ข้อตกลงการประมวลผลข้อมูล
Effective: 1 มิ.ย. 2569
⚠ Draft — not yet reviewed by counsel
DPA นี้เป็น draft ตาม PDPA ม.40 — ที่ปรึกษากฎหมายต้องตรวจสอบก่อนใช้กับลูกค้าจริง
ข้อตกลงนี้กำหนดบทบาทระหว่างคุณ (ผู้ควบคุมข้อมูล/Controller) และเรา Cowork CRM (ผู้ประมวลผล/Processor) ตาม PDPA
1. บทบาทของคู่สัญญา
คุณเป็นผู้ควบคุมข้อมูลส่วนบุคคลของลูกค้าคุณที่นำเข้าระบบ เราเป็นผู้ประมวลผลในนามคุณตามคำสั่งของคุณ
2. ขอบเขตการประมวลผล
เราประมวลผลข้อมูลเฉพาะเพื่อ:
- ให้บริการ CRM ตามที่ระบุในข้อกำหนดการใช้บริการ
- ปฏิบัติตามคำสั่งที่ถูกต้องและสมเหตุสมผลของคุณ
- ปฏิบัติตามกฎหมายที่บังคับใช้
3. หน้าที่ของเราในฐานะผู้ประมวลผล
เรารับประกันว่าจะรักษาความลับ ใช้มาตรการความปลอดภัยที่เหมาะสม ไม่นำข้อมูลไปใช้นอกขอบเขต ช่วยคุณตอบสนองคำขอจากเจ้าของข้อมูล และแจ้งเหตุการละเมิดภายใน 72 ชั่วโมง
4. ผู้ประมวลผลช่วง (Sub-processor)
เราใช้ผู้ประมวลผลช่วงที่ระบุในนโยบายความเป็นส่วนตัว เราจะแจ้งล่วงหน้า 30 วันก่อนเพิ่มผู้ประมวลผลช่วงใหม่
5. มาตรการความปลอดภัย
เราใช้มาตรการต่อไปนี้:
- เข้ารหัส TLS 1.3 ขณะส่งข้อมูล + AES-256 ขณะจัดเก็บ
- Row-Level Security (RLS) แยกข้อมูลแต่ละ tenant ที่ระดับ Postgres
- Audit log สำหรับการเข้าถึงข้อมูลของระดับ admin
- Backup รายวัน เก็บไว้ 30 วัน
6. การลบข้อมูล
เมื่อคุณยกเลิกบริการ เราจะลบข้อมูลของคุณภายใน 30 วัน เว้นแต่กฎหมายกำหนดให้เก็บไว้นานกว่านั้น
7. ความช่วยเหลือสำหรับคำขอจากเจ้าของข้อมูล
เราให้เครื่องมือผ่านระบบเพื่อให้คุณช่วยลูกค้าของคุณใช้สิทธิ์ตาม PDPA ได้ (export, delete, etc.) หากต้องการความช่วยเหลือเพิ่ม ติดต่อ DPO
8. การโอนข้อมูลข้ามประเทศ
หากต้องโอนข้อมูลไปต่างประเทศ เราใช้ Standard Contractual Clauses หรือมาตรฐานที่เทียบเท่า