นโยบายความเป็นส่วนตัว

YieldSteps โดย บริษัท จี ราฟฟิค แอส อะ เซอร์วิส จำกัด

มีผลบังคับใช้: 24 มิถุนายน 2569 เป็นไปตาม พ.ร.บ. PDPA พ.ศ. 2562

นโยบายนี้อธิบายวิธีที่บริษัท จี ราฟฟิค แอส อะ เซอร์วิส จำกัด ("บริษัท") เก็บรวบรวม ใช้ เปิดเผย และปกป้องข้อมูลส่วนบุคคลของท่านตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

สารบัญ

  1. ข้อมูลที่เราเก็บรวบรวม
  2. วัตถุประสงค์และฐานทางกฎหมาย
  3. การใช้ข้อมูลส่วนบุคคล
  4. การเปิดเผยข้อมูล
  5. การส่งข้อมูลไปต่างประเทศ
  6. ระยะเวลาการเก็บข้อมูล
  7. สิทธิ์ของเจ้าของข้อมูล
  8. มาตรการรักษาความปลอดภัย
  9. Cookies และ Analytics
  10. ROPA (บันทึกกิจกรรมการประมวลผล)
  11. การแจ้งเหตุละเมิดข้อมูล
  12. ติดต่อ DPO

1.ข้อมูลที่เราเก็บรวบรวม

1.1 ข้อมูลที่ท่านให้โดยตรง

ประเภทข้อมูลตัวอย่างวัตถุประสงค์
ข้อมูลบัญชีชื่อ, อีเมล, รหัสผ่าน (เข้ารหัส)การยืนยันตัวตนและเข้าสู่ระบบ
ข้อมูลองค์กรชื่อบริษัท, ที่อยู่, เลขทะเบียนการออกใบแจ้งหนี้และเอกสาร
ข้อมูลการชำระเงินสลิปโอนเงิน, วันที่ชำระการยืนยันการชำระเงิน
ข้อมูลผู้ใช้งานชื่อ, อีเมล, บทบาท, แผนกการจัดการสิทธิ์การใช้งาน

1.2 ข้อมูลที่เกิดจากการใช้งาน

  • Log การเข้าใช้งาน (IP Address, เวลา, Action)
  • ข้อมูล Production, Batch Record, Control Plan ที่ผู้ใช้บริการนำเข้า
  • ข้อมูลพิกัด GPS สำหรับการ Check-in (หากเปิดใช้งาน)
  • ข้อมูลอุปกรณ์ (Browser, OS, Device ID)

2.วัตถุประสงค์และฐานทางกฎหมาย

วัตถุประสงค์ฐานทางกฎหมาย (PDPA ม.)
ให้บริการและดำเนินการตามสัญญามาตรา 24(3) — การปฏิบัติตามสัญญา
ยืนยันตัวตนและป้องกันการฉ้อโกงมาตรา 24(5) — ประโยชน์โดยชอบด้วยกฎหมาย
ออกใบแจ้งหนี้และเอกสารภาษีมาตรา 24(6) — การปฏิบัติตามกฎหมาย
ส่งการแจ้งเตือนและข่าวสารบริการมาตรา 24(3) — การปฏิบัติตามสัญญา
วิเคราะห์และปรับปรุงบริการมาตรา 24(5) — ประโยชน์โดยชอบด้วยกฎหมาย
การตลาดและการส่งเสริมการขายมาตรา 19 — ความยินยอม

3.การใช้ข้อมูลส่วนบุคคล

บริษัทใช้ข้อมูลส่วนบุคคลเพื่อ:

  • ให้บริการ YieldSteps และฟีเจอร์ต่างๆ
  • ยืนยันตัวตนและจัดการบัญชีผู้ใช้
  • ส่งการแจ้งเตือน อีเมล และข้อความที่เกี่ยวกับบริการ
  • ออกใบแจ้งหนี้ ใบเสร็จ และเอกสารภาษี
  • วิเคราะห์การใช้งานเพื่อปรับปรุงระบบ
  • ตอบสนองต่อการร้องเรียนและคำขอสนับสนุน
  • ปฏิบัติตามข้อกำหนดทางกฎหมาย

4.การเปิดเผยข้อมูล

4.1 บุคคลที่สามที่ได้รับข้อมูล

ผู้ให้บริการข้อมูลที่แชร์วัตถุประสงค์
Render.com (Singapore)ข้อมูลทั้งหมดHosting และ Database
Netlify (USA)Log การเข้าถึงFrontend Hosting
SendGrid / Twilio (USA)ชื่อ, อีเมลส่งอีเมลแจ้งเตือน
Cloudflare R2 (Singapore)ไฟล์แนบ, รูปภาพจัดเก็บไฟล์

ผู้ให้บริการเหล่านี้ผูกพันด้วยสัญญาการประมวลผลข้อมูล (DPA) และห้ามใช้ข้อมูลเพื่อวัตถุประสงค์อื่น

4.2 การเปิดเผยตามกฎหมาย

บริษัทอาจเปิดเผยข้อมูลเมื่อได้รับคำสั่งจากหน่วยงานรัฐหรือศาล โดยจะแจ้งให้ท่านทราบล่วงหน้าหากกฎหมายอนุญาต

5.การส่งข้อมูลไปต่างประเทศ

ข้อมูลของท่านอาจถูกประมวลผลในประเทศสิงคโปร์ (Render Cloud) และสหรัฐอเมริกา (Netlify, SendGrid) ซึ่งอาจมีมาตรฐานการคุ้มครองข้อมูลที่แตกต่างจากประเทศไทย

บริษัทได้ดำเนินการตามมาตรา 28 PDPA เพื่อให้มั่นใจว่าผู้รับข้อมูลในต่างประเทศมีมาตรฐานการคุ้มครองที่เพียงพอ

6.ระยะเวลาการเก็บข้อมูล

ประเภทข้อมูลระยะเวลาเหตุผล
ข้อมูลบัญชีและผู้ใช้งานตลอดช่วงใช้บริการ + 3 ปีการตรวจสอบและข้อพิพาท
Batch Record และ Control Planตลอดช่วงใช้บริการ + 3 ปีGMP/HACCP Compliance
Log การใช้งาน (Audit Log)3 ปีความปลอดภัยและการตรวจสอบ
ข้อมูลการชำระเงิน5 ปีกฎหมายภาษีและบัญชี
Backup ข้อมูล30 วัน (Rolling)การกู้คืนข้อมูล
Cookie Analytics12 เดือนวิเคราะห์การใช้งาน

เมื่อครบกำหนด ข้อมูลจะถูกลบหรือทำให้ไม่สามารถระบุตัวตนได้อย่างถาวร

7.สิทธิ์ของเจ้าของข้อมูล

ภายใต้ พ.ร.บ. PDPA ท่านมีสิทธิ์ดังต่อไปนี้:

📋 สิทธิ์รับทราบ

ทราบว่าข้อมูลใดถูกเก็บและใช้อย่างไร (ม. 23)

👁 สิทธิ์เข้าถึง

ขอสำเนาข้อมูลส่วนบุคคลของตนเอง (ม. 30)

✏️ สิทธิ์แก้ไข

ขอแก้ไขข้อมูลที่ไม่ถูกต้อง (ม. 35)

🗑 สิทธิ์ลบ

ขอลบข้อมูลเมื่อหมดความจำเป็น (ม. 33)

⏸ สิทธิ์ระงับ

ขอระงับการประมวลผลชั่วคราว (ม. 34)

📤 สิทธิ์โอนย้าย

ขอรับข้อมูลในรูปแบบที่อ่านได้ด้วยเครื่อง (ม. 31)

🚫 สิทธิ์คัดค้าน

คัดค้านการประมวลผลข้อมูล (ม. 32)

↩️ สิทธิ์ถอนความยินยอม

ถอนความยินยอมได้ทุกเมื่อ (ม. 19)

ยื่นคำร้องขอใช้สิทธิ์ได้ที่ hello@creativevaluation.com บริษัทจะตอบกลับภายใน 30 วัน

ท่านมีสิทธิ์ร้องเรียนต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) หากเชื่อว่าสิทธิ์ของท่านถูกละเมิด

8.มาตรการรักษาความปลอดภัย

8.1 การเข้ารหัสข้อมูล

  • การรับส่งข้อมูลทั้งหมดเข้ารหัสด้วย TLS 1.2+ (HTTPS)
  • รหัสผ่านเข้ารหัสด้วย bcrypt (Cost Factor 12)
  • ข้อมูล Sensitive (เช่น API Keys, credentials) เข้ารหัสด้วย AES-256-GCM
  • JWT Token ลงนามด้วย RS256

8.2 การควบคุมการเข้าถึง

  • ระบบ Role-Based Access Control (RBAC) 7 ระดับ
  • Multi-tenant isolation — ข้อมูลแต่ละบริษัทแยกกันโดยสมบูรณ์
  • Two-Factor Authentication (TOTP) รองรับ Google Authenticator
  • Account Lockout หลังพยายาม Login ผิด 5 ครั้ง
  • Session Token หมดอายุใน 15 นาที (Access) และ 7 วัน (Refresh)

8.3 การตรวจสอบและ Audit

  • Audit Log บันทึกทุก Action สำคัญพร้อม IP Address และ Timestamp
  • Log ไม่สามารถแก้ไขหรือลบได้ (Immutable)
  • การสำรองข้อมูล (Backup) ทุกวัน เก็บไว้ 30 วัน

8.4 การรับมือเหตุการณ์ (Incident Response)

  • มีแผน Incident Response สำหรับกรณีข้อมูลรั่วไหล
  • แจ้ง PDPC และเจ้าของข้อมูลภายใน 72 ชั่วโมง กรณีละเมิดข้อมูลส่วนบุคคล

แม้บริษัทจะมีมาตรการรักษาความปลอดภัยที่เข้มแข็ง แต่ไม่มีระบบใดที่ปลอดภัย 100% กรุณาดูแลรักษารหัสผ่านและ Credentials ของท่านเอง

9.Cookies และ Analytics

ประเภท Cookieวัตถุประสงค์ระยะเวลาจำเป็น
Session Cookieรักษา Session การ Loginปิด Browser✓ จำเป็น
Authentication TokenJWT สำหรับ API15 นาที / 7 วัน✓ จำเป็น
Preferencesภาษา, การตั้งค่า UI12 เดือน✓ จำเป็น
Analyticsวิเคราะห์การใช้งาน (ไม่ระบุตัวตน)12 เดือน✗ ไม่บังคับ

ท่านสามารถปฏิเสธ Cookie ที่ไม่จำเป็นได้ผ่านแบนเนอร์ Cookie ในระบบ

10.ROPA (บันทึกกิจกรรมการประมวลผล)

บริษัทจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities — ROPA) ตาม PDPA มาตรา 39 ซึ่งครอบคลุม:

กิจกรรมฐานทางกฎหมายข้อมูลที่ประมวลผลระยะเวลา
การลงทะเบียนผู้ใช้บริการสัญญา (ม.24(3))ชื่อ, อีเมล, ชื่อบริษัท3 ปีหลังยกเลิก
การให้บริการ SaaSสัญญา (ม.24(3))ข้อมูล Production, QC, Batch3 ปีหลังยกเลิก
การชำระเงินกฎหมาย (ม.24(6))ข้อมูลการโอน, สลิป5 ปี
การส่งอีเมลสัญญา/ยินยอมชื่อ, อีเมลตลอดใช้บริการ
Audit Loggingประโยชน์โดยชอบ (ม.24(5))IP, Action, Timestamp3 ปี
การตลาดความยินยอม (ม.19)ชื่อ, อีเมลจนถอนความยินยอม

สามารถขอดูบันทึก ROPA ได้ที่ hello@creativevaluation.com

11.การแจ้งเหตุละเมิดข้อมูล

หากเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคล บริษัทจะดำเนินการดังนี้:

  • ภายใน 72 ชั่วโมง: แจ้งสำนักงาน PDPC ตามมาตรา 37 PDPA
  • โดยไม่ชักช้า: แจ้งเจ้าของข้อมูลที่ได้รับผลกระทบ หากมีความเสี่ยงสูง
  • ดำเนินการแก้ไข: ระงับการเข้าถึงและแก้ไขช่องโหว่โดยเร็ว
  • จัดทำรายงาน: บันทึกเหตุการณ์และมาตรการแก้ไขไว้เป็นหลักฐาน

12.ติดต่อเจ้าหน้าที่คุ้มครองข้อมูล (DPO)

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

บริษัท:บริษัท จี ราฟฟิค แอส อะ เซอร์วิส จำกัด
ที่อยู่:899/24 ซอยสุขุมวิท 101 แขวงบางจาก เขตพระโขนง กรุงเทพมหานคร 10260
โทรศัพท์:095-564-5095
อีเมล DPO:hello@creativevaluation.com
เวลาทำการ:จันทร์-ศุกร์ 09:00-18:00 น. (ยกเว้นวันหยุดนักขัตฤกษ์)

ท่านมีสิทธิ์ร้องเรียนต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โทร 02-142-1033 หรือ pdpc.go.th

↑ กลับด้านบน

Privacy Policy

YieldSteps by G Raphic As A Service Co., Ltd.

Effective Date: June 24, 2026 PDPA Compliant (B.E. 2562)

This Privacy Policy explains how G Raphic As A Service Co., Ltd. ("Company") collects, uses, discloses, and protects your personal data in compliance with Thailand's Personal Data Protection Act B.E. 2562 (PDPA).

Table of Contents

  1. Data We Collect
  2. Purpose and Legal Basis
  3. Use of Personal Data
  4. Data Disclosure
  5. International Data Transfers
  6. Data Retention
  7. Your Rights
  8. Security Measures
  9. Cookies and Analytics
  10. ROPA
  11. Data Breach Notification
  12. Contact DPO

1.Data We Collect

1.1 Data You Provide Directly

Data TypeExamplesPurpose
Account DataName, email, password (hashed)Authentication and login
Organization DataCompany name, address, tax IDInvoicing and documents
Payment DataTransfer slip, payment datePayment verification
User DataName, email, role, departmentAccess management

1.2 Data Generated Through Use

  • Access logs (IP Address, timestamp, action)
  • Production, Batch Record, Control Plan data entered by users
  • GPS location data for check-in (if enabled)
  • Device information (browser, OS, device ID)

2.Purpose and Legal Basis

PurposeLegal Basis (PDPA Section)
Providing and performing servicesSection 24(3) — Contract performance
Identity verification and fraud preventionSection 24(5) — Legitimate interest
Invoicing and tax documentsSection 24(6) — Legal compliance
Service notifications and communicationsSection 24(3) — Contract performance
Service analytics and improvementSection 24(5) — Legitimate interest
Marketing and promotionsSection 19 — Consent

3.Use of Personal Data

  • Providing YieldSteps services and features
  • Authentication and account management
  • Sending notifications, emails, and service-related messages
  • Issuing invoices, receipts, and tax documents
  • Analyzing usage for system improvements
  • Responding to complaints and support requests
  • Complying with legal obligations

4.Data Disclosure

4.1 Third-Party Service Providers

ProviderData SharedPurpose
Render.com (Singapore)All dataHosting and Database
Netlify (USA)Access logsFrontend Hosting
SendGrid / Twilio (USA)Name, emailEmail notifications
Cloudflare R2 (Singapore)Files, imagesFile storage

These providers are bound by Data Processing Agreements (DPA) and may not use data for other purposes.

4.2 Legal Disclosure

The Company may disclose data upon order from government authorities or courts. We will notify you in advance where permitted by law.

5.International Data Transfers

Your data may be processed in Singapore (Render Cloud) and the United States (Netlify, SendGrid), which may have different data protection standards than Thailand.

The Company has implemented measures per PDPA Section 28 to ensure adequate protection standards for international data recipients.

6.Data Retention

Data TypeRetention PeriodReason
Account and user dataService period + 3 yearsAudit and disputes
Batch Records and Control PlansService period + 3 yearsGMP/HACCP Compliance
Audit Logs3 yearsSecurity and audit
Payment data5 yearsTax and accounting laws
Backups30 days (rolling)Data recovery
Analytics cookies12 monthsUsage analysis

Upon expiry, data will be permanently deleted or anonymized.

7.Your Rights

Under Thailand's PDPA, you have the following rights:

📋 Right to be Informed

Know what data is collected and how it's used (Section 23)

👁 Right of Access

Request a copy of your personal data (Section 30)

✏️ Right to Rectification

Request correction of inaccurate data (Section 35)

🗑 Right to Erasure

Request deletion when no longer necessary (Section 33)

⏸ Right to Restriction

Request suspension of processing (Section 34)

📤 Right to Portability

Receive data in machine-readable format (Section 31)

🚫 Right to Object

Object to processing of your data (Section 32)

↩️ Right to Withdraw Consent

Withdraw consent at any time (Section 19)

Submit requests to hello@creativevaluation.com. We will respond within 30 days.

You have the right to lodge a complaint with the Office of the Personal Data Protection Committee (PDPC) if you believe your rights have been violated.

8.Security Measures

8.1 Encryption

  • All data transmission encrypted with TLS 1.2+ (HTTPS)
  • Passwords hashed with bcrypt (Cost Factor 12)
  • Sensitive data (API Keys, credentials) encrypted with AES-256-GCM
  • JWT Tokens signed with RS256

8.2 Access Control

  • Role-Based Access Control (RBAC) with 7 permission levels
  • Complete multi-tenant data isolation
  • Two-Factor Authentication (TOTP) via Google Authenticator
  • Account lockout after 5 failed login attempts
  • Access Tokens expire in 15 minutes; Refresh Tokens in 7 days

8.3 Audit and Monitoring

  • Immutable Audit Logs recording all significant actions with IP and timestamp
  • Daily backups retained for 30 days

9.Cookies and Analytics

Cookie TypePurposeDurationRequired
Session CookieMaintain login sessionBrowser close✓ Required
Authentication TokenJWT for API15 min / 7 days✓ Required
PreferencesLanguage, UI settings12 months✓ Required
AnalyticsUsage analysis (anonymized)12 months✗ Optional

10.Record of Processing Activities (ROPA)

The Company maintains a Record of Processing Activities (ROPA) per PDPA Section 39:

ActivityLegal BasisData ProcessedRetention
User registrationContract (S.24(3))Name, email, company3 years post-termination
SaaS service deliveryContract (S.24(3))Production, QC, Batch data3 years post-termination
Payment processingLegal (S.24(6))Transfer data, slips5 years
Email communicationsContract/ConsentName, emailDuration of service
Audit loggingLegitimate interest (S.24(5))IP, action, timestamp3 years
MarketingConsent (S.19)Name, emailUntil withdrawal

11.Data Breach Notification

  • Within 72 hours: Notify PDPC per PDPA Section 37
  • Without undue delay: Notify affected data subjects if high risk
  • Immediate action: Contain the breach and remediate vulnerabilities
  • Documentation: Record the incident and remediation measures

12.Contact Data Protection Officer (DPO)

Data Protection Officer

Company:G Raphic As A Service Co., Ltd.
Address:899/24 Soi Sukhumvit 101, Bangchak, Phra Khanong, Bangkok 10260
Phone:095-564-5095
DPO Email:hello@creativevaluation.com
Office Hours:Mon–Fri 09:00–18:00 (excluding public holidays)

You may also lodge a complaint with the Office of the Personal Data Protection Committee (PDPC) at pdpc.go.th or Tel: 02-142-1033

↑ Back to Top