Privacy Policy [TH]
การเก็บรวบรวมข้อมูลส่วนบุคคล วัตถุประสงค์และขอบเขตของการเก็บรวบรวม: ข้อมูลส่วนบุคคลจะถูกเก็บรวบรวมเพื้อวัตถุประสงค์ในการให้บริการแพลตฟอร์มการซื้อขายสินค้ามือสอง การยืนยันตัวตน บริการ ตามตําแหน่งที่ตั้งการดําเนินการธุรกรรม การสนับสนุนลูกค้าฯลฯ เท่านั้น ขอบเขตของข้อมูลส่วนบุคคลที่เก็บรวบรวมจํากัดเฉพาะชื่อรายละเอียดการติดต่อที่อยู่อีเมล ข้อมูลตําแหน่งที่ตั้งข้อมูลบัตร ประจําตัวผู้ใช้ รูปถ่ายสินค้ามือสอง และเนื้อหาการสนทนา ข้อมูลส่วนบุคคลที่เก็บรวบรวมเพื่อวัตถุประสงค์ในการยืนยันตัวตน เช่นข้อมูลบัตรประจําตัวผู้ใช้และรายละเอียดการติดต่อจะถูก ทําลายทันทีหลังจากกระบวนการยืนยันตัวตนเสร็จสิ้น ขั้นตอนการเลือกการยืนยันตัวตน: การยืนยันตัวตนทางอีเมล การยืนยันตัวตนทางโทรศัพท์ การยืนยันตัวตนด้วยรูปถ่ายแบบเรียลไทม์ การยืนยันตัวตนที่เลือกได้: การยืนยันตัวตนด้วยบัตรประจําตัวผู้ใช้ ผู้ใช้ที่ผ่านการยืนยันตัวตนครบทุกข้ันตอนจะได้รับเครื่องหมายการยืนยันตัวตน ในบรรดาข้อมูลส่วนบุคคลที่เก็บรวบรวม ข้อมูลการ ยืนยันตัวตนที่จําเป็นจะถูกเก็บรักษาไว้สําหรับการทําธุรกรรมสินค้ามือสองแต่ละรายการในขณะที่ข้อมูลบัตรประจําตัวผู้ใช้จากขั้นตอน การยืนยันตัวตนที่เลือกได้จะถูกทําลายทันทีหลังจากกระบวนการยืนยันตัวตนเสร็จสิ้น อ้างอิง: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) มาตรา 19 การใช้ข้อมูลส่วนบุคคล หลักการใช้: ข้อมูลส่วนบุคคลที่เก็บรวบรวมจะถูกใช้ภายในขอบเขตของวัตถุประสงค์การเก็บรวบรวมเดิมเท่านั้น ข้อมูลส่วนบุคคลจะไม่ถูกเปิดเผยให้บุคคลที่สามโดยไม่ได้รับความยินยอมจากผู้ใช้ ยกเว้นตามที่กฎหมายกําหนด ข้อมูลผู้ใช้อาจถูกวิเคราะห์เพื่อปรับปรุงบริการและให้บริการที่เหมาะสมกับผู้ใช้ อ้างอิง: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) มาตรา 29 การเก็บรักษาข้อมูลส่วนบุคคลและระยะเวลาในการเก็บรักษา: ข้อมูลส่วนบุคคลจะถูกเก็บรักษาในระยะเวลาที่จําเป็นเพื่อให้บรรลุวัตถุประสงค์ของการเก็บรวบรวมหรือเท่าที่กฎหมายกําหนด ข้อมูลส่วนบุคคลที่จำเป็นสําหรับกระบวนการยืนยันตัวตนจะถูกทําลายทันทีหลังจากกระบวนการเสร็จสิิ้น มาตรการรักษาความปลอดภัย: มีการใช้การเข้ารหัสการควบคุมการเข้าถึงและมาตรการรักษาความปลอดภัยทางเทคนิคและการบริหารอื่นๆเมื่อเก็บรักษาข้อมูลส่วนบุคคล มีการตรวจสอบความปลอดภัยเป็นประจําเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การรั่วไหล การเปลี่ยนแปลง หรือความเสียหายของข้อมูลส่วนบุคคล โดยจะดําเนินการทันทีเมื่อพบช่องโหว่หรือพื้นที่ที่ต้องปรับปรุง อ้างอิง: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37 การกําจัดข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลจะถูกกําจัดโดยไม่ล่าช้าเมื่อระยะเวลาการเก็บรักษาหมดอายุหรือเมื่อบรรลุวัตถุประสงค์ในการเก็บรวบรวม ข้อมูลส่วนบุคคลที่ใช้ในกระบวนการยืนยันตัวตนจะถูกทําลายทันทีหลังจากกระบวนการเสร็จสิ้น การกําจัดข้อมูลส่วนบุคคลจะดําเนินการในลักษณะที่ไม่สามารถกู้คืนได้ เช่นการลบไฟล์อิเล็กทรอนิกส์อย่างถาวรและการทําลายเอกสารกระดาษ อ้างอิง: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 42 เจ้าหน้าที่คุ้มครองข้อมูล (DPO) การแต่งตั้งและบทบาทของ DPO: บริษัท บาย แอนด์ เซลล์ จํากัดแต่งตั้งโฮยอน คิมเป็นเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ซึ่งอาจนําทีมที่รับผิดชอบการคุ้มครองข้อมูลส่วนบุคคลด้วย เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) มีหน้าที่ในการจัดตั้งและดําเนินนโยบายการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้เป็นไปตาม กฎหมายคุ้มครองข้อมูลส่วนบุคคล และตอบสนองต่อการละเมิดข้อมูล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (ฮอยอน คิม) รับผิดชอบทางแพ่งและอาญาในการคุ้มครองการเก็บรวบรวมและจัดเก็บข้อมูลส่วนบุคคล อ้างอิง: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) มาตรา 41 นโยบายความเป็นส่วนตัวนี้ทำให้มั่นใจได้ว่าบริษัท บาย แอนด์ เซลล์ จํากัดปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศ ไทย โดยให้ความสําคัญสูงสุดและการจัดการอย่างละเอียดถี่ถ้วนในการคุ้มครองข้อมูลส่วนบุคคล ฐานทางกฎหมายและวัตถุประสงค์ของการเก็บรวบรวม ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562: มาตรา 19: กําหนดให้ต้องได้รับความยินยอมจากผู้ใช้อย่างชัดเจนสําหรับการเก็บรวบรวมข้อมูลและต้องแจ้งวัตถุประสงค์ขอบเขต และการใช้ข้อมูลที่เก็บรวบรวมอย่างชัดเจน มาตรา 26: ข้อมูลส่วนบุคคลต้องถูกเก็บรวบรวมอย่างถูกต้องตามกฎหมายและเป็นธรรม และไม่สามารถใช้เพื้อวัตถุประสงค์อื่นนอกเหนือจากที่ตั้งใจไว้ในตอนแรกโดยไม่ได้รับความยินยอมจากผู้ใช้ มาตรา 28: ผู้ใช้มีสิทธิที่จะทราบวัตถุประสงค์ของการเก็บรวบรวมข้อมูลการใช้งาน ระยะเวลาการเก็บรักษา และรายละเอียดการแบ่งปันข้อมูล วัตถุประสงค์ของการเก็บรวบรวม: ข้อมูลตําแหน่งถูกเก็บรวบรวมเพื่อวัตถุประสงค์เฉพาะดังต่อไปนี้ การค้นหาสินค้ามือสองใกล้เคียง การให้บริการและโฆษณาที่ปรับให้เหมาะสมกับผู้ใช้ การแนะนําเส้นทางและคําแนะนํา การเพิ่มความปลอดภัยในการทําธุรกรรม การแจ้งเตือนและอัปเดตที่อิงตามตําแหน่ง การวิเคราะห์พฤติกรรมผู้ใช้และการปรับปรุงบริการ การสร้างสถิติที่อิงตามตําแหน่ง การเก็บรวบรวมและการใช้ข้อมูลตําแหน่ง ข้อมูลที่เก็บรวบรวม: มีการเก็บรวบรวมข้อมูลตําแหน่งประเภทต่างๆ เพื่อให้บริการตามตําแหน่งที่ตั้ง โดยเฉพาะ ข้อมูลที่เก็บรวบรวมประกอบด้วย: ข้อมูล GPS: ข้อมูลที่เก็บรวบรวม: พิกัดตําแหน่งแบบเรียลไทม์ (ละติจูดและลองจิจูด) ผ่านเซ็นเซอร์ GPS ของอุปกรณ์ผู้ใช้ วัตถุประสงค์: การติดตามแบบเรียลไทม์และการให้บริการที่ปรับแต่งเฉพาะบุคคล ข้อมูลการเข้าถึง Wi-Fi: ข้อมูลที่เก็บรวบรวม: SSID, BSSID และความแรงของสัญญาณของเครือข่าย Wi-Fi ที่ผู้ใช้เชื่อมต่อ วัตถุประสงค์: การระบุตําแหน่งภายในอาคารและบริการตามความใกล้เคียง ข้อมูลเสาสัญญาณโทรศัพท์: ข้อมูลที่เก็บรวบรวม: ตําแหน่งและความแรงของสัญญาณของเสาสัญญาณโทรศัพท์ที่อุปกรณ์ของผู้ใช้เชื่อมต่อ วัตถุประสงค์: การระบุตําแหน่งตามเครือข่ายและความต่อเนื่องของบริการ ข้อมูลบีคอน Bluetooth: ข้อมูลที่เก็บรวบรวม: ข้อมูลสัญญาณจากบีคอน Bluetooth ใกล้เคียง วัตถุประสงค์: การระบุตําแหน่งภายในอาคารและบริการตามความใกล้เคียง ที่อยู่ IP: ข้อมูลที่เก็บรวบรวม: ที่อยู่ IP ที่กําหนดให้อุปกรณ์ของผู้ใช้เมื่อเชื่อมต่อกับอินเทอร์เน็ต วัตถุประสงค์: การระบุตําแหน่งโดยประมาณและความปลอดภัย ข้อมูลที่ผู้ใช้ป้อน: ข้อมูลที่เก็บรวบรวม: ข้อมูลตําแหน่งที่ผู้ใช้ป้อนด้วยตนเองภายในแอป วัตถุประสงค์: การให้บริการตามตําแหน่งที่ผู้ใช้กําหนด วิธีการเก็บรวบรวมข้อมูล: ข้อมูลตําแหน่งถูกเก็บรวบรวมผ่านวิธีการต่างๆ: ระหว่างการติดตั้งแอปพลิเคชัน: คําอธิบาย: ขอความยินยอมอย่างชัดเจนในการเก็บรวบรวมข้อมูลตําแหน่งเมื่อแอปพลิเคชันถูกติดั้งงและใช้งานครั้งแรก วิธีการเก็บรวบรวม: ขออนุญาตผู้ใช้ในการใช้ข้อมูลตําแหน่งระหว่างกระบวนการตั้งค่าเริ่มต้น การติดตามตําแหน่งเบื้องหลัง: คําอธิบาย: ข้อมูลตําแหน่งถูกเก็บรวบรวมอย่างต่อเนื่องแม้ว่าผู้ใช้จะไม่ได้ใช้งานแอปพลิเคชันอย่างจริงจัง วิธีการเก็บรวบรวม: การเก็บรวบรวมข้อมูล GPS และเครือข่ายเป็นระยะเมื่อผู้ใช้อณุญาตการติดตามตําแหน่งเบื้องหลัง การติดตามตําแหน่งเบื้องหน้า: คําอธิบาย: การเก็บรวบรวมข้อมูลตําแหน่งในขณะที่ผู้ใช้กําลังใช้งานแอปพลิเคชันอย่างจริงจัง วิธีการเก็บรวบรวม: ข้อมูลตําแหน่งแบบเรียลไทม์ถูกเก็บรวบรวมเมื่อผู้ใช้ใช้ฟังก์ชันแผนที่หรือการค้นหาตามตําแหน่ง การสแกน Wi-Fi และ Bluetooth: คําอธิบาย: การสแกนสัญญาณ Wi-Fi และ Bluetooth เพื่อเก็บรวบรวมข้อมูลตําแหน่งเมื่อผู้ใช้อยู่ในสถานที่เฉพาะ วิธีการเก็บรวบรวม: การเก็บรวบรวมข้อมูลจากเครือข่ายและอุปกรณ์ใกล้เคียงเมื่อ Wi-Fi หรือ Bluetooth ถูกเปิดใช้งาน การเก็บรวบรวมตามเหตุการณ์: คําอธิบาย: การเก็บรวบรวมข้อมูลตําแหน่งเมื่อเกิดเหตุการณ์เฉพาะ (เช่นเมื่อผู้ใช้ถึงตําแหน่งที่กําหนด) วิธีการเก็บรวบรวม: การบันทึกและวิเคราะห์ข้อมูลตําแหน่งเมื่อเกิดเหตุการณ์ที่ผู้ใช้กําหนด การป้อนข้อมูลของผู้ใช้: คําอธิบาย: การเก็บรวบรวมข้อมูลตําแหน่งที่ผู้ใช้ป้อนด้วยตนเอง วิธีการเก็บรวบรวม: การส่งและจัดเก็บข้อมูลตําแหน่งที่ผู้ใช้ป้อนบนเซิร์ฟเวอร์ การยินยอมและการแจ้งเตือนของผู้ใช้ ขั้นตอนการยินยอม: การยินยอมโดยชัดแจ้ง: ผู้ใช้ต้องให้การยินยอมโดยชัดแจ้งสําหรับการเก็บรวบรวมและการใช้ข้อมูลตําแหน่งในระหว่างการติดตั้ง และการใช้งานครั้งแรกของแอปพลิเคชัน การถอนการยินยอม: ผู้ใช้สามารถถอนการยินยอมสําหรับการเก็บรวบรวมข้อมูลตําแหน่งได้ตลอดเวลา และข้อมูลที่เก็บรวบรวมจะ ถูกลบออกทันทีเมื่อมีการถอนการยินยอม ภาระหน้าที่ในการแจ้งเตือน: การแจ้งเตือนอย่างโปร่งใส: ผู้ใช้จะได้รับการแจ้งเตือนอย่างชัดเจนเกี่ยวกับวัตถุประสงค์การใช้งานระยะเวลาการจัดเก็บ และ นโยบายการแบ่งปันข้อมูลที่เกี่ยวข้องกับการเก็บรวบรวมข้อมูลตําแหน่ง ความปลอดภัยและการปกป้องข้อมูล มาตรการความปลอดภัย: การเข้ารหัส: ข้อมูลตําแหน่งจะถูกเข้ารหัสในระหว่างการจัดเก็บและการส่งเพื่อให้มั่นใจในความปลอดภัย การควบคุมการเข้าถึง: มีนโยบายการควบคุมการเข้าถึงที่เข้มงวดเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การตรวจสอบความปลอดภัยเป็นประจํา: มีการตรวจสอบความปลอดภัยเป็นประจําเพื่อรักษามาตรฐานการปกป้องข้อมูล ข้อกําหนดทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย มาตรา 32: กําหนดให้มีมาตรการรักษาความปลอดภัยทางเทคนิคและการ บริหารเพื่อป้องกันการเข้าถึงการทําลายหรือการแก้ไขข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต มาตรา 34: กําหนดให้รักษาความปลอดภัยของระบบการประมวลผลข้อมูลส่วนบุคคลและป้องกันการละเมิดที่ผิดกฎหมาย การจัดเก็บและการกําจัดข้อมูลตําแหน่งที่ตั้ง ระยะเวลาการเก็บรักษา: หลักการเก็บรักษาขั้นตํ่า: ข้อมูลตําแหน่งที่ตั้งจะถูกเก็บรักษาเฉพาะในช่วงเวลาที่จําเป็นเพื่อให้บรรลุวัตถุประสงค์ในการเก็บรวบรวม หรือเป็นไปตามข้อกําหนดทางกฎหมาย เพื่อให้แน่ใจว่าข้อมูลตําแหน่งที่ตั้งของผู้ใช้จะไม่ถูกเก็บรักษานานเกินความจําเป็น การตรวจสอบเป็นประจํา: เจ้าหน้าที่คุ้มครองข้อมูล (DPO) จะตรวจสอบระยะเวลาการเก็บรักษาข้อมูลเป็นประจําและกําจัดข้อมูลที่ไม่จําเป็นอย่างทันท่วงที่กระบวนการนี้จะดําเนินการทุกครึ่งปี โดยประเมินความจําเป็นของข้อมูลที่เก็บรักษาใหม่ การปฏิบัติตามกฎหมาย: เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) มาตรา 37 บริษัทจะปฏิบัติ ตามระยะเวลาการเก็บรักษาที่กฎหมายกําหนดและกําจัดข้อมูลส่วนบุคคลอย่างปลอดภัยหลังจากระยะเวลาดังกล่าว วิธีการจัดเก็บ: การจัดเก็บข้อมูลที่เข้ารหัส: ข้อมูลตําแหน่งถูกจัดเก็บอย่างปลอดภัยโดยใช้เทคโนโลยีการเข้ารหัสล่าสุด มาตรการนี้ช่วยให้มั่นใจใน ความสมบูรณ์ของข้อมูลและป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต ความปลอดภัยทางกายภาพ: เซิร์ฟเวอร์ที่จัดเก็บข้อมูลตําแหน่งตั้งอยู่ในพื้นที่ที่มีการควบคุมการเข้าถึงอย่างปลอดภัย พร้อมด้วยกล้องวงจรปิดและระบบควบคุมการเข้าถึง การควบคุมการเข้าถึง: เฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลตําแหน่งได้ และการเข้าถึงทั้งหมดจะถูกบันทึก และตรวจสอบเป็นประจํา ขั้นตอนการกำจัด การกําจัดทันที: ข้อมูลตําแหน่งจะถูกกําจัดทันทีเมื่อบรรลุวัตถุประสงค์ในการเก็บรวบรวมหรือเมื่อผู้ใช้ถอนความยินยอม เพื่อให้มั่นใจว่าไม่มีการเก็บข้อมูลส่วนบุคคลที่ไม่จําเป็น การทําลายที่ไม่สามารถกู้คืนได้: ข้อมูลตําแหน่งทั้งหมดจะถูกทําลายโดยใช้วิธีที่ป้องกันการกู้คืน ไฟล์อิเล็กทรอนิกส์จะถูกลบอย่างถาวร และเอกสารกระดาษจะถูกทําลายหรือเผา ไฟล์อิเล็กทรอนิกส์: ลบอย่างถาวรโดยใช้ซอฟต์แวร์ลบข้อมูล เอกสารกระดาษ: ทําลายโดยใช้เครื่องทําลายเอกสารท'มีความปลอดภัยสูงหรือเผาในสถานที่ที่ปลอดภัย การตรวจสอบและบันทึกการกําจัด: การตรวจสอบการกําจัด: กิจกรรมการกําจัดจะถูกตรวจสอบโดยบุคลากรที่รับผิดชอบ ซึ่งจะรายงานต่อ DPO การเก็บบันทึก: กิจกรรมการกําจัดทั้งหมดจะถูกบันทึกและเก็บรักษาไว้อย่างน้อยสามปี บันทึกประกอบด้วยประเภทของข้อมูลที่ถถูกกําจัดวันที่กําจัด วิธีการกําจัด และลายเซ็นของบุคลากรที่รับผิดชอบ การปฏิบัติตามกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย มาตรา 37: กําหนดข้อกําหนดสําหรับการเก็บรักษาและการจัดการข้อมูลส่วนบุคคลอย่างปลอดภัย รวมถึงมาตรการทางเทคนิคและการบริหารเพื่อให้มั่นใจว่าการเก็บรักษาข้อมูลส่วนบุคคลทั้งหมดอย่าง ปลอดภัย รวมถึงข้อมูลตําแหน่งที่ตั้ง มาตรา 41 และ 42: กําหนดให้มีการกําจัดข้อมูลส่วนบุคคลอย่างปลอดภัยและถาวรและระบุความรับผิดชอบทางกฎหมายสําหรับการไม่ปฏิบัติตาม มาตราเหล่านี้ระบุวิธีการและขั้นตอนการกําจัดที่ถูกต้องและผลทางกฎหมายของการไม่ปฏิบัติตาม ความรับผิดชอบทางกฎหมาย: ค่าปรับและบทลงโทษ: การไม่ปฏิบัติตามขั้นตอนการเก็บรักษาและการกําจัดข้อมูลตําแหน่งที่ตั้งอาจส่งผลให้ถูกปรับสูงสุดถึง 5 ล้านบาทตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) ความรับผิดชอบทางอาญา: การละเมิดอย่างร้ายแรงที่ส่งผลให้เกิดการละเมิดความเป็นส่วนตัวอย่างมีนัยสําคัญอาจนําไปสู่ กระบวนการทางกฎหมายและข้อหาทางอาญา ความรับผิดทางแพ่ง: บริษัทอาจต้องรับผิดชอบต่อความเสียหายหากผู้ใช้ได้รับความเสียหายเนื่องจากการละเมิดความเป็นส่วนตัว สิทธิและการควบคุมของผู้ใช้ สิทธิในการเข้าถึงและการแก้ไข สิทธิในการเข้าถึง: คําอธิบาย: ผู้ใช้มีสิทธิในการเข้าถึงข้อมูลตําแหน่งของตนเพื่อเข้าใจว่าข้อมูลนั้นถูกใช้อย่างไร ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30 ให้สิทธิผู้ใช้ในการเข้าถึงข้อมูลส่วน บุคคลของตน ตัวอย่าง: หากผู้ใช้ร้องขอประวัติข้อมูลตําแหน่งของตน บริษัทจะให้ข้อมูลนั้นหลังจากการยืนยันตัวตนที่เหมาะสม สิทธิในการแก้ไข: คําอธิบาย: ผู้ใช้มีสิทธิในการแก้ไขข้อมูลตําแหน่งที่ไม่ถูกต้อง ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30 อนุญาตให้ผู้ใช้แก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้อง ตัวอย่าง: หากผู้ใช้ประสบปัญหาเนื่องจากข้อมูลตําแหน่งที่ไม่ถูกต้องบริษัทจะแก้ไขข้อมูลนั้นทันทีและแจ้งให้ผู้ใช้ทราบถึงการแก้ไข สิทธิในการถอนความยินยอมและการลบข้อมูล สิทธิในการถอนความยินยอม: คําอธิบาย: ผู้ใช้สามารถถอนความยินยอมในการเก็บรวบรวมและใช้ข้อมูลตําแหน่งที่ตตั้งได้ทุกเมื่อ ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 32 ให้สิทธิผู้ใช้ในการถอนความยินยอม ตัวอย่าง: หากผู้ใช้ถอนความยินยอมผ่านการตั้งค่าในแอป บริษัทจะหยุดการเก็บรวบรวมข้อมูลตําแหน่งที่ตั้งทันทีและลบ ข้อมูลที่มีอยู่ สิทธิในการลบข้อมูล: คําอธิบาย: ผู้ใช้มีสิทธิในการขอลบข้อมูลตําแหน่งที่ตั้งของตน ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 33 อนุญาตให้ผู้ใช้ขอลบข้อมูลส่วนบุคคล ของตน ตัวอย่าง: หากผู้ใช้ขอลบข้อมูลตําแหน่งที่ตั้งของตนน บริษัทจะดําเนินการตามคําขออย่างรวดเร็วและยืนยันการลบข้อมูลให้ ผู้ใช้ทราบ สิทธิในการจํากัดและคัดค้านการประมวลผล สิทธิในการจํากัดการประมวลผล: คําอธิบาย: ผู้ใช้สามารถจํากัดการประมวลผลข้อมูลตําแหน่งที่ตั้งของตนภายใต้เงื่อนไขบางประการ ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 35 ให้สิทธิผู้ใช้ในการขอจํากัดการประมวลผล ตัวอย่าง: หากผู้ใช้ร้องขอการจํากัดชั่วคราวในการประมวลผลข้อมูลตําแหน่ง บริษัทจะอนุมัติและดําเนินการตามคําขอนั้น สิทธิในการคัดค้านการประมวลผล: คําอธิบาย: ผู้ใช้มีสิทธิในการคัดค้านการประมวลผลข้อมูลตําแหน่งของตนเพื่อวัตถุประสงค์เฉพาะ ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 34 อนุญาตให้ผู้ใช้คัดค้านการประมวลผลข้อมูลเพื่อวัตถุประสงค์เฉพาะ ตัวอย่าง: หากผู้ใช้คัดค้านการโฆษณาตามตําแหน่งบริษัทจะหยุดการประมวลผลข้อมูลตําแหน่งของผู้ใชเพื่อวัตถุประสงค์ ในการโฆษณา สิทธิในการโอนย้ายข้อมูล คําอธิบาย: ผู้ใช้มีสิทธิในการโอนย้ายข้อมูลตําแหน่งของตนไปยังผู้ควบคุมข้อมูลรายอื่น ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 36 ให้สิทธิผู้ใช้ในการโอนย้ายข้อมูล ตัวอย่าง: หากผู้ใช้ต้องการเปลี่ยนแพลตฟอร์ม บริษัทจะสนับสนุนการโอนย้ายข้อมูลตําแหน่งของผู้ใช้อย่างปลอดภัยไปยัง แพลตฟอร์มใหม่ ความรับผิดชอบของผู้ใช้ การให้ข้อมูลที่ถูกต้อง: คําอธิบาย: ผู้ใช้มีความรับผิดชอบในการให้ข้อมูลตําแหน่งที่ถูกต้องและเป็นปัจจุบัน ผู้ใช้อาจต้องรับผิดชอบต่อปัญหาที่เกิดจากการให้ข้อมูลที่ไม่ถูกต้อง ตัวอย่าง: หากผู้ใช้จงใจให้ข้อมูลตําแหน่งที่ไม่ถูกต้อง ทําให้เกิดปัญหาในการทําธุรกรรมผู้ใช้อาจต้องรับผิดชอบ การรักษาความปลอดภัย: คําอธิบาย: ผู้ใช้มีหน้าที่รับผิดชอบในการรักษาความปลอดภัยของบัญชีและข้อมูลตําแหน่งของตน ขอแนะนําให้ใช้รหัสผ่านที่แข็งแกร่งและเปลี่ยนรหัสผ่านเป็นประจํา ตัวอย่าง: หากผู้ใช้แบ่งปันรายละเอียดบัญชีของตนกับผู้อื่นและเกิดการละเมิดความปลอดภัย บริษัทจะไม่รับผิดชอบ และ ผู้ใช้จะต้องรับผิดชอบ การปฏิบัติตามนโยบายความเป็นส่วนตัว: คําอธิบาย: ผู้ใช้มีหน้าที่รับผิดชอบในการปฏิบัติตามนโยบายความเป็นส่วนตัวของบริษัท การละเมิดนโยบายเหล่านี้อาจส่งผลให้การเข้าถึงบริการถูกจํากัด ตัวอย่าง: หากผู้ใช้ละเมิดนโยบายการเก็บรวบรวมและการใช้ข้อมูลตําแหน่งของบริษัท การเข้าถึงบริการของผู้ใช้อาจถูก จํากัด ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30: รับรองสิทธิของผู้ใช้ในการเข้าถึงและจัดการข้อมูลส่วนบุคคลของ ตน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 32: ให้สิทธิในการถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 33: อนุญาตให้ผู้ใช้สามารถขอให้ลบข้อมูลส่วนบุคคลของตนได้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 34: อนุญาตให้ผู้ใช้คัดค้านการประมวลผลข้อมูลส่วนบุคคลในบาง วัตถุประสงค์ได้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 35: ให้สิทธิในการจํากัดการประมวลผลข้อมูลส่วนบุคคล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 36: ให้สิทธิในการโอนย้ายข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) และการปฏิบัติตามกฎหมาย การแต่งตั้งและบทบาทของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) การแต่งตั้ง: ขั้นตอนการแต่งตั้ง: บริษัท บาย แอนด์ เซลล์ จํากัด แต่งตั้งอย่างเป็นทางการให้ โฮยอน คิม เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 41 บันทึกอย่างเป็นทางการ: การแต่งตั้ง DPO ได้รับการบันทึกอย่างเป็นทางการในบันทึกภายในของบริษัทและอาจรายงานต่อหน่วยงาน รัฐบาลที่เกี่ยวข้อง บทบาทและความรับผิดชอบ: การพัฒนาและการดําเนินนโยบาย: DPO มีหน้าที่ในการพัฒนาและดําเนินนโยบายการคุ้มครองข้อมูลของบริษัท รวมถึงนโยบายที่เกี่ยวข้องกับข้อมูลตําแหน่งที่ตั้ง การปฏิบัติตามกฎหมาย: DPO รับรองการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยและดูแลการ ประมวลผลข้อมูลส่วนบุคคลอย่างถูกต้องตามกฎหมาย การตอบสนองต่อเหตุการณ์: ในกรณีที่เกิดการละเมิดข้อมูล DPO จะตอบสนองอย่างรวดเร็วและดําเนินมาตรการที่เหมาะสมตาม กฎหมายที่เกี่ยวข้อง การคุ้มครองสิทธิของผู้ใช้: DPO รับรองว่าผู้ใช้สามารถใช้สิทธิในการเข้าถึง แก้ไข ลบ และถอนความยินยอมสําหรับข้อมูลส่วน บุคคลของตนได้ตามที่ระบุในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย มาตรา 30 การฝึกอบรมและการสร้างความตระหนักรู้: โปรแกรมการฝึกอบรม: DPO จัดการฝึกอบรมให้กับพนักงานทุกคนของบริษัทเกี่ยวกับการคุ้มครองข้อมูลลโดยเน้นความสําคัญของความเป็นส่วนตัวของข้อมูลและการปฏิบัติตามกฎหมายและนโยบายของบริษัท การฝึกอบรมอย่างสม่ำเสมอ: มีการจัดการฝึกอบรมอย่างสม่ำเสมอเพื่อให้พนักงานได้รับข้อมูลล่าสุดเกี่ยวกับการอัปเดตกฎหมายและ นโยบาย การตรวจสอบและการตรวจประเมินการปฏิบัติตามกฎหมาย การตรวจประเมินเป็นประจํา: การตรวจสอบภายใน: เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ทําการตรวจสอบภายในเป็นประจําเพื่อประเมินการปฏิบัติตาม กฎหมายคุ้มครองข้อมูลของบริษัท ผลการตรวจสอบจะถูกรายงานต่อผู้บริหารระดับสูง และดําเนินการปรับปรุงที่จําเป็น การตรวจสอบภายนอก: อาจมีการว่าจ้างผู้เชี่ยวชาญภายนอกเพื่อประเมินความเพียงพอของนโยบายและขั้นตอนการคุ้มครองข้อมูล โดยจะมีการปรับปรุงตามผลการตรวจสอบ การปฏิบัติตามกฎหมาย: การตรวจสอบการปฏิบัติตามนโยบาย: DPO ตรวจสอบการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) และกฎระเบียบที่เกี่ยวข้องเป็นประจํา การดําเนินการแก้ไข: หากพบปัญหาการปฏิบัติตามกฎหมาย DPO จะดําเนินการแก้ไขทันที ความรับผิดชอบต่อการไม่ปฏิบัติตามกฎหมาย ความรับผิดชอบทางกฎหมาย: ค่าปรับและโทษ: การไม่ปฏิบัติตามข้อกําหนดการคุ้มครองข้อมูลอาจส่งผลให้ถูกปรับสูงสุดถึง 5 ล้านบาท ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) มาตรา 83 การละเมิดที่ร้ายแรงอาจมีโทษเพิ่มเติมตามที่กฎหมายกําหนด ความรับผิดทางอาญา: การละเมิดความเป็นส่วนตัวอย่างรุนแรงที่เกิดจากการละเมิดกฎหมายคุ้มครองข้อมูลอาจนําไปสู่การดําเนินคดีทางกฎหมายและการตั้งข้อหาอาญา ความรับผิดทางแพ่ง: การชดเชยความเสียหาย: หากผู้ใช้ได้รับความเสียหายเนื่องจากการละเมิดข้อมูล บริษัทมีหน้าที่ชดเชยความเสียหายให้กับผู้ใช้ที่ได้รับผลกระทบ ตามกฎหมายแพ่งและพาณิชย์ของไทย การคุ้มครองสิทธิของผู้ใช้: บริษัทต้องดําเนินมาตรการที่เหมาะสมเพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้ หากไม่ดําเนินการดังกล่าวอาจส่งผลให้เกิดการฟ้องร้องทางแพ่ง ความรับผิดอื่นๆ: ความเสียหายต่อชื่อเสียง: การไม่ปฏิบัติตามข้อกําหนดการคุ้มครองข้อมูลสามารถทําลายชื่อเสียงของบริษัทอย่างรุนแรง นําไปสู่การ สูญเสียความไว้วางใจจากลูกค้า ภัยคุกคามต่อความต่อเนื่องทางธุรกิจ: ปัญหาทางกฎหมายและการสูญเสียทางการเงินที่เกิดจากการไม่ปฏิบัติตามข้อกําหนดสามารถ คุกคามความต่อเนื่องทางธุรกิจของบริษัท ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) มาตรา 41: กําหนดให้มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลล (DPO) เพื่อให้มั่นใจว่ามีการปฏิบัติตามข้อกําหนดการคุ้มครองข้อมูล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) มาตรา 83: ระบุค่าปรับและบทลงโทษสําหรับการละเมิดกฎหมาย คุ้มครองข้อมูล นโยบายนี้ี้ทําให้แน่ใจว่า บริษัท Buy N Sell จํากัด ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) ของประเทศไทย เพื่อปกป้องข้อมูลตําแหน่งที่ตั้งของผู้ใช้และคุ้มครองความเป็นส่วนตัวและสิทธิของผู้ใช้ ฐานทางกฎหมายและวัตถุประสงค์ของการเก็บรวบรวม ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562: มาตรา 19: กําหนดให้ต้องได้รับความยินยอมจากผู้ใช้อย่างชัดเจนสําหรับการเก็บรวบรวมข้อมูลและต้องแจ้งวัตถุประสงค์ ขอบเขต และการใช้ข้อมูลที่เก็บรวบรวมอย่างชัดเจน มาตรา 26: ข้อมูลส่วนบุคคลต้องถูกเก็บรวบรวมอย่างถูกต้องตามกฎหมายและเป็นธรรม และไม่สามารถใช้เพื่อ วัตถุประสงค์อื่นนอกเหนือจากที่ตั้งใจไว้ในตอนแรกโดยไม่ได้รับความยินยอมจากผู้ใช้ มาตรา 28: ผู้ใช้มีสิทธิที่จะทราบวัตถุประสงค์ของการเก็บรวบรวมข้อมูล การใช้งาน ระยะเวลาการเก็บรักษา และ รายละเอียดการแบ่งปันข้อมูล วัตถุประสงค์ของการเก็บรวบรวม: ข้อมูลบัตรประชาชนถูกเก็บรวบรวมเพื่อวัตถุประสงค์เฉพาะดังต่อไปนี้: การยืนยันตัวตนของผู้ใช้: คําอธิบาย: ข้อมูลบัตรประชาชนถูกเก็บรวบรวมเพื่อยืนยันตัวตนของผู้ใชเพื่อวัตถุประสงค์ในการยืนยันตัวตน การใช้งาน: ข้อมูลบัตรประชาชนที่เก็บรวบรวมจะถูกใช้เฉพาะเพื่อยืนยันตัวตนของผู้ใช้ในระหว่างกระบวนการยืนยัน ตัวตน การเก็บรวบรวมและการใช้ข้อมูลบัตรประชาชน Information Collected: ข้อมูลที่เก็บรวบรวม: รายละเอียดบัตรประชาชน: ชื่อเต็ม, หมายเลขบัตรประชาชน, วันที่ออกบัตร, วันที่หมดอายุ, และข้อมูลอื่น ๆ ที่เกี่ยวข้อง ตามที่แสดงบนบัตรประชาชนของผู้ใช้ วิธีการเก็บรวบรวม: ระหว่างการติดตั้งแอปพลิเคชัน: คําอธิบาย: ขอความยินยอมอย่างชัดเจนในการเก็บรวบรวมข้อมูลบัตรประชาชนเมื่อมีการติดตั้งและใช้งานแอปพลิเคชัน ครั้งแรก วิธีการเก็บรวบรวม: การขออนุญาตจากผู้ใช้ในการใช้ข้อมูลบัตรประชาชนในระหว่างกระบวนการตั้งค่าเริ่มต้น การตรวจสอบที่ผู้ใช้เริ่มต้น: คําอธิบาย: ผู้ใช้สามารถให้ข้อมูลบัตรประชาชนของตนเพื่อการตรวจสอบตัวตนได้โดยสมัครใจ วิธีการเก็บรวบรวม: ผู้ใช้ส่งรายละเอียดบัตรประชาชนผ่านอินเทอร์เฟซที่ปลอดภัยของแอปพลิเคชัน การใช้งาน: การตรวจสอบตัวตนเท่านั้น: คําอธิบาย: ข้อมูลบัตรประชาชนที่เก็บรวบรวมจะใชเพื่อการตรวจสอบตัวตนของผู้ใช้เท่านั้น การกําจัดทันที: เม'ือกระบวนการตรวจสอบตัวตนเสร็จสิ้น ข้อมูลบัตรประชาชนจะถูกกําจัดทันทีและจะไม่ถูกเก็บรักษาโดย บริษัท บาย แอนด์ เซล จํากัด ตัวเลือกของผู้ใช้ การส่งข้อมูลโดยสมัครใจ: คําอธิบาย: ผู้ใช้มีตัวเลือกในการให้ข้อมูลบัตรประชาชนโดยสมัครใจ การเลือกใช้การตรวจสอบบัตรประชาชนขึ้นอยู่กับ ดุลยพินิจของผู้ใช้ทั้งหมด ไม่มีการลงโทษสําหรับการไม่ส่งข้อมูล: ผู้ใช้ที่เลือกไม่ให้ข้อมูลบัตรประชาชนเพื่อการตรวจสอบจะไม่เผชิญกับการลงโทษ หรือผลกระทบที่ไม่พึง ประสงค์ใดๆ ตัวอย่าง: ผู้ใช้ที่เลือกไม่ส่งข้อมูลบัตรประชาชนยังคงสามารถเข้าถึงบริการและคุณสมบัติทั้งหมดของแพลตฟอร์มได้โดยไม่ มีข้อจํากัดหรือข้อเสียใด ความปลอดภัยและการปกป้องข้อมูล มาตรการรักษาความปลอดภัย: การเข้ารหัส: ข้อมูลบัตรประชาชนจะถูกเข้ารหัสระหว่างการจัดเก็บและการส่งเพื่อให้มั่นใจในความปลอดภัย การควบคุมการเข้าถึง: นโยบายการควบคุมการเข้าถึงอย่างเข้มงวดถูกนํามาใช้เพื่อป้องกันการเข้าถึงข้อมูลบัตรประจําตัวโดยไม่ได้รับ อนุญาต การกําจัดทันที: เมื่อกระบวนการยืนยันตัวตนเสร็จสิ้น ข้อมูลบัตรประจําตัวจะถูกลบอย่างปลอดภัยโดยใช้ซอฟต์แวร์ลบข้อมูลเพื่อให้ แน่ใจว่าไม่สามารถกู้คืนได้ ข้อกําหนดทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย มาตรา 32: กําหนดให้มีมาตรการรักษาความปลอดภัยทางเทคนิคและ การบริหารเพื่อป้องกันการเข้าถึง การทําลาย หรือการแก้ไขข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต มาตรา 34: กําหนดให้รักษาความปลอดภัยของระบบการประมวลผลข้อมูลส่วนบุคคลและป้องกันการละเมิดที่ผิดกฎหมาย ขั้นตอนการกําจัด การกําจัดทันที: ขั้นตอน: ข้อมูลบัตรประจําตัวจะถูกกําจัดทันทีหลังจากกระบวนการยืนยันตัวตนเสร็จสิ้น วิธีการ: ใช้ซอฟต์แวร์ลบข้อมูลเพื่อการลบข้อมูลอิเล็กทรอนิกส์อย่างถาวร และเอกสารทางกายภาพจะถูกทําลายโดยใช้เครื่องทําลาย เอกสารที่ มีความปลอดภัยสูงหรือเผาในสถานที่ที่มี ความปลอดภัย การตรวจสอบและการเก็บบันทึก: การตรวจสอบการกําจัด: กิจกรรมการกําจัดจะถูกตรวจสอบโดยบุคลากรที่รับผิดชอบ ซึ่งจะรายงานต่อ DPO การเก็บบันทึก: กิจกรรมการกําจัดทั้งหมดจะถูกบันทึกและเก็บรักษาไว้อย่างน้อยสามปี บันทึกประกอบด้วยประเภทของข้อมูลที่ถูกกําจัดวันที่กําจัด วิธีการกําจัด และลายเซ็นของบุคลากรที่รับผิดชอบ สิทธิและความรับผิดชอบของผู้ใช้ สิทธิของผู้ใช้: สิทธิในการเข้าถึง: คําอธิบาย: ผู้ใช้มีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของตนเพื่อเข้าใจว่าข้อมูลนั้นถูกใช้อย่างไร ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30 ให้สิทธิผู้ใช้ในการเข้าถึงข้อมูลส่วนบุคคลของตน ตัวอย่าง: หากผู้ใช้ขอเข้าดูข้อมูลบัตรประจําตัวที่ ส่งมา บริษัทจะให้ข้อมูลนั้นหลังจากการยืนยันตัวตนที่ เหมาะสม สิทธิในการแก้ไข: คําอธิบาย: ผู้ใช้มีสิทธิในการแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้อง ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30 อนุญาตให้ผู้ใช้แก้ไขข้อมูลส่วนบุคคล ที่ไม่ถูกต้อง ตัวอย่าง: หากผู้ใช้พบข้อผิดพลาดในข้อมูลบัตรประจําตัว บริษัทจะแก้ไขข้อผิดพลาดนั้นทันทีและแจ้งให้ผู้ใช้ทราบ สิทธิในการถอนความยินยอมและการลบข้อมูล: คําอธิบาย: ผู้ใช้สามารถถอนความยินยอมในการเก็บข้อมูลบัตรประชาชนได้ตลอดเวลา. ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 32 ให้สิทธิผู้ใช้ในการถอนความยินยอม ตัวอย่าง: หากผู้ใช้ถอนความยินยอม บริษัทจะหยุดใช้ข้อมูลบัตรประชาชนของผู้ใช้ทันทีและลบข้อมูลที่เก็บไว้. ความรับผิดชอบของผู้ใช้: การให้ข้อมูลที่ถูกต้อง: คําอธิบาย: ผู้ใช้มีความรับผิดชอบในการให้ข้อมูลบัตรประชาชนที่ถูกต้องและเป็นปัจจุบัน ผู้ใช้อาจต้องรับผิดชอบต่อปัญหาที่เกิดจากการให้ข้อมูลที่ไม่ถูกต้อง ตัวอย่าง: หากผู้ใช้จงใจให้ข้อมูลบัตรประชาชนที่ไม่ถูกต้องทําให้เกิดปัญหาในการตรวจสอบผู้ใช้อาจต้องรับผิดชอบ. การรักษาความปลอดภัย: คําอธิบาย: ผู้ใช้มีความรับผิดชอบในการรักษาความปลอดภัยของข้อมูลบัตรประชาชน แนะนําให้ใช้วิธีการที่ปลอดภัยเมื่อ ส่งข้อมูลของตน. ตัวอย่าง: หากผู้ใช้แบ่งปันรายละเอียดบัตรประชาชนกับผู้อื่นและเกิดการละเมิดความปลอดภัย บริษัทจะไม่รับผิดชอบ และผู้ใช้จะต้องรับผิดชอบ. ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30: รับรองสิทธิของผู้ใช้ในการเข้าถึงและจัดการข้อมูลส่วนบุคคลของ ตน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 32: ให้สิทธิในการถอนความยินยอมในการประมวลผลข้อมูลส่วน บุคคล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 33: อนุญาตให้ผู้ใช้สามารถขอให้ลบข้อมูลส่วนบุคคลของตนได้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 34: อนุญาตให้ผู้ใช้คัดค้านการประมวลผลข้อมูลส่วนบุคคลในบาง วัตถุประสงค์ได้ นโยบายนี้ ทําให้บริษัท Buy N Sell Co., Ltd. ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) ของประเทศไทยเพื่อปกป้องข้อมูลบัตรประชาชนของผู้ใช้และคุ้มครองความเป็นส่วนตัวและสิทธิของผู้ใช้. ฐานทางกฎหมายและวัตถุประสงค์ของการเก็บรวบรวม ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562: มาตรา 19: กําหนดให้ต้องได้รับความยินยอมจากผู้ใช้อย่างชัดเจนสําหรับการเก็บรวบรวมข้อมูลและต้องแจ้งวัตถุประสงค์ ขอบเขต และการใช้ข้อมูลที่เก็บรวบรวมอย่างชัดเจน มาตรา 26: ข้อมูลส่วนบุคคลต้องถูกเก็บรวบรวมอย่างถูกต้องตามกฎหมายและเป็นธรรม และไม่สามารถใช้เพื่อ วัตถุประสงค์อื นนอกเหนือจากทตั้งใจไว้ในตอนแรกโดยไม่ได้รับความยินยอมจากผู้ใช้ มาตรา 28: ผู้ใช้มีสิทธิที่จะทราบวัตถุประสงค์ของการเก็บรวบรวมข้อมูล การใช้งาน ระยะเวลาการเก็บรักษา และ รายละเอียดการแบ่งปันข้อมูล ประมวลกฎหมายวิธีพิจากรณาคดีอาญาแห่งประเทศไทย: มาตรา 18: อนุญาตให้หน่วยงานบังคับใช้กฎหมายของข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการสืบสวนผ่านกระบวนการ ทางกฎหมาย วัตถุประสงค์ของการเก็บรวบรวม: รูปถ่ายสินค้ามือสองและเนื้อหาการสนทนาจะถูกเก็บรวบรวมเพื่อวัตถุประสงค์เฉพาะดังต่อไปนี: การแก้ไขข้อพิพาท: คําอธิบาย: ใช้เป็นหลักฐานในการแก้ไขข้อพิพาทระหว่างผู้ใช้ ตัวอย่าง: หากมีความขัดแย้งเกี่ยวกับสภาพหรือเงื อนไขที่ตกลงกันของการทําธุรกรรม รูปถ่ายและเนื้อหาการสนทนา สามารถถูกตรวจสอบเพื่อแก้ไขปัญหา การปรับปรุงบริการ: คําอธิบาย: การวิเคราะห์ข้อมูลเพื่อปรับปรุงประสบการณ์ของผู้ใช้และคุณภาพของบริการ ตัวอย่าง: ข้อเสนอแนะและเนื้อหาการสนทนาจะถูกวิเคราะห์เพื่อปรับปรุงอินเตอร์เฟซผู้ใช้และบริการสนับสนุนลูกค้า การปฏิบัติตามกฎหมาย: คําอธิบาย: การเก็บรักษาข้อมูลเพื่อปฏิบัติตามข้อกําหนดทางกฎหมายและตอบสนองต่อปัญหาทางกฎหมาย ตัวอย่าง: การให้ข้อมูลที่จําเป็นแก่หน่วยงานบังคับใช้กฎหมายเมื่อมีการร้องขอเพื่อวัตถุประสงค์ในการสืบสวน การเก็บรวบรวมและการเก็บรักษาข้อมูล Information Collected: ข้อมูลที่เก็บรวบรวม: รูปถ่ายสินค้ามือสอง: รูปถ่ายทั้งหมดที่ผู้ใช้อัปโหลดเพื่อการทําธุรกรรม เนื้อหาการสนทนา: บันทึกการสนทนาทั้งหมดระหว่างผู้ใช้. วิธีการเก็บรวบรวม: การอัปโหลดรูปภาพ: คําอธิบาย: รวบรวมเมื่อผู้ใช้อัปโหลดรูปภาพสําหรับการทําธุรกรรมสินค้ามือสอง. วิธีการรวบรวม: ผู้ใช้อัปโหลดรูปภาพโดยตรงผ่านแอปพลิเคชัน. บันทึกการสนทนา: คําอธิบาย: รวบรวมผ่านฟังก์ชันการสนทนาของแอปพลิเคชัน. วิธีการรวบรวม: เนื้อหาการสนทนาทั้งหมดถูกจัดเก็บแบบเรียลไทม์บนเซิร์ฟเวอร์. การเก็บรักษาและการป้องกันข้อมูล ระยะเวลาในการเก็บรักษา: หลักการเก็บรักษาขั้นต่ำ: รูปภาพและเนื้อหาการสนทนาจะถูกเก็บรักษาเฉพาะในช่วงเวลาที่จําเป็นเพื่อให้บรรลุวัตถุประสงค์ในการ รวบรวมหรือเป็นไปตามข้อกําหนดทางกฎหมาย. ระยะเวลาในการเก็บรักษา: ข้อมูลมักจะถูกเก็บรักษาเป็นเวลาหนึ่งปี. อย่างไรก็ตาม ระยะเวลาอาจขยายออกไปตามข้อกําหนดทาง กฎหมายหรือคําขอของผู้ใช้. การตรวจสอบเป็นประจํา: DPO ตรวจสอบระยะเวลาในการเก็บรักษาข้อมูลเป็นประจําและกําจัดข้อมูลที่ไม่จําเป็นทันที. การปฏิบัติตามกฎหมาย: เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) มาตรา 37 บริษัทจะ ปฏิบัติตามระยะเวลาการเก็บรักษาที่กฎหมายกําหนดและกําจัดข้อมูลส่วนบุคคลอย่างปลอดภัยหลังจากระยะเวลาดังกล่าว วิธีการจัดเก็บ: การจัดเก็บแบบเข้ารหัส: รูปภาพและเนื้อหาการสนทนาจะถูกจัดเก็บอย่างปลอดภัยโดยใช้เทคโนโลยีการเข้ารหัสล่าสุด ความปลอดภัยทางกายภาพ: เซิร์ฟเวอรที่จัดเก็บข้อมูลตั้งอยู่ในพื้นที่ที่มีการควบคุมการเข้าถึงและมีกล้องวงจรปิดและระบบควบคุม การเข้าถึง การควบคุมการเข้าถึง: การเข้าถึงข้อมูลจํากัดเฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้น และการเข้าถึงทั้งหมดจะถูกบันทึกและตรวจสอบ เป็นประจํา ขั้นตอนการจัดหาและการกําจัดข้อมูล คําขอจากผู้ใช้: คําอธิบาย: ข้อมูลสามารถจัดหาได้ตามคําขอของผู้ใชเพื่อแก้ไขข้อพิพาทระหว่างผู้ใช้ ตัวอย่าง: ในกรณีที่มีข้อพิพาทเกี่ยวกับสภาพของสินค้าที่ทําการซื้อขาย ตามคําขอของผู้ใช้ สามารถจัดหาภาพถ่ายและเนื้อหาการ สนทนาที่เกี่ยวข้องกับการซื้อขายเพื่อช่วยในการแก้ไขข้อพิพาท คําขอทางกฎหมาย: คําอธิบาย: ข้อมูลสามารถจัดหาได้ตามคําขอจากหน่วยงานบังคับใช้กฎหมายของไทยหรือหน่วยงานตุลาการเพื่อวัตถุประสงค์ในการ สืบสวน ฐานทางกฎหมาย: ตามประมวลกฎหมายวิธีพิจารณาคดีอาญาของประเทศไทย มาตรา 18 ข้อมูลส่วนบุคคลสามารถจัดหาไดเพื่อ วัตถุประสงค์ในการสืบสวนตามกระบวนการทางกฎหมาย ตัวอย่าง: หากตํารวจขอบันทึกการสนทนาเพื่อการสืบสวนผ่านหมายศาล ข้อมูลที่จําเป็นจะถูกจัดหาให้ ขั้นตอนการกําจัด: การกําจัดทันที: ข้อมูลจะถูกกําจัดทันทีหลังจากวัตถุประสงค์ของการเก็บรวบรวมเสร็จสิ้นหรือเมื่อผู้ใช้ถอนความยินยอม การทําลายที่ไม่สามารถกู้คืนได้: ข้อมูลทั้งหมดจะถูกทําลายโดยใช้วิธีที่ป้องกันการกู้คืน ไฟล์อิเล็กทรอนิกส์จะถูกลบอย่างถาวร และ เอกสารกระดาษจะถูกทําลายหรือเผาทิ้ง ไฟล์อิเล็กทรอนิกส์: ลบอย่างถาวรโดยใช้ซอฟต์แวร์ลบข้อมูล เอกสารกระดาษ: ทําลายโดยใช้เครื่องทําลายเอกสารที่มีความปลอดภัยสูงหรือเผาในสถานที่ที่ปลอดภัย การตรวจสอบและบันทึกการกําจัด: การตรวจสอบการกําจัด: กิจกรรมการกําจัดจะถูกตรวจสอบโดยบุคลากรที่รับผิดชอบ ซึ่งจะรายงานต่อ DPO การเก็บบันทึก: กิจกรรมการกําจัดทั้งหมดจะถูกบันทึกและเก็บรักษาไว้อย่างน้อยสามปี บันทึกประกอบด้วยประเภทของข้อมูลที่ถูก กําจัด วันที่กําจัด วิธีการกําจัด และลายเซ็นของบุคลากรที่รับผิดชอบ สิทธิและความรับผิดชอบของผู้ใช้ สิทธิของผู้ใช้: สิทธิในการเข้าถึง: คําอธิบาย: ผู้ใช้มีสิทธิ เข้าถึงรูปภาพและเนื้อหาการสนทนาของตนเพื่อเข้าใจว่าข้อมูลของตนถูกใช้อย่างไร ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30 ให้สิทธิผู้ใช้ในการเข้าถึงข้อมูลส่วน บุคคลของตน ตัวอย่าง: หากผู้ใช้ขอเนื้อหาการสนทนาของตน บริษัทจะให้หลังจากการยืนยันตัวตนที่เหมาะสม สิทธิในการแก้ไข: คําอธิบาย: ผู้ใช้มีสิทธิ แก้ไขข้อมูลที่ไม่ถูกต้อง ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30 อนุญาตให้ผู้ใช้แก้ไขข้อมูลส่วนบุคคล ที่ไม่ถูกต้อง ตัวอย่าง: หากผู้ใช้พบข้อผิดพลาดในเนื้อหาการสนทนาของตน บริษัทจะแก้ไขทันทีและแจ้งให้ผู้ใช้ทราบ สิทธิในการถอนความยินยอมและการลบข้อมูล: คําอธิบาย: ผู้ใช้สามารถถอนความยินยอมในการเก็บรวบรวมและใช้ข้อมูลได้ตลอดเวลา ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 32 ให้สิทธิผู้ใช้ในการถอนความยินยอม ตัวอย่าง: หากผู้ใช้ถอนความยินยอม บริษัทจะหยุดการเก็บรวบรวมข้อมูลของตนทันทีและลบข้อมูลที่เก็บไว้ ความรับผิดชอบของผู้ใช้: การให้ข้อมูลที่ถูกต้อง: คําอธิบาย: ผู้ใช้มีหน้าที่ให้ข้อมูลรูปภาพและเนื้อหาการสนทนาที่ถูกต้องและเป็นปัจจุบัน ผู้ใช้อาจต้องรับผิดชอบต่อปัญหา ที่เกิดจากการให้ข้อมูลที่ไม่ถูกต้อง ตัวอย่าง: หากผู้ใช้จงใจให้รูปภาพที่ทําให้เข้าใจผิดเกี่ยวกับสินค้ามือสอง ทําให้เกิดปัญหาในการทําธุรกรรม ผู้ใช้อาจต้อง รับผิดชอบ การรักษาความปลอดภัย: คําอธิบาย: ผู้ใช้มีหน้าที่รักษาความปลอดภัยของบัญชีและข้อมูลของตน พวกเขาควรใช้รหัสผ่านที่แข็งแรงและเปลี่ยนรหัสผ่านเป็นประจํา ตัวอย่าง: หากผู้ใช้แบ่งปันรายละเอียดบัญชีของตนกับผูอื่นและเกิดการละเมิดความปลอดภัย บริษัทจะไม่รับผิดชอบ และ ผู้ใช้จะต้องรับผิดชอบ ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30: รับรองสิทธิของผู้ใช้ในการเข้าถึงและจัดการข้อมูลส่วนบุคคลของ ตน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 32: ให้สิทธิในการถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 33: อนุญาตให้ผู้ใช้สามารถขอให้ลบข้อมูลส่วนบุคคลของตนได้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 34: อนุญาตให้ผู้ใช้คัดค้านการประมวลผลข้อมูลส่วนบุคคลในบาง วัตถุประสงค์ได้ ประมวลกฎหมายอาญาแห่งประเทศไทย มาตรา 18: อนุญาตให้หน่วยงานบังคับใช้กฎหมายขอข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ใน การสืบสวนสอบสวนผ่านกระบวนการ ทางกฎหมาย นโยบายนี้ทําให้มั่นใจว่า บริษัท บาย แอนด์ เซลล์ จํากัด ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และประมวลกฎหมายอาญาแห่งประเทศไทย เพื่อปกป้องภาพถ่ายสินค้ามือสองและเนื้อหาการสนทนาของผู้ใช้และคุ้มครองความเป็นส่วนตัวและสิทธิของผู้ใช้ ฐานทางกฎหมายและวัตถุประสงค์ ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562: มาตรา 37: กําหนดให้มีมาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลจากการเข้าถึงโดยไม่ได้รับ อนุญาต การทําลาย การเปลี่ยนแปลง หรือการเปิดเผย และเพื่อจัดการกับเหตุการณ์ต่างๆ อย่างทันท่วงที มาตรา 41: กําหนดให้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) เพื่อดูแลกลยุทธ์การคุ้มครองข้อมูลและให้แน่ใจว่าปฏิบัติตาม PDPA มาตรา 83: ระบุบทลงโทษสําหรับการไม่ปฏิบัติตามข้อกําหนดการคุ้มครองข้อมูล รวมถึงการปรับและความรับผิดทาง อาญาที่อาจเกิดขึ้น วัตถุประสงค์: วัตถุประสงค์ของข้อบังคับนี คือการกําหนดบทบาท ความรับผิดชอบ และสิทธิ การเข้าถึงของบุคลากรที่ได้รับอนุญาตให้จัดการข้อมูลส่วนบุคคลเพื่อให้มั่นใจในความปลอดภัยของข้อมูลและ การปฏิบัติตามข้อกําหนดทางกฎหมาย การแต่งตั้งบุคลากรที่ได้รับอนุญาต เจ้าหน้าที่คุ้มครองข้อมูล (DPO): การแต่งตั้ง: โฮยอน คิม ได้รับการแต่งตั้งเป็นเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ของบริษัท บาย แอนด์ เซลล์ จํากัด หน้าที่ความรับผิดชอบ: การดําเนินนโยบาย: พัฒนาและดําเนินนโยบายคุ้มครองข้อมูลให้สอดคล้องกับกฎหมายไทยและมาตรฐานของบริษัท การตรวจสอบการปฏิบัติตาม: ตรวจสอบให้แน่ใจว่ามีการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของ ประเทศไทยและ กฎระเบียบที่เกี่ยวข้องอย่างต่อเนื่อง การตอบสนองต่อเหตุการณ์: ดูแลการตอบสนองต่อการละเมิดข้อมูลและดําเนินการแก้ไขที่เหมาะสม การฝึกอบรมและการสร้างความตระหนัก: จัดการฝึกอบรมเป็นประจําสําหรับพนักงานเกี่ยวกับแนวปฏิบัติที่ดีที่สุดในการ คุ้มครองข้อมูลและความเป็นส่วนตัว การจัดตั้งและการจัดการทีม: จัดตั้งและจัดการทีม หากจําเป็น เพื่อจัดการงานการเก็บรวบรวม จัดเก็บ และกําจัดข้อมูล อย่างมีประสิทธิภาพ บุคลากรที่ได้รับอนุญาต: การแต่งตั้ง: พนักงานเฉพาะที่ได้รับอนุญาตจาก DPO ให้เข้าถึงข้อมูลส่วนบุคคลตามบทบาทและหน้าที่ของพวกเขา หน้าที่ความรับผิดชอบ: การจัดการข้อมูล: เข้าถึงและจัดการข้อมูลส่วนบุคคลภายในขอบเขตที่จําเป็นตามหน้าที่งานของพวกเขา การรักษาความลับ: รักษาความลับของข้อมูลส่วนบุคคลและหลีกเลี้ยงการเปิดเผยที่ไม่ได้รับอนุญาต แนวปฏิบัติด้านความปลอดภัย: ปฏิบัติตามโปรโตคอลความปลอดภัยที่กําหนดเพื่อปกป้องข้อมูลส่วนบุคคลจากการ เข้าถึงการเปิดเผยหรือการละเมิดโดยไม่ได้รับอนุญาต การควบคุมและการจัดการการเข้าถึง สิทธิ การเข้าถึง: หลักการของสิทธิ น้อยที่สุด: การเข้าถึงข้อมูลส่วนบุคคลจะได้รับอนุญาตตามความจําเป็นเท่านั้น เพื่อให้แน่ใจว่าพนักงานมีสิทธิ เข้าถึงขั้นต่ำที่จําเป็นในการปฏิบัติหน้าที่ของตน ระดับการเข้าถึง: การเข้าถึงแบบอ่านอย่างเดียว: มอบให้กับพนักงานที่ต้องการดูข้อมูลส่วนบุคคลแต่ไม่จําเป็นต้องมีความสามารถในการแก้ไข การเข้าถึงแบบอ่าน-เขียน: มอบให้กับพนักงานที่ต้องการแก้ไขหรืออัปเดตข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของความรับผิดชอบในงาน กระบวนการอนุญาต: การขอและการอนุมัติ: คําขอการเข้าถึงต้องถูกส่งไปยัง DPO ซึ่งจะประเมินความจําเป็นและอนุมัติการเข้าถึงตามข้อกําหนดของงาน การทบทวนการเข้าถึง: การทบทวนสิทธิ การเข้าถึงเป็นประจําเพื่อให้แน่ใจว่าเฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้นที่ยังคงมีสิทธิเข้าถึงข้อมูลส่วนบุคคล สิทธิการเข้าถึงจะถูกเพิกถอนทันทีเมื่อมีการเปลี่ยนแปลงบทบาทงานหรือการสิ้นสุดการจ้างงาน การบันทึกและการตรวจสอบ: บันทึกการตรวจสอบ: การเข้าถึงข้อมูลส่วนบุคคลทั้งหมดจะถูกบันทึกรวมถึงวันที่เวลารหัสผู้ใช้และวัตถุประสงค์ของการเข้าถึง การตรวจสอบ: เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ตรวจสอบบันทึกการเข้าถึงเป็นประจําเพื่อค้นหาและตรวจสอบการเข้าถึงที่ไม่ได้รับอนุญาตหรือมีความสงสัย มาตรการรักษาความปลอดภัย มาตรการทางเทคนิค: การเข้ารหัส: ข้อมูลส่วนบุคคลทั้งหมดจะถูกเข้ารหัสระหว่างการจัดเก็บและการส่งเพื่อป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต การยืนยันตัวตนหลายปัจจัย (MFA): ใช้สําหรับระบบทั้งหมดที่เข้าถึงข้อมูลส่วนบุคคลเพื่อเพิ่มความปลอดภัย การตรวจสอบความปลอดภัยเป็นประจํา: ดําเนินการเพื่อระบุช่องโหว่และรับรองความแข็งแกร่งของมาตรการรักษาความปลอดภัย มาตรการทางองค์กร: การฝึกอบรมและการสร้างความตระหนัก: โปรแกรมการฝึกอบรมเป็นประจําสําหรับพนักงานทุกคนเกี่ยวกับหลักการคุ้มครองข้อมูลข้อผูกพันทางกฎหมายและแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัย แผนการตอบสนองต่อเหตุการณ์: กําหนดโปรโตคอลสําหรับการตอบสนองต่อการละเมิดข้อมูล รวมถึงการควบคุมทันที่การแจ้งเตือนและขั้นตอนการแก้ไข บทบาทและความรับผิดชอบของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ความรับผิดชอบของ DPO: การพัฒนานโยบาย: พัฒนานโยบายการคุ้มครองข้อมูลที่ครอบคลุมและรับรองการดําเนินการตามนโยบาย การตรวจสอบการปฏิบัติตาม: ตรวจสอบการปฏิบัติตาม PDPA และกฎหมายที่เกี่ยวข้องอย่างต่อเนื่อง การจัดการเหตุการณ์: นําการตอบสนองต่อการละเมิดข้อมูลและรับรองการดําเนินการแก้ไขที่เหมาะสม การฝึกอบรม: จัดให้มีการฝึกอบรมและอัปเดตอย่างต่อเนื่องให้กับพนักงานเกี่ยวกับนโยบายและขั้นตอนการปกป้องข้อมูล การจัดตั้งและการจัดการทีม: จัดตั้งและจัดการทีมหากจําเป็น เพื่อจัดการงานการเก็บรวบรวมจัดเก็บและกําจัดข้อมูลอย่างมีประสิทธิภาพ การรายงาน: การรายงานภายใน: รายงานสถานะกิจกรรมการปกป้องข้อมูล ปัญหาการปฏิบัติตามข้อกําหนดและเหตุการณ์ต่างๆให้กับผู้บริหารระดับสูงเป็นประจํา การรายงานภายนอก: ติดต่อกับหน่วยงานกํากับดูแลตามที่กฎหมายกําหนดรวมถึงการรายงานการละเมิดข้อมูลและการตรวจสอบการปฏิบัติตามข้อกําหนด ความรับผิดทางแพ่งและอาญา: ความรับผิดทางแพ่ง: หากเจ้าหน้าที่คุ้มครองข้อมูลละเลยหน้าที่ของตนส่งผลให้เกิดการละเมิดข้อมูลหรือการละเมิดข้อกําหนดพวกเขาอาจต้องรับผิดทางแพ่งตามมาตรา 83 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บุคคลที่ได้รับผลกระทบ อาจเรียกร้องค่าชดเชยความเสียหาย ความรับผิดทางอาญา: การละเมิดกฎหมายคุ้มครองข้อมูลอย่างร้ายแรงอาจส่งผลให้ต้องรับผิดทางอาญา รวมถึงค่าปรับสูงสุด 5 ล้านบาทหรือจําคุก ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37: กําหนดให้มีมาตรการรักษาความปลอดภัยเพื่อปกป้องข้อมูลส่วน บุคคล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 41: กําหนดให้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 83: กําหนดบทลงโทษสําหรับการไม่ปฏิบัติตาม. ตัวอย่าง: สถานการณ์: พนักงานที่มีสิทธิ อ่าน-เขียนค้นพบการละเมิดข้อมูลที่อาจเกิดขึ้น การกระทํา: พนักงานรายงานเหตุการณ์ทันทีต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO). การตอบสนองของ DPO: ฮอยอน คิม เริ มแผนตอบสนองเหตุการณ์ โดยควบคุมการละเมิด แจ้งผู้ใช้ที่ได้รับผลกระทบและ หน่วยงาน กํากับดูแล และดําเนินการตรวจสอบหลังเหตุการณ์เพื่อป้องกันการเกิดขึ้นในอนาคต นโยบายนี้ทําให้บริษัท บาย แอนด์ เซลล์ จํากัด ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 การปกป้องข้อมูลส่วนบุคคลของผู้ใช้ด้วยการกําหนดข้อบังคับที่ชัดเจนสําหรับบุคลากรที่ได้รับอนุญาตให้เข้าถึงข้อมูลดังกล่าว ฐานทางกฎหมายและวัตถุประสงค์ ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562: มาตรา 37: กําหนดให้มีมาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลจากการเข้าถึง การทําลาย การแก้ไข หรือการเปิดเผยโดยไม่ได้รับอนุญาต และกําหนดมาตรการสําหรับการตอบสนองเหตุการณ์. มาตรา 41: กําหนดให้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) เพื่อดูแลกลยุทธ์การคุ้มครองข้อมูลและให้แน่ใจว่าปฏิบัติ ตาม PDPA มาตรา 82: กําหนดข้อกําหนดในการแจ้งให้เจ้าของข้อมูลและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ทราบใน กรณีที่เกิดการละเมิดข้อมูล. วัตถุประสงค์ วัตถุประสงค์ของบทความนี้คือการกําหนดมาตรการที่ครอบคลุมเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลและขั้นตอนที่ละเอียดในการตอบสนองต่อเหตุการณ์อย่างมีประสิทธิภาพเพื่อให้เป็นไปตามกฎหมายไทยและปกป้องสิทธิของบุคคล. มาตรการป้องกันการละเมิดข้อมูลส่วนบุคคล มาตรการทางเทคนิค: การเข้ารหัส: เข้ารหัสข้อมูลส่วนบุคคลทั้งหมดระหว่างการส่งและการจัดเก็บเพื่อให้แน่ใจว่ามีการป้องกัน การควบคุมการเข้าถึง: ใช้การยืนยันตัวตนหลายปัจจัย (MFA) สําหรับระบบที่จัดการข้อมูลส่วนบุคคลและบังคับใช้ขั้นตอนการควบคุมการเข้าถึงที่เข้มงวดเพื่อจํากัดการเข้าถึงเฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้น การตรวจสอบความปลอดภัยเป็นประจํา: ดําเนินการตรวจสอบความปลอดภัยและการประเมินช่องโหว่เป็นประจําเพื่อระบุและแก้ไขจุดอ่อนด้านความปลอดภัยที่อาจเกิดขึ้น ระบบการตรวจสอบอัตโนมัติ: ใช้ระบบอัตโนมัติเพื่อตรวจสอบกิจกรรมที่ผิดปกติหรือความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาต พร้อมการแจ้งเตือนแบบเรียลไทม์ไปยังทีมรักษาความปลอดภัย มาตรการทางองค์กร: การฝึกอบรมการปกป้องข้อมูลจัดการฝึกอบรมเป็นประจําสําหรับพนักงานทุกคนเกี่ยวกับนโยบายขั้นตอน และ แนวปฏิบัติที่ดีที่สุด ในการปกป้องข้อมูล. นโยบายการจัดการข้อมูลที่ชัดเจน: กําหนดและบังคับใช้นโยบายที่ชัดเจนเกี่ยวกับการจัดการ การจัดเก็บ และการกําจัดข้อมูลส่วน บุคคล ทีมตอบสนองต่อเหตุการณ์: จัดตั้งทีมตอบสนองต่อเหตุการณ์ที่นําโดย DPO โดยมีบทบาทและความรับผิดชอบที่ชัดเจนในการ จัดการการละเมิดข้อมูล มาตรการทางกายภาพ: การเข้าถึงทางกายภาพที่ปลอดภัย: จํากัดการเข้าถึงทางกายภาพไปยังเซิร์ฟเวอร์และสถานที่จัดเก็บข้อมูลให้เฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้น ระบบเฝ้าระวัง: ติดตั้งระบบเฝ้าระวังเพื่อเฝ้าติดตามและบันทึกการเข้าถึงพื้นที่จัดเก็บข้อมูล การทําลายข้อมูล: รับรองการทําลายเอกสารทางกายภาพที่มีข้อมูลส่วนบุคคลอย่างปลอดภัย โดยใช้การทําลายด้วยเครื่องย่อยหรือ การเผา ขั้นตอนการตอบสนองต่อเหตุการณ์ การตอบสนองทันที: การควบคุม: ควบคุมการละเมิดทันทีเพื่อป้องกันการเข้าถึงหรือการสูญเสียข้อมูลโดยไม่ได้รับอนุญาตเพิ่มเติม ตัดการเชื่อมต่อระบบที่ได้รับผลกระทบจากเครือข่ายหากจําเป็น การประเมิน: ประเมินขอบเขตและผลกระทบของการละเมิดอย่างรวดเร็ว รวมถึงการระบุประเภทของข้อมูลที่ถูกละเมิดและจํานวนบุคคลที่ได้รับผลกระทบ การแจ้งเตือน: แจ้งทีมตอบสนองต่อเหตุการณ์และผู้บริหารระดับสูงเกี่ยวกับการละเมิด เริ่มแผนการตอบสนองต่อเหตุการณ์ ขั้นตอนการแจ้งเตือน: การแจ้งเตือนภายใน: แจ้ง DPO และผู้มีส่วนได้ส่วนเสียภายในที่เกี่ยวข้องภายในบริษัท การแจ้งเตือนภายนอก: แจ้งสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ภายใน 72 ชั่วโมงหลังจากทราบถึงการ ละเมิด ข้อมูลการติดต่อ PDPC: เว็บไซต์: https://www.pdpc.or.th โทรศัพท์: +66-2-142-1033 อีเมล: pdpc@mdes.or.th บุคคลที่ได้รับผลกระทบ: แจ้งบุคคลที่ได้รับผลกระทบโดยไม่ล่าช้า โดยให้ข้อมูลเกี่ยวกับลักษณะของการละเมิด ผลกระทบที่อาจเกิดขึ้น และขั้นตอนที่พวกเขาสามารถดําเนินการเพื่อลดความเสียหาย แผนการตอบสนองโดยละเอียด: การตรวจจับและรายงาน: ตรวจจับการละเมิดผ่านระบบการตรวจสอบหรือการรายงานภายใน รายงานการละเมิดทันทีต่อ DPO และทีมตอบสนองเหตุการณ์ การกักกันและการกําจัด: กักกันการละเมิดโดยการแยกระบบที่ได้รับผลกระทบ กําจัดสาเหตุของการละเมิดโดยการระบุและลบมัลแวร์ แก้ไขช่องโหว่ เป็นต้น การประเมินผลกระทบ: ประเมินขอบเขตและผลกระทบของการละเมิด รวมถึงประเภทข้อมูลและบุคคลที่ได้รับผลกระทบ บันทึกผลการประเมินและการดําเนินการทั้งหมดที่ดําเนินการในระหว่างการประเมิน การแจ้งเตือนและการสื่อสาร: แจ้ง PDPC และบุคคลที่ได้รับผลกระทบตามข้อกําหนดทางกฎหมาย เตรียมและแจกจ่ายแถลงการณ์สาธารณะหากจําเป็น เพื่อรักษาความโปร่งใสและความไว้วางใจ การฟื้นฟูและการแก้ไข: กู้คืนระบบและข้อมูลที่ถูกบุกรุก เพื่อให้มั่นใจว่าระบบกลับมามีความปลอดภัยและสามารถใช้งานได้ ดําเนินการแก้ไขเพื่อป้องกันการบุกรุกในอนาคต การทบทวนหลังเหตุการณ์: ดําเนินการทบทวนหลังเหตุการณ์อย่างละเอียดเพื่อระบุบทเรียนที่ได้รับและปรับปรุงกลยุทธ์การตอบสนอง ปรับปรุงนโยบายและขั้นตอนตามผลการทบทวน ความรับผิดชอบและความรับผิด: ความรับผิดชอบของ DPO: รับรองการดําเนินการตามแผนตอบสนองเหตุการณ์อย่างทันท่วงทีและมีประสิทธิภาพ ประสานงานการเสื่อสารกับหน่วยงานกํากับดูแลและบุคคลที่ได้รับผลกระทบ ดูแลการแก้ไขปัญหาและการทบทวนหลังเหตุการณ์ ความรับผิดชอบของพนักงาน: ปฏิบัติตามระเบียบที่กําหนดในการรายงานและตอบสนองต่อการบุกรุก เข้าร่วมโปรแกรมการฝึกอบรมและการสร้างความตระหนัก นําแนวปฏิบัติด้านความปลอดภัยที่แนะนํามาใช้ในกิจกรรมประจําวัน ความรับผิดทางแพ่งและอาญา: ความรับผิดทางแพ่ง: การไม่ป้องกันหรือไม่ตอบสนองต่อการบุกรุกข้อมูลอย่างเหมาะสมอาจส่งผลให้เกิดความรับผิดทาง แพ่งภายใต้มาตรา 83 ของ PDPA โดยบุคคลที่ได้รับผลกระทบมีสิทธิเรียกร้องค่าชดเชย ความรับผิดทางอาญา: การละเมิดกฎหมายคุ้มครองข้อมูลอย่างร้ายแรงอาจส่งผลให้เกิดโทษทางอาญา รวมถึงค่าปรับ สูงสุด 5 ล้านบาทหรือจําคุก 3.5 การป้องกันความเสียหายทุติยภูมิ: การตรวจสอบ: ตรวจสอบอย่างต่อเนื่องเพื่อหาสัญญาณของการละเมิดซ้ำหรือการใช้ข้อมูลที่ถูกละเมิดในทางที่ผิด การสนับสนุนบุคคลที่ได้รับผลกระทบ: ให้คําแนะนําและการสนับสนุนแก่บุคคลที่ได้รับผลกระทบเกี่ยวกับวิธีการป้องกันตนเองจาก การฉ้อโกงหรือการขโมยข้อมูลส่วนบุคคล การเสริมสร้างมาตรการความปลอดภัย: เพิ่มมาตรการและโปรโตคอลความปลอดภัยเพื่อป้องกันการเกิดเหตุการณ์ที่คล้ายกันอีก โปรโตคอลการตอบสนองต่อการละเมิดข้อมูลของ PDPC คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ของประเทศไทยได้กําหนดโปรโตคอลที่ชัดเจนสําหรับการตอบสนองต่อการละเมิดข้อมูล โปรโตคอลนี ประกอบด้วยขั้นตอนดังต่อไปนี้: การตอบสนองเบื้องต้น: การรายงาน: รายงานการละเมิดไปยัง PDPC ทันทีที่ทราบการรายงานต้องทําภายใน 72 ชั่วโมงหลังจากพบการละเมิด ข้อมูลการติดต่อ PDPC: เว็บไซต์: https://www.pdpc.or.th โทรศัพท์: +66-2-142-1033 อีเมล: pdpc@mdes.or.th เนื้อหา: การรายงานต้องรวมข้อมูลรายละเอียดเกี่ยวกับลักษณะของการละเมิด ประเภทของข้อมูลที่ได้รับผลกระทบ สาเหตุของการ ละเมิด และการตอบสนองเบื้องต้นที่ได้ดําเนินการ การสืบสวนเหตุการณ์: การสืบสวนของ PDPC: PDPC จะสืบสวนการละเมิดที่รายงานเพื่อหาสาเหตุและผลกระทบ อาจมีการขอข้อมูลเพิ่มเติมตามความ จําเป็น ความร่วมมือในการสืบสวน: บริษัทต้องให้ความร่วมมืออย่างเต็มที่กับการสืบสวนของ PDPC และให้ข้อมูลที่จําเป็นทั้งหมด การตอบสนองต่อเหตุการณ์: การแจ้งเตือนบุคคลที่ได้รับผลกระทบ: ปฏิบัติตามแนวทางของ PDPC เพื่อแจ้งเตือนบุคคลที่ได้รับผลกระทบเกี่ยวกับการละเมิด โดยให้ข้อมูลเกี่ยวกับการลดความเสียหาย การดําเนินการแก้ไข: ดําเนินการแก้ไขตามที่ PDPC แนะนําเพื่อกําจัดสาเหตุของการละเมิดและป้องกันเหตุการณ์ในอนาคต การดําเนินการติดตามผล: การส่งรายงานสุดท้าย: ส่งรายงานสุดท้ายไปยัง PDPC โดยมีรายละเอียดเกี่ยวกับสาเหตุของการละเมิด ประเภทและขอบเขตของ ข้อมูลที่ได้รับผลกระทบ การตอบสนอง การดําเนินการแก้ไข และแผนการป้องกันการละเมิดในอนาคต เนื้อหารายงาน: การวิเคราะห์สาเหตุรากฐานของการละเมิด ประเภทและขอบเขตของข้อมูลที่ได้รับผลกระทบ คําอธิบายรายละเอียดของการตอบสนองและการดําเนินการแก้ไข แผนการป้องกันในอนาคต การตรวจสอบของ PDPC: PDPC จะตรวจสอบรายงานที่ส่งมาเพื่อประเมินความเพียงพอของการตอบสนองและการดําเนินการแก้ไข อาจต้องมีมาตรการเพิ่มเติมหรือการปรับปรุง ข้อเสนอแนะของ PDPC: PDPC จะให้ข้อเสนอแนะและอาจขอให้มีมาตรการเพิ่มเติมหรือการปรับปรุงหากจําเป็น การตรวจสอบภายใน: ดําเนินการตรวจสอบภายในเพื่อประเมินประสิทธิภาพของกระบวนการตอบสนองต่อเหตุการณ์และการดำเเนินการแก้ไข ผลการตรวจสอบ: ใช้ผลการตรวจสอบภายในเพื่อระบุพื้นที่ที่ต้องปรับปรุงในนโยบายและขั้นตอนเพื่อประสิทธิภาพในการตอบสนองต่อเหตุการณ์ในอนาคต การปรับปรุงอย่างต่อเนื่อง: นําข้อเสนอแนะจาก PDPC และผลการตรวจสอบภายในมาใช้เพื่อปรับปรุงนโยบายการ ปกป้องข้อมูลและขั้นตอนการตอบสนองต่อเหตุการณ์อย่างต่อเนื่อง ความรับผิดชอบทางกฎหมาย: ความรับผิดชอบทางแพ่ง: บุคคลที่ได้รับผลกระทบสามารถเรียกร้องค่าชดเชยสําหรับความเสียหายที่เกิดจากการละเมิดข้อมูลตาม มาตรา 83 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ความรับผิดชอบทางอาญา: การละเมิดกฎหมายคุ้มครองข้อมูลอย่างรุนแรงอาจส่งผลให้มีโทษทางอาญา รวมถึงค่าปรับสูงสุด 5 ล้านบาทหรือจําคุก มาตรการต่อเนื่องสําหรับ Buy N Sell และ DPO (ฮโยยอน คิม) กิจกรรมการปฏิบัติตามกฎหมาย: การตรวจสอบภายในอย่างสม่ำเสมอ: DPO ควรดําเนินการตรวจสอบภายในอย่างสม่ำเสมอเพื่อให้แน่ใจว่ามีการปฏิบัติตามนโยบายและขั้นตอนการปกป้องข้อมูลระบุและแก้ไขช่องโหว่ที่อาจเกิดขึ้น โปรแกรมการฝึกอบรมอย่างต่อเนื่อง: จัดให้มีการฝึกอบรมอย่างต่อเนื่องแก่พนักงานทุกคนเกี่ยวกับแนวปฏิบัติที่ดีที่สุดในการปกป้องข้อมูลและการตระหนักรู้เรื่องความเป็นส่วนตัวเพื่อเพิ่มการปฏิบัติตามและการตระหนักรู้ การอัปเดตนโยบาย: อัปเดตนโยบายและขั้นตอนการปกป้องข้อมูลอย่างสม่ำเสมอเพื่อสะท้อนถึงการเปลี่ยนแปลงในกฎระเบียบและภัยคุกคามด้านความปลอดภัยที่เกิดขึ้นใหม่ ความรับผิดชอบเพิ่มเติมของ DPO: การประเมินและจัดการความเสี่ยง: ดําเนินการประเมินความเสี่ยงเป็นประจําเพื่อระบุและจัดการความเสี่ยงที่อาจเกิดขึ้นเกี่ยวกับ การปกป้องข้อมูล การตอบสนองต่อการตรวจสอบภายนอก: เตรียมพร้อมที่จะตอบสนองต่อคําขอจากหน่วยงานกํากับดูแลหรือบริษัทตรวจสอบภายนอกโดยการรักษาเอกสารที่จําเป็นและให้ข้อมูล การเสริมสร้างโครงสร้างพื้นฐานด้านความปลอดภัย: ปรับปรุงโครงสร้างพื้นฐานการปกป้องข้อมูลอย่างต่อเนื่องโดยการนํา เทคโนโลยีความปลอดภัยล่าสุดและแนวปฏิบัติที่ดีที่สุดมาใช้ แนวปฏิบัติที่ดีที่สุด: การลดข้อมูล: รวบรวมเฉพาะข้อมูลส่วนบุคคลที่จําเป็นขั้นต่ำสําหรับวัตถุประสงค์เฉพาะ และมั่นใจว่าข้อมูลที่ไม่จําเป็นจะถูก ทําลายทันที การใช้การยืนยันตัวตนหลายปัจจัย (MFA): ใช้ MFA สําหรับการเข้าถึงระบบและข้อมูลที่สําคัญเพื่อเพิ่มความปลอดภัย การทดสอบการเจาะระบบเป็นประจํา: เชิญผู้เชี่ยวชาญภายนอกมาทําการทดสอบการเจาะระบบเป็นประจําเพื่อระบุและแก้ไขช่องโหว่ด้านความปลอดภัย การฝึกซ้อมตอบสนองต่อเหตุการณ์: ทดสอบแผนการตอบสนองต่อเหตุการณ์เป็นประจําด้วยการฝึกซ้อมตามสถานการณ์เพื่อปรับปรุงความสามารถในการตอบสนอง ฐานทางกฎหมาย: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37: กําหนดให้มีมาตรการรักษาความปลอดภัยเพื่อปกป้องข้อมูลส่วนบุคคล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 41: กําหนดให้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) มาตรา 82: กําหนดข้อกําหนดในการแจ้งเตือนในกรณีที่เกิดการละเมิดข้อมูล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 83: กําหนดบทลงโทษสําหรับการไม่ปฏิบัติตาม นโยบายนี้ทําให้มั่นใจได้ว่า บริษัท บาย แอนด์ เซลล์ จํากัด ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019) ของประเทศไทย โดย กําหนดระเบียบที่ชัดเจนในการป้องกันการละเมิดข้อมูลส่วนบุคคลและตอบสนองอย่างมีประสิทธิภาพเมื่อเกิดขึ้นพร้อมทั้งปกป้องข้อมูลส่วนบุคคลและสิทธิของบุคคล วัตถุประสงค์ของการเก็บข้อมูล เราเก็บข้อมูลเอกสารแสดงตัวตน (บัตรประชาชน, ใบขับขี่, หนังสือเดินทาง) และข้อมูลการยืนยันตัวตนด้วยใบหน้า เพื่อการยืนยันตัวตนของสมาชิกในช่วงเวลาทำการ การเก็บรักษาและลบข้อมูล ข้อมูลที่ส่งเข้ามาจะถูกลบภายใน 4 ชั่วโมงหลังจากการยืนยันตัวตนเสร็จสิ้น หากข้อมูลที่ส่งมา (เช่น บัตรประชาชน, ใบขับขี่, หนังสือเดินทาง หรือรูปภาพใบหน้า) ไม่ชัดเจนหรือไม่สามารถตรวจสอบได้อย่างถูกต้อง เราจะติดต่อผู้ใช้งานโดยตรงเพื่อยืนยันการใช้งานและดำเนินการตรวจสอบข้อมูลเพิ่มเติม ข้อมูลจะถูกเก็บไว้จนกว่าการยืนยันจะเสร็จสิ้น หลังจากการยืนยันเสร็จสิ้น ข้อมูลจะถูกลบภายใน 4 ชั่วโมง ผู้จัดการข้อมูลส่วนบุคคล กมลวรรณ วัฒนานุพงศ์ อีเมล: buynsellthai@gmail.com, kamolwan.w@buynsellthai.org