เอกสารทางกฎหมาย

นโยบายความเป็นส่วนตัว

วันที่บังคับใช้: 20 พฤษภาคม 2569 · ฉบับที่ 1.0

1.คำนำและบทบาทของเรา

[ชื่อ-นามสกุลของผู้ให้บริการ] ในฐานะเจ้าของและผู้ให้บริการแพลตฟอร์ม Chaorod ซึ่งดำเนินกิจการในฐานะบุคคลธรรมดา (ต่อไปนี้เรียกว่า “ผู้ให้บริการ” หรือ “เรา”) ให้ความสำคัญกับความเป็นส่วนตัวและ การคุ้มครองข้อมูลส่วนบุคคลของท่าน นโยบายฉบับนี้อธิบายถึงประเภท ข้อมูลที่เราเก็บรวบรวม วัตถุประสงค์ของการประมวลผล สิทธิของท่าน และมาตรการรักษาความปลอดภัย เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 (“PDPA”) และกฎหมายที่เกี่ยวข้อง

1.1 บทบาทคู่ของผู้ให้บริการ

ผู้ให้บริการมีบทบาทสองประการในแพลตฟอร์ม Chaorod

  • ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) สำหรับข้อมูลบัญชีของผู้ใช้บริการ (เจ้าของร้านเช่ารถ และทีมงานที่ได้รับมอบหมาย) เช่น ชื่อ อีเมล รหัสผ่าน ข้อมูลการชำระค่าบริการ และข้อมูลการใช้งานระบบ
  • ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ตามคำสั่งของผู้ใช้บริการ สำหรับข้อมูลของลูกค้าปลายทาง (ผู้เช่ารถ) ที่ผู้ใช้บริการอัปโหลดเข้าสู่ระบบ เช่น ข้อมูลผู้เช่า สัญญา ใบเสร็จ และสลิปการชำระเงิน ในส่วนนี้ ผู้ใช้บริการเป็นผู้ควบคุมข้อมูลและเป็นผู้รับผิดชอบ หลักในการคุ้มครองข้อมูลของลูกค้าปลายทาง

ผู้ใช้บริการมีหน้าที่จัดทำและประกาศนโยบายความเป็นส่วนตัวของ ตนเองต่อลูกค้าปลายทาง รวมถึงขอความยินยอมที่เกี่ยวข้องตามที่ PDPA กำหนด

2.ข้อมูลส่วนบุคคลที่เราเก็บรวบรวม

2.1 ข้อมูลที่ท่านให้กับเราโดยตรง

  • ข้อมูลระบุตัวตน: ชื่อ–นามสกุล อีเมล หมายเลขโทรศัพท์
  • ข้อมูลบัญชี: ชื่อผู้ใช้ รหัสผ่าน (เก็บในรูปแบบที่ผ่านการเข้ารหัสด้วย bcrypt หรือดีกว่า)
  • ข้อมูลร้าน: ชื่อร้าน slug ข้อมูลที่อยู่ ที่ใช้แสดงในเอกสารและหน้าเว็บของร้าน
  • ข้อมูลภาษี: เลขประจำตัวผู้เสียภาษี (หากแจ้งให้ผู้ให้บริการออกใบกำกับภาษี)
  • ข้อมูลที่ท่านติดต่อเรา: เนื้อหาการสนทนา ตั๋วช่วยเหลือ และเอกสารแนบที่ท่านส่งให้ฝ่ายสนับสนุน

2.2 ข้อมูลที่เก็บโดยอัตโนมัติ

  • ข้อมูลการใช้งานและบันทึก (log): หน้าที่เข้าถึง เวลาที่ใช้งาน คำขอ API
  • ข้อมูลอุปกรณ์และเครือข่าย: หมายเลข IP ประเภทเบราว์เซอร์ ระบบปฏิบัติการ user agent
  • คุกกี้และเทคโนโลยีที่คล้ายกัน ตามที่อธิบายในข้อ 9

2.3 ข้อมูลจากบุคคลที่สาม

  • ผู้ให้บริการชำระเงิน (Stripe) เช่น token ของบัตร สถานะรายการชำระเงิน ผู้ให้บริการไม่เก็บหมายเลขบัตรเครดิตเต็มของท่าน
  • ผู้ให้บริการระบุตัวตน เช่น LINE Login (กรณีท่านเข้าสู่ระบบผ่าน LINE) เราจะได้รับข้อมูลพื้นฐานตามที่ท่านยินยอมในขั้นตอนการอนุญาตของ LINE

2.4 ข้อมูลของลูกค้าปลายทาง (ผู้เช่ารถ)

ผู้ให้บริการจัดเก็บข้อมูลที่ผู้ใช้บริการอัปโหลด ซึ่งอาจรวมถึง ชื่อ เบอร์โทร อีเมล สำเนาบัตรประชาชน ใบขับขี่ สลิปการโอน และ ข้อมูลการเช่าของลูกค้าปลายทาง เราเก็บข้อมูลเหล่านี้ ในฐานะผู้ประมวลผล ตามคำสั่งของผู้ใช้บริการ ผู้ใช้บริการเป็นผู้ควบคุมและกำหนดวัตถุประสงค์การประมวลผลข้อมูล เหล่านี้ ผู้ให้บริการจะไม่ใช้ข้อมูลนี้นอกเหนือจากที่จำเป็นต่อการให้ บริการ

3.วัตถุประสงค์และฐานทางกฎหมายในการประมวลผล

ผู้ให้บริการประมวลผลข้อมูลส่วนบุคคลของท่านตามฐานทางกฎหมายดังต่อไปนี้ ตามมาตรา 24 ของ PDPA

3.1 ฐานสัญญา (Contract)

เพื่อให้บริการ Chaorod ตามข้อกำหนดที่ท่านยอมรับ เช่น สร้างและ จัดการบัญชี ประมวลผลคำสั่งจอง ออกเอกสาร และเรียกเก็บค่าบริการ

3.2 ฐานหน้าที่ตามกฎหมาย (Legal Obligation)

เพื่อปฏิบัติตามกฎหมาย เช่น การออกใบกำกับภาษีและการเก็บรักษา เอกสารตามประมวลรัษฎากร การให้ข้อมูลแก่หน่วยงานราชการเมื่อ มีคำสั่งที่ชอบด้วยกฎหมาย และการปฏิบัติตาม PDPA

3.3 ฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest)

เพื่อปกป้องระบบและป้องกันการฉ้อโกง ตรวจจับการใช้งานผิดประเภท ปรับปรุงคุณภาพบริการ และวิเคราะห์ข้อมูลการใช้งานในรูปแบบที่ไม่ ระบุตัวตนได้

3.4 ฐานความยินยอม (Consent)

สำหรับการประมวลผลที่ต้องอาศัยความยินยอม เช่น การส่งข้อมูล ส่งเสริมการตลาดทางอีเมลหรือ LINE ท่านสามารถถอนความยินยอมได้ ทุกเมื่อ

4.การเปิดเผยข้อมูลให้บุคคลที่สาม

ผู้ให้บริการจะไม่ขาย ให้เช่า หรือแลกเปลี่ยนข้อมูลส่วนบุคคลของท่านกับ บุคคลที่สามเพื่อวัตถุประสงค์ทางการตลาด เราเปิดเผยข้อมูลให้แก่ บุคคลที่สามเฉพาะในกรณีต่อไปนี้

4.1 ผู้ประมวลผลข้อมูลของเรา

เพื่อให้บริการ ผู้ให้บริการใช้ผู้ให้บริการบุคคลที่สามที่ผ่านการประเมิน ด้านความปลอดภัยและการคุ้มครองข้อมูล เช่น

  • ผู้ให้บริการโครงสร้างพื้นฐานคลาวด์และฐานข้อมูล (เช่น Supabase, Cloudflare R2)
  • ผู้ให้บริการชำระเงิน (เช่น Stripe สำหรับการเก็บค่าบริการ Chaorod)
  • ผู้ให้บริการส่งอีเมลและการแจ้งเตือน (เช่น Resend)
  • ผู้ให้บริการระบบบอทและการแจ้งเตือนผ่าน LINE
  • ผู้ให้บริการวิเคราะห์การใช้งานในรูปแบบที่ไม่ระบุตัวตน

ผู้ให้บริการมีสัญญาประมวลผลข้อมูล (Data Processing Agreement) กับ ผู้ให้บริการเหล่านี้ เพื่อกำหนดมาตรฐานการคุ้มครองข้อมูลที่ เทียบเท่ากับนโยบายฉบับนี้

4.2 หน่วยงานตามกฎหมาย

ผู้ให้บริการอาจเปิดเผยข้อมูลให้หน่วยงานราชการ ศาล หรือผู้บังคับใช้ กฎหมาย เมื่อมีคำสั่งหรือหมายที่ชอบด้วยกฎหมาย หรือเมื่อจำเป็น เพื่อปกป้องสิทธิและความปลอดภัยของผู้ให้บริการหรือบุคคลอื่น

4.3 กรณีการควบรวมหรือโอนกิจการ

หากผู้ให้บริการถูกควบรวม ซื้อกิจการ หรือโอนทรัพย์สินที่มีนัยสำคัญ ข้อมูลของท่านอาจถูกโอนไปยังผู้รับโอน โดยผู้ให้บริการจะแจ้งให้ท่าน ทราบล่วงหน้าและให้สิทธิคัดค้านตามที่กฎหมายกำหนด

5.การส่งหรือโอนข้อมูลไปต่างประเทศ

ผู้ให้บริการคลาวด์ของเราบางรายอาจมีศูนย์ข้อมูลอยู่นอกประเทศไทย (เช่น Cloudflare R2) เมื่อมีการส่งข้อมูลไปยังต่างประเทศ ผู้ให้บริการจะดำเนินการคุ้มครองข้อมูลตามมาตรฐานที่ PDPA กำหนด เช่น การจัดทำข้อตกลงมาตรฐาน (Standard Contractual Clauses) หรือ มาตรการคุ้มครองที่เทียบเท่า รวมถึงการเข้ารหัสข้อมูลระหว่างการ ส่งและการจัดเก็บ

6.ระยะเวลาการเก็บรักษาข้อมูล

ผู้ให้บริการจะเก็บข้อมูลส่วนบุคคลของท่านเท่าที่จำเป็นสำหรับวัตถุประสงค์ ที่เก็บรวบรวม โดยพิจารณาจากเกณฑ์ต่อไปนี้

  • ข้อมูลบัญชี: ตลอดระยะเวลาที่บัญชียังเปิดอยู่
  • สำเนาเอกสารยืนยันตัวตนของลูกค้า (ใบขับขี่ / บัตรประชาชน) ที่อัปโหลดเพื่อการเช่า: จัดเก็บในที่จัดเก็บแบบส่วนตัว และลบอัตโนมัติภายใน 30 วันหลังการเช่าเสร็จสิ้นหรือถูกยกเลิก
  • ข้อมูลภายหลังยกเลิกบัญชี: คงไว้ 30 วันเพื่อให้ท่านดาวน์โหลดและส่งออก จากนั้นจะลบหรือทำให้ไม่สามารถระบุตัวตนได้ ยกเว้นข้อมูลที่ต้องคงไว้ตามกฎหมาย
  • ข้อมูลการเงิน ใบเสร็จ และใบกำกับภาษี: 10 ปี ตามที่กำหนดในประมวลรัษฎากรและกฎหมายการบัญชี
  • ข้อมูลบันทึกการใช้งาน (log): 90 วัน ตามมาตรฐานความปลอดภัยและการตรวจสอบเหตุ
  • ข้อมูลสำรอง (backup): สูงสุด 90 วัน ก่อนหมุนเวียนทำลาย
  • ข้อมูลที่จัดเก็บเพื่อใช้สิทธิเรียกร้องทางกฎหมาย: ตลอดอายุความที่กฎหมายกำหนด

7.สิทธิของเจ้าของข้อมูลส่วนบุคคล

ภายใต้ PDPA ท่านมีสิทธิดังต่อไปนี้ ซึ่งผู้ให้บริการจะดำเนินการ ตอบสนองภายใน 30 วันนับแต่วันที่ได้รับคำร้องโดยสุจริต

  • สิทธิเข้าถึงและขอสำเนา ข้อมูลส่วนบุคคล ของท่าน (มาตรา 30)
  • สิทธิขอให้แก้ไข ข้อมูลที่ไม่ถูกต้องหรือ ไม่เป็นปัจจุบัน (มาตรา 35)
  • สิทธิขอให้ลบหรือทำลาย ข้อมูล หรือ ทำให้ไม่สามารถระบุตัวตนได้ (มาตรา 33)
  • สิทธิขอให้ระงับการใช้ ข้อมูลส่วนบุคคล เป็นการชั่วคราว (มาตรา 34)
  • สิทธิคัดค้าน การประมวลผลข้อมูล โดยเฉพาะ เพื่อวัตถุประสงค์การตลาดทางตรง (มาตรา 32)
  • สิทธิให้โอนย้าย ข้อมูลไปยังผู้ควบคุมข้อมูล อื่นในรูปแบบที่อ่านได้ด้วยเครื่อง (มาตรา 31)
  • สิทธิเพิกถอนความยินยอม สำหรับการประมวลผล ที่อาศัยฐานความยินยอม (มาตรา 19) — การเพิกถอนไม่กระทบ ความชอบของการประมวลผลก่อนหน้านั้น
  • สิทธิร้องเรียน ต่อสำนักงานคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคล (สคส.) หากเห็นว่าการประมวลผลของ ผู้ให้บริการไม่ชอบด้วยกฎหมาย

ท่านสามารถใช้สิทธิดังกล่าวโดยส่งคำร้องเป็นลายลักษณ์อักษรไปยัง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของผู้ให้บริการตามรายละเอียดในข้อ 12 ผู้ให้บริการอาจขอข้อมูลเพิ่มเติมเพื่อยืนยันตัวตนก่อนดำเนินการ

ในบางกรณี ผู้ให้บริการอาจปฏิเสธคำขอของท่านได้ตามที่กฎหมายอนุญาต เช่น เมื่อข้อมูลจำเป็นต่อการปฏิบัติตามกฎหมาย การก่อตั้งหรือใช้สิทธิ เรียกร้องทางกฎหมาย หรือเพื่อประโยชน์สาธารณะ

8.มาตรการรักษาความปลอดภัย

ผู้ให้บริการใช้มาตรการรักษาความปลอดภัยทั้งทางเทคนิคและเชิงองค์กรเพื่อ ป้องกันการเข้าถึง ใช้ เปิดเผย แก้ไข หรือทำลายข้อมูลโดยไม่ได้รับ อนุญาต รวมถึง

  • การเข้ารหัสข้อมูลระหว่างการส่ง (TLS 1.2 ขึ้นไป) ในทุกการเชื่อมต่อ
  • การเข้ารหัสรหัสผ่านด้วยอัลกอริทึมที่ปลอดภัย (เช่น bcrypt) ผู้ให้บริการไม่จัดเก็บรหัสผ่านในรูปแบบที่อ่านได้
  • การควบคุมการเข้าถึงตามบทบาท (RBAC) และการบันทึกการเข้าถึง
  • การแยกขอบเขตข้อมูลของผู้ใช้บริการแต่ละราย (multi-tenant isolation) ในระดับฐานข้อมูล
  • การสำรองข้อมูลรายวันและการทดสอบการกู้คืน
  • การทบทวนนโยบายและการฝึกอบรมพนักงานเกี่ยวกับความปลอดภัยและการคุ้มครองข้อมูล

แม้ผู้ให้บริการจะใช้ความพยายามอย่างเต็มที่ การส่งข้อมูลผ่านอินเทอร์เน็ต ไม่อาจรับรองได้ว่าปลอดภัยอย่างสมบูรณ์ ท่านควรมีส่วนร่วมในการ คุ้มครองบัญชีของท่านด้วย เช่น การใช้รหัสผ่านที่คาดเดายาก และ การไม่เปิดเผยรหัสผ่านให้ผู้อื่น

9.คุกกี้และเทคโนโลยีที่คล้ายกัน

เว็บไซต์ของผู้ให้บริการใช้คุกกี้ในประเภทต่อไปนี้

  • คุกกี้ที่จำเป็น — เพื่อรักษาสถานะการเข้าสู่ ระบบ ความปลอดภัย และฟังก์ชันพื้นฐาน ไม่สามารถปิดได้
  • คุกกี้ด้านประสิทธิภาพ — เพื่อวิเคราะห์การใช้ งานในรูปแบบรวมและไม่ระบุตัวตน เพื่อปรับปรุงบริการ

ผู้ให้บริการไม่ใช้คุกกี้เพื่อโฆษณาแบบติดตามบุคคล (third-party advertising cookies) ท่านสามารถจัดการคุกกี้ได้จากการตั้งค่าของ เบราว์เซอร์ของท่าน อย่างไรก็ดี การปิดคุกกี้ที่จำเป็นอาจทำให้ บริการบางส่วนไม่สามารถใช้งานได้

10.ผู้เยาว์

บริการของผู้ให้บริการมุ่งหมายเพื่อใช้ในเชิงพาณิชย์โดยผู้ใหญ่ที่ ประกอบธุรกิจ ผู้ให้บริการไม่จงใจเก็บข้อมูลส่วนบุคคลของผู้ที่อายุ ต่ำกว่า 20 ปีในฐานะผู้ใช้บริการ หากท่านทราบว่ามีการให้ข้อมูล ของผู้เยาว์โดยไม่ได้รับความยินยอมจากผู้ปกครอง โปรดแจ้งผู้ให้บริการ เพื่อดำเนินการลบโดยเร็ว

11.การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล

ในกรณีที่เกิดเหตุการละเมิดข้อมูลส่วนบุคคลที่อาจมีผลกระทบสูงต่อ สิทธิและเสรีภาพของท่าน ผู้ให้บริการจะแจ้งให้สำนักงานคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมงนับแต่ทราบเหตุ และจะแจ้งให้ท่านทราบโดยไม่ชักช้าเท่าที่ปฏิบัติได้

12.การติดต่อเพื่อใช้สิทธิ

ผู้ให้บริการดำเนินกิจการในฐานะบุคคลธรรมดา จึงไม่ได้แต่งตั้ง เจ้าหน้าที่คุ้มครองข้อมูล (DPO) ตามมาตรา 41 อย่างเป็นทางการ ผู้ให้บริการเป็นผู้รับผิดชอบในเรื่องการคุ้มครองข้อมูลส่วนบุคคล ด้วยตนเอง หากท่านมีคำถาม ข้อร้องเรียน หรือต้องการใช้สิทธิตาม นโยบายฉบับนี้ โปรดติดต่อ

[ชื่อ-นามสกุลของผู้ให้บริการ]
ผู้ให้บริการแพลตฟอร์ม Chaorod
อีเมลด้านข้อมูลส่วนบุคคล: privacy@chaorod.online
เรื่องทางกฎหมาย: legal@chaorod.online

ในกรณีที่ท่านเห็นว่าการประมวลผลของผู้ให้บริการไม่ชอบด้วยกฎหมาย ท่านมีสิทธิร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูล ส่วนบุคคล (สคส.) ตามรายละเอียดที่ประกาศบนเว็บไซต์ของหน่วยงาน

13.การเปลี่ยนแปลงนโยบาย

ผู้ให้บริการอาจปรับปรุงนโยบายฉบับนี้เป็นครั้งคราว เมื่อมีการแก้ไข อย่างมีนัยสำคัญ ผู้ให้บริการจะแจ้งให้ท่านทราบล่วงหน้าผ่านอีเมลของ บัญชีหรือประกาศบนเว็บไซต์ก่อนวันที่มีผลบังคับใช้ การที่ท่าน ยังคงใช้บริการต่อไปหลังจากการเปลี่ยนแปลงมีผล ถือว่าท่านยอมรับ นโยบายฉบับใหม่

เอกสารฉบับนี้บังคับใช้ตั้งแต่วันที่ 20 พฤษภาคม 2569 เป็นต้นไป