นโยบายความเป็นส่วนตัว
บริษัท ไซโตออโรร่า ไบโอเทคโนโลยี (ประเทศไทย) จำกัด ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ ลูกค้า และผู้เยี่ยมชมเว็บไซต์ โดยนโยบายฉบับนี้จัดทำขึ้นเพื่ออธิบายถึงวัตถุประสงค์ วิธีการ และแนวทางในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล” หรือ “PDPA”)

ขอบเขตการใช้
นโยบายความเป็นส่วนตัวฉบับนี้ ใช้กับข้อมูลส่วนบุคคลที่บริษัท ไซโตออโรร่า ไบโอเทคโนโลยี (ประเทศไทย) จำกัด ได้รับจากการใช้งานหรือการติดต่อผ่านช่องทางต่าง ๆ ได้แก่
การใช้งานเว็บไซต์ของบริษัทฯ เช่น การเยี่ยมชม การลงทะเบียน หรือการใช้บริการออนไลน์ ซึ่งอาจมีการเก็บข้อมูลอัตโนมัติ เช่น หมายเลข IP หรือคุกกี้ เพื่อปรับปรุงประสบการณ์การใช้งาน
การกรอกแบบฟอร์มออนไลน์ เช่น แบบฟอร์มนัดหมาย สมัครรับข่าวสาร หรือแบบสอบถาม ซึ่งอาจขอข้อมูลจำเป็น เช่น ชื่อ เบอร์โทรศัพท์ หรืออีเมล เพื่อให้บริการได้อย่างเหมาะสม
การติดต่อสื่อสารกับบริษัทฯ ผ่านโทรศัพท์ อีเมล หรือสื่อสังคมออนไลน์ โดยข้อมูลที่ได้รับจะใช้เพื่อให้บริการ ตอบคำถาม หรือดำเนินการตามคำขอของคุณ
บริษัทฯ จะเก็บ ใช้ และปกป้องข้อมูลส่วนบุคคลของคุณตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และมาตรการรักษาความปลอดภัยที่เข้มงวด เพื่อให้มั่นใจว่าข้อมูลของคุณได้รับการดูแลอย่างเหมาะสม

ประเภทของข้อมูลที่เราเก็บรวบรวม
เราจะเก็บรวบรวมเฉพาะข้อมูลที่จำเป็นต่อการให้บริการและการปฏิบัติงาน โดยอาจรวมถึง
ข้อมูลระบุตัวบุคคล
ชื่อ นามสกุล วันเดือนปีเกิด เพศ
ที่อยู่ ที่อยู่อีเมล และหมายเลขโทรศัพท์
หมายเลขบัตรประชาชนหรือเลขหนังสือเดินทาง (เมื่อจำเป็น)
ข้อมูลสุขภาพและการรักษา (ข้อมูลอ่อนไหว)
ประวัติสุขภาพ การวินิจฉัย ผลการตรวจทางห้องปฏิบัติการ ผลการตรวจทางพันธุศาสตร์ (กรณีที่มี)
ข้อมูลการรักษา ยา และบันทึกการพบแพทย์
ข้อมูลการชำระเงิน
ข้อมูลการเรียกเก็บเงิน ใบเสร็จ และข้อมูลการชำระเงิน (บางส่วนอาจส่งต่อให้ผู้ให้บริการระบบชำระเงิน)
ข้อมูลการเยี่ยมชมเว็บไซต์และเทคนิค
ข้อมูลการเข้าใช้งานเว็บไซต์ เช่น IP address, ประเภทเบราว์เซอร์, คุกกี้, พฤติกรรมการใช้งาน (เพื่อปรับปรุงบริการ)
บริษัทฯ จะเก็บข้อมูลเฉพาะเท่าที่จำเป็นตามวัตถุประสงค์ที่ชัดเจน และจะไม่ใช้ข้อมูลเพื่อวัตถุประสงค์อื่นนอกเหนือจากที่ได้แจ้งไว้ เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูล

วัตถุประสงค์ในการใช้ข้อมูล
เราจะใช้ข้อมูลเพื่อวัตถุประสงค์ที่ชัดเจน ดังต่อไปนี้:
การให้บริการตรวจวินิจฉัยและการรักษาให้ผู้ป่วย
การจัดการนัดหมาย การออกใบเสร็จ และการเรียกเก็บเงิน
การสื่อสาร แจ้งเตือนข้อมูลสำคัญเกี่ยวกับการรักษา ผลการตรวจ หรือนัดหมาย
ปรับปรุงคุณภาพการให้บริการ วิจัยและพัฒนาภายใน (โดยไม่เปิดเผยตัวตนเมื่อใช้เพื่อการวิเคราะห์เชิงสถิติ)
ปฏิบัติตามข้อกฎหมาย กฎระเบียบ หรือคำสั่งของหน่วยงานรัฐ
การทำการตลาดตรง (เมื่อได้รับความยินยอมจากท่าน) เช่น ข่าวสาร โปรโมชั่น และกิจกรรมของคลินิก

พื้นฐานทางกฎหมายสำหรับการประมวลผล
การประมวลผลข้อมูลของเรามีฐานทางกฎหมายอย่างน้อยหนึ่งข้อ ดังนี้:
การยินยอมของเจ้าของข้อมูล (Consent) — สำหรับการตลาดหรือการประมวลผลที่ไม่จำเป็นต่อการให้บริการ
การปฏิบัติตามสัญญาหรือการกระทำก่อนสัญญา — เช่น การรักษาและการนัดหมาย
ภาระหน้าที่ตามกฎหมาย — เพื่อปฏิบัติตามข้อกำหนดทางกฎหมายและข้อกำกับดูแล
ประโยชน์ที่ชอบด้วยเหตุผลของผู้ควบคุมข้อมูล — เช่น การป้องกันการฉ้อโกง หรือความปลอดภัยของระบบ

การเปิดเผยข้อมูลแก่บุคคลภายนอก
บริษัทอาจเปิดเผยข้อมูลต่อ
ผู้ให้บริการเทคโนโลยีสารสนเทศ (เช่น ผู้ให้บริการระบบคลาวด์ ผู้ดูแลระบบ) เพื่อสนับสนุนการดำเนินงาน
ผู้ให้บริการทางการแพทย์ร่วม (แพทย์ผู้เชี่ยวชาญ ห้องปฏิบัติการ) เมื่อจำเป็นต่อการรักษาผู้ป่วย
ผู้ให้บริการการชำระเงิน และผู้ทำบัญชี
หน่วยงานของรัฐหรือหน่วยงานกำกับดูแล เมื่อมีคำขอหรือเป็นไปตามกฎหมาย
การเปิดเผยข้อมูลดังกล่าวจะกระทำภายใต้ข้อตกลงการคุ้มครองข้อมูล (Data Processing Agreement) หรือสัญญาที่เหมาะสมเพื่อรับรองการคุ้มครองข้อมูลและข้อจำกัดการใช้งาน
การโอนข้อมูลข้ามแดน
หากมีการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทจะดำเนินการให้สอดคล้องกับกฎหมายที่เกี่ยวข้อง และจะตรวจสอบให้แน่ใจว่าผู้รับข้อมูลมีการคุ้มครองข้อมูลที่เพียงพอหรือมีมาตรการปกป้องที่เหมาะสม

การรักษาความปลอดภัยของข้อมูล
บริษัทใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูล เช่น:
การเข้ารหัสข้อมูลเมื่อจำเป็น
การควบคุมการเข้าถึงตามบทบาทหน้าที่ (role-based access control)
การสำรองข้อมูล การตรวจสอบและบันทึกเหตุการณ์ (logging)
การฝึกอบรมพนักงานเกี่ยวกับการคุ้มครองข้อมูล
แม้ว่าจะมีมาตรการข้างต้น แต่ไม่มีระบบใดปลอดภัย 100% ดังนั้นเราจึงดำเนินการแจ้งเตือนและตอบสนองหากเกิดเหตุละเมิดข้อมูล

ระยะเวลาการเก็บรักษาข้อมูล
ข้อมูลจะถูกเก็บรักษาตามวัตถุประสงค์ที่ได้แจ้งไว้และระยะเวลาที่กฎหมายกำหนด เช่น:
ข้อมูลผู้ป่วยและบันทึกทางการแพทย์: เก็บตามระยะเวลาที่กฎหมายกำหนดหรือมาตรฐานวิชาชีพ
ข้อมูลการเงินและบัญชี: เก็บตามกฎหมายภาษีและบัญชี หลังจากสิ้นสุดระยะเวลา บริษัทจะลบหรือทำให้ไม่สามารถระบุตัวตนได้ตามมาตรฐานที่เหมาะสม

สิทธิของเจ้าของข้อมูล
ท่านมีสิทธิภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (เช่น PDPA) รวมถึงแต่ไม่จำกัดเพียง:
ขอเข้าถึงข้อมูลส่วนบุคคลของตน
ขอคัดค้านการประมวลผลในบางกรณี
ขอแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์
ขอให้ลบหรือระงับการประมวลผล (ในกรณีที่กฎหมายอนุญาต)
ขอให้โอนย้ายข้อมูลในรูปแบบที่สามารถอ่านได้โดยเครื่อง (data portability)
หากต้องการใช้งานสิทธิใดๆ กรุณาติดต่อเจ้าหน้าที่คุ้มครองข้อมูลของเรา

คุกกี้ (Cookies) และเทคโนโลยีที่เกี่ยวข้อง
เว็บไซต์ของเราอาจใช้คุกกี้และเทคโนโลยีติดตามเพื่อวัตถุประสงค์ เช่น การปรับปรุงประสบการณ์ผู้ใช้ การวิเคราะห์การใช้งาน และการโฆษณา ท่านสามารถจัดการการตั้งค่าคุกกี้ผ่านเบราว์เซอร์หรือเครื่องมือที่เราแจ้งให้ทราบบนเว็บไซต์

ช่องทางการติดต่อและการร้องเรียน
หากท่านมีคำถาม ข้อเรียกร้อง หรือต้องการใช้งานสิทธิของท่าน กรุณาติดต่อ:
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
อีเมล: admin@cytoaurora.co.th
โทรศัพท์: 065-715-2539
ที่อยู่: บริษัท ไซโตออโรร่า ไบโอเทคโนโลยี (ประเทศไทย) จำกัด
หากท่านไม่พอใจกับการตอบสนอง ท่านสามารถยื่นคำร้องต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือหน่วยงานกำกับดูแลที่เกี่ยวข้อง

การปรับปรุงนโยบาย
เราอาจปรับปรุงนโยบายความเป็นส่วนตัวนี้เป็นครั้งคราวเพื่อสะท้อนการเปลี่ยนแปลงในการปฏิบัติหรือกฎหมาย การเปลี่ยนแปลงที่สำคัญจะประกาศบนเว็บไซต์และ/หรือแจ้งให้ท่านทราบ

ข้อกำหนดเพิ่มเติมสำหรับข้อมูลอ่อนไหว
การประมวลผลข้อมูลสุขภาพและข้อมูลอ่อนไหวอื่น ๆ จะกระทำภายใต้ข้อจำกัดที่เข้มงวดและโดยทั่วไปจะต้องได้รับความยินยอมเป็นลายลักษณ์อักษรหรือดำเนินการภายใต้ฐานทางกฎหมายที่ชัดเจน

ข้อกำหนดด้านบุคคลภายนอก (Data Processor)
เมื่อเราจ้างผู้ให้บริการภายนอกซึ่งจะประมวลผลข้อมูลในนามของเรา เราจะทำสัญญา Data Processing Agreement ที่ระบุข้อกำหนดด้านความปลอดภัย ขอบเขตการใช้งาน และข้อจำกัดการโอนข้อมูล