นโยบายการคุ้มครองข้อมูลส่วนบุคคล
ของบริษัทในกลุ่มฮาคูโฮโด

บริษัทในกลุ่มฮาคูโฮโด1 (“บริษัท”) เป็นบริษัทชั้นนำในการให้บริการเกี่ยวกับการจัดการสื่อโฆษณาและประชาสัมพันธ์ ซึ่งในการดำเนินธุรกิจโดยปกติของบริษัทนั้น บริษัทอาจได้รับข้อมูลส่วนบุคคลของบุคคลต่าง ๆ ไม่ว่าจะจากเจ้าของข้อมูลส่วนบุคคลโดยตรงหรือจากแหล่งอื่นใด ในการนี้ บริษัทตระหนักถึงความสำคัญและเคารพในสิทธิความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล จึงได้กำหนดนโยบายและหลักเกณฑ์ต่าง ๆ ในการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลตามรายละเอียดที่ประกาศไว้ ณ ที่นี้

บริษัทในกลุ่มฮาคูโฮโด1 หมายถึง (1) บริษัท ฮาคูโฮโด อินเตอร์เนชั่นแนล (ไทยแลนด์) จำกัด (2) บริษัท ฮาคูโฮโด (กรุงเทพฯ) จำกัด (3) บริษัท ฮาคูโฮโด เฟิร์ส จํากัด (4) บริษัท ฮาคูโฮโด เอเชียแปซิฟิค จำกัด (5) บริษัท ฮาคูโฮโด โอทู จำกัด (6) บริษัท ฮิลล์ เอเชีย จำกัด (7) บริษัท โปรดักส์ (กรุงเทพฯ) จำกัด (8) บริษัท สปา - ฮาคูโฮโด จำกัด (9) บริษัท สไปซี่ ฮาคูโฮโด จำกัด และ/หรือ (10) บริษัท วินเทอร์ อีเจนซี่ จำกัด

1) วัตถุประสงค์และขอบเขตของนโยบายการคุ้มครองข้อมูลส่วนบุคคล

เพื่อเป็นการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ 2562 และกฎหมายอื่น ๆ ที่เกี่ยวข้อง รวมถึงกฎหมายฉบับแก้ไขเพิ่มเติมใด ๆ ในอนาคต (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) บริษัทจึงจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ (“นโยบาย”) ขึ้นเพื่ออธิบายรายละเอียดรวมถึงข้อกำหนดเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผย หรือประมวลผลข้อมูลส่วนบุคคลแก่บุคลากรของบริษัท เพื่อให้บุคลากรมีความเข้าใจและความตระหนักรู้ในการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลซึ่งเกี่ยวข้องกับการดำเนินธุรกิจของบริษัทโดยถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล รวมถึงเพื่อให้เจ้าของข้อมูลส่วนบุคคลได้มั่นใจว่าข้อมูลส่วนบุคคลที่บริษัทได้เก็บรวบรวมมาจะถูกประมวลผลโดยชอบด้วยกฎหมาย

2) นิยามสำคัญ

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดา ไม่ว่าในรูปแบบใด ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งอาจก่อให้เกิดการเลือกปฏิบัติโดยไม่เป็นธรรมต่อเจ้าของข้อมูลส่วนบุคคลหรือกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด

“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งข้อมูลส่วนบุคคลได้บ่งชี้ไปถึง โดยในนโยบายนี้รวมไปถึง ลูกค้า คู่ค้า ผู้บริโภค ผู้สมัครงาน บุคลากรของบริษัท และบุคคลธรรมดาอื่นใดที่บริษัทมีการเก็บรวบรวม ใช้ หรือประมวลผลข้อมูลส่วนบุคคลของบุคคลธรรมดานั้น และให้หมายรวมถึง ผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ ผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ หรือ ผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถด้วย

“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผย หรือประมวลผลข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล “ประมวลผล” หมายถึง การดำเนินการหรือชุดการดำเนินการใดๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้าง เก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย

“ฐานทางกฎหมาย” หมายถึง เหตุโดยชอบด้วยกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล ทั้งนี้ ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล

3) ประเภทของบุคคลที่บริษัทเก็บรวบรวมข้อมูลส่วนบุคคล

ภายใต้นโยบายฉบับนี้ ประเภทของบุคคลที่บริษัททำการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคล ประกอบด้วย

ประเภท รายละเอียด
1. ลูกค้า บุคคลที่ซื้อสินค้าและ/หรือใช้บริการจากบริษัท และ/หรือ อาจจะซื้อสินค้าและ/หรือใช้บริการจากบริษัท หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน และให้หมายความรวมถึงบุคคลธรรมดาที่เกี่ยวข้องหรือเป็นผู้แทน ตัวแทนหรือลูกจ้างของลูกค้าซึ่งเป็นนิติบุคคลด้วย
2. คู่ค้า บุคคลที่เข้าเสนอราคาเพื่อขายสินค้า และ/หรือให้บริการแก่บริษัท หรือมีความสัมพันธ์อื่นใดที่มีลักษณะคล้ายคลึงกันกับบริษัท เช่น ผู้ให้บริการ ผู้รับจ้างอิสระ (Freelance) ที่ปรึกษา ผู้เชี่ยวชาญ คู่สัญญา หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน (เช่น ดารา นักแสดง ผู้มีอิทธิพลบนสื่อออนไลน์) เป็นต้น และให้หมายความรวมถึงบุคคลธรรมดาที่เกี่ยวข้องหรือเป็นผู้แทน ตัวแทนหรือลูกจ้างของคู่ค้าซึ่งเป็นนิติบุคคลด้วย
3. ผู้บริโภค บุคคลที่ใช้หรืออาจใช้สินค้า และ/หรือ บริการอย่างหนึ่งอย่างใดของลูกค้า เช่น ผู้เข้าร่วมกิจกรรมทางการตลาด ผู้ตอบแบบสอบถามเกี่ยวกับสินค้าและ/หรือบริการของลูกค้า ผู้ใช้บริการสื่อออนไลน์ เว็บไซต์หรือแอพพลิเคชั่น ซึ่งเป็นบุคคลที่บริษัทเก็บรวบรวมและ/หรือประมวลผลข้อมูลส่วนบุคคลไม่ว่าในนามของตนเองในฐานะผู้ควบคุมข้อมูลส่วนบุคคลหรือในนามของลูกค้าในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล เพื่อบรรลุวัตถุประสงค์ในการประกอบธุรกิจของบริษัทรวมถึงการให้บริการแก่ลูกค้าโดยปกติ เช่น การวิเคราะห์ข้อมูล การศึกษาวิจัยทางการตลาด การจัดทำสื่อโฆษณาและประชาสัมพันธ์ การจัดกิจกรรมทางการตลาด เป็นต้น
4. ผู้สมัครงาน บุคคลที่อาจได้รับคัดเลือกเป็นบุคลากรของบริษัท โดยบริษัทอาจเป็นผู้เก็บรวบรวมข้อมูลส่วนบุคคลของผู้สมัครงานเองโดยตรง หรือได้รับจากบุคคลภายนอกอื่นใด และให้หมายความรวมถึงบุคคลที่เกี่ยวข้องกับผู้สมัครงาน เช่น บุคคลในครอบครัว บุคคลอ้างอิง และบุคคลที่สามารถติดต่อได้ในกรณีฉุกเฉิน เป็นต้น
5. บุคลากร บุคคลที่ปฏิบัติงานหรือหน้าที่ใดๆ ให้แก่บริษัท และได้รับเงินเดือน ค่าจ้าง สวัสดิการ หรือค่าตอบแทนอื่นใดจากบริษัทเพื่อตอบแทนการทำงาน เช่น กรรมการ ผู้บริหาร ผู้จัดการ พนักงาน บุคลากร ผู้ฝึกงาน หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน และให้หมายความรวมถึงบุคคลที่เกี่ยวข้องกับบุคลากรของดังกล่าว เช่น บุคคลในครอบครัว บุคคลอ้างอิง บุคคลที่สามารถติดต่อได้ในกรณีฉุกเฉิน ผู้รับผลประโยชน์ เป็นต้น ทั้งนี้ ไม่รวมถึงบุคคลที่บริษัทจ้างงานเป็นครั้งคราวหรือมิได้บรรจุเป็นพนักงานของบริษัท ซึ่งบริษัทจะถือว่าเป็นคู่ค้าของบริษัท
6. ผู้ถือหุ้น บุคคลซึ่งถือหุ้นในบริษัทซึ่งเป็นบุคคลธรรมดา และให้หมายความรวมถึงผู้กระทำการแทนหรือผู้รับมอบฉันทะของผู้ถือหุ้นประเภทบุคคลธรรมดาหรือผู้ถือหุ้นประเภทนิติบุคคล
7. บุคคลทั่วไป บุคคลอื่นใดนอกเหนือจากบุคคลในประเภทข้างต้นที่บริษัทได้ประมวลผลข้อมูลส่วนบุคคล (เช่น ผู้มาติดต่อ) ทั้งในกรณีที่บริษัทได้รับข้อมูลส่วนบุคคลโดยตรง หรือเก็บรวบรวมโดยอัตโนมัติจากการใช้คุกกี้ (Cookies) หรือเทคโนโลยีอื่น ๆ หรือได้รับมาจากบุคคลภายนอก เช่น ผู้ที่ถูกบันทึกภาพโดยกล้องโทรทัศน์วงจรปิด (CCTV) และผู้ที่เข้าชมหรือใช้เว็บไซต์ของบริษัท เป็นต้น

4) แหล่งที่มาที่บริษัทเก็บรวบรวมข้อมูลส่วนบุคคล

4.1 การเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล

โดยทั่วไป บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลจากตัวเจ้าของข้อมูลส่วนบุคคลโดยตรง เช่น

  • ผ่านทางวาจา ได้แก่ กรณีการพูดคุยต่อหน้า หรือทางโทรศัพท์ หรือทางช่องทางการติดต่อออนไลน์
  • ผ่านทางเอกสาร ได้แก่ กรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้ส่งมอบเอกสารให้แก่บริษัทด้วยตนเอง
  • ผ่านทางช่องทางการติดต่ออื่น ได้แก่ กรณีที่เจ้าของข้อมูลส่วนบุคคลส่งข้อมูลหรือเอกสารให้แก่บริษัทผ่านทางอีเมล โทรสาร ช่องทางการติดต่อออนไลน์ หรือช่องทางอื่นใดที่เจ้าของข้อมูลส่วนบุคคลใช้เพื่อการส่งข้อมูลหรือเอกสารมายังบริษัท

4.2 การเก็บรวบรวมข้อมูลส่วนบุคคลจากบุคคลที่สาม

ในบางกรณีบริษัทอาจได้รับหรือมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นหรือบุคคลที่สามที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เช่น การรับข้อมูลจากลูกค้า คู่ค้าทางธุรกิจ ผู้จำหน่ายหรือผู้ให้บริการของบริษัท รวมถึงแหล่งข้อมูลสาธารณะ เช่น เว็บไซต์ค้นหาข้อมูลหรือให้บริการข้อมูล เป็นต้น ในกรณีดังกล่าว บริษัทจะดำเนินการ ดังต่อไปนี้

(1) แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงการที่บริษัทได้เก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลจากแหล่งอื่นหรือบุคคลที่สาม โดยไม่ชักช้าแต่ไม่เกิน 30 วันนับแต่วันที่บริษัทได้เก็บรวบรวมข้อมูลส่วนบุคคล และ

(2) แจ้งหรือส่งมอบประกาศความเป็นส่วนตัว (Privacy Notice) ให้เจ้าของข้อมูลส่วนบุคคลทราบ และ

(3) ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลในกรณีที่บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลโดยอาศัยฐานความยินยอม ทั้งนี้ ยกเว้นในกรณีที่บริษัทจะต้องนำข้อมูลส่วนบุคคลนั้นไปใช้ในการติดต่อกับเจ้าของข้อมูลส่วนบุคคล บริษัทจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบเมื่อทำการติดต่อครั้งแรก และในกรณีที่บริษัทนำข้อมูลส่วนบุคคลไปเปิดเผย บริษัทจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนการนำข้อมูลส่วนบุคคลไปเปิดเผยเป็นครั้งแรก

อย่างไรก็ตาม ในบางกรณีบริษัทอาจไม่ต้องดำเนินการตามข้อ (1) หรือ (2) ข้างต้น ในกรณีดังต่อไปนี้

(ก) เจ้าของข้อมูลส่วนบุคคลทราบถึงรายละเอียดต่าง ๆ นั้นอยู่แล้ว เช่น ในกรณีที่บริษัทได้รับข้อมูลส่วนบุคคลของผู้สมัครงานผ่านทางตัวแทนหรือเว็บไซต์จัดหางาน ผู้สมัครงานสามารถคาดหมายได้ว่าบริษัทรวมถึงองค์กรอื่นใดอาจได้รับข้อมูลส่วนบุคคลของผู้สมัครงานผ่านตัวแทนหรือเว็บไซต์จัดหางานที่ผู้สมัครงานได้ติดต่อไว้เพื่อทำการสมัครงาน ดังนี้ บริษัทอาจไม่มีความจำเป็นต้องแจ้งให้ผู้สมัครงานทราบว่าบริษัทได้รับข้อมูลส่วนบุคคลของผู้สมัครงานผ่านตัวแทนหรือเว็บไซต์จัดหางาน เป็นต้น

(ข) บริษัทสามารถพิสูจน์ได้ว่าการแจ้งข้อมูลดังกล่าวไม่สามารถทำได้หรือจะเป็นอุปสรรคต่อการใช้หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท เช่น ในกรณีที่บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลของบุคคลที่เกี่ยวข้องกับผู้สมัครงานหรือบุคลากร เช่น บุคคลอ้างอิง บุคคลในครอบครัว บุคคลที่สามารถติดต่อได้ในกรณีฉุกเฉิน เป็นต้น บริษัทอาจไม่สามารถหรือไม่สะดวกในการดำเนินการแจ้งถึงการเก็บรวบรวมข้อมูลและแจ้งประกาศความเป็นส่วนตัว (Privacy Notice) ไปยังบุคคลดังกล่าวโดยตรงได้ อย่างไรก็ดี ในกรณีดังกล่าวบริษัทจะแจ้งให้ผู้สมัครงานหรือบุคลากรมีหน้าที่ในการแจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลของบุคคลดังกล่าวโดยบริษัทรวมถึงแจ้งประกาศความเป็นส่วนตัว (Privacy Notice) ไปยังบุคคลดังกล่าวแทนบริษัทด้วย และบริษัทจะถือว่าการที่ผู้สมัครงานหรือบุคลากรได้ส่งมอบข้อมูลส่วนบุคคลของบุคคลที่เกี่ยวข้องให้แก่บริษัท ผู้สมัครงานหรือบุคลากรได้ดำเนินการแจ้งประกาศความเป็นส่วนตัว (Privacy Notice) ไปยังบุคคลดังกล่าวเรียบร้อยแล้ว

โดยในกรณีข้างต้น บริษัทจะจัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิ เสรีภาพ และประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

5) การเก็บรวบรวมข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย

บริษัทจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ภายใต้ฐานทางกฎหมายที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งได้ถูกกำหนดเป็นแนวทางไว้ในนโยบายฉบับนี้ด้วย ดังนี้

5.1 กรณีข้อมูลส่วนบุคคลทั่วไป บริษัทจะเก็บรวมรวมและ/หรือประมวลผลข้อมูลส่วนบุคคล โดยอาศัยฐานทางกฎหมายประการใดประการหนึ่งหรือหลายประการ ดังต่อไปนี้

ฐานทางกฎหมาย รายละเอียด
(1) ฐานความยินยอม (Consent) ในกรณีที่ไม่สามารถเก็บรวบรวมข้อมูลส่วนบุคคลโดยอาศัยฐานทางกฎหมายอื่นตามที่ระบุในข้อ (1) – (7) ของตารางนี้ บริษัทจะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล โดยความยินยอมจะต้องประกอบด้วยหรือคำนึงถึงรายละเอียด ดังต่อไปนี้
  • ทำโดยชัดแจ้ง เป็นหนังสือหรือผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้
  • ในการขอความยินยอม บริษัทจะต้อง
    (ก) ระบุวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
    (ข) แยกส่วนข้อความการขอความยินยอมออกจากข้อความอื่นอย่างชัดเจน
    (ค) จัดให้มีแบบหรือข้อความในการขอความยินยอมที่เข้าถึงและเข้าใจได้ง่าย และตรงตามความประสงค์ ไม่เป็นไปในทำนองบังคับ มีเงื่อนไข หลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล
    (ง) คำนึงถึงความเป็นอิสระของเจ้าของข้อมูลในการให้ความยินยอม โดยเจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมโดยอิสระและโดยความสมัครใจ
  • การไม่ตอบรับหรือการนิ่งเฉยไม่ถือว่าเป็นความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
  • เจ้าของข้อมูลส่วนบุคคลอาจถอนความยินยอมได้ทุกเมื่อ เว้นแต่จะมีกฎหมายหรือสัญญาที่เป็นคุณแก่เจ้าของข้อมูลส่วนบุคคลจำกัดสิทธิไว้
  • กรณีที่บริษัทจะต้องขอความยินยอมจากผู้เยาว์ที่ยังไม่บรรลุนิติภาวะ บุคคลไร้ความสามารถ หรือบุคคลเสมือนไร้ความสามารถ บริษัทจะต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ ผู้อนุบาล หรือผู้พิทักษ์ตามลำดับ ทั้งนี้ หากเป็นผู้เยาว์มีอายุ 10 ปีขึ้นไปก็อาจให้ความยินยอมเองได้สำหรับกรณีที่เป็นการดำเนินการที่ผู้เยาว์กระทำได้โดยลำพังตามกฎหมาย
(2) ฐานการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (Vital Interest) บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลในกรณีมีความจำเป็นเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพของบุคคลใด ๆ ซึ่งไม่จำกัดเพียงเจ้าของข้อมูลส่วนบุคคลเท่านั้น เช่น กรณีบริษัทมีความจำเป็นต้องเก็บข้อมูลส่วนบุคคลเนื่องจากอุบัติเหตุฉุกเฉินที่เกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ บริษัทไม่ต้องขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังกล่าว
(3) ฐานสัญญา (Contract) บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลในกรณีมีความจำเป็นเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาโดยตรงกับบริษัท หรือดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญากับบริษัท เช่น กรณีการเข้าทำสัญญาหรือปฏิบัติตามสัญญาระหว่างบริษัทและผู้สมัครงาน บุคลากร ลูกค้า คู่ค้า หรือบุคคลอื่นใดที่เป็นคู่สัญญาหรืออาจเข้าเป็นคู่สัญญากับบริษัท เป็นต้น

ทั้งนี้ บริษัทไม่ต้องขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังกล่าว
(4) ฐานประโยชน์สาธารณะ (Public Interest) บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลในกรณีมีความจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัท หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่บริษัท

ทั้งนี้ บริษัทไม่ต้องขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังกล่าว
(5) ฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) ในบางกรณี บริษัทมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์โดยชอบด้วยกฎหมายในการดำเนินธุรกิจโดยปกติของบริษัทและ/หรือบุคคลที่สาม เช่น
  • การเก็บรวบรวมและ/หรือประมวลผลข้อมูลส่วนบุคคลของผู้สมัครงานและบุคลากรเพื่อประโยชน์ของบริษัท ผู้สมัครงานและบุคลากรในการพิจารณาคัดเลือกผู้สมัครงานเข้าเป็นบุคลากร รวมถึงเพื่อประโยชน์ในการบริหารจัดการทรัพยากรบุคคลของบริษัท
  • การเก็บรวบรวมและ/หรือประมวลผลข้อมูลส่วนบุคคลของลูกค้า คู่ค้าของบริษัทเพื่อประโยชน์ในการติดต่อทางธุรกิจของบริษัทกับลูกค้า คู่ค้า เป็นต้น
  • การเก็บรวบรวมและ/หรือประมวลผลข้อมูลส่วนบุคคลของบุคลากร ผู้มาติดต่อ หรือบุคคลอื่นใดที่เข้ามาภายในบริเวณบริษัทเพื่อประโยชน์ของบริษัทในการควบคุมดูแลและการรักษาความปลอดภัยในชีวิตหรือทรัพย์สินของบุคคลหรือบริษัท เป็นต้น
อย่างไรก็ดี บริษัทจะต้องระมัดระวังในการใช้ฐานทางกฎหมายนี้ในการเก็บรวบรวมข้อมูลส่วนบุคคล และหากกรณีพบว่าประโยชน์โดยชอบด้วยกฎหมายดังกล่าวมีความสำคัญน้อยกว่าสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล หรือเป็นกรณีที่อาจกระทบสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลเป็นอย่างมาก บริษัทจะไม่เก็บรวบรวมข้อมูลส่วนบุคคลโดยอาศัยฐานประโยชน์โดยชอบด้วยกฎหมายนี้ แต่บริษัทจะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลหากบริษัทยังคงประสงค์จะเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวต่อไป ทั้งนี้ เพื่อเป็นแนวทางในการปรับใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย บริษัทจะต้องทำการประเมินว่าการเก็บรวบรวมข้อมูลส่วนบุคคลใด ๆ เป็นไปตามหลักเกณฑ์ดังต่อไปนี้ทุกประการหรือไม่
(ก) บริษัทหรือบุคคลที่สามมีผลประโยชน์ที่ชอบด้วยกฎหมาย ในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวหรือไม่
(ข) การเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวมีความจำเป็นต่อผลประโยชน์ตามข้อ (ก) หรือไม่
(ค) เจ้าของข้อมูลส่วนบุคคลพึงคาดหมายได้ว่าบริษัทอาจมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวหรือไม่
(ง) การเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวมีความสำคัญไม่น้อยกว่าสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล หรือไม่ใช่เป็นกรณีที่อาจกระทบสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลเป็นอย่างมากหรือไม่
(จ) บริษัทมีมาตรการปกป้องดูแลข้อมูลส่วนบุคคลที่เหมาะสมในการจัดเก็บข้อมูลส่วนบุคคลนั้นแล้วหรือไม่
(6) ฐานการปฏิบัติหน้าที่ตามกฎหมาย (Legal Obligation) ในกรณีที่มีกฎหมายกำหนดให้บริษัทเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทไม่จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้อาจรวมถึงการดำเนินการกับข้อมูลส่วนบุคคลตามคำสั่งศาลหรือเจ้าหน้าที่ของรัฐ ตัวอย่างเช่น การเปิดเผยข้อมูลส่วนบุคคลของลูกจ้างให้แก่กรมสรรพากร การเก็บข้อมูลส่วนบุคคลของลูกจ้างไว้เพื่อการปฏิบัติตามกฎหมายการคุ้มครองแรงงาน กฎหมายการประกันสังคม การเก็บเอกสารทางบัญชีไว้เป็นระยะเวลาตามที่กฎหมายกำหนด เป็นต้น

5.2 กรณีข้อมูลส่วนบุคคลที่มีความอ่อนไหว บริษัทจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวได้ก็ต่อเมื่อได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล (โปรดดูหลักเกณฑ์และวิธีการในข้อ 5.1 (1)) เว้นแต่จะเข้าข้อยกเว้นตามกฎหมาย ดังนี้:

  • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าจะด้วยเหตุใดก็ตาม ซึ่งกรณีดังกล่าวมักจะเป็นการใช้สำหรับกรณีฉุกเฉิน
  • เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล
  • เป็นการจำเป็นเพื่อปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ:
    • เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของลูกจ้าง
    • ประโยชน์ด้านสาธารณสุข
    • การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลตามสิทธิของผู้มีสิทธิตามกฎหมาย ซึ่งการเก็บรวบรวมมีความจำเป็นต่อการปฏิบัติตามสิทธิหรือหน้าที่ของบริษัทหรือของเจ้าของข้อมูลส่วนบุคคล
    • การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น
    • ประโยชน์สาธารณะอื่นที่สำคัญ เช่น การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อวัตถุประสงค์ในการป้องกันโรคติดต่อหรือโรคระบาด การเก็บรวบรวมและเปิดเผยต่อหน่วยงานรัฐซึ่งข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อวัตถุประสงค์ในการป้องกันและปราบปรามการฟอกเงิน
      หมายเหตุ: แนวทางการพิจารณาและการตีความคำว่า “ประโยชน์สาธารณะ” อาจมีการเปลี่ยนแปลงตามแนวทางการพิจารณาและการให้ความหมายของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือตามที่ระบุในกฎหมายลำดับรองซึ่งอาจมีการประกาศใช้บังคับเป็นการเพิ่มเติมในอนาคต

ทั้งนี้ รายละเอียดในเรื่องของ ประเภท วัตถุประสงค์ และฐานทางกฎหมายของการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลโดยบริษัทนั้นจะปรากฏอยู่ในประกาศความเป็นส่วนตัว (Privacy Notice) สำหรับเจ้าของข้อมูลส่วนบุคคลประเภทต่าง ๆ

5.3 แนวปฏิบัติในการเก็บรวบรวมข้อมูลส่วนบุคคล

บริษัทจะต้องพิจารณาและเลือกเก็บรวบรวมข้อมูลเพียงเท่าที่จำเป็น และทิ้งหรือทำลายข้อมูลที่เก็บรวบรวมหรืออาจได้มาโดยไม่จำเป็น โดยเฉพาะอย่างยิ่งข้อมูลส่วนบุคคลที่มีความอ่อนไหว ทั้งนี้ เพื่อลดความเสี่ยงในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายของบริษัท รวมถึงความเสี่ยงในการเกิดการรั่วไหลของข้อมูลส่วนบุคคล

ดังนี้ ในกรณีที่บริษัทมีความจำเป็นต้องเก็บรวบรวมเอกสารซึ่งประกอบไปด้วยข้อมูลส่วนบุคคลที่ไม่จำเป็นบนเอกสารดังกล่าว เช่น การเก็บสำเนาบัตรประชาชนเพื่อประโยชน์ในการระบุตัวตนของบุคคล (เช่น ผู้สมัครงาน ลูกค้า คู่ค้า ผู้มาติดต่อ เป็นต้น) โดยปกติบริษัทจำเป็นต้องใช้เพียงข้อมูลส่วนบุคคลทั่วไปเท่านั้น (เช่น ชื่อ นามสกุล รูปภาพ) อย่างไรก็ดี เนื่องจากบนบัตรประชาชนอาจปรากฏข้อมูลศาสนาและหมู่โลหิต ซึ่งเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหวและไม่จำเป็นต่อการระบุตัวตนของบุคคล อีกทั้งยังเป็นข้อมูลที่ต้องได้รับความยินยอมก่อนการเก็บรวบรวมอีกด้วย ดังนั้น บริษัทจะต้องดำเนินการทำให้ข้อมูลดังกล่าวไม่ปรากฏบนสำเนาบัตรประชาชนก่อนการเก็บรวบรวม เช่น การขีดฆ่าข้อมูลที่ไม่จำเป็นในสำเนาบัตรประชาชนที่ตนได้รับมา เหลือเพียงข้อมูลที่จำเป็นสำหรับการระบุตัวตนเท่านั้น เป็นต้น

6) ประกาศความเป็นส่วนตัว (Privacy Notice) สำหรับเจ้าของข้อมูลส่วนบุคคล

เมื่อใดก็ตามที่บริษัทจะดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคล บริษัทจะแจ้งประกาศความเป็นส่วนตัว (Privacy Notice) ต่อเจ้าของข้อมูลส่วนบุคคลประเภทต่าง ๆ เช่น ผู้สมัครงาน บุคลากรและผู้ถือหุ้น ลูกค้า คู่ค้า หรือบุคคลอื่นใดที่บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคล เพื่อชี้แจงรายละเอียดเกี่ยวกับการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลโดยบริษัท โดยประกาศความเป็นส่วนตัว (Privacy Notice) อย่างน้อยต้องประกอบด้วยรายละเอียด ดังต่อไปนี้

  1. วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล
  2. ฐานทางกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล
  3. แจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญา หรือเพื่อเข้าทำสัญญา รวมทั้งแจ้งถึงผลกระทบกรณีเจ้าของข้อมูลไม่ให้ข้อมูลส่วนบุคคล
  4. ข้อมูลส่วนบุคคลที่บริษัทจะเก็บรวบรวม
  5. ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล (ในกรณีที่ไม่สามารถกำหนดระยะเวลาที่แน่นอนได้ ให้ระบุระยะเวลาที่อาจคาดหมายได้)
  6. ประเภทของบุคคลหรือหน่วยงานซึ่งบริษัทอาจเปิดเผยข้อมูลส่วนบุคคลไปให้
  7. สิทธิของเจ้าของข้อมูลส่วนบุคคล
  8. ข้อมูลและรายละเอียดการติดต่อบริษัท เช่น สถานที่ติดต่อ วิธีการติดต่อ (ในกรณีที่บริษัทมีตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ต้องแจ้งรายละเอียดการติดต่อของบุคคลดังกล่าวด้วย)
  9. รายละเอียดอื่นๆ ที่เกี่ยวข้อง เพื่อให้เจ้าของข้อมูลส่วนบุคคลทราบ เข้าใจ และประกอบการพิจารณาให้ความยินยอมแก่บริษัท ในกรณีที่บริษัทไม่สามารถเก็บรวบรวมข้อมูลส่วนบุคคลโดยปราศจากความยินยอมของเจ้าของข้อมูลส่วนบุคคลได้

ทั้งนี้ บริษัทจะต้องแจ้งหรือส่งมอบประกาศความเป็นส่วนตัว (Privacy Notice) ให้กับเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่กรณีข้อมูลส่วนบุคคลที่บริษัทได้เก็บรวบรวม ใช้ หรือเปิดเผยก่อนมีนโยบายนี้และบริษัทยังมีความจำเป็นต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าวต่อไปอยู่ บริษัทจะต้องดำเนินการแจ้งหรือส่งมอบประกาศความเป็นส่วนตัว (Privacy Notice) ให้เจ้าของข้อมูลส่วนบุคคลทราบโดยเร็วที่สุด

อย่างไรก็ดี ในกรณีที่บริษัทได้ว่าจ้างบุคคลหรือองค์กรอื่นใดเพื่อประมวลผลข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของบริษัท และซึ่งบุคคลหรือองค์กรดังกล่าวมีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล บริษัทอาจมอบหมายให้ผู้ประมวลผลข้อมูลส่วนบุคคลนั้น ๆ เป็นผู้ดำเนินการแจ้งประกาศความเป็นส่วนตัว (Privacy Notice) แทนบริษัท ซึ่งบริษัทจะต้องดำเนินการให้ผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าวปฏิบัติตามให้สอดคล้องและเป็นไปตามนโยบายนี้เฉกเช่นเดียวกัน และถือเสมือนว่าบริษัทได้ดำเนินการแจ้งรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามหน้าที่ที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดในฐานะที่บริษัทเป็นผู้ควบคุมข้อมูลส่วนบุคคลแล้ว

7) สิทธิของเจ้าของข้อมูลส่วนบุคคล

บริษัทจะต้องพึงตระหนักว่าเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะดำเนินการใด ๆ กับข้อมูลส่วนบุคคลของตนซึ่งอยู่ในความครอบครองของบริษัท ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด ดังนี้ บริษัทจึงต้องจัดให้มีแบบคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล เพื่ออำนวยความสะดวกให้แก่เจ้าของข้อมูลส่วนบุคคลในการแจ้งความประสงค์ขอใช้สิทธิต่าง ๆ กับบริษัท อย่างไรก็ดี ในกรณีที่บริษัทมีเหตุจำเป็นต้องปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล บริษัทจะต้องแจ้งเหตุแห่งการปฏิเสธดังกล่าวให้เจ้าของข้อมูลส่วนบุคคลทราบเป็นลายลักษณ์อักษรด้วย

สิทธิของเจ้าของข้อมูลส่วนบุคคล รายละเอียด
7.1 สิทธิเพิกถอนความยินยอม

เจ้าของข้อมูลส่วนบุคคลมีสิทธิเพิกถอนความยินยอมซึ่งได้เคยให้ไว้กับบริษัทผ่านหนังสือขอความยินยอม ไม่ว่าจะเป็นการเพิกถอนความยินยอมบางส่วนหรือทั้งหมด และสามารถกระทำได้ตลอดระยะเวลาที่บริษัทเก็บรักษาข้อมูลส่วนบุคคล ทั้งนี้ บริษัทจะต้องแจ้งถึงผลกระทบให้เจ้าของข้อมูลส่วนบุคคลทราบเมื่อมีการเพิกถอนด้วย (ถ้ามี) อย่างไรก็ดี การเพิกถอนความยินยอมจะไม่กระทบถึงการใด ๆ ที่บริษัทได้กระทำไปแล้วก่อนหน้าอันเนื่องมาจากการได้รับความยินยอมโดยชอบด้วยกฎหมายจากเจ้าของข้อมูลส่วนบุคคล


เหตุปฏิเสธคำขอ: เป็นกรณีที่มีข้อจำกัดสิทธิในการถอนความยินยอมตามกฎหมายหรือเป็นกรณีข้อมูลส่วนบุคคลที่เกี่ยวข้องกับสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล


ระยะเวลาการตอบสนอง: โดยไม่ชักช้า
7.2 สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของบริษัท หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม


เหตุปฏิเสธคำขอ: บริษัทอาจปฏิเสธคำขอบังคับตามสิทธินี้ได้ในกรณีต่อไปนี้เท่านั้น:

  • เป็นการทำตามกฎหมายหรือคำสั่งศาล หรือ
  • เมื่อบริษัทเห็นว่าจะส่งผลกระทบต่อสิทธิและเสรีภาพขั้นพื้นฐานของบุคคลอื่น

ทั้งนี้หากมีเหตุแห่งการปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิข้างต้น บริษัทจะต้องทำการบันทึกการปฏิเสธคำขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป


ระยะเวลาการตอบสนอง: กรณีบริษัทไม่อาจปฏิเสธได้ บริษัทจะต้องดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคคลภายใน 30 วัน นับแต่วันที่ได้รับคำขอ
1.1 สิทธิร้องขอรับและขอให้โอนหรือส่งข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากบริษัท หรือขอให้บริษัทส่งหรือโอนข้อมูลไปให้แก่บุคคลหรือองค์กรอื่นในรูปแบบที่สามารถอ่านได้หรือใช้งานได้โดยทั่วไป รวมถึงมีสิทธิขอรับข้อมูลส่วนบุคคลของตนเองที่บริษัทหรือบุคคลหรือองค์กรอื่นที่ได้รับโอนไปเก็บรวบรวมไว้ การร้องขอนี้จะใช้ได้ในกรณีที่บริษัทได้เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยได้รับความยินยอมหรือเพื่อปฏิบัติตามสัญญาหรือคำร้องขอก่อนทำสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับบริษัทเท่านั้น


เหตุปฏิเสธคำขอ: บริษัทสามารถปฎิเสธคำร้องขอได้หากข้อมูลส่วนบุคคลดังกล่าวนั้นถูกใช้เพื่อประโยชน์สาธารณะหรือเพื่อปฏิบัติหน้าที่ตามกฎหมาย หรือการใช้สิทธินั้นเป็นการละเมิดสิทธิและเสรีภาพของบุคคลอื่น เช่น กรณีที่ข้อมูลดังกล่าวมีข้อมูลที่เป็นความลับทางการค้า หรือข้อมูลทรัพย์สินทางปัญญาเป็นส่วนหนึ่ง
ทั้งนี้ หากมีเหตุแห่งการปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิข้างต้น บริษัทจะต้องทำการบันทึกการปฏิเสธคำขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป


ระยะเวลาการตอบสนอง: โดยไม่ชักช้า
7.4 สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทได้ในกรณีต่อไปนี้:

(1) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์โดยชอบด้วยกฎหมายหรือสาธารณะประโยชน์ ซึ่งรวมถึงการปฏิบัติตามคำสั่งของเจ้าหน้าที่รัฐด้วย
เหตุปฏิเสธคำขอ (สำหรับข้อ 7.4 (1)): บริษัทสามารถพิสูจน์ได้ว่ามีเหตุที่ชอบด้วยกฎหมายที่สำคัญยิ่งกว่าผลประโยชน์ สิทธิ หรือเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อก่อตั้ง ปฏิบัติตาม ใช้ หรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
ทั้งนี้หากมีเหตุแห่งการปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิข้างต้น บริษัทจะต้องทำการบันทึกการปฏิเสธคำขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป
(2) กรณีการตลาดแบบตรง เจ้าของข้อมูลส่วนบุคคลสามารถคัดค้านได้อย่างไม่มีเงื่อนไข
(3) เพื่อการวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ สถิติ เว้นแต่เป็นการจำเป็นเพื่อประโยชน์สาธารณะ


ระยะเวลาการตอบสนอง: โดยไม่ชักช้า และในกรณีที่บริษัทไม่มีเหตุแห่งการปฏิเสธ บริษัทจะดำเนินการแยกส่วนข้อมูลส่วนบุคคลข้างต้นออกจากข้อมูลอื่นในทันทีนับแต่เมื่อเจ้าของข้อมูลส่วนบุคคลแจ้งการคัดค้านให้ทราบ
7.5 สิทธิร้องขอให้ลบข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลกลายเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ หรือทำให้เป็นข้อมูลที่ไม่สามารถนำกลับมาใช้ได้ เมื่อ:
(1) ข้อมูลส่วนบุคคลนั้นหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์แล้ว ทั้งนี้ ตามระยะเวลาที่อาจบอกกล่าวให้เจ้าของข้อมูลทราบในประกาศความเป็นส่วนตัว (Privacy Notice)
(2) เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอมและบริษัทไม่สามารถใช้ฐานทางกฎหมายอื่นในการเก็บข้อมูลได้อีก
(3) เจ้าของข้อมูลส่วนบุคคลได้คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และบริษัทไม่สามารถปฏิเสธคำคัดค้านได้
(4) ข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย


เหตุปฏิเสธคำขอ: บริษัทมีสิทธิปฏิเสธคำขอได้ในกรณีที่ได้เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ในกรณีต่อไปนี้

  • เป็นการเก็บรักษาเพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น
  • เพื่อการบรรลุวัตถุประสงค์ในฐานเกี่ยวกับการจัดทำเอกสารทางประวัติศาสตร์หรือจดหมายเหตุ การวิจัย สถิติหรือฐานประโยชน์สาธารณะ
  • เป็นการเก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหวซึ่งเป็นการจำเป็นในการปฏิบัติหน้าที่ตามกฎหมายเพื่อวัตถุประสงค์ในด้านเวชศาสตร์ป้องกัน อาชีวเวชศาสตร์ ประเมินความสามารถในการทำงานของลูกจ้าง ประโยชน์สาธารณะด้านการสาธารณสุข
  • การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
  • การใช้เพื่อปฏิบัติหน้าที่ตามกฎหมาย

หากข้อมูลส่วนบุคคลนั้นได้ถูกเปิดเผยต่อสาธารณะโดยการกระทำของบริษัทหรือถูกโอนให้ผู้ควบคุมข้อมูลส่วนบุคคลอื่น และเจ้าของข้อมูลส่วนบุคคลได้มีคำขอให้ลบ ทำลาย หรือทำให้ข้อมูลดังกล่าวไม่สามารถระบุตัวตนได้ บริษัทต้องดำเนินการในการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลดังกล่าวไม่สามารถระบุตัวตนได้ และต้องแจ้งผู้ควบคุมข้อมูลส่วนบุคคลอื่น ๆ ให้ดำเนินการเช่นว่าด้วย


ระยะเวลาการตอบสนอง: โดยไม่ชักช้า

7.6 สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทระงับการใช้ข้อมูลส่วนบุคคลได้ เมื่อ:
(1) ได้มีการร้องขอให้บริษัทแก้ไขความถูกต้องของข้อมูลส่วนบุคคลและอยู่ในระหว่างการตรวจสอบ อย่างไรก็ดี บริษัทอาจพิจารณายกเลิกการระงับการใช้ข้อมูลส่วนบุคคลได้หากบริษัทตรวจสอบแล้วเห็นว่าข้อมูลที่ได้รับการร้องขอให้แก้ไขเป็นข้อมูลที่ถูกต้องอยู่แล้ว โดยแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนการยกเลิกพร้อมเหตุผล
(2) เป็นการใช้ข้อมูลที่ไม่ชอบด้วยกฎหมาย แต่เจ้าของข้อมูลส่วนบุคคลขอให้ระงับการใช้แทนการลบ
(3) ข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้แล้ว แต่เจ้าของข้อมูลได้เคยขอให้บริษัทเก็บรักษาข้อมูลไว้เพราะจำเป็นต่อการใช้ ก่อตั้ง ปฏิบัติตาม หรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมายของเจ้าของข้อมูลส่วนบุคคลเอง
(4) บริษัทอยู่ในระหว่างการพิสูจน์เพื่อปฏิเสธการคัดค้านข้อมูลส่วนบุคคล อย่างไรก็ดี บริษัทอาจพิจารณายกเลิกการระงับการใช้ข้อมูลส่วนบุคคลได้หากบริษัทเห็นว่าบริษัทมีสิทธิในการใช้ข้อมูลต่อไปตามเหตุแห่งการปฏิเสธสิทธิในการคัดค้านข้อมูลส่วนบุคคลที่กล่าวไปข้างต้น


ระยะเวลาการตอบสนอง: โดยไม่ชักช้า

7.7 สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลอาจขอให้บริษัทดำเนินการให้ข้อมูลส่วนบุคคลนั้น ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด


ทั้งนี้หากมีเหตุแห่งการปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิข้างต้น บริษัทจะต้องทำการบันทึกการปฏิเสธคำขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป


ระยะเวลาการตอบสนอง: โดยไม่ชักช้า

7.8 สิทธิการร้องเรียน เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญซึ่งได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เมื่อเห็นว่าบริษัทหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของบริษัทหรือผู้ประมวลผลข้อมูลส่วนบุคคล ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

8) หน้าที่และความรับผิดชอบของบุคลากร

บุคลากรทุกคนของบริษัทมีหน้าที่ในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ รวมถึงจะต้องรักษาความลับในข้อมูลส่วนบุคคลอย่างเคร่งครัด และไม่นำข้อมูลส่วนบุคคลที่ได้รับในระหว่างการปฏิบัติหน้าที่การงานแก่บริษัทไปใช้ในทางที่ไม่เหมาะสม เพื่อแสวงหาประโยชน์ส่วนตัว หรือโดยมิชอบด้วยกฎหมาย โดยอาจแบ่งหน้าที่ได้ ดังนี้

8.1 ตำแหน่งกรรมการผู้จัดการและบุคลากรระดับบริหาร

มีหน้าที่กำกับดูแลกระบวนการคุ้มครองข้อมูลส่วนบุคคลทั้งหมดของบริษัท ดังนี้

  • กำหนดบุคคลหรือหน่วยงานซึ่งทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) และ/หรือบุคคลหรือหน่วยงานอื่น เพื่อเป็นศูนย์กลางของบริษัทในการดูแลและรับเรื่องที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลจากหน่วยงานต่างๆ ภายในบริษัท
  • มอบหมายงานให้แก่พนักงานในการกำหนดวิธีปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงวิธีปฏิบัติในการจัดการความเสี่ยงที่อาจเกิดขึ้นจากการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลโดยบริษัท พร้อมทั้งแนวทางในการแก้ปัญหาอย่างเป็นรูปธรรมเมื่อเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคลขึ้นภายในบริษัท
  • จัดให้มีการควบคุมและตรวจสอบการปฏิบัติตามนโยบายหรือความเหมาะสมของนโยบายนี้อย่างสม่ำเสมอ
  • เป็นผู้อนุมัติในการดำเนินงานเชิงนโยบายต่าง ๆ ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เช่น จัดให้มีการทบทวนความเหมาะสมของนโยบายนี้หรือการคุ้มครองข้อมูลส่วนบุคคลภายในบริษัทหรือแก้ไขเปลี่ยนแปลงนโยบายนี้
  • พิจารณาและอนุมัติในการตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลหากการตอบสนองต่อการร้องขอดังกล่าวอาจมีผลกระทบอย่างมีนัยสำคัญต่อบริษัท เจ้าของข้อมูลส่วนบุคคล และ/หรือบุคคลอื่นใด

8.2 ตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)

มีหน้าที่ให้คำแนะนำและตรวจสอบกระบวนการคุ้มครองข้อมูลส่วนบุคคลทั้งหมดของบริษัท ดังนี้

  • อนุญาตให้บุคคลใดเข้าถึงข้อมูลส่วนบุคคลหรือมอบหมายหน้าที่ให้แก่พนักงานในการเป็นผู้รับผิดชอบในการดูแลข้อมูลส่วนบุคคลในส่วนต่าง ๆ ของแผนก
  • จัดให้มีแนวปฏิบัติและการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในแผนก และสร้างความเข้าใจร่วมกันว่าข้อมูลส่วนบุคคลใดที่จำเป็นต้องเก็บและข้อมูลส่วนบุคคลใดที่ไม่จำเป็นต้องเก็บเพื่อการใช้ปฏิบัติงานภายในแผนก
  • จัดให้มีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลในแผนกให้มีมาตรฐานตามกฎหมายและนโยบายนี้
  • อนุมัติในการตอบสนองคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลและปรึกษาหารือกับแผนกที่เกี่ยวข้องในเรื่องดังกล่าว รวมถึงหารือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล และรายงานต่อฝ่ายบริหารเพื่อขออนุมัติหากการตอบสนองต่อการร้องขอดังกล่าวอาจมีผลกระทบอย่างมีนัยสำคัญต่อบริษัท เจ้าของข้อมูลส่วนบุคคล และ/หรือบุคคลอื่นใด
  • ปรึกษาหารือกับฝ่ายบริหารและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อกำหนดวิธีปฏิบัติที่เหมาะสม
  • จัดให้มีการบันทึกการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลของแผนกตามรายการที่กำหนดในนโยบายนี้
  • รับรายงานจากผู้ใต้บังคับบัญชากรณีได้รับแจ้งถึงเหตุการละเมิดข้อมูลส่วนบุคคล และพิจารณาว่าการละเมิดนั้นอาจมีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลหรือไม่ รวมถึงการปรึกษาหารือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลและผู้บริหารเพื่อพิจารณาให้มีคำสั่งให้ดำเนินการใด ๆ ที่เหมาะสมตามนโยบายนี้ต่อไป

8.4 ตำแหน่งระดับพนักงาน

มีหน้าที่ปฏิบัติตามกฎหมายและนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้อย่างเคร่งครัด โดยเฉพาะในส่วนที่เป็นขั้นตอนในระดับการปฏิบัติการ ดังนี้

  • เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามกฎหมายและนโยบายนี้ รวมถึงเข้าร่วมการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
  • ปฏิบัติตามหน้าที่ที่ได้รับมอบหมายในการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ในเรื่องที่เกี่ยวกับการจัดการข้อมูลส่วนบุคคล เช่น ความปลอดภัย การส่ง โอน เปิดเผย หรือการบันทึกข้อมูลต่าง ๆ เป็นต้น
  • แจ้งให้ผู้บังคับบัญชาทราบในกรณีที่เห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด ๆ ในบริษัท หรือคำสั่งให้กระทำการใดๆ ดังกล่าวไม่ชอบด้วยกฎหมาย หรือเมื่อเห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด ๆ อาจก่อให้เกิดความเสี่ยงต่อการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล
  • แจ้งให้ผู้บังคับบัญชาทราบเพื่ออนุมัติในกรณีได้รับคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
  • แจ้งให้ผู้บังคับบัญชาทราบโดยทันทีในกรณีทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคล ไม่ว่าการละเมิดนั้นจะเกิดจากการจงใจหรือประมาทเลินเล่อของบุคคลใดก็ตาม และไม่ว่าการละเมิดนั้นอาจจะมีหรือไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล

หมายเหตุ
การฝ่าฝืนกฎหมายคุ้มครองข้อมูลส่วนบุคคลและ/หรือนโยบายนี้ของบุคลากร อาจถือเป็นเหตุลงโทษทางวินัยได้ และหากการกระทำดังกล่าวส่งผลกระทบทำให้เกิดความเสียหายแก่บริษัท บริษัทอาจถือให้เป็นเหตุเลิกจ้างหรือเลิกสัญญาได้ นอกจากนี้ กรณีบุคลากรซึ่งกระทำการฝ่าฝืนดังกล่าวเป็นผู้กระทำการแทนบริษัท อาจต้องรับโทษทางอาญา ได้แก่ โทษปรับและ/หรือจำคุกเป็นการส่วนตัวด้วย ดังนั้น บุคลากรผู้ที่เกี่ยวข้องจึงต้องศึกษากฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและนโยบายนี้ และปฏิบัติตามอย่างเคร่งครัด

9) หน้าที่และความรับผิดชอบของผู้ประมวลผลข้อมูลส่วนบุคคล

ในกรณีที่บริษัทว่าจ้างหรือมอบหมายให้คู่ค้าของบริษัทดำเนินการอย่างหนึ่งอย่างใดกับข้อมูลส่วนบุคคล และคู่ค้าดังกล่าวมีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัทโดยดำเนินการตามคำสั่งหรือในนามของบริษัท บริษัทต้องจัดให้มีข้อตกลงกับผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล โดยกำหนดหน้าที่ให้ผู้ประมวลผลข้อมูลส่วนบุคคลปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและนโบบายนี้อย่างเคร่งครัด โดยมีหน้าที่ดังนี้

  • เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามกฎหมายและนโยบายนี้ และภายใต้กรอบวัตถุประสงค์หรือคำสั่งของบริษัทตามที่กำหนดในข้อตกลงการประมวลผลข้อมูลส่วนบุคคลซึ่งจะได้จัดให้มีขึ้น รวมถึงเข้าร่วมการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัทเมื่อมีการร้องขอ
  • จัดให้มีมาตรการในการรักษาความมั่งคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
  • แจ้งให้บริษัททราบโดยไม่ชักช้าหากมีการละเมิดข้อมูลส่วนบุคคล ทั้งนี้ภายในระยะเวลา 24 ชั่วโมงนับตั้งแต่ที่ทราบถึงการละเมิดนั้น
  • สนับสนุนและช่วยเหลือบริษัทในการตอบสนองคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล

หมายเหตุ
กรณีคู่ค้าซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท กระทำการฝ่าฝืนกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือนโยบายนี้ของบริษัท อาจถือว่าเป็นการผิดสัญญาที่มีกับบริษัทด้วย และหากการฝ่าฝืนดังกล่าวส่งผลกระทบทำให้เกิดความเสียหายแก่บริษัท บริษัทอาจถือให้เป็นเหตุเลิกสัญญาได้

10) มาตรการการคุ้มครองข้อมูลส่วนบุคคล

บริษัทจะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยเชิงนโยบายและเชิงเทคนิคที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ตามมาตรฐานที่กฎหมายกำหนด

11) การบันทึก การใช้และเปิดเผยข้อมูลส่วนบุคคล

บริษัทจะต้องจัดให้มีการบันทึกการใช้และเปิดเผยข้อมูลส่วนบุคคลที่ได้เก็บรวบรวม โดยมีรายการอย่างน้อย ได้แก่

  • ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม รวมถึงวัตถุประสงค์และระยะเวลาการจัดเก็บข้อมูลส่วนบุคคลตามแต่ละวัตถุประสงค์
  • การใช้หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีการเก็บข้อมูลโดยอาศัยฐานทางกฎหมายอื่นที่ไม่ใช่การขอความยินยอม
  • สิทธิและวิธีการและเงื่อนไขในการใช้สิทธิเข้าถึงข้อมูลของเจ้าของข้อมูลส่วนบุคคล
  • การปฏิเสธหรือคัดค้านคำขอใช้สิทธิประเภทต่างๆ พร้อมเหตุผลตามที่ระบุในนโยบายนี้
  • คำอธิบายมาตรการรักษาความมั่นคงปลอดภัยที่บริษัทจัดให้มีขึ้น

ทั้งนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลตรวจสอบได้ และสามารถบังคับตามสิทธิที่เจ้าของข้อมูลส่วนบุคคลแจ้งหรือร้องขอแก่บริษัท

12) การเปิดเผย ส่ง หรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองค์กรระหว่างประเทศ

ในกรณีบริษัทมีความจำเป็นต้องเปิดเผย ส่ง หรือโอนข้อมูลส่วนบุคคลไปนอกประเทศไทยหรือองค์กรระหว่างประเทศ บริษัทจะต้องดำเนินการให้แน่ใจว่า:

12.1 ประเทศปลายทางได้ถูกรับรองว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ

12.2 กรณีประเทศปลายทางมีมาตรฐานไม่เพียงพอ การโอนข้อมูลส่วนบุคคลจะต้องเข้าข้อยกเว้นตามกฎหมาย อันได้แก่

  • เป็นการปฏิบัติตามกฎหมาย
  • ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยแจ้งให้รู้ถึงมาตรฐานที่ไม่เพียงพอของประเทศหรือองค์กรปลายทางแล้ว
  • เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อดำเนินการตามคำร้องขอก่อนเข้าทำสัญญา
  • เป็นการปฏิบัติตามสัญญาระหว่างบริษัทกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
  • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
  • เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ

12.3 กรณีที่เป็นการส่งหรือโอนข้อมูลระหว่างบุคคลหรือนิติบุคคลต่างประเทศซึ่งอยู่ในเครือกิจการเดียวกัน บริษัทอาจส่งหรือโอนข้อมูลส่วนบุคคลระหว่างกัน โดยไม่ต้องดำเนินการตามที่กำหนดไว้ในข้อ 10.1 และข้อ 10.2 ข้างต้น โดยบริษัทจะต้องจัดให้มีนโยบายการคุ้มครองข้อมูลส่วนบุคคลสำหรับการส่งหรือโอนข้อมูลระหว่างกันในเครือธุรกิจเดียวกันที่ได้รับการตรวจสอบและรับรองจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ในปัจจุบันบริษัทยังไม่มีนโยบายการส่งข้อมูลส่วนบุคคลระหว่างกันสำหรับบริษัทในเครือ)

ในปัจจุบัน คณะกรรมการยังมิได้มีการกำหนดประเทศที่มีมาตรฐานเพียงพอและยังไม่มีการรับรองนโยบายการส่งหรือโอนข้อมูลส่วนบุคคลระหว่างกันสำหรับบริษัทในเครือ อย่างไรก็ตาม บริษัทก็ยังสามารถส่งข้อมูลส่วนบุคคลไปต่างประเทศหรือองค์กรระหว่างประเทศได้หากบริษัทได้จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมสามารถบังคับตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ รวมทั้งมีมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพตามมาตรฐานที่กฎหมายกำหนด ทั้งนี้ ปัจจุบันกฎหมายยังไม่ได้กำหนดมาตรฐานดังกล่าวไว้แต่อย่างใด บริษัทจึงสามารถดำเนินการส่งหรือโอนข้อมูลส่วนบุคคลให้เป็นไปตามเงื่อนไขที่กำหนดไว้ในข้อ 2. จนกว่าจะมีการประกาศใช้กฎหมายเพิ่มเติมในเรื่องดังกล่าว

13) การดำเนินการเมื่อมีการละเมิดข้อมูลส่วนบุคคล

เมื่อมีเหตุละเมิดข้อมูลส่วนบุคคลเกิดขึ้นภายในบริษัท โดยที่เหตุละเมิดนั้นมีความเสี่ยงที่จะกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บุคลากรที่เกี่ยวข้องจะต้องประสานงานกันเพื่อดำเนินการให้ถูกต้องตามกฎหมาย โดยบริษัทจะต้องแจ้งการละเมิดดังกล่าวแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ที่ได้ทราบเหตุเท่าที่สามารถจะกระทำได้ ในกรณีที่การละเมิดนั้นมีความเสี่ยงสูงที่จะเกิดผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ให้บริษัทแจ้งเหตุการณ์ละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมแนวทางเยียวยาโดยไม่ชักช้าด้วย

14) การแก้ไขเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคล

นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้อาจมีการแก้ไขเปลี่ยนแปลงเป็นครั้งคราวตามสมควร ทั้งนี้ตามการแก้ไขเพิ่มเติมของกฎหมาย และความเหมาะสมทางธุรกิจ

หมายเหตุ: นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ได้รับการแก้ไขเปลี่ยนแปลงและประกาศครั้งล่าสุดเมื่อวันที่ 1 มกราคม 2568

15) การสอบถามข้อมูลเพิ่มเติม และการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล

กรณีมีข้อสงสัยหรือคำถามเพิ่มเติมเกี่ยวกับนโยบายฉบับนี้ หรือกรณีมีความประสงค์จะแจ้งเหตุแห่งการละเมิดข้อมูลส่วนบุคคล โปรดติดต่อ บริษัทวินเทอร์ อีเจนซี่ จำกัด แขวงลุมพินี เขตปทุมวัน กรุงเทพมหานคร 10330 เบอร์โทรศัพท์ 02-254-6414 หรือ อีเมล์ info@winter.co.th