นโยบายความเป็นส่วนตัว

มีผลตั้งแต่: 1 พฤษภาคม 2569 · ปรับปรุงล่าสุด: 1 พฤษภาคม 2569

1. ผู้ควบคุมข้อมูลส่วนบุคคล

บริษัท [ชื่อบริษัท] (ต่อไปเรียก "บริษัท" หรือ "เรา") เป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตามนโยบายนี้

• เลขประจำตัวผู้เสียภาษี: [TAX ID]
• ที่อยู่: [ที่อยู่จดทะเบียน]
• เว็บไซต์: pazpai.com
• อีเมล DPO: dpo@pazpai.com

2. ข้อมูลส่วนบุคคลที่เก็บรวบรวม

2.1 ข้อมูลที่คุณให้กับเราโดยตรง

• ข้อมูลผู้โดยสาร: ชื่อ-นามสกุล, คำนำหน้า, เลขบัตรประชาชน/พาสปอร์ต, วันเกิด, เพศ
• ข้อมูลติดต่อ: อีเมล, เบอร์โทรศัพท์
• ข้อมูลการชำระเงิน: วิธีชำระเงิน (เลขบัตรเครดิต/Wallet ID จะถูกประมวลผลโดย Payment Gateway โดยตรง บริษัทไม่จัดเก็บ)
• ข้อมูลการจอง: เส้นทาง, วันเดินทาง, ที่นั่ง, สถานะ

2.2 ข้อมูลที่เก็บอัตโนมัติ

• Log การใช้งาน: IP address, User-Agent, เวลาเข้า/ออก, หน้าที่เข้า
• Cookies: เก็บ session, การจองชั่วคราว, ภาษา (ดูส่วน "คุกกี้")

3. วัตถุประสงค์การใช้ข้อมูล

1. ดำเนินการจองและออกตั๋วเดินทาง
2. ส่ง E-Ticket และข้อมูลการเดินทางผ่านอีเมล/SMS
3. ตรวจสอบตัวตนผู้โดยสารกับผู้ให้บริการเดินรถ
4. ประมวลผลการชำระเงิน คืนเงิน และจัดทำใบกำกับภาษี
5. ตอบข้อซักถาม ให้บริการลูกค้า แก้ไขปัญหา
6. ปรับปรุงคุณภาพบริการ วิเคราะห์การใช้งานในรูปแบบรวม (anonymized)
7. ปฏิบัติตามกฎหมาย เช่น พ.ร.บ. ภาษีอากร พ.ร.บ. คอมพิวเตอร์

4. ฐานทางกฎหมายในการประมวลผล

• การปฏิบัติตามสัญญา (มาตรา 24(3)) — เพื่อให้บริการตามที่คุณจอง
• การปฏิบัติตามกฎหมาย (มาตรา 24(6)) — เก็บใบเสร็จ ใบกำกับภาษี ตามกฎหมายภาษี 5 ปี
• ประโยชน์โดยชอบ (มาตรา 24(5)) — ป้องกันการฉ้อโกง รักษาความปลอดภัยระบบ
• ความยินยอม (มาตรา 19) — สำหรับการตลาดหรือการแบ่งปันข้อมูลที่เกินจากการบริการ

5. การเปิดเผยข้อมูลแก่บุคคลที่สาม

เราอาจเปิดเผยข้อมูลของคุณให้บุคคลที่สามดังต่อไปนี้:

• ผู้ให้บริการเดินรถ (เช่น บขส., รฟท., นครชัยแอร์, สมบัติทัวร์) — ชื่อผู้โดยสาร, เลขบัตรประชาชน, เบอร์ติดต่อ เพื่อใช้ในการเดินทางและตรวจสอบตัวตน
• Payment Gateway (เช่น Stripe, Omise, ธนาคาร) — ข้อมูลธุรกรรมและการชำระเงิน
• ผู้ให้บริการอีเมล/SMS (SendGrid, AWS SES) — เพื่อจัดส่งตั๋วและการแจ้งเตือน
• หน่วยงานราชการ เมื่อมีคำสั่งศาลหรือกฎหมายกำหนด

เราไม่ขายหรือให้เช่าข้อมูลของคุณแก่บุคคลที่สามเพื่อวัตถุประสงค์ทางการตลาด

6. ระยะเวลาเก็บรักษาข้อมูล

• ข้อมูลการจอง + ใบเสร็จ: 5 ปี (ตามประมวลรัษฎากร มาตรา 87/3)
• ข้อมูลผู้ใช้ที่ active: ตลอดที่บัญชียังใช้งาน + 1 ปี
• Log การใช้งาน: 90 วัน
• เมื่อพ้นกำหนด: ทำลาย/ทำให้ไม่สามารถระบุตัวบุคคลได้ (anonymize)

7. สิทธิของเจ้าของข้อมูล (ตาม PDPA)

คุณมีสิทธิดังต่อไปนี้:

1. สิทธิในการเข้าถึงข้อมูล (มาตรา 30) — ขอดูสำเนาข้อมูลของคุณ
2. สิทธิในการแก้ไขข้อมูล (มาตรา 35) — แก้ไขข้อมูลที่ไม่ถูกต้อง
3. สิทธิในการลบข้อมูล (มาตรา 33) — ขอให้ลบข้อมูล (เว้นแต่กฎหมายกำหนดให้เก็บ)
4. สิทธิในการระงับการใช้ข้อมูล (มาตรา 34)
5. สิทธิในการให้โอนย้ายข้อมูล (มาตรา 31) — ขอข้อมูลในรูปแบบ machine-readable
6. สิทธิในการคัดค้านการประมวลผล (มาตรา 32)
7. สิทธิในการเพิกถอนความยินยอม (มาตรา 19 วรรคห้า)
8. สิทธิในการร้องเรียน ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)

8. การคุ้มครองความปลอดภัยของข้อมูล

• เข้ารหัสข้อมูลขณะส่ง (HTTPS/TLS 1.2+)
• เข้ารหัสรหัสผ่านด้วย bcrypt
• JWT-based authentication สำหรับ admin
• Role-based access control (RBAC) จำกัดสิทธิ์เข้าถึงข้อมูล
• Audit log ทุกการเข้าถึงข้อมูลสำคัญ
• Backup ข้อมูลแบบ off-site อย่างน้อยวันละ 1 ครั้ง

9. คุกกี้

เราใช้คุกกี้เฉพาะที่จำเป็น (functional cookies) เท่านั้น — ไม่มี third-party tracking โดย default:

• admin_token — เก็บ JWT สำหรับผู้ดูแลระบบ
• currentBooking — เก็บข้อมูลการจองชั่วคราวระหว่างขั้นตอน

คุณสามารถลบคุกกี้ได้ผ่านการตั้งค่าเบราว์เซอร์

10. ผู้เยาว์

บริการนี้ไม่ได้ออกแบบมาสำหรับผู้ที่อายุต่ำกว่า 10 ปี หากผู้เยาว์เดินทาง ผู้ปกครองต้องเป็นผู้ทำการจองและให้ความยินยอมในการใช้ข้อมูล

11. ติดต่อเจ้าหน้าที่คุ้มครองข้อมูล (DPO)

หากคุณมีคำถามหรือต้องการใช้สิทธิตาม PDPA:

• อีเมล: dpo@pazpai.com
• โทร: [เบอร์โทร]
• ที่อยู่: [ที่อยู่]
• หรือยื่นคำขอออนไลน์ที่ หน้าคำขอใช้สิทธิ PDPA