เอกสารนี้อธิบายว่า Ruaiflow เก็บ ใช้ และปกป้องข้อมูลส่วนบุคคลของคุณอย่างไร เราเชื่อในความโปร่งใส — ถ้ามีคำถามให้ส่ง email หาเราได้ทันที นโยบายฉบับนี้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ของประเทศไทย และอ้างอิงแนวทาง GDPR สำหรับลูกค้าในยุโรป
1. ข้อมูลที่เราเก็บ
Ruaiflow เก็บเฉพาะข้อมูลที่จำเป็นสำหรับการให้บริการ — อีเมล (จาก Stripe Checkout), license key, อายุการใช้งาน device activations, log การใช้งาน AI quota และ ID ของแพลตฟอร์มที่คุณเชื่อมต่อ (Facebook, TikTok ฯลฯ) เราไม่เก็บรหัสผ่าน social media ของคุณ — extension ใช้ session ของ browser โดยตรง
2. วิธีที่เราใช้ข้อมูล
ข้อมูลของคุณใช้เพื่อ: (ก) ให้บริการ — verify license + ออก JWT, (ข) ออกใบเสร็จและส่ง license key ทาง email, (ค) วิเคราะห์เพื่อปรับปรุงผลิตภัณฑ์ (aggregate-only ไม่ระบุตัวบุคคล), (ง) ติดต่อสำหรับ updates สำคัญหรือ outage notifications เราไม่ขายข้อมูลให้บุคคลที่สาม
3. Cookies และ tracking
เว็บไซต์ ruaiflow.com ใช้ cookie น้อยที่สุด — เฉพาะ session cookie สำหรับ Stripe Checkout และ localStorage สำหรับเก็บการตั้งค่าภาษา (TH/EN) เราไม่ใช้ Google Analytics, Facebook Pixel, หรือ ad-tracking cookies ใดๆ
4. บุคคลที่สาม (Third parties)
เราใช้บริการ third-party ดังนี้: Stripe (payment processing — เก็บข้อมูลบัตรเครดิต ไม่ส่งผ่านเซิร์ฟเวอร์ของเรา), Resend (email delivery สำหรับ license key + ใบเสร็จ), Supabase (database hosting — EU region, encryption at rest), Google Gemini Flash (สำหรับ AI Caption — ใช้งานอยู่ในปัจจุบัน) เมื่อ Sprint 2 เปิดให้บริการ image generation (Imagen) และ video generation (Veo) เราจะใช้ Google ในการประมวลผลเพิ่ม และ xAI (Grok Imagine video generation) เฉพาะลูกค้าที่ตั้งค่า BYOK เปิดใช้งานเท่านั้น ทุกบริการมี privacy policy ของตัวเอง
4a. ข้อมูลที่ไม่ได้จัดเก็บ (Credentials ของแพลตฟอร์มปลายทาง)
Ruaiflow ไม่จัดเก็บรหัสผ่าน หรือ session token ของบัญชี Facebook / Instagram / TikTok / YouTube / Google ของคุณในเซิร์ฟเวอร์ของเรา การโพสต์ทำงานผ่าน browser session ของคุณเองที่เครื่องคุณ และอยู่ภายใต้การควบคุมของเบราว์เซอร์ทั้งหมด เนื้อหาที่ AI สร้าง (caption, รูป, วิดีโอ) จัดเก็บที่เครื่องของลูกค้าเท่านั้น ไม่มีการ upload กลับมาที่เซิร์ฟเวอร์ของเรา
4b. BYOK — Bring Your Own Key (OpenAI / Gemini / xAI / Anthropic)
หากคุณเลือกใช้ API key ของคุณเองกับ AI providers (BYOK) — key จะถูกเข้ารหัสด้วย AES-256-GCM ก่อนเก็บลง Supabase ผูกกับ license token ของคุณ และจะถูก revoke อัตโนมัติเมื่อ logout หรือ license หมดอายุ Key ไม่ถูกบันทึกใน audit log เราจะตรวจสอบ key ด้วยการเรียกฟรี 1 ครั้งกับ provider ก่อนบันทึก เพื่อยืนยันว่าใช้งานได้ การเรียก AI ผ่าน key ของคุณจะถูกส่งตรงไปยัง provider ตามนั้น คุณรับผิดชอบ ToS และค่าใช้จ่ายของ provider เอง (เป็น key ของคุณ บิลของคุณ) เมื่อเปิดใช้งาน xAI BYOK ระบบจะส่ง prompt ที่คุณป้อนไปยัง xAI ตาม Terms of Service ของ xAI ซึ่งอาจมีนโยบายเก็บข้อมูลที่ต่างจากเรา — โปรดอ่านนโยบาย xAI ก่อนเลือกใช้
5. สิทธิของคุณ
คุณมีสิทธิ: (ก) ขอ export ข้อมูลของคุณทั้งหมดในรูปแบบ JSON, (ข) ขอลบบัญชีและข้อมูลที่เกี่ยวข้องทั้งหมด (ยกเว้นข้อมูลที่กฎหมายกำหนดให้เก็บ เช่น invoice records 5 ปีตาม กรมสรรพากร), (ค) แก้ไข้ข้อมูลที่ไม่ถูกต้อง — ส่งคำขอที่ support@ruaiflow.com ตอบภายใน 7 วัน
6. ความปลอดภัย
ข้อมูลของคุณเข้ารหัสทั้ง in-transit (TLS 1.3) และ at-rest (Supabase RLS) License key ถูก hash ด้วย bcrypt ก่อนเก็บ JWT ใช้ ES256 (asymmetric) signing — secret อยู่ใน Vercel KMS เท่านั้น เราไม่มีสิทธิ์ดูข้อมูลของลูกค้าโดยตรงโดยไม่ผ่าน audit log
7. การติดต่อ
ข้อสงสัยเกี่ยวกับ privacy: support@ruaiflow.com Data Protection Officer (DPO): khathahut@gmail.com (ทีม Ruaiflow)
8. การเก็บรักษาข้อมูล (Data retention)
License records และ activity logs จะถูกเก็บตลอดอายุการใช้งานบัญชีของคุณ เมื่อคุณยกเลิกบัญชี เราจะลบข้อมูลส่วนบุคคลภายใน 30 วัน ยกเว้นข้อมูลที่กฎหมายไทยบังคับให้เก็บ เช่น invoice records ตามประกาศกรมสรรพากร 5 ปี และ KYC ของ Stripe ตามประกาศ ธปท. 5 ปีหลังธุรกรรมล่าสุด AI generation logs จะถูก purge ภายใน 90 วันโดยอัตโนมัติ
9. การโอนข้อมูลไปต่างประเทศ + ตาราง data residency (PDPA §28)
ตามมาตรา 28 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เรามีหน้าที่เปิดเผยว่าข้อมูลของคุณถูกประมวลผลที่ใด ตารางต่อไปนี้สรุปประเภทข้อมูล สถานที่ และระยะเวลาเก็บรักษา ระบบเก็บข้อมูลขั้นต่ำที่จำเป็นเท่านั้น และเราใช้ Standard Contractual Clauses (SCCs) สำหรับการโอนข้อมูลข้ามประเทศที่ใช้บริการ provider ต่างประเทศ
| ประเภทข้อมูล | จัดเก็บที่ | ระยะเวลาเก็บรักษา |
|---|---|---|
| อีเมล + ชื่อลูกค้า | Supabase (EU region) | จนกว่าจะลบบัญชี |
| ใบเสร็จ Stripe | Stripe (HK/SG) + Supabase reference | 7 ปี (ตามภาษีไทย) |
| API key BYOK (เข้ารหัส) | Supabase (EU region) AES-256-GCM | จนกว่าลูกค้าจะ revoke หรือ license หมดอายุ |
| เนื้อหาที่ AI สร้าง | เครื่องของลูกค้าเท่านั้น | ลูกค้าจัดการเอง |
| Audit log การใช้งาน | Supabase (EU region) | 90 วัน rolling |
| รหัส FB / IG / TikTok ของลูกค้า | ไม่จัดเก็บ | — |
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO): khathahut@gmail.com (ทีม Ruaiflow)
10. คุกกี้ที่เก็บอย่างละเอียด
เว็บไซต์ ruaiflow.com ใช้ cookie เพียง 3 ตัว: (1) sb-access-token จาก Supabase สำหรับ session — httpOnly + secure, อายุ 1 ชม.; (2) sb-refresh-token จาก Supabase อายุ 30 วัน; (3) language ใน localStorage สำหรับเก็บภาษา TH/EN เราไม่ใช้ third-party tracker ใดๆ — ไม่มี Google Analytics, Facebook Pixel, Hotjar หรือ ad networks