นโยบายความเป็นส่วนตัว (Privacy Policy)
ปรับปรุงล่าสุด: 3 มิถุนายน 2569 · บังคับใช้ตั้งแต่: 3 มิถุนายน 2569
สารบัญ
1. ขอบเขตและการมีผล
นโยบายฉบับนี้ใช้กับการให้บริการ SensorMonitor (โดเมน vrcloud.win และโดเมนย่อย) โดย บริษัท VR Automation Co., Ltd. ผู้ให้บริการ ในฐานะ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
บริการนี้เกี่ยวข้องกับการ เก็บข้อมูล sensor IoT (อุณหภูมิ ความชื้น ค่ามิเตอร์ ฯลฯ) ไม่ใช่ข้อมูลส่วนบุคคลละเอียดอ่อน แต่อาจมี metadata บัญชีผู้ใช้ที่อยู่ภายใต้ PDPA
2. ข้อมูลที่เราเก็บ
2.1 ข้อมูลบัญชีผู้ใช้
- username (โดยปกติเป็นชื่อหรือ email)
- รหัสผ่าน เก็บแบบ scrypt hash ไม่สามารถถอดกลับได้
- role (owner/admin/staff)
- เวลาเข้าใช้งานครั้งล่าสุด (last_login_at)
- IP address ตอนเข้าใช้งาน (audit log)
2.2 ข้อมูลการใช้งาน (Telemetry)
- ค่า sensor ที่ระบบดึงจาก Modbus device (ไม่ระบุตัวบุคคล)
- action ใน audit log (login, create, update, delete) พร้อม IP + timestamp
2.3 ข้อมูลที่ติดต่อขาย (ถ้ากรอกในระบบ)
- PromptPay ID, เบอร์โทร, ที่อยู่ email, ชื่อบริษัท
- เก็บใน DB encrypted at rest
3. วัตถุประสงค์ในการใช้ข้อมูล
- ให้บริการ Dashboard และระบบควบคุม IoT ตามที่ผู้ใช้สมัคร
- ตรวจสอบความปลอดภัยและ audit ตาม PDPA Art. 22
- การติดต่อเพื่อสนับสนุนหรือออกใบเสนอราคา/ใบกำกับภาษี
- วิเคราะห์การใช้งานเพื่อปรับปรุงระบบ (ไม่ระบุตัวบุคคล)
4. การแบ่งปันข้อมูล
เราจะ ไม่ขาย และ ไม่แบ่งปัน ข้อมูลส่วนบุคคลกับบุคคลที่สามเพื่อวัตถุประสงค์ทางการตลาด ยกเว้น:
- ผู้ให้บริการ infrastructure: Cloudflare (CDN/Tunnel), Backblaze B2 / Google Drive (off-site backup ที่ลูกค้าตั้งเอง)
- หน่วยงานราชการ: ตามคำสั่งศาลหรือกฎหมายเท่านั้น
- QR generator: promptpay.io (open-source) — ใช้สร้าง QR PromptPay แสดงในหน้า upgrade (ไม่ส่งข้อมูลส่วนบุคคล)
5. การเก็บรักษาและความปลอดภัย
5.1 ระยะเวลาเก็บ
- บัญชีผู้ใช้: ตลอดอายุการใช้งาน + 90 วันหลังลบบัญชี (ตามกฎหมายภาษี)
- Audit log: 2 ปี (PDPA + IT-GRC standard)
- ค่า sensor: ตามแพ็กเกจที่เลือก (Free=30 วัน, Pro=90 วัน, Enterprise=ไม่จำกัด)
- Backup: 30 วันบน VPS + 30 วันบน off-site (ตั้งค่าได้)
5.2 มาตรการรักษาความปลอดภัย
- TLS 1.3 ทุกการเชื่อมต่อ (Cloudflare Tunnel + Let's Encrypt)
- รหัสผ่าน: scrypt hash (cost factor สูง)
- Encryption at rest สำหรับ MQTT credentials + broker passwords (AES-256-GCM)
- Rate limiting + helmet + CSRF guard + audit log
- เซิร์ฟเวอร์ตั้งอยู่ในไทย (Bangkok region)
6. คุกกี้ (Cookies)
เราใช้คุกกี้ เฉพาะที่จำเป็น เพื่อให้ระบบทำงาน:
vrsm_sid: session cookie (HttpOnly · SameSite=Lax · 7 วัน) — ทำให้คุณ login ได้vrsm_pdpa: บันทึกว่าคุณรับทราบ cookie banner แล้ว (1 ปี · ไม่มีข้อมูลส่วนบุคคล)
เรา ไม่ใช้ tracking cookie / advertising cookie / Google Analytics / Facebook Pixel หรืออื่นๆ ที่ติดตามผู้ใช้ระหว่างเว็บไซต์
7. สิทธิของเจ้าของข้อมูล (PDPA Art. 30-37)
คุณมีสิทธิ์ดังต่อไปนี้:
- เข้าถึงและขอสำเนา: ส่ง email ขอ data export
- แก้ไข: อัปเดต profile ผ่านระบบเองได้ทันที
- ลบ: ส่ง email ขอลบบัญชี (กระบวนการ 15 วัน)
- คัดค้านการประมวลผล: ส่ง email พร้อมเหตุผล
- เคลื่อนย้ายข้อมูล: ขอ export เป็น JSON ได้
- ร้องเรียนต่อ สคส.: หากเห็นว่าเราละเมิด PDPA ติดต่อสำนักงานคุ้มครองข้อมูลส่วนบุคคลได้ที่ pdpc.or.th
8. ติดต่อเรา (Data Protection Officer)
หากมีคำถามเกี่ยวกับนโยบายฉบับนี้หรือต้องการใช้สิทธิ์ตาม PDPA:
- 📧 Email: [email protected]
- 📱 LINE OA: @vrauto
- 🏢 VR Automation Co., Ltd. (Thailand)
เราอาจปรับปรุงนโยบายนี้เป็นครั้งคราว · เวอร์ชันล่าสุดอยู่ที่หน้านี้เสมอ