นโยบายคุ้มครองข้อมูลส่วนบุคคล

เวอร์ชัน:
1
วันที่มีผล:
6 กรกฎาคม 2569

นโยบายคุ้มครองข้อมูลส่วนบุคคลนี้ (ต่อไปนี้เรียกว่า "นโยบาย") อธิบายหลักการพื้นฐานในการประมวลผลข้อมูลส่วนบุคคลของ GearBid (ต่อไปนี้เรียกว่า "บริการ") ซึ่งดำเนินการโดย Advanced Civil Construction & Engineering Co., Ltd. (ต่อไปนี้เรียกว่า "บริษัท") และแนวทางในการใช้สิทธิของผู้ใช้งาน นโยบายนี้ยึดพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act B.E. 2562 / 2019 ต่อไปนี้เรียกว่า "PDPA") เป็นเกณฑ์ทางกฎหมายหลัก บริษัทได้กำหนดหลักเกณฑ์และขั้นตอนดังต่อไปนี้เพื่อประมวลผลข้อมูลส่วนบุคคลของผู้ใช้งานอย่างชอบด้วยกฎหมายและโปร่งใส

นโยบายนี้ใช้บังคับร่วมกันกับทุกจุดสัมผัสที่บริษัทให้บริการ รวมถึงเว็บบนมือถือ เว็บ PC การแจ้งเตือนในแอป ช่องทางเชื่อมต่อ LINE และช่องทางการสนับสนุนลูกค้า ผู้ใช้งานสามารถตรวจสอบนโยบายนี้และเลือกให้ความยินยอมตามขอบเขตที่จำเป็น ณ เวลาสมัครสมาชิกหรือเริ่มใช้บริการครั้งแรก คำที่มิได้มีนิยามในนโยบายนี้ให้เป็นไปตามคำนิยามในข้อกำหนดการใช้งาน กฎหมายแพ่งของประเทศไทย และ PDPA

นโยบายนี้ใช้บังคับอย่างต่อเนื่องตั้งแต่เวลาที่ผู้ใช้งานเริ่มใช้บริการเป็นครั้งแรกจนถึงเวลาที่ระยะเวลาจัดเก็บตามกฎหมายสิ้นสุดลงหลังจากการยกเลิกสมาชิก และจะปรับปรุงหลังแจ้งล่วงหน้าตามข้อ 13 เมื่อบริษัทมีการเปลี่ยนแปลงนโยบายหรือกฎหมายมีการแก้ไข หากผู้ใช้งานเข้าใจเนื้อหาของนโยบายนี้ได้ยาก สามารถสอบถาม DPO เพื่อขอคำอธิบาย และบริษัทมีหน้าที่ให้คำอธิบายด้วยภาษาที่เข้าใจง่าย

บริษัทดำเนินนโยบายนี้ให้สอดคล้องกับ PDPA และหลักสากลในการคุ้มครองข้อมูลส่วนบุคคล ได้แก่ ความโปร่งใส (Transparency) การจำกัดวัตถุประสงค์ (Purpose Limitation) การเก็บเท่าที่จำเป็น (Data Minimisation) ความถูกต้องแม่นยำ (Accuracy) การจำกัดระยะเวลาจัดเก็บ (Storage Limitation) ความถูกต้องและการรักษาความลับ (Integrity and Confidentiality) และความรับผิดชอบ (Accountability) หลักการเหล่านี้ไม่ใช่เพียงคำประกาศ แต่สะท้อนอยู่ในทุกขั้นตอนของการออกแบบ การดำเนินงาน การทำสัญญาจ้างช่วง และการฝึกอบรมพนักงานของบริการ

1. ภาพรวมและข้อมูลติดต่อ DPO

GearBid เป็นแพลตฟอร์มตัวกลางแบบประมูลย้อนกลับ (Reverse Auction) ที่เชื่อมโยงอุปสงค์และอุปทานของการเช่าเครื่องจักรก่อสร้าง สำหรับตลาดประเทศไทย (กรุงเทพฯ ชลบุรี เป็นต้น) บริษัทเก็บรวบรวม ใช้ จัดเก็บ เปิดเผย และทำลายข้อมูลส่วนบุคคลของผู้ใช้งานในระหว่างให้บริการ และรับผิดชอบต่อกิจกรรมการประมวลผล (Processing) ทั้งหมดเหล่านี้ บริษัทมีสถานะเป็นผู้ควบคุมข้อมูล (Data Controller) ตามที่ PDPA กำหนด และในการดำเนินงานบางส่วน (การประมวลผลการชำระเงิน การโฮสต์บนคลาวด์ การส่งการแจ้งเตือน เป็นต้น) มีผู้ให้บริการภายนอกเข้ามีส่วนร่วมในฐานะผู้ประมวลผลข้อมูล (Data Processor)

บริษัทได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer ต่อไปนี้เรียกว่า "DPO") ตามมาตรา 41 ของ PDPA เพื่อดำเนินงาน DPO ดูแลงานโดยรวมในด้านการตรวจสอบความชอบด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคล การดำเนินการตามคำร้องขอใช้สิทธิของผู้ใช้งาน การตอบสนองต่อเหตุการละเมิดข้อมูลส่วนบุคคล การฝึกอบรมพนักงานภายใน และการร่วมมือกับหน่วยงานกำกับดูแล

  • เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO): Eun Sung Jeong (James)
  • อีเมลสำหรับสอบถาม: contact@gearbid.io
  • โทรศัพท์สำหรับสอบถาม: +66-(0)81-378-0115
  • ที่อยู่บริษัท: No. 68 Bangna-Trad 23, Bangna Nuea, Bangna, Bangkok 10260

ผู้ใช้งานสามารถสอบถามทางข้อมูลติดต่อ DPO ข้างต้นได้ตลอดเวลาเกี่ยวกับเนื้อหาของนโยบายนี้ สถานะการประมวลผลข้อมูลส่วนบุคคล และขั้นตอนการใช้สิทธิ และบริษัทจะตอบกลับด้วยความสุจริตภายในระยะเวลาที่กฎหมายกำหนด กฎหมายที่ใช้บังคับของบริการนี้คือ Kingdom of Thailand และข้อพิพาทเกี่ยวกับข้อมูลส่วนบุคคลให้อยู่ในเขตอำนาจของ Courts of Bangkok, Thailand

2. รายการข้อมูลส่วนบุคคลที่เก็บรวบรวม

บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามสัดส่วนของวัตถุประสงค์การให้บริการเท่านั้น รายการที่เก็บรวบรวมอาจแตกต่างกันตามประเภทผู้ใช้งาน (ฝ่ายอุปสงค์ ฝ่ายอุปทาน ผู้ดูแล) และฟังก์ชันที่ใช้งาน รายละเอียดรายการที่เก็บรวบรวมแสดงในตารางด้านล่าง

หมวดหมู่รายการตัวอย่าง / เวลาที่เก็บ
ข้อมูลการสมัครชื่อ เบอร์โทรศัพท์ ประวัติการยืนยันเบอร์โทรตอนสมัครสมาชิกด้วยการยืนยัน OTP
โปรไฟล์ชื่อเล่น รูปโปรไฟล์ ข้อมูลบริษัท เลขจดทะเบียนธุรกิจ ที่อยู่สำนักงานตอนกรอกโปรไฟล์ทันทีหลังสมัคร
ข้อมูลเครื่องจักร (Supplier)ประเภท/รุ่น/ปีการผลิตเครื่องจักร จำนวนที่มี รูปเครื่องจักร สภาพการบำรุงรักษาตอนฝ่ายอุปทานลงทะเบียนเครื่องจักร
ข้อมูล RFQ (Client)คุณลักษณะเครื่องจักรที่ขอ จำนวน ระยะเวลาใช้งาน งบประมาณตอนฝ่ายอุปสงค์ลงทะเบียน RFQ
ข้อมูลประมูล/สัญญายอดเงินประมูล ประวัติการเลือก ภาพลายเซ็นสัญญาอิเล็กทรอนิกส์ PDF สัญญาตอนประมูล/ทำสัญญา
ข้อมูลการชำระเงินประเภทวิธีชำระเงิน เลขอนุมัติการชำระ วันเวลาชำระ ข้อมูลใบกำกับภาษีตอนชำระเงินมัดจำและชำระบัญชี
การเชื่อมต่อ LINELINE User ID, LINE Access Token (สำหรับส่งการแจ้งเตือน)ตอนเชื่อมต่อบัญชี LINE
อุปกรณ์/บันทึกIP Address, User Agent, เวลาเข้าสู่ระบบ, Session ID, รหัสคุกกี้เบราว์เซอร์เก็บอัตโนมัติระหว่างใช้บริการ
ข้อมูลที่ตั้งพิกัดไซต์ที่ลงทะเบียน RFQ (ละติจูด/ลองจิจูด) ที่อยู่ไซต์ที่นำเครื่องจักรเข้าตอนลงทะเบียน RFQ และทำสัญญา
บันทึกการสนับสนุนลูกค้าเนื้อหาการสอบถาม อีเมล ไฟล์แนบ ประวัติการโทรตอนสอบถาม 1:1 และทางโทรศัพท์
ข้อมูลชื่อเสียงและความน่าเชื่อถือเนื้อหารีวิวและคะแนนดาว คะแนนความน่าเชื่อถือ ประวัติการปรับตอนรีวิวระหว่างกันหลังสิ้นสุดการซื้อขาย

โดยหลักการ บริษัทไม่เก็บรวบรวมข้อมูลที่จัดเป็นข้อมูลอ่อนไหว (sensitive personal data) ได้แก่ ข้อมูลเกี่ยวกับเชื้อชาติ ศาสนา ความคิดเห็นทางการเมือง รสนิยมทางเพศ ข้อมูลสุขภาพ ข้อมูลชีวภาพ เป็นต้น ทั้งนี้ กรณีที่กฎหมายกำหนด (เช่น เอกสารยืนยันตัวตน) จะขอความยินยอมอย่างชัดแจ้งแยกต่างหากและประมวลผลภายในขอบเขตที่จำกัดเท่านั้น

รายการบางรายการในตารางข้างต้นอาจไม่ถูกเก็บรวบรวม ขึ้นอยู่กับรูปแบบการใช้บริการของผู้ใช้งาน ตัวอย่างเช่น ผู้ใช้งานที่ใช้งานในฐานะฝ่ายอุปทานเพียงอย่างเดียว จะไม่ถูกเก็บรวบรวมรายการที่เกี่ยวข้องกับ RFQ และผู้ใช้งานที่ใช้งานในฐานะฝ่ายอุปสงค์เพียงอย่างเดียว จะไม่ถูกเก็บรวบรวมรายการที่เกี่ยวกับการครอบครองเครื่องจักร บริษัทแจ้งรายการที่เก็บรวบรวมจากหน้านั้นๆ อย่างเฉพาะเจาะจงในแบบฟอร์มและหน้าจอความยินยอมของแต่ละหน้า

บริษัททบทวนรายการที่เก็บรวบรวมเป็นระยะและลบหรือทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ สำหรับรายการที่ไม่จำเป็นอีกต่อไป โดยเฉพาะ ข้อมูลที่ไม่เหมาะสมต่อการจัดเก็บระยะยาว เช่น บันทึกเก่าที่ไม่ได้ใช้ในการคำนวณคะแนนความน่าเชื่อถือ จะถูกทำลายหรือแปรสภาพให้ไม่สามารถกู้คืนได้ทันทีที่ระยะเวลาจัดเก็บล่วงพ้น

3. วิธีการเก็บรวบรวม

บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลด้วยวิธีการต่อไปนี้ วิธีการเก็บรวบรวมแต่ละวิธีดำเนินการในรูปแบบที่ผู้ใช้งานสามารถรับทราบได้ ตามหน้าที่แจ้ง (มาตรา 23 ของ PDPA)

  1. การกรอกโดยตรงของผู้ใช้งาน: ข้อมูลที่ผู้ใช้งานกรอกหรืออัปโหลดเองในระหว่างใช้บริการ เช่น การสมัครสมาชิก การกรอกโปรไฟล์ การลงทะเบียนเครื่องจักร การลงทะเบียน RFQ การส่งข้อเสนอประมูล การลงลายเซ็นสัญญาอิเล็กทรอนิกส์ และการสอบถามการสนับสนุนลูกค้า แต่ละช่องกรอกจะแจ้งชัดเจนว่าบังคับ/เลือกได้ และผู้ใช้งานสามารถปฏิเสธการกรอกรายการที่เลือกได้
  2. การเก็บรวบรวมอัตโนมัติระหว่างใช้บริการ: ในระหว่างใช้บริการ ข้อมูลอุปกรณ์/บันทึก รหัสคุกกี้ รูปแบบการใช้งาน (การนำทางระหว่างหน้า ความถี่การใช้ฟังก์ชัน เป็นต้น) ถูกเก็บรวบรวมโดยอัตโนมัติ โปรดดูนโยบายคุกกี้ สำหรับวัตถุประสงค์เฉพาะของการใช้คุกกี้และวิธีควบคุม
  3. การเชื่อมต่อกับแพลตฟอร์ม LINE: หากผู้ใช้งานเลือกเชื่อมต่อบัญชี LINE จะมีการส่ง LINE User ID และ Access Token สำหรับส่งการแจ้งเตือนผ่าน API ทางการของ LINE บริษัทไม่เก็บรวบรวมข้อมูลนอกเหนือจากวัตถุประสงค์ในการส่งการแจ้งเตือน เช่น รายชื่อเพื่อน ไทม์ไลน์ของแพลตฟอร์ม LINE
  4. การเก็บจากพันธมิตรและผู้ให้บริการชำระเงิน: ข้อมูลที่จำเป็นต่อการประมวลผลการชำระเงิน เช่น ผลการอนุมัติการชำระเงิน เหตุผลการชำระเงินล้มเหลว ถูกส่งมายังบริษัทจากผู้ให้บริการชำระเงิน (PG) ถือเป็นการไหลของข้อมูลที่จำเป็นต่อการปฏิบัติตามสัญญา
  5. ช่องทางการดำเนินงานออฟไลน์: ในระยะ MVP เริ่มต้น อาจใช้วิธี Wizard of Oz ที่ทีมปฏิบัติการของบริษัทกรอกข้อมูลแทนฝ่ายอุปสงค์หรือฝ่ายอุปทาน โดยในกรณีนี้ก็จะกรอกเฉพาะข้อมูลที่เก็บรวบรวมภายใต้ความยินยอมของผู้ใช้งานเท่านั้น
  6. ช่องทางเอกสาร/อีเมล: เอกสารทางการระหว่างบริษัทกับผู้ใช้งาน (สัญญา หนังสือมอบอำนาจ ใบจดทะเบียนธุรกิจ เป็นต้น) อาจถูกเก็บรวบรวมผ่านเอกสารกระดาษหรืออีเมล โดยต้นฉบับจะสแกนและจัดเก็บอิเล็กทรอนิกส์ หรือกรณีที่กฎหมายกำหนดให้จัดเก็บต้นฉบับ จะจัดเก็บอย่างปลอดภัยด้วยวิธีการแยกต่างหาก

เมื่อเก็บรวบรวม บริษัทจะแจ้งให้ผู้ใช้งานทราบอย่างชัดเจนถึงผู้เก็บรวบรวม รายการที่เก็บ วัตถุประสงค์การเก็บ ฐานทางกฎหมาย สิทธิของผู้ใช้งาน และผลกระทบที่อาจเกิดขึ้นหากปฏิเสธ ผู้ใช้งานมีสิทธิไม่ให้ความยินยอมต่อเนื้อหาที่แจ้ง และหากปฏิเสธรายการบังคับ อาจถูกจำกัดการใช้งานฟังก์ชันหรือบริการบางส่วน แต่จะไม่มีการดำเนินการที่ก่อให้เกิดผลเสียจากเหตุดังกล่าว

4. วัตถุประสงค์ของการประมวลผล

บริษัทประมวลผลข้อมูลส่วนบุคคลที่เก็บรวบรวมเพื่อวัตถุประสงค์ดังต่อไปนี้เท่านั้น และเมื่อบรรลุวัตถุประสงค์หรือมีการถอนความยินยอม ข้อมูลที่เกี่ยวข้องจะถูกทำลายหรือทำให้ไม่สามารถระบุตัวบุคคลได้อย่างรวดเร็ว

  • การสมัครสมาชิกและการยืนยันตัวตน: การยืนยัน OTP เบอร์โทรศัพท์ การป้องกันการสมัครซ้ำ การตรวจสอบคุณสมบัติผู้ประกอบการ
  • การให้บริการ (การจับคู่และการสร้างสัญญา): การลงทะเบียน RFQ การส่งการแจ้งฝ่ายอุปทาน การเก็บข้อเสนอประมูล การทำสัญญา การจัดการกำหนดการเข้าและถอนเครื่องจักร
  • การคำนวณคะแนนความน่าเชื่อถือและการจัดการชื่อเสียง: การรวบรวมรีวิวระหว่างกัน การสะท้อนประวัติการปฏิบัติตามสัญญา การตรวจจับการฉ้อโกง/การกระทำไม่สุจริต การวินิจฉัยการจำกัดการเข้าร่วมประมูล
  • การประมวลผลการชำระเงินและการชำระบัญชี: การรับเงินมัดจำ (10%) การชำระบัญชีค่าตอบแทนให้ฝ่ายอุปทาน การดำเนินการคืนเงิน การออกใบกำกับภาษี การบันทึกบัญชี
  • การส่งการแจ้งเตือน: การแจ้งความคืบหน้าการซื้อขาย การแจ้งปิดประมูล การแจ้งการชำระบัญชี การแจ้งเตือนความปลอดภัย ผ่านข้อความ LINE อีเมล SMS การแจ้งเตือนในแอป
  • การปฏิบัติตามหน้าที่ทางกฎหมาย: การเก็บบันทึกการซื้อขายตามประมวลรัษฎากรของประเทศไทย การยืนยันตัวผู้ใช้งานตามกฎหมายต่อต้านการทุจริตและกฎหมายต่อต้านการฟอกเงิน การตอบสนองต่อคำขอที่ชอบด้วยกฎหมายของศาล/หน่วยงานสอบสวน
  • การสนับสนุนลูกค้าและการระงับข้อพิพาท: การตอบกลับการสอบถาม 1:1 การไกล่เกลี่ยข้อพิพาทการซื้อขาย การดำเนินการคืนเงิน/ชดเชย การเก็บบันทึกภายในเพื่อป้องกันการเกิดซ้ำ
  • การปรับปรุงบริการและการวิเคราะห์สถิติ: การวิเคราะห์รูปแบบการใช้งาน การวัดความถี่การใช้ฟังก์ชัน การทดสอบ A/B การเก็บรายงานข้อบกพร่อง สถิติจะแปรสภาพให้อยู่ในรูปที่ไม่สามารถระบุตัวบุคคล (การไม่ระบุชื่อ/การแทนชื่อ) เป็นหลัก
  • ความปลอดภัยและการป้องกันการฉ้อโกง: การตรวจจับการเข้าสู่ระบบที่ผิดปกติ การป้องกันการใช้หลายบัญชีโดยมิชอบ การตรวจจับการสมรู้ร่วมคิดประมูล การวิเคราะห์บันทึกเพื่อการตรวจสอบช่องโหว่
  • การใช้งานทางการตลาด (เฉพาะกรณีได้รับความยินยอมแยกต่างหาก): การส่งข้อมูลฟังก์ชันใหม่ โปรโมชั่น ข้อมูลงาน การประมวลผลเพื่อการตลาดจำกัดเฉพาะผู้ใช้งานที่ให้ความยินยอมแยกต่างหากในหน้าความยินยอมรับข้อมูลการตลาด และสามารถปฏิเสธการรับได้ทุกเมื่อ
  • การจัดการความเสี่ยงภายใน: ใช้สำหรับการจัดการความเสี่ยงภายในเพื่อรักษาสุขภาวะโดยรวมของแพลตฟอร์ม โดยประเมินคะแนนความน่าเชื่อถือที่ลดลง การยกเลิกสัญญาซ้ำๆ ประวัติการเกิดข้อพิพาท เป็นต้น หากมีการตัดสินใจอัตโนมัติเกิดขึ้นในกระบวนการจัดการความเสี่ยง ผู้ใช้งานสามารถคัดค้านการตัดสินใจนั้นและขอให้มีการทบทวนโดยบุคคล ตาม PDPA §30(4)
  • การตรวจสอบและการควบคุมภายใน: ใช้ในการดำเนินระบบควบคุมภายใน เช่น การตรวจสอบบัญชีการเงินภายในบริษัท การตรวจสอบการปฏิบัติตามกฎระเบียบ การจัดการความขัดแย้งทางผลประโยชน์ การตอบสนองต่อการตรวจสอบของผู้ตรวจสอบ

หากบริษัทต้องใช้ข้อมูลเกินขอบเขตของวัตถุประสงค์ข้างต้น จะขอความยินยอมเพิ่มเติมแยกต่างหากจากผู้ใช้งานและแจ้งขอบเขต ระยะเวลา วิธีการของการใช้เพิ่มเติมอย่างเฉพาะเจาะจง หลังจากบรรลุวัตถุประสงค์แล้วจะไม่จัดเก็บข้อมูลส่วนบุคคลดังกล่าว และกรณีที่มีหน้าที่จัดเก็บตามกฎหมาย จะจัดเก็บแยกต่างหาก

5. ฐานทางกฎหมาย (PDPA §24)

มาตรา 24 ของ PDPA ได้ระบุฐานทางกฎหมาย (legal basis) สำหรับการประมวลผลข้อมูลส่วนบุคคลไว้ บริษัทยืนยันและปรับใช้ฐานตั้งแต่หนึ่งฐานขึ้นไปต่อกิจกรรมการประมวลผลแต่ละกิจกรรม ฐานทางกฎหมายแตกต่างกันไปตามวัตถุประสงค์การประมวลผลและรายการที่ประมวลผล

  • ความยินยอม (Consent): ปรับใช้กับกิจกรรมการประมวลผลที่ผู้ใช้งานเลือกอย่างชัดแจ้ง เช่น การรับข้อมูลการตลาด คุกกี้เลือก (เพื่อการวิเคราะห์/โฆษณา) การเก็บรวบรวมข้อมูลอ่อนไหวแบบจำกัด ผู้ใช้งานสามารถถอนความยินยอมได้ทุกเมื่อ และการประมวลผลก่อนการถอนยังคงมีผลใช้บังคับตามกฎหมาย
  • การปฏิบัติตามสัญญา (Contract): ปรับใช้กับการประมวลผลเพื่อปฏิบัติตามความสัมพันธ์ทางสัญญาระหว่างผู้ใช้งานกับบริษัท (การสมัครสมาชิก การยอมรับข้อกำหนดการใช้งาน สัญญาเช่าช่วง เป็นต้น) การประมวลผลข้อมูลการสมัครสมาชิก RFQ ข้อเสนอประมูล สัญญา และการชำระเงินอิงฐานนี้เป็นหลัก หากปฏิเสธ อาจถูกจำกัดการใช้บริการ
  • หน้าที่ตามกฎหมาย (Legal obligation): ปรับใช้กับการประมวลผลเพื่อปฏิบัติตามหน้าที่ที่บริษัทต้องปฏิบัติตามกฎหมายที่เกี่ยวข้อง ได้แก่ ประมวลรัษฎากรของประเทศไทย (เก็บบันทึกการซื้อขายอย่างน้อย 5 ปี) กฎหมายต่อต้านการทุจริตและกฎหมายต่อต้านการฟอกเงิน กฎหมายแรงงาน กฎหมายคุ้มครองผู้บริโภค กฎหมายธุรกรรมอิเล็กทรอนิกส์ เป็นต้น การตอบสนองต่อหมายค้น/คำขอความร่วมมือในการสอบสวนที่ชอบด้วยกฎหมายก็อยู่ภายใต้ฐานนี้
  • ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate interest): ปรับใช้เมื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือบุคคลที่สามมีความสำคัญเหนือกว่าสิทธิและเสรีภาพของผู้ใช้งาน การคำนวณคะแนนความน่าเชื่อถือ การป้องกันการฉ้อโกงและการกระทำไม่สุจริต บันทึกความปลอดภัยของบริการ การป้องกันการใช้แพลตฟอร์มโดยมิชอบ สถิติการวิเคราะห์พื้นฐาน อยู่ในฐานนี้ บริษัทดำเนินการประเมินความสมดุลระหว่างประโยชน์โดยชอบด้วยกฎหมายและสิทธิของผู้ใช้งาน (Legitimate Interest Assessment) ภายใน
  • ประโยชน์สำคัญ (Vital interest) / ประโยชน์สาธารณะ (Public interest): ไม่ปรับใช้กับบริบทการดำเนินงานแพลตฟอร์มทั่วไป ทั้งนี้อาจปรับใช้อย่างจำกัดในสถานการณ์พิเศษที่ต้องใช้ข้อมูลติดต่อ/ที่ตั้งเพื่อความปลอดภัยต่อชีวิต/ร่างกายของผู้ใช้งานในเหตุฉุกเฉินเท่านั้น

เพื่อนำเสนอฐานทางกฎหมายให้ผู้ใช้งานเห็นอย่างโปร่งใส บริษัทจะแจ้งฐานของกิจกรรมการประมวลผลและผลกระทบที่อาจเกิดขึ้นหากปฏิเสธ ในแต่ละหน้าความยินยอมและแบบฟอร์ม

ข้อมูลส่วนบุคคลหนึ่งรายการอาจถูกปรับใช้ฐานทางกฎหมายหลายฐานพร้อมกัน ตัวอย่างเช่น เบอร์โทรศัพท์อาจถูกประมวลผลภายใต้ทั้งการปฏิบัติตามสัญญา (การให้บริการ) และประโยชน์โดยชอบด้วยกฎหมาย (การป้องกันการใช้งานโดยมิชอบ) ในกรณีนี้ แม้ผู้ใช้งานถอนความยินยอม หากยังมีฐานทางกฎหมายอื่นเหลืออยู่ การประมวลผลดังกล่าวอาจยังคงดำเนินต่อไปได้ บริษัทจะอธิบายความสัมพันธ์การซ้อนทับนี้ให้ผู้ใช้งานทราบอย่างชัดเจน

กรณีที่จำเป็นต้องเปลี่ยนแปลงฐานทางกฎหมาย (เช่น เปลี่ยนกิจกรรมการประมวลผลใดจากฐานความยินยอมเป็นฐานประโยชน์โดยชอบด้วยกฎหมาย) บริษัทจะแจ้งผลกระทบของการเปลี่ยนแปลงที่มีต่อผู้ใช้งานล่วงหน้าและให้โอกาสในการขอความยินยอมใหม่หรือใช้สิทธิคัดค้านตามที่จำเป็น

6. การเปิดเผยต่อบุคคลที่สาม

โดยหลัก บริษัทไม่เปิดเผยข้อมูลส่วนบุคคลของผู้ใช้งานต่อภายนอก ทั้งนี้ อาจเปิดเผยต่อบุคคลที่สามเท่าที่จำเป็นน้อยที่สุดเฉพาะกรณีที่หลีกเลี่ยงไม่ได้เพื่อการให้บริการหรือตามที่กฎหมายกำหนด ผู้รับหลักได้แก่ ผู้ให้บริการชำระเงิน (PG) ผู้ให้บริการส่งการแจ้งเตือน LINE ผู้ให้บริการโครงสร้างพื้นฐานคลาวด์ บริษัทตัวแทนด้านบัญชี/ภาษี เป็นต้น

รายละเอียดผู้รับแต่ละราย รายการที่เปิดเผย วัตถุประสงค์ในการเปิดเผย และระยะเวลาจัดเก็บ สามารถดูได้ที่ความยินยอมในการเปิดเผยข้อมูลต่อบุคคลที่สาม สำหรับการเปิดเผยที่ต้องได้รับความยินยอมแยกต่างหาก สามารถเลือกให้ความยินยอมได้ในหน้านั้น กรณีเปิดเผยตามหน้าที่บังคับตามกฎหมาย (หมายศาล คำขอที่ชอบด้วยกฎหมายของหน่วยงานสอบสวน เป็นต้น) อาจเปิดเผยโดยไม่ต้องขอความยินยอมแยกต่างหาก โดยบริษัทจะบันทึกข้อเท็จจริงและเหตุผลของการเปิดเผยไว้ในบันทึกภายใน

เมื่อเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลที่สาม บริษัทจำกัดขอบเขตการเปิดเผยให้น้อยที่สุดเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์ และระบุหน้าที่รักษาความปลอดภัย การห้ามใช้นอกวัตถุประสงค์ การห้ามเปิดเผยซ้ำไว้ในสัญญากับผู้รับ

การเปิดเผยต่อบุคคลที่สามและการจ้างช่วงการประมวลผล (Outsourcing of processing) แยกออกจากกัน การจ้างช่วงการประมวลผลคือกรณีที่ผู้ให้บริการภายนอกประมวลผลข้อมูลส่วนบุคคลตามคำสั่งของบริษัท (เช่น การโฮสต์คลาวด์ บริการส่งอีเมล) ในกรณีนี้ ผู้ให้บริการภายนอกถือเป็นผู้ประมวลผล (Processor) และไม่ได้รับอนุญาตให้ประมวลผลนอกขอบเขตคำสั่งของบริษัท ในทางตรงข้าม การเปิดเผยต่อบุคคลที่สามคือกรณีที่ผู้รับประมวลผลข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์และความรับผิดชอบของตนเอง (เช่น บริษัทตัวแทนด้านภาษีดำเนินการประมวลผลทางบัญชีตามงานเฉพาะทางของตน) ในกรณีนี้ ผู้รับถือเป็นผู้ควบคุมข้อมูล (Controller) แยกต่างหากและรับผิดทางกฎหมาย

ผู้ใช้งานสามารถเรียกดูรายชื่อผู้รับที่ข้อมูลส่วนบุคคลของตนถูกเปิดเผยจนถึงปัจจุบันและวันเวลาที่เปิดเผย ผ่านข้อมูลติดต่อ DPO และสามารถขอให้หยุดการเปิดเผยต่อผู้รับรายใดรายหนึ่งได้เมื่อมีเหตุอันสมควร บริษัทจะรับคำขอให้มากที่สุดตราบเท่าที่ไม่ขัดแย้งกับหน้าที่ทางกฎหมายหรือหน้าที่ทางสัญญา

7. การโอนข้อมูลข้ามพรมแดน (Cross-border transfer)

เพื่อให้บริการที่มีเสถียรภาพและขยายตัวได้ บริษัทใช้โครงสร้างพื้นฐานคลาวด์ระดับโลก (AWS, GCP เป็นต้น) และโครงสร้างพื้นฐานการชำระเงินระหว่างประเทศ ในกระบวนการนี้ ข้อมูลส่วนบุคคลของผู้ใช้งานอาจถูกจัดเก็บหรือส่งไปยังเซิร์ฟเวอร์/ศูนย์ข้อมูลนอกประเทศไทย สิ่งนี้เรียกว่าการโอนข้อมูลข้ามพรมแดน (Cross-border transfer) ตามที่กำหนดในมาตรา 28 ของ PDPA

บริษัทดำเนินการให้ได้ระดับการคุ้มครองที่เพียงพอตามที่มาตรา 28 ของ PDPA กำหนด ด้วยวิธีการดังต่อไปนี้

  1. การโอนไปยังประเทศที่มีระดับการคุ้มครองเพียงพอ: ตรวจสอบว่าประเทศที่รับโอนเป็นประเทศที่มีระดับการคุ้มครองข้อมูลส่วนบุคคลเพียงพอตามที่ PDPC (คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล / Personal Data Protection Committee) กำหนดหรือไม่
  2. ข้อสัญญามาตรฐาน (Standard Contractual Clauses): ในกรณีโอนข้อมูลไปยังผู้ประกอบการในประเทศที่ไม่ได้รับการยอมรับว่ามีระดับการคุ้มครองเพียงพอ จะทำข้อสัญญามาตรฐานหรือสัญญาที่เทียบเท่ากับผู้รับ เพื่อกำหนดหน้าที่คุ้มครองในระดับที่เทียบเท่า
  3. ความยินยอมชัดแจ้งของผู้ใช้งาน: หากไม่สามารถปรับใช้ฐานทั้งสองข้างต้น จะแจ้งให้ผู้ใช้งานทราบประเทศปลายทาง วัตถุประสงค์การโอน รายการข้อมูลส่วนบุคคลที่โอน และปัจจัยเสี่ยง จากนั้นขอความยินยอมแยกต่างหากและโอน
  4. การเข้ารหัสและการควบคุมการเข้าถึง: ใช้การเข้ารหัสการส่งข้อมูล TLS 1.2 ขึ้นไปในระหว่างการโอน และรักษาการเข้ารหัสขณะจัดเก็บ (at-rest encryption) รวมถึงการจัดการสิทธิเข้าถึงอย่างเข้มงวดในขั้นตอนการจัดเก็บ

ประเภทผู้รับโอนข้อมูลต่างประเทศหลักที่บริษัทกำลังใช้หรือจะใช้ในปัจจุบัน ได้แก่ การโฮสต์คลาวด์ (AWS/GCP รีเจียนเอเชีย) ผู้ประกอบการแพลตฟอร์ม LINE ผู้ให้บริการชำระเงินระหว่างประเทศ เป็นต้น โดยสามารถดูรายชื่อผู้รับที่เฉพาะเจาะจงและประวัติการเปลี่ยนแปลงได้ที่ความยินยอมในการเปิดเผยข้อมูลต่อบุคคลที่สาม

บริษัทประเมินขอบเขต เป้าหมาย และระดับความเสี่ยงของการโอนข้ามพรมแดนเป็นระยะ หากการเปลี่ยนแปลงกฎหมายของประเทศปลายทาง (เช่น การให้อำนาจเข้าถึงอย่างกว้างขวางของรัฐบาล) มีแนวโน้มส่งผลกระทบอย่างมีนัยสำคัญต่อสิทธิของผู้ใช้งาน อาจยุติการโอนไปยังประเทศดังกล่าวหรือจัดเตรียมมาตรการคุ้มครองเพิ่มเติม หากจำเป็น จะแจ้งผลกระทบให้ผู้ใช้งานทราบล่วงหน้า

หากมีข้อสอบถามหรือข้อโต้แย้งเพิ่มเติมเกี่ยวกับการโอนข้อมูลข้ามพรมแดน ผู้ใช้งานสามารถขอได้ผ่านข้อมูลติดต่อ DPO และบริษัทจะให้ข้อมูลเกี่ยวกับข้อเท็จจริง ปลายทาง วัตถุประสงค์ มาตรการคุ้มครองของการโอน ด้วยความสุจริต

8. ระยะเวลาจัดเก็บ

บริษัทจัดเก็บข้อมูลส่วนบุคคลที่เก็บรวบรวมเท่าที่จำเป็นตามวัตถุประสงค์การประมวลผลเท่านั้น และเมื่อครบกำหนดจะทำลายหรือทำให้ไม่สามารถระบุตัวบุคคลได้โดยไม่ชักช้า ทั้งนี้ ข้อมูลที่มีหน้าที่จัดเก็บตามกฎหมายจะจัดเก็บแยกต่างหากอย่างปลอดภัยตลอดระยะเวลาดังกล่าว

หมวดหมู่ระยะเวลาจัดเก็บฐาน
ข้อมูลบัญชีสมาชิกจนถึงการยกเลิกสมาชิกContract
บันทึกการซื้อขาย (RFQ สัญญา ประวัติการชำระเงิน)5 ปีหลังสิ้นสุดการซื้อขายหน้าที่จัดเก็บตามประมวลรัษฎากรของประเทศไทย
ต้นฉบับสัญญาอิเล็กทรอนิกส์และลายเซ็น10 ปีหลังสิ้นสุดสัญญากฎหมายแพ่งและกฎหมายธุรกรรมอิเล็กทรอนิกส์ของประเทศไทย
บันทึกที่เกี่ยวข้องกับข้อพิพาท3 ปีหลังสิ้นสุดข้อพิพาทLegitimate interest (การรักษาพยาน)
บันทึกการเข้าสู่ระบบ บันทึกความปลอดภัย90 วันหลังการเก็บLegitimate interest (ความปลอดภัย)
บันทึกการสอบถามการสนับสนุนลูกค้า3 ปีหลังสิ้นสุดการสอบถามLegitimate interest (การป้องกันการเกิดซ้ำ)
ความยินยอมด้านการตลาดและประวัติการรับจนถึงการถอนความยินยอมConsent
คุกกี้และรหัสติดตามระยะเวลาตามที่นโยบายคุกกี้กำหนดConsent / Legitimate interest
รีวิวและบันทึกที่ใช้เป็นฐานคะแนนความน่าเชื่อถือตลอดระยะเวลาที่รักษาบัญชีLegitimate interest (การจัดการชื่อเสียง)

เมื่อได้รับคำขอยกเลิกสมาชิก บริษัทจะทำลายข้อมูลส่วนบุคคลภายใน 30 วัน ยกเว้นข้อมูลที่มีหน้าที่จัดเก็บตามกฎหมาย ขั้นตอนและวิธีการทำลายดำเนินการด้วยวิธีที่ไม่สามารถกู้คืนได้สำหรับไฟล์อิเล็กทรอนิกส์ (การลบถาวร การทำลายกุญแจเข้ารหัส เป็นต้น) และด้วยการย่อย/เผาสำหรับเอกสารกระดาษ

แม้ระยะเวลาจัดเก็บสิ้นสุดลง ข้อมูลที่ขจัดความเป็นไปได้ในการระบุตัวบุคคลผ่านการไม่ระบุชื่อ/การแทนชื่อแล้ว อาจถูกนำไปใช้เพื่อวัตถุประสงค์ทางสถิติ/การวิจัย ในกรณีนี้ อาจถือเป็นข้อมูลที่พ้นจากการกำกับของ PDPA ทั้งนี้ บริษัทตรวจสอบความแข็งแกร่งของการทำให้ไม่สามารถระบุตัวบุคคลเป็นระยะ เพื่อไม่ให้เกิดความเสี่ยงในการระบุตัวบุคคลซ้ำ

ผู้ใช้งานสามารถขอคำอธิบายเฉพาะเจาะจงเกี่ยวกับระยะเวลาจัดเก็บ หรือขอให้ทำลายรายการใดรายการหนึ่งก่อนกำหนดได้ และบริษัทจะดำเนินการตามนั้นตราบเท่าที่ไม่ขัดแย้งกับหน้าที่จัดเก็บตามกฎหมาย เมื่อการทำลายเสร็จสิ้น จะแจ้งข้อเท็จจริงและวันที่ทำลายให้ผู้ใช้งานทราบ

9. สิทธิของเจ้าของข้อมูล (PDPA §30-34)

ผู้ใช้งานสามารถใช้สิทธิของเจ้าของข้อมูล (Data Subject Rights) ที่ PDPA รับรองได้อย่างอิสระ เมื่อได้รับคำร้องขอใช้สิทธิของผู้ใช้งาน บริษัทจะแจ้งผลการดำเนินการภายในกำหนดเวลาตามกฎหมายคือ 30 วัน และอาจขยายได้อย่างสมเหตุสมผลสูงสุด 60 วันหากจำเป็น กรณีขยาย จะแจ้งเหตุผลการขยายให้ผู้ใช้งานทราบ

  • สิทธิในการเข้าถึง (Right of access): ผู้ใช้งานสามารถขอเรียกดูว่าบริษัทมีการประมวลผลข้อมูลส่วนบุคคลใดของตนอย่างไรบ้าง บริษัทจะให้ข้อมูล เช่น รายการที่ประมวลผล วัตถุประสงค์การประมวลผล ผู้รับ หลังยืนยันตัวตนของผู้ร้องแล้ว กรณีคำขอที่ซ้ำซากหรือมากเกินไป อาจเก็บค่าธรรมเนียมที่สมเหตุสมผลได้
  • สิทธิในการแก้ไข (Right to rectification): ผู้ใช้งานสามารถขอแก้ไขหรือเพิ่มเติมข้อมูลส่วนบุคคลของตนได้ หากข้อมูลไม่ถูกต้องหรือไม่เป็นปัจจุบัน ข้อมูลที่สามารถแก้ไขได้โดยตรงจากหน้าจอโปรไฟล์ ผู้ใช้งานสามารถอัปเดตได้ด้วยตนเองทันที สำหรับรายการอื่นๆ ให้ขอผ่านข้อมูลติดต่อ DPO
  • สิทธิในการลบ (Right to erasure / be forgotten): หากฐานการประมวลผลสิ้นสุดลง ผู้ใช้งานได้ถอนความยินยอม หรือพบการประมวลผลที่ผิดกฎหมาย ผู้ใช้งานสามารถขอลบข้อมูลส่วนบุคคลได้ บริษัทจะดำเนินการลบ ยกเว้นรายการที่ยังคงมีหน้าที่จัดเก็บตามกฎหมาย
  • สิทธิในการจำกัดการประมวลผล (Right to restriction of processing): ผู้ใช้งานสามารถขอให้จำกัดการประมวลผลข้อมูลส่วนบุคคลดังกล่าวเป็นการชั่วคราว ในกรณีที่โต้แย้งความถูกต้องของการประมวลผลหรือกำลังมีการตรวจสอบการประมวลผลอยู่
  • สิทธิในการคัดค้าน (Right to object): ผู้ใช้งานสามารถแสดงเจตนาคัดค้านการประมวลผลตามฐานประโยชน์โดยชอบด้วยกฎหมาย (เช่น การตลาด การวิเคราะห์ทั่วไป) การตลาดโดยตรง หรือกิจกรรมการประมวลผลเฉพาะได้ทุกเมื่อ เมื่อได้รับเจตนาคัดค้าน บริษัทจะหยุดการประมวลผลดังกล่าว เว้นแต่มีเหตุที่เหนือกว่าตามกฎหมาย
  • สิทธิในการโอนย้ายข้อมูล (Right to data portability): ผู้ใช้งานสามารถขอรับข้อมูลที่ตนให้ไว้ในรูปแบบที่มีโครงสร้างและเครื่องอ่านได้ (เช่น JSON, CSV) หรือโอนไปยังบุคคลที่สามได้ สำหรับข้อมูลส่วนบุคคลที่ประมวลผลตามฐานความยินยอมหรือการปฏิบัติตามสัญญา และเก็บรวบรวมโดยวิธีอัตโนมัติ
  • สิทธิในการถอนความยินยอม (Right to withdraw consent): ผู้ใช้งานสามารถถอนความยินยอมได้ทุกเมื่อสำหรับรายการที่ประมวลผลตามฐานความยินยอม โดยไม่กระทบต่อความชอบด้วยกฎหมายของการประมวลผลก่อนการถอน และการประมวลผลหลังจากนั้นจะหยุดลง
  • สิทธิในการร้องเรียน (Right to lodge a complaint): ผู้ใช้งานสามารถยื่นคำร้องเรียนโดยตรงต่อ PDPC (คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล / Personal Data Protection Committee) หากมีข้อโต้แย้งต่อการประมวลผลข้อมูลส่วนบุคคลของบริษัท โปรดดูขั้นตอนการร้องเรียน PDPC ในข้อ 14 ของนโยบายนี้

วิธีการใช้สิทธิมีดังต่อไปนี้ ผู้ใช้งานสามารถส่งเนื้อหาคำขอและข้อมูลยืนยันตัวตนไปที่ contact@gearbid.io หรือยื่นผ่านการสอบถาม 1:1 ในแอป บริษัทจะตอบกลับผลการดำเนินการ (การอนุมัติ เหตุผลการปฏิเสธ การขอเอกสารเพิ่มเติม เป็นต้น) ภายใน 30 วันนับจากวันที่ได้รับคำขอ หากถูกปฏิเสธ ผู้ใช้งานมีสิทธิขอการทบทวนใหม่ต่อ PDPC

เมื่อรับคำขอใช้สิทธิ บริษัทจะตรวจสอบว่าผู้ร้องเป็นเจ้าของข้อมูลเองหรือเป็นผู้แทนที่ชอบด้วยกฎหมายด้วยวิธีที่สมเหตุสมผล เหตุผลที่ต้องยืนยันตัวตนคือเพื่อป้องกันความเสียหายที่อาจเกิดขึ้น จากการที่บุคคลที่สามเข้าถึงข้อมูลส่วนบุคคลของผู้อื่นหรือชักจูงให้ลบ ข้อมูลที่ใช้ในการยืนยันจะไม่ถูกใช้นอกเหนือจากวัตถุประสงค์ในการยืนยัน และจะถูกทำลายทันทีหลังการยืนยัน หากขั้นตอนการยืนยันตัวตนมีภาระมากเกินไป ผู้ใช้งานสามารถขอวิธีการยืนยันทางเลือกอื่นได้

การใช้สิทธิของผู้ใช้งานเป็นไปโดยไม่มีค่าใช้จ่ายเป็นหลัก ทั้งนี้ กรณีที่คำขอเนื้อหาเดียวกันเกิดซ้ำในระยะเวลาที่สมเหตุสมผลหรือมากเกินไปอย่างชัดเจน (เช่น คำขอเรียกดูข้อมูลเดียวกันหลายสิบครั้ง) บริษัทอาจเรียกเก็บค่าธรรมเนียมในขอบเขตที่สมเหตุสมผลหรือปฏิเสธคำขอตามระเบียบที่เกี่ยวข้องของ PDPA หากปฏิเสธ จะตอบกลับเหตุผลเป็นลายลักษณ์อักษร

10. คุกกี้และการติดตาม

บริษัทใช้คุกกี้ (Cookie) และเทคโนโลยีการติดตามที่คล้ายกัน เพื่อปรับปรุงประสิทธิภาพของบริการ รักษาสถานะการเข้าสู่ระบบ ให้ฟังก์ชันที่ปรับแต่งตามผู้ใช้ และวิเคราะห์รูปแบบการใช้งาน คุกกี้แบ่งเป็น 4 ประเภทตามฟังก์ชันและวัตถุประสงค์

  1. คุกกี้ที่จำเป็น (Strictly necessary): คุกกี้ที่จำเป็นต่อการทำงานพื้นฐานของบริการ เช่น การรักษาเซสชันเข้าสู่ระบบ การป้องกัน CSRF การรักษาสถานะตะกร้า/แบบฟอร์ม ใช้โดยไม่ต้องขอความยินยอม
  2. คุกกี้ฟังก์ชัน (Functional): ใช้สำหรับฟังก์ชันที่อำนวยความสะดวกผู้ใช้งาน เช่น การจำการตั้งค่าภาษา/ภูมิภาค ธีม UI รายการโปรด
  3. คุกกี้ประสิทธิภาพ/การวิเคราะห์ (Analytics): ใช้ในการปรับปรุงบริการโดยเก็บรวบรวมความถี่การใช้ เส้นทางการนำทางระหว่างหน้า อัตราข้อผิดพลาดของแต่ละฟังก์ชัน
  4. คุกกี้การตลาด (Marketing): ใช้สำหรับการแสดงโฆษณาตามความสนใจของผู้ใช้ การวัดประสิทธิภาพแคมเปญ การทำ retargeting เปิดใช้เฉพาะเมื่อได้รับความยินยอมแยกต่างหาก

รายการคุกกี้โดยละเอียด (ชื่อคุกกี้ ผู้ให้ วัตถุประสงค์ ระยะเวลาจัดเก็บ) และวิธีเปลี่ยนการตั้งค่า สามารถดูได้ที่นโยบายคุกกี้ ผู้ใช้งานสามารถปฏิเสธหรือถอนการใช้คุกกี้เลือกได้ทุกเมื่อ ผ่านหน้าจอการตั้งค่าคุกกี้ในแอปหรือการตั้งค่าเบราว์เซอร์

นอกจากคุกกี้ บริษัทอาจใช้เทคโนโลยีที่คล้ายกันอย่างจำกัด ได้แก่ local storage, session storage, รหัสอุปกรณ์มือถือ, pixel tag เป็นต้น เทคโนโลยีเหล่านี้ถูกแบ่งประเภท/จัดการตามหลักเดียวกันกับคุกกี้ และในกรณีที่ไม่ใช่ฟังก์ชันจำเป็น จะเปิดใช้ภายใต้ความยินยอมของผู้ใช้เท่านั้น สำหรับสคริปต์การวิเคราะห์/โฆษณาที่ให้บริการโดยผู้ประกอบการบุคคลที่สาม บริษัทจะตรวจสอบล่วงหน้าเกี่ยวกับขอบเขตการส่งข้อมูลและนโยบายคุ้มครองข้อมูลส่วนบุคคลของผู้ให้

11. มาตรการความปลอดภัย

บริษัทดำเนินมาตรการด้านการบริหาร ด้านเทคนิค และด้านกายภาพ อย่างครบถ้วน เพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้งานอย่างปลอดภัย มาตรการความปลอดภัยหลักมีดังต่อไปนี้

  1. การเข้ารหัสการส่งและการจัดเก็บ: การสื่อสารทางเว็บ/API ทั้งหมดถูกเข้ารหัสด้วยโปรโตคอล TLS 1.2 ขึ้นไป และฟิลด์อ่อนไหวหลัก (เบอร์โทรศัพท์ ข้อมูลการชำระเงิน บัตรประจำตัว เป็นต้น) ถูกเข้ารหัสในขั้นตอนการจัดเก็บ (at-rest encryption) กุญแจเข้ารหัสถูกจัดการใน KMS (Key Management System) เฉพาะ
  2. การควบคุมการเข้าถึง (RBAC): สิทธิเข้าถึงข้อมูลส่วนบุคคลของพนักงานถูกแยกอย่างเข้มงวดตามบทบาท (Role-Based Access Control) มีการปรับใช้หลักสิทธิน้อยที่สุด และมีขั้นตอนการอนุมัติแยกสำหรับงานที่อ่อนไหว
  3. บันทึกการตรวจสอบ: ประวัติการเข้าถึง/แก้ไข/ลบข้อมูลส่วนบุคคลถูกบันทึกในบันทึกการตรวจสอบภายในและจัดเก็บตามระยะเวลาที่กำหนด เพื่อใช้ในการตรวจสอบภายหลัง รูปแบบการเข้าถึงที่ผิดปกติจะถูกตรวจจับอัตโนมัติ
  4. การตรวจจับและการตอบสนองการบุกรุก: เฝ้าระวังความพยายามในการละเมิดข้อมูลส่วนบุคคลอย่างต่อเนื่อง ผ่านไฟร์วอลล์ ระบบตรวจจับ/ป้องกันการบุกรุก การวิเคราะห์บันทึก การตรวจสอบการเข้าถึงที่ผิดปกติ เมื่อเกิดเหตุหรือมีความเสี่ยงของเหตุการละเมิด บริษัทจะแจ้ง PDPC และผู้ใช้งานที่ได้รับผลกระทบภายในกำหนดเวลาที่มาตรา 37 ของ PDPA กำหนด
  5. การตรวจสอบความปลอดภัยเป็นระยะ: ดำเนินการตรวจสอบภายในและการตรวจสอบช่องโหว่ความปลอดภัยโดยผู้เชี่ยวชาญภายนอกเป็นระยะ และทำการทดสอบเจาะระบบ (penetration test) เมื่อจำเป็น
  6. การฝึกอบรมความปลอดภัยของพนักงาน: พนักงานทุกคนได้รับการฝึกอบรมคุ้มครองข้อมูลส่วนบุคคลเมื่อเริ่มงานและเป็นระยะ และต้องทำความเข้าใจหน้าที่รักษาความลับและขั้นตอนการตอบสนองเหตุการณ์
  7. การจัดการผู้ประมวลผลจ้างช่วง: กำหนดหน้าที่ด้านความปลอดภัยในระดับเทียบเท่าไว้ในสัญญากับผู้ให้บริการภายนอกที่ได้รับการจ้างช่วงประมวลผลข้อมูลส่วนบุคคล และตรวจสอบการปฏิบัติตามเป็นระยะ
  8. การแยกข้อมูลและการสำรองข้อมูล: สภาพแวดล้อมการดำเนินงานและสภาพแวดล้อมการพัฒนา/ทดสอบถูกแยกทั้งทางกายภาพและทางตรรกะ และกรณีที่ต้องใช้ข้อมูลส่วนบุคคลจริงในสภาพแวดล้อมการพัฒนา จะดำเนินการแทนชื่อ/ปิดบังล่วงหน้า สำรองข้อมูลเป็นระยะเก็บไว้ในที่เก็บที่เข้ารหัสแล้ว และจัดเตรียมขั้นตอนกู้คืนความเสียหาย (disaster recovery) เพื่อจัดการไม่ให้ข้อมูลส่วนบุคคลสูญหายแม้ระบบเกิดข้อขัดข้อง
  9. การรับแจ้งช่องโหว่: ดำเนินช่องทางติดต่อ (contact@gearbid.io) ให้ผู้วิจัย/ผู้ใช้งานภายนอกสามารถรายงานช่องโหว่ความปลอดภัยที่พบได้อย่างปลอดภัย เรื่องที่ได้รับแจ้งจะได้รับการตรวจสอบอย่างรวดเร็วและดำเนินมาตรการที่จำเป็น

มาตรการความปลอดภัยได้รับการอัปเดตอย่างต่อเนื่อง ตามความก้าวหน้าทางเทคโนโลยีและการเปลี่ยนแปลงของสภาพแวดล้อมภัยคุกคาม ทั้งนี้ ไม่มีมาตรการใดที่รับประกันความปลอดภัยโดยสมบูรณ์ได้ บริษัทมีหน้าที่ดำเนินมาตรการคุ้มครองในระดับที่สมเหตุสมผลตามที่คาดหมายได้ ผู้ใช้งานเองก็ต้องปฏิบัติตามหลักความปลอดภัยระดับบุคคล เช่น การจัดการรหัสผ่าน การรักษาความปลอดภัยของอุปกรณ์ การหลีกเลี่ยงลิงก์ที่น่าสงสัย และบริษัทจะให้คำแนะนำด้านความปลอดภัยเป็นระยะเพื่อสิ่งนี้

12. ข้อมูลส่วนบุคคลของเด็ก

บริษัทให้ความสำคัญเป็นพิเศษกับการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้งานที่ยังไม่บรรลุนิติภาวะ ตามกฎหมายแพ่งของประเทศไทย บรรลุนิติภาวะเมื่ออายุ 20 ปีบริบูรณ์ ข้อมูลส่วนบุคคลของผู้ใช้งานอายุต่ำกว่า 20 ปีจะไม่ถูกเก็บรวบรวม หากไม่มีความยินยอมอย่างชัดแจ้งของผู้แทนโดยชอบธรรม (บิดามารดาหรือผู้ปกครอง) แม้ยืนยันความยินยอมของผู้แทนโดยชอบธรรมแล้ว ขอบเขตการเก็บ/ใช้ยังจำกัดเท่าที่จำเป็นต่อการให้บริการ

เนื่องจากลักษณะของบริการนี้เป็นแพลตฟอร์มการซื้อขาย B2B ที่เกี่ยวข้องกับการเช่าเครื่องจักรก่อสร้าง จึงห้ามการใช้งานของเด็กอายุต่ำกว่า 10 ปี หากได้รับการยืนยันว่าข้อมูลส่วนบุคคลของเด็กอายุต่ำกว่า 10 ปีถูกเก็บรวบรวมโดยไม่มีความยินยอม บริษัทจะทำลายข้อมูลดังกล่าวทันทีและแจ้งให้ผู้แทนโดยชอบธรรมทราบ

ผู้แทนโดยชอบธรรมสามารถขอเรียกดู แก้ไข ลบ หยุดการประมวลผลข้อมูลส่วนบุคคลของบุตรของตนได้ทุกเมื่อ บริษัทจะดำเนินการโดยไม่ชักช้าหลังยืนยันว่าผู้ร้องเป็นผู้แทนโดยชอบธรรม

บริษัทดำเนินการฝึกอบรมเพิ่มเติมและการตรวจสอบภายในเพื่อคุ้มครองข้อมูลส่วนบุคคลของเด็กเป็นระยะ และจะสะท้อนไว้ในนโยบายนี้เมื่อมีการแก้ไขกฎหมายที่เกี่ยวข้องหรือแนวทางของ PDPC สำหรับผู้ประกอบการฝ่ายอุปทาน โดยทั่วไปสันนิษฐานว่าบรรลุนิติภาวะ แต่จะเพิ่มความเข้มงวดของขั้นตอนการตรวจสอบอายุของฝ่ายอุปทานส่วนบุคคล เพื่อป้องกันไม่ให้ผู้เยาว์สมัครในฐานะผู้ประกอบการ

13. การเปลี่ยนแปลงนโยบาย

บริษัทอาจแก้ไขเนื้อหาของนโยบายนี้ ตามการแก้ไขกฎหมาย การเปลี่ยนแปลงบริการ การทบทวนนโยบาย เป็นต้น กรณีที่เปลี่ยนแปลงซึ่งส่งผลกระทบอย่างมีนัยสำคัญต่อสิทธิ/หน้าที่ของผู้ใช้งาน บริษัทจะแจ้งให้ผู้ใช้งานทราบอย่างน้อย 30 วันก่อนวันที่การเปลี่ยนแปลงมีผลบังคับใช้ ด้วยวิธีการดังต่อไปนี้

  1. การแสดงการแจ้งเตือนและแบนเนอร์ประกาศในแอป
  2. การแจ้งเป็นรายบุคคลไปยังที่อยู่อีเมลที่ลงทะเบียนเมื่อสมัคร
  3. การแจ้งผ่านบัญชีทางการ LINE (เฉพาะผู้ใช้ที่เชื่อมต่อ LINE)

หากเนื้อหาที่เปลี่ยนแปลงต้องการความยินยอมเพิ่มเติมจากผู้ใช้ บริษัทจะขอความยินยอมใหม่ สำหรับผู้ใช้ที่ไม่ให้ความยินยอมใหม่ เกณฑ์การประมวลผลก่อนการเปลี่ยนแปลงอาจยังคงเดิมหรือฟังก์ชันที่เกี่ยวข้องอาจถูกจำกัด การเปลี่ยนแปลงเล็กน้อย (การแก้คำผิด การปรับถ้อยคำ เป็นต้น) อาจสะท้อนโดยไม่ต้องแจ้งล่วงหน้า และประวัติการเปลี่ยนแปลงจะบันทึกไว้ในข้อมูลเวอร์ชันและฟิลด์ lastUpdated ที่ด้านล่างของนโยบายนี้

หากผู้ใช้งานต้องการเรียกดูเวอร์ชันก่อนหน้าของนโยบายนี้ สามารถขอผ่านข้อมูลติดต่อ DPO และบริษัทจะให้เวอร์ชันก่อนหน้าภายในขอบเขตที่สมเหตุสมผล

เพื่อเพิ่มประสิทธิภาพในการแจ้งการเปลี่ยนแปลง บริษัทจะให้สรุปสาระสำคัญของการเปลี่ยนแปลงในรูปแบบสั้นและเข้าใจง่ายควบคู่กัน เพื่อช่วยให้ผู้ใช้งานรับทราบจุดเปลี่ยนแปลงหลักและดำเนินมาตรการที่จำเป็น แม้ไม่ต้องอ่านบทบัญญัติฉบับสมบูรณ์ทั้งหมด สรุปไม่ทดแทนผลใช้บังคับทางกฎหมายของบทบัญญัติอย่างเป็นทางการ และเกณฑ์สุดท้ายคือเนื้อหาในตัวบทของนโยบายนี้

14. แนวทางการร้องเรียนต่อ PDPC

PDPC (คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล / Personal Data Protection Committee) ของประเทศไทยเป็นหน่วยงานของรัฐบาลไทยที่รับผิดชอบการบังคับใช้และกำกับดูแลกฎหมายคุ้มครองข้อมูลส่วนบุคคล หากมีปัญหาหรือข้อโต้แย้งเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของบริษัท ผู้ใช้งานสามารถสอบถาม DPO ของบริษัทเป็นอันดับแรกเพื่อพยายามแก้ไข และหากไม่พอใจกับการดำเนินการของบริษัท สามารถยื่นคำร้องเรียนโดยตรงต่อ PDPC ได้

ขั้นตอนการร้องเรียน PDPC เป็นดังต่อไปนี้

  1. การเตรียมคำร้อง: เตรียมเนื้อหาข้อโต้แย้งและเอกสารหลักฐาน ตามแบบฟอร์มอย่างเป็นทางการที่ PDPC ให้ไว้
  2. ช่องทางการยื่น: สามารถยื่นคำร้องผ่านเว็บไซต์อย่างเป็นทางการของ PDPC ทางไปรษณีย์ หรือช่องทางรับคำร้องที่กำหนด
  3. การพิจารณาและการดำเนินการ: PDPC อาจดำเนินการสอบสวน รับฟัง ให้คำแนะนำในการปรับปรุง กำหนดค่าปรับ ฯลฯ สำหรับคำร้องที่ได้รับ

บริษัทมีหน้าที่ให้ความร่วมมือด้วยความสุจริตในการสอบสวน/ขอเอกสาร/คำแนะนำในการปรับปรุงของ PDPC และจะดำเนินการแก้ไขที่จำเป็นอย่างรวดเร็วตามคำตัดสินของ PDPC การที่ผู้ใช้งานร้องเรียนจะไม่ก่อให้เกิดผลเสียต่อการใช้บริการ และบริษัทจะไม่ดำเนินมาตรการตอบโต้ใดๆ ต่อผู้ร้องเรียน

ก่อนการยื่นคำร้องเรียนต่อ PDPC โดยทั่วไปแนะนำให้พยายามแก้ไขด้วยการสนทนาโดยตรงกับบริษัทก่อน บริษัทมีหน้าที่ตอบสนองต่อการโต้แย้งของผู้ใช้งานด้วยความสุจริตและรวดเร็ว โดย DPO จะดูแลขั้นตอนการจัดการข้อร้องเรียนภายในนี้ ทั้งนี้ ผู้ใช้งานยังคงมีสิทธิยื่นคำร้องเรียนโดยตรงต่อ PDPC โดยไม่ต้องผ่านขั้นตอนภายใน และบริษัทไม่บังคับให้ใช้ขั้นตอนภายใน

การตีความสุดท้ายของนโยบายนี้และเขตอำนาจของข้อพิพาทเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลเป็นไปตาม Kingdom of Thailand และ Courts of Bangkok, Thailand หากมีข้อสอบถามเพิ่มเติม โปรดติดต่อ DPO Eun Sung Jeong (James) (contact@gearbid.io, +66-(0)81-378-0115) ที่อยู่บริษัทคือ No. 68 Bangna-Trad 23, Bangna Nuea, Bangna, Bangkok 10260 และยินดีรับการสอบถามเป็นลายลักษณ์อักษร

กรณีมีความแตกต่างระหว่างฉบับภาษา ให้ยึดฉบับภาษาไทยเป็นหลัก

บริษัท แอดวานซ์ ซิวิล คอนสตรัคชั่น แอนด์ เอ็นจิเนียริ่ง จำกัด (ACCEL)
เลขที่ 68 ซอยบางนา-ตราด 23 แขวงบางนาเหนือ เขตบางนา กรุงเทพฯ 10260
เลขประจำตัวผู้เสียภาษี: 0215-5530-0353-7
อีเมล: contact@gearbid.io · โทรศัพท์: +66-(0)81-378-0115