01適用範圍。

呢份政策適用於 octoflowautomation.com 同所有 subdomain，包括 magnet landing pages、thank-you pages、blog、及由我哋發出嘅 email。亦適用於透過 Instagram (@octoflow.automation) 同 Threads 同我哋互動產生嘅資料 — 例如 DM、留言、follow。

如果你係經由其他第三方 platform（例如 Brevo 收 email 嘅 hosted form、Calendly booking page）同我哋互動，嗰啲 platform 嘅私隱政策亦同時適用。

02我哋收咩資料。

我哋只收能夠完成你 request 嘅最少資料：

• Email 地址同 first name — 當你 subscribe 任何 magnet form。
• IG / Threads username + DM 內容 — 當你經 comment2dm trigger 同我哋互動，或者直接 DM。
• 瀏覽資料 — 例如 page URL、referrer、browser type、approximate location（country-level）— 透過 server log 同 analytics 收集，唔包個人 identifier。
• Form 入面其他自願 fill 嘅 field — 例如 business type、website URL（如果你響某啲 form 填咗）。

我哋 唔會 主動收集：身份證號、信用卡資料、地址、電話號碼。如果你喺 email 入面自願提供呢啲資料畀我哋（例如 reply 我哋封 email 講你個 business detail），我哋只會用嚟回覆你，唔會 store 入 marketing list。

03點解收、點 process。

我哋收 email 嘅 lawful basis 係 consent — 你主動填 form、剔同意條款先收集。具體用途：

• 派 magnet 內容（playbook、template、bonus 連結）。
• 每星期一次嘅 newsletter — 內容係 SME automation playbook 同 case study。
• 偶爾通知 1對1 audit slot 嘅 opening。
• 回覆你直接發出嘅 inquiry。

我哋 唔會 將你嘅 email 同任何第三方 share 用作 marketing 用途，亦唔會 sell / rent / trade 任何 list。

04第三方 Processor。

我哋用以下第三方服務 process 你嘅資料。佢哋每一個都有自己嘅私隱政策，亦都同我哋有 data processing agreement：

• Brevo
  Email marketing platform（前稱 Sendinblue），總部 France，server 喺 EU。收 email subscription、發送 newsletter、跑 nurture automation。請參考 Brevo Privacy Policy。
• comment2dm
  IG comment → DM automation。經 Meta Graph API access 你 IG 公開留言同 send DM。Process 嘅資料：username、留言內容、DM 內容。請參考 comment2dm 自己嘅私隱政策（會於佢哋官網提供）。
• Meta (IG API)
  IG comment + DM 經由 Meta Instagram Graph API 流通。受 Meta Privacy Policy 規管。
• WordPress + Astra
  網站 hosting 同 theme。Server log（IP、user-agent、URL）保留期 30 日，純粹用作 security 同 debug。
• Cloudflare
  CDN + DDoS protection。Process 你嘅 IP 同 request metadata。請參考 Cloudflare Privacy Policy。

如果我哋日後新增其他 processor（例如 CRM、scheduling tool），會 update 呢個 list。

05Cookie 同 Analytics。

我哋用 最少 cookies：

• Essential cookies — WordPress session、CSRF protection。冇咗呢啲個 site 行唔到，無得 opt-out。
• Analytics — 用 Cloudflare Web Analytics（cookieless、唔追蹤個人）監察流量同 page performance。冇 collect IP 或者 device fingerprint 入 marketing profile。
• 第三方 embed — Brevo form 可能設 functional cookie 用作 spam protection。受 Brevo 自己嘅 cookie 政策規管。

我哋 冇用：Google Analytics、Meta Pixel、TikTok Pixel、或者任何 cross-site advertising tracker。

06你嘅權利。

對於我哋持有嘅關於你嘅資料，你有以下權利：

• Access — 知道我哋有你咩資料。
• Rectify — 更正錯誤資料。
• Delete — 要求我哋刪除你嘅資料（每封 email 嘅 unsubscribe link 會 trigger Brevo 自動刪除；其他 channel 請 email 我哋）。
• Object / Restrict — 要求我哋停止某類 processing（例如停 newsletter 但保留 audit booking 紀錄）。
• Portability — 攞返你資料嘅 export（CSV format）。
• Unsubscribe — 每封 marketing email 底都有 unsubscribe link，撳一下即刻生效。

行使任何權利，email hello@octoflowautomation.com，我哋 7 個工作天內回覆。

07資料保留同刪除。

Email subscriber：保留至你 unsubscribe，或者連續 24 個月無打開過任何一封 email（會自動由 list 清走）。

IG DM 紀錄：comment2dm dashboard 預設 90 日 rolling window，過期自動刪除。Meta 自己嘅 storage 受佢哋 retention policy 規管。

Server log：30 日。

當收到刪除要求，我哋會喺 30 日內處理，並且通知第三方 processor 一齊執行。

08資料安全。

所有 data transmission 用 TLS 1.2+。Admin access 用 2FA。Backup encrypted at rest。冇 export 任何 contact list 落 local machine 做長期儲存。

但係 — 冇任何 system 係 100% 安全。如果發生 data breach 影響到你嘅資料，我哋會喺 72 小時內 email 通知，並且講清楚範圍同建議行動。

09兒童私隱。

呢個 site 同我哋嘅 service 對象係 SME 老細，並無 target 18 歲以下嘅人。我哋唔會 knowingly 收集未成年人士嘅資料。如果你發現有兒童經由我哋 form subscribe 咗，請通知我哋，我哋會即刻刪除。

10政策更新。

呢份政策可能會 update — 例如新增 processor、改 retention period。任何重大改動，我哋會喺 update 前最少 7 日經 email 通知現有 subscriber，並且喺呢頁頂寫返 “Effective” date。

淨係格式 / 用字微調（typo fix、語句梳理）唔會發 notice。

11聯絡。