1. ผู้ควบคุมข้อมูล
ผู้ควบคุมข้อมูลสำหรับการประมวลผลข้อมูลบนเว็บไซต์นี้และในแอปมือถือ 'Massage Finder' คือ:
2. ข้อมูลทั่วไป
เราประมวลผลข้อมูลส่วนบุคคลภายในกรอบของ GDPR massage-finder.de เป็นพอร์ทัลค้นหาร้านนวดในเยอรมนีที่ใช้งานฟรี ให้บริการเป็นเว็บไซต์และแอปมือถือ (Android) ผู้ใช้ทั่วไปสามารถใช้งานได้โดยไม่ต้องลงทะเบียน เจ้าของร้านนวดสามารถลงทะเบียนและจัดการรายชื่อได้ฟรี
3. วัตถุประสงค์การประมวลผล
เราประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ต่อไปนี้:
- การให้บริการและความปลอดภัยของเว็บไซต์
- การแสดงและจัดการรายชื่อร้านนวด
- การส่ง Magic Link อีเมลสำหรับการยืนยันตัวตนของเจ้าของร้าน
- การส่งการแจ้งเตือนในกระบวนการ Claim
- การจัดเก็บรายการโปรดและประวัติการจองสำหรับผู้ใช้ที่เข้าสู่ระบบ (Cognito)
- การส่งต่อคำขอจองไปยังระบบร้านนวด
- การซิงค์ข้อมูลร้านนวดจากระบบ Khun Nuad
- การปฏิบัติตามภาระผูกพันทางกฎหมาย
ฐานทางกฎหมาย:
- มาตรา 6 วรรค 1 ข. GDPR (สัญญา / มาตรการก่อนทำสัญญา)
- มาตรา 6 วรรค 1 ง. GDPR (ผลประโยชน์อันชอบธรรม)
- มาตรา 6 วรรค 1 ก. GDPR (ความยินยอม หากได้รับแยกต่างหาก)
4. ไฟล์บันทึกเซิร์ฟเวอร์
เมื่อเข้าถึงเว็บไซต์ ข้อมูลทางเทคนิคจะถูกรวบรวมโดยอัตโนมัติ:
- ที่อยู่ IP
- วันที่และเวลา
- หน้าที่เข้าถึง
- URL อ้างอิง
- ประเภทเบราว์เซอร์และระบบปฏิบัติการ
ข้อมูลนี้จำเป็นทางเทคนิคเพื่อการดำเนินงาน ความเสถียร และความปลอดภัย
ฐานทางกฎหมาย: มาตรา 6 วรรค 1 ง. GDPR
5. การลงทะเบียนร้านและ Magic Link Auth
เมื่อคุณลงทะเบียนร้านหรือเข้าสู่ระบบผ่าน Magic Link เราจะประมวลผล:
- ชื่อร้าน ที่อยู่ โทรศัพท์ อีเมล
- Google Place ID (หากลงทะเบียนผ่าน Google)
- เวลาเปิด คำอธิบาย เว็บไซต์ (จาก Google Places หรือกรอกเอง)
- Magic Link Token (TTL 48 ชั่วโมง เก็บใน DynamoDB)
- Session Token (TTL 7 วัน เก็บใน localStorage)
ฐานทางกฎหมาย: มาตรา 6 วรรค 1 ข. GDPR และมาตรา 6 วรรค 1 ง. GDPR (ผลประโยชน์อันชอบธรรมในการยืนยันตัวตนที่ปลอดภัยของเจ้าของร้านและการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต)
6. บัญชีผู้ใช้ (Cognito) และรายการโปรด
เมื่อคุณเข้าสู่ระบบด้วย Google ผ่าน Amazon Cognito เราจะประมวลผล:
- ชื่อ อีเมล รูปโปรไฟล์ (จาก Google)
- Cognito User Sub (ID เฉพาะ)
- ร้านนวดที่บันทึกไว้ (เก็บใน DynamoDB TTL 2 ปี)
- ประวัติการจอง (เก็บใน DynamoDB)
- หมายเลขโทรศัพท์ (ไม่บังคับ เก็บใน localStorage เท่านั้น)
- การแสดงรายการโปรดและประวัติการจอง
- การปรับแต่งประสบการณ์ผู้ใช้
ฐานทางกฎหมาย: มาตรา 6 วรรค 1 ข. GDPR ผู้ให้บริการ: Amazon Cognito (AWS eu-central-1), Google OAuth
7. การจองและการส่งต่อการจอง
Massage Finder ประมวลผลข้อมูลการจองสองวิธี:
การจองผ่าน MF โดยตรง
เมื่อคุณทำการจองโดยตรงผ่าน massage-finder.de เราจะจัดเก็บข้อมูลการจองในระบบของเรา
- ชื่อ อีเมล หมายเลขโทรศัพท์
- บริการที่เลือก วันที่ เวลา
- จำนวนคน
- Massage Finder ส่งอีเมลยืนยันและยกเลิกให้ลูกค้า
- สถานะการจองและประวัติจะถูกจัดเก็บในระบบของเรา
- ร้านนวดจะได้รับคำขอจองทางอีเมลพร้อมการดำเนินการผ่าน Magic Link (ยืนยัน/ปฏิเสธ)
การจองที่ซิงค์จาก KN
การจองที่ทำบนเว็บไซต์ร้าน Khun Nuad ขณะเข้าสู่ระบบด้วยบัญชี Massage Finder ของคุณจะถูกซิงค์กลับไปยังโปรไฟล์ Massage Finder ของคุณโดยอัตโนมัติ
ฐานทางกฎหมาย: มาตรา 6 วรรค 1 ข. GDPR (การปฏิบัติตามสัญญา) สำหรับทั้งสองช่องทางการจอง
7. การจองและการส่งต่อการจอง
Massage Finder ประมวลผลข้อมูลการจองสองวิธี:
ฐานทางกฎหมาย: มาตรา 6 วรรค 1 ข. GDPR (การปฏิบัติตามสัญญา) สำหรับทั้งสองช่องทางการจอง
8. การเข้าสู่ระบบข้ามโดเมนและการซิงค์การจอง
คุณสามารถเข้าสู่ระบบด้วยบัญชี Massage Finder ของคุณบนเว็บไซต์ร้านนวดที่เข้าร่วม (เช่น ร้าน Khun Nuad) หลังจากได้รับความยินยอมอย่างชัดเจนจากคุณบนหน้าจอยินยอม ข้อมูลส่วนบุคคลต่อไปนี้จะถูกส่งไปยังร้านนวด:
- ชื่อ
- ที่อยู่อีเมล
- หมายเลขโทรศัพท์
- การส่งข้อมูลดำเนินการผ่านโทเค็นที่ลงนาม (JWT) ที่เก็บไว้ในเบราว์เซอร์ของคุณ (localStorage มีอายุ 180 วัน) โทเค็นจะใช้เฉพาะบนเว็บไซต์ร้านนวดนั้นๆ เท่านั้น
- หากคุณทำการจองบนเว็บไซต์ร้านนวดขณะเข้าสู่ระบบ การจองนี้จะแสดงโดยอัตโนมัติในโปรไฟล์ Massage Finder ของคุณภายใต้ 'นัดหมายของฉัน' การซิงค์ดำเนินการผ่านคิวข้อความที่เข้ารหัส (SNS/SQS) ภายในโครงสร้างพื้นฐาน AWS ในสหภาพยุโรป
- คุณสามารถยกเลิกการจองที่ทำขณะเข้าสู่ระบบบนเว็บไซต์ร้านนวดผ่าน Massage Finder คำขอยกเลิกจะถูกส่งต่อไปยังร้านนวด
- ร้านนวดประมวลผลข้อมูลที่ได้รับในฐานะผู้ควบคุมข้อมูลอิสระตามนโยบายความเป็นส่วนตัวของตนเอง Frye.tech ไม่มีอิทธิพลต่อการประมวลผลเพิ่มเติมโดยร้านนวด
ฐานทางกฎหมาย:
• มาตรา 6 วรรค 1 ก. GDPR (ความยินยอม) สำหรับการส่งข้อมูลส่วนบุคคลไปยังร้านนวด
• มาตรา 6 วรรค 1 ข. GDPR (การปฏิบัติตามสัญญา) สำหรับการซิงค์การจอง
• มาตรา 6 วรรค 1 ง. GDPR (ผลประโยชน์อันชอบธรรม) สำหรับการตรวจสอบว่าบัญชีของคุณยังใช้งานอยู่หรือไม่
9. กระบวนการ Claim
เมื่อคุณอ้างสิทธิ์รายชื่อร้านที่มีอยู่ เราจะประมวลผล:
- ที่อยู่อีเมลของคุณ
- การแสดงอีเมลของคุณแบบไม่ระบุตัวตนต่อเจ้าของปัจจุบัน
- Claim Token และสถานะ (TTL 14 วันใน DynamoDB)
- หากถูกปฏิเสธ: ระยะเวลาบล็อค 3 เดือน
ฐานทางกฎหมาย: มาตรา 6 วรรค 1 ง. GDPR (ผลประโยชน์อันชอบธรรมในการป้องกันการเข้ายึดรายชื่อร้านโดยมิชอบและการปกป้องเจ้าของที่มีอยู่)
10. การเรียกเก็บเงินและข้อมูลการชำระเงิน (Marketplace)
เมื่อการเรียกเก็บเงิน Marketplace เปิดใช้งานสำหรับร้านนวด Massage Finder จะเรียกเก็บค่าธรรมเนียมต่อการจองที่ยืนยันแล้ว ในบริบทนี้ เราประมวลผลข้อมูลต่อไปนี้:
- ชื่อร้านและที่อยู่
- เลขประจำตัวผู้เสียภาษี / Tax ID
- ระยะเวลาการเรียกเก็บเงิน
- จำนวนเงินในใบแจ้งหนี้
- สถานะการชำระเงิน
ฐานทางกฎหมาย:
• มาตรา 6 วรรค 1 ข. GDPR (การปฏิบัติตามสัญญา)
• มาตรา 6 วรรค 1 ค. GDPR (ภาระผูกพันการเก็บรักษาทางกฎหมาย)
11. ข้อมูลร้านนวดจากแหล่งภายนอก
เรารวบรวมข้อมูลร้านนวดบางส่วนไม่ได้โดยตรงจากร้านนวดที่เกี่ยวข้อง แต่จากระบบ Khun Nuad ที่เชื่อมต่อ ตามมาตรา 14 GDPR เราแจ้งให้ทราบดังนี้:
- ชื่อร้าน ที่อยู่ พิกัด
- เวลาเปิด บริการ ราคา
- ข้อมูลติดต่อร้าน (ไม่ใช่ข้อมูลลูกค้า)
ฐานทางกฎหมาย: มาตรา 6 วรรค 1 ง. GDPR (ผลประโยชน์อันชอบธรรมในการให้ข้อมูลร้านนวดที่เป็นปัจจุบันสำหรับผู้ใช้)
12. คุกกี้ Local Storage และเทคโนโลยีที่คล้ายกัน
เว็บไซต์ของเราใช้เฉพาะคุกกี้ที่จำเป็นทางเทคนิคและ localStorage สำหรับฟังก์ชันพื้นฐาน ความปลอดภัย การตั้งค่าภาษา การจัดการเซสชัน และสถานะการเข้าสู่ระบบ
เท่าที่ใช้เทคโนโลยีที่จำเป็นทางเทคนิคเท่านั้น สิ่งนี้จะดำเนินการบนพื้นฐานของผลประโยชน์อันชอบธรรมของเราในการให้บริการเว็บไซต์ที่ใช้งานได้และปลอดภัย
โทเค็น Cross-Domain (JWT, localStorage, มีอายุ 180 วัน) จะถูกจัดเก็บเฉพาะหลังจากได้รับความยินยอมอย่างชัดเจนบนหน้าจอยินยอมเท่านั้น และจึงอยู่ภายใต้ § 25 วรรค 1 TDDDG (การจัดเก็บที่ต้องได้รับความยินยอม)
เท่าที่ใช้คุกกี้ที่ไม่จำเป็น โดยเฉพาะสำหรับการติดตาม การวิเคราะห์ หรือการตลาด สิ่งนี้จะดำเนินการหลังจากได้รับความยินยอมแยกต่างหากเท่านั้น
ฐานทางกฎหมาย:
• มาตรา 6 วรรค 1 ง. GDPR สำหรับฟังก์ชันที่จำเป็น
• มาตรา 6 วรรค 1 ก. GDPR สำหรับการประมวลผลที่ต้องได้รับความยินยอม
• เสริมด้วย § 25 TDDDG สำหรับการจัดเก็บข้อมูลในอุปกรณ์ปลายทาง
13. แอปพลิเคชันมือถือ (Android)
แอป 'Massage Finder' (Android) เป็น wrapper แบบ native ที่ให้การเข้าถึงบริการออนไลน์ที่ https://massage-finder.de ผ่านมือถือ แอปใช้ Apache Capacitor และโหลดเว็บไซต์ใน WebView ที่ฝังอยู่
นอกเหนือจากการประมวลผลที่อธิบายไว้ในส่วนที่ 4–10 ข้อมูลต่อไปนี้อาจถูกประมวลผลเมื่อใช้แอป:
- ข้อมูลตำแหน่ง (GPS) – เฉพาะหลังจากได้รับอนุญาตจากผู้ใช้อย่างชัดเจน สำหรับการค้นหาร้านนวดใกล้เคียง ตำแหน่งจะถูกแคชในแอปเป็นเวลาสูงสุด 5 นาที
- ข้อมูลอุปกรณ์ (user agent, ระบบปฏิบัติการ, เวอร์ชันแอป) – จำเป็นทางเทคนิคสำหรับการให้บริการเนื้อหา
- การตั้งค่าภาษา – จัดเก็บในเครื่องบนอุปกรณ์ (SharedPreferences)
- ข้อมูลการเข้าสู่ระบบ – เหมือนกับเว็บไซต์ (Amazon Cognito OAuth ดูส่วนที่ 6)
ฐานทางกฎหมาย: มาตรา 6(1)(b) GDPR (การปฏิบัติตามสัญญา), มาตรา 6(1)(f) GDPR (ผลประโยชน์อันชอบธรรมในการให้บริการแอปทางเทคนิคและการตรวจจับการใช้ในทางที่ผิด), มาตรา 6(1)(a) GDPR (ความยินยอมสำหรับตำแหน่งและการติดตาม)
14. ผู้ให้บริการ / ผู้รับ
เราใช้ผู้ให้บริการที่อาจประมวลผลข้อมูลส่วนบุคคลในนามของเรา โดยเฉพาะผู้ให้บริการในด้านต่อไปนี้:
- Cloud Hosting / โครงสร้างพื้นฐาน (AWS eu-central-1)
- การสื่อสารทางอีเมล (SMTP)
- Amazon Cognito (การยืนยันตัวตน)
- Google OAuth / Maps API
- DNS และการจัดการโดเมน
เราทำข้อตกลงการประมวลผลข้อมูลกับผู้ให้บริการเหล่านี้เมื่อจำเป็น
15. การโฮสติ้งและการประมวลผลในสหภาพยุโรป
ส่วนประกอบการประมวลผลข้อมูลทั้งหมดดำเนินการใน AWS eu-central-1 (แฟรงก์เฟิร์ต เยอรมนี)
เนื้อหาสาธารณะอาจถูกส่งมอบผ่านเทคโนโลยีแคชหรือการส่งมอบเนื้อหาเพื่อประสิทธิภาพและความปลอดภัย ข้อมูลการเชื่อมต่อทางเทคนิคเช่นที่อยู่ IP อาจถูกประมวลผลในกระบวนการนี้
16. การอ้างอิงประเทศที่สาม / การเข้าถึงจากประเทศไทย
บริษัทของเราตั้งอยู่ในประเทศไทย ข้อมูลส่วนบุคคลประมวลผลหลักในสหภาพยุโรป อย่างไรก็ตาม อาจเกิดขึ้นในกรณีแต่ละกรณีที่บุคคลที่ได้รับอนุญาตในประเทศไทยเข้าถึงข้อมูลที่เก็บในสหภาพยุโรปเพื่อการสนับสนุน การบำรุงรักษา การวิเคราะห์ข้อผิดพลาด หรือการบริหารทางเทคนิค
ซึ่งดำเนินการบนพื้นฐานของการรับประกันที่เหมาะสม โดยเฉพาะข้อกำหนดสัญญามาตรฐานของสหภาพยุโรปตามมาตรา 46 GDPR และมาตรการทางเทคนิคและองค์กรเสริม รวมถึงการจำกัดการเข้าถึง สิทธิ์ตามบทบาท การเข้ารหัส การบันทึก และการเข้าถึงแต่ละกรณี
สำเนาของการรับประกันที่เกี่ยวข้องสามารถขอได้ตามคำขอ เท่าที่ไม่ถูกป้องกันโดยภาระผูกพันการรักษาความลับทางกฎหมายหรือสัญญา
17. ระยะเวลาการจัดเก็บ
เราจัดเก็บข้อมูลส่วนบุคคลเฉพาะตราบเท่าที่จำเป็นสำหรับวัตถุประสงค์แต่ละอย่างหรือตราบเท่าที่มีระยะเวลาการเก็บรักษาทางกฎหมาย
- ระยะเวลาของความสัมพันธ์ตามสัญญา
- การประมวลผลคำถาม
- ระยะเวลาการเก็บรักษาทางกฎหมาย
- ผลประโยชน์ในการพิสูจน์และการป้องกัน
- รอบการสำรองข้อมูลและการกู้คืนทางเทคนิค
ข้อมูลที่ไม่จำเป็นอีกต่อไปหลังจากสิ้นสุดสัญญาจะถูกลบหรือบล็อค หากไม่มีภาระผูกพันทางกฎหมายป้องกัน
18. ภาระผูกพันในการให้ข้อมูล
การให้ข้อมูลส่วนบุคคลบางครั้งจำเป็นทางกฎหมายหรือสัญญา หากไม่มีข้อมูลที่จำเป็น เราอาจไม่สามารถให้บริการบางอย่างได้ โดยเฉพาะการลงทะเบียน การจอง การสนับสนุน หรือการปฏิบัติตามสัญญา
19. การตัดสินใจอัตโนมัติ / การสร้างโปรไฟล์
การตัดสินใจอัตโนมัติเฉพาะตามความหมายของมาตรา 22 GDPR ไม่เกิดขึ้น เว้นแต่เราจะระบุไว้อย่างชัดเจน
20. สิทธิ์ของเจ้าของข้อมูล
ภายในกรอบของข้อกำหนดทางกฎหมาย คุณมีสิทธิ์ต่อไปนี้:
- สิทธิ์ในการรับทราบข้อมูล
- สิทธิ์ในการแก้ไข
- สิทธิ์ในการลบ
- สิทธิ์ในการจำกัดการประมวลผล
- สิทธิ์ในการพกพาข้อมูล
- สิทธิ์ในการคัดค้านการประมวลผลบนพื้นฐานของผลประโยชน์อันชอบธรรม
- สิทธิ์ในการเพิกถอนความยินยอมที่ให้ไว้ตลอดเวลาโดยมีผลในอนาคต
เพื่อใช้สิทธิ์ของคุณ การแจ้งไปยังรายละเอียดการติดต่อที่กล่าวถึงข้างต้นก็เพียงพอแล้ว สำหรับการพกพาข้อมูล (มาตรา 20 GDPR) คุณสามารถขอส่งออกข้อมูลของคุณ (โปรไฟล์ ประวัติการจอง รายการโปรด) ในรูปแบบที่เครื่องอ่านได้โดยส่งอีเมลไปที่ info@frye.tech
21. สิทธิ์ในการร้องเรียนต่อหน่วยงานกำกับดูแล
คุณมีสิทธิ์ในการร้องเรียนต่อหน่วยงานกำกับดูแลการคุ้มครองข้อมูลหากคุณเชื่อว่าการประมวลผลข้อมูลส่วนบุคคลของคุณละเมิดกฎหมายคุ้มครองข้อมูล สิทธิ์นี้เกิดขึ้นจากมาตรา 77 GDPR
22. การเปลี่ยนแปลงนโยบายความเป็นส่วนตัวนี้
เราขอสงวนสิทธิ์ในการปรับนโยบายความเป็นส่วนตัวนี้หากจำเป็นเนื่องจากการเปลี่ยนแปลงทางกฎหมาย เทคนิค หรือองค์กร เวอร์ชันที่เผยแพร่บนเว็บไซต์นี้จะใช้ในแต่ละกรณี