ประกาศความเป็นส่วนตัว

ข้อ 1 บทนำ

ประกาศความเป็นส่วนตัวฉบับนี้ (“ประกาศ”) อธิบายว่า บริษัท วิสัย เอไอ จำกัด (“บริษัท”, “VISAI”) เก็บรวบรวม ใช้ เปิดเผย โอน จัดเก็บ และคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ FourCorners (“ผู้ใช้งาน”) อย่างไร เมื่อผู้ใช้งานสมัครสมาชิก ใช้บริการ ติดต่อสอบถาม หรือมีปฏิสัมพันธ์กับ FourCorners ผ่านเว็บไซต์ แอปพลิเคชัน API ฟีเจอร์เสริม หรือช่องทางอื่นที่เกี่ยวข้อง

ประกาศนี้จัดทำขึ้นเพื่อสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล”) และกฎหมายลำดับรองที่เกี่ยวข้อง การใช้บริการของผู้ใช้งานยังอยู่ภายใต้ข้อกำหนดการใช้บริการ FourCorners ด้วย หากข้อความเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลในเอกสารสองฉบับขัดกัน ให้ตีความตามประกาศนี้

ข้อ 2 ผู้ควบคุมข้อมูลส่วนบุคคล

หากต้องการติดต่อผู้ควบคุมข้อมูลส่วนบุคคลสำหรับบริการ FourCorners สามารถติดต่อได้ผ่านช่องทางนี้

บริษัท วิสัย เอไอ จำกัด

ที่อยู่: เลขที่ 555 หมู่ 1 ตำบลป่ายุบใน อำเภอวังจันทร์ จังหวัดระยอง 21210

อีเมลทั่วไป: dpo_visai@vistec.ac.th

โทรศัพท์: 02 096 4491

บริษัทได้ดำเนินการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment — DPIA) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อประเมินว่ากิจกรรมการประมวลผลข้อมูลของบริการเข้าเกณฑ์ที่ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ตามมาตรา 41 หรือไม่ หากผลการประเมินสรุปว่าจำเป็นต้องแต่งตั้ง DPO บริษัทจะระบุชื่อและช่องทางติดต่อ DPO ไว้ข้างต้นให้ครบถ้วน ผู้ใช้งานสามารถติดต่อ DPO หรือบริษัทผ่านช่องทางข้างต้นเพื่อสอบถามเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลได้ตลอดเวลา

ข้อ 3 คำนิยาม

เว้นแต่บริบทจะกำหนดไว้เป็นอย่างอื่น ให้คำและข้อความต่อไปนี้มีความหมายดังนี้ ทั้งในประกาศความเป็นส่วนตัวฉบับนี้และในข้อกำหนดการใช้บริการ FourCorners

“บริษัท” หมายความว่า บริษัท วิสัย เอไอ จำกัด หรือเรียกว่า "VISAI"

“บริการ” หมายความว่า แพลตฟอร์ม FourCorners รวมถึงเว็บไซต์ แอปพลิเคชัน API ฟังก์ชันการค้นหา วิเคราะห์ สรุป ร่างข้อความ การจัดเก็บประวัติการใช้งาน และบริการที่เกี่ยวข้องทั้งหมด รวมถึง Connector และ Knowledge Plugin ที่ผู้ใช้งานอาจเปิดใช้งาน

“ผู้ใช้” หมายความว่า บุคคลธรรมดาที่ลงทะเบียนใช้บริการหรือเข้าถึงบริการ

“Free Tier” หมายความว่า แผนใช้ฟรีหรือแผนทดลองใช้ หรือแผนที่บริษัทให้สิทธิใช้งานโดยไม่คิดค่าบริการเต็มรูปแบบ

“Paid Tier” หมายความว่า แผนใช้งานแบบชำระเงินของ FourCorners ไม่ว่าจะเป็นรายเดือน รายปี หรือรูปแบบอื่น

“เนื้อหาของผู้ใช้ หรือ User Content” หมายความว่า ข้อมูลทุกประเภทที่ผู้ใช้งานป้อน อัปโหลด ส่งผ่าน สั่งงาน สร้าง บันทึก หรือเก็บไว้ในบริการ รวมถึงคำค้นหา คำสั่ง (prompts) ไฟล์ เอกสาร ข้อความ โน้ต ความเห็น และข้อมูลประกอบอื่นใด

“ผลลัพธ์ หรือ Output” หมายความว่า ข้อความ สรุป คำตอบ การวิเคราะห์ การร่างเอกสาร หรือผลลัพธ์ใดๆ ที่บริการสร้างขึ้นจากการประมวลผล User Content

“ข้อมูลส่วนบุคคล และ ข้อมูลส่วนบุคคลอ่อนไหว” หมายความว่า ให้มีความหมายตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง

“ผู้ประมวลผลระบบคลาวด์สำรอง หรือ Cloud Failover Processor” หมายความว่า ผู้ให้บริการภายนอกที่บริษัทคัดเลือกและอนุมัติ ซึ่งบริษัทจะใช้โดยอัตโนมัติเมื่อระบบ on-premise ไม่สามารถให้บริการได้ เพื่อรักษาความต่อเนื่องของบริการ ตามรายชื่อที่ระบุไว้ในข้อ 7.3

“ตัวเชื่อมต่อ หรือ Connector” หมายความว่า การเชื่อมต่อที่ผู้ใช้งานกำหนดค่าขึ้นเอง เพื่อให้ FourCorners สามารถสืบค้นแหล่งความรู้ภายนอกในนามของผู้ใช้งานผ่าน Model Context Protocol (MCP)

“Knowledge Plugin” หมายความว่า Connector ประเภทหนึ่งที่เชื่อมต่อกับบริการจัดการความรู้ของบุคคลภายนอก (เริ่มต้นด้วย Google NotebookLM) เพื่อเสริมฐานข้อมูลของ FourCorners ด้วยเนื้อหาที่ผู้ใช้งานรวบรวมไว้เอง

“ผู้ให้บริการปลั๊กอินภายนอก หรือ Third-Party Plugin Provider” หมายความว่า ผู้ให้บริการภายนอกที่ดำเนินการแหล่งความรู้ซึ่งเข้าถึงผ่าน Connector (เช่น Google LLC สำหรับ NotebookLM)

ข้อ 4 ประเภทข้อมูลส่วนบุคคลที่เก็บรวบรวม

ประเภทของข้อมูลที่บริษัทเก็บรวบรวมขึ้นอยู่กับวิธีที่ผู้ใช้งานใช้บริการ ฟีเจอร์ที่เปิดใช้ แผนบริการ และการตั้งค่าความเป็นส่วนตัว โดยทั่วไปบริษัทอาจเก็บรวบรวมข้อมูลดังต่อไปนี้

• ข้อมูลบัญชีและข้อมูลติดต่อ ได้แก่ ชื่อ-นามสกุล ชื่อบัญชี อีเมล หมายเลขโทรศัพท์ รหัสผ่านแบบแฮช องค์กร/ตำแหน่ง และข้อมูลยืนยันตัวตน
• ข้อมูลการสมัครและการชำระเงิน ได้แก่ แผนบริการ สถานะสมาชิก ใบแจ้งหนี้ ข้อมูลธุรกรรม และประวัติการเรียกเก็บเงิน
• ข้อมูลการใช้งานบริการ ได้แก่ คำค้นหา คำสั่ง (prompts) ไฟล์ที่อัปโหลด เอกสาร ประวัติการใช้งาน แชตที่บันทึกไว้ ผลลัพธ์ที่สร้างขึ้น และการตั้งค่าผู้ใช้
• ข้อมูลทางเทคนิคและความมั่นคงปลอดภัย ได้แก่ IP address ประเภทอุปกรณ์ ระบบปฏิบัติการ เบราว์เซอร์ cookies, event logs, error logs, audit trails
• ข้อมูลการสื่อสารและการสนับสนุน ได้แก่ อีเมล เนื้อหาการสนทนากับฝ่ายสนับสนุน feedback และบันทึกการแก้ไขปัญหา
• ข้อมูลของบุคคลอื่น ที่รวมอยู่ในเอกสารหรือคำสั่งที่ผู้ใช้งานป้อนเข้าสู่บริการ
• ข้อมูลจาก Knowledge Plugin ได้แก่ คำขอสืบค้นที่ส่งไปยังและคำตอบที่ได้รับจาก Third-Party Plugin Provider ข้อมูลการกำหนดค่า Connector และข้อมูลการติดตามโควต้าการใช้งานผ่านคุกกี้ของส่วนขยายเบราว์เซอร์
• ข้อมูลส่วนบุคคลอ่อนไหว (ข้อมูลสุขภาพ ประวัติอาชญากรรม ข้อมูลชีวภาพ ฯลฯ) ที่อาจปรากฏอยู่ในเอกสารที่ผู้ใช้งานนำเข้าสู่บริการ ทั้งนี้ บริษัทแนะนำให้ปกปิด (mask) ข้อมูลดังกล่าวก่อนนำเข้า ตามข้อ 11

ข้อ 5 แหล่งที่มาของข้อมูลส่วนบุคคล

บริษัทอาจได้รับข้อมูลส่วนบุคคลของผู้ใช้งานจาก

• ผู้ใช้งานโดยตรง เมื่อผู้ใช้งานสมัครสมาชิก กรอกแบบฟอร์ม อัปโหลดเอกสาร ป้อนคำสั่ง ให้ feedback หรือใช้บริการ
• อุปกรณ์และการใช้งานของผู้ใช้งานโดยอัตโนมัติ (logs, cookies, telemetry)
• ผู้ให้บริการภายนอก อาทิ ผู้ให้บริการชำระเงิน ผู้ให้บริการเข้าสู่ระบบ ผู้ประมวลผลคลาวด์สำรอง
• บุคคลที่ผู้ใช้งานมอบหมาย หรืออนุญาตให้ใช้งานร่วมกับผู้ใช้งาน
• Third-Party Plugin Provider เมื่อผู้ใช้งานเปิดใช้งาน Knowledge Plugin ข้อมูลจะไหลกลับมาจากผู้ให้บริการเพื่อตอบสนองต่อคำขอสืบค้นที่ผู้ใช้งานสั่ง

ข้อ 6 ฐานกฎหมาย วัตถุประสงค์ และระยะเวลาเก็บรักษา

ตารางด้านล่างสรุปประเภทข้อมูลหลัก วัตถุประสงค์ ฐานกฎหมาย และระยะเวลาเก็บรักษาโดยประมาณ

สำหรับกิจกรรมการประมวลผลที่อาศัยฐาน “ประโยชน์โดยชอบด้วยกฎหมาย” ตามมาตรา 24(5) บริษัทได้จัดทำการประเมินความสมดุลระหว่างประโยชน์ของบริษัทกับสิทธิขั้นพื้นฐานของเจ้าของข้อมูล (Legitimate Interests Assessment — LIA) สำหรับแต่ละกิจกรรม โดยพิจารณาว่าการประมวลผลดังกล่าวมีความจำเป็นตามวัตถุประสงค์ที่ระบุ และไม่กระทบสิทธิของเจ้าของข้อมูลเกินสมควร ผู้ใช้งานสามารถขอดูสรุปผลการประเมินดังกล่าวได้โดยติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท

สำหรับข้อมูลจาก Knowledge Plugin (คำขอสืบค้น คำตอบ คุกกี้โควต้า) วัตถุประสงค์หลักคือการส่งคำขอไปยัง Third-Party Plugin Provider ตามคำสั่งผู้ใช้งานและติดตามโควต้า ฐานกฎหมายคือสัญญา (ผู้ใช้งานเปิดใช้ Connector) และความยินยอม (สำหรับคุกกี้จาก extension) ระยะเวลาเก็บรักษาตลอดระยะเวลาที่เปิดใช้ Connector คุกกี้ตามอายุ session ลบเมื่อปิด Connector หรือบัญชีสิ้นสุด

ข้อ 7 วิธีที่ FourCorners ประมวลผลเนื้อหาของผู้ใช้

7.1 รูปแบบการประมวลผล

บริษัทอาจประมวลผล User Content โดยระบบอัตโนมัติในหลายรูปแบบ อาทิ การอ่านข้อความโดยระบบ การแบ่งส่วนเอกสาร การจัดทำดัชนี การแปลงเป็นเวกเตอร์ (embeddings) การจัดอันดับผลลัพธ์ การเชื่อมโยงกับแหล่งข้อมูลกฎหมาย การสังเคราะห์คำตอบ และการจัดเก็บประวัติเพื่อให้ผู้ใช้งานกลับมาอ่านข้อมูลของตนได้

การประมวลผลดังกล่าวดำเนินการโดยระบบอัตโนมัติเป็นหลัก บุคลากรของบริษัทจะเข้าถึง User Content ได้เฉพาะกรณีที่จำเป็นต่อการแก้ไขเหตุขัดข้องทางเทคนิค การตรวจสอบด้านความมั่นคงปลอดภัย หรือการปฏิบัติตามกฎหมายเท่านั้น โดยอยู่ภายใต้มาตรการควบคุมการเข้าถึงและหน้าที่รักษาความลับ

7.2 การประมวลผลแบบ On-Premise เป็นค่าเริ่มต้น

โดยปกติ บริษัทออกแบบบริการให้ประมวลผลคำค้นหา (query) เอกสาร และคำสั่งของผู้ใช้งานภายในสภาพแวดล้อม on-premise หรือสภาพแวดล้อมที่บริษัทควบคุมโดยตรง เพื่อจำกัดการเปิดเผยข้อมูลไปยังบุคคลภายนอกให้น้อยที่สุด

7.3 Cloud Failover ในกรณีจำเป็น

เมื่อเกิดเหตุจำเป็นเพื่อความต่อเนื่องของบริการ อาทิ ระบบขัดข้อง (downtime) การบำรุงรักษาที่ไม่คาดหมาย ภัยคุกคามทางไซเบอร์ หรือเหตุฉุกเฉินด้านโครงสร้างพื้นฐาน บริษัทจะใช้ Cloud Failover Processor โดยอัตโนมัติ จนกว่าระบบ on-premise จะกลับมาพร้อมใช้งานตามปกติ ผู้ใช้งานไม่สามารถปฏิเสธ (opt-out) การ fail-over ดังกล่าวได้ ณ วันที่ของประกาศนี้ ผู้ให้บริการที่บริษัทอนุมัติ ได้แก่

• OpenRouter
• OpenAI
• Anthropic
• Google
• Alibaba Cloud (Singapore Region)
• Together AI บริษัทอาจเพิ่มหรือเปลี่ยนแปลงผู้ให้บริการที่ได้รับอนุมัติเป็นครั้งคราว โดยจะประกาศรายชื่อที่เป็นปัจจุบันไว้ในประกาศนี้หรือหน้า subprocessor ของบริษัท

บริษัทจะคัดเลือก Cloud Failover Processor โดยยึดหลักว่า ผู้ให้บริการดังกล่าวจะต้องไม่เก็บรักษาข้อมูลของผู้ใช้งานไว้อย่างถาวร และจะต้องไม่นำข้อมูลไปใช้เพื่อฝึก (train) โมเดล AI ทั้งนี้ ผู้ให้บริการภายนอกอาจมีการเก็บ metadata หรือบันทึกด้านความมั่นคงปลอดภัยตามนโยบายภายในของตน

7.4 การจัดเก็บข้อมูลเพื่อประโยชน์ของผู้ใช้

บริษัทจัดเก็บ User Content และ Output เพื่อวัตถุประสงค์หลักในการให้ผู้ใช้งานสามารถกลับมาอ่าน ทบทวน ค้นคืน และดาวน์โหลดข้อมูลของตนได้ในภายหลัง

7.5 Paid Tier และ Free Tier

สำหรับ Paid Tier: บริษัทจะไม่ใช้ User Content ของผู้ใช้งานเพื่อฝึก (train) หรือปรับแต่ง (fine-tune) โมเดล AI ของบริษัทหรือของบุคคลภายนอกเพื่อวัตถุประสงค์เชิงทั่วไป

สำหรับ Free Tier: บริษัทอาจใช้ User Content เพื่อปรับปรุงบริการ ประเมินคุณภาพ ทำ annotation หรือฝึกระบบ เฉพาะเมื่อผู้ใช้งานได้ให้ความยินยอมแยกต่างหากผ่านกลไกที่บริษัทจัดให้ (เช่น ช่องติ๊กยินยอมเฉพาะ หรือหน้าขอความยินยอมในแอปพลิเคชัน) ซึ่งแยกจากการยอมรับข้อกำหนดการใช้บริการ ผู้ใช้งานสามารถถอนความยินยอมดังกล่าวได้ทุกเมื่อผ่านหน้าการตั้งค่าบัญชี โดยการถอนความยินยอมจะไม่กระทบต่อสิทธิในการใช้บริการ Free Tier และไม่กระทบต่อความชอบด้วยกฎหมายของการประมวลผลที่เกิดขึ้นก่อนการถอน

7.6 การประมวลผลผ่าน Knowledge Plugin

เมื่อผู้ใช้งานเปิดใช้งาน Knowledge Plugin บริษัทจะส่งคำขอสืบค้นที่ได้มาจาก prompt ของผู้ใช้งานไปยัง Third-Party Plugin Provider (เช่น Google NotebookLM) ผ่าน Model Context Protocol (MCP) คำตอบที่ได้รับจะถูกนำเข้าสู่กระบวนการสร้างผลลัพธ์ของ AI ทั้งนี้ บริษัทเป็นผู้ควบคุมข้อมูลส่วนบุคคลสำหรับคำขอสืบค้นที่ส่งออกไป ส่วน Third-Party Plugin Provider ประมวลผลข้อมูลภายในบริการของตนตามนโยบายความเป็นส่วนตัวของ Third-Party Plugin Provider เอง

การส่งข้อมูลไปยัง Third-Party Plugin Provider เป็นไปตามคำสั่งโดยชัดแจ้งของผู้ใช้งาน มิใช่การตัดสินใจของบริษัทฝ่ายเดียว แตกต่างจาก Cloud Failover ที่เป็นการส่งต่ออัตโนมัติโดยบริษัท ผู้ใช้งานสามารถปิดการใช้งาน Connector ได้ตลอดเวลาผ่านหน้าการตั้งค่าบัญชี

บริษัทจะติดตามโควต้าการใช้งาน Knowledge Plugin ผ่านคุกกี้ที่จัดเก็บโดยส่วนขยายเบราว์เซอร์ (browser extension) ซึ่งบันทึกสถานะโควต้าที่เหลืออยู่ของแผนฟรีของ Third-Party Plugin Provider คุกกี้ดังกล่าวเป็นคุกกี้ที่จำเป็นสำหรับการทำงานของ Knowledge Plugin

ข้อ 8 การเปิดเผยข้อมูลส่วนบุคคล

บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้งานเท่าที่จำเป็นให้แก่ผู้รับข้อมูลดังต่อไปนี้

นอกจากนี้ เมื่อผู้ใช้งานเปิดใช้งาน Knowledge Plugin บริษัทจะเปิดเผยคำขอสืบค้นไปยัง Third-Party Plugin Provider (เช่น Google LLC สำหรับ NotebookLM) เพื่อวัตถุประสงค์ในการประมวลผลคำขอตามคำสั่งผู้ใช้งาน ทั้งนี้ การเปิดเผยดังกล่าวเป็นไปตามคำสั่งโดยชัดแจ้งของผู้ใช้งานที่เลือกเปิดใช้ Connector

ข้อ 9 การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

ข้อมูลส่วนบุคคลของผู้ใช้งานอาจถูกส่งหรือโอนไปยังต่างประเทศเมื่อมีการใช้ Cloud Failover Processor หรือผู้ประมวลผลที่ตั้งอยู่ในต่างประเทศ ณ วันที่ของประกาศนี้ ประเทศปลายทางที่อาจเกี่ยวข้อง ได้แก่ สหรัฐอเมริกา (OpenAI, Anthropic, OpenRouter, Together AI) สหรัฐอเมริกา/สิงคโปร์ (Google) และสิงคโปร์ (Alibaba Cloud) ทั้งนี้ ณ วันที่ของประกาศนี้ ประเทศปลายทางดังกล่าวยังไม่ได้รับการรับรองจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ผู้ใช้งานรับทราบความเสี่ยงดังกล่าวและให้ความยินยอมในการโอนข้อมูลไปยังประเทศปลายทางเหล่านี้ตามมาตรา 28 แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล บริษัทจะดำเนินการให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มาตรา 28 และ 29 โดยใช้มาตรการคุ้มครองที่เหมาะสม อาทิ การจัดทำข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement) กับผู้ให้บริการที่มีข้อตกลงดังกล่าว การอ้างอิงนโยบายความเป็นส่วนตัว มาตรฐานการรับรอง และเอกสารการปฏิบัติตามกฎหมายคุ้มครองข้อมูลของผู้ให้บริการแต่ละราย การกำหนดค่าระบบให้ไม่เก็บรักษาข้อมูลถาวรและไม่ใช้ข้อมูลเพื่อฝึกโมเดล ผู้ใช้งานสามารถตรวจสอบรายละเอียดนโยบายและมาตรฐานของผู้ให้บริการแต่ละรายได้จากหน้า subprocessor ของบริษัท นอกจากนี้ เมื่อผู้ใช้งานเปิดใช้งาน Knowledge Plugin ข้อมูลอาจถูกส่งไปยังประเทศที่ Third-Party Plugin Provider ตั้งอยู่ (เช่น สหรัฐอเมริกาสำหรับ Google NotebookLM) การโอนข้อมูลดังกล่าวอาศัยความยินยอมโดยชัดแจ้งของผู้ใช้งานที่เลือกเปิดใช้ Connector ตามมาตรา 28 แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

ผู้ใช้งานรับทราบและยอมรับว่า Cloud Failover เป็นส่วนหนึ่งของบริการที่ไม่สามารถปฏิเสธ (opt-out) ได้ เมื่อระบบ on-premise ไม่สามารถให้บริการได้ บริษัทจะส่งต่อคำขอไปยัง Cloud Failover Processor โดยอัตโนมัติ เพื่อรักษาความต่อเนื่องและความพร้อมใช้งาน (uptime) ของบริการ

ข้อ 10 ระยะเวลาเก็บรักษาข้อมูลส่วนบุคคล

10.1 หลักทั่วไป

บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลเท่าที่จำเป็นเพื่อบรรลุวัตถุประสงค์ที่แจ้งไว้ เพื่อให้ผู้ใช้งานกลับมาอ่านข้อมูลของตนได้ เพื่อรักษาความมั่นคงปลอดภัย และเพื่อปฏิบัติตามกฎหมาย

10.2 การลบจากระบบ

เมื่อผู้ใช้งานลบเนื้อหาเองหรือเมื่อบัญชีสิ้นสุด บริษัทจะลบเนื้อหาจากระบบใช้งานจริงภายใน 30 วัน และจากระบบสำรองภายใน 90 วัน เว้นแต่มีเหตุจำเป็นตามกฎหมาย การเก็บรักษาข้อมูลในระบบสำรอง (backup) ไม่เกิน 90 วันดังกล่าว อาศัยข้อยกเว้นตามมาตรา 33(5) แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม หรือการใช้สิทธิเรียกร้องตามกฎหมาย และเพื่อรักษาความมั่นคงปลอดภัยของระบบ ข้อมูลในระบบสำรองจะไม่ถูกนำไปใช้เพื่อวัตถุประสงค์อื่นใด

10.3 ข้อยกเว้น

บริษัทอาจเก็บข้อมูลบางส่วนไว้ต่อไปเมื่อกฎหมายกำหนด เพื่อปฏิบัติหน้าที่ทางบัญชีและภาษี เพื่อป้องกันการทุจริต เพื่อรักษาหลักฐานด้านความมั่นคงปลอดภัย หรือเพื่อใช้สิทธิเรียกร้องตามกฎหมาย

ข้อ 11 ข้อมูลส่วนบุคคลอ่อนไหวและข้อมูลของบุคคลอื่น

11.1 คำแนะนำเกี่ยวกับข้อมูลส่วนบุคคลอ่อนไหว

บริษัทแนะนำให้ผู้ใช้งานปกปิด (mask) หรือลบข้อมูลส่วนบุคคลอ่อนไหว (อาทิ ข้อมูลสุขภาพ ประวัติอาชญากรรม ข้อมูลชีวภาพ ความเห็นทางการเมือง หรือศาสนา) ออกจากเอกสารก่อนนำเข้าสู่บริการ เท่าที่สามารถดำเนินการได้โดยไม่กระทบต่อวัตถุประสงค์ของการใช้งาน

เนื่องจากการใช้บริการอาจเกี่ยวข้องกับการอัปโหลดเอกสารหรือป้อนคำถามที่มีข้อมูลส่วนบุคคลอ่อนไหว บริษัทจะขอความยินยอมโดยชัดแจ้งจากผู้ใช้งานแยกต่างหากจากการยอมรับข้อกำหนดการใช้บริการ ผ่านกลไกเฉพาะในขั้นตอนการสมัครสมาชิก (เช่น ช่องติ๊กยินยอมเฉพาะสำหรับข้อมูลอ่อนไหว) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 26 ก่อนที่ผู้ใช้งานจะเริ่มใช้ฟีเจอร์อัปโหลดเอกสารหรือป้อนคำถาม ความยินยอมดังกล่าวจะครอบคลุมการประมวลผลข้อมูลอ่อนไหวที่อาจปรากฏในเนื้อหาที่ผู้ใช้งานนำเข้าสู่บริการทั้งหมดหลังจากนั้น โดยผู้ใช้งานไม่จำเป็นต้องให้ความยินยอมซ้ำในแต่ละครั้งที่อัปโหลด บริษัทจะประมวลผลข้อมูลอ่อนไหวเพื่อวัตถุประสงค์ในการให้บริการตามที่ผู้ใช้งานร้องขอเท่านั้น และจะไม่นำข้อมูลส่วนบุคคลอ่อนไหวไปใช้เพื่อวัตถุประสงค์อื่นนอกเหนือจากการให้บริการ ผู้ใช้งานสามารถถอนความยินยอมได้ทุกเมื่อผ่านหน้าการตั้งค่าบัญชี

11.2 ข้อมูลของบุคคลอื่น

หากผู้ใช้งานป้อนข้อมูลของบุคคลอื่นเข้าสู่บริการ ผู้ใช้งานรับรองว่าผู้ใช้งานมีสิทธิและฐานกฎหมายในการดำเนินการดังกล่าว รวมถึงได้ดำเนินการแจ้งหรือขอความยินยอมตามที่กฎหมายกำหนดแล้ว บริษัทมิต้องรับผิดชอบต่อการที่ผู้ใช้งานส่งข้อมูลเข้าสู่ระบบโดยปราศจากสิทธิ

ข้อ 12 มาตรการรักษาความมั่นคงปลอดภัย

บริษัทใช้มาตรการทางเทคนิคและทางองค์กรที่เหมาะสม อาทิ การควบคุมสิทธิการเข้าถึง การเข้ารหัสข้อมูลระหว่างส่ง การจัดการช่องโหว่ การสำรองและกู้คืนระบบ การคัดเลือกผู้ประมวลผลอย่างระมัดระวัง และการทบทวนมาตรการเป็นระยะ หากเกิดการละเมิดข้อมูลส่วนบุคคล (data breach) บริษัทจะดำเนินการ ดังนี้ (ก) แจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมงนับแต่ทราบเหตุ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37(4) เว้นแต่การละเมิดนั้นไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูล (ข) ในกรณีที่การละเมิดมีความเสี่ยงสูงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล แจ้งเจ้าของข้อมูลที่ได้รับผลกระทบโดยมิชักช้า พร้อมระบุแนวทางการเยียวยาและมาตรการที่เจ้าของข้อมูลสามารถดำเนินการเพื่อบรรเทาผลกระทบได้ (ค) การแจ้งเตือนจะระบุลักษณะของเหตุการณ์ ประเภทข้อมูลที่ได้รับผลกระทบ จำนวนเจ้าของข้อมูลที่อาจได้รับผลกระทบโดยประมาณ มาตรการที่ดำเนินการแล้วและที่จะดำเนินการเพิ่มเติมเพื่อบรรเทาผลกระทบ รวมถึงช่องทางติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท บริษัทจะประเมินระดับความเสี่ยงของการละเมิดเป็นรายกรณีเพื่อกำหนดว่าจำเป็นต้องแจ้งเจ้าของข้อมูลด้วยหรือไม่

ข้อ 13 คุกกี้และเทคโนโลยีที่คล้ายกัน

บริษัทอาจใช้คุกกี้ local storage, SDK logs, pixels หรือเทคโนโลยีอื่นเพื่อให้บริการทำงานได้ รักษาสถานะการเข้าสู่ระบบ วัดประสิทธิภาพ และปรับปรุงประสบการณ์การใช้งาน คุกกี้ที่จำเป็นอาจถูกใช้งานโดยอัตโนมัติ ส่วนคุกกี้เพื่อการวิเคราะห์หรือการตลาดจะถูกใช้ตามกลไกการตั้งค่าความยินยอม นอกจากนี้ เมื่อผู้ใช้งานเปิดใช้งาน Knowledge Plugin ส่วนขยายเบราว์เซอร์ (browser extension) จะจัดเก็บคุกกี้เพื่อติดตามโควต้าการใช้งานของ Third-Party Plugin Provider (เช่น จำนวนคำขอที่เหลือในแผนฟรีของ NotebookLM) คุกกี้ดังกล่าวเป็นคุกกี้ที่จำเป็นสำหรับการทำงานของฟีเจอร์ Knowledge Plugin และจะถูกลบเมื่อผู้ใช้งานปิดการใช้งาน Connector

ข้อ 14 สิทธิของเจ้าของข้อมูลส่วนบุคคล

ภายใต้เงื่อนไขและข้อยกเว้นตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ผู้ใช้งานอาจมีสิทธิดังต่อไปนี้

• สิทธิถอนความยินยอม ในกรณีที่การประมวลผลอาศัยความยินยอม
• สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล
• สิทธิขอโอนข้อมูลส่วนบุคคล (data portability)
• สิทธิขอให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง เป็นปัจจุบัน
• สิทธิขอลบ ทำลาย หรือทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
• สิทธิขอระงับการใช้ข้อมูลส่วนบุคคลในบางกรณี
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• สิทธิร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

14.1 วิธีใช้สิทธิ

ผู้ใช้งานสามารถใช้สิทธิโดยติดต่อบริษัทผ่านช่องทางที่ระบุไว้ในข้อ 18 บริษัทอาจขอข้อมูลเพิ่มเติมเพื่อยืนยันตัวตน การถอนความยินยอมมิกระทบต่อความชอบด้วยกฎหมายของการประมวลผลที่เกิดขึ้นก่อนการถอน

ข้อ 15 การสื่อสารทางการตลาด

หากผู้ใช้งานสมัครรับข่าวสารหรือให้ความยินยอมไว้ บริษัทอาจส่งอีเมลหรือข้อความเกี่ยวกับผลิตภัณฑ์หรือโปรโมชั่น ผู้ใช้งานยกเลิกได้ทุกเมื่อผ่านลิงก์ unsubscribe หรือการตั้งค่าบัญชี เมื่อผู้ใช้งานแจ้งยกเลิกหรือคัดค้านการรับการสื่อสารทางการตลาด บริษัทจะระงับการส่งข้อความการตลาดทันทีตามมาตรา 32 แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ บริษัทอาจยังส่งข้อความที่จำเป็นเกี่ยวกับการให้บริการต่อไปได้

ข้อ 16 ข้อมูลของผู้เยาว์

FourCorners มิได้ออกแบบมาสำหรับเด็กเล็กโดยเฉพาะ หากผู้ใช้งานยังไม่บรรลุนิติภาวะ ผู้ใช้งานควรใช้บริการภายใต้ความยินยอมของผู้แทนโดยชอบธรรม หากบริษัททราบว่ามีการเก็บข้อมูลจากผู้เยาว์โดยมิชอบ บริษัทอาจระงับบัญชีหรือลบข้อมูล

ข้อ 17 การเปลี่ยนแปลงประกาศความเป็นส่วนตัว

บริษัทอาจปรับปรุงประกาศนี้เป็นครั้งคราว หากมีสาระสำคัญเปลี่ยนแปลง บริษัทจะแจ้งล่วงหน้าตามสมควร หากกฎหมายกำหนดให้ต้องขอความยินยอมใหม่ บริษัทจะดำเนินการก่อนเริ่มประมวลผลตามวัตถุประสงค์ใหม่

ข้อ 18 ช่องทางติดต่อและการร้องเรียน

หากผู้ใช้งานเห็นว่าบริษัทประมวลผลข้อมูลส่วนบุคคลของผู้ใช้งานมิเป็นไปตามกฎหมาย ผู้ใช้งานมีสิทธิร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือหน่วยงานที่มีอำนาจตามกฎหมาย