ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (DPA)
Data Processing Agreement สำหรับผู้ใช้บริการ
ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล ("DPA") ฉบับนี้ เป็นส่วนหนึ่งของข้อตกลงการให้บริการของ RPOS เพื่อกำหนดหน้าที่และความรับผิดชอบตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
1. สถานะของคู่สัญญา
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller): คือ "ผู้ใช้บริการ" หรือ "ร้านอาหาร" ซึ่งเป็นผู้ตัดสินใจวัตถุประสงค์ในการเก็บรวบรวมข้อมูลของลูกค้าที่เข้ามาทานอาหารที่ร้าน
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor): คือ "RPOS" ซึ่งทำหน้าที่ประมวลผลข้อมูลตามคำสั่งและในนามของร้านอาหารผ่านระบบซอฟต์แวร์
2. ขอบเขตการประมวลผล
RPOS จะประมวลผลข้อมูล (เช่น รายการอาหารที่สั่ง, หมายเลขโต๊ะ, ข้อมูลเซสชันการใช้งาน) ตามความจำเป็นในการให้บริการระบบ POS, QR Ordering, และระบบ KDS เท่านั้น เราจะไม่นำข้อมูลลูกค้าของท่านไปใช้เพื่อวัตถุประสงค์อื่น หรือขายให้แก่บุคคลที่สามโดยเด็ดขาด
3. หน้าที่ของ RPOS (ในฐานะผู้ประมวลผลข้อมูล)
- จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ ดัดแปลง หรือเปิดเผยข้อมูลโดยปราศจากอำนาจ
- แจ้งให้ผู้ควบคุมข้อมูลทราบภายใน 72 ชั่วโมง หากพบว่ามีการละเมิดข้อมูลส่วนบุคคล (Data Breach) ในระบบของเรา
- ให้ความช่วยเหลือร้านอาหารในการตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูล (Data Subject Rights) เช่น การขอลบข้อมูลประวัติการสั่งอาหาร
4. การใช้ผู้ประมวลผลช่วง (Sub-processors)
ร้านอาหารยินยอมให้ RPOS ใช้บริการบุคคลที่สามเพื่อช่วยในการประมวลผลข้อมูล (Sub-processors) เพื่อให้ระบบทำงานได้สมบูรณ์ ได้แก่:
- ผู้ให้บริการคลาวด์เซิร์ฟเวอร์ (Cloud Hosting Providers)
- ผู้ให้บริการระบบปัญญาประดิษฐ์ (เช่น Google Gemini API สำหรับระบบแนะนำอาหาร) โดยการส่งข้อมูลจะเป็นไปในลักษณะไม่ระบุตัวตน (Anonymized Data)
5. การลบและการทำลายข้อมูล
เมื่อสิ้นสุดสัญญาการใช้บริการ หรือร้านอาหารทำการลบบัญชี RPOS จะทำการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลที่อยู่บนเซิร์ฟเวอร์ของเราไม่สามารถระบุตัวบุคคลได้ ภายในระยะเวลาที่เหมาะสม เว้นแต่กฎหมายจะกำหนดให้เก็บรักษาไว้