สรุปสั้นๆ: TechPay (บริษัท จี ราฟฟิค แอส อะ เซอร์วิส จำกัด) เก็บข้อมูลของคุณเพื่อให้บริการระบบ HR Payroll เท่านั้น ไม่ขายข้อมูลให้ใคร เก็บบน Server ในประเทศไทย และคุณมีสิทธิ์ขอดู แก้ไข หรือลบข้อมูลได้ทุกเมื่อ
บริษัท จี ราฟฟิค แอส อะ เซอร์วิส จำกัด (ซึ่งต่อไปในนโยบายนี้จะเรียกว่า "TechPay" หรือ "บริษัท") ให้ความสำคัญสูงสุดต่อการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการและพนักงานขององค์กรลูกค้า
นโยบายนี้อธิบายวิธีที่เราเก็บรวบรวม ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของคุณ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ของประเทศไทย
การใช้บริการ TechPay หมายความว่าคุณยอมรับนโยบายนี้ หากคุณไม่เห็นด้วย กรุณาหยุดใช้บริการและติดต่อเราเพื่อขอลบข้อมูล
1ผู้ควบคุมข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตามนโยบายนี้คือ:
บริษัท จี ราฟฟิค แอส อะ เซอร์วิส จำกัด
G Raphic As A Service Co., Ltd.
เลขทะเบียนนิติบุคคล: 0105563018031
ที่ตั้ง: 899/24 ซอยสุขุมวิท 101 แขวงบางจาก เขตพระโขนง กรุงเทพมหานคร 10260
โทรศัพท์:
อีเมล: techpayhr@gmail.com
เว็บไซต์: techpayhr.com
2ข้อมูลส่วนบุคคลที่เราเก็บรวบรวม
เราเก็บรวบรวมข้อมูลส่วนบุคคลดังต่อไปนี้เพื่อให้บริการระบบ TechPay:
2.1 ข้อมูลทั่วไป
- ชื่อ-นามสกุล รหัสพนักงาน วันเกิด สัญชาติ
- เลขบัตรประชาชน (เข้ารหัส AES-256 ตลอดเวลา)
- ที่อยู่ เบอร์โทรศัพท์ อีเมล
- ข้อมูลธนาคารสำหรับโอนเงินเดือน
- ประวัติการทำงาน ตำแหน่ง แผนก
2.2 ข้อมูลอ่อนไหว (Sensitive Data) — ม.26 PDPA
⚠️ ข้อมูลชีวมาตร (Biometric): ข้อมูลลายนิ้วมือจากเครื่องสแกนนิ้วมือ (ZKTeco/ANVIZ) จัดเป็น "ข้อมูลอ่อนไหว" ตามมาตรา 26 PDPA เราจะเก็บเฉพาะ Template ทางคณิตศาสตร์ในเครื่องสแกนนิ้วมือ (ZKTeco/ANVIZ) เท่านั้น ไม่เก็บภาพลายนิ้วมือจริง และต้องได้รับ Explicit Consent แยกต่างหากก่อนทุกครั้ง
- Template ลายนิ้วมือ (เก็บในเครื่องสแกนนิ้วมือ (ZKTeco/ANVIZ) เท่านั้น ไม่ส่งออก)
- ข้อมูลสุขภาพ (เฉพาะกรณีลาป่วยมีใบรับรองแพทย์)
2.3 ข้อมูลการทำงาน
- เวลาเข้า-ออกงาน ข้อมูลการสแกนนิ้วมือ
- ข้อมูลเงินเดือน OT เบี้ยต่างๆ การหัก
- ประวัติการลา คำขอ OT
- ข้อมูลกะทำงาน ตารางงาน
2.4 ข้อมูลการใช้งานระบบ
- Log การเข้าใช้งาน IP Address เวลา
- Browser และอุปกรณ์ที่ใช้
- Cookies (ดูหมวด 9)
3วัตถุประสงค์การใช้ข้อมูล
| วัตถุประสงค์ | ข้อมูลที่ใช้ | ฐานกฎหมาย |
|---|
| คำนวณและจ่ายเงินเดือน | ข้อมูลส่วนตัว เงินเดือน เวลางาน | สัญญาจ้าง |
| บันทึกเวลาเข้า-ออกงาน | ลายนิ้วมือ (Template) เวลา | Explicit Consent |
| ออกสลิปเงินเดือน (E-Slip) | ข้อมูลส่วนตัว เงินเดือน | สัญญาจ้าง |
| จัดการการลาและ OT | ข้อมูลส่วนตัว ประวัติการลา | สัญญาจ้าง |
| รายงานภาษีและประกันสังคม | ข้อมูลส่วนตัว เงินเดือน | พันธะทางกฎหมาย |
| รักษาความปลอดภัยระบบ | Log การใช้งาน IP | ประโยชน์อันชอบธรรม |
| ติดต่อสอบถาม / Support | ชื่อ เบอร์โทร อีเมล | ความยินยอม |
✅ เราไม่เคยและจะไม่ขาย แลกเปลี่ยน หรือให้เช่าข้อมูลส่วนบุคคลของคุณแก่บุคคลภายนอกเพื่อวัตถุประสงค์ทางการค้า
4ฐานทางกฎหมายในการประมวลผล
เราประมวลผลข้อมูลส่วนบุคคลโดยอาศัยฐานทางกฎหมายดังต่อไปนี้ ตามมาตรา 24 และ 26 PDPA:
- ความยินยอม (Consent) ม.19: สำหรับข้อมูลที่ไม่จำเป็นต้องมี เช่น การตลาด
- การปฏิบัติตามสัญญา (Contract) ม.24(3): สำหรับการจ่ายเงินเดือนและบริหาร HR
- พันธะทางกฎหมาย (Legal Obligation) ม.24(4): ภาษี ประกันสังคม รายงานราชการ
- ประโยชน์อันชอบธรรม (Legitimate Interest) ม.24(6): ความปลอดภัยระบบ การป้องกันการทุจริต
- Explicit Consent ม.26: สำหรับข้อมูลชีวมาตร (ลายนิ้วมือ) และข้อมูลสุขภาพ
5การเปิดเผยข้อมูลต่อบุคคลภายนอก
เราอาจเปิดเผยข้อมูลส่วนบุคคลของคุณเฉพาะในกรณีต่อไปนี้:
- ผู้ให้บริการ Cloud (AWS): เพื่อ Hosting ระบบ TechPay ใน Data Center ประเทศไทย ภายใต้ข้อตกลง DPA
- กรมสรรพากร / ประกันสังคม: ตามพันธะทางกฎหมาย รายงานภาษีและประกันสังคม
- ธนาคาร: เพื่อโอนเงินเดือนผ่านระบบ Payroll
- หน่วยงานราชการ: เมื่อได้รับคำสั่งตามกฎหมาย
การถ่ายโอนข้อมูลระหว่างประเทศ: TechPay ไม่ถ่ายโอนข้อมูลส่วนบุคคลออกนอกประเทศไทย ข้อมูลทั้งหมดเก็บและประมวลผลใน Data Center ที่ตั้งอยู่ในประเทศไทยเท่านั้น
6ระยะเวลาการเก็บรักษาข้อมูล
เราจะเก็บข้อมูลส่วนบุคคลของคุณตามระยะเวลาดังนี้:
| ประเภทข้อมูล | ระยะเวลา | เหตุผล | หลังหมดอายุ |
|---|
| ข้อมูลพนักงาน | 10 ปี นับจากออกงาน | กฎหมายแรงงาน | Anonymize |
| ข้อมูลเงินเดือน | 5 ปี | พ.ร.บ.บัญชี ม.14 | Archive |
| บันทึกเวลาเข้างาน | 2 ปี | Legitimate Interest | ลบถาวร |
| Template ลายนิ้วมือ | ลบภายใน 30 วัน หลังออกงาน | ม.26 PDPA | ลบถาวร |
| บันทึกการลา / OT | 5 ปี | กฎหมายแรงงาน | Archive |
| Audit Log ระบบ | 1 ปี | Internal Policy | ลบถาวร |
| บันทึกการยินยอม | 10 ปี | หลักฐาน PDPA ม.26 | Archive |
7สิทธิ์ของเจ้าของข้อมูลส่วนบุคคล
ในฐานะเจ้าของข้อมูล คุณมีสิทธิ์ดังต่อไปนี้ภายใต้ PDPA:
ม.30 PDPA
👁️ สิทธิ์ขอเข้าถึงข้อมูล
ขอดูข้อมูลส่วนบุคคลที่เราเก็บไว้ได้ ต้องตอบกลับภายใน 30 วัน
ม.35 PDPA
✏️ สิทธิ์ขอแก้ไขข้อมูล
ขอแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์
ม.33 PDPA
🗑️ สิทธิ์ขอลบข้อมูล
ขอลบข้อมูลเมื่อหมดความจำเป็น (ยกเว้นที่กฎหมายบังคับเก็บ)
ม.31 PDPA
📦 สิทธิ์ขอรับข้อมูล
ขอรับข้อมูลในรูปแบบ CSV/JSON เพื่อส่งต่อ (Portability)
ม.34 PDPA
⏸️ สิทธิ์ขอระงับการใช้
ขอระงับการประมวลผลข้อมูลชั่วคราว
ม.36 PDPA
🚫 สิทธิ์คัดค้าน
คัดค้านการประมวลผลข้อมูลในบางกรณี
วิธีใช้สิทธิ์: ส่งคำขอมาที่ techpayhr@gmail.com หรือโทร เราจะดำเนินการและตอบกลับภายใน 30 วันทำการ โดยไม่มีค่าใช้จ่าย
8มาตรการรักษาความปลอดภัย
เราใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลของคุณ:
- การเข้ารหัสข้อมูล: ข้อมูลสำคัญ เช่น เลขบัตรประชาชน เบอร์โทร เข้ารหัสด้วย AES-256
- HTTPS/TLS 1.2+: การส่งข้อมูลทุกครั้งเข้ารหัสผ่าน SSL Certificate
- Role-Based Access Control (RBAC): จำกัดการเข้าถึงข้อมูลตามบทบาทหน้าที่
- Audit Log: บันทึกทุกการเข้าถึงและแก้ไขข้อมูล พร้อม Timestamp และ IP
- Backup: สำรองข้อมูลทุกวัน เก็บ 30 วัน
- Penetration Testing: ทดสอบความปลอดภัยระบบทุกไตรมาส
8.1 กรณีข้อมูลรั่วไหล (Data Breach)
หากเกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหล บริษัทจะ:
- แจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ภายใน 72 ชั่วโมง ตามมาตรา 37 PDPA
- แจ้งเจ้าของข้อมูลที่ได้รับผลกระทบโดยตรง โดยไม่ชักช้า
- ดำเนินการแก้ไขและป้องกันเหตุซ้ำ
9การใช้ Cookies
เว็บไซต์ TechPay ใช้ Cookies เพื่อประสบการณ์การใช้งานที่ดีขึ้น:
| ประเภท Cookies | วัตถุประสงค์ | อายุ |
|---|
| จำเป็น (Essential) | Session Login ความปลอดภัย | Session |
| การทำงาน (Functional) | จำภาษา การตั้งค่า | 1 ปี |
| วิเคราะห์ (Analytics) | Google Analytics วิเคราะห์การใช้งาน | 2 ปี |
คุณสามารถปิด Cookies ได้ในการตั้งค่า Browser แต่อาจทำให้ฟีเจอร์บางส่วนทำงานไม่ปกติ
10ติดต่อเจ้าหน้าที่คุ้มครองข้อมูล (DPO)
หากมีคำถาม ข้อร้องเรียน หรือต้องการใช้สิทธิ์ใดๆ เกี่ยวกับข้อมูลส่วนบุคคล สามารถติดต่อได้ที่:
หน่วยงานกำกับดูแล
หากคุณไม่พอใจกับการตอบกลับของเรา คุณมีสิทธิ์ยื่นเรื่องร้องเรียนต่อ:
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)
เว็บไซต์: pdpc.or.th · โทร: 02-142-1033
การเปลี่ยนแปลงนโยบาย
เราอาจปรับปรุงนโยบายนี้เป็นครั้งคราว หากมีการเปลี่ยนแปลงสาระสำคัญ เราจะแจ้งให้คุณทราบผ่าน Email หรือแจ้งเตือนในระบบล่วงหน้าอย่างน้อย 30 วัน วันที่ปรับปรุงล่าสุดจะแสดงที่ด้านบนของนโยบายนี้เสมอ