← กลับสู่แอป
The Clover Clinic ดำเนินงานภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ของประเทศไทย และมุ่งมั่นปกป้องข้อมูลส่วนบุคคลและข้อมูลสุขภาพของสมาชิกทุกท่านด้วยมาตรฐานสูงสุด
1 ผู้ควบคุมข้อมูล
The Clover Clinic Co., Ltd. ทำหน้าที่เป็นผู้ควบคุมข้อมูล (Data Controller) รับผิดชอบการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่านตามนโยบายนี้
| รายละเอียด | ข้อมูล |
| ชื่อบริษัท | The Clover Clinic Co., Ltd. |
| เลขทะเบียนนิติบุคคล | 0105566XXXXXX |
| ที่อยู่ | 123 ถนนสุขุมวิท แขวงคลองเตย เขตคลองเตย กรุงเทพฯ 10110 |
| อีเมล DPO | privacy@cloverclinic.com |
| โทรศัพท์ | +66 2 123 4567 |
2 ข้อมูลที่เราเก็บรวบรวม
ข้อมูลที่ท่านให้โดยตรง
- ชื่อ-นามสกุล, วันเดือนปีเกิด, เพศ
- หมายเลขโทรศัพท์มือถือ, อีเมล
- บัญชี LINE / Google (เมื่อเลือกวิธีสมัครสมาชิกผ่านช่องทางดังกล่าว)
- ภาพถ่ายประจำตัว (หากท่านอัปโหลด)
ข้อมูลสุขภาพและการรักษา ● ข้อมูลอ่อนไหว
ข้อมูลสุขภาพถือเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) เราจะเก็บรวบรวมและใช้ข้อมูลเหล่านี้เฉพาะเมื่อได้รับความยินยอมโดยชัดแจ้งจากท่านเท่านั้น
- ประวัติการรักษา, การวินิจฉัยโรค, แพ้ยา/สารเคมี
- จำนวนครั้งที่เหลือของคอร์สการรักษา, ยูนิต Botox/Filler
- รูปถ่ายก่อน-หลังการรักษา (เก็บในระบบปิดของคลินิก)
ข้อมูลการใช้งานแอป
- คะแนนสะสม (Clover Points), ประวัติการแลก Rewards
- ประวัติการซื้อบริการและผลิตภัณฑ์
- Log การใช้งาน, ข้อมูลอุปกรณ์, IP Address
3 วัตถุประสงค์และฐานทางกฎหมาย
| วัตถุประสงค์ | ฐานทางกฎหมาย |
| ยืนยันตัวตนและจัดการบัญชีสมาชิก | สัญญา (Contract) |
| ให้บริการและบันทึกประวัติการรักษา | ความยินยอม (Consent) |
| ระบบ Loyalty Points และ Rewards | สัญญา (Contract) |
| ส่งข้อความแจ้งเตือนนัดหมาย | ประโยชน์อันชอบธรรม (Legitimate Interest) |
| ส่งโปรโมชันและข่าวสาร | ความยินยอม (Consent) |
| วิเคราะห์เพื่อพัฒนาบริการ | ประโยชน์อันชอบธรรม (Legitimate Interest) |
| ปฏิบัติตามกฎหมาย (รายงานต่อสาธารณสุข) | หน้าที่ตามกฎหมาย (Legal Obligation) |
4 การแชร์ข้อมูลกับบุคคลที่สาม
เราจะไม่ขายข้อมูลส่วนบุคคลของท่านให้แก่บุคคลภายนอกเพื่อผลประโยชน์ทางการค้า การแชร์ข้อมูลมีเฉพาะกรณีดังนี้:
- ผู้ให้บริการภายนอก (Data Processor): Cloudflare Inc. (การเก็บข้อมูลและโครงสร้างพื้นฐาน), LINE Corp. และ Google LLC (การยืนยันตัวตน)
- แพทย์และบุคลากรทางการแพทย์: ภายในเครือข่ายคลินิกที่ได้รับอนุญาต
- หน่วยงานราชการ: เมื่อมีคำสั่งตามกฎหมายหรือคำพิพากษาของศาล
ผู้ให้บริการภายนอกทุกรายได้ลงนามในข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement) และผูกพันต้องปกป้องข้อมูลของท่านในมาตรฐานเดียวกับเรา
5 ระยะเวลาการเก็บรักษาข้อมูล
| ประเภทข้อมูล | ระยะเวลา |
| ข้อมูลบัญชีสมาชิก | ตลอดระยะเวลาเป็นสมาชิก + 3 ปีหลังยกเลิก |
| ประวัติการรักษาและข้อมูลสุขภาพ | 10 ปี (ตาม พ.ร.บ. สถานพยาบาล) |
| ประวัติธุรกรรมและการเงิน | 5 ปี (ตามกฎหมายภาษีอากร) |
| Log การใช้งานแอป | 90 วัน |
| รูปถ่ายก่อน-หลังการรักษา | ตามระยะเวลาที่ท่านให้ความยินยอม |
6 สิทธิของเจ้าของข้อมูล
ภายใต้ PDPA ท่านมีสิทธิดังต่อไปนี้:
- สิทธิในการเข้าถึงข้อมูล (Right of Access): ขอดูข้อมูลส่วนบุคคลที่เราเก็บไว้
- สิทธิในการแก้ไขข้อมูล (Right of Rectification): ขอแก้ไขข้อมูลที่ไม่ถูกต้อง
- สิทธิในการลบข้อมูล (Right to Erasure): ขอให้ลบข้อมูล เว้นแต่มีเหตุผลทางกฎหมาย
- สิทธิในการคัดค้าน (Right to Object): คัดค้านการใช้ข้อมูลเพื่อการตลาดตรง
- สิทธิในการถอนความยินยอม (Right to Withdraw Consent): ถอนความยินยอมได้ทุกเมื่อ
- สิทธิในการโอนย้ายข้อมูล (Right to Data Portability): ขอรับข้อมูลในรูปแบบที่อ่านได้
- สิทธิในการร้องเรียน: ร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ยื่นคำร้องได้ที่ privacy@cloverclinic.com — เราจะตอบกลับภายใน 30 วัน
7 ความปลอดภัยของข้อมูล
- ข้อมูลทั้งหมดเข้ารหัสด้วย TLS 1.3 ระหว่างการส่งผ่าน
- ฐานข้อมูลเข้ารหัสที่เก็บด้วย AES-256
- โครงสร้างพื้นฐานบน Cloudflare (SOC 2 Type II, ISO 27001)
- จำกัดการเข้าถึงข้อมูลตามบทบาทหน้าที่ (Role-Based Access Control)
- ตรวจสอบและทดสอบระบบความปลอดภัยอย่างสม่ำเสมอ
8 คุกกี้และเทคโนโลยีติดตาม
แอปของเราใช้:
- Session Cookie: สำหรับการยืนยันตัวตน (จำเป็น ไม่สามารถปิดได้)
- localStorage: เก็บการตั้งค่าภาษาและธีมสีของท่าน
เราไม่ใช้ Tracking Cookie หรือ Third-party Analytics ที่ติดตามพฤติกรรมข้ามเว็บไซต์
9 การส่งข้อมูลออกนอกประเทศ
การยืนยันตัวตนผ่าน Google จะมีการส่งข้อมูลไปยังเซิร์ฟเวอร์ของ Google LLC ในสหรัฐอเมริกา ซึ่งอยู่ภายใต้ Google Privacy Policy และ Standard Contractual Clauses ที่เป็นไปตามมาตรฐานสากล
10 การปรับปรุงนโยบาย
เราอาจปรับปรุงนโยบายนี้เป็นครั้งคราว เมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญ เราจะแจ้งให้ท่านทราบผ่านการแจ้งเตือนในแอปหรืออีเมลล่วงหน้าอย่างน้อย 30 วัน