ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement: DPA)

สำหรับผู้ใช้บริการ RPOS Center และ RPOS Mobile

ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล ("DPA") ฉบับนี้ เป็นส่วนหนึ่งของข้อตกลงการให้บริการของ RPOS Center และใช้กับบริการที่ให้ผ่านเว็บไซต์ เว็บแอปพลิเคชัน และแอปพลิเคชัน RPOS Mobile เพื่อกำหนดหน้าที่และความรับผิดชอบของคู่สัญญาในการประมวลผลข้อมูลส่วนบุคคล ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง รวมถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

1. สถานะของคู่สัญญา

  • ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller): คือ "ผู้ใช้บริการ" หรือ "ร้านอาหาร" ซึ่งเป็นผู้กำหนดวัตถุประสงค์และวิธีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าปลายทางหรือข้อมูลอื่นที่ร้านอาหารนำเข้าสู่ระบบ
  • ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor): คือ "RPOS Center" หรือ "RPOS" ซึ่งทำหน้าที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ใช้บริการ ตามขอบเขตของบริการและตามคำสั่งของผู้ควบคุมข้อมูล เว้นแต่ในกรณีที่กฎหมายกำหนดให้ RPOS มีสถานะเป็นผู้ควบคุมข้อมูลสำหรับข้อมูลบางประเภท

2. ขอบเขตและวัตถุประสงค์ของการประมวลผล

RPOS จะประมวลผลข้อมูลส่วนบุคคลตามความจำเป็นเพื่อให้บริการแพลตฟอร์มบริหารจัดการร้านอาหาร เช่น ระบบ POS, QR Ordering, Kitchen Display / Kitchen Ticket, Mobile operations, การพิมพ์เอกสาร, การแสดงผลบิล, การจัดการโต๊ะ, การตั้งค่าอุปกรณ์, และฟีเจอร์ที่เกี่ยวข้อง

การประมวลผลดังกล่าวจะจำกัดอยู่เท่าที่จำเป็นต่อการให้บริการ บำรุงรักษาระบบ รักษาความปลอดภัย และปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูล ภายใต้เงื่อนไขของกฎหมายที่ใช้บังคับ

3. ประเภทของข้อมูลและกลุ่มเจ้าของข้อมูล

ข้อมูลที่อาจอยู่ภายใต้การประมวลผลตาม DPA ฉบับนี้ อาจรวมถึง:

  • ข้อมูลคำสั่งซื้อ รายการอาหาร หมายเลขโต๊ะ หมายเหตุอาหาร เวลาที่สั่ง และข้อมูลที่เกี่ยวข้องกับการดำเนินงานของร้าน
  • ข้อมูลลูกค้าปลายทางที่ร้านอาหารจัดเก็บผ่านระบบ เช่น ประวัติการสั่งซื้อ หรือข้อมูลการใช้งานฟีเจอร์ที่ร้านเลือกใช้
  • ข้อมูลทางเทคนิคที่เกิดจากการใช้งานระบบ เช่น session identifiers, logs, IP address, device events เท่าที่จำเป็นต่อบริการและความปลอดภัย

กลุ่มเจ้าของข้อมูลอาจรวมถึงลูกค้าปลายทางของร้านอาหาร พนักงานของร้าน หรือบุคคลที่เกี่ยวข้องกับการใช้งานระบบตามที่ผู้ใช้บริการเป็นผู้กำหนด

4. คำสั่งของผู้ควบคุมข้อมูล

RPOS จะประมวลผลข้อมูลส่วนบุคคลตามคำสั่งที่มีเอกสารหรือมีรูปแบบที่ตรวจสอบได้ของผู้ควบคุมข้อมูล ซึ่งอาจรวมถึงการกำหนดค่าการใช้งานระบบ การใช้งานฟีเจอร์ต่าง ๆ และการตั้งค่าที่ผู้ใช้บริการดำเนินการภายในระบบ

5. หน้าที่ของ RPOS ในฐานะผู้ประมวลผลข้อมูล

  • ประมวลผลข้อมูลเฉพาะเท่าที่จำเป็นต่อการให้บริการและตามคำสั่งของผู้ควบคุมข้อมูล เว้นแต่กฎหมายกำหนดเป็นอย่างอื่น
  • จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง ใช้ ดัดแปลง หรือเปิดเผยข้อมูลโดยมิชอบ
  • จำกัดการเข้าถึงข้อมูลเฉพาะบุคลากรหรือผู้มีหน้าที่เกี่ยวข้องและอยู่ภายใต้หน้าที่รักษาความลับ
  • ให้ความช่วยเหลือตามสมควรแก่ผู้ควบคุมข้อมูลในการตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูล ภายใต้ขอบเขตของบริการและกฎหมายที่เกี่ยวข้อง
  • แจ้งเหตุละเมิดข้อมูลส่วนบุคคลที่เกี่ยวข้องกับบริการของเราให้ผู้ควบคุมข้อมูลทราบโดยไม่ชักช้าเกินสมควร เมื่อกฎหมายกำหนดหรือเมื่อจำเป็นต้องดำเนินการร่วมกัน

6. หน้าที่ของผู้ใช้บริการในฐานะผู้ควบคุมข้อมูล

  • รับรองว่ามีฐานทางกฎหมายที่เหมาะสมในการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลผ่านระบบ
  • จัดทำนโยบายความเป็นส่วนตัวหรือประกาศที่จำเป็นต่อเจ้าของข้อมูลปลายทางของร้านตามที่กฎหมายกำหนด
  • รับผิดชอบต่อความถูกต้องของข้อมูลที่นำเข้าสู่ระบบและการกำหนดค่าการใช้งานที่สอดคล้องกับกฎหมาย
  • แจ้งคำสั่งหรือคำขอที่เกี่ยวข้องกับข้อมูลส่วนบุคคลมายัง RPOS ผ่านช่องทางที่เหมาะสมและตรวจสอบได้

7. การใช้ผู้ประมวลผลช่วง (Sub-processors)

ผู้ใช้บริการยินยอมให้ RPOS ใช้ผู้ประมวลผลช่วงหรือผู้ให้บริการภายนอกเท่าที่จำเป็นต่อการให้บริการ เช่น ผู้ให้บริการคลาวด์ โฮสติ้ง โครงสร้างพื้นฐาน ความปลอดภัย ระบบสำรองข้อมูล หรือบริการ AI ที่เกี่ยวข้องกับฟีเจอร์ของระบบ

RPOS จะดำเนินการตามสมควรเพื่อให้ผู้ประมวลผลช่วงดังกล่าวมีมาตรการคุ้มครองข้อมูลที่เหมาะสมตามลักษณะของบริการ

8. การโอนหรือการเข้าถึงข้อมูลข้ามหน่วยงาน/บุคคลที่เกี่ยวข้อง

ในกรณีที่มีการใช้ผู้ให้บริการภายนอก หรือมีการเข้าถึงข้อมูลโดยบุคคลที่เกี่ยวข้องกับการให้บริการ RPOS จะดำเนินการภายใต้หลักความจำเป็น ความเหมาะสม และมาตรการคุ้มครองข้อมูลที่สอดคล้องกับกฎหมาย

9. การเก็บรักษา การคืน และการลบข้อมูล

เมื่อสิ้นสุดสัญญาการใช้บริการ หรือเมื่อผู้ใช้บริการร้องขอให้ยุติการประมวลผลข้อมูลภายใต้เงื่อนไขที่กฎหมายอนุญาต RPOS จะดำเนินการลบ ทำลาย ส่งคืน หรือทำให้ข้อมูลไม่สามารถระบุตัวบุคคลได้ ภายในระยะเวลาที่เหมาะสม เว้นแต่กฎหมายหรือภาระหน้าที่ทางกฎหมายกำหนดให้ต้องเก็บรักษาไว้ต่อไป

10. ความรับผิดและข้อจำกัด

DPA ฉบับนี้ไม่ทำให้ RPOS ต้องรับผิดเกินกว่าขอบเขตที่กำหนดไว้ในข้อตกลงการให้บริการหลัก และไม่ถือเป็นการรับประกันว่าผู้ใช้บริการจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้อย่างครบถ้วนโดยอัตโนมัติ ผู้ใช้บริการยังคงมีหน้าที่ตรวจสอบความสอดคล้องของการใช้งานระบบกับกฎหมายที่เกี่ยวข้องด้วยตนเอง

11. การติดต่อเรา

หากมีคำถามเกี่ยวกับ DPA ฉบับนี้ กรุณาติดต่อเราได้ที่:

RPOS Center Support Team

อีเมล: rpos.contact@gmail.com

โทร: 0817879030

ที่อยู่ติดต่อ: 91/75 หมู่ 2 ตำบลเขารูปช้าง อำเภอเมือง จังหวัดสงขลา 90000