นโยบายการคุ้มครองข้อมูลส่วนบุคคล
บริษัท รถไฟฟ้า ร.ฟ.ท. จำกัด
วัตถุประสงค์และขอบเขตของนโยบายการคุ้มครองข้อมูลส่วนบุคคล
เพื่อเป็นการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่น ๆ ที่เกี่ยวข้อง รวมถึงกฎหมายฉบับแก้ไขเพิ่มเติมใด ๆ ในอนาคต (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) บริษัท รถไฟฟ้า ร.ฟ.ท. จำกัด (“บริษัท”) จึงจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ (“นโยบาย”) ขึ้นเพื่ออธิบายรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลแก่บุคลากรและพนักงานของบริษัท หรือบุคลากรและพนักงานของบุคคลภายนอกที่เป็นผู้กระทำการแทนหรือในนามของบริษัท ในการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลซึ่งมีความเกี่ยวข้องกับการดำเนินธุรกิจของบริษัท ให้เป็นไปโดยถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
นิยามสำคัญ
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งอาจก่อให้เกิดการเลือกปฏิบัติโดยไม่เป็นธรรมต่อเจ้าของข้อมูลส่วนบุคคลหรือกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล ได้แก่ ลูกค้า คู่ค้า ผู้ให้บริการ กรรมการ พนักงาน ลูกจ้าง ผู้มาติดต่อ และบุคคลธรรมดาอื่นใดที่บริษัทมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลธรรมดานั้น
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
“ฐานทางกฎหมาย” หมายถึง เหตุที่กฎหมายรองรับให้สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้ ทั้งนี้ ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย
ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทจะต้องกระทำภายใต้ฐานทางกฎหมายที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งได้ถูกกำหนดเป็นแนวทางไว้ในนโยบายฉบับนี้ด้วย ดังนี้
1. กรณีข้อมูลส่วนบุคคลทั่วไป การเก็บข้อมูลส่วนบุคคลนั้นจะทำได้ต่อเมื่อเข้าเงื่อนไขของฐานทางกฎหมายประการใดประการหนึ่งใน 7 ประการ ได้แก่
1.1 ความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (ฐานความยินยอม)
ในกรณีที่ไม่สามารถเก็บรวบรวมข้อมูลด้วยฐานทางกฎหมายอื่นตามที่ระบุในข้อ 1.2 – 1.7 ของนโยบายนี้ได้ บริษัทจำเป็นต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล การไม่ตอบรับหรือการนิ่งเฉยไม่ถือว่าเป็นความยินยอมจากเจ้าของข้อมูลส่วนบุคคล นอกจากนี้ ความยินยอมต้องทำเป็นลายลักษณ์อักษร หรือผ่านระบบอิเล็กทรอนิกส์ ซึ่งอาจมีรูปแบบและข้อความที่บริษัทจัดทำขึ้น (หนังสือขอความยินยอม) หรือตามที่กฎหมายกำหนด (ถ้ามี) ยกเว้นการขอความยินยอมด้วยวิธีดังกล่าวไม่สามารถกระทำได้ ในกรณีนี้เจ้าของข้อมูลอาจให้ความยินยอมด้วยวาจาได้ แต่บริษัทจะต้องบันทึกความยินยอมดังกล่าวไว้เป็นลายลักษณ์อักษรพร้อมระบุรายละเอียดของวิธีการให้ความยินยอมและวันที่ให้ความยินยอมนั้น ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลอาจถอนความยินยอมได้ทุกเมื่อ เว้นแต่จะมีกฎหมายหรือสัญญาที่เป็นคุณแก่เจ้าของข้อมูลส่วนบุคคลจำกัดสิทธิไว้
อย่างไรก็ดี บริษัทพึงต้องตระหนักอยู่เสมอว่าบริษัทจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลได้ต่อเมื่อเจ้าของข้อมูลส่วนบุคคลสามารถให้ความยินยอมโดยอิสระและโดยความสมัครใจโดยแท้เท่านั้น
หมายเหตุ กรณีที่บริษัทจะต้องขอความยินยอมจากผู้เยาว์ที่ยังไม่บรรลุนิติภาวะ บุคคลไร้ความสามารถ หรือบุคคลเสมือนไร้ความสามารถ บริษัทจะต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ ผู้อนุบาล หรือผู้พิทักษ์ตามลำดับ ทั้งนี้ หากเป็นผู้เยาว์ที่อายุ 10 ปีขึ้นไปก็อาจให้ความยินยอมเองได้สำหรับกรณีที่เป็นการดำเนินการที่ผู้เยาว์กระทำได้โดยลำพัง
1.2 เพื่อการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การทำวิจัยหรือสถิติ (ฐานจดหมายเหตุ/วิจัย/สถิติ)
บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด
1.3 เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (ฐานประโยชน์สำคัญต่อชีวิต)
ในบางกรณี บริษัทอาจมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพของบุคคลใดๆ ซึ่งไม่จำกัดเพียงเจ้าของข้อมูลส่วนบุคคลเท่านั้น เช่น กรณีบริษัทมีความจำเป็นต้องเก็บข้อมูลส่วนบุคคลเนื่องจากอุบัติเหตุฉุกเฉินที่เกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล ในกรณีนี้ บริษัทไม่ต้องขอความยินยอม เพื่อเก็บรวบรวมข้อมูลส่วนบุคคล
1.4 เพื่อปฏิบัติตามสัญญาระหว่างบริษัทกับเจ้าของข้อมูลส่วนบุคคลหรือเพื่อใช้ดำเนินการตามคำขอของเจ้าของข้อมูลก่อนเข้าทำสัญญากับบริษัท (ฐานสัญญา)
ในกรณีที่บริษัทมีความจำเป็นต้องเก็บข้อมูลส่วนบุคคลเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาโดยตรงกับบริษัท หรือดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญากับบริษัทนั้น บริษัทไม่ต้องขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว
1.5 เพื่อปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ (ฐานประโยชน์สาธารณะ)
ในกรณีที่บริษัทจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล บริษัทไม่ต้องขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว
1.6 เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย (ฐานประโยชน์โดยชอบด้วยกฎหมาย)
บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ในกรณีที่บริษัทจำเป็นต้องเก็บข้อมูลดังกล่าวเพื่อใช้ดำเนินการเกี่ยวกับประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือบุคคลที่สามซึ่งไม่ใช่เจ้าของข้อมูลส่วนบุคคล ได้แก่ ประโยชน์โดยชอบด้วยกฎหมายในการดำเนินธุรกิจของบริษัทและ/หรือบุคคลที่สาม ประโยชน์โดยชอบด้วยกฎหมายในการรักษาความปลอดภัยและปกป้องทรัพย์สินและบุคคลที่อยู่ภายในบริเวณของบริษัท ประโยชน์โดยชอบด้วยกฎหมายในการบริหารจัดการองค์กรของบริษัท เป็นต้น อย่างไรก็ดี บริษัทจะต้องระมัดระวังในการใช้ฐานทางกฎหมายนี้ในการเก็บรวบรวมข้อมูลส่วนบุคคล และหากกรณีพบว่าประโยชน์โดยชอบด้วยกฎหมายดังกล่าวมีความสำคัญน้อยกว่าสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล หรือเป็นกรณีที่อาจกระทบสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลเป็นอย่างมาก บริษัทจะไม่เก็บรวบรวมข้อมูลส่วนบุคคลโดยอาศัยฐานประโยชน์โดยชอบด้วยกฎหมาย แต่บริษัทจะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลหากบริษัทยังคงประสงค์จะเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวต่อไป
เพื่อเป็นแนวทางในการปรับใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย บริษัทจะต้องทำการประเมินว่าการเก็บรวบรวมข้อมูลส่วนบุคคลใดๆ เป็นไปตามหลักเกณฑ์ดังต่อไปนี้ทุกประการหรือไม่
- บริษัทหรือบุคคลที่สามมีผลประโยชน์ที่ชอบด้วยกฎหมาย ในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวหรือไม่
- การเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวมีความจำเป็นต่อผลประโยชน์ตามข้อ (1) หรือไม่
- เจ้าของข้อมูลส่วนบุคคลพึงคาดหมายได้ว่าบริษัทอาจมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวหรือไม่
- การเก็บรวบรวมข้อมูลดังกล่าวมีความสำคัญไม่น้อยกว่าสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล หรือไม่ใช่เป็นกรณีที่อาจกระทบสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลเป็นอย่างมากหรือไม่
- บริษัทมีมาตรการปกป้องดูแลข้อมูลส่วนบุคคลที่เหมาะสมในการจัดเก็บข้อมูลส่วนบุคคลนั้นแล้วหรือไม่
1.7 เพื่อปฏิบัติตามกฎหมายที่บังคับใช้กับบริษัท (ฐานหน้าที่ตามกฎหมาย)
ในกรณีที่มีกฎหมายกำหนดให้บริษัทเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทไม่จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้อาจรวมถึงการดำเนินการกับข้อมูลส่วนบุคคลตามคำสั่งศาลหรือเจ้าหน้าที่ของรัฐ ตัวอย่างเช่น การเก็บข้อมูลส่วนบุคคลของลูกจ้างไว้เพื่อการปฏิบัติตามกฎหมายการคุ้มครองแรงงาน การเก็บเอกสารทางบัญชีไว้เป็นระยะเวลาตามที่กฎหมายกำหนด เป็นต้น
2. กรณีข้อมูลส่วนบุคคลที่มีความอ่อนไหว บริษัทจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวได้ก็ต่อเมื่อได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล (โปรดดูหลักเกณฑ์และวิธีการในข้อ 1.1) เว้นแต่จะเข้าข้อยกเว้นตามกฎหมาย ดังนี้:
- ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าจะด้วยเหตุใดก็ตาม ซึ่งกรณีดังกล่าวมักจะเป็นการใช้สำหรับกรณีฉุกเฉิน
- เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล
- เป็นการจำเป็นเพื่อปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ:
- เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของลูกจ้าง
- ประโยชน์ด้านสาธารณสุข
- การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลตามสิทธิของผู้มีสิทธิตามกฎหมาย ซึ่งการเก็บรวบรวมมีความจำเป็นต่อการปฏิบัติตามสิทธิหรือหน้าที่ของบริษัทหรือของเจ้าของข้อมูลส่วนบุคคล
- การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น
- ประโยชน์สาธารณะอื่นที่สำคัญ เช่น การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อวัตถุประสงค์ในการป้องกันโรคติดต่อหรือโรคระบาด การเก็บรวบรวมและเปิดเผยต่อหน่วยงานรัฐซึ่งข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อวัตถุประสงค์ในการป้องกันและปราบปรามการฟอกเงิน
หมายเหตุ แนวทางการพิจารณาและการตีความคำว่า “ประโยชน์สาธารณะ” อาจมีการเปลี่ยนแปลงตามแนวทางการพิจารณาและการให้ความหมายของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือตามที่ระบุในกฎหมายลำดับรองซึ่งอาจมีการประกาศใช้บังคับเป็นการเพิ่มเติมในอนาคต
ทั้งนี้ รายละเอียดในเรื่องของ ประเภท วัตถุประสงค์ และฐานทางกฎหมายของการเก็บข้อมูลส่วนบุคคลของบริษัทนั้นจะปรากฏอยู่ในประกาศความเป็นส่วนตัว (Privacy Notice) สำหรับเจ้าของข้อมูลส่วนบุคคลประเภทต่าง ๆ
3. แนวปฏิบัติในการเก็บรวบรวมข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลจะต้องถูกเก็บรวบรวมไว้เท่าที่จำเป็นเพื่อบรรลุวัตถุประสงค์ที่บริษัทกำหนดไว้เท่านั้น บริษัทจะต้องพิจารณาและเลือกเก็บรวบรวมข้อมูลเท่าที่จำเป็นที่จะต้องใช้และทิ้งหรือทำลายข้อมูลที่อาจได้มาโดยไม่จำเป็นโดยเฉพาะอย่างยิ่งข้อมูลส่วนบุคคลที่มีความอ่อนไหว ทั้งนี้เพื่อลดความเสี่ยงในการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายของบริษัท
ในกรณีที่บริษัทได้รับข้อมูลส่วนบุคคลมากเกินความจำเป็น บริษัทต้องหาวิธีการทำให้บริษัทสามารถเก็บข้อมูลส่วนบุคคลได้เท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์ของการเก็บรวบรวมนั้น เช่น ในกรณีที่บริษัทใช้ข้อมูลส่วนบุคคลเพื่อระบุตัวตนของคู่ค้าหรือตัวแทนของคู่ค้าของบริษัทจากสำเนาบัตรประชาชน ซึ่งโดยปกติบริษัทจำเป็นต้องใช้เพียงข้อมูลส่วนบุคคลทั่วไปในการระบุตัวตนของบุคคลดังกล่าว (เช่น ชื่อและรูปภาพ) ดังนั้น กรณีที่อาจมีข้อมูลส่วนบุคคลที่มีความอ่อนไหวปรากฏบนบัตรประชาชนอยู่ด้วย (เช่น ศาสนา) บริษัทจะพิจารณาหาวิธีการทำให้ข้อมูลดังกล่าวไม่ปรากฏบนสำเนาบัตรเมื่ออยู่ในการครอบครองของบริษัท ซึ่งอาจเป็นการขีดฆ่าข้อมูลที่ไม่จำเป็นในสำเนาบัตรประชาชนที่ตนได้รับมา เหลือเพียงข้อมูลที่จำเป็นสำหรับการระบุตัวตนเท่านั้น เป็นต้น
ประกาศความเป็นส่วนตัวสำหรับเจ้าของข้อมูลส่วนบุคคล (Privacy Notice)
เมื่อจะมีการดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทจะจัดทำและแจ้งประกาศความเป็นส่วนตัว (Privacy Notice) ต่อเจ้าของข้อมูลส่วนบุคคลประเภทต่างๆ เพื่อชี้แจงรายละเอียดของการประมวลผลข้อมูล คำจำกัดความ ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวม วัตถุประสงค์ของการเก็บรวบรวม ฐานทางกฎหมายของการเก็บรวบรวม ระยะเวลาในการเก็บรวบรวมหรือระยะเวลาที่คาดหมาย ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลอาจถูกเปิดเผยต่อบุคคลหรือหน่วยงานนั้น ๆ ข้อมูลรายละเอียดการติดต่อเกี่ยวกับบริษัท สิทธิของเจ้าของข้อมูลส่วนบุคคล และรายละเอียดอื่น ๆ ที่เกี่ยวข้อง เพื่อให้เจ้าของข้อมูลส่วนบุคคลทราบ เข้าใจ และประกอบการพิจารณาให้ความยินยอมในกรณีที่การเก็บรวบรวมนั้นไม่อยู่ในฐานทางกฎหมายที่สามารถเก็บรวบรวมโดยปราศจากความยินยอมได้
บริษัทจะต้องแจ้งหรือส่งมอบประกาศความเป็นส่วนตัวให้กับเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล การแจ้งหรือการส่งมอบประกาศความเป็นส่วนอาจไม่จำเป็นต้องกระทำซ้ำในกรณีที่บริษัทได้เคยแจ้งหรือส่งมอบประกาศความเป็นส่วนตัวให้กับเจ้าของข้อมูลส่วนบุคคลดังกล่าวแล้ว แต่ในกรณีที่บริษัทมีการแก้ไขประกาศความเป็นส่วนตัวในภายหลัง บริษัทจะต้องแจ้งหรือส่งมอบประกาศความเป็นส่วนตัวที่แก้ไขให้กับเจ้าของข้อมูลใหม่
แหล่งที่มาของข้อมูลส่วนบุคคล
โดยทั่วไปบริษัทจะต้องเก็บรวบรวมข้อมูลส่วนบุคคลจากตัวเจ้าของข้อมูลส่วนบุคคลเองโดยตรง อย่างไรก็ตามหากบริษัทเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยตรง บริษัทจะดำเนินการแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นและแจ้งประกาศความเป็นส่วนตัวให้เจ้าของข้อมูลส่วนบุคคลทราบ โดยไม่ชักช้าแต่ไม่เกิน 30 วันนับแต่วันที่บริษัทได้เก็บรวบรวม และบริษัทจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลด้วยในกรณีที่เก็บรวบรวมข้อมูลส่วนบุคคลโดยอาศัยฐานความยินยอม ทั้งนี้ ยกเว้นในกรณีที่บริษัทจะต้องนำข้อมูลส่วนบุคคลนั้นไปใช้ในการติดต่อกับเจ้าของข้อมูลส่วนบุคคล บริษัทจะแจ้งเจ้าของข้อมูลให้ทราบเมื่อทำการติดต่อครั้งแรก และในกรณีที่บริษัทนำข้อมูลส่วนบุคคลไปเปิดเผย บริษัทจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนการนำข้อมูลส่วนบุคคลไปเปิดเผยเป็นครั้งแรก
อย่างไรก็ตาม ในบางกรณีบริษัทอาจไม่ต้องแจ้งข้อมูลการเก็บและประกาศความเป็นส่วนตัวดังกล่าวต่อเจ้าของข้อมูลส่วนบุคคล หากบริษัทสามารถพิสูจน์ได้ว่าการแจ้งข้อมูลดังกล่าวไม่สามารถทำได้หรือจะเป็นอุปสรรคต่อการใช้หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท หรือเจ้าของข้อมูลส่วนบุคคลทราบถึงรายละเอียดต่าง ๆ นั้นอยู่แล้ว เช่น เจ้าของข้อมูลส่วนบุคคลเคยได้รับประกาศความเป็นส่วนตัวสำหรับการทำธุรกรรมบางประการกับบริษัทแล้ว และประสงค์จะทำธุรกรรมเช่นเดิมกับบริษัทอีกคราว
นอกจากนี้หากในการดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทได้ทำการว่าจ้างผู้ประมวลผลข้อมูลส่วนบุคคลในการกระทำการแทนตามคำสั่งของบริษัท บริษัทอาจให้ผู้ประมวลผลข้อมูลส่วนบุคคลเป็นผู้กระทำการแจ้งประกาศความเป็นส่วนตัวแทนบริษัทได้ ซึ่งบริษัทจะต้องดำเนินการให้ผู้ประมวลผลข้อมูลส่วนบุคคลปฏิบัติตามให้สอดคล้องและเป็นไปตามนโยบายนี้เฉกเช่นเดียวกัน และถือเสมือนว่าบริษัทได้ดำเนินการแจ้งรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามหน้าที่ที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดในฐานะที่บริษัทเป็นผู้ควบคุมข้อมูลส่วนบุคคลแล้ว
สิทธิของเจ้าของข้อมูลส่วนบุคคล
บริษัทพึงตระหนักว่าเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะดำเนินการใด ๆ กับข้อมูลส่วนบุคคลของตนซึ่งอยู่ในความครอบครองของบริษัท ตามที่กำหนดในกฎหมายคุ้มครองข้อมูลส่วนบุคคล บริษัทจึงต้องจัดให้มีแบบคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล เพื่ออำนวยความสะดวกให้แก่เจ้าของข้อมูลส่วนบุคคลในการแจ้งความประสงค์ขอใช้สิทธิต่าง ๆ กับบริษัท อย่างไรก็ดี ในกรณีที่บริษัทมีเหตุจำเป็นต้องปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล บริษัทจะต้องแจ้งเหตุแห่งการปฏิเสธดังกล่าวให้เจ้าของข้อมูลส่วนบุคคลทราบเป็นลายลักษณ์อักษร และบันทึกเหตุแห่งการปฏิเสธนั้นไว้เป็นลายลักษณ์อักษร
1. สิทธิเพิกถอนความยินยอม เจ้าของข้อมูลส่วนบุคคลมีสิทธิเพิกถอนความยินยอมซึ่งได้เคยให้ไว้กับบริษัทผ่านหนังสือขอความยินยอม ไม่ว่าจะเป็นการเพิกถอนความยินยอมบางส่วนหรือทั้งหมด และสามารถกระทำได้ตลอดระยะเวลาที่บริษัทเก็บรักษาข้อมูลส่วนบุคคล ทั้งนี้ บริษัทจะต้องแจ้งถึงผลกระทบให้เจ้าของข้อมูลส่วนบุคคลทราบเมื่อมีการเพิกถอนด้วย (ถ้ามี) อย่างไรก็ดี การเพิกถอนความยินยอมจะไม่กระทบถึงการใด ๆ ที่บริษัทได้กระทำไปแล้วก่อนหน้าอันเนื่องมาจากการได้รับความยินยอมโดยชอบด้วยกฎหมายจากเจ้าของข้อมูลส่วนบุคคล
เหตุในการปฏิเสธ: เป็นกรณีที่มีข้อจำกัดสิทธิในการถอนความยินยอมตามกฎหมายหรือเป็นกรณีข้อมูลส่วนบุคคลที่เกี่ยวข้องกับสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล
ระยะเวลาการตอบสนอง: โดยไม่ชักช้า
2. สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของบริษัท หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม
เหตุในการปฏิเสธ: บริษัทอาจปฏิเสธคำขอบังคับตามสิทธินี้ได้ในกรณีต่อไปนี้เท่านั้น:
- เป็นการทำตามกฎหมายหรือคำสั่งศาล หรือ
- เมื่อบริษัทเห็นว่าจะส่งผลกระทบต่อสิทธิและเสรีภาพขั้นพื้นฐานของบุคคลอื่น
ทั้งนี้หากมีเหตุแห่งการปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิข้างต้น บริษัทจะต้องทำการบันทึกการปฏิเสธคำขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป
ระยะเวลาการตอบสนอง: กรณีบริษัทไม่อาจปฏิเสธได้ บริษัทจะต้องดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลภายใน30 วัน นับแต่วันที่ได้รับคำขอ
3. สิทธิร้องขอรับและขอให้โอนหรือส่งข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากบริษัท หรือขอให้บริษัทส่งหรือโอนข้อมูลไปให้แก่บุคคลหรือองค์กรอื่นในรูปแบบที่สามารถอ่านได้หรือใช้งานได้โดยทั่วไป รวมถึงมีสิทธิขอรับข้อมูลส่วนบุคคลของตนเองที่บริษัทหรือบุคคลหรือองค์กรอื่นที่ได้รับโอนไปเก็บรวบรวมไว้ การร้องขอนี้จะใช้ได้ในกรณีที่บริษัทได้เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยได้รับความยินยอมหรือเพื่อปฏิบัติตามสัญญาหรือคำร้องขอก่อนทำสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับบริษัทเท่านั้น
เหตุการปฏิเสธ: บริษัทสามารถปฎิเสธคำร้องขอได้หากข้อมูลส่วนบุคคลดังกล่าวนั้นถูกใช้เพื่อประโยชน์สาธารณะหรือเพื่อปฏิบัติหน้าที่ตามกฎหมาย หรือการใช้สิทธินั้นเป็นการละเมิดสิทธิและเสรีภาพของบุคคลอื่น เช่น กรณีที่ข้อมูลดังกล่าวมีข้อมูลที่เป็นความลับทางการค้า หรือข้อมูลทรัพย์สินทางปัญญาเป็นส่วนหนึ่ง
ทั้งนี้หากมีเหตุแห่งการปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิข้างต้น บริษัทจะต้องทำการบันทึกการปฏิเสธคำขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป
ระยะเวลาการตอบสนอง: โดยไม่ชักช้า
4. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทได้ในกรณีต่อไปนี้:
(1) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์โดยชอบด้วยกฎหมายหรือสาธารณะประโยชน์ ซึ่งรวมถึงการปฏิบัติตามคำสั่งของเจ้าหน้าที่รัฐด้วย
เหตุปฏิเสธคำขอ (สำหรับข้อ 4 (1)): บริษัทสามารถพิสูจน์ได้ว่ามีเหตุที่ชอบด้วยกฎหมายที่สำคัญยิ่งกว่าผลประโยชน์ สิทธิ หรือเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อก่อตั้ง ปฏิบัติตาม ใช้ หรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
ทั้งนี้หากมีเหตุแห่งการปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิข้างต้น บริษัทจะต้องทำการบันทึกการปฏิเสธคำขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป
(2) กรณีการตลาดแบบตรง เจ้าของข้อมูลส่วนบุคคลสามารถคัดค้านได้อย่างไม่มีเงื่อนไข
(3) เพื่อการวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ สถิติ เว้นแต่เป็นการจำเป็นเพื่อประโยชน์สาธารณะ
ระยะเวลาการตอบสนอง: โดยไม่ชักช้า และในกรณีที่บริษัทไม่มีเหตุแห่งการปฏิเสธ บริษัทจะดำเนินการแยกส่วนข้อมูลส่วนบุคคลข้างต้นออกจากข้อมูลอื่นในทันทีนับแต่เมื่อเจ้าของข้อมูลส่วนบุคคลแจ้งการคัดค้านให้ทราบ
5. สิทธิร้องขอให้ลบข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลกลายเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ หรือทำให้เป็นข้อมูลที่ไม่สามารถนำกลับมาใช้ได้ เมื่อ:
(1) ข้อมูลส่วนบุคคลนั้นหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์แล้ว ทั้งนี้ ตามระยะเวลาที่อาจบอกกล่าวให้เจ้าของข้อมูลทราบในประกาศความเป็นส่วนตัว
(2) เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอมและบริษัทไม่สามารถใช้ฐานทางกฎหมายอื่นในการเก็บข้อมูลได้อีก
(3) เจ้าของข้อมูลส่วนบุคคลได้คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และบริษัทไม่สามารถปฏิเสธคำคัดค้านได้
(4) ข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย
เหตุปฏิเสธคำขอ: บริษัทมีสิทธิปฏิเสธคำขอได้ในกรณีที่ได้เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ในกรณีต่อไปนี้
- เป็นการเก็บรักษาเพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น
- เพื่อการบรรลุวัตถุประสงค์ในฐานเกี่ยวกับการจัดทำเอกสารทางประวัติศาสตร์หรือจดหมายเหตุ การวิจัย สถิติหรือฐานประโยชน์สาธารณะ
- เป็นการเก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหวซึ่งเป็นการจำเป็นในการปฏิบัติหน้าที่ตามกฎหมายเพื่อวัตถุประสงค์ในด้านเวชศาสตร์ป้องกัน อาชีวเวชศาสตร์ ประเมินความสามารถในการทำงานของลูกจ้าง ประโยชน์สาธารณะด้านการสาธารณสุข
- การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
- การใช้เพื่อปฏิบัติหน้าที่ตามกฎหมาย
หากข้อมูลส่วนบุคคลนั้นได้ถูกเปิดเผยต่อสาธารณะโดยการกระทำของบริษัทหรือถูกโอนให้ผู้ควบคุมข้อมูลส่วนบุคคลอื่นและเจ้าของข้อมูลส่วนบุคคลได้มีคำขอให้ลบ ทำลาย หรือทำให้ข้อมูลดังกล่าวไม่สามารถระบุตัวตนได้ บริษัทต้องดำเนินการในการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวไม่สามารถระบุตัวตนได้ และต้องแจ้งผู้ควบคุมข้อมูลส่วนบุคคลอื่น ๆ ให้ดำเนินการเช่นว่าด้วย
ระยะเวลาการตอบสนอง: โดยไม่ชักช้า
6. สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทระงับการใช้ข้อมูลส่วนบุคคลได้ เมื่อ:
(1) ได้มีการร้องขอให้บริษัทแก้ไขความถูกต้องของข้อมูลส่วนบุคคลและอยู่ในระหว่างการตรวจสอบ อย่างไรก็ดี บริษัทอาจพิจารณายกเลิกการระงับการใช้ข้อมูลส่วนบุคคลได้หากบริษัทตรวจสอบแล้วเห็นว่าข้อมูลที่ได้รับการร้องขอให้แก้ไขเป็นข้อมูลที่ถูกต้องอยู่แล้ว โดยแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนการยกเลิกพร้อมเหตุผล
(2) เป็นการใช้ข้อมูลที่ไม่ชอบด้วยกฎหมาย แต่เจ้าของข้อมูลส่วนบุคคลขอให้ระงับการใช้แทนการลบ
(3) ข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้แล้ว แต่เจ้าของข้อมูลได้เคยขอให้บริษัทเก็บรักษาข้อมูลไว้เพราะจำเป็นต่อการใช้ ก่อตั้ง ปฏิบัติตาม หรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมายของเจ้าของข้อมูลส่วนบุคคลเอง
(4) บริษัทอยู่ในระหว่างการพิสูจน์เพื่อปฏิเสธการคัดค้านข้อมูลส่วนบุคคล อย่างไรก็ดี บริษัทอาจพิจารณายกเลิกการระงับการใช้ข้อมูลส่วนบุคคลได้หากบริษัทเห็นว่าบริษัทมีสิทธิในการใช้ข้อมูลต่อไปตามเหตุแห่งการปฏิเสธสิทธิในการคัดค้านข้อมูลส่วนบุคคลที่กล่าวไปข้างต้น
ระยะเวลาการตอบสนอง: โดยไม่ชักช้า
7. สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลอาจขอให้บริษัทดำเนินการให้ข้อมูลส่วนบุคคลนั้น ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
ทั้งนี้หากมีเหตุแห่งการปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิข้างต้น บริษัทจะต้องทำการบันทึกการปฏิเสธคำขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป
ระยะเวลาการตอบสนอง: โดยไม่ชักช้า
8. สิทธิการร้องเรียน เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญซึ่งได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เมื่อเห็นว่าบริษัทหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของบริษัทหรือผู้ประมวลผลข้อมูลส่วนบุคคล ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
หน้าที่และความรับผิดชอบของบุคลากร
พนักงานและบุคลากรทุกคน รวมถึงบุคคลที่ได้รับการว่าจ้างและพนักงานของบุคคลที่บริษัทว่าจ้าง มีหน้าที่ในการปฏิบัติตามกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ และจะต้องรักษาความลับในข้อมูลส่วนบุคคลอย่างเคร่งครัด และไม่นำข้อมูลส่วนบุคคลที่ได้รับในระหว่างการปฏิบัติหน้าที่การงานไปใช้ในทางที่ไม่เหมาะสม ใช้เพื่อแสวงหาประโยชน์ส่วนตัว หรือใช้โดยมิชอบด้วยกฎหมาย โดยอาจแบ่งหน้าที่ได้ตามลำดับขั้น ดังนี้
1. ตำแหน่งประธานเจ้าหน้าที่บริหารและบุคลากรระดับบริหาร
มีหน้าที่กำกับดูแลกระบวนการคุ้มครองข้อมูลส่วนบุคคลทั้งหมดของบริษัท ดังนี้
- กำหนดบุคคลหรือหน่วยงานซึ่งทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)และ/หรือบุคคลหรือหน่วยงานอื่น เพื่อเป็นศูนย์กลางของบริษัทในการดูแลและรับเรื่องที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลจากหน่วยงานต่าง ๆ ภายในบริษัท
- มอบหมายงานให้แก่พนักงานในการกำหนดวิธีปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงวิธีปฏิบัติในการจัดการความเสี่ยงที่อาจเกิดขึ้นจากการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลโดยบริษัท พร้อมทั้งแนวทางในการแก้ปัญหาอย่างเป็นรูปธรรมเมื่อเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคลขึ้นภายในบริษัท
- จัดให้มีการควบคุมและตรวจสอบการปฏิบัติตามนโยบายหรือความเหมาะสมของนโยบายนี้อย่างสม่ำเสมอ
- เป็นผู้อนุมัติในการดำเนินงานเชิงนโยบายต่าง ๆ ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เช่น จัดให้มีการทบทวนความเหมาะสมของนโยบายนี้หรือการคุ้มครองข้อมูลส่วนบุคคลภายในบริษัทหรือแก้ไขเปลี่ยนแปลงนโยบายนี้
- พิจารณาและอนุมัติในการตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลหากการตอบสนองต่อการร้องขอดังกล่าวอาจมีผลกระทบอย่างมีนัยสำคัญต่อบริษัท เจ้าของข้อมูลส่วนบุคคล และ/หรือบุคคลอื่นใด
2. ตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) หรือผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
มีหน้าที่ให้คำแนะนำและตรวจสอบกระบวนการคุ้มครองข้อมูลส่วนบุคคลทั้งหมดของบริษัท ดังนี้
- วิเคราะห์ ประเมิน ตรวจสอบ และควบคุมกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของบริษัท และให้คำแนะนำแก่บุคลากรหรือหน่วยงานอื่นภายในบริษัท เพื่อให้กิจกรรมการประมวลผลข้อมูลส่วนบุคคลของบริษัทเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท
- ตรวจสอบ และอนุมัติแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของแต่ละหน่วยงานภายในบริษัท รวมถึงวิธีปฏิบัติในการจัดการความเสี่ยงที่อาจเกิดขึ้นจากการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลโดยบริษัท และแนวทางในการแก้ปัญหาเมื่อเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคลขึ้นภายในบริษัท
- วิเคราะห์ ประเมิน และให้คำแนะนำแก่บุคลากรและหน่วยงานภายในบริษัทเกี่ยวกับการตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลหากการตอบสนองต่อการร้องขอดังกล่าวอาจมีผลกระทบอย่างมีนัยยะสำคัญต่อบริษัท เจ้าของข้อมูลส่วนบุคคล และ/หรือบุคคลอื่นใด
- รายงานเหตุการณ์ต่าง ๆ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลภายในบริษัทไปยังกรรมการผู้จัดการและบุคลากรระดับบริหาร
- ติดต่อประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นภายในบริษัทต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายในระยะเวลาที่กฎหมายกำหนด
- ศึกษารายละเอียดของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎ ประกาศ คำสั่ง ระเบียบ หรือกฎหมายอื่นใดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงติดตามการเปลี่ยนแปลงหรือแก้ไขเพิ่มเติมของกฎหมายคุ้มครองข้อมูลส่วนบุคคลดังกล่าว และแจ้งให้บุคลากรของบริษัททราบ
- อธิบาย สร้างความเข้าใจ และความตระหนักรู้แก่บุคลากรของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง
3. ตำแหน่งระดับผู้จัดการฝ่าย/ผช.ผู้จัดการฝ่าย
มีหน้าที่กำกับดูแลการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายในแผนกของตนซึ่งอาจมีลักษณะที่แตกต่างกันไปตามแต่ละแผนก โดยอาจแบ่งหน้าที่ได้ดังนี้
- อนุญาตให้บุคคลใดเข้าถึงข้อมูลส่วนบุคคลหรือมอบหมายหน้าที่ให้แก่พนักงานในการเป็นผู้รับผิดชอบในการดูแลข้อมูลส่วนบุคคลในส่วนต่าง ๆ ของแผนก
- จัดให้มีแนวปฏิบัติและการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในแผนก และสร้างความเข้าใจร่วมกันว่าข้อมูลส่วนบุคคลใดที่จำเป็นต้องเก็บและข้อมูลส่วนบุคคลใดที่ไม่จำเป็นต้องเก็บเพื่อการใช้ปฏิบัติงานภายในแผนก
- จัดให้มีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลในแผนกให้มีมาตรฐานตามกฎหมายและนโยบายนี้
- อนุมัติในการตอบสนองคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลและปรึกษาหารือกับแผนกที่เกี่ยวข้องในเรื่องดังกล่าว รวมถึงหารือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท และรายงานต่อฝ่ายบริหารเพื่อขออนุมัติหากการตอบสนองต่อการร้องขอดังกล่าวอาจมีผลกระทบอย่างมีนัยยะสำคัญต่อบริษัท เจ้าของข้อมูลส่วนบุคคล และ/หรือบุคคลอื่นใด
- ปรึกษาหารือกับฝ่ายบริหารและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อกำหนดวิธีปฏิบัติที่เหมาะสม
- จัดให้มีการบันทึกการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลของแผนกตามรายการที่กำหนดในนโยบายนี้
- รับรายงานจากผู้ใต้บังคับบัญชากรณีได้รับแจ้งถึงเหตุการละเมิดข้อมูลส่วนบุคคล และพิจารณาว่าการละเมิดนั้นอาจมีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลหรือไม่ รวมถึงการปรึกษาหารือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท และผู้บริหารเพื่อพิจารณาให้มีคำสั่งให้ดำเนินการใดๆ ที่เหมาะสมตามนโยบายนี้ต่อไป
4. ตำแหน่งระดับพนักงาน/หัวหน้างาน
มีหน้าที่ปฏิบัติตามกฎหมายและนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้อย่างเคร่งครัด โดยเฉพาะในส่วนที่เป็นขั้นตอนในระดับการปฏิบัติการ ดังนี้
- เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามกฎหมายและนโยบายนี้ รวมถึงเข้าร่วมการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
- ปฏิบัติตามหน้าที่ที่ได้รับมอบหมายในการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ในเรื่องที่เกี่ยวกับการจัดการข้อมูลส่วนบุคคล เช่น ความปลอดภัย การส่ง โอนเปิดเผย หรือ การบันทึกข้อมูล ต่าง ๆ เป็นต้น
- แจ้งให้ผู้บังคับบัญชาทราบในกรณีที่เห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด ๆ ในบริษัท หรือคำสั่งให้กระทำการใด ๆ ดังกล่าวไม่ชอบด้วยกฎหมาย หรือเมื่อเห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด ๆ อาจก่อให้เกิดความเสี่ยงต่อการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล
- แจ้งให้ผู้บังคับบัญชาทราบเพื่ออนุมัติในกรณีได้รับคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- แจ้งให้ผู้บังคับบัญชาทราบโดยทันทีในกรณีทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคล ไม่ว่าการละเมิดนั้นจะเกิดจากการจงใจหรือประมาทเลินเล่อของบุคคลใดก็ตาม และไม่ว่าการละเมิดนั้นอาจจะมีหรือไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
5. ผู้รับจ้างและผู้ให้บริการซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท
มีหน้าที่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและนโบบายนี้อย่างเคร่งครัด นอกจากนี้ยังต้องอยู่ภายใต้บังคับของสัญญาประมวลผลข้อมูลส่วนบุคคลที่ทำไว้กับบริษัท (ถ้ามี) โดยมีหน้าที่ดังนี้
- เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามกฎหมายและนโยบายนี้ รวมถึงเข้าร่วมการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัทเมื่อมีการร้องขอ
- แจ้งให้บริษัททราบโดยไม่ชักช้าหากมีการละเมิดข้อมูลส่วนบุคคล ทั้งนี้ภายในระยะเวลา 24 ชั่วโมงนับตั้งแต่ที่ทราบถึงการละเมิดนั้น
- สนับสนุนและช่วยเหลือบริษัทในการตอบสนองคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
การฝ่าฝืนกฎหมายและนโยบายนี้ของพนักงานอาจถือเป็นเหตุลงโทษทางวินัยได้ และการฝ่าฝืนกฎหมายหรือนโยบายนี้ของผู้รับจ้างหรือผู้ให้บริการซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท อาจถือว่าเป็นการผิดสัญญาที่มีกับบริษัทด้วยเช่นกัน หากการฝ่าฝืนหรือไม่ปฏิบัติตามดังกล่าวส่งผลกระทบทำให้เกิดความเสียหายแก่บริษัท บริษัทอาจถือให้เป็นเหตุเลิกจ้างหรือเลิกสัญญาได้ นอกจากนี้ยังอาจมีโทษทางอาญาซึ่งเป็นโทษปรับและจำคุกสำหรับผู้กระทำการแทนบริษัทที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมาย พนักงานและผู้ที่เกี่ยวข้องจึงต้องศึกษากฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและนโยบายนี้ และปฏิบัติตามอย่างเคร่งครัด
มาตรการการคุ้มครองข้อมูลส่วนบุคคล
บริษัทจะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยเชิงนโยบายและเชิงเทคนิคที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ตามมาตรฐานที่กฎหมายกำหนด
การบันทึก การใช้และเปิดเผยข้อมูลส่วนบุคคล
บริษัทจะต้องจัดให้มีการบันทึกการใช้และเปิดเผยข้อมูลที่ได้เก็บรวบรวม โดยมีรายการอย่างน้อย ได้แก่
- ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม รวมถึงวัตถุประสงค์และระยะเวลาการจัดเก็บข้อมูล
- การใช้หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีการเก็บข้อมูลโดยอาศัยฐานทางกฎหมายอื่นที่ไม่ใช่การขอความยินยอม
- สิทธิและวิธีการและเงื่อนไขในการใช้สิทธิเข้าถึงข้อมูลของเจ้าของข้อมูลส่วนบุคคล
- การปฏิเสธหรือคัดค้านคำขอใช้สิทธิประเภทต่างๆ พร้อมเหตุผลตามที่ระบุในนโยบายนี้ และ
- คำอธิบายมาตรการรักษาความมั่นคงปลอดภัยที่บริษัทจัดให้มีขึ้น
ทั้งนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลตรวจสอบได้ และสามารถบังคับตามสิทธิที่เจ้าของข้อมูลส่วนบุคคลแจ้งหรือร้องขอแก่บริษัท
การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองค์กรระหว่างประเทศ
บริษัทสามารถโอนหรือส่งข้อมูลส่วนบุคคลไปยังต่างประเทศในกรณีดังต่อไปนี้
1. ประเทศปลายทางได้ถูกรับรองว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
2. กรณีประเทศปลายทางมีมาตรฐานไม่เพียงพอ การโอนข้อมูลส่วนบุคคลจะต้องเข้าข้อยกเว้นตามกฎหมาย อันได้แก่
- เป็นการปฏิบัติตามกฎหมาย
- ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยแจ้งให้รู้ถึงมาตรฐานที่ไม่เพียงพอของประเทศหรือองค์กรปลายทางแล้ว
- เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อดำเนินการตามคำร้องขอก่อนเข้าทำสัญญา
- เป็นการปฏิบัติตามสัญญาระหว่างบริษัทกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
- เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
3. กรณีที่เป็นการส่งหรือโอนข้อมูลระหว่างบุคคลหรือนิติบุคคลต่างประเทศซึ่งอยู่ในเครือกิจการเดียวกัน บริษัทอาจส่งหรือโอนข้อมูลส่วนบุคคลระหว่างกัน โดยไม่ต้องดำเนินการตามที่กำหนดไว้ข้างต้น โดยบริษัทจะต้องจัดให้มีนโยบายการคุ้มครองข้อมูลส่วนบุคคลสำหรับการส่งหรือโอนข้อมูลระหว่างกันในเครือธุรกิจเดียวกันที่ได้รับการตรวจสอบและรับรองจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ในปัจจุบันบริษัทยังไม่มีนโยบายการส่งข้อมูลส่วนบุคคลระหว่างกันสำหรับบริษัทในเครือ)
ในปัจจุบัน คณะกรรมการยังมิได้มีการกำหนดประเทศที่มีมาตรฐานเพียงพอและยังไม่มีการรับรองนโยบายการส่งหรือโอนข้อมูลส่วนบุคคลระหว่างกันสำหรับบริษัทในเครือ อย่างไรก็ตาม บริษัทก็ยังสามารถส่งข้อมูลส่วนบุคคลไปต่างประเทศหรือองค์กรระหว่างประเทศได้หากบริษัทได้จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมสามารถบังคับตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ รวมทั้งมีมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพตามมาตรฐานที่กฎหมายกำหนด ทั้งนี้ ปัจจุบันกฎหมายยังไม่ได้กำหนดมาตรฐานดังกล่าวไว้แต่อย่างใด บริษัทจึงสามารถดำเนินการส่งหรือโอนข้อมูลส่วนบุคคลให้เป็นไปตามเงื่อนไขที่กำหนดไว้ในข้อ 2 จนกว่าจะมีการประกาศใช้กฎหมายเพิ่มเติมในเรื่องดังกล่าว
การดำเนินการเมื่อมีการละเมิดข้อมูลส่วนบุคคล
เมื่อมีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้นภายในบริษัท โดยที่เหตุละเมิดนั้นมีความเสี่ยงที่จะกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล พนักงานและบุคลากรทุกคนจะต้องประสานงานกันเพื่อดำเนินการให้ถูกต้องตามกฎหมาย โดยบริษัท จะต้องแจ้งการละเมิดดังกล่าวแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ที่ได้ทราบเหตุเท่าที่สามารถจะกระทำได้ ในกรณีที่การละเมิดนั้นมีความเสี่ยงสูงที่จะเกิดผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ให้บริษัทแจ้งเหตุการณ์ละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมแนวทางเยียวยาโดยไม่ชักช้าด้วย
การแก้ไขเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคล
นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้อาจมีการแก้ไขเปลี่ยนแปลงเป็นตามสมควร ทั้งนี้ตามการเปลี่ยนแปลงของกฎหมาย และความเหมาะสมทางธุรกิจ
หมายเหตุ: นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ได้รับการแก้ไขเปลี่ยนแปลงครั้งล่าสุดเมื่อวันที่ [1 มิถุนายน 2565]
การสอบถามข้อมูลเพิ่มเติม และการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล
กรณีมีข้อสงสัยหรือคำถามเพิ่มเติมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือกรณีมีความประสงค์จะแจ้งเหตุแห่งการละเมิดข้อมูลส่วนบุคคล โปรดติดต่อ:
[ชื่อ]
[ตำแหน่ง]
[แผนก]
[หมายเลขโทรศัพท์]
[อีเมล]