PDPA

นโยบายการคุ้มครองข้อมูลส่วนบุคคล

ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

เวอร์ชัน 1.1 — ปรับปรุงล่าสุด 2026/05/19

1. ผู้ควบคุมข้อมูลส่วนบุคคล

ศูนย์ไซเบอร์กองทัพอากาศ

อีเมล DPO: natapisud@rtaf.mi.th

โปรแกรม: SOC Analyst

2. ข้อมูลส่วนบุคคลที่เก็บรวบรวม

รายการ
รายละเอียด
ข้อมูลระบุตัวตน
ยศ-ชื่อ-นามสกุล (ไทย/อังกฤษ), ชื่อเล่น, รหัสประจำตัว
ข้อมูลติดต่อ
อีเมล, เบอร์โทรศัพท์
รูปถ่าย
รูปโปรไฟล์สำหรับแสดงในระบบ (ไม่บังคับ)
ข้อมูลบัญชี
ชื่อผู้ใช้, บทบาท (Tier/Role), วันที่ยอมรับนโยบาย PDPA

3. วัตถุประสงค์ในการใช้ข้อมูล

รายการ
รายละเอียด
ติดต่อสื่อสารเกี่ยวกับข้อมูลทางทหาร
ประโยชน์โดยชอบด้วยกฎหมาย / ภารกิจของหน่วยงาน
วิเคราะห์ข้อมูลทางไซเบอร์
ประโยชน์โดยชอบด้วยกฎหมาย / ภารกิจของหน่วยงาน
ส่งข่าวสาร/ประชาสัมพันธ์ทาง Email
ความยินยอม (สมัครใจ — ไม่บังคับ, ถอนได้)
ยืนยันตัวตนและกู้คืนบัญชี
ประโยชน์โดยชอบด้วยกฎหมาย / ภารกิจของหน่วยงาน

4. การเก็บรักษาและสถานที่จัดเก็บ

  • ฐานข้อมูลและ Storage: Supabase (PostgreSQL / Object Storage) — ภูมิภาค ap-southeast-1 (สิงคโปร์) ตามการตั้งค่าโครงการ
  • แอปพลิเคชัน: Vercel (hosting) — ภูมิภาคตาม deployment
  • อีเมล/SMS: Resend / Twilio (เมื่อเปิดใช้) — ตาม vendor และ region ที่กำหนด
  • SIEM (ถ้าเปิด): Elastic Cloud — ตามสัญญา/region
  • AI (ถ้าเปิด): ผู้ให้บริการ LLM เช่น OpenAI / Anthropic — อาจมีการส่ง prompt ออกนอกประเทศไทย ตามการตั้งค่าและสัญญา
  • ใช้มาตรการรักษาความปลอดภัยตามมาตรฐานที่หน่วยงานกำหนด (RBAC, การเข้ารหัสระหว่างทาง, การจำกัดสิทธิ์)
  • เก็บรักษาตลอดระยะเวลาที่จำเป็นต่อภารกิจ หรือจนกว่าท่านจะขอลบตามขั้นตอน DPO

5. สิทธิของเจ้าของข้อมูล

ท่านมีสิทธิตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ดังนี้:

  • สิทธิในการเข้าถึง — ดูข้อมูลบัญชีผ่าน SOC Analyst → แก้ไขข้อมูลส่วนตัว (/account)
  • สิทธิในการแก้ไข — แก้ไขชื่อ, อีเมล, เบอร์, รหัสประจำตัว ฯลฯ ผ่าน /account
  • สิทธิในการถอนความยินยอม — ถอน consent ข่าวสาร/ประชาสัมพันธ์ได้ทุกเมื่อผ่าน /account
  • สิทธิในการขอสำเนา/โอนข้อมูล — ดาวน์โหลด JSON จาก /account (Data portability)
  • สิทธิในการลบ — ขอลบข้อมูลบัญชีโดยติดต่อ DPO
  • สิทธิในการคัดค้าน — คัดค้านการใช้ข้อมูลเพื่อการตลาด/ข่าวสารได้ทุกเมื่อ
  • สิทธิในการจำกัดการประมวลผล — ติดต่อ DPO เพื่อพิจารณาตามกรณี

6. การถอนความยินยอม

ท่านสามารถถอนความยินยอมการรับข่าวสารได้ง่ายๆ โดย:

การถอนความยินยอมจะไม่กระทบต่อการประมวลผลที่ทำไปก่อนหน้าการถอน

  • เข้าสู่ SOC Analyst → แก้ไขข้อมูลส่วนตัว (/account)
  • ปิดตัวเลือก "รับข่าวสาร/ประชาสัมพันธ์ทางอีเมล"
  • กดบันทึก
  • หรือใช้แบบฟอร์มด้านล่างบนหน้านโยบายนี้ (เมื่อเข้าสู่ระบบแล้ว)
  • หรือติดต่อ natapisud@rtaf.mi.th

ท่านสามารถเลือกรับอีเมลข่าวสารและประชาสัมพันธ์ได้ตามความสมัครใจ และถอนความยินยอมได้ทุกเมื่อผ่าน แก้ไขข้อมูลส่วนตัว

7. การติดต่อ

หากมีข้อสงสัยเกี่ยวกับนโยบายนี้ กรุณาติดต่อ:

อีเมล DPO: natapisud@rtaf.mi.th

8. ผู้ประมวลผลข้อมูล / บุคคลที่สาม

หน่วยงานอาจใช้ผู้ให้บริการภายนอกเพื่อให้บริการ SOC Analyst ได้แก่ Supabase, Vercel, Resend, Twilio, Elastic และผู้ให้บริการ LLM (ตามการตั้งค่า)

รายละเอียด mapping วัตถุประสงค์ × ผู้ให้บริการ อยู่ในเอกสาร ROPA ภายใน (docs/pdpa-ropa.md)

รายการ
รายละเอียด
Supabase
ฐานข้อมูล, Storage (avatars, logs)
Vercel
Hosting แอปพลิเคชัน
Resend / Twilio
อีเมล / SMS แจ้งเตือน
Elastic
SIEM / Dashboard (ถ้าเปิด)
LLM providers
Jaming AI chat (ถ้าเปิด)

9. ข้อมูลทางเทคนิค / Log / Session / Cookie

  • Session cookie (NextAuth) — ยืนยันตัวตน
  • Audit log — บันทึกการกระทำด้านความปลอดภัย (consent, containment, case)
  • IP address, User-Agent — บันทึกเมื่อยอมรับ/เปลี่ยน consent เพื่อ audit trail
  • Log การใช้งานระบบ — ตามนโยบาย retention ของหน่วยงาน

10. ข้อมูลในงาน SOC (แยกจากข้อมูลบัญชี)

ผู้ใช้ SOC อาจประมวลผลข้อมูลที่เกี่ยวข้องกับบุคคลอื่นในงานปฏิบัติการ เช่น IP, log SIEM, เคส incident, training sample, IP intelligence

ข้อมูลดังกล่าวอยู่ภายใต้นโยบายภารกิจและข้อบังคับของหน่วยงาน แยกจากข้อมูลบัญชีผู้ใช้ในหมวด 2

11. ระยะเวลาเก็บรักษา (Retention)

  • ข้อมูลบัญชี: ตลอดระยะที่ใช้งาน หรือจนกว่าขอลบ
  • Consent audit (UserConsentEvent): เก็บเพื่อพิสูจน์การยินยอมตาม PDPA
  • SIEM hot layer: ~7 วัน (อ้างอิง docs/siem-retention-iso27001.md)
  • Cold archive: ~90 วัน (S3) เมื่อเปิดใช้ archive job

12. มาตรการรักษาความปลอดภัย

  • RBAC ตามบทบาท (admin / analyst / tier)
  • รหัสผ่านตามแนวทาง สกมช. (NCSA)
  • HTTPS / การเข้ารหัสระหว่างทาง
  • Backup และ DR ตามนโยบาย Supabase / หน่วยงาน
  • Audit trail สำหรับการเปลี่ยน consent และการกระทำด้านความปลอดภัย

13. การแจ้งเหตุละเมิดข้อมูล

เมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล หน่วยงานจะดำเนินการตาม พ.ร.บ. PDPA มาตรา 37 และแนวทางภายใน

ดูรายละเอียด: /pdpa/breach-playbook

14. การตัดสินใจอัตโนมัติ / AI

  • Jaming AI — ช่วยวิเคราะห์และแนะนำการตอบสนอง (human-in-the-loop)
  • ML training sample — ใช้เพื่อปรับปรุงโมเดล (ตามนโยบายหน่วยงาน)
  • Auto-containment — block/isolate ตามกฎและสิทธิ์ admin (เมื่อเปิดใช้)
  • ผู้ใช้ควรตรวจสอบคำแนะนำ AI ก่อนดำเนินการที่มีผลต่อระบบจริง

15. DPO และช่องทางร้องเรียน

เจ้าหน้าที่คุ้มครองข้อมูล (DPO): natapisud@rtaf.mi.th

ผู้ใช้สามารถร้องเรียนหรือใช้สิทธิผ่านอีเมล DPO หรือช่องทางภายในที่หน่วยงานกำหนด

16. การเปลี่ยนแปลงนโยบาย

  • เมื่อมีการเปลี่ยนแปลงสำคัญ หน่วยงานจะอัปเดตเวอร์ชันนโยบายและแจ้งผู้ใช้
  • ผู้ใช้ที่เข้าสู่ระบบอาจต้องยอมรับนโยบายเวอร์ชันใหม่ก่อนใช้งานต่อ
  • เวอร์ชันปัจจุบันแสดงที่หัวเอกสารนี้

17. สิทธิเพิ่มเติม

  • ขอสำเนาข้อมูล — ดาวน์โหลด JSON จาก /account
  • ขอโอนข้อมูล — ใช้ไฟล์ JSON export หรือติดต่อ DPO
  • จำกัดการประมวลผล — ติดต่อ DPO
  • คัดค้านการประมวลผลเพื่อการตลาด — ถอน newsletter ใน /account