ปรับปรุงล่าสุดเมื่อวันที่ 28 มิถุนายน 2569
1. บทนำ
นโยบายความเป็นส่วนตัวฉบับนี้อธิบายถึงวิธีการที่ บริษัท ดิ ไอยรินทร์ กรุ๊ป จำกัด(“บริษัท” หรือ “เรา”) เก็บรวบรวม ใช้ เปิดเผย และปกป้องข้อมูลส่วนบุคคลของท่าน ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“PDPA”) รวมถึงประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง
นโยบายฉบับนี้ใช้บังคับกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน ผ่านเว็บไซต์ https://the-iyarin.com รวมถึงบริการและช่องทางการติดต่อที่เกี่ยวข้องทั้งหมดของเรา
การที่ท่านเข้าใช้งานเว็บไซต์ ส่งข้อมูลผ่านแบบฟอร์มติดต่อ หรือมอบข้อมูลส่วนบุคคลให้แก่เราไม่ว่าในรูปแบบใด ถือว่าท่านได้อ่าน ทำความเข้าใจ และยินยอมรับนโยบายความเป็นส่วนตัวฉบับนี้แล้ว
2. ข้อมูลส่วนบุคคลที่เก็บรวบรวม
เราเก็บรวบรวมข้อมูลส่วนบุคคลของท่านในประเภทต่อไปนี้:
2.1 ข้อมูลจากแบบฟอร์มติดต่อ
- ชื่อ-นามสกุล
- เบอร์โทรศัพท์
- ที่อยู่อีเมล
- ข้อความหรือรายละเอียดที่ท่านระบุในการติดต่อ
- รายละเอียดสินค้าที่ท่านสอบถามหรือสนใจ
2.2 ข้อมูลการใช้งานเว็บไซต์ (เฉพาะกรณีที่ท่านให้ความยินยอม)
- ข้อมูลการเข้าชม เช่น หน้าเว็บที่เข้าชม ระยะเวลาที่ใช้งาน และลำดับการคลิก
- ข้อมูลอุปกรณ์และเบราว์เซอร์ เช่น ประเภทอุปกรณ์ ระบบปฏิบัติการ และขนาดหน้าจอ
- ที่อยู่ IP (อาจถูกตัดทอนหรือทำให้ไม่ระบุตัวตนได้) และข้อมูลทางเทคนิคที่จำเป็น
- แหล่งที่มาของการเข้าชม เช่น เว็บไซต์อ้างอิง หรือคำค้นหา
2.3 ข้อมูลทางเทคนิคที่จำเป็น
- ข้อมูลที่ใช้สำหรับการรักษาความปลอดภัย การตรวจจับ และการป้องกันการใช้งานที่ผิดกฎหมายหรือเป็นอันตรายต่อระบบ
เรามิได้เก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ ตามความหมายในมาตรา 26 ของ PDPA (เช่น ข้อมูลด้านสุขภาพ เชื้อชาติ เชื้อชาติพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา พฤติกรรมทางเพศ หรือข้อมูลทางพันธุกรรม) เว้นแต่ท่านได้ให้ความยินยอมอย่างชัดแจ้งเป็นหนังสือตามที่กฎหมายกำหนด
3. วัตถุประสงค์การเก็บรวบรวมและฐานทางกฎหมาย
เราเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของท่านเพื่อวัตถุประสงค์ดังต่อไปนี้:
- เพื่อตอบกลับคำถาม คำสอบถาม และจัดส่งใบเสนอราคาให้แก่ท่าน
- เพื่อติดต่อประสานงานเกี่ยวกับการสั่งซื้อ การจัดส่ง และการติดตั้งสินค้า
- เพื่อให้บริการหลังการขาย การรับประกันสินค้า และการดูแลลูกค้า
- เพื่อประมวลผลและจัดการคำสั่งซื้อ รวมถึงการออกเอกสารที่เกี่ยวข้อง
- เพื่อวิเคราะห์และปรับปรุงประสิทธิภาพของเว็บไซต์และบริการ (เฉพาะกรณีที่ท่านให้ความยินยอม)
- เพื่อรักษาความปลอดภัย ป้องกันการทุจริต และการเข้าถึงระบบโดยไม่ได้รับอนุญาต
- เพื่อปฏิบัติตามกฎหมาย ระเบียบ หรือคำสั่งของหน่วยงานที่มีอำนาจตามกฎหมาย
3.1 ฐานทางกฎหมายในการประมวลผลข้อมูล
การประมวลผลข้อมูลส่วนบุคคลของท่านโดยเรา มีฐานทางกฎหมายตามมาตรา 24 ของ PDPA ได้แก่ (1) การให้ความยินยอม (2) การปฏิบัติตามสัญญาเพื่อการที่ท่านจะได้รับสินค้าหรือบริการ (3) การปฏิบัติตามหรือเพื่อให้สอดคล้องกับกฎหมายที่บังคับอยู่ และ (4) ผลประโยชน์อันชอบด้วยกฎหมายของเราในฐานะผู้ประกอบธุรกิจ เช่น ความปลอดภัยของระบบและการป้องกันการทุจริต
4. คุกกี้ (Cookies)
เว็บไซต์ของเราใช้คุกกี้เพื่อให้บริการและรักษาความปลอดภัยของผู้ใช้งาน โดยแบ่งเป็นคุกกี้ที่จำเป็น (Necessary) ซึ่งจำเป็นต่อการทำงานของเว็บไซต์และไม่สามารถปิดได้ และคุกกี้สำหรับการวิเคราะห์ (Analytics) ซึ่งจะถูกเปิดใช้งานเฉพาะเมื่อท่านให้ความยินยอมเท่านั้น
| ชื่อคุกกี้ | ประเภท | วัตถุประสงค์ | ระยะเวลาจัดเก็บ |
|---|
| Admin JWT (โทเคนเข้าสู่ระบบผู้ดูแล) | จำเป็น (Necessary) | ยืนยันตัวตนและรักษาเซสชันสำหรับผู้ดูแลระบบเท่านั้น ตั้งค่าเป็น httpOnly และ sameSite: strict เพื่อความปลอดภัย ไม่มีผลต่อผู้ใช้งานทั่วไป | ตลอดเซสชัน (ลบเมื่อปิดเบราว์เซอร์) |
| __cf_bm | จำเป็น (Necessary) | คุกกี้ความปลอดภัยของ Cloudflare ใช้ป้องกันบอท และการโจมตีทางไซเบอร์ เพื่อรักษาความปลอดภัยและความน่าเชื่อถือของเว็บไซต์ | ประมาณ 30 นาที (ต่ออายุอัตโนมัติ) |
| _ga | การวิเคราะห์ (Analytics) — ต้องได้รับความยินยอม | Google Analytics 4 ใช้เพื่อจดจำผู้ใช้และนับจำนวนผู้เข้าชมแยกกัน เปิดใช้งานเฉพาะเมื่อท่านให้ความยินยอมเท่านั้น | ประมาณ 2 ปี (ต่ออายุทุกครั้งที่เข้าชมซ้ำ) |
| _ga_* (เช่น _ga_QD1S0XN2T9) | การวิเคราะห์ (Analytics) — ต้องได้รับความยินยอม | คุกกี้ของ Google Analytics 4 สำหรับแต่ละพร็อพเพอร์ตี้ ใช้เก็บสถานะเซสชันและระบุแหล่งที่มาของการเข้าชม เปิดใช้งานเฉพาะเมื่อท่านให้ความยินยอม | ประมาณ 2 ปี (ต่ออายุทุกครั้งที่เข้าชมซ้ำ) |
4.1 Cloudflare Web Analytics
นอกจากนี้ เราอาจใช้บริการ Cloudflare Web Analytics ซึ่งเป็นบริการวิเคราะห์เว็บไซต์ ที่ไม่ใช้คุกกี้ (cookie-free) และเป็นมิตรต่อความเป็นส่วนตัว โดยไม่เก็บรวบรวมข้อมูลส่วนบุคคลที่สามารถระบุตัวตนของผู้ใช้งานได้
4.2 คุกกี้สำหรับการตลาด
ขณะนี้เราไม่ได้ใช้คุกกี้สำหรับการตลาด (Marketing Cookies) ใด ๆ บนเว็บไซต์ หากมีการเปลี่ยนแปลงในอนาคต เราจะแจ้งให้ท่านทราบและขอความยินยอมก่อนเปิดใช้งาน
ท่านสามารถจัดการหรือลบคุกกี้ได้ผ่านการตั้งค่าของเบราว์เซอร์ที่ท่านใช้งาน อย่างไรก็ตาม การปิดคุกกี้ที่จำเป็นอาจส่งผลให้ฟังก์ชันบางส่วนของเว็บไซต์ไม่สามารถทำงานได้ตามปกติ
5. การเปิดเผยหรือแบ่งปันข้อมูล
เราจะไม่ขาย ให้เช่า หรือแลกเปลี่ยนข้อมูลส่วนบุคคลของท่านกับบุคคลที่สามเพื่อประโยชน์ทางการค้า โดยจะเปิดเผยหรือแบ่งปันข้อมูลส่วนบุคคลของท่านเฉพาะในกรณีต่อไปนี้เท่านั้น:
- ผู้ประมวลผลข้อมูล (Data Processor): บริษัทอื่นที่เราใช้ในการให้บริการ เช่น ผู้ให้บริการโฮสติ้ง ผู้ให้บริการระบบจัดเก็บข้อมูล Google (Google Analytics) และ Cloudflare โดยผู้ประมวลผลข้อมูลดังกล่าวจะดำเนินการตามคำสั่งของเราเท่านั้น และภายใต้ข้อตกลงหรือมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอตามที่กฎหมายกำหนด
- หน่วยงานของรัฐหรือหน่วยงานที่มีอำนาจ: เมื่อมีกฎหมาย ระเบียบ หรือคำสั่งของศาลที่กำหนดให้ต้องเปิดเผยข้อมูล
- กรณีความจำเป็นเพื่อปกป้องสิทธิ์: เพื่อปกป้องสิทธิ ทรัพย์สิน หรือความปลอดภัยของบริษัท ผู้ใช้งาน หรือบุคคลอื่น ตามที่กฎหมายอนุญาต
- การโอนกิจการ: ในกรณีที่มีการควบรวม โอน หรือขายกิจการของบริษัท ทั้งหรือบางส่วน ท่านจะได้รับการแจ้งล่วงหน้า และข้อมูลของท่านจะยังคงได้รับการคุ้มครองตามนโยบายฉบับนี้
6. ระยะเวลาการเก็บรักษาข้อมูล
เราจะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้เฉพาะตราบเท่าที่จำเป็นสำหรับวัตถุประสงค์ที่เก็บรวบรวม หรือตามที่กฎหมายกำหนด โดยกำหนดระยะเวลาการเก็บรักษา ดังนี้:
- ข้อมูลจากแบบฟอร์มติดต่อและธุรกรรม: ตลอดระยะเวลาความสัมพันธ์ทางธุรกิจ และภายในระยะเวลาที่กฎหมายกำหนด เช่น ข้อมูลบัญชีและเอกสารทางบัญชีตามประมวลรัษฎากร (ป.พ.ธ.) ซึ่งโดยทั่วไปไม่น้อยกว่า 5 ปี
- ข้อมูลการเข้าชมเว็บไซต์ (Analytics): ตามระยะเวลาที่ผู้ให้บริการกำหนด โดยทั่วไปไม่เกิน 14 เดือน นับจากการเก็บรวบรวม
- ข้อมูลความปลอดภัยและบันทึกระบบ: ตามระยะเวลาที่จำเป็นเพื่อการตรวจสอบ และการป้องกันการกระทำผิด หรือตามที่กฎหมายกำหนด
เมื่อข้อมูลส่วนบุคคลของท่านไม่จำเป็นต้องใช้ในวัตถุประสงค์ที่เก็บรวบรวม หรือเมื่อหมดระยะเวลาการเก็บรักษาตามกฎหมาย เราจะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลดังกล่าวไม่สามารถระบุตัวตนของท่านได้ (de-identification) ตามมาตรฐานการรักษาความปลอดภัยที่เหมาะสม
7. สิทธิของเจ้าของข้อมูลส่วนบุคคล
ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ท่านในฐานะเจ้าของข้อมูลส่วนบุคคล มีสิทธิต่าง ๆ ดังต่อไปนี้ โดยท่านสามารถติดต่อขอใช้สิทธิเหล่านี้ได้ตามช่องทางที่ระบุไว้ในหมวด “ข้อมูลผู้ควบคุมข้อมูลส่วนบุคคล”:
- สิทธิที่จะได้รับแจ้ง (มาตรา 19 และ 20)
สิทธิที่จะได้รับการแจ้งข้อมูลเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน รวมถึงวัตถุประสงค์และฐานทางกฎหมาย - สิทธิในการเข้าถึงข้อมูล (มาตรา 30)
สิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลของท่าน รวมถึงขอให้เปิดเผยการได้มาซึ่งข้อมูลและการเปิดเผยข้อมูล - สิทธิในการแก้ไขข้อมูลให้ถูกต้อง (มาตรา 34)
สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้อง ไม่ครบถ้วน หรือไม่เป็นปัจจุบันให้ถูกต้องและครบถ้วน - สิทธิในการลบหรือทำลายข้อมูล (มาตรา 33)
สิทธิในการขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลของท่านไม่สามารถระบุตัวตนได้ ในกรณีที่กฎหมายกำหนด - สิทธิในการระงับการใช้ข้อมูล (มาตรา 35)
สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคลของท่านในกรณีที่กฎหมายกำหนด เช่น ระหว่างการตรวจสอบความถูกต้องของข้อมูล - สิทธิในการโอนย้ายข้อมูล (มาตรา 31)
สิทธิในการขอรับข้อมูลส่วนบุคคลของท่านในรูปแบบที่อ่านหรือใช้งานได้โดยทั่วไป และขอให้ส่งหรือโอนข้อมูลดังกล่าวไปยังผู้ควบคุมข้อมูลอื่น - สิทธิในการคัดค้าน (มาตรา 32)
สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน โดยเฉพาะการประมวลผลเพื่อการตลาดโดยตรง - สิทธิในการถอนความยินยอม (มาตรา 19 วรรคสอง)
สิทธิในการถอนความยินยอมที่ท่านเคยให้ไว้กับเราได้ตลอดเวลา การถอนความยินยอมจะไม่มีผลกระทบต่อการประมวลผลที่ได้ดำเนินการไปก่อนหน้า
เราจะดำเนินการตามคำขอของท่านภายในระยะเวลาที่กฎหมายกำหนด โดยทั่วไปไม่เกิน 30 วัน นับจากวันที่ได้รับคำขอ ทั้งนี้ เราอาจขอข้อมูลเพิ่มเติมเพื่อยืนยันตัวตนของท่านก่อนดำเนินการ
8. มาตรการรักษาความปลอดภัย
เราให้ความสำคัญต่อความปลอดภัยของข้อมูลส่วนบุคคลของท่าน และได้นำมาตรการรักษาความมั่นคงปลอดภัย ที่เหมาะสมตามมาตรา 27 ของ PDPA มาใช้ เพื่อป้องกันการเข้าถึง การเปิดเผย การใช้ การเปลี่ยนแปลง หรือการทำลายข้อมูลโดยไม่ได้รับอนุญาต ได้แก่:
- การเข้ารหัสข้อมูล: การรับส่งข้อมูลผ่านเว็บไซต์ใช้การเข้ารหัส HTTPS/TLS และการเข้ารหัสข้อมูลที่สำคัญในระหว่างการจัดเก็บ
- การควบคุมการเข้าถึง: จำกัดสิทธิ์การเข้าถึงข้อมูลเฉพาะบุคลากรที่เกี่ยวข้อง ตามหลักการ Need-to-know และการควบคุมสิทธิ์ตามบทบาท (Role-Based Access Control)
- การป้องกันภัยไซเบอร์: ใช้บริการและเครื่องมือรักษาความปลอดภัยของ Cloudflare สำหรับการตรวจจับและป้องกันการโจมตี รวมถึงการป้องกันบอท
- การจัดการโทเคนความปลอดภัย: โทเคนสำหรับผู้ดูแลระบบถูกตั้งค่าเป็น httpOnly และ sameSite: strict เพื่อลดความเสี่ยงจากการโจมตีประเภท Cross-Site Scripting และ CSRF
- การสำรองและกู้คืนข้อมูล: มีระบบสำรองข้อมูลและแผนกู้คืนข้อมูลในกรณีฉุกเฉิน
- การฝึกอบรมบุคลากร: บุคลากรของเราได้รับการฝึกอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และการรักษาความลับอย่างสม่ำเสมอ
9. การแจ้งละเมิดข้อมูลส่วนบุคคล
ในกรณีที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล (Personal Data Breach) บริษัทจะดำเนินการ ตามมาตรา 37 และมาตรา 39 ของ PDPA ดังนี้:
- แจ้งเหตุละเมิดข้อมูลส่วนบุคคลต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Office of the Personal Data Protection Committee — PDPC) ภายใน 72 ชั่วโมง นับแต่วันที่บริษัททราบถึงการเกิดเหตุละเมิด ทั้งนี้ ตามเงื่อนไขที่กฎหมายกำหนด
- แจ้งให้ท่านในฐานะเจ้าของข้อมูลทราบถึงเหตุละเมิดโดยไม่ชักช้า เมื่อเหตุละเมิดดังกล่าวอาจก่อให้เกิดความเสียหายสูงต่อสิทธิและเสรีภาพของท่าน พร้อมทั้งแนะนำมาตรการเพื่อบรรเทาผลกระทบที่อาจเกิดขึ้น
- บันทึกข้อมูลเกี่ยวกับเหตุละเมิดข้อมูลส่วนบุคคล รวมถึงรายละเอียดของเหตุการณ์ ผลกระทบ และมาตรการแก้ไข เพื่อใช้ในการตรวจสอบและรายงานต่อหน่วยงานที่เกี่ยวข้อง
10. การเปลี่ยนแปลงนโยบายความเป็นส่วนตัว
บริษัทขอสงวนสิทธิ์ในการปรับปรุงหรือแก้ไขนโยบายความเป็นส่วนตัวฉบับนี้ เพื่อให้สอดคล้องกับการเปลี่ยนแปลงของบริการ เทคโนโลยี หรือข้อกำหนดทางกฎหมายที่เกี่ยวข้อง การเปลี่ยนแปลงใด ๆ จะมีผลเป็นการเปลี่ยนแปลงนโยบายฉบับนี้ทันทีเมื่อเผยแพร่บนเว็บไซต์ โดยจะระบุวันที่ปรับปรุงล่าสุดไว้ที่ส่วนบนของหน้านโยบาย
หากมีการเปลี่ยนแปลงที่มีนัยสำคัญต่อสิทธิของท่าน เราจะแจ้งให้ท่านทราบผ่านเว็บไซต์ หรือผ่านช่องทางการติดต่อที่ท่านได้ให้ไว้กับเรา ท่านควรตรวจสอบหน้านโยบายนี้เป็นระยะ เพื่อทราบถึงการเปลี่ยนแปลงล่าสุด
11. ข้อมูลผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
หากท่านมีข้อสงสัย ข้อเสนอแนะ หรือประสงค์จะใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ สามารถติดต่อผู้ควบคุมข้อมูลส่วนบุคคลได้ที่:
บริษัท ดิ ไอยรินทร์ กรุ๊ป จำกัด (THE IYARIN GROUP)
ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล
หากท่านมีข้อกังวลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของท่าน และไม่สามารถระงับข้อขัดแย้งกับเราได้ ท่านสามารถยื่นเรื่องร้องเรียน ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ได้ตามช่องทางที่กฎหมายกำหนด
เอกสารนี้จัดทำขึ้นเพื่อสื่อสารนโยบายความเป็นส่วนตัวของ บริษัท ดิ ไอยรินทร์ กรุ๊ป จำกัดภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — ปรับปรุงล่าสุดเมื่อวันที่ 28 มิถุนายน 2569