นโยบายความเป็นส่วนตัว

บริษัท คิวเจน คอนซัลแทนท์ จำกัด (“บริษัท”, “เรา”, “ของเรา”) ในฐานะ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลของท่านเป็นอย่างยิ่ง นโยบายความเป็นส่วนตัวฉบับนี้อธิบายถึงวิธีที่เราเก็บรวบรวม ใช้ และคุ้มครองข้อมูลส่วนบุคคลของท่านในระหว่างการใช้งานระบบ QGEN PERFORMA ซึ่งเป็นระบบบริหารผลงาน (Performance Management) ที่เราพัฒนาและให้บริการ แก่ลูกค้าองค์กรของเรา (“ลูกค้า” หรือ “องค์กรของท่าน”) ทั้งนี้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล”)

บทบาทของแต่ละฝ่าย: องค์กรที่ท่านสังกัด เป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ซึ่งเป็นผู้ตัดสินใจวัตถุประสงค์และวิธีการประมวลผลข้อมูลของพนักงาน ส่วน QGEN Consultant ทำหน้าที่ประมวลผลข้อมูลในนามขององค์กรของท่านเท่านั้น ตามขอบเขตที่ระบุในสัญญาบริการ

การใช้งานระบบ QGEN PERFORMA ถือว่าท่านได้อ่านและรับทราบนโยบายความเป็นส่วนตัวฉบับนี้แล้ว

เราเก็บรวบรวมข้อมูลส่วนบุคคลของท่านผ่านช่องทางและประเภทดังต่อไปนี้

2.1 ข้อมูลบัญชีและตัวตน (จาก Google OAuth)

• ชื่อ-นามสกุล
• อีเมล
• รูปโปรไฟล์ (ถ้ามี)

เราขอสิทธิ์เข้าถึงเฉพาะ basic profile + email จาก Google เท่านั้น — ไม่เข้าถึง Gmail, Drive, Contacts, Calendar หรือบริการอื่นของท่าน

2.2 ข้อมูลพนักงานที่องค์กรของท่านลงทะเบียน

• บทบาทในระบบ (Admin / Executive / Manager / Employee)
• บริษัทในเครือที่สังกัด
• แผนกหรือหน่วยงาน
• หัวหน้างานตรง (manager)

2.3 ข้อมูลผลงาน (KPI / Progress / Feedback)

• KPI ที่ท่านได้รับมอบหมาย พร้อมเป้าหมายและน้ำหนัก
• ค่าผลลัพธ์จริง (actual value) ที่ท่านบันทึก พร้อมหมายเหตุ
• คะแนนที่คำนวณจากผลงาน
• ข้อความ feedback ที่ท่านส่งหรือได้รับ

2.4 บันทึกการตรวจสอบ (Audit Log)

• การกระทำที่เปลี่ยนแปลงข้อมูล (assign KPI, log progress, ส่ง feedback)
• เวลาที่กระทำ (Bangkok timezone)
• อีเมลของผู้กระทำ

Audit log ใช้เพื่อความปลอดภัยและการตรวจสอบย้อนหลังเท่านั้น

เราใช้ข้อมูลส่วนบุคคลของท่านเพื่อวัตถุประสงค์ดังต่อไปนี้

เราจะไม่ใช้ข้อมูลส่วนบุคคลของท่านเพื่อวัตถุประสงค์อื่นนอกเหนือจากที่ระบุไว้ข้างต้น โดยไม่ได้รับความยินยอมจากท่าน หรือจากองค์กรของท่านในฐานะ Data Controller ก่อน

เราจะไม่ขายหรือเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่บุคคลภายนอก ยกเว้นกรณีดังต่อไปนี้

4.1 ผู้ให้บริการโครงสร้างพื้นฐาน (Service Providers)

เราใช้บริการของ Google LLC ในส่วนต่อไปนี้:

• Google OAuth — ยืนยันตัวตน
• Google Workspace (Sheets) — จัดเก็บข้อมูล
• Google Cloud Platform (Cloud Run, Secret Manager) — โฮสต์แอปพลิเคชัน

Google มีหน้าที่รักษาความลับและไม่นำข้อมูลของท่านไปใช้เพื่อวัตถุประสงค์อื่น ตามมาตรฐานสากลที่ Google จัดให้

4.2 องค์กรที่ท่านสังกัด (Data Controller)

ในฐานะที่เราเป็นผู้ประมวลผลข้อมูลในนามขององค์กรของท่าน องค์กรของท่านสามารถเข้าถึงข้อมูลทั้งหมดของท่านได้ผ่านบทบาทผู้ดูแลระบบ (Admin)

4.3 ข้อกำหนดทางกฎหมาย

เราอาจเปิดเผยข้อมูลส่วนบุคคลของท่านหากมีความจำเป็นตามกฎหมาย คำสั่งศาล หรือคำขอจากหน่วยงานราชการที่มีอำนาจ

เราจะเก็บรักษาข้อมูลส่วนบุคคลของท่าน ตามระยะเวลาที่ระบุในสัญญาบริการระหว่างบริษัทกับองค์กรของท่าน (Data Controller) เพื่อให้สามารถใช้งานระบบและอ้างอิงข้อมูลย้อนหลังได้ตามขอบเขตของโครงการ

• ระหว่างที่สัญญายังมีผล — ข้อมูลทั้งหมดถูกเก็บไว้เพื่อให้ระบบทำงานได้ปกติ
• เมื่อสัญญาสิ้นสุด — เราจะดำเนินการลบ ทำลาย หรือส่งคืนข้อมูลให้แก่องค์กรของท่าน ตามข้อตกลงและระยะเวลาที่ระบุไว้ในสัญญา
• ข้อมูลที่กฎหมายกำหนดให้ต้องเก็บ — จะถูกเก็บตามระยะเวลาที่กฎหมายกำหนด แม้สัญญาจะสิ้นสุดแล้ว

ผู้ใช้ที่ลาออกจากองค์กรระหว่างที่สัญญายังมีผล จะถูกตั้งสถานะเป็น Inactive (ไม่สามารถ login ได้อีก) แต่ข้อมูลผลงานในอดีตจะยังคงอยู่ในระบบ เพื่อให้องค์กรอ้างอิงย้อนหลังได้

ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิดังต่อไปนี้ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

เนื่องจากบริษัทเป็น Data Processor การใช้สิทธิข้างต้นจะดำเนินการผ่านองค์กรของท่าน ที่เป็น Data Controller เป็นหลัก หากท่านต้องการติดต่อบริษัทโดยตรง สามารถส่งคำขอได้ที่ info@qgen.co เราจะประสานงานกับองค์กรของท่านและตอบกลับภายใน 7 วัน นับจากวันที่ได้รับคำขอ

เรามีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลอย่างเหมาะสม ดังต่อไปนี้

• การเข้ารหัสข้อมูลด้วย HTTPS (TLS 1.2+) ในการรับส่งข้อมูลทุกครั้ง
• การจัดเก็บข้อมูลบนโครงสร้างพื้นฐานที่ปลอดภัย (Google Cloud Platform + Google Workspace)
• การเรียก API ภายในใช้ HMAC-SHA256 signature เพื่อป้องกันการปลอมแปลง
• Session cookie ถูก sign และตั้งค่า HttpOnly + Secure เพื่อป้องกัน XSS และ session hijacking
• Role-based access control — พนักงานเห็นเฉพาะข้อมูลที่เกี่ยวข้องกับบทบาทของตนเองและทีมที่รับผิดชอบ
• ระบบไม่จัดเก็บรหัสผ่าน — ยืนยันตัวตนผ่าน Google OAuth ทุกครั้ง
• การจำกัดการเข้าถึงข้อมูลฝั่งบริษัทเฉพาะพนักงานที่มีความจำเป็น
• การตรวจสอบและประเมินมาตรการความปลอดภัยเป็นประจำ

อย่างไรก็ตาม ไม่มีระบบใดที่ปลอดภัย 100% หากท่านพบว่าข้อมูลของท่านถูกละเมิด กรุณาแจ้งเราทันทีที่ info@qgen.co

ระบบ QGEN PERFORMA ใช้เฉพาะ Cookies ที่จำเป็นต่อการทำงานของระบบ เท่านั้น ไม่มี cookies เพื่อการตลาดหรือการโฆษณา

ระบบของเราอาจมีลิงก์ไปยังเว็บไซต์ภายนอก (เช่น Google เพื่อการ login) ซึ่งเราไม่มีอำนาจควบคุมนโยบายความเป็นส่วนตัวของเว็บไซต์เหล่านั้น เราขอแนะนำให้ท่านอ่านนโยบายความเป็นส่วนตัวของเว็บไซต์ภายนอกก่อนให้ข้อมูลส่วนบุคคล

เราอาจปรับปรุงนโยบายความเป็นส่วนตัวนี้เป็นครั้งคราว โดยจะแจ้งให้ท่านทราบผ่านระบบหรือผ่านองค์กรของท่าน พร้อมระบุวันที่อัปเดตล่าสุดไว้ที่ด้านบนของหน้านี้ การใช้งานระบบต่อไปหลังจากการเปลี่ยนแปลง ถือว่าท่านยอมรับนโยบายที่ปรับปรุงแล้ว

หากท่านมีคำถาม ข้อสงสัย หรือต้องการใช้สิทธิตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กรุณาติดต่อเราได้ที่

เราจะดำเนินการตอบกลับคำขอของท่านภายใน 7 วัน นับจากวันที่ได้รับคำขอ