ปรับปรุงล่าสุด: [รอยืนยัน]
1. ผู้ควบคุมข้อมูลและขอบเขต
นโยบายนี้ครอบคลุม GrandCora Discord App เว็บไซต์ grandcora.com และบริการ Player Portal ในอนาคต ผู้ควบคุมข้อมูลคือ [ชื่อและที่อยู่ผู้ควบคุมข้อมูล] ติดต่อได้ที่ [Privacy email / DPO ถ้ามี].
2. ข้อมูลที่อาจเก็บ
- ข้อมูล Discord เช่น User ID, username, global display name, avatar และ locale ที่ Discord ส่งให้ตาม scope ที่ผู้ใช้อนุญาต
- ข้อมูลเกม เช่น โปรไฟล์ ตัวละคร ค่าสถานะ EXP ไอเทม inventory เงินในเกม และประวัติกิจกรรม
- ข้อมูล Discord Server เช่น Server ID ชื่อ ไอคอน สถานะเจ้าของ และ permissions เฉพาะเมื่อเปิด Server Settings ในอนาคต
- ข้อมูลเทคนิคและความปลอดภัย เช่น IP address, user agent, เวลาเข้าใช้, session identifier, error และ security logs
- ข้อมูลที่ผู้ใช้กรอกในแบบฟอร์ม Support ได้แก่ประเภทคำขอ อีเมลหรือ Discord username หัวข้อ และรายละเอียดปัญหา โดย Phase 1 ไม่รับไฟล์แนบ
3. วัตถุประสงค์และฐานการประมวลผล
ข้อมูลจะใช้เพื่อให้บริการเกม ยืนยันตัวตน ปกป้องบัญชี ตอบคำถาม ตรวจสอบการทุจริต รักษาความปลอดภัย ปฏิบัติตามกฎหมาย และพัฒนาบริการจากข้อมูลรวมที่ลดการระบุตัวบุคคล ฐานกฎหมายของแต่ละกิจกรรมต้องยืนยันตามข้อเท็จจริงและกฎหมายที่ใช้บังคับ
[ต้องจัดทำตาราง purpose × data category × legal basis ก่อนเผยแพร่]
4. การแบ่งปันและผู้ประมวลผล
GrandCora จะไม่ขาย Discord API Data หรือใช้เพื่อโฆษณา ข้อมูลอาจส่งให้ผู้ให้บริการที่จำเป็นต่อการทำงาน เช่น Discord, Cloudflare, hosting และ monitoring ภายใต้มาตรการที่เหมาะสม ใน Phase 1 ข้อมูลจากแบบฟอร์ม Support จะผ่าน Cloudflare Turnstile และส่งไปยังห้อง Discord ส่วนตัวของทีมงานโดยตรง โดยไม่บันทึกลงฐานข้อมูลเว็บไซต์
[ต้องยืนยันรายชื่อผู้ให้บริการ ประเทศ และหน้าที่จริง]
5. การโอนข้อมูลไปต่างประเทศ
ผู้ให้บริการบางรายอาจประมวลผลข้อมูลนอกประเทศไทย รายละเอียดประเทศปลายทาง ฐานการโอน และมาตรการคุ้มครองต้องได้รับการยืนยันก่อนเผยแพร่
6. ระยะเวลาการเก็บรักษา
ข้อมูลจะเก็บเท่าที่จำเป็นต่อวัตถุประสงค์และข้อกำหนดทางกฎหมาย โดยต้องกำหนดระยะสำหรับแต่ละหมวดอย่างชัดเจน
- เว็บไซต์ Phase 1: การตั้งค่าภาษาเก็บเฉพาะในอุปกรณ์ของผู้ใช้
- [session และ OAuth tokens]
- [access/security logs]
- [ข้อมูลเกมและบัญชีที่ถูก unlink]
- [support tickets และคำขอใช้สิทธิ]
7. Cookies และ local storage
Phase 1 ไม่มีระบบล็อกอินและไม่ใช้ analytics หรือ advertising trackers เว็บไซต์ใช้ local storage ชื่อ grandcora-language เพื่อจำภาษาบนอุปกรณ์ และใช้ Cloudflare Turnstile เพื่อป้องกันสแปมในแบบฟอร์ม Support เมื่อเปิด Player Portal ในอนาคตจะมี session cookie ที่จำเป็นและจะอัปเดตนโยบายก่อนใช้งาน
8. ความมั่นคงปลอดภัย
เราใช้มาตรการตามความเสี่ยง เช่น HTTPS การจำกัดสิทธิ์ การแยก Player Portal ออกจาก GM Back Office การเข้ารหัสข้อมูลที่เหมาะสม การปกป้อง secret การบันทึกเหตุการณ์ และการทบทวนสิทธิ์เข้าถึง อย่างไรก็ตามไม่มีระบบใดรับประกันความปลอดภัยได้ทั้งหมด
9. สิทธิของเจ้าของข้อมูล
ภายใต้กฎหมายที่ใช้บังคับ ผู้ใช้อาจมีสิทธิถอนความยินยอม เข้าถึงหรือขอสำเนา แก้ไข ลบ จำกัดการใช้ คัดค้าน ขอรับหรือโอนย้ายข้อมูล และร้องเรียนต่อหน่วยงานกำกับ การใช้สิทธิติดต่อ [Privacy contact] เราอาจต้องยืนยันตัวตนก่อนดำเนินการ
10. เด็กและผู้เยาว์
GrandCora ไม่มุ่งให้บริการบุคคลที่อายุต่ำกว่า [อายุขั้นต่ำ] หรืออายุขั้นต่ำที่กฎหมายในเขตอำนาจของผู้ใช้กำหนด หากพบว่ามีการเก็บข้อมูลโดยไม่ถูกต้อง โปรดติดต่อให้เราตรวจสอบและลบตามกฎหมาย
11. เหตุละเมิดข้อมูล
เมื่อเกิดเหตุที่กระทบข้อมูล เราจะตรวจสอบ ลดผลกระทบ และแจ้งผู้ใช้ Discord หรือหน่วยงานกำกับตามที่ข้อกำหนดและกฎหมายกำหนด ช่องทางรายงานเหตุคือ [Security email].
12. การเปลี่ยนแปลงและการติดต่อ
เราจะระบุวันที่ปรับปรุงและแจ้งการเปลี่ยนแปลงสำคัญผ่านช่องทางที่เหมาะสม คำถามหรือข้อร้องเรียนติดต่อ [Privacy email และที่อยู่].