นโยบายความเป็นส่วนตัวและการใช้คุกกี้
ส่วนที่ 1 นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
จัดทำตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้อง
1. บทนำและขอบเขตการบังคับใช้
บริษัท วัน เซอเจอรี่ จำกัด และบริษัทในเครือ รวมถึงบุคคลที่ดำเนินการประมวลผลข้อมูลส่วนบุคคลในนามของบริษัทฯ (ต่อไปนี้เรียกรวมว่า "บริษัทฯ") มุ่งมั่นคุ้มครองความเป็นส่วนตัวของท่านด้วยความโปร่งใส รับผิดชอบ และเคารพสิทธิของท่านในฐานะเจ้าของข้อมูลส่วนบุคคล
นโยบายนี้จัดทำขึ้นตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎกระทรวง ประกาศ และแนวปฏิบัติของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ที่เกี่ยวข้อง
นโยบายนี้ใช้บังคับกับ:
- ผู้ใช้บริการ ลูกค้า และผู้สอบถามข้อมูล ทั้งที่ติดต่อผ่านช่องทางออนไลน์และออฟไลน์
- ผู้เข้าชมเว็บไซต์ https://one-hospital.com/ และช่องทางดิจิทัลของบริษัทฯ (LINE, WhatsApp, Facebook, Instagram)
- คู่ค้า ผู้ให้บริการ และพันธมิตรทางธุรกิจที่เป็นบุคคลธรรมดา
- พนักงาน ลูกจ้าง และผู้สมัครงาน (ครอบคลุมในนโยบายภายในเพิ่มเติม)
- บุคคลอื่นใดที่บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคล
(บุคคลดังกล่าวข้างต้นเรียกรวมว่า "ท่าน" หรือ "เจ้าของข้อมูล")
2. คำนิยาม
| คำ | ความหมาย |
|---|---|
| ข้อมูลส่วนบุคคล | ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้ระบุตัวบุคคลนั้นได้ทางตรงหรือทางอ้อม ไม่รวมข้อมูลของผู้ถึงแก่กรรม ม.6 |
| ข้อมูลอ่อนไหว | ข้อมูลตามมาตรา 26 เช่น เชื้อชาติ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลชีวภาพ ข้อมูลพันธุกรรม และข้อมูลอื่นที่กระทบเจ้าของข้อมูลในทำนองเดียวกัน ม.26 |
| การประมวลผล | การดำเนินการใดๆ กับข้อมูลส่วนบุคคล เช่น เก็บรวบรวม บันทึก ใช้ เปิดเผย ส่งต่อ ลบ หรือทำลาย |
| ผู้ควบคุมข้อมูลส่วนบุคคล | บุคคลหรือนิติบุคคลที่มีอำนาจตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ม.6 |
| ผู้ประมวลผลข้อมูลส่วนบุคคล | บุคคลหรือนิติบุคคลที่ประมวลผลข้อมูลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลฯ ม.6 |
| ความยินยอม | การแสดงเจตนาโดยชัดแจ้ง เป็นอิสระ เฉพาะเจาะจง ให้ข้อมูลเพียงพอ และไม่คลุมเครือ ของเจ้าของข้อมูล ม.6, ม.19 |
3. แหล่งที่มาของข้อมูลส่วนบุคคล
3.1 จากท่านโดยตรง
- การกรอกแบบฟอร์มนัดหมาย ปรึกษาแพทย์ หรือสอบถามบนเว็บไซต์
- การติดต่อผ่าน LINE Official Account, WhatsApp, Facebook Messenger, Instagram DM
- การโทรศัพท์ หรือเข้ารับบริการที่คลินิกด้วยตนเอง
- การกรอกแบบประเมินสุขภาพก่อนการผ่าตัด (Pre-operative Assessment)
- การสมัครรับข่าวสาร โปรโมชัน หรือกิจกรรมทางการตลาด
3.2 จากระบบอัตโนมัติ
- คุกกี้และเทคโนโลยีติดตามบนเว็บไซต์ (รายละเอียดในส่วนที่ 2)
- กล้องวงจรปิด (CCTV) ภายในและบริเวณคลินิก
- เครื่องมือทางการแพทย์และระบบถ่ายภาพ 3 มิติ
- บันทึกการสนทนา (Chat log) ผ่านช่องทาง LINE/WhatsApp ของบริษัทฯ
3.3 จากบุคคลที่สามที่มีอำนาจโดยชอบด้วยกฎหมาย
- ญาติ ผู้ดูแล หรือผู้มีอำนาจปกครอง (กรณีผู้เยาว์หรือบุคคลที่ไม่อาจดำเนินการเองได้)
- โรงพยาบาลหรือสถานพยาบาลที่ส่งต่อผู้รับบริการ
- หน่วยงานราชการที่มีอำนาจตามกฎหมาย
- พันธมิตรทางธุรกิจที่ได้รับความยินยอมจากเจ้าของข้อมูลแล้ว
4. ประเภทของข้อมูลส่วนบุคคลที่เก็บรวบรวม
| ประเภท | ตัวอย่างข้อมูล |
|---|---|
| ข้อมูลเฉพาะตัวบุคคล | ชื่อ-นามสกุล, อายุ, วันเดือนปีเกิด, เพศ, สัญชาติ, เลขบัตรประชาชน, เลขหนังสือเดินทาง, ลายมือชื่อ, สถานภาพสมรส |
| ข้อมูลการติดต่อ | ที่อยู่, หมายเลขโทรศัพท์, อีเมล, บัญชี LINE, บัญชี Social Media |
| ข้อมูลเอกสารราชการ | สำเนาบัตรประชาชน, สำเนาทะเบียนบ้าน, สำเนาหนังสือเดินทาง |
| ข้อมูลทางการเงิน | หมายเลขบัญชีธนาคาร, ข้อมูลบัตรเครดิต/เดบิต (เฉพาะที่จำเป็นสำหรับธุรกรรม) |
| ข้อมูลดิจิทัลและการใช้งาน | IP Address, Cookie, ประวัติการเข้าชมเว็บไซต์, ข้อมูล Device, การตั้งค่าภาษา, บันทึก Chat |
| ข้อมูลภาพและเสียง | ภาพ CCTV, บันทึกการสนทนาทางโทรศัพท์ (หากมีการแจ้งล่วงหน้า) |
5. ข้อมูลส่วนบุคคลที่มีความอ่อนไหว
5.1 ข้อมูลสุขภาพและทางการแพทย์ ม.26
- ประวัติสุขภาพ โรคประจำตัว ยาที่ใช้ประจำ และประวัติการแพ้ยา/สารต่างๆ
- ประวัติการผ่าตัดและการรักษาพยาบาลทั้งหมด รวมถึงศัลยกรรมเดิม
- ผลการตรวจร่างกายและผลตรวจทางห้องปฏิบัติการก่อนผ่าตัด
- บันทึกการรักษา (Medical Record) และแผนการรักษา
- ข้อมูลความพิการที่เกี่ยวข้องกับการรักษา
5.2 ข้อมูลชีวภาพ (Biometric Data) ม.26
- ภาพถ่ายก่อน-หลังการรักษา ที่ใช้เพื่อวางแผนและบันทึกผลการรักษา
- ข้อมูล 3D Facial Scan ที่ใช้ในระบบ KEOSAN FITme Centre สำหรับออกแบบซิลิโคนเฉพาะบุคคล
- ข้อมูล CT Scan / 3D Imaging ที่ประมวลผลผ่านระบบ OsseoVision™ ของ OsseoLabs
- ข้อมูลจำลองลายนิ้วมือหรือข้อมูลชีวมิติอื่นที่ใช้ในระบบควบคุมการเข้า-ออก
5.3 ข้อมูลศาสนา ม.26
เฉพาะกรณีที่ข้อมูลนี้มีผลต่อการรักษาหรือการวางยาสลบ เช่น ข้อห้ามทางศาสนาเกี่ยวกับการรับเลือดหรือสารบางชนิด โดยได้รับความยินยอมโดยชัดแจ้ง
5.4 ข้อยกเว้นที่ไม่ต้องขอความยินยอม ม.26 วรรคสอง
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลในกรณีฉุกเฉิน
- เพื่อประโยชน์ด้านเวชศาสตร์ป้องกัน การวินิจฉัยโรค และการให้บริการด้านสุขภาพ ภายใต้การดูแลของผู้ประกอบวิชาชีพที่มีหน้าที่รักษาความลับทางวิชาชีพ ม.26(5)(ก)
- เป็นการจำเป็นเพื่อก่อตั้ง ปฏิบัติตาม หรือใช้สิทธิเรียกร้องตามกฎหมาย
6. การเก็บข้อมูลส่วนบุคคลของผู้เยาว์
- ผู้มีอายุต่ำกว่า 20 ปีบริบูรณ์ (และยังไม่บรรลุนิติภาวะโดยการสมรส) บริษัทฯ ต้องได้รับความยินยอมจาก ผู้ใช้อำนาจปกครอง (บิดา มารดา หรือผู้ปกครองตามกฎหมาย) ก่อนเก็บรวบรวมข้อมูล
- ผู้มีอายุต่ำกว่า 10 ปีบริบูรณ์ ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองแต่ฝ่ายเดียว เจ้าของข้อมูลไม่สามารถให้ความยินยอมด้วยตนเองได้
- บริษัทฯ จะไม่เก็บรวบรวมข้อมูลของผู้เยาว์เกินกว่าที่จำเป็นสำหรับการให้บริการนั้น
- หากบริษัทฯ ทราบในภายหลังว่าได้เก็บข้อมูลของผู้เยาว์โดยไม่ได้รับความยินยอมจากผู้ปกครอง บริษัทฯ จะดำเนินการลบข้อมูลนั้นโดยทันที เว้นแต่มีฐานทางกฎหมายอื่นรองรับ
7. ฐานทางกฎหมายและวัตถุประสงค์ในการประมวลผล
บริษัทฯ จะดำเนินการประมวลผลข้อมูลส่วนบุคคลโดยอาศัยฐานทางกฎหมายอย่างน้อยหนึ่งฐานดังต่อไปนี้ และจะระบุฐานทางกฎหมายที่ใช้สำหรับแต่ละวัตถุประสงค์ให้ชัดเจน
| วัตถุประสงค์ | ฐานทางกฎหมาย | มาตรา |
|---|---|---|
| ให้บริการทางการแพทย์ ศัลยกรรม และความงาม รวมถึงการนัดหมาย วางแผนรักษา และติดตามผล | การปฏิบัติตามสัญญา / ความยินยอม | ม.24(3), ม.19 |
| เก็บข้อมูลสุขภาพและข้อมูลชีวภาพเพื่อการรักษาพยาบาล | ความยินยอมโดยชัดแจ้ง / เวชศาสตร์ป้องกัน | ม.26, ม.26(5)(ก) |
| ยืนยันตัวตนและตรวจสอบข้อมูลก่อนให้บริการ | การปฏิบัติตามสัญญา | ม.24(3) |
| ออกใบเสร็จ ใบกำกับภาษี และเอกสารการเงินตามกฎหมาย | การปฏิบัติตามกฎหมาย | ม.24(6) |
| ส่งข้อมูลโปรโมชัน ผลิตภัณฑ์ และกิจกรรมทางการตลาด (Direct Marketing) | ความยินยอม | ม.19 |
| วิจัยตลาด สำรวจความพึงพอใจ และวิเคราะห์ทางสถิติ | ความยินยอม / ประโยชน์โดยชอบด้วยกฎหมาย | ม.19, ม.24(5) |
| นำภาพถ่ายก่อน-หลังไปใช้เพื่อการตลาดและโฆษณา | ความยินยอมโดยชัดแจ้ง (แยกต่างหาก) | ม.26, ม.19 |
| รักษาความปลอดภัยภายในคลินิก (CCTV) และป้องกันการทุจริต | ประโยชน์โดยชอบด้วยกฎหมาย | ม.24(5) |
| จัดทำบัญชี ตรวจสอบบัญชี และปฏิบัติตามภาระภาษี | การปฏิบัติตามกฎหมาย | ม.24(6) |
| ป้องกันอันตรายต่อชีวิตในกรณีฉุกเฉินทางการแพทย์ | การป้องกันอันตรายต่อชีวิต | ม.24(2) |
| ให้ข้อมูลแก่หน่วยงานรัฐที่มีอำนาจตามกฎหมาย | การปฏิบัติตามกฎหมาย | ม.24(6) |
| บันทึกบทสนทนาผ่านช่องทาง LINE/WhatsApp ของบริษัทฯ เพื่อคุณภาพการบริการ | ประโยชน์โดยชอบด้วยกฎหมาย / ความยินยอม | ม.24(5), ม.19 |
บริษัทฯ จะไม่นำข้อมูลส่วนบุคคลของท่านไปใช้เพื่อวัตถุประสงค์อื่นที่ไม่ได้แจ้งไว้ในนโยบายนี้ หรือที่ท่านไม่ได้ให้ความยินยอม เว้นแต่จะมีฐานทางกฎหมายรองรับ และวัตถุประสงค์ใหม่นั้นไม่ขัดแย้งกับวัตถุประสงค์เดิมอย่างมีนัยสำคัญ
8. การส่งต่อและเปิดเผยข้อมูลส่วนบุคคล
บริษัทฯ จะไม่เปิดเผยข้อมูลส่วนบุคคลของท่านแก่บุคคลภายนอก เว้นแต่:
8.1 ผู้ให้บริการและผู้ประมวลผลข้อมูลที่ดำเนินการในนามบริษัทฯ
| ผู้รับข้อมูล | วัตถุประสงค์ | ประเภทข้อมูลที่ส่ง |
|---|---|---|
| โรงพยาบาลวิมุต (พาร์ทเนอร์อย่างเป็นทางการ) | การผ่าตัดเคสใหญ่และการพักฟื้น | ข้อมูลสุขภาพ ประวัติการรักษา |
| KEOSAN (เกาหลีใต้) | ออกแบบและผลิตซิลิโคน 3D Printing เฉพาะบุคคล ผ่านระบบ FITme | ข้อมูลชีวภาพ (3D Scan) |
| OsseoLabs | วางแผนศัลยกรรมกระดูกด้วย OsseoVision™ AI | ข้อมูล CT Scan ข้อมูลสุขภาพ |
| ผู้ให้บริการระบบ IT, Cloud, CRM | จัดการระบบนัดหมาย จัดเก็บข้อมูล | ข้อมูลส่วนตัว ข้อมูลการติดต่อ |
| ผู้ให้บริการด้านการตลาดและโฆษณา | ส่งการสื่อสารทางการตลาด (เฉพาะกรณีได้รับความยินยอม) | ข้อมูลการติดต่อ |
| ธนาคารและผู้ประมวลผลการชำระเงิน | ดำเนินธุรกรรมการชำระเงิน | ข้อมูลการเงิน |
| ผู้ตรวจสอบบัญชี ทนายความ และที่ปรึกษา | ตรวจสอบภายใน บริการทางวิชาชีพ | เฉพาะที่จำเป็น |
บริษัทฯ จะจัดทำ ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement: DPA) กับผู้รับข้อมูลทุกรายตามมาตรา 40 วรรคสอง
8.2 หน่วยงานรัฐที่มีอำนาจตามกฎหมาย
บริษัทฯ อาจเปิดเผยข้อมูลตามคำสั่งหรือคำขอที่ชอบด้วยกฎหมาย เช่น กรมสรรพากร สำนักงานตำรวจแห่งชาติ ศาล หน่วยงานด้านสาธารณสุข หรือ สคส. โดยบริษัทฯ จะพยายามแจ้งให้ท่านทราบล่วงหน้าในกรณีที่ทำได้ เว้นแต่กฎหมายห้ามการแจ้ง
9. การถ่ายโอนข้อมูลไปยังต่างประเทศ
บริษัทฯ อาจถ่ายโอนข้อมูลส่วนบุคคลไปยังต่างประเทศในกรณีต่อไปนี้:
| ประเทศ/ผู้รับ | วัตถุประสงค์ | มาตรการคุ้มครอง |
|---|---|---|
| สหรัฐอเมริกา Google LLC (Analytics, Ads, Cloud) | วิเคราะห์การใช้งานเว็บ, โฆษณา | Google Data Processing Terms / EU SCCs |
| สหรัฐอเมริกา Meta Platforms (Facebook, Instagram) | โฆษณา, ติดตาม Conversion | Meta Data Transfer Mechanisms |
| สิงคโปร์/สหรัฐอเมริกา TikTok | โฆษณา, ติดตาม Conversion | TikTok Data Transfer Terms |
| เกาหลีใต้ KEOSAN Co., Ltd. | ออกแบบซิลิโคน 3D Printing (ข้อมูลชีวภาพ) | DPA + ความยินยอมโดยชัดแจ้งของเจ้าของข้อมูล |
| ประเทศอื่นที่ผู้ให้บริการ Cloud ตั้งอยู่ | จัดเก็บและสำรองข้อมูล | Standard Contractual Clauses (SCCs) |
บริษัทฯ จะดำเนินการถ่ายโอนข้อมูลต่างประเทศตาม มาตรา 28 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ม.28 เฉพาะเมื่อประเทศปลายทางหรือองค์กรปลายทางมีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอ หรือมีมาตรการคุ้มครองที่เหมาะสมอื่นรองรับ
10. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
บริษัทฯ จะเก็บรักษาข้อมูลเท่าที่จำเป็นตามวัตถุประสงค์และกฎหมายที่เกี่ยวข้อง:
| ประเภทข้อมูล | ระยะเวลา | อ้างอิงกฎหมาย |
|---|---|---|
| บันทึกทางการแพทย์ (เวชระเบียน) และประวัติการรักษา | ไม่น้อยกว่า 5 ปีนับจากวันรับบริการครั้งสุดท้าย (กรณีผู้เยาว์: จนกว่าบรรลุนิติภาวะ + 3 ปี หรือ 5 ปีนับแต่วันที่บรรลุนิติภาวะ) | ระเบียบกระทรวงสาธารณสุขว่าด้วยเวชระเบียน พ.ร.บ.วิชาชีพเวชกรรม |
| ข้อมูลชีวภาพ (3D Scan, ภาพถ่ายก่อน-หลัง) เพื่อการรักษา | ตลอดอายุของบันทึกทางการแพทย์ที่เกี่ยวข้อง | ม.26 พ.ร.บ.ฯ + พ.ร.บ.วิชาชีพเวชกรรม |
| ข้อมูลการเงิน บัญชี ใบกำกับภาษี | 5 ปีนับจากปีภาษีที่เกี่ยวข้อง (ขยายได้ถึง 10 ปีหากถูกตรวจสอบ) | ประมวลรัษฎากร มาตรา 12, พ.ร.บ.การบัญชี |
| สัญญาและเอกสารทางกฎหมาย | 10 ปีนับจากวันที่สัญญาสิ้นสุด | ประมวลกฎหมายแพ่งและพาณิชย์ (อายุความ) |
| ข้อมูลการติดต่อและสื่อสาร (Chat, Email) | 3 ปีนับจากการติดต่อครั้งสุดท้าย | ม.24 พ.ร.บ.ฯ + ประโยชน์โดยชอบ |
| ภาพ CCTV | ไม่เกิน 90 วัน เว้นแต่จำเป็นสำหรับการสืบสวนหรือดำเนินคดี | แนวปฏิบัติ สคส. ว่าด้วยกล้องวงจรปิด |
| ข้อมูล Cookie และการใช้งานเว็บไซต์ | ตามอายุของ Cookie แต่ละประเภท (ดูส่วนที่ 2) | แนวปฏิบัติ สคส. ว่าด้วยการใช้ Cookie |
| ข้อมูลที่เกี่ยวกับข้อพิพาท การฟ้องร้อง หรือการร้องเรียน | ตลอดระยะเวลาของข้อพิพาทและจนกว่าคดีจะถึงที่สุด + ไม่น้อยกว่า 3 ปี | ป.แพ่งฯ (อายุความ 1–10 ปีแล้วแต่กรณี) |
เมื่อพ้นระยะเวลาการเก็บรักษา บริษัทฯ จะดำเนินการ ลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้ ด้วยวิธีการที่ปลอดภัยตามมาตรฐาน
11. ความมั่นคงปลอดภัยของข้อมูลและการแจ้งเหตุละเมิด
11.1 มาตรการรักษาความปลอดภัย
- การเข้ารหัสข้อมูล (Encryption) ในการส่งผ่านเครือข่าย (TLS/HTTPS)
- ระบบควบคุมการเข้าถึงข้อมูล (Access Control) เฉพาะบุคคลที่มีหน้าที่รับผิดชอบ
- การจัดอบรมด้านความปลอดภัยของข้อมูลให้แก่พนักงานเป็นประจำ
- การเก็บรักษาเอกสารกระดาษในพื้นที่ปลอดภัยที่มีการควบคุมการเข้าถึง
- การทบทวนและทดสอบระบบความปลอดภัยเป็นระยะ
- นโยบายการจัดการอุปกรณ์และการทำงานนอกสถานที่
11.2 การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล ม.37(1)(2)
ในกรณีที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล บริษัทฯ จะดำเนินการดังนี้:
- แจ้งต่อ สคส. ภายใน 72 ชั่วโมง นับจากที่รู้ถึงการละเมิด เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล
- แจ้งเจ้าของข้อมูลโดยไม่ชักช้า หากการละเมิดนั้นมีความเสี่ยงสูงต่อสิทธิและเสรีภาพ พร้อมแจ้งลักษณะของการละเมิด ผลกระทบที่อาจเกิดขึ้น และมาตรการแก้ไข
- บันทึกเหตุการณ์ละเมิดทั้งหมดไว้เป็นหลักฐานตามแบบที่กำหนด
12. การตัดสินใจโดยอัตโนมัติและการสร้างโปรไฟล์
บริษัทฯ ใช้บริการ Analytics (Google Analytics, เครื่องมือ CRM) ที่อาจวิเคราะห์พฤติกรรมการเข้าชมเว็บไซต์และสร้างโปรไฟล์ผู้ใช้งานในเชิงสถิติ เพื่อปรับปรุงประสบการณ์การใช้งานและแสดงเนื้อหาที่เกี่ยวข้อง
บริษัทฯ ไม่ใช้ระบบตัดสินใจโดยอัตโนมัติ (Automated Decision-Making) เพื่อกำหนดสิทธิ ปฏิเสธ หรือมีผลกระทบต่อท่านอย่างมีนัยสำคัญโดยปราศจากการพิจารณาของบุคคล
การแสดงโฆษณาที่ตรงกับความสนใจของท่าน (Personalized Advertising) บนแพลตฟอร์มของ Google, Facebook, TikTok ดำเนินการโดยอัลกอริทึมของแพลตฟอร์มนั้นๆ ซึ่งอยู่นอกเหนือการควบคุมของบริษัทฯ โดยตรง ท่านสามารถปรับการตั้งค่าโฆษณาได้จากแพลตฟอร์มโดยตรง
13. การเชื่อมต่อเว็บไซต์และบริการภายนอก
เว็บไซต์ของบริษัทฯ อาจมีลิงก์ไปยังเว็บไซต์ บัญชี Social Media หรือบริการของบุคคลที่สาม รวมถึง LINE, Facebook, Instagram, WhatsApp, Google Maps บริษัทฯ ไม่มีอำนาจควบคุมนโยบายความเป็นส่วนตัวของบริการเหล่านั้น ขอแนะนำให้ท่านอ่านนโยบายของแต่ละแพลตฟอร์มก่อนการใช้งาน บริษัทฯ ไม่รับผิดชอบต่อการดำเนินการของบุคคลที่สามดังกล่าว
14. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
บริษัทฯ ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ม.41 เพื่อกำกับดูแลการปฏิบัติตาม พ.ร.บ.ฯ ให้คำปรึกษาแก่บริษัทฯ และเป็นช่องทางประสานงานกับ สคส.
ท่านสามารถติดต่อ DPO ได้โดยตรงผ่านช่องทางในข้อ 18 เพื่อ:
- สอบถามเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของท่าน
- ยื่นคำร้องขอใช้สิทธิตาม พ.ร.บ.ฯ
- แจ้งข้อกังวลหรือเรื่องร้องเรียนเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
15. สิทธิของเจ้าของข้อมูลส่วนบุคคล
ท่านมีสิทธิต่อไปนี้ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถใช้สิทธิได้ ฟรี ไม่มีค่าใช้จ่าย เว้นแต่คำขอนั้นไม่มีเหตุผล ฟุ่มเฟือย หรือซ้ำซาก:
-
สิทธิได้รับการแจ้ง (Right to be Informed) ม.23
ท่านมีสิทธิได้รับแจ้งรายละเอียดการเก็บรวบรวมข้อมูล ณ เวลาที่เก็บหรือก่อนหน้านั้น นโยบายนี้เป็นส่วนหนึ่งของการปฏิบัติตามสิทธินี้ -
สิทธิเข้าถึงและรับสำเนาข้อมูล (Right of Access) ม.30
ท่านมีสิทธิขอดูหรือรับสำเนาข้อมูลส่วนบุคคลของท่าน และขอให้เปิดเผยแหล่งที่มาของข้อมูลที่บริษัทฯ ไม่ได้เก็บจากท่านโดยตรง -
สิทธิขอแก้ไขข้อมูล (Right to Rectification) ม.35
ท่านมีสิทธิขอให้แก้ไขข้อมูลที่ไม่ถูกต้อง ล้าสมัย หรืออาจก่อให้เกิดความเข้าใจผิด -
สิทธิขอรับข้อมูลในรูปแบบพกพา (Right to Data Portability) ม.31
ท่านมีสิทธิขอรับข้อมูลที่บริษัทฯ เก็บไว้ในรูปแบบอิเล็กทรอนิกส์ที่อ่านได้ด้วยเครื่องมืออัตโนมัติ (เช่น JSON, CSV) เพื่อส่งต่อให้ผู้ควบคุมข้อมูลรายอื่น -
สิทธิขอลบหรือทำลายข้อมูล (Right to Erasure) ม.33
ท่านมีสิทธิขอให้ลบหรือทำลายข้อมูล หรือทำให้ไม่สามารถระบุตัวตนได้ ในกรณีที่ข้อมูลหมดความจำเป็น หรือเมื่อถอนความยินยอมและบริษัทฯ ไม่มีฐานทางกฎหมายอื่น ทั้งนี้ไม่นำไปใช้กับข้อมูลที่บริษัทฯ จำเป็นต้องเก็บตามกฎหมาย -
สิทธิขอระงับการใช้ข้อมูล (Right to Restriction) ม.34
ท่านมีสิทธิขอให้ระงับการประมวลผลข้อมูลชั่วคราว เช่น ระหว่างที่บริษัทฯ ตรวจสอบความถูกต้องของข้อมูล -
สิทธิถอนความยินยอม (Right to Withdraw Consent) ม.19 วรรคห้า
ท่านมีสิทธิถอนความยินยอมที่ให้ไว้ได้ทุกเมื่อ โดยการถอนความยินยอมไม่กระทบต่อการประมวลผลที่ได้ดำเนินการไปแล้วโดยชอบด้วยกฎหมาย -
สิทธิคัดค้าน (Right to Object) ม.32
ท่านมีสิทธิคัดค้านการประมวลผลข้อมูลได้ทุกเมื่อ โดยเฉพาะอย่างยิ่ง:- การตลาดทางตรง (Direct Marketing): บริษัทฯ ต้องหยุดทันที เมื่อท่านคัดค้าน โดยไม่มีค่าใช้จ่าย และไม่ต้องให้เหตุผล
- การประมวลผลบนฐาน Legitimate Interest: บริษัทฯ จะพิจารณาว่ามีเหตุผลอันชอบด้วยกฎหมายที่สำคัญกว่าหรือไม่
- การประมวลผลเพื่อวัตถุประสงค์วิจัยทางสถิติ: เว้นแต่จำเป็นเพื่อประโยชน์สาธารณะ
กระบวนการใช้สิทธิ
ยื่นคำร้องเป็นลายลักษณ์อักษรผ่านช่องทางในข้อ 18 พร้อมแนบสำเนาเอกสารยืนยันตัวตน บริษัทฯ จะ:
- ยืนยันรับคำร้องภายใน 3 วันทำการ
- ดำเนินการและตอบสนองภายใน 30 วัน นับจากวันรับคำร้อง
- หากต้องการเวลาเพิ่มเติม บริษัทฯ จะแจ้งให้ท่านทราบพร้อมเหตุผล และขยายระยะเวลาได้ไม่เกิน 60 วัน สำหรับกรณีซับซ้อน
- ในกรณีที่บริษัทฯ ปฏิเสธคำขอ จะแจ้งเหตุผลและสิทธิที่ท่านมีในการร้องเรียนให้ท่านทราบ
16. การร้องเรียนต่อหน่วยงานกำกับดูแล
หากท่านเห็นว่าบริษัทฯ ไม่ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ท่านมีสิทธิร้องเรียนต่อ:
อย่างไรก็ตาม บริษัทฯ ขอให้ท่านติดต่อ DPO ของบริษัทฯ ก่อน เพื่อให้บริษัทฯ มีโอกาสแก้ไขข้อกังวลในเบื้องต้น
17. การปรับปรุงแก้ไขนโยบาย
บริษัทฯ ขอสงวนสิทธิ์ปรับปรุงนโยบายนี้เป็นครั้งคราว การเปลี่ยนแปลงจะแจ้งผ่าน https://one-hospital.com/ พร้อมวันที่มีผลบังคับใช้ สำหรับการเปลี่ยนแปลงที่มีนัยสำคัญ บริษัทฯ จะแจ้งให้ท่านทราบล่วงหน้าผ่านช่องทางที่ท่านลงทะเบียนไว้
การที่ท่านใช้บริการต่อหลังจากนโยบายฉบับใหม่มีผลบังคับใช้ถือว่าท่านรับทราบนโยบายฉบับนั้นแล้ว หากท่านไม่เห็นด้วย กรุณาหยุดการใช้บริการและติดต่อบริษัทฯ
18. ช่องทางการติดต่อ
ผู้ควบคุมข้อมูลส่วนบุคคล
บริษัท วัน เซอเจอรี่ จำกัด
ONE SURGERY CO., LTD.
📍 4180/6 ถนนพระรามที่ 4
แขวงพระโขนง เขตคลองเตย
กรุงเทพมหานคร 10110
เจ้าหน้าที่คุ้มครองข้อมูล (DPO)
บริษัท วัน เซอเจอรี่ จำกัด
ฝ่ายคุ้มครองข้อมูลส่วนบุคคล
📍 4180/6 ถนนพระรามที่ 4
แขวงพระโขนง เขตคลองเตย
กรุงเทพมหานคร 10110
- ชื่อ-นามสกุล และเลขบัตรประชาชน/หนังสือเดินทาง
- สิทธิที่ต้องการใช้หรือข้อสงสัยที่ต้องการสอบถาม
- ข้อมูลติดต่อกลับ (โทรศัพท์ อีเมล หรือที่อยู่)
ส่วนที่ 2 นโยบายการใช้คุกกี้ (Cookie Policy)
ใช้บังคับกับเว็บไซต์ https://one-hospital.com/ และช่องทางดิจิทัลของบริษัทฯ
1. คุกกี้คืออะไร
คุกกี้ (Cookie) คือไฟล์ข้อมูลขนาดเล็กที่เว็บไซต์จัดเก็บไว้ในเบราว์เซอร์หรืออุปกรณ์ของท่านเมื่อเข้าชม คุกกี้ช่วยให้เว็บไซต์จดจำการตั้งค่า ภาษา และพฤติกรรมการใช้งานของท่าน
นอกจากคุกกี้ เว็บไซต์นี้ใช้เทคโนโลยีที่คล้ายคลึงกัน เช่น Local Storage, Pixel Tag และ Web Beacon เพื่อวัตถุประสงค์ที่คล้ายกัน
2. ประเภทคุกกี้ที่ใช้บนเว็บไซต์
3. บุคคลที่สามที่อาจวางคุกกี้ผ่านเว็บไซต์
เว็บไซต์ใช้ Google Tag Manager (GTM-M56RCW3D) เพื่อจัดการ Script และ Tag ต่างๆ GTM เองไม่เก็บข้อมูลส่วนบุคคล แต่ Tag ที่ GTM จัดการอาจเก็บข้อมูลตามที่อธิบายไว้ข้างต้น
นโยบายความเป็นส่วนตัวของผู้ให้บริการบุคคลที่สาม:
- Google Analytics / Google Ads: policies.google.com/privacy
- Meta (Facebook / Instagram): facebook.com/privacy/policy
- TikTok: tiktok.com/legal/privacy-policy
4. วิธีจัดการและปิดใช้งานคุกกี้
4.1 ผ่านแบนเนอร์คุกกี้บนเว็บไซต์
ท่านสามารถเปลี่ยนแปลงการตั้งค่าความยินยอมคุกกี้ได้ทุกเมื่อโดยคลิกที่ไอคอนการตั้งค่าคุกกี้ที่แสดงบนเว็บไซต์ การถอนความยินยอมจะมีผลทันที แต่ไม่กระทบต่อการประมวลผลที่เกิดขึ้นก่อนการถอน
4.2 ผ่านการตั้งค่าเบราว์เซอร์
4.3 ออกจากการติดตามของ Google Analytics
ติดตั้ง Google Analytics Opt-out Browser Add-on เพื่อป้องกันไม่ให้ Google Analytics เก็บข้อมูลการเข้าชมของท่าน
5. Google Consent Mode
เว็บไซต์นี้ใช้ Google Consent Mode v2 ซึ่งปรับพฤติกรรมของ Google Analytics และ Google Ads ตามสถานะความยินยอมของท่าน หากท่านไม่ยินยอมให้ใช้ Cookie วิเคราะห์/การตลาด Google จะรวบรวมข้อมูลในรูปแบบ cookieless modeling แทน ซึ่งไม่ระบุตัวตนและไม่ใช้ Cookie บนอุปกรณ์ของท่าน