นโยบายความเป็นส่วนตัวและ PDPA ของ Catarot
เอกสารนี้อธิบายว่า catarot.love โดย บริษัท ซุยซุย เทค จำกัด เก็บ ใช้ เปิดเผย และดูแลข้อมูลส่วนบุคคลของผู้ใช้อย่างไร โดยครอบคลุมบัญชีผู้ใช้ โปรไฟล์ คำทำนาย แชท การชำระเงิน สลิป Analytics และข้อมูลอุปกรณ์ที่เกี่ยวข้องกับการให้บริการ
ผู้ควบคุมข้อมูล
ผู้ควบคุมข้อมูลส่วนบุคคลคือ บริษัท ซุยซุย เทค จำกัด (SUISUI TECH CO., LTD.)ผู้พัฒนาและให้บริการ catarot.love ซึ่งเป็นบริการ AI Tarot และคำแนะนำด้านความรักผ่านระบบดิจิทัล
ช่องทางติดต่อหลัก: เว็บไซต์ suisui.co.th, อีเมล [email protected], โทรศัพท์ 065-403-2410 หรือหน้า ติดต่อเรา
ข้อมูลที่เราเก็บ
เราเก็บข้อมูลเท่าที่จำเป็นต่อการสร้างบัญชี ให้บริการคำทำนาย แชท จัดการเหรียญ ตรวจสอบการชำระเงิน ดูแลความปลอดภัย วิเคราะห์การใช้งาน และสนับสนุนผู้ใช้
| หมวดข้อมูล | ตัวอย่างข้อมูล |
|---|---|
| บัญชีผู้ใช้ | uid, email, display name, photo, provider ids และการเข้าสู่ระบบผ่าน Firebase Auth, Google, Facebook, LINE หรือเบอร์โทร |
| โปรไฟล์ | nickname, birthdate, notification preferences, referral source และ referral code |
| เบอร์โทร | เลขท้าย 4 หลัก, hash ของเบอร์โทร, เวลาการยืนยันตัวตน และข้อมูลที่เกี่ยวข้องกับ phone verification |
| คำทำนายและแชท | คำถามที่ผู้ใช้ส่งเข้า AI, วันเกิดหรือชื่อที่ผู้ใช้กรอก, interpretation, chat rooms และ Luna memory |
| การชำระเงิน | PromptPay QR, package, amount, payment history, slip image base64, image hash, slip result และ provider attempts |
| Analytics และอุปกรณ์ | cookie consent, screen events, active user heartbeat, device info, last screen และหน้าที่ใช้งาน |
| Admin และ audit | admin logs, slip approvals, finance analytics, readings analytics และประวัติการดำเนินการเพื่อความปลอดภัย |
วัตถุประสงค์และฐานกฎหมาย
เราใช้ฐานกฎหมายตามลักษณะข้อมูลและกิจกรรม เช่น สัญญา ความยินยอม ประโยชน์อันชอบธรรม หน้าที่ตามกฎหมาย หรือการก่อตั้ง ใช้ หรือยกขึ้นต่อสู้สิทธิเรียกร้อง
| วัตถุประสงค์ | ข้อมูลที่เกี่ยวข้อง | ฐานกฎหมาย |
|---|---|---|
| สร้างบัญชีและให้บริการ Catarot | ข้อมูลบัญชี โปรไฟล์ ประวัติคำทำนาย เหรียญ และการใช้งานหลัก | สัญญา |
| ประมวลผลคำทำนาย แชท และ Luna memory | คำถาม วันเกิด ชื่อ ข้อความแชท และผลคำทำนาย | สัญญา และความยินยอมโดยชัดแจ้งเมื่อมีข้อมูลอ่อนไหว |
| ยืนยันเบอร์และรักษาความปลอดภัยบัญชี | hash เบอร์ เลขท้าย 4 หลัก เวลา verify อุปกรณ์ และ event ความปลอดภัย | ประโยชน์อันชอบธรรม |
| ตรวจสลิป ป้องกันสลิปซ้ำ และ fraud | slip image, image hash, amount, package, provider attempts และ audit result | ประโยชน์อันชอบธรรม |
| เก็บหลักฐานธุรกรรม บัญชี ภาษี และข้อพิพาท | payment history, invoice/reference, amount และผลการตรวจสอบ | หน้าที่ตามกฎหมาย หรือสิทธิเรียกร้อง |
| วิเคราะห์และปรับปรุงบริการ | analytics, screen events, device info และ usage pattern แบบจำกัดเท่าที่จำเป็น | ความยินยอม หรือประโยชน์อันชอบธรรมตามบริบท |
| สื่อสารข่าวสาร โปรโมชัน หรือ marketing | notification preferences, email, provider contact และ cookie/analytics ที่เกี่ยวข้อง | ความยินยอม |
ข้อมูลอ่อนไหวและ AI
ข้อความที่ผู้ใช้พิมพ์ในหมวด Health, Relationship, Chat หรือคำถามส่วนตัวอาจมีข้อมูลที่ PDPA มาตรา 26 ถือเป็นข้อมูลอ่อนไหว เช่น สุขภาพ ความสัมพันธ์ ความเชื่อ หรือสภาพจิตใจ เราจะประมวลผลเฉพาะเมื่อจำเป็นต่อบริการ และควรขอความยินยอมโดยชัดแจ้งก่อนใช้งานฟีเจอร์ที่มีความเสี่ยงดังกล่าว
Catarot เป็นบริการเพื่อความบันเทิง การสะท้อนตนเอง และคำแนะนำเชิงทั่วไป ไม่ใช่คำแนะนำทางการแพทย์ กฎหมาย การเงิน หรือคำปรึกษาวิชาชีพ ผู้ใช้ควรหลีกเลี่ยงการส่งข้อมูลอ่อนไหวเกินจำเป็นเข้าสู่ระบบ AI
ผู้รับข้อมูลและผู้ประมวลผล
เราอาจเปิดเผยหรือส่งข้อมูลให้ผู้ให้บริการที่จำเป็นต่อการให้บริการ โดยผู้ให้บริการเหล่านี้ทำหน้าที่ตามคำสั่ง เงื่อนไขสัญญา มาตรการความปลอดภัย และวัตถุประสงค์ที่แจ้งไว้
- Firebase / Google Cloud สำหรับ authentication, database, hosting, analytics และ infrastructure ที่เกี่ยวข้อง
- OpenAI หรือผู้ให้บริการ AI ที่เกี่ยวข้อง เพื่อประมวลผลคำถาม คำทำนาย และบทสนทนาที่ผู้ใช้ส่งเข้าระบบ
- SlipThunder และ EasySlip สำหรับตรวจสอบสลิป โอนเงิน และลดความเสี่ยงจากธุรกรรมซ้ำหรือธุรกรรมผิดปกติ
- LINE, Facebook และ Google สำหรับ social login, provider authentication หรือช่องทางติดต่อที่ผู้ใช้เลือกใช้
- ผู้ให้บริการ SMS/phone OTP, reCAPTCHA, security monitoring และระบบที่จำเป็นต่อการยืนยันตัวตน
- ผู้ดูแลระบบของ SUISUI Tech เฉพาะเท่าที่จำเป็นตามสิทธิ์ RBAC, audit log และกระบวนการอนุมัติที่เกี่ยวข้อง
การโอนข้อมูลไปต่างประเทศ
ผู้ให้บริการบางราย เช่น Firebase, Google Cloud, OpenAI หรือระบบชำระเงินและยืนยันตัวตนบางส่วน อาจมีการประมวลผลหรือเก็บข้อมูลบน server นอกประเทศไทย เราจะใช้ผู้ให้บริการที่มีมาตรการรักษาความปลอดภัยเหมาะสม และดำเนินการตามเงื่อนไขการโอนข้อมูลข้ามประเทศที่กฎหมายกำหนดเท่าที่ใช้บังคับ
ระยะเวลาเก็บรักษา
| ข้อมูล | ระยะเวลาและหลักเกณฑ์ |
|---|---|
| บัญชีและโปรไฟล์ | เก็บตราบเท่าที่บัญชียังเปิดใช้งาน หรือจนกว่าผู้ใช้ร้องขอลบ เว้นแต่ต้องเก็บต่อเพื่อหน้าที่ตามกฎหมายหรือข้อพิพาท |
| คำทำนายและแชท | เก็บเพื่อให้ผู้ใช้กลับมาดูประวัติและให้บริการต่อเนื่อง โดยผู้ใช้สามารถร้องขอลบหรือทำให้ไม่ระบุตัวตนได้ตามเงื่อนไขที่กฎหมายกำหนด |
| Slip image | ควรกำหนดให้เก็บรูปเต็มในระยะสั้นเท่าที่จำเป็นต่อการอนุมัติ ปฏิเสธ อุทธรณ์ หรือป้องกัน fraud จากนั้นเก็บเฉพาะ hash/ref/amount เพื่อ audit |
| ประวัติชำระเงิน | เก็บตามระยะเวลาที่จำเป็นต่อบัญชี ภาษี การตรวจสอบภายใน และการใช้สิทธิเรียกร้องตามกฎหมาย |
| Analytics และ cookies | เก็บตามอายุคุกกี้หรือระยะเวลาวิเคราะห์ที่เหมาะสม และผู้ใช้สามารถเปลี่ยนความยินยอมได้เมื่อระบบรองรับ |
| Audit และ security logs | เก็บเท่าที่จำเป็นเพื่อรักษาความปลอดภัย ตรวจสอบเหตุผิดปกติ และพิสูจน์การดำเนินการของระบบ |
คุกกี้ Analytics และ Marketing
คุกกี้ที่จำเป็นใช้เพื่อให้เว็บไซต์และบริการทำงาน เช่น การรักษาสถานะ session ความปลอดภัย ภาษา และสถานะการยินยอมคุกกี้ จึงอาจไม่สามารถปิดได้ ส่วนคุกกี้ analytics, marketing หรือ tracking อื่น ๆ จะใช้เมื่อมีฐานความยินยอมหรือฐานกฎหมายที่เหมาะสม และผู้ใช้ควรสามารถเปลี่ยนใจได้ผ่านหน้าตั้งค่าคุกกี้เมื่อระบบรองรับ
สิทธิของผู้ใช้
ผู้ใช้มีสิทธิตาม PDPA ภายใต้เงื่อนไขและข้อยกเว้นที่กฎหมายกำหนด ดังนี้
- ขอเข้าถึงข้อมูลส่วนบุคคลและขอรับสำเนาข้อมูล
- ขอแก้ไขข้อมูลที่ไม่ถูกต้อง ไม่สมบูรณ์ หรือไม่เป็นปัจจุบัน
- ขอลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุตัวบุคคลได้ เมื่อเข้าเงื่อนไขตามกฎหมาย
- ถอนความยินยอมที่เคยให้ไว้ โดยการถอนจะไม่กระทบการประมวลผลที่ชอบด้วยกฎหมายก่อนถอน
- คัดค้านหรือขอจำกัดการใช้ข้อมูลส่วนบุคคลในบางกรณี
- ขอรับหรือโอนย้ายข้อมูลในรูปแบบที่อ่านหรือใช้งานต่อได้เมื่อระบบรองรับและเข้าเงื่อนไข
- ร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หากเห็นว่าการประมวลผลไม่เป็นไปตามกฎหมาย
ความปลอดภัยและเหตุละเมิดข้อมูล
เราใช้มาตรการด้านเทคนิคและองค์กร เช่น HTTPS/TLS, Firebase security rules, Admin SDK, RBAC สำหรับผู้ดูแลระบบ, rate limit, audit log และ slip duplicate guard เพื่อลดความเสี่ยงจากการเข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต
หากเกิดเหตุละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล เราจะดำเนินการตาม PDPA รวมถึงแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยเร็วและภายใน 72 ชั่วโมงเมื่อทำได้ และแจ้งผู้ใช้ที่ได้รับผลกระทบหากมีความเสี่ยงสูง
วิธีติดต่อเรา
หากต้องการใช้สิทธิ สอบถามเรื่อง PDPA หรือแจ้งปัญหาเกี่ยวกับข้อมูลส่วนบุคคล โปรดติดต่อ บริษัท ซุยซุย เทค จำกัด ผ่านอีเมล [email protected]หรือโทร 065-403-2410