นโยบายความเป็นส่วนตัว

นโยบายนี้ครอบคลุมการให้บริการของบริษัททุกช่องทาง ได้แก่ เว็บไซต์ แอปพลิเคชัน โซเชียลมีเดีย และช่องทางอื่น ๆ แก่ลูกค้าและผู้ที่ติดต่อกับบริษัท แต่ไม่ครอบคลุมพนักงานและผู้สมัครงานของบริษัท บริการของบริษัทมุ่งสำหรับนิติบุคคลหรือผู้ที่บรรลุนิติภาวะ (อายุ 20 ปีขึ้นไป)

การที่ท่านใช้บริการของบริษัทผ่านช่องทางต่าง ๆ หรือให้ข้อมูลแก่บริษัท ถือว่าท่านยอมรับวิธีปฏิบัติของบริษัทตามที่ระบุในนโยบายนี้ บริษัทอาจปรับปรุงนโยบายนี้เป็นครั้งคราว ขอให้ท่านตรวจสอบเป็นระยะ

ข้อ 1 แหล่งที่มาของข้อมูล

บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลของท่านจากแหล่งต่อไปนี้

• จากท่านโดยตรง เช่น ข้อมูลที่ท่านกรอกขณะลงทะเบียน สมัครใช้บริการ ติดต่อสอบถาม หรือเข้าร่วมกิจกรรมต่าง ๆ ของบริษัท
• จากการใช้งานเว็บไซต์และแอปพลิเคชัน ผ่านเทคโนโลยีการติดตาม (tracking technology) เช่น คุกกี้ พิกเซล และ log file
• จากบุคคลที่สาม เช่น พันธมิตรทางธุรกิจ ผู้ให้บริการข้อมูล โซเชียลมีเดีย ผู้ให้บริการโฆษณา ตัวแทน นายหน้า และคนกลางอื่น ๆ

ข้อ 2 การใช้คุกกี้และเทคโนโลยีการติดตาม

บริษัทใช้คุกกี้ (Cookies) และเทคโนโลยีการติดตาม เช่น Google Analytics และ Meta Pixel เพื่อรักษาความปลอดภัย เก็บข้อมูลทางสถิติ พัฒนาประสบการณ์การใช้งาน และเลือกการโฆษณาที่เกี่ยวข้องกับท่าน ทั้งนี้คุกกี้ที่ไม่จำเป็นต่อการทำงานของเว็บไซต์ บริษัทจะใช้ก็ต่อเมื่อท่านให้ความยินยอมผ่าน cookie banner ของเว็บไซต์

ข้อ 3 ประเภทข้อมูลที่บริษัทเก็บรวบรวม

• ข้อมูลส่วนตัว เช่น ชื่อ–นามสกุล อายุ เพศ ที่อยู่ไปรษณีย์ สถานที่ทำงาน หมายเลขโทรศัพท์ อีเมล ID LINE และข้อมูลยืนยันตัวตนอื่นที่จำเป็นต่อการให้บริการ
• ข้อมูลอุปกรณ์และการใช้งาน เช่น IP address, Cookie ID, ข้อมูลเบราว์เซอร์ ประวัติการเยี่ยมชม การค้นหา และข้อมูลที่เก็บจากคุกกี้และพิกเซล
• ข้อมูลอื่น ๆ ที่อาจระบุตัวบุคคล เช่น ข้อมูลเสียง ภาพ และตำแหน่งที่ตั้งทางภูมิศาสตร์ (เฉพาะกรณีที่ท่านเปิดใช้งานหรือยินยอม)

ข้อมูลละเอียดอ่อน: บริษัทไม่เก็บข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนตามมาตรา 26 แห่ง PDPA (เช่น เชื้อชาติ ศาสนา ข้อมูลสุขภาพ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ) เว้นแต่ได้รับความยินยอมโดยชัดแจ้งจากท่าน

ข้อ 4 ระยะเวลาเก็บรักษาข้อมูล

บริษัทเก็บข้อมูลส่วนบุคคลของท่านเท่าที่จำเป็นตามวัตถุประสงค์ในนโยบายนี้ โดยมีระยะเวลาโดยทั่วไปดังนี้

• ข้อมูลธุรกรรมการซื้อขายและภาษี 5 ปี นับจากวันที่ปิดบัญชี ตามประมวลรัษฎากรและประมวลกฎหมายแพ่งและพาณิชย์
• ข้อมูลการใช้งานเว็บไซต์และข้อมูลคุกกี้ 1–2 ปี หรือจนกว่าท่านจะลบคุกกี้ในเบราว์เซอร์
• ข้อมูลเพื่อการตลาดและประชาสัมพันธ์ จนกว่าท่านจะถอนความยินยอม
• ข้อมูลทั่วไปอื่น ๆ เก็บนานสุดไม่เกิน 10 ปี เว้นแต่กฎหมายกำหนดหรืออนุญาตให้เก็บนานกว่า เช่น เพื่อการดำเนินคดีตามอายุความ

ข้อ 5 วัตถุประสงค์และฐานทางกฎหมาย

บริษัทประมวลผลข้อมูลส่วนบุคคลของท่านโดยอาศัยฐานทางกฎหมายตามมาตรา 24 แห่ง PDPA ดังนี้

• ฐานสัญญา (มาตรา 24(3)) — เพื่อดำเนินการตามคำสั่งซื้อ จัดส่งสินค้า ออกใบเสร็จ/ใบกำกับภาษี และให้บริการหลังการขาย
• ฐานหน้าที่ตามกฎหมาย (มาตรา 24(6)) — เพื่อปฏิบัติตามกฎหมายภาษีอากร กฎหมายป้องกันและปราบปรามการฟอกเงิน กฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และคำสั่งของหน่วยงานราชการที่มีอำนาจ
• ฐานประโยชน์โดยชอบด้วยกฎหมาย (มาตรา 24(5)) — เพื่อรักษาความสัมพันธ์กับลูกค้า จัดการข้อร้องเรียน บริหารความเสี่ยง ป้องกันการทุจริต และวิเคราะห์การใช้งานเว็บไซต์เพื่อปรับปรุงบริการ
• ฐานความยินยอม (มาตรา 24(1)) — เพื่อส่งข้อเสนอการตลาด ข่าวสารและกิจกรรมส่งเสริมการขาย รวมถึงการใช้คุกกี้ที่ไม่จำเป็น โดยท่านสามารถ opt-in และถอนความยินยอมได้ทุกเวลา

หากท่านปฏิเสธไม่ให้ข้อมูลตามฐานสัญญาหรือฐานหน้าที่ตามกฎหมาย บริษัทอาจไม่สามารถจัดหาผลิตภัณฑ์หรือให้บริการแก่ท่านได้ ส่วนการปฏิเสธให้ข้อมูลในฐานความยินยอม จะไม่กระทบต่อการให้บริการพื้นฐาน

ข้อ 6 การเปิดเผยข้อมูลแก่บุคคลที่สาม

บริษัทจะไม่เปิดเผยข้อมูลส่วนบุคคลของท่านโดยไม่ได้รับความยินยอม ยกเว้นกรณีต่อไปนี้

• พันธมิตรทางธุรกิจที่จำเป็นต่อการให้บริการแก่ท่าน เช่น บริษัทขนส่ง ผู้ให้บริการชำระเงิน
• ผู้ให้บริการประมวลผลข้อมูล (Data Processor) เช่น ผู้ให้บริการ Cloud, อีเมล, การวิเคราะห์ข้อมูล (Google Analytics, Meta) ทั้งในและต่างประเทศ
• หน่วยงานราชการหรือเจ้าหน้าที่รัฐที่ใช้อำนาจตามกฎหมาย
• กรณีปรับโครงสร้างองค์กร ควบรวมกิจการ หรือขายกิจการ ข้อมูลของท่านอาจถูกถ่ายโอนไปยังบริษัทที่เกี่ยวข้อง

การถ่ายโอนข้อมูลข้ามพรมแดน (มาตรา 28-29)

ข้อมูลส่วนบุคคลของท่านอาจถูกจัดเก็บบน Cloud ที่มีเซิร์ฟเวอร์ตั้งอยู่นอกประเทศไทย เช่น สิงคโปร์ สหรัฐอเมริกา หรือประเทศอื่นในสหภาพยุโรป โดยบริษัทเลือกผู้ให้บริการที่มี มาตรฐานการคุ้มครองข้อมูลที่เทียบเท่ากับ PDPA หรือใช้ Standard Contractual Clauses (SCCs) หรือมาตรการที่ PDPC ยอมรับ เพื่อรับประกันการคุ้มครองที่เพียงพอ

ข้อ 7 มาตรการรักษาความปลอดภัยข้อมูล

บริษัทได้กำหนดมาตรการรักษาความปลอดภัยตามมาตรา 37(1) แห่ง PDPA ทั้งด้านเทคนิค ด้านบริหารจัดการ และด้านกายภาพ ดังนี้

• มาตรการทางเทคนิค — การเข้ารหัสข้อมูลขณะส่ง (HTTPS/TLS) และขณะจัดเก็บ (encryption at rest), การควบคุมการเข้าถึง (access control) ตามหลัก least privilege, การสำรองข้อมูล (backup), การตรวจสอบความผิดปกติ (log monitoring), และการอัปเดตระบบความปลอดภัยอย่างสม่ำเสมอ
• มาตรการทางบริหารจัดการ — การจัดทำนโยบายและคู่มือปฏิบัติภายใน, การฝึกอบรมพนักงานเรื่องความปลอดภัยข้อมูล, การลงนามข้อตกลงรักษาความลับ (NDA) กับพนักงานและคู่ค้า, และการตรวจสอบภายในเป็นประจำ
• มาตรการทางกายภาพ — การควบคุมการเข้าถึงพื้นที่จัดเก็บเอกสารและอุปกรณ์ และการทำลายเอกสารและสื่อบันทึกข้อมูลอย่างปลอดภัย

ข้อ 8 สิทธิของเจ้าของข้อมูล

ท่านมีสิทธิตาม PDPA ดังนี้

• สิทธิได้รับทราบ เกี่ยวกับการประมวลผลข้อมูล (มาตรา 23)
• สิทธิเข้าถึง และขอรับสำเนาข้อมูลส่วนบุคคล (มาตรา 30)
• สิทธิขอแก้ไข ข้อมูลให้ถูกต้องและเป็นปัจจุบัน (มาตรา 35-36)
• สิทธิขอลบหรือทำลาย ข้อมูลส่วนบุคคล (มาตรา 33)
• สิทธิคัดค้านหรือระงับ การประมวลผลข้อมูล (มาตรา 32, 34)
• สิทธิขอโอนย้ายข้อมูล ไปยังผู้ควบคุมข้อมูลรายอื่น (มาตรา 31)
• สิทธิถอนความยินยอม ที่เคยให้ไว้ได้ทุกเวลา (มาตรา 19)
• สิทธิร้องเรียน ต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) หากบริษัทไม่ปฏิบัติตามกฎหมาย

ท่านสามารถใช้สิทธิข้างต้นโดยติดต่อบริษัทตามช่องทางในข้อ 10 บริษัทจะดำเนินการตามคำขอภายในระยะเวลาที่กฎหมายกำหนด (โดยทั่วไป 30 วัน) เว้นแต่กรณีที่กฎหมายอนุญาตหรือบังคับให้เก็บข้อมูลต่อไป เช่น เป็นพยานหลักฐานในการดำเนินคดี หรือมีข้อมูลสำรองในระบบสำรองข้อมูล (Backup System)

ข้อ 9 การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล

หากเกิดเหตุละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงสูงต่อสิทธิและเสรีภาพของท่าน บริษัทจะแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ภายใน 72 ชั่วโมง นับแต่ทราบเหตุ ตามมาตรา 37(4) แห่ง PDPA และจะแจ้งให้ท่านทราบโดยไม่ชักช้าหากเหตุดังกล่าวมีความเสี่ยงสูงต่อท่านโดยตรง

ข้อ 10 ติดต่อบริษัทและเจ้าหน้าที่ผู้รับผิดชอบข้อมูลส่วนบุคคล

บริษัทได้แต่งตั้งเจ้าหน้าที่ผู้รับผิดชอบข้อมูลส่วนบุคคล เพื่อให้คำแนะนำเกี่ยวกับการจัดการข้อมูลส่วนบุคคลของท่าน ท่านสามารถติดต่อบริษัทเพื่อใช้สิทธิหรือสอบถามรายละเอียดเพิ่มเติมได้ตามช่องทางต่อไปนี้