“ ช่องทางการติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อติดต่อหรือสอบถามข้อมูลเกี่ยวกับเรื่องการคุ้มครองข้อมูลส่วนบุคคล ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ได้ที่อีเมล: dpo@innovex.co.th ”

นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

 

บริษัท อินโนเว็ก โฮลดิ้ง จำกัด และกลุ่มบริษัท (ซึ่งต่อไปนี้เรียกว่า "บริษัท") เคารพสิทธิความเป็นส่วนตัวของลูกค้า คู่ค้า ผู้ถือหุ้น ลูกจ้างของบริษัทและบุคคลต่าง ๆ ที่เกี่ยวข้องกับ บริษัทและเพื่อให้เกิดความมั่นใจว่าบุคคลดังกล่าวจะได้รับความคุ้มครองสิทธิอย่างครบถ้วนตามกฎหมายคุ้มครอง ข้อมูลส่วนบุคคล คณะกรรมการบริษัทจึงอนุมัติให้ใช้นโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทอินโนเว็ก โฮลดิ้ง จำกัด (Privacy Policy) เพื่อให้มีหลักเกณฑ์กลไก มาตรการกํากับดูแล และการบริหารจัดการ ข้อมูลส่วนบุคคลอย่างชัดเจนและเหมาะสม

 

1.    ขอบเขตการบังคับใช้ นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ ใช้บังคับกับบริษัทพนักงานของบริษัทและบุคคลที่ เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของบริษัท

 

2.    คํานิยาม

2.1 การประมวลผล (Processing) หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น การเก็บ รวบรวม บันทึก จัดระบบ ทำโครงสร้าง เก็บรักษา ปรับปรุง เปลี่ยนแปลง กู้คืน ใช้ เปิดเผย ส่งต่อ เผยแพร่ โอน ผสมเข้าด้วยกัน ลบ ทำลาย

2.2 ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลที่เกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวตนของบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล อีเมล เบอร์โทรศัพท์ IP Address รูปภาพ เชื้อชาติ ศาสนา ความคิดเห็นทางการเมือง ข้อมูลทางพันธุกรรม ข้อมูลทางชีวภาพ (Biometric data)

2.3 เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลสามารถระบุ ตัวตนของบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม

2.4 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลธรรมดาหรือนิติบุคคล ซึ่งมีอำนาจ หน้าที่ตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล

2.5 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่ง ดำเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของผู้ควบคุมข้อมูลส่วน บุคคล

2.6 ผู้เก็บข้อมูล หมายความว่า บุคคลที่ได้รับคำยินยอมให้สามารถจัดเก็บข้อมูลส่วนบุคคลได้ตามขอบเขตที่วัตถุประสงค์กำหนด

2.7 ผู้ใช้ข้อมูล หมายความว่า บุคคลที่ได้รับคำยินยอมให้สามารถใช้ข้อมูลในการประกอบกิจกรรมต่างๆ ได้ ตามขอบเขตที่วัตถุประสงค์กำหนด

2.8 การเผยแพร่ข้อมูล หมายความว่า มีการเผยแพร่ข้อมูลให้กับบุคคลอื่น หรือหน่วยงานอื่น ทั้งภายใน และภายนอกบริษัท

2.9 ผู้สมัครงาน หมายความว่า ผู้สมัครงาน ผู้สมัครเข้าฝึกงาน ผู้ฝึกงาน และบุคคลใด ๆ ที่เข้ามาเกี่ยวข้องติดต่อกับบริษัทฯในกระบวนการสรรหาหรือคัดสรรพนักงาน

2.10 ลูกจ้าง หมายความว่า บุคคลซึ่งทำงานหรือปฏิบัติหน้าที่ใด ๆ ให้กับบริษัทฯ และได้ค่าจ้าง สวัสดิการ หรือค่าตอบแทนอื่นไม่ว่าจะเรียกชื่ออย่างไรจากบริษัทฯ เพื่อตอบแทนการทำงาน เช่น กรรมการ ผู้บริหาร ผู้จัดการ พนักงาน บุคลากร ผู้ฝึกงาน หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน แต่ไม่รวมถึงผู้รับจ้างหรือผู้ให้บริการซึ่งเป็นคู่ค้าของบริษัท รวมถึง บุคคลที่เกี่ยวข้องกับผู้สมัครงานและบุคลากรของบริษัทฯ และให้หมายความรวมถึงผู้ที่ข้อมูลส่วนบุคคลปรากฏในเอกสารต่าง ๆ ที่เกี่ยวข้องกับกระบวนการที่เกี่ยวข้อง เช่น บุคคลในครอบครัว (เช่น บิดา มารดา คู่สมรส และบุตร เป็นต้น) บุคคลที่สามารถติดต่อได้ในกรณีฉุกเฉิน บุคคลอ้างอิง (Reference Person) ผู้รับผลประโยชน์ และผู้ค้ำประกันการทำงาน เป็นต้น

2.11 ลูกค้า หมายความว่า ผู้มาใช้บริการ รวมถึงบุคคลที่เกี่ยวข้องกับลูกค้า หรือลูกค้ามอบหมายให้ปฏิบัติการแทนลูกค้า

2.12 คู่ค้า หมายความว่า บุคคลที่เข้าเสนอราคาเพื่อขายสินค้า และ/หรือให้บริการแก่บริษัท หรือได้ลงทะเบียนเป็นคู่ค้ากับทางบริษัท หรือมีความสัมพันธ์อื่นใดที่มีลักษณะคล้ายคลึงกันกับบริษัท อาทิ ผู้ให้บริการ ที่ปรึกษา ผู้เชี่ยวชาญ นักวิชาการ วิทยากร ผู้เข้าร่วมโครงการธุรกิจ คู่สัญญา หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน เป็นต้น

3.    นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการกํากับดูแลการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Governance)

3.1 บริษัทจะจัดให้มีโครงสร้างการกํากับดูแลข้อมูลส่วนบุคคล เพื่อกําหนดวิธีการและมาตรการ ที่เหมาะสมในการปฏิบัติตามกฎหมาย ดังนี้

·   กําหนดให้มีโครงสร้างองค์กร (Organizational Structure) รวมทั้งกําหนดบทบาท ภารกิจ และความรับผิดชอบของหน่วยงานและผู้ปฏิบัติงานที่เกี่ยวข้องให้ชัดเจน เพื่อสร้างกลไก การกํากับดูแล การควบคุม ความรับผิดชอบ การปฏิบัติงาน การบังคับใช้ และการติดตาม มาตรการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครอง ข้อมูลส่วนบุคคลของบริษัท

·   แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท (Data Protection Officer:  DPO) โดยมีบทบาทและหน้าที่ตามที่กําหนดในนโยบายการคุ้มครองข้อมูล ส่วนบุคคลของบริษัท

3.2 บริษัทจะจัดทำนโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล ให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท

3.3 บริษัทจะจัดให้มีกระบวนการบริหารการปฏิบัติตามนโยบาย (Policy Management Process) เพื่อควบคุมดูแลให้มีการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทอย่างต่อเนื่อง

3.4 บริษัทจะดำเนินการฝึกอบรมพนักงานของบริษัทอย่างสม่ำเสมอ เพื่อให้พนักงานของบริษัท ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และทำให้มั่นใจได้ว่าพนักงานของบริษัทที่เกี่ยวข้องทุกคนผ่านการฝึกอบรม และมีความรู้ความเข้าใจในการคุ้มครองข้อมูลส่วนบุคคล และ ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท

 

4.    นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing)

 4.1 บริษัทจะประมวลผลข้อมูลส่วนบุคคลทั้งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผล ข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมาย เป็นธรรม โปร่งใส และคํานึงถึงความถูกต้องของ ข้อมูลส่วนบุคคล ทั้งนี้ การกําหนดขอบเขตวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคล และ ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล ให้ทำได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วย กฎหมายและแนวทางการดำเนินธุรกิจของบริษัทอีกทั้งบริษัทจะดำเนินการรักษาความลับ ความถูกต้องสมบูรณ์ และความปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ

4.2 บริษัทจะจัดให้มีกระบวนการและการควบคุมเพื่อบริหารจัดการข้อมูลส่วนบุคคลในทุกขั้นตอน ให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท

4.3 บริษัทจะจัดทำและรักษาบันทึกการประมวลผลข้อมูลส่วนบุคคล (Records of Processing: ROP) สำหรับบันทึกรายการและกิจกรรมต่าง ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ให้สอดคล้องกับกฎหมาย รวมทั้งจะปรับปรุงบันทึกการประมวลผลข้อมูลส่วนบุคคลเมื่อมี การเปลี่ยนแปลงรายการหรือกิจกรรมที่เกี่ยวข้อง

4.4 บริษัทจะจัดให้มีกระบวนการที่ชัดเจนเพื่อให้มั่นใจได้ว่าการแจ้งวัตถุประสงค์การเก็บรวบรวมและ รายละเอียดการประมวลผลข้อมูลส่วนบุคคล (Privacy Notices) และการขอความยินยอม จากเจ้าของข้อมูลส่วนบุคคลสอดคล้องกับกฎหมาย รวมทั้งจัดให้มีมาตรการดูแลและตรวจสอบในเรื่องดังกล่าว

4.5 บริษัทจะจัดให้มีกลไกการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคล รวมทั้งจัดให้มีกลไก การแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง

4.6 ในกรณีที่บริษัทส่ง โอน หรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคล บริษัทจะจัดทำข้อตกลงกับผู้ที่รับหรือ ใช้ข้อมูลส่วนบุคคลนั้นเพื่อกําหนดสิทธิและหน้าที่ให้สอดคล้องกับกฎหมาย และนโยบาย การคุ้มครองข้อมูลส่วนบุคคลของบริษัท

4.7 ในกรณีที่บริษัทส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทจะปฏิบัติให้สอดคล้อง กับกฎหมาย

4.8 บริษัทจะทำลายข้อมูลส่วนบุคคลเมื่อครบกําหนดระยะเวลา โดยปฏิบัติให้สอดคล้องกับกฎหมาย และแนวทางการดำเนินธุรกิจของบริษัท

4.9 บริษัทจะประเมินความเสี่ยงและจัดทำมาตรการเพื่อบรรเทาความเสี่ยงและลดผลกระทบที่จะเกิดขึ้น กับการประมวลผลข้อมูลส่วนบุคคล

5.    โยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights) บริษัทจะจัดให้มีมาตรการ ช่องทาง และวิธีการเพื่อให้เจ้าของข้อมูลส่วนบุคคลใช้สิทธิของตนได้ ตามที่กฎหมายกําหนด รวมทั้งจะดำเนินการบันทึก และประเมินผลการตอบสนองต่อคําขอใช้สิทธิของ เจ้าของข้อมูลส่วนบุคคล

6.    นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (Personal Data Security)

6.1 บริษัทจะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ รวมทั้ง ดำเนินการป้องกันไม่ให้เกิดการรั่วไหลของข้อมูลส่วนบุคคลและการนําข้อมูลส่วนบุคคลไปใช้โดย ไม่ได้รับอนุญาต

6.2 บริษัทจะจัดให้มีนโยบายการบริหารจัดการเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคล (Privacy Incident Management Policy) และแนวทางการตอบสนองต่อเหตุการณ์ผิดปกติ (Incident Response Program) เพื่อให้สามารถระบุและจัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้องกับ ข้อมูลส่วนบุคคลได้อย่างทันท่วงที

6.3 บริษัทจะจัดให้มีกระบวนการแจ้งเจ้าของข้อมูลส่วนบุคคล รวมถึงเจ้าพนักงานของรัฐ ผู้ควบคุม ข้อมูลส่วนบุคคล (ในกรณีที่บริษัทเป็นผู้ประมวลผลข้อมูลส่วนบุคคล หรือเป็นผู้ควบคุมข้อมูล ส่วนบุคคลร่วมกัน) และบุคคลอื่น ให้สอดคล้องกับกฎหมาย

7.    นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการกํากับให้เกิดการปฏิบัติตามมาตรการคุ้มครอง ข้อมูลส่วนบุคคล (Personal Data Protection Compliance)

7.1 บริษัทจะจัดให้มีกระบวนการติดตามในกรณีที่กฎหมายเปลี่ยนแปลงไป และปรับปรุงมาตรการ คุ้มครองข้อมูลส่วนบุคคลให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ

7.2 บริษัทจะจัดให้มีการทบทวนและปรับปรุงนโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครอง ข้อมูลส่วนบุคคลเป็นประจำ เพื่อให้ทันสมัยสอดคล้องกับกฎหมายและสถานการณ์ในแต่ละช่วงเวลา

8.    บทบาท หน้าที่ และความรับผิดชอบ

 8.1 คณะกรรมการบริษัท มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้ (1) กํากับให้เกิดโครงสร้างการกํากับดูแลข้อมูลส่วนบุคคล และการควบคุมภายในที่เกี่ยวข้อง ของบริษัทเพื่อให้เกิดการปฏิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคล ของบริษัท (2) กํากับดูแลและสนับสนุนให้บริษัทดำเนินการคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพ และสอดคล้องกับกฎหมาย

8.2 ผู้บริหาร มีบทบาท หน้าที่ และความรับผิดชอบในการติดตามควบคุมให้หน่วยงานที่ดูแลปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทและส่งเสริมการสร้างความตระหนักรู้ให้เกิดขึ้น กับพนักงานของบริษัท

8.3 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท (DPO) มีบทบาท หน้าที่ และความรับผิดชอบ ตามที่กฎหมายกําหนด ซึ่งรวมถึงหน้าที่ดังต่อไปนี้ 

·   รายงานสถานะการคุ้มครองข้อมูลส่วนบุคคลให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ อย่างสม่ำเสมอ และจัดทำข้อเสนอแนะเพื่อปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ

·   ให้คำแนะนําพนักงานของบริษัทเกี่ยวกับการปฏิบัติตามกฎหมาย และนโยบายการคุ้มครอง ข้อมูลส่วนบุคคลของบริษัท

·   ตรวจสอบการดำเนินงานของหน่วยงานในบริษัทให้เป็นไปตามกฎหมาย และนโยบายการ คุ้มครองข้อมูลส่วนบุคคลของบริษัท

·   พนักงานของบริษัทมีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้

·   ปฏิบัติให้สอดคล้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท มาตรฐานการ ปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และ เอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล

·   รายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และการไม่ปฏิบัติตาม กฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ผู้บังคับบัญชาทราบ

 

9.  โทษของการไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทการไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทอาจมีความผิดและถูกลงโทษ ทางวินัย รวมทั้งอาจได้รับโทษตามที่กฎหมายกําหนด นโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฉบับนี้

 

10.  หน้าที่และความรับผิดชอบ

10.1 ผู้บริหาร

·   กำหนดนโยบายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

·   กำกับดูแลให้มีการนำนโยบายไปปฏิบัติอย่างเป็นรูปธรรม สอดคล้องกับกฎหมาย และมาตรฐานสากล

·   จัดให้มีมาตรการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้เหมาะสม โดยให้สอดคล้องกับนโยบาย กฎหมายและมาตรฐานสากล

·   จัดให้มีโครงสร้างผู้รับผิดชอบเพื่อดูแลการดำเนินงานให้เป็นไปตามมาตรการที่กำหนดไว้

·   จัดทำประกาศความเป็นส่วนตัวสำหรับผู้มาสมัครงาน พนักงาน ลูกค้า คู่ค้าธุรกิจ และผู้ที่เข้ามาในพื้นที่ของบริษัททั้งหมด

·   กำกับดูแลให้มีการปฏิบัติตามนโยบาย แนวปฏิบัติ ตลอดจนพัฒนาปรับปรุงวิธีการปฏิบัติให้มีประสิทธิภาพ รวมทั้งให้มีการรายงานผลอย่างสม่ำเสมอ

10.2  ผู้ควบคุมข้อมูลส่วนบุคคล

·     กำกับ ดูแล ควบคุมการดำเนินการให้เป็นไปตามนโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy)

·     จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม

·     ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ

·     จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม

·   แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด

10.3 ผู้ประมวลผลข้อมูลส่วนบุคคล

·   ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติ

·     จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น

·     จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์

10.4 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

·     ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติตามพระราชบัญญัติ

·   ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลรวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามพระราชบัญญัติ

·     ประสานงานและให้ความร่วมมือกับสำนักงานในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการปฏิบัติตามพระราชบัญญัติ

·     รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ตามพระราชบัญญัติ

10.5 พนักงาน

·     กำกับดูแล ควบคุมผู้ใต้บังคับบัญชาให้ปฏิบัติตามกฎหมาย กฎระเบียบ ข้อบังคับของบริษัท รวมถึงมาตรการคุ้มครองส่วนบุคคลที่บริษัทกำหนดไว้อย่างเคร่งครัด

·     ใช้ข้อมูลส่วนบุคคลอย่างระมัดระวัง สอดคล้องตามวัตถุประสงค์ที่ได้แจ้งไว้ต่อเจ้าของข้อมูล และตามนโยบายของบริษัท ดำเนินการตามระเบียบข้อบังคับเกี่ยวกับการทำงานในหมวด การเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล

·     แจ้งเจ้าหน้าที่ควบคุมข้อมูลส่วนบุคคลทันที เมื่อพบการรั่วไหลหรือการละเมิดของข้อมูลส่วนบุคคล

·     หากพบเห็นการกระทำที่อาจเข้าข่ายเป็นการฝ่าฝืนนโยบายฉบับนี้ ให้แจ้งผ่านช่องทางการแจ้งเบาะแสและข้อร้องเรียนของบริษัท

·     เมื่อพนักงานสิ้นสุดสภาพการจ้างไม่ว่าด้วยเหตุใดก็ตาม จะต้องลบหรือทำลายข้อมูลส่วนบุคคลที่ได้บันทึก จัดเก็บไว้ในอุปกรณ์ส่วนตัวของพนักงานภายในวันสุดท้ายของการทำงาน และห้ามเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลดังกล่าว

 

11.  การดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร

11.1การสำรวจกิจกรรมที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล

·     สำรวจกิจกรรมที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ทุกแผนก/ฝ่ายที่มีการประมวลผลข้อมูลส่วนบุคคล สำรวจกิจกรรมการทำงานที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล และจัดทำบันทึกกิจกรรมการประมวลข้อมูลส่วนบุคคล Record of Processing Activities (ROPA) โดยพิจารณาดังนี้

1) ระบุข้อมูลที่เก็บรวบรวม วัตถุประสงค์การประมวลผล การเปิดเผยข้อมูลส่วนบุคคล และระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล โดยระบุรายละเอียดที่เกี่ยวข้องในแบบบันทึกกิจกรรมการประมวลข้อมูลส่วนบุคคล Record of Processing Activities (ROPA) ที่กำหนดไว้

2) จัดทำแผนผังวงจรชีวิตของข้อมูล (Data Mapping) เพื่อช่วยตรวจสอบกิจกรรมการประมวลผลข้อมูลส่วนบุคคลในองค์กรให้ถูกต้องเป็นปัจจุบัน

3) การบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล มีความถูกต้อง และเป็นปัจจุบัน

4) เมื่อมีการเปลี่ยนแปลงรายละเอียดในบันทึกกิจกรรมการประมวลข้อมูลส่วนบุคคล Record of Processing Activities (ROPA) ต้องทำการแก้ไขหรือทบทวนรายละเอียดให้สอดคล้องกับปัจจุบันอยู่เสมอ หรือหากไม่มีการเปลี่ยนแปลงใดๆ ให้ทบทวนอย่างน้อยปีละ 1 ครั้ง

5) เก็บรักษาข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล รวบรวมรายการกิจกรรมประมวลผลข้อมูลส่วนบุคคล (Data Inventory) และจัดเก็บบันทึกกิจกรรมประมวลผลข้อมูลส่วนบุคคล Record of Processing Activities (ROPA) ของแต่ละแผนก/ฝ่าย

11.2 การประเมินความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล ตามหลักเกณฑ์การประเมินความสี่ยงและโอกาสด้านคุณภาพ ความปลอดภัย อาชีวอนามัย และสิ่งแวดล้อม

11.3 การประมวลผลข้อมูลส่วนบุคคล

         การประมวลผลข้อมูลส่วนบุคคล ดังนี้

1)  การเก็บรวบรวม

2)  การใช้

3)  การเปิดเผยหรือการเผยแพร่

4)  การส่งต่อ หรือการโอน

5)  การลบ หรือทำลาย

ทุกแผนก/ฝ่ายที่มีการประมวลผลข้อมูลส่วนบุคคล ต้องแจ้งเจ้าของข้อมูล เกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผย ส่งต่อหรือโอนข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเจ้าของข้อมูล โดยมีองค์ประกอบอย่างน้อย ดังนี้

1)  ข้อมูลส่วนบุคคลที่เก็บรวบรวม

2)  แหล่งที่มาของข้อมูล

3)  วัตถุประสงค์การเก็บรวบรวม การใช้ การเปิดเผย การส่ง หรือโอนข้อมูล

4)  ระยะเวลาการเก็บข้อมูล

5)  มาตรการรักษาความปลอดภัยของข้อมูล

6)  สิทธิของเจ้าของข้อมูล

7)  การปรับปรุงข้อมูล

8)  ผู้รับผิดชอบหรือผู้ที่เกี่ยวข้อง

(ตามกฎหมายกำหนด) เอกสารอ้างอิง: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562

ทุกแผนก/ฝ่ายที่มีการประมวลผลข้อมูลส่วนบุคคล ขอความยินยอมในการเก็บรวบรวม ใช้  เปิดเผย ส่ง หรือโอนข้อมูลจากเจ้าของข้อมูลส่วนบุคคล

1)  รูปแบบการขอความยินยอมให้เก็บรวบรวม ใช้ เปิดเผย ส่ง หรือโอนข้อมูล เช่น

(ก)  แบบฟอร์มขอความยินยอม  หรือหนังสือขอความยินยอม

(ข)  เอกสารแนบท้ายสัญญา

(ค)  บันทึกเสียงทางโทรศัพท์เพื่อขอความยินยอม

(ง)   บันทึกการขอความยินยอมทางอิเล็กทรอนิกส์ เช่น google form , application , เว็บไซต์เป็นต้น

(จ)  ขอความยินยอมโดยช่องทางอื่น ๆ ตามความเหมาะสม

2)  รายละเอียดในการขอความยินยอมให้ประมวลผลข้อมูลส่วนบุคคล โดยมีข้อความที่อ่านแล้วเข้าใจได้โดยง่าย และต้องไม่เป็นการหลอกลวง

3)  ผู้เก็บข้อมูล ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ

4)  เจ้าของข้อมูลส่วนบุคคลให้ความยินยอมในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล ในการขอความยินยอมให้บริษัทใช้ข้อมูลส่วนบุคคลทั้งในรูปแบบเอกสาร หรือรูปแบบอิเล็กทรอนิกส์

5)  เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเมื่อใดก็ได้ ถ้าไม่มีข้อจำกัดสิทธิ เช่น มีกฎหมายที่กำหนดให้เก็บรวบรวมข้อมูลส่วนบุคคลนั้นไว้ก่อน

·     การเก็บรวบรวมข้อมูลส่วนบุคคล

1) เก็บข้อมูลส่วนบุคคลอย่างจำกัด เท่าที่จำเป็นแก่การใช้งานตามวัตถุประสงค์ที่ได้ระบุในแบบบันทึกกิจกรรมการประมวลข้อมูลส่วนบุคคล Record of Processing Activities (ROPA) และได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคล

2) โดยปกติจะไม่จัดเก็บข้อมูลส่วนบุคคลที่เป็นข้อมูลที่อ่อนไหวหรือข้อมูลที่ก่อให้เกิดการเลือกปฏิบัติโดยไม่เป็นธรรม หรือความไม่เท่าเทียมกัน ซึ่งอาจส่งผลกระทบต่อเจ้าของข้อมูล เว้นแต่เป็นการจัดเก็บตามกฎหมาย

3) บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลในระยะเวลาเท่าที่จำเป็น เพื่อให้บรรลุวัตถุประสงค์ที่ได้ระบุในแบบบันทึกกิจกรรมการประมวลข้อมูลส่วนบุคคล Record of Processing Activities (ROPA) และได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคล ตามระยะเวลาที่มีสัญญา หรือนิติสัมพันธ์ตามกฎหมายที่บังคับใช้ตามกฎหมายที่บังคับใช้ระหว่างกัน เว้นแต่กฎหมายจะอนุญาตให้มีระยะเวลาการเก็บรักษาที่นานขึ้น

4) แหล่งที่มาของข้อมูลที่เก็บรวบรวม

(ก)  ข้อมูลที่ได้จากเจ้าของข้อมูลโดยตรง  โดยได้ส่งมอบให้ไม่ว่าในขั้นตอนใด ๆ ระหว่างการติดต่อประสานงานกับบริษัท

(ข)  ข้อมูลที่บริษัทได้รับมาไม่ว่าโดยวิธิใด ๆ ในระหว่างดำเนินการตามวัตถุประสงค์ของการประมวลผล เช่น การสนทนาทางโทรศัพท์หรือประชุมผ่านทางวิดีโอ การพูดคุย การประชุม เป็นต้น

(ค)  ข้อมูลที่ได้รับจากรูปถ่ายหรือภาพเคลื่อนไหวจากอุปกรณ์ต่าง ๆ ในบริเวณพื้นที่ของบริษัทฯ เช่น กล้องวงจรปิด อุปกรณ์บันทึกภาพ เป็นต้น

(ง)   ข้อมูลที่ได้รับจากบุคคลที่สาม

(จ)  ข้อมูลส่วนบุคคลที่ได้ให้กับบริษัทผ่านช่องทางออนไลน์ เช่น แอปพลิเคชันบนโทรศัพท์มือถือ หรือเว็บไซต์ ของบริษัท เป็นต้น

 

·     การใช้ การเปิดเผย และการส่งหรือการโอนข้อมูลส่วนบุคคล

1)  การใช้ และการเปิดเผยข้อมูลส่วนบุคคล ให้เป็นไปตามวัตถุประสงค์ที่ได้ระบุในแบบบันทึกกิจกรรมการประมวลข้อมูลส่วนบุคคล Record of Processing Activities (ROPA) และได้แจ้งแก่เจ้าของข้อมูล

2)  การส่งหรือโอนข้อมูลส่วนบุคคลต้องได้รับการร้องขอหรือให้ความยินยอมจากเจ้าของข้อมูล

3)  การส่งหรือการโอนข้อมูลส่วนบุคคลระหว่างประเทศสามารถทำได้ในกรณีดังต่อไปนี้

(ก)  เจ้าของข้อมูลส่วนบุคคลรับทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประเทศปลายทางที่อาจมีไม่เพียงพอ พร้อมทั้งได้ให้การยินยอม

(ข)  การส่งหรือการโอนข้อมูลส่วนบุคคลเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเป็นการดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคล

(ค)  การส่งหรือการโอนข้อมูลส่วนบุคคลได้ทำเพื่อป้องกันหรือระงับอันตรายต่อชีวิต หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่สามารถให้การยินยอมได้

(ง)   ทำเอกสาร Data sharing agreement กับผู้รับการแบ่งปันข้อมูลส่วนบุคคล

4)  กรณีจ้างผู้ประมวลผลข้อมูล ดังนี้

(ก)  ก่อนทำการจ้างผู้ประมวลผลข้อมูล บริษัทต้องประเมินระบบการคุ้มครองข้อมูลส่วนบุคคลของผู้รับจ้าง หากผู้รับจ้างประมวลผลไม่มีระบบการป้องกัน หรือไม่เพียงพอ การทำสัญญาจ้างผู้ประมวลผลต้องให้ผู้ประมวลผลปฏิบัติตามมาตรการที่บริษัทกำหนด

(ข)  ในสัญญาจ้างต้องระบุวัตถุประสงค์ วิธีการเก็บข้อมูล การใช้ การเปิดเผย การส่งหรือการโอนข้อมูล การลบหรือทำลายข้อมูล และการแจ้งเจ้าของข้อมูลส่วนบุคคล

(ค)  คู่สัญญาต้องลงนามคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมาย หรือระเบียบที่บริษัทกำหนด

(ง)   เมื่อมีการจ้างผู้ประมวลผล ต้องทำการควบคุมการประมวลผลตามที่จ้าง และการควบคุมการปฏิบัติให้เป็นไปตามแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลที่กำหนด

(จ)  เมื่อครบกำหนดการเก็บรักษาข้อมูล ต้องควบคุมให้ผู้รับประมวลผลทำการทำลายข้อมูลตามกำหนด

(ฉ) จะต้องดำเนินการและ สัญญาประมวลผลข้อมูลส่วนบุคคล เอกสารตามขั้นตอนของบริษัท (ระบุไว้ในงานจัดซื้อ จัดจ้าง)

·     การเก็บรักษาข้อมูลส่วนบุคคล

เก็บรักษาข้อมูลส่วนบุคคล ตามมาตรการรักษาความปลอดภัยในการจัดเก็บข้อมูลส่วนบุคคล ทั้งข้อมูลที่อยู่ในรูปแบบเอกสาร และข้อมูลที่อยู่ในรูปแบบอิเล็กทรอนิกส์ เพื่อป้องกันการสูญหาย การเข้าถึง การใช้  การดัดแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต รวมถึงป้องกันไม่ให้เกิดการรั่วไหลของข้อมูลส่วนบุคคล

1)  การรักษาความปลอดภัยของข้อมูลส่วนบุคคล ครอบคลุมอย่างน้อย 3 ประเด็นดังนี้

(ก)   การธำรงไว้ซึ่งความลับ (confidentiality)

(ข)   ความถูกต้องครบถ้วน (integrity)

(ค)   สภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคล

2)  การรักษาความปลอดภัยของข้อมูลส่วนบุคคล สำหรับข้อมูลที่อยู่ในรูปแบบเอกสาร (Hard Copy)

(ก)  การเก็บข้อมูลในรูปแบบเอกสาร (Hard Copy) ที่ได้รับจากเจ้าของข้อมูล ต้องรวบรวม ทำดัชนี เก็บเข้าแฟ้ม เก็บรวบรวมไว้ในกล่องเก็บเอกสาร หรือตู้เซฟ หรือตู้เก็บเอกสารที่สามารถปิดล็อคได้อย่างแน่นหนา

(ข)  กำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล  การลักลอบนำอุปกรณ์เข้าออก

(ค)  มีการควบคุมการเข้าถึง เพื่อมั่นใจว่าข้อมูลในบันทึกจะได้รับอนุญาตให้เข้าดู ค้นหา ลงบันทึก แก้ไขปรับปรุง และการลบโดยผู้มีสิทธิเท่านั้น

(ง)   จัดเก็บเอกสาร และบันทึกข้อมูลส่วนบุคคลในสถานที่เหมาะสม ป้องกันการสูญหาย หรือป้องกันความเสียหายที่จะเกิดกับเอกสารหรือบันทึก

3)  การรักษาความปลอดภัยของข้อมูลส่วนบุคคล สำหรับข้อมูลที่อยู่ในรูปแบบอิเล็กทรอนิกส์  ให้ปฏิบัติตามตามระเบียบปฏิบัติการจัดการเทคโนโลยีสารสนเทศ นโยบายความมั่นคง ความปลอดภัยด้านสารสนเทศ และแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ

(ก)  การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล

(ข)  การบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาต ตามระดับสิทธิการใช้งาน ได้แก่ การนำเข้า เปลี่ยนแปลง แก้ไข เปิดเผย ตลอดจนการลบทำลาย และป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล  การลักลอบนำอุปกรณ์เข้าออก

(ค)  จัดให้มีระบบสำรองและกู้คืนข้อมูล เพื่อให้ระบบ และ/หรือ บริการต่าง ๆ ยังสามารถดำเนินการได้อย่างต่อเนื่อง

·     การลบ หรือการทำลายข้อมูลส่วนบุคคล

1)  HOD ทุกแผนก/ฝ่ายที่มีการประมวลข้อมูลส่วนบุคคล จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ดังนี้

(ก)  พ้นระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลตามนโยบายที่บริษัทประกาศไว้

(ข)  หมดความจำเป็นในการใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์

(ค)  เจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และบริษัท ไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป

(ง)   เป็นการรวบรวมข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย

2)  วิธีการลบ ทำลายข้อมูลส่วนบุคคล

(ก)  ข้อมูลส่วนบุคคลที่เป็นเอกสาร เช่น ย่อยเยื่อเอกสาร ย่อยเอกสารให้เป็นชิ้นเล็กๆ ต้มเอกสาร เผาเอกสาร เอกสารแนวนอนให้ย่อยเอกสารแนวตั้ง เอกสารแนวตั้งย่อยเอกสารแนวนอน ที่ไม่สามารถระบุหรือเชื่อมโยงไปยังเจ้าของข้อมูลส่วนบุคคลได้ เป็นต้น

(ข)  ข้อมูลส่วนบุคคลที่เป็นข้อมูลอิเล็กทรอนิกส์ เช่น ทำลายเอกสารดิจิทัลในฐานข้อมูล เขียนทับฮาร์ดไดรฟ์ ล้างฮาร์ดไดรฟ์ ทำลายฮาร์ดไดรฟ์ทางกายภาพ ลบอีเมล์อย่างถาวร ลบประวัติการท่องอินเตอร์เน็ต รวมถึงลบให้ครบถ้วนทุกช่องทางที่ได้จัดเก็บไว้ เป็นต้น

3)  ทุกแผนก/ฝ่ายที่มีการประมวลข้อมูลส่วนบุคคล ติดตามสม่ำเสมอ (เช่น ทุกสัปดาห์ หรือ ทุกเดือน) ว่าข้อมูลส่วนบุคคลที่อยู่ในความดูแลของตนนั้น (ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล) มีรายการหรือมีชุดข้อมูลใดที่พ้นกำหนดระยะเวลาการเก็บรักษาหรือไม่ (ตามที่แจ้งเจ้าของข้อมูลส่วนบุคคล (Data Subject) ไว้ในประกาศความเป็นส่วนตัว (Privacy Notice) หรือ ตามที่ขอความยินยอมไว้) ทั้งนี้ เพื่อดำเนินการลบทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ตามแต่กรณี

4)  การลบทำลายข้อมูล หรือ การทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ อาจยกเว้นไม่กระทำก็ได้ในกรณีผู้ควบคุมข้อมูลส่วนบุคคลมีเหตุผลความจำเป็นที่เหนือกว่าสิทธิของเจ้าของข้อมูล เช่น

(ก)  เพื่อวัตถุประสงค์การจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การศึกษาวิจัยหรือสถิติ

(ข)  เพื่อการสร้างประโยชน์สาธารณะตามหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลรายนั้น

(ค)  เพื่อประเมินความสามารถในการทำงานของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการให้บริการด้านสังคมสงเคราะห์

(ง)   การป้องกันด้านสุขภาพจากโรคติดต่ออันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร หรือการควบคุมมาตรฐานหรือคุณภาพของยา เวชภัณฑ์ หรือเครื่องมือแพทย์

11.4 การขอใช้สิทธิของเจ้าของข้อมูล

·     สิทธิของเจ้าของข้อมูลส่วนบุคคล ดังนี้

1)  สิทธิที่จะได้รับการแจ้งให้ทราบ

2)  สิทธิในการเข้าถึง หรือขอรับสำเนาข้อมูลส่วนบุคคลของตนเอง

3)  สิทธิในการแก้ไขข้อมูลส่วนบุคคลของตนเองให้ถูกต้อง ให้เป็นปัจจุบัน ให้สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

4)  สิทธิในการขอให้ลบ ทำลาย ระงับการใช้ชั่วคราว หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้

5)  สิทธิในการเพิกถอนความยินยอมให้ประมวลผลข้อมูลส่วนบุคคลของตนเอง ทั้งนี้ การเพิกถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้แล้ว

6)  สิทธิในการโอนย้ายข้อมูลส่วนบุคคล

7)  สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตนเอง

8)  สิทธิที่จะร้องเรียนต่อบริษัท หรือคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หากท่านเห็นว่าสิทธิใด ๆ ของท่านได้ถูกบริษัทละเมิด

กรณีการใช้สิทธิดังกล่าวข้างต้น จำเป็นต้องคิดค่าบริการใด ๆ ที่เกี่ยวข้องและจำเป็นต่อการเข้าดำเนินงานเกี่ยวกับข้อมูลส่วนบุคคล จะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลหรือผู้ร้องขอทราบ

·     ช่องทางการติดต่อขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)

สถานที่ติดต่อ:            386 ซอยลาดพร้าว 94 ถนนลาดพร้าว แขวงพลับพลา เขตวังทองหลาง

                              กรุงเทพมหานคร

อีเมล:                       dpo@innovex.co.th

โทรศัพท์:                  (+66)2-530-4995

 

11.5 การจัดการข้อร้องเรียน กรณีละเมิดความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล

·     ประเภทของการละเมิดข้อมูลส่วนบุคคล

1)  การประมวลผลข้อมูลส่วนบุคคลอย่างผิดกฎหมาย

2)  การใช้ข้อมูลส่วนบุคคลในทางที่ผิด

3)  การเข้าถึง ใช้ เปิดเผย ส่งหรือโอนข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต

4)  การลบหรือทำลายข้อมูลส่วนบุคคลโดยไม่ได้รับ

·     กรณีพบบริษัท หรือพนักงานของบริษัทฝ่าฝืน หรือไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคล หรือผู้แทนของเจ้าของข้อมูลส่วนบุคคล สามารถร้องเรียน หรือแจ้งการละเมิดข้อมูลส่วนบุคคล โดยบันทึกในแบบฟอร์มร้องเรียนการประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing Claim Form)  พร้อมระบุรายละเอียดที่เกี่ยวข้องให้ครบถ้วน ภายใน 24 ชั่วโมงหลังจากที่พนักงานทราบ  แจ้งไปยังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีรายละเอียดที่บริษัทกำหนดหรือจะต้องแจ้งดังนี้

1)  ชื่อ นามสกุล หมายเลขบัตรประชาชน หรือหมายเลขหนังสือเดินทางของผู้ยื่นคำร้อง

2)  สำเนาที่ชัดเจนของบัตรประชาชนหรือหนังสือเดินทางของผู้ยื่นคำร้อง

3)  รายละเอียดการติดต่อ

4)  ชื่อเจ้าหน้าที่ พนักงานที่เกี่ยวข้อง ในการเก็บรวบรวมข้อมูลส่วนบุคคล

5)  รายละเอียดการร้องเรียน รวมถึงช่วงเวลาที่สงสัย หรือพบว่ามีการละเมิดข้อมูลส่วนบุคคล

6)  เอกสารหลักฐานประกอบการร้องเรียน

ช่องทางการร้องเรียนหรือแจ้งเบาะแสการละเมิดข้อมูลส่วนบุคคล แจ้งได้ที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล  ตามรายละเอียดข้างต้น

·     การเตรียมแผนรับมือการละเมิดข้อมูลส่วนบุคคล

1)  จำกัดความเสียหาย

2)  ประเมินผลกระทบ

3)  กำหนดผู้รับผิดชอบรวมทั้งบทบาทและหน้าที่

4)  จัดการเหตุตั้งแต่ต้นจนจบ ครอบคลุมข้อกำหนดทางกฎหมาย

5)  แจ้งผู้ที่ได้รับผลกระทบและหน่วยงานกำกับที่เกี่ยวข้อง

6)  ทบทวนแนวทางการรับมือและหาวิธีป้องกันไม่ให้เกิดขึ้นอีก

·     ช่องทางการติดต่อสำนักงานคุ้มครองข้อมูลส่วนบุคคล (สคส.) ดังนี้

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม)

เลขที่ 120 หมู่ 3 ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษาฯ อาคารรัฐประศาสนภักดี (อาคารบี)

ชั้น 7 ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพฯ 10210

เบอร์โทรศัพท์ +66(0) 2 142 1033

อีเมล์ : pdpc@mdes.go.th

 

11.6 การตรวจสอบภายในภายในองค์กร

บริษัทแต่งตั้งคณะกรรมการตรวจสอบภายในองค์กร เป็นผู้รับผิดชอบในการตรวจสอบการคุ้มครองข้อมูลส่วนบุคคล

 

11.7 การทบทวนมาตรการ และการรายงานผลการดำเนินงานต่อผู้บริหาร

บริษัท จะทำการทบทวนนโยบาย แนวทางปฏิบัติและคู่มือระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้อย่างน้อยปีละ 1 ครั้ง และหรือเมื่อมีการเปลี่ยนแปลงกฎหมายลำดับรอง กฎหมายที่เกี่ยวข้อง เพื่อให้สอดคล้องกับสภาวการณ์ที่เกิดขึ้น และการเปลี่ยนแปลงไปหรือเมื่อมีการเปลี่ยนแปลงกฎหมาย หรือจำเป็นต้องเปลี่ยนแปลงหลักเกณฑ์ที่เป็นสาระสำคัญที่กำหนดไว้ในนโยบาย แนวทางปฏิบัติ และคู่มือระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้

 

ประกาศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice)

สำหรับกระบวนการที่เกี่ยวข้องกับลูกค้าหรือผู้ใช้บริการ

 

1. บททั่วไป

เพื่อเป็นการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง และให้หมายความรวมถึงกฎหมายฉบับแก้ไขเพิ่มเติมใด ๆ ในอนาคต (กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล”) บริษัท อินโนเว็ก โฮลดิ้ง จำกัด (“บริษัทฯ”) จึงจัดทำประกาศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) ของบริษัทฯ (ประกาศฯ”) ฉบับนี้ขึ้น เพื่ออธิบายให้ท่านทราบถึงวิธีการที่บริษัทฯ ปฏิบัติต่อข้อมูลที่สามารถระบุตัวตนของท่าน หรืออาจจะระบุตัวตนของท่านได้ ไม่ว่าทางตรงหรือทางอ้อม ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (ข้อมูลส่วนบุคคล”) เช่น วิธีการเก็บรวบรวม ใช้ เปิดเผย หรือ การดำเนินการใด ๆ กับข้อมูลส่วนบุคคลไม่ว่าด้วยวิธีการอัตโนมัติหรือไม่ก็ตาม อาทิ การบันทึก การจัดระบบ การจัดเก็บ การปรับเปลี่ยนหรือการดัดแปลง การเรียกคืน การส่ง โอน การเผยแพร่หรือการทำให้สามารถเข้าถึงหรือพร้อมใช้งานโดยวิธีใด ๆ การจัดเรียง การนำมารวมกัน การจำกัดหรือการห้ามเข้าถึง การโอน การลบหรือการทำลาย (ประมวลผลและเพื่อแจ้งให้ท่านทราบถึงวัตถุประสงค์ในการประมวลผล ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล ตลอดจนสิทธิของท่านในฐานะเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ บริษัทฯ ขอแนะนำให้ท่านอ่านและทำความเข้าใจถึงข้อกำหนดต่าง ๆ ภายใต้ประกาศฯ โดยมีรายละเอียดดังต่อไปนี้

 

2. ประเภทของบุคคลที่บริษัทฯ ทำการเก็บรวบรวมข้อมูลส่วนบุคคล

ภายใต้ประกาศฯ ฉบับนี้ ประเภทของบุคคลที่บริษัทฯ ทำการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลและแหล่งที่มาของข้อมูลส่วนบุคคดังกล่าว ประกอบด้วยประเภท รายละเอียด แหล่งที่มาของข้อมูลดังนี้

2.1 ข้อมูลส่วนบุคคลเกี่ยวกับลูกค้า ซึ่งหมายถึง บุคคลที่ซื้อสินค้าและ/หรือใช้บริการจากบริษัทฯ และ/หรืออาจจะซื้อสินค้าและ/หรือใช้บริการจากบริษัทฯ หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน อาทิ ผู้เข้าร่วมกิจกรรม ผู้เข้าร่วมสัมมนา ผู้เข้าร่วมการประมูล ผู้ใช้บริการเว็บไซต์ ผู้ใช้บริการแอปพลิเคชัน ผู้ที่ติดต่อเพื่อขอรับข้อมูลหรือขอรับบริการจากบริษัทฯ และผู้ตอบแบบสอบถามเกี่ยวกับสินค้าและ/หรือบริการของบริษัทฯ เป็นต้น และให้หมายความรวมถึง บุคคลที่เกี่ยวข้องหรือเป็นตัวแทนของลูกค้าซึ่งเป็นนิติบุคคล และผู้ที่ข้อมูลส่วนบุคคลปรากฏในเอกสารต่าง ๆ ที่เกี่ยวข้องกับกระบวนการที่เกี่ยวข้องโปรดดูรายละเอียดเพิ่มเติมใน ประกาศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) สำหรับกระบวนการที่เกี่ยวข้องกับลูกค้าของบริษัทฯ

 

3. แหล่งที่ได้มาในการเก็บรวบรวมและรับข้อมูลส่วนบุคคลของท่าน

3.1 บริษัทฯ เก็บรวบรวมและรับข้อมูลส่วนบุคคลของท่านผ่านช่องทางต่าง ๆ ดังนี้

เมื่อท่านติดต่อสื่อสาร สอบถามข้อมูล ผ่านทางเว็บไซต์ แอปพลิเคชัน โทรศัพท์ อีเมล การพบปะกันโดยตรง หรือโดยวิธีการอื่นใด

เมื่อท่านแสดงเจตนาเพื่อซื้อสินค้าหรือใช้บริการจากบริษัทฯ และเข้าทำสัญญากับบริษัทฯ

เมื่อท่านเข้าร่วมกิจกรรมทางการตลาด การจับสลากชิงโชค งานอีเว้นท์ หรือกิจกรรมอื่น ๆ

การเก็บข้อมูลจากผู้ให้บริการต่าง ๆ ของบริษัทฯ อาทิ ผู้ให้บริการและแอปพลิเคชัน ผู้ให้บริการ E-Commerce และผู้ให้บริการประชาสัมพันธ์และแนะนำสินค้า/บริการ

ในบางกรณีบริษัทฯ อาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านจากแหล่งข้อมูลสาธารณะ ไม่ว่าท่านจะเป็นผู้เปิดเผยข้อมูลส่วนบุคคลด้วยตนเองหรือได้ให้ความยินยอมแก่ผู้ใดในการเปิดเผยข้อมูลส่วนบุคคลของท่านดังกล่าว

3.2 ในบางกรณีบริษัทฯ อาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านโดยอัตโนมัติผ่านช่องทางต่าง ๆ เช่น การใช้คุกกี้ (Cookies) หรือเทคโนโลยีอื่น ๆ ที่คล้ายคลึงกัน รายละเอียดเพิ่มเติมโปรดดู นโยบายการใช้คุกกี้

 

3.3 ในการเก็บรวบรวมข้อมูลส่วนบุคคลของท่าน ท่านจะได้รับการแจ้งถึงรายละเอียดต่าง ๆ ตามที่ระบุในประกาศฯ ฉบับนี้ ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะ วัตถุประสงค์และฐานทางกฎหมายในการเก็บรวบรวม ใช้ เปิดเผย และ/หรือ ประมวลผลข้อมูลส่วนบุคคล หรือหากเป็นกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนดให้การประมวลผลข้อมูลส่วนบุคคลใดต้องได้รับความยินยอมจากท่าน บริษัทฯ จะขอความยินยอมโดยชัดแจ้งจากท่าน

3.4 ในกรณีที่บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลของท่านไว้ก่อนวันที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลมีผลใช้บังคับบริษัทฯ จะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของท่านต่อไปตามวัตถุประสงค์เดิมที่บริษัทฯ ได้แจ้งไว้แก่ท่านในการเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งท่านมีสิทธิยกเลิกความยินยอม โดยติดต่อมายังบริษัทฯ ตามรายละเอียดการติดต่อที่ระบุไว้ในข้อ 10 ของประกาศฯ ฉบับนี้ ทั้งนี้ บริษัทฯ ขอสงวนสิทธิในการพิจารณาคำขอยกเลิกความยินยอมของท่านและดำเนินการตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

 

4. ข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวม

ข้อมูลส่วนบุคคลของท่านที่ถูกเก็บรวบรวมและประมวลผลภายใต้ประกาศฯ ฉบับนี้ ไม่ว่าจะเป็นข้อมูลส่วนบุคคลที่ท่านให้ไว้กับบริษัทฯ โดยตรง หรือข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรวบรวมจากท่านโดยอัตโนมัติ หรือข้อมูลส่วนบุคคลที่บริษัทฯ ได้รับมาจากบุคคลภายนอก ได้แก่

4.1 ข้อมูลส่วนตัว เช่น ชื่อ นามสกุล วัน/เดือน/ปีเกิด อายุ เพศ น้ำหนัก ส่วนสูง หมายเลขบัตรประจำตัวประชาชน รูปถ่าย ลายมือชื่อเป็นต้น

4.2 ข้อมูลการติดต่อ เช่น ที่อยู่ตามบัตรประจำตัวประชาชน ที่อยู่ตามทะเบียนบ้าน สถานที่จัดส่งสินค้า สถานที่จัดส่งใบแจ้งหนี้ หมายเลขโทรศัพท์ โทรสาร อีเมล ไอดีผู้ใช้สำหรับไลน์แอปพลิเคชัน (Line ID) ข้อมูลผู้ที่สามารถติดต่อได้ในกรณีฉุกเฉิน และข้อมูลบุคคลอ้างอิง เป็นต้น

4.3 ข้อมูลเกี่ยวกับธุรกรรมการซื้อขาย เช่น รหัสลูกค้า รายละเอียดการสั่งซื้อ (อาทิ สินค้าที่ต้องการ จำนวน และคุณภาพ) รายละเอียดของสินค้าที่ต้องการ รายละเอียดการร้องเรียนเกี่ยวกับสินค้า (อาทิ วันที่สั่งซื้อสินค้า ประเภทสินค้า สาขาที่เกี่ยวข้อง และปัญหาที่พบ) เลขที่ใบรับสินค้าชั่วคราว รายละเอียดการส่งสินค้า เป็นต้น

4.4 ข้อมูลเกี่ยวกับการชำระเงิน เช่น จำนวนเงิน วงเงินสินเชื่อ เงื่อนไขการชำระเงิน เลขที่บัญชี ข้อมูลส่วนบุคคลที่ปรากฏในใบแจ้งหนี้ ใบกำกับภาษี เช็คและต้นขั้วเช็ค ใบสำคัญการจ่าย ใบเสร็จรับเงิน ใบสำคัญรับเงิน และใบหักบัญชีเงินฝาก เป็นต้น

4.5 ข้อมูลที่ใช้ประกอบเป็นหลักฐานในการทำธุรกรรมหรือนิติกรรมต่าง ๆ ข้อมูลส่วนบุคคลที่ปรากฏในสำเนาบัตรประชาชน สำเนาหนังสือเดินทาง สำเนาทะเบียนบ้าน สำเนาใบเปลี่ยนชื่อนามสกุล ใบเสร็จรับเงิน ใบแจ้งหนี้ เป็นต้น

4.6 ข้อมูลด้านเทคนิค เช่น ข้อมูลจราจรทางคอมพิวเตอร์ (Log) หมายเลขประจำเครื่องคอมพิวเตอร์ (IP Address) และข้อมูลที่บริษัทฯ ได้เก็บรวบรวมผ่านคุกกี้ (Cookies) หรือเทคโนโลยีอื่นที่คล้ายคลึงกัน เป็นต้น

4.7 ข้อมูลอื่น ๆ เช่น พฤติกรรมหรือแนวโน้มในการซื้อสินค้าและ/หรือบริการ บันทึกเสียงการสนทนา บันทึกไลน์ บันทึก Messenger แอปพลิเคชัน บันทึกผ่านโซเชียลมีเดียต่างๆ และบันทึกภาพนิ่งและภาพเคลื่อนไหวผ่านกล้องวงจรปิด (CCTV) เป็นต้น

 

5. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล

5.1 บริษัทฯ ประมวลผลข้อมูลส่วนบุคคลของท่าน เพื่อวัตถุประสงค์ต่าง ๆ ภายใต้ฐานทางกฎหมาย ดังต่อไปนี้ (รวมกันเรียกว่า "วัตถุประสงค์ที่กำหนด”)

ลำดับ

วัตถุประสงค์ที่กำหนด

ฐานทางกฎหมายในการประมวลผล

(ก) วัตถุประสงค์เกี่ยวกับการจำหน่ายสินค้าและให้บริการแก่ลูกค้า ตลอดจนการดำเนินการอื่น ๆ ที่เกี่ยวข้อง

(1)

เพื่อการลงทะเบียนสมัครสมาชิก หรือเปิดบัญชีลูกค้า

ฐานสัญญา: การประมวลผลข้อมูลส่วนบุคคลของลูกค้าเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอของลูกค้า สำหรับการลงทะเบียนสมัครสมาชิกเป็นลูกค้ารายใหม่หรือการเปิดบัญชีลูกค้า

ฐานประโยชน์โดยชอบด้วยกฎหมาย: ในกรณีที่ลูกค้าเป็นนิติบุคคล การประมวลผลข้อมูลส่วนบุคคลของผู้ที่เกี่ยวข้องกับลูกค้าเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายในการดำเนินธุรกิจของบริษัทฯ

(2)

เพื่อการดำเนินการเข้าทำสัญญา ซื้อขายสินค้าและบริการ

ฐานสัญญา: การประมวลผลข้อมูลส่วนบุคคลของลูกค้าเป็นการจำเป็นเพื่อการเข้าทำสัญญา และกระบวนการอื่น ๆ ที่เกี่ยวข้องกับการเข้าทำสัญญา

ฐานประโยชน์โดยชอบด้วยกฎหมาย: ในกรณีที่ลูกค้าเป็นนิติบุคคล การประมวลผลข้อมูลส่วนบุคคลของผู้ที่เกี่ยวข้องกับลูกค้าเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายในการดำเนินธุรกิจของบริษัทฯ เช่น การบริหารจัดการสัญญา การตรวจสอบยืนยันตัวตนของลูกค้า และการพิจารณาคุณสมบัติลูกค้า เป็นต้น

(3)

เพื่อการบริหารจัดการคำสั่งซื้อจากลูกค้า จัดเตรียมสินค้าและ/หรือบริการ และดำเนินการอื่นใดที่เกี่ยวข้อง

ฐานสัญญา: การประมวลผลข้อมูลส่วนบุคคลของลูกค้าเป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ตามสัญญาซื้อขายและบริการ ซึ่งลูกค้าเป็นคู่สัญญา เช่น การจัดเตรียมจัดส่งสินค้า การวางบิล การยืนยันยอดหนี้ค้างชำระ และการจัดส่งใบเสร็จรับเงินให้แก่ลูกค้า เป็นต้น

ฐานประโยชน์โดยชอบด้วยกฎหมาย: ในกรณีที่ลูกค้าเป็นนิติบุคคล การประมวลผลข้อมูลส่วนบุคคลของผู้ที่เกี่ยวข้องกับลูกค้าเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายในการดำเนินธุรกิจของบริษัทฯ

(4)

เพื่อการดำเนินการแก้ไขเปลี่ยนแปลงรายละเอียดเกี่ยวกับลูกค้า และการรับเรื่องร้องเรียน

ฐานประโยชน์โดยชอบด้วยกฎหมาย: การประมวลผลข้อมูลส่วนบุคคลของลูกค้าเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทฯ ในการอำนวยความสะดวกแก่ลูกค้าในการแก้ไขเปลี่ยนแปลงรายละเอียดเกี่ยวกับลูกค้า ให้มีความถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด และเพื่อเป็นการพัฒนาคุณภาพการให้บริการของบริษัทฯ สำหรับในกรณีการรับเรื่องร้องเรียนหรือข้อเสนอแนะจากลูกค้า

(ข) วัตถุประสงค์เกี่ยวกับการติดต่อสื่อสารและกิจกรรมทางการตลาด

(1)

เพื่อการติดต่อสื่อสารกับท่าน

ฐานประโยชน์โดยชอบด้วยกฎหมาย: การประมวลผลข้อมูลส่วนบุคคลเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทฯ ในการติดต่อสื่อสารกับท่าน เกี่ยวกับการขายสินค้าและการให้บริการต่าง ๆ ของบริษัทฯ

(2)

เพื่อการประชาสัมพันธ์และกิจกรรมทางการตลาดของบริษัทฯ

ฐานความยินยอม: การที่บริษัทฯ จะดำเนินกิจกรรมทางการตลาดใด ๆ อาทิ การส่งข้อความเกี่ยวกับการสื่อสารทางการตลาดให้แก่ท่าน การขอถ่ายภาพนิ่งหรือภาพเคลื่อนไหวของท่านเพื่อนำไปประมวลภาพและประชาสัมพันธ์กิจกรรมการตลาดตามช่องทางสื่อต่าง ๆ บริษัทฯ จะดำเนินการโดยอาศัยความยินยอมที่ได้รับจากท่าน

(ค) วัตถุประสงค์เกี่ยวกับการวิเคราะห์ข้อมูลและการพัฒนาคุณภาพสินค้าและบริการของบริษัทฯ

(1)

เพื่อการวิเคราะห์ข้อมูลและสำรวจพฤติกรรมของลูกค้า หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน

ฐานความยินยอม: การที่บริษัทฯ เป็นฝ่ายเข้าขอสัมภาษณ์และสังเกตพฤติกรรมของลูกค้า เพื่อขอเก็บรวบรวมข้อมูลส่วนบุคคล หรือการซื้อข้อมูลส่วนบุคคลของลูกค้ามาจากบุคคลภายนอก เพื่อนำมาวิเคราะห์ข้อมูลและสำรวจพฤติกรรมของลูกค้า บริษัทฯ จะดำเนินการโดยอาศัยความยินยอมที่ได้รับจากลูกค้า หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน

(2)

เพื่อการวิเคราะห์การใช้งานเว็บไซต์ แอปพลิเคชัน หรือช่องทางอื่น ๆ ของท่าน

ฐานประโยชน์โดยชอบด้วยกฎหมาย: การประมวลผลข้อมูลส่วนบุคคลของท่านจากการใช้งานเว็บไซต์ แอปพลิเคชัน หรือช่องทางอื่น ๆ เป็นการจำเป็นเพื่อประโยชน์ชอบด้วยกฎหมายของบริษัทฯ ในการดำเนินธุรกิจและการพัฒนาคุณภาพการให้บริการของบริษัทฯ

ฐานความยินยอม: ในกรณีที่บริษัทฯ ประมวลผลข้อมูลส่วนบุคคลของท่านเพื่อนำมาวิเคราะห์พฤติกรรมและทำโฆษณาแบบเจาะจงตามพฤติกรรมของท่าน บริษัทฯ จะดำเนินการโดยอาศัยความยินยอมที่ได้รับจากท่าน

(ง) วัตถุประสงค์เกี่ยวกับการปฏิบัติหน้าที่ตามกฎหมายที่เกี่ยวข้องหรือใช้บังคับกับบริษัทฯ และการก่อตั้งสิทธิเรียกร้องตามกฎหมาย

(1)

เพื่อการปฏิบัติตามกฎหมายที่เกี่ยวข้อง หรือใช้บังคับกับบริษัทฯ

ฐานกฎหมาย: เพื่อการปฏิบัติตามกฎหมายซึ่งบังคับใช้กับบริษัทฯ อาทิ กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล กฎหมายภาษีอากร กฎหมายแรงงาน กฎหมายว่าด้วยการประกันสังคม กฎหมายแพ่งและพาณิชย์ กฎหมายว่าด้วยบริษัทมหาชนจำกัด และกฎหมายว่าด้วยหลักทรัพย์และตลาดหลักทรัพย์ เป็นต้น

(2)

เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย และดำเนินการอื่น ๆ ที่เกี่ยวข้อง

ฐานประโยชน์โดยชอบด้วยกฎหมาย: การประมวลผลข้อมูลส่วนบุคคลเป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้ซึ่งสิทธิเรียกร้องของบริษัทฯ ในขั้นตอนต่าง ๆ ตามกฎหมาย เช่น การสอบสวนและการไต่สวนโดยเจ้าหน้าที่รัฐ การเตรียมคดี การดำเนินคดี และการต่อสู้คดีในชั้นศาล เป็นต้น

(จ) วัตถุประสงค์เกี่ยวกับการรักษาความมั่นคงปลอดภัย

(1)

เพื่อการตรวจสอบดูแลความสงบเรียบร้อยและรักษาความปลอดภัยของบุคคล และ ทรัพย์สินของบริษัทฯ และของบุคคลทั่วไป

ฐานประโยชน์โดยชอบด้วยกฎหมาย: การประมวลผลข้อมูลส่วนบุคคลเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย ในการตรวจสอบดูแลความสงบเรียบร้อยและรักษาความปลอดภัยในทรัพย์สินของบริษัทฯ และของบุคคลทั่วไป เช่น การใช้ภาพบันทึกจากกล้องวงจรปิด (CCTV) เพื่อป้องกันการสูญหาย หรือเสียหายในทรัพย์สินของบริษัทฯ และของบุคคลทั่วไป เป็นต้น

ฐานการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล: การประมวลผลข้อมูลส่วนบุคคลเป็นการจำเป็นเพื่อประโยชน์ในการตรวจสอบดูแล ป้องกัน หรือระงับเหตุการณ์ใด ๆ ที่อาจเป็นอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

(ฉ) ดำเนินการใด ๆ ที่จำเป็นและเป็นประโยชน์ต่อท่าน และวัตถุประสงค์อื่น ๆ

(1)

เพื่อการดำเนินการใด ๆ ที่จำเป็นและเป็นประโยชน์ต่อท่าน หรือเกี่ยวข้องโดยตรงกับวัตถุประสงค์ที่กำหนดใด ๆ ข้างต้น

ฐานประโยชน์โดยชอบด้วยกฎหมาย: การประมวลผลข้อมูลส่วนบุคคลเป็นการจำเป็นเพื่อประโยชน์ชอบด้วยกฎหมายของบริษัทฯ ในการดำเนินการใด ๆ ที่จำเป็นของบริษัทฯ และ/หรือเป็นประโยชน์ต่อท่าน หรือเกี่ยวข้องโดยตรงกับวัตถุประสงค์ที่กำหนดข้างต้น หากเป็นกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนดให้การประมวลผลข้อมูลส่วนบุคคลใดต้องได้รับความยินยอมจากท่าน บริษัทฯ จะขอความยินยอมโดยชัดแจ้งจากท่าน

(2)

เพื่อวัตถุประสงค์อื่น ๆ ที่บริษัทฯ จะแจ้งให้ท่านทราบ

บริษัทฯ จะแจ้งให้ท่านทราบถึงวัตถุประสงค์อื่นใดอันเป็นเหตุให้บริษัทฯ ต้องประมวลผลข้อมูลส่วนบุคคลของท่านนอกเหนือไปจากวัตถุประสงค์ที่กำหนดข้างต้น หรือเมื่อบริษัทฯ มีการเปลี่ยนแปลงวัตถุประสงค์เดิมที่กำหนดไว้ หากเป็นกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนดให้การประมวลผลข้อมูลส่วนบุคคลใดต้องได้รับความยินยอมจากท่าน บริษัทฯ จะขอความยินยอมโดยชัดแจ้งจากท่าน

 

5.2 เนื่องจากข้อมูลส่วนบุคคลของท่านที่บริษัทฯ จะดำเนินการประมวลผลเพื่อวัตถุประสงค์ที่กำหนดตามข้อ 5.1 ข้างต้นในส่วนที่มีความเกี่ยวเนื่องกับการปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นเพื่อเข้าทำสัญญากับท่าน เป็นข้อมูลที่จำเป็นต่อการบรรลุวัตถุประสงค์ดังกล่าว หากท่านไม่ประสงค์ที่จะให้ข้อมูลส่วนบุคคลดังกล่าวแก่บริษัทฯ อาจมีผลกระทบทางกฎหมาย หรืออาจทำให้บริษัทฯ ไม่สามารถปฏิบัติหน้าที่ภายใต้สัญญาที่ได้เข้าทำกับท่าน หรือไม่สามารถเข้าทำสัญญากับท่านได้ (แล้วแต่กรณี) ในกรณีดังกล่าว บริษัทฯ อาจมีความจำเป็นต้องปฏิเสธการเข้าทำสัญญากับท่าน หรือยกเลิกการซื้อขายหรือการให้บริการที่เกี่ยวข้องกับท่าน หรือปฏิเสธการให้สวัสดิการหรือสิทธิประโยชน์ที่เกี่ยวข้องกับท่าน ไม่ว่าทั้งหมดหรือบางส่วน

5.3 ในกรณีที่บริษัทฯ จะดำเนินการประมวลผลข้อมูลส่วนบุคคลของท่านในลักษณะ และ/หรือเพื่อวัตถุประสงค์ที่ไม่สอดคล้องกับวัตถุประสงค์ที่ระบุไว้ข้างต้น บริษัทฯ จะจัดให้มีนโยบายหรือประกาศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพิ่มเติม และ/หรือมีหนังสือไปยังท่านเพื่ออธิบายการประมวลผลข้อมูลในลักษณะดังกล่าว โดยท่านควรอ่านนโยบายหรือประกาศเพิ่มเติมที่เกี่ยวข้องร่วมกับประกาศฯ ฉบับนี้ และ/หรือหนังสือดังกล่าว (แล้วแต่กรณี)

 

6. การเปิดเผยข้อมูลส่วนบุคคล

6.1 บริษัทฯ อาจเปิดเผยข้อมูลส่วนบุคคลของท่าน ภายใต้วัตถุประสงค์ที่กำหนดและตามหลักเกณฑ์ที่กฎหมายกำหนด ให้แก่บุคคลและหน่วยงานดังต่อไปนี้

(ก)  บริษัทในเครือบริษัท อินโนเว็ก โฮลดิ้ง จำกัดทั้งในประเทศและต่างประเทศ ทั้งนี้ ให้หมายความรวมถึงผู้บริหาร กรรมการ พนักงาน ลูกจ้าง และ/หรือบุคลากรภายในของบริษัทดังกล่าวเท่าที่เกี่ยวข้อง และตามความจำเป็นเพื่อการประมวลผลข้อมูลส่วนบุคคลของท่าน

(ข)  คู่ค้าทางธุรกิจ ผู้ให้บริการ และผู้ประมวลผลข้อมูลส่วนบุคคลที่บริษัทฯ มอบหมายหรือว่าจ้างให้ทำหน้าที่บริหารจัดการ/ประมวลผลข้อมูลส่วนบุคคลให้แก่บริษัทฯ ในการให้บริการต่าง ๆ เช่น การตรวจสุขภาพของบุคลากรโดยคู่ค้าทางธุรกิจ การให้บริการด้านเทคโนโลยีสารสนเทศ บริการบันทึกข้อมูล บริการชำระเงิน บริการรับส่งไปรษณีย์ บริการรับส่งพัสดุ บริการจัดพิมพ์ บริการด้านสุขภาพ บริการประกันภัย บริการการฝึกอบรม บริการวิเคราะห์ข้อมูล บริการทำการวิจัย การทำการตลาด หรือบริการอื่นใดที่อาจเป็นประโยชน์ต่อท่าน หรือเกี่ยวข้องกับการดำเนินธุรกิจของบริษัทฯ อาทิ ธนาคารพาณิชย์ โรงพยาบาล บริษัทประกันชีวิต บริษัทประกันวินาศภัย เป็นต้น

(ค) ที่ปรึกษาของบริษัทฯ อาทิ ที่ปรึกษากฎหมาย ทนายความ ผู้ตรวจสอบบัญชี นักคณิตศาสตร์ประกันภัย นักการตลาดหรือผู้เชี่ยวชาญอื่นใด ทั้งภายในและภายนอกของบริษัทฯ เป็นต้น

(ง)  หน่วยงานของรัฐที่มีหน้าที่กำกับดูแลตามกฎหมาย หรือที่ร้องขอให้เปิดเผยข้อมูลส่วนบุคคลโดยอาศัยอำนาจตามกฎหมาย หรือที่เกี่ยวข้องกับกระบวนการทางกฎหมาย หรือที่ได้รับอนุญาตตามกฎหมายที่เกี่ยวข้อง อาทิ กรมสวัสดิการและคุ้มครองแรงงาน กรมพัฒนาฝีมือแรงงาน กรมส่งเสริมและพัฒนาคุณภาพชีวิตคนพิการ กรมสรรพากร สำนักงานประกันสังคม กรมการปกครอง กรมพัฒนาธุรกิจการค้า กรมทรัพย์สินทางปัญญา สำนักงานคณะกรรมการหลักทรัพย์และตลาดหลักทรัพย์ ตลาดหลักทรัพย์แห่งประเทศไทยและบริษัทย่อยของตลาดหลักทรัพย์แห่งประเทศไทย (เช่น บริษัท ศูนย์รับฝากหลักทรัพย์ (ประเทศไทย) จำกัด) สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สำนักงานคณะกรรมการการแข่งขันทางการค้า สำนักงานตำรวจแห่งชาติ สำนักงานอัยการสูงสุด ศาล และกรมบังคับคดี เป็นต้น

(จ)  ลูกค้า คู่ค้า คู่สัญญาของบริษัทฯ ที่ท่านเป็นผู้ติดต่อสื่อสารหรือเกี่ยวข้องกับหน้าที่หรือตำแหน่งของท่าน หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลังกัน

(ฉ)  บุคคลหรือหน่วยงานอื่นใดที่ท่านให้ความยินยอมให้เปิดเผยข้อมูลส่วนบุคคลของท่านต่อบุคคลหรือหน่วยงานนั้น ๆ อาทิ การเปิดเผยการประมวลภาพกิจกรรมตามช่องทางสื่อต่าง ๆ ของบริษัทฯ ให้แก่ประชาชนทั่วไป

6.2 การเปิดเผยข้อมูลส่วนบุคคลของท่านให้กับบุคคลอื่น จะดำเนินการภายใต้วัตถุประสงค์ที่กำหนด หรือวัตถุประสงค์อื่นที่กฎหมายกำหนดให้กระทำได้เท่านั้น ในกรณีที่กฎหมายกำหนดว่าต้องได้รับความยินยอมจากท่าน บริษัทฯ จะขอความยินยอมจากท่านก่อน

6.3 ในการเปิดเผยข้อมูลส่วนบุคคลของท่านให้กับบุคคลอื่น บริษัทฯ จะจัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองข้อมูลส่วนบุคคลที่ได้เปิดเผยและเพื่อปฏิบัติตามมาตรฐานและหน้าที่การคุ้มครองข้อมูลส่วนบุคคล ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด ทั้งนี้ ในกรณีที่บริษัทฯ ส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปต่างประเทศ บริษัทฯ จะดำเนินการเพื่อทำให้แน่ใจว่าประเทศปลายทาง องค์การระหว่างประเทศ หรือผู้รับข้อมูลในต่างประเทศนั้นมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอหรือเพื่อทำให้แน่ใจว่าการส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปต่างประเทศเป็นไปตามหลักเกณฑ์ที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด โดยในบางกรณี บริษัทฯ อาจขอความยินยอมของท่านสำหรับการส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศดังกล่าว

 

7. ระยะเวลาเก็บรักษาข้อมูลส่วนบุคคล

บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลของท่านตามระยะเวลาที่จำเป็นเพื่อบรรลุวัตถุประสงค์ที่กำหนดในการประมวลผลข้อมูลส่วนบุคคลนั้น ๆ โดยระยะเวลาเก็บรักษาข้อมูลส่วนบุคคลจะเปลี่ยนแปลงไปโดยขึ้นอยู่กับวัตถุประสงค์ที่กำหนดในการประมวลผลข้อมูลส่วนบุคคลนั้น ๆ นอกจากนี้ บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลเป็นระยะเวลาตามที่กฎหมายที่เกี่ยวข้องกำหนด (ถ้ามี) โดยคำนึงถึงอายุความตามกฎหมายสำหรับการดำเนินคดีที่อาจเกิดขึ้นจากหรือเกี่ยวข้องกับเอกสารหรือข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรวบรวมไว้ในแต่ละรายการ และโดยคำนึงถึงแนวปฏิบัติของบริษัทฯ และของภาคธุรกิจที่เกี่ยวข้องสำหรับข้อมูลส่วนบุคคลแต่ละประเภทเป็นสำคัญ

ทั้งนี้ บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลของท่านเป็นระยะเวลาไม่เกิน 10 ปี นับแต่วันที่นิติสัมพันธ์ระหว่างท่านกับบริษัทฯ สิ้นสุดลง อย่างไรก็ดี บริษัทฯ อาจเก็บรักษาข้อมูลส่วนบุคคลของท่านเป็นระยะเวลาเกินกว่าระยะเวลาดังกล่าวหากกฎหมายอนุญาตหรือการเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวจำเป็นต่อการก่อตั้งสิทธิเรียกร้องทางกฎหมายของบริษัทฯ

หลังจากครบกำหนดระยะเวลาดังกล่าวข้างต้น บริษัทฯ จะลบหรือทำลายข้อมูลส่วนบุคคลดังกล่าว จากการจัดเก็บหรือระบบของบริษัทฯ และของบุคคลอื่นซึ่งให้บริการแก่บริษัทฯ (ถ้ามี) หรือทำให้ข้อมูลส่วนบุคคลของท่านเป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ เว้นแต่จะเป็นกรณีที่บริษัทฯ สามารถเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวได้ต่อไปตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้องกำหนด ทั้งนี้ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับระยะเวลาเก็บรักษาข้อมูลส่วนบุคคลของท่าน ท่านสามารถติดต่อมายังบริษัทฯ ตามรายละเอียดการติดต่อที่ระบุไว้ในข้อ 8 ของประกาศฯ ฉบับนี้

 

8. สิทธิต่าง ๆ ของท่านเกี่ยวกับข้อมูลส่วนบุคคล

ในฐานะเจ้าของข้อมูลส่วนบุคคล ท่านมีสิทธิต่าง ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของท่านดังต่อไปนี้ ภายใต้หลักเกณฑ์ วิธีการ และเงื่อนไขตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ หากท่านประสงค์ที่จะขอใช้สิทธิของท่าน ท่านสามารถติดต่อมายังบริษัทฯ ตามรายละเอียดการติดต่อในข้อ 8 ของประกาศฯ ฉบับนี้

8.1 สิทธิในการเข้าถึงข้อมูลส่วนบุคคล

ท่านมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของท่านและขอให้บริษัทฯ ทำสำเนาข้อมูลส่วนบุคคลดังกล่าวให้แก่ท่าน ทั้งนี้ ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

8.2 สิทธิในการโอนย้ายข้อมูลส่วนบุคคล

ท่านมีสิทธิที่จะขอรับข้อมูลส่วนบุคคลเกี่ยวกับท่าน รวมถึงมีสิทธิขอให้ส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น หรือตัวท่านเอง เว้นแต่โดยสภาพไม่สามารถทำได้ ทั้งนี้ ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

8.3 สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล

ท่านมีสิทธิขอคัดค้านการประมวลผลข้อมูลส่วนบุคคลของท่านได้ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

8.4 สิทธิในการลบข้อมูลส่วนบุคคล

ท่านอาจขอให้บริษัทฯ ลบ ทำลายหรือทำให้ข้อมูลส่วนบุคคลของท่านเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

8.5 สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล

ท่านมีสิทธิขอให้บริษัทฯ ระงับการประมวลผลข้อมูลส่วนบุคคลของท่านในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

8.6 สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง

ท่านมีสิทธิขอแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง หากข้อมูลส่วนบุคคลของท่านนั้นไม่ถูกต้อง ไม่เป็นปัจจุบัน ไม่ครบถ้วนสมบูรณ์ หรือก่อให้เกิดความเข้าใจผิด

8.7 สิทธิที่จะเพิกถอนความยินยอม

ในกรณีที่บริษัทฯ อาศัยความยินยอมของท่านในการประมวลผลข้อมูลส่วนบุคคลฯ ของท่าน ท่านมีสิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ท่านได้ให้ความยินยอมกับบริษัทฯ ได้

8.8 สิทธิในการยื่นข้อร้องเรียน

หากท่านมีความกังวลหรือมีข้อสงสัยเกี่ยวกับแนวทางการปฏิบัติของบริษัทฯ เกี่ยวกับข้อมูลส่วนบุคคลของท่าน โปรดติดต่อบริษัทฯ โดยใช้รายละเอียดการติดต่อตามข้อ 10 ของประกาศฯ ฉบับนี้ ทั้งนี้ ในกรณีที่มีเหตุให้เชื่อได้ว่าบริษัทฯ ได้ทำการฝ่าฝืนกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ท่านมีสิทธิยื่นข้อร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญที่ได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามระเบียบและวิธีการตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

ทั้งนี้ บริษัทฯ ขอสงวนสิทธิในการพิจารณาคำร้องขอใช้สิทธิของท่านและดำเนินการตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

 

หากท่านมีความกังวลหรือมีข้อสงสัยเกี่ยวกับแนวทางการปฏิบัติของบริษัทฯ เกี่ยวกับข้อมูลส่วนบุคคลของท่าน โปรดติดต่อบริษัทฯ โดยใช้รายละเอียดการติดต่อตามข้อ 13 ของประกาศฯ ฉบับนี้ ทั้งนี้ ในกรณีที่มีเหตุให้เชื่อได้ว่าบริษัทฯ ได้ทำการฝ่าฝืนกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ท่านมีสิทธิยื่นข้อร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญที่ได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามระเบียบและวิธีการตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

ทั้งนี้ บริษัทฯ ขอสงวนสิทธิในการพิจารณาคำร้องขอใช้สิทธิของท่านและดำเนินการตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

 

9. การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง

บริษัทฯ อาจมีการมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม (ผู้ประมวลผลข้อมูลส่วนบุคคล) ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของ บริษัทฯ ซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่าง ๆ เช่น การเป็นผู้ดูแล (Hosting) รับงานบริการช่วง (Outsourcing) หรือเป็นผู้ให้บริการคลาวด์ (Cloud computing service/provider) หรือเป็นงานในลักษณะการจ้างทำของในรูปแบบอื่น

การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น บริษัทฯ จะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของ บริษัทฯ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่ บริษัทฯ มอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่ บริษัทฯ มอบหมายให้ประมวลผล รวมถึงวัตถุประสงค์ ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น ๆ ที่เกี่ยวข้อง ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของ บริษัทฯ เท่านั้นโดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้

ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง (ผู้ประมวลผลช่วง) เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนี้ บริษัทฯ จะกำกับให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วง ในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่าง บริษัทฯ กับผู้ประมวลผลข้อมูลส่วนบุคคล

 

10. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

บริษัทฯ มีมาตรการปกป้องข้อมูลส่วนบุคคล โดยการจำกัดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลให้สามารถเข้าถึงได้โดยเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายที่มีความจำเป็นต้องใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น ซึ่งบุคคลดังกล่าวจะต้องยึดมั่นและปฏิบัติตามมาตรการปกป้องข้อมูลส่วนบุคคลของ บริษัทฯ อย่างเคร่งครัด ตลอดจนมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองรับรู้จากการปฏิบัติการตามอำนาจหน้าที่ โดยบริษัทฯ มีมาตรการรักษาความปลอดภัยข้อมูลทั้งในเชิงองค์กรหรือเชิงเทคนิกที่ได้มาตรฐานสากล และเป็นไปตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

            นอกจากนี้ เมื่อ บริษัทฯ มีการส่ง โอนหรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม ไม่ว่าเพื่อการให้บริการตามพันธกิจ ตามสัญญา หรือข้อตกลงในรูปแบบอื่น บริษัทฯ จะกำหนดมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลและการรักษาความลับที่เหมาะสมและเป็นไปตามที่กฎหมายกำหนด เพื่อยืนยันว่าข้อมูลส่วนบุคคลที่ บริษัทฯ เก็บรวบรวมจะมีความมั่นคงปลอดภัยอยู่เสมอ

 

11. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

ในบางกรณีบริษัทฯ อาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศเพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการแก่ท่าน เช่น เพื่อส่งข้อมูลให้กับบริษัทฯ ในเครือ เพื่อส่งข้อมูลส่วนบุคคลไปยังระบบคลาวด์ (Cloud) ที่มีแพลตฟอร์มหรือเครื่องแม่ข่าย (Server) อยู่ต่างประเทศ (เช่น ประเทศฮองกง ประเทศสิงคโปร์ หรือสหรัฐอเมริกา เป็นต้น) เพื่อสนับสนุนระบบเทคโนโลยีสารสนเทศที่ตั้งอยู่นอกประเทศไทย ทั้งนี้ ขึ้นอยู่กับบริการของ บริษัทฯ ที่ท่านใช้งานหรือมีส่วนเกี่ยวข้องเป็นรายกิจกรรม

อย่างไรก็ตาม ในขณะที่จัดทำนโยบายฉบับนี้ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังมิได้มีประกาศกำหนดรายการประเทศปลายทางที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ดังนี้ เมื่อ บริษัทฯ มีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังประเทศปลายทาง บริษัทฯ จะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลที่ส่งหรือโอนไปมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอตามมาตรฐานสากล หรือดำเนินการตามเงื่อนไขเพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมาย ได้แก่

1) เป็นการปฏิบัติตามกฎหมายที่กำหนดให้ บริษัทฯ ต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

2) ได้แจ้งให้ท่านทราบและได้รับความยินยอมจากท่านในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ทั้งนี้ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศกำหนด

3) เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาที่ท่านเป็นคู่สัญญากับ บริษัทฯ หรือเป็นการทำตามคำขอของท่านก่อนการเข้าทำสัญญานั้น

4) เป็นการกระทำตามสัญญาของ บริษัทฯ กับบุคคลหรือนิติบุคคลอื่น เพื่อประโยชน์ของท่าน

5) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่านหรือของบุคคลอื่น เมื่อท่านไม่สามารถให้ความยินยอมในขณะนั้นได้

6) เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ

 

12. กฎหมายที่ใช้บังคับ

กฎหมายที่ใช้บังคับนี้ให้ใช้บังคับและตีความตามกฎหมายไทย และให้ศาลไทยเป็นศาลที่มีเขตอำนาจในการพิจารณาข้อพิพาทที่เกิดขึ้น

 

13. วิธีการติดต่อบริษัทฯ

ในกรณีที่ท่านมีข้อสงสัยใด ๆ หรือต้องการใช้สิทธิของท่านตามที่กำหนดไว้ในประกาศฯ นี้ ท่านสามารถติดต่อบริษัทฯ ผ่านช่องทาง ดังนี้

บริษัท: บริษัท อินโนเว็ก โฮลดิ้ง จํากัด

สถานที่ติดต่อ : 386 ซอยลาดพร้าว 94 ถนนลาดพร้าว แขวงพลับพลา เขตวังทองหลาง กรุงเทพมหานคร

อีเมล : dpo@innovex.co.th

โทรศัพท์ : (+66)2-530-4995

 

14. การเปลี่ยนแปลงประกาศฯ ฉบับนี้

บริษัทฯ อาจทำการเปลี่ยนแปลงประกาศฯ ฉบับนี้เป็นครั้งคราว เพื่อให้สอดคล้องกับการเปลี่ยนแปลงใด ๆ ที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของท่าน และตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้องกำหนด โดยบริษัทฯ จะแจ้งให้ท่านทราบถึงการแก้ไขเปลี่ยนแปลงประกาศฯ ที่สำคัญใด ๆ พร้อมกับประกาศฯ ฉบับปรับปรุง ผ่านช่องทางที่เหมาะสม ทั้งนี้ บริษัทฯ ขอแนะนำให้ท่านตรวจสอบการเปลี่ยนแปลงประกาศฯ ฉบับนี้เป็นระยะ ๆ

 

ประกาศแจ้งการดำเนินการกับข้อมูลส่วนบุคคลที่ได้มีการจัดเก็บไว้ก่อนที่

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับ

 

เรียน บุคคลที่มีความเกี่ยวข้องกับบริษัท อินโนเว็ก โฮลดิ้ง จำกัดและบริษัทในเครือ

บริษัท อินโนเว็ก โฮลดิ้ง จำกัดและบริษัทในเครือ (ต่อไปนี้เรียกรวมว่า “บริษัทฯ”)  ให้ความสำคัญกับความเป็นส่วนตัว ข้อมูลส่วนบุคคลของท่าน รวมถึงมุ่งมั่นที่จะคุ้มครองข้อมูลส่วนบุคคลรวมถึงข้อมูลส่วนบุคคลของบุคคลที่เกี่ยวกับธุรกิจของท่าน (รวมเรียกว่า “ข้อมูลส่วนบุคคล”) และเพื่อให้เป็นไปตามบทบัญญัติในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562  (“พ.ร.บ.ฯ”) ซึ่งมีผลบังคับใช้ในวันที่ 1 มิถุนายน พ.ศ. 2565 นี้ บริษัทฯ จึงประกาศแจ้งสิทธิเกี่ยวกับการดำเนินการกับข้อมูลส่วนบุคคลที่ท่านได้ให้ไว้กับทางบริษัทฯ ก่อนวันที่ พ.ร.บ.ฯ จะมีผลบังคับใช้ 

        โดยข้อมูลของท่านที่บริษัทได้เก็บ รวมรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของท่านไม่ว่าด้วยวิธีการใดๆ ก็ตาม อันเนื่องมาจากความสัมพันธ์ระหว่างท่านกับบริษัทฯ ในฐานะพนักงาน ลูกจ้าง ลูกค้า คู่ค้า พันธมิตรทางธุรกิจ ผู้ถือหุ้นหรือคณะกรรมการของบริษัทฯ หรือฐานะอื่นๆ ก่อนวันที่ พ.ร.บ.ฯ จะมีผลใช้บังคับ บริษัทฯ ขอแจ้งให้ท่านทราบว่า บริษัทฯ จะเก็บรวบรวม และใช้ข้อมูลส่วนบุคคลดังกล่าวของท่านต่อไปตามวัตถุประสงค์เดิมที่ทางบริษัทฯ ได้ทำการจัดเก็บและใช้อยู่ก่อนแล้วเท่านั้น โดยบริษัทฯ จะไม่เปิดเผยข้อมูลส่วนบุคคลดังกล่าวแก่บุคคลอื่น เว้นแต่จะได้รับความยินยอมจากท่านเป็นลายลักษณ์อักษร หรือกฎหมายอนุญาตให้กระทำเช่นนั้น

หากบริษัทฯ จะเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวของท่านนอกเหนือไปจากวัตถุประสงค์เดิมที่ได้มีการจัดเก็บก่อนวันที่ พ.ร.บ.ฯ มีผลใช้บังคับ บริษัทฯ จะแจ้งให้ท่านทราบและจะดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่านตามหลักการและวิธีการที่ พ.ร.บ.ฯ กำหนด โดยท่านสามารถศึกษารายละเอียดเพิ่มเติมเกี่ยวกับการเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่านได้ตามประกาศความเป็นส่วนตัว

ทั้งนี้ หากท่านไม่ประสงค์ที่จะให้บริษัทฯ เก็บรวบรวม และใช้ข้อมูลส่วนบุคคลดังกล่าวต่อไป ท่านมีสิทธิที่จะเพิกถอนความยินยอมที่ท่านให้ไว้กับบริษัทฯ ก่อนที่ พ.ร.บ.ฯ จะมีผลบังคับใช้ โดยติดต่อบริษัทฯ ผ่านทางช่องทางดังต่อไปนี้ 

 

บริษัท: บริษัท อินโนเว็ก โฮลดิ้ง จํากัด

สถานที่ติดต่อ : 386 ซอยลาดพร้าว 94 ถนนลาดพร้าว แขวงพลับพลา เขตวังทองหลาง กรุงเทพมหานคร

อีเมล : dpo@innovex.co.th

โทรศัพท์ : (+66)2-530-4995

 

 

 

ประกาศแจ้งการดำเนินการกับข้อมูลส่วนบุคคลที่ได้มีการจัดเก็บไว้ก่อนที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับ ฉบับนี้ประกาศเมื่อวันที่ 25 พฤษภาคม 2565  (เวอร์ชั่น 1.0)

                                                                                                             

 

 

ประกาศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice)

สำหรับกระบวนการที่เกี่ยวข้องกับคู่ค้าและบุคคลทั่วไป

บริษัท อินโนเว็ก โฮลดิ้ง จำกัด

1. บททั่วไป

เพื่อเป็นการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง และให้หมายความรวมถึงกฎหมายฉบับแก้ไขเพิ่มเติมใด ๆ ในอนาคต (กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล”) บริษัท อินโนเว็ก โฮลดิ้ง จำกัด (“บริษัทฯ”) จึงจัดทำประกาศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) ของบริษัทฯ (ประกาศฯ”) ฉบับนี้ขึ้น เพื่ออธิบายให้ท่านทราบถึงวิธีการที่บริษัทฯ ปฏิบัติต่อข้อมูลที่สามารถระบุตัวตนของท่าน หรืออาจจะระบุตัวตนของท่านได้ ไม่ว่าทางตรงหรือทางอ้อม ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (ข้อมูลส่วนบุคคล”) เช่น วิธีการเก็บรวบรวม ใช้ เปิดเผย หรือ การดำเนินการใด ๆ กับข้อมูลส่วนบุคคลไม่ว่าด้วยวิธีการอัตโนมัติหรือไม่ก็ตาม อาทิ การบันทึก การจัดระบบ การจัดเก็บ การปรับเปลี่ยนหรือการดัดแปลง การเรียกคืน การส่ง โอน การเผยแพร่หรือการทำให้สามารถเข้าถึงหรือพร้อมใช้งานโดยวิธีใด ๆ การจัดเรียง การนำมารวมกัน การจำกัดหรือการห้ามเข้าถึง การโอน การลบหรือการทำลาย (ประมวลผลและเพื่อแจ้งให้ท่านทราบถึงวัตถุประสงค์ในการประมวลผล ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล ตลอดจนสิทธิของท่านในฐานะเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ บริษัทฯ ขอแนะนำให้ท่านอ่านและทำความเข้าใจถึงข้อกำหนดต่าง ๆ ภายใต้ประกาศฯ โดยมีรายละเอียดดังต่อไปนี้

 

2. ประเภทของบุคคลที่บริษัทฯ ทำการเก็บรวบรวมข้อมูลส่วนบุคคล และแหล่งที่มาของข้อมูลส่วนบุคคล

ภายใต้ประกาศฯ ฉบับนี้ ประเภทของบุคคลที่บริษัทฯ ทำการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลและแหล่งที่มาของข้อมูลส่วนบุคคดังกล่าว ประกอบด้วย

2.1 ข้อมูลส่วนบุคคลเกี่ยวกับคู่ค้า

ข้อมูลส่วนบุคคลเกี่ยวกับคู่ค้า ซึ่งหมายถึง บุคคลที่เข้าเสนอราคาเพื่อขายสินค้า และ/หรือให้บริการแก่บริษัทฯ หรือมีความสัมพันธ์อื่นใดที่มีลักษณะคล้ายคลึงกันกับบริษัทฯ อาทิพ่อค้าคนกลาง ผู้ให้บริการ ที่ปรึกษา ผู้เชี่ยวชาญ นักวิชาการ วิทยากร ผู้ทำธุรกิจแฟรนไชส์ ผู้เข้าร่วมโครงการธุรกิจ คู่สัญญา หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน เป็นต้น และให้หมายความรวมถึงบุคคลธรรมดาที่เกี่ยวข้องหรือเป็นตัวแทนของคู่ค้าซึ่งเป็นนิติบุคคล และผู้ที่ข้อมูลส่วนบุคคลปรากฏในเอกสารต่าง ๆ ที่เกี่ยวข้องกับกระบวนการที่เกี่ยวข้องโปรดดูรายละเอียดเพิ่มเติมใน ประกาศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) สำหรับกระบวนการที่เกี่ยวข้องกับคู่ค้าของบริษัท

            2.2 ข้อมูลส่วนบุคคลเกี่ยวกับบุคคลทั่วไป

ข้อมูลส่วนบุคคลเกี่ยวกับบุคคลทั่วไป ซึ่งหมายถึง บุคคลอื่นใดนอกเหนือจากบุคคลในประเภทข้างต้น ที่บริษัทฯ ได้ประมวลผลข้อมูลส่วนบุคคล ทั้งในกรณีที่บริษัทฯ ได้รับข้อมูลส่วนบุคคลโดยตรง หรือเก็บรวบรวมโดยอัตโนมัติจากการใช้คุกกี้ (Cookies) หรือเทคโนโลยีอื่น ๆ หรือได้รับมาจากบุคคลภายนอก เช่น ผู้ที่ถูกบันทึกภาพโดยกล้องวงจรปิด (CCTV) และผู้ที่เข้าเว็บไซต์ของบริษัทฯ เป็นต้น

3. แหล่งที่ได้มาในการเก็บรวบรวมและรับข้อมูลส่วนบุคคลของท่าน

3.1 เมื่อท่านกรอกแบบฟอร์มต่าง ๆ ผ่านเว็บไซต์ของบริษัทฯ หรือช่องทางอื่น

·  เมื่อท่านให้ข้อมูลในการเสนอสินค้าหรือบริการแก่บริษัท

·  เมื่อท่านเข้าทำสัญญากับบริษัทฯ และส่งมอบเอกสารต่าง ๆ ซึ่งมีข้อมูลส่วนบุคคลของท่านปรากฏอยู่มาให้กับบริษัทฯ

·  เมื่อท่านสอบถามข้อมูล ให้ความเห็น หรือคำติชม หรือส่งข้อร้องเรียนต่อบริษัทฯ ทางโทรศัพท์ อีเมล หรือโดยวิธีการอื่นใด

3.2 เมื่อท่านถูกบันทึกภาพนิ่งหรือภาพเคลื่อนไหวโดยกล้องวงจรปิด (CCTV) ซึ่งอยู่ในความควบคุมดูแลของบริษัทฯ เมื่อท่านได้เข้าสู่เว็บไซต์ของบริษัทฯ ไม่ว่าโดยเจตนาหรือไม่ก็ตาม

3.3 ในบางกรณีบริษัทฯ อาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านจากแหล่งข้อมูลสาธารณะ แหล่งข้อมูลเกี่ยวกับธุรกิจของท่าน หรือ แหล่งข้อมูลทางการค้า ไม่ว่าท่านจะเป็นผู้เปิดเผยข้อมูลส่วนบุคคลด้วยตนเองหรือได้ให้ความยินยอมแก่ผู้ใดในการเปิดเผยข้อมูลส่วนบุคคลของท่านดังกล่าว

3.4 ในบางกรณีบริษัทฯ อาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านโดยอัตโนมัติผ่านช่องทางต่าง ๆ เช่น การใช้คุกกี้ (Cookies) หรือเทคโนโลยีอื่น ๆ ที่คล้ายคลึงกัน รายละเอียดเพิ่มเติมโปรดดู นโยบายการใช้คุกกี้

3.5 ในการเก็บรวบรวมข้อมูลส่วนบุคคลของท่าน ท่านจะได้รับการแจ้งถึงรายละเอียดต่าง ๆ ตามที่ระบุในประกาศฯ ฉบับนี้ ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะ วัตถุประสงค์และฐานทางกฎหมายในการเก็บรวบรวม ใช้ เปิดเผย และ/หรือ ประมวลผลข้อมูลส่วนบุคคล หรือหากเป็นกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนดให้การประมวลผลข้อมูลส่วนบุคคลใดต้องได้รับความยินยอมจากท่าน บริษัทฯ จะขอความยินยอมโดยชัดแจ้งจากท่าน

3.6 ในกรณีที่บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลของท่านไว้ก่อนวันที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลมีผลใช้บังคับบริษัทฯ จะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของท่านต่อไปตามวัตถุประสงค์เดิมที่บริษัทฯ ได้แจ้งไว้แก่ท่านในการเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งท่านมีสิทธิยกเลิกความยินยอม โดยติดต่อมายังบริษัทฯ ตามรายละเอียดการติดต่อที่ระบุไว้ในข้อ 10 ของประกาศฯ ฉบับนี้ ทั้งนี้ บริษัทฯ ขอสงวนสิทธิในการพิจารณาคำขอยกเลิกความยินยอมของท่านและดำเนินการตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

 

4. ข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวม

ข้อมูลส่วนบุคคลของท่านที่ถูกเก็บรวบรวมและประมวลผลภายใต้ประกาศฯ ฉบับนี้ ไม่ว่าจะเป็นข้อมูลส่วนบุคคลที่ท่านให้ไว้กับบริษัทฯ โดยตรง หรือข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรวบรวมจากท่านโดยอัตโนมัติ หรือข้อมูลส่วนบุคคลที่บริษัทฯ ได้รับมาจากบุคคลภายนอก ได้แก่

4.1 ข้อมูลส่วนตัว เช่น ชื่อ นามสกุล วัน/เดือน/ปีเกิด อายุ เพศ หมายเลขบัตรประจำตัวประชาชน ลายมือชื่อ เป็นต้น

4.2 ข้อมูลการติดต่อ เช่น ที่อยู่ตามบัตรประจำตัวประชาชน ที่อยู่ตามทะเบียนบ้าน สถานที่จัดส่งสินค้า สถานที่จัดส่งใบแจ้งหนี้ หมายเลขโทรศัพท์ โทรสาร อีเมล ไอดีผู้ใช้สำหรับไลน์แอปพลิเคชัน (Line ID) ข้อมูลผู้ที่สามารถติดต่อได้ในกรณีฉุกเฉิน และข้อมูลบุคคลอ้างอิง เป็นต้น

4.3 ข้อมูลเกี่ยวกับธุรกิจ เช่น รายละเอียดเกี่ยวกับบริษัท โรงงาน สาขาของลูกค้า เช่น ชื่อ เลขทะเบียน สถานที่ตั้ง และข้อมูลการติดต่อ เป็นต้น) เลขทะเบียนรถยนต์ ประเภทของรถยนต์ ข้อมูลส่วนบุคคลที่ปรากฏในสำเนาทะเบียนพาณิชย์ สำเนาเอกสารสิทธิ แผนที่ ที่ตั้ง และเงื่อนไขการค้า เป็นต้น

4.4 ข้อมูลเกี่ยวกับธุรกรรมการซื้อขาย เช่น รหัสคู่ค้า รายละเอียดการสั่งซื้อ (อาทิ สินค้าที่ต้องการ จำนวน และคุณภาพ) รายละเอียดของสินค้าที่ต้องการ รายละเอียดการร้องเรียนเกี่ยวกับสินค้า (อาทิ วันที่สั่งซื้อสินค้า ประเภทสินค้า สาขาที่เกี่ยวข้อง และปัญหาที่พบ) เลขที่ใบรับสินค้าชั่วคราว รายละเอียดการส่งสินค้า เป็นต้น

4.5 ข้อมูลเกี่ยวกับการชำระเงิน เช่น จำนวนเงิน วงเงินสินเชื่อ เงื่อนไขการชำระเงิน เลขที่บัญชี ข้อมูลส่วนบุคคลที่ปรากฏในใบแจ้งหนี้ ใบกำกับภาษี เช็คและต้นขั้วเช็ค ใบสำคัญการจ่าย ใบเสร็จรับเงิน ใบสำคัญรับเงิน และใบหักบัญชีเงินฝาก เป็นต้น

4.6 ข้อมูลที่ใช้ประกอบเป็นหลักฐานในการทำธุรกรรมหรือนิติกรรมต่าง ๆ ข้อมูลส่วนบุคคลที่ปรากฏในสำเนาบัตรประชาชน สำเนาหนังสือเดินทาง สำเนาทะเบียนบ้าน สำเนาใบเปลี่ยนชื่อนามสกุล สำเนาใบอนุญาตประกอบกิจการโรงงาน แบบฟอร์มลงทะเบียน สำเนาเอกสารสิทธิที่ดิน ใบขอเปิดหน้าบัญชีลูกค้า เอกสารรับรองบุคคลที่ไม่เกี่ยวโยงกัน หนังสือมอบอำนาจ สำเนาหนังสือรับรองบริษัท สำเนาภพ.09/20 แผนที่ เอกสารหลักประกัน (เช่น โฉนดที่ดิน หนังสือค้ำประกันโดยธนาคาร (Bank Guarantee) หนังสือค้ำประกันโดยบุคคล) สัญญาซื้อขายหรือสัญญาอื่นใดที่เกี่ยวข้องกับธุรกรรม ใบส่งสินค้า สำเนาใบอนุญาตให้เป็นทนายความ และสำเนาใบอนุญาตประกอบวิชาชีพหรือธุรกิจต่าง ๆ สำเนาใบสำคัญการเกณฑ์ทหาร สำเนาสมุดบัญชีธนาคาร สัญญาจ้างงาน หนังสือค้ำประกันการทำงานและเอกสารที่เกี่ยวข้อง (เช่น หนังสือรับรองตำแหน่ง สำเนาบัตรข้าราชการ หนังสือรับรองเงินเดือน สำเนาทะเบียนการค้า หรือเอกสารจัดตั้งบริษัทที่มีชื่อผู้ค้ำประกันการทำงานเป็นเจ้าของหรือเป็นหุ้นส่วน เป็นต้น) ข้อตกลงการว่าจ้างกรรมการ (Directorship Agreement) และหนังสือมอบอำนาจ เป็นต้น

4.7 ข้อมูลด้านเทคนิค เช่น ข้อมูลจราจรทางคอมพิวเตอร์ (Log) หมายเลขประจำเครื่องคอมพิวเตอร์ (IP Address) และข้อมูลที่บริษัทฯ ได้เก็บรวบรวมผ่านคุกกี้ (Cookies) หรือเทคโนโลยีอื่นที่คล้ายคลึงกัน เป็นต้น

4.8 ข้อมูลอื่น ๆ เช่น พฤติกรรมหรือแนวโน้มในการซื้อสินค้าและ/หรือบริการ บันทึกเสียงการสนทนา บันทึกไลน์ บันทึก Messenger แอปพลิเคชัน บันทึกผ่านโซเชียลมีเดียต่างๆ และบันทึกภาพนิ่งและภาพเคลื่อนไหวผ่านกล้องวงจรปิด (CCTV) เป็นต้น

 

 

 

 

 

 

 

 

 

 

 

 

5. วัตถุประสงค์และฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล

5.1 บริษัทฯ ประมวลผลข้อมูลส่วนบุคคลของท่าน เพื่อวัตถุประสงค์ต่าง ๆ ภายใต้ฐานทางกฎหมาย ดังต่อไปนี้ (รวมกันเรียกว่า "วัตถุประสงค์ที่กำหนด”)

 

ลำดับ

วัตถุประสงค์ที่กำหนด

ฐานทางกฎหมายในการประมวลผล

(ก) วัตถุประสงค์เกี่ยวกับการจัดซื้อจัดจ้างกับคู่ค้า การใช้บริการของผู้ให้บริการ และการดำเนินการอื่น ๆ ที่เกี่ยวข้อง

(1)

เพื่อการจัดซื้อจัดจ้าง และการคัดเลือกคู่ค้า หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน

ฐานสัญญา: การประมวลผลข้อมูลส่วนบุคคลเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอเข้าเสนอราคาของคู่ค้าที่เสนอราคา หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน ก่อนเข้าทำสัญญาซื้อขาย สัญญาให้บริการ หรือสัญญาอื่นใดที่เกี่ยวข้องกับการจัดซื้อจัดจ้างของบริษัทฯ

ฐานประโยชน์โดยชอบด้วยกฎหมาย: การประมวลผลข้อมูลส่วนบุคคลเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายในการดำเนินธุรกิจและดำเนินการตามนโยบายการจัดซื้อจัดจ้างของบริษัทฯ

(2)

เพื่อการลงทะเบียนคู่ค้ารายใหม่ หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน

ฐานสัญญา: การประมวลผลข้อมูลส่วนบุคคลเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอของผู้ที่คาดว่าจะเป็นคู่ค้า หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน เพื่อดำเนินการลงทะเบียนเป็นคู่ค้ารายใหม่ ตลอดจนการดำเนินการอื่นใดที่เกี่ยวข้อง

ฐานประโยชน์โดยชอบด้วยกฎหมาย: ในกรณีที่คู่ค้าเป็นนิติบุคคล การประมวลผลข้อมูลส่วนบุคคลของผู้ที่เกี่ยวข้องก