ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล
ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล
ข้อตกลงการประมวลผลข้อมูลส่วนบุคคลฉบับนี้ (“DPA”) ถือเป็นส่วนหนึ่งของสัญญาการใช้บริการระหว่าง บริษัท ธันเดอร์ โซลูชั่น จำกัด (“ผู้ประมวลผลข้อมูล” หรือ “บริษัท”) และ ผู้ใช้บริการ (“ผู้ควบคุมข้อมูล” หรือ “ท่าน”) เพื่อกำกับดูแลการประมวลผลข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA)
1. บทบาทและหน้าที่
บทบาท | คำอธิบาย |
บริษัท (ธันเดอร์ โซลูชั่น) ในฐานะ “ผู้ประมวลผลข้อมูล” | เมื่อบริษัทให้บริการระบบตรวจสอบสลิป, API, หรือ Chatbot แก่ท่าน บริษัทจะทำหน้าที่ประมวลผลข้อมูลส่วนบุคคล (เช่น ข้อมูลลูกค้าของท่าน, สลิปโอนเงิน) ตามคำสั่งของท่าน เท่านั้น |
ท่าน (ผู้ใช้บริการ) ในฐานะ “ผู้ควบคุมข้อมูล” | ท่านเป็นผู้มีอำนาจตัดสินใจเกี่ยวกับวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของท่าน และท่านมีหน้าที่รับผิดชอบในการขอความยินยอมหรือหาฐานทางกฎหมายในการส่งข้อมูลให้บริษัทประมวลผล |
2. รายละเอียดการประมวลผล
- วัตถุประสงค์: เพื่อให้บริการตรวจสอบความถูกต้องของสลิปโอนเงิน, การยืนยันตัวตน, และการให้บริการผ่านระบบ Chatbot/API ตามสัญญาการใช้บริการ
- ประเภทของข้อมูลส่วนบุคคล: ชื่อ-นามสกุล, ข้อมูลบัญชีธนาคาร, รายละเอียดการทำธุรกรรม (Transaction Data), รูปภาพสลิปโอนเงิน, และข้อมูลอื่นๆ ที่ท่านส่งเข้ามาในระบบ
- ระยะเวลา: ตลอดอายุสัญญาการใช้บริการ และระยะเวลาที่จำเป็นสำหรับการเก็บรักษาข้อมูลตามกฎหมายหรือเพื่อการตรวจสอบทางบัญชี
3. หน้าที่ของบริษัท
ในฐานะผู้ประมวลผลข้อมูล บริษัทตกลงดำเนินการดังต่อไปนี้:
3.1 การปฏิบัติตามคำสั่ง
บริษัทจะประมวลผลข้อมูลส่วนบุคคลตามคำสั่งที่ชอบด้วยกฎหมายของท่าน หรือตามที่ระบุไว้ในสัญญาการใช้บริการเท่านั้น หากบริษัทเห็นว่าคำสั่งใดขัดต่อกฎหมาย PDPA บริษัทจะแจ้งให้ท่านทราบทันที
3.2 ความลับ (Confidentiality)
บริษัทรับรองว่าพนักงานและบุคลากรทุกคนที่เกี่ยวข้องกับการประมวลผลข้อมูล มีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลและจะไม่เปิดเผยต่อบุคคลภายนอกเว้นแต่ได้รับอนุญาต
3.3 ความมั่นคงปลอดภัย (Security Measures)
บริษัทใช้บริการโครงสร้างพื้นฐานจาก Amazon Web Services (AWS) ซึ่งมีมาตรฐานความปลอดภัยระดับโลก โดยมีมาตรการดังนี้:
- การรับรองมาตรฐาน: ศูนย์ข้อมูลได้รับการรับรอง ISO/IEC 27001, SOC 1/2/3 และ PCI DSS
- การเข้ารหัส (Encryption): มีการเข้ารหัสข้อมูลทั้งขณะส่งผ่าน (TLS) และขณะจัดเก็บ (AES-256)
- การควบคุมการเข้าถึง: จำกัดสิทธิ์การเข้าถึงข้อมูลตามความจำเป็น (Need-to-Know Basis)
3.4 การช่วยเหลือเกี่ยวกับสิทธิของเจ้าของข้อมูล (Data Subject Rights)
บริษัทจะให้ความช่วยเหลือท่านตามความเหมาะสม (ทางเทคนิค) ในการตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (เช่น การขอลบ หรือขอคัดสำเนาข้อมูล)
3.6 การแจ้งเหตุละเมิดข้อมูล
หากเกิดเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach) ที่ส่งผลกระทบต่อข้อมูลของท่าน บริษัทจะแจ้งให้ท่านทราบโดยไม่ชักช้า (ภายใน 48 ชั่วโมงหลังจากทราบเหตุ) พร้อมทั้งรายงานรายละเอียดของเหตุการณ์ แนวทางการแก้ไข และมาตรการป้องกัน
3.7 การลบหรือคืนข้อมูล
เมื่อสิ้นสุดสัญญาการใช้บริการ บริษัทจะดำเนินการลบ ทำลาย หรือส่งคืนข้อมูลส่วนบุคคลทั้งหมดให้แก่ท่าน ตามที่ท่านร้องขอ เว้นแต่บริษัทมีหน้าที่ตามกฎหมายในการเก็บรักษาข้อมูลนั้นต่อไป
4. หน้าที่ของท่าน
ในฐานะผู้ควบคุมข้อมูล ท่านตกลงดำเนินการดังนี้:
- รับรองว่าข้อมูลส่วนบุคคลที่ส่งให้บริษัทประมวลผล ได้มาโดยชอบด้วยกฎหมาย
- มีฐานทางกฎหมายที่ถูกต้อง (เช่น ความยินยอม หรือ สัญญา) ในการอนุญาตให้บริษัทประมวลผลข้อมูล
- รับผิดชอบต่อการแจ้งนโยบายความเป็นส่วนตัว (Privacy Notice) ให้แก่ลูกค้าของท่านทราบถึงการส่งข้อมูลมาประมวลผลที่บริษัท
5. ข้อจำกัดความรับผิด
บริษัทจะไม่รับผิดชอบต่อการเรียกร้องใดๆ จากเจ้าของข้อมูลส่วนบุคคล หากการเรียกร้องนั้นเกิดจากการที่บริษัทปฏิบัติตามคำสั่งของท่าน หรือเกิดจากการที่ท่านไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
