ข้อตกลงการประมวลผลข้อมูล
ภาคผนวกสัญญาสำหรับการประมวลผลข้อมูลส่วนบุคคลโดยบริษัทในนามลูกค้า
1. คำนำ
ข้อตกลงการประมวลผลข้อมูลฉบับนี้ (เรียกว่า "DPA") เป็นส่วนหนึ่งของข้อตกลงระหว่างบริษัทกับลูกค้า และใช้บังคับเมื่อบริษัทประมวลผลข้อมูลส่วนบุคคลในนามลูกค้าในฐานะผู้ประมวลผลข้อมูลเกี่ยวกับแพลตฟอร์ม DPA มีวัตถุประสงค์เพื่อรองรับข้อกำหนดตาม PDPA และเมื่อใช้บังคับ ให้รองรับ GDPR และกฎหมายคุ้มครองข้อมูลอื่นที่มีผลบังคับ วันที่มีผลใช้บังคับ: 21 กุมภาพันธ์ 2569. ปรับปรุงล่าสุด: 21 กุมภาพันธ์ 2569.
2. คำจำกัดความและความสัมพันธ์กับเอกสารอื่น
คำที่ขึ้นต้นด้วยอักษรตัวใหญ่ใน DPA นี้ให้มีความหมายตามที่กำหนดไว้ในข้อกำหนดการให้บริการ รวมถึง Company, Platform, Customer, Organization, Instructor, Learner, End User, Content, Personal Data, Controller, Processor และ Subprocessor
สำหรับวัตถุประสงค์ของ DPA นี้ "Customer Personal Data" หมายถึงข้อมูลส่วนบุคคลที่บริษัทประมวลผลในฐานะผู้ประมวลผลข้อมูลในนามลูกค้าเกี่ยวกับการให้บริการแพลตฟอร์ม "Applicable Data Protection Law" หมายถึง PDPA และกฎ/ประกาศที่เกี่ยวข้อง และเมื่อใช้บังคับตามสถานที่ตั้งและกิจกรรมของลูกค้าและผู้ใช้ปลายทาง ให้รวมถึง GDPR และกฎหมายคุ้มครองข้อมูลส่วนบุคคลภาคบังคับอื่น "Security Incident" หมายถึงเหตุการณ์ที่กระทบต่อความลับ ความถูกต้องครบถ้วน หรือความพร้อมใช้งานของ Customer Personal Data รวมถึงการละเมิดข้อมูลส่วนบุคคลตามนิยามใน PDPA หรือ GDPR แล้วแต่กรณี
หากมีความขัดแย้งระหว่าง DPA นี้กับข้อกำหนดการให้บริการในส่วนหน้าที่ด้านการคุ้มครองข้อมูล ให้ DPA นี้มีผลเหนือ หากมีความขัดแย้งระหว่าง DPA นี้กับใบสั่งซื้อที่ลงนาม ลำดับความมีผลบังคับมีดังนี้: ใบสั่งซื้อที่ลงนามมีผลเหนือกว่า DPA ในส่วนเงื่อนไขเชิงพาณิชย์ และ DPA มีผลเหนือกว่าข้อกำหนดการให้บริการในส่วนหน้าที่ด้านการคุ้มครองข้อมูล ทั้งนี้คู่สัญญาอาจตกลงในใบสั่งซื้อให้มีหน้าที่ด้านความปลอดภัยหรือการตรวจสอบเพิ่มเติม
3. ขอบเขตการประมวลผล
3.1 บทบาทของคู่สัญญา
ลูกค้าเป็นผู้ควบคุมข้อมูลสำหรับ Customer Personal Data และบริษัทเป็นผู้ประมวลผลข้อมูล เว้นแต่กรณีที่บริษัทเป็นผู้ควบคุมข้อมูลสำหรับการประมวลผลของบริษัทเองตามที่ระบุไว้ในนโยบายความเป็นส่วนตัว ลูกค้ากำหนดวัตถุประสงค์และวิธีการประมวลผล Customer Personal Data และสั่งให้บริษัทประมวลผลเพื่อให้บริการแพลตฟอร์ม
3.2 รายละเอียดการประมวลผล
เรื่อง วัตถุ ระยะเวลา ลักษณะ และวัตถุประสงค์ของการประมวลผล รวมถึงประเภทเจ้าของข้อมูลและประเภทของ Customer Personal Data ระบุไว้ในภาคผนวก 1 บริษัทจะประมวลผล Customer Personal Data ตลอดระยะเวลาที่ลูกค้าใช้แพลตฟอร์ม เว้นแต่กฎหมายกำหนดเป็นอย่างอื่น
3.3 คำสั่งของลูกค้า
บริษัทจะประมวลผล Customer Personal Data ตามคำสั่งที่เป็นลายลักษณ์อักษรหรือคำสั่งที่บันทึกไว้ของลูกค้าเท่านั้น รวมถึงคำสั่งเกี่ยวกับการโอนข้อมูลไปยังต่างประเทศ เว้นแต่กฎหมายที่ใช้บังคับกำหนดให้บริษัทต้องประมวลผลโดยมิได้อาศัยคำสั่งของลูกค้า ในกรณีดังกล่าว บริษัทจะชี้แจงให้ลูกค้าทราบถึงข้อกำหนดทางกฎหมายเท่าที่กฎหมายอนุญาต
4. หน้าที่ของผู้ประมวลผลข้อมูล
4.1 ความลับ
บริษัทจะทำให้แน่ใจว่าบุคคลที่ได้รับอนุญาตให้ประมวลผล Customer Personal Data อยู่ภายใต้ข้อผูกพันด้านความลับ ไม่ว่าจะโดยสัญญาหรือโดยกฎหมาย ให้เหมาะสมกับลักษณะการประมวลผล
4.2 มาตรการความปลอดภัย
บริษัทจะจัดให้มีมาตรการทางเทคนิคและการจัดองค์กรที่เหมาะสมเพื่อคุ้มครอง Customer Personal Data จากการทำลาย สูญหาย เปลี่ยนแปลง เปิดเผย หรือเข้าถึงโดยไม่ได้รับอนุญาต มาตรการความปลอดภัยอธิบายในระดับสูงในนโยบายความปลอดภัยและอาจระบุเพิ่มเติมในภาคผนวก 1 บริษัทรักษามาตรฐานความปลอดภัยที่สอดคล้องกับมาตรฐานอุตสาหกรรมสำหรับแพลตฟอร์ม SaaS บริษัทอาจดำเนินการขอรับรองมาตรฐานอย่างเป็นทางการเมื่อแพลตฟอร์มเติบโตขึ้น และจะจัดให้มีรายงานการตรวจสอบหรือการรับรองที่เกี่ยวข้องเมื่อมีการร้องขอ
4.3 ผู้ประมวลผลช่วงต่อ
ลูกค้าอนุญาตให้บริษัทว่าจ้างผู้ประมวลผลช่วงต่อเพื่อประมวลผล Customer Personal Data เพื่อวัตถุประสงค์ในการให้บริการแพลตฟอร์ม บริษัทจะทำสัญญาเป็นลายลักษณ์อักษรกับผู้ประมวลผลช่วงต่อแต่ละรายเพื่อกำหนดหน้าที่ด้านการคุ้มครองข้อมูลที่คุ้มครองไม่น้อยกว่า DPA นี้เท่าที่ใช้บังคับต่อบริการของผู้ประมวลผลช่วงต่อ
บริษัทจัดทำรายชื่อผู้ประมวลผลช่วงต่อซึ่งสามารถขอได้โดยส่งอีเมลไปที่ heretohelp@openmirai.com บริษัทจะแจ้งล่วงหน้าอย่างน้อย 30 วันก่อนว่าจ้างผู้ประมวลผลช่วงต่อรายใหม่ ลูกค้าสามารถคัดค้านด้วยเหตุผลด้านการคุ้มครองข้อมูลภายใน 14 วันหลังได้รับการแจ้ง หากคู่สัญญาไม่สามารถแก้ไขข้อคัดค้านได้ ลูกค้าอาจยกเลิกบริการที่ได้รับผลกระทบ เว้นแต่จะยืนยันเป็นอย่างอื่น บริษัทมีเจตนาจะแจ้งการเปลี่ยนแปลงผู้ประมวลผลช่วงต่อที่มีสาระสำคัญและให้โอกาสลูกค้าคัดค้านโดยมีเหตุผลเกี่ยวกับการคุ้มครองข้อมูล ภายใต้ความสามารถของบริษัทในการให้บริการแพลตฟอร์มต่อไป
4.4 ความช่วยเหลือเกี่ยวกับสิทธิของเจ้าของข้อมูล
โดยคำนึงถึงลักษณะการประมวลผล บริษัทจะให้ความช่วยเหลือตามสมควรแก่ลูกค้าเพื่อให้ลูกค้าสามารถตอบคำขอของเจ้าของข้อมูลในการใช้สิทธิตาม Applicable Data Protection Law เท่าที่คำขอเกี่ยวข้องกับ Customer Personal Data ความช่วยเหลืออาจรวมถึงการจัดให้มีฟีเจอร์สำหรับเข้าถึง แก้ไข ส่งออก และลบ ภายใต้ความสามารถของแพลตฟอร์ม บริษัทจัดให้มีฟีเจอร์บริการตนเองสำหรับการเข้าถึง แก้ไข และลบข้อมูลเท่าที่เป็นไปได้ทางเทคนิค และจะให้ความช่วยเหลือสำหรับคำขอที่ไม่สามารถดำเนินการผ่านบริการตนเองได้ภายใน 30 วัน
4.5 ความช่วยเหลือด้านการปฏิบัติตามกฎหมาย
โดยคำนึงถึงลักษณะการประมวลผลและข้อมูลที่บริษัทมีอยู่ บริษัทจะให้ความช่วยเหลือตามสมควรแก่ลูกค้าเกี่ยวกับหน้าที่ของลูกค้าที่เกี่ยวกับความปลอดภัย การแจ้งการละเมิดข้อมูล และเมื่อใช้บังคับ รวมถึงการประเมินผลกระทบและการปรึกษาหน่วยงานกำกับ ขอบเขตและวิธีการให้ความช่วยเหลือจะตกลงระหว่างคู่สัญญาเป็นรายกรณี ความช่วยเหลือตามสมควรจัดให้โดยไม่มีค่าใช้จ่ายเพิ่มเติม ความช่วยเหลือที่ขยายขอบเขตอาจมีค่าธรรมเนียมตามอัตราบริการวิชาชีพปัจจุบันของบริษัท
4.6 การแจ้งเหตุการณ์ด้านความปลอดภัย
บริษัทจะแจ้งลูกค้าโดยไม่ชักช้าเมื่อทราบถึง Security Incident ที่กระทบ Customer Personal Data บริษัทจะแจ้งลูกค้าโดยไม่ชักช้าและไม่เกิน 72 ชั่วโมงหลังจากทราบถึงเหตุการณ์ การแจ้งจะส่งทางอีเมลไปยังผู้ติดต่อด้านความปลอดภัยหรือความเป็นส่วนตัวที่ลูกค้ากำหนด การแจ้งจะประกอบด้วยลักษณะของเหตุการณ์ ประเภทและจำนวนโดยประมาณของเจ้าของข้อมูลที่ได้รับผลกระทบ ผลที่อาจเกิดขึ้น และมาตรการที่ดำเนินการหรือเสนอ บริษัทจะให้ข้อมูลที่จำเป็นโดยสมควรเพื่อให้ลูกค้าปฏิบัติตามหน้าที่การแจ้งตามกฎหมาย โดยคำนึงถึงข้อมูลที่บริษัทมีอยู่
4.7 การตรวจสอบและการให้ข้อมูล
บริษัทจะจัดให้มีข้อมูลที่จำเป็นโดยสมควรเพื่อแสดงการปฏิบัติตาม DPA นี้ และจะอนุญาตและให้ความร่วมมือในการตรวจสอบตามที่ Applicable Data Protection Law กำหนด ภายใต้มาตรการรักษาความลับและความปลอดภัยที่เหมาะสม การตรวจสอบสามารถดำเนินการได้ปีละครั้งโดยแจ้งเป็นลายลักษณ์อักษรล่วงหน้าอย่างน้อย 30 วัน การตรวจสอบจะจำกัดอยู่ที่การทบทวนเอกสารและรายงานการตรวจสอบโดยบุคคลภายนอก การตรวจสอบ ณ สถานที่อาจดำเนินการเมื่อการทบทวนเอกสารไม่เพียงพอ ค่าใช้จ่ายในการตรวจสอบเป็นของลูกค้า เว้นแต่การตรวจสอบเผยให้เห็นการไม่ปฏิบัติตามที่มีสาระสำคัญโดยบริษัท และอาจจำกัดอยู่ที่การทบทวนเอกสาร รายงานการตรวจสอบโดยบุคคลภายนอก หรือมาตรการที่สมเหตุสมผลเพื่อหลีกเลี่ยงภาระที่ไม่สมส่วนและความเสี่ยงด้านความปลอดภัย
4.8 การส่งคืนและการลบข้อมูล
เมื่อสิ้นสุดการใช้แพลตฟอร์มของลูกค้า บริษัทจะส่งคืนหรือลบ Customer Personal Data ตามที่ลูกค้าเลือกเท่าที่เป็นไปได้ทางเทคนิค เว้นแต่กฎหมายกำหนดให้เก็บรักษาไว้ ลูกค้าสามารถส่งออก Customer Personal Data ผ่านฟีเจอร์ส่งออกของแพลตฟอร์มภายในระยะเวลา 30 วัน หลังจากนั้นบริษัทจะลบ Customer Personal Data ภายใน 60 วัน เว้นแต่กฎหมายกำหนดให้เก็บรักษาไว้ กรอบเวลาและรูปแบบ และอาจขึ้นกับแผนการสมัครใช้ของลูกค้า
5. การโอนข้อมูลระหว่างประเทศ
เมื่อมีการโอน Customer Personal Data ออกนอกประเทศไทยหรือนอกเขตอำนาจศาลของเจ้าของข้อมูล บริษัทจะจัดให้มีมาตรการคุ้มครองตาม Applicable Data Protection Law สำหรับการโอนข้อมูลที่อยู่ภายใต้ GDPR สำหรับการโอนข้อมูลที่อยู่ภายใต้ GDPR คู่สัญญาจะทำ Standard Contractual Clauses (SCCs) ตามที่คณะกรรมาธิการยุโรปอนุมัติ โมดูลที่ใช้บังคับคือ Module Two (Controller to Processor) ภาคผนวกที่เกี่ยวข้องจะจัดทำและระบุไว้ในภาคผนวก 3 เมื่อลงนาม และหากใช้ จะระบุไว้ในภาคผนวก 3
6. หน้าที่ของลูกค้า
ลูกค้ารับรองและรับประกันว่าได้จัดทำการแจ้งให้ทราบและได้รับสิทธิ ความยินยอม และฐานกฎหมายที่จำเป็นทั้งหมดสำหรับการประมวลผล Customer Personal Data และการสั่งให้บริษัทประมวลผลภายใต้ DPA นี้ ลูกค้ามีหน้าที่รับผิดชอบต่อความชอบด้วยกฎหมายของคำสั่งของตน และต่อการทำให้แน่ใจว่าเนื้อหาของลูกค้าและการใช้แพลตฟอร์มของลูกค้าเป็นไปตาม Applicable Data Protection Law
7. ความรับผิดและการจัดสรรความเสี่ยง
การจัดสรรความรับผิดระหว่างคู่สัญญาสำหรับข้อเรียกร้องที่เกิดขึ้นภายใต้ DPA นี้มีเจตนาให้เป็นไปตามข้อกำหนดการให้บริการ รวมถึงการจำกัดความรับผิด เว้นแต่ Applicable Data Protection Law ห้ามไว้ ความรับผิดรวมของแต่ละฝ่ายภายใต้ DPA นี้จะไม่เกินค่าธรรมเนียมทั้งหมดที่ลูกค้าชำระหรือพึงชำระภายในระยะเวลา 12 เดือนก่อนเหตุอันก่อให้เกิดข้อเรียกร้อง การชดใช้หรือการจัดสรรเพิ่มเติม และอาจระบุไว้ในใบสั่งซื้อ
8. ระยะเวลาและการสิ้นสุด
DPA นี้มีผลใช้บังคับตราบเท่าที่บริษัทประมวลผล Customer Personal Data ในฐานะผู้ประมวลผลข้อมูลแทนลูกค้า ส่วนที่มีเจตนาให้คงอยู่ต่อไปหลังสิ้นสุด รวมถึงความลับ หน้าที่การลบและส่งคืน และบทความเกี่ยวกับความรับผิด ให้คงอยู่เท่าที่จำเป็น
9. การปรับปรุง DPA
บริษัทอาจปรับปรุง DPA นี้เมื่อจำเป็นเพื่อสะท้อนการเปลี่ยนแปลงของ Applicable Data Protection Law หรือของแพลตฟอร์ม บริษัทจะเผยแพร่ฉบับปรับปรุงในพอร์ทัลเอกสารทางกฎหมาย และอาจให้การแจ้งเพิ่มเติมด้วยวิธีการที่สมเหตุสมผล การปรับปรุงจะเผยแพร่ในพอร์ทัลเอกสารทางกฎหมายพร้อมแจ้งล่วงหน้าอย่างน้อย 30 วัน การเปลี่ยนแปลงที่มีสาระสำคัญต้องได้รับการยอมรับเป็นลายลักษณ์อักษรจากลูกค้า ซึ่งอาจดำเนินการผ่านแพลตฟอร์ม การใช้แพลตฟอร์มต่อหลังจากระยะเวลาการแจ้งถือเป็นการยอมรับการเปลี่ยนแปลงที่ไม่มีสาระสำคัญ กลไกวันที่มีผลใช้บังคับ และอาจขึ้นกับการจัดทำสัญญาและกฎหมายที่ใช้บังคับ
ภาคผนวก 1. รายละเอียดการประมวลผล
A1.1 เรื่องและลักษณะการประมวลผล
บริษัทให้บริการระบบบริหารจัดการการเรียนรู้แบบโฮสต์ซึ่งประมวลผล Customer Personal Data เพื่อให้องค์กรสามารถสร้างและบริหารเว็บไซต์การเรียนรู้ จัดการผู้ใช้ปลายทาง จัดส่งเนื้อหาการเรียนรู้ และดำเนินเวิร์กโฟลว์ที่เกี่ยวข้อง กิจกรรมการประมวลผลอาจรวมถึงการจัดเก็บ โฮสต์ โอนถ่าย ควบคุมการเข้าถึง แสดงผล และการลบ ตามการกำหนดค่าของลูกค้าและการใช้งานแพลตฟอร์ม
A1.2 ประเภทของเจ้าของข้อมูล
ประเภทของเจ้าของข้อมูลอาจรวมถึงผู้ดูแลระบบของลูกค้า ผู้สอน ผู้เรียน พนักงาน ผู้รับจ้าง และผู้ใช้ปลายทางอื่นที่มีข้อมูลส่วนบุคคลอยู่ในเนื้อหาของลูกค้าหรือถูกประมวลผลผ่านแพลตฟอร์ม
A1.3 ประเภทของ Customer Personal Data
ประเภทของ Customer Personal Data อาจรวมถึงตัวระบุและข้อมูลติดต่อ ข้อมูลรับรองบัญชี ข้อมูลบทบาทและสิทธิ์ บันทึกการมีส่วนร่วมในการเรียนรู้ การสื่อสาร และข้อมูลทางเทคนิคและการใช้งานที่เกิดจากการใช้แพลตฟอร์ม ประเภทของ Customer Personal Data อาจรวมถึงชื่อ อีเมล ชื่อผู้ใช้ ข้อมูลโปรไฟล์ ข้อมูลบทบาทและสิทธิ์ บันทึกการลงทะเบียนและความก้าวหน้าในหลักสูตร ผลการประเมิน การสื่อสารผ่านแพลตฟอร์ม ที่อยู่ IP ข้อมูลอุปกรณ์ และบันทึกการใช้งาน ฟิลด์ข้อมูลที่เฉพาะเจาะจงขึ้นกับการกำหนดค่าและการใช้งานของลูกค้า
A1.4 วัตถุประสงค์และระยะเวลา
วัตถุประสงค์ของการประมวลผลคือเพื่อให้บริการแพลตฟอร์มและการสนับสนุนและความปลอดภัยที่เกี่ยวข้องตามคำสั่งของลูกค้า ระยะเวลาการประมวลผลคือระยะเวลาการใช้แพลตฟอร์มของลูกค้า รวมถึงช่วงเวลาเพิ่มเติมที่จำเป็นสำหรับการส่งออก การลบ การสำรองข้อมูล หรือการปฏิบัติตามกฎหมาย รวมถึงช่วงเวลาเพิ่มเติมไม่เกิน 90 วันสำหรับการส่งออก การลบ การล้างข้อมูลสำรอง และการปฏิบัติตามกฎหมาย
A1.5 มาตรการความปลอดภัย
มาตรการความปลอดภัยอาจรวมถึงการควบคุมการเข้าถึง การยืนยันตัวตน การบันทึกและเฝ้าระวัง การเข้ารหัสระหว่างส่ง การสำรองข้อมูล และกระบวนการตอบสนองเหตุการณ์ ตามที่อธิบายในนโยบายความปลอดภัย มาตรการเพิ่มเติม ได้แก่ การควบคุมการเข้าถึงตามบทบาท การยืนยันตัวตนแบบหลายปัจจัย การบันทึกและเฝ้าระวังการตรวจสอบ การเข้ารหัสระหว่างส่งด้วย TLS 1.2 ขึ้นไป การเข้ารหัสระหว่างจัดเก็บด้วย AES-256 การสำรองข้อมูลเป็นประจำโดยเก็บรักษา 30 วัน และกระบวนการตอบสนองเหตุการณ์ที่จัดทำเป็นเอกสาร
ภาคผนวก 2. ผู้ประมวลผลช่วงต่อ
ผู้ประมวลผลช่วงต่อปัจจุบันของบริษัทมีดังต่อไปนี้ บริษัทจัดทำรายการปัจจุบันและแจ้งล่วงหน้าอย่างน้อย 30 วันเมื่อมีการเปลี่ยนแปลงทางอีเมลไปยังผู้ติดต่อที่ลูกค้ากำหนด
| ผู้ประมวลผลช่วงต่อ | บริการ | ที่ตั้งข้อมูล |
|---|---|---|
| Akamai Technologies (Linode) | โครงสร้างพื้นฐาน Kubernetes cluster และการประมวลผล | สิงคโปร์ |
| Cloudflare, Inc. | การประมวลผลที่ขอบเครือข่าย (Workers) และการจัดส่งเนื้อหา | ทั่วโลก |
| Cloudflare, Inc. | พื้นที่จัดเก็บออบเจกต์ (R2) | ทั่วโลก |
| MongoDB, Inc. | โครงสร้างพื้นฐาน Database cluster | สิงคโปร์ |
| Google Cloud Platform (Vertex AI) | การอนุมานโมเดล AI (Gemini 3 Pro Preview, Gemini 3 Flash) | ทั่วโลก |
| Stripe, Inc. | การประมวลผลการชำระเงิน (บัตรเครดิต/เดบิต, โอนเงินผ่านธนาคาร) | ทั่วโลก |
| Slip2Go | การตรวจสอบสลิปการชำระเงินผ่าน PromptPay | ประเทศไทย |
ภาคผนวก 3. กลไกการโอนข้อมูล
สำหรับการโอนข้อมูลที่อยู่ภายใต้ GDPR หรือข้อกำหนดที่คล้ายกัน จะใช้ Standard Contractual Clauses ตามที่คณะกรรมาธิการยุโรปอนุมัติ โมดูลที่ใช้บังคับคือ Module Two (Controller to Processor) ภาคผนวกที่เกี่ยวข้องจะจัดทำและระบุไว้ในภาคผนวก 3 เมื่อลงนาม