นโยบายความเป็นส่วนตัว
บังคับใช้ตั้งแต่: 16 พฤษภาคม 2569
ผู้ดูแลข้อมูล: Green & Organic Co., Ltd.
ติดต่อ DPO: privacy@greenandorganic.shop
นโยบายฉบับนี้จัดทำตามแนวทาง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
สำหรับการเก็บและประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการแอปพลิเคชัน Health Me
1. ข้อมูลที่เราเก็บ
1.1 ข้อมูลส่วนตัว (ที่ระบุตัวตน)
ชื่อ-นามสกุล (display name)
เบอร์โทรศัพท์ (ใช้เป็น user identifier)
อีเมล (optional)
รูปโปรไฟล์ (ถ้าอัปโหลด)
1.2 ข้อมูลสุขภาพ (Special Category Data — PDPA ม.26)
ส่วนสูง น้ำหนัก เพศ วันเกิด
โรคประจำตัวที่ระบุ (โรคไต ระยะ X, เบาหวาน, ความดัน ฯลฯ)
เป้าหมายโภชนาการ (แคลอรี่ โปรตีน คาร์บ ไขมัน โซเดียม)
ผลตรวจเลือดที่บันทึก (eGFR, BUN, Creatinine, HbA1C, FBS, LDL, HDL ฯลฯ)
บันทึกอาหารและรูปอาหารที่ถ่าย
บันทึกการออกกำลังกาย
ข้อมูลจาก wearable (ก้าว อัตราการเต้นหัวใจ น้ำหนัก การนอน) — เฉพาะเมื่อท่านให้สิทธิ์ Apple Health / Health Connect เท่านั้น
ข้อความใน chat กับ AI (เพื่อปรับปรุงคำแนะนำ)
1.3 ข้อมูลการใช้งาน (technical)
รุ่นมือถือ ระบบปฏิบัติการ เวอร์ชันแอป
crash log + error log (ไม่มี PII)
Push notification token (เพื่อส่งแจ้งเตือน)
1.4 ข้อมูลคำสั่งซื้อ (ถ้าใช้บริการช็อป)
รายการสั่งซื้อ ที่อยู่จัดส่ง วิธีการชำระเงิน (ผ่าน payment gateway — เราไม่เก็บข้อมูลบัตรเครดิต)
ประวัติคะแนนสะสมและสมาชิกภาพ
2. วิธีการใช้ข้อมูล
ใช้ข้อมูลของท่านเพื่อ:
ให้บริการตามฟีเจอร์ของแอป (วิเคราะห์อาหาร, แสดงเป้าหมาย, บันทึก, แชท)
คำนวณเป้าหมายโภชนาการเฉพาะตามโรคและร่างกายของท่าน
ส่งการแจ้งเตือนเกี่ยวกับสุขภาพและออเดอร์
ปรับปรุงแอปและประสบการณ์การใช้งาน
ปฏิบัติตามกฎหมาย (เช่น ภาษี, การจัดส่ง)
เราไม่ใช้ข้อมูลของท่านเพื่อ:
ขายข้อมูลให้บุคคลที่สามเพื่อการตลาด
โฆษณาแบบ targeted ขายของ-ขายโฆษณา (Health Me ไม่มีโฆษณาในแอป)
ฝึกโมเดล AI ของบุคคลที่สาม (ข้อมูลภาพอาหารส่งให้ OpenAI ตามนโยบาย API ของ OpenAI ซึ่งระบุว่าจะไม่ใช้เพื่อ training)
3. ฐานทางกฎหมาย (PDPA Legal Basis)
ข้อมูล Legal basis
ชื่อ เบอร์ อีเมล สัญญา (contract) — ใช้เพื่อให้บริการแอป
ข้อมูลสุขภาพ ความยินยอม (consent) — ม.26 PDPA — ท่านยินยอมในขั้นตอนสมัครและสามารถถอนความยินยอมได้ทุกเมื่อ
ข้อมูลการใช้งาน ประโยชน์โดยชอบด้วยกฎหมาย (legitimate interest) — ปรับปรุงคุณภาพแอป
คำสั่งซื้อ สัญญา
Push token ความยินยอม — ระบบขออนุญาตในครั้งแรกที่ใช้แอป
4. การแชร์ข้อมูลกับบุคคลที่สาม
เราแชร์ข้อมูลกับ:
OpenAI (วิเคราะห์ภาพอาหาร + chat AI) — ภาพอาหารและข้อความ chat ถูกส่งผ่าน OpenAI API ภายใต้ข้อกำหนด "API data not used for training" ดู openai.com/policies/api-data-usage-policies
SMSKUB (ส่ง OTP) — เบอร์โทรศัพท์เพื่อยืนยันตัวตน
Fly.io / cloud hosting — ข้อมูลทั้งหมดของท่านโฮสต์บนเซิร์ฟเวอร์ที่ Singapore ภายใต้ Fly.io Inc. (US company)
Expo Push Service — push notification token เพื่อส่ง notification
โรงพยาบาล / ผู้ให้บริการด้านสุขภาพ / ประกัน — เฉพาะที่ท่านเลือกเชื่อมต่อเอง จากหน้า "พาร์ทเนอร์" และสามารถยกเลิกได้ตลอดเวลา
เราไม่แชร์ข้อมูลกับบุคคลอื่นนอกจากนี้ ยกเว้นเมื่อกฎหมายบังคับ (เช่น คำสั่งศาล)
5. สิทธิของท่านภายใต้ PDPA
ท่านมีสิทธิตามมาตรา 30-38 ดังนี้:
ขอเข้าถึงข้อมูล ของท่าน — ใช้ฟีเจอร์ "ส่งออกข้อมูลสุขภาพ" ในแอป
ขอแก้ไขข้อมูล — ใช้หน้า "แก้ไขโปรไฟล์" / "ข้อมูลสุขภาพ"
ขอลบข้อมูล — ใช้ปุ่ม "ลบบัญชีและข้อมูลทั้งหมด" ในหน้า "ความเป็นส่วนตัว"
ขอระงับการใช้ข้อมูล — ติดต่อ DPO
ขอย้ายข้อมูล (data portability) — Export เป็น JSON / FHIR ได้
คัดค้านการประมวลผล — ติดต่อ DPO
ถอนความยินยอม — ปรับ toggle ในหน้า "ความเป็นส่วนตัว"
ทุกคำขอเราจะตอบกลับภายใน 30 วัน หากท่านไม่พอใจสามารถร้องเรียนต่อ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ที่ www.pdpc.or.th
6. ระยะเวลาเก็บข้อมูล
ข้อมูลบัญชี (ชื่อ เบอร์ รหัสผ่าน) — ตราบเท่าที่ท่านมีบัญชี + 90 วันหลังลบ (สำรองข้อมูลก่อนลบจริง)
ข้อมูลสุขภาพ (ผลแล็บ บันทึกอาหาร) — ตามอายุบัญชี + ลบทันทีที่ขอ
บันทึกอาหารที่ถ่ายรูป — เก็บภาพ 90 วัน, metadata 2 ปี
ข้อความ chat — 1 ปี หรือเมื่อท่านกด "ลบประวัติแชท"
บันทึกการสั่งซื้อ — ตามข้อกำหนดทางบัญชี/ภาษี = 5 ปี (กฎหมายไทย)
Crash log — 30 วัน
7. ความปลอดภัย
ข้อมูลในระหว่างส่งผ่าน: TLS 1.3
ข้อมูลพักในฐานข้อมูล: เข้ารหัส at-rest โดย Fly.io
รหัสผ่าน: bcrypt hash (ไม่เก็บ plaintext)
JWT token หมดอายุใน 30 วัน
Push token + OTP เก็บใน iOS Keychain / Android Encrypted Shared Preferences
ในกรณีเกิดเหตุการณ์ data breach เราจะแจ้งให้ท่านทราบและรายงาน PDPC ภายใน 72 ชม. ตามที่ ม.37(4) กำหนด
8. เด็กและเยาวชน
Health Me ออกแบบสำหรับผู้ใช้อายุ 13 ปีขึ้นไป กรณีอายุต่ำกว่า 20 ปีต้องได้รับความยินยอมจากผู้ปกครอง (ตาม ม.20 PDPA)
9. การเปลี่ยนแปลงนโยบาย
เราอาจปรับปรุงนโยบายนี้ตามความเหมาะสม เมื่อมีการเปลี่ยนแปลงสำคัญเราจะแจ้งผ่านแอปและอีเมล อย่างน้อย 30 วันก่อนเริ่มบังคับใช้
10. ติดต่อเรา
Data Protection Officer (DPO)
Green & Organic Co., Ltd.
อีเมล: privacy@greenandorganic.shop
© 2026 Green & Organic Co., Ltd. — All rights reserved.