นโยบายความเป็นส่วนตัวและคำแถลงการณ์การคุ้มครองข้อมูล
บริษัท เลเวลมาร์ค แอคเคาน์ติ้ง จำกัด
เวอร์ชัน 2.0 — อัปเดตล่าสุด: มีนาคม 2569
กฎหมายอ้างอิง: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) — กฎหมายหลัก · ระเบียบสหภาพยุโรป 2016/679 ว่าด้วยการคุ้มครองข้อมูลทั่วไป (GDPR) — ใช้บังคับเฉพาะผู้ที่มีถิ่นพำนักในสหภาพยุโรป/EEA เท่านั้น · ประมวลรัษฎากรไทย
1. ผู้ควบคุมข้อมูล
ผู้ควบคุมข้อมูลที่รับผิดชอบข้อมูลส่วนบุคคลของท่าน คือ:
บริษัท เลเวลมาร์ค แอคเคาน์ติ้ง จำกัด 30 ซอยสุขุมวิท 61 (เสถาบุตร) แขวงคลองตันเหนือ เขตวัฒนา กรุงเทพมหานคร 10110 — ประเทศไทย อีเมล: info@lmaccfirm.com เว็บไซต์: lmaccfirm.com
หากมีคำถามใดๆ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล โปรดติดต่อผู้ควบคุมข้อมูลโดยตรงที่อีเมลข้างต้น โดยระบุหัวข้อว่า: “ความเป็นส่วนตัว — [ประเภทคำร้องขอ]”
หมายเหตุเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูล (DPO): จากกิจกรรมที่บริษัท เลเวลมาร์ค แอคเคาน์ติ้ง จำกัด ดำเนินการอยู่ในปัจจุบัน ซึ่งไม่เกี่ยวข้องกับการประมวลผลข้อมูลในวงกว้างหรือการติดตามตรวจสอบเจ้าของข้อมูลอย่างเป็นระบบ การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลจึงไม่เป็นข้อบังคับตามมาตรา 37 GDPR หรือมาตรา 41 แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หากกิจกรรมของบริษัทขยายตัวจนถึงขั้นที่จำเป็นต้องมีการแต่งตั้งดังกล่าว ผู้ควบคุมข้อมูลจะดำเนินการแต่งตั้งและแจ้งต่อหน่วยงานกำกับดูแลที่มีอำนาจโดยทันที คำถามด้านการคุ้มครองข้อมูลทั้งหมดได้รับการดูแลโดยตรงจากผู้ควบคุมข้อมูลที่ info@lmaccfirm.com
2. ขอบเขตการบังคับใช้
นโยบายความเป็นส่วนตัวฉบับนี้ใช้บังคับกับผู้ใช้และลูกค้าทั้งหมดของบริษัท เลเวลมาร์ค แอคเคาน์ติ้ง จำกัด และสอดคล้องกับกฎหมายดังต่อไปนี้ตามถิ่นที่อยู่ของเจ้าของข้อมูล:
| ถิ่นที่อยู่ของผู้ใช้ | กฎหมายที่ใช้บังคับ | หน่วยงานกำกับดูแล |
|---|---|---|
| **ประเทศไทย** | พ.ร.บ. PDPA พ.ศ. 2562 (กฎหมายหลัก) | คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) |
| **สหภาพยุโรป / EEA** | GDPR 2016/679 (ใช้บังคับเพิ่มเติมจาก PDPA) | หน่วยงานคุ้มครองข้อมูลในประเทศที่ผู้ใช้มีถิ่นพำนัก |
| **ถิ่นที่อยู่อื่นๆ** | PDPA เป็นกฎหมายหลัก | สคส. |
สำคัญ — ขอบเขตการบังคับใช้ GDPR: ระเบียบคุ้มครองข้อมูลทั่วไปของสหภาพยุโรปใช้บังคับเฉพาะกับเจ้าของข้อมูลที่มีถิ่นพำนักในสหภาพยุโรปหรือเขตเศรษฐกิจยุโรป (EEA) เท่านั้น ตามมาตรา 3(2) GDPR สำหรับผู้ใช้ทั้งหมด พ.ร.บ. PDPA ของไทยเป็นกฎหมายหลักที่ใช้บังคับ
ในกรณีที่กฎหมายทั้งสองแตกต่างกัน จะมีการระบุระบอบที่ใช้บังคับสำหรับแต่ละประเภทผู้ใช้ไว้อย่างชัดเจน ในกรณีที่สอดคล้องกัน ซึ่งเป็นกรณีส่วนใหญ่เนื่องจาก พ.ร.บ. PDPA ได้รับแบบอย่างมาจาก GDPR จะใช้กฎเดียวกัน
3. การเก็บรวบรวมข้อมูลส่วนบุคคล
เราปฏิบัติตามหลักการการเก็บข้อมูลให้น้อยที่สุดเท่าที่จำเป็น (มาตรา 22 PDPA / มาตรา 5(1)(c) GDPR)
เราเก็บรวบรวมเฉพาะข้อมูลที่ท่านสมัครใจให้ผ่านแบบฟอร์มติดต่อของเรา ซึ่งได้แก่:
- ชื่อและนามสกุล
- ที่อยู่อีเมล
- เนื้อหาของข้อความ (และข้อมูลส่วนบุคคลใดๆ ที่อยู่ในข้อความนั้น)
เราไม่เก็บรวบรวม:
- ประวัติการเรียกดูเว็บไซต์
- หมายเลข IP เพื่อวัตถุประสงค์ในการติดตาม
- การวิเคราะห์พฤติกรรม
- ข้อมูลตำแหน่งที่ตั้ง
- คุกกี้ทุกประเภท (ดูมาตรา 4)
การให้ข้อมูลมีลักษณะดังนี้:
- บังคับ: ฟิลด์ชื่อ อีเมล และข้อความ — หากไม่มีข้อมูลเหล่านี้ จะไม่สามารถดำเนินการตามคำร้องขอติดต่อหรือให้คำปรึกษาเบื้องต้นได้
- ไม่บังคับ: การให้ความยินยอมในการรับการสื่อสารทางการตลาด (ช่องทำเครื่องหมายแยกต่างหาก ไม่ได้ทำเครื่องหมายไว้ล่วงหน้า) — การปฏิเสธไม่ส่งผลกระทบต่อการให้บริการแต่อย่างใด
ผลกระทบจากการไม่ให้ข้อมูล: หากไม่ให้ข้อมูลที่บังคับ จะไม่สามารถตอบสนองต่อคำถามหรือดำเนินการตามคำร้องขอรับคำปรึกษาได้
4. นโยบายคุกกี้ — เว็บไซต์ปลอดคุกกี้
เราไม่ใช้คุกกี้ทุกประเภท
เว็บไซต์นี้ได้รับการออกแบบให้เป็นแอปพลิเคชันแบบสถิตที่ไม่มีสถานะ เราไม่ติดตั้งคุกกี้วิเคราะห์ ติดตาม การตลาด หรือทางเทคนิคบนอุปกรณ์ของผู้ใช้ การเรียกดูเว็บไซต์ของเราเป็นไปอย่างไม่เปิดเผยตัวตนโดยสมบูรณ์
ผลทางตรง: ไม่จำเป็นต้องมีแบนเนอร์ขอความยินยอมคุกกี้ ซึ่งสอดคล้องอย่างสมบูรณ์กับ:
- แนวปฏิบัติของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เกี่ยวกับคุกกี้และการติดตามออนไลน์
- หลักการ Privacy by Design (มาตรา 25 GDPR / มาตรา 37 PDPA)
- การไม่มีการประมวลผลผ่านคุกกี้หมายความว่าไม่มีข้อกำหนดทางกฎหมายในการขอความยินยอมสำหรับคุกกี้
5. วัตถุประสงค์และฐานทางกฎหมายของการประมวลผล
เราประมวลผลข้อมูลของท่านบนพื้นฐานความยินยอมอย่างชัดแจ้ง ตามที่กำหนดไว้ใน:
- มาตรา 19 พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
- มาตรา 6(1)(a) และมาตรา 7 GDPR (สำหรับผู้ที่มีถิ่นพำนักในสหภาพยุโรป/EEA)
แบบฟอร์มติดต่อของเราต้องการความยินยอมที่ชัดเจน เฉพาะเจาะจง และแยกต่างหากสำหรับแต่ละวัตถุประสงค์ ผ่านช่องทำเครื่องหมายที่ไม่ได้ทำเครื่องหมายไว้ล่วงหน้า:
☐ ความยินยอมที่จำเป็น — การจัดการคำร้องขอ ข้าพเจ้ายินยอมให้บริษัท เลเวลมาร์ค แอคเคาน์ติ้ง จำกัด ประมวลผลข้อมูลติดต่อของข้าพเจ้า (ชื่อ อีเมล ข้อความ) เพื่อวัตถุประสงค์ในการตอบสนองต่อคำร้องขอของข้าพเจ้าและให้คำปรึกษาเบื้องต้นด้านการบัญชี การปฏิบัติตามกฎหมายภาษี และบริการที่ปรึกษาธุรกิจในประเทศไทย
☐ ความยินยอมที่ไม่บังคับ — การสื่อสารทางการตลาด (Double Opt-In สำหรับผู้สมัครในสหภาพยุโรป/EEA) ข้าพเจ้ายินยอมรับการอัปเดตเป็นครั้งคราวจากบริษัท เลเวลมาร์ค แอคเคาน์ติ้ง จำกัด รวมถึง: การแจ้งเตือนด้านภาษี การเปลี่ยนแปลงกฎระเบียบที่ส่งผลกระทบต่อธุรกิจในประเทศไทย จดหมายข่าวด้านการบัญชีและการปฏิบัติตามกฎหมาย และการอัปเดตบริการ
หมายเหตุ Double Opt-In: สำหรับผู้สมัครที่มีถิ่นพำนักในสหภาพยุโรป/EEA การสมัครรับการสื่อสารเชิงโปรโมชันจะได้รับการยืนยันผ่านอีเมลติดตามผลหลังจากบันทึกความยินยอมครั้งแรก ตามแนวปฏิบัติที่ดีด้านการคุ้มครองข้อมูลของสหภาพยุโรปและแนวปฏิบัติของหน่วยงานกำกับดูแลที่เกี่ยวข้อง
ความยินยอมของท่าน:
- ให้อย่างเสรีและได้รับแจ้งข้อมูลครบถ้วน — เราอธิบายวัตถุประสงค์แต่ละข้ออย่างชัดเจน
- เป็นแบบแยกส่วน — ช่องทำเครื่องหมายแยกกันสำหรับวัตถุประสงค์ที่แตกต่างกัน
- ไม่มีเงื่อนไข — การปฏิเสธความยินยอมที่ไม่บังคับไม่ส่งผลกระทบต่อการให้บริการ
- มีการบันทึก — เราบันทึกวันที่ เวลา และเวอร์ชันของนโยบายในขณะที่ให้ความยินยอม
- สามารถถอนได้ทุกเมื่อ — โดยส่งอีเมลถึง info@lmaccfirm.com โดยระบุหัวข้อว่า “ถอนความยินยอม”
เราไม่ใช้ช่องทำเครื่องหมายที่ทำไว้ล่วงหน้า เราไม่ประมวลผลข้อมูลของท่านเพื่อวัตถุประสงค์อื่นนอกจากที่ท่านได้ให้ความยินยอมอย่างชัดแจ้ง การถอนความยินยอมไม่กระทบต่อความชอบด้วยกฎหมายของการประมวลผลที่ดำเนินการก่อนหน้าการถอน (มาตรา 19(3) PDPA / มาตรา 7(3) GDPR)
6. ระยะเวลาการเก็บรักษาข้อมูล
เราเก็บรักษาข้อมูลส่วนบุคคลของท่านเท่าที่จำเป็นอย่างเคร่งครัดสำหรับวัตถุประสงค์ที่เก็บรวบรวมมา โดยสอดคล้องกับประมวลรัษฎากรไทยและข้อกำหนดของ พ.ร.บ. PDPA:
| ประเภทข้อมูล | ระยะเวลาเก็บรักษา | ฐานทางกฎหมาย |
|---|---|---|
| คำร้องขอติดต่อที่ไม่มีความสัมพันธ์ทางการค้า | **1 ปี** นับจากการติดต่อครั้งล่าสุด | หลักการลดข้อมูล — มาตรา 22 PDPA / มาตรา 5(1)(e) GDPR |
| บันทึกบัญชีของลูกค้า | **อย่างน้อย 5 ปี** หลังจากสิ้นสุดการมอบหมายงาน | มาตรา 12 ประมวลรัษฎากร |
| เอกสารภาษีและการติดต่อที่เกี่ยวข้อง | **10 ปี** | มาตรา 3 ประมวลรัษฎากร |
| บันทึกความยินยอมและคำร้อง DSAR | **3 ปี** นับจากการถอนความยินยอมหรือการแก้ไขปัญหา | มาตรา 19 PDPA / มาตรา 7(1) GDPR — ภาระการพิสูจน์ |
| การสมัครรับการสื่อสารทางการตลาด | จนกว่าจะ**ถอนความยินยอม** | มาตรา 19(3) PDPA / มาตรา 7(3) GDPR |
หลังจากสิ้นสุดระยะเวลาเก็บรักษา ข้อมูลจะถูกลบหรือทำให้ไม่ระบุตัวตนอย่างปลอดภัยและไม่สามารถกู้คืนได้ เว้นแต่ข้อผูกพันทางกฎหมายจะกำหนดให้เก็บรักษาไว้นานกว่านั้น ท่านสามารถร้องขอการลบข้อมูลก่อนกำหนด โดยอยู่ภายใต้ข้อผูกพันทางกฎหมายของเรา (ดูมาตรา 8)
7. การแบ่งปันข้อมูลและความปลอดภัย
เราไม่ขาย แลกเปลี่ยน เช่า หรือโอนข้อมูลส่วนบุคคลของท่านให้กับบุคคลที่สามเพื่อวัตถุประสงค์ทางการค้า
ข้อมูลของท่านได้รับการคุ้มครองด้วยมาตรการรักษาความปลอดภัยที่ครอบคลุม สอดคล้องกับมาตรา 37 PDPA และมาตรา 32 GDPR:
มาตรการทางเทคนิค:
- การเข้ารหัส HTTPS/TLS สำหรับข้อมูลทั้งหมดระหว่างการส่ง
- การเข้ารหัสข้อมูลที่เก็บไว้ในระบบจัดเก็บ
- การเข้าถึงที่ได้รับการปกป้องด้วยการตรวจสอบตัวตนแบบหลายปัจจัย
- การอัปเดตความปลอดภัยเป็นประจำสำหรับระบบทั้งหมด
มาตรการองค์กร:
- การเข้าถึงข้อมูลจำกัดอย่างเคร่งครัดตามหลักการ need-to-know
- ข้อผูกพันด้านการรักษาความลับที่มีการบันทึกสำหรับบุคลากรทุกคนที่เข้าถึงข้อมูล
- ขั้นตอนภายในสำหรับการจัดการข้อมูลส่วนบุคคลและการตอบสนองต่อเหตุการณ์
มาตรการทางกายภาพ:
- สำนักงานที่ปลอดภัยพร้อมการควบคุมการเข้าถึง
- การจัดเก็บเอกสารจริงในพื้นที่ที่มีการล็อกและจำกัดการเข้าถึง
- การล็อกอุปกรณ์อัตโนมัติเมื่อไม่มีการใช้งาน
8. การโอนข้อมูลข้ามพรมแดน
ในบางกรณีด้านการปฏิบัติงาน เช่น ซอฟต์แวร์บัญชีบนคลาวด์ โฮสติ้งอีเมลที่ปลอดภัย หรือโครงสร้างพื้นฐานคลาวด์ ข้อมูลส่วนบุคคลอาจถูกโอนไปนอกประเทศไทย การโอนข้อมูลระหว่างประเทศทั้งหมดจะดำเนินการให้สอดคล้องกับมาตรา 28–29 ของ PDPA และประกาศของ PDPC เรื่องการโอนข้อมูลส่วนบุคคลข้ามพรมแดน ซึ่งมีผลตั้งแต่วันที่ 24 มีนาคม 2567
เราดำเนินการให้มีการคุ้มครองที่เพียงพอผ่านกลไกทางกฎหมายอย่างน้อยหนึ่งข้อดังต่อไปนี้:
- การโอนไปยังประเทศที่มีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอ (เมื่อ PDPC เผยแพร่รายชื่อประเทศที่ได้รับการอนุมัติ) หรือ
- การดำเนินการตามข้อกำหนดสัญญามาตรฐาน (SCC) หรือมาตรการป้องกันที่เทียบเท่าซึ่ง PDPC อนุมัติ หรือ
- ความยินยอมอย่างชัดแจ้งของท่านสำหรับการโอนข้ามพรมแดนนั้นๆ ที่ได้รับในขณะเก็บรวบรวมข้อมูล (มาตรา 29 PDPA / มาตรา 49(1)(a) GDPR สำหรับผู้ที่มีถิ่นพำนักในสหภาพยุโรป)
เราดำเนินการตรวจสอบผู้ให้บริการระหว่างประเทศล่วงหน้าเพื่อให้มั่นใจว่าพวกเขารักษามาตรฐานความปลอดภัยที่เทียบเท่ากับที่กำหนดไว้ภายใต้กฎหมายไทย และกฎหมายสหภาพยุโรปในกรณีที่เกี่ยวข้อง
9. สิทธิของท่าน
สำหรับผู้ใช้ทุกคน — มาตรา 30–38 พ.ร.บ. PDPA พ.ศ. 2562
| สิทธิ | คำอธิบาย | อ้างอิง PDPA | อ้างอิง GDPR |
|---|---|---|---|
| **สิทธิในการเข้าถึง** | ร้องขอสำเนาข้อมูลส่วนบุคคลที่เราเก็บไว้ | มาตรา 30 | มาตรา 15 |
| **สิทธิในการแก้ไข** | ร้องขอการแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์ | มาตรา 35 | มาตรา 16 |
| **สิทธิในการลบข้อมูล** | ร้องขอการลบข้อมูลของท่าน ("สิทธิที่จะถูกลืม") | มาตรา 33 | มาตรา 17 |
| **สิทธิในการจำกัดการประมวลผล** | ร้องขอการระงับการประมวลผลชั่วคราว | มาตรา 34 | มาตรา 18 |
| **สิทธิในการพกพาข้อมูล** | รับข้อมูลในรูปแบบที่มีโครงสร้างและอ่านได้ด้วยเครื่อง | มาตรา 31 | มาตรา 20 |
| **สิทธิในการคัดค้าน** | คัดค้านการประมวลผลที่อาศัยผลประโยชน์โดยชอบด้วยกฎหมาย | มาตรา 32 | มาตรา 21 |
| **สิทธิในการถอนความยินยอม** | ถอนความยินยอมได้ทุกเมื่อ | มาตรา 19(3) | มาตรา 7(3) |
หมายเหตุสำหรับผู้ที่มีถิ่นพำนักในสหภาพยุโรป/EEA: คอลัมน์อ้างอิง GDPR ข้างต้นใช้บังคับเพิ่มเติมจากสิทธิตาม PDPA ที่ระบุไว้ โดยให้การคุ้มครองที่เทียบเท่าหรือเพิ่มเติมตามความเหมาะสม
วิธีการใช้สิทธิของท่าน
โปรดส่งคำร้องขอเป็นลายลักษณ์อักษรไปที่: อีเมล: info@lmaccfirm.com หัวข้อ: “คำร้องขอเข้าถึงข้อมูลของเจ้าของข้อมูล — [ชื่อของท่าน] — [ประเภทสิทธิ]”
เราจะตอบกลับภายใน 30 วัน นับจากวันที่ได้รับคำร้องขอ (มาตรา 39 PDPA / มาตรา 12(3) GDPR) สำหรับคำร้องขอที่ซับซ้อนเป็นพิเศษ อาจขยายระยะเวลาออกไปอีก 60 วัน (รวม 90 วัน) พร้อมการแจ้งเป็นลายลักษณ์อักษรพร้อมเหตุผลที่ชัดเจนก่อนสิ้นสุดระยะเวลา 30 วันแรก
ข้อจำกัด
สิทธิบางประการอาจถูกจำกัดโดยข้อผูกพันทางกฎหมาย ตัวอย่างเช่น เราไม่สามารถลบบันทึกบัญชีหรือเอกสารภาษีที่เราถูกกำหนดตามกฎหมายให้เก็บรักษาไว้ (5 ปี ตามมาตรา 12 ประมวลรัษฎากร / 10 ปี ตามมาตรา 3 ประมวลรัษฎากร) ในทุกกรณี เราจะแจ้งให้ท่านทราบถึงข้อจำกัดที่ใช้บังคับกับคำร้องขอเฉพาะของท่านเสมอ
10. ข้อมูลของผู้เยาว์
บริการของเรามีวัตถุประสงค์เพื่อผู้ใหญ่และธุรกิจเท่านั้น
เราไม่เก็บรวบรวมข้อมูลส่วนบุคคลของบุคคลที่มีอายุต่ำกว่า 10 ปี โดยไม่มีความยินยอมที่สามารถพิสูจน์ได้จากบิดามารดาหรือผู้ปกครองตามกฎหมาย ตามมาตรา 20 แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
หมายเหตุสำหรับผู้ที่มีถิ่นพำนักในสหภาพยุโรป/EEA: สำหรับเจ้าของข้อมูลที่มีถิ่นพำนักในสหภาพยุโรป/EEA เกณฑ์อายุที่ใช้บังคับคือ 16 ปี (หรือเกณฑ์ขั้นต่ำที่กำหนดโดยประเทศสมาชิกที่ผู้ใช้มีถิ่นพำนัก โดยมีขั้นต่ำที่ 13 ปี) ตามมาตรา 8 GDPR
หากเราทราบว่ามีการเก็บรวบรวมข้อมูลของผู้เยาว์โดยไม่ตั้งใจต่ำกว่าเกณฑ์ที่ใช้บังคับ เราจะดำเนินมาตรการทันทีเพื่อลบข้อมูลดังกล่าว และหากจำเป็นจะแจ้งต่อ PDPC และ/หรือหน่วยงานกำกับดูแลของสหภาพยุโรปที่เกี่ยวข้อง
11. การแจ้งเหตุการณ์ละเมิดข้อมูล
ในกรณีที่เกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคลซึ่งอาจก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล:
การแจ้งต่อหน่วยงานกำกับดูแล:
- เราจะแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) โดยไม่ชักช้าโดยไม่สมควร และหากเป็นไปได้ ภายใน 72 ชั่วโมง นับจากทราบเหตุการณ์ละเมิด ตามมาตรา 37(4) PDPA และระเบียบของ PDPC ว่าด้วยการแจ้งเหตุการณ์ละเมิดข้อมูล (มีผลตั้งแต่ธันวาคม 2565)
- สำหรับการละเมิดที่ส่งผลกระทบต่อผู้ที่มีถิ่นพำนักในสหภาพยุโรป/EEA: เราจะแจ้งหน่วยงานกำกับดูแลของสหภาพยุโรปที่มีอำนาจภายใน 72 ชั่วโมง ตามมาตรา 33 GDPR ด้วย
การแจ้งเจ้าของข้อมูล: หากการละเมิดมีแนวโน้มที่จะก่อให้เกิดความเสี่ยงสูงต่อสิทธิและเสรีภาพของบุคคลธรรมดา เจ้าของข้อมูลที่ได้รับผลกระทบจะได้รับการแจ้งโดยตรงและโดยไม่ชักช้าโดยไม่สมควร (มาตรา 37(5) PDPA / มาตรา 34 GDPR)
เรารักษาแผนการตอบสนองต่อการละเมิดข้อมูลที่มีการบันทึก ซึ่งรวมถึงขั้นตอนสำหรับการตรวจจับ การประเมินความเสี่ยง การควบคุม การแจ้งหน่วยงาน และการสื่อสารกับเจ้าของข้อมูล
12. การตัดสินใจอัตโนมัติและปัญญาประดิษฐ์
เราไม่ใช้การตัดสินใจอัตโนมัติหรือการสร้างโปรไฟล์ที่ก่อให้เกิดผลทางกฎหมายหรือที่ส่งผลกระทบอย่างมีนัยสำคัญต่อบุคคลธรรมดา (มาตรา 26 PDPA / มาตรา 22 GDPR) การตัดสินใจทั้งหมดเกี่ยวกับคำร้องขอและการให้คำปรึกษาของท่านดำเนินการโดยนักบัญชีมืออาชีพที่มีคุณสมบัติเหมาะสม
การใช้ซอฟต์แวร์หรือเครื่องมือ AI เพื่อสนับสนุนการดำเนินงาน: บริษัท เลเวลมาร์ค แอคเคาน์ติ้ง จำกัด อาจใช้ซอฟต์แวร์บัญชี แพลตฟอร์มคลาวด์ หรือเครื่องมือที่ขับเคลื่อนด้วย AI เป็นการสนับสนุนภายในสำหรับการดำเนินงาน ในกรณีดังกล่าว จะไม่มีการแบ่งปันหรือประมวลผลข้อมูลส่วนบุคคลของลูกค้าหรือผู้สอบถามกับหรือโดยเครื่องมือดังกล่าวโดยไม่ผ่านการทำให้ไม่ระบุตัวตนก่อนหรือไม่ได้รับความยินยอมอย่างชัดแจ้ง ซึ่งสอดคล้องกับข้อกำหนดที่เกิดขึ้นจากกฎหมาย AI ของสหภาพยุโรป (ระเบียบ EU 2024/1689) และแนวปฏิบัติของ PDPC ว่าด้วยการประมวลผลข้อมูลอัตโนมัติ
13. หน่วยงานกำกับดูแลที่มีอำนาจ
หากท่านเห็นว่าการประมวลผลข้อมูลส่วนบุคคลของท่านไม่เป็นไปตามกฎหมายที่เกี่ยวข้อง และเราไม่ได้แก้ไขข้อกังวลของท่านอย่างเพียงพอ ท่านมีสิทธิยื่นเรื่องร้องเรียนต่อหน่วยงานกำกับดูแลที่มีอำนาจ:
สำหรับผู้ใช้ทุกคน (หน่วยงานหลัก — ประเทศไทย):
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กรุงเทพมหานคร ประเทศไทย เว็บไซต์: www.pdpc.go.th
สำหรับผู้ใช้ที่มีถิ่นพำนักในสหภาพยุโรป / EEA:
ท่านอาจยื่นเรื่องร้องเรียนต่อหน่วยงานคุ้มครองข้อมูลในประเทศที่ท่านมีถิ่นพำนักภายในสหภาพยุโรป/EEA ได้เช่นกัน รายชื่อหน่วยงานกำกับดูแลของสหภาพยุโรป/EEA ทั้งหมด: https://www.edpb.europa.eu/about-edpb/about-edpb/members_en
อย่างไรก็ตาม เราขอแนะนำให้ท่านติดต่อเราก่อนที่ info@lmaccfirm.com เราให้คำมั่นว่าจะแก้ไขข้อกังวลหรือปัญหาใดๆ โดยตรงและโดยทันที
14. ระยะเวลาตอบสนอง
เราให้คำมั่นว่าจะตอบสนองต่อคำร้องขอที่ถูกต้องตามกฎหมายทั้งหมดภายใน 30 วัน นับจากวันที่ได้รับ (มาตรา 39 PDPA / มาตรา 12(3) GDPR) สำหรับคำร้องขอที่ซับซ้อนหรือมีจำนวนมากเป็นพิเศษ ระยะเวลาอาจขยายออกไปอีก 60 วัน (รวม 90 วัน) พร้อมการแจ้งเป็นลายลักษณ์อักษรพร้อมเหตุผลที่ชัดเจนแก่ท่านก่อนสิ้นสุดระยะเวลา 30 วันแรก
15. กฎหมายที่ใช้บังคับและเขตอำนาจศาลที่มีอำนาจ
นโยบายความเป็นส่วนตัวนี้อยู่ภายใต้บังคับหลักของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ของประเทศไทย สำหรับเรื่องที่เกี่ยวกับผู้ที่มีถิ่นพำนักในสหภาพยุโรป/EEA ระเบียบคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป 2016/679 (GDPR) ใช้บังคับควบคู่กัน
ข้อพิพาทใดๆ ที่เกี่ยวข้องกับการใช้นโยบายความเป็นส่วนตัวนี้และไม่สามารถยุติได้โดยสันติ ให้อยู่ภายใต้เขตอำนาจของ ศาลที่มีอำนาจในกรุงเทพมหานคร ประเทศไทย เว้นแต่บทบัญญัติบังคับของกฎหมายที่เกี่ยวข้องจะกำหนดไว้เป็นอย่างอื่น
16. การเปลี่ยนแปลงนโยบายความเป็นส่วนตัวนี้
นโยบายความเป็นส่วนตัวนี้ได้รับการทบทวนเป็นระยะเพื่อรวมเอา:
- การอัปเดตกฎระเบียบ (PDPA, GDPR, ประมวลรัษฎากรไทย)
- แนวปฏิบัติใหม่จาก PDPC หรือหน่วยงานกำกับดูแลของสหภาพยุโรป
- การเปลี่ยนแปลงในกิจกรรมการประมวลผลของบริษัท เลเวลมาร์ค แอคเคาน์ติ้ง จำกัด
การเปลี่ยนแปลงที่มีสาระสำคัญจะถูกแจ้งให้เจ้าของข้อมูลที่ให้อีเมลไว้ทราบ และในทุกกรณีจะถูกเผยแพร่บนหน้านี้พร้อมวันที่อัปเดตที่แสดงไว้อย่างชัดเจน การใช้เว็บไซต์ต่อไปหลังจากการเผยแพร่การเปลี่ยนแปลงถือเป็นการยอมรับเวอร์ชันที่อัปเดตของนโยบายนี้
17. ติดต่อด้านการคุ้มครองข้อมูล
สำหรับคำถาม คำร้องขอ หรือข้อร้องเรียนด้านการคุ้มครองข้อมูลทั้งหมด โปรดติดต่อ:
ผู้ประสานงานด้านการคุ้มครองข้อมูล บริษัท เลเวลมาร์ค แอคเคาน์ติ้ง จำกัด อีเมล: info@lmaccfirm.com หัวข้อ: “การคุ้มครองข้อมูล — [ชื่อของท่าน] — [ประเภทคำถาม]”
นโยบายนี้จัดทำขึ้นสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA), ประมวลรัษฎากรไทย และระเบียบคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป 2016/679 (GDPR) ในกรณีที่ใช้บังคับกับผู้ที่มีถิ่นพำนักในสหภาพยุโรป/EEA อัปเดตถึงเดือนมีนาคม 2569
บริษัท เลเวลมาร์ค แอคเคาน์ติ้ง จำกัด — info@lmaccfirm.com