ฟีเจอร์ Lab Network คู่มือ ราคา FAQ
หน้าหลัก นัด Demo ฟรี
หน้าหลัก / นโยบายความเป็นส่วนตัว

นโยบายความเป็นส่วนตัว

มีผลใช้บังคับ: 1 มกราคม 2569 แก้ไขล่าสุด: 27 พฤษภาคม 2569

CNX Medical ("เรา", "บริษัท", "ผู้ให้บริการ") ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลของคลินิกที่ใช้บริการ ("ลูกค้า") รวมถึงข้อมูลของผู้ป่วย/ลูกค้าของคลินิก ("ผู้ใช้บริการปลายทาง") ที่อยู่ในระบบของเรา นโยบายฉบับนี้อธิบายว่าเราเก็บข้อมูลใดบ้าง ใช้อย่างไร และคุณมีสิทธิ์อะไรบ้างภายใต้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

สาระสำคัญ เราเป็น ผู้ประมวลผลข้อมูล (Data Processor) ให้คลินิก — คลินิกแต่ละแห่งเป็น ผู้ควบคุมข้อมูล (Data Controller) ของข้อมูลผู้ป่วยของตนเอง เราจะใช้ข้อมูลตามคำสั่งและสัญญาเท่านั้น

1. ข้อมูลที่เราเก็บ

1.1 ข้อมูลของลูกค้า (เจ้าของ/ผู้ใช้งานในคลินิก)

  • ชื่อ-นามสกุล อีเมล เบอร์โทรศัพท์
  • ตำแหน่ง บทบาท สาขาที่ทำงาน
  • ข้อมูลการ login (อีเมล + รหัสผ่านที่เข้ารหัสด้วย bcrypt/argon2)
  • ที่อยู่บริษัท เลขประจำตัวผู้เสียภาษี (สำหรับออกใบเสร็จ)
  • ข้อมูลการชำระค่าบริการ — ระบบจัดเก็บเฉพาะหลักฐานการชำระ (ใบเสร็จ/สลิป) เลขบัตรเครดิตจัดเก็บโดยผู้ให้บริการรับชำระเงินภายนอก เราไม่ได้เก็บโดยตรง

1.2 ข้อมูลของผู้ใช้บริการปลายทาง (ผู้ป่วยของคลินิก)

คลินิกป้อนข้อมูลเหล่านี้เข้าสู่ระบบ:

  • ข้อมูลทั่วไป — ชื่อ-นามสกุล เพศ วันเกิด เลขประจำตัวประชาชน เบอร์โทร ที่อยู่
  • ข้อมูลทางการแพทย์ — ประวัติการรักษา การวินิจฉัย (ICD-10) ใบสั่งยา ผล Lab/X-ray Vital Signs
  • ข้อมูลการเงิน — ใบแจ้งหนี้ การชำระเงิน คอร์สที่ซื้อ
  • ข้อมูล LINE — User ID ของลูกค้าที่ผูกบัญชี LINE OA ของคลินิก (เฉพาะกรณีที่ลูกค้ายินยอม)

1.3 ข้อมูลทางเทคนิคที่เก็บอัตโนมัติ

  • IP address วันเวลาเข้าใช้งาน เบราว์เซอร์และอุปกรณ์ที่ใช้
  • กิจกรรมในระบบ (audit log) — เช่นใครสร้าง/แก้ใบแจ้งหนี้ เพื่อตรวจสอบความปลอดภัย
  • Cookies สำหรับ session login และค่าตั้งสาขาปัจจุบัน

2. วัตถุประสงค์การใช้ข้อมูล

  1. ให้บริการระบบ — รัน workflow ของคลินิก (เวชระเบียน นัดหมาย Lab X-ray POS เงินเดือน ฯลฯ)
  2. เก็บค่าบริการ — ออกใบเสร็จ เรียกเก็บ subscription รายเดือน/ปี
  3. Support / แก้ปัญหา — ทีมงานเข้าดูข้อมูลเมื่อลูกค้าร้องขอช่วยเหลือ (มี audit log)
  4. พัฒนาผลิตภัณฑ์ — วิเคราะห์การใช้งานในรูปแบบ aggregate ที่ระบุตัวตนไม่ได้
  5. ติดต่อสื่อสาร — แจ้งการอัปเดตระบบ ปัญหา หรือข่าวสารบริการ
เราไม่ใช้ข้อมูลผู้ป่วยของคลินิก เพื่อทำการตลาด ขายต่อ หรือฝึก AI โมเดล public — ข้อมูลถูกใช้เฉพาะเพื่อให้บริการคลินิกที่เป็นเจ้าของข้อมูล

3. การแชร์ข้อมูลกับบุคคลที่สาม

เราแชร์ข้อมูลเฉพาะกรณีดังต่อไปนี้:

3.1 ผู้ให้บริการที่จำเป็น (Sub-processors)

  • Cloud hosting — เซิร์ฟเวอร์ที่เก็บข้อมูล (ดาต้าเซ็นเตอร์ในประเทศไทย/ภูมิภาค ASEAN)
  • LINE Messaging API — สำหรับส่ง broadcast/recall ไปยังลูกค้าของคลินิก (เฉพาะที่ลูกค้ายินยอม)
  • ผู้ให้บริการรับชำระเงิน — สำหรับเก็บค่า subscription ของลูกค้าคลินิก
  • Lab/X-ray Network — Lab/X-ray agent ภายนอกที่คลินิกส่งงานไป (คลินิกควบคุมการแชร์เอง)
  • OpenAI / AI services — เฉพาะเมื่อคลินิกเปิดใช้งานฟีเจอร์ AI ช่วยแพทย์ — ส่งข้อมูลที่ระบุตัวตนไม่ได้ไปประมวลผล

3.2 เหตุที่กฎหมายกำหนด

เราอาจเปิดเผยข้อมูลตามคำสั่งศาล หรือเพื่อปฏิบัติตามกฎหมายไทยเท่านั้น

3.3 เราไม่ขายข้อมูล

เราไม่ขาย ไม่แลกเปลี่ยน และไม่ส่งต่อข้อมูลส่วนบุคคลให้บุคคลที่สามเพื่อวัตถุประสงค์ทางการค้า

4. ความปลอดภัย

  • เข้ารหัส — ข้อมูลทั้งหมดส่งผ่าน HTTPS (TLS 1.2+); รหัสผ่านเข้ารหัสด้วย bcrypt/argon2
  • Branch isolation — ข้อมูลแต่ละสาขาแยกกัน; พนักงานเห็นเฉพาะสาขาที่ได้รับสิทธิ์
  • Account isolation — ข้อมูลของคลินิกแต่ละแห่งแยกกันสมบูรณ์ผ่าน account_id
  • Permission Matrix — สร้าง Role และกำหนดสิทธิ์ลึกถึงระดับ action ต่อ module
  • Audit Log — บันทึกผู้สร้าง/ผู้แก้ในเอกสารสำคัญทุกชิ้น
  • Backup — สำรองข้อมูลรายวัน เก็บไว้อย่างน้อย 30 วัน

5. การเก็บรักษาข้อมูล (Retention)

  • ระหว่างใช้บริการ — เก็บตามที่คลินิกกำหนด (เวชระเบียนตามกฎหมายไทย ≥ 5 ปีจาก visit ครั้งสุดท้าย)
  • หลังยกเลิกบริการ — เก็บสำรอง 90 วันสำหรับ recovery จากนั้นลบถาวร
  • Backup — ลบจาก backup ภายใน 30 วันเพิ่มเติม
  • คลินิกขอ export ข้อมูล ทั้งหมดก่อนยกเลิกบริการได้

6. สิทธิ์ของเจ้าของข้อมูล (ตาม PDPA)

เจ้าของข้อมูลส่วนบุคคลมีสิทธิ์ดังนี้:

  • เข้าถึง — ขอดูข้อมูลของตนเองที่อยู่ในระบบ
  • แก้ไข — ขอให้แก้ข้อมูลที่ไม่ถูกต้อง
  • ลบ — ขอให้ลบเมื่อหมดความจำเป็น (เว้นแต่กฎหมายกำหนดให้เก็บ)
  • คัดค้านการประมวลผล — ในกรณีที่กฎหมายอนุญาต
  • ขอย้ายข้อมูล — รับข้อมูลในรูปแบบที่อ่านได้
  • ถอนความยินยอม — ในกรณีที่ใช้ความยินยอมเป็นฐาน
  • ร้องเรียน — ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

สำหรับผู้ป่วย/ลูกค้าของคลินิก — โปรดติดต่อคลินิกที่คุณรับบริการ (เป็นผู้ควบคุมข้อมูลของคุณโดยตรง)

7. คุกกี้ (Cookies)

เราใช้คุกกี้เพื่อ:

  • Session login — จดจำว่าคุณ login อยู่
  • Branch context — จดจำสาขาปัจจุบันที่เปิดใช้งาน
  • Theme — จดจำ light/dark mode ที่เลือก

เราไม่ใช้คุกกี้สำหรับติดตามข้ามเว็บ หรือโฆษณา

8. การโอนข้อมูลข้ามประเทศ

โดยทั่วไปข้อมูลเก็บในประเทศไทย/ASEAN เพื่อให้สอดคล้องกับ PDPA หากมีการประมวลผลข้ามประเทศ (เช่น AI services) เราจะใช้ผู้ให้บริการที่มีมาตรฐานคุ้มครองข้อมูลเทียบเท่าหรือสูงกว่า PDPA

9. การเปลี่ยนแปลงนโยบาย

เราอาจอัปเดตนโยบายฉบับนี้เป็นครั้งคราว การเปลี่ยนแปลงสำคัญจะแจ้งผ่านอีเมลหรือในระบบล่วงหน้าอย่างน้อย 30 วัน วันที่อัปเดตล่าสุดแสดงด้านบน

10. ติดต่อเรา

หากมีคำถามเกี่ยวกับนโยบายความเป็นส่วนตัว หรือต้องการใช้สิทธิ์ตาม PDPA โปรดติดต่อ: