Data Processing Agreement
ข้อตกลงการประมวลผลข้อมูล
(Data Processing Agreement-DPA)
ข้อตกลงฉบับนี้เป็นส่วนหนึ่งของสัญญาการให้บริการระหว่าง
BUBU-Freight (“ผู้ให้บริการ”) และ ลูกค้า / ผู้ใช้บริการ (“ผู้ควบคุมข้อมูล”)
โดยมีผลผูกพันตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“PDPA”)
- ขอบเขตและการบังคับใช้
1.1 ข้อตกลงนี้ใช้บังคับกับการประมวลผลข้อมูลส่วนบุคคลทั้งหมด ที่ผู้ควบคุมข้อมูลสั่งหรือมอบหมายให้ผู้ให้บริการดำเนินการ
ไม่ว่าทั้งหมดหรือบางส่วน และไม่ว่าด้วยวิธีใด
1.2 ข้อตกลงนี้ถือเป็น ภาคผนวกและส่วนหนึ่งของสัญญาหลัก หากมีความขัดแย้ง ให้ใช้ข้อตกลงนี้เป็นหลักในประเด็นด้านข้อมูลส่วนบุคคล
- สถานะและความสัมพันธ์ของคู่สัญญา
2.1 ผู้ควบคุมข้อมูล (Customer)
ผู้ใช้บริการตกลงและรับรองว่า
- เป็น ผู้ควบคุมข้อมูลส่วนบุคคลแต่เพียงผู้เดียว
- มีอำนาจ สิทธิ และฐานกฎหมายครบถ้วนในการเก็บ ใช้ และเปิดเผยข้อมูล
- รับผิดชอบต่อการปฏิบัติตาม PDPA และกฎหมายที่เกี่ยวข้องทั้งหมด
2.2 ผู้ประมวลผลข้อมูล (BUBU-Freight)
ผู้ให้บริการทำหน้าที่เป็น ผู้ประมวลผลข้อมูล (Data Processor)
ตามคำสั่งของผู้ควบคุมข้อมูลเท่านั้น และ ไม่ถือเป็นผู้ควบคุมข้อมูลแทนผู้ใช้บริการ
- ประเภทของข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลรับทราบว่า การใช้บริการอาจทำให้ผู้ให้บริการต้องประมวลผลข้อมูล เช่น
- ข้อมูลระบุตัวตนและข้อมูลติดต่อ
- ข้อมูลทางธุรกิจ โลจิสติกส์ และเอกสารนำเข้า–ส่งออก
- ข้อมูลที่เกี่ยวข้องกับการชำระเงินและธุรกรรม
- ข้อมูลทางเทคนิคที่เกิดจากการใช้งานระบบ
ผู้ให้บริการ ไม่มีหน้าที่ตรวจสอบความถูกต้องหรือความชอบด้วยกฎหมายของข้อมูล
- คำสั่งให้ประมวลผลข้อมูล (Processing Instructions)
4.1 ผู้ให้บริการจะประมวลผลข้อมูล เฉพาะตามคำสั่งเป็นลายลักษณ์อักษร จากผู้ควบคุมข้อมูลเท่านั้น
4.2 หากคำสั่งใดอาจขัดต่อกฎหมาย
ผู้ให้บริการมีหน้าที่แจ้งให้ผู้ควบคุมข้อมูลทราบ แต่ ไม่มีหน้าที่ให้คำปรึกษาทางกฎหมาย
4.3 หากผู้ควบคุมข้อมูลยืนยันให้ดำเนินการต่อ
ผู้ควบคุมข้อมูลต้องรับผิดชอบต่อผลทางกฎหมายทั้งหมดแต่เพียงผู้เดียว
- ความรับผิดชอบและการชดใช้ค่าเสียหาย (Indemnification)
ผู้ควบคุมข้อมูลตกลงที่จะ
- รับผิด ชดใช้ และคุ้มครองผู้ให้บริการ
- จากความเสียหาย ค่าปรับ ค่าชดเชย หรือการร้องเรียนใด ๆ
- อันเกิดจากคำสั่ง การเปิดเผยข้อมูล หรือการละเมิดกฎหมายของผู้ควบคุมข้อมูล
แม้ความเสียหายนั้นจะเกี่ยวข้องกับข้อมูลส่วนบุคคลของบุคคลที่สาม
- สิทธิของเจ้าของข้อมูล
6.1 หากผู้ให้บริการได้รับคำร้องจากเจ้าของข้อมูล
ผู้ให้บริการจะ ไม่ตอบสนองโดยตรง และจะส่งคำร้องดังกล่าวให้ผู้ควบคุมข้อมูลดำเนินการ
6.2 ผู้ควบคุมข้อมูลรับผิดชอบแต่เพียงผู้เดียว ในการตอบคำร้องตาม PDPA
- ผู้ประมวลผลข้อมูลช่วง (Sub-Processor)
7.1 ผู้ควบคุมข้อมูลตกลงให้ผู้ให้บริการสามารถแต่งตั้ง
- บริษัทในเครือ
- ผู้รับช่วงขนส่ง
- ผู้ให้บริการระบบ IT หรือ Cloud
เพื่อประมวลผลข้อมูลตามสัญญานี้ได้
7.2 ผู้ให้บริการจะกำหนดให้ผู้ประมวลผลช่วง มีมาตรการคุ้มครองข้อมูลในระดับที่เหมาะสม
แต่ ไม่รับผิดในกรณีที่อยู่นอกเหนือการควบคุมโดยสมเหตุสมผล
- การโอนข้อมูลไปต่างประเทศ
8.1 ผู้ควบคุมข้อมูลรับทราบและยินยอมว่า ข้อมูลอาจถูกเข้าถึงหรือประมวลผลจากต่างประเทศ
8.2 ความเสี่ยงด้านมาตรฐานการคุ้มครองของประเทศปลายทาง ให้เป็นความรับผิดของผู้ควบคุมข้อมูล
- มาตรการรักษาความปลอดภัย
ผู้ให้บริการจะใช้มาตรการทางเทคนิคและองค์กร ตามมาตรฐานธุรกิจและความเหมาะสมของบริการ
อย่างไรก็ตาม
ผู้ให้บริการไม่รับประกันความปลอดภัยของข้อมูล 100%
- การแจ้งเหตุละเมิดข้อมูล (Data Breach)
10.1 หากผู้ให้บริการทราบถึงเหตุละเมิดข้อมูล จะทำการแจ้งผู้ควบคุมข้อมูลโดยไม่ชักช้า
10.2 การแจ้งดังกล่าวไม่ถือเป็นการยอมรับความผิดหรือความรับผิดใด ๆ
- การจำกัดความรับผิด (Limitation of Liability)
ไม่ว่ากรณีใด ความรับผิดของผู้ให้บริการ (ถ้ามี) จะไม่เกินมูลค่าค่าบริการที่ผู้ควบคุมข้อมูลชำระตามสัญญาหลัก
- ระยะเวลาและการสิ้นสุด
ข้อตกลงนี้มีผลตลอดระยะเวลาของสัญญาหลัก
และยังคงมีผลในส่วนที่เกี่ยวข้องกับความรับผิดและการคุ้มครอง แม้สัญญาหลักจะสิ้นสุดลงแล้ว
- กฎหมายที่ใช้บังคับ
ข้อตกลงนี้อยู่ภายใต้บังคับของกฎหมายไทย และให้ศาลไทยเป็นผู้มีเขตอำนาจ
Policy
Download
ข้อตกลงการประมวลผลข้อมูล (DPA)
Download