Privacy Notice-Proxy Service System

นโยบายความเป็นส่วนตัว (Privacy Notice)

ของ “ระบบ D1 Proxy Service”

ข้อ 1. บทนำ

นโยบายความเป็นส่วนตัวนี้ บริษัท ดาต้าวัน เอเชีย (ประเทศไทย) จำกัด ในฐานะผู้ให้บริการ “ระบบ D1 Proxy Service” ขอชี้แจงเพื่ออธิบายและทำความเข้าใจว่า บริษัทได้จัดเก็บ รวบรวม ใช้ และแบ่งปันข้อมูลส่วนบุคคลของท่านอย่างไร เมื่อผู้ร้องขอ (Relying Party หรือ RP) ใช้บริการระบบ D1 Proxy Service ซึ่งให้บริการเกี่ยวกับการแลกเปลี่ยนข้อมูลระหว่าง Relying Parties (RP) และ Identity Providers (IDP) หรือ Authoritative Sources (AS) ผ่าน NDID Platform

ข้อ 2. คำนิยาม

“บริษัท” หมายถึง บริษัท ดาต้าวัน เอเชีย (ประเทศไทย) จำกัด

“ผู้ร้องขอ (Relying Party หรือ RP)” หมายถึง นิติบุคคลซึ่งเป็นผู้ให้บริการที่จำเป็นต้องมีการพิสูจน์และยืนยันตัวตนของผู้ขอใช้บริการก่อนการให้บริการ

“ผู้พิสูจน์และยืนยันตัวตน (Identity Provider หรือ IdP)” หมายถึง นิติบุคคลซึ่งมีหน้าที่ส่งคำยืนยันความถูกต้องของชุดข้อมูลลงทะเบียนของผู้ขอใช้บริการตามที่ได้รับคำร้องขอ

“ผู้ให้ข้อมูลที่น่าเชื่อถือ (Authoritative Source หรือ AS)” หมายความว่า นิติบุคคลหรือหน่วยงานของรัฐที่มีข้อมูลส่วนบุคคลที่น่าเชื่อถือของผู้ใช้บริการ”

“ผู้ขอใช้บริการ” หมายถึง บุคคลใดๆ ที่มาขอใช้บริการกับ RP

“NDID” หมายถึง บริษัท เนชั่นแนลดิจิทัล ไอดี จำกัด หรือ National Digital ID Co., Ltd. (NDID)

“ระบบ D1 Proxy Service” หมายถึง ระบบที่พัฒนาขึ้นเพื่อทำหน้าที่เป็นตัวกลางในการเชื่อมต่อข้อมูลเข้ากับระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล (Digital ID Platform)

“การบริการ” หมายถึง การบริการของบริษัทเกี่ยวกับระบบ D1 Proxy Service รวมถึงการรวบรวม

การบันทึก การส่งต่อ การเข้าใช้ การรับข้อมูลต้นฉบับ การจัดเก็บ การประมวลผล และธุรกรรม เพื่อให้ผู้ร้องขอ (RP) สามารถใช้งาน Digital ID Platform เสมือนผู้ร้องขอ (RP) เชื่อมต่อกับ Digital ID Platform โดยตรง

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลส่วนบุคคลตามนิยามของกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ ผู้ขอใช้บริการ ได้ใช้บริการผ่านระบบของผู้ร้องขอ (Relying Party หรือ RP)

“ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

ข้อ 3. บริษัทใช้ข้อมูลส่วนบุคคลอย่างไร

นโยบายนี้ประกาศออกมาเพื่อชี้แจงรายละเอียดการบริการของระบบ D1 Proxy Service ของบริษัท เพื่อให้ทราบถึงลักษณะการให้บริการระบบ D1 Proxy Service ในรูปแบบ Outsourcing Service โดยระบบ D1 Proxy Service จะดำเนินการติดตั้ง ณ Data Center และ DR Site ของบริษัท เพื่อให้ผู้ร้องขอ (Relying Party หรือ RP) เรียกใช้บริการผ่าน RESTFul API ที่บริษัทได้จัดเตรียมไว้ให้ จากนั้นระบบจะดำเนินการร้องขอข้อมูลส่วนบุคคลจาก NDID Platform และส่งข้อมูลส่วนบุคคลกลับไป โดยการเข้ารหัสข้อมูลตามมาตรฐาน (AES256 + RSA2048) เมื่อข้อมูลส่วนบุคคลถูกส่งไปยังผู้ร้องขอ (Relying Party หรือ RP) เสร็จเรียบร้อยแล้ว ข้อมูลส่วนบุคคลดังกล่าว บริษัทจะไม่มีการจัดเก็บข้อมูลส่วนบุคคลใดๆทั้งสิ้น

ข้อ 4. การปกป้องข้อมูลส่วนบุคคล

เนื่องจากการให้บริการเกี่ยวกับการแลกเปลี่ยนข้อมูลเพื่อพิสูจน์และยืนยันตัวตนทางดิจิทัลมีความสำคัญต่อการทำธุรกรรมทางอิเล็กทรอนิกส์ ตลอดจนสร้างความเชื่อมั่นในการทำธุรกรรมทางอิเล็กทรอนิกส์ให้เป็นไปอย่างมีประสิทธิภาพ และป้องกันความเสียหายที่อาจเกิดขึ้น บริษัทในฐานะ ผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งปฎิบัติตามตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล จึงจัดให้มีมาตรการเชิงเทคนิค และมาตรการเชิงบริหารจัดการข้อมูลส่วนบุคคล ดังนี้

การเข้ารหัสข้อมูล (Data Encryption): ข้อมูลส่วนบุคคลจะถูกเข้ารหัสในระหว่างการส่งผ่านระบบ เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต

การจัดการสิทธิ์การเข้าถึง (Access Control): บริษัทมีระบบการจัดการสิทธิ์การเข้าถึงที่เข้มงวด เพื่อให้แน่ใจว่ามีเพียงผู้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลส่วนบุคคลของท่านได้

การตรวจสอบความปลอดภัย (Security Audits): บริษัทดำเนินการตรวจสอบความปลอดภัยเป็นประจำ เพื่อป้องกันและตรวจจับความเสี่ยงหรือการละเมิดความปลอดภัยที่อาจเกิดขึ้น

ข้อ 5. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล

บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็นตลอดเวลาการบริการของระบบ D1 Proxy Service อย่างไรก็ตามเมื่อข้อมูลถูกส่งไปยังผู้ร้องขอ (Relying Party หรือ RP) เสร็จเรียบร้อยแล้ว ข้อมูลดังกล่าวบริษัทจะไม่มีการจัดเก็บข้อมูลส่วนบุคคลใดๆทั้งสิ้น

ข้อ 6. การเปลี่ยนแปลงประกาศความเป็นส่วนตัว

บริษัทขอสงวนสิทธิ์ในการปรับปรุงประกาศความเป็นส่วนตัวฉบับนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับการเปลี่ยนแปลงทางกฎหมายและการดำเนินงานของบริษัท การเปลี่ยนแปลงใดๆ จะถูกโพสต์บนเว็บไซต์ของบริษัท และบริษัทขอแนะนำให้ท่านตรวจสอบประกาศนี้เป็นระยะเพื่อรับทราบข้อมูลล่าสุด

ข้อ 7. ติดต่อบริษัท

หากท่านมีคำถาม ข้อกังวล หรือข้อร้องเรียนเกี่ยวกับประกาศความเป็นส่วนตัวนี้ หรือแนวทางปฏิบัติด้านความเป็นส่วนตัวของบริษัท กรุณาติดต่อบริษัทที่ :

สถานที่ติดต่อบริษัท บริษัท ดาต้าวัน เอเชีย (ประเทศไทย) จำกัด

ที่อยู่ เลขที่ 1023 อาคารเอ็มเอส สยาม ทาวเวอร์ ชั้น 30 ถนนพระราม 3 แขวงช่องนนทรี เขตยานนาวา กรุงเทพมหานคร 10120

หมายเลขโทรศัพท์ (662) 686-3000, 682- 6111, 682-6222