ComplyFlow ("เรา", "บริษัท") ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลของคุณ นโยบายนี้อธิบายการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และ GDPR ของสหภาพยุโรป
1. ข้อมูลที่เราเก็บรวบรวม
1.1 ข้อมูลที่คุณให้กับเรา
- ชื่อ อีเมล เบอร์โทรศัพท์ และชื่อบริษัท
- ข้อมูลบัญชีผู้ใช้ (username, password ที่เข้ารหัส)
- ข้อมูลการชำระเงินและบิลลิ่ง
- เนื้อหาที่อัปโหลด เช่น ไฟล์ Artwork, PDF, PNG
- ข้อความโต้ตอบกับทีมสนับสนุน
1.2 ข้อมูลที่เก็บอัตโนมัติ
- IP Address, Browser type, Operating System
- หน้าที่เข้าชม, เวลาที่ใช้งาน, Referring URL
- Log การใช้งาน (Audit Trail) ตามมาตรฐาน 21 CFR Part 11
- Cookie และ Local Storage (ดูส่วนที่ 9)
2. วัตถุประสงค์การใช้ข้อมูล
- ให้บริการและดูแลบัญชีผู้ใช้
- ตรวจสอบและยืนยันตัวตน (Authentication & MFA)
- ประมวลผล AI Check, Checklist Compliance และ Approval Workflow
- ส่งการแจ้งเตือน อีเมลระบบ และ E-Slip
- ปรับปรุงและพัฒนาบริการ
- ปฏิบัติตามข้อกฎหมายและกฎระเบียบที่เกี่ยวข้อง
- Audit Trail แบบ Read-only ตามมาตรฐาน 21 CFR Part 11
3. ฐานทางกฎหมายในการประมวลผล (Legal Basis)
- สัญญา (Contract) — จำเป็นในการให้บริการตามที่ตกลง
- ความยินยอม (Consent) — การตลาด, Cookie analytics
- ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) — ความปลอดภัยระบบ, การป้องกันการฉ้อโกง
- ข้อกำหนดทางกฎหมาย (Legal Obligation) — Audit Trail, การรายงานตามกฎหมาย
4. การเปิดเผยข้อมูลแก่บุคคลที่สาม
เราไม่ขายข้อมูลส่วนบุคคลของคุณ เราอาจแบ่งปันข้อมูลกับ:
- Anthropic (Claude AI) — วิเคราะห์ Artwork สำหรับ AI Check
- SendGrid (Twilio) — ส่งอีเมลระบบ
- Cloudflare R2 — เก็บไฟล์ Artwork
- Render.com — Cloud hosting (Singapore)
- หน่วยงานราชการ — เมื่อมีคำสั่งจากกฎหมาย
ผู้ให้บริการทุกรายได้ผ่านการประเมินความปลอดภัยและมีข้อตกลงประมวลผลข้อมูล (DPA) กับเรา
5. การถ่ายโอนข้อมูลระหว่างประเทศ
ข้อมูลของคุณจัดเก็บที่ Singapore (Render.com) ซึ่งมีระดับการคุ้มครองข้อมูลเพียงพอ สำหรับผู้ใช้ในสหภาพยุโรป การโอนข้อมูลดำเนินการตาม Standard Contractual Clauses (SCC) ของ EU
6. ระยะเวลาในการเก็บรักษาข้อมูล
- ข้อมูลบัญชี: ตลอดระยะสัญญา + 3 ปีหลังยกเลิก
- Audit Trail: 7 ปี (ตามมาตรฐาน 21 CFR Part 11)
- ไฟล์ Artwork: ตลอดระยะสัญญา + 1 ปี
- Log การเข้าระบบ: 1 ปี
- Cookie analytics: 90 วัน
7. สิทธิของเจ้าของข้อมูล
ภายใต้ PDPA และ GDPR คุณมีสิทธิ์ดังต่อไปนี้:
- สิทธิในการเข้าถึง (Access) — ขอดูข้อมูลที่เราเก็บเกี่ยวกับคุณ
- สิทธิในการแก้ไข (Rectification) — ขอแก้ไขข้อมูลที่ไม่ถูกต้อง
- สิทธิในการลบ (Erasure) — ขอลบข้อมูล ("Right to be Forgotten")
- สิทธิในการคัดค้าน (Objection) — คัดค้านการประมวลผลบางประเภท
- สิทธิในการโอนย้ายข้อมูล (Portability) — ขอรับข้อมูลในรูปแบบ machine-readable
- สิทธิในการถอนความยินยอม — ถอนความยินยอมได้ทุกเมื่อ
ส่งคำร้องได้ที่ hello@creativevaluation.com เราจะตอบกลับภายใน 30 วัน
8. ความปลอดภัยของข้อมูล
- การเข้ารหัส AES-256 สำหรับข้อมูลสำคัญ
- HTTPS/TLS 1.3 สำหรับการสื่อสารทุกช่องทาง
- Multi-Factor Authentication (MFA)
- JWT Token พร้อม Refresh Token rotation
- Multi-tenant isolation — ข้อมูลแต่ละองค์กรแยกกันอย่างเข้มงวด
- Audit Trail แบบ Read-only ตาม 21 CFR Part 11
- Regular security testing และ vulnerability assessment
9. คุกกี้และเทคโนโลยีติดตาม
เราใช้คุกกี้ประเภทต่อไปนี้:
- คุกกี้จำเป็น (Strictly Necessary) — Authentication session, security token ไม่สามารถปฏิเสธได้
- คุกกี้การทำงาน (Functional) — จดจำภาษา, การตั้งค่า UI
- คุกกี้วิเคราะห์ (Analytics) — วิเคราะห์การใช้งาน (ต้องได้รับความยินยอม)
คุณสามารถจัดการคุกกี้ได้ที่ นโยบาย Cookie หรือการตั้งค่า Browser
10. ติดต่อเรา