1. บทนำ
บริษัท ซูมบ็อกซ์ จำกัด ("Soombox", "เรา") ให้ความสำคัญกับความเป็นส่วนตัวของผู้ใช้บริการ ("ท่าน") นโยบายฉบับนี้อธิบายถึงวิธีการที่เราเก็บรวบรวม ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของท่าน ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
การใช้บริการของท่านถือเป็นการยอมรับการเก็บรวบรวมและใช้ข้อมูลตามนโยบายฉบับนี้
2. ข้อมูลที่เราเก็บรวบรวม
เราอาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านในหมวดหมู่ดังต่อไปนี้:
- ข้อมูลบัญชี: อีเมล ชื่อผู้ใช้ รหัสผ่าน (เข้ารหัส bcrypt)
- ข้อมูลส่วนบุคคล: ชื่อ-นามสกุล เบอร์โทรศัพท์
- ข้อมูลที่อยู่จัดส่ง: ที่อยู่ จังหวัด รหัสไปรษณีย์ สำหรับการจัดส่งการ์ดจริง
- ข้อมูลธุรกรรม: ประวัติการเติม Token การสุ่มการ์ด การคืนการ์ด การโอน Token
- ข้อมูลการชำระเงิน: เราไม่จัดเก็บข้อมูลบัตรเครดิตของท่าน ทุกธุรกรรมประมวลผลผ่าน Omise (PCI-DSS Level 1)
- ข้อมูลเทคนิค: IP address, browser, device type, log activity เพื่อความปลอดภัย
- ข้อมูลการใช้งาน: หน้าที่เข้าชม การสุ่ม การติดต่อกับ Customer Support
3. วัตถุประสงค์การใช้ข้อมูล
เราใช้ข้อมูลของท่านเพื่อวัตถุประสงค์ดังต่อไปนี้เท่านั้น:
- ให้บริการแพลตฟอร์มสุ่มการ์ดและจัดการบัญชีของท่าน
- ประมวลผลการชำระเงินและจัดส่งการ์ด
- ตรวจสอบและป้องกันการทุจริต (Fraud Detection)
- ให้บริการ Customer Support เมื่อท่านติดต่อ
- ปรับปรุงประสบการณ์การใช้งานและพัฒนาคุณภาพบริการ
- ส่งข้อมูลข่าวสาร โปรโมชั่น (เฉพาะกรณีที่ท่านยินยอม)
- ปฏิบัติตามข้อกำหนดทางกฎหมาย
4. ระยะเวลาในการเก็บข้อมูล
เราจะเก็บข้อมูลของท่านตามระยะเวลาที่จำเป็นเพื่อบรรลุวัตถุประสงค์ดังนี้:
- บัญชีและข้อมูลส่วนบุคคล: ตลอดระยะเวลาที่ท่านใช้บริการ และอีก 5 ปีหลังปิดบัญชี (ตามกฎหมายภาษี)
- ข้อมูลธุรกรรม: 10 ปี ตาม พ.ร.บ. การบัญชี
- ข้อมูล Log: 90 วัน สำหรับการตรวจสอบความปลอดภัย
- ข้อมูลทางการตลาด: จนกว่าท่านจะถอนความยินยอม
เมื่อพ้นระยะเวลาดังกล่าว ข้อมูลของท่านจะถูกลบหรือทำให้ไม่สามารถระบุตัวตนได้ (Anonymized)
6. สิทธิของเจ้าของข้อมูล
ภายใต้ PDPA ท่านมีสิทธิดังต่อไปนี้:
- สิทธิเข้าถึงข้อมูล (Right of Access): ขอสำเนาข้อมูลส่วนบุคคลของท่าน
- สิทธิแก้ไขข้อมูล (Right to Rectification): แก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์
- สิทธิลบข้อมูล (Right to Erasure): ขอลบข้อมูลของท่าน (Right to be Forgotten)
- สิทธิถอนความยินยอม (Right to Withdraw Consent): ถอนความยินยอมเมื่อใดก็ได้
- สิทธิคัดค้านการประมวลผล (Right to Object): คัดค้านการใช้ข้อมูลเพื่อวัตถุประสงค์บางอย่าง
- สิทธิระงับการใช้ข้อมูล (Right to Restriction): ขอให้ระงับการใช้ข้อมูลชั่วคราว
- สิทธิโอนย้ายข้อมูล (Right to Portability): ขอรับข้อมูลในรูปแบบที่สามารถนำไปใช้ต่อได้
- สิทธิร้องเรียน: ยื่นเรื่องต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)
หากต้องการใช้สิทธิ กรุณาติดต่อเราที่ dpo@soombox-th.com เราจะตอบกลับภายใน 30 วัน
7. มาตรการรักษาความปลอดภัย
เราใช้มาตรการทางเทคนิคและองค์กรเพื่อปกป้องข้อมูลของท่าน:
- การเข้ารหัส: รหัสผ่านเข้ารหัสด้วย bcrypt ข้อมูลสำคัญเข้ารหัส AES-256
- HTTPS/TLS: การส่งข้อมูลทุกครั้งผ่านการเข้ารหัส TLS 1.3
- JWT Authentication: ระบบยืนยันตัวตนที่ปลอดภัยพร้อม Token หมดอายุ
- Rate Limiting: ป้องกันการโจมตี Brute Force
- การตรวจสอบสิทธิ์: Role-Based Access Control (RBAC)
- Backup: สำรองข้อมูลทุกวัน เก็บในระบบที่เข้ารหัส
- Audit Log: บันทึกการเข้าถึงข้อมูลทั้งหมด
- Provably Fair: ระบบสุ่มที่ตรวจสอบได้ด้วย Hash Verification
9. การเปลี่ยนแปลงนโยบาย
เราอาจปรับปรุงนโยบายนี้เป็นครั้งคราว การเปลี่ยนแปลงที่มีนัยสำคัญจะแจ้งให้ท่านทราบล่วงหน้า 30 วัน ผ่านทางอีเมลหรือประกาศบนแพลตฟอร์ม วันที่ปรับปรุงล่าสุดจะแสดงไว้ด้านบนของเอกสารนี้
10. ติดต่อเจ้าหน้าที่คุ้มครองข้อมูล (DPO)
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
บริษัท ซูมบ็อกซ์ จำกัด
📧 อีเมล: dpo@soombox-th.com
📧 Support: support@soombox-th.com
💬 LINE OA: @soombox
📍 ที่อยู่: 123 อาคารตัวอย่าง ชั้น 10 ถนนสุขุมวิท แขวงคลองตัน เขตคลองเตย กรุงเทพฯ 10110