OneEA Studio
Enterprise AI Studio
AI Transformation
นโยบายความเป็นส่วนตัว

เราเก็บข้อมูลเฉพาะที่จำเป็น และจะอธิบายให้คุณทราบทุกอย่าง

นโยบายฉบับนี้อธิบายว่า Enterprise AI Transformation Studio (ดำเนินการโดย OneDigiTech) เก็บ ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้งานอย่างไร เราออกแบบให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ของประเทศไทย และอ้างอิงหลักการของ GDPR ในส่วนที่เกี่ยวข้องสำหรับผู้ใช้ในต่างประเทศ

ปรับปรุงล่าสุด · 16 May 2026
01

สรุปแบบเข้าใจง่าย

เราคือ บริษัท OneDigiTech จำกัด บริษัทไทยที่ดำเนินการ Enterprise AI Transformation Studio ที่ oneai-studio.web.app เราถือว่าข้อมูลส่วนบุคคลของคุณเป็นความรับผิดชอบ ไม่ใช่ทรัพย์สินที่จะนำไปใช้หากำไร

เราเก็บเฉพาะข้อมูลที่จำเป็นต่อการใช้งาน — ข้อมูลบัญชี, เนื้อหาที่คุณสร้าง (blueprint, ความคืบหน้า lab, บทสนทนากับ AI Tutor) และ log ทางเทคนิคที่ใช้รักษาความเสถียรและความปลอดภัยของระบบ เราไม่ขายข้อมูลส่วนบุคคล และไม่นำข้อมูลขององค์กรของคุณไปใช้ฝึก AI ภายนอก

ส่วนที่เหลือของนโยบายฉบับนี้จะอธิบายแต่ละหัวข้อโดยละเอียด — รวมถึงผู้ให้บริการภายนอกที่เกี่ยวข้อง (Google Firebase, Google Gemini), สถานที่จัดเก็บ, ระยะเวลาเก็บข้อมูล และสิทธิที่คุณสามารถใช้ได้ตลอดเวลา

02

เราเป็นใครและติดต่อได้อย่างไร

ผู้ควบคุมข้อมูลส่วนบุคคล: บริษัท OneDigiTech จำกัด จดทะเบียนในประเทศไทย สำนักงานใหญ่ตั้งอยู่ที่กรุงเทพมหานคร

เรื่องเกี่ยวกับความเป็นส่วนตัวทุกอย่าง — คำถาม, ร้องเรียน, หรือใช้สิทธิ — ติดต่อ privacy@onedigitech.cc สำหรับการสนับสนุนทั่วไป ติดต่อ hello@onedigitech.cc

หากคุณเป็นลูกค้าองค์กรที่มีสัญญากับเรา องค์กรของคุณคือผู้ควบคุมข้อมูล (Controller) สำหรับเนื้อหาที่อัปโหลดเข้า tenant ขององค์กร และ OneDigiTech ทำหน้าที่เป็นผู้ประมวลผล (Processor) ตาม PDPA มาตรา 40 / GDPR Article 28

03

ข้อมูลส่วนบุคคลที่เราเก็บ

เราเก็บข้อมูลเท่าที่จำเป็น รายการต่อไปนี้คือทุกประเภทที่เราเก็บ ณ วันที่นโยบายนี้มีผลบังคับใช้

บัญชีและโปรไฟล์
  • อีเมล (จำเป็นสำหรับเข้าระบบและการกู้คืนบัญชี)
  • ชื่อที่แสดงและรูปโปรไฟล์ หากลงชื่อเข้าใช้ด้วย Google
  • รหัสผ่านที่ถูก hash หากสมัครด้วยอีเมล (เราไม่เห็น plaintext เพราะ Firebase Authentication เป็นผู้ทำ hash)
  • Tenant และ Role (กำหนดโดยองค์กรของคุณหากเป็นผู้ใช้ enterprise; เป็น personal tenant สำหรับผู้ใช้ทั่วไป)
  • Flag สำหรับ session แบบ anonymous สำหรับผู้เยี่ยมชมที่ทดลองใช้โดยไม่ลงชื่อเข้า
เนื้อหาที่คุณสร้างหรืออัปโหลด
  • การแก้ไข Enterprise Blueprint และ composition ที่บันทึก
  • ความคืบหน้าใน lab, คำตอบ, ค่า slider และ input ของ ROI Estimation
  • ความคืบหน้าคอร์ส, คำตอบ quiz และข้อมูล certificate
  • ประวัติบทสนทนากับ AI Tutor (ข้อความของคุณและคำตอบของ AI)
  • รายการ favourite และ item ที่คุณดูใน Catalog
ข้อมูลการใช้งานและทางเทคนิค
  • หน้าที่เข้าดู, feature ที่ใช้ และภาษา/locale ที่คุณเลือก
  • ประเภทอุปกรณ์, browser, OS, ขนาดหน้าจอ และ timezone
  • IP address (ใช้เพื่อความปลอดภัย, ป้องกันการใช้งานในทางที่ผิด และระบุประเทศโดยประมาณ — ไม่เก็บตำแหน่งที่แม่นยำ)
  • ตัวชี้วัด performance และ error log (anonymise ในส่วนที่ทำได้)
สิ่งที่เราไม่เก็บ
  • ไม่เก็บเลขบัตรประชาชน, เลขบัญชีธนาคาร, ข้อมูลชีวมิติ, ข้อมูลสุขภาพ หรือ location ที่แม่นยำ
  • ไม่จงใจเก็บข้อมูลจากบุคคลอายุต่ำกว่า 13 ปี
  • ไม่ใช้ third-party advertising tracker, retargeting pixel หรือ session-replay tool
04

ทำไมเราเก็บข้อมูล (ฐานทางกฎหมาย)

ภายใต้ PDPA และ GDPR เราต้องมีฐานทางกฎหมายในการประมวลผลข้อมูลทุกกิจกรรม เรายึดตามฐานต่อไปนี้:

  • สัญญา (PDPA ม.24(3) / GDPR Art.6(1)(b)) — เพื่อให้บริการตามที่คุณสมัคร: ยืนยันตัวตน, บันทึกงาน, รัน AI Tutor, ออก certificate
  • ประโยชน์โดยชอบด้วยกฎหมาย (PDPA ม.24(5) / GDPR Art.6(1)(f)) — รักษาความปลอดภัย, ป้องกันการใช้งานในทางที่ผิด, แก้ bug และปรับปรุงคุณภาพผ่าน analytics แบบ anonymise เราได้ชั่งน้ำหนักประโยชน์เหล่านี้กับสิทธิของคุณแล้วและเห็นว่าได้สัดส่วน
  • หน้าที่ตามกฎหมาย (PDPA ม.24(6) / GDPR Art.6(1)(c)) — เก็บข้อมูลตามที่กฎหมายไทยกำหนด, ตอบสนองคำขอที่ชอบด้วยกฎหมายของหน่วยงานรัฐ และดำเนินการตามภาระภาษีหรือบัญชี
  • ความยินยอม (PDPA ม.19 / GDPR Art.6(1)(a)) — สำหรับการประมวลผลที่ไม่จำเป็นอย่างยิ่ง เช่น รับข่าวสารผลิตภัณฑ์ทางอีเมล — ถอนความยินยอมได้ตลอดเวลาโดยไม่กระทบบริการ
05

การประมวลผลด้วย AI — เมื่อคุณใช้ AI Tutor

เราใช้ Google Gemini (model: gemini-2.5-flash สำหรับ chat; gemini-embedding-001 สำหรับ retrieval) เป็นผู้ให้บริการ AI เมื่อคุณส่งข้อความถึง AI Tutor ข้อมูลต่อไปนี้จะถูกส่งไปยัง Gemini ผ่าน Google Cloud enterprise API:

  • Prompt ของคุณและบริบทบทสนทนาล่าสุด
  • ส่วนของเนื้อหา Enterprise AI ที่เกี่ยวข้อง (คอร์ส, lab, blueprint) ที่ retrieve มาเพื่อให้ AI ตอบโดยอ้างอิงเนื้อหาจริง — เป็นบริบทของ tenant ของคุณ ไม่ใช่ข้อมูลของผู้ใช้คนอื่น
  • System prompt ที่อธิบายบทบาทและข้อจำกัดของ assistant
พันธสัญญาระดับ enterprise ของ Google
  • ตามเงื่อนไข Generative AI สำหรับลูกค้า Google Cloud — prompt และ response จะ ไม่ ถูกใช้ฝึก foundation model ของ Google
  • ข้อมูลถูกประมวลผลชั่วคราวเพื่อสร้าง response และไม่ถูกเก็บไว้เพื่อปรับปรุง model
  • ประมวลผลใน Google data center ภูมิภาค asia-southeast1 (สิงคโปร์) เป็นหลัก บางครั้งอาจ fallback ไปยังภูมิภาค Asia-Pacific อื่น
06

ข้อจำกัดและคำเตือนเกี่ยวกับ AI

เราไม่ส่ง password, ข้อมูลการชำระเงิน หรือข้อมูลส่วนบุคคลที่อ่อนไหวไปยัง Gemini หากคุณ paste เนื้อหาที่อ่อนไหวลงใน Tutor มันจะถูกส่งเป็นส่วนของ prompt — กรุณาหลีกเลี่ยงการ paste secret หรือข้อมูลที่ระบุตัวบุคคลซึ่งไม่เกี่ยวกับคำถาม

คำตอบของ AI ถูกสร้างขึ้นโดยอัตโนมัติ อาจมีข้อผิดพลาด, hallucination หรือมุมมองที่ลำเอียง — อย่าถือเป็นคำแนะนำทางกฎหมาย, การแพทย์, การเงิน หรือ compliance โปรดอ่านเงื่อนไขการใช้บริการของเราเพิ่มเติม

07

ผู้ประมวลผลภายนอกและสถานที่จัดเก็บข้อมูล

เราใช้ผู้ให้บริการ infrastructure ที่เชื่อถือได้จำนวนน้อย แต่ละรายผูกพันด้วยข้อตกลงประมวลผลข้อมูล และประมวลผลตามคำสั่งของเราเท่านั้น:

Google Firebase (Authentication, Firestore, Cloud Functions, Hosting)
  • จัดเก็บบัญชี, เนื้อหา และ state การยืนยันตัวตน
  • Firebase Authentication ทำ password hashing และ federated sign-in (Google, anonymous)
  • Firestore ตั้งค่าที่ภูมิภาค asia-southeast1 (สิงคโปร์)
  • Google LLC เป็นผู้ประมวลผลตาม PDPA ม.27 และ Article 28 ตาม GDPR
Google Gemini (gemini-2.5-flash, gemini-embedding-001)
  • คำตอบของ AI Tutor และ embedding ของเนื้อหา
  • Input ไม่ถูกใช้ฝึก foundation model ตามเงื่อนไข enterprise ของ Google
  • ประมวลผลใน data center Asia-Pacific
Cloudflare (CDN, การป้องกัน DDoS — หากใช้)
  • Cache asset ใกล้ผู้ใช้เพื่อ performance
  • ตรวจ metadata ของ request เพื่อป้องกันการ abuse และ DDoS
  • ไม่เก็บเนื้อหาส่วนบุคคลเกินกว่า log อายุสั้น
08

Cookie และ Local Storage

Enterprise AI Transformation Studio ส่วนใหญ่ stateless ฝั่ง server เราใช้ localStorage ของ browser และ cookie จำเป็นเล็กน้อย — ไม่มี advertising cookie จาก third-party

  • Token ยืนยันตัวตน (Firebase ID token) เก็บใน localStorage — จำเป็นต่อการเข้าระบบ
  • การตั้งค่า theme (light/dark) และ locale (ไทย/อังกฤษ) — ตกแต่งล้วน คุณตั้งเอง
  • CSRF nonce อายุสั้นสำหรับ Cloud Function ที่อ่อนไหว
  • Cache ของ service worker (หากติดตั้งเป็น PWA) — cache เฉพาะ asset สาธารณะ ไม่มีข้อมูลส่วนบุคคล

การล้าง storage ของ browser จะทำให้คุณออกจากระบบและรีเซ็ตการตั้งค่า แต่จะไม่ลบบัญชีหรือเนื้อหา

09

เมื่อใดที่เราเปิดเผยข้อมูล

เราไม่ขายข้อมูลส่วนบุคคล เราเปิดเผยข้อมูลเฉพาะกรณีจำกัดต่อไปนี้:

  • ให้ผู้ประมวลผลที่ระบุไว้ข้างต้น เฉพาะเพื่อให้บริการตามที่คุณร้องขอ
  • ภายใน tenant ขององค์กรของคุณ — สมาชิกอื่นใน tenant เห็นเนื้อหาที่คุณ publish ไปยังพื้นที่ที่แชร์ได้ (เช่น composition ระดับองค์กร) เนื้อหาส่วนตัว (ความคืบหน้า lab ส่วนบุคคล, ประวัติ Tutor) ไม่ถูกแชร์
  • เมื่อกฎหมายกำหนด — ตอบสนองคำสั่งศาล, คำขอจากหน่วยงานกำกับดูแล หรือกระบวนการทางกฎหมายของรัฐบาลไทย เราจะแจ้งให้ผู้ที่ได้รับผลกระทบทราบเมื่อกฎหมายอนุญาต
  • เพื่อปกป้องสิทธิ — ตรวจจับ, สืบสวน หรือป้องกันการฉ้อโกง, การใช้งานในทางที่ผิด, การละเมิดความปลอดภัย หรือภัยคุกคามต่อความปลอดภัย เราเปิดเผยเท่าที่จำเป็นเท่านั้น
  • ในการโอนกิจการ — หาก OneDigiTech ถูกซื้อหรือควบรวม ข้อมูลส่วนบุคคลอาจโอนเป็นส่วนหนึ่งของดีล โดยมีการคุ้มครองในระดับเทียบเท่าและแจ้งให้คุณทราบล่วงหน้า
10

การโอนข้อมูลข้ามประเทศ

ภูมิภาคประมวลผลหลักคือสิงคโปร์ (asia-southeast1) ผู้ประมวลผลบางรายอาจส่งทราฟฟิกผ่านภูมิภาคอื่นเพื่อ resilience หรือให้บริการผู้ใช้ทั่วโลก

เมื่อข้อมูลส่วนบุคคลออกนอกประเทศไทย เรายึดกลไกการโอนข้ามประเทศที่ PDPA ม.28 อนุญาต: ความยินยอมที่ชัดแจ้งสำหรับการโอนไปยังประเทศที่ไม่มี adequacy decision, มาตรการสัญญาเทียบเท่ามาตรฐาน PDPA หรือการประมวลผลที่จำเป็นต่อสัญญาที่คุณมีกับเรา

สำหรับผู้ใช้ใน EU/EEA เรายึด Standard Contractual Clauses (SCCs) ของ European Commission เมื่อจำเป็น

11

ระยะเวลาเก็บข้อมูล

เราเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็นต่อวัตถุประสงค์ที่เก็บมา จากนั้นจะลบหรือ anonymise ตารางเฉพาะ:

  • ข้อมูลบัญชีที่ใช้งานอยู่ — เก็บตราบเท่าที่บัญชียัง active
  • บัญชีที่ไม่ใช้งาน — ลบอัตโนมัติเมื่อไม่ login เกิน 24 เดือน หลังจากช่วงผ่อนผัน 30 วันที่เราจะส่งอีเมลเตือน
  • ประวัติ AI Tutor — เก็บ 90 วันเป็น default; คุณลบบทสนทนาเฉพาะรายการได้ตลอดเวลาจากหน้าประวัติ Tutor
  • Log ของ application และ security audit trail — เก็บ 12 เดือน เพื่อการสืบสวน security และป้องกัน abuse
  • Backup — เก็บแบบเข้ารหัส 30 วันเพื่อ disaster recovery แล้วลบถาวร
  • เอกสารตามที่กฎหมายภาษี/บัญชีของไทยกำหนด — เก็บตามระยะเวลาที่กฎหมายระบุ (ปัจจุบัน 5 ปีนับจากสิ้นรอบบัญชี)
12

เราคุ้มครองข้อมูลของคุณอย่างไร

เราปฏิบัติตามมาตรฐานความปลอดภัยในอุตสาหกรรมและมาตรการทางเทคนิคที่ PDPA มาตรา 37 กำหนด:

  • เข้ารหัสระหว่างการส่ง (TLS 1.2+ ในทุก endpoint)
  • เข้ารหัสขณะเก็บ สำหรับ Firestore, Cloud Functions secret และ backup (Google-managed AES-256)
  • การแยกแยะ multi-tenant ที่ระดับ data layer (tenantId scoping + Firestore Security Rules)
  • Role-Based Access Control (RBAC) สำหรับพนักงานภายใน ตามหลัก least privilege
  • Secret ที่อ่อนไหวเก็บใน Google Secret Manager — ไม่อยู่ใน source code หรือ environment file ที่ commit ลง git
  • Monitoring แบบต่อเนื่องเพื่อตรวจจับ access pattern ผิดปกติ และ alert อัตโนมัติเมื่อเกิด security event
  • Vulnerability scan dependency ในทุก build และ patch CVE ที่รู้แล้วโดยเร็ว

ไม่มีระบบใดปลอดภัย 100% หากเราพบว่าเกิดเหตุละเมิดข้อมูลที่ส่งผลกระทบต่อคุณ เราจะแจ้งคุณและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส./PDPC) ภายใน 72 ชั่วโมงหลังทราบเหตุ ตามที่ PDPA มาตรา 37(4) กำหนด

13

สิทธิของคุณภายใต้ PDPA และ GDPR

คุณมีสิทธิต่อไปนี้เกี่ยวกับข้อมูลส่วนบุคคล หากต้องการใช้สิทธิใด อีเมลมาที่ privacy@onedigitech.cc — เราจะตรวจสอบตัวตน, ตอบกลับภายใน 7 วันทำการ และดำเนินการให้แล้วเสร็จภายใน 30 วันตามที่กฎหมายกำหนด

  • สิทธิเข้าถึง (PDPA ม.30) — ขอสำเนาข้อมูลส่วนบุคคลของคุณที่เราเก็บไว้
  • สิทธิแก้ไข (ม.36) — แก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่ครบถ้วน
  • สิทธิลบ (ม.33) — ขอลบบัญชีและข้อมูลส่วนบุคคล ภายใต้ข้อจำกัดทางกฎหมาย
  • สิทธิระงับการใช้ (ม.34) — ขอให้ระงับการประมวลผลระหว่างที่ข้อร้องเรียนยังไม่จบ
  • สิทธิให้โอนย้ายข้อมูล (ม.31) — รับข้อมูลของคุณในรูปแบบ structured ที่ใช้กันทั่วไป และส่งต่อไปยังผู้ควบคุมรายอื่น
  • สิทธิคัดค้าน (ม.32) — คัดค้านการประมวลผลที่ใช้ฐานประโยชน์โดยชอบ หรือเพื่อการตลาดทางตรง
  • สิทธิถอนความยินยอม (ม.19) — สำหรับการประมวลผลที่ใช้ฐานความยินยอม ถอนได้ตลอดเวลาโดยไม่กระทบการประมวลผลก่อนหน้าที่ชอบด้วยกฎหมาย
  • สิทธิร้องเรียน — ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) หรือหน่วยกำกับดูแลในประเทศของคุณ (สำหรับ EU/EEA)
14

ความเป็นส่วนตัวของเด็ก

Enterprise AI Transformation Studio มีไว้สำหรับผู้เรียนระดับองค์กร และไม่ได้มุ่งไปที่เด็กอายุต่ำกว่า 13 ปี เราไม่จงใจเก็บข้อมูลส่วนบุคคลจากบุคคลอายุต่ำกว่า 13

หากคุณอายุระหว่าง 13 ถึง 20 ปี (อายุบรรลุนิติภาวะตามกฎหมายไทย) และยังไม่สมรส เราอาจขอความยินยอมจากผู้ปกครองหรือผู้แทนโดยชอบธรรมก่อนอนุญาตการใช้งานเกินกว่าการเรียกดูเบื้องต้น ตามที่ PDPA มาตรา 20 กำหนด

หากคุณเชื่อว่าเราเก็บข้อมูลจากเด็กโดยไม่มีความยินยอมที่ถูกต้อง ติดต่อ privacy@onedigitech.cc และเราจะลบให้

15

การตัดสินใจอัตโนมัติและ profiling

เราไม่ใช้ข้อมูลส่วนบุคคลในการตัดสินใจอัตโนมัติที่ก่อให้เกิดผลทางกฎหมายหรือผลกระทบสำคัญที่คล้ายกัน (เช่น credit scoring หรือผลการจ้างงาน)

AI Tutor สร้างคำแนะนำและเนื้อหาการเรียนรู้ แต่คุณยังคงควบคุม — ไม่มีผลลัพธ์ใดที่ถูกนำไปดำเนินการแทนคุณหรือจำกัดสิทธิการเข้าถึงบริการ

หากเราจะเริ่มใช้การตัดสินใจอัตโนมัติเมื่อใด เราจะอัปเดตนโยบายนี้และขอความยินยอมที่ชัดแจ้งจากคุณตามที่กฎหมายกำหนด

16

การเปลี่ยนแปลงนโยบายฉบับนี้

เราอาจอัปเดตนโยบายนี้เพื่อสะท้อนการเปลี่ยนแปลงในกฎหมาย, แนวปฏิบัติ หรือบริการ เมื่อมีการเปลี่ยนแปลงสำคัญ เราจะ:

  • อัปเดตวันที่ "ปรับปรุงล่าสุด" ด้านบนของหน้านี้
  • แสดง notice ใน app และส่งอีเมลถึงผู้ใช้ที่ active ล่วงหน้าอย่างน้อย 30 วันก่อนการเปลี่ยนแปลงมีผลบังคับใช้
  • หากการเปลี่ยนแปลงต้องการความยินยอมใหม่ จะขอความยินยอมก่อนที่จะใช้กับบัญชีของคุณ
17

ติดต่อเรา

สำหรับคำถาม, ข้อร้องเรียน หรือคำขอใช้สิทธิเรื่องความเป็นส่วนตัว ติดต่อเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ที่ privacy@onedigitech.cc เราตั้งเป้าตอบรับทุกคำขอภายใน 3 วันทำการ

ที่อยู่ทางไปรษณีย์: บริษัท OneDigiTech จำกัด กรุงเทพมหานคร ประเทศไทย ดูที่อยู่จดทะเบียนแบบละเอียดได้ที่หน้า contact บนเว็บบริษัท

หากคุณไม่พอใจกับการตอบกลับของเรา คุณสามารถยื่นร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ที่ https://www.pdpc.or.th หรือหน่วยกำกับดูแลในประเทศของคุณ