🔒 PDPA Compliant

นโยบายความเป็นส่วนตัว

อัปเดตล่าสุด: 19 กุมภาพันธ์ 2026

เอกสารนี้จัดทำขึ้นตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) พ.ศ. 2562 ของประเทศไทย

1. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

Deckto (Fulltech Development Co., Ltd.) ("เรา", "บริษัท") ทำหน้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลสำหรับบริการ Deckto ซึ่งเป็นแพลตฟอร์ม AI Flashcard สำหรับการเรียนภาษา

ช่องทางติดต่อเรื่องข้อมูลส่วนบุคคล: privacy@deckto.app

2. ข้อมูลส่วนบุคคลที่เราเก็บรวบรวม

ข้อมูลบัญชีชื่อ, อีเมล, รูปโปรไฟล์ (จาก Google/LINE OAuth)
ข้อมูลการใช้งานDeck, Flashcard, ผลลัพธ์ Quiz, สถิติการเรียน
ข้อมูลการชำระเงินแผน Subscription, วิธีชำระเงิน (ผ่าน Stripe — ไม่เก็บเลขบัตร)
ข้อมูลอุปกรณ์IP address, browser, OS (สำหรับ security)
เนื้อหา AIข้อความที่ส่งให้ AI วิเคราะห์ (เพื่อสร้าง Flashcard)

3. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผล

ให้บริการ Flashcard และ AIการปฏิบัติตามสัญญา (Contract)
ยืนยันตัวตนและความปลอดภัยผลประโยชน์อันชอบธรรม (Legitimate Interest)
จัดการ Subscription และใบเสร็จการปฏิบัติตามกฎหมาย (Legal Obligation)
ปรับปรุงบริการ (Analytics)ความยินยอม (Consent)
ส่งอีเมลแจ้งเตือนความยินยอม (Consent) หรือสัญญา

4. การเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลที่สาม

เราเปิดเผยข้อมูลของคุณเฉพาะกับผู้ให้บริการที่จำเป็น:

  • Supabase (สหรัฐอเมริกา)ฐานข้อมูลและ Authentication
  • Google Gemini AI (สหรัฐอเมริกา)ประมวลผล AI สร้าง Flashcard
  • Stripe (สหรัฐอเมริกา)ระบบชำระเงิน
  • LINE Corporation (ญี่ปุ่น)LINE Login OAuth
  • Vercel (สหรัฐอเมริกา)Hosting และ CDN

เราไม่ขายข้อมูลส่วนบุคคลของคุณให้กับบุคคลภายนอกเพื่อวัตถุประสงค์ทางการตลาด

5. การโอนข้อมูลไปต่างประเทศ

ผู้ให้บริการของเราบางรายมีเซิร์ฟเวอร์อยู่นอกประเทศไทย เราดำเนินการเพื่อให้มั่นใจว่าการโอนข้อมูลปลอดภัยตาม PDPA มาตรา 28 โดยใช้มาตรการ Standard Contractual Clauses (SCC)

6. ระยะเวลาการเก็บรักษาข้อมูล

ข้อมูลบัญชีและ Flashcardตลอดอายุบัญชี + 90 วันหลังลบ
ข้อมูลการชำระเงิน5 ปี (ตามกฎหมายบัญชี)
Log ความปลอดภัย12 เดือน
ข้อมูล Analytics24 เดือน

7. สิทธิของเจ้าของข้อมูลส่วนบุคคล

ภายใต้ PDPA คุณมีสิทธิดังต่อไปนี้:

สิทธิในการเข้าถึง
ขอดูข้อมูลที่เราเก็บ
สิทธิในการแก้ไข
ขอแก้ไขข้อมูลที่ไม่ถูกต้อง
สิทธิในการลบ
ขอลบบัญชีและข้อมูลของคุณ
สิทธิในการคัดค้าน
คัดค้านการประมวลผลบางประเภท
สิทธิในการโอนย้ายข้อมูล
ขอรับข้อมูลในรูปแบบ Machine-readable
สิทธิในการถอนความยินยอม
ถอนความยินยอมได้ตลอดเวลา

ใช้สิทธิได้โดยส่งอีเมลมาที่ privacy@deckto.app หรือลบบัญชีผ่าน Profile Settings

8. ความปลอดภัยของข้อมูล

เราใช้มาตรการรักษาความปลอดภัยดังนี้:

  • การเข้ารหัสข้อมูลด้วย TLS 1.3 ระหว่างการส่ง
  • ข้อมูลในฐานข้อมูล Supabase ถูกเข้ารหัส at-rest
  • Row Level Security (RLS) — ผู้ใช้เข้าถึงได้เฉพาะข้อมูลของตน
  • การตรวจสอบสิทธิ์ด้วย JWT Token และการ Rate Limiting
  • ไม่เก็บ password — ใช้เฉพาะ OAuth2 (Google/LINE)

9. นโยบายคุกกี้

เราใช้คุกกี้ 3 ประเภท:

คุกกี้ที่จำเป็นSession token, CSRF protectionไม่สามารถปฏิเสธได้
คุกกี้วิเคราะห์ติดตามการใช้งานเพื่อปรับปรุงบริการขอความยินยอม
คุกกี้การตลาดเนื้อหาที่เกี่ยวข้องขอความยินยอม

10. การเปลี่ยนแปลงนโยบาย

เราอาจอัปเดตนโยบายนี้เป็นครั้งคราว กรณีเปลี่ยนแปลงสาระสำคัญ เราจะแจ้งท่านผ่านอีเมลหรือ notification ในแอป โดยให้เวลาอย่างน้อย 30 วันก่อนมีผล

11. การร้องเรียน

หากคุณเชื่อว่าเราประมวลผลข้อมูลของคุณไม่ถูกต้อง สามารถร้องเรียนได้ที่:

  • 📧 อีเมล: privacy@deckto.app
  • 🏛️ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) — pdpc.or.th