PDPA
พ.ร.บ. คุ้มครองข้อมูล
นโยบายความเป็นส่วนตัวฉบับนี้มีผลบังคับใช้กับผู้ใช้บริการ ab168 ทุกราย การใช้งานแพลตฟอร์มต่อเนื่องถือว่าผู้ใช้ยอมรับนโยบายนี้ทั้งหมด
1. ข้อมูลทั่วไปและขอบเขต
นโยบายความเป็นส่วนตัวฉบับนี้จัดทำโดย ab168 เพื่ออธิบายแนวปฏิบัติในการเก็บรวบรวม ใช้ เปิดเผย และปกป้องข้อมูลส่วนบุคคลของผู้ใช้ที่เข้าถึงหรือใช้บริการบนแพลตฟอร์ม ab168 ทั้งในรูปแบบเว็บไซต์และแอปพลิเคชัน
ab168 ดำเนินงานภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ของประเทศไทย ซึ่งกำหนดมาตรฐานการคุ้มครองข้อมูลที่เทียบเท่ากับมาตรฐานสากล เราถือว่าข้อมูลส่วนบุคคลของผู้ใช้เป็นสิ่งที่มีคุณค่าและต้องได้รับการดูแลอย่างรอบคอบ
นโยบายนี้ครอบคลุมถึงบริการทุกประเภทของ ab168 รวมถึงข้อมูลที่ถูกเก็บรวบรวมผ่านเว็บไซต์หลัก หน้าบทความ ระบบสมาชิก และการสื่อสารทางอิเล็กทรอนิกส์ทุกรูปแบบระหว่าง ab168 กับผู้ใช้
2. ข้อมูลที่เราเก็บรวบรวม
ab168 เก็บรวบรวมข้อมูลเฉพาะที่จำเป็นต่อการให้บริการเท่านั้น โดยแบ่งออกเป็นประเภทดังนี้:
ข้อมูลที่ผู้ใช้ให้โดยตรง:
ชื่อ-นามสกุล
หมายเลขโทรศัพท์
วันเกิด
ข้อมูลบัญชีธนาคาร
ชื่อผู้ใช้
รหัสผ่าน (เข้ารหัส)
ข้อมูลที่เก็บอัตโนมัติเมื่อใช้งาน:
IP Address
ประเภทเบราว์เซอร์
ระบบปฏิบัติการ
หน้าที่เข้าชม
เวลาเข้าใช้งาน
คุกกี้
- ab168 ไม่เก็บข้อมูลหมายเลขบัตรเครดิตหรือข้อมูลทางการเงินที่ละเอียดอ่อนโดยตรงบนเซิร์ฟเวอร์ของตน
- รหัสผ่านทั้งหมดถูกเข้ารหัสด้วยมาตรฐาน bcrypt ก่อนจัดเก็บ เจ้าหน้าที่ ab168 ไม่มีทางเข้าถึงรหัสผ่านของผู้ใช้ได้
3. วัตถุประสงค์การใช้ข้อมูล
ab168 ใช้ข้อมูลส่วนบุคคลของผู้ใช้เพื่อวัตถุประสงค์ดังต่อไปนี้เท่านั้น:
- การยืนยันตัวตนและการจัดการบัญชีสมาชิก รวมถึงการตรวจสอบอายุตามกฎหมาย (20 ปีขึ้นไป)
- การดำเนินการธุรกรรมการเงิน ฝาก-ถอน ผ่านช่องทางที่รองรับ เช่น PromptPay และ TrueMoney
- การส่งการแจ้งเตือนสำคัญเกี่ยวกับบัญชี โปรโมชั่น หรือการเปลี่ยนแปลงนโยบาย
- การวิเคราะห์พฤติกรรมการใช้งานเพื่อปรับปรุงประสบการณ์ผู้ใช้และพัฒนาฟีเจอร์ใหม่
- การป้องกันการฉ้อโกง การฟอกเงิน และกิจกรรมที่ผิดกฎหมาย
- การปฏิบัติตามข้อกำหนดทางกฎหมายและคำสั่งของหน่วยงานที่มีอำนาจ
ab168 ไม่ใช้ข้อมูลของผู้ใช้เพื่อวัตถุประสงค์ทางการตลาดของบุคคลที่สามโดยไม่ได้รับความยินยอมจากผู้ใช้ก่อน
4. การเปิดเผยข้อมูลแก่บุคคลที่สาม
ab168 จะไม่ขาย ให้เช่า หรือเผยแพร่ข้อมูลส่วนบุคคลของผู้ใช้แก่บุคคลภายนอก ยกเว้นในกรณีดังต่อไปนี้:
- ผู้ให้บริการที่ได้รับมอบหมาย: บริษัทประมวลผลการชำระเงิน บริษัทระบบ KYC และผู้ให้บริการโครงสร้างพื้นฐานเทคโนโลยีที่ได้ลงนามในข้อตกลงการรักษาความลับ (NDA)
- ข้อกำหนดทางกฎหมาย: เมื่อได้รับคำสั่งจากศาล หน่วยงานกำกับดูแล หรือหน่วยงานบังคับใช้กฎหมายของไทย
- การโอนกิจการ: ในกรณีที่มีการควบรวมหรือโอนธุรกิจ ผู้ใช้จะได้รับแจ้งล่วงหน้าก่อนข้อมูลถูกโอนไปยังเจ้าของใหม่
- ความยินยอมของผู้ใช้: เมื่อผู้ใช้ให้ความยินยอมอย่างชัดแจ้งในการแบ่งปันข้อมูลเพื่อวัตถุประสงค์เฉพาะ
5. คุกกี้และเทคโนโลยีติดตาม
ab168 ใช้คุกกี้และเทคโนโลยีที่คล้ายคลึงกันเพื่อปรับปรุงประสบการณ์การใช้งาน คุกกี้ที่ใช้แบ่งออกเป็น 3 ประเภท:
- คุกกี้จำเป็น (Strictly Necessary): ใช้สำหรับการทำงานพื้นฐานของเว็บไซต์ เช่น การรักษา Session Login ไม่สามารถปิดได้
- คุกกี้เพื่อประสิทธิภาพ (Performance): เก็บข้อมูลการใช้งานแบบไม่ระบุตัวตนเพื่อวิเคราะห์และปรับปรุงเว็บไซต์ สามารถปฏิเสธได้
- คุกกี้การตั้งค่า (Preferences): จดจำการตั้งค่าของผู้ใช้ เช่น ภาษา และธีม สามารถลบได้ผ่านการตั้งค่าเบราว์เซอร์
ผู้ใช้สามารถจัดการหรือลบคุกกี้ได้ผ่านการตั้งค่าเบราว์เซอร์ แต่การปิดคุกกี้บางประเภทอาจส่งผลกระทบต่อความสามารถในการใช้งานบางส่วนของ ab168
6. การรักษาความปลอดภัยข้อมูล
ab168 ใช้มาตรการรักษาความปลอดภัยหลายชั้นเพื่อปกป้องข้อมูลส่วนบุคคลของผู้ใช้:
- การเข้ารหัสข้อมูลระหว่างการส่งด้วย TLS 1.3 และ SSL Certificate มาตรฐาน 256-bit
- ระบบฐานข้อมูลที่เข้ารหัสด้วย AES-256 และสำรองข้อมูลทุก 24 ชั่วโมง
- การจำกัดสิทธิ์การเข้าถึงข้อมูลเฉพาะพนักงานที่จำเป็นต้องใช้ (Principle of Least Privilege)
- ระบบตรวจจับการบุกรุก (IDS) และ Firewall ระดับองค์กรที่ทำงานตลอด 24 ชั่วโมง
- การตรวจสอบความปลอดภัยโดยบุคคลที่สาม (Penetration Testing) อย่างน้อยปีละครั้ง
อย่างไรก็ตาม ไม่มีระบบใดที่ปลอดภัยอย่างสมบูรณ์ ผู้ใช้ควรรักษาความปลอดภัยของรหัสผ่านและอุปกรณ์ของตนเองด้วย
7. สิทธิ์ของเจ้าของข้อมูล
ภายใต้ PDPA ผู้ใช้มีสิทธิ์ดังต่อไปนี้เกี่ยวกับข้อมูลส่วนบุคคลของตน:
- สิทธิ์ในการรับรู้: ทราบว่า ab168 เก็บข้อมูลอะไรบ้างและนำไปใช้อย่างไร
- สิทธิ์ในการเข้าถึง: ขอสำเนาข้อมูลส่วนบุคคลที่ ab168 เก็บไว้
- สิทธิ์ในการแก้ไข: ขอแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์
- สิทธิ์ในการลบ: ขอลบข้อมูลส่วนบุคคลในกรณีที่ไม่จำเป็นอีกต่อไป (Right to be Forgotten)
- สิทธิ์ในการโอนย้าย: ขอรับข้อมูลในรูปแบบที่เครื่องอ่านได้เพื่อโอนไปยังผู้ควบคุมข้อมูลรายอื่น
- สิทธิ์ในการคัดค้าน: คัดค้านการประมวลผลข้อมูลในกรณีที่ไม่เห็นด้วย
การใช้สิทธิ์ดังกล่าว ให้ติดต่อ ab168 ผ่านอีเมล [email protected] (แสดงเป็นข้อความเท่านั้น ไม่ใช่ลิงก์) ab168 จะดำเนินการภายใน 30 วันนับจากวันที่ได้รับคำขอ
8. การเก็บรักษาและลบข้อมูล
ab168 เก็บรักษาข้อมูลส่วนบุคคลตราบเท่าที่จำเป็นสำหรับวัตถุประสงค์ที่เก็บรวบรวม หรือตามที่กฎหมายกำหนด:
- ข้อมูลบัญชีผู้ใช้ที่ยังใช้งานอยู่: เก็บตลอดระยะเวลาการเป็นสมาชิก
- ข้อมูลบัญชีที่ถูกปิด: เก็บต่ออีก 5 ปีเพื่อการปฏิบัติตามกฎหมายป้องกันการฟอกเงิน
- ข้อมูล Log การใช้งาน: เก็บ 12 เดือน แล้วลบอัตโนมัติ
- ข้อมูลคุกกี้ชั่วคราว: หมดอายุเมื่อปิดเบราว์เซอร์หรือตามระยะเวลาที่กำหนด
9. การโอนข้อมูลระหว่างประเทศ
ในบางกรณี ab168 อาจจำเป็นต้องโอนข้อมูลส่วนบุคคลไปยังเซิร์ฟเวอร์หรือผู้ให้บริการที่ตั้งอยู่นอกประเทศไทย การโอนข้อมูลดังกล่าวจะดำเนินการภายใต้เงื่อนไขดังต่อไปนี้:
- ประเทศปลายทางต้องมีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอตามที่ PDPC กำหนด
- มีสัญญาการประมวลผลข้อมูล (DPA) ที่ครอบคลุมข้อกำหนดการคุ้มครองข้อมูลตามมาตรฐาน PDPA
- ผู้ใช้ได้รับแจ้งและให้ความยินยอมในการโอนข้อมูลข้ามแดน หากจำเป็น
10. ติดต่อเจ้าหน้าที่คุ้มครองข้อมูล
หากมีคำถาม ข้อกังวล หรือต้องการใช้สิทธิ์เกี่ยวกับข้อมูลส่วนบุคคลของคุณ ติดต่อเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer) ของ ab168 ได้ที่:
- อีเมล: [email protected] (แสดงเป็นข้อความ ไม่ใช่ลิงก์คลิกได้)
- ช่องทางซัพพอร์ตภายในแพลตฟอร์ม ab168 ตลอด 24 ชั่วโมง
- ab168 จะตอบกลับคำขอที่เกี่ยวกับ PDPA ภายใน 30 วันทำการ
ab168 ขอสงวนสิทธิ์ในการปรับปรุงนโยบายความเป็นส่วนตัวนี้ได้ตลอดเวลา การเปลี่ยนแปลงที่มีนัยสำคัญจะแจ้งให้ผู้ใช้ทราบผ่านหน้าเว็บไซต์หลักหรือการแจ้งเตือนในบัญชีของผู้ใช้