ข้อตกลงการประมวลผลข้อมูล

ข้อกำหนดการประมวลผลข้อมูลของ Shoprocket นี้ ("Addendum") จะมีการปรับเปลี่ยนข้อกำหนดและเงื่อนไขของ Shoprocket ("Agreement") ระหว่างคุณ ("คุณ") และ Shoprocket LTD (หมายเลขบริษัท 12656598 ซึ่งจดทะเบียนในอังกฤษและเวลส์ที่ 20-22 Wenlock Road, London, NG 17U) หากคุณมี SLA แยกต่างหากกับ Shoprocket การอ้างอิงถึง Agreement หมายถึง SLA นั้น Addendum นี้อยู่ภายใต้และถูกรวมเข้ากับ Agreement คำที่มีอักษรใหญ่ที่ไม่ได้กำหนดที่นี่มีความหมายตามที่กำหนดไว้ใน Agreement

---

การนิยาม

• การตั้งค่าบัญชี: การปรับแต่งสำหรับบัญชี Shoprocket ของคุณ (รวมถึงความปลอดภัย) ที่ให้คุณจัดการวิธีที่ Shoprocket ประมวลผลข้อมูลส่วนบุคคล

• วัตถุประสงค์ทางธุรกิจ: บริการที่กำหนดใน Agreement

• ข้อมูลบัญชีลูกค้า: ข้อมูลส่วนบุคคลเกี่ยวกับความสัมพันธ์ของคุณกับ Shoprocket (เช่น ผู้ติดต่อที่ได้รับอนุญาต, รายละเอียดการชำระเงิน) รวมถึงข้อมูลที่ Shoprocket เก็บรวบรวมสำหรับการจัดการบัญชี, การตรวจสอบความเป็นตัวตน หรือความต้องการทางกฎหมาย

• ข้อมูลการใช้งานของลูกค้า: ข้อมูลการใช้งานที่ประมวลผลโดย Shoprocket เกี่ยวกับการใช้บริการของคุณ (เช่น บันทึก, เมตริกการดำเนินงาน, ข้อมูลการป้องกันการละเมิด)

• กฎหมายการปกป้องข้อมูล: รวมถึง CCPA, EU GDPR, พระราชบัญญัติการปกป้องข้อมูลของสวิตเซอร์แลนด์, UK GDPR, DPA 2018, และ PECR 2003 ซึ่งแต่ละฉบับได้รับการปรับปรุง คำศัพท์ (เช่น "Data Controller", "Data Processor") จะตามที่กำหนดใน EU GDPR

• EEA: เขตเศรษฐกิจยุโรป

• EU SCCs: ข้อกำหนดตามสัญญามาตรฐานตามการตัดสินใจของคณะกรรมการ 2021/914

• การโอนข้อมูลนอก EEA: การโอนข้อมูลส่วนบุคคล (ภายใต้ EU GDPR) ออกนอก EEA โดยปราศจากการตัดสินใจความเพียงพอตามมาตรา 45 ของ EU GDPR

• การโอนข้อมูลนอกสหราชอาณาจักร: การโอนข้อมูลส่วนบุคคล (ภายใต้ UK GDPR) ออกนอกสหราชอาณาจักรโดยปราศจากการตัดสินใจความเพียงพอตามคำสั่งของรัฐมนตรีว่าการกระทรวงสหราชอาณาจักร

• ผู้ให้บริการ: ตามที่กำหนดใน CCPA

• บริการ: เครื่องมือของ Shoprocket สำหรับการสร้าง/จัดการร้านค้าออนไลน์ ("Shoprocket Store"), การจัดการผลิตภัณฑ์, การชำระเงิน, การจัดส่ง, การตลาด และเครื่องมือหรือบริการใดๆ ที่ Shoprocket อาจเสนอ

• บัญชี Shoprocket: บัญชีของคุณที่ให้การเข้าถึงบริการ รวมถึงการตั้งค่าบัญชี ที่ https://www.shoprocket.io.

• นโยบายความเป็นส่วนตัวของ Shoprocket: ข้อความที่ https://shoprocket.io/privacy ซึ่งได้รับการปรับปรุง

• ร้านค้า Shoprocket: เว็บไซต์อีคอมเมิร์ซของคุณที่โฮสต์หรือช่วยอำนวยความสะดวกโดย Shoprocket

• ข้อมูลหมวดพิเศษ: ตามที่กำหนดในมาตรา 4(13), 4(14), 4(15) และ 9 ของ EU/UK GDPR (ตามที่ใช้)

• ข้อกำหนดตามสัญญามาตรฐาน (SCCs): EU SCCs และ UK SCCs ซึ่งเกี่ยวข้อง

• UK SCCs: EU SCCs ที่แก้ไขโดย IDTA Addendum ของ UK ICO

• เรา/เรา/ของเรา: Shoprocket LTD (รวมถึง "Shoprocket" และ "Shoprocket.io")

• คุณ/ของคุณ: ฝ่ายที่มีสัญญาซึ่งชื่อใน Agreement

---

คำแนะนำจากลูกค้า

Addendum นี้และ Agreement (รวมถึงคำแนะนำในการตั้งค่าบัญชีของคุณ) เป็น คำแนะนำที่มีเอกสาร สำหรับวิธีที่ Shoprocket ประมวลผลข้อมูลส่วนบุคคล Shoprocket จะประมวลผลข้อมูลส่วนบุคคลเฉพาะตามที่มีการสั่งการเท่านั้น คำแนะนำเพิ่มเติมนอกเหนือจากข้อกำหนดเหล่านี้ต้องได้รับความเห็นชอบเป็นลายลักษณ์อักษรล่วงหน้า (และอาจมีค่าใช้จ่ายเพิ่มเติม)

Shoprocket อาจยกเลิก Addendum นี้และ Agreement หากคำแนะนำของคุณขัดต่อกฎหมายการปกป้องข้อมูล หรือเบี่ยงเบนจากคำแนะนำที่ตกลงกันไว้ โดยเนื่องจากลักษณะของการประมวลผล Shoprocket จะไม่สามารถตัดสินได้ว่าคำแนะนำของคุณฝ่าฝืนกฎหมายหรือไม่ หากมีการ形成ความคิดเห็นเช่นนั้น จะมีการแจ้งให้คุณทราบและคุณสามารถปรับเปลี่ยนหรือถอนคำแนะนำได้

---

การประมวลผลข้อมูล

1. การประมวลผลของ Shoprocket

   • Data Processor/Service Provider: ยกเว้นข้อมูลบัญชีลูกค้าและข้อมูลการใช้งานของลูกค้า Shoprocket จะประมวลผลข้อมูลส่วนบุคคล (ภายใต้ EU/UK GDPR) หรือข้อมูลส่วนบุคคล (ภายใต้ CCPA) ในนามของคุณ

   • Data Controller ที่เป็นอิสระ: Shoprocket เป็น Data Controller สำหรับข้อมูลส่วนบุคคลที่เก็บรวบรวมโดยตรงจากลูกค้าร้านค้าและสำหรับข้อมูลบัญชีลูกค้าหรือข้อมูลการใช้งานของลูกค้า

2. การจัดเก็บ

   • ข้อมูลส่วนบุคคลจะถูกจัดเก็บที่:

     1. เซิร์ฟเวอร์ AWS ในไอร์แลนด์ (หรือภูมิภาค EEA อื่นๆ)

     2. เซิร์ฟเวอร์ Hetzner ใน Nuremberg/Falkenstein (เยอรมนี)

3. ขอบเขตและวัตถุประสงค์

   • Shoprocket จะประมวลผลข้อมูลส่วนบุคคลตามที่จำเป็นสำหรับวัตถุประสงค์ทางธุรกิจที่คุณกำหนด (สอดคล้องกับบริการที่ซื้อ) และต้องปฏิบัติตามกฎหมายการปกป้องข้อมูล

   • หากกฎหมายกำหนดให้ประมวลผลแตกต่างกัน Shoprocket จะแจ้งให้คุณทราบเว้นแต่จะมีการห้ามตามกฎหมาย

   • Shoprocket จะปฏิบัติตามคำแนะนำด้วยลายลักษณ์อักษรของคุณอย่างรวดเร็วในการแก้ไข โอน หรือลบข้อมูลส่วนบุคคล หรือหยุดการประมวลผลที่ไม่ได้รับอนุญาต

   • Shoprocket จะเก็บรักษาข้อมูลส่วนบุคคลให้เป็นความลับเว้นแต่การเปิดเผยจะได้รับอนุญาตหรือถูกกฎหมาย

   • Shoprocket ช่วยในการปฏิบัติตามข้อผูกพันของคุณ (เช่น คำขอจากบุคคลตามข้อมูล, DPIAs) โดยไม่มีค่าใช้จ่ายเพิ่มเติม

   • Shoprocket จะแจ้งให้คุณทราบถึงการเปลี่ยนแปลงทางกฎหมายที่อาจส่งผลกระทบต่อ Agreement หรือ Addendum นี้

4. Shoprocket ในฐานะ Data Controller ที่เป็นอิสระ

   • สำหรับข้อมูลบัญชีลูกค้าและข้อมูลการใช้งานของลูกค้า Shoprocket ไม่ใช่ผู้ควบคุมร่วม แต่จะประมวลผลข้อมูลดังกล่าวเพื่อการจัดการความสัมพันธ์กับคุณ การป้องกันการฉ้อโกง/เหตุการณ์ด้านความปลอดภัย การปฏิบัติตามข้อกำหนดทางกฎหมาย ฯลฯ ตามนโยบายความเป็นส่วนตัวของ Shoprocket

5. CCPA

   • ยกเว้นข้อมูลบัญชีลูกค้าและข้อมูลการใช้งานของลูกค้า Shoprocket เป็นผู้ให้บริการของคุณตาม CCPA; จะไม่ "ขาย" ข้อมูลส่วนบุคคลดังกล่าวและจะใช้เฉพาะเพื่อดำเนินการบริการหรือเป็นอย่างอื่นที่กฎหมายอนุญาต

6. การเสริม

   • คุณสามารถรวมการเสริมจากบุคคลที่สาม ("Add-Ons") ตาม EULA แยกต่างหากกับแต่ละผู้เผยแพร่ Shoprocket จะโอนข้อมูลส่วนบุคคลที่จำเป็นไปยังผู้เผยแพร่ Add-On แต่ไม่รับผิดชอบต่อการประมวลผลของพวกเขา Add-Ons ในปัจจุบันที่ Shoprocket ทำตลาด ได้แก่:

     • Amazon, eBay, Facebook Marketplace, Google Shopping, Instagram Shopping: การเติมเต็มและการซิงค์หลายช่องทาง

     • Affirm, Afterpay, Alipay, Apple Pay, Click to Pay, GrabPay, GooglePay, iDEAL, Klarna, Microsoft Pay, PayPal, P24, Sofort, Stripe, WeChat Pay: การบูรณาการการชำระเงินที่รองรับวิธีการ/สกุลเงินต่างๆ

     • Zapier: อัตโนมัติการถ่ายโอนข้อมูล/การทำงานระหว่าง Shoprocket และแอปพลิเคชันอื่นๆ

   • หาก Shoprocket และคุณมี SCCs คำแนะนำของคุณในการรวม Add-Ons จะถือเป็นการอนุญาตในการโอนข้อมูลส่วนบุคคลไปยังผู้เผยแพร่ Add-On เหล่านั้นหากจำเป็นตาม SCCs

7. ความรับผิดชอบของคุณ

   • คุณเป็น Data Controller สำหรับข้อมูลส่วนบุคคลใดๆ ที่รวบรวมหรือประมวลผลโดย Shoprocket ในนามของคุณ

   • คุณมีหน้าที่รับผิดชอบในการตอบสนองต่อข้อกำหนดเรื่องการแจ้งเตือน/ความยินยอมและในการตรวจสอบให้เป็นไปตามกฎหมายการปกป้องข้อมูล

---

ประเภทข้อมูลส่วนบุคคลและวัตถุประสงค์ในการประมวลผล

• เรื่องที่เกี่ยวข้อง: ข้อมูลส่วนบุคคลที่คุณอัปโหลดไปยังบริการ รวมถึงบัญชี Shoprocket หรือร้านค้าของคุณ

• ระยะเวลา: กำหนดโดยคุณ (จนกว่าคุณจะระงับ/ยกเลิกการสมัครสมาชิก Shoprocket ของคุณหรือการรวมที่เกี่ยวข้อง)

• วัตถุประสงค์: เพื่อให้บริการตามคำสั่งของคุณ (เช่น การดำเนินการร้านค้า/บัญชี Shoprocket ของคุณ)

• ลักษณะของการประมวลผล: แพลตฟอร์มอีคอมเมิร์ซของ Shoprocket (และผู้ประมวลผลรอง/ผู้เผยแพร่ Add-On ใดๆ) อาจจัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล

• ประเภทของข้อมูลส่วนบุคคล: ข้อมูลที่คุณอัปโหลด (เช่น ข้อมูลติดต่อ รายละเอียดลูกค้า บันทึกการทำธุรกรรม)

• บุคคลที่เกี่ยวข้อง: คุณ ลูกค้าของคุณ พนักงาน ผู้รับจ้าง ตัวแทน ซัพพลายเออร์ หรือผู้จำหน่าย

---

ความปลอดภัยของการประมวลผลข้อมูล

Shoprocket จะรักษามาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลจากการประมวลผลที่ไม่ได้รับอนุญาตหรือไม่ถูกต้องตามกฎหมาย การสูญหายโดยบังเอิญ หรือการทำลาย ตามที่สอดคล้องกับ มาตรา 32 ของ EU/UK GDPR มาตรการที่รวมถึง (ตามความเหมาะสม):

• การทำให้เป็นนามธรรม/การเข้ารหัสข้อมูล;

• การรับประกันความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความยืดหยุ่นของระบบ;

• การฟื้นคืนความพร้อมใช้งานของข้อมูลอย่างทันท่วงทีหลังจากเหตุการณ์ต่างๆ;

• การทดสอบ ประเมินผล และประเมินมาตรการเหล่านี้อย่างสม่ำเสมอ

พนักงานของ Shoprocket

• Shoprocket รับรองว่าพนักงาน ผู้รับจ้าง และตัวแทนที่จัดการข้อมูลส่วนบุคคลได้รับการฝึกอบรม มีข้อผูกพันด้านความลับ และมีความตระหนักถึงข้อผูกพันการปกป้องข้อมูลของตนอย่างเต็มที่

ความปลอดภัย (ระบุใหม่)

• Shoprocket อัปเดตการป้องกันทางเทคนิค/องค์กรอย่างต่อเนื่องเพื่อป้องกันการประมวลผลที่ไม่ได้รับอนุญาต โดยรวมถึงการเข้ารหัส ความยืดหยุ่นของระบบ ความสามารถในการฟื้นฟู และการทดสอบประสิทธิภาพ

---

การละเมิดข้อมูลส่วนบุคคล

1. การแจ้งเตือน

   • Shoprocket จะแจ้งให้คุณทราบภายใน 72 ชั่วโมง (และโดยไม่ล่าช้า) หากทราบถึง:

     1. การสูญหาย/ความเสียหายของข้อมูลส่วนบุคคล;

     2. การประมวลผลที่ไม่ตั้งใจ ไม่ได้รับอนุญาต หรือไม่ถูกต้องตามกฎหมาย;

     3. การละเมิดข้อมูลส่วนบุคคล

2. ข้อมูล

   • Shoprocket จะให้คำบรรยายเกี่ยวกับเหตุการณ์ หมวดหมู่/จำนวนข้อมูลที่ได้รับผลกระทบ และมาตรการที่ได้ดำเนินการหรือตั้งใจจะดำเนินการเพื่อลดผลกระทบ

3. ความร่วมมือ

   • Shoprocket จะประสานงานกับคุณในการสืบสวนและจะไม่แจ้งให้บุคคลที่สามทราบโดยไม่ได้รับความเห็นชอบเป็นลายลักษณ์อักษรจากคุณ เว้นแต่จะมีความจำเป็นตามกฎหมาย

4. ค่าใช้จ่าย

   • Shoprocket จะรับผิดชอบค่าใช้จ่ายที่สมเหตุสมผลสำหรับข้อผูกพันเหล่านี้ เว้นแต่เหตุการณ์ต่างๆ จะเกิดจากคำแนะนำ ความประมาท หรือการละเมิดของคุณ ในกรณีนั้น คุณจะเป็นผู้รับผิดชอบค่าใช้จ่ายที่สมเหตุสมผลของ Shoprocket (รวมถึงที่ปรึกษา)

---

ผู้ประมวลผลรอง

Shoprocket ใช้ผู้ประมวลผลรองเหล่านี้ สำหรับการโฮสต์/การประมวลผลข้อมูล บริการโครงสร้างพื้นฐาน/เครือข่าย หรือฟังก์ชันการบริการอื่นๆ:

ชื่อ	คำอธิบาย	ตำแหน่ง
200OK LLC (Profitwell)	การรายงาน/การวิเคราะห์การสมัครสมาชิก	MA, USA
Amazon Web Services EMEA SARL	การโฮสต์คลาวด์ การคอมพิวเตอร์ การจัดเก็บข้อมูล	ลักเซมเบิร์ก, EU
Automattic, Inc. (Gravatar)	อนุญาตให้ผู้ใช้สามารถอัปโหลดภาพโปรไฟล์ไปยังบัญชี Shoprocket	CA, USA
Cloudflare, Inc.	ความปลอดภัยเครือข่ายและการเชื่อมต่อ	CA, USA
Crisp IM SAS	แอปแชทสดและข้อความลูกค้าเพื่อสนับสนุนผู้ใช้	ฝรั่งเศส, EU
Facebook Technologies Ireland	Facebook Pixels สำหรับการแปลง การเพิ่มประสิทธิภาพโฆษณา การสร้างกลุ่มเป้าหมาย	ไอร์แลนด์, EU
Google Ireland Limited	Google Analytics (การวิเคราะห์พฤติกรรม) Adwords (การวางโฆษณา/การสร้างรายได้)	ไอร์แลนด์, EU
GmbH	การโฮสต์คลาวด์ การคอมพิวเตอร์ และการจัดเก็บข้อมูล	เยอรมนี, EU
TPS Unlimited, Inc. (Taxjar)	การทำภาษีอัตโนมัติสำหรับ VAT ของ EU & ภาษีการขายของสหรัฐฯ บนร้านค้า Shoprocket	CA, USA
Twilio, Inc. (Sendgrid)	การส่งข้อความหลายช่องทาง (อีเมล, SMS, WhatsApp)	ไอร์แลนด์, EU
Twitter, Inc.	Twitter Pixel สำหรับการติดตามการแปลงและการวัดผลการโฆษณา	CA, USA

คุณอนุญาตให้ Shoprocket ใช้ผู้ประมวลผลรองด้านบนและให้การอนุญาตทั่วไปสำหรับ Shoprocket ในการเพิ่มคนอื่นๆ ("ผู้ประมวลผลรองที่ได้รับอนุญาต") Shoprocket จะให้การแจ้งล่วงหน้าอย่างน้อย 30 วัน (ผ่านทางเว็บไซต์ อีเมล หรือการแจ้งเตือนบัญชี) ก่อนใช้งานผู้ประมวลผลรองใหม่ คุณอาจคัดค้านภายใน 10 วัน หลังจากที่ได้รับการแจ้งเตือน โดยเป็นลายลักษณ์อักษร เหตุผลด้านการปกป้องข้อมูลอย่างสมเหตุสมผล หากมีผู้ประมวลผลรองที่จำเป็นเกี่ยวข้องและไม่มีทางเลือกพบภายใน 90 วัน คุณอาจหยุดหรือยกเลิกบริการที่เกี่ยวข้อง (ยังคงต้องชำระค่าธรรมเนียมที่เกิดขึ้น)

หากคุณไม่คัดค้านภายใน 10 วัน ผู้ประมวลผลรองใหม่จะถูกถือว่าผ่านการอนุมัติ เมื่อ Shoprocket ใช้ผู้ประมวลผลรอง มัน:

• จำกัดการเข้าถึงเฉพาะสิ่งที่จำเป็นสำหรับการให้หรือปรับปรุงบริการ;

• กำหนดภาระผูกพันการปกป้องข้อมูลเดียวกันกับพวกเขา;

• ยังคงรับผิดชอบต่อการปฏิบัติตามของพวกเขา

หากมี SCCs ใช้ การอนุญาตของคุณถือเป็นความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าตามข้อ 9(c) หรือข้อกำหนดของ UK SCC ที่เกี่ยวข้อง Shoprocket อาจตัดทอนรายละเอียดเชิงพาณิชย์ที่ไม่สำคัญก่อนที่จะแบ่งปันสัญญาการประมวลผลกับคุณ

---

การโอนข้อมูลส่วนบุคคล

Shoprocket อาจโอนข้อมูลส่วนบุคคลออกนอก EEA, สหราชอาณาจักร หรือสวิตเซอร์แลนด์เพื่อให้บริการ (เช่น บางผู้เผยแพร่ Add-On/ผู้ประมวลผลรองในสหรัฐอเมริกา) เมื่อตัดสินใจในความเพียงพอไม่มีผล Shoprocket จะต้องแน่ใจว่ามีการป้องกันที่เหมาะสมตามกฎหมายการปกป้องข้อมูล

• การโอนข้อมูลนอก EEA: คุ้มครองด้วย EU SCCs (โมดูลหนึ่งสำหรับ Shoprocket ในฐานะผู้ควบคุม โมดูลสองสำหรับ Shoprocket ในฐานะผู้ประมวลผล) ข้อกำหนดบางข้อ (เช่น การต่อเชื่อมของมาตรา 7) จะไม่ใช้; ข้อพิพาทอยู่ภายใต้กฎหมาย/ศาลของไอร์แลนด์

• การโอนข้อมูลนอกสหราชอาณาจักร: คุ้มครองด้วย IDTA Addendum

• การโอนจากสวิตเซอร์แลนด์: คล้ายกับ EU SCCs โดยมีกฎการแก้ไขสำหรับ FADP ของสวิตเซอร์แลนด์

• มาตรการเสริม:

  • ไม่มีคำร้องขอการเข้าถึงข้อมูลของรัฐบาลตามกฎหมายอย่างเป็นทางการในวันที่ของ Addendum นี้

  • หากถูกบังคับให้เปิดเผยข้อมูลของคุณ Shoprocket จะจะแจ้งให้คุณทราบ (เว้นแต่จะมีการห้าม) และช่วยคุณค้นหามาตรการป้องกัน

  • Shoprocket และคุณจะปรึกษาหารือกันอย่างสม่ำเสมอว่ากฎหมายในประเทศที่นำเข้ามีการคุ้มครองที่เทียบเท่าหรือมีความจำเป็นต้องมีมาตรการเพิ่มเติม

  • หากมีการหยุดกลไกการโอนใดๆ ที่ไม่ถูกต้องหรือหน่วยงานกำกับดูแลระงับการโอน Shoprocket อาจดำเนินการจัดการทางเลือกหรือต้องหยุดการโอน

เมื่อคุณอนุมัติผู้ประมวลผลรอง/Add-On นอก EEA คุณยังอนุญาตให้ Shoprocket ลงนาม SCC ในนามของคุณ

---

การร้องเรียน คำขอจากบุคคล และสิทธิของบุคคลที่สาม

Shoprocket จะให้ข้อมูลหรือความช่วยเหลือที่คุณต้องการอย่างรวดเร็วเพื่อตอบสนอง:

1. การตอบสนองสิทธิของบุคคล (การเข้าถึง การแก้ไข การลบ การพกพา การคัดค้าน ฯลฯ)

2. การตอบสนองหรือการปฏิบัติตามข้อมูล/การประเมินจากหน่วยงานกำกับดูแล

Shoprocket จะแจ้งให้คุณทราบทันทีหากได้รับการร้องเรียนหรือการสื่อสารเกี่ยวกับการประมวลผล และภายใน 14 วัน หากได้รับคำขอจากบุคคล Shoprocket จะช่วยตอบสนอง และจะไม่เปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่สามเว้นแต่กฎหมายหรือคำสั่งของคุณ

---

ระยะเวลาและการยกเลิก

Addendum นี้ยังคงมีผลบังคับใช้ตราบใดที่ Agreement มีผลอยู่ หรือ Shoprocket เก็บรักษาข้อมูลส่วนบุคคลที่เกี่ยวข้องใด ๆ ข้อกำหนดที่ต้องมีผลอยู่สำหรับการปกป้องข้อมูลยังคงมีผลอยู่ การละเมิดสาระสำคัญของ DPA นี้ถือเป็นการละเมิดสาระสำคัญของ Agreement ซึ่งทำให้คุณมีสิทธิในการยกเลิกทันทีโดยไม่มีความรับผิดชอบเพิ่มเติม

หากมีการเปลี่ยนแปลงเกี่ยวกับกฎหมายการปกป้องข้อมูลที่จะทำให้ฝ่ายใดฝ่ายหนึ่งไม่สามารถปฏิบัติตามข้อผูกพันได้ คู่สัญญาสามารถระงับการประมวลผลจนกว่าการปฏิบัติตามจะเสร็จสิ้น หากไม่ได้รับการแก้ไขภายใน 90 วัน คู่สัญญาใด ๆ สามารถยกเลิกโดยมีผลทันทีเมื่อมีการแจ้งเตือน

---

การส่งคืนและการทำลายข้อมูล

• ตามคำขอ Shoprocket จะให้สำเนาหรือการเข้าถึงข้อมูลส่วนบุคคลแก่คุณ (หรือบุคคลที่สามที่คุณกำหนดเป็นลายลักษณ์อักษร) ในรูปแบบที่คุณกำหนด (หากเป็นไปได้)

• เมื่อสิ้นสุด Shoprocket จะส่งคืนหรือทำลายข้อมูลส่วนบุคคลเว้นแต่การจัดเก็บจะต้องดำเนินต่อไปตามที่กฎหมายต้องการ หากไม่สามารถลบได้หรือเป็นการกระทำที่ผิดกฎหมาย Shoprocket จะปิดกั้นการประมวลผลเพิ่มเติมและยังคงปกป้องข้อมูล

• SCC Certifications: หากมี SCCs Shoprocket จะรับรองการลบตามข้อ 8.1(d) ของ EU SCCs (หรือ UK SCCs) ตามคำขอเป็นลายลักษณ์อักษรของคุณ

• หากมีกฎหมาย/ข้อบังคับใดๆ ที่กำหนดให้ Shoprocket ต้องเก็บข้อมูลบางชนิดไว้ Shoprocket จะแจ้งให้คุณทราบถึงพื้นฐาน ระยะเวลา และจะทำการลบเมื่อไม่จำเป็นต้องเก็บรักษาอีกต่อไป

• Shoprocket จะรับรองการลบภายใน 30 วัน หลังจากที่ทำการลบเสร็จสิ้น

---

บันทึก

Shoprocket จะเก็บบันทึกที่ละเอียด ถูกต้อง และเป็นปัจจุบันของการประมวลผลข้อมูลส่วนบุคคลทั้งหมด (เช่น มาตรการด้านความปลอดภัย ผู้ประมวลผลรอง วัตถุประสงค์ในการประมวลผล การโอนข้อมูลระหว่างประเทศใด ๆ) บันทึกเหล่านี้จะต้องให้คุณสามารถตรวจสอบการปฏิบัติตามของ Shoprocket สำเนาจะถูกนำเสนอเมื่อมีการร้องขอ

---

การรับประกัน

Shoprocket รับประกันว่า:

1. พนักงาน ผู้รับเหมา หรือตัวแทนของตนที่เข้าถึงข้อมูลส่วนบุคคลนั้นเชื่อถือได้ น่าไว้วางใจ และได้รับการฝึกอบรมอย่างเหมาะสม

2. จะประมวลผลข้อมูลส่วนบุคคลอย่างเต็มรูปแบบตามกฎหมายการปกป้องข้อมูลและกฎหมายที่เกี่ยวข้อง

3. ไม่มีเหตุผลที่จะเชื่อว่ากฎหมายจะห้ามการให้บริการที่ตกลงกันไว้

4. พิจารณาจากเทคโนโลยีและค่าใช้จ่าย จะดำเนินมาตรการที่เหมาะสมเพื่อป้องกันการประมวลผลที่ไม่ได้รับอนุญาตหรือความเสียหาย/การสูญหายโดยบังเอิญ โดยให้แน่ใจว่ามีความปลอดภัยที่สอดคล้องกับความเสี่ยงและความไวของข้อมูล

---

การดำเนินการและการปรับปรุง

โดยการลงนามใน Agreement คุณยอมรับและผูกพันตาม Addendum นี้ Shoprocket อาจปรับปรุง Addendum นี้โดยให้ 30 วัน แจ้งเป็นลายลักษณ์อักษรหากจำเป็นสำหรับเหตุผลทางกฎหมายหรือกฎระเบียบ หากคุณคัดค้านและไม่ได้รับการแก้ไขร่วมกัน คุณอาจยกเลิกบริการที่เกี่ยวข้องโดยการแจ้งเป็นลายลักษณ์ภายในระยะเวลานั้น (โดยต้องชำระค่าธรรมเนียมที่เกิดขึ้น) จะไม่มีการเรียกร้องเพิ่มเติมเกิดจากการยกเลิกดังกล่าว

ภาคผนวก A

มาตรฐานความปลอดภัยของ Shoprocket

(คำที่มีอักษรใหญ่ที่ไม่ได้กำหนดที่นี่จะมีความหมายตามที่กำหนดใน Addendum)

ภาคผนวกนี้จะให้รายละเอียดเกี่ยวกับมาตรการทางเทคนิคและองค์กรของ Shoprocket เพื่อ:

1. ป้องกันข้อมูลส่วนบุคคลจากการสูญหายโดยบังเอิญหรือการเปิดเผยที่ไม่ถูกต้องตามกฎหมาย;

2. ระบุความเสี่ยงที่คาดว่าอาจเกิดขึ้นต่อความปลอดภัยและป้องกันการเข้าถึงที่ไม่ได้รับอนุญาตต่อบริการ (รวมถึงบัญชี Shoprocket ของคุณ);

3. ลดความเสี่ยงด้านความปลอดภัยผ่านการประเมินความเสี่ยงและการทดสอบ

Shoprocket แต่งตั้งพนักงานหนึ่งคนหรือมากกว่านั้นให้ดูแลแนวปฏิบัติด้านความปลอดภัยของข้อมูลนี้และตอบสนองต่อการสอบถามที่เกี่ยวข้อง

---

1. โมเดลความรับผิดชอบร่วม

Shoprocket เป็นแอปพลิเคชัน บนคลาวด์ SaaS ที่โฮสต์โดย:

• Amazon Web Services (AWS) ในภูมิภาค eu-west-1 (ไอร์แลนด์)

• Hetzner Online ใน Falkenstein, เยอรมนี

AWS เป็นผู้ดำเนินแพลตฟอร์มหลักของ Shoprocket โครงสร้างพื้นฐาน และการโฮสต์ข้อมูล Hetzner Online ให้พื้นที่เซิร์ฟเวอร์ที่ทุ่มเทเพิ่มเติมสำหรับภาพถ่าย การดาวน์โหลดดิจิทัล บันทึก และใบแจ้งหนี้ ตามโมเดลนี้:

• Shoprocket จัดการความปลอดภัยในระดับแอปพลิเคชัน (เช่น การเข้าถึงผู้ใช้ แพตช์แอปพลิเคชัน)

• AWS / Hetzner จัดการความปลอดภัยทางกายภาพและสภาพแวดล้อมคลาวด์พื้นฐาน

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยของ AWS และ Hetzner กรุณาดูเอกสารของพวกเขา

---

2. เซิร์ฟเวอร์ AWS และ Hetzner Online

AWS

Shoprocket ได้เลือก AWS หลังจากการตรวจสอบอย่างระมัดระวังตามมาตรา 28(3)(c) และ 32 ของ UK GDPR AWS ได้รับการรับรองตามมาตรฐานต่างๆ (เช่น SOC 1/2/3, ISO 27001/27017/27018, PCI DSS, FedRAMP, HITRUST) และให้เอกสารเกี่ยวกับการปฏิบัติตามที่กว้างขวาง Shoprocket ตั้งค่า AWS เพื่อจัดเก็บข้อมูลส่วนบุคคลใน EU/EEA เท่านั้น

Hetzner Online

Hetzner Online ซึ่งได้รับการรับรองภายใต้ DIN ISO/IEC 27001 ให้พื้นที่เซิร์ฟเวอร์ที่ทุ่มเทสำหรับการสำรองข้อมูลและบันทึกบางอย่าง ศูนย์ข้อมูลของ Hetzner Online ใน Nuremberg และ Falkenstein ได้รับการตรวจสอบและรับรองโดยหน่วยงานบุคคลที่สามที่ใช้ระบบการจัดการความปลอดภัยของข้อมูล (ISMS)

---

3. การออกแบบ ความสมบูรณ์ และความพร้อมของแอปพลิเคชัน Shoprocket

• โครงสร้าง: สร้างด้วยเฟรมเวิร์ก JavaScript แอปพลิเคชัน Shoprocket พึ่งพา Amazon's Relational Database Service (Amazon RDS) สำหรับ MySQL

• ประสิทธิภาพสูงและการป้องกันตัวสำรอง: AWS จะจัดการการกระจายน้ำหนักโดยอัตโนมัติ และ Shoprocket จะรักษาสำรองข้อมูลประจำวันที่ Amazon S3 ข้อมูลสำรองจะถูกจัดเก็บในภูมิภาค AWS ที่แตกต่างกันเพื่อความยืดหยุ่น นอกจากนี้ ข้อมูลสำรองยังถูกจัดเก็บในเซิร์ฟเวอร์ที่ทุ่มเทของ Hetzner Online (พร้อมระบบ RAID-1)

• ความปลอดภัยโดยการออกแบบ: Shoprocket จะตรวจสอบหาช่องโหว่ด้านเว็บที่เป็นที่รู้จักอย่างสม่ำเสมอ (เช่น OWASP Top Ten) และดำเนินการป้องกัน XSS และการทำความสะอาด โค้ดและโครงสร้างพื้นฐานถูกทดสอบโดยบุคคลที่สามทุกปีเพื่อหาช่องโหว่ ซึ่งเพิ่มเติมโดยบริการสแกนความเสี่ยงของบุคคลที่สาม

---

4. การเข้ารหัส

• ในการเก็บรักษา: ข้อมูลส่วนบุคคลบน AWS/Hetzner ถูกเข้ารหัสด้วย AES-256 หรือสูงกว่า

• การจัดการกุญแจ: AWS Key Management Service (KMS) รับประกันว่าไม่มีผู้ใด (รวมถึงพนักงาน AWS) สามารถเข้าถึงกุญแจในรูปแบบข้อความธรรมดาได้; กุญแจจะเปลี่ยนทุกปี Hetzner ร่วมกันติดตั้งการเข้ารหัส AES-256 แบบเต็มดิสก์พร้อมการรับรองที่บังคับ

• ระหว่างการส่ง: การโอนข้อมูลภายนอกใช้ TLS 1.2+ การเข้าถึง API และส่วนติดต่อเว็บต้องการ HTTPS (ไม่มีการเชื่อมต่อที่ไม่เข้ารหัส)

---

5. การจำกัดสถานที่เซิร์ฟเวอร์ใน EEA/EU

Shoprocket จะเก็บข้อมูล เฉพาะใน EEA (AWS ในไอร์แลนด์, Hetzner ในเยอรมนี) เพื่อลดความเสี่ยงที่เกี่ยวข้องกับการโอนข้อมูลนอก EEA (เช่น การปฏิบัติตามคำตัดสินของ Schrems II)

---

6. โซนความพร้อมใช้งาน

ระบบส่วนหน้าหลังของ Shoprocket มีการกระจาย การป้องกันตัวสำรอง ไปยังหลายโซนความพร้อมใช้งาน (ทั้ง AWS และ Hetzner) โซนแต่ละแห่งมีผู้ให้บริการหลายราย แหล่งพลังงาน และลิงค์ความเร็วสูง เพื่อความพร้อมใช้งานสูงและประสิทธิภาพที่ดีที่สุด

---

7. การตรวจจับการบุกรุก

Shoprocket ใช้ ระบบตรวจจับการบุกรุก (IDS) เพื่อตรวจสอบ:

• ไฟล์บันทึกสำหรับการเข้ามาที่ไม่ปกติ

• การเปลี่ยนแปลงความสมบูรณ์ของไฟล์

• การรับส่งข้อมูลเครือข่าย (การปลอมแปลง ช่องโหว่ที่รู้จัก rootkits)

• การเปลี่ยนพอร์ต และ

• เหตุการณ์ในบัญชี AWS (เช่น การเปลี่ยนแปลงการกำหนดค่า)

ความผิดปกติที่สำคัญจะกระตุ้นมาตรการป้องกันโดยอัตโนมัติ IDS ยังช่วยสนับสนุนข้อกำหนด PCI DSS 3.0

---

8. การบันทึก/เส้นทางการตรวจสอบ

Shoprocket บันทึก:

• เหตุการณ์ระบบ

• ข้อผิดพลาด

• กิจกรรมของผู้ใช้

• การเข้าสู่ระบบ/การร้องขอในฐานข้อมูล

• เหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยอื่น ๆ

โดยใช้ AWS CloudTrail Shoprocket จะบันทึกเหตุการณ์ทั้งหมดในสภาพแวดล้อมคลาวด์ของตนเพื่อความโปร่งใสและการตรวจสอบ

---

9. การตรวจสอบ

Shoprocket ใช้ เครื่องมือการตรวจสอบหลายอย่าง เพื่อให้แน่ใจว่ามีความพร้อมใช้งานและประสิทธิภาพ ติดตาม:

• ความพร้อมใช้งาน: การเข้าถึงแอปพลิเคชั่น สุขภาพระบบ/ระบบ;

• ทรัพยากร: CPU, อินเตอร์เฟสเครือข่าย, การใช้พื้นที่เก็บข้อมูล;

• ประสิทธิภาพ: เวลาตอบสนองแอปพลิเคชัน/ฐานข้อมูล;

• ความปลอดภัย: สถานะ IDS, การอัปเดตระบบ, บันทึกข้อผิดพลาด/การเข้าถึง

พนักงานของ Shoprocket ยังจะติดตามการอัปเดตด้านความปลอดภัย รายงานช่องโหว่ และบล็อกด้านความปลอดภัยที่เกี่ยวข้อง (เช่น OWASP)

---

10. การตรวจสอบความปลอดภัยและการทดสอบการเจาะเข้าของระบบ

Shoprocket จะดำเนินการ การทดสอบความปลอดภัยภายในและภายนอก เป็นระยะ ๆ ผู้ให้บริการภายนอกตรวจสอบหาช่องโหว่ ขณะที่การตรวจสอบภายในจะประเมินมาตรการทางเทคนิคและองค์กรเพื่อประสิทธิภาพ

---

11. การจัดการการเปลี่ยนแปลง

Shoprocket รักษา คลังสินค้าที่มีการควบคุมเวอร์ชัน สำหรับการเปลี่ยนแปลงในโค้ด ประกอบด้วยสภาพแวดล้อมการทดสอบที่สะท้อนการผลิต การเปลี่ยนแปลงจะต้องได้รับการทดสอบก่อนการนำไปใช้ เพื่อให้ง่ายต่อการติดตามเวลา/เนื้อหา

---

12. การควบคุมการเข้าถึง

• หลักการต้องรู้: เฉพาะพนักงานที่มีบทบาทที่ต้องเข้าถึงระบบเท่านั้นที่ได้รับการเข้าถึง

• ระบบ IAM: การควบคุมการเข้าถึงใช้การจัดการตัวตน AWS/Hetzner

• ความปลอดภัย: ระบบที่อยู่เบื้องหลังสามารถเข้าถึงได้ผ่านการเชื่อมต่อที่ปลอดภัยและได้รับการรับรองเท่านั้น โดยมีบุคคลที่จำกัดน้อยมากที่มีการเข้าถึงตรงไปยังข้อมูลเพื่อวัตถุประสงค์ในการวินิจฉัย การเข้าถึงดังกล่าวจะถูกบันทึกและตรวจสอบ

ภาคผนวก B

การโอนข้อมูลข้ามพรมแดน

ส่วนที่ 1 - การโอนข้อมูลนอก EEA

1. ภาคผนวก I.A ของข้อกำหนดตามสัญญามาตรฐาน (SCCs)

   • ผู้ส่งออกข้อมูล: คุณ (ตามที่ระบุใน Agreement)

     • รายละเอียดการติดต่อ: ตามที่ระบุใน Agreement

     • บทบาท: Data Controller

     • โมดูลหนึ่ง: ผู้นำเข้าข้อมูลเป็น Data Controller (สำหรับข้อมูลบัญชีลูกค้าและข้อมูลการใช้งานของลูกค้า)

     • โมดูลสอง: ผู้นำเข้าข้อมูลเป็น Data Processor (สำหรับข้อมูลส่วนบุคคลอื่นๆ)

     • ลายเซ็น/วันที่: โดยการทำสัญญา Agreement & DPA จะถือว่า ผู้ส่งออกข้อมูลได้ลงนามใน SCCs ตั้งแต่วันที่มีผล

   • ผู้นำเข้าข้อมูล: Shoprocket

     • รายละเอียดการติดต่อ: ตามที่ระบุใน Agreement

     • ลายเซ็น/วันที่: โดยการทำสัญญา Agreement & DPA จะถือว่า ผู้นำเข้าข้อมูลได้ลงนามใน SCCs ตั้งแต่วันที่มีผล

2. ภาคผนวก I.B ของ SCCs

   • บุคคลที่เกี่ยวข้อง: ได้รับการอธิบายใน Addendum ข้อ 4.6

   • หมวดหมู่ข้อมูลส่วนบุคคล: ได้รับการอธิบายใน Addendum ข้อ 4.5

   • ไม่มีข้อมูลหมวดพิเศษที่ตั้งใจให้โอน

   • ความถี่: เป็นประจำตลอดระยะเวลาใน Agreement

   • ลักษณะ: ดู Addendum ข้อ 4.4

   • วัตถุประสงค์: ดู Addendum ข้อ 4.3

   • ระยะเวลา: ระยะเวลาของ Agreement เว้นแต่จะระบุไว้เป็นอย่างอื่น

   • การโอนของผู้ประมวลผลรอง: เรื่องที่เกี่ยวข้อง, ลักษณะ, และระยะเวลาเป็นไปตาม Addendum ข้อ 9

3. ภาคผนวก I.C ของ SCCs

   • หน่วยงานกำกับดูแลที่มีอำนาจ: ตามข้อ 10(e) ของ Addendum

   • มาตรฐานความปลอดภัยของ Shoprocket (ภาคผนวก A) จะเป็นไปตามข้อกำหนดของภาคผนวก II SCC

4. ความขัดแย้ง

   • หากมีความขัดแย้งระหว่าง SCCs และ DPA หรือ Agreement จะต้องยึด SCCs เป็นหลัก

---

ส่วนที่ 2 - การโอนข้อมูลนอกสหราชอาณาจักร

1. IDTA Addendum มีผลบังคับใช้สำหรับการโอนข้อมูลนอกสหราชอาณาจักร โดยมีผลตั้งแต่ 21 มีนาคม 2022

2. ข้อกำหนดที่ไม่ได้กำหนดใน Agreement หรือ DPA จะมีความหมายตามที่กำหนดใน ส่วนที่ 2 ของภาคผนวก 2 (ข้อกำหนดบังคับ)

ส่วนที่ 1: ตาราง

ตาราง 1 ของ IDTA Addendum

1. ตาราง 1

   • ผู้ส่งออกข้อมูล: คุณ (ตามที่ระบุใน Agreement)

     • รายละเอียดการติดต่อ: ตามที่ระบุใน Agreement

     • ลายเซ็น/วันที่: โดยการทำสัญญา Agreement & Addendum จะถือว่า ผู้ส่งออกข้อมูลได้ลงนามใน IDTA Addendum ตั้งแต่วันที่มีผล

   • ผู้นำเข้าข้อมูล: Shoprocket

     • รายละเอียดการติดต่อ: ตามที่ระบุใน Agreement

     • ลายเซ็น/วันที่: โดยการทำสัญญา Agreement & DPA จะถือว่า ผู้นำเข้าข้อมูลได้ลงนามใน IDTA Addendum ตั้งแต่วันที่มีผล

ตารางที่ 2 ของ IDTA Addendum

1. ตารางที่ 2

   • มาตรฐาน SCCs ที่ได้รับอนุมัติจาก UE: ข้อกำหนด/โมดูลจาก SCCs ที่ได้รับอนุมัติโดยมีผลสำหรับ Addendum นี้

   • โมดูล/ข้อกำหนดที่ใช้:

     • โมดูล 1 และโมดูล 2, ข้อ 7 และข้อ 11 (ตัวเลือก) ไม่ใช้ ข้อ 9a เป็นการอนุญาตทั่วไปที่มีระยะเวลาการแจ้งเตือน 30 วัน (ข้อ 9.2 ของภาคผนวก)

     • ไม่มีการรวมข้อมูลส่วนบุคคลจากผู้นำเข้ากับข้อมูลจากผู้ส่งออก

ตาราง 3 ของ IDTA Addendum

1. ภาคผนวก I.A

   • ผู้ส่งออกข้อมูล: คุณ (ผู้ควบคุม)

   • ผู้นำเข้าข้อมูล: Shoprocket (ผู้ควบคุมสำหรับข้อมูลบัญชีลูกค้า/ข้อมูลการใช้งาน; ผู้ประมวลผลสำหรับข้อมูลส่วนบุคคลอื่นๆ)

   • ลายเซ็น/วันที่: จะถือว่าลงนามเมื่อเข้าสู่ Agreement & DPA

2. ภาคผนวก I.B

   • บุคคลที่เกี่ยวข้อง หมวดหมู่ข้อมูล ความขาดแคลนข้อมูลหมวดพิเศษ การโอนต่อเนื่อง ลักษณะ/วัตถุประสงค์ของการประมวลผล และการเก็บรักษา จะตรงกับข้อ 4.4, 4.3, 4.5, 4.6 ของ Addendum

   • ข้อมูลเกี่ยวกับผู้ประมวลผลรองตามข้อ 9 ของ Addendum

   • ภาคผนวก III (รายชื่อผู้ประมวลผลรอง) จะไม่มีผล เนื่องจาก Shoprocket ใช้การอนุญาตทั่วไป

ตาราง 4 ของ IDTA Addendum

1. ผู้นำเข้าข้อมูลสามารถยุติ IDTA Addendum นี้ตามข้อ 26 ของ IDTA Addendum นี้

ส่วนที่ 2: ข้อกำหนดบังคับ

1. แต่ละฝ่ายมีข้อผูกพันตามข้อกำหนดของ IDTA Addendum นี้ เพื่อแลกกับความเห็นชอบของอีกฝ่าย ซึ่งทำให้บุคคลสามารถบังคับใช้สิทธิอย่างที่ระบุไว้

2. การเข้าสู่ IDTA Addendum นี้จะถือว่าลงนามใน SCCs ที่ได้รับอนุมัติจาก UE (รวมถึงลายเซ็นที่จำเป็นตามภาคผนวก 1A/ข้อ 7)

การตีความ

1. ข้อกำหนดจาก SCCs ที่ได้รับอนุมัติจาก UE จะต้องมีความหมายเดียวกันที่นี่; ข้อกำหนดเพิ่มเติมที่เกี่ยวข้อง (เช่น "Addendum EU SCCs", "Addendum ที่ได้รับอนุมัติ", "กฎหมายการปกป้องข้อมูลของสหราชอาณาจักร") จะปรากฏใน IDTA Addendum นี้

2. IDTA Addendum นี้ต้องได้รับการตีความอย่างสอดคล้องกับกฎหมายการปกป้องข้อมูลของสหราชอาณาจักรและต้องตรงตามข้อกำหนดด้านความปลอดภัยที่เหมาะสม

3. การแก้ไขใด ๆ ต่อตาม SCCs ที่ได้รับอนุมัติซึ่งไม่ได้รับอนุญาตตามที่ระบุไว้หรือแก้ไขโดย Addendum ที่ได้รับอนุมัติถือเป็นโมฆะ ข้อกำหนดที่ขัดแย้งจะถูกปรับเป็นข้อกำหนด SCC ที่ไม่ได้แก้ไข

4. หากมีความขัดแย้งกับกฎหมายการปกป้องข้อมูลของสหราชอาณาจักร ข้อหลังจะมีผลบังคับใช้

5. ข้อกำหนดใดๆ ที่ไม่ชัดเจนจะต้องแก้ไขเพื่อทำให้สอดคล้องมากที่สุดกับกฎหมายการปกป้องข้อมูลของสหราชอาณาจักร

6. การอ้างอิงถึงกฎหมายนั้นรวมถึงเวอร์ชันที่ได้มีการปรับปรุงหรือรวม

ลำดับขั้น

1. ข้อ 5 ของ SCCs ที่ได้รับอนุมัติจาก UE ระบุว่าต้องมีอำนาจเหนือกว่าสัญญาอื่น ๆ แต่สำหรับการโอนที่จำกัด จะมีลำดับขั้นตามที่ระบุในมาตรา 17 ด้านล่าง

2. หากไม่ตรงกันหรือมีความขัดแย้งกับ SCC ที่ได้รับอนุมัติ SCC ที่ได้รับอนุมัติจะมีผลเหนือกว่า เว้นแต่ SCC จะให้ "การป้องกันที่มากกว่า" ต่อบุคคล ในกรณีนั้น ข้อกำหนดของ SCC จะมีผลใช้

3. ไม่มีอะไรที่นี่ส่งผลกระทบต่อ SCC ที่ฝ่ายต่าง ๆ ใช้สำหรับการปฏิบัติตาม GDPR ของ EU

การรวมและการเปลี่ยนแปลงใน SCC ที่ได้รับอนุมัติจาก EU

1. IDTA Addendum จะรวม SCC ที่ได้รับอนุมัติด้วยการปรับแก้บางประการ เพื่อให้ทำงานได้สำหรับการโอนที่เกี่ยวข้องกับสหราชอาณาจักร เอาชนะแนวทางในข้อ 5 ของลำดับแนวทาง และต้องอยู่ภายใต้ กฎหมาย/ศาลภาษาอังกฤษ (เว้นแต่จะเลือกต่างกันสำหรับสกอตแลนด์หรือไอร์แลนด์เหนือ)

2. หากไม่มีทางเลือกเฉพาะที่ถูกตกลงกันไว้ มาตรา 22 จะมีผล

3. ไม่อนุญาตให้มีการปรับแก้เพิ่มเติมสำหรับ SCCs ที่ได้รับอนุมัติจาก EU นอกเหนือจากที่จำเป็นในมาตรา 19

4. การปรับปรุง SCC ที่ได้รับอนุมัติจาก Addendum EU จะรวมถึงการชี้แจงเกี่ยวกับการอ้างอิงถึงกฎหมายการปกป้องข้อมูลของสหราชอาณาจักร เปลี่ยนแปลงการอ้างอิงถึงระเบียบ (EU) 2016/679 เป็น "กฎหมายการปกป้องข้อมูลของสหราชอาณาจักร" การลบการอ้างอิงถึงระเบียบ (EU) 2018/1725 ปรับปรุงข้อ 17/18 ให้เข้ากับกฎหมาย/ศาลอังกฤษ ฯลฯ หมายเหตุท้ายไม่ถือเป็นส่วนหนึ่งของ IDTA ยกเว้นหมายเหตุท้ายที่ 8, 9, 10, 11

การปรับเปลี่ยน IDTA นี้

1. ฝ่ายต่าง ๆ สามารถเปลี่ยนข้อ 17 หรือ 18 ให้เกี่ยวข้องกับศาลในสกอตแลนด์หรือไอร์แลนด์เหนือ

2. ฝ่ายต่าง ๆ ยังสามารถปรับแต่งรูปแบบตารางซึ่งได้รับความเห็นชอบจากการเขียนร่วมกัน โดยรับรองว่าระดับการป้องกันเดิมยังคงอยู่

3. ICO สามารถออก Addendum ที่ได้รับอนุมัติใหม่จากเวลาเป็นเวลา ซึ่งจะปรับ IDTA Addendum นี้โดยอัตโนมัติจากวันที่มีผล ซึ่งอาจต้องการการตรวจสอบจากฝ่ายต่าง ๆ

4. หากการเปลี่ยนแปลงจาก ICO ทำให้ค่าใช้จ่ายหรือความเสี่ยงของฝ่ายหนึ่งฝ่ายใดเพิ่มขึ้นอย่างมีนัยสำคัญและไม่สมดุล และไม่มีการลดระดับค่าใช้จ่าย/ความเสี่ยงนั้นได้ ฝ่ายนั้นอาจสิ้นสุด IDTA โดยการแจ้งไปยังอีกฝ่าย ซึ่งก่อนที่จะมีกำหนดการปรับ Addendum ใหม่

5. ไม่จำเป็นต้องได้รับความยินยอมจากบุคคลที่สามสำหรับการเปลี่ยนแปลง แต่การปรับจะต้องสอดคล้องกับข้อกำหนดของ IDTA Addendum นี้