กฎบัตรกฎหมายความเป็นส่วนตัว

วันที่ – วางจำหน่าย 01/01/2020

แก้ไขล่าสุดเมื่อ – 12/06/2023

การบังคับใช้:

เอกสารนี้ (“ข้อกำหนด”) ถือเป็นส่วนหนึ่งที่สำคัญและมีผลผูกพันทางกฎหมายของข้อตกลงบริการหลัก คำชี้แจงงาน หรือสัญญาอื่น (“ข้อตกลง”) ระหว่าง Shaip (“บริษัท”) และผู้ให้บริการ (“ผู้ขาย/ผู้ประกอบอาชีพอิสระ/ที่ปรึกษา”)

1 คำนิยาม

เพื่อวัตถุประสงค์ของข้อกำหนดเหล่านี้ คำศัพท์ต่อไปนี้จะมีความหมายตามที่กำหนดไว้ด้านล่าง:

  • “กฎหมายคุ้มครองข้อมูลที่บังคับใช้” หมายถึงกฎหมาย กฎเกณฑ์ และข้อบังคับระดับนานาชาติ ระดับรัฐบาลกลาง ระดับรัฐ และระดับท้องถิ่นทั้งหมดที่บังคับใช้กับการประมวลผลข้อมูลส่วนบุคคล รวมถึงแต่ไม่จำกัดเพียง GDPR, UK GDPR, CCPA/CPRA, HIPAA, PIPEDA และ LGPD
  • “ข้อมูลบริษัท” หมายถึงข้อมูล ข่าวสาร และสื่อทั้งหมด ไม่ว่าในรูปแบบหรือสื่อใดๆ ที่ผู้ขายมอบให้แก่หรือในนามของบริษัท หรือที่ผู้ขายรวบรวม สร้างขึ้น ได้มา ทำให้เป็นนามแฝง ทำให้ไม่ระบุตัวตน (หากสามารถย้อนกลับได้) หรือประมวลผลในนามของบริษัท ซึ่งรวมถึงข้อมูลโครงการและข้อมูลส่วนบุคคลใดๆ
  • “การละเมิดข้อมูล” หมายถึงการละเมิดความปลอดภัยที่เกิดขึ้นจริงหรือสงสัยว่าเกิดขึ้น ซึ่งนำไปสู่การทำลาย การสูญหาย การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลของบริษัทโดยไม่ได้ตั้งใจหรือผิดกฎหมาย
  • "จีดีพี" หมายถึงข้อบังคับทั่วไปเกี่ยวกับการคุ้มครองข้อมูล (EU) 2016/679
  • "ข้อมูลส่วนบุคคล" หมายถึงข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุตัวตนได้หรือสามารถระบุตัวตนได้ (“เจ้าของข้อมูล”) ที่มีอยู่ในข้อมูลของบริษัท
  • “ข้อมูลส่วนบุคคลที่ละเอียดอ่อน” หมายถึงหมวดหมู่ข้อมูลใดๆ ที่ถือว่าละเอียดอ่อนภายใต้กฎหมายคุ้มครองข้อมูลที่ใช้บังคับ รวมถึงแต่ไม่จำกัดเพียงเชื้อชาติหรือชาติพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา การเป็นสมาชิกสหภาพแรงงาน ข้อมูลทางพันธุกรรม ข้อมูลชีวมาตร ข้อมูลเกี่ยวกับสุขภาพ หรือข้อมูลเกี่ยวกับชีวิตทางเพศหรือรสนิยมทางเพศของบุคคลธรรมดา
  • “ กำลังประมวลผล” หมายถึงการดำเนินการใดๆ ที่ดำเนินการกับข้อมูลของบริษัท เช่น การรวบรวม การบันทึก การจัดระเบียบ การจัดเก็บ การดัดแปลง การดึงข้อมูล การใช้ การเปิดเผย การเผยแพร่ หรือการทำลาย
  • “ข้อมูลโครงการ” หมายถึงข้อมูลเฉพาะ (เช่น เสียง รูปภาพ ข้อความ) ที่ผู้ขายรวบรวมหรือสร้างขึ้นเป็นส่วนหนึ่งของบริการที่ส่งมอบให้กับบริษัท
  • “ผู้ประมวลผลย่อย” หมายถึงบุคคลที่สามที่ผู้ขายว่าจ้างให้ประมวลผลข้อมูลของบริษัท

2. บทบาทและภาระผูกพันของผู้ขาย

2.1 บทบาทเป็นผู้ประมวลผล/ผู้ประมวลผลย่อย ผู้ขายรับทราบว่าในการประมวลผลข้อมูลของบริษัท ผู้ขายจะทำหน้าที่เป็น “ผู้ประมวลผล” หรือ “ผู้ประมวลผลย่อย” ในนามของบริษัท ผู้ขายไม่มีความเป็นเจ้าของหรือสิทธิ์อิสระใดๆ ในข้อมูลของบริษัท

2.2 การประมวลผลตามคำสั่ง ผู้ขายจะต้องประมวลผลข้อมูลของบริษัทตามคำสั่งที่ถูกต้องตามกฎหมายและบันทึกไว้เป็นเอกสารของบริษัทเท่านั้น รวมถึงคำสั่งที่ระบุไว้ในข้อตกลงและคำชี้แจงเกี่ยวกับงานที่เกี่ยวข้อง ผู้ขายถูกห้ามอย่างชัดแจ้งไม่ให้ประมวลผลข้อมูลของบริษัทเพื่อวัตถุประสงค์ของตนเอง หรือเพื่อวัตถุประสงค์ใดๆ ที่ไม่ได้รับคำสั่งโดยชัดแจ้งจากบริษัท คำสั่งดังกล่าวต้องรวมถึงข้อกำหนดในการเก็บรักษาและการกำจัดข้อมูล หากผู้ขายเชื่อว่าคำสั่งใดละเมิดกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง ผู้ขายต้องแจ้งให้บริษัททราบทันที

2.3 การปฏิบัติตามกฎหมาย ผู้ขายรับประกันและรับรองว่าจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องทั้งหมดในการปฏิบัติตามข้อตกลง และจะแจ้งให้บริษัททราบโดยเร็วหากกฎหมายใดๆ ป้องกันไม่ให้ปฏิบัติตามหรือกำหนดให้เปิดเผยข้อมูลของบริษัท (เช่น คำขอเข้าถึงข้อมูลของรัฐบาล)

3. มาตรการรักษาความปลอดภัยทางเทคนิคและองค์กร

3.1 มาตรฐานความปลอดภัย ผู้ขายจะต้องดำเนินการและรักษามาตรการรักษาความปลอดภัยทางเทคนิคและองค์กรที่เหมาะสม เพื่อปกป้องข้อมูลของบริษัทจากการละเมิดข้อมูลใดๆ มาตรการเหล่านี้จะต้องสอดคล้องกับระดับความเสี่ยงและลักษณะของข้อมูล และอย่างน้อยที่สุดต้องประกอบด้วย:

  1. การเข้ารหัสลับ: การเข้ารหัสข้อมูลทั้งหมดของบริษัททั้งที่อยู่นิ่งและระหว่างการส่ง
  2. การควบคุมการเข้าถึง: การควบคุมการเข้าถึงที่เข้มงวดโดยยึดตามสิทธิ์ที่น้อยที่สุด เพื่อให้แน่ใจว่าเฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้นที่มีสิทธิ์เข้าถึงข้อมูลของบริษัท
  3. การลดขนาดข้อมูล: การรวบรวมและประมวลผลเฉพาะข้อมูลส่วนบุคคลขั้นต่ำที่จำเป็นสำหรับโครงการที่ระบุ
  4. สภาพแวดล้อมที่ปลอดภัย: การรับรองว่าระบบทั้งหมดที่ใช้ในการประมวลผลข้อมูลของบริษัทได้รับการกำหนดค่า แพตช์ บันทึก และตรวจสอบอย่างปลอดภัย
  5. การลบอย่างปลอดภัย: ดำเนินการตามกระบวนการเพื่อลบข้อมูลของบริษัทอย่างปลอดภัยและถาวรตามคำสั่งของบริษัท รวมถึงการลบข้อมูลออกจากการสำรองข้อมูล
  6. ความปลอดภัยทางกายภาพ: การรักษาความปลอดภัยสถานที่ทางกายภาพและอุปกรณ์ทั้งหมดที่ใช้จัดเก็บหรือเข้าถึงข้อมูลของบริษัท
  7. การทดสอบและการติดตาม: การทดสอบการเจาะระบบ การประเมินช่องโหว่ และการตรวจสอบอย่างต่อเนื่อง
  8. ต่อเนื่องทางธุรกิจ: การรักษาแผนตอบสนองต่อเหตุการณ์ การกู้คืนจากภัยพิบัติ และแผนความต่อเนื่องทางธุรกิจ

4. การประมวลผลย่อย

4.1 ต้องได้รับความยินยอมล่วงหน้า ผู้ขายจะไม่ว่าจ้างผู้ประมวลผลย่อยใดๆ เพื่อประมวลผลข้อมูลของบริษัทโดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าจากบริษัท

4.2 การไหลลงของภาระผูกพัน หากได้รับความยินยอม ผู้ขายจะต้องทำข้อตกลงเป็นลายลักษณ์อักษรกับผู้ประมวลผลย่อยเพื่อกำหนดภาระผูกพันในการปกป้องข้อมูลต่อผู้ประมวลผลย่อยในระดับเดียวกันหรือเข้มงวดยิ่งขึ้นกับที่ผู้ขายกำหนดตามข้อกำหนดเหล่านี้

4.3 รายการผู้ประมวลผลย่อย ผู้ขายจะต้องรักษารายชื่อผู้ประมวลผลย่อยให้เป็นปัจจุบันและส่งมอบให้แก่บริษัทเมื่อได้รับการร้องขอ บริษัทขอสงวนสิทธิ์ในการคัดค้านผู้ประมวลผลย่อยรายใดก็ตามได้ตลอดเวลา

4.4 ความรับผิดเต็มที่ ผู้ขายจะยังคงต้องรับผิดต่อบริษัทอย่างเต็มที่สำหรับการปฏิบัติตามภาระผูกพันของผู้ประมวลผลย่อย และสำหรับการกระทำหรือการละเว้นใดๆ ของผู้ประมวลผลย่อย

5. การแจ้งเตือนและการจัดการการละเมิดข้อมูล

5.1 การแจ้งเตือนทันที ผู้ขายจะต้องแจ้งให้บริษัททราบเป็นลายลักษณ์อักษรโดยไม่ชักช้า และจะต้องไม่เกินยี่สิบสี่ (24) ชั่วโมงหลังจากรับทราบการละเมิดข้อมูลเป็นครั้งแรก

5.2 รายละเอียดการละเมิด การแจ้งเตือนต้องมีอย่างน้อย:

  1. อธิบายลักษณะของการละเมิดข้อมูล รวมถึงหมวดหมู่และจำนวนโดยประมาณของเจ้าของข้อมูลและบันทึกข้อมูลที่เกี่ยวข้อง
  2. ระบุชื่อและรายละเอียดการติดต่อของเจ้าหน้าที่คุ้มครองข้อมูลของผู้ขายหรือจุดติดต่อที่เกี่ยวข้องอื่นๆ
  3. อธิบายผลที่อาจเกิดขึ้นจากการละเมิดข้อมูล
  4. อธิบายมาตรการที่ผู้ขายใช้หรือเสนอให้ใช้เพื่อแก้ไขการละเมิดข้อมูลและบรรเทาผลกระทบ

5.3 การอัปเดตอย่างต่อเนื่อง ผู้ขายจะต้องแจ้งข้อมูลอัปเดตเป็นประจำจนกว่าเหตุการณ์จะได้รับการแก้ไขอย่างสมบูรณ์

5.4 ความร่วมมือ ผู้ขายจะต้องให้ความร่วมมืออย่างเต็มที่กับบริษัทในการสืบสวน เยียวยา และแจ้งเตือนการละเมิดข้อมูลใดๆ ผู้ขายจะต้องรับผิดชอบค่าใช้จ่ายทั้งหมดที่เกี่ยวข้องกับการละเมิดข้อมูลในขอบเขตที่เกิดจากการละเมิดข้อกำหนดเหล่านี้

6. การถ่ายโอนข้อมูลระหว่างประเทศ

6.1 ผู้ขายจะไม่ถ่ายโอนข้อมูลของบริษัทข้ามพรมแดนระหว่างประเทศโดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าจากบริษัท ผู้ขายต้องระบุประเทศทั้งหมดที่จะประมวลผลข้อมูลของบริษัท

6.2 หากจำเป็น ผู้ขายยินยอมที่จะเข้าสู่มาตรฐานข้อตกลงตามสัญญา (SCC) กฎเกณฑ์ผูกพันขององค์กร (BCR) ภาคผนวกของสหราชอาณาจักร หรือกลไกอื่นใดที่บริษัทกำหนดเพื่อให้แน่ใจว่ามีการถ่ายโอนข้อมูลที่ถูกต้องตามกฎหมาย

6.3 ผู้ขายจะต้องปฏิบัติตามข้อกำหนดการอยู่อาศัยข้อมูลท้องถิ่นในกรณีที่เกี่ยวข้อง

7. การตรวจสอบและการตรวจสอบ

บริษัทหรือผู้ตรวจสอบบัญชีภายนอกที่ได้รับมอบหมาย มีสิทธิ์ดำเนินการตรวจสอบบัญชีโดยออกค่าใช้จ่ายเอง เพื่อยืนยันการปฏิบัติตามข้อกำหนดเหล่านี้ของผู้ขาย ผู้ขายจะต้องให้ข้อมูล เอกสารประกอบ และสิทธิ์ในการเข้าถึงสถานที่และบุคลากรที่จำเป็นทั้งหมด

ผู้ขายจะต้องดำเนินการรับรองจากบุคคลที่สามเป็นประจำ (เช่น ISO 27001, SOC 2) และ/หรือการประเมินตนเอง และแก้ไขข้อบกพร่องใดๆ ที่พบในการตรวจสอบหรือการประเมินโดยทันทีภายในกรอบเวลาที่ตกลงร่วมกัน

8. ความช่วยเหลือด้านสิทธิ์ของเจ้าของข้อมูล

ผู้ขายจะต้องแจ้งบริษัททันที และไม่เกินสี่สิบแปด (48) ชั่วโมง หากได้รับคำขอจากเจ้าของข้อมูลเพื่อใช้สิทธิ์ (เช่น การเข้าถึง การแก้ไข การลบข้อมูล การเคลื่อนย้าย) ผู้ขายจะไม่ตอบสนองต่อคำขอดังกล่าวโดยตรง เว้นแต่จะได้รับคำสั่งจากบริษัท และจะต้องให้ความช่วยเหลือที่จำเป็นทั้งหมดเพื่อให้บริษัทสามารถดำเนินการตอบกลับได้

9. การส่งคืนและการลบข้อมูล

เมื่อสิ้นสุดข้อตกลงหรือตามคำขอของบริษัท ผู้ขายจะต้องลบหรือส่งคืนข้อมูลทั้งหมดของบริษัทอย่างปลอดภัยภายในสามสิบ (30) วัน ตามที่บริษัทเลือก ผู้ขายจะต้องดำเนินการลบข้อมูลออกจากข้อมูลสำรอง และต้องแสดงหนังสือรับรองการลบข้อมูลดังกล่าวเป็นลายลักษณ์อักษร

10. หมวดหมู่พิเศษของข้อมูล

10.1 ข้อมูลการดูแลสุขภาพ (HIPAA): หากผู้ขายประมวลผลข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) ใดๆ ผู้ขายจะรับทราบว่าเป็น “ผู้ร่วมธุรกิจ” (หรือผู้รับเหมาช่วงของผู้ร่วมธุรกิจ) ภายใต้ HIPAA ผู้ขายต้องปฏิบัติตามข้อกำหนดของ HIPAA และต้องลงนามในข้อตกลงผู้ร่วมธุรกิจ (BAA) ของบริษัท

10.2 ข้อมูลละเอียดอ่อนอื่นๆ: สำหรับโครงการที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่ละเอียดอ่อน (รวมถึงข้อมูลไบโอเมตริกซ์หรือข้อมูลจากเด็ก) ผู้ขายจะต้องได้รับการอนุมัติจากบริษัทและปฏิบัติตามโปรโตคอลด้านความปลอดภัยและการจัดการที่เข้มงวดยิ่งขึ้นตามที่บริษัทกำหนด

11. การชดเชยความเสียหายและความรับผิด

ผู้ขายตกลงที่จะปกป้อง ชดเชยค่าเสียหาย และถือว่าบริษัท บริษัทในเครือ เจ้าหน้าที่ และลูกค้าไม่มีส่วนรับผิดใดๆ ทั้งสิ้นจากการเรียกร้อง ความรับผิดชอบ ความเสียหาย การสูญเสีย ค่าปรับ บทลงโทษ และค่าใช้จ่ายใดๆ ทั้งสิ้น (รวมถึงค่าธรรมเนียมทนายความที่สมเหตุสมผล) ที่เกิดขึ้นจากหรือเกี่ยวข้องกับการละเมิดข้อกำหนดเหล่านี้โดยผู้ขาย พนักงาน หรือผู้ประมวลผลย่อย

ความรับผิดชอบจะไม่ถูกจำกัดสำหรับการละเมิดที่เกี่ยวข้องกับการละเมิดข้อมูล ค่าปรับตามกฎระเบียบ การประพฤติมิชอบโดยเจตนา หรือการฉ้อโกง

12 บททั่วไป

12.1 ความเป็นเลิศ ในกรณีที่มีข้อขัดแย้งระหว่างข้อกำหนดของข้อตกลงและข้อกำหนดเหล่านี้ ข้อกำหนดเหล่านี้จะมีผลบังคับใช้ในส่วนที่เกี่ยวข้องกับการคุ้มครองข้อมูล

12.2 การแก้ไข ข้อกำหนดเหล่านี้สามารถแก้ไขได้โดยการแก้ไขเป็นลายลักษณ์อักษรที่ลงนามโดยตัวแทนที่ได้รับอนุญาตจากทั้งสองฝ่าย

12.3 การอยู่รอด ภาระผูกพันที่เกี่ยวข้องกับการรักษาความลับ การลบข้อมูล ความรับผิดชอบ และสิทธิในการตรวจสอบจะยังคงมีผลต่อไปแม้ข้อตกลงจะสิ้นสุดลง

12.4 กฎหมายที่ใช้บังคับ ข้อกำหนดเหล่านี้จะต้องได้รับการควบคุมและตีความตามกฎหมายควบคุมที่ระบุไว้ในข้อตกลง