ประกาศ/นโยบาย บริษัท

    นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

    บริษัท เป็นไท ลีเกิ้ล จำกัด (ต่อไปนี้จะเรียกรวมว่า “บริษัท”) เคารพสิทธิความเป็นส่วนตัวและให้ความสำคัญต่อการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้องหรือทำธุรกรรมกับบริษัท จึงได้จัดทำนโยบายการคุ้มครองข้อมูล ส่วนบุคคลฉบับนี้ขึ้น เพื่อให้มีหลักเกณฑ์ กลไก มาตรการกำกับดูแล และการบริหารจัดการข้อมูลส่วนบุคคลอย่างชัดเจนและเหมาะสม ดังต่อไปนี้

ข้อ 1.   หลักการและเหตุผล

             ด้วยความก้าวหน้าของเทคโนโลยีสารสนเทศ รวมทั้งระบบสื่อสารได้พัฒนาไปอย่างรวดเร็ว ทำให้การเข้าถึง การเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลสามารถทำได้โดยง่าย สะดวก และรวดเร็ว อันอาจนำมาซึ่งความเสียหายต่อเจ้าของข้อมูล ประกอบกับได้มีพระราชบัญญัติคุ้มครองข้อมูล  ส่วนบุคคล พ.ศ.2562 ประกาศในราชกิจจานุเบกษา เมื่อวันที่ 27 พฤษภาคม 2562 แล้วนั้น บริษัทได้ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล (PrivacyPolicy) ซึ่งเป็นสิทธิขั้นพื้นฐานสำคัญที่ต้องได้รับความคุ้มครองตามรัฐธรรมนูญแห่งราชอาณาจักรไทย และหลักปฏิญญาสากลว่าด้วยเรื่องสิทธิมนุษยชน (Universal Declaration of Human Rights) ซึ่งบุคคลใดจะถูกแทรกแซงตามอำเภอใจในความเป็นส่วนตัว ครอบครัว ที่อยู่อาศัย หรือการสื่อสาร หรือการถูกลบหลู่ ดูหมิ่น เกียรติยศและชื่อเสียงไม่ได้ ทุกคนมีสิทธิที่จะได้ความคุ้มครองตามกฎหมาย ต่อการแทรกแซงสิทธิหรือการลบหลู่ดังกล่าวนั้น รวมถึงสนับสนุนและเคารพการปกป้องสิทธิมนุษยชนตามที่ประกาศใช้ในระดับสากล ตามหลักการของข้อตกลงโลกแห่งสหประชาชาติ (UN Global Compact) รวมถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 บริษัทจึงได้ประกาศนโยบายเพื่อเป็นหลักในการคุ้มครองข้อมูลส่วนบุคคล ดังต่อไปนี้

ข้อ 2.   วัตถุประสงค์

            นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ จัดทำขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ซึ่งได้ทำธุรกรรม ใช้บริการ มีส่วนได้เสีย หรือมีส่วนเกี่ยวข้องกับบริษัท โดยมีวัตถุประสงค์ ดังนี้

2.1 เพื่อกำหนดบทบาทหน้าที่ของหน่วยงาน ผู้บริหาร พนักงาน ซึ่งมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล

2.2 เพื่อกำหนดขั้นตอนหรือมาตรการรักษาความปลอดภัยในการคุ้มครองข้อมูลส่วนบุคคล

2.3 เพื่อกำหนดแนวทางในการปฏิบัติงานของพนักงานซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคล

2.4 เพื่อสร้างความเชื่อมั่นในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลต่อบุคคล ลูกค้า   คู่ค้า ผู้ใช้บริการ ตลอดจนบุคคลอื่น ๆ ซึ่งมีส่วนได้เสียหรือเกี่ยวของกับข้อมูลส่วนบุคคล

2.5 เพื่อยืนยันตัวตนหรือตรวจสอบบุคคล

2.6 เพื่อตรวจสอบและป้องกันการกระทำที่ละเมิดกฎหมาย

2.7 เพื่อการวิเคราะห์ข้อมูล (Data Analytics) เพื่อประโยชน์ในด้านต่าง ๆ ซึ่งอยู่ภายใต้วัตถุประสงค์ที่ชอบด้วยกฎหมาย

2.8 เพื่อประโยชน์ในการบริหารจัดการด้านทรัพยากรบุคคลของบริษัทฯ รวมทั้งบริษัทในเครือ

2.9 เพื่อประโยชน์ในการบริหารจัดการภายในองค์กร

2.10 เพื่อให้ข้อมูลแก่หน่วยงานราชการตามที่กฎหมายกำหนดหรือตามการร้องขอโดยหน่วยงานของรัฐ

2.11 เพื่อวัตถุประสงค์ในการก่อตั้งสิทธิทางกฎหมายและการดำเนินคดี

2.12 เพื่อวัตถุประสงค์ในการทำธุรกรรมของบริษัทฯ ที่เกี่ยวข้องกับการดำเนินธุรกิจ

2.13 เพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้องกับบริษัทฯ

ข้อ 3.   ขอบเขตการใช้

 3.1 ให้นโยบายฯ ฉบับนี้ มีผลใช้บังคับกับคณะกรรมการ กรรมการ ผู้บริหาร และพนักงานทุกระดับของบริษัทเป็นไท ลีเกิ้ล จำกัด รวมถึงคู่ค้า ผู้ให้บริการ และผู้มีส่วนได้เสียกับบริษัท

3.2 ให้นโยบายฯ ฉบับนี้มีผลใช้บังคับกับทุกกิจกรรมการดำเนินงานของบริษัทที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

ข้อ 4.   บทนิยาม

ข้อ 5.   การคุ้มครองข้อมูลส่วนบุคคล

          บริษัท จะเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ข้อมูลเฉพาะบุคคล ข้อมูลที่เกี่ยวข้องกับชีวิตส่วนตัว หรือความสนใจส่วนบุคคล ข้อมูลทางการเงิน ข้อมูลส่วนบุคคลที่มีความอ่อนไหว โดยมีแหล่งที่มา และหลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล ดังต่อไปนี้

            5.1    แหล่งที่มาของข้อมูลส่วนบุคคล

 บริษัทอาจได้รับข้อมูลส่วนบุคคลจากช่องทาง ดังนี้

5.1.1    เก็บรวบรวมโดยตรงจากเจ้าของข้อมูลส่วนบุคคล เช่น การเก็บข้อมูลส่วนบุคคลจากการกรอกข้อมูลส่วนบุคคลผ่าน การลงนามในสัญญาหรือเอกสาร การสมัครงาน การตอบแบบสอบถาม ทั้งรูปแบบกระดาษและรูปแบบออนไลน์ หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับบริษัทฯ ผ่านช่องทางที่กำหนด

5.1.2    เก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ ซอฟต์แวร์ หรือแอปพลิเคชันของบริษัท เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ หรือบริการของบริษัทด้วยการใช้คุกกี้ (Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น

5.1.3    เก็บรวบรวมจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง ซึ่งบริษัทสามารถเก็บรวบรวมจากแหล่งข้อมูลดังกล่าวโดยชอบด้วยกฎหมาย หรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลแก่บริษัทฯ เช่น การสืบค้นข้อมูลส่วนบุคคลผ่านระบบเว็บไซต์ การสอบถามจากบุคคลที่สาม หรือการเปิดเผยโดยบริษัทในเครือหรือบริษัทในกลุ่ม พันธมิตรทางธุรกิจ หรือบุคคลที่สามเพื่อวัตถุประสงค์ที่ระบุไว้ในนโยบายฯ ฉบับนี้ โดยบริษัท จะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า นับแต่วันที่บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งดังกล่าว รวมถึงจะดำเนินการขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่ได้รับยกเว้นไม่ต้องขอความยินยอมหรือแจ้งเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด     

           5.2การเก็บรวบรวมข้อมูลส่วนบุคคล

5.2.1    การเก็บรวบรวมข้อมูลส่วนบุคคลให้กระทำได้ภายใต้วัตถุประสงค์และเท่าที่จำเป็นตามกรอบวัตถุประสงค์หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวม พร้อมทั้งแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะที่เก็บรวบรวม ถึงรายละเอียดดังต่อไปนี้

1) วัตถุประสงค์ของการเก็บรวบรวม

2) ระยะเวลาในการเก็บรวบรวมไว้

3) ประเภทของบุคคลหรือหน่วยงานซึ่งอาจมีการเปิดเผยข้อมูลส่วนบุคคล

4) ข้อมูลหรือช่องทางการติดต่อกับบริษัท

5) สิทธิของเจ้าของข้อมูลส่วนบุคคล

6) แจ้งผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด หรือเพื่อเข้าทำหรือปฏิบัติตามสัญญา

5.2.2    บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล โดยบริษัทจะขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่ในกรณีที่กฎหมายกำหนดให้บริษัทสามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอม ดังนี้

(ก)      เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ ซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล

 (ข)      เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

 (ค)      เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น

 (ง)       เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล

 (จ)      เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช้ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

 (ซ)      เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

5.2.3   ในกรณีเจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา หรือต้องให้ข้อมูลด้วยประการอื่นใด หากเจ้าของข้อมูลไม่ให้ข้อมูลดังกล่าวนั้น อาจส่งผลให้ธุรกรรมหรือกิจกรรมอื่นใดที่เกี่ยวข้องกับเจ้าของข้อมูลส่วนบุคคลถูกระงับ หรือหยุดลงชั่วคราว จนกว่าบริษัทฯจะได้รับข้อมูลของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เนื่องจากบริษัท ไม่สามารถประมวลผลข้อมูลเหล่านั้นได้ หรือกฎหมายกำหนดห้ามมิให้มีการดำเนินธุรกรรมหรือกิจกรรมนั้นอีกต่อไป

            5.3  การเก็บรวบรวมข้อมูลส่วนบุคคลของผู้หย่อนความสามารถ

          การเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ เพื่อดำเนินการตามวัตถุประสงค์ใด ๆ ซึ่งผู้เยาว์ไม่อาจดำเนินการได้เองโดยลำพังตามที่กฎหมายกำหนดไว้ ต้องได้รับความยินยอมจากผู้ปกครองของผู้เยาว์เท่านั้น

          การเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งเจ้าของข้อมูลเป็นบุคคลไร้ความสามารถและเสมือนไร้ความสามารถต้องได้รับความยินยอมจากผู้อนุบาลหรือผู้พิทักษ์เท่านั้น

          5.4  การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)

          บริษัทจะไม่เก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว เว้นแต่มีความจำเป็นต้องเก็บรวบรวม โดยต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ยกเว้นในกรณีที่กฎหมายกำหนดให้สามารถเก็บรวบรวมได้โดยไม่ต้องขอความยินยอม

          5.5       การเก็บรักษาข้อมูลส่วนบุคคล

            บริษัทจะทำการเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลดังนี้

1. จัดเก็บข้อมูลในรูปแบบเอกสารและ/หรือข้อมูลอิเล็กทรอนิกส์

2. จัดเก็บข้อมูลในสถานที่ที่มีการจำกัดสิทธิการเข้าถึงเก็บไว้ในคอมพิวเตอร์แม่ข่าย (Server) และ/หรือเก็บไว้บนฐานข้อมูลออนไลน์ (CloudStorage) ของผู้ให้บริการของกลุ่มบริษัท

ข้อ 6.   การใช้หรือการเปิดเผยข้อมูลส่วนบุคคล

          การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปตามวัตถุประสงค์ที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะทำการเก็บรวบรวม หรือเป็นการจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่กฎหมายกำหนดให้ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นการปฏิบัติตามกฎหมาย

         บุคคลหรือนิติบุคคลอื่นซึ่งได้รับข้อมูลส่วนบุคคลจากการที่เจ้าของข้อมูลส่วนบุคคลยินยอมให้เปิดเผยหรือเป็นผู้ประมวลผลข้อมูลส่วนบุคคลต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ซึ่งเจ้าของข้อมูลส่วนบุคคลได้ตกลงยินยอมไว้ให้กับบริษัทและตามที่บุคคลหรือนิติบุคคลนั้นได้แจ้งไว้กับบริษัทเท่านั้น

ข้อ 7.   คุณภาพของข้อมูลส่วนบุคคล

          ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้นั้น ต้องถูกต้องเป็นปัจจุบัน สมบูรณ์ ไม่ก่อให้เกิดความเข้าใจผิด และต้องดำเนินการจัดให้มีช่องทางเพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถร้องขอหรือแก้ไขข้อมูลส่วนบุคคลของตัวเองได้

ข้อ 8.   บทบาทหน้าที่และความรับผิดชอบ

          บริษัทกำหนดให้พนักงานหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลต้องให้ความสำคัญและรับผิดชอบในการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทอย่างเคร่งครัด โดยกำหนดให้บุคคลหรือหน่วยงานดังต่อไปนี้ ทำหน้าที่กำกับและตรวจสอบให้การดำเนินงานของบริษัทนั้นถูกต้องและเป็นไปตามนโยบายและกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

             8.1  ผู้ควบคุมข้อมูลส่วนบุคคล

8.1.1   จัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม และทบทวนมาตรฐานอย่างสม่ำเสมอเพื่อให้มาตรการดังกล่าวมีประสิทธิภาพทันต่อเทคโนโลยีที่เปลี่ยนแปลง

8.1.2    กำหนดขอบเขตการจัดการกับข้อมูลส่วนบุคคลที่ได้เปิดเผยต่อบุคคลหรือนิติบุคคลอื่น ๆ

8.1.3    จัดการให้มีระบบตรวจสอบการจัดการกับข้อมูลส่วนบุคคลให้เป็นไปตามที่ กฎหมายกำหนด

8.1.4    บันทึกรายการเกี่ยวกับข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด

8.1.5    จัดทำข้อตกลงกับผู้ประมวลผลข้อมูลส่วนบุคคล นิติบุคคล หรือบุคคลภายนอกอื่นใด หากมีการเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคลที่ได้ว่าจ้างนิติบุคคลหรือบุคคลภายนอกอื่นใดโดยผู้ประมวลผลข้อมูลนิติบุคคลหรือบุคคลภายนอก ดังกล่าวต้องมีมาตรการรักษาความปลอดภัย การเก็บการใช้การเปิดเผยข้อมูลส่วนบุคคลต้องเป็นไปตามนโยบายฉบับนี้ และตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

             8.2  ผู้ประมวลผลข้อมูลส่วนบุคคล

8.2.1    ดำเนินการเกี่ยวกับการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล

8.2.2    จัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม

8.2.3    จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้

             8.3 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)

8.3.1   ให้คำแนะนำในด้านต่าง ๆ ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่ผู้บริหารพนักงานและผู้ค้าของบริษัท

8.3.2       ตรวจตราการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล

8.3.3    ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท และคู่ค้าของบริษัท

             8.4  คณะทำงานคุ้มครองข้อมูลส่วนบุคคล

8.4.1   จัดทำและทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคล รวมถึงแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ครบถ้วนและถูกต้องตามที่กฎหมายกำหนด

8.4.2   ให้คำปรึกษาด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล

8.4.3   กำกับดูแลหน่วยงานต่าง ๆ ของบริษัท กำกับดูแลหน่วยงานต่าง ๆ ของบริษัทและคู่ค้าของบริษัทให้ดำเนินงานตามนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของบริษัท

8.4.4   รายงานการปฏิบัติงานของหน่วยงานต่าง ๆ ของบริษัท และคู่ค้าของบริษัทต่อประธานคณะทำงานคุ้มครองข้อมูลส่วนบุคคล

ข้อ 9.   การรักษาความปลอดภัยสำหรับข้อมูลส่วนบุคคล

เพื่อประโยชน์ในการรักษาความลับและรักษาความปลอดภัยของข้อมูลส่วนบุคคล บริษัทได้มีมาตรการดังนี้

9.1      กำหนดสิทธิในการเข้าถึงการใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคล รวมถึงการแสดงหรือยืนยันตัวบุคคลผู้เข้าถึงหรือใช้ข้อมูลส่วนบุคคลจัดให้มีมาตรการรักษาความปลอดภัย รวมถึงกระบวนการทบทวนและการประเมิน ประสิทธิภาพของมาตรการรักษาความปลอดภัย ทั้งนี้เป็นไปตามแนวนโยบายสารสนเทศของบริษัทอย่างเคร่งครัด

9.2      ในการส่งการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ รวมถึงการนำข้อมูลส่วนบุคคลไปเก็บบนฐานระบบข้อมูลในระบบอื่นใดซึ่งผู้ให้บริการรับโอนข้อมูลหรือบริการเก็บรักษาข้อมูลอยู่ต่างประเทศ ประเทศปลายทางที่เก็บรักษาข้อมูลต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่าหรือดีกว่ามาตรการตามนโยบายนี้

9.3      ในกรณีที่มีการฝ่าฝืนมาตรการการรักษาความปลอดภัยของบริษัทจนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคล บริษัทจะดำเนินการแจ้งให้สำนักงานคณะกรรมการข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถทำได้ เว้นแต่การละเมิดนั้นมีความเสี่ยงที่จะกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะดำเนินการแจ้งเหตุการละเมิดพร้อมทั้งแนวทางการเยียวยาให้เจ้าของข้อมูลทราบโดยไม่ชักช้า ทั้งนี้บริษัทจะไม่รับผิดชอบในกรณีความเสียหายใด ๆ อันเกิดจากการที่เจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น ซึ่งได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลจงใจหรือประมาทเลินเล่อหรือเพิกถอนตามมาตรการความปลอดภัยจนเป็นเหตุให้ข้อมูลส่วนบุคคลถูกใช้หรือเปิดเผยต่อบุคคลที่สามบุคคลอื่นใด

ข้อ 10.การประมวลผลข้อมูลส่วนบุคคล

เมื่อบริษัทได้รับข้อมูลส่วนบุคคล บริษัทจะดำเนินการดังต่อไปนี้กับข้อมูลส่วนบุคคลของเจ้าของข้อมูล

10.1     ขั้นตอนเก็บรวบรวม

บริษัทจัดเก็บรวบรวมข้อมูลส่วนบุคคลทั้งในรูปแบบเอกสาร และ/หรือ ข้อมูลอิเล็กทรอนิกส์เท่าที่จำเป็นแก่การให้บริการหรือบริการด้วยวิธีการทางอิเล็กทรอนิกส์ ภายใต้วัตถุประสงค์ของบริษัทและในระยะเวลานานเท่าที่จำเป็นเพื่อประโยชน์ในการใช้งานข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ระบุไว้เท่านั้น ซึ่งข้อมูลดังกล่าวถือเป็นข้อมูลส่วนบุคคลที่ถูกต้องสมบูรณ์และเป็นปัจจุบันที่สุดและท่านยินยอมมอบข้อมูลส่วนบุคคลให้แก่บริษัทโดยชอบด้วยกฎหมาย

บริษัทอาจรวบรวมข้อมูลส่วนบุคคลของท่านเข้ากับข้อมูลส่วนบุคคลที่ได้รับจากแหล่งอื่นเฉพาะในกรณีที่มีความจำเป็นและได้รับความยินยอมจากท่านเท่านั้น ทั้งนี้เพื่อประโยชน์ในการปรับปรุงข้อมูลส่วนบุคคลให้เป็นปัจจุบันและเพื่อปรับปรุงคุณภาพและประสิทธิภาพของการให้บริการของบริษัทให้ดียิ่งขึ้น

10.2     ขั้นตอนนำข้อมูลไปใช้

บริษัทจะใช้ข้อมูลส่วนบุคคลในกรณีที่พิจารณาแล้วเห็นว่าเป็นประโยชน์ต่อการทำงานการดำเนินธุรกิจของบริษัทเพื่อให้การดำเนินงานของบริษัทเป็นไปตามกฎหมายและกฎเกณฑ์ต่างๆ ที่เกี่ยวข้องหรือเพื่อปรับปรุงบริการให้มีประสิทธิภาพมากขึ้นเพื่อพัฒนามาตรฐานความมั่นคงปลอดภัยสารสนเทศในการบริหารจัดการความเสี่ยงป้องกันกิจกรรมที่มีแนวโน้มในการละเมิดกฎหมายระเบียบการใช้งานที่เกี่ยวข้องหรือข้อตกลงเงื่อนไขการใช้งานเว็บไซต์ของบริษัทรวมถึงเพื่อการติดต่อทางโทรศัพท์ข้อความอีเมลหรือไปรษณีย์หรือผ่านช่องทางใดๆ เพื่อสอบหรือแจ้งให้ท่านทราบหรือตรวจสอบและยืนยันข้อมูลหรือสำรวจความคิดเห็นหรือแจ้งข้อมูลข่าวสารอื่นใดที่เกี่ยวข้องกับผลิตภัณฑ์และการให้บริการของบริษัทตามที่จำเป็น

10.3     การเปิดเผยข้อมูลส่วนบุคคล

บริษัทจะเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลให้แก่บุคคลภายนอก เพื่อประโยชน์ในการดำเนินงานของบริษัท และตามวัตถุประสงค์ที่บริษัทได้ขอจากเจ้าของข้อมูลเท่านั้น โดยบริษัทจะไม่เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลต่อบุคคลภายนอกรายอื่นโดยไม่ได้รับอนุญาตจากเจ้าของข้อมูล เว้นแต่ เป็นการส่งข้อมูลส่วนบุคคลให้แก่หน่วยงาน หรือเจ้าพนักงาน หรือบุคคลอื่นๆ ที่มีสิทธิได้รับข้อมูลส่วนบุคคลของเจ้าของข้อมูลโดยชอบด้วยกฎหมาย เช่น ศาล เจ้าพนักงานตำรวจ หรือบุคคลอื่นซึ่งมีสิทธิในการขอข้อมูลส่วนบุคคลของเจ้าของข้อมูลจากบริษัทได้โดยชอบด้วยกฎหมาย

ข้อ 11.ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคลซึ่งเจ้าของข้อมูลยินยอม (Consent) หรือที่บริษัทได้มีการจัดเก็บข้อมูลส่วนบุคคลโดยอาศัยฐานการประมวลผลตามกฎหมาย ดังนี้ ฐานปฏิบัติตามสัญญา (Contract) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) ฐานป้องกันหรือระงับอันตรายต่อชีวิต (Vital Interests) ฐานประโยชน์สาธารณะ (Public Interest) ฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interests) และฐานจัดทำจดหมายเหตุ/วิจัย/สถิติ (Archives/Research/Statistic) ให้นำมาประมวลผล หรือรวบรวม จัดเก็บ ใช้และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลได้โดยอาศัยวัตถุประสงค์ที่บริษัทได้ขอความยินยอมไว้หรือตามฐานการประมวลผลข้อมูลส่วนบุคคลตามกฎหมาย จะถูกเก็บไว้ที่ระบบจัดเก็บของบริษัท ดังนี้

บริษัทขอรับรองว่าเมื่อพ้นระยะเวลาจัดเก็บและ/หรือมีการขอถอนความยินยอมที่อนุญาตให้บริษัทมีสิทธิประมวลผล รวบรวม จัดเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลแล้ว บริษัทจะเป็นผู้ที่ไม่สามารถอ้างฐานความยินยอม หรือฐานใดๆ ในการนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลมาประมวลผลหรือใช้ตามวัตถุประสงค์ที่เจ้าของข้อมูลได้ให้ความยินยอมไว้ได้อีก และบริษัทจะดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลดังกล่าว โดยบริษัทจะดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลซึ่งพ้นระยะเวลาจัดเก็บ และ/หรือมีการถอนความยินยอมตามข้อนี้ภายใน 30 วันนับแต่วันสิ้นสุดระยะเวลา หรือนับแต่วันที่การถอนความยินยอมนั้นมีผลสมบูรณ์

อนึ่ง บริษัทขอเรียนให้ทราบว่าการลบหรือทำลายข้อมูลส่วนบุคคลซึ่งได้กล่าวไปในวรรคสอง จะไม่นำไปใช้กับการเก็บรักษาข้อมูลดังต่อไปนี้

ข้อมูลส่วนบุคคล

11.1    ข้อมูลซึ่งเก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น และ/หรือ

11.2    ข้อมูลซึ่งเก็บรักษาไว้เพื่อวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์ หรือเพื่อการวิจัยหรือจดหมายเหตุเพื่อประโยชน์สาธารณะ และ/หรือ

11.3    ข้อมูลซึ่งเก็บรวบรวมไว้เพื่อป้องกัน ระงับอันตรายต่อชีวิต ร่างกาย สุขภาพของบุคคล

11.4    ข้อมูลซึ่งเก็บรวบรวมไว้เนื่องจากความจำเป็นในการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา

11.5    ข้อมูลซึ่งเก็บรวบรวมไว้เพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)

11.6    ข้อมูลซึ่งเก็บไว้โดยความจำเป็นในการปฏิบัติตามกฎหมาย เพื่อให้บรรลุวัตถุประสงค์ในเรื่องประโยชน์สาธารณะที่สำคัญ โดยบริษัทได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

ข้อ 12.สิทธิของเจ้าของข้อมูล

เจ้าของข้อมูลมีสิทธิที่จะดำเนินการ ดังต่อไปนี้

(1)  สิทธิในการเพิกถอนความยินยอมที่ได้ให้ไว้กับบริษัทเมื่อใดก็ได้ โดยการเพิกถอนความยินยอมดังกล่าวไม่ทำให้เจ้าของข้อมูลเสียผลประโยชน์

(2)  สิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน โดยเจ้าของข้อมูลมีสิทธิในการขอเข้าถึงข้อมูลของตนเองและขอให้บริษัททำสำเนาข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่บริษัทเก็บไว้ให้แก่เจ้าของข้อมูลได้ ความข้อนี้หมายรวมถึงการขอให้บริษัทเปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่บริษัทได้มาจากแหล่งที่มาอื่นซึ่งไม่ใช่ความยินยอมของเจ้าของข้อมูลด้วย

(3)   สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง

(4)  สิทธิในการลบข้อมูลส่วนบุคคลของเจ้าของข้อมูลทั้งหมดหรือบางส่วนด้วยเหตุผลบางประการ ทั้งนี้ ไม่รวมถึงข้อมูลส่วนบุคคลซึ่งบริษัทมีสิทธิเก็บไว้โดยชอบด้วยกฎหมาย

(5)  สิทธิในการระงับการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลทั้งหมดหรือบางส่วนด้วยเหตุผลบางประการ

(6)  สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคลของเจ้าของข้อมูลซึ่งได้ยินยอมและให้ไว้กับบริษัท ให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น หรือให้แก่เจ้าของข้อมูลเองด้วยเหตุผลบางประการ

(7)   สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลด้วยเหตุผลบางประการ

(8)   สิทธิในการร้องเรียน (Right to Lodge a Complaint) ท่านมีสิทธิร้องเรียนต่อหน่วยงานของรัฐที่เกี่ยวข้องในกรณีที่บริษัทฯ ลูกจ้างหรือผู้รับจ้างของบริษัทฯ ทำการฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

อนึ่ง บริษัทอาจใช้สิทธิปฏิเสธคำขอข้อใดข้อหนึ่งหรือหลายข้อซึ่งระบุไว้ในข้อ (1) ถึง (8) ได้ หากเป็นการปฏิเสธภายใต้เหตุผลซึ่งได้ระบุหรือถูกรับรองไว้ไว้ภายใต้บทบัญญัติกฎหมายที่เกี่ยวข้อง

เจ้าของข้อมูลที่ต้องการดำเนินการตามสิทธิในข้อนี้ สามารถติดต่อขอดำเนินการได้โดยไม่ต้องเสียค่าใช้จ่ายอื่นใดเพิ่มเติมเพื่อกระทำตามสิทธิ โดยบริษัทจะเป็นผู้พิจารณาตามคำร้องขอของเจ้าของข้อมูล และแจ้งผลการดำเนินการให้เจ้าของข้อมูลทราบภายใน 30 วัน นับแต่วันที่บริษัทได้รับคำร้องขอ

ข้อ 13.การเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคล

บริษัทจะทำการพิจารณา ทบทวน และรักษานโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ชอบและสอดคล้องด้วยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และแนวปฏิบัติตามกฎหมายหรือข้อบังคับที่เกี่ยวข้อง ทั้งนี้ หากบริษัทมีการเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคลหรือเปลี่ยนแปลงวัตถุประสงค์ใด ๆ บริษัทจะแจ้งนโยบายฉบับที่เป็นปัจจุบันไว้บนเว็ปไซต์ของบริษัทฯ ภายในวัน 30 วัน นับแต่วันที่มีการตกลงเปลี่ยนแปลงนโยบายหรือนับแต่วันที่มีการเปลี่ยนแปลงวัตถุประสงค์

ข้อ 14.การฝึกอบรม

บริษัทจัดให้มีการฝึกอบรมและประเมินผลเกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลให้กับผู้บริหารและพนักงานทุกระดับ ในการนี้ผู้ประสานงานข้อมูลส่วนบุคคลต้องเข้าร่วมฝึกอบรมและกำหนดให้พนักงานในสังกัดของตนซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคลต้องเข้าร่วมฝึกอบรมอย่างเคร่งครัด

ข้อ 15.การแก้ไขเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคล

บริษัทจะทำการทบทวนนโยบายการคุ้มครองข้อมูลส่วนบุคคลอย่างน้อยปีละ 1 ครั้ง และหากมีการแก้ไข เปลี่ยนแปลง บริษัทจะประกาศให้พนักงานและบุคคลภายนอกที่เกี่ยวข้องทราบภายใน 30 วันนับแต่วันที่มีการแก้ไขเปลี่ยนแปลง

ข้อ 16.บทกำหนดโทษ

ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล หรือผู้มีหน้าที่รับผิดชอบในการดำเนินงานเรื่องใดเรื่องหนึ่งตามหน้าที่ของตน หากละเลยหรือละเว้นไม่สั่งการ หรือไม่ดำเนินการหรือสั่งการหรือดำเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตนอันเป็นการฝ่าฝืนนโยบายและแนวปฏิบัติเกี่ยวกับเรื่องข้อมูลส่วนบุคคล และ/หรือตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด จนเป็นเหตุให้เกิดความผิดตามกฎหมาย และ/หรือความเสียหายขึ้นผู้นั้นต้องรับโทษทางวินัย ตามระเบียบของบริษัทและต้องรับโทษทางกฎหมายตามความผิดที่เกิดขึ้นทั้งนี้หากความผิดดังกล่าวก่อให้เกิดความเสียหายแก่บริษัทและ/หรือบุคคลอื่นใดบริษัทอาจพิจารณาดำเนินคดีตามกฎหมายเพิ่มเติมต่อไป

ข้อ 17.ช่องทางการติดต่อ

ช่องทางการติดต่อบริษัทหรือผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

          ชื่อ:         บริษัท เป็นไท ลีเกิ้ล จำกัด

          ที่อยู่:       1/134 ซอยวัชรพล2/7 แขวงท่าแร้ง เขตบางเขน กรุงเทพมหานคร 10220

          โทรศัพท์:  02-117-3025(6)

          อีเมล:       Info@Pentai.co.th

          เว็บไซต์:  https://www.pentai.co.th/

ช่องทางการติดต่อหน่วยงานกำกับดูแล

ชื่อ                :         สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ติดต่อ             :         02-142-1033 หรือ pdpc@mdes.go.th

 ทั้งนี้ ให้มีผลตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป

 ประกาศ ณ วันที่ 1 มิถุนายน 2565

นายอัชนันต์ ขวัญดี

ประธานกรรมการบริษัท