นโยบายการคุ้มครองข้อมูลส่วนบุคคล
(PRIVACY POLICY)
บริษัท ทีเอที คอร์ปอเรชั่น จำกัด (มหาชน) และบริษัทในกลุ่ม
1. บทนำ
บริษัท ทีเอที คอร์ปอเรชั่น จำกัด (มหาชน) และบริษัทในกลุ่ม (ต่อไปในนโยบายนี้เรียกว่า “บริษัท” ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลและข้อมูลอื่นอันเกี่ยวกับเจ้าของข้อมูล (รวมเรียกว่า “ข้อมูล”) เพื่อให้เจ้าของข้อมูลสามารถเชื่อมั่นได้ว่า บริษัทมีความโปร่งใสและความรับผิดชอบในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลของเจ้าของข้อมูลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) รวมถึงกฎหมายอื่นที่เกี่ยวข้อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (“นโยบาย”) นี้จึงได้ถูกจัดทำขึ้นเพื่อชี้แจงแก่เจ้าของข้อมูลถึงรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผย (รวมเรียกว่า “ประมวลผล”) ข้อมูลส่วนบุคคลซึ่งดำเนินการโดยบริษัท รวมถึงเจ้าหน้าที่และบุคคลที่เกี่ยวข้องผู้ดำเนินการแทนหรือในนามของบริษัท โดยมีเนื้อหาสาระดังต่อไปนี้
2. ขอบเขตการบังคับใช้นโยบาย
นโยบายนี้ใช้บังคับกับข้อมูลส่วนบุคคลของบุคคลซึ่งมีความสัมพันธ์กับบริษัทในปัจจุบันและที่อาจมีในอนาคต ซึ่งถูกประมวลผลข้อมูลส่วนบุคคลโดยบริษัท เจ้าหน้าที่ พนักงาน หน่วยธุรกิจหรือหน่วยงานรูปแบบอื่นที่ดำเนินการโดยบริษัทรวมถึงคู่สัญญาหรือบุคคลภายนอกที่ประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของบริษัท (“ผู้ประมวลผลข้อมูลส่วนบุคคล”) ภายใต้ผลิตภัณฑ์และบริการต่าง ๆ เช่น เว็บไซต์ ระบบแอปพลิเคชัน เอกสาร หรือบริการในรูปแบบอื่นที่ควบคุมดูแลโดยบริษัท (รวมเรียกว่า “บริการ”)
บุคคลที่มีความสัมพันธ์กับบริษัท ตามความในวรรคแรก รวมถึง
- ลูกค้าบุคคลธรรมดา
- เจ้าหน้าที่ผู้ปฏิบัติงาน หรือลูกจ้าง
- คู่ค้าและผู้ให้บริการซึ่งเป็นบุคคลธรรมดา
- กรรมการ ผู้รับมอบอำนาจ ผู้แทน ตัวแทน ผู้ถือหุ้น หรือบุคคลอื่นที่มีความสัมพันธ์ในรูปแบบเดียวกันของนิติบุคคลที่มีความสัมพันธ์กับบริษัท
- ผู้ใช้งานผลิตภัณฑ์หรือบริการของบริษัท
- ผู้เข้าชมหรือใช้งานเว็บไซต์ของบริษัท ระบบแอปพลิเคชัน อุปกรณ์ หรือช่องทางการสื่อสารอื่นซึ่งควบคุมดูแลโดยบริษัท
- บุคคลอื่นที่บริษัทเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ผู้สมัครงาน ครอบครัวของเจ้าหน้าที่ ผู้ค้ำประกัน ผู้รับประโยชน์ในกรมธรรม์ประกันภัย เป็นต้น
ข้อ 1) ถึง 7) เรียกรวมกันว่า “เจ้าของข้อมูล”
นอกจากนโยบายฉบับนี้แล้ว บริษัทอาจกำหนดให้มีคำประกาศเกี่ยวกับความเป็นส่วนตัว (“ประกาศ”) สำหรับผลิตภัณฑ์หรือบริการของบริษัท เพื่อชี้แจงให้เจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้ใช้บริการได้ทราบถึงข้อมูลส่วนบุคคลที่ถูกประมวลผล วัตถุประสงค์ เหตุผลอันชอบด้วยกฎหมายในการประมวลผล ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล รวมถึงสิทธิในข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลพึงมีในผลิตภัณฑ์หรือบริการนั้นเป็นการเฉพาะเจาะจง
ทั้งนี้ ในกรณีที่มีความขัดแย้งกันในสาระสำคัญระหว่างความในประกาศเกี่ยวกับความเป็นส่วนตัวและนโยบายนี้ ให้ถือตามความในประกาศเกี่ยวกับความเป็นส่วนตัวของบริการนั้น
3. คำนิยาม
บริษัท หมายถึง บริษัท ทีเอที คอร์ปอเรชั่น จำกัด (มหาชน) และบริษัทในกลุ่ม
ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
ข้อมูลส่วนบุคคลอ่อนไหว หมายถึง ข้อมูลส่วนบุคคลตามที่ถูกบัญญัติไว้ในมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้แก่ ข้อมูลเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา ปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
การประมวลผลข้อมูลส่วนบุคคล หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น เก็บรวบรวมสำเนา จัดระเบียบ เก็บรักษา ปรับปรุง เปลี่ยนแปลง ใช้ กู้คืน เปิดเผย ส่งต่อ เผยแพร่ โอน ทำลาย เป็นต้น
เจ้าของข้อมูลส่วนบุคคล หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม ใช้ หรือเปิดเผย
ผู้ควบคุมข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
4. แหล่งที่มาของข้อมูลส่วนบุคคล
บริษัทเก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่าง ๆ จากแหล่งข้อมูลดังต่อไปนี้
- ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรงในช่องทางให้บริการต่าง ๆ เช่น ขั้นตอนการสมัครงานลงทะเบียน ลงนามในสัญญา แบบสำรวจการใช้งานผลิตภัณฑ์/บริการ หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับบริษัท หรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดยบริษัท เป็นต้น
- ข้อมูลที่บริษัทเก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ผลิตภัณฑ์/บริการอื่นๆ ตามสัญญาหรือตามพันธกิจ เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ ผลิตภัณฑ์/บริการของบริษัท ด้วยการใช้คุกกี้ (COOKIES) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น
- ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมจากแหล่งอื่นนอกจากเจ้าของข้อมูลส่วนบุคคล โดยที่แหล่งข้อมูลดังกล่าวมีอำนาจหน้าที่ มีเหตุผลที่ชอบด้วยกฎหมายหรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผย
- ข้อมูลแก่บริษัท เช่น การเชื่อมโยงบริการดิจิทัลของหน่วยงานอื่นสื่อสังคมออนไลน์ หรือผู้ให้บริการบนช่องทาง อี-คอมเมิร์ซในการให้บริการเพื่อประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลเอง เป็นต้น
นอกจากนี้ ยังหมายความรวมถึงกรณีที่เจ้าของข้อมูลเป็นเจ้าของข้อมูลส่วนบุคคลของบุคคลภายนอกแก่บริษัท ดังนี้เจ้าของข้อมูลมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดตามนโยบายนี้หรือประกาศของผลิตภัณฑ์/บริการ ตามแต่กรณีให้บุคคลดังกล่าวทราบ ตลอดจนขอความยินยอมจากบุคคลนั้นหากเป็นกรณีที่ต้องได้รับความยินยอมในการเปิดเผยข้อมูลแก่บริษัท
5. ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทพิจารณากำหนดฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลตามความเหมาะสมและตามบริบทของการให้บริการ ทั้งนี้ ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลที่บริษัทใช้ประกอบด้วย
ฐานกฎหมายในการเก็บรวบรวมข้อมูล | รายละเอียด |
เพื่อการปฏิบัติหน้าที่ตามกฎหมาย | เพื่อให้บริษัทสามารถปฏิบัติตามที่กฎหมายกำหนด เช่น – การเก็บรวบรวมข้อมูลจราจรทางคอมพิวเตอร์ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 – กฎหมายว่าด้วยภาษีอากร รวมถึง การดำเนินการตามคำสั่งศาล เป็นต้น |
เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย | เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทและของบุคคลอื่นซึ่งประโยชน์ดังกล่าวมีความสำคัญไม่น้อยไปกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เช่น เพื่อการรักษาความปลอดภัยอาคารสถานที่ของบริษัท หรือการประมวลผลข้อมูลส่วนบุคคลเพื่อกิจการภายในของบริษัท เป็นต้น |
เป็นการจำเป็นเพื่อการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล | เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่น ใช้ข้อมูลการรักษาเพื่อเฝ้าระวังโรคระบาดตามนโยบายของรัฐบาล เป็นต้น |
เพื่อการปฏิบัติตามสัญญา | เพื่อให้บริษัทสามารถปฏิบัติหน้าที่ตามสัญญา หรือดำเนินการอันเป็นความจำเป็นต่อการเข้าทำสัญญาซึ่งเจ้าของข้อมูลเป็นคู่สัญญากับบริษัท เช่น การจ้างงาน การจ้างทำของ การทำบันทึกข้อตกลงความร่วมมือ สัญญาซื้อขาย สัญญาบริการ หรือสัญญาในรูปแบบอื่น เป็นต้น |
เพื่อการจัดทำเอกสารประวัติ วิจัยหรือสถิติที่สำคัญ | เพื่อให้บริษัทสามารถจัดทำหรือสนับสนุนการจัดทำเอกสารประวัติ วิจัยหรือสถิติตามที่บริษัทอาจได้รับมอบหมาย เช่น การให้ข้อมูลแก่หน่วยงานราชการตามกฎหมาย เป็นต้น |
ความยินยอม | เพื่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีที่ บริษัทจำเป็นต้องได้รับความยินยอมจากเจ้าของข้อมูล โดยได้มีการแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลก่อนการขอความยินยอมแล้ว เช่น การเก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหวด้วยวัตถุประสงค์ที่ไม่เป็นไปตามข้อยกเว้นมาตรา 24 หรือ 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นต้น |
ในกรณีที่บริษัทมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลเพื่อการปฏิบัติตามสัญญา การปฏิบัติหน้าที่ตามกฎหมาย หรือเพื่อความจำเป็นในการเข้าทำสัญญา หากเจ้าของข้อมูลปฏิเสธไม่ให้ข้อมูลส่วนบุคคล หรือคัดค้านการดำเนินการประมวลผลตามวัตถุประสงค์ของกิจกรรม อาจมีผลทำให้บริษัทไม่สามารถดำเนินการหรือให้บริการตามที่เจ้าของข้อมูลร้องขอได้ทั้งหมดหรือบางส่วน
- ประเภทของข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
บริษัทอาจเก็บรวบรวมหรือได้มาซึ่งข้อมูลดังต่อไปนี้ซึ่งอาจรวมถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูล ทั้งนี้ขึ้นอยู่กับบริการที่เจ้าของข้อมูลใช้หรือบริบทความสัมพันธ์ที่เจ้าของข้อมูลมีกับบริษัท รวมถึงข้อพิจารณาอื่นที่มีผลกับการเก็บรวบรวมข้อมูลส่วนบุคคล โดยประเภทของข้อมูลที่ระบุไว้ดังต่อไปนี้เป็นเพียงกรอบการเก็บรวบรวมข้อมูลส่วนบุคคลของบริษัทเป็นการทั่วไป ทั้งนี้เฉพาะข้อมูลที่เกี่ยวข้องกับผลิตภัณฑ์/บริการที่เจ้าของข้อมูลใช้งานหรือมีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้
ประเภทข้อมูลส่วนบุคคล | รายละเอียดและตัวอย่าง |
ข้อมูลเฉพาะตัวบุคคล | ข้อมูลระบุชื่อเรียกของเจ้าของข้อมูลหรือข้อมูลจากเอกสารราชการที่ระบุข้อมูลเฉพาะตัวของเจ้าของข้อมูล เช่น คำนำหน้าชื่อ, ชื่อ, นามสกุล, ชื่อกลาง, ชื่อเล่น ลายมือชื่อ, เลขที่บัตรประจำตัวประชาชน, สัญชาติ, เลขที่ใบขับขี่, เลขที่หนังสือเดินทาง, ข้อมูลทะเบียนบ้าน, หมายเลขใบอนุญาตการประกอบวิชาชีพ (สำหรับแต่ละอาชีพ), หมายเลขประจำตัวผู้ประกันตน, หมายเลขประกันสังคม เป็นต้น |
ข้อมูลเกี่ยวกับคุณลักษณะของบุคคล | ข้อมูลรายละเอียดเกี่ยวกับตัวเจ้าของข้อมูล เช่น วันเดือนปีเกิด, เพศ, ส่วนสูง น้ำหนัก, อายุ, สถานภาพการสมรส, สถานภาพการเกณฑ์ทหาร, รูปถ่าย ข้อมูลพฤติกรรม, ความชื่นชอบ เป็นต้น |
ข้อมูลสำหรับการติดต่อ | ข้อมูลเพื่อการติดต่อเจ้าของข้อมูล เช่น เบอร์โทรศัพท์บ้าน, เบอร์โทรศัพท์เคลื่อนที่, อีเมล, ที่อยู่ทางไปรษณีย์บ้าน, ชื่อผู้ใช้งานในสังคมออนไลน์ (LINE ID) เป็นต้น |
ข้อมูลเกี่ยวกับการทำงานและการศึกษา | รายละเอียดการจ้างงาน ประวัติการทำงาน และประวัติการศึกษา เช่น ประเภทการจ้างงาน, อาชีพ, ตำแหน่ง, หน้าที่, ความเชี่ยวชาญ สถานภาพใบอนุญาตทำงาน, ข้อมูลบุคคลอ้างอิง, หมายเลขประจำตัวผู้เสียภาษี, ประวัติการดำรงตำแหน่ง, ข้อมูลเงินเดือน, วันเริ่มงาน, วันออกจากงาน, ผลการประเมิน, ผลงาน, หมายเลขบัญชีธนาคาร สถาบันการศึกษา, วุฒิการศึกษา, ผลการศึกษา, วันที่สำเร็จการศึกษา เป็นต้น
|
ข้อมูลเกี่ยวกับกรมธรรม์ประกันภัย | รายละเอียดเกี่ยวกับกรมธรรม์ประกันภัยผู้ปฏิบัติงาน เช่น ผู้รับประกันภัย, ผู้เอาประกันภัย, ผู้รับประโยชน์, หมายเลขกรมธรรม์ ประเภทกรมธรรม์, วงเงินคุ้มครอง, ข้อมูลเกี่ยวกับการเคลม เป็นต้น |
ข้อมูลเกี่ยวกับความสัมพันธ์ทางสังคม | ข้อมูลความสัมพันธ์ทางสังคมของเจ้าของข้อมูล เช่น ความสัมพันธ์กับผู้ปฏิบัติงานของบริษัท, ข้อมูลการเป็นผู้มีสัญญาจ้างกับบริษัท, ข้อมูลการเป็นผู้มีส่วนได้เสียในกิจการที่ทำกับบริษัท เป็นต้น |
ข้อมูลเกี่ยวกับการใช้บริการของบริษัท | รายละเอียดเกี่ยวกับผลิตภัณฑ์หรือบริการของบริษัท เช่น ชื่อบัญชีผู้ใช้งาน, รหัสผ่าน, หมายเลข PIN, ข้อมูล SINGLE SIGN-ON (SSO ID) รหัส OTP, ข้อมูลการจราจรทางคอมพิวเตอร์, ข้อมูลระบุพิกัด, ภาพถ่าย วีดีโอ, บันทึกเสียง, ข้อมูลพฤติกรรมการใช้งาน (เว็บไซต์ที่อยู่ในความดูแลของบริษัทหรือแอปพลิเคชันต่าง ๆ ) ประวัติการสืบค้น, คุกกี้หรือเทคโนโลยีในลักษณะเดียวกัน, หมายเลขอุปกรณ์ (DEVICE ID), ประเภทอุปกรณ์, ข้อมูล BROWSER, ระบบปฏิบัติการที่ใช้งาน เป็นต้น |
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน | ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนของเจ้าของข้อมูล เช่น เชื้อชาติ, ข้อมูลศาสนา, ข้อมูลความพิการ, ข้อมูลความเห็นทางการเมือง, ประวัติอาชญากรรม, ข้อมูลชีวภาพ (ข้อมูลภาพจำลองใบหน้า, ลายนิ้วมือ) ข้อมูลเกี่ยวกับสุขภาพ เป็นต้น |
ในกรณีที่บริษัทมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลเพื่อการปฏิบัติตามสัญญา การปฏิบัติหน้าที่ตามกฎหมาย หรือเพื่อความจำเป็นในการเข้าทำสัญญา หากเจ้าของข้อมูลปฏิเสธไม่ให้ข้อมูลส่วนบุคคล หรือคัดค้านการดำเนินการประมวลผลตามวัตถุประสงค์ของกิจกรรม อาจมีผลทำให้บริษัทไม่สามารถดำเนินการหรือให้บริการตามที่เจ้าของข้อมูลร้องขอได้ทั้งหมดหรือบางส่วน
6. ประเภทของข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
บริษัทอาจเก็บรวบรวมหรือได้มาซึ่งข้อมูลดังต่อไปนี้ซึ่งอาจรวมถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูล ทั้งนี้ขึ้นอยู่กับบริการที่เจ้าของข้อมูลใช้หรือบริบทความสัมพันธ์ที่เจ้าของข้อมูลมีกับบริษัท รวมถึงข้อพิจารณาอื่นที่มีผลกับการเก็บรวบรวมข้อมูลส่วนบุคคล โดยประเภทของข้อมูลที่ระบุไว้ดังต่อไปนี้เป็นเพียงกรอบการเก็บรวบรวมข้อมูลส่วนบุคคลของบริษัทเป็นการทั่วไป ทั้งนี้เฉพาะข้อมูลที่เกี่ยวข้องกับผลิตภัณฑ์/บริการที่เจ้าของข้อมูลใช้งานหรือมีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้
ประเภทข้อมูลส่วนบุคคล | รายละเอียดและตัวอย่าง |
ข้อมูลเฉพาะตัวบุคคล | ข้อมูลระบุชื่อเรียกของเจ้าของข้อมูลหรือข้อมูลจากเอกสารราชการที่ระบุข้อมูลเฉพาะตัวของเจ้าของข้อมูล เช่น คำนำหน้าชื่อ, ชื่อ, นามสกุล, ชื่อกลาง, ชื่อเล่น ลายมือชื่อ, เลขที่บัตรประจำตัวประชาชน, สัญชาติ, เลขที่ใบขับขี่, เลขที่หนังสือเดินทาง, ข้อมูลทะเบียนบ้าน, หมายเลขใบอนุญาตการประกอบวิชาชีพ (สำหรับแต่ละอาชีพ), หมายเลขประจำตัวผู้ประกันตน, หมายเลขประกันสังคม เป็นต้น |
ข้อมูลเกี่ยวกับคุณลักษณะของบุคคล | ข้อมูลรายละเอียดเกี่ยวกับตัวเจ้าของข้อมูล เช่น วันเดือนปีเกิด, เพศ, ส่วนสูง น้ำหนัก, อายุ, สถานภาพการสมรส, สถานภาพการเกณฑ์ทหาร, รูปถ่าย ข้อมูลพฤติกรรม, ความชื่นชอบ เป็นต้น |
ข้อมูลสำหรับการติดต่อ | ข้อมูลเพื่อการติดต่อเจ้าของข้อมูล เช่น เบอร์โทรศัพท์บ้าน, เบอร์โทรศัพท์เคลื่อนที่, อีเมล, ที่อยู่ทางไปรษณีย์บ้าน, ชื่อผู้ใช้งานในสังคมออนไลน์ (LINE ID) เป็นต้น |
ข้อมูลเกี่ยวกับการทำงานและการศึกษา | รายละเอียดการจ้างงาน ประวัติการทำงาน และประวัติการศึกษา เช่น ประเภทการจ้างงาน, อาชีพ, ตำแหน่ง, หน้าที่, ความเชี่ยวชาญ สถานภาพใบอนุญาตทำงาน, ข้อมูลบุคคลอ้างอิง, หมายเลขประจำตัวผู้เสียภาษี, ประวัติการดำรงตำแหน่ง, ข้อมูลเงินเดือน, วันเริ่มงาน, วันออกจากงาน, ผลการประเมิน, ผลงาน, หมายเลขบัญชีธนาคาร สถาบันการศึกษา, วุฒิการศึกษา, ผลการศึกษา, วันที่สำเร็จการศึกษา เป็นต้น
|
ข้อมูลเกี่ยวกับกรมธรรม์ประกันภัย | รายละเอียดเกี่ยวกับกรมธรรม์ประกันภัยผู้ปฏิบัติงาน เช่น ผู้รับประกันภัย, ผู้เอาประกันภัย, ผู้รับประโยชน์, หมายเลขกรมธรรม์ ประเภทกรมธรรม์, วงเงินคุ้มครอง, ข้อมูลเกี่ยวกับการเคลม เป็นต้น |
ข้อมูลเกี่ยวกับความสัมพันธ์ทางสังคม | ข้อมูลความสัมพันธ์ทางสังคมของเจ้าของข้อมูล เช่น ความสัมพันธ์กับผู้ปฏิบัติงานของบริษัท, ข้อมูลการเป็นผู้มีสัญญาจ้างกับบริษัท, ข้อมูลการเป็นผู้มีส่วนได้เสียในกิจการที่ทำกับบริษัท เป็นต้น |
ข้อมูลเกี่ยวกับการใช้บริการของบริษัท | รายละเอียดเกี่ยวกับผลิตภัณฑ์หรือบริการของบริษัท เช่น ชื่อบัญชีผู้ใช้งาน, รหัสผ่าน, หมายเลข PIN, ข้อมูล SINGLE SIGN-ON (SSO ID) รหัส OTP, ข้อมูลการจราจรทางคอมพิวเตอร์, ข้อมูลระบุพิกัด, ภาพถ่าย วีดีโอ, บันทึกเสียง, ข้อมูลพฤติกรรมการใช้งาน (เว็บไซต์ที่อยู่ในความดูแลของบริษัทหรือแอปพลิเคชันต่าง ๆ ) ประวัติการสืบค้น, คุกกี้หรือเทคโนโลยีในลักษณะเดียวกัน, หมายเลขอุปกรณ์ (DEVICE ID), ประเภทอุปกรณ์, ข้อมูล BROWSER, ระบบปฏิบัติการที่ใช้งาน เป็นต้น |
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน | ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนของเจ้าของข้อมูล เช่น เชื้อชาติ, ข้อมูลศาสนา, ข้อมูลความพิการ, ข้อมูลความเห็นทางการเมือง, ประวัติอาชญากรรม, ข้อมูลชีวภาพ (ข้อมูลภาพจำลองใบหน้า, ลายนิ้วมือ) ข้อมูลเกี่ยวกับสุขภาพ เป็นต้น |
7. คุกกี้
บริษัทเก็บรวบรวมและใช้คุกกี้รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกันในเว็บไซต์ที่อยู่ภายใต้ความดูแลของบริษัท เช่น เว็บไซต์ของบริษัท หรือบนอุปกรณ์ของเจ้าของข้อมูลตามแต่บริการที่เจ้าของข้อมูลใช้งาน ทั้งนี้เพื่อการดำเนินการด้านความปลอดภัยในการให้บริการของบริษัท และเพื่อให้เจ้าของข้อมูลซึ่งเป็นผู้ใช้งานได้รับความสะดวกและประสบการณ์ที่ดีในการใช้งาน ข้อมูลเหล่านี้จะถูกนำไปปรับปรุงเว็บไซต์ของบริษัทให้ตรงกับความต้องการของเจ้าของข้อมูลมากยิ่งขึ้น โดยเจ้าของข้อมูลสามารถตั้งค่าหรือลบการใช้งานคุกกี้ได้ด้วยตนเองจากการตั้งค่าในเว็บ เบราว์เซอร์ (WEB BROWSER) ของเจ้าของข้อมูล
8. ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถและคนเสมือนไร้ความสามารถ
กรณีที่บริษัททราบว่าข้อมูลส่วนบุคคลที่จำเป็นต้องได้รับความยินยอมในการเก็บรวบรวมเป็นของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ บริษัทจะไม่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นจนกว่าจะได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ทั้งนี้เป็นไปตามเงื่อนไขที่กฎหมายกำหนด
กรณีที่บริษัทไม่ทราบมาก่อนว่าเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ และมาพบในภายหลังว่าบริษัทได้เก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคลดังกล่าวโดยยังมิได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ดังนี้บริษัทจะดำเนินการลบทำลายข้อมูลส่วนบุคคลนั้นโดยเร็ว หากบริษัทไม่มีเหตุอันชอบด้วยกฎหมายประการอื่นนอกเหนือจากความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าว
9. วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลเพื่อวัตถุประสงค์หลายประการซึ่งขึ้นอยู่กับประเภทของผลิตภัณฑ์หรือบริการหรือกิจกรรมที่เจ้าของข้อมูลใช้บริการ ตลอดจนลักษณะความสัมพันธ์ของเจ้าของข้อมูลกับบริษัท หรือข้อพิจารณาในแต่ละบริบทเป็นสำคัญ โดยวัตถุประสงค์ที่ระบุไว้ดังต่อไปนี้เป็นเพียงกรอบการใช้ข้อมูลส่วนบุคคลของบริษัทเป็นการทั่วไป ทั้งนี้เฉพาะวัตถุประสงค์ที่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการที่เจ้าของข้อมูลใช้งานหรือมีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้กับข้อมูลของเจ้าของข้อมูล
- เพื่อดำเนินการตามที่จำเป็นในการดำเนินธุรกิจ
- เพื่อให้บริการบริหารจัดการบริการของบริษัท ปรับปรุงคุณภาพของสินค้าและบริการให้สอดคล้องกับความต้องการของลูกค้า
- เพื่อการดำเนินการทางธุรกรรมของบริษัท
- ควบคุมดูแล ใช้งาน ติดตาม ตรวจสอบบริหารจัดการบริการเพื่ออำนวยความสะดวกและสอดคล้องกับความต้องการของเจ้าของข้อมูล
- เพื่อเก็บรักษาและปรับปรุงข้อมูลอันเกี่ยวกับเจ้าของข้อมูลรวมทั้งเอกสารที่มีการกล่าวอ้างถึงเจ้าของข้อมูล
- จัดทำบันทึกรายการการประมวลผลข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
- วิเคราะห์ข้อมูล รวมถึงแก้ไขปัญหาที่เกี่ยวกับบริการของบริษัท
- เพื่อดำเนินการตามที่จำเป็นในการบริหารจัดการภายในองค์กร รวมถึงการรับสมัครงาน การสรรหากรรมการหรือผู้ดำรงตำแหน่งต่าง ๆ การประเมินคุณสมบัติ
- ป้องกัน ตรวจจับ หลีกเลี่ยงตรวจสอบการฉ้อโกง การละเมิดความปลอดภัยหรือการกระทำที่ต้องห้ามหรือผิดกฎหมาย และอาจเกิดความเสียหายทั้งต่อบริษัทและเจ้าของข้อมูลส่วนบุคคล
- การยืนยันตัวตน พิสูจน์ตัวตนและตรวจสอบข้อมูลเมื่อเจ้าของข้อมูลสมัครใช้บริการของบริษัท หรือติดต่อใช้บริการหรือใช้สิทธิตามกฎหมาย
- ปรับปรุงและพัฒนาคุณภาพผลิตภัณฑ์และบริการให้ทันสมัย
- การประเมินและบริหารจัดการความเสี่ยง
- ส่งการแจ้งเตือน การยืนยันการทำคำสั่ง ติดต่อสื่อสารและแจ้งข่าวสารไปยังเจ้าของข้อมูล
- เพื่อจัดทำและส่งมอบเอกสารหรือข้อมูลที่มีความเกี่ยวข้องและจำเป็น
- ยืนยันตัวตน ป้องกันการสแปมหรือการกระทำที่ไม่ได้รับอนุญาต หรือผิดกฎหมาย
- ตรวจสอบว่าเจ้าของข้อมูลส่วนบุคคลเข้าถึงและใช้บริการของบริษัทอย่างไร ทั้งในภาพรวมและรายบุคคล เพื่อวัตถุประสงค์ที่เกี่ยวกับการค้นคว้าและการวิเคราะห์
- ดำเนินการตามที่จำเป็นเพื่อปฏิบัติตามหน้าที่ที่บริษัทมีต่อหน่วยงานที่มีอำนาจควบคุม หน่วยงานด้านภาษี การบังคับใช้กฎหมาย หรือภาระผูกพันตามกฎหมายของบริษัท
- ดำเนินการตามที่จำเป็นเพื่อประโยชน์ที่ชอบด้วยกฎหมายของบริษัทหรือของบุคคลอื่น หรือของนิติบุคคลอื่นที่เกี่ยวข้องกับการการดำเนินการของบริษัท
- ป้องกันหรือหยุดยั้งอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลรวมถึงการเฝ้าระวังโรคระบาด
- จัดเตรียมเอกสารทางประวัติเพื่อประโยชน์สาธารณะ การค้นคว้า หรือจัดทำสถิติที่บริษัทได้รับมอบหมายให้ดำเนินการ
- เพื่อการปฏิบัติตามกฎหมาย ประกาศ คำสั่งที่มีผลบังคับใช้ หรือการดำเนินการเกี่ยวกับคดีความ การดำเนินการเกี่ยวกับข้อมูลตามหมายศาล รวมถึงการใช้สิทธิเกี่ยวกับข้อมูลของเจ้าของข้อมูล
- การบันทึกภาพจำลองลายนิ้วมือหรือบันทึกใบหน้า มีวัตถุประสงค์เพื่อใช้ในการยืนยันตัวตนในการบันทึกเวลาการเข้าออกพื้นที่ทำงานของบริษัทและเพื่อรักษาความปลอดภัยของพนักงานและบริษัท
10. ประเภทบุคคลที่บริษัทเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล
ภายใต้วัตถุประสงค์ที่ได้ระบุไว้ในข้อ 9 ข้างต้นบริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลให้แก่บุคคลดังต่อไปนี้ ทั้งนี้ประเภทของบุคคลผู้รับข้อมูลที่ระบุไว้ดังต่อไปนี้เป็นเพียงกรอบการเปิดเผยข้อมูลส่วนบุคคลของบริษัทเป็นการทั่วไป เฉพาะบุคคลผู้รับข้อมูลที่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการที่เจ้าของข้อมูลใช้งานหรือมีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้
ประเภทบุคคลผู้รับข้อมูล | รายละเอียด |
หน่วยงานราชการที่บริษัทต้องเปิดเผยข้อมูลเพื่อวัตถุประสงค์ในการดำเนินการตามกฎหมายหรือวัตถุประสงค์สำคัญอื่น | หน่วยงานผู้บังคับใช้กฎหมายหรือมีอำนาจควบคุมกำกับดูแล หรือมีวัตถุประสงค์อื่นที่มีความสำคัญ เช่น กรมสรรพากร ศาล สำนักงานประกันสังคม กองทุนเงินให้กู้ยืมเพื่อการศึกษา เป็นต้น |
คณะกรรมการต่าง ๆ ที่เกี่ยวข้องกับการดำเนินการตามกฎหมายของบริษัท | บริษัทอาจเปิดเผยข้อมูลของเจ้าของข้อมูลแก่บุคคลผู้ดำรงตำแหน่งกรรมการในคณะต่าง ๆ เช่น คณะกรรมการสรรหาและค่าตอบแทน เป็นต้น |
คู่สัญญาซึ่งดำเนินการเกี่ยวกับสวัสดิการของผู้ปฏิบัติงานของบริษัท | บุคคลภายนอกที่บริษัทจัดซื้อจัดจ้างให้ดำเนินการเกี่ยวกับสวัสดิการ เช่น บริษัทประกันภัย โรงพยาบาล บริษัทผู้จัดทำเงินเดือน (PAYROLL) ธนาคาร ผู้ให้บริการโทรศัพท์ เป็นต้น |
พันธมิตรทางธุรกิจ/คู่ค้า | บริษัทอาจเปิดเผยข้อมูลของเจ้าของข้อมูลแก่บุคคลที่ร่วมงานกับบริษัทเพื่อประโยชน์ในการให้บริการแก่เจ้าของข้อมูล เช่น ผู้ให้บริการด้านการตลาด สื่อโฆษณา สถาบันการเงิน ผู้ให้บริการแพลตฟอร์ม ผู้ให้บริการโทรคมนาคม เป็นต้น |
ผู้ให้บริการ | บริษัทอาจมอบหมายให้บุคคลอื่นเป็นผู้ให้บริการแทน หรือสนับสนุนการดำเนินการของบริษัท เช่น ผู้ให้บริการด้านการจัดเก็บข้อมูล (เช่น คลาวด์) ผู้พัฒนาระบบซอฟต์แวร์ แอปพลิเคชัน เว็บไซต์ ผู้ให้บริการด้านการชำระเงิน ผู้ให้บริการอินเทอร์เน็ต ผู้ให้บริการโทรศัพท์ผู้ให้บริการสื่อสังคมออนไลน์ ผู้ให้บริการด้านการบริหารความเสี่ยง ที่ปรึกษาภายนอก ผู้ให้บริการขนส่ง เป็นต้น |
ผู้รับข้อมูลประเภทอื่น | บริษัทอาจเปิดเผยข้อมูลของเจ้าของข้อมูลให้แก่บุคคลผู้รับข้อมูลประเภทอื่น เช่น ผู้ติดต่อบริษัท สมาชิกในครอบครัว มูลนิธิที่ไม่แสวงหากำไร โรงพยาบาล หรือหน่วยงานอื่น ๆ เป็นต้น ทั้งนี้ เพื่อการดำเนินการเกี่ยวกับบริการของบริษัท การฝึกอบรม เป็นต้น |
การเปิดเผยข้อมูลต่อสาธารณะ | บริษัทอาจเปิดเผยข้อมูลของเจ้าของข้อมูลต่อสาธารณะในกรณีที่จำเป็น |
11. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
ในบางกรณีบริษัทอาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปยังต่างประเทศเพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการแก่เจ้าของข้อมูล เช่น เพื่อส่งข้อมูลส่วนบุคคลไปยังระบบคลาวด์ (CLOUD) ที่มีแพลตฟอร์มหรือเครื่องแม่ข่าย (SERVER) อยู่ต่างประเทศ เพื่อสนับสนุนระบบเทคโนโลยีสารสนเทศที่ตั้งอยู่นอกประเทศไทย ทั้งนี้ขึ้นอยู่กับบริการของบริษัทที่เจ้าของข้อมูลใช้งานหรือมีส่วนเกี่ยวข้องเป็นรายกิจกรรม
อย่างไรก็ตาม ในขณะที่จัดทำนโยบายฉบับนี้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังมิได้มีประกาศกำหนดรายการประเทศปลายทางที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ดังนี้ เมื่อบริษัทมีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปยังประเทศปลายทาง บริษัทจะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลที่ส่งหรือโอนไปมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอตามมาตรฐานสากล หรือดำเนินการตามเงื่อนไขเพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมาย ได้แก่
- เป็นการปฏิบัติตามกฎหมายที่กำหนดให้บริษัทต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
- ได้แจ้งให้เจ้าของข้อมูลทราบและได้รับความยินยอมจากเจ้าของข้อมูลในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ทั้งนี้ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศกำหนด
- เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญากับบริษัท หรือเป็นการทำตามคำขอของเจ้าของข้อมูลก่อนการเข้าทำสัญญานั้น
- เป็นการกระทำตามสัญญาของบริษัทกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูล
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลหรือของบุคคลอื่น เมื่อเจ้าของข้อมูลไม่สามารถให้ความยินยอมในขณะนั้นได้
- เป็นการจำเป็นเพื่อดำเนินประโยชน์สาธารณะที่สำคัญ
12. ระยะเวลาในการเก็บรวบรวมและการทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูล
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลไว้ในระยะเวลาเท่าที่ข้อมูลนั้นยังมีความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลเท่านั้น ตามรายละเอียดที่ได้กำหนดไว้ในนโยบาย ประกาศหรือตามกฎหมายที่เกี่ยวข้อง ทั้งนี้ เมื่อพ้นระยะเวลาและข้อมูลส่วนบุคคลของเจ้าของข้อมูลสิ้นความจำเป็นตามวัตถุประสงค์ดังกล่าวแล้ว บริษัทจะทำการลบ ทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูล หรือทำให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลไม่สามารถระบุตัวตนได้ต่อไป ตามรูปแบบและมาตรฐานการลบทำลายข้อมูลส่วนบุคคลที่คณะกรรมการหรือกฎหมายจะได้ประกาศกำหนดหรือตามมาตรฐานสากล อย่างไรก็ดี ในกรณีที่มีข้อพิพาท การใช้สิทธิหรือคดีความอันเกี่ยวข้องกับข้อมูลส่วนบุคคลของเจ้าของข้อมูล บริษัทขอสงวนสิทธิในการเก็บรักษาข้อมูลนั้นต่อไปจนกว่าข้อพิพาทนั้นจะได้มีคำสั่งหรือคำพิพากษาถึงที่สุด
บริษัทจะลบหรือทำลายข้อมูลส่วนบุคคล ด้วยวิธีดังต่อไปนี้
– เมื่อครบกำหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล คณะทำงานคุ้มครองข้อมูลส่วนบุคคลจะเป็นผู้เฝ้าติดตามและตรวจสอบการสิ้นสุดของระยะเวลาดังกล่าว โดยส่งเรื่องให้แก่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลพิจารณาอนุมัติการทำลาย
– เมื่อเจ้าของข้อมูลใช้สิทธิในการขอลบหรือทำลายข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะเป็นผู้พิจารณาอนุมัติการทำลาย
เมื่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอนุมัติให้ทำลายแล้ว คณะทำงานคุ้มครองข้อมูลส่วนบุคคลจึงจะดำเนินการลบหรือทำลาย กรณีที่จัดเก็บข้อมูลในรูปแบบเอกสารจะทำลายด้วยวิธีใช้เครื่องย่อยเอกสาร หรือกรณีข้อมูลที่จัดเก็บในรูปแบบอิเล็กทรอนิกส์จะลบออกจากระบบและจากไดรฟ์เครือข่าย หรือทำให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลเป็นข้อมูลที่ไม่สามารถระบุตัวเจ้าของข้อมูลได้ เว้นแต่จะเป็นกรณีที่บริษัทสามารถเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวได้ต่อไปตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้องกำหนด
เมื่อดำเนินการลบหรือทำลายแล้ว คณะทำงานคุ้มครองข้อมูลส่วนบุคคลจะแจ้งผลการลบหรือทำลายแก่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พร้อมแนบหลักฐานการทำลาย
13. การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง
บริษัทอาจมีการมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม (ผู้ประมวลผลข้อมูลส่วนบุคคล) ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของบริษัท ซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่าง ๆ เช่น การเป็นผู้ดูแล (HOSTING) รับงานบริการช่วง (OUTSOURCING) หรือเป็นผู้ให้บริการคลาวด์ (CLOUD COMPUTING SERVICE/PROVIDER) หรือเป็นงานในลักษณะการจ้างทำของในรูปแบบอื่น
การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น บริษัทจะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของบริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่บริษัทมอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่บริษัทมอบหมายให้ประมวลผล รวมถึงวัตถุประสงค์ ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น ๆ ที่เกี่ยวข้อง ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของบริษัทเท่านั้นโดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้
ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง (ผู้ประมวลผลช่วง) เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล บริษัทจะกำกับให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วงในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่างบริษัทกับผู้ประมวลผลข้อมูลส่วนบุคคล
14. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
บริษัทมีมาตรการปกป้องข้อมูลส่วนบุคคลโดยการจำกัดสิทธิการเข้าถึงข้อมูลส่วนบุคคลให้สามารถเข้าถึงได้โดยเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายที่มีความจำเป็นต้องใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น ซึ่งบุคคลดังกล่าวจะต้องยึดมั่นและปฏิบัติตามมาตรการปกป้องข้อมูลส่วนบุคคลของบริษัทอย่างเคร่งครัด ตลอดจนมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองรับรู้จากการปฏิบัติการตามอำนาจหน้าที่ โดยบริษัทมีมาตรการรักษาความปลอดภัยข้อมูลทั้งในเชิงองค์กรหรือเชิงเทคนิคที่ได้มาตรฐานสากล และเป็นไปตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
นอกจากนี้เมื่อบริษัทมีการส่ง โอน หรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม ไม่ว่าเพื่อการให้บริการตามพันธกิจ ตามสัญญา หรือข้อตกลงในรูปแบบอื่น บริษัทจะกำหนดมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลและการรักษาความลับที่เหมาะสมและเป็นไปตามที่กฎหมายกำหนด เพื่อยืนยันว่าข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมจะมีความมั่นคงปลอดภัยอยู่เสมอ
15. การเชื่อมต่อเว็บไซต์หรือบริการภายนอก
บริการของบริษัทอาจมีการเชื่อมต่อไปยังเว็บไซต์หรือบริการของบุคคลที่สาม ซึ่งเว็บไซต์หรือบริการดังกล่าวอาจมีการประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่มีเนื้อหาสาระแตกต่างจากนโยบายนี้ บริษัทขอแนะนำให้เจ้าของข้อมูลศึกษานโยบายการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการนั้น ๆ เพื่อทราบในรายละเอียดก่อนการเข้าใช้งาน ทั้งนี้บริษัทไม่มีความเกี่ยวข้องและไม่มีอำนาจควบคุมถึงมาตรการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการดังกล่าวและไม่สามารถรับผิดชอบต่อเนื้อหา นโยบาย ความเสียหาย หรือการกระทำอันเกิดจากเว็บไซต์หรือบริการของบุคคลที่สาม
16. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
บริษัทได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อทำหน้าที่ตรวจสอบ กำกับและให้คำแนะนำในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงการประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
17. สิทธิของเจ้าของข้อมูลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้หลายประการ โดยรายละเอียดของสิทธิต่าง ๆ ประกอบด้วย
- สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคลเจ้าของข้อมูลมีสิทธิขอเข้าถึง รับสำเนาและขอให้เปิดเผยที่มาของข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมไว้โดยปราศจากความยินยอมของเจ้าของข้อมูล เว้นแต่กรณีที่บริษัทมีสิทธิปฏิเสธคำขอของเจ้าของข้อมูลด้วยเหตุตามกฎหมายหรือคำสั่งศาล หรือกรณีที่การใช้สิทธิของเจ้าของข้อมูลจะมีผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
- สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์และเป็นปัจจุบัน หากเจ้าของข้อมูลพบว่าข้อมูลส่วนบุคคลของเจ้าของข้อมูลไม่ถูกต้อง ไม่ครบถ้วนหรือไม่เป็นปัจจุบัน เจ้าของข้อมูลมีสิทธิขอให้แก้ไขเพื่อให้มีความถูกต้อง เป็นปัจจุบัน สมบูรณ์และไม่ก่อให้เกิดความเข้าใจผิดได้
- สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิขอให้บริษัทลบหรือทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูลหรือทำให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ต่อไป ทั้งนี้การใช้สิทธิลบหรือทำลายข้อมูลส่วนบุคคลนี้จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมายกำหนด
- สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคลเจ้าของข้อมูลมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูล ในกรณีดังต่อไปนี้
- เมื่ออยู่ในช่วงเวลาที่บริษัททำการตรวจสอบตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์และเป็นปัจจุบัน
- ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้หรือเปิดเผยโดยมิชอบด้วยกฎหมาย
- เมื่อข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่บริษัทได้แจ้งในการเก็บรวบรวม แต่เจ้าของข้อมูลส่วนบุคคลประสงค์ให้บริษัทเก็บรักษาข้อมูลนั้นต่อไปเพื่อประกอบการใช้สิทธิตามกฎหมาย
- เมื่ออยู่ในช่วงเวลาที่บริษัทกำลังพิสูจน์ถึงเหตุอันชอบด้วยกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือตรวจสอบความจำเป็นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์สาธารณะ อันเนื่องมาจากการที่เจ้าของข้อมูลส่วนบุคคลได้ใช้สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลเจ้าของข้อมูลมีสิทธิคัดค้านการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูล เว้นแต่กรณีที่บริษัทมีเหตุในการปฏิเสธคำขอโดยชอบด้วยกฎหมาย (เช่น บริษัทสามารถแสดงให้เห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลมีเหตุอันชอบด้วยกฎหมายยิ่งกว่า หรือเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม หรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือเพื่อประโยชน์สาธารณะของบริษัท)
- สิทธิในการขอถอนความยินยอมในกรณีที่เจ้าของข้อมูลได้ให้ความยินยอมแก่บริษัทในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (ไม่ว่าความยินยอมนั้นจะได้ให้ไว้ก่อนหรือหลังพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับ) เจ้าของข้อมูลมีสิทธิถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลถูกเก็บรักษาโดยบริษัท เว้นแต่มีข้อจำกัดสิทธิโดยกฎหมายให้บริษัทจำเป็นต้องเก็บรักษาข้อมูลต่อไปหรือยังคงมีสัญญาระหว่างเจ้าของข้อมูลกับบริษัทที่ให้ประโยชน์แก่เจ้าของข้อมูลอยู่
- สิทธิในการขอรับ ส่งหรือโอนข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิในการขอรับข้อมูลส่วนบุคคลของเจ้าของข้อมูลจากบริษัทในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยวิธีการอัตโนมัติ รวมถึงอาจขอให้บริษัทส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ทั้งนี้การใช้สิทธินี้จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมายกำหนด
18. โทษของการไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล
การไม่ปฏิบัติตามนโยบายอาจมีผลเป็นความผิดและถูกลงโทษทางวินัยตามกฎเกณฑ์ของบริษัท (สำหรับเจ้าหน้าที่หรือผู้ปฏิบัติงานของบริษัท) หรือตามข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (สำหรับผู้ประมวลผลข้อมูลส่วนบุคคล) ทั้งนี้ตามแต่กรณีและความสัมพันธ์ที่เจ้าของข้อมูลมีต่อบริษัท และอาจได้รับโทษตามที่กำหนดโดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมทั้งกฎหมายลำดับรอง กฎ ระเบียบ คำสั่งที่เกี่ยวข้อง
19. การร้องเรียนต่อหน่วยงานผู้มีอำนาจกำกับดูแล
ในกรณีที่เจ้าของข้อมูลพบว่า บริษัทมิได้ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิร้องเรียนไปยังคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือหน่วยงานที่มีอำนาจกำกับดูแลที่ได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือตามกฎหมาย ทั้งนี้ก่อนการร้องเรียนดังกล่าวบริษัทขอให้เจ้าของข้อมูลโปรดติดต่อมายังบริษัท เพื่อให้บริษัทมีโอกาสได้รับทราบข้อเท็จจริงและได้ชี้แจงในประเด็นต่าง ๆ รวมถึงจัดการแก้ไขข้อกังวลของเจ้าของข้อมูลก่อน
20. ผลกระทบของการเพิกถอนความยินยอม
การเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคล จะไม่ส่งผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคล ซึ่งบริษัทได้ประมวลผลไปแล้วก่อนที่จะมีการเพิกถอนความยินยอม
กรณีที่มีการเพิกถอนความยินยอมตามความประสงค์ของเจ้าของข้อมูล ส่งผลกระทบต่อข้อจำกัดในการเสนอสินค้า/บริการ การทำธุรกรรม และ/หรือนิติกรรมใด ๆ ของบริษัทที่มีต่อเจ้าของข้อมูล กรณีเช่นนี้บริษัทย่อมหลุดพ้นในความเสียหายใด ๆ อันเนื่องมาจากการเพิกถอนความยินยอมดังกล่าว
21. การปรับปรุงแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคล
บริษัทอาจพิจารณาปรับปรุง แก้ไขหรือเปลี่ยนแปลงนโยบายนี้ตามที่เห็นสมควร และจะทำการแจ้งให้เจ้าของข้อมูลทราบผ่านช่องทางเว็บไซต์ของบริษัท โดยมีวันที่มีผลบังคับใช้ของแต่ละฉบับแก้ไขกำกับอยู่ อย่างไรก็ดี บริษัทขอแนะนำให้เจ้าของข้อมูลโปรดตรวจสอบเพื่อรับทราบนโยบายฉบับใหม่อย่างสม่ำเสมอ ผ่านแอปพลิเคชัน หรือช่องทางเฉพาะกิจกรรมที่บริษัทดำเนินการ โดยเฉพาะก่อนที่เจ้าของข้อมูลจะทำการเปิดเผยข้อมูลส่วนบุคคลแก่บริษัท
การเข้าใช้งานผลิตภัณฑ์หรือบริการของบริษัทภายหลังการบังคับใช้นโยบายใหม่ ถือเป็นการรับทราบตามข้อตกลงในนโยบายใหม่แล้ว ทั้งนี้โปรดหยุดการเข้าใช้งานหากเจ้าของข้อมูลไม่เห็นด้วยกับรายละเอียดในนโยบายฉบับนี้และโปรดติดต่อมายังบริษัทเพื่อชี้แจงข้อเท็จจริงต่อไป
22. การติดต่อสอบถามหรือใช้สิทธิ
หากเจ้าของข้อมูลมีข้อสงสัย ข้อเสนอแนะหรือข้อกังวลเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของ บริษัทหรือเกี่ยวกับนโยบายนี้ หรือเจ้าของข้อมูลต้องการใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลสามารถติดต่อสอบถามได้ที่
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DATA PROTECTION OFFICER: DPO)
– สถานที่ติดต่อ: เลขที่ 51 อาคารเมเจอร์ ทาวเวอร์ พระราม 9 – รามคำแหง ชั้นที่ 14 ถนนพระราม 9 แขวงหัวหมาก เขตบางกะปิ กรุงเทพมหานคร
ถนนพระราม 9 กรุงเทพมหานคร
– ช่องทางการติดต่อ: jkxlab@tatcorp.co.th
– หมายเลขโทรศัพท์: 02-026-6424 ต่อ 914
ผู้ควบคุมข้อมูลส่วนบุคคล (DATA CONTROLLER)
– ชื่อ: บริษัท ทีเอที คอร์ปอเรชั่น จำกัด (มหาชน)
– สถานที่ติดต่อ: เลขที่ 51 อาคารเมเจอร์ ทาวเวอร์ พระราม 9 – รามคำแหง ชั้นที่ 14 ถนนพระราม 9 แขวงหัวหมาก เขตบางกะปิ กรุงเทพมหานคร
– ช่องทางการติดต่อ: jkxlab@tatcorp.co.th
– หมายเลขโทรศัพท์: 02-026-6424
โดยมีผลบังคับใช้ตั้งแต่วันที่ 27 พฤศจิกายน 2566 เป็นต้นไป