นโยบายความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคล

1. ผู้ควบคุมข้อมูลส่วนบุคคล

บริษัท MAF Excellent จำกัด ('บริษัท') เป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) สำหรับข้อมูลที่เก็บรวบรวมผ่านแพลตฟอร์ม EZORG ที่อยู่: กรุงเทพมหานคร ประเทศไทย อีเมล: privacy@ezorg.co.th

2. ข้อมูลส่วนบุคคลที่เก็บรวบรวม

• ข้อมูลประจำตัว: ชื่อ-นามสกุล อีเมล หมายเลขโทรศัพท์
• ข้อมูลบัญชี: ชื่อผู้ใช้ รหัสผ่าน (เข้ารหัสแบบ bcrypt) รูปโปรไฟล์
• ข้อมูลพนักงาน: ข้อมูลการจ้างงาน ตำแหน่ง แผนก เงินเดือน ข้อมูลประกันสังคม ข้อมูลภาษี
• ข้อมูลองค์กร: ชื่อบริษัท ที่อยู่ เลขประจำตัวผู้เสียภาษี ประเภทธุรกิจ
• ข้อมูลการชำระเงิน: ประวัติการสมัครสมาชิก (ไม่เก็บข้อมูลบัตรโดยตรง — ดำเนินการผ่าน Stripe)
• ข้อมูลการใช้งาน: IP address, ประเภทเบราว์เซอร์, หน้าที่เข้าชม, ระยะเวลาใช้งาน
• ข้อมูลการเข้างาน: เวลาเข้า-ออกงาน พิกัด GPS รูปถ่าย

3. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผล

• เพื่อให้บริการตามสัญญา (Contract): การสร้างบัญชี การให้บริการระบบจัดการบุคลากร โครงการ และการเงิน
• เพื่อประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest): การวิเคราะห์การใช้งาน การปรับปรุงบริการ และการป้องกันการทุจริต
• เพื่อปฏิบัติตามกฎหมาย (Legal Obligation): การเก็บบันทึกทางบัญชี การรายงานภาษี และการรายงานประกันสังคม
• ด้วยความยินยอม (Consent): การส่งอีเมลการตลาดและการแจ้งเตือนส่งเสริมการขาย

4. ระยะเวลาการเก็บรักษาข้อมูล

• ข้อมูลบัญชี: เก็บตลอดอายุการใช้งาน + 30 วันหลังยกเลิกบัญชี
• ข้อมูลพนักงานและการจ้างงาน: ตามข้อกำหนดกฎหมายแรงงานไทย (ไม่น้อยกว่า 2 ปี หลังสิ้นสุดการจ้าง)
• ข้อมูลการชำระเงิน: 7 ปี ตามข้อกำหนดทางบัญชีของไทย
• บันทึกการใช้งาน (Log): 90 วัน

5. การเปิดเผยข้อมูลแก่บุคคลที่สาม

• Stripe, Inc.: เพื่อดำเนินการชำระเงินและบริหารจัดการ Subscription (มาตรฐาน PCI-DSS Level 1)
• DigitalOcean: โครงสร้างพื้นฐานการประมวลผลข้อมูลและการโฮสต์
• เจ้าหน้าที่รัฐ: เมื่อมีคำสั่งศาลหรือตามที่กฎหมายกำหนดเท่านั้น
• บริษัทไม่ขายข้อมูลส่วนบุคคลของท่านให้แก่บุคคลที่สามเพื่อวัตถุประสงค์ทางการตลาด

6. สิทธิของเจ้าของข้อมูลภายใต้ PDPA

• สิทธิในการเข้าถึงข้อมูล (Right of Access): ขอดูข้อมูลส่วนบุคคลที่บริษัทเก็บไว้
• สิทธิในการแก้ไขข้อมูล (Right of Rectification): ขอแก้ไขข้อมูลที่ไม่ถูกต้อง
• สิทธิในการลบข้อมูล (Right to Erasure): ขอให้ลบข้อมูลส่วนบุคคล เมื่อไม่มีเหตุผลที่จำเป็น
• สิทธิในการโอนถ่ายข้อมูล (Right to Data Portability): ขอรับข้อมูลในรูปแบบที่สามารถใช้งานได้
• สิทธิในการคัดค้าน (Right to Object): คัดค้านการประมวลผลข้อมูลในบางกรณี
• สิทธิในการระงับการประมวลผล (Right to Restriction): ขอให้ระงับการใช้ข้อมูลชั่วคราว
• สิทธิในการถอนความยินยอม (Right to Withdraw Consent): ถอนความยินยอมที่เคยให้ได้ทุกเมื่อ
• การใช้สิทธิ: ส่งคำขอมาที่ privacy@ezorg.co.th — บริษัทจะดำเนินการภายใน 30 วัน

7. มาตรการรักษาความปลอดภัย

• การเข้ารหัสข้อมูลด้วย TLS/HTTPS ในทุกการสื่อสาร
• รหัสผ่านเข้ารหัสด้วย bcrypt ไม่มีการเก็บรหัสผ่านในรูปแบบ plaintext
• การตรวจสอบสิทธิ์ด้วย JWT Token ที่มีอายุจำกัด
• การจำกัดการเข้าถึงข้อมูลตามสิทธิ์บทบาท (Role-Based Access Control)
• การแยกข้อมูลระหว่างองค์กร (Multi-Tenant Data Isolation)
• การสำรองข้อมูลอัตโนมัติและการกู้คืนระบบ

8. คุกกี้และเทคโนโลยีติดตาม

บริษัทใช้คุกกี้เพื่อการทำงานของระบบ (เช่น การยืนยันตัวตน) และการวิเคราะห์การใช้งาน คุกกี้ที่จำเป็นไม่สามารถปิดได้เนื่องจากจำเป็นต่อการทำงานของบริการ

9. การโอนข้อมูลระหว่างประเทศ

ข้อมูลของท่านอาจถูกประมวลผลในเซิร์ฟเวอร์ที่ตั้งอยู่นอกประเทศไทย เช่น สิงคโปร์ บริษัทใช้มาตรการป้องกันที่เหมาะสมตามมาตรฐาน PDPA สำหรับการโอนข้อมูลระหว่างประเทศ

10. การเปลี่ยนแปลงนโยบาย

บริษัทอาจปรับปรุงนโยบายนี้เป็นระยะ การเปลี่ยนแปลงที่สำคัญจะแจ้งให้ท่านทราบล่วงหน้าไม่น้อยกว่า 30 วัน ผ่านทางอีเมลหรือการแจ้งเตือนในแพลตฟอร์ม