ประกาศการประมวลผลข้อมูลส่วนบุคคลของ True IDC Cloud

1. เกี่ยวกับ บริษัท ทรู อินเทอร์เน็ต ดาต้าเซ็นเตอร์ จำกัด

บริษัท ทรู อินเทอร์เน็ต ดาต้า เซ็นเตอร์ จำกัด (“บริษัทฯ” หรือ “True IDC”) ในฐานะผู้ให้บริการคลาวด์ (Cloud Service Provider: CSP) : True IDC Cloud ตระหนักถึงความสำคัญของสิทธิความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล และมีความมุ่งมั่นในการประมวลผลข้อมูลส่วนบุคคลอย่างโปร่งใส เป็นธรรม และอยู่ภายใต้ขอบเขตของกฎหมายที่เกี่ยวข้อง

เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงข้อกำหนดตามกฎหมายหรือมาตรฐานสากลที่เกี่ยวข้อง บริษัทฯ จึงออกประกาศฉบับนี้เพื่อชี้แจงถึงแนวทางและมาตรการในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยบริษัทฯ ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ภายใต้ขอบเขตการให้บริการที่บริษัทฯ ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

บริษัทฯ จะดำเนินการตามมาตรการที่เหมาะสมเพื่อรักษาความลับ ความถูกต้อง และความปลอดภัยของข้อมูลส่วนบุคคลตลอดระยะเวลาที่มีการประมวลผลข้อมูลดังกล่าว

2. นิยาม

  • ข้อมูลส่วนบุคคล (Personal Information) หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
  • ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจและหน้าที่ในการตัดสินใจเกี่ยวกับการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล ซึ่งเป็นผู้กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูล และมีอำนาจควบคุมการดำเนินการประมวลผลข้อมูลส่วนบุคคลทั้งหมด
  • ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยที่บุคคลหรือนิติบุคคลนั้นไม่ใช่ผู้ควบคุมข้อมูลในบริบทของบริการคลาวด์ Cloud Service Provider (CSP) โดยทั่วไปจะถูกจัดประเภทเป็นผู้ประมวลผลข้อมูลส่วนบุคคล เนื่องจาก Cloud Service Provider (CSP) ให้บริการโครงสร้างพื้นฐานหรือแพลตฟอร์มสำหรับการประมวลผลข้อมูลตามคำสั่งของลูกค้า ซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคล

3. ขอบเขตการประมวลผลข้อมูลส่วนบุคคล

บริษัทฯ ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลจะดำเนินการประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจาก ผู้ควบคุมข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ที่จำเป็นต่อการให้บริการระบบ True IDC Cloud ทั้งนี้ การประมวลผลข้อมูลจะอยู่ภายใต้ขอบเขตของการให้บริการและตามที่ระบุไว้ในสัญญาซึ่งอาจครอบคลุมอย่างน้อยกิจกรรมดังต่อไปนี้

  1. การกำกับดูแลและควบคุมกระบวนการตั้งแต่การติดตั้ง การใช้งาน จนถึงการยกเลิกการใช้บริการ True IDC Cloud ภายใต้คำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล
  2. การบริหารจัดการเพื่อให้มั่นใจถึงความพร้อมใช้งานของข้อมูลภายในระบบ True IDC Cloud
  3. การดำเนินมาตรการสำรองข้อมูลและการกู้คืนข้อมูล เพื่อสนับสนุนการบริหารจัดการความต่อเนื่องของการให้บริการ
  4. การส่งผ่านข้อมูลภายในระบบเครือข่ายของ True IDC Cloud เพื่อให้เป็นไปตามข้อตกลงว่าด้วยการให้บริการที่มีอยู่ระหว่างบริษัทฯ และผู้ควบคุมข้อมูลส่วนบุคคล
  5. การดำเนินมาตรการด้านความมั่นคงปลอดภัยของระบบสารสนเทศ เพื่อป้องกันมิให้มีการเข้าถึงระบบ True IDC Cloud โดยไม่ได้รับอนุญาต
  6. การดำเนินการอื่นใดที่เกี่ยวข้องกับการให้บริการระบบ True IDC Cloud ซึ่งดำเนินการตามคำสั่งที่ชัดแจ้งของ ผู้ควบคุมข้อมูลส่วนบุคคล

4. ตำแหน่งที่ตั้งของข้อมูลส่วนบุคคล

บริษัทฯ จะดำเนินการจัดเก็บข้อมูลของลูกค้าไว้ภายในราชอาณาจักรไทยเท่านั้น และจะไม่มีการโอนหรือย้ายข้อมูลไปยังต่างประเทศ เว้นแต่ในกรณีที่ลูกค้าเป็นผู้กำหนดหรือร้องขอโดยชัดแจ้ง

5. การเปิดเผยข้อมูลส่วนบุคคลที่ได้รับการประมวลผล

บริษัทฯ จะไม่เปิดเผย หรืออนุญาตให้บุคคลภายนอกเข้าถึงข้อมูลส่วนบุคคลซึ่งได้รับการประมวลผลภายใต้สัญญาฉบับนี้ เว้นแต่ในกรณีใดกรณีหนึ่งต่อไปนี้:

  1. ได้รับคำสั่งหรือความยินยอม เป็นลายลักษณ์อักษรจากผู้ควบคุมข้อมูลส่วนบุคคล
  2. เป็นการเปิดเผยที่จำเป็นเพื่อให้เป็นไปตามกฎหมายที่ใช้บังคับ
  3. เป็นการเปิดเผยต่อบริษัทฯ หรือบุคคลภายนอกซึ่งเป็นคู่สัญญา หรือมีความสัมพันธ์ทางนิติกรรมหรือนิติสัญญากับ
  4. ผู้ประมวลผลข้อมูลส่วนบุคคลโดยมีข้อผูกพันในการรักษาความลับของข้อมูลดังกล่าว
  5. เป็นการดำเนินการที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ของการดำเนินการตามสัญญา

ทั้งนี้ ผู้ประมวลผลข้อมูลส่วนบุคคลจะดำเนินการภายใต้ข้อผูกพันในการรักษาความลับ และใช้มาตรการด้านความมั่นคงปลอดภัยของข้อมูลที่เหมาะสมตามมาตรฐานสากล และข้อกฎหมายที่เกี่ยวข้อง

6. การโอนข้อมูลส่วนบุคคลไปต่างประเทศ

ในกรณีที่ บริษัทฯ ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลมีความจำเป็นต้องโอนข้อมูลส่วนบุคคลไปยังบุคคล หน่วยงาน หรือองค์กรระหว่างประเทศ ซึ่งตั้งอยู่ในประเทศที่ไม่ได้รับการรับรองว่ามีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด True IDC จะดำเนินการให้มั่นใจว่าการโอนข้อมูลดังกล่าวเป็นไปโดยชอบด้วยกฎหมาย และจะจัดให้มีมาตรการปกป้องข้อมูลส่วนบุคคลที่เหมาะสมในระดับที่ใกล้เคียงหรือเทียบเท่ากับมาตรฐานที่กฎหมายไทยกำหนด รวมถึงการดำเนินการตรวจสอบทั้งภายในและภายนอกอย่างสม่ำเสมอ เพื่อคุ้มครองข้อมูลส่วนบุคคลดังกล่าว

7. การเก็บรักษาและระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

บริษัทฯ มีมาตรการรักษาความมั่นคงปลอดภัยและระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลของท่าน ดังนี้

  1. มีมาตรการรักษาความมั่นคงปลอดภัยที่มีประสิทธิภาพ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต หรือโดยมิชอบ
  2. บริษัทฯ มีขั้นตอนในการจัดการกับการละเมิดข้อมูลส่วนบุคคลที่น่าสงสัย หรือข้อมูลรั่วไหล ในกรณีที่มีการร้องเรียนเกี่ยวกับการละเมิดความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล บริษัทฯ จะดำเนินการตรวจสอบทันที และดำเนินการตามขั้นตอนที่เหมาะสมเพื่อคลี่คลายข้อร้องเรียนดังกล่าว
  3. เมื่อพ้นระยะเวลาจัดเก็บ True IDC Cloud จะต้องลบหรือส่งคืนข้อมูลส่วนบุคคลทั้งหมดให้กับผู้ควบคุมข้อมูลส่วนบุคคลตามคำแนะนำ เว้นแต่กฎหมายจะกำหนดให้เก็บรักษาไว้

8. หน้าที่ความรับผิดชอบของTrue IDC ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล

True IDC มีหน้าที่และความรับผิดชอบในการประมวลผลข้อมูลส่วนบุคคลดังต่อไปนี้:

  1. ดำเนินการประมวลผลข้อมูลส่วนบุคคลตามคำสั่งที่ชัดแจ้งและเป็นลายลักษณ์อักษรจากผู้ควบคุมข้อมูลส่วนบุคคล เท่านั้น
  2. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลจากการเข้าถึง การเปิดเผย การแก้ไข หรือการทำลายโดยไม่ได้รับอนุญาต
  3. รักษาความลับของข้อมูลส่วนบุคคล และไม่เปิดเผยข้อมูลดังกล่าวแก่บุคคลภายนอก เว้นแต่ได้รับอนุญาตตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล หรือตามที่กฎหมายกำหนด
  4. ช่วยเหลือผู้ควบคุมข้อมูลส่วนบุคคลในการตอบสนองต่อสิทธิของเจ้าของข้อมูลส่วนบุคคล เช่น การเข้าถึง การแก้ไข หรือการลบข้อมูล ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
  5. แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมงนับแต่ทราบเหตุการณ์ละเมิดข้อมูลส่วนบุคคล (Data Breach) หรือความผิดปกติใด ๆ ที่ส่งผลกระทบต่อข้อมูลส่วนบุคคล
  6. ไม่ใช้หรือประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นใด เว้นแต่ได้รับคำสั่งจาก ผู้ควบคุมข้อมูลส่วนบุคคล
  7. ดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลเมื่อสิ้นสุดการให้บริการ หรือเมื่อข้อมูลส่วนบุคคลไม่จำเป็นต้องใช้ต่อไป
  8. อนุญาตให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ตรวจสอบที่ได้รับมอบหมายเข้าตรวจสอบและประเมินการปฏิบัติตามข้อตกลงเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามระยะเวลาที่ตกลงกัน และไม่ก่อให้เกิดความเสียหายหรือรบกวนการให้บริการ
  9. ในกรณีที่มีการจ้างบุคคลภายนอก ดำเนินการประมวลผลข้อมูลส่วนบุคคล บริษัทฯ จะดำเนินการคัดเลือกผู้ให้บริการดังกล่าวอย่างเหมาะสม และทำสัญญาที่มีข้อกำหนดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่าหรือสูงกว่าที่บริษัทฯ ปฏิบัติอยู่ เพื่อให้มั่นใจว่าการประมวลผลข้อมูลส่วนบุคคลของส่วนบุคคลจะได้รับการคุ้มครองอย่างเคร่งครัดตามกฎหมายและข้อตกลงที่เกี่ยวข้อง

9. ความปลอดภัยและการบริหารจัดการข้อมูลส่วนบุคคล

บริษัทฯ มีการใช้มาตรการรักษาความปลอดภัยและการบริหารจัดการข้อมูลส่วนบุคคล ดังนี้

ประเภทมาตรการ รายละเอียด
การควบคุมการเข้าถึง True IDC จะดำเนินการควบคุมและกำหนดสิทธิในการเข้าถึงข้อมูลโดยอ้างอิงจากหลักเกณฑ์ของความจำเป็นและความเหมาะสมตามหน้าที่ในการปฏิบัติงานเท่านั้น โดยมุ่งเน้นเฉพาะการให้บริการ True IDC Cloud ทั้งนี้ True IDC จะไม่มีการเข้าถึงข้อมูลภายใน True IDC Cloud ของผู้ใช้บริการโดยตรงหรือโดยถาวร เว้นแต่ได้รับคำสั่งหรือความยินยอมเป็นลายลักษณ์อักษรจากผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลตามที่กฎหมายกำหนด
การเข้ารหัสข้อมูล True IDC จะดำเนินการใช้มาตรการเข้ารหัสข้อมูลที่เหมาะสมและสอดคล้องกับมาตรฐานอุตสาหกรรม เพื่อป้องกันการเข้าถึงข้อมูลภายในระบบ True IDC Cloud โดยไม่ได้รับอนุญาต
การสำรองและกู้คืนข้อมูล True IDC จะดำเนินการสำรองข้อมูลภายในระบบ True IDC Cloud อย่างเหมาะสม เพื่อสนับสนุนความต่อเนื่องของบริการและความปลอดภัยของข้อมูล ทั้งนี้ True IDC จะดำเนินการสำรองข้อมูลตามรอบระยะเวลาที่เหมาะสม และจะจัดเก็บข้อมูลสำรองดังกล่าวในสภาพแวดล้อมที่มีมาตรการควบคุมความมั่นคงปลอดภัยที่เทียบเท่ากับข้อมูลต้นฉบับ
การทดสอบความปลอดภัย True IDC จะดำเนินการทดสอบระบบความมั่นคงปลอดภัยอย่างสม่ำเสมอ รวมถึงการประเมินช่องโหว่ (Vulnerability Assessment) เพื่อระบุและประเมินความเสี่ยงด้านความมั่นคงปลอดภัยของระบบ ทั้งนี้ บริษัทฯ จะดำเนินการจัดการและแก้ไขช่องโหว่ที่ตรวจพบอย่างเหมาะสมและทันท่วงที เพื่อให้มั่นใจว่ามีการลดความเสี่ยงจากการเข้าถึงข้อมูลภายในระบบ True IDC Cloud โดยไม่ได้รับอนุญาต
การตรวจสอบและบันทึก Log True IDC จะดำเนินการจัดให้มีการบันทึกกิจกรรมที่เกี่ยวข้องกับการเข้าถึงและการประมวลผลข้อมูล (Logging) ตลอดจนการตรวจสอบและประเมินผลบันทึกดังกล่าว (Auditing) อย่างเหมาะสมและสม่ำเสมอ เพื่อวัตถุประสงค์ในการตรวจจับและระบุเหตุการณ์ที่อาจเป็นความผิดปกติหรือการเข้าถึง แก้ไข หรือใช้ข้อมูลภายในระบบ True IDC Cloud โดยไม่ได้รับอนุญาต ทั้งนี้ ในกรณีที่ตรวจพบเหตุการณ์ผิดปกติดังกล่าว บริษัทฯ จะดำเนินการตอบสนองและแก้ไขเหตุการณ์โดยไม่ชักช้า เพื่อจำกัดความเสียหายและฟื้นฟูความมั่นคงปลอดภัยของระบบให้กลับสู่สภาวะปกติโดยเร็วที่สุด
การรับรองมาตรฐานสากล เพื่อให้ระบบ True IDC Cloud มีความมั่นคงปลอดภัย สอดคล้องกับหลักการคุ้มครองข้อมูลส่วนบุคคล การบริหารจัดการด้านเทคโนโลยีสารสนเทศ บริษัทฯ ได้ดำเนินการนำมาตรการมาใช้ และผ่านการรับรองมาตรฐานสากลในด้านที่เกี่ยวข้อง ดังต่อไปนี้:
  • ISO/IEC 20000-1
  • ISO/IEC 27001
  • ISO/IEC 27701
  • ISO/IEC 27018
  • ISO/IEC 27799
  • CSA STAR

10. สิทธิของเจ้าของข้อมูลส่วนบุคคล

บริษัทฯ ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล จะดำเนินการเกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น บริษัทฯ จะให้ความร่วมมือและดำเนินการตามคำร้องขอจากเจ้าของข้อมูลส่วนบุคคลเมื่อได้รับคำสั่งหรือการแจ้งจากผู้ควบคุมข้อมูลส่วนบุคคล โดยสอดคล้องกับสิทธิตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด หากเจ้าของข้อมูลส่วนบุคคลประสงค์จะใช้สิทธิตามกฎหมาย กรุณาติดต่อผ่านผู้ควบคุมข้อมูลส่วนบุคคลของท่านโดยตรง หรือหากบริษัทฯ ได้รับคำขอโดยตรง บริษัทฯ จะดำเนินการแจ้งต่อผู้ควบคุมข้อมูลส่วนบุคคลเพื่อพิจารณาดำเนินการตามขั้นตอนที่เหมาะสม

ประกาศการประมวลผลข้อมูลส่วนบุคคลของ True IDC Cloud นี้ประกาศและมีผลบังคับใช้ตั้งแต่วันที่ 25 กรกฎาคม 2568 (ฉบับที่ 1)