นโยบายความเป็นส่วนตัว
EasyRoomBill ให้ความสำคัญสูงสุดกับการคุ้มครองข้อมูลส่วนบุคคลของท่าน นโยบายนี้จัดทำขึ้นตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เพื่อให้ท่านทราบถึงสิทธิ์และวิธีที่เราปกป้องข้อมูลของท่าน
สอดคล้องกับ PDPA พ.ศ. 2562
1. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6 ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่กำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคล รายละเอียดผู้ควบคุมข้อมูลมีดังนี้:
ชื่อองค์กร
EasyRoomBill
ประเภทธุรกิจ
ซอฟต์แวร์บริหารจัดการหอพัก (SaaS)
อีเมลฝ่ายคุ้มครองข้อมูล
easyroombill@gmail.com
เว็บไซต์
www.easyroombill.com
2. ข้อมูลส่วนบุคคลที่เราเก็บรวบรวม
เราเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นสำหรับการให้บริการ โดยแบ่งตามประเภทผู้ใช้งานดังนี้:
ข้อมูลบัญชีผู้ใช้ (เจ้าของหอ/ผู้ดูแล)
- ชื่อ-นามสกุล
- อีเมล
- เบอร์โทรศัพท์
- LINE ID
- ชื่อหอพักและที่อยู่
ข้อมูลผู้เช่า
- ชื่อ-นามสกุล
- เบอร์โทรศัพท์
- LINE ID
- เลขบัตรประจำตัวประชาชน (เข้ารหัส AES-256-GCM)
- ข้อมูลสัญญาเช่า
ข้อมูลทางการเงิน
- ข้อมูลบิลและใบแจ้งหนี้
- ประวัติการชำระเงิน
- สลิปการโอนเงิน
- เลขบัญชีธนาคาร (เข้ารหัส AES-256-GCM)
- ข้อมูลช่องทางการรับชำระ
ข้อมูลการใช้งานระบบ
- IP Address
- เวลาและวันที่เข้าใช้งาน
- ประเภทและรุ่นเบราว์เซอร์
- Log การดำเนินการในระบบ
- ข้อมูล Session
หมายเหตุ: ข้อมูลที่มีความอ่อนไหว เช่น เลขบัตรประจำตัวประชาชน และเลขบัญชีธนาคาร จะถูกเข้ารหัสด้วย AES-256-GCM ทันทีก่อนจัดเก็บในฐานข้อมูล
3. วัตถุประสงค์ในการเก็บรวบรวมและใช้ข้อมูล
การให้บริการจัดการหอพัก
ใช้ข้อมูลเพื่อสร้างและบริหารจัดการห้องพัก ผู้เช่า สัญญา และทรัพยากรภายในระบบ EasyRoomBill
การออกบิลและจัดการการชำระเงิน
ใช้ข้อมูลมิเตอร์และค่าใช้จ่ายเพื่อคำนวณและออกใบแจ้งหนี้ รวมถึงตรวจสอบยืนยันการชำระเงินจากผู้เช่า
การติดต่อสื่อสาร
ส่งการแจ้งเตือนบิล การยืนยัน OTP และข้อความสำคัญผ่านอีเมลหรือ LINE เพื่อประสิทธิภาพในการสื่อสารระหว่างเจ้าของหอและผู้เช่า
การปรับปรุงและพัฒนาบริการ
วิเคราะห์รูปแบบการใช้งานในภาพรวม (ไม่ระบุตัวตน) เพื่อพัฒนาคุณสมบัติและประสิทธิภาพของระบบ
การปฏิบัติตามกฎหมาย
เก็บบันทึกข้อมูลทางการเงินและธุรกรรมตามที่กฎหมายกำหนด เช่น พ.ร.บ. การบัญชี และกฎหมายภาษีอากร
ความมั่นคงปลอดภัยของระบบ
ตรวจจับและป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การทุจริต และภัยคุกคามทางไซเบอร์
4. ฐานทางกฎหมายในการประมวลผลข้อมูล (มาตรา 24)
เราอาศัยฐานทางกฎหมายตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 24 ดังต่อไปนี้:
ความยินยอม (Consent)
มาตรา 24(1)การส่งอีเมลการตลาด, การใช้ Analytics Cookies
การปฏิบัติตามสัญญา (Contract)
มาตรา 24(3)การให้บริการระบบจัดการหอพัก, การออกบิล
หน้าที่ตามกฎหมาย (Legal Obligation)
มาตรา 24(6)การเก็บบันทึกทางบัญชี 7 ปี ตาม พ.ร.บ. การบัญชี
ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest)
มาตรา 24(5)การรักษาความปลอดภัยระบบ, การป้องกันการทุจริต
5. ระยะเวลาในการเก็บรักษาข้อมูล
เราจัดเก็บข้อมูลส่วนบุคคลไว้เป็นระยะเวลาที่จำเป็นตามวัตถุประสงค์ที่ระบุ โดยมีนโยบายการเก็บรักษาดังนี้:
| ประเภทข้อมูล | ระยะเวลา |
|---|---|
บัญชีผู้ใช้งาน | ตลอดการใช้งาน + 1 ปี |
บิลและข้อมูลการเงิน | 7 ปี |
ข้อมูลลูกค้าที่สนใจ (Lead) | 2 ปี |
ข้อมูล Analytics | 1 ปี |
รหัส OTP และ Session | 90 วัน |
Log ความปลอดภัย | 1 ปี |
6. สิทธิ์ของเจ้าของข้อมูลส่วนบุคคล (มาตรา 30–36)
ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิ์ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังต่อไปนี้:
สิทธิ์เข้าถึงข้อมูล
มาตรา 30ขอดูข้อมูลส่วนบุคคลที่เราเก็บไว้เกี่ยวกับท่าน
สิทธิ์แก้ไขข้อมูล
มาตรา 35ขอแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์
สิทธิ์ลบข้อมูล
มาตรา 33ขอลบหรือทำลายข้อมูลเมื่อไม่จำเป็นต้องประมวลผลอีก
สิทธิ์ระงับการใช้ข้อมูล
มาตรา 34ขอระงับการประมวลผลข้อมูลได้ในกรณีที่กฎหมายกำหนด
สิทธิ์คัดค้านการประมวลผล
มาตรา 32คัดค้านการประมวลผลที่อาศัยฐาน Legitimate Interest
สิทธิ์ถอนความยินยอม
มาตรา 19ถอนความยินยอมได้ตลอดเวลา โดยไม่กระทบต่อการประมวลผลก่อนหน้า
สิทธิ์โอนย้ายข้อมูล
มาตรา 31ขอรับข้อมูลในรูปแบบที่อ่านได้ด้วยเครื่องเพื่อโอนไปยังผู้ให้บริการอื่น
สิทธิ์ร้องเรียน
มาตรา 73ร้องเรียนต่อ สคส. หากเราไม่ปฏิบัติตาม PDPA
การใช้สิทธิ์ของท่าน
ท่านสามารถใช้สิทธิ์ข้างต้นได้โดยส่งคำร้องมาที่ easyroombill@gmail.com เราจะดำเนินการตอบกลับภายใน 30 วันนับจากวันที่ได้รับคำร้อง
7. การส่งหรือโอนข้อมูลไปยังต่างประเทศ
ในการให้บริการ เราอาจส่งข้อมูลส่วนบุคคลของท่านไปยังผู้ให้บริการภายนอกที่ตั้งอยู่ในต่างประเทศ โดยได้ดำเนินการตามมาตรา 28–29 ของ PDPA ดังนี้:
🇸🇬
Supabase (PostgreSQL & Auth)
AWS Singapore (ap-southeast-1)
ข้อมูลที่ส่ง
ข้อมูลบัญชี, ข้อมูลผู้เช่า, ข้อมูลการเงิน
มาตรฐานความปลอดภัย
ISO 27001, SOC 2 Type II
🇹🇭
Omise (การชำระเงิน)
เซิร์ฟเวอร์ในประเทศไทย
ข้อมูลที่ส่ง
ข้อมูลการชำระเงิน (ไม่รวมข้อมูลบัตรโดยตรง)
มาตรฐานความปลอดภัย
PCI DSS Level 1, Bank of Thailand Licensed
🇺🇸
Vercel (Web Hosting & CDN)
สหรัฐอเมริกา / Edge Network ทั่วโลก
ข้อมูลที่ส่ง
ข้อมูล Log การเข้าถึงเว็บไซต์ (ไม่มีข้อมูลส่วนตัว)
มาตรฐานความปลอดภัย
ISO 27001, SOC 2
8. มาตรการรักษาความมั่นคงปลอดภัย
เราใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลของท่าน:
การเข้ารหัสข้อมูล
AES-256-GCM สำหรับข้อมูลที่อ่อนไหว (เลขบัตร, บัญชีธนาคาร)
การรับส่งข้อมูล
SSL/TLS 1.3 สำหรับการส่งข้อมูลทุกช่องทาง
Row Level Security (RLS)
ผู้ใช้เข้าถึงได้เฉพาะข้อมูลของตนเองที่ระดับฐานข้อมูล
Rate Limiting
จำกัดจำนวนคำร้องเพื่อป้องกัน Brute Force และ DDoS
การยืนยันตัวตน 2 ขั้น
รองรับ OTP สำหรับการดำเนินการที่มีความเสี่ยงสูง
การตรวจสอบเข้าถึง
บันทึก Log การเข้าถึงข้อมูลสำหรับการตรวจสอบย้อนหลัง
10. การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล
หากเกิดเหตุละเมิดข้อมูลส่วนบุคคล เราจะดำเนินการตามมาตรา 37(3) ของ PDPA ดังนี้:
แจ้ง สคส. (PDPC)
แจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง นับจากที่รับทราบเหตุการณ์ โดยระบุลักษณะการละเมิด ข้อมูลที่ได้รับผลกระทบ และมาตรการแก้ไข
แจ้งเจ้าของข้อมูล
แจ้งให้เจ้าของข้อมูลที่ได้รับผลกระทบทราบ โดยเร็วที่สุด ผ่านช่องทางที่ท่านลงทะเบียนไว้ พร้อมคำแนะนำในการปกป้องตนเอง
11. การเปลี่ยนแปลงนโยบายความเป็นส่วนตัว
เราอาจปรับปรุงนโยบายความเป็นส่วนตัวนี้เป็นครั้งคราว เพื่อให้สอดคล้องกับการเปลี่ยนแปลงทางกฎหมาย เทคโนโลยี หรือรูปแบบการให้บริการ
- จะแจ้งให้ท่านทราบล่วงหน้า อย่างน้อย 30 วัน ก่อนการเปลี่ยนแปลงมีผลบังคับใช้
- การแจ้งเตือนจะผ่านอีเมล แบนเนอร์บนหน้าเว็บ หรือการแจ้งเตือนในระบบ
- การใช้งานต่อหลังจากการเปลี่ยนแปลงมีผลถือเป็นการยอมรับนโยบายใหม่
- นโยบายเวอร์ชันก่อนหน้าจะยังคงมีให้ตรวจสอบได้ตลอดเวลา
PDPA Compliant · คุ้มครองตาม พ.ร.บ. พ.ศ. 2562
อัปเดตล่าสุด: 13 เมษายน 2569
มีคำถามเกี่ยวกับข้อมูลส่วนบุคคล?
ติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ของเราได้โดยตรง เราพร้อมตอบทุกข้อสงสัยและดำเนินการตามคำร้องของท่านภายใน 30 วัน