นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

 
 
 
 

นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

บริษัท โอ เอส ดี จำกัด ("บริษัท") เป็นนิติบุคคลตามตามประมวลกฎหมายแพ่งและพาณิชย์ ผู้ดำเนินธุรกิจหลักด้านโทรคมนาคม และธุรกิจดิจิทัล ซึ่งในการดำเนินการดังกล่าว บริษัทอาจมีความจำเป็นจะต้องเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล (“ท่าน”) โดยบริษัทให้ความสำคัญกับการปฏิบัติตามกฎหมายจึงตระหนักในความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ซึ่งเป็นสิทธิขั้นพื้นฐานสำคัญในความเป็นส่วนตัว ที่ต้องได้รับความคุ้มครอง และปฏิบัติตามกฎหมาย และกฎเกณฑ์ที่กำหนดโดยต้องจัดระบบเพื่อควบคุมดูแลอย่างเข้มงวด และรัดกุม เพื่อให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลปลอดภัย มีเสถียรภาพ และการประมวลผลข้อมูลเป็นไปอย่างโปร่งใส

บริษัทจึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ (“นโยบาย”) ซึ่งอธิบายถึงวิธีการที่บริษัทปฏิบัติต่อข้อมูลส่วนบุคคล และข้อมูลอ่อนไหวของท่าน เช่น การเก็บรวบรวม การจัดเก็บรักษา การใช้ การเปิดเผย รวมถึงสิทธิต่าง ๆ ของท่าน ซึ่งถือเป็นส่วนหนึ่งของข้อกำหนด และเงื่อนไขการให้บริการ โดยบริษัทขอแนะนำให้ท่านทำความเข้าใจนโยบายฉบับนี้ก่อนการใช้บริการ และในการใช้บริการแต่ละครั้ง ถือว่าท่านได้อ่าน และรับทราบเงื่อนไขรายละเอียดนโยบายฉบับนี้แล้ว

1. คำนิยาม
ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรง หรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
ข้อมูลส่วนบุคคลอ่อนไหว หมายถึง ข้อมูลเกี่ยวกับเชื้อชาติ เผ่าพันธ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด
เจ้าของข้อมูลส่วนบุคคล หมายถึง ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น แต่ไม่ใช่กรณีที่บุคคลมีความเป็นเจ้าของข้อมูล หรือเป็นผู้สร้าง หรือเก็บรวบรวมข้อมูลนั้นเอง โดยเจ้าของข้อมูลส่วนบุคคลนี้ หมายถึง บุคคลธรรมดาเท่านั้น และไม่รวมถึงนิติบุคคลที่จัดตั้งขึ้นตามกฎหมาย เช่น บริษัท สมาคม มูลนิธิ หรือองค์กรอื่นใด
ประมวลผล หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคลไม่ว่าด้วยวิธีการอัตโนมัติหรือไม่ก็ตาม เช่น การเก็บรวบรวม การบันทึก การจัดระบบ การจัดเก็บ การปรับเปลี่ยนหรือการดัดแปลง การเรียกคืน การปรึกษา การใช้ การเปิดเผย (โดยการส่ง โอน การเผยแพร่หรือการทำให้สามารถเข้าถึง หรือพร้อมใช้งานโดยวิธีใด ๆ) การจัดเรียง การนำมารวมกัน การบล็อก หรือจำกัด การลบ หรือการทำลาย เป็นต้น
ผู้ควบคุมข้อมูลส่วนบุคคล หมายถึง บุคคลธรรมดา หรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล หมายถึง บุคคลธรรมดา หรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
คุกกี้ หมายถึง ไฟล์คอมพิวเตอร์ขนาดเล็ก ที่จัดเก็บข้อมูลส่วนบุคคลชั่วคราวที่จำเป็นลงในเครื่องคอมพิวเตอร์ของเจ้าของข้อมูลส่วนบุคคล เพื่อความสะดวก และรวดเร็วในการติดต่อสื่อสารซึ่งจะมีผลในขณะที่เข้าใช้งานระบบเว็บไซต์เท่านั้น
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หมายถึง บุคคลซึ่งได้รับการแต่งตั้งจากบริษัทให้มีหน้าที่ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
2. ประเภทเจ้าของข้อมูลส่วนบุคคล

บริษัทประมวลผลข้อมูลส่วนบุคคล ตามประกาศความเป็นส่วนตัว (Privacy Notice) แต่ละฉบับ ซึ่งแยกตามประเภทของเจ้าของข้อมูลส่วนบุคคล และแยกตามกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคล ดังต่อไปนี้
2.1  ลูกค้า และผู้ที่คาดว่าจะเป็นลูกค้าในอนาคต โปรดดู ประกาศความเป็นส่วนตัว สำหรับลูกค้า
2.2  คู่ค้า และผู้ที่คาดว่าจะเป็นคู่ค้าในอนาคต โปรดดู ประกาศความเป็นส่วนตัว สำหรับคู่ค้า
2.3  ผู้สมัครงาน พนักงาน และนักศึกษาฝึกงาน โปรดดู ประกาศความเป็นส่วนตัว สำหรับผู้สมัครงาน พนักงาน และนักศึกษาฝึกงาน
2.4  บุคคลธรรมดาที่ไม่ใช่ลูกค้า/ผู้ใช้บริการสินค้า หรือบริการของบริษัท แต่บริษัทอาจมีความจำเป็นต้องเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล เช่น บุคคลที่ได้เข้าชมเว็บไซต์ หรือแอปพลิเคชันของบริษัท หรือเข้าใช้บริการที่สำนักงาน สาขา หรือสำนักงานบริการของบริษัท โปรดดู นโยบายการใช้คุกกี้
2.5  บุคคลธรรมดาที่เข้ามาภายใน และโดยรอบสถานที่ของบริษัท โปรดดู ประกาศการคุ้มครองข้อมูลส่วนบุคคลเกี่ยวกับการใช้กล้องวงจรปิด

3. หลักการในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูล

บริษัทในฐานะเป็นตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่บริหารจัดการข้อมูลส่วนบุคคล ให้เป็นไปตามหลักการของกฎหมายคุ้มครองข้อมูลส่วนบุคคล ดังนี้
3.1  หลักความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส (Lawfulness, Fairness and Transparency) ข้อมูลส่วนบุคคลของเจ้าของข้อมูลจะถูกนำไปประมวลผลเมื่อมีฐานทางกฎหมายรองรับให้กระทำได้ และจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือขณะประมวลผลทุกครั้ง
3.2  หลักการจำกัดด้วยวัตถุประสงค์ (Purpose Limitation) ข้อมูลส่วนบุคคลของเจ้าของข้อมูลจะถูกรวบรวมเพื่อวัตถุประสงค์ที่บริษัทระบุไว้ ชัดเจน และถูกต้องตามกฎหมาย และไม่ถูกนำไปประมวลผลในลักษณะที่ไม่สอดคล้องกับวัตถุประสงค์ดังกล่าว
3.3  หลักการมีข้อมูลให้น้อยที่สุดเท่าที่จำเป็น (Data Minimization) ข้อมูลส่วนบุคคลของเจ้าของข้อมูลจะถูกนำไปใช้อย่างจำกัดเฉพาะตามความจำเป็นตามวัตถุประสงค์ที่ต้องนำไปประมวลผล
3.4  หลักความถูกต้องของข้อมูลส่วนบุคคล (Accuracy) ข้อมูลส่วนบุคคลของเจ้าของข้อมูลจะต้องถูกต้อง และปรับปรุงให้ทันสมัย
3.5  หลักการเก็บรักษาอย่างจำกัด (Storage Limitation) ข้อมูลส่วนบุคคลจะถูกเก็บรักษาในรูปแบบที่อนุญาตให้การระบุตัวตนของเจ้าของข้อมูลไม่นานกว่าความจำเป็นสำหรับวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลนั้น
3.6  หลักการรักษาความถูกต้องสมบูรณ์ และการรักษาความลับ (Integrity and Confidentiality) ข้อมูลส่วนบุคคลจะถูกประมวลผลด้วยวิธีการที่มีความปลอดภัยต่อข้อมูลส่วนบุคคลอย่างเพียงพอ มีการป้องกันการประมวลผลที่ไม่ได้รับอนุญาต หรือไม่ชอบด้วยกฎหมายที่จะทำให้ข้อมูลสูญหาย ถูกทำลายหรือเสียหายโดยไม่ตั้งใจ
3.7  หลักความรับผิดชอบ (Accountability) บริษัทจะปฏิบัติตามกฎหมาย และหลักการประมวลผลข้อ 3.1 – 3.6 อย่างเคร่งครัด

4. แนวปฏิบัติในการเก็บรวบรวมข้อมูลส่วนบุคคล

4.1  การเก็บข้อมูลส่วนบุคคลทั่วไป

บริษัทจะดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลของท่านเพียงเท่าที่จำเป็นตามกรอบวัตถุประสงค์ ในการเก็บรวบรวมที่บริษัทได้ดำเนินการให้ท่าน รับรู้ และ/หรือให้ความยินยอม ทางอิเล็กทรอนิกส์ หรือโดยข้อความสั้น หรือตามแบบวิธีการอื่นใด โดยบริษัทจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนทำการเก็บรวบรวม เว้นแต่ในกรณีดังต่อไปนี้

  • เป็นการจำเป็นเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัย หรือสถิติ ซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสม เพื่อคุ้มครองสิทธิ และเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
  • เป็นการจำเป็นเพื่อป้องกัน หรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
  • เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
  • เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจ เพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
  • เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคล หรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล
  • เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ตามที่กฎหมายกำหนดของผู้ควบคุมข้อมูลส่วนบุคคล

4.2  การเก็บข้อมูลส่วนบุคคลอ่อนไหว

บริษัทจะดำเนินการประเมินความเสี่ยง โดยทำแบบประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือที่เรียกว่า DPIA (Data Protection Impact Assessment) และกำหนดมาตรการเชิงเทคนิค และเชิงบริหาร เพื่อรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล โดยการเก็บข้อมูลส่วนบุคคลอ่อนไหวบริษัทจะแจ้งขอความยินยอม โดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนทุกครั้ง ซึ่งวิธีการเก็บรวบรวมอาจใช้รูปแบบเอกสาร /ข้อมูลอิเล็กทรอนิกส์ เว้นแต่เป็นกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด โดยอ้างอิงฐานทางกฎหมาย (Lawful Basis) อย่างน้อยฐานใดฐานหนึ่งตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด ดังนี้

  • เป็นการดำเนินการโดยได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล
  • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล โดยที่เจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้
  • เพื่อการดำเนินกิจกรรมโดยชอบด้วยกฎหมายของมูลนิธิ สมาคม องค์กรไม่แสวงหากําไรที่มีวัตถุประสงค์เกี่ยวกับการเมือง ศาสนา ปรัชญา หรือสหภาพแรงงานโดยมีมาตรการคุ้มครองที่เหมาะสม
  • เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล
  • เป็นการจําเป็นเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
  • เป็นการจําเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ด้านเวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของลูกจ้าง ประโยชน์ด้านสาธารณสุข การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาล การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ สถิติ หรือประโยชน์สาธารณะที่สำคัญ
5. แนวปฏิบัติในการใช้ และเปิดเผยข้อมูลส่วนบุคคล

บริษัทจะใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับจากการเก็บรวมรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง หรือจากแหล่งอื่น ไม่ว่าจะอาศัยฐานความยินยอม หรืออาศัยฐานทางกฎหมาย (Lawful Basis) ฐานใดฐานหนึ่งตามวัตถุประสงค์ที่ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ หรือคาดหมายได้เท่านั้น และหากมีการเปลี่ยนแปลงวัตถุประสงค์ ข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวมมา โดยอาศัยฐานความยินยอม บริษัทจะดำเนินการแจ้งไปยังเจ้าของข้อมูลส่วนบุคคล เพื่อขอความยินยอมอีกครั้ง เว้นแต่การเปลี่ยนแปลงวัตถุประสงค์นั้นเข้าข้อยกเว้นตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

6. การโอนข้อมูลไปยังต่างประเทศ​

6.1 บริษัทอาจเก็บข้อมูลของท่านบนคอมพิวเตอร์เซิร์ฟเวอร์ หรือคลาวด์ที่ให้บริการโดยบุคคลอื่น และอาจใช้โปรแกรมหรือแอปพลิเคชันของบุคคลอื่นในรูปแบบของการให้บริการซอฟท์แวร์สำเร็จรูปและรูปแบบของการให้บริการแพลตฟอร์มสำเร็จรูปในการประมวลผลข้อมูลส่วนบุคคลของท่าน แต่บริษัทจะไม่อนุญาตให้บุคคลที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลส่วนบุคคลได้ และจะกำหนดให้บุคคลอื่นเหล่านั้นต้องมีมาตรการคุ้มครองความมั่นคงปลอดภัยที่เหมาะสม

6.2 กรณีที่ประเทศปลายทางมีมาตรฐานไม่เพียงพอ บริษัทจะจัดให้มีมาตรการการส่งหรือโอนข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนด และจะดำเนินการให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เห็นว่าจำเป็นและเหมาะสมสอดคล้องกับมาตรฐานการรักษาความลับ เช่น มีข้อตกลงรักษาความลับกับผู้รับข้อมูลในประเทศปลายทาง

7. การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล

บริษัทให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคลให้มีสิทธิตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนดดังต่อไปนี้
7.1 สิทธิในการถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลตลอดระยะเวลาที่ข้อมูลส่วนบุคคลอยู่กับบริษัท (Right to withdraw consent)
7.2 สิทธิในการขอเข้าถึง และขอรับสำเนาข้อมูลส่วนบุคคล และสิทธิในการร้องขอให้เปิดเผยการได้มาของข้อมูลส่วนบุคคล (Right of access)
7.3 สิทธิในการขอรับข้อมูลส่วนบุคคลในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไป (Right to data portability)
7.4 สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลเมื่อใดก็ได้ (Right to object)
7.5 สิทธิในการร้องขอให้บริษัทลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ (Right to erasure / Right to be forgotten)
7.6 สิทธิในการขอให้บริษัทระงับการใช้ข้อมูลส่วนบุคคลได้ (Right to restrict processing)
7.7 สิทธิในการร้องขอให้บริษัทดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด (Right of rectification)
7.8 สิทธิในการร้องเรียนกรณีที่บริษัท หรือลูกจ้าง หรือผู้รับจ้างของบริษัทฝ่าฝืน หรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (Right to complaint)

8. การบันทึกคำขอ / การปฏิเสธของบริษัท

เมื่อมีการร้องขอในการใช้สิทธิตามกฎหมาย บริษัทจะรับทราบว่าได้รับคำขอและยืนยันว่าบริษัทกำลังตรวจสอบคำขอ และจะตอบกลับภายในกรอบเวลาตามกฎหมาย โดยบริษัทจะประเมินข้อกำหนดทางกฎหมายของการประมวลผลและผลกระทบที่อาจเกิดขึ้นกับท่าน ทั้งนี้ คำขอแต่ละครั้งจะได้รับการพิจารณา เกี่ยวกับข้อเท็จจริงประกอบกับสถานการณ์และข้อกฎหมายในขณะนั้น

ในกรณีที่มีการร้องขอสำเนาข้อมูลส่วนบุคคลของท่าน บริษัทจะส่งสำเนาที่ร้องขอให้ท่านภายใน 30 วันหลังจากได้รับคำขอของท่านอย่างครบถ้วนแล้ว เว้นแต่บริษัทจะมีเหตุผลที่จะปฏิเสธคำขอของท่าน หรือบริษัทได้ขอข้อมูลเพิ่มเติมเพื่อยืนยันตัวตน และสิทธิของท่านซึ่งเป็นส่วนหนึ่งของมาตรการรักษาความปลอดภัยของบริษัท หากท่านมีข้อสงสัยหรือต้องการใช้สิทธิใด ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของท่านโปรดติดต่อบริษัท

9. ระยะเวลาการเก็บรวบรวมและการลบหรือทำลายข้อมูลส่วนบุคคล

บริษัทจะทำการจัดเก็บข้อมูลส่วนบุคคลของท่านไว้ตามประเภทกิจกรรม และวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลดังที่ได้ระบุใน ประกาศความเป็นส่วนตัว (Privacy Notice) ของบริษัท เมื่อพ้นระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล บริษัทจะดำเนินการลบหรือทำลาย ข้อมูลส่วนบุคคลนั้นให้แล้วเสร็จภายใน 30 วัน นับแต่วันสิ้นสุดระยะเวลาดังกล่าว

อย่างไรก็ดี บริษัทอาจเก็บต่อไปตามระยะเวลาที่จำเป็นเพื่อการปฏิบัติตามกฎหมาย หรือตามอายุความทางกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อเหตุอื่นตามนโยบาย และข้อกำหนดภายในบริษัท

10. การรักษาความมั่นคงปลอดภัยของข้อมูล

บริษัทตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของท่านบริษัทจึงกำหนดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสมและสอดคล้องกับการรักษาความลับของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ แปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย ตลอดจนการป้องกันมิให้มีการนำข้อมูลส่วนบุคคลไปใช้โดยมิได้รับอนุญาตซึ่งบริษัทกำหนดสิทธิในการเข้าถึง หรือการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อรักษาความลับและความปลอดภัยของข้อมูล ดังนี้

10.1 บริษัทจะใช้มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลทางเทคนิค ทางกายภาพ และทางธุรการที่เหมาะสม เพื่อป้องกันการเข้าถึงและเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต และสอดคล้องกับการดำเนินธุรกิจของบริษัท และมาตรฐาน  ที่รับรองโดยทั่วไป บริษัทกำหนดให้ลูกจ้างของบริษัท เข้ารับการฝึกอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยของข้อมูล นอกจากนี้ บริษัทยังมีมาตราการตรวจสอบให้แน่ใจว่า คู่ค้าของบริษัท มีการใช้มาตรการในการ ประมวลผล โอนย้าย จัดการ และรักษาความมั่นคงปลอดภัยของข้อมูลอย่างเพียงพอในการให้บริการในนามของบริษัท อีกทั้งบริษัทจะมีการสอบทานและปรับปรุงมาตรการดังกล่าวตามความจำเป็นเพื่อให้แน่ใจว่าการประมวลผลข้อมูลดังกล่าวเป็นไปตามมาตรฐานต่าง ๆ และกฎระเบียบที่เกี่ยวข้อง

10.2 บริษัทจะกำหนดนโยบาย ระเบียบ แนวปฏิบัติ และขั้นตอนวิธีการต่าง ๆ เพื่อการจัดการข้อมูลอย่างปลอดภัย และป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตดังนี้

  • กำหนดนโยบายและขั้นตอนการปฏิบัติงานที่ชัดเจน เพื่อการคุ้มครองข้อมูลส่วนบุคคล และเพื่อจัดการข้อมูลให้เป็นไปตามที่กฎหมายกำหนดอย่างปลอดภัย
  • ไม่จำหน่าย หรือขายข้อมูลส่วนบุคคลของท่านไม่ว่ากรณีใด และจะไม่โอนข้อมูลส่วนบุคคลของท่านไปยังบุคคลอื่นที่ไม่ใช่ผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท
  • จำกัดสิทธิลูกจ้างของบริษัท ในการเข้าถึงข้อมูลส่วนบุคคล
  • ป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต โดยจัดให้มีการเข้ารหัสข้อมูล การตรวจสอบตัวตนและเทคโนโลยีการตรวจจับไวรัส ตามความจำเป็น
  • ตรวจสอบสถานะ คู่ค้าของบริษัท กำหนดให้คู่ค้าที่ทำธุรกิจกับบริษัท ต้องปฏิบัติตามหลักเกณฑ์ตามกฎหมายและระเบียบต่าง ๆ ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกำหนดข้อจำกัดการใช้ข้อมูลส่วนบุคคล เพื่อให้แน่ใจว่ามีการใช้มาตรการในการประมวลผล โอนย้าย จัดการ และรักษาความมั่นคงปลอดภัยของข้อมูลอย่างเพียงพอ
  • ติดตามตรวจสอบเว็บไซต์ของบริษัท ผ่านหน่วยงานที่มีความเชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล และการรักษาความมั่นคงปลอดภัย
  • จัดให้มีการฝึกอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่ลูกจ้าง พนักงาน คณะทำงานของบริษัท
  • ประเมินผลแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล การจัดการข้อมูล และการรักษาความมั่นคงปลอดภัยของข้อมูลของบริษัท อย่างสม่ำเสมอ
  • จัดให้มีระบบการตรวจสอบ เพื่อดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคล เมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น
  • จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลทางเทคนิค ทางกายภาพ และทางธุรการที่เหมาะสม เพื่อป้องกันการเข้าถึง และเปิดเผยข้อมูลส่วนบุคคลจากผู้ที่ไม่มีสิทธิ หรือหน้าที่ที่เกี่ยวข้อง หรือไม่ได้รับอนุญาต และไม่สอดคล้องกับการดำเนินธุรกิจของบริษัท และมาตรฐานที่รับรองโดยทั่วไป รวมถึงทบทวนมาตรการรักษาความปลอดภัยเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อให้มีประสิทธิภาพในการรักษาความปลอดภัยที่เหมาะสม
11. การเชื่อมโยงไปยังเว็บไซต์ บริการของบุคคลภายนอก

เว็บไซต์ของบริษัทอาจมีลิงค์เชื่อมโยงไปยังเว็บไซต์ของบุคคลภายนอกซึ่งบุคคลภายนอกเหล่านั้นอาจเก็บรวบรวมข้อมูลบางอย่างเกี่ยวกับการใช้บริการ และข้อมูลส่วนบุคคล โดยบริษัทไม่สามารถรับผิดชอบในความปลอดภัยหรือความเป็นส่วนตัวของข้อมูลใด ๆ ที่เก็บรวบรวมโดยเว็บไซต์ ของบุคคลภายนอกดังกล่าว เจ้าของข้อมูลส่วนบุคคลควรใช้ความระมัดระวัง และตรวจสอบนโยบายคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์ ของบุคคลภายนอกเหล่านั้นให้ละเอียดก่อนการใช้บริการ

12. การใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์เดิม

บริษัทมีสิทธิในการเก็บรวบรวม และใช้ข้อมูลส่วนบุคคลของท่านที่บริษัทได้เก็บรวบรวมไว้ก่อนวันที่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลตามวัตถุประสงค์เดิม หากท่านไม่ประสงค์ที่จะให้บริษัท เก็บรวบรวม และใช้ข้อมูลส่วนบุคคลดังกล่าวต่อไปท่านสามารถแจ้งบริษัท เพื่อขอถอนความยินยอมของท่านเมื่อใดก็ได้ ผ่านช่องทางที่บริษัทกำหนด

13. คุกกี้

บริษัทอาจวางคุกกี้ไว้บนเว็บเบราเซอร์ของท่าน อุปกรณ์ของท่าน หรืออ่านคุกกี้ที่มีอยู่บนอุปกรณ์ของท่านอยู่แล้ว เพื่อพัฒนาประสบการณ์ของท่านในการเข้าเยี่ยมชมเว็บไซต์ของบริษัท ทั้งนี้ เมื่อท่านได้เข้าเยี่ยมชมเว็บไซต์ของบริษัทหรือทำการตรวจสอบข้อความ บริษัทจะดำเนินการโดยขอความยินยอมจากท่านก่อน

อย่างไรก็ตาม ท่านอาจเลือกที่จะปิดการใช้งานคุกกี้ข้างต้นขณะที่เยี่ยมชมเว็บไซต์ของบริษัทได้ แต่การปิดใช้งานคุกกี้ใด ๆ อาจส่งผลกระทบต่อประสบการณ์ของท่านในเว็บไซต์ของบริษัท หากท่านใช้อุปกรณ์ต่าง ๆ ในการเข้าถึงเว็บไซต์ของบริษัท บริษัทขอแนะนำให้ท่านตรวจสอบให้แน่ใจว่าแต่ละเบราเซอร์ของแต่ละอุปกรณ์นั้นถูกตั้งค่าคุกกี้ตามที่ท่านต้องการ ทั้งนี้ ท่านสามารถศึกษารายละเอียดเพิ่มเติมเรื่อง "นโยบายการใช้คุกกี้" ของบริษัทได้

14. ช่องทางการใช้สิทธิของเจ้าของข้อมูลและติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

ท่านสามารถใช้และบริหารจัดการสิทธิเกี่ยวกับข้อมูลส่วนบุคคลของท่านโดยติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อใช้และบริหารจัดการสิทธิเกี่ยวกับข้อมูลส่วนบุคคลของท่านหรือร้องเรียนปัญหาใด ๆ เกี่ยวกับการเก็บรวบรวม ใช้ และประมวลผลข้อมูลส่วนบุคคลของของท่าน ที่อีเมล: dpo@osd.co.th หรือ โทร: 0 20801111 ต่อ 3105

15. การแก้ไขเปลี่ยนแปลงนโยบาย

บริษัทอาจปรับปรุงเปลี่ยนแปลง หรือแก้ไขเพิ่มเติมนโยบายความเป็นส่วนตัวนี้เป็นครั้งคราว เพื่อให้เป็นไปตามหลักเกณฑ์ที่กฎหมายกำหนด โดยบริษัทจะประกาศแจ้งการเปลี่ยนแปลงให้ท่านทราบผ่านช่องทางที่เว็บไซต์ และ/หรือแพลตฟอร์มที่บริษัทจัดให้มีขึ้น ดังนั้น เพื่อความเหมาะสม และมีประสิทธิภาพในการให้บริการ บริษัทจึงขอแนะนำให้เจ้าของข้อมูลส่วนบุคคลอ่านนโยบายการคุ้มครองข้อมูลส่วนบุคคลทุกครั้งที่เยี่ยมชม หรือใช้บริการจากบริษัท

16. บันทึกและการจัดเก็บ

- ไม่มี -

17. ภาคผนวก
17.1. ข้อกำหนดที่เกี่ยวข้องตามมาตรฐาน ISO/IEC 27701:2019
หัวข้อ

(Clause)

 ข้อกำหนด

(Requirement)
A.7.2.2 Identify lawful basis
The organization shall determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes
A.7.3.3 Providing information to PII principle

The organization shall provide PII principals with clear and easily accessible information identifying the PII controller and describing the processing of their PII.
A.7.3.6 Access, correction and/or erasure
The organization shall implement policies, procedures and/or mechanisms to meet their obligations to PII principals to access, correct and/or erase their PII.
A.7.3.8 Providing copy of PII processed
The organization shall be able to provide a copy of the PII that is processed when requested by the PII principal.
A.7.4.1 Limit collection
The organization shall limit the collection of PII to the minimum that is relevant, proportional and necessary for the identified purposes.
 A.7.4.2 Limit processing
The organization shall limit the processing of PII to that which is adequate, relevant and necessary for the identified purposes.
A.7.4.3 Accuracy and quality
The organization shall ensure and document that PII is as accurate, complete and up-to-date as is necessary for the purposes for which it is processed, throughout the life-cycle of the PII
A.7.4.4 PII minimization objectives

The organization shall define and document data minimization objectives and what mechanisms (such as de-identification) are used to meet those objectives.
 A.7.4.7 Retention
The organization shall not retain PII for longer than is necessary for the purposes for which the PII is processed.
A.7.4.8 Disposal
The organization shall have documented policies, procedures and/or mechanisms for the disposal of PII.
A.7.5.1 Identify basis for PII transfer between jurisdictions

The organization shall identify and document the relevant basis for transfers of PII between jurisdictions

 

17.2. อื่น ๆ

- ไม่มี -

×