บริษัท วันทูวัน คอนแทคส์ จำกัด (มหาชน) และ บริษัทในเครือของบริษัท วันทูวัน คอนแทคส์ จำกัด (มหาชน) (ต่อไปนี้เรียกรวมว่า “บริษัท”) ซึ่งมีการใช้เทคโนโลยีสารสนเทศที่ทันสมัย รวมทั้งระบบการสื่อสารได้มีการพัฒนาไป อย่างรวดเร็ว บริษัทจึงให้ความสำคัญด้านการเคารพสิทธิในความเป็นส่วนตัวของท่าน และการรักษาความปลอดภัยของข้อมูลส่วนบุคคลของท่าน โดยได้กำหนดนโยบาย ระเบียบ และหลักเกณฑ์ต่างๆ ในการดำเนินงานของบริษัทเพื่อรักษาความปลอดภัยของข้อมูลส่วนบุคคล เพื่อให้ท่านได้มั่นใจว่า ข้อมูลส่วนบุคคลของท่าน บริษัทจะนำไปใช้ตรงตามความประสงค์ของท่าน และเป็นไปตามที่กฎหมายกำหนด
บริษัทได้ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมาย กฎ ระเบียบ รวมถึงคำสั่งอื่นๆ ของหน่วยงานรัฐ ที่เกี่ยวข้อง (ต่อไปนี้รวมเรียกว่า “กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล”) จึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) (ต่อไปนี้เรียกว่า “นโยบาย”) นี้ขึ้น โดยนโยบายนี้ได้อธิบายถึงวิธีการที่บริษัทปฏิบัติต่อข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม การจัดเก็บรักษา การใช้ การเปิดเผย รวมถึงสิทธิต่างๆ ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น เพื่อให้เจ้าของข้อมูลได้รับทราบถึงนโยบายในการคุ้มครองข้อมูลส่วนบุคคลของบริษัท บริษัทจึงประกาศนโยบาย ดังนี้
1. วัตถุประสงค์
บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งบริษัทได้ใช้ดำเนินการ เก็บรวบรวม การจัดเก็บรักษา การใช้ การเปิดเผย ข้อมูลส่วนบุคคล เพื่อประโยชน์ในการดำเนินงานของบริษัท เช่น การจัดซื้อจัดจ้าง การทำสัญญา การดำเนินกิจกรรมบริษัท การติดต่อประสานงานต่าง ๆ หรือเพื่อปรับปรุงคุณภาพการทำงานให้มีประสิทธิภาพมากยิ่งขึ้น เช่น การจัดทำฐานข้อมูล วิเคราะห์ และพัฒนากระบวนการดำเนินงานของบริษัท และเพื่อวัตถุประสงค์อื่นใดที่ไม่ต้องห้ามตามกฎหมาย และ/หรือเพื่อปฏิบัติตามกฎหมาย หรือกฎระเบียบที่เกี่ยวข้องต่อการดำเนินงานของบริษัท
บริษัทจะเก็บรวบรวม การจัดเก็บรักษา การใช้ การเปิดเผย ข้อมูลส่วนบุคคล ดังกล่าวตามเท่าที่เหมาะสม จำเป็นตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลหรือตามที่กฎหมายกำหนดไว้เท่านั้น จึงได้จัดทํานโยบายนี้ เพื่อคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ผู้มีส่วนได้ส่วนเสีย หรือที่มีส่วนเกี่ยวข้องกับบริษัท โดยมีวัตถุประสงค์ ดังนี้
1.1 เพื่อกําหนดบทบาทหน้าที่ความรับผิดชอบของหน่วยงาน และบุคลากร ผู้บริหาร พนักงาน และบุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
1.2 เพื่อกําหนดขั้นตอน หรือมาตรการรักษาความมั่นคงปลอดภัยในการคุ้มครองข้อมูลส่วนบุคคล
1.3 เพื่อกําหนดแนวทางในการปฏิบัติงานของบุคลากรซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคล
1.4 เพื่อสร้างความเชื่อมั่นในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลต่อพนักงาน ลูกค้า คู่ค้า ผู้ใช้บริการ ตลอดจนบุคคลอื่นๆซึ่งมีส่วนได้ส่วนเสีย หรือเกี่ยวข้องกับข้อมูลส่วนบุคคล
2. ขอบเขต
2.1 ให้นโยบายฉบับนี้ มีผลใช้บังคับกับ กรรมการ ผู้บริหาร พนักงาน ลูกจ้าง และบุคคลที่มีส่วนเกี่ยวข้อง ตลอดจน คู่ค้า ผู้ให้บริการภายนอก และผู้มีส่วนได้ส่วนเสียกับบริษัท
2.2 ให้นโยบายฉบับนี้ มีผลใช้บังคับกับการดำเนินงานในทุกกิจกรรมของบริษัทที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
3. คำจำกัดความ
| บริษัท | หมายความว่า | บริษัท วันทูวัน คอนแทคส์ จำกัด (มหาชน) รวมถึง บริษัท วันทูวัน คอนแทคส์ (แคมโบเดีย) จำกัด บริษัท วันทูวัน โปรเฟสชั่นแนล จำกัด และ บริษัท อินโน ฮับ จำกัด ซึ่งเป็นบริษัทในกลุ่มบริษัท บริษัท วันทูวัน คอนแทคส์ จำกัด (มหาชน) |
|---|---|---|
| ข้อมูลส่วนบุคคล (Personal Data ) | หมายความว่า | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม |
| ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) | หมายความว่า | ข้อมูลส่วนบุคคลที่มีความเสี่ยงอาจถูกนำไปสู่การเลือกปฎิบัติอย่างไม่เป็นธรรม ในที่นี้หมายถึง เชื้อชาติ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน ตามที่คณะกรรมการคุ้มครองข้อมูล ส่วนบุคคลประกาศกำหนด |
| เจ้าของข้อมูลส่วนบุคคล | หมายความว่า | บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล ได้แก่ กรรมการบริษัท ลูกค้า คู่ค้า ผู้ใช้บริการ และพนักงานบริษัท |
| ผู้ควบคุมข้อมูลส่วนบุคคล | หมายความว่า | บุคคล หรือนิติบุคคลซึ่งมีอํานาจหน้าที่ตัดสินใจเกี่ยวกับ การเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล ในที่นี้หมายถึง บริษัท หน่วยงาน และพนักงานที่รับผิดชอบในข้อมูลส่วนบุคคลตามที่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอม |
| ผู้ประมวลผลข้อมูลส่วนบุคคล | หมายความว่า | บุคคลหรือนิติบุคคลซึ่งดําเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของผู้ควบคุมข้อมูล ส่วนบุคคล ในที่นี้หมายถึง คู่ค้า บุคคลหรือบริษัทภายนอกที่บริษัทได้ว่าจ้างให้ดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล |
| บุคคล | หมายความว่า | บุคคลธรรมดา |
| เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) | หมายความว่า | บุคคลซึ่งบริษัทแต่งตั้งให้ทําหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 |
| การประมวลผลข้อมูล (Processing) | หมายความว่า | การปฏิบัติการ หรือส่วนหนึ่งของการปฎิบัติการซึ่งได้กระทำต่อข้อมูลส่วนบุคคลไม่ว่าด้วยวิธีอัตโนมัติหรือไม่ ได้แก่ การเก็บรวบรวม การแก้ไข การบันทึก การจัดเรียบเรียง การเก็บรักษา การเรียกดู การนำกลับมาใช้ใหม่ การพิมพ์ การทำให้เข้าถึง การส่ง การจัดวางให้ถูกตำแหน่ง การจำกัด การลบ การทำลาย รวมถึง การจัดทำ การเปิดเผยและรายงานเชิงสถิติ |
4. การคุ้มครองข้อมูลส่วนบุคคล
4.1 การเก็บรวบรวมข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคลให้กระทําได้ภายใต้วัตถุประสงค์และเท่าที่จําเป็นตามกรอบวัตถุประสงค์ หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล พร้อมทั้งแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือในขณะเก็บรวบรวม หรือตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล โดยมีรายละเอียดดังต่อไปนี้
- ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
- วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลในแต่ละประเภท
- ระยะเวลาในการเก็บรวบรวมไว้
- ประเภทของบุคคล หรือหน่วยงานซึ่งอาจมีการเปิดเผยข้อมูลส่วนบุคคล
- ข้อมูลหรือช่องทางการติดต่อกับบริษัท
- สิทธิของเจ้าของข้อมูลส่วนบุคคล
- แจ้งผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูล ส่วนบุคคล ตามที่กฎหมายกําหนด หรือเพื่อเข้าทํา หรือปฏิบัติตามสัญญา
เว้นแต่ หากเข้าเงื่อนไขดังต่อไปนี้ บริษัทดำเนินการได้โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
- ฐานสัญญา (Contract) เป็นการจำเป็นเพื่อการปฏิบัติตามหน้าที่ซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
- ฐานหน้าที่ตามกฎหมาย (Legal Obligation) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
- ฐานภารกิจของรัฐ (Public Task) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจ เพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
- ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) เพื่อป้องกัน หรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
- ฐานประโยชน์อันชอบธรรม (Legitimate Interest) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคล หรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล
4.2 การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)
บริษัทจะไม่เก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) ได้แก่ เชื้อชาติ ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลชีวภาพ ข้อมูลอัตลักษณ์เสียง หรืออื่นๆ ตามที่กฎหมายกําหนด เป็นต้น เว้นแต่มีความจําเป็นต้องเก็บรวบรวม โดยต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล หรือตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ ยกเว้นในกรณีที่กฎหมายกําหนดให้สามารถ เก็บรวบรวมได้โดยไม่ต้องขอความยินยอม
4.3 การใช้หรือการเปิดเผยข้อมูลส่วนบุคคล
การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล ให้เป็นไปตามวัตถุประสงค์ที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคล ก่อนหรือในขณะทําการเก็บรวบรวม หรือเป็นการจําเป็น หรือตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล เพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่กฎหมายกําหนดให้ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นการปฏิบัติตามกฎหมาย
บุคคล หรือนิติบุคคลอื่น ซึ่งได้รับข้อมูลส่วนบุคคลจากการที่เจ้าของข้อมูลส่วนบุคคลตกลงยินยอมให้เปิดเผย หรือเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ ซึ่งเจ้าของข้อมูลส่วนบุคคลได้ตกลงยินยอมให้ไว้กับบริษัทและตามที่บุคคล หรือนิติบุคคลนั้นได้แจ้งไว้กับบริษัทเท่านั้น
อย่างไรก็ตาม บริษัทอาจเปิดเผยข้อมูลส่วนบุคคล ภายใต้หลักเกณฑ์ที่กฎหมายกำหนด เช่น การเปิดเผยข้อมูลต่อหน่วยงานราชการ หน่วยงานภาครัฐ หน่วยงานกำกับดูแล รวมถึงในกรณีที่มีการร้องขอให้เปิดเผยข้อมูลโดยอาศัยอำนาจตามกฎหมาย เช่น การร้องขอข้อมูลเพื่อการฟ้องร้องหรือดำเนินคดีตามกฎหมาย หรือการร้องขอจากหน่วยงานเอกชน หรือบุคคลภายนอกอื่น ๆ ที่มีความเกี่ยวข้องกับกระบวนการทางกฎหมาย
4.4 การส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศ
บริษัทอาจมีความจำเป็นต้องส่ง หรือโอนข้อมูลส่วนบุคคลของท่านไปยังบริษัทในเครือกิจการ / ธุรกิจเดียวกัน ที่อยู่ต่างประเทศ หรือไปยังผู้รับข้อมูลอื่นซึ่งเป็นส่วนหนึ่งของการดำเนินธุรกิจตามปกติของบริษัท เช่น การส่งหรือโอนข้อมูลส่วนบุคคลไปเก็บไว้บน Server / Cloud ในประเทศต่างๆ โดยบริษัทจะดูแลการส่ง หรือโอนข้อมูลส่วนบุคคลภายใต้หลักเกณฑ์ที่กฎหมายกำหนด และจะดำเนินการให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เห็นว่าจำเป็น และเหมาะสมสอดคล้องกับมาตรฐานการประมวลผลข้อมูลส่วนบุคคลและการรักษาความลับ
5. การปรับปรุงข้อมูลส่วนบุคคลให้เป็นปัจจุบัน
ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้นั้น ต้องถูกต้องเป็นปัจจุบัน สมบูรณ์ ไม่ก่อให้เกิดความเข้าใจผิด และต้องดําเนินการจัดให้มีช่องทางให้เจ้าของข้อมูลส่วนบุคคลสามารถร้องขอใช้สิทธิ หรือแก้ไขข้อมูลส่วนบุคคลของตัวเองได้
6. บทบาทหน้าที่ของบริษัท
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้เป็นอย่างดีตามมาตรการเชิงเทคนิค (Technical Measure) และมาตรการเชิงบริหารจัดการ (Organizational Measure) เพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลข้อมูลส่วนบุคคลที่เหมาะสม และเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล โดยบริษัทได้กำหนดนโยบาย ระเบียบ และหลักเกณฑ์ในการคุ้มครองข้อมูลส่วนบุคคล เช่น มาตรฐานความปลอดภัยของระบบเทคโนโลยีสารสนเทศ และมาตรการ เพื่อป้องกันไม่ให้ผู้รับข้อมูลไปจากบริษัทใช้ หรือเปิดเผยข้อมูลนอกวัตถุประสงค์ หรือโดยไม่มีอำนาจหรือโดยไม่ชอบ และบริษัทจะดำเนินการปรับปรุงนโยบาย ระเบียบ และหลักเกณฑ์ดังกล่าวเป็นระยะตามความจำเป็นและเหมาะสม
นอกจากนี้ ผู้บริหาร พนักงาน ลูกจ้าง ผู้รับจ้าง ตัวแทน ที่ปรึกษา และผู้รับข้อมูลจากบริษัทมีหน้าที่ต้องรักษาความลับข้อมูลส่วนบุคคลตามมาตรการรักษาความลับที่บริษัทกำหนดขึ้น
7. การรักษาความมั่นคงปลอดภัย
เพื่อประโยชน์ในการรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคล บริษัทได้มีมาตรการ ดังนี้
7.1 กําหนดสิทธิในการเข้าถึง การใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคล รวมถึงการแสดง หรือยืนยันตัวบุคคล ผู้เข้าถึง หรือใช้ข้อมูลส่วนบุคคล จัดให้มีมาตราการรักษาความปลอดภัย รวมถึงกระบวนการทบทวน และประเมินประสิทธิภาพของมาตรการรักษาความปลอดภัยดังกล่าว ทั้งนี้ เป็นไปตามนโยบายระบบบริหารความมั่นคงปลอดภัยสารสนเทศและข้อมูลส่วนบุคคลอย่างเคร่งครัด
7.2 ในการส่ง หรือการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ รวมถึงการนําข้อมูลส่วนบุคคลไปเก็บข้อมูล บนฐานข้อมูลในระบบอื่นใด ซึ่งผู้ให้บริการรับโอนข้อมูล หรือบริการเก็บรักษาข้อมูลอยู่ต่างประเทศ ประเทศปลายทาง ที่เก็บรักษาข้อมูลต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่า หรือดีกว่ามาตรการตามนโยบายฉบับนี้
7.3 ในกรณีที่มีการฝ่าฝืนมาตรการการรักษาความมั่นคงปลอดภัยของบริษัท จนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงจะกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะดำเนินการแจ้งแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การกระทำละเมิดนั้นมีความเสี่ยงที่จะกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะดําเนินการแจ้งเหตุการละเมิดพร้อมทั้งแนวทางการเยียวยาให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า ทั้งนี้ บริษัทจะไม่รับผิดชอบในกรณีความเสียหายใดๆ อันเกิดจากการที่เจ้าของข้อมูลส่วนบุคคล หรือบุคคลอื่นใดซึ่งได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล จงใจหรือประมาทเลินเล่อ หรือเพิกเฉยต่อมาตรการรักษาความปลอดภัย จนเป็นเหตุให้ข้อมูลส่วนบุคคลถูกใช้ หรือเปิดเผยต่อบุคคลที่สาม หรือบุคคลอื่นใด
8. สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอเข้าถึงข้อมูลส่วนบุคคลของตน ขอรับสําเนา ขอถอนความยินยอม คัดค้าน การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ขอให้ลบทําลายหรือพักการใช้ ขอแก้ไขข้อมูลให้เป็นปัจจุบัน ร้องเรียน หรือขอให้โอนข้อมูลส่วนบุคคลของตนไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น เว้นแต่ เป็นการกระทบต่อสิทธิเสรีภาพของบุคคลอื่น เป็นการปฏิบัติหน้าที่เพื่อสาธารณะประโยชน์ หรือตามกฎหมาย หรือเพื่อการศึกษาวิจัย ทั้งนี้ เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
9. การร้องเรียน / การแจ้งเบาะแส / การแจ้งเพื่อใช้สิทธิของเจ้าของข้อมูส่วนบุคคล
กรณีพบเหตุอันควรสงสัยหรือเชื่อว่ามีการกระทำละเมิดข้อมูลส่วนบุคคล การร้องเรียน หรือการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ หรือตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล สามารถติดต่อกลับบริษัทได้ที่
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
หมายเลขโทรศัพท์ : 085 155 6214
Email Address: [email protected]
10. การฝึกอบรม
บริษัทจัดให้มีการฝึกอบรมและประเมินผลเกี่ยวกับการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ให้แก่บุคลากร พนักงาน ลูกจ้าง และบุคคลที่เกี่ยวข้องอย่างสม่ำเสมอ เพื่อให้ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และทำให้มั่นใจได้ว่าบุคลากรของบริษัทได้เข้าร่วมอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและมีความรู้ความเข้าใจในการคุ้มครองข้อมูลส่วนบุคคล
11. การทบทวนและปรับปรุงนโยบาย
บริษัทจะทำการทบทวนนโยบายฉบับนี้ อย่างน้อยปีละ 1 ครั้ง นับจากบังคับใช้ อย่างไรก็ตาม บริษัทอาจมีการปรับปรุงนโยบายตามระยะเวลาที่เหมาะสมและมีความจำเป็น หรือเมื่อกฎหมายมีการเปลี่ยนแปลงแก้ไข
1. วัตถุประสงค์
บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งบริษัทได้ใช้ดำเนินการ เก็บรวบรวม การจัดเก็บรักษา การใช้ การเปิดเผย ข้อมูลส่วนบุคคล เพื่อประโยชน์ในการดำเนินงานของบริษัท เช่น การจัดซื้อจัดจ้าง การทำสัญญา การดำเนินกิจกรรมบริษัท การติดต่อประสานงานต่าง ๆ หรือเพื่อปรับปรุงคุณภาพการทำงานให้มีประสิทธิภาพมากยิ่งขึ้น เช่น การจัดทำฐานข้อมูล วิเคราะห์ และพัฒนากระบวนการดำเนินงานของบริษัท และเพื่อวัตถุประสงค์อื่นใดที่ไม่ต้องห้ามตามกฎหมาย และ/หรือเพื่อปฏิบัติตามกฎหมาย หรือกฎระเบียบที่เกี่ยวข้องต่อการดำเนินงานของบริษัท
บริษัทจะเก็บรวบรวม การจัดเก็บรักษา การใช้ การเปิดเผย ข้อมูลส่วนบุคคล ดังกล่าวตามเท่าที่เหมาะสม จำเป็นตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลหรือตามที่กฎหมายกำหนดไว้เท่านั้น จึงได้จัดทํานโยบายนี้ เพื่อคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ผู้มีส่วนได้ส่วนเสีย หรือที่มีส่วนเกี่ยวข้องกับบริษัท โดยมีวัตถุประสงค์ ดังนี้
1.1 เพื่อกําหนดบทบาทหน้าที่ความรับผิดชอบของหน่วยงาน และบุคลากร ผู้บริหาร พนักงาน และบุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
1.2 เพื่อกําหนดขั้นตอน หรือมาตรการรักษาความมั่นคงปลอดภัยในการคุ้มครองข้อมูลส่วนบุคคล
1.3 เพื่อกําหนดแนวทางในการปฏิบัติงานของบุคลากรซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคล
1.4 เพื่อสร้างความเชื่อมั่นในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลต่อพนักงาน ลูกค้า คู่ค้า ผู้ใช้บริการ ตลอดจนบุคคลอื่นๆซึ่งมีส่วนได้ส่วนเสีย หรือเกี่ยวข้องกับข้อมูลส่วนบุคคล
2. ขอบเขต
2.1 ให้นโยบายฉบับนี้ มีผลใช้บังคับกับ กรรมการ ผู้บริหาร พนักงาน ลูกจ้าง และบุคคลที่มีส่วนเกี่ยวข้อง ตลอดจน คู่ค้า ผู้ให้บริการภายนอก และผู้มีส่วนได้ส่วนเสียกับบริษัท
2.2 ให้นโยบายฉบับนี้ มีผลใช้บังคับกับการดำเนินงานในทุกกิจกรรมของบริษัทที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
3. คำจำกัดความ
4. การคุ้มครองข้อมูลส่วนบุคคล
4.1 การเก็บรวบรวมข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคลให้กระทําได้ภายใต้วัตถุประสงค์และเท่าที่จําเป็นตามกรอบวัตถุประสงค์ หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล พร้อมทั้งแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือในขณะเก็บรวบรวม หรือตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล โดยมีรายละเอียดดังต่อไปนี้
- ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
- วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลในแต่ละประเภท
- ระยะเวลาในการเก็บรวบรวมไว้
- ประเภทของบุคคล หรือหน่วยงานซึ่งอาจมีการเปิดเผยข้อมูลส่วนบุคคล
- ข้อมูลหรือช่องทางการติดต่อกับบริษัท
- สิทธิของเจ้าของข้อมูลส่วนบุคคล
- แจ้งผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูล ส่วนบุคคล ตามที่กฎหมายกําหนด หรือเพื่อเข้าทํา หรือปฏิบัติตามสัญญา
เว้นแต่ หากเข้าเงื่อนไขดังต่อไปนี้ บริษัทดำเนินการได้โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
- ฐานสัญญา (Contract) เป็นการจำเป็นเพื่อการปฏิบัติตามหน้าที่ซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
- ฐานหน้าที่ตามกฎหมาย (Legal Obligation) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
- ฐานภารกิจของรัฐ (Public Task) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจ เพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
- ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) เพื่อป้องกัน หรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
- ฐานประโยชน์อันชอบธรรม (Legitimate Interest) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคล หรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล
4.2 การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)
บริษัทจะไม่เก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) ได้แก่ เชื้อชาติ ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลชีวภาพ ข้อมูลอัตลักษณ์เสียง หรืออื่นๆ ตามที่กฎหมายกําหนด เป็นต้น เว้นแต่มีความจําเป็นต้องเก็บรวบรวม โดยต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล หรือตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ ยกเว้นในกรณีที่กฎหมายกําหนดให้สามารถ เก็บรวบรวมได้โดยไม่ต้องขอความยินยอม
4.3 การใช้หรือการเปิดเผยข้อมูลส่วนบุคคล
การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล ให้เป็นไปตามวัตถุประสงค์ที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคล ก่อนหรือในขณะทําการเก็บรวบรวม หรือเป็นการจําเป็น หรือตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล เพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่กฎหมายกําหนดให้ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นการปฏิบัติตามกฎหมาย
บุคคล หรือนิติบุคคลอื่น ซึ่งได้รับข้อมูลส่วนบุคคลจากการที่เจ้าของข้อมูลส่วนบุคคลตกลงยินยอมให้เปิดเผย หรือเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ ซึ่งเจ้าของข้อมูลส่วนบุคคลได้ตกลงยินยอมให้ไว้กับบริษัทและตามที่บุคคล หรือนิติบุคคลนั้นได้แจ้งไว้กับบริษัทเท่านั้น
อย่างไรก็ตาม บริษัทอาจเปิดเผยข้อมูลส่วนบุคคล ภายใต้หลักเกณฑ์ที่กฎหมายกำหนด เช่น การเปิดเผยข้อมูลต่อหน่วยงานราชการ หน่วยงานภาครัฐ หน่วยงานกำกับดูแล รวมถึงในกรณีที่มีการร้องขอให้เปิดเผยข้อมูลโดยอาศัยอำนาจตามกฎหมาย เช่น การร้องขอข้อมูลเพื่อการฟ้องร้องหรือดำเนินคดีตามกฎหมาย หรือการร้องขอจากหน่วยงานเอกชน หรือบุคคลภายนอกอื่น ๆ ที่มีความเกี่ยวข้องกับกระบวนการทางกฎหมาย
4.4 การส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศ
บริษัทอาจมีความจำเป็นต้องส่ง หรือโอนข้อมูลส่วนบุคคลของท่านไปยังบริษัทในเครือกิจการ / ธุรกิจเดียวกัน ที่อยู่ต่างประเทศ หรือไปยังผู้รับข้อมูลอื่นซึ่งเป็นส่วนหนึ่งของการดำเนินธุรกิจตามปกติของบริษัท เช่น การส่งหรือโอนข้อมูลส่วนบุคคลไปเก็บไว้บน Server / Cloud ในประเทศต่างๆ โดยบริษัทจะดูแลการส่ง หรือโอนข้อมูลส่วนบุคคลภายใต้หลักเกณฑ์ที่กฎหมายกำหนด และจะดำเนินการให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เห็นว่าจำเป็น และเหมาะสมสอดคล้องกับมาตรฐานการประมวลผลข้อมูลส่วนบุคคลและการรักษาความลับ
5. การปรับปรุงข้อมูลส่วนบุคคลให้เป็นปัจจุบัน
ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้นั้น ต้องถูกต้องเป็นปัจจุบัน สมบูรณ์ ไม่ก่อให้เกิดความเข้าใจผิด และต้องดําเนินการจัดให้มีช่องทางให้เจ้าของข้อมูลส่วนบุคคลสามารถร้องขอใช้สิทธิ หรือแก้ไขข้อมูลส่วนบุคคลของตัวเองได้
6. บทบาทหน้าที่ของบริษัท
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้เป็นอย่างดีตามมาตรการเชิงเทคนิค (Technical Measure) และมาตรการเชิงบริหารจัดการ (Organizational Measure) เพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลข้อมูลส่วนบุคคลที่เหมาะสม และเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล โดยบริษัทได้กำหนดนโยบาย ระเบียบ และหลักเกณฑ์ในการคุ้มครองข้อมูลส่วนบุคคล เช่น มาตรฐานความปลอดภัยของระบบเทคโนโลยีสารสนเทศ และมาตรการ เพื่อป้องกันไม่ให้ผู้รับข้อมูลไปจากบริษัทใช้ หรือเปิดเผยข้อมูลนอกวัตถุประสงค์ หรือโดยไม่มีอำนาจหรือโดยไม่ชอบ และบริษัทจะดำเนินการปรับปรุงนโยบาย ระเบียบ และหลักเกณฑ์ดังกล่าวเป็นระยะตามความจำเป็นและเหมาะสม
นอกจากนี้ ผู้บริหาร พนักงาน ลูกจ้าง ผู้รับจ้าง ตัวแทน ที่ปรึกษา และผู้รับข้อมูลจากบริษัทมีหน้าที่ต้องรักษาความลับข้อมูลส่วนบุคคลตามมาตรการรักษาความลับที่บริษัทกำหนดขึ้น
7. การรักษาความมั่นคงปลอดภัย
เพื่อประโยชน์ในการรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคล บริษัทได้มีมาตรการ ดังนี้
7.1 กําหนดสิทธิในการเข้าถึง การใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคล รวมถึงการแสดง หรือยืนยันตัวบุคคล ผู้เข้าถึง หรือใช้ข้อมูลส่วนบุคคล จัดให้มีมาตราการรักษาความปลอดภัย รวมถึงกระบวนการทบทวน และประเมินประสิทธิภาพของมาตรการรักษาความปลอดภัยดังกล่าว ทั้งนี้ เป็นไปตามนโยบายระบบบริหารความมั่นคงปลอดภัยสารสนเทศและข้อมูลส่วนบุคคลอย่างเคร่งครัด
7.2 ในการส่ง หรือการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ รวมถึงการนําข้อมูลส่วนบุคคลไปเก็บข้อมูล บนฐานข้อมูลในระบบอื่นใด ซึ่งผู้ให้บริการรับโอนข้อมูล หรือบริการเก็บรักษาข้อมูลอยู่ต่างประเทศ ประเทศปลายทาง ที่เก็บรักษาข้อมูลต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่า หรือดีกว่ามาตรการตามนโยบายฉบับนี้
7.3 ในกรณีที่มีการฝ่าฝืนมาตรการการรักษาความมั่นคงปลอดภัยของบริษัท จนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงจะกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะดำเนินการแจ้งแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การกระทำละเมิดนั้นมีความเสี่ยงที่จะกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะดําเนินการแจ้งเหตุการละเมิดพร้อมทั้งแนวทางการเยียวยาให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า ทั้งนี้ บริษัทจะไม่รับผิดชอบในกรณีความเสียหายใดๆ อันเกิดจากการที่เจ้าของข้อมูลส่วนบุคคล หรือบุคคลอื่นใดซึ่งได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล จงใจหรือประมาทเลินเล่อ หรือเพิกเฉยต่อมาตรการรักษาความปลอดภัย จนเป็นเหตุให้ข้อมูลส่วนบุคคลถูกใช้ หรือเปิดเผยต่อบุคคลที่สาม หรือบุคคลอื่นใด
8. สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอเข้าถึงข้อมูลส่วนบุคคลของตน ขอรับสําเนา ขอถอนความยินยอม คัดค้าน การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ขอให้ลบทําลายหรือพักการใช้ ขอแก้ไขข้อมูลให้เป็นปัจจุบัน ร้องเรียน หรือขอให้โอนข้อมูลส่วนบุคคลของตนไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น เว้นแต่ เป็นการกระทบต่อสิทธิเสรีภาพของบุคคลอื่น เป็นการปฏิบัติหน้าที่เพื่อสาธารณะประโยชน์ หรือตามกฎหมาย หรือเพื่อการศึกษาวิจัย ทั้งนี้ เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
9. การร้องเรียน / การแจ้งเบาะแส / การแจ้งเพื่อใช้สิทธิของเจ้าของข้อมูส่วนบุคคล
กรณีพบเหตุอันควรสงสัยหรือเชื่อว่ามีการกระทำละเมิดข้อมูลส่วนบุคคล การร้องเรียน หรือการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ หรือตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล สามารถติดต่อกลับบริษัทได้ที่
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
หมายเลขโทรศัพท์ : 085 155 6214
Email Address: [email protected]
10. การฝึกอบรม
บริษัทจัดให้มีการฝึกอบรมและประเมินผลเกี่ยวกับการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ให้แก่บุคลากร พนักงาน ลูกจ้าง และบุคคลที่เกี่ยวข้องอย่างสม่ำเสมอ เพื่อให้ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และทำให้มั่นใจได้ว่าบุคลากรของบริษัทได้เข้าร่วมอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและมีความรู้ความเข้าใจในการคุ้มครองข้อมูลส่วนบุคคล
11. การทบทวนและปรับปรุงนโยบาย
บริษัทจะทำการทบทวนนโยบายฉบับนี้ อย่างน้อยปีละ 1 ครั้ง นับจากบังคับใช้ อย่างไรก็ตาม บริษัทอาจมีการปรับปรุงนโยบายตามระยะเวลาที่เหมาะสมและมีความจำเป็น หรือเมื่อกฎหมายมีการเปลี่ยนแปลงแก้ไข