{"name":"privacy","version":"2026-06-05","markdown":"# นโยบายความเป็นส่วนตัว (Privacy Policy) — ZomTrade\n\nนโยบายนี้อธิบายว่าเรา (\"ผู้ควบคุมข้อมูลส่วนบุคคล\") เก็บ ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของคุณอย่างไรเมื่อใช้ **ZomTrade** (\"บริการ\") โดยจัดทำตาม **พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)** ซึ่งบังคับใช้เต็มรูปแบบตั้งแต่ 1 มิ.ย. 2565\n\n---\n\n## 1. ผู้ควบคุมข้อมูลส่วนบุคคล และช่องทางติดต่อ\n\nผู้ควบคุมข้อมูลส่วนบุคคล: **ZomTrade** (ผู้ประกอบการ — เลขทะเบียนพาณิชย์อิเล็กทรอนิกส์จะประกาศบนหน้านี้เมื่อได้รับ)\nช่องทางติดต่อเรื่องข้อมูลส่วนบุคคล: เมนู **Feedback** ในแอป (อีเมลทางการจะประกาศเมื่อเปิดใช้โดเมน)\nข้อมูลผู้ประกอบการฉบับเต็ม: เปิดเผยต่อหน่วยงานรัฐหรือเจ้าของข้อมูลเมื่อมีการร้องขอโดยชอบด้วยกฎหมาย\n\n> หมายเหตุ: ปัจจุบันบริการดำเนินการโดยผู้พัฒนารายเดียว และโดยขนาด/ลักษณะการประมวลผล **ยังไม่เข้าเกณฑ์ที่ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ภาคบังคับ** ตาม PDPA (เกณฑ์ DPO ใช้กับการประมวลผลข้อมูลขนาดใหญ่ การติดตามพฤติกรรมสม่ำเสมอ หรือข้อมูลอ่อนไหวเป็นกิจกรรมหลัก) — หากในอนาคตเข้าเกณฑ์ ต้องแต่งตั้งและประกาศช่องทางติดต่อ DPO **(ต้องให้นักกฎหมายประเมินซ้ำ)**\n\n## 2. ข้อมูลส่วนบุคคลที่เราเก็บ\n\n| ประเภทข้อมูล | ตัวอย่าง | เก็บเมื่อ |\n|---|---|---|\n| ข้อมูลบัญชี | อีเมล, รหัสผ่าน (เก็บแบบ **hash** เท่านั้น ไม่เก็บรหัสจริง) | ตอนสมัคร |\n| ข้อมูลเซสชัน/ความปลอดภัย | IP address, ประเภท/รหัสอุปกรณ์ (device), เวลาเข้าใช้ล่าสุด (last-seen), token เซสชัน | ตอนเข้าสู่ระบบ/ใช้งาน |\n| ข้อมูลการใช้งาน | backtest ที่คุณสร้าง, บันทึก journal, การตั้งค่า, indicator/การวาดบนกราฟ, รูปภาพกราฟของไม้ที่ระบบบันทึก (before/after) | ระหว่างใช้งาน |\n| ข้อมูลการเทรดจริงที่คุณนำเข้าเอง | ประวัติเทรดจาก statement (เช่น MT5): สินค้า ราคา เวลา กำไร/ขาดทุน และยอดเงินบัญชีเทรดของคุณ — เก็บเฉพาะเมื่อ**คุณเลือกอัปโหลดเอง** เพื่อใช้วิเคราะห์ในบริการ | เมื่อคุณกดนำเข้า |\n| ข้อมูลการชำระเงิน | สถานะการชำระ จำนวนเงิน แพ็กเกจ และรหัสอ้างอิงจากผู้ให้บริการชำระเงิน — **เราไม่เก็บเลขบัตร/ข้อมูลบัตรเครดิต** (อยู่กับผู้ให้บริการชำระเงินตามมาตรฐาน PCI-DSS ดูข้อ 6) | เมื่อสมัครแพ็กจ่ายเงิน |\n| Log จราจรคอมพิวเตอร์ | บันทึกการเข้าถึงระบบตามที่กฎหมายกำหนด | อัตโนมัติ |\n\n2.1 เรา**ไม่**เก็บข้อมูลอ่อนไหว (sensitive data) เช่น ศาสนา สุขภาพ ชีวมาตร และ**ไม่**เก็บเลขบัตร/ข้อมูลบัตรชำระเงิน (ใช้ผู้ให้บริการชำระเงินภายนอกที่ได้มาตรฐาน — ดูข้อ 6)\n\n## 3. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผล\n\n| วัตถุประสงค์ | ฐานทางกฎหมาย (PDPA) |\n|---|---|\n| สร้าง/ดูแลบัญชี และให้บริการตามที่ขอ | **ฐานสัญญา** (จำเป็นเพื่อปฏิบัติตามสัญญาการใช้บริการ) |\n| ยืนยันตัวตน, รักษาความปลอดภัย, บังคับนโยบาย 1 อุปกรณ์/บัญชี (IP/อุปกรณ์/last-seen) | **ฐานประโยชน์โดยชอบด้วยกฎหมาย** (security) |\n| เก็บ log จราจรคอมพิวเตอร์ | **ฐานหน้าที่ตามกฎหมาย** (พ.ร.บ.คอมพิวเตอร์ฯ ม.26) |\n| ส่งอีเมลแจ้งระบบ/ความปลอดภัยที่จำเป็น | **ฐานสัญญา / ประโยชน์โดยชอบ** |\n| ส่งข่าวสาร/การตลาด (ถ้ามีในอนาคต) | **ฐานความยินยอม** (ถอนได้ทุกเมื่อ) |\n| จัดการชำระเงิน (เมื่อเปิดบริการแบบจ่ายเงิน) | **ฐานสัญญา** |\n\n3.1 เราจะใช้ข้อมูลตามวัตถุประสงค์ข้างต้นเท่านั้น หากจะใช้เพื่อวัตถุประสงค์ใหม่ที่ไม่สอดคล้องเดิม เราจะแจ้งและขอความยินยอมก่อน\n\n## 4. ระยะเวลาเก็บรักษา\n\n4.1 ข้อมูลบัญชีและข้อมูลการใช้งาน: เก็บตราบที่บัญชียัง active เมื่อคุณลบบัญชี เราจะลบหรือทำให้ไม่ระบุตัวตนภายใน **90 วัน** เว้นแต่กฎหมายกำหนดให้เก็บนานกว่า\n\n4.2 **Log จราจรคอมพิวเตอร์: เก็บไม่น้อยกว่า 90 วัน** ตาม พ.ร.บ.คอมพิวเตอร์ฯ มาตรา 26 (และอาจถึง 2 ปีหากเจ้าพนักงานสั่ง)\n\n4.3 ข้อมูลที่เกี่ยวกับการชำระเงิน/ใบกำกับ (เมื่อมี): เก็บตามที่กฎหมายภาษี/บัญชีกำหนด\n\n## 5. การเปิดเผยข้อมูล\n\n5.1 เรา**ไม่ขาย**ข้อมูลส่วนบุคคลของคุณ\n\n5.2 เราอาจเปิดเผยข้อมูลให้:\n- หน่วยงานรัฐ/เจ้าพนักงานเมื่อมีคำสั่งหรือหน้าที่ตามกฎหมาย\n- ผู้ประมวลผลข้อมูล (data processor) ที่ช่วยเราดำเนินบริการ (ดูข้อ 6)\n\n## 6. ผู้ประมวลผลข้อมูล / ผู้ให้บริการภายนอก\n\n6.1 เราอาจใช้ผู้ให้บริการภายนอกเท่าที่จำเป็น เช่น:\n- โฮสติ้ง/เซิร์ฟเวอร์: ผู้ให้บริการ VPS ซึ่งเซิร์ฟเวอร์อาจตั้งอยู่ต่างประเทศในภูมิภาคอาเซียน — มีการโอนข้อมูลข้ามแดนเท่าที่จำเป็นต่อการให้บริการ โดยเลือกผู้ให้บริการที่มีมาตรการคุ้มครองตามมาตรฐานสากล\n- ผู้ให้บริการชำระเงิน: **Omise (Opn Payments)** — ผู้ให้บริการรับชำระเงินที่ได้มาตรฐาน PCI-DSS ข้อมูลบัตรของคุณอยู่กับ Omise โดยตรง ไม่ผ่าน/ไม่เก็บที่เรา\n- บริการอีเมล: ผู้ให้บริการ SMTP สำหรับส่งอีเมลระบบ (เช่น โค้ดรีเซ็ตรหัสผ่าน การแจ้งเตือนแพ็กหมดอายุ) — จะระบุชื่อผู้ให้บริการเมื่อเปิดใช้\n\n6.2 เราจะจัดทำข้อตกลงการประมวลผลข้อมูล (DPA) กับผู้ประมวลผลตามที่ PDPA กำหนด **(ต้องตรวจสอบกับนักกฎหมายก่อนใช้ผู้ให้บริการต่างประเทศ — เรื่องการโอนข้อมูลข้ามแดน)**\n\n## 7. สิทธิของเจ้าของข้อมูลส่วนบุคคล (ตาม PDPA)\n\nคุณมีสิทธิดังนี้ และใช้สิทธิได้ผ่านเมนู **Feedback** ในแอป (หรืออีเมลทางการเมื่อประกาศ):\n\n1. **สิทธิได้รับแจ้ง** — ทราบว่าเราเก็บ/ใช้ข้อมูลอะไร อย่างไร (ตามนโยบายนี้)\n2. **สิทธิเข้าถึงและขอสำเนา** ข้อมูลของคุณ\n3. **สิทธิแก้ไข** ข้อมูลให้ถูกต้องเป็นปัจจุบัน\n4. **สิทธิลบ/ทำลาย** หรือทำให้ไม่ระบุตัวตน (ภายใต้ข้อยกเว้นทางกฎหมาย เช่น log ที่ต้องเก็บ 90 วัน)\n5. **สิทธิคัดค้าน** การประมวลผลบางกรณี\n6. **สิทธิระงับใช้** ข้อมูลชั่วคราว\n7. **สิทธิเพิกถอนความยินยอม** (สำหรับการประมวลผลที่ใช้ฐานความยินยอม เช่น การตลาด) — ทำได้ง่ายเท่ากับการให้ความยินยอม\n8. **สิทธิขอให้โอนย้ายข้อมูล** (data portability) ในรูปแบบอิเล็กทรอนิกส์ที่อ่านได้ด้วยเครื่อง\n\n7.1 เราจะดำเนินการตามคำขอภายใน **30 วัน** หากปฏิเสธจะแจ้งเหตุผล\n\n7.2 หากเห็นว่าเราละเมิด PDPA คุณมีสิทธิร้องเรียนต่อ **สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส./PDPC)**\n\n## 8. คุกกี้และเทคโนโลยีที่คล้ายกัน\n\n8.1 เราใช้คุกกี้/ที่จัดเก็บในเบราว์เซอร์ (เช่น session token, การตั้งค่า) เท่าที่จำเป็นต่อการล็อกอินและการทำงานของบริการ\n\n8.2 ปัจจุบันเรา**ไม่ใช้**คุกกี้การตลาดหรือเครื่องมือติดตามพฤติกรรมข้ามเว็บไซต์ หากมีการใช้ในอนาคตจะขอความยินยอมก่อนเสมอ\n\n## 9. ความปลอดภัยของข้อมูล\n\n9.1 เรามีมาตรการทางเทคนิคและองค์กรตามสมควร เช่น เก็บรหัสผ่านแบบ hash, เข้ารหัสการเชื่อมต่อ (HTTPS), จำกัดสิทธิเข้าถึง, นโยบาย 1 อุปกรณ์/บัญชี\n\n9.2 อย่างไรก็ดี ไม่มีระบบใดปลอดภัย 100% คุณควรตั้งรหัสผ่านที่คาดเดายากและไม่เปิดเผยแก่ผู้อื่น\n\n## 10. การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล\n\n10.1 หากเกิดเหตุละเมิดข้อมูลส่วนบุคคล เราจะแจ้งต่อ **PDPC ภายใน 72 ชั่วโมง** นับแต่ทราบเหตุเท่าที่ทำได้ และหากเหตุนั้นมีความเสี่ยงสูงต่อสิทธิและเสรีภาพของคุณ เราจะแจ้งคุณพร้อมแนวทางเยียวยาโดยไม่ชักช้า ตามที่ PDPA กำหนด\n\n## 11. การแก้ไขนโยบาย\n\n11.1 เราอาจปรับปรุงนโยบายนี้เป็นครั้งคราว หากมีการเปลี่ยนแปลงสาระสำคัญ จะแจ้งในแอป และ/หรืออีเมลที่คุณลงทะเบียน และอัปเดตวันที่ด้านล่าง\n\n---\n\nปรับปรุงล่าสุด: 5 มิถุนายน 2026\nมีผลบังคับใช้: 5 มิถุนายน 2026\n\n<!--\nแหล่งอ้างอิง (สำหรับผู้ร่าง — ลบก่อนเผยแพร่ได้):\n- PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (บังคับใช้เต็ม 1 มิ.ย. 2565): https://www.dlapiperdataprotection.com/index.html?t=law&c=TH\n- ฐานทางกฎหมาย / สิทธิเจ้าของข้อมูล / privacy notice / DPO threshold: DLA Piper (อ้างถึง ม.39 record-keeping, ม.37(4) breach)\n- Breach notification ภายใน 72 ชม. (PDPC clarification 2025): https://iapp.org/news/a/thailand-s-pdpc-clarifies-data-breach-notification-requirements\n- Log 90 วัน พ.ร.บ.คอมพิวเตอร์ฯ ม.26: https://www.uih.co.th/th/log-file-law-2560/\n- ⚠️ ต้องตรวจ: เกณฑ์ DPO, การโอนข้อมูลข้ามแดนหากใช้ผู้ให้บริการ/โฮสต์ต่างประเทศ, ระยะเวลาเก็บข้อมูลที่แน่นอน\n-->\n"}