บริษัท พูราโต๊ส (ประเทศไทย) จำกัด (ซึ่งต่อไปในประกาศนี้ เรียกว่า “บริษัทฯ” หรือ “เรา” หรือ “ของเรา”) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้รับบริการ บุคลากร คู่ค้าทางธุรกิจ ผู้สมัครงาน และบุคคลอื่นที่เกี่ยวข้องของเรา อันเป็นสิทธิขั้นพื้นฐานในความเป็นส่วนตัวของบุคคล (Privacy Right) ที่ต้องได้รับความคุ้มครองและปฏิบัติตามกฎหมาย รวมทั้งกฎเกณฑ์ที่กำหนดขึ้น ไม่ว่าท่านจะมาเยี่ยมชมเว็บไซต์ แอพพลิเคชั่น หรือมารับบริการจากเรา โดยเราจะจัดระบบเพื่อควบคุมดูแลอย่างเข้มงวดและรัดกุม เพื่อให้ข้อมูลส่วนบุคคลของท่านได้รับการประมวลผลข้อมูลหรือการเก็บรวบรวม ใช้หรือเปิดเผยอย่างโปร่งใสและได้มาตรฐานทางหน่วยงานราชการซึ่งกำกับดูแลกำหนดไว้
นโยบายความเป็นส่วนตัวนี้ มีวัตถุประสงค์เพื่อแจ้งให้เจ้าของข้อมูลทราบถึงการปฏิบัติต่อข้อมูลส่วนบุคคลของท่าน เช่น การเก็บรวบรวม การใช้ การเปิดเผย รวมถึงสิทธิต่างๆ ของเจ้าของข้อมูล เป็นต้น นโยบายนี้ ถือเป็นส่วนหนึ่งของข้อกำหนดและเงื่อนไขของการให้บริการ สำหรับการให้บริการผ่านทางเว็บไซต์ แอพพลิเคชั่น หรือการให้บริการโดยตรงกับท่านในแต่ละครั้ง นโยบายฉบับนี้ มีผลบังคับกับทุกกิจกรรมการดำเนินงานอันเกี่ยวข้องกับข้อมูลส่วนบุคคล ดังรายละเอียดต่อไปนี้
ในนโยบายความเป็นส่วนตัวฉบับนี้ คำหรือข้อความว่า
“บริษัทฯ ” หมายถึง บริษัท พูราโต๊ส (ประเทศไทย) จำกัด
“บุคคล” หมายถึง บุคคลธรรมดา
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ข้อมูลส่วนบุคคลแบบอ่อนไหว” (Sensitive Data) หมายความว่า ข้อมูลส่วนบุคคลที่มีความเสี่ยงอาจถูกนำไปสู่การเลือกปฏิบัติอย่างไม่เป็นธรรม ในที่นี้หมายถึง เชื้อชาติ ศาสนา พฤติกรรม ทางเพศ ประวัติอาชญากรรม ข้อมูลส่วนสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรืออื่น ตามที่กฎหมายกำหนด
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer : DPO) หมายถึง บุคคลซึ่งบริษัทฯ ได้แต่งตั้งให้ทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาที่เป็นบุคลากร ลูกจ้าง หรือผู้สมัครงานและบุคคลที่เกี่ยวข้อง ลูกค้าหรือผู้รับบริการ คู่ค้า ผู้เข้าเยี่ยมชมเว็ปไซต์ หรือ Mobile Application ของบริษัทฯ ตลอดจนผู้บริหารของบริษัทฯ และบุคคลใดที่มีนิติสัมพันธ์เกี่ยวข้องกับบริษัทฯ โดยต่อไปในนโยบายนี้จะเรียกย่อว่า “เจ้าของข้อมูล”
“เว็ปไซต์” หมายถึง เว็ปไซต์ชื่อบริษัทฯ ที่บริษัทฯ เป็นเจ้าของหรือให้บริการแล้วแต่กรณี
“แอพพลิเคชั่น” หมายถึง แอพพลิเคชั่นซึ่งบริษัทฯ ให้บริการ อนึ่งนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้ใช้บังคับกับแอพพลิเคชั่นในส่วนที่ได้มีการเปลี่ยนแปลง ปรับปรุง อัพเดท หรือเพิ่มเติมดังกล่าว จะถูกบังคับใช้ตามเงื่อนไขและข้อตกลงต่างหากจากนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บริษัทฯ ซึ่งมีอำนาจตัดสินใจเกี่ยวกับข้อมูลส่วนบุคคลนั้น ซึ่งได้รับข้อมูลส่วนบุคคลจากเจ้าของข้อมูลหรือให้บริการแก่เจ้าของข้อมูลหรือต้องทำหรือปฏิบัติตามสัญญากับเจ้าของข้อมูล ไม่ว่าจะทางตรงหรือทางอ้อมก็ตาม
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาหรือนิติบุคคลที่ทำการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของอีกบุคคลหรืออีกนิติบุคคลหนึ่ง
“การประมวลผลข้อมูล” หมายถึง การดำเนินการใดๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บรวบรวมการบันทึก การจัดระบบ การเก็บรักษา การใช้ การเปิดเผย การเปลี่ยนแปลง หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน หรือการผสมเข้าด้วยกัน การลบทำลาย
นโยบายความเป็นส่วนตัวนี้ จัดทำขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ซึ่งทำธุรกรรม ใช้บริการ มีส่วนได้ส่วนเสีย หรือมีส่วนเกี่ยวข้องกับเราโดยมีวัตถุประสงค์ดังต่อไปนี้
2.1 เพื่อกำหนดบทบาทหน้าที่ของหน่วยงาน ผู้บริหาร บุคลากร ซึ่งมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล
2.2 เพื่อกำหนดขั้นตอนหรือมาตรการรักษาความมั่นคงปลอดภัยหรือมาตรการอื่นใดที่เป็นการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับที่กฎหมายกำหนด
2.3 เพื่อกำหนดแนวทางในการปฏิบัติงานของบุคลากรซึ่งเกี่ยวข้องกับการประมวลผล หรือการดำเนินงานอื่นใดที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
2.4 เพื่อสร้างความเชื่อมั่นในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของลูกค้า คู่ค้าทางธุรกิจ กรรมการ ผู้บริหารและพนักงาน ผู้สมัครงาน นักศึกษาฝึกงานหรือฝึกประสบการณ์วิชาชีพ ตลอดจนบุคคลอื่นๆ ซึ่งมีส่วนได้ส่วนเสียหรือเกี่ยวข้องกับข้อมูลส่วนบุคคล
3.1 การคุ้มครองข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ครอบคลุมข้อมูลส่วนบุคคลของลูกค้า กรรมการ ผู้บริหารและพนักงาน ผู้สมัครงาน และบุคคลอื่นที่เกี่ยวข้อง คู่ค้าทางธุรกิจ เช่นผู้รับเหมา ผู้รับจ้าง รวมไปถึงนักศึกษาฝึกงานหรือฝึกประสบการณ์วิชาชีพ เป็นต้น
3.2 เราจะกำหนดให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด มีหน้าที่ดำเนินการทบทวนนโยบายความเป็นส่วนตัวฉบับนี้อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญต่อการปฏิบัติงานตามนโยบายฉบับนี้ และการเปลี่ยนแปลงใด ๆ บริษัทฯ จะประกาศให้ทราบผ่านเว็บไซต์ของเรา
3.3 เราจะทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเมื่อได้รับความยินยอมหรือความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะนั้น หรือบางกรณีเป็นการขอความยินยอมภายหลังการเก็บรวบรวมข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดไว้ เว้นแต่บริษัทฯ ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ หรือมีฐานทางกฎหมายรองรับ ดังนี้
3.3.1 เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา
3.3.2 เป็นการปฏิบัติตามกฎหมาย
3.3.3 เป็นการจำเป็นภายใต้ประโยชน์อันชอบธรรม โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุผล
3.3.4 เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะ
3.3.5 เพื่อป้องกันหรือระงับอันตรายต่อชีวิต
3.3.6 เพื่อการจัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ
3.4 ในการขอความยินยอม หรือความยินยอมโดยชัดแจ้งสำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลนั้น เราดำเนินการตามหลักต่อไปนี้
3.4.1 การขอความยินยอมต้องดำเนินการอย่างชัดแจ้งเป็นหนังสือ หรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีดังกล่าวได้ การขอความยินยอมด้วยวิธีอื่นจะต้องมีหลักฐานที่น่าเชื่อถือได้ว่าเจ้าของข้อมูลส่วนบุคคลได้แสดงเจตนาให้ความยินยอม
3.4.2 เจ้าของข้อมูลส่วนบุคคลต้องได้รับการแจ้งให้ทราบถึงวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างชัดเจน เข้าใจง่าย ไม่หลอกลวง หรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ และคำนึงอย่างที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม
3.4.3 กรณีเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรส หรือ ไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้ว ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
3.4.4 กรณีเจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ ให้ขอความยินยอมจาก ผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ หรือในกรณีเจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ
3.4.5 กรณีเจ้าของข้อมูลส่วนบุคคล หรือผู้มีอำนาจตามข้อ 3.4.3 และ 3.4.4 ต้องการถอนความยินยอมที่เคยให้ไว้ ให้ดำเนินการตามที่เจ้าของข้อมูลส่วนบุคคลขอโดยง่ายเช่นเดียวกับการให้ความยินยอม และหากการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ให้แจ้งถึงผลกระทบจากการถอนความยินยอมนั้นให้เจ้าของข้อมูลส่วนบุคคลทราบ
3.5 เราทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคลเท่านั้น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างจากวัตถุประสงค์ที่ได้แจ้งไว้จะทำไม่ได้ เว้นแต่ได้แจ้งวัตถุประสงค์ใหม่ให้เจ้าของข้อมูลส่วนบุคคลทราบโดยได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว
3.6 เราทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย และแจ้งรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบตามที่กฎหมายกำหนด
3.7 เราจะดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ เมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องเช่นนั้น หรือเจ้าของข้อมูลส่วนบุคคลทำการถอนความยินยอม เว้นแต่มีเหตุโดยชอบด้วยกฎหมายหรือกฎเกณฑ์ทางราชการที่ทำให้บริษัทฯ ต้องเก็บรักษาข้อมูลส่วนบุคคลนั้นต่อไป
3.8 เรามีการดูแลข้อมูลส่วนบุคคลอย่างปลอดภัย รวมถึงคำนึงถึงความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลและการรักษาความลับของข้อมูลส่วนบุคคล
4.1 การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทฯ จะต้องสอดคล้องกับหลักการคุ้มครองข้อมูลส่วนบุคคคลกล่าวคือ
(1) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย มีความโปร่งใส และสามารถตรวจสอบได้ (Lawfulness, Fairness and Transparency)
(2) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายใต้ขอบเขตและวัตถุประสงค์ที่บริษัทฯ กำหนด และไม่นำไปใช้หรือเปิดเผยนอกเหนือขอบเขตและวัตถุประสงค์ของการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลนั้น (Purpose Limitation)
(3) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเพียงพอ เกี่ยวข้อง และเท่าที่จำเป็นตามวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Data Minimization)
(4) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ถูกต้องและดำเนินการให้ข้อมูลเป็นปัจจุบันในกรณีที่จำเป็น (Accuracy)
(5) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามระยะเวลาเท่าที่จำเป็น (Storage Limitation) และ
(6) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม (Integrity and Confidentiality) พร้อมกับกำหนดระยะเวลาในการจัดเก็บรักษาข้อมูลส่วนบุคคลจากระยะเวลาที่ระบุไว้ในสัญญา อายุความตามกฎหมาย หรือกำหนดเวลาอื่นที่กฎหมาย มาตรฐานคุณภาพ หรือระเบียบของบริษัทฯ ที่ได้กำหนดไว้
4.2 เราเก็บรวบรวมข้อมูลส่วนบุคคลของท่านเท่าที่จำเป็น ไม่ว่าจะเป็นการให้บริการผ่านช่องทางเว็บไซต์ แอพพลิเคชั่นโทรศัพท์มือถืออันเป็นการทำธุรกรรมแบบออนไลน์ เช่น การนัดหมายพบแพทย์ การสมัครรับจดหมายข่าว หรือการขอรับความช่วยเหลือเป็นพิเศษจากเรา และรวมไปถึงการทำธุรกรรมแบบออฟไลน์ เช่นการลงทะเบียน เรายังได้รับข้อมูลส่วนบุคคลของท่านจากแบบคำขอใช้บริการ หรือขั้นตอนการยื่นคำร้องขอใช้สิทธิต่างๆ การทำแบบสอบถาม หรือการโต้ตอบทางอีเมล หรือทางข้อความสั้น (SMS) เป็นต้น นอกจากนี้ เราอาจได้รับข้อมูลส่วนบุคคลของท่านมาจากบุคคลที่สาม เช่น บุคคลในครอบครัว ญาติหรือบุคคลใกล้ชิดของท่าน รวมทั้งบริษัทฯ ในเครือของเรา ตัวแทนจำหน่าย หรือผู้ให้บริการของเรา หรือบางกรณีอาจจะได้รับจากหน่วยงานภาครัฐในกรณีที่ท่านได้ให้ความยินยอมในการเปิดเผยข้อมูลส่วนบุคคลของท่านไว้ หรือเป็นการเปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดไว้
4.3 เราจะทำการเก็บรักษาข้อมูลส่วนบุคคลตราบเท่าที่จำเป็นเพื่อวัตถุประสงค์ในการประมวลผลข้อมูลและตามกฎหมายที่เกี่ยวข้อง เมื่อพ้นระยะเวลาจัดเก็บ หรือทางบริษัทฯ ไม่มีสิทธิในการจัดเก็บหรือไม่สามารถอ้างฐานในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลแล้ว บริษัทฯ จะดำเนินการทำลายข้อมูลส่วนบุคคลนั้นด้วยวิธีการที่เหมาะสมและเป็นไปตามกฎหมายต่อไป
4.4 กรณีที่เจ้าของข้อมูลส่วนบุคคลให้ข้อมูลส่วนบุคคลอื่นที่เกี่ยวข้อง เช่น คู่สมรส สมาชิกในครอบครัว หรือเพื่อน เป็นต้น แก่บริษัทฯ ตัวอย่างเช่น อาจระบุเป็นที่อยู่ติดต่อฉุกเฉิน เจ้าของข้อมูลจะต้องรับรองและรับประกันว่าเจ้าของข้อมูลได้รับความยินยอมให้มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลดังกล่าวตามที่ระบุไว้ในนโยบายความเป็นส่วนตัวนี้
4.5 เราอาจเก็บข้อมูลส่วนบุคคลไว้ในระบบประมวลผลแบบคลาวด์ (Cloud Computing) โดยใช้บริการจากบุคคลที่สามไม่ว่าตั้งอยู่ในประเทศไทยหรือต่างประเทศ โดยเราได้เข้าทำสัญญากับบุคคลดังกล่าวด้วยความระมัดระวังและพิจารณาถึงระบบรักษาความปลอดภัยในการเก็บรักษาข้อมูลส่วนบุคคลที่ผู้ให้บริการระบบคลาวด์
5.1 การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปตามวัตถุประสงค์หรือเป็นการจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวม ทั้งนี้ บุคคล หน่วยงาน ที่เราอาจเปิดเผยข้อมูลส่วนบุคคลหรือแบ่งปันข้อมูลส่วนบุคคลของท่านไปให้ผู้ประมวลผลข้อมูลส่วนบุคคลที่จำเป็นต่อการปฏิบัติงานของเรา โดยเรากำหนดให้บุคคลภายนอกข้างต้นต้องรักษาความลับและคุ้มครองข้อมูลส่วนบุคคลของท่านตามมาตรฐานที่กฏหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด และใช้ข้อมูลส่วนบุคคลของท่านได้ตามวัตถุประสงค์ที่เราได้กำหนด หรือมีคำสั่งให้บุคคลภายนอกนั้นดำเนินการ บุคคลภายนอกจะไม่สามารถใช้ข้อมูลส่วนบุคคลของท่านนอกเหนือจากวัตถุประสงค์ดังกล่าวได้แต่อย่างใด
5.2 เราเคร่งครัดกับการกำหนดให้พนักงานเข้าถึง หรือใช้ข้อมูลส่วนบุคคลได้เท่าที่จำเป็นเพื่อการปฏิบัติงาน และตามสิทธิที่เราได้กำหนดไว้เท่านั้น หากพนักงานของบริษัทฯ มีความจำเป็นในการปฏิบัติงานที่ต้องเข้าถึงข้อมูลส่วนบุคคลเกินกว่าสิทธิที่ได้กำหนดไว้ พนักงานผู้นั้นต้องดำเนินการขออนุมัติจากผู้มีอำนาจเสียก่อนทุกกรณี
5.3 พนักงานของบริษัทฯ ต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่เก็บรวบรวมข้อมูลส่วนบุคคล หรือตามที่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอมเท่านั้น เว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ
5.4 ผู้ดูแลระบบงาน และเจ้าของระบบงานต้องอนุญาตให้พนักงานของบริษัทฯ เข้าถึงข้อมูลส่วนบุคคลได้เฉพาะพนักงานของบริษัทฯ ที่มีสิทธิตามที่กำหนด หรือได้รับการอนุมัติจากผู้มีอำนาจอนุมัติ
5.5 เราอาจเปิดเผยข้อมูลส่วนบุคคลของท่านให้หน่วยงานราชการ บุคคล หรือนิติบุคคลใด ๆ เพื่อเป็นการปฏิบัติตามกฎหมาย หรือเพื่อปฏิบัติตามคำสั่งศาล
เราจะดำเนินการดูแลและเก็บข้อมูลส่วนบุคคลให้มีความเหมาะสม ไม่ว่าจะข้อมูลส่วนบุคคลของท่านจะอยู่ในแบบเอกสาร ไฟล์ หรือระบบอิเล็กทรอนิกส์ รวมทั้งเครื่องมือต่าง ๆ ที่บริษัทฯ ใช้ เพื่อรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของท่าน โดยให้เป็นไปตามกฎหมาย ทั้งนี้ เพื่อประโยชน์ในการรักษาความลับ ความถูกต้องครบถ้วน และความพร้อมใช้งานของข้อมูลส่วนบุคคล เป็นการป้องกันการสูญหาย การเข้าถึง การใช้ เปลี่ยนแปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดย มิชอบ หรือกระทำการโดยปราศจากอำนาจโดยชอบด้วยกฎหมาย โดยบริษัทฯ ได้กำหนดและดำเนินมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามแนวทางดังต่อไปนี้
6.1 จัดให้มีมาตรการการยืนยันตัวตน (Authentication) กำหนดสิทธิ (Authorization) และการบันทึกกิจกรรม (Accounting) ในการเข้าถึง การใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคลตามมาตรการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของบริษัทฯ อย่างเคร่งครัด
6.2 ในกรณีที่เราส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ รวมถึงการนำข้อมูลส่วนบุคคลไปเก็บบนฐานข้อมูลในระบบอื่นใด ซึ่งผู้ให้บริการรับโอนข้อมูลหรือบริการเก็บข้อมูลอยู่ต่างประเทศนั้น ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอหรือเทียบเท่ามาตรการตามนโยบายนี้ เว้นแต่การนั้นจะเป็นไปตามกฎหมายหรือได้รับความยินยอมจากเจ้าของข้อมูล และเราอาจดำเนินการดังกล่าวได้หลังจากที่ได้แจ้งกับท่านถึงวัตถุประสงค์ของการดำเนินการดังกล่าว และได้รับการยินยอมจากท่านแล้ว โดยเราจะแจ้งให้ท่านทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่อาจไม่เพียงพอของประเทศปลายทางด้วย อย่างไรก็ตาม เราสามารถโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศได้โดยไม่ต้องขอความยินยอมจากท่านในกรณีที่การโอนข้อมูลส่วนบุคคลไปต่างประเทศนั้นเป็นไปเพื่อปฏิบัติตามสัญญาซึ่งท่านเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญานั้น หรือเป็นไปตามข้อกำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
6.3 ในกรณีที่มีการฝ่าฝืนมาตรการการรักษาความมั่นคงปลอดภัยของเรา จนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคลหรือข้อมูลส่วนบุคคลรั่วไหลสู่สาธารณะ บริษัทฯ จะดำเนินการแจ้งเจ้าของข้อมูลให้ทราบโดยเร็ว รวมทั้งแจ้งแผนการเยียวยาความเสียหายจากการละเมิดหรือรั่วไหลของข้อมูลส่วนบุคคลสู่สาธารณะในกรณีที่เกิดจากความบกพร่องของเรา ที่ส่งผลต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เราจะไม่รับผิดชอบในกรณีความเสียหายใดๆ อันเกิดจากการใช้หรือการเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลที่สามรวมถึงการละเลยหรือเพิกเฉยการออกจากระบบ (Log out) ที่เจ้าของข้อมูลได้เข้าไปใช้งาน โดยการกระทำของเจ้าของข้อมูลหรือบุคคลอื่นซึ่งได้รับความยินยอมจากเจ้าของข้อมูล
6.4 เรากำหนดระเบียบให้บุคลากรทุกคนถือปฏิบัติในการเข้าถึงข้อมูลส่วนบุคคลของลูกค้า คู่ค้าทางธุรกิจ กรรมการ ผู้บริหารและพนักงาน ผู้สมัครงาน นักศึกษาฝึกงานหรือฝึกประสบการณ์วิชาชีพ ตลอดจนบุคคลอื่นๆ ซึ่งมีส่วนได้ส่วนเสียหรือเกี่ยวข้อง โดยบุคลากรที่สามารถเข้าถึงข้อมูลส่วนบุคคลเหล่านั้นได้จะเป็นเพียงบุคลากรที่มีความจำเป็นต้องรับทราบ ข้อมูลเพื่อการปฏิบัติหน้าที่ของตนเท่านั้น เช่น บุคลากรที่มีหน้าที่ด้านทรัพยากรบุคคล บุคลากรที่ดูแลและบริหารสัญญาระหว่างบริษัทฯ กับคู่สัญญา เป็นต้น และการเข้าถึงข้อมูลส่วนบุคคลของบุคคลภายนอกจะสามารถทำได้ตามคำสั่ง หรือตามเท่าที่บริษัทฯ หรือกฎหมายกำหนดไว้ ซึ่งบุคคลภายนอกจะต้องมีหน้าที่ในการรักษาความลับและคุ้มครองข้อมูลส่วนบุคคล พร้อมกับได้จัดให้มีวิธีการทางเทคโนโลยีเพื่อป้องกันไม่ให้มีการเข้าสู่ระบบคอมพิวเตอร์ที่ไม่ได้รับอนุญาตอีกด้วย
6.5 เรามีการดำเนินการสอบทานและประเมินประสิทธิภาพของระบบคอมพิวเตอร์เพื่อทำการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามมาตรการที่กำหนดไว้ให้มีประสิทธิภาพอยู่เสมอ
6.6 เรามีการดำเนินงานเพื่อให้มีระบบตรวจสอบเพื่อจัดการทำลายข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นในการดำเนินการของบริษัทฯ
6.7 ในกรณีที่เป็นข้อมูลส่วนบุคคลแบบอ่อนไหว เราจะดำเนินการจัดทำมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลเอกสารและข้อมูลอิเล็กทรอนิกส์ในด้านการเข้าถึง และควบคุมการใช้งาน พร้อมกับมีระบบการใช้งานและระบบสำรองพร้อมทั้งแผนสำหรับกรณีฉุกเฉิน และมีการตรวจสอบประเมินความเสี่ยงของระบบอย่างสม่ำเสมอ
บริษัทฯ กำหนดให้บุคลากรหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลต้องให้ความสำคัญและรับผิดชอบในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ อย่างเคร่งครัด โดยกำหนดให้บุคคลหรือหน่วยงานดังต่อไปนี้ ทำหน้าที่กำกับและตรวจสอบให้การดำเนินงานของบริษัทนั้นถูกต้องและเป็นไปตามนโยบายและกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
7.1 ผู้บริหารทุกระดับ มีหน้าที่รับผิดชอบได้แก่
7.1.1 จัดให้มีระเบียบปฏิบัติและมาตรการในการจัดเก็บข้อมูลส่วนบุคคลให้เหมาะสมกับบริบทของแต่ละ บริษัทฯ โดยให้สอดคล้องกับนโยบาย แนวปฏิบัติ กฎหมาย และมาตรฐานสากล
7.1.2 จัดให้มีผู้รับผิดชอบ เช่น หน่วยงานหรือบุคลากรที่รับผิดชอบเพื่อดูแลการดำเนินงานให้เป็นไปตามระเบียบปฏิบัติ
7.1.3 ในกรณีที่บริษัทฯ ว่าจ้างบุคคลธรรมดาหรือนิติบุคคลจากภายนอก เพื่อให้ดำเนินการเกี่ยวกับข้อมูลส่วน บุคคลต้องมีระบบการคัดเลือกที่มีการวางระบบการคุ้มครองข้อมูลที่ได้มาตรฐาน
7.1.4 กำกับดูแลให้มีการปฏิบัติตามนโยบายและแนวปฏิบัติ และระเบียบปฏิบัติ ตลอดจนหาแนวทางพัฒนา ปรับปรุงเพื่อให้การนำไปปฏิบัติมีประสิทธิภาพมากขึ้นรวมทั้งมั่นใจว่ามีการรายงานผลการปฏิบัติงาน ตามนโยบายและแนวปฏิบัติและระเบียบปฏิบัติ
7.2 คณะทำงานคุ้มครองข้อมูลส่วนบุคคล (คณะทำงาน PDPA) เป็นคณะหรือกลุ่มบุคคลที่ได้รับมอบหมายให้เป็นบริหารจัดการกับข้อมูลส่วนบุคคล มีหน้าที่รับผิดชอบได้แก่
7.2.1 ดำเนินการและควบคุมการดำเนินการเกี่ยวกับการประมวลข้อมูลทั้งการแจ้งขอความยินยอม เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปตามระเบียบปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล และ กฎหมายที่กำหนด
7.2.2 ดำเนินการและควบคุมการดำเนินมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ตามที่กำหนดไว้ในระเบียบปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลรวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
7.3.3 ดำเนินการและควบคุมการลบหรือทำลายข้อมูลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวม หรือตามที่เจ้าของข้อมูลส่วนบุคคลได้ร้องขอ
7.2.4 ตรวจสอบ และควบคุม ปรับปรุงข้อมูลส่วนบุคคลให้มีความถูกต้อง ทันสมัยและเป็นปัจจุบัน
7.2.5 เมื่อพบการรั่วไหลหรือการละเมิดข้อมูลส่วนบุคคลต้องแจ้งคณะทำงานเพื่อคุ้มครองข้อมูลส่วนบุคคล ทราบทันที
7.2.6 ดำเนินการควบคุมการบันทึกข้อมูลและรายงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่รับผิดชอบ
7.2.7 ประเมินความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่ตนรับผิดชอบ บริหารจัดการและดำเนินตามมาตรการที่กำหนดเพื่อลดความเสี่ยง
7.3 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) หรือที่อาจเรียกชื่อเป็นอย่างอื่น ที่เราอาจแต่งตั้งขึ้นตามที่กฎหมายกำหนด มีหน้าที่รับผิดชอบได้แก่
7.3.1 ให้คำแนะนำในด้านต่างๆ ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่ผู้บริหาร บุคลากร และคู่ค้าของบริษัทฯ
7.3.2 ตรวจตราการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล
7.3.3 ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทฯ ลูกค้า คู่ค้าของบริษัทฯ หรือบุคคลอื่นใดที่เกี่ยวข้อง
เราได้จัดให้มีช่องทางและอำนวยความสะดวกให้แก่เจ้าของข้อมูลส่วนบุคคลหรือผู้มีอำนาจกระทำการแทนในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเปิดให้เจ้าของข้อมูลส่วนบุคคลดำเนินการตามสิทธิอันกฎหมายรับรองและคุ้มครองให้ดังต่อไปนี้
8.1 สิทธิในการเข้าถึงข้อมูลส่วนบุคคล
เจ้าของข้อมูลสามารถยื่นคำร้องขอเข้าถึงข้อมูลส่วนบุคคลหรือชี้แจงถึงการได้มาของข้อมูลส่วนบุคคลที่เจ้าของข้อมูลไม่ได้ให้ความยินยอม โดยบริษัทฯ จะจัดเตรียมหรือจัดทำสำเนาข้อมูลส่วนบุคคลและข้อมูลที่เกี่ยวข้องตามช่องทางการสื่อสารของเรา ทั้งนี้ บริษัทฯ มีสิทธิปฏิเสธคำร้องขอ หากเป็นไปตามที่กฎหมายกำหนด หรือตามคำสั่งศาลหรือการเข้าถึงข้อมูลส่วนบุคคลนั้น อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
8.2 สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
เจ้าของข้อมูลสามารถยื่นคำร้องขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้องตรงกับความเป็นจริงเป็นปัจจุบัน ครบถ้วนสมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด โดยจะต้องนำหลักฐานหรือเอกสารที่เกี่ยวข้องมาแสดง หากบริษัทฯ เห็นว่าการขอแก้ไขข้อมูลนั้นไม่มีเหตุผลเพียงพอ บริษัทฯ จะปฏิเสธคำร้องขอของเจ้าของข้อมูลและจะบันทึกเหตุผลในการปฏิเสธคำร้องขอไว้เป็นหลักฐาน
8.3 สิทธิในการลบ ทำลาย หรือทำให้ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้
เจ้าของข้อมูลสามารถยื่นคำร้องขอลบ ทำลาย หรือทำให้ไม่สามารถระบุตัวเจ้าของข้อมูลได้โดยบริษัทฯ จะดำเนินการตามคำร้องภายใต้เงื่อนไข ดังนี้
ทั้งนี้ เรามีสิทธิปฏิเสธคำร้องขอ ดังนี้
8.4 สิทธิในการเพิกถอนความยินยอม
กรณีเจ้าของข้อมูลได้ให้ความยินยอมไว้กับเรา เจ้าของข้อมูลสามารถยื่นคำร้องขอเพิกถอนความยินยอมนั้นได้ โดยบริษัทฯ จะดำเนินการตามคำร้องขอของเจ้าของข้อมูลแต่การเพิกถอนความยินยอมดังกล่าวย่อมไม่ส่งผลกระทบต่อการดำเนินการอื่นใดที่ได้กระทำก่อนที่จะมีการใช้สิทธิเพิกถอนความยินยอมนั้น ทั้งนี้ บริษัทฯ มีสิทธิปฏิเสธคำร้องขอ หากมีข้อจำกัดสิทธิในการเพิกถอนความยินยอมโดยกฎหมาย หรือ สัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล
8.5 สิทธิในการขอรับหรือโอนย้ายข้อมูลส่วนบุคคลของตนเอง
เจ้าของข้อมูลสามารถยื่นคำร้องขอรับหรือโอนย้ายข้อมูลส่วนบุคคลของตนเองไปยัง ผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ในรูปแบบอิเล็กทรอนิกส์ที่สามารถอ่านหรือใช้งานจากเครื่องมือหรืออุปกรณ์ทำงานได้โดยวิธีการอัตโนมัติ รวมทั้งมีสิทธิขอตรวจสอบการโอนย้ายข้อมูลส่วนบุคคลดังกล่าวได้ โดยมีเงื่อนไข ดังนี้
ทั้งนี้ เราจะปฏิเสธการขอรับหรือโอนย้ายข้อมูลส่วนบุคคล หากเป็นการปฏิบัติหน้าที่เพื่อประโยชน์สาธารณะ หรือเป็นการปฏิบัติหน้าที่ตามกฎหมาย หรือละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น หรือในทางเทคนิคไม่สามารถดำเนินการได้โดยบริษัทฯ จะบันทึกเหตุผลในการปฏิเสธคำร้องขอไว้เป็นหลักฐาน
8.6 สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล
เจ้าของข้อมูลสามารถยื่นคำร้องขอห้ามมิให้เราใช้ข้อมูลส่วนบุคคลได้ตามเงื่อนไข ดังนี้
8.7 สิทธิในการคัดค้าน
เจ้าของข้อมูลสามารถยื่นคำร้องขอคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ตามเงื่อนไข ดังต่อไปนี้
ในกรณีเช่นว่านี้ เราจะบันทึกเหตุผลในการปฏิเสธคำร้องขอไว้เป็นหลักฐาน ทั้งนี้ หากไม่เข้าข้อยกเว้นการปฏิเสธการคัดค้านบริษัทฯ จะไม่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อไป โดยจะแยกส่วนออกจากข้อมูลอื่นอย่างชัดเจน เมื่อเจ้าของข้อมูลได้แจ้งการคัดค้านให้เราทราบ
8.8 สิทธิการได้รับแจ้งข้อมูล
เจ้าของข้อมูลมีสิทธิจะได้รับแจ้งข้อมูล กรณีที่บริษัทฯ ได้รับข้อมูลจากเจ้าของข้อมูลโดยตรง หรือได้รับจากบุคคลที่สาม ตามช่องทางสื่อสารของบริษัทฯ
8.9 สิทธิในการร้องเรียน
เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนในกรณีที่เรา หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้าง หรือผู้รับจ้างของเราหรือของผู้ประมวลผลข้อมูลส่วนบุคคลฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แต่เราขอสงวนสิทธิในการปฏิเสธคำร้องขอในกรณีดังต่อไปนี้
(ก) กฎหมายกำหนดให้สามารถดำเนินการได้
(ข) ข้อมูลส่วนบุคคลถูกทำให้ไม่ปรากฏชื่อ หรือบอกลักษณะอันสามารถระบุตัวตนของเจ้าของข้อมูลได้
(ค) ผู้ยื่นคำร้องไม่มีหลักฐานยืนยันว่าเป็นเจ้าของข้อมูลหรือเป็นผู้มีอำนาจในการยื่นคำร้องขอ ดังกล่าว
(ง) คำร้องขอดังกล่าวไม่สมเหตุสมผล เช่น กรณีที่ผู้ร้องขอไม่มีสิทธิตามกฎหมาย หรือไม่มีข้อมูลส่วนบุคคลนั้นอยู่ที่บริษัทฯ เป็นต้น
(จ) คำร้องขอดังกล่าวเป็นคำร้องขอฟุ่มเฟือย เช่น เป็นคำร้องขอที่มีลักษณะเดียวกันหรือเนื้อหาเดียวกันซ้ำ ๆ กันโดยไม่มีเหตุอันสมควร เป็นต้น
(ฉ) บริษัทฯ อาจกำหนดค่าใช้จ่ายในการดำเนินการตามคำร้องขอใช้สิทธิตามหลักเกณฑ์ที่บริษัทฯ กำหนด
อนึ่ง เราอาจมีความจำเป็นต้องขอข้อมูลบางประการจากท่านเพื่อใช้ในการยืนยันตัวตนของท่านและรับรองสิทธิของท่านในการเข้าถึงข้อมูลส่วนบุคคล (หรือเพื่อใช้สิทธิอื่นใด) เพื่อให้เป็นไปตามมาตรการความปลอดภัยที่จะทำให้ท่านมั่นใจได้ว่าข้อมูลส่วนบุคคลของท่านจะไม่ถูกเปิดเผยต่อบุคคลที่ไม่มีสิทธิเข้าถึงข้อมูลดังกล่าว
เราจะใช้ความพยายามในการตอบกลับคำขอที่ถูกต้องตามกฎหมายทั้งหมดภายใน 30 วัน ในบางกรณี บริษัทฯ อาจใช้เวลามากกว่า 30 วันหากคำขอของท่านมีความซับซ้อน หรือท่านยื่นคำขอเข้ามาเป็นจำนวนมากกว่าหนึ่งคำขอ
เว้นแต่การขอใช้สิทธิร้องเรียนการดำเนินงานตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของเราและเป็นการร้องเรียนโดยตรงกับเรา เราขอสงวนสิทธิ์ที่จะเรียกเก็บค่าใช้จ่ายเพื่อเป็นค่าธรรมเนียมในการดำเนินการตามคำร้องขอใช้สิทธิประการอื่นจากท่าน ทั้งนี้ตามที่เหมาะสม แต่เราจะแจ้งให้ท่านทราบโดยชัดแจ้งว่าการร้องขอใช้สิทธิในฐานะเจ้าของข้อมูลส่วนบุคคลของท่านรายการใดที่อาจจะต้องชำระค่าใช้จ่ายเช่นว่านั้น
เราอาจดำเนินการปรับปรุง ทบทวน หรือแก้ไข นโยบายฉบับนี้ได้ไม่ว่าบางส่วนหรือทั้งหมด หรือเป็นครั้งคราวเพื่อให้สอดคล้องกับแนวทางการดำเนินงานของบริษัทฯ และสอดคล้องกับกฎหมาย ประกาศหรือคำสั่งของหน่วยงานราชการที่กำหนดให้ดำเนินการ
บริษัทฯ ได้กำหนดแนวทางปฏิบัติในการทำสัญญาจ้างประมวลผลข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลภายนอกที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลไว้ดังนี้
10.1 ก่อนทำการจ้างผู้ประมวลผลข้อมูล บริษัทฯ ต้องประเมินระบบและแนวทางการคุ้มครองข้อมูลส่วนบุคคลของผู้รับจ้างก่อน หากผู้รับจ้างประมวลผลไม่มีระบบการป้องกันหรือไม่เพียงพอการทำสัญญาจ้างผู้ประมวลผลต้องให้ผู้ประมวลผลปฏิบัติตามระเบียบปฏิบัติหรือประกาศที่บริษัทฯ กำหนด
10.2 ในสัญญาจ้างต้องระบุวัตถุประสงค์ วิธีการเก็บข้อมูล การแจ้งเจ้าของข้อมูล การใช้ การส่ง การโอนข้อมูล และการกำจัดหรือลบทิ้งทำลายข้อมูล
10.3 คู่สัญญาต้องลงนามในข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement - DPA) ให้เป็นไปตามที่กฎหมาย หรือที่ระเบียบของบริษัทฯ ได้กำหนดไว้
10.4 เมื่อมีการจ้างผู้ประมวลผลข้อมูลส่วนบุคคล ต้องทำการควบคุมการประมวลผลตามที่จ้างและการควบคุมการปฏิบัติให้ เป็นไปตามแนวปฏิบัติที่เกี่ยวข้องได้กำหนดไว้
10.5 เมื่อครบกำหนดการเก็บรักษาข้อมูล ต้องติดตามและควบคุมให้ผู้รับจ้างประมวลผลข้อมูลส่วนบุคคลนั้น ทำการลบทิ้งทำลายหรือทำให้ข้อมูลนั้นเป็นข้อมูลนิรนาม (Anonymized Data) ที่ ไม่สามารถระบุตัวบุคคลได้ ทั้งนี้ ตามระเบียบปฏิบัติที่บริษัทฯ กำหนด หรือที่ได้ตกลงกัน
11.1 บริษัทฯ ให้ความสำคัญกับการจัดฝึกอบรมให้ความรู้และสร้างความตระหนักเกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลให้กับผู้บริหารและบุคลากรทุกระดับ และถือเป็นหน้าที่ของผู้บังคับบัญชาทุกคนที่จะต้องกำหนดให้บุคลากรในสังกัดของตนซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคล ต้องเข้าร่วมฝึกอบรมอย่างเคร่งครัด พร้อมกับประเมินและติดตามผลเพื่อให้มั่นใจว่าบุคลากรจะสามารถปฏิบัติงานได้ครบถ้วนและถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
11.2 เรากำหนดให้พนักงานหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ต้องให้ความสำคัญและรับผิดชอบในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้อย่างเคร่งครัด โดยจะต้องปฏิบัติงานให้สอดคล้องกับนโยบาย แนวปฏิบัติ คู่มือและกฎหมายอันเกี่ยวกับการปฏิบัติงานนั้น ทั้งนี้ ความจงใจหรือประมาทเลินเล่อ ละเลยหรือละเว้นไม่สั่งการ หรือไม่ดำเนินการ หรือสั่งการหรือดำเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตนอันเป็นการฝ่าฝืนนโยบายและแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และ/หรือความเสียหายขึ้น พนักงานผู้นั้นอาจต้องรับโทษทางวินัยตามระเบียบของบริษัทฯ และต้องรับโทษทางกฎหมายตามฐานความผิด นั้น ๆ ทั้งนี้หากความผิดดังกล่าวก่อให้เกิดความเสียหายแก่บริษัทและ/หรือบุคคลอื่นใด เราอาจพิจารณาดำเนินคดีตามกฎหมายเพิ่มเติมต่อไป
นอกจากวัตถุประสงค์อันได้แจ้งกับท่านซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล และภายใต้ข้อกำหนดของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เราจะใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาด เช่น การจัดส่งเอกสารเกี่ยวกับโปรโมชั่นต่าง ๆ ทางไปรษณีย์ อีเมล และด้วยวิธีการอื่นใด รวมถึงการดำเนินการด้านการตลาดแบบตรง เพื่อเพิ่มสิทธิประโยชน์ที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากการเป็นผู้รับบริการของเรา ผ่านการแนะนำผลิตภัณฑ์ และบริการที่เกี่ยวข้อง
ท่านสามารถเลือกที่จะไม่รับการสื่อสารเพื่อวัตถุประสงค์ทางการตลาดจากเราได้ ยกเว้นการติดต่อสื่อสารที่เกี่ยวข้องกับเจ้าของข้อมูล และ/หรือบริการที่บริษัทฯ จำเป็นต้องกระทำหรือได้ให้แก่ท่าน เช่น การออกใบเสร็จรับเงิน การออกใบรับรองแพทย์ หรือเอกสารใดประกอบการให้บริการทางการแพทย์ เป็นต้น
นโยบายความเป็นส่วนตัวนี้ มีผลใช้บังคับกับข้อมูลส่วนบุคคลทั้งหมดที่บริษัทฯ เป็นผู้เก็บรวบรวม ใช้และเปิดเผยและเจ้าของข้อมูลตกลงให้บริษัทฯ มีสิทธิในการเก็บรวบรวม และนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่บริษัทฯ ได้เก็บรวบรวมไว้แล้ว (หากมี) ตลอดจนข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรวบรวมในปัจจุบัน และที่จะเก็บรวบรวมในอนาคต ไปใช้ หรือเปิดเผยแก่บุคคลอื่นภายในขอบเขตที่ระบุไว้ในนโยบายความเป็นส่วนตัวนี้
หากท่านต้องการรายงานเรื่องร้องเรียน หรือหากท่านรู้สึกว่าบริษัทฯ ไม่ตอบข้อกังวลของท่านในลักษณะที่น่าพึงพอใจ ท่านสามารถติดต่อ และ/หรือร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ตามรายละเอียดด้านล่าง
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
หมายเลขโทรศัพท์ : 0-2142-1033
อีเมล : pdpc@mdes.go.th
กรณีพบเหตุอันควรสงสัยหรือเชื่อว่ามีการละเมิดการข้อมูลส่วนบุคคล การร้องเรียน หรือการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ หรือตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือสอบถามข้อสงสัย สามารถติดต่อกับเราได้ที่
คณะทำงานคุ้มครองข้อมูลส่วนบุคคล (คณะทำงาน PDPA)
บริษัท พูราโต๊ส (ประเทศไทย) จำกัด
78/3 หมู่ 1 ถนนบางนา-ตราด ตำบลหอมศีล อำเภอบางปะกง จังหวัดฉะเชิงเทรา 24130
หมายเลขโทรศัพท์ 063 223 1344
อีเมล์ pdpath@puratos.com