นโยบายความเป็นส่วนตัวPrivacy Policy

ผู้ควบคุมข้อมูลส่วนบุคคลของบริการ Narak (“บริการ”) คือ บริษัท เทคโทนี่ จำกัด (“เรา”) เลขประจำตัวผู้เสียภาษี 0125562001305 ที่อยู่จดทะเบียน 119/984 หมู่ที่ 1 ตำบลไทรม้า อำเภอเมืองนนทบุรี จังหวัดนนทบุรี 11000

The data controller for the Narak service (“Service”) is TecTony Co., Ltd.(“we”, “us”), Tax ID 0125562001305, registered at 119/984 Moo 1, Saima Sub-district, Mueang-nonthaburi District, Nonthaburi, Thailand 11000.

ติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO): dpo@narak.in.th เราจะตอบกลับภายใน 7 วันทำการ

Data Protection Officer: dpo@narak.in.th. We respond within 7 business days.

เราเก็บเฉพาะสิ่งที่จำเป็นต่อการให้บริการ และแยกข้อมูลออกเป็นสามประเภทตามระดับความอ่อนไหว:

We collect only what the Service needs, split into three tiers by sensitivity:

ก. ข้อมูลบัญชีและการยืนยันตัวตนA. Account and authentication

• LINE User ID (เมื่อเข้าสู่ระบบด้วย LINE LIFF), ชื่อที่แสดง, รูปโปรไฟล์ (public) ที่ LINE ส่งให้เรา
• อีเมล (เมื่อเข้าสู่ระบบด้วยลิงก์ยืนยันตัวตนทางอีเมล)
• Secret ของ TOTP (เข้ารหัส AES-GCM เสมอ) สำหรับการยืนยันตัวตนสองชั้น
• Session cookie ที่เข้ารหัสด้วย iron-session

• LINE User ID (when signing in via LINE LIFF), display name, and public avatar returned by LINE
• Email address (when signing in with a magic link)
• TOTP secret (always encrypted with AES-GCM) if you enable two-factor auth
• An encrypted session cookie issued by iron-session

ข. ข้อมูลดวงชะตาและโปรไฟล์ผู้ใช้B. Zodiac profile and preferences

• วันเกิด (จำเป็น — ใช้คำนวณโครงสร้างดวงชะตา)
• เวลาเกิด (ถ้าคุณให้) เพศ โซน และการตั้งค่าเสริม
• คำตอบจากแบบสอบถามโปรไฟล์แบบค่อยเป็นค่อยไป (Progressive Profile) เพื่อปรับคำทำนายให้เข้ากับคุณ

• Date of birth (required — used to compute your zodiac signature)
• Optional: birth time, gender, zone, and preference settings
• Progressive-profile answers that personalise AI readings

ค. ข้อมูลละเอียดอ่อน (เฉพาะที่คุณยินยอม)C. Sensitive data (consent only)

• หมายเลขบัตรประชาชนไทย หรือหมายเลขพาสปอร์ต (ใช้กับโหมด ตัวเลขศาสตร์แบบละเอียดเท่านั้น)
• ชื่อ-นามสกุลแบบทางการ (ใช้กับดวงชื่อเท่านั้น)
• จังหวัดและอำเภอที่อยู่อาศัย (ใช้คำนวณภูมิดวงชาตา)

• Thai national ID or passport number (used only by detailed numerology)
• Full legal name (used only by name-numerology readings)
• Residential province and district (used to refine the chart)

ง. ข้อมูลการใช้งานและการชำระเงินD. Usage and payment data

• ประวัติการสนทนากับ AI, ประวัติดวงรายวัน/รายสัปดาห์/รายเดือน
• วอลเปเปอร์และภาพที่สร้างด้วย AI
• การใช้งาน: จำนวนข้อความ จำนวนภาพ โควต้าที่ใช้ไป
• ข้อมูลการสมัครสมาชิก Premium (tier, สถานะ, วันที่ต่ออายุ) — หมายเลขบัตรเครดิตเต็ม ๆ ไม่เคยผ่านมือเรา; Stripe และ LINE Pay เป็นผู้ประมวลผลการชำระเงิน
• ข้อมูลอุปกรณ์พื้นฐาน: User-Agent, IP, ภาษา, เขตเวลา (ใช้สำหรับ rate limit และความปลอดภัย)

• AI chat history and daily/weekly/monthly fortune snapshots
• Wallpapers and AI-generated images
• Usage counters: messages sent, images generated, quotas consumed
• Premium subscription metadata (tier, status, renewal date). Full card numbers never touch our servers — Stripe and LINE Pay are the payment processors.
• Basic device info: User-Agent, IP, language, timezone (used for rate-limiting and security)

เราใช้ข้อมูลของคุณบนฐานทางกฎหมายตามมาตรา 24 และ 26 แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ฐานหลักคือความจำเป็นในการให้บริการตามสัญญา (การส่งมอบคำทำนายและฟีเจอร์ที่คุณร้องขอ)

We process your data under the lawful bases in PDPA Sections 24 and 26. The primary basis is contractual necessity — delivering the readings and features you’ve requested.

• การให้บริการและบัญชีผู้ใช้ → สัญญา (Section 24(3))
• ประวัติการแชทและคำทำนาย → สัญญา และความยินยอม (สำหรับฟีเจอร์แบบละเอียด)
• ข้อมูลบัตรประชาชน / พาสปอร์ต / ชื่อเต็ม → ความยินยอมโดยชัดแจ้ง (Section 26)
• การชำระเงิน ใบกำกับภาษี → หน้าที่ตามกฎหมาย (ภาษี) และสัญญา
• การวิเคราะห์เพื่อปรับปรุงบริการ (รวมแบบไม่ระบุตัวตน) → ผลประโยชน์โดยชอบด้วยกฎหมาย (Section 24(5))
• การส่งแจ้งเตือนผ่าน LINE OA / อีเมลทั่วไป → ความยินยอมทางการตลาด (ปิดได้ทุกเมื่อ)
• ความปลอดภัยและป้องกันการทุจริต → ผลประโยชน์โดยชอบด้วยกฎหมายและหน้าที่ตามกฎหมาย

• Account and service delivery → contract (§24(3))
• Chat history and fortune readings → contract, plus consent for detailed features
• National ID / passport / full legal name → explicit consent (§26)
• Payments and tax invoicing → legal obligation (tax) and contract
• Aggregated and anonymised analytics → legitimate interest (§24(5))
• Push notifications via LINE OA and marketing email → marketing consent (opt-out any time)
• Abuse prevention and security → legitimate interest and legal obligation

เราเก็บข้อมูลเท่าที่จำเป็นต่อวัตถุประสงค์ในการเก็บ หรือตามระยะเวลาที่กฎหมายกำหนด:

We retain data only as long as necessary for the stated purpose, or as law requires:

การลบบัญชีจะลบข้อมูลทั้งหมดยกเว้นข้อมูลที่กฎหมายกำหนดให้เก็บ (เช่น ใบกำกับภาษี) ซึ่งจะถูกเก็บแยกและเข้าถึงจำกัด

Account deletion removes all data except records law requires us to keep (e.g. tax invoices), which are stored separately with restricted access.

เราใช้ผู้ให้บริการระดับมาตรฐานอุตสาหกรรมเพื่อให้บริการ ผู้ประมวลผลทุกรายผูกพันตามข้อตกลงการประมวลผลข้อมูล (DPA) ที่สอดคล้องกับ PDPA

We use industry-standard processors to operate the Service. Each has a Data Processing Agreement that aligns with PDPA requirements.

ผู้ประมวลผลบางรายอยู่นอกประเทศไทย เราจึงส่งข้อมูลไปยังต่างประเทศตามเงื่อนไขในมาตรา 28 แห่ง PDPA การส่งทุกครั้งผ่านช่องทางที่เข้ารหัส (TLS 1.2+) และอยู่ภายใต้ DPA มาตรฐาน

Some processors operate outside Thailand, so we transfer data abroad under PDPA Section 28. All transfers use encrypted channels (TLS 1.2+) and are governed by standard DPAs.

เมื่อคุณเปิดความยินยอม “อนุญาตให้ส่งข้อมูลไปต่างประเทศ” ในขั้นตอน PDPA นั่นหมายถึงการให้ความยินยอมสำหรับการส่งข้อมูลไปยังผู้ประมวลผลที่ระบุไว้ในข้อ 5

By enabling the “cross-border transfer” consent in onboarding, you authorise transfers to the processors listed in §5.

คุณมีสิทธิทั้ง 8 ประการภายใต้ PDPA และเราทำให้การใช้สิทธิเหล่านั้นง่ายที่สุด:

You have the eight PDPA rights below. We make exercising them as simple as possible:

• สิทธิเข้าถึง/ขอสำเนา — เปิดแอป → โปรไฟล์ → ส่งออกข้อมูล (JSON)
• สิทธิแก้ไข — แก้ในหน้าโปรไฟล์หรือส่งอีเมลหา dpo@narak.in.th
• สิทธิลบ — โปรไฟล์ → ลบบัญชี (ลบถาวรภายใน 30 วัน)
• สิทธิระงับการประมวลผล — ส่งอีเมลหา dpo@narak.in.th
• สิทธิโอนย้ายข้อมูล — ใช้ปุ่ม “ส่งออกข้อมูล” ในหน้าโปรไฟล์
• สิทธิคัดค้าน — ปิดการแจ้งเตือน/การตลาดในหน้าโปรไฟล์
• สิทธิถอนความยินยอม — สลับสวิตช์ PDPA ในหน้าโปรไฟล์ → ความยินยอม
• สิทธิร้องเรียน — ยื่นเรื่องต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)

• Access / copy — open the app → Profile → Export my data (JSON)
• Rectification — edit inside Profile, or email dpo@narak.in.th
• Erasure — Profile → Delete account (permanent within 30 days)
• Restriction — email dpo@narak.in.th
• Portability — use the “Export my data” button in Profile
• Objection — disable notifications/marketing in Profile
• Withdraw consent — flip any PDPA toggle in Profile → Consents
• Lodge a complaint — file with the Personal Data Protection Committee (PDPC)

เราใช้คุกกี้และที่จัดเก็บข้อมูลในเบราว์เซอร์เท่าที่จำเป็น:

We use cookies and browser storage only where necessary:

• Session cookie (narak_user_session) — จำเป็นเพื่อให้คุณล็อกอินค้างไว้
• Admin cookie (narak_admin_session) — สำหรับทีมงานเท่านั้น
• localStorage — เก็บการตั้งค่าภาษา (TH/EN), โหมด และโปรไฟล์ชั่วคราวระหว่างโหลดหน้า
• เราไม่ใช้คุกกี้ติดตามเพื่อโฆษณาบุคคลที่สาม

• Session cookie (narak_user_session) — required to keep you signed in
• Admin cookie (narak_admin_session) — staff only
• localStorage — language preference (TH/EN), theme, and transient profile state
• We do not use third-party advertising trackers.

Narak ให้บริการสำหรับผู้ที่มีอายุ 18 ปีขึ้นไป หากเราพบว่าเจ้าของข้อมูลเป็นผู้เยาว์โดยไม่ได้รับความยินยอมจากผู้ปกครองตามกฎหมาย เราจะลบบัญชีและข้อมูลทั้งหมดทันที

Narak is for users aged 18 and above. If we learn that an account was opened by a minor without legal-guardian consent, we will delete the account and all associated data immediately.

• ข้อมูลทั้งหมดส่งผ่าน HTTPS (TLS 1.2 ขึ้นไป)
• TOTP secret และข้อมูลละเอียดอ่อนเข้ารหัสด้วย AES-GCM ก่อนบันทึก
• รหัสผ่านแอดมินเข้ารหัสด้วย bcrypt ไม่สามารถย้อนกลับได้
• Session ใช้ iron-session (cookie เข้ารหัส) ไม่เก็บ session token ฝั่งเซิร์ฟเวอร์ที่ไม่เข้ารหัส
• การเข้าถึงฐานข้อมูลและพื้นที่เก็บไฟล์จำกัดเฉพาะระบบอัตโนมัติและผู้ดูแลที่ได้รับอนุญาต
• บันทึกการเข้าถึงระบบของแอดมินและเตือนเมื่อมีกิจกรรมผิดปกติ

• All data is transmitted over HTTPS (TLS 1.2+)
• TOTP secrets and sensitive fields are AES-GCM-encrypted at rest
• Admin passwords are bcrypt-hashed (non-reversible)
• Sessions use iron-session encrypted cookies; we don't store unencrypted server-side session tokens
• Database and storage access is restricted to automated processes and authorised staff
• Admin access is logged and anomalous activity is flagged

หากคุณเห็นว่าเราไม่ปฏิบัติตามกฎหมาย PDPA โปรดติดต่อเราทาง dpo@narak.in.th ก่อน — เราจะพยายามแก้ไขภายใน 7 วันทำการ หากยังไม่พอใจคุณสามารถยื่นเรื่องต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ได้โดยตรงที่ pdpc.or.th

If you believe we’ve fallen short of the PDPA, please contact us at dpo@narak.in.th first — we’ll aim to resolve within 7 business days. If unsatisfied, you may file a complaint with the Personal Data Protection Committee (PDPC) at pdpc.or.th.

เราอาจปรับปรุงนโยบายนี้เมื่อบริการเปลี่ยนแปลง การเปลี่ยนแปลงสำคัญจะแจ้งในแอปและทางอีเมลก่อนมีผลบังคับใช้ เวอร์ชันล่าสุด: 1.0.0 (2026-04-19)

We may update this policy as the Service evolves. Material changes will be announced in-app and by email before taking effect. Current version: 1.0.0 (2026-04-19).