ภาคผนวกการประมวลผลข้อมูลสำรองของตัวเอง

วิธีดำเนินการ DPA นี้

1. DPA นี้ประกอบด้วยสองส่วน: ส่วนหลักของ DPA และกำหนดการ 1, 2, 3, 4 และ 5
2. DPA นี้ได้รับการลงนามล่วงหน้าในนามของ OwnBackup
3. เพื่อให้ DPA นี้เสร็จสมบูรณ์ ลูกค้าจะต้อง:
   1. กรอกส่วนชื่อลูกค้าและที่อยู่ลูกค้าในหน้า 2
   2. กรอกข้อมูลในช่องลายเซ็นและลงนามในหน้า 6
   3. ตรวจสอบว่าข้อมูลในตาราง 3 (“รายละเอียดของการประมวลผล”) สะท้อนถึงหัวข้อและประเภทของข้อมูลที่จะประมวลผลอย่างถูกต้อง
   4. ส่ง DPA ที่กรอกและลงนามแล้วไปที่ OwnBackup ที่ Privacy@ownbackup.com.

เมื่อ OwnBackup ได้รับ DPA ที่กรอกข้อมูลถูกต้องตามที่อยู่อีเมลนี้ DPA นี้จะมีผลผูกพันตามกฎหมาย
การลงนามของ DPA นี้ในหน้า 6 จะถือเป็นการลงนามและการยอมรับ Standard Contractual Clauses (รวมถึงภาคผนวก) และภาคผนวกของสหราชอาณาจักร ซึ่งทั้งสองฉบับรวมอยู่ในที่นี้โดยการอ้างอิง

DPA นี้มีผลอย่างไร

• หากนิติบุคคลของลูกค้าที่ลงนาม DPA นี้เป็นคู่สัญญาในข้อตกลง DPA นี้จะถือเป็นภาคผนวกของและเป็นส่วนหนึ่งของข้อตกลง ในกรณีเช่นนี้ หน่วยงานของ OwnBackup ที่เป็นภาคีของข้อตกลงจะเป็นภาคีของ DPA นี้
• หากนิติบุคคลของลูกค้าที่ลงนาม DPA นี้ ได้ดำเนินการแบบฟอร์มคำสั่งซื้อกับ OwnBackup หรือบริษัทในเครือตามข้อตกลง แต่ไม่ได้เป็นคู่สัญญาในข้อตกลง DPA นี้เป็นภาคผนวกของแบบฟอร์มคำสั่งซื้อนั้นและแบบฟอร์มคำสั่งซื้อการต่ออายุที่เกี่ยวข้อง และ OwnBackup นิติบุคคลที่เป็นคู่สัญญาของแบบฟอร์มคำสั่งซื้อดังกล่าวถือเป็นคู่สัญญาของ DPA นี้
• หากนิติบุคคลของลูกค้าที่ลงนาม DPA นี้ไม่ใช่คู่สัญญาในแบบฟอร์มคำสั่งซื้อหรือข้อตกลง DPA นี้ไม่ถูกต้องและไม่มีผลผูกพันทางกฎหมาย หน่วยงานดังกล่าวควรขอให้หน่วยงานลูกค้าที่เป็นภาคีของข้อตกลงดำเนินการ DPA นี้
• หากนิติบุคคลของลูกค้าที่ลงนามใน DPA ไม่ใช่คู่สัญญาในแบบฟอร์มคำสั่งซื้อหรือข้อตกลงการสมัครสมาชิกหลักโดยตรงกับ OwnBackup แต่เป็นลูกค้าทางอ้อมผ่านทางตัวแทนจำหน่ายบริการ OwnBackup ที่ได้รับอนุญาต DPA นี้จะไม่ถูกต้องและไม่มีผลผูกพันทางกฎหมาย นิติบุคคลดังกล่าวควรติดต่อตัวแทนจำหน่ายที่ได้รับอนุญาตเพื่อหารือว่าจำเป็นต้องแก้ไขข้อตกลงกับตัวแทนจำหน่ายรายนั้นหรือไม่
• ในกรณีที่มีข้อขัดแย้งหรือไม่สอดคล้องกันระหว่าง DPA นี้กับข้อตกลงอื่นใดระหว่างลูกค้าและ OwnBackup (รวมถึงแต่ไม่จำกัดเพียงข้อตกลงหรือภาคผนวกการประมวลผลข้อมูลใด ๆ ของข้อตกลง) เงื่อนไขของ DPA นี้จะควบคุมและมีผลเหนือกว่า

ภาคผนวกการประมวลผลข้อมูลนี้ รวมถึงกำหนดการและภาคผนวก (“DPA”) เป็นส่วนหนึ่งของข้อตกลงการสมัครสมาชิกหลักหรือข้อตกลงที่เป็นลายลักษณ์อักษรหรืออิเล็กทรอนิกส์อื่น ๆ ระหว่าง OwnBackup Inc. (“OwnBackup”) และหน่วยงานลูกค้าที่มีชื่อข้างต้นสำหรับการซื้อบริการออนไลน์ จาก OwnBackup (“ข้อตกลง”) เพื่อจัดทำเอกสารข้อตกลงของคู่สัญญาเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล หากองค์กรลูกค้าดังกล่าวและ OwnBackup ไม่ได้ทำข้อตกลง DPA นี้จะถือเป็นโมฆะและไม่มีผลทางกฎหมาย
นิติบุคคลของลูกค้าที่มีชื่ออยู่ด้านบนเข้าสู่ DPA นี้เพื่อตนเอง และหากบริษัทในเครือใด ๆ ทำหน้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล ในนามของบริษัทในเครือที่ได้รับอนุญาตเหล่านั้น คำที่เป็นตัวพิมพ์ใหญ่ทั้งหมดที่ไม่ได้กำหนดไว้ในที่นี้จะมีความหมายตามที่กำหนดไว้ในข้อตกลง
ในการให้บริการ SaaS แก่ลูกค้าภายใต้ข้อตกลง OwnBackup อาจประมวลผลข้อมูลส่วนบุคคลในนามของลูกค้า คู่สัญญาทั้งสองฝ่ายตกลงตามข้อกำหนดต่อไปนี้เกี่ยวกับการประมวลผลดังกล่าว

คำจำกัดความ

• “CCPA” หมายถึงกฎหมายความเป็นส่วนตัวของผู้บริโภคแห่งแคลิฟอร์เนีย รัฐแคลิฟอร์เนีย พลเมือง รหัส§ 1798.100 และ seq. ซึ่งแก้ไขเพิ่มเติมโดยกฎหมายสิทธิความเป็นส่วนตัวของรัฐแคลิฟอร์เนียปี 2020 และร่วมกับกฎระเบียบที่บังคับใช้ใดๆ “ผู้ควบคุม” หมายถึงหน่วยงานที่กำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคล และถือว่าหมายถึง “ธุรกิจ” ตามที่กำหนดไว้ใน CCPA ด้วย
• “ลูกค้า” หมายถึงนิติบุคคลที่มีชื่อข้างต้นและบริษัทในเครือ
• “กฎหมายและข้อบังคับการคุ้มครองข้อมูล” หมายถึงกฎหมายและข้อบังคับทั้งหมดของสหภาพยุโรปและประเทศสมาชิก เขตเศรษฐกิจยุโรป และรัฐสมาชิก สหราชอาณาจักร สวิตเซอร์แลนด์ สหรัฐอเมริกา แคนาดา นิวซีแลนด์ และออสเตรเลีย และกฎหมายและข้อบังคับทั้งหมด เขตการปกครองทางการเมืองที่เกี่ยวข้อง ซึ่งใช้กับการประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะสิ่งต่อไปนี้ ตามขอบเขตที่เกี่ยวข้อง: GDPR, กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักร, CCPA, พระราชบัญญัติคุ้มครองข้อมูลผู้บริโภคแห่งเวอร์จิเนีย (“VCDPA”), พระราชบัญญัติความเป็นส่วนตัวของโคโลราโด และข้อบังคับที่เกี่ยวข้อง (“CPA” ”), พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแห่งยูทาห์ (“UCPA”) และพระราชบัญญัติคอนเนตทิคัตเกี่ยวกับความเป็นส่วนตัวของข้อมูลส่วนบุคคลและการตรวจสอบออนไลน์ (“CPDPA”) “เจ้าของข้อมูล” หมายถึงบุคคลที่ระบุหรือระบุตัวได้ซึ่งข้อมูลส่วนบุคคลเกี่ยวข้องและรวมถึง “ผู้บริโภค” ตามที่กำหนดไว้ในกฎหมายและข้อบังคับการคุ้มครองข้อมูล “ยุโรป” หมายถึง สหภาพยุโรป เขตเศรษฐกิจยุโรป สวิตเซอร์แลนด์ และสหราชอาณาจักร
• ข้อกำหนดเพิ่มเติมที่เกี่ยวข้องกับการถ่ายโอนข้อมูลส่วนบุคคลจากยุโรปมีอยู่ในตารางที่ 5 ในกรณีที่ตารางที่ 5 ถูกลบออก ลูกค้ารับประกันว่าจะไม่ประมวลผลข้อมูลส่วนบุคคลภายใต้กฎหมายคุ้มครองข้อมูลและข้อบังคับของยุโรป
• “GDPR” หมายถึงข้อบังคับ (EU) 2016/679 ของรัฐสภายุโรปและคณะมนตรีลงวันที่ 27 เมษายน 2016 ว่าด้วยการคุ้มครองบุคคลธรรมดาที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลและการเคลื่อนย้ายข้อมูลดังกล่าวอย่างเสรี และการยกเลิกคำสั่ง 95/46/EC (กฎการคุ้มครองข้อมูลทั่วไป)
• “OwnBackup Group” หมายถึง OwnBackup และบริษัทในเครือที่มีส่วนร่วมในการประมวลผลข้อมูลส่วนบุคคล
• “ข้อมูลส่วนบุคคล” หมายถึงข้อมูลใด ๆ ที่เกี่ยวข้องกับ (i) บุคคลธรรมดาที่ระบุหรือระบุตัวตนได้ และ (ii) นิติบุคคลที่ระบุหรือระบุตัวตนได้ (โดยที่ข้อมูลดังกล่าวได้รับการคุ้มครองในลักษณะเดียวกับข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคล หรือข้อมูลที่สามารถระบุตัวบุคคลได้ภายใต้ข้อมูลที่เกี่ยวข้อง กฎหมายและข้อบังคับคุ้มครอง) โดยที่ข้อมูลแต่ละข้อ (i) หรือ (ii) ถือเป็นข้อมูลลูกค้า
• “บริการประมวลผลข้อมูลส่วนบุคคล” หมายถึงบริการ SaaS ที่ระบุไว้ในตารางที่ 2 ซึ่ง OwnBackup อาจประมวลผลข้อมูลส่วนบุคคล
• “การประมวลผล” หมายถึง การดำเนินการหรือชุดการดำเนินการใด ๆ ที่ดำเนินการกับข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีอัตโนมัติหรือไม่ก็ตาม เช่น การรวบรวม การบันทึก การจัดระเบียบ โครงสร้าง การจัดเก็บ การปรับเปลี่ยนหรือการเปลี่ยนแปลง การเรียกค้น การให้คำปรึกษา การใช้ การเปิดเผยโดยการส่งผ่าน การเผยแพร่หรือทำให้พร้อมใช้งาน การจัดตำแหน่งหรือการรวมกัน การจำกัด การลบหรือการทำลาย “ผู้ประมวลผล” หมายถึงหน่วยงานที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม รวมถึง “ผู้ให้บริการ” ที่เกี่ยวข้องตามที่กำหนดโดย CCPA
• “ข้อสัญญามาตรฐาน” หมายถึงภาคผนวกของการตัดสินใจดำเนินการของคณะกรรมาธิการยุโรป (EU) 2021/914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) ของวันที่ 4 มิถุนายน 2021 เกี่ยวกับ Standard Contractual Clauses สำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังผู้ประมวลผลที่จัดตั้งขึ้นในประเทศที่สามตามข้อบังคับ (EU) 2016/679 ของรัฐสภายุโรปและสภาแห่งสหภาพยุโรป และอยู่ภายใต้การแก้ไขที่จำเป็นสำหรับสวิตเซอร์แลนด์ที่อธิบายเพิ่มเติมในตาราง 5
• “ผู้ประมวลผลย่อย” หมายถึงผู้ประมวลผลใด ๆ ที่มีส่วนร่วมโดย OwnBackup โดยสมาชิกของ OwnBackup Group หรือโดยผู้ประมวลผลย่อยอื่น
• “หน่วยงานกำกับดูแล” หมายถึงหน่วยงานกำกับดูแลของรัฐบาลหรือที่ได้รับอนุญาตจากรัฐบาลซึ่งมีอำนาจผูกพันทางกฎหมายเหนือลูกค้า
• “ภาคผนวกของสหราชอาณาจักร” หมายถึงภาคผนวกของการถ่ายโอนข้อมูลระหว่างประเทศของสหราชอาณาจักรในข้อสัญญามาตรฐานของคณะกรรมาธิการสหภาพยุโรป (มีให้ใช้งาน ณ วันที่ 21 มีนาคม 2022 ที่ https://ico.org.uk/for-organisations/guideto-data-protection/guide-to -the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/) เสร็จสมบูรณ์ตามที่อธิบายไว้ในตาราง 5
• “กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักร” หมายถึงข้อบังคับ 2016/679 ของรัฐสภายุโรปและสภาว่าด้วยการคุ้มครองบุคคลธรรมดาที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลและการเคลื่อนย้ายข้อมูลดังกล่าวอย่างเสรีตามที่เป็นส่วนหนึ่งของกฎหมายอังกฤษ และเวลส์ สกอตแลนด์ และไอร์แลนด์เหนือโดยอาศัยอำนาจตามมาตรา 3 ของพระราชบัญญัติสหภาพยุโรป (การถอนตัว) ปี 2018 ซึ่งอาจได้รับการแก้ไขเป็นครั้งคราวโดยกฎหมายและข้อบังคับด้านการคุ้มครองข้อมูลของสหราชอาณาจักร

การประมวลผลข้อมูลส่วนบุคคล

• ขอบเขต. คู่สัญญาตกลงว่า DPA นี้จะนำไปใช้กับการประมวลผลข้อมูลส่วนบุคคลภายในบริการประมวลผลข้อมูลส่วนบุคคลเท่านั้น
• บทบาทของภาคี คู่สัญญาทั้งสองฝ่ายตกลงว่าในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ลูกค้าคือผู้ควบคุม และ OwnBackup คือผู้ประมวลผล
• การประมวลผลข้อมูลส่วนบุคคลของ OwnBackup OwnBackup จะถือว่าข้อมูลส่วนบุคคลเป็นข้อมูลที่เป็นความลับและจะประมวลผลข้อมูลส่วนบุคคลในนามของและตามคำแนะนำของลูกค้าเท่านั้นเพื่อวัตถุประสงค์ดังต่อไปนี้: (i) การประมวลผลตามข้อตกลงและคำสั่งที่เกี่ยวข้อง; (ii) การประมวลผลที่ริเริ่มโดยบุคลากรของลูกค้าในการใช้บริการ SaaS และ (iii) การประมวลผลเพื่อให้เป็นไปตามคำแนะนำที่สมเหตุสมผลอื่น ๆ ที่จัดทำโดยลูกค้า (เช่น ทางอีเมล) โดยที่คำแนะนำดังกล่าวสอดคล้องกับข้อกำหนดของข้อตกลง
• ข้อจำกัดในการประมวลผล OwnBackup จะไม่: (i) "ขาย" หรือ "แบ่งปัน" ข้อมูลส่วนบุคคล ตามข้อกำหนดดังกล่าวที่กำหนดไว้ในกฎหมายและข้อบังคับเกี่ยวกับการคุ้มครองข้อมูล; (ii) เก็บรักษา ใช้ เปิดเผยหรือประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการค้าหรือวัตถุประสงค์อื่นนอกเหนือจากการให้บริการ SaaS หรือ (iii) เก็บรักษา ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนอกความสัมพันธ์ทางธุรกิจโดยตรงระหว่างลูกค้าและ OwnBackup OwnBackup จะปฏิบัติตามข้อจำกัดที่บังคับใช้ภายใต้กฎหมายและข้อบังคับการคุ้มครองข้อมูลในการรวมข้อมูลส่วนบุคคลกับข้อมูลส่วนบุคคลที่ OwnBackup ได้รับจากหรือในนามของบุคคลอื่น หรือที่ OwnBackup รวบรวมจากการโต้ตอบใด ๆ ระหว่างมันกับบุคคลใด ๆ
• การแจ้งคำสั่งที่ผิดกฎหมาย; การประมวลผลที่ไม่ได้รับอนุญาต OwnBackup จะแจ้งให้ลูกค้าทราบทันทีหากตามความเห็นของตน คำสั่งของลูกค้าละเมิดกฎหมายหรือข้อบังคับด้านการคุ้มครองข้อมูลใด ๆ ลูกค้ายังคงสงวนสิทธิ์ในการทำตามขั้นตอนที่เหมาะสมและเหมาะสมในการหยุดและแก้ไขการใช้ข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต รวมถึงการใช้ข้อมูลส่วนบุคคลที่ไม่ได้รับอนุญาตใน DPA นี้ เมื่อมีการแจ้งให้ทราบ
• รายละเอียดของการประมวลผล สาระสำคัญของการประมวลผลข้อมูลส่วนบุคคลโดย OwnBackup คือประสิทธิภาพของบริการ SaaS ตามข้อตกลง ระยะเวลาของการประมวลผล ลักษณะและวัตถุประสงค์ของการประมวลผล ประเภทของข้อมูลส่วนบุคคล และประเภทของเจ้าของข้อมูลที่ได้รับการประมวลผลภายใต้ DPA นี้จะมีการระบุไว้เพิ่มเติมในตารางที่ 3 (รายละเอียดของการประมวลผล)
• การประเมินผลกระทบต่อการคุ้มครองข้อมูล เมื่อลูกค้าร้องขอ OwnBackup จะต้องช่วยเหลือลูกค้าตามสมควรในการปฏิบัติตามภาระผูกพันของลูกค้าภายใต้กฎหมายและข้อบังคับเกี่ยวกับการคุ้มครองข้อมูล เพื่อดำเนินการประเมินผลกระทบในการปกป้องข้อมูลที่เกี่ยวข้องกับการใช้บริการ SaaS ของลูกค้า ในขอบเขตที่ลูกค้าไม่สามารถเข้าถึงข้อมูลที่เกี่ยวข้องและ ข้อมูลดังกล่าวมีให้สำหรับ OwnBackup OwnBackup จะต้องช่วยเหลือลูกค้าตามสมควรในการร่วมมือหรือการปรึกษาหารือล่วงหน้ากับหน่วยงานกำกับดูแลเกี่ยวกับการประเมินผลกระทบในการปกป้องข้อมูลดังกล่าว ในขอบเขตที่จำเป็นภายใต้กฎหมายและข้อบังคับการปกป้องข้อมูลที่เกี่ยวข้อง
• ภาระผูกพันของลูกค้าเกี่ยวกับข้อมูลส่วนบุคคล ในการใช้บริการ SaaS ลูกค้าจะปฏิบัติตามกฎหมายและข้อบังคับเกี่ยวกับการคุ้มครองข้อมูล รวมถึงข้อกำหนดที่เกี่ยวข้องใดๆ ในการแจ้งและ/หรือได้รับความยินยอมจากเจ้าของข้อมูลเพื่อการประมวลผลโดย OwnBackup ลูกค้าจะต้องตรวจสอบให้แน่ใจว่าคำแนะนำในการประมวลผลข้อมูลส่วนบุคคลเป็นไปตามกฎหมายและข้อบังคับด้านการคุ้มครองข้อมูล
• ลูกค้าจะต้องรับผิดชอบแต่เพียงผู้เดียวต่อความถูกต้อง คุณภาพ และความถูกต้องตามกฎหมายของข้อมูลส่วนบุคคล และวิธีการที่ลูกค้าได้รับข้อมูลส่วนบุคคล ลูกค้าจะต้องตรวจสอบให้แน่ใจว่าการใช้บริการ SaaS จะไม่ละเมิดสิทธิ์ของเจ้าของข้อมูลใด ๆ ที่เลือกไม่รับการขาย การแบ่งปัน หรือการเปิดเผยข้อมูลส่วนบุคคลอื่น ๆ ตามขอบเขตที่เกี่ยวข้อง ลูกค้าจะต้องตรวจสอบให้แน่ใจว่าข้อมูลลูกค้าไม่มีข้อมูลใดๆ ที่มีคุณสมบัติเป็นข้อมูลสุขภาพส่วนบุคคลที่ได้รับการคุ้มครองภายใต้มาตรา L.1111-8 ของประมวลกฎหมายสาธารณสุขฝรั่งเศส

การร้องขอข้อมูลลูกค้า

• คำขอจากเจ้าของข้อมูล OwnBackup จะต้องแจ้งให้ลูกค้าทราบทันทีหาก ​​OwnBackup ได้รับคำขอจากเจ้าของข้อมูลเพื่อใช้สิทธิ์ในการเข้าถึงของเจ้าของข้อมูล สิทธิ์ในการแก้ไข สิทธิ์ในการจำกัดการประมวลผล สิทธิ์ในการลบ (“สิทธิ์ที่จะถูกลืม”) ภายในขอบเขตที่ได้รับอนุญาตตามกฎหมาย สิทธิ์ในการเคลื่อนย้ายข้อมูล สิทธิ์ในการคัดค้านการประมวลผล หรือสิทธิ์ที่จะไม่อยู่ภายใต้การตัดสินใจของแต่ละบุคคลโดยอัตโนมัติ โดยแต่ละคำขอดังกล่าวถือเป็น "คำขอของเจ้าของข้อมูล" โดยคำนึงถึงลักษณะของการประมวลผล OwnBackup จะต้องช่วยเหลือลูกค้าด้วยมาตรการทางเทคนิคและองค์กรที่เหมาะสม ตราบเท่าที่เป็นไปได้ เพื่อบรรลุภาระผูกพันของลูกค้าในการตอบสนองต่อคำขอของเจ้าของข้อมูลภายใต้กฎหมายและข้อบังคับด้านการคุ้มครองข้อมูล นอกจากนี้ ในกรณีที่ลูกค้าใช้บริการ SaaS ไม่สามารถจัดการคำขอของเจ้าของข้อมูลได้ OwnBackup จะใช้ความพยายามที่สมเหตุสมผลในเชิงพาณิชย์ตามคำขอของลูกค้าเพื่อช่วยเหลือลูกค้าในการตอบสนองต่อคำขอของเจ้าของข้อมูลดังกล่าว ขอบเขตที่ OwnBackup ได้รับอนุญาตตามกฎหมายให้ทำเช่นนั้นได้ และจำเป็นต้องตอบสนองต่อคำขอของเจ้าของข้อมูลดังกล่าวภายใต้กฎหมายและข้อบังคับเกี่ยวกับการคุ้มครองข้อมูล ในกรณีที่ความช่วยเหลือดังกล่าวเกินขอบเขตของบริการ SaaS ที่ทำสัญญา และตามขอบเขตที่ได้รับอนุญาตตามกฎหมาย ลูกค้าจะต้องรับผิดชอบค่าใช้จ่ายเพิ่มเติมใดๆ ที่เกิดขึ้นจากความช่วยเหลือ
• คำขอจากบุคคลที่สามอื่น ๆ หาก OwnBackup ได้รับการร้องขอจากบุคคลที่สามที่ไม่ใช่เจ้าของข้อมูล (รวมถึงแต่ไม่จำกัดเพียงหน่วยงานของรัฐ) สำหรับข้อมูลลูกค้า OwnBackup จะได้รับอนุญาตตามกฎหมายให้สั่งการฝ่ายที่ร้องขอไปยังลูกค้าและแจ้งให้ลูกค้าทราบทันทีถึงคำขอ ในกรณีที่กฎหมายไม่อนุญาตให้ OwnBackup แจ้งให้ลูกค้าทราบถึงคำขอ OwnBackup จะตอบกลับเฉพาะฝ่ายที่ร้องขอหากกฎหมายกำหนดให้ทำเช่นนั้น และจะใช้ความพยายามตามสมควรในการทำงานร่วมกับฝ่ายที่ร้องขอเพื่อจำกัดขอบเขตของคำขอข้อมูลลูกค้าให้แคบลง .

เป็นเจ้าของบุคลากรสำรอง

• การรักษาความลับ OwnBackup จะต้องตรวจสอบให้แน่ใจว่าบุคลากรที่มีส่วนร่วมในการประมวลผลข้อมูลส่วนบุคคลได้รับแจ้งถึงลักษณะที่เป็นความลับของข้อมูลส่วนบุคคล ได้รับการฝึกอบรมที่เหมาะสมเกี่ยวกับความรับผิดชอบของตน และได้ลงนามในข้อตกลงการรักษาความลับเป็นลายลักษณ์อักษร OwnBackup จะต้องตรวจสอบให้แน่ใจว่าภาระหน้าที่ในการรักษาความลับดังกล่าวยังคงอยู่ต่อไปแม้จะยุติการมีส่วนร่วมของบุคลากรแล้ว
• ความน่าเชื่อถือ OwnBackup จะต้องดำเนินการตามขั้นตอนที่เหมาะสมในเชิงพาณิชย์เพื่อให้มั่นใจในความน่าเชื่อถือของบุคลากรของ OwnBackup ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
• ข้อจำกัดในการเข้าถึง OwnBackup จะต้องตรวจสอบให้แน่ใจว่าการเข้าถึงข้อมูลส่วนบุคคลของ OwnBackup นั้นจำกัดเฉพาะบุคลากรที่ต้องการการเข้าถึงดังกล่าวเพื่อให้บริการ SaaS ตามข้อตกลง
• เจ้าหน้าที่คุ้มครองข้อมูล สมาชิกของ OwnBackup Group จะแต่งตั้งเจ้าหน้าที่ปกป้องข้อมูลในกรณีที่การแต่งตั้งดังกล่าวเป็นไปตามกฎหมายและข้อบังคับด้านการคุ้มครองข้อมูล สามารถติดต่อผู้ที่ได้รับการแต่งตั้งได้ที่ Privacy@ownbackup.com.

โปรเซสเซอร์ย่อย

• การแต่งตั้งผู้ประมวลผลช่วง ลูกค้าให้สิทธิ์ทั่วไปแก่ OwnBackup ในการแต่งตั้งผู้ประมวลผลย่อยบุคคลที่สามที่เกี่ยวข้องกับบริการ SaaS ตามขั้นตอนที่ระบุไว้
  ใน DPA นี้ OwnBackup หรือ OwnBackup Affiliate ได้ทำข้อตกลงเป็นลายลักษณ์อักษรกับผู้ประมวลผลช่วงแต่ละรายที่มีภาระผูกพันในการปกป้องข้อมูลไม่น้อยไปกว่าข้อตกลงใน DPA นี้ที่เกี่ยวข้องกับ
  การปกป้องข้อมูลลูกค้า ในขอบเขตที่เกี่ยวข้องกับบริการที่จัดทำโดยผู้ประมวลผลช่วงดังกล่าว
• ผู้ประมวลผลย่อยในปัจจุบันและการแจ้งเตือนผู้ประมวลผลย่อยรายใหม่ รายชื่อผู้ประมวลผลย่อยสำหรับบริการ SaaS ณ วันที่ดำเนินการ DPA นี้ มีการแนบอยู่ในตารางที่ 1 OwnBackup จะแจ้งให้ลูกค้าทราบเป็นลายลักษณ์อักษรเกี่ยวกับผู้ประมวลผลย่อยรายใหม่ ก่อนที่จะอนุญาตให้ผู้ประมวลผลย่อยรายใหม่ดังกล่าวประมวลผลข้อมูลส่วนบุคคล
• สิทธิในการคัดค้านสำหรับผู้ประมวลผลย่อยรายใหม่ ลูกค้าอาจคัดค้านการใช้ตัวประมวลผลช่วงใหม่ของ OwnBackup โดยแจ้งให้ OwnBackup เป็นลายลักษณ์อักษรภายใน 30 วันหลังจากได้รับหนังสือแจ้งตามที่อธิบายไว้ในย่อหน้าก่อนหน้านี้ หากลูกค้าคัดค้านผู้ประมวลผลย่อยรายใหม่ตามที่ได้รับอนุญาตในประโยคก่อนหน้า OwnBackup จะใช้ความพยายามที่สมเหตุสมผลในเชิงพาณิชย์เพื่อให้ลูกค้าสามารถเปลี่ยนแปลงบริการ SaaS หรือแนะนำการเปลี่ยนแปลงการกำหนดค่าของลูกค้าหรือการใช้บริการ SaaS เพื่อหลีกเลี่ยงการประมวลผล ของข้อมูลส่วนบุคคลโดยผู้ประมวลผลย่อยรายใหม่ที่ถูกคัดค้านโดยไม่สร้างภาระให้กับลูกค้าอย่างไม่มีเหตุผล หาก OwnBackup ไม่สามารถทำการเปลี่ยนแปลงดังกล่าวในบริการ SaaS ได้ หรือแนะนำให้เปลี่ยนแปลงการกำหนดค่าของลูกค้า หรือการใช้บริการ SaaS ที่เป็นที่พอใจของลูกค้า ภายในระยะเวลาที่เหมาะสม (ซึ่งไม่ว่าในกรณีใดจะต้องไม่เกิน 30 วัน) ) ลูกค้าสามารถยกเลิกแบบฟอร์มคำสั่งซื้อที่เกี่ยวข้องได้โดยการแจ้งเป็นลายลักษณ์อักษรไปยัง OwnBackup ในกรณีดังกล่าว OwnBackup จะคืนเงินค่าธรรมเนียมที่ชำระล่วงหน้าให้กับลูกค้าซึ่งครอบคลุมระยะเวลาที่เหลือของแบบฟอร์มคำสั่งซื้อดังกล่าวหลังจากวันที่การยกเลิกมีผลบังคับใช้ โดยไม่กำหนดบทลงโทษสำหรับการยกเลิกดังกล่าวกับลูกค้า
• ความรับผิดสำหรับผู้ประมวลผลย่อย OwnBackup จะต้องรับผิดต่อการกระทำและการละเว้นของผู้ประมวลผลย่อยของตนในขอบเขตเดียวกันกับที่ OwnBackup จะต้องรับผิดหากดำเนินการให้บริการของผู้ประมวลผลย่อยแต่ละรายโดยตรงภายใต้เงื่อนไขของ DPA นี้

ความปลอดภัย

• การควบคุมการปกป้องข้อมูลลูกค้า OwnBackup จะรักษามาตรการทางกายภาพ เทคนิค และองค์กรที่เหมาะสมเพื่อการรักษาความปลอดภัย (รวมถึงการป้องกันการประมวลผลที่ไม่ได้รับอนุญาตหรือผิดกฎหมาย และต่อการทำลาย การสูญหายหรือการเปลี่ยนแปลงหรือความเสียหายโดยไม่ได้ตั้งใจหรือผิดกฎหมาย การเปิดเผยหรือการเข้าถึงข้อมูลลูกค้าโดยไม่ได้รับอนุญาต) การรักษาความลับและ ความสมบูรณ์ของข้อมูลลูกค้า รวมถึงข้อมูลส่วนบุคคล ตามตารางที่ 4 (การควบคุมความปลอดภัยการสำรองข้อมูลของตัวเอง) OwnBackup จะไม่ลดความปลอดภัยโดยรวมของบริการ SaaS ลงอย่างมีนัยสำคัญในระหว่างระยะเวลาการสมัครสมาชิก
• รายงานการตรวจสอบและการรับรองโดยบุคคลที่สาม เมื่อลูกค้าร้องขอเป็นลายลักษณ์อักษรในช่วงเวลาที่เหมาะสม และขึ้นอยู่กับภาระผูกพันในการรักษาความลับในข้อตกลง OwnBackup จะจัดเตรียมสำเนารายงานการตรวจสอบบุคคลที่สามล่าสุดของ OwnBackup รายงานการตรวจสอบ SOC 2 และรายงานการตรวจสอบและการรับรองอื่นใดที่ OwnBackup ให้บริการแก่ลูกค้า โดยมีเงื่อนไขว่าลูกค้าไม่ใช่คู่แข่งของ OwnBackup

การจัดการเหตุการณ์ข้อมูลลูกค้าและการแจ้งเตือน

OwnBackup รักษานโยบายและขั้นตอนการจัดการเหตุการณ์ด้านความปลอดภัย และจะแจ้งให้ลูกค้าทราบโดยไม่ล่าช้าเกินสมควรหลังจากทราบถึงการทำลาย การสูญหาย การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลลูกค้าโดยไม่ได้ตั้งใจหรือผิดกฎหมาย รวมถึงข้อมูลส่วนบุคคล ที่ส่ง จัดเก็บ หรือประมวลผลโดยอย่างอื่น OwnBackup หรือผู้ประมวลผลย่อยที่ OwnBackup ทราบ (“เหตุการณ์ข้อมูลลูกค้า”) OwnBackup จะใช้ความพยายามตามสมควรในการระบุสาเหตุของเหตุการณ์ข้อมูลลูกค้าดังกล่าว และดำเนินการตามที่ OwnBackup เห็นว่าจำเป็นและสมเหตุสมผลในการแก้ไขสาเหตุของเหตุการณ์ข้อมูลลูกค้าดังกล่าว ในขอบเขตที่การแก้ไขนั้นอยู่ในการควบคุมที่สมเหตุสมผลของ OwnBackup ภาระผูกพันในที่นี้จะไม่ใช้กับเหตุการณ์ที่เกิดจากลูกค้าหรือบุคลากรของลูกค้า

การส่งคืนและการลบข้อมูลลูกค้า
OwnBackup จะส่งคืนข้อมูลลูกค้าให้กับลูกค้า และลบข้อมูลลูกค้าตามขั้นตอนและกรอบเวลาที่ระบุไว้ในข้อตกลง ตามขอบเขตที่กฎหมายที่เกี่ยวข้องอนุญาต

การตรวจสอบ

ตามคำขอของลูกค้า และภายใต้ภาระผูกพันในการรักษาความลับในข้อตกลง OwnBackup จะเปิดเผยข้อมูลที่จำเป็นต่อลูกค้า (หรือผู้ตรวจสอบบุคคลที่สามของลูกค้าและที่ได้ลงนามในข้อตกลงไม่เปิดเผยข้อมูลที่ยอมรับได้ของ OwnBackup) ที่จำเป็นเพื่อแสดงให้เห็นถึงการปฏิบัติตามภาระผูกพันของ OwnBackup Group ที่กำหนดไว้ใน DPA นี้และภาระหน้าที่ของตนในฐานะผู้ประมวลผลภายใต้กฎหมายและข้อบังคับเกี่ยวกับการคุ้มครองข้อมูลในรูปแบบของแบบสอบถามความปลอดภัยที่ได้มาตรฐานที่ครบถ้วนของ OwnBackup การรับรองจากบุคคลที่สาม และรายงานการตรวจสอบ (เช่น Standardized Information Gathering (SIG) ที่เสร็จสมบูรณ์แล้ว และความเห็นพ้องของ Cloud Security Alliance แบบสอบถาม Assessments Initiative (CSA CAIQ), รายงาน SOC 2 และรายงานการทดสอบการเจาะข้อมูลสรุป) และการรับรองจากบุคคลที่สามและรายงานการตรวจสอบที่จัดทำขึ้นสำหรับผู้ประมวลผลย่อย ภายหลังจากที่ OwnBackup แจ้งให้ลูกค้าทราบถึงการเปิดเผยข้อมูลส่วนบุคคลที่เกิดขึ้นจริงหรือน่าสงสัยตามสมควร โดยที่ลูกค้าเชื่ออย่างสมเหตุสมผลว่า OwnBackup ละเมิดภาระผูกพันในการปกป้องข้อมูลส่วนบุคคลภายใต้ DPA นี้ หรือหากการตรวจสอบดังกล่าวจำเป็นโดยหน่วยงานกำกับดูแลของลูกค้า ลูกค้า อาจติดต่อ OwnBackup เพื่อขอการตรวจสอบขั้นตอนที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคล การตรวจสอบดังกล่าวจะต้องดำเนินการจากระยะไกล ยกเว้นลูกค้าและ/หรือหน่วยงานกำกับดูแลของลูกค้าอาจดำเนินการตรวจสอบนอกสถานที่ ณ สถานที่ของ OwnBackup หากกฎหมายและข้อบังคับคุ้มครองข้อมูลกำหนดไว้ คำขอดังกล่าวจะต้องเกิดขึ้นไม่เกินปีละหนึ่งครั้ง ยกเว้นในกรณีที่มีการเข้าถึงข้อมูลส่วนบุคคลที่เกิดขึ้นจริงหรือน่าสงสัยตามสมควรโดยไม่ได้รับอนุญาต ก่อนเริ่มการตรวจสอบ ลูกค้าและ OwnBackup จะต้องตกลงร่วมกันเกี่ยวกับขอบเขต ระยะเวลา และระยะเวลาของการตรวจสอบ ไม่ว่าในกรณีใดจะไม่มีการตรวจสอบผู้ประมวลผลย่อยใดๆ นอกเหนือจากการตรวจสอบview ของรายงาน การรับรอง และเอกสารที่จัดทำโดยผู้ประมวลผลช่วง จะได้รับอนุญาตโดยไม่ได้รับความยินยอมจากผู้ประมวลผลย่อย

พันธมิตร

• ความสัมพันธ์ตามสัญญา องค์กรลูกค้าที่ลงนาม DPA นี้ดำเนินการดังกล่าวเพื่อตนเองและตามความเหมาะสม ในนามของและในนามของบริษัทในเครือ ด้วยเหตุนี้จึงสร้าง DPA แยกต่างหากระหว่าง OwnBackup และบริษัทในเครือแต่ละแห่งภายใต้บทบัญญัติของข้อตกลง ข้อ 10 นี้ และข้อ 11 ด้านล่าง พันธมิตรแต่ละรายดังกล่าวตกลงที่จะผูกพันตามภาระผูกพันภายใต้ DPA นี้และตามขอบเขตของข้อตกลง เพื่อหลีกเลี่ยงข้อสงสัย บริษัทในเครือดังกล่าวไม่ใช่และไม่ได้เป็นคู่สัญญาของข้อตกลง และเป็นเพียงคู่สัญญาของ DPA นี้เท่านั้น การเข้าถึงและการใช้บริการ SaaS ทั้งหมดโดยบริษัทในเครือดังกล่าวจะต้องเป็นไปตามข้อตกลง และการละเมิดข้อตกลงโดยบริษัทในเครือจะถือเป็นการละเมิดโดยลูกค้า
• การสื่อสาร. นิติบุคคลของลูกค้าที่ลงนาม DPA นี้จะยังคงรับผิดชอบในการประสานงานการสื่อสารทั้งหมดกับ OwnBackup ภายใต้ DPA นี้ และมีสิทธิในการสร้างและรับการสื่อสารใด ๆ ที่เกี่ยวข้องกับ DPA นี้ในนามของบริษัทในเครือ
• สิทธิของบริษัทในเครือของลูกค้า ในกรณีที่บริษัทในเครือของลูกค้ากลายเป็นภาคีของ DPA นี้ด้วย OwnBackup บริษัทในเครือของลูกค้าจะต้องมีสิทธิ์ใช้สิทธิ์และแสวงหาการเยียวยาภายใต้ DPA นี้ ตามขอบเขตที่กำหนดภายใต้กฎหมายและข้อบังคับการคุ้มครองข้อมูลที่เกี่ยวข้อง โดยอยู่ภายใต้เงื่อนไขต่อไปนี้:
• ยกเว้นในกรณีที่กฎหมายและข้อบังคับการคุ้มครองข้อมูลที่เกี่ยวข้องกำหนดให้บริษัทในเครือของลูกค้าต้องใช้สิทธิ์หรือแสวงหาการเยียวยาใด ๆ ภายใต้ DPA นี้ต่อ OwnBackup โดยตรง คู่สัญญาทั้งสองฝ่ายตกลงว่า
  • เฉพาะองค์กรลูกค้าที่ลงนาม DPA นี้เท่านั้นที่จะใช้สิทธิ์ดังกล่าวหรือแสวงหาการเยียวยาดังกล่าวในนามของบริษัทในเครือของลูกค้า และ (ii) องค์กรลูกค้าที่ลงนาม DPA นี้จะใช้สิทธิ์ดังกล่าวภายใต้ DPA นี้ โดยไม่แยกจากกันสำหรับบริษัทในเครือแต่ละแห่ง แต่ ในลักษณะรวมสำหรับตัวเองและบริษัทในเครือทั้งหมดเข้าด้วยกัน (ตามที่กำหนดไว้ เช่นampในข้อ 10.3.2 ด้านล่าง)
  • องค์กรลูกค้าที่ลงนามใน DPA นี้ จะต้องดำเนินการตรวจสอบที่ได้รับอนุญาตตามขั้นตอนที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคล และใช้มาตรการที่เหมาะสมทั้งหมดเพื่อจำกัดผลกระทบใดๆ ต่อ OwnBackup และผู้ประมวลผลย่อย โดยการรวมหลายๆ อย่างเข้าด้วยกัน เท่าที่เป็นไปได้อย่างสมเหตุสมผล คำขอตรวจสอบที่ดำเนินการในนามของตนเองและบริษัทในเครือทั้งหมดในการตรวจสอบครั้งเดียว

การจำกัดความรับผิด

• ภายในขอบเขตที่อนุญาตโดยกฎหมายและข้อบังคับเกี่ยวกับการคุ้มครองข้อมูล ความรับผิดของแต่ละฝ่ายและบริษัทในเครือทั้งหมด ซึ่งนำมารวมกันโดยรวม ที่เกิดขึ้นจากหรือเกี่ยวข้องกับ DPA นี้ ไม่ว่าจะอยู่ในสัญญา การละเมิด หรือภายใต้ทฤษฎีความรับผิดอื่นใด ภายใต้ข้อกำหนด "ขีดจำกัดความรับผิด" และข้อกำหนดอื่นๆ ที่ยกเว้นหรือจำกัดความรับผิดของข้อตกลง และการอ้างอิงใดๆ ในข้อกำหนดดังกล่าวต่อความรับผิดของฝ่ายหนึ่งฝ่ายใดหมายถึงความรับผิดรวมของฝ่ายนั้นและบริษัทในเครือทั้งหมด

การเปลี่ยนแปลงกลไกการโอน

• ในกรณีที่กลไกการถ่ายโอนในปัจจุบันอาศัยโดยคู่สัญญาในการอำนวยความสะดวกในการถ่ายโอนข้อมูลส่วนบุคคลไปยังหนึ่งหรือหลายประเทศที่ไม่รับประกันระดับการคุ้มครองข้อมูลที่เพียงพอตามความหมายของกฎหมายและข้อบังคับการคุ้มครองข้อมูลจะโมฆะแก้ไขเพิ่มเติม หรือคู่สัญญาที่ถูกแทนที่จะทำงานโดยสุจริตในการออกกลไกการถ่ายโอนทางเลือกดังกล่าวเพื่อให้สามารถประมวลผลข้อมูลส่วนบุคคลต่อไปได้ตามที่ข้อตกลงกำหนด การใช้กลไกการถ่ายโอนทางเลือกดังกล่าวจะต้องขึ้นอยู่กับการปฏิบัติตามข้อกำหนดทางกฎหมายทั้งหมดสำหรับการใช้กลไกการถ่ายโอนดังกล่าวของแต่ละฝ่าย

ผู้ลงนามที่ได้รับอนุญาตของคู่สัญญาได้ลงนามในข้อตกลงนี้อย่างถูกต้อง รวมถึงกำหนดการ ภาคผนวก และภาคผนวกที่เกี่ยวข้องทั้งหมดที่รวมอยู่ในที่นี้

ลูกค้า 

• ลงชื่อ :
• ชื่อ:
• ชื่อ:
• วันที่:

รายการกำหนดการ

• ตารางที่ 1: รายชื่อโปรเซสเซอร์ย่อยปัจจุบัน
• ตารางที่ 2: บริการ SaaS ที่ใช้กับการประมวลผลข้อมูลส่วนบุคคล
• ตารางที่ 3: รายละเอียดของการประมวลผล
• ตารางที่ 4: การควบคุมความปลอดภัยของ OwnBackup
• ตารางที่ 5: บทบัญญัติของยุโรป

รายชื่อโปรเซสเซอร์ย่อยปัจจุบัน

ลูกค้าสามารถเลือก Amazon ได้ Web บริการหรือ Microsoft (Azure) และตำแหน่งการประมวลผลที่ต้องการในระหว่างการตั้งค่าบริการ SaaS เริ่มต้นของลูกค้า
ใช้กับลูกค้า OAwnBackup Archive ที่เลือกที่จะปรับใช้ใน Microsoft (Azure) Cloud เท่านั้น

บริการ Saas ที่ใช้กับการประมวลผลข้อมูลส่วนบุคคล

• OwnBackup Enterprise สำหรับ Salesforce
• OwnBackup Unlimited สำหรับ Salesforce
• OwnBackup Governance Plus สำหรับ Salesforce
• คลังข้อมูลสำรองของตัวเอง
• นำการจัดการคีย์ของคุณเองมาเอง
• การเพาะแซนด์บ็อกซ์

รายละเอียดของการประมวลผล

ผู้ส่งออกข้อมูล

• ชื่อทางกฎหมายเต็ม: ชื่อลูกค้าตามที่ระบุข้างต้น
• ที่อยู่หลัก: ที่อยู่ลูกค้าตามที่ระบุไว้ข้างต้น
• ติดต่อ: หากไม่ได้ระบุไว้เป็นอย่างอื่น นี่จะเป็นผู้ติดต่อหลักในบัญชีลูกค้า
• อีเมลติดต่อ: หากไม่ได้ระบุไว้เป็นอย่างอื่น นี่จะเป็นที่อยู่อีเมลติดต่อหลักในบัญชีลูกค้า

ผู้นำเข้าข้อมูล

• ชื่อทางกฎหมายเต็ม: โอว์นแบ็คอัพ อิงค์
• ที่อยู่หลัก: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, USA
• ติดต่อ: เจ้าหน้าที่ฝ่ายความเป็นส่วนตัว
• อีเมลติดต่อ: Privacy@ownbackup.com

ลักษณะและวัตถุประสงค์ของการประมวลผล

• OwnBackup จะประมวลผลข้อมูลส่วนบุคคลตามความจำเป็นเพื่อให้บริการ Saa ตาม
• ข้อตกลงและคำสั่งซื้อ และตามคำแนะนำเพิ่มเติมโดยลูกค้าในการใช้บริการ SaaS

ระยะเวลาดำเนินการ

OwnBackup จะประมวลผลข้อมูลส่วนบุคคลตลอดระยะเวลาของข้อตกลง เว้นแต่จะตกลงเป็นลายลักษณ์อักษรเป็นอย่างอื่น

การคงอยู่
OwnBackup จะเก็บรักษาข้อมูลส่วนบุคคลในบริการ SaaS ตลอดระยะเวลาของข้อตกลง เว้นแต่จะมีการตกลงเป็นลายลักษณ์อักษรเป็นอย่างอื่น โดยขึ้นอยู่กับระยะเวลาการเก็บรักษาสูงสุดที่ระบุไว้ในเอกสารประกอบ

ความถี่ของการโอน
ตามที่ลูกค้ากำหนดผ่านการใช้บริการ SaaS

ถ่ายโอนไปยังผู้ประมวลผลย่อย
เท่าที่จำเป็นในการให้บริการ SaaS ตามข้อตกลงและคำสั่ง และตามที่อธิบายเพิ่มเติมในตารางที่ 1

หมวดหมู่ของเจ้าของข้อมูล
ลูกค้าสามารถส่งข้อมูลส่วนบุคคลไปยังบริการ SaaS ได้ในขอบเขตที่ลูกค้ากำหนดและควบคุมตามดุลยพินิจของตนแต่เพียงผู้เดียว และอาจรวมถึงแต่ไม่จำกัดเฉพาะข้อมูลส่วนบุคคลที่เกี่ยวข้องกับหัวข้อข้อมูลประเภทต่อไปนี้:

• ผู้มีแนวโน้มจะเป็นลูกค้า ลูกค้า หุ้นส่วนทางธุรกิจ และผู้ขายของลูกค้า (ซึ่งเป็นบุคคลธรรมดา)
• พนักงานหรือผู้ติดต่อของผู้มีโอกาสเป็นลูกค้า ลูกค้า คู่ค้าทางธุรกิจ และผู้ขาย
• พนักงาน ตัวแทน ที่ปรึกษา ฟรีแลนซ์ของลูกค้า (ที่เป็นบุคคลธรรมดา)
• ผู้ใช้ของลูกค้าที่ได้รับอนุญาตจากลูกค้าให้ใช้บริการ SaaS

ประเภทของข้อมูลส่วนบุคคล
ลูกค้าสามารถส่งข้อมูลส่วนบุคคลไปยังบริการ SaaS ได้ในขอบเขตที่ลูกค้ากำหนดและควบคุมตามดุลยพินิจของตนแต่เพียงผู้เดียว และอาจรวมถึงแต่ไม่จำกัดเพียงประเภทต่อไปนี้ของ

ข้อมูลส่วนตัว:

• ชื่อและนามสกุล
• ชื่อ
• ตำแหน่ง
• นายจ้าง
• ข้อมูลประจำตัว
• ข้อมูลชีวิตการทำงาน
• ข้อมูลติดต่อ (บริษัท อีเมล โทรศัพท์ ที่อยู่จริงของธุรกิจ)
• ข้อมูลส่วนบุคคล
• ข้อมูลการระบุตำแหน่ง

ข้อมูลประเภทพิเศษ (หากเหมาะสม)
ลูกค้าสามารถส่งข้อมูลส่วนบุคคลประเภทพิเศษไปยังบริการ SaaS ได้ในขอบเขตที่ลูกค้ากำหนดและควบคุมตามดุลยพินิจของตนแต่เพียงผู้เดียว และเพื่อความชัดเจนอาจรวมถึงการประมวลผลข้อมูลทางพันธุกรรม ข้อมูลไบโอเมตริกซ์เพื่อวัตถุประสงค์เฉพาะ การระบุบุคคลธรรมดาหรือข้อมูลเกี่ยวกับสุขภาพ ดูมาตรการในตารางที่ 4 สำหรับวิธีที่ OwnBackup ปกป้องข้อมูลประเภทพิเศษและข้อมูลส่วนบุคคลอื่น ๆ

การแนะนำ

1. แอปพลิเคชันซอฟต์แวร์ as-a-service ของ OwnBackup (บริการ SaaS) ได้รับการออกแบบตั้งแต่ต้นโดยคำนึงถึงความปลอดภัยเป็นหลัก บริการ SaaS ได้รับการออกแบบให้มีการควบคุมความปลอดภัยที่หลากหลายในหลายระดับเพื่อจัดการกับความเสี่ยงด้านความปลอดภัยที่หลากหลาย การควบคุมความปลอดภัยเหล่านี้อาจมีการเปลี่ยนแปลง อย่างไรก็ตาม การเปลี่ยนแปลงใดๆ จะรักษาหรือปรับปรุงมาตรการรักษาความปลอดภัยโดยรวม
2. คำอธิบายของการควบคุมด้านล่างนี้ใช้กับการใช้งานบริการ SaaS บน Amazon ทั้งสองแห่ง Web แพลตฟอร์มบริการ (AWS) และ Microsoft Azure (Azure) (รวมกันเรียกว่าผู้ให้บริการระบบคลาวด์หรือ CSP ของเรา) ยกเว้นตามที่ระบุไว้ในส่วนการเข้ารหัสด้านล่าง คำอธิบายการควบคุมเหล่านี้ใช้ไม่ได้กับซอฟต์แวร์ RevCult ยกเว้นที่ระบุไว้ใน “การพัฒนาซอฟต์แวร์ที่ปลอดภัย” ด้านล่าง

Web การควบคุมความปลอดภัยของแอปพลิเคชัน

• การเข้าถึงบริการ SaaS ของลูกค้าทำได้ผ่าน HTTPS (TLS1.2+) เท่านั้น ซึ่งจะสร้างการเข้ารหัสข้อมูลระหว่างผู้ใช้ปลายทางและแอปพลิเคชัน และระหว่าง OwnBackup และแหล่งข้อมูลบุคคลที่สาม (เช่น Salesforce)
• ผู้ดูแลระบบบริการ SaaS ของลูกค้าสามารถจัดเตรียมและยกเลิกการจัดสรรผู้ใช้บริการ SaaS และการเข้าถึงที่เกี่ยวข้องได้ตามความจำเป็น
• บริการ SaaS จัดให้มีการควบคุมการเข้าถึงตามบทบาทเพื่อให้ลูกค้าสามารถจัดการสิทธิ์หลายองค์กรได้
• ผู้ดูแลระบบบริการ SaaS ของลูกค้าสามารถเข้าถึงเส้นทางการตรวจสอบ รวมถึงชื่อผู้ใช้ การดำเนินการ เวลาampและช่องที่อยู่ IP ต้นทาง บันทึกการตรวจสอบสามารถ viewแก้ไขและส่งออกโดยผู้ดูแลระบบ SaaS Service ของลูกค้าที่เข้าสู่ระบบบริการ SaaS รวมถึงผ่าน SaaS Services API
• การเข้าถึงบริการ SaaS สามารถจำกัดได้โดยที่อยู่ IP ต้นทาง
• บริการ SaaS ช่วยให้ลูกค้าเปิดใช้งานการรับรองความถูกต้องแบบหลายปัจจัยสำหรับการเข้าถึงบัญชีบริการ SaaS โดยใช้รหัสผ่านแบบใช้ครั้งเดียวตามเวลา
• บริการ SaaS ช่วยให้ลูกค้าเปิดใช้งานการลงชื่อเพียงครั้งเดียวผ่านผู้ให้บริการข้อมูลประจำตัว SAML 2.0
• บริการ SaaS ช่วยให้ลูกค้าเปิดใช้งานนโยบายรหัสผ่านที่ปรับแต่งได้ เพื่อช่วยจัดรหัสผ่านของบริการ SaaS ให้สอดคล้องกับนโยบายองค์กร

การเข้ารหัส

• OwnBackup นำเสนอตัวเลือกบริการ SaaS ต่อไปนี้สำหรับการเข้ารหัสข้อมูลที่เหลือ:
  • ข้อเสนอมาตรฐาน
    • ข้อมูลถูกเข้ารหัสโดยใช้การเข้ารหัสฝั่งเซิร์ฟเวอร์ AES-256 ผ่านระบบการจัดการคีย์ที่ได้รับการตรวจสอบภายใต้ FIPS 140-2
    • การเข้ารหัสแบบเอนเวโลปถูกนำมาใช้ในลักษณะที่คีย์หลักจะไม่ออกจาก Hardware Security Module (HSM)
    • คีย์การเข้ารหัสจะถูกหมุนเวียนไม่น้อยกว่าทุกๆ สองปี
  • ตัวเลือกการจัดการคีย์ขั้นสูง (AKM)
    • ข้อมูลถูกเข้ารหัสในคอนเทนเนอร์พื้นที่เก็บข้อมูลอ็อบเจ็กต์เฉพาะด้วยคีย์การเข้ารหัสหลัก (CMK) ที่ลูกค้าจัดเตรียมไว้ให้
    • AKM อนุญาตให้เก็บถาวรคีย์ในอนาคตและหมุนเวียนคีย์เข้ารหัสหลักอื่น
    • ลูกค้าสามารถเพิกถอนคีย์การเข้ารหัสหลัก ส่งผลให้ไม่สามารถเข้าถึงข้อมูลได้ทันที
  • ตัวเลือก Bring Your Own Key Management System (KMS) (มีเฉพาะบน AWS เท่านั้น)
    • คีย์การเข้ารหัสถูกสร้างขึ้นในบัญชีของลูกค้าที่ซื้อแยกต่างหากโดยใช้ AWS KMS
    • ลูกค้ากำหนดนโยบายคีย์การเข้ารหัสที่อนุญาตให้บัญชีบริการ SaaS ของลูกค้าบน AWS เข้าถึงคีย์จาก AWS KMS ของลูกค้าเอง
    • ข้อมูลได้รับการเข้ารหัสในคอนเทนเนอร์จัดเก็บข้อมูลออบเจ็กต์เฉพาะที่จัดการโดย OwnBackup และกำหนดค่าให้ใช้คีย์เข้ารหัสของลูกค้า
    • ลูกค้าสามารถเพิกถอนการเข้าถึงข้อมูลที่เข้ารหัสได้ทันทีโดยเพิกถอนการเข้าถึงคีย์การเข้ารหัสของ OwnBackup โดยไม่ต้องโต้ตอบกับ OwnBackup
    • พนักงานของ OwnBackup ไม่สามารถเข้าถึงคีย์การเข้ารหัสได้ตลอดเวลา และไม่สามารถเข้าถึง KMS ได้โดยตรง
    • กิจกรรมการใช้งานคีย์ทั้งหมดจะถูกบันทึกไว้ใน KMS ของลูกค้า รวมถึงการดึงคีย์โดยพื้นที่จัดเก็บอ็อบเจ็กต์เฉพาะ
• การเข้ารหัสระหว่างบริการ SaaS และแหล่งข้อมูลบุคคลที่สาม (เช่น Salesforce) ใช้ HTTPS กับ TLS 1.2+ และ OAuth 2.0

เครือข่าย

• บริการ SaaS ใช้การควบคุมเครือข่าย CSP เพื่อจำกัดการเข้าและออกของเครือข่าย
• มีการใช้กลุ่มความปลอดภัยแบบ stateful เพื่อจำกัดการเข้าและออกของเครือข่ายไปยังจุดสิ้นสุดที่ได้รับอนุญาต
• บริการ SaaS ใช้สถาปัตยกรรมเครือข่ายหลายระดับ รวมถึง Amazon Virtual Private Clouds (VPC) หรือ Azure Virtual Networks (VNets) หลายรายการที่แยกกันตามตรรกะ โดยใช้ประโยชน์จากส่วนตัว DMZ และโซนที่ไม่น่าเชื่อถือภายในโครงสร้างพื้นฐาน CSP
• ใน AWS มีการใช้ข้อจำกัดตำแหน่งข้อมูล VPC S3 ในแต่ละภูมิภาคเพื่ออนุญาตการเข้าถึงจาก VPC ที่ได้รับอนุญาตเท่านั้น

การติดตามและตรวจสอบ

• ระบบและเครือข่ายบริการ SaaS ได้รับการตรวจสอบเหตุการณ์ด้านความปลอดภัย ความสมบูรณ์ของระบบ ความผิดปกติของเครือข่าย และความพร้อมใช้งาน
• บริการ SaaS ใช้ระบบตรวจจับการบุกรุก (IDS) เพื่อตรวจสอบกิจกรรมเครือข่ายและแจ้งเตือน OwnBackup เกี่ยวกับพฤติกรรมที่น่าสงสัย
• การใช้งานบริการ SaaS web แอปพลิเคชันไฟร์วอลล์ (WAF) สำหรับสาธารณะทั้งหมด web การบริการ
• OwnBackup บันทึกเหตุการณ์แอปพลิเคชัน เครือข่าย ผู้ใช้ และระบบปฏิบัติการไปยังเซิร์ฟเวอร์ syslog ภายในเครื่องและ SIEM เฉพาะภูมิภาค บันทึกเหล่านี้ได้รับการวิเคราะห์และทำซ้ำโดยอัตโนมัติviewed สำหรับกิจกรรมที่น่าสงสัยและภัยคุกคาม ความผิดปกติใดๆ จะถูกยกระดับตามความเหมาะสม
• OwnBackup ใช้ระบบข้อมูลความปลอดภัยและการจัดการเหตุการณ์ (SIEM) ที่ให้การวิเคราะห์ความปลอดภัยอย่างต่อเนื่องของเครือข่ายของบริการ SaaS และสภาพแวดล้อมด้านความปลอดภัย การแจ้งเตือนความผิดปกติของผู้ใช้ การลาดตระเวนตามคำสั่งและการควบคุม (C&C) การตรวจจับภัยคุกคามอัตโนมัติ และการรายงานตัวบ่งชี้การประนีประนอม (IOC ). ความสามารถทั้งหมดนี้ได้รับการดูแลโดยเจ้าหน้าที่รักษาความปลอดภัยและปฏิบัติการของ OwnBackup
• ทีมตอบสนองต่อเหตุการณ์ของ OwnBackup จะตรวจสอบนามแฝง security@ownbackup.com และตอบสนองตาม Incident Response Plan (IRP) ของบริษัทตามความเหมาะสม

การแยกระหว่างบัญชี

• บริการ SaaS ใช้แซนด์บ็อกซ์ Linux เพื่อแยกข้อมูลบัญชีลูกค้าระหว่างการประมวลผล สิ่งนี้ช่วยให้แน่ใจว่ามีความผิดปกติใดๆ (เช่นampเนื่องจากปัญหาด้านความปลอดภัยหรือข้อบกพร่องของซอฟต์แวร์) ยังคงจำกัดอยู่ในบัญชี OwnBackup บัญชีเดียว
• การเข้าถึงข้อมูลของผู้เช่าจะถูกควบคุมผ่านผู้ใช้ IAM ที่ไม่ซ้ำกันพร้อมข้อมูล tagging ที่ไม่อนุญาตให้ผู้ใช้ที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลผู้เช่า

การฟื้นฟูภัยพิบัติ

• OwnBackup ใช้พื้นที่จัดเก็บออบเจ็กต์ CSP เพื่อจัดเก็บข้อมูลลูกค้าที่เข้ารหัสไว้ในโซนความพร้อมใช้งานหลายแห่ง
• สำหรับข้อมูลลูกค้าที่จัดเก็บไว้ในพื้นที่จัดเก็บออบเจ็กต์ OwnBackup จะใช้การกำหนดเวอร์ชันออบเจ็กต์ด้วยอายุอัตโนมัติเพื่อรองรับการปฏิบัติตามนโยบายการกู้คืนความเสียหายและการสำรองข้อมูลของ OwnBackup สำหรับออบเจ็กต์เหล่านี้ ระบบของ OwnBackup ได้รับการออกแบบมาเพื่อรองรับ Recovery Point Objective (RPO) เป็นเวลา 0 ชั่วโมง (นั่นคือความสามารถในการกู้คืนไปยังเวอร์ชันใดๆ ของออบเจ็กต์ใดๆ ตามที่มีอยู่ในช่วง 14 วันก่อนหน้า)
• การกู้คืนอินสแตนซ์การประมวลผลที่จำเป็นสามารถทำได้โดยการสร้างอินสแตนซ์ขึ้นใหม่โดยอิงตามระบบการจัดการการกำหนดค่าอัตโนมัติของ OwnBackup
• แผนการกู้คืนความเสียหายของ OwnBackup ได้รับการออกแบบมาเพื่อสนับสนุนวัตถุประสงค์เวลาการกู้คืน (RTO) ภายใน 4 ชั่วโมง

การจัดการความเสี่ยง

• OwnBackup ดำเนินการเป็นระยะ web การประเมินช่องโหว่ของแอปพลิเคชัน การวิเคราะห์โค้ดแบบคงที่ และการประเมินไดนามิกภายนอก ซึ่งเป็นส่วนหนึ่งของโปรแกรมการตรวจสอบอย่างต่อเนื่อง เพื่อช่วยให้แน่ใจว่าการควบคุมความปลอดภัยของแอปพลิเคชันจะถูกนำไปใช้อย่างเหมาะสมและทำงานได้อย่างมีประสิทธิภาพ
• ในแต่ละครึ่งปี OwnBackup จะจ้างผู้ทดสอบการเจาะระบบจากภายนอกเพื่อดำเนินการทั้งเครือข่ายและ web การประเมินช่องโหว่ ขอบเขตของการตรวจสอบภายนอกเหล่านี้รวมถึงการปฏิบัติตามข้อกำหนด Open Web โครงการความปลอดภัยของแอปพลิเคชัน (OWASP) 10 อันดับแรก Web ช่องโหว่ (www.owasp.org)
• ผลการประเมินช่องโหว่จะรวมอยู่ในวงจรการพัฒนาซอฟต์แวร์ของ OwnBackup (SDLC) เพื่อแก้ไขช่องโหว่ที่ระบุ ช่องโหว่เฉพาะจะได้รับการจัดลำดับความสำคัญและป้อนเข้าสู่ระบบตั๋วภายในของ OwnBackup เพื่อการติดตามผ่านการแก้ไข

การตอบสนองต่อเหตุการณ์

ในกรณีที่มีการละเมิดความปลอดภัยที่อาจเกิดขึ้น ทีมรับมือเหตุการณ์ของ OwnBackup จะทำการประเมินสถานการณ์และพัฒนากลยุทธ์การบรรเทาที่เหมาะสม หากการละเมิดที่อาจเกิดขึ้นได้รับการยืนยัน OwnBackup จะดำเนินการทันทีเพื่อบรรเทาการละเมิดและรักษาหลักฐานทางนิติเวช และจะแจ้งจุดติดต่อหลักของลูกค้าที่ได้รับผลกระทบโดยไม่ล่าช้าเกินควรเพื่อสรุปสถานการณ์และแจ้งการอัปเดตสถานะการแก้ไข

การพัฒนาซอฟต์แวร์ที่ปลอดภัย

OwnBackup ใช้หลักปฏิบัติในการพัฒนาที่ปลอดภัยสำหรับแอพพลิเคชั่นซอฟต์แวร์ OwnBackup และ RevCult ตลอดวงจรชีวิตการพัฒนาซอฟต์แวร์ แนวปฏิบัติเหล่านี้รวมถึงการวิเคราะห์โค้ดแบบคงที่ ความปลอดภัยของ Salesforceview สำหรับแอปพลิเคชัน RevCult และสำหรับแอปพลิเคชัน OwnBackup ที่ติดตั้งในอินสแตนซ์ Salesforce ของลูกค้า โปรดดูที่ peer review ของการเปลี่ยนแปลงโค้ด การจำกัดการเข้าถึงที่เก็บซอร์สโค้ดตามหลักการของสิทธิ์ขั้นต่ำ และการบันทึกการเข้าถึงและการเปลี่ยนแปลงที่เก็บซอร์สโค้ด

ทีมงานรักษาความปลอดภัยโดยเฉพาะ

OwnBackup มีทีมงานรักษาความปลอดภัยโดยเฉพาะซึ่งมีประสบการณ์ด้านความปลอดภัยข้อมูลหลายด้านรวมกันมากกว่า 100 ปี นอกจากนี้ สมาชิกในทีมยังคงรักษาใบรับรองที่เป็นที่ยอมรับในอุตสาหกรรมจำนวนหนึ่ง ซึ่งรวมถึงแต่ไม่จำกัดเพียง CISM, CISSP และ ISO 27001 Lead Auditors

ความเป็นส่วนตัวและการคุ้มครองข้อมูล
OwnBackup ให้การสนับสนุนดั้งเดิมสำหรับคำขอเข้าถึงเจ้าของข้อมูล เช่น สิทธิ์ในการลบ (สิทธิ์ที่จะถูกลืม) และการลบข้อมูลระบุตัวตน เพื่อสนับสนุนการปฏิบัติตามกฎระเบียบด้านความเป็นส่วนตัวของข้อมูล รวมถึงกฎหมายคุ้มครองข้อมูลทั่วไป (GDPR) กฎหมายว่าด้วยความสามารถในการพกพาและความรับผิดชอบของการประกันสุขภาพ (HIPAA) และกฎหมายความเป็นส่วนตัวของผู้บริโภคแห่งแคลิฟอร์เนีย (CCPA) OwnBackup ยังมีภาคผนวกการประมวลผลข้อมูลเพื่อจัดการกับกฎหมายความเป็นส่วนตัวและการคุ้มครองข้อมูล รวมถึงข้อกำหนดทางกฎหมายสำหรับการถ่ายโอนข้อมูลระหว่างประเทศ

การตรวจสอบประวัติ

OwnBackup ดำเนินการตรวจสอบภูมิหลัง รวมถึงการตรวจสอบประวัติอาชญากรรมของบุคลากรที่อาจเข้าถึงข้อมูลของลูกค้า โดยอิงตามเขตอำนาจศาลที่พำนักของพนักงานในช่วงเจ็ดปีที่ผ่านมา ภายใต้กฎหมายที่บังคับใช้

ประกันภัย

OwnBackup รักษาความคุ้มครองการประกันภัยเป็นอย่างน้อยดังต่อไปนี้: (a) การประกันค่าชดเชยคนงานตามกฎหมายที่บังคับใช้ทั้งหมด; (b) การประกันภัยความรับผิดต่อรถยนต์สำหรับยานพาหนะที่ไม่ได้เป็นเจ้าของและได้รับการว่าจ้าง โดยมีวงเงินรวมกันเพียง 1,000,000 ดอลลาร์ (c) การประกันภัยความรับผิดทั่วไปในเชิงพาณิชย์ (ความรับผิดสาธารณะ) ที่มีความคุ้มครองจำกัดเดียวที่ 1,000,000 ดอลลาร์สหรัฐฯ ต่อครั้ง และความคุ้มครองรวมทั่วไป 2,000,000 ดอลลาร์สหรัฐฯ (d) การประกันภัยข้อผิดพลาดและการละเว้น (การชดใช้ค่าเสียหายทางวิชาชีพ) โดยมีวงเงินไม่เกิน 20,000,000 ดอลลาร์สหรัฐฯ ต่อเหตุการณ์และยอดรวม 20,000,000 ดอลลาร์สหรัฐฯ รวมถึงชั้นหลักและชั้นส่วนเกิน และรวมถึงความรับผิดทางไซเบอร์ เทคโนโลยีและบริการระดับมืออาชีพ ผลิตภัณฑ์เทคโนโลยี ข้อมูลและความปลอดภัยของเครือข่าย การตอบสนองการละเมิด กฎระเบียบ การป้องกันและการลงโทษ การขู่กรรโชกทางไซเบอร์และความรับผิดในการกู้คืนข้อมูล และ (e) การประกันความไม่ซื่อสัตย์/อาชญากรรมของพนักงาน โดยให้ความคุ้มครอง 5,000,000 ดอลลาร์สหรัฐฯ OwnBackup จะให้หลักฐานการประกันภัยดังกล่าวแก่ลูกค้าเมื่อมีการร้องขอ

บทบัญญัติของยุโรป

ตารางนี้จะใช้กับการถ่ายโอนข้อมูลส่วนบุคคล (รวมถึงการถ่ายโอนต่อไป) จากยุโรปซึ่งหากไม่มีการใช้ข้อกำหนดเหล่านี้ จะทำให้ลูกค้าหรือ OwnBackup ฝ่าฝืนกฎหมายและข้อบังคับการคุ้มครองข้อมูลที่เกี่ยวข้อง

กลไกการถ่ายโอนสำหรับการถ่ายโอนข้อมูล
ข้อสัญญามาตรฐานใช้กับการถ่ายโอนข้อมูลส่วนบุคคลภายใต้ DPA นี้จากยุโรปไปยังประเทศที่ไม่รับประกันระดับการคุ้มครองข้อมูลที่เพียงพอตามความหมายของกฎหมายและข้อบังคับการคุ้มครองข้อมูลของดินแดนดังกล่าว ในขอบเขตที่การถ่ายโอนดังกล่าวอยู่ภายใต้ กฎหมายและข้อบังคับการคุ้มครองข้อมูลดังกล่าว OwnBackup เข้าสู่ Standard Contractual Clauses ในฐานะผู้นำเข้าข้อมูล ข้อกำหนดเพิ่มเติมในกำหนดการนี้ยังใช้กับการถ่ายโอนข้อมูลดังกล่าวด้วย

การโอนอยู่ภายใต้ข้อสัญญามาตรฐาน

• ลูกค้าที่ได้รับการคุ้มครองโดยข้อสัญญามาตรฐาน ข้อสัญญามาตรฐานและข้อกำหนดเพิ่มเติมที่ระบุไว้ในตารางนี้ใช้กับ (i) ลูกค้า ในขอบเขตที่ลูกค้าอยู่ภายใต้กฎหมายและข้อบังคับการคุ้มครองข้อมูลของยุโรป และ (ii) บริษัทในเครือที่ได้รับอนุญาต เพื่อวัตถุประสงค์ของ Standard Contractual Clauses และกำหนดการนี้ หน่วยงานดังกล่าวคือ "ผู้ส่งออกข้อมูล"
• โมดูล คู่สัญญาตกลงว่าในกรณีที่อาจใช้โมดูลเสริมภายใน Standard Contractual Clauses จะต้องใช้เฉพาะที่มีป้ายกำกับ “โมดูลที่สอง: ถ่ายโอนตัวควบคุมไปยังตัวประมวลผล” เท่านั้น
• คำแนะนำ. คำแนะนำที่อธิบายไว้ในข้อ 2 ข้างต้นถือเป็นคำแนะนำของลูกค้าในการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ของข้อ 8.1 ของข้อสัญญามาตรฐาน
• การแต่งตั้งผู้ประมวลผลช่วงใหม่และรายชื่อผู้ประมวลผลช่วงปัจจุบัน ตามตัวเลือก 2 ถึงข้อ 9(a) ของข้อสัญญามาตรฐาน ลูกค้ายอมรับว่า OwnBackup อาจว่าจ้างผู้ประมวลผลย่อยรายใหม่ตามที่อธิบายไว้ในข้อ 5.1, 5.b และ 5.c ข้างต้น และบริษัทในเครือของ OwnBackup อาจคงไว้เป็น Sub - ผู้ประมวลผล และบริษัทในเครือของ OwnBackup และ OwnBackup อาจมีส่วนร่วมกับผู้ประมวลผลช่วงบุคคลที่สามที่เกี่ยวข้องกับการให้บริการประมวลผลข้อมูล รายชื่อผู้ประมวลผลช่วงปัจจุบันตามที่แนบมากับตารางที่ 1
• ข้อตกลงของผู้ประมวลผลย่อย คู่สัญญาตกลงว่าการถ่ายโอนข้อมูลไปยังผู้ประมวลผลช่วงอาจอาศัยกลไกการถ่ายโอนอื่นนอกเหนือจากข้อสัญญามาตรฐาน (เช่นampกฎเกณฑ์ของบริษัทที่มีผลผูกพัน) และข้อตกลงของ OwnBackup กับผู้ประมวลผลย่อยดังกล่าวอาจไม่รวมหรือเลียนแบบ Standard Contractual Clauses แม้ว่าจะมีข้อขัดแย้งใดๆ ในข้อ 9(b) ของ Standard Contractual Clauses ก็ตาม อย่างไรก็ตาม ข้อตกลงดังกล่าวกับผู้ประมวลผลช่วงจะต้องมีภาระหน้าที่ในการปกป้องข้อมูลไม่น้อยไปกว่าการคุ้มครองใน DPA นี้เกี่ยวกับการคุ้มครองข้อมูลลูกค้า ในขอบเขตที่ใช้บังคับกับบริการที่จัดให้โดยผู้ประมวลผลย่อยดังกล่าว สำเนาของข้อตกลงผู้ประมวลผลช่วงที่ OwnBackup จะต้องจัดเตรียมให้กับลูกค้าตาม Clause 9(c) ของ Standard Contractual Clauses จะถูกจัดเตรียมโดย OwnBackup เมื่อมีการร้องขอเป็นลายลักษณ์อักษรจากลูกค้าเท่านั้น และอาจมีข้อมูลทางการค้าทั้งหมด หรือข้อกำหนดที่ไม่เกี่ยวข้องกับ Standard Contractual Clauses หรือเทียบเท่า จะถูกลบออกโดย OwnBackup ล่วงหน้า
• การตรวจสอบและการรับรอง คู่สัญญาทั้งสองฝ่ายตกลงว่าการตรวจสอบที่อธิบายไว้ในข้อ 8.9 และข้อ 13(b) ของ Standard Contractual Clauses จะต้องดำเนินการตามข้อ 9 ข้างต้น
• การลบข้อมูล คู่สัญญาตกลงว่าการลบหรือการส่งคืนข้อมูลที่พิจารณาในข้อ 8.5 หรือข้อ 16(d) ของ Standard Contractual Clauses จะต้องดำเนินการตามข้อ 8 ข้างต้น และการรับรองการลบใดๆ จะต้องจัดทำโดย OwnBackup เฉพาะเมื่อลูกค้าร้องขอเท่านั้น
• ผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม คู่สัญญาตกลงว่าตามลักษณะของบริการ SaaS ลูกค้าจะต้องให้ความช่วยเหลือทั้งหมดที่จำเป็นเพื่อให้ OwnBackup ปฏิบัติตามภาระผูกพันของตนต่อเจ้าของข้อมูลภายใต้ข้อ 3 ของ Standard Contractual Clauses
• การประเมินผลกระทบ ตามข้อ 14 ของข้อสัญญามาตรฐาน คู่สัญญาทั้งสองฝ่ายได้ทำการวิเคราะห์ในบริบทของสถานการณ์เฉพาะของการโอน กฎหมายและแนวปฏิบัติของประเทศปลายทาง ตลอดจนสัญญาเสริมเฉพาะ องค์กร และทางเทคนิค มาตรการป้องกันที่ใช้ และตามข้อมูลที่ทราบอย่างสมเหตุสมผลในขณะนั้น ได้กำหนดว่ากฎหมายและแนวปฏิบัติของประเทศปลายทางไม่ได้ขัดขวางคู่สัญญาจากการปฏิบัติตามพันธกรณีของคู่สัญญาแต่ละฝ่ายภายใต้ข้อสัญญามาตรฐาน
• กฎหมายที่ใช้บังคับและฟอรัม คู่สัญญาทั้งสองฝ่ายตกลงตามตัวเลือก 2 ถึงข้อ 17 ว่าในกรณีที่ประเทศสมาชิกสหภาพยุโรปซึ่งมีการจัดตั้งผู้ส่งออกข้อมูลไม่อนุญาตให้มีสิทธิได้รับผลประโยชน์จากบุคคลที่สาม Standard Contractual Clauses จะถูกควบคุมโดยกฎหมายของ ไอร์แลนด์ ตามข้อ 18 ข้อพิพาทที่เกี่ยวข้องกับ Standard Contractual Clauses จะต้องได้รับการแก้ไขโดยศาลที่ระบุไว้ในข้อตกลง เว้นแต่ศาลดังกล่าวไม่ได้ตั้งอยู่ในประเทศสมาชิกสหภาพยุโรป ซึ่งในกรณีนี้ เวทีสำหรับข้อพิพาทดังกล่าวจะเป็นศาลของไอร์แลนด์ .
• ภาคผนวก เพื่อวัตถุประสงค์ในการดำเนินการตามข้อสัญญามาตรฐาน ตารางที่ 3: รายละเอียดของการประมวลผลจะรวมอยู่ในภาคผนวก IA และ IB ตารางที่ 4: การควบคุมความปลอดภัยการสำรองข้อมูลของตัวเอง (ซึ่งอาจได้รับการอัปเดตเป็นครั้งคราวที่ https://www.ownbackup.com/trust/) จะถูกรวมเข้าเป็นภาคผนวก II และตาราง 1: รายชื่อผู้ประมวลผลย่อยปัจจุบัน (ตามที่อาจมีการปรับปรุงเป็นครั้งคราวที่ https://www.ownbackup.com/legal/sub-p/) จะถูกรวมเข้าเป็นภาคผนวก III
• การตีความ. ข้อกำหนดของกำหนดการนี้มีจุดมุ่งหมายเพื่อชี้แจงและไม่แก้ไขข้อสัญญามาตรฐาน ในกรณีที่มีข้อขัดแย้งหรือไม่สอดคล้องกันระหว่างเนื้อหาของตารางนี้กับข้อสัญญามาตรฐาน ให้ยึดข้อสัญญามาตรฐานเป็นหลัก

ข้อกำหนดที่ใช้บังคับกับการโอนจากสวิตเซอร์แลนด์

คู่สัญญาทั้งสองฝ่ายตกลงว่าเพื่อวัตถุประสงค์ของการบังคับใช้ข้อสัญญามาตรฐานเพื่ออำนวยความสะดวกในการถ่ายโอนข้อมูลส่วนบุคคลจากสวิตเซอร์แลนด์ ข้อกำหนดเพิ่มเติมต่อไปนี้จะถูกนำมาใช้: (i) การอ้างอิงใด ๆ ไปยังกฎระเบียบ (EU) 2016/679 จะถูกตีความเพื่ออ้างอิงถึงข้อกำหนดที่เกี่ยวข้อง ของพระราชบัญญัติรัฐบาลกลางสวิสว่าด้วยการคุ้มครองข้อมูลและกฎหมายคุ้มครองข้อมูลอื่นๆ ของสวิตเซอร์แลนด์ (“กฎหมายคุ้มครองข้อมูลของสวิส”) (ii) การอ้างอิงใดๆ ถึง “รัฐสมาชิก” หรือ “รัฐสมาชิกสหภาพยุโรป” หรือ “สหภาพยุโรป” จะถูกตีความเพื่ออ้างอิงถึงสวิตเซอร์แลนด์ และ (iii) การอ้างอิงใด ๆ ไปยังหน่วยงานกำกับดูแล จะต้องตีความเพื่ออ้างถึงคณะกรรมาธิการการคุ้มครองข้อมูลและข้อมูลของรัฐบาลกลางสวิส

ข้อกำหนดที่ใช้บังคับกับการโอนจากสหราชอาณาจักร

คู่สัญญาตกลงว่าภาคผนวกของสหราชอาณาจักรใช้กับการถ่ายโอนข้อมูลส่วนบุคคลภายใต้กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักร และจะถือว่าสมบูรณ์ดังต่อไปนี้ (ด้วยข้อกำหนดที่เป็นตัวพิมพ์ใหญ่ที่ไม่ได้กำหนดไว้ที่อื่นซึ่งมีคำจำกัดความที่กำหนดไว้ในภาคผนวกของสหราชอาณาจักร):

• ตารางที่ 1: คู่สัญญา รายละเอียด และการติดต่อของพวกเขาเป็นไปตามที่กำหนดไว้ในตารางที่ 3
• ตารางที่ 2: “ข้อสัญญามาตรฐานของสหภาพยุโรปที่ได้รับอนุมัติ” จะเป็นข้อสัญญามาตรฐานตามที่กำหนดไว้ในตารางที่ 5 นี้
• ตารางที่ 3: ภาคผนวก I(A), I(B) และ II เสร็จสมบูรณ์ตามที่กำหนดไว้ในส่วนที่ 2(k) ของตาราง 5 นี้
• ตารางที่ 4: OwnBackup อาจใช้สิทธิการยกเลิกก่อนกำหนดตามที่ระบุในมาตรา 19 ของภาคผนวกของสหราชอาณาจักร

เอกสาร / แหล่งข้อมูล

ภาคผนวกการประมวลผลข้อมูลสำรองของตัวเอง [พีดีเอฟ] คำแนะนำ ภาคผนวกของการประมวลผลข้อมูล, ภาคผนวกของการประมวลผล, ภาคผนวก

อ้างอิง

• คู่มือการใช้งาน