เอกสารทางกฎหมาย / Legal Document

นโยบายความเป็นส่วนตัว

Privacy Policy (PDPA Compliant)

ปรับปรุงล่าสุด: 9 เมษายน 2569 (9 April 2026)

บริษัท เดป ทูโก จำกัด (ต่อไปนี้เรียกว่า "บริษัท" หรือ "DepToGo") ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลของท่าน นโยบายฉบับนี้จัดทำขึ้นเพื่อชี้แจงรายละเอียดเกี่ยวกับการเก็บรวบรวม การใช้ การเปิดเผย การเก็บรักษา และการคุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และกฎหมายอื่นที่เกี่ยวข้อง การที่ท่านใช้งานเว็บไซต์ ซื้อสินค้าดิจิทัล หรือใช้บริการของบริษัท ถือว่าท่านได้อ่านและรับทราบนโยบายฉบับนี้แล้ว

1. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

บริษัททำหน้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตามนิยามของ PDPA สำหรับข้อมูลที่เก็บรวบรวมผ่านเว็บไซต์ deptogo.com และบริการที่เกี่ยวข้อง

บริษัท เดป ทูโก จำกัด

เลขประจำตัวผู้เสียภาษี: 0135563020222

ที่อยู่: 55/207 หมู่ 3 ต.คลองสาม อ.คลองหลวง จ.ปทุมธานี 12120

เว็บไซต์: https://deptogo.com

อีเมลติดต่อเรื่องข้อมูลส่วนบุคคล (DPO): [email protected]

2. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม (Personal Data Collected)

บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านในประเภทต่าง ๆ ดังนี้:

  • ข้อมูลระบุตัวตนและติดต่อ: ชื่อ-นามสกุล, อีเมล, เบอร์โทรศัพท์, ที่อยู่ในการออกใบกำกับภาษี และบัญชีโซเชียลมีเดีย (ถ้ามี)
  • ข้อมูลภาษี: เลขประจำตัวประชาชน หรือเลขประจำตัวผู้เสียภาษี เฉพาะกรณีที่ท่านขอใบกำกับภาษีเต็มรูปแบบ
  • ข้อมูลบัญชีผู้ใช้: ชื่อผู้ใช้ รหัสผ่าน (เก็บในรูปแบบเข้ารหัส) และการตั้งค่าบัญชี
  • ข้อมูลการซื้อและดาวน์โหลด: ประวัติการสั่งซื้อ รายการสินค้าดิจิทัลที่ซื้อ วันเวลาและจำนวนครั้งในการดาวน์โหลด หมายเลขใบเสร็จ และสถานะการชำระเงิน
  • ข้อมูลการชำระเงิน: บริษัทไม่จัดเก็บข้อมูลบัตรเครดิต/เดบิตของท่านในระบบของบริษัท ข้อมูลบัตรทั้งหมดจะถูกประมวลผลโดยตรงผ่าน Payment Gateway ที่ได้รับการรับรองมาตรฐาน PCI-DSS ระดับ 1 บริษัทจัดเก็บเพียงรหัสอ้างอิงธุรกรรม (Transaction ID) เท่านั้น
  • ข้อมูลทางเทคนิค: หมายเลข IP Address, ประเภทอุปกรณ์, เบราว์เซอร์, ระบบปฏิบัติการ, เวลาเข้าชม, หน้าเว็บที่อ้างอิง (Referrer), ข้อมูล Cookie และพฤติกรรมการใช้งานเว็บไซต์
  • ข้อมูลการสื่อสาร: เนื้อหาข้อความ อีเมล บทสนทนาในระบบ Live Chat บันทึกการติดต่อฝ่ายบริการลูกค้า
  • ข้อมูลลายน้ำ: บริษัทฝังอีเมลของท่าน และรหัสคำสั่งซื้อในไฟล์ PDF ที่ท่านดาวน์โหลด เพื่อป้องกันการละเมิดลิขสิทธิ์ (ดูรายละเอียดเพิ่มเติมในข้อกำหนดการใช้บริการ)

3. ฐานทางกฎหมายในการประมวลผล (Legal Basis)

บริษัทประมวลผลข้อมูลส่วนบุคคลของท่านบนฐานทางกฎหมายดังต่อไปนี้:

  • ฐานสัญญา (Contract) — เพื่อส่งมอบสินค้าดิจิทัล จัดการบัญชีผู้ใช้ ประมวลผลการชำระเงิน และปฏิบัติตามคำสั่งซื้อของท่าน
  • ฐานความยินยอม (Consent) — เมื่อท่านให้ความยินยอมโดยชัดแจ้ง เช่น การรับข่าวสารทางการตลาด การรับโปรโมชั่นผ่านอีเมล หรือ Cookie ประเภท Non-essential
  • ฐานประโยชน์อันชอบด้วยกฎหมาย (Legitimate Interest) — เพื่อพัฒนาคุณภาพบริการ ป้องกันการทุจริต รักษาความปลอดภัยของระบบ และป้องกันการละเมิดลิขสิทธิ์ (เช่น การฝังลายน้ำในไฟล์)
  • ฐานหน้าที่ตามกฎหมาย (Legal Obligation) — เช่น การเก็บข้อมูลใบกำกับภาษี เอกสารทางบัญชี ตามที่ประมวลรัษฎากรและกฎหมายอื่นกำหนด

4. วัตถุประสงค์ในการประมวลผล (Purpose of Processing)

บริษัทใช้ข้อมูลส่วนบุคคลของท่านเพื่อวัตถุประสงค์ดังต่อไปนี้:

  • ส่งมอบสินค้าดิจิทัล (ลิงก์ดาวน์โหลด ไฟล์ PDF) และบริการให้แก่ท่าน
  • ประมวลผลการชำระเงินและออกใบกำกับภาษี/ใบเสร็จรับเงินอิเล็กทรอนิกส์
  • บริหารจัดการบัญชีผู้ใช้ การยืนยันตัวตน และการให้บริการหลังการขาย
  • ติดต่อสื่อสารกรณีจำเป็น เช่น แจ้งอัปเดตสินค้า แจ้งการเปลี่ยนแปลงเงื่อนไขบริการ
  • ส่งข้อมูลข่าวสาร โปรโมชั่น และการตลาด (เฉพาะกรณีที่ท่านยินยอม)
  • วิเคราะห์พฤติกรรมผู้ใช้ ปรับปรุงเว็บไซต์และคุณภาพของสินค้า
  • ป้องกันและตรวจจับการทุจริต การฉ้อโกง และการละเมิดลิขสิทธิ์สินค้าดิจิทัล
  • ปฏิบัติตามกฎหมาย ข้อบังคับ คำสั่งของหน่วยงานรัฐ หรือคำสั่งศาล

5. การเปิดเผยและส่งต่อข้อมูล (Data Sharing)

บริษัทจะไม่ขายหรือให้เช่าข้อมูลส่วนบุคคลของท่านแก่บุคคลที่สามเพื่อวัตถุประสงค์ทางการตลาด อย่างไรก็ตาม บริษัทอาจเปิดเผยหรือส่งต่อข้อมูลของท่านให้แก่ผู้ประมวลผลข้อมูล (Data Processor) ที่จำเป็นต่อการให้บริการ ภายใต้สัญญาการประมวลผลข้อมูล (Data Processing Agreement) ดังนี้:

  • Resend (บริการส่งอีเมลธุรกรรม): ใช้สำหรับส่งใบเสร็จรับเงิน ลิงก์ดาวน์โหลดสินค้า และการแจ้งเตือนต่าง ๆ ไปยังอีเมลของท่าน ข้อมูลที่แชร์: อีเมล, ชื่อ, เนื้อหาอีเมล
  • Omise (ผู้ให้บริการ Payment Gateway): ใช้สำหรับประมวลผลการชำระเงินผ่านบัตรเครดิต/เดบิตและ PromptPay อย่างปลอดภัย Omise ได้รับการรับรองมาตรฐาน PCI-DSS ระดับ 1 ข้อมูลที่แชร์: ชื่อ, อีเมล, ยอดเงิน, ข้อมูลบัตร (ส่งตรงไปยัง Omise โดยไม่ผ่านเซิร์ฟเวอร์ของบริษัท)
  • Chatwoot (ระบบ CRM และ Live Chat): ใช้สำหรับจัดการข้อความสอบถาม และบันทึกประวัติการติดต่อฝ่ายบริการลูกค้า ข้อมูลที่แชร์: ชื่อ, อีเมล, เนื้อหาบทสนทนา (บริษัทโฮสต์ระบบ Chatwoot บนเซิร์ฟเวอร์ของบริษัทเอง)
  • ผู้ให้บริการคลาวด์และโครงสร้างพื้นฐาน: เช่น ผู้ให้บริการ Hosting, CDN, Database, Storage ที่จำเป็นต่อการทำงานของเว็บไซต์
  • ที่ปรึกษาทางบัญชีและภาษี: เพื่อจัดทำบัญชีและยื่นแบบภาษีตามที่กฎหมายกำหนด
  • หน่วยงานราชการ: กรมสรรพากร, สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล, ศาล หรือหน่วยงานอื่น เมื่อได้รับคำร้องขอตามกฎหมาย

บริษัทจะกำหนดให้ผู้ประมวลผลข้อมูลทุกรายรักษาความลับ และคุ้มครองข้อมูลส่วนบุคคลตามมาตรฐานเดียวกับที่บริษัทใช้

6. การส่งหรือโอนข้อมูลไปต่างประเทศ (International Transfers)

ผู้ให้บริการบางรายที่บริษัทใช้งาน เช่น Resend (สำนักงานใหญ่ในสหรัฐอเมริกา) และ Omise (มีโครงสร้างพื้นฐานในหลายประเทศรวมถึงสิงคโปร์) อาจมีการประมวลผลข้อมูลนอกราชอาณาจักรไทย

ในการส่งหรือโอนข้อมูลไปต่างประเทศ บริษัทได้ดำเนินการให้มีมาตรการคุ้มครองที่เหมาะสมตามมาตรา 28 และ 29 ของ PDPA ได้แก่:

  • เลือกผู้ให้บริการที่มีมาตรฐานการคุ้มครองข้อมูลในระดับสากล เช่น SOC 2, ISO 27001, GDPR-compliant
  • จัดทำสัญญาการประมวลผลข้อมูล (Data Processing Agreement) ที่มีข้อกำหนดการคุ้มครองข้อมูลที่เพียงพอ
  • ใช้มาตรการทางเทคนิค เช่น การเข้ารหัสข้อมูลระหว่างส่ง (TLS/SSL)

7. การใช้คุกกี้ (Cookies)

เว็บไซต์ของบริษัทใช้คุกกี้และเทคโนโลยีในลักษณะเดียวกัน เพื่อให้เว็บไซต์ทำงานได้อย่างถูกต้องและปรับปรุงประสบการณ์ของท่าน โดยแบ่งเป็นประเภทดังนี้:

  • Essential Cookies (จำเป็น): ใช้เพื่อการล็อกอิน การรักษาเซสชัน (Session Cookie) และตะกร้าสินค้า ไม่สามารถปิดได้
  • Live Chat Cookies: ใช้โดย Chatwoot Widget เพื่อเก็บประวัติการสนทนา และระบุตัวท่านเมื่อกลับมาใช้งานอีกครั้ง
  • Analytics Cookies: ใช้เพื่อวิเคราะห์พฤติกรรมการใช้งานเว็บไซต์โดยรวม (แบบไม่ระบุตัวตน)
  • Preference Cookies: จดจำการตั้งค่าของท่าน เช่น ภาษา

ท่านสามารถจัดการหรือปิดการใช้งานคุกกี้ได้ผ่านการตั้งค่าเบราว์เซอร์ อย่างไรก็ตาม การปิดคุกกี้ประเภทจำเป็นอาจส่งผลให้ไม่สามารถใช้งานบางฟีเจอร์ได้

8. ระยะเวลาการเก็บรักษาข้อมูล (Data Retention)

บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้เพียงเท่าที่จำเป็น ตามวัตถุประสงค์ที่ระบุไว้ในนโยบายฉบับนี้ หรือเท่าที่กฎหมายกำหนด ดังนี้:

  • ข้อมูลบัญชีผู้ใช้: ตลอดระยะเวลาที่บัญชียังคงใช้งานอยู่ และเก็บต่ออีก 2 ปี หลังจากบัญชีถูกปิด
  • ข้อมูลการซื้อและดาวน์โหลด: อย่างน้อย 5 ปี นับจากวันที่ทำรายการ ตามที่ประมวลรัษฎากรและกฎหมายบัญชีกำหนด
  • ใบกำกับภาษี/ใบเสร็จ: อย่างน้อย 5 ปี ตามที่กฎหมายภาษีกำหนด
  • บันทึกการสนทนาและอีเมล: 2 ปี นับจากการติดต่อครั้งล่าสุด
  • Log การเข้าใช้งานระบบ: 90 วัน (ตามที่ พ.ร.บ. คอมพิวเตอร์ฯ กำหนด)

หลังพ้นระยะเวลาที่กำหนด บริษัทจะลบหรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้ (Anonymization)

9. มาตรการรักษาความปลอดภัย (Security Measures)

บริษัทมีมาตรการรักษาความปลอดภัยทั้งทางด้านเทคนิคและทางด้านองค์กร ที่เหมาะสม เพื่อป้องกันการเข้าถึง ใช้ เปลี่ยนแปลง เปิดเผยหรือทำลายข้อมูลโดยไม่ได้รับอนุญาต รวมถึง:

  • การเข้ารหัสข้อมูลระหว่างส่ง (TLS/SSL) และระหว่างเก็บ (At-Rest Encryption)
  • การเข้ารหัสรหัสผ่านแบบทางเดียว (Hashing) ด้วยอัลกอริทึมมาตรฐาน
  • การควบคุมสิทธิ์การเข้าถึงตามหน้าที่ (Role-based Access Control)
  • การสำรองข้อมูลและแผนกู้คืนระบบ (Backup & DR)
  • การตรวจสอบและบันทึก Log การเข้าใช้งานระบบ
  • การอบรมพนักงานเรื่องการคุ้มครองข้อมูลส่วนบุคคล

10. สิทธิของเจ้าของข้อมูลส่วนบุคคล (Your Rights under PDPA)

ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิตามมาตรา 30-36 ของ PDPA ดังต่อไปนี้:

  • สิทธิในการเข้าถึงข้อมูล (Right to Access) — ขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลของตน
  • สิทธิในการแก้ไขข้อมูล (Right to Rectification) — ขอแก้ไขข้อมูลให้ถูกต้องและเป็นปัจจุบัน
  • สิทธิในการลบข้อมูล (Right to Erasure) — ขอลบหรือทำลายข้อมูล หรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้
  • สิทธิในการระงับการใช้ข้อมูล (Right to Restrict) — ขอให้ระงับการใช้ข้อมูลชั่วคราว
  • สิทธิในการคัดค้าน (Right to Object) — คัดค้านการประมวลผลข้อมูล โดยเฉพาะเพื่อวัตถุประสงค์ทางการตลาด
  • สิทธิในการโอนย้ายข้อมูล (Right to Data Portability) — ขอรับข้อมูลในรูปแบบที่สามารถอ่านหรือใช้งานด้วยเครื่องมือ หรือขอให้โอนย้ายข้อมูลไปยังผู้ควบคุมข้อมูลรายอื่น
  • สิทธิในการเพิกถอนความยินยอม (Right to Withdraw Consent) — เพิกถอนความยินยอมที่เคยให้ไว้ได้ตลอดเวลา (การเพิกถอนจะไม่ส่งผลย้อนหลังต่อการประมวลผลที่ทำไปแล้วโดยชอบ)
  • สิทธิในการร้องเรียน (Right to Lodge a Complaint) — ร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) หากเห็นว่าการประมวลผลข้อมูลของบริษัทไม่ชอบด้วยกฎหมาย

ท่านสามารถใช้สิทธิดังกล่าวได้โดยติดต่อมาที่ [email protected] บริษัทจะดำเนินการตามคำร้องของท่านภายใน 30 วันนับจากวันที่ได้รับคำร้อง โดยไม่มีค่าใช้จ่าย (เว้นแต่มีเหตุอันควรตามที่กฎหมายกำหนด)

11. การร้องเรียน (How to Complain)

หากท่านเห็นว่าการประมวลผลข้อมูลส่วนบุคคลของบริษัทไม่เป็นไปตามกฎหมาย ท่านสามารถร้องเรียนได้ 2 ช่องทางดังนี้:

  1. ติดต่อบริษัทโดยตรง: ส่งอีเมลมาที่ [email protected] บริษัทจะตอบกลับภายใน 30 วัน
  2. ร้องเรียนต่อหน่วยงานกำกับดูแล: สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)

    เว็บไซต์: https://www.pdpc.or.th

    อีเมล: [email protected]

    ที่อยู่: สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษาฯ อาคารรัฐประศาสนภักดี (อาคาร B) ชั้น 7 เลขที่ 120 หมู่ 3 ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพฯ 10210

12. การเปลี่ยนแปลงนโยบาย (Policy Updates)

บริษัทอาจปรับปรุงนโยบายฉบับนี้เป็นครั้งคราว เพื่อให้สอดคล้องกับการเปลี่ยนแปลงของกฎหมาย แนวทางปฏิบัติ หรือบริการของบริษัท การเปลี่ยนแปลงจะมีผลบังคับใช้เมื่อประกาศบนเว็บไซต์ พร้อมระบุวันที่ปรับปรุงล่าสุดในส่วนหัวของนโยบาย บริษัทขอแนะนำให้ท่านตรวจสอบนโยบายฉบับนี้เป็นระยะ

13. ติดต่อเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Contact)

หากท่านมีข้อสงสัย ข้อร้องเรียน หรือต้องการใช้สิทธิ เกี่ยวกับข้อมูลส่วนบุคคลของท่าน กรุณาติดต่อ:

บริษัท เดป ทูโก จำกัด

เลขประจำตัวผู้เสียภาษี: 0135563020222

ที่อยู่: 55/207 หมู่ 3 ต.คลองสาม อ.คลองหลวง จ.ปทุมธานี 12120

อีเมล: [email protected]

เว็บไซต์: https://deptogo.com