นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy policy)

บริษัท มิวซ์ อินโนเวชั่น จำกัด(“บริษัท”) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ของเจ้าของข้อมูล อันเป็นสิทธิขั้นพื้นฐานในความเป็นส่วนตัวของบุคคล โดยเจ้าของข้อมูลย่อมมีความประสงค์ที่จะให้ข้อมูลของตนได้รับการดูแลให้มีความมั่นคงปลอดภัย เพื่อให้เจ้าของข้อมูลเกิดความมั่นใจ ในการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูล บริษัทจึงได้กำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคล (“นโยบาย”) ฉบับนี้ขึ้นเพื่อกำหนดแนวทางในการปฏิบัติงานที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลของเจ้าของข้อมูล ดังปรากฏรายละเอียดในนโยบายฉบับนี้

1. วัตถุประสงค์

นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้มีวัตถุประสงค์ดังต่อไปนี้

1.1 เพื่อกำหนดบทบาทหน้าที่ของหน่วยงาน ผู้บริหาร พนักงาน ซึ่งมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล
1.2 เพื่อกำหนดขั้นตอนหรือมาตรฐานการรักษาความมั่นคงปลอดภัยในการคุ้มครองข้อมูลส่วนบุคคล
1.3 เพื่อกำหนดแนวทางในการปฏิบัติงานของพนักงานซึ่งเกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
1.4 เพื่อสร้างความเชื่อมั่นในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลต่อบุคคล ลูกค้า คู่ค้า ผู้ใช้บริการ ตลอดจนบุคคลอื่น ๆ ซึ่งมีส่วนได้เสียหรือเกี่ยวข้องกับข้อมูลส่วนบุคคล

2. ขอบเขตการบังคับใช้

นโยบายฉบับนี้ ใช้บังคับกับข้อมูลส่วนบุคคล ของ

2.1 ลูกค้าบุคคลธรรมดาของบริษัท ทั้งที่เป็นลูกค้าเป้าหมาย (ผู้ที่อาจเป็นลูกค้าในอนาคต) ลูกค้าปัจจุบัน และ ลูกค้าในอดีต
2.2 พนักงาน บุคลากร เจ้าหน้าที่ ผู้แทน ผู้ถือหุ้น บุคคลผู้มีอำนาจ กรรมการ ผู้ติดต่อ ตัวแทน และบุคคลธรรมดาอื่น ๆ ที่เกี่ยวข้องกับลูกค้านิติบุคคลของบริษัท ทั้งที่เป็นลูกค้าเป้าหมาย (ผู้ที่อาจเป็นลูกค้าในอนาคต) ลูกค้าปัจจุบัน และลูกค้าในอดีต และ
2.3 บุคคลธรรมดาที่มิใช่ลูกค้าของบริษัทซึ่งมีการทำธุรกรรมหรือกิจกรรมหรือมีความสัมพันธ์กับบริษัท เช่น ผู้ให้บริการภายนอก คู่ค้า คู่สัญญากับบริษัท หรือผู้ถือหุ้นของบริษัท เป็นต้น (ต่อไปนี้หากไม่เรียก 2.1 ถึง 2.3 โดยเฉพาะเจาะจง จะเรียกบุคคลตาม 2.1 ถึง 2.3 ดังกล่าวรวมกันว่า “เจ้าของข้อมูลส่วนบุคคล”)

3. คำนิยาม

คำศัพท์ ความหมาย
บริษัท บริษัท มิวซ์ อินโนเวชั่น จำกัด
บุคคล บุคคลธรรมดา
ข้อมูลส่วนบุคคล (Personal data) ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม  บริษัทอาจเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่ได้รับจากเจ้าของข้อมูลโดยตรง (เช่น แพลตฟอร์มลงทะเบียนของบริษัท) หรือได้รับหรือเข้าถึงได้จากแหล่งอื่น  (เช่น กรมพัฒนาธุรกิจการค้า กระทรวงพาณิชย์ กรมการปกครอง กระทรวงมหาดไทย กรมการกงสุล กระทรวงการต่างประเทศ บริษัทข้อมูลเครดิต กรมบังคับคดี สถาบันการเงิน ที่ปรึกษาทางวิชาชีพ สื่อสังคม แพลตฟอร์มออนไลน์ของบุคคลภายนอก หรือแหล่งข้อมูลสาธารณะอื่น ๆ) หรือผ่านบริษัทในเครือ ผู้ให้บริการ พันธมิตรทางธุรกิจ หน่วยงานทางการ หรือบุคคลภายนอก
ข้อมูลละเอียดอ่อน (Sensitive Data) ข้อมูลที่เป็นเรื่องส่วนบุคคลโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและอาจสุ่มเสี่ยงในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
เจ้าของข้อมูลส่วนบุคคล (Data Subject) ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น แต่ไม่ใช่กรณีที่บุคคลมีความเป็นเจ้าของข้อมูล (Ownership) หรือเป็นผู้สร้างหรือเก็บรวบรวมข้อมูลนั้นเอง โดยเจ้าของข้อมูลส่วนบุคคลนี้จะหมายถึงบุคคลธรรมดาเท่านั้น และไม่รวมถึง “นิติบุคคล” (Juridical Person) ที่จัดตั้งขึ้นตามกฎหมาย เช่น บริษัท สมาคม มูลนิธิ หรือองค์กรอื่นใดทั้งนี้ เจ้าของข้อมูลส่วนบุคคล ได้แก่ บุคคลดังต่อไปนี้

  1. เจ้าของข้อมูลส่วนบุคคลที่เป็นผู้บรรลุนิติภาวะ หมายถึง
    • บุคคลที่มีอายุตั้งแต่ 20 ปีบริบูรณ์ขึ้นไป หรือ
    • ผู้ที่สมรสตั้งแต่อายุ 17 ปีบริบูรณ์ขึ้นไป หรือ
    • ผู้ที่สมรสก่อนอายุ 17 ปี โดยศาลอนุญาตให้ทำการสมรส หรือ
    • ผู้เยาว์ซึ่งผู้แทนโดยชอบธรรมให้ความยินยอมในการประกอบธุรกิจทางการค้าหรือธุรกิจอื่น หรือในการทำสัญญาเป็นลูกจ้างในสัญญาจ้างแรงงาน ในความเกี่ยวพันกับการประกอบธุรกิจหรือ การจ้างแรงงานข้างต้นให้ผู้เยาว์มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้ว

ทั้งนี้ ในการให้ความยินยอมใด ๆ เจ้าของข้อมูลส่วนบุคคลที่เป็นผู้บรรลุนิติภาวะสามารถให้ความยินยอมได้ด้วยตนเอง

  1. จ้าของข้อมูลส่วนบุคคลที่เป็นผู้เยาว์ หมายถึง บุคคลที่อายุต่ำกว่า 20 ปีบริบูรณ์ และไม่ใช่ผู้บรรลุนิติภาวะตามข้อ 1 ทั้งนี้ ในการให้ความยินยอมใด ๆ จะต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย
  2. เจ้าของข้อมูลส่วนบุคคลที่เป็นคนเสมือนไร้ความสามารถ หมายถึง บุคคลที่ศาลสั่งให้เป็นคนเสมือนไร้ความสามารถ เนื่องจากมีกายพิการหรือมีจิตฟั่นเฟือนไม่สมประกอบ หรือประพฤติสุรุ่ยสุร่ายเสเพลเป็นอาจิณ หรือติดสุรายาเมา หรือมีเหตุอื่นใดทำนองเดียวกันนั้น จนไม่สามารถจะจัดทำการงานโดยตนเองได้ หรือจัดกิจการไปในทางที่อาจจะเสื่อมเสียแก่ทรัพย์สินของตนเองหรือครอบครัวทั้งนี้ ในการให้ความยินยอมใดๆ จะต้องได้รับความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถนั้นก่อน
  3. เจ้าของข้อมูลส่วนบุคคลที่เป็นคนไร้ความสามารถ หมายถึง บุคคลที่ศาลสั่งให้เป็นคนไร้ความสามารถ เนื่องจากเป็นบุคคลวิกลจริต ทั้งนี้ ในการให้ความยินยอมใดๆ จะต้องได้รับความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถนั้นก่อน

ทั้งนี้หากการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ไม่เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล  (Data Protection Officer: DPO) บุคคลซึ่งบริษัทแต่งตั้งให้ทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
การประมวลผลข้อมูลส่วนบุคคล (Data Processing) หมายถึง การดำเนินการหรือการปฏิบัติการใด ๆ ซึ่งเป็นการกระทำต่อข้อมูลส่วนบุคคล   ไม่ว่าจะด้วยวิธีการอัตโนมัติหรือไม่ก็ตาม เช่น การรวบรวม การบันทึก การจัดองค์กรโครงสร้าง การจัดเก็บ การปรับหรือการเปลี่ยนแปลง การสืบค้น การให้คำปรึกษา การใช้ การเปิดเผย โดยการส่งผ่าน การเผยแพร่ หรือการทำให้พร้อมใช้งาน การจัดระบบหรือการรวมกัน การจำกัด การลบ หรือการทำลายข้อมูลส่วนบุคคล เป็นต้น
คำจำกัดความอื่น ๆ ในกรณีที่นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ไม่ได้กำหนดไว้ ให้ถือปฏิบัติตามคำจำกัดความที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด

4. การคุ้มครองข้อมูลส่วนบุคคล

บริษัทให้ความสำคัญและเน้นย้ำถึงการคุ้มครองข้อมูลส่วนบุคคลโดยตระหนักว่าการประมวลผลข้อมูลในบริษัทจะต้องกระทำภายใต้หลักการ ดังนี้

4.1 หลักความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส (Lawfulness, fairness and transparency) : บริษัทจะประมวลผลข้อมูลเฉพาะตามที่บริษัท มีฐานที่ชอบด้วยกฎหมายรองรับและ บริษัท จะกำหนดวิธีการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลอย่างชัดเจน
4.2 หลักความจำกัดของขอบวัตถุประสงค์ (Purpose Limitation) : บริษัท จะประมวลผลข้อมูลเฉพาะเพื่อวัตถุประสงค์ตามที่ได้กำหนดและแจ้งไว้ในขณะที่บริษัท ได้รับข้อมูลส่วนบุคคลเท่านั้น เว้นแต่จะเป็นการประมวลผลเพื่อวัตถุประสงค์เกี่ยวเนื่องกันหรือเป็นการปฏิบัติหน้าที่ตามกฎหมายที่ชัดเจน
4.3 หลักการใช้ข้อมูลที่น้อยที่สุด (Data Minimization) : บริษัท จะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลเท่าที่จำเป็นเท่านั้นเพื่อที่จะบรรลุวัตถุประสงค์ของการประมวลผลข้อมูล
4.4 หลักความถูกต้องของข้อมูล (Accuracy) : บริษัท จะดำเนินการอย่างเหมาะสมเพื่อให้ข้อมูลส่วนบุคคลที่บริษัท จัดเก็บนั้นมีความถูกต้องสมบูรณ์และเป็นปัจจุบันโดยคำนึงถึงวัตถุประสงค์ของการประมวลผล
4.5 หลักความจำกัดของการเก็บรักษา (Storage Limitation) : บริษัท จะทำการเก็บรักษาข้อมูลไว้เท่าที่จำเป็นต้องใช้ เว้นแต่กรณีที่บริษัท จำเป็นต้องเก็บไว้เพื่อให้เป็นไปตามมาตรฐานของการเก็บรักษาเอกสารหรือตามกฎระเบียบของรัฐ
4.6 หลักความถูกต้องแท้จริงและการรักษาความลับ (Integrity and Confidentiality) : บริษัท จะจัดให้มีมาตรการทางเทคนิคและทางบริหารจัดการที่เหมาะสมเพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลที่บริษัท จัดเก็บได้รับการรักษาความมั่นคงปลอดภัยในระดับที่เหมาะสม
4.7 หลักความรับผิดชอบ (Accountability): บริษัท จะดำเนินการอย่างเหมาะสมเพื่อให้สามารถแสดงได้ว่าบริษัทได้ปฏิบัติตามหลักการต่าง ๆ ข้างต้น

5. การเก็บรวบรวมข้อมูล

บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลผ่านทางช่องทางต่าง ๆ ดังนี้

5.1 ข้อมูลส่วนบุคคลที่เจ้าของข้อมูลได้ให้ไว้แก่บริษัทโดยตรง โดยทั่วไปแล้ว บริษัท จะทำการรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลโดยตรง ซึ่งมักจะเกิดขึ้นจากการที่เจ้าของข้อมูลได้ทำการติดต่อสื่อสารกับบริษัท เพื่อสอบถามข้อมูล ให้ความเห็น คำติชม หรือ ส่งข้อร้องเรียน ผ่านทางเว็บไซต์, แอพพลิเคชั่น, โทรศัพท์, อีเมล หรือเพื่อสั่งซื้อสินค้าหรือว่าจ้างหรือใช้บริการจากบริษัท และเข้าทำสัญญากับบริษัท, การเสนอขายสินค้าหรือรับจ้างหรือให้บริการแก่บริษัท และเข้าทำสัญญา, การเข้าร่วมกิจกรรมทางการตลาดหรือกิจกรรมอื่น ๆ เป็นต้น
5.2 ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมจากเจ้าของข้อมูลโดยอัตโนมัติ บริษัทอาจเก็บรวมรวมข้อมูลทางเทคนิคบางอย่างเกี่ยวกับอุปกรณ์ กิจกรรมและรูปแบบการเข้าชม ข้อมูลประวัติการใช้งานเว็บไซต์ (Browsing) ของเจ้าของข้อมูลโดยอัตโนมัติ
5.3 ข้อมูลส่วนบุคคลที่บริษัท ได้รับจากบุคคลภายนอกบริษัทอาจได้รับข้อมูลส่วนบุคคลของเจ้าของข้อมูลมาจากบุคคลภายนอกเป็นครั้งคราว อาทิ จากแหล่งข้อมูลสาธารณะ แหล่งข้อมูลเกี่ยวกับธุรกิจของเจ้าของข้อมูล หรือ แหล่งข้อมูลทางการค้า ไม่ว่าเจ้าของข้อมูลจะเป็นผู้ให้ข้อมูลส่วนบุคคลด้วยตนเองหรือได้ให้ความยินยอมแก่ผู้ใดในการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลดังกล่าว, ผู้ให้บริการต่าง ๆ ของบริษัท, หน่วยงานของรัฐ
5.4 การเก็บรวบรวมข้อมูลส่วนบุคคลให้กระทำภายใต้วัตถุประสงค์และเท่าที่จำเป็นตามกรอบวัตถุประสงค์หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวม พร้อมทั้งแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือ ขณะ ที่เก็บรวบรวม โดยจะมีการแจ้งรายละเอียดให้เจ้าของข้อมูลส่วนบุคคลทราบ ดังต่อไปนี้

(1) วัตถุประสงค์ในการเก็บรวบรวม
(2) ระยะเวลาในการเก็บรวบรวม
(3) ประเภทของบุคคลหรือหน่วยงานที่อาจมีการเปิดเผยข้อมูลส่วนบุคคล
(4) ข้อมูลหรือช่องทางการติดต่อบริษัท
(5) สิทธิของเจ้าของข้อมูล
(6) แจ้งผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคลในกรณีที่เจ้าของข้อมูลไม่ให้ข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด หรือเพื่อเข้าทำหรือปฏิบัติตามสัญญา

ทั้งนี้ เว้นแต่ในกรณีที่ไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูล โดยจะเก็บโดยใช้ฐานทางกฎหมายดังต่อไปนี้ ฐานทางกฎหมายตามมาตรา 24 ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ดังต่อไปนี้

(1) ฐานจดหมายเหตุ/สถิติ/วิจัย เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้อง
ที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูล
(2) ฐานระงับอันตรายต่อชีวิต เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
(3) ฐานสัญญา เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลก่อนเข้าทำสัญญานั้น
(4) ฐานประโยชน์สาธารณะ เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
(5) ฐานประโยชน์อันชอบธรรม เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
(6) ฐานปฏิบัติตามกฎหมาย เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

หากเป็นข้อมูลที่ละเอียดอ่อน (Sensitive Data) เป็นไปตามหลักเกณฑ์ตามมาตรา 26 ซึ่งต้องได้รับความยินยอม เว้นแต่มีข้อยกเว้นตามกฎหมายดังนี้

(1) ฐานป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้
(2) ฐานระงับอันตรายต่อร่างกายสุขภาพและชีวิต กรณีที่มีเหตุจำเป็นต้องใช้ข้อมูลละเอียดอ่อน หรือ Sensitive Data เช่น กรุ๊ปเลือด ข้อมูลสุขภาพ สามารถใช้ได้กรณีที่เจ้าของข้อมูลไม่สามารถให้ความยินยอมได้ เช่น เจ้าของข้อมูลส่วนบุคคลเกิดอุบัติเหตุ แต่หากขอความยินยอมได้ควรขอก่อน ตามมาตรา 24 เป็น ข้อมูลทั่วไป และมาตรา 26 เป็นข้อมูลอ่อนไหว
(3) ฐานการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากำไร
(4) ข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล
(5) จำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(6) จำเป็นต้องปฏิบัติตามกฎหมาย เฉพาะที่เกี่ยวกับเวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการใช้บริการด้านสังคมสงเคราะห์ ประโยชน์สาธารณะด้านสาธารณสุข การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจากยานพาหนะ หรือการคุ้มครองทางสังคม การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น
ที่สำคัญ

5.5 การเก็บรวบรวมข้อมูลส่วนบุคคลของผู้หย่อนความสามารถ

5.5.1 กรณี เจ้าของข้อมูลส่วนบุคคลที่เป็นผู้เยาว์ หมายถึง บุคคลที่อายุต่ำกว่า 20 ปีบริบูรณ์ และไม่ใช่ผู้บรรลุนิติภาวะตามข้อ 3 ทั้งนี้ ในการให้ความยินยอมใด ๆ บริษัทจะขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย
5.5.2 กรณี เจ้าของข้อมูลส่วนบุคคลที่เป็นคนเสมือนไร้ความสามารถ หมายถึง บุคคลที่ศาลสั่งให้เป็นคนเสมือนไร้ความสามารถ เนื่องจากมีกายพิการหรือมีจิตฟั่นเฟือนไม่สมประกอบ หรือประพฤติสุรุ่ยสุร่ายเสเพลเป็นอาจิณ หรือติดสุรายาเมา หรือมีเหตุอื่นใดทำนองเดียวกันนั้น จนไม่สามารถจะจัดทำการงานโดยตนเองได้ หรือจัดกิจการไปในทางที่อาจจะเสื่อมเสียแก่ทรัพย์สินของตนเองหรือครอบครัวทั้งนี้ ในการให้ความยินยอมใด ๆ บริษัทจะขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถนั้นก่อน
5.5.3 กรณี เจ้าของข้อมูลส่วนบุคคลที่เป็นคนไร้ความสามารถ หมายถึง บุคคลที่ศาลสั่งให้เป็นคนไร้ความสามารถ เนื่องจากเป็นบุคคลวิกลจริต ทั้งนี้ ในการให้ความยินยอมใด ๆ บริษัทจะขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถนั้นก่อน
ทั้งนี้ หากการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ไม่เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคล

5.6 การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)

บริษัทจะไม่เก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว เว้นแต่มีความจำเป็นต้องเก็บรวบรวม โดยต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ยกเว้นในกรณีที่กฎหมายกำหนดให้สามารถเก็บรวบรวมได้โดยไม่ต้องขอความยินยอม ตามข้อ 5.4

5.7 การเก็บรวบรวมข้อมูลของบุคคลที่สาม

หากเจ้าของข้อมูลได้ให้ข้อมูลส่วนบุคคลของบุคคลที่สามแก่บริษัท ผู้ติดต่อฉุกเฉิน บุคคลที่อ้างอิง เช่น ชื่อ นามสกุล ที่อยู่ หมายเลขโทรศัพท์ รายได้ของบุคคลในครอบครัว และข้อมูลส่วนตัวและข้อมูลเพื่อการติดต่ออื่นเพื่อติดต่อในกรณีฉุกเฉิน กรอกใบสมัคร หรือทำธุรกรรมของเจ้าของข้อมูลกับบริษัท บริษัทจะให้เจ้าของข้อมูลรับรองว่าข้อมูลดังกล่าวเป็นข้อมูลที่ถูกต้องตามกฎหมาย และให้เจ้าของข้อมูลแจ้งบุคคลเหล่านั้นให้ทราบถึงนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ และ/หรือขอความยินยอมจากบุคคลเหล่านั้น

5.8 การเก็บข้อมูลการใช้งานคุกกี้

บริษัทอาจเก็บรวบรวมและใช้งานคุกกี้ เพื่อจัดเก็บข้อมูลการเข้าใช้งานเว็บไซต์ โดยจะบันทึกลงไปในอุปกรณ์คอมพิวเตอร์ และ/หรือ เครื่องมือสื่อสารที่เข้าใช้งานของเจ้าของข้อมูลคุกกี้จะไม่ก่อให้เกิดอันตรายต่ออุปกรณ์คอมพิวเตอร์ และ/หรือ เครื่องมือสื่อสารของเจ้าของข้อมูล ในกรณีดังต่อไปนี้ ข้อมูลส่วนบุคคลของเจ้าของข้อมูลอาจถูกจัดเก็บเพื่อใช้เพิ่มประสบการณ์การใช้งานบริการทางออนไลน์ โดยจะจำเอกลักษณ์ของภาษาและปรับแต่งข้อมูลการใช้งานตามความต้องการของเจ้าของข้อมูล เป็นการยืนยันคุณลักษณะเฉพาะตัว ข้อมูลความปลอดภัยของเจ้าของข้อมูล รวมถึงบริการที่เจ้าของข้อมูลสนใจ นอกจากนี้คุกกี้ยังถูกใช้เพื่อวัดปริมาณการเข้าใช้งานบริการทางออนไลน์

การปรับเปลี่ยนเนื้อหาตามการใช้งานของเจ้าของข้อมูลโดยพิจารณาจากพฤติกรรมการเข้าใช้งานครั้งก่อน ๆ และ ณ ปัจจุบัน และอาจมีวัตถุประสงค์เพื่อการโฆษณาประชาสัมพันธ์ โดยเจ้าของข้อมูลสามารถศึกษารายละเอียดเพิ่มเติมได้จาก “นโยบายคุกกี้” ของบริษัท

5.9 การเก็บข้อมูลจากกล้องวงจรปิด CCTV

บริษัทมีการเก็บข้อมูลจากกล้องวงจรปิด CCTV เพื่อการปกป้องสุขภาพและความปลอดภัยส่วนตัวของเจ้าของข้อมูล ซึ่งรวมไปถึงทรัพย์สินของเจ้าของข้อมูล เพื่อการปกป้องอาคาร สิ่งอำนวยความสะดวกและทรัพย์สินของบริษัทจากความเสียหาย การขัดขวาง การทำลายซึ่งทรัพย์สินหรืออาชญากรรมอื่น และวัตถุประสงค์อื่นใด ที่มีความเกี่ยวข้อง โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูล โดยใช้ฐานประโยชน์โดยชอบธรรม

6. การเก็บรักษาและระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล

บริษัทจะทำการเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลดังนี้

(1) จัดเก็บข้อมูลในรูปแบบเอกสารและ/หรือข้อมูลอิเล็กทรอนิกส์
(2) จัดเก็บข้อมูลในสถานที่ที่มีการจำกัดสิทธิการเข้าถึงเก็บไว้ในคอมพิวเตอร์แม่ข่าย (Server) และ/หรือเก็บไว้บนฐานข้อมูลออนไลน์ (Cloud Storage) ของผู้ให้บริการของกลุ่มบริษัท

บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลนานตราบเท่าที่จำเป็น โดยคำนึงถึงความจำเป็นและวัตถุประสงค์ที่บริษัทจะต้องเก็บรวบรวม ใช้และประมวลผล ซึ่งรวมถึงการปฏิบัติตามข้อกำหนดของกฎหมายที่ใช้บังคับ

หลักเกณฑ์ที่ใช้กำหนดระยะเวลาเก็บ ได้แก่ ระยะเวลาที่บริษัทยังมีความสัมพันธ์กับเจ้าของข้อมูลส่วนบุคคล อาจเก็บต่อไปตามระยะเวลาที่จำเป็นเพื่อการปฏิบัติตามกฎหมายหรือตามอายุความทางกฎหมาย เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อเหตุอื่นตามนโยบายและข้อกำหนดภายในองค์กรของบริษัท

บริษัทจะยังดำเนินการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลต่อไป แม้ว่าเจ้าของข้อมูลจะยุติความสัมพันธ์กับบริษัท เท่าที่จำเป็นตามข้อกำหนดของกฎหมายเพื่อประโยชน์โดยชอบด้วยกฎหมาย หรือทำการเก็บในรูปแบบที่ทำให้ระบุตัวบุคคลไม่ได้ไม่ว่าทางตรงหรือทางอ้อม เช่น “การทำข้อมูลนิรนาม” (Anonymous Data) หรือ “การทำข้อมูลแฝงที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค” (Pseudonymous Data)

บริษัทอาจเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลไว้นานเท่าที่จำเป็นต้องเก็บเพื่อการดำเนินการให้บรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลตามที่ระบุไว้ในประกาศความเป็นส่วนตัวฉบับนี้ โดยบริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูล ไม่เกิน 10 ปี นับแต่วันที่เจ้าของข้อมูลยุติความสัมพันธ์ หรือการติดต่อครั้งสุดท้ายกับบริษัท โดยบริษัทอาจเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลนานกว่าที่กำหนดหากกฎหมายอนุญาตเพื่อให้สอดคล้องกับระยะเวลาและอายุความที่เกี่ยวข้อง บริษัทจะดำเนินการจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลไว้ในรูปแบบที่เหมาะสมตามประเภทของข้อมูลส่วนบุคคล อย่างไรก็ตาม บริษัทมีความจำเป็นต้องเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลต่อไปแม้จะพ้นอายุความตามกฎหมายแล้ว ทั้งนี้ เพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูล

บริษัทจะดำเนินการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล ทำให้ไม่สามารถระบุชื่อเจ้าของข้อมูลส่วนบุคคลได้เป็นการถาวร หรือโดยประการอื่นเพื่อจำกัดข้อมูลส่วนบุคคลทั้งหมดเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้อง หรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือเมื่อบริษัทต้องปฏิบัติตามคำขอของเจ้าของข้อมูลให้บริษัททำการลบข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งเจ้าของข้อมูลยินยอมให้นำมาประมวลผล หรือรวบรวม จัดเก็บ ใช้และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลได้โดยอาศัยวัตถุประสงค์ที่บริษัทได้ขอความยินยอมไว้ จะถูกเก็บไว้ที่ระบบจัดเก็บของบริษัทเป็นระยะเวลา 10 ปี นับแต่วันที่เจ้าของข้อมูลให้ความยินยอม

7. การใช้หรือการเปิดเผยข้อมูลส่วนบุคคล

การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปตามวัตถุประสงค์ที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะทำการเก็บรวบรวม หรือเป็นการจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่กฎหมายกำหนดให้ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นการปฏิบัติตามกฎหมายบุคคลหรือนิติบุคคลอื่นซึ่งได้รับข้อมูลส่วนบุคคลจากการที่เจ้าของข้อมูลส่วนบุคคลยินยอมให้เปิดเผยหรือเป็นผู้ประมวลผลข้อมูลส่วนบุคคลต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ซึ่งเจ้าของข้อมูลส่วนบุคคลได้ตกลงยินยอมไว้ให้กับบริษัทและตามที่บุคคลหรือนิติบุคคลนั้นได้แจ้งไว้กับบริษัทเท่านั้นเพื่อดำเนินการตามวัตถุประสงค์ที่ระบุไว้ในประกาศความเป็นส่วนตัวฉบับนี้ ข้อมูลส่วนบุคคลของเจ้าของข้อมูล อาจมีการเปิดเผยหรือนำส่งให้กับหน่วยงานต่าง ๆ ภายในบริษัทและบุคคลหรือหน่วยงานภายนอก ดังนี้

ประเภทผู้รับข้อมูล รายละเอียด
7.1 ภายในบริษัท ข้อมูลส่วนบุคคลของเจ้าของข้อมูล อาจมีการเปิดเผยหรือนำส่งให้กับหน่วยงานต่าง ๆ ภายในบริษัทเฉพาะที่เกี่ยวข้องและมีบทบาทหน้าที่เท่าที่จำเป็นตามวัตถุประสงค์เท่านั้น โดยบุคคลหรือทีมงานเหล่านี้ของบริษัท จะได้รับอนุญาตให้เข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูล ตามความจำเป็นและเหมาะสม

• เจ้าหน้าที่ฝ่ายขาย หรือเจ้าหน้าที่ฝ่ายอื่น ๆ เฉพาะที่เกี่ยวข้อง โดยกำหนดสิทธิ์การเข้าถึงข้อมูลตามบทบาทหน้าที่ที่รับผิดชอบ

• ผู้บริหาร หรือผู้บังคับบัญชาโดยตรงของเจ้าของข้อมูล ที่มีความรับผิดชอบในการบริหารหรือตัดสินใจเกี่ยวกับเจ้าของข้อมูล หรือเมื่อต้องเกี่ยวข้องกับขั้นตอนทางด้านงานบุคคล

• แผนกจัดซื้อ แผนกบัญชี ฝ่ายเทคโนโลยีสารสนเทศ ฝ่ายพัฒนาธุรกิจและผลิตภัณฑ์ แผนกทรัพยากรบุคคล หรือหน่วยงานอื่น ๆ ที่อาจปรับเพิ่ม หรือ ลดตามโครงสร้างขององค์กร ในภายหลัง

7.2 หน่วยงานราชการ หน่วยงานกำกับดูแล หรือหน่วยงานอื่นตามที่กฎหมายกำหนด ข้อมูลส่วนบุคคลของเจ้าของข้อมูล อาจมีการเปิดเผยหรือนำส่งให้กับองค์กรภายนอก ดังนี้ เช่น กรมสรรพากร สำนักงานประกันสังคม กรมสวัสดิการและคุ้มครองแรงงาน กรมบังคับคดี  กระทรวงแรงงาน หรือหน่วยงานอื่นใดที่อาศัยอำนาจตามกฎหมาย
7.3 องค์กรหรือบุคคลภายนอก บริษัทอาจเปิดเผยข้อมูลของเจ้าของข้อมูล ให้กับองค์กรหรือบุคคลภายนอกที่มีการติดต่อสอบถามเพื่อวัตถุประสงค์ในการตรวจสอบการทำธุรกรรมต่าง ๆ ของเจ้าของข้อมูล และเพื่อที่จะได้ให้บริการหรือจัดหาผลิตภัณฑ์ให้สอดคล้องกับความต้องการของเจ้าของข้อมูล หรือบริษัทคู่ค้า

8. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

8.1 บริษัทอาจส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปยังบุคคลอื่นทั้งในประเทศและต่างประเทศในกรณีที่จำเป็นเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญา หรือเป็นการกระทำตามสัญญาระหว่างบริษัทกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูล หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลก่อนเข้าทำสัญญา หรือเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลหรือบุคคลอื่น เพื่อปฏิบัติตามกฎหมายหรือเป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
8.2 บริษัทอาจเก็บข้อมูลของเจ้าของข้อมูลบนคอมพิวเตอร์ เซิร์ฟเวอร์ (Server) หรือคลาวด์ (Cloud) ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมหรือแอปพลิเคชันของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและรูปแบบของการให้บริการแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูล ทั้งนี้ บริษัทจะไม่อนุญาตให้บุคคลที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลส่วนบุคคลได้ และบริษัทจะกำหนดให้บุคคลอื่นเหล่านั้นต้องมีมาตรการคุ้มครองความมั่นคงปลอดภัยด้านข้อมูลส่วนบุคคลที่เหมาะสม
8.3 กรณีที่มีเหตุจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปยังต่างประเทศ บริษัทจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและใช้มาตรการที่เหมาะสมเพื่อให้มั่นใจได้ว่าข้อมูลส่วนบุคคลของเจ้าของข้อมูลจะได้รับความคุ้มครองและเจ้าของข้อมูลสามารถใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคลของเจ้าของข้อมูลได้ตามที่กฎหมายกำหนด รวมถึงบริษัทจะกำหนดให้ผู้ที่ได้รับข้อมูลส่วนบุคคลของเจ้าของข้อมูลมีมาตรการปกป้องข้อมูลของเจ้าของข้อมูลอย่างเหมาะสม และประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และดำเนินการเพื่อป้องกันไม่ให้บุคคลอื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจโดยมิชอบ

9. บทบาทหน้าที่และความรับผิดชอบ

บริษัทกำหนดให้พนักงานหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลต้องให้ความสำคัญและรับผิดชอบในการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทอย่างเคร่งครัด โดยกำหนดให้บุคคลหรือหน่วยงานดังต่อไปนี้ ทำหน้าที่กำกับและตรวจสอบให้การดำเนินงานของบริษัทนั้นถูกต้องและเป็นไปตามนโยบายและกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

9.1 ผู้ควบคุมข้อมูลส่วนบุคคล

หน้าที่ รายละเอียด
1. เก็บรวบรวม ใช้ เปิดเผยให้เป็นไปตามกฎหมาย  การเก็บรวบรวม ใช้ เปิดเผย ต้องมีฐานทางกฎหมายรองรับ ดำเนินการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ และต้องดำเนินการเก็บรวบรวมข้อมูลมาจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เข้าข้อยกเว้นซึ่งเกี่ยวข้องกับหน้าที่ในการจัดเตรียมเอกสารต่าง ๆ เพื่อให้เจ้าของข้อมูลส่วนบุคคลมั่นใจว่า หากยินยอมให้ผู้ควบคุมข้อมูลส่วนบุคคลเข้าไปเก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลจะดูแลรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลอย่างไร
2. เปิดช่องให้เจ้าของข้อมูลส่วนบุคคลใช้สิทธิตามกฎหมาย บันทึกคำร้องขอของเจ้าของข้อมูลส่วนบุคคล เมื่อผู้ควบคุมข้อมูลส่วนบุคคล ปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล พร้อมระบุเหตุผลในรายการบันทึกรายการตามมาตรา 39
3. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม และเป็นไปตามมาตรฐานขั้นต่ำ
4. จัดให้มีมาตรการป้องกันไม่ให้ผู้อื่นใช้หรือเปิดเผยข้อมูลโดยมิชอบ ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เช่น มีการโอนข้อมูลส่วนบุคคลให้ผู้ประมวลผล ต้องมีการดำเนินการเพื่อไม่ให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยไม่ถูกต้องตามกฎหมาย
5. จัดให้มีระบบตรวจสอบเพื่อดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษาหรือไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นหรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็นการใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมายการปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย การยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย
6. แจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล ต้องแจ้งเหตุละเมิดแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมง นับแต่เมื่อทราบเหตุดังกล่าว ทั้งนี้ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลให้แจ้งเหตุการณ์ละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า
7. แต่งตั้งตัวแทนในราชอาณาจักร  หากผู้ควบคุมข้อมูลส่วนบุคคลอยู่นอกประเทศไทยผู้ควบคุมส่วนบุคคลต้องแต่งตั้งตัวแทนของตนในประเทศไทย โดยต้องแต่งตั้งเป็นหนังสือซึ่งตัวแทนต้องอยู่ในประเทศไทยและได้รับมอบอำนาจให้กระทำแทนโดยไม่มีข้อจำกัดความรับผิดใดๆ ทีเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ตามวัตถุประสงค์ของผู้ควบคุมข้อมูล
8. หน้าที่ในการจัดทำบันทึกรายการประมวลผลข้อมูล (Record of Processing Activities: RoPA) ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการเพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์
9. จัดให้มีข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement: DPA) การดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล
10. แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO)  หากเข้าหลักเกณฑ์ที่กฎหมายกำหนดให้ต้องตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล โดยจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบหากองค์กรเป็นผู้ตัดสินใจจะเก็บรวบรวมข้อมูลส่วนบุคคลของใคร ใช้ข้อมูลอะไร มีวัตถุประสงค์อย่างไร ถือว่าเข้าข่ายเป็นผู้ควบคุมข้อมูลส่วนบุคคล ที่ไม่ได้มีหน้าที่แค่จัดทำประกาศ

9.2 ผู้ประมวลผลข้อมูลส่วนบุคคล

หน้าที่ รายละเอียด
1. ประมวลผลข้อมูลส่วนบุคคลภายใต้คำสั่งผู้ควบคุมข้อมูล ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่ง
ที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือ
บทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคล
2. จัดให้มีมาตรการรักษาความ
มั่นคงปลอดภัยของข้อมูลที่เหมาะสม
จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลส่วนบุคคล
โดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคล
ทราบถึงเหตุ การละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
3. จัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคล จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด
4. ทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล การดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล ผู้ควบคุมส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล

9.3 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)

หน้าที่ รายละเอียด
1. ให้คำแนะนำ ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล4.รักษาความลับของข้อมูล
2. ตรวจสอบการดำเนินการ ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล
ส่วนบุคคลรวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
3.ประสานงานและให้ความร่วมมือกับสำนักงาน ประสานงานและให้ความร่วมมือกับสำนักงานในกรณีที่มีปัญหาเกี่ยวกับการเก็บ
รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือ
ผู้ประมวลผลข้อมูลส่วนบุคคล
4. รักษาความลับของข้อมูล รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่

10. มาตรการรักษาความปลอดภัยสำหรับข้อมูลส่วนบุคคล

เพื่อประโยชน์ในการรักษาความลับและรักษาความปลอดภัยของข้อมูลส่วนบุคคล บริษัทได้มีมาตรการดังนี้

10.1 กำหนดสิทธิในการเข้าถึงการใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคล รวมถึงการแสดงหรือยืนยันตัวบุคคลผู้เข้าถึงหรือใช้ข้อมูลส่วนบุคคลจัดให้มีมาตรการรักษาความปลอดภัย รวมถึงกระบวนการทบทวนและการประเมิน ประสิทธิภาพของมาตรการรักษาความปลอดภัย ทั้งนี้เป็นไปตามแนวนโยบายสารสนเทศของบริษัทอย่างเคร่งครัด

บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลไว้เป็นอย่างดีตามมาตรการเชิงเทคนิค (Technical Measure) และมาตรการเชิงบริหารจัดการ (Organizational Measure) เพื่อรักษาความปลอดภัยในการประมวลผลข้อมูลส่วนบุคคลที่เหมาะสม และเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล โดยบริษัทได้กำหนดนโยบาย ระเบียบ และหลักเกณฑ์ในการคุ้มครองข้อมูลส่วนบุคคล รวมถึงมาตรการเพื่อป้องกันไม่ให้ผู้รับข้อมูลไปจากบริษัทใช้ หรือเปิดเผยข้อมูลนอกวัตถุประสงค์ หรือโดยไม่มีอำนาจหรือโดยมิชอบ และบริษัทได้มีการปรับปรุงนโยบาย ระเบียบและหลักเกณฑ์ดังกล่าวเป็นระยะตามความจำเป็น และเหมาะสม นอกจากนี้ผู้บริหาร พนักงาน ผู้รับจ้าง ตัวแทน ที่ปรึกษา และผู้รับข้อมูลจากบริษัทมีหน้าที่ต้องรักษาความลับของข้อมูลส่วนบุคคลตามมาตรการรักษาความลับที่บริษัทกำหนด

10.2 ในการส่งการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ รวมถึงการนำข้อมูลส่วนบุคคลไปเก็บบนฐานระบบข้อมูลในระบบอื่นใดซึ่งผู้ให้บริการรับโอนข้อมูลหรือบริการเก็บรักษาข้อมูลอยู่ต่างประเทศ ประเทศปลายทางที่เก็บรักษาข้อมูลต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่าหรือดีกว่ามาตรการตามนโยบายนี้

10.3 ในกรณีที่มีการฝ่าฝืนมาตรการการรักษาความปลอดภัยของบริษัทจนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคล บริษัทจะดำเนินการแจ้งให้สำนักงานคณะกรรมการข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถทำได้ เว้นแต่การละเมิดนั้นมีความเสี่ยงที่จะกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะดำเนินการแจ้งเหตุการละเมิดพร้อมทั้งแนวทางการเยียวยาให้เจ้าของข้อมูลทราบโดยไม่ชักช้า ทั้งนี้บริษัทจะไม่รับผิดชอบในกรณีความเสียหายใด ๆ อันเกิดจากการที่เจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น ซึ่งได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลจงใจหรือประมาทเลินเล่อหรือเพิกถอนตามมาตรการความปลอดภัยจนเป็นเหตุให้ข้อมูลส่วนบุคคลถูกใช้หรือเปิดเผยต่อบุคคลที่สามบุคคลอื่นใด

บริษัทได้มีการทบทวน ปรับปรุงขั้นตอนและมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลของบริษัทให้เป็นปัจจุบันสม่ำเสมอ เพื่อให้ได้ระดับความปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมกับความเสี่ยง และให้การรักษาความลับของข้อมูลส่วนบุคคล ความสมบูรณ์ ความพร้อมใช้งานและความคล่องตัวในการประมวลผลข้อมูลส่วนบุคคลเป็นไปอย่างต่อเนื่อง รวมทั้งการปกป้อง การสูญหายและการเก็บรวบรวม การเข้าถึง การใช้ การดัดแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต ทั้งนี้ บริษัทจะนำมาตรการต่าง ๆ ในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลของบริษัทมาใช้กับการประมวลผลข้อมูลส่วนบุคคลทุกประเภท ไม่ว่าการประมวลผลข้อมูลส่วนบุคคลนั้นจะเป็นทางอิเล็กทรอนิกส์ หรือรูปแบบเอกสารก็ตาม

11. การประมวลผลข้อมูลส่วนบุคคล

เมื่อบริษัทได้รับข้อมูลส่วนบุคคล บริษัทจะดำเนินการดังต่อไปนี้กับข้อมูลส่วนบุคคลของเจ้าของข้อมูล

11.1 ขั้นตอนเก็บรวบรวม

บริษัทจัดเก็บรวบรวมข้อมูลส่วนบุคคลทั้งในรูปแบบเอกสาร และ/หรือข้อมูลอิเล็กทรอนิกส์เท่าที่จำเป็นแก่การให้บริการหรือบริการด้วยวิธีการทางอิเล็กทรอนิกส์ ภายใต้วัตถุประสงค์ของบริษัทและในระยะเวลานานเท่าที่จำเป็นเพื่อประโยชน์ในการใช้งานข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ระบุไว้เท่านั้น ซึ่งข้อมูลดังกล่าวถือเป็นข้อมูลส่วนบุคคลที่ถูกต้องสมบูรณ์และเป็นปัจจุบันที่สุดและเจ้าของข้อมูลยินยอมมอบข้อมูลส่วนบุคคลให้แก่บริษัทโดยชอบด้วยกฎหมาย

บริษัทอาจรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลเข้ากับข้อมูลส่วนบุคคลที่ได้รับจากแหล่งอื่นเฉพาะในกรณีที่มีความจำเป็นและได้รับความยินยอมจากเจ้าของข้อมูลเท่านั้น ทั้งนี้เพื่อประโยชน์ในการปรับปรุงข้อมูลส่วนบุคคลให้เป็นปัจจุบันและเพื่อปรับปรุงคุณภาพและประสิทธิภาพของการให้บริการของบริษัทให้ดียิ่งขึ้น

11.2 ขั้นตอนนำข้อมูลไปใช้

บริษัทจะใช้ข้อมูลส่วนบุคคลในกรณีที่พิจารณาแล้วเห็นว่าเป็นประโยชน์ต่อการทำงานการดำเนินธุรกิจของบริษัทเพื่อให้การดำเนินงานของบริษัทเป็นไปตามกฎหมายและกฎเกณฑ์ต่าง ๆ ที่เกี่ยวข้องหรือเพื่อปรับปรุงบริการให้มีประสิทธิภาพมากขึ้นเพื่อพัฒนามาตรฐานความมั่นคงปลอดภัยสารสนเทศในการบริหารจัดการความเสี่ยงป้องกันกิจกรรมที่มีแนวโน้มในการละเมิดกฎหมายระเบียบการใช้งานที่เกี่ยวข้องหรือข้อตกลงเงื่อนไขการใช้งานเว็บไซต์ของบริษัทรวมถึงเพื่อการติดต่อทางโทรศัพท์ข้อความอีเมลหรือไปรษณีย์หรือผ่านช่องทางใด ๆ เพื่อสอบหรือแจ้งให้เจ้าของข้อมูลทราบหรือตรวจสอบและยืนยันข้อมูลหรือสำรวจความคิดเห็นหรือแจ้งข้อมูลข่าวสารอื่นใดที่เกี่ยวข้องกับผลิตภัณฑ์และการให้บริการของบริษัทตามที่จำเป็น

11.3 การเปิดเผยข้อมูลส่วนบุคคล

บริษัทจะเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลให้แก่บริษัทย่อยหรือบุคคลภายนอก เพื่อประโยชน์ในการดำเนินงานของบริษัท และตามวัตถุประสงค์ที่บริษัทได้ขอจากเจ้าของข้อมูลเท่านั้น โดยบริษัทจะไม่เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลต่อบุคคลภายนอกรายอื่นโดยไม่ได้รับอนุญาตจากเจ้าของข้อมูล เว้นแต่ เป็นการส่งข้อมูลส่วนบุคคลให้แก่หน่วยงาน หรือเจ้าพนักงาน หรือบุคคลอื่น ๆ ที่มีสิทธิได้รับข้อมูลส่วนบุคคลของเจ้าของข้อมูลโดยชอบด้วยกฎหมาย เช่น ศาล เจ้าพนักงานตำรวจ หรือบุคคลอื่นซึ่งมีสิทธิในการขอข้อมูลส่วนบุคคลของเจ้าของข้อมูลจากบริษัทได้โดยชอบด้วยกฎหมาย

12. สิทธิของเจ้าของข้อมูล

12.1 เจ้าของข้อมูลมีสิทธิในการดำเนินการ ดังต่อไปนี้

(1) สิทธิในการเพิกถอนความยินยอม หากเจ้าของข้อมูลได้ให้ความยินยอมให้บริษัทเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล(ไม่ว่าจะเป็นความยินยอมที่เจ้าของข้อมูลให้ไว้ก่อนวันที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลใช้บังคับหรือหลังจากนั้น)เจ้าของข้อมูลมีสิทธิที่จะถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลอยู่กับบริษัทเว้นแต่มีข้อจำกัดสิทธินั้นโดยกฎหมายหรือมีสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลอยู่

ทั้งนี้ การถอนความยินยอมของเจ้าของข้อมูลอาจส่งผลกระทบต่อเจ้าของข้อมูลจากการใช้ผลิตภัณฑ์ และ/หรือบริการต่าง ๆ เช่น เจ้าของข้อมูลจะไม่ได้รับสิทธิประโยชน์ โปรโมชั่นหรือข้อเสนอใหม่ ๆ ไม่ได้รับผลิตภัณฑ์หรือบริการที่ดียิ่งขึ้นและสอดคล้องกับความต้องการของเจ้าของข้อมูล หรือไม่ได้รับข้อมูลข่าวสารอันเป็นประโยชน์แก่เจ้าของข้อมูล เป็นต้น เพื่อประโยชน์ของเจ้าของข้อมูล จึงควรศึกษาและสอบถามถึงผลกระทบก่อนเพิกถอนความยินยอม

(2) สิทธิในการเข้าถึงข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูล และขอให้บริษัททำสำเนาข้อมูลส่วนบุคคลดังกล่าวให้กับเจ้าของข้อมูลรวมถึงขอให้บริษัทเปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของบริษัท ทั้งนี้ บริษัทอาจปฏิเสธคำขอของเจ้าของข้อมูลหากการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลนั้นจะส่งผลกระทบต่อสิทธิ และเสรีภาพของบุคคลอื่น หรือบริษัทต้องปฏิบัติตามกฎหมาย หรือคำสั่งศาลที่ห้ามเปิดเผยข้อมูลส่วนบุคคลนั้น

(3) สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคลเจ้าของข้อมูลมีสิทธิขอรับข้อมูลส่วนบุคคลของเจ้าของข้อมูลในกรณีที่บริษัทได้จัดทำข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบให้สามารถอ่านหรือใช้งานได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ และสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติรวมทั้งมีสิทธิขอให้บริษัทส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ และมีสิทธิขอรับข้อมูลส่วนบุคคลที่บริษัทส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่ไม่สามารถดำเนินการได้เพราะเหตุทางเทคนิค

ทั้งนี้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลข้างต้นต้องเป็นข้อมูลส่วนบุคคลที่เจ้าของข้อมูลได้ให้ความยินยอมแก่บริษัทในการเก็บรวบรวม ใช้ และ/หรือเปิดเผย หรือเป็นข้อมูลส่วนบุคคลที่บริษัทจำเป็นต้องเก็บรวบรวม ใช้ และ/หรือเปิดเผยเพื่อให้เจ้าของข้อมูลสามารถใช้ผลิตภัณฑ์และ/หรือบริการของบริษัทได้ตามความประสงค์ซึ่งเจ้าของข้อมูลเป็นคู่สัญญาอยู่กับบริษัทหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลก่อนใช้ผลิตภัณฑ์และ/หรือบริการของบริษัท หรือเป็นข้อมูลส่วนบุคคลอื่นตามที่ผู้มีอำนาจตามกฎหมายกำหนด

(4) สิทธิในการคัดค้านการประมวลผลข้อมูล เจ้าของข้อมูลมีสิทธิในการคัดค้านการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลในเวลาใดก็ได้ หากการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่ทำขึ้นเพื่อการดำเนินงานที่จำเป็นภายใต้ประโยชน์โดยชอบด้วยกฎหมายของบริษัท หรือของบุคคลหรือนิติบุคคลอื่น โดยไม่เกินขอบเขตที่เจ้าของข้อมูลสามารถคาดหมายได้อย่างสมเหตุสมผล หรือเพื่อดำเนินการตามภารกิจเพื่อสาธารณประโยชน์ หากเจ้าของข้อมูลยื่นคัดค้าน บริษัทจะยังคงดำเนินการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลต่อไปเฉพาะที่บริษัทสามารถแสดงเหตุผลตามกฎหมายได้ว่ามีความสำคัญยิ่งกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูล หรือเป็นไปเพื่อการยืนยันสิทธิตามกฎหมาย การปฏิบัติตามกฎหมาย หรือการต่อสู้ในการฟ้องร้องตามกฎหมาย ตามแต่ละกรณี นอกจากนี้ เจ้าของข้อมูลยังมีสิทธิขอคัดค้านการเก็บรวบรวม ใช้และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่ทำขึ้นเพื่อวัตถุประสงค์เกี่ยวกับการตลาด หรือเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติได้อีกด้วย

(5) สิทธิในการขอให้ลบข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิขอลบหรือทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวเจ้าของข้อมูลได้หากเจ้าของข้อมูลเชื่อว่าข้อมูลส่วนบุคคลของเจ้าของข้อมูลถูกเก็บรวบรวม ใช้ และ/หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายที่เกี่ยวข้อง หรือเห็นว่าบริษัทหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่เกี่ยวข้องในประกาศความเป็นส่วนตัวฉบับนี้ หรือเมื่อเจ้าของข้อมูลได้ใช้สิทธิขอถอนความยินยอมหรือใช้สิทธิขอคัดค้านตามที่แจ้งไว้ข้างต้นแล้ว เว้นแต่เป็นกรณีที่บริษัทต้องปฏิบัติตามกฎหมาย หรือใช้สิทธิเรียกร้องตามกฎหมายที่เกี่ยวข้องในการเก็บรักษาข้อมูลดังกล่าว

(6) สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคลเจ้าของข้อมูลมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลชั่วคราวในกรณีที่บริษัทอยู่ระหว่างตรวจสอบตามคำร้องขอใช้สิทธิขอแก้ไขข้อมูลส่วนบุคคลหรือขอคัดค้านของเจ้าของข้อมูล หรือกรณีอื่นใดที่บริษัทหมดความจำเป็นและต้องลบหรือทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูลตามกฎหมายที่เกี่ยวข้องแต่เจ้าของข้อมูลขอให้บริษัทระงับการใช้แทน

(7) สิทธิในการแก้ไขข้อมูลส่วนบุคคลเจ้าของข้อมูลมีสิทธิในการขอให้บริษัทแก้ไขข้อมูลส่วนบุคคลของเจ้าของข้อมูลให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

(8) สิทธิร้องเรียน เจ้าของข้อมูลมีสิทธิร้องเรียนต่อผู้มีอำนาจตามกฎหมายที่เกี่ยวข้องหากเจ้าของข้อมูลเชื่อว่าการเก็บรวบรวม ใช้และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลเป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายที่เกี่ยวข้อง

หากเจ้าของข้อมูลมีความกังวลหรือมีข้อสงสัยเกี่ยวกับแนวทางการปฏิบัติของบริษัทเกี่ยวกับข้อมูลส่วนบุคคลของ
เจ้าของข้อมูล โปรดติดต่อบริษัท โดยใช้รายละเอียดการติดต่อตามข้อ 12 ของนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ทั้งนี้ ในกรณีที่มีเหตุอันควรเชื่อได้ว่าบริษัทได้ทำการฝ่าฝืนกฎหมายคุ้มครองข้อมูลส่วนบุคคลเจ้าของข้อมูลมีสิทธิยื่นข้อร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญที่ได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามระเบียบและวิธีการตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด

ในกรณีที่เจ้าของข้อมูลส่วนบุคคลยื่นคำร้องขอใช้สิทธิภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล เมื่อบริษัทได้รับคำร้องขอดังกล่าวแล้ว จะดำเนินการภายในระยะเวลาที่กฎหมายกำหนด อนึ่ง บริษัทขอสงวนสิทธิที่จะปฏิเสธหรือไม่ดำเนินการตามคำร้องขอดังกล่าวในกรณีที่กฎหมายกำหนด

12.2 บริษัทมีสิทธิทั้งปวงและดุลพินิจแต่เพียงผู้เดียวในการตอบรับเพื่อดำเนินการตามคำร้องขอหรือปฏิเสธคำขอของเจ้าของข้อมูล

การใช้สิทธิของเจ้าของข้อมูลตามข้อ 12.1 อาจถูกจำกัดภายใต้กฎหมายที่เกี่ยวข้อง และมีบางกรณีที่มีเหตุจำเป็นที่บริษัทอาจปฏิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิข้างต้นของเจ้าของข้อมูลได้ เช่น ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล เพื่อประโยชน์สาธารณะ การใช้สิทธิอาจละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น เป็นต้น หากบริษัทปฏิเสธคำขอข้างต้น บริษัทจะแจ้งเหตุผลของการปฏิเสธให้เจ้าของข้อมูลทราบด้วย

13. การฝึกอบรม

บริษัทจัดให้มีการฝึกอบรมและประเมินผลเกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลให้กับผู้บริหารและพนักงานทุกระดับในการนี้ผู้ประสานงานข้อมูลส่วนบุคคลต้องเข้าร่วมฝึกอบรมและกำหนดให้พนักงานในสังกัดของตน ซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคลต้องเข้าร่วมฝึกอบรมอย่างเคร่งครัดเพื่อส่งเสริมให้บุคลากรขององค์กรในระดับปฏิบัติการเกิดความตระหนักในเรื่องการคุ้มครองข้อมูลส่วนบุคคลตลอดจนแนวทางหรือวิธีการปฏิบัติงานที่เปลี่ยนแปลงไปอันเนื่องมาจากการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลพร้อมทั้งควรมีการตรวจสอบหรือทำให้แน่ใจว่าบุคลากรในองค์กรมีความตระหนักรู้และเข้าใจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอที่จะปฏิบัติตามขั้นตอน ข้อกฎหมาย หรือนโยบายคุ้มครองข้อมูลส่วนบุคคลที่บริษัทกำหนดได้อย่างเหมาะสมสำหรับวัตถุประสงค์สำคัญของการเตรียมการเรื่องนี้ คือ การทำให้การคุ้มครองข้อมูลส่วนบุคคลเป็นวัฒนธรรมองค์กรและเป็นส่วนหนึ่งของแนวทางการทำงานขององค์กร

การติดตามผลการปฏิบัติตามกฎหมาย (Monitoring compliance results) โดยภายหลังองค์กรได้จัดการองค์กร และเตรียมความพร้อมในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลแล้วเสร็จจำเป็นอย่างยิ่งที่องค์กรจะต้องจัดให้มีแนวทางในการติดตามการทำงานเป็นระยะ และเป็นประจำต่อเนื่อง ตั้งแต่ในกระบวนการเก็บบันทึก กระบวนการรักษา ความปลอดภัย ไปจนถึงการลบทำลายข้อมูล เพื่อวัตถุประสงค์ดังนี้

(1) เพื่อตรวจสอบผลการปฏิบัติตามกฎหมายให้มีความถูกต้องครบถ้วนอยู่เสมอ

(2) เพื่อทบทวนแนวทางการทำงานขององค์กรให้สอดคล้องตามกฎหมายในกรณีที่องค์กรมีกิจกรรมประมวลผลข้อมูลส่วนบุคคลที่เพิ่มขึ้นหรือเปลี่ยนแปลงจากที่มีอยู่เดิม

14. การแก้ไขเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคล

บริษัทจะทำการทบทวนนโยบายการคุ้มครองข้อมูลส่วนบุคคลอย่างน้อยปีละ 1 ครั้ง และหากมีการแก้ไข เปลี่ยนแปลง บริษัทจะประกาศให้พนักงานและบุคคลภายนอกที่เกี่ยวข้องทราบภายใน 30 วันนับแต่วันที่มีการแก้ไขเปลี่ยนแปลง

15. ช่องทางการติดต่อ

หากท่านมีข้อสงสัย หรือต้องการสอบถามข้อมูลเกี่ยวกับ การเก็บรวบรวม ใช้ และ/หรือ เปิดเผย การใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคลของท่าน ตามประกาศความเป็นส่วนตัวฉบับนี้ท่านสามารถติดต่อได้ ตามรายละเอียดที่ปรากฏดังต่อไปนี้

เจ้าหน้าที่รับผิดชอบการคุ้มครองข้อมูลส่วนบุคคล E-mail address: [email protected]

โทร : 02 248 4695

สถานที่ติดต่อ 89 อาคารเอไอเอ แคปปิตอล เซ็นเตอร์ ชั้น 25

ห้อง 2501-2503 แขวงดินแดง เขตดินแดง กทม. 10400

16. บทกำหนดโทษ

ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลหรือผู้มีหน้าที่รับผิดชอบในการดำเนินงานเรื่องใดเรื่องหนึ่งตามหน้าที่ของตน หากละเลยหรือละเว้นไม่สั่งการ หรือไม่ดำเนินการหรือสั่งการหรือดำเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตนอันเป็นการฝ่าฝืนนโยบายและแนวปฏิบัติเกี่ยวกับเรื่องข้อมูลส่วนบุคคล และ/หรือตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด จนเป็นเหตุให้เกิดความผิดตามกฎหมาย และ/หรือความเสียหายขึ้นผู้นั้นต้องรับโทษทางวินัย ตามระเบียบของบริษัทและต้องรับโทษทางกฎหมายตามความผิดที่เกิดขึ้นทั้งนี้หากความผิดดังกล่าวก่อให้เกิดความเสียหายแก่บริษัทและ/หรือบุคคลอื่นใดบริษัทอาจพิจารณาดำเนินคดีตามกฎหมายเพิ่มเติมต่อไป

ทั้งนี้ ให้มีผลตั้งแต่วันที่ 10 สิงหาคม 2566 เป็นต้นไป