🔥 FlintDB

Data Processing Agreement

Last updated: 12 June 2026

This Data Processing Agreement (the "DPA") forms part of, and is incorporated into, the agreement between you (the "Customer") and FlintDB ("FlintDB", "we", "us") governing your use of the FlintDB application and services (the "Service"). This DPA applies to the extent that FlintDB processes Personal Data on the Customer's behalf in connection with the Service. Where this DPA conflicts with the main terms, this DPA controls with respect to data processing.

1. Roles & Definitions

The Customer (you / your organization) is the Data Controller and determines the purposes and means of processing. FlintDB acts as the Data Processor for the Personal Data it processes on the Customer's behalf.

2. Subject Matter & Duration

The subject matter of the processing is the Personal Data made accessible to, or processed by, FlintDB in the course of providing the Service. Processing continues for the term of the Customer's use of FlintDB and ends on termination of the account or as otherwise set out in Section 10 (Return & Deletion).

3. Nature & Purpose of Processing

FlintDB provides a graphical user interface (GUI) that reads, queries, and edits data in the Customer's own Google Cloud Firestore / Firebase projects, using the Customer's own Google authorization. The underlying project data resides in the Customer's own Google Cloud projects — FlintDB does not warehouse a bulk copy of it. FlintDB accesses that data live, on the Customer's instruction (e.g. when the Customer opens a collection, runs a query, or edits a document). The optional Recovery feature is the one exception: encrypted before-images of edited or deleted documents are retained for the plan's recovery window to enable undo, then automatically deleted.

In addition, FlintDB stores its own application metadata to operate the Service, including:

4. Categories of Data Subjects & Personal Data

The categories depend on what the Customer chooses to store and access:

CategoryDescription
Customer project dataWhatever Personal Data the Customer stores in their own Firestore / Firebase projects (data subjects and categories are determined entirely by the Customer).
FlintDB account identity dataIdentity data of the Customer's users, such as email address and Google subject identifier (sub), used for authentication and access control.

5. Processor Obligations

FlintDB, as Processor, shall:

6. Security Measures

FlintDB maintains technical and organizational measures designed to protect Personal Data, including:

7. Sub-processors

The Customer authorizes FlintDB to engage the sub-processors listed below to process Personal Data in connection with the Service. FlintDB will inform the Customer of any intended changes concerning the addition or replacement of sub-processors, giving the Customer the opportunity to object.

Sub-processorPurpose
GoogleAuthentication (Google OAuth) and access to the Customer's own Firebase / Firestore project data.
RailwayHosting and infrastructure for the FlintDB application.
StripePayment processing (only when billing is enabled).
ResendTransactional email delivery — invitations, receipts, and notifications (only when email is configured).
SentryError tracking and diagnostics (only when enabled).
PostHogProduct analytics (only when enabled).

8. Personal Data Breach Notification

FlintDB will notify the Customer without undue delay after becoming aware of a Personal Data breach affecting the Customer's data, and will provide information reasonably available to assist the Customer in meeting its own notification obligations.

9. International Transfers

Personal Data may be processed in locations determined by our sub-processors (Google, Railway, and Stripe), which may include regions outside the Customer's country. Where required, transfers rely on appropriate safeguards offered by those sub-processors. The applicable processing regions depend on the Customer's and sub-processors' configurations.

10. Return & Deletion of Data

At the end of the term, or on account deletion, FlintDB will delete the application metadata it holds (including the encrypted OAuth refresh token, workspaces, members, saved queries, audit logs, and settings), unless retention is required by law. The Customer's underlying project data is unaffected because it always resides in the Customer's own Google Cloud projects.

11. Audit & Compliance

FlintDB will, upon reasonable request and subject to confidentiality, make available information necessary to demonstrate compliance with this DPA and allow for and contribute to reasonable audits conducted by the Customer or an auditor mandated by the Customer.

12. Contact / DPO

For data protection matters, contact the Data Protection Officer at support@saasthai.com.

ข้อตกลงการประมวลผลข้อมูล

ปรับปรุงล่าสุด: 12 มิถุนายน 2026

คำแปลภาษาไทยนี้จัดทำขึ้นเพื่อความสะดวกของผู้ใช้ หากมีข้อความขัดแย้งกัน ให้ยึดฉบับภาษาอังกฤษเป็นฉบับที่มีผลทางกฎหมาย

ข้อตกลงการประมวลผลข้อมูลนี้ ("DPA") เป็นส่วนหนึ่งของและถูกผนวกเข้ากับข้อตกลงระหว่างคุณ ("ลูกค้า") กับ FlintDB ("FlintDB", "เรา") ที่กำกับการใช้งานแอปพลิเคชันและบริการ FlintDB ("บริการ") ของคุณ DPA ฉบับนี้มีผลบังคับใช้ในขอบเขตที่ FlintDB ประมวลผลข้อมูลส่วนบุคคลแทนลูกค้าโดยเกี่ยวเนื่องกับบริการ ในกรณีที่ DPA ฉบับนี้ขัดแย้งกับข้อกำหนดหลัก ให้ยึด DPA ฉบับนี้เป็นหลักในส่วนที่เกี่ยวกับการประมวลผลข้อมูล

1. บทบาท & คำนิยาม

ลูกค้า (คุณ / องค์กรของคุณ) เป็น ผู้ควบคุมข้อมูล (Data Controller) และเป็นผู้กำหนดวัตถุประสงค์และวิธีการประมวลผล ส่วน FlintDB ทำหน้าที่เป็น ผู้ประมวลผลข้อมูล (Data Processor) สำหรับข้อมูลส่วนบุคคลที่ประมวลผลแทนลูกค้า

2. สาระสำคัญ & ระยะเวลา

สาระสำคัญของการประมวลผลคือข้อมูลส่วนบุคคลที่ FlintDB สามารถเข้าถึงหรือประมวลผลในระหว่างการให้บริการ การประมวลผลจะดำเนินต่อไป ตลอดระยะเวลาที่ลูกค้าใช้งาน FlintDB และสิ้นสุดลงเมื่อมีการยกเลิกบัญชี หรือตามที่กำหนดไว้เป็นอย่างอื่นในหัวข้อที่ 10 (การส่งคืน & การลบข้อมูล)

3. ลักษณะ & วัตถุประสงค์ของการประมวลผล

FlintDB ให้บริการส่วนติดต่อผู้ใช้แบบกราฟิก (GUI) ที่ อ่าน สืบค้น และแก้ไขข้อมูลในโปรเจกต์ Google Cloud Firestore / Firebase ของลูกค้าเอง โดยใช้สิทธิ์การเข้าถึงจากบัญชี Google ของลูกค้าเอง ข้อมูลในโปรเจกต์นั้นจัดเก็บอยู่ใน โปรเจกต์ Google Cloud ของลูกค้าเอง — FlintDB ไม่ได้เก็บสำเนาข้อมูลดังกล่าวทั้งก้อน FlintDB เข้าถึงข้อมูลนั้น แบบสด ตามคำสั่งของลูกค้า (เช่น เมื่อลูกค้าเปิดคอลเลกชัน เรียกใช้คำสั่งสืบค้น หรือแก้ไขเอกสาร) ยกเว้นฟีเจอร์ Recovery แบบเลือกใช้: before-image ที่เข้ารหัสของเอกสารที่แก้ไข/ลบ จะถูกเก็บไว้ตามระยะเวลา recovery ของแพ็กเกจเพื่อให้ย้อนกลับได้ แล้วลบอัตโนมัติ

นอกจากนี้ FlintDB จัดเก็บข้อมูลเมตาของแอปพลิเคชันของตนเองเพื่อให้บริการ ได้แก่:

4. ประเภทของเจ้าของข้อมูล & ข้อมูลส่วนบุคคล

ประเภทของข้อมูลขึ้นอยู่กับสิ่งที่ลูกค้าเลือกจัดเก็บและเข้าถึง:

ประเภทคำอธิบาย
ข้อมูลในโปรเจกต์ของลูกค้าข้อมูลส่วนบุคคลใด ๆ ที่ลูกค้าจัดเก็บไว้ในโปรเจกต์ Firestore / Firebase ของตนเอง (เจ้าของข้อมูลและประเภทของข้อมูลถูกกำหนดโดยลูกค้าทั้งหมด)
ข้อมูลระบุตัวตนของบัญชี FlintDBข้อมูลระบุตัวตนของผู้ใช้ของลูกค้า เช่น ที่อยู่อีเมลและ Google subject identifier (sub) ซึ่งใช้สำหรับการยืนยันตัวตนและการควบคุมการเข้าถึง

5. หน้าที่ของผู้ประมวลผลข้อมูล

FlintDB ในฐานะผู้ประมวลผลข้อมูล จะ:

6. มาตรการรักษาความปลอดภัย

FlintDB คงไว้ซึ่งมาตรการเชิงเทคนิคและเชิงองค์กรที่ออกแบบมาเพื่อปกป้องข้อมูลส่วนบุคคล ได้แก่:

7. ผู้ประมวลผลข้อมูลย่อย (Sub-processors)

ลูกค้า อนุญาตให้ FlintDB ว่าจ้างผู้ประมวลผลข้อมูลย่อย ตามรายการด้านล่างเพื่อประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวเนื่องกับบริการ FlintDB จะแจ้งให้ลูกค้าทราบถึงการเปลี่ยนแปลงใด ๆ ที่ตั้งใจจะดำเนินการเกี่ยวกับการเพิ่มหรือเปลี่ยนผู้ประมวลผลข้อมูลย่อย โดยเปิดโอกาสให้ลูกค้าคัดค้านได้

ผู้ประมวลผลข้อมูลย่อยวัตถุประสงค์
Googleการยืนยันตัวตน (Google OAuth) และการเข้าถึงข้อมูลในโปรเจกต์ Firebase / Firestore ของลูกค้าเอง
Railwayการโฮสต์และโครงสร้างพื้นฐานสำหรับแอปพลิเคชัน FlintDB
Stripeการประมวลผลการชำระเงิน (เฉพาะเมื่อเปิดใช้การเรียกเก็บเงิน)
Resendการส่งอีเมล transactional — คำเชิญ ใบเสร็จ และการแจ้งเตือน (เฉพาะเมื่อตั้งค่าอีเมล)
Sentryการติดตามข้อผิดพลาดและการวินิจฉัย (เฉพาะเมื่อเปิดใช้)
PostHogการวิเคราะห์การใช้งานผลิตภัณฑ์ (เฉพาะเมื่อเปิดใช้)

8. การแจ้งเตือนการละเมิดข้อมูลส่วนบุคคล

FlintDB จะ แจ้งให้ลูกค้าทราบโดยไม่ชักช้าเกินสมควร หลังจากรับทราบถึงการละเมิดข้อมูลส่วนบุคคลที่ส่งผลกระทบต่อข้อมูลของลูกค้า และจะจัดเตรียมข้อมูลเท่าที่มีอยู่ตามสมควรเพื่อช่วยให้ลูกค้าปฏิบัติตามหน้าที่ในการแจ้งเตือนของตนเองได้

9. การโอนข้อมูลระหว่างประเทศ

ข้อมูลส่วนบุคคลอาจถูกประมวลผลในสถานที่ที่กำหนดโดยผู้ประมวลผลข้อมูลย่อยของเรา (Google, Railway และ Stripe) ซึ่งอาจรวมถึงภูมิภาคนอกประเทศของลูกค้า ในกรณีที่จำเป็น การโอนข้อมูลจะอาศัยมาตรการคุ้มครองที่เหมาะสมซึ่งผู้ประมวลผลข้อมูลย่อยเหล่านั้นจัดให้ ภูมิภาคที่ใช้ในการประมวลผลขึ้นอยู่กับการตั้งค่าของลูกค้าและของผู้ประมวลผลข้อมูลย่อย

10. การส่งคืน & การลบข้อมูล

เมื่อ สิ้นสุดระยะเวลา หรือ เมื่อมีการลบบัญชี FlintDB จะลบข้อมูลเมตาของแอปพลิเคชันที่ตนถือครองอยู่ (รวมถึง refresh token ของ OAuth ที่เข้ารหัส, workspaces, สมาชิก, คำสั่งสืบค้นที่บันทึกไว้, บันทึกการใช้งาน และการตั้งค่า) เว้นแต่กฎหมายกำหนดให้ต้องเก็บรักษาไว้ ข้อมูลในโปรเจกต์ของลูกค้าจะไม่ได้รับผลกระทบ เนื่องจากข้อมูลเหล่านั้นจัดเก็บอยู่ในโปรเจกต์ Google Cloud ของลูกค้าเองเสมอ

11. การตรวจสอบ & การปฏิบัติตามข้อกำหนด

เมื่อมีการร้องขอตามสมควรและภายใต้ข้อกำหนดด้านการรักษาความลับ FlintDB จะจัดเตรียมข้อมูลที่จำเป็นเพื่อแสดงให้เห็นถึงการปฏิบัติตาม DPA ฉบับนี้ และจะอนุญาตและให้ความร่วมมือในการตรวจสอบตามสมควรที่ดำเนินการโดยลูกค้าหรือผู้ตรวจสอบที่ลูกค้ามอบหมาย

12. ติดต่อ / เจ้าหน้าที่คุ้มครองข้อมูล (DPO)

สำหรับเรื่องเกี่ยวกับการคุ้มครองข้อมูล ติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ได้ที่ support@saasthai.com