Data Processing Agreement
ข้อตกลงประมวลผลข้อมูลส่วนบุคคล (DPA)
DPA นี้เป็น addendum ของ Terms of Service — automatic effective เมื่อลูกค้า subscribe paid plan ของ CAIKU เอกสารนี้ทำให้ลูกค้าและ CAIKU ปฏิบัติตาม PDPA มาตรา 40 (Data Controller-Processor relationship) ได้
1. คู่สัญญา + วัตถุประสงค์
DPA นี้เป็น addendum ของ Terms of Service คู่สัญญา:
- Data Controller: ลูกค้า (เจ้าของบริษัทที่ subscribe CAIKU)
- Data Processor: CAIKU
DPA นี้กำหนดเงื่อนไขที่ CAIKU ประมวลผลข้อมูลส่วนบุคคลในนามของลูกค้า ตาม PDPA มาตรา 40
2. ขอบเขตการประมวลผล
| Element | รายละเอียด |
|---|---|
| ประเภทข้อมูล | End-user data: ชื่อ, เบอร์โทร, อีเมล, conversation logs, voice recordings |
| เจ้าของข้อมูล | End-users ที่ลูกค้าใช้ CAIKU คุยด้วย (customers ของลูกค้า) |
| วัตถุประสงค์ | ให้บริการ AI Agent ตามที่ลูกค้า configure |
| ระยะเวลา | ตลอด subscription + retention period (ตาม Privacy Policy) |
| Sub-processors | OpenAI, Anthropic, Google, Twilio, Supabase (รายชื่อใน Section 5) |
3. หน้าที่ของ CAIKU (Data Processor)
- ประมวลผลข้อมูลตามคำสั่งลูกค้าเท่านั้น
- รักษาความลับ — ไม่เปิดเผยข้อมูลของลูกค้ากับบุคคลที่สาม
- ใช้มาตรการความปลอดภัยที่เหมาะสม (encryption, access control, audit logs)
- ช่วยลูกค้าตอบสนอง DSR requests ภายใน 14 วัน
- แจ้ง data breach ภายใน 72 ชั่วโมง
- ลบข้อมูลเมื่อลูกค้ายกเลิก service (ภายใน 30 วันหลังคำขอ)
- ให้สิทธิ audit ตามคำขอของลูกค้า (1 ครั้ง/ปี — ค่าใช้จ่ายลูกค้า)
- ทำ DPA กับ sub-processors ทุกราย
4. หน้าที่ของลูกค้า (Data Controller)
- ขอ consent จาก end-users ของลูกค้าตาม PDPA
- จัดทำ Privacy Notice ของลูกค้าเอง
- ตรวจสอบ legal basis ของแต่ละ purpose
- ตอบสนอง DSR requests จาก end-users ของลูกค้า
- รักษาความลับของ access credentials
- ไม่ upload sensitive data ตามมาตรา 26 PDPA โดยไม่ได้ explicit consent
5. Sub-Processors
ลูกค้ายินยอมล่วงหน้าให้ CAIKU ใช้ sub-processors ใน Annex A ด้านล่าง CAIKU จะแจ้งล่วงหน้า 30 วัน ถ้ามีการเพิ่ม sub-processor ใหม่ — ลูกค้ามีสิทธิคัดค้าน + ยกเลิก service
5.1 Annex A — Current Sub-Processors
| Vendor | Service | Location | DPA Status |
|---|---|---|---|
| OpenAI, L.L.C. | GPT API + Realtime API + Whisper | USA | ✓ Signed |
| Anthropic PBC | Claude API | USA | ✓ Signed |
| Google LLC | Gemini + Cloud | USA / Asia | ✓ Signed |
| Twilio Inc. | Voice telephony | USA | ✓ Signed |
| Retell AI / Vapi | Voice agent infra | USA | ✓ Signed |
| Supabase Inc. | Database + Auth | USA / EU | ✓ Signed |
| Railway Corp. | App hosting | USA | ✓ Signed |
| Cloudflare Inc. | CDN + security | Global | ✓ Signed |
6. ความปลอดภัย
CAIKU ใช้มาตรการความปลอดภัยตามที่ระบุใน Privacy Policy ข้อ 7 รายละเอียดเพิ่มเติม:
- Encryption ใน transit: TLS 1.3+
- Encryption at rest: AES-256
- Access control: Role-based + MFA + IP whitelist option
- Audit logs: 5-year retention
- Backup: Daily + 30-day rolling retention
- Incident response: 24/7 on-call team
- Penetration testing: Annual third-party
- Vulnerability scanning: Continuous (automated)
7. International Transfer
ข้อมูลอาจถูกส่งไปต่างประเทศ (โดยส่วนใหญ่ USA) ผ่าน sub-processors CAIKU ใช้ Standard Contractual Clauses (SCCs) ใน DPA กับทุก sub-processor ลูกค้า acknowledge และยินยอมการ transfer นี้
8. Data Subject Rights
ถ้า end-user ของลูกค้าส่ง DSR ให้ CAIKU ตรงๆ:
- CAIKU จะ forward request ไปลูกค้าภายใน 5 วันทำการ
- ลูกค้ารับผิดชอบตอบ end-user (เพราะลูกค้าเป็น Data Controller)
- CAIKU ช่วย execute (ลบ, export, แก้ไข) ตามคำสั่งลูกค้า
9. Audit Rights
- ลูกค้ามีสิทธิ audit CAIKU 1 ครั้ง/ปี
- ต้องแจ้งล่วงหน้า 30 วัน
- ค่า audit ลูกค้ารับผิดชอบ
- CAIKU มีสิทธิ์ require NDA ก่อน
- Alternative — ลูกค้ารับ SOC 2 / ISO 27001 reports ของ CAIKU แทน
10. การยุติ DPA
- DPA ยุติเมื่อ Terms of Service ยุติ
- CAIKU ลบข้อมูลภายใน 90 วันหลังยุติ
- ลูกค้าขอ export ได้ภายใน 30 วันแรก
- ออก deletion certificate ตามคำขอ