🏀 FairHoops

นโยบายความเป็นส่วนตัว

FairHoops — ระบบจัดทีมบาสและจัดตารางแข่ง
เวอร์ชัน 2.0 · มีผลบังคับใช้ 5 พฤษภาคม 2026
📋 สรุปย่อ
FairHoops ดำเนินการตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) พ.ศ. 2562 ของประเทศไทย เราเก็บข้อมูลเท่าที่จำเป็นต่อการให้บริการ ไม่ขายข้อมูลให้บุคคลที่สาม และคุณสามารถลบบัญชีของคุณได้ด้วยตัวเองที่หน้า "บัญชีของฉัน"

1. ขอบเขตและการบังคับใช้

นโยบายฉบับนี้อธิบายการเก็บ ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ FairHoops ที่ดำเนินการโดย Vow Squad Co., Ltd. ("เรา" "ผู้ให้บริการ") โดยให้บริการผ่านเว็บไซต์ fairhoops.com และ subdomain ที่เกี่ยวข้อง รวมถึง play.fairhoops.com และ play-dev.fairhoops.com

นโยบายฉบับนี้บังคับใช้ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ของประเทศไทย

2. ข้อมูลที่เราเก็บ

เราเก็บข้อมูลส่วนบุคคลเฉพาะเท่าที่จำเป็นต่อการให้บริการ แบ่งออกเป็น 3 ประเภท:

2.1 ข้อมูลที่ผู้ใช้ให้โดยตรง

ประเภทรายละเอียดจำเป็นหรือไม่
ชื่อแสดงชื่อ-นามสกุล หรือชื่อเล่นที่กรอกตอนใช้งานจำเป็น
เบอร์โทรศัพท์สำหรับติดต่อภายในกลุ่มบาส (เห็นเฉพาะ Admin)ไม่จำเป็น
Emailจาก Google account ที่ใช้ loginจำเป็น (ถ้า login)
รูปโปรไฟล์อัปโหลดเอง — เก็บใน Firebase Storageไม่จำเป็น
สลิปโอนเงินรูปสลิปยืนยันการชำระค่าสนามไม่จำเป็น
ตำแหน่งและพื้นที่สนามที่อยู่สนามที่สร้าง (สำหรับ Session Admin)ไม่จำเป็น

2.2 ข้อมูลที่เก็บอัตโนมัติ

  • Firebase UID — รหัสผู้ใช้ที่ระบบสร้างให้ (สำหรับ authentication)
  • User Agent — ข้อมูลเบราว์เซอร์ (เก็บเฉพาะตอน accept consent)
  • Timestamp — เวลาที่กิจกรรมเกิดขึ้น (สร้าง Session, ลงทะเบียน, ฯลฯ)

2.3 ข้อมูลกิจกรรมในกลุ่มบาส

  • Sessions ที่คุณสร้างหรือเข้าร่วม
  • คะแนนและสถิติแมตช์ (W/L/D, Points)
  • ทีมที่คุณถูกจัดให้
  • การชำระเงินและสถานะการเข้าร่วม
⚠️ ข้อมูลที่เราไม่เก็บ:
เลขบัตรประชาชน · เลขบัตรเครดิต · รหัสผ่านธนาคาร · ข้อมูลสุขภาพ · ข้อมูลศาสนา · ข้อมูลการเมือง · ข้อมูล biometric

3. วัตถุประสงค์ของการเก็บข้อมูล

เราใช้ข้อมูลของท่านเฉพาะเพื่อวัตถุประสงค์ต่อไปนี้:

  1. ให้บริการระบบจัดทีมบาส — แสดงรายชื่อผู้เล่น จัดทีมอัตโนมัติ บันทึกผลแมตช์
  2. ระบุตัวตนของผู้ใช้ — เพื่อให้กลับเข้าใช้งานได้ และตรวจสอบสิทธิ์ Admin
  3. เชื่อมโยงกิจกรรมในประวัติ — แสดง Session ที่เคยร่วม และสถิติส่วนตัว
  4. ติดต่อภายในกลุ่ม — Admin เห็นเบอร์โทรเพื่อแจ้งข่าวสาร (ผู้เล่นทั่วไปไม่เห็น)
  5. การชำระเงิน — ตรวจสอบสลิปโอนเงิน (Admin เห็นเฉพาะ Session ของตัวเอง)
  6. ปรับปรุงบริการ — วิเคราะห์เชิงรวม (aggregate analytics) โดยไม่ระบุตัวตน
✅ เราจะไม่ใช้ข้อมูลของคุณเพื่อ: โฆษณาเชิงพฤติกรรม · ขายให้บุคคลที่สาม · profiling ทางการตลาด · การตัดสินใจอัตโนมัติที่กระทบสิทธิ์

5. การเปิดเผยข้อมูลให้บุคคลที่สาม

เราใช้บริการของผู้ให้บริการเทคโนโลยีต่อไปนี้เพื่อให้บริการ:

ผู้ให้บริการวัตถุประสงค์ที่ตั้งข้อมูล
Google FirebaseAuthentication, Firestore Database, Storage, Hostingasia-southeast1 (สิงคโปร์) + Multi-region
Google OAuthLogin ด้วย Google accountGlobal
OpenStreetMapแผนที่สนามบาส (ไม่ส่งข้อมูลส่วนตัว)Global
ℹ️ หมายเหตุ: ผู้ให้บริการเหล่านี้ปฏิบัติตามมาตรฐาน Privacy Shield, GDPR หรือเทียบเท่า เราไม่ขายข้อมูลของท่านให้บุคคลที่สามทุกประเภท

6. ระยะเวลาเก็บข้อมูล

ประเภทข้อมูลระยะเวลา
ข้อมูลบัญชี (ชื่อ, email, รูปโปรไฟล์)จนกว่าผู้ใช้จะลบบัญชี
ประวัติ Session ส่วนตัวจนกว่าผู้ใช้จะลบบัญชี
กิจกรรมในกลุ่ม (ชื่อในทีม, คะแนน, สถิติ)เก็บตลอด (legitimate interest ของผู้เล่นคนอื่น)
QR ชำระเงิน + สลิป365 วัน หรือจนกว่า Session จะถูกลบ
Consent records3 ปี (ตามแนวปฏิบัติ PDPC)
Server logs30 วัน

7. สิทธิของเจ้าของข้อมูล

ตาม PDPA มาตรา 30-37 ท่านมีสิทธิดังต่อไปนี้:

  1. สิทธิเข้าถึงข้อมูล (มาตรา 30) — ขอดูข้อมูลที่เราเก็บ
  2. สิทธิแก้ไขข้อมูล (มาตรา 35-36) — แก้ชื่อ/รูปได้เองที่หน้าโปรไฟล์
  3. สิทธิลบข้อมูล (มาตรา 33) — กดปุ่ม "ลบบัญชีถาวร" ที่หน้าโปรไฟล์
  4. สิทธิระงับการประมวลผล (มาตรา 34) — ส่งคำขอผ่าน email
  5. สิทธิคัดค้านการประมวลผล (มาตรา 32) — ส่งคำขอผ่าน email
  6. สิทธิขอโอนย้ายข้อมูล (มาตรา 31) — ส่งคำขอผ่าน email
  7. สิทธิถอนความยินยอม (มาตรา 19) — ลบบัญชี = ถอนความยินยอม
  8. สิทธิร้องเรียน — ติดต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ที่ pdpc.or.th

เราจะตอบกลับคำขอของท่านภายใน 30 วัน ตาม PDPA

8. การลบบัญชี (Anonymise Pattern)

📌 สำคัญ: เราใช้แนวทาง Anonymise เพื่อรักษาความถูกต้องของข้อมูลของผู้เล่นคนอื่นในกลุ่มเดียวกัน

เมื่อท่านลบบัญชี ระบบจะ:

🗑️ ลบทันทีและถาวร:

  • ข้อมูลโปรไฟล์ (users/{uid}) — ชื่อแสดง, รูปโปรไฟล์, photoURL
  • ประวัติ Session ส่วนตัว (users/{uid}/sessionHistory/*)
  • ไฟล์รูปใน Storage (profiles/{uid}.jpg)
  • Firebase Auth account
  • localStorage entries (fh_name, fh_my_player_*)

🔒 Anonymise (ไม่ลบ แต่ตัดการเชื่อมโยง):

  • Sessions ที่ท่านสร้าง → ตั้ง createdByUid: null + ownerDeleted: true + ป้ายชื่อเปลี่ยนเป็น "(ผู้ใช้ที่ลบบัญชี)"
  • Player records ที่ท่านอยู่ใน Sessions อื่น → ตั้ง uid: null + ลบ photoURL แต่เก็บชื่อ + คะแนน + สถิติ

ทำไมต้อง Anonymise?

การลบ Session ทั้งหมดที่ท่านเคยร่วม จะกระทบประวัติของผู้เล่นคนอื่น 9-10 คนในทีมเดียวกัน เช่น เพื่อนร่วมทีมจะเสียประวัติแมตช์ทั้งหมด ผู้สร้างทีมเสียข้อมูลกิจกรรมที่เคยจัด

การ Anonymise ทำให้ ข้อมูลที่เป็นการระบุตัวตน (uid, photoURL, email) ถูกลบ ในขณะที่ ข้อมูลกิจกรรมเชิงรวม (ชื่อแสดง, คะแนน, ทีม) ยังคงอยู่ — ซึ่งเป็น ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) ของผู้เล่นคนอื่นตาม PDPA มาตรา 24(5)

วิธีการลบบัญชี

  1. เข้าหน้า "บัญชีของฉัน" (กดที่ avatar มุมขวาบน)
  2. กดปุ่ม "🗑️ ลบบัญชีถาวร"
  3. พิมพ์ "DELETE" เพื่อยืนยัน
  4. กด "ลบบัญชีของฉัน" (คำเตือนสุดท้าย)
  5. Login ใหม่ผ่าน Google popup (Re-authentication)
  6. ระบบจะลบข้อมูลและ logout ออก
⚠️ การลบบัญชีไม่สามารถกู้คืนได้ — กรุณาตรวจสอบให้แน่ใจก่อนยืนยัน

9. Cookies และ localStorage

FairHoops ใช้ localStorage ของเบราว์เซอร์ (ไม่ใช่ HTTP Cookies) เพื่อเก็บข้อมูลต่อไปนี้:

Keyวัตถุประสงค์ระยะเวลา
fh_pdpa_v2บันทึก consent ของท่าน3 ปี
fh_nameชื่อแสดงของท่าน (จำชื่อระหว่าง session)จนกว่าจะ logout
fh_my_player_{sessionId}เชื่อมโยงตัวคุณกับ player record ใน Session30 วัน
fh_recent_venuesสนามที่เพิ่งใช้ล่าสุด (UX)จนกว่าจะลบ

เราไม่ใช้ third-party cookies ทางการตลาด หรือ tracking pixels

10. มาตรการรักษาความปลอดภัย

  • HTTPS/TLS — การสื่อสารทุกช่องทางถูกเข้ารหัส
  • Firebase Security Rules — จำกัดการเข้าถึงข้อมูลตาม role (Admin/Player/Public)
  • Re-authentication — กระบวนการที่กระทบบัญชี (เช่น ลบบัญชี) ต้องยืนยันตัวตนใหม่
  • Data minimization — เก็บข้อมูลเท่าที่จำเป็น
  • Audit log — บันทึก consent records และการเปลี่ยนแปลงสำคัญ
⚠️ การแจ้งเตือนเหตุข้อมูลรั่วไหล: หากเกิดเหตุข้อมูลส่วนบุคคลรั่วไหลที่อาจกระทบสิทธิ์ของท่าน เราจะแจ้งคณะกรรมการ PDPC ภายใน 72 ชั่วโมง และแจ้งท่านโดยไม่ชักช้า

11. การโอนข้อมูลข้ามประเทศ

ข้อมูลของท่านถูกประมวลผลโดย Google Firebase ซึ่งมี data center ในหลายประเทศ:

  • หลัก: asia-southeast1 (สิงคโปร์)
  • สำรอง: US Multi-region (เพื่อ availability)

การโอนข้อมูลข้ามประเทศของเราดำเนินการตาม PDPA มาตรา 28-29 โดย Google มีมาตรฐานการป้องกันที่เพียงพอ (Standard Contractual Clauses + Adequacy frameworks)

12. ข้อมูลของผู้เยาว์

FairHoops ออกแบบสำหรับผู้ใช้อายุ 18 ปีขึ้นไป หากผู้ใช้อายุต่ำกว่า 20 ปี ต้องได้รับความยินยอมจากผู้ปกครองตาม PDPA มาตรา 20

หากเราพบว่าได้เก็บข้อมูลของผู้เยาว์โดยไม่ได้รับความยินยอมที่เหมาะสม เราจะลบข้อมูลทันที กรุณาติดต่อเราหากสงสัยว่ามีข้อมูลของบุตรหลานในระบบ

13. การเปลี่ยนแปลงนโยบาย

เราอาจปรับปรุงนโยบายนี้เป็นระยะ การเปลี่ยนแปลงสำคัญจะ:

  • เพิ่ม version ของ policy (เช่น v2 → v3)
  • แสดง consent banner ใหม่ — ขอความยินยอมอีกครั้ง
  • แจ้งผ่าน email (ถ้ามีอยู่) สำหรับการเปลี่ยนแปลงที่กระทบสิทธิ์

ตรวจสอบเวอร์ชันล่าสุดได้ที่ /privacy-policy.html

14. ติดต่อเรา

หากมีคำถาม ข้อร้องเรียน หรือต้องการใช้สิทธิ์ตาม PDPA กรุณาติดต่อ:

ผู้ควบคุมข้อมูล:Vow Squad Co., Ltd.
ติดต่อ:คุณธนิช (PIK)
📱 โทร:092-248-4229
เว็บไซต์:fairhoops.com

หากท่านไม่พอใจกับการตอบกลับของเรา ท่านมีสิทธิ์ร้องเรียนต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ที่ www.pdpc.or.th

Privacy Policy

FairHoops — Basketball Team Management System
Version 2.0 · Effective May 5, 2026
📋 Quick Summary
FairHoops complies with Thailand's Personal Data Protection Act (PDPA) B.E. 2562. We collect only what's necessary, never sell your data, and you can delete your account yourself from "My Profile".

1. Scope and Application

This policy describes how Vow Squad Co., Ltd. ("we", "the service provider") collects, uses, discloses, and protects personal data of FairHoops users. The service is provided via fairhoops.com and related subdomains including play.fairhoops.com and play-dev.fairhoops.com.

This policy is governed by Thailand's Personal Data Protection Act B.E. 2562 (PDPA).

2. Data We Collect

We collect personal data only as necessary for service delivery, in 3 categories:

2.1 Data You Provide Directly

TypeDetailRequired?
Display NameName or nickname entered during useRequired
Phone NumberFor in-group contact (visible to Admin only)Optional
EmailFrom Google account used for loginRequired (if logged in)
Profile PhotoSelf-uploaded — stored in Firebase StorageOptional
Payment SlipImage confirming court fee paymentOptional
Venue LocationAddress of venues you create (for Session Admins)Optional

2.2 Automatically Collected Data

  • Firebase UID — system-generated user ID (for authentication)
  • User Agent — browser info (only at consent acceptance)
  • Timestamps — when activities occur (creating Session, joining, etc.)

2.3 In-Group Activity Data

  • Sessions you created or joined
  • Match scores and statistics (W/L/D, Points)
  • Teams you were assigned to
  • Payment status and attendance
⚠️ Data we do NOT collect:
National ID · Credit card numbers · Banking passwords · Health records · Religious affiliation · Political views · Biometric data

3. Purpose of Collection

We use your data only for the following purposes:

  1. Provide team management service — display rosters, auto-team assignment, record match results
  2. Identify users — for re-login and Admin permission verification
  3. Link activity to history — show Sessions you joined and personal stats
  4. In-group contact — Admins see phone numbers for announcements (regular players don't)
  5. Payment verification — Admins review payment slips (only for their Sessions)
  6. Service improvement — aggregate analytics without identifying individuals
✅ We will NOT use your data for: Behavioral advertising · Selling to third parties · Marketing profiling · Automated decisions affecting your rights

4. Legal Basis

We process your data on the following legal bases:

ActivityLegal Basis (PDPA Section)
Joining a SessionConsent (Section 19)
Retaining other team members' history when you joined their SessionsLegitimate Interest (Section 24(5)) — to preserve team statistics integrity
Service deliveryContract Performance (Section 24(3))
Legal complianceLegal Obligation (Section 24(6))

5. Sharing with Third Parties

We use the following technology providers to deliver our service:

ProviderPurposeData Location
Google FirebaseAuthentication, Firestore Database, Storage, Hostingasia-southeast1 (Singapore) + Multi-region
Google OAuthLogin with Google accountGlobal
OpenStreetMapVenue maps (no personal data sent)Global
ℹ️ Note: These providers comply with Privacy Shield, GDPR, or equivalent standards. We do NOT sell your data to any third party.

6. Data Retention Period

Data TypeRetention
Account data (name, email, photo)Until user deletes account
Personal Session historyUntil user deletes account
In-group activity (team name, scores, stats)Indefinite (legitimate interest of other players)
Payment QR + slips365 days or until Session is deleted
Consent records3 years (per PDPC guidelines)
Server logs30 days

7. Your Rights as Data Subject

Under PDPA Sections 30-37, you have the following rights:

  1. Right to Access (Section 30) — request to view data we hold about you
  2. Right to Rectification (Sections 35-36) — edit name/photo yourself in Profile
  3. Right to Erasure (Section 33) — click "Delete Account" in Profile
  4. Right to Restrict Processing (Section 34) — request via email
  5. Right to Object (Section 32) — request via email
  6. Right to Data Portability (Section 31) — request via email
  7. Right to Withdraw Consent (Section 19) — deleting account = withdrawing consent
  8. Right to Complain — contact the Personal Data Protection Committee at pdpc.or.th

We will respond to your request within 30 days per PDPA.

8. Account Deletion (Anonymise Pattern)

📌 Important: We use an Anonymise approach to preserve the integrity of other players' data in your shared groups.

When you delete your account, the system will:

🗑️ Delete immediately and permanently:

  • Profile data (users/{uid}) — display name, photo, photoURL
  • Personal Session history (users/{uid}/sessionHistory/*)
  • Storage files (profiles/{uid}.jpg)
  • Firebase Auth account
  • localStorage entries (fh_name, fh_my_player_*)

🔒 Anonymise (don't delete, just unlink):

  • Sessions you created → set createdByUid: null + ownerDeleted: true + label changes to "(Deleted User)"
  • Player records in other Sessions → set uid: null + remove photoURL, but keep name + scores + stats

Why Anonymise?

Deleting all Sessions you joined would impact 9-10 other players in each team. Teammates would lose their entire match history; team creators would lose records of activities they organized.

Anonymising removes identifying data (uid, photoURL, email) while preserving aggregate activity data (display name, scores, team) — which constitutes Legitimate Interest of other players under PDPA Section 24(5).

How to Delete Your Account

  1. Go to "My Profile" (click avatar in top-right)
  2. Click "🗑️ Delete Account Permanently"
  3. Type "DELETE" to confirm
  4. Click "Delete My Account" (final warning)
  5. Re-authenticate via Google popup
  6. System will delete data and log you out
⚠️ Account deletion cannot be undone — please verify before confirming.

9. Cookies and localStorage

FairHoops uses browser localStorage (not HTTP Cookies) to store:

KeyPurposeDuration
fh_pdpa_v2Records your consent3 years
fh_nameYour display name (remember between sessions)Until logout
fh_my_player_{sessionId}Links you to player record in a Session30 days
fh_recent_venuesRecently used venues (UX)Until cleared

We do NOT use third-party marketing cookies or tracking pixels.

10. Security Measures

  • HTTPS/TLS — All communications encrypted
  • Firebase Security Rules — Access restricted by role (Admin/Player/Public)
  • Re-authentication — Account-impacting actions (e.g., deletion) require re-verification
  • Data minimization — Only collect what's necessary
  • Audit log — Consent records and significant changes logged
⚠️ Data Breach Notification: If a personal data breach affects your rights, we will notify the PDPC within 72 hours and inform you without undue delay.

11. Cross-Border Transfer

Your data is processed by Google Firebase across multiple data centers:

  • Primary: asia-southeast1 (Singapore)
  • Backup: US Multi-region (for availability)

Cross-border transfers comply with PDPA Sections 28-29. Google maintains adequate protection (Standard Contractual Clauses + Adequacy frameworks).

12. Minors' Data

FairHoops is designed for users aged 18 and above. Users under 20 require parental consent per PDPA Section 20.

If we discover we have collected minors' data without proper consent, we will delete it immediately. Please contact us if you suspect your child's data is in our system.

13. Policy Changes

We may update this policy periodically. Significant changes will:

  • Increment policy version (e.g., v2 → v3)
  • Display new consent banner — request consent again
  • Notify via email (if available) for changes affecting your rights

Latest version always at /privacy-policy.html

14. Contact Us

For questions, complaints, or to exercise your PDPA rights, please contact:

Data Controller:Vow Squad Co., Ltd.
Contact Person:Mr. Thanick (PIK)
📱 Phone:+66 92-248-4229

If you're unsatisfied with our response, you have the right to file a complaint with the Office of the Personal Data Protection Committee (PDPC) at www.pdpc.or.th