เวอร์ชัน 1.1 — มีผลบังคับใช้: 1 กรกฎาคม 2569

ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล

Data Processing Agreement (DPA) — ระหว่าง องค์กรของคุณ (Controller) และ บริษัท จี ราฟฟิค แอส อะ เซอร์วิส จำกัด ผู้พัฒนาแพลตฟอร์ม Transforza (Processor)

🛡️ คำมั่นสัญญาหลักที่ Transforza ยึดถือ

ข้อมูลของคุณไม่ถูกนำไปเทรน AI — ทั้ง Anthropic Claude และ Google Gemini

แยกข้อมูลเฉพาะองค์กรคุณ — Multi-tenant isolation ทุก query

Zero-access policy — พนักงาน Transforza เข้าถึงข้อมูลคุณไม่ได้

ลบข้อมูลภายใน 30 วัน — หากยกเลิกบัญชีหรือร้องขอ

1. คำนิยามและขอบเขต

คำศัพท์ความหมาย
Controller (ผู้ควบคุม)องค์กรของคุณที่สมัครใช้บริการ Transforza และเป็นเจ้าของข้อมูลส่วนบุคคล
Processor (ผู้ประมวลผล)บริษัท จี ราฟฟิค แอส อะ เซอร์วิส จำกัด (เลขทะเบียน 0105563018031) ผู้พัฒนาและให้บริการแพลตฟอร์ม Transforza
Personal Dataข้อมูลใดก็ตามที่ระบุตัวตนบุคคลธรรมดาได้ ที่ประมวลผลผ่านระบบ Transforza
Processingการกระทำใดๆ กับข้อมูล เช่น จัดเก็บ วิเคราะห์ ส่งต่อ ลบ
Sub-processorผู้ให้บริการบุคคลที่สามที่ Transforza ใช้ในการให้บริการ

2. หน้าที่ของ Transforza ในฐานะ Processor

3. มาตรการรักษาความปลอดภัย

ชั้นมาตรการรายละเอียด
การส่งข้อมูลTLS 1.3เข้ารหัสทุก HTTP request ระหว่าง client และ server
การจัดเก็บAES-256เข้ารหัสข้อมูลในฐานข้อมูล PostgreSQL และ Cloudflare R2
การเข้าถึงMFA + RBACยืนยัน 2 ชั้น + จำกัดสิทธิ์ตามบทบาท
การแยกข้อมูลMulti-tenant UUIDทุก query มี tenant_id filter ป้องกันข้อมูลปะปน
การตรวจสอบImmutable Audit Logบันทึกทุก action ไม่สามารถแก้ไขหรือลบได้
Zero-accessEncrypted at restพนักงาน Transforza ไม่มีสิทธิ์อ่านข้อมูล production โดยตรง

4. นโยบาย AI และการเทรน Model

🚫 สิ่งที่ไม่เกิดขึ้นกับข้อมูลของคุณ

  • ข้อมูลกระบวนการทำงานของคุณ ไม่ถูกนำไปเทรน Claude (Anthropic) หรือ Gemini (Google)
  • ข้อมูลของคุณ ไม่ถูกใช้ เพื่อปรับปรุงโมเดล AI ของ Transforza
  • ข้อมูลของคุณ ไม่ถูกแชร์ กับ tenant อื่นในระบบ

Transforza ใช้ Anthropic API และ Google Gemini API ในการวิเคราะห์ โดย API calls เหล่านี้ไม่นำไปใช้เทรน AI ตาม:

5. Sub-processors ที่ Transforza ใช้

ผู้ให้บริการวัตถุประสงค์ที่ตั้งข้อมูลมาตรฐาน
Render.comApplication Server และ PostgreSQLSingapore (AP)SOC 2 Type II
Cloudflare R2จัดเก็บไฟล์เอกสารSingapore / กำหนดเองได้ISO 27001
Twilio SendGridส่งอีเมลแจ้งเตือนUSAISO 27001, SOC 2
Anthropic (Claude API)AI วิเคราะห์ Compliance (Paid tier)USA (API only)ไม่ใช้เทรน AI
Google (Gemini API)AI Sandbox สำหรับ demoUSA (API only)ไม่ใช้เทรน AI
2C2PประมวลผลการชำระเงินThailand/SingaporePCI DSS Level 1

Transforza จะแจ้ง Controller ล่วงหน้า 30 วัน หากมีการเปลี่ยนแปลง sub-processor

6. ระยะเวลาเก็บรักษาและการลบข้อมูล

ประเภทข้อมูลระยะเวลาเก็บการลบ
ผลการวิเคราะห์ AI (Starter)30 วันนับจากสร้างลบอัตโนมัติ
ผลการวิเคราะห์ AI (Professional)1 ปีลบอัตโนมัติ หรือตามคำขอ
Knowledge Base เอกสารตลอดอายุ subscriptionลบทันทีเมื่อขอ หรือยกเลิก + 30 วัน
Audit Log7 ปี (กฎหมายบัญชี)ไม่สามารถลบก่อนกำหนด
ข้อมูลบัญชีผู้ใช้ตลอด subscription + 90 วันลบภายใน 30 วันหลังขอ

7. การโอนข้อมูลระหว่างประเทศ

การส่งข้อมูลไปยัง Anthropic และ Google (USA) ดำเนินการภายใต้ Standard Contractual Clauses (SCCs) และ Adequacy Decisions ตาม GDPR/PDPA

ลูกค้า Enterprise สามารถขอ Data Residency เพื่อจัดเก็บข้อมูลภายในภูมิภาคที่กำหนดได้ (เพิ่มเติม 15,000 บาท/เดือน)

8. สิทธิ์การตรวจสอบ (Audit Rights)

9. การแจ้งเหตุละเมิดข้อมูล

10. ติดต่อและรับ DPA ฉบับลงนาม

สำหรับลูกค้า Enterprise ที่ต้องการ DPA ฉบับลงนาม

เจ้าหน้าที่คุ้มครองข้อมูล (DPO)

hello@creativevaluation.com

ฝ่ายกฎหมาย

hello@creativevaluation.com

ตอบกลับภายใน 5 วันทำการ — DPA ฉบับลงนามจัดเตรียมได้ภายใน 14 วันทำการ

บริษัท จี ราฟฟิค แอส อะ เซอร์วิส จำกัด | เลขทะเบียนนิติบุคคล 0105563018031
899/24 ซอยสุขุมวิท 101 แขวงบางจาก เขตพระโขนง กรุงเทพมหานคร 10260

เอกสารนี้มีผลบังคับใช้ตั้งแต่วันที่ 1 กรกฎาคม 2569 — เวอร์ชัน 1.1 — จะแจ้งล่วงหน้า 30 วันก่อนการเปลี่ยนแปลงสาระสำคัญ