นโยบายการรักษาความปลอดภัยและการคุ้มครองข้อมูลส่วนบุคคล
(Personal Data Security and Protection Policy)
วันที่ 1 มิถุนายน 2565
บริษัท นันทวัน จำกัด “บริษัท” ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และการปฏิบัติตามกฎหมายที่เกี่ยวข้องจึงได้จัดทำ ”นโยบายการรักษาความปลอดภัยและการคุ้มครองข้อมูลส่วนบุคคล”
(Personal Data Security and Protection Policy) โดยจะอธิบายถึงวิธีการที่บริษัทปฏิบัติต่อข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม การจัดเก็บรักษา การเข้าถึงและการใช้ การเปิดเผย
การควบคุม การตรวจสอบย้อนหลัง การรักษาความปลอดภัย รวมถึงสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น
1. คำจำกัดความของข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคล หมายถึง “ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่า ทางตรง หรือ ทางอ้อม”
2. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
1) ชื่อ-นามสกุล ชื่อเล่น
2) ข้อมูลชีวมิติ เช่น ใบหน้า ลายนิ้วมือ ม่านตา ฯลฯ
3) ที่อยู่ตามสำเนาทะเบียนบ้าน ที่อยู่ปัจจุบัน ที่อยู่ที่ติดต่อได้
4) อีเมล
5) หมายเลขบัตรประจำตัวประชาชน หมายเลขหนังสือเดินทาง
6) หมายเลขบัตรเครดิต เดบิต บัตรกดเงินสด
7) หมายเลขใบอนุญาตขับขี่ / ใบอนุญาตควบคุมยานพาหนะ / เครื่องจักร ฯลฯ
8) หมายเลขโทรศัพท์ / โทรศัพท์เคลื่อนที่
9) หมายเลขใบอนุญาตประกอบวิชาชีพ หรือที่เกี่ยวข้องกับการประกอบวิชาชีพ
10) หมายเลขสมาชิก หมายเลขบัตรสมาชิก ออกให้โดยหน่วยงาน องค์กร หรือกิจการ ทั้งของ ภาครัฐและเอกชน
11) หมายเลขทะเบียนยานพาหนะ
12) หมายเลขทะเบียนหุ้น หลักทรัพย์ โฉนดที่ดิน สลากออมสิน ข้อมูลการเงิน สัญญากู้ยืม สัญญาการเงิน หลักฐานแสดงการเป็นเจ้าของหรือกรรมสิทธิ์หรือในทรัพย์สินใด ๆ
13) ประวัติครอบครัว
14) ประวัติการศึกษา
15) ประวัติสุขภาพ / หมู่เลือด
16) รายละเอียดในกองทุนสำรองเลี้ยงชีพ / กองทุนสวัสดิการของรัฐ
17) รายละเอียดในกรมธรรม์ประกันชีวิต / ประกันสุขภาพ / ประกันภัยอุบัติเหตุ / ประกันสังคม / กองทุนเงินทดแทน
18) IG account / Facebook account / Line ID / Twitter etc.
19) หมายเลขสมาชิก รายละเอียดบน Application ใด ๆ ที่สามารถเข้าถึงข้อมูลส่วนบุคคล
20) ข้อมูลของอุปกรณ์และเครื่องมือ IP Address, Mac Address, LOG File, Cookie ID etc.
21) รายละเอียดข้อมูลส่วนบุคคลอื่นใด ที่สามารถสืบค้นได้บนอินเตอร์เน็ต
ทั้งนี้การเก็บรวบรวมข้อมูลส่วนบุคคล จะเป็นไปภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย และเพื่อประโยชน์ในการบริหารงานทรัพยากรบุคคล ความปลอดภัย และการบริหารกิจการของบริษัท
3. แหล่งที่มาของข้อมูลส่วนบุคคล
บริษัท อาจได้ข้อมูลส่วนบุคคลภายใต้ความยินยอมของเจ้าของข้อมูลจากช่องทางต่าง ๆ ดังนี้
1) บริษัท ได้รับข้อมูลส่วนบุคคลจากเจ้าของข้อมูลโดยตรง
โดยบริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลจากขั้นตอนต่าง ๆ ดังนี้
(1.1) ขั้นตอนการสมัครงาน / การว่าจ้าง / การจัดทำประวัติ
(1.2) ขั้นตอนการเสนอราคา เสนอขายสินค้า/บริการ
(1.3) ขั้นตอนการทำสัญญา / การค้ำประกัน
(1.4) ขั้นตอนการซื้อ-ขายสินค้า/บริการ
(1.5) ขั้นตอนการรับ-จ่ายเงิน
(1.6) จากความสมัครใจของเจ้าของข้อมูลในการทำแบบสอบถามหรือการโต้ตอบทาง email หรือช่องทางการสื่อสารอื่น ๆ ระหว่างบริษัทและเจ้าของข้อมูล
(1.7) เก็บจากข้อมูลการใช้ Website / Social Media ของบริษัท / Cookies
(1.8) ขั้นตอนการประชุม สัมมนา ฝึกอบรม และกิจกรรมอื่นใด ณ สถานที่ หรือ ผ่านระบบอิเล็กทรอนิกส์
2) บริษัทได้รับข้อมูลส่วนบุคคลของเจ้าของข้อมูลมาจากบุคคลที่สาม
ดังต่อไปนี้
(2.1) สถาบันการเงิน
(2.2) สถาบันการศึกษา หรือ บุคลากรในสถาบันการศึกษา
(2.3) หน่วยงานศาล สำนักงานบังคับคดี กองทุนให้กู้ยืมเพื่อการศึกษา
(2.4) หน่วยงานราชการ หรือ หน่วยงานเอกชน หรือ หน่วยงานอิสระ ภายใต้กฎหมายที่เกี่ยวข้อง
4. บริษัทได้รับข้อมูลส่วนบุคคลด้วยวิธีการดังต่อไปนี้
1) ได้รับจากบุคคล
2) ได้รับทางไปรษณีย์
3) ได้รับทาง email หรือช่องทางอิเล็กทรอนิกส์อื่นๆ
4) ได้รับแจ้งทางโทรศัพท์ โทรสาร เครื่องบันทึกเสียง ระบบบันทึกเสียง
5) ได้รับจากกล้อง ระบบกล้อง ระบบบันทึกภาพ
6) ได้รับด้วยวิธีการอื่นใด
5. วัตถุประสงค์ในการจัดเก็บข้อมูลส่วนบุคคล
บริษัทจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลเพื่อวัตถุประสงค์ดังนี้
1) เพื่อประโยชน์ในการบริหารงานบุคคล
2) เพื่อเป็นหลักฐานประกอบการปฏิบัติตามข้อตกลง สัญญา สัญญาจ้าง สัญญาธุรกิจ ประกอบการติดต่อสื่อสารที่เกี่ยวข้องกับธุรกิจ การพิสูจน์ตัวตน การให้บริการ หรือการดูแลลูกค้า การควบคุมคุณภาพ
การรักษาความปลอดภัยของเครือข่ายและข้อมูล การวิจัยและการพัฒนา การจัดการโครงสร้างขององค์กร กิจกรรมทางการตลาด การมีส่วนร่วมในกิจกรรมการฝึกอบรม หรือกิจกรรมเพื่อการศึกษา เป็นต้น
ทั้งนี้ เป็นไปตามกฎระเบียบหรือกฎหมายที่เกี่ยวข้องของธุรกิจหรือธุรกรรมนั้น ๆ
3) เพื่อเป็นฐานข้อมูลในการปฏิบัติตามกฎหมายและ/หรือการให้ความร่วมมือแก่หน่วยงานของรัฐเมื่อได้รับการร้องขอ เช่น เจ้าหน้าที่ตำรวจ ศาล กรมบังคับคดี กองทุนเงินให้กู้ยืมเพื่อการศึกษา กรมสรรพากร
หน่วยงานในสังกัดกระทรวงยุติธรรม หรือกระทรวงแรงงาน เป็นต้น
4) เพื่อเป็นฐานข้อมูลในการดำเนินการเกี่ยวกับการจัดสวัสดิการ การประกันชีวิต การประกันภัย การประกันสุขภาพ กองทุนสำรองเลี้ยงชีพ
5) เพื่อประโยชน์ในการรักษาความปลอดภัยบุคคล อาคาร สถานที่ ทรัพย์สิน
ทั้งนี้ บริษัทจะติดต่อขอความเห็นชอบจากเจ้าของข้อมูลทันทีที่มีวัตถุประสงค์ในการจัดเก็บข้อมูล แตกต่างจากเดิมที่ได้บริษัทรับความยินยอมไว้ โดยจะแจ้งวัตถุประสงค์ใหม่ให้แก่เจ้าของข้อมูลทราบ
และให้ความยินยอมก่อนที่จะทำการจัดเก็บและประมวลผลตามวัตถุประสงค์ใหม่นั้น เว้นแต่ในกรณีที่ กฎหมายอนุญาตโดยไม่ต้องขอความเห็นชอบ
6. การประมวลผลหรือการใช้ข้อมูลส่วนบุคคล
เมื่อบริษัทได้รับข้อมูลส่วนบุคคลแล้ว บริษัทจะดำเนินการกับข้อมูลส่วนบุคคล ดังนี้
1) จัดเก็บรวบรวมเป็นเอกสาร ภาพนิ่ง ภาพเคลื่อนไหวและ/หรือนำเข้าสู่ระบบอิเล็กทรอนิกส์
2) ใช้ประกอบธุรกิจ ธุรกรรม ตามที่ได้รับความยินยอมหรือมีการตกลงไว้กับเจ้าของข้อมูล
3) เปิดเผยข้อมูลส่วนบุคคลเฉพาะในส่วนที่ได้รับอนุญาตจากเจ้าของข้อมูลหรือเป็นไปตามที่กฎหมายกำหนดเท่านั้น
7. การเปิดเผยข้อมูลส่วนบุคคล
บริษัทจะไม่เปิดเผยข้อมูลส่วนบุคคลแก่บุคคลภายนอกโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล เว้นแต่เพื่อประโยชน์ตามวัตถุประสงค์ที่กฎหมายอนุญาตให้กระทำได้โดยไม่ต้องได้รับความยินยอมก่อน
หรือเป็นการปฏิบัติหน้าที่ตามกฎหมาย เมื่อมีหมายหรือคำสั่งจากศาลหรือจากหน่วยงานที่มีอำนาจ
8. วิธีการจัดเก็บและรักษาข้อมูลส่วนบุคคล
บริษัทหรือผู้ควบคุมข้อมูลจะทำการจัดเก็บและรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูล ดังนี้
1) ลักษณะการจัดเก็บข้อมูล บริษัทจะจัดเก็บข้อมูลเป็นเอกสาร วัสดุ หรืออยู่ในรูปแบบอิเล็กทรอนิกส์
2) สถานที่จัดเก็บข้อมูลประกอบด้วย ห้องเอกสาร อาคาร คลังสินค้า เก็บไว้ใน Computer หรือ ไว้บน Cloud
9. ระยะเวลาการจัดเก็บข้อมูลส่วนบุคคล
1) ข้อมูลประกอบการสรรหา คัดเลือก หรือ จ้างงาน
(1.1) กรณีที่มีการว่าจ้างเจ้าของข้อมูล บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล ไว้ไม่เกิน 2 ปี นับจากวันที่สิ้นสุดระยะเวลาการจ้าง เว้นแต่กฎหมายกำหนดไว้เป็นอย่างอื่น
(1.2) กรณีที่ไม่มีการว่าจ้าง บริษัทจะจัดเก็บข้อมูลส่วนบุคคลไว้ไม่เกิน 2 ปี นับจากวันที่ บริษัทได้รับข้อมูล
2) เอกสารสัญญา บริษัทจะจัดเก็บข้อมูลส่วนบุคคลไว้ไม่เกิน 5 ปี นับจากวันสิ้นสุดสัญญา หรือ สิ้นสุดภาระความรับผิดชอบต่อกัน
3) เอกสารที่เกี่ยวข้องกับบัญชีการเงิน บริษัทจะจัดเก็บตามระยะเวลาที่กฎหมายหรือกฎระเบียบ ของหน่วยงานราชการ หรือองค์กรวิชาชีพที่เกี่ยวข้องกำหนดไว้
เมื่อพ้นระยะเวลาจัดเก็บข้อมูลส่วนบุคคล หรือ บริษัทไม่มีสิทธิ์ในข้อมลูส่วนบุคคล หรือ บริษัทไม่สามารถนำข้อมูลส่วนบุคคลไปใช้ในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลแล้ว บริษัทจะดำเนินการทำลายข้อมูลส่วนบุคคลนั้นภายใน 60 วัน
ด้วยวิธีการที่เหมาะสมและทำให้ไม่ปรากฏข้อมูลส่วนบุคคลของเจ้าของข้อมูลอีกต่อไป อย่างไรก็ตามในกรณีที่บริษัทต้องการใช้ข้อมูลส่วนบุคคลต่อไป บริษัทจะขออนุญาตจากเจ้าของข้อมูลก่อน
10. สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิในการดำเนินการดังต่อไปนี้
1) สิทธิในการเพิกถอนความยินยอม (right to withdraw consent): เจ้าของข้อมูลมีสิทธิในการ เพิกถอนความยินยอมในการเก็บรวบรวม ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลได้ให้ความยินยอมไว้กับบริษัทได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลอยู่กับบริษัท
2) สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (right of access): เจ้าของข้อมูลมีสิทธิในการเข้าถึง ข้อมูลส่วนบุคคลของเจ้าของข้อมูล และขอให้บริษัททำสำเนาข้อมูลส่วนบุคคลดังกล่าวให้แก่เจ้าของข้อมูล
รวมถึงขอให้บริษัทเปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลไม่ได้ให้ความยินยอมต่อบริษัทได้
3) สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (right to rectification): เจ้าของข้อมูลมีสิทธิในการขอให้บริษัทแก้ไขข้อมูลที่ไม่ถูกต้อง หรือเพิ่มเติมข้อมูลที่ไม่สมบูรณ์ได้
4) สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคล (right to erasure): เจ้าของข้อมูลมีสิทธิในการขอให้บริษัททำการลบหรือทำลายข้อมูลของเจ้าของข้อมูลด้วยเหตุบางประการได้
5) สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (right to restriction of processing): เจ้าของข้อมูลมีสิทธิในการระงับการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลด้วยเหตุบางประการได้
6) สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (right to data portability): เจ้าของข้อมูลมีสิทธิในการโอนย้ายข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่เจ้าของข้อมูลให้ไว้กับบริษัทไปยังผู้ควบคุมข้อมูลรายอื่น
หรือตัวเจ้าของข้อมูลเองด้วยเหตุบางประการได้
7) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (right to object): เจ้าของข้อมูลมีสิทธิ ในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลด้วยเหตุบางประการได้
ทั้งนี้ เจ้าของข้อมูลสามารถติดต่อมายังพนักงานบริษัทประจำฝ่ายที่เกี่ยวข้อง เพื่อดำเนินการยื่นคำร้องขอดำเนินการตามสิทธิข้างต้นได้โดยเจ้าของข้อมูลไม่จำเป็นต้องเสียค่าใช้จ่ายใด ๆ
บริษัทจะพิจารณาและแจ้งผลการพิจารณาตามคำร้องของเจ้าของข้อมูลภายใน 30 วันนับแต่วันที่บริษัทได้รับคำร้องขอดังกล่าว
11. มาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคล
บริษัทจัดให้มีมาตรฐานการรักษาความปลอดภัยของข้อมูลส่วนบุคคลซึ่งครอบคลุมถึงมาตรการป้องกันด้านบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard)
และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุม การใช้งานของข้อมูลส่วนบุคคล (Access Control) ดังนี้
1) ควบคุมการเข้าถึงข้อมูลส่วนบุคคลและการประมวลผลข้อมูลส่วนบุคคลโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย
2) กำหนดหลักเกณฑ์ในการอนุญาตและสิทธิในการเข้าถึงข้อมูลส่วนบุคคล
3) ควบคุมและบริหารการเข้าถึงข้อมูลของผู้ใช้งาน (User Access Control and Management)
4) กำหนดหน้าที่และความรับผิดชอบของผู้ใช้งาน (User Responsibilities) ในกรณีที่เข้าถึงข้อมูล หรือ เปิดเผยข้อมูล หรือ ทำสำเนาข้อมูล หรือ ขโมยอุปกรณ์การจัดเก็บข้อมูล หรือ
ประมวลผลข้อมูลส่วนบุคคล โดยไม่ได้รับอนุญาต
5) จัดให้มีวิธีการเพื่อตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอน ข้อมูลส่วนบุคคล
12. การเปลี่ยนแปลงนโยบายการรักษาความปลอดภัยและการคุ้มครองข้อมูลส่วนบุคคล
บริษัทจะพิจารณาทบทวนนโยบายการรักษาความปลอดภัยและการคุ้มครองข้อมูลส่วนบุคคล เป็นประจำเพื่อให้สอดคล้องกับแนวปฏิบัติและกฎหมายข้อบังคับที่เกี่ยวข้อง
ทั้งนี้ หากมีการเปลี่ยนแปลงนโยบายการรักษาความปลอดภัยและการคุ้มครองข้อมูลส่วนบุคคล บริษัทจะแจ้งให้เจ้าของ ข้อมูลทราบด้วยการ update ข้อมูลลงใน website โซเชียลมีเดีย หรือ สื่ออื่นใดของบริษัทโดยเร็วที่สุด
13. ช่องทางการติดต่อ
1) รายละเอียดผู้ควบคุมข้อมูล
ชื่อ: ฝ่ายบริหารทรัพยากรบุคคล
สถานที่ติดต่อ: บริษัท นันทวัน จำกัด
ช่องทางการติดต่อ: โทรศัพท์ 02-252 5200 โทรสาร 02-252 5381
Email :
[email protected]
Website : www.thaiobayashi.co.th
2) รายละเอียดเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
ชื่อ: ฝ่ายเทคโนโลยีสารสนเทศ
สถานที่ติดต่อ: บริษัท นันทวัน จำกัด
ช่องทางการติดต่อ: โทรศัพท์ 02-252 5200 โทรสาร 02-252 5381
Email :
[email protected]
Website : www.thaiobayashi.co.th
3) รายละเอียดผู้ประมวลผลข้อมูลส่วนบุคคล
ชื่อ: ฝ่ายเทคโนโลยีสารสนเทศ
สถานที่ติดต่อ: บริษัท นันทวัน จำกัด
ช่องทางการติดต่อ: โทรศัพท์ 02-252 5200 โทรสาร 02-252 5381
Email :
[email protected]
Website : www.thaiobayashi.co.th