1 คำนิยาม
ในนโยบายฉบับนี้ คำและวลีต่อไปนี้มีความหมายดังนี้
- "ข้อมูลส่วนบุคคล" หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวตนบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม
- "การประมวลผล" หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล รวมถึงการเก็บรวบรวม บันทึก จัดระบบ จัดเก็บ แก้ไข ดึงข้อมูล ใช้ เปิดเผย โอน หรือลบทำลาย
- "ผู้ควบคุมข้อมูล" หมายถึง sm303 ในฐานะผู้กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล
- "เจ้าของข้อมูล" หมายถึง สมาชิกหรือผู้ใช้งานที่ข้อมูลส่วนบุคคลนั้นเป็นของ
- "PDPA" หมายถึง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของประเทศไทย
2 ข้อมูลที่ sm303 เก็บรวบรวม
sm303 เก็บรวบรวมข้อมูลส่วนบุคคลของท่านในหลายกรณี ดังนี้
ข้อมูลที่ท่านให้โดยตรง
- ชื่อ-นามสกุล, วันเดือนปีเกิด, เลขบัตรประชาชน (เพื่อยืนยันอายุ 20+ ปี)
- หมายเลขโทรศัพท์มือถือ และที่อยู่อีเมล
- ข้อมูลบัญชีธนาคาร (ชื่อธนาคาร, เลขบัญชี, ชื่อผู้ถือบัญชี)
- ที่อยู่ในการจัดส่งเอกสาร (ถ้ามี)
ข้อมูลที่เก็บรวบรวมโดยอัตโนมัติ
- หมายเลข IP, ประเภทเบราว์เซอร์, ระบบปฏิบัติการ และอุปกรณ์ที่ใช้
- ประวัติการเข้าใช้งาน, หน้าที่เข้าชม, เวลาที่ใช้บนแพลตฟอร์ม
- ประวัติการเดิมพันและธุรกรรมทางการเงินทั้งหมด
- ข้อมูลคุกกี้และ Session Token
sm303 ไม่เก็บข้อมูลบัตรเครดิต/เดบิตโดยตรง ธุรกรรมผ่านระบบ Payment Gateway ที่ได้รับมาตรฐาน PCI-DSS
3 วัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคล
sm303 ใช้ข้อมูลส่วนบุคคลของท่านเพื่อวัตถุประสงค์ดังต่อไปนี้เท่านั้น
- การให้บริการ: สร้างและจัดการบัญชีสมาชิก, ประมวลผลการฝาก-ถอน, ให้บริการเกมและเดิมพัน
- การยืนยันตัวตน: ตรวจสอบอายุ (20 ปีขึ้นไป) และป้องกันการฉ้อโกง
- การปฏิบัติตามกฎหมาย: AML (ป้องกันฟอกเงิน), KYC (รู้จักลูกค้า), และข้อกำหนดทางกฎหมายอื่น ๆ
- การสื่อสาร: แจ้งผลธุรกรรม, โปรโมชั่น, ข่าวสาร และการอัปเดตระบบ
- การพัฒนาบริการ: วิเคราะห์พฤติกรรมการใช้งานเพื่อปรับปรุงประสิทธิภาพแพลตฟอร์ม
- การพนันอย่างมีความรับผิดชอบ: ติดตามพฤติกรรมการเล่นเพื่อตรวจจับสัญญาณปัญหา และสนับสนุนเครื่องมือ Self-Exclusion
4 ฐานทางกฎหมายในการประมวลผลข้อมูล
sm303 ประมวลผลข้อมูลส่วนบุคคลของท่านบนฐานทางกฎหมายต่อไปนี้ตาม PDPA
- ความจำเป็นตามสัญญา: การประมวลผลที่จำเป็นเพื่อปฏิบัติตามสัญญาการให้บริการกับท่าน
- พันธกรณีทางกฎหมาย: การประมวลผลที่จำเป็นเพื่อปฏิบัติตามกฎหมายที่บังคับใช้
- ประโยชน์โดยชอบด้วยกฎหมาย: การป้องกันการฉ้อโกง, การรักษาความปลอดภัยของระบบ
- ความยินยอม: การส่งการสื่อสารทางการตลาด ซึ่งท่านสามารถถอนความยินยอมได้ตลอดเวลา
5 การเปิดเผยข้อมูลแก่บุคคลที่สาม
sm303 อาจเปิดเผยข้อมูลส่วนบุคคลของท่านแก่บุคคลที่สามในกรณีจำเป็นดังต่อไปนี้
- ผู้ให้บริการชำระเงิน: ธนาคารไทยและผู้ให้บริการ Payment Gateway เพื่อดำเนินธุรกรรม
- ผู้ให้บริการเกม: บริษัทผู้พัฒนาเกมที่เป็นพันธมิตร เฉพาะข้อมูลที่จำเป็นสำหรับการให้บริการเกม
- หน่วยงานกฎหมาย: เมื่อได้รับคำสั่งทางกฎหมาย หมายศาล หรือตามที่กฎหมายกำหนด
- ผู้ตรวจสอบบัญชีและที่ปรึกษา: ภายใต้ข้อตกลงรักษาความลับอย่างเคร่งครัด
sm303 ไม่ ขาย เช่า หรือแลกเปลี่ยนข้อมูลส่วนบุคคลของท่านกับบุคคลที่สามเพื่อวัตถุประสงค์ทางการตลาดโดยเด็ดขาด
6 การถ่ายโอนข้อมูลระหว่างประเทศ
ในบางกรณี ข้อมูลของท่านอาจถูกประมวลผลในประเทศอื่นที่อาจมีมาตรฐานการคุ้มครองข้อมูลแตกต่างจากไทย sm303 จะดำเนินมาตรการที่เหมาะสมเพื่อให้แน่ใจว่าข้อมูลของท่านได้รับการคุ้มครองอย่างเพียงพอ ไม่ว่าจะเป็นการทำสัญญาการประมวลผลข้อมูล (DPA) หรือกลไกการถ่ายโอนที่ได้รับการอนุมัติตาม PDPA
7 ระยะเวลาในการเก็บรักษาข้อมูล
sm303 เก็บรักษาข้อมูลส่วนบุคคลของท่านตามระยะเวลาดังนี้
- ข้อมูลบัญชีและตัวตน: ตลอดระยะเวลาที่บัญชียังใช้งานอยู่ และอีก 5 ปีหลังปิดบัญชี เพื่อปฏิบัติตามกฎหมาย AML
- ประวัติธุรกรรม: 5 ปีนับจากวันที่ทำธุรกรรม ตามกฎหมายการบัญชีและภาษี
- บันทึกการติดต่อซัพพอร์ต: 2 ปีนับจากวันที่ติดต่อ
- ข้อมูล Log และการใช้งาน: 12 เดือน
เมื่อพ้นระยะเวลาที่กำหนด sm303 จะลบหรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้อย่างปลอดภัย
8 มาตรการความปลอดภัยของข้อมูล
sm303 ใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลของท่านจากการเข้าถึงโดยไม่ได้รับอนุญาต การเปิดเผย การแก้ไข หรือการทำลาย
- การเข้ารหัส SSL/TLS 256-bit สำหรับข้อมูลทุกประเภทระหว่างการส่งผ่าน
- การเข้ารหัสข้อมูลที่จัดเก็บ (Encryption at Rest) สำหรับข้อมูลที่มีความละเอียดอ่อน
- การควบคุมการเข้าถึงตามบทบาท (Role-Based Access Control) สำหรับพนักงาน
- การตรวจสอบความปลอดภัยและการทดสอบเจาะระบบ (Penetration Testing) เป็นประจำ
- ระบบตรวจจับการบุกรุก (IDS/IPS) และการสำรองข้อมูลแบบ Real-time
หากพบหรือสงสัยว่าข้อมูลของท่านถูกละเมิด sm303 จะแจ้งท่านและสำนักงาน PDPA ภายใน 72 ชั่วโมงตามที่กฎหมายกำหนด
9 สิทธิของเจ้าของข้อมูลส่วนบุคคล
ภายใต้ PDPA ท่านมีสิทธิดังต่อไปนี้เกี่ยวกับข้อมูลส่วนบุคคลของท่านที่ sm303 ถือครอง
- สิทธิในการเข้าถึง: ขอสำเนาข้อมูลส่วนบุคคลที่เราเก็บรักษาเกี่ยวกับท่าน
- สิทธิในการแก้ไข: ขอแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่ครบถ้วน
- สิทธิในการลบ: ขอลบข้อมูลเมื่อพ้นความจำเป็นหรือเมื่อถอนความยินยอม (อาจมีข้อจำกัดตามกฎหมาย)
- สิทธิในการจำกัดการประมวลผล: ขอให้ระงับการประมวลผลในระหว่างการตรวจสอบ
- สิทธิในการโอนย้ายข้อมูล: รับข้อมูลในรูปแบบที่เครื่องอ่านได้เพื่อใช้กับผู้ให้บริการอื่น
- สิทธิในการคัดค้าน: คัดค้านการประมวลผลเพื่อวัตถุประสงค์ทางการตลาด
- สิทธิในการถอนความยินยอม: ถอนความยินยอมได้ตลอดเวลาโดยไม่กระทบสิทธิก่อนหน้า
เพื่อใช้สิทธิข้างต้น โปรดติดต่อ [email protected] โดยระบุสิทธิที่ต้องการใช้ sm303 จะตอบกลับภายใน 30 วันนับจากวันที่ได้รับคำขอ
10 คุกกี้และเทคโนโลยีการติดตาม
sm303 ใช้คุกกี้และเทคโนโลยีที่คล้ายคลึงกันเพื่อปรับปรุงประสบการณ์การใช้งานแพลตฟอร์ม
- คุกกี้ที่จำเป็น (Essential Cookies): จำเป็นสำหรับการทำงานพื้นฐาน เช่น การ Login และ Session Management ไม่สามารถปิดได้
- คุกกี้การวิเคราะห์ (Analytics Cookies): ช่วยให้เราเข้าใจการใช้งานแพลตฟอร์ม เพื่อปรับปรุงบริการ
- คุกกี้การตั้งค่า (Preference Cookies): จดจำการตั้งค่าของท่าน เช่น ภาษาและธีม
ท่านสามารถจัดการการตั้งค่าคุกกี้ผ่านการตั้งค่าเบราว์เซอร์ แต่การปิดคุกกี้บางประเภทอาจส่งผลต่อการใช้งานแพลตฟอร์ม
11 การเปลี่ยนแปลงนโยบายความเป็นส่วนตัว
sm303 อาจปรับปรุงนโยบายฉบับนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับกฎหมายที่เปลี่ยนแปลงหรือการปรับปรุงการให้บริการ การเปลี่ยนแปลงที่มีนัยสำคัญจะแจ้งท่านผ่านทางอีเมลหรือการแจ้งเตือนบนแพลตฟอร์มล่วงหน้าอย่างน้อย 30 วัน การใช้บริการต่อไปหลังจากการเปลี่ยนแปลงมีผลถือว่าท่านยอมรับนโยบายฉบับใหม่
12 ติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
หากมีคำถาม ข้อกังวล หรือต้องการใช้สิทธิตาม PDPA โปรดติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ของ sm303 ผ่านช่องทางต่อไปนี้
นอกจากนี้ หากท่านเชื่อว่า sm303 ประมวลผลข้อมูลของท่านโดยไม่ชอบด้วยกฎหมาย ท่านมีสิทธิยื่นเรื่องร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ตามขั้นตอนที่กฎหมายกำหนด