Privacy Policyนโยบายความเป็นส่วนตัว
This Privacy Policy explains how BioCE Consult at consult.bioce.cloud ("the Service") collects, uses, stores and protects personal data when you submit a research-consultation request, when you track a request, or when authorized staff administer requests. The Service is operated by the Department of Biomedical Informatics and Clinical Epidemiology (BioCE), Faculty of Medicine, Chiang Mai University ("BioCE", "we", "us"), which acts as the data controller. For any privacy question or request, contact hero.bioce@gmail.com. นโยบายความเป็นส่วนตัวฉบับนี้อธิบายว่า BioCE Consult ที่ consult.bioce.cloud ("บริการ") เก็บรวบรวม ใช้ จัดเก็บ และคุ้มครอง ข้อมูลส่วนบุคคลอย่างไร เมื่อท่านส่งคำขอรับคำปรึกษาด้านงานวิจัย เมื่อท่านติดตามสถานะคำขอ หรือเมื่อเจ้าหน้าที่ผู้ได้รับอนุญาต ดำเนินการกับคำขอ บริการนี้ดำเนินการโดยภาควิชาสารสนเทศทางชีวเวชศาสตร์และระบาดวิทยาคลินิก (BioCE) คณะแพทยศาสตร์ มหาวิทยาลัยเชียงใหม่ ("BioCE" หรือ "เรา") ซึ่งทำหน้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล หากมีคำถามหรือคำขอ เกี่ยวกับความเป็นส่วนตัว โปรดติดต่อ hero.bioce@gmail.com
1. What we collect1. ข้อมูลที่เราเก็บรวบรวม
Request details you provide in the form: รายละเอียดคำขอที่ท่านกรอกในแบบฟอร์ม:
- Your full nameชื่อ-นามสกุลของท่าน
- Email addressที่อยู่อีเมล
- Affiliation / departmentหน่วยงาน / สังกัด
- Your role (graduate student, resident, fellow, faculty, researcher, clinician, or other)บทบาทของท่าน (นักศึกษาบัณฑิตศึกษา แพทย์ประจำบ้าน แพทย์ต่อยอด อาจารย์ นักวิจัย บุคลากรทางคลินิก หรืออื่น ๆ)
- Consultation category (e.g. study design, sample size, statistical analysis, prediction modelling, systematic review, manuscript, data management, or other)ประเภทของคำปรึกษา (เช่น การออกแบบงานวิจัย ขนาดตัวอย่าง การวิเคราะห์ทางสถิติ แบบจำลองพยากรณ์ การทบทวนวรรณกรรมอย่างเป็นระบบ การเขียนต้นฉบับ การจัดการข้อมูล หรืออื่น ๆ)
- A short title for your requestชื่อเรื่องโดยย่อของคำขอ
- A description of your project or question (up to 5,000 characters)คำอธิบายโครงการหรือคำถามของท่าน (ไม่เกิน 5,000 อักขระ)
- Urgency (normal or urgent) and preferred meeting mode (online, on-site, or either)ระดับความเร่งด่วน (ปกติหรือเร่งด่วน) และรูปแบบการนัดหมายที่ต้องการ (ออนไลน์ พบที่ภาควิชา หรือแบบใดก็ได้)
- Preferred meeting times (optional)ช่วงเวลานัดหมายที่สะดวก (ไม่บังคับ)
- Attachments. Up to 3 files, no more than 10 MB each, of the permitted document types (PDF, Word, Excel, CSV, plain text, ZIP, or images) that you choose to upload to support your request.ไฟล์แนบ ได้สูงสุด 3 ไฟล์ ขนาดไม่เกินไฟล์ละ 10 MB เฉพาะประเภทที่อนุญาต (PDF, Word, Excel, CSV, ข้อความล้วน, ZIP หรือรูปภาพ) ซึ่งท่านเลือกอัปโหลดเพื่อประกอบคำขอ
- Tracking identifiers. On submission the system generates a reference code and a secret tracking token. Only a SHA-256 hash of the token is stored; the token itself is shown to you once and is not retained by us.รหัสสำหรับติดตาม เมื่อส่งคำขอ ระบบจะสร้างรหัสอ้างอิงและโทเคนลับสำหรับติดตาม โดยจัดเก็บเฉพาะค่าแฮช SHA-256 ของโทเคนเท่านั้น ส่วนตัวโทเคนจะแสดงให้ท่านเห็นเพียงครั้งเดียวและเราไม่ได้จัดเก็บไว้
- Consultation records. Notes, status updates, scheduling details, the assigned consultant, and an internal history and audit trail that staff create while handling your request.บันทึกการให้คำปรึกษา ได้แก่ บันทึกต่าง ๆ การปรับสถานะ รายละเอียดการนัดหมาย ผู้ให้คำปรึกษาที่ได้รับมอบหมาย รวมถึงประวัติและบันทึกการตรวจสอบภายในที่เจ้าหน้าที่จัดทำขึ้นระหว่างดำเนินการกับคำขอของท่าน
- Technical data. Standard web-server records such as IP address, browser user-agent and timestamps, processed for security, rate-limiting and abuse prevention. Tracking tokens are redacted from our server logs.ข้อมูลทางเทคนิค เช่น หมายเลขไอพี (IP address) ชนิดของเบราว์เซอร์ (user agent) และเวลาที่เข้าใช้งาน ซึ่งประมวลผลเพื่อความปลอดภัย การจำกัดอัตราการเรียกใช้ และการป้องกันการใช้งานโดยมิชอบ ทั้งนี้โทเคนสำหรับติดตามจะถูกปกปิดออกจากบันทึก (log) ของเซิร์ฟเวอร์
- Staff sign-in data (authorized staff only), see section 5.ข้อมูลการลงชื่อเข้าใช้ของเจ้าหน้าที่ (เฉพาะเจ้าหน้าที่ผู้ได้รับอนุญาต) ดูข้อ 5
2. Why we use it2. วัตถุประสงค์ในการใช้ข้อมูล
- To receive, review, triage, schedule and follow up on your consultation request.เพื่อรับ พิจารณา คัดกรอง นัดหมาย และติดตามผลคำขอรับคำปรึกษาของท่าน
- To communicate with you about your request and let you track its status using your reference code and private tracking link.เพื่อติดต่อสื่อสารกับท่านเกี่ยวกับคำขอ และให้ท่านติดตามสถานะได้ด้วยรหัสอ้างอิงและลิงก์ติดตามส่วนตัวของท่าน
- To keep an internal record and audit trail for administrative and academic accountability.เพื่อจัดเก็บบันทึกภายในและร่องรอยการตรวจสอบ สำหรับความรับผิดชอบด้านการบริหารและด้านวิชาการ
- To operate and secure the Service (authentication of staff, rate-limiting and abuse prevention).เพื่อให้บริการและรักษาความปลอดภัยของระบบ (การยืนยันตัวตนของเจ้าหน้าที่ การจำกัดอัตราการเรียกใช้ และการป้องกันการใช้งานโดยมิชอบ)
We do not sell or rent personal data, we show no advertising, and we use no third-party analytics or tracking. Your data is used solely to deliver the consultation service you requested.เราไม่ขายหรือให้เช่าข้อมูลส่วนบุคคล ไม่แสดงโฆษณา และไม่ใช้เครื่องมือวิเคราะห์หรือการติดตามจากบุคคลภายนอกใด ๆ ข้อมูลของท่านถูกใช้เพื่อให้บริการคำปรึกษาตามที่ท่านร้องขอเท่านั้น
3. Legal basis (PDPA)3. ฐานทางกฎหมาย (PDPA)
We process personal data under Thailand's Personal Data Protection Act, B.E. 2562 (2019), on these bases:เราประมวลผลข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) โดยอาศัยฐานดังต่อไปนี้:
- Consent: given when you submit the request form.ความยินยอม: ที่ท่านให้ไว้เมื่อส่งแบบฟอร์มคำขอ
- Legitimate interest: in providing, administering and securing the consultation service you asked for, and in keeping proper academic and administrative records.ประโยชน์โดยชอบด้วยกฎหมาย: ในการให้บริการ บริหารจัดการ และรักษาความปลอดภัยของบริการคำปรึกษาตามที่ท่านร้องขอ รวมถึงการจัดเก็บบันทึกทางวิชาการและการบริหารอย่างเหมาะสม
- Legal obligation: where the law requires us to process or retain certain data.การปฏิบัติตามกฎหมาย: ในกรณีที่กฎหมายกำหนดให้เราต้องประมวลผลหรือเก็บรักษาข้อมูลบางอย่าง
4. Cookies & local storage4. คุกกี้และข้อมูลที่จัดเก็บในเบราว์เซอร์
BioCE Consult uses only strictly necessary, functional storage. We use no advertising, analytics or cross-site tracking cookies.BioCE Consult ใช้เฉพาะการจัดเก็บข้อมูลที่จำเป็นต่อการทำงานเท่านั้น เราไม่ใช้คุกกี้เพื่อการโฆษณา การวิเคราะห์ หรือการติดตามข้ามเว็บไซต์ใด ๆ
- Session & CSRF cookies (
consult_sess,consult_csrf, and a short-livedconsult_oauthcookie during Google sign-in) are set only for authorized staff who sign in to the admin console, to keep them signed in and to protect against cross-site request forgery. Requesters never receive sign-in cookies.คุกกี้เซสชันและ CSRF (consult_sess,consult_csrfและคุกกี้อายุสั้นconsult_oauthระหว่างการลงชื่อเข้าใช้ด้วย Google) จะถูกตั้งค่าเฉพาะสำหรับเจ้าหน้าที่ผู้ได้รับอนุญาตที่ลงชื่อเข้าสู่ระบบผู้ดูแล เพื่อคงสถานะการเข้าสู่ระบบและป้องกันการปลอมแปลงคำขอข้ามเว็บไซต์ (CSRF) ผู้ยื่นคำขอทั่วไปจะไม่ได้รับคุกกี้สำหรับการลงชื่อเข้าใช้ - Language preference. Your EN/TH choice is stored in your browser's
localStorageunder the keyconsult_lang. It stays on your device, is not sent to us, and is not personal data.การตั้งค่าภาษา ตัวเลือกภาษาไทย/อังกฤษของท่านจะถูกเก็บไว้ในlocalStorageของเบราว์เซอร์ภายใต้คีย์consult_langซึ่งอยู่บนอุปกรณ์ของท่าน ไม่ถูกส่งมายังเรา และไม่ถือเป็นข้อมูลส่วนบุคคล
5. Signing in with Google (staff only)5. การลงชื่อเข้าใช้ด้วย Google (เฉพาะเจ้าหน้าที่)
Google sign-in is used only to authenticate authorized BioCE staff to the admin console. It is not part of the public request form, and requesters never sign in with Google. When a staff member signs in, we request only the openid, email and profile scopes and receive that staff member's email address, name and basic profile from Google in order to verify them against an internal allowlist. We never receive or store a staff member's Google password, and no Google account data is collected from requesters. OAuth tokens and authorization codes are never written to our logs. A password login is retained only as a break-glass fallback for staff; staff passwords are stored using scrypt hashing, never in plain text.การลงชื่อเข้าใช้ด้วย Google ใช้เฉพาะเพื่อยืนยันตัวตนของเจ้าหน้าที่ BioCE ผู้ได้รับอนุญาตในการเข้าสู่ระบบผู้ดูแลเท่านั้น ไม่ได้เป็นส่วนหนึ่งของแบบฟอร์มคำขอสาธารณะ และผู้ยื่นคำขอไม่มีการลงชื่อเข้าใช้ด้วย Google เมื่อเจ้าหน้าที่ลงชื่อเข้าใช้ เราขอสิทธิ์การเข้าถึงเฉพาะขอบเขต openid, email และ profile และได้รับที่อยู่อีเมล ชื่อ และข้อมูลโปรไฟล์พื้นฐานของเจ้าหน้าที่จาก Google เพื่อตรวจสอบกับรายชื่อที่ได้รับอนุญาตภายใน เราไม่ได้รับหรือจัดเก็บรหัสผ่าน Google ของเจ้าหน้าที่ และไม่มีการเก็บข้อมูลบัญชี Google จากผู้ยื่นคำขอแต่อย่างใด โทเคนและรหัสอนุญาต (authorization code) ของ OAuth จะไม่ถูกบันทึกลงใน log ของเรา ทั้งนี้ ระบบยังคงมีการเข้าสู่ระบบด้วยรหัสผ่านไว้เป็นช่องทางสำรองฉุกเฉินสำหรับเจ้าหน้าที่เท่านั้น โดยรหัสผ่านของเจ้าหน้าที่จะถูกจัดเก็บด้วยการเข้ารหัสแบบ scrypt ไม่มีการเก็บเป็นข้อความธรรมดา
6. Storage & security6. การจัดเก็บและความปลอดภัย
- The Service is served exclusively over HTTPS, so data is encrypted in transit (TLS).บริการนี้ให้บริการผ่าน HTTPS เท่านั้น ข้อมูลจึงถูกเข้ารหัสระหว่างการรับส่ง (TLS)
- Data is stored in a SQLite database on the BioCE server (a Hostinger virtual private server / hosted infrastructure). The database and uploaded files are kept outside the public web root; attachments can be retrieved only through controlled endpoints that require the correct tracking token or an authenticated staff session.ข้อมูลถูกจัดเก็บในฐานข้อมูล SQLite บนเซิร์ฟเวอร์ของ BioCE (เครื่องเซิร์ฟเวอร์ส่วนตัวเสมือน Hostinger / โครงสร้างพื้นฐานที่เช่าใช้บริการ) ทั้งฐานข้อมูลและไฟล์ที่อัปโหลดถูกเก็บไว้นอกพื้นที่เว็บสาธารณะ ไฟล์แนบสามารถเรียกดูได้เฉพาะผ่านช่องทางที่ควบคุมไว้ ซึ่งต้องใช้โทเคนติดตามที่ถูกต้องหรือเซสชันของเจ้าหน้าที่ที่ยืนยันตัวตนแล้วเท่านั้น
- Tracking tokens are stored only as SHA-256 hashes and are redacted from logs. The admin console is protected by authenticated sessions, CSRF checks and rate-limiting.โทเคนติดตามถูกจัดเก็บเป็นค่าแฮช SHA-256 เท่านั้น และถูกปกปิดออกจากบันทึก ระบบผู้ดูแลได้รับการป้องกันด้วยเซสชันที่ยืนยันตัวตน การตรวจสอบ CSRF และการจำกัดอัตราการเรียกใช้
- Every administrative action is recorded in an append-only audit log, and every status change in a history log, for accountability.การดำเนินการของผู้ดูแลทุกครั้งถูกบันทึกไว้ในบันทึกการตรวจสอบ (audit log) แบบเพิ่มได้อย่างเดียว และการเปลี่ยนสถานะทุกครั้งถูกบันทึกไว้ในบันทึกประวัติ เพื่อความรับผิดชอบตรวจสอบได้
- No system is perfectly secure, but we apply reasonable technical and organisational safeguards appropriate to the data we hold.ไม่มีระบบใดปลอดภัยอย่างสมบูรณ์ แต่เราใช้มาตรการปกป้องทางเทคนิคและเชิงองค์กรที่เหมาะสมกับข้อมูลที่เราเก็บรักษาไว้
7. How long we keep it (retention)7. ระยะเวลาการเก็บรักษาข้อมูล
We keep requests, attachments and the associated records for the duration of the consultation engagement and for a reasonable administrative and academic record-keeping period afterwards. You may ask us to delete your request and attachments sooner by emailing us; we will do so unless we are required to keep certain records by law or university policy.เราเก็บรักษาคำขอ ไฟล์แนบ และบันทึกที่เกี่ยวข้องไว้ตลอดระยะเวลาของการให้คำปรึกษา และต่อเนื่องอีกช่วงเวลาหนึ่งตามความจำเป็นในการเก็บบันทึกทางการบริหารและทางวิชาการ ท่านสามารถขอให้เราลบคำขอและไฟล์แนบก่อนกำหนดได้โดยส่งอีเมลถึงเรา เราจะดำเนินการให้ เว้นแต่มีกฎหมายหรือนโยบายของมหาวิทยาลัยกำหนดให้ต้องเก็บรักษาบันทึกบางอย่างไว้
8. Sharing & disclosure8. การเปิดเผยและการแบ่งปันข้อมูล
We do not sell or rent personal data and do not share it for advertising. We disclose data only:เราไม่ขายหรือให้เช่าข้อมูลส่วนบุคคล และไม่แบ่งปันเพื่อการโฆษณา เราเปิดเผยข้อมูลเฉพาะกรณีต่อไปนี้:
- to our hosting provider (Hostinger), which provides the server infrastructure on our behalf as a data processor;แก่ผู้ให้บริการโฮสติ้งของเรา (Hostinger) ซึ่งจัดหาโครงสร้างพื้นฐานของเซิร์ฟเวอร์ในนามของเราในฐานะผู้ประมวลผลข้อมูล
- to Google LLC, solely for staff sign-in (staff data only, as described in section 5);แก่ Google LLC เพื่อการลงชื่อเข้าใช้ของเจ้าหน้าที่เท่านั้น (เฉพาะข้อมูลของเจ้าหน้าที่ ตามที่อธิบายไว้ในข้อ 5)
- where required by law, legal process, or the University; orเมื่อกฎหมาย กระบวนการทางกฎหมาย หรือมหาวิทยาลัยกำหนดให้ต้องเปิดเผย หรือ
- where necessary to protect the rights, safety and security of the Service and its users.เมื่อจำเป็นเพื่อคุ้มครองสิทธิ ความปลอดภัย และความมั่นคงของบริการและผู้ใช้บริการ
9. Your rights under the PDPA9. สิทธิของท่านตาม PDPA
Subject to the conditions and exceptions in the PDPA, you have the right to access and obtain a copy of your personal data; to rectify inaccurate or incomplete data; to erase or destroy it; to restrict or suspend its use; to object to its processing; to request data portability; and to withdraw consent at any time (withdrawal does not affect processing already lawfully carried out). To exercise any of these rights, email hero.bioce@gmail.com (support: cmucecs-support@uniqcret.com). You also have the right to lodge a complaint with the Office of the Personal Data Protection Committee (PDPC) in Thailand.ภายใต้เงื่อนไขและข้อยกเว้นตาม PDPA ท่านมีสิทธิเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลของท่าน สิทธิขอแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์ สิทธิขอลบหรือทำลายข้อมูล สิทธิขอให้ระงับการใช้ข้อมูล สิทธิคัดค้านการประมวลผล สิทธิขอให้โอนย้ายข้อมูล และสิทธิถอนความยินยอมเมื่อใดก็ได้ (การถอนความยินยอมไม่กระทบต่อการประมวลผลที่ได้ดำเนินการโดยชอบด้วยกฎหมายไปแล้ว) หากต้องการใช้สิทธิใด ๆ โปรดส่งอีเมลถึง hero.bioce@gmail.com (ฝ่ายสนับสนุน: cmucecs-support@uniqcret.com) นอกจากนี้ ท่านยังมีสิทธิร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส. / PDPC) ในประเทศไทย
10. Children10. ผู้เยาว์
BioCE Consult is intended for researchers, students, clinicians and academic staff, and is not directed at children. We do not knowingly collect personal data from minors. If you believe a minor has provided us with personal data, please contact us and we will delete it.BioCE Consult มีไว้สำหรับนักวิจัย นักศึกษา บุคลากรทางคลินิก และบุคลากรทางวิชาการ และไม่ได้มุ่งเน้นไปที่ผู้เยาว์ เราไม่มีเจตนาเก็บรวบรวมข้อมูลส่วนบุคคลจากผู้เยาว์ หากท่านเชื่อว่ามีผู้เยาว์ได้ให้ข้อมูลส่วนบุคคลแก่เรา โปรดติดต่อเราเพื่อให้ดำเนินการลบข้อมูลนั้น
11. Changes to this policy11. การเปลี่ยนแปลงนโยบาย
We may update this Privacy Policy from time to time. Material changes will be posted on this page with a new "last updated" date.เราอาจปรับปรุงนโยบายความเป็นส่วนตัวฉบับนี้เป็นครั้งคราว การเปลี่ยนแปลงที่มีนัยสำคัญจะถูกเผยแพร่บนหน้านี้พร้อมระบุวันที่ "ปรับปรุงล่าสุด" ใหม่
12. Contact12. ติดต่อเรา
Questions or requests about this policy or your data: hero.bioce@gmail.com (support: cmucecs-support@uniqcret.com). Department of Biomedical Informatics and Clinical Epidemiology (BioCE), Faculty of Medicine, Chiang Mai University, Thailand.หากมีคำถามหรือคำขอเกี่ยวกับนโยบายฉบับนี้หรือข้อมูลของท่าน ติดต่อ hero.bioce@gmail.com (ฝ่ายสนับสนุน: cmucecs-support@uniqcret.com) ภาควิชาสารสนเทศทางชีวเวชศาสตร์และระบาดวิทยาคลินิก (BioCE) คณะแพทยศาสตร์ มหาวิทยาลัยเชียงใหม่ ประเทศไทย