นโยบายความเป็นส่วนตัว ChemVault
สถานะ: ฉบับร่าง 1.0 — รอการตรวจสอบโดยที่ปรึกษากฎหมายก่อนเปิดให้บริการแบบเต็มรูปแบบ มีผลใช้บังคับในช่วงทดลองให้บริการของแพลตฟอร์ม ปรับปรุงล่าสุด: 2026-04-25 วันที่มีผลบังคับ: 2026-04-25
1. เกี่ยวกับนโยบายฉบับนี้
ChemVault เป็นแพลตฟอร์มจัดซื้อจัดหาสารเคมี ดำเนินงานโดย บริษัท เมดเทเรียม เธรานอสติกส์ จำกัด ("ChemVault" "เรา" หรือ "ของเรา") นโยบายความเป็นส่วนตัวฉบับนี้อธิบายข้อมูลส่วนบุคคลที่เราเก็บรวบรวมเมื่อท่านใช้งาน chemvault.org เหตุผลที่เราเก็บรวบรวม วิธีที่เราใช้และเปิดเผยข้อมูลดังกล่าว และสิทธิของท่านเกี่ยวกับข้อมูลนั้น
นโยบายฉบับนี้ใช้บังคับกับผู้เข้าชมเว็บไซต์ ผู้ลงทะเบียนบัญชี ผู้ส่งคำขอจัดซื้อจัดหา และซัพพลายเออร์ที่มีปฏิสัมพันธ์กับ ChemVault จัดทำขึ้นเพื่อสะท้อนหน้าที่ของเราภายใต้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ("PDPA") และเพื่อความโปร่งใสเกี่ยวกับแนวปฏิบัติด้านข้อมูลที่เกิดขึ้นจริงของเรา
หากท่านมีข้อสงสัยเกี่ยวกับนโยบายนี้ กรุณาติดต่อเราที่ contact@chemvault.org
2. เราคือใคร
ChemVault ดำเนินงานโดยบริษัท เมดเทเรียม เธรานอสติกส์ จำกัด ซึ่งเป็นบริษัทไทย เราเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่เก็บรวบรวมผ่านแพลตฟอร์ม ChemVault รายละเอียดติดต่อของเรามีดังนี้
- ผู้ดำเนินงาน: บริษัท เมดเทเรียม เธรานอสติกส์ จำกัด (Medterium Theranostics Co., Ltd.)
- ที่อยู่: กรุงเทพมหานคร ประเทศไทย
- อีเมล: contact@chemvault.org
เราจะแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เมื่อกิจกรรมการประมวลผลของเราถึงเกณฑ์ที่กำหนดในมาตรา 41 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จนกว่าจะถึงเวลานั้น คำถามทั้งหมดเกี่ยวกับข้อมูลส่วนบุคคลควรส่งไปยังอีเมลข้างต้น
3. ข้อมูลส่วนบุคคลที่เราเก็บรวบรวม
เราเก็บรวบรวมข้อมูลส่วนบุคคลในประเภทต่อไปนี้ จัดกลุ่มตามวิธีที่ท่านใช้งานแพลตฟอร์ม
3.1 เมื่อท่านสร้างบัญชี
หากท่านลงทะเบียนเป็นลูกค้าหรือซัพพลายเออร์ เราจะเก็บรวบรวม:
- ชื่อ-นามสกุล
- อีเมล
- รหัสผ่าน (จัดเก็บในรูปแบบแฮชทางเดียว เราไม่เห็นและไม่จัดเก็บรหัสผ่านในรูปแบบข้อความ)
- ชื่อองค์กร
- ภาคส่วน (มหาวิทยาลัย / โรงพยาบาล / อุตสาหกรรม / ราชการ / อื่น ๆ)
- บทบาท (ลูกค้าหรือซัพพลายเออร์)
สำหรับบัญชีซัพพลายเออร์ เราจะเก็บเพิ่มเติม:
- เลขประจำตัวผู้เสียภาษีของบริษัท (เพื่อการเรียกเก็บเงินและการตรวจสอบ)
- เอกสารจดทะเบียนบริษัท (ในกระบวนการอนุมัติซัพพลายเออร์)
- ที่อยู่บริษัท เบอร์โทรศัพท์ และเว็บไซต์
- แบรนด์พันธมิตรและหมวดหมู่สินค้าที่ซัพพลายเออร์มีจำหน่าย
3.2 เมื่อท่านส่งคำขอจัดซื้อจัดหา
หากท่านส่งคำขอใบเสนอราคาผ่าน ChemVault เราจะเก็บรวบรวม:
- สารเคมีหรือผลิตภัณฑ์ที่ขอ พร้อมปริมาณ หน่วย และข้อกำหนดเกรด
- ข้อมูลการเรียกเก็บเงิน: ชื่อองค์กร เลขประจำตัวผู้เสียภาษี ที่อยู่ในการออกใบกำกับภาษี ชื่อโครงการ (ถ้ามี) หมายเลขทุนวิจัยหรือ PO (ถ้ามี) แผนก (ถ้ามี)
- ข้อมูลการจัดส่ง: ที่อยู่จัดส่ง ชื่อและเบอร์ผู้รับจัดส่ง กรอบเวลาจัดส่ง
- ข้อความอิสระที่ท่านระบุพร้อมคำขอ
3.3 ข้อมูลทางเทคนิคที่เก็บโดยอัตโนมัติ
เมื่อท่านใช้งานเว็บไซต์ เราและผู้ให้บริการของเราจะเก็บข้อมูลโดยอัตโนมัติ:
- ที่อยู่ IP
- ประเภทและรุ่นของเบราว์เซอร์
- ประเภทอุปกรณ์และระบบปฏิบัติการ
- หน้าที่เข้าชมบน chemvault.org และเวลา
- ข้อมูลการอ้างอิง (referrer)
ข้อมูลนี้เก็บผ่านล็อกของเซิร์ฟเวอร์มาตรฐานและเครื่องมือวิเคราะห์ที่จำกัดซึ่งเชื่อมต่อกับผู้ให้บริการโฮสติ้งและฐานข้อมูล (ดูข้อ 6) ปัจจุบันเราไม่ใช้ตัวติดตามการตลาดหรือโฆษณาจากบุคคลที่สาม
3.4 การติดต่อสื่อสารกับเรา
หากท่านส่งอีเมลถึงเรา ตอบกลับการแจ้งเตือนของเรา หรือมีปฏิสัมพันธ์กับเราในทางใด เราจะเก็บบันทึกการติดต่อสื่อสารดังกล่าว
4. เหตุผลที่เก็บข้อมูลและฐานทางกฎหมาย
เราประมวลผลข้อมูลส่วนบุคคลเฉพาะตามวัตถุประสงค์เฉพาะแต่ละข้อ โดยอ้างอิงฐานทางกฎหมายตามมาตรา 24 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
| วัตถุประสงค์ | ข้อมูลที่ใช้ | ฐานทางกฎหมาย PDPA |
|---|---|---|
| สร้างและดูแลบัญชีของท่าน | ข้อมูลลงทะเบียนบัญชี (ข้อ 3.1) | การปฏิบัติตามสัญญา (มาตรา 24(3)) |
| ตรวจสอบคุณสมบัติของซัพพลายเออร์ก่อนแสดงสินค้าต่อสาธารณะ | ข้อมูลลงทะเบียนซัพพลายเออร์ เลขประจำตัวผู้เสียภาษี เอกสารจดทะเบียน | การปฏิบัติตามสัญญาและประโยชน์โดยชอบด้วยกฎหมายในการรักษาความน่าเชื่อถือของแพลตฟอร์ม (มาตรา 24(3) และ 24(5)) |
| จับคู่คำขอจัดซื้อกับซัพพลายเออร์และส่งคำขอไปยังซัพพลายเออร์ที่ท่านเลือก | ข้อมูลคำขอ (ข้อ 3.2) | การปฏิบัติตามสัญญา (มาตรา 24(3)) การส่งคำขอเป็นการกระทำหลักของบริการ |
| ส่งอีเมลธุรกรรมเกี่ยวกับคำขอของท่าน (ยืนยันการส่ง การตอบกลับจากซัพพลายเออร์ การอัปเดตสถานะ) | อีเมลของบัญชี ข้อมูลคำขอ | การปฏิบัติตามสัญญา (มาตรา 24(3)) |
| ดำเนินการ บำรุงรักษา และรักษาความปลอดภัยของแพลตฟอร์ม | ข้อมูลทางเทคนิค (ข้อ 3.3) | ประโยชน์โดยชอบด้วยกฎหมายในการให้บริการต่อเนื่องและความปลอดภัย (มาตรา 24(5)) |
| ปฏิบัติตามภาระทางกฎหมายและตอบสนองต่อคำขอของหน่วยงานที่มีอำนาจ | ข้อมูลใด ๆ ตามที่กฎหมายกำหนด | ภาระทางกฎหมาย (มาตรา 24(6)) |
เราไม่ใช้ข้อมูลส่วนบุคคลของท่านเพื่อการตลาดทางตรง การจัดทำโปรไฟล์ หรือการตัดสินใจอัตโนมัติที่ก่อให้เกิดผลทางกฎหมายหรือผลกระทบสำคัญในทำนองเดียวกัน
5. ผู้รับข้อมูลของท่าน
เราเปิดเผยข้อมูลส่วนบุคคลของท่านเฉพาะกับฝ่ายที่ระบุด้านล่าง เพื่อวัตถุประสงค์ที่อธิบายไว้ และเท่าที่จำเป็นเท่านั้น
5.1 ซัพพลายเออร์ที่ท่านส่งคำขอไป
เมื่อท่านส่งคำขอไปยังซัพพลายเออร์ผ่าน ChemVault เราเปิดเผยข้อมูลต่อไปนี้กับซัพพลายเออร์รายนั้น:
- ชื่อ องค์กร และอีเมลของท่าน (เพื่อให้ซัพพลายเออร์สามารถตอบกลับได้)
- สารเคมี ปริมาณ และข้อกำหนดที่ท่านระบุ
- ข้อมูลการเรียกเก็บเงินและการจัดส่งที่ท่านให้ในแบบฟอร์มคำขอ
เราเปิดเผยข้อมูลนี้เฉพาะกับซัพพลายเออร์ที่ท่านระบุอย่างชัดเจนเท่านั้น เราไม่เผยแพร่คำขอไปยังซัพพลายเออร์ที่ท่านไม่ได้เลือก
5.2 ผู้ให้บริการ (ผู้ประมวลผลข้อมูล)
เราใช้บริการจากผู้ให้บริการบุคคลที่สามเพื่อดำเนินการแพลตฟอร์ม โดยพวกเขาจะประมวลผลข้อมูลของท่านตามคำสั่งของเราเท่านั้น และเฉพาะเพื่อบริการที่พวกเขาให้แก่เรา:
- Vercel Inc. (สหรัฐอเมริกา) — โฮสต์แอปพลิเคชัน ChemVault และประมวลผลทราฟฟิกเว็บ
- Supabase Inc. — ให้บริการฐานข้อมูล ข้อมูลจัดเก็บในภูมิภาค
ap-northeast-2(กรุงโซล ประเทศเกาหลีใต้) - Google LLC — ให้บริการ Gmail SMTP สำหรับการส่งอีเมลธุรกรรม
ผู้ให้บริการเหล่านี้แต่ละรายผูกพันตามสัญญาให้ปฏิบัติตามภาระคุ้มครองข้อมูลที่สอดคล้องกับนโยบายฉบับนี้
5.3 หน่วยงานราชการและกระบวนการทางกฎหมาย
เราอาจเปิดเผยข้อมูลส่วนบุคคลหากกฎหมายไทยกำหนด คำสั่งศาล หรือเพื่อปกป้อง ChemVault ผู้ใช้ของเรา หรือสาธารณะจากอันตราย เราจะแจ้งให้ผู้ใช้ที่ได้รับผลกระทบทราบในกรณีที่กฎหมายอนุญาต
6. การส่งข้อมูลไปต่างประเทศ
ChemVault ดำเนินงานจากประเทศไทย ผู้ให้บริการบางรายของเราประมวลผลข้อมูลนอกประเทศไทย:
- Supabase กรุงโซล ประเทศเกาหลีใต้ — ข้อมูลบัญชี ข้อมูลคำขอ และข้อมูลซัพพลายเออร์ของท่านจัดเก็บบนโครงสร้างพื้นฐาน Supabase ในเกาหลีใต้
- Vercel สหรัฐอเมริกา — ทราฟฟิกเว็บและบันทึกคำขออาจประมวลผลในเครือข่าย edge ทั่วโลกของ Vercel ซึ่งรวมถึงจุดให้บริการในสหรัฐอเมริกา
- Google LLC โครงสร้างพื้นฐานทั่วโลก — การส่งอีเมลธุรกรรมใช้บริการ Google ที่ดำเนินงานทั่วโลก
ภายใต้มาตรา 28 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เราส่งข้อมูลส่วนบุคคลไปต่างประเทศเฉพาะในกรณีที่ประเทศปลายทางมีมาตรการคุ้มครองข้อมูลที่เพียงพอ หรือเรามีมาตรการคุ้มครองตามสัญญา เราอาศัยข้อกำหนดมาตรฐานการคุ้มครองข้อมูลที่ผู้ให้บริการของเราเสนอ และข้อเท็จจริงที่ผู้ให้บริการเหล่านี้เป็นผู้ให้บริการที่มีชื่อเสียงที่ให้บริการลูกค้าทั่วโลก
หากประเทศไทยออกประกาศความเพียงพอเฉพาะหรือข้อจำกัดการส่งข้อมูลที่ส่งผลต่อข้อตกลงนี้ เราจะปรับโครงสร้างพื้นฐานหรือข้อกำหนดในสัญญาเพื่อให้เป็นไปตามกฎหมาย
7. ระยะเวลาที่เราเก็บข้อมูล
เราเก็บข้อมูลส่วนบุคคลเฉพาะระยะเวลาที่จำเป็นสำหรับวัตถุประสงค์ในข้อ 4
| ประเภทข้อมูล | ระยะเวลาเก็บ |
|---|---|
| ข้อมูลลงทะเบียนบัญชี | ระยะเวลาที่ท่านมีบัญชี บวก 1 ปีหลังปิดบัญชี เพื่อวัตถุประสงค์การตรวจสอบ |
| คำขอที่ส่งแล้ว | จัดเก็บไม่จำกัดระยะเวลาตราบที่แพลตฟอร์มยังดำเนินการ เว้นแต่ท่านขอให้ลบ จำเป็นเพื่อรักษาบันทึกปฏิสัมพันธ์ระหว่างซัพพลายเออร์-ลูกค้าเพื่อการระงับข้อพิพาท |
| ล็อกเซิร์ฟเวอร์และข้อมูลทางเทคนิค | 90 วัน |
| การติดต่อสื่อสารทางอีเมล | 3 ปี |
| เอกสารตรวจสอบซัพพลายเออร์ | ระยะเวลาที่ซัพพลายเออร์เข้าร่วม บวก 5 ปีหลังปิดการใช้งาน (เพื่อการเก็บบันทึกทางกฎหมายและภาษี) |
ท่านอาจขอลบข้อมูลของท่านได้ตลอดเวลา ภายใต้สิทธิและข้อจำกัดในข้อ 8
8. สิทธิของท่านภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลให้สิทธิเฉพาะแก่ท่านเหนือข้อมูลส่วนบุคคล ท่านสามารถใช้สิทธิเหล่านี้ได้โดยส่งอีเมลไปที่ contact@chemvault.org พร้อมคำขอและวิธีการยืนยันตัวตน
- สิทธิได้รับการแจ้ง (มาตรา 30): ทราบว่าเรามีข้อมูลใดของท่านและเพราะเหตุใด
- สิทธิเข้าถึง (มาตรา 30): ขอสำเนาข้อมูลส่วนบุคคลที่เรามีของท่าน
- สิทธิแก้ไขให้ถูกต้อง (มาตรา 36): แก้ไขข้อมูลที่ไม่ถูกต้อง ไม่สมบูรณ์ หรือล้าสมัย
- สิทธิลบ (มาตรา 33): ขอให้ลบข้อมูลของท่าน ภายใต้ภาระการเก็บรักษาทางกฎหมายของเรา
- สิทธิจำกัดการประมวลผล (มาตรา 34): ขอให้เรายุติการประมวลผลข้อมูลของท่านระหว่างประเมินคำขอ
- สิทธิย้ายข้อมูล (มาตรา 31): รับข้อมูลของท่านในรูปแบบที่จัดโครงสร้างและสามารถอ่านโดยเครื่องได้ และโอนย้ายไปยังบริการอื่น
- สิทธิคัดค้าน (มาตรา 32): คัดค้านกิจกรรมการประมวลผลเฉพาะอย่าง
- สิทธิถอนความยินยอม (มาตรา 19): ในกรณีที่การประมวลผลอาศัยความยินยอม สามารถถอนความยินยอมได้ การประมวลผลของเราส่วนใหญ่อาศัยการปฏิบัติตามสัญญา ไม่ใช่ความยินยอม ดังนั้นสิทธินี้จึงจำกัดเฉพาะกรณีเฉพาะ เช่น การสื่อสารทางการตลาดที่ท่านได้สมัครใจรับ
เราจะตอบกลับคำขอของท่านภายใน 30 วัน ตามมาตรา 30 หากเราไม่สามารถปฏิบัติตามคำขอของท่านได้ (เช่น เมื่อกฎหมายกำหนดให้เก็บรักษา) เราจะอธิบายเหตุผล
ท่านยังมีสิทธิยื่นเรื่องร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ของประเทศไทย หากท่านเชื่อว่าเราละเมิด พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
9. การปกป้องข้อมูลของท่าน
เราใช้มาตรการทางเทคนิคและการบริหารจัดการอย่างเหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคล:
- การส่งข้อมูลทั้งหมดไปและกลับจาก chemvault.org ใช้การเข้ารหัส TLS
- รหัสผ่านจัดเก็บในรูปแบบแฮชทางเดียว (เทียบเท่า bcrypt) ไม่ใช่ในรูปข้อความ
- การเข้าถึงฐานข้อมูลจำกัดด้วยการควบคุมตามบทบาท ข้อมูลลูกค้าเข้าถึงได้เฉพาะเจ้าหน้าที่ ChemVault และซัพพลายเออร์ที่ลูกค้าแต่ละรายระบุอย่างชัดเจน
- เราใช้นโยบาย Row Level Security ของ Supabase บังคับการแยกข้อมูลรายผู้ใช้ที่ระดับฐานข้อมูล
- การเข้าถึงสินค้าคงคลังของซัพพลายเออร์ถูกควบคุมด้วยนโยบาย RLS ที่ป้องกันการเปิดเผยข้อมูลข้ามซัพพลายเออร์
- การปรับใช้สู่ production ต้องผ่านการตรวจสอบโดยมนุษย์ก่อนการรวมโค้ด
- เรามีกระบวนการปรับปรุงต่อเนื่องที่บันทึกบทเรียนด้านความปลอดภัยจากเหตุการณ์ในการใช้งานจริง
ไม่มีระบบใดที่สามารถรับประกันความปลอดภัยอย่างเด็ดขาด หากเราทราบถึงการรั่วไหลของข้อมูลส่วนบุคคลที่ส่งผลกระทบต่อข้อมูลของท่าน เราจะแจ้งให้ท่านและ PDPC ทราบตามมาตรา 37 เมื่อกฎหมายกำหนดให้แจ้ง
10. คุกกี้และเทคโนโลยีในลักษณะเดียวกัน
ChemVault ใช้คุกกี้และที่จัดเก็บในเครื่องเฉพาะที่จำเป็นต่อการดำเนินงานของแพลตฟอร์ม:
- คุกกี้การยืนยันตัวตน ที่ออกโดย Supabase เพื่อให้ท่านยังคงเข้าสู่ระบบในแต่ละเซสชัน
- คุกกี้ความชอบภาษา เพื่อให้เว็บไซต์จดจำว่าท่านเลือกภาษาไทยหรืออังกฤษ
- คุกกี้ความชอบธีม เพื่อให้เว็บไซต์จดจำว่าท่านเลือกโหมดสว่างหรือมืด
ปัจจุบันเราไม่ใช้คุกกี้วิเคราะห์ โฆษณา หรือการตลาดจากบุคคลที่สาม หากเราเพิ่มคุกกี้ดังกล่าวในอนาคต เราจะปรับปรุงนโยบายและขอความยินยอมเมื่อกฎหมายกำหนด
11. เด็ก
ChemVault จัดทำขึ้นเพื่อใช้งานโดยภาคธุรกิจ สถาบันวิจัย และองค์กรอื่น ๆ เราไม่เก็บรวบรวมข้อมูลส่วนบุคคลจากผู้ที่อายุต่ำกว่า 18 ปีโดยรู้เห็น หากท่านเชื่อว่าผู้เยาว์ได้ให้ข้อมูลส่วนบุคคลแก่เรา กรุณาติดต่อเราและเราจะลบข้อมูลดังกล่าว
12. การเปลี่ยนแปลงนโยบายฉบับนี้
เราจะปรับปรุงนโยบายฉบับนี้เมื่อแนวปฏิบัติด้านข้อมูลของเราเปลี่ยน หรือเมื่อกฎหมายเปลี่ยน การเปลี่ยนแปลงที่มีนัยสำคัญจะแจ้งให้ผู้ใช้ที่ลงทะเบียนทราบทางอีเมลอย่างน้อย 30 วันก่อนมีผล
หมายเลขเวอร์ชันและวันที่มีผลของนโยบายที่ด้านบนของเอกสารแสดงว่าเวอร์ชันปัจจุบันเริ่มใช้บังคับเมื่อใด เวอร์ชันก่อนหน้าจัดเก็บไว้ภายในและสามารถขอได้
13. ติดต่อเรา
สำหรับคำถาม คำขอ หรือคำร้องเรียนใด ๆ เกี่ยวกับนโยบายนี้หรือข้อมูลส่วนบุคคลของท่าน:
- อีเมล: contact@chemvault.org
- ที่อยู่ไปรษณีย์: บริษัท เมดเทเรียม เธรานอสติกส์ จำกัด กรุงเทพมหานคร ประเทศไทย
ท่านยังสามารถติดต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยได้ตามที่อยู่ที่เผยแพร่ในเว็บไซต์ https://www.pdpc.or.th/
นโยบายฉบับนี้จัดทำโดยทีมวิศวกรรมของ ChemVault เพื่อรับการตรวจสอบโดยที่ปรึกษากฎหมาย จะมีการแก้ไขปรับปรุงก่อนเปิดให้บริการแบบเต็มรูปแบบ กรุณาติดต่อเราหากข้อใดไม่ชัดเจนหรือหากท่านเชื่อว่าแนวปฏิบัติจริงของเราไม่ตรงกับที่อธิบายไว้ในนี้