Data Protection Policy for Binding Corporate Rules

 

L.T.U. APPARELS Company Limited (hereinafter referred to as the “Company” or “we” or “us”) recognizes the importance of personal data protection (Data Privacy) of data subject, who is an employee, a staff, or a job applicant of the company, considered as a fundamental right under the law. The privacy right is thus considered as a fundamental right where shall be protected subject to the Constitution of the Kingdom of Thailand and Universal Declaration of Human Right.

For the benefit of business operations, the company is necessary to collect, use, retain, and transfer the personal data to foreign countries and such personal data may be identified the data subject in some case, whether directly or indirectly. Nevertheless, the company assures that the privacy of data subject shall be reserved by putting in place necessary measures in collection, use, and disclosure of personal data. The Company has therefore prepared this document to establish minimum standards for its use, disclosure, and transferring the personal data to foreign countries subject to the Personal Data Protection Act B.E. 2562. Besides, the Personal Data Protection Act B.E. 2562 requires any organization sending or transferring personal data to foreign countries complying with it, including its announcements and other relevant regulations where will be issued thenceforth.

This policy contains certain provisions in relation to data protection for binding corporate rules (“BCR”) and its attachment.

 

1. Definition

In this policy,

“Company” means L.T.U. APPARELS Company Limited

“Data Subject” means a natural person who is an employee, a staff or job applicant of the Company;

“Data Controller” means the Company having the power or duties to make decision regarding the personal data, obtaining from Data Subject or service provider of Data Subject or performance of contractual obligation with Data Subject, whether directly or indirectly. 

“Internal Personal Data Protection Regulation or BCR” means an internal corporate rules and documents regarding the protection of personal data, in particular on the sending or transferring of personal data to foreign countries between the group of company.

“Sending or Transferring” means a sending of personal data from Thailand by mean of uploading it into the system in order to be appeared or be accessed on a device where is outside Thailand.

“Data Processing”  means a collection, use or disclosure of personal data;

“Competent Official” means a government official or person appointed by the Minister to perform acts under this Personal Data Protection Act B.E. 2562, such as staff of the Office of the Personal Data Protection Committee, etc.;

“Personal Data Protection Officer” means a personal data protection officer appointed by the company under the law, such as personal data protection Officer designated under Section 41 of the Personal Data Protection Act B.E. 2562, etc.

 

2. Scope of Application

2.1 This BCR applies to the sending or transferring of data to a data controller or a data processor, who is in a foreign country, and is in the same affiliated business, or is in the same group of undertakings, in order to jointly operate the business or group of undertakings as provided in the attachment herewith which will be updated by the company (Personal Data Protection Officer).

2.2 In processing, sending, or transferring personal data to any place, the affiliated companies will take necessary measures to comply with the law on personal data protection.

2.3 Provided that the law on protection of personal data of destination country is in exemption from with the processing of personal data or in the case that the law of such country has a lower a standard than this Policy, the affiliated companies shall abide by the conditions set forth herein.

2.4 In the event that the law on personal data protection of destination country has a higher standard of personal data protection than this BCR, the affiliated companies shall be governed by the law of destination country.

2.5 Employees of the company's affiliates can process the personal data, send, or transfer the personal data specified in the attachment to this Policy only in accordance with the conditions set forth herein and the applicable law.

The duties stipulated in this BCR shall be deemed to be the obligations under the employment contract of every employee of the company or its affiliates. Any employee violating this BCR shall be subject to disciplinary action and also may be dismissed without severance pay.

 

3. General Provision

3.1. The personal data of the data subject shall be processed in a manner which is lawfully, fairly, and transparently. The company and its affiliates are obliged to explain to the data subject at the time of collection, processing and transferring of personal data. Provided that such explanation must be informed in an easily accessible in the form of a Data Privacy Policy or Privacy Notice.

3.2 The processing, sending, or transferring of personal data must be lawful and subject to the objectives whereby specified in the attachment to this Policy. In addition, the company and its affiliates must notify the data subject in the event that personal data is sent or transferred in the manner that is different from the purposes specified in the Attachment.

3.3 The company and its affiliates will process the personal data exclusively to the extent necessary objectives as specified in Attachment No. 2

3.4 The company and its affiliates will take reasonable measures to retain the personal data to be accurate, up-to-date, and reliable.

3.5 The company and its affiliates will retain the personal data only as necessary for conducting its business pursuant to the purposes for collection.

3.6 The processing of sensitive personal data is processed only upon the obtaining of express consent of the data subject unless in the cases as stated in Section 26 of the Personal Data Protection Act B.E. 2562.

3.7 The processing of personal data is limited to employees of the company and its affiliates who are responsible or necessary to perform.

 

4. Transparency and Other Rights of Data Subject

4.1 The company and its affiliates shall publicize this BCR on the website to all data subjects whose personal data is subject to BCR. The data subject may require the company and its affiliates to submit a copy of the BCR.

4.2 In the case that the company and its affiliates collect the personal data directly from the data subject, they must deliver a notice in written form which is clearly distinguishable from the other matters and in an easily accessible to the data subject. The notification letter must consist of the minimum details following:

      4.2.1 Identification and contact information of the data controller and the data controller's representative (if any).

      4.2.2 Information of a Data Protection Officer or a Personal Data Protection Officer (if any).

      4.2.3 Purposes and legal basis for data processing in accordance with the data subject’s requirement.

      4.2.4 Where the processing is based on the legitimate interest of the data processor or third party, it must be clearly informed regarding that legitimate interest.

      4.2.5 Type of recipient (if any).

      4.2.6 Facts concerning the Data Controller's requirement to send or transfer the data personal to a foreign country or international organization, including the description and reference of appropriate safeguards for such sending or transferring (if any).

      4.2.7 The certain period for collection of personal data.

      4.2.8 The right of data subject to access personal data, to request the Data Controller for correction or objection of data processing.

      4.2.9 The right to withdraw the consent of the data subject at any time.

      4.2.10 The right of the data subject to lodge a complaint to the competent authority.

4.3 The company and its affiliates have the duty to certify and protect the following rights of data subject:

      4.3.1 Right to access and obtain a copy of personal data itself, which is under the responsibility of the Data Controller, as well as to request for disclosing an acquisition of such personal data that has not obtained a consent from the data subject.

      4.3.2 Right to obtain personal data itself from the Data Controller.

      4.3.3 Right to object to the collection, use or disclosure of personal data itself at any time.

      4.3.4 Right to request the Data Controller to delete or destroy or make personal data to be non-identifiable to the data subject.

      4.3.5 Right to request the Data Controller to suspend the use of personal data.

      4.3.6 Right to rectify that personal data to be accurate, up-to-date, complete, and non-misleading.

         

 

5. Responsibilities and Security Measures

5.1 The company and its affiliates are responsible for keeping a record of personal data processing activities and send it to the competent official for examination in the event that such record is requested by the competent official.

5.2 The company and its affiliates are responsible for providing appropriate security measures for preventing the unauthorized or unlawful loss, access to, use, alteration, correction, or disclosure of Personal Data and such measures must be reviewed when it is necessary, or when the technology has changed in order to efficiently maintain the appropriate security and safety.

6. Relationship if the Affiliated Company is a Data Processor

6.1 In the event that the company or its affiliates processing the personal data for itself or its affiliated, the data processor company is obliged to process pursuing to the order given only. And the data controller will enter into a Data Processing Agreement with the data processor.

6.2 The company or its affiliates processing the personal data must provide appropriate security measures for preventing the unauthorized or unlawful loss, access to, use, alteration, correction, or disclosure of Personal Data, in addition to notify the data controller of the incident of personal data breach that has been occurred.

 

 7. Training    

7.1 To allow all employees of the company and its affiliates obtaining an adequate information, the company will take necessary actions for employees to be aware of the procedures for personal data protection.

7.2 Employees of the company or its affiliates or a third party, who has a duty to access the personal data regularly or is involved in data collection or development of information technology system, shall be trained to gain knowledge, understanding and awareness of personal data protection.

 

 8. Compliance and Audit     

The company has appointed a Data Protection Officer to audit the privacy protection as well as performing under the BCR, whereby the Data Protection Officer are obliged to report the result of that audit to the company's executive.

 

 9. Complaint Process and related to Procedure

9.1 A data subject believes that his/her personal data as described in the Attachment has been collected, collected, used, or disclosed in the manner which is violation of this Policy by the company or its affiliates and desires to exercise his/her rights as set out in Article 4. The data subject can lodge a complaint to the Data Protection Officer (or your local data protection officer) via letter or email.

9.2 An employee of the company or its affiliates believe that his/her personal data was improperly collected, used, or disclosed, such employee can contact the human resources department in his/her country or the local human resources department.

9.3 The complaint under Articles 9.1 and 9.2 must address the company or its affiliates who is associated with the collection, use or disclosure of personal data. And the evidence and documents supporting of such complaint must be displayed.

9.4 The person receiving a complaint will consider and forward it to the Data Protection Officer or the Law Department for consideration as deemed appropriate.

9.5 The Data Protection Officer (or the local data protection officer) or the local Human Resources Department will investigate to determine the complaint before responding to it without delay and not later than a month from the receipt date of that complaint.

9.6 In the event that the complainant disagrees with the response under Article 9.5, the complainant can appeal the complaint to the Data Protection Office. In this regard, the Data protection officer is obliged to review the (original) claim which is the cause of that appeal. The Data Protection Officer will besides respond to the appeal within a reasonable time and not more than 3 months from the date of receiving the appeal.

9.7 If the complaint is well-grounded, the Data protection officer (or local data protection officer) or the local Human Resources Department shall take any necessary action, including but is not limited to the data subject's right to access and to erasure the personal data or the right to objection of personal data processing. In addition, the employees shall be punished in accordance with the applicable of local law.

9.8 In the event that the complainant is dissatisfied with the consideration of complaint. The Data Protection Officer (or the local data protection officer) or the local Human Resources Department must provide a justification of rejection and its rationale, as well as notify the rights of complainant to lodge a complaint to a competent official or take a legal action in court.

 

10. Liability

10.1 The Company and its affiliates located in Thailand are responsible for any violation of provisions under Sections 77 to Section 90 of the Data Protection Act Section B.E. 2562.

10.2 For the personal data generated within Thailand (e.g., personal data retained and collected in Thailand) and sent or transferred to a foreign country, the company will be liable and remedy the actions of its affiliated companies located abroad, and also indemnify the data subject in Thailand for any damage arising from the violation of BCR by its affiliates located in abroad.

 

11. BCR Improvement

11.1 The data protection officer is obliged to notify the competent authorities of any amendments to the BCR. The company has a duty to make the data subject informed of any changes of BCR as well.

11.2 It is prohibited to send or transfer the personal data as specified in the attachment to the company or its affiliates provided in the attachment unless the Company and its affiliates are bound by the BCR and are able to abide by the BCR.

 

12. Validity and the Certain Period for BCR

12.1 This BCR is became effective to the company and its affiliates when the company and its affiliates have entered into an intragroup agreement.

12.2 The BCR comes into force without an expiration date.

12.3 In the event of termination of an intragroup agreement between the company or its affiliates, the BCR shall be invalid to be binding in the collection, use, disclosure, sending or transferring of personal data after the termination of the contract.

         

 

13. Security Measures for Personal Data

The Company recognizes the importance of maintain the security of your personal data. Therefore, under our Information Security Policy, we endeavor to protect your personal data by establishing security measures appropriately and in accordance with the Technical Safeguards, Administrative Safeguards and Physical Safeguards, to prevent loss, unauthorized or unlawful access, destruction, use, alteration, or unauthorized disclosure of your personal data. Additionally, with the purpose of retention your personal data as a confidentiality, integrity, and availability, we have also publicly established Privacy Notice in accompany with guidelines for security in the collection, use or disclosure of personal data, which will be reviewed from time to time suitably. In this regard, we will consider upon and abide by the Laws on Personal Data Protection, the Announcement of the Ministry of Digital Economy and Society concerning the Requirements for Personal Data Security Standards B.E. 2563 and the Announcement of the Ministry of Digital Economy and Society concerning the Requirements for Personal Data Security Standards (No.2) B.E. 2564, as well as other announcements or orders of the Office of the Personal Data Protection Commission. 

14. Update, Review or Amendment of this Policy

          The company may update, review, or amend this Policy, whether either in whole or in or from time to time, compliance with the Company's practices, laws, rules, and regulations of competent authorities if this policy is amended.

นโยบายการคุ้มครองข้อมูลส่วนบุคคล
(Data Privacy Policy)

 

บริษัท แอล. ที. ยู. แอพพาเรลส์ จำกดั  (ซึ่งต่อไปในประกาศนี้ เรียกว่า “บริษัทฯ” หรือ “เรา”)  ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นบุคลากร ลูกจ้าง หรือผู้สมัครงานของบริษัทฯ อันเป็นสิทธิขั้นพื้นฐานในความเป็นส่วนตัวของบุคคล (Privacy Right) ที่ต้องได้รับความคุ้มครองและปฏิบัติตามกฎหมาย รวมทั้งกฎเกณฑ์ที่กำหนดขึ้น โดยต้องจัดระบบเพื่อควบคุมดุแลอย่างเข้มงวดและรัดกุม เพื่อให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลปลอดภัย  มีการประมวลผลข้อมูลหรือการเก็บรวบรวม ใช้หรือเปิดเผยอย่างโปร่งใสและได้มาตรฐานทางหน่วยงานราชการซึ่งกำกับดูแลกำหนดไว้  โดยนโยบายความเป็นส่วนตัวนี้  มีวัตถุประสงค์เพื่อแจ้งให้เจ้าของข้อมูลทราบถึงการปฏิบัติต่อข้อมูลส่วนบุคคลของท่าน เช่น การเก็บรวบรวม การใช้ การเปิดเผย รวมถึงสิทธิต่างๆ ของเจ้าของข้อมูลข้อมูล เป็นต้น และให้นโยบายฉบับนี้ มีผลบังคับกับทุกกิจกรรมการดำเนินงานของบริษัทฯ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

 

1. คำนิยาม

ในนโยบายความเป็นส่วนตัวฉบับนี้  คำหรือข้อความว่า

“บริษัทฯ ” หมายถึง บริษัท แอล. ที. ยู. แอพพาเรลส์ จำกัด 

“บุคคล”  หมายถึง บุคคลธรรมดา

“ข้อมูลส่วนบุคคล”  หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“ข้อมูลส่วนบุคคลแบบอ่อนไหว” (Sensitive Data) หมายความว่า ข้อมูลส่วนบุคคลที่มีความเสี่ยงอาจถูกนำไปสู่การเลือกปฏิบัติอย่างไม่เป็นธรรม ในที่นี้หมายถึง เชื้อชาติ ศาสนา พฤติกรรม ทางเพศ ประวัติอาชญากรรม ข้อมูลส่วนสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรืออื่น ตามที่กฎหมายกำหนด

“บุคคลผู้หย่อนความสามารถ” หมายถึง บุคคลซึ่งเป็นผู้เยาว์ เป็นคนไร้ความสามารถ หรือเสมือนไร้ความสามารถตามประมวลกฎหมายแพ่งและพาณิชย์

“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer : DPO) หมายถึง บุคคลซึ่งบริษัทฯ ได้แต่งตั้งให้ทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาที่เป็นบุคลากร ลูกจ้าง หรือผู้สมัครงานและบุคคลที่เกี่ยวข้อง ลูกค้าหรือผู้ใช้บริการ คู่ค้า ผู้เข้าเยี่ยมชมเว็ปไซต์ หรือ Mobile Application ของบริษัทฯ ตลอดจนผู้บริหารของบริษัทฯ และบุคคลใดที่มีนิติสัมพันธ์เกี่ยวข้องกับบริษัทฯ  โดยต่อไปในนโยบายนี้จะเรียกย่อว่า “เจ้าของข้อมูล”  

“เว็ปไซต์”  หมายถึง เว็ปไซต์ชื่อบริษัทฯ ที่บริษัทฯ เป็นเจ้าของหรือให้บริการแล้วแต่กรณี

“แอปพลิเคชั่น” หมายถึง แอปพลิเคชั่นซึ่งบริษัทฯ ให้บริการ อนึ่งนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้ใช้บังคับกับแอปพลิเคชั่นในส่วนที่ได้มีการเปลี่ยนแปลง ปรับปรุง อัพเดท หรือเพิ่มเติมดังกล่าว จะถูกบังคับใช้ตามเงื่อนไขและข้อตกลงต่างหากจากนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้

“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บริษัทฯ ซึ่งมีอำนาจตัดสินใจเกี่ยวกับข้อมูลส่วนบุคคลนั้น ซึ่งได้รับข้อมูลส่วนบุคคลจากเจ้าของข้อมูลหรือให้บริการแก่เจ้าของข้อมูลหรือต้องทำหรือปฏิบัติตามสัญญากับเจ้าของข้อมูล ไม่ว่าจะทางตรงหรือทางอ้อมก็ตาม

“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาหรือนิติบุคคลที่ทำการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของอีกบุคคลหรืออีกนิติบุคคลหนึ่ง 

“การเก็บรวบรวม” หมายถึง การทำให้ได้มาซึ่งข้อมูลส่วนบุคคล

“การประมวลผลข้อมูล” หมายถึง  การดำเนินการใดๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บรวบรวมการบันทึก การจัดระบบ การเก็บรักษา การใช้ การเปิดเผย การเปลี่ยนแปลง หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน หรือการผสมเข้าด้วยกัน การลบทำลาย

2. วัตถุประสงค์

นโยบายความเป็นส่วนตัวนี้ จัดทำขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ซึ่งทำธุรกรรม ใช้บริการ มีส่วนได้ส่วนเสีย หรือมีส่วนเกี่ยวข้องกับบริษัทฯ  โดยมีวัตถุประสงค์ดังต่อไปนี้

2.1 เพื่อกำหนดบทบาทหน้าที่ของหน่วยงาน ผู้บริหาร บุคลากร ซึ่งมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล

2.2 เพื่อกำหนดขั้นตอนหรือมาตรการรักษาความมั่นคงปลอดภัยหรือมาตรการอื่นใดที่เป็นการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับที่กฎหมายกำหนด

2.3 เพื่อกำหนดแนวทางในการปฏิบัติงานของบุคลากรซึ่งเกี่ยวข้องกับการประมวลผล หรือการดำเนินงานอื่นใดที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

2.4 เพื่อสร้างความเชื่อมั่นในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ต่อบุคคล ลูกค้า คู่ค้า ผู้ใช้บริการ ตลอดจนบุคคลอื่นๆ ซึ่งมีส่วนได้ส่วนเสียหรือเกี่ยวข้องกับข้อมูลส่วนบุคคล

 

3. การเก็บรวบรวมข้อมูลส่วนบุคคล

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทฯ  จะต้องสอดคล้องกับหลักการคุ้มครองข้อมูลส่วนบุคคคลกล่าวคือ (1)  เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย มีความโปร่งใส และสามารถตรวจสอบได้ (Lawfulness, Fairness and Transparency) (2) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายใต้ขอบเขตและวัตถุประสงค์ที่บริษัทฯ กำหนด และไม่นำไปใช้หรือเปิดเผยนอกเหนือขอบเขตและวัตถุประสงค์ของการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลนั้น (Purpose Limitation) (3) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเพียงพอ เกี่ยวข้อง และเท่าที่จำเป็นตามวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Data Minimization) (4) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ถูกต้องและดำเนินการให้ข้อมูลเป็นปัจจุบันในกรณีที่จำเป็น (Accuracy) (5) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามระยะเวลาเท่าที่จำเป็น (Storage Limitation) และ (6) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม (Integrity and Confidentiality)  พร้อมกับกำหนดระยะเวลาในการจัดเก็บรักษาข้อมูลส่วนบุคคลจากระยะเวลาที่ระบุไว้ในสัญญา อายุความตามกฎหมาย หรือกำหนดเวลาอื่นที่กฎหมาย มาตรฐานคุณภาพ หรือระเบียบของบริษัทฯ ที่ได้กำหนดไว้  ทั้งนี้  การเก็บรวบรวมข้อมูลส่วนบุคคล จะกระทำภายใต้วัตถุประสงค์และเพียงเท่าที่จำเป็นตามกรอบวัตถุประสงค์หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวม โดยจะแจ้งให้เจ้าของข้อมูลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล รวมถึงรายละเอียดดังต่อไปนี้

          3.1 บริษัทฯ จะทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ (1) การให้บริการ ปรับปรุงคุณภาพการให้บริการ การขาย การดำเนินกิจกรรมทางการตลาด การศึกษา การวิเคราะห์ข้อมูล เพื่อพัฒนาคุณภาพการให้บริการของบริษัทฯ ให้มีประสิทธิภาพยิ่งขึ้น (2) เพื่อประโยชน์ของเจ้าของข้อมูล เพื่อเสนอสิทธิประโยชน์ตามความสนใจของเจ้าของข้อมูล (3) เพื่อการจัดซื้อจัดจ้างเพื่อการดำเนินการเกี่ยวกับการบุคลากรและ (4) เพื่อปฏิบัติตามกฎหมาย และหากมีกรณีหากมีการเปลี่ยนแปลงวัตถุประสงค์ใหม่ บริษัทฯ จะประกาศให้เจ้าของข้อมูลทราบโดยเร็ว

          3.2 บริษัทฯ จะทำการเก็บข้อมูลส่วนบุคคล ตัวอย่างเช่น ชื่อ สกุล ที่อยู่ วันเดือนปีเกิด เพศ ประวัติการศึกษา หมายเลขโทรศัพท์ อีเมล เลขประจำตัวประชาชน เลขที่บัญชีธนาคารหรือข้อมูลอื่นๆ ทีเกี่ยวกับการธนาคารหรือการชำระเงิน ข้อมูลการใช้บริการ บันทึกการติดต่อสื่อสารของเจ้าของข้อมูลกับบริษัทฯ และข้อมูลอื่นใด ที่อาจเกิดขึ้นในขณะที่ใช้บริการกับบริษัทฯ เป็นต้น โดยจะทำการเก็บรักษาข้อมูลส่วนบุคคลตราบเท่าที่จำเป็นเพื่อวัตถุประสงค์ในการประมวลผลข้อมูลและตามกฎหมายที่เกี่ยวข้อง เมื่อพ้นระยะเวลาจัดเก็บ หรือทางบริษัทฯ ไม่มีสิทธิในกาจัดเก็บหรือไม่สามารถอ้างฐานในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลแล้ว บริษัทฯ  จะดำเนินการทำลายข้อมูลส่วนบุคคลนั้นด้วยวิธีการที่เหมาะสมและเป็นไปตามกฎหมายต่อไป

          3.3 กรณีที่เจ้าของข้อมูลต้องให้ข้อมูลส่วนบุคคล เพื่อปฏิบัติตามกฎหมายหรือสัญญาหรือเพื่อเข้าทำสัญญา บริษัทฯ จะแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบด้วย

          3.4 บริษัทฯ อาจจะเปิดเผยข้อมูลส่วนบุคคลที่เก็บรวบรวมต่อบุคคลหรือหน่วยงาน เช่น การเปิดเผยข้อมูลตามกฎหมาย ความมั่นคง หรือการให้บริการ เป็นต้น ทั้งนี้ต้องเป็นการเปิดเผยเท่าที่จำเป็นเท่านั้น

          3.5 บริษัทฯ จะเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลโดยตรง เมื่อเจ้าของข้อมูลให้ความยินยอมมาอย่างสมัครใจ หรือโดยชัดแจ้ง และโดยวิธีการใดวิธีการหนึ่งดังต่อไปนี้

                    3.5.1 แบบคำขอใช้บริการ หรือขั้นตอนการยืนคำร้องขอใช้สิทธิต่างๆ

                    3.5.2 การทำแบบสอบถาม หรือการโต้ตอบทางอีเมล

                    3.5.3 ทาง Website หรือ Mobile Application ของบริษัทฯ

                    3.5.4 ช่องทางการสื่อสารอื่นๆ ระหว่างเจ้าของข้อมูลกับบริษัทฯ ตามแบบวิธีของบริษัทฯ  

3.6 ข้อมูลส่วนบุคคลที่บริษัทฯ จัดเก็บบางส่วนอาจเป็นข้อมูลแบบอ่อนไหว (Sensitive Data)  ซึ่งบริษัทฯ จะแจ้งขอความยินยอมโดยชัดแจ้ง เป็นต้นว่า เชื้อชาติ ความเชื่อทางศาสนา ข้อมูลด้านสุขภาพ ประวัติอาชญากรรม ข้อมูลสหภาพแรงงาน  เป็นต้น และบริษัทฯ จะเก็บรวบรวมข้อมูลเหล่านี้เมื่อจำเป็นในการปฏิบัติตามกฎหมายและระเบียบ  ทั้งนี้ ในการขอความยินยอมนั้น บริษัทฯ จะทำการขอความยินยอมจากเจ้าของข้อมูลก่อนหรือในขณะทำการเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล เว้นแต่ในกรณีดังนี้

                    (1) เพื่อประโยชน์ที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูล

                    (2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลหรือบุคคลอื่น

                    (3) เพื่อปฏิบัติตามสัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลก่อนเข้าทำสัญญานั้น

                    (4) เพื่อการปฏิบัติหน้าที่ในการดำเนินการภารกิจเพื่อประโยชน์สาธารณะหรือได้รับมอบหมายให้ปฏิบัติหน้าที่ในการใช้อำนาจรัฐ

                    (5) เพื่อประโยชน์โดยชอบด้วยกฎหมายที่ครอบคลุมในกิจการของบริษัทฯ

                    (6) เป็นการปฏิบัติตามคำสั่งศาล หรือที่กฎหมายกำหนด เช่น พระราชบัญญัติว่าด้วยการควบคุมโรคติดต่อ  พระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน เป็นต้น

                    (7) เป็นข้อมูลที่เปิดเผยต่อสาธารณะโดยชอบด้วยกฎหมายแล้ว

          3.7 กรณีที่เจ้าของข้อมูลส่วนบุคคลให้ข้อมูลส่วนบุคคลอื่นที่เกี่ยวข้อง เช่น คู่สมรส สมาชิกในครอบครัว หรือเพื่อน เป็นต้น แก่บริษัทฯ  ตัวอย่างเช่น อาจระบุเป็นที่อยู่ติดต่อฉุกเฉิน เจ้าของข้อมูลจะต้องรับรองและรับประกันว่าเจ้าของข้อมูลได้รับความยินยอมให้มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลดังกล่าวตามที่ระบุไว้ในนโยบายนี้

3.8 ในกรณีที่บริษัทฯ ใช้ฐานความยินยอม หรือความยินยอมโดยชัดแจ้งเพื่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สำหรับการขอความยินยอมต้องทำโดยชัดแจ้ง บริษัทฯ จะจัดทำเป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้ และในการขอความยินยอม  บริษัทฯ จะต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว

     ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล บริษัทฯ จะคำนึงถึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ในการเข้าทำสัญญา ซึ่งรวมถึงการให้บริการใดๆ ของบริษัทฯ โดยไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้นๆ นอกจากนี้  เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมที่ได้ให้ไว้เสียเมื่อใดก็ได้ โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบ อย่างไรก็ตามในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด  บริษัทฯ จะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอมนั้น

    ในการขอความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้เยาว์ซึ่งยัง                      ไม่บรรลุนิติภาวะโดยการสมรส หรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วตามมาตรา 27 แห่งประมวลกฎหมายแพ่งและพาณิชย์ รวมทั้งข้อมูลส่วนบุคคลของผู้ไร้ความสามารถหรือคนเสมือน                          ไร้ความสามารถ หรือการถอนความยินยอมของบุคคลดังกล่าว บริษัทฯ จะดำเนินการให้เป็นไปตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลบัญญัติไว้

 

4. การใช้หรือการเปิดเผยข้อมูลส่วนบุคคล         

การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปตามวัตถุประสงค์หรือเป็นการจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวม ทั้งนี้ บุคคล หน่วยงาน ที่บริษัทฯ อาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล โดยจำเป็นต้องส่งข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปยังบุคคลหรือหน่วยงานภายนอกใดๆ เช่น กรมสวัสดิการและคุ้มครองแรงงาน  กรมบังคับคดีหรือสำนักงานบังคับคดี กองทุนเงินให้กู้ยืมเพื่อการศึกษา กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี หรือหน่วยงานด้านความมั่นคง เป็นต้น ทั้งนี้ให้ดำเนินการเพื่อปฏิบัติตามกฎหมายเท่าที่จำเป็นเท่านั้น

 

5.  วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล

            บริษัทฯ ทำการประมวลผลข้อมูลส่วนบุคคล โดยมีวัตถุประสงค์และอ้างฐานทางกฎหมาย ดังนี้

5.1 ประมวลผลข้อมูลตามฐานสัญญา (Contract)  ตัวอย่างเช่น

     5.1.1  เมื่อลูกค้า คู่สัญญา และผู้ใช้บริการ ติดต่อเกี่ยวกับข้อเสนอการให้บริการหรือเข้าทำสัญญากับบริษัท จำเป็นที่ ลูกค้า คู่สัญญา และผู้ใช้บริการ ต้องให้ข้อมูลส่วนบุคคลแก่บริษัท เพื่อบริษัทจะได้นำข้อมูลดังกล่าวไปประมวลผลเกี่ยวกับ การให้บริการหรือการเข้าทำสัญญา หรือเพื่อติดต่อสื่อสารกับลูกค้า คู่สัญญา และผู้ใช้บริการ หรือเพื่อติดตามและแจ้งผลเกี่ยวกับการปฏิบัติตามสัญญา

     5.1.2 เมื่อบุคลากรทำการสมัครเข้าทำงานกับบริษัทหรือทำธุรกรรมที่เกี่ยวข้องกับบริษัทผ่านทางช่องทางต่าง ๆ บุคลากรจำเป็นต้องให้ข้อมูลส่วนบุคคลแก่บริษัทเพื่อที่บริษัทจะได้นำข้อมูลดังกล่าวไปประมวลผลเกี่ยวกับการพิจารณา คัดเลือกและอนุมัติการจ้างงาน รวมถึงการานำไปใช้เพื่อคำนวณและให้สิทธิอันเกิดจากการทำงาน กำหนดและเบิกจ่าย เงินเดือน ติดต่อสื่อสารกับบุคลากรติดตามและแจ้งผลประโยชน์ที่บุคลากรได้รับแจ้งการเปลี่ยนแปลงเกี่ยวกับ ผลประโยชน์หรือสิทธิอันเกี่ยวข้องกับการทำงานและปฏิบัติหน้าที่ ตอบข้อซักถาม และแจ้งการเปลี่ยนแปลงต่าง ๆ

.2  ประมวลผลข้อมูลตามฐานความยินยอม (Consent)  ตัวอย่างเช่น

     บริษัทฯ  อาจนำข้อมูลส่วนบุคคลของลูกค้า คู่สัญญา และผู้ใช้บริการไปใช้ในการประมวลผลเพื่อการเข้าทำสัญญากับบุคคลดังกล่าวบริษัทอาจมีความจำเป็นในการประมวลผลข้อมูลอ่อนไหวตามที่ปรากฏในเอกสารแสดงตัวตน (เช่น ศาสนา) เพื่อวัตถุประสงค์ในการพิสูจน์และยืนยันตัวตนของบุคคลดังกล่าว และอาจนำข้อมูลอ่อนไหวของบุคลากรไปใช้ในการประมวลผลเพื่อประกอบการช่วยเหลือบุคลากรในกรณีที่ บุคลากรเจ็บป่วยหรือต้องการความช่วยเหลืออย่างเร็งด่วนรวมถึงการอำนวยความสะดวกแก่บุคลากรเกี่ยวกับประกันชีวิต และการเบิกจ่ายค่ารักษาพยาบาล  ทั้งนี้ บริษัทฯ จะไม่ทำการประมวลผลข้อมูลส่วนบุคคลดังกล่าวโดยไม่ได้รับความยินยอมจากลูกค้า คู่สัญญา ผู้ใช้บริการ และบุคลากรก่อน

     อนึ่ง หากลูกค้า คู่สัญญา ผู้ใช้บริการ และบุคลากรประสงค์จะถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลในกรณีข้างต้นนี้ ลูกค้า คู่สัญญา ผู้ใช้บริการ และบุคลากรสามารถติดต่อกับบริษัทฯ เพื่อขอถอนความยินยอมได้  

5.3 ประมวลผลข้อมูลตามฐานประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (Legitimate Interest) ตัวอย่างเช่น บริษัทฯ นำข้อมูลส่วนบุคลของลูกค้า คู่สัญญา และผู้ใช้บริการไปประมวลผล เพื่อการบริหารการดำเนินธุรกิจ และการจัดการความสัมพันธ์ตามข้อตกลง ซึ่งรวมถึง                          แต่ไม่จำกัดเพียงการดำเนินการและการออกใบแจ้งหนี้การปฏิบัติ ตามข้อกำหนดว่าด้วยการเก็บรักษาบันทึกภายในการจัดการภายใน การสอบบัญชี การรายงาน การส่งหรือยื่นข้อมูล การประมวลผลข้อมูล หรือกิจกรรมอื่นที่เกี่ยวข้อง หรือคล้ายกัน  ทั้งนี้  บริษัทฯ อาจนำข้อมูลส่วนบุคคลของบุคลากรไปประมวลผลเพื่อการจัดการและการจัดทำรายงานภายในของบริษัทฯ  การดูแลรักษาระบบเพื่อการรักษามาตรฐานการปฏิบัติงานและให้บริการ รวมถึงการดำเนินการด้านภาษีและการ จัดการความเสี่ยงของบริษัทฯ  การสอบบัญชี การส่งหรือยื่นข้อมูล การประมวลผลข้อมูล หรือกิจกรรมอื่นที่เกี่ยวข้องหรือคล้ายกัน

5.4  ประมวลผลข้อมูลตามฐานการปฏิบัติตามกฎหมาย (Legal Obligation)  โดยบริษัทฯ  อาจนำข้อมูลส่วนบุคคลของลูกค้า คู่สัญญา และผู้ใช้บริการ ไปประมวลผลเพื่อการปฏิบัติตามกฎหมายที่ใช้บังคับ ทั้งนี้ รวมถึงการปฏิบัติตามคำสั่งของผู้มีอำนาจตามกฎหมาย ตามภาระผูกพันที่กฎหมายกำหนด สิทธิและหน้าที่ภายใต้กฎหมายที่บริษัทใช้บังคับและ/หรือกระบวนการภายใน การตรวจจับการทุจริต การตรวจสอบทางกฎหมายหรือกฎข้อบังคับอื่น ๆ  และบริษัทฯ อาจนำข้อมูลส่วนบุคคลของบุคลากรไปประมวลผลเพื่อการปฏิบัติตามกฎหมายที่เกี่ยวกับการจ้างงาน และการประกอบธุรกิจของบริษัท เช่น พระราชบัญญัติคุ้มครองแรงงาน พ.ศ. 2562  พระราชบัญญัติกองทุนเงินให้กู้ยืมเพื่อการศึกษา พ.ศ. 2560  พระราชบัญญัติกองทุนสำรองเลี้ยงชีพ พ.ศ. 2530 เป็นต้น รวมทั้งกฎหมายอื่นที่บริษัทต้องอยู่ภายใต้บังคับที่กำหนดให้ส่งข้อมูล

 

6.  การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

          บริษัทฯ จะดำเนินการดูแลและเก็บข้อมูลส่วนบุคคลให้มีความเหมาะสม ไม่ว่าจะข้อมูลส่วนบุคคลของท่านจะอยู่ในแบบเอกสาร ไฟล์ หรือระบบอิเล็กทรอนิกส์ รวมทั้งเครื่องมือต่าง ๆ ที่บริษัทฯ ใช้ เพื่อรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของท่าน โดยให้เป็นไปตามกฎหมาย ทั้งนี้  เพื่อประโยชน์ในการรักษาความลับ ความถูกต้องครบถ้วน และความพร้อมใช้งานของข้อมูลส่วนบุคคล เป็นการป้องกันการสูญหาย การเข้าถึง การใช้ เปลี่ยนแปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ หรือกระทำการโดยปราศจากอำนาจโดยชอบด้วยกฎหมาย  โดยบริษัทฯ ได้กำหนดและดำเนินมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามแนวทางดังต่อไปนี้

          6.1 จัดให้มีมาตรการการยืนยันตัวตน (Authentication) กำหนดสิทธิ (Authorization) และการบันทึกกิจกรรม (Accounting) ในการเข้าถึง การใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคลตามมาตรการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของบริษัทฯ อย่างเคร่งครัด

          6.2  ในกรณีที่บริษัทฯ ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ รวมถึงการนำข้อมูลส่วนบุคคลไปเก็บบนฐานข้อมูลในระบบอื่นใด ซึ่งผุ้ให้บริการรับโอนข้อมูลหรือบริการเก็บข้อมูลอยู่ต่างประเทศนั้น ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอหรือเทียบเท่ามาตรการตามนโยบายนี้ เว้นแต่การนั้นจะเป็นไปตามกฎหมายหรือได้รับความยินยอมจากเจ้าของข้อมูล

          6.3  ในกรณีที่มีการฝ่าฝืนมาตรการการรักษาความมั่นคงปลอดภัยของบริษัทฯ จนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคลหรือข้อมูลส่วนบุคคลรั่วไหลสู่สาธารณะ บริษัทฯ จะดำเนินการแจ้งเจ้าของข้อมูลให้ทราบโดยเร็ว รวมทั้งแจ้งแผนการเยียวยาความเสียหายจากการละเมิดหรือรั่วไหลของข้อมูลส่วนบุคคลสู่ธารณะในกรณีที่เกิดจากความบกพร่องของบริษัทฯ ที่ส่งผลต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้บริษัทจะไม่รับผิดชอบในกรณีความเสียหายใดๆ อันเกิดจากการใช้หรือการเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลที่สามรวมถึงการละเลยหรือเพิกเฉยการออกจากระบบ (Log out) ที่เจ้าของข้อมูลได้เข้าไปใช้งาน โดยการกระทำของเจ้าของข้อมูลหรือบุคคลอื่นซึ่งได้รับความยินยอมจากเจ้าของข้อมูล

6.4  บริษัทฯ  กำหนดระเบียบให้บุคลากรทุกคนถือปฏิบัติในการเข้าถึงข้อมูลส่วนบุคคลของลูกค้า คู่สัญญา ผู้ใช้บริการ และบุคลากร โดยบุคลากรที่สามารถเข้าถึงข้อมูลส่วนบุคคลเหล่านั้นได้จะเป็นเพียงบุคลากรที่มีความจำเป็นต้องรับทราบ ข้อมูลเพื่อการปฏิบัติหน้าที่ของตนเท่านั้น เช่น บุคลากรที่มีหน้าที่ด้านทรัพยากรบุคคล บุคลากรที่ดูแลและบริหารสัญญาระหว่างบริษัทกับคู่สัญญา เป็นต้น

          6.5 บริษัทฯ มีการดำเนินการสอบทานและประเมินประสิทธิภาพของระบบคอมพิวเตอร์เพื่อทำการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามมาตรการที่กำหนดไว้ให้มีประสิทธิภาพ  อยู่เสมอ

 

7. บทบาทหน้าที่และความรับผิดชอบ

บริษัทฯ กำหนดให้บุคลากรหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลต้องให้ความสำคัญและรับผิดชอบในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ อย่างเคร่งครัด โดยกำหนดให้บุคคลหรือหน่วยงานดังต่อไปนี้ ทำหน้าที่กำกับและตรวจสอบให้การดำเนินงานของบริษัทนั้นถูกต้องและเป็นไปตามนโยบายและกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

7.1 คณะกรรมการบริษัท  มีหน้าที่รับผิดชอบได้แก่

     7.1.1 กำหนดให้มีนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลบุคคลและความเป็นส่วนตัว

     7.1.2 กำกับดูแลให้มีการนำนโยบายไปปฏิบัติอย่างเป็นรูปธรรม

 

7.2 ผู้บริหารทุกระดับ  มีหน้าที่รับผิดชอบได้แก่

     7.2.1 จัดให้มีระเบียบปฏิบัติและมาตรการในการจัดเก็บข้อมูลส่วนบุคคลให้เหมาะสมกับบริบทของแต่ละ บริษัทฯ โดยให้สอดคล้องกับนโยบาย แนวปฏิบัติ กฎหมาย และมาตรฐานสากล

     7.2.2 จัดให้มีผู้รับผิดชอบ เช่น หน่วยงานหรือบุคลากรที่รับผิดชอบเพื่อดูแลการดำเนินงานให้เป็นไปตามระเบียบปฏิบัติ

     7.2.3 ในกรณีที่บริษัทฯ ว่าจ้างบุคคลธรรมดาหรือนิติบุคคลจากภายนอก เพื่อให้ดำเนินการเกี่ยวกับข้อมูลส่วน บุคคลต้องมีระบบการคัดเลือกที่มีการวางระบบการคุ้มครองข้อมูลที่ได้มาตรฐาน

     7.2.4 กำกับดูแลให้มีการปฏิบัติตามนโยบายและแนวปฏิบัติ และระเบียบปฏิบัติ ตลอดจนหาแนวทางพัฒนา ปรับปรุงเพื่อให้การนำไปปฏิบัติมีประสิทธิภาพมากขึ้นรวมทั้งมั่นใจว่ามีการรายงานผลการปฏิบัติงาน ตามนโยบายและแนวปฏิบัติและระเบียบปฏิบัติ

7.3 หน่วยงานหรือบุคคลที่ได้รับมอบหมายให้เป็นผู้เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล มีหน้าที่รับผิดชอบได้แก่

     7.3.1  ดำเนินการและควบคุมการดำเนินการเกี่ยวกับการประมวลข้อมูลทั้งการแจ้ง ขอความยินยอม เก็บรวม รวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปตามระเบียบปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล และ กฎหมายที่กำหนด

     7.3.2  ดำเนินการและควบคุมการดำเนินมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ตามที่กำหนดไว้ในระเบียบปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลรวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วน      บุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น

     7.3.3  ดำเนินการและควบคุมการลบหรือทำลายข้อมูลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่ เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวม หรือตามที่เจ้าของข้อมูล ส่วน บุคคลได้ร้องขอ

     7.3.4  ตรวจสอบ และควบคุม ปรับปรุงข้อมูลส่วนบุคคลให้มีความถูกต้อง ทันสมัยและเป็นปัจจุบัน

     7.3.5 เมื่อพบการรั่วไหลหรือการละเมิดข้อมูลส่วนบุคคลต้องแจ้งคณะทำงานเพื่อคุ้มครองข้อมูลส่วนบุคคล ทราบทันที

     7.3.6 ดำเนินการควบคุมการบันทึกข้อมูลและรายงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่รับผิดชอบ

     7.3.7 ประเมินความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่ตนรับผิดชอบ บริหารจัดการและดำเนินตามมาตรการที่กำหนดเพื่อลดความเสี่ยง

7.4 คณะทำงาน PDPA มีหน้าที่รับผิดชอบได้แก่

     7.4.1    ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลรวมทั้งพนักงานที่เกี่ยวข้องกับการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

               7.4.2 ตรวจสอบการดำเนินงานของผู้ควบคุ้มข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามที่กฎหมายกำหนด

     7.4.3 ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มี ปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ ประมวลผลข้อมูลส่วนบุคคล

     7.4.4 รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่

         7.5 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) หรือที่อาจเรียกชื่อเป็นอย่างอื่น  มีหน้าที่รับผิดชอบได้แก่

     7.5.1 ให้คำแนะนำในด้านต่างๆ ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่ผู้บริหาร บุคลากร และคู่ค้าของบริษัทฯ

     7.5.2 ตรวจตราการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล

     7.5.3 ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทฯ ลูกค้า คู่ค้าของบริษัทฯ หรือบุคคลอื่นใดที่เกี่ยวข้อง

 

8.  สิทธิของเจ้าของข้อมูลส่วนบุคคล

บริษัทฯ จัดให้มีช่องทางและอำนวยความสะดวกให้แก่เจ้าของข้อมูลส่วนบุคคลหรือผู้มีอำนาจกระทำการแทนในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเปิดให้เจ้าของข้อมูลส่วนบุคคลดำเนินการตามสิทธิอันกฎหมายรับรองและคุ้มครองให้ดังต่อไปนี้

8.1  สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของบริษัทฯ หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม (Right of Access)

8.2  สิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากบริษัทฯ  ในกรณีที่บริษัทฯ ได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามาถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมถึงสิทธิขอให้บริษัทฯ ส่งต่อหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติและสิทธิขอรับข้อมูลส่วนบุคคลที่บริษัทฯ ส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้ (Right to Date Portability)

8.3  สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน (Right to Object)

8.4  สิทธิขอให้บริษัทฯ ดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (Right to Erasure)

8.5  สิทธิขอให้บริษัทฯ ระงับการใช้ข้อมูลส่วนบุคคล (Right to Restriction of Processing)

8.6  สิทธิร้องขอให้บริษัทฯ ดำเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และ                      ไม่ก่อให้เกิดความเข้าใจผิด (Right to Rectification)

ทั้งนี้ ตามที่กฎหมายบัญญัติ และบริษัทฯ อาจปฏิเสธการใช้สิทธิดังกล่าวข้างต้นของเจ้าของข้อมูลส่วนบุคคลหรือผู้มีอำนาจกระทำการแทนได้หากไม่ขัดต่อกฎหมาย

 

9.  นโยบายการใช้คุกกี้ (Cookies)

เมื่อท่านเยี่ยมชมเว็บไซต์ของบริษัทฯ เราอาจจะเก็บรวบรวมข้อมูลบางประการโดยอัตโนมัติจากท่านผ่านการใช้คุกกี้ โดยคุกกี้ (Cookies) นั้นคือไฟล์ขนาดเล็ก ซึ่งอาจถูกติดตั้งและ/หรือจัดเก็บในอุปกรณ์ของท่าน อันได้แก่คอมพิวเตอร์ โทรศัพท์มือถือ แท็บเล็ต เป็นต้น เมื่อท่านเยี่ยมชมเว็บไซต์หนึ่ง ๆ และคุกกี้นั้นจะถูกส่งกลับไปยังเว็บไซต์ต้นทางในแต่ละครั้งของการเข้าเยี่ยมชมในครั้งต่อๆ มา หรือไปยังเว็บไซต์อื่นๆ ที่จดจำคุกกี้นั้นๆ ได้  หรือกล่าวได้ว่าคุกกี้ก็คือข้อมูลที่เฉพาะเจาะจงกับคอมพิวเตอร์ของท่าน เมื่อท่านเยี่ยมชมเว็บไซต์  คุกกี้จะทำหน้าที่ในการจัดเก็บหรือติดตามข้อมูลเกี่ยวกับการใช้เว็บไซต์ของท่านและนำมาใช้ในการวิเคราะห์กระแสความนิยม (Trend) การบริหารจัดการเว็บไซต์ ติดตามการเคลื่อนไหวการใช้เว็บไซต์ของผู้ใช้บริการ หรือเพื่อจดจำการตั้งค่าของผู้ใช้บริการ คุกกี้บางประเภทนั้น มีความจำเป็น (Necessary Cookie) เนื่องจากหากปราศจากคุกกี้ที่จำเป็นประเภทนี้แล้ว หน้าเว็บไซต์อาจจะไม่สามารถใช้การได้อย่างเหมาะสม และคุกกี้ประเภท อื่น ๆ จะทำให้บริษัทสามารถปรับปรุงประสบการณ์การเข้าใช้เว็บไซต์ของท่าน ปรับแต่งเนื้อหาตามความต้องการของท่าน และทำให้การท่องเว็บไซต์สะดวกมากขึ้น เนื่องจากคุกกี้จะจดจำชื่อผู้ใช้ (ในวิธีการที่ปลอดภัย) รวมทั้งจดจำการตั้งค่าทางภาษาของท่าน

อย่างไรก็ตาม  โดยปกติ อินเตอร์เน็ตเบราว์เซอร์ (Internet Browser) ส่วนใหญ่จะให้ท่านตั้งค่าว่าท่านจะยอมรับคุกกี้หรือไม่ หากท่านเลือกไม่ยอมรับให้มีการติดตามโดยคุกกี้ หรือให้ลบคุกกี้ออกไป ทางเลือกของท่านอาจมีผลต่อการใช้งานเว็บไซต์ของท่าน  และหากไม่มีการเก็บคุกกี้ การใช้งานฟังก์ชันหรือเว็บไซต์บางส่วนอาจถูกจำกัด

นอกจากนี้ บุคคลภายนอก อาจใช้คุกกี้ผ่านเว็บไซต์ของบริษัทฯ เพื่อนำเสนอโฆษณาที่เกี่ยวข้องกับความสนใจของท่าน ตามประวัติกิจกรรมการของเข้าชมเว็บไซต์ของท่าน บุคคลภายนอกเหล่านี้อาจเก็บรวบรวมประวัติของท่านหรือข้อมูลอื่นเพื่อให้ทราบว่าท่านเข้าถึงเว็บไซต์อย่างไร และเว็บเพจที่ท่านเข้าไปเยี่ยมชมหลังจากที่ออกจากเว็บไซต์ของบริษัทฯ ข้อมูลที่รวมรวมผ่านระบบอัตโนมัติเหล่านี้อาจมีความเกี่ยวข้องกับข้อมูลส่วนบุคคลที่ท่านได้ให้ไว้ก่อนหน้านี้บนเว็บไซต์ของบริษัทฯ ทั้งนี้ ท่านเองก็อาจตกอยู่ภายใต้นโยบายความเป็นส่วนตัวหรือนโยบายการใช้คุกกี้ของบุคคลภายนอกเหล่านั้นได้เช่นกัน บริษัทฯ จึงขอแนะนำให้ท่านอ่านนโยบายความเป็นส่วนตัว หรือนโยบายการใช้คุกกี้ของบุคคลภายนอกดังกล่าว เพื่อศึกษาข้อมูลเพิ่มเติมเกี่ยวกับวิธีการที่บุคคลภายนอกดังกล่าวเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่านด้วย

 

10. การปรับปรุง ทบทวน หรือแก้ไข นโยบายความเป็นส่วนตัว

          บริษัทฯ อาจดำเนินการปรับปรุง ทบทวน หรือแก้ไข นโยบายฉบับนี้ได้ไม่ว่าบางส่วนหรือทั้งหมด หรือเป็นครั้งคราวเพื่อให้สอดคล้องกับแนวทางการดำเนินงานของบริษัทฯ และสอดคล้องกับกฎหมาย ประกาศหรือคำสั่งของหน่วยงานราชการที่กำหนดให้ดำเนินการ 

 

11. การใช้บังคับนโยบายความเป็นส่วนตัว

          นโยบายความเป็นส่วนตัวนี้  มีผลใช้บังคับกับข้อมูลส่วนบุคคลทั้งหมดที่บริษัทฯ เป็นผู้เก็บรวบรวม ใช้และเปิดเผยและเจ้าของข้อมูลตกลงให้บริษัทฯ มีสิทธิในการเก็บรวบรวม และนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่บริษัทฯ ได้เก็บรวบรวมไว้แล้ว (หากมี) ตลอดจนข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรวบรวมในปัจจุบัน และที่จะเก็บรวบรวมในอนาคต ไปใช้ หรือเปิดเผยแก่บุคคลอื่นภายในขอบเขตที่ระบุไว้ในนโยบายความเป็นส่วนตัวนี้

 

12. การจ้างผู้ประมวลผลข้อมูลส่วนบุคคล

บริษัทฯ ได้กำหนดแนวทางปฏิบัติในการทำสัญญาจ้างประมวลผลข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลภายนอกที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลไว้ดังนี้

12.1 ก่อนทำการจ้างผู้ประมวลผลข้อมูล บริษัทฯ ต้องประเมินระบบและแนวทางการคุ้มครองข้อมูลส่วนบุคคลของผู้รับจ้างก่อน หากผู้รับจ้างประมวลผลไม่มีระบบการป้องกันหรือไม่เพียงพอการทำสัญญาจ้างผู้ประมวลผลต้องให้ผู้ประมวลผลปฏิบัติตามระเบียบปฏิบัติหรือประกาศที่บริษัทฯ กำหนด

12.2 ในสัญญาจ้างต้องระบุวัตถุประสงค์ วิธีการเก็บข้อมูล การแจ้งเจ้าของข้อมูล การใช้ การส่ง การโอน ข้อมูล และการกำจัดหรือลบทิ้งทำลายข้อมูล

          12.3 คู่สัญญาต้องลงนามในข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement - DPA) ให้เป็นไปตามที่กฎหมาย หรือที่ระเบียบของบริษัทฯ ได้กำหนดไว้ 

12.4 เมื่อมีการจ้างผู้ประมวลผลข้อมูลส่วนบุคคล ต้องทำการควบคุมการประมวลผลตามที่จ้างและการควบคุมการปฏิบัติให้ เป็นไปตามแนวปฏิบัติที่เกี่ยวข้องได้กำหนดไว้

12.5  เมื่อครบกำหนดการเก็บรักษาข้อมูล ต้องติดตามและควบคุมให้ผู้รับจ้างประมวลผลข้อมูลส่วนบุคคลนั้น ทำการลบทิ้งทำลายหรือทำให้ข้อมูลนั้นเป็นข้อมูลนิรนาม (Anonymized Data) ที่                    ไม่สามารถระบุตัวบุคคลได้ ทั้งนี้ ตามระเบียบปฏิบัติที่บริษัทฯ กำหนด หรือที่ได้ตกลงกัน

 

13. การฝึกอบรม

          บริษัทฯ ให้ความสำคัญกับการจัดฝึกอบรมให้ความรู้และสร้างความตระหนักเกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลให้กับผู้บริหารและบุคลากรทุกระดับ และถือเป็นหน้าที่ของผู้บังคับบัญชาทุกคนที่จะต้องกำหนดให้บุคลากรในสังกัดของตนซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคล ต้องเข้าร่วมฝึกอบรมอย่างเคร่งครัด พร้อมกับประเมินและติดตามผลเพื่อให้มั่นใตว่าบุคลากรจะสามารถปฏิบัติงานได้ครบถ้วนและถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

 

14. นโยบายความเป็นส่วนตัวของเว็บไซด์อื่น

นโยบายความเป็นส่วนตัวฉบับนี้ ใช้เฉพาะการให้บริการของบริษัทฯ และการใช้งานเว็บไซด์ของบริษัทฯ เท่านั้น หากลูกค้า คู่สัญญา ผู้ใช้บริการ และบุคลากร ได้กดลิงค์ไปยังเว็บไซด์อื่น (แม้จะผ่านทาง เว็บไซด์ของบริษัทฯ ก็ตาม) นโยบายความเป็นส่วนตัวฉบับนี้ รวมถึงข้อกำหนดและเงื่อนไขต่าง ๆ ของบริษัทฯ จะไม่มีผลผูกพัน โดยลูกค้า คู่สัญญา ผู้ใช้บริการ และบุคลากรจะต้องศึกษาและปฏิบัติตามนโยบายความเป็นส่วนตัวที่ปรากฏบนเว็บไซด์เหล่านั้น บริษัทจะไม่รับผิดชอบเกี่ยวกับเนื้อหาหรือการดำเนินการต่าง ๆ ของเว็บไซต์ดังกล่าว เนื่องจากบริษัทไม่ได้เป็นผู้ให้บริการ เว็บไซต์ดังกล่าว

 

15. ความรับผิดชอบของบุคคล

          บริษัทฯ กำหนดให้บุคลากรหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ต้องให้ความสำคัญและรับผิดชอบในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้อย่างเคร่งครัด โดยจะต้องปฏิบัติงานให้สอดคล้องกับนโยบาย แนวปฏิบัติ คู่มือและกฎหมายอันเกี่ยวกับการปฏิบัติงานนั้น  ทั้งนี้  ความจงใจหรือประมาทเลินเล่อ  ละเลยหรือละเว้นไม่สั่งการ หรือไม่ดำเนินการ หรือสั่งการหรือดำเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตนอันเป็นการฝ่าฝืนนโยบายและแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และ/หรือความเสียหายขึ้น  บุคลากรอาจต้องรับโทษทางวินัยตามระเบียบของบริษัทฯ และต้องรับโทษทางกฎหมายตามฐานความผิด                นั้น ๆ  ทั้งนี้หากความผิดดังกล่าวก่อให้เกิดความเสียหายแก่บริษัทและ/หรือบุคคลอื่นใด บริษัทฯ อาจพิจารณาดำเนินคดีตามกฎหมายเพิ่มเติมต่อไป

 

16 ติดต่อเรา

          กรณีพบเหตุอันควรสงสัยหรือเชื่อว่ามีการละเมิดการข้อมูลส่วนบุคคล การร้องเรียน หรือการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ หรือตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562  หรือสอบถามข้อสงสัย  สามารถติดต่อกับเราได้ที่  

หัวหน้าคณะทำงาน PDPA

หมายเลขโทรศัพท์ : 66 (0) 34-323586-7,  66 (08) 44279146

หมายเลขแฟกซ์: 66 (0) 34-321785

อีเมล์แอดเดรส :  busabong@ltuapparels.com