ภาคผนวกการประมวลผลข้อมูลของ Firebase
การแนะนำ
ภาคผนวกการประมวลผลข้อมูลนี้เป็นส่วนหนึ่งของข้อตกลงระหว่างคุณและ iProov Limited ที่ครอบคลุมการใช้บริการทดลองใช้งานของคุณ
คำจำกัดความที่กำหนดไว้ในภาคผนวก 3 จะใช้กับภาคผนวกการประมวลผลข้อมูลนี้ หากคำศัพท์ไม่ได้ถูกกำหนดไว้เป็นอย่างอื่นในภาคผนวก 3 ของภาคผนวกการประมวลผลข้อมูลนี้หรือที่อื่นภายในนั้น คำศัพท์ดังกล่าวจะมีความหมายตามที่ระบุไว้ในส่วนที่เหลือของข้อตกลง
1. การประมวลผลข้อมูลส่วนบุคคล
1.1 ในการดำเนินการบริการทดลองใช้:
-
- iProov ทำหน้าที่เป็นตัวประมวลผล และ
- คุณทำหน้าที่เป็นผู้ควบคุม
1.2 iProov จะประมวลผลข้อมูลส่วนบุคคลของคุณตามภาระผูกพันของผู้ประมวลผลภายใต้กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรและสหภาพยุโรป
1.3 iProov จะประมวลผลข้อมูลส่วนบุคคลเพื่อให้บริการทดลองใช้ตามข้อตกลง ภาคผนวก 1 (รายละเอียดการประมวลผลข้อมูล) ระบุเพิ่มเติมเกี่ยวกับลักษณะและวัตถุประสงค์ของการประมวลผล กิจกรรมการประมวลผล ระยะเวลาของการประมวลผล ประเภทของข้อมูลส่วนบุคคล และหมวดหมู่ของเจ้าของข้อมูล
1.4 คุณแต่งตั้ง iProov เป็นผู้ประมวลผลเพื่อประมวลผลข้อมูลส่วนบุคคลของคุณในนามของและตามคำแนะนำของคุณ (ก) ตามที่ระบุไว้ในข้อตกลง (ซึ่งรวมถึงภาคผนวกการประมวลผลข้อมูลนี้) และตามความจำเป็นเพื่อให้ iProov สามารถให้บริการทดลองใช้งานแก่คุณ ซึ่งรวมถึง (แต่ไม่จำกัดเพียง) (i) การสืบสวนเหตุการณ์ด้านความปลอดภัยและการป้องกันสแปม กิจกรรมฉ้อโกง และการละเมิดนโยบายการใช้งานที่ยอมรับได้ และ (ii) การตรวจจับและป้องกันการโจมตีหรือการละเมิดเครือข่าย (ข) ตามความจำเป็นเพื่อปฏิบัติตามกฎหมายหรือระเบียบข้อบังคับที่บังคับใช้ รวมถึงกฎหมายคุ้มครองข้อมูล และ (ค) ตามข้อตกลงเป็นอย่างอื่นเป็นลายลักษณ์อักษรระหว่าง iProov และคุณ
1.5 คุณรับประกัน รับรอง และดำเนินการตลอดเวลา:
-
- คุณจะต้องแน่ใจว่าคำแนะนำของคุณสอดคล้องกับกฎหมายคุ้มครองข้อมูล
- การประมวลผลอย่างเป็นธรรมและการแจ้งให้ทราบอื่นๆ ที่เหมาะสมทั้งหมดได้ถูกจัดเตรียมให้กับเจ้าของข้อมูลของข้อมูลส่วนบุคคลของคุณ (และได้รับความยินยอมทั้งหมดที่จำเป็นจากเจ้าของข้อมูลดังกล่าวและได้รับการรักษาไว้ตลอดเวลา) ในขอบเขตที่จำเป็นตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องกับกิจกรรมการประมวลผลทั้งหมดที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของคุณที่อาจดำเนินการโดย iProov และและ/หรือผู้ประมวลผลย่อยภายใต้ข้อตกลงและภาคผนวกการประมวลผลข้อมูลนี้
- คุณได้ปฏิบัติตามและจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลต่อไปในส่วนที่เกี่ยวข้องกับการใช้งานบริการทดลองใช้และการประมวลผลข้อมูลส่วนบุคคลของคุณเอง และการใช้และการปฏิบัติตามสิทธิและภาระผูกพันตามลำดับของคุณภายใต้ข้อตกลง รวมถึงการรักษาการลงทะเบียนและการแจ้งเตือนทางกฎระเบียบที่เกี่ยวข้องทั้งหมดตามที่กฎหมายคุ้มครองข้อมูลกำหนด
- คุณมีและจะยังคงมีสิทธิ์ในการโอนหรือให้สิทธิ์การเข้าถึงข้อมูลส่วนบุคคลใดๆ แก่ iProov เพื่อการประมวลผลตามข้อกำหนดของข้อตกลงและภาคผนวกการประมวลผลข้อมูลนี้
- หากคุณเข้าร่วมในฐานะองค์กร คุณและองค์กรได้ดำเนินการตรวจสอบอย่างรอบคอบเกี่ยวกับธุรกิจ การดำเนินการประมวลผล และภาระผูกพันของ iProov และคุณพึงพอใจ (และทุกครั้งที่คุณยังคงใช้บริการทดลองใช้ คุณยังคงพึงพอใจ) ว่า:
- การดำเนินการประมวลผลของ iProov เหมาะสมกับวัตถุประสงค์ที่คุณเสนอให้ใช้บริการทดลองใช้และว่าจ้าง iProov เพื่อประมวลผลข้อมูลส่วนบุคคลของคุณ
- มาตรการด้านเทคนิคและองค์กรที่กำหนดไว้ในภาคผนวกการประมวลผลข้อมูลนี้และข้อตกลง (ซึ่งแต่ละมาตรการจะได้รับการอัปเดตเป็นระยะ) จะต้อง (หาก iProov ปฏิบัติตามภาระผูกพันภายใต้มาตรการดังกล่าว) เพื่อให้แน่ใจว่ามีระดับความปลอดภัยที่เหมาะสมกับความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของคุณ ตามที่กฎหมายคุ้มครองข้อมูลกำหนด และ
- iProov มีความเชี่ยวชาญ ความน่าเชื่อถือ และทรัพยากรเพียงพอที่จะนำมาตรการทางเทคนิคและองค์กรที่ตรงตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลมาใช้
1.6 คุณรับทราบว่า iProov จะไม่รับผิดชอบในการตัดสินใจว่ากฎหมายหรือข้อบังคับใดที่บังคับใช้กับคุณ ธุรกิจ หรือองค์กรของคุณ หรือไม่ว่าจะพิจารณาว่าการให้บริการทดลองใช้ของ iProov เป็นไปตามหรือจะเป็นไปตามข้อกำหนดของกฎหมายดังกล่าวหรือไม่ คุณจะต้องมั่นใจว่าการประมวลผลข้อมูลส่วนบุคคลของคุณโดย iProov เมื่อดำเนินการตามข้อตกลง จะไม่ทำให้ iProov ละเมิดกฎหมายหรือข้อบังคับที่บังคับใช้ใดๆ รวมถึงกฎหมายคุ้มครองข้อมูลใดๆ iProov จะแจ้งให้คุณทราบหากทราบหรือมีเหตุอันควรเชื่อว่าคำสั่งของคุณละเมิดกฎหมายคุ้มครองข้อมูลใดๆ
2.1 ความปลอดภัย
2.1 iProov จะนำมาตรการทางเทคนิคและองค์กรที่กำหนดไว้ในภาคผนวก 2 ของภาคผนวกการประมวลผลข้อมูลนี้ไปปฏิบัติในส่วนที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของคุณ
2.2 คุณต้องดำเนินการประเมินว่ามาตรการรักษาความปลอดภัยที่นำไปปฏิบัติตามวรรค 2.1 เพียงพอที่จะปกป้องข้อมูลส่วนบุคคลของคุณจากการทำลาย การสูญเสีย การเปลี่ยนแปลง การเปิดเผย หรือการเข้าถึงโดยไม่ได้ตั้งใจ ไม่ได้รับอนุญาต หรือผิดกฎหมาย ในขอบเขตที่จำเป็นตามกฎหมายคุ้มครองข้อมูล ในสถานการณ์นั้นๆ หรือไม่
2.3 คุณตระหนักดีว่า iProov นำเสนอบริการแบบหนึ่งต่อหลายแบบและความต้องการหรือการประเมินของลูกค้ารายอื่นอาจแตกต่างกันไป และ iProov จะไม่มีภาระผูกพันที่จะต้องดำเนินการตามมาตรการรักษาความปลอดภัยที่แตกต่างกันสำหรับคุณ แต่คุณอาจหยุดใช้บริการทดลองใช้งาน หากคุณสรุปว่ามาตรการที่ iProov ใช้ไม่เพียงพอต่อความต้องการของคุณ
3. การประมวลผลย่อย
3.1 iProov จะไม่ทำสัญญาช่วงสำหรับการประมวลผลข้อมูลส่วนบุคคลใดๆ แก่ผู้ประมวลผลย่อยบุคคลที่สามโดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าจากคุณ และจะต้องให้แน่ใจว่าผู้ประมวลผลย่อยดังกล่าว (แต่ละรายคือ “ ผู้ประมวลผลย่อย ”) ผูกพันตามข้อกำหนดซึ่ง (i) อย่างน้อยเทียบเท่ากับข้อกำหนดที่ระบุไว้ในภาคผนวกการประมวลผลข้อมูลนี้ หรือ (ii) ในกรณีของผู้ให้บริการระบบคลาวด์ เป็นข้อกำหนดที่ผู้ให้บริการระบบคลาวด์เสนอโดยเป็นไปตามกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรและสหภาพยุโรป คุณยินยอมและอนุญาตให้ (a) iProov Limited และ (b) บุคคลต่อไปนี้ (แต่ละรายคือ “ ผู้ให้บริการระบบคลาวด์ ”) เป็นผู้ประมวลผล: Microsoft Limited c/o Microsoft Ireland Operations Limited, One Microsoft Place, South County Industrial Park, Leopardstown, Dublin, Ireland (หรือสมาชิกอื่นในกลุ่ม) ในส่วนที่เกี่ยวข้องกับบริการ Azure; AWS EMEA SARL (นิติบุคคลในลักเซมเบิร์ก) (หรือสมาชิกอื่นในกลุ่ม) ในส่วนที่เกี่ยวข้องกับ Amazon Web Services (AWS); Google Ireland Limited มีสำนักงานอยู่ที่ Gordon House, Barrow Street, Dublin 4, Ireland (หรือสมาชิกอื่นในกลุ่ม) เกี่ยวกับ Google GCP
3.2 iProov จะต้องและยังคงรับผิดชอบโดยสมบูรณ์ต่อการกระทำและการละเว้นของผู้ประมวลผลย่อยแต่ละรายราวกับว่าเป็นของตนเอง
4. สิทธิ์ของเจ้าของข้อมูล
iProov จะช่วยเหลือคุณในการตอบสนองต่อคำขอของเจ้าของข้อมูลในขอบเขตที่เป็นไปได้ทางเทคนิคและจำเป็นตามกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรและสหภาพยุโรป iProov จะแจ้งให้คุณทราบเกี่ยวกับคำขอของเจ้าของข้อมูลโดยไม่ชักช้า และจะตอบกลับคำขอดังกล่าวด้วยคำสั่งเป็นลายลักษณ์อักษรจากคุณเท่านั้น (โดยเสียค่าใช้จ่ายของคุณเอง) หรือตามที่กฎหมายกำหนด เว้นแต่กฎหมายคุ้มครองข้อมูลจะห้ามไว้ คุณจะต้องรับผิดชอบต่อค่าใช้จ่ายและ/หรือค่าใช้จ่ายใดๆ ที่เกิดขึ้นกับ iProov ในการให้ความช่วยเหลือนี้ และจะชดใช้ค่าใช้จ่ายและ/หรือค่าใช้จ่ายดังกล่าวให้กับ iProov ทันทีที่ iProov ร้องขอ
5. การละเมิดข้อมูลส่วนบุคคล
iProov จะแจ้งให้คุณทราบโดยไม่ชักช้าเมื่อ iProov ทราบถึงการละเมิดข้อมูลส่วนบุคคลที่ส่งผลกระทบต่อข้อมูลส่วนบุคคลของคุณ และ iProov จะให้ข้อมูลแก่คุณตามที่ iProov กำหนดภายใต้กฎหมายคุ้มครองข้อมูลที่บังคับใช้ (ในขอบเขตที่ข้อมูลดังกล่าวอยู่ภายใต้การควบคุมหรือครอบครองของ iProov ในขณะนั้น)
6. การประเมินผลกระทบต่อการปกป้องข้อมูลและการปรึกษาหารือล่วงหน้า
iProov จะให้ความร่วมมือที่สมเหตุสมผลแก่คุณเกี่ยวกับการประเมินผลกระทบต่อการปกป้องข้อมูลหรือการปรึกษาหารือกับหน่วยงานกำกับดูแลที่อาจจำเป็นตามกฎหมายคุ้มครองข้อมูล (ด้วยค่าใช้จ่ายของคุณและคุณเอง)
7. การส่งคืนหรือการลบข้อมูลส่วนบุคคล
7.1 ภายใต้เงื่อนไขที่ 7.2 และระยะเวลาการเก็บรักษา เมื่อสิ้นสุดหรือหมดอายุข้อตกลง iProov จะทำการลบหรือทำให้ข้อมูลส่วนบุคคลของคุณที่จัดเก็บหรือประมวลผลเป็นส่วนหนึ่งของหรือภายในบริการทดลองใช้กลายเป็นข้อมูลที่ไม่ระบุตัวตนอย่างถาวร (ขึ้นอยู่กับดุลยพินิจของ iProov) ตามภาคผนวก 1 (รายละเอียดของการประมวลผล) ของภาคผนวกการประมวลผลข้อมูลนี้
7.2 โดยไม่คำนึงถึงข้อใด ๆ ที่ขัดแย้งกันในภาคผนวกการประมวลผลข้อมูลนี้ iProov อาจเก็บรักษาข้อมูลส่วนบุคคลของคุณหรือส่วนใดส่วนหนึ่งหากจำเป็นตามกฎหมายหรือข้อบังคับที่บังคับใช้ รวมถึงกฎหมายคุ้มครองข้อมูล
7.3 ในช่วงระยะเวลาใดๆ ที่ข้อมูลส่วนบุคคลของคุณถูกเก็บรักษาไว้หลังจากการสิ้นสุดหรือการหมดอายุของข้อตกลงนี้ตามวรรคนี้ iProov จะทำให้แน่ใจว่าข้อมูลส่วนบุคคลของคุณ:
-
-
- จะได้รับการประมวลผลเฉพาะเท่าที่จำเป็นสำหรับจุดประสงค์ตามที่อธิบายไว้ในภาคผนวกการประมวลผลข้อมูลนี้เท่านั้น และ
- ยังคงได้รับการคุ้มครองตามข้อกำหนดของข้อตกลง ภาคผนวกการประมวลผลข้อมูลนี้ และกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรและสหภาพยุโรป
-
8. สิทธิในการตรวจสอบ
8.1 iProov จะจัดเตรียมข้อมูลดังกล่าวให้แก่คุณภายในระยะเวลาอันสมเหตุสมผลหลังจากที่คุณร้องขอเป็นลายลักษณ์อักษร โดยข้อมูลดังกล่าวนี้ iProov ถือว่าเหมาะสมตามสถานการณ์ เพื่อแสดงให้เห็นถึงการปฏิบัติตามภาคผนวกการประมวลผลข้อมูลฉบับนี้
8.2 หากคุณแสดงให้เห็นอย่างสมเหตุสมผลว่าข้อมูลที่ iProov จัดให้ภายใต้ย่อหน้า 8.1 ไม่เพียงพอที่จะแสดงให้เห็นว่า iProov ปฏิบัติตามภาคผนวกการประมวลผลข้อมูลนี้ iProov จะอนุญาตให้คุณหรือผู้ตรวจสอบของคุณ (ซึ่งต่อไปนี้จะเรียกว่า “ ผู้ตรวจสอบ ”) (ซึ่งรวมถึงผู้ตรวจสอบภายในและภายนอก และหากเกี่ยวข้อง รวมถึงหน่วยงานกำกับดูแล) เข้าถึงข้อมูลในระหว่างชั่วโมงการทำงานปกติของ iProov และแจ้งให้ทราบล่วงหน้าอย่างสมเหตุสมผล (และในทุกกรณี จะต้องแจ้งให้ทราบล่วงหน้าอย่างน้อย 60 วัน) เพื่อตรวจสอบบันทึกและเอกสารที่เกี่ยวข้องที่ iProov ถือครอง ซึ่งจำเป็นต่อการแสดงให้เห็นถึงการปฏิบัติตามดังกล่าว การเข้าถึงข้อมูลดังกล่าวจะต้องเป็นไปตามเงื่อนไขต่อไปนี้:
-
-
- การตรวจสอบจะดำเนินการจากระยะไกล เว้นแต่จะต้องมีการเยี่ยมชมสถานที่จริงตามที่กฎหมายกำหนด
- คุณตกลงที่จะปฏิบัติตามและจะต้องทำให้แน่ใจว่าผู้ตรวจสอบใดๆ ก็ตามปฏิบัติตามกฎหมายคุ้มครองข้อมูลและข้อกำหนดด้านความปลอดภัยและความลับของ iProov ที่สมเหตุสมผล
- การเข้าถึงจะได้รับการอนุญาตเฉพาะที่สถานที่และในระบบที่ iProov กำหนดตามดุลยพินิจอันสมเหตุสมผล (และเพื่อหลีกเลี่ยงข้อสงสัย iProov จะต้องคำนึงถึงลูกค้ารายอื่นของ iProov การหยุดชะงักทางธุรกิจของ iProov และภาระผูกพันด้านความลับของ iProov ในการพิจารณาว่าการเข้าถึงใดที่สมเหตุสมผล)
- จะไม่มีการอนุญาตให้เข้าถึงบันทึก เอกสาร หรือระบบใดๆ ที่มีข้อมูลที่เกี่ยวข้องกับลูกค้ารายอื่นของ iProov
- จะไม่มีการอนุญาตให้เข้าถึงแก่ผู้ตรวจสอบรายใดๆ ที่ไม่สามารถแสดงหลักฐานที่สมเหตุสมผลเกี่ยวกับตัวตนหรืออำนาจของตนได้ และ
- จะไม่มีการอนุญาตให้เข้าถึงมากกว่าหนึ่งครั้งในระยะเวลา 12 เดือน เว้นแต่คุณจะแสดงให้ iProov เห็นว่าจำเป็นต้องมีการตรวจสอบบ่อยกว่านั้น เพื่อให้เป็นไปตามภาระผูกพันของคุณภายใต้กฎหมายคุ้มครองข้อมูลที่ใช้บังคับ
-
8.3 คุณจะต้องและจะต้องดำเนินการให้ผู้ตรวจสอบของคุณใช้ความพยายามอย่างเต็มที่เพื่อหลีกเลี่ยงความเสียหายหรือการหยุดชะงักใดๆ ต่อสถานที่ อุปกรณ์ บุคลากร ข้อมูล หรือธุรกิจของ iProov ในระหว่างการตรวจสอบในสถานที่ และคุณจะต้องชดใช้ค่าเสียหายให้กับ iProov สำหรับความเสียหายหรือการหยุดชะงักดังกล่าว
8.4 คุณจะต้องชำระเงิน (และชดใช้ให้แก่ iProov ตามความต้องการ) สำหรับค่าใช้จ่ายและต้นทุนทั้งหมดของ iProov ที่เกี่ยวข้องกับการดำเนินการตรวจสอบ เว้นแต่การตรวจสอบดังกล่าวจะเผยให้เห็นว่า iProov ได้ละเมิดภาระผูกพันภายใต้วรรค 8 นี้อย่างร้ายแรง ในกรณีนี้ iProov จะต้องรับผิดชอบค่าใช้จ่ายและต้นทุนของตนเอง
9. การประมวลผลข้อมูลส่วนบุคคลของผู้อยู่อาศัยในแคลิฟอร์เนีย
9.1 เพื่อวัตถุประสงค์ของวรรคที่ 9 นี้ คำว่า "ธุรกิจ" "วัตถุประสงค์เชิงพาณิชย์" "การขาย" และ "ผู้ให้บริการ" จะมีความหมายตามลำดับที่กำหนดไว้ใน CPRA และ "ข้อมูลส่วนบุคคล" จะหมายถึงข้อมูลส่วนบุคคลของคุณที่ประกอบด้วยข้อมูลส่วนบุคคลที่ควบคุมโดย CPRA
9.2 ในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคลใดๆ iProov เป็นผู้ให้บริการ iProov จะไม่ (ก) ขายข้อมูลส่วนบุคคลใดๆ (ข) ขึ้นอยู่กับวรรค 7 เก็บรักษา ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใดๆ เพื่อวัตถุประสงค์อื่นใดนอกเหนือจากวัตถุประสงค์เฉพาะในการให้บริการทดลองใช้งาน รวมถึงการเก็บรักษา ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เชิงพาณิชย์อื่นๆ นอกเหนือจากการให้บริการทดลองใช้งาน หรือ (ค) ขึ้นอยู่กับวรรค 7 เก็บรักษา ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนอกเหนือจากความสัมพันธ์ทางธุรกิจโดยตรงระหว่าง iProov และคุณ iProov ขอรับรองว่าเข้าใจถึงภาระผูกพันภายใต้วรรค 9.2 นี้และจะปฏิบัติตาม
9.3 เรารับทราบว่าการเก็บรักษา การใช้ และการเปิดเผยข้อมูลส่วนบุคคลของ iProov ตามที่บันทึกไว้ในภาคผนวกการประมวลผลข้อมูลนี้ถือเป็นส่วนสำคัญของการประมวลผลและการจัดเตรียมบริการทดลองใช้ของ iProov
10. การโอนข้อมูลระหว่างประเทศ
10.1 ในระหว่างกระบวนการติดตั้งส่วนขยาย คุณจะได้รับตัวเลือกในการเลือกประเทศที่ iProov จะมีการโฮสต์ข้อมูลส่วนบุคคลของคุณในส่วนที่เกี่ยวข้องกับการใช้งานหรือการเข้าถึงบริการทดลองใช้งานของคุณ (" ภูมิภาคโฮสติ้ง ") และคุณตกลงว่า หากเป็นตัวเลือก คุณจะเลือกประเทศที่บริการทดลองใช้งานจะถูกใช้หรือให้บริการได้ (หรือใช้หรือให้บริการเป็นหลัก ตามที่เกี่ยวข้อง) เป็นภูมิภาคโฮสติ้ง
10.2 iProov (และผู้ประมวลผลย่อย) สามารถโอนข้อมูลส่วนบุคคลของคุณไปยัง (หรือประมวลผลข้อมูลส่วนบุคคลของคุณใน) ประเทศต่อไปนี้เท่านั้น: สหราชอาณาจักร สหภาพยุโรป และภูมิภาคโฮสติ้ง (รวมกันเรียกว่า “ ดินแดน ”) และคุณอนุญาตให้ iProov (หรือผู้ประมวลผลย่อยใดๆ) โอนข้อมูลส่วนบุคคลของคุณไปยังดินแดนใดๆ ก็ได้ และย่อหน้า 10 นี้จะถือเป็นคำสั่งของคุณเกี่ยวกับการโอนข้อมูล
11. การรวมตัวกันและลำดับความสำคัญ
ในกรณีที่มีข้อขัดแย้งหรือไม่สอดคล้องกันระหว่างภาคผนวกการประมวลผลข้อมูลนี้กับส่วนที่เหลือของข้อตกลงนี้ ข้อกำหนดของภาคผนวกการประมวลผลข้อมูลนี้จะมีผลเหนือกว่าและเหนือกว่า
ภาคผนวก 1
รายละเอียดการประมวลผลข้อมูล
ภาคผนวก 1 นี้รวมถึงรายละเอียดบางส่วนเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของคุณ ตามที่กำหนดไว้ในมาตรา 28(3) ของ GDPR
รายละเอียดการประมวลผล
หมวดหมู่ของเจ้าของข้อมูล: | คุณและ/หรือผู้ใช้ |
---|---|
หมวดหมู่ของข้อมูลส่วนบุคคล: |
|
ลักษณะและวัตถุประสงค์ของการประมวลผล: |
|
ระยะเวลาในการดำเนินการ: | ตามระยะเวลาของข้อตกลงหรือ (หากนานกว่านั้น) ตามคำแนะนำของคุณ
สำหรับภาพใบหน้าของเจ้าของข้อมูลแต่ละรายที่สร้างขึ้นหรือโอนไปยัง iProov ในการใช้บริการทดลองใช้ iProov จะต้องลบภาพใบหน้าที่เกี่ยวข้องภายในไม่เกิน 14 วันหลังจากการประมวลผลภาพใบหน้าที่เกี่ยวข้องกับการให้บริการทดลองใช้ (“ ระยะเวลาการเก็บรักษา ”) |
ภาคผนวก 2
มาตรการรักษาความปลอดภัย
iProov ปฏิบัติตามมาตรฐานความปลอดภัย ISO/IEC 27001:2013 โดยขอบเขตจะรวมถึงบริการทดลองใช้ที่มอบให้กับคุณ และรวมถึงมาตรฐานต่อไปนี้:
- ISO/IEC 27001:2013 ส่วนที่ 5.3 – บทบาท ความรับผิดชอบ และอำนาจขององค์กร
- ISO/IEC 27001:2013 ส่วนที่ 8.2 – การประเมินความเสี่ยงด้านความปลอดภัยของข้อมูล
- ISO/IEC 27002:2013 ส่วนที่ 9 – การควบคุมการเข้าถึง
- ISO/IEC 27002:2013 ส่วนที่ 10 – การเข้ารหัส
- ISO/IEC 27002:2013 ส่วนที่ 9.2.4 – การจัดการข้อมูลยืนยันตัวตนที่เป็นความลับของผู้ใช้
- ISO/IEC 27002:2013 ส่วนที่ 11.1 – การจัดการพื้นที่ปลอดภัย
- ISO/IEC 27002:2013 ส่วนที่ 12.1.2 – การจัดการการเปลี่ยนแปลง
- ISO/IEC 27002:2013 ส่วนที่ 16.1 – การจัดการเหตุการณ์ด้านความปลอดภัยของข้อมูลและการปรับปรุง
- ISO/IEC 27002:2013 ส่วนที่ 13.1 – การจัดการความปลอดภัยเครือข่าย
- ISO/IEC 27002:2013 ส่วนที่ 12.6 – การจัดการความเสี่ยงทางเทคนิค
- ISO/IEC 27002:2013 ส่วนที่ 17 – ประเด็นด้านความปลอดภัยของข้อมูลในการบริหารความต่อเนื่องทางธุรกิจ
ภาคผนวก 3
คำจำกัดความ
- ในภาคผนวกการประมวลผลข้อมูลนี้ คำศัพท์จะมีความหมายตามที่กำหนดไว้ในภาคผนวก 3 นี้
- คำศัพท์ที่ใช้ตัวพิมพ์ใหญ่ใดๆ ที่ไม่ได้กำหนดไว้ในภาคผนวก 3 นี้หรือข้อตกลง จะมีความหมายตามที่กำหนดไว้ใน GDPR ของสหราชอาณาจักร
- “ กฎหมายที่ใช้บังคับ ” หมายถึง กฎหมายต่อไปนี้ในขอบเขตที่เป็นส่วนหนึ่งของกฎหมายของเขตอำนาจศาลที่ใช้บังคับ:
- ก) กฎหมาย ข้อบังคับ กฎข้อบังคับ กฎท้องถิ่น หรือกฎหมายรองใดๆ ที่มีผลใช้บังคับเป็นครั้งคราว
- ข) กฎหมายทั่วไปและกฎหมายความเสมอภาคตามที่บังคับใช้ในขณะนั้น
- ค) คำสั่ง คำพิพากษา หรือคำสั่งศาลที่มีผลผูกพันใดๆ หรือ
- ง) ทิศทาง นโยบาย กฎ หรือคำสั่งใด ๆ ที่ใช้บังคับซึ่งทำขึ้นหรือประกาศโดยหน่วยงานกำกับดูแลที่มีเขตอำนาจศาลเหนือฝ่ายหนึ่งฝ่ายใด หรือทรัพย์สิน ทรัพยากร หรือธุรกิจใด ๆ ของฝ่ายนั้น
- “ ข้อมูลไบโอเมตริกซ์ ” หมายถึง ข้อมูลใดๆ ก็ตาม ไม่ว่าจะถูกบันทึก แปลง จัดเก็บ หรือแบ่งปันโดยอาศัยรหัสประจำตัวไบโอเมตริกซ์ของบุคคลที่ใช้ในการระบุตัวบุคคล
- “ กฎหมายข้อมูลไบโอเมตริกซ์ ” หมายถึง กฎหมายที่บังคับใช้ทั้งหมด และกฎหมายและระเบียบข้อบังคับที่มีผลผูกพันเกี่ยวกับข้อมูลไบโอเมตริกซ์ซึ่งเกี่ยวข้องกับการใช้ข้อมูลไบโอเมตริกซ์หรือข้อมูลไบโอเมตริกซ์
- “ ตัวระบุข้อมูลชีวภาพ ” หมายถึง ลักษณะทางสรีรวิทยา ชีววิทยา หรือพฤติกรรมของบุคคล รวมทั้งกรดนิวคลีอิก (DNA) ของบุคคล ซึ่งสามารถใช้เดี่ยวๆ หรือใช้ร่วมกับข้อมูลอื่นๆ หรือใช้ร่วมกันเพื่อระบุตัวตนของบุคคล ตัวระบุข้อมูลชีวภาพอาจรวมถึงแต่ไม่จำกัดเพียง ภาพของม่านตา จอประสาทตา ลายนิ้วมือ ใบหน้า มือ ฝ่ามือ เส้นเลือด และการบันทึกเสียงหรือวิดีโอ ซึ่งสามารถดึงเทมเพลตตัวระบุ เช่น ลายหน้า เทมเพลตรายละเอียด หรือลายเสียงออกมาได้ และรูปแบบการกดแป้นพิมพ์หรือจังหวะ การเดินหรือจังหวะ และข้อมูลการนอนหลับ สุขภาพ หรือการออกกำลังกายที่มีข้อมูลระบุตัวตน
- “ CPRA ” หมายถึงพระราชบัญญัติสิทธิความเป็นส่วนตัวของรัฐแคลิฟอร์เนียปี 2020 และกฎข้อบังคับที่มีผลผูกพันใด ๆ ที่ประกาศใช้ภายใต้พระราชบัญญัติดังกล่าว
- “ กฎหมายคุ้มครองข้อมูล ” หมายถึง กฎหมายที่บังคับใช้ใดๆ ที่เกี่ยวข้องกับ (i) ความเป็นส่วนตัวและความปลอดภัยของข้อมูล รวมถึง (แต่ไม่จำกัดเพียง) GDPR และ CPRA หรือ (ii) ข้อมูลไบโอเมตริกซ์หรือข้อมูลไบโอเมตริกซ์ รวมถึงกฎหมายข้อมูลไบโอเมตริกซ์
- “ คำขอของเจ้าของข้อมูล ” หมายถึง การใช้สิทธิของเจ้าของข้อมูลภายใต้และสอดคล้องกับบทที่ III ของ GDPR ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของคุณ
- “ การลบ ” หมายถึง การลบหรือทำลายข้อมูลส่วนบุคคลในลักษณะที่ไม่สามารถกู้คืนหรือสร้างใหม่ได้ และ “ การลบ ” จะต้องตีความตามนั้น
- “ EEA ” หมายถึง เขตเศรษฐกิจยุโรป
- “ GDPR ” หมายถึง ตามและเมื่อมีผลบังคับใช้:
- ก) ข้อบังคับ (EU) 2016/679 ของรัฐสภายุโรปและคณะมนตรีแห่งสหภาพยุโรปเมื่อวันที่ 27 เมษายน 2016 (“ EU GDPR ”) และ/หรือ
- ข) GDPR ของสหภาพยุโรปซึ่งเป็นส่วนหนึ่งของกฎหมายของสหราชอาณาจักรตามมาตรา 3 ของพระราชบัญญัติการถอนตัวของสหภาพยุโรป พ.ศ. 2561 แก้ไขเพิ่มเติม (รวมถึงการคุ้มครองข้อมูล ความเป็นส่วนตัว และ
c) ข้อบังคับการสื่อสารอิเล็กทรอนิกส์ (การแก้ไข ฯลฯ ) (การออกสู่สหภาพยุโรป) ปี 2019 (“ GDPR ของสหราชอาณาจักร ”)
- “ การป้องกันที่ถูกกฎหมาย ” หมายถึงกลไกบังคับใช้ทางกฎหมายสำหรับการโอนข้อมูลส่วนบุคคลตามที่ได้รับอนุญาตภายใต้กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรและสหภาพยุโรปเป็นครั้งคราว
- “ การละเมิดข้อมูลส่วนบุคคล ” หมายถึงการละเมิดความปลอดภัยที่เกิดขึ้นจริงหรือโดยมีเหตุผลอันควรสงสัยว่านำไปสู่การทำลาย การสูญเสีย การเปลี่ยนแปลง การเข้ารหัส การได้มา การเปิดเผย หรือการเข้าถึงข้อมูลส่วนบุคคลที่ส่ง จัดเก็บ หรือประมวลผลในลักษณะอื่นใดโดย iProov ภายใต้หรือที่เกี่ยวข้องกับข้อตกลง โดยไม่ได้ตั้งใจ ผิดกฎหมาย หรือไม่ได้รับอนุญาต
- “ ระยะเวลาการเก็บรักษา ” หมายถึงระยะเวลาที่ระบุไว้ในภาคผนวก 1
- “หน่วยงานกำกับดูแล” หมายความว่า:
- ก) ใน บริบทของสหราชอาณาจักรและ GDPR ของสหราชอาณาจักร หมายถึง สำนักงานคณะกรรมาธิการข้อมูลของสหราชอาณาจักร
- ข) ในบริบทของ EEA และ EU GDPR ได้มีการ กำหนดเงื่อนไขดังกล่าวไว้ในมาตรา 4(21) ของ EU GDPR แล้ว
- c) หน่วยงานกำกับดูแล หน่วยงานของรัฐ หรือหน่วยงานอิสระอื่นใดที่จัดตั้งขึ้นเพื่อให้มีเขตอำนาจศาลเหนือทั้งหมดหรือบางส่วนของ (ก) การบังคับใช้กฎหมายคุ้มครองข้อมูล และ (ข) บริการทดลองใช้งาน
- “การโอน” มีความหมายเดียวกันกับคำว่า “การโอน” ในมาตรา 44 ของ GDPR (และคำศัพท์ที่เกี่ยวข้อง เช่น การ โอน การโอน และ การโอน จะมีความหมายที่สอดคล้องกัน)
- “ กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรและสหภาพยุโรป ” หมายถึง กฎหมายที่บังคับใช้เกี่ยวกับการคุ้มครองข้อมูลหรือความเป็นส่วนตัวที่บังคับใช้ในสหราชอาณาจักรและสหภาพยุโรป รวมถึง GDPR และพระราชบัญญัติคุ้มครองข้อมูล พ.ศ. 2561 ในสหราชอาณาจักร
- “ข้อมูลส่วนบุคคลของคุณ” หมายถึงข้อมูลส่วนบุคคลที่ได้รับการประมวลผลโดยหรือในนามของ iProov ในนามของคุณ (ซึ่งรวมถึงข้อมูลส่วนบุคคลของผู้ใช้ของคุณหรือองค์กร) ภายใต้หรือที่เกี่ยวข้องกับข้อตกลง (ซึ่งรวมถึงภาคผนวกการประมวลผลข้อมูลนี้)