แจ้งสิทธิและหน้าที่บริการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

อ้างถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัท รักคอม จำกัด (“บริษัท”) ให้ความสำคัญกับการปฏิบัติตามกฎหมาย รวมถึงการให้ข้อมูลอันเป็นสาระสำคัญต่อผู้รับบริการ บริษัทจึงขอแจ้งข้อมูลดังต่อไปนี้

เอกสารฉบับนี้ใช้กับบริการของบริษัททุกประเภท ได้แก่ Web Hosting, WordPress Hosting, VPS Hosting, Platform as a Service (PaaS) และ Infrastructure as a Service (IaaS)

คำจำกัดความ
ผู้ให้บริการ บริษัท รักคอม จำกัด
ผู้รับบริการ ผู้ใช้บริการของบริษัท ซึ่งอาจเป็นบุคคลธรรมดาหรือนิติบุคคล
ลูกค้า ผู้ใช้บริการของผู้รับบริการ (บุคคลภายนอกที่เป็นเจ้าของข้อมูลส่วนบุคคลที่ผู้รับบริการนำมาจัดเก็บ)
1. ด้านผู้ให้บริการ
  1. บริษัทเป็นผู้ให้บริการตามประเภทที่ผู้รับบริการเลือกใช้ โดยลักษณะของแต่ละบริการเป็นดังนี้
    บริการ ลักษณะการให้บริการ
    Web Hosting / WordPress Hosting รูปแบบการให้บริการรับฝากเว็บไซต์ของผู้รับบริการไว้กับเครื่องเซิร์ฟเวอร์ของผู้ให้บริการ เพื่อให้เว็บไซต์ออนไลน์บนอินเทอร์เน็ตตลอด 24 ชั่วโมง โดยจัดเก็บข้อมูลเว็บไซต์ ฐานข้อมูล อีเมล ฯลฯ ไว้ในเว็บเซิร์ฟเวอร์ ซึ่งทำหน้าที่แสดงผลหน้าเว็บไซต์ให้ผู้เข้าชมผ่านโดเมนเนมได้ตลอดเวลา
    VPS Hosting รูปแบบการให้บริการเครื่องเซิร์ฟเวอร์เสมือน (Virtual Private Server) ที่ผู้รับบริการสามารถบริหารจัดการระบบได้เอง เพื่อให้บริการของผู้รับบริการออนไลน์บนอินเทอร์เน็ตตลอด 24 ชั่วโมง
    Platform as a Service (PaaS) การให้บริการแพลตฟอร์มสำหรับนักพัฒนาซอฟต์แวร์และแอปพลิเคชัน โดยผู้ให้บริการจัดเตรียมและดูแลโครงสร้างพื้นฐาน ระบบปฏิบัติการ และทรัพยากรที่จำเป็น เช่น Database Server, Web Application ให้พร้อมใช้งาน เพื่อให้ผู้รับบริการมุ่งเน้นการพัฒนาและบริหารจัดการแอปพลิเคชันและข้อมูลของตน
    Infrastructure as a Service (IaaS) การให้บริการโครงสร้างพื้นฐานด้านการประมวลผลในรูปแบบทรัพยากรเสมือน เช่น หน่วยประมวลผล (CPU) หน่วยความจำ พื้นที่จัดเก็บข้อมูล และระบบเครือข่าย โดยผู้รับบริการสามารถติดตั้งและบริหารจัดการระบบปฏิบัติการ ซอฟต์แวร์ และแอปพลิเคชันได้เองทั้งหมด
  2. ผู้ให้บริการมีหน้าที่และความรับผิดชอบในฐานะ “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยบริษัทได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยตามประเภทบริการ ดังนี้
    บริการ มาตรการที่ผู้ให้บริการจัดให้
    Web / WordPress / VPS Hosting Web Application Firewall (WAF) ที่ปรับปรุงช่องโหว่อย่างสม่ำเสมอ และการประเมินช่องโหว่ (Vulnerability Assessment) อย่างน้อยสัปดาห์ละ 1 ครั้ง
    Platform as a Service (PaaS) การดูแลความมั่นคงปลอดภัยของเซิร์ฟเวอร์ ระบบปฏิบัติการ/แพลตฟอร์ม เครือข่าย และการเชื่อมต่อ
    Infrastructure as a Service (IaaS) การดูแลความมั่นคงปลอดภัยของโครงสร้างพื้นฐานทางกายภาพ ระบบเวอร์ชวลไลเซชัน (Virtualization) และเครือข่ายหลัก ทั้งนี้ ผู้รับบริการรับผิดชอบความมั่นคงปลอดภัยตั้งแต่ระบบปฏิบัติการขึ้นไปด้วยตนเอง

    ทั้งนี้ บริการทั้งหมดของบริษัททำงานบนอุปกรณ์มาตรฐานระดับ Enterprise และให้บริการในศูนย์ข้อมูล (Data Center) ที่มีมาตรฐานสูง ซึ่งตั้งอยู่ในประเทศไทย และประเทศสิงคโปร์

  3. บริษัทไม่สามารถเข้าถึง มองเห็น และ/หรือรับทราบเกี่ยวกับสิ่งที่ผู้รับบริการได้อัปโหลด นำเข้า และ/หรือบันทึกไว้ในเซิร์ฟเวอร์ของบริษัท รวมถึงไม่สามารถเข้าดูข้อมูลลับ ข้อมูลเชิงธุรกิจ ข้อมูลทางการค้า หรือข้อมูลอื่นใดของลูกค้าของผู้รับบริการได้ทั้งสิ้น เนื่องจากข้อมูลดังกล่าวอยู่ภายใต้การควบคุมของผู้รับบริการ และบริษัทจะไม่นำข้อมูลดังกล่าวไปใช้เพื่อวัตถุประสงค์อื่น โดยเฉพาะอย่างยิ่งเพื่อการโฆษณาหรือการตลาด เว้นแต่ได้รับความยินยอมจากผู้รับบริการ หรือเป็นการปฏิบัติตามกฎหมาย
2. ด้านผู้รับบริการ
  1. ผู้รับบริการมีหน้าที่และความรับผิดชอบในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เนื่องจากผู้รับบริการเป็นผู้มีอำนาจตัดสินใจเกี่ยวกับข้อมูลส่วนบุคคลที่นำเข้ามาจัดเก็บหรือประมวลผลในบริการของบริษัท จึงเป็นหน้าที่ของผู้รับบริการในการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และ/หรือกฎระเบียบและกฎหมายอื่นที่เกี่ยวข้องด้วยตนเองทั้งสิ้น
  2. ผู้รับบริการจะต้องควบคุมข้อมูลของลูกค้าของตน และต้องรับผิดชอบต่อการรักษามาตรฐานด้านความมั่นคงปลอดภัยที่เหมาะสมตามลักษณะการให้บริการของตน ซึ่งรวมถึงแต่ไม่จำกัดเพียง การจัดหมวดหมู่ข้อมูล การเข้ารหัสข้อมูล การจัดการสิทธิ์การเข้าถึง การประเมินความเสี่ยงของข้อมูล การจัดให้มีผู้ดูแลข้อมูล และการยืนยันตัวตนเพื่อรักษาความปลอดภัยเฉพาะบริการ VPS Hosting, Platform as a Service (PaaS) และ Infrastructure as a Service (IaaS): เนื่องจากผู้รับบริการบริหารจัดการระบบได้เอง ระดับมาตรฐานความปลอดภัยที่ต้องจัดให้มีจะขึ้นอยู่กับการออกแบบกระบวนการและขั้นตอนการให้บริการของผู้รับบริการ
  3. ผู้รับบริการจะต้องนำส่งประเภทและรายการของข้อมูลที่ตนนำเข้าไว้ในบริการกลับมายังบริษัท โดยระบุว่าเป็นข้อมูลประเภทใดที่บริษัทกำหนดไว้ในข้อ 3 และลงนามรับรองโดยผู้ควบคุมข้อมูลของผู้รับบริการ
3. ประเภทของข้อมูลส่วนบุคคล
ประเภทที่ 1
  • ชื่อ นามสกุล ชื่อเล่น
  • เลขประจำตัวประชาชน เลขหนังสือเดินทาง เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี เลขบัญชีธนาคาร เลขบัตรเครดิต (รวมถึงการเก็บภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่นที่ปรากฏข้อมูลส่วนบุคคล)
  • ที่อยู่ อีเมล เบอร์โทรศัพท์
ประเภทที่ 2
  • ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP Address, MAC Address, Cookie ID
  • ข้อมูลทางชีวมิติ (Bio-metric) เช่น รูปภาพใบหน้า ลายนิ้วมือ ฟิล์มเอ็กซเรย์ ข้อมูลสแกนม่านตา ข้อมูลอัตลักษณ์เสียง ข้อมูลพันธุกรรม
  • ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถ โฉนดที่ดิน
  • ข้อมูลที่เชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิด สถานที่เกิด เชื้อชาติ สัญชาติ น้ำหนัก ส่วนสูง ข้อมูลตำแหน่งที่อยู่ ข้อมูลการแพทย์ ข้อมูลการศึกษา ข้อมูลทางการเงิน ข้อมูลการจ้างงาน
  • ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิล์ม
  • ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง
  • ข้อมูลบันทึกต่างๆ ที่ใช้ติดตามตรวจสอบกิจกรรมของบุคคล เช่น Log Files
  • ข้อมูลที่ใช้ค้นหาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต
ประเภทที่ 3
  • ชาติพันธุ์ เผ่าพันธุ์
  • เพศ
  • กลุ่ม สังกัด กลุ่มประชากร
  • ครอบครัว ญาติมิตร
  • ลักษณะทางกายภาพ
  • ความรู้ ความเชื่อ
  • ข้อมูลหรือสิ่งอ้างอิง การตั้งค่าอ้างอิง (Preference)
  • ทรัพย์สิน กรรมสิทธิ์ในทรัพย์สิน
  • สุขภาพร่างกาย จิตใจ
  • สถานะทางการเงิน
  • อาชีพ
  • พฤติกรรมส่วนบุคคล
  • กิจกรรม การสมาคม
  • กีฬา นันทนาการ
  • บุคลิกภาพ
  • สมาชิกกลุ่ม ชมรม กิจกรรม
ประเภทที่ 4 — ข้อมูลส่วนบุคคลที่มีความอ่อนไหว
  • ความคิดเห็นทางการเมือง
  • ความเชื่อในลัทธิ ศาสนา หรือปรัชญา
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม
  • ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
  • ข้อมูลสหภาพแรงงาน
ประเภทที่ 5 — ข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคล
  • เลขทะเบียนบริษัท
  • ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล เช่น หมายเลขโทรศัพท์ แฟกซ์ที่ทำงาน ที่อยู่สำนักงาน อีเมลที่ใช้ทำงาน อีเมลบริษัท เช่น [email protected]
  • ข้อมูลนิรนาม ข้อมูลแฝง ข้อมูลที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีทางเทคนิค
  • ข้อมูลผู้ตาย
  • ข้อมูลนิติบุคคล
4. ระบบการรักษาความมั่นคงปลอดภัยข้อมูล

การรักษาความมั่นคงปลอดภัยและการปฏิบัติตามข้อกำหนดทางกฎหมาย ถือเป็น ความรับผิดชอบร่วมกัน (Shared Responsibility) ระหว่างบริษัทกับผู้รับบริการ โดยแบ่งขอบเขตได้ดังนี้

ความปลอดภัย “ของ” ระบบคลาวด์ (Security OF the Cloud) ความปลอดภัย “ใน” ระบบคลาวด์ (Security IN the Cloud)
ผู้ให้บริการรับผิดชอบ — ดำเนินการ จัดการ และควบคุมระบบปฏิบัติการของเครื่องหลัก (Hosting Operating System) ระบบเครือข่าย ระบบควบคุมสำหรับผู้รับบริการ ตลอดจนความมั่นคงปลอดภัยทางกายภาพของศูนย์ข้อมูล ผู้รับบริการรับผิดชอบ — บริหารจัดการเครื่องเสมือน (Virtual Machine) และ/หรือคอนเทนเนอร์ (Container) ของตน รวมถึงระบบปฏิบัติการภายใต้ระบบนั้น (การอัปเดตและแพตช์ความปลอดภัย) ซอฟต์แวร์และแอปพลิเคชัน การกำหนดค่าไฟร์วอลล์ การเชื่อมต่อกับระบบ IT ของตนเอง และการปฏิบัติตามกฎหมายที่เกี่ยวข้อง

ขอบเขตความรับผิดชอบในแต่ละชั้น (Layer) จะแตกต่างกันตามประเภทบริการ ดังตารางต่อไปนี้ (ผ = ผู้ให้บริการรับผิดชอบ, ร = ผู้รับบริการรับผิดชอบ)

ชั้น (Layer) Web / WordPress VPS PaaS IaaS
ข้อมูลและเนื้อหาในระบบ/ฐานข้อมูล (Data)²
แอปพลิเคชัน (Application)
Runtime / Middleware / เอนจินฐานข้อมูล (Database Engine)³
ระบบปฏิบัติการ (OS) ร¹
เวอร์ชวลไลเซชัน (Virtualization)
เครือข่าย (Network)
โครงสร้างพื้นฐานทางกายภาพ (Physical)

หมายเหตุ
¹ บริการ VPS Hosting ผู้รับบริการเป็นผู้ดูแลระบบปฏิบัติการ เว้นแต่ซื้อบริการเสริมแบบ Managed (เช่น DirectAdmin) ซึ่งผู้ให้บริการจะช่วยดูแลให้ตามขอบเขตที่ตกลง
² ข้อมูลและเนื้อหาในฐานข้อมูลที่ผู้รับบริการสร้างหรือนำเข้าเอง (เช่น ตาราง เรคคอร์ด โครงสร้างข้อมูล และข้อมูลจริง) เป็นความรับผิดชอบของผู้รับบริการในทุกประเภทบริการ
³ เอนจินฐานข้อมูล (Database Engine) หมายถึงตัวซอฟต์แวร์/บริการฐานข้อมูล (เช่น MySQL/MariaDB) ที่ทำให้ระบบทำงานได้ตามปกติ สำหรับบริการแบบ Managed (Web/WordPress/PaaS) ผู้ให้บริการดูแลให้ “ตัวบริการทำงานได้” ส่วนข้อมูลภายในยังคงเป็นของผู้รับบริการตามข้อ ²
โดยสรุป ยิ่งผู้รับบริการควบคุมระบบได้มาก (VPS, IaaS) ความรับผิดชอบด้านความมั่นคงปลอดภัยยิ่งตกแก่ผู้รับบริการมากขึ้นตามลำดับ

มาตรการรักษาความมั่นคงปลอดภัยที่บริษัทจัดให้มี ประกอบด้วย

  1. Web Application Firewall (WAF) — สำหรับ Web / WordPress / VPS Hostingระบบมาตรฐานในการกรองข้อมูล Traffic การเฝ้าระวัง (Monitoring) และการบล็อก Traffic แปลกปลอมประเภท HTTP/HTTPS ที่ส่งมายัง Web Application ของผู้รับบริการ และป้องกันไม่ให้ข้อมูลรั่วไหลออกจากแอปพลิเคชัน โดยทำงานในลักษณะ Reverse Proxy เพื่อป้องกันไม่ให้ Traffic ที่เป็นภัยคุกคามเข้าถึงข้อมูลภายในของ Web Application Serverข้อยกเว้นสำหรับ VPS Hosting: กรณีที่ผู้รับบริการเลือกติดตั้งเฉพาะระบบปฏิบัติการเพียงอย่างเดียว ไม่ได้ซื้อบริการเสริม DirectAdmin จากผู้ให้บริการ และ/หรือมีการเข้าถึงหรือปรับแต่งการตั้งค่าของ VPS ด้วยสิทธิ์สูงสุดของระบบ (root) ด้วยตนเอง การคุ้มครองของ WAF อาจไม่ครอบคลุมหมายเหตุ: Web Application Firewall เป็นเพียงกฎพื้นฐานในการป้องกันเบื้องต้น ไม่อาจรับประกันการป้องกันการโจมตีได้ 100% เนื่องจากแอปพลิเคชันของผู้รับบริการแต่ละรายแตกต่างกัน รวมถึงแต่ไม่จำกัดเพียงทีมพัฒนา ลักษณะการทำงาน การออกแบบระบบ และส่วนประกอบของบุคคลภายนอก (3rd Party) เช่น CMS, Framework, Plugin, Themes, Library และรูปแบบการใช้งานที่แตกต่างกัน
  2. Vulnerability Assessmentการประเมินหาความเสี่ยงเบื้องต้นจากช่องโหว่ที่ค้นพบในระบบปฏิบัติการ (OS) ซอฟต์แวร์ หรืออุปกรณ์เครือข่าย/ความปลอดภัย ว่ามีช่องโหว่ใดบ้างและมีระดับความรุนแรงเท่าใด เพื่อดำเนินการแก้ไขและปิดช่องโหว่นั้น
  3. การจำกัดสิทธิ์การเข้าถึงของพนักงานการจำกัดการเข้าถึงข้อมูลเป็นลำดับขั้นตามหน้าที่ของพนักงาน และการจัดให้มีสัญญารักษาความลับของข้อมูล
  4. คณะเจ้าหน้าที่ดูแลระบบความปลอดภัยของข้อมูลบริษัทมีคณะเจ้าหน้าที่ผู้ถือครองวุฒิบัตร ICDL Personal Data Protection โดย International Computer Driving License อ้างอิงตามมาตรฐานสหภาพยุโรป ได้แก่
    • Data Protection Officer (DPO) — เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ผู้ดูแลและให้ความคุ้มครองข้อมูลส่วนบุคคลทั้งหมดในองค์กร ทั้งข้อมูลภายในและภายนอก มีหน้าที่ตั้งแต่จัดทำ ควบคุม ตรวจสอบ รวบรวม และจัดเก็บข้อมูลตามกฎหมาย รวมถึงประสานงานกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเมื่อเกิดปัญหา
    • Data Processor — เจ้าหน้าที่ผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งดำเนินการภายใต้คำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น
5. การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล

กรณีเกิดเหตุการละเมิดข้อมูลส่วนบุคคล (Data Breach) บริษัทในฐานะผู้ประมวลผลข้อมูลจะแจ้งให้ผู้รับบริการ (ผู้ควบคุมข้อมูล) ทราบโดยไม่ชักช้า เพื่อให้ผู้รับบริการสามารถแจ้งเหตุต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ภายใน 72 ชั่วโมง ตามมาตรา 37(4) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

6. บทกำหนดโทษ

การฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีบทกำหนดโทษทั้งทางอาญา ทางแพ่ง และทางปกครองตามที่กฎหมายกำหนด

การติดต่อและการนำส่งข้อมูล

หากท่านมีข้อสงสัยหรือต้องการสอบถามเพิ่มเติม สามารถติดต่อได้ทางอีเมล [email protected] ในเวลา 9.00 – 18.00 น.

ทั้งนี้ ท่านจะต้องนำส่งรายการประเภทข้อมูลตามข้อ 2 และข้อ 3 แก่บริษัทภายใน 30 วัน นับแต่วันที่ได้รับเอกสารนี้ มายังอีเมล [email protected] มิเช่นนั้นจะถือว่าท่านไม่มีข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด และรับรองว่าบริษัทไม่มีหน้าที่ความรับผิดชอบในฐานะผู้ประมวลผลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ต่อท่าน

บริษัท รักคอม จำกัด