นโยบายความเป็นส่วนตัว

• สำหรับข้อมูลของท่าน (เจ้าของบัญชี/พนักงานในระบบ): เราเป็น "ผู้ควบคุมข้อมูลส่วนบุคคล" (Data Controller)
• สำหรับข้อมูลลูกค้า/คู่ค้าของท่านที่บันทึกในระบบ: ท่านเป็น "ผู้ควบคุมข้อมูล" · เราเป็นเพียง "ผู้ประมวลผลข้อมูล" (Data Processor) ที่ดำเนินการตามคำสั่งของท่าน
• ความรับผิดชอบต่อความถูกต้อง · ความชอบด้วยกฎหมาย · ฐานความยินยอม ของข้อมูลที่ท่านบันทึกเป็นของท่าน

• ข้อมูลติดต่อ: ชื่อ-นามสกุล เบอร์โทร อีเมล
• ข้อมูลธุรกิจ: ชื่อร้าน รหัสร้าน ที่อยู่ เลขผู้เสียภาษี (กรณีจดทะเบียน VAT)
• ข้อมูลการใช้งาน: บันทึก login/logout · IP · เบราว์เซอร์ · เพื่อความปลอดภัยและการตรวจสอบ
• ข้อมูลการชำระเงิน: ผ่านผู้ให้บริการที่ผ่านมาตรฐาน PCI DSS · เราไม่เก็บข้อมูลบัตรเครดิตเอง
• ข้อมูลที่ท่านบันทึก: ลูกค้า · คู่ค้า · สินค้า · ยอดขาย · สต็อก · ใบกำกับภาษี · ฯลฯ

• ให้บริการตามที่ท่านสมัคร · ออกใบแจ้งหนี้ · ติดต่อกลับเมื่อจำเป็น
• แจ้งเตือนเรื่อง billing · ฟีเจอร์ใหม่ · การหยุดทำงานของระบบ
• พัฒนาและปรับปรุงระบบ · วิเคราะห์การใช้งานในภาพรวม (aggregate · ไม่ระบุตัวตน)
• ตรวจสอบความปลอดภัย · ป้องกัน fraud · ตอบสนองคำขอทางกฎหมาย
• ปฏิบัติตามข้อกำหนดทางบัญชี ภาษี และกฎหมายไทย

• สัญญา (PDPA §24(3)) — เพื่อให้บริการตามข้อกำหนดการใช้งาน
• ภาระทางกฎหมาย (PDPA §24(6)) — เก็บข้อมูลภาษี/บัญชีตามที่กฎหมายไทยกำหนด
• ประโยชน์โดยชอบด้วยกฎหมาย (PDPA §24(5)) — ความปลอดภัย · ป้องกัน fraud · ปรับปรุงระบบ
• ความยินยอม (PDPA §24(1)) — สำหรับการตลาด/promotion (ถ้ามี · ท่านถอนได้ตลอด)

• ระหว่างใช้บริการ: เก็บตลอดระยะเวลาที่ท่านเป็นลูกค้า
• หลังยกเลิก: เก็บข้อมูลธุรกิจ (บัญชี · ภาษี · ใบกำกับ) ต่ออีก 5 ปี ตามที่ พ.ร.บ. การบัญชี พ.ศ. 2543 และประมวลรัษฎากร กำหนด
• ข้อมูลการ login + log การใช้งาน: 2 ปี ตามที่ พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 กำหนด (อย่างน้อย 90 วัน · เราเก็บนานกว่าเพื่อตรวจสอบ)
• หลังพ้นระยะเวลา: ข้อมูลจะถูกลบหรือทำให้ไม่ระบุตัวตน (anonymize)
• หากท่านใช้สิทธิตาม PDPA ขอลบข้อมูล · เราจะลบในส่วนที่ไม่ขัดกับภาระทางกฎหมาย

• ขอเข้าถึงข้อมูลที่เราเก็บเกี่ยวกับท่าน
• ขอแก้ไขข้อมูลที่ไม่ถูกต้อง
• ขอลบหรือทำให้ไม่ระบุตัวตน (สิทธิที่จะถูกลืม) — ในกรณีไม่ขัดกับภาระทางกฎหมาย
• ขอคัดค้านหรือระงับการประมวลผล
• ขอย้ายข้อมูล (สิทธิการพกพา) — ฟีเจอร์ส่งออก CSV ในระบบ
• ถอนความยินยอม (สำหรับการประมวลผลที่ใช้ฐานความยินยอม)
• ร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ที่ pdpc.or.th
• การใช้สิทธิ: ผ่านปุ่ม "ลบข้อมูล PDPA" ในระบบ (สำหรับข้อมูลลูกค้าของท่าน) · หรือติดต่อเราโดยตรง

• เราไม่ขายข้อมูลของท่านให้บุคคลที่สาม
• เราใช้ผู้ให้บริการโครงสร้างพื้นฐานที่ผ่านมาตรฐานสากล ครอบคลุม: บริการคลาวด์ ระบบกระจายข้อมูล ที่จัดเก็บไฟล์ บริการอีเมล ระบบติดตามข้อผิดพลาด ระบบรับชำระเงิน และเครื่องมือวิเคราะห์การใช้งาน
• ผู้ให้บริการเหล่านี้ผูกพันด้วยข้อตกลงรักษาความลับและความปลอดภัยของข้อมูล
• เปิดเผยต่อหน่วยงานราชการเฉพาะกรณีมีคำสั่งศาล หรือหมายตามกฎหมาย

• ปัจจุบันข้อมูลของท่านอาจถูกประมวลผลในศูนย์ข้อมูลที่ตั้งอยู่ในภูมิภาคเอเชียแปซิฟิก
• ผู้ให้บริการโครงสร้างพื้นฐานของเราผ่านมาตรฐานความปลอดภัยสากล (ISO 27001 หรือเทียบเท่า)
• การใช้บริการของท่านถือเป็นการยินยอมให้โอนข้อมูลข้ามประเทศตามความจำเป็นในการให้บริการ ตาม PDPA §28-29

• ข้อมูลถูกเข้ารหัสระหว่างส่งผ่านโปรโตคอล TLS (HTTPS ทุกหน้า)
• จัดเก็บกับผู้ให้บริการที่ผ่านมาตรฐานความปลอดภัยสากล
• สำรองข้อมูลรายวันตามรอบที่ผู้ให้บริการกำหนด
• รหัสผ่านเข้ารหัสด้วย bcrypt · ระบบรองรับ 2FA
• พนักงาน/ทีมงานเข้าถึงข้อมูลเฉพาะที่จำเป็นในการให้บริการ · มีระบบ log การเข้าถึง
• แม้เราจะใช้มาตรการความปลอดภัยตามมาตรฐาน · ไม่มีระบบใดปลอดภัย 100% · ท่านมีหน้าที่รักษารหัสผ่านและ 2FA ของท่านเองด้วย

• เราใช้คุกกี้ที่จำเป็นต่อการเข้าสู่ระบบและการยืนยันตัวตน
• เราอาจใช้เครื่องมือวิเคราะห์การใช้งาน เช่น Google Analytics เพื่อปรับปรุงประสบการณ์ใช้งาน · ไม่ใช้เพื่อติดตามข้ามเว็บไซต์
• ท่านสามารถปิดคุกกี้ได้ผ่านเบราว์เซอร์ของท่าน · แต่บางฟีเจอร์อาจทำงานไม่ได้

• หากเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่อาจมีความเสี่ยงต่อสิทธิและเสรีภาพของท่าน · เราจะแจ้งสำนักงาน คคส. ภายใน 72 ชั่วโมง ตามที่ PDPA §37 กำหนด
• หากมีความเสี่ยงสูง · เราจะแจ้งท่านโดยตรงทางอีเมล

เราอาจปรับปรุงนโยบายฉบับนี้ได้ตามความเหมาะสม · จะแจ้งให้ทราบทางอีเมลหรือในระบบล่วงหน้า 30 วันก่อนมีผล

สำหรับคำถามเกี่ยวกับนโยบายฉบับนี้ · การใช้สิทธิตาม PDPA · หรือร้องเรียนเรื่องการประมวลผลข้อมูล · โปรดติดต่อตามช่องทางด้านล่าง