นโยบายความเป็นส่วนตัว (Privacy Policy)

SiCIR Inside · Siriraj Center of Interventional Radiology · อัปเดตล่าสุด 2026-04-24

1. ผู้ให้บริการ

นโยบายนี้ครอบคลุมการให้บริการของแอป SiCIR Inside ซึ่งดำเนินการโดย Siriraj Center of Interventional Radiology (SiCIR) คณะแพทยศาสตร์ศิริราชพยาบาล มหาวิทยาลัยมหิดล เพื่อใช้งานภายในของบุคลากรในศูนย์เท่านั้น

2. ข้อมูลที่เก็บรวบรวม

เพื่อให้บริการ แอปจัดเก็บข้อมูลดังนี้:

  • ข้อมูลตัวตน (จาก OAuth provider): อีเมล, ชื่อที่แสดง, รูปโปรไฟล์, LINE user id (เมื่อ login ด้วย LINE)
  • ข้อมูลบุคลากร (จาก HR master sheet ของศูนย์): รหัสพนักงาน, ชื่อ-นามสกุล, ชื่อเล่น, ตำแหน่ง, สังกัด, คำนำหน้า, เบอร์โทร, วันเริ่มงาน (read-only)
  • ข้อมูลการใช้งาน: log การเข้าสู่ระบบ (วันเวลา, อีเมล), ข้อมูลที่ผู้ใช้บันทึกเอง (งาน / to-do, รายงานอุบัติการณ์, เอกสารส่งต่อ, อัลบั้มภาพ, การอบรม, ใบประกอบวิชาชีพ, คำขอลา, ประกาศ ฯลฯ)
  • ตัวเลือกการใช้งาน: การตั้งค่าการแจ้งเตือน LINE, OTP ยืนยันตัวตน (เก็บชั่วคราว ≤ 10 นาที)

3. แหล่งข้อมูล

  • ตัวคุณเอง (เมื่อบันทึกหรือแก้ไขข้อมูลในแอป)
  • ผู้ให้บริการ login (Google OAuth, LINE Login)
  • ฝ่ายบุคคลของศูนย์ (HR master sheet) สำหรับข้อมูลบุคลากร

4. วัตถุประสงค์ในการใช้ข้อมูล

  • ยืนยันตัวตนและควบคุมสิทธิ์การเข้าถึงตามบทบาทในศูนย์
  • ส่งการแจ้งเตือนที่เกี่ยวข้อง (ตารางเวร, งาน, เอกสาร, ใบประกอบ หมดอายุ, ประกาศ) ผ่าน LINE Messaging API
  • จัดทำรายงานการทำงาน / compliance / สถิติของศูนย์
  • ตรวจสอบความถูกต้องและตรวจสอบย้อนหลังเมื่อเกิดปัญหา (audit trail)

5. ผู้มีสิทธิ์เข้าถึงข้อมูล

  • ผู้ใช้เอง — เห็น/แก้ไขข้อมูลของตัวเอง
  • หัวหน้าฝ่าย (role: head_*) — เห็นข้อมูลของทีมในเรื่องที่ เกี่ยวข้องกับบทบาท (เช่น ตารางเวรของทีม)
  • ผู้ดูแลระบบ (tier: admin) — เห็นข้อมูลการใช้งานรวม และสามารถแก้ไขข้อมูลของผู้ใช้ในกรณีจำเป็น
  • ผู้บริหารศูนย์ (tier: superadmin) — เห็นข้อมูลทั้งหมด รวมทั้งรายงานการเงินและ compliance dashboard

6. ผู้ให้บริการภายนอก (Third parties)

แอปอาศัยบริการภายนอกดังนี้เพื่อทำงาน:

  • Google (Google Cloud Platform) — OAuth login, Google Sheets (DB), Google Drive (ไฟล์แนบ / รูปภาพ), Google Calendar
  • LINE Corporation — LINE Login, LINE Messaging API (push notification), LIFF SDK
  • Vercel — hosting ของแอป

ผู้ให้บริการเหล่านี้มีนโยบายความเป็นส่วนตัวของตนเอง เราใช้บริการ เท่าที่จำเป็นและไม่ส่งข้อมูลให้บุคคลที่สามนอกเหนือจากรายการนี้

7. ระยะเวลาการเก็บข้อมูล

  • ข้อมูลการใช้งานทั่วไปเก็บไว้ตราบที่ผู้ใช้ยังเป็นบุคลากรของศูนย์
  • ข้อมูลเมื่อถูกลบในแอปใช้ระบบ soft-delete — ยังอยู่ในฐานข้อมูลแต่ไม่แสดงผล เพื่อ audit trail
  • OTP สำหรับยืนยันตัวตนหมดอายุใน 10 นาที
  • LINE push notification payload ไม่ถูกจัดเก็บถาวร

8. สิทธิ์ของผู้ใช้

คุณมีสิทธิ์:

  • เข้าถึงและดูข้อมูลของตัวเองได้ที่เมนู User บนหน้าแรก
  • แก้ไขโปรไฟล์ของตัวเอง (หลังยืนยัน OTP ทางอีเมล)
  • ปรับการตั้งค่าแจ้งเตือน LINE push (/user/notifications)
  • ขอข้อมูลเพิ่มเติม / ขอให้ลบข้อมูล ติดต่อผู้ดูแลศูนย์ ที่อีเมลด้านล่าง

9. การรักษาความปลอดภัย

  • เข้าถึงผ่าน HTTPS เสมอ
  • การเชื่อมต่อฐานข้อมูลผ่าน Google service account ที่จำกัดสิทธิ์ ไว้เฉพาะสเปรดชีตและโฟลเดอร์ที่เกี่ยวข้อง
  • การเข้าถึงข้อมูลภายในแอปถูกจำกัดตาม tier (superadmin/admin/user) + role + ฝ่ายของผู้ใช้

10. การเปลี่ยนแปลงนโยบาย

เราอาจปรับปรุงนโยบายนี้เป็นครั้งคราว การเปลี่ยนแปลงจะประกาศในหน้านี้พร้อมวันที่อัปเดต

11. การติดต่อ

ข้อสงสัยหรือคำร้องเกี่ยวกับข้อมูลส่วนบุคคล ติดต่อที่ si_cir@mahidol.edu · โทร 02-419-8731 · 02-414-1143

ข้อกำหนดการใช้งานกลับหน้าเข้าสู่ระบบ