นโยบายความเป็นส่วนตัว
ฉบับ 1.5 · มีผล 2026-05-11 (ปรับให้กระชับ · ระบุประเภทผู้ให้บริการแทนรายชื่อ)
CheckMate ให้ความสำคัญกับข้อมูลของคุณ — เราเขียนนโยบายนี้ให้เข้าใจง่ายที่สุด เพื่อให้คุณรู้ว่าเราเก็บอะไร เก็บทำไม และคุณมีสิทธิอะไรได้บ้าง
1. ใครคือผู้ดูแลข้อมูล
ผู้ควบคุมข้อมูล: CheckMate (ดำเนินการโดย Mankhong Garden · บุคคลธรรมดา ก่อนจดทะเบียนนิติบุคคล)
ติดต่อทั่วไป: hello@checkmate.house
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO): dpo@checkmate.house
Phase 1 interim: ผู้ก่อตั้งทำหน้าที่ DPO ก่อนแต่งตั้งจริง ตามเกณฑ์ PDPA ม.41 (ผู้ควบคุมข้อมูลขนาดเล็ก · ประมวลผลข้อมูลส่วนบุคคลไม่ถึงเกณฑ์ "จำนวนมาก") · จะแต่งตั้ง DPO อย่างเป็นทางการเมื่อ user > 1,000 active หรือเข้า Phase 2 (KYC + reviews)
2. ข้อมูลที่เราเก็บ
| หมวด | ข้อมูล | ทำไมต้องเก็บ |
|---|---|---|
| บัญชี | ชื่อ, อีเมล, เบอร์โทร (ยืนยันด้วย OTP เพื่อกันสวมรอย), รหัสผ่าน (เข้ารหัส) | สมัครและล็อกอิน |
| โปรไฟล์ผู้ขอตรวจ | ที่อยู่อสังหา, ขนาด, ประเภท, วันที่ต้องการตรวจ | จับคู่กับทีมที่ว่าง |
| โปรไฟล์ทีมตรวจ | ชื่อบริษัท, โลโก้, ขอบเขตงาน, ราคาตั้งต้น, เอกสารใบอนุญาต/ประกัน | แสดงให้ผู้ขอตรวจเลือกได้ |
| การชำระเงิน | หมายเลขอ้างอิงจากผู้ให้บริการชำระเงิน (เราไม่เก็บเลขบัตร) | ออกใบเสร็จและคืนเงินถ้าจำเป็น |
| บัญชีรับเงิน (ทีมตรวจ) | เลขบัญชีธนาคาร / PromptPay | โอนค่าตรวจ |
| การใช้งาน | log การล็อกอิน, IP address, user agent | รักษาความปลอดภัย + ปฏิบัติตามกฎหมายคอมพิวเตอร์ |
| แชทในระบบ | ข้อความระหว่างคุณกับทีม | ใช้คุยงาน + ใช้แก้ข้อพิพาท |
3. ข้อมูลที่เราไม่เก็บ
- ❌ เลขบัตรประชาชน (Phase 1 ยังไม่มี KYC ส่วนบุคคล)
- ❌ เลขบัตรเครดิตเต็มรูปแบบ (ผู้ให้บริการชำระเงินเก็บแทน)
- ❌ ตำแหน่ง real-time ของคุณ
- ❌ ข้อมูลจาก third-party tracking pixel หรือ ad network
- ❌ การเข้าใช้เว็บไซต์อื่นนอก CheckMate
4. ฐานทางกฎหมายในการประมวลผล
ตาม PDPA เราใช้ฐานต่างๆ ตามวัตถุประสงค์:
| ฐาน | ใช้กับ |
|---|---|
| สัญญา (ม.24(3)) | ข้อมูลที่จำเป็นต้องใช้ให้บริการคุณ — เช่น ที่อยู่ที่ตรวจ, ราคา |
| ความยินยอม (ม.24(1)) | ส่งอีเมลข่าวสารและโปรโมชัน (opt-in เท่านั้น คุณยกเลิกได้ทุกเมื่อ) |
| ประโยชน์โดยชอบด้วยกฎหมาย (ม.24(5)) | log ความปลอดภัย, ป้องกันการฉ้อโกง, สถิติการใช้งานแบบ aggregate |
| กฎหมายเฉพาะ (ม.24(6)) | เก็บข้อมูลการชำระเงินเพื่อภาษีและตรวจสอบ |
5. ใครเห็นข้อมูลของคุณบ้าง
ภายใน CheckMate
- ระบบอัตโนมัติ — เพื่อจับคู่และแสดงผล
- ทีมงาน CheckMate — เฉพาะกรณีคุณติดต่อ support หรือมีข้อพิพาท
คู่กรณีในการจับคู่
- ก่อนคุณเลือกทีม: ทีมเห็นเฉพาะ เขต ขนาด ประเภทอสังหา และวันที่ต้องการตรวจ · ทีมยังไม่ทราบชื่อ เบอร์โทร เลขห้อง
- หลังคุณเลือกและจ่ายค่าจับคู่: ทีมเห็น ชื่อ เบอร์โทร และที่อยู่เต็ม เพื่อนัดหมาย
ผู้ให้บริการที่เราใช้ (sub-processors)
เราใช้ผู้ให้บริการ (sub-processors) บางส่วนเพื่อให้บริการได้ ตัวอย่างผู้ให้บริการแต่ละประเภทระบุไว้ในตารางด้านล่าง รายชื่อผู้ให้บริการเฉพาะรายอาจเปลี่ยนแปลงตามความจำเป็นในการดำเนินธุรกิจ หากการเปลี่ยนแปลงส่งผลกระทบสำคัญต่อท่าน เราจะแจ้งให้ทราบล่วงหน้า
| ประเภทผู้ให้บริการ | ตัวอย่างผู้ให้บริการ | วัตถุประสงค์ |
|---|---|---|
| ผู้ให้บริการเข้าระบบ (login) | Google · Facebook · LINE · Apple | ยืนยันตัวตน + สร้างบัญชี |
| ผู้ให้บริการชำระเงิน | Stripe Payments (Thailand) | รับ-โอนเงินผ่านบัตรเครดิต / PromptPay |
| ผู้ให้บริการอีเมล + SMS | ผู้ให้บริการในต่างประเทศสำหรับส่งอีเมลยืนยัน · OTP · แจ้งเตือน | ส่งอีเมล / SMS ที่จำเป็นต่อการใช้งาน |
| ผู้ให้บริการ infrastructure (cloud) | ผู้ให้บริการ hosting · database · CDN · email routing ในต่างประเทศ | เก็บข้อมูล + ประมวลผล + ทำให้บริการใช้งานได้ |
| ผู้ให้บริการ analytics + error monitoring | ผู้ให้บริการ product analytics + error tracking ในต่างประเทศ | วิเคราะห์การใช้งาน + แก้ bug |
6. การส่งข้อมูลข้ามประเทศ
ข้อมูลของท่านบางส่วนถูกประมวลผลในต่างประเทศ (สิงคโปร์ · สหรัฐอเมริกา · EU · ญี่ปุ่น) เนื่องจากผู้ให้บริการเทคโนโลยีที่เราใช้มีเซิร์ฟเวอร์อยู่ที่นั่น ผู้ให้บริการที่เราเลือกใช้มีมาตรฐานคุ้มครองข้อมูลส่วนบุคคลไม่ต่ำกว่า PDPA หรือ EU GDPR
Safeguards ตาม PDPA ม.28:
- ทุกผู้ให้บริการลงนาม Data Processing Agreement (DPA) มาตรฐาน
- การถ่ายโอนไป US ใช้ Standard Contractual Clauses (SCC) ของสหภาพยุโรป — มาตรฐานที่ PDPC รับรอง
- Stripe Inc. + Stripe Payments Singapore Pte Ltd + Stripe Payments Europe Ltd ผ่าน PCI-DSS Level 1 + SOC 1 Type II + SOC 2 Type II
- ทุกผู้ให้บริการอื่นผ่าน SOC 2 Type II / GDPR / ISO 27001 อย่างน้อย 1 มาตรฐาน
- Card data ไม่เคยผ่าน server CheckMate (PCI scope ของผู้ให้บริการชำระเงิน ไม่ใช่ของเรา)
7. เก็บข้อมูลไว้นานแค่ไหน
| ข้อมูล | ระยะเวลา | ฐานทางกฎหมาย |
|---|---|---|
| บัญชีที่ active | ตลอดการใช้งาน | สัญญา (ม.24(3)) |
| บัญชีที่คุณยืนยันลบ | ลบจากระบบหลัก 30 วัน · backup ลบใน 30 วัน | สิทธิ ม.30 |
| ประวัติการชำระเงิน + ใบเสร็จ | 7 ปี | Revenue Code §83/4 (บังคับ) |
| log ความปลอดภัย / IP / user agent | 90 วัน rolling | Computer Crime Act ม.26 (บังคับ) |
| แชทระหว่างคุณกับทีม | 1 ปีหลังปิดงาน | สัญญา + ป้องกันข้อพิพาท |
| consent log (กดยอมรับ Privacy/Terms/Cookie) | ตลอดอายุบัญชี + 7 ปีหลังลบ | บังคับเก็บตาม PDPA ม.19 |
| Marketing suppression list | Permanent | สคบ. compliance |
| ข้อมูลทีมตรวจที่ลบบัญชี | 90 วัน hard delete | สิทธิ ม.30 |
| Reorder credit ที่ออกแล้ว | ตลอดอายุ — ไม่หมดอายุ | สัญญา + นโยบายการคืนเงิน |
| Phone OTP attempt ledger | 30 วัน rolling · auto-purge ทุกวัน | ประโยชน์โดยชอบ ม.24(5) — ป้องกัน takeover |
8. ความปลอดภัย
- รหัสผ่านเข้ารหัสด้วย bcrypt
- การเชื่อมต่อทุกครั้งใช้ HTTPS (TLS 1.2+)
- IP address ใน consent log เก็บเป็น hash แบบ SHA-256 + salt — ไม่สามารถย้อนกลับเป็น IP ดิบได้
- consent log เป็น append-only — ไม่ UPDATE / DELETE เพื่อให้ตรวจสอบย้อนหลังได้
- เบอร์โทรยืนยันด้วย OTP ก่อนโพสต์ขอตรวจหรือ bid ครั้งแรก — กันการสวมรอยบัญชีและ spam
- เปลี่ยนเบอร์โทรได้ทุก 3 วัน (cooldown) — เปลี่ยนแล้ว ต้องยืนยัน OTP ใหม่
- เข้าถึงข้อมูล user ได้เฉพาะทีม CheckMate ที่จำเป็นต้องดู และมี audit log
- เราไม่ใช้รหัสผ่านของคุณซ้ำกับระบบอื่น และไม่เก็บแบบ plain text
- การชำระเงินผ่าน Stripe (PCI-DSS Level 1) — เลขบัตรไม่เคยผ่าน server เรา
หากเกิดเหตุข้อมูลรั่วไหลที่อาจกระทบสิทธิของคุณ เราจะแจ้งให้คุณและสำนักงานคุ้มครองข้อมูลส่วนบุคคล (สคส.) ทราบภายใน 72 ชั่วโมง ตามที่กฎหมายกำหนด
9. สิทธิของคุณตาม PDPA
คุณสามารถใช้สิทธิเหล่านี้ได้ทุกเมื่อ โดยส่งอีเมลถึง dpo@checkmate.house
| สิทธิ | คุณทำอะไรได้ |
|---|---|
| 1. เข้าถึง | ขอดูข้อมูลทั้งหมดที่เรามีเกี่ยวกับคุณ |
| 2. ขอสำเนา | ดาวน์โหลดข้อมูลของคุณเป็นไฟล์ |
| 3. แก้ไข | แก้ข้อมูลที่ไม่ถูกต้องหรือไม่ครบ |
| 4. ลบ | ขอลบบัญชีและข้อมูล (ยกเว้นที่กฎหมายให้เก็บ) |
| 5. จำกัดการใช้ | ขอให้เราหยุดใช้ข้อมูลบางส่วนชั่วคราว |
| 6. คัดค้าน | คัดค้านการประมวลผลที่ใช้ฐาน "ประโยชน์โดยชอบ" |
| 7. ถอนความยินยอม | ยกเลิกการรับอีเมลข่าวสาร / ปิด cookie analytics |
| 8. ร้องเรียน | ร้องเรียนต่อ สคส. (pdpc.or.th) |
เราจะตอบกลับภายใน 30 วัน
10. คุกกี้
เราใช้คุกกี้ 2 ประเภท (ฉบับ cookie-v1.0 · มีผล 2026-05-06):
- ที่จำเป็น (ไม่ขอ consent) — เก็บ session การล็อกอิน, ภาษา, role ที่ใช้อยู่
- เพื่อความสะดวก (opt-in) — จดจำการตั้งค่าของคุณ
เราไม่ใช้ third-party tracking, advertising cookies, หรือ analytics ของบุคคลที่สาม (ตั้งแต่ Phase 1 — ถ้ามีการเพิ่มในอนาคต เราจะแจ้งคุณก่อน)
11. อายุขั้นต่ำ
CheckMate มีไว้สำหรับผู้มีอายุ 20 ปีขึ้นไป (อายุที่บรรลุนิติภาวะตามกฎหมายไทย)
หากคุณอายุต่ำกว่า 20 ปี กรุณาให้บิดามารดาหรือผู้ปกครองตามกฎหมายเป็นผู้ใช้บริการแทน หากเราพบว่าผู้ใช้อายุไม่ถึง เราจะระงับบัญชีและลบข้อมูลภายใน 30 วัน
12. การเปลี่ยนแปลงนโยบาย
หากเราปรับนโยบายในประเด็นสำคัญ เราจะแจ้งคุณทางอีเมลและบนเว็บไซต์ อย่างน้อย 14 วัน ก่อนมีผล
MAJOR change ต้องขอ re-consent ใหม่ — เกิดเมื่อ:
- เพิ่มหมวดข้อมูลใหม่ที่ไม่เคยเก็บมาก่อน
- เพิ่ม sub-processor ใหม่
- ขยาย purpose นอก use-case เดิมที่คุณยินยอมไว้
- ขยายระยะเวลาเก็บข้อมูลเกินที่กฎหมายบังคับ
MINOR change (เช่น แก้คำผิด · clarify wording · เพิ่ม FAQ) จะแจ้งให้ทราบแต่ไม่บังคับ re-consent
ติดต่อ: hello@checkmate.house · DPO: dpo@checkmate.house (ผู้ก่อตั้งทำหน้าที่ DPO interim · ก่อนแต่งตั้งทางการ) · ฉบับ 1.5 · มีผล 2026-05-11