นโยบายความเป็นส่วนตัว

1. ข้อมูลที่เราเก็บรวบรวม

1.1 ข้อมูลที่คุณให้แก่เรา

• ข้อมูลบัญชี: ชื่อปลอม (Anonymous Name), อีเมล, รหัสผ่าน (เข้ารหัสแล้ว), รูปโปรไฟล์
• เนื้อหาที่สร้าง: โพสต์ไดอารี่, ความคิดเห็น, Emotions (Like, Sad, Happy)
• การสนทนากับ AI Bot: ข้อความแชทที่เข้ารหัสด้วย AES-256 (เก็บไว้ 10 ข้อความล่าสุด)
• ข้อมูลการชำระเงิน: ข้อมูลการชำระเงินผ่าน Stripe (เราไม่เก็บข้อมูลบัตรเครดิต)

1.2 ข้อมูลที่เก็บอัตโนมัติ

• ข้อมูลการใช้งาน: หน้าที่เข้าชม, เวลาที่ใช้, การกระทำต่างๆ
• ข้อมูลอุปกรณ์: IP Address, ประเภทเบราว์เซอร์, ระบบปฏิบัติการ
• Cookies: เพื่อปรับปรุงประสบการณ์การใช้งาน (ดูรายละเอียดในส่วน Cookies)
• Analytics: Google Analytics 4 เพื่อวิเคราะห์การใช้งาน

1.3 ข้อมูลจากบุคคลที่สาม

• Google Sign-In: ชื่อ, อีเมล, รูปโปรไฟล์ (หากคุณเลือกเข้าสู่ระบบด้วย Google)
• Firebase Authentication: UID สำหรับระบุตัวตน

2. วัตถุประสงค์ในการใช้ข้อมูล

เราใช้ข้อมูลส่วนบุคคลของคุณเพื่อ:

• การให้บริการ: สร้างบัญชี, บันทึกไดอารี่, แชทกับ AI Bot, ระบบเพื่อน
• การปรับปรุงบริการ: วิเคราะห์การใช้งาน, ปรับปรุงฟีเจอร์
• ความปลอดภัย: ตรวจจับและป้องกันการใช้งานที่ผิดกฎหมาย
• การสื่อสาร: ส่งการแจ้งเตือน, อัปเดตบริการ (ผ่าน email หรือ push notification)
• การดูแลสุขภาพจิต: AI Risk Detection และแนะนำบริการจิตแพทย์ (เฉพาะเมื่อมี Risk Score ≥0.7)
• การชำระเงิน: ประมวลผลการสมัคร Premium และคอร์ส CBT
• การปฏิบัติตามกฎหมาย: ปฏิบัติตามคำสั่งศาล, กฎหมาย, ระเบียบราชการ

3. ฐานทางกฎหมายในการประมวลผล

เราประมวลผลข้อมูลของคุณตามฐานกฎหมายดังนี้:

• ความยินยอม (Consent): คุณให้ความยินยอมในการเก็บและใช้ข้อมูล
• การปฏิบัติตามสัญญา (Contract): เพื่อให้บริการตาม Terms of Service
• ผลประโยชน์อันชอบธรรม (Legitimate Interest): ปรับปรุงบริการ, ความปลอดภัย
• การปฏิบัติตามกฎหมาย (Legal Obligation): เมื่อกฎหมายกำหนด

4. การเปิดเผยข้อมูลแก่บุคคลที่สาม

เราอาจเปิดเผยข้อมูลของคุณแก่:

• ผู้ให้บริการ (Service Providers):
  • Firebase / Google Cloud - โฮสติ้งและฐานข้อมูล
  • Vercel - การ deploy เว็บไซต์
  • Stripe - ประมวลผลการชำระเงิน
  • xAI (Grok API) - AI Chatbot (ข้อความเข้ารหัส)
  • Google Analytics - วิเคราะห์การใช้งาน
• คลินิกจิตแพทย์พันธมิตร: เฉพาะเมื่อคุณเลือกใช้บริการปรึกษาจิตแพทย์
• เจ้าหน้าที่รัฐ: เมื่อมีคำสั่งศาล หรือกฎหมายกำหนด
• ผู้ใช้งานอื่น: โพสต์ที่เป็น Public และ Comments (ตามการตั้งค่าความเป็นส่วนตัว)

หมายเหตุ: เราไม่ขายข้อมูลส่วนบุคคลของคุณให้บุคคลที่สาม

5. การโอนข้อมูลข้ามประเทศ

ข้อมูลของคุณอาจถูกโอนและจัดเก็บบนเซิร์ฟเวอร์นอกประเทศไทย เช่น:

• Firebase Firestore: เซิร์ฟเวอร์ใน Singapore (asia-southeast1)
• Vercel: CDN region sin1 (Singapore)
• Stripe: สหรัฐอเมริกา
• xAI Grok API: สหรัฐอเมริกา

เราดำเนินการโอนข้อมูลภายใต้มาตรการคุ้มครองที่เหมาะสม เช่น Standard Contractual Clauses (SCCs) และ Data Processing Agreements ตาม PDPA มาตรา 28

6. ระยะเวลาการเก็บรักษาข้อมูล

• ข้อมูลบัญชี: จนกว่าคุณจะลบบัญชี + 5 ปี (ตามกฎหมาย PDPA)
• โพสต์และความคิดเห็น: จนกว่าคุณจะลบ หรือลบบัญชี
• ประวัติการแชท AI: 10 ข้อความล่าสุด (ลบอัตโนมัติเมื่อเกิน)
• การชำระเงิน: 7 ปี (ตามกฎหมายภาษีและบัญชี)
• User Consent Records: 5 ปี (ตามกฎหมาย PDPA)
• Analytics: 26 เดือน (ตามนโยบาย Google Analytics)

7. สิทธิของเจ้าของข้อมูล (ตาม PDPA)

คุณมีสิทธิต่อไปนี้:

• สิทธิในการเข้าถึงข้อมูล (Right to Access): ขอดูข้อมูลส่วนบุคคลที่เราเก็บไว้
• สิทธิในการแก้ไข (Right to Rectification): แก้ไขข้อมูลที่ไม่ถูกต้อง
• สิทธิในการลบข้อมูล (Right to Erasure): ขอลบข้อมูลของคุณ
• สิทธิในการระงับการใช้ (Right to Restriction): ขอระงับการใช้ข้อมูลชั่วคราว
• สิทธิในการโอนย้ายข้อมูล (Right to Data Portability): ขอรับข้อมูลในรูปแบบ PDF/Excel
• สิทธิในการคัดค้าน (Right to Object): คัดค้านการประมวลผลข้อมูล
• สิทธิในการถอนความยินยอม (Right to Withdraw Consent): ถอนความยินยอมได้ตลอดเวลา

วิธีใช้สิทธิ: ติดต่อเราที่ privacy@บันทึกนิรนาม.com หรือใช้ฟอร์ม Data Subject Access Request (DSAR) ในหน้า Account

8. Cookies และเทคโนโลยีติดตาม

เราใช้ Cookies เพื่อ:

• Cookies ที่จำเป็น (Necessary): Authentication, Session management
• Cookies เพื่อการทำงาน (Functional): จำการตั้งค่าของคุณ (ธีม, ภาษา)
• Cookies เพื่อวิเคราะห์ (Analytics): Google Analytics - วิเคราะห์การใช้งาน
• Cookies เพื่อการตลาด (Marketing): ยังไม่ได้ใช้งาน

คุณสามารถจัดการ Cookies ได้ผ่านการตั้งค่าเบราว์เซอร์ หรือ Cookie Consent Banner (ปุ่มตั้งค่า Cookies ที่มุมล่างซ้าย)

9. ความปลอดภัยของข้อมูล

เราใช้มาตรการความปลอดภัยดังนี้:

• การเข้ารหัส: HTTPS/TLS สำหรับการส่งข้อมูล, AES-256 สำหรับการแชท AI
• Firebase Security Rules: จำกัดการเข้าถึงข้อมูลตาม User UID
• Password Hashing: bcrypt กับ salt rounds
• API Token Verification: ตรวจสอบ Firebase ID Token ทุกครั้ง
• Rate Limiting: จำกัดจำนวน requests เพื่อป้องกัน DDoS
• Backup: สำรองข้อมูลอัตโนมัติทุกวัน

การแจ้งเหตุละเมิดข้อมูล: หากเกิดการละเมิดข้อมูลส่วนบุคคล เราจะแจ้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ภายใน 72 ชั่วโมง และแจ้งคุณโดยทันที (ตาม PDPA มาตรา 37)

10. เด็กและผู้เยาว์

บริการของเราเหมาะสำหรับผู้ใช้อายุ 13 ปีขึ้นไป สำหรับผู้ใช้อายุต่ำกว่า 20 ปี ต้องได้รับความยินยอมจากผู้ปกครองตาม PDPA มาตรา 9 หากเราพบว่ามีการเก็บข้อมูลเด็กโดยไม่ได้รับความยินยอม จะลบข้อมูลทันที

11. การเปลี่ยนแปลงนโยบาย

เราอาจปรับปรุงนโยบายนี้เป็นครั้งคราว การเปลี่ยนแปลงจะมีผลทันทีเมื่อโพสต์บนเว็บไซต์ เราจะแจ้งให้คุณทราบผ่านอีเมล หรือ notification หากมีการเปลี่ยนแปลงสำคัญ คุณควรตรวจสอบนโยบายนี้เป็นประจำ

12. ข้อมูลติดต่อ