ประกาศความเป็นส่วนตัว

ใช้บังคับ ฉบับ v2026-06-05 มีผลใช้บังคับ 5 มิถุนายน 2569

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ราชอาณาจักรไทย

ประกาศนี้เผยแพร่เป็นภาษาอังกฤษและภาษาไทย ในกรณีที่ข้อความระหว่างสองฉบับขัดแย้งกัน ให้ยึดถือฉบับภาษาอังกฤษที่ที่ปรึกษากฎหมายอนุมัติเป็นหลัก

1 — เราคือใคร

Polar Bear IT Services Co., Ltd ('Pontivus', 'เรา', 'พวกเรา') ดำเนินการแพลตฟอร์ม Pontivus Legal บริการตรวจทานและจัดการสัญญาที่ใช้ AI ช่วยสำหรับผู้ประกอบวิชาชีพกฎหมายและลูกค้าของพวกเขา เราเป็นผู้ควบคุมข้อมูลส่วนบุคคลสำหรับข้อมูลที่ระบุในประกาศความเป็นส่วนตัวฉบับนี้ ยกเว้นกรณีที่เราเป็นผู้ประมวลผลตามคำสั่งของท่านในฐานะผู้ควบคุม ซึ่งระบุไว้ในหมวดที่เกี่ยวข้องอย่างชัดเจน

182/8 Ramkhamhaeng 110 Saphansung Saphansung Bangkok 10240

dpo@pontivus.com

2 — ข้อมูลส่วนบุคคลที่เราเก็บรวบรวม

2.1 — แบบฟอร์มขอ Demo บนหน้า Landing Page

การส่งแบบฟอร์ม Demo ถูกตรวจสอบโดย Cloudflare Pages Function (โฮสต์ที่ขอบเครือข่าย Cloudflare) ฟังก์ชันจัดทำอีเมลแจ้งเตือนที่มีข้อมูลแบบฟอร์มและฟิลด์บันทึกความยินยอมตาม PDPA มาตรา 19 จากนั้นส่งผ่าน API อีเมลธุรกรรมของ Brevo ไปยังกล่อง support@pontivus.com กล่องนี้โฮสต์โดย Migadu บนโดเมน pontivus.com ไม่มีการจัดเก็บข้อมูลผู้สอบถามก่อนเป็นลูกค้าในฐานข้อมูลแพลตฟอร์ม Pontivus Legal

ทุกการส่งจะสร้างหรืออัปเดตผู้ติดต่อใน รายชื่อผู้ติดต่อ Brevo ที่ Pontivus ใช้เป็นกล่อง inbox สำหรับคำขอเข้าร่วมโครงการนำร่องส่วนตัว (อีเมลที่ใช้ในการทำงาน ชื่อ และบริษัท) เกิดขึ้นกับทุกการส่ง ไม่ใช่เฉพาะเมื่อเลือก opt-in การตลาด ช่องทำเครื่องหมายการตลาดแยกต่างหากบันทึกว่า Pontivus อาจส่งอีเมลการตลาดหรืออัปเดตผลิตภัณฑ์ให้ท่านหรือไม่ นอกเหนือจากการตอบคำขอของท่าน

Brevo และ Migadu ประมวลผลเนื้อหาอีเมล metadata การส่ง และข้อมูลกล่องจดหมายตามนโยบายความเป็นส่วนตัวของแต่ละรายและมาตรการตามสัญญาของเรา ดูหมวด 5 6 และ 7

2.2 — บัญชี SaaS (ผู้ใช้ที่ได้รับการจัดสรร)

Pontivus Legal ไม่มีการลงทะเบียนแบบ self-service สาธารณะ บัญชีถูกสร้างโดยพนักงาน Pontivus หลังการพบปะทางการขาย

2.3 — สัญญาที่ท่านอัปโหลด (ข้อมูลส่วนบุคคลของบุคคลภายนอก)

ผู้ควบคุมข้อมูลส่วนบุคคลของบุคคลภายนอก (คู่สัญญา ผู้ลงนาม พยาน) ที่ปรากฏในสัญญาที่อัปโหลด

ผู้ประมวลผลที่ดำเนินการตามคำสั่งของท่านเท่านั้น ภายใต้ข้อตกลงการประมวลผลข้อมูลกับลูกค้า (Customer DPA)

ในฐานะผู้ควบคุม ท่านมีหน้าที่รับผิดชอบในการมีฐานทางกฎหมายที่ถูกต้องภายใต้ PDPA มาตรา 24 หรือ 26 สำหรับข้อมูลส่วนบุคคลของบุคคลภายนอกในเอกสารที่ท่านอัปโหลดก่อนส่งข้อมูลนั้นมายัง Pontivus

2.4 — ข้อมูลทางเทคนิคและบันทึกระบบ

ไม่ใช้สคริปต์ analytics, พิกเซลโฆษณา หรือคุกกี้ติดตามพฤติกรรม คำขอบุคคลภายนอกเพียงรายการเดียวบนหน้า landing page คือ Google Fonts (fonts.googleapis.com)

3 — วัตถุประสงค์การประมวลผลและฐานทางกฎหมาย

วัตถุประสงค์ข้อมูลฐานทางกฎหมายหมายเหตุ
ตอบกลับคำขอ Demo ข้อมูลแบบฟอร์ม Demo ได้รับความยินยอมผ่านช่องทำเครื่องหมายบนแบบฟอร์ม ถอนความยินยอมได้ทุกเมื่อที่ dpo@pontivus.com
อีเมลการตลาด อีเมลที่ใช้ในการทำงาน ความยินยอมแยก — ช่อง opt-in แยกบนแบบฟอร์ม ไม่รวมกับความยินยอมหลัก ถอนผ่านลิงก์ยกเลิกการสมัครในอีเมลการตลาดทุกฉบับหรือการตั้งค่าบัญชี
ให้บริการ SaaS ข้อมูลบัญชี การปฏิบัติตามสัญญา
ตรวจทานสัญญาด้วย AI — ข้อมูลของเจ้าของบัญชี เนื้อหาสัญญาที่อัปโหลด (ข้อมูลของเจ้าของบัญชีเอง) การปฏิบัติตามสัญญา
ตรวจทานสัญญาด้วย AI — PII ของบุคคลภายนอกในสัญญา ข้อมูลส่วนบุคคลของบุคคลภายนอกในสัญญาที่อัปโหลด Pontivus เป็นผู้ประมวลผลภายใต้ PDPA มาตรา 40 ประมวลผลตามคำสั่งของผู้ควบคุม (ลูกค้า) เท่านั้น ผู้ควบคุม (ลูกค้า) ต้องมีฐานทางกฎหมายที่ถูกต้องภายใต้ PDPA มาตรา 24 หรือ 26 โดยลำพัง
แสดงการปฏิบัติตามความยินยอม บันทึกความยินยอมและการยอมรับ หน้าที่ตามกฎหมาย (PDPA มาตรา 24(6)) — ภาระหน้าที่ในการเก็บหลักฐานความยินยอมตาม PDPA มาตรา 19
ป้องกันการฉ้อโกงและการใช้งานในทางที่ผิด ข้อมูลทางเทคนิคและบันทึกระบบ ประโยชน์อันชอบธรรม (PDPA มาตรา 24(5))
คำขอใช้สิทธิของเจ้าของข้อมูล ข้อมูลบัญชีและบันทึกความยินยอม

ขั้นตอนตรวจทานสัญญาใช้โมเดลภาษาขนาดใหญ่ (LLM) เพื่อสกัดและจำแนกข้อสัญญา ผลลัพธ์ LLM ทั้งหมดถูกนำเสนอต่อผู้ตรวจสอบมนุษย์ก่อนดำเนินการใด ๆ ไม่มีการตัดสินใจทางกฎหมายที่มีนัยสำคัญโดยอัตโนมัติต่อเจ้าของข้อมูล ไม่มีการทำโปรไฟล์ผู้ใช้แพลตฟอร์ม Pontivus

4 — ข้อมูลส่วนบุคคลที่ละเอียดอ่อน

สัญญาที่อัปโหลดอาจมีข้อมูลส่วนบุคคลที่ละเอียดอ่อน (ข้อมูลสุขภาพ ข้อมูลทางการเงิน ข้อมูลชีวภาพ ฯลฯ) ของบุคคลภายนอก

Pontivus ประมวลผลข้อมูลดังกล่าวในฐานะผู้ประมวลผลของท่านเท่านั้น ตามคำสั่งที่ชัดแจ้งของท่านในฐานะผู้ควบคุม พร้อมมาตรการตามสัญญาที่เหมาะสม

ผู้ประมวลผลย่อย AI ของเรา (OpenAI และ xAI) ผูกพันตามข้อตกลงการประมวลผลข้อมูลของแต่ละรายว่าจะไม่ฝึกโมเดลใด ๆ ด้วยเนื้อหาที่เราส่ง ผู้ให้บริการแต่ละรายเก็บคำขอและคำตอบ API ไว้สูงสุด 30 วันเพื่อความปลอดภัยและตรวจสอบการใช้งานในทางที่ผิด หลังจากนั้นจะลบโดยอัตโนมัติ Pontivus ถือว่าระยะเวลา 30 วันนี้เป็นระยะเวลาเก็บรักษาส่วนที่เหลือ ไม่ใช่ zero retention และเปิดเผยตามนั้น

หากท่านอัปโหลดสัญญาที่มีข้อมูลละเอียดอ่อน ท่านในฐานะผู้ควบคุมต้องมีฐานทางกฎหมายที่ถูกต้อง — โดยทั่วไปคือความยินยอมโดยชัดแจ้งของแต่ละบุคคลที่ระบุตัวตน — ก่อนส่งข้อมูลมายัง Pontivus เพื่อประมวลผล

5 — ผู้ประมวลผลย่อยและผู้รับข้อมูล

ชื่อประเทศบทบาทนโยบาย
Cloudflare, Inc. สหรัฐอเมริกา โฮสติ้งเว็บ DNS CDN Turnstile ตรวจสอบบอท https://www.cloudflare.com/privacypolicy/
Brevo (Sendinblue SAS) ฝรั่งเศส (สหภาพยุโรป) API อีเมลธุรกรรมและรายชื่อผู้ติดต่อ (inbox) สำหรับคำขอเข้าร่วมโครงการนำร่องทุกรายการ https://www.brevo.com/legal/privacypolicy/
Migadu-Mail GmbH สวิตเซอร์แลนด์ โฮสต์อีเมลสำหรับกล่อง @pontivus.com (รวม support@pontivus.com) https://www.migadu.com/privacy/
Hetzner Online GmbH เยอรมนี (สหภาพยุโรป) เซิร์ฟเวอร์แอปพลิเคชัน ฐานข้อมูล ที่เก็บ object https://www.hetzner.com/legal/privacy-policy
OpenAI, LLC สหรัฐอเมริกา LLM inference สำหรับตรวจทานสัญญา https://openai.com/policies/privacy-policy
xAI Corp. (Grok) สหรัฐอเมริกา LLM inference (โมเดลทางเลือก) https://x.ai/legal/privacy-policy

ผู้ดูแลระบบ workspace สามารถกำหนดผู้ให้บริการ AI: OpenAI เท่านั้น xAI เท่านั้น หรือให้ผู้ใช้เลือกได้

Pontivus ไม่ขายข้อมูลส่วนบุคคล เราไม่เปิดเผยข้อมูลส่วนบุคคลให้เครือข่ายโฆษณา เราไม่เปิดเผยข้อมูลส่วนบุคคลต่อหน่วยงานรัฐหรือผู้บังคับใช้กฎหมาย เว้นแต่ถูกบังคับโดยกฎหมายที่ใช้บังคับ

6 การส่งหรือโอนข้อมูลข้ามพรมแดน

OpenAI (สหรัฐอเมริกา)

เมื่อท่านอัปโหลดสัญญาเพื่อตรวจทานด้วย AI ข้อความจะถูกส่งไปยัง OpenAI ในสหรัฐอเมริกาเพื่อ LLM inference

แผน Enterprise อาจ ตามที่ภาคผนวกแผนกำหนด ลงทะเบียน workspace ในโครงการ Zero Data Retention (ZDR) ของ OpenAI นี่ไม่ใช่สถานะเริ่มต้น

xAI / Grok (สหรัฐอเมริกา)

เมื่อ workspace ถูกกำหนดให้ใช้ xAI เป็นผู้ให้บริการ AI

Cloudflare (สหรัฐอเมริกา)

การจราจรขอบของหน้า landing page Pages Functions และ Turnstile ผ่านโครงสร้างพื้นฐาน Cloudflare ข้อมูลส่วนบุคคลจากแบบฟอร์ม Demo ไม่ได้ส่งผ่าน Cloudflare Email Routing

Brevo (ฝรั่งเศส / สหภาพยุโรป)

การส่งแบบฟอร์ม Demo ทุกครั้งส่งผ่าน API ของ Brevo: อีเมลแจ้งเตือนไปยัง support@pontivus.com และบันทึกผู้ติดต่อในรายชื่อ pilot access ของ Pontivus ฐานคุ้มครอง: ความยินยอม (PDPA มาตรา 19) สำหรับการส่งแบบฟอร์ม ความยินยอมแยกสำหรับช่อง opt-in การตลาด Brevo DPA และข้อกำหนดสัญญามาตรฐานที่เกี่ยวข้อง

Migadu (สวิตเซอร์แลนด์)

อีเมลแบบฟอร์ม Demo ที่ส่งถึงจะจัดเก็บในกล่อง support@pontivus.com บนโครงสร้างอีเมล pontivus.com ที่ Migadu โฮสต์ ฐานคุ้มครอง: มาตรการตามสัญญากับ Migadu และประโยชน์อันชอบธรรมในการตอบคำถาม B2B (PDPA มาตรา 24(5)) ประกอบความยินยอมจากแบบฟอร์ม

Hetzner (เยอรมนี / สหภาพยุโรป)

ข้อมูลบัญชี ไฟล์สัญญาที่อัปโหลด และข้อมูลวิเคราะห์ที่ได้ ถูกจัดเก็บบนเซิร์ฟเวอร์ Hetzner ในเยอรมนี

7 ระยะเวลาเก็บรักษา

ข้อมูลระยะเวลาฐานทางกฎหมาย
การส่งแบบฟอร์ม Demo (อีเมลในกล่อง support@pontivus.com บน Migadu) 12 เดือนนับจากวันส่งหรือวันติดต่อ/แก้ไขคำถามครั้งสุดท้าย (เว้นแต่แปลงเป็นลูกค้าที่ใช้งานอยู่) การปฏิบัติตามสัญญาสำหรับมาตรการก่อนเข้าทำสัญญาตามคำขอของเจ้าของข้อมูล และประโยชน์อันชอบธรรมสำหรับการจัดการและติดตามการขาย B2B
รายชื่อผู้ติดต่อ Brevo (คำขอเข้าร่วมโครงการนำร่องทุกรายการ) 12 เดือนนับจากวันส่งหรือการติดต่อครั้งสุดท้าย เว้นแต่แปลงเป็นลูกค้าที่ใช้งานอยู่ ความยินยอม (PDPA มาตรา 19) สำหรับการส่งแบบฟอร์ม ประโยชน์อันชอบธรรมในการจัดการคำขอ pilot (PDPA มาตรา 24(5))
การประมวลผลธุรกรรมและ metadata การส่งของ Brevo ตาม Brevo DPA และตารางการเก็บรักษาในนโยบายความเป็นส่วนตัว ประโยชน์อันชอบธรรม — ส่งอีเมลแจ้งเตือนแบบฟอร์มและแสดงหลักฐานความยินยอม (PDPA มาตรา 24(6))
อีเมลการตลาดที่ส่งไปยังผู้ที่ opt-in บนแบบฟอร์ม จนกว่าจะถอนความยินยอมการตลาด หรือ 12 เดือนโดยไม่มีการมีส่วนร่วม แล้วแต่กรณีที่ถึงก่อน ความยินยอม (PDPA มาตรา 19) — ช่อง opt-in การตลาดแยกต่างหาก
ข้อมูลบัญชี SaaS ตลอดระยะบัญชีที่ใช้งาน + ระยะผ่อนผัน 90 วัน การปฏิบัติตามสัญญา (PDPA มาตรา 24(3))
บันทึกความยินยอมและการยอมรับ 5 ปีนับจากวันที่ให้ความยินยอม หน้าที่ตามกฎหมาย (PDPA มาตรา 24(7)) — อายุความทั่วไป 5 ปีตามประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 193/30 ประกอบภาระพิสูจน์ตาม PDPA มาตรา 19 การแก้ไข: ฉบับก่อนหน้าอ้างมาตรา 19 เพียงอย่างเดียวเป็นฐานการเก็บรักษา ทั้งที่มาตรา 19 ไม่ได้กำหนดระยะเวลาเก็บรักษาเอง
สัญญาที่อัปโหลดและผลการวิเคราะห์ ตลอด workspace ที่ใช้งาน + 30 วันหลังปิด workspace การปฏิบัติตามสัญญา (PDPA มาตรา 24(3))
บันทึกเว็บและแอปพลิเคชัน 90 วันแบบหมุนเวียน ประโยชน์อันชอบธรรม — ความปลอดภัยและป้องกันการฉ้อโกง (PDPA มาตรา 24(6))
บันทึกการเรียกเก็บเงิน 5 ปีภายใต้ประมวลรัษฎากรไทย (มาตรา 87/3) หน้าที่ตามกฎหมาย (PDPA มาตรา 24(7))

ประมวลรัษฎากรกำหนด 5 ปีสำหรับบันทึกบัญชีมาตรฐาน (มาตรา 87/3) ระยะเวลา 7 ปีอาจใช้ได้เฉพาะในสถานการณ์การสอบสวนขยายตามประมวลรัษฎากร

หมวด 8 — สิทธิของท่าน

PDPA มาตรา 30–36

ใช้การตั้งค่าบัญชีของท่านหรือส่งคำขอเป็นลายลักษณ์อักษรไปที่ dpo@pontivus.com

ตอบรับภายใน 5 วันทำการนับจากวันรับคำขอ

ตอบกลับภายใน 30 วันนับจากวันรับคำขอ

สำหรับคำขอที่ซับซ้อนหรือมีปริมาณมาก Pontivus อาจขยายระยะเวลาตอบกลับอีก 30 วัน เราจะแจ้งท่านเป็นลายลักษณ์อักษรก่อนสิ้นสุดระยะ 30 วันแรก พร้อมระบุเหตุผล

PDPA มาตรา 39

ไม่เรียกเก็บค่าธรรมเนียม เว้นแต่คำขอไม่มีมูลความจริงหรือเกินสมควร ในกรณีนั้น Pontivus อาจเรียกเก็บค่าธรรมเนียมที่สมเหตุสมผลหรือปฏิเสธคำขอพร้อมเหตุผลเป็นลายลักษณ์อักษร

ความยินยอมอีเมลการตลาดถอนได้ทุกเมื่อผ่านลิงก์ยกเลิกการสมัครในอีเมลการตลาดทุกฉบับหรือการตั้งค่าบัญชี การถอนไม่กระทบความชอบด้วยกฎหมายของอีเมลที่ส่งก่อนการถอน

หมวด 9 — คุกกี้และเทคโนโลยีที่เกี่ยวข้อง

หน้า landing page ไม่ใช้คุกกี้ analytics โฆษณา หรือติดตามพฤติกรรม คุกกี้ Cloudflare ที่จำเป็นอย่างยิ่ง (ความปลอดภัยขอบ Turnstile บนแบบฟอร์ม Demo) ถูกกำหนดตามความจำเป็นเพื่อความปลอดภัยของไซต์ Google Fonts โหลดจาก fonts.googleapis.com — Google Fonts ไม่กำหนดคุกกี้ แต่ Google ได้รับที่อยู่ IP และส่วนหัว User-Agent จากคำขอส่งฟอนต์

/th/legal/cookie-policy

PDPA มาตรา 37 — การส่งข้อมูลข้ามพรมแดนผ่าน Google Fonts เปิดเผยในนโยบายคุกกี้

หมวด 10 — เด็ก

PDPA มาตรา 20

บริการมุ่งเน้นผู้ประกอบวิชาชีพกฎหมายและธุรกิจ เราไม่เก็บรวบรวมข้อมูลส่วนบุคคลจากบุคคลอายุต่ำกว่า 20 ปี ซึ่งเป็นอายุบรรลุนิติภาวะตามประมวลกฎหมายแพ่งและพาณิชย์ไทยโดยเจตนา หากท่านเชื่อว่าเราได้เก็บข้อมูลของผู้เยาว์โดยไม่ตั้งใจ โปรดติดต่อ dpo@pontivus.com ทันทีเพื่อให้เราดำเนินการลบข้อมูลโดยเร็ว

หมวด 11 — การร้องเรียนต่อ PDPC

PDPA มาตรา 73

ท่านมีสิทธิยื่นเรื่องร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ที่ pdpc.or.th Pontivus ยินดีให้โอกาสแก้ไขข้อกังวลโดยตรงก่อน — โปรดติดต่อ DPO ของเราที่ dpo@pontivus.com

หมวด 12 — การเปลี่ยนแปลงประกาศนี้

เมื่อมีการเปลี่ยนแปลงในสาระสำคัญ เราเผยแพร่ฉบับใหม่ที่ URL นี้และขอให้ยอมรับใหม่เมื่อ login ครั้งถัดไปสำหรับผู้ใช้ SaaS

สำหรับการเปลี่ยนแปลงที่มีนัยสำคัญ Pontivus จะพยายามแจ้งล่วงหน้าอย่างน้อย 30 วันเมื่อเป็นไปได้

ฉบับก่อนหน้ายังเข้าถึงได้ถาวรที่ URL ที่ pinned ฉบับก่อนหน้ายังขอรับได้จาก dpo@pontivus.com

หมวด 13 — การติดต่อ

dpo@pontivus.com

เรียน เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล Polar Bear IT Services Co., Ltd 182/8 Ramkhamhaeng 110 Saphansung Saphansung Bangkok 10240 ราชอาณาจักรไทย

https://www.pdpc.or.th/