บริษัท ฟอนเทียร่า แบรนด์ส (ประเทศไทย) จำกัด ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการของบริษัท ประกอบกับปัจจุบันการดำเนินธุรกิจ มีความก้าวหน้าของเทคโนโลยีสารสนเทศเข้ามามีอิทธิพลเป็นอย่างมาก ทั้งระบบ การสื่อสาร รวมถึงระบบการทำงานของบริษัท ทำให้การเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลสามารถทำได้โดยง่าย สะดวก และรวดเร็ว อันอาจนำมาซึ่งความเดือดร้อนรำคาญหรือความเสียหาย ในกรณีที่มีการนำข้อมูลส่วนบุคคลไปแสวงหาประโยชน์โดยมิชอบ จึงเห็นสมควรกำหนดให้มีนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้น เพื่อจัดให้มีมาตรการกำกับดูแลเกี่ยวกับ การให้ความคุ้มครองหรือจัดการข้อมูลส่วนบุคคลที่ปลอดภัยและเหมาะสม รวมทั้ง เพื่อป้องกันและเยียวยาการละเมิดสิทธิ ความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล
1. คำนิยาม
“บริษัท” หมายความว่า บริษัท ฟอนเทียร่า แบรนด์ส (ประเทศไทย) จำกัด
“ผู้ใช้บริการ” หมายความว่า ผู้ทำธุรกรรมกับบริษัท (เช่น ลูกค้าผู้ซื้อสินค้าและบริการ คู่ค้า คู่สัญญาต่าง ๆ ตัวแทน นายหน้า และลูกจ้าง เป็นต้น) รวมถึงผู้เข้าเยี่ยมชมหรือใช้งานเว็บไซต์ของบริษัทที่เป็นบุคคลธรรมดา
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรง หรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายความว่า ข้อมลส่วนบุคคลที่กำหนดไว้เป็นการเฉพาะตามมาตรา 26 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เช่นข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา หรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือ ข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน
“เจ้าของข้อมูลส่วนบุคคล” หมายความว่า บุคคลซึ่งข้อมูลส่วนบุคคลสามารถระบุตัวตนได้
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บริษัทซึ่งทำหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการ หรือ บุคคล หรือนิติบุคคลอื่นที่ทำหน้าที่ เช่นเดียวกัน
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคล หรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของบริษัท
“คณะทำงานคุ้มครองข้อมูลส่วนบุคคล” หมายความว่า คณะกรรมการชุดย่อยของบริษัทมีหน้าที่กำกับดูแล ควบคุมการดำเนินธุรกิจของบริษัทให้เป็นไปตามนโยบายและแนวทางการปฏิบัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือคณะบุคคลที่บริษัทแต่งตั้งและมอบหมายตามมาตรา 41 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เพื่อให้ปฏิบัติหน้าที่ในการให้คำแนะนำ กำกับดูแล ตรวจสอบหน่วยงานภายใน ลูกจ้าง ผู้ให้บริการ และผู้ประมวลผลข้อมูลแทนบริษัท เพื่อให้ปฏิบัติตามนโยบายและคู่มือหรือแนวทางการปฏิบัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการรับเรื่องร้องเรียนจากผู้ใช้บริการหรือเจ้าของข้อมูลส่วนบุคคล และประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
“คู่มือหรือแนวปฏิบัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล” หมายความว่า คู่มือหรือขั้นตอนที่กำหนดถึงวิธีการ และเงื่อนไขของการปฏิบัติงานของหน่วยงานภายในบริษัท รวมถึงผู้ให้บริการภายนอก เพื่อให้สอดคล้องและเป็นไปตามนโยบาย การคุ้มครองข้อมูลส่วนบุคคล
“บุคคล” หมายความว่า บุคคลธรรมดา
“พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล” หมายความว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึง กฎ ระเบียบหรือกฎหมายลำดับรองอื่นที่ตราขึ้นโดยอาศัยอำนาจตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
“กฎหมายข้อมูลส่วนบุคคล” หมายความว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล และกฎหมายอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับ
2. วัตถุประสงค์ของนโยบาย
บริษัทจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ เพื่อใช้เป็นหลักเกณฑ์สำหรับการบริหารจัดการข้อมูลส่วนบุคคลของผู้ใช้บริการ ซึ่งรวมถึงการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลตามกฎหมายข้อมูลส่วนบุคคล เพื่อคุ้มครอง ความปลอดภัยของข้อมูลส่วนบุคคล ของผู้ใช้บริการ หากบริษัทมีการเปลี่ยนวัตถุประสงค์ของการดำเนินการใด ๆ ที่เกี่ยวกับ ข้อมูลส่วนบุคคล นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ได้ผ่านการพิจารณา และ อนุมัติโดยผู้บริหารระดับสูงของบริษัท ที่ให้ความสำคัญต่อการคุ้มครองข้อมูลส่วนบุคคลของบุคลากรในบริษัท รวมถึงผู้ใช้บริการภายนอก โดยบริษัทได้ประกาศนโยบาย ฉบับนี้ ให้แก่พนักงาน และบุคคลภายนอกที่เกี่ยวข้องรับทราบโดยทั่วกัน
ทั้งนี้ บริษัทได้จัดทำคู่มือหรือแนวปฏิบัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ที่สอดคล้องตามนโยบายฉบับนี้ เพื่อกำหนดรายละเอียด หลักเกณฑ์ วิธีการดำเนินงาน ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลสำหรับหน่วยงานภายในของบริษัทด้วย
3. หลักการในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
1. บริษัทดำเนินการเพียงเท่าที่จำเป็นในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการ ภายใต้วัตถุประสงค์ อันชอบด้วยกฎหมาย และตามที่กำหนดไว้ในนโยบายนี้
2. ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการ บริษัทจะกระทำโดยต้องได้รับความยินยอม จากเจ้าของข้อมูลส่วนบุคคล ก่อนหรือขณะเก็บข้อมูลส่วนบุคคล ซึ่งบริษัทจะดำเนินการเพียงเท่าที่จำเป็น ตามกรอบวัตถุประสงค์ของความยินยอมของเจ้าของข้อมูลส่วนบุคคล เว้นแต่ เป็นการเก็บรวบรวม ใช้ และเปิดเผย ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามหน้าที่ หรือเพื่อประโยชน์สาธารณะ
3. การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น ที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรงจะกระทำได้ หากกฎหมายข้อมูลส่วนบุคคลได้อนุญาตหรือยกเว้นไว้เป็นการเฉพาะเท่านั้น
4. บริษัทจะไม่เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหว โดยไม่ได้รับความยินยอมโดยชัดแจ้ง จากเจ้าของข้อมูลส่วนบุคคล เว้นแต่ เป็นการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่กฎหมายข้อมูลส่วนบุคคลได้อนุญาตหรือยกเว้นไว้เป็นการเฉพาะเท่านั้น
5. บริษัทจะดำเนินการให้ข้อมูลส่วนบุคคลของผู้ใช้บริการ ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
6. บริษัทได้ดำเนินการจัดให้มีการบันทึก และ/หรือ รายงานข้อมูลส่วนบุคคลในขั้นตอนต่างๆภายใต้นโยบายนี้และตามที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลกำหนด และแจ้งให้ผู้ประมวลผลข้อมูลส่วนบุคคลทำการบันทึก และ/หรือ รายงานกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามหลักเกณฑ์ และวิธีการที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลกำหนด โดยบริษัทได้จัดให้มีข้อตกลงระหว่างบริษัท และผู้ประมวลผลข้อมูลส่วนบุคคล เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผล ข้อมูลส่วนบุคคลตามที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลกำหนด
7. บริษัทจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และจะดำเนินการทบทวนมาตรการดังกล่าว เมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป
8. บริษัทจัดให้มีการดำเนินการเพื่อป้องกันมิให้บุคคล หรือนิติบุคคลอื่น ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจ หรือโดยมิชอบ
9. บริษัทจัดทำระบบการตรวจสอบข้อมูลส่วนบุคคล เพื่อดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้อง หรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม
10. บริษัทมีหน้าที่แจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลให้กับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ ภายใน 72 ชั่วโมง(เจ็ดสิบสองชั่วโมง) นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่ การละเมิดดังกล่าวไม่มีความเสี่ยง ที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล กรณีที่การละเมิดมีความเสี่ยงสูง ที่จะมีผลกระทบต่อสิทธิและเสรีภาพ ของบุคคล บริษัทจะแจ้งเหตุการณ์ละเมิด ให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าว และข้อยกเว้นให้เป็นไปตามหลักเกณฑ์ และวิธีการที่กฎหมายกำหนด
11. บริษัทได้กำหนดให้มีคณะทำงานคุ้มครองข้อมูลส่วนบุคคล ทำหน้าที่ในการพิจารณากลั่นกรองเรื่องร้องเรียนที่มีความยุ่งยากซับซ้อน และหรือที่มีการเรียกร้องค่าเสียหายสูง/ เพื่อนำเสนอต่อผู้บริหารระดับสูงพิจารณาดำเนินการตามลำดับ พร้อมทั้ง กำกับดูแลหน่วยงานภายในเพื่อให้การปฏิบัติงานเป็นไปตามนโยบายฉบับนี้
12. บริษัทได้กำหนดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ทำหน้าที่ในการให้คำแนะนำ กำกับดูแล ตรวจสอบ หน่วยงานภายในลูกจ้าง ผู้ให้บริการต่าง ๆ ตัวแทน นายหน้า และผู้ประมวลผลข้อมูลแทนบริษัท เพื่อให้ปฏิบัติตามนโยบาย และคู่มือหรือแนวทางการปฏิบัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการรับเรื่องร้องเรียนจากผู้ใช้บริการ หรือเจ้าของข้อมูลส่วนบุคคล หรือจากช่องทางอื่นๆ ที่เกี่ยวกับการไม่ปฏิบัติตามนโยบายนี้ รวมทั้ง ประสานงานกับ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
13. เจ้าของข้อมูลส่วนบุคคลย่อมมีสิทธิในการให้ความยินยอม การถอนความยินยอม การเข้าถึงข้อมูลส่วนบุคคลของตน และ/หรือ ผู้ที่ตนมีอำนาจกระทำการแทนตามกฎหมาย การคัดค้าน และ/หรือจำกัดสิทธิของการเก็บรักษา ใช้ และเปิดเผยข้อมูลส่วนบุคคลของตน และ/หรือ ผู้ที่ตนมีอำนาจกระทำการแทนตามกฎหมาย การขอให้แก้ไขให้ถูกต้องซึ่งข้อมูลส่วนบุคคลของตน และ/หรือ ผู้ที่ตนมีอำนาจกระทำการแทนตามกฎหมาย รวมทั้ง มีสิทธิในการระงับการเก็บรักษา ใช้ เปิดเผย และ/หรือขอให้ทำลายข้อมูลส่วนบุคคล และ/หรือ ผู้ที่ตนมีอำนาจกระทำการแทนตามกฎหมาย สิทธิในการขอให้เก็บรักษา ถ่ายโอน และ/หรือคัดลอกข้อมูลส่วนบุคคลของตน และ/หรือผู้ที่ตนมีอำนาจกระทำการแทนตามกฎหมาย
หมวด 1: วัตถุประสงค์การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
ก. บริษัทจะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย และ/หรือภายใต้วัตถุประสงค์ของนโยบายนี้ตามที่ได้แจ้งไว้ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลเท่านั้น
เว้นแต่
1) ได้แจ้งวัตถุประสงค์ใหม่นั้นให้เจ้าของข้อมูลส่วนบุคคลทราบ และได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว
2) เป็นการปฏิบัติตามกฎหมาย
3) เจ้าของข้อมูลส่วนบุคคลทราบวัตถุประสงค์ใหม่ หรือรายละเอียดนั้นอยู่แล้ว โดยพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ไม่ได้กำหนดให้ต้องขอความยินยอมเพื่อการดำเนินการดังกล่าว
4) บริษัทพิสูจน์ได้ว่าการแจ้งวัตถุประสงค์ใหม่ หรือรายละเอียดดังกล่าวไม่สามารถทำได้ หรือจะเป็นอุปสรรคต่อการใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่งเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ ซึ่งได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
5) การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลต้องกระทำโดยเร่งด่วนตามที่กฎหมายกำหนด ซึ่งได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
6) เมื่อบริษัทเป็นผู้ซึ่งล่วงรู้ หรือได้มาซึ่งข้อมูลส่วนบุคคล จากหน้าที่ หรือจากการประกอบอาชีพ หรือวิชาชีพ และต้องรักษาวัตถุประสงค์ใหม่ ไว้เป็นความลับตามที่กฎหมายกำหนด
ข. บริษัทมีนโยบายเป็นการทั่วไปในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่ เฉพาะกรณี ซึ่งบริษัทจะต้องเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น โดยบริษัทจะดำเนินการ แจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นและรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ และประมวลผลข้อมูลส่วนบุคคลตาม หมวด 2 ให้แก่เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า แต่ต้องไม่เกินสามสิบ (30) วันนับแต่วันที่เก็บรวบรวมและได้รับความยินยอม จากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เว้นแต่เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอม หรือกำหนดไว้เป็นอย่างอื่นตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
หมวด 2: การแจ้งรายละเอียดการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
1. หลักการการแจ้งรายละเอียดการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
ในการเก็บรวบรวม ข้อมูลส่วนบุคคล เว้นแต่เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงรายละเอียดนั้นอยู่แล้ว บริษัทได้ดำเนินการแจ้ง ให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือในขณะ เก็บรวบรวบข้อมูลส่วนบุคคลถึงรายละเอียด ดังต่อไปนี้
1) วัตถุประสงค์ของบริษัทในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
2) หากเป็นวัตถุประสงค์เพื่อการปฏิบัติตามกฎหมาย หรือสัญญา หรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา รวมทั้ง แจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ได้รับข้อมูลส่วนบุคคล
3) ข้อมูลส่วนบุคคลที่ได้มีการเก็บรวบรวม และระยะเวลาในการเก็บรวบรวมไว้ ทั้งนี้ ในกรณีที่ไม่สามารถกำหนดระยะเวลาดังกล่าวได้ชัดเจน บริษัทได้กำหนดระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม
4) ประเภทของบุคคล หรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย หรือเข้าถึง
5) ข้อมูลเกี่ยวกับบริษัท สถานที่ติดต่อ และวิธีการติดต่อ พร้อมทั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลด้วย (ถ้ามี)
6) สิทธิของเจ้าของข้อมูลส่วนบุคคลตามที่กำหนดไว้ใน พ.ร.บ. ข้อมูลส่วนบุคคล (พิจารณารายละเอียดตามหมวดที่ 4.)
หมวด 3: การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
1. หลักการขอความยินยอมสำหรับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
หากการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลจำต้องอาศัยความยินยอม บริษัทจะดำเนินการขอความยินยอมตามหลักเกณฑ์และเงื่อนไข ดังนี้
1) การขอความยินยอมจะกระทำก่อน หรือ ขณะที่มีการเก็บรวบรวมข้อมูลส่วนบุคคล
2) การขอความยินยอมจะกระทำโดยชัดแจ้งเป็นหนังสือ หรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพ ไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้
3) การขอความยินยอมของเจ้าของข้อมูลส่วนบุคคลเพื่อการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลจะคำนึงถึงความอิสระของเจ้าของข้อมูลส่วนบุคคล และปราศจากเงื่อนไขที่ไม่จำเป็น หรือเกี่ยวข้องสำหรับการเข้าทำสัญญา และ/หรือการให้บริการ
4) จะมีการแจ้งวัตถุประสงค์ ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
5) การขอความยินยอมจะแยกส่วนออกจากข้อความอื่นอย่างชัดเจน
6) การขอความยินยอมจะกระทำโดยมีแบบ หรือข้อความที่เข้าถึงได้ง่าย และเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวง หรือ ทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
7) จะดำเนินการตามแบบ หรือ ข้อความที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด (ถ้ามี)
กรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะตามกฎหมาย
ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าว บริษัทจะดำเนินการดังต่อไปนี้
1) การให้ความยินยอม เพื่อการใดๆของผู้เยาว์ที่ไม่อาจให้ความยินยอมได้โดยลำพัง ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย
2) หากผู้เยาว์มีอายุไม่เกินสิบ (10) ปี ให้ขอความยินยอมจากผู้ใช้อำนาจปกครอง ที่มีอำนาจกระทำการแทนผู้เยาว์
กรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ
การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าว ให้ขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทน คนไร้ความสามารถ
กรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ
การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าว ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทน คนเสมือนไร้ความสามารถ
2. ข้อยกเว้นของการขอความยินยอมในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลทั่วไป
การดังต่อไปนี้ บริษัทสามารถเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลได้โดยไม่ต้องอาศัยความยินยอมของเจ้าของข้อมูลส่วนบุคคล
1) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัย หรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสม เพื่อคุ้มครองสิทธิ และเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
2) เพื่อป้องกัน หรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
3) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการ ตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
4) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจ เพื่อประโยชน์สาธารณะของบริษัท หรือปฏิบัติหน้าที่ ในการใช้อำนาจรัฐที่ได้มอบให้แก่บริษัท
5) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท หรือของบุคคลหรือนิติบุคคลอืนที่ไม่ใช่บริษัท เว้นแต่ ประโยชน์ดังกล่าวมีความสำคัญ น้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
6) เป็นการปฏิบัติตามกฎหมาย
3. ข้อยกเว้นของการขอความยินยอมในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหว
การดังต่อไปนี้ บริษัทสามารถเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวได้ โดยไม่ต้องอาศัย ความยินยอมของเจ้าของข้อมูลส่วนบุคคล
1) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถ ให้ความยินยอมได้ ไม่ว่าด้วยเหตุใดก็ตาม
2) เป็นการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากำไรที่มีวัตถุประสงค์เกี่ยวกับการเมือง ศาสนา ปรัชญา หรือสหภาพแรงงานให้แก่สมาชิก ผู้ซึ่งเคยเป็นสมาชิก หรือผู้ซึ่งมีการติดต่ออย่างสม่ำเสมอกับมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากำไรตามวัตถุประสงค์ดังกล่าว โดยไม่ได้เปิดเผยข้อมูลส่วนบุคคลนั้นออกไปภายนอกมูลนิธิสมาคม หรือองค์กรที่ไม่แสวงหากำไรนั้น
3) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล
4) เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
5) เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ
(ก) เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของลูกจ้าง การวินิจฉัยโรค ทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการให้บริการด้านสังคมสงเคราะห์ ทั้งนี้ ในกรณีที่ไม่ใช่การปฏิบัติตามกฎหมายและข้อมูลส่วนบุคคลนั้น อยู่ในความรับผิดชอบของผู้ประกอบอาชีพหรือวิชาชีพหรือผู้มีหน้าที่รักษาข้อมูลส่วนบุคคลนั้นไว้เป็นความลับ ตามกฎหมาย ต้องเป็นการปฏิบัติตามสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับผู้ประกอบวิชาชีพทางการแพทย์
(ข) ประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันด้านสุขภาพจากโรคติดต่ออันตรายหรือโรคระบาด ที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร หรือการควบคุมมาตรฐานหรือคุณภาพของยา เวชภัณฑ์ หรือเครื่องมือแพทย์ ซึ่งได้จัดให้มีมาตรการที่เหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิและเสรีภาพของ เจ้าของข้อมูลส่วนบุคคลโดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าที่หรือตามจริยธรรมแห่งวิชาชีพ
(ค) การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาล ของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจากรถ หรือการคุ้มครองทางสังคม ซึ่งการเก็บรวบรวม ข้อมูลส่วนบุคคลเป็นสิ่งจำเป็นในการปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าของข้อมูล ส่วนบุคคล โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
(ง) การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น ทั้งนี้ ต้องกระทำ เพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จำเป็นเท่านั้น และได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครอง สิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ตามที่คณะกรรมการประกาศกำหนด
(จ) ประโยชน์สาธารณะที่สำคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ ของเจ้าของข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลที่เกี่ยวกับประวัติอาชญากรรม
ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับประวัติอาชญากรรม บริษัทจะกระทำโดยอยู่ภายใต้การควบคุม ของหน่วยงานที่มีอำนาจตามกฎหมาย หรือ ได้จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลตามหลักเกณฑ์ ที่คณะกรรมการ คุ้มครองข้อมูลส่วนบุคคลกำหนดเท่านั้น
4. การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
4.1 การโอนข้อมูลส่วนบุคคลกรณีทั่วไป
หากบริษัทจะต้องโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทจะโอนหรือส่งข้อมูลส่วนบุคคลไปยังประเทศ ที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคล ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดเท่านั้น
เว้นแต่การโอนข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้
1) เป็นการปฏิบัติตามกฎหมาย
2) ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงมาตรฐาน การคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศ ที่รับข้อมูลส่วนบุคคลแล้ว
3) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
4) เป็นการกระทำตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ ของเจ้าของข้อมูลส่วนบุคคล
5) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
6) เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
ในกรณีที่มีปัญหาเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล ที่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคล บริษัทอาจพิจารณาเสนอต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้วินิจฉัย
4.2 การโอนข้อมูลส่วนบุคคลระหว่างบริษัทในเครือ (หากมี)
หากบริษัทจะมีการโอนข้อมูลส่วนบุคคลไปยังบริษัทในเครือที่ตั้งอยู่ต่างประเทศ บริษัทอาจจัดให้มีนโยบาย ในการคุ้มครองข้อมูลส่วนบุคคลเพื่อการส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ต่างประเทศสำหรับบริษัทในเครือหรือในกลุ่ม (Binding Corporate Rules : BCRs) และจะดำเนินการให้นโยบายดังกล่าวได้รับการอนุมัติจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยบริษัท จะปฏิบัติตามนโยบายดังกล่าวอย่างเคร่งครัด ทั้งนี้บริษัทจะไม่จำต้องคำนึกถึงหลักเกณฑ์ในเรื่องการโอน ข้อมูลส่วนบุคคลกรณีทั่วไปข้างต้น
4.3 การโอนข้อมูลส่วนบุคคลกรณีที่ยังไม่มีการกำหนดมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ และนโยบายการโอนข้อมูลส่วนบุคคลระหว่างบริษัทในเครือยังไม่ได้รับการอนุมัติ
ในกรณีที่ยังไม่มีกำหนดมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ หรือ ยังไม่มีนโยบายในการคุ้มครองข้อมูลส่วนบุคคลระหว่างบริษัทในเครือ บริษัทอาจส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยจัดให้มีมาตรการคุ้มครองที่เหมาะสมสามารถบังคับตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ รวมทั้งมีมาตรการเยียวยาทางกฎหมาย ที่มีประสิทธิภาพตามหลักเกณฑ์และวิธีการที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
หมวด 4: สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคล มีสิทธิดังต่อไปนี้
1. การถอนความยินยอมในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลสามารถถอนความยินยอมในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลได้ เว้นแต่ มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมาย หรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล
2. การเข้าถึง ขอรับข้อมูล และ/หรือสำเนาข้อมูลส่วนบุคคลของตนเองซึ่งอยู่ในความรับผิดชอบของบริษัท หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ ให้ความยินยอม
เจ้าของข้อมูลส่วนบุคคลสามารถขอเข้าถึง ขอรับข้อมูล และ/หรือสำเนาข้อมูล ส่วนบุคคลของตนเอง ซึ่งอยู่ในความรับผิดชอบของบริษัท หรือขอให้เปิดเผยถึงการได้มา ซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม
การปฏิเสธ
การปฏิเสธคำขอดังกล่าวบริษัทสามารถดำเนินการได้เฉพาะที่เป็นการปฏิเสธตามกฎหมาย และ/หรือคำสั่งศาล ซึ่งการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลนั้น จะส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิ และเสรีภาพ ของบุคคลอื่น โดยบริษัทต้องบันทึกการปฏิเสธดังกล่าวพร้อมเหตุผลไว้ด้วย
3. การคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตนเองในกรณีดังต่อไปนี้
1) กรณีที่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยไม่ต้องขอความยินยอม ดังนี้
(1) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัท หรือปฏิบัติหน้าที่ ในการใช้อำนาจรัฐที่ได้มอบให้แก่บริษัท
(2) เป็นการจำเป็น เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท หรือของบุคคล หรือนิติบุคคลอื่นที่ไม่ใช่บริษัท เว้นแต่ บริษัทพิสูจน์ได้ว่า
(ก) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น บริษัทได้แสดงให้เห็นถึงเหตุอันชอบด้วยกฎหมาย ที่สำคัญยิ่งกว่า
(ข) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น เป็นไปเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
2) กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์เกี่ยวกับการตลาด แบบตรง
3) กรณีที่เป็นการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์เกี่ยวกับการศึกษา วิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เว้นแต่ เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัท
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลใช้สิทธิคัดค้าน บริษัทจะปฏิบัติโดยแยกส่วนออกจากข้อมูลอื่นอย่างชัดเจนในทันที เมื่อเจ้าของข้อมูลส่วนบุคคลได้แจ้งการคัดค้านให้บริษัททราบ และไม่สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อไปได้
ในกรณีที่บริษัทปฏิเสธการคัดด้านด้วยเหตุผลตามกรณี 1) (ก) หรือ (ข) หรือ กรณี 3) ให้บริษัทบันทึกการปฏิเสธการคัดค้านพร้อมด้วยเหตุผล
4. การลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของ ข้อมูลส่วนบุคคลได้
ส่วนที่ 1:
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทดำเนินการลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคล เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้
ในกรณีดังต่อไปนี้
1) เมื่อข้อมูลส่วนบุคคลหมดความจำเป็น ในการเก็บรักษาไว้ตามวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
2) เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอม ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และบริษัทไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ได้ต่อไป
3) เมื่อเจ้าของข้อมูลส่วนบุคคลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามข้อ 4.3) ในกรณี 1) และบริษัทไม่อาจปฏิเสธคำขอด้วยอาศัยข้อยกเว้น (ก) หรือ (ข) ได้ หรือเป็นการคัดค้านตามข้อ 4.3) ในกรณี 2)
4) เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายตามที่กำหนดไว้ในหมวดนี้
ข้อยกเว้น ซึ่งความในข้อนี้ไม่ให้นำมาใช้บังคับในกรณีดังต่อไปนี้
1) การเก็บรักษาไว้
(1) เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น
(2) เป็นการเก็บรักษาไว้ตามที่กฎหมายกำหนด
2) การใช้
(1) เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย
(2) เพื่อการปฏิบัติตามสิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(3) เพื่อการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(4) เพื่อการปฏิบัติตามกฎหมาย
ส่วนที่ 2:
ในกรณีที่บริษัททำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่เปิดเผยต่อสาธารณะ และถูกขอให้ลบ หรือทำลาย หรือทำให้ ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ บริษัทเป็นผู้รับผิดชอบดำเนินการ ทั้งในทางเทคโนโลยี และค่าใช้จ่าย เพื่อให้เป็นไปตามคำขอนั้น โดยแจ้งผู้ควบคุมข้อมูลส่วนบุคคลอื่นๆ เพื่อให้ดำเนินการให้เป็นไปตามคำขอ
5. การระงับการใช้ข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลสามารถขอให้บริษัททำการระงับการใช้ข้อมูลส่วนบุคคลได้ในกรณีดังต่อไปนี้
1) ในระหว่างการตรวจสอบของบริษัทตามที่เจ้าของข้อมูลส่วนบุคคลได้ร้องขอให้จัดทำข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
2) ข้อมูลส่วนบุคคลที่ต้องลบ หรือทำลาย อันเนื่องมาจากได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผย โดยไม่ชอบด้วยกฎหมาย แต่เจ้าของข้อมูลส่วนบุคคลขอให้ระงับการใช้แทน
3) ข้อมูลส่วนบุคคลที่หมดความจำเป็น ในการเก็บรักษาไว้ตามวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล แต่เจ้าของข้อมูลส่วนบุคคลมีความจำเป็นต้องขอให้เก็บรักษาไว้ เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
4) ในระหว่างการพิสูจน์เพื่อปฏิเสธการคัดค้านของเจ้าของข้อมูลส่วนบุคคลของบริษัท ว่าด้วยเหตุของการที่เก็บรวบรวมข้อมูลส่วนบุคคลนั้นได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม
6. การขอให้สิทธิในการแจ้งให้บริษัทดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด โดยหากมีการปฏิเสธการดำเนินการตามคำขอ บริษัทจะบันทึกเหตุแห่งการปฏิเสธพร้อมเหตุผลไว้
หมวด 5: การใช้บริการบุคคลภายนอก
บริษัทใช้บริการบุคคลภายนอกตามนโยบายการใช้บริการบุคคลภายนอก เพื่อสนับสนุนการดำเนินธุรกิจ การลดต้นทุน และเพิ่มความคล่องตัวในการดำเนินธุรกิจ รวมถึงการจัดสรรการบริการลูกค้าให้ได้ประสิทธิภาพสูงสุด จากผู้ที่มีความเชี่ยวชาญเฉพาะด้าน และเครือข่ายของผู้ให้บริการภายนอก
หลักการใช้บริการบุคคลภายนอกต่อการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
บริษัท ใช้บริการบุคคลภายนอกตามนโยบายการใช้บริการบุคคลภายนอกตามประเภท/ลักษณะงาน และหลักเกณฑ์ การอนุญาต บริษัทจะใช้บริการบุคคลภายนอก ที่มีการคัดสรร/คัดเลือกผู้ให้บริการตามกฎเกณฑ์ เพื่อป้องกันมิให้มีการใช้บริการบุคคลภายนอกไปในทางที่ก่อให้เกิดประโยชน์ทับซ้อน และ/หรือคอรัปชั่น ด้วยความรับผิดชอบ และการดำเนินการ ได้อย่างเต็มประสิทธิภาพตามสัญญา และข้อตกลง
บริษัทจัดให้มีการกำหนดแนวทางการติดตาม ประเมินผล ตรวจสอบ และควบคุม/บริหารความเสี่ยงจากการใช้บริการบุคคลภายนอกไว้อย่างชัดเจน และเป็นลายลักษณ์อักษรที่เหมาะสมกับความสำคัญของงานที่ใช้บริการ และสอดคล้องกับนโยบาย การบริหารความเสี่ยงโดยรวม
บริษัทจะเข้าทำสัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) กับบุคคลภายนอกผู้ให้บริการ ที่มีความเกี่ยวข้องกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเพื่อควบคุมการดำเนินการของบุคคลภายนอกดังกล่าว ให้เป็นไปตามหลักเกณฑ์และเงื่อนไขที่กำหนดใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และ ตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท
หมวด 6: มาตรการรักษาความมั่นคงปลอดภัย และการแจ้งเหตุละเมิด
บริษัทได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกันการสูญหาย เข้าถึง ใช้เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และจะทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด และจัดให้มีระบบการตรวจสอบ เพื่อดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคล เมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้อง หรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอมพร้อมแจ้งเหตุการณ์ละเมิด ข้อมูลส่วนบุคคล แก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือแก่เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับ แนวทางการเยียวยาโดยไม่ชักช้าด้วย
หมวด 7: สัญญา และข้อตกลง
บริษัทได้จัดให้มีแนวทาง/คู่มือการทำสัญญา และข้อตกลงที่เป็นลายลักษณ์อักษรเพื่อกำหนดขอบเขตที่ครอบคลุม ถึงหลักการคุ้มครองข้อมูลส่วนบุคคล และ/หรือกฎหมายอื่นๆภายใต้นโยบายนี้ และ/หรือนโยบายอื่นๆภายในบริษัท และตามประกาศกฎหมายต่างๆ เพื่อความสมบูรณ์ในการปฏิบัติ และการบังคับใช้ตามสัญญา และข้อตกลงระหว่างคู่สัญญา เพื่อสร้างแนวทาง การร่างสัญญา และข้อตกลงให้เป็นมาตรฐาน มีการติดตาม การปรับปรุง การต่ออายุสัญญา/ข้อตกลง และ/หรือการทำลายสัญญา/ข้อตกลงที่สิ้นสุดแล้วอย่างเป็นรูปแบบชัดเจน
หมวด 8: การอบรม และการสื่อสารภายในองค์กร
บริษัทได้จัดให้มีการอบรม และสื่อสารต่อบุคลากรภายในองค์กรเพื่อสร้างความรู้ความเข้าใจต่อสิทธิ หน้าที่ และผลกระทบ ต่อการดำเนินงาน จากการใช้บังคับกฎหมาย และการใช้บังคับภายใต้นโยบายและคู่มือหรือแนวปฏิบัติว่าด้วยการคุ้มครอง ข้อมูลส่วนบุคคลนี้
หมวด 9: การรับเรื่องร้องเรียน
บริษัทได้จัดให้มีหน่วยงานรับเรื่องร้องเรียน มีการบันทึกข้อมูลการร้องเรียน และผลการดำเนินการหลังรับเรื่องร้องเรียน อย่างเป็นระบบ ที่สามารถเรียกขอข้อมูล/ตรวจสอบได้อยู่เสมอ ซึ่งผู้รับเรื่องร้องเรียนได้ผ่านการอบรมถึงวิธีการปฏิบัติงาน และการสื่อสารต่อผู้ร้องเรียน และ/หรือผู้ที่เกี่ยวข้องโดยตรงทั้งภายใน และภายนอกองค์กร สร้างความรู้ความเข้าใจผลกระทบ ต่อการดำเนินงานภายใต้การใช้บังคับของกฎหมาย และภายใต้นโยบายและคู่มือหรือแนวปฏิบัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลนี้
หมวด 10: การบริหารความต่อเนื่อง และการบริหารความเสี่ยง
บริษัทได้จัดทำแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง มีการจัดสรรทรัพยากรรองรับการดำเนินงานอย่างเพียงพอ มีการประเมินผล ตรวจสอบ และควบคุม/บริหารความเสี่ยงอย่างชัดเจน และเป็นลายลักษณ์อักษรที่สอดคล้องกับนโยบาย การบริหารความเสี่ยงโดยรวม
หมวด 11 : การติดตาม ประเมินผล และการตรวจสอบ
บริษัทมีระบบที่ชัดเจนในการกำกับดูแล ติดตาม ตรวจสอบ และประเมินผลการปฏิบัติงานภายใต้นโยบายนี้ อย่างเหมาะสมเพื่อให้มีมาตรฐานการควบคุมภายใน และการให้บริการที่ดี เป็นไปตามกฎเกณฑ์ที่เกี่ยวข้องอย่างเคร่งครัด ทั้งจัดทำข้อมูลรายละเอียดเกี่ยวกับการติดตาม ประเมินผล และการตรวจสอบนี้ให้มีความถูกต้องเพื่อการปรับปรุง พัฒนา และแก้ไขปัญหาได้อย่างถูกต้อง และทันท่วงที
หมวด 12 : การทบทวน และการปรับปุรงแก้ไข
บริษัทอาจทำการทบทวน ปรับปรุงหรือแก้ไขนโยบายนี้ โดยการพิจารณาอนุมัติของผู้บริหารสูงสุดของบริษัท และไม่ต้องแจ้งให้ผู้ใช้บริการทราบล่วงหน้า ทั้งนี้ เพื่อความเหมาะสมและมีประสิทธิภาพในการให้บริการ หรือเพื่อให้สอดคล้องตามกฎหมายหรือกฎระเบียบของหน่วยงานกำกับดูแลภาครัฐ รวมถึงประกาศหรือระเบียบต่างๆของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เว้นแต่ กรณีที่มีการเปลี่ยนแปลงในสาระสำคัญ โดยบริษัทอาจแจ้งรายละเอียดดังกล่าว และ/หรือ ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลกำหนดให้ต้องกระทำการดังกล่าว
จึงเรียนมาเพื่อทราบโดยทั่วกัน
ขอแสดงความนับถือ
บริษัท ฟอนเทียร่า แบรนด์ส (ประเทศไทย) จำกัด
ท่านสามารถส่ง consent form ให้กับบริษัทผ่านทาง email DPO_FBT@Fonterra.com