🔒 นโยบายความเป็นส่วนตัว

TarotMystic ทำหน้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลของท่านตามนโยบายฉบับนี้

อีเมลติดต่อ DPO: privacy@tarotmysticth.com

2.1 ข้อมูลที่ท่านให้โดยตรง

• •ชื่อ-นามสกุล และชื่อที่แสดงในระบบ
• •อีเมลแอดเดรส
• •รหัสผ่าน (เข้ารหัสด้วย bcrypt ก่อนจัดเก็บ)
• •รูปโปรไฟล์ (ถ้าอัปโหลด)
• •คำถามและบริบทที่ใช้ในการดูดวง

2.2 ข้อมูลที่เก็บโดยอัตโนมัติ

• •ประวัติการดูดวงและไพ่ที่เลือก
• •ข้อมูลการชำระเงิน (เฉพาะสถานะ ไม่เก็บข้อมูลบัตร)
• •ประวัติการใช้งาน Coins
• •Log การเข้าสู่ระบบ (IP address, device type, timestamp)

2.3 ข้อมูลจากบริการภายนอก (OAuth)

• •Google: ชื่อ, อีเมล, รูปโปรไฟล์ (ตามที่ Google ให้มา)
• •LINE: ชื่อ, LINE ID, รูปโปรไฟล์ (ตามที่ LINE ให้มา)

เราไม่ขายข้อมูลส่วนบุคคลของท่านให้บุคคลภายนอก เราอาจเปิดเผยเฉพาะในกรณีต่อไปนี้:

• •ผู้ประมวลผลข้อมูล (Data Processors): Omise Co., Ltd. (ชำระเงิน), Google LLC (Gemini AI, Cloud TTS), Vercel Inc. (Hosting), Neon Inc. (Database) — ทุกรายมีสัญญาประมวลผลข้อมูลและมาตรการความปลอดภัยที่เหมาะสม
• •หน่วยงานรัฐ: เมื่อมีคำสั่งตามกฎหมาย หมายศาล หรือการร้องขอโดยชอบด้วยกฎหมาย
• •การป้องกันสิทธิ์: เมื่อจำเป็นเพื่อปกป้องสิทธิ์ ทรัพย์สิน หรือความปลอดภัยของ TarotMystic หรือผู้ใช้รายอื่น

บริการของเราใช้ผู้ให้บริการในต่างประเทศ (สหรัฐอเมริกา) ซึ่งอาจมีการโอนข้อมูลข้ามพรมแดน เราดำเนินการให้มั่นใจว่าการโอนข้อมูลดังกล่าวเป็นไปตามมาตรฐาน PDPA โดยผู้รับข้อมูลต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ

• •ข้อมูลบัญชีผู้ใช้: ตลอดระยะเวลาการใช้งาน + 1 ปีหลังลบบัญชี
• •ประวัติการดูดวง: 3 ปีนับจากวันที่บันทึก
• •ข้อมูลการชำระเงิน: 5 ปี (ตามกฎหมายการเงินและภาษีไทย)
• •Log การเข้าสู่ระบบ: 90 วัน
• •การสื่อสารกับ Support: 2 ปี

ท่านสามารถใช้สิทธิ์ผ่านหน้า ตั้งค่า → ความเป็นส่วนตัว หรือส่งคำขอมาที่ privacy@tarotmysticth.com เราจะดำเนินการภายใน 30 วัน

• •เข้ารหัสข้อมูลระหว่างการส่งด้วย TLS 1.3
• •รหัสผ่านเข้ารหัสด้วย bcrypt (cost factor 12) ไม่เคยเก็บ plain text
• •การเข้าถึงฐานข้อมูลจำกัดเฉพาะระบบที่จำเป็น
• •ไม่เก็บข้อมูลบัตรเครดิต — ใช้ Omise (PCI-DSS Level 1) จัดการแทน
• •Session token เป็น HttpOnly Cookie ป้องกัน XSS

เราใช้คุกกี้เพื่อการทำงานที่จำเป็น ได้แก่:

• •คุกกี้ที่จำเป็น: Session token สำหรับยืนยันตัวตน (ไม่สามารถปิดได้)
• •คุกกี้การตั้งค่า: จำ persona, ธีม, การตั้งค่าเสียง (ตามความยินยอม)
• •คุกกี้วิเคราะห์: Plausible Analytics — ไม่ติดตามข้ามเว็บ (ตามความยินยอม)

หากท่านเชื่อว่าการประมวลผลข้อมูลส่วนบุคคลของท่านไม่ชอบด้วยกฎหมาย ท่านมีสิทธิ์ร้องเรียนต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ตามที่อยู่: 120 หมู่ 3 ชั้น 7 อาคารรัฐประศาสนภักดี ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษา ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพมหานคร 10210

เราอาจปรับปรุงนโยบายนี้เป็นครั้งคราว การเปลี่ยนแปลงที่มีสาระสำคัญจะแจ้งให้ทราบ ผ่านอีเมลหรือแบนเนอร์บนเว็บไซต์ล่วงหน้าอย่างน้อย 30 วัน การใช้งานต่อเนื่องหลังจากนั้นถือว่าท่านยอมรับนโยบายที่ปรับปรุงแล้ว