นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy policy)
บริษัท มิวซ์ อินโนเวชั่น จำกัด(“บริษัท”) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ของเจ้าของข้อมูล อันเป็นสิทธิขั้นพื้นฐานในความเป็นส่วนตัวของบุคคล โดยเจ้าของข้อมูลย่อมมีความประสงค์ที่จะให้ข้อมูลของตนได้รับการดูแลให้มีความมั่นคงปลอดภัย เพื่อให้เจ้าของข้อมูลเกิดความมั่นใจ ในการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูล บริษัทจึงได้กำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคล (“นโยบาย”) ฉบับนี้ขึ้นเพื่อกำหนดแนวทางในการปฏิบัติงานที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลของเจ้าของข้อมูล ดังปรากฏรายละเอียดในนโยบายฉบับนี้
1. วัตถุประสงค์
นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้มีวัตถุประสงค์ดังต่อไปนี้
1.1 เพื่อกำหนดบทบาทหน้าที่ของหน่วยงาน ผู้บริหาร พนักงาน ซึ่งมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล
1.2 เพื่อกำหนดขั้นตอนหรือมาตรฐานการรักษาความมั่นคงปลอดภัยในการคุ้มครองข้อมูลส่วนบุคคล
1.3 เพื่อกำหนดแนวทางในการปฏิบัติงานของพนักงานซึ่งเกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
1.4 เพื่อสร้างความเชื่อมั่นในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลต่อบุคคล ลูกค้า คู่ค้า ผู้ใช้บริการ ตลอดจนบุคคลอื่น ๆ ซึ่งมีส่วนได้เสียหรือเกี่ยวข้องกับข้อมูลส่วนบุคคล
2. ขอบเขตการบังคับใช้
นโยบายฉบับนี้ ใช้บังคับกับข้อมูลส่วนบุคคล ของ
2.1 ลูกค้าบุคคลธรรมดาของบริษัท ทั้งที่เป็นลูกค้าเป้าหมาย (ผู้ที่อาจเป็นลูกค้าในอนาคต) ลูกค้าปัจจุบัน และ ลูกค้าในอดีต
2.2 พนักงาน บุคลากร เจ้าหน้าที่ ผู้แทน ผู้ถือหุ้น บุคคลผู้มีอำนาจ กรรมการ ผู้ติดต่อ ตัวแทน และบุคคลธรรมดาอื่น ๆ ที่เกี่ยวข้องกับลูกค้านิติบุคคลของบริษัท ทั้งที่เป็นลูกค้าเป้าหมาย (ผู้ที่อาจเป็นลูกค้าในอนาคต) ลูกค้าปัจจุบัน และลูกค้าในอดีต และ
2.3 บุคคลธรรมดาที่มิใช่ลูกค้าของบริษัทซึ่งมีการทำธุรกรรมหรือกิจกรรมหรือมีความสัมพันธ์กับบริษัท เช่น ผู้ให้บริการภายนอก คู่ค้า คู่สัญญากับบริษัท หรือผู้ถือหุ้นของบริษัท เป็นต้น (ต่อไปนี้หากไม่เรียก 2.1 ถึง 2.3 โดยเฉพาะเจาะจง จะเรียกบุคคลตาม 2.1 ถึง 2.3 ดังกล่าวรวมกันว่า “เจ้าของข้อมูลส่วนบุคคล”)
3. คำนิยาม
คำศัพท์ | ความหมาย |
บริษัท | บริษัท มิวซ์ อินโนเวชั่น จำกัด |
บุคคล | บุคคลธรรมดา |
ข้อมูลส่วนบุคคล (Personal data) | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม บริษัทอาจเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่ได้รับจากเจ้าของข้อมูลโดยตรง (เช่น แพลตฟอร์มลงทะเบียนของบริษัท) หรือได้รับหรือเข้าถึงได้จากแหล่งอื่น (เช่น กรมพัฒนาธุรกิจการค้า กระทรวงพาณิชย์ กรมการปกครอง กระทรวงมหาดไทย กรมการกงสุล กระทรวงการต่างประเทศ บริษัทข้อมูลเครดิต กรมบังคับคดี สถาบันการเงิน ที่ปรึกษาทางวิชาชีพ สื่อสังคม แพลตฟอร์มออนไลน์ของบุคคลภายนอก หรือแหล่งข้อมูลสาธารณะอื่น ๆ) หรือผ่านบริษัทในเครือ ผู้ให้บริการ พันธมิตรทางธุรกิจ หน่วยงานทางการ หรือบุคคลภายนอก |
ข้อมูลละเอียดอ่อน (Sensitive Data) | ข้อมูลที่เป็นเรื่องส่วนบุคคลโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและอาจสุ่มเสี่ยงในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด |
เจ้าของข้อมูลส่วนบุคคล (Data Subject) | ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น แต่ไม่ใช่กรณีที่บุคคลมีความเป็นเจ้าของข้อมูล (Ownership) หรือเป็นผู้สร้างหรือเก็บรวบรวมข้อมูลนั้นเอง โดยเจ้าของข้อมูลส่วนบุคคลนี้จะหมายถึงบุคคลธรรมดาเท่านั้น และไม่รวมถึง “นิติบุคคล” (Juridical Person) ที่จัดตั้งขึ้นตามกฎหมาย เช่น บริษัท สมาคม มูลนิธิ หรือองค์กรอื่นใดทั้งนี้ เจ้าของข้อมูลส่วนบุคคล ได้แก่ บุคคลดังต่อไปนี้
ทั้งนี้ ในการให้ความยินยอมใด ๆ เจ้าของข้อมูลส่วนบุคคลที่เป็นผู้บรรลุนิติภาวะสามารถให้ความยินยอมได้ด้วยตนเอง
ทั้งนี้หากการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ไม่เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคล |
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) | บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล |
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) | บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล |
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) | บุคคลซึ่งบริษัทแต่งตั้งให้ทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 |
การประมวลผลข้อมูลส่วนบุคคล (Data Processing) | หมายถึง การดำเนินการหรือการปฏิบัติการใด ๆ ซึ่งเป็นการกระทำต่อข้อมูลส่วนบุคคล ไม่ว่าจะด้วยวิธีการอัตโนมัติหรือไม่ก็ตาม เช่น การรวบรวม การบันทึก การจัดองค์กรโครงสร้าง การจัดเก็บ การปรับหรือการเปลี่ยนแปลง การสืบค้น การให้คำปรึกษา การใช้ การเปิดเผย โดยการส่งผ่าน การเผยแพร่ หรือการทำให้พร้อมใช้งาน การจัดระบบหรือการรวมกัน การจำกัด การลบ หรือการทำลายข้อมูลส่วนบุคคล เป็นต้น |
คำจำกัดความอื่น ๆ | ในกรณีที่นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ไม่ได้กำหนดไว้ ให้ถือปฏิบัติตามคำจำกัดความที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด |
4. การคุ้มครองข้อมูลส่วนบุคคล
บริษัทให้ความสำคัญและเน้นย้ำถึงการคุ้มครองข้อมูลส่วนบุคคลโดยตระหนักว่าการประมวลผลข้อมูลในบริษัทจะต้องกระทำภายใต้หลักการ ดังนี้
4.1 หลักความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส (Lawfulness, fairness and transparency) : บริษัทจะประมวลผลข้อมูลเฉพาะตามที่บริษัท มีฐานที่ชอบด้วยกฎหมายรองรับและ บริษัท จะกำหนดวิธีการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลอย่างชัดเจน
4.2 หลักความจำกัดของขอบวัตถุประสงค์ (Purpose Limitation) : บริษัท จะประมวลผลข้อมูลเฉพาะเพื่อวัตถุประสงค์ตามที่ได้กำหนดและแจ้งไว้ในขณะที่บริษัท ได้รับข้อมูลส่วนบุคคลเท่านั้น เว้นแต่จะเป็นการประมวลผลเพื่อวัตถุประสงค์เกี่ยวเนื่องกันหรือเป็นการปฏิบัติหน้าที่ตามกฎหมายที่ชัดเจน
4.3 หลักการใช้ข้อมูลที่น้อยที่สุด (Data Minimization) : บริษัท จะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลเท่าที่จำเป็นเท่านั้นเพื่อที่จะบรรลุวัตถุประสงค์ของการประมวลผลข้อมูล
4.4 หลักความถูกต้องของข้อมูล (Accuracy) : บริษัท จะดำเนินการอย่างเหมาะสมเพื่อให้ข้อมูลส่วนบุคคลที่บริษัท จัดเก็บนั้นมีความถูกต้องสมบูรณ์และเป็นปัจจุบันโดยคำนึงถึงวัตถุประสงค์ของการประมวลผล
4.5 หลักความจำกัดของการเก็บรักษา (Storage Limitation) : บริษัท จะทำการเก็บรักษาข้อมูลไว้เท่าที่จำเป็นต้องใช้ เว้นแต่กรณีที่บริษัท จำเป็นต้องเก็บไว้เพื่อให้เป็นไปตามมาตรฐานของการเก็บรักษาเอกสารหรือตามกฎระเบียบของรัฐ
4.6 หลักความถูกต้องแท้จริงและการรักษาความลับ (Integrity and Confidentiality) : บริษัท จะจัดให้มีมาตรการทางเทคนิคและทางบริหารจัดการที่เหมาะสมเพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลที่บริษัท จัดเก็บได้รับการรักษาความมั่นคงปลอดภัยในระดับที่เหมาะสม
4.7 หลักความรับผิดชอบ (Accountability): บริษัท จะดำเนินการอย่างเหมาะสมเพื่อให้สามารถแสดงได้ว่าบริษัทได้ปฏิบัติตามหลักการต่าง ๆ ข้างต้น
5. การเก็บรวบรวมข้อมูล
บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลผ่านทางช่องทางต่าง ๆ ดังนี้
5.1 ข้อมูลส่วนบุคคลที่เจ้าของข้อมูลได้ให้ไว้แก่บริษัทโดยตรง โดยทั่วไปแล้ว บริษัท จะทำการรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลโดยตรง ซึ่งมักจะเกิดขึ้นจากการที่เจ้าของข้อมูลได้ทำการติดต่อสื่อสารกับบริษัท เพื่อสอบถามข้อมูล ให้ความเห็น คำติชม หรือ ส่งข้อร้องเรียน ผ่านทางเว็บไซต์, แอพพลิเคชั่น, โทรศัพท์, อีเมล หรือเพื่อสั่งซื้อสินค้าหรือว่าจ้างหรือใช้บริการจากบริษัท และเข้าทำสัญญากับบริษัท, การเสนอขายสินค้าหรือรับจ้างหรือให้บริการแก่บริษัท และเข้าทำสัญญา, การเข้าร่วมกิจกรรมทางการตลาดหรือกิจกรรมอื่น ๆ เป็นต้น
5.2 ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมจากเจ้าของข้อมูลโดยอัตโนมัติ บริษัทอาจเก็บรวมรวมข้อมูลทางเทคนิคบางอย่างเกี่ยวกับอุปกรณ์ กิจกรรมและรูปแบบการเข้าชม ข้อมูลประวัติการใช้งานเว็บไซต์ (Browsing) ของเจ้าของข้อมูลโดยอัตโนมัติ
5.3 ข้อมูลส่วนบุคคลที่บริษัท ได้รับจากบุคคลภายนอกบริษัทอาจได้รับข้อมูลส่วนบุคคลของเจ้าของข้อมูลมาจากบุคคลภายนอกเป็นครั้งคราว อาทิ จากแหล่งข้อมูลสาธารณะ แหล่งข้อมูลเกี่ยวกับธุรกิจของเจ้าของข้อมูล หรือ แหล่งข้อมูลทางการค้า ไม่ว่าเจ้าของข้อมูลจะเป็นผู้ให้ข้อมูลส่วนบุคคลด้วยตนเองหรือได้ให้ความยินยอมแก่ผู้ใดในการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลดังกล่าว, ผู้ให้บริการต่าง ๆ ของบริษัท, หน่วยงานของรัฐ
5.4 การเก็บรวบรวมข้อมูลส่วนบุคคลให้กระทำภายใต้วัตถุประสงค์และเท่าที่จำเป็นตามกรอบวัตถุประสงค์หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวม พร้อมทั้งแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือ ขณะ ที่เก็บรวบรวม โดยจะมีการแจ้งรายละเอียดให้เจ้าของข้อมูลส่วนบุคคลทราบ ดังต่อไปนี้
(1) วัตถุประสงค์ในการเก็บรวบรวม
(2) ระยะเวลาในการเก็บรวบรวม
(3) ประเภทของบุคคลหรือหน่วยงานที่อาจมีการเปิดเผยข้อมูลส่วนบุคคล
(4) ข้อมูลหรือช่องทางการติดต่อบริษัท
(5) สิทธิของเจ้าของข้อมูล
(6) แจ้งผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคลในกรณีที่เจ้าของข้อมูลไม่ให้ข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด หรือเพื่อเข้าทำหรือปฏิบัติตามสัญญา
ทั้งนี้ เว้นแต่ในกรณีที่ไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูล โดยจะเก็บโดยใช้ฐานทางกฎหมายดังต่อไปนี้ ฐานทางกฎหมายตามมาตรา 24 ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ดังต่อไปนี้
(1) ฐานจดหมายเหตุ/สถิติ/วิจัย เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้อง
ที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูล
(2) ฐานระงับอันตรายต่อชีวิต เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
(3) ฐานสัญญา เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลก่อนเข้าทำสัญญานั้น
(4) ฐานประโยชน์สาธารณะ เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
(5) ฐานประโยชน์อันชอบธรรม เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
(6) ฐานปฏิบัติตามกฎหมาย เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
หากเป็นข้อมูลที่ละเอียดอ่อน (Sensitive Data) เป็นไปตามหลักเกณฑ์ตามมาตรา 26 ซึ่งต้องได้รับความยินยอม เว้นแต่มีข้อยกเว้นตามกฎหมายดังนี้
(1) ฐานป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้
(2) ฐานระงับอันตรายต่อร่างกายสุขภาพและชีวิต กรณีที่มีเหตุจำเป็นต้องใช้ข้อมูลละเอียดอ่อน หรือ Sensitive Data เช่น กรุ๊ปเลือด ข้อมูลสุขภาพ สามารถใช้ได้กรณีที่เจ้าของข้อมูลไม่สามารถให้ความยินยอมได้ เช่น เจ้าของข้อมูลส่วนบุคคลเกิดอุบัติเหตุ แต่หากขอความยินยอมได้ควรขอก่อน ตามมาตรา 24 เป็น ข้อมูลทั่วไป และมาตรา 26 เป็นข้อมูลอ่อนไหว
(3) ฐานการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากำไร
(4) ข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล
(5) จำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(6) จำเป็นต้องปฏิบัติตามกฎหมาย เฉพาะที่เกี่ยวกับเวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการใช้บริการด้านสังคมสงเคราะห์ ประโยชน์สาธารณะด้านสาธารณสุข การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจากยานพาหนะ หรือการคุ้มครองทางสังคม การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น
ที่สำคัญ
5.5 การเก็บรวบรวมข้อมูลส่วนบุคคลของผู้หย่อนความสามารถ
5.5.1 กรณี เจ้าของข้อมูลส่วนบุคคลที่เป็นผู้เยาว์ หมายถึง บุคคลที่อายุต่ำกว่า 20 ปีบริบูรณ์ และไม่ใช่ผู้บรรลุนิติภาวะตามข้อ 3 ทั้งนี้ ในการให้ความยินยอมใด ๆ บริษัทจะขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย
5.5.2 กรณี เจ้าของข้อมูลส่วนบุคคลที่เป็นคนเสมือนไร้ความสามารถ หมายถึง บุคคลที่ศาลสั่งให้เป็นคนเสมือนไร้ความสามารถ เนื่องจากมีกายพิการหรือมีจิตฟั่นเฟือนไม่สมประกอบ หรือประพฤติสุรุ่ยสุร่ายเสเพลเป็นอาจิณ หรือติดสุรายาเมา หรือมีเหตุอื่นใดทำนองเดียวกันนั้น จนไม่สามารถจะจัดทำการงานโดยตนเองได้ หรือจัดกิจการไปในทางที่อาจจะเสื่อมเสียแก่ทรัพย์สินของตนเองหรือครอบครัวทั้งนี้ ในการให้ความยินยอมใด ๆ บริษัทจะขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถนั้นก่อน
5.5.3 กรณี เจ้าของข้อมูลส่วนบุคคลที่เป็นคนไร้ความสามารถ หมายถึง บุคคลที่ศาลสั่งให้เป็นคนไร้ความสามารถ เนื่องจากเป็นบุคคลวิกลจริต ทั้งนี้ ในการให้ความยินยอมใด ๆ บริษัทจะขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถนั้นก่อน
ทั้งนี้ หากการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ไม่เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคล
5.6 การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)
บริษัทจะไม่เก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว เว้นแต่มีความจำเป็นต้องเก็บรวบรวม โดยต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ยกเว้นในกรณีที่กฎหมายกำหนดให้สามารถเก็บรวบรวมได้โดยไม่ต้องขอความยินยอม ตามข้อ 5.4
5.7 การเก็บรวบรวมข้อมูลของบุคคลที่สาม
หากเจ้าของข้อมูลได้ให้ข้อมูลส่วนบุคคลของบุคคลที่สามแก่บริษัท ผู้ติดต่อฉุกเฉิน บุคคลที่อ้างอิง เช่น ชื่อ นามสกุล ที่อยู่ หมายเลขโทรศัพท์ รายได้ของบุคคลในครอบครัว และข้อมูลส่วนตัวและข้อมูลเพื่อการติดต่ออื่นเพื่อติดต่อในกรณีฉุกเฉิน กรอกใบสมัคร หรือทำธุรกรรมของเจ้าของข้อมูลกับบริษัท บริษัทจะให้เจ้าของข้อมูลรับรองว่าข้อมูลดังกล่าวเป็นข้อมูลที่ถูกต้องตามกฎหมาย และให้เจ้าของข้อมูลแจ้งบุคคลเหล่านั้นให้ทราบถึงนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ และ/หรือขอความยินยอมจากบุคคลเหล่านั้น
5.8 การเก็บข้อมูลการใช้งานคุกกี้
บริษัทอาจเก็บรวบรวมและใช้งานคุกกี้ เพื่อจัดเก็บข้อมูลการเข้าใช้งานเว็บไซต์ โดยจะบันทึกลงไปในอุปกรณ์คอมพิวเตอร์ และ/หรือ เครื่องมือสื่อสารที่เข้าใช้งานของเจ้าของข้อมูลคุกกี้จะไม่ก่อให้เกิดอันตรายต่ออุปกรณ์คอมพิวเตอร์ และ/หรือ เครื่องมือสื่อสารของเจ้าของข้อมูล ในกรณีดังต่อไปนี้ ข้อมูลส่วนบุคคลของเจ้าของข้อมูลอาจถูกจัดเก็บเพื่อใช้เพิ่มประสบการณ์การใช้งานบริการทางออนไลน์ โดยจะจำเอกลักษณ์ของภาษาและปรับแต่งข้อมูลการใช้งานตามความต้องการของเจ้าของข้อมูล เป็นการยืนยันคุณลักษณะเฉพาะตัว ข้อมูลความปลอดภัยของเจ้าของข้อมูล รวมถึงบริการที่เจ้าของข้อมูลสนใจ นอกจากนี้คุกกี้ยังถูกใช้เพื่อวัดปริมาณการเข้าใช้งานบริการทางออนไลน์
การปรับเปลี่ยนเนื้อหาตามการใช้งานของเจ้าของข้อมูลโดยพิจารณาจากพฤติกรรมการเข้าใช้งานครั้งก่อน ๆ และ ณ ปัจจุบัน และอาจมีวัตถุประสงค์เพื่อการโฆษณาประชาสัมพันธ์ โดยเจ้าของข้อมูลสามารถศึกษารายละเอียดเพิ่มเติมได้จาก “นโยบายคุกกี้” ของบริษัท
5.9 การเก็บข้อมูลจากกล้องวงจรปิด CCTV
บริษัทมีการเก็บข้อมูลจากกล้องวงจรปิด CCTV เพื่อการปกป้องสุขภาพและความปลอดภัยส่วนตัวของเจ้าของข้อมูล ซึ่งรวมไปถึงทรัพย์สินของเจ้าของข้อมูล เพื่อการปกป้องอาคาร สิ่งอำนวยความสะดวกและทรัพย์สินของบริษัทจากความเสียหาย การขัดขวาง การทำลายซึ่งทรัพย์สินหรืออาชญากรรมอื่น และวัตถุประสงค์อื่นใด ที่มีความเกี่ยวข้อง โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูล โดยใช้ฐานประโยชน์โดยชอบธรรม
6. การเก็บรักษาและระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
บริษัทจะทำการเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลดังนี้
(1) จัดเก็บข้อมูลในรูปแบบเอกสารและ/หรือข้อมูลอิเล็กทรอนิกส์
(2) จัดเก็บข้อมูลในสถานที่ที่มีการจำกัดสิทธิการเข้าถึงเก็บไว้ในคอมพิวเตอร์แม่ข่าย (Server) และ/หรือเก็บไว้บนฐานข้อมูลออนไลน์ (Cloud Storage) ของผู้ให้บริการของกลุ่มบริษัท
บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลนานตราบเท่าที่จำเป็น โดยคำนึงถึงความจำเป็นและวัตถุประสงค์ที่บริษัทจะต้องเก็บรวบรวม ใช้และประมวลผล ซึ่งรวมถึงการปฏิบัติตามข้อกำหนดของกฎหมายที่ใช้บังคับ
หลักเกณฑ์ที่ใช้กำหนดระยะเวลาเก็บ ได้แก่ ระยะเวลาที่บริษัทยังมีความสัมพันธ์กับเจ้าของข้อมูลส่วนบุคคล อาจเก็บต่อไปตามระยะเวลาที่จำเป็นเพื่อการปฏิบัติตามกฎหมายหรือตามอายุความทางกฎหมาย เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อเหตุอื่นตามนโยบายและข้อกำหนดภายในองค์กรของบริษัท
บริษัทจะยังดำเนินการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลต่อไป แม้ว่าเจ้าของข้อมูลจะยุติความสัมพันธ์กับบริษัท เท่าที่จำเป็นตามข้อกำหนดของกฎหมายเพื่อประโยชน์โดยชอบด้วยกฎหมาย หรือทำการเก็บในรูปแบบที่ทำให้ระบุตัวบุคคลไม่ได้ไม่ว่าทางตรงหรือทางอ้อม เช่น “การทำข้อมูลนิรนาม” (Anonymous Data) หรือ “การทำข้อมูลแฝงที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค” (Pseudonymous Data)
บริษัทอาจเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลไว้นานเท่าที่จำเป็นต้องเก็บเพื่อการดำเนินการให้บรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลตามที่ระบุไว้ในประกาศความเป็นส่วนตัวฉบับนี้ โดยบริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูล ไม่เกิน 10 ปี นับแต่วันที่เจ้าของข้อมูลยุติความสัมพันธ์ หรือการติดต่อครั้งสุดท้ายกับบริษัท โดยบริษัทอาจเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลนานกว่าที่กำหนดหากกฎหมายอนุญาตเพื่อให้สอดคล้องกับระยะเวลาและอายุความที่เกี่ยวข้อง บริษัทจะดำเนินการจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลไว้ในรูปแบบที่เหมาะสมตามประเภทของข้อมูลส่วนบุคคล อย่างไรก็ตาม บริษัทมีความจำเป็นต้องเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลต่อไปแม้จะพ้นอายุความตามกฎหมายแล้ว ทั้งนี้ เพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูล
บริษัทจะดำเนินการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล ทำให้ไม่สามารถระบุชื่อเจ้าของข้อมูลส่วนบุคคลได้เป็นการถาวร หรือโดยประการอื่นเพื่อจำกัดข้อมูลส่วนบุคคลทั้งหมดเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้อง หรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือเมื่อบริษัทต้องปฏิบัติตามคำขอของเจ้าของข้อมูลให้บริษัททำการลบข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งเจ้าของข้อมูลยินยอมให้นำมาประมวลผล หรือรวบรวม จัดเก็บ ใช้และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลได้โดยอาศัยวัตถุประสงค์ที่บริษัทได้ขอความยินยอมไว้ จะถูกเก็บไว้ที่ระบบจัดเก็บของบริษัทเป็นระยะเวลา 10 ปี นับแต่วันที่เจ้าของข้อมูลให้ความยินยอม
7. การใช้หรือการเปิดเผยข้อมูลส่วนบุคคล
การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปตามวัตถุประสงค์ที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะทำการเก็บรวบรวม หรือเป็นการจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่กฎหมายกำหนดให้ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นการปฏิบัติตามกฎหมายบุคคลหรือนิติบุคคลอื่นซึ่งได้รับข้อมูลส่วนบุคคลจากการที่เจ้าของข้อมูลส่วนบุคคลยินยอมให้เปิดเผยหรือเป็นผู้ประมวลผลข้อมูลส่วนบุคคลต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ซึ่งเจ้าของข้อมูลส่วนบุคคลได้ตกลงยินยอมไว้ให้กับบริษัทและตามที่บุคคลหรือนิติบุคคลนั้นได้แจ้งไว้กับบริษัทเท่านั้นเพื่อดำเนินการตามวัตถุประสงค์ที่ระบุไว้ในประกาศความเป็นส่วนตัวฉบับนี้ ข้อมูลส่วนบุคคลของเจ้าของข้อมูล อาจมีการเปิดเผยหรือนำส่งให้กับหน่วยงานต่าง ๆ ภายในบริษัทและบุคคลหรือหน่วยงานภายนอก ดังนี้
ประเภทผู้รับข้อมูล | รายละเอียด |
7.1 ภายในบริษัท | ข้อมูลส่วนบุคคลของเจ้าของข้อมูล อาจมีการเปิดเผยหรือนำส่งให้กับหน่วยงานต่าง ๆ ภายในบริษัทเฉพาะที่เกี่ยวข้องและมีบทบาทหน้าที่เท่าที่จำเป็นตามวัตถุประสงค์เท่านั้น โดยบุคคลหรือทีมงานเหล่านี้ของบริษัท จะได้รับอนุญาตให้เข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูล ตามความจำเป็นและเหมาะสม
• เจ้าหน้าที่ฝ่ายขาย หรือเจ้าหน้าที่ฝ่ายอื่น ๆ เฉพาะที่เกี่ยวข้อง โดยกำหนดสิทธิ์การเข้าถึงข้อมูลตามบทบาทหน้าที่ที่รับผิดชอบ • ผู้บริหาร หรือผู้บังคับบัญชาโดยตรงของเจ้าของข้อมูล ที่มีความรับผิดชอบในการบริหารหรือตัดสินใจเกี่ยวกับเจ้าของข้อมูล หรือเมื่อต้องเกี่ยวข้องกับขั้นตอนทางด้านงานบุคคล • แผนกจัดซื้อ แผนกบัญชี ฝ่ายเทคโนโลยีสารสนเทศ ฝ่ายพัฒนาธุรกิจและผลิตภัณฑ์ แผนกทรัพยากรบุคคล หรือหน่วยงานอื่น ๆ ที่อาจปรับเพิ่ม หรือ ลดตามโครงสร้างขององค์กร ในภายหลัง |
7.2 หน่วยงานราชการ หน่วยงานกำกับดูแล หรือหน่วยงานอื่นตามที่กฎหมายกำหนด | ข้อมูลส่วนบุคคลของเจ้าของข้อมูล อาจมีการเปิดเผยหรือนำส่งให้กับองค์กรภายนอก ดังนี้ เช่น กรมสรรพากร สำนักงานประกันสังคม กรมสวัสดิการและคุ้มครองแรงงาน กรมบังคับคดี กระทรวงแรงงาน หรือหน่วยงานอื่นใดที่อาศัยอำนาจตามกฎหมาย |
7.3 องค์กรหรือบุคคลภายนอก | บริษัทอาจเปิดเผยข้อมูลของเจ้าของข้อมูล ให้กับองค์กรหรือบุคคลภายนอกที่มีการติดต่อสอบถามเพื่อวัตถุประสงค์ในการตรวจสอบการทำธุรกรรมต่าง ๆ ของเจ้าของข้อมูล และเพื่อที่จะได้ให้บริการหรือจัดหาผลิตภัณฑ์ให้สอดคล้องกับความต้องการของเจ้าของข้อมูล หรือบริษัทคู่ค้า |
8. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
8.1 บริษัทอาจส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปยังบุคคลอื่นทั้งในประเทศและต่างประเทศในกรณีที่จำเป็นเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญา หรือเป็นการกระทำตามสัญญาระหว่างบริษัทกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูล หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลก่อนเข้าทำสัญญา หรือเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลหรือบุคคลอื่น เพื่อปฏิบัติตามกฎหมายหรือเป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
8.2 บริษัทอาจเก็บข้อมูลของเจ้าของข้อมูลบนคอมพิวเตอร์ เซิร์ฟเวอร์ (Server) หรือคลาวด์ (Cloud) ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมหรือแอปพลิเคชันของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและรูปแบบของการให้บริการแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูล ทั้งนี้ บริษัทจะไม่อนุญาตให้บุคคลที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลส่วนบุคคลได้ และบริษัทจะกำหนดให้บุคคลอื่นเหล่านั้นต้องมีมาตรการคุ้มครองความมั่นคงปลอดภัยด้านข้อมูลส่วนบุคคลที่เหมาะสม
8.3 กรณีที่มีเหตุจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปยังต่างประเทศ บริษัทจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและใช้มาตรการที่เหมาะสมเพื่อให้มั่นใจได้ว่าข้อมูลส่วนบุคคลของเจ้าของข้อมูลจะได้รับความคุ้มครองและเจ้าของข้อมูลสามารถใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคลของเจ้าของข้อมูลได้ตามที่กฎหมายกำหนด รวมถึงบริษัทจะกำหนดให้ผู้ที่ได้รับข้อมูลส่วนบุคคลของเจ้าของข้อมูลมีมาตรการปกป้องข้อมูลของเจ้าของข้อมูลอย่างเหมาะสม และประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และดำเนินการเพื่อป้องกันไม่ให้บุคคลอื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจโดยมิชอบ
9. บทบาทหน้าที่และความรับผิดชอบ
บริษัทกำหนดให้พนักงานหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลต้องให้ความสำคัญและรับผิดชอบในการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทอย่างเคร่งครัด โดยกำหนดให้บุคคลหรือหน่วยงานดังต่อไปนี้ ทำหน้าที่กำกับและตรวจสอบให้การดำเนินงานของบริษัทนั้นถูกต้องและเป็นไปตามนโยบายและกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
9.1 ผู้ควบคุมข้อมูลส่วนบุคคล
หน้าที่ | รายละเอียด |
1. เก็บรวบรวม ใช้ เปิดเผยให้เป็นไปตามกฎหมาย | การเก็บรวบรวม ใช้ เปิดเผย ต้องมีฐานทางกฎหมายรองรับ ดำเนินการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ และต้องดำเนินการเก็บรวบรวมข้อมูลมาจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เข้าข้อยกเว้นซึ่งเกี่ยวข้องกับหน้าที่ในการจัดเตรียมเอกสารต่าง ๆ เพื่อให้เจ้าของข้อมูลส่วนบุคคลมั่นใจว่า หากยินยอมให้ผู้ควบคุมข้อมูลส่วนบุคคลเข้าไปเก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลจะดูแลรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลอย่างไร |
2. เปิดช่องให้เจ้าของข้อมูลส่วนบุคคลใช้สิทธิตามกฎหมาย | บันทึกคำร้องขอของเจ้าของข้อมูลส่วนบุคคล เมื่อผู้ควบคุมข้อมูลส่วนบุคคล ปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล พร้อมระบุเหตุผลในรายการบันทึกรายการตามมาตรา 39 |
3. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล | เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม และเป็นไปตามมาตรฐานขั้นต่ำ |
4. จัดให้มีมาตรการป้องกันไม่ให้ผู้อื่นใช้หรือเปิดเผยข้อมูลโดยมิชอบ | ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เช่น มีการโอนข้อมูลส่วนบุคคลให้ผู้ประมวลผล ต้องมีการดำเนินการเพื่อไม่ให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยไม่ถูกต้องตามกฎหมาย |
5. จัดให้มีระบบตรวจสอบเพื่อดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ | จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษาหรือไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นหรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็นการใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมายการปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย การยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย |
6. แจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล | ต้องแจ้งเหตุละเมิดแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมง นับแต่เมื่อทราบเหตุดังกล่าว ทั้งนี้ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลให้แจ้งเหตุการณ์ละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า |
7. แต่งตั้งตัวแทนในราชอาณาจักร | หากผู้ควบคุมข้อมูลส่วนบุคคลอยู่นอกประเทศไทยผู้ควบคุมส่วนบุคคลต้องแต่งตั้งตัวแทนของตนในประเทศไทย โดยต้องแต่งตั้งเป็นหนังสือซึ่งตัวแทนต้องอยู่ในประเทศไทยและได้รับมอบอำนาจให้กระทำแทนโดยไม่มีข้อจำกัดความรับผิดใดๆ ทีเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ตามวัตถุประสงค์ของผู้ควบคุมข้อมูล |
8. หน้าที่ในการจัดทำบันทึกรายการประมวลผลข้อมูล (Record of Processing Activities: RoPA) | ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการเพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ |
9. จัดให้มีข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement: DPA) | การดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล |
10. แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) | หากเข้าหลักเกณฑ์ที่กฎหมายกำหนดให้ต้องตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล โดยจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบหากองค์กรเป็นผู้ตัดสินใจจะเก็บรวบรวมข้อมูลส่วนบุคคลของใคร ใช้ข้อมูลอะไร มีวัตถุประสงค์อย่างไร ถือว่าเข้าข่ายเป็นผู้ควบคุมข้อมูลส่วนบุคคล ที่ไม่ได้มีหน้าที่แค่จัดทำประกาศ |
9.2 ผู้ประมวลผลข้อมูลส่วนบุคคล
หน้าที่ | รายละเอียด |
1. ประมวลผลข้อมูลส่วนบุคคลภายใต้คำสั่งผู้ควบคุมข้อมูล | ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่ง ที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือ บทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคล |
2. จัดให้มีมาตรการรักษาความ มั่นคงปลอดภัยของข้อมูลที่เหมาะสม |
จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคล ทราบถึงเหตุ การละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น |
3. จัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคล | จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด |
4. ทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล | การดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล ผู้ควบคุมส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล |
9.3 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)
หน้าที่ | รายละเอียด |
1. ให้คำแนะนำ | ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล4.รักษาความลับของข้อมูล |
2. ตรวจสอบการดำเนินการ | ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล ส่วนบุคคลรวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล |
3.ประสานงานและให้ความร่วมมือกับสำนักงาน | ประสานงานและให้ความร่วมมือกับสำนักงานในกรณีที่มีปัญหาเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือ ผู้ประมวลผลข้อมูลส่วนบุคคล |
4. รักษาความลับของข้อมูล | รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ |
10. มาตรการรักษาความปลอดภัยสำหรับข้อมูลส่วนบุคคล
เพื่อประโยชน์ในการรักษาความลับและรักษาความปลอดภัยของข้อมูลส่วนบุคคล บริษัทได้มีมาตรการดังนี้
10.1 กำหนดสิทธิในการเข้าถึงการใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคล รวมถึงการแสดงหรือยืนยันตัวบุคคลผู้เข้าถึงหรือใช้ข้อมูลส่วนบุคคลจัดให้มีมาตรการรักษาความปลอดภัย รวมถึงกระบวนการทบทวนและการประเมิน ประสิทธิภาพของมาตรการรักษาความปลอดภัย ทั้งนี้เป็นไปตามแนวนโยบายสารสนเทศของบริษัทอย่างเคร่งครัด
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลไว้เป็นอย่างดีตามมาตรการเชิงเทคนิค (Technical Measure) และมาตรการเชิงบริหารจัดการ (Organizational Measure) เพื่อรักษาความปลอดภัยในการประมวลผลข้อมูลส่วนบุคคลที่เหมาะสม และเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล โดยบริษัทได้กำหนดนโยบาย ระเบียบ และหลักเกณฑ์ในการคุ้มครองข้อมูลส่วนบุคคล รวมถึงมาตรการเพื่อป้องกันไม่ให้ผู้รับข้อมูลไปจากบริษัทใช้ หรือเปิดเผยข้อมูลนอกวัตถุประสงค์ หรือโดยไม่มีอำนาจหรือโดยมิชอบ และบริษัทได้มีการปรับปรุงนโยบาย ระเบียบและหลักเกณฑ์ดังกล่าวเป็นระยะตามความจำเป็น และเหมาะสม นอกจากนี้ผู้บริหาร พนักงาน ผู้รับจ้าง ตัวแทน ที่ปรึกษา และผู้รับข้อมูลจากบริษัทมีหน้าที่ต้องรักษาความลับของข้อมูลส่วนบุคคลตามมาตรการรักษาความลับที่บริษัทกำหนด
10.2 ในการส่งการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ รวมถึงการนำข้อมูลส่วนบุคคลไปเก็บบนฐานระบบข้อมูลในระบบอื่นใดซึ่งผู้ให้บริการรับโอนข้อมูลหรือบริการเก็บรักษาข้อมูลอยู่ต่างประเทศ ประเทศปลายทางที่เก็บรักษาข้อมูลต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่าหรือดีกว่ามาตรการตามนโยบายนี้
10.3 ในกรณีที่มีการฝ่าฝืนมาตรการการรักษาความปลอดภัยของบริษัทจนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคล บริษัทจะดำเนินการแจ้งให้สำนักงานคณะกรรมการข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถทำได้ เว้นแต่การละเมิดนั้นมีความเสี่ยงที่จะกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะดำเนินการแจ้งเหตุการละเมิดพร้อมทั้งแนวทางการเยียวยาให้เจ้าของข้อมูลทราบโดยไม่ชักช้า ทั้งนี้บริษัทจะไม่รับผิดชอบในกรณีความเสียหายใด ๆ อันเกิดจากการที่เจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น ซึ่งได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลจงใจหรือประมาทเลินเล่อหรือเพิกถอนตามมาตรการความปลอดภัยจนเป็นเหตุให้ข้อมูลส่วนบุคคลถูกใช้หรือเปิดเผยต่อบุคคลที่สามบุคคลอื่นใด
บริษัทได้มีการทบทวน ปรับปรุงขั้นตอนและมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลของบริษัทให้เป็นปัจจุบันสม่ำเสมอ เพื่อให้ได้ระดับความปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมกับความเสี่ยง และให้การรักษาความลับของข้อมูลส่วนบุคคล ความสมบูรณ์ ความพร้อมใช้งานและความคล่องตัวในการประมวลผลข้อมูลส่วนบุคคลเป็นไปอย่างต่อเนื่อง รวมทั้งการปกป้อง การสูญหายและการเก็บรวบรวม การเข้าถึง การใช้ การดัดแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต ทั้งนี้ บริษัทจะนำมาตรการต่าง ๆ ในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลของบริษัทมาใช้กับการประมวลผลข้อมูลส่วนบุคคลทุกประเภท ไม่ว่าการประมวลผลข้อมูลส่วนบุคคลนั้นจะเป็นทางอิเล็กทรอนิกส์ หรือรูปแบบเอกสารก็ตาม
11. การประมวลผลข้อมูลส่วนบุคคล
เมื่อบริษัทได้รับข้อมูลส่วนบุคคล บริษัทจะดำเนินการดังต่อไปนี้กับข้อมูลส่วนบุคคลของเจ้าของข้อมูล
11.1 ขั้นตอนเก็บรวบรวม
บริษัทจัดเก็บรวบรวมข้อมูลส่วนบุคคลทั้งในรูปแบบเอกสาร และ/หรือข้อมูลอิเล็กทรอนิกส์เท่าที่จำเป็นแก่การให้บริการหรือบริการด้วยวิธีการทางอิเล็กทรอนิกส์ ภายใต้วัตถุประสงค์ของบริษัทและในระยะเวลานานเท่าที่จำเป็นเพื่อประโยชน์ในการใช้งานข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ระบุไว้เท่านั้น ซึ่งข้อมูลดังกล่าวถือเป็นข้อมูลส่วนบุคคลที่ถูกต้องสมบูรณ์และเป็นปัจจุบันที่สุดและเจ้าของข้อมูลยินยอมมอบข้อมูลส่วนบุคคลให้แก่บริษัทโดยชอบด้วยกฎหมาย
บริษัทอาจรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลเข้ากับข้อมูลส่วนบุคคลที่ได้รับจากแหล่งอื่นเฉพาะในกรณีที่มีความจำเป็นและได้รับความยินยอมจากเจ้าของข้อมูลเท่านั้น ทั้งนี้เพื่อประโยชน์ในการปรับปรุงข้อมูลส่วนบุคคลให้เป็นปัจจุบันและเพื่อปรับปรุงคุณภาพและประสิทธิภาพของการให้บริการของบริษัทให้ดียิ่งขึ้น
11.2 ขั้นตอนนำข้อมูลไปใช้
บริษัทจะใช้ข้อมูลส่วนบุคคลในกรณีที่พิจารณาแล้วเห็นว่าเป็นประโยชน์ต่อการทำงานการดำเนินธุรกิจของบริษัทเพื่อให้การดำเนินงานของบริษัทเป็นไปตามกฎหมายและกฎเกณฑ์ต่าง ๆ ที่เกี่ยวข้องหรือเพื่อปรับปรุงบริการให้มีประสิทธิภาพมากขึ้นเพื่อพัฒนามาตรฐานความมั่นคงปลอดภัยสารสนเทศในการบริหารจัดการความเสี่ยงป้องกันกิจกรรมที่มีแนวโน้มในการละเมิดกฎหมายระเบียบการใช้งานที่เกี่ยวข้องหรือข้อตกลงเงื่อนไขการใช้งานเว็บไซต์ของบริษัทรวมถึงเพื่อการติดต่อทางโทรศัพท์ข้อความอีเมลหรือไปรษณีย์หรือผ่านช่องทางใด ๆ เพื่อสอบหรือแจ้งให้เจ้าของข้อมูลทราบหรือตรวจสอบและยืนยันข้อมูลหรือสำรวจความคิดเห็นหรือแจ้งข้อมูลข่าวสารอื่นใดที่เกี่ยวข้องกับผลิตภัณฑ์และการให้บริการของบริษัทตามที่จำเป็น
11.3 การเปิดเผยข้อมูลส่วนบุคคล
บริษัทจะเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลให้แก่บริษัทย่อยหรือบุคคลภายนอก เพื่อประโยชน์ในการดำเนินงานของบริษัท และตามวัตถุประสงค์ที่บริษัทได้ขอจากเจ้าของข้อมูลเท่านั้น โดยบริษัทจะไม่เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลต่อบุคคลภายนอกรายอื่นโดยไม่ได้รับอนุญาตจากเจ้าของข้อมูล เว้นแต่ เป็นการส่งข้อมูลส่วนบุคคลให้แก่หน่วยงาน หรือเจ้าพนักงาน หรือบุคคลอื่น ๆ ที่มีสิทธิได้รับข้อมูลส่วนบุคคลของเจ้าของข้อมูลโดยชอบด้วยกฎหมาย เช่น ศาล เจ้าพนักงานตำรวจ หรือบุคคลอื่นซึ่งมีสิทธิในการขอข้อมูลส่วนบุคคลของเจ้าของข้อมูลจากบริษัทได้โดยชอบด้วยกฎหมาย
12. สิทธิของเจ้าของข้อมูล
12.1 เจ้าของข้อมูลมีสิทธิในการดำเนินการ ดังต่อไปนี้
(1) สิทธิในการเพิกถอนความยินยอม หากเจ้าของข้อมูลได้ให้ความยินยอมให้บริษัทเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล(ไม่ว่าจะเป็นความยินยอมที่เจ้าของข้อมูลให้ไว้ก่อนวันที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลใช้บังคับหรือหลังจากนั้น)เจ้าของข้อมูลมีสิทธิที่จะถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลอยู่กับบริษัทเว้นแต่มีข้อจำกัดสิทธินั้นโดยกฎหมายหรือมีสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลอยู่
ทั้งนี้ การถอนความยินยอมของเจ้าของข้อมูลอาจส่งผลกระทบต่อเจ้าของข้อมูลจากการใช้ผลิตภัณฑ์ และ/หรือบริการต่าง ๆ เช่น เจ้าของข้อมูลจะไม่ได้รับสิทธิประโยชน์ โปรโมชั่นหรือข้อเสนอใหม่ ๆ ไม่ได้รับผลิตภัณฑ์หรือบริการที่ดียิ่งขึ้นและสอดคล้องกับความต้องการของเจ้าของข้อมูล หรือไม่ได้รับข้อมูลข่าวสารอันเป็นประโยชน์แก่เจ้าของข้อมูล เป็นต้น เพื่อประโยชน์ของเจ้าของข้อมูล จึงควรศึกษาและสอบถามถึงผลกระทบก่อนเพิกถอนความยินยอม
(2) สิทธิในการเข้าถึงข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูล และขอให้บริษัททำสำเนาข้อมูลส่วนบุคคลดังกล่าวให้กับเจ้าของข้อมูลรวมถึงขอให้บริษัทเปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของบริษัท ทั้งนี้ บริษัทอาจปฏิเสธคำขอของเจ้าของข้อมูลหากการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลนั้นจะส่งผลกระทบต่อสิทธิ และเสรีภาพของบุคคลอื่น หรือบริษัทต้องปฏิบัติตามกฎหมาย หรือคำสั่งศาลที่ห้ามเปิดเผยข้อมูลส่วนบุคคลนั้น
(3) สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคลเจ้าของข้อมูลมีสิทธิขอรับข้อมูลส่วนบุคคลของเจ้าของข้อมูลในกรณีที่บริษัทได้จัดทำข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบให้สามารถอ่านหรือใช้งานได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ และสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติรวมทั้งมีสิทธิขอให้บริษัทส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ และมีสิทธิขอรับข้อมูลส่วนบุคคลที่บริษัทส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่ไม่สามารถดำเนินการได้เพราะเหตุทางเทคนิค
ทั้งนี้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลข้างต้นต้องเป็นข้อมูลส่วนบุคคลที่เจ้าของข้อมูลได้ให้ความยินยอมแก่บริษัทในการเก็บรวบรวม ใช้ และ/หรือเปิดเผย หรือเป็นข้อมูลส่วนบุคคลที่บริษัทจำเป็นต้องเก็บรวบรวม ใช้ และ/หรือเปิดเผยเพื่อให้เจ้าของข้อมูลสามารถใช้ผลิตภัณฑ์และ/หรือบริการของบริษัทได้ตามความประสงค์ซึ่งเจ้าของข้อมูลเป็นคู่สัญญาอยู่กับบริษัทหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลก่อนใช้ผลิตภัณฑ์และ/หรือบริการของบริษัท หรือเป็นข้อมูลส่วนบุคคลอื่นตามที่ผู้มีอำนาจตามกฎหมายกำหนด
(4) สิทธิในการคัดค้านการประมวลผลข้อมูล เจ้าของข้อมูลมีสิทธิในการคัดค้านการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลในเวลาใดก็ได้ หากการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่ทำขึ้นเพื่อการดำเนินงานที่จำเป็นภายใต้ประโยชน์โดยชอบด้วยกฎหมายของบริษัท หรือของบุคคลหรือนิติบุคคลอื่น โดยไม่เกินขอบเขตที่เจ้าของข้อมูลสามารถคาดหมายได้อย่างสมเหตุสมผล หรือเพื่อดำเนินการตามภารกิจเพื่อสาธารณประโยชน์ หากเจ้าของข้อมูลยื่นคัดค้าน บริษัทจะยังคงดำเนินการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลต่อไปเฉพาะที่บริษัทสามารถแสดงเหตุผลตามกฎหมายได้ว่ามีความสำคัญยิ่งกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูล หรือเป็นไปเพื่อการยืนยันสิทธิตามกฎหมาย การปฏิบัติตามกฎหมาย หรือการต่อสู้ในการฟ้องร้องตามกฎหมาย ตามแต่ละกรณี นอกจากนี้ เจ้าของข้อมูลยังมีสิทธิขอคัดค้านการเก็บรวบรวม ใช้และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่ทำขึ้นเพื่อวัตถุประสงค์เกี่ยวกับการตลาด หรือเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติได้อีกด้วย
(5) สิทธิในการขอให้ลบข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิขอลบหรือทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวเจ้าของข้อมูลได้หากเจ้าของข้อมูลเชื่อว่าข้อมูลส่วนบุคคลของเจ้าของข้อมูลถูกเก็บรวบรวม ใช้ และ/หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายที่เกี่ยวข้อง หรือเห็นว่าบริษัทหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่เกี่ยวข้องในประกาศความเป็นส่วนตัวฉบับนี้ หรือเมื่อเจ้าของข้อมูลได้ใช้สิทธิขอถอนความยินยอมหรือใช้สิทธิขอคัดค้านตามที่แจ้งไว้ข้างต้นแล้ว เว้นแต่เป็นกรณีที่บริษัทต้องปฏิบัติตามกฎหมาย หรือใช้สิทธิเรียกร้องตามกฎหมายที่เกี่ยวข้องในการเก็บรักษาข้อมูลดังกล่าว
(6) สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคลเจ้าของข้อมูลมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลชั่วคราวในกรณีที่บริษัทอยู่ระหว่างตรวจสอบตามคำร้องขอใช้สิทธิขอแก้ไขข้อมูลส่วนบุคคลหรือขอคัดค้านของเจ้าของข้อมูล หรือกรณีอื่นใดที่บริษัทหมดความจำเป็นและต้องลบหรือทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูลตามกฎหมายที่เกี่ยวข้องแต่เจ้าของข้อมูลขอให้บริษัทระงับการใช้แทน
(7) สิทธิในการแก้ไขข้อมูลส่วนบุคคลเจ้าของข้อมูลมีสิทธิในการขอให้บริษัทแก้ไขข้อมูลส่วนบุคคลของเจ้าของข้อมูลให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
(8) สิทธิร้องเรียน เจ้าของข้อมูลมีสิทธิร้องเรียนต่อผู้มีอำนาจตามกฎหมายที่เกี่ยวข้องหากเจ้าของข้อมูลเชื่อว่าการเก็บรวบรวม ใช้และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลเป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายที่เกี่ยวข้อง
หากเจ้าของข้อมูลมีความกังวลหรือมีข้อสงสัยเกี่ยวกับแนวทางการปฏิบัติของบริษัทเกี่ยวกับข้อมูลส่วนบุคคลของ
เจ้าของข้อมูล โปรดติดต่อบริษัท โดยใช้รายละเอียดการติดต่อตามข้อ 12 ของนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ทั้งนี้ ในกรณีที่มีเหตุอันควรเชื่อได้ว่าบริษัทได้ทำการฝ่าฝืนกฎหมายคุ้มครองข้อมูลส่วนบุคคลเจ้าของข้อมูลมีสิทธิยื่นข้อร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญที่ได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามระเบียบและวิธีการตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลยื่นคำร้องขอใช้สิทธิภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล เมื่อบริษัทได้รับคำร้องขอดังกล่าวแล้ว จะดำเนินการภายในระยะเวลาที่กฎหมายกำหนด อนึ่ง บริษัทขอสงวนสิทธิที่จะปฏิเสธหรือไม่ดำเนินการตามคำร้องขอดังกล่าวในกรณีที่กฎหมายกำหนด
12.2 บริษัทมีสิทธิทั้งปวงและดุลพินิจแต่เพียงผู้เดียวในการตอบรับเพื่อดำเนินการตามคำร้องขอหรือปฏิเสธคำขอของเจ้าของข้อมูล
การใช้สิทธิของเจ้าของข้อมูลตามข้อ 12.1 อาจถูกจำกัดภายใต้กฎหมายที่เกี่ยวข้อง และมีบางกรณีที่มีเหตุจำเป็นที่บริษัทอาจปฏิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิข้างต้นของเจ้าของข้อมูลได้ เช่น ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล เพื่อประโยชน์สาธารณะ การใช้สิทธิอาจละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น เป็นต้น หากบริษัทปฏิเสธคำขอข้างต้น บริษัทจะแจ้งเหตุผลของการปฏิเสธให้เจ้าของข้อมูลทราบด้วย
13. การฝึกอบรม
บริษัทจัดให้มีการฝึกอบรมและประเมินผลเกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลให้กับผู้บริหารและพนักงานทุกระดับในการนี้ผู้ประสานงานข้อมูลส่วนบุคคลต้องเข้าร่วมฝึกอบรมและกำหนดให้พนักงานในสังกัดของตน ซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคลต้องเข้าร่วมฝึกอบรมอย่างเคร่งครัดเพื่อส่งเสริมให้บุคลากรขององค์กรในระดับปฏิบัติการเกิดความตระหนักในเรื่องการคุ้มครองข้อมูลส่วนบุคคลตลอดจนแนวทางหรือวิธีการปฏิบัติงานที่เปลี่ยนแปลงไปอันเนื่องมาจากการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลพร้อมทั้งควรมีการตรวจสอบหรือทำให้แน่ใจว่าบุคลากรในองค์กรมีความตระหนักรู้และเข้าใจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอที่จะปฏิบัติตามขั้นตอน ข้อกฎหมาย หรือนโยบายคุ้มครองข้อมูลส่วนบุคคลที่บริษัทกำหนดได้อย่างเหมาะสมสำหรับวัตถุประสงค์สำคัญของการเตรียมการเรื่องนี้ คือ การทำให้การคุ้มครองข้อมูลส่วนบุคคลเป็นวัฒนธรรมองค์กรและเป็นส่วนหนึ่งของแนวทางการทำงานขององค์กร
การติดตามผลการปฏิบัติตามกฎหมาย (Monitoring compliance results) โดยภายหลังองค์กรได้จัดการองค์กร และเตรียมความพร้อมในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลแล้วเสร็จจำเป็นอย่างยิ่งที่องค์กรจะต้องจัดให้มีแนวทางในการติดตามการทำงานเป็นระยะ และเป็นประจำต่อเนื่อง ตั้งแต่ในกระบวนการเก็บบันทึก กระบวนการรักษา ความปลอดภัย ไปจนถึงการลบทำลายข้อมูล เพื่อวัตถุประสงค์ดังนี้
(1) เพื่อตรวจสอบผลการปฏิบัติตามกฎหมายให้มีความถูกต้องครบถ้วนอยู่เสมอ
(2) เพื่อทบทวนแนวทางการทำงานขององค์กรให้สอดคล้องตามกฎหมายในกรณีที่องค์กรมีกิจกรรมประมวลผลข้อมูลส่วนบุคคลที่เพิ่มขึ้นหรือเปลี่ยนแปลงจากที่มีอยู่เดิม
14. การแก้ไขเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคล
บริษัทจะทำการทบทวนนโยบายการคุ้มครองข้อมูลส่วนบุคคลอย่างน้อยปีละ 1 ครั้ง และหากมีการแก้ไข เปลี่ยนแปลง บริษัทจะประกาศให้พนักงานและบุคคลภายนอกที่เกี่ยวข้องทราบภายใน 30 วันนับแต่วันที่มีการแก้ไขเปลี่ยนแปลง
15. ช่องทางการติดต่อ
หากท่านมีข้อสงสัย หรือต้องการสอบถามข้อมูลเกี่ยวกับ การเก็บรวบรวม ใช้ และ/หรือ เปิดเผย การใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคลของท่าน ตามประกาศความเป็นส่วนตัวฉบับนี้ท่านสามารถติดต่อได้ ตามรายละเอียดที่ปรากฏดังต่อไปนี้
เจ้าหน้าที่รับผิดชอบการคุ้มครองข้อมูลส่วนบุคคล | E-mail address: [email protected]
โทร : 02 248 4695 |
สถานที่ติดต่อ | 89 อาคารเอไอเอ แคปปิตอล เซ็นเตอร์ ชั้น 25
ห้อง 2501-2503 แขวงดินแดง เขตดินแดง กทม. 10400 |
16. บทกำหนดโทษ
ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลหรือผู้มีหน้าที่รับผิดชอบในการดำเนินงานเรื่องใดเรื่องหนึ่งตามหน้าที่ของตน หากละเลยหรือละเว้นไม่สั่งการ หรือไม่ดำเนินการหรือสั่งการหรือดำเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตนอันเป็นการฝ่าฝืนนโยบายและแนวปฏิบัติเกี่ยวกับเรื่องข้อมูลส่วนบุคคล และ/หรือตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด จนเป็นเหตุให้เกิดความผิดตามกฎหมาย และ/หรือความเสียหายขึ้นผู้นั้นต้องรับโทษทางวินัย ตามระเบียบของบริษัทและต้องรับโทษทางกฎหมายตามความผิดที่เกิดขึ้นทั้งนี้หากความผิดดังกล่าวก่อให้เกิดความเสียหายแก่บริษัทและ/หรือบุคคลอื่นใดบริษัทอาจพิจารณาดำเนินคดีตามกฎหมายเพิ่มเติมต่อไป
ทั้งนี้ ให้มีผลตั้งแต่วันที่ 10 สิงหาคม 2566 เป็นต้นไป