นโยบายความเป็นส่วนตัว
วิธีที่ MSK Link เก็บ ใช้ และคุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) พ.ศ. 2562
บทนำและผู้ให้บริการ
นโยบายความเป็นส่วนตัวฉบับนี้ ("นโยบาย") อธิบายวิธีที่ บริษัท เอ็ม เอส เค มีเดีย จำกัด ("MSK Media", "บริษัทฯ", "เรา") เก็บรวบรวม ใช้ เปิดเผย และคุ้มครอง ข้อมูลส่วนบุคคล ผ่านบริการซอฟต์แวร์ MSK Link ที่เข้าถึงได้ทาง msklink.io ("บริการ")
นโยบายนี้จัดทำขึ้นเพื่อให้สอดคล้องกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ("PDPA")
ลักษณะของบริการและบทบาทของเรา
MSK Link เป็นซอฟต์แวร์ที่บริษัทฯ พัฒนาขึ้นเพื่อให้บริการแก่ลูกค้า ที่ใช้บริการการตลาดดิจิทัล (Google Ads และ Facebook Ads) ของบริษัทฯ โดยมีวัตถุประสงค์เพื่อ:
- ติดตามผลของแคมเปญโฆษณา (Conversion Tracking) จากการคลิกโฆษณาไปยัง LINE Official Account ของลูกค้า
- จับคู่ UTM Parameters เพื่อระบุที่มาของผู้ติดตาม (เช่น keyword, ad set, ad group)
- บริหารจัดการ Sales Pipeline ของแคมเปญโฆษณา
2.1 บทบาทตาม PDPA
ในการให้บริการ MSK Link บริษัทฯ มีบทบาทที่แตกต่างกัน สำหรับข้อมูลแต่ละประเภท:
(ก) สำหรับข้อมูลของผู้ติดตาม LINE Official Account ของลูกค้า ("End Users")
บริษัทฯ ทำหน้าที่เป็น ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ตาม PDPA มาตรา 40 โดยลูกค้าซึ่งเป็นเจ้าของ LINE Official Account เป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) การประมวลผลข้อมูลของ End Users เป็นไปตามคำสั่งและขอบเขตที่ลูกค้ากำหนด ภายใต้ Data Processing Agreement (DPA) ที่บริษัทฯ ทำกับลูกค้าแต่ละราย
(ข) สำหรับข้อมูลของผู้ใช้ระบบ ("System Users")
บริษัทฯ ทำหน้าที่เป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) สำหรับข้อมูลบัญชีของผู้ใช้ระบบ (เช่น พนักงานของลูกค้า, พนักงานของบริษัทฯ) ที่จำเป็นต่อการเข้าใช้งานระบบ
ข้อมูลส่วนบุคคลที่เก็บรวบรวม
3.1 ข้อมูลของ End Users (ผู้ติดตาม LINE OA ของลูกค้า)
บริษัทฯ ประมวลผลข้อมูลต่อไปนี้ในฐานะ Data Processor ของลูกค้า:
- LINE User ID (รหัสที่ LINE สร้างขึ้น ไม่ใช่หมายเลขโทรศัพท์หรืออีเมล)
- ชื่อที่แสดง (Display Name) จาก LINE Profile
- URL รูปโปรไฟล์จาก LINE
- เวลาที่ติดตาม OA และเวลาที่มีปฏิสัมพันธ์
- UTM Parameters และ Click ID (กรณีที่ผู้ใช้คลิกผ่านลิงก์ติดตามของบริษัทฯ)
- Metadata ของการสื่อสาร (จำนวนข้อความ ช่วงเวลา) — บริษัทฯ ไม่ใช้ เนื้อหาข้อความเพื่อวัตถุประสงค์ใดๆ นอกเหนือจากการให้บริการตามที่ลูกค้ากำหนด
- ข้อมูลที่ทีมขายของลูกค้าบันทึกไว้ในระบบ เช่น สถานะการขาย, มูลค่า, อีเมล หรือเบอร์โทรศัพท์ที่ End User ให้ไว้
3.2 ข้อมูลของ System Users
- อีเมล (ใช้สำหรับเข้าสู่ระบบ)
- ชื่อ-นามสกุล (หากกรอก)
- หมายเลขโทรศัพท์ (หากกรอก)
- รูปโปรไฟล์ (หากอัปโหลด)
- บทบาทในระบบ (Owner / Admin / Member / Viewer)
- ข้อมูลการเข้าใช้งานระบบ (Log)
วัตถุประสงค์และฐานทางกฎหมายในการประมวลผล
| วัตถุประสงค์ | ฐานทางกฎหมาย |
|---|---|
| ให้บริการ MSK Link แก่ลูกค้าตามสัญญา | การปฏิบัติตามสัญญา (มาตรา 24(3)) |
| ประมวลผลข้อมูล End Users ตามคำสั่งของลูกค้า | ตามคำสั่งของผู้ควบคุมข้อมูล (มาตรา 40) |
| รักษาความปลอดภัยของระบบและสืบหาเหตุการณ์ผิดปกติ | ประโยชน์โดยชอบด้วยกฎหมาย (มาตรา 24(5)) |
| ปฏิบัติตามข้อกำหนดทางกฎหมาย เช่น การเก็บ Audit Log | การปฏิบัติตามกฎหมาย (มาตรา 24(6)) |
การเปิดเผยและส่งต่อข้อมูล
5.1 ผู้ให้บริการที่บริษัทฯ ใช้ (Sub-processors)
บริษัทฯ ใช้บริการของผู้ให้บริการภายนอกต่อไปนี้เพื่อให้บริการ MSK Link:
| ผู้ให้บริการ | บทบาท | ที่ตั้งของข้อมูล |
|---|---|---|
| Supabase, Inc. | ฐานข้อมูลและ Authentication | โตเกียว ประเทศญี่ปุ่น (ap-northeast-1) |
| Vercel, Inc. | Hosting และ Edge Network | ภูมิภาคต่างๆ ตามการกำหนดของ Vercel |
| LINE Corporation | LINE Messaging API | ตามนโยบายของ LINE |
ผู้ให้บริการเหล่านี้มี Data Processing Agreement และ Standard Contractual Clauses (SCC) ที่สอดคล้องกับมาตรฐานสากล
5.2 การส่งข้อมูลออกนอกประเทศ
ข้อมูลบางส่วนของท่านอาจถูกจัดเก็บหรือประมวลผลในประเทศญี่ปุ่นและประเทศอื่นๆ ตามที่ผู้ให้บริการกำหนด ภายใต้ PDPA มาตรา 28 บริษัทฯ ได้ดำเนินการ ให้มีมาตรการคุ้มครองที่เหมาะสมโดยอาศัย Standard Contractual Clauses (SCC) กับผู้ให้บริการ
5.3 การไม่จำหน่ายและไม่แลกเปลี่ยนข้อมูล
บริษัทฯ ไม่จำหน่าย ไม่แลกเปลี่ยน และไม่เปิดเผย ข้อมูลส่วนบุคคลแก่บุคคลที่สามอื่นใดเพื่อวัตถุประสงค์ทางการตลาดของบุคคลที่สาม
5.4 การเปิดเผยตามกฎหมาย
บริษัทฯ อาจเปิดเผยข้อมูลส่วนบุคคลในกรณีที่กฎหมายกำหนด หรือเมื่อได้รับคำสั่งจากหน่วยงานราชการที่มีอำนาจตามกฎหมาย
ระยะเวลาเก็บรักษาข้อมูล
| ประเภทข้อมูล | ระยะเวลา |
|---|---|
| ข้อมูล Pipeline และ Conversation | ตลอดระยะเวลาที่ลูกค้ายังใช้บริการกับบริษัทฯ. หลังยุติบริการ บริษัทฯ ระงับการเข้าถึงทันที + เก็บข้อมูลอย่างน้อย 30 วันสำหรับ Export. หลังจากนั้นข้อมูลจะถูกลบในรอบ housekeeping ปกติ (ทุก 3 เดือน) |
| Audit Log (บันทึกการเข้าใช้งานระบบ) | 2 ปี |
| Webhook Event Log | 90 วัน |
| Database Backup (สำหรับการกู้คืนกรณีฉุกเฉิน) | 7 วัน |
| ข้อมูลบัญชีของ System Users | ตลอดระยะเวลาที่เป็นสมาชิกของ Workspace |
| ข้อมูลที่จำเป็นต้องเก็บตามกฎหมาย | ตามที่กฎหมายกำหนด |
เมื่อพ้นระยะเวลาดังกล่าว บริษัทฯ จะลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคล เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
การรักษาความปลอดภัย
บริษัทฯ ดำเนินมาตรการรักษาความมั่นคงปลอดภัยทั้งทางเทคนิคและทางบริหาร ตามมาตรฐานในอุตสาหกรรม ซึ่งรวมถึง:
- การเข้ารหัสข้อมูลที่ละเอียดอ่อน (เช่น LINE Channel Secret และ Access Token) ด้วย AES-256-GCM ก่อนจัดเก็บในฐานข้อมูล
- การส่งข้อมูลผ่านช่องทางที่เข้ารหัสด้วย HTTPS/TLS
- การควบคุมการเข้าถึงข้อมูลตามบทบาทของผู้ใช้งาน (Role-Based Access Control)
- การจัดเก็บ Audit Log สำหรับการกระทำที่กระทบข้อมูล
- การสำรองข้อมูลและความสามารถในการกู้คืนข้อมูล (Point-in-Time Recovery)
- การแยกข้อมูลของลูกค้าแต่ละราย (Multi-tenant Isolation)
อย่างไรก็ตาม ไม่มีระบบใดที่สามารถรับประกันความปลอดภัยได้ 100% บริษัทฯ จะใช้ความพยายามตามสมควรเพื่อปกป้องข้อมูล แต่ไม่สามารถรับประกันความปลอดภัยอย่างสมบูรณ์ได้
สิทธิของเจ้าของข้อมูลส่วนบุคคล
ภายใต้ PDPA ท่านมีสิทธิดังต่อไปนี้:
- สิทธิเข้าถึงข้อมูล (มาตรา 30)
- สิทธิขอรับสำเนาและโอนย้ายข้อมูล (มาตรา 31)
- สิทธิคัดค้านการประมวลผล (มาตรา 32)
- สิทธิขอให้ลบหรือทำลายข้อมูล (มาตรา 33)
- สิทธิขอให้ระงับการใช้ข้อมูล (มาตรา 34)
- สิทธิขอให้แก้ไขข้อมูล (มาตรา 35-36)
- สิทธิถอนความยินยอม (มาตรา 19)
- สิทธิร้องเรียน ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)
หมายเหตุสำหรับ End Users: เนื่องจากบริษัทฯ เป็นเพียง Data Processor สำหรับข้อมูลของท่าน ในการใช้สิทธิข้างต้น ท่านควรติดต่อลูกค้าของบริษัทฯ ซึ่งเป็นเจ้าของ LINE Official Account ที่ท่านติดตามอยู่โดยตรง บริษัทฯ จะให้ความร่วมมือกับลูกค้าในการดำเนินการตามคำขอของท่าน
สำหรับ System Users: สามารถใช้สิทธิได้โดยส่งคำขอเป็นลายลักษณ์อักษรมาที่ peerapat@mskads.com บริษัทฯ จะตอบกลับภายใน 30 วัน
การแจ้งเหตุการละเมิดข้อมูล
ในกรณีที่เกิดเหตุการละเมิดข้อมูลส่วนบุคคลที่อาจส่งผลกระทบ ต่อสิทธิและเสรีภาพของเจ้าของข้อมูล บริษัทฯ จะดำเนินการดังนี้:
- แจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ภายใน 72 ชั่วโมง นับแต่ทราบเหตุ ตาม PDPA มาตรา 37(4)
- แจ้งลูกค้า (Data Controller) ที่ได้รับผลกระทบโดยไม่ชักช้า
- แจ้งเจ้าของข้อมูลในกรณีที่เหตุการณ์มีความเสี่ยงสูง ตามที่กฎหมายกำหนด
การร้องเรียน
หากท่านเห็นว่าบริษัทฯ ประมวลผลข้อมูลส่วนบุคคลของท่านไม่ถูกต้องตามกฎหมาย ท่านสามารถร้องเรียนได้ที่:
เว็บไซต์: www.pdpc.or.th
การเปลี่ยนแปลงนโยบาย
บริษัทฯ อาจปรับปรุงนโยบายฉบับนี้เป็นครั้งคราว เมื่อมีการเปลี่ยนแปลง ที่มีนัยสำคัญ บริษัทฯ จะแจ้งให้ทราบล่วงหน้าทางอีเมล หรือผ่านการประกาศบนระบบไม่น้อยกว่า 30 วันก่อนการเปลี่ยนแปลงมีผลบังคับใช้
ติดต่อบริษัทฯ
หากท่านมีคำถามหรือข้อกังวลใดๆ เกี่ยวกับนโยบายฉบับนี้ หรือการประมวลผลข้อมูลส่วนบุคคลของท่าน กรุณาติดต่อ: