ฉบับร่าง — อยู่ระหว่างการตรวจทางกฎหมาย

Draft — pending legal review

Version 0.1-draft · Last updated 2026-06-10

SiamNode — Privacy Policy / นโยบายความเป็นส่วนตัว

(Bilingual EN / TH — ฉบับสองภาษา)

DRAFT FOR LEGAL REVIEW / ฉบับร่างเพื่อให้นักกฎหมายตรวจสอบ. EN — A complete first draft built around Thailand's Personal Data Protection Act B.E. 2562 (PDPA). To be reviewed by a Thailand‑qualified data‑protection lawyer and cross‑checked with the SiamNode Legal Review Pack (incl. Q‑L on AI‑search query retention). Items in [BRACKETS] are placeholders. TH — ฉบับร่างสมบูรณ์ที่จัดทำตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เพื่อให้นักกฎหมายด้านการคุ้มครองข้อมูลตรวจสอบ และเทียบกับ Legal Review Pack (รวมข้อ Q‑L เรื่องการเก็บคำค้นหา AI) ข้อความใน [วงเล็บ] เป็นช่องว่างที่ต้องกรอก

Last updated / ปรับปรุงล่าสุด: 2026-06-10 · Effective / มีผลบังคับใช้: 2026-06-10

1. Who We Are (Data Controller) / เราคือใคร (ผู้ควบคุมข้อมูลส่วนบุคคล)

EN — This Privacy Policy explains how [LEGAL ENTITY NAME] ("SiamNode," "we"), the operator of the SiamNode service, collects, uses, discloses, and protects your personal data. For the purposes of the PDPA, SiamNode is the Data Controller. Registered office: [REGISTERED ADDRESS]. Contact / Data Protection Officer (DPO): [DPO EMAIL].

TH — นโยบายความเป็นส่วนตัวนี้อธิบายวิธีที่ [ชื่อนิติบุคคล] ("SiamNode", "เรา") ผู้ดำเนินการบริการ SiamNode เก็บรวบรวม ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของท่าน เพื่อวัตถุประสงค์ตาม PDPA SiamNode เป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) สำนักงานจดทะเบียน: [ที่อยู่จดทะเบียน] ติดต่อ / เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO): [ชื่อ/อีเมล DPO]

2. Personal Data We Collect / ข้อมูลส่วนบุคคลที่เราเก็บรวบรวม

EN — Depending on how you use the Service, we may collect:

  • Account data — name, email address, and authentication identifiers (we use a third‑party authentication provider, Firebase Authentication).

  • Provider data — for Providers who claim a Listing: business name, contact details, business location, opening hours, descriptions, prices, photos, and a map location (pin) you set yourself.

  • Listing source data — for unclaimed Listings, limited factual business information that may originate from public sources.

  • Usage and technical data — IP address, device/browser information, pages viewed, and similar log data.

  • Search queries — text you enter into the AI discovery search.

  • Cookies and similar technologies — see Section 7. We do not intentionally collect sensitive personal data (e.g., health, religion, biometrics) and ask you not to submit it.

TH — ขึ้นอยู่กับวิธีที่ท่านใช้บริการ เราอาจเก็บรวบรวม:

  • ข้อมูลบัญชี — ชื่อ อีเมล และตัวระบุการยืนยันตัวตน (เราใช้ผู้ให้บริการยืนยันตัวตนภายนอกคือ Firebase Authentication)

  • ข้อมูลผู้ให้บริการ — สำหรับผู้ให้บริการที่ยืนยันสิทธิ์ในรายการ: ชื่อธุรกิจ ข้อมูลติดต่อ ที่ตั้งธุรกิจ เวลาทำการ คำอธิบาย ราคา รูปภาพ และตำแหน่งบนแผนที่ (หมุด) ที่ท่านกำหนดเอง

  • ข้อมูลแหล่งที่มาของรายการ — สำหรับรายการที่ยังไม่ได้ยืนยันสิทธิ์ ข้อมูลธุรกิจเชิงข้อเท็จจริงอย่างจำกัดซึ่งอาจมาจากแหล่งสาธารณะ

  • ข้อมูลการใช้งานและข้อมูลทางเทคนิค — ที่อยู่ IP ข้อมูลอุปกรณ์/เบราว์เซอร์ หน้าที่เข้าชม และข้อมูลบันทึก (log) ในลักษณะเดียวกัน

  • คำค้นหา — ข้อความที่ท่านป้อนในระบบค้นหาอัจฉริยะ (AI)

  • คุกกี้และเทคโนโลยีในลักษณะเดียวกัน — ดูข้อ 7 เรา ไม่ เก็บรวบรวมข้อมูลส่วนบุคคลที่อ่อนไหวโดยเจตนา (เช่น สุขภาพ ศาสนา ข้อมูลชีวมิติ) และขอให้ท่านงดส่งข้อมูลดังกล่าว

3. How We Collect It / วิธีที่เราเก็บรวบรวม

EN — We collect personal data: (a) directly from you when you create an account, claim or edit a Listing, search, or contact us; (b) automatically through your use of the Service (log and cookie data); and (c) for unclaimed Listings, from publicly available sources of factual business information.

TH — เราเก็บรวบรวมข้อมูลส่วนบุคคล: (ก) โดยตรงจากท่าน เมื่อท่านสร้างบัญชี ยืนยันสิทธิ์หรือแก้ไขรายการ ค้นหา หรือติดต่อเรา (ข) โดยอัตโนมัติ จากการใช้บริการของท่าน (ข้อมูล log และคุกกี้) และ (ค) สำหรับรายการที่ยังไม่ได้ยืนยันสิทธิ์ จาก แหล่งข้อมูลที่เปิดเผยต่อสาธารณะ ซึ่งเป็นข้อมูลธุรกิจเชิงข้อเท็จจริง

4. Purposes and Legal Bases / วัตถุประสงค์และฐานทางกฎหมาย

EN — Under the PDPA we process personal data only on a lawful basis. Our purposes and bases include:

  • To provide and operate the Service (accounts, listings, search) — performance of a contract and/or legitimate interest.

  • To maintain a useful discovery directory (including limited factual data for unclaimed Listings) — legitimate interest, balanced against your rights, with an opt‑out (see Section 11).

  • To improve and secure the Service, prevent abuse, and for analytics — legitimate interest.

  • To comply with law and respond to lawful requests — legal obligation.

  • For optional communications or features that require itconsent, which you may withdraw at any time.

TH — ภายใต้ PDPA เราประมวลผลข้อมูลส่วนบุคคลบนฐานทางกฎหมายที่ชอบเท่านั้น วัตถุประสงค์และฐานของเรา ได้แก่:

  • เพื่อให้และดำเนินบริการ (บัญชี รายการ การค้นหา) — การปฏิบัติตามสัญญา และ/หรือ ประโยชน์โดยชอบด้วยกฎหมาย

  • เพื่อรักษาไดเรกทอรีการค้นพบที่เป็นประโยชน์ (รวมถึงข้อมูลเชิงข้อเท็จจริงอย่างจำกัดสำหรับรายการที่ยังไม่ได้ยืนยันสิทธิ์) — ประโยชน์โดยชอบด้วยกฎหมาย โดยชั่งน้ำหนักกับสิทธิของท่าน และมีช่องทางขอยกเลิก (ดูข้อ 11)

  • เพื่อปรับปรุงและรักษาความปลอดภัยของบริการ ป้องกันการใช้งานโดยมิชอบ และการวิเคราะห์ — ประโยชน์โดยชอบด้วยกฎหมาย

  • เพื่อปฏิบัติตามกฎหมาย และตอบสนองคำขอที่ชอบด้วยกฎหมาย — หน้าที่ตามกฎหมาย

  • สำหรับการสื่อสารหรือฟีเจอร์เสริมที่จำเป็นต้องใช้ความยินยอม ซึ่งท่านสามารถถอนได้ทุกเมื่อ

Lawyer note / หมายเหตุนักกฎหมาย: confirm the legitimate‑interest balancing test for listing public business data, and whether any processing requires explicit consent. / ยืนยันการทดสอบชั่งน้ำหนักประโยชน์โดยชอบฯ สำหรับการแสดงข้อมูลธุรกิจสาธารณะ และว่ามีการประมวลผลใดที่ต้องขอความยินยอมโดยชัดแจ้งหรือไม่

5. AI Search Queries / คำค้นหาในระบบ AI

EN — When you use AI discovery search, we may store the text of your query to operate, debug, secure, and improve the search. These logs are accessible to authorised administrators only and are retained for a limited period of [RETENTION — e.g. 90 days], after which they are deleted or anonymised. We do not use your queries to identify you beyond what is necessary to operate the Service.

TH — เมื่อท่านใช้ระบบค้นหาอัจฉริยะ (AI) เราอาจจัดเก็บข้อความคำค้นหาของท่านเพื่อดำเนินการ แก้ไขข้อบกพร่อง รักษาความปลอดภัย และปรับปรุงการค้นหา บันทึกเหล่านี้เข้าถึงได้เฉพาะผู้ดูแลระบบที่ได้รับอนุญาตเท่านั้น และเก็บไว้เป็นระยะเวลาจำกัด [ระยะเวลา — เช่น 90 วัน] หลังจากนั้นจะถูกลบหรือทำให้ไม่สามารถระบุตัวบุคคลได้ เราไม่ใช้คำค้นหาเพื่อระบุตัวท่านเกินกว่าที่จำเป็นต่อการดำเนินบริการ

6. Public Listing Information / ข้อมูลรายการที่เปิดเผยต่อสาธารณะ

EN — Listing pages are public. For unclaimed Listings, we display area‑level location only and withhold the full street address and precise coordinates. For claimed Listings, the Provider controls what is shown and may publish a full address and map location. SiamNode does not display third‑party star ratings or reviews on its profile pages.

TH — หน้ารายการเป็นสาธารณะ สำหรับ รายการที่ยังไม่ได้ยืนยันสิทธิ์ เราแสดงที่ตั้งในระดับพื้นที่ (area) เท่านั้น และ ไม่เปิดเผยที่อยู่เต็มและพิกัดที่แม่นยำ สำหรับ รายการที่ยืนยันสิทธิ์แล้ว ผู้ให้บริการเป็นผู้ควบคุมสิ่งที่จะแสดง และอาจเผยแพร่ที่อยู่เต็มและตำแหน่งบนแผนที่ SiamNode ไม่แสดงคะแนนดาวหรือรีวิวของบุคคลภายนอกบนหน้าโปรไฟล์

7. Cookies and Analytics / คุกกี้และการวิเคราะห์

EN — We use cookies and similar technologies for essential functionality and, where applicable, analytics. Where consent is required for non‑essential cookies, we will request it. You can manage cookies in your browser settings.

Lawyer note: if analytics requires opt‑in, a consent banner must be implemented.

TH — เราใช้คุกกี้และเทคโนโลยีในลักษณะเดียวกันเพื่อการทำงานที่จำเป็น และการวิเคราะห์ตามความเหมาะสม ในกรณีที่ต้องขอความยินยอมสำหรับคุกกี้ที่ไม่จำเป็น เราจะขอความยินยอม ท่านสามารถจัดการคุกกี้ได้ในการตั้งค่าเบราว์เซอร์

หมายเหตุนักกฎหมาย: หากการวิเคราะห์ต้องใช้การ opt‑in ต้องจัดทำแบนเนอร์ขอความยินยอม

8. Disclosure of Personal Data / การเปิดเผยข้อมูลส่วนบุคคล

EN — We may disclose personal data to: service providers / data processors who help us run the Service (e.g., cloud hosting, authentication, email, mapping) under appropriate agreements; authorities or third parties where required by law or to protect rights and safety. We do not sell your personal data.

TH — เราอาจเปิดเผยข้อมูลส่วนบุคคลแก่: ผู้ให้บริการ / ผู้ประมวลผลข้อมูล ที่ช่วยเราดำเนินบริการ (เช่น คลาวด์โฮสติ้ง การยืนยันตัวตน อีเมล แผนที่) ภายใต้ข้อตกลงที่เหมาะสม; หน่วยงานราชการหรือบุคคลภายนอก เมื่อกฎหมายกำหนด หรือเพื่อคุ้มครองสิทธิและความปลอดภัย เรา ไม่ ขายข้อมูลส่วนบุคคลของท่าน

EN — Sub-processors we use. The service providers we currently rely on — all located outside Thailand — are: Google Cloud Platform (cloud hosting and infrastructure); Supabase (database hosting); Firebase Authentication (a Google service — account sign-in); Google Cloud Storage (file storage, e.g., uploaded photos and payment slips); Google Maps / Places (map and directions features); Google Gemini (AI processing of your search-query text and the generation of summaries); and Resend (sending transactional emails, which may contain contact details). Each processes personal data on our behalf under appropriate data-processing terms, and only as needed to provide the Service. Because these providers are outside Thailand, the cross-border safeguards in Section 9 apply.

TH — ผู้ประมวลผลข้อมูล (sub-processor) ที่เราใช้ ผู้ให้บริการที่เราใช้อยู่ในปัจจุบัน — ซึ่งทั้งหมดตั้งอยู่นอกประเทศไทย — ได้แก่: Google Cloud Platform (คลาวด์โฮสติ้งและโครงสร้างพื้นฐาน); Supabase (โฮสต์ฐานข้อมูล); Firebase Authentication (บริการของ Google — การเข้าสู่ระบบบัญชี); Google Cloud Storage (จัดเก็บไฟล์ เช่น รูปภาพที่อัปโหลดและสลิปการชำระเงิน); Google Maps / Places (แผนที่และการนำทาง); Google Gemini (การประมวลผลข้อมูลคำค้นหาของท่านด้วย AI และการสร้างบทสรุป); และ Resend (การส่งอีเมลธุรกรรม ซึ่งอาจมีข้อมูลติดต่อ) ผู้ให้บริการแต่ละรายประมวลผลข้อมูลส่วนบุคคลในนามของเราภายใต้ข้อตกลงการประมวลผลข้อมูลที่เหมาะสม และเท่าที่จำเป็นเพื่อให้บริการเท่านั้น เนื่องจากผู้ให้บริการเหล่านี้อยู่นอกประเทศไทย จึงอยู่ภายใต้มาตรการคุ้มครองการส่งข้อมูลข้ามพรมแดนตามข้อ 9

9. Cross‑Border Transfers / การส่งข้อมูลข้ามพรมแดน

EN — Some of our service providers may be located outside Thailand, so your personal data may be transferred abroad. Where this happens, we take steps required by the PDPA to ensure an adequate level of protection or other lawful safeguards.

Lawyer note: confirm the appropriate PDPA cross‑border mechanism for the providers used.

TH — ผู้ให้บริการบางรายของเราอาจตั้งอยู่นอกประเทศไทย ข้อมูลส่วนบุคคลของท่านจึงอาจถูกส่งไปต่างประเทศ ในกรณีดังกล่าว เราจะดำเนินการตามที่ PDPA กำหนดเพื่อให้มั่นใจว่ามีมาตรฐานการคุ้มครองที่เพียงพอหรือมีมาตรการคุ้มครองที่ชอบด้วยกฎหมายอื่น

หมายเหตุนักกฎหมาย: ยืนยันกลไกการส่งข้อมูลข้ามพรมแดนตาม PDPA ที่เหมาะสมกับผู้ให้บริการที่ใช้

10. Data Retention / การเก็บรักษาข้อมูล

EN — We retain personal data only for as long as necessary for the purposes above or as required by law, after which it is deleted or anonymised. Search‑query logs follow the period in Section 5. Account data is kept while your account is active and for a reasonable period thereafter.

TH — เราเก็บรักษาข้อมูลส่วนบุคคลเท่าที่จำเป็นต่อวัตถุประสงค์ข้างต้นหรือตามที่กฎหมายกำหนดเท่านั้น หลังจากนั้นจะลบหรือทำให้ไม่สามารถระบุตัวบุคคลได้ บันทึกคำค้นหาเป็นไปตามระยะเวลาในข้อ 5 ข้อมูลบัญชีจะเก็บไว้ตลอดที่บัญชียังใช้งานและในระยะเวลาอันสมควรหลังจากนั้น

11. Your Rights / สิทธิของท่าน

EN — Subject to the PDPA, you have the right to: access your data and obtain a copy; rectify inaccurate data; erase or de‑identify data; restrict or object to processing (including listing of an unclaimed business — an opt‑out / removal); data portability; and to withdraw consent at any time. You may also lodge a complaint with the Office of the Personal Data Protection Committee (PDPC). To exercise your rights or request removal, contact us (Section 14) or use our Removal & Opt‑Out Policy [link].

TH — ภายใต้ PDPA ท่านมีสิทธิ: เข้าถึง ข้อมูลและขอสำเนา; ขอแก้ไข ข้อมูลที่ไม่ถูกต้อง; ขอลบ หรือทำให้ไม่สามารถระบุตัวบุคคลได้; ขอจำกัด หรือ คัดค้าน การประมวลผล (รวมถึงการแสดงรายการของธุรกิจที่ยังไม่ได้ยืนยันสิทธิ์ — การ ขอยกเลิก/นำออก); ขอให้โอนย้ายข้อมูล; และ ถอนความยินยอม ได้ทุกเมื่อ ท่านยังมีสิทธิยื่นเรื่องร้องเรียนต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส. / PDPC) ในการใช้สิทธิหรือขอให้นำออก โปรดติดต่อเรา (ข้อ 14) หรือใช้ นโยบายการนำออกและการยกเลิกการแสดงผล [ลิงก์]

12. Security / ความปลอดภัย

EN — We apply reasonable technical and organisational measures to protect personal data against unauthorised access, loss, or disclosure. No method of transmission or storage is completely secure, but we work to protect your data and to handle any incident appropriately and as required by law.

TH — เราใช้มาตรการทางเทคนิคและการบริหารจัดการที่เหมาะสมเพื่อคุ้มครองข้อมูลส่วนบุคคลจากการเข้าถึง การสูญหาย หรือการเปิดเผยโดยไม่ได้รับอนุญาต ไม่มีวิธีการส่งหรือจัดเก็บใดที่ปลอดภัยอย่างสมบูรณ์ แต่เรามุ่งคุ้มครองข้อมูลของท่านและจัดการเหตุการณ์ใด ๆ อย่างเหมาะสมและตามที่กฎหมายกำหนด

13. Children's Data / ข้อมูลของผู้เยาว์

EN — The Service is intended for adults. We do not knowingly collect personal data from children without appropriate consent as required by the PDPA. If you believe a child has provided data, please contact us.

TH — บริการนี้มีไว้สำหรับผู้ใหญ่ เราไม่เก็บรวบรวมข้อมูลส่วนบุคคลจากผู้เยาว์โดยรู้เท่าถึงการณ์ โดยปราศจากความยินยอมที่เหมาะสมตามที่ PDPA กำหนด หากท่านเชื่อว่ามีผู้เยาว์ให้ข้อมูลไว้ โปรดติดต่อเรา

14. Changes and Contact / การเปลี่ยนแปลงและการติดต่อ

EN — We may update this Policy; material changes will be posted with a new "Last updated" date. To exercise your rights, ask questions, or contact our Data Protection Officer: [LEGAL ENTITY NAME] · [REGISTERED ADDRESS] · DPO: [DPO EMAIL]

TH — เราอาจปรับปรุงนโยบายนี้ การเปลี่ยนแปลงในสาระสำคัญจะเผยแพร่พร้อมวันที่ "ปรับปรุงล่าสุด" ใหม่ หากต้องการใช้สิทธิ สอบถาม หรือติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล: [ชื่อนิติบุคคล] · [ที่อยู่จดทะเบียน] · DPO: [ชื่อ/อีเมล DPO]

EN — This is a draft for legal review. The Thai text is provided in good faith; the lawyer should confirm which language version prevails in case of conflict, finalise retention periods, the legitimate‑interest assessment, the cross‑border mechanism, and whether a DPO and consent banner are required. TH — เอกสารนี้เป็นฉบับร่างเพื่อให้นักกฎหมายตรวจสอบ คำแปลภาษาไทยจัดทำโดยสุจริต ให้นักกฎหมายกำหนดว่าจะให้ฉบับภาษาใดมีผลเหนือกว่าในกรณีขัดแย้ง สรุประยะเวลาเก็บรักษา การประเมินประโยชน์โดยชอบฯ กลไกข้ามพรมแดน และว่าจำเป็นต้องมี DPO และแบนเนอร์ขอความยินยอมหรือไม่