PDPA Compliance · 2562

นโยบายความเป็นส่วนตัว

เราเคารพและให้ความสำคัญกับความเป็นส่วนตัวของผู้ใช้งานทุกท่าน — เอกสารนี้อธิบายวิธีที่ GutePOS และ GuteStyle เก็บรวบรวม ใช้ เปิดเผย และรักษาข้อมูลของคุณ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

อัปเดต: พฤษภาคม 2569 เวอร์ชัน 2.0 ไทย / English
ติดต่อ DPO
SECTION 1

ข้อมูลที่เราเก็บรวบรวม

เราอาจเก็บรวบรวมข้อมูลส่วนบุคคลของคุณผ่านการใช้งานระบบ GutePOS / GuteStyle, เว็บไซต์ของเรา หรือการติดต่อสอบถาม ซึ่งแบ่งออกเป็น 4 ประเภทหลัก:

  • ข้อมูลระบุตัวตนและการติดต่อ: ชื่อ-นามสกุล, ที่อยู่อีเมล, เบอร์โทรศัพท์, ที่อยู่ร้านค้า/ร้านเสริมสวย, เลขประจำตัวผู้เสียภาษี (ถ้ามี)
  • ข้อมูลการทำธุรกรรม: ประวัติการสั่งซื้อ, ข้อมูลแพ็กเกจที่ใช้งาน, ข้อมูลการเรียกเก็บเงิน · เราไม่เก็บข้อมูลบัตรเครดิตเต็มรูปแบบ ใช้บริการ Payment Gateway ที่ผ่านมาตรฐาน PCI-DSS เท่านั้น
  • ข้อมูลการให้บริการ (เป็นผู้ประมวลผลข้อมูล): ข้อมูลพนักงาน/ช่าง, ข้อมูลลูกค้าที่ผู้ใช้งานป้อนเข้าระบบ, รายการจอง, ใบเสร็จ, สลิปเงินเดือน, รายงานต่างๆ — เราเป็น Data Processor ตามคำสั่งของผู้ใช้ระบบ (Data Controller)
  • ข้อมูลเชิงเทคนิค: หมายเลข IP, ประเภทเบราว์เซอร์, OS, คุกกี้ (Cookies), สถิติการเข้าชมเว็บไซต์, log การ login
หมายเหตุสำคัญ
เราไม่เก็บข้อมูลละเอียดอ่อน (Sensitive Personal Data) เช่น เชื้อชาติ ศาสนา ข้อมูลสุขภาพ ยกเว้นเป็นข้อมูลที่จำเป็นต่อการให้บริการเฉพาะอย่าง (เช่น ข้อมูลการแพ้สี/น้ำยา ในร้านเสริมสวย ที่ลูกค้าสมัครใจให้)
SECTION 2

วัตถุประสงค์การใช้ข้อมูล

เราเก็บรวบรวมและใช้ข้อมูลของคุณเพื่อวัตถุประสงค์ดังต่อไปนี้:

  • ให้บริการระบบ: เพื่อให้คุณใช้งาน GutePOS และ GuteStyle ได้อย่างเต็มประสิทธิภาพ
  • ประมวลผลธุรกรรม: ออกใบเสร็จ ใบกำกับภาษี ใบแจ้งหนี้ และคำสั่งซื้อ
  • การติดต่อสื่อสาร: แจ้งเตือนการอัปเดตระบบ การต่ออายุ License หรือสิทธิประโยชน์ต่าง ๆ
  • วิเคราะห์และพัฒนา: ปรับปรุงผลิตภัณฑ์และบริการของเราให้ตรงกับความต้องการ
  • ความปลอดภัย: ตรวจสอบและป้องกันการใช้งานที่ไม่ถูกต้อง การโจรกรรมบัญชี และการละเมิดความปลอดภัย
  • การปฏิบัติตามกฎหมาย: เพื่อปฏิบัติตามภาระหน้าที่ทางกฎหมาย เช่น การออกใบกำกับภาษี (e-Tax Invoice)
SECTION 3

การเปิดเผยข้อมูลแก่บุคคลที่สาม

เราจะ ไม่ขายและไม่ให้เช่า ข้อมูลส่วนบุคคลของคุณแก่บุคคลภายนอก เราอาจเปิดเผยข้อมูลของคุณเฉพาะในกรณีที่จำเป็น ต่อไปนี้:

  • ผู้ให้บริการ Cloud Infrastructure: AWS / Google Cloud / Microsoft Azure (server hosting) ที่ผ่านมาตรฐาน ISO 27001
  • Payment Gateway: 2C2P, GBPrimePay, Stripe ที่ผ่านมาตรฐาน PCI-DSS Level 1
  • ผู้ให้บริการสื่อสาร: LINE, SendGrid, Twilio (สำหรับการแจ้งเตือน)
  • หน่วยงานรัฐ: เมื่อได้รับการร้องขออย่างเป็นทางการตามกฎหมาย หรือคำสั่งศาล
  • ที่ปรึกษาด้านกฎหมาย/บัญชี: ในขอบเขตที่จำเป็นต่อการบริหารธุรกิจ ภายใต้สัญญาความลับ
SECTION 4

สิทธิของคุณในฐานะเจ้าของข้อมูล

ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) คุณมีสิทธิดังต่อไปนี้:

สิทธิเข้าถึงข้อมูล ขอเข้าถึงและรับสำเนาข้อมูลส่วนบุคคลของตน
สิทธิแก้ไข ขอแก้ไขข้อมูลให้ถูกต้อง สมบูรณ์ และเป็นปัจจุบัน
สิทธิลบข้อมูล ขอให้ลบหรือทำลายข้อมูล (Right to be Forgotten)
สิทธิระงับการใช้ ขอระงับการใช้ข้อมูลชั่วคราว
สิทธิเพิกถอนความยินยอม ถอนความยินยอมที่เคยให้ไว้ได้ทุกเมื่อ
สิทธิโอนย้ายข้อมูล ขอรับข้อมูลในรูปแบบที่อ่านได้ด้วยเครื่อง
สิทธิคัดค้าน คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
สิทธิร้องเรียน ยื่นเรื่องต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ระยะเวลาตอบสนอง
เราจะตอบสนองต่อคำร้องขอใช้สิทธิของคุณภายใน 30 วัน นับจากวันที่ได้รับคำร้อง · ส่งคำร้องผ่านอีเมล dpo@gutepos.com หรือ LINE Official @gutepos
SECTION 5

ระยะเวลาการเก็บรักษาข้อมูล

เราจะเก็บรักษาข้อมูลของคุณเท่าที่จำเป็นเพื่อบรรลุวัตถุประสงค์ในการเก็บรวบรวม:

  • ข้อมูลบัญชีผู้ใช้: ตลอดอายุการใช้งาน + 90 วันหลังยกเลิกบริการ
  • ข้อมูลธุรกรรม / ใบเสร็จ: 5 ปี ตามประมวลรัษฎากร
  • ข้อมูล log การ login / security: 1 ปี
  • คุกกี้ (Cookies): ตามประเภทคุกกี้ — สูงสุด 12 เดือน
  • ข้อมูลที่จำเป็นตามกฎหมาย: ตามระยะเวลาที่กฎหมายกำหนด

เมื่อพ้นระยะเวลาดังกล่าว เราจะลบหรือทำให้ข้อมูลกลายเป็นข้อมูลที่ไม่สามารถระบุตัวตน (anonymize) ตามมาตรฐานที่เหมาะสม

SECTION 6

การโอนข้อมูลไปต่างประเทศ

โดยปกติ เราเก็บข้อมูลของคุณไว้ใน Data Center ในประเทศไทย หากมีการโอนข้อมูลไปต่างประเทศ (เช่น Cloud Provider ในสิงคโปร์ หรือสหรัฐอเมริกา) เราจะดำเนินการดังนี้:

  • เลือกประเทศปลายทางที่มีมาตรฐานการคุ้มครองข้อมูลเทียบเท่าหรือสูงกว่าไทย
  • มีสัญญาคุ้มครองข้อมูล (Data Processing Agreement) กับผู้ให้บริการต่างประเทศ
  • ใช้ Standard Contractual Clauses (SCCs) ตามแนวทางสากล
  • แจ้งให้คุณทราบและขอความยินยอมหากจำเป็น
SECTION 7

มาตรการรักษาความปลอดภัย

เราใช้มาตรการรักษาความปลอดภัยทั้งทางเทคนิคและองค์กรเพื่อปกป้องข้อมูลของคุณ:

  • การเข้ารหัสข้อมูล: SSL/TLS สำหรับการรับ-ส่งข้อมูล (in-transit) · AES-256 สำหรับข้อมูลที่จัดเก็บ (at-rest)
  • การยืนยันตัวตน: รหัสผ่านที่เข้ารหัส (bcrypt) + รองรับ 2-Factor Authentication (TOTP)
  • การควบคุมการเข้าถึง: Role-based Access Control (RBAC) · Audit log ทุกการกระทำ
  • การสำรองข้อมูล: สำรองรายวัน เก็บไว้ 30 วัน · Disaster Recovery Plan
  • การตรวจสอบความปลอดภัย: Penetration testing ประจำปี · Security audit ทุกครึ่งปี
  • การฝึกอบรมพนักงาน: พนักงานทุกคนผ่านการอบรม PDPA และ Information Security
SECTION 8

การใช้คุกกี้ (Cookies)

เว็บไซต์ของเราใช้คุกกี้เพื่อจดจำการตั้งค่า วิเคราะห์การใช้งาน และนำเสนอเนื้อหาที่เหมาะสม คุกกี้ของเราแบ่งเป็น 4 ประเภท:

  • Essential Cookies: จำเป็นต่อการทำงานของเว็บไซต์ — ไม่สามารถปิดได้
  • Analytics Cookies: Google Analytics สำหรับวิเคราะห์การใช้งาน — ปิดได้
  • Marketing Cookies: Facebook Pixel, Google Ads สำหรับโฆษณาที่เหมาะกับคุณ — ปิดได้
  • Functional Cookies: จดจำภาษา ธีม และการตั้งค่าส่วนตัว — ปิดได้

คุณสามารถจัดการการตั้งค่าคุกกี้ได้ผ่าน Cookie Banner ที่ปรากฏเมื่อเข้าใช้งานครั้งแรก หรือผ่านการตั้งค่าเบราว์เซอร์ของคุณเอง

SECTION 9

ข้อมูลของผู้เยาว์

บริการของเราออกแบบมาสำหรับผู้ประกอบการธุรกิจ ไม่ได้มุ่งเน้นไปที่ผู้เยาว์อายุต่ำกว่า 20 ปี เราไม่เก็บรวบรวมข้อมูลของผู้เยาว์โดยเจตนา หากพบว่ามีการเก็บรวบรวมข้อมูลของผู้เยาว์โดยไม่ได้รับความยินยอมจากผู้ปกครอง เราจะดำเนินการลบข้อมูลดังกล่าวทันที

SECTION 10

การแก้ไขเปลี่ยนแปลงนโยบาย

เราขอสงวนสิทธิ์ในการปรับปรุงนโยบายฉบับนี้เพื่อให้สอดคล้องกับกฎหมายที่เปลี่ยนแปลง หรือการพัฒนาบริการของเรา การเปลี่ยนแปลงสำคัญจะแจ้งให้คุณทราบผ่าน:

  • การประกาศบนเว็บไซต์ของเรา
  • การส่งอีเมลแจ้งผู้ใช้งานที่ลงทะเบียนไว้
  • การแจ้งเตือนผ่านระบบ GutePOS / GuteStyle

การใช้งานต่อไปหลังการเปลี่ยนแปลง ถือว่าคุณยอมรับนโยบายฉบับใหม่

SECTION 11

ติดต่อเจ้าหน้าที่คุ้มครองข้อมูล (DPO)

หากคุณมีข้อสงสัย ข้อกังวลเกี่ยวกับความเป็นส่วนตัว หรือต้องการใช้สิทธิตาม PDPA โปรดติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer / DPO) ของเรา:

Data Protection Officer · GutePOS / GuteStyle

dpo@gutepos.com @gutepos 02-XXX-XXXX จันทร์–ศุกร์ 9:00–18:00
ยื่นเรื่องร้องเรียนภายนอก
หากคุณไม่พอใจในการตอบสนองของเรา สามารถยื่นเรื่องต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ที่ pdpc.or.th