Document 3 of 4

Data Processing Agreement

ข้อตกลงประมวลผลข้อมูลส่วนบุคคล (DPA)

Auto-execute: เมื่อ subscribe paid plan
Version: 1.0
URL: caiku.ai/dpa
📋 About this DPA

DPA นี้เป็น addendum ของ Terms of Service — automatic effective เมื่อลูกค้า subscribe paid plan ของ CAIKU เอกสารนี้ทำให้ลูกค้าและ CAIKU ปฏิบัติตาม PDPA มาตรา 40 (Data Controller-Processor relationship) ได้

1. คู่สัญญา + วัตถุประสงค์

DPA นี้เป็น addendum ของ Terms of Service คู่สัญญา:

  • Data Controller: ลูกค้า (เจ้าของบริษัทที่ subscribe CAIKU)
  • Data Processor: CAIKU

DPA นี้กำหนดเงื่อนไขที่ CAIKU ประมวลผลข้อมูลส่วนบุคคลในนามของลูกค้า ตาม PDPA มาตรา 40

2. ขอบเขตการประมวลผล

Elementรายละเอียด
ประเภทข้อมูลEnd-user data: ชื่อ, เบอร์โทร, อีเมล, conversation logs, voice recordings
เจ้าของข้อมูลEnd-users ที่ลูกค้าใช้ CAIKU คุยด้วย (customers ของลูกค้า)
วัตถุประสงค์ให้บริการ AI Agent ตามที่ลูกค้า configure
ระยะเวลาตลอด subscription + retention period (ตาม Privacy Policy)
Sub-processorsOpenAI, Anthropic, Google, Twilio, Supabase (รายชื่อใน Section 5)

3. หน้าที่ของ CAIKU (Data Processor)

  1. ประมวลผลข้อมูลตามคำสั่งลูกค้าเท่านั้น
  2. รักษาความลับ — ไม่เปิดเผยข้อมูลของลูกค้ากับบุคคลที่สาม
  3. ใช้มาตรการความปลอดภัยที่เหมาะสม (encryption, access control, audit logs)
  4. ช่วยลูกค้าตอบสนอง DSR requests ภายใน 14 วัน
  5. แจ้ง data breach ภายใน 72 ชั่วโมง
  6. ลบข้อมูลเมื่อลูกค้ายกเลิก service (ภายใน 30 วันหลังคำขอ)
  7. ให้สิทธิ audit ตามคำขอของลูกค้า (1 ครั้ง/ปี — ค่าใช้จ่ายลูกค้า)
  8. ทำ DPA กับ sub-processors ทุกราย

4. หน้าที่ของลูกค้า (Data Controller)

  1. ขอ consent จาก end-users ของลูกค้าตาม PDPA
  2. จัดทำ Privacy Notice ของลูกค้าเอง
  3. ตรวจสอบ legal basis ของแต่ละ purpose
  4. ตอบสนอง DSR requests จาก end-users ของลูกค้า
  5. รักษาความลับของ access credentials
  6. ไม่ upload sensitive data ตามมาตรา 26 PDPA โดยไม่ได้ explicit consent

5. Sub-Processors

ลูกค้ายินยอมล่วงหน้าให้ CAIKU ใช้ sub-processors ใน Annex A ด้านล่าง CAIKU จะแจ้งล่วงหน้า 30 วัน ถ้ามีการเพิ่ม sub-processor ใหม่ — ลูกค้ามีสิทธิคัดค้าน + ยกเลิก service

5.1 Annex A — Current Sub-Processors

VendorServiceLocationDPA Status
OpenAI, L.L.C.GPT API + Realtime API + WhisperUSA✓ Signed
Anthropic PBCClaude APIUSA✓ Signed
Google LLCGemini + CloudUSA / Asia✓ Signed
Twilio Inc.Voice telephonyUSA✓ Signed
Retell AI / VapiVoice agent infraUSA✓ Signed
Supabase Inc.Database + AuthUSA / EU✓ Signed
Railway Corp.App hostingUSA✓ Signed
Cloudflare Inc.CDN + securityGlobal✓ Signed

6. ความปลอดภัย

CAIKU ใช้มาตรการความปลอดภัยตามที่ระบุใน Privacy Policy ข้อ 7 รายละเอียดเพิ่มเติม:

  1. Encryption ใน transit: TLS 1.3+
  2. Encryption at rest: AES-256
  3. Access control: Role-based + MFA + IP whitelist option
  4. Audit logs: 5-year retention
  5. Backup: Daily + 30-day rolling retention
  6. Incident response: 24/7 on-call team
  7. Penetration testing: Annual third-party
  8. Vulnerability scanning: Continuous (automated)

7. International Transfer

ข้อมูลอาจถูกส่งไปต่างประเทศ (โดยส่วนใหญ่ USA) ผ่าน sub-processors CAIKU ใช้ Standard Contractual Clauses (SCCs) ใน DPA กับทุก sub-processor ลูกค้า acknowledge และยินยอมการ transfer นี้

8. Data Subject Rights

ถ้า end-user ของลูกค้าส่ง DSR ให้ CAIKU ตรงๆ:

  1. CAIKU จะ forward request ไปลูกค้าภายใน 5 วันทำการ
  2. ลูกค้ารับผิดชอบตอบ end-user (เพราะลูกค้าเป็น Data Controller)
  3. CAIKU ช่วย execute (ลบ, export, แก้ไข) ตามคำสั่งลูกค้า

9. Audit Rights

  1. ลูกค้ามีสิทธิ audit CAIKU 1 ครั้ง/ปี
  2. ต้องแจ้งล่วงหน้า 30 วัน
  3. ค่า audit ลูกค้ารับผิดชอบ
  4. CAIKU มีสิทธิ์ require NDA ก่อน
  5. Alternative — ลูกค้ารับ SOC 2 / ISO 27001 reports ของ CAIKU แทน

10. การยุติ DPA

  1. DPA ยุติเมื่อ Terms of Service ยุติ
  2. CAIKU ลบข้อมูลภายใน 90 วันหลังยุติ
  3. ลูกค้าขอ export ได้ภายใน 30 วันแรก
  4. ออก deletion certificate ตามคำขอ