| |
นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy)
ของ บริษัท โอลิมเปียไทยทาวเวอร์ จำกัด |
| |
| ส่วนที่ 1 : ข้อมูลส่วนบุคคล |
| ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวตนของบุคคลคนนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม ข้อมูลส่วนบุคคลที่ได้รับการคุ้มครองตามนโยบายนี้ ให้รวมถึง |
| 1. |
ข้อมูลส่วนบุคคลทั่วไปของลูกค้า คู่ค้า ผู้มาติดต่องานหรือ ผู้เกี่ยวข้องใดๆ ในธุรกิจของบริษัท เช่น ชื่อ–นามสกุล หมายเลขโทรศัพท์ อีเมล ไอดีไลน์ เลขที่บัตรประชาชน เลขที่หนังสือเดินทาง เลขที่บัญชีธนาคาร ลายเซ็น หรือ ข้อมูลส่วนบุคคลอื่นใดที่จำเป็นต้องใช้ในการทำธุรกิจร่วมกันหรือตามที่กฎมายกำหนด |
| 2. |
ข้อมูลบุคคลทั่วไปของพนักงาน เช่น ชื่อ-นามสกุล เลขที่บัตรประชาชน บัญชีธนาคาร รูปถ่าย
ลายเซ็น ลายนิ้วมือ เบอร์โทรศัพท์ อีเมล ไอดีไลน์ เฟชบุกส์ วุฒิการศึกษา ชื่อคู่สมรสหรือ ข้อมูลส่วนบุคคลอื่นใดที่จำเป็นต้องใช้ในการจ้างงาน การบริหารงาน หรือตามที่กฎหมายกำหนด |
| 3. |
ข้อมูลที่มีความอ่อนไหวทั้งของลูกค้า คู่ค้า ผู้มาติดต่อ ผู้เกี่ยวข้องใดๆ ในธุรกิจของบริษัท หรือของพนักงาน เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทาง การเมืองความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพลักษณะเด่นทางกายภาพหรือ ข้อมูลอ่อนไหวอื่นใดที่กฎหมายกำหนดที่จำเป็นต้องใช้ในการทำงานหรือทำธุรกิจร่วมกันหรือตามที่กฎหมายกำหนด |
|
| |
| ส่วนที่ 2 : นโยบายการคุ้มครองข้อมูลส่วนบุคคล |
| บริษัทฯ ตระหนักและให้ความสำคัญกับข้อมูลส่วนบุคคลของลูกค้า ของคู่ค้า ของพนักงาน และหรือของผู้เกี่ยวข้องกับธุรกิจของบริษัทฯ เป็นอย่างสูงและเพื่อให้การเก็บ การรวบรวมการใช้งาน การเปิดเผยข้อมูลส่วนบุคคลสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 บริษัทฯ จึงกำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลไว้ดังต่อไปนี้ |
| 1. |
บริษัทฯ ให้ความเคารพสิทธิส่วนบุคคลของลูกค้า คู่ค้า ของพนักงานและของผู้เกี่ยวข้องอย่างสูงสุด |
| 2. |
บริษัทฯ จะขอข้อมูลส่วนบุคคลเฉพาะเท่าที่จำเป็นในการใช้งาน หรือ ตามที่กฎหมายกำหนด และจะขอจากเจ้าของข้อมูลโดยตรง |
| 3. |
บริษัทฯ จะแจ้งวัตถุประสงค์การเก็บ รวบรวมใช้งาน เปิดเผยข้อมูลและแจ้งสิทธิให้เจ้าของข้อมูลทราบและยินยอมแต่แรก |
| 4. |
บริษัทฯ จัดให้ระบบการคุ้มครองข้อมูลส่วนบุคคลมีความมั่นคง ปลอดภัยและตามที่กฎหมายกำหนด |
| 5. |
บริษัทฯ จัดให้มีผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลมีการใช้ตรงตามวัตถุประสงค์และหรือตามกฎหมายกำหนด |
| 6. |
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพลักษณะเด่นทางกายภาพ หากจำเป็นต้องเก็บรวบรวม ใช้ เปิดเผย บริษัทจะขอความยินยอมจากเจ้าของข้อมูลโดยชัดแจ้งและใช้อย่างระมัดวังเป็นความลับ |
| 7. |
เจ้าของข้อมูลที่เป็นชาวต่างชาติ ต่างด้าว จะคุ้มครองและใช้ข้อมูลเช่นเดียวกับข้อมูลคนไทย |
| 8. |
การส่งข้อมูลส่วนบุคคลไปหน่วยงานภายนอก หรือ ต่างประเทศ บริษัทฯ จัดให้มีข้อตกลงกับหน่วยงานภายนอกหรือประเทศปลายทางให้ทำการคุ้มครองที่มั่นคง ปลอดภัยหรือตามที่กฎหมายกำหนดอย่างเคร่งครัด |
| 9. |
เจ้าของข้อมูล มีสิทธิในการตรวจสอบ ขอรับสำเนา คัดค้าน ลบ ทำลาย โอน หรือ ขอถอนความยินยอมข้อมูลนั้นได้เว้นแต่ข้อมูลนั้นบริษัทฯ จำเป็นต้องใช้ตามกฎหมายหรือตามสัญญาข้อตกลงที่มีต่อกัน การขอใช้สิทธิดังกล่าวได้ที่ผู้ควบคุมข้อมูลที่บริษัทฯกำหนด |
| 10. |
บริษัทฯ จะรักษาข้อมูลส่วนบุคคลของลูกค้า คู่ค้า ของพนักงานหรือของผู้เกี่ยวข้องเสมือนหนึ่งเป็นทรัพย์สินของบริษัทฯ เอง ห้ามมิให้ ผู้ใด ละเมิด เปิดเผย เข้าถึง นำไปหาประโยชน์ส่วนตัว หรือทำให้เจ้าของข้อมูลเสียหายโดยไม่ได้รับอนุมัติจากผู้ควบคุมข้อมูล ผู้ฝ่าฝืนจะถูกพิจารณาลงโทษในอัตราสูงสุด จะดำเนินคดีถึงที่สุด รวมถึงต้องชดใช้ความเสียหายที่เกิดขึ้นเต็มจำนวนตามอัตราที่กฎหมายกำหนด |
|
| |
| ส่วนที่ 3 : ผู้มีหน้าที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล |
| เพื่อให้นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ดำเนินไปอย่างต่อเนื่องและมีประสิทธิภาพ บริษัทฯ จึงแต่งตั้งให้บุคคลผู้มีตำแหน่งต่อไปนี้ ปฏิบัติตามนโยบายและหรือกฎหมายที่เกี่ยวข้อง |
| 1. |
กรรมการผู้มีอำนาจ เป็นผู้ควบคุมข้อมูลส่วนบุคคลในนามนิติบุคคล |
| 2. |
ผู้แทนฝ่ายบริหารในระบบคุ้มครองข้อมูลส่วนบุคคล มีหน้าที่บริหารจัดการระบบการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคล พ.ศ.2562 และหรือกฎหมายอื่นที่เกี่ยวข้อง |
| 3. |
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นผู้เสนอแนะ ตรวจสอบ ประสานงานควบคุม เพื่อให้ระบบการคุ้มครองข้อมูลส่วนบุคคลสอดคล้องกับกฎหมายเป็นความลับและดำเนินไปอย่างมีประสิทธิภาพ |
| 4. |
ผู้จัดการฝ่ายทรัพยากรบุคคล เป็นผู้ควบคุมข้อมูลส่วนบุคคลของพนักงาน และเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่เก็บรักษาไว้ในสื่ออิเลคโทรนิกส์ซอร์ฟแวร์ ทั้งหมดของบริษัทฯ ให้มีความมั่นคง ปลอดภัย |
| 5. |
ผู้จัดการ/ หัวหน้างานทุกหน่วยงาน เป็นผู้ควบคุมข้อมูลส่วนบุคคลของพนักงาน ของลูกค้า คู่ค้า หรือ ผู้มาติดต่องานที่หน่วยงานตนเองเกี่ยวข้อง |
| 6. |
พนักงานทุกคน เป็นผู้เก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลที่ตนเองใช้งานตามหน้าที่ที่ได้รับมอบหมาย |
| 7. |
คณะทำงานระบบการคุ้มครองข้อมูลส่วนบุคคล เป็นผู้จัดทำระบบคุ้มครองข้อมูลส่วนบุคคล ให้สอดคล้องกับกฎหมายนี้ |
|
| |
| ส่วนที่ 4 : การขอความยินยอมขอใช้ข้อมูลส่วนบุคคล |
| 4.1 |
บริษัทฯ กำหนดให้มี |
| |
| (1) |
รายการข้อมูลส่วนบุคคล ของลูกค้า คู่ค้า ของพนักงานและของผู้มาติดต่องาน |
| (2) |
กำหนดวัตถุประสงค์และความจำเป็นในการใช้งาน |
| (3) |
ขอบเขตการใช้งาน |
| (4) |
อายุการเก็บข้อมูล |
| (5) |
สิทธิของเจ้าของข้อมูล |
| (6) |
ผู้ควบคุมข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล |
|
| |
เพื่อแจ้งให้ลูกค้า คู่ค้า ผู้มาติดต่องานและพนักงานทราบและยินยอมแต่แรกก่อนทำธุรกิจหรือก่อนการทำงานร่วมกัน |
| 4.2 |
ข้อมูลที่มีความอ่อนไหว ( ตามมาตรา 26 ) หากจะมีการเก็บ ใช้ เปิดเผยตามความจำเป็นในการบริหารงานหรือตามกฎหมายกำหนด บริษัทฯ จะขอความยินยอมจากเจ้าของข้อมูลโดยชัดแจ้งก่อนการเก็บรวบรวม ใช้ เปิดเผยข้อมูลและใช้อย่างระมัดระวังเป็นความลับ |
| 4.3 |
การเปลี่ยนแปลงข้อมูลส่วนบุคคล ทั้งข้อมูลส่วนบุคคลของลูกค้า คู่ค้า ผู้ติดต่องาน และ ข้อมูลพนักงานที่บริษัทฯคุ้มครองไว้ บริษัทฯ จัดให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการทบทวน อนุมัติก่อนการเปลี่ยนแปลง เพื่อให้มั่นใจว่าข้อมูลที่คุ้มครองไว้นั้นได้รับการเก็บ รวบรวมใช้เปิดเผยอย่างมั่นคง ปลอดภัยของข้อมูล |
|
| |
| ส่วนที่ 5 : ขอบเขตการใช้ข้อมูล |
| บริษัทฯ จะใช้ข้อมูลส่วนบุคคลของลูกค้า คู่ค้า ผู้มาติดต่องาน หรือของพนักงานในทุกส่วนงานที่จำเป็นต้องใช้ข้อมูลนั้นๆ ในการทำงานหรือใช้ตามที่กฎหมายกำหนด ทั้งในสำนักงาน สาขา บริษัทฯในเครือ บริษัทฯ คู่ค้า หรือ หน่วยงานอื่นใดที่จำเป็นต้องใช้ข้อมูลดังกล่าว ทั้งในประเทศและหรือต่างประเทศ (ถ้ามี) ทั้งในปัจจุบันและในอนาคตและจะเก็บ รวบรวมใช้ เปิดเผยอย่างเป็นความลับเพื่อความมั่นคงปลอดภัยของเจ้าของข้อมูล |
| |
| ส่วนที่ 6 : สถานที่เก็บและผู้เก็บรักษาข้อมูลส่วนบุคคล |
| 6.1 |
บริษัทฯ จะเก็บรวบรวมข้อมูลส่วนบุคคลในคอมพิวเตอร์หรือ สื่ออิเลคโทรนิกส์ อื่นใดที่มีความมั่นคง
ปลอดภัย และจัดให้ผู้ใช้งานมี Password หรือ รหัสลับเฉพาะคนอื่นใด เพื่อให้มั่นใจว่าข้อมูลส่วน บุคคลมีการเก็บรักษาที่มั่นคงปลอดภัย
|
| 6.2 |
กรณีที่เก็บเป็นเอกสาร สถานที่เก็บจะจัดให้มีการล็อกกุญแจที่มั่นคง ปลอดภัย |
| 6.3 |
กำหนดให้มีการตรวจสอบเป็นระยะ และให้มีการทบทวน ปรับปรุงให้เป็นปัจจุบันทั้งระบบอย่างน้อยปีละ 1 ครั้ง หรือในกรณีที่มีเหตุการณ์ผิดปกติ หรือกฎหมายประกาศเพิ่มเติม หรือเทคโนโลยีเปลี่ยนแปลง บริษัทฯ จะทบทวนปรับปรุงทันที เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลที่เก็บ รวบรวมใช้เปิดเผย ได้รับการคุ้มครองตามนโยบายและกฎหมายที่เกี่ยวข้อง |
|
| |
| ส่วนที่ 7 : อายุการเก็บข้อมูลส่วนบุคคล |
| 7.1 |
ข้อมูลส่วนบุคคลของพนักงานหรือข้อมูลส่วนบุคคลของลูกค้าที่ใช้ในการทำงานหรือทำธุรกิจร่วมกัน จะเก็บไว้ตลอดเวลาที่ทำงานหรือทำธุรกิจร่วมกัน ข้อมูลที่สำคัญจะเก็บต่อเนื่องหลังจากพ้นสภาพไปแล้วไม่เกิน 10 ปี โดยเก็บไว้ในสื่ออิเลคโทรนิกส์หรือเป็นเอกสารที่ปลอดภัย |
| 7.2 |
ข้อมูลส่วนบุคคลใดที่ไม่ใช้งาน จะเก็บไว้ไม่เกิน 3 เดือน จะทำลายโดยการย่อยหรือเผาทำลายหรือวิธีอื่นใด เพื่อป้องกันการนำมาใช้ผิด |
| 7.3 |
ข้อมูลใดที่เก็บไว้ในสื่ออิเลคทรอนิกส์ หรือ software ที่สามารถตรวจสอบได้ ถูกต้องตามจริงแล้ว บริษัทฯ อาจทำลายข้อมูลที่เป็นกระดาษก็ได้ เพื่อไม่ให้เป็นภาระ ไม่ซ้ำซ้อน ในการจัดเก็บ |
|
| |
| ส่วนที่ 8 : การมอบหมายให้บุคคลภายนอกประมวลผลให้ หรือ การส่งข้อมูลส่วนบุคคลไปต่างประเทศ |
| 8.1 |
ในกรณี |
| |
| 8.1.1 |
บริษัทฯส่งข้อมูลส่วนบุคคลไปให้บุคคลหรือหน่วยงานภายนอก (นอกบริษัทฯแต่ภายในประเทศ) ดำเนินการให้ตามข้อตกลงกัน |
| 8.1.2 |
บริษัทฯ มอบหมายให้บุคคล องค์กรอื่นใดเก็บ รวบรวม ใช้ เปิดเผยข้อมูลให้ (ประมวลผลให้) |
| 8.1.3 |
ลูกค้า คู่ค้า ผู้มาติดต่องาน รู้ข้อมูลส่วนบุคคลของพนักงานขณะติดต่องานกัน |
|
| |
บริษัทฯจัดให้มีข้อสัญญาข้อตกลงการแจ้งเตือนให้หน่วยงานหรือบุคคลภายนอกนั้นเก็บ รวบรวมใช้
เปิดเผย และคุ้มครองข้อมูลให้มั่นคง ปลอดภัย ตามมาตรฐานที่กฎหมายกำหนด
|
| 8.2 |
การส่งข้อมูลส่วนบุคคลไปต่างประเทศ บริษัทฯ จัดให้ผู้ควบคุมข้อมูลหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นผู้ตรวจสอบ ทบทวน อนุมัติ อย่างรัดกุม รอบคอบ และทำข้อตกลงแจ้งเตือนกับประเทศปลายทางให้คุ้มครองอย่างเหมาะสม เพียงพอ ได้มาตรฐานตามที่กฎหมายกำหนด |
| 8.3 |
การส่งข้อมูลที่มีความอ่อนไหวไปหน่วยงานภายนอกหรือส่งไปต่างประเทศต้องได้รับอนุมัติจากผู้ควบคุมข้อมูลในนามนิติบุคคล ( กรรมการผู้มีอำนาจ) และ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลให้มีความเห็นร่วมกัน และปฏิบัติตามกฎหมายก่อนทุกครั้งเพื่อให้มั่นใจว่าประเทศปลายทางมีการคุ้มครองที่มั่นคง ปลอดภัยตามที่กฎหมายกำหนด |
|
| |
| ส่วนที่ 9 : สิทธิของเจ้าของข้อมูล |
| 9.1 |
บริษัทฯให้ความเคารพสิทธิส่วนบุคคลของลูกค้า คู่ค้า ของพนักงานและของผู้เกี่ยวข้องอย่างสูงสุด |
| |
| (1) |
ขอทราบแหล่งที่มาของข้อมูลที่ตนไม่ยินยอมได้ |
| (2) |
ขอตรวจสอบวิธีการเก็บ การใช้การเปิดเผยข้อมูลได้ |
| (3) |
ขอคัดค้าน ขอระงับการใช้ได้ |
| (4) |
ขอถอนความยินยอมได้ |
| (5) |
ขอให้ลบออกจากการเก็บ การใช้ การเปิดเผยได้ |
| (6) |
ขอให้เปลี่ยนแปลง แก้ไขให้ถูกต้องได้ |
| (7) |
ขอรับสำเนา หรือ ขอรับการรับรองข้อมูลได้ |
| (8) |
ขอให้โอนข้อมูลไปยังหน่วยงานอื่นได้ |
| (9) |
ถ้าเกิดความเสียหาย หรือ คนอื่นได้ประโยชน์ มีสิทธิฟ้องเรียกค่าเสียหายได้ |
|
| |
ทั้งนี้การใช้สิทธิดังกล่าวต้องไม่กระทบกับสิทธิการใช้ข้อมูลของบริษัทฯ ตามที่กฎหมายกำหนดไว้ |
| 9.2 |
กรณีที่บริษัทฯ ยังคงใช้ข้อมูลตามวัตถุประสงค์ โดยสุจริต ไม่นำไปหาประโยชน์ส่วนตัว ไม่ทำให้เจ้าของข้อมูลเสียหาย หรือ ใช้ตามความจำเป็นในการบริหารงานหรือ ตามสัญญาข้อตกลงที่มีต่อกัน หรือตามที่กฎหมายกำหนดให้ใช้ได้บริษัท ฯ ขอความยินยอมจากลูกค้าหรือพนักงานให้ใช้ข้อมูลส่วนบุคคลนั้นต่อไปตามปกติ |
| 9.3 |
พนักงานที่มีเหตุสงสัย หรือ พบเหตุผิดปกติจากการใช้ข้อมูลส่วนบุคคลของตน สามารถร้องเรียน หรือ ขอใช้สิทธิของเจ้าของข้อมูลข้างต้น ได้ที่ผู้ควบคุมข้อมูลส่วนบุคคลของพนักงาน (ผู้จัดการฝ่ายทรัพยากรบุคคล) ที่บริษัทฯกำหนดเพื่อดำเนินการให้ |
| 9.4 |
ลูกค้า คู่ค้า ผู้มาติดต่องาน ที่มีเหตุสงสัย หรือ พบเหตุผิดปกติจากการใช้ข้อมูลส่วนบุคคลของตน
สามารถให้ร้องเรียน หรือ ขอใช้สิทธิของเจ้าของข้อมูลข้างต้น ได้ที่ผู้ควบคุมข้อมูลของแต่ละหน่วยงาน
(ผู้จัดการหน่วยงานที่ลูกค้าติดต่องานด้วย) เพื่อดำเนินการให้
|
| 9.5 |
พนักงาน หรือ ลูกค้า ที่ไม่ได้รับความสะดวก ไม่ได้รับการแก้ไขตามสิทธิที่กำหนด ให้แจ้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ ผู้ควบคุมข้อมูลส่วนบุคคล เพื่อดำเนินการให้ |
| 9.6 |
การตัดสินข้อร้องเรียน หรือ สงสัยให้ผู้ควบคุมข้อมูลในนามนิติบุคคล ( กรรมการผู้มีอำนาจ) โดยความเห็นชอบของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีอำนาจตัดสินและให้ถือเป็นที่สุด |
|
| |
| ส่วนที่ 10 : หน้าที่ของเจ้าของข้อมูล |
| 10.1 |
นำส่งข้อมูลส่วนบุคคลของตนให้ผู้มีหน้าที่เกี่ยวข้อง ตามที่ร้องขอภายในเวลาที่กำหนด |
| 10.2 |
ถ้ามีการเปลี่ยนแปลงข้อมูลส่วนบุคคล ให้แจ้งผู้เกี่ยวข้องทราบทันทีหรือภายในไม่เกิน 7 วัน |
| 10.3 |
ต้องใช้ข้อมูลส่วนบุคคลของพนักงานหรือของลูกค้าตามหน้าที่โดยสุจริต ห้ามนำไปหาประโยชน์
ส่วนตัวหรือ ห้ามทำให้เจ้าของข้อมูลเสียหายใด ๆ ทุกกรณี |
| 10.4 |
หากพบเหตุผิดปกติ หรือ เหตุการละเมิดข้อมูลส่วนบุคคลอันอาจทำให้เกิดความเสียหาย ให้แจ้ง
บริษัทฯ ทราบทันทีเพื่อระงับได้ทันเหตุการณ์
|
|
| |
| ส่วนที่ 11 : บทลงโทษผู้ฝ่าฝืน |
| ลูกค้า คู่ค้า ผู้มาติดต่องาน หรือ พนักงานผู้ใดนำข้อมูลส่วนบุคคลที่บริษัทคุ้มครองไว้ |
| 1. |
ไปใช้ เปิดเผย หาประโยชน์นอกจากวัตถุประสงค์ที่เจ้าของข้อมูลยินยอม |
| 2. |
ทำให้เจ้าข้อมูลเสียหาย |
| 3. |
ทำผิดพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ทำผิดนโยบายหรือระเบียบปฏิบัติอื่นใด
ที่เกี่ยวข้องกับนโยบายนี้
|
|
| บริษัทฯ จะลงโทษถึงขั้นสูงสุด หรือดำเนินคดีตามที่กฎหมายกำหนดไว้สูงสุดและชดใช้ความเสียหายเต็มจำนวน |
| |
| ส่วนที่ 12 : การประชาสัมพันธ์นโยบายคุ้มครองข้อมูลส่วนบุคคล |
| 12.1 |
ให้ฝ่ายทรัพยากรบุคคลเผยแพร่นโยบายนี้ ให้ผู้สมัครงานพนักงานใหม่และพนักงานประจำทราบ |
| 12.2 |
ถ้ามีการเปลี่ยนแปลงข้อมูลส่วนบุคคล ให้แจ้งผู้เกี่ยวข้องทราบทันทีหรือภายในไม่เกิน 7 วัน |
| 12.3 |
ให้ผู้จัดการฝ่ายสารสนเทศหรือผู้จัดการฝ่ายลูกค้าสัมพันธ์ เผยแพร่นโยบายนี้ทาง Website หรือ สื่อ
Media ใด ๆ ของบริษัท ฯ ให้ผู้เกี่ยวข้องและหรือผู้สนใจทราบ
|
|
| |
| ประกาศ ณ วันที่ 25 พฤษภาคม 2565 |
| |
| Part 1 : Personal Data |
| Personal data is any data pertaining to a person, which enables the identification of such person, whether directly or indirectly. The personal data under the protection of this Policy includes: |
| 1. |
General personal data of customers, business partners,visitors, or any related parties in the Company's business, for instance, name-surname, telephone number, email, ID Line, ID Card No., Passport No., Bank Account No., signature or any other personal data needed for using in jointly performing the transaction or as prescribed by law. |
| 2. |
General personal data of the employees, for instance, name-surname, ID Card No., Bank Account, photograph, signature, fingerprint, telephone number, email, ID Line, Facebook, educational background, spouse's name, or any other personal data necessary for using in employment, management, or as prescribed by law. |
| 3. |
Sensitive data of the customers, business partners, visitors, any related parties of the Company, or of the employees, for instance, race, lineage, political opinion, dogmabelief, religion or philosophy, sex behavior, criminal record, health data, disability, labor union data, heredity data, physical dominantbiometrics data, or any other sensitive data as prescribed by law to be necessary for use in the joint cooperation or business operation or according to the requirement of law. |
|
| |
| Part 2 : Personal Data Protection Policy |
| The Company highly realizes and gives precedence to the personal data of the customers, business partners, employees, or related parties of the business of the Company. For the storage, collection, use, and disclosure of the personal data in conformity to the Personal Data Protection Act B.E. 2562 (2019), the Company, therefore, formulates the Personal Data Protection Policy as follows. |
| 1. |
The Company shall maximally respect the privacy rights of the customers, business partners, employees, and related parties. |
| 2. |
The Company shall request the personal data only as much as necessary for using or as prescribed by law, and directly request from the data subject. |
| 3. |
The Company shall firstly inform the purpose of storage, collection, use, and disclosure of the data, and inform the rights to the data subject for acknowledgment, and give consent. |
| 4. |
The Company shall establish a secure personal data protection system as prescribed by law. |
| 5. |
The Company shall arrange a data controller, a data processor, and a data protection officer,to ensure that the use of personal data is corresponding to the purpose and/or as prescribed by law. |
| 6. |
If it is necessary for collecting, using, and disclosing the sensitive personal data, for instance, race, lineage, political opinion, dogma belief, religion or philosophy, sex behavior, criminal record, health data, disability, labor union data, heredity data, and physical dominant biometricsdata, the Company shall explicitly make a request for consent from the data subject, and carefully use the said data as confidential. |
| 7. |
The foreign and alien data subject shall protect and use the data like Thai people's data. |
| 8. |
In delivering the personal data to the external or foreign agency, the Company shall make an agreement with the external agency or the destination country to ensure the strict and secure protection or according to the requirement of law. |
| 9. |
The data subject has the right to audit, request for receiving a copy, object, erase, destroy, transfer, or request for withdrawing the consent on the said data. Unless the Company needs to use the said data according to law or according to the contract and the agreement entered by each other, the right can be requested from the data controller defined by the Company. |
| 10. |
The Company shall maintain the personal data of the customers, business partners, employees or related parties as ifthe said data is the Company's asset; not allow whoever to violate, disclose, access, take for exploitation, or cause damage to the data subject without the data subject's approval. The violator shall be considered and punished at the highest rate, and absolutely sued, and reimburse the incurred damage in the full amount at the rate defined by law. |
|
| |
| Part 3 : Person with the Duty Related to the Personal Data Protection |
| For the continuous and efficient implementation of this Personal Data Protection Policy, the Company appoints the persons with the following positions to comply with the related policies and/or laws. |
| 1. |
An authorized director is the data controller in the name of a juristic person. |
| 2. |
A representative of the Executive in the personal data protection system shall have the duty to manage the personal data protection system to be conforming to the Personal Data Protection Act B.E. 2562 (2019), and/or any other relevant laws. |
| 3. |
A data protection officer shall suggest, verify, coordinate and control to ensure that the personal data protection system is conforming to law,confidential, and efficiently implemented. |
| 4. |
The Human Resource Department Manager shall control the personal data of the employees, and control the personal data stored in all electronic media and software of the Company to ensure security. |
| 5. |
The manager/supervisor of every work unit shall control the personal data of the employees, customers, business partners, or visitors involved in his/her work unit. |
| 6. |
All employeesshallcollect, use, and disclose the personal data used by themin the line of the entrusted duty. |
| 7. |
The Personal Data Protection Working Group shall prepare the personal data protection system to be consistent with this law. |
|
| |
| Part 4 : Request for Consent on Use of Personal Data |
| 4.1 |
The following is defined by the Company to be available. |
| |
| (1) |
List of the personal data of the customers, business partners, employees, and visitors |
| (2) |
Determination of the using purpose and necessity |
| (3) |
Scope of the usage |
| (4) |
Validity of the data storage |
| (5) |
Rights of the data subject |
| (6) |
Data controller and data protection officer |
|
| |
for informing the customers, business partners, visitors, and employees for acknowledgment, and giving a consent prior to thejoint business operation or cooperation. |
| 4.2 |
If the sensitive data (pursuant to Section 26) is stored, used, and disclosed according to the management necessity or according to the requirement of law, the Company shall explicitly make a request for consent from the data subject prior to the collection, use, and disclosure of data; and carefully use the said data as confidential. |
| 4.3 |
In the case of the change of personal data whether the personal data of the customers, business partners, and visitors, and the data of the employees protected by the Company, the Company shall assign the data controller to review and approve prior to change, in order to ensure that the protected data is securely stored, collected, used, and disclosed. |
|
| |
| Part 5 : Scope of the Data Usage |
| The Company shall use the personal data of the customers, business partners, visitors, or employees in every section requring to use the said personal data in working or using according to the requirement of law whether inside the office, branches, affiliated companies, the Company, business partners, or any other agencies requiring for using the said data, both within the country or the foreign countries (if any), and both presently and in the future; and shall store, collect, use, and disclose as confidential for the data subject's security. |
| |
| Part 6 : Storage Place and Keeper of the Personal Data |
| 6.1 |
The Company shall store the personal data in a computer or any other electronic media with security, and provide a Password or a Cryptogram of any other person to the user in order to ensure the storage security of the personal data. |
| 6.2 |
In the case of the storage in the file, the storage place shall be securely locked with a key. |
| 6.3 |
The Company shall determine a periodic inspection, a review, and an update of the whole system at least once a year; or in the case of an abnormal event or the promulgation of the additional law, or the technological change, the Company shall immediately review and update in order to ensure that the stored, collected, used, and disclosed personal data is protected according to the relevant policies and laws. |
|
| |
| Part 7 : Validity of the Personal Data Storage |
| 7.1 |
The personal data of the employee or customer used in the joint cooperation or business operation shall be stored all the time duringthe joint cooperation or business operation. The key information shall be continuously stored after invalidity for not exceeding 10 (ten) years, and stored in the safe electronic media or in the file. |
| 7.2 |
Any non-usable personal data shall be stored for not exceeding 3 (three) months and destroyed by shredding or burning for destroying or by any other means in order to prevent the misuse. |
| 7.3 |
In the case of any data stored in the electronic media or software and properly verifiable based on fact, the Company may destroy the paper data to avoid the burden and redundancy in storage. |
|
| |
| Part 8 : Assigning the third party to process or transferring the personal data abroad |
| 8.1 |
In the case where |
| |
| 8.1.1 |
the Company delivers the personal data to a person or an external agency (outside the Company but within the country) for execution according to the agreement, |
| 8.1.2 |
the Company assigns any other person and organization to store, collect, use, and disclose the data (process), |
| 8.1.3 |
the customer, business partner, and visitor recognize the employee's personal data while dealing with the Company, |
|
| |
the Company shall provide the covenant and agreement of the notifications to the external agencies or third parties for the security of data storage, collection, usage, and disclosure according to the standards determined by law. |
| 8.2 |
In transferringthe personal data abroad, the Company shall assign the data controller or the data protection officer to concisely and prudently verify, review and approve; and make the agreement of the notifications with the destination country to ensure the appropriate and adequate protection according to the standards determined by law. |
| 8.3 |
In delivering the sensitive data to the external agency or to abroad, a prior approval shall be given by the data controller in the name of the Juristic Person (the authorized director), and the data protection officer to have a mutual opinion and comply with the law every time in order to ensure the protection security of the destination country according to the requirement of law. |
|
| |
| Part 9 : Rights of the Data Subject |
| 9.1 |
The Company shall maximally respect the rights of the data subject, and grant the following rights to the data subject. |
| |
| (1) |
To request recognitionof the source of data without his/her consent. |
| (2) |
To request auditing of the storage, usage, and disclosure method. |
| (3) |
To request objecting and request suspending the usage. |
| (4) |
To request for withdrawalof his/her consent. |
| (5) |
To request erasing from storage, usage, and disclosure. |
| (6) |
To request changing and revising to be correct. |
| (7) |
To request receiving a copy or request for the data certification. |
| (8) |
To request transferringof the data to other work units. |
| (9) |
If the damage arises or another person is advantageous, the data subject is entitled to sue and claim for the damages. |
|
| |
However, the exercise of such rights shall not affect the right to use the Company's data as prescribed by law. |
| 9.2 |
In the case where the Company remains using the data according to the purpose in good faith, does not exploit and cause damage to the data subject or uses based on the management necessity or according to the contract and the agreement entered with each other or according to the requirement of law for usability, the Company shall request for consent from the customer or the employee on the continuous use of the said personal data as usual. |
| 9.3 |
The employee who suspects or detects an abnormal event from the use of his/her personal data, can complain or request for exercising the rights of the aforesaid data subject, with the data controller of the employee (Human Resource Department Manager) defined by the Company for execution. |
| 9.4 |
The customer, business partner, and visitor who suspect or detect an abnormal event from the use of their personal data can complain or request for exercising the rights of the aforesaid data subject, with the data controller of each work unit (Manager of the Work Unit dealt by the customer) for execution. |
| 9.5 |
The employee or customer who is not facilitated, and the said problem is not corrected according to the defined rights, shall give notice to the data protection officer or the data controller for execution. |
| 9.6 |
In judging a complaint or a doubt, the data controller in the name of a Juristic Person (the authorized director) under the consent of the data protection officer shall have the judicial power and the said judgment shall be deemed as final. |
|
| |
| Part 10 : Duty of the Data Subject |
| 10.1 |
Submit his/her personal data to the person with the related duty, as requested within the specified period. |
| 10.2 |
If the personal data is changed, a notice shall be immediately given to the related parties for acknowledgment or within not more than 7 (seven) days. |
| 10.3 |
The personal data of the employee or customer shall be dutifully used in good faith. It is prohibited to exploit or cause any damage to the data subject under no circumstances. |
| 10.4 |
If the abnormal event orthe event of violation against the personal data is detected, and the damage may be arisen, immediate notice shall be given to the Company to suspend the incident in time. |
|
| |
| Part 11 : Penalty for the Violator |
| In the case where any customers, business partners, visitors, or employees take the personal data protected by the Company to |
| 1. |
use, disclose, and exploit other than the purpose allowed by the data subject; |
| 2. |
cause damage to the data subject; |
| 3. |
breach the Personal Data Protection Act B.E. 2562 (2019), and any other policies or practices related to this Policy, |
|
| the Company shall punish up to the highest degree, or take the legal proceedingsaccording to the maximum requirement of law; and the violator shall fully reimburse the damage. |
| |
| Part 12 : Publicity of the Personal Data Protection Policy |
| 12.1 |
The Human Resource Department shall disseminate this Policy to the applicants, new employees, and full-time employees for acknowledgment. |
| 12.2 |
The managers of all work units shall disseminate this Policy to the customers, business partners, and visitors involved with them for acknowledgment. |
| 12.3 |
The Information Department Manager or the Customer Relations Department Manager shall disseminate this Policy via the Company's Website or Media for acknowledgment of the related parties and/or those interested. |
|
| |
| Announced on 25 May 2022. |
| |
| |
| |
