PDPA Notice (Thailand)
Last updated: 12 June 2026
This notice explains how FlintDB (🔥 FlintDB) collects, uses, and discloses your personal data, and the rights you have as a data subject. It is intended to comply with Thailand's Personal Data Protection Act B.E. 2562 (2019) (PDPA). By using FlintDB you acknowledge the practices described in this notice.
1. Data controller & scope
FlintDB is a web-based graphical user interface (GUI) that lets you browse and edit Google Cloud Firestore data and manage Firebase Authentication users within the Google / Firebase projects you are authorized to access.
This notice covers the FlintDB application and the backend service that powers it, but it does not cover Google's own services, which are governed by Google's privacy policy.
2. Personal data we collect
FlintDB collects and processes the following personal data:
- Account data — your email address and Google account identifier (Google subject id /
sub). - App metadata — workspaces, members and roles (RBAC), saved queries, audit logs, and settings created through your use of FlintDB.
- Google OAuth refresh token, stored by FlintDB encrypted with AES-256-GCM, used solely to access the projects you have authorized.
The data inside Firestore and the Firebase Authentication users belong to your own Google projects. FlintDB accesses such data live on your instruction and does not retain a separate copy within FlintDB's systems.
3. Purposes & legal bases for processing
FlintDB processes your personal data on the following legal bases:
- Performance of a contract — to provide the FlintDB service you request, such as signing in, accessing your projects, and managing workspaces.
- Consent — for example, granting authorization via Google OAuth to access your projects, which you may withdraw at any time.
- Legitimate interest — for example, maintaining security, recording audit logs, and preventing misuse, with due regard to the rights and freedoms of the data subject.
4. Access scopes (OAuth) that FlintDB requests
When you sign in with your Google account, FlintDB requests the following OAuth scopes:
https://www.googleapis.com/auth/datastore— Cloud Datastore / Firestore accesshttps://www.googleapis.com/auth/cloud-platform.read-only— Cloud Platform, read-onlyhttps://www.googleapis.com/auth/firebase.readonly— Firebase, read-onlyopenid— your Google account identifieremail— your email address
FlintDB uses these scopes only to access data on your behalf as you have authorized, and for no other purpose.
5. Cookies
FlintDB sets exactly one cookie — a single HMAC-signed session cookie named kf_sid. It is configured as httpOnly, SameSite=Lax, and Secure over HTTPS. This cookie is strictly necessary for authentication and to keep you signed in.
FlintDB uses no tracking, advertising, or analytics cookies.
6. Disclosure & sub-processors
FlintDB relies on the following third-party service providers ("sub-processors") to operate:
| Sub-processor | Purpose | When used |
|---|---|---|
| Authentication and access to your Firebase / Firestore data | Always | |
| Railway | Application hosting & infrastructure | Always |
| Stripe | Payment processing | Only when paid billing is enabled |
7. Data retention
- App metadata (workspaces, members, saved queries, settings) is retained while your account is active.
- Audit logs are retained for operational and security purposes.
- Encrypted Google OAuth refresh token is retained until you revoke access or delete your FlintDB account.
8. Your rights as a data subject under the PDPA
As a data subject, you have the following rights under the Personal Data Protection Act B.E. 2562 (2019):
- Right of access — to access and obtain a copy of your personal data.
- Right to rectification — to have inaccurate or out-of-date data corrected.
- Right to erasure — to have your personal data deleted or destroyed.
- Right to object — to object to the collection, use, or disclosure of your personal data.
- Right to data portability — to receive or have your personal data transferred to another data controller.
- Right to withdraw consent — to withdraw consent previously given at any time.
- Right to lodge a complaint — to complain to the Office of the Personal Data Protection Committee (PDPC) if you believe your rights have been infringed.
Deleting your FlintDB account removes your stored app metadata and your encrypted Google OAuth refresh token. You may also revoke access at any time from your Google Account permissions page.
9. Security measures
- Encryption at rest — the Google OAuth refresh token is encrypted with AES-256-GCM.
- Encrypted transport — all traffic is served over HTTPS.
- Application-layer access control — role-based access control (RBAC) and access control lists (ACL) restrict what each member can see and do.
No method of transmission or storage is completely secure, but FlintDB applies industry-standard safeguards to protect your data.
10. Contact & Data Protection Officer (DPO)
If you have questions about personal data protection or wish to exercise your rights, please contact the Data Protection Officer (DPO) at support@saasthai.com.
11. For EU users (GDPR)
If you are located in the EU/EEA, the General Data Protection Regulation (GDPR) applies to the processing of your personal data. You have the rights of access, rectification, erasure, restriction of processing, data portability, and objection. To exercise these rights or for any privacy enquiry, contact support@saasthai.com. See our Privacy Policy for the full details.
12. Changes to this notice
FlintDB may update this notice from time to time. When we do, we will revise the "Last updated" date above, and material changes will be communicated through the application or by email where appropriate.
ประกาศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (PDPA)
ปรับปรุงล่าสุด: 12 มิถุนายน 2569
คำแปลภาษาไทยนี้จัดทำขึ้นเพื่อความสะดวกของผู้ใช้ หากมีข้อความขัดแย้งกัน ให้ยึดฉบับภาษาอังกฤษเป็นฉบับที่มีผลทางกฎหมาย
ประกาศฉบับนี้อธิบายว่า FlintDB (🔥 FlintDB) เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่านอย่างไร รวมถึงสิทธิของท่านในฐานะเจ้าของข้อมูลส่วนบุคคล จัดทำขึ้นเพื่อให้สอดคล้องกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act — PDPA) การใช้งาน FlintDB ถือว่าท่านได้รับทราบแนวปฏิบัติที่ระบุไว้ในประกาศนี้แล้ว
1. ผู้ควบคุมข้อมูลส่วนบุคคล และขอบเขต
FlintDB เป็นเครื่องมือแบบกราฟิก (GUI) บนเว็บ ที่ช่วยให้ท่านสามารถเรียกดูและแก้ไขข้อมูลใน Google Cloud Firestore รวมถึงจัดการผู้ใช้ Firebase Authentication ภายในโปรเจกต์ Google / Firebase ที่ท่านได้รับสิทธิ์ในการเข้าถึง
ประกาศนี้ครอบคลุมแอปพลิเคชัน FlintDB และระบบเซิร์ฟเวอร์ (backend) ที่ให้บริการ แต่ ไม่ครอบคลุม บริการของ Google เอง ซึ่งอยู่ภายใต้นโยบายความเป็นส่วนตัวของ Google
2. ข้อมูลส่วนบุคคลที่เก็บรวบรวม
FlintDB เก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลดังต่อไปนี้:
- ข้อมูลบัญชี — อีเมล และรหัสประจำตัวบัญชี Google (Google subject id /
sub) - ข้อมูล metadata ของแอป — workspace, สมาชิกและบทบาท (RBAC), saved queries, บันทึกการตรวจสอบ (audit log) และการตั้งค่าต่าง ๆ ที่เกิดจากการใช้งาน FlintDB
- Google OAuth refresh token ที่จัดเก็บใน FlintDB โดย เข้ารหัสด้วย AES-256-GCM เพื่อใช้เข้าถึงโปรเจกต์ที่ท่านอนุญาตเท่านั้น
ส่วนข้อมูลที่อยู่ภายใน Firestore และผู้ใช้ Firebase Authentication เป็นข้อมูลของ โปรเจกต์ Google ของท่านเอง FlintDB เข้าถึงข้อมูลดังกล่าวแบบ live ตามคำสั่งของท่าน และ ไม่ได้ จัดเก็บสำเนาแยกไว้ในระบบของ FlintDB
3. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผล
FlintDB ประมวลผลข้อมูลส่วนบุคคลของท่านโดยอาศัยฐานทางกฎหมายดังนี้:
- การปฏิบัติตามสัญญา — เพื่อให้บริการ FlintDB แก่ท่านตามที่ท่านร้องขอ เช่น การเข้าสู่ระบบ การเข้าถึงโปรเจกต์ และการจัดการ workspace
- ความยินยอม — เช่น การให้สิทธิ์ผ่าน Google OAuth ในการเข้าถึงโปรเจกต์ของท่าน ซึ่งท่านสามารถเพิกถอนได้ตลอดเวลา
- ประโยชน์โดยชอบด้วยกฎหมาย — เช่น การรักษาความปลอดภัย การบันทึก audit log และการป้องกันการใช้งานในทางมิชอบ โดยคำนึงถึงสิทธิและเสรีภาพของเจ้าของข้อมูล
4. สิทธิการเข้าถึง (OAuth scopes) ที่ FlintDB ขอ
เมื่อท่านเข้าสู่ระบบด้วยบัญชี Google ทาง FlintDB จะขอสิทธิ์ OAuth ดังต่อไปนี้:
https://www.googleapis.com/auth/datastore— เข้าถึง Cloud Datastore / Firestorehttps://www.googleapis.com/auth/cloud-platform.read-only— Cloud Platform (อ่านอย่างเดียว)https://www.googleapis.com/auth/firebase.readonly— Firebase (อ่านอย่างเดียว)openid— รหัสประจำตัวบัญชี Google ของท่านemail— ที่อยู่อีเมลของท่าน
FlintDB จะใช้สิทธิ์เหล่านี้เพื่อเข้าถึงข้อมูลแทนท่านตามที่ท่านอนุญาตเท่านั้น และจะไม่ใช้เพื่อวัตถุประสงค์อื่น
5. คุกกี้
FlintDB ใช้คุกกี้เพียง หนึ่งตัว คือคุกกี้สำหรับ session ที่ชื่อ kf_sid ซึ่งลงลายเซ็นด้วย HMAC และตั้งค่าเป็น httpOnly, SameSite=Lax และ Secure เมื่อใช้งานผ่าน HTTPS คุกกี้นี้ มีความจำเป็นอย่างยิ่ง ต่อการเข้าสู่ระบบและการคงสถานะการเข้าสู่ระบบของท่าน
FlintDB ไม่มี การใช้คุกกี้เพื่อการติดตาม การโฆษณา หรือการวิเคราะห์พฤติกรรมแต่อย่างใด
6. การเปิดเผยข้อมูลและผู้ประมวลผลภายนอก (sub-processors)
FlintDB อาศัยผู้ให้บริการภายนอก ("ผู้ประมวลผลข้อมูล") ดังต่อไปนี้ในการดำเนินงาน:
| ผู้ประมวลผล | วัตถุประสงค์ | ช่วงเวลาที่ใช้ |
|---|---|---|
| การยืนยันตัวตน และการเข้าถึงข้อมูล Firebase / Firestore ของท่าน | ตลอดเวลา | |
| Railway | โฮสติ้งและโครงสร้างพื้นฐานของแอปพลิเคชัน | ตลอดเวลา |
| Stripe | การประมวลผลการชำระเงิน | เฉพาะเมื่อเปิดใช้การเรียกเก็บเงินแบบชำระเงิน |
7. ระยะเวลาการเก็บรักษาข้อมูล
- ข้อมูล metadata ของแอป (workspace, สมาชิก, saved queries, การตั้งค่า) จะถูกเก็บไว้ตลอดระยะเวลาที่บัญชีของท่านยังใช้งานอยู่
- บันทึกการตรวจสอบ (audit log) จะถูกเก็บไว้เพื่อวัตถุประสงค์ด้านการดำเนินงานและความปลอดภัย
- Google OAuth refresh token (เข้ารหัส) จะถูกเก็บไว้จนกว่าท่านจะเพิกถอนสิทธิ์ หรือลบบัญชี FlintDB ของท่าน
8. สิทธิของเจ้าของข้อมูลส่วนบุคคลตาม PDPA
ในฐานะเจ้าของข้อมูลส่วนบุคคล ท่านมีสิทธิตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังนี้:
- สิทธิในการเข้าถึง — ขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลของท่าน
- สิทธิในการแก้ไข — ขอให้แก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่เป็นปัจจุบันให้ถูกต้อง
- สิทธิในการลบ — ขอให้ลบหรือทำลายข้อมูลส่วนบุคคลของท่าน
- สิทธิในการคัดค้าน — คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน
- สิทธิในการขอให้โอนย้ายข้อมูล — ขอรับหรือขอให้โอนข้อมูลส่วนบุคคลของท่านไปยังผู้ควบคุมข้อมูลรายอื่น
- สิทธิในการเพิกถอนความยินยอม — เพิกถอนความยินยอมที่เคยให้ไว้ได้ตลอดเวลา
- สิทธิในการร้องเรียน — ร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หากท่านเห็นว่ามีการละเมิดสิทธิของท่าน
การลบบัญชี FlintDB จะลบข้อมูล metadata ที่จัดเก็บไว้ รวมถึง Google OAuth refresh token (ที่เข้ารหัสไว้) ของท่าน ทั้งนี้ท่านสามารถเพิกถอนสิทธิ์การเข้าถึงได้ตลอดเวลาจาก หน้าจัดการสิทธิ์ของบัญชี Google ของท่าน
9. มาตรการรักษาความปลอดภัย
- การเข้ารหัสข้อมูลขณะจัดเก็บ — Google OAuth refresh token ถูกเข้ารหัสด้วย AES-256-GCM
- การเข้ารหัสการรับส่งข้อมูล — รับส่งข้อมูลทั้งหมดผ่าน HTTPS
- การควบคุมการเข้าถึงระดับแอปพลิเคชัน — ใช้การควบคุมการเข้าถึงตามบทบาท (RBAC) และรายการควบคุมการเข้าถึง (ACL) เพื่อจำกัดสิ่งที่สมาชิกแต่ละคนเห็นและทำได้
แม้ไม่มีวิธีการรับส่งหรือจัดเก็บข้อมูลใดที่ปลอดภัยอย่างสมบูรณ์ แต่ FlintDB ใช้มาตรการป้องกันตามมาตรฐานอุตสาหกรรมเพื่อปกป้องข้อมูลของท่าน
10. การติดต่อ และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
หากท่านมีคำถามเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือต้องการใช้สิทธิของท่าน โปรดติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer — DPO) ที่ support@saasthai.com
11. สำหรับผู้ใช้ในสหภาพยุโรป (GDPR)
หากท่านอยู่ในเขต EU/EEA การประมวลผลข้อมูลส่วนบุคคลของท่านจะอยู่ภายใต้ระเบียบ General Data Protection Regulation (GDPR) ท่านมีสิทธิในการเข้าถึง แก้ไข ลบ จำกัดการประมวลผล โอนย้ายข้อมูล และคัดค้าน หากต้องการใช้สิทธิเหล่านี้หรือมีข้อสอบถามด้านความเป็นส่วนตัว โปรดติดต่อ support@saasthai.com ดูรายละเอียดทั้งหมดได้ที่ นโยบายความเป็นส่วนตัว ของเรา
12. การเปลี่ยนแปลงประกาศ
FlintDB อาจปรับปรุงประกาศฉบับนี้เป็นครั้งคราว เมื่อมีการแก้ไข เราจะปรับปรุงวันที่ "ปรับปรุงล่าสุด" ด้านบน และจะแจ้งการเปลี่ยนแปลงที่มีนัยสำคัญผ่านแอปพลิเคชันหรือทางอีเมลตามความเหมาะสม