นโยบายฉบับนี้จัดทำขึ้นตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เพื่อแจ้งให้ท่านทราบถึงวิธีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่าน
1. ผู้ควบคุมข้อมูลส่วนบุคคล
- ชื่อ: TCMatch
- อีเมล: support@tcmatch.com
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO): dpo@tcmatch.com
2. ข้อมูลส่วนบุคคลที่เก็บรวบรวม
2.1 ข้อมูลบัญชีผู้ใช้งาน
| ข้อมูล | วัตถุประสงค์ | ฐานทางกฎหมาย |
|---|---|---|
| ชื่อ-นามสกุล | แสดงในระบบ, ติดต่อ | สัญญา (มาตรา 24(3)) |
| อีเมล | เข้าสู่ระบบ, แจ้งเตือน | สัญญา (มาตรา 24(3)) |
| รหัสผ่าน (เข้ารหัส) | ยืนยันตัวตน | สัญญา (มาตรา 24(3)) |
| ชื่อธุรกิจ | ตั้งค่าระบบ | สัญญา (มาตรา 24(3)) |
| LINE Channel credentials | เชื่อมต่อ LINE OA | สัญญา (มาตรา 24(3)) |
2.2 ข้อมูลลูกค้าเป้าหมาย (ผู้ใช้งานเป็นผู้ควบคุมข้อมูล)
ข้อมูลลูกค้าเป้าหมายที่ผู้ใช้งานนำเข้าระบบ ได้แก่ ชื่อ อีเมล เบอร์โทรศัพท์ LINE User ID บริษัท ตำแหน่ง และข้อมูลอื่นที่ผู้ใช้งานกำหนด (Custom Fields) ผู้ให้บริการประมวลผลข้อมูลเหล่านี้ในฐานะผู้ประมวลผลข้อมูลตามคำสั่งของผู้ใช้งานเท่านั้น
2.3 ข้อมูลที่เก็บอัตโนมัติ
| ข้อมูล | วัตถุประสงค์ | ฐานทางกฎหมาย |
|---|---|---|
| IP Address, User Agent | ความปลอดภัย, บันทึกจราจร (พ.ร.บ.คอมพิวเตอร์ฯ ม.26) | หน้าที่ตามกฎหมาย (มาตรา 24(6)) |
| กิจกรรมการใช้งาน (Activity Logs) | ปรับปรุงบริการ, แก้ไขปัญหา | ประโยชน์โดยชอบธรรม (มาตรา 24(5)) |
| คุกกี้ | รักษาสถานะล็อกอิน, วิเคราะห์การใช้งาน | ความยินยอม / จำเป็นทางเทคนิค |
2.4 ข้อมูลการชำระเงิน
การชำระเงินดำเนินการผ่าน Omise ซึ่งผ่านมาตรฐาน PCI DSS ผู้ให้บริการ ไม่จัดเก็บ ข้อมูลบัตรเครดิตในระบบ โดยใช้ระบบ Tokenization เท่านั้น ข้อมูลการทำรายการ (จำนวนเงิน วันที่ สถานะ) จะถูกเก็บรักษาเพื่อการออกใบกำกับภาษีและใบเสร็จ
3. ข้อมูลอ่อนไหว (Sensitive Data)
แพลตฟอร์มไม่มีเจตนาเก็บรวบรวมข้อมูลอ่อนไหวตาม PDPA มาตรา 26 (เช่น ข้อมูลสุขภาพ ศาสนา เชื้อชาติ ข้อมูลชีวภาพ) หากผู้ใช้งานนำเข้าข้อมูลดังกล่าวผ่าน Custom Fields ผู้ใช้งานต้องรับผิดชอบในการได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลด้วยตนเอง
4. วัตถุประสงค์ในการประมวลผล
- การให้บริการตามสัญญา: จัดการบัญชี, ให้บริการ CRM, ระบบอัตโนมัติ, การชำระเงิน
- หน้าที่ตามกฎหมาย: ออกใบกำกับภาษี, เก็บข้อมูลจราจรคอมพิวเตอร์ 90 วัน, ปฏิบัติตามคำสั่งศาล
- ประโยชน์โดยชอบธรรม: ปรับปรุงบริการ, ป้องกันการทุจริต, วิเคราะห์การใช้งาน
- ความยินยอม: การตลาดและเสนอขายผลิตภัณฑ์ (สามารถถอนความยินยอมได้ตลอดเวลา)
5. การเปิดเผยข้อมูลแก่บุคคลที่สาม
| บุคคลที่สาม | ประเภทข้อมูล | วัตถุประสงค์ | ที่ตั้ง |
|---|---|---|---|
| Supabase | ข้อมูลทั้งหมดในระบบ | ฐานข้อมูล, Authentication | สิงคโปร์/สหรัฐอเมริกา |
| Omise | ข้อมูลการชำระเงิน | ประมวลผลการชำระเงิน | ประเทศไทย |
| LINE Messaging API | LINE User ID, ข้อความ | สื่อสารกับลูกค้า | ญี่ปุ่น |
| Resend | อีเมล, ชื่อผู้รับ | ส่งอีเมล | สหรัฐอเมริกา |
6. การโอนข้อมูลไปต่างประเทศ
ตาม PDPA มาตรา 28-29 ข้อมูลของท่านอาจถูกโอนไปยังเซิร์ฟเวอร์ในต่างประเทศ (สิงคโปร์ สหรัฐอเมริกา ญี่ปุ่น) ผู้ให้บริการดำเนินการโดย:
- ทำสัญญาประมวลผลข้อมูลกับผู้ให้บริการย่อยทุกราย
- ตรวจสอบว่าประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอ
- ใช้ Standard Contractual Clauses ในกรณีที่ไม่มีมาตรฐานที่เพียงพอ
7. ระยะเวลาการเก็บรักษา
| ประเภทข้อมูล | ระยะเวลา | เหตุผล |
|---|---|---|
| ข้อมูลบัญชีผู้ใช้งาน | ตลอดระยะเวลาใช้บริการ + 30 วัน | ให้บริการ + ระยะดาวน์โหลดข้อมูล |
| ข้อมูลลูกค้าเป้าหมาย | ตลอดระยะเวลาใช้บริการ + 30 วัน | ให้บริการ + ระยะดาวน์โหลดข้อมูล |
| ข้อมูลใบกำกับภาษี/ใบเสร็จ | 5 ปี | ประมวลรัษฎากร |
| ข้อมูลจราจรคอมพิวเตอร์ | 90 วัน | พ.ร.บ.คอมพิวเตอร์ฯ มาตรา 26 |
| ข้อมูลกิจกรรม (Activity Logs) | 2 ปี | วิเคราะห์และปรับปรุงบริการ |
| บันทึกความยินยอม (Consent Logs) | 10 ปี | หลักฐานทางกฎหมาย |
เมื่อครบกำหนด ข้อมูลจะถูกลบหรือทำให้ไม่สามารถระบุตัวตนได้ (Anonymize)
8. สิทธิของเจ้าของข้อมูล
ภายใต้ PDPA ท่านมีสิทธิดังต่อไปนี้:
| สิทธิ | มาตรา PDPA | รายละเอียด |
|---|---|---|
| สิทธิในการเข้าถึง | 30 | ขอสำเนาข้อมูลส่วนบุคคลของท่าน |
| สิทธิในการโอนย้ายข้อมูล | 31 | รับข้อมูลในรูปแบบที่อ่านได้ด้วยเครื่อง หรือโอนไปยังผู้ควบคุมข้อมูลรายอื่น |
| สิทธิในการคัดค้าน | 32 | คัดค้านการประมวลผลที่อาศัยฐานประโยชน์โดยชอบธรรม หรือเพื่อการตลาด |
| สิทธิในการลบข้อมูล | 33 | ขอลบข้อมูลเมื่อหมดความจำเป็น (ยกเว้นที่กฎหมายกำหนดให้เก็บรักษา) |
| สิทธิในการจำกัดการประมวลผล | 34 | ระงับการประมวลผลชั่วคราวระหว่างตรวจสอบข้อพิพาท |
| สิทธิในการแก้ไขข้อมูล | 35 | แก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์ |
| สิทธิในการถอนความยินยอม | 19(5) | ถอนความยินยอมได้ตลอดเวลา โดยไม่ยากกว่าการให้ความยินยอม |
| สิทธิในการร้องเรียน | 73 | ร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล |
วิธีการใช้สิทธิ
- ผ่านหน้า โปรไฟล์ > การยินยอมและความเป็นส่วนตัว ในระบบ (สำหรับการถอนความยินยอมการตลาด)
- ส่งอีเมลไปที่ dpo@tcmatch.com สำหรับคำขออื่น
- ดำเนินการตอบกลับภายใน 30 วัน นับจากวันที่ได้รับคำขอ
- ไม่เสียค่าใช้จ่าย ยกเว้นกรณีคำขอซ้ำซ้อนหรือมากเกินสมควร
9. ระบบ AI และการตัดสินใจอัตโนมัติ
ตาม PDPA มาตรา 21 แพลตฟอร์มใช้ระบบ AI ในการ:
- ตอบกลับข้อความอัตโนมัติ: ใช้ AI วิเคราะห์ข้อความและตอบกลับลูกค้า
- Lead Scoring: คำนวณคะแนนลูกค้าเป้าหมายจากพฤติกรรม (เปิดอีเมล, คลิกลิงก์, เข้าชมหน้าเว็บ)
- การเปลี่ยนสถานะอัตโนมัติ: เปลี่ยนสถานะ Cold → Warm → Hot ตามคะแนน
ท่านมีสิทธิ์ร้องขอให้มีบุคคลทำการตรวจสอบการตัดสินใจที่เกิดจากระบบ AI ได้ โดยติดต่อที่ support@tcmatch.com
10. คุกกี้
| ประเภท | วัตถุประสงค์ | ต้องได้รับความยินยอม |
|---|---|---|
| จำเป็น (Strictly Necessary) | รักษาสถานะล็อกอิน, ความปลอดภัย | ไม่ (ยกเว้นตามกฎหมาย) |
| วิเคราะห์ (Analytics) | วิเคราะห์การใช้งาน, ปรับปรุงบริการ | ใช่ |
| การตลาด (Marketing) | ติดตามแคมเปญ, โฆษณาตรงกลุ่ม | ใช่ |
11. มาตรการรักษาความปลอดภัย
- เข้ารหัสข้อมูล AES-256 ขณะจัดเก็บ (Encryption at Rest)
- เข้ารหัส TLS 1.3 ขณะส่งผ่าน (Encryption in Transit)
- ระบบควบคุมการเข้าถึงตามบทบาท (RBAC) และ Row Level Security (RLS)
- บันทึกตรวจสอบ (Audit Log) สำหรับการเข้าถึงและแก้ไขข้อมูล
- จำกัดอัตราการเรียก API (Rate Limiting)
- ข้อมูลการชำระเงินผ่าน Omise Tokenization (PCI DSS Compliant)
12. การแจ้งเหตุละเมิดข้อมูล
ตาม PDPA มาตรา 37(4) หากเกิดเหตุละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงสูง:
- แจ้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง
- แจ้งเจ้าของข้อมูลที่ได้รับผลกระทบ โดยไม่ชักช้า
- ระบุลักษณะการละเมิด ผลกระทบ และมาตรการแก้ไข
13. ผลของการปฏิเสธให้ข้อมูล
หากท่านไม่ให้ข้อมูลที่จำเป็นสำหรับการให้บริการ (ชื่อ อีเมล รหัสผ่าน) ผู้ให้บริการอาจไม่สามารถให้บริการแก่ท่านได้ สำหรับข้อมูลที่ไม่บังคับ (ความยินยอมทางการตลาด) การปฏิเสธจะไม่กระทบต่อการใช้บริการ
14. การแก้ไขนโยบาย
ผู้ให้บริการอาจแก้ไขนโยบายฉบับนี้เป็นครั้งคราว โดยจะแจ้งให้ทราบผ่านอีเมลและการแจ้งเตือนในระบบ การเปลี่ยนแปลงที่สำคัญจะแจ้งล่วงหน้าไม่น้อยกว่า 30 วัน
15. ช่องทางติดต่อ
- อีเมลทั่วไป: support@tcmatch.com
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO): dpo@tcmatch.com
- สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล: www.pdpc.or.th