ฉบับร่าง — เอกสารนี้กำลังอยู่ระหว่างตรวจสอบโดยที่ปรึกษากฎหมาย เนื้อหาอาจปรับปรุงก่อนเริ่มใช้งานจริง. ฉบับล่าสุด: 5 พ.ค. 2569
นโยบายความเป็นส่วนตัว (Privacy Policy)
นโยบายนี้อธิบายว่า Pharmart POS เก็บ ใช้ และคุ้มครองข้อมูลส่วนบุคคลของท่านอย่างไร ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
1. ผู้ควบคุมข้อมูล
Pharmart POS — ระบบ POS multi-tenant สำหรับร้านยาที่มีใบ ขย.1
ติดต่อ: privacy@pharmartz.com
2. ข้อมูลที่เราเก็บ
2.1 ข้อมูลที่ท่านให้เราโดยตรง
- ตอนสมัครเปิดร้าน: ชื่อร้าน, อีเมล, เบอร์โทร, ที่อยู่, เลขที่ใบ ขย.1, สำเนาใบ ขย.1
- ระหว่างใช้งาน: ข้อมูลพนักงาน, ข้อมูลลูกค้าร้าน, ข้อมูลการขาย, ใบสั่งแพทย์
2.2 ข้อมูลที่เก็บอัตโนมัติ
- IP address, browser type, ระบบปฏิบัติการ
- วันเวลาที่เข้าใช้งาน
- หน้าและฟีเจอร์ที่ใช้ (เพื่อปรับปรุงระบบ)
- Audit log ของทุก write transaction
3. วัตถุประสงค์การใช้ข้อมูล
- ให้บริการระบบ POS — ขาย สต๊อก รายงาน
- ปฏิบัติตามกฎหมาย — รายงาน อย. (ขย.9/10/11/12), เก็บใบสั่งแพทย์ตามอายุที่กฎหมายกำหนด
- ความปลอดภัย — ตรวจจับการใช้งานผิดปกติ ป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
- การพัฒนาผลิตภัณฑ์ — วิเคราะห์รวม (aggregated) ปรับปรุง UX
4. ฐานทางกฎหมาย (Legal Basis)
- สัญญา — เพื่อให้บริการตามที่ตกลง
- หน้าที่ตามกฎหมาย — รายงาน อย., เก็บใบ ขย., เก็บใบสั่งแพทย์
- ประโยชน์โดยชอบด้วยกฎหมาย — security monitoring
- ความยินยอม — สำหรับ marketing email (เลือกเปิดได้)
5. การส่งต่อข้อมูล
เราใช้ผู้ให้บริการดังต่อไปนี้:
- Supabase Inc. — ฐานข้อมูล + storage (Tokyo region)
- Vercel Inc. — web hosting
- Resend — transactional email ผ่าน AWS SES Tokyo (เพิ่ม 5 พ.ค. 2569)
ผู้ให้บริการทั้งหมดมีข้อตกลง DPA และมาตรฐาน SOC 2
6. ระยะเวลาเก็บข้อมูล
| ประเภทข้อมูล | ระยะเวลา |
|---|---|
| บัญชีผู้ใช้ | ตลอดอายุการใช้งาน + 30 วันหลังปิดบัญชี |
| ข้อมูลการขาย / ขย. report | 5 ปี (ตามข้อกำหนด อย.) |
| ใบสั่งแพทย์ | ตามอายุที่กฎหมายกำหนด (5-10 ปี) |
| Audit log | 7 ปี |
| Marketing email opt-in | จนกว่าจะถอน consent |
7. สิทธิของท่าน
ตาม PDPA มาตรา 30-34 ท่านมีสิทธิ:
- ขอเข้าถึงข้อมูล (right to access)
- ขอสำเนาและพกพา (data portability)
- ขอแก้ไขข้อมูล (rectification)
- ขอลบข้อมูล (right to be forgotten — ภายใต้ข้อจำกัดของกฎหมาย)
- คัดค้านการประมวลผล (object to processing)
- ถอนความยินยอม (withdraw consent)
- ร้องเรียนต่อสำนักงาน คกง.
ส่งคำร้องที่ privacy@pharmartz.com — เราตอบสนองภายใน 30 วัน
8. ความปลอดภัย
- Encryption at rest (AES-256) และ in transit (TLS 1.2+)
- Row Level Security (RLS) — แต่ละร้านเห็นเฉพาะข้อมูลของตน
- Audit log บันทึกทุกการเปลี่ยนแปลง
- Regular security review
มาตรการความปลอดภัยเพิ่มเติม (เช่น Multi-factor authentication สำหรับ admin) จะแจ้งล่วงหน้าผ่าน changelog ของหน้านี้เมื่อพร้อมเปิดใช้งานจริง
9. คุกกี้ (Cookies)
เราใช้คุกกี้เฉพาะที่จำเป็น:
- Session cookie สำหรับ login
- CSRF token สำหรับความปลอดภัย
ไม่มี advertising / tracking cookies จากบุคคลที่สาม
10. การเปลี่ยนแปลงนโยบาย
เราอาจปรับปรุงนโยบายเป็นครั้งคราว — จะแจ้งล่วงหน้าทาง email และผ่านระบบก่อน 30 วัน
11. ติดต่อ
คำถามหรือคำร้องขอใช้สิทธิ: privacy@pharmartz.com
เจ้าหน้าที่คุ้มครองข้อมูล (DPO): dpo@pharmartz.com
สำนักงาน คกง.: pdpc.or.th