-
- หน้าแรก
- โปรโมชั่น
- ข่าวสารและกิจกรรม
- เกี่ยวกับแม็คโคร
- ติดต่อเรา
- |
-
เมนูทั้งหมด
- หน้าแรก
- โปรโมชั่น
- ข่าวสารและกิจกรรม
- บทความและเกร็ดความรู้
- เกี่ยวกับแม็คโคร
- มิตรแท้โชห่วย
- แม็คโคร โฮเรก้า อคาเดมี่
- สมัครงาน
- ติดต่อเรา
- แม็คโคร เฮ้าส์ แบรนด์
- นโยบายความเป็นส่วนตัว
- รายละเอียดการใช้ข้อมูลส่วนบุคคล
- การขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- ช่องทางการเปลี่ยนแปลงความยินยอม
- CCTV Policy
- นโยบายการใช้คุกกี้
นโยบายการคุ้มครองข้อมูลส่วนบุคคล
บริษัท ซีพี แอ็กซ์ตร้า จำกัด (มหาชน) และบริษัทย่อย
1. ความสำคัญ
บริษัท ซีพี แอ็กซ์ตร้า จำกัด (มหาชน) และบริษัทย่อย (เรียกรวมกันว่า “บริษัท”) เคารพและให้ความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลของบุคลากร ลูกค้า คู่ค้าธุรกิจ และพันธมิตรทางธุรกิจเป็นอย่างยิ่ง และมุ่งมั่นจะปกป้องข้อมูลส่วนบุคคลจากการถูกนำไปใช้ในทางที่ผิด รวมทั้งเก็บรักษาข้อมูลดังกล่าวให้ปลอดภัยตามกฎหมายและมาตรฐานสากล
2. วัตถุประสงค์
- 2.1 เพื่อให้การทำธุรกรรมกับบริษัท มีความมั่นคงปลอดภัย น่าเชื่อถือ มีการคุ้มครองข้อมูลส่วนบุคคลของบุคลากร ลูกค้า คู่ค้าธุรกิจ และพันธมิตรทางธุรกิจทั้งหมด
- 2.2 เพื่อป้องกันความเสียหายที่เกิดจากการนำข้อมูลส่วนบุคคลไปแสวงหาประโยชน์โดยทุจริตหรือนำไปใช้ในทางที่ผิด
3. ขอบเขตของนโยบาย
นโยบายฉบับนี้ มีผลใช้บังคับกับบริษัท ซีพี แอ็กซ์ตร้า จำกัด (มหาชน) และบริษัทย่อย รวมถึงมูลนิธิ หรือกองทุนของบริษัทที่จัดตั้งขึ้นแล้วหรืออาจจัดตั้งขึ้นในอนาคต โดยจะมีการทบทวนนโยบายฉบับนี้อย่างน้อยปีละหนึ่งครั้ง หรือกรณีมีเหตุอันสมควร
4. หลักการ
กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้กำหนดมาตรฐาน ข้อปฎิบัติ และหน้าที่ ที่บริษัทจะต้องยึดถือเมื่อมีการจัดการหรือประมวลผลข้อมูลส่วนบุคคล หลักเกณฑ์หล่านี้มีผลบังคับใช้กับข้อมูลส่วนบุคคลทั้งหมดทั้งที่เกี่ยวกับลูกค้า พนักงาน รวมถึงผู้มีส่วนได้เสียที่เกี่ยวข้องกับบริษัท
เพื่อให้เป็นไปตามข้อปฎิบัติและหน้าที่ต่าง ๆ บริษัทจะต้องประมวลผลข้อมูลส่วนบุคคลให้สอดคล้องกับหลักการต่อไปนี้:
- 1. ประมวลผลข้อมูลส่วนบุคคลอย่างตรงไปตรงมาและถูกต้องตามกฎหมาย
- 2. ประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยเสมอ
- 3. ข้อมูลส่วนบุคคลที่บริษัทประมวลผลนั้นจะต้องเหมาะสม เกี่ยวข้อง และไม่มากเกินความจำเป็น
- 4. ข้อมูลส่วนบุคคลจะต้องถูกต้องและเป็นปัจจุบัน
- 5. ห้ามเก็บข้อมูลส่วนบุคคลไว้นานเกินความจำเป็น
- 6. ประมวลผลข้อมูลให้สอดคล้องกับสิทธิของบุคคลในการเข้าถึงข้อมูลและการขอแก้ไขข้อมูล
- 7. ข้อมูลส่วนบุคคลจะต้องปลอดภัย
- 8. ข้อมูลส่วนบุคคลจะต้องไม่ถูกส่งต่อไปยังประเทศอื่นที่มีมาตรฐานการคุ้มครองข้อมูลไม่เพียงพอ เว้นแต่ได้รับความยินยอม หรือเป็นเป็นไปตามที่กฎหมายกำหนด
- 9. ข้อมูลส่วนบุคคลจะต้องถูกใช้อย่างถูกต้องและไม่ทำให้เกิดความเสียหายแก่เจ้าของข้อมูล
บริษัทมีมาตรฐาน แนวทางปฎิบัติ และกระบวนการต่างๆ ที่สนับสนุนการปฏิบัติตามนโยบายนี้ หัวข้อย่อยด้านล่างนี้เป็นการสรุปความสำคัญของการคุ้มครองข้อมูลในแง่มุมต่างๆ ที่บริษัทต้องคำนึงถึงเสมอเมื่อประมวลผลข้อมูลส่วนบุคคล
4.1 ความโปร่งใส
บริษัทแจ้งให้เจ้าของข้อมูลส่วนบุคคลทุกคนทราบถึงการใช้ข้อมูลส่วนบุคคลผ่านประกาศความเป็นส่วนตัว (Privacy Notice) ซึ่งแสดงอยู่บนเว็บไซต์ของบริษัท (ทั้งในส่วนของลูกค้า พนักงาน และผู้ที่เกี่ยวข้อง) รวมถึงแสดงผ่านช่องทางการสื่อสารอื่น ๆ รายละเอียดการใช้ข้อมูลส่วนบุคคลทั้งหมดจะแสดงอยู่ในประกาศเหล่านี้ ทั้งนี้บริษัทจะเก็บ ใช้ หรือประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคลเท่านั้น โดยทั่วไป ประกาศความเป็นส่วนตัวจะประกอบไปด้วยหัวข้อดังต่อไปนี้
- 4.1.1 กลุ่มลูกค้าหรือแหล่งที่มาของข้อมูลส่วนบุคคล โดยทั่วไปบริษัทจะเก็บข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล ซึ่งอาจรวมถึงลูกค้า ผู้ผลิต พนักงาน ผู้สมัครงาน และบุคคลภายนอกอื่น ๆ
- 4.1.2 วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล
- 4.1.3 ประเภทของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะ ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล์ และเลขไอพี
- 4.1.4 ระยะเวลาที่มีการจัดเก็บข้อมูลส่วนบุคคล
- 4.1.5 สิทธิของเจ้าของข้อมูลส่วนบุคคล
- 4.1.6 วิธีการให้หรือถอนความยินยอม
- 4.1.7 มาตรการป้องกันและการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมไว้
- 4.1.8 ข้อมูลการติดต่อหน่วยงานคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลมีข้อสงสัยต่อการใช้ข้อมูลส่วนบุคคลของบริษัท หรือมีความประสงค์จะใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- 4.1.9 บุคคลหรือนิติบุคคลภายนอกที่อาจเข้าถึงข้อมูลส่วนบุคคล
- 4.1.10 นโยบายคุกกี้ ในกรณีที่บริษัทดำเนินการเก็บข้อมูลส่วนบุคคลผ่านเว็ปไซต์หรือ แอปพลิเคชัน
4.2 การใช้ข้อมูลส่วนบุคคล
เมื่อมีการใช้งานข้อมูลส่วนบุคคลที่อาจก่อให้เกิดความเสี่ยงสูงต่อลูกค้าหรือพนักงานของบริษัท การดำเนินการนั้นจะต้องผ่านกระบวนการกำกับดูแลข้อมูลส่วนบุคคลที่เกี่ยวข้อง ซึ่งอาจรวมถึงการประเมินผลกระทบด้านความเป็นส่วนตัว (Data Protection Impact Assessment) ด้วย ทั้งนี้เพื่อบันทึกการตัดสินใจของบริษัทเมื่อต้องสร้างความสมดุลที่เหมาะสมระหว่างผลประโยชน์ของบริษัทกับสิทธิความเป็นส่วนตัวของลูกค้าหรือพนักงาน
4.3 การตลาด
ลูกค้ามีสิทธิเลือกว่าจะรับสื่อการตลาดจากบริษัทหรือไม่ เมื่อใดก็ตามที่ลูกค้าให้ข้อมูลส่วนบุคคลแก่บริษัทเพื่อวัตถุประสงค์ทางการตลาด จะมีการสอบถามว่าลูกค้าต้องการรับสื่อการตลาดหรือไม่ สื่อการตลาดจะถูกส่งให้เฉพาะลูกค้าที่ตกลงรับเท่านั้น ลูกค้าสามารถเปลี่ยนแปลงความต้องการในการรับสื่อการตลาดได้ทุกเมื่อ ซึ่งบริษัทจะต้องปฏิบัติตามความต้องการนี้อย่างเคร่งครัด
4.4 สิทธิของเจ้าของข้อมูล
เมื่อบริษัทได้รับคำร้องจากบุคคลใดอันเกี่ยวข้องกับสิทธิความเป็นส่วนตัว บริษัทจะต้องดำเนินการตามการร้องขอภายใต้กรอบของกฎหมาย และสอดคล้องกับกระบวนการที่กำหนด
สิทธิของเจ้าของข้อมูลส่วนบุคคล ได้แก่
- 4.4.1 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการเข้าถึง หรือร้องขอสำเนาข้อมูลส่วนบุคคล
- 4.4.2 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการสอบถามถึงวิธีการในการได้มาของข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลมิได้ให้ความยินยอม
- 4.4.3 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
- 4.4.4 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอลบหรือทำลายข้อมูลส่วนบุคคล หรือให้ทำข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลนิรนาม ตามกระบวนการและวิธีการที่กฎหมายกำหนด
- 4.4.5 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการร้องขอให้โอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น
- 4.4.6 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอระงับการใช้ข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
- 4.4.7 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการคัดค้านการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- 4.4.8 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการเพิกถอนการให้ความยินยอมที่ได้ให้ไว้กับบริษัท
- 4.4.9 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการร้องเรียนหากการประมวลผลข้อมูลส่วนบุคคลนั้นก่อให้เกิดความเสียหายต่อสิทธิหรือเสรีภาพของตน
4.5 การเก็บรักษาและการทำลายข้อมูลส่วนบุคคล
บริษัทไม่เก็บข้อมูลส่วนบุคคลไว้นานเกินกว่าความจำเป็นตามเหตุผล แต่ละหน่วยงานจะต้องกำหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลที่ตนเองถือครองอย่างเหมาะสมและทำให้เป็นปัจจุบันอย่างสม่ำเสมอ ข้อมูลส่วนบุคคลทั้งหมดควรถูกลบออกอย่างเป็นระเบียบและปลอดภัยตามระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลที่กำหนดไว้
แต่ละหน่วยงานมีหน้าที่รับผิดชอบในการพิจารณาระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล โดยระยะเวลาดังกล่าวนั้นต้องเป็นไปตามความเหมาะสมและความจำเป็น รวมทั้งมีข้อกำหนดที่ชัดเจนเสมอในการเก็บรักษาข้อมูลส่วนบุคคล
เพื่อเป็นการป้องกันการรั่วไหลของข้อมูลส่วนบุคคล บริษัทจะลบ หรือทำลายข้อมูลส่วนบุคคลอย่างปลอดภัยในกรณีดังต่อไปนี้:
- 1) เมื่อไม่มีความจำเป็นที่จะต้องเก็บข้อมูลส่วนบุคคลนั้นอีกต่อไป
- 2) เมื่อการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ได้บรรลุวัตถุประสงค์
- 3) กรณีที่เจ้าของข้อมูลส่วนบุคคลแสดงเจตนาคัดค้านการเก็บ ใช้ หรือประมวลผลข้อมูลส่วนบุคคล
- 4) เมื่อเจ้าของข้อมูลส่วนบุคคลแสดงเจตนาถอนความยินยอมในการเก็บ ใช้ หรือประมวลผลข้อมูลส่วนบุคคล
- 5) เมื่อสิ้นสุดระยะเวลาตามที่ตกลงกันตามวัตถุประสงค์ของการเก็บ เว้นแต่หากมีกรณีที่ต้องปฏิบัติตามกฎหมายที่เกี่ยวข้อง
ทั้งนี้บริษัทสามารถพิจารณาจัดเก็บรักษาข้อมูลส่วนบุคคลเท่าที่จำเป็นไว้เพื่อวัตถุประสงค์อื่นที่เกี่ยวข้องได้ ตามที่กฎหมายกำหนดหรือให้สิทธิไว้
4.6 การเก็บข้อมูลเท่าที่จำเป็นและการทำข้อมูลให้เป็นนิรนาม
บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นต่อวัตถุประสงค์และทำให้ไม่สามารถระบุตัวตนได้เมื่อสามารถดำเนินการได้
4.7 ความปลอดภัยของข้อมูล
เมื่อประมวลผลและถ่ายโอนข้อมูลส่วนบุคคล บริษัทจะปฏิบัติตามมาตรการป้องกันและการรักษาความปลอดภัยของข้อมูลส่วนบุคคลอย่างเคร่งครัด
4.8 การเปิดเผยและการถ่ายโอนข้อมูลส่วนบุคคลไปยังบุคคลภายนอก
เมื่อต้องทำงานร่วมกับบุคคลภายนอกในโครงการที่อาจเกี่ยวข้องกับการถ่ายโอนข้อมูลส่วนบุคคล บริษัทจะจัดให้มีการทำสัญญาที่เหมาะสมซึ่งกำหนดให้บุคคลภายนอกต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ก่อนที่จะเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลภายนอก ทุกคนควรตระหนักว่าการเข้าถึงหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือไม่เป็นไปตามกฎหมายนั้นอาจจะเป็นความผิดทางอาญาได้
4.9 การตรวจสอบภายใน
เพื่อให้มั่นใจว่าบริษัทดำเนินการตามกฎหมายและนโยบายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล บริษัทจะดำเนินการตรวจสอบทั้งภายในและภายนอกอย่างเหมาะสม โดยมีวัตถุประสงค์เพื่อประเมินและตรวจสอบความถูกต้อง ความปลอดภัย และการปฎิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท รวมถึงการปฏิบัติตามกฎหมายที่เกี่ยวข้อง
การตรวจสอบทั้งภายในและภายนอกหรือบุคคลที่สามที่เกี่ยวข้องนั้นจะดำเนินการโดยฝ่ายที่ได้รับมอบหมายตามมาตรการของบริษัท เพื่อประเมินความเสี่ยงและประสิทธิภาพของการปฏิบัติตามนโยบาย ผลการตรวจสอบนั้นจะถูกนำมาวิเคราะห์และใช้เป็นข้อมูลเพื่อให้แน่ใจว่าการประมวลผลข้อมูลส่วนบุคคลของบริษัทนั้นเป็นไปตามกฎหมายและนโยบายที่เกี่ยวข้อง รวมถึงพัฒนาการปกป้องข้อมูลส่วนบุคคลในบริษัทอย่างต่อเนื่อง เพื่อให้มั่นใจว่าบริษัทได้ปฏิบัติตามข้อกำหนดและกฎหมายที่เกี่ยวข้องในทุก ๆ ด้าน
5. หน้าที่และความรับผิดชอบ
5.1 คณะกรรมการ
- 5.1.1 พิจารณาอนุมัตินโยบายการคุ้มครองข้อมูลส่วนบุคคล
- 5.1.2 กำกับดูแลให้การดำเนินธุรกิจของบริษัท เป็นไปตามกฎหมาย จรรยาบรรณธุรกิจ ข้อบังคับ นโยบาย แนวปฏิบัติและมาตรการที่เกี่ยวข้อง ตลอดจนส่งเสริมให้เกิดการนำนโยบายไปปฏิบัติอย่างมีประสิทธิภาพ
5.2 ผู้บริหาร
- 5.2.1 กำหนดให้มีกฎระเบียบ แนวปฏิบัติ และมาตรการในการจัดเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้เหมาะสมกับบริบทของบริษัท โดยให้สอดคล้องกับนโยบาย กฎหมายที่เกี่ยวข้อง และมาตรฐานสากล
- 5.2.2 ทบทวนนโยบายและอนุมัติการแก้ไขนโยบาย แนวปฏิบัติ และมาตรการที่เกี่ยวข้องประจำปี ในกรณีที่มีการแก้ไขนโยบายฉบับนี้ในสาระสำคัญ ให้นำเสนอต่อคณะกรรมการบริษัทเพื่อพิจารณาอนุมัติ
- 5.2.3 จัดให้มีโครงสร้างองค์กรที่มีผู้รับผิดชอบและบทบาทหน้าที่ที่เหมาะสม เพื่อดูแลการดำเนินงานให้เป็นไปตามนโยบายและแนวปฏิบัติที่เกี่ยวข้อง
- 5.2.4 จัดให้มีระบบการคัดเลือกบุคคลหรือนิติบุคคลที่มีระบบการคุ้มครองข้อมูลที่ได้มาตรฐานและสอดคล้องตามกฎหมาย ในกรณีที่บริษัทได้ทำการว่าจ้างบุคคลหรือนิติบุคคลอื่นให้ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลแทน
- 5.2.5 กำกับดูแลให้มีการปฏิบัติตามนโยบาย แนวปฏิบัติ และระเบียบปฏิบัติ ตลอดจนพัฒนาปรับปรุงวิธีการปฏิบัติให้มีประสิทธิภาพ รวมทั้งให้มีการรายงานผลอย่างสม่ำเสมอ
- 5.2.6 สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท โดยจัดหาเครื่องมือและอุปกรณ์ที่เพียงพอ รวมถึงอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคล เพื่อให้สามารถปฏิบัติหน้าที่ได้อย่างมีประสิทธิภาพ
- 5.2.7 สื่อสารนโยบายและแนวปฏิบัติเพื่อสร้างการตระหนักรู้ให้กับผู้บริหารและพนักงาน ทุกระดับ
5.3 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- 5.3.1 ควบคุม และตรวจสอบการดำเนินการของบริษัทให้ถูกต้องตามที่กฎหมายกำหนด รวมถึงการจัดกิจกรรมสร้างความตระหนักรู้ ตลอดจนการฝึกอบรมที่เกี่ยวข้องกับการดำเนินงานด้านข้อมูลส่วนบุคคล
- 5.3.2 ให้คำปรึกษาและแนะนำแก่คณะกรรมการ ผู้บริหาร และพนักงาน ในการปฏิบัติตามกฎหมายให้ถูกต้อง
- 5.3.3 เป็นศูนย์กลางในการติดต่อเรื่องข้อมูลส่วนบุคคล การปกป้องสิทธิของเจ้าของข้อมูล รวมถึงการประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
- 5.3.4 รักษาความลับของข้อมูลส่วนบุคคลที่ล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่
5.4 พนักงาน
- 5.4.1 ใช้ข้อมูลส่วนบุคคลอย่างระมัดระวัง เรียนรู้ทำความเข้าใจและปฏิบัติตาม กฎหมาย จรรยาบรรณธุรกิจ ข้อบังคับ นโยบาย แนวปฏิบัติ และมาตรการต่าง ๆ ของบริษัทอย่างเคร่งครัด
- 5.4.2 แจ้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลทันที เมื่อพบการรั่วไหลหรือการละเมิดของข้อมูลส่วนบุคคล
- 5.4.3 หากพบเห็นการกระทำที่อาจเข้าข่ายเป็นการฝ่าฝืนนโยบายฉบับนี้ ให้แจ้งผ่านช่องทางการแจ้งเบาะแสและข้อร้องเรียนของบริษัท
6. การฝึกอบรม
บริษัทจัดให้มีการสื่อสารและถ่ายทอดนโยบายและแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลผ่านการฝึกอบรม การประชุม หรือกิจกรรมในรูปแบบต่าง ๆ ที่เหมาะสมให้แก่บุคลากรของบริษัท รวมถึงให้มีการประเมินประสิทธิผลหลังการฝึกอบรมตามความเหมาะสม
7. การแจ้งเบาะแส
ร้องเรียนหรือแจ้งเบาะแสเมื่อพบเห็นการกระทำที่เชื่อได้ว่าเป็นการละเมิดนโยบายและแนวปฏิบัติที่เกี่ยวข้อง โดยปฏิบัติตามแนวทางของนโยบายและแนวปฏิบัติด้านการแจ้งเบาะแส ทั้งนี้ผู้ร้องเรียนหรือผู้แจ้งเบาะแสจะได้รับความคุ้มครองและข้อมูลจะถูกเก็บไว้เป็นความลับ โดยไม่มีผลต่อตำแหน่งงาน ทั้งในระหว่างดำเนินการสอบสวนและหลังเสร็จสิ้นกระบวนการ
8. การขอคำแนะนำ
ในกรณีที่มีข้อสงสัยว่าการกระทำนั้นอาจฝ่าฝืนกฎหมาย ระเบียบ นโยบายและแนวปฏิบัติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล สามารถขอคำแนะนำจากผู้บังคับบัญชา หน่วยงานหรือบุคคลากรที่รับผิดชอบ หน่วยงานกำกับการปฎิบัติตามกฎเกณฑ์ หน่วยงานกฎหมาย หรือ หน่วยงานทรัพยากรบุคคลก่อนดำเนินการใด ๆ
9. บทลงโทษ
หากบุคคลากรของบริษัท ฝ่าฝืนหรือไม่ปฏิบัติตามนโยบาย แนวปฏิบัติ หรือมาตรการต่าง ๆ ไม่ว่าทางตรงหรือทางอ้อมจะถูกพิจารณาโทษทางวินัยตามระเบียบข้อบังคับการทำงานของบริษัท
10. กฎหมาย ข้อกำหนด และมาตรฐานที่เกี่ยวข้อง
นโยบายฉบับนี้ จัดทำขึ้นโดยอ้างอิงตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีผลบังคับใช้วันที่ 1 มิถุนายน พ.ศ. 2564 เป็นต้นไป ทั้งนี้ หากกฎหมายฉบับดังกล่าวมีการเปลี่ยนแปลง หรือการตีความกฎหมายมีการเปลี่ยนแปลงไปจากเดิมและอาจมีผลย้อนหลัง รวมถึงกรณีที่มีการออกกฎระเบียบ ประกาศ คำสั่ง หลักเกณฑ์ และข้อปฏิบัติภายใต้พระราชบัญญัตินี้ บริษัทจะพิจารณาถึงผลกระทบของการเปลี่ยนแปลงดังกล่าวข้างต้น เพื่อทบทวนและปรับปรุงนโยบายฉบับนี้ให้เหมาะสมและสอดคล้องกับกฎหมาย และ/หรือ การตีความกฎหมายที่เปลี่ยนแปลงไป จากนั้นให้นำเสนอต่อผู้บริหารหรือคณะกรรมการของบริษัทเพื่อพิจารณาอนุมัติก่อนประกาศใช้
ภาคผนวก
คำจำกัดความ
“คณะกรรมการ (Board of Directors)” หมายถึง กรรมการของบริษัท
“ผู้บริหาร (Management)” หมายถึง ผู้บริหารของบริษัท
“พนักงาน (Staff)” หมายถึง พนักงานในระดับรองลงมาจากระดับผู้บริหารของบริษัท
“ข้อมูลส่วนบุคคล (Personal Data)” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม
“ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” หมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)” หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องไม่เป็นบุคคลเดียวกับผู้ควบคุมข้อมูลส่วนบุคคล
“เจ้าของข้อมูล (Data Subject)” หมายถึง เจ้าของข้อมูลส่วนบุคคล
“ข้อมูลที่อ่อนไหว (Sensitive Personal Data)” หมายถึง ข้อมูลส่วนบุคคลที่มีลักษณะเป็นข้อมูลที่อ่อนไหว ห้ามมิให้เก็บรวบรวม โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล เนื่องจากสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม จึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ อันได้แก่ เชื้อชาติ เผ่าพันธุ์ สีผิว ความคิดเห็นทางการเมือง ศาสนา รวมถึงพฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ และข้อมูลอื่นใดตามที่กฎหมายอาจกำหนดขึ้น
“แหล่งที่มาของข้อมูลส่วนบุคคล (Personal Data Source)” หมายถึง แหล่งที่ได้รับข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล เช่น
- การติดต่อธุรกรรม กรอกแบบฟอร์ม ให้ความเห็น ให้คำติชม หรือสอบถามข้อมูลผ่านช่องทางเว็ปไซต์ แอปพลิเคชัน โทรศัพท์ อีเมล การพบปะกันโดยตรง หรือโดยวิธีการอื่นใด
- การเข้าร่วมกิจกรรมทางการตลาด การจับสลากชิงโชค งานอีเว้นท์ และกิจกรรมอื่น ๆ
- การให้บริการผ่านเว็ปไซต์ แอพพลิเคชัน หรือผู้ให้บริการ E-Commerce
- การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งข้อมูลสาธารณะ แหล่งข้อมูลเกี่ยวกับธุรกิจ แหล่งข้อมูลทางการค้า หรือแหล่งข้อมูลจาก Social Media ไม่ว่าเจ้าของข้อมูลส่วนบุคคลจะเป็นผู้เปิดเผยข้อมูลด้วยตนเอง หรือได้ให้ความยินยอมแก่ผู้ใดในการเปิดเผยข้อมูลส่วนบุคคลดังกล่าว
- การเก็บรวบรวมข้อมูลส่วนบุคคลจากบุคคลที่สาม อาทิ บุคคลในครอบครัว บุคคลที่สามารถติดต่อได้ในกรณีฉุกเฉิน ผู้รับผลประโยชน์ ผู้ค้ำประกันการทำงาน เว็บไซต์สมัครงาน บุคคลอ้างอิง บริษัทจัดหางาน หน่วยงานของรัฐ สถานศึกษา ศูนย์รับฝากหลักทรัพย์ ธนาคารหรือผู้ที่ได้รับอนุญาตให้เสนอขายหุ้นกู้ของบริษัท ไม่ว่าเจ้าของข้อมูลส่วนบุคคลจะเป็นผู้เปิดเผยข้อมูลด้วยตนเอง หรือได้ให้ความยินยอมแก่ผู้ใดในการเปิดเผยข้อมูลส่วนบุคคลดังกล่าว
- การส่งมอบเอกสารประกอบการทำสัญญาทางธุรกิจ หรือสัญญาจ้างกับบริษัท
- การส่งมอบเอกสารประกอบใบสมัครงาน
- การบันทึกภาพนิ่งหรือภาพเคลื่อนไหวโดยกล้องวงจรปิด (CCTV) ในสถานที่อยู่ภายใต้การควบคุมของบริษัท
- การเข้าชมเว็บไซต์ของบริษัท ไม่ว่าจะโดยเจตนา หรือไม่เจตนา
“บุคคลภายนอก หรือ บริษัทภายนอก (Third parties)” หมายถึง บุคคลหรือนิติบุคคลนอกเหนือจากเจ้าของข้อมูล ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลข้อมูลส่วนบุคคลที่ได้รับจ้างให้ประมวลข้อมูลในนามของบริษัท
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)” หมายถึง บุคคลที่ถูกแต่งตั้งให้มีหน้าที่ให้คำแนะนำและตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลให้ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
“ประกาศความเป็นส่วนตัว (Privacy Notice)” หมายถึง การแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงวัตถุประสงค์ วิธีการรวบรวม ประมวล และจัดเก็บข้อมูลส่วนบุคคลของบริษัท
“คุกกี้ (Cookie)” หมายถึง ไฟล์เป็นเอกลักษณ์ซึ่งสร้างโดยเว็บไซต์และจัดเก็บบนคอมพิวเตอร์ หรืออุปกรณ์สื่อสารของผู้ใช้งานซึ่งจะจัดเก็บข้อมูลส่วนบุคคล การใช้งาน และการตั้งค่าต่าง ๆ ของผู้ใช้งานเพื่อปรับปรุงประสบการณ์ใช้งานเว็บไซต์ของผู้ใช้งาน
