Modern health martModernHealth Mart

ความเป็นส่วนตัว

นโยบายความเป็นส่วนตัว

มีผลบังคับใช้: 2 พฤษภาคม 2569 · ปรับปรุงล่าสุด: 2 พฤษภาคม 2569

บริษัท โมเดิร์นเฮลธ์มาร์ท จำกัด (ต่อไปนี้เรียก “บริษัท” “เรา” หรือ “ผู้ควบคุมข้อมูล”) ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลของท่าน และจัดทำนโยบายฉบับนี้ขึ้นเพื่อปฏิบัติตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

นโยบายนี้บังคับใช้กับการเก็บรวบรวม ใช้ เปิดเผย และโอนข้อมูลส่วนบุคคลของ ลูกค้า ผู้สมัครเป็นลูกค้า ผู้ติดต่อสอบถาม และผู้ใช้งานเว็บไซต์ของบริษัท ที่ดำเนินการผ่านเว็บไซต์ (โดเมน modernhealthmart.co.th และ subdomain) ทั้งบนคอมพิวเตอร์และอุปกรณ์เคลื่อนที่

เว็บไซต์นี้ใช้สำหรับสั่งซื้อยาและเวชภัณฑ์ขายส่งสำหรับร้านขายยา คลินิก และโรงพยาบาลที่ลงทะเบียนกับบริษัทเท่านั้น ไม่ได้ออกแบบให้บริการแก่ผู้บริโภคทั่วไปหรือเด็ก (อายุต่ำกว่า 20 ปี)

1. คำนิยาม

  • ข้อมูลส่วนบุคคล — ข้อมูลเกี่ยวกับบุคคลธรรมดาที่ทำให้ระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-สกุล เลขประจำตัว อีเมล เบอร์โทรศัพท์ ที่อยู่ IP address
  • ข้อมูลส่วนบุคคลอ่อนไหว (ม.26) — ข้อมูลเกี่ยวกับเชื้อชาติ ความเชื่อทางศาสนา ความคิดเห็นทางการเมือง สุขภาพ ประวัติอาชญากรรม ฯลฯ — บริษัท ไม่เก็บ ข้อมูลส่วนบุคคลอ่อนไหวผ่านช่องทางเว็บไซต์นี้
  • การประมวลผล — การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น เก็บรวบรวม ใช้ เปิดเผย ส่งต่อ จัดเก็บ ปรับปรุง ลบ ทำลาย
  • เจ้าของข้อมูลส่วนบุคคล (Data Subject) — บุคคลที่ข้อมูลส่วนบุคคลนั้นบ่งบอกถึง
  • ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) — บริษัท โมเดิร์นเฮลธ์มาร์ท จำกัด
  • ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) — บุคคลภายนอกที่ประมวลผลข้อมูลตามคำสั่งของบริษัท

2. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม

2.1 ข้อมูลที่ท่านให้แก่บริษัทโดยตรง

  • ข้อมูลผู้ติดต่อ — ชื่อ-สกุล, รหัสลูกค้า, เบอร์โทรศัพท์, อีเมล
  • ข้อมูลที่อยู่จัดส่ง — ที่อยู่, ตำบล/อำเภอ/จังหวัด/รหัสไปรษณีย์
  • ข้อมูลใบอนุญาตประกอบวิชาชีพหรือใบอนุญาตขายยา (เมื่อจำเป็นต้องตรวจสอบ)
  • ข้อมูลคำสั่งซื้อ — รายการสินค้า ปริมาณ ราคา หมายเหตุการสั่ง

กรณีเอกสารยืนยันตัวตนที่มีข้อมูลอ่อนไหว — หากเอกสารที่ท่านนำส่งบริษัท (เช่น สำเนาบัตรประชาชน) มีข้อมูลส่วนบุคคลอ่อนไหวตาม ม.26 เช่น ศาสนา หรือ หมู่เลือด ปรากฏอยู่ ขอให้ท่านขีดฆ่าหรือปกปิดข้อมูลดังกล่าวก่อนนำส่ง หากท่านไม่ได้ขีดฆ่า บริษัท ขอสงวนสิทธิ์ในการขีดฆ่าหรือปกปิดข้อมูลดังกล่าวแทนท่าน และถือว่าบริษัทไม่ได้เก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหวของท่าน บริษัทจะไม่ใช้ข้อมูลอ่อนไหวที่ปรากฏในเอกสารดังกล่าวเพื่อวัตถุประสงค์ใด ๆ

2.2 ข้อมูลที่บริษัทเก็บโดยอัตโนมัติเมื่อท่านใช้งานเว็บไซต์

  • IP address, ประเภทอุปกรณ์, ระบบปฏิบัติการ, เบราว์เซอร์
  • วันเวลาเข้าใช้งาน, หน้าที่เปิดดู, ระยะเวลาที่ใช้
  • Log ข้อผิดพลาดของระบบ (สำหรับแก้ไขปัญหาทางเทคนิค)
  • คุกกี้และเทคโนโลยีคล้ายคลึง — ดูรายละเอียดในข้อ 7

2.3 ข้อมูลที่ได้รับจากแหล่งอื่น

  • ข้อมูลลูกค้าที่นำเข้าจากระบบบริหารจัดการลูกค้าเดิม (VFP) ของบริษัทเพื่อสร้างบัญชีให้ท่านใช้งานเว็บไซต์

3. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผล

บริษัทประมวลผลข้อมูลส่วนบุคคลของท่านตามวัตถุประสงค์และฐานทางกฎหมายดังนี้

  • ดำเนินการตามคำสั่งซื้อ — รับคำสั่งซื้อ จัดส่งสินค้า ออกใบกำกับภาษี/ใบเสร็จ (ฐานสัญญา ม.24(3))
  • ตรวจสอบสิทธิ์ตามกฎหมายควบคุมยา — ยืนยันใบอนุญาตประกอบวิชาชีพ/ขายยาก่อนจำหน่ายยาควบคุม (ฐานหน้าที่ตามกฎหมาย ม.24(6))
  • ติดต่อสื่อสารและบริการลูกค้า — แจ้งสถานะคำสั่งซื้อ ตอบข้อสอบถาม แจ้งปัญหาสินค้า (ฐานสัญญา ม.24(3))
  • ปฏิบัติตามกฎหมายภาษี/บัญชี — จัดเก็บใบกำกับภาษีและเอกสารทางการเงิน (ฐานหน้าที่ตามกฎหมาย ม.24(6) — ประมวลรัษฎากร)
  • ป้องกันการฉ้อโกงและรักษาความปลอดภัย — ตรวจจับการเข้าใช้งานผิดปกติ จำกัดการเข้าถึง (ฐานประโยชน์โดยชอบด้วยกฎหมาย ม.24(5))

4. ผลกระทบหากท่านไม่ให้ข้อมูลส่วนบุคคล

ข้อมูลในข้อ 2.1 (ชื่อ-สกุล รหัสลูกค้า เบอร์โทร อีเมล ที่อยู่จัดส่ง ใบอนุญาต) เป็นข้อมูลที่จำเป็น สำหรับการเข้าสู่ระบบและการสั่งซื้อ หากท่านไม่ให้ข้อมูลดังกล่าว บริษัทจะไม่สามารถเปิดบัญชีหรือรับคำสั่งซื้อจากท่านได้

ข้อมูลในข้อ 2.2 (เก็บโดยอัตโนมัติ) จำเป็นต่อการให้บริการเว็บไซต์ทำงานถูกต้องและปลอดภัย ท่านไม่สามารถปิดการเก็บข้อมูลในส่วนที่จำเป็นทางเทคนิคได้ แต่สามารถเลือกไม่ใช้คุกกี้ที่เป็นการเลือกรับ (analytics) ได้

5. การเปิดเผยและส่งต่อข้อมูลให้บุคคลที่สาม

บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่บุคคลที่สาม เฉพาะที่จำเป็น ดังนี้

  • ผู้ให้บริการขนส่ง — บริษัทขนส่งที่บริษัทคัดเลือก เพื่อจัดส่งสินค้าตามที่อยู่ที่ท่านระบุ
  • ผู้สอบบัญชี / ผู้ทำบัญชี — เพื่อปฏิบัติตามกฎหมายภาษีและการตรวจสอบบัญชี
  • หน่วยงานราชการ — สำนักงานคณะกรรมการอาหารและยา (อย.), กรมสรรพากร, กรมพัฒนาธุรกิจการค้า, ศาล หรือหน่วยงานอื่นที่มีอำนาจตามกฎหมาย เมื่อมีหมายเรียกหรือหน้าที่ตามกฎหมาย
  • ระบบบัญชี/บริหารคลังสินค้าเดิม (VFP) — เพื่อ sync ข้อมูลคำสั่งซื้อกับระบบบัญชีหลังบ้านของบริษัท
  • ผู้ประมวลผลข้อมูลภายนอก — ดูรายละเอียดในข้อ 6

บริษัท ไม่ขายหรือให้เช่า ข้อมูลส่วนบุคคลของท่านแก่บุคคลภายนอกเพื่อวัตถุประสงค์ทางการตลาด

การสื่อสารทางการตลาดของบริษัท — ปัจจุบันบริษัทไม่ส่งอีเมลโปรโมชั่นหรืออัปเดตสินค้าทางการตลาดให้ลูกค้า การติดต่อทางอีเมลจะเป็นเฉพาะเรื่องที่เกี่ยวข้องกับคำสั่งซื้อ การยืนยันบัญชี และการให้บริการตามสัญญาเท่านั้น หากในอนาคตบริษัทเริ่มส่งการสื่อสารทางการตลาดแบบ B2B (โปรโมชั่น สินค้าใหม่ ข่าวสารด้านยาและเวชภัณฑ์) จะดำเนินการบนฐานประโยชน์โดยชอบด้วยกฎหมาย ม.24(5) และจะมีช่องทางให้ท่าน ยกเลิกการรับข้อมูล (Unsubscribe) ในทุกฉบับโดยไม่มีค่าใช้จ่ายและไม่กระทบต่อสถานะลูกค้าของท่าน

6. ผู้ประมวลผลข้อมูลและการส่งข้อมูลไปต่างประเทศ

บริษัทใช้บริการของผู้ประมวลผลภายนอกที่มีมาตรฐานคุ้มครองข้อมูลเทียบเท่าหรือสูงกว่าที่ PDPA กำหนด และมีข้อตกลงประมวลผลข้อมูล (Data Processing Agreement) กับผู้ประมวลผลทุกราย

  • Vercel Inc. (สหรัฐอเมริกา) — โฮสต์เว็บไซต์
  • Resend (สหรัฐอเมริกา) — ส่งอีเมลยืนยันคำสั่งซื้อ
  • Cloudflare Inc. (สหรัฐอเมริกา) — บริการ Tunnel เชื่อมต่อระบบหลังบ้าน

การส่งข้อมูลไปต่างประเทศ (ม.28) — เนื่องจากผู้ประมวลผลข้างต้นมีโครงสร้างพื้นฐานในประเทศสหรัฐอเมริกา ข้อมูลของท่านอาจถูกส่งหรือจัดเก็บไว้นอกประเทศไทย บริษัทใช้มาตรการตามที่ PDPA กำหนด ได้แก่ ข้อสัญญาประมวลผลข้อมูลมาตรฐาน (Data Processing Agreement) และจำกัดข้อมูลที่ส่งให้น้อยที่สุดเท่าที่จำเป็น

7. คุกกี้ (Cookies)

เว็บไซต์ใช้คุกกี้ดังนี้

  • คุกกี้ที่จำเป็น (Strictly Necessary) — session cookie สำหรับการเข้าสู่ระบบและรักษาสถานะตะกร้าสินค้า ไม่สามารถปิดการใช้งานได้ มิเช่นนั้นจะใช้งานเว็บไซต์ไม่ได้

8. ระยะเวลาเก็บและการทำลายข้อมูล

  • ข้อมูลคำสั่งซื้อและใบกำกับภาษี — 5 ปี ตามประมวลรัษฎากร
  • ข้อมูลบัญชีผู้ใช้ — ตลอดระยะเวลาที่ท่านเป็นลูกค้าของบริษัท บวกอีก 1 ปีหลังการใช้งานครั้งสุดท้าย
  • Log การเข้าใช้งานและข้อผิดพลาด — 90 วัน (เพื่อให้สอดคล้องกับ พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550)

เมื่อพ้นระยะเวลาดังกล่าว บริษัทจะทำลายข้อมูลส่วนบุคคล หรือทำให้ไม่สามารถระบุตัวบุคคลได้ (Anonymization) ภายในกรอบเวลาที่กำหนดในมาตรการรักษาความปลอดภัยของบริษัท

9. มาตรการรักษาความปลอดภัยของข้อมูล

บริษัทใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลของท่าน เช่น

  • การเข้ารหัสการสื่อสาร (HTTPS/TLS) ทุกการเชื่อมต่อ
  • การเก็บรหัสผ่านในรูปแบบ hashed
  • การจำกัดสิทธิ์การเข้าถึงตามหน้าที่ (Role-based access control)
  • การจัดเก็บฐานข้อมูลใน on-premise server ของบริษัท เข้าถึงผ่าน Cloudflare Tunnel
  • การตรวจสอบ access log อย่างสม่ำเสมอ
  • การฝึกอบรมพนักงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

การแจ้งเตือนเหตุละเมิดข้อมูลส่วนบุคคล — ในกรณีที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach) บริษัทจะดำเนินการแจ้ง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ทราบโดยไม่ชักช้าและภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะกระทำได้ตามที่ ม.37(4) กำหนด และในกรณีที่เหตุละเมิดดังกล่าวมีความเสี่ยงสูงต่อสิทธิ์และเสรีภาพของท่าน บริษัทจะแจ้งให้ท่านทราบพร้อมแนวทางเยียวยาโดยไม่ชักช้าผ่านอีเมลที่ลงทะเบียนไว้

10. สิทธิ์ของเจ้าของข้อมูลส่วนบุคคล

ท่านมีสิทธิ์ตาม PDPA ดังนี้ และสามารถใช้สิทธิ์ได้โดยติดต่อบริษัทตามช่องทางในข้อ 12

  • สิทธิ์ขอเข้าถึงและขอสำเนาข้อมูล (ม.30)
  • สิทธิ์ขอแก้ไขข้อมูลให้ถูกต้องและเป็นปัจจุบัน (ม.35)
  • สิทธิ์ขอลบหรือทำลายข้อมูล (ม.33)
  • สิทธิ์ขอระงับการใช้ข้อมูล (ม.34)
  • สิทธิ์คัดค้านการประมวลผลข้อมูล (ม.32)
  • สิทธิ์ขอให้โอนย้ายข้อมูล (ม.31)
  • สิทธิ์ถอนความยินยอมที่เคยให้ไว้ (ม.19 วรรคห้า) — โดยไม่กระทบการประมวลผลที่เกิดขึ้นก่อนถอนความยินยอม
  • สิทธิ์ร้องเรียนต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หากเห็นว่าบริษัทดำเนินการไม่เป็นไปตามกฎหมาย

บริษัทจะตอบสนองคำร้องของท่านภายใน 30 วัน นับแต่วันที่ได้รับคำร้อง ในกรณีที่ปฏิเสธคำร้อง บริษัทจะแจ้งเหตุผลพร้อมข้อมูลการอุทธรณ์ตามกฎหมาย

11. การปรับปรุงนโยบาย

บริษัทอาจปรับปรุงนโยบายฉบับนี้เป็นครั้งคราวเมื่อมีการเปลี่ยนแปลงการประมวลผลข้อมูล กฎหมาย หรือมาตรฐานการคุ้มครองข้อมูล โดยจะประกาศนโยบายฉบับปรับปรุงไว้ที่หน้านี้ และอัปเดต “วันที่ปรับปรุงล่าสุด” ที่ส่วนบนของเอกสาร หากการปรับปรุงเป็นสาระสำคัญ บริษัทจะแจ้งให้ท่านทราบผ่านเว็บไซต์หรืออีเมลก่อนมีผลบังคับใช้

12. ผู้ควบคุมข้อมูลและช่องทางการติดต่อ

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

  • บริษัท โมเดิร์นเฮลธ์มาร์ท จำกัด
  • เลขนิติบุคคล: 0105538042901
  • ที่อยู่: 27/1 ซอยเจริญนคร 14 ถนนเจริญนคร แขวงคลองต้นไทร เขตคลองสาน กรุงเทพมหานคร 10600
  • อีเมล: boonsinpharmacy@gmail.com
  • หมายเลขโทรศัพท์: 02-862-0590

เจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer)

  • อีเมล: boonsinpharmacy@gmail.com
  • หมายเลขโทรศัพท์: 02-862-0590

กลับสู่ หน้าหลัก