ข้ามไปยังเนื้อหา

นโยบายคุ้มครองข้อมูลส่วนบุคคล

สภาต่อต้านทุจริต (สตท.) · เวอร์ชัน 1.0 · มีผลตั้งแต่ 1 มกราคม 2569

1. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

สภาต่อต้านทุจริต (สตท.)

ที่อยู่: — กรุณาตั้งค่าที่อยู่ใน /admin/settings —

ติดต่อ: anticcth@gmail.com

2. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

อีเมล: dpo@satat.or.th

3. ข้อมูลที่เก็บรวบรวม

  • ข้อมูลทั่วไป: ชื่อ-นามสกุล, เพศ, วันเดือนปีเกิด
  • ข้อมูลติดต่อ: เบอร์โทรศัพท์, อีเมล
  • ข้อมูลที่อยู่: ที่อยู่จัดส่ง, จังหวัด, รหัสไปรษณีย์
  • ข้อมูลการเงิน: หลักฐานการชำระเงิน (สลิป), จำนวนเงิน
  • ข้อมูลอ่อนไหว (Sensitive Data): เลขประจำตัวประชาชน — เก็บในรูปเข้ารหัสด้วย AES-256-GCM ตามมาตรา 26
  • ข้อมูลทางเทคนิค: IP address, User-Agent, log การเข้าใช้งาน

4. วัตถุประสงค์ในการประมวลผล

  • จัดการสมาชิกภาพ จัดส่งบัตรสมาชิก ติดต่อสื่อสารเรื่องสมาชิก
  • รับเรื่องร้องเรียน ตรวจสอบ และส่งต่อหน่วยงานที่เกี่ยวข้อง
  • ส่งข่าวสารและประชาสัมพันธ์ (เฉพาะกรณี user ยินยอม)
  • เก็บ audit log เพื่อความปลอดภัยและการตรวจสอบ
  • ปฏิบัติตามกฎหมายที่เกี่ยวข้อง

5. ฐานทางกฎหมาย (Lawful Basis)

  • ความยินยอม (Consent): การส่งข่าวสาร/ประชาสัมพันธ์
  • สัญญา (Contract): การจัดการสมาชิกภาพ
  • ประโยชน์โดยชอบ (Legitimate Interest): การรับเรื่องร้องเรียนเพื่อสาธารณประโยชน์
  • ภาระตามกฎหมาย (Legal Obligation): การเก็บ audit log

6. การเปิดเผยข้อมูลแก่บุคคลที่สาม

  • หน่วยงานรัฐที่เกี่ยวข้อง (เฉพาะกรณีร้องเรียนที่ผ่านการตรวจสอบและยินยอมจากผู้ร้อง)
  • บริษัทขนส่งพัสดุ (เฉพาะข้อมูลที่อยู่จัดส่ง)
  • หน่วยงานกำกับดูแล กรณีมีคำสั่งทางกฎหมาย

7. การโอนข้อมูลไปยังต่างประเทศ

ไม่มีการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ข้อมูลทั้งหมดเก็บในเซิร์ฟเวอร์ในประเทศไทย

8. ระยะเวลาการเก็บรักษา (Retention Policy)

  • ข้อมูลสมาชิก: 5 ปี หลังหมดสมาชิกภาพ
  • ข้อมูลเรื่องร้องเรียน: 10 ปี หลังปิดเรื่อง
  • Audit log: 7 ปี ตามมาตรฐานสากล

หลังพ้นระยะดังกล่าว ข้อมูลจะถูกลบหรือทำให้ไม่สามารถระบุตัวตนได้ (anonymize) โดยอัตโนมัติ

9. มาตรการความปลอดภัย

  • เข้ารหัสข้อมูลอ่อนไหว (เลขบัตรประชาชน) ด้วย AES-256-GCM
  • ส่งผ่าน HTTPS/TLS เท่านั้น
  • การจัดการสิทธิ์การเข้าถึงตามหลัก least privilege (RBAC)
  • เก็บ audit log ทุกการเข้าถึงข้อมูลส่วนบุคคล
  • ทบทวนนโยบายความปลอดภัยอย่างน้อยปีละครั้ง

10. สิทธิของเจ้าของข้อมูล (มาตรา 30-37)

ท่านมีสิทธิดังต่อไปนี้

  • สิทธิ์เข้าถึงข้อมูล (ม.30)
  • สิทธิ์แก้ไขข้อมูลให้ถูกต้อง (ม.36)
  • สิทธิ์ขอให้ลบ/ทำลายข้อมูล (ม.33)
  • สิทธิ์ระงับการใช้ข้อมูล (ม.34)
  • สิทธิ์ขอรับและโอนย้ายข้อมูล (ม.31)
  • สิทธิ์คัดค้านการประมวลผล (ม.32)
  • สิทธิ์ถอนความยินยอม (ม.19)
  • สิทธิร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

11. การใช้สิทธิ

ท่านสามารถใช้สิทธิข้างต้นได้ที่ /privacy/data-request ระบบจะตอบกลับภายใน 30 วันทำการ

12. คุกกี้ (Cookies)

เราใช้คุกกี้เพื่อ session การล็อกอิน, CSRF token, และเพื่อจดจำการตั้งค่าของท่าน ท่านสามารถปฏิเสธคุกกี้ที่ไม่จำเป็นได้ผ่านแบนเนอร์การยินยอมที่ปรากฏบนเว็บไซต์

13. เวอร์ชันและการมีผล

นโยบายเวอร์ชัน 1.0 มีผลตั้งแต่ 1 มกราคม 2569 หากมีการแก้ไข จะแจ้งให้ทราบผ่านเว็บไซต์ล่วงหน้า 30 วัน

14. ช่องทางร้องเรียนต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

หากท่านไม่ได้รับการตอบสนองที่เหมาะสม ท่านสามารถร้องเรียนได้ที่

ใช้สิทธิของท่าน: ส่งคำขอใช้สิทธิ์ตาม PDPA

เราใช้คุกกี้เพื่อการทำงานของเว็บไซต์

ใช้คุกกี้ตาม พ.ร.บ. PDPA · นโยบาย

ตั้งค่าความยินยอม (PDPA)