ข้อตกลงในการประมวลผลข้อมูล (DPA)

อัปเดตล่าสุด: 2024-06-07

อัปเดตครั้งล่าสุดในหน้าผู้ประมวลผลย่อย: 2024-05-12

ข้อตกลงการประมวลผลข้อมูลนี้กำหนดเงื่อนไขที่เราดำเนินการประมวลผลข้อมูลส่วนบุคคลในนามของคุณ

ข้อตกลงการประมวลผลข้อมูลฉบับนี้ (ข้อตกลง) ระบุหน้าที่และเงื่อนไขที่ Petitions24 Oy (ผู้ให้บริการ) จะประมวลผลข้อมูลส่วนบุคคลในนามของผู้เขียนคำร้อง (ผู้เขียนคำร้องหรือผู้ควบคุมข้อมูล) ในการให้บริการโฮสติ้งคำร้องออนไลน์ (บริการ)

การแก้ไขข้อกำหนด

เราขอสงวนสิทธิ์ในการเปลี่ยนแปลงหรือแก้ไขข้อกำหนดเหล่านี้ได้ตลอดเวลาโดยไม่ต้องแจ้งให้ทราบล่วงหน้า

คำนิยามและบทบาท

  • ผู้ให้บริการ: Petitions.net (Petitions24 Oy), ในฐานะที่เป็นผู้ประมวลผลข้อมูล ดำเนินการประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุมข้อมูลตามความจำเป็นสำหรับให้บริการ
  • ผู้ควบคุมข้อมูล: ผู้เขียนคำร้องซึ่งตัดสินใจเกี่ยวกับวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคลที่รวบรวมจากผู้ลงนามในคำร้องของตนเอง ในฐานะที่คุณเป็นผู้จัดทำคำร้องบน Petitions.net, คุณถือว่าเป็นผู้ควบคุมข้อมูล คุณเป็นผู้จํากัดเนื้อหาของคำร้อง สิ่งที่ขอจากผู้ลงนาม วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลของพวกเขา และระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล Petitions.net ให้บริการแพลตฟอร์มออนไลน์สำหรับสร้างและโฮสต์คำร้อง โดยอำนวยความสะดวกให้คุณในฐานะ Data Controller ที่มีความเป็นอิสระในการกำหนดการรวบรวมและการใช้ข้อมูลของคำร้องตามเป้าหมายและข้อผูกพันทางกฎหมายของคุณ

ขอบเขตของการประมวลผล

ผู้ให้บริการจะประมวลผลข้อมูลส่วนบุคคลตามคำแนะนำของผู้ควบคุมข้อมูลเท่านั้นและเท่าที่จำเป็นเพื่อให้บริการ ขอบเขตของกิจกรรมการประมวลผลถูกจำกัดอยู่ที่การโฮสต์, การจัดการ, และการสนับสนุนคำร้องออนไลน์

การคุ้มครองข้อมูล

ผู้ให้บริการให้คำมั่นที่จะดำเนินการมาตรการทางเทคนิคและองค์กรเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลมีความปลอดภัยจากการเข้าถึงโดยไม่ได้รับอนุญาต การสูญหาย หรือความเสียหาย

ผู้ประมวลผลย่อย

ผู้ให้บริการอาจจ้างผู้ประมวลผลย่อยเพื่อช่วยในการให้บริการ ผู้ให้บริการจะรับประกันว่าผู้ประมวลผลย่อยจะปฏิบัติตามข้อผูกพันด้านการคุ้มครองข้อมูลที่สอดคล้องกับ DPA นี้ คุณรับทราบและยอมรับว่าผู้ให้บริการมีดุลยพินิจในการเลือกและเปลี่ยนตัวผู้ประมวลผลข้อมูลย่อยตามความจำเป็นเพื่อให้บริการอย่างมีประสิทธิภาพ

List of the subprocessors. (อัปเดตล่าสุด: 2024-05-12)

ความรับผิดชอบของผู้ควบคุมข้อมูล

ผู้ควบคุมข้อมูลมีความรับผิดชอบในการทำให้แน่ใจว่าการเก็บรวบรวม ประมวลผล และจัดการข้อมูลส่วนบุคคลสอดคล้องกับกฎหมายและข้อบังคับที่เกี่ยวข้องทั้งหมด

การระบุตัวตนผู้ควบคุมข้อมูล

ภายใต้ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) ต้องมีการระบุชัดเจนถึงตัวตนของผู้ควบคุมข้อมูล บทบัญญัติดังต่อไปนี้จัดทำขึ้นสำหรับผู้เขียนคำร้องที่ใช้เว็บไซต์ของเรา:

ผู้สร้างคำร้องรายบุคคล

หากคุณในฐานะบุคคลกำลังสร้างคำร้อง คุณจำเป็นต้องระบุชื่อเต็มตามกฎหมายของคุณ นี่เป็นการยืนยันว่าคุณเป็นผู้ควบคุมข้อมูลสำหรับวัตถุประสงค์ของ GDPR

ผู้สร้างคำร้องในองค์กร

หากมีการสร้างคำร้องในนามขององค์กร ชื่อทางกฎหมายเต็มรูปแบบขององค์กรจะต้องถูกระบุ นอกจากนี้ องค์กรควรแต่งตั้งและให้ข้อมูลการติดต่อของตัวแทนที่รับผิดชอบกิจกรรมการประมวลผลข้อมูล เช่น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หรือที่คล้ายกัน

สิทธิของเจ้าของข้อมูล

ผู้ควบคุมข้อมูลต้องมั่นใจได้ว่าผู้เป็นเจ้าของข้อมูล (ผู้ลงนามในคำร้อง) สามารถใช้สิทธิของตนตามกฎระเบียบคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) เช่น สิทธิในการเข้าถึง แก้ไข หรือ ลบข้อมูลของตน หรือสิทธิในการร้องเรียนกับหน่วยงานกำกับดูแล

ความรับผิดชอบและการปฏิบัติตาม

ผู้ควบคุมข้อมูลต้องสามารถแสดงหลักฐานการปฏิบัติตามข้อกำหนดของ GDPR รวมถึงการตอบสนองต่อคำขอของเจ้าของข้อมูลเกี่ยวกับข้อมูลส่วนบุคคลของพวกเขา

นโยบายหรือประกาศความเป็นส่วนตัว

ต้องมีการจัดทำนโยบายหรือประกาศความเป็นส่วนตัวอย่างชัดเจนและเข้าถึงได้ โดยระบุวิธีการประมวลผลข้อมูลส่วนบุคคล วัตถุประสงค์ของการประมวลผล และวิธีที่เจ้าของข้อมูลสามารถใช้สิทธิ์ของตนได้

การแจ้งเตือนการเปลี่ยนแปลง

ผู้เขียนคำร้องจะต้องแจ้ง Petitions.net (Petitions24 Oy) เกี่ยวกับการเปลี่ยนแปลงสถานะของพวกเขาในฐานะผู้ควบคุมข้อมูลหรือรายละเอียดการติดต่อของตัวแทน

การทบทวนการประมวลผลข้อมูลประจำปี

ผู้จัดทำคำร้องต้องดำเนินการทบทวนประจำปีเพื่อให้แน่ใจว่ายังมีเหตุผลที่ชอบด้วยกฎหมายสำหรับการดำเนินการประมวลผลข้อมูลส่วนบุคคลของผู้ลงนามต่อไปหรือไม่ การทบทวนนี้ควรประเมินความจำเป็นและความเกี่ยวข้องของข้อมูลที่สัมพันธ์กับวัตถุประสงค์ของคำร้อง หากผู้สร้างคำร้องตัดสินใจว่าไม่มีเหตุผลที่ถูกต้องในการดำเนินการประมวลผลข้อมูลอีกต่อไป พวกเขาต้องดำเนินการขั้นตอนที่เหมาะสมเพื่อยุติการประมวลผลและเริ่มต้นการลบข้อมูลตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง

การเก็บรักษาข้อมูลและการลบข้อมูล

หากผู้ควบคุมข้อมูล (ผู้เขียนคำร้อง) ละเมิดข้อกำหนดใด ๆ ของข้อตกลงการประมวลผลข้อมูล (DPA) รวมถึงแต่ไม่จำกัดเพียงการไม่ดำเนินการตรวจสอบกิจกรรมการประมวลผลข้อมูลประจำปี หรือไม่จัดให้มีเหตุผลที่ถูกต้องสำหรับการประมวลผลข้อมูลส่วนบุคคลของผู้ลงนามอย่างต่อเนื่อง ผู้ให้บริการสงวนสิทธิ์ในการลบหรือทำลายข้อมูลส่วนบุคคลที่เกี่ยวข้องกับคำร้องนั้น ๆ

การจำกัดความรับผิด

ไม่ว่าในกรณีใด ๆ ทั้งสิ้น ความรับผิดชอบรวมของผู้ประมวลผลข้อมูลที่มีต่อผู้ควบคุมข้อมูลสำหรับความเสียหาย การสูญเสีย และกรณีที่จะฟ้องร้องทั้งหลาย ไม่ว่าจะเป็นในฐานะสัญญา การละเมิด (รวมถึงความประมาท) หรืออื่น ๆ จะไม่เกินจำนวนเงินทั้งหมดที่ผู้ควบคุมข้อมูลชำระให้กับผู้ประมวลผลข้อมูลภายใต้ข้อตกลงนี้

กฎหมายที่ใช้บังคับ

ข้อตกลงนี้จะอยู่ภายใต้กฎหมายของประเทศฟินแลนด์