คู่มือ Compliance ฉบับรวม (Thailand)

คู่มือ Compliance ฉบับรวม (Thailand)

เอกสารเดียวจบ: บริษัท · บัญชี/ภาษี · regulator ข้อบังคับ · หน่วยงานส่งเสริม (DEPA/BOI) · งบประมาณ · ผลตรวจโค้ดจริง · เอกสาร PDPA ตั้งต้น บริบท: startup งบจำกัด (10k–100k) · กลุ่มเป้าหมายหลัก distributor SME (ยังไม่จับ enterprise/ราชการ)

⚠️ ไม่ใช่คำแนะนำทางกฎหมาย/ภาษี — เป็น checklist ตั้งต้น · ตัวเลขงบเป็นค่าประมาณตลาดปี 2568–2569 · เอกสาร PDPA เป็น template ต้องให้ทนายรีวิวก่อนใช้จริง Last updated: 2026-06

สารบัญ

1. TL;DR — ความเสี่ยงจริงอยู่ที่ไหน
2. ผลตรวจโค้ดจริง (ความเสี่ยงรูปธรรม)
3. การจัดตั้งบริษัท
4. บัญชี & ภาษี — ทำไมต้องจ้าง? ทำเองได้แค่ไหน
5. Regulator ข้อบังคับ (Mandatory)
6. หน่วยงานส่งเสริม — DEPA & BOI (step-by-step)
7. งบประมาณ (bootstrapped)
8. Timeline & Step ถัดไป
9. Master Checklist
10. ภาคผนวก A — Privacy Policy (TH/EN)
11. ภาคผนวก B — DPA (TH/EN)

1. TL;DR

ความเสี่ยงเชิงกฎหมายของ DMS ตอนนี้ ไม่ได้อยู่ที่โค้ด แต่อยู่ที่ เอกสาร PDPA + นิติบุคคล ซึ่งทำเองได้เกือบฟรี

2. ผลตรวจโค้ดจริง

(read-only audit · dms-backend Go · 2026-06)

2.1 Loyalty Points — BOT e-Money Risk 🟢 ต่ำ

ข้อสรุป: CLOSED-LOOP แท้ หลักฐาน (internal/domain/loyalty/):

• RewardKind มีแค่ 3 แบบ: free_gift (ของแถม), discount (ส่วนลด), coupon (โค้ดส่วนลด) — ไม่มี cash-out/withdraw/payout
• Redemption ผูกกับ OrderID ใช้ตอน checkout เท่านั้น (atomic claim→bind, release on rollback)
• Reward / Redemption / Tier / PointTransaction ทุกตัวมี TenantID → scoped per-tenant ใช้ข้าม merchant ไม่ได้
• Ledger append-only, points signed (+earn/−redeem) — ไม่มี path กลับเป็นเงินสด

ช่องว่างเดียว = เอกสาร: เขียน T&C/นโยบายแต้มให้ชัดว่า แต้มไม่มีมูลค่าเงินสด แลกคืน/โอนไม่ได้ ใช้เฉพาะร้านที่ออก ข้อห้าม: อย่าเพิ่ม reward kind ที่เป็น cash-out โดยไม่ปรึกษากฎหมาย (= เข้าข่าย ธปท. ทันที)

2.2 VAT / e-Tax 🟢 (สำหรับ non-VAT)

"dead VAT" ไม่จริงทั้งหมด:

• sale_order_service.go ~บรรทัด 1421: o.TaxAmount = o.TotalAmount * (7.0/107.0) → คำนวณ VAT inclusive จริง
• GAP-10 (~บรรทัด 1366): สิ่งที่ตายคือการดึง calcResult.TaxAmount จาก calculator (ถูกถอด) ไม่ใช่ VAT ทั้งหมด

ขาดจริง: ❌ ไม่ออกใบกำกับภาษี/ใบเสร็จ · ❌ ไม่มี e-Tax integration (XML/ลายเซ็น/provider) · ❌ VAT รวมยอดเดียวไม่แยกบรรทัด สรุป: เลื่อนได้จนมีลูกค้าจด VAT ร้องขอ · ตอนนี้ระบุใน sales material ว่า "ยังไม่ออกใบกำกับเต็มรูป/e-Tax" กันความคาดหวังผิด

2.3 Cross-Tenant Isolation 🟡 กลาง

ดี: TenantFromCtx god node (186 edges) · tenant_id ใน 18 ไฟล์ SQL (113 จุด) · domain entity หลักมี TenantID · resolve order: JWT → X-Tenant-ID header ช่องว่าง: ไม่มี PostgreSQL RLS → กันข้อมูลข้าม tenant พึ่ง app code ชั้นเดียว ถ้า query ใดลืม WHERE tenant_id หรือ JOIN พลาด = ข้อมูลรั่ว = PDPA breach (report/dynamic-filter เสี่ยงสุด) Action: เขียน integration test 2-tenant ยืนยันทุก list endpoint คืนเฉพาะ tenant ตัวเอง (customer/order/report ก่อน) · ระยะกลางเปิด RLS เป็น defense ชั้นสอง

3. การจัดตั้งบริษัท

3.1 รูปแบบ: บริษัทจำกัด (Co., Ltd.) ✅

จดก่อนปิดดีลองค์กรรายแรก เพราะ DPA/สัญญา/ใบกำกับต้องออกในนามนิติบุคคล · ผู้ถือหุ้นขั้นต่ำ 2 คน

3.2 ทุนจดทะเบียน

• นิยม 1,000,000 บาท · ชำระจริงขั้นต่ำ 25% (250,000) ที่เหลือเรียกภายหลัง
• ถ้าจะใช้ BOI/จ้างต่างชาติ/work permit → วางสูงขึ้น (ทั่วไป 2 ลบ./ใบอนุญาตต่างชาติ 1 ใบ)

3.3 วัตถุประสงค์ (สำคัญต่อ BOI/DEPA)

ระบุครอบคลุม: พัฒนา/ให้บริการซอฟต์แวร์, SaaS, ที่ปรึกษา IT, แพลตฟอร์มดิจิทัล, ประมวลผลข้อมูล

3.4 ขั้นตอน (DBD)

จองชื่อ → หนังสือบริคณห์สนธิ + ข้อบังคับ → ประชุมจัดตั้ง + จดทะเบียน (ออนไลน์ DBD e-Registration) → รับหนังสือรับรอง + เลข 13 หลัก → เปิดบัญชีธนาคารนิติบุคคล งบ: DIY ~7,000 ฿ · ผ่านสำนักงานบัญชี ~12,000–35,000 ฿

4. บัญชี & ภาษี

4.1 ทำไมต้อง "จ้างบัญชี"? ทำเองได้แค่ไหน

• บริษัทจำกัด ต้องมี "ผู้ทำบัญชี" ที่มีคุณวุฒิ (จบบัญชี + ขึ้นทะเบียน CPD กับ DBD) เป็นผู้รับผิดชอบและลงชื่อในงบ
• คุณ ทำ bookkeeping เองได้ (FlowAccount/PEAK) แต่ถ้า ไม่ได้จบบัญชี ต้องมีผู้ทำบัญชีที่มีคุณวุฒิรับผิดชอบตามกฎหมาย — ทำเองล้วนไม่ได้
• ค่าจ้างสำนักงานบัญชี SME ถูก (~2,500–4,000/เดือน รวมยื่นภาษีรายเดือน) → ไม่คุ้มเสี่ยงทำเองถ้าไม่มีพื้นบัญชี

4.2 ทำไมต้อง "จ้าง audit"? เลี่ยงได้ไหม

• เลี่ยงไม่ได้ — กฎหมายบังคับให้ บริษัทจำกัดทุกแห่ง ส่งงบที่ตรวจสอบโดย ผู้สอบบัญชีรับอนุญาต (CPA) อิสระ ต่อ DBD ทุกปี แม้รายได้เป็นศูนย์
• audit = ตรวจโดยบุคคลภายนอกอิสระ → เจ้าของตรวจงบตัวเองไม่ได้
• ข้อยกเว้นมีเฉพาะ "ห้างหุ้นส่วนจดทะเบียนขนาดเล็ก" (ใช้ Tax Auditor แทนได้) — บริษัทจำกัดต้องใช้ CPA เสมอ

4.3 ภาษีที่เกี่ยวข้อง

ปฏิทิน: รายเดือน (VAT/WHT/ประกันสังคม) · กลางปี (ภ.ง.ด.51) · ปลายปี (ปิดงบ → CPA → ประชุมผู้ถือหุ้น → ภ.ง.ด.50 + ส่ง DBD)

5. Regulator ข้อบังคับ

5.1 PDPC — PDPA ⭐ สำคัญสุด

DMS = Data Processor, ร้านค้า = Data Controller ต้องเตรียม: DPA (ภาคผนวก B) · Privacy/Cookie Policy (ภาคผนวก A) · RoPA · DSAR flow (ดู/แก้/ลบ/ส่งออก) · breach playbook (แจ้ง PDPC ใน 72 ชม.) · cross-tenant isolation · พิจารณา DPO (outsource ได้) งบ: ร่างชุด PDPA โดยทนาย ~20k–80k (หรือใช้ template + รีวิว ~10k–20k) · DPO ~5k–20k/เดือน (ถ้าต้องมี)

5.2 กรมสรรพากร — e-Tax Invoice

ถ้าออกใบกำกับแทนร้าน VAT → เข้าระบบ e-Tax (XML + ลายเซ็น) · ทางเลือก: ต่อ API provider (INET/Frank/Leceipt) เร็วสุด · กลยุทธ์: เริ่ม non-VAT SME ก่อน · งบ ~1k–5k/เดือน

5.3 ETDA — ธุรกรรมอิเล็กทรอนิกส์

เก็บ audit trail ครบ (PO/ใบส่งของ/POD มีผลกฎหมาย) · ส่วนใหญ่เป็น dev effort

5.4 ธปท. (BOT) — Payment / e-Money ⚠️ เงื่อนไข

ตอนนี้ไม่รับเงินเอง → ยังไม่เข้าข่าย · loyalty ต้อง closed-loop (ยืนยันจากโค้ดแล้ว) · ถ้ารับชำระ → ใช้ provider ที่มี license (2C2P/Omise) เท่านั้น

5.5 DBD — จดทะเบียนพาณิชย์อิเล็กทรอนิกส์ (storefront) · ฟรี

5.6 สคบ. (OCPB) — แสดงราคา/เงื่อนไข/คืนสินค้าชัดเจน (ภาระร้านเป็นหลัก)

5.7 AMLO / กสทช. — ปกติไม่เข้าข่าย (AMLO: เว้นเงินสดก้อนใหญ่ · NBTC: ผ่าน SMS provider)

6. หน่วยงานส่งเสริม

ทำอะไรก่อน?

6.1 DEPA (สำนักงานส่งเสริมเศรษฐกิจดิจิทัล)

A. ลงทะเบียนผู้ประกอบการ: เข้า depa.or.th → สมัคร + กรอกข้อมูลนิติบุคคล → อัปโหลดเอกสารบริษัท → ได้สถานะผู้ประกอบการดิจิทัล (ฟรี) B. Thailand Digital Catalog: เตรียม product profile (ชื่อ/หมวด distribution-SME/ฟีเจอร์/ราคา/screenshot/demo) + เอกสาร PDPA + case study → ยื่นผ่านระบบ catalog → ตรวจประเมิน (อาจต้องผ่าน dSURE บางหมวด) C. Transformation Voucher (มุม vendor): SME ลูกค้าสมัคร voucher → ซื้อ DMS ในแคตตาล็อก → depa co-fund บางส่วน → ปิดดีลง่ายขึ้นเพราะลูกค้าจ่ายน้อยลง D. Startup Fund (ขอทุนเอง): เลือกระยะ (มีลูกค้าจริง = S2) → เตรียม business plan/pitch deck/financial projection/traction → ยื่นตามรอบ → pitch → อนุมัติ

เอกสาร DEPA: หนังสือรับรอง + บอจ.5 · ภ.พ.20/บัตรกรรมการ · product profile + demo video · pitch deck + projection (สำหรับ fund) · เอกสาร PDPA · case study/traction

6.2 BOI (ทำเมื่อมีรายได้/เตรียม scale)

หมวด: ดิจิทัล/ซอฟต์แวร์/แพลตฟอร์ม · สิทธิ: ยกเว้น CIT หลายปี + SMART Visa + ผ่อนปรนต่างชาติ เงื่อนไข: ทุนเพียงพอ + แผนธุรกิจ/เทคโนโลยีชัด + บางหมวดต้องมีค่าใช้จ่าย dev/เงินเดือนทีมเทคถึงเกณฑ์ Step: ศึกษาหมวด (boi.go.th) + ปรึกษา OSOS → เตรียมคำขอ + business plan + ประมาณการลงทุน → ยื่น e-Investment → สัมภาษณ์ → บัตรส่งเสริม → รายงานประจำปี งบ: ค่าธรรมเนียมรัฐต่ำ · ที่ปรึกษา ~50k–150k (เลื่อนได้)

6.3 เสริม (ตามโอกาส)

NIA (ทุนนวัตกรรม) · สสว./OSMEP (สนับสนุน SME) · Software Park/NSTDA (บ่มเพาะ/เทคนิค) · ธนาคาร SME (สินเชื่อ+partner)

7. งบประมาณ (bootstrapped ปีแรก)

ต้องมีก่อนเซ็น distributor รายแรก

รายปี (บังคับ)

เลื่อนได้จนมีรายได้/ลูกค้าใหญ่

e-Tax/VAT เต็มรูป (dev + 12k–60k/ปี) · PostgreSQL RLS (dev) · DPO (60k–240k/ปี) · BOI · ISO 27001/dSURE (300k+)

กฎเหล็กงบจำกัด: อย่าจ่าย DPO/ISO/BOI consultant/e-Tax ในเฟสนี้ — ยังไม่จำเป็นสำหรับ distributor SME

8. Timeline & Step ถัดไป

Phase 0 (เดือน 1–2): จดบริษัท + เปิดบัญชีธนาคาร · จ้างสำนักงานบัญชี · publish Privacy Policy + DPA template · T&C loyalty closed-loop · cross-tenant integration test Phase 1 (เดือน 2–4): ลงทะเบียน DEPA → ยื่น Digital Catalog · DSAR flow · ทนายรีวิว PDPA (เมื่อมีลูกค้าจ่าย) Phase 2 (เดือน 4–8): e-Tax (เมื่อจับ VAT) · ยื่น BOI (ถ้า scale) · security hardening Phase 3 (8+): ISO/dSURE · Transformation Voucher เป็น sales motion

Step ลงมือสัปดาห์นี้:

1. แทน [...] ในภาคผนวก A & B ด้วยข้อมูลบริษัทจริง → publish Privacy Policy
2. เพิ่มข้อความ loyalty closed-loop ใน T&C
3. ลงทะเบียน DEPA + เริ่มเลือกสำนักงานบัญชี/จดบริษัท

8.5 แบ่งเฟสตามรายได้ (ละเอียดสุด) — ก่อน vs หลังมีรายได้

หลักคิดสำคัญ: ภาระกฎหมาย/ค่าใช้จ่ายเริ่มนับจาก "เหตุการณ์ (trigger)" ไม่ใช่ "เวลา" — มี 5 ชนวนหลัก:

1. เริ่มแตะข้อมูลส่วนบุคคลจริง (แม้ pilot ฟรี) → PDPA มีผลทันที
2. จดบริษัท → ภาระบัญชี + audit เริ่มนับทันที แม้รายได้ 0
3. จ้างพนักงานคนแรก → ประกันสังคม + WHT เงินเดือน
4. รายได้ > 1.8 ลบ./ปี → จด VAT ภายใน 30 วัน (บังคับ)
5. ลูกค้า VAT รายแรกขอใบกำกับ → ต้องมี e-Tax

💡 กลยุทธ์ประหยัดเงินที่สุด: ชะลอการจดบริษัทจนดีลแรกใกล้ปิด (อย่าจดเร็วเกินไป เพราะ audit + บัญชีเริ่มเผาเงินทันทีแม้ยังไม่มีรายได้) — แต่ PDPA pack ต้องพร้อมก่อนแตะข้อมูลจริง แม้จะเป็น pilot ฟรี

🟦 ก่อนมีรายได้ (Pre-Revenue)

เป้าหมาย: ขายได้อย่างถูกกฎหมาย ด้วยต้นทุนต่ำสุด · เลื่อนทุกอย่างที่ scale ตามลูกค้า/รายได้

8.5.1 ช่วง Build (ยังไม่มีลูกค้าจริงเลย) — ต้นทุนเกือบ 0

8.5.2 ช่วงก่อนเปิด Pilot / รับลูกค้าจริงรายแรก (แม้ฟรี) ⚠️

PDPA มีผลทันทีที่ระบบเก็บข้อมูลบุคคลจริง แม้ยังไม่เก็บเงิน — ต้องทำชุดนี้ ก่อน ปล่อย pilot

8.5.3 ช่วงปิดดีลแรก (มี commit/LOI จะจ่ายเงิน) — จุดจดบริษัท

⚠️ นาทีที่จดบริษัท = เริ่มภาระ audit ประจำปี (15k–40k) แม้รายได้ยังน้อย — นี่คือเหตุผลที่ไม่ควรจดเร็วเกินดีลแรก

งบรวม Pre-Revenue: ~12k–25k (one-time) + บัญชี ~2.5k–4k/เดือน (เริ่มเมื่อจดบริษัท)

🟩 หลังมีรายได้ (Post-Revenue)

เป้าหมาย: ทำตามภาระที่ scale ตามรายได้ + ยกระดับจาก template เป็นของจริง + ใช้กลไกส่งเสริมลด CAC

8.5.4 ทันทีที่มีรายได้สม่ำเสมอ (เดือนแรกๆ)

8.5.5 เมื่อรายได้โต / มี milestone ภาษี

8.5.6 เมื่อเตรียม Scale / ระดมทุน / จับลูกค้าใหญ่

สรุปตารางตัดสินใจ (one-look)

9. Master Checklist

บริษัท & บัญชี

• จดทะเบียนบริษัทจำกัด (DBD) + เปิดบัญชีธนาคารนิติบุคคล
• จ้างสำนักงานบัญชี (ผู้ทำบัญชีมีคุณวุฒิ) + ผู้สอบบัญชี (CPA)
• ตั้งระบบยื่น VAT/WHT/ประกันสังคม รายเดือน
• จดทะเบียนพาณิชย์อิเล็กทรอนิกส์ (DBD) + เครื่องหมายการค้า (option)

Compliance

• PDPA: Privacy Policy + DPA + RoPA + DSAR flow + breach playbook
• T&C: loyalty closed-loop (กัน ธปท.)
• Integration test cross-tenant (customer/order/report)
• Roadmap e-Tax (เลื่อนจนมีลูกค้า VAT)

ส่งเสริม

• ลงทะเบียน DEPA + ยื่น Digital Catalog
• depa Startup Fund (เมื่อมี traction)
• ประเมิน BOI (เมื่อ scale)

ภาคผนวก A — Privacy Policy

TEMPLATE ตั้งต้น · แทน [...] ด้วยข้อมูลจริง · ให้ทนายรีวิวก่อนใช้ · ฉบับ TH เป็นหลัก Placeholders: [COMPANY_NAME] [COMPANY_ADDRESS] [CONTACT_EMAIL] [DPO_EMAIL] [WEBSITE] [EFFECTIVE_DATE]

🇹🇭 นโยบายความเป็นส่วนตัว

มีผลบังคับใช้: [EFFECTIVE_DATE]

1. บทนำ — [COMPANY_NAME] ("เรา") ให้บริการระบบ DMS ("บริการ") เราคุ้มครองข้อมูลส่วนบุคคลตาม PDPA พ.ศ. 2562 · สำหรับข้อมูลลูกค้าปลายทางที่ร้านค้านำเข้า เราเป็น ผู้ประมวลผล (Processor) ร้านค้าเป็น ผู้ควบคุม (Controller) (ดู DPA)

2. ข้อมูลที่เก็บ — บัญชีผู้ใช้ (ชื่อ อีเมล เบอร์ รหัสผ่านเข้ารหัส บทบาท) · ข้อมูลธุรกิจร้าน (ชื่อ ที่อยู่ เลขภาษี) · ข้อมูลลูกค้าปลายทางที่ร้านนำเข้า (ชื่อ ที่อยู่จัดส่ง เบอร์ พิกัด GPS ประวัติสั่งซื้อ คะแนน) · usage log (IP อุปกรณ์ เวลา) · การเชื่อมต่อภายนอก (LINE login)

3. วัตถุประสงค์/ฐานกฎหมาย — ให้บริการ/จัดการคำสั่งซื้อ (สัญญา) · ยืนยันตัวตน/ความปลอดภัย (ประโยชน์โดยชอบ) · loyalty (สัญญา/ความยินยอม) · ภาษีบัญชี (หน้าที่ตามกฎหมาย) · ปรับปรุงบริการ (ประโยชน์โดยชอบ)

4. การเปิดเผย — เท่าที่จำเป็นแก่ผู้ให้บริการโครงสร้างพื้นฐาน (cloud/DB), ผู้ให้บริการที่เลือกใช้ (payment/SMS/LINE), หน่วยงานรัฐตามกฎหมาย · ไม่ขายข้อมูล

5. โอนต่างประเทศ — หากใช้ cloud ต่างประเทศ จะมีมาตรการคุ้มครองตาม PDPA

6. ระยะเวลาเก็บ — เท่าที่จำเป็น/ตามกฎหมาย (เอกสารภาษีบัญชี ≥5 ปี) แล้วลบหรือทำให้นิรนาม

7. สิทธิเจ้าของข้อมูล — เข้าถึง/สำเนา/แก้ไข/ลบ/ระงับ/คัดค้าน/โอนย้าย/ถอนความยินยอม · ข้อมูลที่ร้านควบคุมให้ติดต่อร้านโดยตรง เราจะสนับสนุน · ติดต่อ: [CONTACT_EMAIL]

8. ความปลอดภัย — เข้ารหัส in-transit/at-rest · RBAC · tenant isolation · audit log

9. แจ้งเหตุละเมิด — แจ้ง PDPC ภายใน 72 ชม. และผู้ได้รับผลกระทบตามกฎหมาย

10. คุกกี้ — ใช้คุกกี้จำเป็น + วิเคราะห์ (ดู Cookie Policy)

11. ติดต่อ — [COMPANY_NAME] · [COMPANY_ADDRESS] · [CONTACT_EMAIL] · DPO: [DPO_EMAIL]

12. การเปลี่ยนแปลง — ประกาศบน [WEBSITE]

🇬🇧 Privacy Policy

Effective: [EFFECTIVE_DATE]

1. Intro — [COMPANY_NAME] provides DMS; we protect personal data under Thailand PDPA B.E. 2562. For end-customer data uploaded by merchants we are the Processor, the merchant is the Controller (see DPA).
2. Data collected — account data (name, email, phone, hashed password, role); merchant business data (name, address, tax ID); end-customer data (name, delivery address, phone, GPS, order history, loyalty points); usage logs (IP, device, timestamps); third-party connections (LINE login).
3. Purposes/legal bases — service & order management (contract); authentication/security (legitimate interest); loyalty (contract/consent); tax & accounting (legal obligation); improvement/analytics (legitimate interest).
4. Disclosure — only as necessary to infrastructure providers (cloud/DB), chosen providers (payment/SMS/LINE), and authorities as legally required. We do not sell data.
5. International transfers — appropriate safeguards under PDPA where overseas cloud is used.
6. Retention — only as long as necessary / legally required (tax records ≥5 years), then deleted or anonymized.
7. Rights — access, copy, rectify, erase, restrict, object, portability, withdraw consent. For merchant-controlled data, contact the merchant; we assist. Contact: [CONTACT_EMAIL]
8. Security — encryption in transit/at rest, RBAC, tenant isolation, audit logging.
9. Breach — notify PDPC within 72h and affected individuals as required.
10. Cookies — necessary + analytics (see Cookie Policy).
11. Contact — [COMPANY_NAME] · [COMPANY_ADDRESS] · [CONTACT_EMAIL] · DPO: [DPO_EMAIL]
12. Changes — posted at [WEBSITE].

ภาคผนวก B — DPA

TEMPLATE เซ็นระหว่าง DMS (Processor) กับร้านค้า (Controller) · ให้ทนายรีวิวก่อนใช้ Placeholders: [COMPANY_NAME] (DMS) · [CONTROLLER_NAME] (ร้าน) · [EFFECTIVE_DATE]

🇹🇭 ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (DPA)

เป็นส่วนหนึ่งของสัญญาบริการ DMS ระหว่าง ผู้ควบคุม [CONTROLLER_NAME] ("ร้านค้า") และ ผู้ประมวลผล [COMPANY_NAME] ("ผู้ให้บริการ") · มีผล [EFFECTIVE_DATE] · ภายใต้ PDPA 2562

1. คำนิยาม — ตาม PDPA
2. ขอบเขต/บทบาท — ร้านค้ากำหนดวัตถุประสงค์/วิธีการ · ผู้ให้บริการประมวลผล ตามคำสั่งร้านเท่านั้น ผ่านระบบ DMS · ไม่ใช้เพื่อตนเองเว้นแต่ทำเป็นข้อมูลนิรนามเพื่อปรับปรุงบริการ
3. รายละเอียด (ภาคผนวก ก) — เจ้าของข้อมูล: ลูกค้าปลายทาง+พนักงานร้าน · ข้อมูล: ชื่อ ที่อยู่ เบอร์ GPS ประวัติสั่งซื้อ คะแนน บัญชีผู้ใช้ · กิจกรรม: จัดเก็บ/ใช้/แสดง/ส่ง/ลบในระบบ · ระยะเวลา: อายุสัญญา + เก็บตามกฎหมาย
4. หน้าที่ผู้ให้บริการ — (1) ประมวลผลตามคำสั่ง (2) รักษาความลับ จำกัดการเข้าถึง (3) มาตรการความปลอดภัย (ภาคผนวก ข) (4) ช่วยตอบสนองคำขอเจ้าของข้อมูล (5) ช่วยด้านความปลอดภัย/แจ้งเหตุ (6) แจ้งร้านโดยไม่ชักช้าเมื่อทราบเหตุละเมิด (เป้า 48 ชม.) (7) ลบ/ส่งคืนข้อมูลเมื่อสิ้นสุดสัญญา (8) ให้ข้อมูลพิสูจน์การปฏิบัติตาม
5. ผู้ประมวลผลช่วง — ร้านอนุญาตทั่วไปให้ใช้ (cloud/DB) · ผูกพันด้วยหน้าที่ไม่น้อยกว่านี้ · แจ้งล่วงหน้าเมื่อเปลี่ยนสำคัญ
6. โอนต่างประเทศ — มาตรการคุ้มครองตาม PDPA
7. ความปลอดภัย (ภาคผนวก ข) — เข้ารหัส TLS/at-rest · RBAC + ยืนยันตัวตน · tenant isolation · audit log + backup · ทบทวนสิทธิ์เป็นระยะ
8. แจ้งเหตุละเมิด — แจ้งร้านทันที พร้อมข้อมูลให้ร้านแจ้ง PDPC ใน 72 ชม.
9. ความรับผิด — ตามสัญญาหลัก แต่ละฝ่ายรับผิดตาม PDPA
10. สิ้นสุด — ลบ/ส่งคืนข้อมูลภายใน [30] วัน เว้นกฎหมายให้เก็บต่อ

ภาคผนวก ค — ผู้ประมวลผลช่วง (ปรับตามจริง): [Cloud provider] (hosting) · [Database/Storage] · [SMS/LINE provider] ลงนาม: ผู้ควบคุม ______ / ผู้ประมวลผล ______ วันที่ ______

🇬🇧 DPA (summary)

Part of the DMS service agreement between Controller [CONTROLLER_NAME] and Processor [COMPANY_NAME], effective [EFFECTIVE_DATE], under Thailand PDPA.

1. Definitions per PDPA. 2. Merchant determines purposes/means; Provider processes only on instructions via DMS; no own use except anonymized for improvement. 3. Processing details: data subjects (end-customers, staff), data types (name, address, phone, GPS, order history, points, account), activities, duration. 4. Provider obligations: process on instructions, confidentiality, security measures, assist with data-subject requests & breach duties, notify Merchant without undue delay (target 48h), delete/return at termination, demonstrate compliance. 5. Sub-processors: general authorization, bound by equivalent obligations, advance notice of material changes. 6. International transfers with safeguards. 7. Security: encryption in transit/at rest, RBAC, tenant isolation, audit logging, backups, access reviews. 8. Breach: notify immediately so Merchant can notify PDPC within 72h. 9. Liability per main agreement. 10. On termination, delete/return within [30] days unless legally retained.