นโยบายคุ้มครองข้อมูลส่วนบุคคล
สภาต่อต้านทุจริต (สตท.) · เวอร์ชัน 1.0 · มีผลตั้งแต่ 1 มกราคม 2569
1. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
สภาต่อต้านทุจริต (สตท.)
ที่อยู่: — กรุณาตั้งค่าที่อยู่ใน /admin/settings —
ติดต่อ: anticcth@gmail.com
2. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
อีเมล: dpo@satat.or.th
3. ข้อมูลที่เก็บรวบรวม
- ข้อมูลทั่วไป: ชื่อ-นามสกุล, เพศ, วันเดือนปีเกิด
- ข้อมูลติดต่อ: เบอร์โทรศัพท์, อีเมล
- ข้อมูลที่อยู่: ที่อยู่จัดส่ง, จังหวัด, รหัสไปรษณีย์
- ข้อมูลการเงิน: หลักฐานการชำระเงิน (สลิป), จำนวนเงิน
- ข้อมูลอ่อนไหว (Sensitive Data): เลขประจำตัวประชาชน — เก็บในรูปเข้ารหัสด้วย AES-256-GCM ตามมาตรา 26
- ข้อมูลทางเทคนิค: IP address, User-Agent, log การเข้าใช้งาน
4. วัตถุประสงค์ในการประมวลผล
- จัดการสมาชิกภาพ จัดส่งบัตรสมาชิก ติดต่อสื่อสารเรื่องสมาชิก
- รับเรื่องร้องเรียน ตรวจสอบ และส่งต่อหน่วยงานที่เกี่ยวข้อง
- ส่งข่าวสารและประชาสัมพันธ์ (เฉพาะกรณี user ยินยอม)
- เก็บ audit log เพื่อความปลอดภัยและการตรวจสอบ
- ปฏิบัติตามกฎหมายที่เกี่ยวข้อง
5. ฐานทางกฎหมาย (Lawful Basis)
- ความยินยอม (Consent): การส่งข่าวสาร/ประชาสัมพันธ์
- สัญญา (Contract): การจัดการสมาชิกภาพ
- ประโยชน์โดยชอบ (Legitimate Interest): การรับเรื่องร้องเรียนเพื่อสาธารณประโยชน์
- ภาระตามกฎหมาย (Legal Obligation): การเก็บ audit log
6. การเปิดเผยข้อมูลแก่บุคคลที่สาม
- หน่วยงานรัฐที่เกี่ยวข้อง (เฉพาะกรณีร้องเรียนที่ผ่านการตรวจสอบและยินยอมจากผู้ร้อง)
- บริษัทขนส่งพัสดุ (เฉพาะข้อมูลที่อยู่จัดส่ง)
- หน่วยงานกำกับดูแล กรณีมีคำสั่งทางกฎหมาย
7. การโอนข้อมูลไปยังต่างประเทศ
ไม่มีการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ข้อมูลทั้งหมดเก็บในเซิร์ฟเวอร์ในประเทศไทย
8. ระยะเวลาการเก็บรักษา (Retention Policy)
- ข้อมูลสมาชิก: 5 ปี หลังหมดสมาชิกภาพ
- ข้อมูลเรื่องร้องเรียน: 10 ปี หลังปิดเรื่อง
- Audit log: 7 ปี ตามมาตรฐานสากล
หลังพ้นระยะดังกล่าว ข้อมูลจะถูกลบหรือทำให้ไม่สามารถระบุตัวตนได้ (anonymize) โดยอัตโนมัติ
9. มาตรการความปลอดภัย
- เข้ารหัสข้อมูลอ่อนไหว (เลขบัตรประชาชน) ด้วย AES-256-GCM
- ส่งผ่าน HTTPS/TLS เท่านั้น
- การจัดการสิทธิ์การเข้าถึงตามหลัก least privilege (RBAC)
- เก็บ audit log ทุกการเข้าถึงข้อมูลส่วนบุคคล
- ทบทวนนโยบายความปลอดภัยอย่างน้อยปีละครั้ง
10. สิทธิของเจ้าของข้อมูล (มาตรา 30-37)
ท่านมีสิทธิดังต่อไปนี้
- สิทธิ์เข้าถึงข้อมูล (ม.30)
- สิทธิ์แก้ไขข้อมูลให้ถูกต้อง (ม.36)
- สิทธิ์ขอให้ลบ/ทำลายข้อมูล (ม.33)
- สิทธิ์ระงับการใช้ข้อมูล (ม.34)
- สิทธิ์ขอรับและโอนย้ายข้อมูล (ม.31)
- สิทธิ์คัดค้านการประมวลผล (ม.32)
- สิทธิ์ถอนความยินยอม (ม.19)
- สิทธิร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)
11. การใช้สิทธิ
ท่านสามารถใช้สิทธิข้างต้นได้ที่ /privacy/data-request ระบบจะตอบกลับภายใน 30 วันทำการ
12. คุกกี้ (Cookies)
เราใช้คุกกี้เพื่อ session การล็อกอิน, CSRF token, และเพื่อจดจำการตั้งค่าของท่าน ท่านสามารถปฏิเสธคุกกี้ที่ไม่จำเป็นได้ผ่านแบนเนอร์การยินยอมที่ปรากฏบนเว็บไซต์
13. เวอร์ชันและการมีผล
นโยบายเวอร์ชัน 1.0 มีผลตั้งแต่ 1 มกราคม 2569 หากมีการแก้ไข จะแจ้งให้ทราบผ่านเว็บไซต์ล่วงหน้า 30 วัน
14. ช่องทางร้องเรียนต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)
หากท่านไม่ได้รับการตอบสนองที่เหมาะสม ท่านสามารถร้องเรียนได้ที่
- อีเมล: pdpc@mdes.go.th
- โทรศัพท์: 02-142-1033
ใช้สิทธิของท่าน: ส่งคำขอใช้สิทธิ์ตาม PDPA