ข้อตกลงการประมวลผลข้อมูล
อัปเดตล่าสุด 11 พฤษภาคม 2569
ข้อตกลงการประมวลผลข้อมูลฉบับนี้ ("DPA") จัดทำขึ้นระหว่างนิติบุคคลที่ได้รับการระบุเป็นผู้ควบคุมในใบสั่งซื้อหรือสัญญาบริการที่เกี่ยวข้อง ("ผู้ควบคุม") และ PZX (CNPJ: 62.054.402/0001-26) ซึ่งมีสำนักงานใหญ่ตั้งอยู่ในรัฐเซาเปาโล ประเทศบราซิล ("ผู้ดำเนินการ") และเป็นส่วนหนึ่งของข้อตกลงที่กำกับการใช้งาน Konn ("ข้อตกลง")
1. คำนิยาม
"ข้อมูลส่วนบุคคล" หมายถึง ข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุตัวตนได้หรือสามารถระบุตัวตนได้ ตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลทั่วไปของบราซิล (LGPD, กฎหมายเลขที่ 13.709/2018)
"การประมวลผล" หมายถึง การดำเนินการใดๆ ที่กระทำต่อข้อมูลส่วนบุคคล รวมถึงการเก็บรวบรวม การจัดเก็บ การใช้ การเข้าถึง การส่ง และการลบ
"ผู้ควบคุม" หมายถึง บุคคลธรรมดาหรือนิติบุคคลที่มีอำนาจในการตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
"ผู้ดำเนินการ" หมายถึง บุคคลธรรมดาหรือนิติบุคคลที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม ตามคำสั่งของผู้ควบคุม
"เจ้าของข้อมูล" หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลเกี่ยวข้องด้วย
"ผู้ดำเนินการช่วง" หมายถึง บุคคลที่สามใดๆ ที่ผู้ดำเนินการว่าจ้างให้ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม
"บริการ" หมายถึง แพลตฟอร์ม Konn และคุณสมบัติที่เกี่ยวข้องใดๆ ที่ PZX จัดให้บริการภายใต้ข้อตกลง
2. ขอบเขตและความสัมพันธ์
DPA ฉบับนี้กำกับการประมวลผลข้อมูลส่วนบุคคลโดย PZX ในฐานะผู้ดำเนินการ ในนามของผู้ควบคุม ในส่วนที่เกี่ยวข้องกับการให้บริการ
ผู้ควบคุมเป็นผู้กำหนดวัตถุประสงค์และวิธีการประมวลผล PZX ประมวลผลข้อมูลส่วนบุคคลเพื่อให้บริการและดำเนินงานบริการเท่านั้น ตามคำสั่งของผู้ควบคุมที่ระบุไว้ใน DPA ฉบับนี้และข้อตกลง
3. ลักษณะ วัตถุประสงค์ และระยะเวลาในการประมวลผล
ลักษณะ: การจัดเก็บ การจัดระเบียบ การจัดทำดัชนี การประมวลผลเชิงความหมาย การสืบค้น และการแสดงเนื้อหาที่ผู้ควบคุมและผู้ใช้ที่ได้รับอนุญาตส่งมาให้
วัตถุประสงค์: การให้บริการแพลตฟอร์ม Konn รวมถึงการจัดการเอกสาร กราฟความรู้ การค้นหาเชิงความหมาย และคุณสมบัติเชิงบริบทที่ใช้ AI ช่วย
ระยะเวลา: ตลอดระยะเวลาของข้อตกลง เมื่อข้อตกลงสิ้นสุดลง ให้ใช้บังคับตามบทบัญญัติของข้อ 12
4. ประเภทของข้อมูลส่วนบุคคลและเจ้าของข้อมูล
ประเภทของข้อมูลส่วนบุคคลที่ประมวลผลภายใต้ DPA ฉบับนี้ขึ้นอยู่กับเนื้อหาที่ผู้ควบคุมส่งมาให้ ซึ่งอาจรวมถึงแต่ไม่จำกัดเพียง:
ข้อมูลระบุตัวตนและข้อมูลติดต่อ: ชื่อ ที่อยู่อีเมล และข้อมูลทางวิชาชีพของผู้ใช้ของผู้ควบคุมและบุคคลใดๆ ที่กล่าวถึงในเนื้อหาที่อัปโหลด;
ข้อมูลองค์กร: โครงสร้างทีม บทบาท และการสื่อสารภายใน;
ข้อมูลเนื้อหา: เอกสาร บันทึก และรายการความรู้ที่อาจมีข้อมูลส่วนบุคคลเกี่ยวกับพนักงาน ลูกค้า หรือบุคคลที่สามของผู้ควบคุม
ผู้ควบคุมรับทราบว่า PZX ไม่สามารถควบคุมหรือคาดการณ์ประเภทของข้อมูลส่วนบุคคลที่มีอยู่ในเนื้อหาที่อัปโหลดไปยังบริการได้ ผู้ควบคุมมีหน้าที่ในการรับรองว่าข้อมูลส่วนบุคคลทั้งหมดที่ส่งให้กับบริการมีฐานทางกฎหมายที่ถูกต้องสำหรับการประมวลผลภายใต้กฎหมายที่ใช้บังคับ
เจ้าของข้อมูลส่วนใหญ่คือพนักงานและผู้ใช้ที่ได้รับอนุญาตของผู้ควบคุม และอาจรวมถึงบุคคลที่สามซึ่งข้อมูลปรากฏในเนื้อหาที่ผู้ควบคุมอัปโหลด
5. หน้าที่ของผู้ดำเนินการ
PZX ในฐานะผู้ดำเนินการ จะ:
5.1 ปฏิบัติตามคำสั่ง: ประมวลผลข้อมูลส่วนบุคคลเฉพาะตามคำสั่งที่บันทึกไว้เป็นลายลักษณ์อักษรของผู้ควบคุมเท่านั้น เว้นแต่กฎหมายที่ใช้บังคับจะกำหนดเป็นอย่างอื่น PZX จะแจ้งให้ผู้ควบคุมทราบหากเชื่อว่าคำสั่งดังกล่าวขัดต่อกฎหมายที่ใช้บังคับก่อนที่จะดำเนินการ
5.2 การรักษาความลับ: รับรองว่าบุคลากรที่ได้รับอนุญาตที่ประมวลผลข้อมูลส่วนบุคคลผูกพันด้วยข้อผูกพันการรักษาความลับ
5.3 ความปลอดภัย: ดำเนินการและรักษามาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคล ตามที่ระบุไว้ในข้อ 8
5.4 ผู้ดำเนินการช่วง: ว่าจ้างผู้ดำเนินการช่วงเฉพาะตามข้อ 7
5.5 สิทธิของเจ้าของข้อมูล: ช่วยเหลือผู้ควบคุมในการตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูล ตามที่ระบุไว้ในข้อ 9
5.6 การลบ: ลบหรือส่งคืนข้อมูลส่วนบุคคลเมื่อสิ้นสุด ตามที่ระบุไว้ในข้อ 12
5.7 การตรวจสอบ: จัดเตรียมข้อมูลที่จำเป็นเพื่อแสดงการปฏิบัติตาม DPA ฉบับนี้ ตามที่ระบุไว้ในข้อ 11
5.8 การแจ้งเหตุการณ์: แจ้งให้ผู้ควบคุมทราบโดยไม่ล่าช้าเกินสมควร และไม่เกิน 72 ชั่วโมงหลังจากรับทราบเกี่ยวกับเหตุการณ์ด้านความปลอดภัยที่ได้รับการยืนยันใดๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่ประมวลผลภายใต้ DPA ฉบับนี้ การแจ้งจะรวมถึงลักษณะของเหตุการณ์ ประเภทและจำนวนโดยประมาณของเจ้าของข้อมูลที่ได้รับผลกระทบ ผลที่อาจเกิดขึ้น และมาตรการที่ดำเนินการหรือเสนอ
6. หน้าที่ของผู้ควบคุม
ผู้ควบคุมจะ:
6.1 ฐานทางกฎหมาย: รับรองว่าข้อมูลส่วนบุคคลทั้งหมดที่ส่งให้กับบริการ รวมถึงข้อมูลเกี่ยวกับบุคคลที่สามที่อัปโหลดเป็นส่วนหนึ่งของเอกสารหรือเนื้อหาความรู้ มีฐานทางกฎหมายที่ถูกต้องสำหรับการประมวลผลภายใต้กฎหมายที่ใช้บังคับ
6.2 ความถูกต้อง: ให้คำสั่งที่ถูกต้องและทันสมัย และรับรองว่าข้อมูลส่วนบุคคลที่ส่งมาเพียงพอและเกี่ยวข้องกับวัตถุประสงค์ที่ตั้งใจไว้
6.3 สิทธิของเจ้าของข้อมูล: จัดการกับคำขอของเจ้าของข้อมูลที่ส่งถึงผู้ควบคุมและประสานงานกับ PZX เมื่อต้องการความช่วยเหลือจากผู้ดำเนินการ
6.4 การปฏิบัติตาม: ปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่ใช้บังคับทั้งหมดในฐานะผู้ควบคุม รวมถึงการได้รับความยินยอมที่จำเป็นจากเจ้าของข้อมูล
7. ผู้ดำเนินการช่วง
7.1 ผู้ดำเนินการช่วงในปัจจุบัน
ผู้ควบคุมมอบอำนาจให้ PZX ว่าจ้างผู้ดำเนินการช่วงต่อไปนี้ในส่วนที่เกี่ยวข้องกับบริการ:
ผู้ดำเนินการช่วง | ที่ตั้ง | วัตถุประสงค์ |
|---|---|---|
Amazon Web Services (AWS) | สหรัฐอเมริกา | โครงสร้างพื้นฐานคลาวด์และโฮสติ้ง |
Cloudflare | สหรัฐอเมริกา | ความปลอดภัยเครือข่าย CDN และการป้องกัน DDoS |
OpenAI | สหรัฐอเมริกา | การประมวลผลโมเดลภาษา AI และ text embeddings |
Anthropic | สหรัฐอเมริกา | การประมวลผลโมเดลภาษา AI |
Stripe | สหรัฐอเมริกา | การประมวลผลการชำระเงินและการเรียกเก็บเงิน |
Resend | สหรัฐอเมริกา | การส่งอีเมลธุรกรรม |
7.2 ผู้ดำเนินการช่วงในอนาคต
PZX อาจว่าจ้างผู้ให้บริการโมเดล AI เพิ่มเติม (รวมถึงแต่ไม่จำกัดเพียงผู้ให้บริการ reranking, embedding หรือการประมวลผลเสียง) เมื่อบริการพัฒนาขึ้น PZX จะแจ้งให้ผู้ควบคุมทราบล่วงหน้าอย่างน้อย 30 วันเกี่ยวกับการเพิ่มหรือแทนที่ผู้ดำเนินการช่วงตามที่ตั้งใจไว้
ผู้ควบคุมสามารถคัดค้านผู้ดำเนินการช่วงรายใหม่ด้วยเหตุผลด้านการคุ้มครองข้อมูลที่สมเหตุสมผลโดยแจ้งให้ PZX ทราบเป็นลายลักษณ์อักษรภายใน 15 วันนับจากที่ได้รับแจ้ง หากคู่สัญญาไม่สามารถแก้ไขข้อคัดค้านได้ ผู้ควบคุมสามารถยกเลิกข้อตกลงโดยไม่ต้องเสียค่าปรับ ด้วยการแจ้งเป็นลายลักษณ์อักษรล่วงหน้า 30 วัน
7.3 หน้าที่ของผู้ดำเนินการช่วง
PZX จะกำหนดหน้าที่ในการคุ้มครองข้อมูลให้แก่ผู้ดำเนินการช่วงทั้งหมดเทียบเท่ากับที่ระบุไว้ใน DPA ฉบับนี้ PZX ยังคงต้องรับผิดต่อผู้ควบคุมในการปฏิบัติหน้าที่ของผู้ดำเนินการช่วง
8. มาตรการรักษาความปลอดภัย
PZX ดำเนินมาตรการทางเทคนิคและองค์กรต่อไปนี้เพื่อปกป้องข้อมูลส่วนบุคคล:
การเข้ารหัสข้อมูลระหว่างการส่ง (TLS) และเมื่ออยู่นิ่ง;
การแยก tenant: ข้อมูลของผู้ควบคุมแต่ละรายแยกออกจาก tenants อื่นๆ ในเชิงตรรกะ;
การควบคุมการเข้าถึงตามบทบาทที่จำกัดการเข้าถึงเฉพาะบุคลากรที่ได้รับอนุญาต;
การตรวจสอบและการบันทึกข้อมูลด้านความปลอดภัย;
การทบทวนการเข้าถึงเป็นประจำ
PZX อาจปรับปรุงมาตรการเหล่านี้ตามกาลเวลา โดยมีเงื่อนไขว่าการปรับปรุงจะต้องไม่ลดระดับการป้องกันโดยรวมอย่างมีนัยสำคัญ
9. สิทธิของเจ้าของข้อมูล
PZX จะช่วยเหลือผู้ควบคุมในการปฏิบัติหน้าที่ในการตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลภายใต้กฎหมายที่ใช้บังคับ รวมถึงคำขอสิทธิในการเข้าถึง การแก้ไข การลบ การโอนย้าย และการคัดค้าน
ผู้ควบคุมมีหน้าที่ในการรับและประเมินคำขอของเจ้าของข้อมูลในเบื้องต้น ในกรณีที่การตอบสนองต่อคำขอต้องใช้การดำเนินการโดย PZX ผู้ควบคุมจะส่งคำขอไปยัง PZX ผ่านช่องทางการติดต่อในข้อ 13 PZX จะตอบกลับภายใน 15 วันทำการ
10. การถ่ายโอนข้อมูลระหว่างประเทศ
ข้อมูลส่วนบุคคลที่ประมวลผลภายใต้ DPA ฉบับนี้อาจถูกถ่ายโอนและประมวลผลในประเทศนอกบราซิล รวมถึงสหรัฐอเมริกา ซึ่งเป็นที่ตั้งของผู้ดำเนินการช่วงของ PZX การถ่ายโอนดังกล่าวดำเนินการบนพื้นฐานของมาตรการคุ้มครองตามสัญญาที่เหมาะสม ตามมาตรา 33 ของ LGPD
สำหรับผู้ควบคุมที่อยู่ภายใต้บังคับของ GDPR การถ่ายโอนไปยังผู้ดำเนินการช่วงนอกพื้นที่เศรษฐกิจยุโรปอยู่ภายใต้กลไกการถ่ายโอนที่ใช้บังคับ รวมถึงข้อสัญญามาตรฐานเมื่อจำเป็น
11. สิทธิในการตรวจสอบ
ตามคำขอเป็นลายลักษณ์อักษรของผู้ควบคุม PZX จะจัดเตรียมข้อมูลที่จำเป็นอย่างสมเหตุสมผลเพื่อแสดงการปฏิบัติตาม DPA ฉบับนี้ PZX อาจปฏิบัติตามหน้าที่นี้โดยการให้การรับรองที่เป็นปัจจุบัน เอกสารด้านความปลอดภัย หรือสรุปรายงานการตรวจสอบ
ผู้ควบคุมสามารถขอตรวจสอบในสถานที่ได้ไม่เกินหนึ่งครั้งต่อปีปฏิทิน โดยแจ้งเป็นลายลักษณ์อักษรล่วงหน้าอย่างน้อย 30 วัน และเป็นค่าใช้จ่ายของผู้ควบคุม การตรวจสอบใดๆ จะต้องดำเนินการในลักษณะที่ไม่ขัดขวางการดำเนินงานของ PZX หรือทำให้ความปลอดภัยหรือการรักษาความลับของข้อมูลของลูกค้ารายอื่นเสียหาย
12. ระยะเวลา การยกเลิก และการลบข้อมูล
DPA ฉบับนี้มีผลบังคับใช้ตลอดระยะเวลาของข้อตกลง
เมื่อข้อตกลงสิ้นสุดหรือหมดอายุ:
ผู้ควบคุมจะมีเวลา 30 วัน ในการส่งออกข้อมูลของตนจากบริการ;
หลังจากระยะเวลานี้ PZX จะลบข้อมูลส่วนบุคคลทั้งหมดที่ประมวลผลภายใต้ DPA ฉบับนี้ภายใน 30 วัน รวมถึงสำเนาที่ผู้ดำเนินการช่วงเก็บไว้เมื่อสามารถทำได้ในทางเทคนิค;
PZX จะให้การยืนยันการลบเป็นลายลักษณ์อักษรตามคำขอของผู้ควบคุม;
PZX อาจเก็บข้อมูลส่วนบุคคลไว้เกินระยะเวลานี้เฉพาะในขอบเขตที่กฎหมายที่ใช้บังคับกำหนด ในกรณีนี้ข้อมูลจะยังคงอยู่ภายใต้หน้าที่ในการรักษาความลับของ DPA ฉบับนี้
13. ความรับผิด
ความรับผิดของแต่ละฝ่ายภายใต้ DPA ฉบับนี้อยู่ภายใต้ข้อจำกัดที่ระบุไว้ในข้อตกลง ไม่มีข้อใดใน DPA ฉบับนี้ที่จำกัดความรับผิดของฝ่ายใดฝ่ายหนึ่งสำหรับหน้าที่ที่ไม่สามารถยกเว้นหรือจำกัดได้ภายใต้กฎหมายคุ้มครองข้อมูลที่ใช้บังคับ
14. กฎหมายที่ใช้บังคับ
DPA ฉบับนี้อยู่ภายใต้บังคับกฎหมายของสหพันธ์สาธารณรัฐบราซิล โดยเฉพาะ LGPD (กฎหมายเลขที่ 13.709/2018) ข้อพิพาทใดๆ ที่เกิดจาก DPA ฉบับนี้ที่ไม่สามารถแก้ไขได้อย่างฉันมิตรจะต้องส่งไปยังศาลของเขตเซาเปาโล รัฐเซาเปาโล
15. การติดต่อ
สำหรับเรื่องที่เกี่ยวข้องกับ DPA ฉบับนี้ คำขอใช้สิทธิของเจ้าของข้อมูล หรือเหตุการณ์ด้านความปลอดภัย:
อีเมล: [email protected]
เว็บไซต์: pzx.app
เจ้าหน้าที่คุ้มครองข้อมูล:
ชื่อ: Filipe Albuquerque Brauns Cazelgrandi
อีเมล: [email protected]
ภาคผนวก A, รายละเอียดการประมวลผล
ภาคผนวกนี้เป็นส่วนเสริมของข้อ 3 และอาจมีการปรับปรุงโดยข้อตกลงเป็นลายลักษณ์อักษรร่วมกันเพื่อสะท้อนการเปลี่ยนแปลงในบริการ
ฟิลด์ | รายละเอียด |
|---|---|
เรื่อง | การจัดการความรู้ขององค์กรผ่านแพลตฟอร์ม Konn |
ลักษณะการประมวลผล | การจัดเก็บ การจัดทำดัชนี การค้นหาเชิงความหมาย การสืบค้นและการสร้างที่ใช้ AI ช่วย |
วัตถุประสงค์ | การให้บริการตามที่ระบุไว้ในข้อตกลง |
ระยะเวลาเก็บรักษา | ระยะเวลาของข้อตกลง บวกระยะเวลาการลบในข้อ 12 |
ประเภทของเจ้าของข้อมูล | พนักงานของผู้ควบคุม ผู้ใช้ที่ได้รับอนุญาต และบุคคลที่สามที่กล่าวถึงในเนื้อหาที่อัปโหลด |
ประเภทของข้อมูลส่วนบุคคล | ตามที่ระบุไว้ในข้อ 4 ประเภทจริงขึ้นอยู่กับเนื้อหาที่ผู้ควบคุมส่งมาให้ |