นโยบายความเป็นส่วนตัว

# นโยบายความเป็นส่วนตัว

นโยบายความเป็นส่วนตัวนี้อธิบายว่า InfinityHub ("เรา") เก็บรวบรวม ใช้ และปกป้องข้อมูลส่วนบุคคลของคุณอย่างไร เมื่อคุณใช้งานเว็บไซต์และบริการของเรา

## 1. ผู้ควบคุมข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูลส่วนบุคคลที่รับผิดชอบต่อข้อมูลของคุณคือผู้ดูแลเว็บไซต์ InfinityHub หากมีข้อสงสัยเกี่ยวกับนโยบายนี้ กรุณาติดต่อเราผ่านเซิร์ฟเวอร์ Discord

## 2. ข้อมูลที่เราเก็บรวบรวม

### ข้อมูลบัญชี Discord

- Discord User ID

- ชื่อผู้ใช้และรูปโปรไฟล์ Discord

- บทบาทในเซิร์ฟเวอร์ Discord (ใช้คำนวณตัวคูณ Points)

### ข้อมูลบัญชี Steam

- Steam ID (64-bit)

- เชื่อมโยงผ่าน Steam OpenID

### ข้อมูลการบริจาคและธุรกรรม

- จำนวนเงินบริจาคและเวลา

- ข้อมูลยืนยันการชำระเงิน (ยอดปรับสำหรับระบุตัวตน)

- สถานะธุรกรรม (รอดำเนินการ, เสร็จสมบูรณ์, หมดอายุ, ยกเลิก)

- การใช้โปรโมโค้ด

### ที่อยู่อีเมล (ไม่จำเป็น)

- ให้โดยสมัครใจเพื่อรับการแจ้งเตือนวันหมดอายุและการต่ออายุ Whitelist

### ข้อมูลทางเทคนิค

- ที่อยู่ IP (ประมวลผลโดย Cloudflare เพื่อความปลอดภัยและป้องกันบอท)

- ประเภทเบราว์เซอร์และข้อมูลอุปกรณ์ (ผ่าน Cloudflare)

- Cloudflare Turnstile verification tokens (ป้องกันบอท ไม่จัดเก็บ)

## 3. วิธีที่เราใช้ข้อมูลของคุณ

- ยืนยันตัวตนและให้สิทธิ์บัญชีของคุณ

- จัดการสิทธิ์ Whitelist เซิร์ฟเวอร์ Squad และการต่ออายุอัตโนมัติ

- คำนวณและแจกจ่าย Points จากการบริจาค

- ยืนยันการชำระเงินและป้องกันการทุจริต

- ป้องกันสแปม บอท และการใช้งานในทางที่ผิด (Cloudflare Turnstile & WAF)

- ส่งการแจ้งเตือนวันหมดอายุและการต่ออายุ Whitelist (หากให้อีเมลไว้)

- บริหารจัดการแพลตฟอร์มและบังคับใช้กฎเซิร์ฟเวอร์

## 4. ฐานทางกฎหมาย (การปฏิบัติตาม PDPA)

เราประมวลผลข้อมูลส่วนบุคคลของคุณภายใต้ฐานทางกฎหมายต่อไปนี้ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562:

- **ความยินยอม** — เมื่อคุณเข้าสู่ระบบด้วย Discord เชื่อมโยง Steam หรือให้อีเมล

- **ความจำเป็นตามสัญญา** — เพื่อให้บริการ Whitelist และระบบบริจาคที่คุณขอ

- **ผลประโยชน์อันชอบธรรม** — ความปลอดภัย ป้องกันการทุจริต และความมั่นคงของแพลตฟอร์ม

- **ภาระผูกพันตามกฎหมาย** — การปฏิบัติตามกฎหมายที่บังคับใช้

## 5. การเปิดเผยข้อมูล

เราไม่ขาย ไม่เช่า และไม่แลกเปลี่ยนข้อมูลส่วนบุคคลของคุณให้บุคคลที่สาม เปิดเผยข้อมูลเฉพาะ:

- **Cloudflare** — ความปลอดภัย ป้องกันบอท และบริการ CDN

- **Squad Whitelister** — เพื่อมอบ/เพิกถอนสิทธิ์ Whitelist บนเซิร์ฟเวอร์เกม (Steam ID เท่านั้น)

- **Discord** — สำหรับการยืนยันตัวตนและซิงค์บทบาท

- **Steam** — สำหรับ OpenID เท่านั้น

- **หน่วยงานกฎหมาย** — เฉพาะเมื่อกฎหมายกำหนด

## 6. คุกกี้

### คุกกี้จำเป็น (ไม่ต้องขอความยินยอม)

- next-auth.session-token — รักษาเซสชันการเข้าสู่ระบบ

- next-auth.csrf-token — ป้องกัน CSRF

- steam_openid_state — ความปลอดภัยระหว่างเชื่อมโยง Steam

- NEXT_LOCALE — จดจำภาษาที่คุณเลือก (ไทย/อังกฤษ)

### คุกกี้ Cloudflare

- __cf_bm, cf_clearance — ป้องกันบอทและความปลอดภัย

- __cfbeacon — สถิติเว็บ (ไม่ระบุตัวตน รวบรวมเป็นกลุ่มเท่านั้น)

*เราไม่ใช้คุกกี้โฆษณาหรือ tracking pixel ข้อมูลสถิติจาก Cloudflare เป็นแบบรวมกลุ่มและไม่สามารถระบุตัวตนผู้ใช้ได้*

## 7. การเก็บรักษาข้อมูล

เราเก็บรักษาข้อมูลส่วนบุคคลของคุณเฉพาะตามระยะเวลาที่จำเป็นตามวัตถุประสงค์ในนโยบายนี้ โดยเฉพาะ:

- **ข้อมูลบัญชี** (Discord ID, Steam ID, โปรไฟล์) — เก็บไว้ตลอดที่บัญชีใช้งานอยู่ ลบภายใน 30 วันหลังขอลบ

- **บันทึกการบริจาคและธุรกรรม** — เก็บ 5 ปีเพื่อความรับผิดชอบทางการเงินและการปฏิบัติตามกฎหมาย

- **บันทึกการซื้อ Whitelist** — เก็บตลอดอายุ Whitelist บวก 1 ปีเพื่ออ้างอิงการต่ออายุ

- **ที่อยู่อีเมล** — เก็บจนกว่าคุณจะลบหรือลบบัญชี

- **บันทึกระบบและ Audit Log** — เก็บ 90 วัน แล้วลบอัตโนมัติ

- **เมื่อได้รับคำขอลบบัญชี** เราจะลบข้อมูลส่วนบุคคลของคุณภายใน 30 วัน ยกเว้นที่กฎหมายกำหนดให้เก็บไว้ (เช่น บันทึกธุรกรรมทางการเงิน)

## 8. สิทธิของคุณ (PDPA)

ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล คุณมีสิทธิที่จะ:

- **เข้าถึง** — ขอสำเนาข้อมูลส่วนบุคคลของคุณ

- **แก้ไข** — ขอแก้ไขข้อมูลที่ไม่ถูกต้อง

- **ลบ** — ขอลบข้อมูลส่วนบุคคลของคุณ

- **จำกัด** — จำกัดการประมวลผลข้อมูลของคุณ

- **ถอนความยินยอม** — ถอนความยินยอมได้ตลอดเวลา (ไม่มีผลย้อนหลังต่อการประมวลผลที่ชอบด้วยกฎหมาย)

- **ร้องเรียน** — ยื่นร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)

หากต้องการใช้สิทธิข้างต้น กรุณาติดต่อเราผ่านเซิร์ฟเวอร์ Discord

## 9. มาตรการรักษาความปลอดภัย

เราใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลของคุณ:

- การเข้ารหัส HTTPS สำหรับทุกการเชื่อมต่อ

- Auth.js v5 จัดการเซสชันอย่างปลอดภัย

- ป้องกัน CSRF ทุกฟอร์มและ API route

- จำกัดอัตราการร้องขอเพื่อป้องกันการใช้งานในทางที่ผิด

- Cloudflare Turnstile ป้องกันบอท

- Content Security Policy headers

- คุกกี้ HttpOnly, Secure, SameSite

## 10. ความเป็นส่วนตัวของเด็ก

บริการของเราต้องใช้บัญชี Discord (อายุขั้นต่ำ 13 ปี) เราไม่เก็บรวบรวมข้อมูลส่วนบุคคลจากเด็กอายุต่ำกว่า 13 ปีโดยรู้เท่าไม่รู้ถึง หากพบว่าเราเก็บข้อมูลจากเด็กอายุต่ำกว่า 13 ปี เราจะดำเนินการลบทิ้ง

## 11. การโอนข้อมูลข้ามพรมแดน (มาตรา 28–29)

ผู้ให้บริการบางรายของเราดำเนินการนอกประเทศไทย ข้อมูลส่วนบุคคลของคุณอาจถูกโอนไปยังประเทศที่ยังไม่ได้รับการรับรองว่ามีมาตรฐานคุ้มครองข้อมูลเพียงพอจาก PDPC เรามีมาตรการป้องกันที่เหมาะสมสำหรับการโอนข้อมูลดังกล่าว:

- **Cloudflare** (สหรัฐอเมริกา) — CDN ความปลอดภัย และป้องกันบอท ข้อมูลประมวลผลภายใต้ Data Processing Addendum พร้อม Standard Contractual Clauses

- **Discord** (สหรัฐอเมริกา) — ยืนยันตัวตนและซิงค์บทบาท Discord ปฏิบัติตาม GDPR และมีมาตรการป้องกันที่เหมาะสม

- **Steam/Valve** (สหรัฐอเมริกา) — OpenID สำหรับยืนยันตัวตน Valve มีแนวปฏิบัติด้านความเป็นส่วนตัวสอดคล้องมาตรฐานสากล

สำหรับการโอนไปยังประเทศที่ยังไม่มี PDPC adequacy decision เราใช้มาตรการที่เหมาะสม รวมถึง Standard Contractual Clauses (SCCs) และการปฏิบัติตามกรอบความเป็นส่วนตัวระหว่างประเทศที่รับรอง (GDPR, SOC 2) เพื่อให้มั่นใจว่ามาตรการเหล่านี้ให้สิทธิที่บังคับใช้ได้และวิธีการทางกฎหมายที่มีประสิทธิผลสำหรับเจ้าของข้อมูล

การใช้บริการของเรา แสดงว่าคุณรับทราบว่าข้อมูลส่วนบุคคลของคุณอาจถูกโอนและประมวลผลในสหรัฐอเมริกาและประเทศอื่นตามที่ระบุข้างต้น

## 12. การแจ้งเตือนกรณีรั่วไหลของข้อมูล

ในกรณีที่เกิดการรั่วไหลของข้อมูลส่วนบุคคลที่อาจกระทบสิทธิของคุณ เราจะ:

- แจ้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ภายใน 72 ชั่วโมง นับจากทราบเหตุ ตามมาตรา 35 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

- แจ้งเจ้าของข้อมูลที่ได้รับผลกระทบโดยไม่ชักช้า เมื่อการรั่วไหลอาจก่อให้เกิดความเสี่ยงอย่างยิ่งต่อสิทธิและเสรีภาพของคุณ

- ดำเนินการควบคุมการรั่วไหลทันที ประเมินผลกระทบ และป้องกันไม่ให้เกิดซ้ำ

- เก็บบันทึกการรั่วไหลทุกครั้ง รวมถึงข้อเท็จจริง ผลกระทบ และมาตรการแก้ไขที่ดำเนินการ

## 13. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

ตามข้อกำหนดของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เราได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ที่รับผิดชอบดูแลแนวปฏิบัติด้านการคุ้มครองข้อมูล หน้าที่ของ DPO ได้แก่:

- ให้คำแนะนำเกี่ยวกับการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

- ติดตามการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และนโยบายภายในของเรา

- ตรวจสอบประเด็นด้านการคุ้มครองข้อมูลและประสานงานกับ PDPC เมื่อจำเป็น

- รักษาความลับเกี่ยวกับข้อมูลส่วนบุคคลที่ได้รับรู้จากการปฏิบัติหน้าที่

คุณสามารถติดต่อ DPO ของเราผ่านเซิร์ฟเวอร์ Discord สำหรับข้อสอบถามด้านความเป็นส่วนตัว การขอใช้สิทธิเจ้าของข้อมูล หรือแจ้งการรั่วไหล

## 14. การเปลี่ยนแปลงนโยบาย

เราอาจปรับปรุงนโยบายความเป็นส่วนตัวนี้เป็นครั้งคราว การเปลี่ยนแปลงจะประกาศบนหน้านี้พร้อมอัปเดตวันที่ การเปลี่ยนแปลงสำคัญจะประกาศผ่านเซิร์ฟเวอร์ Discord ด้วย การใช้บริการของเราต่อไปหลังการเปลี่ยนแปลงถือว่าคุณยอมรับนโยบายที่ปรับปรุงแล้ว

## 15. ติดต่อ

หากมีข้อสงสัยเกี่ยวกับความเป็นส่วนตัว ต้องการใช้สิทธิเจ้าของข้อมูล หรือตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล กรุณาติดต่อเราผ่านเซิร์ฟเวอร์ Discord หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

คุณสามารถยื่นร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) โดยตรงได้ที่: https://pdpc.or.th