นโยบายความเป็นส่วนตัว

บริษัท พูราโต๊ส (ประเทศไทย) จำกัด (ซึ่งต่อไปในประกาศนี้ เรียกว่า “บริษัทฯ” หรือ “เรา” หรือ “ของเรา”)  ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้รับบริการ บุคลากร  คู่ค้าทางธุรกิจ ผู้สมัครงาน และบุคคลอื่นที่เกี่ยวข้องของเรา   อันเป็นสิทธิขั้นพื้นฐานในความเป็นส่วนตัวของบุคคล (Privacy Right) ที่ต้องได้รับความคุ้มครองและปฏิบัติตามกฎหมาย รวมทั้งกฎเกณฑ์ที่กำหนดขึ้น ไม่ว่าท่านจะมาเยี่ยมชมเว็บไซต์ แอพพลิเคชั่น หรือมารับบริการจากเรา  โดยเราจะจัดระบบเพื่อควบคุมดูแลอย่างเข้มงวดและรัดกุม เพื่อให้ข้อมูลส่วนบุคคลของท่านได้รับการประมวลผลข้อมูลหรือการเก็บรวบรวม ใช้หรือเปิดเผยอย่างโปร่งใสและได้มาตรฐานทางหน่วยงานราชการซึ่งกำกับดูแลกำหนดไว้ 

นโยบายความเป็นส่วนตัวนี้  มีวัตถุประสงค์เพื่อแจ้งให้เจ้าของข้อมูลทราบถึงการปฏิบัติต่อข้อมูลส่วนบุคคลของท่าน เช่น การเก็บรวบรวม การใช้ การเปิดเผย รวมถึงสิทธิต่างๆ ของเจ้าของข้อมูล เป็นต้น  นโยบายนี้ ถือเป็นส่วนหนึ่งของข้อกำหนดและเงื่อนไขของการให้บริการ สำหรับการให้บริการผ่านทางเว็บไซต์ แอพพลิเคชั่น หรือการให้บริการโดยตรงกับท่านในแต่ละครั้ง นโยบายฉบับนี้ มีผลบังคับกับทุกกิจกรรมการดำเนินงานอันเกี่ยวข้องกับข้อมูลส่วนบุคคล ดังรายละเอียดต่อไปนี้

 

1. คำนิยาม

ในนโยบายความเป็นส่วนตัวฉบับนี้  คำหรือข้อความว่า

“บริษัทฯ ” หมายถึง บริษัท พูราโต๊ส (ประเทศไทย) จำกัด

“บุคคล”  หมายถึง บุคคลธรรมดา

“ข้อมูลส่วนบุคคล”  หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“ข้อมูลส่วนบุคคลแบบอ่อนไหว” (Sensitive Data) หมายความว่า ข้อมูลส่วนบุคคลที่มีความเสี่ยงอาจถูกนำไปสู่การเลือกปฏิบัติอย่างไม่เป็นธรรม ในที่นี้หมายถึง เชื้อชาติ ศาสนา พฤติกรรม ทางเพศ ประวัติอาชญากรรม ข้อมูลส่วนสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรืออื่น ตามที่กฎหมายกำหนด

“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer : DPO) หมายถึง บุคคลซึ่งบริษัทฯ ได้แต่งตั้งให้ทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาที่เป็นบุคลากร ลูกจ้าง หรือผู้สมัครงานและบุคคลที่เกี่ยวข้อง ลูกค้าหรือผู้รับบริการ คู่ค้า ผู้เข้าเยี่ยมชมเว็ปไซต์ หรือ Mobile Application ของบริษัทฯ ตลอดจนผู้บริหารของบริษัทฯ และบุคคลใดที่มีนิติสัมพันธ์เกี่ยวข้องกับบริษัทฯ  โดยต่อไปในนโยบายนี้จะเรียกย่อว่า “เจ้าของข้อมูล”  

“เว็ปไซต์”  หมายถึง เว็ปไซต์ชื่อบริษัทฯ ที่บริษัทฯ เป็นเจ้าของหรือให้บริการแล้วแต่กรณี

“แอพพลิเคชั่น” หมายถึง แอพพลิเคชั่นซึ่งบริษัทฯ ให้บริการ อนึ่งนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้ใช้บังคับกับแอพพลิเคชั่นในส่วนที่ได้มีการเปลี่ยนแปลง ปรับปรุง อัพเดท หรือเพิ่มเติมดังกล่าว จะถูกบังคับใช้ตามเงื่อนไขและข้อตกลงต่างหากจากนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้

“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บริษัทฯ ซึ่งมีอำนาจตัดสินใจเกี่ยวกับข้อมูลส่วนบุคคลนั้น ซึ่งได้รับข้อมูลส่วนบุคคลจากเจ้าของข้อมูลหรือให้บริการแก่เจ้าของข้อมูลหรือต้องทำหรือปฏิบัติตามสัญญากับเจ้าของข้อมูล ไม่ว่าจะทางตรงหรือทางอ้อมก็ตาม

“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาหรือนิติบุคคลที่ทำการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของอีกบุคคลหรืออีกนิติบุคคลหนึ่ง 

“การประมวลผลข้อมูล” หมายถึง  การดำเนินการใดๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บรวบรวมการบันทึก การจัดระบบ การเก็บรักษา การใช้ การเปิดเผย การเปลี่ยนแปลง หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน หรือการผสมเข้าด้วยกัน การลบทำลาย

 

2. วัตถุประสงค์

นโยบายความเป็นส่วนตัวนี้ จัดทำขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ซึ่งทำธุรกรรม ใช้บริการ มีส่วนได้ส่วนเสีย หรือมีส่วนเกี่ยวข้องกับเราโดยมีวัตถุประสงค์ดังต่อไปนี้

2.1 เพื่อกำหนดบทบาทหน้าที่ของหน่วยงาน ผู้บริหาร บุคลากร ซึ่งมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล

2.2 เพื่อกำหนดขั้นตอนหรือมาตรการรักษาความมั่นคงปลอดภัยหรือมาตรการอื่นใดที่เป็นการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับที่กฎหมายกำหนด

2.3 เพื่อกำหนดแนวทางในการปฏิบัติงานของบุคลากรซึ่งเกี่ยวข้องกับการประมวลผล หรือการดำเนินงานอื่นใดที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

2.4 เพื่อสร้างความเชื่อมั่นในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของลูกค้า คู่ค้าทางธุรกิจ กรรมการ ผู้บริหารและพนักงาน  ผู้สมัครงาน  นักศึกษาฝึกงานหรือฝึกประสบการณ์วิชาชีพ ตลอดจนบุคคลอื่นๆ ซึ่งมีส่วนได้ส่วนเสียหรือเกี่ยวข้องกับข้อมูลส่วนบุคคล

 

3. ข้อกำหนดทั่วไป

3.1 การคุ้มครองข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ครอบคลุมข้อมูลส่วนบุคคลของลูกค้า กรรมการ ผู้บริหารและพนักงาน ผู้สมัครงาน และบุคคลอื่นที่เกี่ยวข้อง  คู่ค้าทางธุรกิจ เช่นผู้รับเหมา ผู้รับจ้าง รวมไปถึงนักศึกษาฝึกงานหรือฝึกประสบการณ์วิชาชีพ เป็นต้น

 

3.2 เราจะกำหนดให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด มีหน้าที่ดำเนินการทบทวนนโยบายความเป็นส่วนตัวฉบับนี้อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญต่อการปฏิบัติงานตามนโยบายฉบับนี้ และการเปลี่ยนแปลงใด ๆ บริษัทฯ จะประกาศให้ทราบผ่านเว็บไซต์ของเรา

 

3.3 เราจะทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเมื่อได้รับความยินยอมหรือความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะนั้น หรือบางกรณีเป็นการขอความยินยอมภายหลังการเก็บรวบรวมข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดไว้  เว้นแต่บริษัทฯ ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ หรือมีฐานทางกฎหมายรองรับ ดังนี้

     3.3.1 เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา

     3.3.2 เป็นการปฏิบัติตามกฎหมาย

     3.3.3 เป็นการจำเป็นภายใต้ประโยชน์อันชอบธรรม โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุผล

     3.3.4 เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะ

     3.3.5 เพื่อป้องกันหรือระงับอันตรายต่อชีวิต

     3.3.6 เพื่อการจัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ

 

3.4 ในการขอความยินยอม หรือความยินยอมโดยชัดแจ้งสำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลนั้น เราดำเนินการตามหลักต่อไปนี้ 

     3.4.1 การขอความยินยอมต้องดำเนินการอย่างชัดแจ้งเป็นหนังสือ หรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีดังกล่าวได้ การขอความยินยอมด้วยวิธีอื่นจะต้องมีหลักฐานที่น่าเชื่อถือได้ว่าเจ้าของข้อมูลส่วนบุคคลได้แสดงเจตนาให้ความยินยอม

     3.4.2 เจ้าของข้อมูลส่วนบุคคลต้องได้รับการแจ้งให้ทราบถึงวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างชัดเจน เข้าใจง่าย ไม่หลอกลวง หรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ และคำนึงอย่างที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม

    3.4.3 กรณีเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรส หรือ  ไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้ว ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์

     3.4.4 กรณีเจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ ให้ขอความยินยอมจาก ผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ หรือในกรณีเจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ

     3.4.5 กรณีเจ้าของข้อมูลส่วนบุคคล หรือผู้มีอำนาจตามข้อ 3.4.3 และ 3.4.4 ต้องการถอนความยินยอมที่เคยให้ไว้ ให้ดำเนินการตามที่เจ้าของข้อมูลส่วนบุคคลขอโดยง่ายเช่นเดียวกับการให้ความยินยอม และหากการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ให้แจ้งถึงผลกระทบจากการถอนความยินยอมนั้นให้เจ้าของข้อมูลส่วนบุคคลทราบ

 

3.5 เราทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคลเท่านั้น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างจากวัตถุประสงค์ที่ได้แจ้งไว้จะทำไม่ได้ เว้นแต่ได้แจ้งวัตถุประสงค์ใหม่ให้เจ้าของข้อมูลส่วนบุคคลทราบโดยได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว

 

3.6 เราทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย และแจ้งรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบตามที่กฎหมายกำหนด

 

3.7 เราจะดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ เมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องเช่นนั้น หรือเจ้าของข้อมูลส่วนบุคคลทำการถอนความยินยอม เว้นแต่มีเหตุโดยชอบด้วยกฎหมายหรือกฎเกณฑ์ทางราชการที่ทำให้บริษัทฯ ต้องเก็บรักษาข้อมูลส่วนบุคคลนั้นต่อไป

 

3.8 เรามีการดูแลข้อมูลส่วนบุคคลอย่างปลอดภัย รวมถึงคำนึงถึงความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลและการรักษาความลับของข้อมูลส่วนบุคคล

 

4. นโยบายด้านการเก็บรวบรวมข้อมูลส่วนบุคคล

4.1 การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทฯ  จะต้องสอดคล้องกับหลักการคุ้มครองข้อมูลส่วนบุคคคลกล่าวคือ

          (1)  เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย มีความโปร่งใส และสามารถตรวจสอบได้ (Lawfulness, Fairness and Transparency)

          (2) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายใต้ขอบเขตและวัตถุประสงค์ที่บริษัทฯ กำหนด และไม่นำไปใช้หรือเปิดเผยนอกเหนือขอบเขตและวัตถุประสงค์ของการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลนั้น (Purpose Limitation)

          (3) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเพียงพอ เกี่ยวข้อง และเท่าที่จำเป็นตามวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Data Minimization)

          (4) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ถูกต้องและดำเนินการให้ข้อมูลเป็นปัจจุบันในกรณีที่จำเป็น (Accuracy)

          (5) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามระยะเวลาเท่าที่จำเป็น (Storage Limitation) และ

          (6) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม (Integrity and Confidentiality)  พร้อมกับกำหนดระยะเวลาในการจัดเก็บรักษาข้อมูลส่วนบุคคลจากระยะเวลาที่ระบุไว้ในสัญญา อายุความตามกฎหมาย หรือกำหนดเวลาอื่นที่กฎหมาย มาตรฐานคุณภาพ หรือระเบียบของบริษัทฯ ที่ได้กำหนดไว้

 

4.2 เราเก็บรวบรวมข้อมูลส่วนบุคคลของท่านเท่าที่จำเป็น ไม่ว่าจะเป็นการให้บริการผ่านช่องทางเว็บไซต์ แอพพลิเคชั่นโทรศัพท์มือถืออันเป็นการทำธุรกรรมแบบออนไลน์ เช่น การนัดหมายพบแพทย์ การสมัครรับจดหมายข่าว หรือการขอรับความช่วยเหลือเป็นพิเศษจากเรา และรวมไปถึงการทำธุรกรรมแบบออฟไลน์ เช่นการลงทะเบียน เรายังได้รับข้อมูลส่วนบุคคลของท่านจากแบบคำขอใช้บริการ หรือขั้นตอนการยื่นคำร้องขอใช้สิทธิต่างๆ การทำแบบสอบถาม หรือการโต้ตอบทางอีเมล หรือทางข้อความสั้น (SMS) เป็นต้น  นอกจากนี้ เราอาจได้รับข้อมูลส่วนบุคคลของท่านมาจากบุคคลที่สาม เช่น บุคคลในครอบครัว ญาติหรือบุคคลใกล้ชิดของท่าน รวมทั้งบริษัทฯ ในเครือของเรา ตัวแทนจำหน่าย หรือผู้ให้บริการของเรา หรือบางกรณีอาจจะได้รับจากหน่วยงานภาครัฐในกรณีที่ท่านได้ให้ความยินยอมในการเปิดเผยข้อมูลส่วนบุคคลของท่านไว้ หรือเป็นการเปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดไว้

 

4.3 เราจะทำการเก็บรักษาข้อมูลส่วนบุคคลตราบเท่าที่จำเป็นเพื่อวัตถุประสงค์ในการประมวลผลข้อมูลและตามกฎหมายที่เกี่ยวข้อง เมื่อพ้นระยะเวลาจัดเก็บ หรือทางบริษัทฯ ไม่มีสิทธิในการจัดเก็บหรือไม่สามารถอ้างฐานในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลแล้ว บริษัทฯ  จะดำเนินการทำลายข้อมูลส่วนบุคคลนั้นด้วยวิธีการที่เหมาะสมและเป็นไปตามกฎหมายต่อไป 

 

4.4 กรณีที่เจ้าของข้อมูลส่วนบุคคลให้ข้อมูลส่วนบุคคลอื่นที่เกี่ยวข้อง เช่น คู่สมรส สมาชิกในครอบครัว หรือเพื่อน เป็นต้น แก่บริษัทฯ  ตัวอย่างเช่น อาจระบุเป็นที่อยู่ติดต่อฉุกเฉิน เจ้าของข้อมูลจะต้องรับรองและรับประกันว่าเจ้าของข้อมูลได้รับความยินยอมให้มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลดังกล่าวตามที่ระบุไว้ในนโยบายความเป็นส่วนตัวนี้

 

4.5  เราอาจเก็บข้อมูลส่วนบุคคลไว้ในระบบประมวลผลแบบคลาวด์ (Cloud Computing) โดยใช้บริการจากบุคคลที่สามไม่ว่าตั้งอยู่ในประเทศไทยหรือต่างประเทศ โดยเราได้เข้าทำสัญญากับบุคคลดังกล่าวด้วยความระมัดระวังและพิจารณาถึงระบบรักษาความปลอดภัยในการเก็บรักษาข้อมูลส่วนบุคคลที่ผู้ให้บริการระบบคลาวด์

 

5. นโยบายด้านการใช้หรือการเปิดเผยข้อมูลส่วนบุคคล

5.1 การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปตามวัตถุประสงค์หรือเป็นการจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวม ทั้งนี้ บุคคล หน่วยงาน ที่เราอาจเปิดเผยข้อมูลส่วนบุคคลหรือแบ่งปันข้อมูลส่วนบุคคลของท่านไปให้ผู้ประมวลผลข้อมูลส่วนบุคคลที่จำเป็นต่อการปฏิบัติงานของเรา โดยเรากำหนดให้บุคคลภายนอกข้างต้นต้องรักษาความลับและคุ้มครองข้อมูลส่วนบุคคลของท่านตามมาตรฐานที่กฏหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด และใช้ข้อมูลส่วนบุคคลของท่านได้ตามวัตถุประสงค์ที่เราได้กำหนด หรือมีคำสั่งให้บุคคลภายนอกนั้นดำเนินการ บุคคลภายนอกจะไม่สามารถใช้ข้อมูลส่วนบุคคลของท่านนอกเหนือจากวัตถุประสงค์ดังกล่าวได้แต่อย่างใด

 

5.2 เราเคร่งครัดกับการกำหนดให้พนักงานเข้าถึง หรือใช้ข้อมูลส่วนบุคคลได้เท่าที่จำเป็นเพื่อการปฏิบัติงาน และตามสิทธิที่เราได้กำหนดไว้เท่านั้น  หากพนักงานของบริษัทฯ มีความจำเป็นในการปฏิบัติงานที่ต้องเข้าถึงข้อมูลส่วนบุคคลเกินกว่าสิทธิที่ได้กำหนดไว้ พนักงานผู้นั้นต้องดำเนินการขออนุมัติจากผู้มีอำนาจเสียก่อนทุกกรณี

 

5.3 พนักงานของบริษัทฯ ต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่เก็บรวบรวมข้อมูลส่วนบุคคล หรือตามที่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอมเท่านั้น เว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ

 

5.4 ผู้ดูแลระบบงาน และเจ้าของระบบงานต้องอนุญาตให้พนักงานของบริษัทฯ เข้าถึงข้อมูลส่วนบุคคลได้เฉพาะพนักงานของบริษัทฯ ที่มีสิทธิตามที่กำหนด หรือได้รับการอนุมัติจากผู้มีอำนาจอนุมัติ

 

5.5  เราอาจเปิดเผยข้อมูลส่วนบุคคลของท่านให้หน่วยงานราชการ บุคคล หรือนิติบุคคลใด ๆ เพื่อเป็นการปฏิบัติตามกฎหมาย หรือเพื่อปฏิบัติตามคำสั่งศาล

 

6. นโยบายด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

เราจะดำเนินการดูแลและเก็บข้อมูลส่วนบุคคลให้มีความเหมาะสม ไม่ว่าจะข้อมูลส่วนบุคคลของท่านจะอยู่ในแบบเอกสาร ไฟล์ หรือระบบอิเล็กทรอนิกส์ รวมทั้งเครื่องมือต่าง ๆ ที่บริษัทฯ ใช้ เพื่อรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของท่าน โดยให้เป็นไปตามกฎหมาย ทั้งนี้  เพื่อประโยชน์ในการรักษาความลับ ความถูกต้องครบถ้วน และความพร้อมใช้งานของข้อมูลส่วนบุคคล เป็นการป้องกันการสูญหาย การเข้าถึง การใช้ เปลี่ยนแปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดย มิชอบ หรือกระทำการโดยปราศจากอำนาจโดยชอบด้วยกฎหมาย  โดยบริษัทฯ ได้กำหนดและดำเนินมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามแนวทางดังต่อไปนี้

 

6.1 จัดให้มีมาตรการการยืนยันตัวตน (Authentication) กำหนดสิทธิ (Authorization) และการบันทึกกิจกรรม (Accounting) ในการเข้าถึง การใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคลตามมาตรการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของบริษัทฯ อย่างเคร่งครัด

 

6.2  ในกรณีที่เราส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ รวมถึงการนำข้อมูลส่วนบุคคลไปเก็บบนฐานข้อมูลในระบบอื่นใด ซึ่งผู้ให้บริการรับโอนข้อมูลหรือบริการเก็บข้อมูลอยู่ต่างประเทศนั้น ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอหรือเทียบเท่ามาตรการตามนโยบายนี้ เว้นแต่การนั้นจะเป็นไปตามกฎหมายหรือได้รับความยินยอมจากเจ้าของข้อมูล และเราอาจดำเนินการดังกล่าวได้หลังจากที่ได้แจ้งกับท่านถึงวัตถุประสงค์ของการดำเนินการดังกล่าว และได้รับการยินยอมจากท่านแล้ว โดยเราจะแจ้งให้ท่านทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่อาจไม่เพียงพอของประเทศปลายทางด้วย  อย่างไรก็ตาม เราสามารถโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศได้โดยไม่ต้องขอความยินยอมจากท่านในกรณีที่การโอนข้อมูลส่วนบุคคลไปต่างประเทศนั้นเป็นไปเพื่อปฏิบัติตามสัญญาซึ่งท่านเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญานั้น หรือเป็นไปตามข้อกำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

 

6.3  ในกรณีที่มีการฝ่าฝืนมาตรการการรักษาความมั่นคงปลอดภัยของเรา จนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคลหรือข้อมูลส่วนบุคคลรั่วไหลสู่สาธารณะ บริษัทฯ จะดำเนินการแจ้งเจ้าของข้อมูลให้ทราบโดยเร็ว รวมทั้งแจ้งแผนการเยียวยาความเสียหายจากการละเมิดหรือรั่วไหลของข้อมูลส่วนบุคคลสู่สาธารณะในกรณีที่เกิดจากความบกพร่องของเรา ที่ส่งผลต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เราจะไม่รับผิดชอบในกรณีความเสียหายใดๆ อันเกิดจากการใช้หรือการเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลที่สามรวมถึงการละเลยหรือเพิกเฉยการออกจากระบบ (Log out) ที่เจ้าของข้อมูลได้เข้าไปใช้งาน โดยการกระทำของเจ้าของข้อมูลหรือบุคคลอื่นซึ่งได้รับความยินยอมจากเจ้าของข้อมูล

 

6.4  เรากำหนดระเบียบให้บุคลากรทุกคนถือปฏิบัติในการเข้าถึงข้อมูลส่วนบุคคลของลูกค้า คู่ค้าทางธุรกิจ กรรมการ ผู้บริหารและพนักงาน  ผู้สมัครงาน  นักศึกษาฝึกงานหรือฝึกประสบการณ์วิชาชีพ ตลอดจนบุคคลอื่นๆ ซึ่งมีส่วนได้ส่วนเสียหรือเกี่ยวข้อง โดยบุคลากรที่สามารถเข้าถึงข้อมูลส่วนบุคคลเหล่านั้นได้จะเป็นเพียงบุคลากรที่มีความจำเป็นต้องรับทราบ ข้อมูลเพื่อการปฏิบัติหน้าที่ของตนเท่านั้น เช่น บุคลากรที่มีหน้าที่ด้านทรัพยากรบุคคล บุคลากรที่ดูแลและบริหารสัญญาระหว่างบริษัทฯ กับคู่สัญญา เป็นต้น  และการเข้าถึงข้อมูลส่วนบุคคลของบุคคลภายนอกจะสามารถทำได้ตามคำสั่ง หรือตามเท่าที่บริษัทฯ หรือกฎหมายกำหนดไว้ ซึ่งบุคคลภายนอกจะต้องมีหน้าที่ในการรักษาความลับและคุ้มครองข้อมูลส่วนบุคคล  พร้อมกับได้จัดให้มีวิธีการทางเทคโนโลยีเพื่อป้องกันไม่ให้มีการเข้าสู่ระบบคอมพิวเตอร์ที่ไม่ได้รับอนุญาตอีกด้วย

 

6.5  เรามีการดำเนินการสอบทานและประเมินประสิทธิภาพของระบบคอมพิวเตอร์เพื่อทำการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามมาตรการที่กำหนดไว้ให้มีประสิทธิภาพอยู่เสมอ

 

6.6  เรามีการดำเนินงานเพื่อให้มีระบบตรวจสอบเพื่อจัดการทำลายข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นในการดำเนินการของบริษัทฯ

 

6.7  ในกรณีที่เป็นข้อมูลส่วนบุคคลแบบอ่อนไหว เราจะดำเนินการจัดทำมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลเอกสารและข้อมูลอิเล็กทรอนิกส์ในด้านการเข้าถึง และควบคุมการใช้งาน  พร้อมกับมีระบบการใช้งานและระบบสำรองพร้อมทั้งแผนสำหรับกรณีฉุกเฉิน และมีการตรวจสอบประเมินความเสี่ยงของระบบอย่างสม่ำเสมอ

 

7. บทบาทหน้าที่และความรับผิดชอบ

บริษัทฯ กำหนดให้บุคลากรหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลต้องให้ความสำคัญและรับผิดชอบในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ อย่างเคร่งครัด โดยกำหนดให้บุคคลหรือหน่วยงานดังต่อไปนี้ ทำหน้าที่กำกับและตรวจสอบให้การดำเนินงานของบริษัทนั้นถูกต้องและเป็นไปตามนโยบายและกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

 

7.1 ผู้บริหารทุกระดับ  มีหน้าที่รับผิดชอบได้แก่

     7.1.1 จัดให้มีระเบียบปฏิบัติและมาตรการในการจัดเก็บข้อมูลส่วนบุคคลให้เหมาะสมกับบริบทของแต่ละ บริษัทฯ โดยให้สอดคล้องกับนโยบาย แนวปฏิบัติ กฎหมาย และมาตรฐานสากล

     7.1.2 จัดให้มีผู้รับผิดชอบ เช่น หน่วยงานหรือบุคลากรที่รับผิดชอบเพื่อดูแลการดำเนินงานให้เป็นไปตามระเบียบปฏิบัติ

     7.1.3 ในกรณีที่บริษัทฯ ว่าจ้างบุคคลธรรมดาหรือนิติบุคคลจากภายนอก เพื่อให้ดำเนินการเกี่ยวกับข้อมูลส่วน บุคคลต้องมีระบบการคัดเลือกที่มีการวางระบบการคุ้มครองข้อมูลที่ได้มาตรฐาน

     7.1.4 กำกับดูแลให้มีการปฏิบัติตามนโยบายและแนวปฏิบัติ และระเบียบปฏิบัติ ตลอดจนหาแนวทางพัฒนา ปรับปรุงเพื่อให้การนำไปปฏิบัติมีประสิทธิภาพมากขึ้นรวมทั้งมั่นใจว่ามีการรายงานผลการปฏิบัติงาน ตามนโยบายและแนวปฏิบัติและระเบียบปฏิบัติ

 

7.2 คณะทำงานคุ้มครองข้อมูลส่วนบุคคล (คณะทำงาน PDPA)  เป็นคณะหรือกลุ่มบุคคลที่ได้รับมอบหมายให้เป็นบริหารจัดการกับข้อมูลส่วนบุคคล มีหน้าที่รับผิดชอบได้แก่

     7.2.1  ดำเนินการและควบคุมการดำเนินการเกี่ยวกับการประมวลข้อมูลทั้งการแจ้งขอความยินยอม เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปตามระเบียบปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล และ กฎหมายที่กำหนด

     7.2.2  ดำเนินการและควบคุมการดำเนินมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ตามที่กำหนดไว้ในระเบียบปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลรวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น

     7.3.3  ดำเนินการและควบคุมการลบหรือทำลายข้อมูลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวม หรือตามที่เจ้าของข้อมูลส่วนบุคคลได้ร้องขอ

     7.2.4  ตรวจสอบ และควบคุม ปรับปรุงข้อมูลส่วนบุคคลให้มีความถูกต้อง ทันสมัยและเป็นปัจจุบัน

     7.2.5 เมื่อพบการรั่วไหลหรือการละเมิดข้อมูลส่วนบุคคลต้องแจ้งคณะทำงานเพื่อคุ้มครองข้อมูลส่วนบุคคล ทราบทันที

     7.2.6 ดำเนินการควบคุมการบันทึกข้อมูลและรายงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่รับผิดชอบ

     7.2.7 ประเมินความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่ตนรับผิดชอบ บริหารจัดการและดำเนินตามมาตรการที่กำหนดเพื่อลดความเสี่ยง

 

7.3  เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) หรือที่อาจเรียกชื่อเป็นอย่างอื่น ที่เราอาจแต่งตั้งขึ้นตามที่กฎหมายกำหนด มีหน้าที่รับผิดชอบได้แก่

     7.3.1 ให้คำแนะนำในด้านต่างๆ ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่ผู้บริหาร บุคลากร และคู่ค้าของบริษัทฯ

     7.3.2 ตรวจตราการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล

     7.3.3 ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทฯ ลูกค้า คู่ค้าของบริษัทฯ หรือบุคคลอื่นใดที่เกี่ยวข้อง 

 

8. สิทธิของเจ้าของข้อมูลส่วนบุคคล

เราได้จัดให้มีช่องทางและอำนวยความสะดวกให้แก่เจ้าของข้อมูลส่วนบุคคลหรือผู้มีอำนาจกระทำการแทนในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเปิดให้เจ้าของข้อมูลส่วนบุคคลดำเนินการตามสิทธิอันกฎหมายรับรองและคุ้มครองให้ดังต่อไปนี้

 

8.1 สิทธิในการเข้าถึงข้อมูลส่วนบุคคล

เจ้าของข้อมูลสามารถยื่นคำร้องขอเข้าถึงข้อมูลส่วนบุคคลหรือชี้แจงถึงการได้มาของข้อมูลส่วนบุคคลที่เจ้าของข้อมูลไม่ได้ให้ความยินยอม โดยบริษัทฯ จะจัดเตรียมหรือจัดทำสำเนาข้อมูลส่วนบุคคลและข้อมูลที่เกี่ยวข้องตามช่องทางการสื่อสารของเรา ทั้งนี้ บริษัทฯ มีสิทธิปฏิเสธคำร้องขอ หากเป็นไปตามที่กฎหมายกำหนด หรือตามคำสั่งศาลหรือการเข้าถึงข้อมูลส่วนบุคคลนั้น อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น

 

8.2 สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง

เจ้าของข้อมูลสามารถยื่นคำร้องขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้องตรงกับความเป็นจริงเป็นปัจจุบัน ครบถ้วนสมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด โดยจะต้องนำหลักฐานหรือเอกสารที่เกี่ยวข้องมาแสดง หากบริษัทฯ เห็นว่าการขอแก้ไขข้อมูลนั้นไม่มีเหตุผลเพียงพอ บริษัทฯ จะปฏิเสธคำร้องขอของเจ้าของข้อมูลและจะบันทึกเหตุผลในการปฏิเสธคำร้องขอไว้เป็นหลักฐาน

 

8.3  สิทธิในการลบ ทำลาย หรือทำให้ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้

เจ้าของข้อมูลสามารถยื่นคำร้องขอลบ ทำลาย หรือทำให้ไม่สามารถระบุตัวเจ้าของข้อมูลได้โดยบริษัทฯ จะดำเนินการตามคำร้องภายใต้เงื่อนไข ดังนี้

  • เมื่อหมดความจำเป็นในการเก็บรักษาข้อมูลส่วนบุคคลตามวัตถุประสงค์
  • เจ้าของข้อมูลเพิกถอนความยินยอม และบริษัทฯ ไม่มีอำนาจตามกฎหมายในการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • เจ้าของข้อมูลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการปฏิบัติภารกิจของรัฐและเพื่อประโยชน์อันชอบธรรม และบริษัทฯ ไม่สามารถคัดค้านได้
  • ข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ชอบด้วยกฎหมาย

ทั้งนี้ เรามีสิทธิปฏิเสธคำร้องขอ ดังนี้

  • การเก็บรักษาไว้เพื่อความจำเป็นในการใช้เสรีภาพในการแสดงความคิดเห็น
  • การเก็บรักษาไว้เพื่อวัตถุประสงค์ในการจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ ฯลฯ
  • การเก็บรักษาไว้เพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัทฯ  หรือปฏิบัติตามอำนาจรัฐที่บริษัทฯ ได้รับมอบหมาย
  • การเก็บรักษาข้อมูลที่มีความจำเป็นในการปฏิบัติหน้าที่ตามกฎหมาย เพื่อวัตถุประสงค์ด้านเวชศาสตร์ป้องกัน อาชีวเวชศาสตร์ ประโยชน์ด้านการสาธารณสุขและอื่น ๆ ตามที่กฎหมายกำหนด
  • การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือการปฏิบัติตามกฎหมาย

 

8.4 สิทธิในการเพิกถอนความยินยอม

กรณีเจ้าของข้อมูลได้ให้ความยินยอมไว้กับเรา  เจ้าของข้อมูลสามารถยื่นคำร้องขอเพิกถอนความยินยอมนั้นได้ โดยบริษัทฯ จะดำเนินการตามคำร้องขอของเจ้าของข้อมูลแต่การเพิกถอนความยินยอมดังกล่าวย่อมไม่ส่งผลกระทบต่อการดำเนินการอื่นใดที่ได้กระทำก่อนที่จะมีการใช้สิทธิเพิกถอนความยินยอมนั้น ทั้งนี้ บริษัทฯ มีสิทธิปฏิเสธคำร้องขอ  หากมีข้อจำกัดสิทธิในการเพิกถอนความยินยอมโดยกฎหมาย หรือ สัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล

 

8.5  สิทธิในการขอรับหรือโอนย้ายข้อมูลส่วนบุคคลของตนเอง

เจ้าของข้อมูลสามารถยื่นคำร้องขอรับหรือโอนย้ายข้อมูลส่วนบุคคลของตนเองไปยัง ผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ในรูปแบบอิเล็กทรอนิกส์ที่สามารถอ่านหรือใช้งานจากเครื่องมือหรืออุปกรณ์ทำงานได้โดยวิธีการอัตโนมัติ รวมทั้งมีสิทธิขอตรวจสอบการโอนย้ายข้อมูลส่วนบุคคลดังกล่าวได้ โดยมีเงื่อนไข ดังนี้

  • ต้องเป็นข้อมูลส่วนบุคคลที่เจ้าของข้อมูลได้ให้ความยินยอมในการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อความจำเป็นต่อการให้บริการ หรือตามสัญญาระหว่างเจ้าของข้อมูลและบริษัทฯ 

 ทั้งนี้ เราจะปฏิเสธการขอรับหรือโอนย้ายข้อมูลส่วนบุคคล หากเป็นการปฏิบัติหน้าที่เพื่อประโยชน์สาธารณะ หรือเป็นการปฏิบัติหน้าที่ตามกฎหมาย หรือละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น หรือในทางเทคนิคไม่สามารถดำเนินการได้โดยบริษัทฯ จะบันทึกเหตุผลในการปฏิเสธคำร้องขอไว้เป็นหลักฐาน

 

8.6  สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล

เจ้าของข้อมูลสามารถยื่นคำร้องขอห้ามมิให้เราใช้ข้อมูลส่วนบุคคลได้ตามเงื่อนไข ดังนี้

  • บริษัทฯ อยู่ระหว่างดำเนินการ หากตรวจสอบได้ว่าข้อมูลนั้นถูกต้องครบถ้วนสมบูรณ์แล้ว บริษัทฯ สามารถปฏิเสธคำร้องขอดังกล่าวได้
  • เมื่อเป็นข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายและเจ้าของข้อมูลไม่ได้ใช้สิทธิขอให้ลบ ทำลาย หรือทำให้ไม่สามารถระบุตัวเจ้าของข้อมูลได้ แต่เจ้าของข้อมูลให้ระงับการใช้แทน ทั้งนี้เราจะปฏิเสธคำร้องขอดังกล่าว หากสามารถอ้างหลักฐานทางกฎหมายอื่นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • เมื่อไม่มีความจำเป็นต้องเก็บรักษาข้อมูลส่วนบุคคลนั้น แต่เจ้าของข้อมูลขอให้เก็บรักษาไว้ เพื่อการก่อตั้งสิทธิตามกฎหมาย การปฏิบัติตามหรือใช้สิทธิเรียกร้องตามกฎหมายหรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
  • บริษัทฯ อยู่ระหว่างการพิสูจน์เพื่อปฏิเสธการคัดค้านของเจ้าของข้อมูลตามสิทธิ

 

8.7 สิทธิในการคัดค้าน

เจ้าของข้อมูลสามารถยื่นคำร้องขอคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ตามเงื่อนไข ดังต่อไปนี้

  • เพื่อการปฏิบัติภารกิจของรัฐและเพื่อประโยชน์อันชอบธรรม ทั้งนี้ บริษัทฯ จะปฏิเสธการคัดค้าน หากพิสูจน์ได้ว่ามีเหตุอันชอบด้วยกฎหมายที่สำคัญกว่าหรือเพื่อการก่อตั้งสิทธิตามกฎหมาย การปฏิบัติตามหรือใช้สิทธิเรียกร้องตามกฎหมายหรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
  • เพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ ทั้งนี้ เราจะปฏิเสธการคัดค้าน หากมีความจำเป็นในการดำเนินตามภารกิจ เพื่อประโยชน์สาธารณะของเรา  

ในกรณีเช่นว่านี้  เราจะบันทึกเหตุผลในการปฏิเสธคำร้องขอไว้เป็นหลักฐาน ทั้งนี้ หากไม่เข้าข้อยกเว้นการปฏิเสธการคัดค้านบริษัทฯ จะไม่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อไป โดยจะแยกส่วนออกจากข้อมูลอื่นอย่างชัดเจน เมื่อเจ้าของข้อมูลได้แจ้งการคัดค้านให้เราทราบ

 

8.8  สิทธิการได้รับแจ้งข้อมูล

เจ้าของข้อมูลมีสิทธิจะได้รับแจ้งข้อมูล กรณีที่บริษัทฯ ได้รับข้อมูลจากเจ้าของข้อมูลโดยตรง หรือได้รับจากบุคคลที่สาม ตามช่องทางสื่อสารของบริษัทฯ

 

8.9  สิทธิในการร้องเรียน

เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนในกรณีที่เรา หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้าง หรือผู้รับจ้างของเราหรือของผู้ประมวลผลข้อมูลส่วนบุคคลฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  แต่เราขอสงวนสิทธิในการปฏิเสธคำร้องขอในกรณีดังต่อไปนี้

(ก) กฎหมายกำหนดให้สามารถดำเนินการได้

(ข) ข้อมูลส่วนบุคคลถูกทำให้ไม่ปรากฏชื่อ หรือบอกลักษณะอันสามารถระบุตัวตนของเจ้าของข้อมูลได้

(ค) ผู้ยื่นคำร้องไม่มีหลักฐานยืนยันว่าเป็นเจ้าของข้อมูลหรือเป็นผู้มีอำนาจในการยื่นคำร้องขอ ดังกล่าว

(ง) คำร้องขอดังกล่าวไม่สมเหตุสมผล เช่น กรณีที่ผู้ร้องขอไม่มีสิทธิตามกฎหมาย หรือไม่มีข้อมูลส่วนบุคคลนั้นอยู่ที่บริษัทฯ  เป็นต้น

(จ)  คำร้องขอดังกล่าวเป็นคำร้องขอฟุ่มเฟือย เช่น เป็นคำร้องขอที่มีลักษณะเดียวกันหรือเนื้อหาเดียวกันซ้ำ ๆ กันโดยไม่มีเหตุอันสมควร เป็นต้น

(ฉ)  บริษัทฯ อาจกำหนดค่าใช้จ่ายในการดำเนินการตามคำร้องขอใช้สิทธิตามหลักเกณฑ์ที่บริษัทฯ กำหนด

อนึ่ง  เราอาจมีความจำเป็นต้องขอข้อมูลบางประการจากท่านเพื่อใช้ในการยืนยันตัวตนของท่านและรับรองสิทธิของท่านในการเข้าถึงข้อมูลส่วนบุคคล (หรือเพื่อใช้สิทธิอื่นใด) เพื่อให้เป็นไปตามมาตรการความปลอดภัยที่จะทำให้ท่านมั่นใจได้ว่าข้อมูลส่วนบุคคลของท่านจะไม่ถูกเปิดเผยต่อบุคคลที่ไม่มีสิทธิเข้าถึงข้อมูลดังกล่าว

เราจะใช้ความพยายามในการตอบกลับคำขอที่ถูกต้องตามกฎหมายทั้งหมดภายใน 30 วัน ในบางกรณี บริษัทฯ อาจใช้เวลามากกว่า 30 วันหากคำขอของท่านมีความซับซ้อน หรือท่านยื่นคำขอเข้ามาเป็นจำนวนมากกว่าหนึ่งคำขอ

เว้นแต่การขอใช้สิทธิร้องเรียนการดำเนินงานตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของเราและเป็นการร้องเรียนโดยตรงกับเรา  เราขอสงวนสิทธิ์ที่จะเรียกเก็บค่าใช้จ่ายเพื่อเป็นค่าธรรมเนียมในการดำเนินการตามคำร้องขอใช้สิทธิประการอื่นจากท่าน  ทั้งนี้ตามที่เหมาะสม แต่เราจะแจ้งให้ท่านทราบโดยชัดแจ้งว่าการร้องขอใช้สิทธิในฐานะเจ้าของข้อมูลส่วนบุคคลของท่านรายการใดที่อาจจะต้องชำระค่าใช้จ่ายเช่นว่านั้น 

 

9. การปรับปรุง ทบทวน หรือแก้ไข นโยบายความเป็นส่วนตัว

เราอาจดำเนินการปรับปรุง ทบทวน หรือแก้ไข นโยบายฉบับนี้ได้ไม่ว่าบางส่วนหรือทั้งหมด หรือเป็นครั้งคราวเพื่อให้สอดคล้องกับแนวทางการดำเนินงานของบริษัทฯ และสอดคล้องกับกฎหมาย ประกาศหรือคำสั่งของหน่วยงานราชการที่กำหนดให้ดำเนินการ

 

10. นโยบายด้านการจ้างผู้ประมวลผลข้อมูลส่วนบุคคล

บริษัทฯ ได้กำหนดแนวทางปฏิบัติในการทำสัญญาจ้างประมวลผลข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลภายนอกที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลไว้ดังนี้

 

10.1 ก่อนทำการจ้างผู้ประมวลผลข้อมูล บริษัทฯ ต้องประเมินระบบและแนวทางการคุ้มครองข้อมูลส่วนบุคคลของผู้รับจ้างก่อน หากผู้รับจ้างประมวลผลไม่มีระบบการป้องกันหรือไม่เพียงพอการทำสัญญาจ้างผู้ประมวลผลต้องให้ผู้ประมวลผลปฏิบัติตามระเบียบปฏิบัติหรือประกาศที่บริษัทฯ กำหนด

 

10.2 ในสัญญาจ้างต้องระบุวัตถุประสงค์ วิธีการเก็บข้อมูล การแจ้งเจ้าของข้อมูล การใช้ การส่ง การโอนข้อมูล และการกำจัดหรือลบทิ้งทำลายข้อมูล

 

10.3 คู่สัญญาต้องลงนามในข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement - DPA) ให้เป็นไปตามที่กฎหมาย หรือที่ระเบียบของบริษัทฯ ได้กำหนดไว้ 

 

10.4 เมื่อมีการจ้างผู้ประมวลผลข้อมูลส่วนบุคคล ต้องทำการควบคุมการประมวลผลตามที่จ้างและการควบคุมการปฏิบัติให้ เป็นไปตามแนวปฏิบัติที่เกี่ยวข้องได้กำหนดไว้

 

10.5  เมื่อครบกำหนดการเก็บรักษาข้อมูล ต้องติดตามและควบคุมให้ผู้รับจ้างประมวลผลข้อมูลส่วนบุคคลนั้น ทำการลบทิ้งทำลายหรือทำให้ข้อมูลนั้นเป็นข้อมูลนิรนาม (Anonymized Data) ที่ ไม่สามารถระบุตัวบุคคลได้ ทั้งนี้ ตามระเบียบปฏิบัติที่บริษัทฯ กำหนด หรือที่ได้ตกลงกัน 

 

11. นโยบายด้านความรับผิดชอบของบุคลากร

11.1 บริษัทฯ ให้ความสำคัญกับการจัดฝึกอบรมให้ความรู้และสร้างความตระหนักเกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลให้กับผู้บริหารและบุคลากรทุกระดับ และถือเป็นหน้าที่ของผู้บังคับบัญชาทุกคนที่จะต้องกำหนดให้บุคลากรในสังกัดของตนซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคล ต้องเข้าร่วมฝึกอบรมอย่างเคร่งครัด พร้อมกับประเมินและติดตามผลเพื่อให้มั่นใจว่าบุคลากรจะสามารถปฏิบัติงานได้ครบถ้วนและถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

 

11.2  เรากำหนดให้พนักงานหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ต้องให้ความสำคัญและรับผิดชอบในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้อย่างเคร่งครัด โดยจะต้องปฏิบัติงานให้สอดคล้องกับนโยบาย แนวปฏิบัติ คู่มือและกฎหมายอันเกี่ยวกับการปฏิบัติงานนั้น  ทั้งนี้  ความจงใจหรือประมาทเลินเล่อ  ละเลยหรือละเว้นไม่สั่งการ หรือไม่ดำเนินการ หรือสั่งการหรือดำเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตนอันเป็นการฝ่าฝืนนโยบายและแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และ/หรือความเสียหายขึ้น พนักงานผู้นั้นอาจต้องรับโทษทางวินัยตามระเบียบของบริษัทฯ และต้องรับโทษทางกฎหมายตามฐานความผิด นั้น ๆ  ทั้งนี้หากความผิดดังกล่าวก่อให้เกิดความเสียหายแก่บริษัทและ/หรือบุคคลอื่นใด เราอาจพิจารณาดำเนินคดีตามกฎหมายเพิ่มเติมต่อไป

 

12. นโยบายด้านการใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาด

นอกจากวัตถุประสงค์อันได้แจ้งกับท่านซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล และภายใต้ข้อกำหนดของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เราจะใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาด เช่น การจัดส่งเอกสารเกี่ยวกับโปรโมชั่นต่าง ๆ ทางไปรษณีย์ อีเมล และด้วยวิธีการอื่นใด รวมถึงการดำเนินการด้านการตลาดแบบตรง  เพื่อเพิ่มสิทธิประโยชน์ที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากการเป็นผู้รับบริการของเรา ผ่านการแนะนำผลิตภัณฑ์ และบริการที่เกี่ยวข้อง

ท่านสามารถเลือกที่จะไม่รับการสื่อสารเพื่อวัตถุประสงค์ทางการตลาดจากเราได้  ยกเว้นการติดต่อสื่อสารที่เกี่ยวข้องกับเจ้าของข้อมูล และ/หรือบริการที่บริษัทฯ จำเป็นต้องกระทำหรือได้ให้แก่ท่าน เช่น การออกใบเสร็จรับเงิน การออกใบรับรองแพทย์ หรือเอกสารใดประกอบการให้บริการทางการแพทย์ เป็นต้น

 

13. การใช้บังคับนโยบายความเป็นส่วนตัว

นโยบายความเป็นส่วนตัวนี้  มีผลใช้บังคับกับข้อมูลส่วนบุคคลทั้งหมดที่บริษัทฯ เป็นผู้เก็บรวบรวม ใช้และเปิดเผยและเจ้าของข้อมูลตกลงให้บริษัทฯ มีสิทธิในการเก็บรวบรวม และนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่บริษัทฯ ได้เก็บรวบรวมไว้แล้ว (หากมี) ตลอดจนข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรวบรวมในปัจจุบัน และที่จะเก็บรวบรวมในอนาคต ไปใช้ หรือเปิดเผยแก่บุคคลอื่นภายในขอบเขตที่ระบุไว้ในนโยบายความเป็นส่วนตัวนี้

 

14. ติดต่อหน่วยงานผู้มีอำนาจ (Appropriate Authority)

หากท่านต้องการรายงานเรื่องร้องเรียน หรือหากท่านรู้สึกว่าบริษัทฯ ไม่ตอบข้อกังวลของท่านในลักษณะที่น่าพึงพอใจ ท่านสามารถติดต่อ และ/หรือร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ตามรายละเอียดด้านล่าง

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม

หมายเลขโทรศัพท์ : 0-2142-1033

อีเมล : pdpc@mdes.go.th

 

15. ติดต่อเรา

กรณีพบเหตุอันควรสงสัยหรือเชื่อว่ามีการละเมิดการข้อมูลส่วนบุคคล การร้องเรียน หรือการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ หรือตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562  หรือสอบถามข้อสงสัย  สามารถติดต่อกับเราได้ที่  

คณะทำงานคุ้มครองข้อมูลส่วนบุคคล (คณะทำงาน PDPA)

บริษัท พูราโต๊ส (ประเทศไทย) จำกัด

78/3 หมู่ 1 ถนนบางนา-ตราด ตำบลหอมศีล อำเภอบางปะกง จังหวัดฉะเชิงเทรา 24130

หมายเลขโทรศัพท์  063 223 1344

อีเมล์ pdpath@puratos.com

 

16. ประกาศความเป็นส่วนตัว

เวอร์ชั่น 1.3 มีผลตั้งแต่  1 มิถุนายน 2565