นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ (“นโยบาย”) จัดทำขึ้นโดย บริษัท ซีเอ็นวายคอร์ปอเรชั่น จำกัด (“บริษัท”) ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล เพื่อชี้แจงรายละเอียดและวิธีการที่บริษัทจัดการข้อมูลส่วนบุคคลของท่าน ซึ่งรวมถึงการเก็บรวบรวม ใช้ เปิดเผย และประมวลผลข้อมูลส่วนบุคคล ผ่านการให้บริการระบบ Cloud ERP และ Cloud SaaS ภายใต้ชื่อเครื่องหมายการค้า “Symfy” รวมถึงเว็บไซต์ แพลตฟอร์ม บริการออนไลน์ แอปพลิเคชัน และช่องทางการสื่อสารอื่น ๆ ที่เกี่ยวข้อง (“บริการ”)
บริษัทตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและมุ่งมั่นที่จะบริหารจัดการข้อมูลของท่านด้วยความโปร่งใสและเป็นไปตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) รวมถึงกฎหมายและกฎเกณฑ์อื่น ๆ ที่เกี่ยวข้อง
1. คำนิยามและขอบเขตของนโยบาย
1.1 คำนิยาม
- “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
- “เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม ใช้ หรือเปิดเผย ซึ่งรวมถึงแต่ไม่จำกัดเพียง ผู้ใช้บริการ ลูกค้า คู่ค้า ผู้เข้าชมเว็บไซต์ และบุคคลอื่นใดที่ติดต่อกับบริษัท
- “การประมวลผลข้อมูล” หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม บันทึก ใช้ เปิดเผย โอน ลบ หรือทำลาย
1.2 ขอบเขตการบังคับใช้
นโยบายนี้มีผลบังคับใช้กับเจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับบริการของบริษัททั้งหมด ซึ่งรวมถึง:
- เว็บไซต์: ภายใต้โดเมน symfy.app, symfy.me, symfy.co, cnycorp.co.th และโดเมนย่อยที่เกี่ยวข้อง
- แอปพลิเคชัน: แอปพลิเคชันบนอุปกรณ์พกพา (Mobile Application) ที่บริษัทเป็นผู้พัฒนา
- ระบบหลัก: ระบบบริหารจัดการ Cloud ERP และ Cloud SaaS
- ช่องทางการสื่อสาร: LINE Official Account, อีเมล, เครือข่ายสังคมออนไลน์ (Social Media), และระบบสนับสนุนลูกค้า (Support Portal)
นโยบายนี้ ไม่ครอบคลุม ถึงการประมวลผลข้อมูลส่วนบุคคลของพนักงานหรือผู้สมัครงานของบริษัท ซึ่งจะอยู่ภายใต้นโยบายคุ้มครองข้อมูลส่วนบุคคลสำหรับบุคลากรเป็นการเฉพาะ
2. การเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลของท่านจากหลายช่องทาง ดังนี้:
- ข้อมูลที่ท่านให้ไว้โดยตรง: เช่น ข้อมูลที่กรอกระหว่างการลงทะเบียนสมัครใช้บริการ การสร้างบัญชีผู้ใช้ การติดต่อสอบถาม การทำสัญญา หรือการเข้าร่วมกิจกรรมต่าง ๆ
- ข้อมูลที่เก็บรวบรวมโดยอัตโนมัติ: เมื่อท่านใช้งานบริการของบริษัท เช่น การเข้าชมเว็บไซต์ หรือการใช้งานแอปพลิเคชัน
- ข้อมูลจากแหล่งอื่น: เช่น พันธมิตรทางธุรกิจ ผู้ให้บริการภายนอก หรือแหล่งข้อมูลสาธารณะที่ได้รับอนุญาตตามกฎหมาย
ประเภทของข้อมูลที่เก็บรวบรวม
- ข้อมูลระบุตัวตน (Identity Data): เช่น ชื่อ-นามสกุล, เลขประจำตัวผู้เสียภาษี, ภาพถ่าย
- ข้อมูลสำหรับติดต่อ (Contact Data): เช่น อีเมล, หมายเลขโทรศัพท์, ที่อยู่, ข้อมูลบัญชีผู้ใช้ในเครือข่ายสังคมออนไลน์
- ข้อมูลทางเทคนิค (Technical Data): เช่น หมายเลขที่อยู่ไอพี (IP Address), Media Access Control (MAC) address, Cookie ID, ประเภทและเวอร์ชันของเว็บเบราว์เซอร์, การตั้งค่าเขตเวลาและตำแหน่งที่ตั้ง, ประเภทและเวอร์ชันของโปรแกรมเสริม (Plug-in), ระบบปฏิบัติการและแพลตฟอร์ม
- ข้อมูลบัญชีผู้ใช้ (Profile Data): เช่น ชื่อผู้ใช้ (Username), รหัสผ่าน (เข้ารหัส), ประวัติการใช้งาน, สิทธิ์การเข้าถึง, การตั้งค่าส่วนบุคคล
- ข้อมูลการใช้งาน (Usage Data): เช่น บันทึกการเข้าสู่ระบบ (Log), วันที่และเวลาที่เข้าใช้งาน, ฟังก์ชันที่ใช้งาน
- ข้อมูลทางการเงินและธุรกรรม (Financial & Transaction Data): เช่น รายละเอียดบัญชีธนาคาร, ประวัติการชำระเงิน, ใบแจ้งหนี้, ใบเสร็จรับเงิน
- ข้อมูลทางการตลาดและการสื่อสาร (Marketing & Communication Data): เช่น ความพึงพอใจในการรับข่าวสารและรูปแบบการสื่อสารที่ท่านเลือก
3. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผลข้อมูล
บริษัทประมวลผลข้อมูลส่วนบุคคลของท่านภายใต้ฐานทางกฎหมายและเพื่อวัตถุประสงค์ดังต่อไปนี้:
เพื่อการปฏิบัติตามสัญญา (Contractual Basis)
- เพื่อดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญา
- เพื่อให้บริการและบริหารจัดการระบบ Cloud ERP/SaaS
- เพื่อยืนยันตัวตน ตรวจสอบสิทธิ์ และรักษาความปลอดภัยของบัญชีผู้ใช้
- เพื่อดำเนินการเกี่ยวกับธุรกรรมทางการเงิน การชำระค่าบริการ และการออกเอกสารทางบัญชี
เพื่อประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest)
- เพื่อการวิเคราะห์ข้อมูลทางสถิติ ปรับปรุง และพัฒนาประสิทธิภาพของบริการ
- เพื่อรักษาความมั่นคงปลอดภัยของระบบ ป้องกันการฉ้อโกง และการใช้งานในทางที่ผิด
- เพื่อการบริหารจัดการความสัมพันธ์ลูกค้า (Customer Relationship Management)
เพื่อการปฏิบัติตามกฎหมาย (Legal Obligation)
- เพื่อปฏิบัติตามกฎหมาย เช่น พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์, ประมวลรัษฎากร, และกฎหมายอื่น ๆ
- เพื่อปฏิบัติตามคำสั่งของหน่วยงานของรัฐ หรือคำสั่งศาลที่มีอำนาจ
ตามความยินยอมของท่าน (Consent)
- เพื่อการตลาด การส่งเสริมการขาย การแจ้งข่าวสาร หรือนำเสนอผลิตภัณฑ์ที่ท่านอาจสนใจ
- ในกรณีที่กฎหมายกำหนดให้ต้องได้รับความยินยอมสำหรับข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)
4. การเปิดเผยข้อมูลส่วนบุคคล
บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่บุคคลภายนอกภายใต้วัตถุประสงค์ที่ระบุไว้ โดยผู้รับข้อมูลจะมีนโยบายคุ้มครองข้อมูลส่วนบุคคลของตนเอง
- ผู้ให้บริการภายนอก (Service Providers): เช่น ผู้ให้บริการคลาวด์ (Cloud Provider), ผู้ให้บริการระบบชำระเงิน (Payment Gateway), ผู้ให้บริการระบบอีเมล หรือด้านเทคโนโลยีสารสนเทศ
- พันธมิตรทางธุรกิจ (Business Partners): เพื่อให้บริการหรือเชื่อมต่อระบบอย่างต่อเนื่อง
- หน่วยงานราชการหรือผู้มีอำนาจตามกฎหมาย: เพื่อปฏิบัติตามภาระหน้าที่ทางกฎหมาย เช่น ศาล, สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล, หรือหน่วยงานกำกับดูแลอื่น ๆ
บริษัทจะเปิดเผยข้อมูลเท่าที่จำเป็นและมีมาตรการคุ้มครองข้อมูลตามหลักมาตรฐานสากล
5. การโอนข้อมูลส่วนบุคคลไปต่างประเทศ
บริษัทอาจโอนข้อมูลส่วนบุคคลของท่านไปยังเซิร์ฟเวอร์หรือผู้ให้บริการที่ตั้งอยู่นอกประเทศไทย โดยจะดำเนินการภายใต้เงื่อนไขที่กฎหมายอนุญาต เช่น
- ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
- เพื่อการปฏิบัติตามสัญญา
- หรือได้รับความยินยอมจากท่านโดยชัดแจ้ง
6. ระยะเวลาในการจัดเก็บข้อมูล
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของท่านในระยะเวลาที่จำเป็นตามวัตถุประสงค์ในนโยบายนี้ โดยพิจารณาจากอายุความทางกฎหมายหรือภาระหน้าที่ทางบัญชีและภาษี
เมื่อหมดความจำเป็น บริษัทจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลเป็นแบบไม่สามารถระบุตัวบุคคลได้ (Anonymization)
7. สิทธิของเจ้าของข้อมูลส่วนบุคคล
ท่านมีสิทธิตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังต่อไปนี้:
- สิทธิในการเข้าถึง (Right of Access): ขอเข้าถึงและรับสำเนาข้อมูลส่วนบุคคล
- สิทธิในการแก้ไขข้อมูล (Right to Rectification): ขอให้แก้ไขข้อมูลให้ถูกต้อง
- สิทธิในการลบข้อมูล (Right to Erasure): ขอให้ลบหรือทำลายข้อมูลในบางกรณี
- สิทธิในการระงับการใช้ข้อมูล (Right to Restrict Processing): ขอให้ระงับการประมวลผลข้อมูลในบางกรณี
- สิทธิในการโอนย้ายข้อมูล (Right to Data Portability): ขอรับข้อมูลในรูปแบบอิเล็กทรอนิกส์มาตรฐานและส่งต่อไปยังผู้อื่น
- สิทธิในการคัดค้าน (Right to Object): คัดค้านการประมวลผลข้อมูลส่วนบุคคลของท่าน
- สิทธิในการถอนความยินยอม (Right to Withdraw Consent): ถอนความยินยอมที่เคยให้ไว้ได้ทุกเมื่อ
ท่านสามารถใช้สิทธิดังกล่าวได้โดยติดต่อ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ตามรายละเอียดในข้อ 11 บริษัทจะดำเนินการภายใน 30 วันนับแต่วันที่ได้รับคำขอ
8. การรักษาความมั่นคงปลอดภัยของข้อมูล
บริษัทมีมาตรการรักษาความปลอดภัยทั้งในระดับเทคนิคและองค์กร เช่น:
- การเข้ารหัสข้อมูล (Data Encryption)
- การควบคุมสิทธิ์การเข้าถึง (Access Control) ตามหลัก “Least Privilege”
- การตรวจสอบและบันทึกกิจกรรม (Audit Trail & Logging)
- การจัดทำแผนตอบสนองเหตุการณ์ละเมิดข้อมูล (Incident Response Plan)
9. การใช้คุกกี้ (Cookies)
เว็บไซต์ของบริษัทใช้คุกกี้เพื่อรวบรวมข้อมูลและปรับปรุงประสบการณ์ของผู้ใช้งาน เช่น การจดจำการตั้งค่าหรือการนำเสนอเนื้อหาที่เหมาะสม
ท่านสามารถจัดการหรือตั้งค่าเพื่อปฏิเสธคุกกี้ได้จากเบราว์เซอร์ของท่าน อย่างไรก็ตาม การปิดคุกกี้บางประเภทอาจทำให้เว็บไซต์บางฟังก์ชันไม่ทำงานตามปกติ
10. การทบทวนและปรับปรุงนโยบาย
บริษัทอาจปรับปรุงนโยบายฉบับนี้เป็นระยะ เพื่อให้สอดคล้องกับกฎหมายหรือการเปลี่ยนแปลงทางเทคโนโลยี
บริษัทจะแจ้งประกาศบนเว็บไซต์หรือช่องทางสื่อสารอย่างเป็นทางการเมื่อมีการเปลี่ยนแปลงที่สำคัญ
11. ข้อมูลสำหรับติดต่อ
หากท่านมีข้อสงสัย ข้อเสนอแนะ หรือประสงค์จะใช้สิทธิตามกฎหมาย โปรดติดต่อ:
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
บริษัท ซีเอ็นวายคอร์ปอเรชั่น จำกัด
ที่อยู่: 541/1-3 หมู่ 1 ตำบลแม่ขรี อำเภอตะโหมด จังหวัดพัทลุง 93000 (สำนักงานใหญ่)
อีเมล: [email protected]
โทรศัพท์: 099-446-5451