Privacy Policy
นโยบายความเป็นส่วนตัวฉบับนี้อธิบายว่าแอปพลิเคชัน Mordoo (มอร์ดู) — แอปสนทนาดูดวงไพ่ทาโรต์ด้วยปัญญาประดิษฐ์ (AI) — เก็บรวบรวม ใช้ เปิดเผย และเก็บรักษาข้อมูลส่วนบุคคลของคุณอย่างไร ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และข้อกำหนดของ Apple App Store และ Google Play
ผู้ควบคุมข้อมูลส่วนบุคคล:
Mordoo Team (ทีมงาน Mordoo)
ช่องทางติดต่อ:
mordoo@maxz.io
ปัจจุบันแอปยังไม่มีการชำระเงินในแอป เราจึงไม่เก็บข้อมูลการชำระเงินหรือข้อมูลบัตรใด ๆ
| ข้อมูล | จำเป็น/สมัครใจ | ผลหากไม่ให้ข้อมูล |
|---|---|---|
| รหัสอุปกรณ์ (device identifier) | จำเป็นต่อการให้บริการโหมดทดลองใช้ (guest) และการควบคุมโควตา | ไม่สามารถใช้งานโหมดทดลองใช้ได้ |
| เนื้อหาคำถาม/บทสนทนา | จำเป็นต่อการสร้างคำทำนาย (เป็นสาระของบริการ) | ระบบไม่สามารถสร้างคำทำนายให้ได้ |
| เบอร์โทรศัพท์ หรือบัญชี LINE | สมัครใจ — ใช้เมื่อต้องการสมัครบัญชีถาวร | ยังใช้แอปได้ในโหมดทดลองใช้ (guest) เท่านั้น ภายใต้โควตาการใช้งานฟรีที่จำกัด และจะไม่สามารถกู้คืน/ย้ายประวัติข้ามอุปกรณ์ได้ |
| ชื่อที่แสดง / รูปโปรไฟล์ / อีเมล | สมัครใจ | ใช้บริการหลักได้ตามปกติ |
เราเปิดเผยข้อมูลให้เฉพาะผู้ให้บริการที่จำเป็นต่อการทำงานของแอป ดังนี้
| ผู้รับข้อมูล | ข้อมูลที่ได้รับ | วัตถุประสงค์ |
|---|---|---|
| ผู้ให้บริการโมเดล AI (third-party AI): Google Gemini (Google LLC) และ OpenRouter, Inc. | ข้อความคำถาม บริบทบทสนทนา และไพ่ที่เลือก ที่จำเป็นต่อการสร้างคำทำนาย | สร้างคำทำนายด้วย AI |
| Sentry (Functional Software, Inc.) | รายงานข้อขัดข้อง ข้อมูลอุปกรณ์/เวอร์ชันแอป และรหัสผู้ใช้ | ตรวจสอบและแก้ไขข้อผิดพลาดของแอป |
| PostHog (PostHog, Inc. — โฮสต์ในสหภาพยุโรป) | เหตุการณ์การใช้งานในแอปเชิงพฤติกรรม และรหัสผู้ใช้/รหัสอุปกรณ์ (ลบเบอร์โทร/อีเมลออกก่อนส่ง ไม่มีเนื้อหาบทสนทนา) | วิเคราะห์การใช้งานเพื่อปรับปรุงบริการ (product analytics) |
| OneSignal (OneSignal, Inc.) | โทเค็น/รหัสสมัครรับการแจ้งเตือนของอุปกรณ์ และรหัสผู้ใช้สำหรับการ target แบบ external ID | ส่ง push notification ที่คุณอนุญาต |
| Apple Push Notification service (APNs) และ Firebase Cloud Messaging (FCM) | โทเค็น/รหัสอุปกรณ์ที่จำเป็นต่อการส่ง notification ของ iOS/Android | โครงสร้างพื้นฐานสำหรับส่ง push notification ไปยังอุปกรณ์ |
| LINE (LY Corporation / LINE Company (Thailand)) | การยืนยันตัวตนผ่านบัญชี LINE ของคุณ (เมื่อคุณเลือกเข้าสู่ระบบด้วย LINE) | การเข้าสู่ระบบด้วย LINE |
| ผู้ให้บริการส่งข้อความ SMS: SEPSMS และ Thaibulksms | เบอร์โทรศัพท์ปลายทาง ณ เวลาส่งรหัส OTP | ส่งรหัส OTP เพื่อยืนยันตัวตน |
| Google AdMob (Google LLC) — เฉพาะเมื่อเปิดโฆษณา | รหัสโฆษณาและข้อมูลอุปกรณ์ (ดูข้อ 11) | แสดงโฆษณา |
การเปิดเผยเรื่อง AI: เนื้อหาบทสนทนาของคุณจะถูกส่งให้ผู้ให้บริการโมเดล AI ภายนอกข้างต้นเพื่อสร้างคำทำนาย เราไม่สามารถลบข้อมูลที่อยู่ในระบบของผู้ให้บริการเหล่านั้นแทนคุณได้ — การเก็บรักษาฝั่งผู้ให้บริการเป็นไปตามนโยบายความเป็นส่วนตัวของผู้ให้บริการแต่ละราย
คำยืนยันการคุ้มครองเทียบเท่า: เรายืนยันว่าบุคคลที่สามที่ได้รับข้อมูลตามนโยบายนี้ให้การคุ้มครองข้อมูลของผู้ใช้ ในระดับเดียวกันหรือเทียบเท่ากับที่ระบุไว้ในนโยบายฉบับนี้
เราไม่ขายข้อมูลส่วนบุคคลของคุณ และไม่เปิดเผยข้อมูลแก่บุคคลอื่นนอกเหนือจากที่ระบุไว้ เว้นแต่เป็นการปฏิบัติตามกฎหมายหรือคำสั่งโดยชอบของหน่วยงานรัฐ
ผู้ให้บริการบางราย (เช่น ผู้ให้บริการโมเดล AI, Sentry, PostHog, OneSignal, APNs และ FCM) มีเซิร์ฟเวอร์อยู่นอกประเทศไทย เช่น สหรัฐอเมริกาและสหภาพยุโรป ข้อมูลที่เกี่ยวข้อง (เนื้อหาบทสนทนาที่ส่งไปประมวลผล, รายงานข้อขัดข้อง, เหตุการณ์การใช้งาน) จึงถูกส่งไปยังต่างประเทศตามความจำเป็นในการให้บริการ เราเลือกใช้ผู้ให้บริการที่มีมาตรการคุ้มครองข้อมูลที่เพียงพอ และดำเนินการตามหลักเกณฑ์การส่งข้อมูลไปต่างประเทศของ PDPA (มาตรา 28–29)
หลักการสำคัญ: เมื่อคุณขอลบบัญชี บัญชีจะถูกระงับทันที และข้อมูลทั้งหมดจะถูกลบถาวรหลังครบช่วงเวลารอลบ (retention window) 14 วัน ช่วงเวลานี้มีไว้เพื่อ (1) ให้คุณเปลี่ยนใจกู้คืนบัญชีได้ด้วยการเข้าสู่ระบบอีกครั้ง และ (2) ป้องกันการทุจริตจากการลบบัญชีแล้วสมัครใหม่วนซ้ำเพื่อรับโควตาใช้งานฟรีใหม่ (เหตุผลด้านความปลอดภัย/ป้องกันการฉ้อฉล ซึ่งเราเปิดเผยไว้อย่างชัดเจน ณ ที่นี้)
| ประเภทข้อมูล | เก็บนานเท่าไร | เมื่อลบบัญชี |
|---|---|---|
| ตัวตนบัญชี (ชื่อ, อีเมล, เบอร์โทร, LINE ID) | ตลอดอายุบัญชี | ระงับทันที; คงอยู่ระหว่างช่วงรอลบเพื่อการกู้คืนและป้องกันการเวียนใช้โควตา; ลบ/ทำให้ไม่ระบุตัวตนถาวรเมื่อครบ 14 วัน |
| บทสนทนา / ประวัติการดูดวง | ตลอดอายุบัญชี | ลบถาวรเมื่อครบ 14 วัน (เข้าถึงไม่ได้ตั้งแต่ขอลบ) |
| ข้อมูลที่ระบบจดจำ (memory) | 90 วันนับจากการใช้งานครั้งล่าสุด | ลบถาวรเมื่อครบ 14 วัน |
| รหัสอุปกรณ์ที่ผูกบัญชีทดลองใช้ (guest device binding) | ตลอดอายุบัญชี | คงอยู่ระหว่างช่วงรอลบ (ป้องกันการเวียนใช้โควตา) แล้วลบถาวรเมื่อครบ 14 วัน |
| โทเค็นการเข้าสู่ระบบ (refresh tokens) | 30 วัน หรือจนถูกเพิกถอน | เพิกถอนทันทีทุกอุปกรณ์ และลบเมื่อลบถาวร |
| รายการรหัส OTP | รหัสมีอายุ 5 นาที; รายการถูกลบอัตโนมัติเมื่อหมดอายุเกิน 24 ชั่วโมง | ลบเมื่อลบถาวร |
| สถิติการใช้งานระบบ (ไม่มีเนื้อหาบทสนทนา) | เก็บต่อเนื่องแบบไม่ระบุตัวตน | ตัดการเชื่อมโยงกับตัวตน (anonymize) |
| บันทึกการลบบัญชี (audit log — ไม่มีข้อมูลส่วนตัว) | 365 วัน | เก็บไว้เพื่อความปลอดภัยและการตรวจสอบ |
| บันทึกระบบ (server logs) | 14 วัน | หมดอายุเองตามรอบ |
| รายงานข้อขัดข้อง (Sentry) | ตามรอบเก็บรักษาของผู้ให้บริการ (ประมาณ 90 วัน) | เราล้างรหัสผู้ใช้ฝั่งแอปทันที (มีผลกับรายงานใหม่) รายงานที่ส่งไปแล้วจะหมดอายุตามรอบของ Sentry |
| เหตุการณ์การใช้งานเชิงพฤติกรรม (PostHog) | ตามรอบเก็บรักษาของ PostHog (ตามการตั้งค่าโปรเจกต์) | เราตัดการเชื่อมโยงตัวตน (reset) ฝั่งแอปเมื่อลบบัญชี เหตุการณ์ที่ส่งไปแล้วจะหมดอายุตามรอบของ PostHog |
| โทเค็น/รหัสสมัครรับการแจ้งเตือน (OneSignal/APNs/FCM) | เท่าที่จำเป็นเพื่อส่งการแจ้งเตือนที่คุณอนุญาต | หยุดใช้เมื่อคุณปิด permission/ออกจากระบบหรือระบบลบ subscription |
| สำเนาสำรองข้อมูล (database backups) | 30 วัน | ข้อมูลที่ลบแล้วจะหมดไปพร้อมรอบสำรองข้อมูล |
| ข้อความที่ส่งให้ผู้ให้บริการ AI | ตามนโยบายของผู้ให้บริการแต่ละราย | ฝั่งเราลบทั้งหมด; ฝั่งผู้ให้บริการเป็นไปตามนโยบายของผู้ให้บริการ |
| เบอร์โทรที่ส่งให้ผู้ให้บริการ SMS | ตามนโยบายของผู้ให้บริการ | เป็นไปตามนโยบายของผู้ให้บริการ (เปิดเผยไว้ ณ ที่นี้) |
สรุปการเปิดเผยเรื่องการลบและการเก็บรักษา: เมื่อยืนยันการลบ บัญชีจะถูกระงับทันทีและออกจากระบบทุกอุปกรณ์ ข้อมูลทั้งหมด (โปรไฟล์ ประวัติการดูดวง บทสนทนา และข้อมูลที่ระบบจดจำ) จะถูกลบถาวรหลังครบ 14 วัน หากเปลี่ยนใจ คุณสามารถเข้าสู่ระบบอีกครั้งภายใน 14 วัน เพื่อยกเลิกการลบและเปิดใช้งานบัญชีเดิมได้ หลังการลบถาวร ข้อมูลที่ยังคงอยู่ชั่วคราวตามรอบของระบบ: บันทึกระบบ (สูงสุด 14 วัน), รายงานข้อขัดข้อง (ตามรอบของผู้ให้บริการ ประมาณ 90 วัน), เหตุการณ์การใช้งานเชิงพฤติกรรม (ตามรอบของ PostHog), สำเนาสำรองข้อมูล (สูงสุด 30 วัน) เราเก็บสถิติการใช้งานแบบไม่ระบุตัวตน และบันทึกการลบบัญชีที่ไม่มีข้อมูลส่วนตัว (365 วัน) ไว้เพื่อความปลอดภัยและการปฏิบัติตามกฎหมาย
คุณลบบัญชีได้ 2 ช่องทาง:
กลไกการลบ:
เราใช้มาตรการเชิงเทคนิคและเชิงบริหารจัดการที่เหมาะสม เช่น การเข้ารหัสข้อมูลระหว่างรับส่ง (HTTPS/TLS), การเก็บข้อมูลการเข้าสู่ระบบบนอุปกรณ์ของคุณในที่เก็บแบบเข้ารหัสของระบบปฏิบัติการ (iOS Keychain / Android Keystore), การเก็บรหัสยืนยันแบบแฮช, การจำกัดอายุโทเค็นการเข้าถึง, การจำกัดสิทธิเข้าถึงข้อมูลภายในทีม และการบันทึกการดำเนินการสำคัญ เพื่อปกป้องข้อมูลของคุณจากการเข้าถึง ใช้ หรือเปิดเผยโดยมิชอบ
คุณมีสิทธิดังต่อไปนี้ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562:
ส่งคำขอใช้สิทธิได้ที่ mordoo@maxz.io — เราจะตอบกลับและดำเนินการภายใน 30 วันนับจากได้รับคำขอที่ครบถ้วน หากคุณเห็นว่าการประมวลผลข้อมูลไม่เป็นไปตามกฎหมาย คุณมีสิทธิร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)
ปัจจุบันแอปตั้งค่าเริ่มต้นเป็นปิดโฆษณา หากในอนาคตเวอร์ชันแอปที่คุณใช้เปิดการแสดงโฆษณา:
บริการนี้ออกแบบสำหรับผู้ใช้อายุ 16 ปีขึ้นไป ผู้ที่อายุต่ำกว่า 16 ปีต้องได้รับความยินยอมจากผู้ปกครองก่อนใช้บริการ เราไม่เจตนาเก็บข้อมูลของเด็กโดยไม่มีความยินยอมที่ถูกต้อง หากพบว่ามีการเก็บข้อมูลดังกล่าว โปรดติดต่อเราเพื่อดำเนินการลบ
เราอาจปรับปรุงนโยบายนี้เป็นครั้งคราว ฉบับล่าสุดจะเผยแพร่ที่หน้านี้พร้อมวันที่มีผลบังคับใช้ หากมีการเปลี่ยนแปลงสาระสำคัญ เราจะแจ้งผ่านแอปหรือช่องทางที่เหมาะสมก่อนมีผล
ผู้ควบคุมข้อมูล: Mordoo Team (ทีมงาน Mordoo)
อีเมล: mordoo@maxz.io
เอกสารที่เกี่ยวข้อง:
ข้อกำหนดการใช้งาน ·
วิธีลบบัญชี
This Privacy Policy explains how the Mordoo application — an AI-powered tarot reading chat app — collects, uses, discloses, and retains your personal data, in accordance with Thailand's Personal Data Protection Act B.E. 2562 (2019) ("PDPA") and the requirements of the Apple App Store and Google Play.
Data controller:
Mordoo Team
Contact:
mordoo@maxz.io
The app currently has no in-app payments, so we do not collect any payment or card data.
| Data | Required / Optional | Consequence if not provided |
|---|---|---|
| Device identifier | Required for guest mode and quota enforcement | Guest mode cannot be provided |
| Question / chat content | Required to generate a reading (it is the substance of the service) | The system cannot generate a reading |
| Phone number or LINE account | Optional — used only to register a permanent account | You can still use the app, but in guest mode only, subject to the limited free quota, and history cannot be recovered or moved across devices |
| Display name / profile picture / email | Optional | Core service unaffected |
We disclose data only to the service providers necessary to operate the app:
| Recipient | Data received | Purpose |
|---|---|---|
| Third-party AI model providers: Google Gemini (Google LLC) and OpenRouter, Inc. | Your question text, conversation context, and selected cards as needed to generate the reading | AI reading generation |
| Sentry (Functional Software, Inc.) | Crash reports, device/app-version data, and user identifier | Diagnosing and fixing app errors |
| PostHog (PostHog, Inc. — hosted in the European Union) | Behavioral in-app events and your user/device identifier (phone numbers/emails stripped before sending; no chat content) | Product analytics to improve the service |
| OneSignal (OneSignal, Inc.) | Device push tokens/subscription identifiers and user identifiers for external-ID targeting | Sending push notifications you allow |
| Apple Push Notification service (APNs) and Firebase Cloud Messaging (FCM) | Device tokens/identifiers needed for iOS/Android notification delivery | Push-notification delivery infrastructure |
| LINE (LY Corporation / LINE Company (Thailand)) | Authentication via your LINE account (when you choose LINE login) | LINE login |
| SMS delivery provider: SEPSMS and Thaibulksms | The destination phone number at the time an OTP is sent | Sending OTP verification codes |
| Google AdMob (Google LLC) — only when ads are enabled | Advertising identifier and device data (Section 11) | Displaying ads |
AI disclosure: your chat content is sent to the third-party AI providers listed above to generate readings. We cannot delete data held in those providers' systems on your behalf — provider-side retention follows each provider's own privacy policy.
Equal-protection confirmation: we confirm that the third parties receiving data under this policy provide the same or equal protection of user data as stated in this policy.
We do not sell your personal data and do not disclose it to anyone beyond the parties listed here, except where required by law or a lawful order of a government authority.
Some providers (such as the AI model providers, Sentry, PostHog, OneSignal, APNs, and FCM) operate servers outside Thailand, for example in the United States and the European Union. The relevant data (chat content sent for processing, crash reports, usage events) is therefore transferred abroad as necessary to provide the service. We select providers with adequate data-protection measures and follow the PDPA's cross-border transfer rules (Sections 28–29).
Key principle: when you request deletion, your account is suspended immediately and all data is permanently deleted after a 14-day retention window. The window exists (1) so you can change your mind and recover the account by logging in again, and (2) to prevent fraud through repeated delete-and-re-register cycles aimed at recycling the free usage quota (a security/fraud-prevention reason that we disclose here).
| Data type | Retention | On account deletion |
|---|---|---|
| Account identity (name, email, phone, LINE ID) | Life of the account | Suspended immediately; kept during the window for recovery and quota-recycling prevention; permanently deleted/anonymized after 14 days |
| Conversations / reading history | Life of the account | Permanently deleted after 14 days (inaccessible from the moment deletion is requested) |
| AI memory facts | 90 days from last use | Permanently deleted after 14 days |
| Guest device binding | Life of the account | Kept during the window (quota-recycling prevention), then permanently deleted after 14 days |
| Login tokens (refresh tokens) | 30 days or until revoked | Revoked immediately on all devices; deleted at purge |
| OTP records | Codes valid 5 minutes; records auto-pruned once expired for over 24 hours | Deleted at purge |
| System usage statistics (no chat content) | Kept indefinitely in anonymized form | Anonymized (unlinked from your identity) |
| Account-deletion audit log (contains no personal data) | 365 days | Kept for security and audit purposes |
| Server logs | 14 days | Expire on their normal cycle |
| Crash reports (Sentry) | Per the provider's retention cycle (approximately 90 days) | We clear the user identifier on the app side immediately (affects new reports); already-sent reports expire on Sentry's cycle |
| Behavioral analytics events (PostHog) | Per PostHog's retention cycle (per project settings) | We reset the identity link on the app side on deletion; already-sent events expire on PostHog's cycle |
| Push tokens / notification subscription identifiers (OneSignal/APNs/FCM) | As long as needed to send notifications you allow | No longer used when you disable permission, log out, or the subscription is removed |
| Database backups | 30 days | Deleted data ages out with the backup cycle |
| Messages sent to AI providers | Per each provider's policy | Fully deleted on our side; provider-side per the provider's policy |
| Phone numbers sent to the SMS provider | Per the provider's policy | Per the provider's policy (disclosed here) |
Deletion and retention disclosure (summary): when you confirm deletion, your account is suspended immediately and signed out on all devices. All data (profile, reading history, conversations, and remembered information) is permanently deleted after 14 days. If you change your mind, you can log in again within 14 days to cancel the deletion and reactivate your account. After permanent deletion, data that temporarily remains on system cycles: server logs (up to 14 days), crash reports (per the provider's cycle, approximately 90 days), behavioral analytics events (per PostHog's cycle), and database backups (up to 30 days). We keep anonymized usage statistics and a personal-data-free account-deletion audit record (365 days) for security and legal compliance.
You can delete your account through two channels:
How deletion works:
We apply appropriate technical and organizational measures — including encryption in transit (HTTPS/TLS), on-device login credentials stored in the operating system's encrypted storage (iOS Keychain / Android Keystore), hashed verification codes, short-lived access tokens, internal access restrictions, and audit logging of critical operations — to protect your data against unauthorized access, use, or disclosure.
Under Thailand's Personal Data Protection Act B.E. 2562 (2019), you have the right to:
Send requests to mordoo@maxz.io. We will respond and act within 30 days of receiving a complete request. If you believe our processing violates the law, you have the right to lodge a complaint with Thailand's Personal Data Protection Committee (PDPC).
Advertising is currently off by default. If a future version you use enables ads:
The service is intended for users aged 16 and over. Users under 16 must have parental consent before using the service. We do not knowingly collect children's data without valid consent; if you believe we have done so, please contact us so we can delete it.
We may update this policy from time to time. The latest version will be published on this page with its effective date. For material changes, we will notify you through the app or another appropriate channel before they take effect.
Data controller: Mordoo Team
Email: mordoo@maxz.io
Related documents:
Terms of Service ·
How to delete your account