นโยบายความเป็นส่วนตัว แอปพลิเคชัน Finsafe วันที่มีผลบังคับใช้: 25 มีนาคม 2569 Whale Task Co., Ltd. (บริษัท เวล ทาสก์ จำกัด) ("Whale Task" "เรา" หรือ "ของเรา") เคารพและให้ความสำคัญอย่างยิ่งต่อความเป็นส่วนตัวของท่าน นโยบายความเป็นส่วนตัวฉบับนี้อธิบายแนวทางการเก็บรวบรวม ใช้ เปิดเผย จัดเก็บ และคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการใช้งานแอปพลิเคชัน Finsafe และบริการที่เกี่ยวข้อง (รวมเรียกว่า "บริการ") นโยบายนี้ใช้กับผู้ใช้แอป Finsafe ทั้งบน Apple iOS และ Android รวมถึงผู้ใช้ที่เข้าสู่ระบบด้วย Apple, Google หรืออีเมล/รหัสผ่าน และผู้ใช้ที่ทำรายการซื้อภายในแอปผ่าน Apple App Store หรือ Google Play นโยบายฉบับนี้จัดทำขึ้นให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับ รวมถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ("PDPA") ของประเทศไทย ตามกรณีที่เกี่ยวข้อง 1. การเก็บรวบรวมและการจัดเก็บข้อมูลส่วนบุคคล เราเก็บรวบรวมและจัดเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็นอย่างสมเหตุสมผลเพื่อให้บริการทำงานได้ 1.1 ข้อมูลบัญชีและข้อมูลยืนยันตัวตน เมื่อท่านสมัครหรือใช้งานบัญชี เราอาจจัดเก็บข้อมูลดังต่อไปนี้: - อีเมล และอีเมลที่ผ่านการปรับรูปแบบเพื่อใช้ตรวจสอบซ้ำ; - ชื่อที่แสดง โปรไฟล์ชื่อ และรูปโปรไฟล์ หากผู้ให้บริการล็อกอินส่งข้อมูลดังกล่าวมา; - Firebase user ID และวิธีการเข้าสู่ระบบที่ใช้ เช่น email, Google หรือ Apple; - สถานะการยืนยันอีเมล สถานะบัญชี และวันเวลาที่บัญชีถูกสร้างหรือแก้ไข; - สถานะการขอลบบัญชีและการเปิดใช้งานบัญชีอีกครั้ง หากมี หากท่านใช้ Sign in with Apple หรือ Google Sign-In เราจะได้รับข้อมูลยืนยันตัวตนเท่าที่ผู้ให้บริการดังกล่าวและ Firebase Authentication เปิดเผยให้กับเราเท่านั้น และเราไม่ได้รับรหัสผ่านของบัญชี Apple หรือ Google ของท่าน 1.2 ข้อมูลอุปกรณ์ เซสชัน และการแจ้งเตือน เพื่อรักษาความปลอดภัยของบัญชี จัดการเซสชันการใช้งาน และส่งการแจ้งเตือนแบบพุช เราอาจจัดเก็บ: - device ID, รุ่นอุปกรณ์, เวอร์ชันระบบปฏิบัติการ, เวอร์ชันแอป, ภาษา, ภูมิภาค, เขตเวลา และแพลตฟอร์ม; - Firebase Cloud Messaging ("FCM") token และเวลาที่เกี่ยวข้องกับเซสชัน; - ข้อมูลการสมัครรับหัวข้อการแจ้งเตือน เพื่อส่งการแจ้งเตือนแบบรวมและแบบแยกตามภาษา สำหรับทั้ง iOS และ Android ข้อมูลอุปกรณ์และเซสชันดังกล่าวจะถูกเก็บไว้ในระบบหลังบ้านของเราเพื่อใช้บริหารการเข้าสู่ระบบและการส่งการแจ้งเตือน โดยบน iOS การส่งพุชอาจเกี่ยวข้องกับโครงสร้างพื้นฐานของ Apple ผ่าน Firebase และบน Android การส่งพุชอาจเกี่ยวข้องกับโครงสร้างพื้นฐานของ Google ผ่าน Firebase Finsafe ไม่ได้เก็บข้อมูลตำแหน่ง GPS แบบละเอียด ไม่ได้ใช้การติดตามตำแหน่งแบบ background อย่างต่อเนื่อง และไม่จำเป็นต้องใช้การอัปเดตตำแหน่งแบบเรียลไทม์ตลอดเวลาเพื่อให้ฟังก์ชันหลักของบริการทำงานได้ 1.3 เนื้อหาที่ผู้ใช้สร้างและข้อมูลการใช้งานบริการ เมื่อท่านใช้ฟังก์ชันหลักของบริการ เราอาจจัดเก็บข้อมูลและเนื้อหาที่ท่านส่งเข้ามาหรือสร้างขึ้นในระบบ เช่น: - ชื่อสัญญาร่าง คำอธิบายสั้น ข้อมูลโครงสร้างใน draft สถานะของ draft และเวลาที่เกี่ยวข้อง; - ไฟล์ PDF ของสัญญาที่ท่านอัปโหลดหรือปลดล็อก พร้อม URL ที่ระบบสร้างขึ้นเพื่อเข้าถึงไฟล์; - ข้อมูลตัวติดตามการชำระเงิน เช่น ชื่อลูกหนี้ วันที่ครบกำหนด จำนวนเงิน สกุลเงิน และค่าการแจ้งเตือน; - ข้อมูล feedback หรือ bug report เช่น หัวข้อ ข้อความ เวอร์ชันแอป แพลตฟอร์ม ภาษา/locale และอีเมลติดต่อ (ถ้ามี) ไฟล์ PDF ของสัญญาจะถูกจัดเก็บในระบบจัดเก็บไฟล์บนคลาวด์ ส่วน draft, payment tracker, ข้อมูลสนับสนุนการใช้งาน และข้อมูลปฏิบัติการส่วนใหญ่จะถูกจัดเก็บใน Cloud Firestore ภายใต้บัญชีผู้ใช้ของท่าน 1.4 ข้อมูลกระเป๋าเหรียญ การซื้อ และการชำระเงินสำหรับ Apple และ Android หากท่านซื้อแพ็กเกจเหรียญภายในแอป เราจะจัดเก็บข้อมูลธุรกรรมเท่าที่จำเป็นเพื่อยืนยันการซื้อ ป้องกันการเติมเหรียญซ้ำ และเติมเครดิตเข้ากระเป๋าให้ถูกต้อง สำหรับการซื้อผ่าน Apple App Store บน iOS เราอาจประมวลผลและจัดเก็บ: - product ID; - transaction ID และ original transaction ID; - ประเภทการแจ้งเตือนจาก App Store, subtype, UUID และ environment; - appAccountToken หรือข้อมูลระบุบัญชีที่ใช้จับคู่การซื้อกับบัญชี Finsafe ของท่าน; - ledger entry ID จำนวนเหรียญที่ได้รับ รายละเอียดแพ็กเกจ และยอดคงเหลือหลังเติมเครดิต สำหรับการซื้อผ่าน Google Play บน Android เราอาจประมวลผลและจัดเก็บ: - product ID; - รายละเอียดแพ็กเกจและข้อมูลการเติมเครดิตเข้ากระเป๋า; - ข้อมูลธุรกรรมที่ได้จากขั้นตอนการตรวจสอบการซื้อ; - ค่า hash แบบทางเดียวของ purchase token ในประวัติธุรกรรมการชำระเงินของเรา ในการตรวจสอบการซื้อผ่าน Google Play ระบบอาจส่ง purchase token แบบดิบไปยัง Google Play Developer API เพื่อยืนยันรายการ แต่ในประวัติธุรกรรมที่เราจัดเก็บ เราจะเก็บเฉพาะค่า hash ของ token ดังกล่าวแทนการเก็บค่าแบบดิบ และเราไม่ได้จัดเก็บเลขบัตรชำระเงินหรือข้อมูลบัญชีธนาคารของท่าน เนื่องจากการเรียกเก็บเงินดำเนินการโดย Apple หรือ Google Finsafe ไม่มีการให้บริการชำระเงินผ่าน Apple Pay ภายในแอป การซื้อสินค้าดิจิทัลในแอปจะดำเนินการผ่านระบบ in-app purchase ของ Apple App Store บน iOS และระบบเรียกเก็บเงินของ Google Play บน Android เท่านั้น 1.5 สถานที่จัดเก็บข้อมูล ขึ้นอยู่กับฟังก์ชันที่ท่านใช้งาน ข้อมูลส่วนบุคคลอาจถูกจัดเก็บใน: - Firebase Authentication สำหรับข้อมูลระบุตัวตนและการจัดการการเข้าสู่ระบบ; - Cloud Firestore สำหรับโปรไฟล์ผู้ใช้ เซสชัน draft, payment tracker, บทสนทนา feedback, wallet, ledger entry และประวัติธุรกรรมการชำระเงิน; - Google Cloud Storage หรือระบบจัดเก็บไฟล์ที่ทำงานร่วมกับ Firebase Storage สำหรับไฟล์ PDF ของสัญญา; - บันทึกการปฏิบัติงานและข้อมูลด้านความปลอดภัยที่เกิดจากบริการ backend 2. วัตถุประสงค์ในการประมวลผลข้อมูล เราอาจประมวลผลข้อมูลส่วนบุคคลเพื่อ: - สร้างและดูแลบัญชีผู้ใช้; - ยืนยันตัวตนและรักษาความปลอดภัยในการเข้าถึงบริการ; - บันทึก draft สร้างผลลัพธ์ของสัญญา และให้บริการติดตามการชำระเงิน; - ส่งการแจ้งเตือนเกี่ยวกับบัญชี ความปลอดภัย ธุรกรรม และการแจ้งเตือนแบบพุชที่เกี่ยวข้อง; - ตรวจสอบการซื้อผ่าน Apple App Store และ Google Play และเติมเครดิตเข้ากระเป๋าอย่างถูกต้อง; - ป้องกันการทุจริต การเติมเครดิตซ้ำ การใช้งานที่ไม่เหมาะสม และการเข้าถึงโดยไม่ได้รับอนุญาต; - ให้การสนับสนุนลูกค้า และตอบกลับ feedback หรือ bug report; - บำรุงรักษาระบบ แก้ไขปัญหา และปรับปรุงความเสถียรของบริการ; - ปฏิบัติตามกฎหมาย และใช้หรือปกป้องสิทธิตามกฎหมายของบริษัท 3. ฐานกฎหมายในการประมวลผล ในกรณีที่กฎหมายกำหนด เราจะประมวลผลข้อมูลส่วนบุคคลบนฐานกฎหมายที่เหมาะสม เช่น ความยินยอม การจำเป็นเพื่อการปฏิบัติตามสัญญา ประโยชน์โดยชอบด้วยกฎหมาย การปฏิบัติตามหน้าที่ตามกฎหมาย และการคุ้มครองประโยชน์สำคัญของเจ้าของข้อมูล 4. การใช้และการเปิดเผยข้อมูลส่วนบุคคล เราไม่ขายข้อมูลส่วนบุคคลของท่าน เราไม่เปิดเผยข้อมูลให้กับนายหน้าข้อมูล และเราไม่ใช้ข้อมูลส่วนบุคคลของท่านเพื่อการขายโฆษณาให้บุคคลภายนอก 4.1 การใช้ภายในองค์กร ภายใน Whale Task บุคลากรที่ได้รับอนุญาตจะเข้าถึงข้อมูลส่วนบุคคลได้เฉพาะเท่าที่จำเป็นต่อการให้บริการ สนับสนุน ดูแลความปลอดภัย และพัฒนาระบบ 4.2 ผู้ให้บริการและผู้ให้บริการแพลตฟอร์ม เราอาจเปิดเผยข้อมูลส่วนบุคคลแก่ผู้ให้บริการหรือผู้ให้บริการแพลตฟอร์มที่ช่วยให้เราสามารถให้บริการได้ เช่น: - Firebase / Google Cloud สำหรับการยืนยันตัวตน การโฮสต์ฐานข้อมูล การจัดเก็บไฟล์ และโครงสร้างพื้นฐานการแจ้งเตือนแบบพุช; - Apple เมื่อจำเป็นต่อการตรวจสอบใบเสร็จจาก App Store การประมวลผล App Store Server Notifications หรือการกระทบยอดการซื้อบน iOS; - Google เมื่อจำเป็นต่อการตรวจสอบการซื้อผ่าน Google Play การประมวลผลข้อมูลการเรียกเก็บเงินบน Android หรือการรองรับ Google sign-in; - ผู้ให้บริการด้านการสื่อสาร ความปลอดภัย และโครงสร้างพื้นฐานที่ปฏิบัติตามคำสั่งของเราและอยู่ภายใต้หน้าที่รักษาความลับที่เหมาะสม สำหรับผู้ใช้ iOS, Apple อาจประมวลผลข้อมูลการเรียกเก็บเงิน ข้อมูลอุปกรณ์ และข้อมูลบัญชี App Store ของท่านภายใต้นโยบายความเป็นส่วนตัวของ Apple เอง ส่วนผู้ใช้ Android, Google อาจประมวลผลข้อมูลการเรียกเก็บเงิน ข้อมูลบัญชี Google และข้อมูลบัญชี Google Play ของท่านภายใต้นโยบายความเป็นส่วนตัวของ Google เอง ผู้ให้บริการแพลตฟอร์มเหล่านี้เป็นผู้ควบคุมข้อมูลแยกต่างหากสำหรับข้อมูลที่เก็บจากท่านโดยตรง 4.3 การสนับสนุน การปฏิบัติตามกฎหมาย และคำขอทางกฎหมาย เราอาจเปิดเผยข้อมูลส่วนบุคคล: - ให้แก่เจ้าหน้าที่สนับสนุนที่จัดการ bug report คำถามจากผู้ใช้ หรือคำขอกู้คืนบัญชี; - ให้แก่ผู้สอบบัญชี ที่ปรึกษากฎหมาย และที่ปรึกษาวิชาชีพ เมื่อจำเป็นต่อการปฏิบัติตามกฎหมาย การบริหารความเสี่ยง หรือการจัดการข้อพิพาท; - ให้แก่หน่วยงานรัฐ หน่วยงานกำกับดูแล ศาล หรือเจ้าพนักงานที่มีอำนาจตามกฎหมาย เมื่อมีเหตุจำเป็นตามกฎหมายหรือคำสั่งโดยชอบ; - ให้แก่ผู้รับโอนสิทธิหรือผู้สืบสิทธิในกรณีควบรวมกิจการ ซื้อกิจการ จัดหาเงินทุน หรือปรับโครงสร้างองค์กร ภายใต้มาตรการคุ้มครองที่เหมาะสม 5. การโอนข้อมูลไปต่างประเทศ หากมีการโอนข้อมูลข้ามพรมแดน เราจะใช้มาตรการคุ้มครองที่เหมาะสมตามข้อกำหนดของกฎหมายที่ใช้บังคับ 6. ระยะเวลาการเก็บรักษาและการลบบัญชี เราจะเก็บรักษาข้อมูลส่วนบุคคลเท่าที่จำเป็นต่อวัตถุประสงค์ตามนโยบายนี้ เว้นแต่กฎหมายกำหนดหรืออนุญาตให้เก็บไว้นานกว่า โดยทั่วไป: - ข้อมูลบัญชีจะถูกเก็บไว้ตราบเท่าที่บัญชีของท่านยังใช้งานอยู่; - draft, payment tracker, ประวัติ feedback, ประวัติ wallet และประวัติการซื้อ จะถูกเก็บไว้ตราบเท่าที่จำเป็นต่อการให้บริการ สนับสนุนผู้ใช้ ป้องกันการทุจริต และเก็บบันทึกทางธุรกิจ; - ไฟล์ PDF ของสัญญาจะถูกเก็บไว้ตราบเท่าที่เกี่ยวข้องกับการใช้งานบัญชี หรือจนกว่าจะถูกลบตามกระบวนการเก็บรักษาหรือการลบบัญชี; - หากท่านขอลบบัญชี ปัจจุบันเราจะปิดการใช้งานบัญชีและกำหนดลบถาวรหลังครบช่วงเวลาเก็บรักษา 30 วัน เว้นแต่กฎหมายกำหนดให้ต้องเก็บไว้นานกว่า ท่านสามารถเริ่มต้นการลบบัญชีได้จากภายในแอป และสำหรับคำขอลบบัญชีตามปกติ เราไม่กำหนดให้ท่านต้องโทรหาฝ่ายบริการลูกค้าหรือส่งอีเมลเพื่อเริ่มกระบวนการ ในช่วงเวลาเก็บรักษา 30 วัน ผู้ใช้ที่มีสิทธิ์อาจเปิดใช้งานบัญชีอีกครั้งได้ หลังจากครบ 30 วัน เราจะลบบัญชีออกจากระบบที่ใช้งานจริง ซึ่งรวมถึงโปรไฟล์ผู้ใช้ ข้อมูลการลงทะเบียนเซสชัน ข้อมูล token และ draft ที่จัดเก็บไว้ ตลอดจนข้อมูลการชำระเงินหรือข้อมูลสนับสนุนที่ถูกลบตามกระบวนการลบบัญชีของเรา เว้นแต่กฎหมายกำหนดให้ต้องเก็บรักษาไว้ เมื่อข้อมูลไม่จำเป็นอีกต่อไป เราจะลบ ทำให้ไม่สามารถระบุตัวตน หรือจัดเก็บอย่างปลอดภัยตามความเหมาะสม 7. มาตรการรักษาความมั่นคงปลอดภัย เราใช้มาตรการทางเทคนิคและมาตรการด้านองค์กรที่เหมาะสมเพื่อป้องกันการเข้าถึง การสูญหาย การแก้ไข หรือการเปิดเผยข้อมูลโดยมิชอบ มาตรการดังกล่าวรวมถึงการควบคุมสิทธิ์การเข้าถึง การเชื่อมต่อบริการแบบยืนยันตัวตน และการจำกัดการเข้าถึงข้อมูลเพื่อการปฏิบัติงาน อย่างไรก็ดี ไม่มีระบบใดที่สามารถรับประกันความปลอดภัยได้อย่างสมบูรณ์ 8. สิทธิของเจ้าของข้อมูล ภายใต้กฎหมายที่ใช้บังคับ ท่านอาจมีสิทธิดังต่อไปนี้: - สิทธิในการเข้าถึงข้อมูลส่วนบุคคล; - สิทธิในการขอแก้ไขข้อมูลที่ไม่ถูกต้อง; - สิทธิในการขอลบหรือจำกัดการประมวลผล; - สิทธิในการคัดค้านการประมวลผลบางกรณี; - สิทธิในการขอโอนย้ายข้อมูลในกรณีที่กฎหมายรับรอง; - สิทธิในการถอนความยินยอม (ในกรณีที่การประมวลผลอาศัยความยินยอม) ท่านสามารถติดต่อเพื่อใช้สิทธิดังกล่าวได้ที่: privacy@whaletask.com หากท่านต้องการลบบัญชี ท่านยังสามารถใช้ขั้นตอนการลบบัญชีภายในแอปได้โดยตรง นอกเหนือจากการติดต่อเราเกี่ยวกับสิทธิด้านข้อมูลส่วนบุคคล 9. ข้อมูลของผู้เยาว์ บริการนี้ไม่ได้มีวัตถุประสงค์สำหรับผู้ที่มีอายุต่ำกว่า 18 ปี และเราไม่ประมวลผลข้อมูลของผู้เยาว์โดยเจตนาโดยไม่มีฐานกฎหมายที่เหมาะสม 10. การปรับปรุงนโยบาย เราอาจปรับปรุงนโยบายความเป็นส่วนตัวฉบับนี้เป็นระยะ หากมีการเปลี่ยนแปลงสาระสำคัญ เราจะแจ้งผ่านบริการหรือช่องทางที่เหมาะสม 11. ช่องทางติดต่อ Whale Task Co., Ltd. (บริษัท เวล ทาสก์ จำกัด) อีเมล: privacy@whaletask.com ผู้ประสานงานด้านการคุ้มครองข้อมูล: dpo@whaletask.com