นโยบายการคุ้มครองข้อมูลส่วนบุคคล

นโยบายการคุ้มครองข้อมูลส่วนบุคคล บริษัท มูราโมโต้ อีเล็คตรอน (ประเทศไทย) จำกัด (มหาชน) 

วัตถุประสงค์และขอบเขตของนโยบายการคุ้มครองข้อมูลส่วนบุคคล

เพื่อเป็นการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่น ๆ ที่เกี่ยวข้อง รวมถึงกฎหมายฉบับแก้ไขเพิ่มเติมใด ๆ ในอนาคต (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) บริษัท มูราโมโต้ อีเล็คตรอน (ประเทศไทย) จำกัด (มหาชน) (“บริษัท”) จึงจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ (“นโยบาย”) ขึ้นเพื่ออธิบายรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลแก่บุคลากรและพนักงานของบริษัท หรือบุคลากรและพนักงานของบุคคลภายนอกที่เป็นผู้กระทำการแทนหรือในนามของบริษัท ในการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลซึ่งมีความเกี่ยวข้องกับการดำเนินธุรกิจของบริษัท ให้เป็นไปโดยถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

นิยามสำคัญ

ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งอาจก่อให้เกิดการเลือกปฏิบัติโดยไม่เป็นธรรมต่อเจ้าของข้อมูลส่วนบุคคลหรือกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด

“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล ได้แก่ ลูกค้า คู่ค้า ผู้ให้บริการ กรรมการ พนักงาน ลูกจ้าง ผู้มาติดต่อ และบุคคลธรรมดาอื่นใดที่บริษัทมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลธรรมดานั้น

ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

ฐานทางกฎหมาย” หมายถึง เหตุที่กฎหมายรองรับให้สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้ ทั้งนี้ ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล

การเก็บรวบรวมข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย

ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทจะต้องกระทำภายใต้ฐานทางกฎหมายที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งได้ถูกกำหนดเป็นแนวทางไว้ในนโยบายฉบับนี้ด้วย ดังนี้

  1. กรณีข้อมูลส่วนบุคคลทั่วไป การเก็บข้อมูลส่วนบุคคลนั้นจะทำได้ต่อเมื่อเข้าเงื่อนไขของฐานทางกฎหมายประการใดประการหนึ่งใน 7 ประการ ได้แก่

        1.1 ความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (ฐานความยินยอม)

ในกรณีที่ไม่สามารถเก็บรวบรวมข้อมูลด้วยฐานทางกฎหมายอื่นตามที่ระบุในข้อ 1.2 – 1.7 ของนโยบายนี้ได้ บริษัทจำเป็นต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล การไม่ตอบรับหรือการนิ่งเฉยไม่ถือว่าเป็นความยินยอมจากเจ้าของข้อมูลส่วนบุคคล นอกจากนี้ ความยินยอมต้องทำเป็นลายลักษณ์อักษร หรือผ่านระบบอิเล็กทรอนิกส์ ซึ่งอาจมีรูปแบบและข้อความที่บริษัทจัดทำขึ้น (หนังสือขอความยินยอม) หรือตามที่กฎหมายกำหนด (ถ้ามี) ยกเว้นการขอความยินยอมด้วยวิธีดังกล่าวไม่สามารถกระทำได้ ในกรณีนี้เจ้าของข้อมูลอาจให้ความยินยอมด้วยวาจาได้ แต่บริษัทจะต้องบันทึกความยินยอมดังกล่าวไว้เป็นลายลักษณ์อักษรพร้อมระบุรายละเอียดของวิธีการให้ความยินยอมและวันที่ให้ความยินยอมนั้น ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลอาจถอนความยินยอมได้ทุกเมื่อ เว้นแต่จะมีกฎหมายหรือสัญญาที่เป็นคุณแก่เจ้าของข้อมูลส่วนบุคคลจำกัดสิทธิไว้

อย่างไรก็ดี บริษัทพึงต้องตระหนักอยู่เสมอว่าบริษัทจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลได้ต่อเมื่อเจ้าของข้อมูลส่วนบุคคลสามารถให้ความยินยอมโดยอิสระและโดยความสมัครใจโดยแท้เท่านั้น

หมายเหตุ กรณีที่บริษัทจะต้องขอความยินยอมจากผู้เยาว์ที่ยังไม่บรรลุนิติภาวะ บุคคลไร้ความสามารถ หรือบุคคลเสมือนไร้ความสามารถ บริษัทจะต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ ผู้อนุบาล หรือผู้พิทักษ์ตามลำดับ ทั้งนี้ หากเป็นผู้เยาว์ที่อายุ 10 ปีขึ้นไปก็อาจให้ความยินยอมเองได้สำหรับกรณีที่เป็นการดำเนินการที่ผู้เยาว์กระทำได้โดยลำพัง

        1.2 เพื่อการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การทำวิจัยหรือสถิติ (ฐานจดหมายเหตุ/วิจัย/สถิติ)

บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด

       1.3 เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (ฐานประโยชน์สำคัญต่อชีวิต)

ในบางกรณี บริษัทอาจมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพของบุคคลใดๆ ซึ่งไม่จำกัดเพียงเจ้าของข้อมูลส่วนบุคคลเท่านั้น เช่น กรณีบริษัทมีความจำเป็นต้องเก็บข้อมูลส่วนบุคคลเนื่องจากอุบัติเหตุฉุกเฉินที่เกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล ในกรณีนี้ บริษัทไม่ต้องขอความยินยอม เพื่อเก็บรวบรวมข้อมูลส่วนบุคคล

        1.4 เพื่อปฏิบัติตามสัญญาระหว่างบริษัทกับเจ้าของข้อมูลส่วนบุคคลหรือเพื่อใช้ดำเนินการตามคำขอของเจ้าของข้อมูลก่อนเข้าทำสัญญากับบริษัท (ฐานสัญญา)

ในกรณีที่บริษัทมีความจำเป็นต้องเก็บข้อมูลส่วนบุคคลเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาโดยตรงกับบริษัท หรือดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญากับบริษัทนั้น บริษัทไม่ต้องขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว

        1.5 เพื่อปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ (ฐานประโยชน์สาธารณะ)

ในกรณีที่บริษัทจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล บริษัทไม่ต้องขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว

        1.6 เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย (ฐานประโยชน์โดยชอบด้วยกฎหมาย)

บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ในกรณีที่บริษัทจำเป็นต้องเก็บข้อมูลดังกล่าวเพื่อใช้ดำเนินการเกี่ยวกับประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือบุคคลที่สามซึ่งไม่ใช่เจ้าของข้อมูลส่วนบุคคล ได้แก่ ประโยชน์โดยชอบด้วยกฎหมายในการดำเนินธุรกิจของบริษัทและ/หรือบุคคลที่สาม ประโยชน์โดยชอบด้วยกฎหมายในการรักษาความปลอดภัยและปกป้องทรัพย์สินและบุคคลที่อยู่ภายในบริเวณของบริษัท ประโยชน์โดยชอบด้วยกฎหมายในการบริหารจัดการองค์กรของบริษัท เป็นต้น อย่างไรก็ดี บริษัทจะต้องระมัดระวังในการใช้ฐานทางกฎหมายนี้ในการเก็บรวบรวมข้อมูลส่วนบุคคล และหากกรณีพบว่าประโยชน์โดยชอบด้วยกฎหมายดังกล่าวมีความสำคัญน้อยกว่าสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล หรือเป็นกรณีที่อาจกระทบสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลเป็นอย่างมาก บริษัทจะไม่เก็บรวบรวมข้อมูลส่วนบุคคลโดยอาศัยฐานประโยชน์โดยชอบด้วยกฎหมาย แต่บริษัทจะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลหากบริษัทยังคงประสงค์จะเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวต่อไป

เพื่อเป็นแนวทางในการปรับใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย บริษัทจะต้องทำการประเมินว่าการเก็บรวบรวมข้อมูลส่วนบุคคลใดๆ เป็นไปตามหลักเกณฑ์ดังต่อไปนี้ทุกประการหรือไม่

  • บริษัทหรือบุคคลที่สามมีผลประโยชน์ที่ชอบด้วยกฎหมาย ในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวหรือไม่
  • การเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวมีความจำเป็นต่อผลประโยชน์ตามข้อ (1) หรือไม่
  • เจ้าของข้อมูลส่วนบุคคลพึงคาดหมายได้ว่าบริษัทอาจมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวหรือไม่
  • การเก็บรวบรวมข้อมูลดังกล่าวมีความสำคัญไม่น้อยกว่าสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล หรือไม่ใช่เป็นกรณีที่อาจกระทบสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลเป็นอย่างมากหรือไม่
  • บริษัทมีมาตรการปกป้องดูแลข้อมูลส่วนบุคคลที่เหมาะสมในการจัดเก็บข้อมูลส่วนบุคคลนั้นแล้วหรือไม่

        1.7 เพื่อปฏิบัติตามกฎหมายที่บังคับใช้กับบริษัท (ฐานหน้าที่ตามกฎหมาย)

ในกรณีที่มีกฎหมายกำหนดให้บริษัทเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทไม่จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้อาจรวมถึงการดำเนินการกับข้อมูลส่วนบุคคลตามคำสั่งศาลหรือเจ้าหน้าที่ของรัฐ ตัวอย่างเช่น การเก็บข้อมูลส่วนบุคคลของลูกจ้างไว้เพื่อการปฏิบัติตามกฎหมายการคุ้มครองแรงงาน การเก็บเอกสารทางบัญชีไว้เป็นระยะเวลาตามที่กฎหมายกำหนด เป็นต้น

  1. กรณีข้อมูลส่วนบุคคลที่มีความอ่อนไหว บริษัทจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวได้ก็ต่อเมื่อได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล (โปรดดูหลักเกณฑ์และวิธีการในข้อ 1.1) เว้นแต่จะเข้าข้อยกเว้นตามกฎหมาย ดังนี้:
  • ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าจะด้วยเหตุใดก็ตาม ซึ่งกรณีดังกล่าวมักจะเป็นการใช้สำหรับกรณีฉุกเฉิน
  • เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล
  • เป็นการจำเป็นเพื่อปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ:
  • เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของลูกจ้าง
  • ประโยชน์ด้านสาธารณสุข
  • การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลตามสิทธิของผู้มีสิทธิตามกฎหมาย ซึ่งการเก็บรวบรวมมีความจำเป็นต่อการปฏิบัติตามสิทธิหรือหน้าที่ของบริษัทหรือของเจ้าของข้อมูลส่วนบุคคล
  • การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น
  • ประโยชน์สาธารณะอื่นที่สำคัญ เช่น การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อวัตถุประสงค์ในการป้องกันโรคติดต่อหรือโรคระบาด การเก็บรวบรวมและเปิดเผยต่อหน่วยงานรัฐซึ่งข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อวัตถุประสงค์ในการป้องกันและปราบปรามการฟอกเงิน

หมายเหตุ แนวทางการพิจารณาและการตีความคำว่า “ประโยชน์สาธารณะ” อาจมีการเปลี่ยนแปลงตามแนวทางการพิจารณาและการให้ความหมายของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือตามที่ระบุในกฎหมายลำดับรองซึ่งอาจมีการประกาศใช้บังคับเป็นการเพิ่มเติมในอนาคต

ทั้งนี้ รายละเอียดในเรื่องของ ประเภท วัตถุประสงค์ และฐานทางกฎหมายของการเก็บข้อมูลส่วนบุคคลของบริษัทนั้นจะปรากฏอยู่ในประกาศความเป็นส่วนตัวสำหรับเจ้าของข้อมูลส่วนบุคคลประเภทต่าง ๆ

  1. แนวปฏิบัติในการเก็บรวบรวมข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคลจะต้องถูกเก็บรวบรวมไว้เท่าที่จำเป็นเพื่อบรรลุวัตถุประสงค์ที่บริษัทกำหนดไว้เท่านั้น บริษัทจะต้องพิจารณาและเลือกเก็บรวบรวมข้อมูลเท่าที่จำเป็นที่จะต้องใช้และทิ้งหรือทำลายข้อมูลที่อาจได้มาโดยไม่จำเป็นโดยเฉพาะอย่างยิ่งข้อมูลส่วนบุคคลที่มีความอ่อนไหว ทั้งนี้เพื่อลดความเสี่ยงในการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายของบริษัท

ในกรณีที่บริษัทได้รับข้อมูลส่วนบุคคลมากเกินความจำเป็น บริษัทต้องหาวิธีการทำให้บริษัทสามารถเก็บข้อมูลส่วนบุคคลได้เท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์ของการเก็บรวบรวมนั้น เช่น ในกรณีที่บริษัทใช้ข้อมูลส่วนบุคคลเพื่อระบุตัวตนของคู่ค้าหรือตัวแทนของคู่ค้าของบริษัทจากสำเนาบัตรประชาชน ซึ่งโดยปกติบริษัทจำเป็นต้องใช้เพียงข้อมูลส่วนบุคคลทั่วไปในการระบุตัวตนของบุคคลดังกล่าว (เช่น ชื่อและรูปภาพ) ดังนั้น กรณีที่อาจมีข้อมูลส่วนบุคคลที่มีความอ่อนไหวปรากฏบนบัตรประชาชนอยู่ด้วย (เช่น ศาสนา หมู่โลหิต) บริษัทจึงควรหาวิธีการทำให้ข้อมูลดังกล่าวไม่ปรากฏบนสำเนาบัตรเมื่ออยู่ในการครอบครองของบริษัท ซึ่งอาจเป็นการขีดฆ่าข้อมูลที่ไม่จำเป็นในสำเนาบัตรประชาชนที่ตนได้รับมา เหลือเพียงข้อมูลที่จำเป็นสำหรับการระบุตัวตนเท่านั้น เป็นต้น

ประกาศความเป็นส่วนตัวสำหรับเจ้าของข้อมูลส่วนบุคคล

เมื่อจะมีการดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทจะจัดทำและแจ้งประกาศความเป็นส่วนตัว (Privacy Notice) ต่อเจ้าของข้อมูลส่วนบุคคลประเภทต่างๆ เพื่อชี้แจงรายละเอียดของการประมวลผลข้อมูล คำจำกัดความ ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวม วัตถุประสงค์ของการเก็บรวบรวม ฐานทางกฎหมายของการเก็บรวบรวม ระยะเวลาในการเก็บรวบรวมหรือระยะเวลาที่คาดหมาย ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลอาจถูกเปิดเผยต่อบุคคลหรือหน่วยงานนั้น ๆ ข้อมูลรายละเอียดการติดต่อเกี่ยวกับบริษัท สิทธิของเจ้าของข้อมูลส่วนบุคคล และรายละเอียดอื่น ๆ ที่เกี่ยวข้อง เพื่อให้เจ้าของข้อมูลส่วนบุคคลทราบ เข้าใจ และประกอบการพิจารณาให้ความยินยอมในกรณีที่การเก็บรวบรวมนั้นไม่อยู่ในฐานทางกฎหมายที่สามารถเก็บรวบรวมโดยปราศจากความยินยอมได้

บริษัทจะต้องแจ้งหรือส่งมอบประกาศความเป็นส่วนตัวให้กับเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่เป็นกรณีการเก็บรวบรวมข้อมูลส่วนบุคคลที่บริษัทได้เก็บรวบรวม ใช้ หรือเปิดเผยก่อนมีนโยบายนี้และบริษัทยังมีความจำเป็นต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าวอยู่ต่อไป บริษัทจะต้องดำเนินการแจ้งหรือส่งมอบประกาศความเป็นส่วนตัวให้เจ้าของข้อมูลส่วนบุคคลทราบโดยเร็วที่สุด

การแจ้งหรือการส่งมอบประกาศความเป็นส่วนอาจไม่จำเป็นต้องกระทำซ้ำในกรณีที่บริษัทได้เคยแจ้งหรือส่งมอบประกาศความเป็นส่วนตัวให้กับเจ้าของข้อมูลส่วนบุคคลดังกล่าวแล้ว แต่ในกรณีที่บริษัทมีการแก้ไขประกาศความเป็นส่วนตัวในภายหลัง บริษัทจะต้องแจ้งหรือส่งมอบประกาศความเป็นส่วนตัวที่แก้ไขให้กับเจ้าของข้อมูลใหม่

แหล่งที่มาของข้อมูลส่วนบุคคล

โดยทั่วไปบริษัทจะต้องเก็บรวบรวมข้อมูลส่วนบุคคลจากตัวเจ้าของข้อมูลส่วนบุคคลเองโดยตรง อย่างไรก็ตามหากบริษัทเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยตรง บริษัทจะดำเนินการแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นและแจ้งประกาศความเป็นส่วนตัวให้เจ้าของข้อมูลส่วนบุคคลทราบ โดยไม่ชักช้าแต่ไม่เกิน 30 วันนับแต่วันที่บริษัทได้เก็บรวบรวม และบริษัทจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลด้วยในกรณีที่เก็บรวบรวมข้อมูลส่วนบุคคลโดยอาศัยฐานความยินยอม ทั้งนี้ ยกเว้นในกรณีที่บริษัทจะต้องนำข้อมูลส่วนบุคคลนั้นไปใช้ในการติดต่อกับเจ้าของข้อมูลส่วนบุคคล บริษัทจะแจ้งเจ้าของข้อมูลให้ทราบเมื่อทำการติดต่อครั้งแรก และในกรณีที่บริษัทนำข้อมูลส่วนบุคคลไปเปิดเผย บริษัทจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนการนำข้อมูลส่วนบุคคลไปเปิดเผยเป็นครั้งแรก

อย่างไรก็ตาม ในบางกรณีบริษัทอาจไม่ต้องแจ้งข้อมูลการเก็บและประกาศความเป็นส่วนตัวดังกล่าวต่อเจ้าของข้อมูลส่วนบุคคล หากบริษัทสามารถพิสูจน์ได้ว่าการแจ้งข้อมูลดังกล่าวไม่สามารถทำได้หรือจะเป็นอุปสรรคต่อการใช้หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท หรือเจ้าของข้อมูลส่วนบุคคลทราบถึงรายละเอียดต่าง ๆ นั้นอยู่แล้ว เช่น เจ้าของข้อมูลส่วนบุคคลเคยได้รับประกาศความเป็นส่วนตัวสำหรับการทำธุรกรรมบางประการกับบริษัทแล้ว และประสงค์จะทำธุรกรรมเช่นเดิมกับบริษัทอีกคราว

นอกจากนี้หากในการดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทได้ทำการว่าจ้างผู้ประมวลผลข้อมูลส่วนบุคคลในการกระทำการแทนตามคำสั่งของบริษัท บริษัทอาจให้ผู้ประมวลผลข้อมูลส่วนบุคคลเป็นผู้กระทำการแจ้งประกาศความเป็นส่วนตัวแทนบริษัทได้ ซึ่งบริษัทจะต้องดำเนินการให้ผู้ประมวลผลข้อมูลส่วนบุคคลปฏิบัติตามให้สอดคล้องและเป็นไปตามนโยบายนี้เฉกเช่นเดียวกัน และถือเสมือนว่าบริษัทได้ดำเนินการแจ้งรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามหน้าที่ที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดในฐานะที่บริษัทเป็นผู้ควบคุมข้อมูลส่วนบุคคลแล้ว

สิทธิของเจ้าของข้อมูลส่วนบุคคล

บริษัทพึงตระหนักว่าเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะดำเนินการใด ๆ กับข้อมูลส่วนบุคคลของตนซึ่งอยู่ในความครอบครองของบริษัท ตามที่กำหนดในกฎหมายคุ้มครองข้อมูลส่วนบุคคล บริษัทจึงต้องจัดให้มีแบบคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล เพื่ออำนวยความสะดวกให้แก่เจ้าของข้อมูลส่วนบุคคลในการแจ้งความประสงค์ขอใช้สิทธิต่าง ๆ กับบริษัท อย่างไรก็ดี ในกรณีที่บริษัทมีเหตุจำเป็นต้องปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล บริษัทจะต้องแจ้งเหตุแห่งการปฏิเสธดังกล่าวให้เจ้าของข้อมูลส่วนบุคคลทราบเป็นลายลักษณ์อักษร และบันทึกเหตุแห่งการปฏิเสธนั้นไว้เป็นลายลักษณ์อักษร

        1.1. สิทธิเพิกถอนความยินยอม เจ้าของข้อมูลส่วนบุคคลมีสิทธิเพิกถอนความยินยอมซึ่งได้เคยให้ไว้กับบริษัทผ่านหนังสือขอความยินยอม ไม่ว่าจะเป็นการเพิกถอนความยินยอมบางส่วนหรือทั้งหมด และสามารถกระทำได้ตลอดระยะเวลาที่บริษัทเก็บรักษาข้อมูลส่วนบุคคล ทั้งนี้ บริษัทจะต้องแจ้งถึงผลกระทบให้เจ้าของข้อมูลส่วนบุคคลทราบเมื่อมีการเพิกถอนด้วย (ถ้ามี) อย่างไรก็ดี การเพิกถอนความยินยอมจะไม่กระทบถึงการใด ๆ ที่บริษัทได้กระทำไปแล้วก่อนหน้าอันเนื่องมาจากการได้รับความยินยอมโดยชอบด้วยกฎหมายจากเจ้าของข้อมูลส่วนบุคคล

เหตุในการปฏิเสธ: เป็นกรณีที่มีข้อจำกัดสิทธิในการถอนความยินยอมตามกฎหมายหรือเป็นกรณีข้อมูลส่วนบุคคลที่เกี่ยวข้องกับสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล

ระยะเวลาการตอบสนอง: โดยไม่ชักช้า

        2.2. สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของบริษัท หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม

เหตุในการปฏิเสธ: บริษัทอาจปฏิเสธคำขอบังคับตามสิทธินี้ได้ในกรณีต่อไปนี้เท่านั้น:

–       เป็นการทำตามกฎหมายหรือคำสั่งศาล หรือ

–       เมื่อบริษัทเห็นว่าจะส่งผลกระทบต่อสิทธิและเสรีภาพขั้นพื้นฐานของบุคคลอื่น

ทั้งนี้หากมีเหตุแห่งการปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิข้างต้น บริษัทจะต้องทำการบันทึกการปฏิเสธคำขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป

ระยะเวลาการตอบสนอง: กรณีบริษัทไม่อาจปฏิเสธได้ บริษัทจะต้องดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลภายใน 30 วัน นับแต่วันที่ได้รับคำขอ

        3.3. สิทธิร้องขอรับและขอให้โอนหรือส่งข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากบริษัท หรือขอให้บริษัทส่งหรือโอนข้อมูลไปให้แก่บุคคลหรือองค์กรอื่นในรูปแบบที่สามารถอ่านได้หรือใช้งานได้โดยทั่วไป รวมถึงมีสิทธิขอรับข้อมูลส่วนบุคคลของตนเองที่บริษัทหรือบุคคลหรือองค์กรอื่นที่ได้รับโอนไปเก็บรวบรวมไว้ การร้องขอนี้จะใช้ได้ในกรณีที่บริษัทได้เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยได้รับความยินยอมหรือเพื่อปฏิบัติตามสัญญาหรือคำร้องขอก่อนทำสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับบริษัทเท่านั้น

เหตุการปฏิเสธ: บริษัทสามารถปฎิเสธคำร้องขอได้หากข้อมูลส่วนบุคคลดังกล่าวนั้นถูกใช้เพื่อประโยชน์สาธารณะหรือเพื่อปฏิบัติหน้าที่ตามกฎหมาย หรือการใช้สิทธินั้นเป็นการละเมิดสิทธิและเสรีภาพของบุคคลอื่น เช่น กรณีที่ข้อมูลดังกล่าวมีข้อมูลที่เป็นความลับทางการค้า หรือข้อมูลทรัพย์สินทางปัญญาเป็นส่วนหนึ่ง

ทั้งนี้หากมีเหตุแห่งการปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิข้างต้น บริษัทจะต้องทำการบันทึกการปฏิเสธคำขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป

ระยะเวลาการตอบสนอง: โดยไม่ชักช้า

        4.4. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทได้ในกรณีต่อไปนี้:

(1)    เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์โดยชอบด้วยกฎหมายหรือสาธารณะประโยชน์ ซึ่งรวมถึงการปฏิบัติตามคำสั่งของเจ้าหน้าที่รัฐด้วย

เหตุปฏิเสธคำขอ (สำหรับข้อ 4 (1)): บริษัทสามารถพิสูจน์ได้ว่ามีเหตุที่ชอบด้วยกฎหมายที่สำคัญยิ่งกว่าผลประโยชน์ สิทธิ หรือเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อก่อตั้ง ปฏิบัติตาม ใช้ หรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย

ทั้งนี้หากมีเหตุแห่งการปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิข้างต้น บริษัทจะต้องทำการบันทึกการปฏิเสธคำขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป

(2)   กรณีการตลาดแบบตรง เจ้าของข้อมูลส่วนบุคคลสามารถคัดค้านได้อย่างไม่มีเงื่อนไข

(3)    เพื่อการวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ สถิติ เว้นแต่เป็นการจำเป็นเพื่อประโยชน์สาธารณะ

ระยะเวลาการตอบสนอง: โดยไม่ชักช้า และในกรณีที่บริษัทไม่มีเหตุแห่งการปฏิเสธ บริษัทจะดำเนินการแยกส่วนข้อมูลส่วนบุคคลข้างต้นออกจากข้อมูลอื่นในทันทีนับแต่เมื่อเจ้าของข้อมูลส่วนบุคคลแจ้งการคัดค้านให้ทราบ

  1. สิทธิร้องขอให้ลบข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลกลายเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ หรือทำให้เป็นข้อมูลที่ไม่สามารถนำกลับมาใช้ได้ เมื่อ:

(1)    ข้อมูลส่วนบุคคลนั้นหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์แล้ว ทั้งนี้ ตามระยะเวลาที่อาจบอกกล่าวให้เจ้าของข้อมูลทราบในประกาศความเป็นส่วนตัว

(2)    เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอมและบริษัทไม่สามารถใช้ฐานทางกฎหมายอื่นในการเก็บข้อมูลได้อีก

(3)    เจ้าของข้อมูลส่วนบุคคลได้คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และบริษัทไม่สามารถปฏิเสธคำคัดค้านได้

(4)    ข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย

เหตุปฏิเสธคำขอ: บริษัทมีสิทธิปฏิเสธคำขอได้ในกรณีที่ได้เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ในกรณีต่อไปนี้

–       เป็นการเก็บรักษาเพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น

–       เพื่อการบรรลุวัตถุประสงค์ในฐานเกี่ยวกับการจัดทำเอกสารทางประวัติศาสตร์หรือจดหมายเหตุ การวิจัย สถิติหรือฐานประโยชน์สาธารณะ

–       เป็นการเก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหวซึ่งเป็นการจำเป็นในการปฏิบัติหน้าที่ตามกฎหมายเพื่อวัตถุประสงค์ในด้านเวชศาสตร์ป้องกัน อาชีวเวชศาสตร์ ประเมินความสามารถในการทำงานของลูกจ้าง ประโยชน์สาธารณะด้านการสาธารณสุข

–       การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย

–       การใช้เพื่อปฏิบัติหน้าที่ตามกฎหมาย

หากข้อมูลส่วนบุคคลนั้นได้ถูกเปิดเผยต่อสาธารณะโดยการกระทำของบริษัทหรือถูกโอนให้ผู้ควบคุมข้อมูลส่วนบุคคลอื่น และเจ้าของข้อมูลส่วนบุคคลได้มีคำขอให้ลบ ทำลาย หรือทำให้ข้อมูลดังกล่าวไม่สามารถระบุตัวตนได้ บริษัทต้องดำเนินการในการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวไม่สามารถระบุตัวตนได้ และต้องแจ้งผู้ควบคุมข้อมูลส่วนบุคคลอื่น ๆ ให้ดำเนินการเช่นว่าด้วย

ระยะเวลาการตอบสนอง: โดยไม่ชักช้า

  1. สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทระงับการใช้ข้อมูลส่วนบุคคลได้ เมื่อ:

(1)    ได้มีการร้องขอให้บริษัทแก้ไขความถูกต้องของข้อมูลส่วนบุคคลและอยู่ในระหว่างการตรวจสอบ อย่างไรก็ดี บริษัทอาจพิจารณายกเลิกการระงับการใช้ข้อมูลส่วนบุคคลได้หากบริษัทตรวจสอบแล้วเห็นว่าข้อมูลที่ได้รับการร้องขอให้แก้ไขเป็นข้อมูลที่ถูกต้องอยู่แล้ว โดยแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนการยกเลิกพร้อมเหตุผล

(2)    เป็นการใช้ข้อมูลที่ไม่ชอบด้วยกฎหมาย แต่เจ้าของข้อมูลส่วนบุคคลขอให้ระงับการใช้แทนการลบ

(3)    ข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้แล้ว แต่เจ้าของข้อมูลได้เคยขอให้บริษัทเก็บรักษาข้อมูลไว้เพราะจำเป็นต่อการใช้ ก่อตั้ง ปฏิบัติตาม หรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมายของเจ้าของข้อมูลส่วนบุคคลเอง

(4)    บริษัทอยู่ในระหว่างการพิสูจน์เพื่อปฏิเสธการคัดค้านข้อมูลส่วนบุคคล อย่างไรก็ดี บริษัทอาจพิจารณายกเลิกการระงับการใช้ข้อมูลส่วนบุคคลได้หากบริษัทเห็นว่าบริษัทมีสิทธิในการใช้ข้อมูลต่อไปตามเหตุแห่งการปฏิเสธสิทธิในการคัดค้านข้อมูลส่วนบุคคลที่กล่าวไปข้างต้น

ระยะเวลาการตอบสนอง: โดยไม่ชักช้า

  1. สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลอาจขอให้บริษัทดำเนินการให้ข้อมูลส่วนบุคคลนั้น ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

ทั้งนี้หากมีเหตุแห่งการปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิข้างต้น บริษัทจะต้องทำการบันทึกการปฏิเสธคำขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป

ระยะเวลาการตอบสนอง: โดยไม่ชักช้า

  1. สิทธิการร้องเรียน เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญซึ่งได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เมื่อเห็นว่าบริษัทหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของบริษัทหรือผู้ประมวลผลข้อมูลส่วนบุคคล ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

หน้าที่และความรับผิดชอบของบุคลากร

พนักงานและบุคลากรทุกคน รวมถึงบุคคลที่ได้รับการว่าจ้างและพนักงานของบุคคลที่บริษัทว่าจ้าง มีหน้าที่ในการปฏิบัติตามกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ และจะต้องรักษาความลับในข้อมูลส่วนบุคคลอย่างเคร่งครัด และไม่นำข้อมูลส่วนบุคคลที่ได้รับในระหว่างการปฏิบัติหน้าที่การงานไปใช้ในทางที่ไม่เหมาะสม ใช้เพื่อแสวงหาประโยชน์ส่วนตัว หรือใช้โดยมิชอบด้วยกฎหมาย โดยอาจแบ่งหน้าที่ได้ตามลำดับขั้น ดังนี้

  1. ตำแหน่งกรรมการผู้จัดการและบุคลากรระดับบริหาร

มีหน้าที่กำกับดูแลกระบวนการคุ้มครองข้อมูลส่วนบุคคลทั้งหมดของบริษัท ดังนี้

  • กำหนดบุคคลหรือหน่วยงานซึ่งทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) และ/หรือบุคคลหรือหน่วยงานอื่น เพื่อเป็นศูนย์กลางของบริษัทในการดูแลและรับเรื่องที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลจากหน่วยงานต่าง ๆ ภายในบริษัท
  • มอบหมายงานให้แก่พนักงานในการกำหนดวิธีปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงวิธีปฏิบัติในการจัดการความเสี่ยงที่อาจเกิดขึ้นจากการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลโดยบริษัท พร้อมทั้งแนวทางในการแก้ปัญหาอย่างเป็นรูปธรรมเมื่อเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคลขึ้นภายในบริษัท
  • จัดให้มีการควบคุมและตรวจสอบการปฏิบัติตามนโยบายหรือความเหมาะสมของนโยบายนี้อย่างสม่ำเสมอ
  • เป็นผู้อนุมัติในการดำเนินงานเชิงนโยบายต่าง ๆ ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เช่น จัดให้มีการทบทวนความเหมาะสมของนโยบายนี้หรือการคุ้มครองข้อมูลส่วนบุคคลภายในบริษัทหรือแก้ไขเปลี่ยนแปลงนโยบายนี้
  • พิจารณาและอนุมัติในการตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลหากการตอบสนองต่อการร้องขอดังกล่าวอาจมีผลกระทบอย่างมีนัยสำคัญต่อบริษัท เจ้าของข้อมูลส่วนบุคคล และ/หรือบุคคลอื่นใด
  1. ตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) หรือผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท

มีหน้าที่ให้คำแนะนำและตรวจสอบกระบวนการคุ้มครองข้อมูลส่วนบุคคลทั้งหมดของบริษัท ดังนี้

  • วิเคราะห์ ประเมิน ตรวจสอบ และควบคุมกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของบริษัท และให้คำแนะนำแก่บุคลากรหรือหน่วยงานอื่นภายในบริษัท เพื่อให้กิจกรรมการประมวลผลข้อมูลส่วนบุคคลของบริษัทเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท
  • ตรวจสอบ และอนุมัติแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของแต่ละหน่วยงานภายในบริษัท รวมถึงวิธีปฏิบัติในการจัดการความเสี่ยงที่อาจเกิดขึ้นจากการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลโดยบริษัท และแนวทางในการแก้ปัญหาเมื่อเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคลขึ้นภายในบริษัท
  • วิเคราะห์ ประเมิน และให้คำแนะนำแก่บุคลากรและหน่วยงานภายในบริษัทเกี่ยวกับการตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลหากการตอบสนองต่อการร้องขอดังกล่าวอาจมีผลกระทบอย่างมีนัยยะสำคัญต่อบริษัท เจ้าของข้อมูลส่วนบุคคล และ/หรือบุคคลอื่นใด
  • รายงานเหตุการณ์ต่าง ๆ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลภายในบริษัทไปยังกรรมการผู้จัดการและบุคลากรระดับบริหาร
  • ติดต่อประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นภายในบริษัทต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายในระยะเวลาที่กฎหมายกำหนด
  • ศึกษารายละเอียดของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎ ประกาศ คำสั่ง ระเบียบ หรือกฎหมายอื่นใดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงติดตามการเปลี่ยนแปลงหรือแก้ไขเพิ่มเติมของกฎหมายคุ้มครองข้อมูลส่วนบุคคลดังกล่าว และแจ้งให้บุคลากรของบริษัททราบ
  • อธิบาย สร้างความเข้าใจ และความตระหนักรู้แก่บุคลากรของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง
  1. ตำแหน่งระดับผู้จัดการแผนก

มีหน้าที่กำกับดูแลการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายในแผนกของตนซึ่งอาจมีลักษณะที่แตกต่างกันไปตามแต่ละแผนก โดยอาจแบ่งหน้าที่ได้ดังนี้

  • อนุญาตให้บุคคลใดเข้าถึงข้อมูลส่วนบุคคลหรือมอบหมายหน้าที่ให้แก่พนักงานในการเป็นผู้รับผิดชอบในการดูแลข้อมูลส่วนบุคคลในส่วนต่าง ๆ ของแผนก
  • จัดให้มีแนวปฏิบัติและการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในแผนก และสร้างความเข้าใจร่วมกันว่าข้อมูลส่วนบุคคลใดที่จำเป็นต้องเก็บและข้อมูลส่วนบุคคลใดที่ไม่จำเป็นต้องเก็บเพื่อการใช้ปฏิบัติงานภายในแผนก
  • จัดให้มีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลในแผนกให้มีมาตรฐานตามกฎหมายและนโยบายนี้
  • อนุมัติในการตอบสนองคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลและปรึกษาหารือกับแผนกที่เกี่ยวข้องในเรื่องดังกล่าว รวมถึงหารือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท และรายงานต่อฝ่ายบริหารเพื่อขออนุมัติหากการตอบสนองต่อการร้องขอดังกล่าวอาจมีผลกระทบอย่างมีนัยยะสำคัญต่อบริษัท เจ้าของข้อมูลส่วนบุคคล และ/หรือบุคคลอื่นใด
  • ปรึกษาหารือกับฝ่ายบริหารและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อกำหนดวิธีปฏิบัติที่เหมาะสม
  • จัดให้มีการบันทึกการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลของแผนกตามรายการที่กำหนดในนโยบายนี้
  • รับรายงานจากผู้ใต้บังคับบัญชากรณีได้รับแจ้งถึงเหตุการละเมิดข้อมูลส่วนบุคคล และพิจารณาว่าการละเมิดนั้นอาจมีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลหรือไม่ รวมถึงการปรึกษาหารือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท และผู้บริหารเพื่อพิจารณาให้มีคำสั่งให้ดำเนินการใดๆ ที่เหมาะสมตามนโยบายนี้ต่อไป
  1. ตำแหน่งระดับพนักงาน

มีหน้าที่ปฏิบัติตามกฎหมายและนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้อย่างเคร่งครัด โดยเฉพาะในส่วนที่เป็นขั้นตอนในระดับการปฏิบัติการ ดังนี้

  • เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามกฎหมายและนโยบายนี้ รวมถึงเข้าร่วมการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
  • ปฏิบัติตามหน้าที่ที่ได้รับมอบหมายในการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ในเรื่องที่เกี่ยวกับการจัดการข้อมูลส่วนบุคคล เช่น ความปลอดภัย การส่ง โอนเปิดเผย หรือ การบันทึกข้อมูล ต่าง ๆ เป็นต้น
  • แจ้งให้ผู้บังคับบัญชาทราบในกรณีที่เห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด ๆ ในบริษัท หรือคำสั่งให้กระทำการใด ๆ ดังกล่าวไม่ชอบด้วยกฎหมาย หรือเมื่อเห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด ๆ อาจก่อให้เกิดความเสี่ยงต่อการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล
  • แจ้งให้ผู้บังคับบัญชาทราบเพื่ออนุมัติในกรณีได้รับคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
  • แจ้งให้ผู้บังคับบัญชาทราบโดยทันทีในกรณีทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคล ไม่ว่าการละเมิดนั้นจะเกิดจากการจงใจหรือประมาทเลินเล่อของบุคคลใดก็ตาม และไม่ว่าการละเมิดนั้นอาจจะมีหรือไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
  1. ผู้รับจ้างและผู้ให้บริการซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท

มีหน้าที่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและนโบบายนี้อย่างเคร่งครัด นอกจากนี้ยังต้องอยู่ภายใต้บังคับของสัญญาประมวลผลข้อมูลส่วนบุคคลที่ทำไว้กับบริษัท (ถ้ามี) โดยมีหน้าที่ดังนี้

  • เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามกฎหมายและนโยบายนี้ รวมถึงเข้าร่วมการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัทเมื่อมีการร้องขอ
  • แจ้งให้บริษัททราบโดยไม่ชักช้าหากมีการละเมิดข้อมูลส่วนบุคคล ทั้งนี้ภายในระยะเวลา 24 ชั่วโมงนับตั้งแต่ที่ทราบถึงการละเมิดนั้น
  • สนับสนุนและช่วยเหลือบริษัทในการตอบสนองคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล

การฝ่าฝืนกฎหมายและนโยบายนี้ของพนักงานอาจถือเป็นเหตุลงโทษทางวินัยได้ และการฝ่าฝืนกฎหมายหรือนโยบายนี้ของผู้รับจ้างหรือผู้ให้บริการซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท อาจถือว่าเป็นการผิดสัญญาที่มีกับบริษัทด้วยเช่นกัน หากการฝ่าฝืนหรือไม่ปฏิบัติตามดังกล่าวส่งผลกระทบทำให้เกิดความเสียหายแก่บริษัท บริษัทอาจถือให้เป็นเหตุเลิกจ้างหรือเลิกสัญญาได้ นอกจากนี้ยังอาจมีโทษทางอาญาซึ่งเป็นโทษปรับและจำคุกสำหรับผู้กระทำการแทนบริษัทที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมาย พนักงานและผู้ที่เกี่ยวข้องจึงต้องศึกษากฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและนโยบายนี้ และปฏิบัติตามอย่างเคร่งครัด

มาตรการการคุ้มครองข้อมูลส่วนบุคคล

บริษัทจะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยเชิงนโยบายและเชิงเทคนิคที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ตามมาตรฐานที่กฎหมายกำหนด

การบันทึก การใช้และเปิดเผยข้อมูลส่วนบุคคล

บริษัทจะต้องจัดให้มีการบันทึกการใช้และเปิดเผยข้อมูลที่ได้เก็บรวบรวม โดยมีรายการอย่างน้อย ได้แก่

  • ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม รวมถึงวัตถุประสงค์และระยะเวลาการจัดเก็บข้อมูล
  • การใช้หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีการเก็บข้อมูลโดยอาศัยฐานทางกฎหมายอื่นที่ไม่ใช่การขอความยินยอม
  • สิทธิและวิธีการและเงื่อนไขในการใช้สิทธิเข้าถึงข้อมูลของเจ้าของข้อมูลส่วนบุคคล
  • การปฏิเสธหรือคัดค้านคำขอใช้สิทธิประเภทต่างๆ พร้อมเหตุผลตามที่ระบุในนโยบายนี้ และ
  • คำอธิบายมาตรการรักษาความมั่นคงปลอดภัยที่บริษัทจัดให้มีขึ้น

ทั้งนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลตรวจสอบได้ และสามารถบังคับตามสิทธิที่เจ้าของข้อมูลส่วนบุคคลแจ้งหรือร้องขอแก่บริษัท

การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองค์กรระหว่างประเทศ

บริษัทสามารถโอนหรือส่งข้อมูลส่วนบุคคลไปยังต่างประเทศในกรณีดังต่อไปนี้

  1. ประเทศปลายทางได้ถูกรับรองว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
  2. กรณีประเทศปลายทางมีมาตรฐานไม่เพียงพอ การโอนข้อมูลส่วนบุคคลจะต้องเข้าข้อยกเว้นตามกฎหมาย อันได้แก่
  • เป็นการปฏิบัติตามกฎหมาย
  • ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยแจ้งให้รู้ถึงมาตรฐานที่ไม่เพียงพอของประเทศหรือองค์กรปลายทางแล้ว
  • เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อดำเนินการตามคำร้องขอก่อนเข้าทำสัญญา
  • เป็นการปฏิบัติตามสัญญาระหว่างบริษัทกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
  • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
  • เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
  1. กรณีที่เป็นการส่งหรือโอนข้อมูลระหว่างบุคคลหรือนิติบุคคลต่างประเทศซึ่งอยู่ในเครือกิจการเดียวกัน บริษัทอาจส่งหรือโอนข้อมูลส่วนบุคคลระหว่างกัน โดยไม่ต้องดำเนินการตามที่กำหนดไว้ข้างต้น โดยบริษัทจะต้องจัดให้มีนโยบายการคุ้มครองข้อมูลส่วนบุคคลสำหรับการส่งหรือโอนข้อมูลระหว่างกันในเครือธุรกิจเดียวกันที่ได้รับการตรวจสอบและรับรองจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ในปัจจุบันบริษัทยังไม่มีนโยบายการส่งข้อมูลส่วนบุคคลระหว่างกันสำหรับบริษัทในเครือ)

ในปัจจุบัน คณะกรรมการยังมิได้มีการกำหนดประเทศที่มีมาตรฐานเพียงพอและยังไม่มีการรับรองนโยบายการส่งหรือโอนข้อมูลส่วนบุคคลระหว่างกันสำหรับบริษัทในเครือ อย่างไรก็ตาม บริษัทก็ยังสามารถส่งข้อมูลส่วนบุคคลไปต่างประเทศหรือองค์กรระหว่างประเทศได้หากบริษัทได้จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมสามารถบังคับตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ รวมทั้งมีมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพตามมาตรฐานที่กฎหมายกำหนด ทั้งนี้ ปัจจุบันกฎหมายยังไม่ได้กำหนดมาตรฐานดังกล่าวไว้แต่อย่างใด บริษัทจึงสามารถดำเนินการส่งหรือโอนข้อมูลส่วนบุคคลให้เป็นไปตามเงื่อนไขที่กำหนดไว้ในข้อ 2 จนกว่าจะมีการประกาศใช้กฎหมายเพิ่มเติมในเรื่องดังกล่าว

การดำเนินการเมื่อมีการละเมิดข้อมูลส่วนบุคคล

เมื่อมีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้นภายในบริษัท โดยที่เหตุละเมิดนั้นมีความเสี่ยงที่จะกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล พนักงานและบุคลากรทุกคนจะต้องประสานงานกันเพื่อดำเนินการให้ถูกต้องตามกฎหมาย โดยบริษัทจะต้องแจ้งการละเมิดดังกล่าวแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ที่ได้ทราบเหตุเท่าที่สามารถจะกระทำได้ ในกรณีที่การละเมิดนั้นมีความเสี่ยงสูงที่จะเกิดผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ให้บริษัทแจ้งเหตุการณ์ละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมแนวทางเยียวยาโดยไม่ชักช้าด้วย   

การแก้ไขเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคล

นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้อาจมีการแก้ไขเปลี่ยนแปลงเป็นตามสมควร ทั้งนี้ตามการเปลี่ยนแปลงของกฎหมาย และความเหมาะสมทางธุรกิจ

หมายเหตุ: นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ได้รับการแก้ไขเปลี่ยนแปลงครั้งล่าสุดเมื่อวันที่  31st May, 2022

การสอบถามข้อมูลเพิ่มเติม และการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล

กรณีมีข้อสงสัยหรือคำถามเพิ่มเติมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือกรณีมีความประสงค์จะแจ้งเหตุแห่งการละเมิดข้อมูลส่วนบุคคล โปรดติดต่อ:

[ชื่อ] ESG Department Manager

[หมายเลขโทรศัพท์] (+66)2-338-1535 ต่อ 1460

[อีเมล] compliance@metco.co.th

 

PAGETOP
Copyright © MURAMOTO ELECTRON(THAILAND) PUBLIC COMPANY LIMITED All Rights Reserved.