นโยบายความเป็นส่วนตัว

การเก็บรวบรวม ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของบริษัท

1. คำนำ

นโยบายความเป็นส่วนตัวฉบับนี้อธิบายวิธีที่บริษัทประมวลผลข้อมูลส่วนบุคคลเมื่อบุคคลเข้าชมเว็บไซต์ของบริษัท สร้างหรือบริหารบัญชี หรือมีปฏิสัมพันธ์กับแพลตฟอร์มและบริการที่เกี่ยวข้อง นโยบายนี้ใช้บังคับแก่ผู้ใช้ปลายทางและผู้แทนของลูกค้าในส่วนที่บริษัทเป็นผู้ควบคุมข้อมูล และยังอธิบายวิธีที่บริษัทสนับสนุนลูกค้าในส่วนที่บริษัทเป็นผู้ประมวลผลข้อมูล วันที่มีผลใช้บังคับ: 21 กุมภาพันธ์ 2569. ปรับปรุงล่าสุด: 21 กุมภาพันธ์ 2569.

2. คำจำกัดความและความสัมพันธ์กับเอกสารอื่น

คำที่ขึ้นต้นด้วยอักษรตัวใหญ่ (capitalized terms) ในเอกสารนี้ให้มีความหมายตามที่กำหนดไว้ในข้อกำหนดการให้บริการ รวมถึง Company, Platform, Customer, Organization, Instructor, Learner, End User, Content, Personal Data, Controller, Processor และ Subprocessor นโยบายคุกกี้เป็นส่วนหนึ่งของนโยบายความเป็นส่วนตัวฉบับนี้สำหรับคุกกี้และเทคโนโลยีที่คล้ายกัน ในกรณีที่บริษัทเป็นผู้ประมวลผลข้อมูลแทนลูกค้า ให้ DPA (หากลงนาม) มีผลกำกับการประมวลผลดังกล่าวและมีผลเหนือเอกสารนี้เท่าที่มีความขัดแย้งในส่วนหน้าที่ของผู้ประมวลผลข้อมูล

3. บทบาทผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล

3.1 กรณีที่บริษัทเป็นผู้ควบคุมข้อมูล

บริษัทเป็นผู้ควบคุมข้อมูลสำหรับข้อมูลส่วนบุคคลที่ประมวลผลเพื่อวัตถุประสงค์ของบริษัทเอง เช่น การสร้างและบริหารบัญชีลูกค้า การจัดการการสมัครใช้และการเรียกเก็บเงิน การดำเนินงานและรักษาความปลอดภัยของแพลตฟอร์ม การป้องกันการทุจริตและการละเมิด การสื่อสารกับลูกค้าและผู้ใช้ปลายทางเกี่ยวกับแพลตฟอร์ม การปฏิบัติตามกฎหมาย และการปรับปรุงแพลตฟอร์ม ข้อมูลส่วนบุคคลที่เกี่ยวข้องอาจรวมถึงข้อมูลบัญชีผู้ดูแล ข้อมูลการใช้งานและบันทึกด้านความปลอดภัย และข้อมูลการติดต่อสื่อสารกับบริษัท

3.2 กรณีที่บริษัทเป็นผู้ประมวลผลข้อมูล

โดยข้อสมมติฐานพื้นฐาน บริษัทเป็นผู้ประมวลผลข้อมูลเมื่อประมวลผลข้อมูลส่วนบุคคลที่อยู่ในเนื้อหาของลูกค้าหรือที่ส่งเข้าสู่แพลตฟอร์มโดยหรือในนามของลูกค้าเพื่อให้บริการแพลตฟอร์ม ในบริบทนี้ ลูกค้ามักเป็นผู้ควบคุมข้อมูลและมีหน้าที่กำหนดวัตถุประสงค์และวิธีการประมวลผล จัดทำการแจ้งให้ทราบแก่ผู้ใช้ปลายทาง และได้รับความยินยอมที่จำเป็น (หากมี) เงื่อนไขของผู้ประมวลผลข้อมูล รวมถึงคำสั่งการประมวลผลและหน้าที่ด้านความปลอดภัย ระบุไว้ใน DPA เมื่อมีการลงนาม

4. ประเภทของข้อมูลส่วนบุคคล

4.1 ข้อมูลบัญชีและการระบุตัวตน

บริษัทอาจประมวลผลข้อมูลที่ใช้ในการสร้างและจัดการบัญชี เช่น ชื่อ ชื่อผู้ใช้ อีเมล หมายเลขโทรศัพท์ สังกัดองค์กร บทบาทและสิทธิ์ ปัจจัยการยืนยันตัวตน และสถานะบัญชี การยืนยันตัวตนดำเนินการผ่านการยืนยันอีเมลเมื่อสร้างบัญชี อาจมีการยืนยันตัวตนเพิ่มเติมสำหรับหน้าที่ผู้ดูแลระบบหรือตามที่กฎหมายที่ใช้บังคับกำหนด

4.2 ข้อมูลธุรกรรมและการเรียกเก็บเงิน

เมื่อมีการซื้อบริการแบบชำระเงินจากบริษัท บริษัทอาจประมวลผลข้อมูลผู้ติดต่อสำหรับการเรียกเก็บเงิน รายละเอียดการออกใบแจ้งหนี้ บันทึกธุรกรรม และสถานะการชำระเงิน รายละเอียดบัตรชำระเงินอาจถูกประมวลผลโดยผู้ให้บริการชำระเงินและไม่ได้ถูกจัดเก็บโดยบริษัท ทั้งนี้การประมวลผลการชำระเงินดำเนินการโดย Stripe บริษัทไม่จัดเก็บรายละเอียดบัตรชำระเงินโดยตรง ในกรณีที่องค์กรเปิดใช้งาน PromptPay เป็นวิธีการชำระเงินสำหรับธุรกรรมของผู้เรียนบนแพลตฟอร์ม บริษัทใช้ Slip2Go เป็นผู้ให้บริการภายนอกเพื่อตรวจสอบสลิปการชำระเงินผ่าน PromptPay สำหรับธุรกรรม PromptPay ที่สำเร็จแต่ละรายการ บริษัทจะเก็บรวบรวมและจัดเก็บภาพสลิปการชำระเงินเป็นหลักฐาน ส่งใบเสร็จรับเงินไปยังอีเมลที่ผู้เรียนลงทะเบียนไว้ และเรียกเก็บค่าธรรมเนียมการตรวจสอบ 10 บาท (ประมาณ 0.5 ดอลลาร์สหรัฐ) ต่อธุรกรรมที่สำเร็จ ค่าธรรมเนียมการตรวจสอบจะถูกหักจากยอดธุรกรรมก่อนการชำระเงินให้แก่องค์กร

4.3 ข้อมูลการใช้งานแพลตฟอร์มและข้อมูลอุปกรณ์

บริษัทอาจประมวลผลข้อมูลทางเทคนิคและการใช้งาน เช่น ตัวระบุอุปกรณ์ ประเภทเบราว์เซอร์ ระบบปฏิบัติการ ที่อยู่ IP ตำแหน่งโดยประมาณที่อนุมานจาก IP เวลาเข้าใช้งาน หน้าที่เข้าถึง ฟีเจอร์ที่ใช้ URL อ้างอิง ข้อมูลการวินิจฉัย และข้อมูลประสิทธิภาพ บริษัทใช้ข้อมูลดังกล่าวเพื่อดำเนินงาน รักษาความปลอดภัย ปรับปรุงแพลตฟอร์ม และตรวจสอบเหตุการณ์หรือการละเมิด

4.4 ข้อมูลการเรียนรู้และการมีส่วนร่วม

ในกรณีที่บริษัทประมวลผลในฐานะผู้ควบคุมข้อมูล บริษัทอาจประมวลผลข้อมูลการเรียนรู้บางส่วนเท่าที่จำเป็นต่อการดำเนินงานแพลตฟอร์ม เช่น สถานะการลงทะเบียน เหตุการณ์การเข้าถึงหลักสูตร สถานะการสำเร็จ และการติดต่อสื่อสาร ในกรณีที่บันทึกการเรียนรู้เป็นส่วนหนึ่งของเนื้อหาของลูกค้าและถูกประมวลผลตามคำสั่งของลูกค้า บริษัทประมวลผลข้อมูลดังกล่าวในฐานะผู้ประมวลผลข้อมูล

4.5 ข้อมูลการติดต่อสื่อสาร

บริษัทอาจประมวลผลเนื้อหาการสื่อสารเมื่อมีการติดต่อบริษัท เช่น คำขอสนับสนุน ข้อเสนอแนะ และรายงานการละเมิดหรือการละเมิดสิทธิ รวมถึงข้อมูลประกอบการสื่อสาร

4.6 ข้อมูลคุกกี้และเทคโนโลยีที่คล้ายกัน

บริษัทอาจประมวลผลตัวระบุและข้อมูลที่เกี่ยวข้องซึ่งเก็บรวบรวมผ่านคุกกี้และเทคโนโลยีที่คล้ายกันตามที่อธิบายในนโยบายคุกกี้ รวมถึงการตั้งค่าความชอบ ตัวระบุเซสชัน และตัวระบุด้านการวิเคราะห์ ทั้งนี้ขึ้นกับการเลือกของผู้ใช้และกฎหมายที่ใช้บังคับ

5. วัตถุประสงค์และฐานกฎหมายในการประมวลผล

5.1 วัตถุประสงค์

บริษัทประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่อาจรวมถึงการให้บริการและบริหารแพลตฟอร์ม การยืนยันตัวตน การตั้งค่าบัญชี การให้การสนับสนุน การดำเนินการชำระเงิน การสื่อสารการเปลี่ยนแปลงบริการ การรักษาความปลอดภัย การป้องกันการละเมิด การปฏิบัติตามกฎหมาย และการปรับปรุงประสิทธิภาพและการทำงานของแพลตฟอร์ม บริษัทอาจประมวลผลข้อมูลส่วนบุคคลเพื่อการตรวจสอบภายใน การจัดทำรายงาน และการวางแผนธุรกิจ โดยสอดคล้องกับกฎหมายที่ใช้บังคับ

5.2 ฐานกฎหมายตาม PDPA

เมื่อ PDPA ใช้บังคับและบริษัทเป็นผู้ควบคุมข้อมูล บริษัทจะใช้ฐานกฎหมายที่เหมาะสมตามบริบท ซึ่งอาจรวมถึงความยินยอม ความจำเป็นเพื่อการปฏิบัติตามสัญญา การปฏิบัติตามกฎหมาย ประโยชน์โดยชอบด้วยกฎหมาย ประโยชน์สำคัญต่อชีวิต หรือฐานอื่นที่ PDPA รับรอง ทั้งนี้ขึ้นกับประเภทข้อมูลและลักษณะการประมวลผล ในกรณีที่ใช้ฐานความยินยอม บริษัทจะจัดให้มีกลไกการถอนความยินยอมภายใต้ข้อจำกัดทางกฎหมายและผลกระทบต่อการให้บริการ

เมื่อ GDPR ใช้บังคับและบริษัทเป็นผู้ควบคุมข้อมูล บริษัทจะใช้ฐานกฎหมายที่เหมาะสม เช่น ความจำเป็นเพื่อการปฏิบัติตามสัญญา ประโยชน์โดยชอบด้วยกฎหมาย หน้าที่ตามกฎหมาย ความยินยอม หรือฐานอื่นตาม GDPR ทั้งนี้ขึ้นกับบริบท ในกรณีที่บริษัทเป็นผู้ประมวลผลข้อมูล ลูกค้ามีหน้าที่กำหนดและบันทึกฐานกฎหมายสำหรับการประมวลผลที่ลูกค้าควบคุม

6. การสื่อสารการตลาด

บริษัทอาจส่งการสื่อสารด้านการบริหารหรือการให้บริการที่จำเป็นต่อการให้บริการแพลตฟอร์ม เช่น การแจ้งด้านความปลอดภัย ใบแจ้งหนี้ และการเปลี่ยนแปลงเอกสารทางกฎหมาย การสื่อสารเพื่อการตลาด (ถ้ามี) จะดำเนินการเท่าที่กฎหมายอนุญาตและอยู่ภายใต้กลไกการยกเลิกการรับ (opt-out) การสื่อสารเพื่อการตลาดจะดำเนินการเฉพาะเมื่อผู้ใช้ได้ให้ความยินยอมล่วงหน้าแบบ opt-in เท่านั้น ผู้ใช้สามารถยกเลิกได้ทุกเมื่อผ่านการตั้งค่าบัญชีหรือโดยใช้ลิงก์ยกเลิกการรับในอีเมลการตลาด

7. การเปิดเผยข้อมูลส่วนบุคคล

7.1 ผู้ให้บริการและผู้ประมวลผลช่วงต่อ

บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลแก่ผู้ให้บริการที่ช่วยในการดำเนินงานแพลตฟอร์ม เช่น การโฮสต์ การจัดเก็บ การวิเคราะห์ เครื่องมือสนับสนุนลูกค้า การเฝ้าระวังด้านความปลอดภัย และการชำระเงิน ภายใต้การคุ้มครองตามสัญญาและภายใต้ DPA เมื่อใช้บังคับ บริษัทจัดทำรายชื่อผู้ประมวลผลช่วงต่อ ซึ่งสามารถขอรับได้โดยส่งอีเมลมาที่ heretohelp@openmirai.com บริษัทจะแจ้งล่วงหน้าอย่างน้อย 30 วันก่อนการแต่งตั้งผู้ประมวลผลช่วงต่อรายใหม่

7.2 บริษัทในเครือและธุรกรรมทางธุรกิจ

บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลแก่บริษัทในเครือเพื่อการบริหารภายในและธรรมาภิบาล โดยสอดคล้องกับนโยบายนี้ บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับการควบรวมกิจการ การซื้อกิจการ การปรับโครงสร้าง การระดมทุน หรือการขายสินทรัพย์ โดยอยู่ภายใต้มาตรการด้านความลับและความปลอดภัยที่เหมาะสม

7.3 ข้อกำหนดทางกฎหมายและการคุ้มครองสิทธิ

บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลเมื่อกฎหมาย ระเบียบ หรือกระบวนการทางกฎหมายกำหนด หรือเมื่อบริษัทเชื่อโดยสมเหตุสมผลว่าจำเป็นเพื่อคุ้มครองสิทธิ ทรัพย์สิน หรือความปลอดภัยของบริษัท ลูกค้า ผู้ใช้ปลายทาง หรือผู้อื่น รวมถึงการสืบสวนการทุจริตหรือเหตุการณ์ด้านความปลอดภัย

8. การโอนข้อมูลระหว่างประเทศ

แพลตฟอร์มอาจเกี่ยวข้องกับการประมวลผลและการจัดเก็บข้อมูลในต่างประเทศนอกประเทศไทยหรือนอกประเทศของผู้ใช้ บริษัทจะใช้มาตรการคุ้มครองการโอนข้อมูลข้ามพรมแดนตาม PDPA และตาม GDPR (เมื่อใช้บังคับ) สำหรับการโอนข้อมูลที่อยู่ภายใต้ GDPR บริษัทใช้ Standard Contractual Clauses (SCCs) ตามที่คณะกรรมาธิการยุโรปอนุมัติ บริษัทยังใช้การเข้ารหัสและการควบคุมการเข้าถึงเป็นมาตรการเพิ่มเติม

9. ระยะเวลาการเก็บรักษาข้อมูล

บริษัทเก็บรักษาข้อมูลส่วนบุคคลเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์ตามนโยบายนี้ เพื่อปฏิบัติตามกฎหมาย ระงับข้อพิพาท และบังคับใช้ข้อตกลง ระยะเวลาการเก็บรักษาอาจแตกต่างกันตามประเภทข้อมูล ลักษณะความสัมพันธ์ และข้อกำหนดทางกฎหมาย ข้อมูลบัญชีจะถูกเก็บรักษาตลอดระยะเวลาที่บัญชียังใช้งานอยู่และเป็นเวลา 90 วันหลังจากปิดบัญชี บันทึกธุรกรรมจะถูกเก็บรักษาเป็นเวลา 5 ปีตามที่กฎหมายบัญชีของประเทศไทยกำหนด บันทึกการใช้งานจะถูกเก็บรักษาเป็นเวลา 12 เดือน ข้อมูลส่วนบุคคลที่ประมวลผลในนามของลูกค้าในฐานะผู้ประมวลผลข้อมูลจะถูกเก็บรักษาตามคำสั่งของลูกค้าและลบภายใน 90 วันหลังจากสิ้นสุดสัญญา

10. มาตรการความปลอดภัย

บริษัทมีมาตรการด้านความปลอดภัยเพื่อปกป้องข้อมูลส่วนบุคคลจากการทำลาย สูญหาย เปลี่ยนแปลง เปิดเผย หรือเข้าถึงโดยไม่ได้รับอนุญาต มาตรการอาจรวมถึงการควบคุมการเข้าถึง การบันทึกและเฝ้าระวัง การเข้ารหัสระหว่างส่ง และการสำรองข้อมูล ภายใต้นโยบายความปลอดภัยและ DPA เมื่อใช้บังคับ อย่างไรก็ดีไม่มีวิธีการส่งหรือจัดเก็บข้อมูลใดที่ปลอดภัยได้อย่างสมบูรณ์ และบริษัทไม่รับประกันความปลอดภัยแบบเด็ดขาด

11. สิทธิของเจ้าของข้อมูลและการยื่นคำขอ

11.1 สิทธิตาม PDPA

เมื่อ PDPA ใช้บังคับและบริษัทเป็นผู้ควบคุมข้อมูล เจ้าของข้อมูลอาจมีสิทธิ เช่น สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล สิทธิขอแก้ไขให้ถูกต้อง สิทธิขอให้ลบหรือทำลาย สิทธิขอระงับการใช้ สิทธิขอให้โอนข้อมูล (เมื่อใช้บังคับ) สิทธิคัดค้านการประมวลผลในบางกรณี สิทธิถอนความยินยอม และสิทธิร้องเรียนต่อหน่วยงานกำกับ ทั้งนี้สิทธิบางประการอาจถูกจำกัดตามข้อยกเว้นและข้อจำกัดทางกฎหมาย

เมื่อ GDPR ใช้บังคับและบริษัทเป็นผู้ควบคุมข้อมูล เจ้าของข้อมูลอาจมีสิทธิ เช่น สิทธิขอเข้าถึง แก้ไข ลบ จำกัด โอนย้าย คัดค้าน และสิทธิที่เกี่ยวข้องกับการตัดสินใจอัตโนมัติในบางกรณี รวมถึงสิทธิร้องเรียนต่อหน่วยงานกำกับ

11.3 วิธีการยื่นคำขอ

เจ้าของข้อมูลสามารถยื่นคำขอผ่านช่องทางติดต่อที่ระบุไว้ในหน้า "การติดต่อและการแจ้ง" บริษัทอาจตรวจสอบตัวตนก่อนดำเนินการ บริษัทจะตอบสนองต่อคำขอของเจ้าของข้อมูลภายใน 30 วัน อาจขยายเวลาเพิ่มได้อีกไม่เกิน 60 วันสำหรับคำขอที่ซับซ้อน โดยจะแจ้งให้เจ้าของข้อมูลทราบ ไม่มีการเก็บค่าธรรมเนียมสำหรับคำขอแรกในรอบ 12 เดือน อาจเก็บค่าธรรมเนียมในอัตราสมเหตุสมผลสำหรับคำขอที่มากเกินไปหรือซ้ำซ้อนตามที่กฎหมายที่ใช้บังคับอนุญาต

11.4 คำขอเกี่ยวกับข้อมูลภายใต้การควบคุมของลูกค้า

ในกรณีที่บริษัทเป็นผู้ประมวลผลข้อมูล ลูกค้ามีหน้าที่ตอบคำขอจากผู้ใช้ปลายทางเกี่ยวกับข้อมูลส่วนบุคคลที่ลูกค้าควบคุม บริษัทจะให้ความช่วยเหลือตามสมควรแก่ลูกค้าตามที่ DPA และกฎหมายกำหนด ภายใต้ความเป็นไปได้ทางเทคนิคและคำสั่งของลูกค้า

12. ข้อมูลเด็กและการใช้เพื่อการศึกษา

แพลตฟอร์มอาจถูกใช้โดยองค์กรที่ให้บริการแก่ผู้เยาว์ บริษัทไม่ประสงค์ที่จะเก็บรวบรวมข้อมูลส่วนบุคคลของเด็กในกรณีที่ต้องได้รับความยินยอมจากผู้ปกครอง/ผู้แทนโดยชอบธรรม เว้นแต่จะดำเนินการตามคำสั่งของลูกค้าที่เป็นผู้ควบคุมข้อมูลและอยู่ภายใต้การแจ้งและความยินยอมที่เหมาะสม บริษัทกำหนดให้ผู้ใช้ปลายทางต้องมีอายุอย่างน้อย 13 ปี หรืออายุขั้นต่ำของการยินยอมในรูปแบบดิจิทัลตามเขตอำนาจของผู้ใช้ปลายทาน แล้วแต่จำนวนใดจะสูงกว่า กลไกการให้ความยินยอมสำหรับเด็กเป็นความรับผิดชอบของลูกค้าที่เป็นผู้ควบคุมข้อมูล

13. การแจ้งเหตุการณ์และการแจ้งการละเมิดข้อมูล

บริษัทมีขั้นตอนเพื่อการตรวจจับ ตอบสนอง และสืบสวนเหตุการณ์ด้านความปลอดภัย ในกรณีที่บริษัททราบถึงการละเมิดข้อมูลส่วนบุคคลตาม PDPA หรือ GDPR (แล้วแต่กรณี) บริษัทจะจัดให้มีการแจ้งต่อลูกค้า หน่วยงานกำกับ และเจ้าของข้อมูลเมื่อกฎหมายกำหนดและภายในระยะเวลาที่กฎหมายกำหนด การแจ้งเหตุการณ์จะดำเนินการภายใน 72 ชั่วโมงนับจากที่บริษัทรับทราบถึงการละเมิดข้อมูลส่วนบุคคล ตามที่อธิบายเพิ่มเติมใน DPA การแจ้งจะส่งทางอีเมลไปยังผู้ติดต่อที่ลูกค้ากำหนด

14. การเปลี่ยนแปลงนโยบายความเป็นส่วนตัว

บริษัทอาจปรับปรุงนโยบายความเป็นส่วนตัวฉบับนี้เป็นครั้งคราว บริษัทจะเผยแพร่ฉบับปรับปรุงในพอร์ทัลเอกสารทางกฎหมาย และอาจให้การแจ้งเพิ่มเติมเกี่ยวกับการเปลี่ยนแปลงที่มีสาระสำคัญด้วยวิธีการที่สมเหตุสมผล เช่น อีเมลหรือการแจ้งผ่านแพลตฟอร์ม เว้นแต่จะระบุเป็นอย่างอื่น การเปลี่ยนแปลงมีผลในวันที่มีผลใช้บังคับที่ระบุในนโยบายฉบับปรับปรุง

15. การติดต่อ

อีเมลติดต่อด้านความเป็นส่วนตัว: heretohelp@openmirai.com. ช่องทางติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (หากแต่งตั้ง): heretohelp@openmirai.com. ที่อยู่จดทะเบียนในประเทศไทยสำหรับการติดต่อด้านความเป็นส่วนตัว: 129/290 หมู่บ้านเพอร์เฟคเพลส หมู่ที่ 3 ซอยไทรม้า ถนนรัตนาธิเบศร์ ตำบลไทรม้า อำเภอเมืองนนทบุรี จังหวัดนนทบุรี. ช่องทางติดต่อเพิ่มเติมและข้อกำหนดการแจ้งทางกฎหมายระบุไว้ในหน้า "การติดต่อและการแจ้ง"

นโยบายความเป็นส่วนตัว

สารบัญ