นโยบายคุ้มครองข้อมูลส่วนบุคคล (PDPA)

ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

1. ผู้ควบคุมข้อมูลส่วนบุคคล

CapybaraChatbot ตั้งอยู่ที่ประเทศไทย เป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ของลูกค้าที่สมัครใช้บริการ และเป็น Data Processor สำหรับข้อมูลผู้ใช้ปลายทางที่ลูกค้านำมาใช้กับ chatbot

2. ข้อมูลส่วนบุคคลที่เก็บ

เราเก็บข้อมูลส่วนบุคคลของลูกค้าและผู้ใช้ปลายทางดังนี้:

  • ข้อมูลของลูกค้า: ชื่อ-นามสกุล, อีเมล, ชื่อบริษัท, เบอร์โทร (ถ้าให้)
  • ข้อมูลผู้ใช้ปลายทาง: เนื้อหาบทสนทนา, ข้อมูลที่ผู้ใช้ส่งให้ chatbot (เช่น ชื่อ เบอร์ อีเมลที่ฝากไว้)
  • Cookies: เฉพาะ session cookie สำหรับยืนยันตัวตน — ไม่มี tracking cookies

3. วัตถุประสงค์ในการเก็บ

  • เพื่อให้บริการ chatbot ตามที่ลูกค้าตั้งค่า
  • เพื่อคิดค่าใช้บริการตามแพ็คเกจ
  • เพื่อปรับปรุงบริการ (ข้อมูลถูก anonymize)
  • เพื่อปฏิบัติตามกฎหมายและสัญญา

4. ฐานทางกฎหมายในการประมวลผล

เราประมวลผลข้อมูลส่วนบุคคลโดยอาศัยฐาน:

  • ความจำเป็นในการปฏิบัติตามสัญญา (สัญญาบริการกับลูกค้า)
  • ความยินยอม (จากผู้ใช้ปลายทางผ่าน chatbot ที่ลูกค้าตั้งให้ขอ consent)
  • ประโยชน์โดยชอบด้วยกฎหมาย (การปรับปรุงบริการ การรักษาความปลอดภัย)

5. การส่งข้อมูลไปต่างประเทศ

ข้อมูลของท่านอาจถูกส่งไปประมวลผลในต่างประเทศ ผ่านบริการของ:

  • Anthropic (สหรัฐอเมริกา) — สำหรับ AI Claude
  • OpenAI (สหรัฐอเมริกา) — สำหรับ AI GPT-4o mini
  • Stripe (สหรัฐอเมริกา) — สำหรับการชำระเงิน
  • Vercel (สหรัฐอเมริกา / Singapore) — สำหรับ hosting
  • Supabase (Singapore) — สำหรับฐานข้อมูล

ทุก provider มี Standard Contractual Clauses (SCC) หรือมาตรการคุ้มครองที่เหมาะสม

6. ระยะเวลาเก็บข้อมูล

  • ข้อมูลบัญชีลูกค้า: เก็บตลอดอายุการใช้บริการ + 30 วันหลังยกเลิก
  • ข้อมูลทางบัญชี/ภาษี: เก็บตามที่กฎหมายกำหนด (7 ปี ตามประมวลรัษฎากร)
  • ข้อมูลผู้ใช้ปลายทาง: ตามที่ลูกค้ากำหนด สูงสุด 12 เดือนนับจากการสนทนาสุดท้าย
  • Log การใช้งาน: 90 วัน

7. สิทธิของเจ้าของข้อมูลตาม PDPA

ท่านมีสิทธิดังต่อไปนี้:

  • สิทธิเข้าถึง ขอสำเนาข้อมูลส่วนบุคคลของตน
  • สิทธิคัดค้าน การประมวลผลในบางกรณี
  • สิทธิแก้ไข ข้อมูลที่ไม่ถูกต้อง
  • สิทธิลบ (Right to be Forgotten)
  • สิทธิระงับ การใช้ข้อมูลชั่วคราว
  • สิทธิให้โอน (Data Portability) — ขอข้อมูลในรูปแบบ structured (JSON/CSV)
  • สิทธิเพิกถอนความยินยอม ในเวลาใดก็ได้

การใช้สิทธิติดต่อ: privacy@capybarachatbot.com — เราจะตอบกลับภายใน 30 วัน

8. มาตรการรักษาความปลอดภัย

  • การเข้ารหัสข้อมูลทั้งระหว่างการส่ง (TLS 1.3) และที่จัดเก็บ (AES-256)
  • การควบคุมการเข้าถึงด้วย role-based access control
  • การ backup ข้อมูลแบบ encrypted ทุกวัน
  • การ audit log การเข้าถึงข้อมูล
  • การฝึกอบรมพนักงานเรื่อง data protection

9. การละเมิดข้อมูล (Data Breach)

ในกรณีเกิดเหตุการณ์ละเมิดข้อมูลที่อาจส่งผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูล เราจะ:

  • แจ้ง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมง
  • แจ้งเจ้าของข้อมูลโดยตรง (กรณีมีความเสี่ยงสูง)
  • ดำเนินมาตรการแก้ไขและป้องกัน

10. ติดต่อเจ้าหน้าที่คุ้มครองข้อมูล (DPO)

อีเมล: dpo@capybarachatbot.com

หากไม่ได้รับการตอบกลับที่น่าพอใจ ท่านสามารถยื่นเรื่องร้องเรียนต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ที่ pdpc.or.th

ดูเพิ่มเติม: ข้อกำหนดการใช้บริการ · นโยบายความเป็นส่วนตัว