นโยบายความเป็นส่วนตัว

มาตรา 1 (วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล)

บริษัทประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังต่อไปนี้

บริษัทจะดำเนินการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลภายใต้ฐานกฎหมายที่กำหนดไว้ในพระราชบญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อวัตถุประสงค์ดังต่อไปนี้ และข้อมูลส่วนบุคคลที่เก็บรวบรวมจะไม่นำไปใช้เพื่อวัตถุประสงค์อื่นนอกเหนือจากที่ระบุไว้ด้านล่าง

ข้อมูลส่วนบุคคลที่เก็บรวบรวมจะถูกใช้เฉพาะเท่าที่จำเป็นตามวัตถุประสงค์ที่ได้แจ้งไว้เท่านั้น และจะไม่ถูกนำไปใช้เพื่อวัตถุประสงค์อื่นนอกเหนือจากที่ระบุไว้ เว้นแต่

ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
เป็นการปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญา
เป็นการปฏิบัติตามกฎหมาย
เป็นการปกป้องประโยชน์โดยชอบด้วยกฎหมายของบริษัท โดยไม่กระทบ
เป็นการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

※ในกรณีที่บริษัทมีความจำเป็นต้องเปลี่ยนแปลงวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล บริษัทจะแจ้งให้เจ้าของข้อมูลทราบ และหากกฎหมายกำหนด บริษัทจะขอความยินยอมเพิ่มเติมก่อนดำเนินการดังกล่าว

มาตรา 2 (ข้อมูลส่วนบุคคลที่เก็บรวบรวม)

ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

มาตรา 3 (การจัดการข้อมูลส่วนบุคคลของเด็กอายุต่ำกว่า 18 ปี)

เมื่อบริษัทจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลของเด็กที่มีอายุต่ำกว่า 18 ปี บริษัทจะต้องขอความยินยอมจากผู้ปกครองตามกฎหมายของเด็ก
ในการขอความยินยอมดังกล่าว บริษัทอาจขอข้อมูลจากเด็กเพียงเท่าที่จำเป็น เช่น ชื่อและรายละเอียดการติดต่อของผู้ปกครองตามกฎหมาย

มาตรา 4 (ระยะเวลาการเก็บรักษาและการประมวลผลข้อมูลส่วนบุคคล)

บริษัทฯ เก็บรักษาและประมวลผลข้อมูลส่วนบุคคลภายในระยะเวลาที่กฎหมายที่เกี่ยวข้องกำหนด หรือระยะเวลาที่เจ้าของข้อมูลตกลงไว้ในขณะที่เก็บรวบรวมข้อมูล
ระยะเวลาการเก็บรักษาและประมวลผลข้อมูลส่วนบุคคลแต่ละประเภทมีดังต่อไปนี้:

มาตรา 5 หลักการทำลายข้อมูล (Data Destruction Policy)

บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวบุคคลได้โดยไม่ชักช้า เมื่อพ้นระยะเวลาการเก็บรักษาตามที่กำหนดไว้ในมาตรา 4 หรือเมื่อข้อมูลดังกล่าวหมดความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ทั้งนี้ ให้เป็นไปตามมาตรา 37 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
บริษัทจะดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลก่อนครบกำหนดระยะเวลาการเก็บรักษา หากปรากฏว่า
1. ไม่มีความจำเป็นต้องใช้ข้อมูลดังกล่าวเพื่อวัตถุประสงค์ที่ได้แจ้งไว้
2. เจ้าของข้อมูลถอนความยินยอม และไม่มีฐานกฎหมายอื่นรองรับการประมวลผล
3. บัญชีผู้ใช้หรือบัญชีที่เชื่อมโยงกับบริการของบุคคลที่สามถูกยกเลิก และไม่มีเหตุจำเป็นต้องเก็บรักษาต่อ
4. กฎหมาย คำสั่งศาล หรือคำสั่งของหน่วยงานที่มีอำนาจกำหนดให้ลบหรือทำลายข้อมูล
ในกรณีที่แม้จะสิ้นสุดวัตถุประสงค์หรือหมดระยะเวลาที่ได้รับความยินยอมแล้ว แต่กฎหมายอื่นกำหนดให้บริษัทต้องเก็บรักษาข้อมูลส่วนบุคคลไว้ต่อไป บริษัทจะจำกัดการเข้าถึงและแยกจัดเก็บข้อมูลดังกล่าวออกจากข้อมูลทั่วไป โดยจะใช้หรือเปิดเผยข้อมูลนั้นเฉพาะเพื่อการปฏิบัติตามกฎหมายที่เกี่ยวข้องเท่านั้น

※ รายละเอียดเกี่ยวกับประเภทข้อมูล ระยะเวลา และฐานกฎหมายในการเก็บรักษา โปรดดูมาตรา 4 (ระยะเวลาการเก็บรักษาและการประมวลผลข้อมูลส่วนบุคคล)

ขั้นตอนและวิธีการทำลายข้อมูลส่วนบุคคล

ขั้นตอนการทำลายข้อมูล

บริษัทจะตรวจสอบความจำเป็นในการเก็บรักษาข้อมูลส่วนบุคคลเป็นระยะ และเมื่อครบกำหนดหรือหมดความจำเป็น จะดำเนินการทำลายข้อมูลโดยทันที ในกรณีผู้ใช้ยกเลิกบัญชี บริษัทอาจเก็บรักษาข้อมูลไว้ชั่วคราวไม่เกิน 14 วัน เพื่อรองรับการกู้คืนบัญชีหรือป้องกันการทุจริต หลังจากครบกำหนดดังกล่าว บริษัทจะดำเนินการลบข้อมูลอย่างถาวร เว้นแต่มีเหตุผลทางกฎหมายที่ต้องเก็บรักษาต่อไป"

วิธีการทำลายข้อมูล

- ข้อมูลส่วนบุคคลในรูปแบบอิเล็กทรอนิกส์ จะถูกลบด้วยวิธีการที่ปลอดภัย เช่น การลบถาวร (Secure Deletion) หรือการทำลายข้อมูลตามมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อไม่ให้สามารถกู้คืนได้

- ข้อมูลส่วนบุคคลในรูปแบบเอกสารกระดาษ จะถูกทำลายด้วยวิธีการที่เหมาะสม เช่น การทำลายเอกสารด้วยเครื่องทำลายเอกสาร หรือวิธีการอื่นที่ทำให้ข้อมูลไม่สามารถอ่านหรือกู้คืนได้

บริษัทจะจัดให้มีมาตรการควบคุมและบันทึกกระบวนการทำลายข้อมูล เพื่อให้สามารถตรวจสอบได้ตามหลักความรับผิดชอบ (Accountability) ตามที่กฎหมายกำหนด

มาตรา 6 การเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลภายนอก

บริษัทจะเปิดเผยข้อมูลส่วนบุคคลเฉพาะเท่าที่จำเป็น ภายใต้ฐานกฎหมายตามมาตรา 24 และมาตรา 27 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยจะดำเนินการดังต่อไปนี้

เปิดเผยตามวัตถุประสงค์ที่ได้แจ้งไว้ และภายใต้ความยินยอมของเจ้าของข้อมูล (มาตรา 24 (1))
เปิดเผยเพื่อการปฏิบัติตามสัญญา (มาตรา 24 (3))
เปิดเผยเพื่อปฏิบัติตามกฎหมาย (มาตรา 24 (2))
เปิดเผยตามฐานประโยชน์โดยชอบด้วยกฎหมาย (มาตรา 24 (5))
กรณีข้อมูลอ่อนไหว จะปฏิบัติตามมาตรา 26 อย่างเคร่งครัด

มาตรการคุ้มครองข้อมูล

บริษัทจะดำเนินการดังต่อไปนี้ก่อนการเปิดเผยข้อมูลแก่บุคคลภายนอก

ทำสัญญาประมวลผลข้อมูล (Data Processing Agreement: DPA)
กำหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล
จำกัดการเข้าถึงข้อมูลเฉพาะผู้มีหน้าที่
เปิดเผยข้อมูลเท่าที่จำเป็นตามหลัก Data Minimization

การโอนข้อมูลไปต่างประเทศ (อ้างอิงมาตรา 28–29 PDPA)

ในกรณีมีการโอนข้อมูลไปต่างประเทศ บริษัทจะดำเนินการเมื่อ

ประเทศปลายทางมีมาตรฐานคุ้มครองข้อมูลเพียงพอ
มีสัญญามาตรฐาน (Standard Contractual Clauses)
ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล

มาตรา 7 การว่าจ้างผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

บริษัทอาจว่าจ้างบุคคลภายนอกให้ดำเนินการประมวลผลข้อมูลส่วนบุคคลแทนบริษัท โดยจะดำเนินการตามมาตรา 37 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 - ปัจจุบันยังไม่มี

มาตรา 8 (การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ)

การโอนข้อมูลไปยังต่างประเทศจะดำเนินการตามมาตรา 28–29 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 - ปัจจุบันยังไม่มี

มาตรา 9 (มาตรการเพื่อรักษาความปลอดภัยของข้อมูลส่วนบุคคล)

บริษัทฯ ดำเนินมาตรการต่อไปนี้เพื่อรับรองความปลอดภัยและการคุ้มครองข้อมูลส่วนบุคคล

มาตรการด้านการบริหาร: การจัดทำและดำเนินการตามแผนการจัดการภายใน การฝึกอบรมพนักงานและบุคลากรที่จัดการข้อมูลส่วนบุคคล การดำเนินงานของทีมคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ
มาตรการด้านเทคนิค: การควบคุมการเข้าถึงระบบประมวลผลข้อมูลส่วนบุคคล การติดตั้งและอัปเดตซอฟต์แวร์รักษาความปลอดภัยเป็นประจำ การใช้งานระบบควบคุมการเข้าถึง การเข้ารหัสข้อมูลส่วนบุคคล (เช่น หมายเลขประจำตัวที่ไม่ซ้ำกัน)
มาตรการด้านกายภาพ: การจำกัดการเข้าถึงศูนย์ข้อมูลและห้องเก็บของ การดำเนินการตามขั้นตอนการควบคุมการเข้าและออก

มาตรา 10 การใช้อุปกรณ์เก็บรวบรวมข้อมูลอัตโนมัติ (Cookies & Tracking Technologies)

บริษัทอาจใช้คุกกี้ (Cookies) และเทคโนโลยีที่คล้ายคลึงกัน เพื่อเก็บรวบรวมข้อมูลการใช้งานของผู้ใช้ โดยจะดำเนินการภายใต้ฐานกฎหมายตามมาตรา 24 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และให้สิทธิผู้ใช้ในการจัดการความยินยอม

ประเภทของข้อมูลที่เก็บรวบรวมโดยอัตโนมัติ

ข้อมูลการเข้าใช้งาน IP Address, วันเวลาเข้าใช้งาน, หน้าเว็บที่เข้าชม
ข้อมูลอุปกรณ์ ประเภทอุปกรณ์, ระบบปฏิบัติการ, เวอร์ชันเบราว์เซอร์"
พฤติกรรมการใช้งาน การคลิก, ระยะเวลาการใช้งาน, เส้นทางการใช้งาน"
ตัวระบุออนไลน์ Cookie ID, Advertising ID (ADID, IDFA)"

2. ตารางฐานข้อมูลการใช้คุกกี้และข้อมูลพฤติกรรม

3. วิธีการให้ความยินยอมและการถอนความยินยอม

4. สิทธิของเจ้าของข้อมูล (ตามมาตรา 19, 23, 32 PDPA) เจ้าของข้อมูลมีสิทธิ

ถอนความยินยอมได้ทุกเมื่อ
ขอเข้าถึงข้อมูล
ขอให้ลบหรือทำลายข้อมูล
คัดค้านการประมวลผลข้อมูลเพื่อการตลาด

5. ระยะเวลาการเก็บรักษาข้อมูลอัตโนมัติ

ข้อมูลพฤติกรรมการใช้งานเว็บไซต์/แอปจะถูกเก็บรักษาไม่เกิน 14 เดือน เว้นแต่กฎหมายกำหนดให้เก็บรักษานานกว่านั้น

มาตรา 11 สิทธิของเจ้าของข้อมูลส่วนบุคคล และวิธีการใช้สิทธิ

บริษัทรับรองสิทธิของเจ้าของข้อมูลตามมาตรา 19, 23, 30–36 และมาตรา 41 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

1. ตารางสิทธิของเจ้าของข้อมูล

2. วิธีการใช้สิทธิ

3. ข้อจำกัดสิทธิ

บริษัทอาจปฏิเสธคำขอได้ตามมาตรา 35(4), 37(2) หรือกรณีที่กฎหมายอื่นกำหนดให้ต้องเก็บรักษาข้อมูล

มาตรา 12 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)

บริษัทแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (หากเข้าเกณฑ์ตามกฎหมาย)

1. ข้อมูลติดต่อเจ้าหน้าที่คุ้มครองข้อมูล

2. หน้าที่ของ DPO ตาม PDPA

มาตรา 13 (การเยียวยาความเสียหายจากการละเมิดสิทธิและผลประโยชน์)

1. หากเจ้าของข้อมูลส่วนบุคคลได้รับความเสียหายอันเนื่องมาจากการละเมิดข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิร้องเรียนหรือขอคำปรึกษาเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลได้ที่หน่วยงานที่เกี่ยวข้องตามกฎหมายของประเทศไทย ดังต่อไปนี้

▶ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

เว็บไซต์: https://www.pdpc.go.th

อีเมล: saraban@pdpc.or.th

โทรศัพท์: 02-111-8800

※ เจ้าของข้อมูลมีสิทธิยื่นคำร้องเรียนต่อสำนักงานฯ หากเห็นว่าผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

2. เจ้าของข้อมูลมีสิทธิเรียกร้องค่าสินไหมทดแทนจากผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลได้ หากได้รับความเสียหายจากการกระทำที่ฝ่าฝืนกฎหมาย ทั้งนี้ให้เป็นไปตามหลักเกณฑ์ที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

3. หากเจ้าของข้อมูลเห็นว่าการดำเนินการของหน่วยงานของรัฐไม่ชอบด้วยกฎหมาย หรือไม่ปฏิบัติตามคำร้องขอใช้สิทธิตามมาตรา 30, 31, 32, 33 หรือ 34 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เจ้าของข้อมูลมีสิทธิใช้สิทธิทางศาลหรือช่องทางทางกฎหมายอื่นตามที่กฎหมายกำหนด

4. บริษัทมุ่งมั่นในการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล และจะดำเนินการตรวจสอบ แก้ไข และเยียวยาความเสียหายโดยเร็ว หากมีการละเมิดข้อมูลส่วนบุคคล

สำหรับการสอบถาม ร้องเรียน หรือใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคล กรุณาติดต่อ: ▶ แผนกที่รับผิดชอบด้านการคุ้มครองข้อมูลส่วนบุคคล

อีเมล: Nanastories.co@gmail.com"

มาตรา 14 (เบ็ดเตล็ด)

บริษัทอาจมีลิงก์ไปยังเว็บไซต์หรือแหล่งข้อมูลของบริษัทอื่น อย่างไรก็ตาม บริษัทไม่มีอำนาจควบคุมเว็บไซต์หรือเนื้อหาภายนอกเหล่านั้น ดังนั้นจึงไม่สามารถรับผิดชอบหรือรับประกันความมีประโยชน์ ความถูกต้อง ความชอบด้วยกฎหมาย หรือความน่าเชื่อถือของบริการหรือข้อมูลที่จัดทำโดยบุคคลที่สามเหล่านั้นได้ หากคุณคลิกที่ลิงก์ในเว็บไซต์ของบริษัทและถูกนำไปยังเว็บไซต์อื่น โปรดทราบว่านโยบายความเป็นส่วนตัวของเว็บไซต์นั้นเป็นอิสระจากบริษัท เราขอแนะนำให้คุณตรวจสอบนโยบายความเป็นส่วนตัวของเว็บไซต์ที่คุณเข้าชมใหม่

มาตรา 15 (การเปลี่ยนแปลงนโยบายความเป็นส่วนตัว)

นโยบายความเป็นส่วนตัวนี้มีผลบังคับใช้ตั้งแต่วันที่ 9 มกราคม 2569

วันที่แก้ไขและบังคับใช้: 9 มกราคม 2568

Page updated

Google Sites

Report abuse