นโยบายความเป็นส่วนตัว next7

นโยบายความเป็นส่วนตัวฉบับนี้ ("นโยบาย") ออกโดย next7 ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตามนิยามในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นโยบายนี้มีผลบังคับใช้กับการประมวลผลข้อมูลส่วนบุคคลของบุคคลทุกคนที่เข้าใช้งานเว็บไซต์ next7.asia รวมถึงแอปพลิเคชันและบริการดิจิทัลที่เกี่ยวข้องทั้งหมด

next7 ตระหนักดีว่าการคุ้มครองข้อมูลส่วนบุคคลเป็นสิทธิขั้นพื้นฐานของมนุษย์ เราจึงออกแบบระบบและกระบวนการทำงานทุกขั้นตอนโดยคำนึงถึงหลัก Privacy by Design เพื่อให้มั่นใจว่าข้อมูลของคุณได้รับการดูแลอย่างเหมาะสมและปลอดภัยที่สุด

next7 เก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นต่อการให้บริการเท่านั้น โดยแบ่งออกเป็นประเภทดังนี้

next7 ไม่เก็บรหัสผ่านในรูปแบบที่อ่านออกได้ รหัสผ่านทั้งหมดถูกแปลงเป็น Hash ด้วยอัลกอริธึม bcrypt ก่อนบันทึก และ next7 ไม่มีพนักงานคนใดสามารถดูรหัสผ่านของคุณได้

next7 ใช้ข้อมูลส่วนบุคคลของคุณเพื่อวัตถุประสงค์ต่อไปนี้เท่านั้น

• การให้บริการและบริหารจัดการบัญชี — การสมัครสมาชิก next7 Login การฝากถอนเงิน และการเข้าใช้เกมต่างๆ
• การยืนยันตัวตน (KYC) — ตรวจสอบอายุและตัวตนตามข้อกำหนดกฎหมายป้องกันการฟอกเงิน
• การป้องกันการฉ้อโกง — ตรวจจับพฤติกรรมผิดปกติ ป้องกันการเปิดหลายบัญชี และการใช้งานที่ไม่ชอบ
• การปรับปรุงบริการ — วิเคราะห์พฤติกรรมการใช้งานเพื่อพัฒนา UX และคัดสรรเนื้อหาที่เหมาะสม
• การสื่อสารและการตลาด — แจ้งโปรโมชัน ข่าวสาร และข้อมูลบริการใหม่ (เฉพาะเมื่อได้รับความยินยอม)
• การปฏิบัติตามกฎหมาย — รายงานต่อหน่วยงานกำกับดูแลตามที่กฎหมายกำหนด

next7 ประมวลผลข้อมูลส่วนบุคคลของคุณบนฐานทางกฎหมายดังต่อไปนี้ตามมาตรา 24 แห่ง พ.ร.บ. PDPA

• การปฏิบัติตามสัญญา (Contractual Necessity) — การประมวลผลที่จำเป็นเพื่อให้บริการ next7 ตามข้อกำหนดที่ตกลงกัน
• ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) — การตรวจจับการฉ้อโกงและการรักษาความปลอดภัยของแพลตฟอร์ม
• การปฏิบัติตามกฎหมาย (Legal Obligation) — การรายงานและยืนยันตัวตนตามกฎหมายป้องกันการฟอกเงิน
• ความยินยอม (Consent) — การส่งข้อมูลการตลาดและโปรโมชัน ซึ่งคุณสามารถถอนความยินยอมได้ตลอดเวลา

next7 ไม่ขาย ไม่ให้เช่า และไม่แลกเปลี่ยนข้อมูลส่วนบุคคลของสมาชิกกับบุคคลภายนอกเพื่อวัตถุประสงค์เชิงพาณิชย์ next7 อาจเปิดเผยข้อมูลในกรณีต่อไปนี้เท่านั้น

• ผู้ให้บริการในนามของ next7 — เช่น ผู้ให้บริการประมวลผลการชำระเงิน (Payment Gateway), ผู้ให้บริการ KYC และผู้ดูแลระบบ Cloud ซึ่งทั้งหมดถูกผูกมัดด้วยข้อตกลงการคุ้มครองข้อมูลที่เข้มงวด
• ผู้ให้บริการเกม — ค่ายเกมพาร์ทเนอร์ของ next7 อาจได้รับ User ID และข้อมูลการเล่นเกมที่จำเป็นในการให้บริการเกม
• หน่วยงานกำกับดูแลและบังคับใช้กฎหมาย — เมื่อได้รับคำสั่งศาล หมายเรียก หรือคำสั่งจากหน่วยงานที่มีอำนาจตามกฎหมาย
• การควบรวมกิจการ — ในกรณีที่ next7 ควบรวมหรือโอนกิจการ ข้อมูลอาจถูกโอนให้ผู้รับโอนซึ่งต้องปฏิบัติตามนโยบายนี้ต่อไป

next7 ใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลของคุณจากการเข้าถึงโดยไม่ได้รับอนุญาต การสูญหาย การเปลี่ยนแปลง หรือการทำลาย มาตรการที่ next7 ใช้ ได้แก่

• การเข้ารหัสข้อมูลในขณะส่งด้วย TLS 1.3 และในขณะจัดเก็บด้วย AES-256
• ระบบ Firewall หลายชั้นและ Intrusion Detection System (IDS)
• การยืนยันตัวตนสองขั้นตอน (2FA) สำหรับบัญชี next7 ทุกประเภท
• การทดสอบความปลอดภัยโดยผู้เชี่ยวชาญอิสระ (Penetration Testing) เป็นประจำ
• การจำกัดสิทธิ์การเข้าถึงข้อมูลภายใน next7 ตามหลัก Least Privilege
• การฝึกอบรมด้านความปลอดภัยและการคุ้มครองข้อมูลสำหรับพนักงานทุกคน

ในกรณีที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach) ที่มีความเสี่ยงสูง next7 จะแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง และแจ้งให้สมาชิกที่ได้รับผลกระทบทราบโดยเร็วที่สุด

next7 เก็บรักษาข้อมูลส่วนบุคคลของสมาชิกตราบเท่าที่จำเป็นต่อวัตถุประสงค์ที่ระบุไว้ โดยมีระยะเวลาดังนี้

• ข้อมูลบัญชีที่ยังใช้งานอยู่ — เก็บตลอดอายุการเป็นสมาชิกและ 5 ปีหลังปิดบัญชี
• ประวัติธุรกรรมทางการเงิน — เก็บ 7 ปีตามข้อกำหนดกฎหมายบัญชี
• ข้อมูล KYC และเอกสารยืนยันตัวตน — เก็บ 5 ปีหลังสิ้นสุดความสัมพันธ์
• Log การเข้าใช้งานและ IP Address — เก็บ 90 วัน
• ข้อมูล Cookies ประเภท Analytics — เก็บไม่เกิน 13 เดือน

เมื่อครบกำหนดระยะเวลา next7 จะลบหรือทำลายข้อมูลอย่างปลอดภัยตามมาตรฐาน NIST 800-88 หรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้ (Anonymization)

next7 ใช้ Cookies และเทคโนโลยีที่คล้ายกัน ได้แก่ Local Storage และ Session Storage เพื่อวัตถุประสงค์ดังต่อไปนี้

• Cookies ที่จำเป็น (Strictly Necessary) — จำเป็นสำหรับการทำงานของเว็บไซต์ เช่น Session Token, ภาษา และการตั้งค่าล็อกอิน ไม่สามารถปิดได้
• Cookies เพื่อการวิเคราะห์ (Analytics) — เก็บข้อมูลสถิติการใช้งานเพื่อปรับปรุงประสบการณ์บน next7
• Cookies เพื่อการตลาด (Marketing) — ใช้เฉพาะเมื่อได้รับความยินยอม เพื่อแสดงโปรโมชันที่เกี่ยวข้อง

คุณสามารถจัดการหรือปิดการใช้งาน Cookies ที่ไม่จำเป็นได้ผ่านการตั้งค่าเบราว์เซอร์ อย่างไรก็ตามการปิด Cookies บางประเภทอาจกระทบต่อการทำงานปกติของเว็บไซต์ next7

ในฐานะเจ้าของข้อมูลส่วนบุคคล คุณมีสิทธิ์ตามพระราชบัญญัติ PDPA ดังต่อไปนี้ และสามารถใช้สิทธิ์เหล่านี้ได้โดยติดต่อ next7 Support ตลอด 24 ชั่วโมง

next7 จะดำเนินการตามคำร้องขอภายใน 30 วัน นับจากวันที่ได้รับคำร้อง หากไม่สามารถดำเนินการได้ตามที่ร้องขอ next7 จะแจ้งเหตุผลให้ทราบเป็นลายลักษณ์อักษร

ในกรณีที่ next7 จำเป็นต้องโอนข้อมูลส่วนบุคคลของคุณไปยังต่างประเทศ เช่น เพื่อใช้บริการ Cloud Computing หรือผู้ให้บริการเกมในต่างประเทศ next7 จะดำเนินการให้มั่นใจว่าประเทศปลายทางหรือผู้รับโอนมีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอ

next7 ใช้กลไกการโอนข้อมูลที่ได้รับการยอมรับ เช่น Standard Contractual Clauses (SCC) หรือการโอนไปยังประเทศที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลรับรองว่ามีมาตรฐานเพียงพอ

next7 อาจแก้ไขนโยบายความเป็นส่วนตัวนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับการเปลี่ยนแปลงทางกฎหมาย เทคโนโลยี หรือวิธีการดำเนินงานของ next7 เมื่อมีการแก้ไขที่มีนัยสำคัญ next7 จะแจ้งให้สมาชิกทราบผ่านอีเมล หรือการแจ้งเตือนที่เด่นชัดบนหน้าเว็บไซต์

วันที่ "ปรับปรุงล่าสุด" ที่ระบุไว้ด้านบนจะแสดงวันที่นโยบายฉบับปัจจุบันมีผลบังคับใช้ การที่คุณยังคงใช้บริการ next7 หลังจากนโยบายที่แก้ไขแล้วมีผลบังคับใช้ ถือว่าคุณยอมรับนโยบายฉบับใหม่

หากคุณมีคำถาม ข้อกังวล หรือต้องการใช้สิทธิ์ตามนโยบายความเป็นส่วนตัวนี้ สามารถติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer — DPO) ของ next7 ได้ดังนี้

หากคุณเห็นว่า next7 ไม่ได้ปฏิบัติตามนโยบายนี้หรือ พ.ร.บ. PDPA คุณมีสิทธิ์ยื่นเรื่องร้องเรียนต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ซึ่งเป็นหน่วยงานกำกับดูแลที่มีอำนาจตามกฎหมาย อย่างไรก็ตาม next7 ขอให้คุณติดต่อเราโดยตรงก่อน เพื่อให้ next7 มีโอกาสแก้ไขข้อกังวลของคุณก่อนขั้นตอนทางการ