นโยบายคุ้มครองข้อมูลส่วนบุคคล

เรื่อง นโยบายคุ้มครองการประมวลผลข้อมูลส่วนบุคคล

ด้วยคณะกรรมการบริษัท เดอะ แพลทินัม กรุ๊ป จำกัด (มหาชน) (“บริษัท”) เห็นถึงความสำคัญในการประมวลผลข้อมูลส่วนบุคคลให้เหมาะสมถูกต้องตามกฎหมาย คณะกรรมการบริษัทจึงอนุมัติรับรองและออกประกาศบริษัท เรื่อง นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้น โดยมีจุดประสงค์เพื่อกำหนดกรอบการประมวลผลข้อมูลส่วนบุคคลในกระบวนการดำเนินธุรกิจส่วนต่างๆ ของบริษัท ไม่ให้กระทบสิทธิของเจ้าของข้อมูลมากเกินสมควร สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล”)

ข้อ 1 ประกาศและผลบังคับใช้ของประกาศ

ประกาศฉบับนี้เรียกว่า “ประกาศบริษัท เรื่อง นโยบายคุ้มครองการประมวลผลข้อมูลส่วนบุคคล” โดยให้มีผลบังคับใช้นับแต่วันที่ประกาศเป็นต้นไป ใช้ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลทั้งหมดของทุกกลุ่มเจ้าของข้อมูลที่ดำเนินการโดยบริษัท ซึ่งรวมถึงลูกค้า พนักงาน คู่ค้าทางธุรกิจ คู่สัญญา ผู้ให้บริการ รวมถึง ผู้ที่เข้ามาในพื้นที่ของบริษัท ผู้ถือหุ้น กรรมการของบริษัท

ข้อ 2 นิยามศัพท์ และหลักการสำคัญในการประมวลผลข้อมูลส่วนบุคคล

2.1 คำนิยามสำคัญภายใต้นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ให้มีความหมายโดยสอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ดังนี้

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ

“ข้อมูลส่วนบุคคลอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนและอาจสุ่มเสี่ยงในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมืองความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

“เจ้าหน้าที่คุ้มครองข้อมูล” หมายถึง หมายถึง บุคคลหรือคณะบุคคล ซึ่งได้รับการแต่งตั้งจากบริษัทเพื่อให้ทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

2.2 หลักการสำคัญในการประมวลผลข้อมูลส่วนบุคคล

บริษัทจะประมวลผลข้อมูลส่วนบุคคล โดยมีวัตถุประสงค์และฐานอันชอบด้วยกฎหมายในการประมวลผล ทั้งนี้จะยึดถือตามกรอบการประมวลผลข้อมูลส่วนบุคคลที่ระบุไว้ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด โดยเฉพาะต้องรับประกันประมวลผลข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหว เฉพาะเพียงเท่าที่จำเป็นแก่การปฏิบัติหน้าที่ที่บริษัทมีกับแต่ละกลุ่มเจ้าของข้อมูลเป็นหลักเท่านั้น ทั้งนี้ ก่อนที่บริษัทจะดำเนินการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคล บริษัทต้องแจ้งให้เจ้าของข้อมูลแต่ละกลุ่มรับทราบ และ/หรือให้ความยินยอมในรูปแบบต่างๆ อย่างเหมาะสม สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

ข้อ 3 การสื่อสารประชาสัมพันธ์นโยบาย

บริษัทให้ความสำคัญต่อการสื่อสารนโยบายเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ให้แก่พนักงานทั้งหมด รวมถึงบุคคลภายนอกที่อาจมีส่วนเกี่ยวข้อง หรือได้รับการว่าจ้างให้ดำเนินการประมวลผลข้อมูลส่วนบุคคลของบริษัทรับทราบและตระหนักถึงความสำคัญ โดยกำหนดนโยบายให้มีการสื่อสารผ่านทุกช่องทางการติดต่อกับพนักงานและบุคคลดังกล่าวอย่างเป็นปกติ โดยเฉพาะเมื่อมีการเปลี่ยนแปลงที่มีสาระสำคัญและกระทบต่อการประมวลผลข้อมูลส่วนบุคคลของบริษัท หรือการเปลี่ยนแปลงในนโยบายฉบับนี้

ข้อ 4. นโยบายการเปิดเผยข้อมูลส่วนบุคคลให้แก่หน่วยงานภายนอก (Information Disclosure Policy)

บริษัทกำหนดนโยบายหลักที่จะไม่แบ่งปัน ขาย ส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลด้วยวิธีการอื่นใดต่อบุคคลภายนอก โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลเว้นแต่ มีกฎหมายอนุญาต หรือเป็นกรณีการเปิดเผยที่บริษัทมีความจำเป็นในการดำเนินการดังกล่าว เพื่อประโยชน์ในการปฏิบัติหน้าที่ตามสัญญาที่บริษัทอาจมีกับเจ้าของข้อมูลส่วนบุคคล หรือเพื่อการปกป้องสิทธิอันชอบด้วยกฎหมายของบริษัท โดยในการเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลดังกล่าว บริษัทจะดำเนินการให้บุคคลเหล่านั้นเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าไว้ด้วยมาตรการที่ปลอดภัยและเป็นความลับ และจะไม่นำไปใช้เพื่อวัตถุประสงค์อื่นนอกเหนือจากขอบเขตที่บริษัทได้กำหนดไว้

ข้อ 5 นโยบายการกำหนดระยะเวลาการรักษาข้อมูล (Data Retention Guideline)

บริษัทกำหนดกรอบการพิจารณาระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล (Data Retention Guideline) โดยพิจารณาตามหลักการความจำเป็น โดยบริษัทต้องทำหน้าที่ในการแจ้งระยะเวลาการรักษาข้อมูลดังกล่าวให้เจ้าของข้อมูลแต่ละกลุ่มทราบ

ท่านมีสิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ท่านได้ให้ความยินยอมกับบริษัทฯ ได้ เว้นแต่การเพิกถอนความยินยอมจะมีข้อจำกัดโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่ท่าน ในฐานะที่ท่านเป็นเจ้าของข้อมูล ทั้งนี้ การเพิกถอนความยินยอมจะไม่ส่งผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคลที่ท่าน ได้ให้ความยินยอมไปแล้วโดยชอบด้วยกฎหมาย

ข้อ 6 การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

บริษัทให้ความสำคัญกับความปลอดภัยของข้อมูลส่วนบุคคลของลูกค้าอย่างเคร่งครัด และบริษัทมีมาตรการรักษาความปลอดภัยซึ่งครอบคลุมถึงมาตรการด้านโครงสร้างการบริหารจัดการ มาตรการด้านเทคนิค และมาตรการทางด้านกายภาพ รวมถึงมีระบบเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ปลอดภัยและเหมาะสม เพื่อป้องกันไม่ให้ข้อมูลส่วนบุคคลของลูกค้าสูญหาย ถูกใช้ เข้าถึง เปลี่ยนแปลง หรือเปิดเผย โดยไม่ได้รับอนุญาต บริษัทจำกัดการเข้าถึงข้อมูลส่วนบุคคลของลูกค้าสำหรับพนักงาน ตัวแทน ผู้รับจ้างและบุคคลภายนอกที่มีความจำเป็นต้องได้รับข้อมูลและพวกเขาจะประมวลผลข้อมูลส่วนบุคคลของลูกค้าภายใต้เงื่อนไขที่บริษัทกำหนดเท่านั้น ในกรณีที่มีเหตุละเมิดข้อมูลส่วนบุคคลของลูกค้าเกิดขึ้น บริษัทจะแจ้งให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่ การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของลูกค้า ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของลูกค้า บริษัทจะแจ้งเหตุการณ์ละเมิดให้ลูกค้าทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า

ข้อ 7 สิทธิเจ้าของข้อมูล

บริษัทยอมรับและเคารพสิทธิตามกฎหมายของเจ้าของข้อมูลทั้งหมด ในส่วนที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่อยู่ในการควบคุมของบริษัท โดยบริษัทต้องรับประกันว่า เจ้าของข้อมูลทั้งหมดสามารถใช้สิทธิต่างๆ ที่มีภายใต้กฎหมายได้ โดยบริษัทรับประกันที่จะพิจารณาและดำเนินการตามคำร้องขอใช้สิทธิของเจ้าของข้อมูล ภายใต้กรอบระยะเวลาที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลกำหนดไว้ ทั้งนี้สิทธิของเจ้าของข้อมูลดังกล่าว ได้แก่

• สิทธิขอเข้าถึงและรับสำเนาข้อมูลส่วนบุคคล
• สิทธิในการขอรับข้อมูลส่วนบุคคล และโอนข้อมูลส่วนบุคคล ไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น
• สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล
• สิทธิขอให้ลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
• สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคลได้
• สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้เป็นปัจจุบัน และถูกต้อง
• สิทธิในการเพิกถอนความยินยอม

ข้อ 8 การทบทวนหรือปรับปรุงนโยบาย

บริษัทกำหนดให้มีการทบทวน หรือปรับปรุงนโยบายฉบับนี้โดยคณะกรรมการบริษัท หรือคณะกรรมการอื่นที่ได้รับการมอบหมายอย่างน้อยปีละ 1 ครั้ง หรือกรณีที่มีการเปลี่ยนแปลงอย่างมีนัยสำคัญต่อธุรกิจ

ข้อ 9 ช่องทางการติดต่อเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

บริษัทได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล ซึ่งเป็นผู้ประสานงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท หากท่านต้องการสอบถามข้อมูลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือมีความประสงค์ที่จะใช้สิทธิที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของท่าน โปรดติดต่อ

ฝ่ายคุ้มครองข้อมูลส่วนบุคคล

บริษัท เดอะ แพลทินัม กรุ๊ป จำกัด (มหาชน) (สำนักงานใหญ่)

222/1398 อาคารเดอะ แพลทินัม แฟชั่น มอลล์ ถนนเพชรบุรี แขวงถนนเพชรบุรี เขตราชเทวี กรุงเทพฯ 10400

• โทรศัพท์ 02-121-9999 ต่อ 23
• อีเมล: dpo@theplatinumgroup.co.th