Privacy Policy
นโยบายคุ้มครองข้อมูลส่วนบุคคล
1. เกี่ยวกับนโยบายนี้
นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ('นโยบาย') อธิบายวิธีที่ CAIKU เก็บ ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของคุณ เมื่อคุณใช้บริการของเรา รวมถึงเว็บไซต์ caiku.ai, แพลตฟอร์ม CAIKU AI Agent, และบริการอื่นๆ ที่เกี่ยวข้อง ('บริการ')
การใช้บริการของเรา หมายถึงคุณยอมรับนโยบายนี้ ถ้าไม่ยอมรับ — โปรดหยุดใช้บริการ
นโยบายนี้สอดคล้องกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ('PDPA') และกฎหมายไทยที่เกี่ยวข้อง
2. ผู้ควบคุมข้อมูลส่วนบุคคล
- ชื่อบริษัท
- บริษัท ฮัลโหลแอดส์ จำกัด
- ที่อยู่
- เลขที่ 14 ซอย วิภาวดีรังสิต 16/29 แขวงรัชดาภิเษก เขตดินแดง กรุงเทพมหานคร 10400
- เลขประจำตัวผู้เสียภาษี
- 0205558029691
- อีเมล
- privacy@caiku.ai
- โทรศัพท์
- 02-038-5565
2.1 Data Protection Officer (DPO)
CAIKU แต่งตั้ง DPO เพื่อดูแลเรื่อง privacy compliance:
- ชื่อ DPO
- Pitsanuchai Thongtha
- อีเมล
- dpo@caiku.ai
- โทรศัพท์
- +1 437 669 6615
- เวลาทำการ
- จันทร์–ศุกร์ 9:00–18:00
3. ข้อมูลที่เก็บ
เราเก็บข้อมูลส่วนบุคคลของคุณ 4 ประเภทหลัก:
3.1 ข้อมูลบัญชีผู้ใช้ (Account Data)
- ชื่อ-นามสกุล
- อีเมล
- เบอร์โทรศัพท์
- ชื่อบริษัท + ตำแหน่งงาน (ถ้ามี)
- รหัสผ่าน (เก็บแบบ encrypted hash)
3.2 ข้อมูลการใช้งาน (Usage Data)
- Conversation logs (chat + voice transcripts)
- Lead data ที่คุณ upload เข้าระบบ
- Knowledge base content
- Configuration + settings
- Activity logs (login, actions performed)
3.3 ข้อมูลทางเทคนิค (Technical Data)
- IP address
- Browser type + version
- Device type + OS
- Cookies + similar tracking technologies
- API request logs
3.4 ข้อมูลการชำระเงิน (Payment Data)
- ข้อมูลการชำระเงิน — เก็บโดย payment processor (Stripe / Omise) ไม่ใช่ CAIKU
- CAIKU เก็บแค่: หมายเลข transaction, วันที่, จำนวนเงิน, สถานะ
- ข้อมูลออกใบกำกับภาษี (tax invoice) — ตามที่กฎหมายกำหนด
3.5 ข้อมูลที่ไม่เก็บ
- ข้อมูลบัตรเครดิตเต็ม (เก็บโดย payment processor เท่านั้น)
- ข้อมูล sensitive ตามมาตรา 26 PDPA (เชื้อชาติ, ศาสนา, ข้อมูลสุขภาพ, ข้อมูลพันธุกรรม) — ยกเว้นได้ explicit consent
- ข้อมูลของผู้เยาว์อายุต่ำกว่า 20 ปี — ห้าม end-user ใต้ 20 ปีใช้บริการ
4. วัตถุประสงค์ + ฐานทางกฎหมาย
เราประมวลผลข้อมูลของคุณตามวัตถุประสงค์ + ฐานทางกฎหมายต่อไปนี้:
| วัตถุประสงค์ | ข้อมูลที่ใช้ | ฐานทางกฎหมาย | ระยะเวลาเก็บ |
|---|---|---|---|
| ให้บริการ AI Agent ตามที่คุณ subscribe | Account + Usage + Technical | มาตรา 24(3) Contract performance | ระหว่างใช้บริการ + 90 วันหลัง |
| ปรับปรุง + พัฒนาบริการ | Usage data (anonymized) | มาตรา 24(5) Legitimate Interest | 5 ปี (anonymized) |
| รักษาความปลอดภัย + ป้องกันการใช้งานผิด | Technical + Activity logs | มาตรา 24(5) Legitimate Interest | 1 ปี |
| ปฏิบัติตามกฎหมาย — ภาษี, การเงิน | Account + Payment data | มาตรา 24(6) Legal obligation | 5 ปี (ตามที่กฎหมายกำหนด) |
| ส่ง marketing communications | Account + อีเมล | มาตรา 24(1) Consent | จนกว่าจะถอนความยินยอม |
| Voice cloning (feature ใน Pro+ tier) | Voice samples | มาตรา 24(1) Explicit Consent | ระหว่างใช้บริการ + ลบทันทีเมื่อยกเลิก |
สำหรับ Legitimate Interest basis — เรามี Legitimate Interest Assessment (LIA) document ที่ผ่านการประเมิน 3-part test (purpose, necessity, balancing test) คุณสามารถขอดูได้โดยติดต่อ DPO
5. การเปิดเผย + ส่งต่อข้อมูล
เราอาจเปิดเผยข้อมูลของคุณกับผู้รับต่อไปนี้:
5.1 Service Providers (Data Processors)
| Vendor | บริการ | ข้อมูลที่ส่ง | Location |
|---|---|---|---|
| OpenAI | GPT + Realtime API + Whisper | Conversation content | USA |
| Anthropic | Claude API | Conversation content | USA |
| Google Cloud | Gemini + Cloud infrastructure | Conversation + storage | USA / Asia |
| Twilio | Voice telephony | Phone call audio + metadata | USA |
| Retell AI / Vapi | Voice agent infrastructure | Voice + conversation | USA |
| Supabase | Database + authentication | Account + usage data | USA / EU |
| Railway | Application hosting | All operational data | USA |
| Cloudflare | CDN + security | Technical metadata | Global |
| Stripe / Omise | Payment processing | Payment data | USA / Thailand |
Vendors ทั้งหมดด้านบนเป็น 'Data Processor' ตาม PDPA — เราเซ็น Data Processing Agreement (DPA) กับทุกราย DPA ระบุชัดเจนว่า vendor ห้ามใช้ข้อมูลเพื่อวัตถุประสงค์อื่นนอกจากที่เราสั่ง
5.2 การส่งข้อมูลข้ามประเทศ (International Transfer)
ข้อมูลของคุณอาจถูกส่งไปประมวลผลในประเทศที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลต่ำกว่าไทย (เช่น USA) เราใช้มาตรการคุ้มครอง:
- Standard Contractual Clauses (SCCs) ใน DPA กับทุก vendor
- Encryption ระหว่างส่งข้อมูล (TLS 1.3+)
- Access control + audit logs
- Vendor selection ที่มี privacy compliance certification (SOC 2, ISO 27001)
5.3 การเปิดเผยตามกฎหมาย
เราอาจเปิดเผยข้อมูลของคุณเมื่อ:
- มีคำสั่งศาล หรือคำสั่งจากหน่วยงานราชการ
- จำเป็นเพื่อป้องกันอาชญากรรม หรือคุ้มครองชีวิต
- จำเป็นเพื่อปกป้องสิทธิของ CAIKU หรือผู้ใช้รายอื่น
5.4 การเปิดเผยที่เราไม่ทำ
เราไม่ขาย ไม่แลกเปลี่ยน และไม่ให้เช่าข้อมูลส่วนบุคคลของคุณกับบุคคลที่สามเพื่อ marketing หรือผลกำไรทางการค้าใดๆ ทั้งสิ้น
6. สิทธิของคุณ (Data Subject Rights)
ตาม PDPA มาตรา 30-39 คุณมีสิทธิ 7 ประการ:
| สิทธิ | หมายความว่า | วิธีใช้สิทธิ |
|---|---|---|
| 1. สิทธิเข้าถึง (Access) | ขอสำเนาข้อมูลที่เราเก็บเกี่ยวกับคุณ | ส่งคำขอที่ dpo@caiku.ai |
| 2. สิทธิแก้ไข (Rectification) | ขอให้แก้ไขข้อมูลที่ไม่ถูกต้อง | แก้ใน account settings หรือติดต่อ DPO |
| 3. สิทธิลบ (Erasure) | ขอให้ลบข้อมูลของคุณ | ส่งคำขอที่ dpo@caiku.ai |
| 4. สิทธิคัดค้าน (Objection) | คัดค้านการประมวลผลบางวัตถุประสงค์ | ส่งคำขอที่ dpo@caiku.ai |
| 5. สิทธิจำกัด (Restriction) | ขอให้จำกัดการประมวลผล | ส่งคำขอที่ dpo@caiku.ai |
| 6. สิทธิเคลื่อนย้าย (Portability) | ขอข้อมูลในรูปแบบที่นำไปใช้ต่อได้ | ส่งคำขอที่ dpo@caiku.ai |
| 7. สิทธิถอนความยินยอม (Withdraw) | ถอน consent ที่เคยให้ไว้ | ใน account settings หรือติดต่อ DPO |
6.1 ระยะเวลาตอบสนอง
เราจะตอบสนองคำขอของคุณภายใน 30 วัน นับจากวันที่ได้รับคำขอที่สมบูรณ์ ในกรณีซับซ้อน อาจขยายเวลาได้อีก 30 วัน — โดยจะแจ้งคุณก่อน
6.2 ค่าธรรมเนียม
การใช้สิทธิครั้งแรกฟรี ถ้าคุณส่งคำขอซ้ำๆ หรือมาก เราอาจคิดค่าธรรมเนียมตามต้นทุนจริง (เช่น ค่า admin processing) — แต่จะแจ้งให้ทราบก่อนเสมอ
6.3 สิทธิร้องเรียนต่อ PDPC
ถ้าคุณคิดว่า CAIKU ละเมิด PDPA — คุณสามารถร้องเรียนได้ที่ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC):
- เว็บไซต์
- pdpc.or.th
- อีเมล
- pdpc@mdes.go.th
- โทร
- 02-141-6993
เราขอให้ติดต่อ DPO ของเราก่อน เพื่อให้เราแก้ไขปัญหาให้คุณได้เร็วที่สุด
7. ความปลอดภัยของข้อมูล
เรามีมาตรการคุ้มครองข้อมูล:
7.1 มาตรการทางเทคนิค
- Encryption ขณะส่งข้อมูล (TLS 1.3+)
- Encryption ขณะเก็บข้อมูล (AES-256)
- Multi-factor authentication (MFA) สำหรับ admin access
- Access control + role-based permissions
- Audit logs เก็บ 5 ปี
- Vulnerability scanning + penetration testing รายปี
- Backup + disaster recovery — RPO 1 ชม., RTO 4 ชม.
7.2 มาตรการทางองค์กร
- DPO appointed + register กับ PDPC
- Privacy training สำหรับพนักงานทุกคน รายปี
- Vendor due diligence + DPA signed
- Incident response plan
- Privacy by Design ใน feature development
7.3 Data Breach Notification
ในกรณีที่เกิด data breach ที่อาจกระทบต่อคุณ:
- เราจะแจ้ง PDPC ภายใน 72 ชั่วโมง (ตาม PDPA)
- เราจะแจ้งคุณโดยตรงโดยเร็วที่สุด ผ่านอีเมล + ใน-app notification
- เราจะอธิบายว่าเกิดอะไร, ข้อมูลใดได้รับผลกระทบ, มาตรการที่ใช้ระงับ
- เราจะแนะนำมาตรการที่คุณควรทำ (เช่น เปลี่ยนรหัสผ่าน)
8. การเก็บรักษาข้อมูล (Retention)
| ประเภทข้อมูล | ระยะเวลาเก็บ | เหตุผล |
|---|---|---|
| Account data | ระหว่างใช้บริการ + 90 วันหลัง | Recovery + reactivation |
| Conversation logs | 12 เดือน | Quality + improvement |
| Voice recordings | 30 วัน (default) — ปรับได้ | Transcription + QA |
| Voice samples (cloning) | ระหว่างใช้บริการ — ลบทันทีหลังยกเลิก | Active service only |
| Activity logs | 1 ปี | Security + investigation |
| Audit logs | 5 ปี | PDPA compliance |
| Payment data | 5 ปี (ตาม กฎหมายภาษี) | Tax compliance |
| Anonymized usage data | ไม่จำกัด | Service improvement |
8.1 หลังหมดระยะเวลา
- ลบข้อมูลจาก production system
- ลบจาก backup ในรอบ rotation ถัดไป (สูงสุด 90 วัน)
- ออก deletion certificate ตามคำขอ
9. Cookies + Tracking
caiku.ai ใช้ cookies เพื่อให้บริการทำงานได้ + วิเคราะห์การใช้งาน รายละเอียดดูที่ Cookie Policy
10. การเปลี่ยนแปลงนโยบาย
เราอาจ update นโยบายนี้เป็นครั้งคราว การเปลี่ยนแปลงสำคัญ เราจะแจ้งคุณก่อน 30 วัน ผ่านอีเมล + in-app notification การใช้บริการต่อหลังการ update = ยอมรับนโยบายใหม่
10.1 Version History
| Version | Date | Changes |
|---|---|---|
| 1.0 | 1 พฤษภาคม 2026 | Initial publication |
11. ติดต่อเรา
- DPO Email
- dpo@caiku.ai
- General Privacy
- privacy@caiku.ai
- Customer Support
- support@caiku.ai
- Phone
- 02-038-5565
- Response SLA
- 30 วัน (ตาม PDPA)