Quoteshelf by Dearbook ให้ความสำคัญกับความเป็นส่วนตัวของผู้ใช้ เอกสารฉบับนี้อธิบายว่าเราเก็บ ใช้ เปิดเผย และคุ้มครอง ข้อมูลส่วนบุคคลของท่านอย่างไร ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller): Dearbook ในนามผู้ดำเนินงาน Quoteshelf — ติดต่อได้ที่ quoteshelf.dearbook@gmail.com

เราเก็บข้อมูลส่วนบุคคลของท่านในกรณีต่อไปนี้:

• ข้อมูลบัญชี: อีเมล, ชื่อแสดง (display name), username, รูปโปรไฟล์ (avatar) — ที่ท่านระบุเมื่อสมัครสมาชิกหรืออัปเดตในภายหลัง
• ข้อมูลจาก Google OAuth (เลือกใช้): หากท่านเลือกเข้าสู่ระบบด้วย Google เราจะได้รับ อีเมล, ชื่อ, และ avatar URL ตามที่ Google ส่งมาให้
• เนื้อหาที่ผู้ใช้สร้าง: card ที่ท่านบันทึก (saved), ท่านสร้างเอง (Pro), การติดตามผู้ใช้อื่น, การตั้งค่า privacy ของ card ของท่าน
• ข้อมูลการใช้งานและเทคนิค: IP address, user agent, เวลาเข้าสู่ระบบ, เหตุการณ์สำคัญ (login, error) ที่จัดเก็บโดยอัตโนมัติเพื่อความปลอดภัยและการดูแลระบบ
• ข้อมูลการชำระเงิน: เมื่อท่านสมัครสมาชิก Pro ผู้ให้บริการรับชำระเงิน (Stripe) จะเก็บข้อมูลบัตร/บัญชี ของท่าน Quoteshelf ไม่จัดเก็บข้อมูลบัตรเครดิต แต่จะได้รับข้อมูลสรุป เช่น สถานะการชำระเงิน, รอบบิล, last-4 digits
• การติดต่อ: เมื่อท่านอีเมลหรือส่งข้อความถึงเรา เราจะเก็บเนื้อหาและข้อมูลที่ท่านให้ไว้

เรา ไม่เก็บข้อมูลส่วนบุคคลที่อ่อนไหว (sensitive personal data) เช่น เชื้อชาติ ศาสนา ข้อมูลสุขภาพ ข้อมูลทางการเงินที่อ่อนไหว เว้นแต่ท่านระบุไว้ใน profile โดยสมัครใจ

เราใช้ข้อมูลของท่านเพื่อวัตถุประสงค์ต่อไปนี้:

• การให้บริการ (ฐาน: สัญญา): สร้างและรักษาบัญชี, แสดงเนื้อหาที่ท่านบันทึก, ประมวลผลการสมัคร Pro
• การสื่อสารบริการ (ฐาน: สัญญา / ประโยชน์โดยชอบด้วยกฎหมาย): ส่งอีเมลสำคัญ เช่น magic-link เข้าสู่ระบบ, การยืนยันการชำระเงิน, การแจ้งเปลี่ยนแปลงเงื่อนไข
• ความปลอดภัยและการป้องกันการละเมิด (ฐาน: ประโยชน์โดยชอบด้วยกฎหมาย): ตรวจจับการใช้งานผิดปกติ, ป้องกัน spam, ตอบสนอง takedown notice
• การปรับปรุงบริการ (ฐาน: ประโยชน์โดยชอบด้วยกฎหมาย): วิเคราะห์รูปแบบการใช้งานโดยรวม (aggregate/anonymised) เพื่อพัฒนาฟีเจอร์
• การตลาด (ฐาน: ความยินยอม): ส่งจดหมายข่าวหรือข้อเสนอเฉพาะเมื่อท่านยินยอม ท่านสามารถถอนความยินยอมได้ตลอดเวลา
• ปฏิบัติตามกฎหมาย: เมื่อมีหน้าที่ตามกฎหมายไทยหรือคำสั่งศาลที่ชอบด้วยกฎหมาย

เราใช้ผู้ให้บริการภายนอกในการประมวลผลข้อมูล (data processors) ดังต่อไปนี้ ภายใต้ข้อตกลงคุ้มครองข้อมูลที่เหมาะสม:

• Supabase (สหรัฐอเมริกา): ฐานข้อมูล, การยืนยันตัวตน, จัดเก็บไฟล์
• Vercel (สหรัฐอเมริกา / global edge): hosting และ CDN
• Google (สหรัฐอเมริกา): OAuth login (เฉพาะผู้ใช้ที่เลือกใช้)
• Stripe: ประมวลผลการชำระเงินสำหรับสมาชิก Pro
• ผู้ให้บริการอีเมล: เช่น Resend หรือ Supabase mail สำหรับส่ง magic-link และอีเมลธุรกรรม

เรา ไม่ขายข้อมูลส่วนบุคคล ของท่านให้แก่บุคคลที่สามไม่ว่ากรณีใด ๆ เราจะเปิดเผยข้อมูลให้หน่วยงานราชการเฉพาะเมื่อมีคำสั่งศาลที่ชอบด้วยกฎหมายเท่านั้น

เนื่องจากผู้ให้บริการของเรา (Supabase, Vercel, Google ฯลฯ) มีศูนย์ข้อมูลในต่างประเทศ ข้อมูลของท่านจึงอาจถูกโอนและประมวลผลนอกประเทศไทย (โดยเฉพาะสหรัฐอเมริกาและ EU)

เราดำเนินการให้มีมาตรการคุ้มครองที่เหมาะสมตาม PDPA มาตรา 28 เช่น การใช้สัญญามาตรฐานคุ้มครองข้อมูล (Standard Contractual Clauses) หรือใช้ผู้ให้บริการที่ปฏิบัติตามมาตรฐานคุ้มครองข้อมูลของ EU (GDPR)

• ข้อมูลบัญชี: ตลอดอายุการใช้งาน และอีก 30 วันหลังจากผู้ใช้ลบบัญชี เพื่อรองรับการกู้คืนกรณีลบโดยผิดพลาด
• ข้อมูลการชำระเงินและใบกำกับ: เก็บไว้ตามที่กฎหมายภาษีไทยกำหนด ปกติ 5 ปี
• Logs ทางเทคนิค (login, error): ไม่เกิน 12 เดือน
• ข้อมูลที่ทำให้ไม่สามารถระบุตัวบุคคลได้ (anonymised): อาจเก็บไว้เพื่อการวิเคราะห์โดยไม่มีกำหนดเวลา

ตาม PDPA ท่านมีสิทธิดังต่อไปนี้:

• สิทธิเข้าถึง: ขอสำเนาข้อมูลส่วนบุคคลของท่าน
• สิทธิแก้ไข: ขอแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่เป็นปัจจุบัน
• สิทธิลบ ("สิทธิที่จะถูกลืม"): ขอลบข้อมูลส่วนบุคคล (ในกรณีที่ไม่มีเหตุให้ต้องเก็บไว้ตามกฎหมาย)
• สิทธิระงับการใช้: ขอให้เราระงับการประมวลผลชั่วคราว
• สิทธิคัดค้าน: คัดค้านการประมวลผลที่ใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย
• สิทธิโอนย้ายข้อมูล: รับข้อมูลในรูปแบบที่อ่านได้ด้วยเครื่อง และส่งต่อไปยังผู้ควบคุมข้อมูลอื่น
• สิทธิถอนความยินยอม: ถอนความยินยอมที่เคยให้ไว้ได้ตลอดเวลา (ไม่กระทบการประมวลผลก่อนถอน)
• สิทธิร้องเรียน: ยื่นเรื่องต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ที่ pdpc.or.th

ท่านสามารถดำเนินการเองได้บางส่วนผ่าน /settings หรือติดต่อเราที่ quoteshelf.dearbook@gmail.com — เราจะตอบกลับภายใน 30 วัน

• การส่งข้อมูลทั้งหมดผ่าน HTTPS / TLS
• ใช้ Row Level Security (RLS) บน Supabase เพื่อจำกัดการเข้าถึงข้อมูลตามผู้ใช้
• รหัสผ่านและ token ถูกเข้ารหัส (hashed/encrypted at rest) โดยผู้ให้บริการ
• เข้าถึงข้อมูลฝั่ง admin เฉพาะบุคคลที่จำเป็นต่อการดูแลระบบ และอยู่ภายใต้ข้อตกลงรักษาความลับ
• ในกรณีที่เกิด data breach ที่กระทบสิทธิของเจ้าของข้อมูล เราจะแจ้ง PDPC ภายใน 72 ชั่วโมง และแจ้งผู้ใช้ที่ได้รับผลกระทบโดยไม่ชักช้า

เราใช้คุกกี้และเทคโนโลยีคล้ายกันในกรณีต่อไปนี้:

• Cookies จำเป็น (Essential): session cookies จาก Supabase Auth — จำเป็นต่อการล็อกอิน ไม่สามารถปิดได้
• Cookies ด้านความปลอดภัย: ใช้ป้องกัน CSRF และยืนยันคำขอ

ปัจจุบันเรา ไม่ใช้คุกกี้สำหรับการตลาดหรือการติดตามข้ามเว็บไซต์ (no third-party tracking) หากในอนาคตเราเพิ่ม analytics หรือ marketing cookies เราจะขอความยินยอมท่านล่วงหน้า

บริการของเราออกแบบสำหรับผู้ใช้ที่มีอายุตั้งแต่ 13 ปีบริบูรณ์ขึ้นไป เท่านั้น เราไม่เก็บข้อมูลส่วนบุคคลของเด็กอายุต่ำกว่า 13 ปีโดยเจตนา หากท่านพบว่าเด็กอายุต่ำกว่า 13 ได้สมัครใช้งานโดยไม่ได้รับความยินยอมจากผู้ปกครอง โปรดแจ้งเราที่ quoteshelf.dearbook@gmail.com เพื่อให้เราลบบัญชีและข้อมูลที่เกี่ยวข้อง

เราอาจปรับปรุงนโยบายนี้เป็นระยะ ๆ เมื่อมีการเปลี่ยนแปลงในสาระสำคัญ เราจะแจ้งให้ทราบล่วงหน้าผ่านอีเมล และประกาศบนเว็บไซต์ อย่างน้อย 14 วัน ก่อนการเปลี่ยนแปลงมีผล

หากท่านมีคำถาม ต้องการใช้สิทธิ หรือต้องการยื่นข้อร้องเรียน ส่งผ่าน ฟอร์มติดต่อ /contact หรืออีเมล:

หากท่านเห็นว่าเราจัดการข้อมูลของท่านไม่ถูกต้องตาม PDPA ท่านมีสิทธิยื่นเรื่องต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ที่ pdpc.or.th

Quoteshelf by Dearbook respects your privacy. This Policy describes how we collect, use, disclose, and protect your personal data, in accordance with Thailand's Personal Data Protection Act B.E. 2562 (PDPA).

Data Controller: Dearbook, as operator of Quoteshelf — reachable at quoteshelf.dearbook@gmail.com.

We collect the following categories of personal data:

• Account data: email, display name, username, avatar — provided by you when registering or updating your profile.
• Google OAuth data (optional): if you choose to log in via Google, we receive email, name, and avatar URL as provided by Google.
• User-generated content: cards you save, cards you create (Pro), follows, and privacy settings on your own cards.
• Usage & technical data: IP address, user agent, login timestamps, system events (login, error) — collected automatically for security and operations.
• Payment data: upon subscribing to Pro, payment processors (Stripe) handle your card/bank data. Quoteshelf does not store credit-card details; we only receive metadata such as payment status, billing cycle, and last-4 digits.
• Communications: when you email or message us, we keep your message contents and provided details.

We do not collect sensitive personal data (e.g. ethnicity, religion, health, sensitive financial data) unless you voluntarily place it in your profile.

We process your data for the following purposes:

• Service delivery (basis: contract): creating and maintaining your account, displaying saved content, processing Pro subscription.
• Service communication (basis: contract / legitimate interest): sending essential emails — magic-link login, payment confirmation, notice of changes to terms.
• Security & abuse prevention (basis: legitimate interest): detecting unusual activity, anti-spam, responding to takedown notices.
• Service improvement (basis: legitimate interest): analysing aggregate / anonymised usage to develop features.
• Marketing (basis: consent): sending newsletters or offers only when you have opted in. You may withdraw consent at any time.
• Legal compliance: when required by Thai law or lawful court order.

We engage the following third-party processors, under appropriate data-protection agreements:

• Supabase (USA): database, authentication, file storage.
• Vercel (USA / global edge): hosting and CDN.
• Google (USA): OAuth login (only if you choose it).
• Stripe: payment processing for Pro subscriptions.
• Email providers: e.g. Resend or Supabase mail for magic-link and transactional emails.

We do not sell your personal data to any third party. We disclose data to government authorities only in response to a lawful court order.

Because our processors (Supabase, Vercel, Google, etc.) maintain data centres outside Thailand, your data may be transferred and processed abroad (primarily in the United States and EU).

We rely on appropriate safeguards under PDPA Section 28, such as Standard Contractual Clauses or providers that adhere to EU data-protection standards (GDPR).

• Account data: for the lifetime of the account, plus 30 days after deletion to support recovery from accidental deletion.
• Payment records and invoices: retained as required by Thai tax law — typically 5 years.
• Technical logs (login, error): no more than 12 months.
• Anonymised data: may be retained indefinitely for analytics.

Under the PDPA, you have the following rights:

• Right of access: request a copy of your personal data.
• Right to rectification: correct inaccurate or outdated data.
• Right to erasure ("right to be forgotten"): request deletion (subject to legal retention obligations).
• Right to restrict processing: request temporary suspension of processing.
• Right to object: object to processing based on legitimate interest.
• Right to data portability: receive your data in a machine-readable format and transmit it to another controller.
• Right to withdraw consent: withdraw any previously given consent at any time (without affecting prior processing).
• Right to lodge a complaint: with Thailand's Personal Data Protection Committee (PDPC) at pdpc.or.th.

You can exercise some of these rights directly via /settings, or contact us at quoteshelf.dearbook@gmail.com. We respond within 30 days.

• All data transmission over HTTPS / TLS.
• Row Level Security (RLS) enforced on Supabase to restrict per-user data access.
• Passwords and tokens are hashed/encrypted at rest by our providers.
• Admin-side data access is restricted to personnel necessary for operations and subject to confidentiality obligations.
• In the event of a data breach affecting data-subject rights, we will notify PDPC within 72 hours and inform affected users without undue delay.

We use cookies and similar technologies for:

• Essential cookies: Supabase Auth session cookies — required for login, cannot be disabled.
• Security cookies: CSRF protection and request verification.

Currently we do not use marketing or cross-site tracking cookies (no third-party tracking). If we add analytics or marketing cookies in the future, we will request your consent in advance.

Our Service is designed for users aged 13 years and older. We do not knowingly collect personal data from children under 13. If you discover that a child under 13 has registered without parental consent, please contact us at quoteshelf.dearbook@gmail.com so we can remove the account and associated data.

We may update this Policy from time to time. For material changes, we will give notice via email and a website notice at least 14 days before the change takes effect.

For questions, rights requests, or complaints, use the /contact form or email:

If you believe we have not handled your data lawfully, you have the right to file a complaint with the Personal Data Protection Committee (PDPC) at pdpc.or.th.