ข้อตกลงเพิ่มเติมว่าด้วยการประมวลผลข้อมูลส่วนบุคคล
ข้อตกลงเพิ่มเติมว่าด้วยการประมวลผลข้อมูลส่วนบุคคลฉบับนี้ ("ข้อตกลงเพิ่มเติมว่าด้วยการประมวลผลข้อมูลส่วนบุคคล") ทำขึ้นเมื่อวันที่ 17 พฤษภาคม พ.ศ. 2565 ระหว่าง "ผู้ใช้บริการ" และ บริษัท เรดดี้แพลนเน็ต จำกัด (มหาชน) "ผู้ให้บริการ" และเพื่อเพิ่มเติมสัญญาให้บริการระหว่างผู้ใช้บริการและผู้ให้บริการ ("สัญญาให้บริการ")
ผู้ใช้บริการได้รับทราบ ตกลง ยินยอมปฏิบัติตามข้อตกลงเพิ่มเติมว่าด้วยการประมวลผลข้อมูลส่วนบุคคล ต่อไปนี้
คู่สัญญาทั้งสองฝ่ายตกลงกันดังต่อไปนี้
1. คำที่ไม่ได้นิยามไว้ในข้อตกลงเพิ่มเติมว่าด้วยการประมวลผลข้อมูลส่วนบุคคลฉบับนี้ ให้มีความหมายตามที่ได้นิยามไว้ในสัญญาให้บริการ โดยในข้อตกลงเพิ่มเติมว่าด้วยการประมวลผลข้อมูลส่วนบุคคลฉบับนี้ ให้ใช้คำนิยามดังต่อไปนี้
"ข้อมูลส่วนบุคคลของผู้ใช้บริการ" หมายถึง ข้อมูลส่วนบุคคลซึ่งผู้ให้บริการทำการประมวลผลในนามของผู้ใช้บริการในการให้บริการของผู้ให้บริการภายใต้สัญญาให้บริการ
"กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล" หมายถึง กฎหมาย กฎระเบียบ และข้อกำหนดทางกฎหมายใดๆ ที่มีผลใช้บังคับกับการประมวลผลข้อมูลส่วนบุคคล รวมถึงแต่ไม่จำกัดเพียง พระราชบัญญัติ และกฎหมายลำดับรอง
"พระราชบัญญัติ" หมายถึง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
"ประมวลผลข้อมูลส่วนบุคคล" หรือ "การประมวลผลข้อมูลส่วนบุคคล" หมายถึง ปฏิบัติการหรือชุดปฏิบัติการใดๆ ที่ดำเนินการกับข้อมูลส่วนบุคคล ไม่ว่าด้วยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บรวบรวม การบันทึก การจัดระบบ การเก็บรักษา การดัดแปลงหรือเปลี่ยนแปลง การเรียกคืน การสืบค้นข้อมูลเพิ่มเติม การใช้ การเปิดเผยโดยการส่งต่อ เผยแพร่หรือ ทำให้เข้าถึงได้โดยประการอื่น การโอนไปต่างประเทศ การจัดเรียงหรือการรวมเข้าด้วยกัน การจำกัดการเข้าถึง การลบ หรือการทำลาย
ในข้อตกลงเพิ่มเติมว่าด้วยการประมวลผลข้อมูลส่วนบุคคลฉบับนี้ คำว่า "ข้อมูลส่วนบุคคล" "ผู้ประมวลผลข้อมูลส่วนบุคคล และ "ผู้ควบคุมข้อมูลส่วนบุคคล" ให้มีความหมายตามที่กำหนดไว้ในพระราชบัญญัติ
2. คู่สัญญามีเจตนาให้ผู้ใช้บริการเป็นผู้ควบคุมข้อมูลส่วนบุคคลสำหรับข้อมูลส่วนบุคคลของผู้ใช้บริการ และผู้ให้บริการเป็นผู้ประมวลผลข้อมูลส่วนบุคคลสำหรับข้อมูลส่วนบุคคลของผู้ใช้บริการโดยรายละเอียดเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลเป็นไปตามที่กำหนดไว้ในภาคผนวก โดยคู่สัญญาแต่ละฝ่ายจะปฏิบัติตามหน้าที่ของตนภายใต้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการ
3. ผู้ให้บริการมีหน้าที่ดังต่อไปนี้
(ก) จะไม่ประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการเพื่อวัตถุประสงค์อื่นใด นอกจากเพื่อการให้บริการภายใต้สัญญาให้บริการ หรือเพื่อวัตถุประสงค์ตามที่ระบุในภาคผนวก
(ข) จะประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการเฉพาะเมื่อมีคำสั่งและแนวทางเป็นลายลักษณ์อักษรจากผู้ใช้บริการ
(ค) จะแจ้งให้ผู้ใช้บริการทราบ หากคำสั่งหรือแนวทางที่ได้รับจากผู้ใช้บริการนั้นขัดต่อกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
(ง) จะไม่เปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการแก่บุคคลภายนอก เว้นแต่เป็นกรณีจำเป็นเพื่อการให้บริการภายใต้สัญญาให้บริการฉบับนี้ หรือกรณีจำเป็นเพื่อปฏิบัติตามกฎหมายที่ใช้บังคับ
(จ) จะบังคับใช้และดำรงมาตรการทางเทคนิคและมาตรการบริหารการจัดการองค์กรที่เหมาะสม (รวมเรียกว่า "มาตรการรักษาความมั่นคงปลอดภัย")
(1) เพื่อคุ้มครองความมั่นคงปลอดภัย ความถูกต้อง และการรักษาความลับของข้อมูลส่วนบุคคลของผู้ใช้บริการ
(2) เพื่อป้องกันข้อมูลส่วนบุคคลของผู้ใช้บริการจากการถูกทำลาย หรือการสูญหาย การเปลี่ยนแปลง แก้ไข โดยอุบัติเหตุหรือโดยมิชอบ การประมวลผล เข้าถึง หรือเปิดเผยโดยปราศจากอำนาจ และ
(3) เพื่อให้มีการรักษาความมั่นคงปลอดภัยในระดับที่เหมาะสมกับความเสี่ยงตามที่กำหนดไว้ในกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
(ฉ) จะใช้มาตรการรักษาความมั่นคงปลอดภัยเพิ่มเติมตามที่ผู้ใช้บริการอาจกำหนดเป็นครั้งคราว เมื่อได้รับการร้องขอเป็นลายลักษณ์อักษร
(ช) จะดำเนินการที่เหมาะสมเพื่อให้แน่ใจว่า บุคคลใดซึ่งกระทำการภายใต้อำนาจของผู้ให้บริการและสามารถเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้บริการจะไม่ประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการ เว้นแต่เป็นไปตามคำสั่งและแนวทางที่ได้รับจากผู้ใช้บริการ
(ซ) จะประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการตามระยะเวลา วัตถุประสงค์ ประเภทของข้อมูล และประเภทของเจ้าของข้อมูลส่วนบุคคลที่กำหนดไว้ในภาคผนวก
4. ผู้ให้บริการจะแจ้งให้ผู้ใช้บริการทราบ หากเจ้าของข้อมูลส่วนบุคคลมีคำขอใดๆ ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของผู้ใช้บริการ ในกรณีเช่นว่านั้น
ผู้ให้บริการตกลงอนุญาตให้ผู้ใช้บริการดำเนินการจัดการกับคำขอดังกล่าว รวมทั้งให้ความร่วมมือและช่วยเหลือผู้ใช้บริการในการปฏิบัติหน้าที่ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวข้องกับคำขอของเจ้าของข้อมูลส่วนบุคคลนั้นๆ
5. ผู้ให้บริการจะแจ้งให้ผู้ใช้บริการทราบ หากทราบว่ามีการละเมิดมาตรการรักษาความมั่นคงปลอดภัย หรือ เหตุอื่นใดซึ่งนำไปสู่การถูกทำลาย การสูญหาย การเปลี่ยนแปลงแก้ไข การเปิดเผย หรือ การเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้บริการ โดยอุบัติเหตุ โดยปราศจากอำนาจ หรือโดยมิชอบ (รวมเรียกว่า "เหตุการละเมิดข้อมูลส่วนบุคคล") ภายในระยะเวลา 72 ชั่วโมง หลังจากทราบถึงเหตุดังกล่าว รวมถึงมีมาตรการในการลดผลกระทบที่อาจจะเกิดขึ้น และดำเนินมาตรการที่จำเป็นเพื่อจำกัดไม่ให้มีการเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการ
6. ผู้ให้บริการจะให้ความร่วมมือและให้ความช่วยเหลือตามสมควรแก่ผู้ใช้บริการตามที่ผู้ใช้บริการอาจร้องขอในการดำเนินการเกี่ยวกับข้อร้องเรียนของเจ้าของข้อมูลส่วนบุคคล หรือ การสอบสวนหรือการสอบถามจากหน่วยงานของรัฐที่มีอำนาจหน้าที่ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
7. ผู้ให้บริการจะต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในการปฏิบัติตามหน้าที่ตามสัญญาให้บริการและข้อตกลงเพิ่มเติมว่าด้วยการประมวลผลข้อมูลส่วนบุคคลฉบับนี้
8. ผู้ให้บริการอาจโอนข้อมูลส่วนบุคคลของผู้ใช้บริการออกนอกราชอาณาจักรโดยที่ผู้ให้บริการจะดำเนิน การตามขั้นตอน วิธีการและมาตรการต่างๆเพื่อทำให้มั่นใจได้ว่า การโอนข้อมูลส่วนบุคคลในกรณีของผู้ใช้บริการนั้นได้รับการดูแลอย่างดี ดำเนินไปอย่างปลอดภัยและบุคคลที่รับโอนข้อมูลนั้นมีระดับการคุ้มครอง ข้อมูลส่วนบุคคลที่เหมาะสม เพียงพอ และ/หรือการโอนข้อมูลส่วนบุคคลนั้น จะชอบด้วยกฎหมายและ/หรือตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอนุญาตให้กระทำได้เท่านั้น
9. ผู้ให้บริการจะจัดทำบันทึกรายการสำหรับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลในนามของผู้ใช้บริการ โดยจะจัดทำและเก็บบันทึกดังกล่าวตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
10. ผู้ให้บริการจะให้บันทึกรายการที่จัดทำขึ้นตามข้อ 9 แก่ผู้ใช้บริการตามที่ผู้ใช้บริการร้องขอ และผู้ให้บริการรับทราบว่า ผู้ใช้บริการอาจส่งบันทึกรายการดังกล่าวให้แก่บุคคลภายนอก และหน่วยงานรัฐที่เกี่ยวข้อง
11. ในกรณีที่มีข้อความขัดแย้งกันระหว่างข้อตกลงเพิ่มเติมว่าด้วยการประมวลผลข้อมูลส่วนบุคคลฉบับนี้และสัญญาให้บริการ ให้ใช้ข้อกำหนดตามข้อตกลงเพิ่มเติมว่าด้วยการประมวลผลข้อมูลส่วนบุคคลฉบับนี้เป็นหลัก
12. คู่สัญญาทั้งสองฝ่ายรับทราบและตกลงว่า ผู้ให้บริการอาจมีการสอบทานและขอแก้ไขข้อตกลงเพิ่มเติมว่าด้วยการประมวลผลข้อมูลส่วนบุคคลฉบับนี้ หากมีความจำเป็นต้องแก้ไขเพิ่มเติมใดๆ เพื่อให้ผู้ให้บริการสามารถประมวลผลข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลต่อไปได้ และเพื่อให้สอดคล้องกับการตีความกฎหมายว่าด้วยการคุ้มครองส่วนบุคคล ในกรณีดังกล่าว คู่สัญญาทั้งสองฝ่ายจะเจรจาหารือกันโดยสุจริตเกี่ยวกับการแก้ไขเปลี่ยนแปลงใดๆ ที่ต้องทำขึ้นเพื่อแก้ไขข้อตกลงเพิ่มเติมว่าด้วยการประมวลผลข้อมูลส่วนบุคคลฉบับนี้
13. ข้อตกลงเพิ่มเติมว่าด้วยการประมวลผลข้อมูลส่วนบุคคลฉบับนี้จะมีผลบังคับใช้ตั้งแต่วันที่ 17 พฤษภาคม 2565 เป็นต้นไป
14. ข้อตกลงเพิ่มเติมว่าด้วยการประมวลผลข้อมูลส่วนบุคคลฉบับนี้อยู่ภายใต้บังคับของกฎหมายไทย
ภาคผนวก
รายละเอียดการประมวลผลข้อมูลส่วนบุคคล
1.ประเภทของข้อมูลส่วนบุคคล
ตัวอย่างข้อมูลส่วนบุคคล
1. ชื่อ-นามสกุล หรือชื่อเล่น
2. ที่อยู่,อีเมล,หมายเลขโทรศัพท์
3. ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP Address,MAC Address,Cookie ID
4. ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานทีเกิด,สัญชาติ,น้ำหนัก,ส่วนสูง,ข้อมูลตำแหน่งที่อยู่ (Location),ข้อมูลการศึกษา,ข้อมูลการเงิน,ข้อมูลการจ้างงาน
5. ข้อมูลบันทึกต่างๆ ที่ใช้ติดตามตรวจสอบกิจกรรมต่างๆของบุคคล เช่น Log File
2.สาระของการประมวลผลข้อมูลส่วนบุคล
ให้บริการประมวลผลข้อมูลผ่านระบบออนไลน์
3. ระยะเวลาการประมวลผลข้อมูลส่วนบุคคล
ตามระยะเวลาการใช้บริการ
4. วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล
เพื่อจัดทำ จัดเก็บหรือเรียกคืนข้อมูลส่วนบุคคลของผู้ใช้บริการ หรือการทดสอบ รวบรวม วิเคราะห์และประมวลผลโดยวิธีการอื่นใดซึ่งข้อมูลส่วนบุคคลของผู้ใช้บริการ เพื่อหรือโดยเกี่ยวข้องกับการพัฒนาผลิตภัณฑ์/บริการ หรือเพื่อปฏิบัติหน้าที่ของผู้ให้บริการภายใต้สัญญาให้บริการ
5. ประเภทของเจ้าของข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลของผู้ใช้บริการที่อยู่ในขอบเขตที่ต้องประมวลผลได้แก่
a) ข้อมูลส่วนบุคคลของลูกค้าของผู้ใช้บริการ
b) ข้อมูลส่วนบุคคลของพนักงานของผู้ใช้บริการ
