Owner Privacy Notice
Effective: 2026-05-03 · Last updated: 2026-05-03
1. Who we are
This notice describes how SamuiDays Co., Ltd. ("we", "SamuiDays") handles your personal data as a villa owner whose property is or was listed on samuidays.com or its predecessor samuidays.ru. We are the data controller under the Thai Personal Data Protection Act 2022 (PDPA).
Contact: privacy@samuidays.com
Postal address: [Bangkok / Koh Samui — TBD]
2. Why you are receiving this notice
SamuiDays operated a villa-listing service on samuidays.ru between 2014 and 2020. Your villa was listed during that period. The site was attacked in 2020 and is being relaunched on samuidays.com. This notice explains what data we still hold about you, how we propose to use it going forward, and your right to opt out at any time.
If you have never listed a villa with us and believe you received a message from us in error — please reply STOP or email privacy@samuidays.com and we will permanently delete your record.
3. What we hold about you
From the original samuidays.ru database (2014-2020):
- Contact data: name (where given), phone number, email (where given), preferred contact channel.
- Listing data: villa name, location, description, photos, price points, amenities — the public listing content you provided.
- Communication history: messages exchanged via the platform between you and prospective guests (where applicable).
We do not hold:
- bank-account or payment-card details (we did not process payments);
- passport or ID-card scans (we did not perform KYC at that time);
- health, political, religious, biometric or other sensitive data.
4. How we use it (lawful bases under PDPA)
- One-time SMS warm-up (legitimate interest, s.24(5) — documented prior business relationship + balancing test in writing): confirm whether your villa is still rented out and whether you wish to be relisted.
- Re-listing your villa on samuidays.com (performance of a contract, s.24(3) — the listing agreement): only after your explicit confirmation.
- Forwarding guest enquiries via WhatsApp (performance of a contract, s.24(3) + opt-in consent for the WhatsApp channel).
- Marketing (offers, platform news): explicit consent only (s.19), via separate opt-in checkbox.
Your data is never sold or shared with third parties for their own marketing.
5. WhatsApp opt-in (s.24(5) + s.19)
If you opt in to WhatsApp via the form linked from our SMS:
- We record: timestamp of opt-in, the policy text shown, your IP, your interface language.
- You can revoke consent any time: reply STOP in WhatsApp, click "unsubscribe" in any SMS, or email privacy@samuidays.com.
- Revocation takes effect within 24 hours.
- We send only Utility-category templates (real guest enquiries) unless you separately opt in to Marketing.
6. Retention
- Active owners (you confirm relisting): contact data kept while listing is active + 24 months for legal-claim handling.
- Inactive owners (no response in 90 days, or you reply STOP): contact data deleted within 30 days. Anonymised listing content may be retained for archival purposes only.
- Communication history with guests: 36 months from last interaction, then deleted.
7. Who we share with
- OVHcloud SAS (France, EU) — server hosting.
- Meta Platforms Inc. (USA) — only if you opt in to WhatsApp; messages flow via WhatsApp Business API. Meta is a separate controller for the messaging infrastructure under its own privacy policy.
- SMS gateway provider (Thailand) — for the initial SMS only; PDPA-compliant DPA in place.
- Backblaze B2 (USA / EU region) — encrypted backups.
We do not transfer your data to advertisers, brokers other than direct-rental enquirers, or any party outside this list.
8. Your rights under PDPA
You may at any time:
- Access the data we hold about you (s.30).
- Rectify inaccurate data (s.35).
- Erase your data (s.33) — actioned within 30 days unless legally required to retain.
- Restrict or object to processing (s.32, s.34).
- Withdraw consent (s.19) — for any consent-based processing (e.g. WhatsApp opt-in, marketing).
- Data portability (s.31) — receive your data in a machine-readable format.
- Lodge a complaint with PDPC Thailand at https://pdpc.or.th.
To exercise any right, email privacy@samuidays.com with subject "PDPA request". We verify identity (we may ask you to reference a recent SMS / WhatsApp we sent you, or call you on the phone number on file) and respond within 30 days.
9. Security and breach notification
Data is encrypted in transit (TLS 1.3) and at rest (AES-256 for backups). Access is restricted to authorised personnel on a least-privilege basis and is logged. If a breach poses a high risk, we notify PDPC within 72 hours and notify you directly by SMS, email, and/or WhatsApp without undue delay.
10. Operator
SamuiDays Co., Ltd.
Email: privacy@samuidays.com
Address: [Bangkok / Koh Samui — TBD]
To opt out of all SamuiDays communication: reply STOP to any SMS, send an email titled "STOP" to privacy@samuidays.com, or fill out the opt-out form at samuidays.com/legal/owner-opt-out (coming soon).
ประกาศความเป็นส่วนตัวสำหรับเจ้าของวิลล่า
มีผลใช้บังคับ: 3 พฤษภาคม 2569 · ปรับปรุงล่าสุด: 4 มิถุนายน 2569
ฉบับนี้เป็นร่างที่ผ่านการแก้ไขระดับข้อความตาม PDPA (v1 patch 2026-06-04) จะต้องผ่านการตรวจสอบโดยทนายความ PDPC ไทยก่อนเผยแพร่อย่างเป็นทางการ
1. ผู้ควบคุมข้อมูลส่วนบุคคล
ประกาศฉบับนี้อธิบายวิธีที่ บริษัท SamuiDays จำกัด ("เรา", "SamuiDays") จัดการข้อมูลส่วนบุคคลของท่านในฐานะเจ้าของวิลล่าที่มีหรือเคยมีรายการอยู่บน samuidays.com หรือเว็บไซต์รุ่นก่อน samuidays.ru เราเป็น ผู้ควบคุมข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
ติดต่อ: privacy@samuidays.com
ที่อยู่ไปรษณีย์: [กรุงเทพฯ / เกาะสมุย — รอกำหนด]
2. เหตุผลที่ท่านได้รับประกาศฉบับนี้
SamuiDays ให้บริการลงรายการวิลล่าผ่านเว็บไซต์ samuidays.ru ระหว่างปี พ.ศ. 2557 ถึง 2563 วิลล่าของท่านอยู่ในรายการในช่วงเวลาดังกล่าว เว็บไซต์ถูกโจมตีในปี พ.ศ. 2563 และกำลังเปิดให้บริการใหม่บนโดเมน samuidays.com ประกาศฉบับนี้อธิบายว่าเรายังเก็บข้อมูลใดเกี่ยวกับท่านบ้าง เราเสนอจะใช้ข้อมูลอย่างไรต่อไป และสิทธิของท่านในการปฏิเสธหรือถอนยินยอมได้ทุกเมื่อ
หากท่าน ไม่เคย ลงรายการวิลล่ากับเรา และเชื่อว่าท่านได้รับข้อความจากเราโดยผิดพลาด — กรุณาตอบ STOP หรือส่งอีเมลถึง privacy@samuidays.com เราจะลบข้อมูลของท่านออกอย่างถาวร
3. ข้อมูลที่เราเก็บเกี่ยวกับท่าน
จากฐานข้อมูล samuidays.ru เดิม (พ.ศ. 2557–2563):
- ข้อมูลติดต่อ: ชื่อ, หมายเลขโทรศัพท์, อีเมล, ช่องทางติดต่อที่ท่านสะดวก
- ข้อมูลรายการวิลล่า: ชื่อวิลล่า, ที่ตั้ง, คำบรรยาย, รูปภาพ, ราคา, สิ่งอำนวยความสะดวก
- ประวัติการสื่อสาร: ข้อความระหว่างท่านกับผู้สนใจเข้าพักผ่านแพลตฟอร์ม (ถ้ามี)
เรา ไม่ได้ เก็บข้อมูลบัญชีธนาคาร / บัตรเครดิต, สำเนาบัตรประชาชน หรือข้อมูลที่อ่อนไหว
4. วิธีที่เราใช้ข้อมูล (ฐานทางกฎหมายตาม PDPA)
- SMS หนึ่งครั้ง (ประโยชน์อันชอบด้วยกฎหมาย ตามมาตรา 24(5) — มีบันทึกความสัมพันธ์ทางธุรกิจก่อนหน้า และมีการบันทึกการทดสอบความสมดุลประโยชน์เป็นลายลักษณ์อักษรตามข้อกำหนดของมาตรา 24(5)): ยืนยันสถานะวิลล่าและความประสงค์ลงรายการอีกครั้ง
- ลงรายการวิลล่าใหม่ (การปฏิบัติตามสัญญา ตามมาตรา 24(3)): เฉพาะหลังท่านยืนยันชัดแจ้ง
- ส่งต่อคำสอบถามจากผู้เข้าพัก ผ่าน WhatsApp (มาตรา 24(3) + ความยินยอม opt-in)
- การตลาด (โปรโมชัน): ความยินยอมโดยชัดแจ้งเท่านั้น (มาตรา 19)
ข้อมูลของท่านจะ ไม่ ถูกขายหรือแบ่งปันกับบุคคลที่สามเพื่อวัตถุประสงค์ทางการตลาดของบุคคลดังกล่าว
5. การยินยอม WhatsApp (มาตรา 24(5) + มาตรา 19)
หากท่าน opt-in สำหรับ WhatsApp ผ่านแบบฟอร์มในลิงก์ SMS:
- เราบันทึกเวลาที่ opt-in, ข้อความนโยบายที่แสดง, IP และภาษาของอินเตอร์เฟส
- ถอนความยินยอมได้ทุกเมื่อ: ตอบ STOP ใน WhatsApp, คลิก "unsubscribe" ใน SMS, หรืออีเมล privacy@samuidays.com
- การถอนความยินยอมมีผลภายใน 24 ชั่วโมง
- เราส่งเฉพาะข้อความประเภท Utility (คำสอบถามจากผู้เข้าพักจริง) เว้นแต่ท่านจะ opt-in ประเภทการตลาดแยกต่างหาก
6. ระยะเวลาเก็บรักษา
- เจ้าของที่ active (ยืนยันลงรายการ): เก็บข้อมูลตลอดอายุรายการ + 24 เดือนเพื่อรองรับข้อเรียกร้องทางกฎหมาย
- เจ้าของที่ไม่ตอบกลับ (inactive): ลบข้อมูลภายใน 30 วัน นับจากวันที่ครบ 90 วันนับแต่ส่ง SMS หรือวันที่ท่านตอบ STOP แล้วแต่อย่างใดเกิดขึ้นก่อน เนื้อหารายการที่ไม่ระบุตัวตนอาจเก็บไว้เพื่อวัตถุประสงค์ด้านเอกสารเท่านั้น
- ประวัติการสื่อสารกับผู้เข้าพัก: 36 เดือนนับจากการติดต่อครั้งล่าสุด จากนั้นลบออก
7. ผู้ที่เราแบ่งปันข้อมูลด้วย
- OVHcloud SAS (ฝรั่งเศส, EU) — โฮสติ้งเซิร์ฟเวอร์
- Meta Platforms Inc. (สหรัฐฯ) — เฉพาะกรณีที่ท่าน opt-in WhatsApp; ข้อความส่งผ่าน WhatsApp Business API Meta Platforms ทำหน้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลอิสระสำหรับโครงสร้างพื้นฐานการรับส่งข้อความ ภายใต้นโยบายความเป็นส่วนตัวของ Meta เอง ไม่ใช่ผู้ประมวลผลข้อมูลของ SamuiDays
- ผู้ให้บริการ SMS gateway (ประเทศไทย) — เฉพาะ SMS เริ่มต้น; มี DPA ที่เป็นไปตาม PDPA
- Backblaze B2 (สหรัฐฯ / ภูมิภาค EU) — สำรองข้อมูลที่เข้ารหัส
เรา ไม่ ถ่ายโอนข้อมูลของท่านไปยังผู้โฆษณา นายหน้า หรือบุคคลนอกรายการนี้
8. สิทธิของท่านตาม PDPA
- เข้าถึง ข้อมูลที่เราเก็บเกี่ยวกับท่าน (มาตรา 30)
- แก้ไข ข้อมูลที่ไม่ถูกต้อง (มาตรา 35)
- ลบ ข้อมูลของท่าน (มาตรา 33) — ดำเนินการภายใน 30 วัน เว้นแต่กฎหมายกำหนดให้เก็บ
- จำกัด หรือ คัดค้าน การประมวลผล (มาตรา 32, มาตรา 34)
- ถอนความยินยอม (มาตรา 19) — สำหรับการประมวลผลที่อาศัยความยินยอม เช่น WhatsApp opt-in, การตลาด
- ความสามารถในการโอนย้ายข้อมูล (มาตรา 31) — รับข้อมูลของท่านในรูปแบบที่เครื่องอ่านได้
- ร้องเรียน ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ที่ https://pdpc.or.th
ส่งอีเมลถึง privacy@samuidays.com หัวข้อ "PDPA request" เราจะยืนยันตัวตนและตอบกลับภายใน 30 วัน
9. ความปลอดภัยและการแจ้งเหตุละเมิด
ข้อมูลเข้ารหัสระหว่างการส่ง (TLS 1.3) และขณะจัดเก็บ (AES-256 สำหรับข้อมูลสำรอง) การเข้าถึงจำกัดเฉพาะบุคลากรที่ได้รับอนุญาตและมีการบันทึกการเข้าถึง กรณีเกิดการละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงสูงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล (มาตรา 37(3)) เราจะแจ้ง PDPC ภายใน 72 ชั่วโมง และแจ้งท่านโดยตรงทาง SMS อีเมล และ/หรือ WhatsApp โดยไม่ชักช้า
10. ข้อมูลผู้ควบคุมข้อมูลส่วนบุคคล
บริษัท SamuiDays จำกัด
อีเมล: privacy@samuidays.com
ที่อยู่: [กรุงเทพฯ / เกาะสมุย — รอกำหนด]
เพื่อยกเลิกการสื่อสารจาก SamuiDays ทั้งหมด: ตอบ STOP ใน SMS ใด ๆ, ส่งอีเมลหัวข้อ "STOP" ถึง privacy@samuidays.com, หรือกรอกแบบฟอร์มยกเลิกที่ samuidays.com/legal/owner-opt-out (เร็ว ๆ นี้)