นโยบายความเป็นส่วนตัว

1. ข้อมูลที่เราเก็บรวบรวม

Mycert เก็บข้อมูลเฉพาะเท่าที่จำเป็นต่อการให้บริการ และทุกหมวดข้อมูลผ่านการพิจารณา data minimization แล้ว

• •ข้อมูลบัญชี: ชื่อ อีเมล รูปโปรไฟล์ Username และข้อมูลจาก OAuth (Google/Facebook/Microsoft)
• •ข้อมูลโปรไฟล์: ชื่อจริง วันเกิด เพศ ระดับชั้น โรงเรียน เบอร์ติดต่อ
• •ข้อมูลผู้ปกครอง: เฉพาะกรณีที่กิจกรรมระบุว่าต้องการ
• •ข้อมูลการใช้งาน: กิจกรรมที่สมัคร/เข้าร่วม ใบประกาศที่ได้รับ การตั้งค่าบัญชี
• •ข้อมูลทางเทคนิค: IP address, User-Agent, Cookie ID, audit logs
• •ข้อมูลการชำระเงิน: ดำเนินการผ่าน Stripe โดย Mycert ไม่เก็บข้อมูลบัตร

2. วัตถุประสงค์การใช้ข้อมูล (Lawful Basis)

ตาม PDPA มาตรา 24 เราใช้ข้อมูลของคุณภายใต้ฐานทางกฎหมายต่อไปนี้

• •การปฏิบัติตามสัญญา: สร้างบัญชี ออกใบประกาศ ดำเนินการสมัครกิจกรรม
• •ความยินยอม: ส่งอีเมล/SMS การตลาด, การเชื่อมต่อกับ LINE/Calendar
• •ผลประโยชน์โดยชอบด้วยกฎหมาย: ป้องกันการฉ้อโกง, anti-spam, audit logging
• •การปฏิบัติตามกฎหมาย: เก็บข้อมูลธุรกรรมตามกฎหมายภาษี

3. การเปิดเผยข้อมูล

เราไม่ขายหรือให้เช่าข้อมูลส่วนบุคคลของคุณ การเปิดเผยมีเฉพาะกรณีต่อไปนี้

• •ผู้จัดกิจกรรม: เห็นข้อมูลผู้สมัครเฉพาะกิจกรรมของตน
• •ผู้ให้บริการ Cloud (Data Processor): Supabase, Vercel, Stripe — ผูกพันด้วย DPA
• •หน่วยงานราชการ: เมื่อมีหมายศาลหรือคำสั่งที่ชอบด้วยกฎหมาย
• •การกิจกรรมรับสมัครภายนอก (External): Mycert ไม่ส่งข้อมูลไปเว็บภายนอก ผู้สมัครจะเห็น disclaimer ก่อนกรอกข้อมูล

4. ระยะเวลาการเก็บรักษา (Data Retention)

เราเก็บข้อมูลตามระยะเวลาที่จำเป็นต่อวัตถุประสงค์ที่เก็บ

• •บัญชีผู้ใช้ที่ใช้งานอยู่: เก็บตลอดอายุบัญชี
• •บัญชีที่ถูกลบ: ลบข้อมูลส่วนบุคคลทั้งหมดภายใน 30 วัน (ยกเว้น audit logs ตามข้อ 5)
• •ใบประกาศ: เก็บถาวรเพื่อการตรวจสอบความถูกต้อง (ลบเฉพาะ PII ของผู้รับเมื่อมีคำขอ)
• •Audit logs / Security events: 12 เดือน
• •ข้อมูลการชำระเงิน: 7 ปี ตามกฎหมายภาษี

5. ความปลอดภัยของข้อมูล

เราใช้มาตรการตามมาตรฐานอุตสาหกรรมเพื่อปกป้องข้อมูล

• •เข้ารหัสระหว่างการส่ง (TLS 1.3) และระหว่างจัดเก็บ (at-rest encryption)
• •Row Level Security (RLS) ที่ระดับฐานข้อมูล — ผู้ใช้เห็นเฉพาะข้อมูลของตน
• •Audit logs ทุกการเข้าถึงข้อมูลสำคัญ
• •Multi-factor authentication สำหรับบัญชีผู้ดูแลระบบ
• •Anti-scam system: Trust Score, Strike, Verified Organizer, Domain Blocking

6. สิทธิ์ของเจ้าของข้อมูล (Data Subject Rights)

ภายใต้ PDPA คุณมีสิทธิ์ดังต่อไปนี้ และสามารถใช้สิทธิ์ผ่านอีเมลหรือหน้าตั้งค่าบัญชี

• •สิทธิ์เข้าถึงและขอสำเนาข้อมูล (Right to Access)
• •สิทธิ์แก้ไขข้อมูลที่ไม่ถูกต้อง (Right to Rectification)
• •สิทธิ์ลบข้อมูล (Right to Erasure) — ดูหน้า /data-deletion
• •สิทธิ์คัดค้าน / ขอระงับการใช้ข้อมูล
• •สิทธิ์ในการพกพาข้อมูล (Right to Data Portability) — ขอ export ได้
• •สิทธิ์ถอนความยินยอมเมื่อใดก็ได้

7. คุกกี้และการติดตาม

เราใช้คุกกี้เฉพาะที่จำเป็นต่อการเข้าสู่ระบบและการรักษาความปลอดภัย ไม่มีคุกกี้โฆษณาของบุคคลที่สาม คุณสามารถปิดคุกกี้ได้ที่เบราว์เซอร์ แต่อาจไม่สามารถเข้าสู่ระบบได้

8. ข้อมูลของผู้เยาว์

ผู้ใช้อายุต่ำกว่า 13 ปีไม่อนุญาตให้สร้างบัญชี ผู้ใช้อายุ 13–18 ปีต้องได้รับความยินยอมจากผู้ปกครอง หากพบบัญชีที่ไม่เป็นไปตามนี้ เราจะลบทันที

9. การโอนข้อมูลข้ามพรมแดน

Mycert ใช้ Cloud providers ที่อาจมี data center นอกประเทศไทย (Singapore, Tokyo) เราเลือกผู้ให้บริการที่มีมาตรฐาน ISO 27001 / SOC 2 และมีข้อตกลง DPA

10. การเปลี่ยนแปลงนโยบาย

เราอาจปรับปรุงนโยบายเป็นครั้งคราว การเปลี่ยนแปลงสำคัญจะแจ้งให้ทราบล่วงหน้าอย่างน้อย 7 วันผ่านอีเมลและการแจ้งเตือนในแพลตฟอร์ม

11. ผู้ควบคุมข้อมูล (Data Controller)

Mycert by Centered101 — ผู้ควบคุมข้อมูลตาม PDPA หากต้องการติดต่อ Data Protection Officer (DPO) ส่งอีเมลที่ dpo@mycert.camp พร้อมระบุ "PDPA Request" ในหัวข้อ