HexaHealth
เอกสารทางกฎหมาย · PDPA

นโยบายความเป็นส่วนตัว

HexaHealth ให้ความสำคัญสูงสุดกับการคุ้มครองข้อมูลส่วนบุคคลของคุณ — โดยเฉพาะข้อมูลทางการแพทย์ที่มีความอ่อนไหวเป็นพิเศษ เอกสารนี้อธิบายว่าเราเก็บ ใช้ และคุ้มครองข้อมูลของคุณอย่างไรตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

มีผลบังคับใช้: 1 พฤษภาคม 2026อัปเดตล่าสุด: 10 พฤษภาคม 2026
01

1. บทนำและขอบเขต

บริษัท HexaHealth จำกัด ("เรา") เป็นผู้ให้บริการแพลตฟอร์มจัดการคลินิกและโรงพยาบาลบนคลาวด์ นโยบายนี้ใช้กับผู้ใช้บริการทุกราย — คลินิก, โรงพยาบาล, ทีมงาน, และผู้ป่วยที่ใช้งาน Patient Portal

02

2. ข้อมูลที่เราเก็บรวบรวม

เราเก็บข้อมูล 4 หมวด: (ก) ข้อมูลบัญชี — อีเมล, ชื่อ, เบอร์โทร, ตำแหน่ง; (ข) ข้อมูลคลินิก/องค์กร — ชื่อกิจการ, ที่อยู่, สาขา, การเงิน; (ค) ข้อมูลทางการแพทย์ — ประวัติคนไข้, การวินิจฉัย, ยา, ผล Lab; (ง) ข้อมูลการใช้งาน — log การเข้าถึง, IP, browser, อุปกรณ์

03

3. วัตถุประสงค์ในการประมวลผล

ใช้เพื่อให้บริการตามสัญญา (จัดเก็บเวชระเบียน, ส่ง LINE OA, ออกใบเสร็จ), ปรับปรุงบริการ (analytics รวม, ไม่ระบุตัวบุคคล), ปฏิบัติตามกฎหมาย (เก็บประวัติ 5+ ปีตาม พ.ร.บ.สถานพยาบาล), และรักษาความปลอดภัย

05

5. การเปิดเผยข้อมูลแก่บุคคลที่สาม

เราเปิดเผยข้อมูลเฉพาะเท่าที่จำเป็นกับ: ผู้ให้บริการคลาวด์ (AWS/Cloudflare), ผู้ให้บริการ AI (Anthropic — Zero Data Retention), ผู้ให้บริการชำระเงิน (Stripe/Omise), หน่วยงานกำกับเมื่อมีคำสั่งศาล · ไม่มีการขายข้อมูลให้บุคคลที่สาม

06

6. การใช้ข้อมูลกับ AI Service

AI Clinical Assistant ใช้ Claude ของ Anthropic แบบ Zero-Data Retention — ข้อมูลคนไข้ถูก anonymize (ลบชื่อ-เลขบัตร) ก่อนส่งให้ AI ประมวลผล · ผลลัพธ์ถูกส่งกลับโดยไม่เก็บที่ฝั่ง AI provider · คลินิกสามารถปิดฟีเจอร์นี้ได้

07

7. ระยะเวลาในการเก็บข้อมูล

ข้อมูลเวชระเบียน: 5 ปีหลังการรักษาครั้งสุดท้ายตาม พ.ร.บ.สถานพยาบาล · ข้อมูลการเงิน/ใบกำกับภาษี: 10 ปีตาม พ.ร.บ.บัญชี · ข้อมูลบัญชีผู้ใช้: ตลอดอายุการใช้บริการ + 90 วันหลังยกเลิก

08

8. สิทธิของเจ้าของข้อมูล

คุณมีสิทธิตามมาตรา 30-37 PDPA: (1) เข้าถึงและขอสำเนาข้อมูล (2) แก้ไขข้อมูลให้ถูกต้อง (3) ขอลบข้อมูล (right to be forgotten) (4) คัดค้านการประมวลผล (5) ขอให้ระงับการใช้ (6) ขอย้ายข้อมูล · ติดต่อ DPO ได้ที่ dpo@hexahealth.app

09

9. มาตรการรักษาความปลอดภัย

เข้ารหัส AES-256 at rest, TLS 1.3 ระหว่างส่ง · ผ่านการรับรอง ISO 27001 · 2FA สำหรับ Admin · Audit Log ทุกการเข้าถึง · Penetration Test ประจำปี · แยก Database per tenant ด้วย Row-Level Security · ทีม SRE on-call 24/7

10

10. การส่งข้อมูลข้ามพรมแดน

ข้อมูลคนไข้และเวชระเบียนเก็บใน Data Center ในประเทศไทย (AWS Bangkok) · เฉพาะ AI inference ที่ส่งไป US (Anthropic) แบบ anonymized · เราปฏิบัติตามมาตรา 28 PDPA สำหรับการส่งข้อมูลข้ามพรมแดนทุกครั้ง

11

11. คุกกี้และเทคโนโลยีติดตาม

เราใช้คุกกี้สำหรับ Authentication, Preferences, และ Analytics รวม — รายละเอียดดูที่ /cookies · คุณสามารถเลือกได้ว่าจะรับคุกกี้ประเภทใดบ้างผ่าน Cookie Banner

12

12. ข้อมูลผู้เยาว์

การเก็บข้อมูลคนไข้อายุต่ำกว่า 20 ปีต้องได้รับความยินยอมจากผู้ปกครอง · คลินิกที่ใช้บริการมีหน้าที่ขอความยินยอมก่อนบันทึกข้อมูลในระบบ

13

13. การเปลี่ยนแปลงนโยบาย

หากมีการแก้ไขที่กระทบสิทธิของท่าน เราจะแจ้งล่วงหน้าอย่างน้อย 30 วันผ่าน In-app banner และอีเมล · นโยบายฉบับเก่าจะถูกเก็บไว้ใน Archive · ติดต่อ DPO: dpo@hexahealth.app

นโยบายความเป็นส่วนตัวข้อกำหนดการใช้งานคุกกี้ติดต่อ DPO