ข้อตกลงในการประมวลผลข้อมูล (DPA)
อัปเดตล่าสุด: 2024-09-17
อัปเดตครั้งล่าสุดในหน้าผู้ประมวลผลย่อย: 2024-05-12
ข้อตกลงการประมวลผลข้อมูลนี้กำหนดเงื่อนไขที่เราดำเนินการประมวลผลข้อมูลส่วนบุคคลในนามของคุณ
ข้อตกลงการประมวลผลข้อมูลฉบับนี้ (ข้อตกลง) ระบุหน้าที่และเงื่อนไขที่ Petitions24 Oy (ผู้ให้บริการ) จะประมวลผลข้อมูลส่วนบุคคลในนามของผู้เขียนคำร้อง (ผู้เขียนคำร้องหรือผู้ควบคุมข้อมูล) ในการให้บริการโฮสติ้งคำร้องออนไลน์ (บริการ)
การแก้ไขข้อกำหนด
เราขอสงวนสิทธิ์ในการเปลี่ยนแปลงหรือแก้ไขข้อกำหนดเหล่านี้ได้ตลอดเวลาโดยไม่ต้องแจ้งให้ทราบล่วงหน้า
คำนิยามและบทบาท
- ผู้ให้บริการ: Petitions.net (Petitions24 Oy), ในฐานะที่เป็นผู้ประมวลผลข้อมูล ดำเนินการประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุมข้อมูลตามความจำเป็นสำหรับให้บริการ
- ผู้ควบคุมข้อมูล: ผู้เขียนคำร้องซึ่งตัดสินใจเกี่ยวกับวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคลที่รวบรวมจากผู้ลงนามในคำร้องของตนเอง ในฐานะที่คุณเป็นผู้จัดทำคำร้องบน Petitions.net, คุณถือว่าเป็นผู้ควบคุมข้อมูล คุณเป็นผู้จํากัดเนื้อหาของคำร้อง สิ่งที่ขอจากผู้ลงนาม วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลของพวกเขา และระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล Petitions.net ให้บริการแพลตฟอร์มออนไลน์สำหรับสร้างและโฮสต์คำร้อง โดยอำนวยความสะดวกให้คุณในฐานะ Data Controller ที่มีความเป็นอิสระในการกำหนดการรวบรวมและการใช้ข้อมูลของคำร้องตามเป้าหมายและข้อผูกพันทางกฎหมายของคุณ
ขอบเขตของการประมวลผล
ผู้ให้บริการจะประมวลผลข้อมูลส่วนบุคคลตามคำแนะนำของผู้ควบคุมข้อมูลเท่านั้นและเท่าที่จำเป็นเพื่อให้บริการ ขอบเขตของกิจกรรมการประมวลผลถูกจำกัดอยู่ที่การโฮสต์, การจัดการ, และการสนับสนุนคำร้องออนไลน์
การคุ้มครองข้อมูล
ผู้ให้บริการให้คำมั่นที่จะดำเนินการมาตรการทางเทคนิคและองค์กรเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลมีความปลอดภัยจากการเข้าถึงโดยไม่ได้รับอนุญาต การสูญหาย หรือความเสียหาย
Prohibited Data Collection
It is prohibited to request personal identification numbers (such as national ID numbers) from signatories.
ผู้ประมวลผลย่อย
ผู้ให้บริการอาจจ้างผู้ประมวลผลย่อยเพื่อช่วยในการให้บริการ ผู้ให้บริการจะรับประกันว่าผู้ประมวลผลย่อยจะปฏิบัติตามข้อผูกพันด้านการคุ้มครองข้อมูลที่สอดคล้องกับ DPA นี้ คุณรับทราบและยอมรับว่าผู้ให้บริการมีดุลยพินิจในการเลือกและเปลี่ยนตัวผู้ประมวลผลข้อมูลย่อยตามความจำเป็นเพื่อให้บริการอย่างมีประสิทธิภาพ
List of the subprocessors. (อัปเดตล่าสุด: 2024-05-12)
ความรับผิดชอบของผู้ควบคุมข้อมูล
ผู้ควบคุมข้อมูลมีความรับผิดชอบในการทำให้แน่ใจว่าการเก็บรวบรวม ประมวลผล และจัดการข้อมูลส่วนบุคคลสอดคล้องกับกฎหมายและข้อบังคับที่เกี่ยวข้องทั้งหมด
การระบุตัวตนผู้ควบคุมข้อมูล
ภายใต้ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) ต้องมีการระบุชัดเจนถึงตัวตนของผู้ควบคุมข้อมูล บทบัญญัติดังต่อไปนี้จัดทำขึ้นสำหรับผู้เขียนคำร้องที่ใช้เว็บไซต์ของเรา:
ผู้สร้างคำร้องรายบุคคล
หากคุณในฐานะบุคคลกำลังสร้างคำร้อง คุณจำเป็นต้องระบุชื่อเต็มตามกฎหมายของคุณ นี่เป็นการยืนยันว่าคุณเป็นผู้ควบคุมข้อมูลสำหรับวัตถุประสงค์ของ GDPR
ผู้สร้างคำร้องในองค์กร
หากมีการสร้างคำร้องในนามขององค์กร ชื่อทางกฎหมายเต็มรูปแบบขององค์กรจะต้องถูกระบุ นอกจากนี้ องค์กรควรแต่งตั้งและให้ข้อมูลการติดต่อของตัวแทนที่รับผิดชอบกิจกรรมการประมวลผลข้อมูล เช่น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หรือที่คล้ายกัน
สิทธิของเจ้าของข้อมูล
ผู้ควบคุมข้อมูลต้องมั่นใจได้ว่าผู้เป็นเจ้าของข้อมูล (ผู้ลงนามในคำร้อง) สามารถใช้สิทธิของตนตามกฎระเบียบคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) เช่น สิทธิในการเข้าถึง แก้ไข หรือ ลบข้อมูลของตน หรือสิทธิในการร้องเรียนกับหน่วยงานกำกับดูแล
ความรับผิดชอบและการปฏิบัติตาม
ผู้ควบคุมข้อมูลต้องสามารถแสดงหลักฐานการปฏิบัติตามข้อกำหนดของ GDPR รวมถึงการตอบสนองต่อคำขอของเจ้าของข้อมูลเกี่ยวกับข้อมูลส่วนบุคคลของพวกเขา
นโยบายหรือประกาศความเป็นส่วนตัว
ต้องมีการจัดทำนโยบายหรือประกาศความเป็นส่วนตัวอย่างชัดเจนและเข้าถึงได้ โดยระบุวิธีการประมวลผลข้อมูลส่วนบุคคล วัตถุประสงค์ของการประมวลผล และวิธีที่เจ้าของข้อมูลสามารถใช้สิทธิ์ของตนได้
การแจ้งเตือนการเปลี่ยนแปลง
ผู้เขียนคำร้องจะต้องแจ้ง Petitions.net (Petitions24 Oy) เกี่ยวกับการเปลี่ยนแปลงสถานะของพวกเขาในฐานะผู้ควบคุมข้อมูลหรือรายละเอียดการติดต่อของตัวแทน
การทบทวนการประมวลผลข้อมูลประจำปี
ผู้จัดทำคำร้องต้องดำเนินการทบทวนประจำปีเพื่อให้แน่ใจว่ายังมีเหตุผลที่ชอบด้วยกฎหมายสำหรับการดำเนินการประมวลผลข้อมูลส่วนบุคคลของผู้ลงนามต่อไปหรือไม่ การทบทวนนี้ควรประเมินความจำเป็นและความเกี่ยวข้องของข้อมูลที่สัมพันธ์กับวัตถุประสงค์ของคำร้อง หากผู้สร้างคำร้องตัดสินใจว่าไม่มีเหตุผลที่ถูกต้องในการดำเนินการประมวลผลข้อมูลอีกต่อไป พวกเขาต้องดำเนินการขั้นตอนที่เหมาะสมเพื่อยุติการประมวลผลและเริ่มต้นการลบข้อมูลตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง
การเก็บรักษาข้อมูลและการลบข้อมูล
หากผู้ควบคุมข้อมูล (ผู้เขียนคำร้อง) ละเมิดข้อกำหนดใด ๆ ของข้อตกลงการประมวลผลข้อมูล (DPA) รวมถึงแต่ไม่จำกัดเพียงการไม่ดำเนินการตรวจสอบกิจกรรมการประมวลผลข้อมูลประจำปี หรือไม่จัดให้มีเหตุผลที่ถูกต้องสำหรับการประมวลผลข้อมูลส่วนบุคคลของผู้ลงนามอย่างต่อเนื่อง ผู้ให้บริการสงวนสิทธิ์ในการลบหรือทำลายข้อมูลส่วนบุคคลที่เกี่ยวข้องกับคำร้องนั้น ๆ
การจำกัดความรับผิด
ไม่ว่าในกรณีใด ๆ ทั้งสิ้น ความรับผิดชอบรวมของผู้ประมวลผลข้อมูลที่มีต่อผู้ควบคุมข้อมูลสำหรับความเสียหาย การสูญเสีย และกรณีที่จะฟ้องร้องทั้งหลาย ไม่ว่าจะเป็นในฐานะสัญญา การละเมิด (รวมถึงความประมาท) หรืออื่น ๆ จะไม่เกินจำนวนเงินทั้งหมดที่ผู้ควบคุมข้อมูลชำระให้กับผู้ประมวลผลข้อมูลภายใต้ข้อตกลงนี้
กฎหมายที่ใช้บังคับ
ข้อตกลงนี้จะอยู่ภายใต้กฎหมายของประเทศฟินแลนด์