ภาคผนวก 2: ข้อสัญญามาตรฐานที่อนุมัติโดยคณะกรรมาธิการยุโรป (โมดูล 4)

วัตถุประสงค์ของข้อสัญญามาตรฐานเหล่านี้คือเพื่อให้แน่ใจว่าการโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามเป็นไปตามข้อกำหนดของ GDPR

ส่วน 1


ข้อ 1

วัตถุประสงค์และขอบเขต

  1. วัตถุประสงค์ของข้อสัญญามาตรฐานนี้คือเพื่อให้แน่ใจถึงการปฏิบัติตามข้อกำหนดในข้อบังคับ (EU) 2016/679 ของสภายุโรปและที่ปรึกษา วันที่ 27 เมษายน 2016 เกี่ยวกับการคุ้มครองบุคคลธรรมดาด้านการประมวลผลข้อมูลส่วนบุคคลและการเคลื่อนย้ายข้อมูลดังกล่าวอย่างเสรี (ข้อบังคับการคุ้มครองข้อมูลทั่วไป) สำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม
  2. คู่สัญญา:
    • บุคคลธรรมดาหรือบุคคลตามกฎหมาย หน่วยงานราชการ หน่วยงานหรือองค์กรต่างๆ (ต่อไปนี้จะเรียกว่า "หน่วยงาน") ที่ถ่ายโอนข้อมูลส่วนบุคคลตามที่ระบุในภาคผนวก I.A (ต่อไปนี้แต่ละรายจะเรียกว่า "ผู้ส่งออกข้อมูล") และ
    • หน่วยงานในประเทศที่สามที่รับข้อมูลส่วนบุคคลจากผู้ส่งออกข้อมูลโดยตรงหรือโดยอ้อมผ่านหน่วยงานอื่น ถือเป็นคู่สัญญาในข้อกำหนดเหล่านี้ด้วยตามที่ระบุในภาคผนวก I.A (ต่อไปนี้แต่ละรายจะเรียกว่า "ผู้นำเข้าข้อมูล") ทั้งสองฝ่ายได้ยอมรับข้อสัญญามาตรฐานเหล่านี้ (ต่อไปนี้จะเรียกว่า "ข้อกำหนด")
  3. ข้อกำหนดเหล่านี้บังคับใช้กับการถ่ายโอนข้อมูลส่วนบุคคลตามที่ระบุในภาคผนวก I.B
  4. ภาคผนวกในข้อกำหนดเหล่านี้ที่มีภาคผนวกที่กล่าวถึงนี้เป็นส่วนสำคัญของข้อกำหนดและเงื่อนไขเหล่านี้

ข้อ 2

ผลกระทบและความไม่เปลี่ยนแปลงของข้อกำหนด

  1. ข้อกำหนดเหล่านี้ระบุมาตรการความปลอดภัยที่เหมาะสม รวมถึงสิทธิ์ของเจ้าของข้อมูลที่บังคับใช้ได้และการเยียวยาทางกฎหมายที่มีผลบังคับใช้ตามมาตรา 46(1) และมาตรา 46(2)(c) ของข้อบังคับ (EU) 2016/679 และสำหรับการถ่ายโอนข้อมูลจากผู้ควบคุมไปยังผู้ประมวลผล และ/หรือจากผู้ประมวลผลไปยังผู้ประมวลผล ข้อสัญญามาตรฐานตามมาตรา 28(7) ของข้อบังคับ (EU) 2016/679 โดยที่ระบุมานั้นจะไม่มีการแก้ไข ยกเว้นจะเลือกรูปแบบที่เหมาะสมหรือเพิ่มหรืออัปเดตข้อมูลในภาคผนวก สิ่งนี้ไม่ได้กีดกันคู่สัญญาจากการรวมข้อสัญญามาตรฐานที่ระบุไว้ในข้อกำหนดเหล่านี้ในสัญญาที่กว้างขึ้นและ/หรือเพิ่มข้อกำหนดอื่นๆ หรือมาตรการความปลอดภัยเพิ่มเติม หากสิ่งเหล่านั้นไม่ขัดแย้งกัน ไม่ว่าจะทางตรงหรือทางอ้อมกับข้อกำหนดเหล่านี้ หรือทำให้เกิดความไม่เป็นธรรมต่อสิทธิมูลฐานหรือเสรีภาพของเจ้าของข้อมูล
  2. ข้อกำหนดเหล่านี้ไม่ขัดขวางภาระผูกพันของผู้ส่งออกข้อมูลโดยอาศัยอำนาจตามข้อบังคับ (EU) 2016/679


ข้อ 3

บุคคลที่สามผู้ได้รับประโยชน์

  1. เจ้าของข้อมูลสามารถเพิกถอนและบังคับใช้ข้อกำหนดเหล่านี้ในฐานะบุคคลที่สามผู้ได้รับประโยชน์ ต่อผู้ส่งออกข้อมูลและ/หรือผู้นำเข้าข้อมูล โดยมีข้อยกเว้นดังต่อไปนี้
    • ข้อ 1, 2, 3, 6 และ 7
    • ข้อ 8: ข้อ 8.1 ข้อย่อย b) และข้อ 8.3 ข้อย่อย b)
    • ข้อ 13
  2. ย่อหน้า (a) ไม่มีผลกระทบต่อสิทธิ์ของเจ้าของข้อมูลภายใต้ข้อบังคับ (EU) 2016/679

ข้อ 4

การตีความ

  1. เมื่อข้อกำหนดเหล่านี้ใช้คำที่นิยามในข้อบังคับ (EU) 2016/679 คำเหล่านั้นจะมีความหมายเดียวกันกับในข้อบังคับนั้น
  2. ควรอ่านและตีความข้อกำหนดเหล่านี้อิงตามบทบัญญัติของข้อบังคับ (EU) 2016/679
  3. ข้อกำหนดเหล่านี้ไม่ควรแปลไปในทางที่ขัดแย้งกับสิทธิ์และหน้าที่ที่ระบุในข้อบังคับ (EU) 2016/679


ข้อ 5

ลำดับชั้น

ในกรณีที่มีความขัดแย้งระหว่างข้อกำหนดเหล่านี้และบทบัญญัติของข้อตกลงที่เกี่ยวข้องระหว่างฝ่ายต่างๆ ที่มีอยู่ในเวลาที่ข้อกำหนดเหล่านี้ถูกยอมรับหรือเข้ามามีผลผูกพัน ข้อกำหนดเหล่านี้จะมีผลบังคับใช้เหนือกว่า

ข้อ 6

รายละเอียดของการถ่ายโอนข้อมูล

รายละเอียดของการถ่ายโอนข้อมูลและโดยเฉพาะอย่างยิ่งหมวดหมู่ข้อมูลส่วนบุคคลที่ถูกถ่ายโอน รวมถึงวัตถุประสงค์ของการถ่ายโอนระบุไว้ในภาคผนวก I.B

ข้อ 7

ข้อกำหนดการเข้าเป็นคู่สัญญาเพิ่มเติม

  1. องค์กรที่ไม่ใช่คู่สัญญาในข้อกำหนดเหล่านี้สามารถยอมรับข้อกำหนดเหล่านี้ได้ด้วยการตกลงจากคู่สัญญาทั้งสองฝ่ายได้ทุกเมื่อ ไม่ว่าจะในฐานะผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูล โดยดำเนินการจัดทำภาคผนวกให้เสร็จและลงนามในภาคผนวก I.A
  2. เมื่อจัดทำภาคผนวกเสร็จและลงนามในภาคผนวก I.A แล้ว หน่วยงานที่ยอมรับข้อตกลงจะกลายเป็นคู่สัญญาในข้อกำหนดเหล่านี้ และมีสิทธิ์และหน้าที่ของผู้ส่งออกข้อมูลหรือผู้นำเข้าข้อมูลตามที่กำหนดในภาคผนวก I.A
  3. องค์กรที่ยอมรับข้อตกลงจะไม่มีสิทธิ์หรือหน้าที่ที่เกิดขึ้นภายใต้ข้อกำหนดเหล่านี้จากช่วงระยะเวลาก่อนเข้าร่วมเป็นคู่สัญญา


ส่วนที่ 2: ข้อผูกพันของคู่สัญญา


ข้อ 8

ปกป้องข้อมูลส่วนบุคคล

ผู้ส่งออกข้อมูลรับประกันว่าได้ใช้ความพยายามที่สมเหตุสมผลเพื่อพิจารณาว่าผู้นำเข้าข้อมูลสามารถปฏิบัติตามมาตรการทางเทคนิคและมาตรการขององค์กรที่เหมาะสมเพื่อเป็นไปตามข้อผูกพันภายใต้ข้อกำหนดเหล่านี้

8.1 คำสั่ง

  1. ผู้ส่งออกข้อมูลจะต้องประมวลผลข้อมูลส่วนบุคคลตามคำสั่งที่อยู่ในเอกสารจากผู้นำเข้าข้อมูลที่ทำหน้าที่เป็นผู้ควบคุมเท่านั้น
  2. ผู้ส่งออกข้อมูลจะแจ้งผู้นำเข้าข้อมูลทันทีหากไม่สามารถปฏิบัติตามคำสั่งเหล่านั้นได้ รวมถึงกรณีที่คำสั่งนั้นละเมิดข้อบังคับ (EU) 2016/679 หรือกฎหมายคุ้มครองข้อมูลของสหภาพหรือประเทศสมาชิกอื่นๆ
  3. ผู้นำเข้าข้อมูลจะหยุดการกระทำใดๆ อันจะขัดขวางไม่ให้ผู้ส่งออกข้อมูลปฏิบัติตามหน้าที่ของตนภายใต้ข้อบังคับ (EU) 2016/679 รวมถึงในบริบทของการประมวลผลช่วงหรือเกี่ยวกับความร่วมมือกับหน่วยงานกำกับดูแลที่มีอำนาจ
  4. หลังจากสิ้นสุดการให้บริการประมวลผล ผู้ส่งออกข้อมูลจะต้องทำสิ่งต่อไปนี้ตามการเลือกของผู้นำเข้าข้อมูล ลบข้อมูลส่วนบุคคลทั้งหมดที่ประมวลผลในนามของผู้นำเข้าข้อมูลและยืนยันกับผู้นำเข้าข้อมูลว่าได้ลบเสร็จแล้ว หรือส่งคืนข้อมูลส่วนบุคคลทั้งหมดที่ประมวลผลแล้วแก่ผู้นำเข้าข้อมูลและลบสำเนาที่มีอยู่

8.2 ความปลอดภัยของการประมวลผล

  1. คู่สัญญาจะต้องใช้มาตรการทางเทคนิคและมาตรการขององค์กรที่เหมาะสมเพื่อให้มั่นใจถึงความปลอดภัยของข้อมูล รวมถึงในระหว่างการส่งต่อข้อมูล และการป้องกันการละเมิดความปลอดภัยที่นำไปสู่การทำลาย การสูญหาย การดัดแปลง การเปิดเผยหรือการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตโดยเหตุบังเอิญหรือโดยผิดกฎหมาย (ต่อจากนี้จะเรียกว่า "การละเมิดข้อมูลส่วนบุคคล") ในการประเมินระดับความปลอดภัยที่เหมาะสม จะต้องคำนึงถึงเทคโนโลยีที่ทันสมัย ค่าใช้จ่ายในการดำเนินการ ธรรมชาติของข้อมูลส่วนบุคคล ลักษณะ ขอบเขต บริบทและวัตถุประสงค์ของการประมวลผลและความเสี่ยงที่เกี่ยวข้องในการประมวลผลสำหรับเจ้าของข้อมูล และพิจารณาเป็นพิเศษให้มีการเข้ารหัสหรือใช้นามแฝงกับทรัพยากรข้อมูล รวมถึงในระหว่างการส่งต่อที่จะเป็นไปตามวัตถุประสงค์ของการประมวลผลให้สำเร็จในลักษณะนั้น
  2. ผู้ส่งออกข้อมูลจะต้องช่วยผู้นำเข้าข้อมูลในการรับประกันความปลอดภัยที่เหมาะสมของข้อมูลตามย่อหน้า (a) ในกรณีของการละเมิดข้อมูลส่วนบุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่ประมวลผลโดยผู้ส่งออกข้อมูลภายใต้ข้อกำหนดเหล่านี้ ผู้ส่งออกข้อมูลจะต้องแจ้งให้ผู้นำเข้าข้อมูลทราบทันทีโดยไม่ล่าช้าเกินควรหลังจากทราบเรื่อง และช่วยผู้นำเข้าข้อมูลในการจัดการกับการละเมิดนั้น
  3. ผู้ส่งออกข้อมูลจะต้องดำเนินการให้แน่ใจว่าบุคคลที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนบุคคลได้ปฏิบัติตามมาตรการรักษาความลับหรืออยู่ภายใต้ข้อผูกพันในการรักษาความลับที่เหมาะสมตามกฎหมาย

8.3 เอกสารบันทึกและการปฏิบัติตามข้อกำหนด

  1. คู่สัญญาจะต้องสามารถแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดเหล่านี้
  2. ผู้ส่งออกข้อมูลจะต้องเตรียมข้อมูลที่จำเป็นทั้งหมดแก่ผู้นำเข้าข้อมูลเพื่อแสดงถึงการปฏิบัติตามข้อผูกพันภายใต้ข้อกำหนดเหล่านี้ รวมถึงอนุญาตและให้ความร่วมมือในการตรวจสอบ

ข้อ 9

สิทธิ์ของเจ้าของข้อมูล

คู่สัญญาจะต้องช่วยเหลือกันในการตอบคำถามและตอบสนองต่อคำขอที่ยื่นโดยเจ้าของข้อมูลภายใต้กฎหมายท้องถิ่นที่ใช้กับผู้นำเข้าข้อมูลหรือสำหรับการประมวลผลข้อมูลโดยผู้ส่งออกข้อมูลใน EU ภายใต้ข้อบังคับ (EU) 2016/679

ข้อ 10

การแก้ไข

ผู้นำเข้าข้อมูลจะต้องแจ้งเจ้าของข้อมูลให้ทราบเกี่ยวกับผู้ติดต่อที่ได้รับอนุญาตให้จัดการข้อร้องเรียนในรูปแบบที่โปร่งใสและสามารถเข้าถึงได้ง่าย โดยการแจ้งเตือนส่วนบุคคลหรือบนเว็บไซต์ จะต้องจัดการกับข้อร้องเรียนใดๆ ที่ได้รับจากเจ้าของข้อมูลโดยทันที

ข้อ 11

ความรับผิด

  1. คู่สัญญาแต่ละฝ่ายจะต้องรับผิดชอบต่อคู่สัญญาอีกฝ่ายสำหรับความเสียหายใดๆ ที่เกิดจากการละเมิดข้อกำหนดเหล่านี้ต่ออีกฝ่าย
  2. คู่สัญญาแต่ละฝ่ายจะต้องรับผิดชอบต่อเจ้าของข้อมูล และเจ้าของข้อมูลมีสิทธิ์ได้รับการชดเชยความเสียหายที่เกิดขึ้นทางกายภาพหรือไม่ใช่ทางกายภาพที่คู่สัญญาดังกล่าวเป็นต้นเหตุให้เกิดแก่เจ้าของข้อมูล โดยละเมิดสิทธิประโยชน์ของบุคคลที่สามภายใต้ข้อกำหนดเหล่านี้ เป็นความรับผิดชอบโดยไม่เป็นการตัดสิทธิ์ที่ระบุในข้อบังคับ (EU) 2016/679 สำหรับผู้ส่งออกข้อมูล
  3. ในกรณีที่มีคู่สัญญาหลายรายที่รับผิดชอบต่อความเสียหายใดๆ ที่เกิดขึ้นแก่เจ้าของข้อมูลอันเนื่องมาจากการละเมิดข้อกำหนดเหล่านี้ คู่สัญญาที่รับผิดชอบทั้งหมดจะต้องมีความรับผิดร่วมกันและแยกกัน
  4. คู่สัญญาตกลงว่าหากคู่สัญญาฝ่ายหนึ่งรับผิดชอบตามย่อหน้า (c) จะมีสิทธิ์เรียกร้องจากคู่สัญญาอีกฝ่ายสำหรับส่วนการชดเชยที่เกี่ยวข้องกับความรับผิดชอบของคู่สัญญาที่มีต่อความเสียหาย
  5. ผู้นำเข้าข้อมูลจะไม่สามารถเพิกถอนการดำเนินการของผู้ประมวลผลหรือผู้ประมวลผลช่วงเพื่อหลีกเลี่ยงความรับผิดของตัวเอง


ส่วนที่ 3: กฎหมายท้องถิ่นและหน้าที่ในกรณีที่มีการเข้าถึงโดยเจ้าหน้าที่ภาครัฐ


ข้อ 12

กฎหมายและหลักปฏิบัติในท้องถิ่นที่กระทบต่อการปฏิบัติตามข้อกำหนด

  1. คู่สัญญารับรองว่าตนไม่มีเหตุผลที่จะเชื่อว่ากฎหมายและหลักปฏิบัติในประเทศปลายทางที่สามใช้บังคับในการประมวลผลข้อมูลส่วนบุคคลโดยผู้นำเข้าข้อมูล รวมถึงความต้องการใดๆ ที่จะเปิดเผยข้อมูลส่วนบุคคลหรือมาตรการที่อนุญาตให้เข้าถึงโดยเจ้าหน้าที่ภาครัฐ ไม่ได้กีดกันผู้นำเข้าข้อมูลจากการปฏิบัติตามหน้าที่ภายใต้ข้อกำหนดเหล่านี้ อ้างอิงจากการเข้าใจว่ากฎหมายและหลักปฏิบัติที่เคารพสาระสำคัญของสิทธิมูลฐานและเสรีภาพ และไม่เกินจำเป็นและสมส่วนในสังคมประชาธิปไตยเพื่อปกป้องหนึ่งในวัตถุประสงค์ที่ระบุไว้ในมาตรา 23(1) ของข้อบังคับ (EU) 2016/679 ไม่ขัดแย้งกับข้อกำหนดเหล่านี้
  2. คู่สัญญาขอแจ้งว่าในขณะที่ให้การรับรองในย่อหน้า (a) พวกเขาได้พิจารณาอย่างรอบคอบโดยเฉพาะอย่างยิ่งในส่วนประกอบต่อไปนี้
    • สถานการณ์เฉพาะของการถ่ายโอนข้อมูล รวมถึงความยาวของห่วงโซ่การประมวลผล จำนวนผู้มีส่วนเกี่ยวข้องและช่องทางการส่งต่อที่ใช้ การถ่ายโอนครั้งต่อไปที่กำหนดไว้ ประเภทของผู้รับ วัตถุประสงค์ของการประมวลผล หมวดหมู่และรูปแบบของข้อมูลส่วนบุคคลที่ถ่ายโอน ภาคส่วนเศรษฐกิจที่เกิดการถ่ายโอน และที่ตั้งที่จัดเก็บข้อมูลที่ถ่ายโอน
    • กฎหมายและหลักปฏิบัติของประเทศปลายทางที่สาม รวมถึงความต้องการการเปิดเผยข้อมูลต่อเจ้าหน้าที่รัฐหรืออนุญาตการเข้าถึงโดยเจ้าหน้าที่ดังกล่าวตามสถานการณ์เฉพาะของการถ่ายโอน รวมถึงขีดจำกัดและมาตรการความปลอดภัยที่บังคับใช้
    • มาตรการความปลอดภัยทางเทคนิคหรือขององค์กรตามสัญญาที่เกี่ยวข้องที่มีเพื่อเสริมมาตรการความปลอดภัยภายใต้ข้อกำหนดเหล่านี้ รวมถึงมาตรการที่ใช้ในระหว่างการส่งต่อและการประมวลผลข้อมูลส่วนบุคคลในประเทศปลายทาง
  3. ผู้นำเข้าข้อมูลรับรองว่าในการดำเนินการประเมินภายใต้ย่อหน้า (b) ตนได้ทุ่มเทความพยายามอย่างเต็มที่เพื่อให้ข้อมูลที่เกี่ยวข้องแก่ผู้ส่งออกข้อมูล และตกลงว่าจะดำเนินการความร่วมมืออย่างต่อเนื่องกับผู้ส่งออกข้อมูลเพื่อให้แน่ใจถึงการปฏิบัติตามข้อกำหนดเหล่านี้
  4. คู่สัญญาตกลงที่จะบันทึกการประเมินภายใต้ย่อหน้า (b) และเตรียมพร้อมมอบให้เจ้าหน้าที่กำกับดูแลที่มีอำนาจตรวจสอบตามคำขอ
  5. ผู้นำเข้าข้อมูลตกลงว่าจะแจ้งเตือนผู้ส่งออกข้อมูลทันทีหากหลังจากได้ตกลงตามข้อกำหนดเหล่านี้และตลอดระยะเวลาของสัญญา มีเหตุผลให้เชื่อว่าผู้ส่งออกข้อมูลไม่ปฏิบัติตามกฎหมายหรือหลักปฏิบัติซึ่งสอดคล้องกับข้อกำหนดภายใต้ย่อหน้า (a) รวมถึงหลังจากการเปลี่ยนแปลงกฎหมายของประเทศที่สามหรือมาตรการ (เช่นคำขอเปิดเผยข้อมูล) ที่ระบุว่าการใช้กฎหมายดังกล่าวในทางปฏิบัติไม่สอดคล้องกับข้อกำหนดในย่อหน้า (a)
  6. จากการแจ้งเตือนตามย่อหน้า (e) หรือหากผู้ส่งออกข้อมูลมีเหตุผลให้เชื่อว่าผู้นำเข้าข้อมูลไม่สามารถปฏิบัติตามหน้าที่ภายใต้ข้อกำหนดเหล่านี้ได้อีกต่อไป ผู้ส่งออกข้อมูลจะต้องระบุมาตรการที่เหมาะสมในทันที (เช่น มาตรการทางเทคนิคหรือขององค์กรเพื่อให้แน่ใจถึงความปลอดภัยและการรักษาความลับ) ที่ผู้ส่งออกข้อมูลและ/หรือผู้นำเข้าข้อมูลจะนำมาใช้เพื่อจัดการสถานการณ์ ผู้ส่งออกข้อมูลจะต้องระงับการถ่ายโอนข้อมูลหากพิจารณาว่าไม่มีมาตรการความปลอดภัยที่เหมาะสมสำหรับการถ่ายโอนดังกล่าว หรือหากได้รับคำสั่งจากหน่วยงานกำกับดูแลที่มีอำนาจให้ดำเนินการเช่นนั้น ในกรณีนี้ ผู้ส่งออกข้อมูลจะมีสิทธิ์ยุติสัญญาตราบเท่าที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลภายใต้ข้อกำหนดเหล่านี้ หากสัญญาเกี่ยวข้องกับคู่สัญญามากกว่าสองฝ่าย ผู้ส่งออกข้อมูลสามารถใช้สิทธิ์นี้ในการยุติสัญญาเฉพาะกับคู่สัญญาที่เกี่ยวข้องเท่านั้น เว้นแต่คู่สัญญาได้ตกลงกันไว้เป็นอย่างอื่น ในกรณีที่มีการยุติสัญญาตามข้อกำหนดนี้ ข้อ 16(d) และ (e) จะมีผลบังคับใช้

ข้อ 13

หน้าที่ของผู้นำเข้าข้อมูลในกรณีที่มีการเข้าถึงจากเจ้าหน้าที่ภาครัฐ

13.1 การแจ้งเตือน

  1. ผู้นำเข้าข้อมูลตกลงที่จะแจ้งเตือนผู้ส่งออกข้อมูล และเจ้าของข้อมูลทันทีเมื่อเป็นไปได้ (หากจำเป็นต้องรับความช่วยเหลือจากผู้ส่งออกข้อมูล) ในกรณีต่อไปนี้
    • ได้รับคำขอตามกฎหมายจากเจ้าหน้าที่ภาครัฐ รวมถึงเจ้าหน้าที่ศาลภายใต้กฎหมายของประเทศปลายทางเพื่อการเปิดเผยข้อมูลส่วนบุคคลที่ถ่ายโอนตามข้อกำหนดเหล่านี้ การแจ้งเตือนดังกล่าวต้องประกอบข้อมูลเกี่ยวกับข้อมูลส่วนบุคคลที่ต้องการ เจ้าหน้าที่ที่ร้องขอ ฐานทางกฎหมายสำหรับคำขอและการตอบสนองที่ให้ หรือ
    • ทราบถึงการเข้าถึงโดยตรงจากเจ้าหน้าที่รัฐไปยังข้อมูลส่วนบุคคลที่ถ่ายโอนตามข้อกำหนดเหล่านี้ โดยเป็นไปตามกฎหมายของประเทศปลายทาง การแจ้งนั้นจะต้องประกอบด้วยข้อมูลทั้งหมดที่มีให้ผู้นำเข้าข้อมูล
  2. หากผู้นำเข้าข้อมูลถูกห้ามไม่ให้แจ้งแก่ผู้ส่งออกข้อมูลและ/หรือเจ้าของข้อมูลภายใต้กฎหมายของประเทศปลายทาง ผู้นำเข้าข้อมูลตกลงที่จะใช้ความพยายามเต็มที่ในการขอยกเว้นการห้ามนี้ เพื่อให้สามารถสื่อสารข้อมูลได้มากที่สุดเท่าที่ทำได้ในทันที ผู้นำเข้าข้อมูลตกลงที่จะบันทึกความพยายามอย่างเต็มที่ของตนเพื่อให้สามารถแสดงในคำขอของผู้ส่งออกข้อมูลได้
  3. เมื่อกฎหมายของประเทศปลายทางอนุญาต ผู้ส่งออกข้อมูลตกลงที่จัดเตรียมข้อมูลที่เกี่ยวข้องให้แก่ผู้ส่งออกข้อมูลในช่วงระยะเวลาของสัญญาอย่างสม่ำเสมอตามการร้องขอ (โดยเฉพาะอย่างยิ่งจำนวนคำขอ ประเภทของข้อมูลที่ร้องขอ ผู้ที่ร้องขอ ไม่ว่าคำขอนั้นจะถูกตั้งคำถามหรือไม่และผลลัพธ์ของการตั้งคำถามจะออกมาเป็นเช่นไร ฯลฯ)
  4. ผู้นำเข้าข้อมูลตกลงที่จะเก็บรักษาข้อมูลตามย่อหน้า (a) ถึง (c) เป็นระยะเวลาตามที่ระบุในสัญญา และมีให้เจ้าหน้าที่กำกับดูแลที่มีอำนาจตรวจสอบตามคำขอ
  5. ย่อหน้า (a) ถึง (c) ไม่มีผลกระทบต่อหน้าที่ของผู้นำเข้าข้อมูลตามข้อ 14(e) และข้อ 16 ที่จะแจ้งให้ผู้ส่งออกข้อมูลทราบทันทีเมื่อไม่สามารถปฏิบัติตามข้อกำหนดเหล่านี้

13.2 ตรวจสอบความถูกต้องตามกฎหมายและการเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็น

  1. ผู้นำเข้าข้อมูลตกลงที่จะตรวจสอบความถูกต้องตามกฎหมายของคำขอเปิดเผยข้อมูล โดยเฉพาะตรวจสอบดูว่าอยู่ในอำนาจที่ได้รับมอบหมายแก่เจ้าหน้าที่รัฐที่ทำการร้องขอหรือไม่ และตรวจสอบความถูกต้องต่อคำขอหากหลังจากการประเมินอย่างรอบคอบและมีมูลที่สมเหตุสมผลที่จะเชื่อว่าคำขอนั้นอาจไม่ถูกต้องตามกฎหมายตามกฎหมายของประเทศปลายทาง รวมถึงหน้าที่ที่บังคับภายใต้กฎหมายและหลักการระหว่างประเทศของหลักอัธยาศัยไมตรีระหว่างประเทศ ผู้นำเข้าข้อมูลสามารถยื่นอุทธรณ์ภายใต้เงื่อนไขเดียวกัน เมื่อมีการตรวจสอบความถูกต้องต่อคำขอ ผู้นำเข้าข้อมูลจะดำเนินมาตรการชั่วคราวเพื่อระงับผลที่จะเกิดขึ้นจากคำขอจนกว่าศาลที่มีอำนาจจะมีการตัดสินตามข้อเท็จจริง จะไม่มีการเปิดเผยข้อมูลส่วนบุคคลที่ร้องขอจนกว่าจะดำเนินการดังกล่าวตามที่กำหนดภายใต้กฎกระบวนการที่บังคับใช้ ข้อกำหนดเหล่านี้จะไม่กระทบต่อหน้าที่ของผู้นำเข้าข้อมูลภายใต้ข้อ 14(e)
  2. ผู้นำเข้าข้อมูลตกลงที่จะบันทึกการประเมินทางกฎหมายและการตรวจสอบความถูกต้องต่อคำขอเปิดเผยข้อมูล และอยู่ภายใต้ขอบเขตที่ได้รับอนุญาตตามกฎหมายของประเทศปลายทาง โดยผู้ส่งออกข้อมูลสามารถดูเอกสารบันทึกนี้ได้ และพร้อมให้หน่วยงานกำกับดูแลที่มีอำนาจตรวจสอบได้ตามคำขอเช่นกัน
  3. ผู้นำเข้าข้อมูลตกลงที่จะจัดเตรียมข้อมูลเท่าที่จำเป็นที่ได้รับอนุญาตเมื่อตอบตกลงต่อคำขอเปิดเผยข้อมูล โดยอิงตามการตีความคำขอที่สมเหตุสมผล


ส่วนที่ 4: ข้อกำหนดขั้นสุดท้าย


ข้อ 14

การไม่ปฏิบัติตามข้อกำหนดและการยกเลิกสัญญา

  1. ผู้นำเข้าข้อมูลจะแจ้งเตือนผู้ส่งออกข้อมูลทันทีที่ไม่สามารถปฏิบัติตามข้อกำหนดเหล่านี้ไม่ว่าด้วยเหตุผลใดก็ตาม
  2. ในกรณีที่ผู้นำเข้าข้อมูลละเมิดข้อกำหนดเหล่านี้หรือไม่สามารถปฏิบัติตามข้อกำหนดเหล่านี้ได้ ผู้ส่งออกข้อมูลจะระงับการถ่ายโอนข้อมูลส่วนบุคคลไปยังผู้นำเข้าข้อมูลทันทีจนกว่าจะสามารถปฏิบัติตามข้อกำหนดได้อีกครั้งหรือยกเลิกสัญญาแล้ว การดำเนินการนี้ไม่กระทบต่อข้อ 14(f)
  3. ผู้ส่งออกข้อมูลจะมีสิทธิ์ยกเลิกสัญญาตราบเท่าที่มีความเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลภายใต้ข้อกำหนดเหล่านี้ ในกรณีต่อไปนี้
    • ผู้ส่งออกข้อมูลได้ระงับการถ่ายโอนข้อมูลส่วนบุคคลไปยังผู้นำเข้าข้อมูลตามย่อหน้า (b) และการปฏิบัติตามข้อกำหนดเหล่านี้ไม่สามารถทำได้ภายในเวลาที่เหมาะสม และในทุกๆ กรณีภายในหนึ่งเดือนของการระงับ
    • ผู้นำเข้าข้อมูลมีการละเมิดสาระสำคัญหรือละเมิดข้อกำหนดข้อเหล่านี้อย่างถาวร หรือ
    • ผู้นำเข้าข้อมูลไม่สามารถปฏิบัติตามการตัดสินของศาลที่มีอำนาจหรือหน่วยงานกำกับดูแลที่มีผลผูกพันในการทำหน้าที่ภายใต้ข้อกำหนดเหล่านี้

    ในกรณีเหล่านี้ จะต้องแจ้งให้หน่วยงานกำกับดูแลที่มีอำนาจทราบถึงการไม่สามารถปฏิบัติตามข้อกำหนดดังกล่าว หากสัญญาเกี่ยวข้องกับคู่สัญญามากกว่าสองฝ่าย ผู้ส่งออกข้อมูลสามารถใช้สิทธิ์นี้ในการยุติสัญญาเฉพาะกับคู่สัญญาที่เกี่ยวข้องเท่านั้น เว้นแต่คู่สัญญาได้ตกลงกันไว้เป็นอย่างอื่น

  4. ข้อมูลส่วนบุคคลที่เก็บรวบรวมโดยผู้ส่งออกข้อมูลใน EU ซึ่งถ่ายโอนก่อนการยกเลิกสัญญาตามย่อหน้า (c) จะถูกลบออกทั้งหมดในทันที รวมถึงสำเนาใดๆ ด้วย ผู้นำเข้าข้อมูลจะต้องรับรองการลบของข้อมูลแก่ผู้ส่งออกข้อมูล จนกว่าข้อมูลจะถูกลบหรือส่งคืน ผู้นำเข้าข้อมูลจะต้องดำเนินการเพื่อให้แน่ใจถึงการปฏิบัติตามข้อกำหนดเหล่านี้ต่อไป ในกรณีของกฎหมายท้องถิ่นที่บังคับใช้กับผู้นำเข้าข้อมูลที่ห้ามการส่งคืนหรือการลบข้อมูลส่วนบุคคลที่ถ่ายโอน ผู้นำเข้าข้อมูลรับรองว่าจะดำเนินการเพื่อให้แน่ใจถึงการปฏิบัติตามข้อกำหนดเหล่านี้ต่อไป และจะประมวลผลข้อมูลเฉพาะในขอบเขตและตราบเท่าที่กฎหมายในท้องถิ่นกำหนด
  5. คู่สัญญาสามารถเพิกถอนข้อตกลงที่ผูกพันตามข้อกำหนดเหล่านี้ตาม (1) คณะกรรมาธิการยุโรปออกมติภายใต้มาตรา 45(3) ของข้อบังคับ (EU) 2016/679 ที่ครอบคลุมถึงการถ่ายโอนข้อมูลส่วนบุคคลที่ข้อกำหนดเหล่านี้มีผลบังคับใช้ หรือ (2) ข้อบังคับ (EU) 2016/679 กลายเป็นส่วนหนึ่งของกรอบกฎหมายของประเทศที่คู่สัญญาถ่ายโอนข้อมูลส่วนบุคคลไป โดยต้องไม่ขัดแย้งกับหน้าที่อื่นๆ ที่ใช้กับการประมวลผลดังกล่าวภายใต้ข้อบังคับ (EU) 2016/679

ข้อ 15

กฎหมายที่ใช้บังคับ

ข้อกำหนดเหล่านี้ต้องอยู่ภายใต้กฎหมายของประเทศที่อนุญาตให้ใช้สิทธิประโยชน์สำหรับบุคคลที่สาม คู่สัญญาตกลงว่าต้องเป็นกฎหมายของประเทศสเปน

ข้อ 16

การเลือกศาลและเขตอำนาจศาล

ข้อพิพาทใดๆ ที่เกิดขึ้นจากข้อกำหนดเหล่านี้ต้องได้รับการตัดสินโดยศาลประเทศสเปน



ภาคผนวก 1

รายชื่อคู่สัญญา

ผู้ส่งออกข้อมูล:

  • ชื่อ: ILOVEPDF, S.L.
  • ที่อยู่: Calle Sabino de Arana, 60, 08028 Barcelona
  • ชื่อผู้ติดต่อ ตำแหน่ง และรายละเอียดการติดต่อ: Juan Oriol ผู้อำนวยการฝ่ายกฎหมาย (legal@ilovepdf.com)
  • กิจกรรมที่เกี่ยวข้องกับการถ่ายโอนข้อมูลภายใต้ข้อกำหนดเหล่านี้: การให้บริการแก่ผู้นำเข้าข้อมูลส่วนบุคคลตราบเท่าที่การให้บริการดังกล่าวเกี่ยวข้องกับการถ่ายโอนข้อมูลส่วนบุคคลระหว่างประเทศจาก ILOVEPDF (ผู้ส่งออกข้อมูล) ไปยังลูกค้า (ผู้นำเข้าข้อมูล)
  • บทบาท: ผู้ประมวลผลข้อมูล

ผู้นำเข้าข้อมูล: [รายละเอียดการระบุตัวตนและการติดต่อของผู้นำเข้าข้อมูล รวมถึงบุคคลที่รับผิดชอบปกป้องข้อมูล]

  • ชื่อ: [...] (หากไม่ครบถ้วน จะเข้าใจว่าให้ใช้ชื่อลูกค้า)
  • ที่อยู่: [...] (หากไม่ครบถ้วน จะเข้าใจว่าให้ใช้ที่อยู่ของลูกค้า)
  • ชื่อผู้ติดต่อ ตำแหน่ง และรายละเอียดการติดต่อ: [...] (หากไม่ครบถ้วน จะเข้าใจว่าให้ใช้ผู้ที่เป็นตัวแทนของลูกค้าในการทำสัญญาหรือดำเนินการบริการ)
  • กิจกรรมที่เกี่ยวข้องกับการถ่ายโอนข้อมูลภายใต้ข้อกำหนดเหล่านี้: การให้บริการโดยผู้ส่งออกข้อมูลส่วนบุคคลเท่าที่การให้บริการเหล่านี้เกี่ยวข้องกับการถ่ายโอนข้อมูลส่วนบุคคลระหว่างประเทศจาก ILOVEPDF (ผู้ส่งออกข้อมูล) ไปยังลูกค้า (ผู้นำเข้าข้อมูล)
  • ลายเซ็นและวันที่: [...] (หากไม่ครบถ้วน จะเข้าใจว่าเป็นวันที่ที่ลูกค้าเริ่มใช้บริการครั้งแรก)
  • บทบาท: ผู้ควบคุมข้อมูล

รายละเอียดของการถ่ายโอน

หมวดหมู่ของเจ้าของข้อมูลที่ข้อมูลส่วนบุคคลของตนถูกถ่ายโอน

หมวดหมู่ของเจ้าของข้อมูลที่มีข้อมูลอยู่ในไฟล์ที่ผู้นำเข้าข้อมูลอัปโหลดเมื่อใช้บริการที่ ILOVEPDF มอบให้ (เช่น พนักงาน ลูกค้า ซัพพลายเออร์ เป็นต้น)

หมวดหมู่ของข้อมูลส่วนบุคคลที่ถ่ายโอน
หมวดหมู่ของข้อมูลส่วนบุคคลที่รวมอยู่ในไฟล์ที่ผู้นำเข้าข้อมูลอัปโหลดเมื่อใช้บริการที่ ILOVEPDF มอบให้

ข้อมูลที่ละเอียดอ่อนที่โอนย้าย (ถ้ามี) และข้อจำกัดหรือมาตรการความปลอดภัยที่บังคับใช้ที่คำนึงถึงลักษณะของข้อมูลและความเสี่ยงที่เกี่ยวข้องทั้งหมด เช่น ขีดจำกัดวัตถุประสงค์ที่เข้มงวด การจำกัดการเข้าถึง (รวมถึงการเข้าถึงเฉพาะสำหรับพนักงานที่ได้รับการฝึกอบรมพิเศษ) การเก็บบันทึกการเข้าถึงข้อมูล ข้อจำกัดสำหรับการส่งต่อข้อมูลครั้งต่อไป หรือมาตรการความปลอดภัยเพิ่มเติม

หมวดหมู่ข้อมูลพิเศษจะได้รับการประมวลผลเท่าที่ไฟล์ที่ผู้นำเข้าอัปโหลดเมื่อใช้บริการที่ ILOVEPDF มอบให้มีหมวดหมู่ข้อมูลส่วนบุคคลพิเศษดังกล่าว

ความถี่ในการถ่ายโอนข้อมูล (เช่น ข้อมูลได้รับการถ่ายโอนแบบครั้งเดียวหรือต่อเนื่อง)
เมื่อการใช้บริการที่ ILOVEPDF มอบให้เกี่ยวข้องกับการถ่ายโอนข้อมูลระหว่างประเทศจาก ILOVEPDF ไปยังผู้นำเข้าข้อมูล

ลักษณะของการประมวลผล
สื่อสารข้อมูลส่วนบุคคลแก่ผู้นำเข้าเท่าที่จำเป็นเพื่อให้ ILOVEPDF สามารถให้บริการได้

วัตถุประสงค์ของการถ่ายโอนข้อมูลและการประมวลผลเพิ่มเติม
เพื่อให้บริการในนามของ ILOVEPDF

ระยะเวลาที่ข้อมูลส่วนบุคคลจะถูกเก็บรักษา หรือหากไม่สามารถทำได้ เกณฑ์ที่ใช้ในการกำหนดระยะเวลานั้น
เท่าที่จำเป็นอย่างยิ่งในการให้บริการ และต่อมาคือเท่าที่จำเป็นตามกฎหมายที่บังคับใช้และจำเป็นเพื่อยืนยันหรือป้องกันการเรียกร้องที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล

การควบคุมเวอร์ชัน: วันพฤหัสบดีที่ 19 กุมภาพันธ์ ค.ศ. 2026



อ๊ะ! มีบางอย่างไม่ถูกต้องกับการเชื่อมต่ออินเตอร์เน็ตของคุณ...