นโยบายความเป็นส่วนตัว
ปรับปรุงล่าสุด: 24 เมษายน 2026 (เวอร์ชัน 1.0)
นโยบายฉบับนี้จัดทำขึ้นสำหรับช่วงทดลอง (beta) กับผู้ใช้จำนวนจำกัด หากมีข้อสงสัยกรุณาติดต่อ [email protected]
1. ผู้ควบคุมข้อมูลส่วนบุคคล
Shop Health Score (โครงการทดลอง) โดย Kittipong
ติดต่อ: [email protected]
2. ข้อมูลที่เราเก็บ
เราเก็บข้อมูลต่อไปนี้เมื่อคุณใช้บริการ:
- อีเมล ที่คุณกรอกในหน้าแรกของเว็บไซต์
- IP address ที่ hash แล้ว (SHA-256) — ไม่สามารถย้อนกลับไปหา IP จริง ใช้สำหรับป้องกันการใช้งานผิดวัตถุประสงค์
- Place ID ของร้าน ที่คุณค้น — เป็นข้อมูลสาธารณะของ Google Maps
- ผลการวิเคราะห์ ได้แก่ คะแนน ประเด็นที่พบ จุดแข็ง และแผนปรับปรุง
- Token คำเชิญ (UUID สำหรับใช้บริการครั้งเดียว) และเวลาที่ใช้ token
- เวลาที่คุณยอมรับนโยบายฉบับนี้ (consent timestamp)
หมายเหตุ: เราใช้ Google Places API เพื่อค้นหาข้อมูลร้าน และ Anthropic Claude เพื่อวิเคราะห์ข้อมูลร้าน แต่เราไม่ได้ส่ง email หรือ IP ของคุณไปยังบริการเหล่านี้
3. วัตถุประสงค์ในการเก็บข้อมูล
เราเก็บและใช้ข้อมูลของคุณเพื่อวัตถุประสงค์ต่อไปนี้เท่านั้น (ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มาตรา 23):
- จัดส่งรายงานการวิเคราะห์ให้คุณทางอีเมล
- ขอความคิดเห็น (feedback) หลังจากที่คุณใช้บริการ ในช่วงทดลอง
- ป้องกันการใช้งานผิดวัตถุประสงค์ (abuse prevention) ผ่านการใช้ IP hash
- ปรับปรุงคุณภาพของ AI prompt และรายงานในอนาคต โดยใช้ aggregate data (ข้อมูลรวม) เท่านั้น
4. ฐานทางกฎหมายในการประมวลผล
ฐานทางกฎหมายในการประมวลผลข้อมูลของคุณคือความยินยอม (consent)ตามมาตรา 24 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งคุณแสดงความยินยอมอย่างชัดแจ้งโดยการติ๊กช่อง “ยินยอม” ก่อนส่งข้อมูลอีเมล
5. ผู้ประมวลผลข้อมูล (Data Processors)
เราใช้บริการต่อไปนี้เป็นผู้ประมวลผลข้อมูลในนามเรา:
- Supabase — ฐานข้อมูลที่เก็บ email, IP hash, และข้อมูลการวิเคราะห์
- Resend — บริการส่งอีเมลเพื่อจัดส่งรายงานให้คุณ
- DigitalOcean App Platform — hosting และประมวลผลคำขอ (log request อาจมี IP ชั่วคราว)
ผู้ประมวลผลทุกรายข้างต้นผูกพันตามสัญญาการประมวลผลข้อมูล (DPA) ที่ฝังอยู่ใน Terms of Service ของแต่ละบริการ และไม่สามารถใช้ข้อมูลของคุณเพื่อวัตถุประสงค์อื่นนอกเหนือจากให้บริการแก่เรา
6. ระยะเวลาการเก็บรักษาข้อมูล
- อีเมลและ IP hash: เก็บ 90 วันหลังจากที่คุณ ใช้บริการครั้งล่าสุด หลังจากนั้นจะทำให้เป็นนิรนาม (anonymize) โดยแทนที่ด้วยค่าว่าง (NULL) ไม่สามารถระบุตัวตนได้อีก
- ข้อมูลรายงาน (business data): ข้อมูลร้าน และผลการวิเคราะห์ไม่ใช่ข้อมูลส่วนบุคคล เราเก็บไว้เพื่อให้คุณอ้างอิงรายงานของคุณในภายหลัง — ขอให้ลบได้ตลอดเวลาโดยแจ้งมายัง [email protected]
7. การโอนข้อมูลไปยังต่างประเทศ
ผู้ประมวลผลข้อมูลของเรา (ใน Section 5) อาจเก็บหรือประมวลผลข้อมูลในเซิร์ฟเวอร์ที่ตั้งอยู่ในต่างประเทศ (เช่น สหรัฐอเมริกา หรือสิงคโปร์) ทั้งนี้ทุกผู้ประมวลผลมีมาตรฐานความปลอดภัยที่เหมาะสม และผูกพันตามสัญญาที่คุ้มครองข้อมูลของคุณในระดับเดียวกับที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลกำหนด
8. สิทธิของคุณในฐานะเจ้าของข้อมูล
ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มาตรา 30-37 คุณมีสิทธิ์ดังต่อไปนี้:
- สิทธิเข้าถึงข้อมูล — ขอดูข้อมูลของคุณที่เราเก็บ
- สิทธิแก้ไขข้อมูล — แจ้งแก้ไขข้อมูลที่ไม่ถูกต้อง
- สิทธิลบข้อมูล — ขอให้ลบข้อมูลของคุณ
- สิทธิจำกัดการใช้ข้อมูล — ขอให้หยุดใช้ข้อมูลเพื่อวัตถุประสงค์บางอย่าง
- สิทธิคัดค้านการประมวลผล — คัดค้านการใช้ข้อมูลเพื่อวัตถุประสงค์ใดๆ
- สิทธิถอนความยินยอม — ถอนความยินยอมได้ตลอดเวลา มีผลต่อการประมวลผลในอนาคต
- สิทธิโอนย้ายข้อมูล — ขอรับข้อมูลของคุณในรูปแบบที่สามารถใช้งานได้ (JSON)
การใช้สิทธิ์ใดๆ ให้ส่งอีเมลมาที่ [email protected] พร้อมแจ้งอีเมลที่ใช้กับบริการของเรา เราจะดำเนินการภายใน 30 วันตามที่กฎหมายกำหนด
9. มาตรการความปลอดภัย
- อีเมลและข้อมูลอื่นๆ เก็บในฐานข้อมูลที่เข้ารหัส at-rest (Supabase)
- IP address เก็บเป็น SHA-256 hash ไม่ใช่ plaintext
- การเชื่อมต่อทุกครั้งผ่าน HTTPS
- Token คำเชิญเป็น UUID ใช้ได้ครั้งเดียว และ cookie หมดอายุภายใน 48 ชั่วโมง
10. การแชร์ข้อมูลกับบุคคลที่สาม
เราไม่ขาย ไม่แลกเปลี่ยน และไม่ให้เช่าข้อมูลของคุณกับบุคคลที่สาม
ผู้ประมวลผลข้อมูลที่ระบุใน Section 5 ใช้ข้อมูลของคุณเฉพาะเพื่อให้บริการแก่เราเท่านั้น ไม่ใช้เพื่อวัตถุประสงค์ของตนเอง
11. การเปลี่ยนแปลงนโยบาย
หากมีการเปลี่ยนแปลงเนื้อหาสำคัญของนโยบายฉบับนี้ เราจะแจ้งให้คุณทราบทางอีเมล และขอความยินยอมใหม่ก่อนบังคับใช้
เวอร์ชันปัจจุบัน: 1.0 (24 เมษายน 2026)
12. การร้องเรียน
หากคุณไม่พอใจการจัดการข้อมูลของเรา สามารถร้องเรียนไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ได้ที่ pdpc.or.th