นโยบายความเป็นส่วนตัว

มาตรา 1 — ข้อมูลทั่วไปและผู้ควบคุมข้อมูล

InnShift เป็นบริษัทผู้พัฒนาระบบจัดการที่พักบนคลาวด์ (SaaS) สำหรับธุรกิจโรงแรม อพาร์ทเมนต์ รีสอร์ท และที่พักในประเทศไทย

InnShift ทำหน้าที่เป็นทั้ง "ผู้ควบคุมข้อมูลส่วนบุคคล" สำหรับข้อมูลของผู้ใช้งาน (เจ้าของและพนักงานที่พัก) และ "ผู้ประมวลผลข้อมูล" สำหรับข้อมูลแขกที่พักที่บันทึกโดยที่พักลูกค้า

นโยบายนี้อธิบายวิธีการเก็บรวบรวม ใช้ และคุ้มครองข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

มาตรา 2 — ข้อมูลส่วนบุคคลที่เก็บรวบรวม

ข้อมูลผู้ใช้งาน (เจ้าของ/พนักงานที่พัก)

• ชื่อ-นามสกุล, อีเมล, เบอร์โทรศัพท์
• ชื่อและที่อยู่ธุรกิจ
• ข้อมูลการชำระเงินและออกใบกำกับภาษี
• ประวัติการใช้งานระบบ (audit log)

ข้อมูลแขกที่พัก (บันทึกโดยที่พัก)

• ชื่อ-นามสกุล, เลขบัตรประชาชน หรือหมายเลขหนังสือเดินทาง
• สัญชาติ, วันเกิด (ตามที่กฎหมายกำหนด)
• ข้อมูลติดต่อ: อีเมล, เบอร์โทรศัพท์
• ข้อมูลการจอง: วันที่เช็คอิน/เช็คเอาท์, ประเภทห้อง, ราคา, วิธีชำระเงิน
• ความต้องการพิเศษ (เช่น อาหาร, การเข้าถึงสำหรับผู้พิการ)

ข้อมูลทางเทคนิค

• IP Address, ประเภทเบราว์เซอร์, อุปกรณ์ที่ใช้
• ข้อมูล session และ cookies ที่จำเป็นสำหรับการใช้งาน

มาตรา 3 — วัตถุประสงค์การประมวลผลข้อมูล

InnShift ประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังต่อไปนี้เท่านั้น:

• เพื่อให้บริการระบบ PMS และฟังก์ชันที่เกี่ยวข้องตามสัญญาบริการ
• เพื่อการยืนยันตัวตนและความปลอดภัยของบัญชีผู้ใช้
• เพื่อออกใบแจ้งหนี้และใบกำกับภาษี
• เพื่อการสนับสนุนลูกค้าและแก้ไขปัญหาทางเทคนิค
• เพื่อปรับปรุงคุณภาพบริการ (ใช้ข้อมูลรวมที่ไม่ระบุตัวตนเท่านั้น)
• เพื่อปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้อง

มาตรา 4 — วิธีการเก็บรักษาและความปลอดภัย

• เข้ารหัสข้อมูลระหว่างส่ง ด้วย TLS 1.3 และเข้ารหัสขณะเก็บด้วย AES-256
• รหัสผ่าน ถูก hash ด้วย Argon2id — ไม่มีการเก็บรหัสผ่านในรูปแบบที่อ่านได้
• Schema-isolation: ข้อมูลแต่ละที่พักอยู่ใน PostgreSQL schema แยกต่างหาก ป้องกันการเข้าถึงข้ามที่พัก
• สำรองข้อมูลอัตโนมัติ ทุกวัน เก็บไว้ 30 วัน
• เซิร์ฟเวอร์ ตั้งอยู่ในประเทศไทย

มาตรา 5 — การแบ่งปันข้อมูลกับบุคคลที่สาม

InnShift จะไม่ขายหรือเช่าข้อมูลส่วนบุคคลแก่บุคคลที่สามไม่ว่ากรณีใดๆ

อาจมีการแบ่งปันข้อมูลในกรณีต่อไปนี้เท่านั้น:

• ผู้ให้บริการย่อย (sub-processors) ที่จำเป็นต่อการดำเนินบริการ เช่น ผู้ให้บริการ cloud infrastructure และระบบการชำระเงิน โดยมีสัญญาคุ้มครองข้อมูลที่เข้มงวด
• กรณีที่กฎหมายกำหนด ให้เปิดเผย เช่น คำสั่งศาล หรือหน่วยงานบังคับใช้กฎหมาย
• ด้วยความยินยอม ของเจ้าของข้อมูลอย่างชัดแจ้ง

มาตรา 6 — ระยะเวลาการเก็บรักษาข้อมูล

• ข้อมูลบัญชีผู้ใช้งาน: ตลอดอายุสัญญาบริการ + 3 ปี (เพื่อการตรวจสอบบัญชี)
• ข้อมูลแขกที่พัก: 5 ปีหลังเช็คเอาท์ (ตาม พ.ร.บ. โรงแรม พ.ศ. 2547)
• บันทึกการเงิน: 5 ปี (ตามกฎหมายภาษี)
• บันทึก audit log: 2 ปี
• ข้อมูลหลังยกเลิกบัญชี: 90 วัน จากนั้นลบถาวร (สามารถขอลบก่อนกำหนดได้)

มาตรา 7 — สิทธิของเจ้าของข้อมูล

ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ท่านมีสิทธิดังต่อไปนี้:

• สิทธิ์เข้าถึงข้อมูล: ขอดูข้อมูลที่เราเก็บเกี่ยวกับท่านได้
• สิทธิ์แก้ไขข้อมูล: ขอให้แก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่ครบถ้วน
• สิทธิ์ลบข้อมูล: ขอให้ลบข้อมูลของท่าน ภายใต้ข้อจำกัดทางกฎหมาย (เช่น ข้อมูลที่ต้องเก็บตาม พ.ร.บ. โรงแรม)
• สิทธิ์คัดค้าน: คัดค้านการประมวลผลข้อมูลในบางกรณี
• สิทธิ์โอนย้ายข้อมูล: ขอรับข้อมูลในรูปแบบที่อ่านได้โดยเครื่อง (เช่น CSV, JSON)
• สิทธิ์ระงับการประมวลผล: ขอระงับการใช้ข้อมูลชั่วคราวในระหว่างการตรวจสอบ

มาตรา 8 — คุกกี้และการติดตาม

เว็บแอปพลิเคชัน InnShift ใช้คุกกี้จำเป็น (essential cookies) เท่านั้น:

• Session cookies สำหรับการยืนยันตัวตนและรักษาสถานะการเข้าสู่ระบบ
• Security cookies เพื่อป้องกันการโจมตี CSRF (Cross-Site Request Forgery)

ไม่มีการใช้คุกกี้ติดตาม (tracking cookies), คุกกี้โฆษณา (advertising cookies) หรือ third-party analytics บนหน้าแอปพลิเคชัน

มาตรา 9 — การเปลี่ยนแปลงนโยบาย

เมื่อมีการปรับปรุงนโยบายนี้อย่างมีนัยสำคัญ เราจะแจ้งให้ทราบผ่านอีเมลที่ลงทะเบียนล่วงหน้าไม่น้อยกว่า 30 วัน

การเปลี่ยนแปลงเล็กน้อย (เช่น การแก้ไขคำผิด หรือการปรับปรุงรูปแบบ) อาจมีผลทันทีโดยไม่ต้องแจ้งล่วงหน้า แต่จะแสดงวันที่อัปเดตล่าสุดบนหน้านี้เสมอ

มาตรา 10 — ติดต่อเจ้าหน้าที่คุ้มครองข้อมูล (DPO)

หากมีคำถาม ข้อร้องเรียน หรือต้องการใช้สิทธิ์ตาม PDPA สามารถติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้ที่: