นโยบายความเป็นส่วนตัว

1. ผู้ควบคุมข้อมูลและช่องทางติดต่อ

ผู้ควบคุมข้อมูลส่วนบุคคล: บริษัท ไวด์ลี่ เน็กท์ จำกัด

เลขทะเบียนนิติบุคคล: 0105547032653

ที่อยู่: 8/4 ซอยลาดพร้าว 44 แยก 2 แขวงสามเสนนอก เขตห้วยขวาง กรุงเทพฯ 10310

อีเมลติดต่อ: support@widelynext.co.th

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO): ติดต่อผ่าน support@widelynext.co.th

2. ข้อมูลส่วนบุคคลที่เราเก็บรวบรวม

ก. ข้อมูลที่ท่านให้กับเราโดยตรง

• ข้อมูลบัญชี: ชื่อ-นามสกุล อีเมล รหัสผ่าน (เก็บเป็น hash ที่ไม่สามารถถอดกลับได้) เบอร์โทรศัพท์
• ข้อมูลองค์กร: ชื่อบริษัท โลโก้ ที่อยู่ แผนการใช้งาน
• ข้อมูลพนักงาน (อัปโหลดโดยผู้ดูแลระบบในนามขององค์กร): ชื่อ ตำแหน่ง รูปถ่าย อีเมล เบอร์โทร
• ข้อมูลการชำระเงิน (ประมวลผลโดยผู้ให้บริการ payment gateway — เราไม่เก็บเลขบัตรเครดิตเต็ม)
• เนื้อหาที่ท่านส่งให้ เช่น ข้อความสอบถาม ฟีดแบ็ก รายงานปัญหา

เราไม่เก็บข้อมูลส่วนบุคคลที่อ่อนไหว (เช่น ข้อมูลสุขภาพ เชื้อชาติ ศาสนา ความคิดเห็นทางการเมือง ข้อมูลชีวภาพ) เว้นแต่ท่านส่งมาให้โดยสมัครใจและได้ให้ความยินยอมอย่างชัดแจ้ง

3. วัตถุประสงค์และฐานทางกฎหมาย (PDPA มาตรา 24, 26)

เราประมวลผลข้อมูลของท่านด้วยวัตถุประสงค์และฐานทางกฎหมายดังนี้:

• สร้างและจัดการบัญชีผู้ใช้ — ความจำเป็นเพื่อปฏิบัติตามสัญญา
• ให้บริการบันทึกเวลาทำงาน รายงาน และระบบหลัก — ความจำเป็นเพื่อปฏิบัติตามสัญญา
• เรียกเก็บค่าบริการและออกใบเสร็จ/ใบกำกับภาษี — สัญญาและหน้าที่ตามกฎหมายภาษี
• ส่งอีเมลแจ้งเตือนระบบและธุรกรรม — ความจำเป็นเพื่อปฏิบัติตามสัญญา
• ส่งอีเมลการตลาด — ความยินยอม (ถอนได้ตลอดเวลา)
• ป้องกันการฉ้อโกงและรักษาความปลอดภัยของระบบ — ประโยชน์โดยชอบด้วยกฎหมาย
• ปฏิบัติตามคำสั่งศาลและหน่วยงานรัฐ — หน้าที่ตามกฎหมาย
• วิเคราะห์การใช้งานเพื่อปรับปรุงบริการ — ประโยชน์โดยชอบด้วยกฎหมาย

4. การเปิดเผยข้อมูลต่อบุคคลที่สาม

เราจะไม่ขายข้อมูลส่วนบุคคลของท่าน เราอาจเปิดเผยข้อมูลให้ผู้ประมวลผลข้อมูล (Data Processors) ที่จำเป็นต่อการให้บริการ ได้แก่:

• Supabase Inc. — โฮสต์ฐานข้อมูล PostgreSQL การยืนยันตัวตน และ object storage
• Vercel Inc. — โฮสต์เว็บไซต์และ serverless functions
• Upstash Inc. — บริการ Redis cache และ rate limiting
• Resend Inc. — บริการส่งอีเมลธุรกรรม
• Google LLC — บริการ OAuth login (ภายใต้นโยบายของ Google)
• ผู้ให้บริการ payment gateway — เมื่อมีการชำระเงินแบบเสียค่าธรรมเนียม

ผู้ประมวลผลทั้งหมดผูกพันด้วยสัญญาประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) นอกจากนี้เราอาจเปิดเผยข้อมูลให้หน่วยงานของรัฐเมื่อมีคำสั่งหรือหมายตามกฎหมาย หรือให้ผู้รับโอนกิจการในกรณีควบรวมหรือขายกิจการ โดยจะแจ้งให้ท่านทราบล่วงหน้า

5. การส่งหรือโอนข้อมูลไปต่างประเทศ (PDPA มาตรา 28)

ผู้ประมวลผลบางรายของเรามีเซิร์ฟเวอร์อยู่นอกประเทศไทย เช่น สิงคโปร์ สหรัฐอเมริกา หรือสหภาพยุโรป เราจะดำเนินการให้แน่ใจว่าผู้รับข้อมูลมีมาตรการคุ้มครองข้อมูลที่เพียงพอตามมาตรฐานที่ PDPC ประกาศกำหนด หรือมีมาตรฐานการคุ้มครองที่เทียบเท่า เช่น Standard Contractual Clauses (SCC) หรือมาตรฐานสากลอื่น ๆ

6. ระยะเวลาการเก็บรักษาข้อมูล

เราเก็บข้อมูลของท่านตามระยะเวลาดังนี้:

• ข้อมูลบัญชีที่ใช้งานอยู่: ตลอดระยะเวลาที่บัญชียังเปิดอยู่
• ข้อมูลหลังยกเลิกบัญชี: 30 วันก่อนลบถาวร เพื่อให้ท่าน export ได้
• ข้อมูลทางบัญชี/ภาษี: อย่างน้อย 5 ปี ตามประมวลรัษฎากร
• Log การเข้าใช้งานระบบคอมพิวเตอร์: อย่างน้อย 90 วัน ตาม พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• ข้อมูลสำหรับการใช้สิทธิเรียกร้อง: ตลอดอายุความตามกฎหมาย (ปกติ 10 ปี)
• บันทึกความยินยอม (consent log): ตลอดระยะเวลาที่ยังใช้ฐานความยินยอม + 10 ปี

7. สิทธิของเจ้าของข้อมูลส่วนบุคคล (PDPA มาตรา 30-36)

ในฐานะเจ้าของข้อมูลส่วนบุคคล ท่านมีสิทธิ์ดังต่อไปนี้:

• สิทธิเข้าถึงและขอสำเนาข้อมูลของท่านที่เราเก็บไว้
• สิทธิแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่เป็นปัจจุบัน
• สิทธิลบหรือทำลายข้อมูล (Right to be forgotten) ภายใต้เงื่อนไขที่กฎหมายกำหนด
• สิทธิระงับการใช้ข้อมูลชั่วคราว
• สิทธิคัดค้านการประมวลผลข้อมูล
• สิทธิขอให้โอนย้ายข้อมูลในรูปแบบที่อ่านได้ด้วยเครื่อง (Data portability)
• สิทธิถอนความยินยอมที่ท่านเคยให้ไว้ (โดยไม่กระทบความชอบด้วยกฎหมายของการประมวลผลก่อนการถอน)
• สิทธิร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) หากเห็นว่าเราไม่ปฏิบัติตามกฎหมาย

ท่านสามารถส่งคำขอใช้สิทธิได้ที่ support@widelynext.co.th เราจะดำเนินการภายใน 30 วันนับจากวันที่ได้รับคำขอที่สมบูรณ์ (อาจขยายได้ในกรณีจำเป็น โดยจะแจ้งเหตุผลให้ทราบ) เราอาจปฏิเสธคำขอบางส่วนเฉพาะกรณีที่กฎหมายอนุญาต

8. มาตรการรักษาความปลอดภัย

เราใช้มาตรการที่เหมาะสมตามมาตรฐานอุตสาหกรรมและประกาศที่ PDPC กำหนด:

• เข้ารหัสข้อมูลขณะส่งด้วย TLS 1.2 ขึ้นไป
• เข้ารหัสรหัสผ่านด้วย hashing algorithm ที่ปลอดภัย
• Row-Level Security (RLS) บนฐานข้อมูล แบ่งข้อมูลแต่ละองค์กรอย่างเด็ดขาด
• ระบบสำรองข้อมูลและแผนกู้คืนจากภัยพิบัติ
• จำกัดการเข้าถึงเฉพาะผู้มีอำนาจตามหลักการ least-privilege
• ตรวจสอบความปลอดภัยและอัปเดตซอฟต์แวร์เป็นประจำ
• บันทึกและตรวจสอบการเข้าถึงข้อมูล (audit log)

9. การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (PDPA มาตรา 37(4))

หากเกิดเหตุการละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล เราจะแจ้งให้สำนักงาน PDPC ทราบภายใน 72 ชั่วโมงนับจากที่ทราบเหตุ และหากมีความเสี่ยงสูง เราจะแจ้งให้เจ้าของข้อมูลที่ได้รับผลกระทบทราบโดยไม่ชักช้า

10. คุกกี้และเทคโนโลยีติดตาม

เราใช้คุกกี้และเทคโนโลยีที่คล้ายกันเพื่อ:

• รักษา session การเข้าสู่ระบบ (จำเป็นต่อการให้บริการ)
• จดจำการตั้งค่าภาษาและธีม (จำเป็นเพื่อประสบการณ์การใช้งาน)
• วิเคราะห์การใช้งานเพื่อปรับปรุงบริการ (เฉพาะเมื่อท่านให้ความยินยอม หากในอนาคตเราเปิดใช้)

ท่านสามารถจัดการคุกกี้ได้ผ่านการตั้งค่าเบราว์เซอร์ การปิดคุกกี้บางประเภทอาจส่งผลต่อการใช้งาน

11. ข้อมูลของผู้เยาว์

บริการของเราไม่ได้มุ่งเป้าไปที่ผู้ที่อายุต่ำกว่า 20 ปี เราจะไม่เก็บข้อมูลของผู้เยาว์โดยเจตนา หากท่านพบว่ามีผู้เยาว์ส่งข้อมูลให้เรา โปรดแจ้งเราเพื่อดำเนินการลบทันที กรณีพนักงานในระบบที่อาจมีอายุต่ำกว่าเกณฑ์ ผู้ใช้บริการในฐานะผู้ควบคุมข้อมูลของพนักงานต้องดำเนินการขอความยินยอมจากผู้ปกครองตามกฎหมาย

12. การเปลี่ยนแปลงนโยบาย

เราอาจปรับปรุงนโยบายฉบับนี้เป็นครั้งคราว การเปลี่ยนแปลงสำคัญจะแจ้งล่วงหน้าทางอีเมลที่ลงทะเบียนไว้หรือผ่านบริการ ฉบับล่าสุดจะแสดงวันที่บังคับใช้ที่ด้านบนของหน้านี้เสมอ การใช้บริการต่อหลังการเปลี่ยนแปลงถือว่าท่านรับทราบนโยบายฉบับใหม่

13. ติดต่อเรา

หากมีคำถาม ข้อเสนอแนะ หรือต้องการใช้สิทธิตาม PDPA โปรดติดต่อ บริษัท ไวด์ลี่ เน็กท์ จำกัด ที่อยู่: 8/4 ซอยลาดพร้าว 44 แยก 2 แขวงสามเสนนอก เขตห้วยขวาง กรุงเทพฯ 10310 อีเมล: support@widelynext.co.th

หากท่านไม่ได้รับการตอบสนองที่น่าพอใจ ท่านมีสิทธิ์ร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ที่เว็บไซต์ https://www.pdpc.or.th