นโยบายคุ้มครองข้อมูลส่วนบุคคล

ส่วนที่ 1: บทนำและขอบเขต

บริษัท อิมมอร์ทัล คอร์ปอเรชั่น จำกัด (“บริษัทฯ” หรือ “เรา”) เจ้าของและผู้ดำเนินการแบรนด์ IMMOR® ผ่านเว็บไซต์ immor.co.th ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“PDPA”) และให้ความสำคัญในการเคารพสิทธิความเป็นส่วนตัวของลูกค้า รวมถึงผู้เยี่ยมชมเว็บไซต์ทุกท่าน (“ท่าน”)

นโยบายฉบับนี้อธิบายวิธีที่บริษัทฯ เก็บรวบรวม ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของท่าน รวมถึงสิทธิตามกฎหมายของท่านในฐานะเจ้าของข้อมูลส่วนบุคคล (Data Subject)

ข้อมูลผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

อนึ่ง หากในอนาคต เป็นที่ชัดเจนว่าบริษัทฯ ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตาม PDPA (“Data Protection Officer” หรือ “DPO”) ด้วย บริษัทฯ จะแต่งตั้งบุคคลที่มีคุณสมบัติเหมาะสมเป็น DPO ต่อไป

ส่วนที่ 2: คำนิยาม

ข้อมูลส่วนบุคคล (Personal Data): ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม

ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data): ข้อมูลที่ละเอียดอ่อน เช่น เชื้อชาติ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ

การประมวลผล (Processing): การดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผย ลบ หรือทำลายข้อมูลส่วนบุคคล

เจ้าของข้อมูล (Data Subject): บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูล (Data Controller): บุคคลหรือนิติบุคคลที่มีอำนาจตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล (ในนโยบายนี้คือ บริษัทฯ)

ผู้ประมวลผลข้อมูล (Data Processor): บุคคลหรือนิติบุคคลที่ประมวลผลข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูล

DPO: เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) ตามมาตรา 41

PDPC / สคส.: สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Committee)

ส่วนที่ 3: ข้อมูลส่วนบุคคลที่เราเก็บรวบรวม

บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลของท่าน ดังต่อไปนี้:

3.1 ข้อมูลที่ใช้ระบุตัวตน (Identity Data)

• ชื่อ-นามสกุล
• เลขประจำตัวประชาชน / เลขหนังสือเดินทาง (เฉพาะกรณีออกใบกำกับภาษี)
• วัน เดือน ปีเกิด เพศ อายุ
• รูปถ่ายโปรไฟล์ (ถ้ามี)

3.2 ข้อมูลติดต่อ (Contact Data)

• ที่อยู่ทางไปรษณีย์ / ที่อยู่จัดส่ง
• อีเมล
• หมายเลขโทรศัพท์
• LINE ID, Facebook ID, Google ID (เมื่อท่านล็อกอินด้วยช่องทางเหล่านี้)

3.3 ข้อมูลธุรกรรม (Transaction Data)

• ประวัติการสั่งซื้อสินค้า
• วิธีการชำระเงิน (ไม่รวมเลขบัตรเครดิตเต็ม – ระบบ Payment Gateway จัดการแยก)
• ที่อยู่จัดส่ง
• ใบกำกับภาษี (ถ้าร้องขอ)

3.4 ข้อมูลการใช้งานเว็บไซต์ (Usage Data)

• IP Address
• ชนิดและรุ่นของเว็บเบราว์เซอร์
• ระบบปฏิบัติการ
• หน้าเว็บที่เข้าชม + เวลาที่ใช้งาน
• Referrer URL (เว็บที่นำท่านมา)
• Cookies และเทคโนโลยีคล้ายคลึง (ดูส่วนที่ 8)

3.5 ข้อมูลการสื่อสาร (Communication Data)

• ข้อความที่ท่านส่งผ่านแบบฟอร์มติดต่อ / LINE / Email
• ความคิดเห็นและรีวิวสินค้า
• บันทึกการสนทนากับฝ่ายบริการลูกค้า

3.6 ข้อมูลส่วนบุคคลอ่อนไหว

บริษัทฯ ไม่มีนโยบายเก็บข้อมูลอ่อนไหวจากท่านโดยเจตนา ยกเว้นกรณีที่ปรากฏบนเอกสารราชการที่ท่านส่งให้เพื่อการออกใบกำกับภาษี (เช่น เชื้อชาติและศาสนาบนบัตรประชาชน) ซึ่งบริษัทฯ จะไม่นำข้อมูลเหล่านี้ไปใช้เพื่อวัตถุประสงค์อื่นใด

ส่วนที่ 4: แหล่งที่มาของข้อมูล

บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งต่างๆ ดังนี้:

4.1 จากท่านโดยตรง

• เมื่อท่านสมัครสมาชิกหรือสร้างบัญชีในเว็บไซต์
• เมื่อท่านสั่งซื้อสินค้า
• เมื่อท่านกรอกแบบฟอร์มติดต่อ
• เมื่อท่านสมัครรับจดหมายข่าว / Newsletter
• เมื่อท่านแสดงความคิดเห็นในบทความหรือสินค้า
• เมื่อท่านติดต่อผ่าน LINE, Facebook Messenger, โทรศัพท์

4.2 จากการใช้งานเว็บไซต์อัตโนมัติ

• Cookies และเทคโนโลยีคล้ายคลึง
• Server logs
• Google Analytics 4

4.3 จากบุคคลที่สาม

• Marketplaces ที่ท่านใช้สั่งซื้อสินค้าของเรา (เช่น Lazada, Shopee, TikTok Shop, LINE Shopping)
• Payment Gateway providers
• ผู้ให้บริการขนส่ง (Kerry, Flash, Thai Post ฯลฯ)

ส่วนที่ 5: วัตถุประสงค์และฐานทางกฎหมาย

บริษัทฯ ประมวลผลข้อมูลส่วนบุคคลของท่านโดยมีวัตถุประสงค์และฐานทางกฎหมายตามที่ PDPA กำหนด ดังนี้:

ส่วนที่ 6: การเปิดเผยข้อมูลและผู้รับข้อมูล

บริษัทฯ จะไม่ขายข้อมูลส่วนบุคคลของท่านให้บุคคลที่สาม การเปิดเผยข้อมูลจะกระทำเฉพาะกรณีจำเป็น ดังนี้:

6.1 ผู้รับข้อมูลภายในประเทศไทย

• บริษัท บีพี ไบโอเทค จำกัด (BP Biotech) — ผู้ผลิตสินค้า สำหรับการประกันคุณภาพและส่งสินค้า
• ผู้ให้บริการขนส่ง: Kerry Express, Flash Express, Thailand Post และผู้ให้บริการขนส่งอื่นๆ
• ผู้ให้บริการ Payment Gateway:

– PromptPay / QR Code Payment (ผ่านระบบธนาคารแห่งประเทศไทย)

– GB Prime Pay Co., Ltd. (ประเทศไทย) — สำหรับการชำระเงินผ่านบัตรเครดิต/เดบิต และ E-Wallet

– Xendit (Singapore) — Payment infrastructure provider (ในกรณีที่ GB Prime ใช้ Xendit เป็นโครงสร้าง)

• Designil Co., Ltd. — ผู้ให้บริการระบบจัดการคุกกี้และความยินยอม PDPA
• ผู้ให้บริการ Marketplaces: Lazada, Shopee, TikTok Shop, LINE Shopping (เฉพาะกรณีท่านสั่งซื้อผ่านช่องทางเหล่านี้)
• สำนักงานบัญชี / ผู้สอบบัญชี (Auditor) — สำหรับการบันทึกบัญชีตามกฎหมาย
• หน่วยงานราชการ — เมื่อกฎหมายกำหนด เช่น กรมสรรพากร, ตำรวจ, ศาล

6.2 ผู้รับข้อมูลในต่างประเทศ

ข้อมูลของท่านอาจถูกถ่ายโอนไปยังเซิร์ฟเวอร์หรือผู้ให้บริการในต่างประเทศ ดังนี้:

• Google LLC (สหรัฐอเมริกา) — Google Analytics 4 สำหรับการวิเคราะห์การใช้งานเว็บไซต์
• Cloudflare, Inc. (สหรัฐอเมริกา) — บริการรักษาความปลอดภัยเครือข่าย
• Sucuri / GoDaddy (สหรัฐอเมริกา) — Web Application Firewall
• Xendit (สิงคโปร์) — Payment infrastructure ในกรณีที่ระบบชำระเงินใช้บริการนี้

ผู้ให้บริการในต่างประเทศที่เราใช้ ทุกรายมีการรับรอง EU-US Data Privacy Framework, มี Standard Contractual Clauses (SCCs) หรือมาตรการคุ้มครองที่เหมาะสมตามมาตรา 28 และ 29 ของ PDPA

ส่วนที่ 7: การส่งข้อมูลไปต่างประเทศ

ในกรณีที่บริษัทฯ มีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศ บริษัทฯ จะดำเนินการตามมาตรา 28 และ 29 ของ PDPA โดยให้แน่ใจว่า:

• ประเทศปลายทางมีมาตรฐานคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
• มีข้อตกลงคุ้มครองข้อมูลที่เหมาะสม (เช่น Standard Contractual Clauses)
• ได้รับความยินยอมจากท่าน หรือเป็นไปเพื่อการปฏิบัติตามสัญญา

ส่วนที่ 8: นโยบายคุกกี้ (Cookie Policy)

เว็บไซต์ immor.co.th ใช้คุกกี้และเทคโนโลยีคล้ายคลึงเพื่อยกระดับประสบการณ์การใช้งานของท่าน ท่านสามารถจัดการความยินยอมการใช้คุกกี้ได้ผ่าน Cookie Banner ที่แสดงเมื่อท่านเข้าเว็บไซต์ครั้งแรก

8.1 ประเภทของคุกกี้ที่ใช้

ก. คุกกี้ที่จำเป็น (Strictly Necessary Cookies)

คุกกี้เหล่านี้จำเป็นต่อการทำงานของเว็บไซต์ ไม่สามารถปิดได้ ใช้สำหรับ login, ตะกร้าสินค้า, การชำระเงิน และการบันทึกความยินยอม PDPA

ข. คุกกี้เพื่อการวิเคราะห์ (Analytics Cookies)

คุกกี้เหล่านี้ช่วยเราเข้าใจการใช้งานเว็บไซต์ ใช้สำหรับ Google Analytics 4 (GA4) — จะถูกตั้งค่าเฉพาะเมื่อท่านยินยอมเท่านั้น

8.2 การจัดการความยินยอม

ท่านสามารถ:

• ยอมรับคุกกี้ทั้งหมด
• ปฏิเสธคุกกี้ที่ไม่จำเป็น (เก็บแค่คุกกี้ที่จำเป็นเพื่อการทำงานของเว็บ)
• ตั้งค่าเลือกแต่ละประเภท
• เปลี่ยนการตั้งค่าได้ตลอดเวลาผ่านลิงก์ “ตั้งค่าคุกกี้” ที่ส่วนล่างของเว็บไซต์

บริษัทฯ ใช้ Google Consent Mode v2 เพื่อให้แน่ใจว่าระบบ tracking ของ Google จะไม่ทำงานก่อนที่ท่านจะให้ความยินยอม

ส่วนที่ 9: ระยะเวลาในการเก็บข้อมูล

บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลของท่านตามระยะเวลาดังนี้:

• ข้อมูลบัญชีลูกค้า: ตลอดระยะเวลาที่บัญชียังใช้งาน + 10 ปี หลังปิดบัญชี
• ข้อมูลธุรกรรม / ใบกำกับภาษี: 10 ปี ตามประมวลกฎหมายแพ่งและพาณิชย์ + กฎหมายภาษีอากร
• ข้อมูลการตลาด: จนกว่าท่านจะถอนความยินยอม
• Cookies: ตามระยะเวลาที่ระบุในตารางคุกกี้ส่วนที่ 8
• ข้อมูลการสื่อสาร: 2 ปี หลังการสื่อสารครั้งสุดท้าย
• Logs ระบบ: 90 วัน

ส่วนที่ 10: มาตรการรักษาความปลอดภัย

บริษัทฯ ใช้มาตรการรักษาความปลอดภัยทั้งทางเทคนิคและองค์กรเพื่อปกป้องข้อมูลส่วนบุคคลของท่าน:

10.1 มาตรการทางเทคนิค

• การเข้ารหัสข้อมูลผ่าน SSL/TLS (HTTPS) ตลอด
• Web Application Firewall (Sucuri)
• การตรวจจับและป้องกันการโจมตี (DDoS Protection)
• Strong password policy + Two-factor authentication สำหรับ admin
• ระบบ Cache ที่ปลอดภัย (LiteSpeed Cache)
• การ backup ข้อมูลเป็นประจำ
• Software updates เป็นประจำ

10.2 มาตรการทางองค์กร

• จำกัดการเข้าถึงข้อมูลเฉพาะพนักงานที่จำเป็น (Need-to-know basis)
• การฝึกอบรมพนักงานเรื่อง PDPA
• ข้อตกลงรักษาความลับ (NDA) กับพนักงานและคู่ค้า
• การ audit และ review ระบบเป็นประจำ

ส่วนที่ 11: สิทธิของเจ้าของข้อมูล

ตามมาตรา 30-37 ของ PDPA ท่านมีสิทธิดังต่อไปนี้:

1. สิทธิในการได้รับแจ้ง (Right to be Informed) — ได้รับทราบรายละเอียดการประมวลผลข้อมูล
2. สิทธิในการเข้าถึง (Right of Access) — ขอสำเนาข้อมูลส่วนบุคคลของท่าน
3. สิทธิในการแก้ไข (Right to Rectification) — ขอแก้ไขข้อมูลให้ถูกต้องและเป็นปัจจุบัน
4. สิทธิในการลบ (Right to Erasure / Right to be Forgotten) — ขอลบหรือทำลายข้อมูลส่วนบุคคล
5. สิทธิในการระงับ (Right to Restrict Processing) — ขอระงับการใช้ข้อมูลส่วนบุคคล
6. สิทธิในการโอน (Right to Data Portability) — ขอรับข้อมูลในรูปแบบที่อ่านได้ และโอนไปยังผู้อื่น
7. สิทธิในการคัดค้าน (Right to Object) — คัดค้านการประมวลผลข้อมูลส่วนบุคคล
8. สิทธิในการเพิกถอนความยินยอม (Right to Withdraw Consent) — ถอนความยินยอมที่เคยให้ไว้

หากท่านเห็นว่าบริษัทฯ ละเมิดสิทธิของท่าน ท่านมีสิทธิร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ที่ www.pdpc.or.th

ส่วนที่ 12: การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach Notification)

ในกรณีที่เกิดเหตุการละเมิดข้อมูลส่วนบุคคล บริษัทฯ จะดำเนินการตามมาตรา 37(4) ของ PDPA ดังนี้:

12.1 แจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)

ภายใน 72 ชั่วโมงนับจากที่ทราบเหตุ — ยกเว้นกรณีที่การละเมิดไม่มีความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล

12.2 แจ้งเจ้าของข้อมูล

ในกรณีที่เหตุละเมิดมีความเสี่ยงสูงต่อสิทธิและเสรีภาพของท่าน บริษัทฯ จะแจ้งให้ท่านทราบโดยไม่ชักช้าผ่านอีเมล / SMS / ประกาศบนเว็บไซต์

12.3 มาตรการแก้ไข

• ระงับ / แก้ไขเหตุการละเมิดทันที
• ตรวจสอบขอบเขตของการละเมิด
• ปรับปรุงมาตรการรักษาความปลอดภัย
• รายงานผลการดำเนินการต่อ PDPC

ส่วนที่ 13: การคุ้มครองข้อมูลผู้เยาว์

บริษัทฯ ไม่มีนโยบายเก็บรวบรวมข้อมูลส่วนบุคคลจากผู้เยาว์อายุต่ำกว่า 10 ปีโดยเจตนา

ในกรณีที่ผู้เยาว์อายุระหว่าง 10-20 ปี ต้องการสมัครสมาชิกหรือให้ข้อมูลส่วนบุคคล ผู้ปกครองหรือผู้แทนโดยชอบธรรมจะต้องให้ความยินยอมก่อน ตามมาตรา 20 ของ PDPA

หากท่านพบว่าบริษัทฯ ได้เก็บข้อมูลของผู้เยาว์โดยไม่มีความยินยอมที่เหมาะสม กรุณาติดต่อ DPO ที่ admin@immor.co.th เพื่อให้บริษัทฯ ดำเนินการลบข้อมูลโดยเร็ว

ส่วนที่ 14: การปรับปรุงนโยบาย

บริษัทฯ อาจปรับปรุงนโยบายฉบับนี้เป็นครั้งคราว เพื่อให้สอดคล้องกับ:

• การเปลี่ยนแปลงของกฎหมาย PDPA และระเบียบที่เกี่ยวข้อง
• แนวปฏิบัติที่ออกโดย PDPC
• การเปลี่ยนแปลงในกระบวนการธุรกิจของบริษัทฯ
• ฟีดแบ็คจากเจ้าของข้อมูล

เมื่อมีการปรับปรุง บริษัทฯ จะ:

• ประกาศบนเว็บไซต์ immor.co.th/pdpa
• แจ้งทางอีเมลในกรณีที่เป็นการเปลี่ยนแปลงสำคัญ
• ระบุวันที่ปรับปรุงล่าสุดในส่วนล่างของเอกสาร

ส่วนที่ 15: ติดต่อเรา

หากท่านมีคำถาม ข้อสงสัย หรือต้องการใช้สิทธิตามนโยบายนี้ กรุณาติดต่อ: