นโยบายคุ้มครองข้อมูลส่วนบุคคล (Data Protection Privacy Policy)


นโยบายคุ้มครองข้อมูลส่วนบุคคล (Data Protection Privacy Policy)


1. วัตถุประสงค์
      เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ ดังนี้

● เพื่อระบุถึงความสำคัญของการปฏิบัติที่ถูกต้องเกี่ยวกับข้อมูลส่วนบุคคลอย่างชัดเจนและสอดคล้องตามหลักการที่เกี่ยวข้องกับความปลอดภัยของข้อมูลส่วนบุคคล

● เพื่อให้สำคัญถึงความจำเป็นของข้อมูล โดยระบุถึงสภาพทั่วไป ปริมาณ และลักษณะของข้อมูลส่วนบุคคลที่มีความจำเป็นต่อการดำเนินงานของบริษัทฯ

● เพื่อกำหนดเป็นนโยบายการจัดการและแนวทางปฏิบัติที่ดี

● เพื่อกำหนดให้มีขั้นตอนสำหรับการดำเนินการและการจัดการข้อมูลส่วนบุคคลที่เหมาะสม

● พนักงานของบริษัทฯ มีความรู้ความสามารถที่เหมาะสม เพื่อทำหน้าที่ดูแลรับผิดชอบข้อมูลส่วนบุคคลให้มีความปลอดภัย

● เพื่อให้มีสภาพแวดล้อม วัฒนธรรม และ การสนับสนุนที่ดีที่สุดต่อการประมวลผลข้อมูลส่วนบุคคลสำหรับพนักงาน

● พนักงานทุกคนมีความตระหนักถึงหน้าที่ความรับผิดชอบและสามารถปฏิบัติตามวิธีการจัดการต่อข้อมูลส่วนบุคคลของบริษัทฯได้อย่างถูกต้อง

● เจ้าของข้อมูลส่วนบุคคล ทราบถึงวิธีการส่งคำร้องเพื่อขอเข้าถึงข้อมูลส่วนบุคคลของตนเอง ว่ามีขั้นตอนอย่างไร ติดต่อใคร โดยคำร้องดังกล่าวจะต้องได้รับการจัดการอย่างรวดเร็วและถูกต้อง

● เจ้าของข้อมูลส่วนบุคคลมั่นใจว่าข้อมูลส่วนบุคคลของตนเอง ได้รับการบริหารจัดการที่มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่มีมาตรฐาน เพื่อให้ข้อมูลส่วนบุคคลมีความปลอดภัยตลอดเวลา และป้องกันการเข้าถึงจากผู้ที่ไม่ได้รับอนุญาต

● หน่วยงานอื่นใด ที่ต้องการโอนย้ายหรือแชร์ข้อมูลส่วนบุคคลของบริษัทฯ ต้องปฏิบัติตามขึ้นตอนปฏิบัติของบริษัทฯ อย่างเคร่งครัด

● สำหรับการพัฒนาระบบหรือแอปพลิเคชัน จำเป็นต้องได้รับการประเมินความเสี่ยงและความเสียหายที่อาจมีผลต่อข้อมูลส่วนบุคคล ตามที่นโยบายฉบับนี้กำหนดไว้


2. ขอบข่าย
      ครอบคลุมการปฏิบัติงานของพนักงานที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล


3. นิยาม
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล


4. นโยบายคุ้มครองข้อมูลส่วนบุคคล
      พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้บริษัทฯ มีหน้าที่จัดทำมาตรการในการคุ้มครองข้อมูลส่วนบุคคลเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลทั้งที่ตั้งใจหรือไม่ตั้งใจ ซึ่งบริษัทฯ มีความมุ่งมั่นที่จะคุ้มครองข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย การใช้ผิดวัตถุประสงค์ การถูกเปิดเผย การถูกแก้ไข การไม่พร้อมใช้งาน การเข้าใช้โดยไม่มีสิทธิหรือได้รับอนุญาต รวมถึงการถูกทำลาย โดยใช้ความระมัดระวังตามสมควรเพื่อปกป้องข้อมูลส่วนบุคคล รวมถึงการจัดทำมาตรการทางด้านเทคนิคที่เหมาะสม เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลใดๆ ที่ได้รับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ว่าทางตรงหรืออ้อม ไม่ว่าจะบนกระดาษ คอมพิวเตอร์ หรือบนสื่อบันทึกใดๆ ให้มีการปกป้องที่เหมาะสมเพื่อให้แน่ใจว่าเป็นไปตามข้อบังคับของกฎหมาย

      บริษัทฯ ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ที่เกี่ยวข้องกับบุคคล ซึ่งหมายรวมถึงพนักงาน พนักงานชั่วคราว หุ้นส่วนทางธุรกิจ จะต้องมีวัตถุประสงค์ทางธุรกิจที่ชอบด้วยกฎหมายในการเก็บและดำเนินการกับข้อมูลใดๆ มีภาระผูกพันเพื่อปกป้องคุ้มครองสิทธิและเสรีภาพของบุคคลตามที่ได้ระบุไว้ในกฎหมาย ซึ่งมีรายละเอียดดังนี้

  การคุ้มครองข้อมูลส่วนบุคคล
● การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่ โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้

● ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้ง วัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้ง ใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว

● ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทำสัญญา ซึ่งรวมถึงการให้บริการใดๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้นๆ

● เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่าย เช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือ สัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้ว

● ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้ควบคุม ข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอมนั้น การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ไม่เป็นไปตามที่กำหนดไว้ในหมวดนี้ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคล และไม่ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้

  การเก็บรวมรวมข้อมูลส่วนบุคคล
● การเก็บรวบรวมข้อมูลส่วนบุคคล ต้องได้รับอนุญาตจากเจ้าของข้อมูลส่วนบุคคลก่อน จึงจะทำการเก็บรวบรวมได้ เว้นแต่บทบัญญัติแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมายอื่นบัญญัติให้กระทำได้

● การเก็บรวบรวมข้อมูลส่วนบุคคลต้องทำอย่างชัดแจ้ง โดยจัดทำเป็นหนังสือ หรือเอกสาร หรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เพื่อขอความยินยอมจากเจ้าของข้อมูล และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้

● การเก็บรวบรวมข้อมูลส่วนบุคคลจากบุคคลซึ่งเป็นผู้เยาว์ยังไม่บรรลุนิติภาวะโดยการสมรส หรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วตามมาตรา ๒๗ แห่งประมวลกฎหมายแพ่งและพาณิชย์ การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าว ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ได้

● การเก็บรวบรวมข้อมูลส่วนบุคคลจากบุคคลซึ่งเป็นบุคคลไร้ความสามารถ ให้ดำเนินการขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ

● การเก็บรวบรวมข้อมูลส่วนบุคคลจากบุคคลซึ่งเป็นบุคคลเสมือนไร้ความสามารถ ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ

● การเก็บรวบรวมข้อมูลส่วนบุคคล ต้องเก็บรวบรวมเท่าที่จำเป็นต้องใช้เท่านั้น และต้องแจ้งวัตถุประสงค์ของการจัดเก็บ ใช้ หรือเปิดเผยข้อมูลไปด้วย

● กำหนดระยะเวลาในการเก็บ รวบรวม ข้อมูลส่วนบุคคล

● กำหนดมาตรการหรือวิธีการในการดูแลรักษาข้อมูลส่วนบุคคลที่ได้จัดเก็บรวบรวมมา เพื่อป้องกันการเข้าถึงจากบุคคลซึ่งไม่มีสิทธิ์

  การใช้ เปิดเผย ข้อมูลส่วนบุคคล
● การใช้หรือเปิดเผยข้อมูลส่วนบุคคล จะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนเท่านั้น บริษัทฯ จึงจะสามารถใช้หรือเปิดเผยข้อมูลดังกล่าวได้

● การส่งต่อหรือโอนข้อมูลส่วนบุคคลไปยังหน่วยงานอื่น บริษัทฯ จะดำเนินการจัดให้ให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ เพื่อป้องกันการสูญหาย เสียหาย หรือความผิดพลาดอื่นๆ ที่อาจมีต่อข้อมูลส่วนบุคคล

● การใช้ เปิดเผยข้อมูล จะดำเนินการใช้หรือเปิดเผยตามที่ได้ขออนุญาตจากเจ้าของข้อมูลไว้เท่านั้น


5. การเฝ้าติดตาม ทบทวน และ ปรับปรุงนโยบาย
      นโยบายฉบับนี้กำหนดให้มีการเฝ้าติดตาม และกำหนดตัวชี้วัดเพื่อวัดประสิทธิภาพของกระบวนการปฏิบัติงานเพี่อให้สอดคล้องตามนโยบายนี้ โดยจะต้องมีการกำหนดแผนให้มีการวัดผลเป็นประจำสม่ำเสมอ และมีการทบทวนนโยบายฉบับนี้ อย่างน้อยปีละ 1 ครั้ง หรือ หากมีการเปลี่ยนแปลงที่เกี่ยวข้องกับการดำเนินธุรกิจ กระบวนการปฏิบัติงาน การเปลี่ยนแปลงทางด้านเทคโนโลยี หรือรายงานเหตุการณ์ละเมิดด้านความมั่นคงปลอดภัยข้อมูลส่วนบุคคล ซึ่งอาจเกี่ยวข้องกับนโยบายฉบับนี้


6. สถานที่ติดต่อ และวิธีการติดต่อ
      ในกรณีที่ท่านต้องการความช่วยเหลือจากบริษัทฯ ไม่ว่าในกรณีเกี่ยวกับข้อมูลเพิ่มเติม ความผิดพลาด ข้อสงสัยใดๆ ที่เกิดขึ้นโดยไม่ได้รับอนุญาตจากท่าน ท่านสามารถติดต่อบริษัทฯ ได้ดังนี้

● เว็บไซต์บริษัท: https://www.tqm.co.th/

● เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลขององค์กร (Data Protection Officer) ติดต่อผ่านช่องทาง E-mail: dpo@tqm.co.th