นโยบายความเป็นส่วนตัว Biddust (Privacy Policy) (ฉบับร่าง v1.0)

(ปรับปรุงล่าสุด: 29 ต.ค. 2568)

บริษัท ยูโระ (ไทยแลนด์) จำกัด ("บริษัทฯ", "Biddust", "เรา") ในฐานะผู้ให้บริการแพลตฟอร์มการประมูลออนไลน์ Biddust ("แพลตฟอร์ม") ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลของท่าน ("ผู้ใช้งาน", "ท่าน")

นโยบายความเป็นส่วนตัวฉบับนี้ ("นโยบาย") จัดทำขึ้นเพื่ออธิบายให้ท่านทราบถึงวิธีการที่เราเก็บรวบรวม ใช้ เปิดเผย และประมวลผลข้อมูลส่วนบุคคลของท่าน รวมถึงสิทธิ์ของท่านในฐานะเจ้าของข้อมูลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ("PDPA")

1. ผู้ควบคุมข้อมูลส่วนบุคคล

2. ข้อมูลส่วนบุคคลที่เราเก็บรวบรวม

เราเก็บรวบรวมข้อมูลของท่านในหลายส่วน ดังนี้:

2.1 ข้อมูลที่ท่านให้เราโดยตรง:

• ข้อมูลการสมัครบัญชี: อีเมล, รหัสผ่าน (ที่เข้ารหัส) หรือข้อมูลโปรไฟล์จาก Social Login (เช่น Google)
• ข้อมูลการยืนยันตัวตน (KYC):
  • (Stage 1) ผู้ขายทั่วไป: ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์ (ที่ยืนยันผ่าน OTP), อีเมล (ที่ยืนยันผ่าน OTP)
  • (Stage 2) ผู้ขายที่ยืนยันตัวตนแล้ว (Verified): (เป็นทางเลือก) รูปถ่ายบัตรประชาชน, ทะเบียนการค้า หรือเอกสารจดทะเบียนบริษัท (สำหรับร้านค้า)
• ข้อมูลโปรไฟล์: ชื่อร้านค้า (ถ้ามี), รูปโปรไฟล์, ช่องทางการติดต่ออื่นๆ ที่ท่านเลือกให้ (เช่น LINE ID, Facebook Name)
• ข้อมูลเพื่อการชำระเงิน (สำหรับผู้ขาย): ข้อมูลบัญชีธนาคาร (ชื่อบัญชี, เลขที่บัญชี, ชื่อธนาคาร)

2.2 ข้อมูลที่เรารวบรวมอัตโนมัติ (ข้อมูลทางเทคนิค):

• ข้อมูลการใช้งาน: ข้อมูลการเข้าชมและการใช้งานแพลตฟอร์มของท่าน, รายการประมูลที่ท่านเข้าชมหรือเข้าร่วม (อาจวิเคราะห์โดยใช้ Mixpanel)
• คุกกี้และข้อมูลอุปกรณ์: IP Address, ประเภทของเบราว์เซอร์, ข้อมูลอุปกรณ์, คุกกี้ที่จำเป็น (เช่น Session ID) และคุกกี้เพื่อการวิเคราะห์หรือการตลาด (ดูรายละเอียดในข้อ 6)

2.3 ข้อมูลอ่อนไหว (Sensitive Data):

• เรามีความจำเป็นต้องเก็บ "รูปถ่ายบัตรประชาชน" สำหรับผู้ขายที่ต้องการเป็น "Verified Seller" (Stage 2) ซึ่งหน้าบัตรอาจมี "ข้อมูลศาสนา" อยู่ ซึ่งถือเป็นข้อมูลอ่อนไหว
• การดำเนินการของเรา: เราจะขอให้ท่าน "ปิดบัง" ข้อมูลศาสนา (และกรุ๊ปเลือด) ก่อนการอัปโหลด
• ความยินยอม: ในกระบวนการอัปโหลด เราจะมีการขอ "ความยินยอมโดยชัดแจ้ง" (Explicit Consent) จากท่านแยกต่างหาก เพื่ออนุญาตให้เราประมวลผลข้อมูลนี้เพื่อวัตถุประสงค์ในการยืนยันตัวตนเท่านั้น

3. วัตถุประสงค์และฐานกฎหมายในการประมวลผลข้อมูล

เราประมวลผลข้อมูลของท่านโดยอาศัยฐานทางกฎหมาย ดังนี้:

4. การเปิดเผยข้อมูลส่วนบุคคล

เราอาจเปิดเผยข้อมูลของท่านให้แก่บุคคลภายนอก ดังนี้:

• ระหว่างผู้ใช้งาน: ตามที่ระบุในข้อ 3. (ฐานสัญญา) เราเปิดเผยข้อมูลที่จำเป็นระหว่างผู้ซื้อและผู้ขาย เพื่อให้การทำธุรกรรม (การชำระเงินและการจัดส่ง) สามารถเกิดขึ้นได้
• ผู้ให้บริการภายนอก (Service Providers):
  • ผู้ให้บริการคลาวด์/เซิร์ฟเวอร์: (ดูข้อ 5)
  • ผู้ให้บริการวิเคราะห์/การตลาด: เช่น Google (Analytics), Meta (Facebook Pixel), TikTok, Twitter, Mixpanel (โดยอาศัยความยินยอมของท่าน)
• ตามข้อกำหนดของกฎหมาย: เราอาจเปิดเผยข้อมูลหากจำเป็นเพื่อปฏิบัติตามกฎหมาย หรือตามคำสั่งศาล หรือหน่วยงานของรัฐ

5. การโอนข้อมูลไปต่างประเทศ

ข้อมูลส่วนบุคคลของท่าน (รวมถึงข้อมูล KYC) ถูกจัดเก็บและประมวลผลบนเซิร์ฟเวอร์ของผู้ให้บริการคลาวด์ (DigitalOcean) ซึ่งตั้งอยู่ที่ ประเทศสิงคโปร์

การโอนข้อมูลนี้เกิดขึ้นโดยอาศัยหลักเกณฑ์ที่ PDPA กำหนด เนื่องจากประเทศสิงคโปร์มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอและเป็นที่ยอมรับ และเราได้เข้าทำสัญญากับผู้ให้บริการที่มีมาตรการรักษาความปลอดภัยที่รัดกุม

6. คุกกี้และเทคโนโลยีการติดตาม

แพลตฟอร์มของเรามีการใช้คุกกี้และเทคโนโลยีอื่นที่คล้ายคลึงกัน:

• คุกกี้ที่จำเป็น (Strictly Necessary Cookies): เช่น คุกกี้ Session ที่จำเป็นต่อการล็อกอิน เราใช้คุกกี้เหล่านี้โดยอาศัยฐานประโยชน์อันชอบธรรม (เพื่อให้เว็บทำงานได้)
• คุกกี้ที่ไม่จำเป็น (Non-necessary Cookies):
  • คุกกี้เพื่อการวิเคราะห์ (Analytics): Google Analytics, Mixpanel
  • คุกกี้เพื่อการตลาด (Marketing): Facebook Pixel, TikTok Pixel, Twitter Pixel

  เราจะใช้คุกกี้กลุ่มนี้ ก็ต่อเมื่อได้รับ "ความยินยอม" จากท่านผ่านทาง "แบนเนอร์คุกกี้" (Cookie Banner) เท่านั้น ท่านมีสิทธิ์ที่จะ ยินยอม หรือ ปฏิเสธ คุกกี้เหล่านี้ได้

7. ระยะเวลาการเก็บรักษาข้อมูล (Data Retention)

เราจะเก็บข้อมูลของท่านไว้ตราบเท่าที่จำเป็นเพื่อวัตถุประสงค์ดังกล่าว:

• ข้อมูลบัญชีทั่วไป: เราจะเก็บข้อมูลของท่านไว้ตราบเท่าที่ท่านยังคงสถานะสมาชิก และจะเก็บต่ออีก 90 วัน หลังจากที่ท่านลบบัญชี เพื่อประโยชน์ในการตรวจสอบการฉ้อโกงหรือข้อพิพาททางกฎหมาย
• ข้อมูล KYC (บัตรประชาชน/เอกสารยืนยัน): เราจะเก็บข้อมูลนี้ไว้ตราบเท่าที่ท่านยังคงสถานะ "Verified Seller" และจะทำการลบ/ทำลายข้อมูลดังกล่าวโดยเร็ว (เช่น ภายใน 30 วัน) หลังจากที่ท่านยกเลิกบัญชี หรือ ขอยกเลิกสถานะ Verified
• ข้อมูลการตลาด: เราจะประมวลผลจนกว่าท่านจะ "ถอนความยินยอม"

8. สิทธิ์ของเจ้าของข้อมูล

ท่านมีสิทธิ์ตาม PDPA ดังต่อไปนี้ ซึ่งท่านสามารถร้องขอได้ผ่านช่องทางการติดต่อในข้อ 1:

• สิทธิ์ในการเข้าถึง (Right to Access): ขอรับสำเนาข้อมูลของท่าน
• สิทธิ์ในการแก้ไข (Right to Rectification): แก้ไขข้อมูลของท่านให้ถูกต้อง
• สิทธิ์ในการลบ (Right to Erasure): ขอลบข้อมูลของท่าน (ภายใต้เงื่อนไขที่กฎหมายกำหนด)
• สิทธิ์ในการจำกัดการประมวลผล (Right to Restrict Processing): ขอให้ระงับการใช้ข้อมูล
• สิทธิ์ในการคัดค้าน (Right to Object): คัดค้านการประมวลผลข้อมูล (เช่น การตลาด)
• สิทธิ์ในการโอนย้ายข้อมูล (Right to Data Portability): ขอรับข้อมูลของท่านในรูปแบบที่อ่านได้ทั่วไป
• สิทธิ์ในการถอนความยินยอม (Right to Withdraw Consent): ถอนความยินยอม (เช่น การตลาด, คุกกี้) ได้ทุกเมื่อ

9. มาตรการรักษาความปลอดภัย

เราใช้มาตรการรักษาความปลอดภัยทางเทคนิค (เช่น การเข้ารหัส) และการบริหารจัดการ (เช่น การจำกัดสิทธิ์เข้าถึง) ที่เหมาะสม เพื่อปกป้องข้อมูลของท่านจากการเข้าถึง, ใช้งาน, หรือเปิดเผยโดยไม่ได้รับอนุญาต

10. การเปลี่ยนแปลงนโยบาย

เราอาจแก้ไขเปลี่ยนแปลงนโยบายนี้เป็นครั้งคราว หากมีการเปลี่ยนแปลงที่เป็นสาระสำคัญ เราจะแจ้งให้ท่านทราบผ่านช่องทางที่เหมาะสม (เช่น อีเมล หรือ ประกาศบนแพลตฟอร์ม)