นโยบายความเป็นส่วนตัว

1. ผู้ควบคุมข้อมูลและข้อมูลของลูกค้า

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) สำหรับข้อมูลของคุณในฐานะเจ้าของบัญชี ซึ่งบริษัทประมวลผลเพื่อให้บริการและเรียกเก็บค่าบริการ คือ บริษัท คราฟต์ อินเตอร์เทค (ประเทศไทย) จำกัด ซึ่งดำเนินงานภายใต้ชื่อแบรนด์ DriteStudio | ไดรท์สตูดิโอ มีที่อยู่จดทะเบียนอยู่ที่ 100/280 ซอย 17 หมู่บ้านดีไลท์ บางขุนเทียน-ชายทะเล พันท้ายนรสิงห์ สมุทรสาคร 74000 สำหรับเรื่องที่เกี่ยวข้องกับนโยบายนี้หรือการใช้สิทธิ์ตาม PDPA ของคุณ โปรดใช้ข้อมูลติดต่อท้ายนโยบายนี้ สำหรับข้อมูลส่วนบุคคลที่คุณอัปโหลด จัดเก็บ หรือประมวลผลภายใน VPS, เว็บโฮสติ้ง, เซิร์ฟเวอร์เฉพาะ, โฮสติ้งเกมเซิร์ฟเวอร์, โคโลเคชัน หรือบริการอื่นใดที่คุณควบคุม คุณทำหน้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลสำหรับข้อมูลดังกล่าว และบริษัททำหน้าที่เป็นผู้ประมวลผลข้อมูล (Data Processor) เท่าที่จำเป็นต่อการให้บริการแก่คุณ เว้นแต่จะมีข้อตกลงประมวลผลข้อมูลแยกต่างหากหรือกฎหมายกำหนดเป็นอย่างอื่น คุณรับผิดชอบในการมีฐานทางกฎหมาย ความโปร่งใส และการคุ้มครองสิทธิ์ของเจ้าของข้อมูลสำหรับข้อมูลส่วนบุคคลใดๆ ที่คุณเลือกจัดเก็บบนบริการของเรา

2. ข้อมูลที่เราเก็บรวบรวม

เราเก็บรวบรวมข้อมูลส่วนบุคคลในประเภทต่อไปนี้ ข้อมูลเฉพาะที่เก็บขึ้นอยู่กับบริการที่คุณใช้และวิธีที่คุณติดต่อกับเรา

• ข้อมูลระบุตัวตนและข้อมูลบัญชี — ชื่อ, อีเมล, เบอร์โทรศัพท์, ที่อยู่ในการเรียกเก็บเงิน, เลขประจำตัวผู้เสียภาษี, ชื่อบริษัท
• ข้อมูลการเรียกเก็บเงินและการชำระเงิน — ประเภทช่องทางชำระเงิน, ประวัติธุรกรรม, ใบแจ้งหนี้, ตัวระบุของช่องทางชำระเงินบางส่วน ส่วนหมายเลขบัตรเต็มและ CVV จะถูกประมวลผลโดยพันธมิตรการชำระเงินของเรา และไม่จัดเก็บที่ฝั่งเรา
• ข้อมูลการยืนยันตัวตน — รหัสผ่านที่ผ่านการแฮช, ความลับ 2FA, ข้อมูล passkey, รหัสกู้คืน และ session token
• ข้อมูลการใช้บริการ — IP address, ตัวระบุบริการ, ข้อมูลการใช้ทรัพยากร, log การเข้าถึงและ log ข้อผิดพลาดของเซิร์ฟเวอร์
• ข้อมูลทางเทคนิคและอุปกรณ์ — ประเภทเบราว์เซอร์, ระบบปฏิบัติการ, ตัวระบุอุปกรณ์, ภาษา และ URL ต้นทาง
• ข้อมูลการสนับสนุนและการสื่อสาร — คำร้องซัพพอร์ต, การติดต่อทางอีเมล, บทสนทนาแชท, แบบสำรวจความพึงพอใจ
• การตั้งค่าและบันทึกการให้ความยินยอมด้านการตลาด

3. วิธีที่เราใช้ข้อมูลส่วนบุคคลของคุณ

เราใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ต่อไปนี้ โดยแต่ละวัตถุประสงค์มีฐานทางกฎหมายตามมาตรา 24 ของ PDPA (ความจำเป็นในการปฏิบัติตามสัญญา, ประโยชน์โดยชอบด้วยกฎหมาย, การปฏิบัติตามกฎหมาย หรือความยินยอม)

• ให้บริการ, ดำเนินการ, ดูแลรักษา และปรับปรุงบริการ — ความจำเป็นในการปฏิบัติตามสัญญา
• ดำเนินการชำระเงิน, ออกใบแจ้งหนี้ และการสื่อสารด้านการเรียกเก็บเงิน — ความจำเป็นในการปฏิบัติตามสัญญาและการปฏิบัติตามกฎหมาย
• ตรวจสอบการเข้าถึง, จัดการ session และบังคับใช้ความปลอดภัยของบัญชี — ความจำเป็นในการปฏิบัติตามสัญญาและประโยชน์โดยชอบด้วยกฎหมาย
• ตอบสนองคำร้องสนับสนุนและให้บริการลูกค้า — ความจำเป็นในการปฏิบัติตามสัญญา
• ตรวจจับ, ป้องกัน และสอบสวนการฉ้อโกง, การละเมิด, การฝ่าฝืน AUP และเหตุการณ์ด้านความปลอดภัย — ประโยชน์โดยชอบด้วยกฎหมาย
• ปฏิบัติตามกฎหมายภาษี, กฎหมายป้องกันการฟอกเงิน, คำสั่งศาล และข้อผูกพันทางกฎหมายอื่นๆ ภายใต้กฎหมายไทย — การปฏิบัติตามกฎหมาย
• ส่งประกาศบริการ, แจ้งเตือนความปลอดภัย และแจ้งการบำรุงรักษา — ความจำเป็นในการปฏิบัติตามสัญญา
• ส่งการสื่อสารด้านการตลาดและส่งเสริมการขาย — ความยินยอม (ซึ่งคุณสามารถถอนได้ทุกเมื่อ)
• วิเคราะห์ข้อมูลในภาพรวมเพื่อทำความเข้าใจและปรับปรุงประสิทธิภาพของบริการ — ประโยชน์โดยชอบด้วยกฎหมาย

4. การแบ่งปันข้อมูลและผู้ประมวลผลข้อมูลบุคคลที่สาม

เราไม่ขาย ให้เช่า หรือแลกเปลี่ยนข้อมูลส่วนบุคคลของคุณ เราแบ่งปันข้อมูลเฉพาะเมื่อจำเป็นและเฉพาะกับผู้รับในประเภทต่อไปนี้ ซึ่งทั้งหมดถูกผูกพันด้วยข้อผูกพันด้านการรักษาความลับและการคุ้มครองข้อมูลที่เหมาะสม:

• ผู้ประมวลผลการชำระเงินและธนาคารผู้รับชำระ (เพื่อดำเนินการชำระเงิน; ข้อมูลบัตรเต็มจะไม่ถูกเก็บโดยเรา)
• ผู้ให้บริการคลาวด์, ศูนย์ข้อมูล และโครงสร้างพื้นฐานเครือข่ายที่ใช้ในการให้บริการแพลตฟอร์มของเรา
• ผู้ให้บริการอีเมล, SMS และข้อความที่ใช้สำหรับการสื่อสารด้านธุรกรรมและการสนับสนุน
• ผู้ให้บริการจดทะเบียนโดเมนและ Registry (เมื่อคุณจดโดเมนผ่านเรา; จำเป็นตามนโยบายของ ICANN และ Registry)
• ผู้ให้บริการวิเคราะห์ข้อมูล, logging และ error monitoring (ข้อมูลถูกแฝงนาม หรือรวมเป็น aggregate ตามที่ทำได้)
• บริษัทในกลุ่มและบริษัทในเครือของ Craft Intertech ภายใต้ข้อผูกพันด้านความเป็นส่วนตัวที่เทียบเท่ากัน
• ที่ปรึกษาด้านวิชาชีพ เช่น ผู้สอบบัญชีและทนายความ ภายใต้หน้าที่รักษาความลับ
• เจ้าหน้าที่ผู้บังคับใช้กฎหมาย, หน่วยงานกำกับดูแล และศาล เมื่อกฎหมายกำหนดหรือจำเป็นต่อการปกป้องสิทธิ์ ทรัพย์สิน หรือความปลอดภัย
• ผู้รับโอนกิจการในกรณีของการควบรวมกิจการ, การเข้าซื้อกิจการ, การปรับโครงสร้าง หรือการขายสินทรัพย์ โดยมีการคุ้มครองต่อเนื่องภายใต้เงื่อนไขอย่างน้อยเท่ากับนโยบายฉบับนี้

5. การโอนข้อมูลข้ามประเทศ

ผู้ประมวลผลและผู้ให้บริการโครงสร้างพื้นฐานบางรายตั้งอยู่นอกประเทศไทย เมื่อเราโอนข้อมูลส่วนบุคคลข้ามประเทศ เราจะมีมาตรการคุ้มครองที่เพียงพอตามมาตรา 28-29 ของ PDPA รวมถึงการโอนไปยังประเทศที่ได้รับการรับรองว่ามีการคุ้มครองอย่างเพียงพอ, การใช้สัญญามาตรฐาน (Standard Contractual Clauses) หรือความยินยอมโดยชัดแจ้งของคุณ คุณสามารถขอรายละเอียดของกลไกการโอนเฉพาะได้โดยติดต่อเรา

6. ระยะเวลาการเก็บรักษาข้อมูล

เราเก็บข้อมูลส่วนบุคคลเฉพาะเท่าที่จำเป็นเพื่อบรรลุวัตถุประสงค์ที่เก็บรวบรวมไว้ หรือตามที่กฎหมายไทยกำหนด ระยะเวลาเก็บรักษาโดยประมาณ:

• ข้อมูลบัญชี — ตลอดอายุการใช้งานบัญชี และอีกไม่เกิน 12 เดือนหลังปิดบัญชี
• บันทึกการเรียกเก็บเงิน, ใบแจ้งหนี้ และเอกสารทางบัญชี — 10 ปี (ตามที่ประมวลรัษฎากรและพระราชบัญญัติการบัญชีกำหนด)
• Log การใช้งานของเซิร์ฟเวอร์ — 90 วัน
• Log ด้านความปลอดภัย, การละเมิด และการตรวจสอบ — สูงสุด 12 เดือน
• คำร้องซัพพอร์ตและการติดต่อสื่อสาร — 36 เดือนหลังจากการแก้ไขปัญหา
• บันทึกการให้ความยินยอมด้านการตลาด — จนถึงเวลาที่คุณถอนความยินยอม และอีก 12 เดือนเพื่อการตรวจสอบ
• ในกรณีที่ข้อมูลเกี่ยวข้องกับข้อพิพาท การละเมิด AUP เหตุการณ์ด้านความปลอดภัย การเรียกร้องทางกฎหมาย หรือคำสั่งของหน่วยงานรัฐ บริษัทอาจเก็บรักษาข้อมูลดังกล่าวนานกว่าระยะเวลาที่ระบุไว้ข้างต้น เฉพาะเท่าที่จำเป็นและชอบด้วยกฎหมาย

7. สิทธิ์ของคุณภายใต้ PDPA

ภายใต้ข้อจำกัดของ PDPA คุณมีสิทธิ์ต่อไปนี้เกี่ยวกับข้อมูลส่วนบุคคลของคุณ การใช้สิทธิ์เหล่านี้ทำได้โดยติดต่อเราที่ข้อมูลท้ายนโยบายนี้ เราจะตอบกลับภายใน 30 วันนับจากวันที่ได้รับคำขอที่ยืนยันตัวตนได้

• สิทธิ์ในการเข้าถึง — รับการยืนยันและสำเนาของข้อมูลส่วนบุคคลที่เราเก็บไว้
• สิทธิ์ในการแก้ไข — แก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์
• สิทธิ์ในการลบ — ขอให้ลบข้อมูลส่วนบุคคล โดยอยู่ภายใต้ข้อผูกพันในการเก็บรักษาตามกฎหมาย
• สิทธิ์ในการจำกัดการประมวลผล — จำกัดวิธีที่เราใช้ข้อมูลของคุณในกรณีที่กำหนด
• สิทธิ์ในการคัดค้าน — คัดค้านการประมวลผลที่อาศัยประโยชน์โดยชอบด้วยกฎหมาย รวมถึงการตลาดทางตรง
• สิทธิ์ในการพกพาข้อมูล — รับข้อมูลของคุณในรูปแบบที่มีโครงสร้างและอ่านได้ด้วยเครื่อง
• สิทธิ์ในการถอนความยินยอม — สำหรับการประมวลผลที่อาศัยความยินยอม โดยไม่กระทบความถูกต้องของการประมวลผลก่อนหน้า
• สิทธิ์ในการร้องเรียน — กับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) หากคุณเชื่อว่าสิทธิ์ของคุณถูกละเมิด

8. คุกกี้และเทคโนโลยีการติดตาม

เราใช้คุกกี้และเทคโนโลยีคล้ายกันในประเภทต่อไปนี้ คุณสามารถจัดการคุกกี้ที่ไม่จำเป็นได้ผ่านแบนเนอร์คุกกี้ของเราหรือการตั้งค่าเบราว์เซอร์ของคุณ

• คุกกี้ที่จำเป็นอย่างยิ่ง — จำเป็นสำหรับการยืนยันตัวตน, ความปลอดภัย และฟังก์ชันหลักของไซต์; ไม่สามารถปิดได้
• คุกกี้เชิงฟังก์ชัน — จดจำภาษา, ธีม และค่าตั้งค่าอื่นๆ (ตั้งเฉพาะเมื่อได้รับความยินยอมตามที่กฎหมายกำหนด)
• คุกกี้วิเคราะห์ — วัดการใช้งานไซต์ในภาพรวมเพื่อปรับปรุงประสิทธิภาพ (ตั้งเมื่อได้รับความยินยอม)
• คุกกี้การตลาด — วัดประสิทธิภาพแคมเปญและปรับแต่งเนื้อหา (ตั้งเมื่อได้รับความยินยอม)

9. ความปลอดภัยของข้อมูล

เราใช้มาตรการทางเทคนิคและทางองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคล รวมถึงการเข้ารหัสระหว่างการรับ-ส่งข้อมูล (TLS), การเข้ารหัสขณะจัดเก็บตามที่เหมาะสม, การแฮชรหัสผ่านอย่างปลอดภัย, การยืนยันสองขั้นตอน, การควบคุมการเข้าถึงตามบทบาท, หลักการ least privilege, การแบ่งเซกเมนต์เครือข่าย และการทบทวนความปลอดภัยเป็นระยะ ไม่มีวิธีการส่งหรือจัดเก็บข้อมูลใดที่ปลอดภัยสมบูรณ์แบบ แม้เราจะพยายามใช้มาตรการที่สมเหตุสมผลเชิงพาณิชย์เพื่อปกป้องข้อมูลของคุณ แต่เราไม่สามารถรับประกันความปลอดภัยอย่างสมบูรณ์ได้

10. ความเป็นส่วนตัวของเด็ก

บริการของเรามีไว้สำหรับบุคคลที่บรรลุนิติภาวะตามกฎหมายไทย (อายุ 20 ปีบริบูรณ์) หรือผู้ที่ได้รับความยินยอมที่ยืนยันได้จากผู้ปกครอง เราไม่เก็บข้อมูลส่วนบุคคลของผู้ใดที่อายุต่ำกว่า 20 ปีโดยเจตนาโดยไม่ได้รับความยินยอมดังกล่าว หากคุณเชื่อว่าผู้เยาว์ได้ให้ข้อมูลส่วนบุคคลแก่เรา โปรดติดต่อเราเพื่อให้เราดำเนินการที่เหมาะสม

11. การแจ้งเหตุการละเมิดข้อมูล

ในกรณีที่เกิดการละเมิดข้อมูลส่วนบุคคลที่ก่อให้เกิดความเสี่ยงต่อสิทธิ์และเสรีภาพของคุณ เราจะแจ้งต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ภายใน 72 ชั่วโมงนับจากเวลาที่ทราบเหตุ ตามที่ PDPA กำหนด ในกรณีที่การละเมิดมีความเสี่ยงสูง เราจะแจ้งให้ผู้ได้รับผลกระทบทราบโดยไม่ชักช้า พร้อมระบุลักษณะของการละเมิด, ข้อมูลที่เกี่ยวข้อง, ผลที่อาจเกิดขึ้น และมาตรการที่เราได้ดำเนินการหรือแนะนำ

12. การเปลี่ยนแปลงนโยบายและการติดต่อ

เราอาจอัปเดตนโยบายความเป็นส่วนตัวนี้เป็นครั้งคราว การอัปเดตที่มีนัยสำคัญจะถูกโพสต์บนหน้านี้และวันที่ "อัปเดตล่าสุด" จะถูกปรับ ในกรณีที่กฎหมายกำหนด เราจะแจ้งคุณทางอีเมลหรือผ่านบริการ สำหรับคำถามเกี่ยวกับนโยบายนี้ การใช้สิทธิ์ตาม PDPA หรือการยื่นข้อร้องเรียน โปรดติดต่อเราที่: