นโยบายความเป็นส่วนตัว
มีผลบังคับใช้: 3 พฤษภาคม 2026 · ปรับปรุงล่าสุด: 27 พฤษภาคม 2026
CHAN NEUNG ("เรา", "ผู้ให้บริการ") ให้ความสำคัญกับความเป็นส่วนตัวของผู้ใช้บริการอย่างสูงสุด นโยบายนี้อธิบายว่าเราเก็บ ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลอย่างไร เมื่อคุณใช้บริการ Chatbot AI ของเรา ที่เชื่อมต่อกับ Facebook Messenger, Instagram และ LINE นโยบายนี้จัดทำขึ้นตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ของประเทศไทยเป็นหลัก และอ้างอิงแนวปฏิบัติสากลเท่าที่เกี่ยวข้อง
1. ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล
ผู้รับผิดชอบข้อมูลส่วนบุคคลภายใต้นโยบายนี้คือ:
- ผู้ให้บริการ: Chananin Klainin — ผู้ประกอบการบุคคลธรรมดา (ไม่ได้จดทะเบียนนิติบุคคล) ดำเนินกิจการในชื่อ CHAN NEUNG (ชั้นหนึ่ง)
- ที่อยู่: Park Origin Phayathai กรุงเทพมหานคร ประเทศไทย
- อีเมลติดต่อ: privacy@channeung.org
- ผู้ประสานงานด้านข้อมูลส่วนบุคคล (Privacy Contact): privacy@channeung.org
การแบ่งบทบาทที่สำคัญ: สำหรับข้อมูลของ ผู้ใช้ปลายทาง (ลูกค้าที่คุยกับบอท) ลูกค้าธุรกิจของเรา (เจ้าของเพจ) เป็นผู้ควบคุมข้อมูล (Data Controller) และ CHAN NEUNG เป็นผู้ประมวลผลข้อมูล (Data Processor) ที่ทำตามคำสั่งของลูกค้าธุรกิจ ดังนั้นหน้าที่ในการขอความยินยอมและแจ้งผู้ใช้ปลายทางเป็นของลูกค้าธุรกิจ ส่วนข้อมูลบัญชี/การชำระเงินของ ลูกค้าธุรกิจเอง นั้น CHAN NEUNG เป็นผู้ควบคุมข้อมูล
2. ขอบเขตการให้บริการ
CHAN NEUNG เป็นแพลตฟอร์ม AI Chatbot สำหรับร้านค้าออนไลน์ในประเทศไทย ที่ช่วยให้ร้านค้า:
- ตอบลูกค้าอัตโนมัติบน Facebook Messenger, Instagram และ LINE
- รับและจัดการออเดอร์
- ตรวจสอบสลิปการโอนเงิน
- สร้างใบปะหน้าพัสดุและบันทึกข้อมูลออเดอร์
3. ข้อมูลที่เก็บรวบรวม
3.1 จากลูกค้าธุรกิจ (เจ้าของเพจ)
- ชื่อ-นามสกุล อีเมล เบอร์โทรศัพท์
- ชื่อร้าน / แบรนด์ / เลขผู้เสียภาษี (ถ้ามี)
- URL และ ID ของช่องทางที่เชื่อมต่อ (Facebook Page, Instagram, LINE Channel)
- Access Token ของช่องทาง (จัดเก็บแบบเข้ารหัส)
- ข้อมูลสินค้า ราคา และเลขบัญชีรับโอนเงิน
- ข้อมูลการชำระเงินสำหรับใช้บริการ (ผ่าน GB Prime Pay)
3.2 จากผู้ใช้ปลายทาง (ลูกค้าที่คุยกับบอท)
เมื่อผู้ใช้ปลายทางส่งข้อความถึงช่องทางของลูกค้าธุรกิจที่ติดตั้งบอทของเรา เราอาจประมวลผลข้อมูลต่อไปนี้:
- รหัสผู้ใช้ของช่องทาง (Facebook/Instagram sender ID หรือ LINE userId)
- ข้อความที่ส่งและตอบในบทสนทนา
- ชื่อ-นามสกุล เบอร์โทร ที่อยู่จัดส่ง (เมื่อทำการสั่งสินค้า)
- รูปสลิปการโอนเงิน (ถ้าผู้ใช้แนบมา)
- ชื่อและรูปโปรไฟล์สาธารณะของช่องทาง (เท่าที่แพลตฟอร์มอนุญาต)
- วันเวลาของบทสนทนา
4. วัตถุประสงค์และฐานทางกฎหมาย
| ข้อมูล | วัตถุประสงค์ | ฐานทางกฎหมาย |
|---|---|---|
| Access Token ของช่องทาง | ส่ง-รับข้อความผ่าน API ของช่องทาง | การปฏิบัติตามสัญญา |
| ข้อความบทสนทนา | ตอบลูกค้าและบันทึกประวัติ | การปฏิบัติตามสัญญา |
| ข้อความ → ส่งให้ AI ประมวลผล | สร้างคำตอบอัตโนมัติ (ดู ข้อ 12) | การปฏิบัติตามสัญญา / ประโยชน์โดยชอบด้วยกฎหมาย |
| ที่อยู่จัดส่ง | สร้างใบปะหน้าพัสดุและจัดส่งสินค้า | การปฏิบัติตามสัญญา |
| รูปสลิป | ยืนยัน/ตรวจสอบการชำระเงิน | การปฏิบัติตามสัญญา |
| ข้อมูลลูกค้าธุรกิจ | ให้บริการ เรียกเก็บเงิน และออกใบเสร็จรับเงิน | การปฏิบัติตามสัญญา / หน้าที่ตามกฎหมาย |
| คุกกี้สถิติ/การตลาด | วัดการใช้งานและการตลาด | ความยินยอม |
5. ผู้ประมวลผลข้อมูลภายนอก (Sub-processors)
เราใช้บริการของผู้ให้บริการภายนอกในการประมวลผลข้อมูล โดยมีข้อผูกพันด้านการคุ้มครองข้อมูลกับผู้ให้บริการแต่ละราย:
| ผู้ให้บริการ | วัตถุประสงค์ | ที่ตั้ง |
|---|---|---|
| Meta Platforms, Inc. | Facebook / Instagram Messaging API | USA |
| LINE Corporation | LINE Messaging API | Japan |
| OpenAI, L.L.C. | ประมวลผลภาษาธรรมชาติและวิเคราะห์รูปภาพ | USA |
| Supabase, Inc. | ฐานข้อมูลหลัก (เก็บบทสนทนา ออเดอร์ การตั้งค่า) | Singapore |
| Netlify, Inc. | โฮสติ้งเว็บไซต์และฟังก์ชันเซิร์ฟเวอร์ | USA |
| Resend | ส่งอีเมลแจ้งเตือน/ยืนยัน | USA |
| GB Prime Pay | ประมวลผลการชำระค่าบริการ | Thailand |
| Google LLC | สำรองข้อมูลและจัดเก็บไฟล์ PDF บางส่วน | USA |
| n8n | เครื่องมือประมวลผลอัตโนมัติของบอท | EU / self-hosted |
6. การโอนข้อมูลข้ามประเทศ
ข้อมูลของคุณอาจถูกโอนและประมวลผลในประเทศที่ตั้งของผู้ให้บริการข้างต้น (เช่น สหรัฐอเมริกา ญี่ปุ่น สิงคโปร์ สหภาพยุโรป) เราดำเนินการให้มีมาตรการคุ้มครองที่เหมาะสมตามมาตรา 28–29 แห่ง PDPA เช่น ข้อสัญญามาตรฐานด้านการคุ้มครองข้อมูลกับผู้ให้บริการเหล่านั้น
7. ระยะเวลาการเก็บข้อมูล
- ข้อมูลบทสนทนา: 12 เดือนนับจากการสนทนาครั้งสุดท้าย
- ข้อมูลออเดอร์: 5 ปีตามกฎหมายภาษีอากร/บัญชี
- รูปสลิป: 90 วันหลังตรวจสอบเสร็จสิ้น
- Access Token ของช่องทาง: จนกว่าลูกค้าธุรกิจจะถอนการเชื่อมต่อ
- ชื่อ/รูปโปรไฟล์ผู้ใช้ปลายทาง: ไม่เกิน 12 เดือน
- ข้อมูลบัญชีลูกค้าธุรกิจ: ตลอดระยะเวลาให้บริการ + 30 วันหลังเลิกใช้
7.1 การบังคับใช้นโยบายการเก็บข้อมูล
ข้อมูลที่หมดอายุตามตารางข้างต้นจะถูกลบตามรอบการทำความสะอาดข้อมูล (scheduled cleanup) ผู้ใช้สามารถขอลบข้อมูลล่วงหน้าได้ที่หน้า ขอลบข้อมูล (มาตรา 24.4 สิทธิในการลบข้อมูล) · เมื่อลูกค้าธุรกิจถอนความยินยอม PDPA บริการจะหยุดทันทีและข้อมูลจะถูกลบภายใน 30 วัน
8. สิทธิของเจ้าของข้อมูล
คุณมีสิทธิตามกฎหมาย PDPA ดังต่อไปนี้:
- สิทธิในการเข้าถึงข้อมูล — ขอสำเนาข้อมูลส่วนบุคคลที่เราเก็บได้
- สิทธิในการแก้ไข — ขอให้แก้ไขข้อมูลที่ไม่ถูกต้อง
- สิทธิในการลบ — ขอให้ลบข้อมูล (ดูหน้า Data Deletion)
- สิทธิในการคัดค้าน — คัดค้านการประมวลผลในบางกรณี
- สิทธิในการรับโอนข้อมูล — ขอข้อมูลในรูปแบบที่อ่านได้ทั่วไป
- สิทธิในการถอนความยินยอม — ถอนได้ทุกเมื่อ
- สิทธิในการร้องเรียน — ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)
หากคุณเป็น ผู้ใช้ปลายทาง โดยปกติควรใช้สิทธิผ่านลูกค้าธุรกิจ (ผู้ควบคุมข้อมูล) ที่คุณติดต่อด้วย โดยเราในฐานะผู้ประมวลผลจะให้ความช่วยเหลือตามสมควร · ติดต่อใช้สิทธิที่ privacy@channeung.org เราจะตอบกลับภายใน 30 วัน
8.1 วิธีใช้สิทธิตาม PDPA มาตรา 24
- มาตรา 24.1 (เข้าถึง) + 24.2 (รับโอน/พกพา):
เข้าสู่ระบบ → การตั้งค่าความเป็นส่วนตัว → ดาวน์โหลดข้อมูลของฉัน
หรือเรียก
POST /api/data-export· ระบบจะส่งไฟล์ JSON ไปที่อีเมลที่ยืนยันแล้ว - มาตรา 24.3 (แก้ไข): ติดต่อ privacy@channeung.org
- มาตรา 24.4 (ลบข้อมูล):
หน้า ขอลบข้อมูล หรือเรียก
POST /api/data-deletion-request - มาตรา 24.5 (ถอนความยินยอม):
เข้าสู่ระบบ → การตั้งค่าความเป็นส่วนตัว → ถอนความยินยอม PDPA
หรือเรียก
POST /api/withdraw-consent - มาตรา 24.7 (ร้องเรียน): สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ที่ pdpc.or.th
9. การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล
หากเกิดเหตุละเมิดข้อมูลส่วนบุคคล เราจะแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่กฎหมายกำหนด และจะแจ้งเจ้าของข้อมูล/ลูกค้าธุรกิจที่เกี่ยวข้อง เมื่อเหตุนั้นมีความเสี่ยงสูงต่อสิทธิและเสรีภาพของบุคคล · ในฐานะผู้ประมวลผล เราจะแจ้งลูกค้าธุรกิจ (ผู้ควบคุมข้อมูล) โดยไม่ชักช้า
10. การคุ้มครองความปลอดภัย
- ข้อมูลทั้งหมดเข้ารหัสด้วย TLS 1.3 ระหว่างการส่ง
- ข้อมูลที่อ่อนไหวในระบบเข้ารหัสแบบ AES-256-GCM at rest
- Access Token เก็บในรูปแบบ encrypted vault แยกต่างหาก
- การเข้าถึงข้อมูลโดยทีมงานต้องมี MFA และมีการบันทึก audit log
- การ backup ข้อมูลรายวัน เก็บ 30 วัน
11. ข้อมูลของผู้เยาว์
บริการของเราไม่ได้มุ่งเป้าไปที่เด็ก และเราไม่เก็บข้อมูลของผู้เยาว์โดยเจตนา หากพบว่ามีการเก็บข้อมูลของผู้เยาว์โดยไม่มีความยินยอมที่ชอบด้วยกฎหมาย เราจะลบข้อมูลนั้นโดยเร็ว ทั้งนี้ ลูกค้าธุรกิจ (ผู้ควบคุมข้อมูล) มีหน้าที่ปฏิบัติตามกฎเรื่องความยินยอมของผู้เยาว์สำหรับผู้ใช้ปลายทางของตน
12. การประมวลผลโดย AI และระบบอัตโนมัติ
ข้อความของผู้ใช้ปลายทางจะถูกส่งให้โมเดลภาษา AI (OpenAI) ประมวลผลเพื่อสร้างคำตอบอัตโนมัติ คำตอบที่สร้างโดย AI ไม่รับประกันความถูกต้องและอาจมีข้อผิดพลาดได้ เราไม่ใช้การตัดสินใจอัตโนมัติเพียงอย่างเดียวที่มีผลทางกฎหมายหรือกระทบสิทธิอย่างมีนัยสำคัญต่อบุคคล โดยลูกค้าธุรกิจสามารถปิดการตอบอัตโนมัติเป็นรายบทสนทนาและเข้ามาตอบเองได้
13. ข้อตกลงประมวลผลข้อมูลกับลูกค้าธุรกิจ (DPA)
การที่เราประมวลผลข้อมูลผู้ใช้ปลายทางในนามของลูกค้าธุรกิจ เป็นไปตามข้อตกลงประมวลผลข้อมูล (Data Processing Agreement) ซึ่งกำหนดให้เรา: ประมวลผลตามคำสั่งของลูกค้าธุรกิจเท่านั้น รักษาความลับ จัดให้มีมาตรการความปลอดภัย ใช้ผู้ประมวลผลช่วงเท่าที่ระบุไว้ ช่วยเหลือเรื่องสิทธิของเจ้าของข้อมูลและการแจ้งเหตุละเมิด และลบหรือส่งคืนข้อมูลเมื่อสิ้นสุดบริการ
14. นโยบายคุกกี้ (Cookies)
เว็บไซต์ของเราใช้คุกกี้เพื่อจดจำการล็อกอินและปรับปรุงประสบการณ์การใช้งาน เมื่อคุณเข้าใช้ครั้งแรก ระบบจะแสดงแถบขอความยินยอมคุกกี้ (cookie consent banner) ให้คุณเลือก "จำเป็นเท่านั้น" หรือ "ยอมรับทั้งหมด" · ระบบจะจดจำการเลือกของคุณไว้ 365 วัน เราใช้คุกกี้ 3 ประเภท:
- จำเป็น (Essential):
cn_sessionสำหรับ session login ·cn_csrfสำหรับป้องกัน CSRF ·cn_consentสำหรับจดจำการยินยอมคุกกี้ — คุกกี้กลุ่มนี้ปิดไม่ได้ เพราะบริการจะใช้งานไม่ได้ - สถิติ (Analytics): ไม่เก็บข้อมูลที่ระบุตัวตน ใช้เพื่อวัดการใช้งานและพัฒนาบริการ — เลือกเปิด/ปิดได้ผ่าน banner
- การตลาด (Marketing): สำหรับ remarketing บน Facebook / Google — เลือกเปิด/ปิดได้ผ่าน banner
คุณสามารถเปลี่ยนการตั้งค่าได้โดยลบคุกกี้ cn_consent ในเบราว์เซอร์
แล้วโหลดหน้าใหม่เพื่อให้ banner แสดงอีกครั้ง
หรือจัดการได้ที่ การตั้งค่าความเป็นส่วนตัว ใน Dashboard
15. การเปลี่ยนแปลงนโยบาย
เราอาจปรับปรุงนโยบายนี้เป็นครั้งคราว การเปลี่ยนแปลงสำคัญจะแจ้งทางอีเมลและบนเว็บไซต์ก่อนมีผลบังคับใช้ 30 วัน
16. ติดต่อเรา
- อีเมล: privacy@channeung.org
- เว็บไซต์: channeung.org
- หน้าลบข้อมูล: ขอลบข้อมูล
สำหรับผู้ใช้ Facebook · Instagram · LINE
บริการของเราเชื่อมต่อกับแพลตฟอร์มของ Meta (Facebook/Instagram) และ LINE — ข้อมูลที่เกี่ยวกับบัญชีของคุณบนแพลตฟอร์มเหล่านั้น จะอยู่ภายใต้นโยบายของผู้ให้บริการนั้นด้วย เช่น นโยบายข้อมูลของ Meta