นโยบายความเป็นส่วนตัว (ประเทศไทย)

มีผลใช้บังคับ: 28 พฤษภาคม 2026 · เวอร์ชัน th-v1

🇺🇸 English · 🇰🇷 한국어 · 🇯🇵 日本語

Divult (ต่อไปนี้เรียกว่า "บริษัท") เคารพและคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้ตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) บริษัทประมวลผลข้อมูลส่วนบุคคลของผู้ใช้อย่างปลอดภัยตามนโยบายต่อไปนี้

1. รายการข้อมูลส่วนบุคคลที่เก็บรวบรวม

• เมื่อลงทะเบียนสมาชิก (จำเป็น): อีเมล รหัสผ่าน (จัดเก็บแบบ hash) ชื่อผู้ใช้ (username) วันเดือนปีเกิด (เพื่อยืนยันอายุ 14 ปีขึ้นไป)
• เมื่อฝาก/ส่งออกการ์ดจริง: ชื่อผู้รับ เบอร์โทรศัพท์ ที่อยู่จัดส่ง
• เมื่อชำระเงิน: ข้อมูลวิธีการชำระเงิน (4 หลักสุดท้ายของบัตร, payment token), ประวัติการชำระเงิน Phase 1 ใช้ Stripe เป็นผู้ให้บริการชำระเงินสำหรับผู้ใช้ TH หมายเลขบัตรเต็มจัดการโดย Stripe บริษัทไม่จัดเก็บ
• เมื่อสมัครพาร์ทเนอร์: หนังสือจดทะเบียนบริษัท ชื่อผู้แทน ที่อยู่สถานประกอบการ บัญชีรับชำระเงิน
• เก็บรวบรวมโดยอัตโนมัติ: log การเข้าใช้งาน, IP address, cookie, identifier ของอุปกรณ์ (UDID/ADID), เวอร์ชัน OS/แอป, push token (FCM)

2. ฐานทางกฎหมายและวัตถุประสงค์ในการประมวลผล (PDPA มาตรา 24)

3. การเปิดเผยข้อมูลให้บุคคลที่สาม

1. บริษัทจะไม่เปิดเผยข้อมูลส่วนบุคคลของผู้ใช้แก่บุคคลภายนอกโดยไม่ได้รับความยินยอม ยกเว้นในกรณีที่กฎหมายกำหนด
2. การเปิดเผยให้ผู้ประมวลผลข้อมูล (Processor):
   • Stripe Payments - ประมวลผลการชำระเงิน THB
   • FCM (Firebase Cloud Messaging) - การส่งการแจ้งเตือนแบบ push
   • SES/Resend - การส่งอีเมล
   • Cloudflare R2/Supabase Storage - การเก็บไฟล์รูปภาพ
   • ขนส่ง (Kerry, Flash Express, EMS) - การจัดส่งการ์ดจริง
   Processor เหล่านี้ทำงานภายใต้ข้อตกลงการประมวลผลข้อมูลที่บริษัทกำหนด
3. การโอนข้อมูลข้ามพรมแดน: server หลักตั้งอยู่ในประเทศเกาหลีใต้ ฐานข้อมูล (Supabase Postgres) อยู่ที่ AWS Asia-Pacific (Seoul) การโอนข้อมูลผู้ใช้ TH ไปเกาหลีอยู่ภายใต้มาตรการคุ้มครองตาม PDPA มาตรา 28

4. สิทธิของเจ้าของข้อมูล (PDPA มาตรา 30-37)

ผู้ใช้มีสิทธิดังต่อไปนี้ในการจัดการข้อมูลส่วนบุคคลของตน:

• สิทธิในการเข้าถึง (มาตรา 30) - ขอดูข้อมูลส่วนบุคคลที่บริษัทเก็บไว้
• สิทธิในการขอแก้ไข (มาตรา 36) - แก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์
• สิทธิในการขอลบ (มาตรา 33) - ขอให้ลบข้อมูลส่วนบุคคล
• สิทธิในการขอระงับการใช้ (มาตรา 34) - ขอให้ระงับการประมวลผลข้อมูล
• สิทธิในการคัดค้าน (มาตรา 32) - คัดค้านการประมวลผลข้อมูล
• สิทธิในการขอโอนย้ายข้อมูล (มาตรา 31) - ขอรับข้อมูลในรูปแบบที่เครื่องอ่านได้
• สิทธิในการถอนความยินยอม (มาตรา 19) - ถอนความยินยอมที่ให้ไว้ได้ตลอดเวลา

การใช้สิทธิเหล่านี้สามารถทำได้ผ่านหน้าจอ "ประวัติการให้ความยินยอม" ในหน้าโปรไฟล์ หรือติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ที่ dpo@divult.com

5. การคุ้มครองข้อมูลส่วนบุคคลของผู้เยาว์ (อายุต่ำกว่า 14 ปี)

บริษัทไม่อนุญาตให้ผู้ที่มีอายุต่ำกว่า 14 ปีลงทะเบียนใช้บริการ ในขั้นตอนการลงทะเบียนผู้ใช้ต้องยืนยันว่าตนมีอายุ 14 ปีขึ้นไป หากตรวจพบว่าผู้ใช้มีอายุต่ำกว่า 14 ปี บัญชีจะถูกระงับและข้อมูลจะถูกลบทันที

6. มาตรการรักษาความปลอดภัยของข้อมูล

• การเข้ารหัสข้อมูลที่อยู่นิ่ง (at rest): AES-256
• การเข้ารหัสข้อมูลในการส่ง (in transit): TLS 1.3
• การควบคุมการเข้าถึง: 2FA สำหรับผู้ดูแลระบบ, role-based access control
• การติดตามและตรวจจับ: audit log สำหรับการดำเนินการที่สำคัญทั้งหมด
• การสำรองข้อมูล: backup รายวันพร้อมการรักษาความปลอดภัย

7. คุกกี้ (Cookies)

บริษัทใช้คุกกี้เพื่อ:

• Essential: การพิสูจน์ตัวตน (session token), ตะกร้าสินค้า - ไม่สามารถปฏิเสธได้
• Functional: การตั้งค่าภาษา (lang), ธีม
• Analytics: Umami (สถิติการใช้งานที่ไม่ระบุตัวตน)

ผู้ใช้สามารถจัดการคุกกี้ผ่านการตั้งค่าของเบราว์เซอร์ การปิด Essential cookie อาจทำให้ใช้บริการบางส่วนไม่ได้

8. การเปลี่ยนแปลงนโยบาย

บริษัทอาจปรับปรุงนโยบายนี้เพื่อให้สอดคล้องกับการเปลี่ยนแปลงของกฎหมาย เทคโนโลยี และการให้บริการ การเปลี่ยนแปลงที่สำคัญจะแจ้งให้ทราบล่วงหน้า 30 วันก่อนวันที่มีผลบังคับใช้

9. การติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

→ ดูข้อกำหนดการใช้งาน