นโยบายความเป็นส่วนตัว (Privacy Policy)
อธิบายวิธีที่เราเก็บ ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้ระบบปฏิทิน รวมถึงสิทธิของเจ้าของข้อมูลและช่องทางติดต่อ
เวอร์ชันเอกสาร: v1.0
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
ผู้ควบคุมข้อมูลสำหรับระบบนี้คือ สำนักวิทยบริการและเทคโนโลยีสารสนเทศ มหาวิทยาลัยราชภัฏนครสวรรค์ (ต่อไปนี้เรียกว่า “เรา” หรือ “หน่วยงาน”)
- ชื่อระบบ: Laravel
- ที่อยู่/ช่องทางติดต่อ: โปรดระบุที่อยู่หน่วยงาน
- อีเมลติดต่อด้านข้อมูลส่วนบุคคล (DPO/ผู้แทน): โปรดระบุอีเมล DPO/ผู้ดูแล
ขอบเขตของนโยบาย
นโยบายนี้ครอบคลุมการใช้งานเว็บไซต์/ระบบแอปของเรา รวมถึงโมดูลปฏิทินส่วนบุคคล ปฏิทินผู้บริหาร ปฏิทินหน่วยงาน ปฏิทินกลุ่ม และการนำเข้าปฏิทินจากแหล่งภายนอก (ICS/JSON) ที่ผู้ใช้เชื่อมต่อเข้ามา
ข้อมูลส่วนบุคคลที่เราเก็บ
1) ข้อมูลบัญชีผู้ใช้
- ข้อมูลระบุตัวตน (เช่น ชื่อ-นามสกุล บัญชีผู้ใช้ รหัสหน่วยงาน)
- ข้อมูลติดต่อ (เช่น อีเมล เบอร์โทรศัพท์ หากผู้ใช้ให้ไว้)
- ข้อมูลบทบาท/สิทธิ์ (เช่น ผู้บริหาร เลขาฯ ผู้ใช้ทั่วไป)
2) ข้อมูลการใช้งานระบบ
- บันทึกกิจกรรมระบบ (Log) เช่น การเข้าใช้งาน วันเวลา IP/Agent
- ข้อมูลประสิทธิภาพ/ข้อผิดพลาดเพื่อการแก้ไขปัญหา
3) ข้อมูลกิจกรรม (ปฏิทิน)
- รายละเอียดอีเวนต์: ชื่อเรื่อง คำอธิบาย ประเภทกิจกรรม แท็ก สถานที่ รูปแบบออนไลน์/ออนไซต์
- วันเวลาเริ่ม-สิ้นสุด รวมถึงกติกาการทำซ้ำ (RRULE) และการปรับเวลา 23:59:59 → วันถัดไป 00:00:00
- ผู้เข้าร่วม ผู้ประสานงาน คนขับรถ ไฟล์แนบ และข้อมูลที่เกี่ยวข้อง
4) แหล่งข้อมูลภายนอกที่ผู้ใช้เชื่อมต่อ
- ลิงก์ปฏิทินสาธารณะ/ไฟล์ iCal (ICS) หรือ JSON (เช่น วันหยุด) ที่ผู้ใช้หรือผู้ดูแลกำหนด
- เมื่อเชื่อมต่อแล้ว ระบบจะดึงและบันทึกเฉพาะข้อมูลที่จำเป็นต่อการแสดงผล/บริหารจัดการ
วัตถุประสงค์และฐานทางกฎหมายในการประมวลผล
วัตถุประสงค์
- ให้บริการปฏิทินส่วนบุคคล ผู้บริหาร หน่วยงาน และกลุ่ม
- จัดตาราง ประสานงาน ค้นหาวันว่าง และสรุปกิจกรรม
- ดูแลความปลอดภัยบัญชี ป้องกันการทุจริต/การเข้าถึงโดยมิชอบ
- ปรับปรุงคุณภาพบริการ วิเคราะห์การใช้งานเชิงสถิติ
- ปฏิบัติตามกฎหมาย กฎ ระเบียบ นโยบายภายในของหน่วยงาน
ฐานทางกฎหมาย (PDPA มาตรา 24–26)
- สัญญา: เพื่อให้บริการตามที่ผู้ใช้สมัคร/ร้องขอ
- หน้าที่ตามกฎหมาย: การเก็บบันทึก/รายงานที่จำเป็น
- ประโยชน์โดยชอบธรรม: ความปลอดภัยระบบ ป้องกันการทุจริต ปรับปรุงบริการ
- ความยินยอม: กรณีที่ต้องใช้และกฎหมายกำหนด (ผู้ใช้สามารถถอนความยินยอมได้)
- ภาวะคับขัน/ประโยชน์สาธารณะ: ตามที่กฎหมายรองรับในบางกรณี
ระยะเวลาเก็บรักษาข้อมูล
- ข้อมูลบัญชีผู้ใช้: ตลอดอายุการใช้งาน และภายหลังปิดบัญชีไม่เกิน 36 เดือน เว้นแต่กฎหมายกำหนดเป็นอย่างอื่น
- ข้อมูลกิจกรรมในปฏิทิน: เก็บตามความจำเป็นของงาน/นโยบายหน่วยงาน โดยทั่วไปไม่เกิน 60 เดือน
- บันทึกการใช้งาน (Logs): โดยทั่วไป 365 วัน เพื่อความปลอดภัยและตรวจสอบเหตุขัดข้อง
สิทธิของเจ้าของข้อมูล (ตาม PDPA)
- สิทธิขอรับทราบ/เข้าถึง ข้อมูลส่วนบุคคลของตน
- สิทธิขอคัดค้าน การประมวลผลในบางกรณี
- สิทธิขอให้ลบ/ทำลาย/ทำให้ไม่ระบุตัวตน
- สิทธิจำกัดการประมวลผล
- สิทธิขอแก้ไขให้ถูกต้อง
- สิทธิให้โอนย้ายข้อมูลได้ (Data Portability) ในรูปแบบที่เหมาะสม
- สิทธิถอนความยินยอม โดยไม่กระทบถึงการประมวลผลก่อนการถอน
- สิทธิร้องเรียน ต่อหน่วยงานกำกับดูแลตามกฎหมาย
การรักษาความมั่นคงปลอดภัยของข้อมูล
- ควบคุมการเข้าถึงตามบทบาท (Role-Based Access) และบันทึกการกระทำสำคัญ
- ใช้แนวปฏิบัติความปลอดภัยสำหรับรหัสผ่าน/การพิสูจน์ตัวตนและการสื่อสาร
- สำรองข้อมูลตามรอบและทดสอบการกู้คืนอย่างเหมาะสม
- ฝึกอบรมผู้เกี่ยวข้องและกำกับดูแลผู้รับจ้างตามข้อตกลง
การโอนข้อมูลไปต่างประเทศ
หากมีการโอนข้อมูลไปยังประเทศที่มีมาตรฐานคุ้มครองข้อมูลแตกต่างกัน เราจะดำเนินมาตรการที่เหมาะสม (เช่น สัญญามาตรฐาน เงื่อนไขการคุ้มครองเทียบเท่า) สอดคล้องกับกฎหมายที่ใช้บังคับ
ติดต่อผู้ควบคุมข้อมูล/DPO
หากมีคำถามเกี่ยวกับนโยบายนี้ การใช้สิทธิ หรือข้อร้องเรียน โปรดติดต่อ:
การปรับปรุงนโยบาย
เราอาจปรับปรุงนโยบายนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับกฎหมายหรือการให้บริการใหม่ ๆ โดยจะแจ้งผ่านหน้าเว็บไซต์นี้ และระบุวันที่มีผลใช้บังคับ