ประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคลบริษัท ฟิจิทัล เอเจนซี จำกัดPRIVACY POLICY

การทำความเข้าใจบทบาททางกฎหมายคือจุดเริ่มต้นของความโปร่งใส ฟิจิทัล เอเจนซี มีสถานะในการจัดการข้อมูล 2 รูปแบบ ดังนี้:

• ฐานะ "ผู้ควบคุมข้อมูลส่วนบุคคล" (Data Controller): เกิดขึ้นเมื่อเรารวบรวมข้อมูลเพื่อการดำเนินธุรกิจของเอเจนซีเอง เช่น ข้อมูลพนักงาน, ข้อมูลผู้สมัครงาน, ข้อมูลผู้ติดต่อสอบถามบริการ, หรือข้อมูลการเรียกเก็บเงินของลูกค้า
• ฐานะ "ผู้ประมวลผลข้อมูลส่วนบุคคล" (Data Processor): เกิดขึ้นเมื่อเราให้บริการดิจิทัลมาร์เก็ตติ้งแก่ลูกค้า (ผู้ว่าจ้าง) เช่น การนำรายชื่อลูกค้า (Customer List) ของผู้ว่าจ้างไปทำ Custom Audience บนโซเชียลมีเดีย, การจัดการฐานข้อมูล CRM, หรือการทำ Lead Generation ให้แบรนด์ของลูกค้า ในกรณีนี้เราจะประมวลผลข้อมูลตามคำสั่งที่เป็นลายลักษณ์อักษรของผู้ว่าจ้าง (Data Controller) เท่านั้น

เราจัดเก็บข้อมูลเท่าที่จำเป็นต่อการดำเนินงานเท่านั้น แบ่งออกเป็น:

• ข้อมูลส่วนตัวและช่องทางการติดต่อ: ชื่อ-นามสกุล, เบอร์โทรศัพท์, อีเมล, ที่อยู่, และช่องทางโซเชียลมีเดีย
• ข้อมูลทางเทคนิคและการใช้งาน (Technical & Usage Data): หมายเลข IP Address, ประเภทเบราว์เซอร์, พฤติกรรมการเยี่ยมชมเว็บไซต์ ผ่านการใช้คุกกี้ (Cookies) และเทคโนโลยีการติดตาม (Tracking Pixels)
• ข้อมูลที่มีความอ่อนไหว (Sensitive Data): เราไม่มีนโยบาย เก็บข้อมูลที่ละเอียดอ่อน (เช่น เชื้อชาติ, ศาสนา, ข้อมูลชีวมาตร, สุขภาพ) เว้นแต่เป็นข้อมูลพนักงานที่จำเป็นตามกฎหมายแรงงาน หรือได้รับความยินยอมอย่างชัดแจ้ง (Explicit Consent) แล้วเท่านั้น

เราประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานทางกฎหมาย (Lawful Basis) ได้แก่ ฐานสัญญา (Contract), ฐานความยินยอม (Consent), ฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) และฐานหน้าที่ตามกฎหมาย (Legal Obligation) เพื่อวัตถุประสงค์ดังนี้:

• เพื่อการติดต่อประสานงาน นำเสนอบริการ และจัดทำนิติกรรมสัญญา
• เพื่อใช้ในการวางแผนกลยุทธ์ และยิงโฆษณา (Media Buying) ตามขอบเขตการจ้างงาน
• เพื่อวิเคราะห์และปรับปรุงประสิทธิภาพของเว็บไซต์และแคมเปญการตลาด
• เพื่อการบริหารทรัพยากรบุคคล การจ่ายค่าตอบแทน และสวัสดิการ

ในยุคที่เทคโนโลยีปัญญาประดิษฐ์เติบโต ฟิจิทัล เอเจนซี ขอยืนยันจุดยืนในการปกป้องข้อมูลของคุณดังนี้:

• Zero-Trust Public AI Training: ข้อมูลส่วนบุคคลของผู้ว่าจ้าง ฐานข้อมูลลูกค้าของผู้ว่าจ้าง รวมถึงข้อมูลที่เป็นความลับทางธุรกิจ จะไม่ถูกนำไปป้อน (Input) หรือฝึกฝน (Train) ให้กับระบบ Generative AI สาธารณะ (เช่น ChatGPT รุ่นเปิด, Midjourney หรือแพลตฟอร์มที่นำข้อมูลไปพัฒนาโมเดลต่อ) เด็ดขาด
• การใช้ Enterprise AI: กรณีที่เอเจนซีจำเป็นต้องใช้ AI เข้ามาช่วยวิเคราะห์ข้อมูล (Data Analytics) เราจะใช้เฉพาะระบบระดับองค์กร (Enterprise Grade) ที่มีสัญญาคุ้มครองข้อมูลส่วนบุคคล (DPA) ชัดเจน และมีนโยบาย Zero-Data Retention (ไม่เก็บข้อมูลไว้เรียนรู้) เท่านั้น เพื่อรับประกันความปลอดภัยขั้นสูงสุด

ในฐานะดิจิทัลเอเจนซีเรามีความจำเป็นต้องใช้เครื่องมือระดับโลก ข้อมูลของคุณอาจถูกส่งหรือประมวลผลผ่าน:

• แพลตฟอร์มโฆษณาและพันธมิตร: เช่น Meta (Facebook/Instagram), Google, TikTok, LINE OA หรือแพลตฟอร์ม CRM ต่าง ๆ
• ผู้ให้บริการ Cloud และระบบจัดเก็บข้อมูล: เช่น Google Workspace, Amazon Web Services (AWS), Microsoft Azure หรืออื่น ๆ

เราจะตรวจสอบให้แน่ใจว่าประเทศปลายทางหรือแพลตฟอร์มดังกล่าว มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ (Adequate Data Protection Standard) ตามมาตรา 28-29 ของ PDPA หรือมีข้อสัญญามาตรฐานสากล (Standard Contractual Clauses - SCCs) รองรับ

• เราใช้มาตรการทางเทคนิคและการบริหารจัดการ (Technical & Organizational Measures) เช่น การเข้ารหัสข้อมูล (Encryption), การจำกัดสิทธิ์การเข้าถึงข้อมูล (Role-based Access Control), และการใช้ระบบยืนยันตัวตนแบบสองขั้นตอน (2FA) สำหรับทุกบัญชีที่เข้าถึงข้อมูลลูกค้า
• การรับมือเหตุข้อมูลรั่วไหล (Data Breach Protocol): หากเกิดเหตุละเมิดข้อมูล เราจะดำเนินการระงับเหตุทันที และจะแจ้งให้เจ้าของข้อมูลและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ทราบภายใน 72 ชั่วโมงตามที่กฎหมายกำหนด

ทุกคนมีสิทธิตตามกฎหมาย PDPA (และ GDPR) อย่างครบถ้วน ดังนี้:

1. สิทธิในการเข้าถึงและขอสำเนา ข้อมูลส่วนบุคคล
2. สิทธิในการขอแก้ไข ข้อมูลให้ถูกต้องและเป็นปัจจุบัน
3. สิทธิในการขอให้ลบหรือทำลาย (Right to be Forgotten)
4. สิทธิในการขอระงับหรือคัดค้าน การประมวลผลข้อมูล (โดยเฉพาะการตลาดแบบตรง)
5. สิทธิในการขอรับหรือโอนย้าย ข้อมูล (Data Portability)
6. สิทธิในการเพิกถอนความยินยอม ได้ตลอดเวลา