นโยบายความเป็นส่วนตัว

นโยบายความเป็นส่วนตัวนี้อธิบายว่า Swopli LTDA ("Swopli", "เรา", "ของเรา") เก็บรวบรวม ใช้ แบ่งปัน และคุ้มครองข้อมูลส่วนบุคคลอย่างไรเมื่อคุณใช้แพลตฟอร์ม Swopli -- เว็บไซต์ แอปพลิเคชันมือถือ และบริการที่เกี่ยวข้องของเรา (รวมเรียกว่า "แพลตฟอร์ม") Swopli เป็นตลาดแลกเปลี่ยนแบบ peer-to-peer ที่ทำให้ผู้ใช้สามารถแลกเปลี่ยนสินค้าและบริการกันโดยตรง โดยไม่มีธุรกรรมทางการเงินระหว่างผู้ใช้

นโยบายนี้จัดเป็นส่วน Global Baseline ซึ่งใช้กับผู้ใช้ทั่วโลก ตามด้วยส่วนเฉพาะเขตอำนาจศาลที่ให้สิทธิ การเปิดเผยข้อมูล และความคุ้มครองเพิ่มเติมตามที่กฎหมายท้องถิ่นกำหนด หากคุณพำนักอยู่ในเขตอำนาจศาลที่ครอบคลุมในส่วนเฉพาะด้านล่าง ส่วนนั้นจะเพิ่มเติมจาก Global Baseline (และในกรณีที่ขัดกัน จะมีผลเหนือกว่า Global Baseline)

ผู้ควบคุมข้อมูล: Swopli LTDA CNPJ: 61.902.473/0001-79 Rua Alm Protogenes 289, Sala 122, Cond Office Jd Negocios C, Jardim, Santo Andre/SP, CEP 09090-760, Brazil

Data Protection Officer (DPO): อีเมล: dpo@swopli.com

---

Global Baseline

ส่วนนี้ใช้กับผู้ใช้ Swopli ทุกคนในประเทศที่ Swopli เปิดให้ใช้ฟีเจอร์ที่เกี่ยวข้องตาม ตารางความพร้อมใช้งานของฟีเจอร์ เราใช้หลักการ GDPR-first เป็นมาตรฐานทั่วโลกของเรา ซึ่งหมายความว่าผู้ใช้ทุกคนได้รับมาตรฐานการคุ้มครองข้อมูลระดับสูงโดยไม่ขึ้นกับข้อกำหนดของกฎหมายท้องถิ่น

ข้อมูลที่เราเก็บรวบรวม

ข้อมูลที่คุณให้

หมวดหมู่	เก็บเมื่อใด	ตัวอย่าง
การระบุตัวตน	การลงทะเบียน	ชื่อเต็ม username, email, phone (E.164), date of birth
โปรไฟล์	Onboarding	รูปภาพ ประวัติย่อ เมือง ภาษาที่ต้องการ
ที่อยู่	การเปิดใช้การจัดส่ง	ถนน เลขที่ รายละเอียดเพิ่มเติม รหัสไปรษณีย์ เมือง รัฐ ประเทศ
เนื้อหา	การใช้แพลตฟอร์ม	สินค้าที่ลงรายการ รูปภาพ คำอธิบาย ข้อความ รีวิว
การชำระเงิน	การซื้อ VIP/Boost	ข้อมูลการชำระเงินที่ประมวลผลโดย RevenueCat (iOS/Android), Paddle (web) หรือ Stripe (Swap Protection) -- Swopli ไม่จัดเก็บหมายเลขบัตร

ข้อมูลที่เก็บรวบรวมโดยอัตโนมัติ

หมวดหมู่	วิธีเก็บรวบรวม	วัตถุประสงค์
ตัวระบุทางเทคนิค	Server logs	IP address, user agent, device identifier
การใช้งานแพลตฟอร์ม	เหตุการณ์ในแอป	หน้าที่เข้าชม การกระทำที่ดำเนินการ timestamps
ตำแหน่งโดยประมาณ	IP geolocation (อัตโนมัติ)	การตรวจจับเขตอำนาจศาลสำหรับ cookie banner การป้องกันการฉ้อโกง
ตำแหน่งที่แม่นยำ	สิทธิ์อุปกรณ์แบบ opt-in	ตัวกรองรัศมีค้นหา (ความแม่นยำ ~100m)
คุกกี้ฟังก์ชัน	เบราว์เซอร์	เซสชัน ภาษาที่ต้องการ ความยินยอมคุกกี้
คุกกี้วิเคราะห์	เบราว์เซอร์ หลังให้ความยินยอม	เหตุการณ์การใช้งาน PostHog (โฮสต์ใน EU: eu.posthog.com)

ข้อมูลจากบุคคลภายนอก

เมื่อคุณสมัครผ่าน Google, Apple หรือ Facebook เราได้รับข้อมูลจากผู้ให้บริการดังกล่าว ได้แก่ อีเมล ชื่อเต็ม (หากอนุญาต) รูปโปรไฟล์ (หากอนุญาต) และตัวระบุผู้ให้บริการที่ไม่ซ้ำกัน เราไม่ได้รับรหัสผ่านบัญชีผู้ให้บริการของคุณ

วัตถุประสงค์และฐานทางกฎหมาย

วัตถุประสงค์	ฐานทางกฎหมาย	GDPR Reference
การลงทะเบียนและการดำเนินบัญชี	Performance of contract	Art. 6(1)(b)
การอำนวยความสะดวกในการแลกเปลี่ยนระหว่างผู้ใช้	Performance of contract	Art. 6(1)(b)
การประมวลผลการชำระเงิน VIP/Boost/ค่าจัดส่ง	Performance of contract	Art. 6(1)(b)
การสื่อสารธุรกรรม (การแจ้งเตือนการแลกเปลี่ยน ข้อความ)	Performance of contract	Art. 6(1)(b)
การปฏิบัติตามภาษีและกฎระเบียบ	Legal obligation	Art. 6(1)(c)
การป้องกันการฉ้อโกงและความปลอดภัยของแพลตฟอร์ม	Legitimate interest	Art. 6(1)(f)
การปรับปรุงแพลตฟอร์มผ่าน analytics (PostHog)	Consent	Art. 6(1)(a)
การระงับข้อพิพาทระหว่างผู้ใช้	Performance of contract + Legitimate interest	Art. 6(1)(b) + Art. 6(1)(f)
การปฏิบัติตามคำสั่งศาลหรือคำขอจากหน่วยงาน	Legal obligation	Art. 6(1)(c)

เรา ไม่ ใช้ข้อมูลส่วนบุคคลของคุณเพื่อ: การตัดสินใจอัตโนมัติหรือการทำ profiling ที่ก่อผลทางกฎหมาย (GDPR Art. 22), การขายข้อมูลของคุณให้บุคคลภายนอก หรือ targeted advertising โดยอาศัยข้อมูลส่วนบุคคลของคุณ

ผู้ประมวลผลย่อย

Swopli แบ่งปันข้อมูลส่วนบุคคลกับผู้ประมวลผลย่อยต่อไปนี้ โดยแต่ละรายดำเนินงานภายใต้ Data Processing Agreement (DPA):

ผู้ประมวลผลย่อย	วัตถุประสงค์	สถานที่	กลไกการโอน
Supabase (AWS sa-east-1)	โฮสต์ฐานข้อมูล การยืนยันตัวตน พื้นที่จัดเก็บไฟล์	Brazil (AWS sa-east-1) -- Supabase Inc. มีฐานใน US	ภายในประเทศสำหรับผู้ใช้ Brazil; SCCs Module 2 สำหรับผู้ใช้ระหว่างประเทศ
Stripe Inc	การชำระเงินการแลกเปลี่ยนแบบ Swap Protection การรับประกันการจัดส่ง KYC Connect (ผู้ขาย)	USA	SCCs Module 2 + DPF
RevenueCat Inc	การจัดการสมาชิกข้ามแพลตฟอร์ม (iOS/Android/Web), Customer Center, การจัดการสิทธิ VIP	USA	SCCs Module 2 + UK IDTA (International Data Transfer Addendum) -- not DPF certified
Paddle.com Market Limited	Merchant of Record สำหรับ web checkout (VIP/Boost), การจัดเก็บภาษีทั่วโลก, การแปลงสกุลเงินอัตโนมัติ	UK + USA	UK adequacy decision (Commission Implementing Decision (EU) 2025/2574 amending Decision (EU) 2021/1772, valid until 2031-12-27); EU SCCs with UK Approved Addendum for UK→US
Apple Inc / Google LLC	การแจ้งเตือน push + การประมวลผล In-App Purchase (merchant-of-record สำหรับ iOS/Android)	USA	Platform DPAs; In-App Purchase (IAP) scope
Resend	การส่งอีเมลธุรกรรม	USA	SCCs Module 3
Cloudflare	CDN, DDoS protection, IP geolocation สำหรับ cookie banner	Global	SCCs Module 3; EU representative appointed
PostHog	Product analytics (consent-gated ใน EU/UK/CH)	EU (Frankfurt)	ไม่มีการโอน (โฮสต์ใน EU)
Sentry	การติดตามข้อผิดพลาด (นำ PII ออกก่อนส่ง)	USA	SCCs Module 3
Nominatim	Reverse geocoding สำหรับการแสดงตำแหน่ง	EU (self-hosted OSM)	ไม่มีการโอน (โฮสต์ใน EU)
OpenAI OpCo, LLC / OpenAI Ireland Ltd.	การกลั่นกรองเนื้อหาอัตโนมัติและการตรวจทาน trust & safety	สหรัฐอเมริกา / Ireland (ตามที่ใช้บังคับ)	SCCs Module 2 + UK Addendum; OpenAI DPA
Melhor Envio	การสร้างป้ายจัดส่งและการติดตาม (เฉพาะ Brazil)	Brazil	ไม่มีการโอน (ภายในประเทศ)

สำหรับรายชื่อผู้ประมวลผลย่อยฉบับสมบูรณ์พร้อมการควบคุมเวอร์ชัน บันทึกการเปลี่ยนแปลง และการแจ้งอัปเดต 30 วัน โปรดดู รายชื่อผู้ประมวลผลย่อย ของเรา

การเก็บรักษาข้อมูล

หมวดหมู่	ระยะเวลาเก็บรักษา	เหตุผล
ข้อมูลบัญชีที่ใช้งานอยู่	ตราบเท่าที่บัญชีมีอยู่	การดำเนินบริการ
ข้อความระหว่างผู้ใช้	ตราบเท่าที่บัญชีมีอยู่; ลบเมื่อมีการลบบัญชี	บริบทการแลกเปลี่ยน
บันทึกธุรกรรมทางการเงิน	5 ปีหลังธุรกรรม	หน้าที่ด้านภาษี (Brazil: Art. 173 CTN; EU: แตกต่างกันตามรัฐสมาชิก)
Server access logs	6 เดือน	การติดตามความปลอดภัย
Security audit logs	1 ปี	ประโยชน์ด้านความปลอดภัยโดยชอบด้วยกฎหมาย
ข้อมูล Analytics (PostHog)	12 เดือน (ตัวระบุที่ทำให้ไม่ระบุตัวตน)	การปรับปรุงผลิตภัณฑ์ (อาศัยความยินยอม)
Error reports (Sentry)	90 วัน	รอบการแก้ไขบั๊ก
ข้อมูลที่ทำให้ไม่ระบุตัวตน/รวมเชิงสถิติ	ไม่มีกำหนด	ไม่เป็นข้อมูลส่วนบุคคลอีกต่อไป

หลังพ้นระยะเวลาที่ใช้บังคับ ข้อมูลจะถูกลบถาวรหรือทำให้ไม่ระบุตัวตนอย่างไม่อาจย้อนกลับได้ เราทบทวนระยะเวลาเก็บรักษาเป็นประจำทุกปี

มาตรการรักษาความปลอดภัย

เราใช้มาตรการทางเทคนิคและองค์กรเพื่อคุ้มครองข้อมูลของคุณ:

• การเข้ารหัสระหว่างส่ง: การเชื่อมต่อทั้งหมดใช้ TLS 1.2+
• การเข้ารหัสขณะจัดเก็บ: ข้อมูลละเอียดอ่อนเข้ารหัสโดยผู้ให้บริการโครงสร้างพื้นฐาน (Supabase, Stripe)
• การควบคุมการเข้าถึง: Row Level Security (RLS) ในฐานข้อมูลป้องกันการเข้าถึงข้อมูลข้ามผู้ใช้
• การยืนยันตัวตน: การยืนยันตัวตนแบบ OAuth (Google, Apple) พร้อมการจัดการเซสชันที่ปลอดภัยผ่าน Supabase Auth
• การติดตามข้อผิดพลาด: Sentry สำหรับตรวจจับเหตุการณ์ (นำ PII ออก)
• Audit logging: การกระทำที่ละเอียดอ่อนถูกบันทึกพร้อมผู้กระทำ timestamp และประเภทการกระทำ
• การจัดการ dependency: มีการใช้การอัปเดตความปลอดภัยอย่างสม่ำเสมอ

แม้มีมาตรการเหล่านี้ ไม่มีระบบใดปลอดภัย 100% หากเกิดการละเมิดข้อมูลที่กระทบข้อมูลส่วนบุคคลของคุณ เราจะแจ้งคุณและหน่วยงานที่เกี่ยวข้องตามที่กฎหมายที่ใช้บังคับกำหนด (72 hours for EU supervisory authorities per GDPR Art. 33; "reasonable time" for ANPD per LGPD Art. 48)

ข้อจำกัดอายุ

Swopli ไม่ได้มีไว้สำหรับบุคคลที่มีอายุต่ำกว่า 18 ปี เราไม่เก็บรวบรวมข้อมูลส่วนบุคคลจากผู้เยาว์โดยเจตนา เราตรวจสอบอายุผ่านวันเกิดที่ให้ไว้ตอนลงทะเบียน หากเราพบบัญชีของผู้เยาว์ เราจะปิดใช้งานทันทีและลบข้อมูลที่เกี่ยวข้อง

หากคุณเป็นบิดามารดาหรือผู้ปกครองตามกฎหมาย และเชื่อว่าผู้เยาว์ได้สร้างบัญชี โปรดติดต่อ dpo@swopli.com เพื่อให้ลบออกทันที

สิทธิของคุณ (ทั่วโลก)

ผู้ใช้ทุกคน ไม่ว่าอยู่ในเขตอำนาจศาลใด อาจใช้สิทธิดังต่อไปนี้:

สิทธิ	วิธีใช้สิทธิ
เข้าถึง	Settings > Privacy & Data > Export My Data (ดาวน์โหลด ZIP) หรืออีเมล dpo@swopli.com
แก้ไขให้ถูกต้อง	Settings > Edit Profile หรืออีเมล dpo@swopli.com
ลบ	Settings > Privacy & Data > Delete My Account (hard delete ถาวรภายใน 24 ชั่วโมง)
โอนย้ายข้อมูล	การส่งออกให้ไฟล์ JSON ที่มีโครงสร้างใน ZIP archive
ถอนความยินยอม	Settings > Email Notifications; /th/khwam-pen-suan-tua/kan-tang-kha สำหรับคุกกี้
คัดค้าน	อีเมล dpo@swopli.com สำหรับการประมวลผลที่อาศัย legitimate interest
ร้องเรียน	ติดต่อหน่วยงานคุ้มครองข้อมูลท้องถิ่นของคุณ (โปรดดูส่วนเขตอำนาจศาลด้านล่าง)

เวลาตอบกลับ: สูงสุด 30 วัน (ขยายได้ 60 วันสำหรับคำขอซับซ้อน พร้อมแจ้งให้ทราบ) การใช้สิทธิเหล่านี้ไม่มีค่าใช้จ่าย

แบบฟอร์มเว็บ: ส่งคำขอของเจ้าของข้อมูลที่ swopli.com/th/khwam-pen-suan-tua/khomun-khong-chan หรืออีเมล dpo@swopli.com

คุกกี้

Swopli ใช้คุกกี้และเทคโนโลยีที่คล้ายกันบนเว็บไซต์ของตน สำหรับรายละเอียดทั้งหมดเกี่ยวกับคุกกี้ที่เราใช้ วัตถุประสงค์ ระยะเวลาเก็บรักษา และวิธีจัดการ โปรดดู นโยบายคุกกี้ ของเรา

• EU/EEA/UK/CH: cookie banner เมื่อเยี่ยมชมครั้งแรก; ต้อง opt-in สำหรับคุกกี้ที่ไม่จำเป็น
• เขตอำนาจศาลอื่น: notice banner พร้อม opt-out สำหรับ analytics; คุกกี้ที่จำเป็นอย่างเคร่งครัดใช้งานอยู่เสมอ
• ผู้ใช้ทั้งหมด: จัดการค่ากำหนดได้ทุกเมื่อที่ /th/khwam-pen-suan-tua/kan-tang-kha

การเปลี่ยนแปลงนโยบายนี้

เราอาจอัปเดตนโยบายความเป็นส่วนตัวนี้เพื่อสะท้อนการเปลี่ยนแปลงในแนวปฏิบัติ เทคโนโลยี หรือข้อกำหนดทางกฎหมายของเรา

การเปลี่ยนแปลงที่มีนัยสำคัญ (กระทบสิทธิของคุณ หมวดหมู่ข้อมูล หรือวัตถุประสงค์การประมวลผล): แจ้งล่วงหน้าอย่างน้อย 30 วัน ทางอีเมลและ/หรือการแจ้งเตือนในแอป พร้อมคำอธิบายการเปลี่ยนแปลงอย่างชัดเจน

การเปลี่ยนแปลงที่ไม่มีนัยสำคัญ (คำชี้แจงให้ชัดเจนขึ้น การจัดรูปแบบ): อาจมีผลโดยไม่ต้องแจ้งล่วงหน้า วันที่ "อัปเดตล่าสุด" จะแสดงการแก้ไขล่าสุดเสมอ

---

Brazil (LGPD)

ใช้กับ: ผู้ใช้ที่พำนักอยู่ใน Brazil กฎหมายที่ใช้บังคับ: Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018)

ผู้ควบคุมข้อมูลและ DPO

Swopli LTDA เป็นผู้ควบคุมข้อมูล (controlador) ของข้อมูลส่วนบุคคลของคุณภายใต้ LGPD

Data Protection Officer (DPO): อีเมล: dpo@swopli.com ที่อยู่ทางไปรษณีย์: Rua Alm Protogenes 289, Sala 122, Cond Office Jd Negocios C, Jardim, Santo Andre/SP, CEP 09090-760 (Designated as "Encarregado" under LGPD Art. 41)

DPO รับผิดชอบในการ: รับข้อร้องเรียนและการสื่อสารจากเจ้าของข้อมูล; รับการสื่อสารจาก ANPD; ให้คำแนะนำแก่พนักงานและผู้รับเหมาเกี่ยวกับแนวปฏิบัติด้านการคุ้มครองข้อมูล; และปฏิบัติหน้าที่ที่ผู้ควบคุมมอบหมาย (Art. 41 LGPD)

ฐานทางกฎหมายภายใต้ LGPD

LGPD กำหนดฐานทางกฎหมายเฉพาะสำหรับการประมวลผลข้อมูลส่วนบุคคล (Art. 7) เราอาศัย:

วัตถุประสงค์	ฐานทางกฎหมาย	LGPD Article
การสร้างบัญชีและการให้บริการ	Performance of contract	Art. 7, V
หน้าที่ด้านภาษีและกฎระเบียบ	Legal obligation	Art. 7, II
การป้องกันการฉ้อโกง ความปลอดภัยของแพลตฟอร์ม	Legitimate interest	Art. 7, IX
Analytics (PostHog)	Consent	Art. 7, I
การใช้สิทธิในกระบวนการทางกฎหมาย	Exercise of rights	Art. 7, VI
การคุ้มครองเครดิต (การตรวจสอบผู้ขาย)	Credit protection	Art. 7, X

สิทธิของคุณภายใต้ LGPD (Art. 18)

นอกเหนือจากสิทธิที่ระบุใน Global Baseline ผู้ใช้ชาว Brazil มีสิทธิเฉพาะต่อไปนี้ภายใต้ Art. 18 of the LGPD:

1. การยืนยันการประมวลผล -- ยืนยันว่าเราประมวลผลข้อมูลส่วนบุคคลของคุณหรือไม่
2. การเข้าถึง -- รับสำเนาข้อมูลส่วนบุคคลของคุณ
3. การแก้ไข -- แก้ไขข้อมูลที่ไม่สมบูรณ์ ไม่ถูกต้อง หรือไม่เป็นปัจจุบัน
4. การทำให้ไม่ระบุตัวตน การบล็อก หรือการลบ -- สำหรับข้อมูลที่ไม่จำเป็น เกินความจำเป็น หรือไม่เป็นไปตามกฎหมาย
5. การโอนย้ายข้อมูล -- โอนข้อมูลของคุณไปยังผู้ให้บริการรายอื่น (Art. 18, V)
6. การลบ -- ข้อมูลส่วนบุคคลที่ประมวลผลด้วยความยินยอมของคุณ เมื่อถอนความยินยอม
7. ข้อมูลเกี่ยวกับการแบ่งปัน -- ทราบว่าข้อมูลของคุณถูกแบ่งปันกับหน่วยงานสาธารณะและเอกชนใด
8. ข้อมูลเกี่ยวกับความยินยอม -- ได้รับแจ้งเกี่ยวกับความเป็นไปได้และผลของการไม่ให้ความยินยอม
9. การถอนความยินยอม -- ถอนความยินยอมได้ทุกเมื่อ (Art. 18, IX)

การจัดเก็บข้อมูลในประเทศ

ข้อมูลบัญชีหลักของคุณจัดเก็บใน Brazil (Supabase AWS sa-east-1, São Paulo region) การโอนระหว่างประเทศไปยังผู้ประมวลผลย่อย (Stripe, RevenueCat, Sentry, Resend, Cloudflare -- ทั้งหมดมีฐานใน USA) อยู่ภายใต้ Standard Contractual Clauses และเป็นไปตาม LGPD Art. 33

ภาษา

นโยบายความเป็นส่วนตัวนี้มีให้ในภาษา Portuguese (pt-BR) ตามที่กฎหมายคุ้มครองผู้บริโภคของ Brazil กำหนด (CDC Art. 31) ในกรณีที่มีความขัดแย้งระหว่างเวอร์ชัน Portuguese และ English เวอร์ชัน Portuguese มีผลเหนือกว่าสำหรับผู้ใช้ชาว Brazil

หน่วยงานกำกับดูแล

Autoridade Nacional de Proteção de Dados (ANPD) เว็บไซต์: https://www.gov.br/anpd อีเมล: comunicacao@anpd.gov.br

---

EU/UK/CH (GDPR)

ใช้กับ: ผู้ใช้ที่พำนักอยู่ใน European Economic Area (30 ประเทศ), United Kingdom และ Switzerland กฎหมายที่ใช้บังคับ: General Data Protection Regulation (GDPR — Regulation (EU) 2016/679), UK GDPR (UK Data Protection Act 2018), Swiss Federal Act on Data Protection (FADP/nDSG)

ผู้แทน EU (Art. 27 GDPR)

เนื่องจาก Swopli LTDA จัดตั้งอยู่นอก EU เราอยู่ระหว่างการแต่งตั้งผู้แทน EU ตาม Art. 27 GDPR และผู้แทน UK ตาม UK GDPR Art. 27:

ผู้แทน EU/UK: อยู่ระหว่างการแต่งตั้ง -- รายละเอียดจะเผยแพร่ที่นี่เมื่อเสร็จสิ้น ติดต่อ dpo@swopli.com ในระหว่างนี้

ผู้แทนที่ได้รับแต่งตั้งจะทำหน้าที่เป็นผู้แทนของเราภายใต้ Art. 13 of the Digital Services Act (DSA) ด้วย

ฐานทางกฎหมาย (Art. 6 GDPR)

เราประมวลผลข้อมูลส่วนบุคคลของคุณตามฐานทางกฎหมายที่อธิบายในส่วน Global Baseline เมื่อเราอาศัย legitimate interest (Art. 6(1)(f)) เราได้จัดทำการทดสอบถ่วงดุล (Legitimate Interest Assessments) เพื่อให้มั่นใจว่าประโยชน์ของเราไม่อยู่เหนือสิทธิและเสรีภาพขั้นพื้นฐานของคุณ คุณอาจขอรายละเอียดของการประเมินเหล่านี้ได้โดยติดต่อ dpo@swopli.com

เมื่อเราอาศัย consent (Art. 6(1)(a)) คุณอาจถอนความยินยอมได้ทุกเมื่อผ่าน Settings > Privacy & Data หรือ /th/khwam-pen-suan-tua/kan-tang-kha การถอนความยินยอมไม่กระทบความชอบด้วยกฎหมายของการประมวลผลที่อาศัยความยินยอมก่อนการถอน

สิทธิ GDPR ของคุณ (Art. 15-22)

นอกเหนือจากสิทธิใน Global Baseline ผู้ใช้ EU/UK/CH มีสิทธิเฉพาะดังต่อไปนี้:

• Right of Access (Art. 15): รับการยืนยันการประมวลผลและสำเนาข้อมูลของคุณ รวมถึงข้อมูลเกี่ยวกับวัตถุประสงค์ หมวดหมู่ ผู้รับ ระยะเวลาเก็บรักษา และมาตรการคุ้มครองสำหรับการโอนระหว่างประเทศ
• Right to Rectification (Art. 16): ให้แก้ไขข้อมูลที่ไม่ถูกต้องและเติมเต็มข้อมูลที่ไม่สมบูรณ์
• Right to Erasure (Art. 17): ขอให้ลบข้อมูลส่วนบุคคลของคุณ ("right to be forgotten") การลบบัญชีผ่าน Settings เป็นการลบถาวร (hard delete ภายใน 24 ชั่วโมง) ข้อยกเว้น: หน้าที่ตามกฎหมาย การต่อสู้ข้อเรียกร้องทางกฎหมาย ประโยชน์สาธารณะ
• Right to Restriction of Processing (Art. 18): จำกัดการประมวลผลเมื่อคุณโต้แย้งความถูกต้อง การประมวลผลไม่ชอบด้วยกฎหมาย เราไม่ต้องการข้อมูลอีกต่อไป หรือคุณคัดค้านระหว่างรอการตรวจสอบ
• Right to Data Portability (Art. 20): รับข้อมูลของคุณในรูปแบบที่มีโครงสร้าง ใช้กันทั่วไป และเครื่องอ่านได้ (JSON ใน ZIP)
• Right to Object (Art. 21): คัดค้านการประมวลผลที่อาศัย legitimate interest เราจะหยุดการประมวลผลเว้นแต่เราจะแสดงเหตุอันชอบด้วยกฎหมายที่มีน้ำหนักเหนือกว่าได้
• Right Not to Be Subject to Automated Decisions (Art. 22): Swopli ไม่ทำคำตัดสินที่อาศัยการประมวลผลอัตโนมัติเพียงอย่างเดียวและก่อผลทางกฎหมายเกี่ยวกับคุณ

การโอนระหว่างประเทศ (Chapter V)

การโอนข้อมูลส่วนบุคคลออกนอก EEA/UK/CH เป็นไปตาม GDPR Chapter V ผ่านกลไกต่อไปนี้:

• EU→Brazil (Supabase): Standard Contractual Clauses (SCCs) Module 2 (controller-to-processor), adopted by European Commission Decision 2021/914, supplemented by Transfer Impact Assessment (TIA)
• EU→USA (Stripe): SCCs Module 2 + EU-U.S. Data Privacy Framework (DPF) where applicable
• EU→USA (RevenueCat): SCCs Module 2 + UK IDTA (International Data Transfer Addendum). RevenueCat is not DPF certified.
• EU→UK (Paddle): UK adequacy decision (Commission Implementing Decision (EU) 2025/2574 of 19 December 2025, amending Decision (EU) 2021/1772, valid until 2031-12-27). UK→USA sub-processors covered by EU SCCs with UK Approved Addendum.
• EU→USA (Sentry, Resend, Cloudflare): SCCs Module 3 (processor-to-processor) + TIA
• EU→EU (PostHog): ไม่ต้องมีการโอน -- โฮสต์ใน Frankfurt

คุณอาจขอสำเนา SCCs และ TIAs ที่ใช้บังคับได้โดยติดต่อ dpo@swopli.com

ความยินยอมคุกกี้ (ePrivacy Directive)

คุกกี้ที่ไม่จำเป็น (analytics, marketing) ต้องได้รับความยินยอมแบบ opt-in ล่วงหน้าจากคุณในเขตอำนาจศาล EU/EEA/UK/CH cookie banner ของเราจะแสดงเมื่อเยี่ยมชมครั้งแรก และให้คุณยอมรับทั้งหมด ปฏิเสธคุกกี้ที่ไม่จำเป็น หรือปรับแต่งตามหมวดหมู่ โปรดดูรายละเอียดใน นโยบายคุกกี้ ของเรา

การปฏิบัติตาม DSA

Swopli ปฏิบัติตาม Digital Services Act (Regulation (EU) 2022/2065) ในฐานะบริการโฮสต์ แนวปฏิบัติการกลั่นกรองเนื้อหา ขั้นตอน notice-and-action และหน้าที่ด้านความโปร่งใสของเราระบุไว้ใน นโยบายการกลั่นกรองและการนำเนื้อหาออก

หน่วยงานกำกับดูแล

คุณมีสิทธิยื่นเรื่องร้องเรียนต่อหน่วยงานกำกับดูแลของประเทศที่คุณพำนักอยู่:

• รายชื่อหน่วยงาน EEA ทั้งหมด: https://edpb.europa.eu/about-edpb/about-edpb/members_en
• UK Information Commissioner's Office (ICO): https://ico.org.uk/make-a-complaint/
• Swiss Federal Data Protection and Information Commissioner (FDPIC): https://www.edoeb.admin.ch/

---

United States

ใช้กับ: ผู้ใช้ที่พำนักอยู่ใน United States กฎหมายที่ใช้บังคับ: California Consumer Privacy Act (CCPA), as amended by the California Privacy Rights Act (CPRA); Virginia Consumer Data Protection Act (VCDPA); Colorado Privacy Act (CPA); และกฎหมายความเป็นส่วนตัวระดับรัฐอื่นที่ใช้บังคับ

Swopli ใช้ CCPA/CPRA เป็น US-wide baseline โดยให้ความคุ้มครองระดับ California แก่ผู้ใช้ US ทุกคนโดยไม่ขึ้นกับรัฐที่พำนัก

หมวดหมู่ข้อมูลส่วนบุคคล (CCPA Disclosure)

ภายใต้ CCPA section 1798.100 and 1798.110 เราเปิดเผยหมวดหมู่ข้อมูลส่วนบุคคลที่เก็บรวบรวมในช่วง 12 เดือนที่ผ่านมา:

หมวดหมู่ CCPA	เก็บรวบรวมหรือไม่	ตัวอย่าง	วัตถุประสงค์ทางธุรกิจ
A. Identifiers	ใช่	ชื่อ อีเมล username, IP address, device ID, OAuth ID	การดำเนินบัญชี การสื่อสาร
B. Cal. Civ. Code 1798.80(e)	ใช่	ชื่อ ที่อยู่ (เมื่อให้เพื่อการจัดส่ง)	บริการแพลตฟอร์ม การจัดส่ง
C. Protected classifications	ใช่	วันเกิด (ใช้ตรวจสอบอายุเท่านั้น)	การตรวจสอบคุณสมบัติ
D. Commercial information	ใช่	สินค้าที่ลงรายการ ประวัติการแลกเปลี่ยน การซื้อ VIP/Boost	บริการแพลตฟอร์ม analytics
F. Internet activity	ใช่	ประวัติการเรียกดูบนแพลตฟอร์ม การโต้ตอบ analytics events	Analytics การปรับปรุง การป้องกันการฉ้อโกง
G. Geolocation	ใช่	โดยประมาณ (IP); แม่นยำเฉพาะเมื่อยินยอม (รัศมีค้นหา)	การค้นหา การป้องกันการฉ้อโกง
K. Inferences	ใช่	หมวดหมู่ความสนใจในสินค้า รูปแบบการมีส่วนร่วม	การปรับปรุงแพลตฟอร์ม

หมวดหมู่ E, H, I, J, L: ไม่เก็บรวบรวม

RevenueCat ได้รับ Category A (identifiers) และ Category D (purchase data) Paddle ได้รับ Category A, Category D และตัวเลข 4 หลักสุดท้ายของบัตร ทั้งสองรายไม่ได้เพิ่มหมวดหมู่ CCPA อื่นนอกเหนือจากที่เปิดเผยข้างต้น

เราไม่ขายหรือแบ่งปันข้อมูลของคุณ

Swopli ไม่ ขายข้อมูลส่วนบุคคลตามนิยามใน CCPA section 1798.140(ad) Swopli ไม่ แบ่งปันข้อมูลส่วนบุคคลเพื่อ cross-context behavioral advertising ตามนิยามใน CCPA section 1798.140(ah)

หากสิ่งนี้เปลี่ยนแปลงในอนาคต เราจะให้ลิงก์ "ห้ามขายหรือแบ่งปันข้อมูลส่วนบุคคลของฉัน" ที่เห็นได้ชัดตามที่ CCPA section 1798.135 กำหนด ลิงก์ ห้ามขายหรือแบ่งปัน มีอยู่ใน footer ของเว็บไซต์ของเรา

สิทธิ CCPA/CPRA ของคุณ

ผู้ใช้ US ทุกคนอาจใช้สิทธิเหล่านี้:

• Right to Know (§1798.100): ขอเปิดเผยหมวดหมู่และชิ้นข้อมูลส่วนบุคคลเฉพาะที่เก็บรวบรวม แหล่งที่มา วัตถุประสงค์ และผู้รับบุคคลภายนอก
• Right to Delete (§1798.105): ขอให้ลบข้อมูลส่วนบุคคล ผ่าน Settings > Privacy & Data > Delete My Account หรืออีเมล dpo@swopli.com
• Right to Correct (CPRA): ขอแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้อง ผ่าน Settings > Edit Profile
• Right to Opt-Out of Sale/Sharing (§1798.120): ปัจจุบันไม่ใช้บังคับ -- เราไม่ขายหรือแบ่งปัน
• Right to Limit Sensitive PI (§1798.121): เราเก็บเฉพาะวันเกิดเป็น sensitive PI และใช้เพื่อยืนยันอายุเท่านั้น ไม่มีการใช้อื่นเพิ่มเติม
• Right to Non-Discrimination (§1798.125): เราจะไม่เลือกปฏิบัติต่อคุณเพราะคุณใช้สิทธิ CCPA ใด ๆ

การใช้สิทธิของคุณ

• ในแอป: Settings > Privacy & Data (export, delete, correct)
• แบบฟอร์มเว็บ: swopli.com/th/khwam-pen-suan-tua/khomun-khong-chan
• อีเมล: dpo@swopli.com

เราจะยืนยันการรับคำขอภายใน 10 วันทำการ และตอบเนื้อหาภายใน 45 วันตามปฏิทิน (ขยายได้ 45 วันพร้อมแจ้งให้ทราบ) เราจะตรวจสอบตัวตนของคุณก่อนดำเนินคำขอ ตัวแทนที่ได้รับอนุญาตต้องให้หนังสือมอบอำนาจที่ลงนาม

Global Privacy Control (GPC)

Swopli เคารพสัญญาณเบราว์เซอร์ Global Privacy Control (GPC) ตามที่กฎ CCPA กำหนด เมื่อตรวจพบสัญญาณ GPC เราถือว่าสัญญาณดังกล่าวเป็นคำขอ opt-out จากการขาย/แบ่งปันที่ถูกต้อง

หน่วยงานกำกับดูแล

• California Attorney General: https://oag.ca.gov/privacy -- (916) 210-6276
• Federal Trade Commission: https://www.ftc.gov/complaint

---

Canada (PIPEDA)

ใช้กับ: ผู้ใช้ที่พำนักอยู่ใน Canada กฎหมายที่ใช้บังคับ: Personal Information Protection and Electronic Documents Act (PIPEDA); Quebec Act Respecting the Protection of Personal Information in the Private Sector (Law 25)

หลักการ PIPEDA

Swopli ปฏิบัติตามหลักการข้อมูลที่เป็นธรรม 10 ประการภายใต้ Schedule 1 of PIPEDA:

1. Accountability: Swopli LTDA รับผิดชอบต่อข้อมูลส่วนบุคคลที่อยู่ภายใต้การควบคุมของตน Data Protection Officer ของเรา (dpo@swopli.com) กำกับดูแลการปฏิบัติตาม
2. Identifying Purposes: เราระบุวัตถุประสงค์ในการเก็บรวบรวม ณ หรือก่อนเวลาที่เก็บรวบรวม (โปรดดู Global Baseline -- วัตถุประสงค์และฐานทางกฎหมาย)
3. Consent: เราได้รับความยินยอมที่มีความหมายสำหรับการเก็บรวบรวม ใช้ และเปิดเผย ความยินยอมอาจเป็นโดยชัดแจ้ง (การสร้างบัญชี analytics) หรือโดยปริยาย (การดำเนินงานแพลตฟอร์มที่จำเป็น)
4. Limiting Collection: เราเก็บรวบรวมเฉพาะข้อมูลที่จำเป็นต่อวัตถุประสงค์ที่ระบุ
5. Limiting Use, Disclosure, and Retention: ข้อมูลส่วนบุคคลถูกใช้และเปิดเผยเฉพาะเพื่อวัตถุประสงค์ที่เก็บรวบรวม และเก็บไว้เท่าที่จำเป็น
6. Accuracy: เราดำเนินขั้นตอนที่สมเหตุสมผลเพื่อให้ข้อมูลส่วนบุคคลถูกต้อง ครบถ้วน และเป็นปัจจุบัน คุณสามารถแก้ไขข้อมูลของคุณผ่าน Settings > Edit Profile
7. Safeguards: เราคุ้มครองข้อมูลส่วนบุคคลด้วยมาตรการรักษาความปลอดภัยที่เหมาะสมกับความละเอียดอ่อนของข้อมูล (โปรดดู Global Baseline -- มาตรการรักษาความปลอดภัย)
8. Openness: นโยบายความเป็นส่วนตัวนี้ระบุนโยบายและแนวปฏิบัติของเราเกี่ยวกับการจัดการข้อมูลส่วนบุคคล
9. Individual Access: คุณอาจขอเข้าถึงข้อมูลส่วนบุคคลของคุณและโต้แย้งความถูกต้องได้ (โปรดดู Global Baseline -- สิทธิของคุณ)
10. Challenging Compliance: คุณอาจโต้แย้งการปฏิบัติตามหลักการเหล่านี้ของเราได้โดยติดต่อ dpo@swopli.com หากเราไม่สามารถแก้ไขข้อกังวลของคุณได้ คุณอาจยื่นเรื่องร้องเรียนต่อ Office of the Privacy Commissioner

Quebec Law 25

สำหรับผู้ใช้ที่พำนักอยู่ใน Quebec ข้อกำหนดเพิ่มเติมต่อไปนี้ใช้บังคับ:

• Privacy Impact Assessment (PIA): เราจัดทำ PIAs สำหรับการโอนข้ามพรมแดนที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของผู้พำนักใน Quebec ตามที่ Law 25 กำหนด
• Privacy Officer: DPO ของเรา (dpo@swopli.com) ทำหน้าที่เป็น privacy officer ที่ได้รับแต่งตั้งเพื่อการปฏิบัติตาม Quebec Law 25
• French Language: นโยบายความเป็นส่วนตัวนี้มีให้ในภาษา French สำหรับผู้ใช้ Quebec
• Consent: ต้องได้รับความยินยอมโดยชัดแจ้งสำหรับการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลที่ละเอียดอ่อน รวมถึงข้อมูลชีวมิติ (Swopli ไม่เก็บข้อมูลชีวมิติ) และตำแหน่งที่แม่นยำ (opt-in เท่านั้น)

การโอนข้ามพรมแดน

การโอนข้อมูลส่วนบุคคลออกนอก Canada เปิดเผยไว้ในตารางผู้ประมวลผลย่อย (Global Baseline) เรารับรองว่าการโอนทั้งหมดเป็นไปตาม PIPEDA s. 5(3) และองค์กรผู้รับให้การคุ้มครองในระดับที่เทียบเคียงได้

หน่วยงานกำกับดูแล

Office of the Privacy Commissioner of Canada (OPC) เว็บไซต์: https://www.priv.gc.ca โทรฟรี: 1-800-282-1376

Commission d'accès à l'information du Québec (CAI) (สำหรับผู้พำนักใน Quebec) เว็บไซต์: https://www.cai.gouv.qc.ca

---

Latin America

ใช้กับ: ผู้ใช้ที่พำนักอยู่ใน Mexico, Argentina, Chile, Colombia, Peru, Uruguay, Costa Rica, Guatemala, Honduras และ Nicaragua

กฎหมายคุ้มครองข้อมูลใน Latin America โดยทั่วไปอาศัยกรอบสิทธิ ARCO (Acceso, Rectificación, Cancelación, Oposición) Swopli เคารพสิทธิเหล่านี้สำหรับผู้ใช้ Latin American ทุกคน

สิทธิ ARCO ของคุณ

สิทธิ	คำอธิบาย	วิธีใช้สิทธิ
Acceso (Access)	ทราบว่าเราถือข้อมูลส่วนบุคคลใดเกี่ยวกับคุณ	Settings > Privacy & Data > Export My Data
Rectificación (Rectification)	แก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์	Settings > Edit Profile
Cancelación (Cancellation/Deletion)	ขอให้ลบข้อมูลส่วนบุคคลของคุณ	Settings > Privacy & Data > Delete My Account
Oposición (Objection)	คัดค้านการประมวลผลข้อมูลของคุณเพื่อวัตถุประสงค์เฉพาะ	อีเมล dpo@swopli.com

เวลาตอบกลับ: สูงสุด 20 วันทำการ (แตกต่างกันตามประเทศ)

หมายเหตุเฉพาะประเทศ

Mexico (LFPDPPP): privacy notice (aviso de privacidad) ของ Swopli คือ นโยบายความเป็นส่วนตัวนี้ เราประมวลผลข้อมูลของคุณตามความยินยอมที่ได้รับเมื่อสมัคร คุณอาจเพิกถอนความยินยอมได้ทุกเมื่อโดยติดต่อ dpo@swopli.com การโอนให้บุคคลภายนอกเปิดเผยไว้ในตารางผู้ประมวลผลย่อย

Argentina (Ley 25.326): คุณมีสิทธิเข้าถึงข้อมูลส่วนบุคคลของคุณโดยไม่มีค่าใช้จ่ายในช่วงเวลาที่ไม่น้อยกว่า 6 เดือน (Art. 14) Dirección Nacional de Protección de Datos Personales (DNPDP) เป็นหน่วยงานกำกับดูแล: https://www.argentina.gob.ar/aaip/datospersonales

Colombia (Ley 1581 de 2012): เราประมวลผลข้อมูลของคุณตามการอนุญาต (autorización) ที่ได้รับเมื่อสมัคร คุณมีสิทธิในการเข้าถึง แก้ไข ลบ และเพิกถอนการอนุญาต Superintendencia de Industria y Comercio (SIC): https://www.sic.gov.co

Chile (Ley 19.628): คุณมีสิทธิในการเข้าถึง แก้ไข ยกเลิก และคัดค้าน กรอบคุ้มครองข้อมูลใหม่ทำให้สิทธิเหล่านี้เข้มแข็งขึ้น Consejo para la Transparencia: https://www.consejotransparencia.cl

Peru (Ley 29733): ข้อมูลส่วนบุคคลของคุณประมวลผลตามความยินยอมของคุณ คุณอาจใช้สิทธิ ARCO โดยติดต่อ dpo@swopli.com Autoridad Nacional de Protección de Datos Personales: https://www.gob.pe/anpd

Uruguay (Ley 18.331): Uruguay มี EU adequacy decision ซึ่งให้การคุ้มครองข้อมูลระดับสูง Unidad Reguladora y de Control de Datos Personales (URCDP): https://www.gub.uy/unidad-reguladora-control-datos-personales

Costa Rica, Guatemala, Honduras, Nicaragua: เราใช้หลักการ GDPR-first เป็น baseline สำหรับประเทศที่กรอบคุ้มครองข้อมูลยังอยู่ระหว่างพัฒนา

การโอนข้ามพรมแดน

การโอนข้อมูลส่วนบุคคลระหว่างประเทศสำหรับผู้ใช้ Latin American อยู่ภายใต้กลไกที่อธิบายในตารางผู้ประมวลผลย่อยของ Global Baseline เรารับรองว่าการโอนเป็นไปตามข้อกำหนดท้องถิ่นที่ใช้บังคับ รวมถึงการโอนที่อาศัยความยินยอมเมื่อกฎหมายกำหนด

---

India (DPDPA)

ใช้กับ: ผู้ใช้ที่พำนักอยู่ใน India กฎหมายที่ใช้บังคับ: Digital Personal Data Protection Act, 2023 (DPDPA)

Data Fiduciary

Swopli LTDA ทำหน้าที่เป็น Data Fiduciary ภายใต้ DPDPA สำหรับข้อมูลส่วนบุคคลของผู้ใช้ชาว India

ความยินยอมเป็นฐานหลัก

ภายใต้ DPDPA ความยินยอมเป็นฐานทางกฎหมายหลักสำหรับการประมวลผลข้อมูลส่วนบุคคล ต่างจาก GDPR, DPDPA ไม่ รับรอง "legitimate interest" เป็นฐานทางกฎหมายอิสระ

เราได้รับความยินยอมของคุณสำหรับการประมวลผล ณ เวลาลงทะเบียนบัญชี ความยินยอมของคุณครอบคลุมวัตถุประสงค์ทั้งหมดที่ระบุในส่วน Global Baseline รวมถึงการป้องกันการฉ้อโกงและความปลอดภัยของแพลตฟอร์ม ความยินยอมของคุณเป็น:

• อิสระ: ไม่ผูกกับบริการเพิ่มเติม
• มีข้อมูลครบถ้วน: นโยบายความเป็นส่วนตัวนี้ทำหน้าที่เป็น notice ของคุณ (Section 5 DPDPA)
• เฉพาะเจาะจง: ได้รับความยินยอมสำหรับแต่ละวัตถุประสงค์ที่ระบุ
• ไม่มีเงื่อนไข: ไม่ผูกกับเงื่อนไขที่ไม่เกี่ยวข้อง

คุณอาจถอนความยินยอมได้ทุกเมื่อผ่าน Settings > Privacy & Data หรือโดยส่งอีเมลไปที่ dpo@swopli.com การถอนอาจกระทบความสามารถของคุณในการใช้ฟีเจอร์บางอย่างของแพลตฟอร์ม

สิทธิของคุณภายใต้ DPDPA

สิทธิ	คำอธิบาย
Right to Access	รับสรุปข้อมูลส่วนบุคคลของคุณและกิจกรรมการประมวลผล (Section 11)
Right to Correction and Erasure	ขอแก้ไขข้อมูลที่ไม่ถูกต้องและลบข้อมูลส่วนบุคคล (Section 12)
Right to Grievance Redressal	ส่งข้อร้องเรียนต่อ Grievance Officer ของเรา (Section 13)
Right to Nominate	แต่งตั้งบุคคลอื่นเพื่อใช้สิทธิของคุณในกรณีเสียชีวิตหรือไร้ความสามารถ (Section 14)

Grievance Officer

Grievance Officer: dpo@swopli.com เวลาตอบกลับ: ภายใน 72 ชั่วโมง นับจากได้รับเรื่อง โดยมีการแก้ไขภายใน 30 วัน

หากคุณไม่พอใจกับคำตอบของเรา คุณอาจยื่นเรื่องร้องเรียนต่อ Data Protection Board of India เมื่อจัดตั้งแล้ว

ข้อมูลเด็ก

สำหรับผู้ใช้ที่มีอายุต่ำกว่า 18 ปีใน India, DPDPA กำหนดให้ต้องมี verifiable parental consent ก่อนประมวลผลข้อมูลส่วนบุคคล เนื่องจาก Swopli กำหนดให้ผู้ใช้ทุกคนมีอายุ 18+ ข้อกำหนดนี้จึงได้รับการปฏิบัติผ่าน age gate ของเรา

การโอนข้ามพรมแดน

DPDPA อนุญาตการโอนข้ามพรมแดน ยกเว้นไปยังประเทศที่ Central Government จำกัดไว้โดยเฉพาะ ณ วันที่ของนโยบายนี้ ยังไม่มีการแจ้งข้อจำกัด การโอนเปิดเผยไว้ในตารางผู้ประมวลผลย่อย (Global Baseline)

ข้อจำกัดวัตถุประสงค์ทางธุรกิจ

เราประมวลผลข้อมูลส่วนบุคคลของผู้ใช้ชาว India เฉพาะเพื่อวัตถุประสงค์เฉพาะที่เปิดเผยในนโยบายความเป็นส่วนตัวนี้ การประมวลผลเกินวัตถุประสงค์เหล่านี้ต้องได้รับความยินยอมใหม่

---

Asia-Pacific

ใช้กับ: ผู้ใช้ที่พำนักอยู่ใน Indonesia, Malaysia, Philippines, Singapore, Thailand, Vietnam, Japan, South Korea, Taiwan และ Hong Kong

กฎหมายคุ้มครองข้อมูลทั่วภูมิภาค Asia-Pacific แตกต่างกันอย่างมีนัยสำคัญ ส่วนนี้กล่าวถึงข้อกำหนดสำคัญของแต่ละเขตอำนาจศาล

Japan (APPI)

Act on the Protection of Personal Information (APPI) กำกับการประมวลผลข้อมูลใน Japan

• Foreign Transfer Disclosure: เราเปิดเผยว่าข้อมูลส่วนบุคคลของคุณถูกโอนไปยังประเทศที่ระบุในตารางผู้ประมวลผลย่อย (Global Baseline) Japan มี EU adequacy decision ซึ่งเอื้อต่อการโอน
• Sensitive Information: Swopli ไม่เก็บรวบรวม special care-required personal information (要配慮個人情報) ตามนิยามของ APPI Art. 2(3) หากเราเคยจำเป็นต้องเก็บข้อมูลดังกล่าว เราจะขอความยินยอมแบบ opt-in ล่วงหน้าจากคุณ
• Opt-Out of Third-Party Provision: คุณอาจ opt out จากการให้ข้อมูลแก่บุคคลภายนอกโดยติดต่อ dpo@swopli.com
• Personal Information Protection Commission (PPC): https://www.ppc.go.jp/en/

South Korea (PIPA)

Personal Information Protection Act (PIPA) ให้สิทธิการคุ้มครองข้อมูลอย่างครอบคลุม

• Consent: เราได้รับความยินยอมของคุณสำหรับการเก็บรวบรวม ใช้ และโอนข้ามพรมแดนเมื่อสมัคร ความยินยอมสำหรับการโอนข้ามพรมแดนเปิดเผยโดยเฉพาะถึง: ผู้รับ ประเทศ วัตถุประสงค์ และประเภทข้อมูลที่โอน
• Cross-Border Transfer: การโอนเปิดเผยไว้ในตารางผู้ประมวลผลย่อย เราปฏิบัติตาม PIPA Art. 17 and Art. 28-2 เกี่ยวกับการโอนไปต่างประเทศ
• Rights: เข้าถึง แก้ไข ลบ และระงับการประมวลผล ผ่าน Settings หรือ dpo@swopli.com
• Personal Information Protection Commission (PIPC): https://www.pipc.go.kr/eng/

Singapore (PDPA)

Personal Data Protection Act 2012 (PDPA) กำกับการประมวลผลข้อมูลใน Singapore

• Data Protection Officer: dpo@swopli.com ทำหน้าที่เป็น DPO ที่ได้รับแต่งตั้งของเราเพื่อการปฏิบัติตาม PDPA
• Consent: เราเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลตามความยินยอมที่ได้รับเมื่อสมัคร หรือ deemed consent เมื่อคาดหมายได้อย่างสมเหตุสมผล (PDPA s. 15)
• Transfer: เรารับรองว่าผู้รับให้ความคุ้มครองที่เทียบเคียงได้ตามที่ PDPA s. 26 กำหนด
• Do Not Call Registry: Swopli ไม่ทำ telemarketing
• Personal Data Protection Commission (PDPC): https://www.pdpc.gov.sg/

Thailand (PDPA)

Personal Data Protection Act B.E. 2562 (2019) มีผลใช้บังคับแล้ว กฎระเบียบประกอบยังอยู่ระหว่างจัดทำให้สมบูรณ์

• Status: MONITOR -- ไม่มีการบังคับใช้กับแพลตฟอร์มต่างประเทศ ณ วันที่ของนโยบายนี้ เราใช้หลักการ GDPR-first เป็น baseline
• Rights: เข้าถึง แก้ไข ลบ จำกัด โอนย้าย และคัดค้าน -- ทั้งหมดใช้ได้ผ่าน Settings หรือ dpo@swopli.com
• Office of the Personal Data Protection Committee (PDPC): https://www.pdpc.or.th/

Vietnam (PDP Decree)

Decree 13/2023/ND-CP on personal data protection มีผลใช้บังคับ

• Status: MONITOR -- พอร์ทัลยื่นเอกสารบังคับสำหรับการโอนข้ามพรมแดน (MPS) ยังไม่เปิดใช้งาน เราจะยื่นเมื่อพอร์ทัลเริ่มดำเนินการ
• Consent: เราได้รับความยินยอมสำหรับการประมวลผลและการโอนข้ามพรมแดนเมื่อสมัคร
• Data Protection Impact Assessment (DPIA): เรามีเทมเพลต DPIA พร้อมยื่นเมื่อพอร์ทัล MPS เปิด

Indonesia (PDP Law)

กฎหมาย Law No. 27 of 2022 on Personal Data Protection มีผลใช้บังคับ กฎระเบียบประกอบยังอยู่ระหว่างรอออก

• Status: MONITOR -- กฎระเบียบประกอบยังไม่ได้ออก เราใช้หลักการ GDPR-first
• Consent: เราได้รับความยินยอมสำหรับการประมวลผลเมื่อสมัคร
• Rights: เข้าถึง แก้ไข ลบ และจำกัด

Malaysia (PDPA 2010)

• Consent: ได้รับเมื่อสมัคร เราปฏิบัติตาม Personal Data Protection Act 2010
• Rights: เข้าถึง แก้ไข และถอนความยินยอม
• Department of Personal Data Protection: https://www.pdp.gov.my/

Philippines (DPA 2012)

• Consent: ได้รับเมื่อสมัคร เราปฏิบัติตาม Republic Act No. 10173
• Rights: เข้าถึง แก้ไข ลบ คัดค้าน และโอนย้าย
• National Privacy Commission (NPC): https://www.privacy.gov.ph/

Taiwan (PDPA)

• Consent: ได้รับเมื่อสมัคร เราปฏิบัติตาม Personal Data Protection Act
• Rights: เข้าถึง แก้ไข ลบ และหยุดการประมวลผล

Hong Kong (PDPO)

• Consent: เราปฏิบัติตาม Personal Data (Privacy) Ordinance (Cap. 486)
• Data Protection Principles: แนวปฏิบัติของเราสอดคล้องกับ DPPs ทั้งหก
• Office of the Privacy Commissioner for Personal Data: https://www.pcpd.org.hk/

---

Rest of World

ใช้กับ: ผู้ใช้ที่พำนักอยู่ใน Australia, New Zealand, South Africa, United Arab Emirates, Bahrain, Egypt, Israel, Jordan, Kuwait, Oman, Qatar, Lebanon, Moldova, Ukraine, Azerbaijan และ Pakistan

สำหรับประเทศในส่วนนี้ เราใช้ หลักการ GDPR-first เป็น baseline ทั่วโลก เมื่อกฎหมายท้องถิ่นให้สิทธิหรือข้อกำหนดเฉพาะเพิ่มเติม เรากล่าวถึงด้านล่าง

Australia (Privacy Act 1988)

Australian Privacy Principles (APPs) กำกับการจัดการข้อมูล

• APP 1 (Openness): นโยบายความเป็นส่วนตัวนี้ทำหน้าที่เป็น privacy policy ที่สอดคล้องกับ APP ของเรา
• APP 5 (Notification): เราแจ้งคุณ ณ หรือก่อนเวลาที่เก็บรวบรวมเกี่ยวกับเรื่องที่ APP 5 กำหนด
• APP 8 (Cross-Border Disclosure): เราเปิดเผยการโอนไปต่างประเทศในตารางผู้ประมวลผลย่อย และดำเนินขั้นตอนที่สมเหตุสมผลเพื่อให้ผู้รับปฏิบัติตาม APPs
• APP 12 (Access): คุณอาจเข้าถึงข้อมูลส่วนบุคคลของคุณผ่าน Settings หรือ dpo@swopli.com
• APP 13 (Correction): คุณอาจแก้ไขข้อมูลส่วนบุคคลของคุณผ่าน Settings > Edit Profile
• Office of the Australian Information Commissioner (OAIC): https://www.oaic.gov.au/

New Zealand (Privacy Act 2020)

• Information Privacy Principles (IPPs): แนวปฏิบัติของเราปฏิบัติตาม IPPs ทั้ง 13 ประการ
• Cross-Border Transfer: เรารับรองว่าผู้รับโอนอยู่ภายใต้การคุ้มครองความเป็นส่วนตัวที่เทียบเคียงได้
• Office of the Privacy Commissioner: https://www.privacy.org.nz/

South Africa (POPIA)

Protection of Personal Information Act 4 of 2013 (POPIA) มีผลใช้บังคับ

• Responsible Party: Swopli LTDA เป็น responsible party สำหรับการประมวลผลข้อมูลส่วนบุคคล
• Conditions for Lawful Processing: เราปฏิบัติตามเงื่อนไข 8 ประการภายใต้ POPIA Chapter 3
• Cross-Border Transfer: การโอนเป็นไปตาม POPIA s. 72 (adequate protection หรือ consent หรือ contractual necessity)
• Rights: เข้าถึง แก้ไข ลบ คัดค้าน ผ่าน Settings หรือ dpo@swopli.com
• Information Regulator: https://inforegulator.org.za/

Middle East (UAE, Bahrain, Egypt, Israel, Jordan, Kuwait, Oman, Qatar, Lebanon)

กรอบคุ้มครองข้อมูลในภูมิภาค Middle East กำลังพัฒนา เราใช้หลักการ GDPR-first เป็น baseline และปฏิบัติตามข้อกำหนดเฉพาะเมื่อใช้บังคับ:

• UAE (Federal Decree-Law No. 45 of 2021): เราประมวลผลข้อมูลตามความยินยอมและความจำเป็นตามสัญญา Data Protection Office: https://tdra.gov.ae/
• Israel (Protection of Privacy Law 5741-1981): Israel มี EU adequacy decision เราปฏิบัติตามข้อกำหนดของ Israeli Privacy Protection Authority https://www.gov.il/en/departments/the_privacy_protection_authority
• Bahrain (PDPL 2018): เราได้รับความยินยอมสำหรับการประมวลผลและการโอนข้ามพรมแดน
• Egypt: MONITOR -- Data Protection Center (DPC) ยังไม่เริ่มดำเนินการ เราจะปฏิบัติตามข้อกำหนดเมื่อ DPC เปิดใช้งาน
• Qatar (Law No. 13 of 2016): เราประมวลผลข้อมูลตามความยินยอมและปฏิบัติตามข้อกำหนดของ National Data Privacy Office

Eastern Europe (Moldova, Ukraine, Azerbaijan)

• Ukraine (Law on Personal Data Protection No. 2297-VI): เราประมวลผลข้อมูลตามความยินยอมและปฏิบัติตามข้อกำหนดด้านการคุ้มครองข้อมูล เนื่องจากสถานการณ์ที่ดำเนินอยู่ เราใช้ความระมัดระวังเพิ่มเติมต่อความปลอดภัยของข้อมูลสำหรับผู้ใช้ Ukrainian
• Moldova: เราใช้หลักการคุ้มครองข้อมูลที่สอดคล้องกับ EU
• Azerbaijan: เราใช้หลักการ GDPR-first เป็น baseline

Pakistan

กรอบคุ้มครองข้อมูลของ Pakistan กำลังพัฒนา เราใช้หลักการ GDPR-first และจะปฏิบัติตามข้อกำหนดเฉพาะเมื่อกฎหมายประกาศใช้และบังคับใช้

การติดต่อทั่วไปสำหรับ Rest of World

สำหรับผู้ใช้ในประเทศ Rest of World ใด ๆ ให้ใช้สิทธิด้านข้อมูลของคุณโดย:

• ในแอป: Settings > Privacy & Data
• อีเมล: dpo@swopli.com
• แบบฟอร์มเว็บ: swopli.com/th/khwam-pen-suan-tua/khomun-khong-chan

---

มีคำถามเกี่ยวกับนโยบายความเป็นส่วนตัวนี้หรือไม่ ติดต่อ Data Protection Officer ของเราที่ dpo@swopli.com หรือเขียนถึง: Swopli LTDA, Rua Alm Protogenes 289, Sala 122, Santo Andre/SP, CEP 09090-760, Brazil.

สำหรับรายละเอียดเกี่ยวกับคุกกี้ของเรา โปรดดู นโยบายคุกกี้ สำหรับรายละเอียดเกี่ยวกับผู้ประมวลผลย่อยของเรา โปรดดู รายชื่อผู้ประมวลผลย่อย สำหรับคำขอของเจ้าของข้อมูล โปรดไปที่ /th/khwam-pen-suan-tua/khomun-khong-chan