1. บทนำ
นโยบายความเป็นส่วนตัวฉบับนี้ ("นโยบาย") อธิบายวิธีที่ BEST SOLUTION (THAILAND) CO.,LTD. ("เรา", "BestsoGroup") เก็บรวบรวม ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้ ("คุณ", "ผู้ใช้") ที่ใช้บริการแพลตฟอร์มในเครือของเรา รวมถึงเว็บไซต์ BestsoGroup.com, sso.bestsogroup.com, account.bestsogroup.com, แอปพลิเคชันมือถือ และแพลตฟอร์มทั้ง 50 ตัวภายใต้ ecosystem (รวมเรียกว่า "บริการ")
เมื่อคุณสมัครใช้บริการ หรือเข้าใช้บริการของเรา ถือว่าคุณยอมรับและตกลงตามเงื่อนไขของนโยบายฉบับนี้
2. ข้อมูลที่เราเก็บรวบรวม
เราเก็บรวบรวมข้อมูลส่วนบุคคลเฉพาะที่จำเป็นต่อการให้บริการเท่านั้น โดยแบ่งเป็นประเภทดังนี้:
อีเมล ชื่อ-นามสกุล เบอร์โทรศัพท์ รหัสผ่าน (เก็บเป็น bcrypt hash เท่านั้น — เราไม่สามารถเห็นรหัสผ่านของคุณได้) วันเดือนปีเกิด เพศ ภาษา เขตเวลา
เมื่อคุณเข้าสู่ระบบด้วย Google, Facebook หรือ LINE เราได้รับ user ID จากผู้ให้บริการนั้น พร้อมอีเมล ชื่อ และรูปโปรไฟล์ (เฉพาะที่คุณอนุญาต) เราไม่เก็บรหัสผ่านของ social account ของคุณ
ประวัติคำสั่งซื้อ การชำระเงิน ยอด BestaCoin ที่อยู่จัดส่ง วิธีชำระเงิน (เลขบัตรเครดิตเก็บเป็น token เท่านั้น — บริษัทผู้ประมวลผลบัตรเครดิตที่ได้รับมาตรฐาน PCI-DSS เป็นผู้เก็บข้อมูลบัตรจริง)
หมายเลข IP ประเภทเบราว์เซอร์ ระบบปฏิบัติการ ข้อมูลอุปกรณ์ ข้อมูลการใช้งาน (หน้าที่เข้า เวลาที่ใช้) cookies และเทคโนโลยีติดตามอื่นๆ เพื่อรักษาความปลอดภัยและปรับปรุงประสบการณ์ใช้งาน
3. วิธีที่เราใช้ข้อมูล
เราใช้ข้อมูลของคุณเพื่อวัตถุประสงค์ดังต่อไปนี้:
- ให้บริการตามที่คุณร้องขอ — สร้างบัญชี ดำเนินการคำสั่งซื้อ ส่งสินค้า/บริการ
- ตรวจสอบและรักษาความปลอดภัยของบัญชี (Authentication, 2FA, ตรวจจับการเข้าสู่ระบบผิดปกติ)
- ติดต่อสื่อสารเรื่องที่เกี่ยวกับบริการ (รีเซ็ตรหัสผ่าน ยืนยันอีเมล แจ้งเตือนความปลอดภัย)
- ส่งข้อมูลการตลาดและโปรโมชั่น (เฉพาะเมื่อคุณยินยอม opt-in — สามารถยกเลิกได้ทุกเวลา)
- ปฏิบัติตามกฎหมาย เช่น เก็บใบกำกับภาษีตาม พ.ร.บ. บัญชี การปฏิบัติตาม AML/KYC
- ป้องกันการฉ้อโกง การละเมิด และการใช้บริการในทางที่ผิด
- วิเคราะห์การใช้งานเพื่อปรับปรุงบริการ (เป็นข้อมูลรวมที่ไม่สามารถระบุตัวบุคคล)
4. ฐานทางกฎหมายในการประมวลผล (PDPA)
เราประมวลผลข้อมูลของคุณบนฐานทางกฎหมายดังต่อไปนี้ตามมาตรา 24 ของ PDPA:
- ความยินยอม (Consent) — เช่น การส่งข้อมูลการตลาด
- การปฏิบัติตามสัญญา (Contract) — การให้บริการตามที่คุณสมัครใช้
- ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) — เช่น การรักษาความปลอดภัยและการป้องกันการฉ้อโกง
- การปฏิบัติตามกฎหมาย (Legal Obligation) — เช่น การเก็บข้อมูลภาษี การป้องกันการฟอกเงิน
5. การเปิดเผยข้อมูลให้บุคคลภายนอก
เราจะไม่ขายข้อมูลของคุณ แต่อาจเปิดเผยให้บุคคลภายนอกในกรณีดังต่อไปนี้:
- ผู้ให้บริการที่จำเป็น (Service providers) — เช่น Cloudflare (CDN/Hosting), Railway (เซิร์ฟเวอร์), Resend (อีเมล), ThaiBulkSMS (SMS), ผู้ให้บริการชำระเงิน (เช่น Omise, PromptPay)
- แพลตฟอร์มในเครือ BestsoGroup ทั้ง 50 ตัว — เมื่อคุณเข้าสู่ระบบผ่าน SSO ข้อมูล profile พื้นฐาน (ชื่อ อีเมล รูป) จะถูกส่งไปยังแพลตฟอร์มลูกที่คุณ login เข้าใช้
- หน่วยงานราชการ — เมื่อมีคำสั่งศาล หมายค้น หรือคำขอตามกฎหมายจากกรมสรรพากร DSI หรือหน่วยงานบังคับใช้กฎหมาย
- การโอนกิจการ — กรณีบริษัทถูกซื้อขายหรือควบรวม ข้อมูลของคุณอาจถูกโอนไปยังผู้ซื้อ (เราจะแจ้งล่วงหน้า)
6. การส่งข้อมูลข้ามประเทศ
ข้อมูลของคุณส่วนใหญ่เก็บที่ระบบเซิร์ฟเวอร์ในประเทศไทย (Railway data center) อย่างไรก็ตาม บางบริการที่เราใช้ (เช่น Resend, Cloudflare) อาจเก็บข้อมูลในสิงคโปร์หรือสหรัฐอเมริกา เราเลือกเฉพาะผู้ให้บริการที่มีมาตรฐานการคุ้มครองข้อมูลเทียบเท่าหรือสูงกว่า PDPA
7. ระยะเวลาเก็บรักษาข้อมูล
เราเก็บข้อมูลของคุณตามระยะเวลาที่จำเป็น:
- บัญชีที่ใช้งานอยู่ — ตราบเท่าที่บัญชียังเปิดใช้
- บัญชีที่ปิดแล้ว — เก็บไว้ 90 วันเพื่อให้คุณกู้คืนได้ จากนั้นลบอย่างถาวร
- ข้อมูลธุรกรรม — เก็บไว้ 10 ปีตาม พ.ร.บ. บัญชี และ พ.ร.บ. ภาษี
- บันทึก audit log — เก็บไว้ 7 ปี (เพื่อการป้องกันการฉ้อโกงและการสอบสวนทางกฎหมาย)
8. สิทธิของเจ้าของข้อมูล (มาตรา 30-37 PDPA)
คุณมีสิทธิต่อไปนี้ตามกฎหมาย PDPA:
- สิทธิเข้าถึงข้อมูล (Access) — ขอดูข้อมูลที่เราเก็บเกี่ยวกับคุณ
- สิทธิแก้ไขข้อมูล (Rectification) — แก้ไขข้อมูลที่ไม่ถูกต้อง
- สิทธิลบข้อมูล (Erasure) — ขอให้ลบข้อมูล (ภายใต้ข้อจำกัดทางกฎหมาย เช่น ข้อมูลที่ต้องเก็บตาม พ.ร.บ. บัญชี)
- สิทธิระงับการใช้ข้อมูล (Restrict) — ขอระงับการประมวลผล
- สิทธิคัดค้าน (Object) — คัดค้านการประมวลผลในบางกรณี
- สิทธิโอนย้ายข้อมูล (Portability) — ขอข้อมูลในรูปแบบที่อ่านได้ด้วยเครื่อง
- สิทธิเพิกถอนความยินยอม (Withdraw) — ยกเลิกความยินยอมที่เคยให้ไว้
- สิทธิร้องเรียน — ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)
ใช้สิทธิ์ของคุณได้ที่ account.bestsogroup.com → Security → Data Controls หรือส่งอีเมลถึง DPO ที่ privacy@BestSoGroup.com
9. มาตรการรักษาความปลอดภัย
เราใช้มาตรการทางเทคนิคและการบริหารจัดการเพื่อปกป้องข้อมูลของคุณ:
- เข้ารหัสรหัสผ่านด้วย bcrypt (rounds=12) — รหัสผ่านจริงไม่เคยถูกเก็บ
- เข้ารหัสการรับ-ส่งข้อมูลทั้งหมดด้วย HTTPS/TLS 1.3
- Multi-Factor Authentication (2FA) — รองรับ TOTP และ SMS OTP
- JWT token rotation + refresh token denylist เมื่อ logout
- Audit log บันทึกการเข้าถึงข้อมูลสำคัญทุกครั้ง
- การตรวจสอบความปลอดภัยภายในเป็นประจำ
10. คุกกี้และเทคโนโลยีติดตาม
เราใช้ cookies เพื่อจัดการ session การ login (essential cookies — จำเป็นต้องใช้บริการ) และอาจใช้ analytics cookies เพื่อวิเคราะห์การใช้งาน (optional — คุณปฏิเสธได้) ผ่านธนาคารคู่ค้าและพันธมิตรที่ผ่านการตรวจสอบ คุณสามารถจัดการ cookies ได้ผ่านการตั้งค่าเบราว์เซอร์ของคุณ
11. ข้อมูลของผู้เยาว์
บริการของเราออกแบบสำหรับผู้ใช้อายุ 18 ปีขึ้นไป หรือผู้ที่ได้รับความยินยอมจากผู้ปกครอง หากคุณเป็นผู้ปกครองและพบว่าบุตรหลานของคุณให้ข้อมูลแก่เราโดยไม่ได้รับความยินยอม กรุณาติดต่อเราเพื่อลบข้อมูลทันที
12. การเปลี่ยนแปลงนโยบาย
เราอาจปรับปรุงนโยบายฉบับนี้เป็นครั้งคราว การเปลี่ยนแปลงที่สำคัญจะแจ้งให้ทราบล่วงหน้าอย่างน้อย 30 วันผ่านอีเมลหรือประกาศในแอปพลิเคชัน วันที่ปรับปรุงล่าสุดจะแสดงที่ด้านบนของหน้านี้
13. ติดต่อเรา
หากมีคำถามเกี่ยวกับนโยบายความเป็นส่วนตัวหรือต้องการใช้สิทธิ์ของคุณ ติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO):
- อีเมล DPO:
- privacy@BestSoGroup.com