หนังสือแจ้งสิทธิและหน้าที่บริการตาม PDPA
บริษัท รักคอม จำกัด | ใช้กับบริการ Web Hosting, WordPress Hosting, VPS Hosting, Platform as a Service (PaaS) และ Infrastructure as a Service (IaaS)
อ้างถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัท รักคอม จำกัด (“บริษัท”) ให้ความสำคัญกับการปฏิบัติตามกฎหมาย รวมถึงการให้ข้อมูลอันเป็นสาระสำคัญต่อผู้รับบริการ บริษัทจึงขอแจ้งข้อมูลดังต่อไปนี้
เอกสารฉบับนี้ใช้กับบริการของบริษัททุกประเภท ได้แก่ Web Hosting, WordPress Hosting, VPS Hosting, Platform as a Service (PaaS) และ Infrastructure as a Service (IaaS) โดยให้นำข้อกำหนดเฉพาะของบริการที่ท่านใช้งานอยู่ (ตามตารางในข้อ 1) มาประกอบกับข้อกำหนดทั่วไปในเอกสารนี้ ทั้งนี้ เงื่อนไขโดยละเอียดในความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลเป็นไปตามข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement — DPA) ของบริษัท
คำจำกัดความ
| ผู้ให้บริการ | บริษัท รักคอม จำกัด |
| ผู้รับบริการ | ผู้ใช้บริการของบริษัท ซึ่งอาจเป็นบุคคลธรรมดาหรือนิติบุคคล |
| ลูกค้า | ผู้ใช้บริการของผู้รับบริการ (บุคคลภายนอกที่เป็นเจ้าของข้อมูลส่วนบุคคลที่ผู้รับบริการนำมาจัดเก็บ) |
| ผู้ประมวลผลช่วง | ผู้ประมวลผลรายอื่นที่บริษัทมอบหมายให้ประมวลผลข้อมูลส่วนบุคคลในนามของบริษัทเพื่อการให้บริการ (Sub-processor) |
1. ด้านผู้ให้บริการ
1.1 บริษัทเป็นผู้ให้บริการตามประเภทที่ผู้รับบริการเลือกใช้ โดยลักษณะของแต่ละบริการเป็นดังนี้
| บริการ | ลักษณะการให้บริการ |
|---|---|
| Web Hosting / WordPress Hosting | รูปแบบการให้บริการรับฝากเว็บไซต์ของผู้รับบริการไว้กับเครื่องเซิร์ฟเวอร์ของผู้ให้บริการ เพื่อให้เว็บไซต์ออนไลน์บนอินเทอร์เน็ตตลอด 24 ชั่วโมง โดยจัดเก็บข้อมูลเว็บไซต์ ฐานข้อมูล อีเมล ฯลฯ ไว้ในเว็บเซิร์ฟเวอร์ ซึ่งทำหน้าที่แสดงผลหน้าเว็บไซต์ให้ผู้เข้าชมผ่านโดเมนเนมได้ตลอดเวลา |
| VPS Hosting | รูปแบบการให้บริการเครื่องเซิร์ฟเวอร์เสมือน (Virtual Private Server) ที่ผู้รับบริการสามารถบริหารจัดการระบบได้เอง เพื่อให้บริการของผู้รับบริการออนไลน์บนอินเทอร์เน็ตตลอด 24 ชั่วโมง |
| Platform as a Service (PaaS) | การให้บริการแพลตฟอร์มสำหรับนักพัฒนาซอฟต์แวร์และแอปพลิเคชัน โดยผู้ให้บริการจัดเตรียมและดูแลโครงสร้างพื้นฐาน ระบบปฏิบัติการ และทรัพยากรที่จำเป็น เช่น Database Server, Web Application ให้พร้อมใช้งาน เพื่อให้ผู้รับบริการมุ่งเน้นการพัฒนาและบริหารจัดการแอปพลิเคชันและข้อมูลของตน |
| Infrastructure as a Service (IaaS) | การให้บริการโครงสร้างพื้นฐานด้านการประมวลผลในรูปแบบทรัพยากรเสมือน เช่น หน่วยประมวลผล (CPU) หน่วยความจำ พื้นที่จัดเก็บข้อมูล และระบบเครือข่าย โดยผู้รับบริการสามารถติดตั้งและบริหารจัดการระบบปฏิบัติการ ซอฟต์แวร์ และแอปพลิเคชันได้เองทั้งหมด |
1.2 ผู้ให้บริการมีหน้าที่และความรับผิดชอบในฐานะ “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยบริษัทได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยตามประเภทบริการ ดังนี้
| บริการ | มาตรการที่ผู้ให้บริการจัดให้ |
|---|---|
| Web / WordPress / VPS Hosting | Web Application Firewall (WAF) ที่ปรับปรุงช่องโหว่อย่างสม่ำเสมอ และการประเมินช่องโหว่ (Vulnerability Assessment) อย่างน้อยสัปดาห์ละ 1 ครั้ง |
| Platform as a Service (PaaS) | การดูแลความมั่นคงปลอดภัยของเซิร์ฟเวอร์ ระบบปฏิบัติการ/แพลตฟอร์ม เครือข่าย และการเชื่อมต่อ |
| Infrastructure as a Service (IaaS) | การดูแลความมั่นคงปลอดภัยของโครงสร้างพื้นฐานทางกายภาพ ระบบเวอร์ชวลไลเซชัน (Virtualization) และเครือข่ายหลัก ทั้งนี้ ผู้รับบริการรับผิดชอบความมั่นคงปลอดภัยตั้งแต่ระบบปฏิบัติการขึ้นไปด้วยตนเอง |
ทั้งนี้ บริการทั้งหมดของบริษัททำงานบนอุปกรณ์มาตรฐานระดับ Enterprise และให้บริการในศูนย์ข้อมูล (Data Center) ที่มีมาตรฐานสูง ซึ่งตั้งอยู่ในประเทศไทย และประเทศสิงคโปร์
1.3 บริษัทไม่สามารถเข้าถึง มองเห็น และ/หรือรับทราบเกี่ยวกับสิ่งที่ผู้รับบริการได้อัปโหลด นำเข้า และ/หรือบันทึกไว้ในเซิร์ฟเวอร์ของบริษัท รวมถึงไม่สามารถเข้าดูข้อมูลลับ ข้อมูลเชิงธุรกิจ ข้อมูลทางการค้า หรือข้อมูลอื่นใดของลูกค้าของผู้รับบริการได้ทั้งสิ้น เนื่องจากข้อมูลดังกล่าวอยู่ภายใต้การควบคุมของผู้รับบริการ และบริษัทจะไม่นำข้อมูลดังกล่าวไปใช้เพื่อวัตถุประสงค์อื่น โดยเฉพาะอย่างยิ่งเพื่อการโฆษณาหรือการตลาด เว้นแต่ได้รับความยินยอมจากผู้รับบริการ หรือเป็นการปฏิบัติตามกฎหมาย
2. ด้านผู้รับบริการ
2.1 ผู้รับบริการมีหน้าที่และความรับผิดชอบในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เนื่องจากผู้รับบริการเป็นผู้มีอำนาจตัดสินใจเกี่ยวกับข้อมูลส่วนบุคคลที่นำเข้ามาจัดเก็บหรือประมวลผลในบริการของบริษัท จึงเป็นหน้าที่ของผู้รับบริการในการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และ/หรือกฎระเบียบและกฎหมายอื่นที่เกี่ยวข้องด้วยตนเองทั้งสิ้น
2.2 ผู้รับบริการจะต้องควบคุมข้อมูลของลูกค้าของตน และต้องรับผิดชอบต่อการรักษามาตรฐานด้านความมั่นคงปลอดภัยที่เหมาะสมตามลักษณะการให้บริการของตน ซึ่งรวมถึงแต่ไม่จำกัดเพียง การจัดหมวดหมู่ข้อมูล การเข้ารหัสข้อมูล การจัดการสิทธิ์การเข้าถึง การประเมินความเสี่ยงของข้อมูล การจัดให้มีผู้ดูแลข้อมูล และการยืนยันตัวตนเพื่อรักษาความปลอดภัย
เฉพาะ VPS Hosting, Platform as a Service (PaaS) และ Infrastructure as a Service (IaaS): เนื่องจากผู้รับบริการบริหารจัดการระบบได้เอง ระดับมาตรฐานความปลอดภัยที่ต้องจัดให้มีจะขึ้นอยู่กับการออกแบบกระบวนการและขั้นตอนการให้บริการของผู้รับบริการ
2.3 ผู้รับบริการจะต้องนำส่งประเภทและรายการของข้อมูลที่ตนนำเข้าไว้ในบริการกลับมายังบริษัท โดยระบุว่าเป็นข้อมูลประเภทใดตามหมายเลขที่บริษัทกำหนดไว้ในข้อ 3 และลงนามรับรองโดยผู้ควบคุมข้อมูลของผู้รับบริการ
2.4 ผู้รับบริการรับรองว่าการเก็บรวบรวมและการมอบหมายให้บริษัทประมวลผลข้อมูลส่วนบุคคลภายใต้บริการมีฐานทางกฎหมายที่ชอบด้วยกฎหมาย และเป็นผู้รับผิดชอบในความชอบด้วยกฎหมายของคำสั่งที่มอบหมายให้บริษัทประมวลผล
3. ประเภทของข้อมูลส่วนบุคคล
ประเภทที่ 1
- ชื่อ นามสกุล ชื่อเล่น
- เลขประจำตัวประชาชน เลขหนังสือเดินทาง เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี เลขบัญชีธนาคาร เลขบัตรเครดิต (รวมถึงการเก็บภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่นที่ปรากฏข้อมูลส่วนบุคคล)
- ที่อยู่ อีเมล เบอร์โทรศัพท์
ประเภทที่ 2
- ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP Address, MAC Address, Cookie ID
- ข้อมูลทางชีวมิติ (Bio-metric) เช่น รูปภาพใบหน้า ลายนิ้วมือ ฟิล์มเอ็กซเรย์ ข้อมูลสแกนม่านตา ข้อมูลอัตลักษณ์เสียง ข้อมูลพันธุกรรม
- ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถ โฉนดที่ดิน
- ข้อมูลที่เชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิด สถานที่เกิด เชื้อชาติ สัญชาติ น้ำหนัก ส่วนสูง ข้อมูลตำแหน่งที่อยู่ ข้อมูลการแพทย์ ข้อมูลการศึกษา ข้อมูลทางการเงิน ข้อมูลการจ้างงาน
- ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิล์ม
- ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง
- ข้อมูลบันทึกต่างๆ ที่ใช้ติดตามตรวจสอบกิจกรรมของบุคคล เช่น Log Files
- ข้อมูลที่ใช้ค้นหาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต
ประเภทที่ 3
- ชาติพันธุ์ เผ่าพันธุ์
- เพศ
- กลุ่ม สังกัด กลุ่มประชากร
- ครอบครัว ญาติมิตร
- ลักษณะทางกายภาพ
- ความรู้ ความเชื่อ
- ข้อมูลหรือสิ่งอ้างอิง การตั้งค่าอ้างอิง (Preference)
- ทรัพย์สิน กรรมสิทธิ์ในทรัพย์สิน
- สุขภาพร่างกาย จิตใจ
- สถานะทางการเงิน
- อาชีพ
- พฤติกรรมส่วนบุคคล
- กิจกรรม การสมาคม
- กีฬา นันทนาการ
- บุคลิกภาพ
- สมาชิกกลุ่ม ชมรม กิจกรรม
ประเภทที่ 4 — ข้อมูลส่วนบุคคลที่มีความอ่อนไหว
- ความคิดเห็นทางการเมือง
- ความเชื่อในลัทธิ ศาสนา หรือปรัชญา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
- ข้อมูลสหภาพแรงงาน
ประเภทที่ 5 — ข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคล
- เลขทะเบียนบริษัท
- ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล เช่น หมายเลขโทรศัพท์ แฟกซ์ที่ทำงาน ที่อยู่สำนักงาน อีเมลที่ใช้ทำงาน อีเมลบริษัท เช่น [email protected]
- ข้อมูลนิรนาม ข้อมูลแฝง ข้อมูลที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีทางเทคนิค
- ข้อมูลผู้ตาย
- ข้อมูลนิติบุคคล
4. ระบบการรักษาความมั่นคงปลอดภัยข้อมูล
การรักษาความมั่นคงปลอดภัยและการปฏิบัติตามข้อกำหนดทางกฎหมาย ถือเป็น ความรับผิดชอบร่วมกัน (Shared Responsibility) ระหว่างบริษัทกับผู้รับบริการ โดยแบ่งขอบเขตได้ดังนี้
| ความปลอดภัย “ของ” ระบบคลาวด์ (Security OF the Cloud) | ความปลอดภัย “ใน” ระบบคลาวด์ (Security IN the Cloud) |
|---|---|
| ผู้ให้บริการรับผิดชอบ: ดำเนินการ จัดการ และควบคุมระบบปฏิบัติการของเครื่องหลัก (Hosting Operating System) ระบบเครือข่าย ระบบควบคุมสำหรับผู้รับบริการ ตลอดจนความมั่นคงปลอดภัยทางกายภาพของศูนย์ข้อมูล | ผู้รับบริการรับผิดชอบ: บริหารจัดการเครื่องเสมือน (Virtual Machine) และ/หรือคอนเทนเนอร์ (Container) ของตน รวมถึงระบบปฏิบัติการภายใต้ระบบนั้น (การอัปเดตและแพตช์ความปลอดภัย) ซอฟต์แวร์และแอปพลิเคชัน การกำหนดค่าไฟร์วอลล์และการตั้งค่าความปลอดภัย การเชื่อมต่อกับระบบ IT ของตนเอง และการปฏิบัติตามกฎหมายที่เกี่ยวข้อง |
ขอบเขตความรับผิดชอบในแต่ละชั้น (Layer) จะแตกต่างกันตามประเภทบริการ ดังตารางต่อไปนี้ (ผ = ผู้ให้บริการรับผิดชอบ, ร = ผู้รับบริการรับผิดชอบ)
| ชั้น (Layer) | Web / WordPress | VPS | PaaS | IaaS |
|---|---|---|---|---|
| ข้อมูลและเนื้อหาในระบบ/ฐานข้อมูล (Data) ² | ร | ร | ร | ร |
| แอปพลิเคชัน (Application) | ร | ร | ร | ร |
| Runtime / Middleware / เอนจินฐานข้อมูล (Database Engine) ³ | ผ | ร | ผ | ร |
| ระบบปฏิบัติการ (OS) | ผ | ร ¹ | ผ | ร |
| เวอร์ชวลไลเซชัน (Virtualization) | ผ | ผ | ผ | ผ |
| เครือข่าย (Network) | ผ | ผ | ผ | ผ |
| โครงสร้างพื้นฐานทางกายภาพ (Physical) | ผ | ผ | ผ | ผ |
หมายเหตุ:
¹ บริการ VPS Hosting ผู้รับบริการเป็นผู้ดูแลระบบปฏิบัติการ เว้นแต่ซื้อบริการเสริมแบบ Managed (เช่น DirectAdmin) ซึ่งผู้ให้บริการจะช่วยดูแลให้ตามขอบเขตที่ตกลง
² ข้อมูลและเนื้อหาในฐานข้อมูลที่ผู้รับบริการสร้างหรือนำเข้าเอง (เช่น ตาราง เรคคอร์ด โครงสร้างข้อมูล และข้อมูลจริง) เป็นความรับผิดชอบของผู้รับบริการในทุกประเภทบริการ
³ เอนจินฐานข้อมูล (Database Engine) หมายถึงตัวซอฟต์แวร์/บริการฐานข้อมูล (เช่น MySQL/MariaDB) ที่ทำให้ระบบทำงานได้ตามปกติ การติดตั้ง การอัปเดต และการแพตช์ — สำหรับบริการแบบ Managed (Web/WordPress/PaaS) ผู้ให้บริการดูแลให้ “ตัวบริการทำงานได้” ส่วนข้อมูลภายในยังคงเป็นของผู้รับบริการตามข้อ ²
โดยสรุป ยิ่งผู้รับบริการควบคุมระบบได้มาก (VPS, IaaS) ความรับผิดชอบด้านความมั่นคงปลอดภัยยิ่งตกแก่ผู้รับบริการมากขึ้นตามลำดับ
มาตรการรักษาความมั่นคงปลอดภัยที่บริษัทจัดให้มี ประกอบด้วย
4.1 Web Application Firewall (WAF) — สำหรับ Web / WordPress / VPS Hosting
ระบบมาตรฐานในการกรองข้อมูล Traffic การเฝ้าระวัง (Monitoring) และการบล็อก Traffic แปลกปลอมประเภท HTTP/HTTPS ที่ส่งมายัง Web Application ของผู้รับบริการ และป้องกันไม่ให้ข้อมูลรั่วไหลออกจากแอปพลิเคชัน โดยทำงานในลักษณะ Reverse Proxy เพื่อป้องกันไม่ให้ Traffic ที่เป็นภัยคุกคามเข้าถึงข้อมูลภายในของ Web Application Server
ข้อยกเว้นสำหรับ VPS Hosting: กรณีที่ผู้รับบริการเลือกติดตั้งเฉพาะระบบปฏิบัติการเพียงอย่างเดียว ไม่ได้ซื้อบริการเสริม DirectAdmin จากผู้ให้บริการ และ/หรือมีการเข้าถึงหรือปรับแต่งการตั้งค่าของ VPS ด้วยสิทธิ์สูงสุดของระบบ (root) ด้วยตนเอง การคุ้มครองของ WAF อาจไม่ครอบคลุม
หมายเหตุ: Web Application Firewall เป็นเพียงกฎพื้นฐานในการป้องกันเบื้องต้น ไม่อาจรับประกันการป้องกันการโจมตีได้ 100% เนื่องจากแอปพลิเคชันของผู้รับบริการแต่ละรายแตกต่างกัน รวมถึงแต่ไม่จำกัดเพียงทีมพัฒนา ลักษณะการทำงาน การออกแบบระบบ และส่วนประกอบของบุคคลภายนอก (3rd Party) เช่น CMS, Framework, Plugin, Themes, Library และรูปแบบการใช้งานที่แตกต่างกัน
4.2 Vulnerability Assessment
การประเมินหาความเสี่ยงเบื้องต้นจากช่องโหว่ที่ค้นพบในระบบปฏิบัติการ (OS) ซอฟต์แวร์ หรืออุปกรณ์เครือข่าย/ความปลอดภัย ว่ามีช่องโหว่ใดบ้างและมีระดับความรุนแรงเท่าใด เพื่อดำเนินการแก้ไขและปิดช่องโหว่นั้น
4.3 การจำกัดสิทธิ์การเข้าถึงของพนักงาน
การจำกัดการเข้าถึงข้อมูลเป็นลำดับขั้นตามหน้าที่ของพนักงาน และการจัดให้มีสัญญารักษาความลับของข้อมูล โดยบุคลากรที่เกี่ยวข้องมีหน้าที่รักษาความลับซึ่งยังคงมีผลแม้พ้นสภาพการเป็นบุคลากรแล้ว และได้รับการอบรมให้ตระหนักถึงหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคล
4.4 คณะเจ้าหน้าที่ดูแลระบบความปลอดภัยของข้อมูล
บริษัทมีคณะเจ้าหน้าที่ผู้ถือครองวุฒิบัตร ICDL Personal Data Protection โดย International Computer Driving License อ้างอิงตามมาตรฐานสหภาพยุโรป ได้แก่
- Data Protection Officer (DPO) — เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ผู้ดูแลและให้ความคุ้มครองข้อมูลส่วนบุคคลทั้งหมดในองค์กร ทั้งข้อมูลภายในและภายนอก มีหน้าที่ตั้งแต่จัดทำ ควบคุม ตรวจสอบ รวบรวม และจัดเก็บข้อมูลตามกฎหมาย รวมถึงประสานงานกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเมื่อเกิดปัญหา
- Data Processor — เจ้าหน้าที่ผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งดำเนินการภายใต้คำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น
4.5 มาตรฐานและกรอบการบริหารจัดการ
มาตรการทางเทคนิคและการจัดองค์กรของบริษัทสอดคล้องกับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) และระบบบริหารจัดการข้อมูลส่วนบุคคล (PIMS) โดยอ้างอิงแนวปฏิบัติตามมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27017 / 27018 / 27701 ซึ่งครอบคลุมอย่างน้อย การควบคุมการเข้าถึงและการพิสูจน์ตัวตน (รวมการพิสูจน์ตัวตนหลายปัจจัยสำหรับสิทธิสูง) การเข้ารหัสข้อมูลขณะส่งและขณะจัดเก็บตามความเหมาะสม การแบ่งแยกข้อมูลของลูกค้าแต่ละราย (Segregation) ในสภาพแวดล้อมที่ใช้ร่วมกัน การบันทึกและเฝ้าระวังเหตุการณ์ (Logging & Monitoring) การบริหารช่องโหว่/แพตช์ การสำรองและกู้คืนข้อมูล และการบริหารความต่อเนื่องทางธุรกิจ ทั้งนี้ บริษัทจะทบทวนและปรับปรุงมาตรการดังกล่าวเป็นระยะเพื่อให้เหมาะสมกับความเสี่ยงที่เปลี่ยนแปลงไป
5. การประมวลผลข้อมูลตามคำสั่งของผู้รับบริการ
5.1 บริษัทจะประมวลผลข้อมูลส่วนบุคคลที่ผู้รับบริการนำเข้ามาในบริการ เฉพาะตามคำสั่งอันเป็นลายลักษณ์อักษรของผู้รับบริการ (รวมถึงคำสั่งที่กำหนดในสัญญาการใช้บริการและข้อตกลงการประมวลผลข้อมูล) และตามวัตถุประสงค์ของการให้บริการเท่านั้น เว้นแต่เป็นการปฏิบัติตามที่กฎหมายกำหนด ซึ่งในกรณีนั้นบริษัทจะแจ้งให้ผู้รับบริการทราบก่อน เว้นแต่กฎหมายห้ามมิให้แจ้ง
5.2 บริษัทจะไม่ประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ของตนเอง และจะไม่นำไปใช้เพื่อการตลาดหรือการโฆษณา เว้นแต่ได้รับคำสั่งหรือความยินยอมโดยชัดแจ้งจากผู้รับบริการ หรือเป็นการปฏิบัติตามกฎหมาย
5.3 หากบริษัทเห็นว่าคำสั่งใดของผู้รับบริการอาจขัดหรือแย้งต่อกฎหมายคุ้มครองข้อมูลส่วนบุคคล บริษัทจะแจ้งให้ผู้รับบริการทราบโดยไม่ชักช้า และอาจระงับการดำเนินการตามคำสั่งนั้นไว้จนกว่าจะได้รับการยืนยันหรือคำสั่งที่แก้ไขแล้วเป็นลายลักษณ์อักษร ทั้งนี้ ความรับผิดในความชอบด้วยกฎหมายของคำสั่งยังคงเป็นของผู้รับบริการในฐานะผู้ควบคุมข้อมูล
6. ผู้ประมวลผลช่วง (Sub-processors)
6.1 เพื่อการให้บริการ บริษัทอาจมอบหมายให้ผู้ประมวลผลช่วง (Sub-processor) ประมวลผลข้อมูลส่วนบุคคลในนามของบริษัท โดยบริษัทจะทำสัญญากับผู้ประมวลผลช่วงเป็นลายลักษณ์อักษร กำหนดหน้าที่ด้านการคุ้มครองข้อมูลที่เทียบเท่ากับหน้าที่ของบริษัท และบริษัทยังคงต้องรับผิดต่อผู้รับบริการในการกระทำหรือการละเว้นของผู้ประมวลผลช่วงเสมือนเป็นการกระทำของบริษัทเอง
6.2 รายชื่อผู้ประมวลผลช่วงที่ได้รับอนุมัติ ณ ปัจจุบัน มีดังนี้
| ลำดับ | ผู้ประมวลผลช่วง | บริการ / ผลิตภัณฑ์ | ที่ตั้งข้อมูล | ใบรับรอง / กลไกการโอน |
|---|---|---|---|---|
| 1 | Microsoft Corporation (EEA: Microsoft Ireland Operations Ltd) | Microsoft 365 — อีเมล / ไฟล์ / การทำงานร่วมกัน | ทั่วโลก / เลือก Region ได้ | ISO 27001/27017/27018/27701; SOC 1/2/3; SCCs ใน DPA |
| 2 | Google LLC (EEA: Google Ireland Ltd) | Google Workspace — อีเมล / ไฟล์ / การทำงานร่วมกัน | ทั่วโลก / Data Region US, EU | ISO 27001/27017/27018/27701; SOC 2/3; SCCs ใน DPA |
| 3 | บริษัท รักคอม จำกัด (Ruk-Com) | Cloud Hosting / Email / VPS (ตามบริการที่ใช้จริง) | ไทย / สิงคโปร์ | ISO 27001; DPA |
หมายเหตุ: รายชื่อข้างต้นเป็นปัจจุบัน ณ วันที่จัดทำ และอาจมีการปรับปรุงเป็นครั้งคราว
6.3 เมื่อบริษัทประสงค์จะเพิ่มหรือเปลี่ยนแปลงผู้ประมวลผลช่วง บริษัทจะแจ้งให้ผู้รับบริการทราบล่วงหน้าไม่น้อยกว่า 30 (สามสิบ) วัน โดยผู้รับบริการมีสิทธิคัดค้านการเปลี่ยนแปลงด้วยเหตุอันสมควรเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล โดยแจ้งเป็นลายลักษณ์อักษรภายใน 14 (สิบสี่) วัน นับแต่ได้รับแจ้ง หากคู่สัญญาไม่สามารถหาข้อยุติได้ ผู้รับบริการมีสิทธิระงับหรือบอกเลิกบริการเฉพาะส่วนที่เกี่ยวข้องตามเงื่อนไขในสัญญาการใช้บริการ
7. การช่วยเหลือเรื่องสิทธิและการประเมินผลกระทบ
7.1 หากเจ้าของข้อมูลส่วนบุคคล (ลูกค้าของผู้รับบริการ) ยื่นคำขอใช้สิทธิมายังบริษัทโดยตรง บริษัทจะส่งต่อคำขอนั้นให้ผู้รับบริการโดยไม่ชักช้า และจะไม่ตอบสนองต่อคำขอนั้นด้วยตนเอง เว้นแต่ได้รับคำสั่งจากผู้รับบริการหรือกฎหมายกำหนด
7.2 บริษัทจะให้ความช่วยเหลือผู้รับบริการตามสมควรด้วยมาตรการทางเทคนิคและการจัดองค์กรที่เหมาะสม เพื่อให้ผู้รับบริการสามารถปฏิบัติตามคำขอใช้สิทธิของเจ้าของข้อมูล (เช่น การเข้าถึง แก้ไข ลบ คัดค้าน และการโอนย้ายข้อมูล) ได้ภายในกรอบเวลาที่กฎหมายกำหนด
7.3 บริษัทจะให้ความช่วยเหลือผู้รับบริการตามสมควรในการจัดทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA) และการปรึกษาหารือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยคำนึงถึงลักษณะของการประมวลผลและข้อมูลที่บริษัทมีอยู่
8. การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล
8.1 เมื่อบริษัททราบถึงเหตุการละเมิดข้อมูลส่วนบุคคล (Data Breach) ที่เกี่ยวข้องกับข้อมูลของผู้รับบริการ บริษัทในฐานะผู้ประมวลผลข้อมูลจะแจ้งให้ผู้รับบริการ (ผู้ควบคุมข้อมูล) ทราบโดยไม่ชักช้า และอย่างช้าไม่เกิน 48 (สี่สิบแปด) ชั่วโมง นับแต่ทราบเหตุ เพื่อให้ผู้รับบริการสามารถแจ้งเหตุต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ภายใน 72 ชั่วโมง ตามมาตรา 37(4) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
8.2 การแจ้งจะรวมถึงข้อมูลที่จำเป็นเท่าที่บริษัททราบ เช่น ลักษณะของเหตุ ประเภทและจำนวนข้อมูล/เจ้าของข้อมูลโดยประมาณ ผลกระทบที่อาจเกิดขึ้น และมาตรการที่ได้ดำเนินการหรือเสนอให้ดำเนินการ ทั้งนี้ บริษัทจะให้ความร่วมมือกับผู้รับบริการในการสอบสวนและเยียวยาเหตุดังกล่าว
9. การโอนข้อมูลไปยังต่างประเทศ
9.1 ข้อมูลส่วนบุคคลอาจถูกจัดเก็บหรือประมวลผลที่ศูนย์ข้อมูล (Data Center) ทั้งในประเทศไทยและต่างประเทศ (เช่น ประเทศสิงคโปร์) ตามภูมิภาค (Region) ที่ผู้รับบริการเลือกใช้งาน โดยผู้รับบริการเป็นผู้กำหนดและรับทราบที่ตั้งของข้อมูลดังกล่าว
9.2 กรณีมีการจัดเก็บหรือประมวลผลข้อมูลในต่างประเทศ บริษัทจะดำเนินการให้มีมาตรการคุ้มครองที่เหมาะสมตาม มาตรา 28 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เช่น การใช้ข้อสัญญามาตรฐาน (Standard Contractual Clauses — SCCs) หรือกลไกอื่นที่กฎหมายรับรอง และจะแจ้งประเทศปลายทางที่เก็บรักษาข้อมูลให้ทราบเมื่อมีการร้องขอ
10. การตรวจสอบและการแสดงการปฏิบัติตาม
10.1 บริษัทจะจัดเตรียมข้อมูลที่จำเป็นตามสมควรเพื่อแสดงการปฏิบัติตามหน้าที่ผู้ประมวลผลข้อมูล เช่น ใบรับรองมาตรฐานหรือรายงานการตรวจประเมินจากผู้ตรวจประเมินอิสระ
10.2 ผู้รับบริการมีสิทธิตรวจสอบ (Audit) การปฏิบัติตามหน้าที่ของบริษัทได้ ปีละไม่เกิน 1 ครั้ง โดยแจ้งล่วงหน้าเป็นลายลักษณ์อักษรไม่น้อยกว่า 30 วัน ภายใต้เงื่อนไขการรักษาความลับ ในเวลาทำการ และไม่กระทบต่อข้อมูลหรือระบบของลูกค้ารายอื่นของบริษัท เว้นแต่กรณีเกิดเหตุละเมิดที่มีนัยสำคัญหรือกฎหมายกำหนดเป็นอย่างอื่น
10.3 บริษัทจะจัดทำและคงไว้ซึ่งบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing) ที่ดำเนินการในนามของผู้รับบริการ และจะจัดให้ผู้รับบริการเข้าถึงได้เมื่อร้องขอตามสมควร
11. การคืนและการลบข้อมูลเมื่อสิ้นสุดบริการ
11.1 ข้อมูลและเนื้อหาทั้งหมดที่ผู้รับบริการนำขึ้นหรือจัดเก็บบนระบบของบริษัทยังคงเป็นกรรมสิทธิ์ของผู้รับบริการ บริษัทไม่อ้างสิทธิความเป็นเจ้าของในข้อมูลดังกล่าว และจะเข้าถึงเพียงเท่าที่จำเป็นต่อการให้บริการ การบำรุงรักษาระบบ หรือการปฏิบัติตามกฎหมายเท่านั้น
11.2 เมื่อสิ้นสุดการให้บริการ บริษัทจะคืนหรือลบทำลายข้อมูลส่วนบุคคล รวมถึงสำเนา ตามคำสั่งของผู้รับบริการภายใน 30 (สามสิบ) วัน เว้นแต่กฎหมายกำหนดให้เก็บรักษาต่อไป และเมื่อร้องขอ บริษัทจะออกหนังสือยืนยันการลบทำลายข้อมูล
12. บทกำหนดโทษ
การฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีบทกำหนดโทษทั้งทางอาญา ทางแพ่ง และทางปกครองตามที่กฎหมายกำหนด ทั้งนี้ คู่สัญญาแต่ละฝ่ายตกลงรับผิดในค่าปรับทางปกครองหรือความรับผิดที่เกิดจากการกระทำของฝ่ายตน
การติดต่อและการนำส่งข้อมูล
หากท่านมีข้อสงสัยหรือต้องการสอบถามเพิ่มเติม สามารถติดต่อได้ทางอีเมล [email protected] ในเวลา 9.00 – 18.00 น.
ทั้งนี้ ท่านสามารถแจ้งและปรับปรุงรายการประเภทข้อมูลตามข้อ 2.3 และข้อ 3 ได้ด้วยตนเองผ่านระบบ Portal ของบริษัทที่ https://portal.ruk-com.cloud/ หรือทางอีเมล [email protected] ภายใน 30 วัน นับแต่วันที่ได้รับเอกสารนี้ กรณีที่ท่านไม่ได้แจ้งรายการดังกล่าวภายในกำหนด บริษัทจะถือว่าท่านยังไม่ได้ระบุประเภทข้อมูลส่วนบุคคลที่นำเข้ามาในบริการ และจะดำเนินการคุ้มครองข้อมูลตามมาตรการมาตรฐานของบริษัทเท่าที่ทราบ โดยความรับผิดชอบในความถูกต้องและครบถ้วนของการระบุประเภทข้อมูลเป็นของผู้รับบริการในฐานะผู้ควบคุมข้อมูล ทั้งนี้ ไม่กระทบต่อหน้าที่และความรับผิดชอบของคู่สัญญาแต่ละฝ่ายตามที่กฎหมายกำหนด
