PRIVACY POLICY

นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

บริษัท เอทู เทคโนโลยี จำกัด และกลุ่มบริษัทฯ ในเครือ (เรียกรวมกันว่า “บริษัท”) ได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลเพื่อกำหนดกรอบในการประมวลผลข้อมูลส่วนบุคคลที่บริษัทจะดำเนินการเพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และป้องกันการรั่วไหลของข้อมูลส่วนบุคคลของบุคคลต่างๆ ที่บริษัทจำเป็นต้องประมวลผล รวมถึงแต่ไม่จำกัดเพียง ลูกค้า คู่ค้า พนักงาน หรือบุคคลใดๆที่ติดต่อกับทางบริษัท เพื่อให้เกิดความมั่นใจว่าบุคคลดังกล่าวจะได้รับความคุ้มครองสิทธิอย่างครบถ้วนตามกฎหมาย ดังนั้นทางบริษัทจึงประกาศใช้นโยบายการคุ้มครองข้อมูลส่วนบุคคล เพื่อการบริหารจัดการข้อมูลส่วนบุคคล ดังนี้

1.คำนิยาม

ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลที่เกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมแต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ นามสกุล อีเมล เบอร์โทรศัพท์ IP Address

ข้อมูลอ่อนไหว (Sensitive Data) หมายถึง ข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่กฎหมายกำหนดขึ้น

เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคล ซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง บุคคล หรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer ) หมายถึง บุคคลที่บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล แต่งตั้งขึ้นเพื่อให้คำแนะนำและตรวจสอบการดำเนินงานเพื่อให้การเก็บรวบรวมใช้ และเปิดเผยประมวลผลข้อมูลส่วนบุคคลเป็นไปตามกฎหมายและตามนโยบายฉบับนี้ รวมทั้งเป็นผู้ประสานกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

2. วัตถุประสงค์

เพื่อคุ้มครองข้อมูลส่วนบุคคลและกำหนดแนวทางระเบียบปฏิบัติงานให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงพระราชบัญญัติฉบับแก้ไข กฎหมายลำดับรอง รวมถึงประกาศลำดับรองของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) บริษัทได้จัดทำนโยบายฉบับนี้เพื่อกำหนด (ก) กรอบและระบบบริหารข้อมูลส่วนบุคคล (ข) โครงสร้างการกำกับดูแลการประมวลผลข้อมูลส่วนบุคคล (ค) วิธีการ และมาตรการที่เหมาะสมในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล รวมทั้ง (ง) หน้าที่และความรับผิดชอบของผู้ปฏิบัติงานที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลให้ชัดเจน โดยเฉพาะ (จ) เป็นกรอบกำหนดหน้าที่ในการกำกับดูแล ควบคุมการปฏิบัติงาน การบังคับใช้ และการติดตามมาตรการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล

3. กฎหมายที่ใช้บังคับ

บริษัทได้จัดทำระบบบริหารจัดการข้อมูล ระเบียบและวิธีปฏิบัติ ภายใต้บังคับของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

4. ขอบเขตการใช้บังคับ

ระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคลนี้ใช้บังคับกับ บริษัท เอทู เทคโนโลยี จำกัด และ กลุ่มบริษัทฯ ในเครือ รวมถึงพนักงาน และ ผู้ที่เกี่ยวข้องทั้งหมด อาทิ ลูกค้า คู่ค้า หรือบุคคลใดๆ ที่ติดต่อกับทางบริษัทและมีส่วนเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล เป็นต้น

5. หลักเกณฑ์การคุ้มครองข้อมูลส่วนบุคคล

บริษัทกำหนดกรอบการเก็บ รวบรวม ประมวลผล ใช้ เปิดเผยและส่งต่อ (“การประมวลผล”) ข้อมูลส่วนบุคคลให้ดำเนินการตามหลักเกณฑ์ในการประมวลผลข้อมูลส่วนบุคคลที่ถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยต้องคำนึงถึงสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยบริษัทจะแจ้งเจ้าของข้อมูลให้ทราบก่อนหรือขณะจะมีการเก็บรวบรวมข้อมูลส่วนบุคคล ในส่วนของรายละเอียดประเภทข้อมูลส่วนบุคคลที่จะมีการประมวลผล ขอบเขตวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล ประเภทของบุคคลหรือหน่วยงาน ซึ่งบริษัทอาจมีความจำเป็นต้องเปิดเผยข้อมูลส่วนบุคคล มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล และช่องทางการติดต่อบริษัท รวมถึงผลกระทบจากการที่เจ้าของข้อมูลส่วนบุคคลไม่อนุญาตให้มีการประมวลผลข้อมูลส่วนบุคคล

ทั้งนี้บริษัทกำหนดกรอบวัตถุประสงค์ภายใต้ฐานและกรอบความชอบด้วยกฎหมายที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งได้แก่

(1) ความจำเป็นเพื่อปฏิบัติตามสัญญาหรือคำร้องขอของเจ้าของข้อมูลส่วนบุคคล

(2) ความจำเป็นเพื่อปฏิบัติตามกฎหมายที่บริษัทต้องปฏิบัติ

(3) ความจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือของบุคคลอื่น โดยไม่กระทบสิทธิเจ้าของข้อมูลส่วนบุคคลเกินความจำเป็น

(4) ความจำเป็นเพื่อประโยชน์สาธารณะ

(5) ความจำเป็นเพื่อระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูล

(6) การประมวลผลข้อมูลส่วนบุคคลโดยความยินยอมของเจ้าของข้อมูลส่วนบุคคล

6. แนวทางปฏิบัติในการประมวลผลข้อมูลส่วนบุคคล

(1) บริษัทจะจัดให้มีกระบวนการ กลไกเพื่อควบคุมการประมวลผลและคุ้มครองข้อมูลส่วนบุคคลในทุกขั้นตอน ให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล และนโยบายฉบับนี้

(2) บริษัทจะจัดให้มีกระบวนการที่ชัดเจนเพื่อให้มั่นใจได้ว่า ได้มีการจัดทำบันทึกรายการ
การประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities) ตามรายละเอียดที่กำหนดไว้สำหรับ
ผู้ควบคุมข้อมูลส่วนบุคคล ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อเป็นเอกสารภายในเพื่อการตรวจสอบโดยเจ้าของข้อมูลส่วนบุคคล และหน่วยงานกำกับดูแล รวมถึงกลไกและกระบวนการแจ้งวัตถุประสงค์การเก็บรวบรวมและรายละเอียดการประมวลผลข้อมูลส่วนบุคคล (Privacy Notices) และการขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล โดยสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล

(3) บริษัทจะจัดให้มีมาตรการ ช่องทาง รวมถึงกลไกการดูแลและตรวจสอบการดำเนินการตามคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล เช่น การถอนความยินยอม การแก้ไข เปลี่ยนแปลง หรือลบทำลายข้อมูลส่วนบุคคลตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ พร้อมทั้งบันทึกรายการและจัดเก็บหลักฐานการดำเนินการตามคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างครบถ้วนถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

(4) ในกรณีที่บริษัท ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจะดำเนินการเปิดเผย ส่ง โอน หรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคล โดยเฉพาะในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล บริษัทจะจัดทำข้อตกลงกับผู้ประมวลผลข้อมูลส่วนบุคคลนั้น เพื่อกำหนดสิทธิและหน้าที่ให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล และนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ และในกรณีที่บริษัทจะส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทจะปฏิบัติให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลทุกประการ โดยเฉพาะการรับประกันการดำเนินมาตรการเพื่อการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่จะมีการส่งต่อดังกล่าว

(5) บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลเพียงในช่วงระยะเวลาที่จำเป็นเพื่อวัตถุประสงค์ที่ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบเท่านั้น และจะทำลายข้อมูลส่วนบุคคลเมื่อครบกำหนดระยะเวลา โดยปฏิบัติให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล และแนวทางการดำเนินธุรกิจของบริษัท

(6) บริษัทจะจัดให้มีการอบรมพนักงานเพื่อความรู้ความเข้าใจในกฎระเบียบข้อปฏิบัติและกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อการรับประกันให้การประมวลผลข้อมูลส่วนบุคคลเป็นไปตามกรอบกฎหมาย และนโยบายฉบับนี้

(7) บริษัทจะจัดให้มีกลไกการตรวจประเมินการประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลและนโยบายฉบับนี้ โดยดำเนินการผ่านระบบภายใน (Internal Audit) เป็นประจำทุกปี

(8) บริษัท โดยที่ประชุมผู้บริหาร/คณะกรรมการจะทบทวนระบบการบริหารจัดการคุ้มครองข้อมูลส่วนบุคคลอย่างน้อยปีละครั้ง เพื่อให้การควบคุมและดำเนินการตามระบบบริหารจัดการข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพ สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล และกรอบการประมวลผลข้อมูลส่วนบุคคลที่บริษัทดำเนินการอยู่เสมอ

7. หน้าที่และความรับผิดชอบ

เพื่อรับประกันการกำกับดูแล และบริหารจัดการด้านการคุ้มครองการประมวลผลข้อมูลส่วนบุคคลให้สมบูรณ์ถูกต้องสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล บริษัทกำหนดให้ดำเนินการบริหารจัดการกำกับดูแลการประมวลผลข้อมูลส่วนบุคคลทั้งหมดของบริษัท ภายใต้โครงสร้าง ดังนี้

(1)คณะทำงานคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Management Committee) มีหน้าที่ และความรับผิดชอบ ดังต่อไปนี้

1. กำหนดและทบทวนมาตรฐานการปฏิบัติงานและแนวปฏิบัติเพื่อให้การดำเนินงานของบริษัทจะสอดคล้องและเป็นไปตามกรอบของกฎหมายคุ้มครองข้อมูลส่วนบุคคล และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัททั้งหมด รวมถึงเป็นผู้นำเสนอและทบทวนนโยบายการประมวลผลข้อมูลส่วนบุคคลที่บริษัทจะดำเนินการจัดทำและแจ้งให้เจ้าของข้อมูลส่วนบุคคลแต่ละกลุ่มได้รับทราบ
2. จัดให้มีโครงสร้างการกำกับดูแลข้อมูลส่วนบุคคล และการควบคุมภายในที่เกี่ยวข้อง กำหนดนโยบายและระเบียบปฏิบัติ การบริหารความเสี่ยงจากการประมวลผลข้อมูลส่วนบุคคล โดยเฉพาะจากเหตุการณ์การละเมิดข้อมูลส่วนบุคคล รวมถึงกำหนดแนวทางการตอบสนองและแก้ไขเหตุการณ์ดังกล่าวให้ได้อย่างทันท่วงที
3. เป็นผู้ตรวจประเมินประสิทธิภาพการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล และรายงานผลการประเมินดังกล่าวให้คณะกรรมการบริษัทและผู้บริหารทราบเป็นประจำอย่างน้อย 1 ครั้งต่อปี รวมถึงควบคุม ดูแลให้มั่นใจได้ว่าความเสี่ยงต่าง ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้รับการจัดการ
4. แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) ของบริษัท

(2) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) เป็นผู้รับผิดชอบมีอำนาจและหน้าที่ ตามที่กฎหมายกำหนด ซึ่งรวมถึงหน้าที่ ดังต่อไปนี้

1. ทำหน้าที่ติดตามตรวจสอบและควบคุมสถานะการคุ้มครองข้อมูลส่วนบุคคลโดยหน่วยงานที่เกี่ยวข้องทั้งหมดของบริษัทให้คณะทำงานคุ้มครองข้อมูลส่วนบุคคลทราบอย่างสมํ่าเสมอ และจัดทำข้อเสนอแนะเพื่อปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลของบริษัท ให้ทันสมัยและสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล รวมถึงมีประสิทธิภาพอยู่เสมอ
2. ให้คำแนะนำแก่บุคคลที่เกี่ยวข้องทั้งหมดของบริษัทที่มีส่วนเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลเพื่อและในนามของบริษัท เกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ โดยเฉพาะประชาสัมพันธ์ให้ความรู้ความเข้าใจ หรือฝึกอบรมบุคคลที่เกี่ยวข้องดังกล่าวให้ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และทำให้มั่นใจได้ว่า บุคคลทั้งหมดนั้นมีความรู้ความเข้าใจในกฎระเบียบข้อปฏิบัติและกฎหมายของการคุ้มครองข้อมูลส่วนบุคคล

3. ประสานงาน และให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มีปัญหาเกี่ยวกับการเก็บ รวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท ในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
4. เป็นเจ้าภาพในการติดต่อประสานงานกับหน่วยงานภายในกรณีเกิดเหตุการณ์การละเมิดข้อมูลส่วนบุคคล และประสานงานกับเจ้าของข้อมูลที่ใช้สิทธิภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลกับทางบริษัท ภายใต้กรอบระยะเวลาที่เหมาะสมตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล
5. ดำเนินการอื่นใด ที่เกี่ยวข้องกับวัตถุประสงค์การคุ้มครองกำกับดูแลการประมวลผลข้อมูลส่วนบุคคลขอบริษัทให้เป็นไปตามกรอบของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

8. สิทธิของเจ้าของข้อมูล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอเข้าถึงข้อมูลส่วนบุคคลของตน ขอรับสำเนา ขอถอนความยินยอม คัดค้าน การเก็บ การใช้ การเปิดเผย ขอให้ลบทำลายหรือพักการใช้ ขอแก้ไขข้อมูลให้เป็นปัจจุบัน ร้องเรียน หรือขอให้โอนข้อมูลส่วนบุคคลของตนไปยังผู้ควบคุมข้อมูลอื่น เว้นแต่เป็นการกระทบต่อสิทธิเสรีภาพของบุคคลอื่น เป็นการปฏิบัติหน้าที่เพื่อสาธารณประโยชน์หรือตามกฎหมาย โดยบริษัทจะกำหนดช่องทาง กลไกและกระบวนการเพื่อให้บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลสามารถดำเนินการตอบรับการใช้สิทธิดังกล่าวของเจ้าของข้อมูลส่วนบุคคลได้ตามกรอบระยะเวลาที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล

9. ขั้นตอนและวิธีการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล

บริษัทกำหนดจัดให้มีช่องทางรับเรื่องแจ้งเหตุละเมิดข้อมูลส่วนบุคคล ดังนี้

(1) เจ้าของข้อมูลซึ่งเชื่อว่า ข้อมูลส่วนบุคคลของตนถูกประมวลผลโดยฝ่าฝืนกฎหมายหรือ ระเบียบปฏิบัติการคุ้มครองข้อมูลของบริษัทที่กำหนด และมีความประสงค์ที่จะใช้สิทธิของตน สามารถยื่นคำร้องต่อเจ้าหน้าที่คุ้มครองข้อมูลของบริษัท หรือ คณะทำงานคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯโดยตรง โดยผ่านช่องทางอีเมลที่ประกาศไว้ในนโยบายการประมวลผลข้อมูลส่วนบุคคลแต่ละฉบับที่มีการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ

(2)  พนักงานของบริษัท หรือบุคคลใดก็ตามที่รับทราบถึงเหตุการณ์อันถือเป็นการละเมิดข้อมูลส่วนบุคคลต้องแจ้งไปยังเจ้าหน้าที่ควบคุมข้อมูลส่วนบุคคลเพื่อให้ดำเนินการประเมินความเสี่ยง รวมถึงดำเนินการเพื่อการจัดทำรายงานที่จำเป็น

(3) เมื่อได้รับแจ้งเหตุการณ์การละเมิดข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
จะพิจารณารวบรวมข้อมูลเกี่ยวกับเหตุการณ์การละเมิดข้อมูลส่วนบุคคลดังกล่าว โดยสอดคล้องกับกรอบกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยหากเป็นเหตุการณ์การละเมิดที่มีผลกระทบรุนแรงตามเกณฑ์ที่กำหนด เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะดำเนินการแจ้งไปยังคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมง นับแต่ทราบเหตุ รวมถึงแจ้งไปยังเจ้าของข้อมูลส่วนบุคคลให้ทราบถึงเหตุแห่งการละเมิดข้อมูลส่วนบุคคล และมาตรการในการแก้ไขบรรเทาเหตุดังกล่าวโดยไม่ชักช้า