Jungceylon

PRIVACY POLICY



บริษัทฯ ภูเก็ตสแควร์ จำกัด (“บริษัทฯ”) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล อันเป็นสิทธิขั ้นพื ้นฐานในความเป็นส่วนตัวของบุคคล โดยเจ้าของข้อมูลส่วน บุคคลย่อมมีความประสงค์ที ่จะให้ข้อมูลของตนได้รับการดูแลให้มีความมั ่นคงปลอดภัย เพื ่อให้เจ้าของข้อมูลส่วนบุคคลเกิดความมั่นใจในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ จึงได้กำหนดนโยบายการคุ้มครองข้อมูล ส่วนบุคคล (“นโยบาย”) ฉบับนี ้ขึ ้นเพื ่อกำหนดแนวทางในการปฏิบัติงานที ่เกี ่ยวข้องกับการเก็บรวบรวม ใช้ และ/หรือ เปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคล โดยมีรายละเอียดดังนี้
1. วัตถุประสงค์
นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้มีวัตถุประสงค์ดังต่อไปนี้
1.1. เพื่อกำหนดบทบาทหน้าที่ของหน่วยงาน ผู้บริหาร พนักงาน ซึ่งมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล

1.2. เพื่อกำหนดขั้นตอนหรือมาตรฐานการรักษาความมั่นคงปลอดภัยในการคุ้มครองข้อมูลส่วนบุคคล

1.3. เพื่อกำหนดแนวทางในการปฏิบัติงานของพนักงานซึ่งเกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล

1.4. เพื ่อสร้างความเชื ่อมั ่นในการรักษาความมั ่นคงปลอดภัยของข้อมูลส่วนบุคคลต่อบุคคล ลูกค้า คู ่ค้า ผู้ใช้บริการ ตลอดจนบุคคลอื่น ๆ ซึ่งมีส่วนได้เสียหรือเกี่ยวข้องกับข้อมูลส่วนบุคคล
2. ขอบเขตการบังคับใช้
นโยบายฉบับนี้ ใช้บังคับกับข้อมูลส่วนบุคคลของ
2.1 ลูกค้าบุคคลธรรมดาของบริษัทฯ ทั้งที่เป็นลูกค้าเป้าหมาย (ผู้ที่อาจเป็นลูกค้าในอนาคต) ลูกค้าปัจจุบัน และลูกค้าในอดีต

2.2 พนักงาน บุคลากร ผู้รับมอบอำนาจ ผู้ถือหุ้น กรรมการ และบุคคลธรรมดาอื่น ๆ ภายในบริษัทฯ

2.3 พนักงาน บุคลากร ผู้รับมอบอำนาจ ผู ้ถือหุ ้น กรรมการ ตัวแทน และบุคคลธรรมดาอื ่น ๆ ที ่เกี ่ยวข้องกับลูกค้านิติบุคคลของบริษัทฯ ทั ้งที ่เป็นลูกค้าเป้าหมาย (ผู ้ที ่อาจเป็นลูกค้าในอนาคต) ลูกค้าปัจจุบัน และลูกค้าในอดีต

2.4 บุคคลธรรมดาที่มิใช่ลูกค้าของบริษัทฯ ซึ่งมีการทำธุรกรรมหรือกิจกรรมหรือมีความสัมพันธ์กับบริษัทฯ เช่น ผู ้ให้บริการภายนอก คู ่ค้า คู ่สัญญากับบริษัทฯ เป็นต้น (ต่อไปนี ้หากไม่เรียก 2.1 ถึง 2.4 โดยเฉพาะเจาะจง จะเรียกบุคคลตาม 2.1 ถึง 2.4 ดังกล่าวรวมกันว่า “เจ้าของข้อมูลส่วนบุคคล”
3. คำนิยาม
คำศัพท์ ความหมาย
บริษัทฯ บริษัท ภูเก็ตสแควร์จำกัด
บุคคล บุคคลธรรมดาที่ยังมีชีวิตอย
ข้อมูลส่วนบุคคล (Personal data) ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือ ทางอ้อม แต่ไม่รวมถึงบุคคลที่ถึงแก่กรรมโดยเฉพาะ บริษัทฯ อาจเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่ได้รับจากเจ้าของ ข้อมูลส่วนบุคคลโดยตรง (เช่น แพลตฟอร์มลงทะเบียนของบริษัทฯ) หรือได้รับหรือ เข้าถึงได้จากแหล่งอื่น (เช่น กรมพัฒนาธุรกิจการค้า กระทรวงพาณิชย์ กรมการ ปกครอง กระทรวงมหาดไทย กรมการกงสุล กระทรวงการต่างประเทศ กรมบังคับ คดี หรือแหล่งข้อมูลสาธารณะอื่น ๆ) หรือผ่านบริษัทในเครือ ผู้ให้บริการ พันธมิตร ทางธุรกิจ หน่วยงานทางการ หรือบุคคลภายนอก
ข้อมูลส่วนบุคคล ลักษณะพิเศษ (Special Category Personal Data) ข้อมูลส่วนบุคคลตามมาตรา 26 ได้แก่ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
เจ้าของข้อมูลส่วนบุคคล (Data Subject) ตัวบุคคลที่ข้อมูลส่วนบุคคลนั้นระบุไปถึง โดยเจ้าของข้อมูลส่วนบุคคลนี้จะหมายถึง บุคคลธรรมดาเท่านั้น และไม่รวมถึง “นิติบุคคล” (Juridical Person) ที่จัดตั้งขึ้น ตามกฎหมาย เจ้าของข้อมูลส่วนบุคคล ได้แก่

1. เจ้าของข้อมูลส่วนบุคคลที่เป็นผู้บรรลุนิติภาวะ หมายถึง
1.1 บุคคลที่มีอายุตั้งแต่ 20 ปีบริบูรณ์ขึ้นไป หรือ
1.2 ผู้ที่สมรสตั้งแต่อายุ 17 ปีบริบูรณ์ขึ้นไป หรือ
1.3 ผู้ที่สมรสก่อนอายุ 17 ปี โดยศาลอนุญาตให้ทำการสมรส หรือ
1.4 ผู้เยาว์ซึ่งผู้แทนโดยชอบธรรมให้ความยินยอมในการประกอบธุรกิจ ทางการค้าหรือธุรกิจอื่น หรือในการทำสัญญาเป็นลูกจ้างในสัญญาจ้างแรงงาน ในความเกี่ยวพันกับการประกอบธุรกิจหรือ การจ้างแรงงานข้างต้นให้ผู้เยาว์มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้ว

ทั้งนี้ ในการให้ความยินยอมใด ๆ เจ้าของข้อมูลส่วนบุคคลที่เป็นผู้บรรลุนิติภาวะสามารถให้ความยินยอมได้ด้วยตนเอง

2. เจ้าของข้อมูลส่วนบุคคลที่เป็นผู้เยาว์ หมายถึง บุคคลที่อายุต่ำกว่า 20 ปีบริบูรณ์ และไม่ใช่ผู้บรรลุนิติภาวะตามข้อ 1 ทั้งนี้ ในการให้ความยินยอมใด ๆ จะต้องได้รับ ความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย และจากตัวผู้เยาว์กรณีที่ อายุมากกว่า 10 ปี แต่ไม่เกิน 20 ปีบริบูรณ์

3. เจ้าของข้อมูลส่วนบุคคลที่เป็นคนเสมือนไร้ความสามารถ หมายถึง บุคคลที่ศาลสั่งให้เป็นคนเสมือนไร้ความสามารถ เนื่องจากมีกายพิการหรือมีจิตฟั่นเฟือนไม่ สมประกอบ หรือประพฤติสุรุ่ยสุร่ายเสเพลเป็นอาจิณ หรือติดสุรายาเมา หรือมีเหตุอื่นใดทำนองเดียวกันนั้น จนไม่สามารถจะจัดทำการงานโดยตนเองได้ หรือจัดกิจการไปในทางที่อาจจะเสื่อมเสียแก่ทรัพย์สินของตนเองหรือครอบครัวทั้งนี้ ในการให้ความยินยอมใด ๆ จะต้องได้รับความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถนั้นก่อน

4. เจ้าของข้อมูลส่วนบุคคลที่เป็นคนไร้ความสามารถ หมายถึง บุคคลที่ศาลสั่งให้เป็นคนไร้ความสามารถ เนื่องจากเป็นบุคคลวิกลจริต ทั้งนี้ ในการให้ความยินยอมใดๆ จะต้องได้รับความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถนั้นก่อน
ผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data processor) บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคล หรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) บุคคลซึ่งบริษัทฯ แต่งตั้งให้ทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
การประมวลผลข้อมูล (Processing) การดำเนินการหรือการปฏิบัติการใด ๆ ซึ่งเป็นการกระทำต่อข้อมูลส่วนบุคคล ไม่ว่าจะด้วยวิธีการอัตโนมัติหรือไม่ก็ตาม เช่น การรวบรวม การบันทึก การจัด โครงสร้าง การจัดเก็บ การปรับหรือการเปลี่ยนแปลง การสืบค้น การใช้ การเปิดเผย โดยการส่งผ่าน การเผยแพร่ หรือการทำให้พร้อมใช้งาน การจัดระบบหรือ การรวมกัน การจำกัด การลบ หรือการทำลายข้อมูลส่วนบุคคล เป็นต้น
คำจำกัดความอื่นๆ ในกรณีที่นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ไม่ได้กำหนดไว้ ให้ถือปฏิบัติตามคำจำกัดความที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด
4. การคุ้มครองข้อมูลส่วนบุคคล
บริษัทฯ ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล โดยการประมวลผลข้อมูลส่วนบุคคลบริษัทฯ จะต้องกระทำภายใต้หลักการ ดังต่อไปนี้
4.1 หลักความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส (Lawfulness, Fairness and Transparency) : บริษัทฯ จะประมวลผลข้อมูลเฉพาะตามที่บริษัทฯ มีฐานที ่ชอบด้วยกฎหมาย รองรับและ บริษัทฯ จะกำหนดวิธีการเก็บรวบรวม ใช้ และ/หรือ เปิดเผยข้อมูลส่วนบุคคลอย่างชัดเจน

4.2 หลักความจำกัดของขอบวัตถุประสงค์ (Purpose Limitation) : บริษัทฯ จะประมวลผลข้อมูลตามวัตถุประสงค์ที ่ได้กำหนดและแจ้งไว้ในขณะที่บริษัทฯ ได้รับข้อมูลส่วนบุคคลเท่านั ้น เว้นแต่จะเป็น การประมวลผลเพื่อวัตถุประสงค์เกี่ยวเนื่องกันหรือเป็นการปฏิบัติหน้าที่ตามกฎหมายที่ชัดเจน

4.3 หลักการใช้ข้อมูลที ่น้อยที่สุด (Data Minimization) : บริษัทฯ จะประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นเท่านั้นเพื่อที่จะบรรลุวัตถุประสงค์ของการประมวลผลข้อมูล

4.4 หลักความถูกต้องของข้อมูล (Accuracy) : บริษัทฯ จะดำเนินการอย่างเหมาะสมเพื ่อให้ข้อมูลส่วนบุคคลที่บริษัทฯ จัดเก็บนั้นมีความถูกต้องสมบูรณ์ เป็นปัจจุบันและไม่ก่อให้เกิดความเข้าใจผิด

4.5 หลักความจำกัดการเก็บรักษา (Storage Limitation) : บริษัทฯ จะทำการเก็บรักษาข้อมูลไว้เท่าที่จำเป็นต้องใช้ เว้นแต่กรณีที่บริษัทฯ จำเป็นต้องเก็บไว้เพื่อให้เป็นไปตามมาตรฐานของการเก็บรักษาเอกสารหรือตามกฎระเบียบของรัฐ

4.6 หลักความถูกต้องแท้จริงและการรักษาความลับ (Integrity and Confidentiality) : บริษัทฯ จะจัดให้มีมาตรการทางเทคนิคและทางบริหารจัดการที่เหมาะสมเพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลที่บริษัทฯ จัดเก็บได้รับการรักษาความมั่นคงปลอดภัยในระดับที่เหมาะสม

4.7 หลักความรับผิดชอบ (Accountability) : บริษัทฯ จะดำเนินการอย่างเหมาะสมเพื่อให้สามารถแสดงได้ว่าบริษัทฯ ได้ปฏิบัติตามหลักการต่าง ๆ ข้างต้น
5. การเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทฯ จะดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ดังนี้
5.1 ข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ไว้แก่บริษัทฯ โดยตรง โดยทั ่วไปแล้ว บริษัทฯ จะทำ การเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรงจากการที่เจ้าของข้อมูลส่วน บุคคลได้ติดต่อสื่อสารกับบริษัทฯ เพื่อสอบถามข้อมูล ให้ความเห็น คำติชม หรือ ส่งข้อร้องเรียน ผ่าน ทางเว็บไซต์, โทรศัพท์, อีเมล ว่าจ้างหรือใช้บริการจากบริษัทฯ และเข้าทำสัญญากับบริษัทฯ, การ เสนอขายสินค้าหรือรับจ้างหรือให้บริการแก่บริษัทฯ และเข้าทำสัญญา, การเข้าร่วมกิจกรรมทางการ ตลาดหรือกิจกรรมอื่นๆ เป็นต้น

5.2 ข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยอัตโนมัติ บริษัทฯ อาจเก็บ รวมรวมข้อมูลทางเทคนิคบางอย่างเกี่ยวกับอุปกรณ์ กิจกรรมและรูปแบบการเข้าชม ข้อมูลประวัติการ ใช้งานเว็บไซต์ (Browsing) ของเจ้าของข้อมูลส่วนบุคคลโดยอัตโนมัติ

5.3 ข้อมูลส่วนบุคคลที่บริษัทฯ ได้รับจากบุคคลภายนอก ซึ่งบริษัทฯ อาจได้รับข้อมูลส่วนบุคคลเป็นครั้ง คราว เช่น จากแหล่งข้อมูลสาธารณะ แหล่งข้อมูลเกี่่ยวกับธุรกิจของเจ้าของข้อมูลส่วนบุคคล หรือ แหล่งข้อมูลทางการค้า, หน่วยงานของรัฐ โดยไม่ว่าเจ้าของข้อมูลส่วนบุคคลจะเป็นผู ้ให้ข้อมูลส่วน บุคคลด้วยตนเองหรือได้ให้ความยินยอมแก่ผู ้ใดในการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วน บุคคลดังกล่าวก็ตาม

5.4 การเก็บรวบรวมข้อมูลส่วนบุคคลให้กระทำภายใต้วัตถุประสงค์และเท่าที่จำเป็นตามวัตถุประสงค์หรือ เพื ่อประโยชน์ที่มีความเกี่่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวม พร้อมทั ้งแจ้งให้เจ้าของ ข้อมูลส่วนบุคคลทราบก่อน หรือ ขณะ ที่เก็บรวบรวม โดยจะมีการแจ้งรายละเอียดให้เจ้าของข้อมูล ส่วนบุคคลส่วนบุคคลทราบ ดังต่อไปนี้
1) วัตถุประสงค์ในการเก็บรวบรวม
2) ระยะเวลาในการเก็บรวบรวม
3) ประเภทของบุคคลหรือหน่วยงานที่อาจมีการเปิดเผยข้อมูลส่วนบุคคล
4) ข้อมูลหรือช่องทางการติดต่อบริษัทฯ
5) สิทธิของเจ้าของข้อมูลส่วนบุคคล
6) แจ้งผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคลในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด หรือเพื่อเข้าทำหรือปฏิบัติตามสัญญา

5.5 การเก็บรวบรวมข้อมูลส่วนบุคคลต้องได้รับความยินยอม เว้นแต่เข้าข้อยกเว้นตามฐานกฎหมายดังกรณีต่อไปนี้
ฐานทางกฎหมายตามมาตรา 24 ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ดังต่อไปนี้
1) ฐานจดหมายเหตุ/สถิติ/วิจัย เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื ่อประโยชน์สาธารณะ หรือที ่เกี ่ยวกับการศึกษาวิจัยหรือสถิติ
2) ฐานระงับอันตรายต่อชีวิต เพื่่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
3) ฐานสัญญา เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่่งเจ้าของข้อมูลส่วนบุคคลเป็นคู ่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
4) ฐานประโยชน์สาธารณะ เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู ้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที ่ในการใช้อำนาจรัฐที ่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
5) ฐานประโยชน์อันชอบธรรม เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู ้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื ่นที ่ไม่ใช่ผู ้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั ้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
6) ฐานปฏิบัติตามกฎหมาย เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
หากเป็นข้อมูลส่วนบุคคลลักษณะพิเศษ (Special Category Personal Data) เป็นไปตามหลักเกณฑ์ตามมาตรา 26 ซึ่งต้องได้รับความยินยอม เว้นแต่มีข้อยกเว้นตามกฎหมาย ดังนี้
1) ฐานป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ซึ ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้
2) ฐานระงับอันตรายต่อร่างกายสุขภาพและชีวิต กรณีที ่มีเหตุจำเป็นต้องใช้ข้อมูลส่วนบุคคลลักษณะพิเศษ หรือ Special Category Personal Data เช่น กรุ ๊ปเลือด ข้อมูลสุขภาพสามารถใช้ได้กรณีที่เจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ เช่น เจ้าของข้อมูล ส่วนบุคคลเกิดอุบัติเหตุ แต่หากขอความยินยอมได้ควรขอก่อน ตามมาตรา 24 เป็น ข้อมูลทั่วไป และมาตรา 26 เป็นข้อมูลลักษณะพิเศษ
3) ฐานการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที ่มีการคุ ้มครองที ่เหมาะสมของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากำไร
4) ข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล
5) จำเป็นเพื ่อการก่อตั ้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
6) จำเป็นต้องปฏิบัติตามกฎหมาย เฉพาะที ่เกี ่ยวกับเวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการ ด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการใช้บริการด้านสังคมสงเคราะห์ ประโยชน์สาธารณะด้านสาธารณสุข การคุ ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี ่ยวกับการรักษาพยาบาลของผู ้มีสิทธิตามกฎหมาย การคุ ้มครองผู ้ประสบภัยจากยานพาหนะ หรือการคุ ้มครองทางสังคม การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่นที่สำคัญ

5.6 การเก็บรวบรวมข้อมูลส่วนบุคคลของผู้หย่อนความสามารถ บริษัทฯ จะดำเนินการดังนี้
1) กรณีเจ้าของข้อมูลส่วนบุคคลที่เป็นผู้เยาว์ที่อายุไม่เกิน 10 ปี บริษัทฯ จะขอความยินยอมจากผู ้ใช้อำนาจปกครองก่อน และกรณีที ่อายุมากกว่า 10 ปีแต่ไม่เกิน 20 ปี บริษัทฯ จะขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์และผู้เยาว์ก่อน
2) กรณีเจ้าของข้อมูลส่วนบุคคลที ่เป็นคนเสมือนไร้ความสามารถ บริษัทฯ จะขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถนั้นก่อน
3) กรณีเจ้าของข้อมูลส่วนบุคคลที่เป็นคนไร้ความสามารถ บริษัทฯ จะขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถนั้นก่อน
ทั ้งนี ้ หากการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที ่ไม่เป็นไปตามกฎหมายคุ ้มครองข้อมูลส่วนบุคคลไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคล

5.7 การเก็บรวบรวมข้อมูลส่วนบุคคลลักษณะพิเศษ (special categories of personal data) บริษัทฯจะไม่เก็บข้อมูลส่วนบุคคลที่มีลักษณะพิเศษ เว้นแต่มีความจำเป็นต้องเก็บรวบรวม โดยต้องได้รับความ ยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ยกเว้นในกรณีที ่กฎหมายกำหนดให้สามารถเก็บรวบรวมได้โดยไม่ ต้องขอความยินยอม ตามข้อ 5.5

5.8 การเก็บรวบรวมข้อมูลของบุคคลที่สาม หากเจ้าของข้อมูลส่วนบุคคลได้ให้ข้อมูลส่วนบุคคลของบุคคลที ่สามแก่บริษัทฯ เช่น ผู ้ติดต่อฉุกเฉิน บุคคลที ่อ้างอิง บุคคลในครอบครัว เช่น ชื ่อ นามสกุล ที ่อยู่ หมายเลขโทรศัพท์ หรือข้อมูลเพื่อการติดต่ออื่นเพื่อติดต่อในกรณีฉุกเฉิน ผ่านการกรอกใบสมัคร หรือทำธุรกรรมของเจ้าของข้อมูลส่วนบุคคลกับบริษัทฯ บริษัทฯ จะให้เจ้าของข้อมูลส่วนบุคคลรับรองว่า ข้อมูลดังกล่าวเป็นข้อมูลที ่ถูกต้องตามกฎหมาย และให้เจ้าของข้อมูลส่วนบุคคลแจ้งบุคคลเหล่านั ้นให้ทราบถึงนโยบายการคุ้มครองข้อมูลส่วนบุคคล และ/หรือ ขอความยินยอมจากบุคคลเหล่านั้น

5.9 การเก็บข้อมูลจากกล้องวงจรปิด CCTV บริษัทฯ มีการเก็บข้อมูลจากกล้องวงจรปิด CCTV เพื ่อความปลอดภัยส่วนตัวของเจ้าของข้อมูลส่วนบุคคล ซึ่งรวมไปถึงทรัพย์สินของเจ้าของข้อมูลส่วนบุคคล เพื่อ การปกป้องอาคาร สิ ่งอำนวยความสะดวกและทรัพย์สินของบริษัทฯ จากความเสียหาย การขัดขวางการทำลายซึ ่งทรัพย์สินหรืออาชญากรรมอื ่น และวัตถุประสงค์อื ่นใดที ่มีความเกี ่ยวข้อง โดยไม่ต้องขอ ความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เนื ่องจากบริษัทฯ ใช้ฐานประโยชน์โดยชอบธรรมในการประมวลผล และมีการแจ้งประกาศความเป็นส่วนตัวรวมถึงมีป้ายประกาศแจ้ง ณ บริเวณที ่มีการติดอุปกรณ์
6. การใช้หรือการเปิดเผยข้อมูลส่วนบุคคล
6.1 การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปตามวัตถุประสงค์ที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคล ก่อนหรือในขณะทำการเก็บรวบรวม และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่กฎหมายกำหนดให้ไม่ต้องขอความยินยอมเนื่องจากเข้าข้อยกเว้นไม่ต้องขอความยินยอม

6.2 กรณีมีการใช้งานผู้ประมวลผลข้อมูลส่วนบุคคล (Data processor) ซึ่งเป็นบุคคลหรือนิติบุคคลที่ดำเนินการเกี ่ยวกับการเก็บรวบรวม ใช้และ/หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั ่งหรือในนามของ บริษัทฯ ซึ ่งมีสถานะเป็นผู ้ควบคุมข้อมูลส่วนบุคคล ทั ้งนี ้ บุคคลหรือนิติบุคคลซึ ่งดำเนินการดังกล่าวจะต้องมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA )

6.3 กรณีที่หน่วยงานรัฐ หรือองค์กรที่ถืออำนาจรัฐ ร้องขอเข้าถึงข้อมูลส่วนบุคคลโดยอ้างอิงถึงกฎหมายระเบียบ หรือคำสั ่งใด ๆ ที ่บริษัทฯ จะต้องปฏิบัติตาม บริษัทฯ จะพิจารณาให้หน่วยงานเข้าถึงข้อมูล ส่วนบุคคลได้ในกรณีที ่มีบทบัญญัติกฎหมาย หรือคำสั ่ง หรือหนังสือแจ้งอย่างเป็นทางการเท่านั้น ยกเว้นกรณีที่เป็นการปฏิบัติหน้าที่ตามกฎหมาย (Legal Obligation) ที่บริษัทฯ ต้องปฏิบัติอยู่แล้ว

6.4 เพื่อดำเนินการตามวัตถุประสงค์ที่ระบุไว้ในนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล อาจมีการใช้ และ/หรือ เปิดเผย ให้กับหน่วยงานต่าง ๆ ภายในบริษัทฯ และบุคคลหรือหน่วยงานภายนอก ดังนี้
ประเภทผู้รับข้อมูล รายละเอียด
6.4.1 ภายในบริษัทฯ ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล อาจถูกใช้ และ/หรือเปิดเผยหรือนำส่งให้กับหน่วยงานต่าง ๆ ภายในบริษัทฯ รวมถึงสำนักงานใหญ่ และสำนักงานสาขาของบริษัทฯ เฉพาะที่เกี่ยวข้องและมีบทบาทหน้าที่เท่าที่จำเป็นตามวัตถุประสงค์เท่านั้น โดยบุคคลหรือทีมงานเหล่านี้ ของบริษัทฯ จะได้รับอนุญาตให้เข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลตามความจำเป็นและเหมาะสม
• เจ้าหน้าที่บริการลูกค้า หรือเจ้าหน้าที่ฝ่ายอื่น ๆ เฉพาะที่เกี่ยวข้อง โดยกำหนดสิทธิ์การเข้าถึงข้อมูลตามบทบาทหน้าที่ที่รับผิดชอบ
• ผู้บริหาร หรือผู้บังคับบัญชาโดยตรง ที่มีความรับผิดชอบในการบริหารหรือตัดสินใจเกี่ยวกับเจ้าของข้อมูลส่วนบุคคล หรือเมื่อต้องเกี่ยวข้องกับขั้นตอนทางด้านงานบุคคล
• ฝ่ายหรือทีมสนับสนุนต่าง ๆ ที่กระบวนการทำงานเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
6.4.2 หน่วยงานราชการ หน่วยงานกำกับดูแล หรือหน่วยงานอื่นตามที่กฎหมายกำหนด ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล อาจมีการเปิดเผยหรือ นำส่งให้กับองค์กรภายนอก เช่น กรมสรรพากร สำนักงานประกันสังคม กรมสวัสดิการและคุ้มครองแรงงาน กรมบังคับคดี กระทรวงแรงงาน หรือหน่วยงานอื่นใดที่อาศัยอำนาจตามกฎหมาย
6.4.3 องค์กรหรือบุคคลภายนอก บริษัทฯ อาจเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคล ให้กับองค์กรหรือ บุคคลภายนอกที่มีการติดต่อสอบถามเพื่อวัตถุประสงค์ในการตรวจสอบการทำธุรกรรมต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคล และเพื่อที่จะได้ให้บริการให้สอดคล้องกับความต้องการของเจ้าของข้อมูลส่วนบุคคล
7. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
7.1 บริษัทฯ อาจส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปยังบุคคลอื่นทั้งในประเทศ และต่างประเทศในกรณีที่จำเป็นเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเป็น การกระทำตามสัญญาระหว่างบริษัทฯ กับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา หรือเพื่อ ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น เพื่อปฏิบัติตามกฎหมายหรือเป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ

7.2 บริษัทฯ อาจเก็บข้อมูลของเจ้าของข้อมูลส่วนบุคคลบนคอมพิวเตอร์ เซิร์ฟเวอร์ (Server) หรือคลาวด์ (Cloud) ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมหรือแอปพลิเคชันของบุคคลอื่นในรูปแบบของ การให้บริการซอฟท์แวร์สำเร็จรูปและรูปแบบของการให้บริการแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคลทั ้งนี ้ บริษัทฯ จะไม่อนุญาตให้บุคคลที ่ไม่เกี ่ยวข้องสามารถเข้าถึงข้อมูล ส่วนบุคคลได้ และบริษัทฯ จะกำหนดให้บุคคลอื ่นเหล่านั ้นต้องมีมาตรการคุ ้มครองความมั ่นคงปลอดภัยด้านข้อมูลส่วนบุคคลที่เหมาะสม

7.3 กรณีที่มีเหตุจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทฯ จะปฏิบัติตามกฎหมายคุ ้มครองข้อมูลส่วนบุคคลและใช้มาตรการที ่เหมาะสมเพื ่อให้มั ่นใจได้ ว่าข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลจะได้รับความคุ ้มครองและเจ้าของข้อมูลส่วนบุคคลสามารถใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลได้ตามที่กฎหมายกำหนด รวมถึง บริษัทฯ จะกำหนดให้ผู้ที่ได้รับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลมีมาตรการปกป้องข้อมูลของเจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสม และประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที ่จำเป็น เท่านั้น และดำเนินการเพื่อป้องกันไม่ให้บุคคลอื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจโดยมิชอบ
8. การเก็บรักษาและระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
บริษัทฯ จะทำการเก็บรักษาข้อมูลส่วนบุคคล ดังนี้
1) จัดเก็บข้อมูลในรูปแบบเอกสารและอิเล็กทรอนิกส์
2) จัดเก็บข้อมูลในสถานที ่ที ่มีการจำกัดสิทธิการเข้าถึงเก็บไว้ในคอมพิวเตอร์แม่ข่าย (Server) และ/หรือเก็บไว้บนฐานข้อมูลออนไลน์ (Cloud Storage)

บริษัทฯ จะจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลตามระยะเวลาเท่าที่ข้อมูลส่วนบุคคลถูกประมวลผลตามความจำเป็นและวัตถุประสงค์ที่บริษัทฯ ได้กำหนดไว้ซึ่งรวมถึงการปฏิบัติตามข้อกำหนดของกฎหมายที่ใช้บังคับ

หลักเกณฑ์ที่ใช้กำหนดระยะเวลาในการเก็บ ได้แก่ ระยะเวลาที่บริษัทฯ ยังมีพันธะกับเจ้าของข้อมูลส่วนบุคคล อาจเก็บต่อไปตามระยะเวลาที ่จำเป็นเพื ่อการปฏิบัติตามกฎหมายหรือตามอายุความทางกฎหมาย เพื ่อการก่อตั ้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียงร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อเหตุอื่นตามนโยบายและข้อกำหนดภายในองค์กรของบริษัทฯ

บริษัทฯ จะยังดำเนินการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลต่อไป แม้ว่าเจ้าของข้อมูลส่วนบุคคลจะยุติความสัมพันธ์กับบริษัทฯ เท่าที ่จำเป็นตามข้อกำหนดของกฎหมายเพื่อ ประโยชน์โดยชอบด้วยกฎหมาย หรือทำการเก็บในรูปแบบที่ทำให้ระบุตัวบุคคลไม่ได้ไม่ว่าทางตรงหรือทางอ้อม เช่น “การทำข้อมูลนิรนาม” (Anonymous Data) หรือ “การทำข้อมูลแฝงที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค” (Pseudonymous Data)

บริษัทฯ อาจเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลตามระยะเวลาเท่าที ่จำเป็นเพื ่อการดำเนินการให้บรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลตามที ่ได้ระบุไว้ในประกาศความเป็น ส่วนตัว โดยบริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลที่มีการประมวลผลไม่เกิน 10 ปี นับแต่วันที่เจ้าของข้อมูลส่วนบุคคลยุติความสัมพันธ์ หรือการติดต่อครั ้งสุดท้ายกับบริษัทฯ โดยอาจเก็บรักษาข้อมูลส่วนบุคคลนานกว่าที่กำหนดหากกฎหมายอนุญาต

บริษัทฯ จะดำเนินการตรวจสอบเป็นประจำเพื ่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล ทำให้ไม่สามารถระบุชื ่อเจ้าของข้อมูลส่วนบุคคลได้เป็นการถาวร หรือโดยประการอื ่นเพื ่อจำกัดข้อมูลส่วนบุคคล ทั้งหมดเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้อง หรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั ้น หรือเมื ่อบริษัทฯ ต้องปฏิบัติตามคำขอของเจ้าของข้อมูลส่วนบุคคลให้บริษัทฯ ทำการลบข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคลซึ ่งเจ้าของข้อมูลส่วนบุคคลยินยอมให้นำมาประมวลผล ไม่ว่าจะเป็นการ เก็บรวบรวมจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยอาศัยวัตถุประสงค์ที ่บริษัทฯ ได้ขอความยินยอมไว้ จะถูกจัดเก็บไว้ที ่ระบบจัดเก็บของบริษัทฯ เป็นระยะเวลา 10 ปี นับแต่วันที ่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอม
9. บทบาทหน้าที่และความรับผิดชอบ
บริษัทฯ กำหนดให้พนักงานหรือหน่วยงานที ่เกี ่ยวข้องกับข้อมูลส่วนบุคคลต้องให้ความสำคัญและ รับผิดชอบในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบายและแนวปฏิบัติในการคุ้มครอง ข้อมูลส่วนบุคคลอย่างเคร่งครัด โดยกำหนดให้บุคคลหรือหน่วยงานดังต่อไปนี ้ ทำหน้าที ่กำกับและ ตรวจสอบให้การดำเนินงานของบริษัทฯ ถูกต้องและเป็นไปตามนโยบายและกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

9.1 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
หน้าที่ รายละเอียด
1. เก็บรวบรวม ใช้ เปิดเผยให้เป็นไปตามกฎหมาย การเก็บรวบรวม ใช้ เปิดเผย ต้องมีฐานทางกฎหมายรองรับ ดำเนินการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ และต้องดำเนินการเก็บรวบรวมข้อมูลมาจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เข้าข้อยกเว้น ซึ่งเกี่ยวข้องกับหน้าที่ในการจัดเตรียมเอกสารต่างๆเพื่อให้เจ้าของข้อมูลส่วนบุคคลมั่นใจว่า หากยินยอมให้ผู้ควบคุมข้อมูลส่วนบุคคลเข้าไปเก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคล และผู้ควบคุมข้อมูลส่วนบุคคลจะดูแลรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลอย่างไร
2.จัดช่องทางให้เจ้าของข้อมูลส่วนบุคคลใช้สิทธิตามกฎหมาย จัดช่องทางให้เจ้าของข้อมูลส่วนบุคคลใช้สิทธิและทำการบันทึกคำร้องขอของเจ้าของข้อมูลส่วนบุคคล เมื่อผู้ควบคุมข้อมูลส่วนบุคคล ปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลพร้อมระบุเหตุผลในรายการบันทึกรายการตามมาตรา 39
3.จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม และเป็นไปตามมาตรฐานขั้นต่ำ
4.จัดให้มีมาตรการป้องการไม่ให้ผู้อื่นใช้หรือเปิดเผยข้อมูลโดยมิชอบ ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เช่น มีการโอนข้อมูลส่วนบุคคลให้ผู้ประมวลผล ต้องมีการดำเนินการเพื่อไม่ให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจ หรือโดยไม่ถูกต้องตามกฎหมาย
5.จัดให้มีระบบตรวจสอบเพื่อดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็นการใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย การยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย
6.แจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล ต้องแจ้งเหตุละเมิดแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง นับแต่เมื่อทราบเหตุดังกล่าว ทั้งนี้ ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการณ์ละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า
7. แต่งตั้งตัวแทนในราชอาณาจักร หากผู้ควบคุมข้อมูลส่วนบุคคลอยู่นอกประเทศไทย ผู้ควบคุมส่วนบุคคลต้องแต่งตั้งตัวแทนของตนในประเทศไทย โดยต้องแต่งตั้งเป็นหนังสือ ซึ่งตัวแทนต้องอยู่ในประเทศไทยและได้รับมอบอำนาจให้กระทำแทนโดยไม่มีข้อจำกัดความรับผิดใดๆที่เกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ตามวัตถุประสงค์ของผู้ควบคุมข้อมูล
8. จัดทำบันทึกรายการประมวลผลข้อมูล (Record of Processing Activities: RoPA) จัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคล ( Record of Processing Activities : RoPA ) เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) สามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้
9. จัดให้มีข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement: DPA) การดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล
10. แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) หากผู้ควบคุมข้อมูลส่วนบุคคลเข้าหลักเกณฑ์ที่กฎหมายกำหนดให้ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามประกาศฯ เรื่องการจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) ผู้ควบคุมข้อมูลส่วนบุคคลจะต้อง ดำเนินการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลและดำเนินการแจ้งให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ทราบ

9.2 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
หน้าที่ รายละเอียด
1.ประมวลผลข้อมูลส่วนบุคคลภายใต้คำสั่งผู้ควบคุมข้อมูล ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมาย หรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคล
2.จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
3.จัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคล จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด
4.ทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล การดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล ผู้ควบคุมส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล

9.3 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
หน้าที่ รายละเอียด
1.ให้คำแนะนำ ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
2.ตรวจสอบการดำเนินการ ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
3.ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)ในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
4.รักษาความลับของข้อมูล รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่
10. มาตรการรักษาความปลอดภัยสำหรับข้อมูลส่วนบุคคล
เพื ่อประโยชน์ในการรักษาความลับและรักษาความปลอดภัยของข้อมูลส่วนบุคคล บริษัทฯ ได้มีมาตรการดังนี้
10.1 กำหนดสิทธิในการเข้าถึงการใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคลอื่น ๆ รวมถึงการแสดง หรือยืนยันตัวบุคคลผู้เข้าถึงหรือใช้ข้อมูลส่วนบุคคลโดยจัดให้มีมาตรการรักษาความปลอดภัย รวมถึง กระบวนการทบทวนและการประเมินประสิทธิภาพของมาตรการรักษาความปลอดภัย ทั ้งนี ้เป็นไปตามแนวนโยบายที ่เกี ่ยวข้องกับการทำงานด้านการคุ ้มครองข้อมูลส่วนบุคคลของบริษัทฯ อย่างเคร่งครัด

บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไว้เป็นอย่างดีตามมาตรการเชิงเทคนิค (Technical Measure) และมาตรการเชิงบริหารจัดการ (Organizational Measure) เพื ่อรักษาความปลอดภัยในการประมวลผลข้อมูลส่วนบุคคลที ่เหมาะสม และเพื ่อป้องกันการละเมิดข้อมูลส่วนบุคคล โดยบริษัทฯ ได้กำหนดนโยบาย ระเบียบ และหลักเกณฑ์ในการคุ ้มครอง ข้อมูลส่วนบุคคล รวมถึงมาตรการเพื ่อป้องกันไม่ให้ผู ้รับข้อมูลไปจากบริษัทฯ ใช้ หรือเปิดเผยข้อมูลนอกวัตถุประสงค์ หรือโดยไม่มีอำนาจหรือโดยมิชอบ และบริษัทฯ ได้มีการปรับปรุงนโยบาย ระเบียบ และหลักเกณฑ์ดังกล่าวเป็นระยะตามความจำเป็น และเหมาะสม นอกจากนี ้ผู ้บริหาร พนักงาน ผู ้รับจ้าง ตัวแทน ที ่ปรึกษา และผู ้รับข้อมูลจากบริษัทฯ มีหน้าที ่ต้องรักษาความลับของข้อมูลส่วนบุคคลตามมาตรการรักษาความลับที่บริษัทฯ กำหนด

10.2 ในการส่งการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ รวมถึงการนำข้อมูลส่วนบุคคลไปเก็บบนฐานระบบข้อมูลในระบบอื่นใดซึ่งผู้ให้บริการรับโอนข้อมูลหรือบริการเก็บรักษาข้อมูลอยู่ต่างประเทศ ประเทศปลายทางที ่เก็บรักษาข้อมูลต้องมีมาตรการคุ ้มครองข้อมูลส่วนบุคคลที ่เทียบเท่าหรือดีกว่ามาตรการตามนโยบายนี้

10.3 ในกรณีที่มีการฝ่าฝืนมาตรการการรักษาความปลอดภัยของบริษัทฯ จนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคล บริษัทฯ จะดำเนินการแจ้งให้สำนักงานคณะกรรมการคุ ้มครองข้อมูลส่วนบุคคล (สคส.) ทราบภายใน 72 ชั ่วโมงนับแต่ทราบเหตุเท่าที ่จะสามารถทำได้ และหากการละเมิดนั ้นมีความเสี ่ยงที่จะกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทฯ จะดำเนินการแจ้งเหตุการละเมิด พร้อมทั ้งแนวทางการเยียวยาให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า ทั ้งนี้บริษัทฯ จะไม่รับผิดชอบในกรณีความเสียหายใด ๆ อันเกิดจากการที่เจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น ซึ่งได้รับ ความยินยอมจากเจ้าของข้อมูลส่วนบุคคลจงใจหรือประมาทเลินเล่อหรือเพิกเฉยต่อมาตรการความปลอดภัยจนเป็นเหตุให้ข้อมูลส่วนบุคคลถูกใช้หรือเปิดเผยต่อบุคคลที่สามบุคคลอื่นใด

บริษัทฯ จะมีการทบทวน ปรับปรุงขั้นตอนและมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลของบริษัทฯ ให้เป็นปัจจุบันสม่ำเสมอ เพื ่อให้ได้ระดับความปลอดภัยของข้อมูลส่วนบุคคลที่ เหมาะสมกับความเสี่ยง และให้การรักษาความลับของข้อมูลส่วนบุคคล ความสมบูรณ์ ความพร้อมใช้งานและความคล่องตัวในการประมวลผลข้อมูลส่วนบุคคลเป็นไปอย่างต่อเนื ่อง รวมทั ้งการปกป้อง การสูญหายและการเก็บรวบรวม การเข้าถึง การใช้ การดัดแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต ทั ้งนี ้ บริษัทฯ จะนำมาตรการต่าง ๆ ในการรักษาความปลอดภัยของ ข้อมูลส่วนบุคคลของบริษัทฯ มาใช้กับการประมวลผลข้อมูลส่วนบุคคลทุกประเภท ไม่ว่าการประมวลผลข้อมูลส่วนบุคคลนั้นจะเป็นทางอิเล็กทรอนิกส์ หรือรูปแบบเอกสารก็ตาม
11. สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการดำเนินการ ดังต่อไปนี้
11.1 สิทธิในการเพิกถอนความยินยอม เจ้าของข้อมูลส่วนบุคคลสามารถถอนความยินยอมด้วยวิธีที่ง่าย และสามารถถอนความยินยอมได้ตลอดเวลา บริษัทฯ จะมีการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ ถึงผลกระทบจากการถอนความยินยอม โดยการถอนความยินยอมจะไม่ส่งผลกระทบกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอมในช่วงเวลาก่อน จะใช้สิทธิในการถอนความยินยอม และหากการเก็บรวบรวมข้อมูลส่วนบุคคลอยู ่ในฐานอื ่นๆ เจ้าของข้อมูลส่วนบุคคลจะไม่สามารถใช้สิทธิถอนความยินยอมได้

การเพิกถอนสิทธิสามารถดำเนินการได้ผ่านทางอิเล็กทรอนิกส์หรือทางลายลักษณ์อักษร อย่างไรก็ตามวิธีการเพิกถอนสิทธิ บริษัทฯ กำหนดให้มีลักษณะเช่นเดียวกันกับการให้ความยินยอม เช่น ความยินยอมที ่มีลักษณะเป็นลายลักษณ์อักษร การเพิกถอนจะเป็นลายลักษณ์อักษรเช่นกัน เพื ่อให้มีหลักฐานที ่ชัดเจนในกรณีที ่ความยินยอมเกี ่ยวพันกับผู ้เยาว์ (ตามที ่นิยามไว้ในประมวล กฎหมายแพ่งและพาณิชย์มาตรา 19 และ 20 ผู ้เยาว์หมายถึงบุคคลที ่ยังไม่บรรลุนิติภาวะ ซึ ่งการบรรลุนิติภาวะมี 2 กรณีคือเมื ่ออายุครบ 20 ปีบริบูรณ์ หรือเมื ่อทำการสมรส) การให้หรือ การเพิก ถอนความยินยอมจะต้องได้รับอนุญาตโดยผู ้ปกครองของผู้เยาว์นั ้นก่อนหลังจากเจ้าของใช้สิทธิแล้ว บริษัทฯจะลบข้อมูลส่วนบุคคลทั้งหมดภายใน 7 วัน

11.2 สิทธิในการเข้าถึงข้อมูลส่วนบุคคล เมื่อบริษัทฯ ได้รับคำร้อง บริษัทฯ จะจัดเตรียมข้อมูลที่เกี่ยวข้อง โดยข้อมูลที่เจ้าของข้อมูลส่วนบุคคลสามารถใช้สิทธิได้ออกเป็น 3 ส่วน ได้แก่
1) คำรับรองว่าบริษัทฯ ได้มีการประมวลผล และต้องเปิดเผยการได้มาของข้อมูลที ่เก็บมาโดยไม่ได้รับความยินยอม
2) สำเนาข้อมูลตามข้อ 1 และ
3) ข้อมูลประกอบที่เกี่ยวข้อง ดังต่อไปนี้
• จุดประสงค์ในการประมวลผล
• ประเภทของข้อมูลส่วนบุคคล
• ผู ้ที ่ได้รับข้อมูล หรือประเภทของผู ้ที ่ได้รับข้อมูล และ/หรือ โดยเฉพาะผู ้รับข้อมูล ที ่อยู่นอกประเทศ หรือองค์กรนานาชาติ
• ระยะเวลาที่ข้อมูลส่วนบุคคลจะถูกเก็บบันทึกไว้
• สิทธิของเจ้าของข้อมูลส่วนบุคคลในการแก้ไขความถูกต้อง หรือลบล้างข้อมูลส่วนบุคคลของตนเอง และการหวงห้ามหรือการคัดค้านการประมวลผลข้อมูลดังกล่าว
• สิทธิของเจ้าของข้อมูลส่วนบุคคลในการยื่นคำร้องเรียนไปยังหน่วยงานกำกับดูแล
• ข้อมูลเกี ่ยวกับแหล่งข้อมูล หากว่าไม่ใช่ข้อมูลที ่ได้รับมาจากเจ้าของข้อมูลส่วนบุคคลโดยตรง
• รายละเอียดที่เกี่ยวข้องกับการตัดสินใจอัตโนมัติและโปรไฟลิ่ง (Profiling) รวมถึงตรรกะ เหตุที่ใช้และผลที่คาดว่าจะเกิดขึ้นจากการประมวลผลด้วยวิธีดังกล่าว

[เหตุแห่งการปฏิเสธ] ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธได้ กรณี
1) ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่าการปฏิเสธนั้นเป็นไปตามกฎหมายหรือคำสั่งศาล
2) คำขอนั้นขัดต่อสิทธิหรือเสรีภาพของผู้อื่น

11.3 สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล บริษัทฯ จะจัดเตรียมข้อมูลส่วนบุคคลให้อยู่ในรูปแบบที่มีการจัดเรียงแล้ว (structured) และเครื่องคอมพิวเตอร์สามารถอ่านได้ เพื่อเตรียมพร้อมกรณีที่ มีการร้องขอให้มีการโอนย้ายข้อมูลส่วนบุคคลให้แก่ผู ้ควบคุมข้อมูลรายอื ่น โดยการโอนย้ายข้อมูลนั้นจะไม่มีลักษณะที่เป็นอุปสรรคต่อการประมวลผลของผู้รับโอนย้ายข้อมูล

ทั ้งนี ้ ข้อมูลส่วนบุคคลที่บริษัทฯ ได้รับจะมาจากเจ้าของข้อมูลส่วนบุคคลเท่านั ้น ซึ ่งรวมถึงกรณีการสอดส่องพฤติกรรมกิจกรรมของเจ้าของข้อมูลส่วนบุคคลด้วย เช่น ข้อมูลการค้นหา ข้อมูลทางอินเตอร์เน็ต ข้อมูลของตำแหน่งของเจ้าของข้อมูลส่วนบุคคล เท่านั ้น อย่างไรก็ดีข้อมูลดังกล่าวไม่รวมถึงข้อมูลนิรนามหรือข้อมูลที ่มีการทำให้ไม่สามารถบ่งบอกถึงตัวตนของ เจ้าของข้อมูลส่วนบุคคลได้(anonymization) แต่หากเป็นข้อมูลแฝง (pseudonymize) จะต้องตกอยู่ภายใต้เรื่องนี้หากสามารถเชื่อมโยง และระบุตัวเจ้าของข้อมูลส่วนบุคคลส่วนบุคคลได้

[เหตุแห่งการปฏิเสธ] ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธได้ กรณี
1) การประมวลผลนั้นเป็นการดำเนินการตามหน้าที่เกี่ยวกับประโยชน์สาธารณะ
2) การดำเนินการดังกล่าวกระทบในด้านลบต่อสิทธิ เสรีภาพของบุคคลอื ่นๆ เช่น การเปิดเผยข้อมูลที ่มีความลับทางการค้า (trade secret) หรือ มีทรัพย์สินทางปัญญาของบุคคลอื ่นเป็นส่วนหนึ่งของข้อมูลดังกล่าว
3) กรณีที ่มีการปฏิเสธการปฏิบัติตามสิทธิในการโอนย้ายข้อมูล บริษัทฯ จะบันทึกคำร้องขอด้วยนอกจากนี ้ เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนคณะกรรมการผู ้เชี ่ยวชาญให้บริษัทฯดำเนินการตามสิทธิได้

11.4 สิทธิในการคัดค้านการประมวลผลข้อมูล เจ้าของข้อมูลส่วนบุคคลสามารถคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลที่เกี่ยวข้องกับตนเอง สามารถแบ่งออกเป็น 3 กรณี ดังต่อไปนี้
1) กรณีมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยได้รับการยกเว้นไม่ต้องขอความยินยอม ยกเว้นบริษัทฯ สามารถแสดงให้เห็นว่าเป็นการปฏิบัติตามกฎหมาย
2) กรณีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์การตลาดแบบตรง
3) กรณีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเพื่อวัตถุประสงค์การวิจัยทางวิทยาศาสตร์ประวัติศาสตร์ หรือสถิติ ยกเว้นเป็นการดำเนินการเพื ่อประโยชน์สาธารณะของผู ้ควบคุมข้อมูลส่วนบุคคล

[เหตุแห่งการปฏิเสธ] ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธได้ กรณีที ่มีการปฏิเสธการปฏิบัติตามสิทธิในการระงับการประมวลผลข้อมูล บริษัทฯ จะบันทึกคำร้องขอของเจ้าของข้อมูลส่วนบุคคล นอกจากนี ้ เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้บริษัทฯ ดำเนินการตามสิทธิได้

11.5 สิทธิในการขอให้ลบข้อมูลส่วนบุคคล บริษัทฯ จะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลนิรนาม (Anonymization) โดยการทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคล ถ้ามีเหตุดังนี้
1) หมดความจำเป็นในการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลตามวัตถุประสงค์
2) เมื ่อเจ้าของข้อมูลส่วนบุคคลไม่ยินยอมให้เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และผู้ควบคุมข้อมูลส่วนบุคคลไม่มีอำนาจในการเก็บข้อมูลส่วนบุคคล
3) เจ้าของข้อมูลส่วนบุคคลคัดค้านการประมวลผล โดยบริษัทฯ ไม่สามารถอ้างความยินยอมในการประมวลผลได้
4) เจ้าของข้อมูลส่วนบุคคลคัดค้านการประมวลผล และบริษัทฯ ไม่มีเหตุชอบด้วยกฎหมาย หรือเพื ่อการก่อตั ้งสิทธิเรียกร้องตามกฎหมาย หรือ ยกขึ ้นเป็นข้อต่อสู ้ตามกฎหมาย หรือ เพื่อปฏิบัติตามกฎหมาย เพื่อใช้อ้างเพื่อประมวลผลได้
5) เจ้าของข้อมูลส่วนบุคคลทำการคัดค้านการประมวลผลที ่มีลักษณะเพื ่อวัตถุประสงค์เกี ่ยวกับการตลาดแบบตรง
6) การประมวลผลข้อมูลส่วนบุคคลนั้นไม่ชอบด้วยกฎหมาย
7) การลบข้อมูลเป็นไปตามกฎหมาย และนโยบายของบริษัทฯ กำหนดกรณีที ่ข้อมูลถูกเปิดเผยให้กับบุคคลที ่สาม ต้องมีมาตรการแจ้งให้บุคคลนั ้นลบข้อมูลดังกล่าวด้วย ไม่ว่าข้อมูลนั้นจะอยู่ในรูปแบบใด ไม่ว่าต้นฉบับหรือสำเนา หรือลิงค์ใดๆ ที่เชื่อมโยงถึงข้อมูลวนบุคคลนั้น ด้วยค่าใช้จ่ายของบริษัทฯ เอง

[เหตุแห่งการปฏิเสธ] ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธได้ กรณี
1) เมื ่อการประมวลผลมีความจำเป็นในการแสดงออกหรือการใช้สิทธิเสรีภาพในข้อมูล ทั ้งนี ้ ควรพิจารณาความจำเป็นและความเหมาะสมในการนำข้อมูลส่วนบุคคลมาใช้เพื ่อแสดงออก เช่น ข้อมูลดังกล่าวเก่าเกินสมควรที่จะนำมาใช้แล้วหรือไม่
2) การประมวลผลเป็นไปตามวัตถุประสงค์ในการจัดทำ เอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัย หรือสถิติซึ่งได้จัดให้มีมาตรการป้องกันที่เหมาะสมเพื ่อคุ ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
หรือเป็นการจำเป็นเพื ่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือ การใช้อำนาจรัฐที่ได้มอบหมายให้แก่ผู ้ควบคุมข้อมูลส่วนบุคคล หรือเป็นการเก็บข้อมูลส่วนบุคคลที ่เป็นข้อมูลลักษณะ
พิเศษ (special categories of personal data) ที ่เป็นการจำเป็นในการปฏิบัติหน้าที ่ตามกฎหมาย เพื ่อให้บรรลุวัตถุประสงค์ในด้านเวชศาสตร์ป้องกัน อาชีวเวชศาสตร์ประโยชน์สาธารณะด้านการสาธารณสุข ตามมาตรา 26 (5) (ก) และ (ข) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
3) เป็นการเก็บรักษาข้อมูลส่วนบุคคลซึ ่งเป็นไปเพื ่อการก่อตั ้งสิทธิเรียกร้องตามกฎหมายการปฏิบัติตาม หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือ เพื่อปฏิบัติตามกฎหมาย
4) กรณีที่มีการปฏิเสธการปฏิบัติตามสิทธิในการลบข้อมูล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องบันทึกคำร้องขอของเจ้าของข้อมูลส่วนบุคคล นอกจากนี ้ เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการตามสิทธิได้

11.6 สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคลบริษัทฯ จะดำเนินการระงับการใช้ข้อมูลส่วนบุคคล แบ่งออกเป็น 4 กรณีดังต่อไปนี้
1) กรณีบริษัทฯ อยู่ในระหว่างการตรวจสอบข้อมูลเพื่อแก้ไขให้ถูกต้อง
2) กรณีบริษัทฯ ต้องการทำการลบหรือทำลายข้อมูลส่วนบุคคล แต่เจ้าของข้อมูลส่วนบุคคลขอให้มีการระงับการใช้ข้อมูล
3) กรณีข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาตามวัตถุประสงค์ในการเก็บ แต่เจ้าของข้อมูลส่วนบุคคลขอให้มีการเก็บรักษาไว้เพื่อดำเนินการเกี่ยวกับสิทธิเรียกร้องตามกฎหมาย
4) กรณีเจ้าของข้อมูลส่วนบุคคลอยู ่ในกระบวนการที่บริษัทฯ ปฏิเสธการขอใช้สิทธิคัดค้านการใช้ข้อมูลส่วนบุคคล

การระงับการประมวลผลนั้น อาจกระทำได้หลายวิธี ขึ้นอยู่กับลักษณะการประมวลผลในรูปแบบต่างๆ โดยเจ้าของข้อมูลส่วนบุคคลอาจระงับการประมวลผลด้วยวิธีการดังต่อไปนี้
1) การเคลื่อนย้ายข้อมูลส่วนบุคคลชั่วคราวไปไว้ที่ระบบการประมวลผลอื่น
2) การระงับการให้ผู้ใช้ข้อมูลเข้าถึงข้อมูลชั่วคราว
3) การถอนข้อมูลออกจากหน้าเว็บไซต์ หรือ ระบบชั่วคราว

ในกรณีที่ข้อมูลส่วนบุคคลถูกเปิดเผยให้แก่บุคคลที่สาม เจ้าของข้อมูลส่วนบุคคลจะต้องแจ้งให้บุคคลอื่นระงับการประมวลผลด้วย

[เหตุแห่งการปฏิเสธ] ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธได้ กรณี
1) กรณีเจ้าของข้อมูลส่วนบุคคลคัดค้านการประมวลผลแล้ว แต่ผู้ควบคุมข้อมูลส่วนบุคคลเห็นว่าตนเองมีสิทธิในการดำเนินการประมวลผลต่อไปตามเหตุแห่งการปฏิเสธ อาทิ การปฏิบัติหน้าที ่เพื ่อประโยชน์สาธารณะ หรือการอ้างผลประโยชน์โดยชอบธรรมเพื่อประมวลผล เป็นต้น
2) กรณีที ่มีการปฏิเสธการปฏิบัติตามสิทธิในการระงับการประมวลผลข้อมูล บริษัทฯ ต้องบันทึกคำร้องขอด้วย

11.7 สิทธิในการแก้ไขข้อมูลส่วนบุคคล บริษัทฯ มีหน้าที่ต้องทำให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด บริษัทฯ ควรกำหนดหลักเกณฑ์ให้เจ้าของข้อมูลส่วนบุคคลนำ หลักฐานหรือเอกสารที่เกี่ยวข้องมาเพื่อพิสูจน์ประกอบการพิจารณาว่าข้อมูลส่วนบุคคลที่บริษัทฯมีอยู่ไม่ถูกต้อง หรือไม่สมบูรณ์ เมื่อมีการโอนข้อมูลให้กับบุคคลที่สาม เมื่อมีการแก้ไขเพิ่มเติมเจ้าของข้อมูลส่วนบุคคลต้องแจ้งรายการดังกล่าวให้แก่ผู้รับข้อมูลทราบด้วย

[เหตุแห่งการปฏิเสธ] ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธได้ กรณีที่การปฏิเสธการใช้สิทธิแก้ไข เช่น ไม่มีเหตุผลเพียงพอเพราะข้อมูลถูกอยู่แล้ว บริษัทฯ ต้องบันทึกคำร้องขอด้วย

11.8 สิทธิร้องเรียน เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญที่ได้รับการแต่งตั้โดยคณะกรรมการคุ ้มครองข้อมูลส่วนบุคคลตามระเบียบและวิธีการตามที ่กฎหมายคุ ้มครองข้อมูล ส่วนบุคคลกำหนด หากเจ้าของข้อมูลส่วนบุคคลเชื ่อว่าการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลเป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายที่เกี่ยวข้อง

บริษัทฯ มีสิทธิทั้งปวงและดุลพินิจแต่เพียงผู้เดียวในการตอบรับเพื่อดำเนินการตามคำร้องขอ หรือปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคล การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล อาจถูกจำกัด ภายใต้กฎหมายที ่เกี ่ยวข้อง และมีบางกรณีที ่มีเหตุจำเป็นที่บริษัทฯ อาจปฏิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิข้างต้นของเจ้าของข้อมูลส่วนบุคคลได้ เช่น ต้องปฏิบัติตามกฎหมายหรือ คำสั่งศาล เพื่อประโยชน์สาธารณะ การใช้สิทธิอาจละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น เป็นต้น หากบริษัทฯ ปฏิเสธคำขอข้างต้น บริษัทฯ จะแจ้งเหตุผลของการปฏิเสธให้เจ้าของข้อมูลส่วนบุคคลทราบ ในการดำเนินการเมื่อเจ้าของข้อมูลส่วนบุคคลใช้สิทธิ บริษัทฯ จะดำเนินการโดยใช้ระยะเวลา ดังนี้

ลำดับ สิทธิ ระยะเวลาดำเนินการนับจากวันที่เจ้าของข้อมูลส่วนบุคคลยื่นขอใช้สิทธิ
1 สิทธิขอถอนความยินยอม 7 วัน
2 สิทธิขอเข้าถึงข้อมูล 30 วัน
3 สิทธิขอถ่ายโอนข้อมูล 30 วัน
4 สิทธิขอถ่ายโอนข้อมูล 30 วัน
5 สิทธิขอให้ลบหรือ ทำลายข้อมูล 30 วัน
6 สิทธิขอให้ระงับการใช้ข้อมูล 30 วัน
7 สิทธิขอให้แก้ไขข้อมูล 11 วัน
12. การสร้างความตระหนักรู้ให้กับบุคลากร
บริษัทฯ จัดให้มีการฝึกอบรมและประเมินผลเกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วน บุคคลให้กับผู ้บริหารและพนักงานทุกระดับ ในการนี ้ผู ้ประสานงานข้อมูลส่วนบุคคลต้องเข้าร่วมฝึกอบรม และกำหนดให้พนักงานในสังกัดของตนซึ ่งเกี ่ยวข้องกับข้อมูลส่วนบุคคลต้องเข้าร่วมฝึกอบรมอย่างเคร่งครัด เพื ่อส่งเสริมให้บุคลากรของบริษัทฯ ในระดับปฏิบัติการเกิดความตระหนักในเรื ่องการคุ ้มครอง ข้อมูลส่วนบุคคล ตลอดจนแนวทางหรือวิธีการปฏิบัติงานที ่เปลี ่ยนแปลงไปอันเนื ่องมาจากการปฏิบัติตามกฎหมายคุ ้มครองข้อมูลส่วนบุคคล พร้อมทั ้งจะมีการตรวจสอบหรือทำให้แน่ใจว่าบุคลากรในบริษัทฯ มี ความตระหนักรู ้และเข้าใจเกี ่ยวกับการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอที ่จะปฏิบัติตามขั้นตอน ข้อกฎหมาย หรือนโยบายคุ ้มครองข้อมูลส่วนบุคคลที่บริษัทฯ กำหนดได้อย่างเหมาะสม สำหรับวัตถุประสงค์ สำคัญคือ การทำให้การคุ้มครองข้อมูลส่วนบุคคลเป็นวัฒนธรรมองค์กรและเป็นส่วนหนึ่งของแนวทางการทำงานของบริษัทฯ

การติดตามผลการปฏิบัติตามกฎหมาย (Monitoring compliance results) บริษัทฯ จะจัดให้มีแนวทางในการติดตามการทำงานเป็นระยะ และเป็นประจำต่อเนื ่อง ตั ้งแต่ในกระบวนการเก็บบันทึกกระบวนการรักษา ความปลอดภัย ไปจนถึงการลบทำลายข้อมูล เพื่อวัตถุประสงค์ดังนี้
1) เพื่อตรวจสอบผลการปฏิบัติตามกฎหมายให้มีความถูกต้องครบถ้วนอยู่เสมอ
2) เพื ่อทบทวนแนวทางการทำงานของบริษัทฯ ให้สอดคล้องตามกฎหมายในกรณีที่บริษัทฯ มีกิจกรรมประมวลผลข้อมูลส่วนบุคคลที่เพิ่มขึ้นหรือเปลี่ยนแปลงจากที่มีอยู่เดิม
13. การแก้ไขเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคล
บริษัทฯ จะทำการทบทวนนโยบายการคุ้มครองข้อมูลส่วนบุคคลอย่างน้อยปีละ 1 ครั้ง และหากมีการ แก้ไข เปลี ่ยนแปลง บริษัทฯ จะประกาศให้พนักงานและบุคคลภายนอกที ่เกี ่ยวข้องทราบภายใน 30 วัน นับแต่วันที่มีการแก้ไขเปลี่ยนแปลง
14. บทกำหนดโทษ
ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล หรือผู้มีหน้าที่รับผิดชอบในการดำเนินงาน เรื ่องใดเรื ่องหนึ ่งตามหน้าที ่ของตน หากละเลยหรือละเว้นไม่สั ่งการ หรือไม่ดำเนินการหรือสั ่งการหรือ ดำเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตนอันเป็นการฝ่าฝืนนโยบายและแนวปฏิบัติเกี่ยวกับเรื่องข้อมูลส่วนบุคคล และ/หรือตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด จนเป็นเหตุให้ เกิดความผิดตามกฎหมาย และ/หรือความเสียหายขึ้นผู้นั ้นต้องรับโทษทางวินัย ตามระเบียบของบริษัทฯ และต้องรับโทษทางกฎหมายตามความผิดที ่เกิดขึ ้น ทั ้งนี ้หากความผิดดังกล่าวก่อให้เกิดความเสียหายแก่บริษัทฯ และ/หรือบุคคลอื่นใดบริษัทฯ อาจพิจารณาดำเนินคดีตามกฎหมายเพิ่มเติมต่อไป
15. ช่องทางการติดต่อ
หากมีข้อเสนอแนะ ข้อสงสัย หรือต้องการสอบถามข้อมูลเกี ่ยวกับรายละเอียดการเก็บรวบรวม ใช้ และ/หรือ เปิดเผยข้อมูลส่วนบุคคล รวมถึงสิทธิตามกฎหมายคุ ้มครองข้อมูลส่วนบุคคล หรือต้องการยกเลิกความยินยอมหรือหยุดรับข่าวสารหรือข้อมูลทางการตลาด โปรดติดต่อบริษัทฯ ผ่านช่องทางดังนี้

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
บริษัท ภูเก็ตสแควร์ จำกัด
ที่อยู่ 175,177,181,193,195,197และ 201 ถนนราชอุทิศ 200 ปี ตำบลป่าตอง อำเภอกะทู้ จังหวัดภูเก็ต
อีเมล [email protected]
เบอร์โทรศัพท์: 076-600-111 ต่อ 600
วัน/เวลาทำการ: วันจันทร์ – วันศุกร์ เวลา 9.00 – 18.00 น.

ทั้งนี้ ให้มีผลตั้งแต่วันที่ 11 พฤศจิกายน 2567 เป็นต้นไป


Jungceylon