🔒 นโยบายความเป็นส่วนตัว

1. ข้อมูลที่เรารวบรวม

1.1 ข้อมูลที่คุณให้เราโดยตรง

• การสมัครสมาชิก: ชื่อ-นามสกุล อีเมล ชื่อผู้ใช้ รหัสผ่าน (เก็บแบบ hash)
• โปรไฟล์: เบอร์โทร LINE ID Facebook Username (เพื่อให้ผู้ซื้อติดต่อคุณได้)
• ประกาศ: ข้อมูลทรัพย์สิน รูปภาพ ที่อยู่ พิกัด GPS (หากระบุ)
• Social Login: หากเข้าสู่ระบบผ่าน Google/LINE/Facebook เราจะได้รับ ชื่อ อีเมล รูปโปรไฟล์ จากผู้ให้บริการนั้นๆ ตามที่คุณอนุญาต

1.2 ข้อมูลที่ระบบเก็บอัตโนมัติ

• ข้อมูลการใช้งาน: IP address ของคุณ ประเภท browser หน้าที่ดู เวลาที่เข้า
• การโต้ตอบ: ประกาศที่บันทึก คลิกดูเบอร์โทร แชร์ และค้นหา
• คุกกี้: session cookie สำหรับการล็อกอินและ CSRF token

1.3 ข้อมูลที่เราขอเฉพาะเมื่อจำเป็น

• ตำแหน่ง GPS: เฉพาะตอนที่คุณกด "📍 ตำแหน่งของฉัน" เพื่อค้นหารัศมีรอบตัว — เราไม่ track ตำแหน่งคุณตลอดเวลา
• การชำระเงิน: ปัจจุบันยังไม่มีระบบชำระเงิน — หากเพิ่มในอนาคต จะแจ้งข้อมูลที่เก็บอย่างชัดเจน

2. วิธีที่เราใช้ข้อมูลของคุณ

ตามฐานทางกฎหมาย (PDPA ม.24):

• เพื่อให้บริการ: สร้างบัญชี แสดงประกาศ ค้นหา ส่งข้อความ
• เพื่อสื่อสาร: ส่งอีเมลยืนยัน, รีเซ็ตรหัสผ่าน, แจ้งเตือนเมื่อมีประกาศใหม่ตรงเงื่อนไข (saved-search)
• เพื่อความปลอดภัย: ตรวจจับการละเมิด CSRF / spam / scraping
• เพื่อพัฒนาบริการ: วิเคราะห์การใช้งานโดยรวม (ไม่ระบุตัวบุคคล)
• เพื่อปฏิบัติตามกฎหมาย: หากมีคำสั่งจากเจ้าหน้าที่ตามกฎหมาย

3. การเปิดเผยข้อมูล

เรา ไม่ขาย ไม่แลกเปลี่ยน ไม่เช่า ข้อมูลส่วนบุคคลให้บุคคลที่สาม ยกเว้น:

• เจ้าของประกาศ ↔ ผู้สนใจ: ข้อมูลติดต่อ (เบอร์, LINE, Messenger) ของผู้ขายจะปรากฏกับผู้สนใจที่กดดู — นี่เป็นจุดประสงค์หลักของแพลตฟอร์ม
• ผู้ให้บริการเทคโนโลยี: ผู้ให้บริการ hosting (LiteSpeed/Siamesi), อีเมล (SMTP), social login (Google/LINE/Facebook OAuth)
• ตามกฎหมาย: หากได้รับคำสั่งจากหน่วยงานราชการตามกฎหมาย

4. คุกกี้ (Cookies)

เราใช้คุกกี้เท่าที่จำเป็น:

• Session cookie: เก็บสถานะล็อกอิน (จำเป็นต่อการทำงาน)
• CSRF token: ป้องกันการโจมตี CSRF (จำเป็นต่อความปลอดภัย)
• localStorage: เก็บความชอบส่วนตัว (เช่น layer แผนที่, dismiss banner)

เราไม่ใช้ tracking cookiesจากบริษัทโฆษณาภายนอก ไม่มี Google Analytics ติดตามรายบุคคล

5. การเก็บรักษาข้อมูล

• บัญชีที่ active: เก็บไว้ตลอดเวลาที่คุณยังใช้บริการ
• หลังลบบัญชี: ข้อมูลส่วนบุคคลถูกลบทันที — รวมประกาศ รูปภาพ และการเชื่อมต่อ social login
• Log บันทึก: เก็บ access log ไม่เกิน 90 วันสำหรับตรวจสอบความปลอดภัย
• Backup: backup ฐานข้อมูลรายวัน เก็บไม่เกิน 30 วัน — จะถูกลบหลังพ้นกำหนด

6. สิทธิของคุณ (PDPA)

ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คุณมีสิทธิ:

ส่งคำขอใช้สิทธิได้ที่ support@sivalai.com — เราจะตอบกลับภายใน 30 วันตามที่ PDPA กำหนด

7. การลบบัญชีและข้อมูล

คุณลบบัญชีของตัวเองได้ตลอดเวลาผ่าน หน้าโปรไฟล์ → Danger Zone

เมื่อลบ ระบบจะลบ อย่างถาวร:

• ข้อมูลบัญชี (ชื่อ อีเมล รหัสผ่าน)
• ประกาศและรูปภาพทั้งหมด
• รายการบันทึก saved searches และ favorites
• การเชื่อมต่อ Google/LINE/Facebook
• บันทึกการดูเบอร์โทร (contact views)

สำหรับผู้ใช้ Facebook — มีหน้าแยกสำหรับการลบข้อมูลที่ /data-deletion.php

8. ความปลอดภัยของข้อมูล

เราใช้มาตรการรักษาความปลอดภัย:

• 🔐 รหัสผ่านเก็บแบบ bcrypt hash (ไม่เก็บแบบ plain text)
• 🛡️ ป้องกัน SQL injection ด้วย prepared statements
• 🚧 ป้องกัน CSRF ทุก endpoint ที่เปลี่ยนสถานะข้อมูล
• 🔒 HTTPS (TLS) ตลอดการเชื่อมต่อ
• ⏱️ Rate limiting เพื่อกัน abuse
• 📊 Audit log สำหรับการกระทำสำคัญ

9. การโอนข้อมูลข้ามประเทศ

ข้อมูลทั้งหมดเก็บไว้บน เซิร์ฟเวอร์ในประเทศไทย เราไม่โอนข้อมูลไปประเทศที่ไม่มีการคุ้มครองข้อมูลในระดับเดียวกับไทย ยกเว้นการใช้ Google/LINE/Facebook OAuth ซึ่งมีนโยบายเฉพาะของผู้ให้บริการนั้นๆ

10. ผู้เยาว์

Sivalai ไม่ได้ออกแบบสำหรับผู้ใช้อายุต่ำกว่า 18 ปี หากเราพบว่าผู้ใช้เป็นผู้เยาว์โดยไม่ได้รับความยินยอมจากผู้ปกครอง บัญชีจะถูกลบ

11. การเปลี่ยนแปลงนโยบาย

เราอาจปรับปรุงนโยบายนี้เป็นครั้งคราว — การเปลี่ยนแปลงสำคัญจะแจ้งผ่านอีเมลและ banner บนเว็บอย่างน้อย 30 วันก่อนมีผลบังคับใช้

12. ติดต่อ DPO (Data Protection)

ใช้สิทธิภายใต้ PDPA หรือมีคำถามเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล:

13. หน่วยงานร้องเรียน

หากไม่พอใจการตอบกลับของเรา สามารถร้องเรียนต่อ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ผ่านเว็บไซต์ pdpc.or.th