Privacy Policy [TH]

​การเก็บรวบรวมข้อมูลส่วนบุคคล  วัตถุประสงค์และขอบเขตของการเก็บรวบรวม:  ข้อมูลส่วนบุคคลจะถูกเก็บรวบรวมเพื้อวัตถุประสงค์ในการให้บริการแพลตฟอร์มการซื้อขายสินค้ามือสอง การยืนยันตัวตน บริการ  ตามตําแหน่งที่ตั้งการดําเนินการธุรกรรม การสนับสนุนลูกค้าฯลฯ เท่านั้น  ขอบเขตของข้อมูลส่วนบุคคลที่เก็บรวบรวมจํากัดเฉพาะชื่อรายละเอียดการติดต่อที่อยู่อีเมล ข้อมูลตําแหน่งที่ตั้งข้อมูลบัตร  ประจําตัวผู้ใช้ รูปถ่ายสินค้ามือสอง และเนื้อหาการสนทนา  ข้อมูลส่วนบุคคลที่เก็บรวบรวมเพื่อวัตถุประสงค์ในการยืนยันตัวตน เช่นข้อมูลบัตรประจําตัวผู้ใช้และรายละเอียดการติดต่อจะถูก  ทําลายทันทีหลังจากกระบวนการยืนยันตัวตนเสร็จสิ้น  ขั้นตอนการเลือกการยืนยันตัวตน:  การยืนยันตัวตนทางอีเมล  การยืนยันตัวตนทางโทรศัพท์  การยืนยันตัวตนด้วยรูปถ่ายแบบเรียลไทม์  การยืนยันตัวตนที่เลือกได้:  การยืนยันตัวตนด้วยบัตรประจําตัวผู้ใช้  ผู้ใช้ที่ผ่านการยืนยันตัวตนครบทุกข้ันตอนจะได้รับเครื่องหมายการยืนยันตัวตน ในบรรดาข้อมูลส่วนบุคคลที่เก็บรวบรวม ข้อมูลการ ยืนยันตัวตนที่จําเป็นจะถูกเก็บรักษาไว้สําหรับการทําธุรกรรมสินค้ามือสองแต่ละรายการในขณะที่ข้อมูลบัตรประจําตัวผู้ใช้จากขั้นตอน การยืนยันตัวตนที่เลือกได้จะถูกทําลายทันทีหลังจากกระบวนการยืนยันตัวตนเสร็จสิ้น  อ้างอิง: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) มาตรา 19  การใช้ข้อมูลส่วนบุคคล  หลักการใช้:  ข้อมูลส่วนบุคคลที่เก็บรวบรวมจะถูกใช้ภายในขอบเขตของวัตถุประสงค์การเก็บรวบรวมเดิมเท่านั้น  ข้อมูลส่วนบุคคลจะไม่ถูกเปิดเผยให้บุคคลที่สามโดยไม่ได้รับความยินยอมจากผู้ใช้ ยกเว้นตามที่กฎหมายกําหนด   ข้อมูลผู้ใช้อาจถูกวิเคราะห์เพื่อปรับปรุงบริการและให้บริการที่เหมาะสมกับผู้ใช้  อ้างอิง: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) มาตรา 29  การเก็บรักษาข้อมูลส่วนบุคคลและระยะเวลาในการเก็บรักษา:  ข้อมูลส่วนบุคคลจะถูกเก็บรักษาในระยะเวลาที่จําเป็นเพื่อให้บรรลุวัตถุประสงค์ของการเก็บรวบรวมหรือเท่าที่กฎหมายกําหนด  ข้อมูลส่วนบุคคลที่จำเป็นสําหรับกระบวนการยืนยันตัวตนจะถูกทําลายทันทีหลังจากกระบวนการเสร็จสิิ้น   มาตรการรักษาความปลอดภัย:  มีการใช้การเข้ารหัสการควบคุมการเข้าถึงและมาตรการรักษาความปลอดภัยทางเทคนิคและการบริหารอื่นๆเมื่อเก็บรักษาข้อมูลส่วนบุคคล  มีการตรวจสอบความปลอดภัยเป็นประจําเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การรั่วไหล การเปลี่ยนแปลง หรือความเสียหายของข้อมูลส่วนบุคคล โดยจะดําเนินการทันทีเมื่อพบช่องโหว่หรือพื้นที่ที่ต้องปรับปรุง  อ้างอิง: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37  การกําจัดข้อมูลส่วนบุคคล  ข้อมูลส่วนบุคคลจะถูกกําจัดโดยไม่ล่าช้าเมื่อระยะเวลาการเก็บรักษาหมดอายุหรือเมื่อบรรลุวัตถุประสงค์ในการเก็บรวบรวม   ข้อมูลส่วนบุคคลที่ใช้ในกระบวนการยืนยันตัวตนจะถูกทําลายทันทีหลังจากกระบวนการเสร็จสิ้น  การกําจัดข้อมูลส่วนบุคคลจะดําเนินการในลักษณะที่ไม่สามารถกู้คืนได้ เช่นการลบไฟล์อิเล็กทรอนิกส์อย่างถาวรและการทําลายเอกสารกระดาษ  อ้างอิง: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 42  เจ้าหน้าที่คุ้มครองข้อมูล (DPO)   การแต่งตั้งและบทบาทของ DPO:  บริษัท บาย แอนด์ เซลล์ จํากัดแต่งตั้งโฮยอน คิมเป็นเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ซึ่งอาจนําทีมที่รับผิดชอบการคุ้มครองข้อมูลส่วนบุคคลด้วย  เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) มีหน้าที่ในการจัดตั้งและดําเนินนโยบายการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้เป็นไปตาม  กฎหมายคุ้มครองข้อมูลส่วนบุคคล และตอบสนองต่อการละเมิดข้อมูล  เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (ฮอยอน คิม) รับผิดชอบทางแพ่งและอาญาในการคุ้มครองการเก็บรวบรวมและจัดเก็บข้อมูลส่วนบุคคล  อ้างอิง: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) มาตรา 41  นโยบายความเป็นส่วนตัวนี้ทำให้มั่นใจได้ว่าบริษัท บาย แอนด์ เซลล์ จํากัดปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศ ไทย โดยให้ความสําคัญสูงสุดและการจัดการอย่างละเอียดถี่ถ้วนในการคุ้มครองข้อมูลส่วนบุคคล  ฐานทางกฎหมายและวัตถุประสงค์ของการเก็บรวบรวม  ฐานทางกฎหมาย:  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562:  มาตรา 19: กําหนดให้ต้องได้รับความยินยอมจากผู้ใช้อย่างชัดเจนสําหรับการเก็บรวบรวมข้อมูลและต้องแจ้งวัตถุประสงค์ขอบเขต และการใช้ข้อมูลที่เก็บรวบรวมอย่างชัดเจน  มาตรา 26: ข้อมูลส่วนบุคคลต้องถูกเก็บรวบรวมอย่างถูกต้องตามกฎหมายและเป็นธรรม และไม่สามารถใช้เพื้อวัตถุประสงค์อื่นนอกเหนือจากที่ตั้งใจไว้ในตอนแรกโดยไม่ได้รับความยินยอมจากผู้ใช้  มาตรา 28: ผู้ใช้มีสิทธิที่จะทราบวัตถุประสงค์ของการเก็บรวบรวมข้อมูลการใช้งาน ระยะเวลาการเก็บรักษา และรายละเอียดการแบ่งปันข้อมูล  วัตถุประสงค์ของการเก็บรวบรวม: ข้อมูลตําแหน่งถูกเก็บรวบรวมเพื่อวัตถุประสงค์เฉพาะดังต่อไปนี้  การค้นหาสินค้ามือสองใกล้เคียง  การให้บริการและโฆษณาที่ปรับให้เหมาะสมกับผู้ใช้  การแนะนําเส้นทางและคําแนะนํา  การเพิ่มความปลอดภัยในการทําธุรกรรม  การแจ้งเตือนและอัปเดตที่อิงตามตําแหน่ง  การวิเคราะห์พฤติกรรมผู้ใช้และการปรับปรุงบริการ  การสร้างสถิติที่อิงตามตําแหน่ง   การเก็บรวบรวมและการใช้ข้อมูลตําแหน่ง  ข้อมูลที่เก็บรวบรวม: มีการเก็บรวบรวมข้อมูลตําแหน่งประเภทต่างๆ เพื่อให้บริการตามตําแหน่งที่ตั้ง โดยเฉพาะ ข้อมูลที่เก็บรวบรวมประกอบด้วย:  ข้อมูล GPS:  ข้อมูลที่เก็บรวบรวม: พิกัดตําแหน่งแบบเรียลไทม์ (ละติจูดและลองจิจูด) ผ่านเซ็นเซอร์ GPS ของอุปกรณ์ผู้ใช้  วัตถุประสงค์: การติดตามแบบเรียลไทม์และการให้บริการที่ปรับแต่งเฉพาะบุคคล  ข้อมูลการเข้าถึง Wi-Fi:  ข้อมูลที่เก็บรวบรวม: SSID, BSSID และความแรงของสัญญาณของเครือข่าย Wi-Fi ที่ผู้ใช้เชื่อมต่อ  วัตถุประสงค์: การระบุตําแหน่งภายในอาคารและบริการตามความใกล้เคียง  ข้อมูลเสาสัญญาณโทรศัพท์:  ข้อมูลที่เก็บรวบรวม: ตําแหน่งและความแรงของสัญญาณของเสาสัญญาณโทรศัพท์ที่อุปกรณ์ของผู้ใช้เชื่อมต่อ  วัตถุประสงค์: การระบุตําแหน่งตามเครือข่ายและความต่อเนื่องของบริการ  ข้อมูลบีคอน Bluetooth:  ข้อมูลที่เก็บรวบรวม: ข้อมูลสัญญาณจากบีคอน Bluetooth ใกล้เคียง  วัตถุประสงค์: การระบุตําแหน่งภายในอาคารและบริการตามความใกล้เคียง  ที่อยู่ IP:  ข้อมูลที่เก็บรวบรวม: ที่อยู่ IP ที่กําหนดให้อุปกรณ์ของผู้ใช้เมื่อเชื่อมต่อกับอินเทอร์เน็ต  วัตถุประสงค์: การระบุตําแหน่งโดยประมาณและความปลอดภัย  ข้อมูลที่ผู้ใช้ป้อน:  ข้อมูลที่เก็บรวบรวม: ข้อมูลตําแหน่งที่ผู้ใช้ป้อนด้วยตนเองภายในแอป  วัตถุประสงค์: การให้บริการตามตําแหน่งที่ผู้ใช้กําหนด  วิธีการเก็บรวบรวมข้อมูล: ข้อมูลตําแหน่งถูกเก็บรวบรวมผ่านวิธีการต่างๆ:  ระหว่างการติดตั้งแอปพลิเคชัน:  คําอธิบาย: ขอความยินยอมอย่างชัดเจนในการเก็บรวบรวมข้อมูลตําแหน่งเมื่อแอปพลิเคชันถูกติดั้งงและใช้งานครั้งแรก  วิธีการเก็บรวบรวม: ขออนุญาตผู้ใช้ในการใช้ข้อมูลตําแหน่งระหว่างกระบวนการตั้งค่าเริ่มต้น  การติดตามตําแหน่งเบื้องหลัง:  คําอธิบาย: ข้อมูลตําแหน่งถูกเก็บรวบรวมอย่างต่อเนื่องแม้ว่าผู้ใช้จะไม่ได้ใช้งานแอปพลิเคชันอย่างจริงจัง  วิธีการเก็บรวบรวม: การเก็บรวบรวมข้อมูล GPS และเครือข่ายเป็นระยะเมื่อผู้ใช้อณุญาตการติดตามตําแหน่งเบื้องหลัง  การติดตามตําแหน่งเบื้องหน้า:  คําอธิบาย: การเก็บรวบรวมข้อมูลตําแหน่งในขณะที่ผู้ใช้กําลังใช้งานแอปพลิเคชันอย่างจริงจัง  วิธีการเก็บรวบรวม: ข้อมูลตําแหน่งแบบเรียลไทม์ถูกเก็บรวบรวมเมื่อผู้ใช้ใช้ฟังก์ชันแผนที่หรือการค้นหาตามตําแหน่ง  การสแกน Wi-Fi และ Bluetooth:  คําอธิบาย: การสแกนสัญญาณ Wi-Fi และ Bluetooth เพื่อเก็บรวบรวมข้อมูลตําแหน่งเมื่อผู้ใช้อยู่ในสถานที่เฉพาะ  วิธีการเก็บรวบรวม: การเก็บรวบรวมข้อมูลจากเครือข่ายและอุปกรณ์ใกล้เคียงเมื่อ Wi-Fi หรือ Bluetooth ถูกเปิดใช้งาน  การเก็บรวบรวมตามเหตุการณ์:  คําอธิบาย: การเก็บรวบรวมข้อมูลตําแหน่งเมื่อเกิดเหตุการณ์เฉพาะ (เช่นเมื่อผู้ใช้ถึงตําแหน่งที่กําหนด)  วิธีการเก็บรวบรวม: การบันทึกและวิเคราะห์ข้อมูลตําแหน่งเมื่อเกิดเหตุการณ์ที่ผู้ใช้กําหนด  การป้อนข้อมูลของผู้ใช้:  คําอธิบาย: การเก็บรวบรวมข้อมูลตําแหน่งที่ผู้ใช้ป้อนด้วยตนเอง  วิธีการเก็บรวบรวม: การส่งและจัดเก็บข้อมูลตําแหน่งที่ผู้ใช้ป้อนบนเซิร์ฟเวอร์  การยินยอมและการแจ้งเตือนของผู้ใช้  ขั้นตอนการยินยอม:  การยินยอมโดยชัดแจ้ง: ผู้ใช้ต้องให้การยินยอมโดยชัดแจ้งสําหรับการเก็บรวบรวมและการใช้ข้อมูลตําแหน่งในระหว่างการติดตั้ง และการใช้งานครั้งแรกของแอปพลิเคชัน  การถอนการยินยอม: ผู้ใช้สามารถถอนการยินยอมสําหรับการเก็บรวบรวมข้อมูลตําแหน่งได้ตลอดเวลา และข้อมูลที่เก็บรวบรวมจะ ถูกลบออกทันทีเมื่อมีการถอนการยินยอม  ภาระหน้าที่ในการแจ้งเตือน:  การแจ้งเตือนอย่างโปร่งใส: ผู้ใช้จะได้รับการแจ้งเตือนอย่างชัดเจนเกี่ยวกับวัตถุประสงค์การใช้งานระยะเวลาการจัดเก็บ และ นโยบายการแบ่งปันข้อมูลที่เกี่ยวข้องกับการเก็บรวบรวมข้อมูลตําแหน่ง  ความปลอดภัยและการปกป้องข้อมูล  มาตรการความปลอดภัย:  การเข้ารหัส: ข้อมูลตําแหน่งจะถูกเข้ารหัสในระหว่างการจัดเก็บและการส่งเพื่อให้มั่นใจในความปลอดภัย  การควบคุมการเข้าถึง: มีนโยบายการควบคุมการเข้าถึงที่เข้มงวดเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต  การตรวจสอบความปลอดภัยเป็นประจํา: มีการตรวจสอบความปลอดภัยเป็นประจําเพื่อรักษามาตรฐานการปกป้องข้อมูล  ข้อกําหนดทางกฎหมาย:  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย มาตรา 32: กําหนดให้มีมาตรการรักษาความปลอดภัยทางเทคนิคและการ บริหารเพื่อป้องกันการเข้าถึงการทําลายหรือการแก้ไขข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต  มาตรา 34: กําหนดให้รักษาความปลอดภัยของระบบการประมวลผลข้อมูลส่วนบุคคลและป้องกันการละเมิดที่ผิดกฎหมาย  การจัดเก็บและการกําจัดข้อมูลตําแหน่งที่ตั้ง  ระยะเวลาการเก็บรักษา:  หลักการเก็บรักษาขั้นตํ่า: ข้อมูลตําแหน่งที่ตั้งจะถูกเก็บรักษาเฉพาะในช่วงเวลาที่จําเป็นเพื่อให้บรรลุวัตถุประสงค์ในการเก็บรวบรวม หรือเป็นไปตามข้อกําหนดทางกฎหมาย เพื่อให้แน่ใจว่าข้อมูลตําแหน่งที่ตั้งของผู้ใช้จะไม่ถูกเก็บรักษานานเกินความจําเป็น  การตรวจสอบเป็นประจํา: เจ้าหน้าที่คุ้มครองข้อมูล (DPO) จะตรวจสอบระยะเวลาการเก็บรักษาข้อมูลเป็นประจําและกําจัดข้อมูลที่ไม่จําเป็นอย่างทันท่วงที่กระบวนการนี้จะดําเนินการทุกครึ่งปี โดยประเมินความจําเป็นของข้อมูลที่เก็บรักษาใหม่  การปฏิบัติตามกฎหมาย: เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) มาตรา 37 บริษัทจะปฏิบัติ ตามระยะเวลาการเก็บรักษาที่กฎหมายกําหนดและกําจัดข้อมูลส่วนบุคคลอย่างปลอดภัยหลังจากระยะเวลาดังกล่าว  วิธีการจัดเก็บ:  การจัดเก็บข้อมูลที่เข้ารหัส: ข้อมูลตําแหน่งถูกจัดเก็บอย่างปลอดภัยโดยใช้เทคโนโลยีการเข้ารหัสล่าสุด มาตรการนี้ช่วยให้มั่นใจใน ความสมบูรณ์ของข้อมูลและป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต  ความปลอดภัยทางกายภาพ: เซิร์ฟเวอร์ที่จัดเก็บข้อมูลตําแหน่งตั้งอยู่ในพื้นที่ที่มีการควบคุมการเข้าถึงอย่างปลอดภัย พร้อมด้วยกล้องวงจรปิดและระบบควบคุมการเข้าถึง  การควบคุมการเข้าถึง: เฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลตําแหน่งได้ และการเข้าถึงทั้งหมดจะถูกบันทึก และตรวจสอบเป็นประจํา  ขั้นตอนการกำจัด  การกําจัดทันที: ข้อมูลตําแหน่งจะถูกกําจัดทันทีเมื่อบรรลุวัตถุประสงค์ในการเก็บรวบรวมหรือเมื่อผู้ใช้ถอนความยินยอม เพื่อให้มั่นใจว่าไม่มีการเก็บข้อมูลส่วนบุคคลที่ไม่จําเป็น  การทําลายที่ไม่สามารถกู้คืนได้: ข้อมูลตําแหน่งทั้งหมดจะถูกทําลายโดยใช้วิธีที่ป้องกันการกู้คืน ไฟล์อิเล็กทรอนิกส์จะถูกลบอย่างถาวร และเอกสารกระดาษจะถูกทําลายหรือเผา  ไฟล์อิเล็กทรอนิกส์: ลบอย่างถาวรโดยใช้ซอฟต์แวร์ลบข้อมูล  เอกสารกระดาษ: ทําลายโดยใช้เครื่องทําลายเอกสารท'มีความปลอดภัยสูงหรือเผาในสถานที่ที่ปลอดภัย  การตรวจสอบและบันทึกการกําจัด:  การตรวจสอบการกําจัด: กิจกรรมการกําจัดจะถูกตรวจสอบโดยบุคลากรที่รับผิดชอบ ซึ่งจะรายงานต่อ DPO  การเก็บบันทึก: กิจกรรมการกําจัดทั้งหมดจะถูกบันทึกและเก็บรักษาไว้อย่างน้อยสามปี บันทึกประกอบด้วยประเภทของข้อมูลที่ถถูกกําจัดวันที่กําจัด วิธีการกําจัด และลายเซ็นของบุคลากรที่รับผิดชอบ  การปฏิบัติตามกฎหมาย:  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย มาตรา 37: กําหนดข้อกําหนดสําหรับการเก็บรักษาและการจัดการข้อมูลส่วนบุคคลอย่างปลอดภัย รวมถึงมาตรการทางเทคนิคและการบริหารเพื่อให้มั่นใจว่าการเก็บรักษาข้อมูลส่วนบุคคลทั้งหมดอย่าง ปลอดภัย รวมถึงข้อมูลตําแหน่งที่ตั้ง  มาตรา 41 และ 42: กําหนดให้มีการกําจัดข้อมูลส่วนบุคคลอย่างปลอดภัยและถาวรและระบุความรับผิดชอบทางกฎหมายสําหรับการไม่ปฏิบัติตาม มาตราเหล่านี้ระบุวิธีการและขั้นตอนการกําจัดที่ถูกต้องและผลทางกฎหมายของการไม่ปฏิบัติตาม  ความรับผิดชอบทางกฎหมาย:  ค่าปรับและบทลงโทษ: การไม่ปฏิบัติตามขั้นตอนการเก็บรักษาและการกําจัดข้อมูลตําแหน่งที่ตั้งอาจส่งผลให้ถูกปรับสูงสุดถึง 5 ล้านบาทตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019)  ความรับผิดชอบทางอาญา: การละเมิดอย่างร้ายแรงที่ส่งผลให้เกิดการละเมิดความเป็นส่วนตัวอย่างมีนัยสําคัญอาจนําไปสู่ กระบวนการทางกฎหมายและข้อหาทางอาญา  ความรับผิดทางแพ่ง: บริษัทอาจต้องรับผิดชอบต่อความเสียหายหากผู้ใช้ได้รับความเสียหายเนื่องจากการละเมิดความเป็นส่วนตัว  สิทธิและการควบคุมของผู้ใช้  สิทธิในการเข้าถึงและการแก้ไข  สิทธิในการเข้าถึง:  คําอธิบาย: ผู้ใช้มีสิทธิในการเข้าถึงข้อมูลตําแหน่งของตนเพื่อเข้าใจว่าข้อมูลนั้นถูกใช้อย่างไร  ฐานทางกฎหมาย:   พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30 ให้สิทธิผู้ใช้ในการเข้าถึงข้อมูลส่วน บุคคลของตน  ตัวอย่าง: หากผู้ใช้ร้องขอประวัติข้อมูลตําแหน่งของตน บริษัทจะให้ข้อมูลนั้นหลังจากการยืนยันตัวตนที่เหมาะสม  สิทธิในการแก้ไข:  คําอธิบาย: ผู้ใช้มีสิทธิในการแก้ไขข้อมูลตําแหน่งที่ไม่ถูกต้อง  ฐานทางกฎหมาย:   พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30 อนุญาตให้ผู้ใช้แก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้อง  ตัวอย่าง: หากผู้ใช้ประสบปัญหาเนื่องจากข้อมูลตําแหน่งที่ไม่ถูกต้องบริษัทจะแก้ไขข้อมูลนั้นทันทีและแจ้งให้ผู้ใช้ทราบถึงการแก้ไข  สิทธิในการถอนความยินยอมและการลบข้อมูล  สิทธิในการถอนความยินยอม:  คําอธิบาย: ผู้ใช้สามารถถอนความยินยอมในการเก็บรวบรวมและใช้ข้อมูลตําแหน่งที่ตตั้งได้ทุกเมื่อ  ฐานทางกฎหมาย:   พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 32 ให้สิทธิผู้ใช้ในการถอนความยินยอม  ตัวอย่าง: หากผู้ใช้ถอนความยินยอมผ่านการตั้งค่าในแอป บริษัทจะหยุดการเก็บรวบรวมข้อมูลตําแหน่งที่ตั้งทันทีและลบ ข้อมูลที่มีอยู่  สิทธิในการลบข้อมูล:  คําอธิบาย: ผู้ใช้มีสิทธิในการขอลบข้อมูลตําแหน่งที่ตั้งของตน  ฐานทางกฎหมาย:   พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 33 อนุญาตให้ผู้ใช้ขอลบข้อมูลส่วนบุคคล ของตน  ตัวอย่าง: หากผู้ใช้ขอลบข้อมูลตําแหน่งที่ตั้งของตนน บริษัทจะดําเนินการตามคําขออย่างรวดเร็วและยืนยันการลบข้อมูลให้ ผู้ใช้ทราบ  สิทธิในการจํากัดและคัดค้านการประมวลผล  สิทธิในการจํากัดการประมวลผล:  คําอธิบาย: ผู้ใช้สามารถจํากัดการประมวลผลข้อมูลตําแหน่งที่ตั้งของตนภายใต้เงื่อนไขบางประการ  ฐานทางกฎหมาย:   พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 35 ให้สิทธิผู้ใช้ในการขอจํากัดการประมวลผล  ตัวอย่าง: หากผู้ใช้ร้องขอการจํากัดชั่วคราวในการประมวลผลข้อมูลตําแหน่ง บริษัทจะอนุมัติและดําเนินการตามคําขอนั้น  สิทธิในการคัดค้านการประมวลผล:  คําอธิบาย: ผู้ใช้มีสิทธิในการคัดค้านการประมวลผลข้อมูลตําแหน่งของตนเพื่อวัตถุประสงค์เฉพาะ  ฐานทางกฎหมาย:   พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 34 อนุญาตให้ผู้ใช้คัดค้านการประมวลผลข้อมูลเพื่อวัตถุประสงค์เฉพาะ  ตัวอย่าง: หากผู้ใช้คัดค้านการโฆษณาตามตําแหน่งบริษัทจะหยุดการประมวลผลข้อมูลตําแหน่งของผู้ใชเพื่อวัตถุประสงค์ ในการโฆษณา  สิทธิในการโอนย้ายข้อมูล  คําอธิบาย: ผู้ใช้มีสิทธิในการโอนย้ายข้อมูลตําแหน่งของตนไปยังผู้ควบคุมข้อมูลรายอื่น  ฐานทางกฎหมาย:   พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 36 ให้สิทธิผู้ใช้ในการโอนย้ายข้อมูล  ตัวอย่าง: หากผู้ใช้ต้องการเปลี่ยนแพลตฟอร์ม บริษัทจะสนับสนุนการโอนย้ายข้อมูลตําแหน่งของผู้ใช้อย่างปลอดภัยไปยัง แพลตฟอร์มใหม่  ความรับผิดชอบของผู้ใช้  การให้ข้อมูลที่ถูกต้อง:  คําอธิบาย: ผู้ใช้มีความรับผิดชอบในการให้ข้อมูลตําแหน่งที่ถูกต้องและเป็นปัจจุบัน ผู้ใช้อาจต้องรับผิดชอบต่อปัญหาที่เกิดจากการให้ข้อมูลที่ไม่ถูกต้อง  ตัวอย่าง: หากผู้ใช้จงใจให้ข้อมูลตําแหน่งที่ไม่ถูกต้อง ทําให้เกิดปัญหาในการทําธุรกรรมผู้ใช้อาจต้องรับผิดชอบ  การรักษาความปลอดภัย:  คําอธิบาย: ผู้ใช้มีหน้าที่รับผิดชอบในการรักษาความปลอดภัยของบัญชีและข้อมูลตําแหน่งของตน ขอแนะนําให้ใช้รหัสผ่านที่แข็งแกร่งและเปลี่ยนรหัสผ่านเป็นประจํา  ตัวอย่าง: หากผู้ใช้แบ่งปันรายละเอียดบัญชีของตนกับผู้อื่นและเกิดการละเมิดความปลอดภัย  บริษัทจะไม่รับผิดชอบ และ ผู้ใช้จะต้องรับผิดชอบ  การปฏิบัติตามนโยบายความเป็นส่วนตัว:  คําอธิบาย: ผู้ใช้มีหน้าที่รับผิดชอบในการปฏิบัติตามนโยบายความเป็นส่วนตัวของบริษัท การละเมิดนโยบายเหล่านี้อาจส่งผลให้การเข้าถึงบริการถูกจํากัด  ตัวอย่าง: หากผู้ใช้ละเมิดนโยบายการเก็บรวบรวมและการใช้ข้อมูลตําแหน่งของบริษัท การเข้าถึงบริการของผู้ใช้อาจถูก จํากัด  ฐานทางกฎหมาย:  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30: รับรองสิทธิของผู้ใช้ในการเข้าถึงและจัดการข้อมูลส่วนบุคคลของ ตน  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 32: ให้สิทธิในการถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคล  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 33: อนุญาตให้ผู้ใช้สามารถขอให้ลบข้อมูลส่วนบุคคลของตนได้  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 34: อนุญาตให้ผู้ใช้คัดค้านการประมวลผลข้อมูลส่วนบุคคลในบาง วัตถุประสงค์ได้  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 35: ให้สิทธิในการจํากัดการประมวลผลข้อมูลส่วนบุคคล  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 36: ให้สิทธิในการโอนย้ายข้อมูลส่วนบุคคล  เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) และการปฏิบัติตามกฎหมาย  การแต่งตั้งและบทบาทของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)  การแต่งตั้ง:  ขั้นตอนการแต่งตั้ง: บริษัท บาย แอนด์ เซลล์ จํากัด แต่งตั้งอย่างเป็นทางการให้ โฮยอน คิม เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 41  บันทึกอย่างเป็นทางการ: การแต่งตั้ง DPO ได้รับการบันทึกอย่างเป็นทางการในบันทึกภายในของบริษัทและอาจรายงานต่อหน่วยงาน รัฐบาลที่เกี่ยวข้อง  บทบาทและความรับผิดชอบ:  การพัฒนาและการดําเนินนโยบาย: DPO มีหน้าที่ในการพัฒนาและดําเนินนโยบายการคุ้มครองข้อมูลของบริษัท รวมถึงนโยบายที่เกี่ยวข้องกับข้อมูลตําแหน่งที่ตั้ง  การปฏิบัติตามกฎหมาย: DPO รับรองการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยและดูแลการ ประมวลผลข้อมูลส่วนบุคคลอย่างถูกต้องตามกฎหมาย  การตอบสนองต่อเหตุการณ์: ในกรณีที่เกิดการละเมิดข้อมูล DPO จะตอบสนองอย่างรวดเร็วและดําเนินมาตรการที่เหมาะสมตาม กฎหมายที่เกี่ยวข้อง  การคุ้มครองสิทธิของผู้ใช้: DPO รับรองว่าผู้ใช้สามารถใช้สิทธิในการเข้าถึง แก้ไข ลบ และถอนความยินยอมสําหรับข้อมูลส่วน บุคคลของตนได้ตามที่ระบุในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย มาตรา 30  การฝึกอบรมและการสร้างความตระหนักรู้:  โปรแกรมการฝึกอบรม: DPO จัดการฝึกอบรมให้กับพนักงานทุกคนของบริษัทเกี่ยวกับการคุ้มครองข้อมูลลโดยเน้นความสําคัญของความเป็นส่วนตัวของข้อมูลและการปฏิบัติตามกฎหมายและนโยบายของบริษัท  การฝึกอบรมอย่างสม่ำเสมอ: มีการจัดการฝึกอบรมอย่างสม่ำเสมอเพื่อให้พนักงานได้รับข้อมูลล่าสุดเกี่ยวกับการอัปเดตกฎหมายและ นโยบาย  การตรวจสอบและการตรวจประเมินการปฏิบัติตามกฎหมาย  การตรวจประเมินเป็นประจํา:  การตรวจสอบภายใน: เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ทําการตรวจสอบภายในเป็นประจําเพื่อประเมินการปฏิบัติตาม กฎหมายคุ้มครองข้อมูลของบริษัท ผลการตรวจสอบจะถูกรายงานต่อผู้บริหารระดับสูง และดําเนินการปรับปรุงที่จําเป็น  การตรวจสอบภายนอก: อาจมีการว่าจ้างผู้เชี่ยวชาญภายนอกเพื่อประเมินความเพียงพอของนโยบายและขั้นตอนการคุ้มครองข้อมูล โดยจะมีการปรับปรุงตามผลการตรวจสอบ  การปฏิบัติตามกฎหมาย:  การตรวจสอบการปฏิบัติตามนโยบาย: DPO ตรวจสอบการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) และกฎระเบียบที่เกี่ยวข้องเป็นประจํา  การดําเนินการแก้ไข: หากพบปัญหาการปฏิบัติตามกฎหมาย DPO จะดําเนินการแก้ไขทันที  ความรับผิดชอบต่อการไม่ปฏิบัติตามกฎหมาย  ความรับผิดชอบทางกฎหมาย:  ค่าปรับและโทษ: การไม่ปฏิบัติตามข้อกําหนดการคุ้มครองข้อมูลอาจส่งผลให้ถูกปรับสูงสุดถึง 5 ล้านบาท ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) มาตรา 83 การละเมิดที่ร้ายแรงอาจมีโทษเพิ่มเติมตามที่กฎหมายกําหนด  ความรับผิดทางอาญา: การละเมิดความเป็นส่วนตัวอย่างรุนแรงที่เกิดจากการละเมิดกฎหมายคุ้มครองข้อมูลอาจนําไปสู่การดําเนินคดีทางกฎหมายและการตั้งข้อหาอาญา  ความรับผิดทางแพ่ง:  การชดเชยความเสียหาย: หากผู้ใช้ได้รับความเสียหายเนื่องจากการละเมิดข้อมูล บริษัทมีหน้าที่ชดเชยความเสียหายให้กับผู้ใช้ที่ได้รับผลกระทบ ตามกฎหมายแพ่งและพาณิชย์ของไทย  การคุ้มครองสิทธิของผู้ใช้: บริษัทต้องดําเนินมาตรการที่เหมาะสมเพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้ หากไม่ดําเนินการดังกล่าวอาจส่งผลให้เกิดการฟ้องร้องทางแพ่ง  ความรับผิดอื่นๆ:  ความเสียหายต่อชื่อเสียง: การไม่ปฏิบัติตามข้อกําหนดการคุ้มครองข้อมูลสามารถทําลายชื่อเสียงของบริษัทอย่างรุนแรง นําไปสู่การ สูญเสียความไว้วางใจจากลูกค้า  ภัยคุกคามต่อความต่อเนื่องทางธุรกิจ: ปัญหาทางกฎหมายและการสูญเสียทางการเงินที่เกิดจากการไม่ปฏิบัติตามข้อกําหนดสามารถ คุกคามความต่อเนื่องทางธุรกิจของบริษัท  ฐานทางกฎหมาย:  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) มาตรา 41: กําหนดให้มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลล (DPO) เพื่อให้มั่นใจว่ามีการปฏิบัติตามข้อกําหนดการคุ้มครองข้อมูล  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) มาตรา 83: ระบุค่าปรับและบทลงโทษสําหรับการละเมิดกฎหมาย คุ้มครองข้อมูล  นโยบายนี้ี้ทําให้แน่ใจว่า บริษัท Buy N Sell จํากัด ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) ของประเทศไทย เพื่อปกป้องข้อมูลตําแหน่งที่ตั้งของผู้ใช้และคุ้มครองความเป็นส่วนตัวและสิทธิของผู้ใช้  ฐานทางกฎหมายและวัตถุประสงค์ของการเก็บรวบรวม  ฐานทางกฎหมาย:  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562:  มาตรา 19: กําหนดให้ต้องได้รับความยินยอมจากผู้ใช้อย่างชัดเจนสําหรับการเก็บรวบรวมข้อมูลและต้องแจ้งวัตถุประสงค์ ขอบเขต และการใช้ข้อมูลที่เก็บรวบรวมอย่างชัดเจน  มาตรา 26: ข้อมูลส่วนบุคคลต้องถูกเก็บรวบรวมอย่างถูกต้องตามกฎหมายและเป็นธรรม และไม่สามารถใช้เพื่อ วัตถุประสงค์อื่นนอกเหนือจากที่ตั้งใจไว้ในตอนแรกโดยไม่ได้รับความยินยอมจากผู้ใช้  มาตรา 28: ผู้ใช้มีสิทธิที่จะทราบวัตถุประสงค์ของการเก็บรวบรวมข้อมูล การใช้งาน ระยะเวลาการเก็บรักษา และ รายละเอียดการแบ่งปันข้อมูล  วัตถุประสงค์ของการเก็บรวบรวม: ข้อมูลบัตรประชาชนถูกเก็บรวบรวมเพื่อวัตถุประสงค์เฉพาะดังต่อไปนี้:  การยืนยันตัวตนของผู้ใช้:  คําอธิบาย: ข้อมูลบัตรประชาชนถูกเก็บรวบรวมเพื่อยืนยันตัวตนของผู้ใชเพื่อวัตถุประสงค์ในการยืนยันตัวตน  การใช้งาน: ข้อมูลบัตรประชาชนที่เก็บรวบรวมจะถูกใช้เฉพาะเพื่อยืนยันตัวตนของผู้ใช้ในระหว่างกระบวนการยืนยัน ตัวตน  การเก็บรวบรวมและการใช้ข้อมูลบัตรประชาชน  Information Collected:  ข้อมูลที่เก็บรวบรวม:  รายละเอียดบัตรประชาชน: ชื่อเต็ม, หมายเลขบัตรประชาชน, วันที่ออกบัตร, วันที่หมดอายุ, และข้อมูลอื่น ๆ ที่เกี่ยวข้อง ตามที่แสดงบนบัตรประชาชนของผู้ใช้  วิธีการเก็บรวบรวม:  ระหว่างการติดตั้งแอปพลิเคชัน:  คําอธิบาย: ขอความยินยอมอย่างชัดเจนในการเก็บรวบรวมข้อมูลบัตรประชาชนเมื่อมีการติดตั้งและใช้งานแอปพลิเคชัน  ครั้งแรก  วิธีการเก็บรวบรวม: การขออนุญาตจากผู้ใช้ในการใช้ข้อมูลบัตรประชาชนในระหว่างกระบวนการตั้งค่าเริ่มต้น  การตรวจสอบที่ผู้ใช้เริ่มต้น:  คําอธิบาย: ผู้ใช้สามารถให้ข้อมูลบัตรประชาชนของตนเพื่อการตรวจสอบตัวตนได้โดยสมัครใจ  วิธีการเก็บรวบรวม: ผู้ใช้ส่งรายละเอียดบัตรประชาชนผ่านอินเทอร์เฟซที่ปลอดภัยของแอปพลิเคชัน  การใช้งาน:  การตรวจสอบตัวตนเท่านั้น:  คําอธิบาย: ข้อมูลบัตรประชาชนที่เก็บรวบรวมจะใชเพื่อการตรวจสอบตัวตนของผู้ใช้เท่านั้น  การกําจัดทันที: เม'ือกระบวนการตรวจสอบตัวตนเสร็จสิ้น ข้อมูลบัตรประชาชนจะถูกกําจัดทันทีและจะไม่ถูกเก็บรักษาโดย บริษัท บาย แอนด์ เซล จํากัด  ตัวเลือกของผู้ใช้  การส่งข้อมูลโดยสมัครใจ:  คําอธิบาย: ผู้ใช้มีตัวเลือกในการให้ข้อมูลบัตรประชาชนโดยสมัครใจ การเลือกใช้การตรวจสอบบัตรประชาชนขึ้นอยู่กับ ดุลยพินิจของผู้ใช้ทั้งหมด  ไม่มีการลงโทษสําหรับการไม่ส่งข้อมูล: ผู้ใช้ที่เลือกไม่ให้ข้อมูลบัตรประชาชนเพื่อการตรวจสอบจะไม่เผชิญกับการลงโทษ หรือผลกระทบที่ไม่พึง ประสงค์ใดๆ  ตัวอย่าง: ผู้ใช้ที่เลือกไม่ส่งข้อมูลบัตรประชาชนยังคงสามารถเข้าถึงบริการและคุณสมบัติทั้งหมดของแพลตฟอร์มได้โดยไม่ มีข้อจํากัดหรือข้อเสียใด  ความปลอดภัยและการปกป้องข้อมูล  มาตรการรักษาความปลอดภัย:  การเข้ารหัส: ข้อมูลบัตรประชาชนจะถูกเข้ารหัสระหว่างการจัดเก็บและการส่งเพื่อให้มั่นใจในความปลอดภัย  การควบคุมการเข้าถึง: นโยบายการควบคุมการเข้าถึงอย่างเข้มงวดถูกนํามาใช้เพื่อป้องกันการเข้าถึงข้อมูลบัตรประจําตัวโดยไม่ได้รับ อนุญาต  การกําจัดทันที: เมื่อกระบวนการยืนยันตัวตนเสร็จสิ้น ข้อมูลบัตรประจําตัวจะถูกลบอย่างปลอดภัยโดยใช้ซอฟต์แวร์ลบข้อมูลเพื่อให้ แน่ใจว่าไม่สามารถกู้คืนได้  ข้อกําหนดทางกฎหมาย:  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย มาตรา 32: กําหนดให้มีมาตรการรักษาความปลอดภัยทางเทคนิคและ การบริหารเพื่อป้องกันการเข้าถึง การทําลาย หรือการแก้ไขข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต  มาตรา 34: กําหนดให้รักษาความปลอดภัยของระบบการประมวลผลข้อมูลส่วนบุคคลและป้องกันการละเมิดที่ผิดกฎหมาย  ขั้นตอนการกําจัด  การกําจัดทันที:  ขั้นตอน: ข้อมูลบัตรประจําตัวจะถูกกําจัดทันทีหลังจากกระบวนการยืนยันตัวตนเสร็จสิ้น  วิธีการ: ใช้ซอฟต์แวร์ลบข้อมูลเพื่อการลบข้อมูลอิเล็กทรอนิกส์อย่างถาวร และเอกสารทางกายภาพจะถูกทําลายโดยใช้เครื่องทําลาย เอกสารที่ มีความปลอดภัยสูงหรือเผาในสถานที่ที่มี ความปลอดภัย  การตรวจสอบและการเก็บบันทึก:  การตรวจสอบการกําจัด: กิจกรรมการกําจัดจะถูกตรวจสอบโดยบุคลากรที่รับผิดชอบ ซึ่งจะรายงานต่อ DPO  การเก็บบันทึก: กิจกรรมการกําจัดทั้งหมดจะถูกบันทึกและเก็บรักษาไว้อย่างน้อยสามปี บันทึกประกอบด้วยประเภทของข้อมูลที่ถูกกําจัดวันที่กําจัด วิธีการกําจัด และลายเซ็นของบุคลากรที่รับผิดชอบ  สิทธิและความรับผิดชอบของผู้ใช้  สิทธิของผู้ใช้:  สิทธิในการเข้าถึง:  คําอธิบาย: ผู้ใช้มีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของตนเพื่อเข้าใจว่าข้อมูลนั้นถูกใช้อย่างไร  ฐานทางกฎหมาย:   พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30 ให้สิทธิผู้ใช้ในการเข้าถึงข้อมูลส่วนบุคคลของตน  ตัวอย่าง: หากผู้ใช้ขอเข้าดูข้อมูลบัตรประจําตัวที่ ส่งมา บริษัทจะให้ข้อมูลนั้นหลังจากการยืนยันตัวตนที่ เหมาะสม  สิทธิในการแก้ไข:  คําอธิบาย: ผู้ใช้มีสิทธิในการแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้อง  ฐานทางกฎหมาย:   พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30 อนุญาตให้ผู้ใช้แก้ไขข้อมูลส่วนบุคคล ที่ไม่ถูกต้อง  ตัวอย่าง: หากผู้ใช้พบข้อผิดพลาดในข้อมูลบัตรประจําตัว บริษัทจะแก้ไขข้อผิดพลาดนั้นทันทีและแจ้งให้ผู้ใช้ทราบ  สิทธิในการถอนความยินยอมและการลบข้อมูล:  คําอธิบาย: ผู้ใช้สามารถถอนความยินยอมในการเก็บข้อมูลบัตรประชาชนได้ตลอดเวลา.  ฐานทางกฎหมาย:   พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 32 ให้สิทธิผู้ใช้ในการถอนความยินยอม  ตัวอย่าง: หากผู้ใช้ถอนความยินยอม บริษัทจะหยุดใช้ข้อมูลบัตรประชาชนของผู้ใช้ทันทีและลบข้อมูลที่เก็บไว้.  ความรับผิดชอบของผู้ใช้:  การให้ข้อมูลที่ถูกต้อง:  คําอธิบาย: ผู้ใช้มีความรับผิดชอบในการให้ข้อมูลบัตรประชาชนที่ถูกต้องและเป็นปัจจุบัน ผู้ใช้อาจต้องรับผิดชอบต่อปัญหาที่เกิดจากการให้ข้อมูลที่ไม่ถูกต้อง  ตัวอย่าง: หากผู้ใช้จงใจให้ข้อมูลบัตรประชาชนที่ไม่ถูกต้องทําให้เกิดปัญหาในการตรวจสอบผู้ใช้อาจต้องรับผิดชอบ.  การรักษาความปลอดภัย:  คําอธิบาย: ผู้ใช้มีความรับผิดชอบในการรักษาความปลอดภัยของข้อมูลบัตรประชาชน แนะนําให้ใช้วิธีการที่ปลอดภัยเมื่อ ส่งข้อมูลของตน.  ตัวอย่าง: หากผู้ใช้แบ่งปันรายละเอียดบัตรประชาชนกับผู้อื่นและเกิดการละเมิดความปลอดภัย บริษัทจะไม่รับผิดชอบ และผู้ใช้จะต้องรับผิดชอบ.  ฐานทางกฎหมาย:  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30: รับรองสิทธิของผู้ใช้ในการเข้าถึงและจัดการข้อมูลส่วนบุคคลของ ตน  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 32: ให้สิทธิในการถอนความยินยอมในการประมวลผลข้อมูลส่วน บุคคล  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 33: อนุญาตให้ผู้ใช้สามารถขอให้ลบข้อมูลส่วนบุคคลของตนได้  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 34: อนุญาตให้ผู้ใช้คัดค้านการประมวลผลข้อมูลส่วนบุคคลในบาง วัตถุประสงค์ได้  นโยบายนี้ ทําให้บริษัท Buy N Sell Co., Ltd. ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) ของประเทศไทยเพื่อปกป้องข้อมูลบัตรประชาชนของผู้ใช้และคุ้มครองความเป็นส่วนตัวและสิทธิของผู้ใช้.  ฐานทางกฎหมายและวัตถุประสงค์ของการเก็บรวบรวม  ฐานทางกฎหมาย:  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562:  มาตรา 19: กําหนดให้ต้องได้รับความยินยอมจากผู้ใช้อย่างชัดเจนสําหรับการเก็บรวบรวมข้อมูลและต้องแจ้งวัตถุประสงค์ ขอบเขต และการใช้ข้อมูลที่เก็บรวบรวมอย่างชัดเจน  มาตรา 26: ข้อมูลส่วนบุคคลต้องถูกเก็บรวบรวมอย่างถูกต้องตามกฎหมายและเป็นธรรม และไม่สามารถใช้เพื่อ วัตถุประสงค์อื นนอกเหนือจากทตั้งใจไว้ในตอนแรกโดยไม่ได้รับความยินยอมจากผู้ใช้  มาตรา 28: ผู้ใช้มีสิทธิที่จะทราบวัตถุประสงค์ของการเก็บรวบรวมข้อมูล การใช้งาน ระยะเวลาการเก็บรักษา และ รายละเอียดการแบ่งปันข้อมูล  ประมวลกฎหมายวิธีพิจากรณาคดีอาญาแห่งประเทศไทย:  มาตรา 18: อนุญาตให้หน่วยงานบังคับใช้กฎหมายของข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการสืบสวนผ่านกระบวนการ ทางกฎหมาย  วัตถุประสงค์ของการเก็บรวบรวม: รูปถ่ายสินค้ามือสองและเนื้อหาการสนทนาจะถูกเก็บรวบรวมเพื่อวัตถุประสงค์เฉพาะดังต่อไปนี:  การแก้ไขข้อพิพาท:  คําอธิบาย: ใช้เป็นหลักฐานในการแก้ไขข้อพิพาทระหว่างผู้ใช้  ตัวอย่าง: หากมีความขัดแย้งเกี่ยวกับสภาพหรือเงื อนไขที่ตกลงกันของการทําธุรกรรม รูปถ่ายและเนื้อหาการสนทนา สามารถถูกตรวจสอบเพื่อแก้ไขปัญหา  การปรับปรุงบริการ:  คําอธิบาย: การวิเคราะห์ข้อมูลเพื่อปรับปรุงประสบการณ์ของผู้ใช้และคุณภาพของบริการ  ตัวอย่าง: ข้อเสนอแนะและเนื้อหาการสนทนาจะถูกวิเคราะห์เพื่อปรับปรุงอินเตอร์เฟซผู้ใช้และบริการสนับสนุนลูกค้า  การปฏิบัติตามกฎหมาย:  คําอธิบาย: การเก็บรักษาข้อมูลเพื่อปฏิบัติตามข้อกําหนดทางกฎหมายและตอบสนองต่อปัญหาทางกฎหมาย  ตัวอย่าง: การให้ข้อมูลที่จําเป็นแก่หน่วยงานบังคับใช้กฎหมายเมื่อมีการร้องขอเพื่อวัตถุประสงค์ในการสืบสวน  การเก็บรวบรวมและการเก็บรักษาข้อมูล  Information Collected:  ข้อมูลที่เก็บรวบรวม:  รูปถ่ายสินค้ามือสอง: รูปถ่ายทั้งหมดที่ผู้ใช้อัปโหลดเพื่อการทําธุรกรรม  เนื้อหาการสนทนา: บันทึกการสนทนาทั้งหมดระหว่างผู้ใช้.  วิธีการเก็บรวบรวม:  การอัปโหลดรูปภาพ:  คําอธิบาย: รวบรวมเมื่อผู้ใช้อัปโหลดรูปภาพสําหรับการทําธุรกรรมสินค้ามือสอง.  วิธีการรวบรวม: ผู้ใช้อัปโหลดรูปภาพโดยตรงผ่านแอปพลิเคชัน.  บันทึกการสนทนา:  คําอธิบาย: รวบรวมผ่านฟังก์ชันการสนทนาของแอปพลิเคชัน.  วิธีการรวบรวม: เนื้อหาการสนทนาทั้งหมดถูกจัดเก็บแบบเรียลไทม์บนเซิร์ฟเวอร์.  การเก็บรักษาและการป้องกันข้อมูล  ระยะเวลาในการเก็บรักษา:  หลักการเก็บรักษาขั้นต่ำ: รูปภาพและเนื้อหาการสนทนาจะถูกเก็บรักษาเฉพาะในช่วงเวลาที่จําเป็นเพื่อให้บรรลุวัตถุประสงค์ในการ รวบรวมหรือเป็นไปตามข้อกําหนดทางกฎหมาย.  ระยะเวลาในการเก็บรักษา: ข้อมูลมักจะถูกเก็บรักษาเป็นเวลาหนึ่งปี. อย่างไรก็ตาม ระยะเวลาอาจขยายออกไปตามข้อกําหนดทาง กฎหมายหรือคําขอของผู้ใช้.  การตรวจสอบเป็นประจํา: DPO ตรวจสอบระยะเวลาในการเก็บรักษาข้อมูลเป็นประจําและกําจัดข้อมูลที่ไม่จําเป็นทันที.  การปฏิบัติตามกฎหมาย: เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) มาตรา 37 บริษัทจะ ปฏิบัติตามระยะเวลาการเก็บรักษาที่กฎหมายกําหนดและกําจัดข้อมูลส่วนบุคคลอย่างปลอดภัยหลังจากระยะเวลาดังกล่าว  วิธีการจัดเก็บ:  การจัดเก็บแบบเข้ารหัส: รูปภาพและเนื้อหาการสนทนาจะถูกจัดเก็บอย่างปลอดภัยโดยใช้เทคโนโลยีการเข้ารหัสล่าสุด  ความปลอดภัยทางกายภาพ: เซิร์ฟเวอรที่จัดเก็บข้อมูลตั้งอยู่ในพื้นที่ที่มีการควบคุมการเข้าถึงและมีกล้องวงจรปิดและระบบควบคุม การเข้าถึง  การควบคุมการเข้าถึง: การเข้าถึงข้อมูลจํากัดเฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้น และการเข้าถึงทั้งหมดจะถูกบันทึกและตรวจสอบ เป็นประจํา  ขั้นตอนการจัดหาและการกําจัดข้อมูล  คําขอจากผู้ใช้:  คําอธิบาย: ข้อมูลสามารถจัดหาได้ตามคําขอของผู้ใชเพื่อแก้ไขข้อพิพาทระหว่างผู้ใช้  ตัวอย่าง: ในกรณีที่มีข้อพิพาทเกี่ยวกับสภาพของสินค้าที่ทําการซื้อขาย ตามคําขอของผู้ใช้ สามารถจัดหาภาพถ่ายและเนื้อหาการ สนทนาที่เกี่ยวข้องกับการซื้อขายเพื่อช่วยในการแก้ไขข้อพิพาท  คําขอทางกฎหมาย:  คําอธิบาย: ข้อมูลสามารถจัดหาได้ตามคําขอจากหน่วยงานบังคับใช้กฎหมายของไทยหรือหน่วยงานตุลาการเพื่อวัตถุประสงค์ในการ สืบสวน  ฐานทางกฎหมาย:   ตามประมวลกฎหมายวิธีพิจารณาคดีอาญาของประเทศไทย มาตรา 18 ข้อมูลส่วนบุคคลสามารถจัดหาไดเพื่อ วัตถุประสงค์ในการสืบสวนตามกระบวนการทางกฎหมาย  ตัวอย่าง: หากตํารวจขอบันทึกการสนทนาเพื่อการสืบสวนผ่านหมายศาล ข้อมูลที่จําเป็นจะถูกจัดหาให้  ขั้นตอนการกําจัด:  การกําจัดทันที: ข้อมูลจะถูกกําจัดทันทีหลังจากวัตถุประสงค์ของการเก็บรวบรวมเสร็จสิ้นหรือเมื่อผู้ใช้ถอนความยินยอม  การทําลายที่ไม่สามารถกู้คืนได้: ข้อมูลทั้งหมดจะถูกทําลายโดยใช้วิธีที่ป้องกันการกู้คืน ไฟล์อิเล็กทรอนิกส์จะถูกลบอย่างถาวร และ เอกสารกระดาษจะถูกทําลายหรือเผาทิ้ง  ไฟล์อิเล็กทรอนิกส์: ลบอย่างถาวรโดยใช้ซอฟต์แวร์ลบข้อมูล  เอกสารกระดาษ: ทําลายโดยใช้เครื่องทําลายเอกสารที่มีความปลอดภัยสูงหรือเผาในสถานที่ที่ปลอดภัย  การตรวจสอบและบันทึกการกําจัด:  การตรวจสอบการกําจัด: กิจกรรมการกําจัดจะถูกตรวจสอบโดยบุคลากรที่รับผิดชอบ ซึ่งจะรายงานต่อ DPO  การเก็บบันทึก: กิจกรรมการกําจัดทั้งหมดจะถูกบันทึกและเก็บรักษาไว้อย่างน้อยสามปี บันทึกประกอบด้วยประเภทของข้อมูลที่ถูก กําจัด วันที่กําจัด วิธีการกําจัด และลายเซ็นของบุคลากรที่รับผิดชอบ  สิทธิและความรับผิดชอบของผู้ใช้  สิทธิของผู้ใช้:  สิทธิในการเข้าถึง:  คําอธิบาย: ผู้ใช้มีสิทธิ เข้าถึงรูปภาพและเนื้อหาการสนทนาของตนเพื่อเข้าใจว่าข้อมูลของตนถูกใช้อย่างไร  ฐานทางกฎหมาย:   พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30 ให้สิทธิผู้ใช้ในการเข้าถึงข้อมูลส่วน บุคคลของตน  ตัวอย่าง: หากผู้ใช้ขอเนื้อหาการสนทนาของตน บริษัทจะให้หลังจากการยืนยันตัวตนที่เหมาะสม  สิทธิในการแก้ไข:  คําอธิบาย: ผู้ใช้มีสิทธิ แก้ไขข้อมูลที่ไม่ถูกต้อง  ฐานทางกฎหมาย:   พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30 อนุญาตให้ผู้ใช้แก้ไขข้อมูลส่วนบุคคล ที่ไม่ถูกต้อง  ตัวอย่าง: หากผู้ใช้พบข้อผิดพลาดในเนื้อหาการสนทนาของตน บริษัทจะแก้ไขทันทีและแจ้งให้ผู้ใช้ทราบ  สิทธิในการถอนความยินยอมและการลบข้อมูล:  คําอธิบาย: ผู้ใช้สามารถถอนความยินยอมในการเก็บรวบรวมและใช้ข้อมูลได้ตลอดเวลา  ฐานทางกฎหมาย:   พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 32 ให้สิทธิผู้ใช้ในการถอนความยินยอม  ตัวอย่าง: หากผู้ใช้ถอนความยินยอม บริษัทจะหยุดการเก็บรวบรวมข้อมูลของตนทันทีและลบข้อมูลที่เก็บไว้  ความรับผิดชอบของผู้ใช้:  การให้ข้อมูลที่ถูกต้อง:  คําอธิบาย: ผู้ใช้มีหน้าที่ให้ข้อมูลรูปภาพและเนื้อหาการสนทนาที่ถูกต้องและเป็นปัจจุบัน ผู้ใช้อาจต้องรับผิดชอบต่อปัญหา ที่เกิดจากการให้ข้อมูลที่ไม่ถูกต้อง  ตัวอย่าง: หากผู้ใช้จงใจให้รูปภาพที่ทําให้เข้าใจผิดเกี่ยวกับสินค้ามือสอง ทําให้เกิดปัญหาในการทําธุรกรรม ผู้ใช้อาจต้อง รับผิดชอบ  การรักษาความปลอดภัย:  คําอธิบาย: ผู้ใช้มีหน้าที่รักษาความปลอดภัยของบัญชีและข้อมูลของตน พวกเขาควรใช้รหัสผ่านที่แข็งแรงและเปลี่ยนรหัสผ่านเป็นประจํา  ตัวอย่าง: หากผู้ใช้แบ่งปันรายละเอียดบัญชีของตนกับผูอื่นและเกิดการละเมิดความปลอดภัย บริษัทจะไม่รับผิดชอบ และ ผู้ใช้จะต้องรับผิดชอบ  ฐานทางกฎหมาย:  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30: รับรองสิทธิของผู้ใช้ในการเข้าถึงและจัดการข้อมูลส่วนบุคคลของ ตน  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 32: ให้สิทธิในการถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคล  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 33: อนุญาตให้ผู้ใช้สามารถขอให้ลบข้อมูลส่วนบุคคลของตนได้  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 34: อนุญาตให้ผู้ใช้คัดค้านการประมวลผลข้อมูลส่วนบุคคลในบาง วัตถุประสงค์ได้  ประมวลกฎหมายอาญาแห่งประเทศไทย มาตรา 18: อนุญาตให้หน่วยงานบังคับใช้กฎหมายขอข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ใน การสืบสวนสอบสวนผ่านกระบวนการ ทางกฎหมาย  นโยบายนี้ทําให้มั่นใจว่า บริษัท บาย แอนด์ เซลล์ จํากัด ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และประมวลกฎหมายอาญาแห่งประเทศไทย                                                                        เพื่อปกป้องภาพถ่ายสินค้ามือสองและเนื้อหาการสนทนาของผู้ใช้และคุ้มครองความเป็นส่วนตัวและสิทธิของผู้ใช้  ฐานทางกฎหมายและวัตถุประสงค์  ฐานทางกฎหมาย:  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562:  มาตรา 37: กําหนดให้มีมาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลจากการเข้าถึงโดยไม่ได้รับ อนุญาต การทําลาย การเปลี่ยนแปลง หรือการเปิดเผย และเพื่อจัดการกับเหตุการณ์ต่างๆ อย่างทันท่วงที  มาตรา 41: กําหนดให้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) เพื่อดูแลกลยุทธ์การคุ้มครองข้อมูลและให้แน่ใจว่าปฏิบัติตาม  PDPA  มาตรา 83: ระบุบทลงโทษสําหรับการไม่ปฏิบัติตามข้อกําหนดการคุ้มครองข้อมูล รวมถึงการปรับและความรับผิดทาง อาญาที่อาจเกิดขึ้น  วัตถุประสงค์: วัตถุประสงค์ของข้อบังคับนี คือการกําหนดบทบาท ความรับผิดชอบ และสิทธิ การเข้าถึงของบุคลากรที่ได้รับอนุญาตให้จัดการข้อมูลส่วนบุคคลเพื่อให้มั่นใจในความปลอดภัยของข้อมูลและ การปฏิบัติตามข้อกําหนดทางกฎหมาย  การแต่งตั้งบุคลากรที่ได้รับอนุญาต  เจ้าหน้าที่คุ้มครองข้อมูล (DPO):  การแต่งตั้ง: โฮยอน คิม ได้รับการแต่งตั้งเป็นเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ของบริษัท บาย แอนด์ เซลล์ จํากัด  หน้าที่ความรับผิดชอบ:  การดําเนินนโยบาย: พัฒนาและดําเนินนโยบายคุ้มครองข้อมูลให้สอดคล้องกับกฎหมายไทยและมาตรฐานของบริษัท  การตรวจสอบการปฏิบัติตาม: ตรวจสอบให้แน่ใจว่ามีการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของ ประเทศไทยและ กฎระเบียบที่เกี่ยวข้องอย่างต่อเนื่อง  การตอบสนองต่อเหตุการณ์: ดูแลการตอบสนองต่อการละเมิดข้อมูลและดําเนินการแก้ไขที่เหมาะสม  การฝึกอบรมและการสร้างความตระหนัก: จัดการฝึกอบรมเป็นประจําสําหรับพนักงานเกี่ยวกับแนวปฏิบัติที่ดีที่สุดในการ คุ้มครองข้อมูลและความเป็นส่วนตัว  การจัดตั้งและการจัดการทีม: จัดตั้งและจัดการทีม หากจําเป็น เพื่อจัดการงานการเก็บรวบรวม จัดเก็บ และกําจัดข้อมูล อย่างมีประสิทธิภาพ  บุคลากรที่ได้รับอนุญาต:  การแต่งตั้ง: พนักงานเฉพาะที่ได้รับอนุญาตจาก DPO ให้เข้าถึงข้อมูลส่วนบุคคลตามบทบาทและหน้าที่ของพวกเขา  หน้าที่ความรับผิดชอบ:  การจัดการข้อมูล:  เข้าถึงและจัดการข้อมูลส่วนบุคคลภายในขอบเขตที่จําเป็นตามหน้าที่งานของพวกเขา  การรักษาความลับ: รักษาความลับของข้อมูลส่วนบุคคลและหลีกเลี้ยงการเปิดเผยที่ไม่ได้รับอนุญาต  แนวปฏิบัติด้านความปลอดภัย: ปฏิบัติตามโปรโตคอลความปลอดภัยที่กําหนดเพื่อปกป้องข้อมูลส่วนบุคคลจากการ  เข้าถึงการเปิดเผยหรือการละเมิดโดยไม่ได้รับอนุญาต  การควบคุมและการจัดการการเข้าถึง  สิทธิ การเข้าถึง:  หลักการของสิทธิ น้อยที่สุด: การเข้าถึงข้อมูลส่วนบุคคลจะได้รับอนุญาตตามความจําเป็นเท่านั้น เพื่อให้แน่ใจว่าพนักงานมีสิทธิ เข้าถึงขั้นต่ำที่จําเป็นในการปฏิบัติหน้าที่ของตน  ระดับการเข้าถึง:  การเข้าถึงแบบอ่านอย่างเดียว: มอบให้กับพนักงานที่ต้องการดูข้อมูลส่วนบุคคลแต่ไม่จําเป็นต้องมีความสามารถในการแก้ไข  การเข้าถึงแบบอ่าน-เขียน: มอบให้กับพนักงานที่ต้องการแก้ไขหรืออัปเดตข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของความรับผิดชอบในงาน  กระบวนการอนุญาต:  การขอและการอนุมัติ: คําขอการเข้าถึงต้องถูกส่งไปยัง DPO ซึ่งจะประเมินความจําเป็นและอนุมัติการเข้าถึงตามข้อกําหนดของงาน  การทบทวนการเข้าถึง: การทบทวนสิทธิ การเข้าถึงเป็นประจําเพื่อให้แน่ใจว่าเฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้นที่ยังคงมีสิทธิเข้าถึงข้อมูลส่วนบุคคล สิทธิการเข้าถึงจะถูกเพิกถอนทันทีเมื่อมีการเปลี่ยนแปลงบทบาทงานหรือการสิ้นสุดการจ้างงาน  การบันทึกและการตรวจสอบ:  บันทึกการตรวจสอบ: การเข้าถึงข้อมูลส่วนบุคคลทั้งหมดจะถูกบันทึกรวมถึงวันที่เวลารหัสผู้ใช้และวัตถุประสงค์ของการเข้าถึง  การตรวจสอบ: เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ตรวจสอบบันทึกการเข้าถึงเป็นประจําเพื่อค้นหาและตรวจสอบการเข้าถึงที่ไม่ได้รับอนุญาตหรือมีความสงสัย  มาตรการรักษาความปลอดภัย  มาตรการทางเทคนิค:  การเข้ารหัส:  ข้อมูลส่วนบุคคลทั้งหมดจะถูกเข้ารหัสระหว่างการจัดเก็บและการส่งเพื่อป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต  การยืนยันตัวตนหลายปัจจัย (MFA): ใช้สําหรับระบบทั้งหมดที่เข้าถึงข้อมูลส่วนบุคคลเพื่อเพิ่มความปลอดภัย  การตรวจสอบความปลอดภัยเป็นประจํา: ดําเนินการเพื่อระบุช่องโหว่และรับรองความแข็งแกร่งของมาตรการรักษาความปลอดภัย  มาตรการทางองค์กร:  การฝึกอบรมและการสร้างความตระหนัก: โปรแกรมการฝึกอบรมเป็นประจําสําหรับพนักงานทุกคนเกี่ยวกับหลักการคุ้มครองข้อมูลข้อผูกพันทางกฎหมายและแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัย  แผนการตอบสนองต่อเหตุการณ์: กําหนดโปรโตคอลสําหรับการตอบสนองต่อการละเมิดข้อมูล รวมถึงการควบคุมทันที่การแจ้งเตือนและขั้นตอนการแก้ไข  บทบาทและความรับผิดชอบของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)  ความรับผิดชอบของ DPO:  การพัฒนานโยบาย: พัฒนานโยบายการคุ้มครองข้อมูลที่ครอบคลุมและรับรองการดําเนินการตามนโยบาย  การตรวจสอบการปฏิบัติตาม: ตรวจสอบการปฏิบัติตาม PDPA และกฎหมายที่เกี่ยวข้องอย่างต่อเนื่อง  การจัดการเหตุการณ์: นําการตอบสนองต่อการละเมิดข้อมูลและรับรองการดําเนินการแก้ไขที่เหมาะสม  การฝึกอบรม: จัดให้มีการฝึกอบรมและอัปเดตอย่างต่อเนื่องให้กับพนักงานเกี่ยวกับนโยบายและขั้นตอนการปกป้องข้อมูล  การจัดตั้งและการจัดการทีม: จัดตั้งและจัดการทีมหากจําเป็น เพื่อจัดการงานการเก็บรวบรวมจัดเก็บและกําจัดข้อมูลอย่างมีประสิทธิภาพ  การรายงาน:  การรายงานภายใน: รายงานสถานะกิจกรรมการปกป้องข้อมูล ปัญหาการปฏิบัติตามข้อกําหนดและเหตุการณ์ต่างๆให้กับผู้บริหารระดับสูงเป็นประจํา  การรายงานภายนอก: ติดต่อกับหน่วยงานกํากับดูแลตามที่กฎหมายกําหนดรวมถึงการรายงานการละเมิดข้อมูลและการตรวจสอบการปฏิบัติตามข้อกําหนด  ความรับผิดทางแพ่งและอาญา:  ความรับผิดทางแพ่ง: หากเจ้าหน้าที่คุ้มครองข้อมูลละเลยหน้าที่ของตนส่งผลให้เกิดการละเมิดข้อมูลหรือการละเมิดข้อกําหนดพวกเขาอาจต้องรับผิดทางแพ่งตามมาตรา 83 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บุคคลที่ได้รับผลกระทบ อาจเรียกร้องค่าชดเชยความเสียหาย  ความรับผิดทางอาญา: การละเมิดกฎหมายคุ้มครองข้อมูลอย่างร้ายแรงอาจส่งผลให้ต้องรับผิดทางอาญา รวมถึงค่าปรับสูงสุด 5 ล้านบาทหรือจําคุก  ฐานทางกฎหมาย:  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37: กําหนดให้มีมาตรการรักษาความปลอดภัยเพื่อปกป้องข้อมูลส่วน บุคคล  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 41: กําหนดให้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 83: กําหนดบทลงโทษสําหรับการไม่ปฏิบัติตาม.   ตัวอย่าง:  สถานการณ์: พนักงานที่มีสิทธิ อ่าน-เขียนค้นพบการละเมิดข้อมูลที่อาจเกิดขึ้น  การกระทํา: พนักงานรายงานเหตุการณ์ทันทีต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO).  การตอบสนองของ DPO: ฮอยอน คิม เริ มแผนตอบสนองเหตุการณ์ โดยควบคุมการละเมิด แจ้งผู้ใช้ที่ได้รับผลกระทบและ หน่วยงาน กํากับดูแล และดําเนินการตรวจสอบหลังเหตุการณ์เพื่อป้องกันการเกิดขึ้นในอนาคต  นโยบายนี้ทําให้บริษัท บาย แอนด์ เซลล์ จํากัด ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  การปกป้องข้อมูลส่วนบุคคลของผู้ใช้ด้วยการกําหนดข้อบังคับที่ชัดเจนสําหรับบุคลากรที่ได้รับอนุญาตให้เข้าถึงข้อมูลดังกล่าว  ฐานทางกฎหมายและวัตถุประสงค์  ฐานทางกฎหมาย:  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562:  มาตรา 37: กําหนดให้มีมาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลจากการเข้าถึง การทําลาย การแก้ไข หรือการเปิดเผยโดยไม่ได้รับอนุญาต และกําหนดมาตรการสําหรับการตอบสนองเหตุการณ์.  มาตรา 41: กําหนดให้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) เพื่อดูแลกลยุทธ์การคุ้มครองข้อมูลและให้แน่ใจว่าปฏิบัติ ตาม PDPA  มาตรา 82: กําหนดข้อกําหนดในการแจ้งให้เจ้าของข้อมูลและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ทราบใน กรณีที่เกิดการละเมิดข้อมูล.  วัตถุประสงค์  วัตถุประสงค์ของบทความนี้คือการกําหนดมาตรการที่ครอบคลุมเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลและขั้นตอนที่ละเอียดในการตอบสนองต่อเหตุการณ์อย่างมีประสิทธิภาพเพื่อให้เป็นไปตามกฎหมายไทยและปกป้องสิทธิของบุคคล.  มาตรการป้องกันการละเมิดข้อมูลส่วนบุคคล  มาตรการทางเทคนิค:  การเข้ารหัส: เข้ารหัสข้อมูลส่วนบุคคลทั้งหมดระหว่างการส่งและการจัดเก็บเพื่อให้แน่ใจว่ามีการป้องกัน  การควบคุมการเข้าถึง: ใช้การยืนยันตัวตนหลายปัจจัย (MFA) สําหรับระบบที่จัดการข้อมูลส่วนบุคคลและบังคับใช้ขั้นตอนการควบคุมการเข้าถึงที่เข้มงวดเพื่อจํากัดการเข้าถึงเฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้น  การตรวจสอบความปลอดภัยเป็นประจํา: ดําเนินการตรวจสอบความปลอดภัยและการประเมินช่องโหว่เป็นประจําเพื่อระบุและแก้ไขจุดอ่อนด้านความปลอดภัยที่อาจเกิดขึ้น  ระบบการตรวจสอบอัตโนมัติ: ใช้ระบบอัตโนมัติเพื่อตรวจสอบกิจกรรมที่ผิดปกติหรือความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาต พร้อมการแจ้งเตือนแบบเรียลไทม์ไปยังทีมรักษาความปลอดภัย  มาตรการทางองค์กร:  การฝึกอบรมการปกป้องข้อมูลจัดการฝึกอบรมเป็นประจําสําหรับพนักงานทุกคนเกี่ยวกับนโยบายขั้นตอน และ แนวปฏิบัติที่ดีที่สุด ในการปกป้องข้อมูล.  นโยบายการจัดการข้อมูลที่ชัดเจน: กําหนดและบังคับใช้นโยบายที่ชัดเจนเกี่ยวกับการจัดการ การจัดเก็บ และการกําจัดข้อมูลส่วน บุคคล  ทีมตอบสนองต่อเหตุการณ์: จัดตั้งทีมตอบสนองต่อเหตุการณ์ที่นําโดย DPO โดยมีบทบาทและความรับผิดชอบที่ชัดเจนในการ จัดการการละเมิดข้อมูล  มาตรการทางกายภาพ:  การเข้าถึงทางกายภาพที่ปลอดภัย: จํากัดการเข้าถึงทางกายภาพไปยังเซิร์ฟเวอร์และสถานที่จัดเก็บข้อมูลให้เฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้น  ระบบเฝ้าระวัง: ติดตั้งระบบเฝ้าระวังเพื่อเฝ้าติดตามและบันทึกการเข้าถึงพื้นที่จัดเก็บข้อมูล  การทําลายข้อมูล: รับรองการทําลายเอกสารทางกายภาพที่มีข้อมูลส่วนบุคคลอย่างปลอดภัย โดยใช้การทําลายด้วยเครื่องย่อยหรือ การเผา  ขั้นตอนการตอบสนองต่อเหตุการณ์  การตอบสนองทันที:  การควบคุม: ควบคุมการละเมิดทันทีเพื่อป้องกันการเข้าถึงหรือการสูญเสียข้อมูลโดยไม่ได้รับอนุญาตเพิ่มเติม ตัดการเชื่อมต่อระบบที่ได้รับผลกระทบจากเครือข่ายหากจําเป็น  การประเมิน: ประเมินขอบเขตและผลกระทบของการละเมิดอย่างรวดเร็ว รวมถึงการระบุประเภทของข้อมูลที่ถูกละเมิดและจํานวนบุคคลที่ได้รับผลกระทบ  การแจ้งเตือน: แจ้งทีมตอบสนองต่อเหตุการณ์และผู้บริหารระดับสูงเกี่ยวกับการละเมิด เริ่มแผนการตอบสนองต่อเหตุการณ์  ขั้นตอนการแจ้งเตือน:  การแจ้งเตือนภายใน: แจ้ง DPO และผู้มีส่วนได้ส่วนเสียภายในที่เกี่ยวข้องภายในบริษัท  การแจ้งเตือนภายนอก: แจ้งสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ภายใน 72 ชั่วโมงหลังจากทราบถึงการ ละเมิด  ข้อมูลการติดต่อ PDPC:  เว็บไซต์: https://www.pdpc.or.th  โทรศัพท์: +66-2-142-1033  อีเมล: pdpc@mdes.or.th  บุคคลที่ได้รับผลกระทบ: แจ้งบุคคลที่ได้รับผลกระทบโดยไม่ล่าช้า โดยให้ข้อมูลเกี่ยวกับลักษณะของการละเมิด ผลกระทบที่อาจเกิดขึ้น และขั้นตอนที่พวกเขาสามารถดําเนินการเพื่อลดความเสียหาย  แผนการตอบสนองโดยละเอียด:  การตรวจจับและรายงาน:  ตรวจจับการละเมิดผ่านระบบการตรวจสอบหรือการรายงานภายใน   รายงานการละเมิดทันทีต่อ DPO และทีมตอบสนองเหตุการณ์  การกักกันและการกําจัด:  กักกันการละเมิดโดยการแยกระบบที่ได้รับผลกระทบ   กําจัดสาเหตุของการละเมิดโดยการระบุและลบมัลแวร์ แก้ไขช่องโหว่ เป็นต้น  การประเมินผลกระทบ:  ประเมินขอบเขตและผลกระทบของการละเมิด รวมถึงประเภทข้อมูลและบุคคลที่ได้รับผลกระทบ  บันทึกผลการประเมินและการดําเนินการทั้งหมดที่ดําเนินการในระหว่างการประเมิน  การแจ้งเตือนและการสื่อสาร:  แจ้ง PDPC และบุคคลที่ได้รับผลกระทบตามข้อกําหนดทางกฎหมาย  เตรียมและแจกจ่ายแถลงการณ์สาธารณะหากจําเป็น เพื่อรักษาความโปร่งใสและความไว้วางใจ  การฟื้นฟูและการแก้ไข:  กู้คืนระบบและข้อมูลที่ถูกบุกรุก เพื่อให้มั่นใจว่าระบบกลับมามีความปลอดภัยและสามารถใช้งานได้  ดําเนินการแก้ไขเพื่อป้องกันการบุกรุกในอนาคต  การทบทวนหลังเหตุการณ์:  ดําเนินการทบทวนหลังเหตุการณ์อย่างละเอียดเพื่อระบุบทเรียนที่ได้รับและปรับปรุงกลยุทธ์การตอบสนอง  ปรับปรุงนโยบายและขั้นตอนตามผลการทบทวน  ความรับผิดชอบและความรับผิด:  ความรับผิดชอบของ DPO:  รับรองการดําเนินการตามแผนตอบสนองเหตุการณ์อย่างทันท่วงทีและมีประสิทธิภาพ  ประสานงานการเสื่อสารกับหน่วยงานกํากับดูแลและบุคคลที่ได้รับผลกระทบ  ดูแลการแก้ไขปัญหาและการทบทวนหลังเหตุการณ์  ความรับผิดชอบของพนักงาน:  ปฏิบัติตามระเบียบที่กําหนดในการรายงานและตอบสนองต่อการบุกรุก  เข้าร่วมโปรแกรมการฝึกอบรมและการสร้างความตระหนัก  นําแนวปฏิบัติด้านความปลอดภัยที่แนะนํามาใช้ในกิจกรรมประจําวัน  ความรับผิดทางแพ่งและอาญา:  ความรับผิดทางแพ่ง: การไม่ป้องกันหรือไม่ตอบสนองต่อการบุกรุกข้อมูลอย่างเหมาะสมอาจส่งผลให้เกิดความรับผิดทาง แพ่งภายใต้มาตรา 83 ของ PDPA โดยบุคคลที่ได้รับผลกระทบมีสิทธิเรียกร้องค่าชดเชย  ความรับผิดทางอาญา: การละเมิดกฎหมายคุ้มครองข้อมูลอย่างร้ายแรงอาจส่งผลให้เกิดโทษทางอาญา รวมถึงค่าปรับ สูงสุด 5 ล้านบาทหรือจําคุก  3.5 การป้องกันความเสียหายทุติยภูมิ:  การตรวจสอบ: ตรวจสอบอย่างต่อเนื่องเพื่อหาสัญญาณของการละเมิดซ้ำหรือการใช้ข้อมูลที่ถูกละเมิดในทางที่ผิด  การสนับสนุนบุคคลที่ได้รับผลกระทบ: ให้คําแนะนําและการสนับสนุนแก่บุคคลที่ได้รับผลกระทบเกี่ยวกับวิธีการป้องกันตนเองจาก การฉ้อโกงหรือการขโมยข้อมูลส่วนบุคคล  การเสริมสร้างมาตรการความปลอดภัย: เพิ่มมาตรการและโปรโตคอลความปลอดภัยเพื่อป้องกันการเกิดเหตุการณ์ที่คล้ายกันอีก  โปรโตคอลการตอบสนองต่อการละเมิดข้อมูลของ PDPC  คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ของประเทศไทยได้กําหนดโปรโตคอลที่ชัดเจนสําหรับการตอบสนองต่อการละเมิดข้อมูล โปรโตคอลนี ประกอบด้วยขั้นตอนดังต่อไปนี้:  การตอบสนองเบื้องต้น:  การรายงาน: รายงานการละเมิดไปยัง PDPC ทันทีที่ทราบการรายงานต้องทําภายใน 72 ชั่วโมงหลังจากพบการละเมิด  ข้อมูลการติดต่อ PDPC:  เว็บไซต์: https://www.pdpc.or.th  โทรศัพท์: +66-2-142-1033  อีเมล: pdpc@mdes.or.th  เนื้อหา: การรายงานต้องรวมข้อมูลรายละเอียดเกี่ยวกับลักษณะของการละเมิด ประเภทของข้อมูลที่ได้รับผลกระทบ สาเหตุของการ ละเมิด และการตอบสนองเบื้องต้นที่ได้ดําเนินการ  การสืบสวนเหตุการณ์:  การสืบสวนของ PDPC: PDPC จะสืบสวนการละเมิดที่รายงานเพื่อหาสาเหตุและผลกระทบ อาจมีการขอข้อมูลเพิ่มเติมตามความ จําเป็น  ความร่วมมือในการสืบสวน: บริษัทต้องให้ความร่วมมืออย่างเต็มที่กับการสืบสวนของ PDPC และให้ข้อมูลที่จําเป็นทั้งหมด  การตอบสนองต่อเหตุการณ์:  การแจ้งเตือนบุคคลที่ได้รับผลกระทบ: ปฏิบัติตามแนวทางของ PDPC เพื่อแจ้งเตือนบุคคลที่ได้รับผลกระทบเกี่ยวกับการละเมิด โดยให้ข้อมูลเกี่ยวกับการลดความเสียหาย  การดําเนินการแก้ไข: ดําเนินการแก้ไขตามที่ PDPC แนะนําเพื่อกําจัดสาเหตุของการละเมิดและป้องกันเหตุการณ์ในอนาคต  การดําเนินการติดตามผล:  การส่งรายงานสุดท้าย: ส่งรายงานสุดท้ายไปยัง PDPC โดยมีรายละเอียดเกี่ยวกับสาเหตุของการละเมิด ประเภทและขอบเขตของ ข้อมูลที่ได้รับผลกระทบ การตอบสนอง การดําเนินการแก้ไข และแผนการป้องกันการละเมิดในอนาคต  เนื้อหารายงาน:  การวิเคราะห์สาเหตุรากฐานของการละเมิด  ประเภทและขอบเขตของข้อมูลที่ได้รับผลกระทบ  คําอธิบายรายละเอียดของการตอบสนองและการดําเนินการแก้ไข  แผนการป้องกันในอนาคต  การตรวจสอบของ PDPC: PDPC จะตรวจสอบรายงานที่ส่งมาเพื่อประเมินความเพียงพอของการตอบสนองและการดําเนินการแก้ไข อาจต้องมีมาตรการเพิ่มเติมหรือการปรับปรุง  ข้อเสนอแนะของ PDPC: PDPC จะให้ข้อเสนอแนะและอาจขอให้มีมาตรการเพิ่มเติมหรือการปรับปรุงหากจําเป็น  การตรวจสอบภายใน: ดําเนินการตรวจสอบภายในเพื่อประเมินประสิทธิภาพของกระบวนการตอบสนองต่อเหตุการณ์และการดำเเนินการแก้ไข  ผลการตรวจสอบ: ใช้ผลการตรวจสอบภายในเพื่อระบุพื้นที่ที่ต้องปรับปรุงในนโยบายและขั้นตอนเพื่อประสิทธิภาพในการตอบสนองต่อเหตุการณ์ในอนาคต  การปรับปรุงอย่างต่อเนื่อง: นําข้อเสนอแนะจาก PDPC และผลการตรวจสอบภายในมาใช้เพื่อปรับปรุงนโยบายการ ปกป้องข้อมูลและขั้นตอนการตอบสนองต่อเหตุการณ์อย่างต่อเนื่อง  ความรับผิดชอบทางกฎหมาย:  ความรับผิดชอบทางแพ่ง: บุคคลที่ได้รับผลกระทบสามารถเรียกร้องค่าชดเชยสําหรับความเสียหายที่เกิดจากการละเมิดข้อมูลตาม มาตรา 83 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  ความรับผิดชอบทางอาญา: การละเมิดกฎหมายคุ้มครองข้อมูลอย่างรุนแรงอาจส่งผลให้มีโทษทางอาญา รวมถึงค่าปรับสูงสุด 5  ล้านบาทหรือจําคุก  มาตรการต่อเนื่องสําหรับ Buy N Sell และ DPO (ฮโยยอน คิม)  กิจกรรมการปฏิบัติตามกฎหมาย:  การตรวจสอบภายในอย่างสม่ำเสมอ: DPO ควรดําเนินการตรวจสอบภายในอย่างสม่ำเสมอเพื่อให้แน่ใจว่ามีการปฏิบัติตามนโยบายและขั้นตอนการปกป้องข้อมูลระบุและแก้ไขช่องโหว่ที่อาจเกิดขึ้น  โปรแกรมการฝึกอบรมอย่างต่อเนื่อง: จัดให้มีการฝึกอบรมอย่างต่อเนื่องแก่พนักงานทุกคนเกี่ยวกับแนวปฏิบัติที่ดีที่สุดในการปกป้องข้อมูลและการตระหนักรู้เรื่องความเป็นส่วนตัวเพื่อเพิ่มการปฏิบัติตามและการตระหนักรู้  การอัปเดตนโยบาย: อัปเดตนโยบายและขั้นตอนการปกป้องข้อมูลอย่างสม่ำเสมอเพื่อสะท้อนถึงการเปลี่ยนแปลงในกฎระเบียบและภัยคุกคามด้านความปลอดภัยที่เกิดขึ้นใหม่  ความรับผิดชอบเพิ่มเติมของ DPO:  การประเมินและจัดการความเสี่ยง: ดําเนินการประเมินความเสี่ยงเป็นประจําเพื่อระบุและจัดการความเสี่ยงที่อาจเกิดขึ้นเกี่ยวกับ การปกป้องข้อมูล  การตอบสนองต่อการตรวจสอบภายนอก: เตรียมพร้อมที่จะตอบสนองต่อคําขอจากหน่วยงานกํากับดูแลหรือบริษัทตรวจสอบภายนอกโดยการรักษาเอกสารที่จําเป็นและให้ข้อมูล  การเสริมสร้างโครงสร้างพื้นฐานด้านความปลอดภัย: ปรับปรุงโครงสร้างพื้นฐานการปกป้องข้อมูลอย่างต่อเนื่องโดยการนํา เทคโนโลยีความปลอดภัยล่าสุดและแนวปฏิบัติที่ดีที่สุดมาใช้  แนวปฏิบัติที่ดีที่สุด:  การลดข้อมูล: รวบรวมเฉพาะข้อมูลส่วนบุคคลที่จําเป็นขั้นต่ำสําหรับวัตถุประสงค์เฉพาะ และมั่นใจว่าข้อมูลที่ไม่จําเป็นจะถูก ทําลายทันที  การใช้การยืนยันตัวตนหลายปัจจัย (MFA): ใช้ MFA สําหรับการเข้าถึงระบบและข้อมูลที่สําคัญเพื่อเพิ่มความปลอดภัย  การทดสอบการเจาะระบบเป็นประจํา: เชิญผู้เชี่ยวชาญภายนอกมาทําการทดสอบการเจาะระบบเป็นประจําเพื่อระบุและแก้ไขช่องโหว่ด้านความปลอดภัย  การฝึกซ้อมตอบสนองต่อเหตุการณ์: ทดสอบแผนการตอบสนองต่อเหตุการณ์เป็นประจําด้วยการฝึกซ้อมตามสถานการณ์เพื่อปรับปรุงความสามารถในการตอบสนอง  ฐานทางกฎหมาย:  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37: กําหนดให้มีมาตรการรักษาความปลอดภัยเพื่อปกป้องข้อมูลส่วนบุคคล  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 41: กําหนดให้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) มาตรา 82: กําหนดข้อกําหนดในการแจ้งเตือนในกรณีที่เกิดการละเมิดข้อมูล  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 83: กําหนดบทลงโทษสําหรับการไม่ปฏิบัติตาม  นโยบายนี้ทําให้มั่นใจได้ว่า บริษัท บาย แอนด์ เซลล์ จํากัด ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) ของประเทศไทย โดย กําหนดระเบียบที่ชัดเจนในการป้องกันการละเมิดข้อมูลส่วนบุคคลและตอบสนองอย่างมีประสิทธิภาพเมื่อเกิดขึ้นพร้อมทั้งปกป้องข้อมูลส่วนบุคคลและสิทธิของบุคคล  วัตถุประสงค์ของการเก็บข้อมูล  เราเก็บข้อมูลเอกสารแสดงตัวตน (บัตรประชาชน, ใบขับขี่, หนังสือเดินทาง) และข้อมูลการยืนยันตัวตนด้วยใบหน้า เพื่อการยืนยันตัวตนของสมาชิกในช่วงเวลาทำการ  การเก็บรักษาและลบข้อมูล  ข้อมูลที่ส่งเข้ามาจะถูกลบภายใน 4 ชั่วโมงหลังจากการยืนยันตัวตนเสร็จสิ้น  หากข้อมูลที่ส่งมา (เช่น บัตรประชาชน, ใบขับขี่, หนังสือเดินทาง หรือรูปภาพใบหน้า) ไม่ชัดเจนหรือไม่สามารถตรวจสอบได้อย่างถูกต้อง เราจะติดต่อผู้ใช้งานโดยตรงเพื่อยืนยันการใช้งานและดำเนินการตรวจสอบข้อมูลเพิ่มเติม  ข้อมูลจะถูกเก็บไว้จนกว่าการยืนยันจะเสร็จสิ้น  หลังจากการยืนยันเสร็จสิ้น ข้อมูลจะถูกลบภายใน 4 ชั่วโมง  ผู้จัดการข้อมูลส่วนบุคคล  กมลวรรณ วัฒนานุพงศ์  อีเมล: buynsellthai@gmail.com, kamolwan.w@buynsellthai.org