ฤกษ์นาม
PDPA — ประเทศไทย

นโยบายความเป็นส่วนตัว

ปรับปรุงล่าสุด: 28 พฤษภาคม 2569

ฤกษ์นาม เคารพในสิทธิความเป็นส่วนตัวของผู้ใช้ และปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)เอกสารฉบับนี้อธิบายข้อมูลที่เราเก็บ วิธีการใช้ และสิทธิของท่าน

1. ผู้ควบคุมข้อมูลส่วนบุคคล

ผู้ให้บริการ ฤกษ์นาม — ติดต่อได้ที่อีเมล [email protected]

2. ข้อมูลที่เก็บรวบรวม

  • ข้อมูลการสมัครสมาชิก: อีเมล, ชื่อที่ใช้แสดง, รหัสผ่าน (เก็บแบบ hash, ระบบไม่สามารถถอดกลับได้)
  • ข้อมูลโหราศาสตร์: วันเดือนปีเกิด, เวลาเกิด, เพศ — ใช้คำนวณชื่อมงคล
  • ข้อมูลการใช้งาน: ประวัติการค้นหา, ชื่อโปรด, คำสั่งซื้อ
  • ข้อมูลการชำระเงิน: ส่งโดยตรงไปยัง Stripe — ระบบไม่เก็บเลขบัตรเครดิต
  • ข้อมูลเทคนิค: IP address, User Agent (ใช้สำหรับ rate limiting + CAPTCHA + log)

3. วัตถุประสงค์ในการใช้ข้อมูล

  • ให้บริการแนะนำชื่อ ทำนาย และตั้งชื่อตามคำขอ
  • ติดต่อกลับเมื่อสถานะคำสั่งเปลี่ยน (ผ่านอีเมล Brevo)
  • ปรับปรุงประสบการณ์การใช้งานและคุณภาพคำแนะนำ
  • ป้องกันการใช้งานในทางที่ผิด (rate limit, CAPTCHA, audit log)
  • ปฏิบัติตามข้อกฎหมาย เช่น การออกใบเสร็จและการเก็บหลักฐานทางบัญชี

4. ฐานทางกฎหมาย (Lawful Basis)

  • สัญญา: ข้อมูลที่จำเป็นต้องใช้ในการให้บริการตามที่ผู้ใช้ขอ
  • ความยินยอม: การส่งอีเมลข่าวสารหรือโปรโมชั่น (ถ้ามี — ปัจจุบันไม่มี)
  • ประโยชน์โดยชอบ: การวิเคราะห์ aggregate ปรับปรุงระบบ การป้องกัน fraud
  • ภาระตามกฎหมาย: เก็บข้อมูลคำสั่งซื้อตามที่กฎหมายภาษีและบัญชีกำหนด

5. ผู้รับข้อมูล (Third Parties)

ฤกษ์นาม ไม่ขายหรือแชร์ข้อมูลกับบุคคลที่สามเพื่อการตลาด เราใช้ผู้ให้บริการดังนี้:
  • Supabase (สหรัฐอเมริกา/EU) — เก็บฐานข้อมูลและจัดการ authentication
  • Cloudflare (ทั่วโลก) — โฮสติ้งและ CDN
  • Brevo (ฝรั่งเศส) — ส่งอีเมล transactional
  • Stripe (ไอร์แลนด์/สหรัฐ) — รับชำระเงิน
  • Hugging Face (ฝรั่งเศส/สหรัฐ) — โฮสติ้ง LLM (Qwen) + AyutthayaAlpha
  • Telegram (UAE) — แจ้งเตือนทีมงานเมื่อมีคำสั่งใหม่

ทุกผู้ให้บริการมีนโยบาย PDPA-equivalent และเชื่อถือได้ในระดับสากล

6. ระยะเวลาเก็บรักษา

  • ข้อมูลบัญชี: เก็บตลอดอายุการเป็นสมาชิก + 90 วันหลังลบบัญชี
  • ประวัติการค้นหา: เก็บ 12 เดือน
  • ข้อมูลคำสั่งซื้อ: เก็บ 5 ปี ตาม พ.ร.บ. การบัญชี
  • Log ระบบและ audit: เก็บ 90 วัน

7. สิทธิของเจ้าของข้อมูล (Data Subject Rights)

ตาม PDPA ท่านมีสิทธิดังต่อไปนี้:
  • สิทธิเข้าถึง: ขอสำเนาข้อมูลที่เราเก็บไว้
  • สิทธิแก้ไข: แก้ข้อมูลที่ไม่ถูกต้องผ่านหน้า /account หรือแจ้งทีมงาน
  • สิทธิลบ: ขอลบบัญชีและข้อมูลทั้งหมด ทีมงานดำเนินการภายใน 30 วัน
  • สิทธิโอนย้าย: ขอข้อมูลในรูปแบบ machine-readable
  • สิทธิคัดค้าน: ปฏิเสธการใช้ข้อมูลเพื่อ profile/marketing
  • สิทธิร้องเรียน: ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

ส่งคำขอใช้สิทธิได้ที่ [email protected]

8. มาตรการรักษาความปลอดภัย

  • เข้ารหัสการเชื่อมต่อด้วย HTTPS (TLS 1.3)
  • รหัสผ่าน hash ด้วย bcrypt (Supabase Auth)
  • Row Level Security (RLS) บน Supabase — ผู้ใช้เห็นได้แต่ข้อมูลของตน
  • Cloudflare Turnstile กันบอท + rate limit
  • Audit log ของทุก admin action

9. คุกกี้ (Cookies)

ระบบใช้ session cookie สำหรับการ login เท่านั้น ไม่ใช้ cookie สำหรับ tracking หรือโฆษณา

10. การโอนข้อมูลข้ามประเทศ

ผู้ให้บริการบางรายมีศูนย์ข้อมูลนอกประเทศไทย เราเลือกเฉพาะรายที่ได้รับการรับรองมาตรฐาน เช่น SOC 2, ISO 27001, หรืออยู่ภายใต้ GDPR ของ EU

11. การเปลี่ยนแปลงนโยบาย

การแก้ไขสำคัญจะประกาศบนเว็บไซต์และส่งอีเมลแจ้งสมาชิกอย่างน้อย 30 วันก่อนมีผล