🎉 โปรเปิดตัว — ลด 50% ทุกแพ็กเกจ เฉพาะช่วงเปิดตัวนี้เท่านั้นดูแพ็กเกจ →
ทดลองฟรีเข้าสู่ระบบสมัครสมาชิกฟรี

ข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement)

ข้อตกลงฉบับนี้ (“DPA”) กำหนดเงื่อนไขที่ WealthD (“ผู้ประมวลผลข้อมูล”) ประมวลผลข้อมูลส่วนบุคคลในนามของที่ปรึกษาการเงินหรือผู้ประกอบวิชาชีพ (“ผู้ควบคุมข้อมูล”) ที่ใช้บริการ Wealth Pro ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

1. คำนิยาม

  • ข้อมูลส่วนบุคคล — ข้อมูลใดๆ ที่สามารถระบุตัวตนบุคคลธรรมดาได้ ตามนิยามใน PDPA
  • ผู้ควบคุมข้อมูล — ที่ปรึกษาการเงิน / ผู้ประกอบวิชาชีพที่สมัคร Wealth Pro และนำข้อมูลลูกค้าเข้าระบบ
  • ผู้ประมวลผลข้อมูลWealthD (getwealthd.com) ซึ่งดำเนินการจัดเก็บและประมวลผลข้อมูลตามคำสั่งของผู้ควบคุมข้อมูล
  • เจ้าของข้อมูล — ลูกค้าของผู้ควบคุมข้อมูล ซึ่งเป็นบุคคลที่ข้อมูลส่วนบุคคลอ้างถึง

2. ขอบเขตและวัตถุประสงค์การประมวลผล

ผู้ประมวลผลข้อมูลประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลเฉพาะตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลและเพื่อวัตถุประสงค์ดังต่อไปนี้เท่านั้น:

  • จัดเก็บและแสดงข้อมูลแผนการเงินของลูกค้าในระบบ WealthD
  • คำนวณตัวชี้วัดทางการเงิน และสร้างรายงาน PDF ตามที่ผู้ควบคุมข้อมูลร้องขอ
  • ให้บริการแพลตฟอร์มแก่ผู้ควบคุมข้อมูลตามข้อตกลงการให้บริการ (Terms of Service)

3. ประเภทข้อมูลและกลุ่มเจ้าของข้อมูล

ข้อมูลที่ประมวลผลอาจรวมถึง:

  • ชื่อ-นามสกุล วันเกิด เพศ สถานภาพสมรส และข้อมูลครอบครัว
  • รายได้ รายจ่าย ทรัพย์สิน หนี้สิน และข้อมูลทางการเงินส่วนบุคคล
  • เป้าหมายทางการเงิน ระดับความเสี่ยงที่ยอมรับได้ และแผนการลงทุน

4. พันธกรณีของผู้ประมวลผลข้อมูล (WealthD)

  1. ประมวลผลข้อมูลตามคำสั่งที่เป็นลายลักษณ์อักษรจากผู้ควบคุมข้อมูลเท่านั้น
  2. ดำเนินมาตรการรักษาความปลอดภัยทางเทคนิคและองค์กรที่เหมาะสม
  3. แจ้งผู้ควบคุมข้อมูลโดยไม่ชักช้าหากทราบถึงการละเมิดข้อมูลส่วนบุคคล
  4. ไม่เปิดเผยข้อมูลแก่บุคคลที่สามโดยไม่ได้รับอนุญาต เว้นแต่กฎหมายกำหนด
  5. ให้ความร่วมมือเพื่อให้ผู้ควบคุมข้อมูลสามารถปฏิบัติตามสิทธิ์ของเจ้าของข้อมูล
  6. ลบหรือส่งคืนข้อมูลเมื่อสิ้นสุดการให้บริการ ตามที่ผู้ควบคุมข้อมูลเลือก

5. พันธกรณีของผู้ควบคุมข้อมูล (ที่ปรึกษา)

  1. รับประกันว่าได้รับความยินยอมที่ถูกต้องจากเจ้าของข้อมูล ก่อนนำข้อมูลเข้าระบบ
  2. แจ้งเจ้าของข้อมูลถึงการใช้ระบบ WealthD ในฐานะผู้ประมวลผลข้อมูล
  3. ใช้ระบบตามวัตถุประสงค์ที่ระบุไว้เท่านั้น
  4. รับผิดชอบต่อความถูกต้องและความครบถ้วนของข้อมูลที่นำเข้าระบบ

6. ผู้ประมวลผลข้อมูลช่วง (Sub-processors)

WealthD ใช้บริการจากผู้ให้บริการบุคคลที่สามดังต่อไปนี้ในการประมวลผลข้อมูล โดยแต่ละรายผูกพันตามข้อตกลงการประมวลผลข้อมูลของผู้ให้บริการนั้นๆ:

  • Supabase — จัดเก็บข้อมูล (database hosting) ใน region AWS ap-south-1 (South Asia / Mumbai, ประเทศอินเดีย)
  • Vercel — web hosting และ edge computing (สหรัฐอเมริกา)
  • Clerk — การยืนยันตัวตนและการจัดการบัญชีผู้ใช้ (สหรัฐอเมริกา)

WealthD จะแจ้งผู้ควบคุมข้อมูลล่วงหน้าหากมีการเปลี่ยนแปลง sub-processors ที่สำคัญ และกำหนดให้ sub-processor แต่ละรายปฏิบัติตามมาตรฐานการคุ้มครองข้อมูลที่ไม่ต่ำกว่าข้อตกลงฉบับนี้

7. มาตรการรักษาความปลอดภัย

WealthD ดำเนินมาตรการทางเทคนิคและองค์กรที่เหมาะสมตาม PDPA มาตรา 37(1) ดังต่อไปนี้:

  • การเข้ารหัสข้อมูลระหว่างการส่ง (TLS 1.2 ขึ้นไป)
  • การเข้ารหัสข้อมูลส่วนบุคคลในระดับฟิลด์ขณะจัดเก็บ (field-level encryption at rest) ด้วยอัลกอริทึม AES-256-GCM สำหรับข้อมูลระบุตัวตนและข้อความอิสระ (เช่น ชื่อ-นามสกุล อีเมล เบอร์โทรศัพท์ วันเกิด อาชีพ บันทึก และข้อมูลผู้อยู่ในอุปการะ) โดยกุญแจเข้ารหัสถูกเก็บแยกจากฐานข้อมูล — ผู้ดูแลระบบฐานข้อมูลไม่สามารถอ่านค่าจริงได้
  • การควบคุมการเข้าถึงโดยใช้หลักการสิทธิ์น้อยที่สุด (Least Privilege) และการยืนยันตัวตนผู้ใช้
  • การบันทึก Audit Log แบบ append-only สำหรับการสร้าง/อ่าน/แก้ไข/ลบ/ส่งออกข้อมูลส่วนบุคคล (PDPA มาตรา 39)
  • การเปิดเผยข้อมูลที่เข้ารหัสแก่ผู้ดูแลระบบทำได้ผ่านช่องทางที่ถูกบันทึกการเข้าถึง (audited) เท่านั้น
  • การทดสอบและทบทวนมาตรการรักษาความปลอดภัยเป็นระยะ

8. การโอนข้อมูลไปยังต่างประเทศ (Cross-border Transfer)

เนื่องจาก sub-processors ในข้อ 6 ตั้งอยู่นอกประเทศไทย (อินเดียและสหรัฐอเมริกา) การประมวลผลจึงมีการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ตาม PDPA มาตรา 28–29 โดย WealthD อาศัยฐานทางกฎหมายและมาตรการคุ้มครองดังต่อไปนี้:

  • จัดให้มี มาตรการคุ้มครองที่เหมาะสมและบังคับใช้ได้ (appropriate safeguards) ผ่านข้อตกลงการประมวลผลข้อมูลกับ sub-processor แต่ละราย ซึ่งกำหนดมาตรฐานการคุ้มครอง ไม่ต่ำกว่าที่ PDPA กำหนด พร้อมสิทธิเรียกร้องและการเยียวยาที่บังคับใช้ได้แก่เจ้าของข้อมูล
  • ข้อมูลส่วนบุคคลที่ระบุตัวตนถูก เข้ารหัสในระดับฟิลด์ก่อนจัดเก็บ (ดูข้อ 7) จึงลดความเสี่ยงของการโอนข้อมูลข้ามพรมแดน
  • ผู้ควบคุมข้อมูลรับทราบและตกลงให้มีการโอนข้อมูลไปยังประเทศปลายทางข้างต้น และมีหน้าที่ แจ้งและขอความยินยอมจากเจ้าของข้อมูลตามที่กฎหมายกำหนด (ดูข้อ 5)

WealthD มิได้อ้างว่าประเทศปลายทางได้รับการวินิจฉัยว่ามีมาตรฐานการคุ้มครองที่เพียงพอ (adequacy decision) จากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล แต่อาศัยมาตรการคุ้มครองที่เหมาะสม ตามมาตรา 28(2) เป็นฐานในการโอน

9. การแจ้งเหตุละเมิดข้อมูล

หากพบการละเมิดข้อมูลส่วนบุคคล WealthD จะแจ้งผู้ควบคุมข้อมูลผ่านทาง support@getwealthd.com ภายใน 72 ชั่วโมงนับจากทราบเหตุ โดยระบุลักษณะของการละเมิด ข้อมูลที่ได้รับผลกระทบ และมาตรการที่ดำเนินการแก้ไข เพื่อให้ผู้ควบคุมข้อมูลสามารถปฏิบัติตามหน้าที่ในการแจ้งเหตุ ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลได้ตาม PDPA มาตรา 37(4)

10. การส่งคืนและลบข้อมูล

เมื่อสิ้นสุดสัญญาหรือตามคำขอของผู้ควบคุมข้อมูล WealthD จะ:

  • ลบข้อมูลส่วนบุคคลออกจากระบบอย่างถาวรภายใน 30 วัน หรือ
  • ส่งคืนข้อมูลในรูปแบบ JSON / CSV ตามที่ร้องขอก่อนลบ

ทั้งนี้ ระยะเวลาการเก็บรักษาและการลบข้อมูลอัตโนมัติเป็นไปตามที่ระบุใน หน้าข้อมูล PDPA และ นโยบายความเป็นส่วนตัว เว้นแต่กฎหมายกำหนดให้เก็บรักษาไว้นานกว่านั้น (เช่น Audit Log)

11. ความรับผิดและการชดใช้

แต่ละฝ่ายรับผิดต่อความเสียหายที่เกิดจากการที่ตนไม่ปฏิบัติตามหน้าที่ภายใต้ PDPA และข้อตกลงฉบับนี้ ผู้ควบคุมข้อมูลรับผิดชอบต่อความชอบด้วยกฎหมายของฐานการประมวลผลและความยินยอมที่ได้รับจากเจ้าของข้อมูล ขณะที่ WealthD รับผิดชอบต่อการดำเนินมาตรการรักษาความปลอดภัยและการประมวลผลตามคำสั่งที่ได้รับ ตามขอบเขตในข้อ 2 และ 4

12. ระยะเวลาและการสิ้นสุด

DPA ฉบับนี้มีผลตั้งแต่วันที่ผู้ควบคุมข้อมูลยอมรับ ณ หน้า checkout และสิ้นสุดเมื่อสัญญาบริการ Wealth Pro สิ้นสุดลง โดยข้อผูกพันด้านความลับ การรักษาความปลอดภัย และการลบ/ส่งคืนข้อมูล ยังคงมีผลจนกว่าจะดำเนินการแล้วเสร็จ

13. กฎหมายที่ใช้บังคับและเขตอำนาจศาล

ข้อตกลงฉบับนี้อยู่ภายใต้บังคับของกฎหมายแห่งราชอาณาจักรไทย และข้อพิพาทที่เกิดขึ้นให้อยู่ในเขตอำนาจของศาลที่มีเขตอำนาจในประเทศไทย

14. ติดต่อ

สอบถามหรือแจ้งปัญหาเกี่ยวกับ DPA ได้ที่: support@getwealthd.com (ผู้ดำเนินการ WealthD)

เวอร์ชัน DPA 1.0 · มีผลบังคับใช้ 2026-05-11 · ปรับปรุงล่าสุด 2026-06-05

⚠️ เอกสารนี้เป็นร่างต้นแบบ ควรผ่านการตรวจสอบโดยที่ปรึกษากฎหมายก่อนนำไปใช้จริง