สารบัญ — Table of Contents
- ข้อมูลทั่วไป (General Information)
- ข้อมูลที่เราเก็บรวบรวม (Information We Collect)
- วัตถุประสงค์ในการประมวลผล (Purpose of Processing)
- ฐานทางกฎหมาย (Legal Basis)
- การเปิดเผยข้อมูล (Data Disclosure)
- ระยะเวลาในการเก็บรักษา (Data Retention)
- การรักษาความปลอดภัย (Data Security)
- สิทธิ์ของเจ้าของข้อมูล (Data Subject Rights)
- การโอนข้อมูลระหว่างประเทศ (International Transfer)
- คุกกี้ (Cookies)
- การแก้ไขนโยบาย (Policy Changes)
- ติดต่อเรา (Contact Us)
01 ข้อมูลทั่วไป (General Information)
นโยบายความเป็นส่วนตัวฉบับนี้ ("นโยบาย") จัดทำขึ้นโดย บริษัท คัลเจอร์ แคปิตอล เพย์ จำกัด ทะเบียนนิติบุคคลเลขที่ 0105565039818 ซึ่งดำเนินงานภายใต้แบรนด์ Elixopay เพื่ออธิบายแนวปฏิบัติเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ("PDPA")
ชื่อบริษัท
บริษัท คัลเจอร์ แคปิตอล เพย์ จำกัด
ทะเบียนนิติบุคคล
0105565039818
ประเภทบริการ
Non-Custodial Payment Gateway
นโยบายนี้มีผลบังคับใช้กับผู้ใช้บริการทุกประเภท ได้แก่ ร้านค้า (Merchants) ผู้ชำระเงิน (End Users/Payers) พันธมิตรทางธุรกิจ และผู้เยี่ยมชมเว็บไซต์ elixopay.com รวมถึงแอปพลิเคชันและบริการที่เกี่ยวข้องทั้งหมด
02 ข้อมูลที่เราเก็บรวบรวม (Information We Collect)
เราเก็บรวบรวมข้อมูลส่วนบุคคลที่จำเป็นต่อการให้บริการ Payment Gateway ดังต่อไปนี้:
ข้อมูลส่วนตัว
ชื่อ-นามสกุล, อีเมล, หมายเลขโทรศัพท์, ที่อยู่
ข้อมูล KYC
บัตรประชาชน, หนังสือเดินทาง, หนังสือรับรองบริษัท, ใบอนุญาตประกอบธุรกิจ
ข้อมูลธุรกิจร้านค้า
ชื่อธุรกิจ, ประเภทธุรกิจ, ข้อมูลบัญชีธนาคาร, เว็บไซต์
ข้อมูลการชำระเงิน
ช่องทางการชำระเงิน, รายละเอียดการเรียกเก็บเงิน (ไม่เก็บข้อมูลบัตรเครดิตโดยตรง)
ข้อมูลธุรกรรม
รายการธุรกรรม, จำนวนเงิน, วันเวลา, สถานะการชำระเงิน, Reference ID
ข้อมูลเทคนิค
IP Address, ประเภทเบราว์เซอร์, ระบบปฏิบัติการ, Device ID, ข้อมูล API calls
คุกกี้และ Tracking
คุกกี้ที่จำเป็น, คุกกี้วิเคราะห์, Local Storage
03 วัตถุประสงค์ในการประมวลผล (Purpose of Processing)
เราประมวลผลข้อมูลส่วนบุคคลของท่านเพื่อวัตถุประสงค์ดังต่อไปนี้เท่านั้น:
- การประมวลผลการชำระเงิน (Payment Processing) — ดำเนินการรับชำระเงิน ส่งต่อธุรกรรมไปยังธนาคารผู้รับ (Acquirer) และแจ้งสถานะการชำระเงินให้ร้านค้า
- การยืนยันตัวตน KYC/AML — ตรวจสอบตัวตนของร้านค้าตามข้อกำหนดของธนาคารแห่งประเทศไทย (BOT) และสำนักงานป้องกันและปราบปรามการฟอกเงิน (AMLO)
- การป้องกันการฉ้อโกง (Fraud Prevention) — วิเคราะห์รูปแบบธุรกรรมเพื่อตรวจจับและป้องกันธุรกรรมที่น่าสงสัย การฉ้อโกง และการฟอกเงิน
- การปรับปรุงบริการ (Service Improvement) — วิเคราะห์ข้อมูลการใช้งานเพื่อพัฒนาประสิทธิภาพและความเสถียรของระบบ Payment Gateway
- การปฏิบัติตามกฎหมาย (Legal Compliance) — ปฏิบัติตามข้อกำหนดของ PDPA, พ.ร.บ.ป้องกันและปราบปรามการฟอกเงิน, ประกาศ BOT และกฎหมายอื่นที่เกี่ยวข้อง
- การสื่อสาร (Communication) — ส่งการแจ้งเตือนทางเทคนิค การอัปเดตบริการ แจ้งเตือนด้านความปลอดภัย และข้อความสนับสนุน
- การระงับข้อพิพาท (Dispute Resolution) — จัดการ Chargeback, Refund และข้อพิพาทเกี่ยวกับธุรกรรม
04 ฐานทางกฎหมาย (Legal Basis for Processing under PDPA)
เราประมวลผลข้อมูลส่วนบุคคลของท่านภายใต้ฐานทางกฎหมายตามมาตรา 24 และมาตรา 26 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังนี้:
ฐานสัญญา (Contractual Necessity)
จำเป็นเพื่อการปฏิบัติตามสัญญาที่ท่านเป็นคู่สัญญา หรือเพื่อดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญา — เช่น การให้บริการ Payment Gateway, การเปิดบัญชีร้านค้า
ฐานหน้าที่ตามกฎหมาย (Legal Obligation)
จำเป็นเพื่อการปฏิบัติตามกฎหมาย — รวมถึงข้อกำหนดของธนาคารแห่งประเทศไทย (BOT), พ.ร.บ.ป้องกันและปราบปรามการฟอกเงิน (AMLO), ประมวลรัษฎากร และกฎหมายว่าด้วยธุรกรรมอิเล็กทรอนิกส์
ฐานประโยชน์อันชอบธรรม (Legitimate Interest)
จำเป็นเพื่อประโยชน์อันชอบธรรมของเราหรือบุคคลอื่น — เช่น การป้องกันการฉ้อโกง การรักษาความปลอดภัยของระบบ การปรับปรุงบริการ โดยไม่กระทบสิทธิขั้นพื้นฐานของท่านเกินสมควร
ฐานความยินยอม (Consent)
สำหรับกรณีที่กฎหมายกำหนดให้ต้องได้รับความยินยอมเท่านั้น — เช่น การส่งข้อมูลทางการตลาด การใช้คุกกี้วิเคราะห์ ท่านมีสิทธิถอนความยินยอมได้ตลอดเวลา
05 การเปิดเผยข้อมูล (Data Disclosure)
เราอาจเปิดเผยข้อมูลส่วนบุคคลของท่านให้กับบุคคลหรือหน่วยงานดังต่อไปนี้ ภายใต้วัตถุประสงค์ที่ระบุไว้ในนโยบายฉบับนี้:
- ธนาคารผู้รับ / Payment Acquirers — ธนาคารและสถาบันการเงินที่เกี่ยวข้องกับการประมวลผลธุรกรรมการชำระเงิน
- พันธมิตรตรวจสอบตัวตน (KYC Verification Partners) — ผู้ให้บริการยืนยันตัวตนที่ได้รับอนุญาตเพื่อการตรวจสอบ KYC/AML
- ผู้ให้บริการระบบคลาวด์ (Cloud Service Providers) — ผู้ให้บริการโครงสร้างพื้นฐานที่ผ่านมาตรฐานความปลอดภัยสากล
- หน่วยงานกำกับดูแล (Regulatory Authorities) — ธนาคารแห่งประเทศไทย (BOT), สำนักงานป้องกันและปราบปรามการฟอกเงิน (AMLO), สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และหน่วยงานราชการตามที่กฎหมายกำหนด
- ผู้สอบบัญชี / ผู้ตรวจสอบ (Auditors) — ผู้สอบบัญชีภายนอกและผู้ตรวจสอบมาตรฐาน PCI DSS ตามที่จำเป็น
- การบังคับใช้กฎหมาย — เมื่อได้รับหมายศาลหรือคำสั่งทางกฎหมายที่มีผลบังคับ
06 ระยะเวลาในการเก็บรักษา (Data Retention)
เราเก็บรักษาข้อมูลส่วนบุคคลของท่านตามระยะเวลาที่กฎหมายกำหนดและตามความจำเป็นในการให้บริการ ดังนี้:
บันทึกธุรกรรม
10 ปี — ตามข้อกำหนดของธนาคารแห่งประเทศไทย (BOT) และประมวลรัษฎากร
เอกสาร KYC
5 ปี หลังสิ้นสุดความสัมพันธ์ — ตาม พ.ร.บ.ป้องกันและปราบปรามการฟอกเงิน (AMLO)
ข้อมูลบัญชีผู้ใช้
ตลอดระยะเวลาใช้บริการ + 2 ปี หลังปิดบัญชี เพื่อรองรับข้อพิพาทและการตรวจสอบ
คุกกี้
ตามระยะเวลาที่ระบุใน นโยบายคุกกี้ (Cookie Policy)
เมื่อพ้นระยะเวลาดังกล่าว เราจะลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้ (Anonymize) ตามมาตรฐานความปลอดภัยที่เหมาะสม
07 การรักษาความปลอดภัย (Data Security)
Elixopay ใช้มาตรการรักษาความปลอดภัยทั้งทางเทคนิคและทางองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลของท่านจากการสูญหาย การเข้าถึงโดยไม่ได้รับอนุญาต การเปลี่ยนแปลง หรือการเปิดเผย:
การเข้ารหัส (Encryption)
AES-256 encryption at rest, TLS 1.3 สำหรับข้อมูลระหว่างการส่ง
Tokenization
ข้อมูลบัตรเครดิตไม่ผ่านเซิร์ฟเวอร์ของเรา — ใช้ Token แทนข้อมูลจริง
PCI DSS Level 1
มาตรฐานความปลอดภัยสูงสุดสำหรับอุตสาหกรรมบัตรชำระเงิน
ISO 27001 & SOC 2
ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐานสากล
Access Controls
ระบบควบคุมการเข้าถึงข้อมูลตามหลัก Least Privilege, MFA, Role-Based Access
Security Audits
การตรวจสอบความปลอดภัยเป็นระยะ, Penetration Testing, Vulnerability Assessment
08 สิทธิ์ของเจ้าของข้อมูล (Data Subject Rights under PDPA)
ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ท่านในฐานะเจ้าของข้อมูลมีสิทธิ์ดังต่อไปนี้:
- สิทธิในการเข้าถึง (Right to Access) — ท่านมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลของท่านที่เราเก็บรวบรวมไว้ รวมถึงขอให้เปิดเผยการได้มาซึ่งข้อมูลที่ท่านไม่ได้ให้ความยินยอม
- สิทธิในการแก้ไข (Right to Rectification) — ท่านมีสิทธิขอให้แก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้อง ไม่สมบูรณ์ หรือก่อให้เกิดความเข้าใจผิด
- สิทธิในการลบ (Right to Erasure) — ท่านมีสิทธิขอให้ลบหรือทำลายข้อมูลส่วนบุคคลของท่าน เว้นแต่มีข้อจำกัดตามกฎหมาย (เช่น ข้อมูลธุรกรรมที่ต้องเก็บตามกฎหมาย BOT/AMLO)
- สิทธิในการระงับการใช้ (Right to Restriction) — ท่านมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลของท่านในบางกรณี
- สิทธิในการโอนย้ายข้อมูล (Right to Data Portability) — ท่านมีสิทธิขอรับข้อมูลส่วนบุคคลในรูปแบบที่สามารถอ่านหรือใช้งานได้โดยเครื่องมืออัตโนมัติ รวมถึงขอให้ส่งข้อมูลไปยังผู้ควบคุมข้อมูลรายอื่น
- สิทธิในการคัดค้าน (Right to Object) — ท่านมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่านในบางกรณี
- สิทธิในการถอนความยินยอม (Right to Withdraw Consent) — ท่านมีสิทธิถอนความยินยอมที่เคยให้ไว้ได้ตลอดเวลา โดยการถอนความยินยอมจะไม่กระทบต่อความชอบด้วยกฎหมายของการประมวลผลที่ดำเนินไปก่อนการถอนความยินยอม
ท่านมีสิทธิร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หากเชื่อว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่านไม่เป็นไปตาม PDPA
09 การโอนข้อมูลระหว่างประเทศ (International Data Transfer)
ข้อมูลส่วนบุคคลของท่านจะถูกจัดเก็บเป็นหลักภายในประเทศไทย อย่างไรก็ตาม ในบางกรณีอาจมีความจำเป็นต้องโอนข้อมูลไปยังต่างประเทศ:
- การประมวลผลธุรกรรมระหว่างประเทศ — เมื่อธุรกรรมเกี่ยวข้องกับ Payment Network ระหว่างประเทศ (เช่น Visa, Mastercard)
- ผู้ให้บริการคลาวด์ — เมื่อใช้บริการโครงสร้างพื้นฐานคลาวด์ที่มีเซิร์ฟเวอร์ในต่างประเทศ
- พันธมิตร KYC/AML ระหว่างประเทศ — เมื่อจำเป็นต้องตรวจสอบกับฐานข้อมูลระหว่างประเทศ
10 คุกกี้ (Cookies)
เว็บไซต์ของเราใช้คุกกี้และเทคโนโลยีที่คล้ายคลึงกันเพื่อเพิ่มประสิทธิภาพการใช้งานและวิเคราะห์การเข้าถึงเว็บไซต์ คุกกี้ที่เราใช้มีดังนี้:
- คุกกี้ที่จำเป็น (Strictly Necessary Cookies) — จำเป็นสำหรับการทำงานพื้นฐานของเว็บไซต์ เช่น Session Management, Security Tokens ไม่สามารถปิดได้
- คุกกี้เพื่อการวิเคราะห์ (Analytics Cookies) — ช่วยให้เราเข้าใจว่าผู้เยี่ยมชมมีปฏิสัมพันธ์กับเว็บไซต์อย่างไร เพื่อปรับปรุงประสบการณ์การใช้งาน
- คุกกี้เพื่อการใช้งาน (Functional Cookies) — จดจำค่ากำหนดและการตั้งค่าของท่าน เช่น ภาษาที่เลือก
11 การแก้ไขนโยบาย (Policy Changes)
เราอาจแก้ไขหรือปรับปรุงนโยบายความเป็นส่วนตัวฉบับนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับการเปลี่ยนแปลงของกฎหมาย ข้อกำหนดด้านกำกับดูแล หรือการดำเนินงานของเรา
- การแจ้งเตือน — หากมีการเปลี่ยนแปลงที่สำคัญ เราจะแจ้งให้ท่านทราบผ่านอีเมลที่ลงทะเบียนไว้ หรือประกาศบนเว็บไซต์ล่วงหน้าอย่างน้อย 30 วัน ก่อนมีผลบังคับใช้
- วันที่มีผลบังคับใช้ — นโยบายฉบับปรับปรุงจะมีผลบังคับใช้ตามวันที่ระบุไว้ที่ด้านบนของหน้านี้ ("UPDATED" date)
- การใช้บริการต่อ — การที่ท่านยังคงใช้บริการของเราหลังจากนโยบายฉบับปรับปรุงมีผลบังคับใช้ ถือว่าท่านยอมรับนโยบายฉบับปรับปรุงดังกล่าว
- ประวัติการแก้ไข — ท่านสามารถขอดูประวัติการแก้ไขนโยบายฉบับก่อนหน้าได้โดยติดต่อ legal@elixopay.com
12 ติดต่อเรา (Contact Us)
หากท่านมีคำถาม ข้อสงสัย หรือต้องการใช้สิทธิ์ตามนโยบายฉบับนี้ กรุณาติดต่อเราผ่านช่องทางดังต่อไปนี้:
บริษัท
บริษัท คัลเจอร์ แคปิตอล เพย์ จำกัด (Elixopay)