title: ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Protection Addendum)
documentCode: FM-PI-15
language: TH-EN
organization: Smart Finder Co., Ltd.
ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล
(Data Protection Addendum) [cite: 6, 7]
ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (“ข้อตกลงเพิ่มเติม”) ฉบับนี้ถือเป็นส่วนหนึ่งของ นโยบายความเป็นส่วนตัว ของบริษัท สมาร์ทไฟน์เดอร์ จำกัด และ ข้อกำหนดและเงื่อนไข ที่มีอยู่ ณ https://soraso.net/addendum/ (“ข้อตกลงหลัก”) [cite: 8]
ข้อตกลงเพิ่มเติมฉบับนี้ครอบคลุมการดำเนินงานของเว็บไซต์ https://soraso.net/ (“เว็บไซต์”) และบริการฉลากส่วนตัว (ทั้งเว็บไซต์และบริการฉลากส่วนตัวจะเรียกรวมกันว่า “ธุรกิจ” ในข้อตกลงนี้) ซึ่งดำเนินการในนามของบุคคลภายนอก (“ลูกค้า”) เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการใช้บริการของลูกค้า โดยเป็นไปตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคล [cite: 9]
ข้อตกลงเพิ่มเติมนี้ใช้บังคับเมื่อ และเฉพาะในกรณีที่บริษัท สมาร์ทไฟน์เดอร์ จำกัด ดำเนินการประมวลผลข้อมูลของลูกค้าและข้อมูลของผู้ใช้งาน ซึ่งอยู่ภายใต้บังคับของกฎหมายคุ้มครองข้อมูลส่วนบุคคล ในนามของลูกค้าในฐานะผู้ประมวลผลข้อมูล ขณะให้บริการธุรกิจตามข้อตกลงหลัก [cite: 10]
บริษัท สมาร์ทไฟน์เดอร์ จำกัด และลูกค้า ตกลงที่จะปฏิบัติตามบทบัญญัติต่อไปนี้เกี่ยวกับข้อมูลส่วนบุคคลของผู้บริโภค: [cite: 11]
1. คำจำกัดความ [cite: 12]
- “ผู้ใช้งานบัญชี” หมายถึง บุคคลใด ๆ ที่เข้าถึงและ/หรือใช้บริการธุรกิจผ่านบัญชีของลูกค้าโดยได้รับอนุญาตจากลูกค้า [cite: 13]
- “Soraso” หมายถึง บริษัท สมาร์ทไฟน์เดอร์ จำกัด [cite: 14]
- “ข้อมูลลูกค้า” หมายถึง ข้อมูลส่วนบุคคลใด ๆ ที่บริษัท สมาร์ทไฟน์เดอร์ จำกัด ประมวลผลในฐานะผู้ประมวลผลข้อมูล ในนามของลูกค้า [cite: 15]
- “ผู้ควบคุมข้อมูล” หมายถึง หน่วยงานที่กำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคล ซึ่งลูกค้าคือผู้ควบคุมข้อมูลในส่วนที่เกี่ยวข้องกับข้อมูลของลูกค้า [cite: 16]
- “ผู้ประมวลผลข้อมูล” หมายถึง หน่วยงานที่ดำเนินการประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุมข้อมูล โดยบริษัท สมาร์ทไฟน์เดอร์ จำกัด เป็นผู้ประมวลผลข้อมูลในส่วนของข้อมูลลูกค้า ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) [cite: 17]
- “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” หมายถึง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และกฎหมายอื่นที่เกี่ยวข้องในขอบเขตที่ใช้บังคับ รวมถึงข้อบังคับว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลแห่งสหภาพยุโรป (GDPR) [cite: 18]
- “ข้อมูลส่วนบุคคล” ให้มีความหมายตามที่ระบุไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง โดยในข้อตกลงเพิ่มเติมนี้ หมายถึงข้อมูลส่วนบุคคลที่ประมวลผลในบริบทของการที่ลูกค้าเข้าถึงและใช้บริการ [cite: 19]
- “คำร้อง” หมายถึง คำร้องเป็นลายลักษณ์อักษรจากเจ้าของข้อมูล เพื่อใช้สิทธิของตนภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล [cite: 20]
- “บริการ” หมายถึง Soraso เป็นซอฟต์แวร์และแอปพลิเคชันบนเว็บไซต์สำหรับการบริหารจัดการโรงแรม รวมถึงความสามารถในการจัดการผ่านแอปพลิเคชันมือถือ การปรับแต่งซอฟต์แวร์ และโซลูชันอีคอมเมิร์ซด้านบริการของโรงแรม รวมถึงบริการจำหน่ายระบบ POS ทั้งในส่วนของฮาร์ดแวร์ ซอฟต์แวร์ และอุปกรณ์เสริม [cite: 21]
- “ผู้ประมวลผลย่อย” หมายถึง ผู้ประมวลผลข้อมูลใด ๆ ที่บริษัท สมาร์ทไฟน์เดอร์ ว่าจ้างให้ช่วยในการปฏิบัติตามพันธกรณีเกี่ยวกับการให้บริการธุรกิจ ตามข้อตกลงหลักหรือข้อตกลงเพิ่มเติมฉบับนี้ [cite: 22]
- คำว่า “เจ้าของข้อมูล”, “ประเทศสมาชิก”, “การประมวลผล”, “ประมวลผล” และ “หน่วยงานกำกับดูแล” ให้มีความหมายเดียวกันกับที่ระบุไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และคำที่มีรากศัพท์เดียวกันให้ตีความสอดคล้องกัน [cite: 23]
2. การประมวลผลข้อมูลส่วนบุคคล (Data Processing) [cite: 24]
2.1 บทบาทของคู่สัญญา (Roles of the Parties) [cite: 25]
คู่สัญญาทั้งสองฝ่ายรับทราบและตกลงว่า: [cite: 26]
- ลูกค้าเป็น ผู้ควบคุมข้อมูล (Data Controller) สำหรับข้อมูลลูกค้า [cite: 27]
- Soraso เป็น ผู้ประมวลผลข้อมูล (Data Processor) ซึ่งจะดำเนินการประมวลผลข้อมูลส่วนบุคคลในนามของลูกค้า ภายใต้คำแนะนำของลูกค้า และตามข้อตกลงหลักและข้อตกลงเพิ่มเติมฉบับนี้ [cite: 28]
- ทั้งนี้ เว้นแต่จะระบุไว้เป็นอย่างอื่นในข้อตกลงเพิ่มเติมฉบับนี้ [cite: 29]
2.2 ภาระหน้าที่ของลูกค้า (Customer Obligations) [cite: 30]
ลูกค้าตกลงที่จะ: [cite: 31]
- (i) ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้องในฐานะผู้ควบคุมข้อมูล [cite: 32]
- (ii) จัดให้มีนโยบายความเป็นส่วนตัวและประกาศแจ้งข้อมูลที่ถูกต้องครบถ้วน [cite: 32]
- (iii) ได้รับความยินยอม สิทธิ หรือฐานทางกฎหมายที่จำเป็นสำหรับการเก็บ ใช้ เปิดเผย และประมวลผลข้อมูลลูกค้า [cite: 32]
- (iv) รับผิดชอบต่อความถูกต้อง ความครบถ้วน และความชอบด้วยกฎหมายของข้อมูลลูกค้า [cite: 32]
2.3 การประมวลผลข้อมูลในนามลูกค้า (Processing on Behalf of Customer) [cite: 33]
Soraso จะดำเนินการประมวลผลข้อมูลลูกค้า: [cite: 34]
- เฉพาะในนามของลูกค้า [cite: 35]
- ตามคำแนะนำของลูกค้า [cite: 36]
- เพื่อวัตถุประสงค์ในการให้บริการตามข้อตกลงหลัก [cite: 37]
- เว้นแต่ในกรณีที่ระบุไว้เป็นอย่างอื่นในข้อ 2.5 [cite: 38]
2.4 รายละเอียดของการประมวลผลข้อมูล (Details of Processing) [cite: 39]
- (a) หัวข้อ: ข้อมูลลูกค้า [cite: 40]
- (b) ระยะเวลา: ตลอดอายุของข้อตกลงหลัก [cite: 40]
- (c) วัตถุประสงค์: การให้บริการ และการปฏิบัติตามสัญญา [cite: 40]
- (d) ลักษณะ: การประมวลผลผ่านระบบ PMS, POS, IBE และบริการที่เกี่ยวข้อง [cite: 40]
- (e) กลุ่มเจ้าของข้อมูล: ผู้ใช้งานบัญชี และผู้ใช้งานปลายทาง [cite: 40]
- (f) ประเภทข้อมูล: ข้อมูลระบุตัวบุคคล ข้อมูลการติดต่อ ข้อมูลการใช้งานระบบ [cite: 40]
- (g) แหล่งที่มา: ลูกค้าและผู้ใช้งานของลูกค้า [cite: 40]
2.5 การใช้ข้อมูลในรูปแบบ Aggregated & Anonymized [cite: 41]
แม้มีข้อกำหนดอื่นใดในข้อตกลงเพิ่มเติมฉบับนี้ โดยเฉพาะข้อ 2.3 Soraso มีสิทธิในการรวบรวม แปลง วิเคราะห์ และใช้ข้อมูลที่ได้จากการใช้บริการในรูปแบบที่ผ่านการทำให้ไม่สามารถระบุตัวบุคคลหรือองค์กรได้ (Aggregated & Anonymized Data) เพื่อวัตถุประสงค์ดังต่อไปนี้: [cite: 42]
- (a) การวิเคราะห์เชิงสถิติและการปรับปรุงบริการ [cite: 43]
- (b) การจัดทำรายงานเชิงอุตสาหกรรม (Market Intelligence) [cite: 44]
- (c) การสร้าง Benchmark และข้อมูลเชิงเปรียบเทียบ [cite: 45]
- (d) การพัฒนาผลิตภัณฑ์และบริการใหม่ [cite: 46]
- (e) การใช้เพื่อสนับสนุนการพัฒนา การปรับปรุง และการให้บริการเชิงพาณิชย์ของ Soraso [cite: 47]
เงื่อนไขการใช้ข้อมูล: [cite: 48]
- ข้อมูลจะต้องผ่านกระบวนการทำให้ไม่สามารถระบุตัวบุคคลหรือองค์กรได้อย่างถาวร (irreversibly anonymized) และไม่สามารถย้อนกลับหรือเชื่อมโยงกับบุคคลหรือองค์กรใดได้ [cite: 49]
- ข้อมูลจะต้องไม่สามารถระบุตัวตนของลูกค้า, โรงแรม, หรือระบุผู้เข้าพักรายใดรายหนึ่งได้ [cite: 50, 51, 52, 53]
- ข้อมูลจะต้องไม่ถูกเปิดเผยในลักษณะที่สามารถระบุแหล่งที่มาได้ หรือทำให้สามารถย้อนกลับไปหาข้อมูลต้นทางได้ [cite: 54, 55, 56]
- การใช้ข้อมูลจะต้องอยู่ภายใต้การรวมข้อมูลจากหลายแหล่งในระดับที่เหมาะสม ตามนโยบายกำกับดูแลข้อมูลภายในของ Soraso อย่างเคร่งครัด [cite: 57]
- Soraso จะไม่เปิดเผยรายงานหรือผลลัพธ์ที่ทำให้สามารถอนุมานได้ถึงข้อมูลทางธุรกิจเชิงลึก (commercially sensitive information) ของลูกค้ารายใดรายหนึ่ง [cite: 58]
- การประมวลผลส่วนนี้ดำเนินการโดยอาศัยฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) [cite: 59]
- ลูกค้ารับทราบและตกลงต่อการใช้ข้อมูลในลักษณะดังกล่าว [cite: 60]
- Soraso จะไม่ใช้ข้อมูลในลักษณะที่ก่อให้เกิดความเสียหายโดยตรงต่อธุรกิจของลูกค้า [cite: 61]
ข้อมูลในรูปแบบ Aggregated & Anonymized จะไม่ถือเป็น “ข้อมูลลูกค้า” ตามข้อตกลงนี้ [cite: 62]
3. คำร้องขอเกี่ยวกับข้อมูลส่วนบุคคล [cite: 64]
3.1 คำร้องขอเกี่ยวกับข้อมูล [cite: 65]
บริการนี้มีฟังก์ชันให้ลูกค้าใช้เพื่อเรียกดู แก้ไข ลบ หรือจำกัดข้อมูลลูกค้า เพื่อช่วยในการปฏิบัติตามพันธกรณีตามกฎหมาย [cite: 66] หากลูกค้าไม่สามารถเข้าถึงข้อมูลได้โดยตรง Soraso จะให้ความร่วมมืออย่างสมเหตุสมผลโดยคิดค่าใช้จ่ายตามสมควร [cite: 67] ในกรณีที่คำร้องส่งตรงถึง Soraso บริษัทจะไม่ตอบคำร้องโดยตรงหากไม่ได้รับอนุญาต เว้นแต่จะมีข้อบังคับทางกฎหมาย [cite: 68]
3.2 การเปิดเผยข้อมูล [cite: 69]
Soraso จะไม่เปิดเผยหรือจำหน่ายข้อมูลลูกค้าให้แก่บุคคลภายนอก (ยกเว้นข้อมูลในรูปแบบ Aggregated & Anonymized ตามข้อ 2.5) [cite: 69]
3.3 คำร้องจากหน่วยงานภาครัฐ [cite: 70]
หากหน่วยงานบังคับใช้กฎหมายส่งคำร้องขอข้อมูล Soraso จะพยายามให้หน่วยงานนั้นส่งคำร้องไปยังลูกค้าโดยตรง [cite: 71] หากจำเป็นต้องเปิดเผย จะแจ้งให้ลูกค้าทราบเพื่อให้ลูกค้าขอคำสั่งศาลคุ้มครองได้ เว้นแต่จะถูกห้ามทางกฎหมาย [cite: 71]
3.4 ข้อมูลการติดต่อ [cite: 72]
- ผู้ติดต่อฝ่ายคุ้มครองข้อมูล: dpo@smartfinder.tech [cite: 73]
- ข้อมูลการติดต่อ: คุณไอริณย์ สมบูรณ์ [cite: 73]
4. ผู้ประมวลผลข้อมูลย่อย และพันธมิตรบุคคลที่สาม [cite: 74]
4.1 การแต่งตั้งผู้ประมวลผลข้อมูลย่อย [cite: 75]
ลูกค้ารับทราบว่า Soraso อาจว่าจ้างผู้ประมวลผลข้อมูลย่อยบุคคลภายนอก โดยจะเข้าถึงข้อมูลได้เท่าที่จำเป็นเท่านั้น และจะไม่ถูกนำไปใช้เพื่อวัตถุประสงค์ทางการตลาดของบุคคลที่สาม [cite: 76]
4.2 การเปลี่ยนแปลงผู้ประมวลผลย่อย [cite: 77]
หากมีการเพิ่มหรือลดจำนวนผู้ประมวลผลข้อมูลย่อย Soraso จะแจ้งให้ลูกค้าทราบ และเปิดโอกาสให้คัดค้านภายใน 14 วันก่อนดำเนินการ [cite: 78]
5. ความสัมพันธ์กับข้อตกลงหลัก [cite: 79]
- 5.1 เว้นแต่จะระบุไว้เป็นอื่น ข้อตกลงหลักยังคงมีผลบังคับใช้ หากมีความขัดแย้ง ให้ข้อตกลงเพิ่มเติมนี้มีผลบังคับเหนือกว่า [cite: 80]
- 5.2 ข้อเรียกร้องภายใต้ข้อตกลงนี้จะอยู่ภายใต้ "ข้อจำกัดความรับผิด" ในข้อตกลงหลัก [cite: 81]
- 5.3 บุคคลภายนอกไม่มีสิทธิบังคับใช้เงื่อนไขนี้ ข้อเรียกร้องต้องยื่นโดยคู่สัญญาตามข้อตกลงหลักเท่านั้น [cite: 82]
- 5.4 อยู่ภายใต้บังคับแห่งกฎหมายและเขตอำนาจศาลตามข้อตกลงหลัก [cite: 83]
6. ผลผูกพันทางกฎหมาย [cite: 84]
จะมีผลเมื่อลูกค้าลงนาม หรือลูกค้าใช้งานบริการของ Soraso ต่อไปหลังจากมีการเผยแพร่ข้อตกลงนี้บนเว็บไซต์ ซึ่งถือเป็นการยอมรับโดยปริยาย [cite: 85, 86, 87, 88]
7. การปรับปรุงประจำปี [cite: 89]
จะได้รับการทบทวนและปรับปรุงให้เป็นปัจจุบันเป็นประจำทุกปี [cite: 90]
ส่วนการลงนาม
ลูกค้า (CUSTOMER) [cite: 91]
ชื่อลูกค้า : ................................................................. [cite: 92]
ลายเซ็น : ................................................................. [cite: 92]
วันที่ : ................................................................. [cite: 92]
บริษัท Soraso (บริษัท สมาร์ท ไฟน์เดอร์ จำกัด) [cite: 93]
ลายเซ็น: ................................................................. [cite: 94]
ชื่อ: ................................................................. [cite: 94]
ตำแหน่ง: ................................................................. [cite: 94]
วันที่: ................................................................. [cite: 94]