ฉบับร่าง — เอกสารนี้กำลังอยู่ระหว่างตรวจสอบโดยที่ปรึกษากฎหมาย เนื้อหาอาจปรับปรุงก่อนเริ่มใช้งานจริง. ฉบับล่าสุด: 5 พ.ค. 2569 · เวอร์ชัน v1.0

ข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement)

ข้อตกลงนี้กำหนดความสัมพันธ์ระหว่าง Pharmart POS ในฐานะ "ผู้ประมวลผลข้อมูล (Data Processor)" และ ร้านยา (ผู้ใช้บริการ) ในฐานะ "ผู้ควบคุมข้อมูล (Data Controller)" ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

1. ขอบเขตการประมวลผล

Pharmart POS ประมวลผลข้อมูลส่วนบุคคลในนามของร้านยาเฉพาะเท่าที่จำเป็นต่อการให้บริการระบบ POS เท่านั้น ได้แก่:

• ข้อมูลลูกค้าร้านยา (ชื่อ เบอร์โทร เลขบัตรประชาชนสำหรับยาควบคุม)
• ข้อมูลการขายและใบสั่งแพทย์ (เพื่อรายงาน อย. และเก็บประวัติ)
• ข้อมูลพนักงานและเภสัชกร (ชื่อ ตำแหน่ง สิทธิ์การเข้าใช้งาน)
• ข้อมูลใบอนุญาตประกอบกิจการ (ขย.1)

2. หน้าที่ของผู้ประมวลผล (Pharmart POS)

• ประมวลผลข้อมูลตามคำสั่งของร้านยาเท่านั้น
• เก็บรักษาข้อมูลด้วยมาตรการความปลอดภัยที่เหมาะสม (encryption at rest, RLS, audit log)
• แจ้งเหตุการละเมิดข้อมูล (data breach) ภายใน 72 ชั่วโมง
• ลบหรือส่งคืนข้อมูลทั้งหมดเมื่อสิ้นสุดสัญญา
• อนุญาตให้ร้านยาตรวจสอบ (audit) มาตรการความปลอดภัยตามรอบที่ตกลง

3. การส่งต่อข้อมูลให้บุคคลที่สาม

Pharmart POS ใช้ผู้ให้บริการเหล่านี้:

• Supabase Inc. — ฐานข้อมูล + storage (Tokyo region) · SOC 2 Type II
• Vercel Inc. — web hosting · SOC 2 Type II
• Resend — transactional email ผ่าน AWS SES Tokyo · DPA available

การส่งข้อมูลข้ามประเทศ (Cross-border transfer) จะอยู่ภายใต้เงื่อนไขมาตรฐานที่ คกง. กำหนด

4. การเก็บรักษาและการลบข้อมูล

• ข้อมูลการขาย เก็บอย่างน้อย 5 ปีตามข้อกำหนด อย. แล้วลบ
• ข้อมูลลูกค้า เก็บตามที่ร้านยากำหนด (default: 2 ปีหลังการขายครั้งสุดท้าย)
• Audit log เก็บ 7 ปี (ตามมาตรฐาน SOC 2)
• เมื่อร้านยาปิดบัญชี ข้อมูลจะถูกลบภายใน 30 วัน หรือ export ส่งคืนให้

5. สิทธิของเจ้าของข้อมูล

เจ้าของข้อมูล (data subject — เช่น ลูกค้า พนักงาน) มีสิทธิตาม PDPA มาตรา 30-34:

• สิทธิขอเข้าถึง สำเนา และพกพา (right to access + portability)
• สิทธิขอแก้ไข (rectification)
• สิทธิขอลบ ("right to be forgotten")
• สิทธิคัดค้านการประมวลผล
• สิทธิร้องเรียนต่อ คกง.

คำร้องส่งผ่านร้านยาที่เก็บข้อมูลโดยตรง — ร้านยาเป็นผู้ตอบสนองภายใน 30 วัน

6. ความรับผิด

ข้อจำกัดความรับผิดเป็นไปตามสัญญาบริการหลัก (Terms of Service)

7. ติดต่อ

เจ้าหน้าที่คุ้มครองข้อมูล (DPO): dpo@pharmartz.com

คำร้องขอใช้สิทธิ: privacy@pharmartz.com