นโยบายการคุ้มครองข้อมูลส่วนบุคคล
(Privacy Policy)
บริษัท หวนจี ยีน เทคโนโลยี (ประเทศไทย) จำกัด (ซึ่งต่อไปในประกาศนี้ เรียกว่า “บริษัทฯ” หรือ “เรา”) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้รับบริการ บุคลากร คู่ค้าทางธุรกิจ ผู้สมัครงาน และบุคคลอื่นที่เกี่ยวข้อง อันเป็นสิทธิขั้นพื้นฐานในความเป็นส่วนตัวของบุคคล (Privacy Right) ที่ต้องได้รับความคุ้มครองและปฏิบัติตามกฎหมาย รวมทั้งกฎเกณฑ์ที่กำหนดขึ้น ไม่ว่าท่านจะมาเยี่ยมชม เว็บไซต์ แอพพลิเคชั่น หรือมารับบริการจากเรา โดยเราจะจัดระบบเพื่อควบคุมดุแลอย่างเข้มงวดและรัดกุม เพื่อให้ข้อมูลส่วนบุคคลของท่านได้รับการประมวลผลข้อมูลหรือการเก็บรวบรวม ใช้หรือเปิดเผยอย่างโปร่งใสและได้มาตรฐานทางหน่วยงานราชการซึ่งกำกับดูแลกำหนดไว้
นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ มีวัตถุประสงค์เพื่อแจ้งให้เจ้าของข้อมูลทราบถึงการปฏิบัติต่อข้อมูลส่วนบุคคลของท่าน เช่น การเก็บรวบรวม การใช้ การเปิดเผย รวมถึงสิทธิต่างๆ ของเจ้าของข้อมูลข้อมูล เป็นต้น นโยบายนี้ ถือเป็นส่วนหนึ่งของข้อกำหนดและเงื่อนไขของการให้บริการ สำหรับการให้บริการผ่านทางเว็บไซต์ แอพพลิเคชั่น หรือการให้บริการโดยตรงกับท่านในแต่ละครั้ง นโยบายฉบับนี้ มีผลบังคับกับทุกกิจกรรมการดำเนินงานอันเกี่ยวข้องกับข้อมูลส่วนบุคคล
ดังรายละเอียดต่อไปนี้
- คำนิยาม
ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ คำหรือข้อความว่า
“บริษัทฯ” หมายถึง บริษัท หวนจี ยีน เทคโนโลยี (ประเทศไทย) จำกัด
“บุคคล” หมายถึง บุคคลธรรมดา
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ข้อมูลส่วนบุคคลแบบอ่อนไหว” (Sensitive Data) หมายความว่า ข้อมูลส่วนบุคคลที่มีความเสี่ยงอาจถูกนำไปสู่การเลือกปฏิบัติอย่างไม่เป็นธรรม ในที่นี้หมายถึง เชื้อชาติ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลส่วนสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรืออื่น ตามที่กฎหมายกำหนด
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer : DPO) หมายถึง บุคคลซึ่งบริษัทฯ ได้แต่งตั้งให้ทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาที่เป็นบุคลากร ลูกจ้าง หรือ ผู้สมัครงานและบุคคลที่เกี่ยวข้อง ลูกค้าหรือผู้รับบริการ คู่ค้า ผู้เข้าเยี่ยมชมเว็บไซต์ หรือ Mobile Application ของบริษัทฯ ตลอดจนผู้บริหารของบริษัทฯ และบุคคลใดที่มีนิติสัมพันธ์เกี่ยวข้องกับบริษัทฯ โดยต่อไปในนโยบายนี้จะเรียกย่อว่า “เจ้าของข้อมูล”
“เว็บไซต์” หมายถึง เว็บไซต์ชื่อบริษัทฯ ที่บริษัทฯ เป็นเจ้าของหรือให้บริการ แล้วแต่กรณี
“แอพพลิเคชั่น” หมายถึง แอพพลิเคชั่นซึ่งบริษัทฯ ให้บริการ อนึ่งนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้ใช้บังคับกับแอพพลิเคชั่นในส่วนที่ได้มีการเปลี่ยนแปลง ปรับปรุง อัพเดท หรือเพิ่มเติมดังกล่าว จะถูกบังคับใช้ตามเงื่อนไขและข้อตกลงต่างหากจากนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บริษัทฯ ซึ่งมีอำนาจตัดสินใจเกี่ยวกับข้อมูลส่วนบุคคลนั้น ซึ่งได้รับข้อมูลส่วนบุคคลจากเจ้าของข้อมูล หรือให้บริการแก่เจ้าของข้อมูล หรือต้องทำหรือปฏิบัติตามสัญญากับเจ้าของข้อมูล ไม่ว่าจะทางตรงหรือทางอ้อมก็ตาม
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดา หรือนิติบุคคลที่ทำการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของอีกบุคคล หรืออีกนิติบุคคลหนึ่ง
“การเก็บรวบรวม” หมายถึง การทำให้ได้มาซึ่งข้อมูลส่วนบุคคล
“การประมวลผลข้อมูล” หมายถึง การดำเนินการใดๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บรวบรวมการบันทึก การจัดระบบ การเก็บรักษา การใช้ การเปิดเผย การเปลี่ยนแปลง หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน หรือการผสมเข้าด้วยกัน การลบทำลาย
- วัตถุประสงค์
นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ จัดทำขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ซึ่งทำธุรกรรม ใช้บริการ มีส่วนได้ส่วนเสีย หรือมีส่วนเกี่ยวข้องกับบริษัทฯ โดยมีวัตถุประสงค์ดังต่อไปนี้
2.1 เพื่อกำหนดบทบาทหน้าที่ของหน่วยงาน ผู้บริหาร บุคลากร ซึ่งมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล
2.2 เพื่อกำหนดขั้นตอน หรือมาตรการรักษาความมั่นคงปลอดภัย หรือมาตรการอื่นใดที่เป็นการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับที่กฎหมายกำหนด
2.3 เพื่อกำหนดแนวทางในการปฏิบัติงานของบุคลากรซึ่งเกี่ยวข้องกับการประมวลผล หรือการดำเนินงานอื่นใดที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
2.4 เพื่อสร้างความเชื่อมั่นในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของผู้รับบริการ คู่ค้าทางธุรกิจ เจ้าหน้าที่ พนักงาน ตลอดจนบุคคลอื่นๆ ซึ่งมีส่วนได้ส่วนเสียหรือเกี่ยวข้องกับข้อมูลส่วนบุคคล
- ข้อกำหนดทั่วไป
3.1 การคุ้มครองข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ครอบคลุมข้อมูลส่วนบุคคลของผู้รับบริการ บุคลากรด้านการพยาบาล บุคลากรสนับสนุนทางการแพทย์ (นักเทคนิคการแพทย์) เจ้าหน้าที่ และบุคคลอื่นที่เกี่ยวข้อง คู่ค้าทางธุรกิจ ผู้รับจ้าง ผู้สมัครงาน นักศึกษาฝึกงานหรือฝึกประสบการณ์วิชาชีพ เป็นต้น
3.2 เรากำหนดให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) มีหน้าที่ดำเนินการทบทวนนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้อย่างน้อยปีละ 1 ครั้ง หรือ เมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญต่อการปฏิบัติงานตามนโยบายฉบับนี้ และการเปลี่ยนแปลงใดๆ บริษัทฯ จะประกาศให้ทราบผ่านเว็บไซต์ของเราที่ https://www.huanjithailand.com
3.3 เราจะทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเมื่อได้รับความยินยอม หรือความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะนั้น หรือบางกรณีเป็นการขอความยินยอมภายหลังการเก็บรวบรวมข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดไว้ เว้นแต่ บริษัทฯ ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ หรือมีฐานทางกฎหมายรองรับ ดังนี้
3.3.1 เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา
3.3.2 เป็นการปฏิบัติตามกฎหมาย
3.3.3 เป็นการจำเป็นภายใต้ประโยชน์อันชอบธรรม โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุผล
3.3.4 เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะ
3.3.5 เพื่อป้องกันหรือระงับอันตรายต่อชีวิต
3.3.6 เพื่อการจัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ
3.4 ในการขอความยินยอม หรือความยินยอมโดยชัดแจ้งสำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลนั้น เราดำเนินการตามหลักต่อไปนี้
3.4.1 การขอความยินยอมต้องดำเนินการอย่างชัดแจ้งเป็นหนังสือ หรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีดังกล่าวได้ การขอความยินยอมด้วยวิธีอื่นจะต้องมีหลักฐานที่น่าเชื่อถือได้ว่าเจ้าของข้อมูลส่วนบุคคลได้แสดงเจตนาให้ความยินยอม
3.4.2 เจ้าของข้อมูลส่วนบุคคลต้องได้รับการแจ้งให้ทราบถึงวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างชัดเจน เข้าใจง่าย ไม่หลอกลวง หรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ และคำนึงอย่างที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม
3.4.3 กรณีเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรส หรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้ว จะขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
3.4.4 กรณีเจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ จะขอความยินยอมจาก ผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ หรือ ในกรณีเจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ จะขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ
3.4.5 กรณีเจ้าของข้อมูลส่วนบุคคล หรือผู้มีอำนาจตามข้อ 3.4.3 และ 3.4.4 ต้องการถอนความยินยอมที่เคยให้ไว้ ให้ดำเนินการตามที่เจ้าของข้อมูลส่วนบุคคลขอโดยง่ายเช่นเดียวกับการให้ความยินยอม และหากการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ให้แจ้งถึงผลกระทบจากการถอนความยินยอมนั้นให้เจ้าของข้อมูลส่วนบุคคลทราบ
3.5 เราทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคลเท่านั้น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างจากวัตถุประสงค์ที่ได้แจ้งไว้จะทำไม่ได้ เว้นแต่ได้แจ้งวัตถุประสงค์ใหม่ให้เจ้าของข้อมูลส่วนบุคคลทราบโดยได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว
3.6 เราทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย และแจ้งรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบตามที่กฎหมายกำหนด
3.7 เราจะดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ เมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องเช่นนั้น หรือเจ้าของข้อมูลส่วนบุคคลทำการถอนความยินยอม เว้นแต่มีเหตุโดยชอบด้วยกฎหมาย หรือกฎเกณฑ์ทางราชการที่ทำให้บริษัทฯ ต้องเก็บรักษาข้อมูลส่วนบุคคลนั้นต่อไป
3.8 เรามีการดูแลข้อมูลส่วนบุคคลอย่างปลอดภัย รวมถึงคำนึงถึงความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลและการรักษาความลับของข้อมูลส่วนบุคคล
- นโยบายด้านการเก็บรวบรวมข้อมูลส่วนบุคคล
4.1 การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทฯ จะต้องสอดคล้องกับหลักการคุ้มครองข้อมูลส่วนบุคคคลกล่าวคือ (1) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย มีความโปร่งใส และสามารถตรวจสอบได้ (Lawfulness, Fairness and Transparency) (2) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายใต้ขอบเขตและวัตถุประสงค์ที่บริษัทฯ กำหนด และไม่นำไปใช้หรือเปิดเผยนอกเหนือขอบเขตและวัตถุประสงค์ของการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลนั้น (Purpose Limitation) (3) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเพียงพอ เกี่ยวข้อง และเท่าที่จำเป็นตามวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Data Minimization) (4) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ถูกต้อง และดำเนินการให้ข้อมูลเป็นปัจจุบันในกรณีที่จำเป็น (Accuracy) (5) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามระยะเวลาเท่าที่จำเป็น (Storage Limitation) และ (6) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม (Integrity and Confidentiality) พร้อมกับกำหนดระยะเวลาในการจัดเก็บรักษาข้อมูลส่วนบุคคลจากระยะเวลาที่ระบุไว้ในสัญญา อายุความตามกฎหมาย หรือกำหนดเวลาอื่นที่กฎหมาย มาตรฐานคุณภาพ หรือระเบียบของบริษัทฯ ที่ได้กำหนดไว้
4.2 เราเก็บรวบรวมข้อมูลส่วนบุคคลของท่านเท่าที่จำเป็น ไม่ว่าจะเป็นการให้บริการผ่านช่องทางเว็บไซต์ แอพพลิเคชั่นโทรศัพท์มือถือที่เป็นการทำธุรกรรมแบบออนไลน์ เช่น การนัดหมาย การสมัครรับจดหมายข่าว หรือการขอรับความช่วยเหลือเป็นพิเศษจากเรา และรวมไปถึงการทำธุรกรรมแบบออฟไลน์ เช่น การลงทะเบียนที่เคาน์เตอร์ลงทะเบียนของบริษัทฯ หรือเคาน์เตอร์บริการอื่นของเรา เรายังได้รับข้อมูลส่วนบุคคลของท่านจากแบบคำขอใช้บริการ หรือขั้นตอนการยืนคำร้องขอใช้สิทธิต่างๆ การทำแบบสอบถาม การโต้ตอบทางอีเมล์ ทางข้อความสั้น (SMS) หรือ ทางแอพพลิเคชั่นไลน์ เป็นต้น นอกจากนี้ เราอาจได้รับข้อมูลส่วนบุคคลของท่านมาจากบุคคลที่สาม เช่น บุคคลในครอบครัว ญาติหรือบุคคลใกล้ชิดของท่าน รวมทั้งโรงพยาบาลหรือสถานพยาบาลที่เป็นคู่สัญญาของเรา ตัวแทนจำหน่ายหรือผู้ให้บริการของเรา หรือบางกรณีอาจจะได้รับจากหน่วยงานภาครัฐในกรณีที่ท่านได้ให้ความยินยอมในการเปิดเผยข้อมูลส่วนบุคคลของท่านไว้ หรือเป็นการเปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดไว้
4.3 เราจะทำการเก็บรักษาข้อมูลส่วนบุคคลตราบเท่าที่จำเป็น เพื่อวัตถุประสงค์ในการประมวลผลข้อมูล และเพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้อง เมื่อพ้นระยะเวลาจัดเก็บ หรือทางบริษัทฯ ไม่มีสิทธิในการจัดเก็บ หรือไม่สามารถอ้างฐานในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลแล้ว บริษัทฯ จะดำเนินการทำลายข้อมูลส่วนบุคคลนั้นด้วยวิธีการที่เหมาะสม และเป็นไปตามกฎหมายต่อไป
4.4 กรณีที่เจ้าของข้อมูลส่วนบุคคลให้ข้อมูลส่วนบุคคลของบุคคลอื่นที่เกี่ยวข้อง เช่น คู่สมรส สมาชิกในครอบครัว เพื่อน หรือบุคคลอ้างอิง เป็นต้น แก่บริษัทฯ ตัวอย่างเช่น อาจมีการระบุชื่อ หมายเลขโทรศัพท์ หรือที่อยู่ ของบุคคลที่ใช้สำหรับติดต่อกรณีฉุกเฉิน เจ้าของข้อมูลจะต้องรับรอง และรับประกันว่าเจ้าของข้อมูลที่ได้อ้างอิงนั้น ได้ให้ความยินยอมสำหรับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลดังกล่าวตามที่ระบุไว้ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้
4.5 เราอาจเก็บข้อมูลส่วนบุคคลไว้ในระบบประมวลผลแบบคลาวด์ (Cloud Computing) โดยใช้บริการจากบุคคลที่สามไม่ว่าตั้งอยู่ในประเทศไทยหรือต่างประเทศ ซึ่งเราได้เข้าทำสัญญากับบุคคลหรือนิติบุคคลดังกล่าวด้วยความระมัดระวัง โดยพิจารณาถึงและมาตรการระบบรักษาความปลอดภัยในการเก็บรักษาข้อมูลส่วนบุคคลของผู้ให้บริการระบบคลาวด์นั้น
- นโยบายด้านการใช้หรือการเปิดเผยข้อมูลส่วนบุคคล
5.1 การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปตามวัตถุประสงค์ หรือเป็นการจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวม ทั้งนี้ บุคคล หน่วยงาน ที่เราอาจเปิดเผยข้อมูลส่วนบุคคล หรือแบ่งปันข้อมูลส่วนบุคคลของท่านไปให้ผู้ประมวลผลข้อมูลส่วนบุคคลที่จำเป็นต่อการปฏิบัติงานของเรา โดยเรากำหนดให้บุคคลภายนอกข้างต้นต้องรักษาความลับและคุ้มครองข้อมูลส่วนบุคคลของท่านตามมาตรฐานที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด และใช้ข้อมูลส่วนบุคคลของท่านได้ตามวัตถุประสงค์ที่เราได้กำหนด หรือมีคำสั่งให้บุคคลภายนอกนั้นดำเนินการ บุคคลภายนอกจะไม่สามารถใช้ข้อมูลส่วนบุคคลของท่านนอกเหนือจากวัตถุประสงค์ดังกล่าวได้แต่อย่างใด
5.2 เราเคร่งครัดกับการกำหนดให้พนักงาน/เจ้าหน้าที่เข้าถึง หรือ ใช้ข้อมูลส่วนบุคคลได้เท่าที่จำเป็นเพื่อการปฏิบัติงาน และเป็นไปตามสิทธิที่เราได้กำหนดไว้เท่านั้น หากพนักงาน/เจ้าหน้าที่ของบริษัทฯ มีความจำเป็นในการปฏิบัติงานที่ต้องเข้าถึงข้อมูลส่วนบุคคลเกินกว่าสิทธิที่ได้กำหนดไว้ พนักงาน/เจ้าหน้าที่ผู้นั้นต้องดำเนินการขออนุมัติจากผู้มีอำนาจเสียก่อนทุกกรณี
5.3 พนักงาน/เจ้าหน้าที่ของบริษัทฯ ต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่เก็บรวบรวมข้อมูลส่วนบุคคล หรือตามที่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอมเท่านั้น เว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ
5.4 ผู้ดูแลระบบงาน และเจ้าของระบบงานต้องอนุญาตให้พนักงาน/เจ้าหน้าที่ของบริษัทฯ เข้าถึงข้อมูลส่วนบุคคลได้เฉพาะพนักงาน/เจ้าหน้าที่ของบริษัทฯ ที่มีสิทธิตามที่กำหนด หรือได้รับการอนุมัติจากผู้มีอำนาจอนุมัติ
5.5 เราอาจเปิดเผยข้อมูลส่วนบุคคลของท่านให้หน่วยงานราชการ บุคคล หรือนิติบุคคลใด ๆ เพื่อเป็นการปฏิบัติตามกฎหมาย หรือเพื่อปฏิบัติตามคำสั่งศาล
- นโยบายด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
เราจะดำเนินการดูแลและเก็บข้อมูลส่วนบุคคลให้มีความเหมาะสม ไม่ว่าจะข้อมูลส่วนบุคคลของท่านจะอยู่ในแบบเอกสาร ไฟล์ หรือ ระบบอิเล็กทรอนิกส์ รวมทั้งเครื่องมือต่าง ๆ ที่บริษัทฯ ใช้ เพื่อรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของท่าน โดยให้เป็นไปตามกฎหมาย ทั้งนี้ เพื่อประโยชน์ในการรักษาความลับ ความถูกต้องครบถ้วน และความพร้อมใช้งานของข้อมูลส่วนบุคคล เป็นการป้องกันการสูญหาย การเข้าถึง การใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ หรือกระทำการโดยปราศจากอำนาจโดยชอบด้วยกฎหมาย โดยบริษัทฯ ได้กำหนดและดำเนินมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามแนวทางดังต่อไปนี้
6.1 จัดให้มีมาตรการการยืนยันตัวตน (Authentication) กำหนดสิทธิ (Authorization) และการบันทึกกิจกรรม (Accounting) ในการเข้าถึง การใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคลตามมาตรการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของบริษัทฯ อย่างเคร่งครัด
6.2 ในกรณีที่เราส่ง หรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ รวมถึงการนำข้อมูลส่วนบุคคลไปเก็บบนฐานข้อมูลในระบบอื่นใด ซึ่งผู้ให้บริการรับโอนข้อมูลหรือบริการเก็บข้อมูลอยู่ต่างประเทศนั้น ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอหรือเทียบเท่ามาตรการตามนโยบายนี้ เว้นแต่การนั้นจะเป็นไปตามกฎหมาย หรือได้รับความยินยอมจากเจ้าของข้อมูล และเราอาจดำเนินการดังกล่าวได้หลังจากที่ได้แจ้งกับท่านถึงวัตถุประสงค์ของการดำเนินการดังกล่าว และได้รับการยินยอมจากท่านแล้ว โดยเราจะแจ้งให้ท่านทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่อาจไม่เพียงพอของประเทศปลายทางด้วย อย่างไรก็ตาม เราสามารถโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศได้โดยไม่ต้องขอความยินยอมจากท่านในกรณีที่การโอนข้อมูลส่วนบุคคลไปต่างประเทศนั้นเป็นไปเพื่อปฏิบัติตามสัญญาซึ่งท่านเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญานั้น หรือเป็นไปตามข้อกำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
6.3 ในกรณีที่มีการฝ่าฝืนมาตรการการรักษาความมั่นคงปลอดภัยของเรา จนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคลหรือข้อมูลส่วนบุคคลรั่วไหลสู่สาธารณะ บริษัทฯ จะดำเนินการแจ้งเจ้าของข้อมูลให้ทราบโดยเร็ว รวมทั้งแจ้งแผนการเยียวยาความเสียหายจากการละเมิดหรือรั่วไหลของข้อมูลส่วนบุคคลสู่ธารณะในกรณีที่เกิดจากความบกพร่องของเรา ที่ส่งผลต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เราจะไม่รับผิดชอบในกรณีความเสียหายใดๆ อันเกิดจากการใช้หรือการเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลที่สามรวมถึงการละเลยหรือเพิกเฉยการออกจากระบบ (Log out) ที่เจ้าของข้อมูลได้เข้าไปใช้งาน โดยการกระทำของเจ้าของข้อมูลหรือบุคคลอื่นซึ่งได้รับความยินยอมจากเจ้าของข้อมูล
6.4 เรากำหนดระเบียบให้บุคลากรทุกคนถือปฏิบัติในการเข้าถึงข้อมูลส่วนบุคคลของลูกค้า คู่สัญญา ผู้รับบริการ และบุคลากร โดยบุคลากรที่สามารถเข้าถึงข้อมูลส่วนบุคคลเหล่านั้นได้จะเป็นเพียงบุคลากรที่มีความจำเป็นต้องรับทราบข้อมูล เพื่อการปฏิบัติหน้าที่ของตนเท่านั้น เช่น บุคลากรที่มีหน้าที่ด้านทรัพยากรบุคคล บุคลากรที่ดูแลและบริหารสัญญาระหว่างบริษัทฯ กับคู่สัญญา เป็นต้น และการเข้าถึงข้อมูลส่วนบุคคลของบุคคลภายนอกจะสามารถทำได้ตามตามคำสั่ง หรือตามเท่าที่บริษัทฯ หรือกฎหมายกำหนดไว้ ซึ่งบุคคลภายนอกจะต้องมีหน้าที่ในการรักษาความลับและคุ้มครองข้อมูลส่วนบุคคล พร้อมกับได้จัดให้มีวิธีการทางเทคโนโลยีเพื่อป้องกันไม่ให้มีการเข้าสู่ระบบคอมพิวเตอร์ที่ไม่ได้รับอนุญาตอีกด้วย
6.5 เรามีการดำเนินการสอบทาน และประเมินประสิทธิภาพของระบบคอมพิวเตอร์ เพื่อทำการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามมาตรการที่กำหนดไว้ให้มีประสิทธิภาพอยู่เสมอ
6.6 เรามีการดำเนินงานเพื่อให้มีระบบตรวจสอบ สำหรับจัดการทำลายข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นในการดำเนินการของบริษัทฯ
6.7 ในกรณีที่เป็นข้อมูลส่วนบุคคลแบบอ่อนไหว เราจะดำเนินการจัดทำมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลเอกสาร และข้อมูลอิเล็กทรอนิกส์ในด้านการเข้าถึง และควบคุมการใช้งาน พร้อมกับมีระบบการใช้งานและระบบสำรองพร้อมทั้งแผนสำหรับกรณีฉุกเฉิน และมีการตรวจสอบประเมินความเสี่ยงของระบบอย่างสม่ำเสมอ
- บทบาทหน้าที่และความรับผิดชอบ
บริษัทฯ กำหนดให้บุคลากรหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลต้องให้ความสำคัญและรับผิดชอบในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบาย และแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ อย่างเคร่งครัด โดยกำหนดให้บุคคล หรือหน่วยงานดังต่อไปนี้ ทำหน้าที่กำกับและตรวจสอบให้การดำเนินงานของบริษัทฯ ให้ถูกต้องและเป็นไปตามนโยบายและกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
7.1 คณะกรรมการบริษัท มีหน้าที่รับผิดชอบได้แก่
7.1.1 กำหนดให้มีนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลบุคคลและความเป็นส่วนตัว
7.1.2 กำกับดูแลให้มีการนำนโยบายไปปฏิบัติอย่างเป็นรูปธรรม
7.2 ผู้บริหารทุกระดับ มีหน้าที่รับผิดชอบได้แก่
7.2.1 จัดให้มีระเบียบปฏิบัติและมาตรการต่างๆ ในการจัดเก็บข้อมูลส่วนบุคคลให้เหมาะสมกับบริบทของบริษัทฯ เพื่อให้สอดคล้องกับนโยบาย แนวปฏิบัติ กฎหมาย และเป็นไปมาตรฐานสากล
7.2.2 จัดให้มีผู้รับผิดชอบ เช่น หน่วยงานหรือบุคลากรที่รับผิดชอบเพื่อดูแลการดำเนินงานให้เป็นไปตามระเบียบปฏิบัติ
7.2.3 ในกรณีที่บริษัทฯ ว่าจ้างบุคคลธรรมดาหรือนิติบุคคลจากภายนอก เพื่อให้ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล ต้องจัดให้มีระบบการคัดเลือกผู้รับจ้างที่มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่ได้มาตรฐาน
7.2.4 กำกับดูแลให้มีการปฏิบัติตามนโยบายและแนวปฏิบัติ และระเบียบปฏิบัติ ตลอดจนหาแนวทางพัฒนา ปรับปรุง เพื่อให้การนำไปปฏิบัติมีประสิทธิภาพมากขึ้นรวมทั้งมั่นใจว่ามีการรายงานผลการปฏิบัติงาน ตามนโยบายและแนวปฏิบัติและระเบียบปฏิบัติ
7.3 หน่วยงานหรือบุคคลที่ได้รับมอบหมายให้เป็นผู้เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล มีหน้าที่รับผิดชอบ อันได้แก่
7.3.1 ดำเนินการและควบคุมการดำเนินการเกี่ยวกับการประมวลข้อมูล ทั้งการแจ้งประกาศต่างๆ การขอความยินยอมในการเก็บรวม รวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปตามระเบียบปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล และ ตามที่กฎหมายที่กำหนด
7.3.2 ดำเนินการและควบคุมการดำเนินมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ตามที่กำหนดไว้ในระเบียบปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล รวมทั้งแจ้งให้เจ้าหน้าที่คุ้มครอบข้อมูลส่วนบุคคล (DPO) ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
7.3.3 ดำเนินการและควบคุมการลบหรือทำลายข้อมูล เมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือ ที่ไม่เกี่ยวข้อง หรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวม หรือตามที่เจ้าของข้อมูลส่วนบุคคลได้ใช้สิทธิร้องขอ
7.3.4 ตรวจสอบและควบคุม ปรับปรุงข้อมูลส่วนบุคคลให้มีความถูกต้อง ทันสมัยและเป็นปัจจุบัน
7.3.5 เมื่อพบการรั่วไหลหรือการละเมิดข้อมูลส่วนบุคคล ต้องรีบแจ้งต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หรือ คณะทำงานคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ ให้ทราบโดยทันที
7.3.6 ดำเนินการควบคุมการบันทึกข้อมูลและรายงาน ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่รับผิดชอบ
7.3.7 ประเมินความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของกิจกรรมงานที่ตนรับผิดชอบ รวมทั้งบริหารจัดการและดำเนินงานตามมาตรการที่กำหนด เพื่อลดความเสี่ยงต่อการรั่วไหล หรือการถูกละเมิดของข้อมูลส่วนบุคคลในกิจกรรมงานต่างๆ นั้น
7.4 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) หรือที่อาจเรียกชื่อเป็นอย่างอื่น มีหน้าที่รับผิดชอบได้แก่
7.4.1 ให้คำแนะนำในด้านต่างๆ ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่ผู้บริหาร บุคลากร ลูกค้า คู่ค้าของบริษัทฯ หรือบุคคลอื่นที่เกี่ยวข้อง
7.4.2 ตรวจตราการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล
7.4.3 ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทฯ ลูกค้า คู่ค้าของบริษัทฯ หรือบุคคลอื่นใดที่เกี่ยวข้อง
- สิทธิของเจ้าของข้อมูลส่วนบุคคล
เราได้จัดให้มีช่องทางและอำนวยความสะดวกให้แก่เจ้าของข้อมูลส่วนบุคคลหรือผู้มีอำนาจกระทำการแทนในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเปิดให้เจ้าของข้อมูลส่วนบุคคลดำเนินการตามสิทธิอันกฎหมายรับรองและคุ้มครองให้ดังต่อไปนี้
8.1 สิทธิในการเข้าถึงข้อมูลส่วนบุคคล
เจ้าของข้อมูลสามารถยื่นคำร้องขอเข้าถึงข้อมูลส่วนบุคคล หรือชี้แจงถึงการได้มาของข้อมูลส่วนบุคคลที่เจ้าของข้อมูลไม่ได้ให้ความยินยอม โดยบริษัทฯ จะจัดเตรียมหรือจัดทำสำเนาข้อมูลส่วนบุคคลและข้อมูลที่เกี่ยวข้องตามช่องทางการสื่อสารของเรา ทั้งนี้ บริษัทฯ มีสิทธิปฏิเสธคำร้องขอ หากเป็นไปตามที่กฎหมายกำหนด หรือตามคำสั่งศาลหรือการเข้าถึงข้อมูลส่วนบุคคลนั้น อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
8.2 สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
เจ้าของข้อมูลสามารถยื่นคำร้องขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้องตรงกับความเป็นจริงเป็นปัจจุบัน ครบถ้วนสมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด โดยจะต้องนำหลักฐานหรือเอกสารที่เกี่ยวข้องมาแสดง หากบริษัทฯ เห็นว่าการขอแก้ไขข้อมูลนั้นไม่มีเหตุผลเพียงพอ บริษัทฯ จะปฏิเสธคำร้องขอของเจ้าของข้อมูลและจะบันทึกเหตุผลในการปฏิเสธคำร้องขอไว้เป็นหลักฐาน
8.3 สิทธิในการลบ ทำลาย หรือทำให้ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้
เจ้าของข้อมูลสามารถยื่นคำร้องขอลบ ทำลาย หรือทำให้ไม่สามารถระบุตัวเจ้าของข้อมูลได้โดยบริษัทฯ จะดำเนินการตามคำร้องภายใต้เงื่อนไข ดังนี้
- เมื่อหมดความจำเป็นในการเก็บรักษาข้อมูลส่วนบุคคลตามวัตถุประสงค์
- เจ้าของข้อมูลเพิกถอนความยินยอม และบริษัทฯ ไม่มีอำนาจตามกฎหมายในการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- เจ้าของข้อมูลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการปฏิบัติภารกิจของรัฐและเพื่อประโยชน์อันชอบธรรม และบริษัทฯ ไม่สามารถคัดค้านได้
- ข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ชอบด้วยกฎหมาย
ทั้งนี้ เรามีสิทธิปฏิเสธคำร้องขอ ดังนี้
- เป็นการเก็บรักษาไว้เพื่อความจำเป็นในการใช้เสรีภาพในการแสดงความคิดเห็น
- เป็นการเก็บรักษาไว้เพื่อวัตถุประสงค์ในการจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ ฯลฯ
- เป็นการเก็บรักษาไว้เพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัทฯ หรือปฏิบัติตามอำนาจรัฐที่บริษัทฯ ได้รับมอบหมาย
- เป็นการเก็บรักษาข้อมูลที่มีความจำเป็นในการปฏิบัติหน้าที่ตามกฎหมาย เพื่อวัตถุประสงค์ด้านเวชศาสตร์ป้องกัน อาชีวเวชศาสตร์ ประโยชน์ด้านการสาธารณสุขและอื่น ๆ ตามที่กฎหมายกำหนด
- เป็นการใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือการปฏิบัติตามกฎหมาย
8.4 สิทธิในการเพิกถอนความยินยอม
กรณีเจ้าของข้อมูลได้ให้ความยินยอมไว้กับเรา เจ้าของข้อมูลสามารถยื่นคำร้องขอเพิกถอนความยินยอมนั้นได้ โดยบริษัทฯ จะดำเนินการตามคำร้องขอของเจ้าของข้อมูล แต่การเพิกถอนความยินยอมดังกล่าวย่อมไม่ส่งผลกระทบต่อการดำเนินการอื่นใดที่ได้กระทำก่อนที่จะมีการใช้สิทธิเพิกถอนความยินยอมนั้น ทั้งนี้ บริษัทฯ มีสิทธิปฏิเสธคำร้องขอ หากมีข้อจำกัดสิทธิในการเพิกถอนความยินยอมโดยกฎหมาย หรือ สัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล
8.5 สิทธิในการขอรับหรือโอนย้ายข้อมูลส่วนบุคคลของตนเอง
เจ้าของข้อมูลสามารถยื่นคำร้องขอรับหรือโอนย้ายข้อมูลส่วนบุคคลของตนเองไปยัง ผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ในรูปแบบอิเล็กทรอนิกส์ที่สามารถอ่านหรือใช้งานจากเครื่องมือ หรืออุปกรณ์ทำงานได้โดยวิธีการอัตโนมัติ รวมทั้งมีสิทธิขอตรวจสอบการโอนย้ายข้อมูลส่วนบุคคลดังกล่าวได้ โดยมีเงื่อนไข ดังนี้
- ต้องเป็นข้อมูลส่วนบุคคลที่เจ้าของข้อมูลได้ให้ความยินยอมในการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อความจำเป็นต่อการให้บริการ หรือตามสัญญาระหว่างเจ้าของข้อมูลและบริษัทฯ
ทั้งนี้ เราจะปฏิเสธการขอรับหรือโอนย้ายข้อมูลส่วนบุคคล หากเป็นการปฏิบัติหน้าที่เพื่อประโยชน์สาธารณะ หรือเป็นการปฏิบัติหน้าที่ตามกฎหมาย หรือละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น หรือในทางเทคนิคไม่สามารถดำเนินการได้โดยบริษัทฯ จะบันทึกเหตุผลในการปฏิเสธคำร้องขอไว้เป็นหลักฐาน
8.6 สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล
เจ้าของข้อมูลสามารถยื่นคำร้องขอห้ามมิให้เราใช้ข้อมูลส่วนบุคคลได้ตามเงื่อนไข ดังนี้
- บริษัทฯ อยู่ระหว่างดำเนินการ หากตรวจสอบได้ว่าข้อมูลนั้นถูกต้องครบถ้วนสมบูรณ์แล้ว บริษัทฯ สามารถปฏิเสธคำร้องขอดังกล่าวได้
- เมื่อเป็นข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายและเจ้าของข้อมูลไม่ได้ใช้สิทธิขอให้ลบ ทำลาย หรือทำให้ไม่สามารถระบุตัวเจ้าของข้อมูลได้ แต่เจ้าของข้อมูลให้ระงับการใช้แทน ทั้งนี้เราจะปฏิเสธคำร้องขอดังกล่าว หากสามารถอ้างหลักฐานทางกฎหมายอื่นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- เมื่อไม่มีความจำเป็นต้องเก็บรักษาข้อมูลส่วนบุคคลนั้น แต่เจ้าของข้อมูลขอให้เก็บรักษาไว้ เพื่อการก่อตั้งสิทธิตามกฎหมาย การปฏิบัติตามหรือใช้สิทธิเรียกร้องตามกฎหมายหรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
- บริษัทฯ อยู่ระหว่างการพิสูจน์เพื่อปฏิเสธการคัดค้านของเจ้าของข้อมูลตามสิทธิ
8.7 สิทธิในการคัดค้าน
เจ้าของข้อมูลสามารถยื่นคำร้องขอคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ตามเงื่อนไข ดังต่อไปนี้
- เพื่อการปฏิบัติภารกิจของรัฐและเพื่อประโยชน์อันชอบธรรม ทั้งนี้ บริษัทฯ จะปฏิเสธการคัดค้าน หากพิสูจน์ได้ว่ามีเหตุอันชอบด้วยกฎหมายที่สำคัญกว่าหรือเพื่อการก่อตั้งสิทธิตามกฎหมาย การปฏิบัติตามหรือใช้สิทธิเรียกร้องตามกฎหมายหรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
- เพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ ทั้งนี้ เราจะปฏิเสธการคัดค้าน หากมีความจำเป็นในการดำเนินตามภารกิจ เพื่อประโยชน์สาธารณะของเรา
ในกรณีเช่นว่านี้ เราจะบันทึกเหตุผลในการปฏิเสธคำร้องขอไว้เป็นหลักฐาน ทั้งนี้ หากไม่เข้าข้อยกเว้นการปฏิเสธการคัดค้านบริษัทฯ จะไม่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อไป โดยจะแยกส่วนออกจากข้อมูลอื่นอย่างชัดเจน เมื่อเจ้าของข้อมูลได้แจ้งการคัดค้านให้เรา ทราบ
8.8 สิทธิการได้รับแจ้งข้อมูล
เจ้าของข้อมูลมีสิทธิจะได้รับแจ้งข้อมูล กรณีที่บริษัทฯ ได้รับข้อมูลจากเจ้าของข้อมูลโดยตรง หรือได้รับจากบุคคลที่สาม ตามช่องทางสื่อสารของบริษัทฯ
8.9 สิทธิในการร้องเรียน
เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนในกรณีที่เรา หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้าง หรือผู้รับจ้างของเราหรือของผู้ประมวลผลข้อมูลส่วนบุคคลฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แต่เราขอสงวนสิทธิในการปฏิเสธคำร้องขอในกรณีดังต่อไปนี้
(ก) กฎหมายกำหนดให้สามารถดำเนินการได้
(ข) ข้อมูลส่วนบุคคลถูกทำให้ไม่ปรากฏชื่อ หรือบอกลักษณะอันสามารถระบุตัวตนของเจ้าของข้อมูลได้
(ค) ผู้ยื่นคำร้องไม่มีหลักฐานยืนยันว่าเป็นเจ้าของข้อมูลหรือเป็นผู้มีอำนาจในการยื่นคำร้องขอ ดังกล่าว
(ง) คำร้องขอดังกล่าวไม่สมเหตุสมผล เช่น กรณีที่ผู้ร้องขอไม่มีสิทธิตามกฎหมาย หรือ บริษัท มิได้มีข้อมูลดังกล่าวเก็บรักษาหรือรวบรวมไว้ เป็นต้น
(จ) คำร้องขอดังกล่าวเป็นคำร้องขอฟุ่มเฟือย เช่น เป็นคำร้องขอที่มีลักษณะเดียวกันหรือเนื้อหาเดียวกันซ้ำๆ กันโดยไม่มีเหตุอันสมควร เป็นต้น
(ฉ) บริษัทฯ อาจกำหนดค่าใช้จ่ายในการดำเนินการตามคำร้องขอใช้สิทธิตามหลักเกณฑ์ที่บริษัทฯ กำหนด
อนึ่ง เราอาจมีความจำเป็นต้องขอข้อมูลบางประการจากท่าน เพื่อใช้ในการยืนยันตัวตนของท่าน และรับรองสิทธิของท่านในการเข้าถึงข้อมูลส่วนบุคคล (หรือเพื่อใช้สิทธิอื่นใด) เพื่อให้เป็นไปตามมาตรการความปลอดภัยที่จะทำให้ท่านมั่นใจได้ว่าข้อมูลส่วนบุคคลของท่านจะไม่ถูกเปิดเผยต่อบุคคลที่ไม่มีสิทธิเข้าถึงข้อมูลดังกล่าว
เราจะใช้ความพยายามในการตอบกลับคำขอที่ถูกต้องตามกฎหมายทั้งหมดภายใน 30 วัน ในบางกรณี บริษัทฯ อาจใช้เวลามากกว่า 30 วันหากคำขอของท่านมีความซับซ้อน หรือท่านยื่นคำขอเข้ามาเป็นจำนวนมากกว่าหนึ่งคำขอ ในกรณีดังกล่าว เราจะแจ้งให้ท่านทราบและจะทำการแจ้งสถานะของคำขอให้ท่านทราบอยู่เสมอ
- การปรับปรุง ทบทวน หรือแก้ไข นโยบายการคุ้มครองข้อมูลส่วนบุคคล
เราอาจดำเนินการปรับปรุง ทบทวน หรือแก้ไข นโยบายฉบับนี้ได้ไม่ว่าบางส่วนหรือทั้งหมด หรือเป็นครั้งคราวเพื่อให้สอดคล้องกับแนวทางการดำเนินงานของบริษัทฯ และสอดคล้องกับกฎหมาย ประกาศหรือคำสั่งของหน่วยงานราชการที่กำหนดให้ดำเนินการ
- นโยบายด้านการจ้างผู้ประมวลผลข้อมูลส่วนบุคคล
บริษัทฯ ได้กำหนดแนวทางปฏิบัติในการทำสัญญาจ้างประมวลผลข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลภายนอกที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลไว้ดังนี้
10.1 ก่อนทำการจ้างผู้ประมวลผลข้อมูล บริษัทฯ ต้องประเมินระบบและแนวทางการคุ้มครองข้อมูลส่วนบุคคลของผู้รับจ้างก่อน หากผู้รับจ้างประมวลผลไม่มีระบบการป้องกันหรือไม่เพียงพอการทำสัญญาจ้างผู้ประมวลผลต้องให้ผู้ประมวลผลปฏิบัติตามระเบียบปฏิบัติหรือประกาศที่บริษัทฯ กำหนด
10.2 ในสัญญาจ้างต้องระบุวัตถุประสงค์ วิธีการเก็บข้อมูล การแจ้งเจ้าของข้อมูล การใช้ การส่ง การโอน ข้อมูล และการกำจัดหรือลบทิ้งทำลายข้อมูล
10.3 คู่สัญญาต้องลงนามในข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement – DPA) ให้เป็นไปตามที่กฎหมาย หรือที่ระเบียบของบริษัทฯ ได้กำหนดไว้
10.4 เมื่อมีการจ้างผู้ประมวลผลข้อมูลส่วนบุคคล ต้องทำการควบคุมการประมวลผลตามที่จ้างและการควบคุมการปฏิบัติให้ เป็นไปตามแนวปฏิบัติที่เกี่ยวข้องได้กำหนดไว้
10.5 เมื่อครบกำหนดการเก็บรักษาข้อมูล ต้องติดตามและควบคุมให้ผู้รับจ้างประมวลผลข้อมูลส่วนบุคคลนั้น ทำการลบทิ้งทำลายหรือทำให้ข้อมูลนั้นเป็นข้อมูลนิรนาม (Anonymized Data) ที่ไม่สามารถระบุตัวบุคคลได้ ทั้งนี้ ตามระเบียบปฏิบัติที่บริษัทฯ กำหนด หรือที่ได้ตกลงกัน
- นโยบายด้านความรับผิดชอบของพนักงาน/เจ้าหน้าที่
11.1 บริษัทฯ ให้ความสำคัญกับการจัดฝึกอบรมให้ความรู้และสร้างความตระหนักเกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลให้กับผู้บริหารและบุคลากรทุกระดับ และถือเป็นหน้าที่ของผู้บังคับบัญชาทุกคนที่จะต้องกำหนดให้บุคลากรในสังกัดของตนซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคล ต้องเข้าร่วมฝึกอบรมอย่างเคร่งครัด พร้อมกับประเมินและติดตามผลเพื่อให้มั่นใตว่าบุคลากรจะสามารถปฏิบัติงานได้ครบถ้วนและถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
11.2 เรากำหนดให้พนักงาน/เจ้าหน้าที่ หรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ต้องให้ความสำคัญและรับผิดชอบในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้อย่างเคร่งครัด โดยจะต้องปฏิบัติงานให้สอดคล้องกับนโยบาย แนวปฏิบัติ คู่มือและกฎหมายอันเกี่ยวกับการปฏิบัติงานนั้น ทั้งนี้ ความจงใจหรือประมาทเลินเล่อ ละเลยหรือละเว้นไม่สั่งการ หรือไม่ดำเนินการ หรือสั่งการหรือดำเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตนอันเป็นการฝ่าฝืนนโยบาย และแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และ/หรือความเสียหายขึ้น พนักงาน/เจ้าหน้าที่ ผู้นั้นอาจต้องรับโทษทางวินัยตามระเบียบของบริษัทฯ และต้องรับโทษทางกฎหมายตามฐานความผิด นั้น ๆ ทั้งนี้หากความผิดดังกล่าวก่อให้เกิดความเสียหายแก่บริษัทและ/หรือบุคคลอื่นใด เราอาจพิจารณาดำเนินคดีตามกฎหมายเพิ่มเติมต่อไป
- นโยบายด้านการใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาด
นอกจากวัตถุประสงค์อันได้แจ้งกับท่านซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล และภายใต้ข้อกำหนดของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เราจะใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาด เช่น การจัดส่งเอกสารเกี่ยวกับโปรโมชั่นต่าง ๆ ทางไปรษณีย์ อีเมล และด้วยวิธีการอื่นใด รวมถึงการดำเนินการด้านการตลาดแบบตรง เพื่อเพิ่มสิทธิประโยชน์ที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากการเป็นผู้รับบริการของเรา ผ่านการแนะนำผลิตภัณฑ์ และบริการที่เกี่ยวข้อง
ท่านสามารถเลือกที่จะไม่รับการสื่อสารเพื่อวัตถุประสงค์ทางการตลาดจากเราได้ ยกเว้นการติดต่อสื่อสารที่เกี่ยวข้องกับเจ้าของข้อมูล และ/หรือบริการที่บริษัทฯ จำเป็นต้องกระทำหรือได้ให้แก่ท่าน เช่น การออกใบเสร็จรับเงิน การออกใบรับรองแพทย์ หรือเอกสารใดประกอบการให้บริการที่เกี่ยวข้องกับทางการแพทย์ เป็นต้น
- การใช้บังคับนโยบายการคุ้มครองข้อมูลส่วนบุคคล
นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ มีผลใช้บังคับกับข้อมูลส่วนบุคคลทั้งหมดที่บริษัทฯ เป็นผู้เก็บรวบรวม ใช้และเปิดเผยและเจ้าของข้อมูลตกลงให้บริษัทฯ มีสิทธิในการเก็บรวบรวม และนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่บริษัทฯ ได้เก็บรวบรวมไว้แล้ว (หากมี) ตลอดจนข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรวบรวมในปัจจุบัน และที่จะเก็บรวบรวมในอนาคต ไปใช้ หรือเปิดเผยแก่บุคคลอื่นภายในขอบเขตที่ระบุไว้ในนโยบายความเป็นส่วนตัวนี้
- ติดต่อหน่วยงานผู้มีอำนาจ (Appropriate Authority)
หากท่านต้องการรายงานเรื่องร้องเรียน หรือหากท่านรู้สึกว่าบริษัทฯ ไม่ตอบข้อกังวลของท่านในลักษณะที่น่าพึงพอใจ ท่านสามารถติดต่อ และ/หรือร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ตามรายละเอียดด้านล่าง
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
หมายเลขโทรศัพท์ : 0-2142-1033
อีเมล : pdpc@mdes.go.th
- ติดต่อเรา
กรณีพบเหตุอันควรสงสัยหรือเชื่อว่ามีการละเมิดการข้อมูลส่วนบุคคล การร้องเรียน หรือการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ หรือตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือสอบถามข้อสงสัย สามารถติดต่อกับเราได้ที่
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)
คุณชนัญชิดา ยางสีลา
บริษัท หวนจี ยีน เทคโนโลยี (ประเทศไทย) จำกัด
2102/4 ตึกหวนจี ถนนลาดพร้าว แขวงวังทองหลาง เขตวังทองหลาง กรุงเทพมหานคร 10310
หมายเลขโทรศัพท์ : 02-246-3605 ต่อ 101
หมายเลขแฟกซ์ : 02-246-3606
อีเมลแอดเดรส : dpo.huanjithailand@gmail.com