นโยบายความเป็นส่วนตัว
เอกสารฉบับนี้อธิบายว่า Insure Minder (ดำเนินการโดย บริษัท ซีเอสไอ โปรเฟสชั่นแนล จำกัด เลขทะเบียนนิติบุคคล 0105559150907) เก็บรวบรวม ใช้ และคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้แอปพลิเคชันอย่างไร นโยบายนี้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
1. ข้อมูลที่เราเก็บรวบรวม
เราเก็บข้อมูลเฉพาะที่จำเป็นต่อการให้บริการเท่านั้น ดังนี้
ข้อมูลบัญชีผู้ใช้ (ตัวแทน/นายหน้า):
- อีเมล (ใช้สำหรับเข้าสู่ระบบ)
- ชื่อ-นามสกุล
- หมายเลขโทรศัพท์ (ไม่บังคับ)
- ที่อยู่ (ไม่บังคับ)
- รหัสผ่าน — เก็บในรูปแบบ hash ด้วย Argon2 ไม่สามารถถอดกลับเป็นข้อความเดิมได้
ข้อมูลลูกค้า (ที่ผู้ใช้กรอกเข้าระบบเอง):
- ชื่อ-นามสกุลของลูกค้า
- หมายเลขโทรศัพท์ของลูกค้า
- โน้ตบันทึก (ถ้ามี)
ข้อมูลกรมธรรม์ประกันภัย (ที่ผู้ใช้กรอกเข้าระบบเอง):
- ทะเบียนรถ ประเภทประกัน วันหมดอายุ และข้อมูลกรมธรรม์อื่นๆ
เราไม่เก็บข้อมูลทางการเงินที่ละเอียดอ่อน เช่น เลขบัตรเครดิต เลขบัญชีธนาคาร หรือเลขบัตรประชาชน
2. บทบาทของเราและของผู้ใช้
เนื่องจาก Insure Minder เป็นเครื่องมือที่ตัวแทน/นายหน้าประกันใช้บริหารข้อมูลลูกค้าของตนเอง บทบาทตามกฎหมาย PDPA จึงแบ่งเป็น 2 ส่วน
- ข้อมูลบัญชีของตัวแทน/นายหน้า (อีเมล รหัสผ่าน ชื่อ-นามสกุล โทรศัพท์ ที่อยู่)
บริษัท ซีเอสไอ โปรเฟสชั่นแนล จำกัด เป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) มีหน้าที่ดูแลการประมวลผลข้อมูลส่วนนี้โดยตรง
- ข้อมูลลูกค้าและข้อมูลกรมธรรม์ (ที่ตัวแทน/นายหน้าเป็นผู้กรอกเข้าสู่ระบบ)
ตัวแทน/นายหน้าผู้ใช้แอป เป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ของลูกค้าตนเอง
บริษัท ซีเอสไอ โปรเฟสชั่นแนล จำกัด ทำหน้าที่เป็น ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) เท่านั้น คือเก็บรักษาข้อมูลให้ตามคำสั่งของตัวแทน/นายหน้าโดยไม่นำไปใช้เพื่อวัตถุประสงค์อื่น
ตัวแทน/นายหน้าแต่ละรายเห็นเฉพาะข้อมูลลูกค้าของตนเอง — ระบบไม่เปิดเผยข้อมูลลูกค้าข้ามระหว่างตัวแทน
3. หน้าที่ของผู้ใช้ในฐานะตัวแทน/นายหน้า
เนื่องจากตัวแทน/นายหน้าเป็นผู้ควบคุมข้อมูลของลูกค้าตนเอง ผู้ใช้แอปจึงมีหน้าที่ตามกฎหมาย PDPA โดยอิสระ ดังนี้
- การแจ้งให้ลูกค้าทราบ (มาตรา 23) — ผู้ใช้ต้องแจ้งให้ลูกค้าทราบว่ามีการเก็บข้อมูลของลูกค้าไว้ในระบบเพื่อวัตถุประสงค์ใด (เช่น ติดต่อสื่อสารและแจ้งเตือนการต่ออายุกรมธรรม์)
- ฐานทางกฎหมายในการประมวลผล (มาตรา 24) — โดยทั่วไปการเก็บข้อมูลพื้นฐาน (ชื่อ-นามสกุล หมายเลขโทรศัพท์ ข้อมูลกรมธรรม์) เพื่อให้บริการต่อเนื่อง อาศัยฐาน "การปฏิบัติตามสัญญา" หรือ "ประโยชน์อันชอบโดยกฎหมาย" ได้ ผู้ใช้ไม่จำเป็นต้องขอความยินยอมแยกต่างหากในกรณีนี้ ตราบใดที่ใช้ข้อมูลภายในขอบเขตที่ลูกค้ารู้และยอมรับ
- การใช้นอกขอบเขต — หากผู้ใช้ต้องการนำข้อมูลลูกค้าไปใช้เพื่อวัตถุประสงค์อื่นที่ลูกค้าไม่ได้คาดหมาย (เช่น การส่งโฆษณาบริการอื่น) ต้องขอความยินยอมจากลูกค้าก่อน
- การตอบคำขอใช้สิทธิของลูกค้า — เมื่อลูกค้าขอเข้าถึง แก้ไข หรือให้ลบข้อมูลของตน ผู้ใช้ต้องดำเนินการในระบบให้ลูกค้าโดยตรง
บริษัท ซีเอสไอ โปรเฟสชั่นแนล จำกัด ไม่รับผิดชอบต่อการที่ผู้ใช้ไม่ปฏิบัติตามหน้าที่ดังกล่าวต่อลูกค้าของตน แต่จะให้ความร่วมมือเมื่อจำเป็น
4. วัตถุประสงค์ในการใช้ข้อมูล
- เพื่อให้ตัวแทน/นายหน้าจัดการข้อมูลลูกค้าและกรมธรรม์ของตนเอง
- เพื่อแจ้งเตือนวันหมดอายุของกรมธรรม์ผ่านการแจ้งเตือนของระบบปฏิบัติการ (local notification) บนอุปกรณ์ของผู้ใช้
- เพื่อยืนยันตัวตนและรักษาความปลอดภัยของบัญชี
5. การแจ้งเตือนทำงานบนอุปกรณ์ของผู้ใช้
การแจ้งเตือนวันหมดอายุของกรมธรรม์ใช้ระบบ local notification ของอุปกรณ์เท่านั้น เซิร์ฟเวอร์ของเรา ไม่ได้ ส่งการแจ้งเตือนแบบ push ผ่าน Apple Push Notification Service หรือ Firebase Cloud Messaging แต่อย่างใด ตารางการแจ้งเตือนถูก schedule ไว้ใน OS ของอุปกรณ์โดยตรง
6. การเปิดเผยข้อมูลแก่บุคคลที่สาม
เราไม่เปิดเผย ขาย หรือแบ่งปันข้อมูลของผู้ใช้ให้บุคคลที่สามใดๆ
โดยเฉพาะ:
- ไม่มีบริการวิเคราะห์พฤติกรรมผู้ใช้ (analytics) จากบุคคลที่สาม
- ไม่มีบริการโฆษณาภายในแอป
- ไม่มี SDK ติดตามผู้ใช้
- ไม่ส่งข้อมูลให้บริการ push notification ภายนอก
ข้อมูลของผู้ใช้ทั้งหมดเก็บอยู่บนเซิร์ฟเวอร์ที่เราดูแลโดยตรง
7. ระยะเวลาการเก็บรักษาข้อมูล
เราเก็บข้อมูลของผู้ใช้ตลอดระยะเวลาที่บัญชียังเปิดใช้งาน เมื่อผู้ใช้ลบบัญชีผ่านฟังก์ชันในแอป ข้อมูลทั้งหมด (รวมถึงข้อมูลลูกค้าและกรมธรรม์ที่ผู้ใช้เป็นเจ้าของ) จะถูกลบออกจากเซิร์ฟเวอร์อย่างถาวรทันที ไม่สามารถกู้คืนได้
8. สิทธิของเจ้าของข้อมูล
ผู้ใช้มีสิทธิดังต่อไปนี้ตาม PDPA
- สิทธิเข้าถึงข้อมูล — ดูข้อมูลของตนเองทั้งหมดได้ภายในแอป
- สิทธิแก้ไขข้อมูล — แก้ไขข้อมูลโปรไฟล์ ลูกค้า และกรมธรรม์ได้ภายในแอป
- สิทธิลบข้อมูล — ลบบัญชีและข้อมูลทั้งหมดได้ผ่านเมนู "ลบบัญชี" ในแอป
- สิทธิคัดค้านหรือเพิกถอนความยินยอม — โดยลบบัญชีและหยุดใช้งานบริการ
- สิทธิร้องเรียน — ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)
9. ความปลอดภัยของข้อมูล
- การเชื่อมต่อระหว่างแอปและเซิร์ฟเวอร์ใช้ HTTPS (TLS) เข้ารหัสตลอดเส้นทาง
- รหัสผ่านเก็บในรูปแบบ Argon2 hash เท่านั้น
- โทเคนการเข้าสู่ระบบใช้ PASETO v4.local (authenticated encryption) เก็บในที่เก็บข้อมูลปลอดภัยของอุปกรณ์ (Keychain บน iOS, Keystore บน Android)
10. การเปลี่ยนแปลงนโยบาย
หากมีการเปลี่ยนแปลงสาระสำคัญของนโยบายฉบับนี้ เราจะปรับปรุงวันที่มีผลใช้บังคับด้านบนของเอกสาร และแจ้งให้ผู้ใช้ทราบผ่านแอปก่อนที่นโยบายฉบับใหม่จะมีผล
11. การติดต่อ
Privacy Policy
This Privacy Policy describes how Insure Minder (operated by CSI Professional Co., Ltd., business registration number 0105559150907) collects, uses, and protects the personal information of users of the application. This policy complies with Thailand's Personal Data Protection Act, B.E. 2562 (PDPA).
1. Information We Collect
We collect only the information necessary to provide the service:
Account information (insurance agents/brokers):
- Email address (for sign-in)
- First and last name
- Phone number (optional)
- Address (optional)
- Password — stored as an Argon2 hash; never stored in plaintext and not reversible
Customer information (entered by the user):
- Customer first and last name
- Customer phone numbers
- Notes (if any)
Insurance policy information (entered by the user):
- Vehicle license plate, policy type, expiration date, and other policy details
We do not collect sensitive financial information such as credit card numbers, bank account numbers, or national ID numbers.
2. Our Role and Your Role
Because Insure Minder is a tool that insurance agents and brokers use to manage their own customer records, the legal roles under the PDPA are split:
- Agent/broker account information (email, password, name, phone, address)
CSI Professional Co., Ltd. is the Data Controller and is directly responsible for processing this category of personal data.
- Customer and policy information (entered into the system by the agent/broker)
The agent/broker who uses the app is the Data Controller with respect to their own customers.
CSI Professional Co., Ltd. acts only as a Data Processor, storing data on the agent's behalf and not using it for any other purpose.
Each agent/broker can only see their own customer records — the system does not expose customer data across agents.
3. Your Responsibilities as an Agent/Broker
Because the agent/broker is the Data Controller of their customers' information, the user has independent obligations under the PDPA:
- Notice to the data subject (Section 23) — You must inform your customers that you are storing their information in this system and for what purpose (e.g., contact and policy renewal reminders).
- Lawful basis for processing (Section 24) — Storing basic data (name, phone number, policy details) for ongoing service delivery generally falls under the "performance of contract" or "legitimate interest" bases. Separate consent is not required as long as the data is used within a scope the customer is aware of and accepts.
- Out-of-scope use — If you intend to use customer data for purposes the customer has not anticipated (such as marketing unrelated services), you must obtain consent from the customer first.
- Responding to data subject requests — When a customer requests access to, correction of, or deletion of their data, you must handle the request directly through the system.
CSI Professional Co., Ltd. is not responsible for the user's failure to fulfill these obligations toward their own customers, but will cooperate when necessary.
4. How We Use Information
- To enable agents/brokers to manage their own customer and policy records
- To remind users of upcoming policy expirations through local device notifications
- To authenticate users and protect account security
5. Notifications Are Local-Only
Policy expiration reminders use the device's local notification system only. Our servers do not send push notifications via Apple Push Notification Service or Firebase Cloud Messaging. The notification schedule is computed by the app and registered with the operating system on the user's device.
6. Disclosure to Third Parties
We do not disclose, sell, or share user data with any third party.
Specifically:
- No third-party analytics
- No in-app advertising
- No tracking SDKs
- No external push notification services
All user data is stored on servers we operate directly.
7. Data Retention
We retain user data for as long as the account remains active. When a user deletes their account through the in-app function, all associated data (including customer and policy records owned by that user) is permanently deleted from our servers immediately. Deletion cannot be reversed.
8. Your Rights
Under the PDPA, users have the following rights:
- Right to access — view all personal data through the app
- Right to rectification — edit profile, customer, and policy data through the app
- Right to erasure — delete the account and all data via the "Delete Account" menu in the app
- Right to object or withdraw consent — by deleting the account and discontinuing use
- Right to lodge a complaint — with the Office of the Personal Data Protection Committee (PDPC) of Thailand
9. Security
- All connections between the app and our servers use HTTPS (TLS) end-to-end encryption
- Passwords are stored only as Argon2 hashes
- Authentication tokens use PASETO v4.local (authenticated encryption) and are stored in the device's secure storage (Keychain on iOS, Keystore on Android)
10. Changes to This Policy
If we make material changes to this policy, we will update the effective date at the top of this document and notify users through the app before the new version takes effect.
11. Contact