กลับไปที่ Roviqa

ข้อตกลงการประมวลผลข้อมูล

วันที่มีผลบังคับใช้: 1 มิถุนายน 2569

ข้อตกลงการประมวลผลข้อมูลนี้ ("DPA") เป็นส่วนหนึ่งของข้อตกลงระหว่างองค์กรผู้สมัครใช้บริการ ("ลูกค้า") กับ Roviqa และกำหนดการประมวลผลข้อมูลส่วนบุคคลโดย Roviqa ในนามของลูกค้าที่เกี่ยวข้องกับบริการ โดยมุ่งให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ("PDPA") โดยเฉพาะหน้าที่ของผู้ควบคุมข้อมูลต่อผู้ประมวลผลข้อมูลตามมาตรา 40 ในกรณีที่ขัดแย้งกับข้อกำหนดการใช้งาน ให้ DPA นี้มีผลเหนือกว่าในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล

เอกสารนี้เป็นแม่แบบที่จัดทำขึ้นเพื่ออำนวยความสะดวกเท่านั้น และไม่ถือเป็นคำแนะนำทางกฎหมาย การอ้างอิงมาตราเป็นการอ้างอิงตาม PDPA ของไทย ผู้ให้บริการ(องค์กรผู้สมัครใช้บริการหรือผู้เผยแพร่ Roviqa) ต้องระบุชื่อนิติบุคคล ที่อยู่ และเลขทะเบียนที่จดทะเบียนของตน แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเมื่อเข้าเงื่อนไข และให้ที่ปรึกษากฎหมายไทยผู้มีคุณสมบัติตรวจสอบและปรับแก้ก่อนนำไปใช้งานจริง

1. บทบาทของคู่สัญญา

ลูกค้าเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่ส่งเข้าสู่บริการเกี่ยวกับลูกค้า ผู้ติดต่อ และธุรกรรมของตน ("ข้อมูลส่วนบุคคลของลูกค้า") Roviqa เป็นผู้ประมวลผลข้อมูลและประมวลผลข้อมูลส่วนบุคคลของลูกค้าตามคำสั่งที่เป็นลายลักษณ์อักษรของลูกค้าเท่านั้น รวมถึงตามที่ระบุใน DPA นี้และการตั้งค่าบริการ เว้นแต่กฎหมายที่ใช้บังคับกำหนดให้ดำเนินการเป็นอย่างอื่น

2. ขอบเขต ลักษณะ และระยะเวลาของการประมวลผล

Roviqa ประมวลผลข้อมูลส่วนบุคคลของลูกค้าเพื่อโฮสต์ จัดเก็บ ส่ง และทำให้ฟีเจอร์ใบเสนอราคาของบริการพร้อมใช้งาน — รวมถึงการจัดการลูกค้า ผู้ติดต่อ คำขอใบเสนอราคา ใบเสนอราคา คำสั่งซื้อ และการสื่อสารที่เกี่ยวข้อง ประเภทเจ้าของข้อมูลรวมถึงลูกค้าและผู้ติดต่อทางธุรกิจของลูกค้าเอง ประเภทข้อมูลรวมถึงชื่อ ข้อมูลติดต่อทางธุรกิจ เลขประจำตัวผู้เสียภาษี และเนื้อหาของใบเสนอราคาและบันทึกที่เกี่ยวข้อง การประมวลผลดำเนินต่อไปตลอดระยะเวลาการสมัครใช้บริการและจนกว่าจะมีการลบหรือส่งคืนตามที่ระบุด้านล่าง

3. ผู้ประมวลผลช่วง

ลูกค้าอนุญาตให้ Roviqa ใช้ผู้ประมวลผลช่วงเพื่อสนับสนุนบริการ ได้แก่ ผู้ให้บริการชำระเงิน (เช่น Stripe) ผู้ให้บริการอีเมลธุรกรรม (เช่น Resend) และผู้ให้บริการคลาวด์โฮสติงและพื้นที่จัดเก็บออบเจ็กต์ (เช่น แพลตฟอร์มคลาวด์และพื้นที่จัดเก็บที่รองรับ S3) Roviqa กำหนดข้อผูกพันด้านการคุ้มครองข้อมูลแก่ผู้ประมวลผลช่วงแต่ละรายที่ให้การคุ้มครองไม่น้อยไปกว่าใน DPA นี้ และยังคงรับผิดชอบต่อการปฏิบัติงานของผู้ประมวลผลช่วงนั้น เราจะแจ้งล่วงหน้าตามสมควรถึงการเปลี่ยนแปลงผู้ประมวลผลช่วงที่ตั้งใจไว้ เพื่อให้ลูกค้าสามารถคัดค้านได้บนพื้นฐานด้านการคุ้มครองข้อมูลที่สมเหตุสมผล

4. มาตรการรักษาความปลอดภัย

Roviqa ดำเนินการและคงไว้ซึ่งมาตรการทางเทคนิคและองค์กรที่เหมาะสมกับความเสี่ยงตามที่มาตรา 37 (1) ของ PDPA กำหนด รวมถึง: การเข้ารหัสข้อมูลระหว่างการส่งและขณะจัดเก็บ การแยกข้อมูลระหว่างองค์กรเชิงตรรกะและการควบคุมการเข้าถึงตามบทบาท การให้สิทธิเข้าถึงแบบจำกัดเฉพาะที่จำเป็นและการยืนยันตัวตนสำหรับบุคลากร การบันทึกการตรวจสอบและการเฝ้าระวัง แนวปฏิบัติด้านการพัฒนาซอฟต์แวร์และการจัดการการเปลี่ยนแปลงที่ปลอดภัย และการทบทวนและทดสอบมาตรการป้องกันอย่างสม่ำเสมอ บุคลากรที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนบุคคลของลูกค้าผูกพันตามข้อตกลงด้านความลับ

5. การช่วยเหลือคำขอของเจ้าของข้อมูล

เมื่อคำนึงถึงลักษณะของการประมวลผล Roviqa จะให้ความช่วยเหลือตามสมควรผ่านมาตรการทางเทคนิคและองค์กรที่เหมาะสมและฟีเจอร์ของบริการ เพื่อช่วยลูกค้าตอบสนองคำขอจากเจ้าของข้อมูลที่ใช้สิทธิตามมาตรา 30 ถึง 36 ของ PDPA (เช่น การเข้าถึง การแก้ไขให้ถูกต้อง การลบ การระงับ การคัดค้าน และการโอนย้ายข้อมูล) หาก Roviqa ได้รับคำขอดังกล่าวโดยตรง จะส่งต่อเจ้าของข้อมูลไปยังลูกค้าที่เกี่ยวข้องเท่าที่ชอบด้วยกฎหมาย

6. การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล

Roviqa จะแจ้งลูกค้าโดยไม่ชักช้าเกินควรหลังจากทราบถึงเหตุละเมิดข้อมูลส่วนบุคคลที่กระทบต่อข้อมูลส่วนบุคคลของลูกค้า และจะให้ข้อมูลที่มีอยู่ตามสมควรเพื่อช่วยลูกค้าปฏิบัติตามภาระการแจ้ง ทั้งนี้เพื่อสนับสนุนหน้าที่ของลูกค้าในฐานะผู้ควบคุมข้อมูลในการแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) โดยไม่ชักช้าเกินควร และหากทำได้ภายใน 72 ชั่วโมงนับแต่ทราบเหตุ (มาตรา 37 (4) ของ PDPA) และแจ้งเจ้าของข้อมูลที่ได้รับผลกระทบเมื่อเหตุละเมิดมีความเสี่ยงสูงต่อสิทธิของเจ้าของข้อมูล

7. การส่งคืนและลบข้อมูลเมื่อยุติบริการ

เมื่อยุติหรือสิ้นสุดการสมัครใช้บริการ และตามที่ลูกค้าเลือก Roviqa จะส่งคืนข้อมูลส่วนบุคคลของลูกค้าและ/หรือลบข้อมูลดังกล่าว รวมถึงลบสำเนาที่มีอยู่ ภายในระยะเวลาที่สมเหตุสมผล (โดยปกติภายใน 30 วัน) เว้นแต่กฎหมายที่ใช้บังคับกำหนดให้จัดเก็บต่อไป ลูกค้าสามารถส่งออกข้อมูลของตนผ่านบริการได้ก่อนยุติบริการ

8. การตรวจสอบและการปฏิบัติตามข้อกำหนด

Roviqa จะจัดให้ลูกค้าได้รับข้อมูลที่จำเป็นตามสมควรเพื่อแสดงการปฏิบัติตาม DPA นี้ และจะอนุญาตและมีส่วนร่วมในการตรวจสอบ รวมถึงการตรวจสอบ ณ สถานที่ ที่ดำเนินการโดยลูกค้าหรือผู้ตรวจสอบที่ลูกค้ามอบหมาย ภายใต้ข้อจำกัดที่สมเหตุสมผลด้านความลับ ความปลอดภัย การนัดหมาย และความถี่ เมื่อมีอยู่ Roviqa อาจตอบสนองคำขอตรวจสอบโดยจัดให้มีใบรับรองที่เกี่ยวข้องหรือรายงานการประเมินจากบุคคลภายนอก

9. การติดต่อ

คำถามเกี่ยวกับ DPA นี้หรือคำขอที่เกี่ยวข้องกับการประมวลผลข้อมูลสามารถส่งมาที่ [email protected]