MeshLaw
ประกาศทางกฎหมาย

สัญญามอบหมายการประมวลผลข้อมูลส่วนบุคคล (DPA)

แก้ไขล่าสุด: 2026-05-02

นี่คือรายการสำคัญของสัญญามาตรฐานว่าด้วยการมอบหมายการประมวลผลข้อมูลส่วนบุคคล ที่บริษัท (MeshLaw) และสมาชิก (สำนักงานกฎหมาย/ทีมกฎหมาย) ทำขึ้นตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล สัญญาฉบับสมบูรณ์จะส่งเป็น PDF สำหรับฝ่ายกฎหมายตรวจสอบเมื่อสอบถามการนำไปใช้ และแบบฟอร์มอาจได้รับการแก้ไขบางส่วนหลังผ่านการตรวจสอบโดยฝ่ายกฎหมายของสมาชิก

ข้อ 1 (วัตถุประสงค์)

มีวัตถุประสงค์เพื่อกำหนดเรื่องที่จำเป็นเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลที่บริษัท (ผู้มอบหมายการประมวลผล) มอบหมายให้สมาชิก (ผู้รับมอบหมายการประมวลผล) ตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล และมาตรา 28 แห่งกฎกระทรวงที่เกี่ยวข้อง

ข้อ 2 (ขอบเขตงานที่มอบหมาย)

งานประมวลผลทั้งหมดเพื่อให้บริการ MeshLaw ได้แก่ การจัดเก็บข้อมูลสำนวนคดี (matter) ของสมาชิก การจัดทำดัชนี การวิเคราะห์ด้วย AI และการช่วยเชื่อมต่อระบบยื่นฟ้องอิเล็กทรอนิกส์

ข้อ 3 (รายการที่ประมวลผลและระยะเวลาเก็บรักษา)

ข้อมูลสำนวนคดี ข้อมูลลูกความ ข้อมูลยืนยันตัวตนทนายความ และบันทึกการใช้งานบริการ ที่สมาชิกป้อนหรืออัปโหลด ระยะเวลาเก็บรักษาจะถูกลบอย่างถาวรภายใน 90 วันนับจากที่สมาชิกยกเลิกบัญชีหรือสิ้นสุดสัญญาการมอบหมาย

ข้อ 4 (ข้อจำกัดการมอบหมายช่วง)

บริษัทจะไม่มอบหมายงานที่ได้รับมอบหมายต่อให้บุคคลที่สามโดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าจากสมาชิก ทั้งนี้ ผู้ให้บริการโครงสร้างพื้นฐานที่ได้แจ้งล่วงหน้า ณ เวลาทำสัญญา (เช่น AWS Korea, Microsoft Azure Korea และผู้ให้บริการโมเดล AI ภายนอก) ถือเป็นข้อยกเว้น

ข้อ 5 (มาตรการรักษาความปลอดภัย)

การเข้ารหัสการรับส่งข้อมูลด้วย TLS 1.3, การเข้ารหัสข้อมูลที่จัดเก็บด้วย AES-256, การเข้ารหัสแยกสำหรับฟิลด์ข้อมูลอ่อนไหวเช่นเลขประจำตัวประชาชน, การแยกข้อมูลตามแต่ละสำนักงาน (Row-Level Security), การควบคุมการเข้าถึงและบันทึกการตรวจสอบ, การสำรองข้อมูลรายวันและรับประกัน PITR 7 วัน

ข้อ 6 (Zero Data Retention)

การเรียกใช้โมเดลภายนอกเพื่อการประมวลผลด้วย AI จะดำเนินการภายใต้ข้อตกลงแนบท้าย ZDR เท่านั้น หลังการประมวลผลข้อมูลของผู้ใช้จะไม่ถูกเก็บไว้ในระบบของผู้ให้บริการและจะไม่ถูกนำไปใช้ฝึกโมเดล

ข้อ 7 (การรับมือเหตุการณ์และการแจ้งเตือน)

บริษัทจะแจ้งสมาชิกภายใน 24 ชั่วโมงหลังรับทราบเหตุละเมิดข้อมูลส่วนบุคคล และจะรายงานต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและ KISA ตามมาตรา 34 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พร้อมจัดทำรายงานที่ครอบคลุมสาเหตุ ขอบเขตความเสียหาย และมาตรการกู้คืน

ข้อ 8 (การกำกับดูแลและตรวจสอบ)

สมาชิกสามารถขอตรวจสอบการปฏิบัติตามสัญญานี้ได้อย่างน้อยปีละ 1 ครั้ง และบริษัทจะให้ความร่วมมือในการตรวจสอบ ทั้งนี้อาจใช้เอกสารรับรอง KISA ISMS-P ของบริษัท (เมื่อได้รับการรับรองแล้ว) ทดแทนการตรวจสอบได้

ข้อ 9 (การจัดการเมื่อสิ้นสุดสัญญา)

เมื่อสิ้นสุดสัญญา สมาชิกสามารถขอส่งออกข้อมูล (PDF, CSV, JSON) ได้ภายใน 30 วัน สำเนาข้อมูลทั้งหมด (รวมถึงข้อมูลสำรอง) จะถูกลบอย่างถาวรภายใน 90 วันหลังสิ้นสุดสัญญา พร้อมออกหนังสือรับรองการลบข้อมูล

ข้อ 10 (ความรับผิดและการยกเว้นความรับผิด)

บริษัทรับผิดชดใช้ค่าเสียหายตามกฎหมายที่เกี่ยวข้องสำหรับการละเมิดข้อมูลส่วนบุคคลอันเกิดจากเจตนาหรือความประมาทเลินเล่ออย่างร้ายแรงของบริษัท ทั้งนี้บริษัทจะไม่รับผิดต่อเหตุการณ์ที่เกิดจากความผิดของสมาชิกหรือเหตุสุดวิสัยเช่นภัยธรรมชาติ

เอกสารแนบท้าย เช่น ข้อตกลงแนบท้าย ZDR จะรวมอยู่ในแบบฟอร์มฉบับสมบูรณ์ หน้านี้เป็นเพียงตัวอย่าง สัญญาที่มีผลผูกพันทางกฎหมายจะสมบูรณ์เมื่อมีการลงนามในแบบฟอร์ม PDF ฉบับจริง

ขอแบบฟอร์ม DPA ฉบับสมบูรณ์

แบบฟอร์ม PDF สำหรับฝ่ายกฎหมายตรวจสอบ เมื่อสอบถามการนำไปใช้ ทีมขายจะส่งให้ภายใน 1 วันทำการ

ส่งคำขอ →
เอกสารไวต์เปเปอร์ด้านความปลอดภัย

เอกสารรายละเอียดว่าด้วยการเข้ารหัส การควบคุมการเข้าถึง บันทึกการตรวจสอบ และขั้นตอนการรับมือเหตุการณ์

หน้าความปลอดภัย →