ) ข้อ 7 ข้อ 8(2) และข้อ 9 ถึง 12 ในฐานะผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม

2. เจ้าของข้อมูลอาจบังคับใช้ข้อกำหนดนี้ ข้อ 5 (a) ถึง (e) และ (g) ข้อ 6 ข้อ 7 ข้อ 8 (2) และข้อ 9 ถึง 12 กับผู้นำเข้าข้อมูลซึ่งผู้ส่งออกข้อมูลมีอยู่จริง หายตัวไปหรือไม่มีอยู่ในกฎหมาย เว้นแต่ภาระผูกพันทางกฎหมายทั้งหมดของเขาจะถูกโอนโดยสัญญาหรือโดยการดำเนินการของกฎหมาย ไปยังนิติบุคคลที่รับช่วงต่อ ซึ่งสิทธิ์และภาระหน้าที่ของผู้ส่งออกข้อมูลจึงเปลี่ยนกลับ และขัดต่อข้อมูลดังกล่าว เรื่องจึงสามารถบังคับใช้ข้อดังกล่าวได้

เจ้าของข้อมูลอาจบังคับใช้ข้อนี้ ข้อ 5 (a) ถึง (e) และ (g) ข้อ 6 ข้อ 7 ข้อ 8 (2) และข้อ 9 ถึง 12 กับผู้ประมวลผลข้อมูล แต่เฉพาะในกรณีที่ข้อมูล ผู้ส่งออกและผู้นำเข้าข้อมูลได้หายตัวไปทางกายภาพ หยุดอยู่ในกฎหมายหรือล้มละลาย เว้นแต่ภาระผูกพันทางกฎหมายทั้งหมดของผู้ส่งออกข้อมูลได้รับการถ่ายโอนโดยสัญญาหรือโดยการดำเนินการตามกฎหมาย ไปยังผู้สืบทอดทางกฎหมายซึ่งได้รับสิทธิ์และ ภาระหน้าที่ของผู้ส่งออกข้อมูลจึงตกเป็นกรรมสิทธิ์ และผู้ที่เจ้าของข้อมูลอาจบังคับใช้ข้อกำหนดดังกล่าวได้ ความรับผิดของผู้ประมวลผลข้อมูลดังกล่าวจะต้องจำกัดเฉพาะกิจกรรมการประมวลผลของตนเองภายใต้ข้อเหล่านี้

4. คู่สัญญาไม่คัดค้านเจ้าของข้อมูลที่แสดงโดยสมาคมหรือหน่วยงานอื่น ๆ หากเขาหรือเธอต้องการและหากกฎหมายในประเทศอนุญาต

ข้อ 4

ภาระหน้าที่ของผู้ส่งออกข้อมูล

ผู้ส่งออกข้อมูลยอมรับและรับประกันสิ่งต่อไปนี้:

ก) การประมวลผล รวมถึงการถ่ายโอนข้อมูลส่วนบุคคลที่แท้จริง ได้รับและจะยังคงดำเนินการต่อไปตามบทบัญญัติที่เกี่ยวข้องของกฎหมายคุ้มครองข้อมูลที่บังคับใช้ (และหากมีการแจ้งไปยังหน่วยงานที่มีอำนาจของรัฐสมาชิก ซึ่งผู้ส่งออกข้อมูลตั้งอยู่) และไม่ละเมิดข้อกำหนดที่เกี่ยวข้องของรัฐนั้น

ข) พวกเขาได้แนะนำ และจะสั่งให้ผู้นำเข้าข้อมูลประมวลผลข้อมูลส่วนบุคคลที่ถ่ายโอนในนามของผู้ส่งออกข้อมูลเพียงผู้เดียวตลอดระยะเวลาของบริการประมวลผลข้อมูลส่วนบุคคล และเป็นไปตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้และข้อเหล่านี้

c) ผู้นำเข้าข้อมูลจะจัดให้มีการป้องกันที่เพียงพอเกี่ยวกับมาตรการทางเทคนิคและความปลอดภัยขององค์กรตามที่ระบุไว้ในภาคผนวก 2 ของสัญญาปัจจุบัน

d) หลังจากประเมินข้อกำหนดของกฎหมายคุ้มครองข้อมูลที่บังคับใช้ มาตรการรักษาความปลอดภัยก็เพียงพอที่จะปกป้องข้อมูลส่วนบุคคลจากการทำลายโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย หรือการสูญหายโดยไม่ได้ตั้งใจ การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึง โดยเฉพาะอย่างยิ่งในกรณีที่การประมวลผลเกี่ยวข้องกับการส่งข้อมูล ผ่านเครือข่ายและต่อต้านรูปแบบการประมวลผลที่ผิดกฎหมายอื่น ๆ และรับรองระดับความปลอดภัยที่เหมาะสมกับความเสี่ยงที่แสดงโดยการประมวลผลและลักษณะของข้อมูลที่จะได้รับการป้องกัน โดยคำนึงถึงระดับของเทคโนโลยีและค่าใช้จ่ายในการดำเนินการ

จ) พวกเขาจะรับรองการปฏิบัติตามมาตรการรักษาความปลอดภัย

f) หากการถ่ายโอนเกี่ยวข้องกับข้อมูลประเภทพิเศษ เจ้าของข้อมูลได้รับแจ้งหรือจะได้รับแจ้งก่อนการถ่ายโอนหรือโดยเร็วที่สุดหลังจากการถ่ายโอนข้อมูลของตนอาจถูกถ่ายโอนไปยังประเทศที่สามที่ไม่ได้เสนอ ระดับการป้องกันที่เพียงพอตามความหมายของ Directive 95/46/EC

g) พวกเขาจะส่งต่อการแจ้งเตือนใด ๆ ที่ได้รับจากผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลใด ๆ ภายใต้ข้อ 5 (b) และ 8 (3) ไปยังหน่วยงานกำกับดูแลด้านการปกป้องข้อมูล หากตัดสินใจที่จะถ่ายโอนต่อหรือยกเลิกการระงับ

h) พวกเขาจะต้องจัดให้มีสำเนาของข้อกำหนดเหล่านี้หากพวกเขาร้องขอ ยกเว้นภาคผนวก 2 และคำอธิบายโดยสรุปของมาตรการรักษาความปลอดภัย และสำเนาของข้อตกลงการรับเหมาช่วงเพิ่มเติมใด ๆ ที่สรุปภายใต้ข้อกำหนดเหล่านี้ เว้นแต่ ข้อหรือข้อตกลงมีข้อมูลทางการค้าซึ่งในกรณีนี้เขาอาจถอนข้อมูลดังกล่าว

ฌ) ในกรณีของการจ้างช่วงกระบวนการประมวลผลข้อมูล กิจกรรมการประมวลผลจะดำเนินการตามข้อ 11 โดยผู้ประมวลผลข้อมูลที่ให้การคุ้มครองข้อมูลส่วนบุคคลและสิทธิของเจ้าของข้อมูลอย่างน้อยในระดับเดียวกับผู้นำเข้าข้อมูลภายใต้ข้อกำหนดเหล่านี้ ; และ

j) จะรับรองการปฏิบัติตามข้อ 4 (a) ถึง (i)

ข้อ 5

ภาระหน้าที่ของผู้นำเข้าข้อมูล

ผู้นำเข้าข้อมูลยอมรับและรับประกันสิ่งต่อไปนี้:

ก) พวกเขาจะประมวลผลข้อมูลส่วนบุคคลในนามของผู้ส่งออกข้อมูลเท่านั้นและภายใต้คำแนะนำของผู้ส่งออกข้อมูลและข้อเหล่านี้ หากไม่สามารถปฏิบัติตามได้ไม่ว่าด้วยเหตุผลใดๆ พวกเขาตกลงที่จะแจ้งให้ผู้ส่งออกข้อมูลทราบถึงความไม่สามารถใช้งานได้โดยเร็วที่สุด ซึ่งในกรณีนี้ ผู้ส่งออกข้อมูลอาจระงับการถ่ายโอนข้อมูลและ/หรือสิ้นสุดสัญญา

ข) พวกเขาไม่มีเหตุผลที่จะเชื่อว่ากฎหมายที่ใช้บังคับกับพวกเขาป้องกันไม่ให้เขาปฏิบัติตามคำแนะนำที่ได้รับจากผู้ส่งออกข้อมูลและภาระหน้าที่ที่ตกอยู่ภายใต้สัญญาและหากกฎหมายดังกล่าวอาจมีการเปลี่ยนแปลงซึ่งอาจมีผลเสียอย่างมีนัยสำคัญ ผลกระทบต่อการรับประกันและภาระผูกพันภายใต้เงื่อนไข เขาจะแจ้งให้ผู้ส่งออกข้อมูลทราบถึงการเปลี่ยนแปลงโดยไม่ชักช้าหลังจากทราบถึงการเปลี่ยนแปลง ในกรณีนี้ ผู้ส่งออกข้อมูลอาจระงับการถ่ายโอนข้อมูลและ/หรือสิ้นสุดสัญญา (c) พวกเขาได้ใช้มาตรการทางเทคนิคและความปลอดภัยขององค์กรที่ระบุไว้ในภาคผนวก 2 ก่อนประมวลผลข้อมูลส่วนบุคคลที่ถ่ายโอน

ง) พวกเขาจะแจ้งให้ผู้ส่งออกข้อมูลทราบโดยไม่ชักช้า:

i) คำขอที่มีผลผูกพันใดๆ สำหรับการเปิดเผยข้อมูลส่วนบุคคลจากหน่วยงานบังคับใช้กฎหมาย เว้นแต่จะระบุไว้เป็นอย่างอื่น เช่น การห้ามทางอาญาที่มุ่งรักษาความลับของการสอบสวนของตำรวจ

ii) การเข้าถึงโดยบังเอิญหรือไม่ได้รับอนุญาต; และ

iii) คำขอใด ๆ ที่ได้รับโดยตรงจากบุคคลที่เกี่ยวข้องโดยไม่ตอบกลับเว้นแต่เขาจะได้รับอนุญาตให้ทำเช่นนั้น ผู้ดูแลระบบ

จ) พวกเขาจะจัดการกับคำถามทั้งหมดจากผู้ส่งออกข้อมูลโดยทันทีและถูกต้องเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลที่จะถูกถ่ายโอน และจะดำเนินการภายใต้ความเห็นของหน่วยงานกำกับดูแลเกี่ยวกับการประมวลผลข้อมูลที่ถ่ายโอน

ฉ) ตามคำร้องขอของผู้ส่งออกข้อมูล พวกเขาจะให้สิ่งอำนวยความสะดวกในการประมวลผลข้อมูลตรวจสอบกิจกรรมการประมวลผลที่ครอบคลุมโดยข้อเหล่านี้เพื่อดำเนินการโดยผู้ส่งออกข้อมูลหรือหน่วยงานกำกับดูแลซึ่งประกอบด้วยสมาชิกอิสระที่มีคุณสมบัติทางวิชาชีพที่จำเป็น ภายใต้ภาระหน้าที่ของการรักษาความลับและเลือกโดยผู้ส่งออกข้อมูล ตามความเหมาะสมกับข้อตกลงของหน่วยงานกำกับดูแล

g) ข้อมูลเหล่านี้จะเปิดเผยต่อเจ้าของข้อมูล ถ้าเขาร้องขอ สำเนาของข้อกำหนดเหล่านี้ หรือการทำสัญญาช่วงใดๆ ที่มีอยู่ของสัญญาการประมวลผลข้อมูล เว้นแต่ข้อกำหนดหรือสัญญามีข้อมูลทางการค้า ซึ่งในกรณีนี้อาจลบข้อมูลดังกล่าว ข้อมูล ยกเว้นภาคผนวก 2 ซึ่งจะถูกแทนที่ด้วยคำอธิบายโดยสรุปของมาตรการความปลอดภัย ซึ่งเจ้าของข้อมูลไม่สามารถรับสำเนาจากผู้ส่งออกข้อมูล

h) ในกรณีของการจ้างช่วงการประมวลผลข้อมูลที่เป็นความลับต่อไป เขาจะตรวจสอบให้แน่ใจว่าได้แจ้งให้ผู้ส่งออกข้อมูลทราบล่วงหน้าและได้รับความยินยอมเป็นลายลักษณ์อักษรจากผู้ส่งออกข้อมูล

i) บริการประมวลผลที่จัดเตรียมโดยผู้ประมวลผลข้อมูลจะต้องปฏิบัติตามข้อ 11

ญ) พวกเขาจะส่งสำเนาของการทำสัญญาช่วงใด ๆ ของข้อตกลงการประมวลผลข้อมูลที่ทำขึ้นโดยข้อตกลงภายใต้ข้อกำหนดเหล่านี้ไปยังผู้ส่งออกข้อมูลโดยทันที

ข้อ 6

ความรับผิดชอบ

1. คู่สัญญาตกลงว่าเจ้าของข้อมูลที่ได้รับความเสียหายอันเนื่องมาจากการละเมิดภาระหน้าที่ที่อ้างถึงในข้อ 3 หรือข้อ 11 โดยฝ่ายหนึ่งหรือโดยผู้ประมวลผลข้อมูลอาจได้รับค่าชดเชยจากผู้ส่งออกข้อมูลสำหรับความเสียหายที่ได้รับ

2. หากเจ้าของข้อมูลถูกป้องกันไม่ให้ดำเนินการฟ้องร้องเรียกค่าเสียหายตามที่อ้างถึงในวรรค 1 กับผู้ส่งออกข้อมูลสำหรับความล้มเหลวโดยผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลในการปฏิบัติตามภาระผูกพันใด ๆ ภายใต้ข้อ 3 หรือข้อ 11 เนื่องจากข้อมูล ผู้ส่งออกหายตัวไปทางกายภาพ หยุดอยู่ในกฎหมายหรือล้มละลาย ผู้นำเข้าข้อมูลตกลงว่าเจ้าของข้อมูลอาจยื่นคำร้องเรียนราวกับว่าเป็นผู้ส่งออกข้อมูล เว้นแต่จะมีการโอนภาระผูกพันทางกฎหมายทั้งหมดของผู้ส่งออกข้อมูลตามสัญญา หรือโดยการดำเนินการของกฎหมาย ต่อหน่วยงานที่สืบทอด ซึ่งเจ้าของข้อมูลอาจบังคับใช้สิทธิ์ของเขา ผู้นำเข้าข้อมูลต้องไม่พึ่งพาการละเมิดหน้าที่โดยผู้ประมวลผลข้อมูลเพื่อหลีกเลี่ยงความรับผิดของตนเอง

3. หากเจ้าของข้อมูลถูกป้องกันไม่ให้ดำเนินการตามวรรค 1 และ 2 กับผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลสำหรับการละเมิดโดยผู้ประมวลผลข้อมูลของภาระผูกพันตามข้อ 3 หรือข้อ 11 เนื่องจากผู้ส่งออกข้อมูลและผู้นำเข้าข้อมูล หายตัวไปจริง หยุดอยู่ในกฎหมายหรือล้มละลาย ผู้ประมวลผลข้อมูลตกลงว่าเจ้าของข้อมูลอาจยื่นคำร้องเกี่ยวกับกิจกรรมการประมวลผลของตนเองตามวรรคเหล่านี้ราวกับว่าเป็นผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูล เว้นแต่ทั้งหมด ภาระหน้าที่ทางกฎหมายของผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลได้รับการโอนโดยสัญญาหรือโดยการดำเนินการตามกฎหมาย ไปยังผู้สืบทอดทางกฎหมาย ซึ่งเจ้าของข้อมูลอาจยืนยันสิทธิ์ของตนความรับผิดของผู้ประมวลผลข้อมูลจะต้องจำกัดเฉพาะกิจกรรมการประมวลผลของตนเองตามข้อกำหนดเหล่านี้

 

ข้อ 7

การไกล่เกลี่ยและเขตอำนาจศาล

1. ผู้นำเข้าข้อมูลตกลงว่าหากอยู่ภายใต้ข้อบังคับ เจ้าของข้อมูลเรียกร้องสิทธิ์ของบุคคลที่สามผู้รับผลประโยชน์และ/หรือเรียกร้องค่าชดเชยสำหรับความอยุติธรรมที่ได้รับ เขาจะยอมรับการตัดสินใจของเจ้าของข้อมูล:

ก) ยื่นข้อพิพาทเพื่อไกล่เกลี่ยโดยบุคคลอิสระหรือหน่วยงานกำกับดูแลตามความเหมาะสม

ข) นำข้อพิพาทไปสู่ศาลของประเทศสมาชิกที่ผู้ส่งออกข้อมูลตั้งอยู่

2. คู่สัญญาตกลงว่าการเลือกที่ทำโดยเจ้าของข้อมูลจะไม่ส่งผลกระทบต่อสิทธิ์ในกระบวนการหรือสาระสำคัญของเจ้าของข้อมูลเพื่อขอรับการแก้ไขตามบทบัญญัติอื่น ๆ ของกฎหมายในประเทศหรือกฎหมายระหว่างประเทศ

ข้อ 8

ความร่วมมือกับหน่วยงานกำกับดูแล

1. ผู้ส่งออกข้อมูลตกลงที่จะฝากสำเนาของสัญญาปัจจุบันกับหน่วยงานกำกับดูแลหากต้องการหรือหากการฝากดังกล่าวจัดทำขึ้นโดยกฎหมายคุ้มครองข้อมูลที่บังคับใช้

2. คู่สัญญาตกลงว่าหน่วยงานกำกับดูแลอาจดำเนินการตรวจสอบที่ผู้นำเข้าข้อมูลและผู้ประมวลผลข้อมูลใด ๆ ในขอบเขตเดียวกันและภายใต้เงื่อนไขเดียวกันกับการตรวจสอบที่ดำเนินการที่ผู้ส่งออกข้อมูลตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้

3. ผู้นำเข้าข้อมูลจะต้องแจ้งให้ผู้ส่งออกข้อมูลทราบโดยเร็วที่สุดว่ามีกฎหมายเกี่ยวกับผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลใด ๆ ที่ขัดขวางการตรวจสอบที่ผู้นำเข้าข้อมูลหรือผู้ประมวลผลข้อมูลใด ๆ ตามวรรค 2 ในกรณีดังกล่าว ผู้ส่งออกข้อมูลอาจใช้มาตรการที่กำหนดไว้ในข้อ 5 (ข)

ข้อ 9

กฎหมายที่ใช้บังคับ

ข้อกำหนดนี้มีผลบังคับใช้และอยู่ภายใต้กฎหมายของประเทศสมาชิกที่ผู้ส่งออกข้อมูลตั้งอยู่

ข้อ 10

การแก้ไขสัญญา

คู่สัญญาทั้งสองฝ่ายจะไม่แก้ไขข้อกำหนดปัจจุบัน คู่สัญญายังคงมีอิสระที่จะรวมประโยคทางการค้าอื่น ๆ ที่พวกเขาเห็นว่าจำเป็น โดยต้องไม่ขัดแย้งกับประโยคปัจจุบัน

ข้อ 11

การรับเหมาช่วงต่อไป

1. ผู้นำเข้าข้อมูลจะไม่จ้างช่วงกิจกรรมการประมวลผลใด ๆ ที่ดำเนินการในนามของผู้ส่งออกข้อมูลภายใต้ข้อเหล่านี้โดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าจากผู้ส่งออกข้อมูล ผู้นำเข้าข้อมูลจะทำสัญญาช่วงภาระผูกพันของตนภายใต้เงื่อนไขเหล่านี้ ด้วยความยินยอมของผู้ส่งออกข้อมูล ผ่านข้อตกลงเป็นลายลักษณ์อักษรกับผู้ประมวลผลข้อมูลที่กำหนดภาระหน้าที่เดียวกันกับผู้ประมวลผลข้อมูลตามที่กำหนดไว้กับผู้นำเข้าข้อมูลภายใต้ข้อกำหนดเหล่านี้ หากผู้ประมวลผลข้อมูลไม่สามารถปฏิบัติตามภาระหน้าที่ในการปกป้องข้อมูลภายใต้ข้อตกลงที่เป็นลายลักษณ์อักษรนั้น ผู้นำเข้าข้อมูลจะยังคงรับผิดชอบอย่างเต็มที่ต่อผู้ส่งออกข้อมูลสำหรับการปฏิบัติตามภาระผูกพันเหล่านั้น

2. ข้อตกลงเป็นลายลักษณ์อักษรล่วงหน้าระหว่างผู้นำเข้าข้อมูลและผู้ประมวลผลข้อมูลจะรวมถึงประโยคผู้รับผลประโยชน์บุคคลที่สามตามที่กำหนดไว้ในข้อ 3 สำหรับกรณีที่เจ้าของข้อมูลไม่สามารถเรียกร้องค่าเสียหายที่อ้างถึงในข้อ 6 (1 ) กับผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลเนื่องจากผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลได้สูญหายไป หยุดอยู่ในกฎหมายหรือล้มละลาย และภาระผูกพันทางกฎหมายทั้งหมดของผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลยังไม่ได้รับการถ่ายโอน โดยสัญญาหรือโดยการดำเนินการ ของกฎหมายไปยังหน่วยงานที่สืบทอดอื่น ความรับผิดของผู้ประมวลผลข้อมูลจะต้องจำกัดเฉพาะกิจกรรมการประมวลผลของตนเองตามข้อกำหนดเหล่านี้

3. ข้อกำหนดเกี่ยวกับด้านการปกป้องข้อมูลของการทำสัญญาช่วงการประมวลผลข้อมูลของสัญญาที่อ้างถึงในวรรค 1 ให้อยู่ภายใต้กฎหมายของประเทศสมาชิกที่จัดตั้งผู้ส่งออกข้อมูล

4. ผู้ส่งออกข้อมูลจะต้องเก็บรายชื่อการทำสัญญาช่วงของข้อตกลงการประมวลผลข้อมูลที่ได้ข้อสรุปภายใต้เงื่อนไขเหล่านี้และแจ้งโดยผู้นำเข้าข้อมูลตามข้อ 5 (j) ซึ่งจะได้รับการปรับปรุงอย่างน้อยปีละครั้ง รายการนี้จะต้องเปิดเผยต่อหน่วยงานกำกับดูแลการปกป้องข้อมูลของผู้ส่งออกข้อมูล

ข้อ 12

ภาระผูกพันหลังจากสิ้นสุดบริการประมวลผลข้อมูลส่วนบุคคล

1. คู่สัญญาตกลงว่าเมื่อเสร็จสิ้นบริการประมวลผลข้อมูล ผู้นำเข้าข้อมูลและผู้ประมวลผลข้อมูลจะส่งคืนข้อมูลส่วนบุคคลทั้งหมดที่ถ่ายโอนและคัดลอกไปยังผู้ส่งออกข้อมูลตามความสะดวกของผู้ส่งออกข้อมูล หรือทำลายข้อมูลดังกล่าวทั้งหมดและแสดงหลักฐาน การทำลายข้อมูลของผู้ส่งออกข้อมูล เว้นแต่กฎหมายกำหนดไว้สำหรับผู้นำเข้าข้อมูลจะป้องกันไม่ให้ส่งคืนหรือทำลายข้อมูลส่วนบุคคลทั้งหมดหรือบางส่วนที่ถ่ายโอน ในกรณีดังกล่าว ผู้นำเข้าข้อมูลรับประกันว่าจะรักษาความลับของข้อมูลส่วนบุคคลที่ถ่ายโอน และจะไม่ประมวลผลข้อมูลอย่างจริงจังอีกต่อไป

2. ผู้นำเข้าข้อมูลและผู้ประมวลผลข้อมูลจะต้องตรวจสอบให้แน่ใจว่าหากได้รับการร้องขอจากผู้ส่งออกข้อมูลและ/หรือหน่วยงานกำกับดูแล พวกเขาจะใช้วิธีการประมวลผลข้อมูลเพื่อตรวจสอบมาตรการที่อ้างถึงในวรรค 1

 

 

 

 

ภาคผนวก 1.1 ถึงส่วนที่ 2

รายละเอียดการโอนเงิน

 

 

ผู้ส่งออกข้อมูล

ผู้ส่งออกข้อมูลคือลูกค้าที่กำหนดไว้ในข้อตกลงตามสัญญา

 

ตัวนำเข้าข้อมูล

ผู้นำเข้าข้อมูลคือ IQUALIF และได้รับมอบหมายให้ประมวลผลข้อมูล โดยให้บริการแก่ผู้ส่งออกข้อมูล

 

หัวเรื่องของข้อมูล

ข้อมูลส่วนบุคคลที่ถ่ายโอนเกี่ยวข้องกับหมวดหมู่ของเจ้าของข้อมูลดังต่อไปนี้:

˜' สมาชิกโทรศัพท์ที่ระบุไว้ในไดเร็กทอรีสากล

˜ อื่น ๆ รวมถึง:

 

หมวดหมู่ของข้อมูล

ข้อมูลส่วนบุคคลที่ถ่ายโอนเกี่ยวข้องกับข้อมูลประเภทต่อไปนี้:

 

หมวดหมู่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลของผู้ส่งออกข้อมูลโดยเฉพาะ

˜ชื่อเต็ม

˜ที่อยู่ไปรษณีย์

˜' รายละเอียดการติดต่อ (อีเมล, โทรศัพท์, ที่อยู่ IP, ฯลฯ )

˜' รายละเอียดกิจกรรมทางการตลาดเกี่ยวกับผู้ใช้บริการโทรศัพท์

• อื่นๆ รวมทั้งประเภทที่อยู่อาศัย รายได้ และอายุเฉลี่ยตามเมืองที่ทำโดยไม่ระบุชื่อ

 

หมวดหมู่ข้อมูลพิเศษ (ถ้ามี)

ข้อมูลส่วนบุคคลที่ถ่ายโอนเกี่ยวข้องกับข้อมูลประเภทพิเศษต่อไปนี้:

˜' การถ่ายโอนข้อมูลประเภทพิเศษไม่ได้คาดการณ์ไว้

˜ เชื้อชาติหรือแหล่งกำเนิดทางชาติพันธุ์

˜ ความเชื่อทางศาสนาหรือปรัชญา

˜ สมาชิกสหภาพแรงงาน

˜ มุมมองทางการเมือง

˜ ข้อมูลทางพันธุกรรม

˜ข้อมูลไบโอเมตริกซ์

˜ ข้อมูลเกี่ยวกับรสนิยมทางเพศหรือชีวิตทางเพศ

˜ ข้อมูลสุขภาพ

 

กิจกรรมแปรรูป

ข้อมูลส่วนบุคคลที่ถ่ายโอนจะอยู่ภายใต้กิจกรรมการประมวลผลพื้นฐานต่อไปนี้:

 

  •  
    • วัตถุประสงค์ของการประมวลผล

การประมวลผลที่ดำเนินการในนามของผู้ส่งออกข้อมูลจะขึ้นอยู่กับหัวข้อต่อไปนี้ โดยเฉพาะ:

˜' รับผิดชอบผลิตภัณฑ์หรือบริการที่นำเสนอโดยผู้ส่งออกข้อมูล

˜' ข้อเสนอของผลิตภัณฑ์หรือบริการที่ผู้ถูกเรียกสามารถร้องขอได้

˜' คำสั่งที่นำมาจากบุคคลที่เรียกและดำเนินการต่อไปของคำสั่งเหล่านี้

˜' ศึกษาแบบสอบถามและการวิเคราะห์

˜' การตลาดทางโทรศัพท์

˜ อื่น ๆ รวมถึง:

 

  •  
    • ¢ ลักษณะและวัตถุประสงค์ของการประมวลผล

ผู้นำเข้าข้อมูลจะประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลในนามของผู้ส่งออกข้อมูล เพื่อให้บริการดังต่อไปนี้ และที่สะดุดตาที่สุด:

˜' การขายและการตลาด

˜' อื่น ๆ รวมถึงการอัพเดทฐานข้อมูลของศาลากลางและพรรคการเมือง

 

  •  
    • การให้บริการและการจ้างงานของผู้ให้บริการ

 

IQUALIF ส่วนใหญ่รวม รวบรวม และให้บริการแก่ผู้ส่งออกข้อมูล บริการที่ให้บริการโดยผู้ให้บริการที่ระบุชื่ออาจมีโครงสร้าง (นอกเหนือจากอื่น ๆ ตามความเหมาะสม) รอบ ๆ บริการเสริมต่อไปนี้: (i) การจัดหาแอปพลิเคชัน เครื่องมือ ระบบ และโครงสร้างพื้นฐานด้านไอทีที่เกี่ยวข้องกับศูนย์ประมวลผลข้อมูลที่ใช้เพื่อให้ และสนับสนุนบริการ รวมถึงการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลตามที่อธิบายไว้ข้างต้น ผ่านแอปพลิเคชัน เครื่องมือ และระบบดังกล่าว (ii) การจัดหาการสนับสนุนด้านไอที การบำรุงรักษา และบริการอื่นๆ ที่เกี่ยวข้องกับแอปพลิเคชัน เครื่องมือ ระบบดังกล่าว และโครงสร้างพื้นฐานด้านไอที รวมถึงการเข้าถึงข้อมูลส่วนบุคคลที่เก็บไว้ในแอปพลิเคชัน เครื่องมือ และระบบดังกล่าว และ (iii) การจัดหาบริการปกป้องข้อมูล การตรวจสอบการป้องกัน และบริการตอบสนองต่อเหตุการณ์ รวมถึงการเข้าถึงข้อมูลส่วนบุคคลที่อาจเกิดขึ้นเมื่อให้บริการป้องกันดังกล่าว IQUALIF อาจว่าจ้างผู้ประมวลผลข้อมูลตามที่กำหนดไว้ด้านล่างเพื่อให้บริการ ซึ่งรวมถึงบริการเสริม

 

  •  
    • ¢ผู้ให้บริการภายนอกภายนอกเป็นหน่วยงานย่อยที่กำหนดให้กับการประมวลผลข้อมูล

 

IQUALIF ว่าจ้างผู้ให้บริการภายนอกและบุคคลที่สาม ซึ่งไม่ใช่บริษัทในเครือของ IQUALIF เพื่อสนับสนุนการให้บริการแก่ผู้ส่งออกข้อมูล ผู้ส่งออกข้อมูลอนุมัติผู้ให้บริการบุคคลที่สามภายนอกดังกล่าวเป็นหน่วยงานย่อยที่กำหนดให้กับการประมวลผลข้อมูล

 

หากหน่วยงานย่อยที่เกี่ยวข้องกับการประมวลผลข้อมูลตั้งอยู่นอก EU/EEA ในประเทศที่ถือว่าไม่มีระดับการปกป้องข้อมูลที่เพียงพอภายใต้การตัดสินใจของคณะกรรมาธิการยุโรป ผู้นำเข้าข้อมูลจะดำเนินการเพื่อให้ได้ระดับที่เพียงพอ การปกป้องข้อมูลตาม GDPR และมาตรา 3.4 (iv) ของส่วนที่ 1

 

 

ภาคผนวก 2 ตอนที่ 2

มาตรการป้องกันทางเทคนิคและองค์กร

 

ผู้นำเข้าข้อมูลจะใช้มาตรการทางเทคนิคและการป้องกันเชิงองค์กรที่ได้รับการยืนยันโดยผู้ส่งออกข้อมูล เพื่อรับประกันระดับความปลอดภัยที่เหมาะสมสำหรับสิทธิ์และเสรีภาพของบุคคล ทั้งนี้ขึ้นอยู่กับความเสี่ยง ในการประเมินระดับการป้องกันที่เกี่ยวข้อง ผู้ส่งออกข้อมูลได้พิจารณาโดยเฉพาะความเสี่ยงที่เกี่ยวข้องกับการประมวลผล ซึ่งรวมถึงการทำลายโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลส่วนบุคคลที่ส่ง จัดเก็บ หรือประมวลผล โดยการชี้แจง: มาตรการทางเทคนิคและการป้องกันองค์กรเหล่านี้ใช้ไม่ได้กับแอปพลิเคชัน เครื่องมือ ระบบ และ/หรือโครงสร้างพื้นฐานด้านไอทีที่ Data Exporter ให้บริการ

1 มาตรการป้องกันทางเทคนิคและองค์กรทั่วไป
1.1 ข้อมูลทั่วไปและกลยุทธ์การปกป้องข้อมูล
ควรดำเนินการตามขั้นตอนต่อไปนี้เพื่อปฏิบัติตามข้อมูลทั่วไปและกลยุทธ์การปกป้องข้อมูล:
  • ก) ใช้มาตรการเพื่อประเมินมาตรการที่ดำเนินการเกี่ยวกับการคุ้มครองทางเทคนิคและองค์กร
  • ข) จัดอบรมเพื่อสร้างจิตสำนึกให้กับพนักงาน
  • ค) มีคำอธิบายเกี่ยวกับระบบที่เกี่ยวข้องและให้สิทธิ์การเข้าถึงแก่พนักงาน
  • d) สร้างกระบวนการเอกสารอย่างเป็นทางการเมื่อใดก็ตามที่ระบบถูกนำไปใช้หรือแก้ไข
  • จ) จัดทำเอกสารโครงสร้างองค์กร กระบวนการ ความรับผิดชอบ และการประเมินที่เกี่ยวข้อง;
 
1.2 องค์กรคุ้มครองข้อมูล
ควรใช้มาตรการต่อไปนี้เพื่อประสานงานข้อมูลและกิจกรรมการปกป้องข้อมูล:
  • ก) กำหนดความรับผิดชอบในการปกป้องข้อมูลและข้อมูล (เช่น ผ่านนโยบายการจัดการการปกป้องข้อมูล)
  • ข) ความเชี่ยวชาญที่จำเป็นในการปกป้องข้อมูลและข้อมูลที่เหลืออยู่;
  • c) พนักงานทุกคนมุ่งมั่นที่จะทำให้มั่นใจว่าข้อมูลส่วนบุคคลจะถูกเก็บไว้เป็นความลับ และได้รับแจ้งถึงผลที่อาจเกิดขึ้นจากการละเมิดข้อผูกมัดนี้
 
1.3 การควบคุมการเข้าถึงพื้นที่การประมวลผล
ต้องใช้มาตรการต่อไปนี้เพื่อป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าถึงระบบประมวลผลข้อมูล (โดยเฉพาะซอฟต์แวร์และฮาร์ดแวร์) เมื่อข้อมูลส่วนบุคคลได้รับการประมวลผล จัดเก็บ หรือส่ง:
  • ก) กำหนดพื้นที่ปลอดภัย
  • b) ปกป้องและจำกัดการเข้าถึงระบบประมวลผลข้อมูล
  • c) กำหนดสิทธิ์การเข้าถึงสำหรับพนักงานและบุคคลที่สาม รวมถึงเอกสารที่เกี่ยวข้อง
  • d) การเข้าถึงศูนย์ประมวลผลข้อมูลที่จัดเก็บข้อมูลส่วนบุคคลจะถูกบันทึก
 
1.4 การควบคุมการเข้าถึงระบบประมวลผลข้อมูล
ต้องใช้มาตรการต่อไปนี้เพื่อป้องกันการเข้าถึงระบบประมวลผลข้อมูลโดยไม่ได้รับอนุญาต:
  • ก) นโยบายและขั้นตอนการรับรองความถูกต้องของผู้ใช้
  • b) การใช้รหัสผ่านในระบบคอมพิวเตอร์ทั้งหมด
  • ค) การเข้าถึงเครือข่ายจากระยะไกลจำเป็นต้องมีการพิสูจน์ตัวตนแบบหลายปัจจัย และมอบให้แก่บุคคลที่เกี่ยวข้องตามความรับผิดชอบและเมื่อได้รับอนุญาต
  • ง) การเข้าถึงฟังก์ชันเฉพาะขึ้นอยู่กับฟังก์ชันงานและ/หรือคุณลักษณะที่กำหนดให้กับบัญชีผู้ใช้แต่ละราย
  • จ) สิทธิ์การเข้าถึงที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้รับการตรวจสอบอย่างสม่ำเสมอ
  • f) บันทึกการเปลี่ยนแปลงสิทธิ์การเข้าถึงเป็นปัจจุบัน
 
1.5 การควบคุมการเข้าถึงพื้นที่เฉพาะของการใช้ระบบประมวลผลข้อมูล
ต้องใช้มาตรการต่อไปนี้เพื่อให้แน่ใจว่าผู้มีอำนาจที่มีสิทธิ์ใช้ระบบการประมวลผลข้อมูลสามารถเข้าถึงข้อมูลได้เฉพาะภายในความรับผิดชอบและการอนุญาตในการเข้าถึงเท่านั้น และข้อมูลส่วนบุคคลไม่สามารถอ่าน คัดลอก แก้ไข หรือลบโดยไม่ได้รับอนุญาต:
  1.  
    1. ก) นโยบาย คำแนะนำ และการฝึกอบรมพนักงาน เกี่ยวกับภาระหน้าที่ของแต่ละคนเกี่ยวกับการรักษาความลับ สิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคล และขอบเขตของการประมวลผลข้อมูลส่วนบุคคล
  • ข) มาตรการทางวินัยต่อบุคคลที่เข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต
  • ค) การเข้าถึงข้อมูลส่วนบุคคลจะได้รับอนุญาตเฉพาะผู้มีอำนาจเท่านั้น บนพื้นฐานความจำเป็น;
  • ง) รักษารายชื่อผู้ดูแลระบบและใช้มาตรการที่เหมาะสมในการตรวจสอบผู้ดูแลระบบ
  • จ) ไม่คัดลอกหรือทำซ้ำข้อมูลส่วนบุคคลในระบบจัดเก็บข้อมูลใด ๆ เพื่อให้บุคคลที่ไม่ได้รับอนุญาตสามารถลบข้อมูลของผู้สร้างได้
  • f) การลบหรือการทำลายข้อมูลที่มีการควบคุมและจัดทำเป็นเอกสาร
  • g) เพื่อจัดเก็บข้อมูลส่วนบุคคลทั้งหมดอย่างปลอดภัยซึ่งต้องถูกเก็บไว้ด้วยเหตุผลทางกฎหมายหรือระเบียบข้อบังคับ (เช่น ภาระผูกพันในการเก็บรักษาข้อมูล) และตราบเท่าที่กฎหมายกำหนดเท่านั้น
 
1.6 การควบคุมการส่งกำลัง
ต้องใช้มาตรการต่อไปนี้เพื่อป้องกันไม่ให้ข้อมูลส่วนบุคคลถูกอ่าน คัดลอก แก้ไข หรือลบโดยบุคคลที่สามที่ไม่ได้รับอนุญาตในระหว่างการส่งหรือขนส่งอุปกรณ์จัดเก็บข้อมูล (ขึ้นอยู่กับการประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการ):
  1.  
    1. ก) การใช้ไฟร์วอลล์
  • ข) หลีกเลี่ยงการจัดเก็บข้อมูลส่วนบุคคลบนอุปกรณ์จัดเก็บข้อมูลมือถือเพื่อวัตถุประสงค์ในการขนส่ง หรือการเข้ารหัสอุปกรณ์
  • c) ใช้กับแล็ปท็อปและอุปกรณ์มือถืออื่น ๆ หลังจากเปิดใช้งานการป้องกันการเข้ารหัสแล้วเท่านั้น
  • d) การบันทึกการส่งข้อมูลส่วนบุคคล
 
1.7 การควบคุมการป้อนข้อมูล
ต้องใช้มาตรการต่อไปนี้เพื่อให้แน่ใจว่าเป็นไปได้ที่จะตรวจสอบและพิจารณาว่าข้อมูลส่วนบุคคลถูกป้อนหรือลบออกจากระบบประมวลผลข้อมูลและโดยใคร:
  1.  
    1. ก) นโยบายในการอนุญาตให้อ่าน เปลี่ยนแปลง และลบข้อมูลที่เก็บไว้;
  • ข) มาตรการป้องกันที่เกี่ยวข้องกับการอ่าน การเปลี่ยนแปลง และการลบข้อมูลที่เก็บไว้
 
1.8 การควบคุมงาน
ในกรณีของการประมวลผลข้อมูลส่วนบุคคลที่ได้รับมอบหมาย ต้องใช้มาตรการต่อไปนี้เพื่อให้แน่ใจว่าข้อมูลดังกล่าวได้รับการประมวลผลตามคำแนะนำของหัวหน้างาน:
  1.  
    1. ก) หน่วยงานหรือหน่วยงานย่อยที่ได้รับมอบหมายให้ประมวลผลข้อมูล เลือกด้วยความระมัดระวัง (ผู้ให้บริการประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม)
  • ข) คำแนะนำเกี่ยวกับขอบเขตของการประมวลผลข้อมูลส่วนบุคคลใด ๆ แก่พนักงาน หน่วยงาน หรือหน่วยงานย่อยที่ได้รับมอบหมายให้ประมวลผลข้อมูล
  • ค) สิทธิ์ในการตรวจสอบที่ตกลงกับหน่วยงานหรือหน่วยงานย่อยที่ได้รับมอบหมายให้ประมวลผลข้อมูล
  • d) ข้อตกลงที่มีอยู่กับหน่วยงานหรือหน่วยงานย่อยที่ได้รับมอบหมายให้ประมวลผลข้อมูล
 
1.9 การแยกจากการประมวลผลเพื่อวัตถุประสงค์อื่น
ต้องใช้มาตรการต่อไปนี้เพื่อให้แน่ใจว่าข้อมูลที่รวบรวมเพื่อวัตถุประสงค์อื่นสามารถประมวลผลแยกกันได้:
  1.  
    1. ก) แยกการเข้าถึงข้อมูลส่วนบุคคลตามสิทธิ์ที่มีอยู่ของผู้ใช้
  • ข) อินเทอร์เฟซ การประมวลผลแบบกลุ่ม และการรายงานมีไว้เพื่อวัตถุประสงค์และฟังก์ชันอื่นๆ เพื่อให้สามารถประมวลผลข้อมูลที่รวบรวมเพื่อวัตถุประสงค์อื่นแยกกันได้
 
1.10 นามแฝง
ต้องใช้มาตรการต่อไปนี้เกี่ยวกับการใช้นามแฝงของข้อมูลส่วนบุคคล:
  1.  
    1. ก) หากผู้ส่งออกข้อมูลสั่งให้ดำเนินการประมวลผลเฉพาะ หรือหากผู้นำเข้าข้อมูลพิจารณาว่าเหมาะสมตามกฎหมายคุ้มครองข้อมูลที่ใช้บังคับเกี่ยวกับกิจกรรมการประมวลผลบางอย่าง การประมวลผลข้อมูลส่วนบุคคลจะดำเนินการในลักษณะที่ ข้อมูลไม่สามารถนำมาประกอบกับบุคคลใดบุคคลหนึ่งได้อีกต่อไปโดยไม่ต้องใช้ข้อมูลเพิ่มเติม ข้อมูลเพิ่มเติมนี้จะถูกเก็บไว้แยกต่างหาก
  • b) การใช้เทคนิคการระบุนามแฝง รวมถึงการสุ่มรายการการจัดสรร การสร้างคุณค่าในรูปของของมีคม
 
1.11 การเข้ารหัส

ควรทำตามขั้นตอนต่อไปนี้เพื่อเข้ารหัสข้อมูลส่วนบุคคลในแอปพลิเคชันและการส่งสัญญาณที่รองรับการเข้ารหัส:

  1.  
    1. ก) การใช้เทคนิคการเข้ารหัส
  • ข) การจัดตั้งการจัดการการเข้ารหัสเพื่อรองรับเทคนิคการเข้ารหัสที่ได้รับอนุญาตให้ใช้
  • c) สนับสนุนการใช้การเข้ารหัสผ่านขั้นตอนและโปรโตคอลสำหรับการสร้าง แก้ไข เพิกถอน ทำลาย แจกจ่าย รับรอง จัดเก็บ จับภาพ ใช้ และเก็บถาวรคีย์เข้ารหัสเพื่อป้องกันการดัดแปลงและเปิดเผยโดยไม่ได้รับอนุญาต
 
1.12 ความสมบูรณ์ของระบบและบริการประมวลผลข้อมูล
ต้องใช้มาตรการต่อไปนี้เพื่อให้แน่ใจว่าระบบและบริการประมวลผลข้อมูลสมบูรณ์:
  1. ก) การปกป้องระบบประมวลผลข้อมูลจากการยักย้ายหรือทำลายด้วยวิธีการที่เหมาะสม (เช่น ซอฟต์แวร์ป้องกันไวรัส ซอฟต์แวร์ป้องกันข้อมูลสูญหาย และซอฟต์แวร์จากมัลแวร์ แพตช์ซอฟต์แวร์ ไฟร์วอลล์ และการป้องกันเดสก์ท็อปที่มีการจัดการ)
  • ข) ห้ามการติดตั้งบริการหรือซอฟต์แวร์ใดๆ ที่เป็นอันตรายต่อระบบประมวลผลข้อมูล บริการ หรือการจัดการข้อมูลส่วนบุคคล
  • ค) การใช้ระบบตรวจจับและป้องกันการบุกรุกเครือข่ายในโครงสร้างของเครือข่ายเอง
 
1.13 ความพร้อมใช้งานของระบบและบริการประมวลผลข้อมูลและความเป็นไปได้ในการกู้คืนการเข้าถึงและการใช้ข้อมูลส่วนบุคคลในกรณีที่มีเนื้อหาหรือเหตุการณ์ทางเทคนิค
ต้องใช้มาตรการต่อไปนี้เพื่อให้มั่นใจว่าระบบประมวลผลข้อมูลมีพร้อมใช้ ตลอดจนสามารถกู้คืนความพร้อมใช้งานและการเข้าถึงข้อมูลส่วนบุคคลได้อย่างรวดเร็ว ในกรณีที่มีวัตถุหรือเหตุการณ์ทางเทคนิค (โดยเฉพาะอย่างยิ่งโดยการทำให้มั่นใจว่า ข้อมูลส่วนบุคคลได้รับการคุ้มครองจากการถูกทำลายหรือสูญหายโดยไม่ได้ตั้งใจ):
  • ก) มีวิธีการควบคุมการเก็บสำเนาสำรองและการกู้คืนข้อมูลที่สูญหายหรือถูกลบ
  • b) ความซ้ำซ้อนของโครงสร้างพื้นฐานและการทดสอบประสิทธิภาพ
  • c) การป้องกันทางกายภาพของทรัพยากรคอมพิวเตอร์
  • d) การใช้เครื่องมือเพื่อตรวจสอบสถานะและความพร้อมใช้งานของเครือข่ายภายใน
  • จ) การรายงานเหตุการณ์และนโยบายการตอบสนองที่ควบคุมขั้นตอนการจัดการเหตุการณ์ และการย้ำถึงการปฏิบัติตามนโยบายเหล่านี้ซึ่งเป็นส่วนหนึ่งของการฝึกอบรมปกติ
  • f) การสำรองข้อมูล (บางครั้งนอกสถานที่) เพื่อกู้คืนระบบเพื่อให้สามารถทำงานได้อีกครั้ง
  • g) ความต่อเนื่องทางธุรกิจ/แผนฟื้นฟูจากภัยพิบัติ
 
1.14 ความยืดหยุ่นของระบบและบริการประมวลผลข้อมูล
ต้องใช้มาตรการต่อไปนี้เพื่อให้แน่ใจว่าระบบและบริการประมวลผลข้อมูลมีความยืดหยุ่น:
  • ก) ระบบและกำหนดค่าอย่างกลมกลืน โดยใช้พารามิเตอร์ความปลอดภัยที่ได้รับอนุมัติ
  • b) ความซ้ำซ้อนของเครือข่าย
  • c) การป้องกันการกักกันของระบบวิกฤต
 
1.15 ขั้นตอนการทดสอบ ประเมิน และประเมินประสิทธิผลของมาตรการทางเทคนิคและองค์กรอย่างสม่ำเสมอ เพื่อความปลอดภัยของการประมวลผลข้อมูล
ขั้นตอนการทดสอบ ประเมิน และประเมินประสิทธิภาพของมาตรการทางเทคนิคและองค์กรอย่างสม่ำเสมอเพื่อปกป้องการประมวลผลข้อมูล
  • ก) ดำเนินการตามขั้นตอนที่จำเป็นเพื่อประเมินความเสี่ยงและกลยุทธ์การบรรเทาผลกระทบ
  • b) การประชุมวิเคราะห์บริการของแผนกไอทีเพื่อแก้ไขปัญหาปัจจุบัน
  • c) แผนความต่อเนื่องทางธุรกิจ/การกู้คืนจากภัยพิบัติมีการปรับปรุงอย่างสม่ำเสมอ

 

ตอนที่ 3

ลายเซ็นของคู่สัญญาและรายชื่อผู้นำเข้าข้อมูล

 

เมื่อคุณกรอกแบบฟอร์มการสั่งซื้อออนไลน์และยืนยันโดยทำเครื่องหมายในช่องยอมรับข้อกำหนดและเงื่อนไขการใช้งานทั่วไป สัญญาที่ควบคุมความสัมพันธ์ระหว่างลูกค้าและ IQUALIF จะถูกสร้างขึ้น

การส่งเงินให้ IQUALIF จะพิจารณาสัญญาที่ตกลงและจัดตั้งขึ้น


จดบันทึก: ข้อความนี้ได้รับการแปลจากภาษาฝรั่งเศส เวอร์ชันภาษาฝรั่งเศสดั้งเดิมซึ่งมีผลใช้บังคับและถูกกฎหมาย มีให้ที่นี่