นโยบายความเป็นส่วนตัว
แพลตฟอร์มรางวัลดิจิทัล CY.SEND
สารบัญ
- บทนำ
- ข้อมูลผู้ควบคุมข้อมูล
- ข้อมูลส่วนบุคคลที่เราเก็บรวบรวม
- วิธีที่เราเก็บรวบรวมข้อมูล
- ฐานทางกฎหมายในการประมวลผล
- วิธีที่เราใช้ข้อมูลส่วนบุคคล
- การแบ่งปันและการเปิดเผยข้อมูล
- การโอนข้อมูลระหว่างประเทศ
- การเก็บรักษาข้อมูล
- ความปลอดภัยของข้อมูล
- สิทธิความเป็นส่วนตัวของคุณ
- คุกกี้และการติดตาม
- การประมวลผลอัตโนมัติ
- ความเป็นส่วนตัวของเด็ก
- การเปลี่ยนแปลงนโยบายนี้
- ข้อมูลการติดต่อ
นโยบายที่เกี่ยวข้อง
ข้อกำหนดการใช้เว็บไซต์ - ควบคุมการใช้งานเว็บไซต์โดยทั่วไปของคุณ.
ข้อกำหนดการให้บริการ - ใช้กับลูกค้า B2B ของเรา.
นโยบายคุกกี้ - รายละเอียดการใช้คุกกี้และเทคโนโลยีการติดตามของเรา.
ข้อกำหนดคลับเงินคืน - อธิบายการประมวลผลข้อมูลเฉพาะสำหรับโปรแกรมสะสมคะแนนของเรา.
1. บทนำ
1.1 ความมุ่งมั่นด้านความเป็นส่วนตัวของเรา
CY.TALK SWITZERLAND S.A. ซึ่งดำเนินงานภายใต้แบรนด์ CY.SEND มุ่งมั่นในการปกป้องความเป็นส่วนตัวและข้อมูลส่วนบุคคลของคุณ นโยบายความเป็นส่วนตัวนี้อธิบายวิธีที่เราเก็บรวบรวม ใช้ แบ่งปัน และปกป้องข้อมูลส่วนบุคคลเมื่อคุณใช้แพลตฟอร์มรางวัลดิจิทัลและบริการของเรา
การกำกับดูแลด้านความเป็นส่วนตัวของเราได้รับการรับรองอย่างเป็นทางการตามมาตรฐาน ISO/IEC 27701:2019 ซึ่งเป็นมาตรฐานสากลสำหรับระบบการจัดการข้อมูลความเป็นส่วนตัว (PIMS) การรับรองนี้ออกโดยหน่วยงานรับรองบุคคลที่สามที่ได้รับการรับรอง ยืนยันว่าการควบคุมความเป็นส่วนตัว กระบวนการประมวลผลข้อมูล และกรอบการกำกับดูแลของเราได้รับการตรวจสอบและประเมินอย่างอิสระตามแนวปฏิบัติที่ดีที่สุดระดับสากลสำหรับการจัดการข้อมูลส่วนบุคคล (PII) ISO 27701:2019 ขยายระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ของเราให้มีชั้นความเป็นส่วนตัวครอบคลุมบทบาท PII Controller และ PII Processor
1.2 กรอบกฎหมาย
การประมวลผลข้อมูลของเราปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง รวมถึงกฎหมายคุ้มครองข้อมูลของสวิตเซอร์แลนด์ (FADP) และกฎระเบียบคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (GDPR) ตามที่เกี่ยวข้อง
การรับรอง ISO 27701:2019 ของเรามอบกรอบการทำงานที่มีโครงสร้างและสามารถตรวจสอบได้ ซึ่งช่วยให้การปฏิบัติตามข้อกำหนดเหล่านี้เป็นไปอย่างเป็นระบบ และสนับสนุนความสอดคล้องกับกฎหมายความเป็นส่วนตัวระหว่างประเทศอื่น ๆ รวมถึง LGPD ของบราซิล POPIA ของแอฟริกาใต้ และหลักการความเป็นส่วนตัวของออสเตรเลีย
2. ข้อมูลผู้ควบคุมข้อมูล
ผู้ควบคุมข้อมูล
3. ข้อมูลส่วนบุคคลที่เราเก็บรวบรวม
3.1 ข้อมูลบัญชี
ผู้ใช้งานทั่วไป: ชื่อ, ที่อยู่อีเมล, หมายเลขโทรศัพท์, ประเทศที่พำนัก, วันเดือนปีเกิด และข้อมูลรับรองบัญชี
ลูกค้าธุรกิจ: ชื่อบริษัท, รายละเอียดการจดทะเบียนธุรกิจ, เลขประจำตัวผู้เสียภาษี, ที่อยู่ทางธุรกิจ, ข้อมูลตัวแทนผู้มีอำนาจ และข้อมูลรับรองบัญชีองค์กร
3.2 ข้อมูลการทำธุรกรรม
- ข้อมูลการชำระเงิน (ประมวลผลอย่างปลอดภัยผ่านผู้ให้บริการชำระเงินบุคคลที่สาม)
- ประวัติการซื้อและบันทึกการทำธุรกรรม
- รายละเอียดคำสั่งซื้อและข้อมูลสินค้า
- ยอดคงเหลือในบัญชีและข้อมูลการเรียกเก็บเงิน
3.3 ข้อมูลทางเทคนิค
- ที่อยู่ IP และข้อมูลอุปกรณ์
- ประเภทและเวอร์ชันของเบราว์เซอร์
- รูปแบบการใช้งานและการโต้ตอบกับเว็บไซต์
- บันทึกการใช้งาน API และข้อมูลประสิทธิภาพของระบบ
4. วิธีที่เราเก็บรวบรวมข้อมูล
4.1 การเก็บรวบรวมโดยตรง
ข้อมูลที่คุณให้เมื่อสร้างบัญชี ข้อมูลที่ส่งผ่านแบบฟอร์มและการสื่อสาร เอกสารที่อัปโหลดเพื่อวัตถุประสงค์ในการตรวจสอบ และการตั้งค่าที่คุณกำหนดไว้
4.2 การเก็บรวบรวมอัตโนมัติ
ข้อมูลการใช้งานเว็บไซต์ผ่านคุกกี้และการวิเคราะห์ บันทึกการใช้งาน API และการโต้ตอบของระบบ ระบบตรวจสอบความปลอดภัยและการตรวจจับการฉ้อโกง และการติดตามประสิทธิภาพ
4.3 แหล่งข้อมูลบุคคลที่สาม
ผู้ให้บริการประมวลผลการชำระเงินเพื่อยืนยันการทำธุรกรรม บริการตรวจสอบตัวตนเพื่อความสอดคล้องกับกฎระเบียบ ฐานข้อมูลทางธุรกิจสำหรับข้อมูลบริษัท และผู้ออกผลิตภัณฑ์เพื่อยืนยันการจัดส่ง
5. ฐานทางกฎหมายในการประมวลผล
5.1 การปฏิบัติตามสัญญา
เราประมวลผลข้อมูลส่วนบุคคลเพื่อส่งมอบบริการของเรา จัดการบัญชี ประมวลผลการทำธุรกรรม และปฏิบัติตามภาระผูกพันตามสัญญาต่อลูกค้า
5.2 การปฏิบัติตามกฎหมาย
เราประมวลผลข้อมูลเพื่อปฏิบัติตามภาระผูกพันทางกฎหมาย รวมถึงข้อบังคับการป้องกันการฟอกเงิน ข้อกำหนดทางภาษี และการรายงานต่อหน่วยงานกำกับดูแล
5.3 ผลประโยชน์โดยชอบด้วยกฎหมาย
เราประมวลผลข้อมูลเพื่อวัตถุประสงค์ทางธุรกิจที่ชอบด้วยกฎหมาย รวมถึงการป้องกันการฉ้อโกง การปรับปรุงบริการ การตรวจสอบความปลอดภัย และการจัดการความสัมพันธ์กับลูกค้า
5.4 ความยินยอม
เราขอความยินยอมเพื่อการสื่อสารทางการตลาด คุณลักษณะเสริม และกิจกรรมการประมวลผลข้อมูลบางอย่างตามที่กฎหมายกำหนด
6. วิธีที่เราใช้ข้อมูลส่วนบุคคล
6.1 การให้บริการ
การสร้างและจัดการบัญชีผู้ใช้ การประมวลผลคำสั่งซื้อและส่งมอบผลิตภัณฑ์ดิจิทัล การให้ความช่วยเหลือลูกค้าและฝ่ายสนับสนุนทางเทคนิค และการจัดการกระบวนการชำระเงินและเรียกเก็บเงิน
6.2 การดำเนินธุรกิจ
วิเคราะห์รูปแบบการใช้งานเพื่อปรับปรุงบริการ ดำเนินการตรวจจับและป้องกันการฉ้อโกง รักษาความปลอดภัยและความสมบูรณ์ของระบบ และจัดการความสัมพันธ์ทางธุรกิจ
6.3 กิจกรรมการปฏิบัติตามกฎระเบียบ
ตรวจสอบตัวตนลูกค้า (ขั้นตอน KYC) ตรวจสอบความสอดคล้องตามกฎหมายป้องกันการฟอกเงิน ตรวจสอบบัญชีรายชื่อผู้ถูกคว่ำบาตร และจัดทำบันทึกตามข้อกำหนดทางกฎหมาย
7. การแบ่งปันและการเปิดเผยข้อมูล
7.1 พันธมิตรบริการและผู้ประมวลผลข้อมูล
เราแบ่งปันข้อมูลกับพันธมิตรและผู้ประมวลผลบุคคลที่สามที่เชื่อถือได้ ซึ่งช่วยให้บริการของเรา ซึ่งรวมถึง:
- ผู้ประมวลผลการชำระเงิน: เราใช้ Stripe, PayPal, Neteller, Skrill และธนาคาร
- การยืนยันตัวตน: เราใช้ Shufti Pro (shufti.com)
- ผู้ให้บริการสินค้า: เราอาจแบ่งปันข้อมูลติดต่อกับผู้ให้บริการ
- ความปลอดภัยและป้องกันการฉ้อโกง: ใช้ Cloudflare Turnstile และ MaxMind
- การวิเคราะห์: ใช้ Google Analytics (GA4), Cloudflare และ Sentry
- การยืนยันที่อยู่: ใช้ Google Address Autocomplete
7.2 ข้อกำหนดทางกฎหมาย
เราอาจเปิดเผยข้อมูลตามที่กฎหมายกำหนดต่อหน่วยงานกำกับดูแล หน่วยงานบังคับใช้กฎหมายที่มีคำร้องขอทางกฎหมายที่ถูกต้อง ศาลและกระบวนการทางกฎหมาย และในสถานการณ์ฉุกเฉินเพื่อป้องกันอันตราย
8. การโอนข้อมูลระหว่างประเทศ
8.1 การประมวลผลข้ามพรมแดน
เราอาจโอนข้อมูลส่วนบุคคลระหว่างประเทศเพื่อให้การบริการทั่วโลกของเราเป็นไปได้อย่างราบรื่น มั่นใจในความน่าเชื่อถือของระบบ และสนับสนุนการดำเนินธุรกิจ
8.2 มาตรการคุ้มครองการโอนข้อมูล
การโอนข้อมูลระหว่างประเทศได้รับการคุ้มครองโดยการตัดสินใจเรื่องความเพียงพอของคณะกรรมาธิการยุโรป ข้อสัญญามาตรฐาน (SCCs) มาตรการทางเทคนิคและองค์กรที่เหมาะสม และการประเมินระดับการคุ้มครองอย่างสม่ำเสมอ
9. การเก็บรักษาข้อมูล
9.1 ระยะเวลาการเก็บรักษา
| ประเภทข้อมูล | ระยะเวลาการเก็บรักษา |
|---|---|
| ข้อมูลบัญชี | ระหว่างความสัมพันธ์กับลูกค้า + 7 ปีหลังจากปิดบัญชี |
| บันทึกการทำธุรกรรม | 10 ปีเพื่อวัตถุประสงค์ในการปฏิบัติตามกฎหมาย |
| การสื่อสารฝ่ายสนับสนุน | 3 ปีเพื่อคุณภาพการบริการ |
| บันทึกทางเทคนิค | โดยปกติคือ 1 ปี |
| ข้อมูลการตลาด | จนกว่าจะถอนความยินยอมหรือไม่มีการเคลื่อนไหวเป็นเวลา 3 ปี |
10. ความปลอดภัยของข้อมูลและการกำกับดูแลความเป็นส่วนตัว
10.1 การรับรอง ISO/IEC 27701:2019
CY.TALK SWITZERLAND S.A. ได้รับการรับรอง ISO/IEC 27701:2019 สำหรับระบบการจัดการข้อมูลความเป็นส่วนตัว (PIMS) การรับรองนี้เป็นส่วนขยายของระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001 (ISMS) และยืนยันว่าเราได้ดำเนินกรอบการจัดการข้อมูลส่วนบุคคล (PII) อย่างครบถ้วนและผ่านการตรวจสอบอย่างอิสระ
การรับรองครอบคลุมบทบาทของเราในฐานะ PII Controller (กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูล) และ PII Processor (ประมวลผลข้อมูลแทนลูกค้า) องค์ประกอบสำคัญของ PIMS ที่ได้รับการรับรอง ได้แก่:
- นโยบาย ขั้นตอน และการควบคุมด้านความเป็นส่วนตัวที่จัดทำเป็นเอกสารตามภาคผนวก A และ B ของ ISO 27701:2019
- กระบวนการประเมินและจัดการความเสี่ยงด้านความเป็นส่วนตัวที่รวมเข้ากับการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
- หลักการ Privacy by Design และ Privacy by Default ที่ฝังอยู่ในกระบวนการพัฒนาระบบ
- กระบวนการจัดการสิทธิของเจ้าของข้อมูลที่มีกรอบเวลาการตอบสนองชัดเจน
- ข้อตกลงการประมวลผลข้อมูลและการตรวจสอบบุคคลที่สามที่เป็นเอกสาร
- วงจรการปรับปรุงอย่างต่อเนื่อง (Plan-Do-Check-Act)
- การตรวจสอบประจำปีและการรับรองใหม่ทุก 3 ปีโดยหน่วยงานรับรองที่ได้รับการยอมรับ
10.2 มาตรการรักษาความปลอดภัยทางเทคนิคและองค์กร
เราดำเนินมาตรการรักษาความปลอดภัยที่ครอบคลุมรวมถึง:
- การเข้ารหัสข้อมูลขณะส่ง (TLS 1.2+) และขณะจัดเก็บ (AES-256)
- การยืนยันตัวตนหลายปัจจัยสำหรับการเข้าถึงบัญชี
- การประเมินความปลอดภัยและการทดสอบการเจาะระบบอย่างสม่ำเสมอ
- การฝึกอบรมพนักงานด้านการคุ้มครองข้อมูล
- ขั้นตอนการตอบสนองต่อเหตุการณ์และการแจ้งเตือนการละเมิด
- ข้อมูลถูกจัดเก็บเฉพาะในประเทศสวิตเซอร์แลนด์ในศูนย์ข้อมูลส่วนตัวระดับ Tier 3 โดยไม่ใช้คลาวด์สาธารณะภายนอก
11. สิทธิความเป็นส่วนตัวของคุณ
การเข้าถึง
สิทธิในการเข้าถึงข้อมูลส่วนบุคคลของคุณ
การแก้ไข
สิทธิในการแก้ไขข้อมูลที่ไม่ถูกต้อง
การลบ
สิทธิในการขอให้ลบข้อมูล
ข้อจำกัด
สิทธิในการระงับการประมวลผล
ความสามารถในการพกพา
สิทธิในการโอนย้ายข้อมูล
การคัดค้าน
สิทธิในการคัดค้านการประมวลผล
11.1 การใช้สิทธิ
เพื่อใช้สิทธิของคุณ กรุณาติดต่อเราผ่าน หน้าติดต่อ เราจะตรวจสอบตัวตนของคุณและตอบกลับภายในระยะเวลาที่กฎหมายกำหนด
ระบบ PIMS ที่ได้รับการรับรอง ISO 27701:2019 ของเรามีขั้นตอนการจัดการคำขอของเจ้าของข้อมูลที่เป็นเอกสาร เพื่อให้การตอบสนองสม่ำเสมอ ตรวจสอบได้ และทันเวลา
12. คุกกี้และการติดตาม
สำหรับข้อมูลโดยละเอียดเกี่ยวกับคุกกี้และเทคโนโลยีการติดตามที่เราใช้ โปรดดูในส่วนแยกต่างหาก นโยบายคุกกี้.
12.1 ประเภทของคุกกี้
- คุกกี้ที่จำเป็น: จำเป็นสำหรับการทำงานของเว็บไซต์
- คุกกี้เพื่อการวิเคราะห์: เพื่อทำความเข้าใจการใช้งานเว็บไซต์
- คุกกี้เพื่อการใช้งาน: เพื่อจดจำการตั้งค่า
- คุกกี้เพื่อการตลาด: เพื่อวัตถุประสงค์ในการโฆษณา (ต้องได้รับความยินยอม)
13. การประมวลผลอัตโนมัติ
13.1 ระบบอัตโนมัติ
เราใช้ระบบอัตโนมัติเพื่อการตรวจจับการฉ้อโกงและการประเมินความเสี่ยง การประมวลผลและการอนุมัติธุรกรรม การกำหนดเส้นทางการบริการลูกค้า และการตรวจสอบความปลอดภัย
13.2 AI และการเรียนรู้ของเครื่อง
เราอาจใช้เทคโนโลยีปัญญาประดิษฐ์และการเรียนรู้ของเครื่องเพื่อวิเคราะห์รูปแบบการทำธุรกรรมเพื่อป้องกันการฉ้อโกง ปรับปรุงการบริการลูกค้า เพิ่มความปลอดภัยของแพลตฟอร์ม และให้คำแนะนำที่ปรับให้เหมาะสมกับบุคคล
13.3 สิทธิของคุณ
คุณมีสิทธิที่จะได้รับข้อมูลเกี่ยวกับการตัดสินใจอัตโนมัติ ขอให้มีการตรวจสอบโดยมนุษย์ต่อการตัดสินใจอัตโนมัติ และคัดค้านการประมวลผลอัตโนมัติบางประเภท
14. ความเป็นส่วนตัวของเด็ก
บริการของเรามีไว้สำหรับผู้ใช้ที่มีอายุ 18 ปีขึ้นไป เราไม่รวบรวมข้อมูลส่วนบุคคลจากเด็กอายุต่ำกว่า 18 ปีโดยเจตนาหากไม่ได้รับความยินยอมจากผู้ปกครอง หากเราทราบว่าเราได้เก็บรวบรวมข้อมูลจากเด็กโดยไม่ได้รับความยินยอมที่เหมาะสม เราจะดำเนินการลบข้อมูลดังกล่าวโดยทันที
15. การเปลี่ยนแปลงนโยบายนี้
เราอาจอัปเดตนโยบายความเป็นส่วนตัวนี้เพื่อสะท้อนถึงการเปลี่ยนแปลงในแนวทางปฏิบัติ เทคโนโลยี หรือข้อกำหนดทางกฎหมายของเรา การเปลี่ยนแปลงที่สำคัญจะสื่อสารผ่านแพลตฟอร์มของเราหรือทางอีเมล การใช้งานบริการของเราต่อไปหลังจากการอัปเดตนโยบายถือว่าคุณยอมรับนโยบายที่แก้ไขแล้ว
16. ข้อมูลการติดต่อ
สอบถามข้อมูลความเป็นส่วนตัว
สำหรับข้อสงสัยทั้งหมด รวมถึงการสนับสนุนลูกค้า การสอบถามทางธุรกิจ เรื่องทางกฎหมาย และคำขอเกี่ยวกับการคุ้มครองข้อมูล กรุณาเยี่ยมชมหน้า ติดต่อเรา ของเรา
เวลาในการตอบกลับ: เราตอบกลับภายใน 5 วันทำการ
16.1 การร้องเรียนต่อหน่วยงานกำกับดูแล
คุณสามารถยื่นเรื่องร้องเรียนต่อหน่วยงานคุ้มครองข้อมูลที่เกี่ยวข้อง:
- สวิตเซอร์แลนด์: คณะกรรมาธิการคุ้มครองข้อมูลและข้อมูลข่าวสารของสมาพันธรัฐสวิส (FDPIC)
- สหภาพยุโรป: หน่วยงานคุ้มครองข้อมูลในพื้นที่ของคุณ