นโยบายการคุ้มครองข้อมูลส่วนบุคคล | นโยบายการคุ้มครองลูกค้า | นโยบายการคุ้มครองกล้อง CCTV | นโยบายการคุ้มครองสำหรับคู่ค้า | นโยบายการคุ้มครองสำหรับผู้สมัครงาน/พนักงาน | นโยบายการคุ้มครองเกี่ยวกับคุกกี้ | แบบฟอร์มคำร้องขอใช้สิทธิเกี่ยวกับข้อมูล
นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy Policy)
นโยบายนี้มีผลบังคับใช้กับผู้ที่เกี่ยวข้องกับการบริหารจัดการข้อมูลส่วนบุคคล ลูกค้า พนักงานนิสิตและนักศึกษาฝึกงาน คู่สัญญา หน่วยงานภายนอกหรือบุคคลภายนอกที่ปฏิบัติงานในนามหรือร่วมงานกับบริษัท ตลอดจนผู้ที่อยู่ในโครงสร้างธรรมาภิบาลข้อมูล และผู้ที่มีหน้าที่โดยตรงในการสนับสนุนการดำเนินการและการปฏิบัติตามนโยบายนี้
2.1 บริษัท หมายถึง บริษัท ไดนามิค ไอที โซลูชั่นส์ จำกัด
2.2 กฎหมายคุ้มครองข้อมูลส่วนบุคคล หมายถึง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และที่มีการแก้ไขเพิ่มเติมในอนาคต รวมถึงกฎหมายลำดับรองและกฎเกณฑ์ต่าง ๆ ที่เกี่ยวข้อง
2.3 ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม อาทิเช่น ชื่อ นามสกุล ชื่อเล่น อีเมลล์ หมายเลขโทรศัพท์ ที่อยู่ IP Address ทะเบียนรถยนต์ รูปภาพ เชื้อชาติ ศาสนา ความคิดเห็นทางการเมือง ข้อมูลทางพันธุกรรม ข้อมูลทาง ชีวภาพ (Biometric data) เช่น ใบหน้า ลายนิ้วมือ เป็นต้น
2.4 เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลสามารถระบุตัวตนของบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม
2.5 การประมวลผล (Processing) หมายถึง การดําเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น การเก็บ รวบรวม บันทึก จัดระบบ ทําโครงสร้าง เก็บรักษา ปรับปรุง เปลี่ยนแปลง กู้คืน ใช้ เปิดเผย ส่งต่อ เผยแพร่ โอน ผสมเข้าด้วยกัน ลบ ทําลาย
2.6 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งดําเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
2.7 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
2.8 พนักงาน หมายความว่า ผู้บริหาร พนักงาน ลูกจ้าง ผู้ที่ทำงานหรือปฏิบัติงานให้กับสำนักงานด้วยมีข้อตกลงของสัญญาหรือได้รับการแต่งตั้งตามกฎหมายให้มาปฏิบัติงาน
3.1 บริษัทจัดให้มีโครงสร้างการกํากับดูแลข้อมูลส่วนบุคคล เพื่อกําหนดวิธีการและมาตรการที่เหมาะสมในการปฏิบัติตามกฎหมาย ดังนี้
3.1.1 กําหนดให้มีโครงสร้างองค์กร (Organizational Structure) รวมทั้งกําหนดบทบาท และความรับผิดชอบของหน่วยงานและผู้ปฏิบัติงานที่เกี่ยวข้องให้ชัดเจน เพื่อสร้างกลไกการกํากับดูแล การควบคุม ความรับผิดชอบ
การปฏิบัติงานการบังคับใช้ และการติดตามมาตรการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วน บุคคลของบริษัท
3.1.2 แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท (Data Protection Officer: DPO) โดยมีบทบาทและหน้าที่ความรับผิดชอบตามที่กฏหมายกําหนด
3.1.3 บริษัทจะจัดให้มีกระบวนการติดตามในกรณีที่กฎหมายเปลี่ยนแปลงไป และปรับปรุงมาตรการ คุ้มครองข้อมูลส่วนบริษัทบุคคลให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ
3.2 จัดทํานโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมายและนโยบายการคุ้มครองข้อมูล
ส่วนบุคคลของบริษัท
3.3 จัดให้มีกระบวนการบริหารการปฏิบัติตามนโยบาย (Policy Management Process) เพื่อควบคุมดูแลให้มีการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทอย่างต่อเนื่อง
3.4 สื่อสารให้พนักงานรับทราบและปฏิบัติให้สอดคล้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครอง
ข้อมูลส่วนบุคคล รวมถึงรายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และการไม่ปฎิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ผู้บังคับบัญชาทราบ
3.5 บริษัทจะดําเนินการฝึกอบรมพนักงานของบริษัทอย่างสมํ่าเสมอ เพื่อให้พนักงานของบริษัทตระหนักถึงความสําคัญของการคุ้มครองข้อมูลส่วนบุคคล และทําให้มั่นใจได้ว่าพนักงานของบริษัทที่เกี่ยวข้องทุกคนผ่านการฝึกอบรม และมีความรู้
ความเข้าใจในการคุ้มครองข้อมูลส่วนบุคคล และปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
4.1 บริษัทประมวลผลข้อมูลส่วนบุคคลทั้งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมาย เป็นธรรม โปร่งใส และคํานึงถึงความถูกต้องของข้อมูลส่วนบุคคล ทั้งนี้ การกําหนดขอบเขตวัตถุประสงค์การ ประมวลผลข้อมูลส่วนบุคคล และระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล ให้ทําได้เท่าที่จําเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายและแนวทางการดําเนินธุรกิจของบริษัท อีกทั้งบริษัทจะดําเนินการรักษาความลับความถูกต้องสมบูรณ์ และความปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ
4.2 บริษัทจัดให้มีกระบวนการและการควบคุม เพื่อบริหารจัดการข้อมูลส่วนบุคคลในทุกขั้นตอนให้สอดคล้องกับกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
4.3 บริษัทจัดทําและรักษาบันทึกการประมวลผลข้อมูลส่วนบุคคล (Records of Processing: RoP) สําหรับบันทึกรายการและกิจกรรมต่าง ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย รวมทั้งจะปรับปรุงบันทึก การประมวลผลข้อมูลส่วนบุคคลเมื่อมีการเปลี่ยนแปลงรายการหรือกิจกรรมที่เกี่ยวข้อง
4.4 บริษัทจัดให้มีกระบวนการที่ชัดเจนเพื่อให้มั่นใจได้ว่า การแจ้งวัตถุประสงค์การเก็บรวบรวมและรายละเอียดการประมวลผลข้อมูลส่วนบุคคล (Privacy Notices) และการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลสอดคล้องกับกฎหมาย รวมทั้งจัดให้มีมาตรการดูแลและตรวจสอบในเรื่องดังกล่าว
4.5 บริษัทจัดให้มีกลไกการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคลรวมทั้งจัดให้มีกลไกการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
4.6 ในกรณีที่บริษัทส่ง โอน หรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคล บริษัทจะจัดทําข้อตกลงกับผู้ที่รับหรือใช้ข้อมูลส่วนบุคคลนั้นเพื่อกําหนดสิทธิและหน้าที่ให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
4.7 ในกรณีที่บริษัทส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทจะปฏิบัติให้สอดคล้องกับกฎหมาย
4.8 บริษัทจะทําลายข้อมูลส่วนบุคคลเมื่อครบกําหนดระยะเวลา โดยปฏิบัติให้สอดคล้องกับกฎหมายและแนวทางการดําเนินธุรกิจของบริษัท
4.9 บริษัทจะประเมินความเสี่ยงและจัดทํามาตรการเพื่อบรรเทาความเสี่ยงและลดผลกระทบที่จะเกิดขึ้นกับการประมวลผลข้อมูลส่วนบุคคล
บริษัทจะจัดให้มีมาตรการ ช่องทาง และวิธีการเพื่อให้เจ้าของข้อมูลส่วนบุคคลใช้สิทธิของตนได้ตามที่กฎหมายกําหนด รวมทั้งจะดําเนินการบันทึก และประเมินผลการตอบสนองต่อคําขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
6.1 บริษัทจะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ รวมทั้งดําเนินการป้องกันไม่ให้เกิดการรั่วไหลของข้อมูลส่วนบุคคลและการนําข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับอนุญาต
6.2 บริษัทจะจัดให้มีนโยบายการบริหารจัดการเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคล (Privacy Incident Management Policy) และแนวทางการตอบสนองต่อเหตุการณ์ผิดปกติ (Incident Response Program) เพื่อให้สามารถระบุและจัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้อย่างทันท่วงที
6.3 บริษัทจะจัดให้มีกระบวนการแจ้งเจ้าของข้อมูลส่วนบุคคล รวมถึงเจ้าพนักงานของรัฐ ผู้ควบคุม ข้อมูลส่วนบุคคล (ในกรณีที่บริษัทเป็นผู้ประมวลผลข้อมูลส่วนบุคคลหรือเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วมกัน) และบุคคลอื่น ให้สอดคล้องกับกฎหมาย
บริษัทจะไม่ยอมประนีประนอมในเรื่องการคุ้มครองข้อมูลส่วนบุคคล หากผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูล หรือผู้มีหน้าที่รับผิดชอบในการดำเนินงานเรื่องใดเรื่องหนึ่งตามหน้าที่ของตน ที่เกี่ยวข้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคล ละเลยหรือละเว้นไม่สั่งการ หรือไม่ดำเนินการ หรือสั่งการ หรือดำเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตน จนทำให้เกิดการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลโดยผิดวัตถุประสงค์ การละเมิดต่อเจ้าของข้อมูลส่วนบุคคล อันเป็นการฝ่าฝืนนโยบายและแนวปฏิบัติเกี่ยวกับเรื่องข้อมูลส่วนบุคคล และ/หรือตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด พนักงานผู้นั้นต้องรับโทษทางวินัยตามระ เบียบของบริษัท และหากการกระทำผิดดังกล่าวของพนักงานและ/หรือบุคคลใดก่อให้เกิดความเสียหายแก่บริษัทและ/หรือบุคคลอื่นใด บริษัท อาจพิจารณาดำเนินคดีตามกฎหมายเพิ่มเติมต่อไป
นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ มีผลใช้บังคับตั้งแต่วันที่ 3 พฤษภาคม 2565
10:53 PM 28-Apr-22