This English version is provided for reference only. In case of any discrepancy, the Thai version is the legally binding text.
เวอร์ชัน 1.0 — มีผลบังคับใช้: 1 กรกฎาคม 2569
นโยบายความเป็นส่วนตัว
บริษัท จี ราฟฟิค แอส อะ เซอร์วิส จำกัด (เลขทะเบียน 0105563018031) ผู้พัฒนาและให้บริการแพลตฟอร์ม "Transforza" ("เรา") ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และกฎหมายที่เกี่ยวข้อง
1. ข้อมูลที่เราเก็บรวบรวม
ข้อมูลที่คุณให้โดยตรง
- ชื่อ นามสกุล และที่อยู่อีเมล เมื่อสมัครสมาชิก
- ข้อมูลกระบวนการทำงานและความเสี่ยงขององค์กรที่คุณกรอกในระบบ
- ข้อมูลการชำระเงิน (ประมวลผลโดย 2C2P — เราไม่เก็บหมายเลขบัตรเครดิต)
- การสื่อสารกับทีมงาน เช่น อีเมลสอบถาม
ข้อมูลที่เก็บอัตโนมัติ
- IP Address และข้อมูล Browser (เพื่อความปลอดภัย)
- บันทึกการเข้าใช้งาน (Audit Log) — ไม่สามารถแก้ไขหรือลบได้
- Cookie ที่จำเป็นต่อการทำงานของระบบเท่านั้น
2. วัตถุประสงค์การใช้ข้อมูล
- ให้บริการวิเคราะห์ความเสี่ยงและ Compliance ตามที่คุณร้องขอ
- จัดการบัญชีผู้ใช้และการชำระเงิน
- ส่งการแจ้งเตือนที่เกี่ยวข้องกับบัญชีและความปลอดภัย
- ปรับปรุงและพัฒนาบริการ (โดยใช้ข้อมูลในรูปแบบ Anonymized เท่านั้น)
- ปฏิบัติตามกฎหมายและคำสั่งของหน่วยงานที่มีอำนาจ
🚫 สิ่งที่เราไม่ทำเด็ดขาด
- ไม่นำข้อมูลกระบวนการทำงานของคุณไปเทรน AI ไม่ว่ากรณีใด
- ไม่ขายหรือแชร์ข้อมูลให้บุคคลที่สามเพื่อวัตถุประสงค์เชิงพาณิชย์
- ไม่ใช้ข้อมูลเพื่อการโฆษณาหรือ Profiling
3. ฐานทางกฎหมายในการประมวลผล
- การปฏิบัติตามสัญญา (Contract): การให้บริการตาม Terms of Service
- ความยินยอม (Consent): การส่งอีเมลการตลาด (สามารถยกเลิกได้ทุกเมื่อ)
- ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest): ความปลอดภัยของระบบ
- พันธกรณีทางกฎหมาย (Legal Obligation): การเก็บ Audit Log
4. การรักษาความปลอดภัยข้อมูล
- เข้ารหัสข้อมูลระหว่างส่ง (TLS 1.3)
- เข้ารหัสข้อมูลในฐานข้อมูล (AES-256)
- แยกข้อมูลแต่ละองค์กรด้วย Multi-tenant Architecture
- บังคับใช้ MFA สำหรับทุก Account
- ตรวจสอบและทดสอบความปลอดภัยเป็นระยะ
- จำกัดการเข้าถึงข้อมูลตาม Role-Based Access Control
5. ระยะเวลาเก็บรักษาข้อมูล
- ข้อมูลบัญชี: ตลอดระยะเวลาที่ใช้บริการ + 90 วันหลังยกเลิก
- Audit Log: 7 ปี (ตามกฎหมายบัญชีและภาษี)
- ข้อมูลการวิเคราะห์: ตามแพ็กเกจที่เลือก (Starter: 30 วัน, Professional: 1 ปี, Enterprise: กำหนดเอง)
- ข้อมูล Cookie: Session หรือ 30 วัน
6. การแชร์ข้อมูลกับบุคคลที่สาม
เราอาจแชร์ข้อมูลกับผู้ให้บริการที่จำเป็น ภายใต้ข้อตกลงการประมวลผลข้อมูลที่เข้มงวด:
- Render.com — โครงสร้างพื้นฐาน Server (Singapore)
- Cloudflare R2 — จัดเก็บไฟล์ (ไม่มีการ scan เนื้อหา)
- SendGrid (Twilio) — ส่งอีเมลแจ้งเตือน
- 2C2P — ประมวลผลการชำระเงิน (ไม่ส่งข้อมูลบัตรให้เรา)
- Anthropic / Google — AI วิเคราะห์ (ข้อมูลไม่ถูกใช้ฝึก AI)
7. บันทึกกิจกรรมการประมวลผล (ROPA)
ตามมาตรา 39 พ.ร.บ. PDPA เราจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลครอบคลุม:
- ประเภทข้อมูล, วัตถุประสงค์, ฐานทางกฎหมาย
- ระยะเวลาเก็บรักษา, มาตรการความปลอดภัย
- รายชื่อผู้ประมวลผลข้อมูล (Data Processor) ทั้งหมด
ลูกค้า Enterprise สามารถขอดู ROPA ของตนเองได้โดยติดต่อ hello@creativevaluation.com
8. สิทธิ์ของเจ้าของข้อมูล (DSR)
คุณมีสิทธิ์ดังต่อไปนี้ตาม พ.ร.บ. PDPA:
- สิทธิ์รับทราบ: รู้ว่าเรามีข้อมูลอะไรของคุณบ้าง
- สิทธิ์เข้าถึง: ขอดูข้อมูลของตัวเอง
- สิทธิ์แก้ไข: ขอแก้ไขข้อมูลที่ไม่ถูกต้อง
- สิทธิ์ลบ: ขอลบข้อมูล (เว้นแต่มีพันธกรณีทางกฎหมาย)
- สิทธิ์โอนย้าย: รับข้อมูลในรูปแบบ CSV/JSON
- สิทธิ์คัดค้าน: คัดค้านการประมวลผลบางประเภท
- สิทธิ์ระงับ: ขอระงับการประมวลผลชั่วคราว
9. นโยบาย Cookie
เราใช้เฉพาะ Cookie ที่จำเป็นต่อการทำงานของระบบ:
- Session Cookie: เก็บสถานะการเข้าสู่ระบบ (ลบเมื่อปิด Browser)
- Security Cookie: ป้องกัน CSRF Attack
- Preference Cookie: จำการตั้งค่าภาษา (30 วัน)
เราไม่ใช้ Cookie เพื่อการโฆษณา การติดตาม หรือ Analytics ของบุคคลที่สาม
10. การแจ้งเหตุข้อมูลรั่วไหล
หากเกิดเหตุละเมิดข้อมูลส่วนบุคคล เราจะ:
- แจ้ง PDPC (สำนักงาน คปด.) ภายใน 72 ชั่วโมง
- แจ้งผู้ใช้ที่ได้รับผลกระทบโดยเร็วที่สุด
- ดำเนินการแก้ไขและป้องกันการเกิดซ้ำทันที
11. ติดต่อเจ้าหน้าที่คุ้มครองข้อมูล (DPO)
บริษัท จี ราฟฟิค แอส อะ เซอร์วิส จำกัด
ผู้พัฒนาและให้บริการแพลตฟอร์ม Transforza | เลขทะเบียน 0105563018031
899/24 ซอยสุขุมวิท 101 แขวงบางจาก เขตพระโขนง กรุงเทพมหานคร 10260
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
hello@creativevaluation.com
ตอบกลับภายใน 30 วันนับจากวันที่ได้รับคำขอ
นโยบายนี้มีผลบังคับใช้ตั้งแต่วันที่ 1 กรกฎาคม 2569 — เราอาจปรับปรุงนโยบายเป็นระยะ โดยจะแจ้งให้ทราบผ่านอีเมลและหน้าเว็บไซต์ล่วงหน้าอย่างน้อย 30 วัน
Version 1.0 — Effective: July 1, 2026
Privacy Policy
G Raphic As A Service Co., Ltd. (Registration No. 0105563018031), the developer and operator of the "Transforza" platform ("we"), is committed to protecting personal data under Thailand's Personal Data Protection Act B.E. 2562 (PDPA) and related laws.
1. Information We Collect
Information You Provide Directly
- Name and email address when you register
- Your organization's process and risk information entered into the system
- Payment information (processed by 2C2P — we do not store your card number)
- Communications with our team, such as support emails
Information Collected Automatically
- IP address and browser information (for security)
- Access logs (Audit Log) — cannot be edited or deleted
- Only cookies necessary for the system to function
2. Purpose of Use
- Providing the risk and compliance analysis you request
- Managing user accounts and billing
- Sending account- and security-related notifications
- Improving and developing the service (using anonymized data only)
- Complying with law and lawful requests from authorities
🚫 What We Never Do
- We never use your business process data to train AI, under any circumstances
- We never sell or share your data with third parties for commercial purposes
- We never use your data for advertising or profiling
3. Legal Basis for Processing
- Contractual necessity: Providing the service under our Terms of Service
- Consent: Sending marketing emails (can be withdrawn at any time)
- Legitimate interest: System security
- Legal obligation: Retaining Audit Logs
4. Data Security
- Data encrypted in transit (TLS 1.3)
- Data encrypted at rest (AES-256)
- Each organization's data isolated via multi-tenant architecture
- MFA enforced for every account
- Periodic security review and testing
- Access restricted by Role-Based Access Control
5. Data Retention
- Account data: for the duration of service + 90 days after cancellation
- Audit Log: 7 years (per accounting and tax law)
- Analysis data: per selected plan (Starter: 30 days, Professional: 1 year, Enterprise: custom)
- Cookie data: session or 30 days
6. Sharing With Third Parties
We may share data with necessary service providers, under strict data processing agreements:
- Render.com — server infrastructure (Singapore)
- Cloudflare R2 — file storage (content is not scanned)
- SendGrid (Twilio) — email notifications
- 2C2P — payment processing (card data is never sent to us)
- Anthropic / Google — AI analysis (data is not used to train AI)
7. Record of Processing Activities (ROPA)
Under Section 39 of the PDPA, we maintain a record of processing activities covering:
- Data categories, purposes, and legal basis
- Retention periods and security measures
- A full list of data processors
Enterprise customers may request their own ROPA by contacting hello@creativevaluation.com
8. Data Subject Rights (DSR)
Under the PDPA, you have the following rights:
- Right to be informed: know what data we hold about you
- Right of access: request to view your own data
- Right to rectification: request correction of inaccurate data
- Right to erasure: request deletion (unless a legal obligation applies)
- Right to portability: receive your data in CSV/JSON format
- Right to object: object to certain types of processing
- Right to restriction: request temporary suspension of processing
9. Cookie Policy
We use only cookies necessary for the system to function:
- Session Cookie: keeps you logged in (deleted when the browser closes)
- Security Cookie: protects against CSRF attacks
- Preference Cookie: remembers your language setting (30 days)
We do not use cookies for advertising, tracking, or third-party analytics.
10. Data Breach Notification
In the event of a personal data breach, we will:
- Notify the PDPC (Office of the Personal Data Protection Committee) within 72 hours
- Notify affected users as soon as possible
- Take immediate remedial and preventive action
11. Contact Our Data Protection Officer (DPO)
G Raphic As A Service Co., Ltd.
Developer and operator of the Transforza platform | Registration No. 0105563018031
899/24 Soi Sukhumvit 101, Bang Chak, Phra Khanong, Bangkok 10260
Data Protection Officer (DPO)
hello@creativevaluation.com
We respond within 30 days of receiving a request
This policy is effective as of July 1, 2026 — we may update this policy periodically, with at least 30 days' notice via email and this website.