มีผลบังคับใช้ตั้งแต่วันที่ 5 เมษายน 2569
1. บทนำ
บริษัท อินโนเวลล์ อินเทลลิเจนซ์ จำกัด, บริษัท ดิ อินโนเวชั่น อัลไลแอนซ์ จำกัด และบริษัท เดอะ พิสมัย จำกัด (รวมเรียกว่า "กลุ่มบริษัท" หรือ "เรา") ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลของท่าน ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
นโยบายฉบับนี้อธิบายวิธีที่เราเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่าน ผ่านระบบ Document Portal และระบบลงนามอิเล็กทรอนิกส์ (e-Signing System)
2. ข้อมูลที่เราเก็บรวบรวม
2.1 ข้อมูลส่วนบุคคลทั่วไป
| ประเภทข้อมูล | รายละเอียด | วัตถุประสงค์ |
|---|
| ชื่อ-นามสกุล | ชื่อและนามสกุลของผู้ลงนาม | ระบุตัวตนผู้ลงนามในเอกสาร |
| อีเมล | อีเมลของผู้ลงนาม | ใช้ระบุตัวตนและติดต่อผู้ลงนาม |
| ตำแหน่ง/บทบาท | ตำแหน่งในบริษัทหรือบทบาทในเอกสาร | ระบุอำนาจในการลงนาม |
| ที่อยู่ IP | หมายเลข IP Address ขณะลงนาม | บันทึก Audit Trail เพื่อความปลอดภัย |
| ข้อมูลอุปกรณ์ | ประเภทเบราว์เซอร์ และระบบปฏิบัติการ | บันทึก Audit Trail |
2.2 ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data)
ข้อมูลต่อไปนี้ถือเป็น "ข้อมูลส่วนบุคคลอ่อนไหว" ตาม PDPA ซึ่งเราจะเก็บรวบรวมเฉพาะเมื่อได้รับความยินยอมโดยชัดแจ้งจากท่านเท่านั้น
| ประเภทข้อมูล | รายละเอียด | วัตถุประสงค์ |
|---|
| ลายมือชื่ออิเล็กทรอนิกส์ | ภาพลายเซ็นที่วาดหรืออัพโหลด | ใช้เป็นลายมือชื่อในเอกสาร |
| ภาพถ่ายใบหน้า (Selfie) | รูปถ่ายเซลฟีขณะลงนาม | ยืนยันตัวตนผู้ลงนาม ป้องกันการปลอมแปลง |
3. ฐานกฎหมายในการประมวลผล
เราประมวลผลข้อมูลส่วนบุคคลของท่านภายใต้ฐานกฎหมายดังนี้:
- ความยินยอม (Consent) — สำหรับข้อมูลอ่อนไหว ได้แก่ ลายเซ็นอิเล็กทรอนิกส์ และภาพถ่ายเซลฟี
- การปฏิบัติตามสัญญา (Contract) — เพื่อดำเนินการลงนามในสัญญาและเอกสารทางธุรกิจ
- ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) — เพื่อบันทึก Audit Trail และรักษาความปลอดภัยของระบบ
4. วิธีการเก็บรวบรวมข้อมูล
เราเก็บรวบรวมข้อมูลของท่านผ่านช่องทางดังนี้:
- ระบบลงนามอิเล็กทรอนิกส์ เมื่อท่านเปิดลิงก์ลงนามและดำเนินการลงนาม
- ระบบตรวจจับใบหน้า เมื่อท่านถ่ายรูปเซลฟีเพื่อยืนยันตัวตน
- ระบบบันทึกอัตโนมัติ (Audit Log) ที่บันทึกทุกขั้นตอนการลงนาม
5. การใช้และเปิดเผยข้อมูล
เราใช้ข้อมูลส่วนบุคคลของท่านเพื่อวัตถุประสงค์ดังนี้เท่านั้น:
- ดำเนินการลงนามเอกสารอิเล็กทรอนิกส์
- ยืนยันตัวตนของผู้ลงนาม
- บันทึกหลักฐานการลงนาม (Audit Trail) เพื่อความถูกต้องตามกฎหมาย
- ตรวจสอบความถูกต้องของเอกสาร (Document Hash)
เราจะไม่เปิดเผยข้อมูลส่วนบุคคลของท่านแก่บุคคลภายนอก เว้นแต่:
- ได้รับความยินยอมจากท่าน
- เป็นการปฏิบัติตามกฎหมาย คำสั่งศาล หรือหน่วยงานราชการ
- เป็นการจำเป็นเพื่อป้องกันอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ
6. การเก็บรักษาและระยะเวลาการเก็บ
| ประเภทข้อมูล | ระยะเวลาเก็บรักษา | เหตุผล |
|---|
| ลายเซ็นอิเล็กทรอนิกส์ | 10 ปี นับจากวันลงนาม | อ้างอิงตามอายุความสัญญาทั่วไป |
| ภาพถ่ายเซลฟี | 5 ปี นับจากวันลงนาม | เก็บเพื่อยืนยันตัวตน |
| Audit Log | 10 ปี นับจากวันลงนาม | หลักฐานทางกฎหมาย |
| ข้อมูลเอกสาร | 10 ปี นับจากวันลงนาม | อ้างอิงตามอายุความ |
เมื่อครบกำหนดระยะเวลา ข้อมูลจะถูกลบหรือทำให้ไม่สามารถระบุตัวตนได้ โดยเราจะดำเนินการตรวจสอบและลบข้อมูลที่ครบกำหนดเป็นประจำทุกปี
7. มาตรการรักษาความปลอดภัย
เราใช้มาตรการรักษาความปลอดภัยที่เหมาะสม ได้แก่:
- การเข้ารหัสข้อมูลระหว่างส่งผ่าน (TLS/HTTPS)
- การควบคุมการเข้าถึงระบบด้วยรหัสผ่าน
- การตรวจสอบความถูกต้องของเอกสารด้วย SHA-256 Hash
- ระบบ Audit Log ที่ไม่สามารถแก้ไขหรือลบได้ (Append-only)
- Row Level Security (RLS) บนฐานข้อมูล
- Content Security Policy (CSP) ป้องกันการโจมตี
- ลิงก์ลงนามมีอายุ 30 วัน และใช้ได้ครั้งเดียว
8. สิทธิของเจ้าของข้อมูล
ท่านมีสิทธิตาม PDPA ดังนี้:
- สิทธิในการเข้าถึง — ขอสำเนาข้อมูลส่วนบุคคลที่เราเก็บเกี่ยวกับท่าน
- สิทธิในการแก้ไข — ขอแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่ครบถ้วน
- สิทธิในการลบ — ขอลบข้อมูลเมื่อไม่มีความจำเป็นต้องเก็บรักษา
- สิทธิในการระงับ — ขอระงับการใช้ข้อมูลชั่วคราว
- สิทธิในการเพิกถอนความยินยอม — ถอนความยินยอมได้ทุกเมื่อ (ไม่กระทบการลงนามที่ดำเนินการไปแล้ว)
- สิทธิในการคัดค้าน — คัดค้านการประมวลผลข้อมูลในบางกรณี
- สิทธิในการร้องเรียน — ร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
9. การใช้ Cookie และ Local Storage
ระบบใช้ Local Storage ของเบราว์เซอร์เพื่อ:
- เก็บสถานะการเข้าสู่ระบบ (Session Token) มีอายุ 3 วัน
- ไม่มีการใช้ Cookie สำหรับการติดตามพฤติกรรม (Tracking)
- ไม่มีการแชร์ข้อมูลกับบริการโฆษณาใดๆ
10. บริการภายนอกที่ใช้
| บริการ | วัตถุประสงค์ | ข้อมูลที่ส่ง | ที่ตั้งเซิร์ฟเวอร์ |
|---|
| Supabase | จัดเก็บข้อมูลและไฟล์ | ข้อมูลเอกสาร ลายเซ็น เซลฟี | สิงคโปร์ |
| Vercel | โฮสต์เว็บไซต์ | ไม่มีข้อมูลส่วนบุคคล | สหรัฐอเมริกา |
| ipify.org | ตรวจสอบ IP Address | IP Address ของผู้ลงนาม | สหรัฐอเมริกา |
10.1 การโอนข้อมูลไปต่างประเทศ
ข้อมูลส่วนบุคคลของท่านอาจถูกโอนไปยังเซิร์ฟเวอร์ที่ตั้งอยู่ในประเทศสิงคโปร์ (Supabase) ซึ่งเป็นไปตามมาตรา 28 แห่ง PDPA โดยประเทศสิงคโปร์มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ (Personal Data Protection Act 2012 — PDPA Singapore) เราดำเนินมาตรการที่เหมาะสมเพื่อให้มั่นใจว่าข้อมูลของท่านได้รับการคุ้มครองตามมาตรฐานเทียบเท่ากฎหมายไทย
11. การแก้ไขนโยบาย
เราอาจแก้ไขนโยบายฉบับนี้เป็นครั้งคราว โดยจะแจ้งให้ทราบผ่านระบบ Document Portal การใช้งานระบบต่อหลังการแก้ไข ถือว่าท่านยอมรับนโยบายที่แก้ไขแล้ว
12. ติดต่อเรา
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
นายพีระวิช คงเมือง
บริษัท อินโนเวลล์ อินเทลลิเจนซ์ จำกัด
128/54 หมู่บ้าน โฮมวิลเลจ หมู่ที่ 3 ตำบลเสม็ด อำเภอเมืองชลบุรี จังหวัดชลบุรี 20000
อีเมล: info@innowell.co
โทร: 080-939-9566