ความปลอดภัยของข้อมูลคือพื้นฐานที่ทำให้ผู้ใช้งานเชื่อมั่นและกล้าใช้บริการอย่างต่อเนื่อง เว็บไซต์ 99football.info จึงกำหนดนโยบายคุ้มครองข้อมูลที่ชัดเจน ครบถ้วน และตรวจสอบได้ ตั้งแต่การเก็บ รักษา ใช้งาน ไปจนถึงการลบหรือจำกัดการประมวลผล ทั้งหมดนี้ทำงานร่วมกับโครงสร้างพื้นฐานด้านความปลอดภัยระดับสากลและการกำกับดูแลภายในที่เข้มงวด เพื่อให้ข้อมูลส่วนบุคคลและธุรกรรมได้รับการคุ้มครองในทุกขั้นตอน นอกจากนี้ 99football ยังสื่อสารแนวทางดังกล่าวให้ผู้ใช้เข้าใจง่ายและปฏิบัติตามได้จริง โดยผนวกอยู่ในกระบวนการของ บริการของเรา ตั้งแต่สมัครสมาชิก ยืนยันตัวตน ไปจนถึงการจัดการสิทธิของเจ้าของข้อมูล
1) ขอบเขตการเก็บรวบรวมข้อมูลอย่างจำเป็นเท่านั้น
นโยบายกำหนดให้เก็บข้อมูลเท่าที่จำเป็นต่อการให้บริการ เพื่อหลีกเลี่ยงความเสี่ยงที่ไม่จำเป็น ข้อมูลที่อาจต้องใช้ประกอบด้วยชื่อ-นามสกุล ช่องทางติดต่อ หมายเลขบัญชีที่ยืนยันแล้ว และหลักฐานยืนยันตัวตนตามที่กฎหมายอนุญาต เราใช้หลักการ “data minimization” และ “purpose limitation” เป็นแกนกลาง ข้อมูลทุกชิ้นจะระบุวัตถุประสงค์ไว้อย่างชัดเจน และแจ้งให้ผู้ใช้งานทราบก่อนเริ่มเก็บ โดยมีช่องทางให้สอบถามหรือตัดสินใจได้อย่างอิสระ ทั้งหมดนี้ดำเนินการภายใต้มาตรฐานภายในของ 99football ที่เน้นความโปร่งใสและเคารพสิทธิของเจ้าของข้อมูลเป็นสำคัญ
2) วัตถุประสงค์การใช้งานและพื้นฐานทางกฎหมาย
ข้อมูลส่วนบุคคลจะถูกนำไปใช้เพื่อการให้บริการหลัก เช่น การยืนยันตัวตน ป้องกันการทุจริต บริหารความเสี่ยง ปรับปรุงประสบการณ์ใช้งาน และสื่อสารข้อมูลสำคัญที่ผู้ใช้ควรทราบเท่านั้น หากมีการประมวลผลเพื่อการตลาดทางตรงหรือวิเคราะห์เชิงสถิติ เราจะอาศัยพื้นฐานทางกฎหมายที่เหมาะสมและ/หรือขอความยินยอมอย่างชัดแจ้ง พร้อมให้สิทธิเพิกถอนความยินยอมได้ตลอดเวลา เรายึดหลัก “ใช้เท่าที่จำเป็น” และดำเนินการบันทึกร่องรอยการเข้าถึง (access log) อย่างเหมาะสม เพื่อตรวจสอบย้อนหลังได้ โดยหลักปฏิบัติเหล่านี้ถูกผูกกับมาตรฐานภายในของ 99football เพื่อทำให้วัตถุประสงค์สอดคล้องกับความคาดหวังของผู้ใช้และกฎหมายคุ้มครองข้อมูล
3) มาตรการความปลอดภัยเชิงเทคนิคและองค์กร
นอกจากการเข้ารหัสข้อมูลระหว่างส่งผ่าน (TLS/SSL) เรายังใช้การเข้ารหัสเมื่อพักเก็บ (encryption at rest) ระบบไฟร์วอลล์หลายชั้น การตรวจจับพฤติกรรมผิดปกติ (anomaly detection) และนโยบายการเข้าถึงแบบ “least privilege” สำหรับบุคลากร ทุกสิทธิ์ถูกอนุมัติแบบจำกัดช่วงเวลา (time-bound access) และทบทวนเป็นรอบ ๆ มีการทดสอบเจาะระบบ (penetration test) อย่างสม่ำเสมอและบันทึกเหตุการณ์เพื่อสืบค้นย้อนหลัง ทั้งหมดนี้อธิบายอย่างย่อบนหน้าเอกสารความปลอดภัยของ 99football.info เพื่อความโปร่งใส ขณะเดียวกันมีการฝึกอบรมบุคลากรด้านความปลอดภัยข้อมูลทุกไตรมาส กระบวนการสำคัญทั้งหมดถูกผูกกับคู่มือปฏิบัติการของ 99football เพื่อให้มาตรการเทคนิคสอดคล้องกับวินัยเชิงองค์กร
4) สิทธิของเจ้าของข้อมูลและความโปร่งใสในการสื่อสาร
เจ้าของข้อมูลมีสิทธิ์เข้าถึง ขอสำเนา แก้ไข ความถูกต้อง โอนย้าย จำกัดการประมวลผล หรือขอลบข้อมูลตามเงื่อนไขทางกฎหมายได้ผ่านแบบฟอร์มที่จัดไว้ การตอบคำขอจะอยู่ภายในกรอบเวลาที่เหมาะสม พร้อมแจ้งเหตุผลและหลักเกณฑ์อย่างโปร่งใส หากเป็นกรณีการตลาดทางตรง ผู้ใช้สามารถกดปฏิเสธ (opt-out) ได้ทันทีในทุกช่องทางสื่อสาร เราตั้ง “ศูนย์การตั้งค่าความเป็นส่วนตัว” เพื่อให้ผู้ใช้กำหนดค่าคุกกี้และการติดตามได้ด้วยตนเอง เอกสารคำอธิบายเป็นภาษาที่เข้าใจง่าย ไม่ซ่อนเงื่อนไข และอัปเดตเมื่อมีการเปลี่ยนแปลงสำคัญ โดยยึดแนวปฏิบัติของ 99football ในการสื่อสารเชิงรุกและตรวจสอบได้
5) การโอนย้ายข้อมูล ผู้ประมวลผลภายนอก และการเก็บรักษา
เมื่อจำเป็นต้องใช้ผู้ประมวลผลข้อมูลภายนอก (processors) เราจะคัดเลือกบนเกณฑ์มาตรฐานความปลอดภัย ลงนามข้อตกลง DPA ระบุขอบเขต วัตถุประสงค์ มาตรการรักษาความปลอดภัย การแจ้งเหตุการณ์ข้อมูลรั่วไหล และการลบข้อมูลเมื่อสิ้นสุดสัญญา หากมีการโอนข้อมูลข้ามเขตอำนาจศาล เราจะใช้เครื่องมือทางกฎหมายที่เหมาะสม เช่น SCCs และประเมินความเสี่ยงก่อนทุกครั้ง นโยบายการเก็บรักษาข้อมูล (retention policy) จะกำหนดอายุข้อมูลเป็นรายประเภท พร้อมตารางลบข้อมูลอัตโนมัติ (auto-deletion) และกระบวนการทำลายข้อมูลที่ตรวจสอบได้ ทั้งหมดปฏิบัติตามแนวทางภายในของ 99football เพื่อรักษาความสมดุลระหว่างความปลอดภัย การปฏิบัติตามกฎหมาย และประสบการณ์ผู้ใช้