ประกาศความเป็นส่วนตัว (Privacy Notice)

สำหรับลูกค้าองค์กรที่ใช้บริการ

รหัสเอกสาร ASC-PDPA-PN-002 v1.0 | มีผลบังคับใช้ตั้งแต่ 16 กรกฎาคม 2569

1. บทนำและขอบเขตการบังคับใช้

กลุ่มบริษัท ASC Group ("บริษัท") ให้ความสำคัญสูงสุดต่อการคุ้มครองข้อมูลส่วนบุคคลของผู้ติดต่อ ผู้ใช้งาน และผู้มีอำนาจตัดสินใจขององค์กรลูกค้า ที่เข้ามาใช้บริการของบริษัท ประกาศความเป็นส่วนตัวฉบับนี้อธิบายว่าบริษัทเก็บรวบรวม ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของท่าน (ในฐานะผู้แทนหรือบุคลากรขององค์กรลูกค้า) อย่างไร ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

ประกาศนี้ครอบคลุมการให้บริการทั้งสองประเภท:

บริการ	รายละเอียด / ผู้ดำเนินการ	กลุ่มลูกค้าเป้าหมาย
IT Outsource (stoms.app)	บริการจัดหาบุคลากร IT ประจำองค์กร, Managed Service, Staff Augmentation ดำเนินการโดย: กลุ่มบริษัท ASC Group	บริษัทที่ต้องการบุคลากร IT ภายนอก หรือทีม IT สำเร็จรูป
The1Jobs (the1jobs.com)	แพลตฟอร์มประกาศตำแหน่งงาน IT พร้อม AI Job Matching ดำเนินการโดย: กลุ่มบริษัท ASC Group	บริษัทที่ต้องการประกาศรับสมัครงานและค้นหาผู้สมัคร IT

เจ้าของข้อมูลส่วนบุคคลตามประกาศฉบับนี้ คือ บุคคลธรรมดาที่ดำเนินการในนามองค์กรลูกค้า ได้แก่ ผู้ติดต่อประสานงาน ผู้จัดการฝ่าย HR, IT หรือการจัดซื้อ ผู้มีอำนาจลงนาม และผู้ใช้งานแพลตฟอร์มของบริษัท

2. ผู้ควบคุมข้อมูลส่วนบุคคล

กลุ่มบริษัท ASC Group ประกอบด้วยนิติบุคคลต่อไปนี้ ซึ่งทำหน้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตามบริการที่ท่านใช้งาน:

1	บริษัท แอดวานซ์ซิสเต็มส์ คอนซัลติ้ง จำกัด (Advanced Systems Consulting Co., Ltd.)
2	บริษัท แอดวานซ์ เพอร์ซเนล แอนด์ โซลูชั่น จำกัด (Advanced Personnel and Solution Co., Ltd.)
3	บริษัท แอดวานซ์แอดมินิสเตรชั่น จำกัด (Advanced Administration Co., Ltd.)
4	บริษัท แอดวานซ์เอาท์ซอร์สซิ่ง เซอร์วิสเซส จำกัด (Advanced Outsourcing Services Co., Ltd.)
5	บริษัท แอดวานซ์ ไอเซอร์วิส จำกัด (Advanced iService Co., Ltd.)

แต่ละบริษัทในเครือดำเนินการในฐานะผู้ควบคุมข้อมูลอิสระตามขอบเขตบริการของตน โดยมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ส่วนกลางทำหน้าที่กำกับดูแลและประสานงานด้านการปฏิบัติตาม PDPA สำหรับทั้งกลุ่ม

3. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม

บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลจากผู้ติดต่อและผู้ใช้งานขององค์กรลูกค้า ดังต่อไปนี้:

ข้อมูลส่วนบุคคล	ประเภท	บริการที่เกี่ยวข้อง
ชื่อ-นามสกุล, ตำแหน่งงาน, แผนก	ข้อมูลตัวตนผู้ติดต่อ	ทุกบริการ
อีเมลธุรกิจ, เบอร์โทรศัพท์ที่ทำงาน/มือถือ	ข้อมูลติดต่อ	ทุกบริการ
ลายมือชื่อ (กรณีลงนามสัญญา)	ข้อมูลตัวตน	IT Outsource
เลขประจำตัวผู้เสียภาษี (Tax ID), ที่อยู่สำหรับออกใบกำกับภาษี	ข้อมูลการเงิน/ภาษี	ทุกบริการ
ข้อมูลบัญชีธนาคาร (กรณีขอเครดิต/คืนเงิน)	ข้อมูลการเงิน	IT Outsource
ประวัติและเงื่อนไขสัญญา, ขอบเขตงาน (SOW)	ข้อมูลสัญญา	IT Outsource
ข้อมูล Account ผู้ใช้งานแพลตฟอร์ม (username, รหัสผ่านที่เข้ารหัส)	ข้อมูลการใช้งาน	The1Jobs
ประวัติการโพสต์งาน, ข้อกำหนดตำแหน่ง, งบประมาณ	ข้อมูลการจ้างงาน	The1Jobs
IP Address, Cookies, Device ID, Log การเข้าถึง	ข้อมูลเทคนิค	The1Jobs
การสื่อสารผ่านอีเมล/แชท (ติดต่อกับทีม ASC Group)	ข้อมูลการสื่อสาร	ทุกบริการ

หมายเหตุ:

บริษัทไม่เก็บข้อมูลส่วนบุคคลประเภทอ่อนไหว (Sensitive Data) ตามมาตรา 26 จากผู้ติดต่อองค์กรลูกค้า ในกระบวนการให้บริการปกติ
ข้อมูลองค์กร เช่น ชื่อบริษัท เลขทะเบียน ที่อยู่บริษัท ถือเป็นข้อมูลนิติบุคคล (ไม่ใช่ข้อมูลส่วนบุคคล) แต่บริษัทจะดูแลรักษาด้วยมาตรฐานความปลอดภัยเดียวกัน
บริษัทเก็บข้อมูลโดยตรงจากท่าน ผ่านแบบฟอร์มสัญญา แพลตฟอร์มออนไลน์ อีเมล และการสื่อสารอื่น ๆ

4. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผล

บริษัทประมวลผลข้อมูลส่วนบุคคลของท่านตามวัตถุประสงค์และฐานทางกฎหมายดังต่อไปนี้:

วัตถุประสงค์	ฐานทางกฎหมาย	บริการที่เกี่ยวข้อง
บริหารจัดการสัญญา จัดหาบุคลากร/บริการ IT ตามที่ตกลง รับ-ส่งมอบงาน ติดตามสถานะ และประสานงานโครงการ	สัญญา มาตรา 24(3)	IT Outsource
ออกใบแจ้งหนี้ ใบกำกับภาษี บันทึกการชำระเงิน และดูแลกระบวนการทางบัญชี	สัญญา + กฎหมาย มาตรา 24(3)(6)	ทุกบริการ
บริหารจัดการ Account ผู้ใช้งานแพลตฟอร์ม การลงทะเบียน ยืนยันตัวตน และควบคุมสิทธิ์การเข้าถึง	สัญญา มาตรา 24(3)	The1Jobs
ให้บริการ Support ตอบคำถาม แก้ไขปัญหาที่เกิดขึ้น และติดตามผลความพึงพอใจหลังให้บริการ	ประโยชน์อันชอบธรรม มาตรา 24(5)	ทุกบริการ
วิเคราะห์และพัฒนาประสิทธิภาพแพลตฟอร์ม ปรับปรุง UX และแก้ไข Bug จากข้อมูลการใช้งาน	ประโยชน์อันชอบธรรม มาตรา 24(5)	The1Jobs
ส่งแจ้งเตือนสำคัญ (หมดอายุสัญญา อัปเดตนโยบาย) และข่าวสารที่เกี่ยวข้องกับบริการที่ใช้อยู่	ประโยชน์อันชอบธรรม มาตรา 24(5)	ทุกบริการ
ปฏิบัติตามกฎหมาย (กฎหมายบัญชี ภาษี แรงงาน) และให้ความร่วมมือกับหน่วยงานรัฐตามอำนาจที่กำหนด	กฎหมาย มาตรา 24(6)	ทุกบริการ
นำเสนอโปรโมชัน บริการใหม่ งาน Event และ Case Study ที่เกี่ยวกับบริการ IT Outsource หรือแพลตฟอร์ม	ความยินยอม มาตรา 19	ทุกบริการ (ถ้ายินยอม)

คำอธิบายฐานทางกฎหมาย:

สัญญา (มาตรา 24(3)): จำเป็นสำหรับการปฏิบัติตามสัญญาระหว่างองค์กรของท่านกับบริษัท
ประโยชน์อันชอบธรรม (มาตรา 24(5)): บริษัทได้ประเมินแล้วว่าประโยชน์ที่ได้รับไม่กระทบสิทธิขั้นพื้นฐานของท่านอย่างมีนัยสำคัญ ท่านมีสิทธิคัดค้านได้
กฎหมาย (มาตรา 24(6)): จำเป็นตามกฎหมายบัญชี ภาษี แรงงาน หรือคำสั่งจากหน่วยงานรัฐ
ความยินยอม (มาตรา 19): ท่านสามารถถอนความยินยอมได้ทุกเมื่อผ่านช่องทางที่กำหนด โดยไม่กระทบต่อการประมวลผลก่อนหน้า

5. การเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลภายนอก

บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของท่านต่อบุคคลหรือองค์กรภายนอกในกรณีต่อไปนี้เท่านั้น:

5.1 บริษัทในเครือ ASC Group
บริษัทในเครือที่เกี่ยวข้องกับการให้บริการตามสัญญา เช่น การส่งต่องานระหว่างทีม เพื่อให้บริการมีประสิทธิภาพ โดยทุกบริษัทในเครืออยู่ภายใต้นโยบายคุ้มครองข้อมูลเดียวกัน

5.2 ผู้ให้บริการภายนอก (Processors)

ผู้ให้บริการ Cloud Infrastructure (เช่น AWS, Microsoft Azure, Google Cloud, INET) สำหรับการจัดเก็บข้อมูลและประมวลผลระบบ
ผู้ให้บริการระบบอีเมลและการสื่อสาร

ผู้ให้บริการทุกรายลงนามสัญญาประมวลผลข้อมูล (Data Processing Agreement — DPA) และต้องดำเนินการตามมาตรฐานความปลอดภัยที่บริษัทกำหนด

5.3 ที่ปรึกษาและผู้สอบบัญชี
ทนายความ ที่ปรึกษากฎหมาย และผู้สอบบัญชี เฉพาะเมื่อจำเป็นสำหรับการปฏิบัติตามกฎหมายหรือการแก้ไขข้อพิพาท โดยอยู่ภายใต้ข้อตกลงรักษาความลับ

5.4 หน่วยงานราชการและกฎหมาย
บริษัทจะเปิดเผยข้อมูลต่อหน่วยงานรัฐ กรมสรรพากร กรมแรงงาน สำนักงาน PDPC หรือศาล เมื่อมีคำสั่งตามกฎหมายเท่านั้น

บริษัทไม่ขายข้อมูลส่วนบุคคลของท่านให้แก่บุคคลภายนอก และไม่เปิดเผยข้อมูลเพื่อวัตถุประสงค์ทางการตลาดโดยไม่ได้รับความยินยอมจากท่าน

6. ระยะเวลาการเก็บรักษาข้อมูล

บริษัทเก็บรักษาข้อมูลส่วนบุคคลของท่านตามระยะเวลาดังต่อไปนี้ หรือจนกว่าวัตถุประสงค์การประมวลผลจะสิ้นสุด แล้วแต่ว่ากรณีใดจะนานกว่า:

ประเภทข้อมูล	ระยะเวลาเก็บรักษา	เหตุผล / อ้างอิง
ข้อมูลผู้ติดต่อและสื่อสารในโครงการ	ตลอดอายุสัญญา + 5 ปีหลังสิ้นสุด	อายุความตาม ป.พ.พ.
สัญญา ขอบเขตงาน (SOW) และเอกสารโครงการ	ตลอดอายุสัญญา + 5 ปีหลังสิ้นสุด	อายุความตาม ป.พ.พ.
ข้อมูลการเงิน (ใบแจ้งหนี้ หลักฐานการชำระ)	5 ปีนับจากวันที่ทำรายการ	พ.ร.บ. การบัญชี / ประมวลรัษฎากร
ข้อมูล Account แพลตฟอร์ม (The1Jobs)	ตลอดระยะการใช้บริการ + 1 ปีหลังยกเลิก	Legitimate Interest
ประวัติการโพสต์งานและการค้นหาผู้สมัคร	2 ปีนับจากวันที่โพสต์	Legitimate Interest
Log การเข้าถึงและ IP Address	1 ปีนับจากวันที่บันทึก	ความปลอดภัย / กฎหมาย
ข้อมูลที่ยินยอมรับการตลาด	จนกว่าจะถอนความยินยอม	Consent

เมื่อครบกำหนดระยะเวลา บริษัทจะลบหรือทำลายข้อมูลด้วยวิธีที่ปลอดภัย หรืออาจทำ Anonymization เพื่อใช้ในการวิเคราะห์เชิงสถิติต่อไป

7. มาตรการรักษาความปลอดภัยของข้อมูล

บริษัทดำเนินมาตรการรักษาความปลอดภัยด้านเทคนิคและด้านองค์กร เพื่อปกป้องข้อมูลส่วนบุคคลของท่านจากการเข้าถึง การเปิดเผย การแก้ไข หรือการทำลายโดยไม่ได้รับอนุญาต

7.1 มาตรการด้านเทคนิค

การเข้ารหัสข้อมูล (Encryption) ทั้งขณะส่งผ่าน (TLS/HTTPS) และขณะจัดเก็บ (AES-256)
ระบบควบคุมการเข้าถึงตามบทบาทหน้าที่ (Role-Based Access Control — RBAC)
การยืนยันตัวตนสองชั้น (Multi-Factor Authentication — MFA) สำหรับการเข้าถึงระบบสำคัญ
ระบบ Firewall, Intrusion Detection System (IDS) และการตรวจสอบความปลอดภัยอย่างต่อเนื่อง
การสำรองข้อมูล (Backup) และแผนกู้คืนระบบ (Disaster Recovery Plan)

7.2 มาตรการด้านองค์กร

จำกัดการเข้าถึงข้อมูลเฉพาะพนักงานที่มีความจำเป็นตามหน้าที่งาน
การฝึกอบรมพนักงานด้าน PDPA และความปลอดภัยข้อมูลเป็นประจำ
นโยบายการจัดการข้อมูล การทำลายข้อมูล และการตอบสนองต่อเหตุการณ์รั่วไหล
การตรวจสอบและประเมินความเสี่ยงด้านความปลอดภัยอย่างสม่ำเสมอตามมาตรฐาน ISO/IEC 27001

การแจ้งเหตุละเมิดข้อมูล: ในกรณีที่เกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงสูง บริษัทจะแจ้งเจ้าของข้อมูลที่เกี่ยวข้องโดยไม่ชักช้า และรายงานต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ภายใน 72 ชั่วโมง ตามมาตรา 37(4) ของ PDPA

8. สิทธิของเจ้าของข้อมูลส่วนบุคคล

ในฐานะเจ้าของข้อมูลส่วนบุคคล (ผู้ติดต่อหรือผู้ใช้งานในนามองค์กรลูกค้า) ท่านมีสิทธิตาม PDPA ดังนี้:

มาตรา	สิทธิ	รายละเอียด
มาตรา 30	สิทธิเข้าถึงข้อมูล	ขอทราบว่าบริษัทเก็บข้อมูลอะไร และขอสำเนาได้
มาตรา 35	สิทธิแก้ไขข้อมูล	ขอให้แก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่ครบถ้วน
มาตรา 33	สิทธิลบข้อมูล	ขอให้ลบข้อมูลเมื่อหมดความจำเป็น (บางกรณี)
มาตรา 34	สิทธิจำกัดการประมวลผล	ขอระงับการใช้ข้อมูลชั่วคราวได้
มาตรา 32	สิทธิคัดค้าน	คัดค้านการประมวลผลที่อาศัยฐาน Legitimate Interest หรือการตลาด
มาตรา 36	สิทธิโอนย้ายข้อมูล	ขอรับข้อมูลในรูปแบบอิเล็กทรอนิกส์เพื่อโอนไปยังผู้ควบคุมอื่น
มาตรา 19	สิทธิถอนความยินยอม	ถอนความยินยอมได้ทุกเมื่อ โดยไม่กระทบต่อการประมวลผลก่อนหน้า
มาตรา 73	สิทธิร้องเรียน	ร้องเรียนต่อสำนักงาน PDPC หากเห็นว่าบริษัทละเมิดสิทธิ์

ท่านสามารถใช้สิทธิได้โดยติดต่อบริษัทผ่านช่องทางที่ระบุในข้อ 11 บริษัทจะดำเนินการตอบสนองคำร้องภายใน 30 วันนับจากวันที่ได้รับคำร้อง หากมีเหตุจำเป็นต้องขยายเวลา บริษัทจะแจ้งให้ท่านทราบล่วงหน้า
หมายเหตุ: สิทธิบางประการอาจถูกจำกัดตามกฎหมายที่เกี่ยวข้อง เช่น สิทธิลบข้อมูลอาจไม่สามารถใช้ได้หากบริษัทยังมีภาระผูกพันตามสัญญาหรือกฎหมายในการเก็บข้อมูลนั้น

9. การโอนข้อมูลไปต่างประเทศ

บริษัทอาจโอนข้อมูลส่วนบุคคลของท่านไปยังผู้ให้บริการ Cloud Infrastructure ที่มีเซิร์ฟเวอร์ตั้งอยู่ในต่างประเทศ (เช่น สหรัฐอเมริกา สิงคโปร์ หรือสหภาพยุโรป) ซึ่งจำเป็นสำหรับการให้บริการแพลตฟอร์มออนไลน์

บริษัทดำเนินการโอนข้อมูลดังกล่าวโดยปฏิบัติตามมาตรา 28 แห่ง PDPA โดยตรวจสอบให้แน่ใจว่าประเทศหรือองค์กรผู้รับมีมาตรฐานการคุ้มครองข้อมูลเทียบเท่ากับที่กฎหมายไทยกำหนด หรือมีสัญญาประมวลผลข้อมูล (DPA) ที่เป็นมาตรฐานสากล (เช่น Standard Contractual Clauses)

10. การเปลี่ยนแปลงประกาศความเป็นส่วนตัว

บริษัทอาจปรับปรุงประกาศความเป็นส่วนตัวฉบับนี้เป็นครั้งคราว เพื่อให้สอดคล้องกับการเปลี่ยนแปลงทางกฎหมาย การปรับปรุงบริการ หรือแนวปฏิบัติที่ดีที่สุด

เมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญ บริษัทจะแจ้งท่านผ่านอีเมลที่ท่านลงทะเบียนไว้ หรือประกาศบนเว็บไซต์ของบริษัทและแพลตฟอร์มที่เกี่ยวข้อง ล่วงหน้าไม่น้อยกว่า 30 วัน
การใช้บริการต่อเนื่องหลังการแจ้งถือว่าท่านรับทราบประกาศฉบับที่แก้ไข
ท่านสามารถตรวจสอบประกาศฉบับล่าสุดได้ที่เว็บไซต์ของบริษัทหรือแพลตฟอร์มที่ท่านใช้งาน

11. ช่องทางติดต่อและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

หากท่านมีข้อสงสัย ต้องการใช้สิทธิ หรือมีข้อร้องเรียนเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของท่าน กรุณาติดต่อ:

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)	กลุ่มบริษัท ASC Group
ที่อยู่	เลขที่ 25 อาคารกรุงเทพประกันภัย ชั้น 18 ยูนิต 7 ถนนสาทรใต้ แขวงทุ่งมหาเมฆ เขตสาทร กรุงเทพฯ 10120
อีเมล	PDPA@grpasc.com
โทรศัพท์	02-679-1940-3 ต่อ 511 (วันจันทร์–ศุกร์ 9:00–18:00 น.)

หากท่านเห็นว่าบริษัทประมวลผลข้อมูลส่วนบุคคลของท่านโดยไม่ชอบด้วยกฎหมาย ท่านมีสิทธิยื่นร้องเรียนต่อ:

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
เว็บไซต์: www.pdpc.or.th | โทรศัพท์: 02-142-2983