นโยบายความเป็นส่วนตัว

SynapAds (“SynapAds” / “เรา”) ให้บริการแพลตฟอร์ม AI สำหรับการตลาดของ SME ไทย ที่ synapads.com (“บริการ”) นโยบายฉบับนี้อธิบายว่าเราเก็บข้อมูลอะไร ใช้ทำ อะไร แบ่งปันให้ใคร และคุณมีสิทธิ์อะไรบ้าง ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทย การใช้บริการของเราถือว่าคุณยินยอมตามนโยบายนี้

1. ผู้ควบคุมข้อมูล

SynapAds ดำเนินการโดย:

SynapAds เป็นแพลตฟอร์ม AI สำหรับวางแผนการตลาด สร้างคอนเทนต์ ออกแบบรูป ยิงโฆษณา Google Ads + Facebook Ads และวัดผล — รวมในที่เดียวสำหรับ SME ไทย บริการอยู่ในช่วง Early Access

2. ข้อมูลที่เก็บ

เราเก็บข้อมูล 3 ประเภท:

2.1 ข้อมูลที่คุณกรอกเอง

• ข้อมูลบัญชี: ชื่อ อีเมล รูปโปรไฟล์ — ได้จาก Google หรือ Facebook ตอนคุณ login (หรือกรอกเองตอนสมัครด้วย email/password)
• โปรไฟล์ธุรกิจ: ชื่อแบรนด์ อุตสาหกรรม ลูกค้าเป้าหมาย สินค้า งบประมาณ เป้าหมาย และข้อมูลอื่นที่คุณกรอกเพื่อให้ AI ทำคอนเทนต์ตรงแบรนด์
• คอนเทนต์ + ฟีดแบ็ค: brief ที่คุณส่ง การแก้ไขที่คุณทำ กับงาน AI การกด approve/reject ข้อความที่คุณพิมพ์ตอน reject และไฟล์ที่คุณอัพโหลด (รูป วิดีโอ ภาพอ้างอิงแบรนด์)

2.2 ข้อมูลจากแพลตฟอร์มที่เชื่อมไว้

เมื่อคุณเชื่อม Facebook หรือ Google Ads กับ SynapAds ผ่าน OAuth เรารับข้อมูลต่อไปนี้ตามขอบเขตที่คุณอนุญาตเท่านั้น:

• จาก Facebook (Meta): รายการ Page ที่คุณดูแล รายการ Ad Account + Business Manager ข้อมูล Page (ชื่อ หมวด) ตัวเลข engagement บัญชี ad performance (ค่าใช้จ่าย impression click reach conversion) และ access token สำหรับให้เราทำงานแทนคุณตาม scope ที่อนุญาต
• จาก Google Ads: รายการ Customer account ที่คุณมีสิทธิ์ ข้อมูล customer (สกุลเงิน เขตเวลา) ตัวเลข campaign performance (impression click cost conversion search-term report quality score) และ refresh token สำหรับจัดการแคมเปญแทนคุณ

คุณยกเลิกการเข้าถึงได้ทุกเมื่อผ่าน security settings ของ Facebook / Google หรือกดยกเลิกการเชื่อมต่อในหน้า settings ของ SynapAds

2.3 ข้อมูลที่เก็บอัตโนมัติ

• การใช้งาน: หน้าที่ดู การกระทำที่ทำ (approve reject edit) เวลาที่ใช้ในแต่ละหน้า error log
• อุปกรณ์: เบราว์เซอร์ ระบบปฏิบัติการ ตำแหน่งคร่าว ๆ จาก IP address และตัวระบุอุปกรณ์เพื่อรักษาความปลอดภัย session
• Cookies: ดูข้อ 7

2.4 ข้อมูลอ่อนไหวที่ ไม่ เก็บ

ตาม PDPA มาตรา 26 เราประกาศชัดว่า SynapAds ไม่เก็บและไม่ประมวลผลข้อมูลส่วนบุคคลอ่อนไหวเช่น เชื้อชาติ ศาสนา ความเชื่อ ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวมิติ ประวัติอาชญากรรม ข้อมูลแรงงาน หรือพฤติกรรมทางเพศ กรุณาอย่ากรอกข้อมูลเหล่านี้ลงในระบบ ถ้าคุณกรอกโดยไม่ตั้งใจ เราจะลบทิ้งทันทีเมื่อตรวจพบ

3. ฐานทางกฎหมาย

ตาม PDPA มาตรา 24 เราระบุฐานที่ใช้ประมวลผลข้อมูล:

• ฐานสัญญา (มาตรา 24(3)): การให้บริการตามที่คุณสมัครใช้ — login, การเก็บโปรไฟล์ธุรกิจ, การ สร้างคอนเทนต์, การส่งคำสั่งไป Google/Meta ตามที่คุณ approve
• ฐานความยินยอม (มาตรา 24(1)):AI learning จาก feedback ของคุณ (ปิดได้ผ่าน toggle “AI Learning Enabled”), การส่งแจ้งเตือนการตลาด, การเชื่อม OAuth กับ Facebook/Google (คุณยินยอม scope ตอน authorize)
• ฐานประโยชน์โดยชอบ (มาตรา 24(5)): การตรวจจับ fraud + การรักษาความปลอดภัย + การปรับปรุงประสิทธิภาพระบบ (เราชั่งน้ำหนักแล้วว่าไม่กระทบสิทธิ์คุณเกินสมควร)
• ฐานกฎหมาย (มาตรา 24(6)): การเก็บบันทึก billing/บัญชี/ภาษีตามกฎหมายไทยกำหนด

4. เราใช้ข้อมูลทำอะไร

• ให้บริการ — เขียน ad copy + รูป วางแผนแคมเปญ ตั้งเวลาโพสต์ ยิงโฆษณา รายงานผล
• ปรับ AI ให้ตรงสไตล์แบรนด์คุณมากขึ้น — เมื่อคุณ reject งาน AI พร้อมเหตุผล เราใช้ feedback ปรับการสร้างงานครั้งถัดไป เฉพาะของธุรกิจคุณเท่านั้น ไม่ pool feedback ข้ามลูกค้า
• ตรวจจับการใช้งานผิดปกติ + รักษาความปลอดภัย
• แจ้งเตือนการใช้งาน (คำขออนุมัติ ปัญหาการเรียกเก็บเงิน เหตุการณ์ security) ผ่านอีเมล + การแจ้งเตือนในระบบ + Discord (ถ้าคุณ opt-in)
• ปฏิบัติตามกฎหมาย ตอบคำขอตามกฎหมาย และบังคับใช้เงื่อนไขการใช้งาน

เราไม่ขายข้อมูลของคุณ ไม่ใช้ข้อมูลคุณไปเทรน AI ของบริษัทอื่น และไม่ pool feedback กับลูกค้าอื่น

5. ใครที่เราแบ่งปันข้อมูลด้วย

เราส่งข้อมูลให้ผู้ประมวลผลข้อมูลภายนอกเท่าที่จำเป็นเพื่อให้บริการ:

• Meta Platforms, Inc. (Facebook): ad copy / รูป / targeting / งบ ที่คุณ approve แล้ว ส่งไป Meta Graph API เพื่อสร้างและจัดการแคมเปญ Facebook
• Google LLC (Google Ads): ad copy / keyword / extension / targeting / งบ ที่คุณ approve ส่งไป Google Ads API เพื่อสร้างและจัดการแคมเปญ Google Ads
• Anthropic, PBC: brief ที่คุณส่ง + business profile + feedback ส่งไป AI API ของ Anthropic เพื่อสร้างคอนเทนต์ (Anthropic ไม่เก็บข้อมูลและไม่เทรนโมเดลจาก API ตาม default)
• Google Cloud Vertex AI: prompt สร้างรูป ส่งไป Vertex AI Imagen เพื่อ render ภาพ
• โฮสติ้ง: Render (server, Singapore) · Vercel (frontend) · Neon (Postgres database) · Google Cloud Storage (ไฟล์รูป/วิดีโอ)
• การสื่อสาร: Resend (อีเมล transactional) · Discord webhook (การแจ้งเตือน ops ถ้าคุณ opt-in)

เราไม่แบ่งปันข้อมูลกับ ad network, data broker หรือ บริษัทขายข้อมูลใด ๆ เราจะเปิดเผยข้อมูลเฉพาะเมื่อถูกกฎหมายบังคับ ตรวจสอบการใช้งานผิด หรือกรณีควบรวมกิจการ (ซึ่งเจ้าของใหม่จะต้องผูกพันตามนโยบายนี้)

6. การตัดสินใจอัตโนมัติโดย AI

ตาม PDPA มาตรา 32 คุณมีสิทธิ์ทราบและคัดค้านการตัดสินใจอัตโนมัติที่กระทบสิทธิ์คุณ อย่างมีนัยสำคัญ SynapAds มี 3 โหมดการทำงานให้คุณเลือก:

• โหมดทำเอง (Manual): AI เตรียมข้อเสนอเท่านั้น ทุกการตัดสินใจคุณทำเอง — ไม่มี automated decision
• โหมด AI ช่วย (HITL): AI เสนอ คุณ approve ก่อน execute — ไม่มี automated decision เพราะมีมนุษย์ ตัดสินใจขั้นสุดท้าย
• โหมด AI ทำเอง (Autonomous): เป็น automated decision-making ตามมาตรา 32 AI ลงมือทำได้ตาม policy ที่คุณตั้งล่วงหน้า (เช่น ปรับงบ ±20%, pause ad ที่ CTR ต่ำ, สร้างคอนเทนต์ใหม่) — คุณเลือกเข้าใช้โหมดนี้ด้วยตัวเอง และตั้งขอบเขตทุกรายการ

สิทธิ์ของคุณเกี่ยวกับ automated decision-making:

• ยกเลิกโหมด Autonomous ได้ทุกเมื่อ — สลับกลับเป็น HITL หรือ Manual ในหน้า Business Profile
• ขอรีวิวโดยมนุษย์ — ถ้าผลลัพธ์ของ AI กระทบคุณ ส่งคำขอที่ softpomarket@gmail.com เพื่อให้ทีมรีวิวและแก้ไข
• ทุกการกระทำของ AI ถูกบันทึก ใน Automation Audit Log — ตรวจสอบย้อนหลังได้ที่หน้า Audit

7. ระยะเวลาเก็บข้อมูล

เราเก็บข้อมูลของคุณตราบเท่าที่บัญชียัง active ถ้าคุณลบบัญชี เราจะลบหรือ anonymize ข้อมูลส่วนบุคคลภายใน 30 วัน ยกเว้นข้อมูลที่ต้องเก็บตามกฎหมาย (บันทึก billing บันทึกการป้องกัน fraud บันทึกตามกฎหมายภาษี/บัญชี) ดู หน้าวิธีลบข้อมูล สำหรับขั้นตอน

8. สิทธิ์ของคุณตาม PDPA

ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คุณมีสิทธิ์:

• เข้าถึง: ขอดูข้อมูลส่วนบุคคลที่เราเก็บ พร้อม export เป็น JSON
• แก้ไข: แก้ข้อมูลในโปรไฟล์ที่ไม่ถูกต้อง
• ลบ: ลบบัญชี + ข้อมูลที่เกี่ยวข้องทั้งหมด (ดูหน้า วิธีลบข้อมูล)
• ถอนความยินยอม:ถอนสิทธิ์ AI learning ได้ทุกเมื่อ ผ่าน toggle “AI Learning Enabled” ในโปรไฟล์ธุรกิจ หลังปิด feedback จะไม่ถูกใช้ปรับ AI รอบถัดไป
• คัดค้านการใช้งาน: คัดค้านการประมวลผลหรือขอจำกัด ตามที่กฎหมายอนุญาต
• โอนย้ายข้อมูล: ขอ export ข้อมูลในรูปแบบที่อ่านได้ (JSON) ไปใช้กับบริการอื่น

ส่งคำขอใช้สิทธิ์ได้ที่ softpomarket@gmail.com เราตอบกลับภายใน 30 วันตามที่ PDPA กำหนด

9. Cookies และการ tracking

เราใช้ first-party cookies เฉพาะเพื่อให้คุณ login ค้างได้และจำธุรกิจ active ของคุณ ไม่ใช้ third-party advertising cookies ในเว็บนี้ คุณปิด cookies ได้ในเบราว์เซอร์ แต่บริการจะไม่ทำงานถ้าไม่มี session cookies

10. ความปลอดภัย

เราคุ้มครองข้อมูลตามมาตรฐานอุตสาหกรรม: HTTPS ทุก request · เข้ารหัส AES-256-GCM สำหรับ OAuth token ที่เก็บใน DB · password hash ด้วย bcrypt · access control แยกตาม businessId · audit log การกระทำของ admin · อัพเดท dependency สม่ำเสมอ ไม่มีระบบไหนปลอดภัย 100% — ตั้งรหัสผ่านให้แข็งแรง + เปิด 2FA บน Google/Facebook ถ้าทำได้

11. การแจ้งเหตุข้อมูลรั่วไหล

ตาม PDPA มาตรา 37(4) ถ้าเกิดเหตุข้อมูลรั่วไหลที่อาจกระทบสิทธิ์ของคุณ:

• เราจะแจ้ง สคส. ภายใน 72 ชั่วโมง นับจากที่เราทราบเหตุ
• ถ้าเหตุการณ์มีความเสี่ยงสูงต่อคุณ เราจะแจ้งคุณโดยตรงผ่านอีเมล โดยไม่ชักช้า พร้อมระบุ: ลักษณะการรั่วไหล · ข้อมูลที่กระทบ · มาตรการที่เราดำเนินการ · คำแนะนำที่คุณควรทำ (เช่น เปลี่ยน password, ตรวจสอบกิจกรรมในบัญชี)

12. เด็กและเยาวชน

บริการนี้ไม่เหมาะกับผู้ใช้อายุต่ำกว่า 18 ปี เราไม่จงใจเก็บข้อมูลจากเด็ก ถ้าเราพบว่ามี เราจะลบทันที

13. การโอนข้อมูลข้ามประเทศ

ตาม PDPA มาตรา 28 เราเปิดเผยข้อมูลโครงสร้างพื้นฐานและมาตรการคุ้มครองอย่างชัดเจน:

• Singapore: Render (server hosting) — ภายใต้ PDPA ของสิงคโปร์ที่มีระดับความคุ้มครองเทียบเท่า
• สหรัฐอเมริกา: Vercel (frontend hosting), Anthropic (AI API), Google Cloud (Vertex AI + Cloud Storage), Resend (email)

ขณะนี้สหรัฐอเมริกาและสิงคโปร์ ยังไม่อยู่ในรายชื่อ ประเทศที่ สคส. ประกาศว่ามี “มาตรฐานคุ้มครองที่เพียงพอ” เราจึงอาศัยฐานต่อไปนี้:

• Data Processing Agreement (DPA) หรือ Standard Contractual Clauses ที่ลงนามกับ vendor หลักทุกราย (Anthropic, Google Cloud, Vercel, Render)
• ความยินยอมโดยชัดแจ้ง ของคุณ — การใช้บริการ หลังอ่านนโยบายฉบับนี้ถือเป็นการยินยอมโดยทราบข้อเท็จจริง (informed consent) ให้โอนข้อมูลไปยังเขตอำนาจดังกล่าว เพื่อให้บริการตามที่คุณสมัคร (PDPA มาตรา 28 วรรค 2)

14. การเปลี่ยนแปลงนโยบาย

เราอาจอัพเดทนโยบายตามการพัฒนาบริการ วันที่ “อัพเดทล่าสุด” ด้านบนคือเวอร์ชันล่าสุด การเปลี่ยนแปลงสำคัญจะแจ้งในระบบ + อีเมล ก่อนมีผลใช้บังคับ

15. ติดต่อเรา

ข้อสงสัย คำขอ หรือเรื่องร้องเรียนเกี่ยวกับ privacy ส่งได้ที่ softpomarket@gmail.com ถ้าไม่พอใจคำตอบจากเรา คุณมีสิทธิ์ร้องเรียนต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ที่ pdpc.or.th