Privacy Policy
1. ผู้ควบคุมข้อมูลส่วนบุคคล PDPA ม.23
สาขาภาพยนตร์และสื่อดิจิทัล คณะนิเทศศาสตร์ มหาวิทยาลัยศรีปทุม (FDSPU) ("เรา", "ของเรา") ทำหน้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตามนิยามใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สำหรับข้อมูลที่เก็บรวบรวมผ่านเว็บไซต์ https://www.fdspu.com และบริการที่เกี่ยวข้อง
อีเมลผู้ควบคุมข้อมูล: [email protected]
เว็บไซต์: https://www.fdspu.com
2. ข้อมูลที่เราเก็บรวบรวม
2.1 ข้อมูลที่ท่านให้โดยตรง
| ประเภทข้อมูล | รายละเอียด | บริการที่ใช้ |
|---|---|---|
| ชื่อ–นามสกุล | ชื่อจริงที่ใช้ลงทะเบียน | ระบบสมาชิก, E-Ticket |
| อีเมล | ใช้เป็น ID หลักในการเข้าสู่ระบบ | ทุกบริการ |
| เบอร์โทรศัพท์ | ไม่บังคับ — หนึ่งเบอร์ต่อหนึ่งบัญชี; ถ้าบันทึกเบอร์ที่ผูกบัญชีอื่นอยู่ ระบบถอนจากบัญชีนั้นให้อัตโนมัติ; จำกัดการถอน/เปลี่ยนของท่าน 3 ครั้งต่อ 3 วัน | ระบบสมาชิก |
| รหัสผ่าน | เข้ารหัสด้วย bcrypt ก่อนจัดเก็บ | ระบบสมาชิก |
| ข้อมูล Google | ชื่อ, อีเมล, Google ID (เมื่อ Sign-In ด้วย Google) | Google Sign-In |
| ข้อมูลยืนยันภายใต้มหาวิทยาลัย (SPU) | ประเภทนักศึกษา/บุคลากร, อีเมลที่ใช้ยืนยัน (@spumail.net / @spu.ac.th), ชื่อ–นามสกุลตามระบบยืนยัน, เวลาที่ยืนยัน — ข้อมูลที่เกี่ยวข้องอาจถูกลบหรือรีเซ็ตเมื่อครบกำหนดตามข้อกำหนดการใช้บริการ (เช่น 6 เดือนนับจากวันยืนยัน) | ยืนยันตัวตนในโปรไฟล์ (บุคลากร/นักศึกษาที่มีสิทธิ์ตามระบบ) |
2.2 ข้อมูลที่เก็บรวบรวมอัตโนมัติ
| ประเภทข้อมูล | รายละเอียด |
|---|---|
| หมายเลข IP Address | IPv4/IPv6 ทุก request ที่ล็อกอิน, สมัครสมาชิก, ทำธุรกรรม |
| User-Agent | ประเภทเบราว์เซอร์, ระบบปฏิบัติการ |
| Timestamp | วันเวลาของทุกกิจกรรมสำคัญ |
| ข้อมูลการจองตั๋ว | ภาพยนตร์ที่จอง, ที่นั่ง, เวลา, ราคา, รหัสอ้างอิง |
2.3 ข้อมูลที่ไม่เก็บ
- หมายเลขบัตรประชาชนหรือเอกสารราชการ
- ข้อมูลทางการเงิน (บัตรเครดิต, บัญชีธนาคาร)
- รูปภาพโปรไฟล์
- เนื้อหาการสนทนาส่วนตัว
2.4 บันทึกที่เกี่ยวกับเบอร์โทรและการใช้บริการ
เราอาจเก็บเวลาที่ท่านถอนหรือเปลี่ยนเบอร์ เพื่อนับขีดจำกัด 3 ครั้งต่อ 3 วัน ตาม ข้อกำหนดการใช้บริการ — หากท่านยืนยันเบอร์ด้วย OTP ระบบจะประมวลผลรหัสชั่วคราวเพื่อความปลอดภัย (ระยะเก็บรหัส OTP ดูในข้อ 5) — บันทึกกิจกรรมอื่นตาม พ.ร.บ. คอมพิวเตอร์ ดูในข้อ 10
3. วัตถุประสงค์
| วัตถุประสงค์ | ข้อมูลที่ใช้ |
|---|---|
| สร้างและจัดการบัญชีสมาชิก | ชื่อ, อีเมล, รหัสผ่าน, Google ID, เบอร์โทร, สถานะยืนยันเบอร์, การยืนยันมหาวิทยาลัย (ถ้ามี) |
| ให้บริการจองตั๋วที่นั่ง | ชื่อ, อีเมล, ข้อมูลการจอง |
| ส่ง E-Ticket และ OTP ทางอีเมล | อีเมล, ชื่อ, รายละเอียดการจอง |
| บันทึก Access Log ตามกฎหมาย | IP Address, User-Agent, Timestamp |
| ยืนยันตัวตนก่อนใช้บริการจอง (จำเป็นตามประเภทผู้ใช้) | สถานะเบอร์ที่ยืนยันด้วย OTP; หรือข้อมูลยืนยันมหาวิทยาลัยและระดับสมาชิกที่เกี่ยวข้อง — สอดคล้อง ข้อกำหนดการใช้บริการ (เช่น เบอร์โทรสำหรับบุคคลทั่วไป, อีเมลมหาวิทยาลัยสำหรับบุคลากร/นักศึกษาที่กำหนด) |
| ใช้สิทธิ์การจองตามระดับสมาชิก | ข้อมูลยืนยันตัวตนและระดับสมาชิกที่ใช้ได้, อีเมล, ชื่อ, การจอง |
| ควบคุมการเปลี่ยนเบอร์โทรและป้องกันการละเมิด | บันทึกเวลาถอน/เปลี่ยนเบอร์ของสมาชิก, เบอร์ที่บันทึกในบัญชี |
| ป้องกันการทุจริตและรักษาความปลอดภัย | IP Address, กิจกรรมการใช้งาน |
| ปรับปรุงและพัฒนาระบบ | ข้อมูลการใช้งาน (ไม่ระบุตัวตน) |
* เราไม่ใช้ข้อมูลส่วนบุคคลเพื่อการตลาดหรือโฆษณาโดยไม่ได้รับความยินยอมจากท่าน
4. การเปิดเผยข้อมูลแก่บุคคลที่สาม PDPA ม.27
เราไม่ขายข้อมูลส่วนบุคคลของท่าน เราอาจเปิดเผยข้อมูลในกรณีต่อไปนี้เท่านั้น
การเปิดเผยตามกฎหมาย
เราอาจเปิดเผยข้อมูลเมื่อได้รับคำสั่งจากเจ้าหน้าที่ผู้มีอำนาจตามกฎหมาย เช่น ศาล พนักงานสอบสวน หรือหน่วยงานรัฐบาลที่มีอำนาจตาม พ.ร.บ. คอมพิวเตอร์ หรือกฎหมายอื่นที่เกี่ยวข้อง
5. ระยะเวลาการเก็บรักษาข้อมูล PDPA ม.37
| ประเภทข้อมูล | ระยะเวลา | เหตุผล |
|---|---|---|
| ข้อมูลบัญชีสมาชิก | ตลอดอายุบัญชี | จำเป็นต่อการให้บริการ |
| ข้อมูลบัญชีหลังลบ | 3 ปี หลังลบบัญชี | ป้องกันข้อพิพาท, ปฏิบัติตามกฎหมาย |
| บันทึกกิจกรรม | อย่างน้อย 90 วัน | พ.ร.บ. คอมพิวเตอร์ ม.26 กำหนด |
| ประวัติการจองตั๋ว | 5 ปี หลังวันที่จอง | ป้องกันข้อพิพาทและตรวจสอบย้อนหลัง |
| OTP Codes | 10 นาที (หมดอายุอัตโนมัติ) | ความปลอดภัย |
| บันทึกการถอน/เปลี่ยนเบอร์โทร | ระยะเวลาเท่าที่จำเป็นต่อการควบคุมความถี่และการตรวจสอบ — ไม่เกินอายุบัญชี | นโยบายการใช้บริการ |
| ข้อมูลการยืนยันตัวตนมหาวิทยาลัย (อีเมล/ประเภท/เวลายืนยัน ฯลฯ) | ไม่เกิน 6 เดือน นับจากวันยืนยันสำเร็จ เว้นแต่จะถูกลบหรือรีเซ็ตก่อนเมื่อบัญชีสิ้นสุดสถานะหรือตามนโยบาย (หลังนั้นระบบจะคืนระดับสมาชิกและถอนการผูกตาม ข้อกำหนดการใช้บริการ) | ควบคุมสิทธิ์ตามสถานะในสถาบัน |
เมื่อครบกำหนด เราจะลบหรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้ (anonymize) อย่างปลอดภัย
6. สิทธิของเจ้าของข้อมูล PDPA ม.30–37
สิทธิในการเข้าถึง (ม.30)
ขอดูข้อมูลส่วนบุคคลที่เราเก็บไว้ได้ตลอดเวลา
สิทธิในการแก้ไข (ม.35)
แก้ไขข้อมูลที่ไม่ถูกต้องได้ทันทีในหน้าโปรไฟล์
สิทธิในการลบ (ม.33)
ลบบัญชีและข้อมูลส่วนตัวได้ตลอดเวลาผ่านหน้า "จัดการบัญชี"
ในการใช้สิทธิ กรุณาติดต่อเราที่ [email protected] เราจะดำเนินการภายใน 30 วัน นับจากวันที่ได้รับคำร้อง
7. มาตรการรักษาความมั่นคงปลอดภัย PDPA ม.37
- รหัสผ่านทุกรายการถูกเข้ารหัสด้วยอัลกอริทึม bcrypt ก่อนจัดเก็บ
- การสื่อสารทั้งหมดใช้ HTTPS/TLS ตลอดเวลา
- ข้อมูล sensitive ไม่ถูก log ใน Activity Log (รหัสผ่าน, token ไม่ถูกบันทึก)
8. คุกกี้และเทคโนโลยีติดตาม
คุกกี้ที่จำเป็น (Strictly Necessary)
เราใช้คุกกี้เฉพาะที่จำเป็นต่อการทำงานของระบบ ไม่มีคุกกี้เพื่อการโฆษณา
Local Storage
ระบบสมาชิกสาธารณะใช้ localStorage เก็บ token บนเครื่องของท่าน ไม่มีการส่งข้อมูลนี้ไปยังเซิร์ฟเวอร์บุคคลที่สาม
Google Sign-In
หน้าเข้าสู่ระบบโหลด Google Identity Services จาก accounts.google.com ซึ่งอาจมีการใช้คุกกี้ของ Google ตามนโยบาย Google Privacy Policy
— หน้าโปรไฟล์อาจโหลดบริการเดียวกันเมื่อท่านใช้ยืนยันตัวตนมหาวิทยาลัยด้วย Google
9. การส่งหรือโอนข้อมูลไปต่างประเทศ PDPA ม.28
เมื่อท่าน Sign-In ด้วย Google ข้อมูล ID token จะถูกส่งไปยังเซิร์ฟเวอร์ของ Google LLC ซึ่งตั้งอยู่ในสหรัฐอเมริกา เพื่อยืนยันความถูกต้อง Google LLC อยู่ภายใต้กลไกการคุ้มครองข้อมูลระหว่างประเทศ (EU-U.S. Data Privacy Framework และ Standard Contractual Clauses)
10. บันทึกกิจกรรมตาม พ.ร.บ. คอมพิวเตอร์ พ.ร.บ. คอมฯ ม.26
ตามมาตรา 26 แห่ง พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 (แก้ไขเพิ่มเติม พ.ศ. 2560) เราดำเนินการเก็บข้อมูลจราจรทางคอมพิวเตอร์ (Computer Traffic Data) ดังนี้:
- IP Address ของผู้ใช้งานทุกการกระทำที่สำคัญ เช่น การ login, การสมัครสมาชิก, การจองตั๋ว, การลบบัญชี
- วันและเวลา (Timestamp) พร้อม Timezone (UTC+7 เวลาประเทศไทย)
- ประเภทของการกระทำ (Action Type) และผลลัพธ์ (Success/Failure)
- User-Agent ของเบราว์เซอร์หรืออุปกรณ์
ข้อมูลเหล่านี้จัดเก็บในฐานข้อมูลที่ปลอดภัยเป็นระยะเวลาอย่างน้อย 90 วัน และอาจเปิดเผยแก่เจ้าหน้าที่เมื่อมีคำสั่งตามกฎหมายเท่านั้น
11. การเปลี่ยนแปลงนโยบาย
เราขอสงวนสิทธิ์ในการปรับปรุงนโยบายนี้ตามความเหมาะสม การเปลี่ยนแปลงสำคัญจะแจ้งให้ทราบผ่านหน้าเว็บไซต์หรืออีเมลล่วงหน้าอย่างน้อย 7 วัน ก่อนมีผลบังคับใช้ วันที่มีผลล่าสุดจะแสดงที่ด้านบนของเอกสารนี้
การใช้บริการต่อไปหลังจากวันที่นโยบายมีผลบังคับใช้ถือว่าท่านยอมรับนโยบายฉบับใหม่
12. ติดต่อเรา
หากมีคำถาม ข้อสงสัย กรุณาติดต่อ
สาขาภาพยนตร์และสื่อดิจิทัล คณะนิเทศศาสตร์ มหาวิทยาลัยศรีปทุม (FDSPU)
อีเมล: [email protected]
เว็บไซต์: https://www.fdspu.com