A AdPilots ← กลับหน้าหลัก
📝 ต้องกรอกข้อมูลก่อนใช้จริง เปิดไฟล์ business-info.js แล้วเติม registrationNumber + registeredAddress ของ MediaCraft — banner นี้จะหายไปอัตโนมัติ · แนะนำให้ทนาย IT review ก่อน production launch

นโยบายความเป็นส่วนตัว

มีผลตั้งแต่: 1 มกราคม 2026 · ปรับปรุงล่าสุด: 19 พฤษภาคม 2026

1. ใครคือผู้ดูแลข้อมูลของคุณ

บริการ AdPilots (ต่อจากนี้เรียกว่า "เรา" / "AdPilots") เป็นผลิตภัณฑ์ของ บริษัท MediaCraft จำกัด (เลขทะเบียนนิติบุคคล [เลขที่จดทะเบียน]) ที่อยู่ [ที่อยู่จดทะเบียน]

AdPilots ดำเนินงานแบบแยกฐานข้อมูลจากงาน agency ของ MediaCraft อย่างสมบูรณ์ — ข้อมูลของลูกค้า AdPilots SMB ไม่ถูกใช้/แชร์กับงาน agency ของ MediaCraft

ติดต่อ Data Protection Officer (DPO): [email protected]

2. ข้อมูลที่เราเก็บ

2.1 ข้อมูลที่คุณให้เรา

  • บัญชี: ชื่อ, อีเมล, รหัสผ่าน (hash ด้วย Argon2id), บริษัท
  • การชำระเงิน: ข้อมูลบัตรเครดิตประมวลผลโดย Omise — เราเก็บเฉพาะ token + 4 ตัวท้ายของบัตร
  • Tax invoice: ชื่อบริษัท, เลขประจำตัวผู้เสียภาษี, ที่อยู่

2.2 ข้อมูลที่เราดึงจาก ad platform ของคุณ (เมื่อคุณ authorize)

  • OAuth token (เก็บแบบ encrypted ด้วย AES-256-GCM)
  • ข้อมูล campaign + ad performance metrics จาก Google Ads / Meta / TikTok
  • ข้อมูลที่จำเป็นสำหรับ optimization (ไม่รวมข้อมูลส่วนตัวของผู้ดู ad ของคุณ)

2.3 ข้อมูลที่ end-user ของคุณส่งผ่าน conversion pixel

  • Event data (ประเภท event, value, URL) — ตามที่ pixel คุณกำหนด
  • User identifier (hash SHA-256 ของ email/phone ก่อนส่ง — ไม่เก็บ raw)
  • IP + User-Agent (สำหรับ deduplication + bot detection)

2.4 ข้อมูลที่เก็บอัตโนมัติ

  • Server log (IP, request, response status, timestamp) — เก็บ 90 วัน
  • Audit log (ทุก action ใน dashboard) — เก็บ 2 ปี
  • Cookie สำหรับ session + analytics (PostHog / Microsoft Clarity ถ้าเปิดใช้)

3. เราใช้ข้อมูลของคุณอย่างไร

  • ให้บริการ AdPilots — optimize ads ตามที่คุณ authorize
  • คิดเงิน + ออกใบเสร็จ / ใบกำกับภาษี
  • ส่ง notification (alert จาก rule, weekly report, ความปลอดภัย)
  • ปรับปรุง product (aggregate analysis — ไม่ใช้ข้อมูลส่วนบุคคล)
  • ปฏิบัติตามกฎหมาย (PDPA, ภาษี)

4. เราแบ่งปันข้อมูลกับใคร

เราไม่ขายข้อมูลคุณ ส่งข้อมูลไปยัง processor เฉพาะที่จำเป็น:

  • Cloud hosting: Fly.io (Singapore region) / AWS ap-southeast-1
  • Payment: Omise (Thailand) สำหรับประมวลผลบัตร + PromptPay
  • Email: Resend (สำหรับส่ง transactional email)
  • Monitoring: Sentry (error logging — เราตั้ง redaction PII)
  • Ad platforms: Meta / Google / TikTok — เฉพาะข้อมูลที่จำเป็นสำหรับ CAPI/Events API ที่คุณ authorize

4.1 การใช้ข้อมูลจาก Meta (Facebook + Instagram)

เมื่อคุณ authorize AdPilots ผ่าน Facebook Login เพื่อจัดการ ad account ของคุณ:

  • เราขอเข้าถึงเฉพาะ scope: ads_management, ads_read, business_management, pages_show_list
  • เราใช้สิทธิ์เหล่านี้เพื่อ: ดึง campaign data, สร้าง/แก้แคมเปญ, อ่าน Page list, ส่ง conversion events ผ่าน CAPI
  • เราไม่อ่าน DM, ไม่โพสต์ในนามคุณ, ไม่เข้าถึง personal profile, ไม่อ่าน friends list
  • Access token ถูกเก็บ encrypted ที่ AES-256-GCM และใช้เฉพาะคำสั่งที่คุณเริ่ม
  • คุณสามารถถอนสิทธิ์ได้ที่ Facebook Settings → Apps and Websites — เมื่อถอน Meta จะแจ้งเรา และเราจะลบ token + ข้อมูลที่เกี่ยวข้องภายใน 24 ชั่วโมง
  • หากต้องการตรวจสอบสถานะการลบข้อมูล: data-deletion-status.html

4.2 การใช้ข้อมูลจาก Google Ads

  • เราขอ Google Ads scope: https://www.googleapis.com/auth/adwords
  • ใช้สำหรับ: ดึง customer list, อ่าน campaign metrics, สร้าง/แก้ Performance Max campaign, อัปเดต budget
  • เราไม่เข้าถึง Gmail, Drive, Calendar, หรือ Google service อื่นๆ
  • ถอนสิทธิ์ได้ที่ Google Account → Third-party apps

4.3 การใช้ข้อมูลจาก TikTok Ads

  • เราขอ scope: ad management, business center read, identity list
  • ใช้สำหรับ: จัดการแคมเปญใน Ad Account ของคุณ, อ่าน BC identity ที่คุณมีสิทธิ์ใช้
  • เราไม่เข้าถึง TikTok personal account, video content, หรือ DM
  • ถอนสิทธิ์ได้ที่ TikTok Business Center → Settings

5. สิทธิ์ของคุณตาม PDPA

  • สิทธิ์ขอเข้าถึงข้อมูล (Right to access)
  • สิทธิ์แก้ไขข้อมูลที่ผิด (Right to rectification)
  • สิทธิ์ลบข้อมูล (Right to erasure) — กดในหน้า Settings → Delete account
  • สิทธิ์ระงับการประมวลผล (Right to restrict processing)
  • สิทธิ์ขอ data portability — export ข้อมูลของคุณเป็น JSON/CSV
  • สิทธิ์ถอน consent ที่ให้ไว้

ทุกคำขอติดต่อ [email protected] — เราตอบภายใน 30 วัน

6. ระยะเวลาเก็บข้อมูล

  • Active account: เก็บตลอดที่ active
  • หลังลบบัญชี: 90 วัน (เผื่อกู้คืน) → ลบถาวร (ยกเว้นข้อมูลที่กฎหมายบังคับเก็บ เช่น tax record 5 ปี)
  • Server log: 90 วัน
  • Audit log: 2 ปี

7. ความปลอดภัย

  • เข้ารหัส in-transit ด้วย TLS 1.3
  • เข้ารหัส at-rest ด้วย AES-256-GCM สำหรับ OAuth tokens
  • Password hash ด้วย Argon2id (OWASP 2024 recommendation)
  • Audit log ทุก action + session management
  • ผ่าน SOC 2 Type I (เป้าหมาย Q4 2026)

8. Cookies

เราใช้ cookie สำหรับ:

  • Essential: session, CSRF protection (ปฏิเสธไม่ได้ — เป็น functional)
  • Analytics: PostHog / GA4 (เลือก opt-out ได้ที่ banner)

9. การโอนข้อมูลข้ามประเทศ

ข้อมูลของคุณอาจถูกประมวลผลที่ Singapore (AWS ap-southeast-1) — ประเทศที่ PDPC ของไทยรับรองว่ามีมาตรฐานคุ้มครองข้อมูลเพียงพอ

10. การเปลี่ยนแปลงนโยบาย

การเปลี่ยนแปลงสำคัญจะแจ้งทาง email + in-app banner ก่อนมีผลอย่างน้อย 30 วัน

11. ติดต่อเรา

คำถาม คำขอ หรือร้องเรียน — [email protected]
ร้องเรียนต่อ PDPC: pdpc.or.th

เอกสารฉบับนี้เขียนเป็นภาษาไทย — สำหรับ English version ติดต่อทีม legal