AVERAPRIVACY POLICY

นโยบายคุ้มครองข้อมูลส่วนบุคคล

บริษัท เอวีร่า จำกัด (“บริษัทฯ”) มีความมุ่งมั่นในการดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้อง บริษัทฯ จึงได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) เพื่อให้การปฏิบัติงานของบริษัทฯ เป็นไปตามกฎหมาย และมาตรฐานสากลในการคุ้มครองข้อมูลส่วนบุคคล รวมถึงกำหนดหลักเกณฑ์ในการให้ความคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล และมาตรการในการบริหารจัดการ การละเมิดสิทธิของเจ้าของข้อมูลส่วนบุคคลที่มีประสิทธิภาพและเหมาะสม

เพื่อให้สอดคล้องกับการดำเนินธุรกิจในปัจจุบัน บริษัทฯ จึงจัดให้มีระบบการเก็บ รวบรวม ใช้ เปิดเผย และโอนข้อมูลส่วนบุคคลไปยังบุคคลที่สาม ซึ่งข้อมูลส่วนบุคคลที่เกี่ยวข้องกับบุคคลที่เป็นเจ้าของข้อมูล (Data Subject) อาจส่งให้เป็นการยืนยันถึงตัวตนของเจ้าของข้อมูลไม่ว่าทางตรงหรือทางอ้อมได้ บริษัทฯ จึงกำหนดให้มีคู่มือระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคล ดังนี้

1. นโยบายคุ้มครองข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคล หมายถึง “ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรง หรือ ทางอ้อมแต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ”

“บริษัทฯ จะบริหารจัดการ กำหนดให้มีมาตรการ และแนวทางปฏิบัติที่จำเป็นที่เป็นการเก็บ รวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล และควบคุมการปฏิบัติงานภายในองค์กรให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลและกฎหมายที่เกี่ยวข้อง เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลของผู้เกี่ยวข้องทุกคนจะได้รับความคุ้มครองตามที่กฎหมายกำหนด”

2. วัตถุประสงค์ของระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคล

2.1 เพื่อรักษามาตรฐานความรับผิดชอบที่องค์กรมีต่อลูกค้า คู่ค้า ผู้มาติดต่อ พนักงาน และผู้มีส่วนเกี่ยวข้องให้ได้รับการรักษาอย่างถูกต้อง ปลอดภัย และใช้งานโดยสุจริต รวมถึงเพื่อให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

2.2 เพื่อให้การทำธุรกรรมต่างๆ ตั้งแต่การเก็บรวบรวม การนำข้อมูลเพื่อประมวลผล การเปิดเผย การจัดการข้อมูล และการนำข้อมูลไปใช้เพื่อธุรกิจของบริษัทฯ มีความมั่งคงปลอดภัย น่าเชื่อถือ มีการคุ้มครองข้อมูลส่วนบุคคลและความเป็นส่วนตัว

2.3 เพื่อป้องกันความเสียหายที่เกิดจากการนำข้อมูลส่วนบุคคลไปแสวงหาประโยชน์โดยทุจริต หรือนำไปใช้ประโยชน์ในทางที่ผิด

3. ขอบเขตการบังคับใช้

3.1 การบังคับใช้ให้ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลทั้งหมดที่ดำเนินการโดยบริษัทฯ รวมทั้งกับคณะกรรมการ กรรมการ ผู้บริหาร และพนักงานทุกระดับของบริษัทฯ รวมถึง ลูกค้า คู่ค้า ผู้ให้บริการ และผู้มีส่วนได้เสียกับบริษัทฯ

3.2 การบังคับใช้ให้ครอบคลุมกับทุกกิจกรรมการดำเนินงานของบริษัทฯ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้แก่ วิธีการจัดเก็บข้อมูล ประเภท และรูปแบบของข้อมูลที่จัดเก็บ วัตถุประสงค์ของบริษัทฯ ในการนำข้อมูลส่วนบุคคลไปใช้ การแบ่งปันข้อมูลดังกล่าวให้กับบุคคลอื่น ตลอดจนวิธีการที่บริษัทฯ ดำเนินการปกป้องข้อมูลส่วนบุคคลของลูกค้า

3.3 การบังคับใช้ให้ครอบคลุมกับผลิตภัณฑ์และบริการต่าง ๆ เช่น เว็บไซต์ แอปพลิเคชัน เอกสาร หรือบริการในรูปแบบอื่นที่ควบคุมดูแลโดยบริษัทฯ (รวมเรียกว่า “บริการ”)

ข้อมูลส่วนบุคคลที่ดำเนินการโดยบริษัทฯ ให้หมายความรวมถึงข้อมูลส่วนบุคคลของบุคคลต่อไปนี้

  • ลูกค้าบุคคลธรรมดา
  • พนักงาน เจ้าหน้าที่ หรือผู้ปฏิบัติงาน หรือลูกจ้างของบริษัทฯ
  • คู่ค้าและผู้ให้บริการซึ่งเป็นบุคคลธรรมดา
  • กรรมการ ผู้รับมอบอำนาจ ผู้แทน ตัวแทน ผู้ถือหุ้น ลูกจ้าง หรือบุคคลอื่นที่มีความสัมพันธ์ในรูปแบบเดียวกันของนิติบุคคลที่มีความสัมพันธ์กับบริษัทฯ
  • ผู้ใช้งานผลิตภัณฑ์หรือบริการของบริษัทฯ
  • ผู้เข้าชมหรือใช้งานเว็บไซต์ ระบบ แอปพลิเคชัน อุปกรณ์ หรือช่องทางการสื่อสารอื่นซึ่งควบคุมดูแลโดยบริษัทฯ
  • บุคคลอื่นที่บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคล เช่น ผู้สมัครงาน ครอบครัวของพนักงานเจ้าหน้าที่ ผู้ค้ำประกัน ผู้รับประโยชน์ในกรมธรรม์ประกันภัย บุคคลภายนอกที่มาติดต่อกับบริษัทฯ ฯลฯ เป็นต้น
  • ข้อ 1 ถึง 7 เรียกรวมกันว่า “เจ้าของข้อมูลส่วนบุคคล”

นอกจากนโยบายฉบับนี้แล้ว บริษัทฯ อาจกำหนดให้มีคำประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice) (“ประกาศ”) สำหรับผลิตภัณฑ์ บริการ หรือการประมวลผลข้อมูลส่วนบุคคลภายใต้ข้อสัญญาหรือข้อกำหนดใด ๆ ของบริษัทฯ โดยเฉพาะ เพื่อแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงข้อมูลส่วนบุคคลที่ถูกประมวลผล วัตถุประสงค์ในการประมวลผล ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล รวมถึงสิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย ทั้งนี้ ในกรณีที่มีข้อความในประกาศเกี่ยวกับความเป็นส่วนตัวและนโยบายนี้ขัดแย้งกัน ให้ยึดตามข้อความในประกาศเกี่ยวกับความเป็นส่วนตัวของบริการหรือการประมวลผลข้อมูลส่วนบุคคลนั้น

สำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับ ให้บริษัทฯ สามารถเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นได้ต่อไปตามวัตถุประสงค์เดิม โดยการเปิดเผยและการดำเนินการอื่นที่ไม่ใช่การเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลข้างต้นให้ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้อง

4. คำนิยาม
“บริษัทฯ”

หมายถึง บริษัท เอวีร่า จำกัด และ บริษัทในเครือ

“นโยบายคุ้มครองข้อมูลส่วนบุคคล” (Personal Data Protection Policy)

หมายความว่า นโยบาย ที่บริษัทฯ จัดทำเพื่อแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงการประมวลผลข้อมูลของบริษัท และรายละเอียดต่าง ๆ ตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้อง ได้กำหนดไว้

“ข้อมูลส่วนบุคคล”

หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม ได้แก่ ชื่อ-นามสกุลของพนักงาน ลูกค้า คู่ค้า กรรมการ หรือผู้ติดต่องานรายบุคคล, ที่อยู่ของบุคคลธรรมดา, หมายเลขโทรศัพท์, อีเมล, ไอดีไลน์, นามบัตร, เลขที่บัตรประชาชน และข้อมูลของบัตรประชาชน รวมถึงภาพถ่ายที่ระบุตัวตนและเจ้าของได้ เป็นต้น แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“ข้อมูลอ่อนไหว” (Sensitive data)

หมายถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนและมีความสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติ อย่างไม่เป็นธรรม ซึ่งได้รับคุ้มครองเป็นพิเศษแตกต่างจากข้อมูลส่วนบุคคลแบบทั่วไป ได้แก่ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลชีวภาพหรือข้อมูลอื่นที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศเพิ่มในอนาคต

“ข้อมูลชีวภาพ”

หมายถึง ข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองม่านตา หรือ ข้อมูลจำลองลายนิ้วมือ

“การประมวลผลข้อมูลส่วนบุคคล”

หมายถึง การเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“เจ้าของข้อมูลส่วนบุคคล” (Data Subject)

หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล

“ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller)

หมายถึง บุคคลหรือนิติบุคคลอื่นซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ทั้งนี้ ให้รวมไปถึงการอ้างอิงใดๆ ตามกฎหมายที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่มีความหมายหรือแสดงความหมายเหมือนกับหรือคล้ายกับผู้ควบคุมข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor)

หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งรวมไปถึงการอ้างอิงใด ๆ ตามกฎหมายที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่มีความหมายหรือแสดงความหมายเหมือนกับหรือคล้ายกับผู้ประมวลผลข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลที่ดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

“คุกกี้” (Cookies)

หมายถึง ไฟล์คอมพิวเตอร์ขนาดเล็ก ที่จะเก็บข้อมูลส่วนบุคคลชั่วคราวที่จำเป็นลงในเครื่องคอมพิวเตอร์ของเจ้าของข้อมูลส่วนบุคคล เพื่อความสะดวกและรวดเร็วในการติดต่อสื่อสารซึ่งจะมีผลในขณะที่เข้าใช้งานระบบเว็บไซต์เท่านั้น

“คณะทำงานเพื่อคุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer Team)

หมายถึง พนักงานของบริษัทฯ ที่ได้รับการมอบหมายให้ทำหน้าที่ให้ความรู้ ขับเคลื่อนนโยบาย และกำกับดูแลนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของพนักงาน ลูกค้า คู่ค้า และผู้เกี่ยวข้อง

5. หน้าที่และความรับผิดชอบ

5.1 คณะกรรมการบริษัท

  • 5.1.1 กำหนดให้มีนโยบาย และแนวปฏิบัติการคุ้มครองข้อมูลบุคคล และความเป็นส่วนตัว
  • 5.1.2 กำกับดูแลให้มีการนำนโยบายไปปฏิบัติอย่างเป็นรูปธรรม

5.2 ผู้บริหารทุกระดับในแต่ละหน่วยงาน

  • 5.2.1 จัดให้มีระเบียบปฏิบัติและมาตรการในการจัดเก็บข้อมูลส่วนบุคคลที่หน่วยงานรับผิดชอบ โดยให้สอดคล้องกับนโยบาย แนวปฏิบัติ กฎหมาย และมาตรฐานสากล
  • 5.2.2 จัดให้มีผู้รับผิดชอบในหน่วยงาน เพื่อดูแลการดำเนินงานให้เป็นไปตามระเบียบปฏิบัติ
  • 5.2.3 ชี้แจงและส่งเสริมให้พนักงานในหน่วยงานปฏิบัติตามนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล และตักเตือนลงโทษทางวินัยกรณีที่พบเห็นการปฏิบัติที่ไม่ถูกต้องเหมาะสม
  • 5.2.4 ในกรณีที่บริษัทฯ ว่าจ้างบุคคลธรรมดาหรือนิติบุคคลจากภายนอก เพื่อให้ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล ต้องมีการวางระบบการคุ้มครองข้อมูลที่ได้มาตรฐาน
  • 5.2.5 กำกับดูแลให้พนักงานในหน่วยงานปฏิบัติตามนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด ตลอดจนหาแนวทางพัฒนาปรับปรุงเพื่อให้การนำไปปฏิบัติมีประสิทธิภาพมากขึ้น รวมทั้งมั่นใจว่ามีการรายงานผลการปฏิบัติงานตามนโยบายและแนวปฏิบัติฯ

5.3 หน่วยงานหรือบุคคลที่ได้รับมอบหมายให้เป็นผู้เก็บรวบรวมข้อมูล หรือ Data Controller

  • 5.3.1 ดำเนินการ และควบคุมการดำเนินการเกี่ยวกับการประมวลข้อมูลทั้งการแจ้ง การขอความยินยอม เก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปตามระเบียบปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายที่กำหนด
  • 5.3.2 ดำเนินการ และควบคุมการดำเนินมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจ หรือโดยมิชอบตามที่กำหนดไว้ในระเบียบปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
  • 5.3.3 ดำเนินการ และควบคุมการลบ หรือทำลายข้อมูลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวม หรือตามที่เจ้าของข้อมูลส่วนบุคคลได้ร้องขอ
  • 5.3.4 ตรวจสอบ และควบคุม ปรับปรุงข้อมูลส่วนบุคคลให้มีความถูกต้อง ทันสมัย และเป็นปัจจุบัน
  • 5.3.5 เมื่อพบการรั่วไหล หรือการละเมิดข้อมูลส่วนบุคคลต้องแจ้ง “คณะทำงานเพื่อคุ้มครองข้อมูลส่วนบุคคล” ทราบทันที
  • 5.3.6 ดำเนินการควบคุมการบันทึกข้อมูล และรายงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่รับผิดชอบ
  • 5.3.7 ประเมินความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่ตนรับผิดชอบ บริหารจัดการ และดำเนินตามมาตรการที่กำหนดเพื่อลดความเสี่ยง

5.4 คณะทำงานเพื่อคุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer Team)

  • 5.4.1 ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลรวมทั้งพนักงานที่เกี่ยวข้องกับการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
  • 5.4.2 ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการเก็บ รวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล เพื่อให้เป็นไปตามที่กฎหมายกำหนด
  • 5.4.3 ประสานงาน และให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มีปัญหาเกี่ยวกับการเก็บ รวบรบม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล
  • 5.4.4 รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่

5.5 หน้าที่ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

  • 5.5.1 ปฏิบัติตามนโยบายนี้ และสัญญารักษาความลับที่ได้ตกลงไว้กับบริษัทฯ โดยการได้รับข้อมูลส่วนบุคคลของบริษัทฯ หรือที่บริษัทฯ ควบคุมดูแลอยู่นั้น และปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
  • 5.5.2 ดำเนินการเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากบริษัทฯ เว้นแต่เป็นคำสั่งที่ขัดต่อกฎหมาย
  • 5.5.3 จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจโดยมิชอบ รวมทั้งแจ้งให้บริษัทฯ ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคล

5.6 หน้าที่ของพนักงาน เจ้าหน้าที่ หรือผู้ปฏิบัติงาน หรือลูกจ้างของบริษัทฯ

  • 5.6.1 เรียนรู้ ทำความเข้าใจและปฏิบัติตามนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ โดยเคร่งครัด
  • 5.6.2 ให้ความร่วมมือกับบริษัทฯ อย่างเต็มที่ในการป้องกัน สอดส่องดูแลข้อมูลส่วนบุคคลที่อยู่ในความรับผิดชอบของบริษัทฯ ให้มีความปลอดภัย
  • 5.6.3 รายงานต่อบริษัทฯ ทันที เมื่อพบเห็นการละเมิด ขโมย ทำลาย ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลส่วนบุคคลที่อาจสร้างความเสีย หายต่อบริษัทฯ และเจ้าของข้อมูลส่วนบุคคล
6. การเก็บรวบรวมข้อมูลส่วนบุคคล

บริษัทฯ จะเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ข้อมูลเฉพาะบุคคล ข้อมูลที่เกี่ยวข้องกับชีวิตส่วนตัว หรือความสนใจส่วนบุคคล ข้อมูลทางการเงิน ข้อมูลส่วนบุคคลที่มีความอ่อนไหว โดยมีแหล่งที่มา และหลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล ดังต่อไปนี้

6.1 แหล่งที่มาของข้อมูลส่วนบุคคล

  • บริษัทฯ อาจได้รับข้อมูลส่วนบุคคลจากช่องทาง ดังต่อไปนี้
  • 6.1.1 เก็บรวบรวมโดยตรงจากเจ้าของข้อมูลส่วนบุคคล เช่น การเก็บข้อมูลส่วนบุคคลจากการกรอกข้อมูลส่วนบุคคลผ่านแบบฟอร์มการสมัครใช้บริการทั้งในรูปแบบกระดาษและรูปแบบออนไลน์ การตอบแบบสอบถาม (Survey) การสมัครงาน การลงนามในสัญญาหรือเอกสาร หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับบริษัทฯ ผ่านช่องทางที่กำหนด
  • 6.1.2 เก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ ซอฟต์แวร์ หรือแอปพลิเคชันตามสัญญาให้บริการ เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ ผลิตภัณฑ์ หรือบริการของบริษัทฯ ด้วยการใช้คุกกี้ (Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น
  • 6.1.3 เก็บรวบรวมจากผู้ให้บริการสื่อสังคมออนไลน์ (social media) หรือผู้ให้บริการบัญชีผู้ใช้งานภายนอกซึ่งเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมในการเปิดเผยข้อมูลส่วนบุคคลของตนกับบริษัทฯ เพื่อเชื่อมต่อบัญชีผู้ใช้งานที่มีกับผู้ให้บริการภายนอกกับบริการของบริษัทฯ ในกรณีนี้ ข้อมูลส่วนบุคคลที่ได้เปิดเผยแก่บริษัทฯ จะเป็นไปตามการตั้งค่าของเจ้าของข้อมูลส่วนบุคคลภายใต้นโยบายความเป็นส่วนตัวของผู้ให้บริการภายนอกรายนั้น
  • 6.1.4 เก็บรวบรวมจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง ซึ่งบริษัทฯ สามารถเก็บรวบรวมจากแหล่งข้อมูลดังกล่าวโดยชอบด้วยกฎหมาย หรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลแก่บริษัทฯ เช่น การสืบค้นข้อมูลส่วนบุคคลผ่านระบบเว็บไซต์ การสอบถามจากบุคคลที่สาม หรือการเปิดเผยโดยบริษัทในเครือหรือบริษัทในกลุ่ม พันธมิตรทางธุรกิจ หรือบุคคลที่สามเพื่อวัตถุประสงค์ที่ระบุไว้ในนโยบายฉบับนี้ โดยบริษัทฯ จะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า แต่ต้องไม่เกิน 30 (สามสิบ) วันนับแต่วันที่บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งดังกล่าว รวมถึงจะดำเนินการขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวจากเจ้าของข้อมูลส่วนบุคค เว้นแต่กรณีที่ได้รับยกเว้นไม่ต้องขอความยินยอมหรือแจ้งเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด

รายการตัวอย่างประเภทของข้อมูลส่วนบุคคลที่บริษัทฯ อาจมีการเก็บรวมรวม เช่น

ประเภทข้อมูลส่วนบุคคล รายละเอียด
ข้อมูลเฉพาะตัวบุคคล คำนำหน้า ชื่อ หมายเลขบัตรประจำตัวประชาชนหรือหมายเลขหนังสือเดินทาง สัญชาติ ข้อมูลทะเบียนบ้าน ข้อมูลใบอนุญาตขับรถ ลายมือชื่อ หมายเลขประกันสังคม หรือเอกสารราชการอื่น ๆ ที่สามารถระบุตัวตนได้
ข้อมูลเกี่ยวกับคุณลักษณะของบุคคล วันเดือนปีเกิด เพศ ส่วนสูง น้ำหนัก อายุ สถานภาพการสมรส สถานภาพการเกณฑ์ทหาร รูปถ่าย ภาษาพูด ข้อมูลพฤติกรรม ความชื่นชอบ ข้อมูลการเป็นบุคคลล้มละลาย ข้อมูลการเป็นคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ เป็นต้น
ข้อมูลสำหรับการติดต่อ เบอร์โทรศัพท์บ้าน เบอร์โทรศัพท์เคลื่อนที่ หมายเลขโทรสาร อีเมล ที่อยู่ทางไปรษณีย์ ชื่อผู้ใช้งานในสังคมออนไลน์ (บัญชีผู้ใช้งานเว็บไซต์/แอปพลิเคชัน Line Facebook Apple Google หรือ Microsoft) แผนที่ตั้งของที่พัก เป็นต้น
ข้อมูลเกี่ยวกับการทำงานและการศึกษา รายละเอียดการจ้างงาน รวมถึงประวัติการทำงานและประวัติการศึกษา เช่น ประเภทการจ้างงาน อาชีพ ยศ ตำแหน่ง หน้าที่ ความเชี่ยวชาญ สถานภาพใบอนุญาตทำงาน ข้อมูลบุคคลอ้างอิง ข้อมูลบุคคลที่ติดต่อกรณีฉุกเฉิน หมายเลขประจำตัวผู้เสียภาษี ประวัติการดำรงตำแหน่ง ประวัติการทำงาน ข้อมูลเงินเดือน วันเริ่มงาน วันออกจากงาน ผลการประเมิน สวัสดิการและสิทธิประโยชน์ พัสดุในครอบครองของผู้ปฏิบัติงาน ผลงาน หมายเลขบัญชีธนาคาร สถาบันการศึกษา วุฒิการศึกษา ผลการศึกษา วันที่สำเร็จการศึกษา ข้อมูลการเข้าออกสถานที่ทำงาน ข้อมูลการเข้าออกของเวลาปฏิบัติงาน เป็นต้น
ข้อมูลเกี่ยวกับกรมธรรม์ประกันภัย รายละเอียดเกี่ยวกับกรมธรรม์ประกันภัย เช่น ผู้รับประกันภัย ผู้เอาประกันภัย ผู้รับผลประโยชน์ หมายเลขกรมธรรม์ ประเภทกรมธรรม์ วงเงินคุ้มครอง ข้อมูลเกี่ยวกับการเคลม เป็นต้น
ข้อมูลเกี่ยวกับความสัมพันธ์ทางสังคม ข้อมูลความสัมพันธ์ทางสังคมของท่าน เช่น สถานภาพทางการเมือง การดำรงตำแหน่งทางการเมือง ข้อมูลการเป็นผู้มีส่วนได้เสียในกิจการที่ทำกับบริษัทฯ
ข้อมูลเกี่ยวกับการใช้บริการ รายละเอียดเกี่ยวกับผลิตภัณฑ์หรือบริการ เช่น ชื่อบัญชีผู้ใช้งาน รหัสผ่าน หมายเลข PIN รหัส OTP ข้อมูลการจราจรทางคอมพิวเตอร์ ข้อมูลระบุพิกัด ภาพถ่าย วีดีโอ บันทึกเสียง ข้อมูลพฤติกรรมการใช้งาน ประวัติการสืบค้น คุกกี้ (cookies) หรือเทคโนโลยีในลักษณะเดียวกัน หมายเลขอุปกรณ์ (Device ID) ประเภทอุปกรณ์ รายละเอียดการเชื่อมต่อ ข้อมูล Browser ภาษาที่ใช้งาน ระบบปฏิบัติการที่ใช้งาน เป็นต้น
ข้อมูลทางการเงินและการทำธุรกรรม ข้อมูลเกี่ยวกับการเงิน สถานภาพทางการเงิน หรือประวัติทางการเงิน เช่น เลขที่บัญชีเงินฝาก ประวัติการทำธุรกรรม ประวัติการชำระสินเชื่อ แบบแสดงรายการภาษีเงินได้ ใบแจ้งรายได้ ข้อมูลการชำระค่าสาธารณูปโภค ข้อมูลเกี่ยวกับทรัพย์สิน เป็นต้น
ข้อมูลเกี่ยวกับยานยนต์ ข้อมูลรายละเอียดเกี่ยวกับรถและการจดทะเบียน เช่น เลขทะเบียนรถยนต์ หมายเลขเครื่องยนต์ ข้อมูลการจดทะเบียนรถ ข้อมูลระบบจีพีเอส เป็นต้น
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน เช่น เชื้อชาติ ข้อมูลศาสนา ข้อมูลความพิการ ข้อมูลความเห็นทางการเมือง ประวัติอาชญากรรม ข้อมูลชีวภาพ (อาทิ ข้อมูลภาพจำลองใบหน้า ข้อมูลภาพจำลองลายนิ้วมือ) ข้อมูลเกี่ยวกับสุขภาพ เป็นต้น
ข้อมูลส่วนบุคคลอื่นๆ เช่น ข้อมูลวิเคราะห์สถิติทางการตลาดของเจ้าของข้อมูลส่วนบุคคล ข้อมูลภาพวิดีทัศน์กล้องวงจรปิด (CCTV) ข้อมูลบทสนทนาและการสื่อสารทางโทรศัพท์หรืออุปกรณ์อิเล็กทรอนิกส์ เป็นต้น

6.2 หลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล

  • 6.2.1 ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล

บริษัทฯ พิจารณากำหนดฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลตามความเหมาะสมและตามบริบทของการให้บริการและการปฏิบัติตามสัญญา ตลอดจนการปฏิบัติตามกฎหมาย โดยฐานกฎหมายหลักที่บริษัทฯ ใช้ในการประมวลผลข้อมูลส่วนบุคคลมี ดังนี้

ฐานกฎหมายในการเก็บรวบรวมข้อมูล รายละเอียด
เพื่อการปฏิบัติตามสัญญา เพื่อให้บริษัทฯ สามารถเข้าทำสัญญากับเจ้าของข้อมูลส่วนบุคคล และปฏิบัติตามสัญญาดังกล่าว อาทิ สัญญาเช่าหรือให้เช่าซื้อ สัญญาซื้อขาย สัญญากู้ยืม สัญญาให้บริการ สัญญาจ้างแรงงาน สัญญาค้ำประกัน สัญญาแต่งตั้งตัวแทนนายหน้า สัญญาจ้างทำของ ตลอดจนเพื่อความจำเป็นในการให้บริการของบริษัทฯ อาทิ การเข้าทำสัญญาประกันภัยกับบริษัทประกันภัย การเข้าทำสัญญากับผู้ขายบนแพลตฟอร์มต่างๆ
เพื่อการปฏิบัติหน้าที่ตามกฎหมาย เพื่อให้บริษัทฯ สามารถปฏิบัติตามกฎหมายที่บังคับใช้ อาทิ กฎหมายว่าด้วยภาษีอากร กฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงิน กฎหมายประกอบรัฐธรรมนูญว่าด้วยการป้องกันและปราบปรามการทุจริต กฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต กฎหมายว่าด้วยการคุ้มครองแรงงาน กฎหมายประกันภัย ตลอดจนการดำเนินการตามคำสั่งศาล
เป็นการจำเป็นเพื่อประโยชน์อันชอบธรรม เพื่อการดำเนินการใดๆ ซึ่งเป็นประโยชน์อันชอบธรรมของบริษัทฯ และของบุคคลอื่นซึ่งประโยชน์ดังกล่าวมีความสำคัญไม่น้อยไปกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล และเจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้ อาทิ การยืนยันและตรวจสอบตัวตน การอำนวยความสะดวกในการเข้าใช้บริการ การนำเสนอผลิตภัณฑ์และบริการที่อยู่ในประเภทเดียวกันกับที่ลูกค้ามีอยู่ การพัฒนาและปรับปรุงผลิตภัณฑ์และบริการ การป้องกันการฉ้อโกง การรักษาความปลอดภัยของบริษัทฯ การพัฒนาและปรับปรุงขั้นตอนการปฏิบัติงานและระบบงานภายใน การกำกับภายในของบริษัทฯและบริษัทในเครือ รวมถึงเพื่อประโยชน์ในการบริหารความเสี่ยง การกำกับและตรวจสอบ และการบริหารจัดการภายในองค์กร
เป็นการจำเป็นเพื่อการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล อาทิ การติดต่อบุคคลอ้างอิงกรณีที่เจ้าของข้อมูลหมดสติ การเฝ้าระวังและป้องกันโรคระบาด
ความยินยอมของเจ้าของข้อมูลส่วนบุคคล เพื่อการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทฯ ที่จำเป็นต้องได้รับความยินยอม โดยได้แจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลก่อน หรือขณะขอความยินยอม อาทิ การนำเสนอและประชาสัมพันธ์ผลิตภัณฑ์และบริการโดยบริษัทในเครือและบริษัทในกลุ่ม รวมถึงพันธมิตรทางธุรกิจ การโฆษณาแบบเฉพาะเจาะจง (targeted advertising) การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวซึ่งไม่เข้าข้อยกเว้นตามกฎหมาย

ทั้งนี้ บริษัทฯ อาจพิจารณาใช้ฐานกฎหมายอื่นนอกเหนือจากที่กำหนดไว้ข้างต้นสำหรับการให้บริการหรือการดำเนินธุรกิจของบริษัทฯ ก็ได้ ทั้งนี้ ภายใต้หลักเกณฑ์ตามกฎหมาย

  • 6.2.2 บริษัทฯ จะเก็บข้อมูลส่วนบุคคลที่จำเป็นต่อการดำเนินงานของบริษัทฯ เท่านั้น ทั้งนี้ บริษัทฯ อาจมีวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่แตกต่างกันไปตามแต่กรณี เช่น
วัตถุประสงค์ รายละเอียด
เพื่อดำเนินการตามคำร้องขอของเจ้าข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา และเพื่อการปฏิบัติตามสัญญาระหว่างบริษัทฯ กับเจ้าของข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลเพื่อความจำเป็นในการเข้าใช้บริการหรือเข้าทำสัญญากับบริษัทฯ อาทิ การเข้าทำสัญญาเช่าหรือให้เช่า การเข้าใช้ผลิตภัณฑ์หรือบริการของบริษัทฯ เป็นต้น
เพื่อยืนยันตัวตนหรือตรวจสอบบุคคล การยืนยันตัวตนของเจ้าของข้อมูลส่วนบุคคลก่อนจะให้บริการหรือเข้าทำสัญญาด้วยวิธีที่บริษัทฯ กำหนด หรือตรวจสอบตัวตนในการทำธุรกรรม รวมทั้งพิสูจน์ลายมือชื่อว่าเป็นของเจ้าของข้อมูลส่วนบุคคลจริง
เพื่อตอบคำถามและให้ความช่วยเหลือแก่ลูกค้า การให้ความช่วยเหลือแก่ลูกค้าที่เกี่ยวข้องกับการให้บริการ อาทิ การให้ข้อมูลเกี่ยวกับการปรับปรุงข้อมูลของลูกค้า การชำระค่าสินค้าและบริการ ประวัติการชำระหนี้ หรือการส่งคำร้องขอใช้สิทธิหรือข้อร้องเรียนต่าง ๆ
เพื่อให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ การบริการ หรือการประชาสัมพันธ์ทางการตลาด การเสนอขายหรือนำเสนอผลิตภัณฑ์หรือบริการ ข้อเสนอพิเศษ สิทธิประโยชน์ และโปรโมชั่นโดยบริษัทฯ ให้แก่ลูกค้า รวมถึงการเสนอขายหรือนำเสนอผลิตภัณฑ์หรือบริการโดยบริษัทฯและบริษัทในเครือ คู่ค้า ตลอดจนพันธมิตรทางธุรกิจผ่านช่องทางการติดต่อที่ได้รับจากลูกค้า
เพื่อพัฒนาและปรับปรุงผลิตภัณฑ์และบริการ การวิจัย การวิเคราะห์ การสำรวจความพึงพอใจ และพัฒนาผลิตภัณฑ์หรือบริการของบริษัทฯ รวมถึงบริษัทในเครือให้ดียิ่งขึ้นและเหมาะสมกับความต้องการของลูกค้า
เพื่อการวิเคราะห์ข้อมูล (Data Analytics) การวิเคราะห์ข้อมูลเพื่อประโยชน์ในด้านต่างๆ ซึ่งอยู่ภายใต้วัตถุประสงค์ที่ชอบด้วยกฎหมาย อาทิ การพัฒนาผลิตภัณฑ์และบริการของบริษัทฯและบริษัทในเครือ การวิเคราะห์ข้อมูลเกี่ยวกับการจ่ายค่าจ้างค่าตอบแทนและสวัสดิการ การวิเคราะห์เกี่ยวกับข้อมูลทางบัญชีและการเงิน การบริหารความเสี่ยงภายในองค์กร การป้องกันการฉ้อโกง
เพื่อตรวจสอบและปรับปรุงระบบเทคโนโลยีสารสนเทศ การตรวจสอบและปรับปรุงระบบเทคโนโลยีสารสนเทศขององค์กรให้เป็นไปอย่างสอดคล้องกับมาตรฐานสากลและกฎเกณฑ์ที่เกี่ยวข้อง อาทิ การรักษาความมั่นคงปลอดภัยของระบบ การตรวจสอบระบบเทคโนโลยีสารสนเทศ การทดสอบเจาะระบบ
เพื่อตรวจสอบและป้องกันการกระทำที่ละเมิดกฎหมาย การตรวจสอบและการดำเนินการใดๆ เพื่อป้องกันการกระทำความผิดตามกฎหมายที่เกี่ยวข้อง รวมถึงการละเมิดความปลอดภัยที่ส่งผลกระทบต่อบริษัทฯ และเจ้าของข้อมูลส่วนบุคคล
เพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้องกับบริษัทฯ การปฏิบัติตามกฎหมายที่บังคับใช้กับการดำเนินธุรกิจของบริษัทฯ อาทิ การจัดเก็บข้อมูลเพื่อใช้ในการหักภาษี ณ ที่จ่าย การตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้าซึ่งเป็นส่วนหนึ่งของการปฏิบัติตามกฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงิน การปฏิบัติตามกฎหมายที่เกี่ยวข้องกับนายหน้าประกันภัย การดำเนินการตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต กฎหมายว่าด้วยการทวงถามหนี้ กฎหมายว่าด้วยการคุ้มครองผู้บริโภค
เพื่อให้ข้อมูลแก่หน่วยงานราชการตามที่กฎหมายกำหนดหรือตามการร้องขอโดยหน่วยงานของรัฐ การนำส่งและการชี้แจงข้อมูลแก่หน่วยงานบังคับใช้กฎหมายหรือเจ้าหน้าที่รัฐที่มีอำนาจตามกฎหมาย หรือองค์กรของรัฐที่อาจเกี่ยวข้องกับการดำเนินธุรกิจ อาทิ กรมสรรพากร สำนักงานประกันสังคมและหน่วยราชการในสังกัดกระทรวงแรงงาน กยศ. กรมศุลกากร กรมบังคับคดี ธนาคารแห่งประเทศไทย ฯลฯ เป็นต้น
เพื่อประโยชน์ในการบริหารจัดการภายในองค์กร การบริหารจัดการภายในองค์กรในด้านต่างๆ อาทิ การกำกับดูแลให้เป็นไปตามหลักธรรมาภิบาลบริษัทฯ และบริษัทในเครือ การบริหารความเสี่ยงขององค์กร การบริหารระบบจัดการคุณภาพ ISO 9001
เพื่อประโยชน์ในการบริหารจัดการด้านทรัพยากรบุคคล การบริหารและการจัดการด้านทรัพยากรบุคคลของบริษัทฯ รวมทั้งบริษัทในเครือ อาทิ การรับสมัครบุคลากร การตรวจสอบประวัติอาชญากรรมของบุคลากร การจ่ายเงินเดือนและค่าตอบแทนแก่ลูกจ้างและผู้ฝึกหัดงาน การให้สวัสดิการและสิทธิประโยชน์ต่างๆ การจัดให้มีการฝึกอบรมเพื่อพัฒนาลูกจ้างและบันทึกประวัติ การประเมินผลงานหรือศักยภาพของลูกจ้าง การตรวจสอบการปฏิบัติงานของลูกจ้าง การจัดให้มีการประกันภัยแก่ลูกจ้าง การจัดให้มีการตรวจสุขภาพแก่ลูกจ้าง การป้องกันโรคติดต่อและโรคระบาด การปฏิบัติตามกฎหมายว่าด้วยความปลอดภัยอาชีวอนามัย และสภาพ แวดล้อมในการทำงาน การปฏิบัติตามกฎหมายที่เกี่ยวข้องต่างๆ เช่น ภาษีเงินได้บุคคลธรรมดา ประกันสังคม เงินกู้ยืมทางกฎหมาย กยศ. บริษัทหลักทรัพย์จัดการกองทุนสำรองเลี้ยงชีพ กรมบังคับคดี
เพื่อวัตถุประสงค์ในการทำธุรกรรมของบริษัทฯ การทำธุรกรรมของบริษัทฯ ที่เกี่ยวข้องกับการดำเนินธุรกิจ อาทิ การซื้อขายทรัพย์สิน การจัดซื้อจัดจ้าง การจัดหาแหล่งเงินทุนเพื่อการดำเนินธุรกิจทั้งในประเทศและต่างประเทศ การแปลงสินทรัพย์เป็นหลักทรัพย์ การออกตราสารหนี้ตามกฎหมาย การโอนกิจการ
เพื่อวัตถุประสงค์ในการก่อตั้งสิทธิทางกฎหมายและการดำเนินคดี การระงับข้อพิพาทและการดำเนินการตามกระบวนการยุติธรรม การฟ้องร้องคดี ตลอดจนการดำเนินการตามหมายศาล คำสั่งศาล หรือคำชี้ขาดของอนุญาโตตุลาการ
  • 6.2.3 บริษัทฯ จะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็น ตามวัตถุประสงค์อันชอบด้วยกฎหมายที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล โดยบริษัทฯ จะขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่ในกรณีที่กฎหมายกำหนดให้บริษัทฯ สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอม
  • 6.2.4 ในกรณีเจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมาย หรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา หรือต้องให้ข้อมูลด้วยประการอื่นใด หากเจ้าของข้อมูลไม่ให้ข้อมูลดังกล่าวนั้น อาจส่งผลให้ธุรกรรมหรือกิจกรรมอื่นใดที่เกี่ยวข้องกับเจ้าของข้อมูลส่วนบุคคลถูกระงับ หรือหยุดลงชั่วคราว จนกว่าบริษัทฯจะได้รับข้อมูลของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เนื่องจากบริษัทฯ ไม่สามารถประมวลผลข้อมูลเหล่านั้นได้ หรือกฎหมายกำหนดห้ามมิให้มีการดำเนินธุรกรรมหรือกิจกรรมนั้นอีกต่อไป
  • 6.2.5 สำหรับการประมวลผลภายใต้ความยินยอมของเจ้าของข้อมูลส่วนบุคคล หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ บริษัทฯ จะไม่ดำเนินการประมวลผลใด ๆ กับข้อมูลส่วนบุคคลที่ต้องขอความยินยอมนั้น ทั้งนี้ การไม่ให้ความยินยอมของเจ้าข้อมูลส่วนบุคคลดังกล่าว ย่อมไม่กระทบต่อการเข้าทำสัญญาหรือการปฏิบัติตามสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลและบริษัทฯ หรือส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีจำเป็นที่กฎหมายกำหนดให้ต้องขอความยินยอมเพื่อการประมวลผลเท่านั้น นอกจากนี้ เจ้าของข้อมูลส่วนบุคคลสามารถขอถอนความยินยอมได้ทุกเมื่อและทำได้โดยง่ายเหมือนขอความยินยอม อย่างไรก็ดี การถอนความยินยอมดังกล่าวไม่กระทบต่อความสมบูรณ์ของการประมวลผลที่ได้ดำเนินการไปก่อนหน้านั้น
  • 6.2.6 การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว หากไม่เข้าข้อยกเว้นตามกฎหมาย บริษัทฯ จะขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวดังกล่าว ทั้งนี้ ตามหลักเกณฑ์ที่บริษัทฯ กำหนดโดยไม่ขัดต่อกฎหมาย การที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ความยินยอม อาจส่งผลให้ไม่สามารถเข้าถึงบริการบางอย่างที่ไม่สามารถใช้ฐานทางกฎหมายอื่นได้นอกจากการขอความยินยอมโดยชัดแจ้งเพื่อประมวลผลข้อมูลนั้น
  • 6.2.7 ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ และคนเสมือนไร้ความสามารถ กรณีที่บริษัทฯ ทราบว่าข้อมูลส่วนบุคคลที่จำเป็น ต้องได้รับความยินยอมในการเก็บรวบรวม เป็นของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ บริษัทฯ จะไม่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นจนกว่าจะได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ทั้งนี้ เป็นไปตามเงื่อนไขที่กฎหมายกำหนด
7. การใช้และการเปิดเผยข้อมูลส่วนบุคคล

7.1 หลักการพื้นฐาน

การใช้และการเปิดเผยข้อมูลส่วนบุคคลของบริษัทฯ มีวัตถุประสงค์และหลักการดำเนินการที่สอดคล้องตามข้อ 6.2 หลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล โดยบริษัทฯ อาจเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นให้แก่หน่วยงานหรือบุคคลภายนอกภายใต้ความยินยอมของเจ้าของข้อมูลส่วนบุคคลนั้น เว้นแต่จะได้กระทำภายในกรอบที่กฎหมายให้อำนาจไว้ ทั้งนี้ ข้อมูลส่วนบุคคลอาจถูกเปิดเผยให้แก่บุคคลภายนอก องค์กร หรือหน่วยงานของรัฐ ดังต่อไปนี้

  • บริษัทในเครือ
  • คู่สัญญา คู่ค้า ผู้ให้บริการ และพันธมิตรทางธุรกิจของบริษัทฯ
  • ผู้แทนจำหน่ายผลิตภัณฑ์และบริการ
  • หน่วยงานซึ่งดำเนินงานด้านข้อมูลเครดิต
  • ธนาคาร
  • หน่วยงานของรัฐซึ่งมีอำนาจหน้าที่ตามกฎหมาย
  • หน่วยงานหรือองค์กรอื่นใดที่เกี่ยวข้องหรืออาจเกี่ยวกับการดำเนินธุรกิจของบริษัทฯ
  • น่วยงานหรือองค์กรที่ให้การรับรองระบบบริหารงานคุณภาพ ISO 9001

7.2 คุกกี้ (Cookies)

บริษัทฯ เก็บรวบรวมและใช้คุกกี้รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกันในเว็บไซต์ที่อยู่ภายใต้ความดูแลของบริษัทฯ หรือบนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อการดำเนินการด้านความปลอดภัยในการให้บริการของบริษัทฯ และให้ผู้ใช้งานได้รับความสะดวกและประสบการณ์ที่ดีในการใช้งานบริการของบริษัทฯ โดยข้อมูลเหล่านี้จะถูกนำไปเพื่อปรับปรุงเว็บไซต์ของบริษัทฯ ให้ตรงกับความต้องการของท่านมากยิ่งขึ้น

8. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
  • บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลตามระยะเวลาดังต่อไปนี้
  • 8.1 ตามระยะเวลาที่กฎหมายกำหนดเกี่ยวกับการเก็บรักษาข้อมูลส่วนบุคคลไว้โดยเฉพาะ เช่น พระราชบัญญัติการบัญชี พ.ศ. 2543 พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542 พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ประมวลรัษฎากร พระราชบัญญัติคุ้มครองแรงงาน พ.ศ.2541
  • 8.2 ในกรณีที่กฎหมายไม่ได้กำหนดระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลไว้โดยเฉพาะ บริษัทฯ จะกำหนดระยะเวลาในการจัดเก็บตามความจำเป็นที่เหมาะสมในการปฏิบัติงานของบริษัทฯ

เมื่อพ้นระยะเวลาการเก็บรักษาดังกล่าวหรือไม่มีความจำเป็นที่จะประมวลผลอีกต่อไป บริษัทฯ จะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้

9. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

บริษัทฯ อาจส่งหรือโอนข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลไปยังบริษัทผู้ขาย หรือบริษัทคู่ค้า หรือผู้ให้บริการอื่นใดที่อยู่นอกประเทศไทย เช่น ผู้ให้บริการระบบคลาวด์ (Cloud Computing) ที่มีแพลตฟอร์มหรือเครื่องแม่ข่าย (server) อยู่ต่างประเทศ ผู้ประมวลผลข้อมูล ผู้ให้บริการแพลตฟอร์ม (Platform as a Service: PaaS) ผู้ให้บริการอีเมล ซึ่งมีมาตรฐานความปลอดภัยในการป้องกันภัยคุกคาม เป็นต้น เพื่อวัตถุประสงค์ตามที่กำหนดในนโยบายฉบับนี้ และบริษัทฯ จะดำเนินการเพื่อให้มั่นใจว่าประเทศปลายทางดังกล่าวมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ

อย่างไรก็ดี ในกรณีที่ประเทศปลายทางไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ บริษัทฯ จะดำเนินการเพื่อทำให้มั่นใจว่าการส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวจะมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอและเหมาะสม ซึ่งสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้อง

10. การเชื่อมต่อเว็บไซต์หรือบริการภายนอก

บริการของบริษัทฯ อาจมีการเชื่อมต่อไปยังเว็บไซต์หรือบริการของบุคคลที่สาม ซึ่งเว็บไซต์หรือบริการดังกล่าวอาจมีการประกาศใช้นโยบายการคุ้มครองข้อมูลส่วนบุคคลที่มีเนื้อหาสาระแตกต่างจากนโยบายของบริษัทฯ ดังนั้น เจ้าของข้อมูลส่วนบุคคลควรศึกษานโยบายการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการดังกล่าว ก่อนการเข้าใช้งาน ทั้งนี้ บริษัทฯ ไม่มีความเกี่ยวข้องและไม่มีอำนาจควบคุมถึงมาตรการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการดังกล่าว และไม่สามารถรับผิดชอบต่อเนื้อหา นโยบาย ความเสียหาย หรือการกระทำอันเกิดจากเว็บไซต์หรือบริการของบุคคลที่สาม

11. การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง

บริษัทฯ อาจมีการมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม (ผู้ประมวลผลข้อมูลส่วนบุคคล) ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของบริษัทฯ ซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่าง ๆ อาทิ การเป็นผู้ดูแล (Hosting) รับงานบริการช่วง (Outsourcing) ผู้ให้บริการคลาวด์ (Cloud Computing Service Provider) ผู้ให้บริการระบบเทคโนโลยีสารสนเทศ หรืองานสนับสนุนการให้บริการหรือการบริหารจัดการภายในของบริษัทฯ

การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลแทนบริษัทฯ ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น บริษัทฯ จะจัดให้มีข้อตกลงซึ่งระบุสิทธิและหน้าที่ระหว่างบริษัทฯ และบุคคลที่บริษัทฯ มอบหมาย โดยบุคคลดังกล่าวในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของบริษัทฯ เท่านั้นโดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้

ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง (ผู้ประมวลผลช่วง) เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคลนั้น บริษัทฯ จะกำกับให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วง ในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่างบริษัทฯ กับผู้ประมวลผลข้อมูลส่วนบุคคล

12. สิทธิของเจ้าของข้อมูลส่วนบุคคล

นโยบายนี้ได้จัดทำขึ้นเพื่อทำให้เจ้าของข้อมูลส่วนบุคคลมั่นใจว่าสามารถการใช้สิทธิดังต่อไปนี้ที่มีอยู่ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้องได้

  • สิทธิในการเพิกถอนความยินยอม (right to withdraw consent): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมกับบริษัทฯ ได้ ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลอยู่กับบริษัทฯ
  • สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (right of access): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลและขอให้บริษัทฯ ทำสำเนาข้อมูลส่วนบุคคลดังกล่าว รวมถึงขอให้บริษัทฯ เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมต่อบริษัทฯ ให้แก่เจ้าของข้อมูลส่วนบุคคลได้
  • สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (right to rectification): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอให้บริษัทฯ แก้ไขข้อมูลที่ไม่ถูกต้องหรือเพิ่มเติมข้อมูลที่ไม่สมบูรณ์
  • สิทธิในการลบข้อมูลส่วนบุคคล (right to erasure): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอให้บริษัทฯ ทำการลบข้อมูลของเจ้าของข้อมูลส่วนบุคคลด้วยเหตุบางประการได้
  • สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (right to restriction of processing): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการระงับการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลด้วยเหตุบางประการได้
  • สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (right to data portability): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการโอนย้ายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลให้ไว้กับบริษัทฯ ไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น หรือ ตัวเจ้าของข้อมูลส่วนบุคคลเองด้วยเหตุบางประการได้
  • สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (right to object): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลด้วยเหตุบางประการได้

อย่างไรก็ดี บริษัทฯ อาจปฏิเสธการใช้สิทธิดังกล่าวข้างต้นของเจ้าของข้อมูลส่วนบุคคลได้ตามหลักเกณฑ์ที่บริษัทฯ กำหนด โดยไม่ขัดต่อกฎหมาย

เจ้าของข้อมูลส่วนบุคคลสามารถใช้สิทธิดังกล่าวข้างต้นได้โดยส่งคำร้องมายังบริษัทฯ ผ่านช่องทางติดต่อ โดยบริษัทฯ จะดำเนินการจัดการกับคำร้องของท่านไม่เกิน 30 (สามสิบ) วันนับแต่ที่ได้บริษัทฯ ได้รับคำร้อง ในกรณีที่บริษัทฯ ปฏิเสธคำร้องขอข้างต้น บริษัทฯ จะแจ้งเหตุผลของการปฏิเสธให้เจ้าของข้อมูลส่วนบุคคลทราบ

เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือเจ้าหน้าที่รัฐที่มีอำนาจตามกฎหมายในกรณีที่บริษัทฯ ผู้ประมวลผลข้อมูลส่วนบุคคล ลูกจ้าง หรือผู้รับจ้างของบริษัท ฝ่าฝืนไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมายที่เกี่ยวข้อง

13. มาตรการคุ้มครองข้อมูลส่วนบุคคล

บริษัทฯ กำหนดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม โดยพิจารณาตามความเสี่ยง เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากการใช้อำนาจหรือความไม่รอบคอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม

ในกรณีที่บริษัทฯ ได้ว่าจ้างหน่วยงานหรือบุคคลภายนอกให้ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล บริษัทฯ จะกำหนดให้หน่วยงานหรือบุคคลภายนอกดังกล่าว เก็บรักษาข้อมูลส่วนบุคคลไว้เป็นความลับ และรักษาความปลอดภัยของข้อมูลส่วนบุคคลดังกล่าว รวมถึงป้องกันมิให้นำข้อมูลส่วนบุคคลไปเก็บ รวบรวม ใช้ หรือเปิดเผย เพื่อการอื่นใดที่ไม่เป็นไปตามขอบเขตการว่าจ้าง หรือขัดต่อกฎหมาย

  • 13.1 มาตรการการบริหารความเสี่ยงของข้อมูลส่วนบุคคล
    การประเมินความเสี่ยง เพื่อควบคุมดูแลข้อมูลส่วนบุคคล (Personal Data Protection Risk) บริษัทฯ กำหนดออกเป็น 6 ความเสี่ยง ดังนี้
  • ความเสี่ยงที่ 1 : ความเสี่ยงต่อระบบเครือข่าย
  • ความเสี่ยงที่ 2 : ความเสี่ยงต่อกระบวนการกิจกรรมประมวลผลข้อมูล เช่น การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
  • ความเสี่ยงที่ 3 : ความเสี่ยงต่อการส่งหรือโอนข้อมูลส่วนบุคคล
  • ความเสี่ยงที่ 4 : ความเสี่ยงต่อข้อมูลอ่อนไหว
  • ความเสี่ยงที่ 5 : ความเสี่ยงต่อการใช้สิทธิของเจ้าของข้อมูล
  • ความเสี่ยงที่ 6 : ความเสี่ยงต่อการใช้ข้อมูลส่วนบุคคลผิดวัตถุประสงค์

โดยการประเมินจะคำนึงถึง “ความน่าจะเป็น” หรือโอกาสการเกิดขึ้น “ความร้ายแรง”(Severity) และระดับการควบคุมข้อมูลส่วนบุคคลว่ามีความเสี่ยงอยู่ระดับใด (ต่ำ-ปานกลาง-สูง) โดยกิจกรรมที่มีความเสี่ยงอยู่ในระดับสูง บริษัทฯ จะนำไปดำเนินการเพื่อป้องกันหรือลดความเสี่ยงดังกล่าวให้น้อยลง

แผนผังการประเมินความเสี่ยงของข้อมูลส่วนบุคคล

โอกาสเกิดขึ้น สูง ระดับต่ำ ระดับสูง ระดับสูง ดี ระดับการควบคุม
ปานกลาง ระดับต่ำ ระดับกลาง ระดับสูง ปานกลาง
ต่ำ ระดับต่ำ ระดับต่ำ ระดับต่ำ ไม่ดี
น้อย ปานกลาง มาก
ระดับความรุนแรง
  • 13.2 มาตรการเกี่ยวกับระบบสารสนเทศ
  • ข้อมูลส่วนบุคคลจะต้องได้รับการจัดเก็บไว้ในอุปกรณ์บันทึกข้อมูลที่มีความปลอดภัยและมีการเข้ารหัส
  • บริษัทฯ ไม่อนุญาตให้ใช้อุปกรณ์บันทึกข้อมูล เช่น Hard disk, External drive, Thumb drive จัดเก็บข้อมูลส่วนบุคคล ยกเว้นมีเหตุจำเป็นและจะต้องได้รับการตรวจสอบและอนุญาตจากผู้บริหารในหน่วยงาน หรือ คณะทำงานเพื่อคุ้มครองข้อมูลส่วนบุคคล โดยอุปกณ์บันทึกข้อมูลจัดเก็บข้อมูลส่วนบุคคลนั้น จะต้องได้รับการเข้ารหัสและจัดเก็บอย่างปลอดภัย ถูกล็อกไว้ในที่เก็บเอกสารที่มีระบบการล็อก
  • เมื่อข้อมูลส่วนบุคคลไม่ได้ถูกใช้งานอีกต่อไป หรือไม่มีเหตุที่จะเก็บไว้ได้ตามกฎหมายแล้ว จะต้องถูกลบ หรือทำลายโดยวิธีการย่อย หรือทำลายตามลักษณะของอุปกรณ์
  • สำหรับสิทธิในการเข้าถึงข้อมูลส่วนบุคคลจากภายนอก เช่น การทำงานจากที่บ้าน จะต้องได้รับการพิจารณาจากผู้บริหารในหน่วยงานและฝ่ายเทคโนโลยีสารสนเทศ หรือ คณะทำงานเพื่อคุ้มครองข้อมูลส่วนบุคคล ก่อนที่พนักงานจะสามารถเริ่มการใช้งานข้อมูลจากภายนอกได้ และในการทำงานนอกสถานที่ พนักงานจะต้องใช้ความระมัดระวังเพื่อป้องกันทรัพย์สินต่างๆ ของบริษัทฯ ทั้ง Hardware, Software จากการถูกขโมย การสูญหาย เป็นต้น รวมถึงต้องใช้อุปกรณ์ที่ได้รับอนุญาตจากบริษัทฯ เท่านั้น
  • ห้ามพนักงานเปิดเผย Password ให้แก่บุคคลอื่นทั้งภายในและภายนอกบริษัทฯ
  • 13.3 มาตรการเชิงปฏิบัติสำหรับผู้ใช้ข้อมูลส่วนบุคคล

บุคคลผู้ที่มีสิทธิเข้าถึง ใช้ แก้ไข เปลี่ยนแปลง เปิดเผย ข้อมูลส่วนบุคคล โดยมีขอบเขตการใช้ข้อมูลตามตำแหน่งหน้าที่หรือข้อกำหนดในสัญญาและภายใต้การอนุญาตของบริษัทฯ เช่น พนักงาน ผู้รับจ้าง ผู้ให้บริการ ฯลฯ ผู้ใช้ข้อมูลส่วนบุคคลมีหน้าที่รักษาความมั่นคงปลอดภัยข้อมูลจากการเข้าถึง แก้ไขเปลี่ยนแปลง เปิดเผย หรือทำลายข้อมูลโดยมิชอบหรือโดยปราศจากอำนาจ

  • สามารถเก็บ รวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ตามหน้าที่และความรับผิดชอบหรือตามที่ได้รับมอบหมายจากบริษัทฯ เท่านั้น
  • เข้าถึง ใช้ เปิดเผย ข้อมูลส่วนบุคคล ตามที่บริษัทฯ หรือผู้ดูแลระบบกำหนดไว้เท่านั้น
  • ปฏิบัติหน้าที่ของตนโดยดำเนินการต่างๆ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปิดเผย แก้ไข เปลี่ยนแปลง ข้อมูลส่วนบุคคลโดยมิชอบหรือโดยปราศจากอำนาจ
  • เมื่อไม่ได้ใช้งานหรือไม่ได้นำมาใช้งานอย่างต่อเนื่อง ข้อมูลส่วนบุคคลจะต้องได้รับการจัดเก็บอย่างปลอดภัย เช่น การล็อกตู้ โต๊ะทำงานลิ้นชัก หรือ ล็อกห้อง เป็นต้น
14. การตรวจสอบ

บริษัทฯ ได้ทำการแต่งตั้ง “คณะทำงานเพื่อคุ้มครองข้อมูลส่วนบุคคล” เป็นผู้รับผิดชอบระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคล และกำหนดระเบียบปฏิบัติในการตรวจสอบภายใน รวมทั้งการควบคุมและตรวจสอบการดำเนินการให้เป็นไปตามระบบที่กำหนด และรายงานฝ่ายบริหารทราบเป็นระยะ

15. กระบวนการร้องเรียนและขั้นตอนที่เกี่ยวข้อง
  • 15.1 กรณีที่เจ้าของข้อมูลเชื่อว่า ข้อมูลส่วนบุคคลของตนถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยฝ่าฝืนกฎหมาย หรือระเบียบปฏิบัติการคุ้มครองข้อมูลของบริษัทฯ ที่กำหนด และมีความประสงค์ที่จะใช้สิทธิของตน สามารถยื่นคำร้องต่อเจ้าหน้าที่ควบคุมข้อมูลส่วนบุคคลของแต่ละหน่วยงาน หรือ คณะทำงานเพื่อคุ้มครองข้อมูลส่วนบุคคล ตามที่กำหนด
  • 15.2 บุคคลผู้รับคำร้องจะพิจารณาเพื่อที่จะส่งคำร้องต่อไปยังเจ้าพนักงานควบคุมข้อมูลส่วนบุคคล เพื่อการพิจารณาตามที่เห็นว่าเหมาะสมก็ได้
  • 15.3 คณะทำงานเพื่อคุ้มครองข้อมูลส่วนบุคคลจะต้องตอบสนองต่อคำร้องโดยทำความเข้าใจ และไม่เกิน 1 เดือนนับตั้งแต่วันที่ได้รับคำร้อง และต้องรายงานต่อฝ่ายบริหาร
16. การสื่อสารและการอบรมให้ความรู้
  • 16.1 เพื่อให้พนักงานทุกคนได้รับข้อมูลและความรู้ที่เพียงพอ บริษัทฯ จะดำเนินการสื่อสารเพื่อให้พนักงานได้รับทราบ และตระหนักถึง ความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล
  • 16.2 พนักงานของบริษัทฯ ซึ่งมีหน้าที่ต้องประมวลข้อมูลส่วนบุคคล จะต้องศึกษาเรียนรู้และทำความเข้าใจเกี่ยวกับการคุ้มครองข้อมูล ส่วนบุคคลที่เกี่ยวข้องในหน่วยงานของตน และปฏิบัติตามระเบียบและนโยบายที่บริษัทฯ กำหนด โดยให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้อง
17. ความรับผิด

บริษัทฯ และ/หรือ พนักงานที่ทำการละเมิดกฎหมายมีหน้าที่รับผิดชอบต่อการฝ่าฝืนบทบัญญัติที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดไว้ และถือเป็นการกระทำที่ผิดวินัยของบริษัทฯ อย่างร้ายแรง

18. การบันทึกรายการประมวลผลข้อมูลส่วนบุคคล

บริษัทฯ จะบันทึกรายการเกี่ยวกับข้อมูลส่วนบุคคลเพื่อให้คณะทำงานเพื่อคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลสามารถตรวจสอบได้ เพื่อให้เกิดความมั่นใจว่าการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ดำเนินการไปตามวัตถุประสงค์ มีมาตรการรักษา ความมั่นคง ปลอดภัยที่ดี และดำเนินกิจกรรมต่างๆ ได้สอดคล้องกับกฎหมายที่กำหนด โดยบริษัทฯ จะบันทึกรายการต่างๆ ดังนี้

  • ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวมทั้งหมด ไม่ว่ากรณีความยินยอมของเจ้าของข้อมูล หรือกรณียกเว้นตามกฎหมายกำหนด
  • วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
  • ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
  • ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
  • สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล
  • การปฏิเสธคำขอของเจ้าของข้อมูล
  • คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย
19. การทบทวนและปรับปรุงนโยบาย

บริษัทฯ จะจัดให้มีการทบทวนและปรับปรุงนโยบายฉบับนี้อย่างน้อยปีละหนึ่งครั้ง หรือ เมื่อกฎหมายมีการเปลี่ยนแปลง โดยคณะทำงาน เพื่อคุ้มครองข้อมูลส่วนบุคคล หรือ หน่วยงานที่เกี่ยวข้อง

20. ช่องทางการติดต่อ

รายละเอียดผู้ควบคุมข้อมูลส่วนบุคคล

ชื่อ :

บริษัท เอวีร่า จำกัด (สำนักงานใหญ่)

สถานที่ติดต่อ :

อาคารศุภาลัยแกรนด์ ทาวเวอร์ ห้องเลขที่ 1503 ชั้นที่ 15 เลขที่ 1011 ถนนพระราม 3 แขวงช่องนนทรี เขตยานนาวา กรุงเทพมหานคร 10120

ช่องทางการติดต่อ :
  • 0-2074-4411
  • http://www.avera.co.th/
  • ช่องทางการติดต่อ หรือ รับข่าวสารอื่นๆ : Facebook ของบริษัทฯ

รายละเอียดเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)

ชื่อ :

คณะทำงานเพื่อคุ้มครองข้อมูลส่วนบุคคล

สถานที่ติดต่อ :

อาคารศุภาลัยแกรนด์ ทาวเวอร์ ห้องเลขที่ 1503 ชั้นที่ 15 เลขที่ 1011 ถนนพระราม 3 แขวงช่องนนทรี เขตยานนาวา กรุงเทพมหานคร 10120

ช่องทางการติดต่อ :