นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
บริษัท ไทยโคโนอิเกะ คอร์ปอเรชั่น จำกัด (“บริษัท”) ได้ให้ความสำคัญต่อการรักษาข้อมูลส่วนบุคคล ทั้งของพนักงาน และผู้ที่เกี่ยวข้องทั้งหมดตามที่ได้รับความคุ้มครองทางกฎหมาย โดยที่บริษัทได้ยึดถือเป็นแนวปฏิบัติมาโดยตลอด การนำข้อมูลส่วนบุคคลไปแสวงหาผลประโยชน์โดยมิชอบ หรือเปิดเผยข้อมูลที่อาจทำให้เกิดความเสียหาย หรือทำให้สามารถระบุถึงตัวบุคคลได้โดยปราศจากความยินยอม เป็นการกระทำที่ละเมิดต่อบุคคล เป็นการกระทำที่มีความผิดทั้งด้านวินัยและกฎหมาย
บริษัทได้ให้ความสำคัญถึงสิทธิในความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า คู่ค้า และพันธมิตรทางธุรกิจ บุคลากร ผู้บริหาร และกรรมการของบริษัท ดังนั้นบริษัทจึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล เพื่อสร้างกลใกในการให้ความคุ้มครองข้อมูลส่วนบุคคล ของลูกค้า คู่ค้า และพันธมิตรทางธุรกิจ บุคลากร ผู้บริหาร และกรรมการของบริษัท
1. คำนิยาม
"ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลที่สามารถระบุตัวตนของบุคคล หรืออาจจะระบุตัวตนของบุคคลได้ใม่ว่าทางตรงหรือทางอ้อม
"ข้อมูลอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน และมีความสุ่มเลี่ยงต่อการถูกใช้ ในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน
"เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลผู้ชึ่งข้อมูลส่วนบุคคลทำให้สามารถระบุตัวตนได้ไม่ว่าโดยทางตรงหรือทางอ้อม
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลชึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคล ผู้ที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล แต่งตั้งขึ้น เพื่อให้คำแนะนำและตรวจลอบการดำเนินงานเพื่อให้การเก็บรวบรวม ใช้และเปิดเผย ประมวลผลข้อมูลส่วนบุคคลเป็นไปตามข้อกำหนดของทางการ รวมทั้งเป็นผู้ประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ที่ทางการจะจัดตั้งขึ้น)
2. วัตถุประสงค์
2.1 เพื่อกำหนดแนวทางในการปฏิบัติงานของบริษัทให้เป็นไปตามพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562
2.2 เพื่อให้ลูกค้า คู่ค้า และพันธมิตรทางธุรกิจ บุคลากร ผู้บริหาร และกรรมการของบริษัท เกิดความเชื่อมั่นว่าข้อมูลส่วนบุคคลของตนที่ได้ให้กับบริษัทนั้นใด้รับการดูแลและป้องกันมิให้มีการนำไปใช้ผิดวัตถุประสงค์
2.3 เพื่อกำหนดแนวทางในการจัดเก็บ ดูแล รักษาและป้องกันการใช้ข้อมูลส่วนบุคคลอย่างชัดเจน และมีประลิทธิภาพ ซึ่งรวมถึงหน่วยงานและผู้รับผิดชอบ เพื่อมิให้บุคคลที่ใม่ เกี่ยวข้องสามารถเข้าถึงข้อมูล ส่วนบุคคลนั้นได้
3. หน้าที่และความรับผิดชอบ
บริษัท ไทยโคโนอิเกะ คอร์ปอเรชั่น จำกัด ผู้ควบคุมข้อมูลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล กำหนดให้มีผู้รับผิดชอบสำหรับฝ่ายต่างๆ ดังนี้
3.1 คณะกรรมการควบคุมข้อมูลส่วนบุคคล (Personal Data Control Committee: PDCC)
3.1.1 มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
3.1.2 กำหนดให้มีมาตรการและวิธีปฏิบัติที่เกี่ยวกับข้อมูลส่วนบุคคลภายในบริษัทให้ สอดคล้องกับกฎหมาย นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ รวมถึงมาตรฐานสากลที่เกี่ยวข้อง
3.1.3 กำหนดแนวทางหรือคู่มือปฏิบัติงานที่เกี่ยวข้องปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ กำกับดูแลดำเนินงานต่าง ๆ ให้เป็นไปตามนโยบายและแนวทางปฏิบัติฉบับนี้
3.1.4 จัดให้มีกระบวนการควบคุม ติดตาม และตรวจสอบการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ตลอดจนแนวทางและคู่มือการปฏิบัติงานที่เกี่ยวข้อง
3.1.5 รับผิดชอบในการดำเนินการตามนโยบายและแนวทางปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้
3.1.6 ส่งเสริมการสร้างความตระหนักรู้ให้เกิดขึ้นกับพนักงานของบริษัท
3.2 หน่วยงานผู้รับผิดชอบ / บุคคลผู้รับผิดชอบ / พนักงานบริษัท
3.2.1 แจ้งเจ้าของข้อมูลส่วนบุคคลให้ได้รับทราบถึงวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล และสิทธิต่างๆของเจ้าของข้อมูลส่วนบุคคล
3.2.2 ดำเนินการตามคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล เช่น แก้ไข เปลี่ยนแปลง และ/ หรือลบ/ทำลายข้อมูลส่วนบุคคล ตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ พร้อมทั้งบันทึกรายการและจัดเก็บหลักฐานในการทำธุรกรรมดังกล่าวใว้อย่างครบถ้วน
3.2.3 รับผิดชอบในการจัดเก็บ ดูแล รักษา และป้องกันการใช้หรือเปิดเผยข้อมูลส่วนบุคคล ตามวัตถุประสงค์ที่บริษัทได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคล หรือที่เจ้าของข้อมูลได้ให้ความยินยอม ทั้งนี้ตามที่กำหนดไว้ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ตลอดจนแนวทางและคู่มือการปฏิบัติงานที่เกี่ยวข้อง
3.2.4 รายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และการไม่ปฏิบัติตามกฎหมาย และนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ให้ผู้บังคับบัญชาทราบ
3.2.5 พนักงานที่กระทำการละเมิด ฝ่าฝืน นโยบายหรือประกาศที่บริษัทกำหนด จะถือว่าเป็นการละเมิดต่อบุคคล และบริษัท ซึ่งเป็นการกระทำที่ผิดวินัย และผิดกฎหมาย
4. แนวทางปฏิบัติ
4.1 การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
4.1.1 เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็นสำหรับการดำเนินการ ตามวัตถุประสงค์ที่เกี่ยวข้องตามที่บริษัทกำหนด ซึ่งเป็นไปตามหลักเกณฑ์ที่กฎหมายคุ้มครองข้อมูลส่วน บุคคลกำหนด เช่น
(1) จำเป็นเพื่อปฏิบัติตามสัญญา หรือคำขอของเจ้าของข้อมูลส่วนบุคคล
(2) จำเป็นเพื่อปฏิบัติตามกฎหมายที่บริษัทต้องปฏิบัติ
(3) จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือบุคคลอื่น
(4) จำเป็นเพื่อประโยชน์สาธารณะ
(5) จำเป็นเพื่อระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล
(6) ความยินยอมของเจ้าของข้อมูลส่วนบุคคล เท่านั้น
4.1.2 แจ้งรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ให้เจ้าของข้อมูลส่วนบุคคลรับทราบ ก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล ตามเอกสารคำประกาศถึงเจ้าของข้อมูล (Privacy Notice)
4.1.3 ต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อน หากบริษัท จำเป็นต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลอ่อนไหว
4.1.4 ในกรณีที่บริษัทว่าจ้างบุคคลภายนอกให้ดำเนินการใดๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล บริษัทจะคัดเลือกบุคคลที่มีหลักเกณฑ์ หรือแนวทางในการคุ้มครองข้อมูลส่วนบุคคล ไม่น้อยกว่าหลักเกณฑ์ที่กำหนดไว้ในนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ รวมถึงต้องจัดให้มีข้อตกลงเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลตามที่บริษัทเห็นสมควร
4.2 การเก็บรักษาและระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
4.2.1 จัดให้มีมาตรการรักษาความปลอดภัยในการจัดเก็บข้อมูลส่วนบุคคล ตามหลักเกณฑ์ที่กฎหมายกำหนด เพื่อป้องกันการทำลาย การแก้ไข และการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
4.2.1 เก็บรักษาข้อมูลส่วนบุคคลเท่าที่จำเป็น ภายใต้วัตถุประสงค์ที่เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตามที่ได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคล จนกว่าเจ้าของข้อมูลส่วนบุคคลจะสิ้นสุดความสัมพันธ์กับบริษัท ทั้งนี้บริษัทอาจต้องเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วน บุคคลต่อไปตามระยะเวลาที่กฎหมายกำหนด
4.3 มาตรการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
บริษัทให้ความสำคัญต่อการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล บริษัทจึงจัดให้มีมาตรการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด ดังนี้
4.3.1 สิทธิของเจ้าของข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด ซึ่งได้แก่
(1) สิทธิขอถอนความยินยอม
(2) สิทธิขอเข้าถึง ขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของบริษัท หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าว ที่เจ้าของข้อมูลส่วนบุคคลนี้ไม่ได้ให้ความยินยอม
(3) สิทธิขอรับ หรือให้ส่งข้อมูลส่วนบุคคลไปยังผู้อื่นด้วยวิธีอัตโนมัติ
(4) สิทธิขอคัดค้านการประมวลผลข้อมูลส่วนบุคคล
(5) สิทธิขอแก้ไข หรือเปลี่ยนแปลงข้อมูลให้ถูกต้อง สมบูรณ์ หรือเป็นปัจจุบัน
(6) สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
(7) สิทธิขอลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวบุคคลได้
4.3.2 จัดให้มีช่องทางในการรับคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ผ่านช่องทางที่บริษัทกำหนด
4.3.3 จัดให้มีหน่วยงานพิจารณาและดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคล ซึ่งจะต้องดำเนินการโดยไม่ชักข้า และแจ้งผลการดำเนินการให้เจ้าของข้อมูลส่วนบุคคลทราบภายในระยะเวลาที่บริษัทกำหนด
4.3.4 จัดทำบันทึกรายการการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล รวมถึงเหตุปฏิเสธใน กรณีที่ไม่ดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคล เพื่อเป็นหลักฐานตามที่กฎหมายกำหนด
4.4 การลบหรือทำลายข้อมูลส่วนบุคคล
บริษัทจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล ของเจ้าของข้อมูลส่วนบุคคล เมื่อ
4.4.1 พ้นระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
4.4.2 หมดความจำเป็นในการเก็บข้อมูลส่วนบุคคลตามวัตถุประสงค์
4.4.3 เจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคล และบริษัทไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป
4.4.4 เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย
4.5 การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล
บริษัทจัดให้มีกระบวนการและช่องทางในการรับแจ้งเหตุละเมิดข้อมูลส่วนบุคคล โดยคณะกรรมการควบคุมข้อมูลส่วนบุคคล (Personal Data Control Committee : PDCC) จะพิจารณารวบรวมข้อมูลและแจ้งไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมงนับแต่ทราบเหตุ
หากการละเมิดข้อมูลส่วนบุคคลดังกล่าว มีความเสี่ยงกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลในระดับสูง จะต้องแจ้งไปยังเจ้าของข้อมูลส่วนบุคคลให้ทราบถึงเหตุแห่งการละเมิดข้อมูลส่วนบุคคล พร้อมตั้งแนวทางในการเยียวยาโดยไม่ชักช้า
5. การฝึกอบรม
บริษัทจัดให้มีการฝึกอบรมและให้ความรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่บุคคลากรของบริษัท เพื่อให้บุคคลากรของบริษัทปฏิบัติงานได้อย่างถูกต้องและสอดคล้องกับหลักเกณฑ์ที่กฎหมายกำหนด รวมถึงนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้
6. การทบทวนนโยบาย
บริษัทจะทำการทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้อย่างน้อยปีละ 1 ครั้ง เพื่อให้สอดคล้องกับสภาวการณ์ที่เกิดขึ้นและเปลี่ยนแปลงไป หรือเมื่อมีการเปลี่ยนแปลงกฎหมาย หรือจำเป็นต้องเปลี่ยนแปลงหลักเกณฑ์ที่เป็นสาระสำคัญที่กำหนดไว้ในนโยบายและแนวทาง ปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้
7. การเปิดเผยเกี่ยวกับการดำเนินการ แนวทางปฏิบัติ และนโยบายคุ้มครองข้อมูลส่วนบุคคล
บริษัทจะเปิดเผยนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้ และหากมีการแก้ไขหรือปรับปรุงบริษัท จะดำเนินการเผยแพร่ผ่าน Website:http://www.thkc.co.th
8. ช่องทางการติดต่อบริษัท
หากมีเหตุร้องเรียนเกี่ยวกับข้อมูลส่วนบุคคลสามารถติดต่อประสานงานได้ในช่องทางดังนี้
คณะกรรมการควบคุมข้อมูลส่วนบุคคล (Personal Data Control Committee : PDCC)
เลขที่ 183 อาคารรีเจ้นท์เฮ้าส์ ชั้น 12 ถนนราชดำริ แขวงลุมพินี เขตปทุมวัน กรุงเทพมหานคร 10330
Email Address: pdpa@thkc.co.th
ทั้งนี้ให้มีผลตั้งแต่วันที่ 1 มิถุนายน พ.ศ.2565 เป็นต้นไป
บริษัท ไทยโคโนอิเกะ คอร์ปอเรชั่น จำกัด (“บริษัท”) ได้ให้ความสำคัญต่อการรักษาข้อมูลส่วนบุคคล ทั้งของพนักงาน และผู้ที่เกี่ยวข้องทั้งหมดตามที่ได้รับความคุ้มครองทางกฎหมาย โดยที่บริษัทได้ยึดถือเป็นแนวปฏิบัติมาโดยตลอด การนำข้อมูลส่วนบุคคลไปแสวงหาผลประโยชน์โดยมิชอบ หรือเปิดเผยข้อมูลที่อาจทำให้เกิดความเสียหาย หรือทำให้สามารถระบุถึงตัวบุคคลได้โดยปราศจากความยินยอม เป็นการกระทำที่ละเมิดต่อบุคคล เป็นการกระทำที่มีความผิดทั้งด้านวินัยและกฎหมาย
บริษัทได้ให้ความสำคัญถึงสิทธิในความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า คู่ค้า และพันธมิตรทางธุรกิจ บุคลากร ผู้บริหาร และกรรมการของบริษัท ดังนั้นบริษัทจึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล เพื่อสร้างกลใกในการให้ความคุ้มครองข้อมูลส่วนบุคคล ของลูกค้า คู่ค้า และพันธมิตรทางธุรกิจ บุคลากร ผู้บริหาร และกรรมการของบริษัท
1. คำนิยาม
"ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลที่สามารถระบุตัวตนของบุคคล หรืออาจจะระบุตัวตนของบุคคลได้ใม่ว่าทางตรงหรือทางอ้อม
"ข้อมูลอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน และมีความสุ่มเลี่ยงต่อการถูกใช้ ในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน
"เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลผู้ชึ่งข้อมูลส่วนบุคคลทำให้สามารถระบุตัวตนได้ไม่ว่าโดยทางตรงหรือทางอ้อม
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลชึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคล ผู้ที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล แต่งตั้งขึ้น เพื่อให้คำแนะนำและตรวจลอบการดำเนินงานเพื่อให้การเก็บรวบรวม ใช้และเปิดเผย ประมวลผลข้อมูลส่วนบุคคลเป็นไปตามข้อกำหนดของทางการ รวมทั้งเป็นผู้ประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ที่ทางการจะจัดตั้งขึ้น)
2. วัตถุประสงค์
2.1 เพื่อกำหนดแนวทางในการปฏิบัติงานของบริษัทให้เป็นไปตามพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562
2.2 เพื่อให้ลูกค้า คู่ค้า และพันธมิตรทางธุรกิจ บุคลากร ผู้บริหาร และกรรมการของบริษัท เกิดความเชื่อมั่นว่าข้อมูลส่วนบุคคลของตนที่ได้ให้กับบริษัทนั้นใด้รับการดูแลและป้องกันมิให้มีการนำไปใช้ผิดวัตถุประสงค์
2.3 เพื่อกำหนดแนวทางในการจัดเก็บ ดูแล รักษาและป้องกันการใช้ข้อมูลส่วนบุคคลอย่างชัดเจน และมีประลิทธิภาพ ซึ่งรวมถึงหน่วยงานและผู้รับผิดชอบ เพื่อมิให้บุคคลที่ใม่ เกี่ยวข้องสามารถเข้าถึงข้อมูล ส่วนบุคคลนั้นได้
3. หน้าที่และความรับผิดชอบ
บริษัท ไทยโคโนอิเกะ คอร์ปอเรชั่น จำกัด ผู้ควบคุมข้อมูลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล กำหนดให้มีผู้รับผิดชอบสำหรับฝ่ายต่างๆ ดังนี้
3.1 คณะกรรมการควบคุมข้อมูลส่วนบุคคล (Personal Data Control Committee: PDCC)
3.1.1 มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
3.1.2 กำหนดให้มีมาตรการและวิธีปฏิบัติที่เกี่ยวกับข้อมูลส่วนบุคคลภายในบริษัทให้ สอดคล้องกับกฎหมาย นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ รวมถึงมาตรฐานสากลที่เกี่ยวข้อง
3.1.3 กำหนดแนวทางหรือคู่มือปฏิบัติงานที่เกี่ยวข้องปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ กำกับดูแลดำเนินงานต่าง ๆ ให้เป็นไปตามนโยบายและแนวทางปฏิบัติฉบับนี้
3.1.4 จัดให้มีกระบวนการควบคุม ติดตาม และตรวจสอบการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ตลอดจนแนวทางและคู่มือการปฏิบัติงานที่เกี่ยวข้อง
3.1.5 รับผิดชอบในการดำเนินการตามนโยบายและแนวทางปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้
3.1.6 ส่งเสริมการสร้างความตระหนักรู้ให้เกิดขึ้นกับพนักงานของบริษัท
3.2 หน่วยงานผู้รับผิดชอบ / บุคคลผู้รับผิดชอบ / พนักงานบริษัท
3.2.1 แจ้งเจ้าของข้อมูลส่วนบุคคลให้ได้รับทราบถึงวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล และสิทธิต่างๆของเจ้าของข้อมูลส่วนบุคคล
3.2.2 ดำเนินการตามคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล เช่น แก้ไข เปลี่ยนแปลง และ/ หรือลบ/ทำลายข้อมูลส่วนบุคคล ตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ พร้อมทั้งบันทึกรายการและจัดเก็บหลักฐานในการทำธุรกรรมดังกล่าวใว้อย่างครบถ้วน
3.2.3 รับผิดชอบในการจัดเก็บ ดูแล รักษา และป้องกันการใช้หรือเปิดเผยข้อมูลส่วนบุคคล ตามวัตถุประสงค์ที่บริษัทได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคล หรือที่เจ้าของข้อมูลได้ให้ความยินยอม ทั้งนี้ตามที่กำหนดไว้ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ตลอดจนแนวทางและคู่มือการปฏิบัติงานที่เกี่ยวข้อง
3.2.4 รายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และการไม่ปฏิบัติตามกฎหมาย และนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ให้ผู้บังคับบัญชาทราบ
3.2.5 พนักงานที่กระทำการละเมิด ฝ่าฝืน นโยบายหรือประกาศที่บริษัทกำหนด จะถือว่าเป็นการละเมิดต่อบุคคล และบริษัท ซึ่งเป็นการกระทำที่ผิดวินัย และผิดกฎหมาย
4. แนวทางปฏิบัติ
4.1 การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
4.1.1 เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็นสำหรับการดำเนินการ ตามวัตถุประสงค์ที่เกี่ยวข้องตามที่บริษัทกำหนด ซึ่งเป็นไปตามหลักเกณฑ์ที่กฎหมายคุ้มครองข้อมูลส่วน บุคคลกำหนด เช่น
(1) จำเป็นเพื่อปฏิบัติตามสัญญา หรือคำขอของเจ้าของข้อมูลส่วนบุคคล
(2) จำเป็นเพื่อปฏิบัติตามกฎหมายที่บริษัทต้องปฏิบัติ
(3) จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือบุคคลอื่น
(4) จำเป็นเพื่อประโยชน์สาธารณะ
(5) จำเป็นเพื่อระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล
(6) ความยินยอมของเจ้าของข้อมูลส่วนบุคคล เท่านั้น
4.1.2 แจ้งรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ให้เจ้าของข้อมูลส่วนบุคคลรับทราบ ก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล ตามเอกสารคำประกาศถึงเจ้าของข้อมูล (Privacy Notice)
4.1.3 ต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อน หากบริษัท จำเป็นต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลอ่อนไหว
4.1.4 ในกรณีที่บริษัทว่าจ้างบุคคลภายนอกให้ดำเนินการใดๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล บริษัทจะคัดเลือกบุคคลที่มีหลักเกณฑ์ หรือแนวทางในการคุ้มครองข้อมูลส่วนบุคคล ไม่น้อยกว่าหลักเกณฑ์ที่กำหนดไว้ในนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ รวมถึงต้องจัดให้มีข้อตกลงเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลตามที่บริษัทเห็นสมควร
4.2 การเก็บรักษาและระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
4.2.1 จัดให้มีมาตรการรักษาความปลอดภัยในการจัดเก็บข้อมูลส่วนบุคคล ตามหลักเกณฑ์ที่กฎหมายกำหนด เพื่อป้องกันการทำลาย การแก้ไข และการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
4.2.1 เก็บรักษาข้อมูลส่วนบุคคลเท่าที่จำเป็น ภายใต้วัตถุประสงค์ที่เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตามที่ได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคล จนกว่าเจ้าของข้อมูลส่วนบุคคลจะสิ้นสุดความสัมพันธ์กับบริษัท ทั้งนี้บริษัทอาจต้องเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วน บุคคลต่อไปตามระยะเวลาที่กฎหมายกำหนด
4.3 มาตรการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
บริษัทให้ความสำคัญต่อการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล บริษัทจึงจัดให้มีมาตรการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด ดังนี้
4.3.1 สิทธิของเจ้าของข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด ซึ่งได้แก่
(1) สิทธิขอถอนความยินยอม
(2) สิทธิขอเข้าถึง ขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของบริษัท หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าว ที่เจ้าของข้อมูลส่วนบุคคลนี้ไม่ได้ให้ความยินยอม
(3) สิทธิขอรับ หรือให้ส่งข้อมูลส่วนบุคคลไปยังผู้อื่นด้วยวิธีอัตโนมัติ
(4) สิทธิขอคัดค้านการประมวลผลข้อมูลส่วนบุคคล
(5) สิทธิขอแก้ไข หรือเปลี่ยนแปลงข้อมูลให้ถูกต้อง สมบูรณ์ หรือเป็นปัจจุบัน
(6) สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
(7) สิทธิขอลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวบุคคลได้
4.3.2 จัดให้มีช่องทางในการรับคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ผ่านช่องทางที่บริษัทกำหนด
4.3.3 จัดให้มีหน่วยงานพิจารณาและดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคล ซึ่งจะต้องดำเนินการโดยไม่ชักข้า และแจ้งผลการดำเนินการให้เจ้าของข้อมูลส่วนบุคคลทราบภายในระยะเวลาที่บริษัทกำหนด
4.3.4 จัดทำบันทึกรายการการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล รวมถึงเหตุปฏิเสธใน กรณีที่ไม่ดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคล เพื่อเป็นหลักฐานตามที่กฎหมายกำหนด
4.4 การลบหรือทำลายข้อมูลส่วนบุคคล
บริษัทจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล ของเจ้าของข้อมูลส่วนบุคคล เมื่อ
4.4.1 พ้นระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
4.4.2 หมดความจำเป็นในการเก็บข้อมูลส่วนบุคคลตามวัตถุประสงค์
4.4.3 เจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคล และบริษัทไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป
4.4.4 เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย
4.5 การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล
บริษัทจัดให้มีกระบวนการและช่องทางในการรับแจ้งเหตุละเมิดข้อมูลส่วนบุคคล โดยคณะกรรมการควบคุมข้อมูลส่วนบุคคล (Personal Data Control Committee : PDCC) จะพิจารณารวบรวมข้อมูลและแจ้งไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมงนับแต่ทราบเหตุ
หากการละเมิดข้อมูลส่วนบุคคลดังกล่าว มีความเสี่ยงกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลในระดับสูง จะต้องแจ้งไปยังเจ้าของข้อมูลส่วนบุคคลให้ทราบถึงเหตุแห่งการละเมิดข้อมูลส่วนบุคคล พร้อมตั้งแนวทางในการเยียวยาโดยไม่ชักช้า
5. การฝึกอบรม
บริษัทจัดให้มีการฝึกอบรมและให้ความรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่บุคคลากรของบริษัท เพื่อให้บุคคลากรของบริษัทปฏิบัติงานได้อย่างถูกต้องและสอดคล้องกับหลักเกณฑ์ที่กฎหมายกำหนด รวมถึงนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้
6. การทบทวนนโยบาย
บริษัทจะทำการทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้อย่างน้อยปีละ 1 ครั้ง เพื่อให้สอดคล้องกับสภาวการณ์ที่เกิดขึ้นและเปลี่ยนแปลงไป หรือเมื่อมีการเปลี่ยนแปลงกฎหมาย หรือจำเป็นต้องเปลี่ยนแปลงหลักเกณฑ์ที่เป็นสาระสำคัญที่กำหนดไว้ในนโยบายและแนวทาง ปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้
7. การเปิดเผยเกี่ยวกับการดำเนินการ แนวทางปฏิบัติ และนโยบายคุ้มครองข้อมูลส่วนบุคคล
บริษัทจะเปิดเผยนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้ และหากมีการแก้ไขหรือปรับปรุงบริษัท จะดำเนินการเผยแพร่ผ่าน Website:http://www.thkc.co.th
8. ช่องทางการติดต่อบริษัท
หากมีเหตุร้องเรียนเกี่ยวกับข้อมูลส่วนบุคคลสามารถติดต่อประสานงานได้ในช่องทางดังนี้
คณะกรรมการควบคุมข้อมูลส่วนบุคคล (Personal Data Control Committee : PDCC)
เลขที่ 183 อาคารรีเจ้นท์เฮ้าส์ ชั้น 12 ถนนราชดำริ แขวงลุมพินี เขตปทุมวัน กรุงเทพมหานคร 10330
Email Address: pdpa@thkc.co.th
ทั้งนี้ให้มีผลตั้งแต่วันที่ 1 มิถุนายน พ.ศ.2565 เป็นต้นไป