Privacy Policy / นโยบายความเป็นส่วนตัว

Last updated / ปรับปรุงล่าสุด: June 2026

EN: This portal is an internal Human Resources system used by employees of the operating company to view their own work schedule, attendance, payroll, leave balance, and to clock in for work. It is not a public service and does not solicit information from the general public. This page explains what personal data the system processes about its authorised users, and the rights those users have under the Thai Personal Data Protection Act B.E. 2562 (2019) ("PDPA").

TH: ระบบนี้เป็นระบบบริหารงานบุคคลภายในขององค์กร ใช้สำหรับพนักงานในการดูตารางงาน เวลาเข้า-ออก เงินเดือน วันลา และลงเวลาทำงาน ไม่ใช่บริการสาธารณะ และไม่ได้ขอข้อมูลจากบุคคลภายนอก หน้านี้อธิบายว่าระบบมีการประมวลผลข้อมูลส่วนบุคคลของผู้ใช้งานที่ได้รับอนุญาตอย่างไร และสิทธิของเจ้าของข้อมูลภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ (PDPA)

1. Who we are / ผู้ควบคุมข้อมูล

The data controller for this portal is the operating company that employs you ("the Company"). Day-to-day administration is performed by the Company's HR department. For questions about your personal data, contact your line manager or the HR department through your normal internal channels.

ผู้ควบคุมข้อมูลคือบริษัทที่ท่านปฏิบัติงานอยู่ ("บริษัท") โดยมีฝ่ายบุคคลของบริษัทเป็นผู้ดูแลข้อมูลในแต่ละวัน หากมีข้อสงสัยเกี่ยวกับข้อมูลของท่าน กรุณาติดต่อหัวหน้างานหรือฝ่ายบุคคลตามช่องทางภายในตามปกติ

2. What data we process / ข้อมูลที่ประมวลผล

The portal stores the following categories of personal data about employees of the Company:

  • Identity: full name, nickname, employee code, national ID or passport number, date of birth, gender, profile photo.
  • Contact: email address, phone number, home or dormitory address.
  • Employment: hire date, position, team and office assignment, probation status, resignation date.
  • Payroll: base salary, allowances, deductions, tax-relevant adjustments, payslip history, debt installment ledger, bank account fields where the Company uses them for payment.
  • Attendance: daily clock-in time, scheduled shift, lateness, missing-scan flags, leave requests and medical certificates uploaded to support them.
  • Web clock-in evidence: when an employee clocks in through the website, the system records the timestamp, the originating client IP address (provided by Cloudflare), and the browser user-agent string. The employee may optionally attach a self-taken photo (selfie). GPS location and the selfie are not required.
  • Account & security: username, hashed password, two-factor (TOTP) device pairing, session metadata, audit log of significant actions performed by or about the employee.

The system does not collect data from members of the public, does not run advertising trackers, and does not share data with marketing partners.

3. Why we process it / วัตถุประสงค์ในการประมวลผล

  • To administer the employment contract — calculate pay, leave, overtime, and benefits (PDPA s.24(3): performance of a contract).
  • To comply with Thai labour, tax, and social-security obligations (PDPA s.24(6): legal obligation).
  • To operate and secure the IT system itself — including audit logging, fraud and brute-force prevention, and dispute investigation (PDPA s.24(5): legitimate interest of the controller).
  • The medical certificates attached to sick-leave requests are sensitive personal data under PDPA s.26 and are processed on the basis of necessity for employment-law obligations and with the affected employee's consent at the point of submission.

4. Who can see it / ผู้ที่เข้าถึงข้อมูลได้

Access inside the portal is role-based. Ordinary employees see only their own records. HR, payroll, and administrators see only the employees they are responsible for. The site is fronted by Cloudflare Tunnel for transport; Cloudflare does not receive the application data, only the encrypted connection. Database backups are encrypted at rest and stored in Google Drive belonging to the Company. No data is sold or transferred to third parties for commercial purposes.

สิทธิ์การเข้าถึงข้อมูลขึ้นกับบทบาทของผู้ใช้ พนักงานทั่วไปเห็นเฉพาะข้อมูลของตนเอง ฝ่าย HR และผู้ดูแลระบบเห็นเฉพาะข้อมูลของพนักงานที่อยู่ในความรับผิดชอบ ระบบไม่มีการขายข้อมูลหรือส่งต่อให้บุคคลที่สามเพื่อวัตถุประสงค์ทางการตลาด

5. How long we keep it / ระยะเวลาในการเก็บข้อมูล

  • Active employee records are retained for the duration of the employment relationship.
  • Payroll and tax records are retained for at least 10 years after the end of employment to satisfy Thai tax-law retention requirements.
  • Web clock-in selfies are automatically deleted after 90 days; the remaining attendance row (time, IP, user-agent) is kept with the payroll record.
  • Authentication audit logs are retained for at least 1 year to support investigation of security incidents.
  • Backups are rotated on a defined schedule and superseded copies are deleted.

6. Your rights under PDPA / สิทธิของเจ้าของข้อมูล

As an employee whose data is processed by the portal you have the following rights under PDPA:

  • Right to be informed of processing (s.23).
  • Right to access your data and obtain a copy (s.30).
  • Right to rectification of inaccurate or incomplete data (s.35–36).
  • Right to erasure where there is no longer a lawful basis to keep the data (s.33).
  • Right to restrict or object to processing in defined cases (s.32, s.34).
  • Right to data portability (s.31).
  • Right to withdraw a consent that was given (s.19), without prejudice to lawful processing already carried out.
  • Right to lodge a complaint with the Personal Data Protection Committee (PDPC) of Thailand.

Requests can be raised through your line manager or the HR department. We will respond within 30 days of receiving a verified request.

7. Security measures / มาตรการรักษาความปลอดภัย

  • HTTPS-only access via Cloudflare Tunnel; no public web ports on the application server.
  • Two-factor authentication required for HR, payroll, manager and administrator roles.
  • Per-account and per-IP brute-force lockouts.
  • Strict Content-Security-Policy, HSTS preload, and cookie hardening (HttpOnly, SameSite=Strict).
  • All uploaded files are served through an authenticated proxy; no direct media URL access.
  • Role-based authorisation enforced server-side on every protected view.
  • Encrypted nightly backups of database and media to off-site storage.

8. Reporting a problem / การแจ้งปัญหา

If you believe your account has been compromised, that someone else is using your credentials, or that the portal has been impersonated by a phishing site, please contact HR immediately. The portal is reachable only at the URL provided to you by HR. There is no mobile app, browser extension, or alternative login URL for this system.

หากท่านสงสัยว่าบัญชีของท่านถูกบุกรุก หรือพบเว็บไซต์ที่แอบอ้างเป็นระบบนี้ กรุณาแจ้งฝ่ายบุคคลทันที ระบบนี้เข้าใช้งานได้จากที่อยู่ที่ฝ่ายบุคคลแจ้งให้ทราบเท่านั้น ไม่มีแอปพลิเคชันมือถือ ส่วนขยายเบราว์เซอร์ หรือลิงก์เข้าระบบอื่น

9. Changes to this policy / การเปลี่ยนแปลงนโยบาย

This policy may be updated to reflect changes in the system or in applicable Thai law. The "Last updated" date at the top of this page indicates the current version.