ระบบทั้งหมดทำงานปกติ
SOC 2
ได้รับการรับรอง
GDPR
สอดคล้องตามข้อกำหนด
ทรัพยากร
ข้อตกลงการประมวลผลข้อมูลของ Botpress (DPA)
DPA นี้เป็นเอกสารเพิ่มเติมและถือเป็นส่วนหนึ่งของข้อตกลงระหว่างหน่วยงานในกลุ่ม Botpress ที่ระบุไว้ในข้อกำหนดการให้บริการกับลูกค้า DPA นี้มีผลบังคับใช้เมื่อถูกอ้างอิงรวมเข้าเป็นส่วนหนึ่งของข้อตกลงดังกล่าว
1. คำนิยาม
1.a คำที่ใช้ตัวพิมพ์ใหญ่แต่ไม่ได้ให้คำนิยามไว้ในที่นี้ ให้ใช้ความหมายตามที่ระบุไว้ในข้อตกลง
1.b ใน DPA นี้:
(a) “ข้อตกลง” หมายถึงความหมายของคำนี้ตามที่ระบุไว้ในข้อกำหนดการให้บริการ
(b) “กลุ่ม Botpress” หมายถึง Botpress และบริษัทในเครือทั้งหมด
(c) “ข้อมูลส่วนบุคคลของแคลิฟอร์เนีย” หมายถึงข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ CCPA
(d) “กฎหมายคุ้มครองข้อมูลของแคนาดา” หมายถึง Personal Information Protection and Electronic Documents Act, SC 2000, c 5 และกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในภาคเอกชน CQLR c P-39.1 ซึ่งอาจมีการแก้ไข แทนที่ หรือเปลี่ยนแปลง
(e) “CCPA” หมายถึง California Civil Code Sec. 1798.100 et seq. (หรือที่รู้จักในชื่อ California Consumer Privacy Act of 2018)
(f) “ผู้บริโภค”, “ธุรกิจ”, “ขาย” และ “ผู้ให้บริการ” ให้ใช้ความหมายตามที่กำหนดไว้ใน CCPA
(g) “ผู้ควบคุมข้อมูล” หมายถึงบุคคลใด ๆ ที่กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล ไม่ว่าจะโดยลำพังหรือร่วมกับผู้อื่น
(h) “กฎหมายคุ้มครองข้อมูล” หมายถึงกฎหมายเกี่ยวกับการคุ้มครองข้อมูลและความเป็นส่วนตัวที่ใช้บังคับทั่วโลกซึ่งใช้กับคู่สัญญาใน DPA นี้ รวมถึงแต่ไม่จำกัดเพียง กฎหมายคุ้มครองข้อมูลของยุโรป กฎหมายคุ้มครองข้อมูลของแคนาดา และ CCPA ซึ่งอาจมีการแก้ไข ยกเลิก หรือแทนที่เป็นครั้งคราว
(i) “เจ้าของข้อมูล” หมายถึงบุคคลที่ข้อมูลส่วนบุคคลนั้นเกี่ยวข้องด้วย
(j) “ยุโรป” หมายถึง สหภาพยุโรป พื้นที่เศรษฐกิจยุโรป และ/หรือประเทศสมาชิก สวิตเซอร์แลนด์ และสหราชอาณาจักร
(k) “กฎหมายคุ้มครองข้อมูลของยุโรป” หมายถึงกฎหมายคุ้มครองข้อมูลที่ใช้บังคับในยุโรป ซึ่งอาจมีการแก้ไข แทนที่ หรือเปลี่ยนแปลง
(l) “ข้อมูลของยุโรป” หมายถึงข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของกฎหมายคุ้มครองข้อมูลของยุโรป
(m) “บริษัทในเครือที่ได้รับอนุญาต” หมายถึงบริษัทในเครือลูกค้าทุกแห่งที่ (i) ได้รับอนุญาตให้ใช้บริการซอฟต์แวร์ตามข้อตกลง (ii) มีคุณสมบัติเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่ Botpress ประมวลผล และ (iii) อยู่ภายใต้กฎหมายคุ้มครองข้อมูลของยุโรป
(n) “บุคคล” ให้ตีความอย่างกว้าง หมายถึงบุคคลธรรมดา นิติบุคคล บริษัทจำกัด บริษัทห้างหุ้นส่วน สมาคม ทรัสต์ มรดก กิจการร่วมค้า หน่วยงานของรัฐ หรือองค์กรอื่นใด
(o) “ข้อมูลส่วนบุคคล” หมายถึงข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลที่สามารถระบุตัวตนได้หรือที่ถูกระบุแล้ว
(p) “การประมวลผล” หรือ “ประมวลผล” หมายถึงการดำเนินการหรือชุดของการดำเนินการใด ๆ ที่ดำเนินการโดยผู้ประมวลผลต่อข้อมูลส่วนบุคคล ไม่ว่าจะโดยอัตโนมัติหรือไม่ก็ตาม
(q) “ผู้ประมวลผลข้อมูล” หมายถึงบุคคลที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุมข้อมูล
(r) “หน่วยงานกำกับดูแล” หมายถึงบุคคลหรือหน่วยงานบังคับใช้กฎหมายหรือหน่วยงานอื่นใดที่มีอำนาจกำกับดูแลหรือควบคุม (ไม่ว่าจะตามกฎหมายหรือไม่ก็ตาม) เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการให้หรือรับบริการ รวมถึงแต่ไม่จำกัดเพียงหน่วยงานกำกับดูแลการคุ้มครองข้อมูลของยุโรป
(s) “เหตุการณ์ละเมิดความปลอดภัย” หมายถึงการละเมิดความปลอดภัยที่นำไปสู่การทำลาย สูญหาย เปลี่ยนแปลง เปิดเผย หรือเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้ตั้งใจหรือโดยมิชอบตามกฎหมาย ซึ่งข้อมูลดังกล่าวถูกส่ง เก็บ หรือประมวลผลโดย Botpress และ/หรือผู้ประมวลผลย่อยที่เกี่ยวข้องกับการให้บริการ โดยไม่รวมเหตุการณ์ที่ไม่กระทบต่อความปลอดภัยของข้อมูลส่วนบุคคล เช่น การเข้าสู่ระบบที่ไม่สำเร็จ การ ping การสแกนพอร์ต การโจมตีแบบปฏิเสธการให้บริการ และการโจมตีเครือข่ายอื่น ๆ ต่อไฟร์วอลล์หรือระบบเครือข่าย
(t) “บริการ” หมายถึงบริการซอฟต์แวร์หรือบริการระดับมืออาชีพที่บริษัทในกลุ่ม Botpress ใด ๆ ให้แก่ลูกค้าหรือบริษัทในเครือของลูกค้า
(u) “ข้อสัญญามาตรฐาน” หมายถึงข้อสัญญามาตรฐานที่แนบท้ายกับคำตัดสินของคณะกรรมาธิการยุโรป (EU) 2021/914 ลงวันที่ 4 มิถุนายน 2021 ซึ่งอาจมีการแก้ไข แทนที่ หรือเปลี่ยนแปลง
(v) “ผู้ประมวลผลย่อย” หมายถึงผู้ประมวลผลข้อมูลใด ๆ ที่ Botpress หรือบริษัทในเครือ Botpress ว่าจ้างเพื่อช่วยปฏิบัติตามภาระผูกพันของ Botpress ในการให้บริการตามข้อตกลง ผู้ประมวลผลย่อยอาจเป็นบุคคลที่สามหรือบริษัทในเครือ Botpress แต่ไม่รวมถึงบุคคลที่เป็นพนักงานหรือผู้ที่ Botpress จ้างโดยตรง
(w) “ประเทศที่สาม” หมายถึงเขตอำนาจศาลหรือผู้รับข้อมูลที่ (i) ไม่ได้รับการรับรองจากคณะกรรมาธิการยุโรปว่ามีการคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอ และ (ii) ไม่อยู่ภายใต้กรอบการคุ้มครองที่ได้รับการยอมรับจากหน่วยงานหรือศาลที่เกี่ยวข้องว่ามีการคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอ
(x) “ข้อมูลการใช้งาน” หมายถึงข้อมูลที่เกี่ยวข้องกับการใช้งานซอฟต์แวร์ของผู้ใช้ที่ได้รับอนุญาต ซึ่งอาจมีข้อมูลส่วนบุคคลหากจำเป็นต้องระบุผู้ใช้แต่ละราย แต่ไม่รวมข้อมูลการสนทนา ข้อมูลการใช้งานอาจรวมถึงข้อมูลส่วนบุคคลของพนักงานและผู้รับจ้างของลูกค้า แต่ไม่รวมถึงผู้ใช้ปลายทางที่โต้ตอบกับบอทของลูกค้า
2. บทบาทของคู่สัญญา
2.a ในการประมวลผลข้อมูลการสนทนาผ่านบริการ ทั้งสองฝ่ายรับทราบและตกลงว่าลูกค้าเป็นผู้ควบคุมข้อมูล และ Botpress เป็นผู้ประมวลผลข้อมูล
2.b หากลูกค้าทำหน้าที่เป็นผู้ประมวลผลข้อมูลในนามของผู้ควบคุมข้อมูล Botpress จะถือเป็นผู้ประมวลผลย่อยของลูกค้า
2.c Botpress จะเป็นผู้ควบคุมข้อมูลสำหรับข้อมูลการใช้งาน
3. การปฏิบัติตามกฎหมายคุ้มครองข้อมูล
3.a แต่ละฝ่ายจะดำเนินการประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องทั้งหมด
3.b Botpress ไม่รับผิดชอบต่อการปฏิบัติตามกฎหมายคุ้มครองข้อมูลใด ๆ ที่ใช้กับลูกค้าหรืออุตสาหกรรมของลูกค้า ซึ่งไม่ได้ใช้กับ Botpress โดยทั่วไปหรือไม่ได้บังคับใช้กับ Botpress
3.c หาก Botpress ทราบว่าไม่สามารถประมวลผลข้อมูลส่วนบุคคลตามคำแนะนำของลูกค้าได้เนื่องจากข้อกำหนดทางกฎหมายใด ๆ Botpress จะ (i) แจ้งให้ลูกค้าทราบโดยเร็วที่สุดเท่าที่กฎหมายอนุญาต และ (ii) หากจำเป็น จะหยุดการประมวลผลทั้งหมด (ยกเว้นการจัดเก็บและรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ) จนกว่าลูกค้าจะออกคำแนะนำใหม่ที่สอดคล้องกับกฎหมาย หากมีการใช้ข้อกำหนดนี้ Botpress จะไม่รับผิดชอบต่อลูกค้าตามข้อตกลงสำหรับความล้มเหลวในการให้บริการซอฟต์แวร์หรือบริการระดับมืออาชีพที่เกี่ยวข้อง จนกว่า Botpress จะพิจารณาโดยสมเหตุสมผลว่าคำแนะนำของลูกค้าถูกต้องตามกฎหมาย
4. ข้อผูกพันของ Botpress
4.a Botpress จะประมวลผลข้อมูลส่วนบุคคลเฉพาะเพื่อวัตถุประสงค์ที่ระบุไว้ใน DPA นี้ หรือภายใต้ขอบเขตของคำแนะนำที่ถูกต้องตามกฎหมายจากลูกค้า เว้นแต่กฎหมายที่เกี่ยวข้องจะกำหนดเป็นอย่างอื่น
4.b Botpress จะดำเนินการและรักษามาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลจากเหตุการณ์ด้านความปลอดภัย รวมถึงตามที่อธิบายไว้ในภาคผนวก 2 ของ DPA นี้ (“มาตรการความปลอดภัย”) Botpress อาจปรับเปลี่ยนหรืออัปเดตมาตรการความปลอดภัยได้ตามดุลยพินิจ โดยต้องไม่ทำให้การคุ้มครองข้อมูลลดลงอย่างมีนัยสำคัญ
4.c Botpress จะถือว่าข้อมูลส่วนบุคคลเป็นข้อมูลลับของลูกค้า และจะรับรองว่าพนักงานหรือผู้รับจ้างที่ได้รับอนุญาตให้เข้าถึงหรือประมวลผลข้อมูลส่วนบุคคลต้องอยู่ภายใต้ข้อผูกพันด้านความลับที่เหมาะสม (ไม่ว่าจะตามสัญญาหรือกฎหมาย) สำหรับข้อมูลส่วนบุคคลนั้น
4.d Botpress จะลบหรือส่งคืนข้อมูลส่วนบุคคลทั้งหมดที่ประมวลผลตาม DPA นี้ เมื่อสัญญาสิ้นสุดหรือหมดอายุ Botpress อาจเก็บสำเนาข้อมูลส่วนบุคคลไว้หากกฎหมายที่เกี่ยวข้องกำหนด หรือหากข้อมูลส่วนบุคคลถูกเก็บไว้ในระบบสำรอง ซึ่งข้อมูลเหล่านี้จะถูกแยกเก็บไว้อย่างปลอดภัยและได้รับการปกป้องจากการประมวลผลเพิ่มเติม และจะถูกลบตามแนวปฏิบัติการลบข้อมูลที่เกี่ยวข้อง
5. หน้าที่ของลูกค้า
5.a ลูกค้ามีหน้าที่รับผิดชอบในการตรวจสอบให้แน่ใจว่าการใช้บริการซอฟต์แวร์หรือซอฟต์แวร์เป็นไปตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องทั้งหมด รวมถึงการตรวจสอบว่า (i) ลูกค้ามีสิทธิ์แต่งตั้งให้ Botpress ประมวลผลข้อมูลส่วนบุคคลในนามของลูกค้าตาม DPA นี้ (ii) ลูกค้ามีสิทธิ์โอนหรือให้สิทธิ์เข้าถึงข้อมูลส่วนบุคคลแก่ Botpress เพื่อประมวลผลตามข้อตกลง (รวมถึง DPA นี้) (iii) คำสั่งของลูกค้าเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลเป็นไปตามกฎหมายที่เกี่ยวข้อง รวมถึงกฎหมายคุ้มครองข้อมูล
5.b ลูกค้าต้องแจ้ง Botpress เป็นลายลักษณ์อักษรโดยเร็ว หากมีเหตุผลให้เชื่อหรือได้รับแจ้งว่าการประมวลผลข้อมูลส่วนบุคคลโดยลูกค้าผ่านบริการ อาจละเมิดกฎหมายที่เกี่ยวข้อง รวมถึงกฎหมายคุ้มครองข้อมูล
5.c ลูกค้ามีหน้าที่รับผิดชอบในการพิจารณาว่ามาตรการรักษาความปลอดภัยที่ Botpress ดำเนินการนั้นเพียงพอต่อหน้าที่ของลูกค้าตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องหรือไม่ ลูกค้ายังต้องรับผิดชอบในการรักษาความปลอดภัยการเข้าถึงบริการซอฟต์แวร์ให้จำกัดเฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้น
6. เหตุการณ์ด้านความปลอดภัย
6.a Botpress จะแจ้งให้ลูกค้าทราบโดยเร็วหากทราบถึงเหตุการณ์ด้านความปลอดภัย และจะให้ข้อมูลที่เกี่ยวข้องกับเหตุการณ์ดังกล่าวตามที่ทราบหรือเมื่อลูกค้าร้องขออย่างสมเหตุสมผล
6.b เมื่อได้รับคำขอ Botpress จะให้ความช่วยเหลือลูกค้าอย่างเหมาะสมโดยเร็วเท่าที่จำเป็น เพื่อให้ลูกค้าสามารถแจ้งเหตุการณ์ด้านความปลอดภัยต่อหน่วยงานกำกับดูแลและ/หรือเจ้าของข้อมูล หากกฎหมายคุ้มครองข้อมูลกำหนดให้ต้องแจ้ง
7. ผู้ประมวลผลย่อย
7.a Botpress อาจแต่งตั้งผู้ประมวลผลย่อยเพื่อประมวลผลข้อมูลส่วนบุคคล ผู้ประมวลผลย่อยปัจจุบันระบุไว้ในภาคผนวก 3 หากมีการเปลี่ยนแปลงผู้ประมวลผลย่อยจะแจ้งให้ลูกค้าทราบ
7.b Botpress เลือกผู้ประมวลผลย่อยที่ให้คำมั่นในการคุ้มครองข้อมูลในระดับเดียวกับที่กำหนดไว้ใน DPA นี้ (รวมถึงเมื่อเหมาะสม ข้อสัญญามาตรฐาน) ตามลักษณะบริการที่ผู้ประมวลผลย่อยให้บริการ Botpress ยังคงรับผิดชอบต่อการปฏิบัติตาม DPA นี้ของผู้ประมวลผลย่อยแต่ละราย และต่อการกระทำหรือการละเว้นของผู้ประมวลผลย่อยที่ทำให้เกิดการละเมิดข้อผูกพันของ Botpress ตาม DPA นี้
7.c หาก Botpress ประมวลผลข้อมูลยุโรปแทนลูกค้า ลูกค้าสามารถคัดค้านผู้ประมวลผลย่อยรายใหม่ได้ด้วยเหตุผลที่สมเหตุสมผลด้านการคุ้มครองข้อมูล หากได้รับแจ้งการคัดค้านดังกล่าว Botpress ตกลงที่จะหารือร่วมกันโดยสุจริตเพื่อหาทางออกที่เหมาะสมทางการค้า หากไม่สามารถตกลงกันได้ Botpress อาจเลือกที่จะไม่แต่งตั้งผู้ประมวลผลย่อยรายใหม่ หรือให้ลูกค้ายกเลิกการใช้บริการซอฟต์แวร์ในส่วนที่เกี่ยวข้องกับผู้ประมวลผลย่อยรายใหม่นั้นโดยไม่มีความรับผิดชอบต่อทั้งสองฝ่าย (แต่ไม่กระทบต่อค่าธรรมเนียมที่เกิดขึ้นก่อนการยกเลิก)
7.d หากกฎหมายหรือข้อสัญญามาตรฐานกำหนด Botpress จะพยายามอย่างสมเหตุสมผลในการให้ข้อมูลที่จำเป็นเกี่ยวกับข้อตกลงกับผู้ประมวลผลย่อยแก่ลูกค้า ลูกค้าตกลงว่าข้อมูลบางส่วนอาจถูกปกปิดหรือให้ในลักษณะเป็นความลับ
8. การโอนข้อมูลส่วนบุคคล
8.a การประมวลผลข้อมูลส่วนบุคคลที่ไม่ใช่ข้อมูลยุโรปโดยบริษัทในกลุ่ม Botpress จะดำเนินการในเขตอำนาจศาลใด ๆ ที่กฎหมายความเป็นส่วนตัวที่เกี่ยวข้องอนุญาตให้ประมวลผลได้
8.b การประมวลผลข้อมูลยุโรปจะดำเนินการเฉพาะใน:
a) ภายในยุโรป;
b) ในเขตอำนาจศาลที่ได้รับการรับรองว่ามีการคุ้มครองข้อมูลในระดับที่เพียงพอโดยคณะกรรมาธิการยุโรปตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง;
c) ในเขตอำนาจศาลใด ๆ โดยองค์กรหรือหน่วยงานที่มีหลักประกันที่เหมาะสม รวมถึงผ่านข้อสัญญามาตรฐาน;
d) ในเขตอำนาจศาลใด ๆ โดยได้รับความยินยอมเป็นลายลักษณ์อักษรจากลูกค้าหรือเจ้าของข้อมูลที่เกี่ยวข้อง;
8.c เมื่อมีการประมวลผลข้อมูลยุโรปในประเทศที่สาม ทั้งสองฝ่ายจะถือว่าได้ตกลงตามข้อสัญญามาตรฐานเฉพาะกับข้อมูลส่วนบุคคลและการประมวลผลที่เกี่ยวข้อง ทั้งสองฝ่ายตกลงว่า สำหรับข้อสัญญามาตรฐาน:
a) หากลูกค้าเป็นผู้ควบคุมข้อมูลและ Botpress เป็นผู้ประมวลผลข้อมูล จะใช้โมดูล 2 (ผู้ควบคุมถึงผู้ประมวลผล);
b) หากลูกค้าเป็นผู้ประมวลผลข้อมูลและ Botpress เป็นผู้ประมวลผลย่อย จะใช้โมดูล 3 (ผู้ประมวลผลถึงผู้ประมวลผล);
c) สำหรับข้อมูลการใช้งาน จะใช้โมดูล 1 (ผู้ควบคุมถึงผู้ควบคุม);
d) ในข้อ 7 ของข้อสัญญามาตรฐาน จะไม่มีการใช้ข้อเลือกเสริม (docking clause);
e) ในข้อ 9 ของข้อสัญญามาตรฐาน จะใช้ตัวเลือก 2 และระยะเวลาแจ้งล่วงหน้าเป็นลายลักษณ์อักษรสำหรับการเปลี่ยนแปลงผู้ประมวลผลย่อยคือ 10 วัน;
f) ในข้อ 11 ของข้อสัญญามาตรฐาน จะไม่มีการใช้ข้อความทางเลือก;
g) ในข้อ 17 (ตัวเลือก 1) ของข้อสัญญามาตรฐาน ข้อสัญญามาตรฐานจะอยู่ภายใต้กฎหมายไอริช;
h) ในข้อ 18(b) ของข้อสัญญามาตรฐาน ข้อพิพาทจะได้รับการพิจารณาโดยศาลไอร์แลนด์;
i) Botpress จะเป็น "ผู้นำเข้าข้อมูล" และลูกค้าจะเป็น "ผู้ส่งออกข้อมูล" (ในนามของตนเองและบริษัทในเครือที่ได้รับอนุญาต);
j) ข้อมูลที่เกี่ยวข้องในภาคผนวก 1 และ 2 ของ DPA นี้ จะถือว่าเป็นส่วนหนึ่งของภาคผนวกของข้อสัญญามาตรฐาน;
k) หากและในขอบเขตที่ข้อสัญญามาตรฐานขัดแย้งกับข้อใดข้อหนึ่งใน DPA นี้ ให้ข้อสัญญามาตรฐานมีผลเหนือกว่าในส่วนที่ขัดแย้งกันนั้น
8.d สวิตเซอร์แลนด์และการโอนข้อมูลไปยังสหราชอาณาจักร ในขอบเขตที่การโอนข้อมูลส่วนบุคคลระหว่างลูกค้าและ Botpress และ/หรือผู้ประมวลผลย่อยอยู่ภายใต้กฎหมายคุ้มครองข้อมูลของสวิตเซอร์แลนด์หรือสหราชอาณาจักร ข้อสัญญามาตรฐานจะถือว่าได้รับการแก้ไขเพื่อสะท้อนข้อกำหนดของกฎหมายคุ้มครองข้อมูลของสวิตเซอร์แลนด์และสหราชอาณาจักรที่เกี่ยวข้อง รวมถึงการอ้างอิงถึงกฎหมายที่เกี่ยวข้อง กฎหมายที่ใช้บังคับ และหน่วยงานหรือศาลที่มีอำนาจ
9. การประมวลผลตาม CCPA
9.a เมื่อประมวลผลข้อมูลส่วนบุคคลของแคลิฟอร์เนียตามคำสั่งของลูกค้า ทั้งสองฝ่ายรับทราบและตกลงว่าลูกค้าเป็นธุรกิจ และ Botpress เป็นผู้ให้บริการตาม CCPA ทั้งสองฝ่ายตกลงว่า Botpress จะประมวลผลข้อมูลส่วนบุคคลของแคลิฟอร์เนียในฐานะผู้ให้บริการเพื่อวัตถุประสงค์ในการให้บริการซอฟต์แวร์และบริการวิชาชีพตามข้อตกลงนี้ (“วัตถุประสงค์ทางธุรกิจ”) หรือในกรณีอื่นที่ CCPA อนุญาต
10. คำขอจากบุคคลที่สาม
10.a ลูกค้ามีหน้าที่รับผิดชอบในการจัดการคำขอจากเจ้าของข้อมูลหรือหน่วยงานกำกับดูแลเกี่ยวกับข้อมูลส่วนบุคคลของตน และลูกค้าควรใช้ฟีเจอร์ของบริการซอฟต์แวร์เพื่อดึงข้อมูลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
10.b หากลูกค้าไม่สามารถจัดการคำขอจากเจ้าของข้อมูลหรือหน่วยงานกำกับดูแล (“คำขอ”) ได้ด้วยตนเอง Botpress จะให้ความช่วยเหลือลูกค้าอย่างเหมาะสมเพื่อให้สามารถตอบสนองต่อคำขอที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลภายใต้ข้อตกลงนี้ เว้นแต่ในกรณีที่คำขอเกิดจากความบกพร่องของ Botpress ในการปฏิบัติตาม DPA นี้ ลูกค้าต้องชดเชยค่าใช้จ่ายที่สมเหตุสมผลให้กับ Botpress สำหรับการให้ความช่วยเหลือดังกล่าว
10.c หากมีคำขอหรือการติดต่ออื่นเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลภายใต้ข้อตกลงนี้ส่งตรงถึง Botpress, Botpress จะรีบแจ้งให้ลูกค้าทราบและแนะนำให้เจ้าของข้อมูลหรือหน่วยงานกำกับดูแลส่งคำขอโดยตรงถึงลูกค้า ลูกค้าจะเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในการตอบคำขอหรือการติดต่อใด ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
11. การตรวจสอบที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
11.a เมื่อลูกค้าร้องขอและแจ้งล่วงหน้าอย่างเหมาะสม ลูกค้ามีสิทธิ์ตรวจสอบด้วยตนเองโดยรับผิดชอบค่าใช้จ่ายเอง เพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลที่ Botpress ประมวลผลในนามของลูกค้านั้นเป็นไปตามคำแนะนำของลูกค้า หากลูกค้าร้องขอ Botpress จะอนุญาตให้มีการตรวจสอบและตรวจเยี่ยมการประมวลผลที่ดำเนินการโดย Botpress การตรวจสอบนี้อาจดำเนินการโดยลูกค้าและ/หรือบุคคลที่สาม (ซึ่งลูกค้าเป็นผู้เลือกและ Botpress ยอมรับอย่างสมเหตุสมผล) ในนามของลูกค้า ลูกค้าต้องดำเนินมาตรการที่จำเป็นทั้งหมดเพื่อหลีกเลี่ยงความเสียหายหรือการรบกวนต่อสถานที่ อุปกรณ์ บุคลากร และธุรกิจของกลุ่มบริษัท Botpress
11.b ลูกค้าและ Botpress จะต้องตกลงกันล่วงหน้าเกี่ยวกับลักษณะ ขอบเขต และระยะเวลาของการตรวจสอบใด ๆ โดยลูกค้า และลูกค้าจะต้องชดเชยค่าใช้จ่ายที่สมเหตุสมผลทั้งหมดให้กับ Botpress ที่เกี่ยวข้องกับการตรวจสอบดังกล่าว ซึ่งอาจมีการประมาณค่าใช้จ่ายได้ตามคำขอของลูกค้าก่อนเริ่มการตรวจสอบ หากเป็นไปได้ ข้อกำหนดการตรวจสอบของลูกค้าจะได้รับการตอบสนองผ่านรายงานการตรวจสอบโดยบุคคลที่สามที่ Botpress จัดเตรียมไว้ หากมีให้
11.c หาก Botpress ประมวลผลข้อมูลยุโรปในนามของลูกค้า Botpress จะจัดเตรียม (โดยเป็นความลับ) (i) สำเนาสรุปรายงานการทดสอบความปลอดภัย และ (ii) คำตอบเป็นลายลักษณ์อักษรต่อคำขอข้อมูลที่สมเหตุสมผลทั้งหมดของลูกค้า ซึ่งจำเป็นเพื่อยืนยันว่า Botpress ปฏิบัติตาม DPA นี้ โดยลูกค้าจะใช้สิทธินี้ได้ไม่เกินหนึ่งครั้งต่อปีปฏิทิน เว้นแต่ลูกค้าจะมีเหตุผลอันสมควรสงสัยว่า Botpress ไม่ปฏิบัติตาม DPA
12. ข้อจำกัดความรับผิดชอบ
12.a ความรับผิดของ Botpress และบริษัทในเครือ รวมกันทั้งหมดที่เกิดขึ้นจากหรือเกี่ยวข้องกับ DPA นี้ (และ DPA อื่น ๆ ระหว่างคู่สัญญา) และข้อสัญญามาตรฐาน (ถ้ามี) ไม่ว่าจะโดยสัญญา การละเมิด หรือทฤษฎีความรับผิดอื่น ๆ จะถูกจำกัดไว้ที่จำนวนค่าธรรมเนียมรวมที่ลูกค้าจ่ายให้กับ Botpress สำหรับบริการในช่วง 12 เดือนก่อนเกิดเหตุที่ก่อให้เกิดความรับผิดนั้น
13. เขตอำนาจศาล
เว้นแต่กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องจะกำหนดเป็นอย่างอื่น DPA นี้จะอยู่ภายใต้และตีความตามกฎหมายที่ใช้บังคับกับข้อตกลง และข้อพิพาทใด ๆ เกี่ยวกับข้อตกลงนี้จะได้รับการพิจารณาโดยศาลที่มีเขตอำนาจตามที่ระบุไว้ในข้อเสนอ
หากกฎหมายคุ้มครองข้อมูลกำหนดให้ DPA นี้อยู่ภายใต้กฎหมายของประเทศสมาชิกสหภาพยุโรป DPA นี้จะอยู่ภายใต้กฎหมายของไอร์แลนด์ และข้อพิพาทเกี่ยวกับข้อตกลงนี้จะได้รับการพิจารณาโดยศาลไอร์แลนด์
14. ทั่วไป
14.a ลำดับความสำคัญ. หากมีความขัดแย้งระหว่างข้อกำหนดใด ๆ ของ DPA นี้กับข้อกำหนดอื่นใดของข้อตกลง ข้อกำหนดของ DPA จะมีผลเหนือกว่าเสมอ เว้นแต่และเท่าที่มีการระบุไว้อย่างชัดแจ้งว่าข้อกำหนดอื่นของข้อตกลงจะมีผลเหนือกว่าหรือข้อกำหนดของ DPA นี้จะถูกยกเว้นหรือแก้ไข
14.b การแก้ไข. Botpress อาจแก้ไข DPA นี้เพื่อสะท้อนถึงการเปลี่ยนแปลงในการปฏิบัติการประมวลผลข้อมูลของตน การแก้ไขใด ๆ ที่ไม่ใช่การปรับปรุงถ้อยคำเพื่อความชัดเจน (ซึ่งจะแจ้งให้ลูกค้าทราบตามปกติ) จะถูกส่งให้ลูกค้าพิจารณาและจะไม่มีผลบังคับใช้หากลูกค้าไม่ยอมรับ หากกฎหมายที่เกี่ยวข้องกำหนดให้ต้องแก้ไข DPA นี้ ลูกค้าจะ มีทางเลือกในการยอมรับการแก้ไขดังกล่าวหรือยกเลิกการสมัครใช้บริการซอฟต์แวร์
14.c ความสามารถในการแยกส่วน. หากข้อกำหนดใดข้อหนึ่งของ DPA นี้ถูกตัดสินว่าไม่ถูกต้องหรือไม่สามารถบังคับใช้ได้ ความถูกต้องและการบังคับใช้ของข้อกำหนดอื่น ๆ ใน DPA นี้จะไม่ได้รับผลกระทบ.
ภาคผนวก 1 – รายละเอียดการประมวลผล
การระบุผู้ควบคุมข้อมูล
ลูกค้า
ผู้ติดต่อ : บุคคลที่ระบุไว้ในข้อเสนอที่ลูกค้าตกลงรับ
การระบุผู้ประมวลผลข้อมูล
หากลูกค้าอยู่ในแคนาดา : Technologies Botpress Inc. หากลูกค้าอยู่ที่อื่น : Botpress, Inc.
ผู้ติดต่อ:
Jean-Bernard Perron [email protected]
ประเภทของเจ้าของข้อมูล
ลูกค้าอาจส่งข้อมูลส่วนบุคคลระหว่างการใช้บริการซอฟต์แวร์ โดยขอบเขตของข้อมูลนี้ขึ้นอยู่กับและควบคุมโดยลูกค้าแต่เพียงผู้เดียว ตามข้อกำหนดการใช้บริการที่เกี่ยวข้อง และอาจรวมถึงแต่ไม่จำกัดเฉพาะข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเจ้าของข้อมูลในประเภทต่อไปนี้:
ประเภทของข้อมูลส่วนบุคคล
ลูกค้าอาจส่งข้อมูลส่วนบุคคลไปยังบริการซอฟต์แวร์ และอาจอนุญาตให้ผู้ใช้ปลายทางส่งข้อมูลส่วนบุคคลไปยังบริการซอฟต์แวร์ โดยขอบเขตของข้อมูลนี้ขึ้นอยู่กับและควบคุมโดยลูกค้าแต่เพียงผู้เดียว ตามข้อกำหนดการใช้บริการที่เกี่ยวข้อง
บริการซอฟต์แวร์นี้ไม่ได้ออกแบบมาเพื่อประมวลผลข้อมูลที่มีความอ่อนไหว ลูกค้าต้องรับผิดชอบในการพิจารณาความเหมาะสมของบริการซอฟต์แวร์สำหรับการประมวลผลข้อมูลที่มีความอ่อนไหว
Botpress จะประมวลผลข้อมูลติดต่อของผู้ใช้ที่ได้รับอนุญาต (ชื่อ อีเมล โทรศัพท์) และข้อมูลการใช้งานและพฤติกรรมเกี่ยวกับการใช้ผลิตภัณฑ์เพื่อการสนับสนุนทางเทคนิคและวัตถุประสงค์ทางสถิติ
ลักษณะของการประมวลผล
ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
ภายใต้ข้อผูกพันของ Botpress ในการลบหรือส่งคืนข้อมูลให้กับลูกค้าตามข้อตกลง Botpress จะประมวลผลข้อมูลส่วนบุคคลตลอดระยะเวลาของข้อตกลง เว้นแต่จะมีการตกลงเป็นลายลักษณ์อักษรเป็นอย่างอื่น
ภาคผนวก 2 – มาตรการด้านความปลอดภัย
1. การกำกับดูแล
Botpress ดำเนินนโยบายและขั้นตอนที่เหมาะสมเกี่ยวกับข้อมูลส่วนบุคคล รวมถึง:
2. การเข้าถึงของผู้ใช้
3. การควบคุมการเข้าถึง
Botpress ดูแลเซิร์ฟเวอร์ ฐานข้อมูลที่เกี่ยวข้อง และฮาร์ดแวร์และ/หรือซอฟต์แวร์อื่น ๆ ที่จัดเก็บข้อมูลส่วนบุคคลในศูนย์ข้อมูลที่ปลอดภัย โดยมีการควบคุมและตรวจสอบการเข้าถึงเพื่ออนุญาตเฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้น
Botpress ใช้มาตรการควบคุมการเข้าถึงเชิงตรรกะที่มีประสิทธิภาพกับทุกระบบที่ใช้สร้าง ส่ง หรือประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงแต่ไม่จำกัดเพียง:
4. สถาปัตยกรรมความปลอดภัยของเครือข่าย
Botpress ใช้มาตรการควบคุมการเข้าถึงเครือข่ายที่มีประสิทธิภาพในทุกระบบที่ใช้สร้าง ส่ง หรือประมวลผลข้อมูลส่วนบุคคล โดยมาตรการเหล่านี้รวมถึงแต่ไม่จำกัดเพียง:
5. การควบคุมการจัดการช่องโหว่
Botpress ใช้มาตรการควบคุมการจัดการช่องโหว่ที่มีประสิทธิภาพในทุกระบบที่ใช้สร้าง ส่ง หรือประมวลผลข้อมูลส่วนบุคคล โดยมาตรการเหล่านี้รวมถึงแต่ไม่จำกัดเพียง:
6. การสำรองข้อมูล การกู้คืน และความพร้อมใช้งานของข้อมูล
Botpress ดำเนินแผนฟื้นฟูจากภัยพิบัติและแผนความต่อเนื่องทางธุรกิจเพื่อจำกัดเวลาหยุดทำงานและการสูญเสียข้อมูลให้น้อยที่สุด
7. การตรวจสอบความปลอดภัย
Botpress ใช้มาตรการควบคุมในทุกระบบที่ใช้สร้าง ส่ง หรือประมวลผลข้อมูลส่วนบุคคล โดยมาตรการเหล่านี้รวมถึงแต่ไม่จำกัดเพียง:
8. การฝึกอบรมและสร้างความตระหนักรู้
Botpress มีโปรแกรมสร้างความตระหนักด้านความปลอดภัยสำหรับพนักงานและผู้ให้บริการที่มีส่วนเกี่ยวข้องกับระบบที่จัดการข้อมูลส่วนบุคคล ซึ่งรวมถึง:
ภาคผนวก 3 – ผู้ประมวลผลย่อย
Botpress ดูแลรายชื่อผู้ประมวลผลย่อยที่เป็นปัจจุบันบน Trust Center ของตน เว้นแต่จะระบุไว้เป็นอย่างอื่น ข้อมูลทั้งหมดจะถูกประมวลผลในสหรัฐอเมริกา