ด้วยปัจจุบันความก้าวหน้าของเทคโนโลยีสารสนเทศ รวมทั้งระบบสื่อสารทำให้การเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลสามารถทำได้โดยง่าย สะดวก และรวดเร็ว อันอาจนำมาซึ่งความเดือดร้อนรำคาญ หรือความเสียหายในกรณีที่มีการนำไปแสวงหาประโยชน์หรือเปิดเผยโดยไม่ได้รับความยินยอมหรือแจ้งล่วงหน้า บริษัท แอดไวซ์ ไอที อินฟินิท จำกัด (มหาชน) ("บริษัทฯ") ได้ตระหนักและให้ความสำคัญอย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคลและการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทั้งนี้เพื่อให้เจ้าของข้อมูลส่วนบุคคลเชื่อมั่นว่าบริษัทฯ จะดูแลรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลและจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม และมีประสิทธิภาพสอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทฯ จึงได้มีนโยบายคุ้มครองข้อมูลส่วนบุคคล เพื่อชี้แจงรายละเอียดการกำกับดูแล วิธีการประมวลผลข้อมูล นโยบายและแนวทางปฏิบัติในการการคุ้มครองข้อมูลส่วนบุคคล ดังต่อไปนี้
นโยบายความเป็นส่วนตัว
บริษัท แอดไวซ์ ไอที อินฟินิท จำกัด (มหาชน)
นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ใช้บังคับกับพนักงานของบริษัท แอดไวซ์ ไอที อินฟินิท จำกัด และบุคคลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของบริษัท แอดไวซ์ ไอที อินฟินิท จำกัด (มหาชน)
“ข้อมูลส่วนบุคคล” (Personal Data) หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ “ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” (Sensitive data) หมายถึง ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด “เจ้าของข้อมูลส่วนบุคคล” (Data Subject) หมายความว่า บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่า บุคคลหรือนิติบุคคลอื่นซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลที่ดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล “การประมวลผล” (Processing) หมายถึง การเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล
4.1 การกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล
บริษัทฯ จัดให้มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล โดยให้มีบทบาท หน้าที่ และความรับผิดชอบตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ และตามที่กฎหมายกำหนด
4.2 การประมวลผลข้อมูลส่วนบุคคล
- บริษัทฯ จะดำเนินการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็นภายใต้วัตถุประสงค์ของบริษัทฯ และให้ถูกต้องตามกฎหมาย เป็นธรรม โปร่งใส
- บริษัทฯ จะแจ้งให้เจ้าของข้อมูลส่วนบุคคลได้รับทราบถึงรายละเอียดวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล สิทธิของเจ้าของข้อมูล
ก่อนดำเนินการขอความยินยอมในการเก็บรวบรวม ใช้ และเปิดเผย เพื่อแสดงให้เห็นถึงความโปร่งใส และสอดคล้องตามที่กฎหมายบัญญัติ - บริษัทฯ จะต้องขอความยินยอมโดยชัดแจ้งในการเก็บรวบรวม ใช้ และเปิดเผยจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะเก็บข้อมูลส่วนบุคคลตามแบบวิธีการที่บริษัทฯ กำหนด
เว้นแต่จะเข้าข้อยกเว้นตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมายอื่นกำหนดไว้ - บริษัทฯ จะจัดให้มีกลไกการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคล รวมทั้งจัดให้มีกลไกการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
- ในกรณีที่บริษัทฯ ส่ง โอน หรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคล บริษัทฯ
จะจัดทำข้อตกลงกับผู้รับหรือใช้ข้อมูลส่วนบุคคลนั้นเพื่อกำหนดสิทธิและหน้าที่ให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ - บริษัทฯ จะรักษาความลับของข้อมูลส่วนบุคคลตามมาตรการของบริษัทฯ เพื่อให้เกิดความเป็นธรรม โปร่งใสแก่เจ้าของข้อมูลส่วนบุคคล
4.3 การรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- บริษัทฯ จัดให้มีมาตรการ และช่องทางในการรับคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด ผ่านช่องทางที่บริษัทฯ กำหนด
- ผู้ควบคุมข้อมูลส่วนบุคคลของบริษัทฯ จะพิจารณา และดำเนินตามคำขอโดยไม่ชักช้า แต่ไม่เกินสามสิบวันนับแต่วันที่ได้รับคำขอ
- บริษัทฯ จัดให้มีช่องทางในการรับแจ้งเหตุละเมิดข้อมูลส่วนบุคคล โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะพิจารณาและรวบรวมข้อมูลเพื่อแจ้งไปยังสำนักคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายในเวลาที่กฎหมายกำหนด
รวมถึงแจ้งถึงเหตุแห่งการละเมิดข้อมูลส่วนบุคคล และแนวทางในการเยียวยาให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า
4.4 การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
- เพื่อเป็นการป้องกันการทำลาย การแก้ไข และการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต บริษัทฯ จัดให้มีมาตรการรักษาความปลอดภัยในการเก็บรวบรวมข้อมูลส่วนบุคคลตามหลักเกณฑ์ที่กฎหมายกำหนด
- เก็บรวบรวมข้อมูลส่วนบุคคลเฉพาะข้อมูลที่จำเป็นภายใต้วัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามที่ได้แจ้งไว้แก่เจ้าของข้อมูลส่วนบุคคล
รวมถึงบริษัทฯ จะไม่เก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหว - บริษัทจะประเมินความเสี่ยงและจัดทำมาตรการเพื่อบรรเทาความเสี่ยง และลดผลกระทบที่จะเกิดขึ้นกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
- จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลได้ เมื่อมีเหตุดังต่อไปนี้
- ก. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลสิ้นสุดลงตามที่ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ หรือไม่เกินระยะเวลาที่กฎหมายกำหนด
- ข. หมดความจำเป็นในการในเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล ภายใต้วัตถุประสงค์ของบริษัทฯ
- ค. เจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล และบริษัทฯ
ไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ และ/เปิดเผยข้อมูลส่วนบุคคลนั้นต่อไป - ง. ข้อมูลส่วนบุคคลนั้นเกิดจากการรวบรวม ใช้ และ/หรือเปิดเผย โดยไม่ชอบด้วยกฎหมาย
4.5 การกำกับให้เกิดการปฏิบัติตามมาตรการคุ้มครองข้อมูลส่วนบุคคล
- บริษัทฯ จัดให้มีกระบวนการติดตามการเปลี่ยนแปลงของกฎหมาย และปรับปรุงนโยบายรวมถึงมาตรการที่เกี่ยวข้องให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ
- บริษัทฯ จัดให้มีการทบทวนนโยบายและแนวทางปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลอย่างน้อยปีละ 1 ครั้ง เพื่อให้สอดคล้องกับกฎหมายและสถานการณ์ในแต่ละช่วงเวลา
5.1 คณะกรรมการบริษัท มีบทบาท หน้าที่ และความรับผิดชอบดังนี้
- เลือกตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้เกิดโครงสร้างองค์กรสำหรับการควบคุมดูแลการคุ้มครองข้อมูลส่วนบุคคล
- กำหนดให้มีนโยบายและแนวทางปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล
- กำกับดูแลและสนับสนุนให้บริษัทฯ นำนโยบายและแนวทางปฏิบัติไปปฏิบัติอย่างเป็นรูปธรรม รวมถึงดำเนินการคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพ และสอดคล้องกับกฎหมาย
5.2 ผู้บริหาร มีบทบาท หน้าที่ และความรับผิดชอบดังนี้
- ติดตามควบคุมให้หน่วยงานที่ดูแลปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ
- สนับสนุนและส่งเสริมการสร้างความตระหนักรู้ในความสำคัญของข้อมูลส่วนบุคคลให้เกิดขึ้นกับพนักงานของบริษัทฯ
5.3 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีบทบาท หน้าที่ และความรับผิดชอบดังนี้
- จัดให้มีโครงสร้างการกำกับดูแลข้อมุลส่วนบุคคลและการควบคุมภายในที่เกี่ยวข้อง รวมถึงนโยบายการบริหารจัดการเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคล และแนวทางตอบสนองเหตุการณ์ผิดปกติ
เพื่อให้สามารถระบุและจัดการแก้ไขกับเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคลนั้นได้อย่างทันท่วงที - ประเมินประผลการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ และรายงานผลการประเมินดังกล่าวให้คณะกรรมการบริษัททราบเป็นประจำอย่างน้อยปีละ 1 ครั้ง
- ควบคุมดูแลให้มั่นใจว่าความเสี่ยงต่างๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้รับการจัดการและมีแนวทางบริหารความเสี่ยงที่เหมาะสม
- กำหนดและทบทวนมาตรฐานการปฏิบัติงาน และแนวทางการปฏิบัติงาน เพื่อให้การดำเนินงานของบริษัทฯ สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ
5.4 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO: Data Protection Officer) มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้
- ให้คำแนะนำเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลแก่คนในองค์กร โดยต้องจัดให้มีการสร้างความตระหนักรู้ (Awareness) ในเรื่องการจัดการข้อมูลส่วนบุคคลอย่างถูกวิธีให้กับพนักงานในองค์กร
- ตรวจสอบการดำเนินงาน คอยตรวจสอบการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล
- ประสานงานกับผู้กำกับดูแล เมื่อเกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลจากองค์กร เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะเป็นผู้ประสานงานในการออกจดหมายแจ้งเตือนข้อมูลรั่วไหล
ให้กับสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง - แจ้งเจ้าของข้อมูลส่วนบุคคลให้ได้รับทราบถึงวัตถุประสงค์ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล
ก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล และสิทธิต่างๆ ของเจ้าของข้อมูลส่วนบุคคล - ดำเนินการตามคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล เช่น แก้ไข เปลี่ยนแปลง และ/หรือลบ/ทำลายข้อมูลส่วนบุคคล
ตามที่เจ้าของข้อมูลส่วนบุคคลขอ พร้อมทั้งบันทึกรายการและจัดเก็บหลักฐานในการทำธุรกรรมดังกล่าวไว้อย่างครบถ้วน - รับผิดชอบในการจัดเก็บ ดูแล รักษา และป้องกันการใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่บริษัทฯ ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคล
หรือที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอม ทั้งนี้ตามที่กำหนดไว้ในนโยบายและแนวทางปฏิบัติฉบับนี้ตลอดจนแนวทางและคู่มือการปฏิบัติงานที่เกี่ยวข้อง - รักษาความลับขององค์กรอันได้มาจากการปฏิบัติหน้าที่
5.5 พนักงานของบริษัทฯ มีบทบาท หน้าที่ และความรับผิดชอบดังนี้
- ปฏิบัติให้สอดคล้องกับนโยบายและแนวทางการปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ
- รายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และการไม่ปฏิบัติตามกฎหมาย
และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ ให้ผู้บังคับบัญชาในสายงานทราบ
คณะกรรมการบริษัท ผู้บริหาร คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมุลส่วนบุคคล รวมไปถึงพนักงานของบริษัทฯ
ทุกคนที่ไม่ปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ อาจมีความผิดและถูกลงโทษทางวินัย รวมถึงอาจได้รับโทษตามที่กฎหมายกำหนด
ทุกคนที่ไม่ปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ อาจมีความผิดและถูกลงโทษทางวินัย รวมถึงอาจได้รับโทษตามที่กฎหมายกำหนด
นโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท แอดไวซ์ ไอที อินฟินิท จำกัด (มหาชน) ฉบับนี้มีผลบังคับใช้ตั้งแต่วันที่ 20 มกราคม 2565 ตามมติที่ประชุมคณะกรรมการบริษัทครั้งที่ 1/2565
แนวปฏิบัติของนโยบายคุ้มครองข้อมูลส่วนบุคคล
บริษัท แอดไวซ์ ไอที อินฟินิท จำกัด (มหาชน)
1.1. การป้องกันข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ครอบคลุมข้อมูลส่วนบุคคลของลูกค้าบุคคลธรรมดา
1.2. บริษัทฯ กำหนดให้ DPO มีหน้าที่ดำเนินการทบทวนนโยบายฉบับนี้อย่างน้อยปีละ 1 ครั้ง หรือ เมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญต่อการปฏิบัติงานตามนโยบายฉบับนี้ และการเปลี่ยนแปลงใด ๆ บริษัทฯ จะประกาศให้ทราบผ่านเว็บไซต์ของบริษัทฯ ที่ https://www.advice.co.th/pdpa
1.3. บริษัทฯ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเมื่อได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะนั้น เว้นแต่บริษัทฯ ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้หรือมีฐานที่ชอบด้วยกฎหมายรองรับ ดังนี้
- เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา เพื่อการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ
- เป็นการปฏิบัติตามกฎหมาย
- เป็นการจำเป็นภายใต้ประโยชน์โดยชอบด้วยกฎหมาย โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุผล
- เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะ
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต
- เพื่อการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ
1.5. บริษัทฯ ลบ ทำลายข้อมูลส่วนบุคคลหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ เมื่อพ้นกำหนดระยะเวลาการเก็บรักษาหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลหรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอหรือตามที่เจ้าของข้อมูลส่วนบุคคลถอนความยินยอม เว้นแต่มีเหตุโดยชอบด้วยกฎหมายหรือกฎเกณฑ์ทางราชการ ที่ทำให้บริษัทฯ ต้องเก็บรักษาข้อมูลส่วนบุคคลนั้นต่อไป
1.6. บริษัทฯ มีการดูแลข้อมูลส่วนบุคคลอย่างปลอดภัย รวมถึงคำนึงถึงความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลและการรักษาความลับของข้อมูลส่วนบุคคล
2.1. การขอความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลต้องดำเนินการอย่างชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์
เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีดังกล่าวได้ การขอความยินยอมด้วยวิธีอื่นจะต้องมีหลักฐานที่น่าเชื่อถือได้ว่าเจ้าของข้อมูลส่วนบุคคลได้แสดงเจตนาให้ความยินยอม
เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีดังกล่าวได้ การขอความยินยอมด้วยวิธีอื่นจะต้องมีหลักฐานที่น่าเชื่อถือได้ว่าเจ้าของข้อมูลส่วนบุคคลได้แสดงเจตนาให้ความยินยอม
2.2. เจ้าของข้อมูลส่วนบุคคลต้องได้รับการแจ้งให้ทราบถึงวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างชัดเจน เข้าใจง่าย
ไม่หลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์และคำนึงอย่างที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม
ไม่หลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์และคำนึงอย่างที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม
2.3. กรณีเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรสหรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้ว ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว
2.4. กรณีเจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ ให้ขอความยินยอมจากผู้อนุบาลที่มีอำนาจการทำการแทนคนไร้ความสามารถ
2.5. กรณีเจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ
2.6. กรณีเจ้าของข้อมูลส่วนบุคคล หรือผู้มีอำนาจตามข้อ 2.3, 2.4, 2.5
ต้องการถอนความยินยอมที่เคยให้ไว้ให้ดำเนินการตามที่เจ้าของข้อมูลส่วนบุคคลขอโดยง่ายเช่นเดียวกับการให้ความยินยอม
และหากการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ให้แจ้งถึงผลกระทบจากการถอนความยินยอมนั้นให้เจ้าของข้อมูลส่วนบุคคลทราบ
ต้องการถอนความยินยอมที่เคยให้ไว้ให้ดำเนินการตามที่เจ้าของข้อมูลส่วนบุคคลขอโดยง่ายเช่นเดียวกับการให้ความยินยอม
และหากการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ให้แจ้งถึงผลกระทบจากการถอนความยินยอมนั้นให้เจ้าของข้อมูลส่วนบุคคลทราบ
2.7. บริษัทฯ ต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคลเท่านั้น การเก็บ รวบรวม ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างจากวัตถุประสงค์ที่ได้แจ้งไว้ จะทำไม่ได้เว้นแต่ได้แจ้งวัตถุประสงค์ใหม่ให้เจ้าของข้อมูลส่วนบุคคลทราบโดยได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว
หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างจากวัตถุประสงค์ที่ได้แจ้งไว้ จะทำไม่ได้เว้นแต่ได้แจ้งวัตถุประสงค์ใหม่ให้เจ้าของข้อมูลส่วนบุคคลทราบโดยได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว
3.1. การเก็บรวบรวมข้อมูลส่วนบุคคลต้องมีวัตถุประสงค์เพื่อนำข้อมูลส่วนบุคคลมาใช้ในการดำเนินงานของบริษัทฯ ในด้านต่าง ๆ ภายใต้ข้อกำหนดของกฎหมายหรือกฎเกณฑ์ทางการ
3.2. ในการเก็บรวบรวมข้อมูลส่วนบุคคล ให้แจ้งเจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียดดังต่อไปนี้
- วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย
- ความจำเป็นที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือเพื่อเข้าทำสัญญา และผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล
- ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้
- ประเภทของบุคคลหรือหน่วยงานที่อาจได้รับการเปิดเผยข้อมูลส่วนบุคคล รวมถึงรายชื่อของบุคคลหรือหน่วยงานดังกล่าว (ตามแต่กรณี)
- สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย
- ข้อมูลเกี่ยวกับบริษัทฯ และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ
3.3. ข้อมูลส่วนบุคคลที่เก็บรวบรวมต้องถูกต้องครบถ้วนตามข้อเท็จจริงที่ได้รับแจ้งจากเจ้าของข้อมูลส่วนบุคคลหากข้อมูลมีการเปลี่ยนแปลง
ให้ดำเนินการแก้ไขให้ถูกต้องและเป็นปัจจุบัน
ให้ดำเนินการแก้ไขให้ถูกต้องและเป็นปัจจุบัน
3.4. การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว ให้ดำเนินการขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลเว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ
โดยต้องขออนุมัติจากผู้มีอำนาจอนุมัติ
โดยต้องขออนุมัติจากผู้มีอำนาจอนุมัติ
3.5. การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง ต้องแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบภายใน 30 วันนับแต่เก็บรวบรวมข้อมูลส่วนบุคคล
โดยขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ โดยขออนุมัติจากผู้มีอำนาจอนุมัติ
โดยขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ โดยขออนุมัติจากผู้มีอำนาจอนุมัติ
3.6. การเก็บรวบรวมข้อมูลส่วนบุคคลต้องมีการบันทึกรายละเอียดวัตถุประสงค์การเก็บรวบรวมข้อมูลส่วนบุคคล
3.7. แต่ละประเภท ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ระยะเวลาเก็บรักษาข้อมูล สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคล
รวมถึงรายละเอียดอื่น ๆ ตามที่กฎหมายกำหนด เพื่อให้เจ้าของข้อมูลส่วนบุคคลหรือสำนักงานตรวจสอบได้
รวมถึงรายละเอียดอื่น ๆ ตามที่กฎหมายกำหนด เพื่อให้เจ้าของข้อมูลส่วนบุคคลหรือสำนักงานตรวจสอบได้
4.1. พนักงานของบริษัทฯ สามารถเข้าถึงหรือใช้ข้อมูลส่วนบุคคลได้เท่าที่จำเป็นเพื่อการปฏิบัติงานและตามสิทธิที่บริษัทฯ กำหนด หากพนักงานของบริษัทฯ
มีความจำเป็นในการปฏิบัติงานที่ต้องเข้าถึงข้อมูลส่วนบุคคลเกินกว่าสิทธิที่บริษัทฯ กำหนด ต้องดำเนินการขออนุมัติจากผู้มีอำนาจ
มีความจำเป็นในการปฏิบัติงานที่ต้องเข้าถึงข้อมูลส่วนบุคคลเกินกว่าสิทธิที่บริษัทฯ กำหนด ต้องดำเนินการขออนุมัติจากผู้มีอำนาจ
4.2. พนักงานของบริษัทฯ ต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่เก็บรวบรวมข้อมูลส่วนบุคคล หรือตามที่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอมเท่านั้น เว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ
4.3. ผู้ดูแลระบบงานและเจ้าของระบบงานต้องอนุญาตให้พนักงานของบริษัทฯ เข้าถึงข้อมูลส่วนบุคคลได้เฉพาะพนักงานของบริษัทฯ ที่มีสิทธิตามที่กำหนด หรือได้รับการอนุมัติจากผู้มีอำนาจอนุมัติ
บริษัทฯ มีการจัดเก็บรวบรวมข้อมูลส่วนบุคคลด้วยกระบวนการต่อไปนี้
5.1. ข้อมูลส่วนบุคคลที่ได้รับจากเจ้าของข้อมูลส่วนบุคคลโดยตรง
5.2. ข้อมูลส่วนบุคคลจากบุคคลที่สาม เช่น ตัวแทน ร้านค้า หรือบริษัทที่ให้การบริการจัดเก็บรวบรวมข้อมูล คู่ค้า พันธมิตร เป็นต้น
5.3. ข้อมูลส่วนบุคคลที่ได้รับจากการเข้าเยี่ยมชมเว็บไซต์ เช่น ชื่อของผู้ให้บริการอินเทอร์เน็ต และที่อยู่ไอพี
5.4. (IP Address) ผ่านการเข้าใช้อินเทอร์เน็ต วันที่และเวลาของการเข้าเยี่ยมชมเว็บไซต์ หน้าเพจที่เข้าเยี่ยมชมขณะเข้าเว็บไซต์ และที่อยู่ของเว็บไซต์ ซึ่งเชื่อมโยงโดยตรงกับเว็บไซต์ของบริษัทฯ
5.5. ข้อมูลส่วนบุคคลที่ได้รับจากข้อมูลสาธารณะ (Public Records) และที่ไม่ใช่สาธารณะ (Non-Public Records)
5.6. ที่บริษัทฯ มีสิทธิเก็บรวบรวมได้ตามกฎหมาย
5.7. ข้อมูลส่วนบุคคลที่ได้รับจากหน่วยงานภาครัฐ หน่วยงานกำกับดูแลที่ใช้อำนาจตามกฎหมาย
6.1. การเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลหรือองค์กรภายนอกบริษัทฯ ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
และต้องได้รับอนุมัติจากคณะกรรมการกำกับการจัดการข้อมูล เว้นแต่เป็นการปฏิบัติตามกฎหมายหรือกฎเกณฑ์ทางการ
บริษัทฯ จะเปิดเผยข้อมูลส่วนบุคคลให้แก่ บุคคลภายนอก และ/หรือ องค์กร หรือหน่วยงานภายนอกเฉพาะในกรณี ดังต่อไปนี้
และต้องได้รับอนุมัติจากคณะกรรมการกำกับการจัดการข้อมูล เว้นแต่เป็นการปฏิบัติตามกฎหมายหรือกฎเกณฑ์ทางการ
บริษัทฯ จะเปิดเผยข้อมูลส่วนบุคคลให้แก่ บุคคลภายนอก และ/หรือ องค์กร หรือหน่วยงานภายนอกเฉพาะในกรณี ดังต่อไปนี้
- 6.1.1. ผู้ที่ได้รับอนุญาตให้เป็นคนกลาง ได้แก่ บริษัทขนส่ง บริษัทที่ให้บริการในการจัดเก็บข้อมูล และรวบรวมข้อมูล บริษัทรับพัฒนา และบำรุงรักษาระบบ ในการดำเนินกิจกรรมต่าง ๆ ของบริษัทฯ
- 6.1.2. คู่ค้า พันธมิตรทางธุรกิจ บริษัทย่อย และ/หรือ ผู้ให้บริการภายนอก เพื่อให้บริการในการนำเสนอสิทธิประโยชน์และบริการอื่น ๆ ของบริษัทฯ แก่เจ้าของข้อมูลส่วนบุคคล
รวมถึงการพัฒนา ปรับปรุง ผลิตภัณฑ์ หรือบริการของบริษัทฯ เช่น การวิเคราะห์ข้อมูล การประมวลผลข้อมูล การให้บริการด้านเทคโนโลยีสารสนเทศและการจัดเตรียมโครงสร้างพื้นฐานที่เกี่ยวข้อง
การพัฒนาแพลตฟอร์มบริการลูกค้า การส่งอีเมล/SMSการพัฒนาเว็บไซต์ การพัฒนาแอปพลิเคชันบนมือถือ การสำรวจความพึงพอใจและการทำวิจัย การบริหารความสัมพันธ์กับลูกค้าโดยจะมีการทำสัญญารักษาข้อมูลส่วนบุคคลไว้เป็นความลับ
กรณีนิติบุคคลจะต้องมีมาตรฐานด้านความคุ้มครองข้อมูลส่วนบุคคลที่มีมาตรฐานเป็นที่ยอมรับ - 6.1.3. หน่วยงานรัฐบาล รัฐบาลหรือองค์กรอื่นตามกฎหมายเพื่อเป็นการปฏิบัติตามกฎหมาย คำสั่ง คำร้องขอ
- 6.1.4. เพื่อการประสานงานกับหน่วยงานต่าง ๆ ในเรื่องที่เกี่ยวข้องกับการปฏิบัติตามกฎหมาย
6.2. การรับข้อมูลส่วนบุคคลจากบุคคลหรือองค์กรภายนอกบริษัทฯ ต้องตรวจสอบให้มั่นใจว่าข้อมูลส่วนบุคคลที่ได้รับมีฐานที่ชอบด้วยกฎหมายรองรับ และต้องได้รับอนุมัติจากคณะกรรมการกำกับการจัดการข้อมูล
เว้นแต่เป็นการปฏิบัติตามกฎหมายหรือกฎเกณฑ์ทางการบริษัทฯ จะทำการเก็บรวบรวมข้อมูลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ไว้กับบริษัทฯ โดยตรงหรือข้อมูลส่วนบุคคลที่บริษัทฯ ได้รับจากการให้บริการหรือการดำเนินงานของบริษัทฯ
ผ่านทุกช่องทาง ซึ่งรวมถึงช่องทาง ดังต่อไปนี้
เว้นแต่เป็นการปฏิบัติตามกฎหมายหรือกฎเกณฑ์ทางการบริษัทฯ จะทำการเก็บรวบรวมข้อมูลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ไว้กับบริษัทฯ โดยตรงหรือข้อมูลส่วนบุคคลที่บริษัทฯ ได้รับจากการให้บริการหรือการดำเนินงานของบริษัทฯ
ผ่านทุกช่องทาง ซึ่งรวมถึงช่องทาง ดังต่อไปนี้
- 6.2.1. ข้อมูลที่ได้รับเมื่อเจ้าของข้อมูลส่วนบุคคล ทำการลงทะเบียน หรือกรอกใบสมัครขอเข้าร่วมกิจกรรมต่าง ๆ ของบริษัทฯ หรือการใช้บริการอื่น ๆ ของบริษัทฯ เช่น ชื่อ นามสกุล หมายเลขบัตรประจำตัวประชาชน หรือบัตรประจำตัวอื่นๆ หมายเลขโทรศัพท์ วันเดือนปีเกิด ที่อยู่ อีเมล เป็นต้น
- 6.2.2. ข้อมูลจากการสมัครสมาชิก หรือเข้าร่วมกิจกรรม ข้อมูลในการสร้างบัญชีผู้ใช้งาน (Account) ที่ถูกสร้างโปรไฟล์ที่ประกอบด้วยรายละเอียดข้อมูลส่วนบุคคลที่ให้ไว้กับบริษัทฯ เพื่อการเข้าใช้บริการในช่องทางการให้บริการของบริษัทฯ
อาทิ แอปพลิเคชันการใช้งานผ่านอุปกรณ์เคลื่อนที่ และ/หรือ ผ่านเว็บไซต์ของบริษัทฯ ได้แก่ บัญชีออนไลน์ หรือ บัญชีของแอปพลิเคชัน ที่ให้บริการของบริษัทฯ ตลอดจนข้อมูลส่วนบุคคลที่ให้ไว้เพื่อทำการสมัครต่าง ๆ
ได้แก่ สมัครเข้าร่วมกิจกรรม และ/หรือ ติดต่อกับบริษัทฯ ผ่านทางเว็บไซต์หรือทางช่องทางอื่น ๆ ตามที่บริษัทฯ กำหนด - 6.2.3. ข้อมูลการสมัครรับข่าวสารต่าง ๆ จากการทำแบบสำรวจ หรือข้อมูลการร่วมกิจกรรมต่าง ๆ เช่น ความพึงพอใจ ความสนใจ หรือพฤติกรรมการบริโภค เป็นต้น
- 6.2.4. ข้อมูลเกี่ยวกับการทำธุรกรรมกับบริษัทฯ หรือกับบริษัทย่อย หรืออื่น ๆ เช่น ข้อมูลการสมัครงาน ข้อมูลการสมัครเป็นตัวแทน ข้อมูลเพื่อการเข้าเสนอราคา ซึ่งรวมถึงข้อมูลบัตรเครดิตหรือบัตรเดบิต หมายเลขบัญชีธนาคาร
หรือข้อมูลเกี่ยวกับธนาคารหรือการชำระเงินอื่น ๆ รวมทั้ง วันที่และเวลาที่ชำระเงิน ทั้งนี้ ขึ้นอยู่กับประเภทของการทำธุรกรรมของเจ้าของข้อมูลส่วนบุคคล - 6.2.5. ข้อมูลจากการเข้าชม หรือใช้เว็บไซต์ของบริษัทฯ เว็บไซต์อื่น ๆ ของบริษัท หรือกับบริษัทย่อย หรือแอปพลิเคชันของบริษัทฯ หรือที่บริษัทฯ เป็นผู้ดำเนินการ ข้อมูลการใช้ Social Media
และการโต้ตอบกับโฆษณาออนไลน์ของบริษัทฯ รุ่นและประเภทของโปรแกรมคอมพิวเตอร์ที่ใช้เปิดเข้าชมเว็บไซต์ ประเภทของอุปกรณ์ที่ใช้เพื่อเข้าถึงการบริการ เช่น เครื่องคอมพิวเตอร์ส่วนบุคคล Laptop หรือ สมาร์ทโฟน
ข้อมูลประเภทระบบปฏิบัติการและแพลตฟอร์ม ที่อยู่ (IP Address) ของอุปกรณ์ หรือเครื่องมือปลายทาง ข้อมูล Location ข้อมูลเกี่ยวกับการบริการและผลิตภัณฑ์ที่เจ้าของข้อมูลส่วนบุคคลเข้าชมหรือค้นหา - 6.2.6. ข้อมูลจากบันทึกการติดต่อของเจ้าของข้อมูลส่วนบุคคลกับบริษัทฯ ซึ่งเก็บในรูปแบบของบันทึกข้อความของผู้รับบริการ การประเมินความพึงพอใจ การวิจัยและสถิติ หรือ การบันทึกเสียงสนทนา หรือการบันทึกภาพผ่านกล้อง CCTV
เมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อกับบริษัทฯ เช่นศูนย์บริการลูกค้าของบริษัทฯ รวมไปถึงการให้ข้อมูลผ่านสื่อที่ทำการวิจัยต่าง ๆ อาทิ SMS Social Media แอปพลิเคชัน หรือ อีเมล เป็นต้น - 6.2.7. ข้อมูลโปรไฟล์สื่อสังคมออนไลน์ เมื่อมีการใช้ข้อมูลและรหัสการเข้าสู่ระบบของสื่อสังคมออนไลน์ (Social Media Credential) เช่น Facebook Twitter และ Line เพื่อเชื่อมต่อหรือเข้าสู่บริการใด ๆ
ของบริษัทฯ เช่น บัญชีสื่อสังคมออนไลน์ (Social Media Account ID) สิ่งที่สนใจ (Interests) รายการที่ชอบ (Likes) และรายชื่อเพื่อนของเจ้าของข้อมูลส่วนบุคคล ซึ่งเจ้าของข้อมูลส่วนบุคคลสามารถควบคุมการจัดเก็บความเป็นส่วนตัวนี้
ผ่านการตั้งค่าบัญชีสื่อสังคมออนไลน์ที่จัดทำไว้ให้โดยผู้ให้บริการสื่อสังคมออนไลน์ดังกล่าว
6.3. กรณีที่บริษัทฯ ให้บุคคลหรือองค์กรภายนอกบริษัทฯ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลแทนบริษัทฯ (ผู้ประมวลผลข้อมูลส่วนบุคคล) ต้องใช้ผู้ประมวลผลข้อมูลส่วนบุคคลที่มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมและเทียบเท่ามาตรฐานของบริษัทฯ
ตามนโยบายความมั่นคงปลอดภัยในการบริหารจัดการผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ
และต้องจัดให้มีข้อตกลงระหว่างกันเพื่อควบคุมการดำเนินงานของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายโดยกำหนดวัตถุประสงค์หรือคำสั่งในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคลอย่างชัดเจน
และกำหนดมาตรการป้องกันไม่ให้ผู้ประมวลผลข้อมูลส่วนบุคคลเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับจากบริษัทฯ นอกเหนือจากวัตถุประสงค์หรือคำสั่งที่บริษัทฯ กำหนด
ตามนโยบายความมั่นคงปลอดภัยในการบริหารจัดการผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ
และต้องจัดให้มีข้อตกลงระหว่างกันเพื่อควบคุมการดำเนินงานของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายโดยกำหนดวัตถุประสงค์หรือคำสั่งในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคลอย่างชัดเจน
และกำหนดมาตรการป้องกันไม่ให้ผู้ประมวลผลข้อมูลส่วนบุคคลเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับจากบริษัทฯ นอกเหนือจากวัตถุประสงค์หรือคำสั่งที่บริษัทฯ กำหนด
ในกรณีที่บริษัทฯ มีการโอน ถ่าย และ/หรือ ส่งข้อมูลไปยังต่างประเทศ บริษัทฯ จะกำหนดมาตรฐานในการทำข้อตกลง และ/หรือ สัญญาร่วมธุรกิจกับหน่วยงาน องค์กรที่จะได้รับข้อมูลส่วนบุคคลนั้น มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เป็นที่ยอมรับ
และสอดคล้องกับกฎหมายที่เกี่ยวข้อง เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลนั้น จะได้รับการคุ้มครองอย่างปลอดภัย อาทิ
และสอดคล้องกับกฎหมายที่เกี่ยวข้อง เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลนั้น จะได้รับการคุ้มครองอย่างปลอดภัย อาทิ
7.1. กรณีที่บริษัทฯ มีความจำเป็นในการจัดเก็บ และ/หรือ โอน ถ่าย ข้อมูลส่วนบุคคล เพื่อการจัดเก็บ
7.2. การประมวลผลในระบบคลาวด์ (Cloud) บริษัทฯ จะพิจารณาองค์กรที่มีมาตรฐานความมั่นคงปลอดภัยในระดับสากล และจะจัดเก็บข้อมูลส่วนบุคคลในรูปแบบการเข้ารหัส หรือวิธีการอื่น ๆ ที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ เป็นต้น
อนึ่ง เจ้าของข้อมูลส่วนบุคคลสามารถตรวจสอบรายชื่อบุคคลภายนอกที่บริษัทฯ จะทำการเปิดเผยข้อมูลส่วนบุคคลได้จาก https://www.advice.co.th/pdpa ทั้งนี้ รายชื่อบุคคลภายนอกที่บริษัทฯ จะทำการเปิดข้อมูลส่วนบุคคลนั้น อาจมีการเพิ่มขึ้นหรือลดลงได้ ซึ่งบริษัทฯ จะทำข้อมูลให้เป็นปัจจุบันเสมอ
เพื่อให้เจ้าของข้อมูลส่วนบุคคลมีความมั่นใจในการบริหารจัดการของบริษัทฯ ในการป้องกันความเสี่ยงอันอาจทำให้ข้อมูลส่วนบุคคลถูกเข้าถึงโดยมิชอบ รั่วไหล ถูกเปลี่ยนแปลงแก้ไข สูญหาย บริษัทฯ
ถือปฏิบัติตามนโยบายความมั่นคงปลอดภัยข้อมูลสารสนเทศ รวมทั้งปฏิบัติตามมาตรฐานสากลด้านการรักษาความปลอดภัยสารสนเทศที่เป็นที่ยอมรับและการบริหารความต่อเนื่องทางธุรกิจ และเป็นไปตามที่กฎหมายกำหนด
ถือปฏิบัติตามนโยบายความมั่นคงปลอดภัยข้อมูลสารสนเทศ รวมทั้งปฏิบัติตามมาตรฐานสากลด้านการรักษาความปลอดภัยสารสนเทศที่เป็นที่ยอมรับและการบริหารความต่อเนื่องทางธุรกิจ และเป็นไปตามที่กฎหมายกำหนด
บริษัทฯ มีมาตรการปกป้องความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล โดยการจำกัดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล จะกำหนดให้เฉพาะบุคคลที่จำเป็นต้องใช้ข้อมูลส่วนบุคคลดังกล่าว
ในการนำเสนอผลิตภัณฑ์และบริการของบริษัทฯ เพื่อการให้บริการของบริษัทฯ เช่น พนักงานบริษัทฯ ซึ่งเป็นบุคคลที่บริษัทฯ อนุญาตให้เข้าถึงข้อมูลส่วนบุคคลนั้น จะต้องยึดมั่นและปฏิบัติตามมาตรการการปกป้องข้อมูลส่วนบุคคลของบริษัทฯ
อย่างเคร่งครัด ตลอดจนการรักษาความลับของข้อมูลส่วนบุคคลดังกล่าว โดยบริษัทฯ มีมาตรการป้องกันทั้งทางกายภาพและทางอิเล็กทรอนิกส์เป็นไปตามมาตรฐานการกำกับดูแลที่บังคับใช้เพื่อปกป้องข้อมูลส่วนบุคคล
ในการนำเสนอผลิตภัณฑ์และบริการของบริษัทฯ เพื่อการให้บริการของบริษัทฯ เช่น พนักงานบริษัทฯ ซึ่งเป็นบุคคลที่บริษัทฯ อนุญาตให้เข้าถึงข้อมูลส่วนบุคคลนั้น จะต้องยึดมั่นและปฏิบัติตามมาตรการการปกป้องข้อมูลส่วนบุคคลของบริษัทฯ
อย่างเคร่งครัด ตลอดจนการรักษาความลับของข้อมูลส่วนบุคคลดังกล่าว โดยบริษัทฯ มีมาตรการป้องกันทั้งทางกายภาพและทางอิเล็กทรอนิกส์เป็นไปตามมาตรฐานการกำกับดูแลที่บังคับใช้เพื่อปกป้องข้อมูลส่วนบุคคล
เมื่อบริษัทฯ ทำสัญญา หรือ ข้อตกลงกับบุคคลที่สาม บริษัทฯ จะกำหนดมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล การรักษาข้อมูลที่เป็นความลับที่เหมาะสม เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลที่บริษัทฯ ครอบครองจะความปลอดภัย
เจ้าของข้อมูลส่วนบุคคลมีสิทธิดังต่อไปนี้
- สิทธิในการขอรับทราบความมีอยู่ ลักษณะของข้อมูลส่วนบุคคล วัตถุประสงค์ของการนำข้อมูลส่วนบุคคลไปใช้ของบริษัทฯ
- สิทธิในการเข้าถึง และขอรับสำเนาข้อมูลส่วนบุคคลของตน ซึ่งบริษัทฯ จะมีขั้นตอนที่เหมาะสมเพื่อให้ท่านยืนยันตัวตนกับทางบริษัทฯ ก่อน
- สิทธิในการขอแก้ไข หรือเปลี่ยนแปลงข้อมูลส่วนบุคคลของตนให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์และไม่ก่อให้เกิดความเข้าใจผิด
- สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน รวมถึงสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล
- สิทธิในการขอระงับการใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเป็นการชั่วคราว
- สิทธิในการขอให้ดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคลที่เกี่ยวกับตน หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้
- สิทธิในการขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่เกี่ยวกับตน ในกรณีที่เป็นข้อมูลซึ่งผู้ใช้บริการไม่ได้ให้ความยินยอมในการรวบรวมหรือจัดเก็บ
- สิทธิในการถอนความยินยอมที่เคยให้แก่บริษัทฯ ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ทั้งนี้
การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้แล้ว
ทั้งนี้ บริษัทฯ ได้กำหนดช่องทางการติดต่อเพื่อใช้สิทธิของท่านตามรายละเอียด ข้อที่ 17 โดยบริษัทฯ จะดำเนินการและพิจารณาตามที่ท่านร้องขอภายในระยะเวลา 30 วัน นับตั้งแต่วันที่ได้รับคำร้อง อย่างไรก็ตามบริษัทฯ
สามารถปฏิเสธการดำเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ตามที่กฎหมายกำหนด หรือตามสัญญาที่ทำไว้กับบริษัทฯ กรณีที่จะทำให้เจ้าของข้อมูลส่วนบุคคลเสียสิทธิ์ประโยชน์ต่าง ๆ
สามารถปฏิเสธการดำเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ตามที่กฎหมายกำหนด หรือตามสัญญาที่ทำไว้กับบริษัทฯ กรณีที่จะทำให้เจ้าของข้อมูลส่วนบุคคลเสียสิทธิ์ประโยชน์ต่าง ๆ
อนึ่ง การลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลของท่านอยู่ในรูปแบบที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ หรือการยกเลิกความยินยอมของเจ้าของข้อมูลส่วนบุคคลสามารถทำได้ภายใต้ข้อกำหนดของกฎหมายและสัญญาที่ทำไว้กับบริษัทฯ เท่านั้น
ทั้งนี้ การใช้สิทธิดังกล่าวอาจจะส่งผลต่อกรณีการปฏิบัติตามสัญญาที่ทำไว้ กับบริษัทฯ หรือกรณีการให้บริการอื่น ๆ เนื่องจากจะไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ จึงอาจเกิดข้อจำกัดในการให้บริการในบางส่วนที่จำเป็นต้องใช้ข้อมูลส่วนบุคคล
และอาจทำให้เจ้าของข้อมูลส่วนบุคคลนั้นไม่ได้รับสิทธิประโยชน์การบริการ และข่าวสารจากบริษัทฯ ต่อไป
ทั้งนี้ การใช้สิทธิดังกล่าวอาจจะส่งผลต่อกรณีการปฏิบัติตามสัญญาที่ทำไว้ กับบริษัทฯ หรือกรณีการให้บริการอื่น ๆ เนื่องจากจะไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ จึงอาจเกิดข้อจำกัดในการให้บริการในบางส่วนที่จำเป็นต้องใช้ข้อมูลส่วนบุคคล
และอาจทำให้เจ้าของข้อมูลส่วนบุคคลนั้นไม่ได้รับสิทธิประโยชน์การบริการ และข่าวสารจากบริษัทฯ ต่อไป
บริษัทฯ จะจัดเก็บข้อมูลส่วนบุคคลตราบเท่าที่จำเป็น โดยคำนึงถึงวัตถุประสงค์และความจำเป็นที่บริษัทฯ จะต้องดำเนินการจัดเก็บรวบรวมและประมวลผล ซึ่งรวมไปถึงการปฏิบัติตามข้อกำหนดของกฎหมายที่ใช้บังคับ บริษัทฯจะจัดเก็บข้อมูลส่วนบุคคลไว้หลังระยะเวลาที่เจ้าของข้อมูลไม่มีปฏิสัมพันธ์กับบริษัทฯ
ระยะเวลาหนึ่ง และสอดคล้องตามระยะเวลาและอายุความของกฎหมายที่เกี่ยวข้อง โดยบริษัทฯจะจัดเก็บไว้ในสถานที่จัดเก็บที่เหมาะสมตามประเภทของข้อมูลส่วนบุคคล ทั้งนี้บริษัทฯ อาจจำเป็นต้องเก็บข้อมูลส่วนบุคคลต่อไปแม้จะพ้นกำหนดอายุความตามกฎหมายแล้วก็ตามเช่น
กรณีอยู่ระหว่างการดำเนินคดีตามกฎหมาย เป็นต้น
ระยะเวลาหนึ่ง และสอดคล้องตามระยะเวลาและอายุความของกฎหมายที่เกี่ยวข้อง โดยบริษัทฯจะจัดเก็บไว้ในสถานที่จัดเก็บที่เหมาะสมตามประเภทของข้อมูลส่วนบุคคล ทั้งนี้บริษัทฯ อาจจำเป็นต้องเก็บข้อมูลส่วนบุคคลต่อไปแม้จะพ้นกำหนดอายุความตามกฎหมายแล้วก็ตามเช่น
กรณีอยู่ระหว่างการดำเนินคดีตามกฎหมาย เป็นต้น
นอกจากวัตถุประสงค์ดังกล่าวข้างต้นและภายใต้ข้อกำหนดของกฎหมาย บริษัทฯ จะใช้ข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ทางการตลาด เช่น การจัดส่งเอกสารเกี่ยวกับโปรโมชั่นต่าง ๆ ทางไปรษณีย์ อีเมล และด้วยวิธีการอื่นใดรวมถึงการดำเนินการด้านการตลาดแบบตรง
เพื่อเพิ่มสิทธิประโยชน์ที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากการเป็นลูกค้าของบริษัทฯ ผ่านการแนะนำผลิตภัณฑ์และบริการที่เกี่ยวข้อง
ท่านสามารถเลือกที่จะไม่รับการสื่อสารเพื่อวัตถุประสงค์ทางการตลาดจากบริษัทฯ ยกเว้นการติดต่อสื่อสารที่เกี่ยวข้องกับเจ้าของข้อมูล และ/หรือบริการที่บริษัทฯ ได้ให้แก่ท่าน เช่น ใบเสร็จรับเงิน เป็นต้น
เพื่อเพิ่มสิทธิประโยชน์ที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากการเป็นลูกค้าของบริษัทฯ ผ่านการแนะนำผลิตภัณฑ์และบริการที่เกี่ยวข้อง
ท่านสามารถเลือกที่จะไม่รับการสื่อสารเพื่อวัตถุประสงค์ทางการตลาดจากบริษัทฯ ยกเว้นการติดต่อสื่อสารที่เกี่ยวข้องกับเจ้าของข้อมูล และ/หรือบริการที่บริษัทฯ ได้ให้แก่ท่าน เช่น ใบเสร็จรับเงิน เป็นต้น
บริษัทฯ จะใช้คุกกี้ในการเก็บรวบรวมข้อมูลการใช้งานของเจ้าของข้อมูลส่วนบุคคล เพื่อเก็บข้อมูลและรวบรวมสถิติ วิจัย วิเคราะห์แนวโน้ม ตลอดจนนำมาปรับปรุง
และควบคุมการทำงานของเว็บไซต์ และ/หรือ แอปพลิเคชัน ทั้งนี้การเก็บคุกกี้นั้นเป็นข้อมูลที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้
และควบคุมการทำงานของเว็บไซต์ และ/หรือ แอปพลิเคชัน ทั้งนี้การเก็บคุกกี้นั้นเป็นข้อมูลที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้
เว็บไซต์ของบริษัทฯ จะมีการเชื่อมต่อไปยังเว็บไซต์ของบุคคลที่สามซึ่งเว็บไซต์เหล่านั้นอาจมี
นโยบายคุ้มครองข้อมูลส่วนบุคคลที่แตกต่างจากของบริษัทฯ ขอให้เจ้าของข้อมูลส่วนบุคคลศึกษานโยบายข้อมูลส่วนบุคคลของเว็บไซต์นั้น ๆ เพื่อเข้าใจถึงรายละเอียดการคุ้มครองข้อมูลส่วนบุคคล
และเพื่อตัดสินใจในการเปิดเผยข้อมูลส่วนบุคคล ทั้งนี้ บริษัทฯ จะไม่รับผิดชอบต่อเนื้อหา นโยบาย ความเสียหาย หรือการกระทำอันเกิดจากเว็บไซต์ของบุคคลที่สาม
นโยบายคุ้มครองข้อมูลส่วนบุคคลที่แตกต่างจากของบริษัทฯ ขอให้เจ้าของข้อมูลส่วนบุคคลศึกษานโยบายข้อมูลส่วนบุคคลของเว็บไซต์นั้น ๆ เพื่อเข้าใจถึงรายละเอียดการคุ้มครองข้อมูลส่วนบุคคล
และเพื่อตัดสินใจในการเปิดเผยข้อมูลส่วนบุคคล ทั้งนี้ บริษัทฯ จะไม่รับผิดชอบต่อเนื้อหา นโยบาย ความเสียหาย หรือการกระทำอันเกิดจากเว็บไซต์ของบุคคลที่สาม
บริษัทฯ ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อตรวจสอบการดำเนินการที่เกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
และ นโยบาย ระเบียบ ประกาศ คำสั่ง ของบริษัทฯ รวมทั้งประสานงานและให้ความร่วมมือกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล
และ นโยบาย ระเบียบ ประกาศ คำสั่ง ของบริษัทฯ รวมทั้งประสานงานและให้ความร่วมมือกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล
หากท่านมีคำถามหรือข้อสงสัย เกี่ยวกับถ้อยแถลงนโยบายความเป็นส่วนตัวนี้ หรือการจัดการดูแลข้อมูลของท่าน ท่านสามารถติดต่อมายัง
หากท่านมีข้อสงสัยเกี่ยวกับนโยบายความเป็นส่วนตัวของบริษัทฯ ข้อมูลที่ทางบริษัทฯ เก็บรวบรวม หรือต้องการใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างใดอย่างหนึ่ง
ตามข้อ 11. ท่านสามารถติดต่อมายัง
ชื่อบริษัทฯ : บริษัท แอดไวซ์ ไอที อินฟินิท จำกัด (มหาชน)
ที่อยู่ : 74/1 หมู่ 1 ต.ท่าอิฐ อ.ปากเกร็ด จ.นนทบุรี 11120
เว็บไซต์ของบริษัทฯ : www.advice.co.th
ศูนย์บริการลูกค้าทางโทรศัพท์ของบริษัทฯ ติดต่อสอบถาม โทร.1491 หรือ 02-908-8888
อีเมล : [email protected]
ตามข้อ 11. ท่านสามารถติดต่อมายัง
ชื่อบริษัทฯ : บริษัท แอดไวซ์ ไอที อินฟินิท จำกัด (มหาชน)
ที่อยู่ : 74/1 หมู่ 1 ต.ท่าอิฐ อ.ปากเกร็ด จ.นนทบุรี 11120
เว็บไซต์ของบริษัทฯ : www.advice.co.th
ศูนย์บริการลูกค้าทางโทรศัพท์ของบริษัทฯ ติดต่อสอบถาม โทร.1491 หรือ 02-908-8888
อีเมล : [email protected]
หากท่านต้องการรายงานเรื่องร้องเรียน หรือหากท่านรู้สึกว่าบริษัทฯ ไม่ตอบข้อกังวลของท่านในลักษณะที่น่าพึงพอใจท่านสามารถติดต่อและ/หรือร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ตามรายละเอียดด้านล่าง
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
E-mail: [email protected]
โทร : 02-142-1033
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
E-mail: [email protected]
โทร : 02-142-1033