นโยบายความเป็นส่วนตัว

1

บทนำ

ห้างหุ้นส่วนจำกัด บีแอล เปเปอร์ เซอร์วิส ("เรา", "บริษัท") เป็นผู้ให้บริการซอฟต์แวร์บริหารจัดการเวลาทำงานและทรัพยากรบุคคลในรูปแบบ Software as a Service (SaaS) ภายใต้ชื่อ BL TimeFlow นโยบายความเป็นส่วนตัวฉบับนี้อธิบายถึงวิธีการที่เราเก็บรวบรวม ใช้ เปิดเผย และปกป้องข้อมูลส่วนบุคคลของลูกค้าองค์กรและพนักงานของลูกค้าที่ใช้งานบริการของเรา

ในฐานะ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทมีหน้าที่กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล และรับผิดชอบต่อการปฏิบัติตาม กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้องทั้งหมด

การใช้งานบริการ BL TimeFlow ถือว่าท่านได้อ่านและยอมรับนโยบายความเป็นส่วนตัวฉบับนี้แล้ว หากท่านไม่เห็นด้วยกับ นโยบายนี้ กรุณาหยุดใช้งานบริการและติดต่อเราเพื่อยุติสัญญา

2

ข้อมูลที่เราเก็บรวบรวม

เราเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นต่อการให้บริการเท่านั้น โดยแบ่งประเภทข้อมูลดังนี้

2.1 ข้อมูลองค์กร (Organization Data)

ชื่อบริษัท / ชื่อกิจการ และที่อยู่จดทะเบียน
เลขประจำตัวผู้เสียภาษี / เลขทะเบียนนิติบุคคล
ชื่อ นามสกุล และอีเมลของผู้ดูแลระบบ (Admin)
หมายเลขโทรศัพท์ติดต่อขององค์กร

2.2 ข้อมูลพนักงาน (Employee Data)

ชื่อ-นามสกุล และชื่อเล่น
ที่อยู่ปัจจุบันและที่อยู่ตามทะเบียนบ้าน
เลขบัตรประจำตัวประชาชน (13 หลัก)
เลขประกันสังคม (SSO) และข้อมูลกองทุนสำรองเลี้ยงชีพ
วันเดือนปีเกิด และข้อมูลการจ้างงาน (วันเริ่มงาน, ตำแหน่ง, แผนก)
เลขบัญชีธนาคารสำหรับรับเงินเดือน
ข้อมูลการลงเวลา (เวลาเข้า-ออก, วันหยุด, วันลา)

2.3 ข้อมูลการใช้งาน (Usage Data)

บันทึกการเข้าสู่ระบบ (Login Log) พร้อม Timestamp
หมายเลข IP Address และประเทศที่เข้าถึง
ข้อมูลอุปกรณ์ (Device Type, Browser, OS)
บันทึกกิจกรรมภายในระบบ (Audit Log)
ข้อมูลเซสชันและ Session Token

2.4 ข้อมูลการชำระเงิน (Payment Data)

หลักฐานการชำระเงิน (สลิปโอนเงิน) ที่ลูกค้าส่งมาเพื่อยืนยันการต่ออายุ
ประวัติการชำระเงินและวันครบกำหนดต่ออายุ
ประเภทแพ็กเกจและรอบการเรียกเก็บ

          หมายเหตุ: เราไม่เก็บข้อมูลบัตรเครดิต/เดบิต หรือข้อมูลทางการเงินที่ละเอียดอ่อนโดยตรง
          การชำระเงินดำเนินการผ่านการโอนเงินธนาคาร และเราเก็บเฉพาะหลักฐานการชำระที่ลูกค้าส่งมาเท่านั้น
        

3

วัตถุประสงค์การใช้ข้อมูล

เราใช้ข้อมูลส่วนบุคคลที่เก็บรวบรวมเพื่อวัตถุประสงค์ดังต่อไปนี้เท่านั้น

การให้บริการ SaaS — ประมวลผลการลงเวลา คำนวณค่าจ้าง สร้างรายงาน และฟีเจอร์ต่าง ๆ ของ BL TimeFlow
การพิสูจน์ตัวตน — ยืนยันสิทธิ์การเข้าถึงระบบตามบทบาทหน้าที่ของผู้ใช้งาน
การปรับปรุงระบบ — วิเคราะห์การใช้งานเพื่อพัฒนาประสิทธิภาพและเพิ่มฟีเจอร์ใหม่
การแจ้งเตือน — ส่งการแจ้งเตือนการลงเวลา, OT, วันลา ผ่าน Email และ LINE Notify
การเรียกเก็บเงิน (Billing) — ติดตามสถานะสมาชิก แจ้งเตือนต่ออายุ และออกใบแจ้งหนี้
การปฏิบัติตามกฎหมาย — ดำเนินการตามที่กฎหมายแรงงาน ประกันสังคม และ PDPA กำหนด
การสนับสนุนลูกค้า — แก้ไขปัญหาและให้ความช่วยเหลือด้านเทคนิค

เราจะไม่ใช้ข้อมูลของท่านเพื่อวัตถุประสงค์อื่นนอกจากที่ระบุไว้ข้างต้น และจะไม่นำข้อมูลไปใช้ในเชิงพาณิชย์ หรือเพื่อการตลาดโดยไม่ได้รับความยินยอมจากท่านก่อน

4

ฐานทางกฎหมาย (Legal Basis)

การประมวลผลข้อมูลส่วนบุคคลของเราอาศัยฐานทางกฎหมายตามมาตรา 24 และมาตรา 26 แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังนี้

ฐานทางกฎหมาย	ประเภทข้อมูลที่เกี่ยวข้อง	ตัวอย่างการใช้งาน
สัญญา (มาตรา 24(3)) จำเป็นต่อการปฏิบัติตามสัญญา	ข้อมูลองค์กร, ข้อมูลพนักงาน, ข้อมูลการชำระเงิน	ให้บริการ SaaS ที่ตกลงกัน, คำนวณเงินเดือน, ออกรายงาน
ความยินยอม (มาตรา 19) ได้รับความยินยอมโดยชัดแจ้ง	ข้อมูลอ่อนไหว (เลขบัตร ปชช., SSO)	การเก็บข้อมูลอ่อนไหวที่เกินกว่าที่กฎหมายกำหนด
ประโยชน์อันชอบธรรม (มาตรา 24(5)) Legitimate Interest	ข้อมูลการใช้งาน, Log, IP Address	รักษาความปลอดภัยระบบ, ป้องกันการฉ้อโกง, Debug
การปฏิบัติตามกฎหมาย (มาตรา 24(6)) Legal Obligation	บันทึกการทำงาน, ข้อมูลแรงงาน	ปฏิบัติตามกฎหมายแรงงาน, ประกันสังคม, สรรพากร

5

การเปิดเผยข้อมูลต่อบุคคลที่สาม

เราอาจเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ประมวลผลข้อมูล (Data Processor) ที่ให้บริการโครงสร้างพื้นฐานแก่เรา ทั้งนี้ เราได้คัดเลือกผู้ให้บริการที่มีมาตรการคุ้มครองข้อมูลส่วนบุคคลในระดับที่เหมาะสม

SB

Supabase

ผู้ให้บริการฐานข้อมูล (Database as a Service)

เก็บข้อมูลองค์กร ข้อมูลพนักงาน และข้อมูลการลงเวลาทั้งหมด โดย Supabase ใช้ฐานข้อมูล PostgreSQL บน AWS พร้อม Encryption at Rest

RW

Railway

ผู้ให้บริการ Hosting และ Deployment

ให้บริการ Server สำหรับรัน Application ของ BL TimeFlow พร้อมระบบ Monitoring และ Auto-scaling

RS

Resend

ผู้ให้บริการส่งอีเมล (Transactional Email)

ใช้ส่งอีเมลแจ้งเตือนระบบ เช่น การยืนยันบัญชี รีเซ็ตรหัสผ่าน และการแจ้งเตือนต่างๆ โดยเราส่งเฉพาะชื่อและอีเมลผู้รับเท่านั้น

LN

LINE (LINE Notify / LINE Messaging API)

ผู้ให้บริการการแจ้งเตือน (Notification)

ส่งการแจ้งเตือนการลงเวลา OT และเหตุการณ์สำคัญไปยัง LINE Group ของลูกค้า โดยใช้ Token ที่ลูกค้าให้ความยินยอมผ่านระบบ

          คำยืนยันสำคัญ: เราไม่ขาย ไม่เช่า และไม่แลกเปลี่ยนข้อมูลส่วนบุคคลของท่านกับบุคคลที่สามเพื่อวัตถุประสงค์ทางการตลาดหรือเชิงพาณิชย์อื่นใด
          การเปิดเผยข้อมูลมีเฉพาะกรณีที่จำเป็นต่อการให้บริการตามสัญญา หรือตามที่กฎหมายกำหนดเท่านั้น
        

6

การถ่ายโอนข้อมูลระหว่างประเทศ

บริการ BL TimeFlow ใช้ผู้ให้บริการโครงสร้างพื้นฐาน (Supabase, Railway, Resend) ซึ่งมี Server ตั้งอยู่ในต่างประเทศ ดังนั้น ข้อมูลส่วนบุคคลของท่านอาจถูกถ่ายโอนและประมวลผลในประเทศที่อาจมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล แตกต่างจากประเทศไทย

เราดำเนินมาตรการคุ้มครองที่เหมาะสมสำหรับการถ่ายโอนข้อมูลระหว่างประเทศ ดังนี้

คัดเลือกผู้ให้บริการที่ได้รับการรับรองมาตรฐานสากล เช่น SOC 2 Type II, ISO 27001 หรือเทียบเท่า
กำหนดเงื่อนไขการประมวลผลข้อมูล (Data Processing Agreement) กับผู้ให้บริการทุกราย
ใช้การเข้ารหัสข้อมูลในระหว่างการส่งผ่าน (Encryption in Transit) ด้วย TLS 1.2 ขึ้นไป
จำกัดข้อมูลที่ส่งออกไปต่างประเทศให้เหลือเฉพาะส่วนที่จำเป็นต่อการให้บริการ

การใช้บริการ BL TimeFlow ถือว่าท่านได้ยินยอมให้เราถ่ายโอนข้อมูลระหว่างประเทศตามเงื่อนไขและ มาตรการที่ระบุไว้ในนโยบายนี้แล้ว

7

ระยะเวลาการเก็บรักษาข้อมูล

เราเก็บรักษาข้อมูลส่วนบุคคลตามระยะเวลาที่จำเป็นต่อวัตถุประสงค์ที่ระบุไว้ โดยมีหลักเกณฑ์ดังนี้

ระยะเวลาการเก็บข้อมูลตามประเภท

ข้อมูลองค์กรและพนักงาน: ตลอดระยะเวลาที่ใช้บริการ BL TimeFlow บวก 3 ปีหลังยกเลิกสัญญา
ข้อมูลการลงเวลาและบันทึกการทำงาน: ตลอดระยะเวลาที่ใช้บริการ บวก 3 ปีหลังยกเลิก (สอดคล้องกับกฎหมายแรงงาน)
ข้อมูลการใช้งานและ Log: 1 ปีนับจากวันที่บันทึก เพื่อการตรวจสอบความปลอดภัย
หลักฐานการชำระเงิน: 5 ปีนับจากวันชำระ ตามกฎหมายบัญชีและภาษีอากร
ข้อมูลจากการร้องขอสิทธิ์: 3 ปีนับจากวันดำเนินการ

เมื่อครบกำหนดระยะเวลา เราจะดำเนินการลบหรือทำลายข้อมูลอย่างถาวรและปลอดภัย หรือทำให้ข้อมูลอยู่ในรูปแบบที่ ไม่สามารถระบุตัวบุคคลได้ (Anonymization) ตามมาตรฐาน NIST หรือเทียบเท่า

8

สิทธิของเจ้าของข้อมูล

ท่านในฐานะเจ้าของข้อมูลส่วนบุคคล มีสิทธิตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังต่อไปนี้

สิทธิในการเข้าถึง

ขอดูและรับสำเนาข้อมูลส่วนบุคคลที่เราเก็บไว้เกี่ยวกับท่าน

สิทธิในการแก้ไข

ขอแก้ไขข้อมูลที่ไม่ถูกต้อง ไม่ครบถ้วน หรือไม่เป็นปัจจุบัน

สิทธิในการลบ

ขอให้ลบหรือทำลายข้อมูล เมื่อหมดความจำเป็นหรือสิ้นสุดสัญญา

สิทธิในการคัดค้าน

คัดค้านการประมวลผลข้อมูลที่อาศัยฐาน Legitimate Interest

สิทธิในการโอนย้าย

ขอรับข้อมูลในรูปแบบที่อ่านได้ด้วยเครื่อง (Machine-readable) เพื่อโอนย้ายไปยังผู้ให้บริการอื่น

สิทธิถอนความยินยอม

ถอนความยินยอมได้ทุกเมื่อโดยไม่กระทบต่อการประมวลผลที่ดำเนินการก่อนหน้า

สิทธิระงับการใช้

ขอให้ระงับการประมวลผลข้อมูลชั่วคราวในระหว่างการตรวจสอบ

สิทธิร้องเรียน

ยื่นเรื่องร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)

          ท่านสามารถใช้สิทธิข้างต้นได้โดยติดต่อเราผ่าน contact@blappservice.com
          เราจะดำเนินการตอบสนองต่อคำร้องขอภายใน 30 วัน นับจากวันที่ได้รับคำร้อง
          ตามที่กำหนดไว้ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
        

9

ความปลอดภัยของข้อมูล

เราใช้มาตรการรักษาความปลอดภัยทั้งทางเทคนิคและการบริหารจัดการเพื่อปกป้องข้อมูลส่วนบุคคลของท่าน จากการเข้าถึงโดยไม่ได้รับอนุญาต การสูญหาย การเปิดเผย หรือการแก้ไขโดยมิชอบ

🔒

Encryption at Rest: ข้อมูลทั้งหมดในฐานข้อมูลถูกเข้ารหัสด้วย AES-256 ขณะจัดเก็บ
🔍

Encryption in Transit: การสื่อสารทั้งหมดใช้ HTTPS/TLS 1.2 ขึ้นไปเพื่อป้องกันการดักฟัง
👤

Access Control: ระบบ Role-Based Access Control (RBAC) กำหนดสิทธิ์การเข้าถึงตามบทบาท โดยใช้หลัก Least Privilege
📄

Audit Log: บันทึกกิจกรรมการเข้าถึงและแก้ไขข้อมูลสำคัญทุกรายการ พร้อม Timestamp และ IP Address
🛡

Authentication: ระบบล็อกอินที่ปลอดภัยด้วย Supabase Auth พร้อมรองรับการยืนยันตัวตนหลายขั้นตอน (MFA)
🔄

Backup: สำรองข้อมูลอัตโนมัติทุกวัน และทดสอบการกู้คืนข้อมูลเป็นประจำ
🚫

Environment Isolation: แยก Environment ระหว่าง Production, Staging และ Development อย่างเคร่งครัด

หากเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคล (Data Breach) ที่มีความเสี่ยงสูง เราจะแจ้งให้ท่านทราบ ภายใน 72 ชั่วโมงหลังจากตรวจพบ และจะรายงานต่อสำนักงาน PDPC ตามกฎหมาย

10

คุกกี้ (Cookies)

BL TimeFlow ใช้คุกกี้เพียงประเภทเดียวเท่านั้น คือ

Session Cookies (คุกกี้เซสชัน)

วัตถุประสงค์: รักษาสถานะการล็อกอิน (Authentication State) ตลอดระยะเวลาที่ใช้งาน
อายุ: ถูกลบโดยอัตโนมัติเมื่อปิดเบราว์เซอร์ หรือเมื่อล็อกออกจากระบบ
ข้อมูลที่เก็บ: Session Token ที่เข้ารหัสเท่านั้น ไม่มีข้อมูลส่วนบุคคลโดยตรง
ลักษณะ: เป็น First-party Cookie ที่บริษัทกำหนดเอง ไม่ใช้ Third-party Tracking Cookie

          เราไม่ใช้คุกกี้เพื่อการโฆษณา การติดตามพฤติกรรม (Tracking) หรือการวิเคราะห์ข้ามเว็บไซต์ใด ๆ ทั้งสิ้น
          ท่านสามารถตั้งค่าเบราว์เซอร์ให้ปฏิเสธคุกกี้ได้ แต่อาจส่งผลให้บางฟีเจอร์ของระบบทำงานไม่ได้ตามปกติ
        

11

การติดต่อ

หากท่านมีคำถาม ข้อสงสัย หรือต้องการใช้สิทธิตามนโยบายความเป็นส่วนตัวนี้ กรุณาติดต่อเราได้ที่

ห้างหุ้นส่วนจำกัด บีแอล เปเปอร์ เซอร์วิส — เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

อีเมล: contact@blappservice.com

เว็บไซต์: bltimeflow.com

เวลาทำการ: จันทร์ – ศุกร์ 09:00 – 18:00 น. (ยกเว้นวันหยุดนักขัตฤกษ์)

ระยะเวลาตอบกลับ: ภายใน 30 วันนับจากวันที่ได้รับคำร้อง

หากท่านเห็นว่าเราไม่ได้ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ท่านมีสิทธิ์ยื่นเรื่องร้องเรียน ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ได้ที่ www.pdpc.or.th

          การเปลี่ยนแปลงนโยบาย: เราอาจปรับปรุงนโยบายนี้เป็นครั้งคราวเพื่อสะท้อนการเปลี่ยนแปลงทางกฎหมาย
          เทคโนโลยี หรือการดำเนินธุรกิจ การเปลี่ยนแปลงสำคัญจะแจ้งให้ทราบผ่านอีเมลหรือประกาศในระบบก่อนมีผลบังคับใช้
          อย่างน้อย 30 วัน
        

นโยบายความเป็นส่วนตัวBL TimeFlow