MedSteps
เข้าสู่ระบบ

นโยบายความเป็นส่วนตัว

ปรับปรุงล่าสุด: 19 พฤษภาคม 2569 · สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) พ.ศ. 2562

1. ผู้ควบคุมข้อมูลส่วนบุคคล

MedSteps (“เรา”) เป็นผู้ควบคุมข้อมูลส่วนบุคคลของคุณตามนิยามของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หากมีคำถามหรือต้องการใช้สิทธิ ติดต่อได้ที่ [email protected]

2. ข้อมูลที่เราเก็บรวบรวม

ประเภทข้อมูลรายละเอียด
ข้อมูลบัญชีชื่อ, อีเมล, รหัสผ่าน (เข้ารหัสด้วย bcrypt)
ข้อมูลการเรียนวิชา, เวลาที่ใช้อ่าน, เป้าหมาย, ผลการทำข้อสอบ, โน้ตส่วนตัว
ข้อมูลทางเทคนิคคุกกี้ session (medstep_session), เวลาเข้าใช้งาน, IP address
ข้อมูลที่ไม่ได้เก็บไม่เก็บข้อมูลทางการแพทย์, ข้อมูลทางการเงิน, เบอร์โทร, ที่อยู่

3. วัตถุประสงค์และฐานทางกฎหมาย

  • การให้บริการ — ประมวลผลข้อมูลการเรียนเพื่อแสดงสถิติ แผนการอ่าน และเป้าหมาย (ฐานสัญญา)
  • การยืนยันตัวตน — เก็บอีเมลและรหัสผ่านเพื่อ login (ฐานสัญญา)
  • ความปลอดภัย — ตรวจจับการใช้งานผิดปกติ (ฐานประโยชน์โดยชอบด้วยกฎหมาย)
  • การพัฒนาบริการ — วิเคราะห์ภาพรวมการใช้งานแบบไม่ระบุตัวตน (ฐานประโยชน์โดยชอบด้วยกฎหมาย)

4. ระยะเวลาเก็บรักษา

  • ข้อมูลบัญชี — ตลอดอายุการใช้งาน + 90 วันหลังลบบัญชี
  • ข้อมูลการเรียน — ลบทันทีเมื่อลบบัญชี
  • คุกกี้ session — 30 วัน หรือเมื่อ logout
  • โทเค็น reset password — 1 ชั่วโมง

5. การเปิดเผยข้อมูลกับบุคคลที่สาม

เราไม่ขายหรือให้เช่าข้อมูลของคุณ มีการเปิดเผยเฉพาะกรณีต่อไปนี้:

  • ผู้ให้บริการโครงสร้างพื้นฐาน (Vercel) เพื่อโฮสต์ระบบ
  • เมื่อมีคำสั่งศาลหรือคำสั่งหน่วยงานรัฐที่ชอบด้วยกฎหมาย
  • เพื่อปกป้องสิทธิ ทรัพย์สิน หรือความปลอดภัยของผู้ใช้

6. สิทธิของเจ้าของข้อมูล

ภายใต้ PDPA คุณมีสิทธิดังต่อไปนี้:

  • สิทธิเข้าถึง — ขอสำเนาข้อมูลของคุณ
  • สิทธิแก้ไข — ขอแก้ไขข้อมูลที่ไม่ถูกต้อง
  • สิทธิลบ — ขอลบบัญชีและข้อมูลทั้งหมด
  • สิทธิระงับการใช้ — ขอระงับการประมวลผลชั่วคราว
  • สิทธิโอนย้าย — ขอข้อมูลในรูปแบบที่อ่านได้ด้วยเครื่อง (JSON)
  • สิทธิคัดค้าน — คัดค้านการประมวลผลในบางวัตถุประสงค์
  • สิทธิเพิกถอนความยินยอม — เพิกถอนได้ตลอดเวลา

ขอใช้สิทธิได้ที่ [email protected] เราจะดำเนินการภายใน 30 วัน

7. คุกกี้

เราใช้คุกกี้ medstep_session (HTTP-only, Secure) เพื่อรักษาสถานะ login เท่านั้น ไม่มีคุกกี้สำหรับการติดตามโฆษณาหรือ analytics ของบุคคลที่สาม

8. การคุ้มครองข้อมูลผู้เยาว์

หากผู้ใช้อายุต่ำกว่า 20 ปี ต้องได้รับความยินยอมจากผู้ปกครองก่อนสมัครสมาชิก ผู้ปกครองสามารถขอเข้าถึง แก้ไข หรือลบข้อมูลของบุตรหลานได้ตลอดเวลา

9. มาตรการรักษาความปลอดภัย

  • รหัสผ่านถูกเข้ารหัสด้วย bcrypt ก่อนเก็บลงฐานข้อมูล
  • Session ใช้ JWT ที่เซ็นชื่อด้วย secret key
  • การเชื่อมต่อทั้งหมดผ่าน HTTPS
  • เข้าถึงฐานข้อมูลได้เฉพาะระบบที่ได้รับอนุญาต

10. การเปลี่ยนแปลงนโยบาย

เราอาจปรับปรุงนโยบายนี้เป็นระยะ การเปลี่ยนแปลงสำคัญจะแจ้งทางอีเมลและในแอปอย่างน้อย 7 วันก่อนมีผล