ข้อ 1

ประกาศนี้เรียกว่า “ประกาศบริษัท จอมธนา จำกัด (อีลี่ กรุ๊ป ไทยแลนด์) เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลสำหรับเว็บไซต์ครีโม (www.icecremo.com) พ.ศ. 2568”

ข้อ 2

ประกาศนี้ให้ใช้บังคับตั้งแต่วันที่ประกาศเป็นต้นไป

ข้อ 3

บทนิยาม

“บริษัทฯ” หมายความว่า บริษัท จอมธนา จำกัด (อีลี่ กรุ๊ป ไทยแลนด์)

“เว็บไซต์” หมายความว่า เว็บไซต์ครีโม www.icecremo.com

“บุคลากรของบริษัทฯ” หมายความว่า พนักงาน ลูกจ้าง ผู้รับเหมา ที่ปรึกษา และผู้ให้บริการภายนอกของบริษัทฯ ที่มีการเข้าถึงหรือประมวลผลข้อมูลส่วนบุคคลที่เก็บรวบรวมผ่านเว็บไซต์

“ความมั่นคงปลอดภัย” หมายความว่า การธำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ



“ข้อมูลส่วนบุคคลประเภทอ่อนไหว” หมายความว่า ข้อมูลตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เช่น เชื้อชาติ ศาสนา ข้อมูลสุขภาพ เป็นต้น

ข้อ 4

บุคลากรของบริษัทฯ ที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลผ่านเว็บไซต์ ต้องตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ และประกาศนี้อย่างเคร่งครัด

หมวด 1 มาตรการทั่วไป

ข้อ 5

บริษัทฯ ได้จัดทำมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลสำหรับเว็บไซต์ ซึ่งแบ่งออกเป็นมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) โดยคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการณ์ละเมิดข้อมูลส่วนบุคคล

ข้อ 6

มาตรการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ครอบคลุมการดำเนินการดังต่อไปนี้

• การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคล
• การกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลตามระดับหน้าที่ความรับผิดชอบ (Need-to-Know Basis และ Principle of Least Privilege)
• การบริหารจัดการการเข้าถึงของผู้ใช้งาน (User Access Management) เฉพาะผู้ที่ได้รับอนุญาตเท่านั้น
• การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งานเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
• การจัดให้มีระบบตรวจสอบย้อนหลัง (Audit Trails) สำหรับการเข้าถึง เปลี่ยนแปลง ลบ หรือโอนถ่ายข้อมูลส่วนบุคคล
  

ข้อ 7

ข้อมูลจากการสมัครแฟรนไชส์

บริษัทฯ จะดำเนินการดังต่อไปนี้สำหรับข้อมูลส่วนบุคคลที่ได้รับจากแบบฟอร์มสมัครแฟรนไชส์:

• ข้อมูลจะถูกส่งผ่านช่องทางที่ปลอดภัย (HTTPS/TLS Encryption) จากเว็บไซต์ไปยังเซิร์ฟเวอร์ของบริษัทฯ โดยตรง
• การเข้าถึงข้อมูลการสมัครแฟรนไชส์จะจำกัดเฉพาะบุคลากรในฝ่ายพัฒนาธุรกิจ ฝ่ายกฎหมาย และฝ่ายที่เกี่ยวข้องตามความจำเป็นเท่านั้น
• ข้อมูลที่มีความอ่อนไหว เช่น ข้อมูลทางการเงิน (ถ้ามี) จะถูกจัดเก็บในรูปแบบที่เข้ารหัส (Encrypted) ทั้งขณะจัดเก็บและขณะส่งผ่านระบบ
• บริษัทฯ จะเก็บรักษาข้อมูลการสมัครแฟรนไชส์เป็นระยะเวลา 1 ปี นับจากวันที่ส่งใบสมัคร เว้นแต่:
• กรณีที่ได้รับการตอบรับเป็นแฟรนไชส์ ข้อมูลจะถูกเก็บตามอายุของสัญญาแฟรนไชส์
• กรณีที่กฎหมายกำหนดให้เก็บไว้นานกว่านั้น
• กรณีที่ผู้สมัครร้องขอให้ลบข้อมูลก่อนกำหนด
• เมื่อพ้นกำหนดระยะเวลาเก็บรักษาหรือเมื่อผู้สมัครถอนความยินยอม ข้อมูลจะถูกลบหรือทำให้ไม่สามารถระบุตัวตนได้ (Anonymization) ภายใน 30 วัน
  

ข้อ 8

ข้อมูลสมาชิก (Membership Data)
บริษัทฯ จะดำเนินการดังต่อไปนี้สำหรับข้อมูลส่วนบุคคลที่ได้รับจากการลงทะเบียนสมาชิก:

• รหัสผ่านของสมาชิกจะถูกจัดเก็บในรูปแบบ Hashing (ไม่สามารถถอดรหัสกลับได้) โดยใช้มาตรฐานการเข้ารหัสที่เป็นที่ยอมรับ (เช่น bcrypt, Argon2)
• สมาชิกสามารถเข้าถึง แก้ไข หรือลบบัญชีของตนเองได้ผ่านฟังก์ชันในเว็บไซต์
• บริษัทฯ จะเก็บรักษาข้อมูลสมาชิกไว้ตราบเท่าที่บัญชีสมาชิกยังคงมีสถานะเปิดใช้งานอยู่
• เมื่อสมาชิกลบบัญชีหรือขอถอนความยินยอม ข้อมูลส่วนบุคคลจะถูกลบหรือทำให้ไม่สามารถระบุตัวตนได้ภายใน 30 วัน
• บริษัทฯ จะไม่นำข้อมูลสมาชิกไปใช้เพื่อวัตถุประสงค์อื่นนอกเหนือจากที่แจ้งไว้ในนโยบายการคุ้มครองข้อมูลส่วนบุคคล
  

ข้อ 9

ข้อมูลจากการสอบถามหรือติดต่อ (Inquiry/Contact Data)
บริษัทฯ จะดำเนินการดังต่อไปนี้สำหรับข้อมูลส่วนบุคคลที่ได้รับจากแบบฟอร์มติดต่อ:

• ข้อมูลจะถูกส่งต่อไปยังแผนกที่เกี่ยวข้องภายใน 3 วันทำการ
• ข้อมูลจะถูกเก็บรักษาไว้เป็นระยะเวลา 1 ปี นับจากวันที่ส่งข้อสอบถาม
• การตอบสนองต่อข้อสอบถามจะกระทำผ่านช่องทางที่ปลอดภัย (เช่น อีเมลของบริษัทฯ)
• เมื่อพ้นกำหนดระยะเวลาเก็บรักษา ข้อมูลจะถูกลบหรือทำให้ไม่สามารถระบุตัวตนได้
  

ข้อ 10

ข้อมูลทางเทคนิคและข้อมูลจากคุกกี้ (Technical & Cookie Data)
บริษัทฯ จะดำเนินการดังต่อไปนี้สำหรับข้อมูลที่เก็บรวบรวมผ่านคุกกี้และ Google Ads:

• ข้อมูลที่เก็บรวบรวมจะไม่สามารถระบุตัวตนของสมาชิกหรือผู้สมัครแฟรนไชส์ได้โดยตรง (Non-Identifiable)
• ข้อมูลจะถูกส่งไปยัง Google และผู้ให้บริการบุคคลที่สามภายใต้ข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement) ที่มีมาตรการคุ้มครองที่เหมาะสม
• ผู้ใช้งานเว็บไซต์สามารถปิดการใช้งานคุกกี้เพื่อการตลาดได้ตามขั้นตอนในนโยบายคุกกี้
• บริษัทฯ จะจัดให้มีกลไกขอความยินยอม (Consent Mechanism) ก่อนมีการเก็บรวบรวมข้อมูลผ่านคุกกี้เพื่อการตลาด
  

ข้อ 11

บริษัทฯ จะดำเนินการตามมาตรการทางเทคนิคดังต่อไปนี้:

• การเข้ารหัสข้อมูลระหว่างการส่ง (Encryption in Transit): ใช้ TLS (Transport Layer Security) เวอร์ชัน 1.2 หรือสูงกว่าสำหรับการเชื่อมต่อทั้งหมดระหว่างผู้ใช้งานและเว็บไซต์ (HTTPS)
• การเข้ารหัสข้อมูลขณะจัดเก็บ (Encryption at Rest): ข้อมูลส่วนบุคคลที่สำคัญ (เช่น ข้อมูลแฟรนไชส์) จะถูกเข้ารหัสขณะจัดเก็บบนเซิร์ฟเวอร์
• การป้องกันระบบ: ติดตั้ง Firewall, Intrusion Detection System (IDS) และระบบป้องกันมัลแวร์สำหรับเว็บไซต์
• การอัปเดตระบบ: ซอฟต์แวร์เว็บไซต์ ปลั๊กอิน และระบบปฏิบัติการที่เกี่ยวข้องจะได้รับการอัปเดตตามความจำเป็นหรือเมื่อพบช่องโหว่ด้านความปลอดภัย
• การสำรองข้อมูล: จัดให้มีการสำรองข้อมูลส่วนบุคคลเป็นระยะ พร้อมทั้งมีแผนการกู้คืนข้อมูลในกรณีเกิดเหตุฉุกเฉิน
• การควบคุมการเข้าถึงระบบหลังบ้าน (Admin Access Control): ใช้การพิสูจน์ตัวตนแบบหลายปัจจัย (Multi-Factor Authentication - MFA) สำหรับการเข้าถึงระบบบริหารจัดการเว็บไซต์
• การทดสอบความปลอดภัย: ดำเนินการทดสอบความปลอดภัยของเว็บไซต์ (เช่น Vulnerability Scan, Penetration Test) อย่างน้อยปีละ 1 ครั้ง
  

ข้อ 12

บริษัทฯ จะดำเนินการตามมาตรการด้านบุคลากรดังต่อไปนี้:

• กำหนดให้บุคลากรที่เกี่ยวข้องกับข้อมูลส่วนบุคคลผ่านเว็บไซต์เข้ารับการฝึกอบรมเรื่องการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยอย่างน้อยปีละ 1 ครั้ง
• จัดให้มีนโยบายการกำหนดสิทธิการเข้าถึงข้อมูล (Access Control Policy) โดยจะทบทวนสิทธิการเข้าถึงของบุคลากรทุกครั้งเมื่อมีการเปลี่ยนแปลงหน้าที่ หรืออย่างน้อยปีละ 1 ครั้ง
• กำหนดให้บุคลากรทุกคนลงนามในข้อตกลงการรักษาความลับ (Confidentiality Agreement)
• จัดให้มีระบบการบันทึกและติดตามการเข้าถึงข้อมูลส่วนบุคคล (Logging & Monitoring) เพื่อให้สามารถตรวจสอบย้อนหลังได้
  

ข้อ 13

บริษัทฯ จะดำเนินการดังต่อไปนี้สำหรับผู้ให้บริการบุคคลที่สามที่มีการประมวลผลข้อมูลส่วนบุคคล:

• จัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement - DPA) กับผู้ให้บริการทุกราย ซึ่งต้องมีข้อกำหนดเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
• ผู้ให้บริการรายสำคัญสำหรับเว็บไซต์นี้ ได้แก่:
• ผู้ให้บริการโฮสติ้งและเซิร์ฟเวอร์
• Google (Google Analytics และ Google Ads)
• ผู้ให้บริการระบบอีเมล (ถ้ามี)
• กำหนดให้ผู้ให้บริการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลแก่บริษัทฯ โดยทันทีเมื่อทราบเหตุการณ์
• ทบทวนมาตรการรักษาความมั่นคงปลอดภัยของผู้ให้บริการเป็นประจำ
  

ข้อ 14

เมื่อเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเว็บไซต์ บริษัทฯ จะดำเนินการดังต่อไปนี้:

• การระงับเหตุการณ์เบื้องต้น: แยกส่วนที่ได้รับผลกระทบ ปิดการเข้าถึงระบบหากจำเป็น เพื่อจำกัดขอบเขตของเหตุการณ์
• การสอบสวน: ระบุสาเหตุ ขอบเขต และข้อมูลส่วนบุคคลที่ได้รับผลกระทบ โดยทีมสอบสวนที่ได้รับการแต่งตั้ง
• การแจ้งหน่วยงาน: แจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ภายใน 72 ชั่วโมง นับแต่ทราบเหตุการณ์ (เว้นแต่การละเมิดไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล)
• การแจ้งเจ้าของข้อมูล: แจ้งเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบทราบ หากการละเมิดก่อให้เกิดความเสี่ยงสูงต่อสิทธิและเสรีภาพของบุคคล โดยระบุลักษณะของเหตุการณ์และแนวทางปฏิบัติที่ควรดำเนินการ
• การป้องกันการเกิดซ้ำ: ทบทวนและปรับปรุงมาตรการรักษาความมั่นคงปลอดภัยเพื่อป้องกันการเกิดเหตุการณ์ซ้ำ
• การบันทึกเหตุการณ์: บันทึกเหตุการณ์ละเมิดข้อมูลส่วนบุคคล รวมถึงข้อเท็จจริง เหตุผล ผลกระทบ และมาตรการที่ดำเนินการ
  

ข้อ 15

บริษัทฯ จะทบทวนมาตรการรักษาความมั่นคงปลอดภัยที่กำหนดไว้ในประกาศนี้ในกรณีดังต่อไปนี้:

• เมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป
• เมื่อเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคล (เว้นแต่เหตุการณ์ดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล)
• อย่างน้อยปีละ 1 ครั้ง

การทบทวนจะคำนึงถึงระดับความเสี่ยง ปัจจัยทางเทคโนโลยี บริบท สภาพแวดล้อม มาตรฐานที่เป็นที่ยอมรับ และกฎหมายที่เกี่ยวข้อง

ข้อ 16

บริษัทฯ จะจัดทำและเก็บรักษาบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities - ROPA) สำหรับเว็บไซต์ ซึ่งอย่างน้อยต้องประกอบด้วย:

• ชื่อและรายละเอียดการติดต่อของบริษัทฯ ในฐานะผู้ควบคุมข้อมูล
• วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลแต่ละประเภท
• ประเภทของข้อมูลส่วนบุคคลและประเภทของเจ้าของข้อมูล
• ประเภทของผู้รับข้อมูลส่วนบุคคล (รวมถึงผู้รับในต่างประเทศ)
• ระยะเวลาในการเก็บรักษาข้อมูล
• มาตรการรักษาความมั่นคงปลอดภัยที่ใช้
  

ข้อ 17

บริษัทฯ อาจประกาศแนวปฏิบัติเพื่อกำหนดรายละเอียดเพิ่มเติมในการปฏิบัติตามมาตรการรักษาความมั่นคงปลอดภัยที่กำหนดไว้ในประกาศนี้

ข้อ 18

หากข้อกำหนดใดในประกาศนี้ขัดแย้งกับกฎหมายที่ใช้บังคับ ให้เป็นไปตามกฎหมายดังกล่าว

**ประกาศ ณ วันที่ 1 เมษายน พ.ศ. 2568**