นโยบายความเป็นส่วนตัว (Privacy Policy) – SUNDAE VPS

อัปเดตล่าสุด: 21 กุมภาพันธ์ 2569

แบรนด์ SUNDAE VPS ให้ความสำคัญสูงสุดในการเคารพและปกป้องความเป็นส่วนตัวของผู้ใช้บริการ นโยบายฉบับนี้จัดทำขึ้นเพื่อชี้แจงให้ท่านทราบถึงวิธีการที่เราเก็บรวบรวม ใช้ เปิดเผย และปกป้องข้อมูลส่วนบุคคลของท่าน รวมถึงสิทธิตามกฎหมายที่ท่านพึงมี
การที่ท่านสมัครสมาชิกและใช้บริการของเรา ถือว่าท่านได้อ่าน ทำความเข้าใจ และยอมรับข้อตกลงในนโยบายความเป็นส่วนตัวฉบับนี้โดยสมบูรณ์แล้ว

1. ข้อมูลส่วนบุคคลที่เราเก็บรวบรวม

เราเก็บรวบรวมข้อมูลส่วนบุคคลของท่านเท่าที่จำเป็นต่อการให้บริการ โดยแบ่งออกเป็นประเภทต่าง ๆ ดังนี้:

  • ทางผู้ให้บริการจะใช้ ชื่อ-นามสกุล, ที่อยู่อีเมล, หมายเลขโทรศัพท์มือถือ, ที่อยู่สำหรับออกใบเสร็จ ในการยืนยันตัวตนของผู้ใช้บริการ และใช้ในกรณีที่มีการร้องขอเพื่อตรวจสอบธุรกรรมที่น่าสงสัย
  • ทางผู้ให้บริการจัดเก็บแค่ ประวัติการสั่งซื้อ, ประวัติการชำระเงิน, สลิปโอนเงิน, และรายละเอียดแพ็กเกจที่ท่านใช้งาน โดยทางผู้ให้บริการไม่มีการจัดเก็บข้อมูลบัตรเครดิตแบบเต็มของท่าน ข้อมูลดังกล่าวจะถูกประมวลผลอย่างปลอดภัยผ่านผู้ให้บริการ Payment Gateway ภายนอก
  • หมายเลขไอพี (IP Address), ข้อมูลการเข้าสู่ระบบ (Login Logs), ประเภทและเวอร์ชันของเบราว์เซอร์, โซนเวลา, ระบบปฏิบัติการ, ตลอดจนประวัติการใช้งานเว็บไซต์ (Traffic Data) และบันทึกการกระทำต่าง ๆ (Activity Logs) ภายใน Control Panel
  • ประวัติการสนทนา, ข้อความในอีเมล, และข้อซักถามต่าง ๆ ที่ท่านติดต่อมายังผู้ให้บริการ

2. วัตถุประสงค์ในการประมวลผลข้อมูล

เราจะใช้ข้อมูลส่วนบุคคลของท่านภายใต้ฐานความชอบด้วยกฎหมาย เพื่อวัตถุประสงค์ดังต่อไปนี้

  • เพื่อการให้บริการ ในสร้างบัญชีผู้ใช้, ยืนยันตัวตน, ดำเนินการเปิด Instance, จัดการบิลค่าบริการ และให้ความช่วยเหลือด้านเทคนิค
  • เพื่อการรักษาความปลอดภัยและป้องกันการทุจริต โดยตรวจสอบพฤติกรรมการใช้งานที่น่าสงสัย, ป้องกันการเปิดบัญชีปลอม, ป้องกันการโจมตีทางไซเบอร์, และป้องกันการใช้บัตรเครดิต/บัญชีที่ถูกขโมยมาทำธุรกรรม
  • เพื่อปฏิบัติตามกฎหมาย ในการเก็บรักษา Log การใช้งานตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และการจัดทำเอกสารทางภาษี
  • เพื่อการพัฒนาและแจ้งเตือน สถานะเซิร์ฟเวอร์ที่ให้บริการ (เช่น การปิดปรับปรุง, ยอดเงินใกล้หมด), วิเคราะห์สถิติเพื่อพัฒนาบริการ, และส่งข้อมูลข่าวสารทางการตลาด (ท่านสามารถกดยกเลิกการรับข่าวสารการตลาดได้ตลอดเวลา)

3. ผลที่ตามมาหากท่านปฏิเสธการให้ข้อมูล หรือให้ข้อมูลเท็จ

  • ข้อมูลที่เราจัดเก็บเป็นข้อมูลที่ “จำเป็นอย่างยิ่ง” ต่อการทำสัญญาให้บริการ หากท่านไม่สะดวกให้ข้อมูลดังกล่าว เราขอสงวนสิทธิ์ในการปฏิเสธการให้บริการแก่ท่าน
  • ผู้ใช้บริการ ต้อง ให้ข้อมูลที่เป็นความจริงและเป็นปัจจุบันเสมอ หากระบบตรวจพบ หรือมีเหตุอันควรเชื่อได้ว่าท่านใช้ชื่อปลอม, อีเมลชั่วคราว (Temp Mail), เบอร์โทรศัพท์ที่ติดต่อไม่ได้, หรือสวมรอยใช้ข้อมูลของผู้อื่น ผู้ให้บริการมีสิทธิเด็ดขาดในการ ระงับบัญชี ลบข้อมูล Instance ทิ้งถาวร และขอสงวนสิทธิ์ในการระงับยอดเงินคงเหลือ และอาจริบเงินดังกล่าวเพื่อชดเชยเป็นค่าปรับหรือค่าเสียหายที่เกิดขึ้นจากการกระทำผิดของท่านทันทีโดยไม่ต้องแจ้งล่วงหน้า และไม่มีการคืนเงินในทุกกรณี

4. การเปิดเผยและแบ่งปันข้อมูลส่วนบุคคล

เรายึดมั่นที่จะไม่ขาย แลกเปลี่ยน หรือให้เช่าข้อมูลส่วนบุคคลของท่านแก่บุคคลที่สามโดยเด็ดขาด เราอาจแบ่งปันข้อมูลของท่านเฉพาะในกรณีที่จำเป็นดังต่อไปนี้

  • ผู้ให้บริการภายนอก เช่น Data Center (สำหรับการประสานงานระดับเครือข่าย), ผู้ให้บริการ Payment Gateway, และบริการส่งอีเมล (SMTP/SMS Gateway) ซึ่งบุคคลเหล่านี้จะดำเนินการรักษาความลับอย่างเคร่งครัด
  • หน่วยงานบังคับใช้กฎหมายและหน่วยงานรัฐ โดยทางผู้ให้บริการจะให้ความร่วมมือและส่งมอบข้อมูลส่วนบุคคลของผู้ใช้บริการ รวมถึง Log การใช้งานของท่าน ให้แก่ เจ้าหน้าที่ตำรวจ, ศาล, หรือหน่วยงานของรัฐ ในทันที ที่มีการร้องขอตามหมายศาล โดยไม่จำเป็นต้องขออนุญาตจากท่านล่วงหน้า

5. การเก็บรักษาและความปลอดภัยของข้อมูล (Data Retention & Security)

  • เราจะเก็บข้อมูลส่วนบุคคลของท่านไว้ตราบเท่าที่ท่านยังคงเป็นลูกค้าของเรา และจะจัดเก็บต่อเนื่องเป็นระยะเวลา 3 ปี หลังจากบัญชีของท่านถูกยกเลิกแล้ว เพื่อประโยชน์ในการตรวจสอบข้อพิพาททางบัญชี หรือตามที่กฎหมายกำหนด
  • แม้ท่านจะทำการลบ Instance หรือขอลบบัญชีไปแล้ว แต่ตาม พ.ร.บ. คอมพิวเตอร์ฯ ของประเทศไทย เรามีหน้าที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ (Traffic Logs / IP Address) ของท่านไว้อย่างน้อย 90 วัน
  • เราใช้มาตรการทางเทคนิคและการบริหารจัดการที่เข้มงวด (เช่น การเข้ารหัส SSL, ไฟร์วอลล์, และการจำกัดสิทธิ์การเข้าถึงข้อมูลของพนักงาน) เพื่อป้องกันการสูญหาย, เข้าถึง, แก้ไข หรือเปิดเผยข้อมูลโดยมิชอบ

6. สิทธิตามกฎหมายของท่าน

ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ท่านมีสิทธิในข้อมูลของท่าน ดังนี้

  • สิทธิในการเข้าถึงและขอสำเนา โดยท่านสามารถเรียกดูข้อมูลส่วนบุคคลของท่านที่มีอยู่ในระบบของเรา
  • สิทธิในการแก้ไข โดยท่านสามารถอัปเดตข้อมูลของท่านให้ถูกต้องและเป็นปัจจุบันได้ผ่าน Control Panel
  • สิทธิในการขอลบข้อมูล โดยท่านสามารถร้องขอให้เราลบข้อมูลของท่านได้เมื่อหมดความจำเป็น อย่างไรก็ตาม สิทธินี้ไม่ใช่สิทธิเด็ดขาด เราขอสงวนสิทธิ์ในการปฏิเสธคำขอลบข้อมูล หากข้อมูลดังกล่าวยังมีความจำเป็นต้องเก็บไว้เพื่อป้องกันการทุจริต, ใช้เป็นหลักฐานในข้อพิพาท, หรือเพื่อปฏิบัติตามกฎหมายอาญา/พ.ร.บ. คอมพิวเตอร์ฯ
  • สิทธิในการคัดค้านและระงับการใช้ข้อมูล: ท่านสามารถคัดค้านการนำข้อมูลไปใช้เพื่อการตลาดได้

7. นโยบายคุกกี้

เว็บไซต์ของเรามีการใช้คุกกี้ (Cookies) เพื่อแยกแยะท่านออกจากผู้ใช้งานรายอื่น ซึ่งช่วยให้ท่านไม่ต้องล็อกอินซ้ำซาก มอบประสบการณ์การใช้งานที่ราบรื่น และช่วยให้เราวิเคราะห์ประสิทธิภาพของเว็บไซต์ผ่านเครื่องมือ (เช่น Google Analytics) ได้ หากท่านปิดการทำงานของคุกกี้ผ่านเบราว์เซอร์ อาจส่งผลให้บางฟังก์ชันของระบบ Control Panel ไม่สามารถทำงานได้อย่างสมบูรณ์

8. การเปลี่ยนแปลงนโยบาย

ผู้ให้บริการขอสงวนสิทธิ์ในการปรับปรุง แก้ไข หรือเปลี่ยนแปลงนโยบายความเป็นส่วนตัวฉบับนี้ได้ตลอดเวลา สำหรับการเปลี่ยนแปลงที่มีนัยสำคัญต่อข้อมูลส่วนบุคคลของท่าน เราจะแจ้งให้ท่านทราบผ่านทางอีเมล หรือประกาศแจ้งเตือนอย่างชัดเจนบนหน้า Website ก่อนการบังคับใช้ โดย การที่ท่านใช้บริการต่อไปหลังจากการเปลี่ยนแปลงนโยบายใหม่ ถือว่าท่านยอมรับนโยบายฉบับใหม่แล้ว

9. ขอบเขตความรับผิดชอบและการจัดการข้อมูลที่มีความอ่อนไหว ผู้ให้บริการและผู้ใช้บริการตกลงดำเนินการภายใต้ “โมเดลความรับผิดชอบร่วมกัน” ซึ่งมีผลผูกพันทางกฎหมาย (PDPA และ พ.ร.บ. คอมพิวเตอร์ฯ) ดังนี้

9.1 ขอบเขตความรับผิดชอบของผู้ให้บริการ

  • ผู้ให้บริการมีสถานะเป็นเพียง “ผู้ให้บริการโครงสร้างพื้นฐาน และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” เฉพาะในส่วนของข้อมูลที่ใช้สมัครสมาชิก (เช่น ชื่อ อีเมล เบอร์โทร) เท่านั้น
  • ผู้ให้บริการรับผิดชอบเฉพาะความปลอดภัยทางกายภาพของศูนย์ข้อมูล (Physical Security), เสถียรภาพของฮาร์ดแวร์, และความปลอดภัยในระดับ Hypervisor/Network ต้นทาง เท่านั้น

9.2 ขอบเขตความรับผิดชอบของผู้ใช้บริการ

  • ผู้ใช้บริการมีสถานะเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” สำหรับข้อมูลทั้งหมดที่ถูกจัดเก็บ นำเข้า หรือประมวลผลภายใน Instance ของตน
  • หากผู้ใช้บริการนำข้อมูลที่มีความอ่อนไหวสูงตามกฎหมาย PDPA (เช่น ข้อมูลสุขภาพ, ข้อมูลชีวมาตร (Biometrics), ประวัติอาชญากรรม, ศาสนา, รหัสผ่านของบุคคลที่สาม, หรือข้อมูลบัตรเครดิต) มาจัดเก็บใน Instance ผู้ใช้บริการมีหน้าที่ต้องทำการเข้ารหัสข้อมูล ทั้งในขณะจัดเก็บ (Data at Rest) และขณะส่งผ่านเครือข่าย (Data in Transit) และขณะใช้งาน (Data in Process) ด้วยตนเองขั้นสูงสุด
  • ความปลอดภัยของระบบปฏิบัติการ, การอัปเดตซอฟต์แวร์, การจัดการรหัสผ่าน (Access Control), และการตั้งค่าไฟร์วอลล์ภายในเครื่อง เป็นความรับผิดชอบของผู้ใช้บริการแต่เพียงผู้เดียว

9.3 เงื่อนไขกรณีที่ต้องรับผิดชอบและการจำกัดความรับผิด

  • ผู้ให้บริการจะรับผิดชอบชดใช้ความเสียหาย ก็ต่อเมื่อผู้ใช้บริการสามารถพิสูจน์ทางกฎหมายได้ว่า เหตุ Data Breach นั้นเกิดจาก “ความประมาทเลินเล่ออย่างร้ายแรง” ของตัวผู้ให้บริการเองที่ระดับโครงสร้างพื้นฐาน
  • กรณีที่ผู้ให้บริการหลุดพ้นจากความรับผิดชอบ ผู้ให้บริการจะไม่รับผิดชอบใด ๆ ทั้งทางแพ่งและทางอาญา หากข้อมูลอ่อนไหวของผู้ใช้บริการรั่วไหลจากการถูกเจาะระบบที่ระดับแอปพลิเคชัน, ความผิดพลาดของโค้ดผู้ใช้, หรือการกระทำของบุคคลที่สาม ที่เจาะผ่าน ระบบของผู้ใช้บริการเข้ามา
  • ในกรณีสุดวิสัยที่ศาลหรือหน่วยงานของรัฐมีคำสั่งให้ผู้ให้บริการต้องรับผิดชอบร่วม มูลค่าความรับผิดชอบสูงสุดของผู้ให้บริการ จะถูกจำกัดไว้ไม่เกิน “จำนวนเงินค่าบริการที่ผู้ใช้บริการได้ชำระให้แก่ผู้ให้บริการในรอบบิลล่าสุด” ของ Instance ที่เกิดปัญหาเท่านั้น ผู้ให้บริการจะไม่รับผิดชอบต่อค่าเสียหายต่อเนื่อง ค่าเสียโอกาสทางธุรกิจ หรือมูลค่าของข้อมูลที่สูญหายในทุกกรณี

10. มาตรการรับมือเหตุละเมิดข้อมูลส่วนบุคคล

ผู้ให้บริการมีขั้นตอนและโปรโตคอลในการรับมือกับเหตุการณ์ละเมิดข้อมูล (Data Breach) อย่างเป็นระบบ โดยแบ่งแยกความรับผิดชอบตาม “จุดกำเนิด” ของเหตุการณ์อย่างชัดเจน ดังนี้

10.1 กรณีเหตุละเมิดเกิดจาก “โครงสร้างพื้นฐานของผู้ให้บริการ”

หากเกิดการโจมตีหรือข้อผิดพลาดที่ระดับโครงสร้างพื้นฐาน (Hardware, Hypervisor, หรือระบบ Control Panel ของ SUNDAE VPS) ผู้ให้บริการจะดำเนินการตามโปรโตคอลดังนี้

1.การสืบสวน (Investigation) โดยทีมวิศวกรและผู้เชี่ยวชาญด้านความปลอดภัยจะเริ่มทำการตรวจสอบหาแหล่งที่มาของช่องโหว่ (Root Cause Analysis), ขอบเขตความเสียหาย, และประเภทของข้อมูลที่ได้รับผลกระทบ ภายใน 24 ชั่วโมงหลังได้รับแจ้งหรือตรวจพบเหตุผิดปกติ
2.การระงับเหตุและบรรเทาผลกระทบ (Mitigation) ดำเนินการแยกส่วนระบบที่ได้รับผลกระทบ (Isolation), ปิดกั้น IP ที่โจมตี, ระงับการเข้าถึงชั่วคราว, และอุดช่องโหว่ (Patching) เพื่อป้องกันการรั่วไหลเพิ่มเติมในทันที
3.การฟื้นฟูระบบ (Recovery) กู้คืนโครงสร้างพื้นฐานจากระบบสำรองข้อมูล (Infrastructure Backup) ที่ปลอดภัย และนำระบบกลับมาให้บริการตามปกติโดยเร็วที่สุด
4.มาตรการป้องกันในอนาคต (Countermeasures) ทบทวนสถาปัตยกรรมความปลอดภัย, ปรับปรุงกฎไฟร์วอลล์ (Firewall Rules), อัปเดตนโยบายการเข้าถึงข้อมูลของพนักงาน, และจัดทำรายงานหลังเกิดเหตุ (Post-Incident Report)
5. การแจ้งเตือนตามกฎหมาย (Notification Protocol) หากประเมินแล้วว่าการรั่วไหลมีความเสี่ยงสูงต่อสิทธิและเสรีภาพของผู้ใช้บริการ ผู้ให้บริการจะดำเนินการแจ้งเตือนผู้ใช้บริการที่ได้รับผลกระทบ และแจ้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง นับแต่ทราบเหตุ ตามข้อกำหนดของ PDPA

10.2 กรณีเหตุละเมิดเกิดจาก “ภายใน Instance ของผู้ใช้บริการ”

  • หากการรั่วไหลของข้อมูลเกิดจากการถูกแฮกผ่านแอปพลิเคชัน, เว็บไซต์, รหัสผ่านที่คาดเดาง่าย, สคริปต์ที่มีช่องโหว่, หรือการตั้งค่าความปลอดภัยที่หละหลวม “ภายใน OS ของผู้ใช้บริการเอง” ถือเป็นความรับผิดชอบของผู้ใช้บริการ 100% ในฐานะ “ผู้ควบคุมข้อมูล” ที่จะต้องดำเนินการ Investigation, Mitigation, Recovery และรายงานต่อหน่วยงานรัฐด้วยตนเอง
  • สิทธิของผู้ให้บริการในกรณีนี้ ผู้ให้บริการมีสิทธิเด็ดขาดในการ ระงับการเชื่อมต่อ หรือลบ Instance นั้นทิ้งทันที เพื่อป้องกันไม่ให้มัลแวร์หรือการโจมตีนั้นแพร่กระจายและส่งผลกระทบต่อเครือข่ายส่วนรวม โดยไม่ถือว่าผู้ให้บริการมีความผิด

11. ติดต่อเรา

หากท่านมีข้อสงสัยเกี่ยวกับนโยบายความเป็นส่วนตัวนี้ หรือต้องการใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคล โปรดติดต่อเราได้ที่

  • Facebook: sundaevps
  • Instagram: sundaecloud_th