Privacy Police

Privacy Police

1. Introduction

CIPHER Co., Ltd. (“Company”, “we”, “us”, “our”), the developer and operator of Klinoq AI-CRM Platform (“Service”), is committed to protecting the personal data of our users, their end customers, and all stakeholders.

This Privacy Policy is prepared in accordance with the Personal Data Protection Act B.E. 2562 (PDPA) of Thailand and applicable international privacy standards. It explains how we collect, use, disclose, and safeguard your personal data.

By using the Klinoq Service, you acknowledge that you have read and agree to this Privacy Policy. If you disagree with any part, please discontinue use and contact us for further information.

2. Definitions

Term / Definition
“Personal Data “Any information relating to a natural person that enables direct or indirect identification, as defined in PDPA Section 6.
“ข้อมูลส่วนบุคคลที่อ่อนไหว”ข้อมูลตาม PDPA มาตรา 26 เช่น เชื้อชาติ ศาสนา สุขภาพ ข้อมูลทางชีวภาพ พฤติกรรมทางเพศ ประวัติอาชญากรรม
“เจ้าของข้อมูล”บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล
“ผู้ควบคุมข้อมูล”บริษัท ไซเฟอร์ จำกัด ในฐานะผู้กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูล
“ผู้ประมวลผลข้อมูล”ผู้ให้บริการภายนอกที่ประมวลผลข้อมูลในนามของบริษัทตามคำสั่ง
“ผู้ใช้งาน” (User)องค์กรหรือบุคคลที่สมัครและใช้บริการ Klinoq CRM (“ลูกค้าของบริษัท”)
“ลูกค้าปลายทาง” (End Customer)บุคคลที่ผู้ใช้งานจัดเก็บข้อมูลไว้ใน Klinoq เพื่อวัตถุประสงค์ทางธุรกิจ
“บริการ”Klinoq AI-CRM Platform รวมถึง Web Application, API, LINE Integration, Web Tracking, Booking System, Email System, AI Assistant และฟีเจอร์อื่นๆ ที่เกี่ยวข้อง

3. Data We Collect

3.1 User Account Data

When you register for Klinoq, we collect:

  • Account Information: Full name, organisation name, email address, phone number, job title
  • Payment Data: Credit/debit card details (processed via PCI DSS-certified payment gateways; we do not store raw card data)
  • Usage Data: Login logs, IP address, browser type, device information, session duration
  • Configuration Data: Workflow settings, templates, Rich Menu designs, automation rules

3.2 End Customer Data Stored by Users

Contact Information: Name, email, phone, address, company, job title

  • Contact Information: Name, email, phone, address, company, job title
  • LINE Data: LINE User ID, display name, profile picture, conversation messages
  • Transaction Data: Order history, purchase value, products, payment status (including Shopee order data when integrated)
  • Behavioural Data: Pages visited, time spent, clicks (via Web Tracking Script)
  • Appointment Data: Date, time, appointment type, notes
  • Custom Fields: User-defined data fields specific to their business
  • Notes & Records: Team notes about end customers

3.3 Automatically Collected Data

  • Cookies and Web Storage: For authentication and session management
  • Tracking Pixels: To measure email campaign performance
  • Server Logs: IP address, timestamp, request method, response code
  • Analytics: Aggregated, anonymised usage data for product improvement

4. Legal Basis and Purposes of Processing

วัตถุประสงค์รายละเอียดฐานทางกฎหมาย (PDPA)
การให้บริการ CRMจัดเก็บและแสดงข้อมูล Contact, Deal, Workflow ตามที่ผู้ใช้งานกำหนดสัญญา (มาตรา 24(3))
LINE Broadcast & Marketingส่งข้อความ LINE ตาม segment ที่ผู้ใช้งานกำหนดไปยังลูกค้าปลายทางความยินยอม (มาตรา 24(1))
Web Trackingติดตามพฤติกรรมผู้เข้าชมเว็บไซต์เพื่อ Personalizationความยินยอม (มาตรา 24(1))
AI Analysisวิเคราะห์ข้อมูลเพื่อให้คำแนะนำและ Insight แก่ผู้ใช้งานประโยชน์โดยชอบด้วยกฎหมาย (มาตรา 24(5))
การพิสูจน์ตัวตน & ความปลอดภัยAuthentication, Audit Log, ป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตประโยชน์โดยชอบด้วยกฎหมาย (มาตรา 24(5))
การเรียกเก็บเงินออกใบแจ้งหนี้ ใบเสร็จรับเงิน และจัดการการชำระเงินสัญญา (มาตรา 24(3))
การปฏิบัติตามกฎหมายการจัดเก็บเอกสารทางบัญชีตามที่กฎหมายกำหนด การตอบสนองต่อคำสั่งศาลหน้าที่ตามกฎหมาย (มาตรา 24(6))
การปรับปรุงบริการวิเคราะห์ข้อมูลการใช้งาน (aggregated, anonymized) เพื่อพัฒนา featuresประโยชน์โดยชอบด้วยกฎหมาย (มาตรา 24(5))
Shopee IntegrationSync ข้อมูล Order, Customer จาก Shopee เข้า CRM ตามที่ผู้ใช้งานอนุญาตความยินยอม + สัญญา

5. Disclosure of Data to Third Parties

5.1 Third-party Service Providers

We may disclose data to providers who have signed a Data Processing Agreement (DPA) with us, including:

ผู้ให้บริการวัตถุประสงค์ประเทศที่จัดเก็บข้อมูล
LINE CorporationLINE Messaging API, LIFF, Broadcastญี่ปุ่น (มาตรฐาน APPI)
Cloud Infrastructure Providerจัดเก็บและประมวลผลข้อมูลทั้งหมดไทย / สิงคโปร์ (ISO 27001)
Payment Gatewayประมวลผลการชำระเงินไทย (PCI DSS)
Shopee (Sea Group)รับ-ส่งข้อมูล Order/Customer (เมื่อผู้ใช้งานเชื่อมต่อ)สิงคโปร์ / ไทย
Email Delivery Serviceส่ง Transactional Email และ Campaign Emailสหรัฐอเมริกา (SCCs)
AI/ML Providerประมวลผล AI Assistant queries

ตามที่แจ้งใน Data Processing Agreement

5.2 Other Disclosure Scenarios

  • With the explicit consent of the Data Subject
  • To comply with applicable laws, court orders, or regulatory requirements
  • To protect the rights, property, or safety of the Company, Users, or others
  • In the event of a merger or acquisition, subject to the acquirer binding this Policy

We will never sell your personal data to third parties under any circumstances.

6. Cookies and Tracking Technologies

6.1 ประเภทของ Cookies ที่ใช้

ประเภทวัตถุประสงค์รายละเอียด
Strictly Necessaryไม่สามารถปฏิเสธได้Session token, CSRF token, Authentication cookies — จำเป็นสำหรับการใช้งานระบบ
Functionalบันทึกค่าตั้งต้นภาษา, timezone, การตั้งค่า UI ที่ผู้ใช้เลือก
Analyticsปรับปรุงบริการข้อมูลการใช้งานฟีเจอร์ (anonymized) เพื่อพัฒนาผลิตภัณฑ์
Web Tracking (Client)ต้องได้รับความยินยอมJavaScript snippet ที่ผู้ใช้งานติดตั้งบนเว็บไซต์ของตน สำหรับติดตามผู้เข้าชม

6.2 การจัดการ Cookies

ท่านสามารถจัดการ Cookies ได้ผ่านการตั้งค่าเบราว์เซอร์ อย่างไรก็ตาม การปฏิเสธ Strictly Necessary Cookies อาจทำให้ไม่สามารถใช้งานบริการได้ตามปกติ

7. ระยะเวลาการเก็บรักษาข้อมูล

ประเภทข้อมูลระยะเวลาเก็บเหตุผล
ข้อมูลบัญชีผู้ใช้งานตลอดอายุสัญญา + 5 ปีข้อกำหนดทางบัญชีและภาษี
ข้อมูลลูกค้าปลายทางตลอดอายุสัญญาผู้ใช้งานเป็นผู้ควบคุม — บริษัทเป็นผู้ประมวลผล
ข้อมูลการชำระเงิน10 ปีพระราชบัญญัติบัญชี พ.ศ. 2543
Audit Logs1 ปีความปลอดภัยและการตรวจสอบ
Backup Data30 วันDisaster Recovery
Web Tracking Data90 วัน (ค่าเริ่มต้น)ปรับได้ตามนโยบายผู้ใช้งาน
LINE Message History1 ปีประวัติการสนทนา CRM
ข้อมูลหลังยกเลิกบัญชีลบภายใน 90 วันยกเว้นที่กฎหมายกำหนดให้เก็บ

8. Your Rights as a Data Subject

Under the PDPA and applicable law, you have the following rights:

สิทธิรายละเอียดวิธีการใช้สิทธิ
สิทธิการเข้าถึงขอสำเนาข้อมูลส่วนบุคคลที่เราเก็บรวบรวมส่งคำร้องทาง email ที่ระบุไว้
สิทธิแก้ไขข้อมูลขอให้แก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์ผ่านหน้า Settings ใน Klinoq หรือ email
สิทธิลบข้อมูลขอให้ลบข้อมูลส่วนบุคคล (Right to Erasure) ยกเว้นกรณีที่กฎหมายกำหนดส่งคำร้องทาง email
สิทธิระงับการประมวลผลขอให้ระงับการประมวลผลข้อมูลชั่วคราวในบางกรณีส่งคำร้องทาง email
สิทธิโอนย้ายข้อมูลขอรับข้อมูลในรูปแบบที่อ่านได้ด้วยเครื่อง (CSV/JSON) เพื่อโอนย้ายไปยังผู้ให้บริการอื่นผ่านฟังก์ชัน Export หรือ email
สิทธิคัดค้านคัดค้านการประมวลผลข้อมูลเพื่อวัตถุประสงค์ทางการตลาดโดยตรงUnsubscribe link หรือ email
สิทธิถอนความยินยอมถอนความยินยอมที่เคยให้ไว้ได้ทุกเมื่อ โดยไม่กระทบสิทธิที่เกิดขึ้นก่อนหน้าผ่าน Settings หรือ email
สิทธิร้องเรียนร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)www.pdpc.or.th

We will respond to your request within 30 days of receipt. For complex requests, we may extend this by a further 60 days with prior notification.

9. Data Security

We implement appropriate technical and organisational measures to protect personal data from unauthorised access, use, disclosure, alteration, or destruction, including:

  • Encryption in transit using TLS 1.2+ and at rest using AES-256
  • Role-based Access Control (RBAC) across all modules
  • Complete data isolation between tenants
  • Comprehensive Audit Logging of all data-related activities
  • Regular Penetration Testing and vulnerability scanning
  • Mandatory data security training for all staff

No system can be completely secure. In the event of a data breach, we will notify affected Users and relevant authorities within the timeframes required by law.

10. International Data Transfers

Some parts of the Service may involve data processing outside Thailand, such as LINE Corporation in Japan or Email Delivery Services in the USA. In such cases, we will:

  • Verify that the destination country provides an adequate level of protection, or
  • Execute Data Transfer Agreements or Standard Contractual Clauses (SCCs) with service providers, or
  • Obtain explicit consent from the Data Subject for the specific transfer

11. Klinoq as a Data Processor

For End Customer data stored by Users within Klinoq, the Company acts as a “Data Processor” while the User serves as the “Data Controller” responsible for:

  • Obtaining consent from End Customers prior to data collection
  • Determining the purposes and retention periods for data storage
  • Complying with PDPA and applicable law as a Data Controller

The Company will only process End Customer data as instructed by Users and will not use such data for its own purposes without authorisation.

12. Children’s Privacy

The Klinoq Service is not intended for individuals under the age of 20. If we discover that we have collected personal data of a minor without parental or guardian consent, we will delete such data immediately. Please contact us if you become aware of any such case.

13. Changes to This Policy

We may update this Privacy Policy periodically to reflect changes in law, technology, or our services. We will notify you via:

  • Email to your registered address for material changes
  • An announcement on the Klinoq website and within the platform
  • A pop-up notification upon your next login

The effective date of any revised Policy will be stated at the top of the document. Continued use of the Service after that date constitutes acceptance of the updated Policy.

14. Contact Information

CIPHER Co., Ltd. (บริษัท ไซเฟอร์ จำกัด)
Company
ที่อยู่99/103 ราชาเทวะ อำเภอบางพลี จังหวัดสมุทรปราการ 10540
อีเมล (DPO)[email protected]
เบอร์โทรศัพท์081-633-3636
เว็บไซต์https://www.klinoq.com/