ii23-store

นโยบายความเป็นส่วนตัว

มีผลบังคับใช้: 10 พฤษภาคม 2569 (2026)

ii23-store ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เอกสารนี้อธิบายว่าเราเก็บ ใช้ และปกป้องข้อมูลของคุณอย่างไร

1. ข้อมูลที่เราเก็บ

เราเก็บเฉพาะข้อมูลที่จำเป็นต่อการให้บริการ:

  • ข้อมูลบัญชี: อีเมล, ชื่อ, รูปโปรไฟล์ (จาก Google OAuth)
  • ข้อมูลการซื้อ: รายการสินค้า, จำนวนเงิน, วันที่ซื้อ
  • ข้อมูลการใช้งาน: log การเข้าถึง, ดาวน์โหลด เพื่อความปลอดภัย
  • เราไม่เก็บข้อมูลบัตรเครดิต — Stripe จัดการทั้งหมด

2. วัตถุประสงค์การใช้ข้อมูล

  • เพื่อยืนยันตัวตนและให้สิทธิ์เข้าถึงสินค้า
  • เพื่อประมวลผลการชำระเงินและส่งมอบสินค้า
  • เพื่อตอบคำถาม support และแก้ไขปัญหา
  • เพื่อปฏิบัติตามภาระผูกพันทางกฎหมาย

3. ฐานทางกฎหมายในการประมวลผล (PDPA)

  • การปฏิบัติตามสัญญา (มาตรา 24(3)) — เพื่อส่งมอบสินค้าที่คุณซื้อ
  • ความยินยอม (มาตรา 19) — เมื่อคุณสมัครและตกลงตามข้อกำหนด
  • ผลประโยชน์โดยชอบด้วยกฎหมาย (มาตรา 24(5)) — ป้องกันการฉ้อโกง, ดูแลความปลอดภัย

4. ผู้ประมวลผลข้อมูล (Data Processors)

เราใช้บริการบุคคลที่สามเพื่อประมวลผลข้อมูล:

  • Convex (database, auth) — host ที่ US
  • Google (OAuth login) — ตามนโยบายของ Google
  • Stripe (payment) — ตามนโยบายของ Stripe, certified PCI DSS Level 1
  • Cloudflare R2 (file storage) — host file ที่ region global
  • Vercel (hosting) — host เว็บที่ US/SG

ผู้ให้บริการเหล่านี้ผูกพันด้วยสัญญาประมวลผลข้อมูล (DPA) และมาตรฐานความปลอดภัยระดับสากล

5. การโอนข้อมูลข้ามประเทศ

เนื่องจาก Convex, Stripe, Vercel host server นอกประเทศไทย ข้อมูลของคุณอาจถูกโอนไปยังต่างประเทศ เราใช้ผู้ให้บริการที่มีมาตรฐานคุ้มครองข้อมูลเทียบเท่าหรือสูงกว่า PDPA เช่น GDPR (ยุโรป), CCPA (สหรัฐ)

6. ระยะเวลาเก็บข้อมูล

  • ข้อมูลบัญชี: ตลอดอายุการใช้งาน + 1 ปีหลังลบบัญชี (สำหรับการตรวจสอบ)
  • ข้อมูลการชำระเงิน: 7 ปี (ตามประมวลรัษฎากร)
  • Log การเข้าถึง: 90 วัน

7. สิทธิของเจ้าของข้อมูล (PDPA)

คุณมีสิทธิดังนี้:

  • สิทธิเข้าถึงและขอสำเนาข้อมูล (มาตรา 30)
  • สิทธิแก้ไขให้ถูกต้อง (มาตรา 35)
  • สิทธิลบข้อมูล (right to be forgotten) (มาตรา 33)
  • สิทธิคัดค้านการประมวลผล (มาตรา 32)
  • สิทธิระงับการใช้ข้อมูล (มาตรา 34)
  • สิทธิขอโอนย้ายข้อมูล (data portability) (มาตรา 31)
  • สิทธิยื่นคำร้องต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ส่งคำร้องมาที่ andrew.ii23.dev@gmail.com เราจะดำเนินการภายใน 30 วัน

8. มาตรการความปลอดภัย

  • เข้ารหัสการเชื่อมต่อด้วย HTTPS/TLS
  • Database เข้ารหัส at-rest
  • ไฟล์สินค้าเข้าถึงผ่าน signed URL ที่หมดอายุได้
  • ใช้ rate limiting ป้องกันการโจมตี
  • ทบทวนสิทธิ์เข้าถึงเป็นประจำ

9. คุกกี้และเทคโนโลยีติดตาม

เราใช้คุกกี้เฉพาะที่จำเป็น (essential cookies) สำหรับ session login เท่านั้น ไม่ใช้คุกกี้โฆษณาหรือ tracking

10. ติดต่อเจ้าหน้าที่คุ้มครองข้อมูล (DPO)

หากมีคำถามเกี่ยวกับนโยบายนี้ หรือต้องการใช้สิทธิ PDPA ติดต่อ: andrew.ii23.dev@gmail.com