1. บทนำ
นโยบายนี้อธิบายว่า The C FZE LLC ("เรา") เก็บรวบรวม ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของท่านอย่างไรเมื่อท่านใช้บริการ GiftShop เราปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของประเทศไทย ("PDPA") ซึ่งใช้บังคับกับเราในฐานะผู้ควบคุมข้อมูลที่ให้บริการแก่ผู้ที่อยู่ในประเทศไทย (มาตรา 5) และพระราชกฤษฎีกาคุ้มครองข้อมูลส่วนบุคคลแห่งสหรัฐอาหรับเอมิเรตส์ ฉบับที่ 45 ปี 2564 ("UAE PDPL")
2. ผู้ควบคุมข้อมูล
ผู้ควบคุมข้อมูลส่วนบุคคลของท่าน คือ The C FZE LLC (ใบอนุญาตเลขที่ 4427215.01) ตั้งอยู่ที่ Business Centre, Sharjah Publishing City Free Zone, Sharjah, สหรัฐอาหรับเอมิเรตส์ ติดต่อด้านความเป็นส่วนตัวของข้อมูล: hello@thec.ae
3. ข้อมูลที่เราเก็บรวบรวม
3.1 ข้อมูลบัญชี
ที่อยู่อีเมล รหัสผ่านที่เข้ารหัสแล้ว ภาษาที่ต้องการ และวันที่สร้างบัญชี เก็บเมื่อท่านสมัครใช้บริการ
3.2 ข้อมูลคำสั่งซื้อและการชำระเงิน
รายการคำสั่งซื้อ รายการของเล่นที่ได้รับ ที่อยู่จัดส่ง (เฉพาะเมื่อท่านขอจัดส่งสินค้า) วิธีการชำระเงิน และรหัสอ้างอิงการชำระเงินจาก Omise (เช่น chrg_test_xxx) — เราไม่จัดเก็บหมายเลขบัตรเครดิต รหัส CVV หรือหมายเลขบัญชีธนาคารใด ๆ
3.3 ข้อมูลทางเทคนิค
ที่อยู่ IP, ประเภทเบราว์เซอร์, ประเภทอุปกรณ์, เวลาเข้าใช้งาน และเส้นทางการนำทาง เก็บโดยอัตโนมัติเพื่อความปลอดภัยและการป้องกันการฉ้อโกง คุกกี้ที่จำเป็นต่อการเข้าสู่ระบบ (session cookie) ถูกใช้งานเสมอ ส่วนคุกกี้ประเภทอื่นต้องได้รับความยินยอมจากท่านก่อน (ดูนโยบายคุกกี้)
3.4 ข้อมูลกิจกรรมในมาร์เก็ตเพลส
รายการที่ท่านลงขาย ราคาที่เสนอ ประวัติการประมูล ที่อยู่อีเมลของผู้ที่ติดต่อกับท่านในการทำธุรกรรม เพื่อให้บริการมาร์เก็ตเพลสทำงานได้
4. วัตถุประสงค์และฐานทางกฎหมาย
เราใช้ข้อมูลของท่านเพื่อวัตถุประสงค์และโดยอาศัยฐานทางกฎหมายต่อไปนี้:
- การปฏิบัติตามสัญญา (PDPA ม.24(3); UAE PDPL ม.5(2)): ดำเนินการตามคำสั่งซื้อ ส่งมอบสินค้า ดำเนินการชำระเงิน และให้การสนับสนุน
- หน้าที่ตามกฎหมาย (PDPA ม.24(6); UAE PDPL ม.5(4)): เก็บใบเสร็จและบันทึกบัญชีตามกฎหมายภาษีและการเงินที่บังคับใช้
- ผลประโยชน์โดยชอบด้วยกฎหมาย (PDPA ม.24(5); UAE PDPL ม.5(7)): ป้องกันการฉ้อโกง รักษาความปลอดภัยของแพลตฟอร์ม วิเคราะห์การใช้งานในระดับรวม
- ความยินยอม (PDPA ม.19; UAE PDPL ม.6): การส่งอีเมลการตลาด คุกกี้สำหรับการวิเคราะห์ และการประมวลผลที่ไม่จำเป็นต่อบริการหลัก
5. การเปิดเผยข้อมูล
เราเปิดเผยข้อมูลของท่านต่อบุคคลที่สามต่อไปนี้เท่านั้น:
- Omise (Opn Group): ผู้ประมวลผลการชำระเงิน รับข้อมูลจำนวนเงิน อีเมล และรหัสคำสั่งซื้อ เพื่อสร้างใบรายการชำระเงิน PromptPay (โฮสต์ในประเทศไทย)
- Resend (Resend, Inc.): ผู้ส่งอีเมลธุรกรรม รับเฉพาะที่อยู่อีเมลและเนื้อหาข้อความที่ส่ง (โฮสต์ในสหรัฐอเมริกา)
- Contabo GmbH: ผู้ให้บริการโฮสติ้ง โครงสร้างพื้นฐานเซิร์ฟเวอร์ในสิงคโปร์
- ผู้ใช้คนอื่นบนแพลตฟอร์ม: เมื่อท่านลงขายในมาร์เก็ตเพลส ชื่อผู้ใช้บางส่วน (ส่วนหน้าของอีเมล) จะถูกเปิดเผยเพื่อวัตถุประสงค์ของการทำธุรกรรม
- หน่วยงานราชการ: เมื่อมีกฎหมายกำหนดหรือคำสั่งศาลที่ถูกต้อง
เราไม่ขายข้อมูลของท่านให้กับบุคคลที่สามใด ๆ ทั้งสิ้น
6. การส่งข้อมูลข้ามประเทศ
ข้อมูลของท่านถูกประมวลผลในสหรัฐอาหรับเอมิเรตส์ (ผู้ควบคุมข้อมูล) สิงคโปร์ (เซิร์ฟเวอร์) ไทย (Omise) และสหรัฐอเมริกา (Resend) เราอาศัยมาตรการป้องกันที่เหมาะสมตาม PDPA มาตรา 28 และ UAE PDPL มาตรา 22 รวมถึงสัญญาประมวลผลข้อมูลกับผู้ประมวลผลแต่ละราย หากท่านต้องการสำเนาของสัญญาเหล่านี้ โปรดติดต่อ hello@thec.ae
7. ระยะเวลาการเก็บรักษา
- บัญชีและข้อมูลโปรไฟล์: ตลอดอายุบัญชี และเก็บไว้อีก 1 ปีหลังการลบบัญชีเพื่อแก้ไขข้อพิพาทและป้องกันการฉ้อโกง
- บันทึกคำสั่งซื้อและธุรกรรมการเงิน: 5 ปี ตามที่กฎหมายภาษีของไทยกำหนด
- บันทึกล็อกของระบบ (IP, การเข้าสู่ระบบ): 90 วัน
- เนื้อหาการตลาดที่ส่งให้ท่าน: จนกว่าท่านจะถอนความยินยอม
8. สิทธิของเจ้าของข้อมูล
ภายใต้ PDPA และ UAE PDPL ท่านมีสิทธิดังต่อไปนี้:
- สิทธิเข้าถึง: ขอสำเนาข้อมูลของท่านที่เราเก็บไว้
- สิทธิแก้ไข: ขอให้เราแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์
- สิทธิลบ ("สิทธิในการถูกลืม"): ขอให้ลบข้อมูลของท่านในกรณีที่เรียกเก็บโดยไม่จำเป็นอีกต่อไป
- สิทธิคัดค้าน: คัดค้านการประมวลผลที่อิงผลประโยชน์โดยชอบด้วยกฎหมายหรือเพื่อการตลาดทางตรง
- สิทธิระงับการประมวลผล: ขอให้ระงับการประมวลผลในระหว่างพิจารณาข้อโต้แย้ง
- สิทธิในการพกพาข้อมูล: ขอรับข้อมูลของท่านในรูปแบบที่อ่านได้โดยเครื่องเพื่อโอนไปยังผู้ให้บริการรายอื่น
- สิทธิถอนความยินยอม: ถอนความยินยอมที่ให้ไว้ก่อนหน้าได้ทุกเมื่อ ไม่กระทบต่อการประมวลผลที่ดำเนินการไปก่อนการถอน
- สิทธิร้องเรียน: ยื่นเรื่องร้องเรียนต่อหน่วยงานคุ้มครองข้อมูล (ดูข้อ 11)
ส่งคำขอใช้สิทธิเหล่านี้ไปที่ hello@thec.ae เราจะตอบกลับภายใน 30 วันโดยไม่มีค่าใช้จ่าย เว้นแต่คำขอของท่านเป็นคำขอที่มากเกินไปหรือซ้ำซ้อนอย่างชัดเจน
9. ความปลอดภัยของข้อมูล
เราใช้มาตรการทางเทคนิคและขั้นตอนปฏิบัติเพื่อปกป้องข้อมูลของท่าน รวมถึงการเข้ารหัส TLS สำหรับการสื่อสารทั้งหมด การเข้ารหัสแบบ bcrypt สำหรับรหัสผ่าน การควบคุมการเข้าถึงโดยอ้างอิงบทบาท การสำรองข้อมูลรายวัน และการตรวจสอบบันทึกความปลอดภัยอย่างต่อเนื่อง
10. ผู้เยาว์
บริการนี้ออกแบบสำหรับผู้ที่มีอายุ 18 ปีขึ้นไป เราไม่เก็บรวบรวมข้อมูลส่วนบุคคลของผู้ที่อายุต่ำกว่า 18 ปีโดยเจตนา หากท่านทราบว่าเด็กอายุต่ำกว่า 18 ปีให้ข้อมูลแก่เราโดยไม่ได้รับความยินยอมจากผู้ปกครอง โปรดแจ้งเราที่ hello@thec.ae เพื่อให้เราลบข้อมูลดังกล่าว
11. การร้องเรียน
หากท่านเชื่อว่าการประมวลผลข้อมูลของท่านโดยเราละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านสามารถร้องเรียนได้ที่: (ก) สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ประเทศไทย — pdpc.or.th, (ข) UAE Data Office — dataoffice.gov.ae สำหรับผู้ใช้ในสหรัฐอาหรับเอมิเรตส์
12. การเปลี่ยนแปลงนโยบาย
เราอาจปรับปรุงนโยบายนี้เป็นครั้งคราว เราจะแจ้งให้ท่านทราบทางอีเมลและประกาศบนเว็บไซต์อย่างน้อย 30 วันก่อนที่การเปลี่ยนแปลงสำคัญจะมีผลบังคับใช้