ข้อตกลงการประมวลผลข้อมูล

คำศัพท์ที่ใช้ใน DPA นี้มีความหมายตามที่ระบุใน GDPR, UK GDPR หรือกฎหมายคุ้มครองข้อมูลท้องถิ่นที่เทียบเท่า เพื่อความชัดเจน:

• ผู้ควบคุม — คุณ ลูกค้า JazzNode ซึ่งกำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล
• ผู้ประมวลผล — JazzNode Inc. (เดลาแวร์ สหรัฐอเมริกา) และ 娛興喂有限公司 (ไต้หวัน) ประมวลผลข้อมูลส่วนบุคคลในนามของคุณ
• ข้อมูลส่วนบุคคล — ตามที่กำหนดใน GDPR มาตรา 4(1) ครอบคลุมข้อมูลที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุตัวตนได้หรือระบุตัวตนได้
• การประมวลผล — การดำเนินการใดๆ ที่กระทำต่อข้อมูลส่วนบุคคล (การเก็บรวบรวม การจัดเก็บ การใช้ การส่ง การลบ ฯลฯ)
• ผู้ประมวลผลย่อย — บุคคลที่สามที่ JazzNode มอบหมายให้ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม ระบุใน §5
• บริการ — แพลตฟอร์ม JazzNode รวมถึงโปรไฟล์ศิลปิน/สถานที่/แบรนด์ การค้นพบกิจกรรม การขายตั๋ว การส่งข้อความ และคุณสมบัติที่เกี่ยวข้อง

เรื่อง: การประมวลผลข้อมูลส่วนบุคคลของ JazzNode ในการให้บริการแก่ผู้ควบคุม

ระยะเวลา: สำหรับระยะเวลาการสมัครสมาชิก JazzNode ของผู้ควบคุม รวมถึงระยะเวลาการเก็บรักษาที่กฎหมายกำหนด (เช่น บันทึกภาษีสำหรับรายได้จากตั๋ว)

ลักษณะและวัตถุประสงค์: การโฮสต์ การยืนยันตัวตน การแสดง การส่ง และการสนับสนุนการใช้แพลตฟอร์ม JazzNode ของผู้ควบคุม รวมถึงการออกตั๋ว การชำระเงินผ่าน Stripe อีเมลธุรกรรมผ่าน Resend และการวิเคราะห์การใช้งานแพลตฟอร์ม

ประเภทของเจ้าของข้อมูล: ผู้ใช้ปลายทางของบริการ รวมถึงแฟน/ผู้ซื้อตั๋ว นักดนตรี/เจ้าของโปรไฟล์ศิลปิน ผู้ดำเนินการสถานที่ ผู้ดำเนินการแบรนด์ และพนักงานที่ได้รับเชิญของพวกเขา

ประเภทของข้อมูลส่วนบุคคล:

• การระบุตัวตน: ชื่อ ชื่อที่แสดง อีเมล รูปโปรไฟล์
• การยืนยันตัวตน: รหัสผ่านที่แฮช (Supabase Auth) โทเค็น OAuth (Google)
• การค้า: บันทึกการซื้อตั๋ว ยอดรวมคำสั่งซื้อ ปลายทางการจ่ายเงิน (สำหรับสถานที่/แบรนด์) JazzNode ไม่เก็บหมายเลขบัตรดิบ — สิ่งเหล่านั้นถูกถือโดย Stripe ในฐานะผู้ควบคุมแยกต่างหากภายใต้ PCI DSS
• การสื่อสาร: ข้อความที่ส่งผ่านแพลตฟอร์ม shoutouts รีวิว
• การใช้งาน: การวิเคราะห์แบบไม่ระบุชื่อ แหล่งผู้อ้างอิง ภูมิภาคทั่วไป
• อุปกรณ์ (แอพมือถือเท่านั้น): โทเค็นการแจ้งเตือนแบบพุช ชื่ออุปกรณ์ เวอร์ชัน OS/แอป

JazzNode ไม่ประมวลผลประเภทพิเศษของข้อมูลส่วนบุคคลโดยเจตนา (GDPR มาตรา 9) ผู้ควบคุมต้องไม่ส่งข้อมูลดังกล่าวผ่านบริการ

JazzNode จะ:

• ประมวลผลข้อมูลส่วนบุคคลตามคำสั่งที่เป็นเอกสารจากผู้ควบคุมเท่านั้น (ข้อตกลงการสมัครสมาชิก เงื่อนไขเหล่านี้ และคำสั่งที่เป็นลายลักษณ์อักษรที่ผู้ควบคุมให้)
• ทำให้มั่นใจว่าผู้ที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ตามสัญญาในการรักษาความลับ
• ดำเนินมาตรการความปลอดภัยทางเทคนิคและองค์กรที่เหมาะสม (ดู §7)
• ช่วยเหลือผู้ควบคุมในการตอบสนองต่อคำขอของเจ้าของข้อมูลและปฏิบัติตามภาระหน้าที่ภายใต้ GDPR มาตรา 32 ถึง 36 โดยคำนึงถึงลักษณะของการประมวลผล
• ให้ข้อมูลที่จำเป็นทั้งหมดเพื่อแสดงการปฏิบัติตาม GDPR มาตรา 28 แก่ผู้ควบคุม
• ลบหรือคืนข้อมูลส่วนบุคคลทั้งหมดหลังจากสิ้นสุดบริการตามตัวเลือกของผู้ควบคุม (ดู §11)

ผู้ควบคุมอนุญาตให้ JazzNode ใช้ผู้ประมวลผลย่อยต่อไปนี้ ซึ่งแต่ละรายได้ลงนามในข้อตกลงเป็นลายลักษณ์อักษรที่กำหนดเงื่อนไขการคุ้มครองข้อมูลอย่างน้อยเทียบเท่ากับ DPA นี้:

• Supabase, Inc.: ฐานข้อมูล การยืนยันตัวตน การจัดเก็บอ็อบเจ็กต์ SOC 2 Type 2, ISO 27001 ข้อมูลส่วนใหญ่โฮสต์ในภูมิภาค AWS ที่เลือกเพื่อให้ตรงกับภูมิภาคการดำเนินงานของ JazzNode
• Vercel Inc.: การโฮสต์แอปพลิเคชัน เครือข่ายเอดจ์ ไปป์ไลน์การบิลด์ SOC 2 Type 2, ISO 27001
• Stripe, Inc.: การประมวลผลการชำระเงิน Stripe ทำหน้าที่เป็นผู้ควบคุมอิสระสำหรับข้อมูลบัตรภายใต้ PCI DSS Level 1
• Resend, Inc.: การส่งอีเมลธุรกรรม SOC 2 Type 2 ภูมิภาคโตเกียวสำหรับ APAC
• Amazon Web Services, Inc.: โครงสร้างพื้นฐานคลาวด์พื้นฐานที่ใช้ผ่าน Supabase และสำหรับการจัดเก็บไฟล์ที่เลือก SOC 2, ISO 27001
• Google LLC: ผู้ให้บริการข้อมูลประจำตัว OAuth สำหรับการลงชื่อเข้าใช้ด้วย Google; Google Workspace เป็นผู้ให้บริการข้อมูลประจำตัวภายใน

JazzNode จะแจ้งผู้ควบคุมเกี่ยวกับการเพิ่มหรือแทนที่ผู้ประมวลผลย่อยที่ตั้งใจจะมีด้วยการแจ้งล่วงหน้าอย่างน้อย 30 วันผ่าน /trust และอีเมล ผู้ควบคุมสามารถคัดค้านได้ด้วยเหตุผลการคุ้มครองข้อมูลที่สมเหตุสมผล หากไม่สามารถแก้ไขการคัดค้านได้ ฝ่ายใดฝ่ายหนึ่งอาจยุติการสมัครสมาชิก

JazzNode ดำเนินการในหลายเขตอำนาจศาล เมื่อข้อมูลส่วนบุคคลถูกโอนจาก EEA สหราชอาณาจักร หรือสวิตเซอร์แลนด์ไปยังประเทศที่ไม่มีการตัดสินใจด้านความเพียงพอ JazzNode อ้างอิงข้อสัญญามาตรฐานของสหภาพยุโรป (2021/914) และ UK IDTA/Addendum ที่เทียบเท่าโดยรวมไว้โดยการอ้างอิง

ผู้ประมวลผลย่อยที่ดำเนินการนอก EEA รับรองตนเองว่ามีการป้องกันเทียบเท่า SCC หรือดำเนินการภายใต้กรอบความเพียงพอ เขตอำนาจศาลปัจจุบัน: สหรัฐอเมริกา (JazzNode Inc., Vercel, Stripe, AWS, Google), ไต้หวัน (娛興喂), ญี่ปุ่น (Resend ภูมิภาคโตเกียวเมื่อเลือก)

JazzNode ดำเนินการและรักษามาตรการทางเทคนิคและองค์กรที่เหมาะสมกับความเสี่ยง ตามที่อธิบายไว้ที่ /trust และ /legal/security สิ่งเหล่านี้รวมถึงอย่างน้อย:

• การเข้ารหัสขณะส่งข้อมูล (TLS 1.2+, HSTS ในทุกโดเมน) และในที่พัก (AES-256 ผ่านผู้ให้บริการโครงสร้างพื้นฐาน)
• Row Level Security บังคับใช้ที่ชั้นฐานข้อมูลสำหรับการควบคุมการเข้าถึงต่อผู้ใช้ ต่อบทบาท
• บทบาทภายในสิทธิ์ขั้นต่ำ (Owner / Admin / Editor) พร้อมสิทธิ์ที่ยกระดับสำหรับการดำเนินการที่ละเอียดอ่อน
• การจัดการความลับที่เข้ารหัสผ่านตัวแปรสภาพแวดล้อม Vercel; OIDC สำหรับการยืนยันตัวตนคลาวด์ต่อคลาวด์; ไม่มีข้อมูลรับรองที่มีอายุยาวใน source control
• การสำรองข้อมูลแบบเวลาของ Supabase และบันทึกตั๋วที่จัดเก็บแยกต่างหาก
• โปรแกรมการเปิดเผยช่องโหว่ที่เผยแพร่ที่ /trust พร้อม security@jazznode.com เป็นช่องทางการติดต่อ

มาตรการได้รับการทบทวนเป็นประจำทุกปีและอัปเดตตามที่แพลตฟอร์มพัฒนา การเปลี่ยนแปลงที่สำคัญสะท้อนที่ /trust

JazzNode จะให้ความช่วยเหลือที่สมเหตุสมผลโดยค่าใช้จ่ายของผู้ควบคุมเมื่อความช่วยเหลือดังกล่าวไม่สมดุลเพื่อช่วยให้ผู้ควบคุมตอบสนองต่อคำขอของเจ้าของข้อมูลภายใต้บทที่ III ของ GDPR (การเข้าถึง การแก้ไข การลบ การจำกัด ความสามารถในการถ่ายโอน การคัดค้าน)

เมื่อเจ้าของข้อมูลติดต่อ JazzNode โดยตรงเกี่ยวกับข้อมูลที่มาจากผู้ควบคุม (เช่น แฟนส่งอีเมลเกี่ยวกับโปรไฟล์ของตนในหน้ากิจกรรมของสถานที่) JazzNode จะแจ้งผู้ควบคุมที่เกี่ยวข้องและแจ้งผู้ควบคุมตามความเหมาะสม

JazzNode จะแจ้งผู้ควบคุมโดยไม่ล่าช้าและในกรณีใดๆ ภายใน 72 ชั่วโมงหลังจากการยืนยันการละเมิดข้อมูลส่วนบุคคลที่ส่งผลกระทบต่อข้อมูลของผู้ควบคุม

การแจ้งเตือนจะรวม ในขอบเขตที่ทราบในขณะนั้น: ลักษณะของการละเมิด ประเภทและจำนวนโดยประมาณของเจ้าของข้อมูลและบันทึกที่เกี่ยวข้อง ผลที่น่าจะเกิดขึ้น และมาตรการที่ได้ดำเนินการหรือเสนอเพื่อแก้ไขการละเมิดและบรรเทาผลกระทบที่ไม่พึงประสงค์

JazzNode จะบันทึกการละเมิดข้อมูลส่วนบุคคลทั้งหมดและทำให้บันทึกพร้อมใช้งานสำหรับผู้ควบคุมเมื่อมีการร้องขอ

ผู้ควบคุมอาจตรวจสอบการปฏิบัติตาม DPA นี้ของ JazzNode โดยตรวจสอบ:

• รายงานการตรวจสอบบุคคลที่สามปัจจุบันของผู้ประมวลผลย่อยของ JazzNode (SOC 2, ISO 27001) ให้ใช้งานได้ตามคำขอ NDA ผ่าน security@jazznode.com
• การตอบสนองของ JazzNode ต่อแบบสอบถามความปลอดภัยที่สมเหตุสมผล (จำกัด 1 ครั้งต่อ 12 เดือน ตอบกลับภายใน 30 วันทำการ)

การตรวจสอบในสถานที่ถูกสงวนไว้สำหรับกรณีที่ข้างต้นไม่เพียงพออย่างชัดเจน หรือตามที่หน่วยงานกำกับดูแลกำหนด ในกรณีเช่นนี้ ผู้ควบคุมให้แจ้งเป็นลายลักษณ์อักษรล่วงหน้า 30 วัน รับผิดชอบค่าใช้จ่ายของตนเอง และดำเนินการตรวจสอบภายใต้ขอบเขตที่ตกลงร่วมกันและเงื่อนไขการรักษาความลับในช่วงเวลาทำการปกติ

เมื่อสิ้นสุดการสมัครสมาชิกของผู้ควบคุม JazzNode จะตามตัวเลือกที่เป็นลายลักษณ์อักษรของผู้ควบคุมภายใน 30 วันหลังจากสิ้นสุด: (a) ลบข้อมูลส่วนบุคคลทั้งหมดที่ประมวลผลในนามของผู้ควบคุม หรือ (b) คืนข้อมูลดังกล่าวในรูปแบบที่มีโครงสร้าง ใช้กันทั่วไป อ่านได้ด้วยเครื่อง

หากไม่มีตัวเลือกในเวลา JazzNode จะลบข้อมูลส่วนบุคคลของผู้ควบคุมหลังจาก 90 วัน โดยขึ้นอยู่กับการเก็บรักษาที่กฎหมายกำหนด (ตัวอย่างเช่น บันทึกภาษีของธุรกรรมตั๋วภายใต้กฎหมายภาษีของสหรัฐอเมริกาและไต้หวัน) ข้อมูลในระบบสำรองจะถูกเขียนทับในการหมุนเวียนสำรองตามปกติ

ความรับผิดที่เกิดขึ้นภายใต้ DPA นี้อยู่ภายใต้วงเงินความรับผิดและข้อยกเว้นของข้อตกลงการสมัครสมาชิก JazzNode พื้นฐาน ไม่มีสิ่งใดใน DPA นี้ที่ยกเว้นความรับผิดที่ไม่สามารถยกเว้นได้ตามกฎหมาย

DPA นี้อยู่ภายใต้กฎหมายของข้อตกลงการสมัครสมาชิก JazzNode ที่รวมไว้

ในกรณีที่ DPA นี้ขัดแย้งกับข้อตกลงการสมัครสมาชิกพื้นฐานเกี่ยวกับภาระหน้าที่การคุ้มครองข้อมูล DPA นี้จะมีผลเหนือกว่า ข้อสัญญามาตรฐานของสหภาพยุโรปในกรณีที่ใช้บังคับจะมีผลเหนือกว่า DPA นี้

คำถามด้านการคุ้มครองข้อมูลและ DPA: security@jazznode.com

ติดต่อทั่วไปผ่าน JazzNode HQ: ส่งข้อความถึงเรา

นิติบุคคลที่ดำเนินการ JazzNode: JazzNode Inc. (เดลาแวร์ สหรัฐอเมริกา) และ 娛興喂有限公司 (ไต้หวัน สาธารณรัฐจีน)