นโยบายความเป็นส่วนตัว
บริษัท เซาท์เทิร์น พลัส เวลเนส จำกัด
เวอร์ชัน 2.0 — มีผลบังคับใช้: 11 กุมภาพันธ์ 2568 | จัดทำตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
1บทนำ
บริษัท เซาท์เทิร์น พลัส เวลเนส จำกัด ("บริษัท" หรือ "เรา") ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ผู้ให้บริการภายใต้แบรนด์รับเฝ้าไข้นครศรี ตระหนักว่าการคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องสำคัญสูงสุด
นโยบายฉบับนี้จัดทำตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และอ้างอิงแนวปฏิบัติของ LINE Company (Thailand) Limited สำหรับผู้ให้บริการที่ใช้งาน LINE Official Account
นโยบายนี้ครอบคลุมการเก็บรวบรวม ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของท่าน ผ่านทุกช่องทาง ได้แก่ เว็บไซต์ nanst.care, LINE Official Account (@nanst), แอปพลิเคชัน LIFF, ระบบบริหารจัดการรับเฝ้าไข้นครศรี และการติดต่อทางโทรศัพท์
2ข้อมูลส่วนบุคคลที่เราเก็บรวบรวม
2.1 ข้อมูลที่ท่านให้โดยตรง
- •ข้อมูลระบุตัวตน: ชื่อ-นามสกุล เลขบัตรประชาชน วันเกิด เพศ รูปถ่าย (eKYC)
- •ข้อมูลติดต่อ: หมายเลขโทรศัพท์ ที่อยู่ อีเมล
- •ข้อมูลสุขภาพ (ข้อมูลอ่อนไหว): ประวัติการเจ็บป่วย อาการ รายงานการดูแล สัญญาณชีพ ยาที่ใช้ — ต้องได้รับความยินยอมโดยชัดแจ้งตามมาตรา 26
- •ข้อมูลการสมัครงาน: ประวัติการศึกษา ประสบการณ์ทำงาน ใบอนุญาตวิชาชีพ ผลตรวจสุขภาพ ผลตรวจประวัติอาชญากรรม
- •คำตอบแบบสอบถาม: ความพึงพอใจ แบบประเมิน ข้อร้องเรียน
2.2 ข้อมูลที่เก็บอัตโนมัติ
- •ข้อมูลจาก LINE OA: LINE User ID, Display Name, Profile Picture, Friendship status, ประวัติการสนทนาผ่าน LINE Official Account, ข้อมูลการใช้งาน Rich Menu
- •ข้อมูลจาก LIFF: ข้อมูลจากแอปพลิเคชัน LINE LIFF (eKYC, GPS check-in, แบบประเมิน, การจอง)
- •ข้อมูลตำแหน่ง: GPS check-in/check-out ของพนักงาน (เฉพาะช่วงเวลาปฏิบัติงาน) ค่าพิกัด ความแม่นยำ
- •ข้อมูลอุปกรณ์: IP address, User Agent, ประเภทอุปกรณ์, ระบบปฏิบัติการ, ภาษา, เขตเวลา
- •ข้อมูลการใช้บริการ: เวลาเข้าใช้งาน กิจกรรมในระบบ บันทึกการใช้บริการ
2.3 ข้อมูลจากบุคคลที่สาม
- •ข้อมูลจากโรงพยาบาลหรือสถานพยาบาลที่เกี่ยวข้อง (เมื่อได้รับอนุญาต)
- •ข้อมูลจากหน่วยงานราชการ (เช่น ผลตรวจประวัติอาชญากรรม)
2.4 ข้อมูลส่วนบุคคลที่ละเอียดอ่อน (Sensitive Data)
- •เอกสารราชการ: กรณียืนยันตัวตน eKYC ด้วยบัตรประชาชน หากมีข้อมูลเชื้อชาติ ศาสนา หรือหมู่เลือดปรากฏอยู่ บริษัทจะดำเนินการลบหรือปิดบังข้อมูลดังกล่าวโดยอัตโนมัติ
- •ข้อมูลสุขภาพ: เก็บรวบรวมเฉพาะเมื่อได้รับความยินยอมโดยชัดแจ้ง (Explicit Consent) ตามมาตรา 26 แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
3วัตถุประสงค์ในการใช้ข้อมูล
3.1 การให้บริการ
- •จัดหาทีมผู้ช่วยพยาบาลที่เหมาะสมกับผู้ป่วย
- •วางแผนการดูแลร่วมกับพยาบาลและแพทย์
- •ยืนยันตัวตนผ่านระบบ eKYC และ LINE Login
- •ติดต่อสื่อสารเกี่ยวกับการบริการผ่าน LINE, โทรศัพท์ และระบบบริหารจัดการ
- •บันทึกและติดตามตำแหน่งการปฏิบัติงานของพนักงาน (GPS check-in)
- •ออกใบเสร็จรับเงินและเอกสารทางบัญชี
3.2 การสมัครงานและบริหารพนักงาน
- •ตรวจสอบคุณสมบัติ ประวัติ และเอกสารผู้สมัคร
- •นัดสัมภาษณ์ ประเมินผล จ่ายค่าตอบแทน
- •จัดตารางเวร ติดตามการปฏิบัติงานผ่านระบบ AI
3.3 การพัฒนาและปรับปรุง
- •วิเคราะห์และปรับปรุงคุณภาพการบริการ
- •สร้างรายงานสถิติที่ไม่ระบุตัวตน
- •ป้องกันการทุจริตและรักษาความปลอดภัย
4ฐานทางกฎหมายในการประมวลผล
บริษัทประมวลผลข้อมูลส่วนบุคคลโดยอาศัยฐานทางกฎหมายดังต่อไปนี้:
- •ความยินยอม (Consent): ข้อมูลทั่วไป ข้อมูลสุขภาพ (Explicit Consent ตามมาตรา 26) ข้อมูลตำแหน่งที่ตั้ง รูปถ่าย eKYC
- •ความจำเป็นตามสัญญา (Contract): การให้บริการดูแลผู้ป่วย สัญญาจ้างพนักงาน การจองบริการ
- •หน้าที่ตามกฎหมาย (Legal Obligation): กฎหมายภาษี กฎหมายแรงงาน มาตรฐานกระทรวงสาธารณสุข คำสั่งศาลหรือหน่วยงานรัฐ
- •ประโยชน์สำคัญต่อชีวิต (Vital Interest): กรณีฉุกเฉินทางการแพทย์ที่ต้องดำเนินการทันที
- •ประโยชน์อันชอบธรรม (Legitimate Interest): ปรับปรุงบริการ ป้องกันการทุจริต รักษาความปลอดภัยของระบบ
- •ประโยชน์สาธารณะ: การปฏิบัติหน้าที่ตามมาตรฐานวิชาชีพด้านสาธารณสุข
5การเปิดเผยข้อมูล
เราอาจเปิดเผยข้อมูลของท่านให้แก่บุคคลต่อไปนี้เท่าที่จำเป็น:
5.1 ภายในองค์กร
- •พยาบาลและผู้ช่วยพยาบาลที่ได้รับมอบหมายดูแลท่าน
- •พนักงานประสานงานและฝ่ายบริหาร (เฉพาะข้อมูลที่จำเป็น)
5.2 บุคคลภายนอก
- •โรงพยาบาลหรือสถานพยาบาลที่เกี่ยวข้อง
- •ผู้ให้บริการเทคโนโลยี (ตามหมวด 7) — ในฐานะผู้ประมวลผลข้อมูล
- •หน่วยงานราชการตามที่กฎหมายกำหนด
5.3 กรณีโอนธุรกิจ
กรณีควบรวมกิจการ ซื้อสินทรัพย์ หรือปรับโครงสร้างองค์กร ข้อมูลอาจถูกโอนไปยังบริษัทผู้รับโอน โดยจะแจ้งให้ท่านทราบล่วงหน้า
5.4 ข้อมูลรวมและข้อมูลที่ไม่ระบุตัวตน
บริษัทอาจใช้ข้อมูลที่ไม่สามารถระบุตัวตนได้ (Anonymized/Aggregated Data) เพื่อการวิเคราะห์ทางสถิติและปรับปรุงบริการ
6ข้อกำหนดเฉพาะ LINE Official Account
บริษัทให้บริการผ่าน LINE Official Account (@nanst) ซึ่งอยู่ภายใต้ข้อกำหนดการใช้งาน LINE Official Account ของ LY Corporation โดยมีข้อปฏิบัติเพิ่มเติมดังนี้:
- •ข้อมูลผู้ใช้ LINE: LINE User ID, Display Name และ Profile Picture ที่ได้รับผ่าน LINE API เป็นข้อมูลของ LY Corporation บริษัทจัดเก็บเพื่อการให้บริการเท่านั้น
- •ประวัติการสนทนา: ข้อความที่ท่านส่งผ่าน LINE OA จะถูกจัดเก็บเพื่อให้บริการ ตอบคำถาม และปรับปรุงคุณภาพบริการ
- •Chatbot อัจฉริยะ: ระบบ AI Chatbot จะวิเคราะห์ประเภทผู้ใช้ (ลูกค้า/พนักงาน/ผู้สมัครงาน) เพื่อตอบคำถามได้ตรงกับความต้องการ
- •การลบข้อมูล: เมื่อท่านบล็อกหรือยกเลิกการเป็นเพื่อน LINE OA บริษัทจะหยุดส่งข้อความหาท่าน แต่อาจยังเก็บข้อมูลที่จำเป็นตามกฎหมาย
- •Friendship 2.1: ระบบตรวจสอบสถานะการเป็นเพื่อนผ่าน LINE Login เพื่อให้ท่านเข้าถึงบริการ LIFF ได้
อ้างอิง: LINE Company (Thailand) Limited Privacy Policy (มีผล 12 ก.ย. 2563, แก้ไข 6 ต.ค. 2568) และ LINE Official Account Terms of Use ข้อ 8, ข้อ 11
7การโอนข้อมูลไปต่างประเทศ
เราใช้ผู้ให้บริการเทคโนโลยีที่มีเซิร์ฟเวอร์ในต่างประเทศ โดยมีมาตรการคุ้มครองเทียบเท่ามาตรฐาน PDPA:
| ผู้ให้บริการ | ประเทศ | วัตถุประสงค์ | มาตรการ |
|---|---|---|---|
| LY Corporation (LINE) | ญี่ปุ่น | ช่องทาง LINE OA, LIFF | APPI (Japan) |
| Supabase (AWS) | สิงคโปร์ | ฐานข้อมูลหลัก | SOC2, Encryption |
| Vercel | สหรัฐอเมริกา | เว็บไซต์ | SOC2, GDPR |
| Railway (n8n) | สหรัฐอเมริกา | Automation workflows | Encryption at rest |
การโอนข้อมูลทุกกรณีดำเนินการภายใต้มาตรการคุ้มครองที่เหมาะสม รวมถึงข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement)
8ระยะเวลาการเก็บรักษาข้อมูล
บริษัทเก็บรักษาข้อมูลตามระยะเวลาที่จำเป็นสำหรับการให้บริการและหน้าที่ตามกฎหมาย:
| ประเภทข้อมูล | ระยะเวลา | อ้างอิง |
|---|---|---|
| ข้อมูลสุขภาพผู้ป่วย | 10 ปี | มาตรฐานทางการแพทย์ |
| บันทึกการดูแลรายวัน | 10 ปี | มาตรฐานวิชาชีพ |
| ข้อมูลการเงิน/ใบเสร็จ | 7 ปี | กฎหมายภาษีอากร |
| ข้อมูลพนักงาน | 5 ปีหลังสิ้นสุดสัญญา | กฎหมายแรงงาน |
| ประวัติสนทนา LINE | 2 ปี | ปรับปรุงบริการ |
| ตำแหน่ง GPS พนักงาน | 30 วันหลังสิ้นสุดสัญญา | PDPA มาตรา 37 |
| ข้อมูล eKYC | 5 ปีหลังยืนยันตัวตน | กฎหมายป้องกันฟอกเงิน |
| ข้อมูลติดต่อลูกค้า | จนกว่าจะร้องขอลบ | ความยินยอม |
| บันทึกความยินยอม | ตลอดไป | หลักฐานทางกฎหมาย |
เมื่อพ้นกำหนดระยะเวลา บริษัทจะลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้
9มาตรการรักษาความปลอดภัย
บริษัทใช้มาตรการรักษาความปลอดภัยทั้งทางเทคนิค กายภาพ และองค์กร:
- •เทคนิค: การเข้ารหัสข้อมูล (Encryption at rest & in transit), Row-Level Security (RLS), API authentication, HTTPS/TLS
- •การควบคุมการเข้าถึง: ระบบสิทธิ์ 4 ระดับ (Super Admin → Admin → Staff → Customer) เข้าถึงเฉพาะข้อมูลที่จำเป็น
- •Audit Trail: บันทึกการเข้าถึงข้อมูลสุขภาพทุกครั้ง พร้อม timestamp และ IP
- •PII Masking: ปกปิดข้อมูลส่วนบุคคลในบันทึกระบบ (System Logs)
- •องค์กร: พนักงานทุกคนต้องลงนามข้อตกลงรักษาความลับ และได้รับอบรมด้านความปลอดภัยข้อมูล
10คุกกี้และเทคโนโลยีติดตาม
- •คุกกี้ที่จำเป็น (Necessary): Session authentication สำหรับ LIFF applications, ความปลอดภัย, การตั้งค่าภาษา
- •LINE LIFF SDK: ใช้สำหรับยืนยันตัวตนและเข้าถึงบริการผ่าน LINE (ไม่มีคุกกี้โฆษณา)
เราไม่ใช้คุกกี้เพื่อการโฆษณาหรือติดตามพฤติกรรมข้ามเว็บไซต์ ท่านสามารถตั้งค่าเบราว์เซอร์เพื่อควบคุมคุกกี้ได้ แต่อาจส่งผลกระทบต่อการใช้งาน LIFF
11สิทธิของเจ้าของข้อมูล
ท่านมีสิทธิตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังนี้:
- •สิทธิถอนความยินยอม: ถอนได้ตลอดเวลา แต่อาจส่งผลต่อการเข้าถึงบริการบางส่วน
- •สิทธิเข้าถึง: ขอรับสำเนาข้อมูลส่วนบุคคลและข้อมูลเกี่ยวกับวิธีการได้มาซึ่งข้อมูล
- •สิทธิแก้ไข: ขอแก้ไขข้อมูลให้ถูกต้อง เป็นปัจจุบัน และครบถ้วน
- •สิทธิโอนย้ายข้อมูล: ขอให้โอนข้อมูลไปยังองค์กรอื่นในรูปแบบที่อ่านได้ด้วยเครื่อง
- •สิทธิคัดค้าน: คัดค้านการเก็บ ใช้ หรือเปิดเผยข้อมูลในบางกรณี
- •สิทธิลบ: ขอลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้ ตามที่กฎหมายอนุญาต
- •สิทธิระงับ: ขอให้ระงับการประมวลผลข้อมูลชั่วคราว
- •สิทธิร้องเรียน: ยื่นเรื่องร้องเรียนต่อสำนักงาน PDPC หากเห็นว่าบริษัทไม่ปฏิบัติตามกฎหมาย
ใช้สิทธิผ่าน LINE @nanst หรือโทร 092-948-9979 — ดำเนินการภายใน 30 วันนับจากวันที่ได้รับคำร้อง
12ผู้เยาว์และเด็ก
บริษัทไม่เก็บรวบรวมข้อมูลส่วนบุคคลจากเด็กอายุต่ำกว่า 11 ปี โดยเจตนา ตามข้อกำหนดของกฎหมายไทย หากพบว่าได้เก็บข้อมูลของเด็กดังกล่าว บริษัทจะดำเนินการลบทันที
สำหรับผู้เยาว์อายุ 11-20 ปี ต้องได้รับความยินยอมจากผู้ปกครอง ก่อนใช้บริการ
13การแจ้งเหตุข้อมูลรั่วไหล
ในกรณีที่เกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหล:
- •แจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ภายใน 72 ชั่วโมง
- •หากเหตุการณ์มีความรุนแรง จะแจ้งเจ้าของข้อมูลที่ได้รับผลกระทบผ่าน LINE และโทรศัพท์โดยไม่ชักช้า
- •ดำเนินมาตรการแก้ไขและป้องกันไม่ให้เกิดเหตุการณ์ซ้ำ
14ลิงก์ของบุคคลที่สาม
เว็บไซต์และบริการของบริษัทอาจมีลิงก์ไปยังเว็บไซต์ของบุคคลที่สาม (เช่น LINE, Facebook) นโยบายฉบับนี้ไม่ครอบคลุมการจัดการข้อมูลของเว็บไซต์ดังกล่าว กรุณาอ่านนโยบายความเป็นส่วนตัวของแต่ละเว็บไซต์ก่อนใช้งาน
15การเปลี่ยนแปลงนโยบาย
บริษัทอาจปรับปรุงนโยบายฉบับนี้เป็นครั้งคราว โดยจะแจ้งให้ท่านทราบล่วงหน้าผ่าน LINE Official Account และเว็บไซต์ nanst.care ก่อนมีผลบังคับใช้
| เวอร์ชัน | วันที่ | การเปลี่ยนแปลง |
|---|---|---|
| 1.0 | 1 ม.ค. 2568 | ฉบับแรก |
| 1.1 | 11 ก.พ. 2568 | เพิ่ม LINE OA terms, ระยะเวลาเก็บข้อมูล, คุกกี้, DPO |
| 2.0 | 11 ก.พ. 2568 | ฉบับเต็มตาม LINE OA Privacy Policy + PDPA ครบทุกมาตรา |
16การติดต่อและเจ้าหน้าที่คุ้มครองข้อมูล
หากท่านมีข้อสงสัยเกี่ยวกับนโยบายนี้ หรือต้องการใช้สิทธิตาม PDPA กรุณาติดต่อ:
ผู้ควบคุมข้อมูลส่วนบุคคล
บริษัท เซาท์เทิร์น พลัส เวลเนส จำกัด
133/2 ซอยพลกำจัด ต.ในเมือง อ.เมือง จ.นครศรีธรรมราช 80000
โทร: 092-948-9979 | LINE: @nanst
อีเมล: care.center.na.nst@gmail.com