นโยบายความเป็นส่วนตัว

1. ผู้ควบคุมข้อมูลส่วนบุคคล

Open Tech Box Co., Ltd. (เลขทะเบียนนิติบุคคล 0105563024520)
ที่อยู่: 80 Pracha Naruemit Rd., Bang Sue, Bang Sue, Bangkok, 10800
โทร: 02-912-9098, 02-963-0709

2. คำนิยาม

• ข้อมูลส่วนบุคคล — ข้อมูลที่ทำให้ระบุตัวบุคคลได้ ทั้งทางตรงและทางอ้อม
• เจ้าของข้อมูล — บุคคลที่ข้อมูลส่วนบุคคลนั้นระบุถึง (ผู้ใช้บริการ)
• การประมวลผล — การเก็บรวบรวม ใช้ เปิดเผย ส่ง ลบ หรือทำลายข้อมูล
• บริการ — เว็บไซต์ https://smedoc.app, LINE Bot และแอปพลิเคชันของ SMEdoc

3. ข้อมูลส่วนบุคคลที่เราเก็บรวบรวม

เราเก็บข้อมูลเฉพาะที่จำเป็นต่อการให้บริการเท่านั้น แบ่งเป็น 4 กลุ่ม:

1. ข้อมูลบัญชีผู้ใช้ — ชื่อ-นามสกุล, อีเมล, รูปโปรไฟล์ (จาก Google/LINE login)
2. ข้อมูลธุรกิจ — ชื่อกิจการ, เลขประจำตัวผู้เสียภาษี, ที่อยู่กิจการ
3. ข้อมูลเอกสาร — รูปบิล/ใบเสร็จ/ใบกำกับภาษีที่ผู้ใช้อัปโหลด รวมถึงข้อมูลที่ AI สกัดจากเอกสาร (ผู้ขาย, ยอดเงิน, รายการสินค้า ฯลฯ)
4. ข้อมูลทางเทคนิค — IP address, user agent, log การเข้าถึง, LINE userId และ LINE groupId

เราไม่เก็บข้อมูลบัตรเครดิต/เดบิต — การชำระเงินดำเนินการผ่าน Stripe ทั้งหมด

4. วัตถุประสงค์การใช้ข้อมูล

• เพื่อให้บริการตามสัญญา (จัดการเอกสาร, AI OCR, sync Drive/Sheets)
• เพื่อยืนยันตัวตน รักษาความปลอดภัย และป้องกันการทุจริต
• เพื่อปรับปรุงคุณภาพการให้บริการและพัฒนาฟีเจอร์ใหม่
• เพื่อแจ้งข่าวสารและประชาสัมพันธ์ (เฉพาะกรณีที่ท่านยินยอม)
• เพื่อปฏิบัติตามกฎหมาย (ภาษี, บัญชี, การร้องขอจากเจ้าหน้าที่)

5. ฐานทางกฎหมาย

เราประมวลผลข้อมูลส่วนบุคคลของท่านบนฐานทางกฎหมายดังนี้ตาม PDPA:

• การปฏิบัติตามสัญญา — สำหรับการให้บริการที่ท่านสมัครใช้
• ความยินยอม — สำหรับการตลาด, คุกกี้วิเคราะห์, การ sync Google
• ประโยชน์โดยชอบด้วยกฎหมาย — เพื่อความปลอดภัยและพัฒนาบริการ
• การปฏิบัติตามกฎหมาย — ภาษี, บัญชี, คำสั่งศาล

6. การเปิดเผยข้อมูลแก่บุคคลภายนอก

เราใช้บริการของผู้ให้บริการภายนอก (sub-processors) ที่จำเป็นต่อการให้บริการ:

• Neon — ฐานข้อมูลหลัก (PostgreSQL, AWS Singapore/US)
• Cloudflare R2 — เก็บไฟล์รูปบิล (Global edge)
• OpenAI — AI Vision OCR สกัดข้อมูล (United States)
• Google — Drive + Sheets sync (United States)
• LINE — รับรูปบิลผ่าน Bot (Japan)
• Stripe — ประมวลผลการชำระเงิน (United States)
• Vercel — Hosting (Global edge)

เราไม่ขาย ไม่ให้เช่า และไม่เปิดเผยข้อมูลส่วนบุคคลของท่านแก่บุคคลภายนอกเพื่อวัตถุประสงค์ทางการตลาดของบุคคลภายนอก

7. ระยะเวลาเก็บข้อมูล

• ข้อมูลบัญชีและธุรกิจ — ตลอดอายุการใช้งาน + 90 วันหลังยกเลิกบัญชี
• เอกสารภาษี/บิล — 5 ปี (ตามกฎหมายภาษี)
• Log การเข้าถึง — 90 วัน
• Backup — 30 วัน

8. สิทธิของเจ้าของข้อมูลตาม PDPA

ท่านมีสิทธิดังนี้ภายใต้ PDPA:

• สิทธิเข้าถึงและขอสำเนา — ขอดู/ดาวน์โหลดข้อมูลทั้งหมดของท่าน (ผ่าน /account → Export Data)
• สิทธิแก้ไข — ขอแก้ไขข้อมูลที่ไม่ถูกต้อง
• สิทธิลบ ("right to be forgotten") — ขอลบข้อมูลทั้งหมด (ผ่าน /account → Delete Account)
• สิทธิระงับการประมวลผล — ระงับการประมวลผลชั่วคราว
• สิทธิคัดค้าน — คัดค้านการประมวลผลในบางกรณี
• สิทธิเพิกถอนความยินยอม — สำหรับการประมวลผลที่อาศัยความยินยอม
• สิทธิร้องเรียน — ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

ท่านสามารถใช้สิทธิเหล่านี้ได้ที่หน้า "ใช้สิทธิเจ้าของข้อมูล" (/data-rights) หรือติดต่อเราตามข้อมูลใน ข้อ 11

9. มาตรการรักษาความปลอดภัย

• การเข้ารหัสข้อมูลขณะส่ง (HTTPS/TLS 1.3) และขณะจัดเก็บ (AES-256)
• การยืนยันตัวตนผ่าน OAuth (Google, LINE) — ไม่เก็บรหัสผ่านในระบบ
• การควบคุมการเข้าถึงตามบทบาท (Role-Based Access Control)
• การสำรองข้อมูลรายวัน + การตรวจสอบความผิดปกติ (audit log)
• การทดสอบความปลอดภัยอย่างสม่ำเสมอ (penetration testing)

10. คุกกี้

เราใช้คุกกี้เพื่อรักษาสถานะการเข้าสู่ระบบ จดจำการตั้งค่า และวิเคราะห์การใช้งาน — รายละเอียดในนโยบายคุกกี้ (/cookies) ท่านสามารถจัดการความยินยอมได้ตลอดเวลาผ่าน banner ด้านล่างของหน้าเว็บ

11. การติดต่อเรา

หากท่านมีข้อสงสัยเกี่ยวกับนโยบายฉบับนี้ หรือต้องการใช้สิทธิตาม PDPA กรุณาติดต่อ:

Open Tech Box Co., Ltd.
ที่อยู่: 80 Pracha Naruemit Rd., Bang Sue, Bang Sue, Bangkok, 10800
โทร: 02-912-9098, 02-963-0709
หน้า: ใช้สิทธิเจ้าของข้อมูล