นโยบายความเป็นส่วนตัว

นโยบายความเป็นส่วนตัว
บริษัท ไซโตออโรร่า ไบโอเทคโนโลยี (ประเทศไทย) จำกัด ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ ลูกค้า และผู้เยี่ยมชมเว็บไซต์ โดยนโยบายฉบับนี้จัดทำขึ้นเพื่ออธิบายถึงวัตถุประสงค์ วิธีการ และแนวทางในการเก็บรวบรวม ใช้และ เปิดเผยข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล” หรือ “PDPA”)


ขอบเขตการใช้
นโยบายความเป็นส่วนตัวฉบับนี้ ใช้กับข้อมูลส่วนบุคคลที่บริษัท ไซโตออโรร่า ไบโอเทคโนโลยี (ประเทศไทย) จำกัด ได้รับจากการใช้ งานหรือการติดต่อผ่านช่องทางต่าง ๆ ได้แก่

  • การใช้งานเว็บไซต์ของบริษัทฯ เช่น การเยี่ยมชม การลงทะเบียน หรือการใช้บริการออนไลน์ ซึ่งอาจมีการเก็บข้อมูลอัตโนมัติ เช่น หมายเลข IP หรือคุกกี้ เพื่อปรับปรุงประสบการณ์การใช้งาน
  • การกรอกแบบฟอร์มออนไลน์ เช่น แบบฟอร์มนัดหมาย สมัครรับข่าวสาร หรือแบบสอบถาม ซึ่งอาจขอข้อมูลจำเป็น เช่น ชื่อ เบอร์โทรศัพท์ หรืออีเมล เพื่อให้บริการได้อย่างเหมาะสม
  • การติดต่อสื่อสารกับบริษัทฯ ผ่านโทรศัพท์ อีเมล หรือสื่อสังคมออนไลน์ โดยข้อมูลที่ได้รับจะใช้เพื่อให้บริการ ตอบคำถาม หรือดำเนินการตามคำขอของคุณ

บริษัทฯ จะเก็บ ใช้ และปกป้องข้อมูลส่วนบุคคลของคุณตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และ มาตรการรักษาความปลอดภัยที่เข้มงวด เพื่อให้มั่นใจว่าข้อมูลของคุณได้รับการดูแลอย่างเหมาะสม


ประเภทของข้อมูลที่เราเก็บรวบรวม
เราจะเก็บรวบรวมเฉพาะข้อมูลที่จำเป็นต่อการให้บริการและการปฏิบัติงาน โดยอาจรวมถึงข้อมูลระบุตัวบุคคล

  • ชื่อ นามสกุล วันเดือนปีเกิด เพศ
  • ที่อยู่ ที่อยู่อีเมล และหมายเลขโทรศัพท์
  • หมายเลขบัตรประจำตัวประชาชนหรือเลขหนังสือเดินทาง (เมื่อจำเป็น)

ข้อมูลสุขภาพและการรักษา (ข้อมูลอ่อนไหว)

  • ประวัติสุขภาพ การวินิจฉัย ผลการตรวจทางห้องปฏิบัติการ ผลการตรวจทางพันธุศาสตร์ (กรณีที่มี)
  • ข้อมูลการรักษา ยา และบันทึกการพบแพทย์

ข้อมูลการชำระเงิน

  • ข้อมูลการเรียกเก็บเงิน ใบเสร็จ และข้อมูลการชำระเงิน (บางส่วนอาจส่งต่อให้ผู้ให้บริการระบบชำระเงิน)

ข้อมูลการเยี่ยมชมเว็บไซต์และเทคนิค

  • ข้อมูลการเข้าใช้งานเว็บไซต์ เช่น IP address, ประเภทเบราว์เซอร์, คุกกี้, พฤติกรรมการใช้งาน (เพื่อปรับปรุงบริการ)

บริษัทฯ จะเก็บข้อมูลเฉพาะเท่าที่จำเป็นตามวัตถุประสงค์ที่ชัดเจน และจะไม่ใช้ข้อมูลเพื่อวัตถุประสงค์อื่นนอกเหนือจากที่ได้แจ้งไว้เว้น แต่จะได้รับความยินยอมจากเจ้าของข้อมูล


วัตถุประสงค์ในการใช้ข้อมูล
เราจะใช้ข้อมูลเพื่อวัตถุประสงค์ที่ชัดเจน ดังต่อไปนี้:

  • การให้บริการตรวจวินิจฉัยและการรักษาให้ผู้ป่วย
  • การจัดการนัดหมาย การออกใบเสร็จ และการเรียกเก็บเงิน
  • การสื่อสาร แจ้งเตือนข้อมูลสำคัญเกี่ยวกับการรักษา ผลการตรวจ หรือนัดหมาย
  • ปรับปรุงคุณภาพการให้บริการ วิจัยและพัฒนาภายใน (โดยไม่เปิดเผยตัวตนเมื่อใช้เพื่อการวิเคราะห์เชิงสถิติ)
  • ปฏิบัติตามข้อกฎหมาย กฎระเบียบ หรือคำสั่งของหน่วยงานรัฐ
  • การทำการตลาดตรง (เมื่อได้รับความยินยอมจากท่าน) เช่น ข่าวสาร โปรโมชั่น และกิจกรรมของคลินิก

พื้นฐานทางกฎหมายสำหรับการประมวลผล
การประมวลผลข้อมูลของเรามีฐานทางกฎหมายอย่างน้อยหนึ่งข้อ ดังนี้:

  • การยินยอมของเจ้าของข้อมูล (Consent) — สำหรับการตลาดหรือการประมวลผลที่ไม่จำเป็นต่อการให้บริการ
  • การปฏิบัติตามสัญญาหรือการกระทำก่อนสัญญา — เช่น การรักษาและการนัดหมาย
  • ภาระหน้าที่ตามกฎหมาย — เพื่อปฏิบัติตามข้อกำหนดทางกฎหมายและข้อกำกับดูแล
  • ประโยชน์ที่ชอบด้วยเหตุผลของผู้ควบคุมข้อมูล — เช่น การป้องกันการฉ้อโกง หรือความปลอดภัยของระบบ

การเปิดเผยข้อมูลแก่บุคคลภายนอก
บริษัทอาจเปิดเผยข้อมูลต่อ

  • ผู้ให้บริการเทคโนโลยีสารสนเทศ (เช่น ผู้ให้บริการระบบคลาวด์ ผู้ดูแลระบบ) เพื่อสนับสนุนการดำเนินงาน
  • ผู้ให้บริการทางการแพทย์ร่วม (แพทย์ผู้เชี่ยวชาญ ห้องปฏิบัติการ) เมื่อจำเป็นต่อการรักษาผู้ป่วย
  • ผู้ให้บริการการชำระเงิน และผู้ทำบัญชี
  • หน่วยงานของรัฐหรือหน่วยงานกำกับดูแล เมื่อมีคำขอหรือเป็นไปตามกฎหมาย

การเปิดเผยข้อมูลดังกล่าวจะกระทำภายใต้ข้อตกลงการคุ้มครองข้อมูล (Data Processing Agreement) หรือสัญญาที่เหมาะสม เพื่อรับรองการคุ้มครองข้อมูลและข้อจำกัดการใช้งาน


การโอนข้อมูลข้ามแดน
หากมีการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทจะดำเนินการให้สอดคล้องกับกฎหมายที่เกี่ยวข้องและจะตรวจสอบให้แน่ใจ ว่าผู้รับข้อมูลมีการคุ้มครองข้อมูลที่เพียงพอหรือมีมาตรการปกป้องที่เหมาะสม


การรักษาความปลอดภัยของข้อมูล
บริษัทใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูล เช่น:

  • การเข้ารหัสข้อมูลเมื่อจำเป็น
  • การควบคุมการเข้าถึงตามบทบาทหน้าที่ (role-based access control)
  • การสำรองข้อมูล การตรวจสอบและบันทึกเหตุการณ์ (logging)
  • การฝึกอบรมพนักงานเกี่ยวกับการคุ้มครองข้อมูล

แม้ว่าจะมีมาตรการข้างต้น แต่ไม่มีระบบใดปลอดภัย 100% ดังนั้นเราจึงดำเนินการแจ้งเตือนและตอบสนองหากเกิดเหตุละเมิดข้อมูล


ระยะเวลาการเก็บรักษาข้อมูล
ข้อมูลจะถูกเก็บรักษาตามวัตถุประสงค์ที่ได้แจ้งไว้และระยะเวลาที่กฎหมายกำหนด เช่น:

  • ข้อมูลผู้ป่วยและบันทึกทางการแพทย์: เก็บตามระยะเวลาที่กฎหมายกำหนดหรือมาตรฐานวิชาชีพ
  • ข้อมูลการเงินและบัญชี: เก็บตามกฎหมายภาษีและบัญชี หลังจากสิ้นสุดระยะเวลา บริษัทจะลบหรือทำให้ไม่สามารถระบุตัวตนได้ตามมาตรฐานที่เหมาะสม

สิทธิของเจ้าของข้อมูล
ท่านมีสิทธิภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (เช่น PDPA) รวมถึงแต่ไม่จำกัดเพียง:

  • ขอเข้าถึงข้อมูลส่วนบุคคลของตน
  • ขอคัดค้านการประมวลผลในบางกรณี
  • ขอแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์
  • ขอให้ลบหรือระงับการประมวลผล (ในกรณีที่กฎหมายอนุญาต)
  • ขอให้โอนย้ายข้อมูลในรูปแบบที่สามารถอ่านได้โดยเครื่อง (data portability)

หากต้องการใช้งานสิทธิใดๆ กรุณาติดต่อเจ้าหน้าที่คุ้มครองข้อมูลของเรา


คุกกี้ (Cookies) และเทคโนโลยีที่เกี่ยวข้อง
เว็บไซต์ของเราอาจใช้คุกกี้และเทคโนโลยีติดตามเพื่อวัตถุประสงค์ เช่น การปรับปรุงประสบการณ์ผู้ใช้ การวิเคราะห์การใช้งาน และการ โฆษณา ท่านสามารถจัดการการตั้งค่าคุกกี้ผ่านเบราว์เซอร์หรือเครื่องมือที่เราแจ้งให้ทราบบนเว็บไซต์


ช่องทางการติดต่อและการร้องเรียน
หากท่านมีคำถาม ข้อเรียกร้อง หรือต้องการใช้งานสิทธิของท่าน กรุณาติดต่อ:
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

  • อีเมล: admin@cytoaurora.co.th
  • โทรศัพท์: 065-715-2539
  • ที่อยู่: บริษัท ไซโตออโรร่า ไบโอเทคโนโลยี (ประเทศไทย) จำกัด เลขที่ 14 ซอยศูนย์วิจัย 12 แขวงบางกะปิ เขตห้วยขวาง กรุงเทพมหานคร 10310

หากท่านไม่พอใจกับการตอบสนอง ท่านสามารถยื่นคำร้องต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือหน่วยงานกำกับดูแลที่ เกี่ยวข้อง


การปรับปรุงนโยบาย
เราอาจปรับปรุงนโยบายความเป็นส่วนตัวนี้เป็นครั้งคราวเพื่อสะท้อนการเปลี่ยนแปลงในการปฏิบัติหรือกฎหมาย การเปลี่ยนแปลงที่ สำคัญจะประกาศบนเว็บไซต์และ/หรือแจ้งให้ท่านทราบ


ข้อกำหนดเพิ่มเติมสำหรับข้อมูลอ่อนไหว
การประมวลผลข้อมูลสุขภาพและข้อมูลอ่อนไหวอื่น ๆ จะกระทำภายใต้ข้อจำกัดที่เข้มงวดและโดยทั่วไปจะต้องได้รับความยินยอมเป็นลายลักษณ์อักษรหรือดำเนินการภายใต้ฐานทางกฎหมายที่ชัดเจน


ข้อกำหนดด้านบุคคลภายนอก (Data Processor)
เมื่อเราจ้างผู้ให้บริการภายนอกซึ่งจะประมวลผลข้อมูลในนามของเรา เราจะทำสัญญา Data Processing Agreement ที่ระบุข้อ กำหนดด้านความปลอดภัย ขอบเขตการใช้งาน และข้อจำกัดการโอนข้อมูล