นโยบายความเป็นส่วนตัวสำหรับ Hosted Managed Services ของ SAS® Institute Inc.

ความมุ่งมั่นต่อความเป็นส่วนตัว

SAS ("SAS", “เรา”, “พวกเรา” และ “ของเรา”) นำเสนอบริการ Hosted Managed Services ซึ่งรวมถึงบริการซอฟต์แวร์ผ่านคลาวด์ (SaaS) โฮสติ้งระดับองค์กร บริการที่มีการจัดการระยะไกล และโซลูชั่นการวิเคราะห์อื่นๆ และผู้เชี่ยวชาญเฉพาะด้าน เพื่อจัดการบริการเหล่านี้ เรามอบโซลูชั่นเหล่านี้ให้กับองค์กร (“คุณ” และ “ของคุณ”) และพนักงาน ผู้บริโภค ผู้ป่วย และนักเรียนของคุณ (“เจ้าของข้อมูล”) ทั่วโลก

ความเป็นส่วนตัวของเจ้าของข้อมูลของคุณเป็นสิ่งสำคัญสำหรับเรา นโยบายนี้อธิบายและอธิบายแนวปฏิบัติของ SAS และมาตรการที่เราใช้เพื่อปกป้องความเป็นส่วนตัวและปฏิบัติตามกฎหมายที่บังคับใช้และภาระผูกพันของเรา นโยบายนี้ยังอธิบายถึงตัวเลือกของคุณเกี่ยวกับการใช้ การเข้าถึง และการแก้ไขข้อมูลส่วนบุคคลของเจ้าของข้อมูล เพื่อให้คุณสามารถเข้าใจแนวทางปฏิบัติของ SAS ได้ดีขึ้น และมั่นใจได้ว่าจะสอดคล้องกับประกาศความเป็นส่วนตัวที่คุณได้เผยแพร่ไว้กับบุคคลเหล่านั้น

ขอบเขตของนโยบาย

นโยบายความเป็นส่วนตัวนี้อธิบายถึงวิธีที่ SAS รวบรวม รับ เข้าถึง ใช้ และเปิดเผยข้อมูลส่วนบุคคลบางอย่างที่ได้รับจากการเชื่อมต่อกับบริการ SAS Hosted Managed Services รวมถึงโฮสติ้งองค์กร, SaaS, บริการจัดการระยะไกล และข้อเสนอโซลูชั่นการวิเคราะห์อื่นๆ และกำกับดูแลการใช้ข้อมูลส่วนบุคคลดังกล่าวของ SAS เพื่อมอบข้อเสนอเหล่านั้นแก่คุณตามข้อตกลงของเรา

นโยบายความเป็นส่วนตัวนี้ไม่มีผลกับข้อมูลที่ SAS รวบรวมจากผู้เข้าชม SAS.com ข้อมูลที่ SAS รวบรวมโดยเกี่ยวข้องกับการสร้าง โปรไฟล์ SAS ของบุคคล เพื่อวัตถุประสงค์ที่ไม่เกี่ยวข้องกับบริการ SAS Hosted Managed Services หรือข้อมูลที่ SAS รวบรวมผ่านข้อเสนออื่นๆ สำหรับข้อมูลเกี่ยวกับวิธีที่ SAS รวบรวม ใช้ และเปิดเผยข้อมูลผ่าน SAS.com, โปรไฟล์ SAS และข้อเสนออื่นๆ ของ SAS โปรดดู คำชี้แจงความเป็นส่วนตัวของ SAS

การถ่ายโอนข้อมูลระหว่างประเทศ

เนื่องจากลักษณะการดำเนินงานของเราที่ครอบคลุมทั่วโลก ผู้รับข้อมูลบางรายอาจอยู่ในประเทศนอกเขตเศรษฐกิจยุโรป (EEA) สวิตเซอร์แลนด์ หรือสหราชอาณาจักร (UK) ซึ่งไม่ได้ให้การปกป้องข้อมูลในระดับที่เพียงพอตามที่กำหนดโดยกฎหมายคุ้มครองข้อมูลใน EEA, สวิตเซอร์แลนด์ และสหราชอาณาจักร การถ่ายโอนระหว่างบริษัทในเครือ SAS หรือไปยังบุคคลที่สามที่ตั้งอยู่ในประเทศที่สามดังกล่าวเกิดขึ้นโดยใช้หลักการถ่ายโอนข้อมูลที่ถูกต้อง เช่น EU Standard Contractual Clauses (SCCs) (รวมถึงภาคผนวกของสวิตเซอร์แลนด์และบทต่อท้ายของสหราชอาณาจักรที่เกี่ยวข้อง ตามความเหมาะสม) บนพื้นฐานของการเสื่อมทางกฎหมายที่ได้รับอนุญาต หรือหลักการถ่ายโอนข้อมูลที่ถูกต้องอื่นๆ ที่ออกหรืออนุมัติโดยหน่วยงานใน EEA, สวิตเซอร์แลนด์ หรือสหราชอาณาจักร ประเทศที่สามบางประเทศได้รับการยอมรับอย่างเป็นทางการจากหน่วยงาน EEA, สวิส และสหราชอาณาจักร ว่ามีระดับการป้องกันที่เพียงพอ และไม่จำเป็นต้องมีการป้องกันเพิ่มเติม

SCC เป็นเทมเพลตข้อกำหนดในสัญญาที่ได้รับการอนุมัติล่วงหน้าจากคณะกรรมาธิการยุโรป และทำหน้าที่เป็นหลักในการถ่ายโอนทางกฎหมาย SAS ใช้ SCC เหล่านี้และมาตรการเสริมตามคำแนะนำของคณะกรรมาธิการยุโรปและคณะกรรมการคุ้มครองข้อมูลแห่งยุโรป SCC ที่ปรับปรุงเป็นปัจจุบันเหล่านี้ รวมถึงภาคผนวกของสวิสที่เกี่ยวข้องและภาคผนวกของสหราชอาณาจักร เป็นส่วนสำคัญของข้อตกลงการประมวลผลข้อมูล (DPA) ของ SAS ที่ SAS ดำเนินการร่วมกับลูกค้า ผู้ประมวลผลย่อย และคู่ค้า เมื่อมีผลบังคับใช้ ข้อกำหนดของ DPA ของ SAS ใช้กับการถ่ายโอนข้อมูลส่วนบุคคลที่มีต้นกำเนิดในเขตเศรษฐกิจยุโรป (EEA) สวิตเซอร์แลนด์ และ/หรือสหราชอาณาจักร จากคุณในฐานะผู้ส่งออกข้อมูล ไปยัง SAS และบริษัทในเครือซึ่งตั้งอยู่ในประเทศที่สาม เนื่องจาก ผู้นำเข้าข้อมูล

EU-US Data Privacy Framework รวมถึงส่วน UK Extension และ Swiss-US Data Privacy Framework

สภาพแวดล้อม SAS Hosted Managed Services เป็นไปตามกรอบข้อกำหนดด้านความเป็นส่วนตัวของข้อมูลของสหภาพยุโรป-สหรัฐอเมริกา (EU-US Data Privacy Framework หรือ EU-US DPF), ส่วน UK Extension to the EU-US DPF และกรอบข้อกำหนดด้านความเป็นส่วนตัวของข้อมูลของสวิตเซอร์แลนด์-สหรัฐอเมริกา (Swiss-US Data Privacy Framework หรือ Swiss-US DPF) ตามที่กำหนดโดยกระทรวงพาณิชย์ของสหรัฐอเมริกา

  • SAS ได้รับรองกับกระทรวงพาณิชย์ของสหรัฐอเมริกาว่าสภาพแวดล้อม Hosted Managed Services เป็นไปตาม EU-US Data Privacy Framework Principles (หลัก EU-US DPF) ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลที่ได้รับจากสหภาพยุโรปตามข้อกำหนด EU-US DPF และจากสหราชอาณาจักร (และยิบรอลตาร์) ภายใต้ข้อกำหนด UK Extension to the EU-US DPF
  • SAS ได้รับรองกับกระทรวงพาณิชย์ของสหรัฐอเมริกาว่าสภาพแวดล้อม Hosted Managed Services เป็นไปตาม Swiss-US Data Privacy Framework Principles (หลัก Swiss-US DPF) ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลที่ได้รับจากสวิตเซอร์แลนด์ตามข้อกำหนด Swiss-US DPF

หากมีข้อขัดแย้งระหว่างข้อกำหนดในนโยบายความเป็นส่วนตัวนี้กับหลัก EU-US DPF และ/หรือหลัก Swiss-US DPF หลักดังกล่าวจะมีผลบังคับใช้ หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับโปรแกรม Data Privacy Framework (DPF) และดูการรับรองของเรา โปรดไปที่ https://www.dataprivacyframework.gov

SAS มีหน้าที่รับผิดชอบในการประมวลผลข้อมูลส่วนบุคคลที่ได้รับภายในสภาพแวดล้อม Hosted Managed Services ภายใต้ DPF และการถ่ายโอนในภายหลังไปยังบุคคลที่สามที่ทำหน้าที่เป็นตัวแทนในนามของ SAS  สภาพแวดล้อมบริการ SAS Hosted Managed Services เป็นไปตามหลัก DPF สำหรับการถ่ายโอนข้อมูลส่วนบุคคลภายหลังทั้งหมดจากสหภาพยุโรป สหราชอาณาจักร และสวิตเซอร์แลนด์ รวมถึงข้อกำหนดความรับผิดในการถ่ายโอนภายหลัง

Federal Trade Commission มีอำนาจตัดสินในการปฏิบัติตามข้อกำหนด EU-US DPF, UK Extension to the EU-US DPF และ Swiss-US DPF ของสภาพแวดล้อมบริการ SAS Hosted Managed Services ในบางสถานการณ์ SAS อาจจำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลจากสภาพแวดล้อม Hosted Managed Services เพื่อตอบสนองต่อคำขอทางกฎหมายจากหน่วยงานของรัฐ รวมถึงเพื่อให้เป็นไปตามข้อกำหนดด้านความมั่นคงของชาติหรือการบังคับใช้กฎหมาย

SAS จะนำส่งข้อร้องเรียนที่ยังไม่ได้รับการแก้ไขเกี่ยวกับการจัดการข้อมูลส่วนบุคคลในสภาพแวดล้อม Hosted Managed Services ที่ได้รับตามข้อกำหนด EU-US DPF, the UK Extension to the EU-US DPF, และ Swiss-US DPF ให้กับ TRUSTe ซึ่งเป็นผู้ให้บริการระงับข้อพิพาทบุคคลที่สามซึ่งตั้งอยู่ในสหรัฐอเมริกา ทั้งนี้เพื่อให้เป็นไปตามข้อกำหนด EU-US DPF, UK Extension to the EU-US DPF และ Swiss-US DPF  หากคุณไม่ได้รับการตอบรับอย่างทันท่วงทีเกี่ยวกับการร้องเรียนที่เกี่ยวข้องกับหลักการ DPF จาก SAS หรือหากเราไม่ได้จัดการเรื่องร้องเรียนที่เกี่ยวข้องกับหลักการ DPF ของคุณจนเป็นที่พอใจ โปรดไปที่ https://feedback-form.truste.com/watchdog/request หากต้องการข้อมูลเพิ่มเติมหรือยื่นเรื่องร้องเรียน  บริการระงับข้อพิพาทเหล่านี้มีไว้ให้คุณโดยไม่คิดค่าใช้จ่าย

สำหรับการร้องเรียนเกี่ยวกับการปฏิบัติตาม DPF ที่ไม่ได้รับการแก้ไขโดยหลัก DPF อื่นๆ คุณอาจร้องขออนุญาโตตุลาการที่มีผลผูกพันได้ภายใต้เงื่อนไขบางประการ ข้อมูลเพิ่มเติมสามารถพบได้บนเว็บไซต์อย่างเป็นทางการของ DPF

ข้อมูลที่ประมวลผลและวัตถุประสงค์ของการประมวลผล

SAS Managed Hosted Services รวบรวมและประมวลผลข้อมูลส่วนบุคคลสองประเภท อันได้แก่ ข้อมูลลูกค้า และข้อมูลผู้ใช้บริการ

ข้อมูลลูกค้า คือข้อมูลที่เราได้รับจากคุณหรือจากบุคคลที่สามตามคำสั่งของคุณเกี่ยวกับเจ้าของข้อมูลของคุณ เรารวบรวมเฉพาะข้อมูลลูกค้าที่คุณให้ไว้กับเรา สั่งให้เรารวบรวม หรือเข้าถึงเพื่อให้บริการแก่คุณ ข้อมูลลูกค้าอาจรวมถึงข้อมูลส่วนบุคคลเกี่ยวกับบุคคลประเภทต่างๆ รวมถึง: ผู้บริโภค พนักงาน ผู้ป่วย นักเรียน ผู้บริจาค อาสาสมัคร ลูกค้าธุรกิจ ซัพพลายเออร์ และพันธมิตรทางธุรกิจอื่นๆ ข้อมูลส่วนบุคคลดังกล่าวอาจรวมถึงข้อมูลการติดต่อขั้นพื้นฐาน เช่น ชื่อ ที่อยู่ไปรษณีย์ ที่อยู่อีเมล และหมายเลขโทรศัพท์ ตลอดจนข้อมูลส่วนบุคคลที่ละเอียดอ่อนมากขึ้น เช่น ข้อมูลทางการเงิน ข้อมูลสุขภาพส่วนบุคคล ข้อมูลการทดลองทางคลินิก ข้อมูลประชากร ข้อมูลการซื้อ ข้อมูลการวิจัยตลาด และข้อมูลการปฏิบัติงานของพนักงานและนักศึกษา ตามคำสั่งของคุณ SAS อาจได้รับข้อมูลทุกประเภทใดเกี่ยวกับบุคคลประเภทใดก็ตามที่คุณอัปโหลดไปยังผลิตภัณฑ์ของเรา ส่งให้เราผ่านระบบออนไลน์หรือออฟไลน์ หรือสั่งให้เรารวบรวมจากผู้รวบรวมบุคคลที่สาม เช่น Dun & Bradstreet

เราดำเนินการภายใต้สมมติฐานว่าเป็นภาระหน้าที่ของคุณในฐานะผู้ควบคุมข้อมูลที่จะต้องแจ้งให้บุคคลที่ข้อมูลส่วนบุคคลอาจรวมอยู่ในข้อมูลลูกค้าของคุณเกี่ยวกับข้อมูลส่วนบุคคลที่คุณรวบรวมและวัตถุประสงค์ที่คุณรวบรวมนั้น เพื่อขอรับความยินยอมจากบุคคลนั้นในการประมวลผลของเรา ข้อมูลส่วนบุคคลตามที่จำเป็น และเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลดังกล่าวมีความน่าเชื่อถือสำหรับการใช้งานตามวัตถุประสงค์ ถูกต้อง สมบูรณ์และเป็นปัจจุบัน เราไม่มีความสัมพันธ์โดยตรงกับบุคคลที่ข้อมูลส่วนบุคคลรวมอยู่ในข้อมูลลูกค้าที่เราดำเนินการ

เรารวบรวมและประมวลผลข้อมูลลูกค้าเพื่อวัตถุประสงค์ในการให้บริการแก่คุณและตามข้อตกลงของเรากับคุณเท่านั้น ในบางสถานการณ์ เราอาจเสริมข้อมูลลูกค้าที่คุณให้ไว้ด้วยข้อมูลจากแหล่งอื่น ซึ่งจะกระทำได้ก็ต่อเมื่อคุณร้องขอเป็นการเฉพาะ และเราตกลงที่จะเสริมดังกล่าว การเสริมข้อมูลลูกค้านี้มีวัตถุประสงค์เพื่อให้บริการแก่คุณเท่านั้น เราจะเก็บข้อมูลลูกค้าไว้ตามระยะเวลาที่ระบุไว้ในข้อตกลงของเรากับคุณ หรือนานกว่านั้นตามที่จำเป็นเพื่อปฏิบัติตามภาระผูกพันทางกฎหมาย แก้ไขข้อพิพาท หรือบังคับใช้ข้อตกลงของเรา

ข้อมูลผู้ใช้บริการ คือข้อมูลส่วนบุคคลเกี่ยวกับบุคคลในองค์กรของคุณ เช่น ผู้จัดการบัญชีและผู้ใช้ที่โต้ตอบกับ Hosted Managed Services และระบบของ SAS ข้อมูลผู้ใช้บริการมักจำกัดเพียงชื่อ ที่อยู่อีเมลที่ทำงาน หมายเลขโทรศัพท์ที่ทำงาน และตำแหน่งงาน เรารวบรวมข้อมูลลูกค้าผ่านแบบฟอร์มออนไลน์ อีเมล โทรศัพท์ และวิธีการที่เป็นลายลักษณ์อักษรอื่นๆ ที่คุณใช้ให้ข้อมูลดังกล่าวแก่เรา เราใช้ข้อมูลผู้ใช้บริการเพื่อสนับสนุนบัญชีของคุณ รักษาความสัมพันธ์ทางธุรกิจกับคุณ ตอบคำถามของคุณและทำหน้าที่ด้านบัญชี

ข้อมูลผู้ใช้บริการอาจรวมถึงข้อมูลผู้ใช้ด้วย ข้อมูลผู้ใช้ คือข้อมูลที่สร้างขึ้นโดยคอมพิวเตอร์ที่โต้ตอบกับระบบของเรา ข้อมูลผู้ใช้อาจถูกรวบรวมผ่านสิ่งต่อไปนี้

  • บันทึกเว็บเซิร์ฟเวอร์/การวิเคราะห์เว็บ ในกระบวนการดูแลเว็บไซต์ของเรา เราดูแลรักษาและติดตามการใช้งานผ่านบันทึกของเว็บเซิร์ฟเวอร์ และอาจใช้เครื่องมือวิเคราะห์เว็บเพื่อตรวจสอบข้อมูลบันทึก บันทึกเหล่านี้ให้ข้อมูล เช่น เบราว์เซอร์ประเภทใดที่กำลังเข้าถึงไซต์ของเรา ประเทศที่คำขอเข้าถึงมาจาก เพจใดที่ได้รับการเข้าชมสูง และเวลาของวันที่เซิร์ฟเวอร์ของเราประสบปัญหาการโหลดจำนวนมาก เราใช้ข้อมูลนี้เพื่อปรับปรุงเนื้อหาและคุณลักษณะการนำทางของไซต์ของเรา
  • คุกกี้และเทคโนโลยีการติดตามอื่นๆ มีเทคโนโลยีการติดตามที่หลากหลาย รวมถึง "คุกกี้" ซึ่งเราสามารถใช้เพื่อให้ข้อมูลที่ได้รับการปรับแต่งจากเว็บไซต์ คุกกี้คือองค์ประกอบของข้อมูลที่เว็บไซต์สามารถส่งไปยังเบราว์เซอร์ของคุณ ซึ่งอาจจัดเก็บไว้ในระบบของคุณ ระบบ SAS Hosted Managed Services บางระบบอาจใช้คุกกี้สำหรับการรับรองความถูกต้องและการรักษาความปลอดภัย และ/หรือเพื่อจดจำการตั้งค่าผู้ใช้ เพื่อให้เราสามารถให้บริการคุณได้ดียิ่งขึ้นเมื่อคุณกลับมาใช้ระบบเหล่านั้น การใช้ระบบเหล่านั้นแสดงว่าคุณยอมรับว่าเราสามารถวางคุกกี้ประเภทนี้ไว้ในระบบของคุณได้ คุณสามารถตั้งค่าเบราว์เซอร์ให้แจ้งเตือนคุณเมื่อคุณได้รับคุกกี้ ทำให้คุณมีโอกาสตัดสินใจว่าจะยอมรับคุกกี้หรือไม่ คุณสามารถควบคุมการใช้คุกกี้ได้ในระดับเบราว์เซอร์แต่ละระดับ สำหรับข้อมูลเพิ่มเติม โปรดดูข้อมูลผู้ใช้ที่ให้มาพร้อมกับเว็บเบราว์เซอร์ของคุณ หากคุณปฏิเสธคุกกี้ คุณอาจยังคงใช้ระบบ SAS Hosted Managed Services ได้ แต่ความสามารถของคุณในการใช้คุณลักษณะบางอย่างหรือพื้นที่ของระบบเหล่านั้นอาจถูกจำกัด

เรายังอาจใช้ข้อมูลผู้ใช้เพื่อช่วยเราป้องกันและตรวจจับภัยคุกคามด้านความปลอดภัย การฉ้อโกง หรือกิจกรรมที่เป็นอันตรายอื่นๆ เพื่อจัดการการเรียกเก็บเงินสำหรับบริการสมัครสมาชิกเหล่านั้นตามการใช้งาน และเพื่อให้แน่ใจว่าผลิตภัณฑ์และบริการของเราทำงานอย่างเหมาะสม

SAS อาจใช้ข้อมูลลูกค้าและข้อมูลผู้ใช้บริการเพิ่มเติมเพื่อวัตถุประสงค์ดังต่อไปนี้

  • เพื่อรักษาและอัพเกรดระบบ เจ้าหน้าที่ด้านเทคนิคของเราอาจต้องการการเข้าถึงข้อมูลบริการเป็นระยะซึ่งอาจรวมถึงข้อมูลลูกค้าหรือข้อมูลผู้ใช้บริการ เพื่อตรวจสอบประสิทธิภาพของระบบ ทดสอบระบบ และพัฒนาและดำเนินการอัปเกรดระบบ สำเนาชั่วคราวของข้อมูลบริการดังกล่าวที่สร้างขึ้นเป็นส่วนที่จำเป็นของกระบวนการนี้จะถูกเก็บรักษาไว้ในช่วงเวลาที่เกี่ยวข้องกับวัตถุประสงค์เหล่านั้นเท่านั้น
  • เพื่อจัดการประสิทธิภาพและแก้ไขปัญหา ในบางครั้ง เราอาจพัฒนาเวอร์ชัน แพตช์ การอัปเดต และการแก้ไขอื่นๆ ให้กับโปรแกรมและบริการของเรา เช่น แพตช์รักษาความปลอดภัยที่แก้ไขช่องโหว่ที่เพิ่งค้นพบ ตามเงื่อนไขในการสั่งซื้อบริการของคุณ เราอาจเข้าถึงคอมพิวเตอร์ของผู้ใช้จากระยะไกลในขณะที่ผู้ใช้รายนั้นสังเกตการณ์อยู่ เพื่อแก้ไขปัญหาด้านประสิทธิภาพ
  • เพื่อให้เป็นไปตามข้อกำหนดทางกฎหมาย SAS อาจจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามข้อกำหนดการรายงาน การเปิดเผย หรือกระบวนการทางกฎหมายอื่นๆ ที่ได้รับคำสั่งตามกฎหมาย เมื่อเราเชื่อว่าการเปิดเผยนั้นจำเป็นต่อการปกป้องสิทธิ์ของเรา หรือเพื่อตอบสนองต่อคำขอของรัฐบาล ตามดุลยพินิจของเราแต่เพียงผู้เดียว

เว็บไซต์บุคคลที่สาม

หากคุณร้องขอและ SAS ยินยอม ระบบ SAS Hosted Managed Services อาจมีการกำหนดค่าเพื่อให้คุณและผู้ใช้ของคุณสามารถเข้าถึงเว็บไซต์บุคคลที่สามอื่นๆ ซึ่งแนวปฏิบัติด้านความเป็นส่วนตัวอาจแตกต่างจากของ SAS หากคุณหรือเจ้าของข้อมูลของคุณส่งข้อมูลส่วนบุคคลไปยังเว็บไซต์ใดๆ เหล่านั้น ข้อมูลดังกล่าวจะอยู่ภายใต้คำชี้แจงสิทธิ์ส่วนบุคคลของบุคคลนั้น เราขอแนะนำให้คุณและเจ้าของข้อมูลของคุณอ่านคำชี้แจงสิทธิ์ส่วนบุคคลของเว็บไซต์ใดๆ ที่คุณหรือเจ้าของข้อมูลของคุณเข้าถึงผ่านระบบของเราอย่างรอบคอบ คุณอาจมีสิทธิ์หรือทางเลือกในการ: (1) จำกัดหรือคัดค้านการประมวลผลข้อมูล (2) รับข้อมูลเพื่อส่งไปยังบริษัทอื่น (3) เพิกถอนความยินยอมที่ให้ไว้ และ/หรือ ขึ้นอยู่กับประเทศของคุณ (4) ยื่นเรื่องร้องเรียนต่อหน่วยงานกำกับดูแลของคุณ

การเข้าถึงและการแก้ไขข้อมูล ทางเลือกสำหรับการจำกัดการใช้และการเปิดเผย

ระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (GDPR), กฎหมายว่าด้วยการคุ้มครองข้อมูลของรัฐบาลกลางสวิตเซอร์แลนด์ (Swiss Federal Act on Data Protection) และกฎหมาย GDPR/กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักร กำหนดให้เจ้าของข้อมูลมีสิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคลเกี่ยวกับตนเองที่องค์กรถือครอง และโดยเฉพาะอย่างยิ่ง สิทธิ์ในการ (1 ) ได้รับการยืนยันว่ามีการประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับตนหรือไม่ (2) มีการสื่อสารข้อมูลเพื่อให้สามารถตรวจสอบความถูกต้องและการปฏิบัติตามกฎหมาย ของการประมวลผล และ (3) แก้ไข เปลี่ยนแปลง หรือลบข้อมูล

ในส่วนของข้อมูลลูกค้า เราดำเนินการโดยสมมติฐานว่าเป็นภาระหน้าที่ของคุณในฐานะผู้ควบคุมข้อมูลที่ต้องจัดหาช่องทางในการเข้าถึงข้อมูลแก่เจ้าของข้อมูลของคุณ และขอให้แก้ไข เปลี่ยนแปลง หรือลบข้อมูลดังกล่าว ภายใต้รูปแบบธุรกิจปัจจุบันของเรา เราไม่มีการโต้ตอบโดยตรงกับเจ้าของข้อมูลของคุณ ดังนั้นจึงไม่มีวิธีโดยตรงสำหรับบุคคลนั้นในการส่งคำขอเหล่านี้ถึงเรา หากคุณเป็นลูกค้า SAS Hosted Managed Services และคุณได้รับคำขอดังกล่าวจากเจ้าของข้อมูลที่เราโฮสต์ข้อมูลส่วนบุคคล และคุณต้องการความช่วยเหลือของเราในการตอบสนองต่อคำขอนั้น โปรดติดต่อสำนักงานความเป็นส่วนตัวของเราที่ privacy@sas.com หรือฝ่ายกฎหมาย/เจ้าหน้าที่ความเป็นส่วนตัว, SAS Campus Drive, Cary, NC 27513 เราจะตอบกลับคำขอภายใน 30 วันหลังจากได้รับ

ในส่วนของข้อมูลลูกค้า เราดำเนินการโดยสมมติฐานว่าเป็นภาระหน้าที่ของคุณในฐานะผู้ควบคุมข้อมูลที่ต้องได้รับความยินยอมตามสมควรจากเจ้าของข้อมูลของคุณในการถ่ายโอนข้อมูลมาให้เรา และเพื่อให้เราประมวลผลข้อมูลของบุคคลนั้น เพื่อให้บริการตามที่ตกลงร่วมกันแก่คุณ และเพื่อเปิดเผยข้อมูลของตนแก่บุคคลที่สาม โดยสอดคล้องกับนโยบายนี้และข้อตกลงของเรากับคุณ เราจะไม่แบ่งปัน ขาย ให้เช่า หรือแลกเปลี่ยนข้อมูลลูกค้าที่เรารวบรวมไว้กับบุคคลที่สามเพื่อวัตถุประสงค์ทางการตลาด เว้นแต่คุณจะสั่งให้เราดำเนินการดังกล่าวและได้รับอนุญาตอย่างเหมาะสมในการดำเนินการดังกล่าว หากเจ้าของข้อมูลของคุณไม่ต้องการได้รับการติดต่อจากคุณหรือ SAS ตามคำสั่งของคุณอีกต่อไป โปรดแจ้งเจ้าของข้อมูลที่จะติดต่อคุณในฐานะลูกค้าของ SAS โดยตรง

ในส่วนที่เกี่ยวกับข้อมูลผู้ใช้บริการ ระบบ SAS Hosted Managed Services บางระบบจะช่วยให้ผู้ใช้สามารถเข้าถึงและแก้ไขหรือแก้ไขข้อมูลส่วนบุคคลของตนเองได้ มิฉะนั้น หากคุณหรือผู้ใช้ของคุณต้องการขอเข้าถึงหรือแก้ไขข้อมูลลูกค้า โปรดติดต่อสำนักงานความเป็นส่วนตัวของเราที่ privacy@sas.com หรือฝ่ายกฎหมาย/เจ้าหน้าที่ความเป็นส่วนตัว, SAS Campus Drive, Cary, NC 27513 เราจะตอบกลับคำขอภายใน 30 วันหลังจากได้รับ

คุณมีทางเลือกให้ใช้สภาพแวดล้อมคลาวด์ตาม "หลักการภายในสหภาพยุโรป" ซึ่งหมายความว่า ตามคำขอของคุณและข้อตกลงเป็นลายลักษณ์อักษรร่วมกัน สภาพแวดล้อมระบบคลาวด์ (โครงสร้างพื้นฐานด้านไอทีทางกายภาพและเชิงตรรกะ) SAS จัดเตรียมไว้สำหรับบริการที่มีการจัดการโฮสต์อยู่ภายในสหภาพยุโรป การตั้งค่ามาตรฐานของเรา (ขึ้นอยู่กับผู้ให้บริการโครงสร้างพื้นฐานคลาวด์ที่ใช้งาน) คือ Availability Zone (“AZ”) ในแฟรงก์เฟิร์ต (เยอรมนี) หรือดับลิน (ไอร์แลนด์) ซึ่งใช้โครงสร้างพื้นฐานที่ตั้งอยู่รอบๆ เมืองเหล่านี้ ในปัจจุบัน เมื่อ SAS ดำเนินการบริการคลาวด์ของลูกค้าสำหรับลูกค้าในสหภาพยุโรปเท่านั้น (ลูกค้าเหล่านั้นที่ร้องขอทรัพยากร “ในสหภาพยุโรปเท่านั้น”) SAS จะไม่ย้ายหรือจัดเก็บข้อมูลลูกค้านอกสหภาพยุโรปและตกลงกับ AZ สิ่งอำนวยความสะดวกสำรองที่เกี่ยวข้องกับ AZ ก็อยู่ภายในสหภาพยุโรปเช่นกัน

เราจะไม่ใช้หรือเปิดเผยข้อมูลผู้ใช้บริการเพื่อวัตถุประสงค์ที่ต่างออกไปจากที่อธิบายไว้ในนโยบายนี้ หรือได้รับอนุญาตในภายหลัง โดยไม่เสนอทางเลือกให้เจ้าของข้อมูลเลือกที่จะไม่ใช้งานหรือเปิดเผยดังกล่าว

ความปลอดภัยของข้อมูล

เราใช้มาตรการที่เหมาะสมซึ่งออกแบบมาเพื่อปกป้องข้อมูลส่วนบุคคลจากการสูญหาย การใช้ในทางที่ผิดและการเข้าถึงที่ไม่ได้รับอนุญาต การเปิดเผย การเปลี่ยนแปลง และการทำลาย มาตรการรักษาความปลอดภัยบางส่วนของเรามีดังต่อไปนี้:

  • นโยบายความปลอดภัย เราออกแบบและสนับสนุนผลิตภัณฑ์และบริการของเราตามนโยบายความปลอดภัยที่จัดทำเป็นเอกสาร ในแต่ละปี เราประเมินการปฏิบัติตามนโยบายของเราและทำการปรับปรุงนโยบายและแนวปฏิบัติที่จำเป็นของเรา
  • การฝึกอบรมและความรับผิดชอบของพนักงาน เราดำเนินการตามขั้นตอนบางอย่างเพื่อลดความเสี่ยงของข้อผิดพลาดของมนุษย์ การโจรกรรม การฉ้อโกง และการใช้สิ่งอำนวยความสะดวกของเราในทางที่ผิด เราฝึกอบรมบุคลากรของเราเกี่ยวกับนโยบายความเป็นส่วนตัวและความปลอดภัยของเรา และเรากำหนดให้พนักงานของเราลงนามในข้อตกลงการรักษาความลับ นอกจากนี้เรายังได้มอบหมายให้บุคคลมีหน้าที่รับผิดชอบในการจัดการโปรแกรมความปลอดภัยของข้อมูลของเราด้วย
  • การควบคุมการเข้าถึง เราจำกัดการเข้าถึงข้อมูลลูกค้าเฉพาะบุคคลที่มีวัตถุประสงค์ที่ได้รับอนุญาตในการเข้าถึงข้อมูลนั้นเท่านั้น เรายกเลิกสิทธิ์การเข้าถึงเหล่านั้นหลังจากเปลี่ยนงานหรือเลิกจ้าง
  • การเข้ารหัสข้อมูล การถ่ายโอนข้อมูลลูกค้าที่ไม่เปิดเผยต่อสาธารณะทางอิเล็กทรอนิกส์ทั้งหมดระหว่างคุณและ SAS (รวมถึงข้อมูลส่วนบุคคลที่ละเอียดอ่อนและข้อมูลประจำตัวในการลงชื่อเข้าใช้) กำหนดให้ SAS ดำเนินการผ่านการเชื่อมต่อที่เข้ารหัส

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับมาตรการรักษาความปลอดภัยของเรา โปรดเข้าชมเว็บไซต์ SAS Trust Center เกี่ยวกับมาตรการทางเทคนิคและความปลอดภัยขององค์กร (TOMS) ที่: Trust Center - TOMS

หากเรายืนยันว่าข้อมูลลูกค้าของคุณมีการเข้าถึงหรือนำไปใช้โดยบุคคลที่ไม่ได้รับอนุญาต เราจะติดต่อตัวแทนที่ได้รับมอบหมายของคุณเพื่อประสานงานในการรับมือต่อเหตุการณ์ดังกล่าว หากคุณมีคำถามใดๆ เกี่ยวกับการรักษาความปลอดภัยข้อมูลส่วนบุคคลของคุณ คุณสามารถติดต่อเราได้ที่ privacy@sas.com หรือ Legal Division/Privacy Officer, SAS Campus Drive, Cary, NC 27513

เราเก็บข้อมูลส่วนบุคคลของคุณไว้นานเท่าที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ที่ระบุไว้ในนโยบายนี้ เพื่อปฏิบัติตามนโยบายของเรา และตามระยะเวลาใดๆ ตามที่กฎหมายกำหนดหรืออนุญาตโดยกฎหมายที่บังคับใช้

การถ่ายโอนต่อไปยังบุคคลที่สาม

SAS อาจเปิดเผยข้อมูลส่วนบุคคลแก่พันธมิตรทางธุรกิจและผู้รับเหมารายย่อยตามความจำเป็น เพื่อวัตถุประสงค์ในการให้บริการของเราและดำเนินการบริการอื่นๆ ที่ร้องขอ หรือตามความเหมาะสมอื่นๆ ที่เกี่ยวข้องกับความต้องการทางธุรกิจที่ถูกกฎหมาย บริษัทเหล่านี้ได้รับอนุญาตให้ใช้ข้อมูลส่วนบุคคลของคุณเท่าที่จำเป็นเพื่อให้บริการเหล่านี้แก่เราเท่านั้น เรายังอาจเปิดเผยข้อมูลส่วนบุคคลที่คุณมอบให้กับหน่วยงาน SAS และ/หรือฝ่ายธุรกิจอื่นๆ เพื่อวัตถุประสงค์ที่สอดคล้องกับที่อธิบายไว้ในนโยบายนี้และตามข้อตกลงของเรากับคุณ เราจะไม่เปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สามเพื่อวัตถุประสงค์อื่นนอกเหนือจากที่อธิบายไว้ในนโยบายนี้ ยกเว้นตามคำสั่งของคุณและเมื่อได้รับอนุญาตจากคุณ การเปิดเผยข้อมูลส่วนบุคคลจะดำเนินการตาม SCC และกฎหมายคุ้มครองข้อมูลที่บังคับใช้ที่เกี่ยวข้องกับการถ่ายโอนในอนาคต เราจะไม่ขาย ให้เช่า หรือให้เช่าช่วงข้อมูลส่วนบุคคลของคุณแก่ผู้อื่น

เรายังอาจเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่สามตามความจำเป็นที่เกี่ยวข้องกับการขายหรือโอนธุรกิจของเราทั้งหมดหรือบางส่วน ในสถานการณ์เหล่านี้ เราจะกำหนดให้ผู้รับข้อมูลปกป้องข้อมูลตามนโยบายนี้ หรือดำเนินการอื่นใดเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลได้รับการปกป้องอย่างเหมาะสม หาก SAS เกี่ยวข้องกับการขายหรือโอนธุรกิจทั้งหมดหรือบางส่วนของเรา คุณจะได้รับแจ้งทางอีเมลและ/หรือประกาศที่ชัดเจนบนเว็บไซต์ของเราเกี่ยวกับการเปลี่ยนแปลงใดๆ ต่อการเป็นเจ้าของหรือการใช้ข้อมูลส่วนบุคคลของ SAS และตัวเลือกที่คุณอาจ มีเกี่ยวกับข้อมูลส่วนบุคคลของคุณ

SAS อาจเปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดหรืออนุญาต เช่น เพื่อตอบรับคำร้องขอทางกฎหมายจากหน่วยงานสาธารณะ รวมถึงเพื่อให้เป็นไปตามข้อกำหนดด้านความมั่นคงของชาติหรือการบังคับใช้กฎหมาย หรือเมื่อเราเชื่อในดุลยพินิจของเราแต่เพียงผู้เดียวว่าการเปิดเผยมีความจำเป็นหรือเหมาะสมเพื่อปกป้อง สิทธิ์ของเราหรือเพื่อปฏิบัติตามกระบวนการพิจารณาคดี คำสั่งศาล คำร้องขอบังคับใช้กฎหมาย หรือกระบวนการทางกฎหมายอื่นๆ

SAS เป็นบริษัทระดับโลกที่มีบริษัทสาขาและพันธมิตรทางธุรกิจในกว่า 80 ประเทศ และมีระบบทางเทคนิคที่ข้ามพรมแดน ข้อมูลส่วนบุคคลที่รวบรวมบนระบบ SAS Hosted Managed Services อาจถูกถ่ายโอนข้ามพรมแดนรัฐและประเทศ และจัดเก็บหรือประมวลผลในสหรัฐอเมริกาหรือประเทศอื่นๆ ที่ SAS บริษัทสาขา บริษัทในเครือ หรือหน่วยธุรกิจมีสถานที่อำนวยความสะดวกเพื่อวัตถุประสงค์ในการรวม การจัดเก็บข้อมูล และการจัดการข้อมูล เมื่อใช้ระบบของเรา องค์กรของคุณยินยอมให้มีการถ่ายโอนข้อมูลดังกล่าวออกนอกประเทศที่คุณพำนัก SAS บริษัทสาขา บริษัทในเครือ และหน่วยธุรกิจจะจัดการข้อมูลของคุณที่รวบรวมโดยระบบของเราในลักษณะที่สอดคล้องกัน ดังที่อธิบายไว้ที่นี่ แม้ว่ากฎหมายในบางประเทศอาจให้การคุ้มครองข้อมูลของคุณน้อยลงก็ตาม แนวทางปฏิบัติด้านความเป็นส่วนตัวของเราได้รับการออกแบบมาเพื่อปกป้องข้อมูลส่วนบุคคลของคุณทั่วโลก

TRUSTe

การสอบถามและการร้องเรียน

หากคุณมีคำถามหรือข้อกังวลเกี่ยวกับนโยบายนี้หรือการจัดการข้อมูลส่วนบุคคลของคุณ อันดับแรกคุณควรติดต่อเราโดยส่งอีเมลไปที่ privacy@sas.com หรือทางไปรษณีย์และจ่าหน้าซองถึงที่อยู่ต่อไปนี้

SAS Institute Inc.
ฝ่ายกฎหมาย/เจ้าหน้าที่ความเป็นส่วนตัว
SAS Campus Drive
Cary, NC 27513

เราจะตอบกลับภายในระยะเวลาที่เหมาะสม

การเปลี่ยนแปลงนโยบายนี้

เราขอสงวนสิทธิ์ในการแก้ไขนโยบายนี้ได้ตลอดเวลา เมื่อเราทำการแก้ไขเพียงเล็กน้อย เราอาจดำเนินการดังกล่าวโดยไม่ต้องแจ้งให้คุณทราบ เมื่อเราทำการแก้ไขเนื้อหา เราจะแจ้งให้บุคคลที่คุณมอบหมายให้เรารับการแจ้งเตือนดังกล่าวล่วงหน้า 30 วันก่อนการเปลี่ยนแปลง คุณมีหน้าที่รับผิดชอบในการอัปเดตข้อมูลติดต่อที่เราเก็บบันทึกไว้สำหรับตัวแทนที่ได้รับมอบหมายให้เป็นปัจจุบัน

วันที่มีผลบังคับใช้: 7 กรกฎาคม 2017
วันที่แก้ไขล่าสุด: 1 ตุลาคม 2023