ข้ามไปยังเนื้อหา

นโยบายความเป็นส่วนตัว

อัปเดตล่าสุด: 14 เมษายน 2026 · เวอร์ชัน 2.0

นโยบายความเป็นส่วนตัวฉบับนี้ ("นโยบาย") อธิบายลักษณะการประมวลผลข้อมูลส่วนบุคคลของบุคคลธรรมดาที่เข้าถึงเว็บไซต์ lotuswebagency.com ร่วมกับหน้ามิเรอร์ภาษาไทยที่ /th/ (รวมเรียกว่า "เว็บไซต์") โดยผู้ควบคุมข้อมูลที่ระบุไว้ในหมวด 2 ("ผู้ควบคุมข้อมูล") นโยบายนี้ใช้บังคับกับผู้เยี่ยมชมทุกคนโดยไม่คำนึงถึงถิ่นที่อยู่

1. ขอบเขตและหลักการ — แนวทางกฎที่เข้มงวดที่สุด

เว็บไซต์ดำเนินการโดยบริษัทที่จดทะเบียนในเขตบริหารพิเศษฮ่องกง และสามารถเข้าถึงได้ทั่วโลก ระบอบกฎหมายหลายฉบับที่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอาจมีผลบังคับใช้ร่วมกัน ดังนี้:

  • EU General Data Protection Regulation (Regulation (EU) 2016/679, "GDPR") และ ePrivacy Directive ของสหภาพยุโรป (2002/58/EC)
  • UK GDPR, UK Data Protection Act 2018 และ UK Privacy and Electronic Communications Regulations ("PECR")
  • กฎหมายฝรั่งเศส Loi n° 78-17 Informatique et Libertés ฉบับแก้ไข และแนวปฏิบัติที่มีผลผูกพันของ Commission Nationale de l'Informatique et des Libertés ("CNIL")
  • พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของประเทศไทย ("PDPA Thailand")
  • Personal Data (Privacy) Ordinance ของฮ่องกง (Cap. 486, "PDPO") และหลักการคุ้มครองข้อมูลทั้งหกประการตามที่บัญญัติไว้ใน Schedule 1
  • California Consumer Privacy Act ของสหรัฐอเมริกา ซึ่งแก้ไขเพิ่มเติมโดย California Privacy Rights Act ("CCPA") และ Children's Online Privacy Protection Act ของสหรัฐอเมริกา ("COPPA")
  • กฎหมายคุ้มครองข้อมูลส่วนบุคคลแบบครอบคลุมของมลรัฐต่าง ๆ ในสหรัฐอเมริกา ที่บัญญัติขึ้นภายหลัง CCPA รวมถึงแต่ไม่จำกัดเพียง Virginia Consumer Data Protection Act, Colorado Privacy Act, Connecticut Data Privacy Act, Utah Consumer Privacy Act, Texas Data Privacy and Security Act และกฎหมายคุ้มครองข้อมูลแบบครอบคลุมของรัฐ Oregon, Montana, Tennessee, Iowa, Indiana, Delaware, Florida, New Hampshire, New Jersey, Maryland และ Minnesota
  • Lei Geral de Proteção de Dados Pessoais ของประเทศบราซิล (กฎหมายฉบับที่ 13.709/2018, "LGPD")
  • Personal Information Protection and Electronic Documents Act ของประเทศแคนาดา ("PIPEDA") และสำหรับบุคคลธรรมดาที่มีถิ่นที่อยู่ในมณฑลควิเบก Act respecting the protection of personal information in the private sector ฉบับแก้ไขโดย Law 25 ("Quebec Law 25")
  • Swiss Federal Act on Data Protection ลงวันที่ 25 กันยายน 2020 ฉบับปรับปรุง ("nFADP")
  • Privacy Act 1988 ของประเทศออสเตรเลีย และ Australian Privacy Principles สิบสามประการ ("APPs")
  • Personal Data Protection Act 2012 ของประเทศสิงคโปร์ ("PDPA Singapore")
  • Act on the Protection of Personal Information ของประเทศญี่ปุ่น ("APPI")
  • Protection of Personal Information Act 4 of 2013 ของสาธารณรัฐแอฟริกาใต้ ("POPIA")

ในขอบเขตที่หน้าที่ตามระบอบกฎหมายเหล่านี้แตกต่างกัน ผู้ควบคุมข้อมูลจะใช้หลักการเดียว กล่าวคือ หากกฎหมายฉบับใดที่ใช้บังคับกำหนดมาตรฐานที่เข้มงวดกว่า หรือให้สิทธิ์ที่เอื้อประโยชน์แก่เจ้าของข้อมูลมากกว่ากฎหมายฉบับอื่น ให้ใช้มาตรฐานที่เข้มงวดกว่าหรือสิทธิ์ที่เอื้อประโยชน์มากกว่านั้นเป็นการทั่วไปแก่ผู้เยี่ยมชมทุกคน โดยไม่คำนึงถึงถิ่นที่อยู่ ผลหลักของแนวทางนี้มีดังนี้:

  • ความยินยอม ความยินยอมสำหรับการประมวลผลคุกกี้และตัวติดตามที่มิใช่สิ่งจำเป็นจะได้รับผ่านการแสดงเจตจำนงโดยชัดแจ้ง เป็นการเฉพาะ ได้รับแจ้งล่วงหน้า และให้โดยอิสระ (มาตรฐานของ GDPR, ePrivacy, PDPA Thailand, PDPA Singapore, APPI, LGPD และ POPIA) แม้ว่า CCPA กฎหมายมลรัฐบางฉบับในสหรัฐอเมริกา และ PDPO จะอนุญาตให้ใช้กลไกการปฏิเสธ (opt-out) หรือการแจ้งเตือนเพียงอย่างเดียวก็ตาม
  • ระยะเวลาตอบกลับ คำขอที่เจ้าของข้อมูลส่งมาจะได้รับการตอบกลับภายใน 30 วันตามปฏิทิน โดยไม่คำนึงถึงระยะเวลาที่ยาวกว่าซึ่ง CCPA อนุญาตไว้ (45 วัน ขยายได้) PDPO (40 วัน) หรือ PIPEDA (30 วัน ขยายได้)
  • เด็ก ผู้ควบคุมข้อมูลจะไม่ประมวลผลข้อมูลส่วนบุคคลของบุคคลธรรมดาที่มีอายุต่ำกว่า 16 ปี โดยเจตนา ซึ่งตรงกับเกณฑ์ขีดบนของช่วงอายุที่อนุญาตตามมาตรา 8 ของ GDPR และสูงกว่าเกณฑ์ของ COPPA (13 ปี), UK GDPR (13 ปี) และ PDPA Thailand (10 ปีโดยได้รับความยินยอมจากผู้ปกครอง)
  • สิทธิ์ สิทธิ์แต่ละประการที่ระบุในหมวด 7 มอบให้แก่เจ้าของข้อมูลทุกราย รวมถึงในเขตอำนาจศาลที่กฎหมายของตนมิได้ให้สิทธิ์ดังกล่าวอย่างเป็นทางการ (โดยเฉพาะสิทธิ์ในการลบและความเคลื่อนย้ายของข้อมูลภายใต้ PDPO หรือความเคลื่อนย้ายของข้อมูลภายใต้ PIPEDA ในรูปแบบปัจจุบัน)
  • การขายและการแบ่งปันข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลไม่ขายและจะไม่ขายข้อมูลส่วนบุคคลเพื่อผลตอบแทนทางการเงินแก่บุคคลที่สามรายใด การเปิดเผยต่อผู้ให้บริการโฆษณาที่อาจถือเป็น "การแบ่งปัน" หรือ "การโฆษณาแบบกำหนดเป้าหมาย" ตามความหมายของ CCPA หรือกฎหมายมลรัฐของสหรัฐอเมริกา จะดำเนินการได้ก็ต่อเมื่อได้รับความยินยอมแบบ opt-in โดยชัดแจ้งล่วงหน้า และใช้บังคับเป็นการทั่วไป
  • การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลถือปฏิบัติตามมาตรฐานของ GDPR มาตรา 33 (การแจ้งหน่วยงานกำกับดูแลที่มีอำนาจภายใน 72 ชั่วโมงนับแต่ทราบเหตุ) สำหรับการละเมิดทุกกรณี โดยไม่คำนึงว่ากฎหมายฉบับอื่นจะอนุญาตให้แจ้งได้ในระยะเวลาที่สั้นกว่าหรือยาวกว่า
  • การโอนข้อมูลระหว่างประเทศ มาตรการปกป้องที่เข้มงวดที่สุดที่มีอยู่จะถูกนำมาใช้กับการโอนข้อมูลระหว่างประเทศทุกกรณี (หมวด 5) โดยไม่คำนึงว่าระบอบกฎหมายของถิ่นที่อยู่ของเจ้าของข้อมูลจะกำหนดไว้หรือไม่

หากระบอบกฎหมายใดให้สิทธิ์ที่ไม่มีหลักเกณฑ์เทียบเท่าในที่อื่น — ตัวอย่างเช่น สิทธิ์ในการจำกัดการใช้ข้อมูลส่วนบุคคลที่ละเอียดอ่อนภายใต้ CCPA หรือสิทธิ์ในการยื่นเรื่องร้องเรียนต่อหน่วยงานระดับชาติเฉพาะ — สิทธิ์ดังกล่าวจะมอบเพิ่มเติมจากฐานสิทธิ์สากล รายชื่อหน่วยงานกำกับดูแลที่มีอำนาจระบุไว้ในหมวด 12

2. ข้อมูลผู้ควบคุมข้อมูล

ผู้ควบคุมข้อมูลเพื่อวัตถุประสงค์แห่ง GDPR, UK GDPR, LGPD, nFADP, APPI และแนวคิดที่คล้ายคลึงกันภายใต้ระบอบกฎหมายอื่น ๆ (รวมถึง "business" ตามความหมายของ CCPA, "data user" ตามความหมายของ PDPO, "responsible party" ตามความหมายของ POPIA และ "person responsible" ตามความหมายของ Quebec Law 25) คือ:

  • LW AGENCY LIMITED (ประกอบกิจการในนาม LotusWebAgency)
  • เลขทะเบียนธุรกิจ 76684183 (ฮ่องกง)
  • ที่อยู่จดทะเบียน: Unit 2A, 17/F, Glenealy Tower, No.1 Glenealy, Central, Hong Kong S.A.R.
  • จดหมายอิเล็กทรอนิกส์: hello@lotuswebagency.com

ผู้ควบคุมข้อมูลมิได้แต่งตั้งผู้แทนตามมาตรา 27 ของ GDPR, มาตรา 27 ของ UK GDPR, มาตรา 5(III) ของ LGPD, มาตรา 11 ของ POPIA หรือบทบัญญัติที่คล้ายคลึงกันของระบอบกฎหมายอื่นใดที่ใช้บังคับ ที่อยู่จดหมายอิเล็กทรอนิกส์ที่ระบุข้างต้นเป็นช่องทางการติดต่อเพียงช่องทางเดียวสำหรับเรื่องทั้งปวงที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

3. ประเภทของข้อมูลส่วนบุคคลที่ประมวลผล

ประเภทของข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลประมวลผลระบุไว้ด้านล่าง โดยจัดกลุ่มตามฐานทางกฎหมายในการประมวลผล

3.1 ข้อมูลส่วนบุคคลที่ประมวลผลโดยไม่ต้องได้รับความยินยอม

การประมวลผลต่อไปนี้มีความจำเป็นต่อการดำเนินการ ความปลอดภัย และความสมบูรณ์ของเว็บไซต์ จึงดำเนินการบนฐานประโยชน์โดยชอบธรรมของผู้ควบคุมข้อมูล (มาตรา 6(1)(f) ของ GDPR) ฐานวัตถุประสงค์ทางธุรกิจที่สอดคล้องกันภายใต้ CCPA และกฎหมายมลรัฐของสหรัฐอเมริกา ฐานประโยชน์โดยชอบธรรมที่เทียบเท่าภายใต้ LGPD (มาตรา 7, IX), PIPEDA, nFADP, POPIA, PDPA Thailand (มาตรา 24(5)) และ APPs รวมทั้งฐานความจำเป็นเพื่อวัตถุประสงค์ที่ PDPO (DPP 1 และ 3) และ APPI รับรอง

3.1.1 บันทึกการให้บริการโฮสต์และการส่งเนื้อหา

  • แหล่งที่มา เว็บไซต์ให้บริการเป็นเนื้อหาแบบสถิตจาก GitLab Pages (ดำเนินการโดย GitLab Inc.) หรือทางเลือกอื่นคือ GitHub Pages (ดำเนินการโดย GitHub, Inc. ซึ่งเป็นบริษัทในเครือของ Microsoft Corporation) และส่งผ่านโครงข่ายการส่งเนื้อหาและความปลอดภัยระดับ edge ของ Cloudflare, Inc.
  • ประเภทของข้อมูล หมายเลข Internet Protocol, การประทับเวลาคำขอ, ทรัพยากรที่ร้องขอ, URL ที่อ้างถึง, user-agent string, รหัสสถานะ HTTP, ตำแหน่งทางภูมิศาสตร์โดยประมาณที่ได้จากหมายเลข IP และข้อมูลเมตาทางเทคนิคที่คล้ายคลึงกันซึ่งเกิดจากการสื่อสาร HTTP/HTTPS ปกติ
  • วัตถุประสงค์ การดำเนินการ ความพร้อมใช้งาน และความปลอดภัยของเว็บไซต์ รวมถึงการป้องกันและบรรเทาการใช้งานโดยมิชอบ กิจกรรม denial-of-service และการเข้าถึงโดยไม่ได้รับอนุญาต การวัดปริมาณการเข้าชมในระดับโครงสร้างพื้นฐาน
  • ผู้รับข้อมูล Cloudflare, Inc. และ GitLab Inc. หรือ GitHub, Inc. ซึ่งแต่ละรายกระทำการในฐานะผู้ประมวลผลหรือผู้ประมวลผลช่วงตามเงื่อนไขของตน
  • ระยะเวลาเก็บรักษา เป็นไปตามกำหนดการเก็บรักษาของผู้ให้บริการแต่ละราย ผู้ควบคุมข้อมูลไม่เก็บรักษาสำเนาบันทึกเหล่านี้แยกต่างหาก

3.1.2 บันทึกความยินยอมคุกกี้

  • การจัดเก็บ จัดเก็บเฉพาะในเบราว์เซอร์ของผู้เยี่ยมชมใน localStorage ภายใต้คีย์ lwa.cookies ในรูปแบบ JSON {value, ts} ประกอบด้วยตัวเลือกที่เจ้าของข้อมูลแสดงออก และการประทับเวลาที่บันทึก
  • วัตถุประสงค์ การปฏิบัติตามหน้าที่ในการบันทึกและแสดงให้เห็นถึงความยินยอมของเจ้าของข้อมูล (มาตรา 7(1) ของ GDPR และบทบัญญัติที่เทียบเท่า) การดำเนินการของกลไกการบริหารจัดการความยินยอม
  • ผู้รับข้อมูล ไม่มี บันทึกนี้ไม่ถูกส่งต่อไปยังผู้ควบคุมข้อมูลหรือบุคคลที่สามรายใด
  • ระยะเวลาเก็บรักษา 12 เดือนนับจากการประทับเวลา หรือจนกว่าผู้เยี่ยมชมจะล้างข้อมูลในเบราว์เซอร์ หรือจนกว่าเวอร์ชันความยินยอมจะถูกเพิ่มขึ้น (หมวด 10) แล้วแต่เหตุการณ์ใดจะเกิดขึ้นก่อน

3.1.3 บันทึกการตั้งค่าธีม

  • การจัดเก็บ จัดเก็บเฉพาะในเบราว์เซอร์ของผู้เยี่ยมชมใน localStorage ภายใต้คีย์ lwa.theme
  • วัตถุประสงค์ การคงไว้ซึ่งการตั้งค่าภาพในทางปฏิบัติอย่างเคร่งครัด (ธีมสว่าง มืดปานกลาง หรือมืด) บันทึกนี้มีความจำเป็นทางเทคนิคเพื่อรักษาการนำเสนอที่เจ้าของข้อมูลเลือกไว้ข้ามเซสชัน และไม่ได้ใช้เพื่อวัตถุประสงค์ในการวิเคราะห์หรือการโฆษณา
  • ผู้รับข้อมูล ไม่มี บันทึกนี้ไม่ถูกส่งต่อไปยังผู้ควบคุมข้อมูลหรือบุคคลที่สามรายใด
  • ระยะเวลาเก็บรักษา จนกว่าผู้เยี่ยมชมจะล้างข้อมูลในเบราว์เซอร์หรือเลือกธีมอื่น

3.2 ข้อมูลส่วนบุคคลที่ประมวลผลเฉพาะเมื่อได้รับความยินยอมโดยชัดแจ้งล่วงหน้า

การประมวลผลต่อไปนี้ดำเนินการบนฐานความยินยอมของเจ้าของข้อมูลที่ได้รับแจ้งล่วงหน้า โดยชัดแจ้ง เป็นการเฉพาะ และให้โดยอิสระ ตามความหมายของมาตรา 6(1)(a) และมาตรา 7 ของ GDPR, มาตรา 5(3) ของ ePrivacy Directive, ข้อ 6 ของ UK PECR, มาตรา 7(I) ของ LGPD, มาตรา 13 ของ PDPA Singapore, มาตรา 19 ของ PDPA Thailand, มาตรา 17 ของ APPI, มาตรา 11(1)(b) ของ POPIA และบทบัญญัติเกี่ยวกับ opt-in ของ CCPA และกฎหมายมลรัฐของสหรัฐอเมริกาที่ใช้บังคับกับการโฆษณาและการวิเคราะห์ ความยินยอมอาจถูกถอนได้ทุกเมื่อตามหมวด 9

3.2.1 คุกกี้เพื่อการวัดผู้ชม (การวิเคราะห์)

  • บริการ Google Analytics 4 โหลดผ่าน Google Tag Manager
  • ประเภทของข้อมูล การเข้าชมหน้า, ระยะเวลาเซสชัน, ตำแหน่งทางภูมิศาสตร์โดยประมาณในระดับเมือง (ได้จากหมายเลข IP), ประเภทอุปกรณ์, เบราว์เซอร์, ผู้อ้างอิง
  • คุกกี้ที่ตั้งค่า _ga, _ga_*
  • ผู้รับ / ผู้ประมวลผล Google LLC สหรัฐอเมริกา
  • ระยะเวลาเก็บรักษา 14 เดือนนับจากการโต้ตอบครั้งสุดท้ายของเจ้าของข้อมูล หลังจากนั้นข้อมูลจะถูกรวม

3.2.2 คุกกี้เพื่อการวัดผลโฆษณา (การตลาด)

  • บริการ Meta (Facebook) Pixel โหลดผ่าน Google Tag Manager
  • ประเภทของข้อมูล เหตุการณ์การเข้าชมหน้า, หมายเลข IP, ตัวระบุอุปกรณ์ และ — เมื่อเจ้าของข้อมูลเข้าสู่ระบบ Facebook พร้อมกันในเบราว์เซอร์เดียวกัน — ตัวระบุผู้ใช้ Facebook ที่เกี่ยวข้อง
  • คุกกี้ที่ตั้งค่า _fbp
  • ผู้รับ / ผู้ประมวลผล Meta Platforms Ireland Limited (สำหรับเจ้าของข้อมูลในเขตเศรษฐกิจยุโรปหรือสหราชอาณาจักร); Meta Platforms, Inc. สหรัฐอเมริกา (สำหรับเจ้าของข้อมูลรายอื่น ๆ ทั้งหมด)
  • ระยะเวลาเก็บรักษา 90 วันสำหรับคุกกี้ _fbp หลังจากนั้นเป็นไปตามกำหนดการเก็บรักษาของ Meta Platforms
  • คุณสมบัติตาม CCPA / กฎหมายมลรัฐของสหรัฐอเมริกา การเปิดเผยต่อ Meta Platforms ในบริบทนี้ถือเป็น "การแบ่งปัน" เพื่อการโฆษณาเชิงพฤติกรรมข้ามบริบทตามความหมายของ CCPA และ "การโฆษณาแบบกำหนดเป้าหมาย" ตามความหมายของกฎหมายมลรัฐของสหรัฐอเมริกาที่เทียบเคียงได้ เจ้าของข้อมูลอาจปฏิเสธได้ทุกเมื่อโดยการปฏิเสธคุกกี้ที่มิใช่สิ่งจำเป็นในอินเทอร์เฟซการจัดการคุกกี้ที่เข้าถึงได้ผ่านลิงก์ "Cookie Settings" ที่ส่วนท้ายของทุกหน้าของเว็บไซต์ หรือโดยการส่งคำขอไปยังผู้ควบคุมข้อมูลตามหมวด 8

3.3 ข้อมูลส่วนบุคคลที่ละเอียดอ่อน

ผู้ควบคุมข้อมูลไม่ประมวลผล "ข้อมูลส่วนบุคคลประเภทพิเศษ" ตามความหมายของมาตรา 9 ของ GDPR, "ข้อมูลส่วนบุคคลที่ละเอียดอ่อน" ตามความหมายของมาตรา 26 ของ PDPA Thailand หรือมาตรา 5(II) ของ LGPD, "sensitive personal information" ตามความหมายของมาตรา 1798.140(ae) ของ CCPA, "special personal information" ตามความหมายของมาตรา 26 ของ POPIA หรือหมวดหมู่ที่คล้ายคลึงกันที่ได้รับการรับรองโดยระบอบกฎหมายอื่นที่ใช้บังคับ โดยเจตนา เว็บไซต์ไม่มีแบบฟอร์มติดต่อ แบบฟอร์มลงทะเบียน หรือฟีเจอร์เชิงโต้ตอบอื่นใดที่อาจใช้เพื่อขอข้อมูลดังกล่าว ช่องทางการติดต่อจำกัดเพียงบริการส่งข้อความของบุคคลที่สามและจดหมายอิเล็กทรอนิกส์ หากเจ้าของข้อมูลส่งข้อมูลดังกล่าวโดยสมัครใจทางจดหมายอิเล็กทรอนิกส์ ข้อมูลนั้นจะถูกประมวลผลเพียงเพื่อตอบกลับการสื่อสารดังกล่าวเท่านั้น

4. ผู้รับข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคลจะถูกเปิดเผยเฉพาะแก่ผู้รับประเภทต่อไปนี้ ซึ่งแต่ละรายกระทำการภายใต้ข้อตกลงเป็นลายลักษณ์อักษรที่ให้ความคุ้มครองข้อมูลดังกล่าว:

  • Cloudflare, Inc. (สหรัฐอเมริกา) — บริการส่งเนื้อหาและความปลอดภัยระดับ edge การประมวลผลจำเป็นต่อการดำเนินการของเว็บไซต์ นโยบายความเป็นส่วนตัว
  • GitLab Inc. (สหรัฐอเมริกา) และ/หรือ GitHub, Inc. (สหรัฐอเมริกา บริษัทในเครือ Microsoft Corporation) — การโฮสต์เว็บไซต์แบบสถิต การประมวลผลจำเป็นต่อการดำเนินการของเว็บไซต์
  • Google LLC (สหรัฐอเมริกา) — บริการวัดผู้ชม ประมวลผลเฉพาะเมื่อได้รับความยินยอมล่วงหน้า นโยบายความเป็นส่วนตัว
  • Meta Platforms Ireland Limited / Meta Platforms, Inc. — บริการวัดผลโฆษณา ประมวลผลเฉพาะเมื่อได้รับความยินยอมล่วงหน้า นโยบายความเป็นส่วนตัว

ผู้ควบคุมข้อมูลไม่ขายข้อมูลส่วนบุคคลเพื่อผลตอบแทนทางการเงินและไม่มีความสัมพันธ์กับผู้ค้าข้อมูลรายใด

5. การโอนข้อมูลส่วนบุคคลระหว่างประเทศ

เมื่อเจ้าของข้อมูลให้ความยินยอมต่อการประมวลผลตามที่อธิบายไว้ในหมวด 3.2 ข้อมูลส่วนบุคคลอาจถูกโอนออกนอกเขตเศรษฐกิจยุโรป สหราชอาณาจักร สวิตเซอร์แลนด์ ประเทศไทย ฮ่องกง สิงคโปร์ ญี่ปุ่น บราซิล ออสเตรเลีย แอฟริกาใต้ แคนาดา หรือเขตอำนาจศาลอื่นใดที่เจ้าของข้อมูลตั้งอยู่ โดยหลักแล้วโอนไปยังสหรัฐอเมริกา การโอนแต่ละครั้งจะดำเนินการบนพื้นฐานของมาตรการปกป้องที่เข้มงวดที่สุดที่มีอยู่ ได้แก่:

  • EU–US Data Privacy Framework ซึ่ง Cloudflare, Inc., Google LLC และ Meta Platforms, Inc. ได้รับรองตนเอง สำหรับข้อมูลส่วนบุคคลที่มีต้นทางจากเขตเศรษฐกิจยุโรป
  • UK Extension ของ EU–US Data Privacy Framework สำหรับข้อมูลส่วนบุคคลที่มีต้นทางจากสหราชอาณาจักร
  • Swiss–US Data Privacy Framework สำหรับข้อมูลส่วนบุคคลที่มีต้นทางจากสวิตเซอร์แลนด์
  • Standard Contractual Clauses ของคณะกรรมาธิการยุโรป (Implementing Decision (EU) 2021/914) และ International Data Transfer Agreement and Addendum ของสหราชอาณาจักร เสริมตามความเหมาะสมด้วยมาตรการทางเทคนิคและองค์กรเพิ่มเติม
  • เพื่อวัตถุประสงค์ของมาตรา 28 ของ PDPA Thailand, มาตรา 33 ของ PDPO, มาตรา 26 ของ PDPA Singapore, มาตรา 33 ของ LGPD, มาตรา 72 ของ POPIA, บทบัญญัติเรื่องการโอนข้ามพรมแดนของ APPs (APP 8) และ PIPEDA มาตรการปกป้องที่กล่าวมาข้างต้น ในการประเมินของผู้ควบคุมข้อมูล ถือเป็นข้อตกลงเป็นลายลักษณ์อักษรที่เพียงพอซึ่งให้ความคุ้มครองที่เทียบเท่ากัน

6. ระยะเวลาเก็บรักษา

ข้อมูลส่วนบุคคลจะถูกเก็บรักษาไว้เพียงเท่าที่จำเป็นสำหรับวัตถุประสงค์ที่ได้เก็บรวบรวมมา และจะถูกลบหรือทำให้ไม่สามารถระบุตัวตนได้ตามกำหนดการต่อไปนี้:

  • บันทึกการให้บริการโฮสต์และการส่งเนื้อหา: เป็นไปตามกำหนดการเก็บรักษาของ Cloudflare, Inc., GitLab Inc. และ GitHub, Inc. ตามลำดับ
  • ข้อมูล Google Analytics 4: 14 เดือนนับจากการโต้ตอบครั้งสุดท้ายของเจ้าของข้อมูล
  • ข้อมูล Meta Pixel: 90 วันสำหรับคุกกี้ _fbp หลังจากนั้นเป็นไปตามกำหนดการเก็บรักษาของ Meta Platforms
  • บันทึกความยินยอมคุกกี้ (lwa.cookies): 12 เดือนนับจากการประทับเวลา หรือจนกว่าเจ้าของข้อมูลจะล้างข้อมูลในเบราว์เซอร์ หรือจนกว่าเวอร์ชันความยินยอมจะถูกเพิ่มขึ้น (หมวด 10) แล้วแต่เหตุการณ์ใดจะเกิดขึ้นก่อน
  • บันทึกการตั้งค่าธีม (lwa.theme): จนกว่าเจ้าของข้อมูลจะล้างข้อมูลในเบราว์เซอร์หรือเลือกธีมอื่น
  • การติดต่อทางจดหมายอิเล็กทรอนิกส์กับผู้ควบคุมข้อมูล: ตลอดระยะเวลาของเรื่องที่เกี่ยวข้องและช่วงระยะเวลาอันสมควรหลังจากนั้น ตามหลักการใช้ข้อมูลให้น้อยที่สุด

7. สิทธิ์ของเจ้าของข้อมูล

ตามหลักการกฎที่เข้มงวดที่สุดที่ระบุในหมวด 1 สิทธิ์ต่อไปนี้มอบให้แก่ เจ้าของข้อมูลทุกราย โดยไม่คำนึงถึงถิ่นที่อยู่ของเจ้าของข้อมูล และไม่คำนึงว่ากฎหมายของถิ่นที่อยู่นั้นจะให้สิทธิ์ดังกล่าวอย่างเป็นทางการหรือไม่:

  • สิทธิ์ในการเข้าถึง — เพื่อขอการยืนยันว่ามีการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเจ้าของข้อมูลหรือไม่ และหากมีการประมวลผลดังกล่าว เพื่อขอสำเนาข้อมูลนั้น
  • สิทธิ์ในการแก้ไข — เพื่อขอให้แก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้อง และเพิ่มเติมข้อมูลส่วนบุคคลที่ไม่สมบูรณ์
  • สิทธิ์ในการลบ ("right to be forgotten") — เพื่อขอให้ลบข้อมูลส่วนบุคคล รวมถึงในกรณีที่กฎหมายของถิ่นที่อยู่ของเจ้าของข้อมูลมิได้ให้สิทธิ์ดังกล่าวอย่างเป็นทางการ (โดยเฉพาะ PDPO)
  • สิทธิ์ในการจำกัดการประมวลผล — เพื่อขอให้ระงับการประมวลผลระหว่างรอการแก้ไขข้อพิพาท
  • สิทธิ์ในการเคลื่อนย้ายข้อมูล — เพื่อขอรับข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเจ้าของข้อมูลในรูปแบบที่มีโครงสร้าง ใช้งานทั่วไป และอ่านได้ด้วยเครื่อง มอบเป็นการทั่วไป
  • สิทธิ์ในการคัดค้าน — เพื่อคัดค้านการประมวลผลที่ดำเนินการบนฐานประโยชน์โดยชอบธรรม รวมถึงการทำโปรไฟล์ใด ๆ ที่อิงจากฐานนั้น
  • สิทธิ์ในการถอนความยินยอม — ได้ทุกเมื่อ โดยไม่เป็นผลเสียต่อเจ้าของข้อมูล และโดยไม่กระทบต่อความชอบด้วยกฎหมายของการประมวลผลที่ได้ดำเนินการก่อนการถอนความยินยอมดังกล่าว
  • สิทธิ์ในการปฏิเสธ "การขาย" หรือ "การแบ่งปัน" ตามความหมายของ CCPA และกฎหมายมลรัฐของสหรัฐอเมริกา ใช้บังคับเป็นการทั่วไป และใช้สิทธิ์ได้ผ่านอินเทอร์เฟซการจัดการคุกกี้หรือโดยคำขอไปยังผู้ควบคุมข้อมูล
  • สิทธิ์ในการจำกัดการใช้ข้อมูลส่วนบุคคลที่ละเอียดอ่อน ตามความหมายของ CCPA — ได้รับการรับรองอย่างเป็นทางการ แม้ไม่มีการประมวลผลข้อมูลดังกล่าว (หมวด 3.3)
  • สิทธิ์ที่จะไม่ถูกเลือกปฏิบัติ เนื่องจากการใช้สิทธิ์ใด ๆ ข้างต้น
  • สิทธิ์ที่จะไม่ตกอยู่ภายใต้การตัดสินใจโดยอัตโนมัติแต่เพียงผู้เดียว ซึ่งมีผลทางกฎหมายหรือผลที่มีนัยสำคัญในทำนองเดียวกัน (มาตรา 22 ของ GDPR) — ถือปฏิบัติอย่างเต็มที่ ไม่มีการประมวลผลดังกล่าว
  • สิทธิ์ในการยื่นเรื่องร้องเรียน ต่อหน่วยงานกำกับดูแลที่มีอำนาจ (หมวด 12)

8. ขั้นตอนการใช้สิทธิ์

คำขอใช้สิทธิ์ใด ๆ ที่ระบุในหมวด 7 ให้ส่งถึงผู้ควบคุมข้อมูลที่ hello@lotuswebagency.com คำขอต้องมีข้อมูลเท่าที่จำเป็นตามสมควรเพื่อระบุตัวเจ้าของข้อมูลและสิทธิ์ที่ต้องการใช้ ผู้ควบคุมข้อมูลจะไม่ขอให้เปิดเผยเอกสารแสดงตนสำหรับคำขอทั่วไป ในกรณีที่มีข้อสงสัยอันสมเหตุสมผลเกี่ยวกับตัวตน อาจขอการตรวจสอบเพิ่มเติมตามมาตรา 12(6) ของ GDPR

คำขอจะได้รับการตอบกลับภายใน 30 วันตามปฏิทิน นับแต่วันที่ได้รับ โดยไม่เสียค่าใช้จ่าย เว้นแต่คำขอนั้นจะเห็นได้ชัดว่าไม่มีมูลหรือเกินสมควร ตามความหมายของมาตรา 12(5) ของ GDPR

9. การถอนและแก้ไขความยินยอม

ความยินยอมที่ให้ไว้สำหรับคุกกี้เพื่อการวัดผู้ชมหรือการวัดผลโฆษณาอาจถอนหรือแก้ไขได้ทุกเมื่อ โดยไม่เป็นผลเสียต่อเจ้าของข้อมูล โดยการเปิดใช้การควบคุม Cookie Settings ที่อยู่บริเวณส่วนท้ายของทุกหน้าของเว็บไซต์ คุกกี้ที่มิใช่สิ่งจำเป็นจะถูกจัดการเป็นชุดเดียว การยอมรับหรือปฏิเสธจะใช้บังคับกับหมวดหมู่การวิเคราะห์และการโฆษณาร่วมกัน การล้างข้อมูลในเบราว์เซอร์จะมีผลเป็นการรีเซ็ตบันทึกความยินยอมและแสดงแบนเนอร์ความยินยอมอีกครั้งในการเยี่ยมชมครั้งถัดไป

10. การขอความยินยอมใหม่เมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ

นโยบายนี้มีการกำหนดเวอร์ชัน บันทึกความยินยอมคุกกี้จัดเก็บเวอร์ชันและการประทับเวลาที่ได้รับความยินยอมของเจ้าของข้อมูล เมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญต่อองค์ประกอบใด ๆ ต่อไปนี้ เวอร์ชันจะถูกเพิ่มขึ้นและแสดงคำขอความยินยอมใหม่: หมวดหมู่คุกกี้ ผู้ประมวลผลหรือผู้ประมวลผลช่วง ระยะเวลาเก็บรักษา หรือตัวตนของผู้ควบคุมข้อมูล

11. การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล

ในกรณีที่เกิดเหตุการละเมิดข้อมูลส่วนบุคคลซึ่งมีแนวโน้มจะก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลธรรมดา ผู้ควบคุมข้อมูลจะแจ้งหน่วยงานกำกับดูแลที่มีอำนาจภายใน 72 ชั่วโมง นับแต่ทราบเหตุการละเมิด ตามมาตรา 33 ของ GDPR ที่ใช้บังคับเป็นการทั่วไป ในกรณีที่เหตุการละเมิดมีแนวโน้มจะก่อให้เกิดความเสี่ยงสูงต่อสิทธิและเสรีภาพของบุคคลธรรมดา เจ้าของข้อมูลที่ได้รับผลกระทบจะได้รับแจ้งโดยไม่ชักช้าเกินควรตามมาตรา 34 ของ GDPR

12. หน่วยงานกำกับดูแลที่มีอำนาจ

เจ้าของข้อมูลอาจยื่นเรื่องร้องเรียนต่อหน่วยงานกำกับดูแลในถิ่นที่อยู่ของเจ้าของข้อมูล สถานที่ทำงาน หรือสถานที่ที่อ้างว่ามีการละเมิด หน่วยงานหลักได้แก่:

13. เด็ก

เว็บไซต์ไม่ได้มุ่งเป้าที่เด็ก ผู้ควบคุมข้อมูลจะไม่ประมวลผลข้อมูลส่วนบุคคลของบุคคลธรรมดาที่มีอายุต่ำกว่า 16 ปี โดยเจตนา ซึ่งตรงกับเกณฑ์ที่เข้มงวดที่สุดที่ใช้บังคับ (เกณฑ์ขีดบนของมาตรา 8 ของ GDPR, เกณฑ์ของ Quebec Law 25 ที่ 14 ปีพร้อมความยินยอมของผู้ปกครอง, เกณฑ์ของ COPPA ที่ 13 ปี และเกณฑ์ของ UK GDPR ที่ 13 ปี) หากผู้ปกครองมีเหตุอันควรเชื่อว่าเด็กได้ให้ข้อมูลส่วนบุคคล โปรดติดต่อตามหมวด 16 เพื่อให้มีการลบข้อมูลดังกล่าว

14. ความปลอดภัย

เว็บไซต์ให้บริการผ่านโปรโตคอล HTTPS เท่านั้น สคริปต์ของบุคคลที่สามทั้งหมดที่อธิบายไว้ในหมวด 3.2 จะถูกโหลดก็ต่อเมื่อเจ้าของข้อมูลให้ความยินยอมล่วงหน้าเท่านั้น และจะโหลดจากผู้รับที่ระบุไว้ในหมวด 4 เท่านั้น ผู้ควบคุมข้อมูลใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมกับความเสี่ยง รวมถึงการเข้ารหัสระดับการขนส่ง การควบคุมการเข้าถึงระบบจดหมายอิเล็กทรอนิกส์ของผู้ควบคุมข้อมูล และการทบทวนผู้ประมวลผลช่วงที่ระบุไว้ในนโยบายนี้อย่างต่อเนื่อง

15. การแก้ไขนโยบายนี้

หมายเลขเวอร์ชันและวันที่ที่ปรากฏที่ส่วนต้นของนโยบายจะถูกอัปเดตเมื่อใดก็ตามที่มีการแก้ไขนโยบาย การแก้ไขอย่างมีนัยสำคัญตามความหมายของหมวด 10 จะก่อให้เกิดการขอความยินยอมใหม่ การแก้ไขที่ไม่มีนัยสำคัญจะไม่ก่อให้เกิดการขอความยินยอมใหม่

16. การติดต่อ

สำหรับเรื่องทั้งปวงที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล — ไม่ว่าจะเป็นคำขอใช้สิทธิ์ ข้อสอบถาม หรือการร้องเรียน — โปรดติดต่อผู้ควบคุมข้อมูลที่ hello@lotuswebagency.com