นโยบายความเป็นส่วนตัว

มีผลบังคับใช้ตั้งแต่วันที่ 25 มิถุนายน 2569

เป็นไปตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

สรุปสั้นๆ: เราเก็บเฉพาะข้อมูลที่จำเป็น ไม่ขายข้อมูลของคุณให้ใคร ข้อมูลแชทของคุณไม่ถูกอ่านโดยทีมงาน และคุณมีสิทธิ์ลบข้อมูลตัวเองได้ทุกเมื่อ

1. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

Pinkora ทำหน้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลตาม PDPA ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของคุณตามที่ระบุในนโยบายนี้

ช่องทางติดต่อเจ้าหน้าที่คุ้มครองข้อมูล (DPO): privacy@pinkora.com

2. ข้อมูลที่เราเก็บรวบรวม

ข้อมูลที่คุณให้โดยตรง:

  • • อีเมลและรหัสผ่าน (สำหรับการสมัครและเข้าสู่ระบบ)
  • • ชื่อที่แสดง (Display Name) และ Username
  • • รูปโปรไฟล์ที่คุณอัพโหลด
  • • ข้อมูลการยืนยันอายุ 18+
  • • ข้อมูลการชำระเงิน (ประมวลผลโดย Stripe — เราไม่เก็บหมายเลขบัตรโดยตรง)

ข้อมูลที่เกิดจากการใช้งาน:

  • • ข้อความที่สนทนากับตัวละคร AI (จัดเก็บเพื่อ Memory ของระบบ AI)
  • • ตัวละครที่คุณสร้าง รูปภาพที่อัพโหลด
  • • ระดับ Intimacy และสถานะความสัมพันธ์กับตัวละคร
  • • ประวัติการทำธุรกรรม Kora
  • • Log การเข้าใช้งาน (IP address, device type, timestamp)

ข้อมูลที่ได้รับโดยอัตโนมัติ:

  • • Cookies และ Local Storage สำหรับ session management
  • • ข้อมูล analytics การใช้งาน (anonymous, ไม่ระบุตัวตน)

3. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผล

วัตถุประสงค์ฐานทางกฎหมาย
ให้บริการแพลตฟอร์มสนทนา AIการปฏิบัติตามสัญญา (มาตรา 24(3))
ประมวลผลการชำระเงินการปฏิบัติตามสัญญา
ส่งอีเมลแจ้งเตือนสำคัญการปฏิบัติตามสัญญา
ปรับปรุงคุณภาพบริการ AIประโยชน์อันชอบธรรม (มาตรา 24(5))
ป้องกันการฉ้อโกงและการใช้งานผิดวัตถุประสงค์ประโยชน์อันชอบธรรม
ส่งข่าวสารและโปรโมชั่น (marketing)ความยินยอม (มาตรา 19) — ยกเลิกได้ทุกเมื่อ
ปฏิบัติตามข้อกำหนดทางกฎหมายพันธะทางกฎหมาย (มาตรา 24(6))

4. การเปิดเผยข้อมูลให้บุคคลที่สาม

เราไม่ขายข้อมูลส่วนบุคคลของคุณ เราอาจเปิดเผยข้อมูลในกรณีต่อไปนี้เท่านั้น:

  • ผู้ให้บริการ (Service Providers): Supabase (database/auth), Stripe (payment), Vercel (hosting), OpenAI/OpenRouter (AI processing) — ทุกรายมีสัญญาคุ้มครองข้อมูล
  • ตามคำสั่งศาลหรือหน่วยงานรัฐ: เมื่อมีหมายศาลหรือคำสั่งทางกฎหมายที่ชอบด้วยกฎหมาย
  • การควบรวมกิจการ: หากมีการขายหรือควบรวม คุณจะได้รับแจ้งล่วงหน้าและมีสิทธิ์ลบข้อมูล

ข้อมูลแชทของคุณไม่ถูกอ่านโดยทีมงาน ยกเว้นในกรณีที่จำเป็นเพื่อการสอบสวนทางกฎหมายหรือความปลอดภัยของระบบ

5. สิทธิ์ของเจ้าของข้อมูล (สิทธิ์ตาม PDPA)

ในฐานะเจ้าของข้อมูลส่วนบุคคล คุณมีสิทธิ์ดังต่อไปนี้:

สิทธิ์เข้าถึงข้อมูล

ขอดูข้อมูลที่เราเก็บไว้เกี่ยวกับคุณ

สิทธิ์แก้ไขข้อมูล

ขอแก้ไขข้อมูลที่ไม่ถูกต้อง

สิทธิ์ลบข้อมูล

ขอให้ลบข้อมูลส่วนบุคคลของคุณ

สิทธิ์คัดค้าน

คัดค้านการประมวลผลข้อมูลบางอย่าง

สิทธิ์โอนข้อมูล

ขอรับข้อมูลในรูปแบบที่โอนได้

สิทธิ์ถอนความยินยอม

ยกเลิก marketing email ได้ทันที

ใช้สิทธิ์ได้ผ่าน My Profile หรือติดต่อ privacy@pinkora.com เราจะตอบกลับภายใน 30 วัน

6. ระยะเวลาการเก็บข้อมูล

ประเภทข้อมูลระยะเวลา
ข้อมูลบัญชีผู้ใช้ตลอดอายุบัญชี + 90 วันหลังลบบัญชี
ประวัติแชทตลอดอายุบัญชี (ลบได้เองใน Settings)
ประวัติการชำระเงิน5 ปี (ตามกฎหมายบัญชีและภาษี)
Log การเข้าใช้งาน90 วัน
ข้อมูล Marketingจนกว่าจะถอนความยินยอม

7. ความปลอดภัยของข้อมูล

เราใช้มาตรการรักษาความปลอดภัยระดับอุตสาหกรรม ได้แก่:

  • • การเข้ารหัส HTTPS/TLS สำหรับข้อมูลระหว่างการส่ง
  • • การเข้ารหัสข้อมูลในฐานข้อมูล (Encryption at rest)
  • • Row Level Security (RLS) — แต่ละ user เข้าถึงได้เฉพาะข้อมูลตัวเอง
  • • รหัสผ่านถูก hash โดย bcrypt ก่อนจัดเก็บ
  • • การตรวจสอบสิทธิ์สองชั้น (2FA) สำหรับบัญชีทีมงาน

แม้เราจะใช้มาตรการที่ดีที่สุด แต่ไม่มีระบบใดที่ปลอดภัย 100% หากพบเหตุการณ์ข้อมูลรั่วไหล เราจะแจ้งให้ทราบภายใน 72 ชั่วโมงตามที่ PDPA กำหนด

8. Cookies และ Tracking

เราใช้ Cookies เพื่อ:

  • Session cookies: จำเป็นสำหรับการล็อกอิน (ไม่สามารถปิดได้)
  • Preference cookies: บันทึกการตั้งค่าของคุณ
  • Analytics cookies: ติดตามการใช้งานแบบ anonymous เพื่อปรับปรุงบริการ

คุณสามารถปฏิเสธ analytics cookies ได้ผ่าน Settings โดยไม่กระทบการใช้งานหลัก

9. การส่งข้อมูลออกนอกประเทศ

บริการของเราใช้โครงสร้างพื้นฐานจากผู้ให้บริการต่างประเทศ ข้อมูลของคุณอาจถูกประมวลผลในสหรัฐอเมริกาและสหภาพยุโรป

ผู้ให้บริการทุกรายที่เราใช้ปฏิบัติตามมาตรฐานความปลอดภัยสากล (SOC 2, ISO 27001 หรือเทียบเท่า) และมีข้อตกลง Data Processing Agreement (DPA) กับเรา

10. การเปลี่ยนแปลงนโยบาย

หากมีการเปลี่ยนแปลงสาระสำคัญของนโยบายนี้ เราจะแจ้งให้ทราบผ่านอีเมลที่ลงทะเบียนไว้ล่วงหน้าอย่างน้อย 30 วัน การใช้งานต่อเนื่องถือว่ายอมรับนโยบายที่เปลี่ยนแปลง

ติดต่อเจ้าหน้าที่คุ้มครองข้อมูล (DPO)

สำหรับคำถาม ร้องเรียน หรือการใช้สิทธิ์ตาม PDPA กรุณาติดต่อ privacy@pinkora.com — เราจะตอบกลับภายใน 30 วัน

หากไม่ได้รับการตอบสนอง คุณมีสิทธิ์ร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)