Data Processing Agreement

Data Processing ข้อตกลง

อัปเดตล่าสุด: 4 เมษายน 2026

1. บทนำ

This Data Processing Agreement ("DPA") supplements the Terms of Service and Privacy Policy of Mewayz Global, Corp. ("Mewayz", "we", "us", or "our"). This DPA applies when Mewayz processes Personal Data on behalf of the Customer in the course of providing the Mewayz platform services.

DPA นี้สร้างความสัมพันธ์ระหว่างผู้ควบคุมและผู้ประมวลผลระหว่างลูกค้าและ Mewayz ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลทั่วไป (GDPR) (EU) 2016/679 และกฎหมายว่าด้วยการคุ้มครองข้อมูลอื่นๆ ที่ใช้บังคับ

By using Mewayz services, the Customer agrees to be bound by the terms of this DPA. This DPA is effective as of the date the Customer accepts our Terms of Service or begins using our services.

2. Definitions

คำจำกัดความต่อไปนี้ใช้กับ DPA นี้ ตามมาตรา 4 ของ GDPR:

  • ผู้ควบคุม — บุคคลธรรมชาติหรือนิติบุคคล, หน่วยงานของรัฐ, องค์กร, หรือหน่วยงานอื่นซึ่ง, คนเดียวหรือร่วมกับผู้อื่น, กำหนดวัตถุประสงค์และวิธีการของการประมวลผลข้อมูลส่วนบุคคล
  • Processor — บุคคลธรรมชาติหรือนิติบุคคล, หน่วยงานของรัฐ, องค์กร, หรือหน่วยงานอื่นซึ่งประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม
  • ผู้ประมวลผลย่อย — Any information relating to an identified or identifiable natural person ("Personal Data")
  • ข้อมูลส่วนบุคคล — Any information relating to an identified or identifiable natural person ("Data Subject"). An identifiable natural person is one who can be identified, directly or indirectly, by reference to an identifier.
  • กำลังประมวลผล — Any disputes arising from or related to the use of our website or services shall be governed by and construed in accordance with the laws of the State of Delaware, United States of America, without regard to its conflict of law provisions
  • Data Subject — บุคคลธรรมดาที่สามารถระบุตัวตนได้หรือระบุได้ ซึ่งข้อมูลส่วนบุคคลของเขากำลังถูกประมวลผล

3. ขอบเขตและบทบาท

ภายใต้ DPA นี้ ลูกค้าทำหน้าที่เป็นผู้ควบคุมข้อมูล และ Mewayz ทำหน้าที่เป็นผู้ประมวลผลข้อมูล สำหรับข้อมูลส่วนบุคคลที่ประมวลผลผ่านแพลตฟอร์ม Mewayz

Mewayz จะประมวลผลข้อมูลส่วนบุคคลเฉพาะตามคำสั่งที่เป็นลายลักษณ์อักษรจากผู้ควบคุมข้อมูลเท่านั้น รวมถึงในเรื่องการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามหรือองค์กรระหว่างประเทศ เว้นแต่จะต้องปฏิบัติตามกฎหมายของสหภาพยุโรปหรือรัฐสมาชิกที่ผู้ประมวลผลต้องอยู่ภายใต้

Mewayz จะแจ้งผู้ควบคุมข้อมูลทันทีหากเห็นว่าคำสั่งดังกล่าวละเมิดกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ

4. Data Processing Details

ต่อไปนี้อธิบายลักษณะ, วัตถุประสงค์, และขอบเขตของกิจกรรมการประมวลผลข้อมูลที่ดำเนินการโดย Mewayz:

ประเภทของข้อมูลส่วนบุคคล:

  • ข้อมูลบัญชี — ชื่อ, ที่อยู่อีเมล, หมายเลขโทรศัพท์, ชื่อบริษัท, ตำแหน่งงาน, ข้อมูลสำหรับเข้าสู่ระบบ
  • ข้อมูลผู้ติดต่อ — Contact information of the Customer's end users, clients, or leads stored within the Mewayz platform.
  • ข้อมูลการใช้งาน — บันทึกการโต้ตอบกับแพลตฟอร์ม, การวิเคราะห์การใช้งานฟีเจอร์, ที่อยู่ IP, ข้อมูลเบราว์เซอร์และอุปกรณ์
  • ข้อมูลเนื้อหา — ไฟล์ เอกสาร ข้อความ หมายเหตุ และเนื้อหาอื่น ๆ ที่อัปโหลดหรือสร้างโดยลูกค้าภายในแพลตฟอร์ม

ประเภทของเจ้าของข้อมูล:

  • The Customer's end users and platform users
  • The Customer's employees and team members
  • The Customer's contacts, clients, and leads

วัตถุประสงค์ของการประมวลผล:

การให้, บำรุงรักษา, และปรับปรุงบริการแพลตฟอร์ม Mewayz ตามที่อธิบายไว้ในข้อกำหนดการให้บริการ รวมถึง CRM, การจัดการโปรเจค, การออกใบแจ้งหนี้, ศูนย์ช่วยเหลือ, และโมดูลอื่นๆ ทั้งหมดที่มีในแพลตฟอร์ม

5. มาตรการรักษาความปลอดภัย

Mewayz ดำเนินการมาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อรับประกันระดับความปลอดภัยที่สอดคล้องกับความเสี่ยง รวมถึง:

  • การเข้ารหัสเมื่อเก็บข้อมูล — ข้อมูลส่วนบุคคลทั้งหมดที่เก็บบนเซิร์ฟเวอร์ของเราได้รับการเข้ารหัสโดยใช้มาตรฐานการเข้ารหัส AES-256
  • การเข้ารหัสระหว่างการส่งข้อมูล — ข้อมูลทั้งหมดที่ส่งระหว่างลูกค้าและ Mewayz ได้รับการปกป้องโดยใช้โปรโตคอลการเข้ารหัส TLS 1.2 หรือสูงกว่า
  • การควบคุมการเข้าถึง — การควบคุมการเข้าถึงตามบทบาทอย่างเคร่งครัดรับรองว่ามีเพียงบุคลากรที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลส่วนบุคคล (Personal Data) การยืนยันตัวตนหลายปัจจัยถูกบังคับใช้สำหรับการเข้าถึงระดับผู้ดูแลระบบทั้งหมด
  • การทบทวนความปลอดภัยเป็นประจำ — เราดำเนินการประเมินความปลอดภัยเป็นระยะ การสแกนช่องโหว่ และการตรวจสอบโค้ดเพื่อระบุและแก้ไขความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น
  • ขั้นตอนการตอบสนองต่อเหตุการณ์ — เรารักษาขั้นตอนการตอบสนองต่อเหตุการณ์ที่มีเอกสารประกอบ ซึ่งรวมถึงกระบวนการระบุ การควบคุม การกำจัด การกู้คืน และการทบทวนหลังเหตุการณ์
  • การสำรองข้อมูลและการกู้คืน — มีการสำรองข้อมูลอัตโนมัติเป็นประจำและจัดเก็บอย่างปลอดภัย มีการทดสอบขั้นตอนการกู้คืนข้อมูลเป็นระยะเพื่อรับรองความสมบูรณ์และความพร้อมใช้งานของข้อมูล

6. ผู้ประมวลผลย่อย

Mewayz ใช้ผู้ประมวลผลย่อยต่อไปนี้เพื่อช่วยในการให้บริการของเรา ผู้ประมวลผลย่อยแต่ละรายได้รับการตรวจสอบแล้วว่าเป็นไปตามข้อกำหนดการปกป้องข้อมูลที่เกี่ยวข้อง:

  • Stripe, Inc. — การประมวลผลการชำระเงิน สถานที่: สหรัฐอเมริกา ข้อมูลที่ประมวลผล: ข้อมูลการชำระเงินและการเรียกเก็บเงิน
  • Cloudflare, Inc. — บริการเครือข่ายส่งเนื้อหา (CDN) และความปลอดภัย สถานที่: สหรัฐอเมริกา (เครือข่ายขอบระดับโลก) ข้อมูลที่ถูกประมวลผล: ข้อมูลการรับส่งข้อมูล, ที่อยู่ IP
  • Hetzner Online GmbH — Alojamiento e infraestructura del servidor. Ubicación: Unión Europea / Estados Unidos. Datos procesados: todos los datos de la plataforma almacenados en servidores.

Mewayz จะแจ้งให้ลูกทราบก่อนเพิ่มหรือเปลี่ยนผู้ประมวลผลย่อยใดๆ โดยให้ลูกค้ามีโอกาสคัดค้านการเปลี่ยนแปลงดังกล่าว หากลูกค้าคัดค้านโดยมีเหตุผลสมควร Mewayz จะพยายามอย่างสมควรเพื่อนำเสนอทางเลือกอื่น หรือลูกค้าสามารถยกเลิกบริการที่ได้รับผลกระทบได้

Mewayz จะกำหนดให้ผู้ประมวลผลย่อยแต่ละรายต้องปฏิบัติตามข้อกำหนดด้านการคุ้มครองข้อมูลผ่านสัญญา โดยต้องมีระดับการป้องกันไม่น้อยไปกว่าที่กำหนดไว้ใน DPA นี้

7. Data Subject Rights

Mewayz จะช่วยเหลือผู้ควบคุมข้อมูลในการปฏิบัติตามข้อผูกพันเพื่อตอบสนองต่อคำขอของเจ้าของข้อมูลที่ใช้สิทธิ์ตาม GDPR รวมถึง:

  • สิทธิในการเข้าถึง (มาตรา 15) — สิทธิที่จะได้รับการยืนยันและเข้าถึงข้อมูลส่วนบุคคลของพวกเขา
  • สิทธิในการแก้ไขข้อมูล (มาตรา 16) — สิทธิ์ในการแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้อง
  • สิทธิในการลบข้อมูล (มาตรา 17) — สิทธิที่จะให้ลบข้อมูลส่วนบุคคลภายใต้สถานการณ์บางอย่าง
  • สิทธิในการจำกัดการประมวลผล (มาตรา 18) — สิทธิ์ในการจำกัดการประมวลผลข้อมูลส่วนบุคคล
  • สิทธิในการนำข้อมูลไปใช้ต่อได้ (มาตรา 20) — สิทธิที่จะรับข้อมูลส่วนบุคคลในรูปแบบที่มีโครงสร้าง, ใช้กันทั่วไป, และอ่านได้โดยเครื่อง

Mewayz จะแจ้งให้ผู้ควบคุมข้อมูลทราบทันทีเมื่อได้รับคำขอจากเจ้าของข้อมูล และจะไม่ตอบกลับคำขอดังกล่าวโดยตรง เว้นแต่จะได้รับอนุญาตจากผู้ควบคุมข้อมูล

8. Data Breach Notification

ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคล Mewayz จะแจ้งให้ผู้ควบคุมทราบโดยไม่ชักช้าและไม่เกิน 72 ชั่วโมงหลังจากทราบถึงการละเมิด โดยเป็นไปตามข้อกำหนด GDPR มาตรา 33

การแจ้งเตือนจะต้องรวม:

  • คำอธิบายเกี่ยวกับลักษณะของการละเมิดข้อมูลส่วนบุคคล รวมถึงหมวดหมู่และจำนวนโดยประมาณของเจ้าของข้อมูลและระเบียนข้อมูลส่วนบุคคลที่ได้รับผลกระทบ
  • ชื่อและรายละเอียดการติดต่อของเจ้าหน้าที่คุ้มครองข้อมูลหรือจุดติดต่ออื่นที่สามารถรับข้อมูลเพิ่มเติมได้
  • คำอธิบายเกี่ยวกับผลกระทบที่อาจเกิดขึ้นจากการละเมิดข้อมูลส่วนบุคคล
  • คำอธิบายเกี่ยวกับมาตรการที่ได้ดำเนินการหรือเสนอให้ดำเนินการเพื่อแก้ไขการละเมิด รวมถึงมาตรการเพื่อลดผลกระทบด้านลบที่อาจเกิดขึ้น

Mewayz จะร่วมมือกับผู้ควบคุมข้อมูลและดำเนินการเชิงพาณิชย์ตามสมควรเพื่อช่วยในการสืบสวน, ลดผลกระทบ, และแก้ไขการละเมิดดังกล่าวแต่ละครั้ง

9. Data Transfers

ในกรณีที่ข้อมูลส่วนบุคคลถูกโอนย้ายจากพื้นที่เศรษฐกิจยุโรป (EEA) ไปยังประเทศนอก EEA ที่ไม่ได้ถูกพิจารณาว่ามีมาตรการปกป้องข้อมูลที่เพียงพอ Mewayz รับรองว่าจะมีมาตรการป้องกันที่เหมาะสมไว้แล้ว ซึ่งรวมถึง:

  • มาตรฐานสัญญา (SCCs) ตามที่คณะกรรมาธิการยุโรปรับรองสำหรับการถ่ายโอนข้อมูลระหว่าง EU-US และระหว่างประเทศอื่นๆ
  • มาตรการทางเทคนิคและองค์กรเพิ่มเติมเพื่อเสริม SCC ในกรณีที่จำเป็น โดยอิงจากการประเมินผลกระทบในการถ่ายโอนข้อมูล

Mewayz จะแจ้งผู้ควบคุมข้อมูลเกี่ยวกับการเปลี่ยนแปลงใดๆ เกี่ยวกับกลไกการถ่ายโอนข้อมูล และจะมั่นใจว่าการถ่ายโอนข้อมูลทุกครั้งเป็นไปตามกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ

10. Data Retention & Deletion

เมื่อความตกลงระหว่างลูกค้าและ Mewayz สิ้นสุดลงหรือหมดอายุ Mewayz จะต้อง ตามตัวเลือกของผู้ควบคุมข้อมูล:

  • ลบข้อมูลส่วนบุคคลทั้งหมดที่ประมวลผลในนามของผู้ควบคุมภายใน 30 วันหลังจากได้รับคำขอเป็นลายลักษณ์อักษร หรือ
  • ส่งคืนข้อมูลส่วนบุคคลทั้งหมดให้ผู้ควบคุมในรูปแบบที่มีโครงสร้าง ใช้กันทั่วไปและเครื่องอ่านได้ ภายใน 30 วันหลังจากได้รับคำขอเป็นลายลักษณ์อักษร

Mewayz จะลบสำเนาข้อมูลส่วนบุคคลที่มีอยู่ เว้นแต่กฎหมายของสหภาพยุโรปหรือรัฐสมาชิกกำหนดให้ต้องเก็บรักษาข้อมูลส่วนบุคคล ตามคำขอ Mewayz จะจัดเตรียมหนังสือยืนยันการลบข้อมูลให้

11. การตรวจสอบ

Mewayz จะจัดเตรียมข้อมูลที่จำเป็นทั้งหมดให้แก่ผู้ควบคุมข้อมูล เพื่อแสดงถึงการปฏิบัติตามข้อกำหนดที่ระบุไว้ใน DPA นี้และ GDPR มาตรา 28

The Controller, or an independent third-party auditor mandated by the Controller, may conduct audits to verify Mewayz's compliance with this DPA, subject to the following conditions:

  • ผู้ควบคุมข้อมูลจะต้องแจ้งเป็นลายลักษณ์อักษรล่วงหน้าอย่างสมเหตุสมผลอย่างน้อย 30 วันก่อนดำเนินการตรวจสอบใดๆ
  • Audits shall be conducted during normal business hours and shall not unreasonably interfere with Mewayz's operations.
  • ผู้ควบคุมข้อมูลจะต้องเป็นผู้รับผิดชอบค่าใช้จ่ายในการตรวจสอบใดๆ ก็ตาม เว้นแต่การตรวจสอบจะพบการไม่ปฏิบัติตามข้อกำหนดอย่างมีนัยสำคัญโดย Mewayz
  • ผลการตรวจสอบและข้อมูลใด ๆ ที่ได้รับจะต้องถูกปฏิบัติเป็นความลับ

12. ติดต่อ

สำหรับคำถามใดๆ เกี่ยวกับข้อตกลงการประมวลผลข้อมูลนี้ หรือคำถามเกี่ยวกับการปกป้องข้อมูล กรุณาติดต่อเรา:

  • บริษัท: Mewayz Global, Corp.
  • ที่อยู่: 131 Continental Dr, Suite 305, Newark, DE 19713, USA
  • Data Protection Email: [email protected]
  • EIN: 38-4374855
  • เว็บไซต์: https://mewayz.com
ข้อกำหนดในการให้บริการ นโยบายความเป็นส่วนตัว ประกาศทางกฎหมาย กลับไปที่เข้าสู่ระบบ