นโยบายความเป็นส่วนตัว
ปรับปรุงล่าสุด: 11 พฤษภาคม 2569 · Version 2.1 · สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
นโยบายฉบับนี้อธิบายวิธีที่ บริษัท เคเคเอ็มจีเนียส จำกัด (“ผู้ให้บริการ” หรือ “เรา”) เก็บรวบรวม ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของท่านที่ ได้รับผ่านบริการ KKMChat (“บริการ”) โดยสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“PDPA”) และกฎหมายที่เกี่ยวข้อง
1. ผู้ควบคุมข้อมูลส่วนบุคคล
บริษัท เคเคเอ็มจีเนียส จำกัด เป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตามนัยของ PDPA สำหรับข้อมูลที่ระบุไว้ใน นโยบายฉบับนี้
สำนักงานจดทะเบียน: เลขที่ 26/318 หมู่ที่ 1 ตำบลสุรศักดิ์ อำเภอศรีราชา จังหวัดชลบุรี 20110
เลขประจำตัวผู้เสียภาษี: 0-2055-67026-30-5
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO): [email protected]
2. คำนิยาม
- “บริการ” หมายถึง แพลตฟอร์ม KKMChat ซึ่งรวมการสนทนาจากช่องทางต่อไปนี้เข้าสู่กล่องข้อความ เดียว: Facebook Messenger, LINE Official Account, Telegram, WhatsApp Cloud API, Instagram Direct Messages, Shopee Chat, Lazada IM, TikTok Shop Messages และระบบตรวจสอบสลิปการโอนเงินอัตโนมัติ (SlipOK)
- “ผู้ใช้” หมายถึง บุคคลธรรมดาหรือ นิติบุคคลที่ลงทะเบียนใช้บริการ ซึ่งโดยทั่วไปคือเจ้าของธุรกิจ (Workspace Owner) และพนักงาน (Agent) ของผู้ใช้
- “ลูกค้าปลายทาง” (End User) หมายถึง บุคคลที่ส่งข้อความถึงผู้ใช้ผ่านช่องทางที่ผู้ใช้ เชื่อมต่อกับบริการ
- “ข้อมูลของผู้ใช้” หมายถึง ข้อความ ไฟล์แนบ ภาพ เสียง และข้อมูลที่ผ่านบริการในกระบวนการ สื่อสารระหว่างผู้ใช้กับลูกค้าปลายทาง
- “Workspace” หมายถึง พื้นที่ ทำงานของลูกค้าหนึ่งบัญชี แยกข้อมูลเด็ดขาดในระดับฐานข้อมูล จาก Workspace อื่น
3. ข้อมูลส่วนบุคคลที่เก็บรวบรวม
3.1 ข้อมูลของผู้ใช้ (Agent / Owner)
- ข้อมูลบัญชี — ชื่อบริษัท ชื่อ-สกุลผู้ติดต่อ อีเมล หมายเลขโทรศัพท์ ตำแหน่งงาน ภาษาที่ใช้งาน
- ข้อมูลการยืนยันตัวตน — รหัสผ่าน (จัดเก็บใน รูปแบบ bcrypt hash, work factor 12, ไม่สามารถถอดกลับได้), ค่าลับสำหรับการยืนยันตัวตนสองชั้น (TOTP) เข้ารหัสด้วย MultiFernet, JTI ของ JWT ปัจจุบันใน Redis เพื่อบังคับ เซสชันเดียวต่อบัญชี
- ข้อมูลการเข้าใช้ — วันเวลา, IP address (เก็บใน access log สูงสุด 90 วัน), User Agent ของเบราว์เซอร์, จำนวนครั้งที่กรอกรหัสผ่านผิดในช่วง 24 ชั่วโมงล่าสุด
- ข้อมูลการดำเนินการในระบบ (Audit Log) — การลบ/ระงับผู้ใช้, การเชื่อมต่อ/ตัดการเชื่อมต่อช่องทาง, การ reset 2FA, การ scheduled deletion และคำขอ Data Subject Rights ทุกรายการ
- ข้อมูลการชำระเงิน — รูปสลิปการโอนเงินที่ ผู้ใช้อัปโหลด (เก็บใน DigitalOcean Spaces), เลขอ้างอิงสลิป (transRef) + ยอดเงิน + ธนาคารผู้รับ ที่ SlipOK ตรวจสอบ กลับมา. เรา ไม่ เก็บข้อมูลบัตรเครดิตหรือ บัญชีธนาคารของผู้ใช้ — ผู้ใช้โอนผ่านแอปธนาคารของตนเองเข้า บัญชีของบริษัทฯ โดยตรง
3.2 ข้อมูลของลูกค้าปลายทาง (End User)
ในส่วนนี้บริษัทฯ ทำหน้าที่เป็น ผู้ประมวลผลข้อมูล (Data Processor)ของ Workspace Owner ซึ่งเป็น ผู้ควบคุมข้อมูล (Data Controller)สำหรับลูกค้าของตน
- Platform-Scoped ID — Page-Scoped ID ของ Messenger, User ID ของ LINE, User ID ของ Telegram, Phone Number ID ของ WhatsApp, Instagram-Scoped ID
- ชื่อแสดงบนแพลตฟอร์ม และ profile picture URL ที่แพลตฟอร์มเปิดเผยมา
- เนื้อหาข้อความ ไฟล์แนบ ภาพ เสียง ที่ผ่าน การสนทนา
- เวลาเข้าสนทนาครั้งแรก / ครั้งล่าสุด
- Language tag (เช่น th, en) สำหรับฟังก์ชัน แปลอัตโนมัติเมื่อ Workspace เปิดใช้งาน
3.3 ข้อมูลรับรองของช่องทางต้นทาง
Page Access Token ของ Facebook / Instagram, Channel Access Token + Channel Secret ของ LINE, Bot Token + Webhook Secret ของ Telegram, Phone Number Access Token ของ WhatsApp และ Partner Key ของแพลตฟอร์ม marketplace (อนาคต) ทั้งหมดเข้ารหัส ด้วย MultiFernet (AES-128-CBC + HMAC-SHA256)ก่อนจัดเก็บลงฐานข้อมูล รองรับการหมุน Key แบบไม่กระทบบริการ
3.4 ข้อมูลที่ไม่อยู่ในวัตถุประสงค์
บริการมิได้มีเจตนาเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความ อ่อนไหว (Sensitive Personal Data) ตามมาตรา 26 ของ PDPA เช่น ข้อมูลศาสนา เชื้อชาติ ประวัติอาชญากรรม หรือข้อมูลสุขภาพ หากท่านส่งข้อมูลดังกล่าวเองในการสนทนา ถือเป็นความรับผิดชอบ ของท่าน
4. ฐานทางกฎหมายในการประมวลผล
เราประมวลผลข้อมูลส่วนบุคคลโดยอาศัยฐานทางกฎหมายตามมาตรา 24 และ 26 ของ PDPA:
- การปฏิบัติตามสัญญา (ม.24(3)) — เพื่อให้ บริการตามที่ผู้ใช้ลงทะเบียน
- ประโยชน์โดยชอบด้วยกฎหมาย (ม.24(5)) — เพื่อ รักษาความปลอดภัยของระบบ ป้องกัน abuse และพัฒนาคุณภาพบริการ
- การปฏิบัติตามกฎหมาย (ม.24(6)) — การเก็บ บันทึกธุรกรรมตามประมวลรัษฎากร ม.87/2 (7 ปี), คำสั่งศาล/ หน่วยงานรัฐ
- ความยินยอม (ม.19, ม.24) — ในกรณีที่ใช้ ฐานอื่นไม่ได้ เช่น การสื่อสารทางการตลาด — ถอนได้ทุกเมื่อ
5. วัตถุประสงค์ในการประมวลผล
- เพื่อให้บริการรับ-ส่งข้อความระหว่างผู้ใช้กับลูกค้าปลายทาง
- เพื่อยืนยันตัวตน รักษาเซสชัน และป้องกันการเข้าถึงโดยไม่ชอบ
- เพื่อบันทึกประวัติการสนทนาให้ผู้ใช้กลับมาดูในภายหลัง
- เพื่อจัดสรรการตอบกลับให้ Agent ที่เหมาะสม
- เพื่อแปลภาษาข้อความเมื่อ Workspace เปิดใช้งาน Auto-Translate — เราไม่ใช้ข้อมูลสนทนาไปฝึก AI
- เพื่อตรวจสอบและป้องกันการใช้บริการที่ผิดกฎหมาย ผิดสัญญา หรือเป็นภาระต่อระบบ
- เพื่อแจ้งข่าวสาร การเปลี่ยนแปลงบริการ และข้อมูลที่จำเป็น
- เพื่อปรับปรุงคุณภาพบริการ พัฒนาฟีเจอร์ใหม่ และวิเคราะห์การ ใช้งานในระดับ aggregate (ไม่เปิดเผยตัวบุคคล)
- เพื่อปฏิบัติตามกฎหมายภาษีและคำสั่งของหน่วยงานรัฐ
6. ระยะเวลาเก็บรักษาข้อมูล
| ประเภท | ระยะเวลา | ฐานทางกฎหมาย |
|---|---|---|
| ข้อความและไฟล์แนบ | ตลอดอายุการเป็นสมาชิก; นิรนามตามคำขอ ม.33 ภายใน 30 วัน | PDPA ม.6, ม.33 |
| บัญชีผู้ใช้ (Agent) | ตลอดการเป็นสมาชิก; ลบถาวร 30 วันหลังคำขอ ม.33 (grace window) | PDPA ม.33 |
| บัญชี Workspace | ตลอดการเป็นสมาชิก; ลบถาวร 30 วันหลังคำขอปิดบัญชี | PDPA ม.33 |
| Audit Log | 7 ปี | ประมวลรัษฎากร ม.87/2 + PDPA ม.39 |
| เอกสารการชำระเงิน | 7 ปี | ประมวลรัษฎากร ม.87/2 |
| Token ช่องทางต้นทาง | จนกว่าตัดการเชื่อมต่อ + 30 วัน | ปฏิบัติงาน |
| JWT Session (Redis) | 8 ชั่วโมง (TTL) | การออกแบบ Auth |
| OAuth State Token (Redis) | 10 นาที (TTL) | ป้องกัน CSRF |
| Webhook Replay Dedup (Redis) | 24 ชั่วโมง | ป้องกัน Replay Attack |
| Access Log / IP Log | สูงสุด 90 วัน | ปฏิบัติงาน |
หมายเหตุการนิรนามของลูกค้าปลายทาง: ตามประมวลรัษฎากร ม.87/2 บริษัทมีหน้าที่เก็บบันทึกธุรกรรมไว้ 7 ปี ดังนั้นเมื่อลูกค้าปลายทางใช้สิทธิ ม.33 ผ่าน Workspace Owner เรา จะ นิรนาม ข้อมูล (ลบชื่อ รูป profile ID ผูกกับ แพลตฟอร์ม) แต่คงเนื้อหาข้อความไว้สำหรับการตรวจสอบทางบัญชี โดยข้อความเหล่านั้นไม่สามารถผูกกลับไปสู่ตัวบุคคลได้อีก
7. การเปิดเผยและการแชร์ข้อมูล
เราไม่ขาย ไม่ให้เช่า ไม่แลกเปลี่ยนข้อมูลส่วนบุคคลกับบุคคลที่สาม เพื่อวัตถุประสงค์ทางการตลาด เราเปิดเผยข้อมูลเฉพาะกรณีที่จำเป็น ต่อการให้บริการ ภายใต้สัญญาประมวลผลข้อมูล (Data Processing Agreement) กับผู้ประมวลผลข้อมูลย่อย (Subprocessor):
7.1 Subprocessor List
| Subprocessor | ขอบเขตข้อมูล | ที่ตั้ง | วัตถุประสงค์ |
|---|---|---|---|
| DigitalOcean | ทั้งหมด | สิงคโปร์ (SGP1) | Cloud Infrastructure — Postgres, Redis, Spaces, App Platform |
| Resend | อีเมล + ชื่อผู้รับ | สหรัฐอเมริกา | อีเมลธุรกรรม (password reset, signup confirmation) |
| Sentry | error stack trace, request id, workspace id | สหรัฐ / สหภาพยุโรป | Error tracking — ไม่ส่ง เนื้อหา ข้อความหรือ token |
| SlipOK | รูปสลิปการโอนเงิน + ยอดเงินคาดหวัง | ประเทศไทย | ตรวจสอบสลิปการโอนเงินอัตโนมัติ — ส่งรูปสลิปไป ตรวจ QR + ยอดเงิน ก่อนเปิดใช้แพ็กเกจ |
| Google Generative Language API (Gemini) | เนื้อหาข้อความที่เลือกแปล | สหรัฐอเมริกา | Auto-Translate — Workspace นำ API Key มาเปิดใช้งานเอง, ปิดได้ทุกเมื่อ |
| OpenAI API | เนื้อหาข้อความที่เลือกแปล | สหรัฐอเมริกา | ทางเลือกของ Gemini — Workspace นำ API Key มาเปิดใช้ เอง |
7.2 แพลตฟอร์มต้นทาง (Data Source Platforms)
แพลตฟอร์มต่อไปนี้เป็น Data Controller เองสำหรับข้อมูลของ ลูกค้าปลายทางบนแพลตฟอร์มของตน ข้อความที่ส่งผ่านบริการของเรา จะวิ่งผ่านโครงข่ายของบริษัทเหล่านี้ตามข้อกำหนดการใช้งาน:
- Meta Platforms, Inc. — Facebook Messenger, WhatsApp Cloud API, Instagram Messaging
- LINE Corporation — LINE Messaging API
- Telegram FZ-LLC — Telegram Bot API
- Shopee Pte. Ltd. — Shopee Open Platform Chat API
- Lazada Group / Alibaba — Lazada Open Platform IM API
- TikTok Pte. Ltd. (ByteDance) — TikTok Shop Partner Messages API
7.3 หน่วยงานรัฐหรือศาล
เมื่อมีคำสั่งโดยชอบด้วยกฎหมาย เราจะปฏิบัติตามและแจ้งให้ ผู้ใช้ที่เกี่ยวข้องทราบเท่าที่กฎหมายอนุญาต
7.4 กรณีโอนกิจการ
เช่น การควบรวมหรือการขายกิจการ จะแจ้งให้ท่านทราบล่วงหน้า
8. การโอนข้อมูลข้ามพรมแดน
ข้อมูลของเราจัดเก็บหลักที่ DigitalOcean Singapore (SGP1) ซึ่งอยู่ในรายชื่อ ประเทศปลายทางที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลรับรอง มาตรฐานคุ้มครองตามประกาศ PDPC ที่ 4/2566 บางครั้งข้อมูลอาจถูกโอนไปยังประเทศอื่นผ่าน Subprocessor ในตาราง ข้อ 7.1 ซึ่งทุกรายมีการลงนามใน Data Processing Agreement กับเรา และใช้ Standard Contractual Clauses (SCC) เมื่อโอนไปยังประเทศ ที่ยังไม่มีการรับรองโดย PDPC
ท่านมีสิทธิขอสำเนา SCC หรือมาตรการคุ้มครองอื่นได้โดยติดต่อ DPO
9. คุกกี้และเทคโนโลยีติดตาม
เราใช้คุกกี้ที่จำเป็นต่อการให้บริการเท่านั้น (Strictly Necessary):
- next-auth.session-token — JWT เซสชัน, อายุ 8 ชั่วโมง
- next-auth.csrf-token — ป้องกัน CSRF, อายุเซสชัน
- next-auth.callback-url — URL ปลายทางหลัง login, อายุเซสชัน
เรา ไม่ ใช้คุกกี้เพื่อการโฆษณา ไม่ ติดตามท่านข้ามเว็บไซต์ และไม่ ส่งข้อมูลคุกกี้ไปยังเครือข่ายโฆษณาของ บุคคลที่สาม
การยินยอม Cookie: ในการเข้าหน้าสาธารณะของเราครั้งแรก ระบบจะแสดงแบนเนอร์ ให้ท่านเลือกยอมรับหรือปฏิเสธคุกกี้แต่ละหมวด ท่านสามารถ เปลี่ยนการตัดสินใจเมื่อใดก็ได้ด้วยปุ่มด้านล่าง — คุกกี้ที่ จำเป็น ต่อการ login + ความปลอดภัย จะยังเปิดอยู่เสมอตามมาตรา 24 พ.ร.บ.PDPA (legitimate interest) ส่วนคุกกี้อื่นจะถูกเก็บก็ต่อเมื่อท่านอนุญาต
10. มาตรการรักษาความปลอดภัย
10.1 มาตรการทางเทคนิค
- TLS 1.2+ บังคับ สำหรับการส่งข้อมูลทุกครั้ง
- MultiFernet encryption (AES-128-CBC + HMAC-SHA256) สำหรับ Token, TOTP secret, API key — รองรับการหมุน key
- bcrypt hash (work factor 12) สำหรับรหัสผ่าน
- HMAC signature verification ทุก webhook — ใช้
hmac.compare_digestป้องกัน timing attack - Webhook replay protection — Redis SET-NX dedup 24 ชั่วโมง
- Defense-in-depth response headers — HSTS, X-Frame-Options, CSP, Permissions-Policy, COOP, CORP
- Body size cap 2 MiB ป้องกัน resource exhaustion
- Rate limiting per-IP + per-account brute-force protection พร้อม auto-suspension หลังการทดลองผิด 7 ครั้ง
- Multi-tenancy isolation — ทุก query บังคับ filter workspace_id, มี IDOR tests ใน CI
- 2FA (TOTP) สำหรับบัญชีผู้ดูแลระบบ
- Single-session enforcement — JTI-tracked JWT ใน Redis
- Audit log แบบ append-only — เก็บ 7 ปี
- HIBP k-anonymity breach check บนรหัสผ่านใหม่
- CI security scanning — pip-audit, bandit, semgrep, npm audit, gitleaks
10.2 มาตรการทางการบริหาร
- Principle of Least Privilege (RBAC: Owner / Admin / Agent)
- Code review บังคับก่อน merge ทุก PR
- Pentest ประจำปีโดย Meta-authorized assessor (อยู่ระหว่าง จัดทำครั้งแรก)
- Incident response runbook + DPA documents
- สำรองข้อมูลรายวัน + Point-in-time recovery
- Background check สำหรับพนักงานที่เข้าถึงข้อมูล production
อย่างไรก็ตาม การส่งข้อมูลทางอินเทอร์เน็ตไม่อาจรับประกันความ ปลอดภัย 100% ขอแนะนำให้ท่านใช้รหัสผ่านที่คาดเดายาก (12 ตัวอักษร ขึ้นไป) เปิดใช้งาน 2FA และแจ้งเราทันทีหากสงสัยว่าบัญชีถูกใช้งาน โดยไม่ได้รับอนุญาต
11. การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล
ตามมาตรา 37(4) ของ PDPA เมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล (Personal Data Breach):
- เราจะแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส./ PDPC) ภายใน 72 ชั่วโมง นับจากที่ทราบเหตุ
- หากเหตุดังกล่าวมีความเสี่ยงสูงต่อสิทธิและเสรีภาพของท่าน เราจะแจ้งท่านโดยตรงผ่านอีเมลที่ลงทะเบียนไว้ พร้อมคำแนะนำ ในการป้องกันตนเอง ภายในเวลาที่เหมาะสมและไม่ล่าช้าโดยไม่จำเป็น
ระบบของเรามีกลไกบันทึกเหตุละเมิดอัตโนมัติพร้อมการแจ้งเตือน ทีม on-call และมี runbook กำกับการตอบสนองเหตุ
12. สิทธิของเจ้าของข้อมูลส่วนบุคคล
ท่านมีสิทธิตามมาตรา 30 ถึง 37 ของ PDPA โปรดติดต่อ DPO ที่ อีเมลด้านล่างเพื่อใช้สิทธิ เราจะตอบกลับภายใน 30 วัน นับจากวันที่ได้รับคำขอ (ม.30 วรรค 2) และอาจขอเอกสารเพื่อยืนยัน ตัวตนตามสมควร
- สิทธิเข้าถึงและขอสำเนาข้อมูล (ม.30) + สิทธิให้โอนย้ายข้อมูล (ม.31) — ผู้ใช้สามารถ ดาวน์โหลดข้อมูลของตนเองในรูปแบบ JSON ได้จาก
/api/v1/me/dsr/exportโดย Workspace Owner ขอ แทนลูกค้าปลายทางได้ผ่าน/workspaces/{id}/end-users/{id}/dsr/export - สิทธิคัดค้านการประมวลผล (ม.32) — ติดต่อ DPO
- สิทธิให้ลบหรือทำให้เป็นนิรนาม (ม.33) — Agent ลบบัญชีตนเองผ่าน
/api/v1/me/dsr/delete(มี 30 วัน grace window ให้ยกเลิก), Owner ปิด Workspace ผ่าน/workspaces/me/delete, Owner ขอ anonymise ลูกค้าปลายทางผ่าน/workspaces/{id}/end-users/{id}/dsr/delete - สิทธิระงับการใช้ข้อมูลชั่วคราว (ม.34) — ติดต่อ DPO
- สิทธิแก้ไขข้อมูลให้ถูกต้อง (ม.35) — Agent แก้เองผ่าน
/api/v1/auth/meหรือติดต่อ DPO - สิทธิถอนความยินยอม (ม.19) — ติดต่อ DPO
- สิทธิร้องเรียนต่อ PDPC — pdpc.or.th
กรณีคำขอจากลูกค้าปลายทาง ที่สนทนาผ่าน แพลตฟอร์มของ Workspace Owner โปรดติดต่อ Workspace Owner ก่อน เนื่องจากเป็นผู้ควบคุมข้อมูลของท่าน หาก Workspace Owner ไม่ ตอบสนอง ท่านสามารถติดต่อ DPO ของเราโดยตรง โปรดดูขั้นตอน โดยละเอียดที่ คำแนะนำการลบข้อมูล
13. ข้อมูลของลูกค้าปลายทาง
สำหรับข้อมูลที่ลูกค้าปลายทางส่งถึงผู้ใช้ผ่านบริการ บริษัทฯ ทำหน้าที่เป็น ผู้ประมวลผลข้อมูล (Data Processor) ในขณะที่ผู้ใช้ทำหน้าที่เป็น ผู้ควบคุม ข้อมูล (Data Controller) ผู้ใช้มีหน้าที่ตามกฎหมาย ในการกำหนดวัตถุประสงค์และฐานทางกฎหมายในการเก็บข้อมูล ของลูกค้าปลายทาง รวมถึงตอบสนองคำขอใช้สิทธิจากเจ้าของ ข้อมูลตาม PDPA
14. การประมวลผลข้อมูลของผู้เยาว์
บริการมีไว้สำหรับผู้ใช้ที่บรรลุนิติภาวะแล้ว (อายุ 20 ปีบริบูรณ์ ขึ้นไป) หรือเป็นผู้แทนโดยชอบธรรมของนิติบุคคล หากท่านอายุ ต่ำกว่า 20 ปี โปรดดำเนินการผ่านผู้แทนโดยชอบธรรมตามมาตรา 20 ของ PDPA และตามประมวลกฎหมายแพ่งและพาณิชย์
หากเราพบว่าได้รับข้อมูลผู้เยาว์โดยไม่มีความยินยอมของผู้แทน โดยชอบธรรม เราจะลบข้อมูลโดยทันที กรุณาแจ้งที่ [email protected]
15. การเปลี่ยนแปลงนโยบาย
การเปลี่ยนแปลงสาระสำคัญ (เพิ่ม Subprocessor ที่ประมวลผลข้อมูลลูกค้าปลายทาง, เปลี่ยนระยะเวลาเก็บ): แจ้ง ล่วงหน้าไม่น้อยกว่า 30 วัน ผ่านอีเมล
การเปลี่ยนแปลงเล็กน้อย (แก้ไขถ้อยคำ, อัปเดต contact info): มีผลทันทีพร้อมประกาศใน Changelog ที่ Canonical document docs/legal/privacy-notice.md
การใช้บริการต่อหลังจากนั้นถือว่าท่านยอมรับนโยบายฉบับใหม่ หากท่านไม่ยอมรับ ท่านมีสิทธิยกเลิกบริการได้ตลอดเวลา
16. การติดต่อและร้องเรียน
หากท่านมีคำถาม ต้องการใช้สิทธิตาม PDPA หรือต้องการร้องเรียน เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล โปรดติดต่อ:
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
บริษัท เคเคเอ็มจีเนียส จำกัด
เลขที่ 26/318 หมู่ที่ 1 ตำบลสุรศักดิ์ อำเภอศรีราชา จังหวัดชลบุรี 20110
เลขประจำตัวผู้เสียภาษี: 0-2055-67026-30-5
อีเมล: [email protected]
หากท่านไม่พึงพอใจกับการตอบสนองของเรา ท่านมีสิทธิร้องเรียนต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส./PDPC)
ชั้น 7 อาคารรัฐประศาสนภักดี ศูนย์ราชการเฉลิมพระเกียรติฯ ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพมหานคร 10210
เว็บไซต์: pdpc.or.th