Legal
นโยบายความเป็นส่วนตัว
Privacy Policy
มีผลบังคับใช้ตั้งแต่ 1 มกราคม 2568 · Effective 1 January 2025
ภาษาไทย
นโยบายความเป็นส่วนตัว
1. บทนำ
บริษัท วินด์ฟลู จำกัด ("บริษัท", "เรา") ผู้ให้บริการแพลตฟอร์ม Windflu AI Platform ("บริการ") ให้ความสำคัญกับความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้งาน ("ท่าน") ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ("PDPA") และกฎหมายที่เกี่ยวข้อง
2. ข้อมูลที่เราเก็บรวบรวม
2.1 ข้อมูลบัญชีผู้ใช้ (Account Data)
- ชื่อ-นามสกุล หรือชื่อที่แสดง (Display Name)
- อีเมลแอดเดรส
- รหัสผ่านที่เข้ารหัส (hashed password)
- วันที่สมัครสมาชิก และวันที่เข้าสู่ระบบล่าสุด
- แพ็กเกจการสมัครสมาชิก (subscription plan)
2.2 ข้อมูล Input จากผู้ใช้ (Prompt Input Data)
- ข้อความ prompt ที่ท่านพิมพ์เพื่อสร้าง script
- ธีม, หัวข้อ, โทนเสียง และพารามิเตอร์อื่น ๆ ที่ท่านระบุ
- ไฟล์อ้างอิงที่ท่านอัปโหลด (ถ้ามี)
2.3 เนื้อหาที่สร้างขึ้น (Generated Content)
- Script และบทพูดที่ระบบ AI สร้างให้
- ประวัติการสร้าง (generation history) และเวอร์ชันที่แก้ไข
2.4 บันทึกการใช้งาน (Usage Logs)
- IP address และข้อมูล device
- ประเภทและเวอร์ชันของ browser/OS
- หน้าที่เยี่ยมชม, เวลาที่ใช้งาน, และจำนวนครั้งที่ใช้บริการ
- บันทึก error และ performance metrics
2.5 ข้อมูลการชำระเงิน (Payment Data)
ข้อมูลการชำระเงินดำเนินการผ่านผู้ให้บริการชำระเงินบุคคลที่สาม บริษัทไม่เก็บข้อมูลบัตรเครดิตโดยตรง
3. วัตถุประสงค์การใช้ข้อมูล
| วัตถุประสงค์ | ฐานทางกฎหมาย (PDPA มาตรา 24) |
|---|---|
| ให้บริการสร้าง script ตามที่ท่านร้องขอ | การปฏิบัติตามสัญญา |
| ส่ง email แจ้งเตือนระบบและ transaction | การปฏิบัติตามสัญญา |
| ปรับปรุงคุณภาพและพัฒนา AI model | ประโยชน์โดยชอบด้วยกฎหมาย |
| วิเคราะห์การใช้งานเพื่อ UX/product improvement | ประโยชน์โดยชอบด้วยกฎหมาย |
| ส่ง newsletter และโปรโมชัน | ความยินยอม (สามารถถอนได้ตลอดเวลา) |
| ตรวจสอบและป้องกันการใช้งานโดยไม่ได้รับอนุญาต | ประโยชน์โดยชอบด้วยกฎหมาย / พันธกรณีทางกฎหมาย |
| ปฏิบัติตามคำสั่งของหน่วยงานกำกับดูแล | พันธกรณีทางกฎหมาย |
4. การแบ่งปันข้อมูลกับบุคคลที่สาม
4.1 ผู้ให้บริการ AI Model
เพื่อประมวลผล prompt และสร้าง script ข้อมูล prompt input ของท่านจะถูกส่งไปยัง:
- Anthropic, PBC (Claude API) — สหรัฐอเมริกา
- OpenAI, LLC (GPT API, หากเปิดใช้งาน) — สหรัฐอเมริกา
ผู้ให้บริการ AI เหล่านี้ทำหน้าที่เป็น Data Processor ตามสัญญา Data Processing Agreement (DPA) และไม่มีสิทธิ์นำข้อมูลของท่านไปฝึก model โดยไม่ได้รับอนุญาต
4.2 ผู้ให้บริการ Infrastructure
- Cloud hosting (เช่น AWS, Google Cloud, Vercel)
- ผู้ให้บริการชำระเงิน (เช่น Stripe, Omise)
- ผู้ให้บริการ analytics (เช่น Google Analytics) — ใช้ข้อมูล anonymized
4.3 กรณีอื่น
- หน่วยงานราชการหรือศาล เมื่อมีคำสั่งตามกฎหมาย
- ในกรณีควบรวมกิจการ (M&A) โดยจะแจ้งท่านล่วงหน้า
- เราจะไม่ขายข้อมูลส่วนบุคคลของท่านให้แก่บุคคลที่สามเพื่อวัตถุประสงค์ทางการตลาด
5. การโอนข้อมูลระหว่างประเทศ
การส่งข้อมูลไปยัง Anthropic และ OpenAI เป็นการโอนข้อมูลระหว่างประเทศ บริษัทได้ดำเนินมาตรการคุ้มครองที่เหมาะสมตาม PDPA มาตรา 28 รวมถึงการทำสัญญา Data Processing Agreement และการตรวจสอบมาตรฐานความปลอดภัย
6. ระยะเวลาการเก็บข้อมูล
| ประเภทข้อมูล | ระยะเวลาเก็บ |
|---|---|
| ข้อมูลบัญชี | ตลอดระยะเวลาที่บัญชียังใช้งาน + 1 ปีหลังปิดบัญชี |
| Prompt input และ Generated content | 90 วันนับจากวันสร้าง |
| Usage logs | 12 เดือน |
| บันทึกการชำระเงิน | 5 ปี ตาม พ.ร.บ. การบัญชี พ.ศ. 2543 |
| Backup data | 30 วันหลังลบต้นฉบับ |
7. สิทธิ์ของเจ้าของข้อมูลตาม PDPA
| สิทธิ์ | รายละเอียด | มาตรา PDPA |
|---|---|---|
| สิทธิ์รับทราบ | ทราบว่าเราเก็บข้อมูลอะไรบ้าง | มาตรา 23 |
| สิทธิ์เข้าถึง | ขอสำเนาข้อมูลส่วนบุคคล | มาตรา 30 |
| สิทธิ์แก้ไข | แก้ไขข้อมูลที่ไม่ถูกต้อง | มาตรา 34 |
| สิทธิ์ลบ | ขอให้ลบข้อมูลเมื่อไม่มีเหตุจำเป็น | มาตรา 33 |
| สิทธิ์จำกัดการใช้ | ขอให้หยุดประมวลผลชั่วคราว | มาตรา 35 |
| สิทธิ์ถ่ายโอน | ขอรับข้อมูลในรูปแบบที่ใช้ได้ทั่วไป | มาตรา 31 |
| สิทธิ์คัดค้าน | คัดค้านการประมวลผลในบางกรณี | มาตรา 32 |
| สิทธิ์ถอนความยินยอม | ถอนความยินยอมที่เคยให้ไว้ได้ตลอดเวลา | มาตรา 19 |
8. ความปลอดภัยของข้อมูล
- เข้ารหัสข้อมูลระหว่างส่ง (TLS 1.2+) และขณะเก็บ (AES-256)
- การยืนยันตัวตนสองขั้นตอน (2FA) สำหรับบัญชีผู้ดูแลระบบ
- ตรวจสอบช่องโหว่ด้านความปลอดภัยเป็นประจำ
- จำกัดสิทธิ์การเข้าถึงข้อมูลตามหลัก least privilege
9. คุกกี้และเทคโนโลยีติดตาม
- Essential cookies: จำเป็นสำหรับการทำงานของบริการ ไม่สามารถปิดได้
- Analytics cookies: Google Analytics — สามารถปิดได้ผ่านการตั้งค่า browser
- Preference cookies: จดจำการตั้งค่าของท่าน
10. ช่องทางติดต่อและ DPO
เราจะตอบกลับคำร้องของท่านภายใน 30 วัน หากไม่พอใจสามารถร้องเรียนต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ที่ pdpc.or.th
11. การเปลี่ยนแปลงนโยบาย
การเปลี่ยนแปลงที่สำคัญจะแจ้งผ่านอีเมลหรือ banner บนหน้าเว็บล่วงหน้า 30 วัน ก่อนมีผลบังคับใช้
English
Privacy Policy
1. Introduction
Windflu Co., Ltd. ("Company", "we") operates Windflu AI Platform ("Service"), an AI-powered script and content generation tool for Thai content creators. We are committed to protecting your personal data under the Personal Data Protection Act B.E. 2562 (2019) (PDPA) and applicable Thai law.
2. Data We Collect
2.1 Account Data
- Name or display name, email address
- Hashed password, registration date, last login date
- Subscription plan and billing information
2.2 Prompt Input Data
- Text prompts you submit to generate scripts
- Theme, topic, tone, and other generation parameters
- Reference files you upload (if any)
2.3 Generated Content
- Scripts and dialogue generated by the AI
- Generation history and revision versions
2.4 Usage Logs
- IP address, device information, browser and OS type/version
- Pages visited, session duration, feature usage frequency
- Error logs and performance metrics
2.5 Payment Data
Processed exclusively through third-party payment providers; we do not store raw card data.
3. How We Use Your Data
| Purpose | Legal Basis (PDPA Section 24) |
|---|---|
| Delivering the AI script generation service | Performance of contract |
| Sending transactional and system emails | Performance of contract |
| Improving AI quality and product features | Legitimate interests |
| Usage analytics and UX research | Legitimate interests |
| Marketing newsletters and promotions | Consent (withdrawable at any time) |
| Fraud detection and abuse prevention | Legitimate interests / Legal obligation |
| Complying with regulatory or court orders | Legal obligation |
4. Sharing Data with Third Parties
4.1 AI Model Providers
To process your prompts and generate content, your prompt input data is sent to:
- Anthropic, PBC (Claude API) — United States
- OpenAI, LLC (GPT API, if enabled) — United States
These providers act as Data Processors under Data Processing Agreements and are contractually prohibited from using your data to train their models without authorization.
4.2 Infrastructure Providers
- Cloud hosting (e.g., AWS, Google Cloud, Vercel)
- Payment processors (e.g., Stripe, Omise)
- Analytics providers (e.g., Google Analytics) using anonymized data
4.3 Other Disclosures
- Government or judicial authorities upon lawful request
- Successors in a merger or acquisition, with prior notice to you
- We do not sell your personal data to third parties for marketing purposes
5. International Data Transfers
Transfers to Anthropic and OpenAI in the United States constitute cross-border data transfers. We have implemented appropriate safeguards per PDPA Section 28, including Data Processing Agreements ensuring equivalent protection standards.
6. Data Retention
| Data Type | Retention Period |
|---|---|
| Account data | Duration of account + 1 year post-closure |
| Prompt input & Generated content | 90 days from creation (or until manually deleted) |
| Usage logs | 12 months |
| Payment records | 5 years (Accounting Act B.E. 2543) |
| Backup data | 30 days after primary deletion |
7. Your Rights under PDPA
| Right | Description | PDPA Section |
|---|---|---|
| Right to be informed | Know what data we hold | Section 23 |
| Right of access | Obtain a copy of your data | Section 30 |
| Right of rectification | Correct inaccurate or incomplete data | Section 34 |
| Right to erasure | Request deletion when no longer necessary | Section 33 |
| Right to restriction | Suspend processing temporarily | Section 35 |
| Right to portability | Receive data in machine-readable format | Section 31 |
| Right to object | Object to certain processing activities | Section 32 |
| Right to withdraw consent | Revoke consent at any time | Section 19 |
8. Security Measures
- Data-in-transit encryption (TLS 1.2+) and data-at-rest encryption (AES-256)
- Two-factor authentication (2FA) for administrative accounts
- Regular vulnerability assessments and security audits
- Role-based access control following least privilege
9. Cookies
- Essential: Required for service operation; cannot be disabled
- Analytics: Google Analytics — opt-out via browser settings
- Preferences: Remembers your settings across sessions
10. Contact & Data Protection Officer
We will respond within 30 days. If unsatisfied, you may lodge a complaint with the PDPC at pdpc.or.th.
11. Changes to This Policy
Material changes will be communicated via email or in-app banner at least 30 days before taking effect. Continued use constitutes acceptance of the updated policy.