นโยบายความเป็นส่วนตัว

ปรับปรุงล่าสุด: 2 มิถุนายน 2569

1. บทนำ

schooldio.com ("เรา") ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) นโยบายนี้อธิบายการเก็บรวบรวม ใช้ เปิดเผย และดูแลรักษาข้อมูลส่วนบุคคลของครู บุคลากรทางการศึกษา และข้อมูลที่เกี่ยวข้องกับนักเรียนที่ได้รับการบันทึกโดยผู้ใช้งาน

2. ข้อมูลที่เราเก็บรวบรวม

เพื่อให้ระบบดูแลช่วยเหลือนักเรียนดำเนินงานได้อย่างครอบคลุม เราจำเป็นต้องเก็บรวบรวมข้อมูลดังต่อไปนี้

2.1 ข้อมูลที่เก็บรวบรวมในขั้นตอนลงทะเบียนและบัญชีผู้ใช้งาน (ครู/บุคลากร)

  • ชื่อ-นามสกุล คำนำหน้าชื่อ และตำแหน่ง
  • ชื่อผู้ใช้ (Username) และรหัสผ่านที่เข้ารหัสแล้ว (ไม่มีการเก็บรหัสผ่านจริง)
  • อีเมล (เฉพาะผู้ลงทะเบียนในฐานะ School Admin)
  • บทบาทในระบบ (role) สถานะบัญชี และสถานะการรออนุมัติ
  • Token ยืนยันอีเมลและวันหมดอายุ (เก็บชั่วคราว อายุ 24 ชั่วโมง ลบทันทีหลังยืนยันสำเร็จ)
  • รหัสสถานศึกษาที่ผู้ใช้สังกัด

2.2 ข้อมูลนักเรียน (บันทึกโดยครูผ่านระบบ)

  • ชื่อ-นามสกุล คำนำหน้าชื่อ เลขประจำตัวนักเรียน
  • ระดับชั้น ห้องเรียน เลขที่ ปีการศึกษา
  • รูปถ่ายนักเรียน (หากมีการอัปโหลด)

2.3 ข้อมูลการดำเนินงานระบบดูแลช่วยเหลือนักเรียน

  • การเช็กชื่อ: บันทึกการเข้าแถว เข้าเรียน การขาด ลา มาสาย รายวัน
  • คะแนนพฤติกรรม: ประเภทพฤติกรรม คะแนนที่ได้รับหรือถูกตัด วันที่บันทึก และชื่อครูผู้บันทึก
  • การเยี่ยมบ้าน: วันที่เยี่ยม ผู้ดำเนินการ ข้อมูลที่อยู่ บันทึกความเห็น และภาพถ่ายที่อัปโหลด
  • ผลประเมิน SDQ: คะแนนและผลการวิเคราะห์สุขภาพจิตรายด้าน
  • ผลประเมิน EQ: คะแนนความฉลาดทางอารมณ์ 5 ด้าน (การรู้จักตนเอง การควบคุมตนเอง แรงจูงใจ การเข้าใจผู้อื่น ทักษะทางสังคม)
  • ใบอนุญาตออกนอกบริเวณ: ชื่อนักเรียน สาเหตุ วัน-เวลา สถานะการอนุมัติ และชื่อผู้อนุมัติ

2.4 ข้อมูลการใช้งานและความปลอดภัย (Audit Logs)

  • บันทึกการเข้าสู่ระบบ ออกจากระบบ และการเข้าสู่ระบบล้มเหลว
  • การสร้าง แก้ไข ลบข้อมูล และการเปลี่ยนแปลงสิทธิ์ผู้ใช้งาน
  • IP Address และเวลาที่ดำเนินการ

3. วัตถุประสงค์ในการใช้ข้อมูล

  • เพื่อดำเนินงานระบบการดูแลช่วยเหลือนักเรียนตามนโยบายของสำนักงานคณะกรรมการการศึกษาขั้นพื้นฐาน (สพฐ.)
  • เพื่อยืนยันตัวตนของผู้ดูแลระบบในขั้นตอนลงทะเบียนผ่านอีเมล
  • เพื่อป้องกันการลงทะเบียนอัตโนมัติ การสแปม และการโจมตีจาก Bot ผ่านระบบ Rate Limiting และ CAPTCHA
  • เพื่อติดตามพฤติกรรม สุขภาพจิต และความปลอดภัยของนักเรียน
  • เพื่อคัดกรองและส่งต่อนักเรียนที่ต้องการความช่วยเหลือพิเศษ
  • เพื่อจัดทำรายงานการเยี่ยมบ้านและการดูแลนักเรียนส่งหน่วยงานต้นสังกัด
  • เพื่อบริหารจัดการบัญชีผู้ใช้งานและรักษาความปลอดภัยของระบบ
  • เพื่อตรวจสอบและสืบสวนเหตุการณ์ที่ผิดปกติผ่านระบบ Audit Log

4. การรักษาความปลอดภัยและการจำกัดการเข้าถึง

  • การแยกฐานข้อมูลรายสถานศึกษา: ข้อมูลของแต่ละโรงเรียนถูกแยกจากกันโดยเด็ดขาด ผู้ใช้งานจากสถานศึกษาอื่นไม่สามารถเข้าถึงได้ไม่ว่ากรณีใด
  • การควบคุมสิทธิ์ตามบทบาท (RBAC): เฉพาะครูที่ปรึกษาหรือผู้ที่ได้รับอนุญาตจากผู้ดูแลระบบเท่านั้นที่สามารถเข้าถึงข้อมูลเชิงลึกของนักเรียนรายบุคคล
  • การเข้ารหัสรหัสผ่าน: รหัสผ่านทุกรายการถูกเข้ารหัสด้วยอัลกอริทึมมาตรฐานสากล ไม่มีการเก็บรหัสผ่านในรูปแบบที่อ่านได้
  • การบันทึก Audit Log: กิจกรรมสำคัญทุกรายการถูกบันทึกไว้พร้อม IP Address และเวลา เพื่อความโปร่งใสและการตรวจสอบย้อนหลัง
  • การป้องกัน Session: ระบบใช้ Secure Session เพื่อป้องกันการแอบอ้างตัวตนและการโจมตี CSRF

5. การเปิดเผยข้อมูลต่อบุคคลที่สาม

เราไม่ขายหรือนำข้อมูลส่วนบุคคลไปใช้เพื่อผลประโยชน์ทางการค้า และไม่เปิดเผยข้อมูลต่อบุคคลที่สาม ยกเว้นกรณีดังต่อไปนี้

  • การปฏิบัติตามคำสั่งของหน่วยงานที่มีอำนาจตามกฎหมาย
  • การส่งต่อข้อมูลให้หน่วยงานต้นสังกัดของสถานศึกษาตามระเบียบราชการ โดยต้องได้รับการอนุมัติจากผู้ดูแลระบบของสถานศึกษานั้น
  • บริการของบุคคลที่สามที่ระบบใช้งาน ได้แก่
    • Cloudflare Turnstile — CAPTCHA ที่ใช้เพื่อป้องกัน Bot ข้อมูล browser (เช่น User-Agent, IP Address, ข้อมูล interaction) จะถูกส่งไปยังเซิร์ฟเวอร์ของ Cloudflare ซึ่งตั้งอยู่ต่างประเทศ โดย Cloudflare มีนโยบายความเป็นส่วนตัวของตนเอง ไม่มีการส่งชื่อ อีเมล หรือข้อมูลนักเรียนใด ๆ ไปยัง Cloudflare
    • QR Code API (api.qrserver.com) — รับเฉพาะ URL ที่ผู้ใช้ป้อนเข้าเพื่อสร้าง QR Code โดยไม่มีการส่งข้อมูลส่วนบุคคลของนักเรียน
  • * หากมีการเพิ่มบริการของบุคคลที่สามรายใหม่ในอนาคต จะมีการระบุชื่อและวัตถุประสงค์ไว้ในนโยบายนี้

6. ระยะเวลาการเก็บรักษาข้อมูล

ประเภทข้อมูล ระยะเวลา (Individual) ระยะเวลา (Institutional)
ข้อมูลการเช็กชื่อ รีเซ็ตทุกวันที่ 7 ของเดือน ตลอดอายุสัญญา
คะแนนพฤติกรรม / ผล SDQ / EQ ตามกำหนด Reset รายเดือน ตลอดอายุสัญญา
ข้อมูลการเยี่ยมบ้านและภาพถ่าย ตามกำหนด Reset รายเดือน ตลอดอายุสัญญา
Audit Logs ไม่น้อยกว่า 90 วัน ไม่น้อยกว่า 1 ปีการศึกษา
บัญชีผู้ใช้งาน จนกว่าจะร้องขอให้ลบ หรือเมื่อบัญชีถูกยกเลิก

7. สิทธิ์ของเจ้าของข้อมูล

ตาม PDPA ท่านมีสิทธิ์ดังต่อไปนี้ โดยสามารถแจ้งความประสงค์ผ่านผู้ดูแลระบบของสถานศึกษา หรือติดต่อเราโดยตรง

สิทธิ์เข้าถึงข้อมูล: ขอดูข้อมูลส่วนบุคคลที่เราเก็บไว้เกี่ยวกับท่าน
สิทธิ์แก้ไขข้อมูล: ขอแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์
สิทธิ์ลบข้อมูล: ขอให้ลบข้อมูลส่วนบุคคลเมื่อสิ้นสุดวัตถุประสงค์
สิทธิ์คัดค้าน: คัดค้านการประมวลผลข้อมูลในกรณีที่ไม่มีฐานทางกฎหมายที่ชัดเจน
สิทธิ์โอนย้ายข้อมูล: ขอรับข้อมูลในรูปแบบที่สามารถนำไปใช้กับระบบอื่นได้ (เช่น CSV)
สิทธิ์ร้องเรียน: ร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหากพบการละเมิด

* สำหรับข้อมูลนักเรียนที่ยังไม่บรรลุนิติภาวะ ผู้ปกครองหรือผู้แทนโดยชอบธรรมสามารถใช้สิทธิ์แทนได้

8. ความอ่อนไหวของข้อมูลด้านสุขภาพจิต

⚠️ ข้อมูลผลประเมิน SDQ และ EQ ถือเป็นข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Data)

  • เข้าถึงได้เฉพาะครูที่ปรึกษา ครูแนะแนว หรือผู้ดูแลระบบที่ได้รับอนุญาตเท่านั้น
  • ห้ามนำผลประเมินไปเปิดเผยในที่สาธารณะ
  • ผลประเมินควรใช้ประกอบการส่งต่อและช่วยเหลือนักเรียนโดยผู้เชี่ยวชาญเท่านั้น ไม่ใช่เพื่อการวินิจฉัยทางการแพทย์

9. คุกกี้และการติดตาม

9.1 คุกกี้ที่ระบบใช้งาน

ระบบใช้คุกกี้เพียง 2 ประเภท ได้แก่

ชื่อ / ประเภท วัตถุประสงค์ อายุ จำเป็น?
PHPSESSID
Session Cookie		 ใช้จดจำสถานะการเข้าสู่ระบบระหว่างที่ใช้งาน เก็บข้อมูลเซสชันบนเซิร์ฟเวอร์เท่านั้น ไม่มีข้อมูลส่วนบุคคลในตัวคุกกี้ สิ้นสุดเมื่อปิดเบราว์เซอร์ หรือเมื่อ logout จำเป็น
cf_clearance
Cloudflare Turnstile		 สร้างโดย Cloudflare Turnstile ในหน้าลงทะเบียน เพื่อยืนยันว่าผู้ใช้เป็นมนุษย์ ไม่ใช่ Bot คุกกี้นี้เป็นของ Cloudflare ไม่ใช่ของระบบ Schooldio โดยตรง ตามนโยบาย Cloudflare (ปกติ 30 นาที – 1 วัน) เฉพาะหน้า
ลงทะเบียน

9.2 สิ่งที่ระบบ ไม่ใช้

  • ไม่มีคุกกี้ติดตามพฤติกรรม (Tracking Cookies) หรือคุกกี้โฆษณา
  • ไม่มี Pixel Tracking ของ Facebook, Google, TikTok หรือแพลตฟอร์มอื่นใด
  • ไม่มีการฝัง Google Analytics หรือเครื่องมือวิเคราะห์บุคคลที่สามใด ๆ ในพื้นที่ที่ต้องล็อกอิน
  • ไม่มีการแชร์ข้อมูลพฤติกรรมการใช้งานกับเครือข่ายโฆษณา

9.3 การจัดการคุกกี้

ท่านสามารถปฏิเสธหรือลบคุกกี้ได้ผ่านการตั้งค่าเบราว์เซอร์ อย่างไรก็ตาม หากปิดการใช้งาน Session Cookie (PHPSESSID) ท่านจะไม่สามารถเข้าสู่ระบบได้ เนื่องจากเป็นคุกกี้ที่จำเป็นต่อการทำงานของระบบ

* หากมีการเพิ่มคุกกี้ประเภทใหม่ในอนาคต จะมีการแจ้งและขอความยินยอมตามที่กฎหมายกำหนด

10. การปรับปรุงนโยบายและฟีเจอร์ในอนาคต

ระบบ Schooldio อยู่ในระหว่างการพัฒนาอย่างต่อเนื่อง นโยบายนี้อาจได้รับการปรับปรุงเพื่อให้ครอบคลุมการเปลี่ยนแปลงดังต่อไปนี้

  • หากมีการเพิ่มฟีเจอร์ที่เกี่ยวข้องกับการเก็บข้อมูลส่วนบุคคลใหม่จะมีการระบุรายละเอียดไว้ในนโยบายฉบับปรับปรุง
  • หากมีการเพิ่มบริการของบุคคลที่สามรายใหม่ที่อาจประมวลผลข้อมูลส่วนบุคคล จะมีการแจ้งชื่อ วัตถุประสงค์ และประเภทข้อมูลที่ส่งไปให้ชัดเจน
  • วันที่ปรับปรุงล่าสุดจะถูกอัปเดตทุกครั้งที่มีการเปลี่ยนแปลงสาระสำคัญ

การใช้งานระบบต่อเนื่องหลังจากมีการปรับปรุงนโยบาย ถือว่าท่านยอมรับนโยบายที่ปรับปรุงแล้ว

11. ช่องทางติดต่อเรา

หากมีข้อสงสัย ต้องการใช้สิทธิ์ตาม PDPA หรือพบการใช้งานข้อมูลที่ไม่เหมาะสม กรุณาติดต่อ

Email: support@schooldio.com

Facebook: Schooldio

ที่อยู่: โรงเรียนโพนงามพิทยาคาร ต.โพนงาม อ.กุดชุม จ.ยโสธร 35140

เราจะตอบสนองต่อคำร้องขอภายใน 30 วันนับจากวันที่ได้รับคำร้อง

กลับหน้าหลัก