นโยบายการคุ้มครองข้อมูลส่วนบุคคล

บมจ.ไทยชูการ์ เทอร์มิเนิ้ล จำกัด และในเครือ

1. วัตถุประสงค์

  • เพื่อกําหนดแนวทางในการบริหารจัดการในการจัดการข้อมูลส่วนบุคคล ตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
  • เพื่อกําหนดบทบาทและหน้าที่ความรับผิดชอบของผู้ที่เกี่ยวข้องกับการจัดเก็บข้อมูลส่วนบุคคล
  • เพื่อกําหนดลําดับชั้นความลับและการรักษาความปลอดภัยของข้อมูลส่วนบุคคล
  • เพื่อกําหนดวิธีการจัดเก็บ การใช้งาน การส่งต่อ การเฝ้าระวัง การแจ้งเตือนหากมีเหตุไม่พึงประสงค์เกิดขึ้นกับการจัดการข้อมูลส่วนบุคคล เพื่อกําหนดความรับผิดและบทลงโทษที่เกี่ยวข้องกับการไม่ปฏิบัติตามกฎหมายเพื่อกําหนดแนวทางในการ ดําเนินการคุ้มครองข้อมูลส่วนบุคคลให้บุคลากรและผู้ที่ปฏิบัติงานร่วมกับบริษัททุกคนต้องรับทราบ ทําความ เข้าใจ และปฏิบัติตามนโยบายฉบับนี้อย่างเคร่งครัด หากลูกจ้างหรือบุคลากรของบริษัทไม่ปฏิบัติการตาม ข้อกําหนดและแนวทางในการดําเนินการคุ้มครองข้อมูลส่วนบุคคล กรณีดังกล่าวถือเป็นการฝ่าฝืนนโยบาย สําคัญที่เกี่ยวข้องกับการจ้างงานของบริษัท และบริษัทสงวนสิทธิ์ในการพิจารณาลงโทษบุคคลดังกล่าวตาม สมควรต่อไป

2. ขอบเขต

  • เอกสารฉบับนี้มีผลบังคับใช้กับ บริษัท ไทยชูการ์ เทอร์มิเนิ้ลจํากัด (มหาชน) และบริษัทในเครือ
  • นโยบายฉบับนี้จะถูกนํามาบังคับใช้กับการประกอบธุรกิจและกิจกรรมหรือการดําเนินการต่าง ๆ ของบริษัท ซึ่ง รวมถึง การดําเนินงานของบริษัทในฐานะนายจ้าง โดยนโยบายฉบับนี้จะนํามาใช้เป็นแนวทางสําหรับการเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลทุกประเภท ไม่ว่าที่จะอยู่ในรูปแบบของเอกสาร หรือที่มีการเก็บไว้ใน รูปแบบอิเล็กทรอนิกส์

3. คำจำกัดความและความหมาย

เว้นแต่จะมีการระบุไว้ชัดเจนเป็นอย่างอื่น คําหรือข้อความใดๆ ดังต่อไปนี้ ที่มีการกล่าวถึงหรือระบุไว้ในนโยบายฉบับนี้ให้มี ความหมายดังต่อไปนี้

  • มุ่งมั่นในการพัฒนา และมีมาตรฐานสูงตรงตามความต้องการของลูกค้า ภายใต้เทคโนโลยี่ที่ทันสมัยและมีประสิทธิภาพ มีระบบการตรวจสอบคุณภาพสินค้า
  • จัดระบบที่สามารถให้ลูกค้าสามารถร้องเรียนข้อบกพร่อง และความไม่พอใจในการบริการ และเสนอข้อแนะนำที่เป็นประโยชน์เพื่อดำเนินการตอบสนองแก่ลูกค้าด้วยความรวดเร็ว
  • ปฏิบัติตามเงื่อนไขที่มีต่อลูกค้าอย่างเคร่งครัดกรณีที่ไม่สามารถปฏิบัติตามเงื่อนไขได้ให้รีบแจ้งลูกค้าเพื่อทราบและร่วมกันพิจารณาหาแนวทางแก้ไขปัญหา รวมถึงการจัดทำแบบประเมินความพึงพอใจของลูกค้า เพื่อนำมาปรับปรุงและพัฒนาด้านการบริการต่อไป
  • เสนอข่าวสารบริการแก่ลูกค้าอย่างเที่ยงตรงถูกต้องเป็นธรรมและไม่บิดเบือนข้อเท็จจริงใดๆ
  • ให้ความสำคัญและไม่นำข้อมูลของลูกค้าไปเผยแพร่หรือหาประโยชน์ใส่ตนเองและผู้เกี่ยวข้องไม่ว่ากรณีใดๆ

4. กรอบในการบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคล (Management Framework)

การคุ้มครองข้อมูลส่วนบุคคล นอกจากจะปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ และพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ และ พ.ศ. ๒๕๖๐ แล้ว บริษัทยังบริหารจัดการ โดยใช้แนวทางของการจัดการระบบคุณภาพ ISO 9001 ในการบริหารจัดการอีกด้วย

4.1. ระบบบริหารจัดการ ประกอบไปด้วย

  • ใการวางแผน (Plan) หรือ การกําหนดกรอบในการจัดการ (Identify) โดยการประเมินระบุความเสี่ยงที่อาจเกิดขึ้นกับข้อมูลส่วนบุคคลที่ทําการจัดเก็บ ระบบคอมพิวเตอร์ ทรัพย์สิน ขององค์กรที่เกี่ยวข้อง
  • การดําเนินการ (Do) หรือการทําการป้องกันใน (Protect) โดยการทําการควบคุมระบบและอุปกรณ์ที่เกี่ยวข้อง
  • การปฏิบัติและการติดตามผล (Check) หรือการ Detect, Respond, Recover การตรวจสอบและเฝ้าระวัง มีมาตรการในการเผชิญเหตุ และมาตรการในการฟื้นฟูความเสียหายที่เกิด จากภัยคุกคาม
  • การดําเนินการอย่างต่อเนื่อง (Act) ให้มีการดําเนินการอย่างต่อเนื่องเพื่อให้เกิดความมั่นใจว่าระบบคุณภาพยังคงมีการปฏิบัติอย่างต่อเนื่องเพื่อคงการบริการให้มีประสิทธิภาพ

4.2 การละเมิด (Breach) ข้อมูลส่วนบุคคล

การละเมิดข้อมูลส่วนบุคคลแบ่งออกเป็นสามประเภทดังนี้

  • การละเมิดความลับของข้อมูล (Confidentiality Breach) การเปิดเผยหรือการเข้าถึงข้อมูลโดยไม่มีสิทธิของข้อมูลส่วนบุคคล และไม่ได้รับอนุญาตจากเจ้าของข้อมูล
  • การละเมิดความครบถ้วนสมบูรณ์ของข้อมูล (Integrity Breach) โดยการเปลี่ยนแปลงข้อมูลส่วนบุคคล
  • การละเมิดความพร้อมใช้ของข้อมูล (Availability Breach) โดยการทําให้ข้อมูลส่วนบุคคลไม่สามารถใช้งานได้ การทําให้ข้อมูลเสียหาย หรือการทําลายข้อมูลส่วนบุคคลที่ไม่เป็นไปตามกฎหมาย

4.3 การควบคุมและรักษาความปลอดภัยข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคลมีการจัดเก็บใน 2 รูปแบบคือแบบอิเลคทรอนิกส์ และเอกสารที่พิมพ์เป็นเอกสาร หรือถ่ายเอกสารมา จากต้นฉบับ (Hardcopy) จึงต้องให้ความสําคัญ กับการควบคุมดังต่อไปนี

  • การควบคุมการเข้าถึงข้อมูลส่วนบุคคล จัดให้มีการควบคุมในการเข้าถึงข้อมูลส่วนบุคคลที่มีการจัดเก็บโดยทําตามนโยบายการควบคุมการเข้าถึง (Access Control) ในการป้องกันผู้ที่ไม่มีสิทธิ์ในการเข้าถึง ไม่ให้สามารถเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
  • ความปลอดภัยของข้อมูล (Data Security) การจัดการความปลอดภัยของข้อมูลมีการดําเนินการในการจัดการข้อมูลในแต่ละสถานะของข้อมูล (Data State) ดังต่อไปนี้

5. การจัดลําดับชั้นความลับของข้อมูลส่วนบุคคล

เนื่องจากข้อมูลส่วนบุคคลมีความสําคัญและต้องมีการบริหารจัดการที่เหมาะสม ดังนั้นข้อมูลส่วนบุคคลจัดอยู่ในลําดับ ชั้น “ข้อมูลลับ” (Confidential) ให้ดําเนินการและจัดการตามนโยบายการจัดลําดับชั้นความลับของข้อมูล (Data Classification Policy)

6. แนวทางในการดําเนินการในการคุ้มครองข้อมูลส่วนบุคคล

6.1 กําหนดให้จัดตั้งหน่วยงานควบคุมข้อมูล (Data Protection Office)

มีหน้าที่ในการควบคุมการดําเนินการของกลุ่มบริษัท มีหน้าที่ในการ การกํากับดูแล นโยบายการคุ้มครองข้อมูลส่วน บุคคล และกรอบการดําเนินงาน โดยหน่วยงานมีหน้าที่ดังต่อไปนี้

  • จัดทําแนวทางและนโยบายการกํากับดูแลในการคุ้มครองข้อมูลส่วนบุคคล นําเสนอและลงนามอนุมัติโดยผู้มีอํานาจ และประกาศใช้ทั่วทั้งองค์กร
  • กําหนดให้มี “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer หรือ DPO) เป็นผู้รับผิดชอบในการจัดการตามนโยบายฉบับนี้ กําหนดให้ทราบได้ว่าการดําเนินการของกลุ่มบริษัทใดที่ทําให้บริษัทและผู้เกี่ยวข้องมีฐานะเป็น “ผู้ควบคุม ข้อมูลส่วนบุคคล” (Data Controller) ตามกฎหมาย ซึ่งจะมีหน้าที่ความรับผิดชอบของในการจัดการข้อมูลตามนโยบายฉบับนี้
  • กําหนดให้ทราบได้ว่าการดําเนินการของกลุ่มบริษัทใดที่ทําให้บริษัทและผู้เกี่ยวข้องมีฐานะเป็น “ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ตามกฎหมาย ซึ่งจะมีหน้าที่ความรับผิดชอบของในการจัดการข้อมูลตามนโยบายฉบับนี้
  • พิจารณาข้อมูลต่าง ๆ ขององค์กรเพื่อกําหนด “ข้อมูลส่วนบุคคล" (Personal Data) ที่ต้องดําเนินการตามกฎหมายหรือกฎเกณฑ์ที่ประกาศบังคับใช้ กําหนด กรอบการกํากับดูแลและบริหารจัดการข้อมูลระดับองค์กร (Data Governance, Data Management, Data Protection)
  • กําหนด กรอบการบริหารความเสี่ยง การประเมินความเสี่ยง การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Privacy/Data Protection Impact Assessment, Risk Assessment)
  • กําหนดให้มีผู้รับผิดชอบในแต่ละกระบวนการทางธุรกิจ (Business Owner) และเจ้าของข้อมูล (Data Owner) ให้ชัดเจน
  • จัดทําวิธีปฏิบัติ ขั้นตอนปฏิบัติ คู่มือการปฏิบัติงานในการคุ้มครองข้อมูลส่วนบุคคล และประกาศใช้ภายในองค์กร
  • จัดให้มีการสร้างความตระหนัก การเสริมสร้างความรู้ให้กับผู้ปฏิบัติงาน
  • เสริมสร้างความรู้ให้กับผู้ที่รับมอบหมาย “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) และผู้ปฏิบัติงานที่เกี่ยวข้องตามกรอบ Privacy Data Protection
  • กําหนดกรอบการประสานกับหน่วยงานกํากับดูแลของหน่วยงานภาครัฐ และหน่วยงานความร่วมมืออื่นที่มีส่วนเกี่ยวข้องในปัจจุบันและอนาคต

6.2 ข้อมูลส่วนบุคคล

เนื่องจากข้อมูลที่จัดเก็บมีความหลากหลายดังนั้นให้ใช้แนวทางดังต่อไปนี้ในการกําหนดว่าข้อมูลใดเป็นข้อมูล ส่วนบุคคล

  • ข้อมูลที่สามารถระบุตัวตน โดยการโพสต์หรือขอข้อมูลระบุตัวบุคคล ซึ่งรวมถึง (แต่ไม่จํากัดเพียง) - หมายเลขประจําตัวประชาชน หมายเลขประกันสังคม หมายเลขหนังสือเดินทาง หรือหมายเลขที่ใช้ในการสอบ - บัตรประจําตัวที่ออกโดยรัฐ - บัตรประจําตัวนักเรียน หรือ นักศึกษาที่แสดงข้อมูลอย่างน้อยสองข้อจากรายการต่อไปนี้ (1) ชื่อ (2) รูปภาพ หรือ (3) หมายเลขประจําตัว - ข้อมูลระบุตัวตนดิจิทัล รวมถึงรหัสผ่าน
  • ข้อมูลประวัติหรือเอกสารทางการแพทย์ ทางจิตวิทยา ไบโอเมตริก (Biometric) หรือพันธุกรรม (Genetic) ของบุคคลอื่น
  • ข้อมูลระบุตัวบุคคลผ่านลิงก์ภายนอก
  • ข้อมูลทางการเงินขององค์กรหรือธุรกิจ
  • ข้อมูลทางการเงินส่วนบุคคล (ของตัวเองหรือผู้อื่น) ต่อไปนี้ - บัญชีธนาคารและ/หรือข้อมูลบัตรเครดิต – บันทึกทางการเงินคู่กับข้อมูลบัญชีผู้ใช้
  • ข้อมูลติดต่อส่วนบุคคลต่อไปนี้ - หมายเลขโทรศัพท์หรืออีเมลส่วนตัว - อีเมล Messenger และข้อมูลระบุตัวตน
  • ข้อมูลข้างต้นสามารถใช้เพื่อวัตถุประสงค์ทางการกุศล บริการที่ไม่ละเมิดสิทธิ์ หรือช่วยในการตามหาบุคคลหรือสัตว์ที่สูญหายได้ยกเว้นในกรณีเนื้อหาที่มีมาจากข่าว หรือเนื้อหาที่อ้างหรือยืนยันว่ามาจากแหล่งข้อมูลที่ ถูกละเมิด ไม่ว่าบุคคลที่ได้รับผลกระทบจะเป็นบุคคลสาธารณะหรือบุคคลทั่วไป
  • ชื่อบุคคล และเอกสารที่ระบุข้อมูลส่วนตัว ซึ่งประกอบด้วย - ใบขับขี่ บัตรประจําตัวที่ออกโดยรัฐนอกเหนือจากใบขับขี่ กรีนการ์ด หรือเอกสารการย้ายถิ่นฐาน - ทะเบียนสมรส สูติบัตร และหนังสือรับรองการเปลี่ยนชื่อ - ข้อมูลระบุตัวตนดิจิทัล รวมถึงรหัสผ่าน - ทะเบียนรถยนต์
  • ภาพภายนอกของที่อยู่อาศัยส่วนตัวหากตรงกับเงื่อนไขต่อไปนี้ - ที่อยู่อาศัยเป็นบ้านเดี่ยว หรือมีเลขที่บ้านแสดงอยู่ในภาพคําบรรยายภาพ - ระบุเมืองหรือย่าน - กล่าวหรือแสดงถึงผู้พักอาศัย - ผู้พักอาศัยคัดค้านการเปิดเผยที่อยู่อาศัยส่วนบุคคล

7. สิทธิและการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล

7.1 สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่ได้รับการคุ้มครองตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ดังต่อไปนี้

7.1.1 สิทธิในการขอถอนความยินยอม
ในกรณีที่บริษัทมีการขอและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อประโยชน์ในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วน บุคคลดังกล่าวตามวัตถุประสงค์ที่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการแจ้งขอถอนความยินยอมในการให้บริษัทใช้ข้อมูลดังกล่าวได้ทุก เมื่อ โดยแจ้งความประสงค์ดังกล่าวเป็นลายลักษณ์อักษรมายังบริษัท เมื่อบริษัทได้รับแจ้งความประสงค์ในการใช้สิทธิในการถอนความยินยอมดังกล่าวแล้ว บริษัทจะ หยุดการใช้ข้อมูลส่วนบุคคลดังกล่าวทันที

7.1.2 สิทธิในการขอเข้าถึงและรับสําเนาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่บริษัทจัดเก็บไว้
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและรับสําเนาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วน บุคคลที่บริษัทได้จัดเก็บไว้ได้ ทั้งนี้โดยเป็นไปตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูล ส่วนบุคคลกําหนด เมื่อบริษัทได้รับแจ้งความประสงค์ในการใช้สิทธิดังกล่าวจากเจ้าของข้อมูล ส่วนบุคคล บริษัทจะพิจารณาคําขอของเจ้าของข้อมูลส่วนบุคคลเพื่อดําเนินการที่เหมาะสม ต่อไปทั้งนี้ภายในระยะเวลาไม่เกิน 30 วัน นับแต่วันที่ได้รับคําขอดังกล่าว อย่างไรก็ตามบริษัท ขอสงวนสิทธิในการปฏิเสธคําขอใช้สิทธิดังกล่าวของเจ้าของข้อมูลส่วนบุคคล หากเป็นการ ปฏิเสธตามกฎหมายหรือคําสั่งศาล และการเข้าถึงและขอรับสําเนาข้อมูลส่วนบุคคลนั้นจะ ส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น

7.1.3 สิทธิในการขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่บริษัทได้รับจากแหล่งอื่น
ในกรณีที่บริษัทได้รับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลจากแหล่งอื่นซึ่งไม่ใช่จาก เจ้าของข้อมูลส่วนบุคคลโดยตรง หากบริษัทจะใช้ข้อมูลดังกล่าวบริษัทจะดําเนินการแจ้งให้ เจ้าของข้อมูลส่วนบุคคลทราบภายใน 30 วันนับจากวันที่ได้รับข้อมูลส่วนบุคคลดังกล่าว (เว้น แต่เป็นกรณีที่กฎหมายยกเว้นให้ไม่ต้องแจ้ง) ในกรณีนี้เจ้าของข้อมูลส่วนบุคคลสามารถ สอบถามและขอให้บริษัทเปิดเผยแหล่งที่มาของข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลได้

7.1.4 สิทธิในการขอรับ และขอให้บริษัทโอนย้าย หรือส่งต่อข้อมูลของเจ้าของข้อมูลส่วนบุคคลไปยังผู้ ควบคุมข้อมูลส่วนบุคคลอื่น
ในกรณีที่บริษัทมีการปรับให้ข้อมูลของเจ้าของข้อมูลส่วนบุคคลอยู่ ในรูปแบบที่สามารถอ่านหรือใช้งานได้โดยอุปกรณ์ที่ทํางานได้โดยอัตโนมัติ และสามารถส่งต่อ ได้โดยวิธีการอัตโนมัติ การโอนย้ายหรือส่งต่อข้อมูลส่วนบุคคลตามข้อนี้ หมายถึงกรณีที่ข้อมูลของเจ้าของข้อมูลส่วน บุคคลถูกจัดเก็บอยู่ในรูปแบบอิเล็กทรอนิกส์ ซึ่งการส่งต่อนั้นสามารถทําได้ผ่านอุปกรณ์ อิเล็กทรอนิกส์ที่สามารถอ่านข้อมูลที่อยู่ในรูปแบบอิเล็กทรอนิกส์เท่านั้น ไม่รวมถึงการให้บริษัท เป็นผู้นําส่ง หรือจัดส่งข้อมูลของเจ้าของข้อมูลส่วนบุคคลที่อยู่ในรูปแบบอื่น
เมื่อบริษัทได้รับแจ้งความประสงค์ในการใช้สิทธิดังกล่าวจากเจ้าของข้อมูลส่วนบุคคล บริษัทจะ พิจารณาคําขอของเจ้าของข้อมูลส่วนบุคคลเพื่อดําเนินการที่เหมาะสมต่อไปทั้งนี้ภายใน ระยะเวลาไม่เกิน 30 วัน นับแต่วันที่ได้รับคําขอดังกล่าว อย่างไรก็ตามบริษัทขอสงวนสิทธิใน การปฏิเสธคําขอใช้สิทธิดังกล่าวของเจ้าของข้อมูลส่วนบุคคล หากการใช้สิทธิดังกล่าวนั้นอาจ ก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น

7.1.5 สิทธิในการคัดค้านการเก็บรวบรวม และใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการคัดค้านการเก็บรวบรวม และใช้ข้อมูลของเจ้าของข้อมูล ส่วนบุคคลได้ในกรณีต่อไปนี้ โดยแจ้งเป็นลายลักษณ์อักษรให้บริษัททราบ
7.1.5.1 การเก็บรวบรวมข้อมูลส่วนบุคคลนั้นเป็นการเก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอมเนื่องจากเป็นการจําเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท หรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล (เว้นแต่ประโยชน์ดังกล่าวมีความสําคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
7.1.5.2 กรณีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรงหรือเมื่อบริษัทได้รับแจ้งความประสงค์ในการใช้สิทธิ ดังกล่าวจากเจ้าของข้อมูลส่วนบุคคลบริษัทจะทําการแยกข้อมูลของเจ้าของข้อมูล ออกจากข้อมูลอื่นๆ ทันที อย่างไรก็ตามบริษัทขอสงวนสิทธิในการปฏิเสธคําขอใช้สิทธิ ดังกล่าวของเจ้าของข้อมูลส่วนบุคคล ในกรณีที่บริษัทสามารถพิสูจน์ได้ว่า การเก็บ รวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมเนื่องจากเป็นการ จําเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทนั้นมีเหตุอันชอบด้วยกฎหมายที่ สําคัญยิ่งกว่า หรือ เป็นไปเพื่อการก่อตั้งสิทธิตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย

7.1.6.  สิทธิในการขอให้บริษัททําลายหรือทําให้ข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลเคยได้ให้ไว้กับบริษัทกลายเป็นข้อมูลที่ไม่สามารถใช้ระบุตัวตนได้
เจ้าของข้อมูลส่วนบุคคลสามารถแจ้งให้บริษัททําลายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วน บุคคล และ/หรือทําให้ข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ไว้กลายเป็นข้อมูลที่ไม่ สามารถระบุถึงตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้
7.1.6.1 เมื่อข้อมูลส่วนบุคคลหมดความจําเป็นในการเก็บรักษาข้อมูลส่วนบุคคลไว้ตามวัตถุประสงค์
7.1.6.2 เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น และบริษัทไม่มีอํานาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น
7.1.6.3 เมื่อเจ้าของข้อมูลส่วนบุคคลใช้สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล และบริษัทไม่มีเหตุผลที่จะใช้ปฏิเสธคําขอได้ หรือ
7.1.6.4 เมื่อข้อมูลส่วนบุคคลนั้นถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย
เมื่อบริษัทได้รับแจ้งความประสงค์ในการใช้สิทธิดังกล่าวจากเจ้าของข้อมูล ส่วนบุคคล บริษัทจะพิจารณาคําขอของเจ้าของข้อมูลส่วนบุคคลเพื่อ ดําเนินการที่เหมาะสมต่อไปทั้งนี้ภายในระยะเวลาไม่เกิน 30 วัน นับแต่ วันที่ได้รับคําขอดังกล่าว อย่างไรก็ตามบริษัทขอสงวนสิทธิในการปฏิเสธคํา ขอใช้สิทธิดังกล่าวของเจ้าของข้อมูลส่วนบุคคล หากบริษัทมีความจําเป็นและสิทธิตามกฎหมายที่จะปฏิเสธคําขอดังกล่าวได้

7.1.7 สิทธิขอให้บริษัทระงับการใช้ข้อมูลของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลสามารถแจ้งให้บริษัทระงับการใช้ข้อมูลของเจ้าของข้อมูลส่วนบุคคลได้ ทันที โดยแจ้งเป็นลายลักษณ์อักษรให้บริษัททราบ ในกรณีดังต่อไปนี้
7.1.7.1 เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการตรวจสอบความถูกต้อง ครบถ้วนหรือปรับปรุงข้อมูลส่วนบุคคลนั้นให้เป็นข้อมูลปัจจุบันตามคําขอของเจ้าของข้อมูลส่วนบุคคล
7.1.7.2 เมื่อข้อมูลส่วนบุคคลนั้นอาจถูกลบ หรือทําลายได้ แต่เจ้าของข้อมูลส่วนบุคคลแจ้งขอให้ระงับการใช้งานข้อมูลส่วนบุคคลนั้น แทนการลบ หรือทําลายข้อมูลส่วนบุคคล
7.1.7.3 เมื่อข้อมูลส่วนบุคคลนั้นหมดความจําเป็นในการเก็บรักษาตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลนั้นแล้ว แต่เจ้าของข้อมูลส่วนบุคคลมีความจําเป็นต้องขอให้เก็บ รักษาไว้เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือ
7.1.7.4 เมื่อบริษัทอยู่ในระหว่างการพิจารณาการใช้สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

7.1.8 สิทธิในการขอให้บริษัทปรับปรุงข้อมูลของเจ้าของข้อมูลส่วนบุคคลให้ถูกต้อง ให้ครบถ้วนสมบูรณ์ และเป็นข้อมูลที่ตรงตามสภาพปัจจุบัน
ในกรณีที่มีการเปลี่ยนแปลงใดๆ ซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ไว้กับบริษัท หรือที่บริษัทได้เก็บรวบรวมไว้ หากยังอยู่ภายในระยะเวลาจัดเก็บข้อมูลส่วนบุคคลตามที่กําหนด ใน แผนภูมิสรุปเกี่ยวกับการจัดเก็บข้อมูลส่วนบุคคลและการไหลเวียนของข้อมูล (Data Mapping) เจ้าของข้อมูลส่วนบุคคลสามารถแจ้งให้บริษัทดําเนินการแก้ไข ปรับปรุงข้อมูลของเจ้าของข้อมูลส่วนบุคคลได้ทุกเมื่อ

7.1.9 สิทธิในการร้องเรียนในกรณีที่พบว่ามีการฝ่าฝืนข้อกําหนดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลพบว่าบริษัท และ/หรือ ลูกจ้างของ บริษัทมีการดําเนินการใดๆ ที่ฝ่าฝืนหรือไม่เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ เจ้าของข้อมูลส่วนบุคคลสามารถแจ้งการดําเนินการที่ไม่ถูกต้องนั้นมายังบริษัทและ/หรือหน่วยงานของรัฐที่เกี่ยวข้องได้ ตามรายละเอียดที่ปรากฏในข้อ 17 ของนโยบายฉบับนี้

7.2 การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลประสงค์จะใช้สิทธิใดๆ ดังปรากฏในข้อ 7.1 ข้างต้น เจ้าของข้อมูลส่วน บุคคลสามารถติดต่อแจ้งความประสงค์ของเจ้าของข้อมูลส่วนบุคคลมายังบริษัทได้ทุกเมื่อ ตาม รายละเอียดช่องทางการติดต่อที่สะดวกสําหรับเจ้าของข้อมูลส่วนบุคคล ดังที่ระบุใน ข้อ 17 ของนโยบายฉบับนี้

8. การเก็บรวบรวมข้อมูลส่วนบุคคล

8.1 การเก็บรวบรวมข้อมูลส่วนบุคคล
ในการเก็บรวบรวมข้อมูลส่วนบุคคลไม่ว่าในเวลาใด บริษัทจะปฏิบัติการตามหลักการและแนวทางดังต่อไปนี้
8.1.1 บริษัทจะทําการเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จําเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย และตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคลเท่านั้น
8.1.2 ก่อนดําเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทจะทําการพิจารณาประเมิน ดังต่อไปนี้     
     8.1.2.1 ข้อมูลส่วนบุคคลที่ต้องการเก็บรวบรวม ใช้ หรือเปิดเผยนั้น เป็นข้อมูลที่จําเป็นในการเก็บรวบรวม ใช้ หรือเปิดเผยตามวัตถุประสงค์หลักของการประกอบธุรกิจหรือไม่ และ
     8.1.2.2 ข้อมูลส่วนบุคคลที่ต้องการเก็บรวบรวม ใช้ หรือเปิดเผยนั้น เป็นการเก็บรวบรวม ใช้หรือเปิดเผยตามวัตถุประสงค์ซึ่งกฎหมายกําหนดให้สามารถเก็บรวบรวม ใช้ หรือเปิดเผย โดยไม่จําเป็นต้องได้รับความยินยอม หรือจําเป็นต้องได้รับความยินยอม ก่อนที่จะดําเนินการเก็บรวบรวม ใช้ หรือเปิดเผยก่อนหรือในขณะที่เก็บรวบรวม
8.1.3 ข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลเป็นครั้งแรก บริษัทจะต้องดําเนินการแจ้ง รายละเอียดต่อไปนี้เสมอ
   8.1.3.1 วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อนําไปใช้หรือเปิดเผย
   8.1.3.2 เหตุผลและความจําเป็นในการที่ต้องได้รับข้อมูลส่วนบุคคล รวมทั้งผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล
   8.1.3.3 ข้อมูลส่วนบุคคลที่ต้องการเก็บรวบรวม และระยะเวลาในการเก็บรวบรวม
   8.1.3.4 ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลที่เก็บรวบรวมอาจถูกเปิดเผยต่อ
   8.1.3.5 ข้อมูลเกี่ยวกับบริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ โดยในกรณีที่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลให้แจ้งข้อมูล สถานที่ติดต่อและวิธีการติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลด้วย
   8.1.3.6 สิทธิของเจ้าของข้อมูลส่วนบุคคล ดังปรากฏรายละเอียดในข้อ 7 ของนโยบายฉบับนี้

8.1.4 ในกรณีที่บริษัทจะนําข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปใช้สําหรับวัตถุประสงค์อื่น
นอกจากที่ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบไว้แล้ว บริษัทจะต้องทําการแจ้งวัตถุประสงค์ ใหม่ให้เจ้าของข้อมูลส่วนบุคคลได้รับทราบและขอรับความยินยอมก่อนเก็บรวบรวมข้อมูลเสมอเว้นแต่เป็นกรณีที่กฎหมายอนุญาตให้กระทําได้

8.2 วิธีการเก็บรวบรวมข้อมูลส่วนบุคคล
8.2.1 การเก็บรวบรวมข้อมูลส่วนบุคคลที่ไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน หรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล
(1) ในการเก็บรวบรวมข้อมูลส่วนบุคคล ที่ไม่ใช่ข้อมูลส่วนบุคคลที่อ่อนไหว ซึ่งบริษัทมีความจําเป็นต้องใช้ หรือเปิดเผยเพื่อวัตถุประสงค์ดังระบุไว้ด้านล่างนี้ บริษัทสามารถเก็บรวบรวม ข้อมูลส่วนบุคคลดังกล่าวได้โดยไม่ต้องได้รับความยินยอม
(ก) เป็นการจําเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดําเนินการตามคําขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทําสัญญานั้น
(ข) เป็นการจําเป็นเพื่อการปฏิบัติหน้าที่และดําเนินการใดๆ ตามคําสั่งของเจ้าหน้าที่รัฐหรือตามที่กฎหมายกําหนด
(ค) เป็นการจําเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลธรรมดาหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ ประโยชน์ดังกล่าวมีความสําคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือ
(ง) เป็นการปฏิบัติตามกฎหมายของบริษัท
(2) ในการเก็บรวบรวมข้อมูลส่วนบุคคลที่อ่อนไหว ซึ่งบริษัทมีความจําเป็นต้องใช้ หรือเปิดเผยเพื่อวัตถุประสงค์ดังระบุไว้ด้านล่างนี้ บริษัทสามารถเก็บรวบรวมข้อมูลส่วนบุคคลที่อ่อนไหวดังกล่าว ได้โดยไม่ต้องได้รับความยินยอม
(ก) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุด้วยใดก็ตาม
(ข) เป็นการดําเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของมูลนิธิ หรือสมาคม หรือสหภาพแรงงานให้แก่สมาชิก ผู้ซึ่งเคยเป็นสมาชิก หรือผู้ซึ่งมีการติดต่ออย่าง สม่ําเสมอกับมูลนิธิ หรือสมาคม ดังกล่าวโดยไม่ได้เปิดเผยข้อมูลส่วนบุคคลนั้นออกไปภายนอกมูลนิธิ หรือสมาคม
(ค) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล
(ง) เป็นการจําเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(จ) เป็นการจําเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ
1. เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทํางานของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้าน สังคม การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการ ให้บริการด้านสังคมสงเคราะห์ ทั้งนี้ ในกรณีที่ไม่ใช่การปฏิบัติตามกฎหมายและ ข้อมูลส่วนบุคคลนั้นอยู่ในความรับผิดชอบของผู้ประกอบอาชีพหรือวิชาชีพหรือผู้ มีหน้าที่รักษาข้อมูลส่วนบุคคลนั้นไว้เป็นความลับตามกฎหมาย ต้องเป็นการ ปฏิบัติตามสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับผู้ประกอบวิชาชีพทางการแพทย์
2. ประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันด้านสุขภาพจาก โรคติดต่ออันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักรหรือการควบคุมมาตรฐานหรือคุณภาพของยา เวชภัณฑ์ หรือเครื่องมือแพทย์ ซึ่ง ได้จัดให้มีมาตรการที่เหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิและเสรีภาพของ เจ้าของข้อมูลส่วนบุคคลโดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าที่หรือตามจริยธรรมแห่งวิชาชีพ
3. การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัย จากรถ หรือการคุ้มครองทางสังคม ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลเป็น สิ่งจําเป็นในการปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลหรือ เจ้าของข้อมูลส่วนบุคคล โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้น พื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
4. การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์ สาธารณะอื่น ทั้งนี้ ต้องกระทําเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่ จําเป็นเท่านั้น และได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐาน และประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ตามที่คณะกรรมการประกาศกําหนด หรือ
5. ประโยชน์สาธารณะที่สําคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

8.2.2 ความยินยอม และการเก็บรวบรวมข้อมูลส่วนบุคคลที่ต้องได้รับความยินยอม
กรณีที่ข้อมูลส่วนบุคคลที่บริษัทจะเก็บรวบรวมเพื่อนําไปใช้นั้น ไม่ได้เป็นไปเพื่อวัตถุประสงค์ที่ ได้รับการยกเว้นให้ไม่ต้องขอความยินยอมตามที่กําหนดในข้อ 8.2.1 ข้างต้น บริษัทจะต้องได้รับ ความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนโดยบริษัทจะปฏิบัติตามวิธีการต่อไปนี้
(เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้)
(1) การเก็บรวบรวมข้อมูลในรูปแบบเอกสาร
ในกรณีของการเก็บรวบรวมข้อมูลในรูปแบบเอกสารนั้น บริษัทจะนําเอกสารสําหรับขอความยินยอมมาปรับใช้เพื่อขอรับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
(2) การเก็บรวบรวมข้อมูลในรูปแบบอิเล็กทรอนิกส์
ในกรณีของการเก็บรวบรวมข้อมูลในรูปแบบอิเล็กทรอนิกส์นั้น บริษัทจะนําเอกสารสําหรับขอ ความยินยอม มาปรับใช้สําหรับการขอความยินยอม โดยในการขอความยินยอมนั้น ในกรณีที่ บริษัทต้องให้เจ้าของข้อมูลส่วนบุคคลทําการกดยอมรับเพื่อให้ความยินยอม บริษัทจะไม่ทําการ ตั้งค่าให้มีการทําเครื่องหมายในกล่องข้อความที่เจ้าของข้อมูลส่วนบุคคลต้องกดยืนยัน , ยอมรับเงื่อนไขใดๆ (No Default Setting on Check-Box) ทั้งนี้ไม่ว่าในเวลาใดๆ ในการได้รับความยินยอมนั้น ต้องเกิดจากการที่เจ้าของข้อมูลส่วนบุคคล เป็นผู้มีอิสระในการเลือกและยินยอมที่จะให้ข้อมูลส่วนบุคคลของตนแก่บริษัท และบริษัทจะไม่ทําการสร้างเงื่อนไขในการจัดเก็บข้อมูลที่ไม่จําเป็นมาเป็นเงื่อนไขในการให้บริการของบริษัท
“คุกกี้” (Cookies) เว็บไซต์ของบริษัท อาจใช้คุกกี้ในบางกรณี คุกกี้ คือไฟล์ข้อมูลขนาดเล็กที่จัดเก็บข้อมูลซึ่งแลกเปลี่ยนระหว่างคอมพิวเตอร์ของเจ้าของข้อมูลและเว็บไซต์ของเรา บริษัทใช้คุกกี้เฉพาะเพื่อการจัดเก็บข้อมูลที่อาจเป็นประโยชน์ต่อเจ้าของข้อมูลในครั้งถัดไปที่เจ้าของข้อมูลกลับมาเยี่ยมชมเว็บไซต์ของบริษัท หากผู้ใช้บริการไม่ประสงค์ให้บริษัทเก็บข้อมูลการใช้คุกกี้ สามารถเข้าไปตั้งค่าในเว็บไซต์เพื่อปฏิเสธการใช้คุกกี้
เว็บไซต์ของบริษัท อาจมีลิงก์ไปยังเว็บไซต์อื่น ๆ โดยบริษัทจะไม่รับผิดชอบต่อการปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคลที่ใช้โดยเว็บไซต์อื่น นอกเหนือจากเว็บของบริษัทเอง
8.2.3 การขอความยินยอมจากผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ
ในกรณีที่บริษัทมีการติดต่อ หรือจําเป็นต้องได้รับข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ บริษัทจะดําเนินการขอรับความยินยอมจากผู้ที่มีอํานาจกระทํา การแทนบุคคลดังกล่าว ตามรายละเอียดดังต่อไปนี้


บุคคลที่ความสามารถทางกฎหมายมีความบกพร่อง


บุคคลที่มีอํานาจกระทําการแทนและให้ความยินยอม


เอกสารประกอบเพื่อใช้พิจารณา


ผู้เยาว์ (ในกรณีที่ผู้เยาว์มีอายุไม่เกิน 10 ปี หรือเป็นกรณีที่การยินยอมนั้น ไม่ใช่การใดๆ ที่ผู้เยาว์สามารถให้ ความยินยอมโดยลําพังได้ตามที่กําหนดในประมวลกฎหมายแพ่งและพาณิชย์)


ผู้ใช้อํานาจปกครอง


สูจิบัตร และใบทะเบียนสมรส บิดา หรือ มารดา คําสั่งศาลแต่งตั้ง ผู้แทนโดยชอบด้วยกฎหมาย (สำหรับแต่งตั้งผู้ใช้อำนาจปกครอง)


คนไร้ความสามารถ


ผู้อนุบาล


คําสั่งศาลแต่งตั้ง ผู้แทนโดยชอบด้วย กฎหมาย (สําหรับแต่งตั้งผู้อนุบาล)


คนเสมือนไร้ความสามารถ


ผู้พิทักษ์


คําสั่งศาลแต่งตั้ง ผู้แทนโดยชอบด้วย กฎหมาย (สําหรับแต่งตั้งผู้พิทักษ์)


อนึ่งเพื่อยืนยันตัวตนของผู้แทนโดยชอบด้วยกฎหมายนั้นบริษัทจะทําการขอเอกสารประกอบตามรายการข้างต้นเพื่อประกอบการใช้สิทธิดังกล่าวด้วย

8.3 ประเภทของข้อมูลที่เก็บรวบรวม วัตถุประสงค์ในการเก็บรวบรวม และระยะเวลาในการเก็บรวบรวมข้อมูลส่วน
บุคคล
บริษัทมีการจัดทําบันทึกเกี่ยวกับการดําเนินการเรื่องข้อมูลส่วนบุคคลของบริษัท (Data Log) เพื่อใช้ในการ บันทึกประเภทของข้อมูลที่เก็บรวบรวม วัตถุประสงค์ในการเก็บรวบรวม และระยะเวลาในการเก็บรวบรวมข้อมูล ส่วนบุคคลซึ่งบริษัทมีการเก็บรวบรวม ใช้ หรือเปิดเผยไว้ โดยบริษัทจะมีการปรับปรุงแก้ไข และเพิ่มเติมบันทึกดังกล่าวให้มีความเป็นปัจจุบัน และถูกต้องตรงตามข้อเท็จจริงเกี่ยวกับการใช้ข้อมูลส่วนบุคคลเสมอ

8.4. ข้อยกเว้นการเก็บข้อมูลส่วนบุคคล
บริษัทจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนการจัดเก็บ เว้นแต่กรณีดังต่อไปนี้
(1) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกำหนด
(2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
(3) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือ เพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
(4) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุม ข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
(5) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญ น้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
(6) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

9. การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นนอกจากเจ้าของข้อมูลส่วนบุคคล

บริษัทจะทําการเก็บรวบรวมข้อมูลส่วนบุคคลโดยตรงจากเจ้าของข้อมูลส่วนบุคคลเสมอ เว้นแต่

1. เป็นกรณีที่บริษัทได้รับยกเว้นตามกฎหมายให้สามารถเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคล หรือ

2. เป็นกรณีที่บริษัทมีความจําเป็นต้องมีการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคล บริษัทจะดําเนินการดังต่อไปนี้

(ก) ในกรณีที่บริษัทจะนําข้อมูลนั้นไปใช้เพื่อการติดต่อกับเจ้าของข้อมูล บริษัทต้องแจ้งให้เจ้าของข้อมูลทราบถึงการเก็บรวบรวมข้อมูลจากแหล่งอื่นนั้น ในการติดต่อครั้งแรก พร้อม ทั้งการแจ้งรายละเอียดก่อนการเก็บข้อมูลส่วนบุคคลดังที่ระบุในข้อ 8.1.3 รวมทั้ง วัตถุประสงค์ในการจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ทั้งนี้ภายใน 30 วัน นับแต่วันที่มีการเก็บรวบรวมข้อมูล เว้นแต่เป็นกรณีที่บริษัทได้รับยกเว้นให้ไม่ต้องแจ้งวัตถุประสงค์ของการเก็บข้อมูลดังกล่าว
(ข) ในกรณีที่บริษัทได้รับความยินยอมให้สามารถเก็บรวบรวมข้อมูลส่วนบุคคลนั้น บริษัทต้องแจ้งให้เจ้าของข้อมูลทราบถึงการเก็บรวบรวมข้อมูลจากแหล่งอื่นนั้นให้เจ้าของข้อมูลส่วน บุคคลทราบภายใน 30 วัน นับแต่วันที่ได้รับความยินยอม พร้อมทั้งการแจ้งรายละเอียด ก่อนการเก็บข้อมูลส่วนบุคคลดังที่ระบุในข้อ 8.1.3 รวมทั้งวัตถุประสงค์ในการจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ทั้งนี้ภายใน 30 วัน นับแต่วันที่มีการเก็บรวบรวมข้อมูล เว้นแต่เป็นกรณีที่บริษัทได้รับยกเว้นให้ไม่แจ้งวัตถุประสงค์ของการเก็บข้อมูลดังกล่าว (ค) ในกรณีที่บริษัทจะนําข้อมูลส่วนบุคคลที่เก็บจากแหล่งอื่นนั้นไปเปิดเผยต่อ บริษัทจะทําการแจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลจากแหล่งอื่นรวมทั้ง วัตถุประสงค์ในการจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ทั้งนี้ภายใน 30 วัน นับแต่ วันที่มีการเก็บรวบรวมข้อมูล เว้นแต่เป็นกรณีที่บริษัทได้รับยกเว้นให้ไม่จําเป็นต้องแจ้ง วัตถุประสงค์ของการเก็บข้อมูลดังกล่าว และต้องแจ้งกรณีดังกล่าวก่อนที่จะดําเนินการนําข้อมูลนั้นไปเปิดเผยเป็น
ครั้งแรก

10. การใช้ข้อมูลส่วนบุคคล

บริษัทจะประมวลข้อมูลส่วนบุคคล เมื่อได้รับความยินยอมจากเจ้าของข้อมูล เว้นแต่การประมวลผลข้อมูลส่วนบุคคลดังกล่าวอยู่ภายใต้ข้อยกเว้นตามกฎหมาย ดังต่อไปนี้

1) ฐานสัญญา (Contract) เมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อมายังบริษัทผ่านทางเว็บไซต์หรือโทรศัพท์ บริษัทจะนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปประมวลผลเกี่ยวกับสินค้าหรือบริการ เพื่อดำเนินการติดต่อหรือเสนอบริการตามสัญญาต่อไป
2) ฐานความยินยอม (Consent) บริษัทอาจรวบรวมข้อมูลเพื่อเป็นฐานข้อมูลลูกค้า เพื่อนำไปวิเคราะห์หรือเสนอบริการใหม่ ๆ หากเจ้าของข้อมูลไม่ประสงค์ สามารถแจ้งความประสงค์มายังบริษัทตามข้อ 17
3) ฐานประโยชน์อันชอบธรรม (Legitimate Interest) บริษัทอาจประมวลผลข้อมูลส่วนบุคคลเพื่อดำเนินงานที่จำเป็นภายใต้ประโยชน์โดยชอบด้วยกฎหมาย
4) ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) บริษัทอาจประมวลผลข้อมูลส่วนบุคคลเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูล
5) ฐานหน้าที่ตามกฎหมาย (Legal Obligation)

10.1 หลักการทั่วไปในการใช้ข้อมูลส่วนบุคคล

  • บริษัทจะใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้เท่านั้น
  • กสําหรับข้อมูลส่วนบุคคลที่บริษัทสามารถเก็บรวบรวมได้โดยไม่ต้องรับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามรายละเอียดที่ระบุใน ข้อ 8.2.1 นั้น บริษัทจะใช้ข้อมูลส่วนบุคคลดังกล่าว เฉพาะเพื่อวัตถุประสงค์ตามที่ระบุในข้อ 8.2.1 เท่านั้น และบริษัทจะทําการบันทึกการใช้ข้อมูล ส่วนบุคคลดังกล่าวไว้ใน บันทึกเกี่ยวกับการดําเนินการเรื่องข้อมูลส่วนบุคคลของบริษัท (Data Log)

10.2 การเข้าถึงข้อมูลส่วนบุคคล

บริษัทได้กําหนดเงื่อนไขและวิธีการเข้าถึงข้อมูลส่วนบุคคลที่บริษัทได้เก็บรวบรวมไว้ เพื่อใช้หรือเปิดเผยตาม วัตถุประสงค์ที่ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบไว้ตาม แผนภูมิสรุปเกี่ยวกับการจัดเก็บข้อมูลส่วน บุคคลและการไหลเวียนของข้อมูล (Data Mapping)

10.3 การประเมินผลกระทบต่อข้อมูลส่วนบุคคล

บริษัทจะจัดให้มีการดําเนินการประเมินผลกระทบต่อข้อมูลส่วนบุคคลทุกครั้งในกรณีที่บริษัทจะมีการใช้งาน ข้อมูลส่วนบุคคลในลักษณะที่มีความเสี่ยงสูง โดยจะจัดทําการประเมินดังกล่าวตามแบบประเมินผล กระทบต่อข้อมูลส่วนบุคคล (Data Protection Impact Assessment)


11. การจัดเก็บข้อมูลส่วนบุคคล และวิธีการเก็บรักษาและคุ้มครองข้อมูลส่วนบุคคล

11.1 การบันทึกรายละเอียดเกี่ยวกับข้อมูลส่วนบุคคล
11.1.1 ในการปฏิบัติงานของบริษัท บริษัทจะจัดทําแผนภูมิสรุปเกี่ยวกับการจัดเก็บข้อมูลส่วนบุคคลและการไหลเวียนของข้อมูล (Data Mapping) ของแต่ละแผนกของบริษัท เพื่อใช้ในการบันทึกและ แสดงสรุปข้อมูลส่วนบุคคลที่มีการเก็บรวบรวมและวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วน บุคคลแต่ละประเภท และระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคลแต่ละประเภท และจัดเก็บแผนผังดังกล่าวในระบบฐานข้อมูลของบริษัท
11.1.2 บริษัทจะจัดให้มีบันทึกการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ซึ่งจะมีการบันทึกรายละเอียดเกี่ยวกับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล และรายละเอียดการดําเนินการของ บริษัทต่อคําร้องขอใช้สิทธินั้น ซึ่งรวมถึงกรณีที่บริษัทปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล

11.2 วิธีการเก็บรักษาข้อมูลส่วนบุคคล
11.2.1 บริษัทจะดําเนินการให้เป็นที่แน่ใจว่าการดําเนินการใดๆ กับข้อมูลส่วนบุคคลที่บริษัทได้จัดเก็บมานั้นจะได้รับการคุ้มครองที่เหมาะสม และปลอดภัยจากการสูญหาย การใช้ เข้าถึง เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยบุคคลที่ปราศจากอํานาจ หรือการดําเนินการใดๆ ที่ไม่ชอบด้วยกฎหมาย
11.2.2 บริษัทจะสร้างความมั่นคงปลอดภัยให้กับข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึงการสร้างมาตรฐานการป้องกันความปลอดภัยให้กับข้อมูลส่วนบุคคลในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูล ส่วนบุคคล (access control) ทั้ง มาตรการป้องกันทางด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันทางด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) ซึ่งอย่างน้อยจะประกอบด้วย
(1) การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคล
(2) การกําหนดเกี่ยวกับการอนุญาตหรือการกําหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล
(3) การบริหารจัดการการเข้าถึงของผู้ใช้งานเพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทําสําเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล
(4) การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล
11.2.3 บริษัทจะทําการเก็บรักษาข้อมูลส่วนบุคคลในสถานที่ปลอดภัย ซึ่งได้รับการดูแลที่เหมาะสมสําหรับการเก็บข้อมูลในรูปแบบต่างๆ (เอกสาร และ/หรือไฟล์อิเล็กทรอนิกส์) ทั้งนี้ตาม แนวนโยบายและวิธีการปฏิบัติที่กําหนดในเอกสารนโยบายวิธีการปฏิบัติ บริษัทได้จํากัดผู้ที่สามารถเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลเฉพาะบุคคลที่มี หน้าที่และความรับผิดชอบเกี่ยวข้องกับการประมวลผลข้อมูลตามที่บริษัทกําหนดดังที่ปรากฏ ใน แผนภูมิสรุปเกี่ยวกับการจัดเก็บข้อมูลส่วนบุคคลและการไหลเวียนของข้อมูล (Data Mapping) โดยบุคคลดังกล่าวจะสามารถดําเนินการใดๆ กับข้อมูลส่วนบุคคลของเจ้าของข้อมูล ส่วนบุคคลได้เฉพาะตามหน้าที่และตามคําสั่งของบริษัท เท่านั้น และต้องเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไว้เป็นความลับ

12. การเปิดเผยข้อมูลส่วนบุคคล

12.1 หลักการทั่วไปในการเปิดเผยข้อมูลส่วนบุคคล
ในการเปิดเผยข้อมูลส่วนบุคคลซึ่งบริษัทได้เก็บรวบรวมไว้ ไม่ว่าในเวลาใด บริษัทจะปฏิบัติการตามหลักการ และแนวทางดังต่อไปนี้
12.1.1 บริษัทจะเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้เท่านั้น
12.1.2 สําหรับข้อมูลส่วนบุคคลที่บริษัทสามารถเก็บรวบรวมได้โดยไม่ต้องรับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามรายละเอียดที่ระบุใน ข้อ 8.2.1 นั้น บริษัทจะเปิดเผยข้อมูลส่วนบุคคล ดังกล่าวเฉพาะเพื่อวัตถุประสงค์ตามที่ระบุใน ข้อ 8.2.1 เท่านั้น และบริษัทจะทําการบันทึกการ เปิดเผยข้อมูลส่วนบุคคลดังกล่าวไว้ในบันทึกเกี่ยวกับการดําเนินการเรื่องข้อมูลส่วนบุคคลของบริษัท (Data Log)

12.2 การเปิดเผยข้อมูลส่วนบุคคลไปยังผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท
12.2.1 ในการดําเนินธุรกิจของบริษัท บริษัทอาจมอบหมายให้บุคคลอื่นนอกเหนือจากบุคลากรของบริษัทเป็นผู้ดําเนินการงานบางประเภทตามคําสั่งและขอบเขตงานที่กําหนดโดยบริษัท โดยใน การดําเนินการงานดังกล่าว หากบุคคลดังกล่าวต้องมีการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งบริษัทได้จัดเก็บไว้เพื่อใช้ประกอบการปฏิบัติงานที่ได้รับมอบหมาย ตามคําสั่งของบริษัทเพื่อวัตถุประสงค์ตามที่บริษัทกําหนดแล้ว บุคคลดังกล่าวมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท
12.2.2 ในการมอบหมายให้ผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัทดําเนินการประมวลผลข้อมูลส่วนบุคคลนั้น บริษัทต้องกําหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ต้องปฏิบัติการตามคําสั่ง และเงื่อนไขการปฏิบัติงานในส่วนที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลตามนโยบายและ มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ดีและสอดคล้องกับข้อกําหนดตามพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ และระเบียบที่เกี่ยวข้อง และ บริษัทจะเข้าทําสัญญา ประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) กับผู้ประมวลผลข้อมูลส่วน บุคคล ซึ่งมีข้อกําหนดที่ชัดเจนในการให้ผู้ประมวลผลข้อมูลส่วนบุคคลต้องใช้ความพยายามอย่างเต็มที่ในการคุ้มครองข้อมูลส่วนบุคคล

12.3 การเปิดเผยข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น
12.3.1 ผู้ควบคุมข้อมูลส่วนบุคคลอื่น คือ บุคคลภายนอกที่ไม่ใช่บริษัท ไม่ว่าที่เป็นบุคคลธรรมดา หรือ นิติบุคคล ที่มีอํานาจหน้าที่ในการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลด้วยตนเอง
12.3.2 บริษัทจะทําการส่งหรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปให้กับบุคคลภายนอกอื่น เฉพาะเมื่อเป็นกรณีที่บริษัทมีความจําเป็นต้องปฏิบัติการตามกฎหมาย หรือ เนื่องจากผลของความผูกพันตามสัญญาระหว่างบริษัทและผู้ควบคุมข้อมูลส่วนบุคคลอื่น หรือ เมื่อได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (แล้วแต่กรณี)
12.3.3 ในการส่งหรือเปิดเผยข้อมูลส่วนบุคคลให้กับผู้ควบคุมข้อมูลส่วนบุคคลอื่นนั้น บริษัทจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลได้รับทราบรายการข้อมูลที่จะเปิดเผย วัตถุประสงค์และเหตุผลในการ เปิดเผย พร้อมทั้งชื่อของผู้ควบคุมข้อมูลส่วนบุคคลอื่นดังกล่าว เว้นแต่เป็นกรณีของการส่ง ข้อมูลส่วนบุคคลให้กับหน่วยงานรัฐที่มีอํานาจตามกฎหมายที่เกี่ยวข้อง บริษัทจะปฏิบัติการดังกล่าวตามกฎหมายที่เกี่ยวข้อง
12.3.4. บริษัท จะไม่เปิดเผยข้อมูลส่วนบุคคลให้กับหน่วยงานหรือบุคคลอื่นใด เว้นแต่กรณีดังนี้
12.3.4.1 ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
12.3.4.2 คำสั่งศาล พนักงานเจ้าหน้าที่ หรือ กฎหมาย ให้เปิดเผยข้อมูลดังกล่าว
บริษัทอาจส่งต่อข้อมูลส่วนบุคคลของเจ้าของข้อมูลระหว่างบริษัทในเครือด้วยกัน เพื่อการให้บริการแก่เจ้าของข้อมูลอย่างมีประสิทธิภาพและบรรลุตามวัตถุประสงค์ โดยข้อมูลที่อาจส่งต่อได้แก่ ชื่อลูกค้า ที่อยู่ หมายเลขโทรศัพท์ หมายเลขโทรสาร ที่อยู่อีเมล ชื่อบริษัท (องค์กร) ตำแหน่งงาน และข้อมูลที่เกี่ยวข้องกับการขาย โดยจะเปิดเผยข้อมูลดังกล่าวเพื่อวัตถุประสงค์ในการให้บริการเท่านั้น

13. การทําลายข้อมูลส่วนบุคคล

บริษัทจะดําเนินการลบหรือทําลายข้อมูลส่วนบุคคลเมื่อพ้นกําหนดระยะเวลาการเก็บรักษาข้อมูลตามที่ระบุไว้สําหรับ ข้อมูลแต่ละประเภท หรือในกรณีที่ข้อมูลส่วนบุคคลนั้นไม่จําเป็นตามวัตถุประสงค์ของบริษัทหรือกฎหมายที่เกี่ยวข้อง ในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลดังกล่าวนั้นอีกต่อไป หรือเมื่อได้รับการร้องขอจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ตามวิธีการและเงื่อนไขดังที่ระบุในนโยบายเกี่ยวกับการควบคุมเอกสารและการบันทึก

13.1 หน่วยงานด้านเอกสาร หน่วยงานที่เป็นผู้ควบคุมเอกสารนั้น ของบริษัทจะมีหน้าที่ในการตรวจสอบและคัดแยกข้อมูลส่วนบุคคลที่ครบกําหนดระยะเวลาในการเก็บรักษาข้อมูล และดําเนินการในการทําลายเอกสาร ตามวิธีการและข้อกําหนดดังต่อไปนี้
13.2 ในกรณีที่ข้อมูลส่วนบุคคลนั้นถูกจัดเก็บอยู่ในรูปแบบเอกสารหนังสือ ให้ทําการทําลายข้อมูลนั้นโดยการ
นําเข้าเครื่องย่อย หรือ ทําลายเอกสาร
13.3 ในกรณีที่ข้อมูลส่วนบุคคลนั้นถูกจัดเก็บอยู่ในรูปแบบไฟล์อิเล็กทรอนิกส์ ให้หน่วยงานด้านเอกสาร /หน่วยงานที่เป็นผู้ควบคุมเอกสารนั้น ทําการติดต่อกับฝ่ายเทคโนโลยีสารสนเทศของบริษัท เพื่อทําการลบ ทําลายไฟล์อิเล็กทรอนิกส์ดังกล่าว

14. การฝึกอบรมบุคลากรที่เกี่ยวข้อง และการให้ข้อมูล

การฝึกอบรมบุคลากรที่เกี่ยวข้อง และการให้ข้อมูลเกี่ยวกับวิธีการปฏิบัติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลกับคู่ค้า หรือผู้ใช้บริการของบริษัท บริษัทจะทําการจัดอบรมและให้ความรู้แก่บุคลากรของบริษัทเพื่อให้เข้าใจ รับทราบ ตระหนักถึงความสําคัญ และ สามารถปฏิบัติการตามข้อกําหนดและแนวทางเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลได้อย่างเหมาะสมและถูกต้อง

15. การตรวจสอบและปรับปรุงการดําเนินการของบริษัทเกี่ยวกับข้อมูลส่วนบุคคล

บริษัทจะทําการพัฒนาและปรับปรุงนโยบายและเอกสารต่างๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลเป็นระยะๆ ทุกครั้งที่มีการปรับปรุงกฎหมายที่เกี่ยวข้อง หรือทุกครั้งที่มีการปรับปรุงการปฏิบัติภายในของบริษัท หรือ อย่างน้อยทุก 1 ปี

16. การละเมิดข้อมูลส่วนบุคคล

16.1 ในกรณีที่บุคคลใด ๆ พบว่ามีหรือมีเหตุอันควรให้สงสัยว่าอาจมีการรั่วไหลของข้อมูลส่วนบุคคล หรือการ
ดําเนินการในส่วนที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยบริษัทนั้นขัดแย้ง หรือไม่เป็นไปตามข้อกําหนดของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ และ/หรือ ระเบียบใด ๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล หรือข้อกําหนดตามนโยบายฉบับนี้ โปรดแจ้งให้ บริษัทและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัทได้รับทราบถึงกรณีดังกล่าวตามช่องทางที่กําหนดในข้อ 17 ของนโยบายฉบับนี้
16.2 ในกรณีที่เกิดการรั่วไหลของข้อมูลส่วนบุคคล หรือการดําเนินการในส่วนที่เกี่ยวข้องกับการเก็บรวบรวม ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลโดยบริษัทนั้นขัดแย้ง หรือไม่เป็นไปตามข้อกําหนดของพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ และ/หรือระเบียบใดๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วน บุคคล หรือข้อกําหนดตามนโยบายฉบับนี้ บริษัทจะปฏิบัติการตามข้อกําหนดและวิธีการที่ระบุไว้ในแนวปฏิบัติในกรณีเกิดการละเมิดข้อมูลส่วนบุคคลภายในระยะเวลาที่เหมาะสม
16.3 บริษัทสนับสนุนให้การบริหารจัดการความเสี่ยงขององค์กร และหน่วยงานต่างๆที่เกี่ยวข้อง มีการพิจารณาความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคล และดําเนินการจัดการความเสี่ยงที่มีอย่างเหมาะสม และให้มีการตรวจสอบการดําเนินการที่เกี่ยวข้องกับข้อมูลส่วนบุคคลโดยหน่วยงานตรวจสอบภายใน
16.4ในกรณีที่บริษัทมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่แจ้ง เหตุการณ์ละเมิดข้อมูลส่วนบุคคลแก่สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน เจ็ดสิบสองชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทําได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมี ผลกระทบต่อ สิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและ เสรีภาพ ของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยา โดย ไม่ชักช้าด้วย

17. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล/ หน่วยงานภายในที่ดูแลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

บริษัทได้ แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล / มอบหมายหน้าที่ให้กับหน่วยงานภายในที่ดูแลเกี่ยวกับการ คุ้มครองข้อมูลส่วนบุคคล เพื่อปฏิบัติหน้าที่ในการให้คําแนะนําและตรวจสอบการดําเนินการของบริษัทในส่วนที่ เกี่ยวข้องกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปตามข้อกําหนดภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ และกฎระเบียบที่เกี่ยวข้อง ในการนี้บริษัทได้จัดทําเอกสารสรุปหน้าที่ความ รับผิดชอบและการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไว้ในเอกสารสรุปหน้าที่ความรับผิดชอบ และคุณสมบัติในเบื้องต้นของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล และหน่วยงานภายในของบริษัทที่ เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้การปฏิบัติงานของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล/ หน่วยงานภายในที่ดูแลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และบุคคลที่เกี่ยวข้องนั้นเป็นไปด้วยความเรียบร้อย และตรงตามวัตถุประสงค์ที่กําหนดในกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลประสงค์จะใช้สิทธิอย่างใด ๆ ของเจ้าของข้อมูลส่วนบุคคลที่ปรากฏตามที่ระบุไว้ ตามข้อ 7 ของนโยบายฉบับนี้ เจ้าของข้อมูลส่วนบุคคลสามารถแจ้งความประสงค์ในการใช้สิทธิดังกล่าวมายังบริษัท ได้ตามช่องทางการติดต่อของทางบริษัทดังต่อไปนี้

หน่วยงานคุ้มครองข้อมูลส่วนบุคคลของบริษัท
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล บริษัท บริษัท บริษัท ไทยชูการ์ เทอร์มิเนิ้ล จำกัด (มหาชน) และบริษัทในเครือ
อีเมล: thaisugar@tstegroup.com
โปรดระบุหัวข้ออีเมลเป็น : “ขอแจ้งความประสงค์การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล”
ที่อยู่: 90 หมู่ 1 ถนนปู่เจ้าสมิงพราย ตำบลสำโรงกลาง อำเภอพระประแดง สมุทรปราการ 10130 โทร. 0-2183-4567

ในกรณีที่เจ้าของข้อมูลส่วนบุคคลประสงค์จะติดต่อหน่วยงานของรัฐที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
สามารถติดต่อได้ที่: สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
โทรศัพท์: 02-141-6985 ถึง 99
ที่อยู่: ชั้น 7 อาคารรัฐประศาสนภักดี ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษา 5 ธันวาคม 2550
ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพมหานคร 10210

18.บทกําหนดโทษ

การลงโทษตามระเบียบของบริษัท พนักงานที่ละเลยไม่ปฏิบัติตามตาม พรบ. คุ้มครองข้อมูล และไม่ปฏิบัติตามนโยบายฉบับนี้ ต้องได้รับโทษตามระเบียบ ของบริษัท รวมทั้งโทษอื่นที่เกี่ยวข้อง บริษัทสงวนสิทธิ์ในการแก้ไข เปลี่ยนแปลง หรือยกเลิกระเบียบฉบับนี้ได้ตามความเหมาะสม

นโยบายฉบับนี้ให้มีผลบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป