อัปเดตล่าสุด: 26 พฤษภาคม 2026
หน้านี้สรุปข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement, DPA) ระหว่างลูกค้าในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และ บริษัท บีที แซน เทคโนโลยี (ประเทศไทย) จำกัด ในฐานะผู้ประมวลผลข้อมูล (Data Processor)
DPA ฉบับเซ็นจริงเป็นเอกสารแยก ติดต่อ [email protected] หัวข้อ "DPA Request" เพื่อขอเอกสาร PDF สำหรับให้ทีม legal ของคุณตรวจสอบ
1. ขอบเขตและคู่สัญญา
- DPA ฉบับนี้ใช้บังคับกับการประมวลผลข้อมูลส่วนบุคคลที่ลูกค้าส่งเข้าสู่แพลตฟอร์ม BT San Technology (AI Training Cloud, Machine Vision, Smart Factory และบริการที่เกี่ยวข้อง)
- ลูกค้า (Data Controller) เป็นผู้กำหนดวัตถุประสงค์และวิธีการประมวลผล
- บริษัท (Data Processor) ประมวลผลข้อมูลตามคำสั่งของลูกค้าและตาม Privacy Policy ของบริษัทเท่านั้น
2. ประเภทของข้อมูลและเจ้าของข้อมูล
- ประเภทข้อมูลส่วนบุคคลที่ลูกค้าอาจอัปโหลดเข้าสู่แพลตฟอร์ม:
- ภาพ วิดีโอ และ dataset ที่อาจมีใบหน้า ป้ายชื่อพนักงาน ทะเบียนรถ หรือข้อมูลระบุตัวบุคคลอื่น
- ข้อมูลผู้ใช้แพลตฟอร์ม (พนักงานของลูกค้า) — ชื่อ อีเมล บทบาท สิทธิ์การใช้งาน
- Device logs และ telemetry จาก Jetson หรืออุปกรณ์ที่ deploy ในไซต์ของลูกค้า
- ประเภทเจ้าของข้อมูล: พนักงาน ผู้รับเหมา ผู้เยี่ยมชม และบุคคลอื่นที่ปรากฏในข้อมูลที่ลูกค้าอัปโหลด
3. วัตถุประสงค์และระยะเวลา
- วัตถุประสงค์: จัดเก็บ ทำ label เทรนโมเดล ประเมินผล และ deploy โมเดลตามคำสั่งของลูกค้า
- ระยะเวลา: ตลอดอายุสัญญาการใช้บริการ และตามระยะเวลาที่ลูกค้ากำหนดให้เก็บข้อมูล
- เมื่อสัญญาสิ้นสุด บริษัทจะลบหรือคืนข้อมูลตามคำสั่งของลูกค้าภายในระยะเวลาที่ตกลง
4. หน้าที่ของผู้ประมวลผล
- ประมวลผลข้อมูลตามคำสั่งของลูกค้าเท่านั้น เว้นแต่กฎหมายกำหนดเป็นอย่างอื่น
- ดูแลให้พนักงานและผู้รับเหมาที่เข้าถึงข้อมูลมีหน้าที่รักษาความลับ
- ใช้มาตรการรักษาความปลอดภัยทางเทคนิคและองค์กรที่เหมาะสมตามที่ระบุใน Security Page
- ช่วยเหลือลูกค้าในการตอบสนองคำขอของเจ้าของข้อมูล (access, correct, delete, etc.) ภายในเวลาอันสมควร
- แจ้งให้ลูกค้าทราบโดยไม่ชักช้าหากเกิดเหตุข้อมูลรั่วไหลที่กระทบต่อข้อมูลของลูกค้า
5. ผู้ประมวลผลช่วง (Sub-processors)
- บริษัทอาจใช้ผู้ประมวลผลช่วงในการให้บริการ — รายชื่อปัจจุบันดูได้ที่ หน้าผู้ให้บริการ
- ก่อนเพิ่มหรือเปลี่ยนผู้ประมวลผลช่วงรายสำคัญ บริษัทจะแจ้งให้ลูกค้าทราบล่วงหน้าตามสมควร และให้สิทธิคัดค้านในกรณีที่มีเหตุอันสมควร
- บริษัทจะกำหนดให้ผู้ประมวลผลช่วงมีหน้าที่รักษาความปลอดภัยและความลับไม่ต่ำกว่ามาตรฐานใน DPA ฉบับนี้
6. การโอนข้อมูลไปต่างประเทศ
- ผู้ประมวลผลช่วงบางรายมีเซิร์ฟเวอร์อยู่นอกประเทศไทย เช่น Cloudflare, Google, Resend
- การโอนข้อมูลข้ามพรมแดนจะอยู่ภายใต้มาตรการคุ้มครองที่เหมาะสม เช่น Data Processing Addendum ของผู้ให้บริการ หรือมาตรการเทียบเท่าที่ PDPA ยอมรับ
7. ความปลอดภัย
- การเข้ารหัสระหว่างทาง (HTTPS/TLS) และการเข้ารหัสที่จัดเก็บ (encryption at rest) สำหรับ dataset และ model
- Role-based access control, audit log, tenant isolation ระหว่างองค์กรลูกค้า
- การสำรองข้อมูล การตรวจสอบเหตุผิดปกติ และการทดสอบมาตรการความปลอดภัยเป็นระยะ
- รายละเอียดเพิ่มเติม: Security Page
8. การแจ้งเหตุข้อมูลรั่วไหล
- หากเกิดเหตุข้อมูลรั่วไหลหรือเหตุผิดปกติที่กระทบต่อข้อมูลส่วนบุคคลของลูกค้า บริษัทจะแจ้งให้ลูกค้าทราบโดยไม่ชักช้าหลังจากตรวจพบและประเมินเหตุการณ์ในขั้นต้น
- การแจ้งเหตุจะรวมถึงข้อมูลเท่าที่ทราบในขณะนั้น เช่น ลักษณะของเหตุการณ์ ประเภทข้อมูลที่อาจได้รับผลกระทบ และมาตรการที่ดำเนินการ
9. สิทธิ์ในการตรวจสอบ (Audit)
- ลูกค้ามีสิทธิ์ตรวจสอบการปฏิบัติตาม DPA ผ่านเอกสาร certifications, security questionnaire หรือ report ที่บริษัทจัดเตรียมไว้
- การ on-site audit อาจมีค่าใช้จ่ายตามที่ตกลงกัน และต้องแจ้งล่วงหน้าตามสมควรเพื่อไม่กระทบการให้บริการลูกค้ารายอื่น
10. การลบหรือคืนข้อมูล
- เมื่อสัญญาสิ้นสุด หรือเมื่อลูกค้าร้องขอ บริษัทจะลบหรือคืน Dataset, label, model และข้อมูลส่วนบุคคลของลูกค้าภายในระยะเวลาที่ตกลง
- ระบบสำรองข้อมูล (backup) อาจคงข้อมูลไว้ในช่วงระยะเวลา retention ของ backup และจะถูกลบตามกำหนดการของระบบ
11. กฎหมายที่ใช้บังคับ
- DPA ฉบับนี้อยู่ภายใต้กฎหมายไทย — โดยเฉพาะพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA)
- หาก DPA ฉบับเซ็นจริงมีข้อความแตกต่าง ให้ใช้ฉบับเซ็นเป็นหลัก
หน้านี้เป็น summary สาธารณะ ไม่ใช่สัญญาที่มีผลผูกพัน หากต้องการ DPA ฉบับเซ็นจริง โปรดติดต่อ [email protected] หัวข้อ "DPA Request" เราจะจัดส่งเอกสาร PDF ภายใน 3 วันทำการ
