นโยบายความเป็นส่วนตัว (Privacy Policy)

วันที่มีผลบังคับใช้: 1 เมษายน 2569 (2026) | ฉบับปรับปรุงครั้งที่ 1

1. บทนำและขอบเขต

บริษัท เนปจูน สตอรี่ จำกัด ("บริษัท", "เรา", "ของเรา") ในฐานะ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ("PDPA") ให้ความสำคัญอย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ ("ท่าน", "ผู้ใช้")

นโยบายฉบับนี้มีวัตถุประสงค์เพื่อแจ้งให้ท่านทราบถึงรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ("ประมวลผล") ตลอดจนวิธีการคุ้มครองข้อมูลส่วนบุคคลและสิทธิต่าง ๆ ของท่านตามกฎหมาย

นโยบายนี้ใช้บังคับกับการใช้บริการ LunaO ทุกช่องทาง ได้แก่ เว็บไซต์ แอปพลิเคชัน API และบริการอื่น ๆ ที่เกี่ยวข้อง

2. ข้อมูลส่วนบุคคลที่เราเก็บรวบรวม

เราเก็บรวบรวมข้อมูลส่วนบุคคลดังต่อไปนี้:

2.1 ข้อมูลที่ท่านให้โดยตรง

  • ข้อมูลระบุตัวตน: ชื่อ-นามสกุล, อีเมล, เบอร์โทรศัพท์, ชื่อร้านค้า, เลขทะเบียนนิติบุคคล (ถ้ามี)
  • ข้อมูลบัญชี: ชื่อผู้ใช้, รหัสผ่าน (จัดเก็บในรูปแบบเข้ารหัส), การตั้งค่าบัญชี
  • ข้อมูลการชำระเงิน: ข้อมูลการเรียกเก็บเงิน, ประวัติการชำระเงิน (เราไม่จัดเก็บข้อมูลบัตรเครดิต/เดบิตโดยตรง)

2.2 ข้อมูลที่เก็บโดยอัตโนมัติ

  • ข้อมูลการใช้งาน: ประวัติการเข้าสู่ระบบ, วันเวลาที่เข้าใช้, การดำเนินการในระบบ, หน้าที่เข้าชม, ระยะเวลาการใช้งาน
  • ข้อมูลทางเทคนิค: IP address, ประเภทและเวอร์ชันเบราว์เซอร์, ระบบปฏิบัติการ, ความละเอียดหน้าจอ, ข้อมูล Cookie และ Unique Identifier
  • ข้อมูลตำแหน่ง: ข้อมูลตำแหน่งโดยประมาณจาก IP address (ไม่ใช่ GPS)

2.3 ข้อมูลจากแพลตฟอร์มที่เชื่อมต่อ

  • ข้อมูลร้านค้า: ข้อมูลสินค้า, จำนวนสต๊อก, คำสั่งซื้อ, ข้อมูลลูกค้าของร้าน ที่ท่านเชื่อมต่อผ่าน Shopee, TikTok Shop, Lazada, LINE, Facebook, WooCommerce, Shopify

หมายเหตุ: เราไม่เก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) ตามมาตรา 26 แห่ง PDPA เช่น ข้อมูลเชื้อชาติ ศาสนา ข้อมูลสุขภาพ หรือข้อมูลชีวมิติ

3. ฐานทางกฎหมายและวัตถุประสงค์ในการประมวลผลข้อมูล

เราประมวลผลข้อมูลส่วนบุคคลของท่านโดยอาศัยฐานทางกฎหมายดังนี้ ตามมาตรา 24 แห่ง PDPA:

3.1 ฐานสัญญา (Contractual Basis) — มาตรา 24(3)

  • การให้บริการ LunaO ตามสัญญาการใช้บริการ รวมถึงการจัดการสต๊อก ซิงค์ข้อมูลข้ามแพลตฟอร์ม และจัดการคำสั่งซื้อ
  • การสร้างและบริหารจัดการบัญชีผู้ใช้
  • การเรียกเก็บค่าบริการและดำเนินการชำระเงิน
  • การให้บริการสนับสนุนลูกค้า

3.2 ฐานประโยชน์อันชอบธรรม (Legitimate Interest) — มาตรา 24(5)

  • การรักษาความปลอดภัยของระบบและป้องกันการฉ้อโกง
  • การวิเคราะห์และปรับปรุงคุณภาพบริการ
  • การจัดทำสถิติและรายงานภายในแบบไม่ระบุตัวตน (Anonymized)

3.3 ฐานความยินยอม (Consent) — มาตรา 19

  • การส่งข่าวสาร โปรโมชัน และข้อเสนอทางการตลาด
  • การใช้ Cookie ที่ไม่จำเป็นต่อการให้บริการ (Analytics, Marketing Cookie)

3.4 ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) — มาตรา 24(6)

  • การปฏิบัติตามกฎหมายภาษีอากร กฎหมายบัญชี และกฎหมายอื่นที่เกี่ยวข้อง
  • การปฏิบัติตามคำสั่งศาลหรือหน่วยงานราชการ

4. การเปิดเผยและแบ่งปันข้อมูล

เราจะ ไม่ขาย ให้เช่า หรือแลกเปลี่ยน ข้อมูลส่วนบุคคลของท่านเพื่อวัตถุประสงค์ทางการค้า เราอาจเปิดเผยข้อมูลให้แก่บุคคลดังต่อไปนี้ภายใต้ฐานทางกฎหมายที่เหมาะสม:

  • แพลตฟอร์มที่เชื่อมต่อ: Shopee, TikTok Shop, Lazada, LINE, Facebook, WooCommerce, Shopify — เฉพาะข้อมูลที่จำเป็นสำหรับการซิงค์สต๊อกและจัดการคำสั่งซื้อตามที่ท่านให้ความยินยอม
  • ผู้ประมวลผลข้อมูล (Data Processor): ผู้ให้บริการคลาวด์, ผู้ให้บริการชำระเงิน, ผู้ให้บริการอีเมล — ภายใต้สัญญาประมวลผลข้อมูล (DPA) ที่กำหนดมาตรการคุ้มครองข้อมูลอย่างเพียงพอ
  • หน่วยงานราชการ: เมื่อมีคำสั่งที่ชอบด้วยกฎหมาย เช่น คำสั่งศาล หมายเรียก หรือคำสั่งของหน่วยงานที่มีอำนาจ
  • ที่ปรึกษาวิชาชีพ: ทนายความ, ผู้ตรวจสอบบัญชี — เท่าที่จำเป็นภายใต้ข้อผูกพันรักษาความลับ

5. การส่งหรือโอนข้อมูลไปยังต่างประเทศ

ในกรณีที่จำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังเซิร์ฟเวอร์หรือผู้ให้บริการในต่างประเทศ เราจะดำเนินการตามมาตรา 28 แห่ง PDPA โดยมั่นใจว่าประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ หรือมีมาตรการคุ้มครองที่เหมาะสม เช่น สัญญามาตรฐาน (Standard Contractual Clauses)

6. มาตรการรักษาความปลอดภัย

เราใช้มาตรการรักษาความปลอดภัยทั้งทางเทคนิคและองค์กรตามมาตรา 37(1) แห่ง PDPA ได้แก่:

  • การเข้ารหัสข้อมูลระหว่างการส่ง (TLS/SSL) และขณะจัดเก็บ (Encryption at Rest)
  • การเข้ารหัสรหัสผ่านด้วย Hashing Algorithm ที่ได้มาตรฐาน
  • ระบบควบคุมการเข้าถึง (Access Control) ตามหลัก Least Privilege
  • การตรวจสอบและบันทึกการเข้าถึงข้อมูล (Audit Logging)
  • การสำรองข้อมูลอย่างสม่ำเสมอ
  • การประเมินความเสี่ยงด้านความปลอดภัยเป็นระยะ

ในกรณีที่เกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคล (Data Breach) เราจะแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง ตามมาตรา 37(4) แห่ง PDPA และจะแจ้งให้ท่านทราบโดยไม่ชักช้าหากเหตุการณ์ดังกล่าวมีความเสี่ยงสูงที่จะกระทบต่อสิทธิและเสรีภาพของท่าน

7. สิทธิของเจ้าของข้อมูลส่วนบุคคล

ภายใต้ PDPA ท่านมีสิทธิดังต่อไปนี้:

  • สิทธิในการเข้าถึง (มาตรา 30): ขอเข้าถึงและรับสำเนาข้อมูลส่วนบุคคลของท่าน หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูล
  • สิทธิในการแก้ไข (มาตรา 36): ขอแก้ไขข้อมูลให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
  • สิทธิในการลบ (มาตรา 33): ขอให้ลบหรือทำลายข้อมูล หรือทำให้ไม่สามารถระบุตัวบุคคลได้
  • สิทธิในการระงับ (มาตรา 34): ขอให้ระงับการใช้ข้อมูลส่วนบุคคลในบางกรณี
  • สิทธิในการคัดค้าน (มาตรา 32): คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล รวมถึงการคัดค้านเพื่อวัตถุประสงค์ทางการตลาด
  • สิทธิในการถอนความยินยอม (มาตรา 19 วรรคห้า): ถอนความยินยอมได้ทุกเมื่อ โดยไม่กระทบต่อความชอบด้วยกฎหมายของการประมวลผลก่อนหน้า
  • สิทธิในการโอนย้าย (มาตรา 31): ขอรับข้อมูลในรูปแบบที่อ่านได้ด้วยเครื่อง หรือขอให้ส่งข้อมูลไปยังผู้ควบคุมข้อมูลรายอื่น
  • สิทธิในการร้องเรียน (มาตรา 73): ร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหากเห็นว่าการประมวลผลข้อมูลไม่ชอบด้วยกฎหมาย

ท่านสามารถใช้สิทธิดังกล่าวได้โดยติดต่อเราตามช่องทางในข้อ 11 เราจะดำเนินการตามคำขอภายใน 30 วัน นับแต่วันที่ได้รับคำขอที่สมบูรณ์ และจะไม่เรียกเก็บค่าใช้จ่ายในการดำเนินการ เว้นแต่คำขอนั้นไม่มีมูลหรือมีลักษณะซ้ำซ้อนเกินสมควร

8. คุกกี้และเทคโนโลยีการติดตาม

เราใช้คุกกี้ (Cookie) และเทคโนโลยีที่คล้ายคลึง โดยแบ่งประเภทดังนี้:

  • คุกกี้ที่จำเป็น (Strictly Necessary): จำเป็นสำหรับการทำงานของเว็บไซต์ เช่น การเข้าสู่ระบบ — ไม่สามารถปิดได้
  • คุกกี้เพื่อประสิทธิภาพ (Performance): เก็บข้อมูลการใช้งานเพื่อปรับปรุงบริการ — ใช้ฐานประโยชน์อันชอบธรรม
  • คุกกี้เพื่อการทำงาน (Functional): จดจำการตั้งค่าของท่าน เช่น ภาษา — ใช้ฐานประโยชน์อันชอบธรรม
  • คุกกี้เพื่อการตลาด (Marketing): ใช้สำหรับโฆษณาที่ตรงกลุ่มเป้าหมาย — ต้องได้รับความยินยอมจากท่าน

ท่านสามารถจัดการความยินยอมคุกกี้ได้ผ่านแบนเนอร์คุกกี้เมื่อเข้าเว็บไซต์ครั้งแรก หรือผ่านการตั้งค่าเบราว์เซอร์ของท่าน

9. ระยะเวลาการเก็บรักษาข้อมูล

เราจะเก็บรักษาข้อมูลส่วนบุคคลตามระยะเวลาดังนี้:

  • ข้อมูลบัญชีผู้ใช้: ตลอดระยะเวลาที่ท่านเป็นสมาชิก และอีก 90 วันหลังจากลบบัญชี เพื่อรองรับการกู้คืน
  • ข้อมูลการทำธุรกรรม: 5 ปี ตามประมวลรัษฎากรและกฎหมายภาษีอากร
  • ข้อมูลการใช้งานและ Log: 1 ปี นับจากวันที่เก็บรวบรวม
  • ข้อมูลทางการตลาด: จนกว่าท่านจะถอนความยินยอม

เมื่อหมดระยะเวลาการเก็บรักษา เราจะลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุตัวบุคคลได้อย่างปลอดภัย

10. การเปลี่ยนแปลงนโยบาย

เราอาจปรับปรุงนโยบายฉบับนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับกฎหมาย กฎระเบียบ และแนวปฏิบัติที่เปลี่ยนแปลง หากมีการเปลี่ยนแปลงที่มีนัยสำคัญ เราจะแจ้งให้ท่านทราบผ่านทาง:

  • ประกาศบนเว็บไซต์ LunaO ล่วงหน้าอย่างน้อย 30 วัน
  • อีเมลแจ้งเตือน (สำหรับการเปลี่ยนแปลงที่กระทบสิทธิของท่านอย่างมีนัยสำคัญ)

11. ช่องทางติดต่อ

หากท่านมีคำถาม ข้อสงสัย หรือต้องการใช้สิทธิตามนโยบายนี้ กรุณาติดต่อ:

ผู้ควบคุมข้อมูลส่วนบุคคล

บริษัท เนปจูน สตอรี่ จำกัด

อีเมล: neptunestory55@gmail.com

เราจะตอบกลับคำขอของท่านภายใน 30 วันนับแต่วันที่ได้รับคำขอ

หากท่านเห็นว่าเราไม่ปฏิบัติตาม PDPA ท่านมีสิทธิร้องเรียนต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ตามช่องทางที่สำนักงานกำหนด