นโยบายความเป็นส่วนตัว

1. บทนำ

TStock ("เรา") เชื่อว่าความเป็นส่วนตัวเป็นสิทธิขั้นพื้นฐาน นโยบายนี้อธิบายอย่างตรงไปตรงมาว่าเราเก็บข้อมูลอะไร ใช้เพื่ออะไร และปกป้องข้อมูลของคุณอย่างไร ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

2. ข้อมูลที่เราเก็บรวบรวม

เราเก็บรวบรวมข้อมูลส่วนบุคคลดังต่อไปนี้:

• ข้อมูลบัญชีผู้ใช้ — ชื่อ นามสกุล อีเมล และรหัสผ่านที่เข้ารหัส
• ข้อมูลคู่ค้า (Supplier) — ชื่อ เบอร์โทรศัพท์ อีเมล และที่อยู่ ซึ่งเจ้าของร้านเป็นผู้กรอก
• ข้อมูลลูกค้า — ชื่อลูกค้าที่ร้านระบุไว้ในรายการขาย (หากกรอก)
• ข้อมูลการใช้งาน — ข้อมูลสินค้า ประวัติการเคลื่อนไหวสต็อก (Stock Movements) และรายงานสต็อก
• ข้อมูลการชำระเงิน — ประมวลผลผ่าน Stripe เราไม่เก็บข้อมูลบัตรเครดิตโดยตรง
• ข้อมูลการติดต่อ — ชื่อ อีเมล และข้อความที่ส่งผ่านแบบฟอร์มติดต่อเรา

3. วัตถุประสงค์การใช้ข้อมูล

เราใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังนี้:

• ให้บริการระบบจัดการสินค้าคงคลังและการเคลื่อนไหวสต็อก
• ส่งการแจ้งเตือนและอีเมลที่เกี่ยวข้องกับการใช้บริการ (เช่น แจ้งเตือนสินค้าใกล้หมด)
• ประมวลผลการชำระเงินและออกใบเสร็จ
• ตอบคำถามและให้ความช่วยเหลือผ่านช่องทางติดต่อ
• ปรับปรุงและพัฒนาคุณภาพบริการ
• ปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้อง

4. ฐานทางกฎหมายในการประมวลผล

เราประมวลผลข้อมูลส่วนบุคคลบนฐานทางกฎหมายดังนี้:

• ความยินยอม (Consent) — สำหรับข้อมูลคู่ค้า/ลูกค้าและคุกกี้ที่ไม่จำเป็น เราบันทึกวันเวลาที่ได้รับความยินยอมจากเจ้าของข้อมูล และคุณสามารถถอนความยินยอมได้ทุกเมื่อโดยไม่มีผลย้อนหลัง
• การปฏิบัติตามสัญญา — เพื่อให้บริการที่คุณสมัครใช้งาน
• ประโยชน์โดยชอบด้วยกฎหมาย — เพื่อความปลอดภัยและการพัฒนาระบบ
• การปฏิบัติตามกฎหมาย — เพื่อปฏิบัติตามข้อกำหนดทางกฎหมายที่เกี่ยวข้อง

5. การเปิดเผยข้อมูลแก่บุคคลภายนอก

เราไม่ขายหรือให้เช่าข้อมูลส่วนบุคคลของคุณแก่บุคคลภายนอก เราแบ่งปันข้อมูลเฉพาะกับผู้ให้บริการที่จำเป็นต่อการดำเนินงาน โดยแบ่งเป็น 2 กลุ่มดังนี้:

ผู้ให้บริการข้อมูล (Service Providers)

• Stripe — ประมวลผลการชำระเงิน (สหรัฐอเมริกา) มาตรฐาน PCI DSS Level 1
• Cloudflare R2 — จัดเก็บไฟล์และรูปภาพ เช่น รูปโปรไฟล์ รูปสินค้า และ QR Code (สหรัฐอเมริกา)
• LINE Corporation — ส่งการแจ้งเตือนผ่าน LINE OA (ญี่ปุ่น)
• Tally.so — รับและจัดเก็บข้อมูลที่ส่งผ่านแบบฟอร์มติดต่อเรา (เบลเยียม)
• ผู้ให้บริการ SMTP — ส่งอีเมลแจ้งเตือนและใบเสร็จ
• เมื่อมีข้อกำหนดทางกฎหมายหรือคำสั่งศาล

ผู้ให้บริการโครงสร้างพื้นฐาน (Infrastructure Providers)

• Vercel — ผู้ให้บริการ Hosting และ Edge Network ที่ประมวลผล traffic ของแพลตฟอร์มทั้งหมด (สหรัฐอเมริกา)
• Neon — ผู้ให้บริการฐานข้อมูล PostgreSQL บนคลาวด์ที่จัดเก็บข้อมูลของแพลตฟอร์ม (สหรัฐอเมริกา)
• Google Analytics และ Google Tag Manager — วิเคราะห์พฤติกรรมการใช้งานและการตลาด ใช้เฉพาะเมื่อได้รับความยินยอม (สหรัฐอเมริกา)
• Sentry — บันทึก error และประสิทธิภาพระบบ (performance tracing) เพื่อตรวจจับและแก้ไขข้อผิดพลาด บนพื้นฐานผลประโยชน์อันชอบธรรม (Legitimate Interest) ในการรักษาเสถียรภาพของแพลตฟอร์ม ไม่เก็บ session recording ข้อมูลถูก anonymize ก่อนส่ง (สหรัฐอเมริกา)

ผู้ให้บริการทุกรายใช้ข้อมูลได้เฉพาะเท่าที่จำเป็นในการให้บริการแก่เรา การส่งข้อมูลทุกรายการเข้ารหัสด้วย TLS และผู้ให้บริการทุกรายเข้าถึงข้อมูลผ่าน secure API เท่านั้น

ผู้ให้บริการบางรายตั้งอยู่นอกประเทศไทย (เช่น สหรัฐอเมริกา และญี่ปุ่น) การส่งข้อมูลไปยังประเทศดังกล่าวดำเนินการภายใต้มาตรการคุ้มครองที่เหมาะสม ได้แก่ ข้อกำหนดด้านความปลอดภัยตามสัญญา (Contractual Data Protection Clauses) และมาตรฐานความปลอดภัยของผู้ให้บริการแต่ละราย เช่น ISO 27001, SOC 2, และ PCI DSS ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 28

6. ระยะเวลาการเก็บข้อมูล

เราเก็บข้อมูลส่วนบุคคลตามระยะเวลาดังนี้:

• ข้อมูลบัญชีผู้ใช้ — ตลอดระยะเวลาที่บัญชียังใช้งานอยู่ และลบภายใน 90 วันหลังจากปิดบัญชี
• ข้อมูลสินค้าและ Stock Movements — ตลอดระยะเวลาที่ร้านค้ายังใช้บริการ และลบภายใน 90 วันหลังจากร้านยกเลิกการใช้งาน
• ข้อมูลการชำระเงินและธุรกรรม — 7 ปีตามข้อกำหนดทางบัญชีและภาษีของกฎหมายไทย
• Log การส่งอีเมล — 1 ปีเพื่อการตรวจสอบและแก้ไขปัญหา
• ข้อมูลการติดต่อผ่านแบบฟอร์ม — จัดเก็บโดย Tally.so ตามนโยบายของ Tally

7. สิทธิของเจ้าของข้อมูล

ภายใต้ PDPA คุณมีสิทธิดังต่อไปนี้:

• สิทธิในการเข้าถึง — ขอดูข้อมูลส่วนบุคคลของคุณที่เราเก็บไว้
• สิทธิในการแก้ไข — ขอแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์
• สิทธิในการลบ — ขอให้ลบหรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้
• สิทธิในการถอนความยินยอม — ถอนความยินยอมที่เคยให้ไว้ได้ทุกเมื่อโดยไม่มีผลย้อนหลัง
• สิทธิในการพกพาข้อมูล — ขอรับข้อมูลในรูปแบบที่ใช้งานได้ทั่วไป
• สิทธิในการคัดค้าน — คัดค้านการประมวลผลข้อมูลที่อิงบนประโยชน์โดยชอบด้วยกฎหมาย

8. ความปลอดภัยของข้อมูล

ข้อมูลทุกชิ้นที่รับส่งผ่านแพลตฟอร์มเข้ารหัสด้วย TLS และข้อมูลที่จัดเก็บในฐานข้อมูลเข้ารหัสทั้งหมด การเข้าถึงระบบภายในควบคุมตามบทบาทหน้าที่ — เฉพาะคนที่จำเป็นต้องเห็นข้อมูลเท่านั้นที่เข้าถึงได้

9. การใช้คุกกี้

เว็บไซต์นี้ใช้คุกกี้และ local storage ดังต่อไปนี้:

คุกกี้ที่จำเป็น (Strictly Necessary) — ไม่ต้องขอความยินยอม

คุกกี้วิเคราะห์ (Analytics) — ใช้เฉพาะเมื่อได้รับความยินยอม

คุกกี้การตลาด (Marketing) — ใช้เฉพาะเมื่อได้รับความยินยอม

คุณสามารถให้หรือถอนความยินยอมสำหรับคุกกี้ที่ไม่จำเป็นได้ทุกเมื่อผ่านแบนเนอร์คุกกี้ที่แสดงเมื่อเข้าสู่เว็บไซต์ครั้งแรก หรือผ่านการตั้งค่าเบราว์เซอร์ของคุณ

10. การเปลี่ยนแปลงนโยบาย

เราอาจปรับปรุงนโยบายนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับการพัฒนาบริการหรือกฎหมายที่เปลี่ยนแปลง หากมีการเปลี่ยนแปลงสำคัญ เราจะแจ้งให้คุณทราบทางอีเมลอย่างน้อย 30 วันล่วงหน้า

11. ติดต่อเรา

มีคำถามเกี่ยวกับข้อมูลส่วนบุคคล หรืออยากใช้สิทธิของคุณ? ยินดีช่วยเสมอ ติดต่อได้ผ่าน หน้าติดต่อเรา