← กลับหน้าหลัก

นโยบายความเป็นส่วนตัว

สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

อัปเดตล่าสุด: พฤษภาคม 2026

Attenly (“เรา”) ให้บริการระบบลงเวลางานผ่าน LINE สำหรับองค์กร เราเคารพความเป็นส่วนตัวและจัดการข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

1. ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล

  • ผู้ควบคุมข้อมูล (Data Controller): บริษัท/องค์กรที่เปิดใช้งาน Attenly (นายจ้างของคุณ) เป็นผู้กำหนดวัตถุประสงค์การเก็บและใช้ข้อมูลพนักงาน
  • ผู้ประมวลผลข้อมูล (Data Processor): Attenly ทำหน้าที่ประมวลผลข้อมูลตามคำสั่งของผู้ควบคุมข้อมูลเท่านั้น

2. ข้อมูลส่วนบุคคลที่เก็บรวบรวม

  • LINE Profile: ชื่อแสดงผล, รูปโปรไฟล์, LINE User ID
  • ข้อมูลพนักงาน: ชื่อ-นามสกุล, เบอร์โทรศัพท์, รหัสพนักงาน, ตำแหน่ง
  • ข้อมูลการเข้างาน: วันที่และเวลาเช็คอิน/เช็คเอาท์ (Bangkok timezone)
  • ข้อมูลตำแหน่ง (GPS): พิกัด latitude/longitude ขณะเช็คอิน — ใช้ตรวจ geo-fence เท่านั้น ไม่ติดตามต่อเนื่อง
  • ข้อมูลเทคนิค: session token (JWT), timestamp การใช้งาน

3. วัตถุประสงค์และฐานทางกฎหมาย

  • บันทึกและแสดงประวัติเข้า-ออกงาน — ฐานสัญญาจ้างแรงงาน
  • ให้ HR/เจ้าของบริษัทบริหารจัดการการเข้างาน — ฐานประโยชน์โดยชอบด้วยกฎหมาย
  • ส่งออกรายงานไปยัง Google Drive/Sheets ของบริษัท — ฐานความยินยอม (เฉพาะเมื่อ HR เชื่อมต่อ)
  • ปรับปรุงประสิทธิภาพระบบ — ฐานประโยชน์โดยชอบด้วยกฎหมาย

4. การเปิดเผยข้อมูลแก่บุคคลที่สาม

เราไม่ขายข้อมูลส่วนบุคคล ข้อมูลจะถูกประมวลผลโดยผู้ให้บริการต่อไปนี้:

  • Supabase (สหรัฐอเมริกา) — ฐานข้อมูล PostgreSQL พร้อม encryption at-rest
  • Vercel (สหรัฐอเมริกา) — hosting และ edge runtime
  • LINE Corporation (ญี่ปุ่น) — Messaging API และ LIFF authentication
  • Google LLC (สหรัฐอเมริกา) — Google Drive/Sheets API (เฉพาะบริษัทที่เชื่อมต่อด้วย OAuth)

การถ่ายโอนข้อมูลออกนอกประเทศได้รับการคุ้มครองตามมาตรฐาน Standard Contractual Clauses (SCCs) ของผู้ให้บริการดังกล่าว

5. ระยะเวลาการเก็บข้อมูล

  • ข้อมูลการเข้างาน: เก็บไว้ตามที่กฎหมายแรงงานกำหนด (ขั้นต่ำ 2 ปี)
  • LINE Profile + Session: เก็บไว้ตลอดอายุการเป็นพนักงาน + 30 วันหลังลบ
  • เมื่อสิ้นสุดวัตถุประสงค์ ข้อมูลจะถูกลบหรือทำให้ระบุตัวบุคคลไม่ได้

6. มาตรการรักษาความปลอดภัย

  • การส่งข้อมูลเข้ารหัส HTTPS/TLS ทุกชั้น
  • Session token เป็น JWT แบบ httpOnly cookie อายุ 7 วัน
  • การเข้าถึงฐานข้อมูลผ่าน service role key + middleware route guard
  • LINE webhook ตรวจ HMAC-SHA256 signature ทุก request
  • Google OAuth refresh token เก็บแบบ encrypted ในฐานข้อมูล

7. สิทธิของเจ้าของข้อมูล (Data Subject Rights)

ตาม PDPA คุณมีสิทธิดังนี้:

  • สิทธิเข้าถึง — ขอดูข้อมูลส่วนบุคคลของคุณได้
  • สิทธิแก้ไข — ขอแก้ไขข้อมูลที่ไม่ถูกต้อง
  • สิทธิลบ — ขอให้ลบข้อมูล (ภายใต้เงื่อนไขกฎหมาย)
  • สิทธิระงับการใช้ — ขอให้หยุดประมวลผลชั่วคราว
  • สิทธิคัดค้าน — คัดค้านการประมวลผลในบางกรณี
  • สิทธิเพิกถอนความยินยอม — ถอนความยินยอมที่ให้ไว้
  • สิทธิร้องเรียน — ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

การใช้สิทธิให้ติดต่อ HR ของบริษัทคุณ (Data Controller) เป็นลำดับแรก

8. การใช้คุกกี้

เราใช้คุกกี้ประเภท strictly necessary เท่านั้น (session cookie สำหรับ authentication) ไม่ใช้คุกกี้ tracking หรือ advertising

9. การแก้ไขนโยบาย

หากมีการเปลี่ยนแปลงสาระสำคัญ จะแจ้งผ่าน LINE OA Attenly ล่วงหน้าก่อนมีผลบังคับใช้ การใช้บริการต่อหลังการแก้ไขถือว่ายอมรับนโยบายฉบับใหม่

10. การปฏิบัติตาม PDPA

นโยบายฉบับนี้จัดทำขึ้นตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หากพบการละเมิด สามารถร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ได้ที่ www.pdpc.or.th