นโยบายความเป็นส่วนตัว

นโยบายความเป็นส่วนตัวนี้เป็นแนวปฏิบัติที่มีจุดมุ่งหมายเพื่อปกป้องข้อมูลส่วนบุคคลที่สำคัญและสิทธิ์ของผู้ใช้บริการที่บริษัท ไบโอแอนติบอดี้ ไบโอเทคโนโลยี จำกัด (ต่อไปนี้เรียกว่า “บริษัท”) มอบให้ (ต่อไปนี้เรียกว่า “บริษัท”) และเพื่อจัดการปัญหาของผู้ใช้เกี่ยวกับข้อมูลส่วนบุคคลอย่างเหมาะสมนโยบายความเป็นส่วนตัวนี้ใช้กับผู้ใช้บริการที่บริษัทจัดให้บริษัทรวบรวม ใช้งาน และให้ข้อมูลส่วนบุคคลตามความยินยอมของผู้ใช้และปฏิบัติตามกฎหมายที่เกี่ยวข้อง

1. การเก็บรวบรวมข้อมูลส่วนบุคคล

1 บริษัทจะเก็บรวบรวมเฉพาะข้อมูลส่วนบุคคลขั้นต่ำที่จำเป็นในการให้บริการเท่านั้น

2) บริษัทจะจัดการข้อมูลที่จำเป็นสำหรับการให้บริการตามความยินยอมของผู้ใช้

3 บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากผู้ใช้ในการรวบรวมและใช้ข้อมูลส่วนบุคคล หากมีข้อกำหนดพิเศษภายใต้กฎหมายหรือหากบริษัทต้องดำเนินการดังกล่าวเพื่อปฏิบัติตามภาระผูกพันทางกฎหมายบางประการ

④ บริษัทจะประมวลผลข้อมูลส่วนบุคคลในช่วงระยะเวลาการเก็บรักษาและใช้ข้อมูลส่วนบุคคลตามที่กำหนดไว้ภายใต้กฎหมายที่เกี่ยวข้อง หรือระยะเวลาในการเก็บรักษาและใช้ข้อมูลส่วนบุคคลตามที่ตกลงโดยผู้ใช้เมื่อมีการเก็บรวบรวมข้อมูลส่วนบุคคลจากผู้ใช้ดังกล่าว ทำ.บริษัทจะทำลายข้อมูลส่วนบุคคลดังกล่าวทันทีหากผู้ใช้ร้องขอถอนการเป็นสมาชิก ผู้ใช้ถอนความยินยอมในการรวบรวมและใช้ข้อมูลส่วนบุคคล บรรลุวัตถุประสงค์ของการรวบรวมและใช้งาน หรือระยะเวลาการเก็บรักษาสิ้นสุดลง

⑤ ประเภทของข้อมูลส่วนบุคคลที่บริษัทรวบรวมจากผู้ใช้ในระหว่างขั้นตอนการลงทะเบียนสมาชิก และวัตถุประสงค์ของการรวบรวมและการใช้ข้อมูลดังกล่าวมีดังต่อไปนี้:

- ข้อมูลบังคับ: ชื่อ ที่อยู่ เพศ วันเกิด ที่อยู่อีเมล หมายเลขโทรศัพท์มือถือ และข้อมูลการยืนยันตัวตนที่เข้ารหัส

- วัตถุประสงค์ในการรวบรวม/ใช้งาน: การป้องกันการใช้บริการในทางที่ผิด และการจัดการข้อร้องเรียนและการแก้ไขข้อพิพาท

- ระยะเวลาการเก็บรักษาและการใช้งาน: ทำลายโดยไม่ชักช้าเมื่อวัตถุประสงค์ในการรวบรวม/ใช้งานบรรลุผลอันเป็นผลมาจากการถอนสมาชิก การยุติข้อตกลงผู้ใช้ หรือเหตุผลอื่น ๆ (โดยมีเงื่อนไขว่า อย่างไรก็ตาม จำกัดเพียงข้อมูลบางอย่างที่จำเป็นจะต้องเป็น) ไว้ตามกฎหมายที่เกี่ยวข้อง โดยจะคงไว้ตามระยะเวลาที่กำหนด)

2. วัตถุประสงค์ของการใช้ข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมจะถูกรวบรวมและใช้เพื่อวัตถุประสงค์ดังต่อไปนี้เท่านั้นข้อมูลส่วนบุคคลจะไม่ถูกนำมาใช้เพื่อวัตถุประสงค์อื่นใดนอกเหนือจากดังต่อไปนี้อย่างไรก็ตาม ในกรณีที่วัตถุประสงค์การใช้งานมีการเปลี่ยนแปลง บริษัทจะดำเนินการตามมาตรการที่จำเป็น เช่น การขอความยินยอมล่วงหน้าจากผู้ใช้แยกต่างหาก

1 การให้บริการ การบำรุงรักษาและการปรับปรุงบริการ การให้บริการใหม่ และการจัดหาสภาพแวดล้อมที่ปลอดภัยสำหรับการใช้บริการ

2. การป้องกันการใช้งานในทางที่ผิด การป้องกันการละเมิดกฎหมายและเงื่อนไขการให้บริการ การให้คำปรึกษาและการจัดการข้อพิพาทที่เกี่ยวข้องกับการใช้บริการ การเก็บรักษาบันทึกสำหรับการระงับข้อพิพาท และการแจ้งเตือนส่วนบุคคลถึงสมาชิก

3. การจัดหาบริการที่ปรับแต่งโดยการวิเคราะห์ข้อมูลทางสถิติของการใช้บริการ บันทึกการเข้าถึง/ใช้บริการ และข้อมูลอื่น ๆ

④ การจัดเตรียมข้อมูลการตลาด โอกาสในการมีส่วนร่วม และข้อมูลการโฆษณา

3. เรื่องที่เกี่ยวข้องกับการให้ข้อมูลส่วนบุคคลแก่บุคคลที่สาม

ตามหลักการแล้ว บริษัทจะไม่ให้ข้อมูลส่วนบุคคลของผู้ใช้แก่บุคคลที่สามหรือเปิดเผยข้อมูลดังกล่าวสู่ภายนอกอย่างไรก็ตาม กรณีต่อไปนี้เป็นข้อยกเว้น:

- ผู้ใช้ได้ให้ความยินยอมล่วงหน้าในการให้ข้อมูลส่วนบุคคลดังกล่าวสำหรับการใช้บริการ

- หากมีกฎพิเศษตามกฎหมายหรือหากหลีกเลี่ยงไม่ได้เพื่อให้เป็นไปตามพันธกรณีตามกฎหมาย

- เมื่อสถานการณ์ไม่อนุญาตให้ได้รับความยินยอมจากผู้ใช้ล่วงหน้า แต่ตระหนักว่าความเสี่ยงเกี่ยวกับชีวิตหรือความปลอดภัยของผู้ใช้หรือบุคคลที่สามกำลังใกล้เข้ามาและจำเป็นต้องมีการให้ข้อมูลส่วนบุคคลดังกล่าวเพื่อแก้ไข ความเสี่ยงดังกล่าว

4. การส่งมอบข้อมูลส่วนบุคคล

1 การส่งมอบการประมวลผลข้อมูลส่วนบุคคลหมายถึงการส่งมอบข้อมูลส่วนบุคคลให้กับผู้รับตราส่งภายนอกเพื่อประมวลผลการทำงานของบุคคลที่ให้ข้อมูลส่วนบุคคลแม้ว่าข้อมูลส่วนบุคคลจะถูกส่งออกไปแล้วก็ตาม ผู้ตราส่ง (บุคคลที่ให้ข้อมูลส่วนบุคคล) มีหน้าที่ในการจัดการและดูแลผู้รับตราส่ง

2) บริษัทอาจประมวลผลและมอบข้อมูลที่ละเอียดอ่อนของผู้ใช้สำหรับการสร้างและให้บริการรหัส QR ตามผลการทดสอบ COVID-19 และในกรณีเช่นนี้ ข้อมูลเกี่ยวกับการส่งมอบดังกล่าวจะถูกเปิดเผยโดยบริษัทผ่านนโยบายความเป็นส่วนตัวนี้โดยไม่ชักช้า .

5. เกณฑ์การพิจารณาสำหรับการใช้งานเพิ่มเติมและการจัดหาข้อมูลส่วนบุคคล

ในกรณีที่บริษัทใช้หรือให้ข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะพิจารณาว่ามีการใช้หรือให้ข้อมูลส่วนบุคคลเพิ่มเติมตามเกณฑ์ดังต่อไปนี้:

- ไม่ว่าจะเกี่ยวข้องกับวัตถุประสงค์ดั้งเดิมของการรวบรวมหรือไม่: การพิจารณาจะขึ้นอยู่กับว่าวัตถุประสงค์ดั้งเดิมของการรวบรวมและวัตถุประสงค์ของการใช้เพิ่มเติมและการจัดหาข้อมูลส่วนบุคคลมีความสัมพันธ์ร่วมกันในแง่ของลักษณะหรือแนวโน้มหรือไม่

- ไม่ว่าจะเป็นไปได้หรือไม่ที่จะคาดการณ์การใช้งานเพิ่มเติมหรือการจัดหาข้อมูลส่วนบุคคลตามสถานการณ์ที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลหรือแนวทางปฏิบัติในการประมวลผล: ความสามารถในการคาดการณ์จะถูกกำหนดตามสถานการณ์ตามสถานการณ์ที่ค่อนข้างเฉพาะเจาะจง เช่น วัตถุประสงค์และเนื้อหาของข้อมูลส่วนบุคคล การรวบรวมข้อมูล ความสัมพันธ์ระหว่างข้อมูลการประมวลผลของผู้ควบคุมข้อมูลส่วนบุคคลกับหัวข้อข้อมูล และระดับเทคโนโลยีในปัจจุบันและความเร็วของการพัฒนาเทคโนโลยี หรือสถานการณ์ทั่วไปที่การประมวลผลข้อมูลส่วนบุคคลถูกสร้างขึ้นในช่วงเวลาที่ค่อนข้างยาวนาน เวลา.

- ผลประโยชน์ของเจ้าของข้อมูลถูกละเมิดอย่างไม่ยุติธรรมหรือไม่: ขึ้นอยู่กับว่าวัตถุประสงค์และความตั้งใจของการใช้ข้อมูลเพิ่มเติมนั้นละเมิดผลประโยชน์ของเจ้าของข้อมูลหรือไม่ และการละเมิดนั้นไม่ยุติธรรมหรือไม่

- ไม่ว่าจะใช้มาตรการที่จำเป็นเพื่อให้มั่นใจในความปลอดภัยโดยใช้นามแฝงหรือการเข้ารหัส: สิ่งนี้ถูกกำหนดตาม 「แนวทางการคุ้มครองข้อมูลส่วนบุคคล」 และ 「แนวทางการเข้ารหัสข้อมูลส่วนบุคคล」 ที่เผยแพร่โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

6. สิทธิของผู้ใช้และวิธีการใช้สิทธิ

ในฐานะเจ้าของข้อมูลส่วนบุคคล ผู้ใช้อาจใช้สิทธิ์ดังต่อไปนี้

1) ผู้ใช้อาจใช้สิทธิ์ของตนเพื่อขอเข้าถึง แก้ไข ลบ หรือระงับการประมวลผลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของผู้ใช้ได้ตลอดเวลาผ่านการร้องขอเป็นลายลักษณ์อักษร คำขอทางอีเมล และวิธีอื่น ๆ ที่ส่งถึงบริษัทผู้ใช้อาจใช้สิทธิ์ดังกล่าวผ่านทางตัวแทนทางกฎหมายหรือบุคคลที่ได้รับอนุญาตของผู้ใช้ในกรณีเช่นนี้ จะต้องส่งหนังสือมอบอำนาจที่ถูกต้องตามกฎหมายที่เกี่ยวข้อง

2 หากผู้ใช้ร้องขอให้แก้ไขข้อผิดพลาดในข้อมูลส่วนบุคคลหรือการระงับการประมวลผลข้อมูลส่วนบุคคล บริษัทจะไม่ใช้หรือให้ข้อมูลส่วนบุคคลดังกล่าวจนกว่าจะมีการแก้ไขหรือมีการร้องขอให้ระงับการประมวลผลข้อมูลส่วนบุคคล ถอนออกหากมีการให้ข้อมูลส่วนบุคคลที่ไม่ถูกต้องแก่บุคคลที่สามแล้ว ผลลัพธ์ของการแก้ไขที่ประมวลผลจะได้รับแจ้งไปยังบุคคลที่สามดังกล่าวโดยไม่ชักช้า

3 การใช้สิทธิภายใต้มาตรานี้อาจถูกจำกัดโดยกฎหมายที่เกี่ยวข้องกับข้อมูลส่วนบุคคลและกฎหมายและข้อบังคับอื่น ๆ

④ ผู้ใช้จะไม่ละเมิดข้อมูลส่วนบุคคลและความเป็นส่วนตัวของผู้ใช้หรือบุคคลอื่นที่บริษัทจัดการโดยการละเมิดกฎหมายที่เกี่ยวข้อง เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

⑤ บริษัทจะตรวจสอบว่าบุคคลที่ร้องขอการเข้าถึงข้อมูล แก้ไขหรือลบข้อมูล หรือระงับการประมวลผลข้อมูลตามสิทธิ์ของผู้ใช้คือตัวผู้ใช้เองหรือเป็นตัวแทนที่ถูกต้องตามกฎหมายของผู้ใช้ดังกล่าว

7. การใช้สิทธิโดยผู้ใช้ที่เป็นเด็กอายุต่ำกว่า 14 ปีและตัวแทนทางกฎหมายของพวกเขา

1 บริษัทต้องการความยินยอมจากตัวแทนทางกฎหมายของผู้ใช้เด็กเพื่อรวบรวม ใช้ และให้ข้อมูลส่วนบุคคลของผู้ใช้เด็ก

2) ตามกฎหมายที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคลและนโยบายความเป็นส่วนตัวนี้ ผู้ใช้ที่เป็นเด็กและตัวแทนทางกฎหมายของเขา/เธออาจร้องขอมาตรการที่จำเป็นสำหรับการปกป้องข้อมูลส่วนบุคคล เช่น การร้องขอการเข้าถึง การแก้ไข และการลบเด็ก ข้อมูลส่วนบุคคลของผู้ใช้และบริษัทจะตอบสนองต่อคำขอดังกล่าวโดยไม่ชักช้า

8. การทำลายและการเก็บรักษาข้อมูลส่วนบุคคล

1 ตามหลักการ บริษัทจะทำลายข้อมูลส่วนบุคคลของผู้ใช้โดยไม่ชักช้าเมื่อบรรลุวัตถุประสงค์ในการประมวลผลข้อมูลดังกล่าว

2) ไฟล์อิเล็กทรอนิกส์จะถูกลบอย่างปลอดภัย ดังนั้นจึงไม่สามารถกู้คืนหรือกู้คืนได้ และสำหรับข้อมูลส่วนบุคคลที่บันทึกหรือจัดเก็บบนกระดาษ เช่น บันทึก สิ่งพิมพ์ เอกสาร และอื่นๆ บริษัทจะทำลายเนื้อหาดังกล่าวโดยการทำลายหรือเผา

3. ประเภทของข้อมูลส่วนบุคคลที่ถูกเก็บรักษาไว้ตามระยะเวลาที่กำหนดและหลังจากนั้นจะถูกทำลายตามนโยบายภายในมีดังต่อไปนี้

④ เพื่อป้องกันการใช้บริการในทางที่ผิดและเพื่อลดความเสียหายต่อผู้ใช้อันเป็นผลมาจากการโจรกรรมข้อมูลประจำตัว บริษัทอาจเก็บรักษาข้อมูลที่จำเป็นสำหรับการระบุตัวตนส่วนบุคคลได้นานถึง 1 ปีหลังจากการถอนตัวจากการเป็นสมาชิก

⑤ ในกรณีที่กฎหมายที่เกี่ยวข้องกำหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลไว้ ข้อมูลส่วนบุคคลดังกล่าวจะถูกเก็บไว้อย่างปลอดภัยตามระยะเวลาที่กำหนดตามที่กฎหมายกำหนด

[พระราชบัญญัติคุ้มครองผู้บริโภคในการค้าอิเล็กทรอนิกส์ ฯลฯ]

- บันทึกการเพิกถอนสัญญาหรือสมัครสมาชิก ฯลฯ : 5 ปี

- บันทึกการชำระเงินและการจัดหาสินค้า ฯลฯ : 5 ปี

- บันทึกข้อร้องเรียนของลูกค้าหรือการระงับข้อพิพาท: 3 ปี

- บันทึกการติดฉลาก/โฆษณา: 6 เดือน

[พระราชบัญญัติธุรกรรมทางการเงินทางอิเล็กทรอนิกส์]

- บันทึกการทำธุรกรรมทางการเงินทางอิเล็กทรอนิกส์: 5 ปี

[กรอบพระราชบัญญัติภาษีแห่งชาติ]

- บัญชีแยกประเภทและเอกสารหลักฐานทั้งหมดเกี่ยวกับธุรกรรมที่กำหนดโดยกฎหมายภาษี: 5 ปี

[พระราชบัญญัติคุ้มครองความลับในการสื่อสาร]

- บันทึกการเข้าถึงบริการ: 3 เดือน

[พระราชบัญญัติส่งเสริมการใช้เครือข่ายสารสนเทศและการสื่อสารและการคุ้มครองข้อมูล ฯลฯ]

- บันทึกการระบุตัวตนผู้ใช้: 6 เดือน

9. การแก้ไขนโยบายความเป็นส่วนตัว

นโยบายความเป็นส่วนตัวของบริษัทนี้อาจได้รับการแก้ไขตามกฎหมายที่เกี่ยวข้องและนโยบายภายในในกรณีที่มีการแก้ไขนโยบายความเป็นส่วนตัวนี้ เช่น การเพิ่มเติม การเปลี่ยนแปลง การลบ และการเปลี่ยนแปลงอื่น ๆ บริษัทจะแจ้งให้ทราบล่วงหน้า 7 วันก่อนวันที่การแก้ไขดังกล่าวมีผลบังคับใช้ในหน้าบริการ หน้าการเชื่อมต่อ หน้าต่างป๊อปอัป หรือผ่านทาง วิธีอื่นอย่างไรก็ตาม บริษัทจะแจ้งให้ทราบล่วงหน้า 30 วันก่อนวันที่มีผลบังคับใช้ ในกรณีที่มีการเปลี่ยนแปลงร้ายแรงต่อสิทธิ์ของผู้ใช้

10. มาตรการรับรองความปลอดภัยของข้อมูลส่วนบุคคล

บริษัทใช้มาตรการด้านเทคนิค/การบริหาร และทางกายภาพที่จำเป็นต่อไปนี้เพื่อรับรองความปลอดภัยของข้อมูลส่วนบุคคลตามกฎหมายที่เกี่ยวข้อง

[มาตรการบริหาร]

1) ลดจำนวนพนักงานที่ประมวลผลข้อมูลส่วนบุคคลและฝึกอบรมพนักงานดังกล่าวให้เหลือน้อยที่สุด

มีการใช้มาตรการเพื่อจัดการข้อมูลส่วนบุคคล เช่น การลดจำนวนผู้จัดการที่ประมวลผลข้อมูลส่วนบุคคล ให้รหัสผ่านแยกต่างหากสำหรับการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้จัดการที่จำเป็นเท่านั้น และการต่ออายุรหัสผ่านดังกล่าวเป็นประจำ และเน้นการปฏิบัติตามนโยบายความเป็นส่วนตัวของบริษัทผ่านการฝึกอบรมบ่อยครั้ง ของพนักงานที่รับผิดชอบ

2 การจัดตั้งและการดำเนินการตามแผนการจัดการภายใน

แผนการจัดการภายในได้รับการจัดทำและนำไปใช้เพื่อการประมวลผลข้อมูลส่วนบุคคลอย่างปลอดภัย

[มาตรการทางเทคนิค]

มาตรการทางเทคนิคป้องกันการแฮ็ก

เพื่อป้องกันไม่ให้ข้อมูลส่วนบุคคลรั่วไหลหรือเสียหายเนื่องจากการแฮ็ก ไวรัสคอมพิวเตอร์ และอื่นๆ บริษัทได้ติดตั้งโปรแกรมรักษาความปลอดภัย ดำเนินการอัปเดต/ตรวจสอบอย่างสม่ำเสมอ และทำการสำรองข้อมูลบ่อยครั้ง

การใช้ระบบไฟร์วอลล์

บริษัทควบคุมการเข้าถึงจากภายนอกโดยไม่ได้รับอนุญาตด้วยการติดตั้งระบบไฟร์วอลล์ในพื้นที่ที่จำกัดการเข้าถึงจากภายนอกบริษัทตรวจสอบและจำกัดการเข้าถึงโดยไม่ได้รับอนุญาตดังกล่าวผ่านวิธีการทางเทคนิค/ทางกายภาพ

การเข้ารหัสข้อมูลส่วนบุคคล

บริษัทจัดเก็บและจัดการข้อมูลส่วนบุคคลที่สำคัญของผู้ใช้โดยการเข้ารหัสข้อมูลดังกล่าว และใช้ฟังก์ชันความปลอดภัยแยกต่างหาก เช่น การเข้ารหัสไฟล์และข้อมูลที่ส่ง หรือการใช้ฟังก์ชันล็อคไฟล์

การเก็บรักษาบันทึกการเข้าถึงและการป้องกันการปลอมแปลง/การเปลี่ยนแปลง

บริษัทเก็บรักษาและจัดการบันทึกการเข้าถึงระบบประมวลผลข้อมูลส่วนบุคคลเป็นเวลาอย่างน้อย 6 เดือนบริษัทใช้มาตรการรักษาความปลอดภัยเพื่อป้องกันไม่ให้บันทึกการเข้าถึงถูกปลอมแปลง เปลี่ยนแปลง สูญหาย หรือถูกขโมย

[มาตรการทางกายภาพ]

1 ข้อจำกัดในการเข้าถึงข้อมูลส่วนบุคคล

บริษัทกำลังใช้มาตรการที่จำเป็นในการควบคุมการเข้าถึงข้อมูลส่วนบุคคลโดยการให้ เปลี่ยนแปลง และยกเลิกสิทธิ์การเข้าถึงระบบฐานข้อมูลที่ประมวลผลข้อมูลส่วนบุคคลบริษัทใช้ระบบป้องกันการบุกรุกทางกายภาพเพื่อจำกัดการเข้าถึงจากภายนอกโดยไม่ได้รับอนุญาต

ภาคผนวก

นโยบายความเป็นส่วนตัวนี้จะมีผลบังคับใช้ในวันที่ 12 พฤษภาคม 2022