นโยบายความเป็นส่วนตัว
FairHoops ดำเนินการตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) พ.ศ. 2562 ของประเทศไทย เราเก็บข้อมูลเท่าที่จำเป็นต่อการให้บริการ ไม่ขายข้อมูลให้บุคคลที่สาม และคุณสามารถลบบัญชีของคุณได้ด้วยตัวเองที่หน้า "บัญชีของฉัน"
- ขอบเขตและการบังคับใช้
- ข้อมูลที่เราเก็บ
- วัตถุประสงค์ของการเก็บข้อมูล
- ฐานทางกฎหมาย
- การเปิดเผยข้อมูลให้บุคคลที่สาม
- ระยะเวลาเก็บข้อมูล
- สิทธิของเจ้าของข้อมูล
- การลบบัญชี (Anonymise Pattern)
- Cookies และ localStorage
- มาตรการรักษาความปลอดภัย
- การโอนข้อมูลข้ามประเทศ
- ข้อมูลของผู้เยาว์
- การเปลี่ยนแปลงนโยบาย
- ติดต่อเรา
1. ขอบเขตและการบังคับใช้
นโยบายฉบับนี้อธิบายการเก็บ ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ FairHoops ที่ดำเนินการโดย Vow Squad Co., Ltd. ("เรา" "ผู้ให้บริการ") โดยให้บริการผ่านเว็บไซต์ fairhoops.com และ subdomain ที่เกี่ยวข้อง รวมถึง play.fairhoops.com และ play-dev.fairhoops.com
นโยบายฉบับนี้บังคับใช้ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ของประเทศไทย
2. ข้อมูลที่เราเก็บ
เราเก็บข้อมูลส่วนบุคคลเฉพาะเท่าที่จำเป็นต่อการให้บริการ แบ่งออกเป็น 3 ประเภท:
2.1 ข้อมูลที่ผู้ใช้ให้โดยตรง
| ประเภท | รายละเอียด | จำเป็นหรือไม่ |
|---|---|---|
| ชื่อแสดง | ชื่อ-นามสกุล หรือชื่อเล่นที่กรอกตอนใช้งาน | จำเป็น |
| เบอร์โทรศัพท์ | สำหรับติดต่อภายในกลุ่มบาส (เห็นเฉพาะ Admin) | ไม่จำเป็น |
| จาก Google account ที่ใช้ login | จำเป็น (ถ้า login) | |
| รูปโปรไฟล์ | อัปโหลดเอง — เก็บใน Firebase Storage | ไม่จำเป็น |
| สลิปโอนเงิน | รูปสลิปยืนยันการชำระค่าสนาม | ไม่จำเป็น |
| ตำแหน่งและพื้นที่สนาม | ที่อยู่สนามที่สร้าง (สำหรับ Session Admin) | ไม่จำเป็น |
2.2 ข้อมูลที่เก็บอัตโนมัติ
- Firebase UID — รหัสผู้ใช้ที่ระบบสร้างให้ (สำหรับ authentication)
- User Agent — ข้อมูลเบราว์เซอร์ (เก็บเฉพาะตอน accept consent)
- Timestamp — เวลาที่กิจกรรมเกิดขึ้น (สร้าง Session, ลงทะเบียน, ฯลฯ)
2.3 ข้อมูลกิจกรรมในกลุ่มบาส
- Sessions ที่คุณสร้างหรือเข้าร่วม
- คะแนนและสถิติแมตช์ (W/L/D, Points)
- ทีมที่คุณถูกจัดให้
- การชำระเงินและสถานะการเข้าร่วม
เลขบัตรประชาชน · เลขบัตรเครดิต · รหัสผ่านธนาคาร · ข้อมูลสุขภาพ · ข้อมูลศาสนา · ข้อมูลการเมือง · ข้อมูล biometric
3. วัตถุประสงค์ของการเก็บข้อมูล
เราใช้ข้อมูลของท่านเฉพาะเพื่อวัตถุประสงค์ต่อไปนี้:
- ให้บริการระบบจัดทีมบาส — แสดงรายชื่อผู้เล่น จัดทีมอัตโนมัติ บันทึกผลแมตช์
- ระบุตัวตนของผู้ใช้ — เพื่อให้กลับเข้าใช้งานได้ และตรวจสอบสิทธิ์ Admin
- เชื่อมโยงกิจกรรมในประวัติ — แสดง Session ที่เคยร่วม และสถิติส่วนตัว
- ติดต่อภายในกลุ่ม — Admin เห็นเบอร์โทรเพื่อแจ้งข่าวสาร (ผู้เล่นทั่วไปไม่เห็น)
- การชำระเงิน — ตรวจสอบสลิปโอนเงิน (Admin เห็นเฉพาะ Session ของตัวเอง)
- ปรับปรุงบริการ — วิเคราะห์เชิงรวม (aggregate analytics) โดยไม่ระบุตัวตน
4. ฐานทางกฎหมาย
เราประมวลผลข้อมูลของท่านบนฐานทางกฎหมายต่อไปนี้:
| กิจกรรม | ฐานทางกฎหมาย (PDPA Section) |
|---|---|
| การลงทะเบียนเข้าร่วม Session | ความยินยอม (มาตรา 19) |
| การเก็บประวัติของผู้เล่นคนอื่นในทีมที่คุณเคยร่วม | ประโยชน์โดยชอบด้วยกฎหมาย (มาตรา 24(5)) — เพื่อรักษาความถูกต้องของสถิติทีม |
| การให้บริการตามสัญญา | การปฏิบัติตามสัญญา (มาตรา 24(3)) |
| การปฏิบัติตามกฎหมาย | หน้าที่ตามกฎหมาย (มาตรา 24(6)) |
6. ระยะเวลาเก็บข้อมูล
| ประเภทข้อมูล | ระยะเวลา |
|---|---|
| ข้อมูลบัญชี (ชื่อ, email, รูปโปรไฟล์) | จนกว่าผู้ใช้จะลบบัญชี |
| ประวัติ Session ส่วนตัว | จนกว่าผู้ใช้จะลบบัญชี |
| กิจกรรมในกลุ่ม (ชื่อในทีม, คะแนน, สถิติ) | เก็บตลอด (legitimate interest ของผู้เล่นคนอื่น) |
| QR ชำระเงิน + สลิป | 365 วัน หรือจนกว่า Session จะถูกลบ |
| Consent records | 3 ปี (ตามแนวปฏิบัติ PDPC) |
| Server logs | 30 วัน |
7. สิทธิของเจ้าของข้อมูล
ตาม PDPA มาตรา 30-37 ท่านมีสิทธิดังต่อไปนี้:
- สิทธิเข้าถึงข้อมูล (มาตรา 30) — ขอดูข้อมูลที่เราเก็บ
- สิทธิแก้ไขข้อมูล (มาตรา 35-36) — แก้ชื่อ/รูปได้เองที่หน้าโปรไฟล์
- สิทธิลบข้อมูล (มาตรา 33) — กดปุ่ม "ลบบัญชีถาวร" ที่หน้าโปรไฟล์
- สิทธิระงับการประมวลผล (มาตรา 34) — ส่งคำขอผ่าน email
- สิทธิคัดค้านการประมวลผล (มาตรา 32) — ส่งคำขอผ่าน email
- สิทธิขอโอนย้ายข้อมูล (มาตรา 31) — ส่งคำขอผ่าน email
- สิทธิถอนความยินยอม (มาตรา 19) — ลบบัญชี = ถอนความยินยอม
- สิทธิร้องเรียน — ติดต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ที่ pdpc.or.th
เราจะตอบกลับคำขอของท่านภายใน 30 วัน ตาม PDPA
8. การลบบัญชี (Anonymise Pattern)
เมื่อท่านลบบัญชี ระบบจะ:
🗑️ ลบทันทีและถาวร:
- ข้อมูลโปรไฟล์ (
users/{uid}) — ชื่อแสดง, รูปโปรไฟล์, photoURL - ประวัติ Session ส่วนตัว (
users/{uid}/sessionHistory/*) - ไฟล์รูปใน Storage (
profiles/{uid}.jpg) - Firebase Auth account
- localStorage entries (fh_name, fh_my_player_*)
🔒 Anonymise (ไม่ลบ แต่ตัดการเชื่อมโยง):
- Sessions ที่ท่านสร้าง → ตั้ง
createdByUid: null+ownerDeleted: true+ ป้ายชื่อเปลี่ยนเป็น "(ผู้ใช้ที่ลบบัญชี)" - Player records ที่ท่านอยู่ใน Sessions อื่น → ตั้ง
uid: null+ ลบ photoURL แต่เก็บชื่อ + คะแนน + สถิติ
ทำไมต้อง Anonymise?
การลบ Session ทั้งหมดที่ท่านเคยร่วม จะกระทบประวัติของผู้เล่นคนอื่น 9-10 คนในทีมเดียวกัน เช่น เพื่อนร่วมทีมจะเสียประวัติแมตช์ทั้งหมด ผู้สร้างทีมเสียข้อมูลกิจกรรมที่เคยจัด
การ Anonymise ทำให้ ข้อมูลที่เป็นการระบุตัวตน (uid, photoURL, email) ถูกลบ ในขณะที่ ข้อมูลกิจกรรมเชิงรวม (ชื่อแสดง, คะแนน, ทีม) ยังคงอยู่ — ซึ่งเป็น ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) ของผู้เล่นคนอื่นตาม PDPA มาตรา 24(5)
วิธีการลบบัญชี
- เข้าหน้า "บัญชีของฉัน" (กดที่ avatar มุมขวาบน)
- กดปุ่ม "🗑️ ลบบัญชีถาวร"
- พิมพ์ "DELETE" เพื่อยืนยัน
- กด "ลบบัญชีของฉัน" (คำเตือนสุดท้าย)
- Login ใหม่ผ่าน Google popup (Re-authentication)
- ระบบจะลบข้อมูลและ logout ออก
10. มาตรการรักษาความปลอดภัย
- HTTPS/TLS — การสื่อสารทุกช่องทางถูกเข้ารหัส
- Firebase Security Rules — จำกัดการเข้าถึงข้อมูลตาม role (Admin/Player/Public)
- Re-authentication — กระบวนการที่กระทบบัญชี (เช่น ลบบัญชี) ต้องยืนยันตัวตนใหม่
- Data minimization — เก็บข้อมูลเท่าที่จำเป็น
- Audit log — บันทึก consent records และการเปลี่ยนแปลงสำคัญ
11. การโอนข้อมูลข้ามประเทศ
ข้อมูลของท่านถูกประมวลผลโดย Google Firebase ซึ่งมี data center ในหลายประเทศ:
- หลัก: asia-southeast1 (สิงคโปร์)
- สำรอง: US Multi-region (เพื่อ availability)
การโอนข้อมูลข้ามประเทศของเราดำเนินการตาม PDPA มาตรา 28-29 โดย Google มีมาตรฐานการป้องกันที่เพียงพอ (Standard Contractual Clauses + Adequacy frameworks)
12. ข้อมูลของผู้เยาว์
FairHoops ออกแบบสำหรับผู้ใช้อายุ 18 ปีขึ้นไป หากผู้ใช้อายุต่ำกว่า 20 ปี ต้องได้รับความยินยอมจากผู้ปกครองตาม PDPA มาตรา 20
หากเราพบว่าได้เก็บข้อมูลของผู้เยาว์โดยไม่ได้รับความยินยอมที่เหมาะสม เราจะลบข้อมูลทันที กรุณาติดต่อเราหากสงสัยว่ามีข้อมูลของบุตรหลานในระบบ
13. การเปลี่ยนแปลงนโยบาย
เราอาจปรับปรุงนโยบายนี้เป็นระยะ การเปลี่ยนแปลงสำคัญจะ:
- เพิ่ม version ของ policy (เช่น v2 → v3)
- แสดง consent banner ใหม่ — ขอความยินยอมอีกครั้ง
- แจ้งผ่าน email (ถ้ามีอยู่) สำหรับการเปลี่ยนแปลงที่กระทบสิทธิ์
ตรวจสอบเวอร์ชันล่าสุดได้ที่ /privacy-policy.html
14. ติดต่อเรา
หากมีคำถาม ข้อร้องเรียน หรือต้องการใช้สิทธิ์ตาม PDPA กรุณาติดต่อ:
หากท่านไม่พอใจกับการตอบกลับของเรา ท่านมีสิทธิ์ร้องเรียนต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ที่ www.pdpc.or.th
Privacy Policy
FairHoops complies with Thailand's Personal Data Protection Act (PDPA) B.E. 2562. We collect only what's necessary, never sell your data, and you can delete your account yourself from "My Profile".
1. Scope and Application
This policy describes how Vow Squad Co., Ltd. ("we", "the service provider") collects, uses, discloses, and protects personal data of FairHoops users. The service is provided via fairhoops.com and related subdomains including play.fairhoops.com and play-dev.fairhoops.com.
This policy is governed by Thailand's Personal Data Protection Act B.E. 2562 (PDPA).
2. Data We Collect
We collect personal data only as necessary for service delivery, in 3 categories:
2.1 Data You Provide Directly
| Type | Detail | Required? |
|---|---|---|
| Display Name | Name or nickname entered during use | Required |
| Phone Number | For in-group contact (visible to Admin only) | Optional |
| From Google account used for login | Required (if logged in) | |
| Profile Photo | Self-uploaded — stored in Firebase Storage | Optional |
| Payment Slip | Image confirming court fee payment | Optional |
| Venue Location | Address of venues you create (for Session Admins) | Optional |
2.2 Automatically Collected Data
- Firebase UID — system-generated user ID (for authentication)
- User Agent — browser info (only at consent acceptance)
- Timestamps — when activities occur (creating Session, joining, etc.)
2.3 In-Group Activity Data
- Sessions you created or joined
- Match scores and statistics (W/L/D, Points)
- Teams you were assigned to
- Payment status and attendance
National ID · Credit card numbers · Banking passwords · Health records · Religious affiliation · Political views · Biometric data
3. Purpose of Collection
We use your data only for the following purposes:
- Provide team management service — display rosters, auto-team assignment, record match results
- Identify users — for re-login and Admin permission verification
- Link activity to history — show Sessions you joined and personal stats
- In-group contact — Admins see phone numbers for announcements (regular players don't)
- Payment verification — Admins review payment slips (only for their Sessions)
- Service improvement — aggregate analytics without identifying individuals
4. Legal Basis
We process your data on the following legal bases:
| Activity | Legal Basis (PDPA Section) |
|---|---|
| Joining a Session | Consent (Section 19) |
| Retaining other team members' history when you joined their Sessions | Legitimate Interest (Section 24(5)) — to preserve team statistics integrity |
| Service delivery | Contract Performance (Section 24(3)) |
| Legal compliance | Legal Obligation (Section 24(6)) |
5. Sharing with Third Parties
We use the following technology providers to deliver our service:
| Provider | Purpose | Data Location |
|---|---|---|
| Google Firebase | Authentication, Firestore Database, Storage, Hosting | asia-southeast1 (Singapore) + Multi-region |
| Google OAuth | Login with Google account | Global |
| OpenStreetMap | Venue maps (no personal data sent) | Global |
6. Data Retention Period
| Data Type | Retention |
|---|---|
| Account data (name, email, photo) | Until user deletes account |
| Personal Session history | Until user deletes account |
| In-group activity (team name, scores, stats) | Indefinite (legitimate interest of other players) |
| Payment QR + slips | 365 days or until Session is deleted |
| Consent records | 3 years (per PDPC guidelines) |
| Server logs | 30 days |
7. Your Rights as Data Subject
Under PDPA Sections 30-37, you have the following rights:
- Right to Access (Section 30) — request to view data we hold about you
- Right to Rectification (Sections 35-36) — edit name/photo yourself in Profile
- Right to Erasure (Section 33) — click "Delete Account" in Profile
- Right to Restrict Processing (Section 34) — request via email
- Right to Object (Section 32) — request via email
- Right to Data Portability (Section 31) — request via email
- Right to Withdraw Consent (Section 19) — deleting account = withdrawing consent
- Right to Complain — contact the Personal Data Protection Committee at pdpc.or.th
We will respond to your request within 30 days per PDPA.
8. Account Deletion (Anonymise Pattern)
When you delete your account, the system will:
🗑️ Delete immediately and permanently:
- Profile data (
users/{uid}) — display name, photo, photoURL - Personal Session history (
users/{uid}/sessionHistory/*) - Storage files (
profiles/{uid}.jpg) - Firebase Auth account
- localStorage entries (fh_name, fh_my_player_*)
🔒 Anonymise (don't delete, just unlink):
- Sessions you created → set
createdByUid: null+ownerDeleted: true+ label changes to "(Deleted User)" - Player records in other Sessions → set
uid: null+ remove photoURL, but keep name + scores + stats
Why Anonymise?
Deleting all Sessions you joined would impact 9-10 other players in each team. Teammates would lose their entire match history; team creators would lose records of activities they organized.
Anonymising removes identifying data (uid, photoURL, email) while preserving aggregate activity data (display name, scores, team) — which constitutes Legitimate Interest of other players under PDPA Section 24(5).
How to Delete Your Account
- Go to "My Profile" (click avatar in top-right)
- Click "🗑️ Delete Account Permanently"
- Type "DELETE" to confirm
- Click "Delete My Account" (final warning)
- Re-authenticate via Google popup
- System will delete data and log you out
9. Cookies and localStorage
FairHoops uses browser localStorage (not HTTP Cookies) to store:
| Key | Purpose | Duration |
|---|---|---|
fh_pdpa_v2 | Records your consent | 3 years |
fh_name | Your display name (remember between sessions) | Until logout |
fh_my_player_{sessionId} | Links you to player record in a Session | 30 days |
fh_recent_venues | Recently used venues (UX) | Until cleared |
We do NOT use third-party marketing cookies or tracking pixels.
10. Security Measures
- HTTPS/TLS — All communications encrypted
- Firebase Security Rules — Access restricted by role (Admin/Player/Public)
- Re-authentication — Account-impacting actions (e.g., deletion) require re-verification
- Data minimization — Only collect what's necessary
- Audit log — Consent records and significant changes logged
11. Cross-Border Transfer
Your data is processed by Google Firebase across multiple data centers:
- Primary: asia-southeast1 (Singapore)
- Backup: US Multi-region (for availability)
Cross-border transfers comply with PDPA Sections 28-29. Google maintains adequate protection (Standard Contractual Clauses + Adequacy frameworks).
12. Minors' Data
FairHoops is designed for users aged 18 and above. Users under 20 require parental consent per PDPA Section 20.
If we discover we have collected minors' data without proper consent, we will delete it immediately. Please contact us if you suspect your child's data is in our system.
13. Policy Changes
We may update this policy periodically. Significant changes will:
- Increment policy version (e.g., v2 → v3)
- Display new consent banner — request consent again
- Notify via email (if available) for changes affecting your rights
Latest version always at /privacy-policy.html
14. Contact Us
For questions, complaints, or to exercise your PDPA rights, please contact:
If you're unsatisfied with our response, you have the right to file a complaint with the Office of the Personal Data Protection Committee (PDPC) at www.pdpc.or.th