Document 1 of 4

Privacy Policy

นโยบายคุ้มครองข้อมูลส่วนบุคคล

Effective: 1 พฤษภาคม 2026
Version: 1.0
URL: caiku.ai/privacy

1. เกี่ยวกับนโยบายนี้

นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ('นโยบาย') อธิบายวิธีที่ CAIKU เก็บ ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของคุณ เมื่อคุณใช้บริการของเรา รวมถึงเว็บไซต์ caiku.ai, แพลตฟอร์ม CAIKU AI Agent, และบริการอื่นๆ ที่เกี่ยวข้อง ('บริการ')

การใช้บริการของเรา หมายถึงคุณยอมรับนโยบายนี้ ถ้าไม่ยอมรับ — โปรดหยุดใช้บริการ

นโยบายนี้สอดคล้องกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ('PDPA') และกฎหมายไทยที่เกี่ยวข้อง

2. ผู้ควบคุมข้อมูลส่วนบุคคล

📋 Data Controller
ชื่อบริษัท
บริษัท ฮัลโหลแอดส์ จำกัด
ที่อยู่
เลขที่ 14 ซอย วิภาวดีรังสิต 16/29 แขวงรัชดาภิเษก เขตดินแดง กรุงเทพมหานคร 10400
เลขประจำตัวผู้เสียภาษี
0205558029691
อีเมล
privacy@caiku.ai
โทรศัพท์
02-038-5565

2.1 Data Protection Officer (DPO)

CAIKU แต่งตั้ง DPO เพื่อดูแลเรื่อง privacy compliance:

ชื่อ DPO
Pitsanuchai Thongtha
อีเมล
dpo@caiku.ai
โทรศัพท์
+1 437 669 6615
เวลาทำการ
จันทร์–ศุกร์ 9:00–18:00

3. ข้อมูลที่เก็บ

เราเก็บข้อมูลส่วนบุคคลของคุณ 4 ประเภทหลัก:

3.1 ข้อมูลบัญชีผู้ใช้ (Account Data)

  • ชื่อ-นามสกุล
  • อีเมล
  • เบอร์โทรศัพท์
  • ชื่อบริษัท + ตำแหน่งงาน (ถ้ามี)
  • รหัสผ่าน (เก็บแบบ encrypted hash)

3.2 ข้อมูลการใช้งาน (Usage Data)

  • Conversation logs (chat + voice transcripts)
  • Lead data ที่คุณ upload เข้าระบบ
  • Knowledge base content
  • Configuration + settings
  • Activity logs (login, actions performed)

3.3 ข้อมูลทางเทคนิค (Technical Data)

  • IP address
  • Browser type + version
  • Device type + OS
  • Cookies + similar tracking technologies
  • API request logs

3.4 ข้อมูลการชำระเงิน (Payment Data)

  • ข้อมูลการชำระเงิน — เก็บโดย payment processor (Stripe / Omise) ไม่ใช่ CAIKU
  • CAIKU เก็บแค่: หมายเลข transaction, วันที่, จำนวนเงิน, สถานะ
  • ข้อมูลออกใบกำกับภาษี (tax invoice) — ตามที่กฎหมายกำหนด

3.5 ข้อมูลที่ไม่เก็บ

❌ CAIKU ไม่เก็บข้อมูลเหล่านี้
  • ข้อมูลบัตรเครดิตเต็ม (เก็บโดย payment processor เท่านั้น)
  • ข้อมูล sensitive ตามมาตรา 26 PDPA (เชื้อชาติ, ศาสนา, ข้อมูลสุขภาพ, ข้อมูลพันธุกรรม) — ยกเว้นได้ explicit consent
  • ข้อมูลของผู้เยาว์อายุต่ำกว่า 20 ปี — ห้าม end-user ใต้ 20 ปีใช้บริการ

4. วัตถุประสงค์ + ฐานทางกฎหมาย

เราประมวลผลข้อมูลของคุณตามวัตถุประสงค์ + ฐานทางกฎหมายต่อไปนี้:

วัตถุประสงค์ ข้อมูลที่ใช้ ฐานทางกฎหมาย ระยะเวลาเก็บ
ให้บริการ AI Agent ตามที่คุณ subscribe Account + Usage + Technical มาตรา 24(3) Contract performance ระหว่างใช้บริการ + 90 วันหลัง
ปรับปรุง + พัฒนาบริการ Usage data (anonymized) มาตรา 24(5) Legitimate Interest 5 ปี (anonymized)
รักษาความปลอดภัย + ป้องกันการใช้งานผิด Technical + Activity logs มาตรา 24(5) Legitimate Interest 1 ปี
ปฏิบัติตามกฎหมาย — ภาษี, การเงิน Account + Payment data มาตรา 24(6) Legal obligation 5 ปี (ตามที่กฎหมายกำหนด)
ส่ง marketing communications Account + อีเมล มาตรา 24(1) Consent จนกว่าจะถอนความยินยอม
Voice cloning (feature ใน Pro+ tier) Voice samples มาตรา 24(1) Explicit Consent ระหว่างใช้บริการ + ลบทันทีเมื่อยกเลิก
📋 LIA Available

สำหรับ Legitimate Interest basis — เรามี Legitimate Interest Assessment (LIA) document ที่ผ่านการประเมิน 3-part test (purpose, necessity, balancing test) คุณสามารถขอดูได้โดยติดต่อ DPO

5. การเปิดเผย + ส่งต่อข้อมูล

เราอาจเปิดเผยข้อมูลของคุณกับผู้รับต่อไปนี้:

5.1 Service Providers (Data Processors)

Vendor บริการ ข้อมูลที่ส่ง Location
OpenAIGPT + Realtime API + WhisperConversation contentUSA
AnthropicClaude APIConversation contentUSA
Google CloudGemini + Cloud infrastructureConversation + storageUSA / Asia
TwilioVoice telephonyPhone call audio + metadataUSA
Retell AI / VapiVoice agent infrastructureVoice + conversationUSA
SupabaseDatabase + authenticationAccount + usage dataUSA / EU
RailwayApplication hostingAll operational dataUSA
CloudflareCDN + securityTechnical metadataGlobal
Stripe / OmisePayment processingPayment dataUSA / Thailand
🔒 Data Processing Agreements

Vendors ทั้งหมดด้านบนเป็น 'Data Processor' ตาม PDPA — เราเซ็น Data Processing Agreement (DPA) กับทุกราย DPA ระบุชัดเจนว่า vendor ห้ามใช้ข้อมูลเพื่อวัตถุประสงค์อื่นนอกจากที่เราสั่ง

5.2 การส่งข้อมูลข้ามประเทศ (International Transfer)

ข้อมูลของคุณอาจถูกส่งไปประมวลผลในประเทศที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลต่ำกว่าไทย (เช่น USA) เราใช้มาตรการคุ้มครอง:

  1. Standard Contractual Clauses (SCCs) ใน DPA กับทุก vendor
  2. Encryption ระหว่างส่งข้อมูล (TLS 1.3+)
  3. Access control + audit logs
  4. Vendor selection ที่มี privacy compliance certification (SOC 2, ISO 27001)

5.3 การเปิดเผยตามกฎหมาย

เราอาจเปิดเผยข้อมูลของคุณเมื่อ:

  • มีคำสั่งศาล หรือคำสั่งจากหน่วยงานราชการ
  • จำเป็นเพื่อป้องกันอาชญากรรม หรือคุ้มครองชีวิต
  • จำเป็นเพื่อปกป้องสิทธิของ CAIKU หรือผู้ใช้รายอื่น

5.4 การเปิดเผยที่เราไม่ทำ

✓ CAIKU ไม่ขายข้อมูลของคุณ

เราไม่ขาย ไม่แลกเปลี่ยน และไม่ให้เช่าข้อมูลส่วนบุคคลของคุณกับบุคคลที่สามเพื่อ marketing หรือผลกำไรทางการค้าใดๆ ทั้งสิ้น

6. สิทธิของคุณ (Data Subject Rights)

ตาม PDPA มาตรา 30-39 คุณมีสิทธิ 7 ประการ:

สิทธิ หมายความว่า วิธีใช้สิทธิ
1. สิทธิเข้าถึง (Access)ขอสำเนาข้อมูลที่เราเก็บเกี่ยวกับคุณส่งคำขอที่ dpo@caiku.ai
2. สิทธิแก้ไข (Rectification)ขอให้แก้ไขข้อมูลที่ไม่ถูกต้องแก้ใน account settings หรือติดต่อ DPO
3. สิทธิลบ (Erasure)ขอให้ลบข้อมูลของคุณส่งคำขอที่ dpo@caiku.ai
4. สิทธิคัดค้าน (Objection)คัดค้านการประมวลผลบางวัตถุประสงค์ส่งคำขอที่ dpo@caiku.ai
5. สิทธิจำกัด (Restriction)ขอให้จำกัดการประมวลผลส่งคำขอที่ dpo@caiku.ai
6. สิทธิเคลื่อนย้าย (Portability)ขอข้อมูลในรูปแบบที่นำไปใช้ต่อได้ส่งคำขอที่ dpo@caiku.ai
7. สิทธิถอนความยินยอม (Withdraw)ถอน consent ที่เคยให้ไว้ใน account settings หรือติดต่อ DPO

6.1 ระยะเวลาตอบสนอง

⏰ Response Time

เราจะตอบสนองคำขอของคุณภายใน 30 วัน นับจากวันที่ได้รับคำขอที่สมบูรณ์ ในกรณีซับซ้อน อาจขยายเวลาได้อีก 30 วัน — โดยจะแจ้งคุณก่อน

6.2 ค่าธรรมเนียม

การใช้สิทธิครั้งแรกฟรี ถ้าคุณส่งคำขอซ้ำๆ หรือมาก เราอาจคิดค่าธรรมเนียมตามต้นทุนจริง (เช่น ค่า admin processing) — แต่จะแจ้งให้ทราบก่อนเสมอ

6.3 สิทธิร้องเรียนต่อ PDPC

ถ้าคุณคิดว่า CAIKU ละเมิด PDPA — คุณสามารถร้องเรียนได้ที่ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC):

เว็บไซต์
pdpc.or.th
อีเมล
pdpc@mdes.go.th
โทร
02-141-6993

เราขอให้ติดต่อ DPO ของเราก่อน เพื่อให้เราแก้ไขปัญหาให้คุณได้เร็วที่สุด

7. ความปลอดภัยของข้อมูล

เรามีมาตรการคุ้มครองข้อมูล:

7.1 มาตรการทางเทคนิค

  • Encryption ขณะส่งข้อมูล (TLS 1.3+)
  • Encryption ขณะเก็บข้อมูล (AES-256)
  • Multi-factor authentication (MFA) สำหรับ admin access
  • Access control + role-based permissions
  • Audit logs เก็บ 5 ปี
  • Vulnerability scanning + penetration testing รายปี
  • Backup + disaster recovery — RPO 1 ชม., RTO 4 ชม.

7.2 มาตรการทางองค์กร

  • DPO appointed + register กับ PDPC
  • Privacy training สำหรับพนักงานทุกคน รายปี
  • Vendor due diligence + DPA signed
  • Incident response plan
  • Privacy by Design ใน feature development

7.3 Data Breach Notification

ในกรณีที่เกิด data breach ที่อาจกระทบต่อคุณ:

  1. เราจะแจ้ง PDPC ภายใน 72 ชั่วโมง (ตาม PDPA)
  2. เราจะแจ้งคุณโดยตรงโดยเร็วที่สุด ผ่านอีเมล + ใน-app notification
  3. เราจะอธิบายว่าเกิดอะไร, ข้อมูลใดได้รับผลกระทบ, มาตรการที่ใช้ระงับ
  4. เราจะแนะนำมาตรการที่คุณควรทำ (เช่น เปลี่ยนรหัสผ่าน)

8. การเก็บรักษาข้อมูล (Retention)

ประเภทข้อมูล ระยะเวลาเก็บ เหตุผล
Account dataระหว่างใช้บริการ + 90 วันหลังRecovery + reactivation
Conversation logs12 เดือนQuality + improvement
Voice recordings30 วัน (default) — ปรับได้Transcription + QA
Voice samples (cloning)ระหว่างใช้บริการ — ลบทันทีหลังยกเลิกActive service only
Activity logs1 ปีSecurity + investigation
Audit logs5 ปีPDPA compliance
Payment data5 ปี (ตาม กฎหมายภาษี)Tax compliance
Anonymized usage dataไม่จำกัดService improvement

8.1 หลังหมดระยะเวลา

  1. ลบข้อมูลจาก production system
  2. ลบจาก backup ในรอบ rotation ถัดไป (สูงสุด 90 วัน)
  3. ออก deletion certificate ตามคำขอ

9. Cookies + Tracking

caiku.ai ใช้ cookies เพื่อให้บริการทำงานได้ + วิเคราะห์การใช้งาน รายละเอียดดูที่ Cookie Policy

10. การเปลี่ยนแปลงนโยบาย

เราอาจ update นโยบายนี้เป็นครั้งคราว การเปลี่ยนแปลงสำคัญ เราจะแจ้งคุณก่อน 30 วัน ผ่านอีเมล + in-app notification การใช้บริการต่อหลังการ update = ยอมรับนโยบายใหม่

10.1 Version History

VersionDateChanges
1.01 พฤษภาคม 2026Initial publication

11. ติดต่อเรา

📧 Privacy Inquiries
DPO Email
dpo@caiku.ai
General Privacy
privacy@caiku.ai
Customer Support
support@caiku.ai
Phone
02-038-5565
Response SLA
30 วัน (ตาม PDPA)