← Velahed Employee

นโยบายความเป็นส่วนตัว Velahed

เวอร์ชั่น: 1.0 (ฉบับร่างเริ่มต้น — รอทนายตรวจ) · วันที่มีผลบังคับ: 1 พฤษภาคม 2569 · ปรับปรุงล่าสุด: 26 เมษายน 2569

หมายเหตุ: เอกสารนี้ผ่านการร่างโดย AI และต้องผ่านการตรวจสอบโดยทนายผู้เชี่ยวชาญ PDPA ก่อนใช้งานจริง

1. ภาพรวม

บริษัท เวลาเฮด จำกัด (“บริษัท” / “เรา”) เคารพความเป็นส่วนตัวของผู้ใช้ทุกท่าน นโยบายนี้อธิบายว่าเราเก็บ ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของคุณอย่างไร เป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และกฎหมายไทยที่เกี่ยวข้อง

ใครคือผู้ควบคุมข้อมูล:

  • หากคุณเป็น พนักงาน ใช้ระบบที่นายจ้างจัดให้ → นายจ้างของคุณ เป็นผู้ควบคุมข้อมูล (Data Controller) บริษัทเป็นผู้ประมวลผล (Processor)
  • หากคุณเป็น ลูกค้าบริษัท สมัครใช้บริการ Velahed → บริษัท เป็น Data Controller สำหรับข้อมูลผู้ติดต่อในขั้นตอนสมัคร / ออก invoice

2. ข้อมูลที่เราเก็บ

2.1 ข้อมูลที่นายจ้างใส่เข้าระบบ (เกี่ยวกับพนักงาน)

  • ชื่อ-นามสกุล (TH/EN), ชื่อเล่น
  • รหัสพนักงาน, รหัสบัญชี
  • เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขผู้เสียภาษี, เลขประกันสังคม
  • วันเกิด, เพศ, สัญชาติ
  • ที่อยู่ตามทะเบียนบ้าน, ที่อยู่ปัจจุบัน
  • เบอร์โทร, อีเมล, LINE ID
  • รูปถ่าย (ถ้านายจ้างขอ)
  • บัญชีธนาคาร (สำหรับโอนเงินเดือน)
  • ข้อมูลผู้ติดต่อฉุกเฉิน
  • ตำแหน่งงาน, แผนก, วันเริ่มงาน, ประเภทเงินเดือน
  • ฐานเงินเดือน + allowance + deduction

2.2 ข้อมูลที่เกิดจากการใช้งาน

  • เวลาเข้า-ออกงาน (timestamp + GPS coordinates ถ้าตั้งค่า required)
  • รูปถ่ายตอน check-in (selfie verification ถ้าตั้งค่า)
  • คำขอลา / OT / แก้เวลา + เหตุผล + ไฟล์แนบ
  • สลิปเงินเดือน + รายการเงินเดือน
  • audit log (การกระทำในระบบ + IP + User Agent)

2.3 ข้อมูลทางเทคนิคที่เราเก็บอัตโนมัติ

  • IP address, browser version, OS, device type
  • Session cookies (ดู Cookie Policy)
  • Error reports (ผ่าน Sentry — กรอง PII ออก)
  • Usage analytics (page views, feature usage — anonymized)

2.4 ข้อมูลของผู้ติดต่อ (สำหรับลูกค้านิติบุคคล)

  • ชื่อ ตำแหน่ง email โทร ของผู้ติดต่อในบริษัทลูกค้า
  • ข้อมูลในใบกำกับภาษี (เลขผู้เสียภาษี ที่อยู่บริษัท)

3. วัตถุประสงค์ของการเก็บข้อมูล

วัตถุประสงค์ฐานทางกฎหมาย (PDPA Sec.)
ให้บริการระบบ HR/Payroll ตามที่นายจ้างใช้สัญญา (Sec. 24(3))
คำนวณเงินเดือน + ภาษี + ประกันสังคมกฎหมาย (Sec. 24(6))
ส่งสลิป / แจ้งเตือนคำขอสัญญา + ความยินยอม
ตรวจสอบการเข้างาน + GPS verificationผลประโยชน์อันชอบธรรม (Sec. 24(5)) — ตามนโยบายนายจ้าง
Audit log สำหรับ complianceกฎหมาย + ความปลอดภัย (Sec. 24(2))
Improve service (anonymized analytics)ผลประโยชน์อันชอบธรรม
ติดต่อทางการตลาด (ลูกค้านิติบุคคลเท่านั้น)ความยินยอม (opt-in)
ป้องกันการฉ้อโกง / โจมตีผลประโยชน์อันชอบธรรม + กฎหมาย

เราไม่ใช้ข้อมูลของคุณเพื่อ:

  • โฆษณา third-party
  • ขาย / โอนให้บุคคลที่สามเพื่อการตลาด
  • AI training โดยไม่ได้รับ consent

4. การเปิดเผยข้อมูล

เราอาจเปิดเผยข้อมูลของคุณให้:

4.1 ผู้ให้บริการเทคโนโลยี (Sub-processors)

  • Amazon Web Services (AWS) — hosting + DB + S3 storage (Region ap-southeast-7 = ไทย; ไม่มีการส่งข้อมูลออกนอกประเทศ)
  • Sentry.io — error tracking (กรอง PII ก่อนส่ง)
  • Better-Auth — authentication library (open-source, runs in our infra)

ทุก sub-processor มี Data Processing Agreement (DPA) กับเราเพื่อรับประกันการคุ้มครองตามมาตรฐาน PDPA

4.2 หน่วยงานราชการ

เปิดเผยตามคำสั่งศาล / หมายค้น / กฎหมาย เช่น:

  • กรมสรรพากร (สำหรับ tax forms PND/RD)
  • สำนักงานประกันสังคม
  • ศาล / DSI / สตช. กรณีดำเนินคดี

4.3 บริษัทในเครือ / ผู้รับโอนกิจการ

หากบริษัทมีการ M&A เราจะแจ้งล่วงหน้า 30 วัน

4.4 ที่ปรึกษามืออาชีพ

ทนาย, auditor, accountant — ภายใต้สัญญา NDA

เราไม่ขายข้อมูลให้บุคคลที่สาม

5. การส่งข้อมูลออกนอกประเทศ

ข้อมูลทั้งหมดเก็บที่ AWS region ap-southeast-7 (Bangkok) ภายในประเทศไทย ไม่มีการส่งออกนอกประเทศ ยกเว้น:

  • Sentry error tracking (Servers in EU/US) — ส่งเฉพาะ stack trace + metadata, ไม่ส่ง PII (กรองด้วย beforeSend hook)
  • Backup off-site (ในอนาคต) — region Singapore (ap-southeast-1) สำหรับ disaster recovery, ครอบคลุมโดย AWS DPA

6. ระยะเวลาเก็บข้อมูล

ประเภทระยะเวลาเหตุผล
ข้อมูลพนักงาน (active)ตลอดเวลาที่ทำงานสัญญา
ข้อมูลพนักงาน (terminated)7 ปี หลังออกพ.ร.บ. คุ้มครองแรงงาน
สลิปเงินเดือน7 ปีพ.ร.บ. การบัญชี
Attendance log7 ปีพ.ร.บ. คุ้มครองแรงงาน
Audit log7 ปีกฎหมาย + ความปลอดภัย
GPS coordinates90 วัน (default)ตามนโยบายนายจ้าง — ตั้งค่าได้
Selfie photos90 วัน (default)ตามนโยบายนายจ้าง
Session log + IP12 เดือนความปลอดภัย
Idempotency keys24 ชม.ปฏิบัติการเทคนิค
Account ที่ลูกค้ายกเลิก60 วัน grace + ลบตาม retentionดู ToS Sec. 11

7. สิทธิของเจ้าของข้อมูลตาม PDPA

ในฐานะเจ้าของข้อมูล คุณมีสิทธิ:

7.1 สิทธิในการได้รับแจ้ง

อ่านนโยบายฉบับนี้

7.2 สิทธิในการเข้าถึง / สำเนาข้อมูล (Sec. 30)

ผ่านฟีเจอร์ “ดาวน์โหลดข้อมูลส่วนบุคคล”ใน Settings (Privacy & Data) ได้ JSON ครบทุกหมวด

7.3 สิทธิในการแก้ไขข้อมูล (Sec. 32)

  • ผ่าน Settings → Profile (ข้อมูลที่ตัวคุณแก้เองได้)
  • ผ่าน HR (ข้อมูลที่ HR ดูแล เช่น salary, position)

7.4 สิทธิในการลบข้อมูล (Right to Erasure, Sec. 33)

ผ่านฟีเจอร์ “ขอลบบัญชีและข้อมูล” ใน Settings:
  • 30 วัน cool-down (ป้องกัน accidental request)
  • หลังจากนั้น anonymize PII + ลบ optional data
  • เก็บเฉพาะที่ legal retention บังคับ (ดู Sec. 6)

7.5 สิทธิในการคัดค้าน (Sec. 32)

  • คัดค้านการประมวลผลในวัตถุประสงค์ marketing → ปิดได้ใน Settings
  • คัดค้าน automated decision making → ปัจจุบันไม่มี

7.6 สิทธิในการระงับการใช้

Suspend account ผ่าน HR — ข้อมูลไม่ถูกใช้แต่ยังเก็บ

7.7 สิทธิในการขอให้โอนข้อมูล (Sec. 31)

Export ข้อมูลในรูปแบบ JSON (machine-readable) → ส่งให้ผู้ให้บริการอื่นได้

7.8 สิทธิในการเพิกถอนความยินยอม

ตรงไหนที่ใช้ฐาน 'ความยินยอม' คุณถอนได้ — แต่บางบริการอาจหยุดทำงานหากถอนความยินยอมในข้อมูลที่จำเป็น

7.9 สิทธิในการร้องเรียน

  • ร้องที่ DPO ของบริษัทก่อน ([email protected])
  • ภายใน 30 วันต้องตอบ
  • หากไม่พอใจ → ร้องที่ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) pdpc.or.th

8. ความปลอดภัยของข้อมูล

มาตรการที่ใช้:

  • Encryption at rest: AWS RDS + S3 server-side encryption (AES-256)
  • Encryption in transit: TLS 1.2/1.3 ทุก endpoint
  • Access control: Role-based + Row-Level Security per tenant
  • Authentication: password + (option) 2FA TOTP
  • Audit log: ทุก mutation log + retain 7 ปี
  • Network: Rate limiting + fail2ban + WAF (planned)
  • Backup: RDS automated snapshot + cross-region replication
  • Vulnerability management: dependabot + npm audit + quarterly review
  • Personnel: all employees signed NDA + security training

หากเกิด data breach:

  • บริษัทแจ้ง PDPC ภายใน 72 ชั่วโมง ตามกฎหมาย
  • แจ้งเจ้าของข้อมูลที่ได้รับผลกระทบโดยเร็วที่สุด
  • บันทึก breach ในรายงาน + กระบวนการ remediate

9. คุกกี้และเทคโนโลยีติดตาม

สรุป: ใช้ cookie เฉพาะ necessary (session management, CSRF protection) — ไม่ใช้ third-party advertising cookies

10. ข้อมูลของผู้เยาว์

บริการนี้สำหรับ ผู้ใหญ่ในวัยทำงาน (อายุ ≥ 15 ปี ตามกฎหมายแรงงานไทย) หากเป็นผู้เยาว์ (อายุ 15-20 ปี) ต้องได้รับความยินยอมจากผู้ปกครอง หากบริษัทพบว่าเก็บข้อมูลผู้เยาว์โดยไม่ได้รับ consent ที่เหมาะสม → ลบทันทีตามที่ร้องขอ

11. การเปลี่ยนแปลงนโยบาย

  • Major change → แจ้งล่วงหน้าอย่างน้อย 30 วัน ผ่าน email + in-app banner
  • Minor change → silent update + ระบุใน change log

ผู้ใช้ที่ login หลังวัน effective ของ version ใหม่ ถือว่ายอมรับ

12. ติดต่อ DPO

Data Protection Officer (DPO):

  • อีเมล: [email protected]
  • โทร: TBD
  • ที่อยู่: บริษัท เวลาเฮด จำกัด, กรุงเทพมหานคร

หรือร้องเรียนที่หน่วยงานกำกับ: