A
Aim Expenseเข้าสู่ระบบ

นโยบายความเป็นส่วนตัว

มีผลบังคับใช้: 16 เมษายน 2569 · เวอร์ชัน 2026-05-09

Aim Expense (ต่อไปนี้เรียกว่า “เรา”) ให้ความสำคัญกับความเป็นส่วนตัว ของผู้ใช้บริการเป็นอย่างยิ่ง นโยบายนี้อธิบายว่าเราเก็บรวบรวม ใช้ และเปิดเผย ข้อมูลส่วนบุคคลของท่านอย่างไร เมื่อท่านใช้งานระบบ Aim Expense(“บริการ”) โดยสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

1. ข้อมูลที่เราเก็บรวบรวม

1.1 ข้อมูลจาก LINE Login

  • LINE User ID, ชื่อที่แสดง (display name), รูปโปรไฟล์
  • อีเมล (เฉพาะกรณีที่ท่านอนุญาตใน LINE consent screen)

1.2 ข้อมูลจาก Google Account

  • อีเมล Google, ชื่อ, รูปโปรไฟล์
  • สิทธิ์เข้าถึง Google Sheets และ Google Driveเฉพาะไฟล์ที่ระบบสร้างเอง (scope: drive.file) เพื่อสร้างและจัดการสเปรดชีตและโฟลเดอร์ของบริษัทท่าน

1.3 ข้อมูลธุรกิจ

  • ชื่อบริษัท เลขประจำตัวผู้เสียภาษี ที่อยู่ เบอร์ติดต่อ โลโก้
  • ข้อมูลผู้รับเงิน (Payee) ธนาคาร เหตุการณ์ และรายการค่าใช้จ่าย
  • ไฟล์เอกสารแนบ เช่น ใบแจ้งหนี้ ใบเสร็จ

1.4 ข้อมูลทางเทคนิค

  • คุกกี้ session (JWT) เพื่อรักษาสถานะการเข้าสู่ระบบ
  • บันทึกการใช้งาน (Audit Log) เช่น การอนุมัติรายจ่าย การแก้ไขข้อมูล (เก็บเฉพาะ ID และคำสรุปสั้น — ไม่มีจำนวนเงินหรือเนื้อหาใบเสร็จ)
  • บันทึกทางเทคนิค (IP, user-agent, timestamps) เก็บใน Vercel logs ≤ 30 วัน
  • Cache ของแถวข้อมูลใน Sheets เก็บชั่วคราวใน Upstash Redis (Singapore) อายุไม่เกิน 60 วินาที — เพื่อ performance เท่านั้น

2. วัตถุประสงค์ในการใช้ข้อมูล

  • เพื่อยืนยันตัวตนและให้บริการระบบบันทึกค่าใช้จ่าย
  • เพื่อสร้างและจัดการเอกสารทางบัญชีในบัญชี Google ของท่าน
  • เพื่อความปลอดภัย การตรวจสอบ และการป้องกันการใช้งานในทางที่ผิด
  • เพื่อพัฒนาและปรับปรุงคุณภาพบริการ

3. ฐานทางกฎหมายในการประมวลผล

  • การปฏิบัติตามสัญญา: เพื่อให้บริการตามที่ตกลงกับผู้ใช้
  • ความยินยอม: สำหรับการเชื่อมต่อ Google/LINE และการรับการแจ้งเตือน
  • ประโยชน์โดยชอบด้วยกฎหมาย: เพื่อความปลอดภัยของระบบและการพัฒนาบริการ
  • การปฏิบัติตามกฎหมาย: เช่น ภาษีอากร และคำขอตามคำสั่งศาล

4. การเก็บรักษาข้อมูล

เราเก็บข้อมูลธุรกิจของท่านไว้ใน Google Sheets และ Google Driveของท่านเอง ระบบเก็บเฉพาะข้อมูลที่จำเป็นต่อการให้บริการ (ข้อมูลผู้ใช้ องค์กร สิทธิ์การเข้าถึง คำเชิญ และบันทึกการใช้งาน) บนฐานข้อมูล ที่ใช้บริการของ Supabase (โซน ap-southeast-1, สิงคโปร์)

5. การเปิดเผยข้อมูลต่อบุคคลที่สาม

เราจะไม่ขายข้อมูลของท่าน เราใช้ผู้ให้บริการต่อไปนี้:

  • LINE Corporation (ญี่ปุ่น) — สำหรับ LINE Login และ LINE Messaging API
  • Google LLC (USA) — สำหรับ OAuth, Sheets, Drive
  • Vercel (USA / Singapore) — hosting + serverless
  • Supabase (Singapore) — ฐานข้อมูล PostgreSQL
  • Upstash (Singapore) — Redis cache (TTL 30 วินาที)
  • AksonOCR (ประเทศไทย) — OCR ใบเสร็จภาษาไทย (ระบบหลัก)
  • OpenAI (USA) — GPT-4o สำหรับ OCR fallback (เปิด/ปิดได้); ภาพที่ส่งจะไม่ถูกนำไปฝึกโมเดล
  • Sentry (USA) — error monitoring (ไม่มีเนื้อหาใบเสร็จ)
  • Stripe (USA) — เก็บเงิน subscription (อนาคต — เฉพาะผู้ใช้แพ็คเกจชำระเงิน)

รายชื่อเต็มและสถานที่เก็บข้อมูลอยู่ใน SUB_PROCESSORS.mdบน GitHub — อัพเดตล่าสุดเสมอ

6. ระยะเวลาการเก็บรักษา

  • ข้อมูลผู้ใช้: ตลอดระยะเวลาที่ท่านยังเป็นสมาชิก
  • หลังเลิกใช้งาน: เก็บไว้ 90 วันเพื่อให้ท่านสามารถกู้คืนบัญชีได้ จากนั้นจะลบ
  • ข้อมูลในบัญชี Google ของท่าน: ท่านสามารถลบได้เองทุกเมื่อ

7. สิทธิของเจ้าของข้อมูล

ท่านมีสิทธิตามมาตรา 30-37 PDPA ดังนี้:

  • ขอเข้าถึง / ขอสำเนาข้อมูล
  • ขอแก้ไขข้อมูลให้ถูกต้อง
  • ขอให้ลบหรือระงับการใช้ / ลบบัญชี
  • เพิกถอนความยินยอม
  • คัดค้านการประมวลผล
  • ขอย้ายข้อมูล (data portability)
  • ร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส. / PDPC)

ใช้สิทธิได้ที่: /account/data ในแอป หรือส่งอีเมลถึง dpo@aimexpense.com— เราตอบกลับภายใน 30 วันตามที่ PDPA กำหนด

8. ความปลอดภัย

  • การสื่อสารทั้งหมดเข้ารหัสด้วย HTTPS/TLS
  • โทเคน Google ถูกเข้ารหัสก่อนจัดเก็บ
  • Session cookie เป็นแบบ httpOnly และ secure
  • การเข้าถึงข้อมูลภายในองค์กรควบคุมด้วยระบบสิทธิ์ (Permissions)

9. คุกกี้

เราใช้คุกกี้เพื่อจัดการ session การเข้าสู่ระบบและรักษาสถานะ OAuth flow เท่านั้น ไม่ใช้คุกกี้เพื่อการโฆษณาหรือ tracking ข้ามเว็บไซต์

10. การเปลี่ยนแปลงนโยบาย

เราอาจปรับปรุงนโยบายนี้เป็นครั้งคราว หากมีการเปลี่ยนแปลงสาระสำคัญ เราจะแจ้งให้ทราบผ่านระบบ และจะขอความยินยอมใหม่ตามความเหมาะสม

11. การแจ้งเหตุละเมิด (Breach Notification)

เราจะแจ้ง สคส. (PDPC) ภายใน 72 ชั่วโมง เมื่อพบเหตุละเมิดที่ มีความเสี่ยงต่อสิทธิของเจ้าของข้อมูล. หากเหตุละเมิดมีความเสี่ยงสูงเราจะแจ้งเจ้าของ ข้อมูลที่ได้รับผลกระทบโดยตรงด้วย ตามมาตรา 37 PDPA

12. ติดต่อเจ้าหน้าที่คุ้มครองข้อมูล (DPO)

หากท่านมีคำถามหรือต้องการใช้สิทธิตาม PDPA โปรดติดต่อ:
DPO อีเมล: dpo@aimexpense.com
ติดต่อทั่วไป: dev@aimexpense.com

เวอร์ชันเอกสาร: 2026-05-09