ข้ามไปยังเนื้อหาหลัก
OpenAI

Updated: 1 ธันวาคม 2568

เอกสารแนบท้ายการประมวลผลข้อมูลของ OpenAI

ดาวน์โหลด PDF(เปิดในหน้าต่างใหม่)

มีผลบังคับใช้: 1 มกราคม 2026

(ดูเอกสารแนบท้ายว่าด้วยการประมวลผลข้อมูลก่อนหน้า)

ข้อตกลงแนบท้ายว่าด้วยการประมวลผลข้อมูลของ OpenAI (“DPA”) นี้เป็นส่วนเพิ่มเติมและถูกรวมเข้าไปในข้อตกลงการให้บริการของ OpenAI (“ข้อตกลง”) ที่ควบคุมการใช้บริการ และจัดทำขึ้น ณ วันที่มีผลบังคับใช้ ระหว่างลูกค้าที่ระบุไว้ข้างต้น (“ลูกค้า”) และ OpenAI OpCo, LLC ในนามของตนเองและในนามของบริษัทในเครือ ตามความเหมาะสม เว้นแต่ลูกค้าจะมีที่ตั้งอยู่ในประเทศเขตเศรษฐกิจยุโรปหรือสวิตเซอร์แลนด์ ซึ่งในกรณีนี้จะทำข้อตกลงกับ OpenAI Ireland Ltd. ในนามของตนเองและในนามของบริษัทในเครือ ตามความเหมาะสม (“OpenAI”) คำศัพท์ที่เป็นตัวพิมพ์ใหญ่ที่ไม่ได้นิยามไว้ใน DPA จะมีความหมายตามที่กำหนดไว้ในข้อตกลง ใน DPA นี้ OpenAI และลูกค้าแต่ละรายเรียกว่า “คู่สัญญา” และเรียกรวมกันว่า “คู่สัญญา” ลูกค้ารับรองว่าตนมีความสามารถตามกฎหมายในการทำข้อตกลงนี้ และหากเป็นการทำข้อตกลงนี้ในนามนิติบุคคล ลูกค้ารับรองว่าตนมีอำนาจตามกฎหมายในการผูกพันนิติบุคคลดังกล่าว การคลิก “ฉันตกลง” ถือเป็นการยอมรับแบบฟอร์มคำสั่งซื้อ และการใช้บริการ ซึ่งหมายความว่าลูกค้าตกลงยอมรับข้อตกลงฉบับนี้

1. รายละเอียด

  • 1.1 ขอบเขตและบทบาท ในฐานะที่เป็นส่วนหนึ่งของการให้บริการแก่ลูกค้าภายใต้ข้อตกลง OpenAI อาจประมวลผลข้อมูลลูกค้าในนามของลูกค้า OpenAI ทำหน้าที่เป็นผู้ประมวลผลข้อมูลในนามของลูกค้า และ DPA นี้ควบคุมการประมวลผลดังกล่าว
  • 1.2 รายละเอียดของการประมวลผล OpenAI จะประมวลผลข้อมูลลูกค้าเฉพาะเพื่อวัตถุประสงค์ในการให้บริการแก่ลูกค้าตามข้อตกลงและ DPA นี้เท่านั้น รายละเอียดเกี่ยวกับลักษณะ ระยะเวลา รวมถึงประเภทของข้อมูลลูกค้าและประเภทของเจ้าของข้อมูลที่เกี่ยวข้อง ถูกกำหนดไว้ในภาคผนวกที่ 1 (รายละเอียดการประมวลผล) ของ DPA นี้ OpenAI และลูกค้าแต่ละฝ่ายตกลงที่จะปฏิบัติตามภาระผูกพันของตนตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องกับบริการ

2. ภาระหน้าที่ของ OpenAI

  • 2.1 คำแนะนำสำหรับลูกค้า คู่สัญญาตกลงว่า DPA นี้ ข้อตกลง (รวมถึงแบบฟอร์มคำสั่งซื้อ) และคำแนะนำใดๆ ที่ให้ผ่านเครื่องมือการกำหนดค่าและเครื่องมืออื่นๆ ภายในบริการที่ OpenAI จัดให้ ถือเป็นคำแนะนำที่เป็นเอกสารของลูกค้าเกี่ยวกับการประมวลผลข้อมูลลูกค้าของ OpenAI (“คำแนะนำของลูกค้า”) OpenAI จะประมวลผลข้อมูลลูกค้าเฉพาะตามคำสั่งของลูกค้าเท่านั้น เว้นแต่กฎหมายที่บังคับใช้ซึ่ง OpenAI ต้องปฏิบัติตามกำหนดให้ต้องดำเนินการเช่นนั้น ในกรณีนี้ OpenAI จะแจ้งให้ลูกค้าทราบถึงข้อกำหนดนี้ก่อนการประมวลผล เว้นแต่จะถูกห้ามโดยกฎหมาย
  • 2.2 ประกาศสำหรับลูกค้า OpenAI จะรีบแจ้งให้ลูกค้าทราบเป็นลายลักษณ์อักษรหาก OpenAI เห็นว่าคำสั่งของลูกค้าละเมิดกฎหมายคุ้มครองข้อมูล OpenAI จะแจ้งให้ลูกค้าทราบหากได้รับคำขอเปิดเผยข้อมูลลูกค้าที่มีผลผูกพันทางกฎหมายจากหน่วยงานบังคับใช้กฎหมาย ตามขอบเขตที่กฎหมายอนุญาต
  • 2.3 การรักษาความลับ OpenAI จะรับรองว่าบุคคลทุกคนที่ได้รับอนุญาตจาก OpenAI ให้ประมวลผลข้อมูลลูกค้าได้ให้คำมั่นที่จะรักษาความลับหรืออยู่ภายใต้ข้อผูกพันทางกฎหมายที่เหมาะสมในการรักษาความลับ
  • 2.4 คำขอของเจ้าของข้อมูล OpenAI จะแจ้งให้ลูกค้าทราบในขอบเขตที่กฎหมายอนุญาต หาก OpenAI ได้รับคำขอใช้สิทธิของเจ้าของข้อมูลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (“คำขอของเจ้าของข้อมูล”) เกี่ยวกับข้อมูลของลูกค้า  OpenAI จะไม่ตอบสนองต่อคำขอใดๆ ดังกล่าวโดยปราศจากการพิสูจน์ตัวตนเป็นลายลักษณ์อักษรล่วงหน้าจากลูกค้า ยกเว้นว่าลูกค้าอนุญาตให้ OpenAI เปลี่ยนเส้นทางคำขอของเจ้าของข้อมูลตามความจำเป็นเพื่อให้ลูกค้าสามารถตอบสนองได้โดยตรง โดยคำนึงถึงลักษณะของการประมวลผล OpenAI จะช่วยเหลือลูกค้าโดยการดำเนินมาตรการทางเทคนิคและองค์กรที่เหมาะสมเท่าที่จะเป็นไปได้ เพื่อให้ลูกค้าสามารถตอบสนองต่อคำขอของเจ้าของข้อมูลได้
  • 2.5 การรักษาความปลอดภัย OpenAI จะดำเนินการและรักษามาตรการรักษาความปลอดภัยในเชิงโครงสร้างและทางเทคนิคที่เหมาะสมและสมควรเพื่อปกป้องข้อมูลลูกค้า ตามที่ระบุไว้ในข้อตกลง
  • 2.6 การช่วยเหลือลูกค้า OpenAI จะให้ความช่วยเหลือที่เหมาะสมแก่ลูกค้า โดยคำนึงถึงลักษณะของการประมวลผลและข้อมูลที่มีอยู่ เพื่อช่วยให้ลูกค้าปฏิบัติตามภาระผูกพันภายใต้กฎหมายการคุ้มครองข้อมูล ซึ่งรวมถึงการจัดเตรียมการประเมินผลกระทบต่อการปกป้องข้อมูลเกี่ยวกับการประมวลผลข้อมูลลูกค้าโดย OpenAI ในกรณีที่เหมาะสม และการหารือกับหน่วยงานกำกับดูแลที่มีเขตอำนาจศาลเหนือการประมวลผลดังกล่าวในกรณีที่จำเป็น หากกฎหมายการคุ้มครองข้อมูลกำหนดให้ต้องมีการปรึกษาดังกล่าว
  • 2.7 การละเมิดข้อมูลส่วนบุคคล OpenAI จะแจ้งให้ลูกค้าทราบโดยไม่ล่าช้าเกินควรหลังจากที่ทราบถึงการละเมิดข้อมูลส่วนบุคคล OpenAI จะให้ความช่วยเหลืออย่างสมเหตุสมผลแก่ลูกค้าเพื่อช่วยให้ลูกค้าปฏิบัติตามภาระผูกพันของตนภายใต้กฎหมายคุ้มครองข้อมูลในกรณีที่มีการละเมิดข้อมูลส่วนบุคคลดังกล่าว
  • 2.8 การประเมินการปฏิบัติตามข้อกำหนด OpenAI จะตามคำขอเป็นลายลักษณ์อักษรที่สมเหตุสมผลของลูกค้าและตามที่กฎหมายคุ้มครองข้อมูลกำหนด: (1) ไม่เกินหนึ่งครั้งต่อปี จัดให้นโยบายความเป็นส่วนตัวและความปลอดภัยของ OpenAI และข้อมูลอื่นๆ ที่จำเป็นแก่ลูกค้าเพื่อแสดงถึงการปฏิบัติตามภาระผูกพันของ OpenAI ภายใต้ DPA นี้; และ (2) โดยมีข้อตกลงการรักษาความลับที่เหมาะสมระหว่างคู่สัญญา อนุญาตและมีส่วนร่วมในการตรวจสอบหรือการตรวจสอบโดยหรือในนามของลูกค้า โดยที่ลูกค้าเป็นผู้รับผิดชอบค่าใช้จ่ายแต่เพียงผู้เดียว  การตรวจสอบหรือการตรวจเยี่ยมดังกล่าวต้อง: (ก) ดำเนินการในลักษณะที่รบกวน Business ของ OpenAI น้อยที่สุด (ข) จำเป็นเพื่อยืนยันว่า OpenAI กำลังประมวลผลข้อมูลลูกค้าในลักษณะที่สอดคล้องกับ DPA นี้ และ (ค) เกิดขึ้นไม่เกินหนึ่งครั้งต่อปี เมื่อกฎหมายคุ้มครองข้อมูลอนุญาต OpenAI อาจให้ลูกค้าดูสรุปของรายงานการตรวจสอบที่เกี่ยวข้องกับการปฏิบัติตาม DPA ของ OpenAI แทน ผลลัพธ์และเอกสารดังกล่าว รวมถึงผลลัพธ์ของการตรวจสอบหรือการตรวจเยี่ยมใดๆ จะถือเป็นข้อมูลลับของ OpenAI
  • 2.9 การว่าจ้างผู้ประมวลผลข้อมูลรายย่อย ลูกค้าขอให้การพิสูจน์ตัวตนทั่วไปแก่ OpenAI เพื่อว่าจ้างผู้ประมวลผลข้อมูลย่อยที่ระบุไว้ในรายชื่อผู้ประมวลผลข้อมูลย่อยเพื่อประมวลผลข้อมูลลูกค้าในส่วนที่เกี่ยวข้องกับบริการ OpenAI จะแจ้งให้ลูกค้าทราบถึงการเปลี่ยนแปลงใดๆ ในรายชื่อผู้ประมวลผลย่อยผ่านทางบล็อกโพสต์ การแจ้งเตือนภายในบริการ หรือวิธีการอื่นๆ ที่เหมาะสม หรือผ่านทางอีเมลหากลูกค้าสมัครรับการแจ้งเตือนทางอีเมลในเว็บไซต์รายชื่อผู้ประมวลผลย่อย ลูกค้าสามารถคัดค้านการใช้ผู้ประมวลผลย่อยเพิ่มเติมดังกล่าวภายใน 30 วันหลังจากได้รับแจ้งการเปลี่ยนแปลง โดยทำตามคำแนะนำที่ระบุไว้ในรายชื่อผู้ประมวลผลย่อยหรือโดยการติดต่อที่ privacy@openai.com ในกรณีดังกล่าว OpenAI จะทำงานร่วมกับลูกค้าเพื่อจัดการกับข้อกังวลและเสนอทางเลือกหรือวิธีแก้ไขที่สมเหตุสมผลในเชิงพาณิชย์ หากไม่มีทางเลือกหรือวิธีแก้ไขใดที่สามารถดำเนินการได้ในเชิงพาณิชย์ตามการพิจารณาที่สมเหตุสมผลของ OpenAI หรือหากข้อโต้แย้งไม่ได้รับการแก้ไขจนเป็นที่พอใจของคู่สัญญาภายใน 30 วันนับจากวันที่ OpenAI ได้รับแจ้งข้อโต้แย้งของลูกค้า ฝ่ายใดฝ่ายหนึ่งอาจยกเลิกข้อตกลงหรือแบบฟอร์มการสั่งซื้อหรือการใช้งานที่เกี่ยวข้องกับบริการที่ไม่สามารถให้บริการได้หากปราศจากการใช้ผู้ประมวลผลย่อยรายใหม่ ในกรณีเช่นนั้น ลูกค้าจะได้รับเงินคืนสำหรับค่าธรรมเนียมที่จ่ายล่วงหน้าในขอบเขตที่ครอบคลุมระยะเวลาหรือข้อกำหนดหลังจากวันที่ยุติการให้บริการดังกล่าว
  • 2.10 ข้อผูกพันของผู้ประมวลผลข้อมูลย่อย OpenAI จะทำข้อตกลงทางสัญญากับผู้ประมวลผลย่อยแต่ละรายเพื่อกำหนดข้อผูกพันที่เทียบเท่ากับที่ OpenAI มีภายใต้ DPA นี้ ภายใต้ข้อจำกัดความรับผิดที่รวมอยู่ในข้อตกลง OpenAI จะยังคงรับผิดชอบต่อการกระทำและการละเว้นการกระทำของผู้ประมวลผลย่อยในขอบเขตเดียวกับที่ OpenAI จะต้องรับผิดภายใต้ DPA หากได้ดำเนินการกระทำหรือการละเว้นการกระทำดังกล่าวเอง
  • 2.11 การส่งคืนหรือการลบข้อมูล หลังจากข้อตกลงหมดอายุหรือสิ้นสุดลง OpenAI จะส่งคืนหรือลบข้อมูลลูกค้าตามคำสั่งของลูกค้า และสำเนาที่มีอยู่ ยกเว้นในกรณีที่กฎหมายที่บังคับใช้กำหนดให้ต้องเก็บรักษาข้อมูลลูกค้าไว้ ซึ่งในกรณีนี้ OpenAI จะแยกและปกป้องข้อมูลดังกล่าวจากการประมวลผลเพิ่มเติมใดๆ ยกเว้นในขอบเขตที่กฎหมายที่บังคับใช้กำหนด

3. ภาระหน้าที่ของลูกค้า

  • 3.1 ประกาศและการอนุญาต ลูกค้ารับรอง รับประกัน และตกลงว่าตนได้ให้การแจ้งเตือนที่จำเป็นทั้งหมด และมีและจะคงไว้ซึ่งสิทธิ ความยินยอม และการพิสูจน์ตัวตนที่จำเป็นทั้งหมดตลอดระยะเวลาของข้อตกลง ตามที่กฎหมายคุ้มครองข้อมูลกำหนด เพื่อให้ข้อมูลลูกค้าแก่ OpenAI และอนุญาตให้ OpenAI ประมวลผลข้อมูลลูกค้าในความสัมพันธ์กับข้อตกลงนี้ รวมถึง DPA นี้
  • 3.2 ความร่วมมือ ลูกค้าจะต้องให้ความร่วมมือกับ OpenAI อย่างสมเหตุสมผลเพื่อช่วยเหลือ OpenAI ในการปฏิบัติตามภาระผูกพันใดๆ ภายใต้กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง
  • 3.3 การกำหนดค่า ทั้งนี้โดยไม่กระทบต่อภาระผูกพันด้านความปลอดภัยของ OpenAI ในข้อ 2.5 ของ DPA นี้ ลูกค้ารับทราบและตกลงว่าลูกค้ามีความรับผิดชอบต่อการกำหนดค่าและการตัดสินใจเกี่ยวกับการออกแบบบริการบางประการ และการนำการกำหนดค่าและการตัดสินใจเกี่ยวกับการออกแบบเหล่านั้นไปใช้ (เช่น ระยะเวลาการเก็บรักษา การลบ ฯลฯ) ในลักษณะที่สอดคล้องกับกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง

4. การถ่ายโอนข้อมูลระหว่างประเทศ

  • 4.1 ข้อมูลจากเขตเศรษฐกิจยุโรปและสวิตเซอร์แลนด์ ข้อมูลลูกค้าที่ OpenAI ประมวลผลภายใต้ DPA นี้อาจอยู่ภายใต้ขอบเขตของกฎหมายคุ้มครองข้อมูลของเขตเศรษฐกิจยุโรปหรือสวิตเซอร์แลนด์ (“ข้อมูลจากเขตเศรษฐกิจยุโรปและสวิตเซอร์แลนด์”) ไม่ว่าฝ่ายที่ทำสัญญากับ OpenAI ภายใต้ DPA นี้จะเป็นฝ่ายใด ลูกค้าขอให้ OpenAI Ireland จำกัด ประมวลผลข้อมูล EEA และสวิสให้เป็นไปตาม DPA นี้ ในกรณีที่ OpenAI Ireland จำกัด ถ่ายโอนข้อมูลจาก EEA และสวิตเซอร์แลนด์ไปยังบริษัทในเครือ OpenAI อื่น ๆ หรือบุคคลที่สามนอกเขตเศรษฐกิจยุโรปหรือสวิตเซอร์แลนด์เพื่อให้บริการ OpenAI จะดำเนินการดังกล่าวบนพื้นฐานของข้อตกลงที่มีข้อสัญญามาตรฐาน (SCCs) ที่รับรองว่ามีการป้องกันข้อมูลลูกค้าอย่างเหมาะสม หรือการตัดสินความเพียงพอที่ออกโดยคณะกรรมาธิการยุโรปภายใต้มาตรา 45 ของ GDPR
  • 4.2 ข้อมูลจากสหราชอาณาจักร ข้อมูลลูกค้าที่ประมวลผลโดย OpenAI ภายใต้ DPA นี้อาจอยู่ภายใต้ขอบเขตของกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักร (“ข้อมูลจากสหราชอาณาจักร”) ไม่ว่าฝ่ายที่ทำสัญญากับ OpenAI ภายใต้ DPA นี้จะเป็นฝ่ายใด ลูกค้าขอให้ OpenAI OpCo, LLC ประมวลผลข้อมูลในสหราชอาณาจักรตาม DPA นี้และตาม SCC ที่แก้ไขเพิ่มเติมโดยข้อตกลงแนบท้ายของสหราชอาณาจักร ซึ่งถือว่าได้เข้าทำไว้ (และรวมเข้าใน DPA นี้โดยการอ้างอิงนี้) และดำเนินการให้เสร็จสมบูรณ์ตามที่อธิบายไว้ในตารางที่ 1

5. ข้อกำหนดเพิ่มเติม

ในขอบเขตที่กฎหมายความเป็นส่วนตัวของสหรัฐอเมริกามีผลบังคับใช้:

  • 5.1 OpenAI ตกลงที่จะ (ก) ไม่ให้ค่าตอบแทนทางการเงินหรือสิ่งมีค่าอื่นใดแก่ลูกค้าเพื่อแลกกับข้อมูลลูกค้าจากลูกค้า คู่สัญญาทั้งสองฝ่ายรับทราบและตกลงว่า ลูกค้าไม่ได้ “ขาย” (ตามที่กฎหมายคุ้มครองความเป็นส่วนตัวของสหรัฐฯ กำหนดไว้) ข้อมูลลูกค้าให้กับ OpenAI (ข) ไม่ได้ “ขาย” (ตามที่กฎหมายคุ้มครองความเป็นส่วนตัวของสหรัฐฯ กำหนดไว้) หรือ “แบ่งปัน” (ตามที่ CCPA กำหนดไว้) ข้อมูลส่วนบุคคล (ค) ในกรณีที่ลูกค้าอนุญาตหรือสั่งให้ OpenAI ประมวลผลข้อมูลลูกค้าภายใต้กฎหมายคุ้มครองความเป็นส่วนตัวของสหรัฐฯ ในรูปแบบที่ไม่ระบุตัวตน ซึ่งเป็นส่วนหนึ่งของบริการ OpenAI จะต้อง (1) ใช้มาตรการที่เหมาะสมเพื่อป้องกันไม่ให้ข้อมูลที่ไม่ระบุตัวตนดังกล่าวถูกนำไปใช้เพื่ออนุมานข้อมูลเกี่ยวกับ หรือเชื่อมโยงกับบุคคลธรรมดาหรือครัวเรือนใดโดยเฉพาะ (2) ให้คำมั่นสัญญาต่อสาธารณะว่าจะรักษาและใช้ข้อมูลที่ไม่ระบุตัวตนดังกล่าวในรูปแบบนั้น และจะไม่พยายามระบุตัวตนข้อมูลอีกครั้ง เว้นแต่จะได้รับอนุญาตตามกฎหมายคุ้มครองความเป็นส่วนตัวของสหรัฐฯ และ (3) ก่อนที่จะแบ่งปันข้อมูลที่ไม่ระบุตัวตนกับบุคคลอื่นใด รวมถึงผู้ประมวลผลย่อย จะต้องทำสัญญาผูกพันกับผู้รับดังกล่าวให้ปฏิบัติตามข้อกำหนดของข้อ (ค)(1)-(3) นี้ และ (ง) ในกรณีที่ข้อมูลลูกค้าอยู่ภายใต้ CCPA (1) จะไม่เก็บรักษา ใช้ เปิดเผย หรือประมวลผลข้อมูลลูกค้าในลักษณะอื่นใด เว้นแต่จำเป็นสำหรับวัตถุประสงค์ทางธุรกิจที่ระบุไว้ในข้อตกลง รวมถึงแต่ไม่จำกัดเพียงตามที่ระบุไว้ในตารางที่ 1 ของ DPA นี้ (2) จะไม่เก็บรักษา ใช้ เปิดเผย หรือประมวลผลข้อมูลลูกค้าในลักษณะใดๆ นอกเหนือจากความสัมพันธ์ทางธุรกิจโดยตรงระหว่าง OpenAI และลูกค้า (3) จะไม่รวมข้อมูลลูกค้าใดๆ กับข้อมูลส่วนบุคคลที่ OpenAI ได้รับจากหรือในนามของบุคคลที่สามอื่นใด หรือรวบรวมจากการโต้ตอบของ OpenAI เองกับบุคคลต่างๆ โดยที่ OpenAI อาจรวมข้อมูลลูกค้าดังกล่าวเพื่อวัตถุประสงค์ที่ได้รับอนุญาตภายใต้ CCPA หากได้รับคำสั่งจากลูกค้าหรือตามที่ CCPA อนุญาต (4) แจ้งให้ลูกค้าทราบโดยไม่ชักช้าหาก OpenAI พิจารณาแล้วว่าไม่สามารถปฏิบัติตามภาระผูกพันภายใต้ CCPA ได้อีกต่อไป และ (5) หากลูกค้าเชื่อโดยสุจริตว่าการประมวลผลข้อมูลลูกค้าของ OpenAI ไม่สอดคล้องกับข้อกำหนดของ CCPA และเมื่อลูกค้าแจ้งให้ OpenAI ทราบโดยสุจริตแล้ว คู่สัญญาจะร่วมมือกันด้วยความสุจริตเพื่อแก้ไขปัญหา หรือหากหลังจากร่วมมือกันแล้ว ลูกค้าพิจารณาโดยสุจริตว่าไม่สามารถแก้ไขปัญหาได้ OpenAI จะหยุดการประมวลผลข้อมูลลูกค้าที่ได้รับผลกระทบตามคำสั่งเป็นลายลักษณ์อักษรจากลูกค้า
  • 5.2 ลูกค้าตกลงที่จะไม่ทำการกระทำใดๆ ที่จะ (ก) ทำให้การจัดเตรียมข้อมูลลูกค้าให้กับ OpenAI กลายเป็น “การขาย” ภายใต้กฎหมายความเป็นส่วนตัวของสหรัฐอเมริกาหรือ “การแบ่งปัน” ภายใต้ CCPA (หรือแนวคิดที่เทียบเท่าภายใต้กฎหมายความเป็นส่วนตัวของสหรัฐอเมริกา) หรือ (2) ทำให้ OpenAI ไม่เป็น “ผู้ให้บริการ” ภายใต้ CCPA หรือ “ผู้ประมวลผล” ภายใต้กฎหมายความเป็นส่วนตัวของสหรัฐอเมริกา

6. คำนิยาม

ข้อมูลลูกค้า” หมายถึงข้อมูลส่วนบุคคลที่ OpenAI ประมวลผลในนามของลูกค้าเพื่อให้บริการ

ผู้ควบคุมข้อมูล” มีความหมายตามที่กำหนดให้กับคำว่า “controller” (หรือคำที่คล้ายกัน) ภายใต้กฎหมายคุ้มครองข้อมูล

ผู้ประมวลผลข้อมูล” มีความหมายตามที่กำหนดให้กับคำว่า “processor” (หรือคำที่คล้ายกัน) ภายใต้กฎหมายคุ้มครองข้อมูล

กฎหมายคุ้มครองข้อมูล” หมายถึงกฎหมายความเป็นส่วนตัวและการคุ้มครองข้อมูลที่บังคับใช้กับการประมวลผลข้อมูลลูกค้าของ OpenAI ที่เกี่ยวข้องกับการให้บริการ 

เจ้าของข้อมูล” มีความหมายตามที่กำหนดให้กับคำว่า “เจ้าของข้อมูล” (หรือคำที่คล้ายกัน) ภายใต้กฎหมายคุ้มครองข้อมูล

GDPR” หมายถึง ระเบียบ (EU) 2016/679 ของรัฐสภายุโรปและสภาแห่งยุโรปลงวันที่ 27 เมษายน 2016

ข้อมูลส่วนบุคคล” มีความหมายตามที่กำหนดให้กับคำว่า “ข้อมูลส่วนบุคคล” หรือ “ข้อมูลส่วนตัว (หรือคำที่คล้ายกัน)” ภายใต้กฎหมายคุ้มครองข้อมูล

การละเมิดข้อมูลส่วนบุคคล” หมายถึงการละเมิดความปลอดภัยที่นำไปสู่การทำลาย การสูญหาย การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลลูกค้าที่จัดเก็บ ส่งผ่าน หรือประมวลผลโดย OpenAI ผู้ประมวลผลย่อย หรือบุคคลที่สามใดๆ ที่ดำเนินการในนามของ OpenAI โดยไม่ได้ตั้งใจหรือผิดกฎหมาย

การประมวลผล” หมายถึงความหมายที่กำหนดให้กับคำว่า “การประมวลผล” (หรือคำที่คล้ายกัน) ภายใต้กฎหมายคุ้มครองข้อมูล

SCCs” หมายถึง ข้อสัญญามาตรฐานสำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม ซึ่งได้รับการรับรองโดยคณะกรรมาธิการยุโรปเมื่อวันที่ 4 มิถุนายน 2021 (ซึ่งอาจมีการแก้ไข อัปเดต หรือเปลี่ยนแปลงเป็นครั้งคราว)

ผู้ประมวลผลข้อมูลรายย่อย” หมายถึง ผู้ประมวลผลข้อมูลรายย่อยที่ OpenAI ว่าจ้างให้ประมวลผลข้อมูลลูกค้าในส่วนที่เกี่ยวข้องกับบริการ ซึ่งระบุไว้ในรายชื่อผู้ประมวลผลข้อมูลรายย่อย

รายชื่อผู้ประมวลผลย่อย” หมายถึง รายการที่มีอยู่ตามที่อยู่ต่อไปนี้ https://platform.openai.com/subprocessors(เปิดในหน้าต่างใหม่)

ส่วนเพิ่มเติมของสหราชอาณาจักร” หมายถึง ส่วนเพิ่มเติมของสหราชอาณาจักรสำหรับ SCC ของสหภาพยุโรปที่ออกโดยคณะกรรมการข้อมูลภายใต้มาตรา 119A(1) ของพระราชบัญญัติคุ้มครองข้อมูลปี 2018

กฎหมายความเป็นส่วนตัวของสหรัฐฯ” หมายถึงกลุ่มย่อยของกฎหมายคุ้มครองข้อมูลที่บังคับใช้กับผู้อยู่อาศัยในสหรัฐอเมริกา รวมถึงแต่ไม่จำกัดเพียงพระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย (“CCPA”)

ตารางที่ 1

รายละเอียดการประมวลผล

1. ลักษณะและวัตถุประสงค์:

การดำเนินการของบริการภายใต้ข้อตกลง

2. ระยะเวลา:

ระยะเวลาและระยะเวลาที่จำเป็นหลังจากนั้นสำหรับคู่สัญญาในการปฏิบัติตามภาระผูกพันที่เกี่ยวข้องหลังจากสิ้นสุดระยะเวลา รวมถึงการลบข้อมูล

3. หมวดหมู่ของข้อมูลลูกค้า:

ลูกค้าอาจส่งข้อมูลส่วนบุคคลไปยังบริการ ซึ่งประเภทของข้อมูลจะขึ้นอยู่กับการใช้งานบริการของลูกค้า ซึ่งลูกค้าเป็นผู้กำหนดและควบคุมตามดุลยพินิจของตนแต่เพียงผู้เดียว แต่ข้อมูลดังกล่าวอาจรวมถึงแต่ไม่จำกัดเพียง ชื่อ ข้อมูลติดต่อ ข้อมูลทางประชากร หรือข้อมูลอื่นใดที่ผู้ใช้ปลายทางของลูกค้าให้ไว้ในรูปแบบข้อมูลที่ไม่เป็นระเบียบ

4. ประเภทของเจ้าของข้อมูล:

ข้อมูลของบุคคลที่เกี่ยวข้องอาจรวมถึง แต่ไม่จำกัดเพียง พนักงานของลูกค้า ลูกค้า ซัพพลายเออร์ และโดยทั่วไปคือผู้ใช้

5. ข้อมูลที่มีความละเอียดอ่อนที่ถูกถ่ายโอน (ถ้ามี):

ข้อมูลละเอียดอ่อนที่ถ่ายโอน (ถ้ามี) และข้อจำกัดหรือการป้องกันที่ใช้ซึ่งคำนึงถึงลักษณะของข้อมูลและความเสี่ยงที่เกี่ยวข้องอย่างเต็มที่ เช่น การจำกัดวัตถุประสงค์ที่เข้มงวด การจำกัดการเข้าถึง (รวมถึงการให้เข้าถึงเฉพาะเจ้าหน้าที่ที่ผ่านการฝึกอบรมเฉพาะทาง) การเก็บบันทึกการเข้าถึงข้อมูล การจำกัดเกี่ยวกับการถ่ายโอนข้อมูลต่อ หรือมาตรการความปลอดภัยเพิ่มเติม

ไม่มีการตั้งใจที่จะถ่ายโอนข้อมูลละเอียดอ่อน เว้นแต่ผู้ใช้จะรวมข้อมูลดังกล่าวโดยไม่คาดคิดในข้อมูลที่ไม่มีโครงสร้าง

6. ความถี่:

ความถี่ของการถ่ายโอน (เช่น ข้อมูลจะถูกถ่ายโอนเพียงครั้งเดียวหรืออย่างต่อเนื่อง)

อย่างต่อเนื่องขึ้นอยู่กับการใช้บริการของลูกค้า

7. การถ่ายโอนไปยังผู้ประมวลผลย่อย:

ตามข้อ 2.9 ของ DPA ผู้ประมวลผลข้อมูลรายย่อยจะประมวลผลข้อมูลลูกค้าเท่าที่จำเป็นเพื่อให้บริการ การประมวลผลดังกล่าวจะดำเนินการตลอดระยะเวลาของข้อตกลง เว้นแต่จะตกลงเป็นอย่างอื่นเป็นลายลักษณ์อักษร

8. ข้อมูล SCCs สำหรับการถ่ายโอนข้อมูลของสหราชอาณาจักรภายใต้หมวด 4.2:

  • โมดูลที่สอง (ผู้ควบคุมถึงผู้ประมวลผล) ของ SCCs จะมีผลบังคับใช้เมื่อลูกค้าเป็นผู้ควบคุมข้อมูลและ OpenAI กำลังประมวลผลข้อมูลลูกค้าในฐานะผู้ประมวลผลข้อมูล โมดูลที่สาม (จากผู้ประมวลผลถึงผู้ประมวลผลย่อย) ของ SCCs มีผลบังคับใช้เมื่อลูกค้าเป็นผู้ประมวลผลข้อมูลและ OpenAI กำลังประมวลผลข้อมูลลูกค้าในฐานะผู้ประมวลผลย่อย
  • 8.2 สำหรับแต่ละโมดูลของ SCCs ที่เกี่ยวข้อง บทบัญญัติต่อไปนี้มีผลบังคับใช้: (1) ข้อสัญญาเชื่อมโยงที่เป็นตัวเลือกในข้อ 7 ไม่มีผลบังคับใช้ (2) ในข้อ 9 ตัวเลือกที่ 2 (การพิสูจน์ตัวตนทั่วไปเป็นลายลักษณ์อักษร) มีผลบังคับใช้ และระยะเวลาขั้นต่ำในการแจ้งล่วงหน้าเกี่ยวกับการเปลี่ยนแปลงผู้ประมวลผลย่อยต้องเป็นไปตามที่ระบุในข้อ 2.9 ของ DPA (3) ในข้อ 11 ภาษาทางเลือกไม่มีผลบังคับใช้ (4) วงเล็บเหลี่ยมทั้งหมดในข้อ 13 ถูกลบออก (5) ในข้อ 17 (ตัวเลือกที่ 1) SCCs อยู่ภายใต้กฎหมายของอังกฤษและเวลส์ (6) ในข้อ 18(ข) การระงับข้อพิพาทจะทำต่อหน้าศาลของอังกฤษและเวลส์ (7) ตารางที่ 1 นี้มีข้อมูลที่จำเป็นในภาคผนวก 1 และภาคผนวก 3 ของ SCCs (8) ข้อ 2.5 (ความปลอดภัย) ของ DPA มีข้อมูลที่จำเป็นในภาคผนวก II ของ SCC (9) หน่วยงานกำกับดูแลที่มีอำนาจคือสำนักงานคณะกรรมการข้อมูลข่าวสาร (“ICO”)
  • 8.3 ผู้ส่งออกข้อมูล: ลูกค้าภายใต้ข้อตกลง ผู้นำเข้าข้อมูล: OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158, Data Protection Officer, privacy@openai.com

ปฏิบัติตามข้อตกลงด้านการประมวลผลข้อมูล(เปิดในหน้าต่างใหม่)