อัปเดตล่าสุด: 12 มิถุนายน 2569 • เวอร์ชัน 1.0
มีผลบังคับใช้: 12 มิถุนายน 2569

นโยบายความเป็นส่วนตัว (Privacy Policy)

Flowlancekit (ซึ่งต่อไปนี้จะเรียกว่า "เรา", "บริษัท") ให้ความสำคัญสูงสุดกับการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้งาน นโยบายฉบับนี้อธิบายถึงวิธีการที่เราเก็บรวบรวม ใช้ เปิดเผย และคุ้มครองข้อมูลของคุณ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ("PDPA")

การเข้าถึงหรือใช้งานบริการ Flowlancekit ถือว่าคุณรับทราบและยอมรับเงื่อนไขในนโยบายความเป็นส่วนตัวนี้ หากคุณไม่เห็นด้วยกับข้อกำหนด โปรดระงับการใช้งานบริการของเราทันที

1. บทบาทของเราในการประมวลผลข้อมูล

1.1 ในฐานะผู้ควบคุมข้อมูล (Data Controller)

เราเป็นผู้ตัดสินใจเกี่ยวกับวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการ (ฟรีแลนซ์) ที่ลงทะเบียนสมัครสมาชิก ยืนยันตัวตน หรือทำธุรกรรมกับเรา:

  • ชื่อบริการ: Flowlancekit

  • เว็บไซต์: flowlancekit.com

  • ช่องทางติดต่อ: contact@flowlancekit.com

  • ที่อยู่: ประเทศไทย

1.2 ในฐานะผู้ประมวลผลข้อมูล (Data Processor)

เราทำหน้าที่เป็นผู้ประมวลผลสำหรับข้อมูลของลูกค้าของผู้ใช้ (เช่น รายชื่อลูกค้า ที่อยู่ ข้อมูลติดต่อ) ที่ผู้ใช้บันทึกในระบบเพื่อออกเอกสารทางธุรกิจ ผู้ใช้ (ฟรีแลนซ์) ในฐานะ Data Controller มีหน้าที่รับผิดชอบในการได้รับความยินยอมจากลูกค้าของตนเองตาม PDPA

2. ข้อมูลส่วนบุคคลที่เราเก็บรวบรวม

2.1 ข้อมูลที่คุณให้แก่เราโดยตรง

  • ข้อมูลบัญชี: ชื่อ-นามสกุล, ที่อยู่อีเมล, เบอร์โทรศัพท์, รหัสผ่าน (เก็บแบบ hashed ด้วย bcrypt 10+ rounds — เราไม่เก็บรหัสผ่าน plain text)

  • ข้อมูลธุรกิจและภาษี: ที่อยู่จดทะเบียน, ข้อมูลนิติบุคคล, เลขประจำตัวผู้เสียภาษี, ข้อมูลบัญชีธนาคาร (รวมถึง PromptPay)

  • ข้อมูลยืนยันตัวตน (KYC): สำเนาบัตรประชาชน, ภาพถ่ายใบหน้า (Selfie), และสมุดบัญชีธนาคาร

หมายเหตุ: โปรดขีดฆ่าข้อมูล "ศาสนา" และ "กรุ๊ปเลือด" บนหน้าบัตรประชาชนก่อนส่งให้เรา หากท่านไม่ได้ดำเนินการ เราขอสงวนสิทธิ์ในการดำเนินการขีดฆ่าข้อมูลดังกล่าวเพื่อคุ้มครองข้อมูลละเอียดอ่อนของท่าน

  • ข้อมูลเนื้อหา: ข้อมูลลูกค้า, เอกสารทางธุรกิจ (ใบเสนอราคา, ใบแจ้งหนี้, ใบเสร็จ, ภงด.), ผลงาน (Portfolio), และไฟล์สื่อต่าง ๆ ที่อัปโหลดเข้าระบบ

  • สลิปการชำระเงิน: ภาพสลิปที่อัปโหลดเพื่อยืนยันการสั่งซื้อแพ็กเกจ — ผ่านการตรวจสอบโดย admin (manual review) ไม่ได้เชื่อมต่อ API ธนาคารเพื่อ verify อัตโนมัติ

  • สถานะ Early Adopter: หากท่านลงทะเบียนก่อนเปิดตัวระบบ บัญชีจะได้รับสถานะ Early Adopter ซึ่งอาจแสดงเป็น badge บนหน้าโปรไฟล์สาธารณะ การลงทะเบียนถือว่าท่านยินยอมให้แสดงสถานะดังกล่าวต่อสาธารณะ — ท่านสามารถปิดการแสดงผลได้ผ่านการตั้งค่าบัญชีตลอดเวลา

2.2 ข้อมูลที่เก็บรวบรวมโดยอัตโนมัติ

  • ข้อมูลทางเทคนิค: ที่อยู่ IP (เก็บเป็น SHA-256 hash + salt ไม่ใช่ raw IP), ประเภทเบราว์เซอร์, ระบบปฏิบัติการ, User Agent, รหัส visitor แบบ anonymous (UUID)

  • บันทึกการใช้งาน (Logs):

    • ประวัติการเข้าสู่ระบบ + ความพยายามที่ล้มเหลว (สำหรับ security audit)

    • หน้าที่เข้าชม + ฟีเจอร์ที่ใช้งาน

    • ข้อผิดพลาดของระบบ

    • สถิติการเปิดดูเอกสารผ่านลิงก์แชร์ (Magic Link) — รวม IP hash, User Agent, เวลา

สำหรับข้อมูลที่จัดเก็บผ่านคุกกี้และ Browser Storage (เช่น visitor ID, consent preferences) ดูรายละเอียดเพิ่มเติมใน นโยบายการใช้คุกกี้ (Cookie Policy)

2.3 ข้อมูลจากบุคคลที่สาม

ปัจจุบันเราไม่ได้รับข้อมูลจากบุคคลที่สามโดยอัตโนมัติ ในอนาคตหากมีการเชื่อมต่อกับผู้ให้บริการยืนยันตัวตน (เช่น NDID, ตรวจสอบเลขบัตรประชาชน) จะแจ้งให้ทราบล่วงหน้าและขอความยินยอมใหม่

2.4 ข้อมูลที่เกี่ยวข้องกับระบบแจ้งเตือนการชำระเงิน (Payment Reminder)

เมื่อผู้ใช้เปิดใช้ฟีเจอร์ Payment Reminder ระบบจะประมวลผลอีเมลของลูกค้าของผู้ใช้เพื่อส่งการแจ้งเตือนชำระเงินโดยอัตโนมัติ:

  • ระบบเก็บ Log การส่งอีเมล (timestamp, สถานะ, อีเมลปลายทาง) เพื่อป้องกันการส่งซ้ำ และเก็บไว้ 90 วัน จากนั้นลบอัตโนมัติ

  • ข้อมูลอีเมลลูกค้าที่ใช้ในระบบนี้ถือเป็นความรับผิดชอบของผู้ใช้ (Data Controller) ในการมีสิทธิ์ตามกฎหมาย

  • Flowlancekit ทำหน้าที่เป็น Data Processor ในส่วนนี้ — ดำเนินการตามคำสั่งของผู้ใช้เท่านั้น

3. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผล

3.1 ฐานสัญญา (Contractual Necessity)

ประมวลผลข้อมูลเพื่อให้บริการตามที่คุณร้องขอ ได้แก่:

  • การสร้างและจัดการบัญชีผู้ใช้งาน

  • การให้บริการเครื่องมือบริหารจัดการงานและลูกค้า

  • การออกเอกสารทางธุรกิจ (ใบเสนอราคา / ใบแจ้งหนี้ / ใบเสร็จ)

  • การดำเนินการชำระเงินและการสมัครแพ็กเกจ

  • การส่งการแจ้งเตือนชำระเงิน (Payment Reminder) ตามคำสั่งของผู้ใช้

3.2 ฐานความยินยอม (Consent)

ประมวลผลข้อมูลบางประเภทเมื่อได้รับความยินยอมจากคุณ:

  • การยืนยันตัวตน (KYC)

  • การใช้คุกกี้เพื่อการวิเคราะห์ (Google Analytics)

  • การส่งข่าวสาร / โปรโมชัน (Pre-register marketing)

  • คุกกี้การตลาดในอนาคต (เมื่อเปิดใช้งาน)

3.3 ฐานประโยชน์อันชอบธรรม (Legitimate Interest)

ประมวลผลข้อมูลเพื่อผลประโยชน์ทางธุรกิจที่สมเหตุสมผล:

  • การตรวจสอบและป้องกันการฉ้อโกง

  • การรักษาความมั่นคงปลอดภัยของระบบ (security logs, rate limiting)

  • การวิเคราะห์พฤติกรรมการใช้งานในภาพรวมเพื่อพัฒนาฟีเจอร์

  • การส่งอีเมลเกี่ยวกับการให้บริการ (ใบเสร็จ, แจ้งเตือนระบบ)

3.4 ฐานหน้าที่ตามกฎหมาย (Legal Obligation)

ประมวลผลข้อมูลเพื่อปฏิบัติตามข้อกำหนดทางกฎหมาย:

  • จัดทำบัญชีและเสียภาษีตามประมวลรัษฎากร

  • เก็บเอกสารทางธุรกิจตามมาตรา 87 (เก็บอย่างน้อย 5 ปี)

  • ตอบสนองคำขอตามคำสั่งศาลหรือหน่วยงานที่มีอำนาจ

4. คุกกี้ (Cookies)

เรามีการใช้งานคุกกี้เพื่อเพิ่มประสิทธิภาพในการให้บริการ ท่านสามารถศึกษารายละเอียดเพิ่มเติมเกี่ยวกับประเภทคุกกี้ที่เราใช้และการจัดการคุกกี้ได้ที่ นโยบายการใช้คุกกี้ (Cookie Policy) (/cookies)

5. การเปิดเผยข้อมูลแก่บุคคลที่สาม

เราเปิดเผยข้อมูลส่วนบุคคลของคุณเฉพาะแก่ผู้ให้บริการที่จำเป็นต่อการดำเนินงานเท่านั้น และภายใต้ข้อตกลงการประมวลผลข้อมูลที่เข้มงวด ข้อมูลของคุณไม่ถูกนำไปใช้เพื่อวัตถุประสงค์ทางการตลาดของบุคคลภายนอก ดังนี้:

5.1 ผู้ให้บริการโครงสร้างพื้นฐาน

  • Vercel — Frontend hosting (สหรัฐอเมริกา / global edge network)

  • Railway — Backend + Database (MySQL) hosting (สหรัฐอเมริกา); จัดทำ daily automated backup ภายใน infrastructure เดียวกัน ข้อมูล backup ไม่ถูกส่งออกนอก region โดยอัตโนมัติ

  • Cloudflare R2 — Object storage สำหรับไฟล์อัปโหลด (KYC, รูปโปรไฟล์, สลิป)

  • Cloudflare — DNS + CDN + DDoS protection

5.2 ผู้ให้บริการสื่อสาร

  • Brevo (เดิมชื่อ Sendinblue) — อีเมลทรานแซคชัน (OTP, แจ้งเตือน, ใบเสร็จ) อยู่ในประเทศฝรั่งเศส (EU)

5.3 ผู้ให้บริการวิเคราะห์ (เฉพาะเมื่อได้รับความยินยอม)

  • Google Analytics 4 — สถิติการใช้งานในภาพรวม

5.4 หน่วยงานของรัฐ

เปิดเผยเฉพาะเมื่อมีคำขอตามกฎหมาย คำสั่งศาล หรือหน่วยงานที่มีอำนาจ — ตามขอบเขตและวัตถุประสงค์ที่กฎหมายกำหนด

6. การส่งข้อมูลระหว่างประเทศ

เราใช้บริการ Cloud Computing ที่อาจมีการเก็บข้อมูลในเซิร์ฟเวอร์ต่างประเทศ ดังนี้:

  • Vercel (สหรัฐอเมริกา + global edge) — HTML, JS, CSS, server-rendered pages

  • Railway (สหรัฐอเมริกา) — Database, application code

  • Cloudflare R2 (Asia-Pacific / APAC) — ไฟล์อัปโหลด (KYC, สลิป, รูปภาพ)

  • Brevo (ฝรั่งเศส / EU) — Email content + delivery logs

  • Google Analytics (สหรัฐอเมริกา) — Anonymized usage data (consent-gated)

ผู้ให้บริการเหล่านี้ผ่านมาตรฐานการคุ้มครองข้อมูลที่เทียบเท่า PDPA (เช่น GDPR, SOC 2, ISO 27001)

7. ระยะเวลาการเก็บรักษาข้อมูล

  • ข้อมูลบัญชีและ KYC: เก็บไว้ตลอดระยะเวลาที่ท่านเป็นสมาชิก เมื่อขอปิดบัญชี ระบบจะระงับการเข้าถึง (Soft Delete) ทันที — ผู้ใช้สามารถส่งคำขอให้ลบข้อมูลส่วนบุคคลถาวรเพิ่มเติมได้ที่ contact@flowlancekit.com (เราจะดำเนินการภายใน 30 วัน ยกเว้นข้อมูลที่ต้องคงไว้ตามกฎหมาย)

  • เอกสารทางธุรกิจ (ใบเสนอราคา / ใบแจ้งหนี้ / ใบเสร็จ / ภงด.): เก็บไว้อย่างน้อย 5 ปี ตามมาตรา 87 แห่งประมวลรัษฎากร

  • Audit logs (login history, failed attempts): เก็บ 1 ปี เพื่อ security audit

  • Cookie consent records: เก็บ 1 ปี เพื่อพิสูจน์การให้ความยินยอม

  • Email logs (ส่ง / สถานะ): เก็บ 90 วัน

  • Landing analytics (ip hash, page view): เก็บ 90 วัน — anonymized

8. สิทธิ์ของเจ้าของข้อมูล (Data Subject Rights)

ภายใต้ PDPA ท่านมีสิทธิ์ดังนี้:

  • สิทธิ์เข้าถึง (Access) — ขอสำเนาข้อมูลส่วนบุคคลที่เรามีของท่าน

  • สิทธิ์แก้ไข (Rectification) — ขอแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่ครบถ้วน

  • สิทธิ์ลบ (Erasure) — ขอลบข้อมูลส่วนบุคคลของท่าน (ภายใต้ข้อยกเว้นทางกฎหมาย)

  • สิทธิ์ระงับการใช้ (Restriction) — ขอให้หยุดประมวลผลข้อมูลชั่วคราว

  • สิทธิ์โอนถ่ายข้อมูล (Portability) — ขอข้อมูลในรูปแบบที่อ่านได้ด้วยเครื่อง (Excel, CSV) เพื่อโอนไปบริการอื่น

  • สิทธิ์คัดค้าน (Objection) — คัดค้านการประมวลผลภายใต้ฐานประโยชน์อันชอบธรรม

  • สิทธิ์ถอนความยินยอม (Withdraw Consent) — ถอนความยินยอมที่เคยให้ไว้ เช่น Cookie consent, Marketing email

ติดต่อ contact@flowlancekit.com หัวเรื่อง [Privacy] [ประเภทคำขอ] — เราจะดำเนินการภายใน 30 วัน

9. มาตรการรักษาความปลอดภัย

เราใช้มาตรการเทคนิคและการบริหารจัดการเพื่อป้องกันการเข้าถึงโดยมิชอบ ได้แก่:

  • การเข้ารหัสรหัสผ่านด้วย bcrypt (10+ rounds)

  • JWT authentication กับ cookie ที่ตั้งค่า SameSite=Strict และ Secure (HTTPS-only)

  • Hash IP address ด้วย SHA-256 + salt ก่อนเก็บ — ไม่จัดเก็บ raw IP

  • การควบคุมสิทธิ์การเข้าถึงตามบทบาท (RBAC — Role-Based Access Control)

  • Rate limiting ทุก endpoint (เช่น login 5 ครั้ง/นาที, pre-register 5 ครั้ง/นาที)

  • HTTPS ตลอดทั้งระบบผ่าน Cloudflare + Vercel

  • Database backup รายวันผ่าน Railway managed service

  • ตรวจสอบช่องโหว่ความปลอดภัยอย่างสม่ำเสมอผ่าน npm audit

  • การป้องกัน CSRF ผ่าน SameSite cookies + การตรวจสอบ origin

10. การปกป้องข้อมูลของเด็ก

บริการ Flowlancekit มุ่งให้กับฟรีแลนซ์ที่บรรลุนิติภาวะ (อายุ 20 ปีบริบูรณ์) เราไม่ได้เก็บข้อมูลของผู้เยาว์โดยเจตนา หากพบว่ามีการเก็บข้อมูลของผู้เยาว์โดยไม่ได้รับความยินยอมจากผู้ปกครอง เราจะลบข้อมูลทันที

11. การเปลี่ยนแปลงนโยบาย

เราอาจปรับปรุงนโยบายฉบับนี้เป็นครั้งคราวเพื่อสะท้อนการเปลี่ยนแปลงของบริการหรือกฎหมาย เมื่อมีการเปลี่ยนแปลงสำคัญ:

  1. เลขเวอร์ชันด้านบนจะเพิ่มขึ้น

  2. วันที่ปรับปรุงล่าสุดจะอัปเดต

  3. หากมีผลกระทบต่อสิทธิ์ของท่าน เราจะแจ้งให้ทราบทางอีเมล หรือผ่าน banner บนเว็บไซต์ล่วงหน้าอย่างน้อย 7 วัน

12. ติดต่อเรา

หากมีข้อสงสัยหรือต้องการใช้สิทธิ์ตาม PDPA โปรดติดต่อ:

  • อีเมล: contact@flowlancekit.com

  • หัวเรื่อง: [Privacy Inquiry] [ประเภทคำขอ]

ตัวอย่าง: [Privacy Inquiry] ขอสำเนาข้อมูลส่วนบุคคลของฉัน | [Privacy Inquiry] ขอลบบัญชีและทำลายข้อมูล | [Privacy Inquiry] ถอนความยินยอมในการจัดส่งอีเมลการตลาด

ให้งานไหลลื่น ชีวิตไม่สะดุด — สร้างด้วย Flowlancekit