dpa

ภาคผนวกการประมวลผลข้อมูล

เผยแพร่แล้ว: March 27th, 2026 - อัปเดตล่าสุด: March 27th, 2026

ภาคผนวกการประมวลผลข้อมูล

YesHello — โดย Thrive Route Digital Limited

อัปเดตล่าสุด: 27 มีนาคม 2569 วันที่มีผลบังคับใช้: 27 มีนาคม 2569 เวอร์ชัน: 1.0

ภาคผนวกการประมวลผลข้อมูลฉบับนี้ ("DPA") เป็นส่วนหนึ่งของข้อกำหนดและเงื่อนไข ("ข้อกำหนด") ที่มีอยู่ที่ https://yeshello.app/page/terms ระหว่าง Thrive Route Digital Limited บริษัทที่จดทะเบียนในฮ่องกง (เลขทะเบียนธุรกิจ: 73780714) ("YesHello", "ผู้ประมวลผลข้อมูล", "เรา") และท่าน ("ผู้ควบคุมข้อมูล", "ท่าน") - รวมเรียกว่า "คู่สัญญา"

DPA ฉบับนี้มีผลบังคับใช้เมื่อ YesHello ประมวลผลข้อมูลส่วนบุคคลในนามของท่านที่เกี่ยวข้องกับการให้บริการ โดยเฉพาะอย่างยิ่งผ่านแบบฟอร์มจับลูกค้าเป้าหมาย แบบฟอร์มติดต่อ และฟีเจอร์การเก็บรวบรวมข้อมูลอื่น ๆ บน Card ของท่าน

1. คำจำกัดความ

คำที่ขึ้นต้นด้วยตัวพิมพ์ใหญ่แต่ไม่ได้กำหนดไว้ใน DPA ฉบับนี้ ให้มีความหมายตามที่กำหนดไว้ในข้อกำหนด นอกจากนี้:

"กฎหมายคุ้มครองข้อมูลที่บังคับใช้" หมายถึง กฎหมายและระเบียบข้อบังคับทั้งหมดที่ใช้บังคับกับการประมวลผลข้อมูลส่วนบุคคลภายใต้ DPA ฉบับนี้ รวมถึง EU General Data Protection Regulation (Regulation (EU) 2016/679) ("GDPR"), UK General Data Protection Regulation, Hong Kong Personal Data (Privacy) Ordinance (Cap. 486), California Consumer Privacy Act ที่แก้ไขเพิ่มเติมโดย California Privacy Rights Act ("CCPA/CPRA") และกฎหมายคุ้มครองข้อมูลอื่นที่บังคับใช้

"ผู้ควบคุมข้อมูล" หมายถึง ท่าน ผู้ใช้ YesHello ที่กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคลที่เก็บรวบรวมผ่าน Card ของท่าน

"เจ้าของข้อมูล" หมายถึง บุคคลธรรมดาที่ระบุตัวตนได้หรือสามารถระบุตัวตนได้ ซึ่งข้อมูลส่วนบุคคลของบุคคลดังกล่าวถูกประมวลผลภายใต้ DPA ฉบับนี้ รวมถึงผู้เยี่ยมชมที่ส่งข้อมูลผ่าน Card ของท่าน

"ข้อมูลส่วนบุคคล" หมายถึง ข้อมูลใด ๆ ที่เกี่ยวข้องกับเจ้าของข้อมูลที่ถูกประมวลผลโดย YesHello ในนามของท่านผ่านบริการ

"การละเมิดข้อมูลส่วนบุคคล" หมายถึง การละเมิดความปลอดภัยที่นำไปสู่การทำลาย สูญหาย เปลี่ยนแปลง เปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลส่วนบุคคลที่ส่ง จัดเก็บ หรือประมวลผลโดย YesHello โดยไม่ตั้งใจหรือผิดกฎหมาย

"ผู้ประมวลผลข้อมูล" หมายถึง YesHello ซึ่งประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุมข้อมูล

"ผู้ประมวลผลข้อมูลช่วง" หมายถึง บุคคลที่สามที่ YesHello มอบหมายให้ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุมข้อมูล

"ข้อสัญญามาตรฐาน" หรือ "SCCs" หมายถึง ข้อสัญญามาตรฐานที่ได้รับอนุมัติจากคณะกรรมาธิการยุโรปสำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศนอกเขตเศรษฐกิจยุโรป

2. ขอบเขตและบทบาท

2.1 บทบาท

ท่านเป็นผู้ควบคุมข้อมูล และ YesHello เป็นผู้ประมวลผลข้อมูลในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคลที่เก็บรวบรวมจากผู้เยี่ยมชมผ่านแบบฟอร์มจับลูกค้าเป้าหมาย แบบฟอร์มติดต่อ และฟีเจอร์การเก็บรวบรวมข้อมูลอื่น ๆ ของ Card ของท่าน YesHello ประมวลผลข้อมูลส่วนบุคคลนี้เพื่อท่านเท่านั้นและเป็นไปตามคำสั่งที่ท่านได้จัดทำเป็นเอกสาร

2.2 ขอบเขตการประมวลผล

ประเภทของข้อมูลส่วนบุคคล เจ้าของข้อมูล และกิจกรรมการประมวลผลที่ครอบคลุมโดย DPA ฉบับนี้ มีดังนี้:

เจ้าของข้อมูล: ผู้เยี่ยมชมที่มีปฏิสัมพันธ์กับ Card ของท่านและส่งข้อมูลผ่านแบบฟอร์มหรือฟีเจอร์การเก็บรวบรวมข้อมูลอื่นที่ท่านกำหนดค่าไว้

ประเภทข้อมูลส่วนบุคคล: ตามที่กำหนดโดยฟิลด์แบบฟอร์มที่ท่านกำหนดค่า ซึ่งอาจรวมถึง ชื่อ ที่อยู่อีเมล หมายเลขโทรศัพท์ ชื่อบริษัท ตำแหน่งงาน ข้อความ และฟิลด์อื่น ๆ ที่ท่านเลือกเก็บรวบรวม

กิจกรรมการประมวลผล: การเก็บรวบรวม จัดเก็บ เรียกค้น ส่ง (รวมถึงผ่านเว็บฮุคที่ท่านกำหนดค่า) แสดงในแดชบอร์ดบัญชีของท่าน และการลบ

ระยะเวลา: ตลอดระยะเวลาที่บัญชีของท่านยังใช้งานอยู่ บวกหกสิบ (60) วันหลังจากยุติบัญชี ตามที่ระบุไว้ในข้อกำหนด เว้นแต่กฎหมายคุ้มครองข้อมูลที่บังคับใช้กำหนดให้มีระยะเวลาเก็บรักษาที่ยาวนานกว่า

3. หน้าที่ของผู้ควบคุมข้อมูล

ท่านจะต้อง:

(ก) ตรวจสอบให้แน่ใจว่าการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลของท่านผ่านบริการเป็นไปตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้ รวมถึงการมีฐานทางกฎหมายที่ถูกต้องสำหรับการประมวลผล

(ข) จัดทำประกาศความเป็นส่วนตัวที่เหมาะสมแก่เจ้าของข้อมูลก่อนหรือในขณะที่เก็บรวบรวมข้อมูล โดยแจ้งตัวตนของท่านในฐานะผู้ควบคุมข้อมูลและวัตถุประสงค์ของการประมวลผล

(ค) ตอบสนองต่อคำร้องขอของเจ้าของข้อมูล (การเข้าถึง การแก้ไข การลบ การโอนย้าย การคัดค้าน การจำกัด) ภายในกรอบเวลาที่กฎหมายคุ้มครองข้อมูลที่บังคับใช้กำหนด

(ง) ตรวจสอบให้แน่ใจว่าคำสั่งใด ๆ ที่ท่านให้แก่ YesHello เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลเป็นไปตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้

(จ) จัดทำและรักษาบันทึกกิจกรรมการประมวลผลของท่านเองตามที่กฎหมายคุ้มครองข้อมูลที่บังคับใช้กำหนด และ

(ฉ) แจ้ง YesHello โดยทันทีหากท่านทราบถึงสถานการณ์ใด ๆ ที่อาจส่งผลกระทบต่อความสามารถของ YesHello ในการปฏิบัติตามหน้าที่ภายใต้ DPA ฉบับนี้

4. หน้าที่ของผู้ประมวลผลข้อมูล

4.1 คำสั่งการประมวลผล

YesHello จะประมวลผลข้อมูลส่วนบุคคลตามคำสั่งที่ท่านจัดทำเป็นเอกสารเท่านั้น เว้นแต่จะถูกกำหนดโดยกฎหมายที่บังคับใช้ คำสั่งของท่านจัดทำเป็นเอกสารใน: (ก) DPA ฉบับนี้ (ข) ข้อกำหนด และ (ค) การใช้ฟีเจอร์และการตั้งค่าของบริการของท่าน (รวมถึงการกำหนดค่าแบบฟอร์ม การกำหนดค่าเว็บฮุค และคำร้องขอส่งออกข้อมูล) หาก YesHello ถูกกำหนดโดยกฎหมายที่บังคับใช้ให้ประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่น YesHello จะแจ้งท่านเกี่ยวกับข้อกำหนดทางกฎหมายดังกล่าวก่อนดำเนินการประมวลผล เว้นแต่กฎหมายห้ามมิให้ทำเช่นนั้น

4.2 การรักษาความลับ

YesHello จะตรวจสอบให้แน่ใจว่าบุคคลที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนบุคคลได้ให้คำมั่นในการรักษาความลับหรืออยู่ภายใต้ข้อผูกพันทางกฎหมายในการรักษาความลับที่เหมาะสม

4.3 มาตรการรักษาความปลอดภัย

YesHello จะดำเนินการและรักษามาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลจากการทำลาย สูญหาย เปลี่ยนแปลง เปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงโดยไม่ตั้งใจหรือผิดกฎหมาย มาตรการเหล่านี้รวมถึง:

(ก) การเข้ารหัสระหว่างส่ง: ข้อมูลทั้งหมดที่ส่งระหว่างผู้ใช้ ผู้เยี่ยมชม และเซิร์ฟเวอร์ YesHello ได้รับการเข้ารหัสด้วย TLS 1.2 หรือสูงกว่า (ข) การเข้ารหัสขณะเก็บรักษา: ข้อมูลส่วนบุคคลที่จัดเก็บบนเซิร์ฟเวอร์ YesHello ได้รับการเข้ารหัสขณะเก็บรักษา (ค) การควบคุมการเข้าถึง: การเข้าถึงข้อมูลส่วนบุคคลจำกัดเฉพาะบุคลากรที่ได้รับอนุญาตตามหลักความจำเป็นต้องรู้ โดยมีการยืนยันตัวตนและการควบคุมการเข้าถึงตามบทบาท (ง) ความปลอดภัยของโครงสร้างพื้นฐาน: เซิร์ฟเวอร์ทั้งหมดโฮสต์อยู่ในศูนย์ข้อมูลที่ตั้งอยู่ในเยอรมนี พร้อมมาตรการรักษาความปลอดภัยทางกายภาพ ระบบดับเพลิง และไฟฟ้าสำรอง (จ) การสำรองข้อมูลและการกู้คืน: การสำรองข้อมูลอัตโนมัติเป็นประจำพร้อมขั้นตอนการกู้คืนที่ผ่านการทดสอบ (ฉ) ความปลอดภัยของเครือข่าย: การป้องกันด้วยไฟร์วอลล์ การตรวจจับการบุกรุก และการตรวจสอบโครงสร้างพื้นฐานเซิร์ฟเวอร์ (ช) การจัดการช่องโหว่: การอัปเดตและแพตช์ซอฟต์แวร์เซิร์ฟเวอร์และส่วนที่เกี่ยวข้องอย่างสม่ำเสมอ และ (ซ) การตอบสนองต่อเหตุการณ์: ขั้นตอนการตอบสนองต่อเหตุการณ์ที่จัดทำเป็นเอกสาร สำหรับการระบุ ควบคุม และแก้ไขเหตุการณ์ด้านความปลอดภัย

YesHello จะทบทวนและอัปเดตมาตรการเหล่านี้เป็นประจำเพื่อให้แน่ใจว่ายังคงเหมาะสมตามสถานะของเทคโนโลยี ต้นทุนการดำเนินการ และลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการประมวลผล ตลอดจนความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล

4.4 การช่วยเหลือเกี่ยวกับคำร้องขอของเจ้าของข้อมูล

YesHello จะช่วยเหลือท่าน โดยคำนึงถึงลักษณะของการประมวลผล ด้วยมาตรการทางเทคนิคและองค์กรที่เหมาะสมในการปฏิบัติตามหน้าที่ในการตอบสนองต่อคำร้องขอของเจ้าของข้อมูล เมื่อเจ้าของข้อมูลติดต่อ YesHello โดยตรงเกี่ยวกับคำร้องขอที่เกี่ยวข้องกับข้อมูลของท่าน YesHello จะส่งต่อคำร้องขอดังกล่าวไปยังท่านโดยทันทีและจะไม่ตอบสนองต่อเจ้าของข้อมูลโดยตรงโดยไม่ได้รับคำสั่งจากท่าน เว้นแต่กฎหมายกำหนด

4.5 การช่วยเหลือในการปฏิบัติตามกฎหมาย

YesHello จะช่วยเหลือท่านในการปฏิบัติตามหน้าที่เกี่ยวกับความปลอดภัยของการประมวลผล การแจ้งเตือนการละเมิดข้อมูลส่วนบุคคล การประเมินผลกระทบด้านการคุ้มครองข้อมูล และการปรึกษาล่วงหน้ากับหน่วยงานกำกับดูแล โดยคำนึงถึงลักษณะของการประมวลผลและข้อมูลที่มีสำหรับ YesHello

4.6 การลบและการส่งคืนข้อมูล

เมื่อยุติข้อกำหนดหรือเมื่อท่านร้องขอเป็นลายลักษณ์อักษร YesHello จะลบหรือส่งคืนข้อมูลส่วนบุคคลทั้งหมดที่ประมวลผลในนามของท่านตามที่ท่านเลือก และลบสำเนาที่มีอยู่ เว้นแต่กฎหมายที่บังคับใช้กำหนดให้เก็บรักษา หลังจากยุติบัญชี ข้อมูลส่วนบุคคลจะถูกลบภายในหกสิบ (60) วันตามที่ระบุไว้ในข้อกำหนด ท่านอาจส่งออกข้อมูลของท่านได้ตลอดเวลาผ่านฟังก์ชันการส่งออกของบริการ

5. ผู้ประมวลผลข้อมูลช่วง

5.1 การอนุญาต

ท่านให้การอนุญาตเป็นลายลักษณ์อักษรทั่วไปแก่ YesHello ในการมอบหมายผู้ประมวลผลข้อมูลช่วงเพื่อประมวลผลข้อมูลส่วนบุคคลในนามของท่าน ภายใต้ข้อกำหนดของมาตรา 5 นี้

5.2 ผู้ประมวลผลข้อมูลช่วงปัจจุบัน

ณ วันที่มีผลบังคับใช้ YesHello ใช้ผู้ประมวลผลข้อมูลช่วงดังต่อไปนี้:

ผู้ประมวลผลข้อมูลช่วงวัตถุประสงค์สถานที่ตั้งNetcup GmbHการโฮสต์เซิร์ฟเวอร์และโครงสร้างพื้นฐานเยอรมนีStripe, Inc.การประมวลผลการชำระเงิน (รับเฉพาะ Stripe event ID จาก YesHello; ข้อมูลบัตรชำระเงินส่งตรงจากเบราว์เซอร์ของผู้ใช้ไปยัง Stripe)สหรัฐอเมริกา / ทั่วโลกGoogle LLC (Google Places / Business Profile API)การดึงข้อมูลรีวิว Google เมื่อผู้ใช้เปิดใช้งานสหรัฐอเมริกา / ทั่วโลกDataForSEOการดึงข้อมูลรีวิว Google เมื่อผู้ใช้เปิดใช้งานสหรัฐอเมริกา

หมายเหตุเกี่ยวกับ Stripe: YesHello ส่งเฉพาะข้อมูลอ้างอิงธุรกรรมที่ไม่ละเอียดอ่อน (Stripe event ID, ตัวเลขสี่หลักสุดท้ายของบัตร, เวลาที่ทำรายการ) ไปยังเซิร์ฟเวอร์ของตนเท่านั้น ข้อมูลบัตรชำระเงินฉบับเต็มจะถูกส่งโดยตรงจากเบราว์เซอร์ของผู้ใช้หรือผู้เยี่ยมชมไปยัง Stripe และไม่ผ่านโครงสร้างพื้นฐานของ YesHello Stripe ทำหน้าที่เป็นผู้ควบคุมข้อมูลอิสระสำหรับข้อมูลการชำระเงินที่รวบรวมโดยตรง

หมายเหตุเกี่ยวกับเว็บฮุค: เมื่อท่านกำหนดค่าเว็บฮุคเพื่อส่งข้อมูลไปยังปลายทางของบุคคลที่สาม ผู้รับบุคคลที่สามเหล่านั้นไม่ใช่ผู้ประมวลผลข้อมูลช่วงของ YesHello ท่านในฐานะผู้ควบคุมข้อมูลเป็นผู้สั่งการถ่ายโอนข้อมูล และผู้รับบุคคลที่สามจะประมวลผลข้อมูลภายใต้คำสั่งของท่านและเงื่อนไขของตนเอง

5.3 การแจ้งเตือนการเปลี่ยนแปลง

YesHello จะแจ้งท่านทางอีเมลอย่างน้อยสามสิบ (30) วันก่อนมอบหมายผู้ประมวลผลข้อมูลช่วงรายใหม่หรือเปลี่ยนผู้ประมวลผลข้อมูลช่วงรายเดิม การแจ้งเตือนจะระบุผู้ประมวลผลข้อมูลช่วง สถานที่ตั้ง และกิจกรรมการประมวลผลที่จะดำเนินการ

5.4 สิทธิในการคัดค้าน

หากท่านมีข้อคัดค้านที่สมเหตุสมผลต่อผู้ประมวลผลข้อมูลช่วงรายใหม่ด้วยเหตุผลด้านการคุ้มครองข้อมูล ท่านอาจแจ้ง YesHello เป็นลายลักษณ์อักษรภายในสิบสี่ (14) วันนับจากวันที่ได้รับการแจ้งเตือน YesHello จะใช้ความพยายามอย่างสมเหตุสมผลในเชิงพาณิชย์เพื่อแก้ไขข้อคัดค้านของท่าน ซึ่งอาจรวมถึงการเสนอการกำหนดค่าทางเลือกที่หลีกเลี่ยงการใช้ผู้ประมวลผลข้อมูลช่วงที่ถูกคัดค้าน หาก YesHello ไม่สามารถรองรับข้อคัดค้านของท่านได้อย่างสมเหตุสมผล คู่สัญญาฝ่ายใดฝ่ายหนึ่งอาจยุติส่วนที่ได้รับผลกระทบของบริการ และท่านจะได้รับการคืนเงินตามสัดส่วนของค่าธรรมเนียมที่ชำระล่วงหน้าสำหรับส่วนที่ยุติ

5.5 หน้าที่ของผู้ประมวลผลข้อมูลช่วง

YesHello จะกำหนดหน้าที่ด้านการคุ้มครองข้อมูลแก่ผู้ประมวลผลข้อมูลช่วงแต่ละรายที่มีระดับการคุ้มครองไม่น้อยกว่าที่กำหนดไว้ใน DPA ฉบับนี้ YesHello ยังคงรับผิดชอบต่อท่านอย่างเต็มที่สำหรับการปฏิบัติตามหน้าที่ของผู้ประมวลผลข้อมูลช่วงแต่ละราย

6. การถ่ายโอนข้อมูลระหว่างประเทศ

6.1 สถานที่โฮสต์

ข้อมูลส่วนบุคคลที่ประมวลผลภายใต้ DPA ฉบับนี้โฮสต์อยู่บนเซิร์ฟเวอร์ที่ตั้งอยู่ในเยอรมนี

6.2 การถ่ายโอนนอกเขตเศรษฐกิจยุโรป

เมื่อข้อมูลส่วนบุคคลที่มีต้นทางจากเขตเศรษฐกิจยุโรป สหราชอาณาจักร หรือสวิตเซอร์แลนด์ ถูกถ่ายโอนไปยังผู้ประมวลผลข้อมูลช่วงที่ตั้งอยู่นอกภูมิภาคเหล่านั้น (เช่น Stripe ในสหรัฐอเมริกา) YesHello จะตรวจสอบให้แน่ใจว่าการถ่ายโอนดังกล่าวดำเนินการตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้ โดยใช้กลไกอย่างน้อยหนึ่งข้อดังต่อไปนี้:

(ก) คำตัดสินความเพียงพอของคณะกรรมาธิการยุโรปสำหรับประเทศผู้รับ (ข) ข้อสัญญามาตรฐาน (SCCs) ที่ได้รับอนุมัติจากคณะกรรมาธิการยุโรป ตามที่รวมอยู่ในสัญญาของ YesHello กับผู้ประมวลผลข้อมูลช่วง (ค) การรับรองของผู้รับภายใต้กรอบการถ่ายโอนที่ได้รับอนุมัติ (เช่น EU-US Data Privacy Framework) หรือ (ง) กลไกการถ่ายโอนที่ชอบด้วยกฎหมายอื่นที่ได้รับการรับรองภายใต้กฎหมายคุ้มครองข้อมูลที่บังคับใช้

6.3 มาตรการป้องกันเพิ่มเติม

เมื่ออาศัยข้อสัญญามาตรฐาน YesHello จะดำเนินการประเมินผลกระทบของการถ่ายโอนและดำเนินมาตรการเสริมเมื่อจำเป็นเพื่อให้แน่ใจว่าระดับการคุ้มครองข้อมูลส่วนบุคคลไม่ถูกบ่อนทำลายโดยการถ่ายโอน

7. การแจ้งเตือนการละเมิดข้อมูลส่วนบุคคล

7.1 การแจ้งเตือนผู้ควบคุมข้อมูล

YesHello จะแจ้งท่านโดยไม่ชักช้าเกินสมควร และไม่ว่ากรณีใดภายในเจ็ดสิบสอง (72) ชั่วโมง หลังจากทราบถึงการละเมิดข้อมูลส่วนบุคคลที่ส่งผลกระทบต่อข้อมูลส่วนบุคคลที่ประมวลผลในนามของท่าน

7.2 เนื้อหาของการแจ้งเตือน

การแจ้งเตือนจะรวมถึง เท่าที่มีข้อมูล:

(ก) คำอธิบายลักษณะของการละเมิดข้อมูลส่วนบุคคล รวมถึงประเภทและจำนวนโดยประมาณของเจ้าของข้อมูลและบันทึกที่เกี่ยวข้อง (ข) ผลกระทบที่อาจเกิดขึ้นจากการละเมิด (ค) คำอธิบายมาตรการที่ดำเนินการหรือเสนอให้ดำเนินการเพื่อแก้ไขการละเมิด รวมถึงมาตรการบรรเทาผลกระทบที่อาจเกิดขึ้น และ (ง) ชื่อและรายละเอียดการติดต่อของผู้ที่สามารถให้ข้อมูลเพิ่มเติม

7.3 ข้อมูลต่อเนื่อง

เมื่อไม่สามารถให้ข้อมูลทั้งหมดได้ในขณะแจ้งเตือนเบื้องต้น YesHello จะให้ข้อมูลเป็นระยะโดยไม่ชักช้าเพิ่มเติมเมื่อมีข้อมูล

7.4 ความร่วมมือ

YesHello จะร่วมมือกับท่านและดำเนินการตามขั้นตอนที่สมเหตุสมผลในเชิงพาณิชย์เพื่อช่วยเหลือในการสอบสวน บรรเทาผลกระทบ และแก้ไขการละเมิดข้อมูลส่วนบุคคล YesHello จะเก็บรักษาหลักฐานที่เกี่ยวข้องกับการละเมิดเพื่อวัตถุประสงค์ในการสอบสวน

7.5 ไม่มีการประเมินความเสี่ยง

การแจ้งเตือนการละเมิดข้อมูลส่วนบุคคลของ YesHello ต่อท่านไม่ถือเป็นการยอมรับความผิดหรือความรับผิดใด ๆ ท่านยังคงมีหน้าที่รับผิดชอบในการประเมินว่าการละเมิดดังกล่าวจำเป็นต้องแจ้งหน่วยงานกำกับดูแลหรือเจ้าของข้อมูลหรือไม่ ภายใต้กฎหมายคุ้มครองข้อมูลที่บังคับใช้

8. การตรวจสอบและการตรวจ

8.1 ข้อมูลและการปฏิบัติตาม

YesHello จะจัดให้ท่านได้รับข้อมูลทั้งหมดที่จำเป็นอย่างสมเหตุสมผลเพื่อพิสูจน์การปฏิบัติตามหน้าที่ที่กำหนดไว้ใน DPA ฉบับนี้

8.2 สิทธิในการตรวจสอบ

ท่านมีสิทธิดำเนินการตรวจสอบ รวมถึงการตรวจ เพื่อยืนยันการปฏิบัติตาม DPA ฉบับนี้ของ YesHello ภายใต้เงื่อนไขดังต่อไปนี้:

(ก) ท่านจะต้องแจ้งเป็นลายลักษณ์อักษรล่วงหน้าอย่างน้อยสามสิบ (30) วันก่อนร้องขอการตรวจสอบ (ข) การตรวจสอบจะดำเนินการในช่วงเวลาทำการปกติและจะไม่รบกวนการดำเนินธุรกิจของ YesHello อย่างไม่สมเหตุสมผล (ค) ท่านจะรับผิดชอบค่าใช้จ่ายในการตรวจสอบ เว้นแต่การตรวจสอบพบการละเมิด DPA ฉบับนี้อย่างมีนัยสำคัญโดย YesHello (ง) ผลการตรวจสอบจะถือเป็นข้อมูลลับ และ (จ) การตรวจสอบจะไม่เกินหนึ่ง (1) ครั้งต่อระยะเวลาสิบสอง (12) เดือน เว้นแต่หน่วยงานกำกับดูแลกำหนดหรือเกิดจากการละเมิดข้อมูลส่วนบุคคล

8.3 ผู้ตรวจสอบบุคคลที่สาม

ท่านอาจแต่งตั้งผู้ตรวจสอบบุคคลที่สามที่มีคุณสมบัติและเป็นอิสระเพื่อดำเนินการตรวจสอบในนามของท่าน โดยผู้ตรวจสอบดังกล่าวต้องยอมรับข้อผูกพันในการรักษาความลับที่ YesHello ยอมรับได้

8.4 การรับรองทางเลือก

แทนการตรวจสอบในสถานที่ YesHello อาจจัดให้ท่านได้รับ: (ก) สรุปรายงานการตรวจสอบหรือการรับรองจากบุคคลที่สามที่เกี่ยวข้อง (เช่น SOC 2 หรือ ISO 27001 หากได้รับ) (ข) แบบสอบถามด้านความปลอดภัยมาตรฐานที่กรอกแล้ว หรือ (ค) เอกสารอื่นที่แสดงการปฏิบัติตาม DPA ฉบับนี้อย่างสมเหตุสมผล ท่านจะพิจารณาการรับรองทางเลือกดังกล่าวโดยสุจริตก่อนใช้สิทธิในการตรวจสอบในสถานที่

9. ความรับผิด

ความรับผิดของคู่สัญญาแต่ละฝ่ายภายใต้ DPA ฉบับนี้อยู่ภายใต้ข้อจำกัดความรับผิดที่กำหนดไว้ในข้อกำหนด ไม่มีข้อกำหนดใดใน DPA ฉบับนี้ที่จะจำกัดความรับผิดของคู่สัญญาฝ่ายใดฝ่ายหนึ่งสำหรับการละเมิดกฎหมายคุ้มครองข้อมูลที่บังคับใช้ เท่าที่ความรับผิดดังกล่าวไม่สามารถจำกัดได้ภายใต้กฎหมายนั้น

10. ระยะเวลาและการยุติ

10.1 ระยะเวลา

DPA ฉบับนี้จะมีผลบังคับใช้ตลอดระยะเวลาที่ YesHello ประมวลผลข้อมูลส่วนบุคคลในนามของท่าน

10.2 ข้อที่ยังมีผลบังคับใช้ต่อ

มาตรา 4.6 (การลบและการส่งคืนข้อมูล), 7 (การแจ้งเตือนการละเมิดข้อมูลส่วนบุคคล), 8 (การตรวจสอบและการตรวจ) และ 9 (ความรับผิด) จะยังคงมีผลบังคับใช้ต่อหลังจากยุติ DPA ฉบับนี้

11. กฎหมายที่ใช้บังคับ

DPA ฉบับนี้จะอยู่ภายใต้และตีความตามกฎหมายที่ใช้บังคับของข้อกำหนด ในกรณีที่กฎหมายคุ้มครองข้อมูลที่บังคับใช้กำหนดให้ใช้กฎหมายของเขตอำนาจศาลเฉพาะ (ตัวอย่างเช่น GDPR กำหนดให้บทบัญญัติบางประการอยู่ภายใต้กฎหมายของรัฐสมาชิกสหภาพยุโรป) กฎหมายดังกล่าวจะใช้บังคับกับบทบัญญัติที่เกี่ยวข้องของ DPA ฉบับนี้

12. การแก้ไข

YesHello อาจอัปเดต DPA ฉบับนี้เป็นครั้งคราวเพื่อสะท้อนการเปลี่ยนแปลงในกฎหมายคุ้มครองข้อมูลที่บังคับใช้ ผู้ประมวลผลข้อมูลช่วงของเรา หรือมาตรการรักษาความปลอดภัยของเรา การเปลี่ยนแปลงที่สำคัญจะได้รับการแจ้งเตือนตามมาตรา 20 ของข้อกำหนด เวอร์ชันปัจจุบันของ DPA ฉบับนี้สามารถเข้าถึงได้ตลอดเวลาที่ https://yeshello.app/page/dpa

13. ติดต่อ

สำหรับคำถามเกี่ยวกับ DPA ฉบับนี้หรือเรื่องการประมวลผลข้อมูล:

Thrive Route Digital Limited 21/F CMA Building, 64 Connaught Road Central, Hong Kong อีเมล: [email protected]