PhotoRobot
ศูนย์ความเชื่อถือ
ชอบด้วยกฎหมาย
ข้อตกลงการประมวลผลข้อมูล PhotoRobot (DPA)
ข้อกําหนดในการให้บริการของ PhotoRobot
ข้อตกลงสิทธิ์การใช้งาน PhotoRobot
เอกสารความเป็นส่วนตัวของ PhotoRobot - ภาพรวม
นโยบายความเป็นส่วนตัวของ PhotoRobot
ประกาศความเป็นส่วนตัวของ PhotoRobot GDPR (มาตรา 13)
ข้อตกลงการประมวลผลข้อมูล PhotoRobot (DPA)
นโยบายการใช้งานที่ยอมรับได้ (AUP) ของ PhotoRobot
ข้อตกลงระดับการให้บริการ (SLA) ของ PhotoRobot
ข้อตกลงระดับการให้บริการ (SLA) สําหรับซอฟต์แวร์ PhotoRobot
ข้อตกลงระดับการให้บริการ (SLA) สําหรับฮาร์ดแวร์ PhotoRobot
ข้อกําหนดการสนับสนุนลูกค้า PhotoRobot
นโยบายคุกกี้ PhotoRobot
นโยบายความยินยอมทางการตลาดของ PhotoRobot
รายการโปรเซสเซอร์ย่อย PhotoRobot
คําจํากัดความทางกฎหมายและอภิธานศัพท์ของ PhotoRobot
แก้ไขล่าสุด: 29 ธ.ค. 2025

ข้อตกลงการประมวลผลข้อมูล PhotoRobot (DPA)

เอกสารนี้แสดงถึงข้อตกลงการประมวลผลข้อมูล PhotoRobot: เวอร์ชัน 1.0 — PhotoRobot Edition, uni-Robot Ltd., สาธารณรัฐเช็ก

1. คู่สัญญา

ข้อตกลงการประมวลผลข้อมูล ("DPA") นี้ทําขึ้นระหว่าง:

ผู้ควบคุม (ลูกค้า)
บุคคลหรือนิติบุคคลที่ได้ทําข้อตกลงในการให้บริการของ PhotoRobot และใช้บริการ

และ

โปรเซสเซอร์:
บริษัท ยูนิ-โรบอท จํากัด
โวดิชโควา 710/31
110 00 ปราก 1
สาธารณรัฐเชก
รหัสบริษัท: 01478061
หมายเลขประจําตัวผู้เสียภาษีมูลค่าเพิ่ม: CZ01478061
อีเมล์: legal@photorobot.com

ต่อไปนี้จะเรียกรวมกันว่า "คู่สัญญา"

DPA นี้เป็นส่วนเสริมของข้อกําหนดในการให้บริการของ PhotoRobot และมีผลบังคับใช้เมื่อ PhotoRobot ประมวลผลข้อมูลส่วนบุคคลในนามของลูกค้า

2. หัวข้อและลักษณะของการประมวลผล

PhotoRobot ("ผู้ประมวลผล") ให้บริการบนคลาวด์ ส่วนขยายซอฟต์แวร์ในเครื่อง การจัดการเฟิร์มแวร์ และโครงสร้างพื้นฐานการโฮสต์ที่จําเป็นในการประมวลผลรูปภาพ ข้อมูลเมตา และเนื้อหาดิจิทัลที่เกี่ยวข้องที่อัปโหลดโดยลูกค้า ("ผู้ควบคุม")

การประมวลผลประกอบด้วย:

  • คอลเลกชัน
  • ค่าเช่าคลัง
  • การแพร่เชื้อ
  • การแยกข้อมูลเมตา
  • การซิงโครไนซ์ระหว่าง CL ↔ Cloud
  • การโฮสต์เนื้อหาที่ลูกค้าอัปโหลด
  • การสร้างบันทึกและการวินิจฉัย
  • การดําเนินการสํารองข้อมูล

การประมวลผลจะดําเนินการอย่างเคร่งครัด ในนามของผู้ควบคุม ตามคําแนะนําที่เป็นเอกสาร

3. ระยะเวลา

DPA นี้ยังคงมีผลบังคับใช้ตลอดระยะเวลาของความสัมพันธ์ตามสัญญาระหว่างคู่สัญญา และหลังจากนั้นตราบเท่าที่ผู้ประมวลผลจัดเก็บหรือประมวลผลข้อมูลส่วนบุคคลใดๆ ในนามของผู้ควบคุม

4. ข้อมูลส่วนบุคคลและประเภทของเจ้าของข้อมูลส่วนบุคคล

4.1. ประเภทของข้อมูลส่วนบุคคล

ข้อมูลที่ประมวลผลอาจรวมถึง:

  • ข้อมูลระบุตัวตน (ชื่อ นามสกุล บริษัท)
  • ข้อมูลการติดต่อ (อีเมล โทรศัพท์)
  • เนื้อหาภาพ (รูปภาพ วิดีโอ)
  • ข้อมูลเมตาที่เชื่อมโยงกับเนื้อหาที่อัปโหลด
  • ข้อมูลบันทึก ที่อยู่ IP ตัวระบุทางเทคนิค
  • ข้อมูลระดับโปรเจ็กต์
  • ข้อมูลเข้าสู่ระบบ (แฮช) โทเค็นการเข้าถึง

ผู้ประมวลผล ไม่ต้องการ หรือจงใจประมวลผลข้อมูลประเภทพิเศษ (มาตรา 9 ของ GDPR)

4.2. ประเภทของเจ้าของข้อมูล

  • พนักงานของลูกค้า
  • ลูกค้าหรือคู่ค้าของลูกค้า
  • ผู้ใช้ที่ได้รับอนุญาต
  • บุคคลใด ๆ ที่นําเสนอในเนื้อหาภาพที่อัปโหลดโดยลูกค้า

ลูกค้ามีหน้าที่รับผิดชอบแต่เพียงผู้เดียวในการรับรองการเก็บรวบรวมข้อมูลจากเจ้าของข้อมูลอย่างถูกต้องตามกฎหมาย

5. คําแนะนําจากคอนโทรลเลอร์

ผู้ประมวลผลประมวลผลข้อมูลส่วนบุคคลเท่านั้น:

  1. ตามคําแนะนําที่เป็นเอกสารของผู้ควบคุม
  2. ตามความจําเป็นในการให้บริการ
  3. เพื่อให้มั่นใจในความปลอดภัย ความสมบูรณ์ และความพร้อมใช้งานของระบบ
  4. ตามที่กฎหมายของสหภาพยุโรปหรือเช็กกําหนด

หากผู้ประมวลผลเห็นว่าคําสั่งนั้นไม่ชอบด้วยกฎหมาย ผู้ประมวลผลจะต้องแจ้งให้ผู้ควบคุมทราบ

6. การรักษาความลับ

ผู้ประมวลผลตรวจสอบให้แน่ใจว่าบุคคลทุกคนที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนบุคคล:

  • อยู่ภายใต้ภาระผูกพันในการรักษาความลับ
  • ได้รับการฝึกอบรมที่เหมาะสม
  • ประมวลผลข้อมูลภายใต้คําแนะนําจากผู้ควบคุมเท่านั้น

7. ผู้ประมวลผลย่อย

ผู้ประมวลผลใช้บุคคลที่สามบางราย ("ผู้ประมวลผลช่วง") เพื่อสนับสนุนบริการ

7.1. ผู้ประมวลผลย่อยที่ได้รับอนุมัติ

ผู้ควบคุมให้สิทธิ์ทั่วไปแก่ผู้ประมวลผลในการว่าจ้างผู้ประมวลผลช่วงประเภทต่อไปนี้:

  • ผู้ให้บริการโครงสร้างพื้นฐานระบบคลาวด์ (เช่น Google Cloud Platform)
  • ผู้ให้บริการส่งอีเมล
  • ผู้ให้บริการวิเคราะห์
  • ระบบตั๋ว
  • บริการตรวจสอบความปลอดภัย
  • ระบบสํารองข้อมูลและการกู้คืนจากภัยพิบัติ

รายการทั้งหมดจะถูกเก็บรักษาไว้ในรายการโปรเซสเซอร์ย่อยของ PhotoRobot และอาจได้รับการอัปเดต

7.2. การแจ้งการเปลี่ยนแปลง

ผู้ประมวลผลจะต้องแจ้งให้ผู้ควบคุมทราบถึงการเปลี่ยนแปลงที่ตั้งใจไว้กับผู้ประมวลผลช่วงล่วงหน้าอย่างน้อย 15 วัน เพื่อให้ผู้ควบคุมสามารถคัดค้านด้วยเหตุผลที่สมเหตุสมผล

8. การถ่ายโอนข้อมูลระหว่างประเทศ

ในกรณีที่ผู้ประมวลผลย่อยหรือโครงสร้างพื้นฐานตั้งอยู่นอก EEA ผู้ประมวลผลจะตรวจสอบให้แน่ใจว่า:

  • การบังคับใช้ข้อสัญญามาตรฐาน (SCC 2021)
  • การป้องกันทางเทคนิคและองค์กรเพิ่มเติม
  • การเข้าถึงและการเข้ารหัสที่ลดลง
  • การตรวจสอบการปฏิบัติตามข้อกําหนดโดยผู้ให้บริการพื้นฐาน

Google Cloud Platform ให้:

  • ISO 27001, ISO 27017, ISO 27018
  • รายงาน SOC 1/2/3
  • เอกสารการปฏิบัติตาม GDPR

ดูรายละเอียดได้ที่ https://cloud.google.com/security

9. มาตรการรักษาความปลอดภัย

ผู้ประมวลผลจะต้องใช้มาตรการทางเทคนิคและองค์กร (TOM) ตามมาตรฐานอุตสาหกรรม ซึ่งรวมถึง:

9.1. มาตรการทางเทคนิค

  • การเข้ารหัส TLS ของข้อมูลระหว่างการส่ง
  • พื้นที่จัดเก็บข้อมูลที่ปลอดภัยด้วยโทเค็นการเข้าถึงที่เข้ารหัส
  • สภาพแวดล้อมการประมวลผลที่แยกได้
  • การแฮชรหัสผ่าน
  • ขีดจํากัดอัตราและระบบตรวจจับการบุกรุก
  • ไฟร์วอลล์หลายชั้น
  • การรักษาความปลอดภัยของศูนย์ข้อมูลทางกายภาพ (ผ่าน Google Cloud)

9.2. มาตรการขององค์กร

  • การควบคุมการเข้าถึงตามบทบาท
  • เข้าถึงการบันทึกและการตรวจสอบ
  • นโยบายภายในสําหรับการจัดการข้อมูล
  • ภาระผูกพันในการรักษาความลับของพนักงาน
  • การฝึกอบรมด้านความปลอดภัยเป็นระยะ
  • การบริหารความเสี่ยงของผู้ขาย

มีรายการ TOM ทั้งหมดตามคําขอ

10. สิทธิของเจ้าของข้อมูลส่วนบุคคล

โปรเซสเซอร์ช่วยคอนโทรลเลอร์ในการตอบสนองต่อ:

  • คําขอการเข้าถึง
  • การแก้ไข
  • การลบ
  • ข้อจํากัด
  • การเคลื่อนย้ายข้อมูล
  • การคัดค้าน

ผู้ประมวลผลจะส่งต่อคําขอโดยตรงจากเจ้าของข้อมูลไปยังผู้ควบคุมโดยไม่ชักช้าเกินควร

11. การแจ้งเตือนการละเมิดข้อมูล

ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคล ผู้ประมวลผลจะต้องแจ้งให้ผู้ควบคุมทราบ:

  • โดยไม่ชักช้าเกินควร
  • รวมถึงข้อมูลทั้งหมดที่กําหนดโดยมาตรา 33 ของ GDPR
  • และให้การอัปเดตอย่างต่อเนื่องจนกว่าการแก้ไขจะเสร็จสมบูรณ์

ผู้ควบคุมยังคงรับผิดชอบในการแจ้งเจ้าหน้าที่และบุคคลที่ได้รับผลกระทบ

12. การลบหรือส่งคืนข้อมูล

เมื่อสิ้นสุดสัญญา:

  • ผู้ประมวลผลจะลบข้อมูลลูกค้าหลังจาก 30 วัน
  • เว้นแต่จะได้รับคําสั่งเป็นอย่างอื่นจากผู้ควบคุม
  • เว้นแต่กฎหมายกําหนดให้มีการเก็บรักษา

การสํารองข้อมูลจะถูกเขียนทับในระหว่างวงจรชีวิตปกติ

13. การตรวจสอบ

ผู้ควบคุมมีสิทธิ์ที่จะ:

  • รับเอกสารพิสูจน์การปฏิบัติตาม GDPR
  • ขอรายงานเกี่ยวกับ TOM
  • ดําเนินการตรวจสอบอย่างสมเหตุสมผล จํากัด ปีละ 1 ครั้ง
  • พึ่งพาการรับรองจากบุคคลที่สาม (รายงาน ISO/SOC ของ Google Cloud)

การตรวจสอบต้องไม่เป็นอันตรายต่อความปลอดภัยหรือขัดขวางการดําเนินงาน

14. ความรับผิด

ความรับผิดของคู่สัญญาเป็นไปตามข้อกําหนดในการให้บริการ
ผู้ประมวลผลจะรับผิดชอบต่อการละเมิดที่เกิดจากการละเมิดภาระผูกพันของ GDPR ของตนเองเท่านั้น

15. กฎหมายที่ใช้บังคับและเขตอํานาจศาล

DPA นี้อยู่ภายใต้กฎหมายของสาธารณรัฐเช็ก

ข้อพิพาทจะได้รับการแก้ไขโดยศาลในกรุงปราก สาธารณรัฐเช็ก

16. ข้อสัญญามาตรฐาน (SCC)

หากจําเป็น SCC 2021 (โมดูล 2: คอนโทรลเลอร์ → โปรเซสเซอร์) จะใช้เป็นภาคผนวกของ DPA นี้

PhotoRobot:

  • รวม SCC โดยการอ้างอิง
  • รวมถึงข้อบังคับทั้งหมด
  • ใช้มาตรการทางเทคนิคเพิ่มเติม
  • รับรองการปฏิบัติตามข้อกําหนดสําหรับการถ่ายโอนไปยังผู้ประมวลผลย่อยนอก EEA

SCC อาจให้ครบถ้วนเมื่อมีการร้องขอ

17. ติดต่อ

บริษัท ยูนิ-โรบอท จํากัด
โวดิชโควา 710/31
110 00 ปราก 1
สาธารณรัฐเชก

อีเมล์: legal@photorobot.com