เอกสารนี้คือนโยบายความเป็นส่วนตัวของ KepFai ครอบคลุมประเภทข้อมูลที่ระบบประมวลผล บทบาทของ TecTony และของลูกค้าตาม PDPA ตำแหน่งที่ข้อมูลถูกเก็บ มาตรการความปลอดภัย และสิทธิของเจ้าของข้อมูล
KepFai ถูกออกแบบมาเพื่อช่วยสนับสนุนการปฏิบัติตาม PDPA ของลูกค้า ไม่ใช่การรับรอง ความรับผิดชอบทางกฎหมายในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ยังคงอยู่กับลูกค้า
ข้อมูลที่ KepFai ประมวลผล
ระบบประมวลผลข้อความและไฟล์แนบ (รูปภาพ วิดีโอ เอกสาร ไฟล์เสียง) จากแชต LINE ที่ลูกค้าอนุมัติให้บัญชี LINE OA ของลูกค้าเข้าร่วม รวมถึง metadata ที่จำเป็น เช่น user ID ของผู้ส่ง รหัสแชต และเวลาส่งข้อความ นอกจากนี้ระบบยังเก็บข้อมูลบัญชีของผู้ดูแล (admin/owner) ที่ลงทะเบียนใช้ระบบ ได้แก่ อีเมล ชื่อที่แสดง บทบาท และ audit log ของการกระทำในระบบ ระบบจะไม่ประมวลผลข้อความหรือไฟล์จากแชต LINE ที่ไม่ได้รับการอนุมัติในแดชบอร์ดของลูกค้า
บทบาทตาม PDPA
ลูกค้าเป็น 'ผู้ควบคุมข้อมูลส่วนบุคคล' (Data Controller) ตาม PDPA — เป็นผู้กำหนดวัตถุประสงค์และวิธีการในการเก็บข้อมูล TecTony ทำหน้าที่เป็น 'ผู้ประมวลผลข้อมูลส่วนบุคคล' (Data Processor) ที่ดำเนินการตามคำสั่งของลูกค้าและตามขอบเขตที่ระบุในสัญญา ลูกค้ามีหน้าที่กำหนดฐานทางกฎหมายในการเก็บข้อมูลของบุคคลที่อยู่ในแชต LINE และแจ้งสิทธิตาม PDPA แก่บุคคลเหล่านั้น
ตำแหน่งที่ข้อมูลถูกเก็บ
ไฟล์แนบและข้อความที่บันทึก จะเก็บอยู่ในระบบจัดเก็บไฟล์ของลูกค้าเอง — Google Drive ของลูกค้า, OneDrive ของลูกค้า หรือ NAS ของลูกค้า — ไม่ได้ถูกเก็บบนเซิร์ฟเวอร์ของ TecTony Metadata ที่จำเป็นสำหรับการทำงาน (ข้อมูลแชต, upload log, conversation log, audit log, บัญชี admin) ถูกเก็บใน Cloudflare D1 database ภายใต้ Cloudflare account ของลูกค้าเอง ไม่ใช่ของ TecTony
การยินยอมและการแจ้งสมาชิกแชต
การเปิดใช้งาน KepFai ในแชต LINE หนึ่ง ๆ ต้องผ่านการอนุมัติของ admin ในแดชบอร์ด KepFai และต้องมีการเชิญบัญชี LINE OA เข้าร่วมแชต ลูกค้ามีหน้าที่แจ้งสมาชิกในแชตว่ามีการเก็บข้อมูลตามที่ PDPA กำหนดก่อนเปิดใช้งาน — แดชบอร์ด KepFai มีคำแนะนำในระบบให้แจ้งก่อนเปิดฟีเจอร์บันทึกข้อความ (conversation recording) ฟีเจอร์การบันทึกข้อความปิดเป็นค่าเริ่มต้น เป็น opt-in ต่อแชต และเปิดได้เฉพาะบัญชี Owner เท่านั้น
มาตรการความปลอดภัย
การเชื่อมต่อทั้งหมดเข้ารหัสด้วย TLS, credentials ของ LINE (Channel Access Token และ Channel Secret) ถูกเข้ารหัสด้วย AES-256-GCM ก่อนเก็บใน database, ระบบ admin ใช้ magic link + TOTP 2FA แบบบังคับใช้ทุกครั้งที่เข้าสู่ระบบ, ทุกการกระทำของ admin ถูกบันทึกใน audit log แบบ append-only, และระบบมี rate limit เพื่อป้องกัน brute-force การส่งข้อมูลจาก LINE มีการตรวจสอบ HMAC signature เพื่อยืนยันความถูกต้องของ webhook
การเก็บรักษาและการลบข้อมูล
ระยะเวลาการเก็บรักษาไฟล์และข้อความเป็นไปตามนโยบายของลูกค้า — KepFai ไม่ได้กำหนดอายุการเก็บอัตโนมัติสำหรับไฟล์ในระบบจัดเก็บไฟล์ของลูกค้า การลบข้อมูลสามารถทำได้โดยลูกค้าเองในระบบจัดเก็บไฟล์และ Cloudflare D1 database ของลูกค้า เมื่อสิ้นสุดสัญญา TecTony จะ decommission Worker ส่วนข้อมูลที่อยู่ใน Cloud และ database ของลูกค้ายังคงอยู่ภายใต้การควบคุมของลูกค้า
สิทธิของเจ้าของข้อมูล (Data Subject Rights)
บุคคลที่มีข้อมูลถูกประมวลผลในแชต LINE (สมาชิกในแชต) มีสิทธิตาม PDPA เช่น สิทธิเข้าถึงข้อมูล สิทธิให้แก้ไข สิทธิให้ลบ และสิทธิคัดค้านการประมวลผล ลูกค้าในฐานะผู้ควบคุมข้อมูลเป็นผู้รับผิดชอบดำเนินการตามสิทธิเหล่านี้ผ่านระบบและ Cloud ของลูกค้า — TecTony พร้อมสนับสนุนทางเทคนิคเมื่อลูกค้าร้องขอ คำขอใช้สิทธิควรส่งไปยังลูกค้าโดยตรงเป็นลำดับแรก
การติดต่อด้านความเป็นส่วนตัว
หากคุณเป็นสมาชิกแชตที่มีข้อมูลอยู่ในระบบ KepFai ของลูกค้ารายใดรายหนึ่ง และต้องการใช้สิทธิตาม PDPA กรุณาติดต่อบริษัทที่เป็นเจ้าของแชต (ผู้ควบคุมข้อมูล) เป็นลำดับแรก หากต้องการติดต่อ TecTony ในฐานะผู้ประมวลผลข้อมูล หรือสอบถามนโยบายฉบับสมบูรณ์ ติดต่อ hello@kepfai.com หรือ LINE Official Account @TecTony
ติดต่อ
สำหรับคำถามเรื่องนโยบายความเป็นส่วนตัว หรือต้องการสำเนาฉบับสมบูรณ์ ติดต่อทีมงาน TecTony — hello@kepfai.com · LINE @TecTony