นโยบายคุ้มครองข้อมูลส่วนบุคคลของ
บริษัท ล็อกซเล่ย์ ซิสเต็ม อินทิเกรเตอร์ จำกัด
Embedded Files
1. บทนำ
1.1 วัตถุประสงค์ของนโยบายการคุ้มครองข้อมูลส่วนบุคคลและขอบเขตการใช้บังคับ
1.1.1 เพื่อเป็นการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่นๆที่เกี่ยวข้อง รวมถึงกฎหมายฉบับแก้ไขเพิ่มเติมใด ๆ ในอนาคต (ต่อไปนี้จะรวมกันเรียกว่า “กฎหมาย คุ้มครองข้อมูลส่วนบุคคล”) บริษัท ล็อกซเล่ย์ ซิสเต็ม อินทิเกรเตอร์ จํากัด จึงจัดทํานโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ (ต่อไปนี้จะเรียกว่า “นโยบาย”)
1.1.2 เพื่อให้เจ้าของข้อมูลส่วนบุคคลดังต่อไปนี้ ได้รับทราบนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
1.1.2.1 บุคคลภายในบริษัท ได้แก่
(1) ผู้สมัครงานกับบริษัท
(2) บุคคลที่เกี่ยวข้องกับผู้สมัครงาน
(3) บุคลากรของบริษัท
(4) ผู้ถือหุ้นของบริษัท และผู้กระทำการแทนผู้ถือหุ้น
(5) สมาชิกครอบครัวของบุคลากร
(6) พนักงานจ้างเหมาแรงงานของบริษัท
1.1.2.2 บุคคลภายนอกที่เกี่ยวข้องกับบริษัท ได้แก่
(1) ผู้จัดหาจากภายนอก และพันธมิตรทางธุรกิจของบริษัท รวมถึงผู้ที่เกี่ยวข้องกับบุคคลดังกล่าว
(2) ลูกค้าและผู้ที่เกี่ยวข้องกับลูกค้า รวมถึงผู้ใช้งานเว็บไซต์ หรือแพลตฟอร์มของบริษัท
(3) ผู้ติดต่อหรือผู้เข้ามาในสถานที่ของบริษัท
1.2 หลักการในการบริหารจัดการและคุ้มครองข้อมูลส่วนบุคคลของบริษัท
เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลตามนโยบายนี้เป็นไปอย่างมีประสิทธิภาพ บริษัทจึงได้มีกําหนดกรอบ ในการบริหารจัดการคุ้มครองข้อมูลส่วนบุคคลขึ้น เพื่อให้มั่นใจว่าการคุ้มครองข้อมูลส่วนบุคคลของบริษัท มีความเหมาะสมและมีประสิทธิภาพ โดยมีหลักการที่สําคัญในการกําหนดกรอบระบบบริหารจัดการ คุ้มครองข้อมูลส่วนบุคคล ประกอบด้วย
1.2.1 ครบวงจร (End to End)
การบริหารจัดการคุ้มครองข้อมูลส่วนบุคคล ต้องครอบคลุมกระบวนการประมวลผลทั้งหมดตั้งแต่ เริ่มต้นจนถึงการทําลาย และการใช้สิทธิของเจ้าของข้อมูล รวมถึงเอกสารต่างๆ ภายในกระบวนการ โดยบริษัทได้กําหนดขั้นตอนนี้ไว้ในนโยบายนี้
1.2.2 ข้อจํากัดและการรวบรวมข้อมูล (Limitation and Minimisation)
การบริหารจัดการคุ้มครองข้อมูลส่วนบุคคลที่บริษัทกําหนดขึ้น ต้องมั่นใจว่าได้มีการกําหนดการ จํากัด (Limitaion) เฉพาะเท่าที่กําหนดตามวัตถุประสงค์ หรือผู้ที่จะเข้าถึง และการกําหนดน้อยที่สุด (Minimisation) เท่าที่จําเป็นทั้งด้านข้อมูล ขั้นตอน และการส่งต่อ
1.2.3 ระบบรักษาความปลอดภัยที่เหมาะสมกับข้อมูล (Appropriate Security Safeguard)
การบริหารจัดการคุ้มครองข้อมูลส่วนบุคคลของบริษัท ต้องมีการกําหนดให้มีการออกแบบ ระบบป้องกันที่เหมาะสมกับข้อมูลส่วนบุคคลตามความเสี่ยง (Risk Based Approach) เพื่อป้องกันและลดความเสี่ยงจากการละเมิดข้อมูลส่วนบุคคลให้น้อยที่สุด
1.2.4 การควบคุมและพัฒนาข้อมูลอย่างต่อเนื่อง (Continuous Control and Improvement)
การบริหารจัดการคุ้มครองข้อมูลส่วนบุคคลของบริษัท ต้องจัดทําให้อยู่ในกรอบการบริหารแบบ PDCA (Plan Do Check Act) เพื่อให้มั่นใจได้ว่าการควบคุมการคุ้มครองข้อมูลส่วนบุคคลมีการ ตรวจสอบและทบทวนอย่างสม่ําเสมอ
1.3 กรอบการบริหารจัดการข้อมูลส่วนบุคคลของบริษัท
บริษัทได้มีการกําหนดมาตรการและวางกรอบในการบริหารจัดการข้อมูลส่วนบุคคลที่อยู่ในความคุมของบริษัทดังนี้
1.3.1 นโยบาย (Policy)
บริษัทมีการกําหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลเชิงนโยบายและ เชิงเทคนิคที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึงใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูล ส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ และมีการทบทวนมาตรการดังกล่าวเมื่อมีความจําเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ตามมาตรฐานที่กฎหมายกําหนด
1.3.2 การบริหารความเสี่ยง (Risk Management)
บริษัทมีการประเมินและบริหารความเสี่ยงจากการถูกละเมิดข้อมูลส่วนบุคศส พร้อมการบริหารจัดการ เพื่อลดความเสี่ยงให้น้อยที่สุดเท่าที่บริษัทยอมรับได้ โดยได้กําหนดไว้ในขั้นตอนการประเมินความ เสี่ยงการคุ้มครองข้อมูลส่วนบุคคล
1.3.3 รูปแบบของความเป็นส่วนตัวและความปลอดภัยของข้อมูลส่วนบุคคล (Privacy & Security)
บริษัทได้กําหนดขั้นตอนในการออกแบบการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อนําไป กําหนดระบบป้องกันความปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม และธํารงไว้ซึ่งความพร้อมใช้ ของข้อมูล (Availability) ความครบถ้วนสมบูรณ์ของข้อมูล (Integrity) และความลับของข้อมูล (Confidentiality) ตามข้อมูลส่วนบุคคลของเจ้าของข้อมูลแต่ละประเภท โดยได้กําหนดไว้ในนโยบาย รักษาความมั่นคงปลอดภัยด้านสารสนเทศ
1.3.4 แนวทางปฏิบัติในการควบคุมและประมวลผลข้อมูล (Data Processing Protection Guidelines)
บริษัทได้กําหนดขั้นตอนการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลแต่ละประเภท ซึ่งครอบคลุมการประมวลผลข้อมูลตั้งแต่ต้นกระบวนการในการเก็บรวบรวม จนถึงการทําลายและการแจ้งสิทธิ เพื่อใช้เป็นแนวปฏิบัติของพนักงานผู้รับผิดชอบ
1.3.5 การตอบสนองต่อการละเมิต (Breach Response)
บริษัทได้กําหนดมาตรการในการแก้ไขเมื่อมีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น โดยได้กําหนดขั้นตอนการปฏิบัติงานไว้ในขั้นตอนแก้ไขการรั่วไหลหรือละเมิดข้อมูลส่วนบุคคล
1.3.6 สิทธิการขอเข้าถึงข้อมูล (Rights of Access)
การกําหนดระเบียบปฏิบัติในการรองรับการใช้สิทธิของเจ้าของข้อมูล เพื่อให้มีการปฏิบัติให้เป็นไปตามที่กฎหมายกําหนด
1.3.7 การตรวจสอบภายในและการฝึกอบรม (Internal Audit and Training)
บริษัทกําหนดให้มีการตรวจประเมินระบบภายในบริษัท (Internal Audit) อย่างน้อยปีละ 1 ครั้ง และการอบรมพัฒนาพนักงานให้มีความรู้ความเข้าใจกฎหมายและระเบียบปฏิบัติอย่างสม่ําเสมอ เพื่อให้มั่นใจว่ามีการดําเนินการเป็นไปตามระเบียบปฏิบัติที่กําหนด
1.3.8 การทบทวนการบริหารจัดการ (Management Review)
บริษัทกําหนดให้มีการประชุมผู้บริหารเพื่อพิจารณาการดําเนินงาน และทบทวนระบบบริหาร จัดการคุ้มครองข้อมูลส่วนบุคคลอย่างน้อยปีละ 1 ครั้ง เพื่อให้การควบคุมและดําเนินการตามระบบ บริหารจัดการข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพบริษัทจึงได้มีการแต่งตั้งเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) ในการดูแลและควบคุมบริหารจัดการ คุ้มครองข้อมูลส่วนบุคคล
1.4 นิยามสําคัญ
1.4.1 “บริษัท” หมายถึง บริษัท ล็อกซเล่ย์ ซิสเต็ม อินทิเกรเตอร์ จํากัด ซึ่งกระทําการใด ๆ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์ที่ระบุในประกาศความเป็นส่วนตัวสําหรับเจ้าของข้อมูลส่วนบุคคลแต่ละประเภท
1.4.2 “ข้อมูลส่วนบุคคล" หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทําให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
1.4.3 “ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ความคิดเห็นทางการเมือง ความเชื่อในสัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติ อาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือ ข้อมูลอื่นใดซึ่งอาจก่อให้เกิดการเลือกปฏิบัติโดยไม่เป็นธรรมต่อเจ้าของข้อมูลส่วนบุคคลหรือกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทํานองเดียวกันตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกําหนด
1.4.4 “เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล ได้แก่ ลูกค้าผู้จัดหาจากภายนอก พันธมิตรทางธุรกิจ กรรมการ พนักงาน ลูกจ้าง ผู้ถือหุ้น ผู้มาติดต่อ และบุคคลธรรมดาอื่นใดที่บริษัทมีการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลธรรมดานั้น
1.4.5 “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งมีอํานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
1.4.6 “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งดําเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดําเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
1.4.7 “ฐานทางกฎหมาย” หมายถึง เหตุที่กฎหมายรองรับให้สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้ทั้งนี้ ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
2. การเก็บรวบรวมข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย
ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยบริษัท บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจะต้องกระทํา ภายใต้ฐานทางกฎหมายที่กําหนดไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งได้ถูกกําหนดเป็นแนวทางไว้ในนโยบาย ฉบับนี้ ดังนี้
2.1 กรณีข้อมูลส่วนบุคคลทั่วไป
การเก็บข้อมูลส่วนบุคคลนั้นจะทําได้ต่อเมื่อเข้าเงื่อนไขของฐานทางกฎหมายประการใดประการหนึ่งใน 7 ประการ ได้แก่
2.1.1 ความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (ฐานความยินยอม)
2.1.1.1 ในกรณีที่ไม่สามารถเก็บรวบรวม ข้อมูลด้วยฐานทางกฎหมายอื่นตามที่ระบุในข้อ 2.1.2-2.1.7 ของนโยบายนี้ได้ บริษัทจําเป็นต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของ ข้อมูลส่วนบุคคลก่อน หรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล การไม่ตอบรับหรือการนิ่ง เฉยไม่ถือว่าเป็นความยินยอมจากเจ้าของข้อมูลส่วนบุคคล นอกจากนี้ ความยินยอมต้อง ทําเป็นลายลักษณ์อักษร หรือผ่านระบบอิเล็กทรอนิกส์ ซึ่งอาจมีรูปแบบและข้อความที่ บริษัทจัดทําขึ้น (หนังสือขอความยินยอม) หรือตามที่กฎหมายกําหนด (ถ้ามี) ยกเว้นการขอ ความยินยอมด้วยวิธีดังกล่าวไม่สามารถกระทําได้ ในกรณีนี้เจ้าของข้อมูลอาจให้ความ ยินยอมด้วยวาจาได้ แต่บริษัทจะต้องบันทึกความยินยอมดังกล่าวไว้เป็นลายลักษณ์อักษร พร้อมระบุรายละเอียดของวิธีการให้ความยินยอมและวันที่ให้ความยินยอมนั้น ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลอาจถอนความยินยอมได้ทุกเมื่อ เว้นแต่จะมีกฎหมายหรือสัญญาที่เป็นคุณแก่เจ้าของข้อมูลส่วนบุคคลจํากัดสิทธิไว้
2.1.1.2 บริษัทต้องตระหนักอยู่เสมอว่าบริษัทจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลได้ต่อเมื่อเจ้าของข้อมูลส่วนบุคคลสามารถให้ความยินยอมโดยอิสระและโดยความสมัครใจโดยแท้เท่านั้น
2.1.1.3 ในกรณีที่บริษัทจะต้องขอความยินยอมจากผู้เยาว์ที่ยังไม่บรรลุนิติภาวะ บุคคลไร้ความสามารถ หรือบุคคลเสมือนไร้ความสามารถ บริษัทจะต้องได้รับความยินยอมจาก ผู้ใช้อํานาจปกครองที่มีอํานาจกระทําการแทนผู้เยาว์ ผู้อนุบาส หรือผู้พิทักษ์ตามล่ําดับ ทั้งนี้ หากเป็นผู้เยาว์ที่อายุ 10 ปีขึ้นไปก็อาจให้ความยินยอมเองได้สําหรับกรณีที่เป็นการดําเนินการที่ผู้เยาว์กระทําได้โดยสําพัง
2.1.2 เพื่อการจัดทําเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะการทําวิจัยหรือสถิติ(ฐานจดหมายเหตุวิจัย/สถิติ)
บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่เกี่ยวกับการจัดทําเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ตามที่กฎหมายกําหนด
2.1.3 เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (ฐานประโยชน์สําคัญต่อชีวิต)
ในบางกรณี บริษัทอาจมีความจําเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อป้องกันหรือระงับอันตราย ต่อชีวิต ร่างกายหรือสุขภาพของบุคคลใดๆ ซึ่งไม่จํากัดเพียงเจ้าของข้อมูลส่วนบุคคลเท่านั้น เช่น กรณี บริษัทมีความจําเป็นต้องเก็บข้อมูลส่วนบุคคลเนื่องจากอุบัติเหตุฉุกเฉินที่เกิดขึ้นกับเจ้าของข้อมูลส่วน บุคคล ในกรณีนี้ บริษัทไม่ต้องขอความยินยอม เพื่อเก็บรวบรวมข้อมูลส่วนบุคคล
2.1.4 เพื่อปฏิบัติตามสัญญาระหว่างบริษัทกับเจ้าของข้อมูลส่วนบุคคลหรือเพื่อใช้ดําเนินการตามคําขอของเจ้าของข้อมูลก่อนเข้าทําสัญญากับบริษัท (ฐานสัญญา)
ในกรณีที่บริษัทมีความจําเป็นต้องเก็บข้อมูลส่วนบุคคลเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูล ส่วนบุคคลเป็นคู่สัญญาโดยตรงกับบริษัท หรือดําเนินการตามคําร้องขอของเจ้าของข้อมูลส่วนบุคคล ก่อนเข้าทําสัญญากับบริษัทนั้น บริษัทไม่ต้องขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว
2.1.5 เพื่อปฏิบัติหน้าที่ในการดําเนินภารกิจเพื่อประโยชน์สาธารณะ (ฐานประโยชน์สาธารณะ)
ในกรณีที่บริษัทจําเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่ในการดําเนินภารกิจเพื่อ ประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อํานาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล บริษัทไม่ต้องขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว
2.1.6 เป็นการจําเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย (ฐานประโยชน์โดยชอบด้วยกฎหมาย)
2.1.6.1 บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ในกรณีที่บริษัทจําเป็นต้องเก็บข้อมูลดังกล่าวเพื่อใช้ดําเนินการเกี่ยวกับประโยชน์ โดยชอบด้วยกฎหมายของบริษัทหรือบุคคลที่สามซึ่งไม่ใช่เจ้าของข้อมูลส่วนบุคคล ได้แก่ ประโยชน์โดยชอบด้วยกฎหมายในการดําเนินธุรกิจของบริษัทและ/หรือบุคคลที่สาม ประโยชน์โดยชอบด้วยกฎหมายในการรักษาความปลอดภัยและปกป้องทรัพย์สินและบุคคล ที่อยู่ภายในบริเวณของบริษัท ประโยชน์โดยชอบด้วยกฎหมายในการบริหารจัดการองค์กร ของบริษัท เป็นต้น อย่างไรก็ดี บริษัทจะต้องระมัดระวังในการใช้ฐานทางกฎหมายนี้ในการ เก็บรวบรวมข้อมูลส่วนบุคคล และหากกรณีพบว่าประโยชน์โดยชอบด้วยกฎหมายดังกล่าวมี ความสําคัญน้อยกว่าสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล หรือเป็นกรณีที่ อาจกระทบสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลเป็นอย่างมาก บริษัทจะไม่ เก็บรวบรวมข้อมูลส่วนบุคคลโดยอาศัยฐานประโยชน์โดยชอบด้วยกฎหมาย แต่บริษัทจะต้อง ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลหากบริษัทยังคงประสงค์จะเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวต่อไป
2.1.6.2 เพื่อเป็นแนวทางในการปรับใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย บริษัทจะต้องทําการประเมินว่าการเก็บรวบรวมข้อมูลส่วนบุคคลใดๆ เป็นไปตามหลักเกณฑ์ดังต่อไปนี้ ทุกประการหรือไม่
(1) บริษัทหรือบุคคลที่สามมีผลประโยชน์ที่ชอบด้วยกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวหรือไม่
(2) การเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวมีความจําเป็นต่อผลประโยชน์ตามข้อ (1)หรือไม่
(3) เจ้าของข้อมูลส่วนบุคคลพึงคาดหมายได้ว่าบริษัทอาจมีความจําเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวหรือไม่
(4) การเก็บรวบรวมข้อมูลดังกล่าวมีความสําคัญไม่น้อยกว่าสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล หรือไม่ใช่เป็นกรณีที่อาจกระทบสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลเป็นอย่างมากหรือไม่
(5) บริษัทมีมาตรการปกป้องดูแลข้อมูลส่วนบุคคลที่เหมาะสมในการจัดเก็บข้อมูลส่วนบุคคลนั้นแล้วหรือไม่
2.1.7 เพื่อปฏิบัติตามกฎหมายที่บังคับใช้กับบริษัท (ฐานหน้าที่ตามกฎหมาย)
ในกรณีที่มีกฎหมายกําหนดให้บริษัทเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทไม่จําเป็นต้อง ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ อาจรวมถึงการดําเนินการกับข้อมูลส่วนบุคคลตาม คําสั่งศาลหรือเจ้าหน้าที่ของรัฐ ตัวอย่างเช่น การเก็บข้อมูลส่วนบุคคลของลูกจ้างไว้เพื่อการปฏิบัติ ตามกฎหมายการคุ้มครองแรงงาน การเก็บเอกสารทางบัญชีไว้เป็นระยะเวลาตามที่กฎหมายกําหนด เป็นต้น
2.2 กรณีข้อมูลส่วนบุคคลที่มีความอ่อนไหว
บริษัทจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวได้ก็ต่อเมื่อได้รับความยินยอมโดย ชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล (โปรดดูหลักเกณฑ์และวิธีการในข้อ 2.1.1) เว้นแต่จะเข้าข้อยกเว้น ตามกฎหมาย ดังนี้
2.2.1 ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าจะด้วยเหตุใดก็ตาม ซึ่งกรณีดังกล่าวมักจะเป็นการใช้สําหรับกรณีฉุกเฉิน
2.2.2 เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล
2.2.2 เป็นการจําเป็นเพื่อปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ
2.2.2.1 เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทํางานของลูกจ้าง
2.2.2.2 ประโยชน์ด้านสาธารณสุข
2.2.2.3 การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลตามสิทธิของผู้มีสิทธิ์ตามกฎหมาย ซึ่งการเก็บรวบรวมมีความจําเป็นต่อการปฏิบัติตามสิทธิ์หรือหน้าที่ของบริษัทหรือของเจ้าของข้อมูลส่วนบุคคล
2.2.2.4 การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น
2.2.4.5 ประโยชน์สาธารณะอื่นที่สําคัญ เช่น การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อวัตถุประสงค์ในการป้องกันโรคติดต่อหรือโรคระบาด การเก็บรวบรวมและเปิดเผยต่อ หน่วยงานรัฐซึ่งข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อวัตถุประสงค์ในการป้องกันและ ปราบปรามการฟอกเงิน
หมายเหตุ แนวทางการพิจารณาและการตีความคําว่า “ประโยชน์สาธารณะ” อาจมีการ เปลี่ยนแปลงตามแนวทางการพิจารณาและการให้ความหมายของคณะกรรมการคุ้มครอง ข้อมูลส่วนบุคคล หรือตามที่ระบุในกฎหมายลําดับรองซึ่งอาจมีการประกาศใช้บังคับเป็นการ เพิ่มเติมในอนาคต
รายละเอียดในเรื่องของประเภท วัตถุประสงค์ และฐานทางกฎหมายของการเก็บข้อมูลส่วนบุคคลของบริษัท จะปรากฏอยู่ในประกาศความเป็นส่วนตัวสําหรับเจ้าของข้อมูลส่วนบุคคลประเภทต่าง ๆ
2.3 แนวปฏิบัติในการเก็บรวบรวมข้อมูลส่วนบุคคล
2.3.1 ข้อมูลส่วนบุคคลจะต้องถูกเก็บรวบรวมไว้เท่าที่จําเป็นเพื่อบรรลุวัตถุประสงค์ที่บริษัทกําหนดไว้เท่านั้นบริษัทจะต้องพิจารณาและเลือกเก็บรวบรวมข้อมูลเท่าที่จําเป็นที่จะต้องใช้และทิ้งหรือทําสายข้อมูล ที่อาจได้มาโดยไม่จําเป็น โดยเฉพาะอย่างยิ่งข้อมูลส่วนบุคคลที่มีความอ่อนไหว ทั้งนี้ เพื่อลดความเสี่ยงในการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายของบริษัท
2.3.2 ในกรณีที่บริษัทได้รับข้อมูลส่วนบุคคลมากเกินความจําเป็น บริษัทต้องหาวิธีการทําให้บริษัทสามารถเก็บข้อมูลส่วนบุคคลได้เท่าที่จําเป็นต่อการบรรลุวัตถุประสงค์ของการเก็บรวบรวมนั้น เช่น ในกรณีที่ บริษัทใช้ข้อมูลส่วนบุคคลเพื่อระบุตัวตนของผู้จัดหาจากภายนอก หรือพันธมิตรทางธุรกิจหรือตัวแทน ของบุคคลดังกล่าวจากสําเนาบัตรประชาชน ซึ่งโดยปกติบริษัทจําเป็นต้องใช้เพียงข้อมูลส่วนบุคคล ทั่วไปในการระบุตัวตนของบุคคลดังกล่าว (เช่น ชื่อและรูปภาพ) ดังนั้น กรณีที่อาจมีข้อมูลส่วนบุคคล ที่มีความอ่อนไหวปรากฏบนบัตรประชาชนอยู่ด้วย (เช่น ศาสนา หมูโสหิต) บริษัทจึงควรหาวิธีการทําให้ ข้อมูลดังกล่าวไม่ปรากฏบนสําเนาบัตรเมื่ออยู่ในการครอบครองของบริษัท ซึ่งอาจเป็นการขีดฆ่าข้อมูลที่ไม่จําเป็นในสําเนาบัตรประชาชนที่ตนได้รับมา เหลือเพียงข้อมูลที่จําเป็นสําหรับการระบุตัวตนเท่านั้น เป็นต้น
3. ประกาศความเป็นส่วนตัวสําหรับเจ้าของข้อมูลส่วนบุคคล
3.1 เมื่อจะมีการดําเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทจะจัดทําและแจ้งประกาศความเป็นส่วนตัว (Privacy Notice) ต่อเจ้าของข้อมูลส่วนบุคคลประเภทต่างๆ เพื่อชี้แจงรายละเอียดของการ ประมวลผลข้อมูล คําจํากัดความ ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวมวัตถุประสงค์ของการเก็บรวบรวมฐาน ทางกฎหมายของการเก็บรวบรวม ระยะเวลาในการเก็บรวบรวมหรือระยะเวลาที่คาดหมาย ประเภทของบุคคล หรือหน่วยงานซึ่งข้อมูลส่วนบุคคลอาจถูกเปิดเผยต่อบุคคลหรือหน่วยงานนั้น ๆ ข้อมูลรายละเอียดการติดต่อ เกี่ยวกับบริษัท สิทธิของเจ้าของข้อมูลส่วนบุคคล และรายละเอียดอื่น ๆ ที่เกี่ยวข้อง เพื่อให้เจ้าของข้อมูลส่วน บุคคลทราบ เข้าใจ และประกอบการพิจารณาให้ความยินยอมในกรณีที่การเก็บรวบรวมนั้นไม่อยู่ในฐาน ทางกฎหมายที่สามารถเก็บรวบรวมโดยปราศจากความยินยอมได้
3.2 บริษัทจะต้องแจ้งหรือส่งมอบประกาศความเป็นส่วนตัวให้กับเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่เป็นกรณีการเก็บรวบรวมข้อมูลส่วนบุคคสที่บริษัทได้เก็บรวบรวม ใช้ หรือเปิดเผย ก่อนมีนโยบายนี้ และบริษัทยังมีความจําเป็นต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าวอยู่ต่อไป บริษัท จะต้องดําเนินการแจ้งหรือส่งมอบประกาศความเป็นส่วนตัวให้เจ้าของข้อมูลส่วนบุคคสทราบโดยเร็วที่สุด
3.3 การแจ้งหรือการส่งมอบประกาศความเป็นส่วนตัวอาจไม่จําเป็นต้องกระทําซ้ําในกรณีที่บริษัทได้เคยแจ้งหรือส่งมอบประกาศความเป็นส่วนตัวให้กับเจ้าของข้อมูลส่วนบุคคลดังกล่าวแล้ว แต่ในกรณีที่บริษัทมีการแก้ไข ประกาศความเป็นส่วนตัวในภายหลัง บริษัทจะต้องแจ้งหรือส่งมอบประกาศความเป็นส่วนตัวที่แก้ไขให้กับ เจ้าของข้อมูลใหม่
4. แหล่งที่มาของข้อมูลส่วนบุคคล
4.1 บริษัทจะต้องเก็บรวบรวมข้อมูลส่วนบุคคลจากตัวเจ้าของข้อมูลส่วนบุคคลเองโดยตรง ในกรณีที่บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยตรง บริษัทจะดําเนินการแจ้งเจ้าของ ข้อมูลส่วนบุคคลให้ทราบถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นและแจ้งประกาศความเป็นส่วนตัวให้ เจ้าของข้อมูลส่วนบุคคลทราบ ภายใน 30 วันนับแต่วันที่บริษัทได้เก็บรวบรวม
4.2 ในกรณีที่บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลโดยอาศัยฐานความยินยอม บริษัทจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลด้วย ยกเว้นในกรณีที่บริษัทจะต้องนําข้อมูลส่วนบุคคลนั้นไปใช้ในการติดต่อกับเจ้าของข้อมูล ส่วนบุคคล บริษัทจะแจ้งเจ้าของข้อมูลให้ทราบเมื่อทําการติดต่อครั้งแรก และในกรณีที่บริษัทนํา ข้อมูลส่วนบุคคลไปเปิดเผย บริษัทจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนการนําข้อมูลส่วนบุคคล ไปเปิดเผยเป็นครั้งแรก
4.3 ในบางกรณีบริษัทอาจไม่ต้องแจ้งข้อมูลการเก็บและประกาศความเป็นส่วนตัวดังกล่าวต่อเจ้าของข้อมูลส่วนบุคคล หากบริษัทสามารถพิสูจน์ได้ว่าการแจ้งข้อมูลดังกล่าวไม่สามารถทําได้หรือจะเป็นอุปสรรคต่อการใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท หรือเจ้าของข้อมูลส่วนบุคคลทราบถึงรายละเอียดต่าง ๆ นั้นอยู่แล้ว เช่น เจ้าของข้อมูลส่วนบุคคลเคยได้รับประกาศความเป็นส่วนตัวสําหรับการทําธุรกรรมบางประการกับบริษัท แล้ว และประสงค์จะทําธุรกรรมเช่นเดิมกับบริษัทอีกคราว
4.4 ในการดําเนินการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หากบริษัทได้ทําการว่าจ้างผู้ประมวลผลข้อมูลส่วนบุคคลในการกระทําการแทนตามคําสั่งของบริษัท บริษัทอาจให้ผู้ประมวลผลข้อมูลส่วนบุคคลเป็นผู้กระทํา การแจ้งประกาศความเป็นส่วนตัวแทนบริษัทได้ ซึ่งบริษัทจะต้องดําเนินการให้ผู้ประมวลผลข้อมูลส่วนบุคคล ปฏิบัติตามให้สอดคล้องและเป็นไปตามนโยบายนี้เช่นเดียวกัน และถือเสมือนว่าบริษัทได้ดําเนินการแจ้ง รายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามหน้าที่ที่กฎหมายคุ้มครองข้อมูลส่วน บุคคลกําหนดในฐานะที่บริษัทเป็นผู้ควบคุมข้อมูลส่วนบุคคลแล้ว
5. สิทธิของเจ้าของข้อมูลส่วนบุคคล
บริษัทตระหนักว่าเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะดําเนินการใด ๆ กับข้อมูลส่วนบุคคลของตนซึ่งอยู่ในความ ครอบครองของบริษัท ตามที่กําหนดในกฎหมายคุ้มครองข้อมูลส่วนบุคคล บริษัทจึงจัดให้มีแบบคําร้องขอใช้สิทธิของ เจ้าของข้อมูลส่วนบุคคล เพื่ออํานวยความสะดวกให้แก่เจ้าของข้อมูลส่วนบุคคลในการแจ้งความประสงค์ ขอใช้สิทธิต่าง ๆ กับบริษัท
ในกรณีที่บริษัทมีเหตุจําเป็นต้องปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล บริษัทจะต้องแจ้งเหตุแห่งการปฏิเสธ ดังกล่าวให้เจ้าของข้อมูลส่วนบุคคลทราบเป็นลายลักษณ์อักษร และบันทึกเหตุแห่งการปฏิเสธนั้นไว้เป็น สายลักษณ์อักษร
5.1 สิทธิ์เพิกถอนความยินยอม
5.1.1 เจ้าของข้อมูลส่วนบุคคลมีสิทธิ์เพิกถอนความยินยอมซึ่งได้เคยให้ไว้กับบริษัทผ่านหนังสือขอความยินยอม ไม่ว่าจะเป็นการเพิกถอนความยินยอมบางส่วนหรือทั้งหมด และสามารถกระทําได้ตลอดระยะเวสาที่บริษัทเก็บรักษาข้อมูลส่วนบุคคล
5.1.2 บริษัทจะต้องแจ้งถึงผลกระทบให้เจ้าของข้อมูลส่วนบุคคลทราบ เมื่อมีการเพิกถอนด้วย (ถ้ามี)
5.1.3 การเพิกถอนความยินยอมจะไม่กระทบถึงการใด ๆ ที่บริษัทได้กระทําไปแล้วก่อนหน้า อันเนื่องมาจากการได้รับความยินยอมโดยชอบด้วยกฎหมายจากเจ้าของข้อมูลส่วนบุคคล
5.1.4 บริษัทอาจปฏิเสธสิทธิการเพิกถอนความยินยอม หากเป็นกรณีที่มีข้อจํากัดสิทธิในการถอนความยินยอมตามกฎหมายหรือเป็นกรณีข้อมูลส่วนบุคคลที่เกี่ยวข้องกับสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล
5.1.5 เมื่อได้รับคําร้องขอเพิกถอนความยินยอมบริษัทจะดําเนินการเพิกถอนความยินยอมโดยไม่ชักช้า
5.2 สิทธิขอเข้าถึงและขอรับสําเนาข้อมูลส่วนบุคคล
5.2.1 เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสําเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของบริษัท หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม
5.2.2 บริษัทอาจปฏิเสธคําขอบังคับตามสิทธินี้ได้ในกรณีต่อไปนี้เท่านั้น
5.2.2.1 เป็นการปฏิบัติตามกฎหมายหรือคําสั่งศาล หรือ
5.2.2.2 เมื่อบริษัทเห็นว่าจะส่งผลกระทบต่อสิทธิและเสรีภาพขั้นพื้นฐานของบุคคลอื่น
5.2.3 หากมีเหตุแห่งการปฏิเสธคําขอของเจ้าของข้อมูลส่วนบุคคลตามข้อ 5.2.2 ข้างต้น บริษัทจะต้องทําการบันทึกการปฏิเสธคำขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป
5.2.4 ระยะเวลาการตอบสนอง กรณีบริษัทไม่อาจปฏิเสธได้ บริษัทจะต้องดําเนินการตามคําขอของเจ้าของข้อมูลส่วนบุคคลภายใน 30 วัน นับแต่วันที่ได้รับคําขอ
5.3 สิทธิร้องขอรับและขอให้โอนหรือส่งข้อมูลส่วนบุคคล
5.3.1 เจ้าของข้อมูลส่วนบุคคสใสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับคนจากบริษัท หรือขอให้บริษัทส่งหรือโอนข้อมูลไปให้แก่บุคคลหรือองค์กรอื่นในรูปแบบที่สามารถอ่านได้หรือใช้งานได้โดยทั่วไป รวมถึง มีสิทธิขอรับข้อมูลส่วนบุคคลของตนเองที่บริษัทหรือบุคคลหรือองค์กรอื่นที่ได้รับโอนไปเก็บรวบรวมไว้ การร้องขอนี้จะใช้ได้ในกรณีที่บริษัทได้เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยได้รับความ ยินยอมหรือเพื่อปฏิบัติตามสัญญาหรือคําร้องขอก่อนทําสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับบริษัทเท่านั้น
5.3.2 บริษัทสามารถปฏิเสธคําร้องขอได้หากข้อมูลส่วนบุคคลดังกล่าวนั้นถูกใช้เพื่อประโยชน์สาธารณะหรือเพื่อปฏิบัติหน้าที่ตามกฎหมาย หรือการใช้สิทธินั้นเป็นการละเมิดสิทธิและเสรีภาพของบุคคลอื่น เช่นกรณีที่ข้อมูลดังกล่าวมีข้อมูลที่เป็นความลับทางการค้า หรือข้อมูลทรัพย์สินทางปัญญารวมอยู่ด้วย
5.3.3 หากมีเหตุแห่งการปฏิเสธคําขอของเจ้าของข้อมูลส่วนบุคคลตามข้อ 5.3.2 ข้างต้น บริษัทจะต้องทําการบันทึกการปฏิเสธคําขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป
5.3.4 เมื่อได้รับคําร้องขอเพิกถอนความยินยอมบริษัทจะดําเนินการเพิกถอนความยินยอมโดยไม่ชักช้า
5.4 สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
5.4.1 เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทได้ในกรณีต่อไปนี้
5.4.1.1 เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์โดยชอบด้วยกฎหมายหรือสาธารณะประโยชน์ ซึ่งรวมถึงการปฏิบัติตามคําสั่งของเจ้าหน้าที่รัฐด้วย
5.4.1.2 กรณีการตลาดแบบตรงเจ้าของข้อมูลส่วนบุคคลสามารถคัดค้านได้อย่างไม่มีเงื่อนไข
5.4.1.3 เพื่อการวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ สถิติ เว้นแต่เป็นการจําเป็นเพื่อประโยชน์สาธารณะ
5.4.2 หากบริษัทสามารถพิสูจน์ได้ว่ามีเหตุที่ชอบด้วยกฎหมายที่สําคัญยิ่งกว่าผลประโยชน์ สิทธิ์ หรือเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อก่อตั้ง ปฏิบัติตาม ใช้ หรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย บริษัทสามารถปฏิเสธคําร้องขอตามข้อ 5.4.1.1 ข้างต้นได้
5.4.3 หากมีเหตุแห่งการปฏิเสธคําขอของเจ้าของข้อมูลส่วนบุคคลตามข้อ 5.4.2 สิทธิข้างต้น บริษัทจะต้องทําการบันทึกการปฏิเสธคําขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป
5.4.4 เมื่อได้รับคําร้องขอเพิกถอนความยินยอมบริษัทจะดําเนินการเพิกถอนความยินยอมโดยไม่ชักช้า และในกรณีที่บริษัทไม่มีเหตุแห่งการปฏิเสธ บริษัทจะดําเนินการแยกส่วนข้อมูลส่วนบุคคลข้างต้นออกจาก ข้อมูลอื่นในทันทีนับแต่เมื่อเจ้าของข้อมูลส่วนบุคคลแจ้งการคัดค้านให้ทราบ
5.5 สิทธิร้องขอให้ลบข้อมูลส่วนบุคคล
5.5.1 เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทลบ ทําลาย หรือทําให้ข้อมูลส่วนบุคคลกสายเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ หรือทําให้เป็นข้อมูลที่ไม่สามารถนํากลับมาใช้ได้ เมื่อ
5.5.1.1 ข้อมูลส่วนบุคคลนั้นหมดความจําเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์แล้ว ทั้งนี้ตามระยะเวลาทีอาจบอกกล่าวให้เจ้าของข้อมูลทราบในประกาศความเป็นส่วนตัว
5.5.1.2 เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอมและบริษัทไม่สามารถใช้ฐานทางกฎหมายอื่นในการเก็บข้อมูลได้อีก
5.5.1.3 เจ้าของข้อมูลส่วนบุคคลได้คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และบริษัทไม่สามารถปฏิเสธคําคัดค้านได้
5.5.1.4 ข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวมใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย
5.5.2 บริษัทมีสิทธิ์ปฏิเสธคําขอได้ในกรณีที่ได้เก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ในกรณีต่อไปนี้
5.5.2.1 เป็นการเก็บรักษาเพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น
5.52.2 เพื่อการบรรลุวัตถุประสงค์ในฐานเกี่ยวกับการจัดทําเอกสารทางประวัติศาสตร์หรือจดหมายเหตุ การวิจัย สถิติหรือฐานประโยชน์สาธารณะ
5.5.2.3 เป็นการเก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว ซึ่งเป็นการจําเป็นในการปฏิบัติหน้าที่ตามกฎหมายเพื่อวัตถุประสงค์ในด้านเวชศาสตร์ป้องกัน อาชีวเวชศาสตร์ ประเมินความสามารถในการทํางานของลูกจ้าง ประโยชน์สาธารณะด้านการสาธารณสุข
5.52.4 การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย 5.5.25 การใช้เพื่อปฏิบัติหน้าที่ตามกฎหมาย
5.5.3 หากข้อมูลส่วนบุคคลนั้นได้ถูกเปิดเผยต่อสาธารณะโดยการกระทําของบริษัทหรือถูกโอนให้ผู้ควบคุมข้อมูลส่วนบุคคลอื่น และเจ้าของข้อมูลส่วนบุคคลได้มีคําขอให้ลบ ทําลาย หรือทําให้ข้อมูลดังกล่าวไม่ สามารถระบุตัวตนได้ บริษัทต้องดําเนินการในการสบ ทําลาย หรือทําให้ข้อมูลส่วนบุคคลดังกล่าวไม่สามารถระบุตัวตนได้ และต้องแจ้งผู้ควบคุมข้อมูลส่วนบุคคลอื่น ๆ ให้ดําเนินการเช่นว่าด้วย
5.5.4 เมื่อได้รับคําร้องขอเพิกถอนความยินยอมบริษัทจะดําเนินการเพิกถอนความยินยอมโดยไม่ชักช้า
5.6 สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
5.6.1 เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทระงับการใช้ข้อมูลส่วนบุคคลได้ เมื่อ
5.6.1.1 มีการร้องขอให้บริษัทแก้ไขความถูกต้องของข้อมูลส่วนบุคคลและอยู่ในระหว่างการตรวจสอบ ซึ่งบริษัทอาจพิจารณายกเลิกการระงับการใช้ข้อมูลส่วนบุคคลได้หากบริษัท ตรวจสอบแล้วเห็นว่าข้อมูลที่ได้รับการร้องขอให้แก้ไขเป็นข้อมูลที่ถูกต้องอยู่แล้ว โดยแจ้งให้เจ้าของข้อมูลส่วนบุคคลพรานก่อนการยกเลิกพร้อมเหตุผล
5.6.1.2 เป็นการใช้ข้อมูลที่ไม่ชอบด้วยกฎหมาย แต่เจ้าของข้อมูลส่วนบุคคลขอให้ระงับการใช้แทนการลบข้อมูล
5.6.1.3 ข้อมูลส่วนบุคคลหมดความจําเป็นในการเก็บรักษาไว้แล้ว แต่เจ้าของข้อมูลได้เคยขอให้บริษัทเก็บรักษาข้อมูลไว้เพราะจําเป็นต่อการใช้ ก่อตั้ง ปฏิบัติตาม หรือยกขึ้นต่อสู้สิทธิ์เรียกร้องตามกฎหมายของเจ้าของข้อมูลส่วนบุคคลเอง 5.6.1.4 บริษัทอยู่ในระหว่างการพิสูจน์เพื่อปฏิเสธการคัดค้านข้อมูลส่วนบุคคล ซึ่งบริษัทอาจพิจารณายกเล็กการระงับการใช้ข้อมูลส่วนบุคคลได้ หากบริษัทเห็นว่าบริษัทมีสิทธิ์ในการใช้ข้อมูลต่อไปตามเหตุแห่งการปฏิเสธสิทธิในการคัดค้านข้อมูลส่วนบุคคลที่กล่าวไปข้างต้น
5.6.2 เมื่อได้รับคําร้องขอเพิกถอนความยินยอม บริษัทจะดําเนินการเพิกถอนความยินยอมโดยไม่ชักช้า
5.7 สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล
5.7.1 เจ้าของข้อมูลส่วนบุคคลอาจขอให้บริษัทดําเนินการให้ข้อมูลส่วนบุคคลนั้น ถูกต้อง เป็นปัจจุบันสมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
5.7.2 หากมีเหตุแห่งการปฏิเสธคําขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิข้างต้น บริษัทจะต้องทําการบันทึกการปฏิเสธคําขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป
5.73 เมื่อได้รับคําร้องขอเพิกถอนความยินยอมบริษัทจะดําเนินการเพิกถอนความยินยอมโดยไม่ชักช้า
5.8 สิทธิการร้องเรียน
เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญซึ่งได้รับการแต่งตั้งโดยคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคล เมื่อเห็นว่าบริษัทหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้าง ของบริษัทหรือผู้ประมวลผลข้อมูลส่วนบุคคล ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
6. หน้าที่และความรับผิดชอบของบุคลากร
พนักงานและบุคลากรทุกคน รวมถึงบุคคลที่ได้รับการว่าจ้างและพนักงานของบุคคลที่บริษัทว่าจ้าง มีหน้าที่ในการ ปฏิบัติตามกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคสนี้ และจะต้องรักษาความสับในข้อมูลส่วนบุคคล อย่างเคร่งครัด และไม่นําข้อมูลส่วนบุคคลที่ได้รับในระหว่างการปฏิบัติหน้าที่การงานไปใช้ในทางที่ไม่เหมาะสม ใช้เพื่อแสวงหาประโยชน์ส่วนตัว หรือใช้โดยมิชอบด้วยกฎหมาย โดยอาจแบ่งหน้าที่ได้ตามลําดับขั้น ดังนี้
6.1 ตําแหน่งกรรมการผู้จัดการและบุคลากรระดับบริหาร
6.1.1 มีหน้าที่กํากับดูแลกระบวนการคุ้มครองข้อมูลส่วนบุคคลทั้งหมดของบริษัท ดังนี้
6.1.1.1 กําหนดบุคคลหรือหน่วยงานซึ่งทําหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) และ/หรือบุคคลหรือหน่วยงานอื่น เพื่อเป็นศูนย์กลาง ของบริษัทในการดูแลและรับเรื่องที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลจากหน่วยงาน ต่าง ๆ ภายในบริษัท
6.1.1.2 มอบหมายงานให้แก่พนักงานในการกําหนดวิธีปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงวิธีปฏิบัติในการจัดการความเสี่ยงที่อาจเกิดขึ้นจากการเก็บรวบรวม ใช้ และเปิดเผย ข้อมูลส่วนบุคคลโดยบริษัท พร้อมทั้งแนวทางในการแก้ปัญหาอย่างเป็นรูปธรรมเมื่อเกิด เหตุการณ์ละเมิดข้อมูลส่วนบุคคลขึ้นภายในบริษัท
6.1.1.3 จัดให้มีการควบคุมและตรวจสอบการปฏิบัติตามนโยบายหรือความเหมาะสมของนโยบายนี้ อย่างสม่ําเสมอ
6.1.1.4 เป็นผู้อนุมัติในการดําเนินงานเชิงนโยบายต่าง ๆ ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เช่น จัดให้มีการทบทวนความเหมาะสมของนโยบายนี้หรือการคุ้มครองข้อมูลส่วนบุคคล ภายในบริษัทหรือแก้ไขเปลี่ยนแปลงนโยบายนี้
6.1.1.5 พิจารณาและอนุมัติในการตอบสนองต่อคําร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล หากการตอบสนองต่อการร้องขอดังกล่าวอาจมีผลกระทบอย่างมีนัยสําคัญต่อบริษัท เจ้าของข้อมูลส่วนบุคคล และ/หรือบุคคลอื่นใด
6.1.1.5 สนับสนุนในการปฏิบัติงานตามนโยบายนี้อย่างเพียงพอ
6.2 ตําแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer DFO) หรือผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
มีหน้าที่ให้คําแนะนําและตรวจสอบกระบวนการคุ้มครองข้อมูลส่วนบุคคลทั้งหมดของบริษัท ดังนี้
6.2.1 วิเคราะห์ ประเมิน ตรวจสอบ และควบคุมกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของบริษัท และให้คําแนะนําแก่บุคลากรหรือหน่วยงานอื่นภายในบริษัท เพื่อให้กิจกรรมการประมวลผลข้อมูลส่วน บุคคลของบริษัทเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท
6.2.2 ตรวจสอบ และอนุมัติแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคสของแต่ละหน่วยงานภายในบริษัท รวมถึงวิธีปฏิบัติในการจัดการความเสี่ยงที่อาจเกิดขึ้นจากการเก็บรวบรวมใช้ และเปิดเผยข้อมูล ส่วนบุคคลโดยบริษัท และแนวทางในการแก้ปัญหาเมื่อเกิดเหตุการณ์สะเมิดข้อมูลส่วนบุคคลขึ้นภายในบริษัท
6.2.3 วิเคราะห์ ประเมิน และให้คําแนะนําแก่บุคลากรและหน่วยงานภายในบริษัทเกี่ยวกับการตอบสนองต่อคําร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลหากการตอบสนองต่อการร้องขอดังกล่าวอาจมีผลกระทบอย่างมีนัยยะสําคัญต่อบริษัท เจ้าของข้อมูลส่วนบุคคล และ/หรือบุคคลอื่นใด
6.2.4 รายงานเหตุการณ์ต่าง ๆ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลภายในบริษัทไปยังกรรมการผู้จัดการและบุคลากรระดับบริหาร
6.2.5 ติดต่อประสานงานและให้ความร่วมมือกับสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลรวมถึงการแจ้งเหตุสะเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นภายในบริษัทต่อสํานักงานคณะกรรมการคุ้มครอง ข้อมูลส่วนบุคคลภายในระยะเวลาที่กฎหมายกําหนด
6.2.6 ศึกษารายละเอียดของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฏ ประกาศ คําสั่งระเบียบ หรือกฎหมายอื่นใดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงติดตามการ เปลี่ยนแปลงหรือแก้ไขเพิ่มเติมของกฎหมายคุ้มครองข้อมูลส่วนบุคคลดังกล่าว และแจ้งให้บุคลากรของบริษัททราบ
6.2.7 อธิบาย สร้างความเข้าใจ และความตระหนักรู้แก่บุคลากรของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และกฎหมายการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง
6.3 ตําแหน่งระดับผู้จัดการแผนก
มีหน้าที่กํากับดูแลการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายในแผนกของตน ซึ่งอาจมีลักษณะ ที่แตกต่างกันไปตามแต่ละแผนก โดยอาจแบ่งหน้าที่ได้ดังนี้
6.3.1 อนุญาตให้บุคคลใดเข้าถึงข้อมูลส่วนบุคคลหรือมอบหมายหน้าที่ให้แก่พนักงานในการเป็นผู้รับผิดชอบในการดูแลข้อมูลส่วนบุคคลในส่วนต่าง ๆ ของแผนก
6.3.2 จัดให้มีแนวปฏิบัติและการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในแผนก และสร้างความเข้าใจร่วมกันว่าข้อมูลส่วนบุคคลใดที่จําเป็นต้องเก็บและข้อมูลส่วนบุคคลใดที่ไม่จําเป็นต้องเก็บเพื่อการใช้ปฏิบัติงานภายในแผนก
6.3.3 จัดให้มีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลในแผนกให้มีมาตรฐานตามกฎหมายและนโยบายนี้ อนุมัติในการตอบสนองคําร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลและปรึกษาหารือกับแผนกที เกี่ยวข้องในเรื่องดังกล่าว รวมถึงหารือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือผู้รับผิดชอบเกี่ยวกับ การคุ้มครองข้อมูลส่วนบุคคลของบริษัท และรายงานต่อฝ่ายบริหารเพื่อขออนุมัติ หากการตอบสนอง ต่อการร้องขอดังกล่าว อาจมีผลกระทบอย่างมีนัยยะสําคัญต่อบริษัท เจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่นโต
6.3.5 ปรึกษาหารือกับฝ่ายบริหารและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อกําหนดวิธีปฏิบัติที่เหมาะสม
6.3.6 จัดให้มีการบันทึกการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูสของแผนกตามรายการที่กําหนดในนโยบายนี้
6.3.7 รับรายงานจากผู้ใต้บังคับบัญชากรณีได้รับแจ้งถึงเหตุการละเมิดข้อมูลส่วนบุคคล และพิจารณาว่าการละเมิดนั้นอาจมีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลหรือไม่ รวมถึงการปรึกษาหารือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคศสหรือผู้รับผิดชอบเกี่ยวกับการคุ้มครอง ข้อมูลส่วนบุคคลของบริษัท และผู้บริหารเพื่อพิจารณาให้มีคําสั่งให้ดําเนินการใดๆ ที่เหมาะสมตาม นโยบายนี้ต่อไป
6.4 ตําแหน่งระดับพนักงาน
มีหน้าที่ปฏิบัติตามกฎหมายและนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้อย่างเคร่งครัด โดยเฉพาะในส่วนที่ เป็นขั้นตอนในระดับการปฏิบัติการ ดังนี้
6.4.1 เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามกฎหมายและนโยบายนี้ รวมถึงเข้าร่วมการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
6.4.2 ปฏิบัติตามหน้าที่ที่ได้รับมอบหมายในการดําเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลทั้งนี้ ในเรื่องที่เกี่ยวกับการจัดการข้อมูลส่วนบุคคล เช่น ความปลอดภัย การส่ง โอน เปิดเผย หรือการบันทึกข้อมูลต่าง ๆ เป็นต้น
6.4.3 แจ้งให้ผู้บังคับบัญชาทราบในกรณีที่เห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโด ๆในบริษัท หรือคําสั่งให้กระทําการใด ๆ ดังกล่าวไม่ชอบด้วยกฎหมาย หรือเมื่อเห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด ๆ อาจก่อให้เกิดความเสี่ยงต่อการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล
6.4.4 แจ้งให้ผู้บังคับบัญชาทราบเพื่ออนุมัติในกรณีได้รับคําร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล 6.4.5 แจ้งให้ผู้บังคับบัญชาทราบโดยทันทีในกรณีทราบถึงเหตุการสะเมิดข้อมูลส่วนบุคคล ไม่ว่าการละเมิดนั้นจะเกิดจากการจงใจหรือประมาทเลินเล่อของบุคคลใดก็ตาม และไม่ว่าการสะเมิตนั้นอาจจะมีหรือไม่ มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
6.5 ผู้รับจ้างและผู้ให้บริการซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท
มีหน้าที่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและนโนบายนี้อย่างเคร่งครัด นอกจากนี้ยังต้อง อยู่ภายใต้บังคับของสัญญาประมวลผลข้อมูลส่วนบุคคลที่ทําไว้กับบริษัท (ถ้ามี) โดยมีหน้าที่ดังนี้
6.5.1 เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามกฎหมายและนโยบายนี้ รวมถึงเข้าร่วมการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัทเมื่อมีการร้องขอ
6.5.2 แจ้งให้บริษัททราบโดยไม่ชักช้าหากมีการละเมิดข้อมูลส่วนบุคคล ทั้งนี้ภายในระยะเวลา 24 ชั่วโมงนับตั้งแต่ที่ทราบถึงการละเมิดนั้น
6.5.3 สนับสนุนและช่วยเหลือบริษัทในการตอบสนองคําร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
6.6 การฝ่าฝืนกฎหมายและนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท
6.6.1 การฝ่าฝืนกฎหมายและนโยบายนี้ของพนักงานอาจถือเป็นเหตุลงโทษทางวินัยได้ และการฝ่าฝืนกฎหมายหรือนโยบายนี้ของผู้รับจ้างหรือผู้ให้บริการซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัทอาจถือเป็นการผิดสัญญาที่มีกับบริษัทด้วยเช่นกัน
6.6.2 หากการฝ่าฝืนหรือไม่ปฏิบัติตามดังกล่าวส่งผลกระทบทําให้เกิดความเสียหายแก่บริษัท บริษัทอาจถือให้เป็นเหตุเลิกจ้างหรือเลิกสัญญาได้ นอกจากนี้ยังอาจมีโทษทางอาญาซึ่งเป็นโทษปรับและจําคุก สําหรับผู้กระทําการแทนบริษัทที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมาย พนักงานและผู้ที่เกี่ยวข้องจึงต้อง ศึกษากฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและนโยบายนี้ และปฏิบัติตามอย่างเคร่งครัด
7. การบันทึกการใช้และเปิดเผยข้อมูลส่วนบุคคล
เพื่อให้เจ้าของข้อมูลส่วนบุคคลตรวจสอบ และสามารถบังคับตามสิทธิที่เจ้าของข้อมูลส่วนบุคคลแจ้ง หรือร้องขอ แก่บริษัท ตลอดจนเปิดเผยให้กับเจ้าพนักงาน เมื่อมีการร้องขอหรือเข้าตรวจสอบการประมวลผลข้อมูลส่วนบุคคล ของบริษัท บริษัทจะต้องจัดให้มีการบันทึกการใช้และเปิดเผยข้อมูลที่ได้เก็บรวบรวม โดยมีรายการอย่างน้อย ดังนี้
7.1 ข้อมูลส่วนบุคศสที่มีการเก็บรวบรวม รวมถึงวัตถุประสงค์และระยะเวลาการจัดเก็บข้อมูล
7.2 การใช้หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีการเก็บข้อมูลโดยอาศัยฐานทางกฎหมายอื่นที่ไม่ใช่การขอความยินยอม
7.3 สิทธิ วิธีการ และเงื่อนไขในการใช้สิทธิเข้าถึงข้อมูลของเจ้าของข้อมูลส่วนบุคคล
7.4 การปฏิเสธหรือคัดค้านคําขอใช้สิทธิประเภทต่างๆ พร้อมเหตุผลตามที่ระบุในนโยบายนี้
7.5 คําอธิบายมาตรการรักษาความมั่นคงปลอดภัยที่บริษัทจัดให้มีขึ้น
8. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองค์กรระหว่างประเทศ
บริษัทสามารถโอนหรือส่งข้อมูลส่วนบุคคลไปยังต่างประเทศในกรณีดังต่อไปนี้
8.1 ประเทศปลายทางได้ถูกรับรองว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
8.2 กรณีประเทศปลายทางมีมาตรฐานไม่เพียงพอ การโอนข้อมูลส่วนบุคคลจะต้องเข้าข้อยกเว้นตามกฎหมาย ได้แก่
8.2.1 เป็นการปฏิบัติตามกฎหมาย
8.2.2 ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยแจ้งให้รู้ถึงมาตรฐานที่ไม่เพียงพอของประเทศหรือองค์กรปลายทางแล้ว
8.2.3 เป็นการจําเป็นเพื่อปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อดําเนินการตามคําร้องขอก่อนเข้าทําสัญญา
8.2.4 เป็นการปฏิบัติตามสัญญาระหว่างบริษัทกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
8.2.5 เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่นเมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
8.2.6 เป็นการจําเป็นเพื่อการดําเนินภารกิจเพื่อประโยชน์สาธารณะที่สําคัญ
8.3 กรณีที่เป็นการส่งหรือโอนข้อมูลระหว่างบุคคลหรือนิติบุคคลต่างประเทศซึ่งอยู่ในเครือกิจการเดียวกัน (ถ้ามี) บริษัทอาจส่งหรือโอนข้อมูลส่วนบุคคลระหว่างกัน โดยไม่ต้องดําเนินการตามที่กําหนดไว้ข้างต้น โดยบริษัท จะต้องจัดให้มีนโยบายการคุ้มครองข้อมูลส่วนบุคคลสําหรับการส่งหรือโอนข้อมูลระหว่างกันในเครือธุรกิจ เดียวกันที่ได้รับการตรวจสอบและรับรองจากสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
9. การละเมิดข้อมูลส่วนบุคคล
เมื่อมีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้นภายในบริษัทโดยที่เหตุละเมิดนั้นมีความเสี่ยงที่จะกระทบต่อสิทธิและเสรีภาพ ของเจ้าของข้อมูลส่วนบุคคล พนักงานและบุคลากรทุกคนจะต้องประสานงานกันเพื่อดําเนินการให้ถูกต้องตามกฎหมาย โดยบริษัทจะต้องแจ้งการละเมิดดังกล่าวแก่สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ที่ได้ทราบเหตุเท่าที่สามารถจะกระทําได้ ในกรณีที่การสะเมิตนั้นมีความเสี่ยงสูงที่จะเกิดผลกระทบ ต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ให้บริษัทแจ้งเหตุการณ์สะเมิตให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อม แนวทางเยียวยาโดยไม่ชักช้าด้วย
10. การแก้ไขเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคล
นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้อาจมีการแก้ไขเปลี่ยนแปลงตามสมควร ทั้งนี้ตามการเปลี่ยนแปลงของกฎหมาย เทคโนโลยี และความเหมาะสมทางธุรกิจ
11. การสอบถามข้อมูลเพิ่มเติม และการแจ้งเหตุการละเมิตข้อมูลส่วนบุคคล
กรณีมีข้อสงสัยหรือคําถามเพิ่มเติมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือกรณีมีความประสงค์จะแจ้งเหตุแห่ง การละเมิดข้อมูลส่วนบุคคล โปรดติดต่อบริษัท
(1) บริษัท ล็อกซเล่ย์ ซิสเต็ม อินทิเกรเตอร์ จํากัด
เลขที่ 102 ถนน ณ ระนอง แขวงคลองเตย เขตคลองเตย กรุงเทพมหานคร 10110
โทรศัพท์: (66) 02-348-8000
(2) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
เลขที่ 102 ถนน ณ ระนอง แขวงคลองเตย เขตคลองเตย กรุงเทพมหานคร 10110
โทรศัพท์ (66) 02-348-8000 ต่อ 8150
Email: DPOOFFICE@loxleysi.co.th
Page updated
Report abuse