นโยบายความเป็นส่วนตัว

1. บทนำ

TSkools ("เรา", "บริษัท") ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการทุกท่าน นโยบายนี้อธิบายว่าเราเก็บรวบรวม ใช้ และดูแลรักษาข้อมูลส่วนบุคคลของคุณอย่างไร ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

2. ข้อมูลที่เราเก็บรวบรวม

เราเก็บรวบรวมข้อมูลส่วนบุคคลดังต่อไปนี้:

• ข้อมูลบัญชีผู้ใช้ — ชื่อ นามสกุล อีเมล และรหัสผ่านที่เข้ารหัส
• ข้อมูลนักเรียน — ชื่อ เบอร์โทรศัพท์ วันเกิด และรูปโปรไฟล์ ซึ่งครูหรือสถาบันเป็นผู้กรอก
• ข้อมูลการใช้งาน — ประวัติการเช็กชื่อ จำนวนชั่วโมงเรียน และบันทึกการจองคอร์ส
• ข้อมูลการชำระเงิน — ประมวลผลผ่าน Stripe เราไม่เก็บข้อมูลบัตรเครดิตโดยตรง
• ข้อมูลการติดต่อ — ชื่อ อีเมล และข้อความที่ส่งผ่านแบบฟอร์มติดต่อเรา

3. วัตถุประสงค์การใช้ข้อมูล

เราใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังนี้:

• ให้บริการระบบเช็กชื่อและจัดการชั่วโมงเรียน
• ส่งการแจ้งเตือนและอีเมลที่เกี่ยวข้องกับการใช้บริการ
• ประมวลผลการชำระเงินและออกใบเสร็จ
• ตอบคำถามและให้ความช่วยเหลือผ่านช่องทางติดต่อ
• ปรับปรุงและพัฒนาคุณภาพบริการ
• ปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้อง

4. ฐานทางกฎหมายในการประมวลผล

เราประมวลผลข้อมูลส่วนบุคคลบนฐานทางกฎหมายดังนี้:

• ความยินยอม (Consent) — สำหรับข้อมูลนักเรียนและคุกกี้ที่ไม่จำเป็น เราบันทึกวันเวลาที่ได้รับความยินยอมจากเจ้าของข้อมูล และคุณสามารถถอนความยินยอมได้ทุกเมื่อโดยไม่มีผลย้อนหลัง
• การปฏิบัติตามสัญญา — เพื่อให้บริการที่คุณสมัครใช้งาน
• ประโยชน์โดยชอบด้วยกฎหมาย — เพื่อความปลอดภัยและการพัฒนาระบบ
• การปฏิบัติตามกฎหมาย — เพื่อปฏิบัติตามข้อกำหนดทางกฎหมายที่เกี่ยวข้อง

5. การเปิดเผยข้อมูลแก่บุคคลภายนอก

เราไม่ขายหรือให้เช่าข้อมูลส่วนบุคคลของคุณแก่บุคคลภายนอก เราแบ่งปันข้อมูลเฉพาะกับผู้ให้บริการที่จำเป็นต่อการดำเนินงาน โดยแบ่งเป็น 2 กลุ่มดังนี้:

ผู้ให้บริการข้อมูล (Service Providers)

• Stripe — ประมวลผลการชำระเงิน (สหรัฐอเมริกา) มาตรฐาน PCI DSS Level 1
• Cloudflare R2 — จัดเก็บไฟล์และรูปภาพ เช่น รูปโปรไฟล์และ QR Code (สหรัฐอเมริกา)
• LINE Corporation — ส่งการแจ้งเตือนผ่าน LINE OA (ญี่ปุ่น)
• Tally.so — รับและจัดเก็บข้อมูลที่ส่งผ่านแบบฟอร์มติดต่อเรา (เบลเยียม)
• ผู้ให้บริการ SMTP — ส่งอีเมลแจ้งเตือนและใบเสร็จ
• เมื่อมีข้อกำหนดทางกฎหมายหรือคำสั่งศาล

ผู้ให้บริการโครงสร้างพื้นฐาน (Infrastructure Providers)

• Vercel — ผู้ให้บริการ Hosting และ Edge Network ที่ประมวลผล traffic ของแพลตฟอร์มทั้งหมด (สหรัฐอเมริกา)
• Neon — ผู้ให้บริการฐานข้อมูล PostgreSQL บนคลาวด์ที่จัดเก็บข้อมูลของแพลตฟอร์ม (สหรัฐอเมริกา)
• Google Analytics และ Google Tag Manager — วิเคราะห์พฤติกรรมการใช้งานและการตลาด ใช้เฉพาะเมื่อได้รับความยินยอม (สหรัฐอเมริกา)
• Sentry — บันทึก error และประสิทธิภาพระบบ (performance tracing) เพื่อตรวจจับและแก้ไขข้อผิดพลาด บนพื้นฐานผลประโยชน์อันชอบธรรม (Legitimate Interest) ในการรักษาเสถียรภาพของแพลตฟอร์ม ไม่เก็บ session recording ข้อมูลถูก anonymize ก่อนส่ง (สหรัฐอเมริกา)

ผู้ให้บริการทั้งหมดได้รับอนุญาตให้ใช้ข้อมูลเฉพาะเท่าที่จำเป็นในการให้บริการแก่เราเท่านั้น และต้องปฏิบัติตามมาตรฐานความปลอดภัยที่เหมาะสม การส่งข้อมูลทั้งหมดใช้การเข้ารหัส TLS และผู้ให้บริการทุกรายรับข้อมูลผ่าน secure API เท่านั้น

ผู้ให้บริการบางรายตั้งอยู่นอกประเทศไทย (เช่น สหรัฐอเมริกา และญี่ปุ่น) การส่งข้อมูลไปยังประเทศดังกล่าวดำเนินการภายใต้มาตรการคุ้มครองที่เหมาะสม ได้แก่ ข้อกำหนดด้านความปลอดภัยตามสัญญา (Contractual Data Protection Clauses) และมาตรฐานความปลอดภัยของผู้ให้บริการแต่ละราย เช่น ISO 27001, SOC 2, และ PCI DSS ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 28

6. ระยะเวลาการเก็บข้อมูล

เราเก็บข้อมูลส่วนบุคคลตามระยะเวลาดังนี้:

• ข้อมูลบัญชีผู้ใช้ — ตลอดระยะเวลาที่บัญชียังใช้งานอยู่ และลบภายใน 90 วันหลังจากยกเลิกบัญชี
• ข้อมูลนักเรียนและการเรียน — ตลอดระยะเวลาที่สถาบันยังใช้บริการ และลบภายใน 90 วันหลังจากสถาบันยกเลิกการใช้งาน
• ข้อมูลการชำระเงินและธุรกรรม — 7 ปีตามข้อกำหนดทางบัญชีและภาษีของกฎหมายไทย
• Log การส่งอีเมล — 1 ปีเพื่อการตรวจสอบและแก้ไขปัญหา
• ข้อมูลการติดต่อผ่านแบบฟอร์ม — จัดเก็บโดย Tally.so ตามนโยบายของ Tally

7. สิทธิของเจ้าของข้อมูล

ภายใต้ PDPA คุณมีสิทธิดังต่อไปนี้:

• สิทธิในการเข้าถึง — ขอดูข้อมูลส่วนบุคคลของคุณที่เราเก็บไว้
• สิทธิในการแก้ไข — ขอแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์
• สิทธิในการลบ — ขอให้ลบหรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้
• สิทธิในการถอนความยินยอม — ถอนความยินยอมที่เคยให้ไว้ได้ทุกเมื่อโดยไม่มีผลย้อนหลัง
• สิทธิในการพกพาข้อมูล — ขอรับข้อมูลในรูปแบบที่ใช้งานได้ทั่วไป
• สิทธิในการคัดค้าน — คัดค้านการประมวลผลข้อมูลที่อิงบนประโยชน์โดยชอบด้วยกฎหมาย

8. ความปลอดภัยของข้อมูล

เราใช้มาตรการรักษาความปลอดภัยที่เหมาะสม ทั้งทางเทคนิคและการบริหารจัดการ เพื่อป้องกันการเข้าถึง การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต รวมถึงการเข้ารหัสข้อมูล (Encryption) ทั้งระหว่างส่งผ่าน (TLS) และเมื่อจัดเก็บ และการควบคุมการเข้าถึงระบบตามบทบาทหน้าที่

9. การใช้คุกกี้

เว็บไซต์นี้ใช้คุกกี้และ local storage ดังต่อไปนี้:

คุกกี้ที่จำเป็น (Strictly Necessary) — ไม่ต้องขอความยินยอม

คุกกี้วิเคราะห์ (Analytics) — ใช้เฉพาะเมื่อได้รับความยินยอม

คุกกี้การตลาด (Marketing) — ใช้เฉพาะเมื่อได้รับความยินยอม

คุณสามารถให้หรือถอนความยินยอมสำหรับคุกกี้ที่ไม่จำเป็นได้ทุกเมื่อผ่านแบนเนอร์คุกกี้ที่แสดงเมื่อเข้าสู่เว็บไซต์ครั้งแรก หรือผ่านการตั้งค่าเบราว์เซอร์ของคุณ

10. การเปลี่ยนแปลงนโยบาย

เราอาจปรับปรุงนโยบายนี้เป็นครั้งคราว หากมีการเปลี่ยนแปลงสำคัญ เราจะแจ้งให้คุณทราบผ่านทางอีเมลหรือการแจ้งเตือนในระบบอย่างน้อย 30 วันก่อนที่การเปลี่ยนแปลงจะมีผลบังคับใช้

11. ติดต่อเรา

หากคุณมีคำถามหรือต้องการใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคล กรุณาติดต่อผ่าน หน้าติดต่อเรา