นโยบายความเป็นส่วนตัว

เวอร์ชัน: 0.1 ปรับปรุงล่าสุด: 15 พฤษภาคม 2569 หน่วยงานกำกับดูแลหลัก: คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ประเทศไทย

1. เราคือใคร และนโยบายนี้ครอบคลุมอะไร

นโยบายความเป็นส่วนตัวฉบับนี้อธิบายว่า บริษัท รีพาวด์ เอฟเอ็กซ์ จำกัด (Repound FX Co., Ltd.) ("Service", "เรา") เก็บรวบรวม ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้ ("คุณ", "เจ้าของข้อมูล") อย่างไร นโยบายนี้จัดทำขึ้นเพื่อให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ("PDPA") และมีเนื้อหาในเชิงเปรียบเทียบกับ EU General Data Protection Regulation ("GDPR") สำหรับผู้ใช้ที่เข้าใช้งานจาก EU/EEA หรือสหราชอาณาจักร

เราเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ของข้อมูลที่ระบุไว้ด้านล่าง ช่องทางการติดต่อสำหรับเรื่องความเป็นส่วนตัวอยู่ในข้อ 11

2. คำนิยาม

• ข้อมูลส่วนบุคคล — ข้อมูลใด ๆ ที่เกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ตามนิยามใน PDPA มาตรา 6
• การประมวลผล — การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล รวมถึงการเก็บรวบรวม บันทึก จัดเก็บ ใช้ เปิดเผย โอน และทำลาย
• โบรกเกอร์พาร์ทเนอร์ — โบรกเกอร์ Forex ที่เป็นบุคคลภายนอกซึ่งคุณเทรดอยู่ และเป็นผู้รายงานข้อมูลค่าคอมให้เราเพื่อคำนวณรีเบทของคุณ

3. ข้อมูลส่วนบุคคลที่เราเก็บรวบรวม

เราเก็บรวบรวมข้อมูลส่วนบุคคลในประเภทต่อไปนี้:

• ข้อมูลระบุตัวตน — ชื่อ นามสกุล วันเดือนปีเกิด ประเทศที่พำนัก และ (เมื่อจำเป็นต่อการยืนยันตัวตน) เลขบัตรประชาชนหรือเลขหนังสือเดินทาง
• ข้อมูลการติดต่อ — อีเมล เบอร์โทรศัพท์ และ LINE ID ที่ระบุเป็นทางเลือก
• ข้อมูลรับรองบัญชี — รหัสผ่านที่ผ่านการ hash, ปัจจัยการยืนยันตัวตน 2 ขั้นตอน (2FA), session token
• ข้อมูลการเชื่อมต่อโบรกเกอร์ — ชื่อโบรกเกอร์พาร์ทเนอร์ เลขบัญชีโบรกเกอร์ที่โบรกเกอร์ออกให้ และข้อมูล lot ที่เทรด / ค่าคอมที่โบรกเกอร์รายงานมา
• ข้อมูลการจ่ายเงิน — wallet address USDT-TRC20 ของคุณ; tx hash บน blockchain ของการจ่ายที่เราส่งไป
• ข้อมูลทางเทคนิค — IP address, ตัวระบุอุปกรณ์และเบราว์เซอร์, การตั้งค่าภาษา, cookies และตัวระบุที่คล้ายกัน, log ของการเข้าใช้งาน
• ข้อมูลการสื่อสาร — ticket การสนับสนุน ข้อความ chat และอีเมลที่คุณส่งให้เรา
• ข้อมูลความยินยอมการตลาด — สถานะ opt-in หรือ opt-out ในการรับการสื่อสารด้านการตลาดของคุณ

เราไม่ได้ตั้งใจเก็บข้อมูลส่วนบุคคลของผู้ที่อายุต่ำกว่า 18 ปี Service ไม่ได้มีไว้สำหรับผู้เยาว์

4. วัตถุประสงค์ในการประมวลผลและฐานทางกฎหมาย

เราประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์และฐานทางกฎหมายดังนี้:

• การดำเนินการบัญชีและการจ่ายรีเบท — การปฏิบัติตามสัญญาที่คุณยอมรับภายใต้ข้อกำหนดการใช้บริการของเรา
• การยืนยันตัวตน การป้องกันและปราบปรามการฟอกเงิน และการป้องกันการฉ้อโกง — การปฏิบัติตามหน้าที่ตามกฎหมายและประโยชน์โดยชอบด้วยกฎหมายของเราในการให้บริการที่ปราศจากการฉ้อโกง
• การคำนวณรีเบทจากข้อมูลที่โบรกเกอร์รายงาน — การปฏิบัติตามสัญญา
• การรักษาความปลอดภัยของ Service — ประโยชน์โดยชอบด้วยกฎหมายในการคุ้มครองผู้ใช้และ Service จากการใช้งานในทางมิชอบ
• การสนับสนุนลูกค้าและการระงับข้อพิพาท — การปฏิบัติตามสัญญา และประโยชน์โดยชอบด้วยกฎหมายของเราในการแก้ไขข้อร้องเรียน
• การสื่อสารด้านการตลาด — ความยินยอมของคุณ ซึ่งคุณสามารถถอนได้ทุกเมื่อ
• การปรับปรุง Service ผ่านการวิเคราะห์ในรูปแบบรวมหรือ pseudonymised — ประโยชน์โดยชอบด้วยกฎหมายของเรา พร้อมมาตรการป้องกันที่เหมาะสม

5. การเปิดเผยข้อมูลส่วนบุคคล

เราเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้รับในประเภทต่อไปนี้เท่านั้น และเท่าที่จำเป็น:

• โบรกเกอร์พาร์ทเนอร์ — เพื่อยืนยันบัญชีที่คุณผูกไว้และกระทบยอดค่าคอมที่โบรกเกอร์จ่ายให้เรา เราไม่เปิดเผย wallet address หรือรหัสผ่านของคุณให้โบรกเกอร์
• ผู้ให้บริการที่ดำเนินการตามคำสั่งของเรา — สำหรับการ host การส่งอีเมล การยืนยันตัวตน และการวิเคราะห์ข้อมูล ผู้ให้บริการแต่ละรายผูกพันด้วยข้อตกลงประมวลผลข้อมูล และได้รับอนุญาตให้ประมวลผลข้อมูลในนามของเราเท่านั้น
• หน่วยงานด้านภาษี หน่วยงานกำกับดูแล หรือหน่วยงานบังคับใช้กฎหมาย — เมื่อเรามีหน้าที่ต้องเปิดเผยตามกฎหมายไทย คำสั่งศาล หรือกระบวนการทางกฎหมายอื่นที่เราต้องผูกพัน
• ผู้รับโอนกิจการ — ในกรณีการควบรวมกิจการ การซื้อกิจการ หรือการโอนทรัพย์สิน ในกรณีดังกล่าวผู้ใช้จะได้รับการแจ้งก่อนที่การประมวลผลจะเปลี่ยนแปลงในสาระสำคัญ

เรา ไม่ ขายข้อมูลส่วนบุคคล และ ไม่ เปิดเผยข้อมูลเพื่อวัตถุประสงค์ทางการตลาดของบุคคลภายนอกที่ไม่เกี่ยวข้อง

6. การโอนข้อมูลข้ามพรมแดน

ผู้ให้บริการบางรายของเราดำเนินงานเซิร์ฟเวอร์อยู่นอกประเทศไทย เมื่อข้อมูลส่วนบุคคลถูกโอนไปต่างประเทศ เราจะอาศัย (ก) ประเทศปลายทางมีมาตรฐานคุ้มครองข้อมูลที่เพียงพอ หรือ (ข) มาตรการตามสัญญาที่เหมาะสม เช่น standard contractual clauses หรือ (ค) ความยินยอมโดยชัดแจ้งจากคุณ — ตาม PDPA หมวด 3

7. ระยะเวลาการเก็บข้อมูล

เราเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็นต่อวัตถุประสงค์ข้างต้นและตามระยะเวลาที่กฎหมายบัญชี ภาษี และ AML ของไทยกำหนด ระยะเวลาเก็บข้อมูลโดยประมาณ:

• ข้อมูลตัวตนและบัญชี — ตลอดอายุของบัญชี และอีกไม่เกิน 10 ปีหลังปิดบัญชี ตามที่ AML และกฎหมายภาษีกำหนด
• บันทึกธุรกรรมและการจ่ายเงิน — อย่างน้อย 5 ปีหลังธุรกรรมที่เกี่ยวข้อง
• ข้อมูลทางเทคนิคและ log — ไม่เกิน 24 เดือน
• บันทึกความยินยอมการตลาด — จนกว่าคุณจะถอนความยินยอม รวมระยะเวลาเก็บหลักฐานเพิ่มเติมอีกช่วงสั้น

ระยะเวลาเก็บข้อมูลอาจถูกปรับตามคำแนะนำของหน่วยงานกำกับดูแลและการทบทวนทางกฎหมายอย่างต่อเนื่อง

8. สิทธิของเจ้าของข้อมูลตาม PDPA

ในฐานะเจ้าของข้อมูล คุณมีสิทธิต่อไปนี้ตาม PDPA ซึ่งสามารถใช้ได้ผ่านช่องทางการติดต่อในข้อ 11:

• สิทธิในการเข้าถึงข้อมูลส่วนบุคคลของคุณและขอสำเนา
• สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้องหรือล้าสมัย
• สิทธิในการขอลบ ทำให้ไม่สามารถระบุตัวบุคคล หรือทำลายข้อมูลส่วนบุคคล เมื่อฐานทางกฎหมายในการเก็บไม่มีอีกต่อไป
• สิทธิในการขอจำกัดการประมวลผลในกรณีที่กำหนด
• สิทธิในการคัดค้านการประมวลผลที่อาศัยประโยชน์โดยชอบด้วยกฎหมายหรือการตลาดทางตรง
• สิทธิในการถอนความยินยอมได้ทุกเมื่อ โดยไม่กระทบความชอบด้วยกฎหมายของการประมวลผลก่อนการถอน
• สิทธิในการขอให้โอนข้อมูล (data portability) เมื่อการประมวลผลอาศัยความยินยอมหรือสัญญาและกระทำด้วยวิธีอัตโนมัติ
• สิทธิในการยื่นเรื่องร้องเรียนต่อ PDPC

หากคุณเข้าใช้งานจาก EU/EEA หรือสหราชอาณาจักร คุณมีสิทธิที่เทียบเท่าตาม GDPR ในสาระสำคัญ เราจะดำเนินคำขอของคุณภายใต้กรอบที่ให้การคุ้มครองมากกว่า

เราจะตอบสนองคำขอใช้สิทธิที่ตรวจสอบยืนยันแล้วภายใน 30 วัน หรือเร็วกว่าตามที่กฎหมายกำหนด

9. ประกาศการใช้คุกกี้

เราใช้ cookies และ local storage ในจำนวนจำกัด เพื่อการยืนยันตัวตน การจดจำการตั้งค่าภาษาและธีม การป้องกันการฉ้อโกง และการวิเคราะห์ในรูปแบบรวม เราไม่ใช้ advertising cookies ของบุคคลภายนอก คุณสามารถปิด cookies ในเบราว์เซอร์ได้ แต่บางฟังก์ชันของ Service อาจไม่ทำงานหากไม่มี cookies ประกาศการใช้คุกกี้ฉบับนี้ (ปรับปรุง 19 พฤษภาคม 2569) เป็นข้อมูลเพิ่มเติมจากย่อหน้าด้านบนตามข้อกำหนดของ PDPA และหลักความยินยอมในแนว ePrivacy

ผู้ให้บริการที่เราใช้

เราใช้ผู้ให้บริการต่อไปนี้ในการดำเนินงานเว็บไซต์ การประมวลผลที่ไม่จำเป็นทั้งหมดจะเกิดขึ้นต่อเมื่อได้รับความยินยอมจากคุณ

• Vercel — บริการ hosting, CDN และ edge functions คีย์ที่จัดเก็บ: _vercel_* และคุกกี้ session การ deploy ระยะเวลาเก็บ: ตลอด session และเก็บ log ด้านความปลอดภัย/การใช้งานในทางมิชอบไม่เกิน 30 วัน เขตอำนาจที่ประมวลผล: สหรัฐอเมริกา
• Supabase — ฐานข้อมูล การยืนยันตัวตน และพื้นที่จัดเก็บไฟล์ คีย์ที่จัดเก็บ: sb-*-auth-token, supabase-auth-token และคุกกี้ refresh-token ระยะเวลาเก็บ: session token หมดอายุเมื่อ logout หรือเมื่อครบช่วงเวลา idle ที่กำหนด; backup log ไม่เกิน 7 วัน เขตอำนาจที่ประมวลผล: สิงคโปร์ (region หลัก) และสหรัฐอเมริกา (replica / control plane)
• PostHog — การวิเคราะห์การใช้งานผลิตภัณฑ์ คีย์ที่จัดเก็บ: ph_*, posthog ระยะเวลาเก็บ: ตัวระบุที่ทำให้ไม่สามารถระบุตัวบุคคล (anonymised identifier) เก็บไว้ 12 เดือน; ข้อมูล event ดิบหมุนเวียนตามตารางของ PostHog เขตอำนาจที่ประมวลผล: สหรัฐอเมริกา (มี EU instance ให้เลือกได้; การ deploy ปัจจุบันอยู่ที่ US)
• Resend — การส่งอีเมลธุรกรรม ไม่มีการตั้งค่า cookies ในเบราว์เซอร์ การประมวลผลเกิดขึ้นที่ฝั่ง server เท่านั้น ระยะเวลาเก็บ: log การส่งอีเมลไม่เกิน 30 วัน เขตอำนาจที่ประมวลผล: สหรัฐอเมริกา

ฐานทางกฎหมายในการโอนข้อมูลข้ามพรมแดน

ผู้ให้บริการบางรายข้างต้นตั้งอยู่นอกประเทศไทย เมื่อข้อมูลส่วนบุคคลถูกโอนไปต่างประเทศเพื่อวัตถุประสงค์ที่ไม่จำเป็น เราจะอาศัย ความยินยอมโดยชัดแจ้ง ของคุณตาม PDPA มาตรา 28 (ข) สำหรับวัตถุประสงค์ที่จำเป็น (การยืนยันตัวตน ความปลอดภัย การป้องกันการฉ้อโกง) เราจะอาศัยการปฏิบัติตามสัญญาและประโยชน์โดยชอบด้วยกฎหมาย ภายใต้มาตรการตามสัญญาที่เหมาะสมในข้อตกลงประมวลผลข้อมูลของเรา คุณสามารถถอนความยินยอมในการโอนข้อมูลที่ไม่จำเป็นได้ทุกเมื่อผ่านลิงก์ "การตั้งค่าคุกกี้" ใน footer ของเว็บไซต์

สิทธิของคุณตาม PDPA

ตาม PDPA มาตรา 30–36 คุณมีสิทธิดังต่อไปนี้:

• สิทธิในการเข้าถึง (มาตรา 30) — ขอสำเนาข้อมูลส่วนบุคคลที่เราเก็บไว้เกี่ยวกับคุณ
• สิทธิในการแก้ไข (มาตรา 35–36) — แก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่เป็นปัจจุบัน
• สิทธิในการลบ (มาตรา 33) — ขอให้ลบ ทำให้ไม่สามารถระบุตัวบุคคล หรือทำลายข้อมูล เมื่อฐานทางกฎหมายในการเก็บไม่มีอีกต่อไป (สิทธิที่จะถูกลืม)
• สิทธิในการถอนความยินยอม (มาตรา 19) — ปฏิเสธคุกกี้วิเคราะห์หรือคุกกี้การตลาดได้ทุกเมื่อ การถอนความยินยอมไม่กระทบความชอบด้วยกฎหมายของการประมวลผลที่เกิดขึ้นก่อนการถอน
• สิทธิในการคัดค้าน (มาตรา 32) — คัดค้านการประมวลผลที่อาศัยประโยชน์โดยชอบด้วยกฎหมาย หรือการประมวลผลเพื่อการตลาดทางตรง
• สิทธิในการขอให้โอนข้อมูล (มาตรา 31) — รับข้อมูลของคุณในรูปแบบที่มีโครงสร้างและเครื่องอ่านได้ เมื่อการประมวลผลอาศัยความยินยอมหรือสัญญา และกระทำด้วยวิธีอัตโนมัติ
• สิทธิในการร้องเรียน — ยื่นเรื่องร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ของประเทศไทย ที่ https://www.pdpc.or.th

วิธีใช้สิทธิ

ส่งอีเมลถึง privacy@repound.fx พร้อมระบุคำขอของคุณ และให้ข้อมูลเพียงพอเพื่อให้เราตรวจสอบตัวตนของคุณได้ เราจะตอบกลับภายใน 30 วันนับจากวันที่ตรวจสอบยืนยันคำขอแล้ว

ฐานทางกฎหมายตามประเภทของคุกกี้

• คุกกี้ที่จำเป็นอย่างยิ่ง — ประโยชน์โดยชอบด้วยกฎหมาย เพื่อรักษาความปลอดภัยของ Service ยืนยัน session และจดจำการตั้งค่าภาษา/ธีม คุกกี้ประเภทนี้ไม่สามารถปิดได้โดยไม่กระทบฟังก์ชันหลัก
• คุกกี้วิเคราะห์ — ความยินยอม ปัจจุบันใช้ PostHog เป็นเครื่องมือวิเคราะห์เพียงรายเดียว คุณสามารถปฏิเสธได้ผ่าน "การตั้งค่าคุกกี้" หรือกดปฏิเสธคุกกี้วิเคราะห์ที่แถบแจ้งความยินยอม
• คุกกี้การตลาด — ความยินยอม คุกกี้การตลาด/โฆษณา ปัจจุบันยังไม่ได้เปิดใช้งาน หากเปิดใช้งานในอนาคต จะเป็นแบบ opt-in เท่านั้น และจะแสดงรายการในประกาศนี้ก่อนเริ่มเก็บข้อมูล

ระยะเวลาเก็บข้อมูล

• คุกกี้ที่จำเป็นอย่างยิ่ง — หมดอายุเมื่อคุณปิดเบราว์เซอร์ หรือไม่เกิน 30 วัน แล้วแต่อย่างใดเกิดก่อน
• คุกกี้วิเคราะห์ — ตัวระบุแบบไม่ระบุตัวบุคคลเก็บไว้ไม่เกิน 12 เดือน; ข้อมูลวิเคราะห์ในรูปแบบรวมที่ไม่สามารถระบุตัวบุคคลได้อาจถูกเก็บไว้นานกว่านี้เพื่อวิเคราะห์แนวโน้ม
• คุกกี้การตลาด (เมื่อเปิดใช้งาน) — สูงสุด 13 เดือนนับจากวันที่ให้ความยินยอม หลังจากนั้นเราจะขอความยินยอมใหม่

ผู้ควบคุมข้อมูลและเจ้าหน้าที่คุ้มครองข้อมูล (DPO)

ผู้ควบคุมข้อมูลส่วนบุคคลของ Service นี้คือ บริษัท รีพาวด์ เอฟเอ็กซ์ จำกัด (Repound FX Co., Ltd.) สำหรับคำขอตาม PDPA โปรดติดต่อเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ของเราที่ privacy@repound.fx (มีการแต่งตั้ง DPO ในกรณีที่ PDPA มาตรา 41 กำหนด) คำถามทั่วไปเรื่องความเป็นส่วนตัวสามารถติดต่อผ่านลิงก์ติดต่อใน footer ได้เช่นกัน

10. ความปลอดภัย

เราใช้มาตรการรักษาความปลอดภัยทั้งด้านการบริหารจัดการ เทคนิค และกายภาพ ตามมาตรฐานอุตสาหกรรม รวมถึงการเข้ารหัส TLS ระหว่างการส่งข้อมูล รหัสผ่านที่ผ่านการ hash การควบคุมการเข้าถึงตามบทบาท (RBAC) audit log การทดสอบช่องโหว่อย่างสม่ำเสมอ และกระบวนการรับมือเหตุการณ์ ไม่มีระบบใดปลอดภัยอย่างสมบูรณ์ หากเรารู้ถึงเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลที่ก่อความเสี่ยงอย่างมีนัยสำคัญต่อคุณ เราจะแจ้งคุณและ PDPC ตาม PDPA มาตรา 37

11. ติดต่อเรื่องความเป็นส่วนตัว

วิธีใช้สิทธิของคุณ หากต้องการใช้สิทธิหรือสอบถามภายใต้นโยบายนี้ โปรดติดต่อ Data Protection Officer (DPO) ของเราที่ privacy@repound.fx หรือผ่านช่องทางที่เผยแพร่ใน footer ของเว็บไซต์ Service ระบุข้อความให้ชัดเจนว่าเป็น "คำขอ PDPA" เพื่อให้ส่งต่อได้รวดเร็ว · คำขอที่เกี่ยวข้องกับ cookies และเทคโนโลยีที่คล้ายกัน (ข้อ 9) ใช้ช่องทางเดียวกัน

12. การเปลี่ยนแปลงนโยบาย

เราอาจปรับปรุงนโยบายนี้เป็นครั้งคราว การเปลี่ยนแปลงที่มีนัยสำคัญจะถูกแจ้งผ่านประกาศในผลิตภัณฑ์หรืออีเมลอย่างน้อย 7 วันก่อนมีผลบังคับใช้ เว้นแต่กฎหมายกำหนดให้แจ้งในระยะเวลาที่สั้นกว่า